Разработка предложения по объединению вычислительных сетей ВУЗов в интрасеть

Построение функциональной модели предприятия - не простая задача. Это объясняется дефицитом технических специалистов, понимающих образовательные проблемы, и наоборот, отсутствием понимания технических аспектов у многих управленцев. Технические специалисты и управленческие работники должны взаимно обучаться для того, чтобы построить эффективную и полезную интрасеть.

Работа с пользователями сети.

Конечные пользователи будут работать с сетью каждый день, поэтому обязательно нужно сделать, чтобы им было удобно работать с ней. К сожалению, о конечных пользователях часто забывают во время планирования, проектирования и установки сети. И когда сеть полностью установлена, пользователи начинают говорить "Она не работает" или "Она всегда отказывает". Они говорят, что печать теперь занимает больше времени, чем раньше, или, что поиск информации занимает больше времени, и что сеть им не нравится вообще. Вместо того, чтобы использовать сеть как инструмент, они смотрят на нее как на помеху.

Одним из главных условий успешной работы является общение. Как правило, сотрудники отдела автоматизации слишком мало разговаривают не только друг с другом, но и с конечными пользователями. Конечные пользователи часто больше других знают о компьютерных системах, и именно они создают наибольшую нагрузку на компьютеры. Так как они работают с сетью каждый день, то часто обладают наилучшим пониманием того, как взаимосвязаны конкретные функции и компьютерные системы. Обязанностью сотрудников отдела автоматизированных информационных систем является выбор такого оборудования, которое наилучшим образом удовлетворяет потребностям конечного пользователя, а не просто самой новой, самой быстрой продукции.

Необходимо назначить по крайней мере одного конечного пользователя, ответственного за связь между пользователями и отделом автоматизации, чтобы пользователи были уверены, что их интересы кто-то представляет. Этот "связной" должен периодически встречаться с другими пользователями, оповещать их о ходе разработки и служить постоянной обратной связью.

Недовольство пользователей иногда основывается на неверных, часто завышенных, ожиданиях. Необходимо дать пользователям реалистичную картину того, что сеть может делать. Необходимо объяснить, какое ожидается среднее время простоев из-за отказов. (Во время анализа требований необходимо выяснить, какое время простоев пользователи считают допустимым.) Нужно честно рассказать пользователям об этапности установки сети.

Необходимо иметь ввиду, что на предприятии имеется две группы сотрудников, которые будут работать с сетью: сотрудники отдела автоматизации, которые будут поддерживать сеть и управлять ею, и конечные пользователи, которые будут использовать ее как инструмент. Цели и потребности этих двух групп часто противоположны. В то время, как конечные пользователи заинтересованы в расширении функций и сервисов сети, сотрудники отдела автоматизации больше озабочены простотой эксплуатации и поддержания надежной работы сети. И те, и другие требуют обучения, хотя и по разным причинам, и по разным программам. Конечных пользователей надо обучать, чтобы работа в сети не показалась им странной и неудобной, сотрудников отдела автоматизации необходимо обучать обслуживанию новой современной техники, чтобы они не боялись потерять в будущем работу и не противились внедрению сети.

Нужно иметь ввиду, что большинство людей не любит перемен. Они привыкли к используемым программам и компьютерам, многие не хотят отказываться от твердо укоренившихся в памяти приемов. При разработке взаимодействия пользователя с будущей системой будет полезно промоделировать существующее взаимодействие при условии, что оно будет иметь смысл в новом окружении. Необходимо также помнить, что нельзя уменьшать существующие функциональные возможности системы - их можно только наращивать.

Построение технической модели.

После разработки функциональной модели ВУЗа и определения того, какие процедуры требуют изменения или улучшения, необходимо построить техническую модель сети. Техническая модель описывает в общих терминах, какое компьютерное оборудование нужно использовать, чтобы достичь целей, определенных в функциональной модели. Чтобы построить техническую модель, нужно проанализировать существующее оборудование, определить системные требования, оценить сегодняшнее и завтрашнее состояния техники.

Инвентаризация существующего оборудования и приложений.

Не многие ВУЗы могут себе позволить роскошь построения интрасети с нуля. Большинство же вместо этого строят свои компьютерные системы с использованием имеющегося оборудования, которое уже эксплуатируется какое-то время. Необходимо оценить, какое существующее оборудование продолжает иметь стратегическое значение для предприятия, а какое может быть безболезненно списано. Однако сначала необходимо все же определить, что же вы имеете.

Для каждой кафедры и отдела необходимо провести инвентаризацию существующего компьютерного оборудования и выяснить, какое действительно используется.

После того, как проведена ревизия оборудования, необходимо проделать то же самое с приложениями. Необходимо выяснить:

1.Какие приложения используются в каждой кафедре и отделе, сколько людей пользуются каждым приложением, и трафик, какой интенсивности они создают?

2.Могут ли эти приложения быть использованы в сети?

3.Где хранятся эти приложения и каким образом пользователи смогут получать к ним доступ в новой операционной среде?

4.Существуют ли более эффективные приложения аналогичного назначения и захотят ли сотрудники перейти на них?

Инвентаризация - очень скучная процедура, но тем не менее ее нужно осуществить, чтобы точно знать, чем вы располагаете и что нужно приобрести. Для такой большой системы, как интрасеть ВУЗа, очень важно, чтобы каждый элемент, будь то кабель или плата памяти, был промаркирован и учтен. Процесс инвентаризации можно и нужно автоматизировать. Существуют программы, которые могут автоматически исследовать состав аппаратного и программного обеспечения уже работающих в сети компьютеров.

