ПРОЕКТИРОВАНИЕ ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ

[an error occurred while processing this directive]

Планирование информационной безопасности

Защита информации включает в себя комплекс мероприятий, направленных на обеспечение информационной безопасности. На практике под этим понимается поддержание целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных

Информационная безопасность - это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры [8].

Основной критерий для выбора уровня защиты - важность информации. Если в проектируемой вычислительной сети будут обрабатываться конфиденциальные данные, следует выбрать централизованную защиту на основе сервера (независимо от количества обслуживаемых пользователей).

На этом этапе необходимо для разработанной архитектуры ЛВС и требований к ее безопасности с учетом области применения произвести следующие работы:

составить таблицу угроз информационной безопасности;

составить таблицу прав доступа пользователей к информации;

составить перечень (таблицу) мероприятий по защите информации.

Всем защитным мерам должен предшествовать анализ угроз. К числу угроз можно отнести все, что влечет за собой потерю данных в сети, в том числе:

воровство или вандализм;

пожар;

отказы источников питания и скачки напряжения;

отказы компонентов;

природные явления (молния, наводнения, бури и землетрясения).

Существуют методы и системы, предотвращающие катастрофическую потерю данных:

резервное копирование на магнитную ленту;

источники бесперебойного питания;

отказоустойчивые системы;

предупреждение кражи данных;

пароли и шифрование;

аудит;

бездисковые компьютеры;

обучение пользователей;

физическая защита оборудования;

защита от вирусов

Аудит - это запись определенных событий в журнал безопасности сервера.

В проекте нужно выбрать методы и системы для предотвращения потери данных, соответствующие перечню наиболее реальных угроз безопасности в заданной предметной области, приводящих к наиболее тяжелым последствиям для вычислительной сети.Необходимой функцией средств обеспечения безопасности является регистрация деятельности пользователей. Для каждой базы данных, отдельного документа и даже отдельного поля записи в файле базы данных могут быть установлены:

список пользователей, имеющих право доступа;

функции, которые может выполнять пользователь;

привилегии для доступа к выбранной информации.

В проектируемой вычислительной сети нужно выборочно наделить пользователей правами доступа к каталогам и создать группы для предоставления доступа к общим сетевым ресурсам. Пример определения прав доступа для групп пользователей показан в таблице 7.

Таблица 7 Права доступа для групп пользователей

Название группы

Внутренние ресурсы

Уровни доступа к внутренним ресурсам

Доступ в Internet и электронная почта

Администраторы

Все сетевые ресурсы

Права администратора в каталогах, в том числе изменение уровня и прав доступа

Все сетевые ресурсы

Разработчики

Базы данных разрабатываемых документов

Создание, чтение файлов, запись в файл, создание подкаталогов и файлов, удаление каталогов, поиск файлов, изменение каталогов

Все сетевые ресурсы

Сотрудники в офисе

Вся информация предприятия (учреждения)

Ограничение доступа к папкам (по необходимости)

Ограничение по IP- адресу (адресата и источника), ограничение по содержанию (входящей и исходящей корреспонденции)

Сотрудники вне офиса

Вся информация предприятия (учреждения)

Ограничение доступа к папкам (по необходимости)

Ограничение по IP- адресу (адресата и источника), ограничение по содержанию (входящей и исходящей корреспонденции), аутентификация удаленного пользователя перед осуществлением доступа

Поставщики, деловые партнеры, клиенты

Специальные каталоги и папки для производителей, партнеров и клиентов

Доступ только к специально отведенным областям

Ограничение по IP- адресу (адресата и источника). Идентификация и аутентификация удаленного пользователя

Потенциальные клиенты

Специальные каталоги и папки для клиентов

Просмотр объектов (чтение и поиск файлов)

При открытом доступе Интрасеть должна быть изолирована; идентификация пользователя не требуется

6.3. Проектирование аппаратного и программного обеспечения для использования глобальных вычислительных сетей

Проектирование средств для использования глобальных вычислительных сетей производится в следующей последовательности.

