Документ 1958142

реклама
Аннотация
Целью дипломного проекта является анализ мультисервисных сетей
специального назначения. Мультисервисные сети позволяет передавать
разнородную информацию во много раз быстрее обычных сетей и имеет
большое преимущество по сравнению с обычными сетями.
В проекте произведен анализ и практическая реализация защиты
мультисервисных сетей сециального назначения, смоделирована сеть на
программе Router OS Mikrotik и представлен анализ полученных данных
после моделирования данной сети.
Так же произведен анализ охраны труда и безопасности
жизнедеятельности и рассчитана экономическая эффективность проекта.
Abstract
The aim of the diploma project is the analysis of multi-service networks for
special purposes. Multiservice networks allowsperedovat diverse information many
times faster than conventional networks and has a great advantage over
conventional networks.
The project analyzed and practical implementation of protection of
multiservice networks setsialnogo purpose, modeled on the program
RouterOSMikrotik network and presents an analysis of the data obtained after the
simulation network.
Also analyzed the health and safety of life and cost-effectiveness of the
project is designed.
Аңдатпа
Дипломдық жобаның мақсаты арнайы мақсаттар үшін мультисервистік
желілерін талдау болып табылады.Мультисервистік желілерін көптеген есе
жылдам дәстүрлі желілер қарағанда жылдамдырақ әр түрлі ақпаратты береді
және дәстүрлі желілер арқылы үлкен артықшылығы бар.Жоба талданады және
арнайы мультисервистік желілердің мақсатында қорғау іс жүзінде іске
асыру,бағдарлама RouterOSMikrotik желіде модельденген және модельдеу
желіге кейін алынған мәліметтерді талдау ұсынады.
Сондай ақ,өмірдің денсаулығы мен қауіпсіздігін талдау және жобаның
экономикалық тиімділігі арналған.
Оглавление
Введение ................................................................................................................ ...7
1. Реализация защиты мультисервисных сетей.................................................... 8
1.1.Мультисервисные сети .................................................................................. 8
1.2.Сети специального назначения ................................................................... 14
1.3.Управление безопасностью мультисервисных сетей ............................... 16
1.4. Принцип построение защищенной сети специального назначения на базе
каналов общего доступа ....................................................................................... 16
2.Техническая реализация управления безопасностью сетей специального
назначения .............................................................................................................. 21
2.1.Принципы управления защищенности сети .............................................. 21
2.2.Построение сети на базе технологии VPN.Настройки PPTP сервера на
DFL.......................................................................................................................... 25
2.3.Реализация PPTP в Router OS Mikrotik ...................................................... 50
3.Средства анализа и оптимизации локальных сетей........................................ 57
3.1.Принципы мониторинга сети ...................................................................... 57
4. Безопасность жизнедеятельности .................................................................... 68
4.1.Анализ условий труда обслуживающего персонала ................................ 68
4.2.Анализ используемого оборудования и помещения ................................ 70
4.3.Расчет естественного освещения ................................................................ 71
4.4.Расчет искусственного освещения методом коэффицента использования
светового потока.................................................................................................... 74
5Технико-экономическое обоснование............................................................... 77
5.1.Цель проекта ................................................................................................. 77
5.2.Актуальность ................................................................................................ 77
5.3.Конкурентность ............................................................................................ 77
5.4.Развите проекта ............................................................................................ 78
5.5.Перспективность проекта ............................................................................ 78
5.6.Трудоемкость разработки программного продукта ................................. 79
5.7.Расчет затрат на разработку программного продукта .............................. 79
5.8.Расчет годового экономического эффекта от внедрения программного
продукта ................................................................................................................. 82
5.9.Социальный эффект ..................................................................................... 84
Заключение ............................................................................................................ 85
Список литературы ............................................................................................... 85
Введение
Развитие общества невозможно без использования информационных
технологий. Особое место в ряду подобного рода систем занимают
автоматизированные системы специального назначения, активно внедряемые
в органах управления государством, в силовых ведомствах и критически
важных промышленных объектах, в связи с этим вопрос безопасности
является первоначальной задачей, которая стоит перед операторами связи.
Для выработки управленческих решений необходима обработка
больших массивов информации, далее принятые решения должны быть
оперативно доведены до всех участников процесса.
Данный факт обуславливает необходимость объединения всех
участников процесса в единое информационное пространство на базе
защищенной мультисервисной сети.
Устойчивое функционирование мультисервисных сетей специального
назначения зависит от обеспечения необходимого уровня информационной
безопасности.
Вышесказанное обуславливает актуальность темы выпускной
квалификационной работы.
Объектом исследования являются мультисервисные сети.
Предметом исследования являются вопросы обеспечения безопасности
мультисервисных сетей.
Целью является анализ и последующая защита безопасности
мультисервисных сетей специального назначения.
Для достижения цели необходимо выполнение следующих задач:
 рассмотреть основные понятия предметной области, а именно сети
специального
назначения,
мультисервисные
сети,
безопасность
мультисервисных сетей;
 а н а ли з с ущ е с тв ующ е г о п ро ц е с са уп р а вле н и я поли ти к ой
безопасности в сети организации;
 рассмотрение программной реализации защиты мультисервисных
сетей;
 оценка экономических показателей проекта;
 разработка рекомендаций по безопасности жизнидеятельности.
Практическая значимость выпускной квалификационной работы
заключается в рассмотрений и анализе безопасности и управление
мультисервисными сетями специального назначения на примере сети в
различных организациях.
7
1. Реализации защиты мультисервисных сетей
1.1.Мультисервисные сети
Мультисервисная телекоммуникационная среда — это модель сети,
построенная на основе широкополосных сетей связи следующего поколения
(NextGenerationNetworks, NGN), позволяющая предоставлять очень широкий
набор услуг и дающая гибкие возможности по их созданию, управлению и
персонализации.
Основными отличиями таких сетей являются:
 возможность передачи большому количеству пользователей в
реальном времени очень больших объемов информации с необходимой
синхронизацией и с использованием сложных конфигураций соединений;
 интеллектуальность (возможность управления услугой, вызовом и
соединением со стороны пользователя или поставщика сервиса, обеспечение
раздельной тарификации и управление условным доступом);
 возможность организации доступа к услугам незави симо от
используемой технологии;
 комплексность услуги (возможность участия нескольких
провайдеров в предоставлении услуги и разделение их ответственности и
дохода сообразно с видом деятельности каждого) ;
Большие
перспективы
имеет
новое
направление
развития
предоставления качественных современных мультисервисных услуг.
Новая мультисервисная среда вводит ряд услуг для широкого круга
пользователей и позволяют достаточно быстро их внедрить, другие на
сегодняшний день являются только перспективными.
К услугам, которые предоставляются на сегодняшний день относятся
такие услуги, как:
 обычное цифровое и интерактивное телевидение;
 видео (музыка, книги) по запросу, персональная видеозапись
телепередач;
 IP-телефония, видеотелефония;
 Интернет;
 местные информационные услуги и ряд других.
В список перспективных:
 видеокоммерция;
 интерактивная реклама;
 интерактивные банковские, страховые и туристические услуги;
 предоставление эксклюзивного медиаконтента.
Создание мультимедийного контента в Казахстане сегодня значительно
отстает от внедрения технической инфраструктуры мультисервисных сетей.
Интеграция услуг и переход к сетевым принципам их реализации
является одним из приоритетных направлений совершенствования
8
современных сетей связи, что даёт повысить устойчивость сети, включая
средства связи и защиты информации.
В качестве базовой технологии интеграции услуг и межсетевого
взаимодействия в мировой практике используются технологии коммутации
пакетов IPv4 и IPv6, которые стремительно вытесняют малоэффективные
технологии коммутации каналов.
Данная тенденция характерна для сетей специального назначения, где
эксплуатируется большое число сетей связи, используемых различными
силовыми ведомствами и базирующихся на использовании как
государственных, так и коммерческих телекоммуникационных ресурсов.
К наиболее важным сетям специального назначения, в частности,
относятся:
 Autovon – аналоговая сеть передачи речи общего пользования;
 Autodin – многоуровневая защищенная глобальная сеть передачи
данных, применяющая каналы радиосвязи, спутниковые и подводные
коаксиальные кабели;
 DC TN ( De f e n c eC o mme r c i a l Te l e co mmu n i c a ti on s Ne t wo rk ) –
коммерческая оборонная телекоммуникационная сеть для передачи речи,
информации видеоконференций, данных по коммутируемым и выделенным
каналам связи, арендуемых у фирмы AT&T;
 FTS 2000 – телекоммуникационная сеть с интеграцией служб.
Процесс межсетевого взаимодействия показан на рисунке 1.1.
CDMA One
Частная сеть IP
Глобальный интернет
Базовая сеть
CDMA 2000
ADSL
Сеть доступа к среде CDMA
Базовая сеть IP
Wireless LAN
Спутниковая
магистральная сеть
DECT
GSM
Базовая сеть
GPRS / UMTS
Сеть доступа к среде UMTS
PSTN / ISDN
ТфОП
Рисунок 1.1 - Процесс интеграции и межсетевого взаимодействия
Создаваемая единая инфраструктура на основе пакетных технологий
накладывается на существующую физическую инфраструктуру связи, через
9
собственные коммутируемые каналы и сети ведомственных операторов или
сети передачи данных сетях связи, исходящий трафик попадает в сеть в
пакетном виде.
При модернизации сети, в течении перевода оборудования сети связи
на использование пакетных технологий, инфраструктура IP будет постепенно
заменять устаревающие технологии пока не произойдет их полного
замещения. В отдельных случаях технологии коммутации каналов могут быть
сохранены для улучшения некоторых характеристик сети обмена данными,
однако передача информации все равно будет осуществляться в пакетном
режиме.
Приоритетным направлением является построение сетей с быстрой
коммутацией пакетов, которые будут заменять низкоскоростные сети доступа
абонентов к линиям связи базовой сети и коммутаторы Х.25. Широко
используется спутниковая связь, которая должна стать коммуникационной
основой глобальной системы спутниковой связи в рамках программы
«Глобальной Информационной Сетки» – Global Information Grid (GIG). GIG
представляет собой объединенную цифровую интерсеть на основе протокола
IPv6 и использует каналы связи общего пользования.
Построение
единой
унифицированной
широкополосной
мультимедийно-мультисервисной корпоративной сети, обеспечивающей
необходимый уровень обслуживания, позволяет значительно изменить
возможности информационного обмена внутри предприятий.
На рисунке 1.2 представлена схема мультисервисной сети нового
поколения.
Рисунок 1.2 – Мультисервисная сеть нового поколения
Новые возможности, которые легко реализуются
мультисервисной сети поверх стандартных сервисов:
10
на
базе
 п о д к л юч е н и е с и с те м б е зо п а с н о с т и , в и д е о н а б л юд е н и я и
сигнализации к сети с выводом в диспетчерские пункты;
 предоставление возможности передачи видео с индивидуальных
приемников видеосигнала между пользователями;
 быстрая передача больших объемов графических, видео-, аудио- и
текстовых файлов, потокового видео, аудиоконтента;
 телеобучение;
 создание в рамках сети выделенных виртуальных сетей с
расширением их возможностей за счет подключения мультимедийных и
телевизионных ресурсов, а также средств видеоконференц - связи;
 диспетчеризация инженерной и иной инфраструктуры предприятий,
включая подключение систем пожарной безопасности, счетчиков энергии,
воды и тепла, систем контроля и идентификации.
Существует ряд подходов к реализации задачи защиты информации для
мультисервисных сетей. Различие подходов заключается в целях,
используемых для выделения направлений защиты информации. Один из
распространенных подходов в направлении обеспечения используется вид
угрозы защищаемой информации[15].
Выделяются направления защиты информации от следующих угроз:
а) разглашения, под которым понимается несанкционированное
доведение защищаемой информации;
б) несанкционированного доступа;
в) разведки, под которой понимается деятельность по получению
защищаемой информации с применением методов технических средств
разведки;
г) несанкционированного воздействия, под которым понимается
воздействие на защищаемую информацию с нарушением установленных прав
и/или правил на ее изменение, приводящее к искажению, уничтожению,
копированию, блокированию доступа к ней, а также к утрате, уничтожению
или сбою функционирования носителя информации;
д) непреднамеренного воздействия, под которым понимается воздействие на защищаемую информацию ошибок пользователя, сбоев
технических и программных средств информационных систем.
Другим подходом задачи защиты информации является подход, где
выделяются следующие направления исследования проблемы безопасности
информации:
 радиотехническое;
 побочные электромагнитные излучения и наводки;
 акустическое, оптическое;
 физический доступ;
 несанкционированный доступ (НСД).
11
Под защитой информации для мультисервисных сетей будем понимать
регулярное использование средств и методов, с целью обеспечения требуемой
безопасности информации.
Для реализации этих целей создается система защиты информации,
которая представляет собой комплекс технических, программных средств
защиты, направленных на обеспечение безопасности информации.