Программы-исследователи создают базу данных подобной информации, которая может использоваться для справок или при устранении неисправностей. Администратор может периодически запускать исследовательскую программу и получать недельную, месячную или квартальную справку о текущем состоянии сетевых ресурсов.

Определение системных требований.

После инвентаризации существующей вычислительной системы необходимо определить требования к новой системе. Для определения технических параметров сети рассматривайте системные требования не с технической точки зрения, а с позиций преподавателей и конечных пользователей.

Для выяснения системных требований необходимо ответить на следующие вопросы:

1.Что нужно соединять? Требуется ли сотрудникам какого-либо подразделения общаться с небольшим (большим) количеством людей в пределах небольшой территории или же им нужно общаться с небольшим (большим) количеством людей в пределах географически обширной области? Объем и распределение трафика поможет определить требуемую мощность компьютеров, а также типы и скорости коммуникационного оборудования и сервисов.

2.Что из существующего аппаратного и программного обеспечения будет использоваться в новой системе? Какие системы нужно оставить в разрабатываемой корпоративной сети? Нужно ли эти системы соединять в сеть? Будут ли существующие системы нормально работать в новой сети? 3.Существуют ли какие-либо стандарты предприятия, существуют ли преобладающие приложения? Какое оборудование и приложения нужно добавить, чтобы достигнуть поставленных производственных целей?

4.Какие объемы информации будут передаваться по сети? Объем передаваемой информации определяет требуемую пропускную способность сети. По сети будет передаваться больше или меньше информации? Определите это подсчетом количества пользователей сети, среднего количества выполняемых транзакций в день каждым из пользователей и среднего объема транзакции. Такой подсчет поможет определить технологию доступа к среде передачи данных (Ethernet, FDDI, ...) и требования к глобальным сервисам.

5.Какое время реакции сети является приемлемым? Будут ли пользователи ждать одну секунду, полсекунды или две секунды? Такие измерения помогут определить требования к скорости оборудования, приложений и коммуникационных связей.

6.В течении какого времени сеть существенно необходима для работы? Нужна ли сеть 24 часа в день и 7 дней в неделю или же только в течение 8 часов в день и 5 дней в неделю? Нужно ли увеличить сегодняшние параметры использования сети?

7.Какие требования предъявляются к среднему времени устранения неисправностей? Как отражаются операции по обслуживанию и ремонту сети на эффективности обучения и ведения дел?

8.Каков планируемый рост системы? Каков текущий коэффициент использования сети и как он может измениться в течение ближайших 6 месяцев, одного года, двух лет? Даже если вы тщательно спланировали сеть, но не учли возможности ее роста и развития, то системные требования придется изменить и увеличить. Рост сети нужно планировать заранее, а не просто реагировать на фактический рост ее нагрузки.

Разработка технической модели.

После того, как системные требования определены, можно описать техническую модель сети ВУЗа. На этом этапе нужно определить, каким образом предполагается удовлетворить производственные требования с технической точки зрения. Большинство проектировщиков сетей хорошо знакомы с методами разработки технической модели.

Прежде всего подвергните анализу существующую систему. Что нужно из нее сохранить, а что отбросить? Будут ли согласовываться различное сетевое оборудование, операционные системы и приложения, используемые сегодня?

После этого оцените доступную технологию. Что на сегодня является технической вершиной? Хотите ли вы использовать самую передовую технику и технологию? Нужна ли вам на самом деле самая передовая техника? Построение хорошей сети означает постоянное сопоставление ваших желаний и потребностей. Нужно использовать только такие технические решения, которые необходимы. Тщательно обдумайте выбор между передовой технологией и технологией, проверенной временем.

Далее нужно оценить, какое семейство технических средств удовлетворяет производственным потребностям. Например, нужны ли вашей сети мосты и маршрутизаторы? Будете ли вы использовать смешанную топологию или топологию звезды? Какие коммуникационные связи и с какими скоростями нужны для вашей сети? Для принятия подобных решений вы должны узнать сравнительные характеристики различных технологий и технических средств, а также тщательно проанализировать интенсивность и типы передаваемых по сети данных.

Проектировщик также должен обеспечить нужный набор функций и требуемое время доступности сети. Например, если сеть должна быть доступна по ночам и в выходные дни, в ответственных файл-серверах нужно предусмотреть избыточные диски и источники бесперебойного питания. Необходимо решить, достаточно ли применение способа зеркального отображения дисков или требуется использовать дисковый массив. Какой запас аккумуляторов нужен для источников бесперебойного питания?

Далее нужно выяснить, какие технологии и технические средства станут доступными в ближайшее время, а также каковы долгосрочные перспективы этих новшеств. Оцените, сможет ли проектируемая сеть принять завтрашние технологические новинки.

Искусство проектировщика заключается в оценке имеющихся на сегодня решений, предвидении того, что станет доступным завтра, и объединении этих решений в элегантную и эффективную сеть.

Построение физической модели.

После того, как для сети выбрана техническая модель, необходимо оценить, насколько она удовлетворяет производственным требованиям. Нужно вернуться к функциональной модели и сопоставить ее требования с техническими решениями. Вряд ли технические решения будут полностью удовлетворять требованиям функциональной модели, но к этому надо стремиться.

После того, как вы убедились, что техническая модель соответствует требованиям, нужно построить физическую модель. Физическая модель конкретизирует специфику технической модели. Физическая модель является очень подробным описанием сети, в то время как техническая модель использует для ее описания более общие термины.

