Современные информационные технологии / 4. Информационная безопасность

К.т.н.,  заслуженный работник науки и образования,

член-корреспондент МА РФ, доцент  Хмельницкий А.К.

Санкт-Петербургский государственный технологический

университет растительных полимеров, Россия

         Методы модернизации локальной сети и обеспечение информационной безопасности на полиграфии

 

В настоящий момент, в связи с расширением использования средств информационных технологий, с ростом информационных потоков и Internet трафика в сети, наблюдается резкий рост загрузки сети, приводящий к перегрузкам, а значит, к увеличению времени отклика и отказам в обслуживании. Использующаяся на предприятии локальная сеть, на настоящий момент, не в полной мере отвечает предъявляемым требованиям. Так, производительности имеющегося сервера явно недостаточно для обеспечения решения поставленных задач, работа различных групп пользователей в одном сетевом кластере затрудняет обслуживание сети, а также создаёт дополнительные уязвимости, приводящие к снижению уровня аутентификации.

Для того, чтобы этого не произошло, целесообразно  настроить серверы для совместной работы в едином кластере с динамическим перераспределением нагрузки. Для реализации такого метода повышения надежности потребуется специальный сетевой коммутатор.

Насущной задачей является, также, развитие сети в сторону более широкого использования резервирования. В частности, желательно применение зеркальных серверов (зеркалирование серверов), с целью облегчения обслуживания сети, и обеспечения непрерывности её работы.

Модернизация сети также необходима в связи с расширением предприятия, связанным с расширением сферы деятельности, расширением площадей, занимаемых предприятием. Необходимо обеспечить подключение, дополнительно к числу имеющихся, не менее чем 15 сетевых станций, сетевых принтеров, подключение к сети станций размещаемых в новых помещениях филиала. Для этого добавляется в сеть еще один сервер и используется каскадирование. В результате, две группы отделов будут работать с разными программами на разных серверах, и проблемы перегрузок от внутреннего трафика будут сняты.

Подразделение для решения уставных задач использует доступ к мировой сети Internet. Используется, как для работы станций на ближнем подключении (обеспечивается локальной сетью подразделения), так и, для облуживания удалённых пользователей, работы станций на дальнем подключении. Дальнее подключение используется на части рабочих станций подразделения, для выполнения целей контроля и тестирования. Такое подключение обеспечивается с использованием ADSL модемов. Используемые ADSL-модемы DSL-2500U разработаны для сетей малых офисов. Они позволяют быстро и просто получить широкополосный доступ в Интернет. Благодаря встроенному интерфейсу ADSL, поддерживающему скорость нисходящего потока до 24 Мбит/с, межсетевому экрану и QoS (это устройство предоставляет малым офисам и домашним пользователям удобный и экономичный способ создания безопасного высокоскоростного подключения к мировой сети).

Доступ к глобальной сети обеспечивается без использования глобального аппаратного маршрутизатора, но с использованием многофункционального устройства, линейного цифрового модема CISCO. Устройство является автономным, подключаемым к сети непосредственно, через порт Ethernet. Обеспечивает защиту межсетевым экраном при помощи проверки состояния пакета SPI и ведет журналирование хакерских атак типа отказ в обслуживании (DoS). Кроме функций передачи данных, обеспечивает функции моста, обеспечивает разделение сети на внутренний и внешние сегменты. Перед передачей данных во внутреннюю сеть SPI проверяет содержимое заголовков всех входящих пакетов.

Управление доступом осуществляется с помощью фильтрации пакетов на основе МАС/IP-адресов. Модем поддерживает множество очереди и систему приоритетов. Поддержка QoS обеспечивает более эффективную передачу данных приложений, чувствительных к задержкам.

Защита информации обеспечивается стандартным комплексом программных (антивирус, используется комплекс антивирусного программного обеспечения от Kaspersky Lab), и организационных мер (ведение журналов, еженедельное, и ежедневное, для критически важных файлов, резервное копирование). Защита от аварий электропитания осуществляется с использованием источников бесперебойного питания типа Line-interactive, подключенных к сети через адаптеры Ethernet.

Резервное аккумуляторное питание обеспечивается только для оборудования серверной (сервера, Ethernet-коммутатора), расчётное время поддержания питания при 100% нагрузке достигает 1 часа, что вполне достаточно, учитывая наличие на предприятии также и резервного ввода питания. Можно отметить наличие слабых мест в системе защиты данных и информационной безопасности. Прежде всего - это, уже отмеченное выше, недостатки в построении локальной сети предприятия.

Подсистема управления состоит из соединительных проводов и шнуров, с помощью которых производится физическое соединение линий подсистем, подключенных к коммутационным панелям. Коммутационные шнуры позволяют быстро и легко без применения специального инструмента производить переконфигурацию системы. Включает в себя кроссовое оборудование для коммутации сигналов, передаваемых по медному кабелю.

Охват дополнительных рабочих станций и помещений компьютерной сетью не приведет к росту длины сегмента и диаметра сети за пределы указанных ограничений. По проектируемой сети не будет передаваться никакой критически важной информации, потеря которой могла бы привести к гибели людей, разрушению производственных мощностей или экологической катастрофе. Следовательно, цена возникновения ошибки невелика.

Исследования показали, что в период пиковой нагрузки Internet трафик превышал 50Мб/с, что приводило к задержкам в работе программы Inkerman System. Задержки в работе вызывали, так же, запуски программы Kaspersky Internet security по расписанию в режиме сканера в рабочее время.

Основная масса проблем с перегрузками может быть решена организационными мерами. Запуск обновлений 1С:Бухгалтерии, антивирусного сканера и других ресурсоемких задач следует организовывать в утренние или вечерние часы.

Необходимо обеспечить устойчивую непрерывную работу сети в рабочее время и сохранность информации в случае сбоев. Для выполнения этих задач серверы и сетевое оборудование запитываются через источники гарантированного питания. Дисковое пространство серверов организуется в виде массивов RAID.

Для решения проблем с перегрузками от внешнего трафика сетевым администратором устанавливается ограничение на скорость Интернета, такое, чтобы обеспечить все профессиональные потребности, но исключить мультимедийные online-сервисы (прослушивание музыки и просмотр фильмов). При необходимости участия в телеконференциях ограничения снимаются системным администратором.