Важнейшими начальными этапами построения системы защиты
информации защищённых мультисервисных сетей являются:
 анализ сетей и информационных ресурсов, подлежащих защите;
 определение и анализ угроз безопасности информации;
 построение модели угроз.
Результаты анализа структурных и функциональных особенностей
позволяют сформировать перечень видов угроз безопасности информации.
При наличии уточненных данных о структуре, программных и технических
средствах, протоколах, регламенте функционирования возможен более
глубокий анализ угроз безопасности информации. Классификация угроз
безопасности информации приведена в таблице1.1.
Таблица 1.1 – Классификация угроз безопасности информации в защищенных
мультисервисных сетях специального назначения.
Класификация угроз
Характериста угроз
Источник угрозы
Принадлежность источника угрозы
Направленность угрозы
Тип объекта угрозы
Характер происхождения угрозы
Предпосыки возникновения
Длительность воздействия
Человеческий фактор
Аппаратные или программные
средства
Окружающая среда
Внутренный
Внешний
Конфидециальность
Целосность
Доступность
Технологическая информация
Пользовательская информация
Преднамеранная
Непреднамереная
Недостаточность
элементов
системы:
 качественная,
 количественной
Постоянная
Периодическая
12
Действия нарушителя, бывают пассивные и активные . Под пассивным
понимается воздействие, непосредственного влияния на работу элементов
сети. Активное воздействие оказывает непосредственное влияние на работу
элементов.
Для защиты мультисервисных сетей определены следующие сервисы
безопасности:
 аутентификация (обеспечивает аутентификацию по общению и
аутентификацию источника данных);
 управление доступом, позволяет ограничить режимы взаимодействия
сетей;
 конфиденциальность и целостность потока данных в режиме
установления соединения и без него;
 целостность соединений с обеспечением и без обеспечения
возможности восстановления;
 безотказность или защита от отказа источника или получателя
сообщений.
При формировании политики безопасности необходимо уменьшить
значимость оконечных элементов сети.
В таблице 1.2 указаны уровни эталонной модели взаимодействия
открытых систем, на которых могут быть реализованы указанные функции
безопасности.
Таблица
1.2–Распределения
мультисервисной сети.
Функция безопасности
функций
Аутентификация
Управление доступом
Конфиденциальность соединения
Конфиденциальность
вне
соединения
Избирательная конфиденциальность
Конфиденциальность трафика
безопасности
1
2
+
+
+
защищенной
Уровень
3
4
5
+
+
+
+
+
+
+
+
6
+
+
+
+
+
Целостность с восстановлением
+
Целостность без восстановления
+
7
+
+
+
+
+
+
+
4
+
+
Избирательная целостность
+
+
Целостность вне соединения
+
+
+
Безотказность
+
+
13
При наличии данных о структуре, программных и технических
средствах, протоколах возможен более глубокий анализ угроз безопасности
информации.
Для обеспечения безопасности мультисервисной сети необходимо
применение механизмов обеспечения информационной безопасности.
Перед началом работы в сети должна проходить процедура
аутентификации, в следствии чего должно быть установлено соответствие
пользователя набору полномочий, а так же
обеспечить
логическое
управление доступом.
Полномочия представляются: списком ресурсов и правами по доступу к
каждому ресурсу. В качестве вычислительных ресурсов могут быть
программы, информация, объем памяти, время процессора, приоритет[16].
Основными задачами обеспечения безопасности мультисервисных сетей
являются:
 своевременное выявление потенциальных угроз ресурсам , что
характеризуется как мониторинг угроз;
 выработка соответствующей политики безопасности;
 выработка соответствующих воздействий с целью предотвратить
попытки со стороны нарушителя;
 ведение журнала всех событий;
 управление ключевой информацией;
 обеспечение целостности информации;
 поддержание высокой степени доверия к системе обеспечения
информационной безопасности и т.д.
Для обеспечения безопасности мультисервисной сети необходимо
применение механизмов обеспечения информационной безопасности.
Надо напомнить, что перед началом работы должна проходить
процедура аутентификации, далее должно быть установлено соответствие
пользователя набору
доступных полномочий. Полномочия субъекта
представляются такими критериями: списком ресурсов, доступных
пользователю и правами по доступу к каждому ресурсу из списка, а в
качестве вычислительных ресурсов могут быть программы, информация,
логические устройства, объем памяти, время процессора, приоритет.
1.2 Сети специального назначения
Под сетями связи специального назначения понимаются сети,
предоставляющие приоритетным пользователям телекоммуникационные
услуги в чрезвычайных ситуациях (стихийных бедствиях, угрозах
террористических актов, техногенных аварий, и т.д.).
В связи с этим, к таким сетям связи предъявляются особые требования.
Влияние на развитие
сетей специального назначения оказывают
следующие факторы: возникновение чрезвычайных ситуаций в различных
14
регионах, тенденции развития сетевых и информационных технологий, а так
же состояние и тенденции развития ведомственных и коммерческих
информационных сетей.
В связи с этим, к мультисервисным сетям специального назначения
предъявляются жесткие требования по своевременности, достоверности и
безопасности вследствии обмена информацией.
В условиях постоянных изменений характеристик сети, которые так же
бывают воздействиями природного, техногенного или человеческого
факторов влекут за собой перерывы в связи. Снижение качества каналов
передачи, скоростей информационного обмена, возникновение ошибок, сбои
тактовой синхронизации оборудования приводят к потере данных[24].
На основании вышесказанного можно отметить, что мультисервисные
сети специального назначения предлагается строить:
 с использованием единых подходов, архитектуры и принципов
построения, технологий и средств передачи, защиты данных;
 с использованием технологий пакетной коммутации IP, с
технологиями SDH/PDH и каналами типа Е, которые до сих пор присутствуют
в сетях связи Казахстана в качестве магистральной составляющей;
 с приоритетным использованием пакетных технологий
IP/X.25/AX.25;
 с использованием модулей интерфейса, что позволит обеспечить
интегральную транспортировку всех видов информации по единому каналу
связи.
При разработке архитектуры мультисервисных сетей специального
назначения основное внимание уделяется развитию:
 транспортной подсистемы, объединяющей различные стационарные
и мобильные сети;
 подсистемы управления сетью;
 подсистемы предоставления дополнительных услуг;
 подсистемы засекреченного и безопасного обмена всеми видами
информации.
Приоритетным направлением при развитии сетей является построение
сетей с быстрой коммутацией пакетов в перспективе развитие будет
использоваться спутниковая связь, которая должна стать основой системына
основе протокола IPv6.
Требования, предъявляемые к системе связи, со стороны
спецпотребителей, должны обеспечивать следующие характеристики:
 готовности, как способность системы связи в любых условиях;
 устойчивости, как способность системы связи обеспечивать
обслуживанию трафика с требуемым качеством;
 мобильность, как способность развертываться, свертываться,
изменять структуру и место (район) развертывания;
 пропускной способности, как способности системы связи
15
обеспечивать своевременную передачу и прием;
 разведывательной защищенности, как способности системы связи
противостоять всем видам разведки противника;
 доступности, как способности системы связи обеспечивать
возможность пользования ресурсами сетей связи при сохранении приоритетов
и способов установления связи.
Степень выполнения перечисленных требований зависит от системы
управления связью и как следствие к этому процессу предъявляют жесткие
требования.
1.3Управление безопасностью мультисервисных сетей
Задачей, при построении защищенных мультисервисных сетей, является
управление безопасностью, сводящееся к защите обрабатываемой
информации и управлению подсистемой защиты информации.
Управление безопасностью происходитна следующих уровнях:
 оперативно-техническом;
 услуг и сети;
 сетевых элементов модели TMN.
Это позволит реализовать сквозное управление безопасностью.
Существенными особенностями защиты мультисервисных сетей как
объектов управления являются:
 территориальная рассредоточенность элементов;
 наличие информационных ресурсов различной степени
доступности;
 различные уровни конфиденциальности;
 наличие удаленных пользователей.
В связи с этим, построение эффективной системы защиты информации
требует подробного анализа используемых технических и программных
средств, а так же анализа возможных существующих средств защиты
информации.
1.4 Принципы построения защищенной
назначения на базе каналов общего доступа
сети
специального
В соответствии с Концепцией информационной безопасности
Республики Казахстан до 2016 года обеспечение информационной
безопасностиопределено одним из основных долгосрочных приоритетов.
Концепция основана на оценке текущей ситуации и определяет
государственную политику, перспективы деятельности государственных
органов в области обеспечения информационной безопасности.
Концепция разработана в соответствии с Конституцией Республики
Казахстан и законами Республики Казахстан "О национальной безопасности
Республики Казахстан"от 26 июня 1998г., "О государственных секретах"от 15
марта 1999 года "О противодействии терроризму" 13 июля 1999 года, "Об
электронном документе и электронной цифровой подписи"от 7 января 2003
16
года, "Об информатизации", от 11.01.2007 "О техническом регулировании",от
9 ноября 2004 года № 603-II года "О лицензировании"от 17 апреля 1995 г. , "О
средствах массовой информации", от 23 июля 1999 года от 5 июля 2004 года
"О связи".
Национальная безопасность является самым главным приоритетом в
дальнейшем развитии нашей страны.В связи с этим в значительной степени
возрастают приоритеты в вопросах угрозы безопасности информационным
ресурсам и телекоммуникационным средствам и системам.
Обеспечение задач безопасности является очень сложной и требует
больших технических и финансовых ресурсов.Поэтому, как следствие,
необходимо разработать принцип построения защищенной сети специального
назначения.
Сеть специального назначения должна строиться с использованием
современных телекоммуникационных технологий таких как: цифровых
систем передач и коммутации, согласно требованиям безопасности.
Инфокоммуникационная сеть должна обеспечивать:
 предоставление инфокоммуникационных услуг пользователям
вне зависимости от их месторасположения;
 требуемую защищенность информации;
 требуемую эффективность функционирования (устойчивость и
достоверность) системы при воздействии угроз.
Требуемые принципы заключается в организации методов защиты,
которые позволяют защитить передаваемый трафик (данные, речевая,
видеоинформация).
При построении сети специального назначения будут использоваться
арендованные каналы связи существующих сетей связи (например, АО
«Казахтелеком»).
В соответствии с предъявляемыми к сети специального назначения
требованиями по качеству предоставляемых услуг, защищенности и
эффективности функционирования и реализуемых направлениях атак (СТ РК
ГОСТ Р50739 - 2006) предложим следующие принципы построения
защищенной инфокоммуникационной сети.
Телекоммуникационные сети специального назначения могут быть
очень востребованными для нарушителей, которые могут иметь самые
различные цели. Цели для нарушителей могут быть следующие: проверить
свои силы (без корыстных целей и злых умыслов), нарушить работу
телекоммуникационной или информационной сети или системы.
Всех нарушителей сети специального назначения можно разделить на
две категории: внутренние и внешние.
17
Рисунок 1.3 - Защищенная инфокоммуникационная сеть специального
назначения и воздействующие на нее направления атак
Внутренние нарушители это лица, которые находятся в контролируемой
зоне и имеют доступ к телекоммуникационному оборудованию и
информационным ресурсам.
Инфокоммуникационная сеть является сетью специального назначения,
сотрудники и обслуживающий персонал имеют доступ к оборудованию.
Ремонтные бригады и проверочные комиссии в контролируемую зону
осуществляется только в сопровождении сотрудников. От внутренних
нарушителей
используются
средства
защиты
встроенные
в
телекоммуникационное оборудование сети специального назначения.
К таким средствам защиты относятся:
 идентификация и аутентификация;
 фильтрация по адресам;
 фильтрация по времени;
 фильтрация по используемым протоколам и портам.
Все
факты
несанкционированных
действий
должны
быть
зафиксированы и переданы соответствующим подразделениям для выяснения
всех подробностей произошедшего инцидента.
Защита от таких внутренних угроз как:
 разглашение защищаемой информации;
18
 обработка информации на незащищенных технических средствах;
 несанкционированный доступ, в т.ч. изменение и копирование;
 ошибки персонала при эксплуатации технических средств и систем
защиты, предполагает неумышленное нанесение ущерба организации, должна
осуществляться организационными, а не техническими мерами.
Внешними нарушителями считаются лица находящиеся вне
контролируемой зоны и не являющиеся пользователями или обслуживающим
персоналом инфокоммуникационной сети специального назначения. К данной
категории нарушителей относятся хакеры, конкуренты, разведподразделения
иностранных спецслужб. Эта категория нарушителей является наиболее
опасной, у них могут быть сведения о топологии сети, используемом
телекоммуникационном оборудовании, средствах обеспечения безопасности,
адресном пространстве, имеющихся информационных ресурсах. Все эти
сведения упрощают задачи нарушения конфиденциальности, целостности и
доступности информации, а также нормального функционирования
телекоммуникационной составляющей.
Внешние нарушители могут использовать различные методы
достижения своих целей:
 подслушивание и визуальное наблюдение;
 побочные электромагнитные излучения и наводки;
 атаки из арендуемых каналов связи;
 перехват и изменение циркулирующего в сети трафика и т.д.