Этап физического моделирования требует более детального знакомства с имеющимися продуктами. Теперь проектировщик должен оценить свойства и функции подходящих продуктов и решить, какие из них наилучшим образом удовлетворяют требованиям разрабатываемой системы. Для того, чтобы определить подходящие продукты, проектировщику нужно воспользоваться опытом консультантов, знакомых из отделов автоматизации других ВУЗов, системных интеграторов, а также такими вторичными источниками информации, как обзоры продуктов в журналах и т.п.

На стадии физического моделирования проектировщик должен точно описать, какие компоненты нужны, в каком количестве, где они будут расположены и как эти компоненты соединяются друг с другом в интрасеть. Этот этап завершается разработкой технического задания.

Разработка технического задания.

После того, как были разработаны функциональная модель и техническая модель, необходимо разработать техническое задание. Техническое задание базируется в основном на информации, собранной на этапе анализа требований. Это техническое задание необходимо раздать нескольким (по крайней мере трем) сетевым интеграторам, чтобы выяснить их мнение о том, как нужно спроектировать вашу корпоративную сеть. Техническое задание может иметь объем и 5, и 50, и более страниц.

Как и на этапе анализа требований, вы можете подготовить техническое задание сами или с помощью консультанта. Если вы привлекли консультанта, то, очевидно, что техническое задание будет более полным и завершенным, чем если бы вы его готовили сами. Техническое задание, подготовленное консультантом, должно включать полное описание проекта сети и список оборудования, которое нужно купить, так что поставщикам останется только назвать цену. Если вы сами готовите техническое задание, то вы можете больше полагаться на предложения системных интеграторов и меньше думать о стоимости.

В приведенном ниже примере технического задания подразумевается, что вы пользуетесь услугами консультантов и интеграторов при разработке вашей сети. Даже если вы этого не делаете, все равно вам следует написать техническое задание для себя, и не только для обоснования решений перед руководством, но и для того, чтобы помочь уяснить себе все технические проблемы, требующие решения.

Пример технического задания.

Введение

Во введении дается обзор содержания технического задания. Оно коротко описывает ваш ВВУЗ, его сеть, цели и примерные этапы установки сети:

1. Обзор - является ли данное техническое задание документом, полностью описывающим вопросы планирования, реализации, поддержки и управления сетью? Или в нем исключены некоторые вопросы, например, касающиеся кабельной системы? Здесь вы должны также указать, что вы хотите от системных интеграторов: участие в поставках, инсталляции, конфигурировании, в пуско-наладке, тестировании, управлении и/или поддержке.

2. План - включает сроки выполнения этапов реализации технического задания: срок выпуска технического задания, крайний срок получения ответа, срок оценки предложений системных интеграторов, срок проведения презентаций и демонстраций интеграторами своих предложений, срок заключения контракта, сроки выполнения работ по установке сети.

3. Конфиденциальность - в техническое задание можно включить пометку о конфиденциальном статусе, так как это техническое задание может содержать информацию, которая предназначена только для руководства.

4. Описание ВУЗа и его целей - необходимо определить в общих терминах, чем занимается ваш ВВУЗ. Чтобы правильно построить вашу сеть, интегратор должен вполне представлять механизмы обучения. Этот раздел должен также содержать данные о количестве сотрудников и местах расположения филиалов, которые нужно соединить сетью.

Цели создания сети.

Этот раздел описывает, как вы представляете использование сети для решения проблем вашего ВУЗа. Здесь следует также указать, имеется ли какой-либо проект автоматизированной информационной системы, связанный с данной сетью, но не отраженный в данном техническом задании:

Требования к сети. Здесь отмечаются общие цели создания сети, полученные из анализа потребностей вашего ВУЗа. Например, ВУЗу нужны коммуникации со всеми подразделениями и филиалами, при этом нужно включить в сеть существующее оборудование и используемые в настоящее время приложения, связь персоналок с миникомпьютерами, новые приложения, использующие механизм транзакций; сеть должна быть проста в использовании и управлении, обладать высокой отказоустойчивостью и производительностью.

Используемое в настоящее время оборудование. Перечислите типы и количество компьютеров каждого типа в каждом подразделении и филиале. Включите все данные - от состава оборудования мейнфреймов и устройств межсетевой связи до операционных систем персональных компьютеров и их приложений. Возьмите эту информацию из списка, составленного на этапе анализа требований.

Кабельная система. Укажите, какие кабели проложены в ВУЗе. Будет ли сеть использовать существующие кабели, или системный интегратор должен предложить новую кабельную систему?

Соответствие стандартам предприятия. Опишите стандарты на оборудование и программное обеспечение. Например, ваш ВВУЗ может использовать компьютеры CompaqSystemPro как стандартные для файловых серверов. Укажите, может ли интегратор делать исключения из этих стандартов.

Этапы внедрения. Большинство интрасетей внедряются поэтапно из-за их сложности и ограничений финансирования. Необходимо описать порядок включения в сеть подразделений ВУЗа.

Требования к предложениям системных интеграторов.

В этом разделе необходимо указать, что бы вам хотелось увидеть в предложениях системных интеграторов. Это поможет вам сравнить в дальнейшем предложения разных системных интеграторов:

Технические требования. Здесь можно указать требуемый перечень характеристик (название, номер модели, цена и т.п.) для программного и аппаратного обеспечения. Можно попросить также представить схему проектируемой сети, а также сроки поставки оборудования.

Сведения о интеграторах. Наряду с техническими требованиями можно запросить сведения о самих интеграторах-поставщиках. В этом случае интеграторы должны включить в свои предложения описания своих предыдущих разработок, данных о сотрудниках, которые будут проектировать и устанавливать сеть, информацию о финансовом состоянии фирмы-интегра-тора, а также указать клиентов, для которых выполнялись аналогичные работы.