6.3.1. Выбор оптимальной конфигурации ядра и пограничных устройств

Выбрать оптимальную конфигурацию ядра и пограничных устройств кампусной сети, подобрать состав сетевых устройств и определить типы линий связи и их длины. Составить структурную схему сети (см.[6]).

Предусмотреть в структурной схеме введение типовых серверов (файлового, почтового, WWW…).

Протяженные линии связи в глобальных сетях часто выдолняются на оптоволокне. При этом для конкретных реализаций линии обычно проводят поверочный расчет оптических линий.

Каждый оптический порт характеризуется мощностью передатчика, чувствительностью и динамическим диапазоном приемника. Разница между выходной мщностью передатчика и чувствительностью приемника (в децибелах) называется бюджетом мощности (Power Budget). Обычно предполагается, что оборудование на концах линии симметрично (стандартная пара трансиверов). Бюджет определяется активным оборудованием и характеризует уровень потерь, который может вносить линия без нарушения устойчивого соединения. Для современных технологий бюджет составляет величину порядка 11-40дб [18].

Потери в линии рассчитываются по спецификациям на компоненты (волокно, коннекторы), где они указаны для конкретных длин волн и режимов передачи (SM, MM).

Потери в линии зависят от температуры, деформации волокон, уровня радиации, времени (старение), чистоты поверхнотси в коннекторах, возможные дополнительные соединения. По отношению к потерям в линии бюджет мощности должен иметь положительный запас в 3-6дб, рассчитанный на эти случаи.


6.3.2 Пример расчета энергетического баланса линии.

Схема линии:

 


Рисунок 13 – К примеру расчета энергетического баланса линии

Исходные данные:

Передатчик: мощность PTR= -6 дб/мвт; диаметр излучателя DTR=100мкм; апертура NATR=0,3;

Приемник: чувствительность PRSV=-39дб/мвт; диаметр приемника DTR=100мкм; апертура NATR=0,3; динамический диапазон PD=18 дб

Волокно 1: 50/125мкм; поглощение AttF1=3,5дб/км; длина L F1=3км; апертура NA F1=0,2;

Волокно 2: 62,5/125мкм; поглощение AttF2=3,5дб/км; длина L F2=2км; апертура NA F2=0,4;

Потери в каждом соединении LOSSc обычно составляют до1дб.

Потери из-за несогласованности диаметров D1,D2 LOSSД=20lg(D1/D2)

Потери из-за несогласованности апертур NA1,NA2 LOSSA=20lg(NA1/NA2)

Расчет.

Потери от передатчика до волокна 1:

LOSSTR-1= LOSSc+LOSSД+LOSSA=1+20lg(100/50)+20lg(0,3/0,2)=1+6+3,5=10,5дб.

Потери в волокне 1:

LOSS F1=Att F1* L F1=3,5*3=10,5дб.

Потери на соединении двух волокон (диаметры и апертуры согласованы):

LOSSF1-F2= LOSSc=1дб.

Потери в волокне 2:

LOSS F2=Att F2* L F2=3,5*2=7дб.

Потери от волокна 2 до приемника (диаметры и апертуры согласованы):

LOSSF2- RSV= LOSSc=1дб.

Итого потери = 10,5+10,5+1+7+1= 30дб.

Бюджет мощности = PTR- PRSV=-6-39=33дб

Запас бюджета мощности = 33-30=3дб.

Вывод: линия работоспособна, т.к. имеет достаточный запас бюджета мощности, величина которого меньше динамического диапазона приемника.

Если линия вносит настолько малые потери (короткая линия), что уровень сигнала на входе приемника не вписывается в его динамический диапазон (запас бюджета мощности превышает динамический диапазон минус 3-6дб), применяют оптические аттенюаторы с фиксированным или изменяемым уровнем затухания (путем, например, введения воздушного зазора между волокном и коннектором). В данном примере запас бюджета (3дб) меньше динамического диапаэона приемника (18дб), поэтому введения таких аттенюаторов не требуется.