От различного рода наблюдений, излучений и наводок защита
производится с помощью соответствующих мер противодействия: физическая
охрана, аттестация помещений, проверка оборудования на наличие
программно-аппаратных
закладок,
использование
различного
рода
«глушилок».
От всех внешних нарушителей, пытающихся установить соединение с
легитимным пользователем или получить доступ к информационным
ресурсам
сети
специального
назначения,
защита
производится
расположенным на границе с сетью общего доступа устройством защиты. Оно
выполняет функции межсетевого экрана, криптозащиты и туннелирования.
Все части распределенной инфокоммуникационной сети между собой
объединены криптотуннелями. Данный комплекс мер защиты предотвращает
возможность:
 анализа внутренней адресной структуры сети;
 нарушения конфиденциальности передаваемой информации;
 нарушения целостности передаваемой информации;
 анализа частоты взаимодействия различных пользователей и
использования ими служб и услуг инфокоммуникационной сети;
 проникновения «вирусов» из внешней сети общего доступа и т.д.
В связи тем, что дорогостоящие устройства защиты располагаются
только на границе с внешней сетью, удается избежать избыточной защиты
19
внутри одной контролируемой зоны и сэкономить значительные финансовые
средства. Криптографическими методами защищается только та информация,
которая выходит за пределы контролируемой зоны.
Предложенные выше принципы позволяют избежать излишних затрат
на обеспечение защиты между доверенными пользователями одной
контролируемой зоны и в то же время обеспечить конфиденциальность,
целостность и доступность информации при передаче между территориально
распределенными частями единой инфокоммуникационной сети специального
назначения.
2. Техническая реализация управления
специального назначения
безопасностью сетей
2.1 Принципы управления защищенности сети
Для эффективного решения функционирования задач защищенных
сетей
специального
назначения,
необходимо
учитывать
условие
необходимости присутствия автоматизированной системы управления.
Автоматизированная система управления предназначена для обеспечения
требуемого качества услуг связи, её эксплуатационных характеристик,
грамотного использования ресурса системы и фактора защиты информации.
Основные принципы состоят в управлении следующими элементами:
а) конфигурацией (планированием, формированием, установлением и
изменением соединений между элементами системы);
20
б) устранением неисправностей (обнаружением, локализацией,
регистрацией и устранением неисправностей;
в)
качеством
передачи
информации
(сбором,
обработкой,
регистрацией, хранением и отображением статистических данных о
функционировании сети;
г) защитой информации (обеспечением конфиденциальности и
целостности передаваемой информации);
д) использованием ресурса (сбором, обработкой, регистрацией,
хранением и отображением).
При построении инфокоммуникационной сети специального назначения
предположим, что будут использоваться арендованные каналы связи или
телекоммуникационные ресурсы существующих сетей связи (например, АО
«Казахтелеком»). Использование арендованных каналов связи с сетями
общего доступа выявляют новые угрозы и требования к системе обеспечения
информационной безопасности.
Рисунок 2.1 -Принцип построения сетей специального назначения
21
Так как один из элементов управления сети является фактор построение
защищенности сетипредставим схему реализации на примере представленной
на рисунке 2.1.
Предположим, что реализация схемы требует оборудования
компанииCisco:
Сеть имеет оборудование компании CiscoSystems:
 цифровая IP-АТСCisco BE6000;
 маршрутизатор Cisco 3845;
 коммутатор CiscoCatalyst 2960;
 IP-телефоны Cisco.
ЦифроваяIP-АТСCiscoBE6000предназначена для совместной работы
унифицированных видеокоммуникаций и в качестве контактного центра.
Данное решение позволяет размещать и обеспечивать функционирование
таких сервисов как:
 высокачественная голосовая связь;
 короткий набор номера, управление доступом к телефонной сети;
 использование мобильных устройств;
 HD-видеокоммуникации;
 сервисы мгновенного обмена текстовыми сообщениями (IM);
 сервисы дляконтроля доступности абонентов (Presence);
 полнофункциональный контактный центр (порядка 100 рабочих мест
операторов;
 унифицированной голосовой почты;
 простой системы управления и администрирования;
 встроенной системы статистики звонков и мониторинга.
Коммуникационный центр на базе решения Cisco типа Business Edition
6000 состоит из сервера Cisco типа Unified Computing System™ (UCS)
(стоечный сервер высокой плотности), который содержит следующие сервисы:
 Cisco Unified Presence (контроль доступности абонента и мгновенный
обмен сообщениями);
 Cisco Unified Contact Center Express (контактный центр для
обслуживания голосовых и видеообращений, и обращений из сети Интернет –
email, web-формы и так далее);
 Cisco Unified Provisioning Manager (автоматизация процесса
администрирования всех приложений системы пользователя).
Рисунок 2.2 – IP-АТС Cisco BE6000
22
Маршрутизатор серии Cisco 3845 имеет возможность подключения к
локальной сети через интерфейс типа Е1 через цифровую станцию АТС. Связь
осуществляется между маршрутизатором серии Cisco 3845 и шлюзом
оператора связи (рисунок 2.3).
Рисунок 2.3 – Маршрутизатор Cisco 3845
Маршрутизатор серии Cisco 3845 имеет несколько функций.
Первая функция это функционирование в виде шлюза между офисной
системой IP-телефонии и телефонной сетью.
Втора функция в виде коммуникационного сервера серии Cisco Call
Manager Express.
Третья функция, которую выполняет данный маршрутизатор серии
Cisco 3845 – это функция в виде сервера голосовой почты.
Решение Сatalyst 2960 – это семейство коммутаторов для организации
уровня доступа локальной сети.
Общие характеристики семейства Cisco Catalyst 2960:
 модель на 8, 24 или 48 портов типа 10/100 Ethernet + 2-4 порта типа
Gigabit Ethernet;
 порты POE (Power Over Ethernet) для питания IP-телефонов или точек
доступа;
 комбинированные
гигабитные
ап-линки
(медный
типа
10/100/1000BASE-T Ethernet или SFP-модуль для перехода в другую среду –
типа Cisco 1000BASE-SX, 1000BASE-LX, 1000BASE-BX, 1000BASE-ZX,
100BASE-FX, 100BASE-LX, 100BASE-BX, CWDM SFP);
 поддержка избыточного модуля питания серии Cisco Redundant
PowerSystem 2300.
Основные возможности таких коммутаторов:
 контроль уровня доступа и безопасность с помощью списков доступа
на базе локальных MAC или сетевых IP адресов;
 возможность регулирования скорости передачи на каждом порту с
шагом порядка 64 кбит;
 поддержка
качества
обслуживания
QoS (QualityofService),
динамическая раздача адресов DHCP;
 поддержка объединения портов типа;
23
 VLAN: возможность организации транкенковых соединений на
каждом порту с помощью тэгов 802.1q, до 255 VLAN на коммутатор, до 4000
VLAN ID.
Рисунок 2.4 – Коммутатор серии CiscoCatalyst 2960
2.2 Построение сети на базе технологий VPN.Настройки PPTPсервера
на DFL
В связи с отсуствием необходимого оборудования реализация данной
схемы была разработана
на оборудование D-Link в аудиторииБ-426
Алматинского университета энергетики и связи.
Схема представлена на рисунке 2.5.
24
Рисунок 2.5 - Схема организации связи
Протокол PPTP (Point-to-Point Tunneling Protocol) впервые была
разработана компанией Microsoft совместно с компаниями ECI-Telematics и
US Robotics. Данный протокол представлен в рабочую группу "PPP
Extentions" IETF в качестве претендента на стандартный протокол создания
защищенного канала при доступе удаленных пользователей через публичные
сети к корпоративным сетям. Данный протокол получил статус проекта
стандарта Internet, однако, в качестве стандарта так и не был утвержден. В
данное время рабочая группа IETF не исключает возможность принятия в
качестве стандарта протокол L2TP (Layer 2 Tunneling Protocol), который
объединит сильные стороны протокола PPTP с протоколом аналогичного
назначения L2F (Layer 2 Forwarding), который имеется у компаний Cisco.
PPTP позволяет создавать защищенные каналы для обмена данными по
разным сетевым протоколам — IPX,NetBEUI или IP. Данные имеющихся
протоколов инкапсулируются с протоколами PPTP в пакеты протокола IP, с
помощью которого переносятся в зашифрованном виде через любую сеть
TCP/IP. Инкапсулируется исходный кадр РРР, поэтому протокол PPTP можно
отнести к классу протоколов инкапсуляции канального уровня в сетевой.
Многопротокольность – главноеотличие инкапсулирующих протоколов
канального уровня, к таковым относится протокол PPTP. Протокол SSL,
ориентируется на один протокол сетевого уровня ,протокол IP. Для
безопасности данных на канальном уровне делает средства защиты
прозрачными как для протоколов прикладного уровня, так и для протоколов
сетевогоуровня.
Есть также и возможности встраивания средств создания защищенного
25
канала на сетевом уровне. Существует несколько протоколов этого типа,
применяющих шифрацию и инкапсуляцию протокола. Для безопасности
данных в IP-сетях была построена защищенная версия протокола IP, которую
в основном называют IPSec, данная версия имеет на сетевом уровне
аутентификацию, имеет возможность выполнять шифрацию пользовательских
данных. IPSec протоколявляется набором стандартов, часть из которых
изложена в виде проектов, а часть находится в стадии разработки. IPSec не
имеет возможности определять, какие методы шифрации должны быть для
аутентификации и создания защищенного канала, использует для
аутентификации и алгоритм шифрования DES протокола IPSec является, что
он работает только в IP-сетях и не имеет способа защищенной
транспортировки пакетов других протоколов. Это устраняют такие
протоколы, как PPTP или L2F.
Сетевые протоколы работают по принципу обмена порциями данных,
которые называются пакетами. Пакет состоит из управляющей информации,
специфичной для протокола, которые должны быть отправлены; их называют
полезной нагрузкой. Пока обмен данными происходит достаточно быстро и
без ошибок, не имеет значение, какую управляющую информацию добавляет
протокол для своих целей. Но она очень важна и должна быть неизменной,
вне зависимости от
среды соединения. Весь пакет IPX, включая его
управляющую информацию, становится полезной нагрузкой для пакета
TCP/IP, который затем можно передавать по Internet. Программные средства
на другом конце линии связи извлекают пакет IPX и направляют его для
нормальной обработки в соответствии с его собственным протоколом.
Данный процесс называется туннелированием, потому, что создается коридор
в Internet, соединяющий два узла.
Рассмотрим пример защищенного PPTP туннелирования на примере
двух удаленных организации в разных городах.
Рисунок 2.6– Просмотр свойств локальной сети
26
TCP/IP - это два основных сетевых пpотокола Internet. Часто это
название используют и для обозначения сетей, pаботающих на их основе.
Пpотокол IP (Internet Protocol - IP v4) обеспечивает маpшpутизацию (доставку
по адpесу) сетевых пакетов. Пpотокол TCP (Transfer Control Protocol)
обеспечивает установление надежного соединения между двумя машинами и
собственно пеpедачу данных, контpолиpуя оптимальный pазмеp пакета
пеpедаваемых данных и осуществляя пеpепосылку в случае сбоя.
Рисунок 2.7– Просмотр IP адреса компьютера
IP-адреса представляют собой основной тип адресов, на основании
которых сетевой уровень протокола IP передаёт пакеты между сетями. IPадрес назначается администратором во время конфигурирования компьютеров
и маршрутизаторов.
27
Рисунок 2.8– Проверка IP адреса DFL
IP-адрес представляет собой 32-битовое (по версии IPv4) или 128битовое (по версии IPv6) двоичное число. Удобной формой записи IP-адреса
(IPv4) является запись в виде четырёх десятичных чисел (от 0 до 255),
разделённых точками, например, 192.168.0.1. (или 128.10.2.30 —
традиционная десятичная форма представления адреса, а 10000000 00001010
00000010 00011110 — двоичная форма представления этого же адреса).
Рисунок 2.9– Вход с помощью веб-браузера в DFL
Вход осуществляется с помощью веб-браузера ,далеес помошью
настроек открывется аутентификация.
28
Рисунок 2.10– Аутентификация в DFL
Аутентификация – это процедура проверка подлинности пользователя
перед предоставлением ему доступа к корпоративным ресурсам или сервисам.
В “классическом” случае пользователь предъявляет пароль, соответствующий
его учетной записи.
Рисунок 2.11– Просмотр статуса системы DFL
Просмотр статуса системы является обязательной частью ее
настройки ,в статусе системы можно проверить в данный момент в каком
29
состояний ходится сама система ,последние изменения в системе и ее
характеристики.
Рисунок 2.12– Настройка IPPOOLSTFTP туннеля
Для настройки нужно кликнуть по Add и выберать IP address из
выпадающего меню.
Рисунок 2.13– ВыдачаIPадресов TFTP туннеля
Здесь мы указываем диапазон IP-адресов компьютеров, которые
находятся в той же подсети, но не входят в диапазон динамического
распределения IP-адресов.