Сетевые цели.

В этом разделе технического задания описывается ваше видение сети:

Требования к квалификации системного интегратора. Опыт системного интегратора в построении интрасетей, является очень существенным. К другим критериям относятся качество проекта, услуг по установке, обучению и поддержке. Сведения о финансовой стабильности и конкурентоспособных ценах также очень важны. Кроме того, укажите, хотите ли вы работать сразу с несколькими интеграторами, или вам нужен один интегратор в качестве генерального подрядчика.

Требования к техническим аспектам сети. Этот раздел должен основываться на вашей технической модели. Какие компоненты содержит сеть? Например, хотите ли вы использовать в качестве устройства межсетевого взаимодействия маршрутизаторы, или интеграторы должны предложить какой-либо другой вариант? Если к разработке технического задания или к анализу требований привлекались консультанты, этот раздел будет достаточно подробным. Если же вы сами готовили техническое задание, эта часть может оказаться весьма общей, так как вы обращаетесь к интеграторам за экспертной помощью в создании сети, отвечающей вашим потребностям.

Требования к приложениям. Для каждого типа приложения сформулируйте прежде всего следующие требования. Какое приложение вам нужно: электронная почта, база данных, средства автоматизации документооборота или средства коммуникации? Вам требуются приложения, использующие графический пользовательский интерфейс? Должны ли эти приложения работать в разных операционных системах и в разных сетевых средах? Намерены ли вы использовать шлюзы для интеграции пакетов других производителей? Какова приемлемая скорость?

Требования к средствам коммуникаций. Нужно ли пользователям взаимодействовать с другими мейнфреймами, миникомпьютерами или другими источниками информации в режиме on-line. Должны ли они стать клиентами публичной электронной почты, такой как MICMail. Определите, есть ли у вас предпочтение по отношению к определенной клиентской операционной системе, к сетевой операционной системе или к пользовательскому интерфейсу.

Системные спецификации.

Раздел системных спецификаций технического задания описывает технические спецификации компонентов сети:

Уровень кабинетов. Техническое задание описывает спецификации для рабочих станций, принтеров, файл-серверов, приложений, утилит печати, коммуникационных утилит и утилит электронной почты. Если требуется высокая отказоустойчивость, то опишите желаемые компоненты для ее обеспечения, такие как зеркальные серверы, источники бесперебойного питания и устройства архивирования. Техническое задание должно определить требуемое среднее время безотказной работы компонентов сети.

Уровни кафедр и ВУЗа. Техническое задание определяет требуемые характеристики мостов, маршрутизаторов, модемов, факс-серверов, шлюзов к миникомпьютерам и мейнфреймам, коммуникационных программ и программного обеспечения широкого применения, такого как электронная почта. Должно быть определено приемлемое среднее время доступности сети.

Сетевые проблемы.

Этот раздел содержит информацию из физической модели сети:

Сетевая операционная система. В техническом задании следует запросить системного интегратора определить тип ВУЗовской сетевой операционной системы, если она не стандартизована. Системный интегратор должен обосновать свой выбор.

Сетевое и коммуникационное оборудование. Будут ли в интрасети использоваться методы доступа к среде, отличные от тех, которые используются в "позвоночнике" сети? В техническом задании следует запросить обоснование выбора методов доступа Ethernet, TokenRing, FDDI или иных, с обсуждением скорости передачи данных и возможного влияния технического прогресса в будущем.

Концентраторы. Попросите интегратора описать характеристики предлагаемых концентраторов. Интегратор должен обосновать выбор производителя, обращая особое внимание на наращиваемость, управляемость и цену.

Межсетевое взаимодействие. Каким образом будут соединены сети кафедр? Техническое задание требует от интегратора обоснования выбора метода межсетевого взаимодействия, а также выбора изготовителя оборудования.

Доступ к миникомпьютерам и мейнфреймам. В техническом задании должно быть определено, какое оборудование используется в настоящий момент для доступа к миникомпьютерам и мейнфреймам, также должен содержаться вопрос о том, какие другие варианты могут быть предложены. Предложения должны полностью определять программные и аппаратные средства, необходимые для хост-машин и для рабочих станций. Должно быть определено, сколько одновременных сессий может поддерживаться и каковы ограничения.

Глобальные связи. Какие глобальные связи будут использованы для соединения с другими ВВУЗами? В предложении должны быть описаны требования для каждого филиала, причем они должны быть обоснованы по характеристикам пропускной способности, стоимости и управляемости. Будут ли они публичными или частными сервисами?

Удаленный доступ. В предложении интегратора должен быть описан способ удаленного доступа. Это особенно важно, если сотрудники используют ноутбуки и лаптопы или же много перемещаются и в то же время нуждаются в доступе к сети. Требуются ли только входящие соединения удаленного доступа или и исходящее также? Будут ли сотрудники звонить по публичным сетям данных, таким как BT/Tymnet? Будут ли сотрудники использовать такие публичные компьютерные сети, как CompuServe или Internet? Будут ли они использовать сети других корпораций?

Безопасность. Какую схему безопасности необходимо использовать, чтобы защитить сеть от случайного или преднамеренного вторжения? Какая защита от вирусов предусмотрена в сети?

Доступность сети. В течение какого времени сеть должна быть доступной? Какая избыточность оборудования предусматривается для обеспечения надежной работы сети в течение всего периода доступности? Какие требования предъявляются к среднему времени между отказами для наиболее ответственных компонентов сети? В течение какого времени поставщики должны устранять проблемы с их оборудованием?

Управление сетью. Каким образом будет управляться сеть? Как будут устраняться неисправности? Какой инструментарий требуется для этого? Будет ли управление осуществляться удаленно? Сколько людей потребуется для управления сетью?

Масштабируемость сети. В предложениях должно быть указано, как сеть сможет удовлетворять потребности ВУЗа в будущем. Для этого в техническом задании должна быть дана оценка возможного роста на год вперед. В предложениях, в свою очередь, должно быть указано, какое максимальное количество пользователей, серверов, мостов, маршрутизаторов и шлюзов сможет обслуживать данная сеть без значительного уменьшения производительности.

Обслуживание сети.

Обслуживание включает в себя:

1.Обслуживание аппаратуры. Интегратор должен описать, где он будет заниматься обслуживанием аппаратуры. Если у него нет центра обслуживания в каждом филиале ВУЗа, то будет ли он заключать субподряд на обслуживание с каким-либо другим интегратором? Определите правила этих взаимоотношений. Должен ли интегратор сам заботиться о наличии самых важных запасных частей в центрах обслуживания? Сколько технических специалистов имеется в каждом центре обслуживания? Каково гарантированное время ремонта? Сможет ли интегратор осуществлять удаленную диагностику проблем с аппаратурой в ваших филиалах? Каковы гарантии на предлагаемое оборудование?

2.Поддержка программного обеспечения. В чем заключаются гарантии на используемое программное обеспечение? Какова стоимость поддержки программного обеспечения после истечения срока гарантии? Доступен ли исходный код? И опять - сможет ли интегратор выполнять удаленную диагностику и разрешение проблем программного обеспечения? Сколько сотрудников фирмы-интегратора могут поддерживать программное обеспечение в каждом из мест расположения ВУЗов?

3.Надежность. Будут ли различные изменения, добавления и перемещения требовать остановки сети? Если да, то на сколько? Можно ли этим заниматься ночью или в выходной день? Имеется ли возможность модульного наращивания сети без возникновения помех для работы пользователей?

Обучение.

1.Обзор. Определите, сколько сотрудников ВУЗа нуждается в обучении, каков уровень их подготовки, какие виды учебы им нужны, может ли обучение проводиться с отрывом от учебного процесса или нет. Оцените количество часов подготовки. Интегратор в своих предложениях должен указать, каким образом он собирается обучать конечных пользователей и сотрудников отдела АИС и сколько это будет стоить.

2.Документация. Определите количество инструкций пользователя, которые должны быть поставлены без дополнительной оплаты. Какова стоимость дополнительного количества инструкций пользователя? Каким образом будут документироваться особые функции вашей сети и кем?

3.Оперативная поддержка. В техническом задании необходимо сделать запрос о стоимости оперативной поддержки интегратором и стоимости оперативной диагностики.

Инсталляция сети.

Проблемы инсталляции включают план поставок оборудования, физические требования к оборудованию и стоимость каждого этапа инсталляции:

1.План поставок. В техническом задании необходимо запросить предварительный план поставок для предлагаемой системы.

2.Физическое размещение. Предложения интегратора должны описывать физическое размещение оборудования, включая требования к необходимой площади, электрической проводке, типам электрических разъемов, параметрам воздушной среды, теплообмена, возможной нагрузки на этаж. Для каждого используемого оборудования в предложениях должно быть указано: его размеры, вес, нагрузка на пол, потребляемые ток, напряжение и мощность, типы электрических разъемов, выделение тепла в час, требования к температуре и влажности помещения.

2.Поэтапная стоимость. В техническом задании необходимо запросить поэтапную стоимость инсталляции сети с учетом стоимости работы по ночам и в выходные дни.

Оценка предложений интеграторов.

В техническом задании необходимо указать критерии, которыми вы будете пользоваться при выборе оборудования и программного обеспечения. Критерии для оценки оборудования могут включать: стоимость, скорость, поддержку при установке, удобства работы, надежность, масштабируемость, данные о производителе, стоимость обслуживания. Критерии для оценки программного обеспечения могут включать: стоимость, надежность, поддержку, опыт интегратора по данному продукту, состав документации, быстродействие.

2.3 Средства анализа и оптимизации сетей

Анализаторы протоколов.

В ходе проектирования новой или модернизации старой сети часто возникает необходимость в количественном измерении некоторых характеристик сети таких, например, как интенсивности потоков данных по сетевым линиям связи, задержки, возникающие на различных этапах обработки пакетов, времена реакции на запросы того или иного вида, частота возникновения определенных событий и других характеристик.

Для этих целей могут быть использованы разные средства и прежде всего - средства мониторинга в системах управления сетью, которые уже обсуждались в предыдущих разделах. Некоторые измерения на сети могут быть выполнены и встроенными в операционную систему программными измерителями, примером тому служит компонента ОС WindowsNT PerformanceMonitor. Даже кабельные тестеры в их современном исполнении способны вести захват пакетов и анализ их содержимого.

Но наиболее совершенным средством исследования сети является анализатор протоколов. Процесс анализа протоколов включает захват циркулирующих в сети пакетов, реализующих тот или иной сетевой протокол, и изучение содержимого этих пакетов. Основываясь на результатах анализа, можно осуществлять обоснованное и взвешенное изменение каких-либо компонент сети, оптимизацию ее производительности, поиск и устранение неполадок. Очевидно, что для того, чтобы можно было сделать какие-либо выводы о влиянии некоторого изменения на сеть, необходимо выполнить анализ протоколов и до, и после внесения изменения.