30
Рисунок 2.14– Создание локальной базы данныхTFTPклиентов
На этом скриншоте мы настраиваем пользователей, которые будут
иметь доступ к нашему устройству.Для создания локальной базы данных
нужно кликнуть по знаку добавить рядом с папкой UserAuthentication и
выбрать LocalUserDatabases,кликнуть по Add и выбрать из выпадающего
меню LocalUserDatabase.
Рисунок 2.15– Создание параметров удаленного пользователя
Для создания параметров удаленного пользователя нужно ввести
выбранное имя remoteusers и кликнуть по OK.
31
Рисунок 2.16– Добавление для TFTP туннеля
Для добавление пользователя кликнуть по Add и выбрать User из
выпадающего меню.
Настройть user можно следующим образом:
 name: test
 password: 1234
 confirm password: 1234 и кликнуть по OK.
Рисунок 2.17– Назначение для TFTPклиентов имени и паспорта
32
Для назначения клиентов имени и паспорта нужно кликнуть по знаку
добавить рядом с папкой Interfaces и выбрать PPTP/L2TP Servers, далее
кликнуть по Add и выбрать PPTP/L2TP Servers.
Рисунок 2.18– Конфигурирование PPTP туннель сервера
Здесь мы создаем новый PPTP/L2TPсервер.Для этого нужно
настроить PPTP Server следующим образом:
 Name: pptp_server
 Inner IP address: lan_ip
 TunnelProtocol: PPTP
 OuterInterfaceFilter: wan1
 Server IP: wan1_ip
Если же WAN настроена для DSL или DHCP, нужно установить «any» в
поле
OuterInterfaceFilter
и
«ip_wan1»
в
поле
Server
IP.
Если же сеть WAN настроена как Static,требуется установить «wan» в поле
OuterInterfaceFilter и «wan1_ip» - в поле Server IP.
33
Рисунок 2.19– Назначение параметров TFTPсервера
Указываем общие настройки:
 имя нашего сервера
 внутренний IP-адрес
 протокол туннелирования, в нашем случае PPTP
 фильтр интерфейсов
 IP-адрес сервера
Для этого нужно кликнуть по вкладке PPP Parameters, а затем по IP Pool
и выбрать pptp_ippool из выпадающего меню.
Рисунок 2.20– Выбор параметров шифрование PPTPсервера
34
Здесь мы выбираем использование правил аутентификации
пользователя, силу шифрования трафика и DNSнастройки для контроля
пользователей. Для этого нужно кликнуть по вкладке Add Route, а затем
поставить галочку в поле Always select ALL interfaces, including new ones,и
кликнуть по OK.
Рисунок 2.21– Добавление маршрута
Для добавление маршрута нужно кликнуть по User Authentication
Rules и выбрать Add,далее кликнув по UserAuthRule.
Рисунок 2.22– Создание правила аутентификация пользователя
35
Для созданий правил аутентификации пользователя мы должны
настроить UserAuthRule следующим образом:
 name: pptp_rule
 agent: PPP
 authenticationSource: local
 interface: pptp_server
 originator IP: all-nets
 terminator IP: wan1_ip
Если же WAN настроен для DSL или DHCP, требуется установить
«ip_wan» в поле Terminator IP. Если же WAN настроен как Static,нужно
установить «wan_ip» в поле Terminator IP.
Рисунок 2.23– Выбор правил параметров пользователей
Для
выбора
параметров
пользователей
нужно
зайти
во
вкладку Authentication Options и выбрать remoteusers из выпадающего
меню LocalUser DB,далее кликнув по OK.
36
Рисунок 2.24– Создание папки правил
Правила IPадресов состоят из двух частей: фильтрующие параметры и
действия которые будут выполняться при соответствии.
Доступные действия:
 разрешить
 FwdFast
 NAT
 SAT
 Drop
 Reject
Также надо будет указать дополнительные параметры:
 интерфейс источника
 сеть источника
 пункт назначения интерфейса
 пункт назначения сети
 служба.
37
Рисунок 2.25– Создание папки правил
Далее для создание папки правил нужно кликнуть по Add и выбрать IP
Rule из выпадающего меню.
Рисунок 2.26– Просмотр правил
Для просмотра правил нужно настроить настройки IP Rule следующим
образом:
 Name: fromPPtPclients
 Action: Allow
 Service: all_services
38
 Schedule: None
 Sourceinterface: pptp_server
 Sourcenetwork: pptp_ippool
 Destinationinterface: lan
 Destinationnetwork: lannet
и кликнуть по OK.
Рисунок 2.27– Выбор параметров локальной базы
Чтобы добавить пользователя к PPTPклиентам, необходимо найти
вкладку PPTP clients и добавить пользователя. Далее необходимо будет
заполнить поля:
Поля:
Name: имя соединения.
Username: имя пользователя на удаленном сервере.
Password:,Retype password: пароль на удаленном сервере.
Interface IP: IP– адрес для присвоения туннельному интерфейсу. Если
поле пустое - адрес присваивается сервером.
Remotegateway: Адрес сервера.
Remotenet: адрес удаленной подсети, находящейся за PPTP сервером.
Proxy ARP – позволяет опубликовать хосты удаленной сети с помощью
механизма Proxy ARP.
Use primary DNS server from tunnel as primary DNS – использовать
первичный ДНС удаленной сети.
Use secondary DNS server from tunnel as secondary DNS -- использовать
вторичный ДНС удаленной сети.
39
Dialondemand – установка PPTP соединения по требованию, т.е. при
запросе из локальной сети в сеть, находящуюся за PPTP сервером, или при
запросе к самому PPTP серверу.
Idletimeout: – таймаут соединения – время, в течение которого при
отсутствии активности туннель не отсоединяется.
Count sending as activity – считать активностью посыл трафика в
туннель
Countrece iving as activity – считать активностью прием трафика из
туннеля
Count both as activity – считать активностью оба направления
Authentication: – аутентификация туннеля.
Protocol: – разрешенные для использования протоколы аутентификации
Noauth – нет аутентификации
PAP – разрешить использование протокола PAP
CHAP – разрешить использование протокола CHAP
MSCHAP (MPPE encryption possible) – разрешить использование
протокола MSCHAP (возможно шифрование трафика)
MSCHAPv2 (MPPE encryptionpossible) – разрешить использование
протокола MSCHAPv2 (возможно шифрование трафика)
MPPE encryption: – разрешенные режимы шифрования MPPE
None – разрешить подключение без шифрования
40 bit – разрешить 40битное шифрование
56 bit – разрешить 56битное шифрование
128 bit – разрешить 128битное шифрование
UseIPsecencryption – использование шифрования IPSec.
 PSK – Pre-SharedKey – шифрование с общим ключом (паролем)
 Key, Retypekey– общий ключ (пароль) для соединения
 Certificatebased– шифрование с использованием X.509 сертификата
 LocalIdentity: – CN для использования
 Certificates: список сертификатов
 IdentityList: Список CN для использования.
После нажатия кнопки Apply туннель появляется в списке, и сразу
устанавливается после активации настроек, если не указано установление
соединения по требованию.
Если указано устанавливать туннель по требованию - выставлена
галочка DialOnDemand, то туннель будет установлен при первом обращении
клиента из сети LAN к удаленной сети, находящейся за указанным в
настройках PPTP сервером.
40
Рисунок 2.28– Настройка VPNна удаленном пользователе
Для удаленных пользователей можно настроить на сервере удаленный
доступ к ресурсам частной сети через подключение удаленного доступа или
подключение к виртуальным частным сетям. Такой тип сервера называется
сервер удаленного доступа или VPN-сервер. Сервер удаленного доступа или
VPN-сервер предоставляет возможность преобразования сетевых адресов. Для
компьютеров частной сети можно открыть доступ в Интернет через
совместное подключение к Интернету. С помощью виртуальной частной сети
клиенты VPN могут определять IP-адреса компьютеров в частной сети, но не в
Интернете.
41
Рисунок 2.29– Настройка правил отPPTP к локальной сети
Для настройки правил от PPTPк локальной сети нужно кликнуть
по Add и выбрать IP Rule,далее нужно настроить IP Rule следующим образом:
 name: toPPtPclients
 action: Allow
 service: all_services
 schedule: None
 source interface: lan
 source network: lannet
 destination interface: pptp_server
 destination network: pptp_ippool
42
Рисунок 2.30– Просмотр правил
Если применено управление правилом по времени, то вне времени,
указанном в schedule, пакеты под правило не попадают. Если требуется
аутентификация, а клиент не аутентифицирован, то пакет под правило не
подпадает и так далее.В случаи если пакет не удовлетворяет правилу, то его
сравнивают по параметрам с условиями правила, расположенного в
следующей строке. И так далее, если правил для сравнения больше нет
(проверили последнее), то пакет отбрасывается.
Рисунок 2.31– Настройка IPправил от PPTPклиента к локальной сети
43
Все настраиваемые сущности (IP-адреса, интерфейсы, правила
фильтрования и маршрутизации и т.п.) межсетевого экрана называются
объектами. Каждый объект принадлежит
определенному типу (IP4
Address, Ethernet, IPsec Tunnel, IPRule, RoutingRule и т.п.). Несколько типов
могут быть сгруппированы в категорию (Address, Interface, Settings и т.п.).
Рисунок 2.32– Настройка IPправил от PPTPклиента к локальной сети
Все настройки IP правил выполнены успешно,данные внесены и
сохранены.
Рисунок 2.33– Сохранение настройек
44
Рисунок 2.34– Подключение к сети на другом компьютере
Далее происходит подключение к сети на другом компьютере для этого
нужно
кликнуть
правой
кнопкой
мыши
по MyNetworkPlaces и
выберать Properties.Выбрать CreateNewConnection с левой стороны экрана.
Появитсяокно мастер новых подключений и кликнуть Далее.
45
Рисунок 2.35– Подключение к сети на рабочем месте для удаленного доступа
Далее выбираем подключение к сети на рабочем столе,для удаленного
доступа к сети.
Рисунок 2.36– Подключение к виртуальной частной сети
46
Виртуальная частная сеть (VPN) представляет собой подключение типа
«точка-точка» в частной или общедоступной сети, например в Интернете.
VPN-клиенты
используют
специальные
TCP/IP-протоколы,
называемые туннельными протоколами, обеспечивающие установление
защищенного канала обмена данными между двумя компьютерами. С точки
зрения взаимодействующих компьютеров между ними организуется
выделенный канал типа «точка-точка», хотя в действительности
соответствующие данные передаются через Интернет, как и любые другие
пакеты. При обычной реализации VPN клиент инициирует виртуальное
подключение типа «точка-точка» к серверу удаленного доступа через
Интернет. Сервер удаленного доступа отвечает на вызов, выполняет проверку
подлинности вызывающей стороны и передает данные между VPN-клиентом
и частной сетью организации.
Рисунок 2.37– Адрес VPN-сервера
Подключаемся к сети посредством ввода IPадреса,и завершаем
подключение к виртуальной сети.
47
Рисунок 2.38 – Завершение подключения
Подключение завершено далее можно создать ярлык на рабочем
столе.
Рисунок 2.39– Подключение к виртуальной сети
48
Далее подключаемся к виртуальной сети посредством ввода
IPадреса
Рисунок 2.40– Настройка сети
Далее производим настройку сети и завершаем подключение
Рисунок 2.41– Просмотр заданного IPтуннеля
49
2.3Реализация PPTP в Router OS Mikrotik
Рассмотрим пример создания шифрованного PPTP туннеля между двумя
территориально удалёнными офисами, которые используют Router OS
Mikrotik в качестве маршрутизаторов.
Рис.2.42– Пример создания PPTP туннеля
Mikrotik 1 и Mikrotik 2 расположены разных сетях и являются
граничными маршрутизаторами. Схема предусматривает, что они имеют
внешние IP-адреса или имеют любой другой способ подключения друг к
другу. Сеть 192.168.5.0, адреса 192.168.5.1 и 192.168.5.2 являются
виртуальными, т.е. созданными в результате поднятия туннеля между
маршрутизаторами.
Создание PPTP туннеля двух удаленных офисов
Протокол PPTP обычно используется в следующих случаях:
 создание безопасных туннелей между маршрутизаторами через
Интернет;
 объединение локальных сетей поверх открытых;
 создание корпоративных сетей связи с возможностью доступа в
локальную сеть предприятия с удалённых компьютеров или мобильных
устройств;
Реализация PPTP в Mikrotik позволяет выбрать следующие способы
авторизации:
50




mschap2;
mschap1;
chap;
pap.
Стоит отметить, что на практике чаще всего используется mschap2,
который более безопасен чем существующие аналоги.
Также у некоторых устройств Mikrotik, есть веб-интерфейс, с которого
тоже можно настроить PPTPVPN:
Рис.2.43– Интерфейс настройки PPTPVPN
Алгоритм действий:
На одном из маршрутизаторов необходимо включить PPTP Server
/interface pptp-server server set enabled=yes
Сейчас создадим на этом сервере профиль для нового подключения и
новый аккаунт:
/ppp profile add name=filial only-one=yes
use-compression=yes use-encryption=yes
use-vj-compression=yes
/ppp secret add name=newuser
password=newpassword local- address=
192.168.5.1 profile=filial remote-address=
192.168.5.2 service=pptp
Для
правильной
идентификации
подключившегося
клиента
целесообразно создать для него "собственный PPTP сервер":
/interface pptp-server add name=filial user=newuser
Сейчас на втором маршрутизаторе добавляем новый интерфейс для
подключения к нашему второму маршрутизатору:
51
/interface pptp-client add name=
filial_connection connect-to=
192.168.1.1 user=newuser password=
newpasswordallow=mschap2 disabled=no
Далее, если вам необходим обычный туннель или вы хотите
самостоятельно прописать нужные маршруты, в вашем распоряжении весь
необходимый инструментарий. В самом минимальном случае вам необходимо
прописать на клиентах в обоих сетях шлюзом по умолчанию внутренние
интерфейсы маршрутизаторов, а на самих маршрутизаторах указать на каких
интерфейсах находятся нужные сети.
К примеру, на первом маршрутизаторе выполним:
/ip route add dst-address=
192.168.20.0/24 gateway=192.168.5.1
pref-src=192.168.5.2
Анавтором:
/ip route add dst-address=192.168.10.0/24
gateway=192.168.5.2 pref-src=192.168.5.1
В результате мы получим возможность получить доступ из одной сети в
другую, пользуясь маршрутизацией пакетов L3.
Создание L2TP туннеля
Обычно L2TP используется в следующих случаях:
 создание защищённых туннелей между маршрутизаторами через
открытые сети;
 объединение локальных сетей поверх открытых;
 создание гибких схем аутентификации;
 доступ в корпоративную сеть с удалённых компьютеров.
Как и в случае с PPTP, L2TP подразумевает использование клиентсерверной схемы.
Рассмотрим пример использования протокола L2TP на практике.
Алгоритм действий:
На одном из маршрутизаторов необходимо включить L2TP Server:
/interface l2tp-server server set enabled=yes
Сейчас создадим на этом сервере профиль для нового подключения и
новый аккаунт:
/ppp profile add name=filial only-one=
yes use-compression=yes use-encryption=
yes use-vj-compression=yes
/ppp secret add name=newuser
password=newpassword local-address=
192.168.5.1 remote-address=192.168.5.2 service=
l2tpprofile=filial
Для
правильной
идентификации
подключившегося
клиента
целесообразно создать для него "собственный PPTP сервер":
52
/interface l2tp-server add name=filial user=newuser
Сейчас на втором маршрутизаторе добавляем новый интерфейс для
подключения к нашему второму маршрутизатору:
/interface l2tp-client add name=
filial_connection connect-to=192.168.1.1 user=
newuser password=newpassword allow=
mschap2 disabled=no
Создание туннеля через IPsec
Набор протоколов IPSec был разработан специально для сокрытия
информации, передаваемой чрез открытые сети. Принципы их реализации
значительно повлияли на подход к созданию IPv6 и развитие систем передачи
данных промышленных стандартов.
Все протоколы IPSec делятся на два типа:
 протоколы шифрования и формирования шифрованного потока;
 протоколы обмена ключами.
К
протоколам
первого
типа
относятся
ESP
(EncapsulatingSecurityPayloadинкапсуляция зашифрованных данных) и АН
(AuthenticationHeader– аутентифицирующий заголовок). Стоит отметить, что
AH не подразумевает обеспечения конфиденциальности передаваемых
данных и отвечает только за проверку их целостности.
К протоколам второго типа относится только один существующий на
данный момент – IKE (InternetKeyExchange). Данный протокол обычно
используется в двух случаях:
 передаваемый трафик попал под какое -либо правило, по
которому он должен быть зашифрован и у клиента нет данных для его
шифрования (SecurityAssociationsSA). В этом случае он отправляет запрос на
получение ключа своему оппоненту;
 клиент получил запрос на получение ключа и должен ответить
вызывающей стороне.
Протоколы IPSec, отвечающие за передачу зашифрованных данных,
могут работать в двух режимах: транспортном (создание зашифрованного
туннеля между маршрутизаторами) и туннельном (создание подключения
между сетями и построение виртуальных частных сетей).
Транспортный режим подразумевает шифрование только блока
транспортных данных IP пакета.
Туннельный режим обязывает шифровать пакет полностью и
инкапсулировать его в другой UDP пакет, чем обеспечивается его
беспроблемная маршрутизация. Также не никак не влияет на маршрутизацию
шифрование только поля данных IP-пакетов.
В ситуации когда IPSec пакеты сгенерированы с использованием AH
(AuthentificationHeader) не достаточно применения технологии NAT.
Структура IP пакета, подверженного обработке IPSec протоколом меняется,
что делает невозможным его правильное распознавание. Для устранения этой
53
проблемы прибегают к технологии NAT-Traversal, которая инкапсулирует
IPSec трафик в UDP пакеты и передаёт их по сети в виде привычного
маршрутизируемого сетевого трафика. На принимающей стороне от пакета
отбрасывается UDP заголовок и концевик и на стек протокола IPSec
поступают полученные данные.
RouterOSMikrotik имеет следующие средства для работы с IPSec:
создание политик для шифрования правил, автоматическую генерацию
ключей, ручное создание правил для шифрования трафика, работу как в
транспортном режиме, так и в режиме туннелирования, средства мониторинга.
Кроме того, в файерволе системы предусмотрен механизм NAT-T, о котором
было рассказано выше.
Для создания простейшего транспортного IPSec подключения между
двумя маршрутизаторами нужно:
На первом маршрутизаторе выполнить:
/ipipsecpolicyaddsa-src-address=
192.168.1.1 sa-dst-address=192.168.1.2 action
=encrypt
/ipipsec peer add address=192.168.1.2/24 secret
="abylaystudent" generate-policy=yes
На второммаршрутизаторевыполнить:
/ipipsec policy add sa-src-address=192.168.1.2
sa-dst-address=192.168.1.1 action=encrypt
/ipipsec peer add address=192.168.1.1 secret=
"abylaystudent "
Также на обоих маршрутизаторах необходимо разрешить используемые
протоколами IPSec порты:
/ip firewall filter add chain=input protocol=
udpdst-port=500 action=accept comment=
"Allow IKE" disabled=no
/ip firewall filter add chain=input protocol=
ipsec-esp action=accept comment=
"Allow IPSec-esp" disabled=no
/ip firewall filter add chain=
input protocol=ipsec-ah action=
accept comment="Allow IPSec-ah" disabled=no
Если у вас не возникло никаких трудностей с выше описанным,
откройте статистику и посмотрите шифруются ли пакеты
ipipsec> counters print
out-accept: 7
out-accept-isakmp: 0
out-drop: 0
out-encrypt: 8
in-accept: 16
in-accept-isakmp: 0
54
in-drop: 0
in-decrypted: 7
in-drop-encrypted-expected: 0
В случае использования IPSec в туннельном режиме для объединения
сетей с адресами 192.168.10.0/24 и 192.168.20.0/24 правила будут выглядеть
следующим образом.
/ip firewall nat add chain=
srcnatsrc-address=
192.168.10.0/24 dst-address=
192.168.20.0/24 out-interface=
public action=masquerade
/ipipsec policy add src-address=
192.168.10.0/24 dst-address=192.168.20.0/24
action=encrypt tunnel=yes sa-src-address
=192.168.1.1 sa-dst-address=192.168.1.2
/ipipsec peer add address=192.168.1.2
exchange-mode=aggressive secret="abylaystudent "
и
/ip firewall nat add chain=
srcnatsrc-address=192.168.20.0/24 dst-address
=192.168.10.0/24 out-interface=
public action=masquerade
/ipipsec policy add src-address=
192.168.20.0/24 dst-address=192.168.10.0/24
action=encrypt tunnel=yes sa-src-address=
192.168.1.2 sa-dst-address=192.168.1.1
/ipipsec peer add address=192.168.1.1
exchange-mode=aggressive secret="abylaystudent "
В результате маршрутизаторы 192.168.1.1 и 192.168.1.2 будут
обмениваться ключами и создадут безопасный шифрованный туннель между
сетями 192.168.20.0 и 192.168.10.0.
Существует также программное обеспечение, которое позволяют
создавать и управлять VPN сетями поверх интернета. Рассмотрим наиболее
популярные:
LogMeInHamachi
Hamachi – программное обеспечение, используемое для построения
VPN. Hamachi позволяет создать собственную защищённую сеть из
компьютеров, соединённых через интернет, как будто они соединены одной
физической локальной сетью.
Hamachi позволяет создать локальную сеть (LAN) поверх Интернета.
Чаще всего Hamachi– сети используются для соединения серверов с серым IP
и клиентских компьютеров. Данный метод в большой степени делает
сложным дешифрацию клиентского трафика.
55
Все приложения, работающее посредством локальной сети, имеют
возможность работать через сети Hamachi, при этом передаваемые данные
будут защищены, и обмен будет осуществляется в стиле peer– to– peer.
Hamachi – система организации виртуальных защищённых сетей на
основе протокола UDP. В данной сети узлы для установки соединения между
собой используют третий узел, с помощью которогоможно лишь обнаружить
друг друга, а передача информации производится непосредственно между
узлами. При этом взаимодействующие узлы могут находиться за NAT или
фаерволом.
KerioControl
KerioControl (ранее назывался KerioWinRouteFirewall и WinRoutePro) –
это программный межсетевой экран, разработанный компаниями
KerioTechnologies и TinySoftware. Главными функциями программы являются:
организация безопасного пользовательского доступа в Интернет, надежная
сетевая защита ЛВС, экономия трафика и рабочего времени сотрудников за
счёт ограничения нецелевого доступа к разным категориям веб– контента.
3Средства анализа и оптимизации локальных сетей
3.1 Принципы мониторинга сети
Одним из обязательных условий безопасности сети является
мониторинг сети, который позволяет постоянно отслеживать входящий
трафик.
Средства для мониторинга сети и обнаружения можно разделить на два
основных класса:
 стратегические;
 тактические.
Функции стратегических средств состоит в контроле за широким
спектром параметров всей сети и решении проблем конфигурирования.
Назначение тактических средств – мониторинг и устранение
неисправностей сетевых устройств.
К стратегическим средствам относятся:
 системы управления сетью
 встроенные системы диагностики
 распределённые системы мониторинга
 средства диагностики операционных систем, функционирующих
на больших машинах и серверах.
Системы мониторинга представляют собой специальные устройства,
устанавливаемые на сегменты сети и предназначенные для получения
комплексной информации о трафике, а также нарушениях в работе сети.
Эти устройства в основном используются в много сегментных сетях.
Тестирующие
устройства
помогают
администратору
обнаружить
56
неисправности сетевого кабеля и разъёмов, а анализаторы протоколов –
получать информацию об обмене данными в сети. Кроме того, специальные
программные продукты позволяют получать подробные отчёты о состоянии
работы сети.
В нашем случае мы произведем изучение возможностей программы
Wireshark по анализу системы передачи информации. Техническое
обеспечение: ноутбуки. Программное обеспечение: программа Wireshark.
Wireshark – сетевой анализатор пакетов. Его разработка осуществляется под
лицензией GNU General Public Licenseversion 2.
Wireshark используется преимущественно:
 сетевыми администраторами для разрешения проблем в работе сети;
 специалистами безопасности для исследования проблем по
безопасности работы сети;
 разработчиками для исправления ошибок в работе протоколов;
 обучающихся, приизучении сетевых интерфейсов.
Среди особых достоинств — поддержка значительного числа
физических интерфейсов, через которые осуществляется передача данных
(ATM, Bluetooth, CiscoHDLClinks, DOCSIS, Ethernet, FrameRelay, IrDA, PPP
links, SS7, TokenRing, USB, WLAN), а также виртуальных интерфейсов
(Loopback, Pipes, VLAN, WinPcapRemote).
Другим достоинством является поддержка и «умение» распознавать
содержимое служебных полей значительного числа сетевых протоколов.
Также значительным при использовании анализатора является возможность
его работы изпод различных операционных систем, как Windows, MacOS, так
и семейства ОС Linux. Представление захватываемых пакетов осуществляется
либо в соответствии с моделью контрольных точек (ISO/OSI), либо моделью
на основе протоколов (TCP/IP). Стек протоколов TCP/IP включает в себя
протоколы четырёх уровней:
 прикладного (application) – предоставляет данные пользователю, а
также управление кодированием и диалогом. К этому уровню относятся
протоколы: DHCP, HTTP, FTP, IMAP, IMAPS, IRC, POP3, POPS, SNMP, SSH,
Telnet и др.;
 транспортного (transport) – обеспечивает поддержку взаимодействия
разнообразных устройств разнообразных сетей связи. Протоколы: TCP, UDP,
SCTP, DCCP и др.;
 сетевого (internet) – определяет наилучший путь передачи данных
через сеть. Протоколы: IP, X.25, IPC, условно ICMP и IGMP и др.;
 доступа к среде (networkaccess) – контролирует оборудование и
каналы связи, осуществляющие передачу данных.