Анализатор протоколов представляет собой либо самостоятельное специализированное устройство, либо персональный компьютер, обычно переносной, класса Notebook, оснащенный специальной сетевой картой и соответствующим программным обеспечением. Применяемые сетевая карта и программное обеспечение должны соответствовать топологии сети (кольцо, шина, звезда). Анализатор подключается к сети точно также, как и обычный узел. Отличие состоит в том, что анализатор может принимать все пакеты данных, передаваемые по сети, в то время как обычная станция - только адресованные ей. Программное обеспечение анализатора состоит из ядра, поддерживающего работу сетевого адаптера и декодирующего получаемые данные, и дополнительного программного кода, зависящего от типа топологии исследуемой сети. Кроме того, поставляется ряд процедур декодирования, ориентированных на определенный протокол, например, IPX. В состав некоторых анализаторов может входить также экспертная система, которая может выдавать пользователю рекомендации о том, какие эксперименты следует проводить в данной ситуации, что могут означать те или иные результаты измерений, как устранить некоторые виды неисправности сети.

Программные пакеты имитационного моделирования

Анализаторы протоколов незаменимы для исследования реальных сетей, но они не позволяют получать количественные оценки характеристик для еще не существующих сетей, находящихся в стадии проектирования. В этих случаях проектировщики могут использовать средства имитационного моделирования, с помощью которых разрабатываются модели, воссоздающие информационные процессы, протекающие в сетях.

Существуют специальные, ориентированные на моделирование вычислительных сетей программные системы, в которых процесс создания модели как таковой вообще отсутствует. Такие программные системы сами генерируют модель сети на основе исходных данных о ее топологии и используемых протоколах, об интенсивностях потоков запросов между компьютерами сети протяженности линий связи, о типах используемого оборудования и приложений. Программные системы моделирования могут быть узко специализированными и достаточно универсальными, позволяющие имитировать сети самых различных типов. Качество результатов моделирование в значительной степени зависит от точности исходных данных о сети, переданных в систему имитационного моделирования.

Программные системы моделирования сетей - инструмент, который может пригодиться любому администратору интрасети, особенно при проектировании новой сети или внесении кардинальных изменений в уже существующую. Продукты данной категории позволяют проверить последствия внедрения тех или иных решений еще до оплаты приобретаемого оборудования. Конечно, большинство из этих программных пакетов стоят достаточно дорого, но и возможная экономия может быть тоже весьма ощутимой.

Программы имитационного моделирования сети используют в своей работе информацию о пространственном расположении сети, числе узлов, конфигурации связей, скоростях передачи данных, используемых протоколах и типе оборудования, а также о выполняемых в сети приложениях.

Рынок систем имитационного моделирования представлен продуктами различного класса - от простых программ, предназначенных для установки на персональном компьютере, до мощных сетевых пакетов. Стоимость систем высшего класса может доходить до нескольких десятков тысяч долларов. Так, популярная система COMNETIII компании CACIProducts составляет $35000 - $40000.

Натурные эксперименты.

Если для задания информации о топологии сети не нужно иметь реальную сеть, то для сбора исходных данных об интенсивности источников сетевого трафика могут потребоваться измерения на пилотных сетях, представляющих собой натурную модель проектируемой сети. Эти измерения могут быть выполнены различными средствами, в том числе и с помощью анализаторов протоколов. Имеются и специальные программные системы, которые автоматизируют процесс сбора данных о временных характеристиках работы приложений. Примером может служить InfoVista - система для расчета времен реакции приложений в локальных сетях. Эта система работает совместно с системой управления сетью Transcend компании 3Com. Transcend собирает данные о работе сети от агентов RMON, а InfoVista рассчитывает времена для различных приложений, работающих в сети. Если на основании этих измерений нужно изменить режимы работы коммуникационного оборудования, то это можно сделать опять же с помощью системы Transcend, которая управляет коммуникационным оборудованием 3Com. Компания InfoVista предлагает адаптацию своей системы измерения и для других платформ управления.

Помимо получения исходных данных для имитационного моделирования пилотная сеть может использоваться для решения самостоятельных важных задач. Она может дать ответы на вопросы, касающиеся принципиальной работоспособности того или иного технического решения или совместимости оборудования. Натурные эксперименты могут потребовать значительных материальных затрат, но они компенсируются высокой достоверностью полученных результатов.

В этой главе я попытался собрать все разрозненные данные по проектированию интрасетей. И по сути это является наиболее общей методикой по построению интранет систем применимой к ВУЗам.

3. Информационная безопасность в Intranet

3.1 Ключевые вопросы безопасности

Применительно к системам Интранет их глобальная связанность означает, что речь идет о защите сетей, пользующихся внешними сервисами, основанными на протоколах TCP/IP, и предоставляющих аналогичные сервисы вовне (Рис. 6). Весьма вероятно, что внешние сервисы находятся в других странах, поэтому от средств защиты в данном случае требуется следование стандартам, признанным на международном уровне. Национальные границы, законы, стандарты не должны препятствовать защите потоков данных между клиентами и серверами (Рис. 7).

Рисунок 6 - Информационная система, пользующаяся внешними сервисами и предоставляющая сервисы вовне

Рисунок 7 - Поток данных между клиентом и сервером, нуждающийся в защите

Из факта глобальной связанности вытекает также меньшая эффективность мер физической защиты, общее усложнение проблем, связанных с защитой от несанкционированного доступа, необходимость привлечения для их решения новых программно-технических средств, таких как межсетевые экраны (firewalls). Как бы зеркальным отражением глобальной связанности является территориальная разнесенность частей, составляющих современную корпорацию. Имеются в виду не только транснациональные концерны, но и компании средних размеров, располагающие отделениями в нескольких регионах России. Как правило, такие концерны и компании должны использовать для внутренних нужд глобальные сети общего пользования. Значит, необходимо обеспечить защиту потоков корпоративных данных, передаваемых по открытым сетям (Рис. 8).