Протоколы: Ethernet, IEEE 802.11 WirelessEthernet, SLIP, TokenRing,
ATM, MPLSидр.В модели OSI взаимодействие делится на семь уровней или
слоев. Каждый уровень имеет дело с одним определенным аспектом
взаимодействия. Таким образом, проблема взаимодействия декомпозирована
57
на 7 частных проблем, каждая из которых может быть решена независимо от
других. Каждый уровень поддерживает интерфейсы с выше- и нижележащими
уровнями:
 физический уровень (physicallayer) имеет дело с передачей битов по
физическим каналам связи, таким, например, как коаксиальный кабель, витая
пара, оптоволоконный кабель или цифровой территориальный канал;
 канальный уровень (datalinkcontrol) решает ряд задач: проверка
доступности среды передачи, обнаружение и коррекция ошибок;
 сетевой уровень (networklayer) служит для образования единой
транспортной системы, объединяющей несколько сетей, причем эти сети
могут использовать совершенно различные принципы передачи сообщений
между конечными узлами и обладать произвольной структурой связей;
 транспортный уровень (transportlayer) обеспечивает приложениям
или верхним уровням стека - прикладному и сеансовому - передачу данных с
той степенью надежности, которая им требуется;
 сеансовый уровень (sessionlayer) обеспечивает управление
диалогом;
 фиксирует, какая из сторон является активной в настоящий момент,
предоставляет средства синхронизации;
 представительный уровень (presentationlayer) имеет дело с формой
представления передаваемой по сети информации, не меняя при этом ее
содержания,за счет уровня представления информация, передаваемая
прикладным уровнем одной системы, всегда понятна прикладному уровню
другой системы;
 прикладной уровень (applicationlayer) - это в действительности
простонабор разнообразных протоколов, с помощью которых пользователи
сети получают доступ к разделяемым ресурсам, таким как файлы, принтеры
или гипертекстовые Web-страницы, а также организуют свою совместную
работу, например с помощью протокола электронной почты.
3.1.1 Освоение графического интерфейса. При загрузке программы
открывается основное окно.
58
Рисунок 3.1– Графический интерфейс программы Wireshark
В разделе Capture\InterfaceList имеется возможность выбрать
физический интерфейс (сетевой адаптер). В разделе Files\Open
осуществляется выбор ранее сохраненных в файл пакетов для анализа. При
выборе интерфейса в разделе Capture автоматически начинает происходить
захват пакетов и появляется окно наблюдения (смотреть рисунок 2.2).
Окно наблюдения. В данном окне отображается информация о
захватываемых пакетах. С помощью меню Statistics возможно отображение
статистических данных о результатах наблюдения.
59
Рисунок 3.2– Окно наблюдения
По
данным
характеристикам
можно
определить
основные
характеристики, такие как IPадрес, уровень по которому работает данный
трафик и его принадлежность.
Панель инструментов содержит команды быстрого доступа к различным
возможностям программы.
Рисунок 3.3 – Панель инструментов
Панель фильтров позволяет осуществить настройку отображения
захваченных пакетов в соответствии с указанными параметрами. При нажатии
Filter появляется окно с возможностью выбора предустановленных в
программе фильтров и их применения (Apply).
Например, при выборе фильтра «IP only» будут отображаться только
пакеты, имеющие ip адрес источника и назначения. Кнопка Expression
60
позволяет строить сложные условия фильтрования пакетов. Clear убирает
условия фильтрации.
Панель списка пакетов отображает захваченные пакеты, предоставляя
дополнительную информацию в соответствующих столбцах: No – номер
пакета, Time – время захвата пакета с начала процедуры захвата, Source –
адрес источника пакета, Destination – адрес назначения пакета, Protocol – имя
протокола, которому принадлежит пакет, Info - дополнительная информация о
содержимом пакета.
Панель содержания пакета детально отображает содержимое пакета
выделенного в панели списка пакетов. Отображаемая служебная информация
представляется в виде иерархических уровней в соответствии с моделями
TCP\IP или ISO\OSI.
Панель байтов пакета представляет содержимое пакета в шестнадцатеричной или двоичной форме. Справа от представления содержимое
представляется в виде соответствующих ASCII символов.
Панель состояния отображает, в каком файле находятся захваченные
пакеты, представленные в панели списка пакетов.
3.2.2 Захват пакетов, их статистический анализ. Нам необходимо
осуществить захват пакетов в течение 30 секунд, выбрав имеющийся
проводной интерфейс.
После остановки захвата пакетов поочередно выбрать из меню Statistics
пункты:
а) Summary – занести в отчет общее число захваченных пакетов
(PacketsCaptured), среднюю скорость передачи пакетов (Avg. packet/sec),
средний размер пакета (Avg. packetsize), объем переданных данных (Bytes),
среднюю скорость передачи (Avg. bytes/sec и Avg. Mbit/sec).
По нашей статистике можно сделать вывод, что общее число
захваченных пакетов составляет 74, средняя скорость 4.088 сек, средний
размер пакета 206 байт, объём передачи данных составляет 15219 байт и
средняя скорость передачи составляет 840,646 байт/сек.
61
Рисунок 3.4– Статистический анализ захваченных пакетов
62
Рисунок 3.5– Статистический анализ захваченных пакетов
Рисунок 3.6 – Диаграмма загруженности канала
б) ProtocolHierarchy – определяет протоколы, обнаруженные в сети, и
число пакетов, принадлежащих данным протоколам.
Рисунок 3.7 – Диалоги передачи данных
в) Conversations – выбираем вкладку IPv4, рассматриваемдиалоги
передачи данных (столбец Bytes). Просматриваем вкладки других протоколов
(Ethernet, UDP, IPv6).
63
Рисунок 3.8 – Подключение по локальной сети
Рисунок 3.9 – Статистика по основным характеристикам
г) Endpoints – эта услуга позволяет выбрать вкладку IPv4, и просмотреть
вкладки других протоколов (Ethernet, UDP, IPv6).
64
Рисунок 3.10 – Распределение пакетов по размерам
д) PacketsLength, в появившемся окне CreateStat – происходит
распределение пакетов по размерам.
Рисунок 3.11– Распределение пакетов по длине
65
Рисунок 3.12 – Распределение пакетов по категории длины пакетов
е) IO Graphs – даёт понятие по загруженности канала.
Изменение масштаба по оси 0х позволяет просмотреть полную картину
о входящем трафике и пике загруженности.
Рисунок 3.13 – Загруженность канала за интервал времени 1 сек.
66
Рисунок 3.14 – Загруженность канала за интервал времени за 0,1 сек
Вывод
В результате проведенных анализа трафика сети были определенны
загруженность канала а так же рассмотрен проходящий по сети трафик в
режиме реального времени.Проведены исследования сетевых приложений и
протоколов.
4. Безопасность жизнедеятельности
4.1 Анализ условий труда обслуживающего персонала
Разработанная в данном дипломном проекте система управления
политикой безопасности сети предназначена для администраторов любых
информационных сетей, в том числе сетей специального назначения.
Данная глава посвящена разработке рекомендаций по безопасности
жизнедеятельности
пользователей
системы
управления
политикой
безопасности сети.
Администраторы сетей осуществляют свою работу в помещения с
нормальными условиями труда (сухие, теплые помещения). В офисе
находится постоянно три программиста,график рабочего дня относится к
дневному.
Для таких помещений разработаны рекомендации по параметрам
микроклимата:
 температура воздуха в помещении - 22-24° С;
 относительная влажность - 40-60%;
67
 скорость движения воздуха - 0,1-0,2 м/с.
Все оборудование устанавливается в помещении длинной A=5 м и
шириной B=3 м, высота потолка H=3 м. В помещении имеется два окна,
шириной Lok=0,9 м, высотой Hok=1,5 м на расстоянии 1 м от пола. Рабочее
место состоит из стола, размер которого равен: высота - 1 м (это и есть высота
рабочей поверхности Hр.п.), длина - 1,5 м, ширина - 1 м.
В офисе преобладает естественное боковое освещение, что является
недостаточным для обеспечения комфортной световой среды длятруда. Таким
образом следует предусмотреть искусственное освещение для достижения
надлежащего освещения значения для офиса для улучшения здоровья
трудящихся. В условиях низкой освещенности, человек работает менее
эффективно, быстро устает, возрастает вероятность ошибки, этот фактор так
же приводит к ухудшению зрение у сотрудников. Разряд зрительных работ в
офисеIII(а), необходимая освещенность при этом разряде зрительных работ
400 лк. В помещении имеется два окна, шириной Lok=0,9 м, высотой Hok=1,5
м на расстоянии 1 м от пола. Согласно ГОСТ 12.1.005-88 ССБТ
«Оптимальные и допустимые нормы микроклимата, в зависимости от
категории работ», работа сотрудников в офисном помещении относится к
работе лёгкой тяжести, потому что оборудование управляется с помощью
компьютеров.
Схема помещения приведена на рисунке 4.1.
68
1 – рабочий стол;2 – компьютер;3 – стул;4 – окна;5 – дверь;6 – шкаф.
Рисунок 4.1 – Схема помещения
Т а б л и ц а 4.1 - Категории работ по энергозатратам организма
Работа
Категория
Энергозатраты
организма,
Дж/с, (ккал/час)
Физическая
Iа
121 - 138
Физическая
Iб
138 – 172
Характеристика работы
Производимые сидя и
сопровождающиеся
незначительным
физическим напряжением
Производимые сидя, стоя
или связанные с ходьбой и
сопровождающиеся
некоторым
физическим
напряжением.
В таблице 4.2 приведены оптимальные параметры микроклимата.
Т а б л и ц а 4.2 - Оптимальные нормы параметров микроклимата
69
Период
работы
Скорость
движения
Относительная
воздуха, м/с, влажность, %
не более
Категория
работы
Т, 0 С
Холодный
Iб
22-24
0,1
40-60%
Теплый
Iб
23-25
0,1
40-60%
4.2 Анализ используемого оборудования и помещения
В помещении существует доступ к источникам тока, следовательно,
кабинет администраторов относится к категории электротехнических
помещений. В таких помещениях должны быть предусмотрены элементы
защиты от поражения электрическим током.
Оборудование оптимально работает в следующих условиях:
 температура от 10-40°C;
 влажность от 5 до 75%,
 питание: переменный ток - напряжение 220 В,
 частота 50/60 Гц, ток 2 - 5 А.
Так как все оборудование имеет сертификаты, то класс
профессионального риска определяем как минимальный.
Электроустройства в отношении мер безопасности относятся к
устройствам с рабочим напряжением до 1 кВ.
По степени опасности поражения электрическим током помещение
относится к классу без повышенной опасности, поскольку оно соответствует
требованиям:
 сухое;
 с нормальной температурой;
 с изолированными полами;
 безпыльное;
 не имеет незаземленных предметов.
Наличие в кабинете администраторов средств вычислительной техники
относит данное помещение к категории Д пожарной опасности. По классу
пожароопасных зон относится к классу П-IIa, в связи с тем, что отделка стен,
потолка и полов помещения выполнена из материалов поддающихся горению.
Как правило, в подобных помещениях причинами пожаров являются короткие
замыкания или несоблюдение правил пожарной безопасности сотрудниками
(курение на рабочем месте,пользование нагревательными приборами).
Работа администратора сети связана с постоянной работой за
компьютером, поэтому рассмотрим соответствующие условия работы.
70
Для работы на компьтере рекомендуются помещения с односторонним
боковым естественным освещением с северной, северо-восточной или северозападной ориентацией светопроемов. Площадь световых проемов должна
составлять 25% площади пола. Удовлетворительное естественное освещение
проще создать в небольших помещениях на 5-6 рабочих мест, а больших
помещений с числом работающих более 20, лучше избегать. В случае, если
экран обращен к окну, должны быть предусмотрены специальные
экранизирующие устройства.
Искусственное освещение в помещениях и на рабочих местах должны
создавать хорошую видимость информации на экране компьтера. При этом в
поле зрения работающих должны быть обеспечены оптимальные
соотношения яркости рабочих и окружающих поверхностей. Наиболее
оптимальной для работы с экраном является освещенность 200 лк, при работе
с экраном в сочетании с работой над документами - 400 лк.На рабочем месте
необходимо обеспечивать возможно большую равномерность яркости,
исключая наличие ярких и блестящих предметов, для снижения монотонности
в поле зрения рекомендуется отдельные пестрые поверхности.Рабочее место
администратора включает следующее оборудование: персональный
компьютер, МФУ.
В данном дипломном проекте мы используем следующее оборудование:
компьютеры (двухъядерные, офисные).
В таблице 4.3 представлены два компьютера и их характеристики.