Рисунок 8 - Корпоративные потоки данных, передаваемые по открытым сетям

Разнородность аппаратных и программных платформ требует от изготовителей средств защиты соблюдения определенной технологической дисциплины. Важны не только чисто защитные характеристики, но и возможность встраивания этих систем в современные корпоративные информационные структуры. Если, например, продукт, предназначенный для криптографической защиты, способен функционировать исключительно на платформе Wintel, то его практическая применимость вызывает серьезные сомнения. Корпоративные информационные системы оказываются разнородными еще в одном важном отношении - в разных частях этих систем хранятся и обрабатываются данные разной степени важности и секретности. Целесообразно в таком случае провести перегородки или, как говорят, внутренние политические границы, разделяющие сегменты разного характера (Рис. 9).

Рисунок 9 - Сегментирование корпоративной информационной системы

Следствия использования технологии клиент/сервер для информационной безопасности, коротко говоря, состоят в том, что:

1.каждый сервис имеет свою трактовку главных аспектов информационной безопасности (доступности, целостности, конфиденциальности);

2.каждый сервис имеет свою трактовку понятий субъекта и объекта;

3.каждый сервис имеет специфические угрозы;

4.каждый сервис нужно по-своему администрировать;

5.средства безопасности в каждый сервис нужно встраивать по-особому.

Важно, чтобы наличие многочисленных сервисов не противоречило простоте и удобству использования информационной системы. В противном случае, даже без попыток взлома извне или изнутри, будет трудно добиться устойчивой работы системы. В Интранет-системах ключевым является Web-сервис, поэтому вопрос защищенности Web-серверов принципиально важен. Эти серверы должны поддерживать традиционные защитные средства, такие как аутентификация, разграничение доступа и подотчетность; кроме того, необходимо обеспечение новых свойств, в особенности безопасности программной среды и на серверной, и на клиентской сторонах. Все защитные сервисы, необходимые для обеспечения информационной безопасности Интранет-систем сводятся к следующим:

1.защита подключений к внешним сетям;

2.разграничение доступа между сегментами корпоративной сети;

3.защита корпоративных потоков данных, передаваемых по открытым сетям;

4.защита потоков данных между клиентами и серверами;

5.обеспечение безопасности распределенной программной среды;

6.защита важнейших сервисов (в первую очередь - Web-сервиса);

7.аутентификация в открытых сетях;

7.протоколирование и аудит в рамках сетевых конфигураций;

8.обеспечение простоты архитектуры информационной системы.

Таковы задачи в области информационной безопасности, возникающие в связи с переходом на технологию Интранет. 

3.2 Концепции решения

Законодательный уровень.

Эксплуатация информационных систем должна производиться в соответствии с существующим законодательством.

В настоящее время наиболее продвинутым законодательным документом в области информационной безопасности является уголовный кодекс, точнее говоря, его новая редакция, вступившая в силу в 1997 году. В разделе IX ("Преступления против общественной безопасности"), имеется глава 28 - "Преступления в сфере компьютерной информации". Данная глава содержит три статьи - 272 ("Неправомерный доступ к компьютерной информации"), 273 ("Создание, использование и распространение вредоносных программ для ЭВМ") и 274 - "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети". Уголовный кодекс стоит на страже всех аспектов информационной безопасности - доступности, целостности, конфиденциальности, предусматривая наказания за "уничтожение, блокирование, модификацию и копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети". Энергичную работу в области современных информационных технологий проводит Государственная техническая комиссия (Гостехкомиссия) при президенте Российской Федерации. В рамках серии Руководящих документов (РД) Гостехкомиссии подготовлен проект РД, устанавливающий классификацию межсетевых экранов (firewalls) по уровню обеспечения защищенности от несанкционированного доступа (НСД). Это принципиально важн ый документ, позволяющий упорядочить использование защитных средств, необходимых для реализации технологии Интранет.

Разработка сетевых аспектов политики безопасности.

Политика безопасности определяется как совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

При разработке и проведении в жизнь политики безопасности целесообразно руководствоваться следующими принципами:

1.невозможность миновать защитные средства;

2.усиление самого слабого звена;

3.невозможность перехода в небезопасное состояние;

4.минимизация привилегий;

5.разделение обязанностей;

6.эшелонированность обороны;

7.разнообразие защитных средств;

8.простота и управляемость информационной системы;

9.обеспечение всеобщей поддержки мер безопасности.

Если у злоумышленника или недовольного пользователя появится возможность миновать защитные средства, он, разумеется, так и сделает. Применительно к межсетевым экранам данный принцип означает, что все информационные потоки в защищаемую сеть и из нее должны проходить через экран. Не должно быть "тайных" модемных входов или тестовых линий, идущих в обход экрана. Чтобы убедиться в невозможности обхода защитных средств, необходимо провести информационное обследование организации. Надежность любой обороны определяется самым слабым звеном. Злоумышленник не будет бороться против силы, он предпочтет легкую победу над слабостью. Часто самым слабым звеном оказывается не компьютер или программа, а человек, и тогда проблема обеспечения информационной безопасности приобретает нетехнический характер. И здесь необходимо информационное обследование, причем имеются в виду не только межкомпьютерные, но и межперсональные потоки данных. Следует выяснить, где сосредоточена информация и как соответствующие объекты защищены. Принцип невозможности перехода в небезопасное состояние означает, что при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ. 

Принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей. Назначение этого принципа - уменьшить ущерб от случайных или умышленных некорректных действий пользователей и администраторов. Принцип разделения обязанностей предполагает такое распределение ролей и ответственности, чтобы один человек не мог нарушить критически важный для организации процесс или создать брешь в защите по заказу злоумышленников. Это особенно важно, чтобы предотвратить злонамеренные или неквалифицированные действия системного администратора. Принцип эшелонированности обороны предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией - управление доступом и, как последний рубеж, - протоколирование и аудит. Принцип разнообразия защитных средств рекомендует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками.

Залогом информационной безопасности являются не сложность и скрытность, а, напротив, простота и апробированность. Эту мысль выражает принцип простоты и управляемости информационной системы в целом и защитных средств в особенности. Только для простого защитного средства можно формально или неформально доказать его корректность. Только в простой и управляемой системе можно проверить согласованность конфигурации различных компонентов и осуществить централизованное администрирование. В этой связи важно отметить интегрирующую роль Web-сервиса, скрывающего разнообразие обслуживаемых объектов и предоставляющего единый, наглядный интерфейс. Последний принцип - всеобщая поддержка мер безопасности - носит нетехнический характер. Если пользователи и/или системные администраторы считают информационную безопасность чем-то излишним или даже враждебным, режим безопасности сформировать заведомо не удастся. Следует с самого начала предусмотреть комплекс мер, направленный на обеспечение лояльности персонала, на постоянное обучение, теоретическое и, главное, практическое. Анализ рисков - важнейший этап выработки политики безопасности. При оценке рисков, которым подвержены Интранет-системы, необходимо учитывать следующие обстоятельства:

1.Появляются новые угрозы по отношению к старым сервисам, вытекающие из возможности пассивного или активного прослушивания сети. Пассивное прослушивание означает чтение сетевого трафика, а активное - его изменение (кражу, дублирование или модификацию передаваемых данных). Например, аутентификация удаленного клиента с помощью пароля многократного использования не может считаться надежной в сетевой среде, независимо от длины пароля.

2.Появляются новые (сетевые) сервисы и ассоциированные с ними угрозы.

Как правило, в Интранет-системах следует придерживаться принципа "все, что не разрешено, запрещено", поскольку "лишний" сетевой сервис может предоставить канал проникновения в корпоративную систему. В принципе ту же мысль выражает положение "все непонятное опасно". Целесообразно следовать методике, когда, отправляясь от функционально необходимых сервисов, строится дерево вспомогательных и экранирующих сервисов, не содержащее лишних элементов.

Процедурные меры.

В общем и целом Интранет-технология не предъявляет каких-либо специфических требований к мерам процедурного уровня. Отдельного рассмотрения заслуживают лишь два обстоятельства:

1.описание должностей персонала, связанных с определением, наполнением и поддержанием корпоративной гипертекстовой структуры официальных документов;

2.поддержка жизненного цикла информации, наполняющей Интранет.

При поддержке жизненного цикла Интранет-информации необходимо использовать средства конфигурационного управления. Важное достоинство Интранет-технологии состоит в том, что основные операции конфигурационного управления - внесение изменений (создание новой версии) и извлечение старой версии документа - естественным образом вписываются в рамки Web-интерфейса. Те, для кого это необходимо, могут работать с деревом всех версий всех документов, подмножеством которого является дерево самых свежих версий. Существуют программные продукты, сочетающие в себе средства систем управления версиями и Web-навигаторов. Использование таких средств Web-администраторами повышает устойчивость Интранет-систем.

Управление доступом путем фильтрации информации.

Первое место среди мер программно-технического уровня занимают межсетевые экраны - средство разграничения доступа, служащее для защиты от внешних угроз и от угроз со стороны пользователей других сегментов корпоративных сетей.

Бороться с угрозами, присущими сетевой среде, средствами универсальных операционных систем не представляется возможным. Универсальная ОС - это огромная программа, наверняка содержащая, помимо явных ошибок, некоторые особенности, которые могут быть использованы для получения нелегальных привилегий. Современная технология программирования не позволяет сделать столь большие программы безопасными. Кроме того, администратор, имеющий дело со сложной системой, далеко не всегда в состоянии учесть все последствия производимых изменений (как и врач, не ведающий всех побочных воздействий рекомендуемых лекарств). Наконец, в универсальной многопользовательской системе бреши в безопасности постоянно создаются самими пользователями (слабые и/или редко изменяемые пароли, неудачно установленные права доступа, оставленный без присмотра терминал и т.п.). Единственный перспективный путь связан с разработкой специализированных защитных средств, которые в силу своей простоты допускают формальную или неформальную верификацию. Межсетевой экран как раз и является таким средством, допускающим дальнейшую декомпозицию, связанную с обслуживанием различных сетевых протоколов. Межсетевой экран - это полупроницаемая мембрана, которая располагается между защищаемой (внутренней) сетью и внешней средой (внешними сетями или другими сегментами корпоративной сети) и контролирует все информационные потоки во внутреннюю сеть и из нее (рис. 10). Контроль информационных потоков состоит в их фильтрации, то есть в выборочном пропускании через экран, возможно, с выполнением некоторых преобразований и извещением отправителя о том, что его данным в пропуске отказано. Фильтрация осуществляется на основе набора правил, предварительно загруженных в экран и являющихся выражением сетевых аспектов политики безопасности организации.

Рис. 10

Целесообразно разделить случаи, когда экран устанавливается на границе с внешней (обычно общедоступной) сетью или на границе между сегментами одной корпоративной сети. Соответственно, разделяют а внешнее и внутреннем межсетевых экранах (рис. 11 и рис. 12).