Т а б л и ц а 4.3 – Характеристики компьютеров
Характеристики/модель
DellOptiPlex 7010
Процессор
IntelCore i5
HP ProDesk 400 G1
MT
IntelCeleronDualCore
Модель процессора
3470
G1820
Тактовая частота,ГГц
3.2
2.7
Оперативная память
Объем накопителя
4096Мб
500 Гб
4096Мб
500Гб
Энергопотребление, Вт
350
390
Уровень шума, Дб
30
35
4.3 Расчет естественного освещения
Расчет естественного освещения заключается в определении площади
световых проемов. Исходные данные для расчетов приведены в таблице 4.4.
Т а б л и ц а 4.4 – Исходные данные
71
Операторская
5х3х3
1,5
1
1
IIIa
г. Алматы, IV
15
15
Рпот=70%, Рст=50%, Рпол=10%
Тип помещения
Параметры помещения (А x В x H), м
Высота окна Hок, м
Высота начала окна hн.ок., м
Уровень условной рабочей поверхности
Hпов
Разряд зрительной работы
Световой пояс
Hзд, м
Расстояние до рядом стоящего здания, Р, м
Коэффициенты отражения
S0 = Sn* ен * η0* Кзд *Кз / 100 * τ0* r1,
(4.1)
где Sn- площадь пола помещения, м2:
Sn=А*В = 5*3=15 м 2
eн - нормированное значение КЕО:
ен=еКЕО-т,
(4.2)
где, ен-значение КЕОопределяется по таблице 4.12для разряда
зрительной работы III, a: ен=1,5;
еКЕО - значение КЕО , с учетом разряда зрительных работ (III, a)
при боковом совместном освещении еКЕО=0,9%;
m - коэффициент светового климата, определяется по таблице 4.4
для ориентации световых проёмов ЮГ (г. Алматы) m=0,65;
ен= 1,5 * 0,65 = 0,975
По нормативным рекомендациям для зрительной работы класса III(a)
при боковом освещении рабочего места (окна не сверху, а сбоку) естественное
освещение должно быть равно ен = 1,5. В нашем случае расчетное значение
естественного освещения меньше нормативного, следовательно, необходима
установка искусственного освещения.
Кз - коэффициент запаса по таблице 4.11: Кз= 1,2;
τ0- общий коэффициент светопропускания τ0= τ1* τ 2* τ 3* τ 4,
τ1 - коэффициент светопропускания материала по таблице: для
стеклопакета τ1= 0,8
τ2 - коэффициент, учитывающий потери света в переплетах светопроёма по таблице: τ2 =0,7
72
τ3 - коэффициент, учитывающий потери света в несущих конструкциях,
при боковом освещении равен 1.
τ4 - коэффициент, учитывающий потери света в солнцезащитных
устройствах, см. таблицу 4.6: τ4= 1
Тогда τ0= 0,8 * 0,7 * 11 = 0,56
η0 - световая характеристика окон по таблице 4.3:
ОтношениеА / B=5 / 3= 1,7;
h1= hok + hн.ок– hпов =1,5 + 1 - 1 = 1,5 м,
где h1 - высота от уровня условной рабочей поверхности до верха окна.
B / h1 = 3 / 1,5= 2значит η0 = 14.
r1 - коэффициент, учитывающий повышение КЕО при боковом
освещение благодаря свету, отраженному от поверхностей помещения и
подстилающего слоя, прилегающего к зданию, согласно таблицы 4.9:
H / B= 3 / 3 = 1
А / B= 5 / 3 = 1,7
(Pпот+Рст+Рпол) / 3=(70 + 50 + 10) / 3 = 43,3%
r1 = 2,2;
Кзд - коэффициент, учитывающий затенение окон противостоящими
зданиями по таблице 4.8:
P / Нзд=15 / 15 = 1;
Кзд= 1.
Тогда рассчитаем значение S0:
S0 = 15 * 0.975 * 14 * 1 * 1,2 / 100 * 0,56 * 2,2 = 2 м2
Так как предусматривали одностороннее боковое освещение и два окна,
то площадь световых проемов будет 4,5:2=2,25 м2. Так как высота оконных
проемов 1,5 м, то, следовательно, длина их составит 2,25:1,5=1,5 м.
В результате были осуществлены расчеты площадей боковых световых
проемов помещений, необходимых для создания нормируемой освещенности
на рабочих местах для работ категории III (a). Для кабинета с
габаритами5х3х3 для площади одного окна значение равно 2,25 м 2, где высота
окна hok=1,5 м, а длина окна lok=1,5 м. Схема размещения оконных проемов
приведена на рисунке 4.1.
4.4 Расчет искусственного освещения методом коэффициента
использования светового потока
73
Расчет искусственного освещения основан на определении значения
коэффициента η, равного отношению светового потока, падающего на
поверхность, к полному потоку осветительного прибора.
Значения коэффициентов берутся из таблиц, связывающих
геометрические параметры помещения с их оптическими характеристиками
помещения (коэффициентами отражения стен ρст, потолка ρпоти пола ρпол).
Расчетная высоты подвеса равна:
hрасч=H - (hр.п+ hсв),
(4.3)
где hрп- высота рабочей поверхности (1 м);
hcв - высота свеса светильника (0÷1,5 м).
Тогда расчетная высота подвеса:
hрасч= 3 - (1+0) = 2 м
Индекс помещения определяется по формуле:
i= АВ / h * (A + B)
(4.4)
гдеА- длина помещения, м;
B- ширина помещения, м;
h- расчетная высота, м.
Тогда индекс помещения равен:
i = 5 * 3 / (5 + 3) * 2 = 0,9
(4.5)
Коэффициент использования светового потока возьмем η=52% (для
индекса помещения i=1,2; коэффициентами отражения стен ρст = 50%, потолка
ρпот= 70% и пола ρпол= 10%).
Число светильников вычисляется по формуле:
N= Е * S * z * К / Ф *η
где Е - заданная минимальная освещенность;
S - освещаемая площадь;
Z - коэффициент неравномерности освещения, равный 1,1÷1,2;
Кз - коэффициент запаса, принимаемый равным 1,5.
Ф - световой поток;
η - коэффициент использования.
Вычислим освещаемую площадь:
S = 5*3= 15м2
74
(4.6)
По нормативным рекомендациям для зрительной работы класса III(a)
освещенность на рабочей поверхности от системы общего освещения должно
быть равно Eн = 200 лк. Осуществим расчет искусственного освещения
исходя из рекомендуемого значения.
Для установки в помещении принято решение использовать
люминесцентную лампу мощностью 40 Вт и световым потоком Ф=1900 лм.
N = 200 * 15* 0,9* 1,5 / 1900 * 0,52 = 4,1
Количество устанавливаемых ламп - 5.
Рисунок 4.2 - Распределение светильников в помещении
Расчет показал, что для освещения помещения с параметрами 5x3x3 и
категорией работ III (а) необходим монтаж пяти ламп типа Л Б840.
Анализ уровня естественной освещенности показал, что существующий
показатель ниже нормативного значения, в связи с чем, было принято
решение рассчитать схему искусственного освещения. Расчет показал, что для
обеспечения необходимого уровня освещенности рабочего места необходима
установка пяти ламп под потолком помещения. В данном случае уровень
комбинированного освещения соответствует нормативному значению. В
офисе находится 3 работника, по требованиям ГОСТа на одного человека
75
должно приходится не менее 3 м2 площади помещения. Наш зал имеет
площадь 15 м2 , учитывая площадь, занимаемую оборудованием,
рассчитываем на одного работника по 5 м2 площади помещения, что
удовлетворяет требованиям ГОСТа.СНиП РК 2.04-05-2002 .В результате
проделанного расчета, было выяснено, что требования, предъявляемые СНиП
РК 2.04-02-2002, соответствует заданному освещению в помещении для
оборудования.
5 Технико-экономическое обоснование
5.1Цель проекта
Целью данного бизнес-плана является экономическое обоснование
разрабатываемого
проекта
внедрения
программного
продукта
в
существующую мультисервисную сеть специального назначения.
Основной задачей проекта является обеспечение информационной
безопасности информационных ресурсов и улучшение качества мониторинга
сети. Оснащение высококачественной защитой и мониторингомсети позволит
уменьшить расходы на внешние услуги защиты и безопасности сети. Проект
разрабатывается для использования защищенных каналов передачи
информации внутри офиса.
Для решения задачи проекта следует решить вопросы расчета затрат на
проектирование, внедрение, эксплуатацию и окупаемости проекта.
Экономическое обоснование организации мультисервисных сетей
специального назначения состоит в определении необходимых инвестиций на
оборудование и программных продуктов, издержек по его содержанию и
эффекта от организации программного продукта.
5.2 Актуальность
Целью данного дипломного проекта является анализ управления и
безопасности дляусовершенствование мультисервисных сетей специального
назначения путем внедрения защищенного соединения для обеспечение
безопасности сети и эфективного управления.
Программный продукт позволит организовать постоянное наблюдениеза
мультисервисной сетью специального назначения на основе контроля
безопасности сети и ее постоянного мониторинга..
5.3Конкурентность
Предметом данной главы является конкурентность объекта ссистемы
разграничения доступа «КРИПТОН-ЩИТ», т.е. соревнование между
однородными услугами, товарами, с точки зрения ихцены реализации и
свойствв целях получения преимуществ для покупателя и соответствующего
отталкивания других продавцов, а также, получения максимально возможной
прибыли продавцом и производителем.
76
Конкуренция – это соперничество между людьми, фирмами,
организациями, территориями, заинтересованными в достижении одной и той
же цели.
Объект конкуренции – это потребитель и покупатель, за расположение
которого борются на рынке противоположные стороны.
Конкурентность берется как неотъемлемая часть механизма рынка,
редуцирующегося при отсутствии монополии субъектов рыночного хозяйства,
взаимозависимость и соперничество клиентов рынка, а в крупном масштабе –
в пропорция общественного производства. Так же, конкурентность как и на
товарных рынках способствует активации производства нового вида
продукции, большей адаптации ее к спросу, улучшению качества, снижения
издержек производителей и пользователей продукции, повышению
возможности воздействия государства на рыночные процессы. Главной
задачей государственного контроля рыночных процессов с позиции
конкурентности является ограничение монополии на рынке. Стандартная
рыночная конкурентность считается, когда на рынке складывается примерная
конъюнктура:
 функционирует 2 и более фирм;
 1 фирма не занимает более 31% рынка;
 2 фирмы не занимают более 44% рынка;
 3 фирмы не занимают более 54% рынка;
 4 фирмы не занимают более 63% рынка.
5.4Развитие проекта
Технико-экономическое обоснование для внедрения программного
продуктаявляется очень перспективным так как на базе программного
продукта можно в последующем ее усовершенствовать, затраты на
мультисервисные сети специального назначения содержит следующее:
 затраты на проектиравание;
 капитальные вложения, себестоимость;
 затраты на монтаж оборудование;
 прочие расходы;
5.5Перспективность проекта
Рассмотрим ключевые, отличительные особенности СРД «КРИПТОН –
ЩИТ»
 доверенная загрузка, контроль целостности операционной системы
и компонентов СРД;
 разграничение доступа ко всем ресурсам на уровне ядра для всех
процессов и пользователей ОС;
 разграничение доступа USB носителям, портам ввода - вывода,
контроль печати, затирания файлов;
 средства инсталляции, администрирования, протоколирования,
77
автоматического обновления;
 замкнутая программная среда, GINA/CP, доверенная оболочка;
 работа в сетевом режиме. Поддержка серверной реализации;
 поддержка новейших операционных систем;
 сравнительно невысокая стоимость автономного комплекта изделия.
Показанное выше позволяет сделать определенные выводы. Только с
конкурентоспособным товаром выход на рынок дает возможность для
предприятия выжить в условиях рыночной экономики. Исходя из выше
изложенного можно сделать вывод, что с системы разграничения доступа
«КРИПТОН-ЩИТ» является конкурентоспособной системой, лидеров рынка,
что дает нам основное преимущество.
5.6Трудоемкость разработки программного продукта
Распределение работ по этапам с указанием соответствующих их
трудоемкостей приведено в таблице 5.1.
Таблица 5.1-Распределение работ по этапам и видам оценки их трудоемкости
Этап разработки
Вид работы на конкретном этапе
Трудоемкость
разработки,
чел.*ч
Постановка задачи Подготовка соответствующей
2*18
документации,сметы на оборудование
Разработка проекта Планирование топологии сети ,
2*140
конфигурирование.
Подготовка
Расчет затрат,подготовка
2*10
соотвествующей
соотвествующих отчетов.
документации
5.7Расчет затрат на разработку программного продукта
Произведем расчет на все материальные затратыв соответствий с
данными формулами.
Расчет затрат на материальные ресурсы производится
форме,приведенной в таблице 5.2
Таблица5.2-Затратына материальные ресурсы
Наименование Ед.изм.
Кол-во
материального
израсходованного
ресурса
материала
Картридж
Лист
5
Папка
Шт.
4
Файлы
Шт.
50
Бумага
Шт.
800
78
по
Цена за
ед., тенге
Сумма, тг
2500
100
5
3
12500
400
250
2400
Итого:
15550
Затраты на материальные ресурсы определяется по формуле:
З М= ∑ni=0 Pi ∗ Цi,
(5.1)
где P i –расход i-того вида материального ресурса,натуральные
единицы;
Ц i –цена за единицу i-того вида материального ресурса;
n–количество видов материальных ресурсов.
Таблица 5.3-Затраты на электроэнергию
Оборудование
Паспортная Время
Цена
мощность,
работы для электроэнергии,
кВт
НИР, ч
тг
Базовая станция
0,8
200
13,9
Коммутатор
0,7
150
13,9
Компьютер
0,2
100
13,9
Сервер
0,2
120
25,51
Итого:
Сумма, тг
2225,06
1460,2
278
333,76
4297,02
Расходы на электроэнергию(базовой станции):
Зэл-к=0,8*200*
14,04∗12+25,48∗4+7,92∗8
24
=2628тенге
Расходы на электроэнергию(коммутатор):
Зэл-п=0,7*150*
14,04∗12+25,48∗4+7,92∗8
24
=1725 тенге
Расходы на электроэнергию(компьютер):
Зэл-пр=0,2*100*
14,04∗12+25,48∗4+7,92∗8
24
= 328 тенге
Расходы на электроэнергию(сервер):
Зэл-пр=0,2*120*
14,04∗12+25,48∗4+7,92∗8
24
= 394 тенге
Согласно трудовому Кодексу РК в 2015 году норма рабочего времени
составляет при 40-часовой рабочей неделе пятидневка - 1960 часов (245 дней
* 8,00 часов). Среднемесячное число рабочих дней на 2015 год составляет при
пятидневной рабочей неделе - 20,42 дней.
ЧС1= 200000/1960 = 102, тг / ч,
79
ЧС2=150000/1960 = 77, тг / ч,
ЧС3=100000/1960 = 51, тг / ч,
Таблица 5.4-Затраты на электроэнергию
Квалификация
Трудоемкость,
Часовая
чел*ч
тг/ч
Администратор
85
102
сети
Программист
160
77
Тех.персонал
24
51
Итого
ставка, Сумма, тг
8670
12320
1224
22 214
Общая сумма затрат на оплату труда(З Т Р ) определяется по формуле:
З Т Р = ∑𝑛𝑖=0 ЧС𝑖 ∗ Т𝑖
(5.2)
где ЧСi часовая ставка i-го работника, тг;
Ti- трудоемкость разработки ПП, чел-ч;
i - категория работника;
n - количество работников, занятых в разработке.
Часовая ставка работника рассчитывается по формуле:
ЧСi =
ЗПi
(5.3)
ФРВi
где ЗП I - месячная заработная плата сотрудника, тг.;
ФРВi- месячный фонд рабочего времени, час.
Таблица5.5-Расчеты амортизационных
Наименова Стоимость Годовая
ние
оборудован норма
оборудован ия, тг
амортиза
ия
ции., %
Базовая
240 000
станция
Коммутатор 140 000
Сервер
225 000
отчислений
Годовая Ном.,
сумма
Фонд
амор.,
раб.
Отчисл. Време
, тг.
ни, час
25
13000
1888
Факт Сумма,
время тг
исп.
Обор
уд.,
Час.
100
3177,96
10
25
1400
56250
1888
1888
40
110
80
1853,81
2979,34
Компьютер
Итого
80 000
25
60 000
1888
80
1059,32
9070,43
Сумма амортизационных отчислений начисляется по единым
нормам, рассчитывается по формуле:
З АМ= ∑ni=1
Фi∗На∗Тнир
100∗Тэф
(5.4)
где Ф i – стоимость оборудования,тг.;
Н А–годовая норма амортизации оборудования ,%.
Т нир –время работы оборудования за весь период выполнения
НИР, ч.;
Т эф –эффективный фонд времени работы оборудования за
год,1888ч/год;
i–вид ОФ;
n–количество ОФ.
При расчете фонда заработной платы, нужно учитывать, социальный
налог в размере 11% от общего фонда оплаты труда после отчисления в
пенсионный фонд:
Си = 0,11 • (3тр - 0,1 – 3тр)
(5.5)
Тогда с вычетом пенсионного фонда, который составляет 10% от ФОТ,
социальный налог составит:
Си= 0,11 - (22214 - 0,1 • 22214) - 2201 тенге
Итоговые отчисления в фонд оплаты труда равны:
Зтр =22214 + 2201 = 24415 тенге
Таблица 5.6 –Смета затрат на разработку программного продукта
Наименование оборудования
Значение за год, тенге
Затраты на оборудование
685000
Расходы на оплату труда
650000
Отчисления на социальные нужды 2201
Материальные затраты
15550
Расходы на ремонтные работы
47950
Амортизационные отчисления
9070,43
Затраты на электроэнергию
4297,02
Итого:
1 414 068,45
81
(5.6)
5.8 Расчёт годового экономического эффекта от внедрения
программного продукта
Годовой экономический эффект от реализации проекта по
организации мультисервисной
сети специального назначения и
внедрения в него программного продукта,которая будет обеспечивать
защиту и безопасное управление,рассчитывается поформуле(5.7):
E=S-E н - K р
(5.7)
где Е–годовой экономический эффект;
S-годовая экономия;
Е н –нормативный коэффициент экономической эффективности
капитальных вложений(0,15);
К-сумма капитальных вложений.
До внедрения программного продукта стоимость безопасности и
мониторга мультисервисных сетей специального назначения обходилась
в 95000 тенге в месяц:
S 1 = 95000 * 12= 1140000 тенге
После внедрения программного продукта стоимость безопасности
и мониторинга мультисервисных сетей специального назначения
составила 65000 тенге в месяц:
S 2 = 65000* 12= 780000 тенге
Следовательно, экономия составляет:
S= 1140000 - 780000 = 360000 тенге
Рассчитаем годовой экономический эффект:
Е = 360000 - 0,15*685000=257250 тенге.
Расчетный коэффициент эффективности капитальных вложений на
внедрение сети рассчитывается по формуле:
ЕР=Е/К
(5.8)
Если ЕР>Еnто внедрение считается эффективным.
Рассчитаем коэффициент эффективности капитальных вложений на
внедрение сети:
ЕР=257250/685000 = 0,37
Так как ЕР>Еnp0,37≥ 0,15, следовательно, проект по внедрению
программного продукта для мониторинга и безопасности мультисервисных
сетей специального назначения считается эффективным.
Тогда, срок окупаемости затрат на данный проект рассчитывается по
формуле (5.9):
Т=К/Е,
(5.9)
82
где Т - срок окупаемости проекта;
К- общий объём инвестиций данного проекта;
Е - годовой экономический эффект от реализации проекта.
Т = 685000 /257250 = 2,6 = 2 года
Следовательно, проект окупится за 2 года.
5.9Социальныйэффект
Социальный эффект заключается в том, что в результате внедрение
данного программного продукта с обеспечением безопасности и мониторинга
мультисервисной сети специального назначения сокращается объем хищения
конфиденциальной информации, результатом этого является:
 уменьшение количества атак на информацию;
 уменьшение количества материальных потерь на всех видах хищения
информации.
Социальный эффект гораздо необходимее чем экономический от
построения данной сети так как защищает информационные ресурсы всей
компании.
В результате расчёта экономического и социального эффекта от
внедрения в мультисервисную сеть специального назначения программного
продукта видно, что данный программный продукт оказывает не только
значительный социальный эффект позволяя сохранять информацию, но и
снизить материальные затраты на ее защиту.
Годовая экономия от внедрения данного проекта составляет 360000
тенге в год. Затраты на внедрение проекта составляют 784835тенге.
Капитальные вложения составляют 685000тенге. Проект окупится в течение
2-х лет.
83
Заключение
Основной целью дипломного проекта является анализ принципов
защиты и мониторинга защищенных мультисервисных сетей специального
назначения,была проведена защита сети и ее мониторинг.
В первой главе рассмотрено понятие сетей специального назначения,
описаны основные требования к функционированию данных сетей, описаны
используемые технологии.
Также рассмотрена технология мультисервисных сетей. Описаны
перспективы и тенденций развития данного направления на рынке услуг
связи.
Рассмотрены вопросы обеспечения безопасности защищенных
мультисервисных сетей.
Во второй главе описан процесс управления политикой безопасности в
информационной сети. Рассмотрены аналоги программного обеспечения по
управлению доступом к информационным ресурсам.
Описан перечень требований к разрабатываемой программе.
В третьей главе дано описание программной реализации. Описана
работа программы, а также приведен примеры работы пользователя в
программе.
В четвертой главе описаны рекомендации по безопасности
жизнедеятельности для пользователей программы.
В пятой главе осуществлено финансово-экономическое обоснование
реализации проекта.
84
Список использованной литературы
1 Адамов В. Е. Экономика и статистика фирм: — М.: Финансы и
статистика, 2013. — 288 с.
2 Анфилатов В. С. Системный анализ в управлении: Учебное
пособие. — М.: Финансы и статистика, 2012. — 368 с.
3 Барановская Т. П. и др. Информационные системы и технологии в
экономике: — 2-е изд., доп. и перераб. — М.: Финансы и статистика,
2012 — 416 с.
4 Барский А. Б. Мультисервисные сети: распознавание, управление,
принятие решений (Прикладные информационные технологии. — М.:
Финансы и статистика, 2014. — 176 с.
5 Благодатских В. А. Стандартизация разработки программных
средств: Учеб.пособие. — М.: Финансы и статистика, 2013. — 288 с.
6 Варфоломеев В. И. Назаров С. В. Алгоритмическое моделирование
элементов экономических систем. Практикум: Учеб.пособие. — 2-е изд.,
перераб. и доп. — М.: Финансы и статистика, 20 14. — 264 с.
7 Вахрич П. И. Сетиспециального назначения. — М.: ИТК Дашков и К,
2012. — 584 с.
8 Вендров А. М. Проектирование программного обеспечения
экономических информационных систем: — 2-е изд., перераб. и доп. —
М.: Финансы и статистика, 2011. — 544 с.
9 Брейдо В.Л. Вычислительные системы, сети и телекоммуникации.
СПб: Питер, 2013.
10 Вильховченко С. Протоколы информационно-вычислительных
сетей. М.: Радио и связь, 2012.
11 Гук М. Аппаратные средства локальных сетей. СПб: Питер, 2013.
12 Гольдштейн Б.С. Протоколы сети доступа, Спб.: БХВ, 2011.
13 Герасименко В.А. Защита информации в автоматизированных
системах обработки данных. М.: Эн ергоатомиздат, 2012.
14 Григорьев В.А. Сети и системы широкополосной передачи данных
М.: Эко-Трендз, 2011.
15 Гундарь К.Ю. Защита информации в компьютерных системах. М.:
2014.
16 Девянин П.Н. Теоретические основы компьютерной безопасности.
М.: Радио и связь, 2012.
17 Димарцио Д.Ф. Маршрутизаторы Cisco. М.: Радио и связь, 2013.
18 Джамса К. Программирование для INTERNET в среде Windows.
Санкт-Петербург: ПИТЕР, 2011.
19 Казаков С.И. Основы сетевых технологий. СПб.: БХВ-Петербург,
2011.
20 Конноли Т. Базы данных: проектирование, реализация и
сопровождение. Теория и практика: [пер. с англ.] / Конноли Т., Бегг К.,
Страчан А. - 2-е изд.- М.: Вильямс, 2011. – 394с.
85
21 Кузнецов С.Д. Основы современных мультисервисных сетей/ С.Д.
Кузнецов К. – Курск [б.и.], 2009. – 276с.
22 Лаура Ф. Анализатор локальных сетей NetWare. М.: ЛОРИ, 2011.
23 Новиков Ю.В. Локальныесети . Архитектура, алгоритмы,
проектирование. М.: 2012.
24 Мерит Максим. Аппаратное обеспечение широкополосных сетей
передачи данных М.: Компания, 2010.
25 Семенов Ю.А. Протоколы и ресурсы INTERNET. М.: Радио и связь,
2009.
26 Семенов Ю.А. Сети Интернет. Архитектура и протоколы.- М.:
СИРИНЪ, 2011.
27 Соловьева Л. Сетевые технологии. М.: 2013.
28 Сафронов В.Д. Проектирование цифровой системы коммутации,
СПБ.: 2012.
29 Флинт Д. Локальные сети ЭВМ: архитектура, построение,
реализация. М.: Финансы и статистика, 2013.
30 Douglas E. Comer, Internetworking with TCP/IP, Prentice Hall,
Englewood Cliffs, N.J. 07632, 2012.
31 Craig Hunt, TCP/IP Network Administration, O’Reilly Associates, Inc.,
Sebastopol, USA, 2011.
33 Ю. Полярин, Журнал «Наука и Техника» / Интернет-страница
МУЛЬТИСЕРВИСНЫЕ СЕТИ, URL: http://6pl.ru/Vlad_st/ppb_s.htm
34 Василий Гнатив, Технология обеспечения мониторинга
мультисервисных сетей / Интернет-страница компании ЗАО «Айсес»,
URL: http://www.ises.ru/about-us/mass-media/ksb_logistic.php
86
Скачать