Разработка защищенной информационно-вычислительной сети организации

Основные требования или инструкции безопасности:

• Все серверы должны быть локализованы в защищенной серверной, доступ в которую разрешен только авторизованным пользователям.
• Весь трафик проверки подлинности должен быть защищен при передаче по сети.
• Все пользователи, получающие доступ к внутренней сети через виртуальную частную сеть (VPN), должны применять двухкомпонентную проверку подлинности.

Требования безопасности часто включают ограничения, в соответствии с которыми должна проводиться разработка проекта.

 

2.1.6 Проектные ограничения

Проектные ограничения определяют параметры проекта. Например, если для проекта выделен фиксированный бюджет, для планирования используется оборудование в соответствии с возможностями, а не с потребностями.

• Бюджет проекта неограничен
• Дефицита кадров среди персонала нет
• Никаких ограничений по ресурсам нет

2.2 Документирование текущей среды

 

Здание кампуса имеет оптоволоконное подключение через маршрутизатор с остальными кампусами, откуда через трехуровневую структуру коммутаторы получают 1000 Мбит/с канал, выдаваемый конечным пользователям, Интернет подключен только в одном кампусе, остальные получают его через корпоративную сеть. Все кампусы располагают системами контроля физического доступа.

• Число, географическое положение и скорость ссылок всех сайтов, где используются элементы сетевой инфраструктуры. Имеется 5 зданий по 4 этажа, 8 рабочих комнат.

Топология сети представлена на Рисунке 13.

Рисунок 13 - Топология сети

Адресное пространство разбито на подсети в части 1, пункт 3.

Пропускная способность сети для конечного пользователя равна 1000 Мбит/с.

Задержка не более 16 мс.

Приложения, использующие сеть:

• Система электронного документооборота;
• Система обслуживания клиентов;
• Межсетевые экраны;
• Корпоративные системы общения.

Брандмауэры располагаются перед маршрутизатором (или после, если смотреть снаружи сети) и фильтруют трафик по содержимому и по адресам отправителя или получателя.

Никаких иных нетехнических ограничений нет.

 

2.2.1 Документирование инфраструктуры разрешения имен

В AD DS требуется инфраструктура DNS (Domain Name System), чтобы контроллеры доменов локализовали друг друга, а клиентские компьютеры - контроллеры доменов.

Служба DNS развертывается в организации на сервере под управлением системного администратора.

Владелец домена осуществляет управление этим отдельным доменом. Его задачи следующие:

• Создание политик безопасности на уровне домена. Политики паролей, политики блокировки учетных записей и политики Kerberos.
• Проектирование конфигурации групповой политики на уровне домена. Владелец домена проектирует объекты групповой политики (GPO) для всего домена и делегирует право привязки GPO к OU на уровне OU.
• Создание высшего уровня структуры OU в домене. После создания в домене высшего уровня структуры OU задачу создания подчиненных OU можно возложить на администраторов уровня OU.
• Делегирование административных полномочий внутри домена Владелец домена должен установить административные политики на уровне домена (включая политики именования схем, дизайна групп и т.д.), а затем делегировать полномочия администраторам уровня OU.

Управление административными группами уровня домена. Как уже было сказано, администраторы в каждом домене должны располагать высокой степенью доверия, поскольку их действия могут влиять на весь лес. Роль владельца домена состоит в ограничении членства в административных группах уровня домена и делегировании административных привилегий более низких уровней.

Схема именных пространств приведена на Рисунке 14.

Рисунок 14 - Схема именных пространств

 

2.2.2 Документирование инфраструктуры Active Directory

Важным требованием к дизайну AD DS является баланс оптимального дизайна для сети, в которой выполняется развертывание. При подготовке развертывания AD DS следует проанализировать текущий дизайн Active Directory и последствия миграции инфраструктуры в другой дизайн AD DS. Текущая доменная структура может быть не идеальной. Тем не менее, простая модернизация текущих доменов намного проще (и дешевле обходится), чем создание идеальной структуры AD DS с последующей миграцией всех доменных объектов в новые домены.

Создаются группы пользователей в соответствии с таблицей 9.

 

2.2.3 Документирование дополнительных компонентов инфраструктуры

Дополнительно устанавливается антивирусное ПО – Антивирус Касперского.

 

2.2.4 Документирование административных моделей и процессов

В централизованной среде одна группа администраторов может выполнять эти задачи для всех пользователей в организации. В децентрализованной среде эти обязанности нередко возлагаются на группу в подразделении или другую группу (например, отдел кадров или отдел корпоративной безопасности).

Сервера есть в каждом кампусе, по одному на корпус.

Среда является децентрализованной, что отражается в разделе, посвященном созданию OU единиц.

 

2.3 Проектирование структуры леса

 

У организации есть ДМЗ и один лес AD DS.

Лес AD DS является независимой единицей. Внутри него легко совместно использовать информацию и сотрудничать с другими пользователями в той же единице. Но поскольку лес независим, действия одной персоны могут потенциально повлиять на всех остальных пользователей в лесе. При проектировании наивысшего уровня инфраструктуры AD DS нужно определить необходимо в развертывании одного или множества лесов. Каждый лес является интегрированной единицей, поскольку располагает характеристиками, описанными ниже. Структурная схема леса с указанием доверительных отношения представлена на Рисунке 15.

Рисунок 15 - Схема леса

 

• Глобальный каталог. Лес содержит лишь один сервер, позволяющий локализовать объекты в любом домене леса и войти в любой домен леса независимо от домена, содержащего учетную запись пользователя.
• Раздел каталогов конфигурации. Все контроллеры доменов совместно используют один раздел каталогов конфигурации. Эта информация конфигурации применяется для оптимизации репликации данных в лесе, хранения данных приложений каталогов и совместного использования информации в разделах каталогов приложений.
• Доверительные отношения. Все домены в лесе подключены через двусторонние доверительные связи. Эти связи изменить нельзя.

Хотя в AD DS предусмотрено совместное использование информации, существует также множество ограничений, согласно которым различные организационные единицы в компании должны кооперировать несколькими разными способами.

 

2.4 Порядок разбивания на домены

 

Домены используются для разделения леса на небольшие компоненты изначально в целях администрирования или репликации. В дизайне AD DS очень важны следующие характеристики доменов:

Границы репликации. Границы домена являются границами реплика раздела каталогов домена и информации в папке SYSVOL на всех контроллерах доменов.

В то время как другие разделы каталогов (например, схема, конфигурация и глобальный каталог) реплицируются во всем лесе, репликация раздела каталогов домена выполняется только в пределах одного домена.

Границы доступа к ресурсам. Границы доменов также являются границами доступа к ресурсам.

По умолчанию пользователи в одном домен не получат доступ к ресурсам в еще одном домене, если не отконфигурировать доверительную связь и не предоставить явным образом соответствуют разрешения.

Границы политики безопасности. Некоторые политики, безопасно используемые на уровне домена, применяются ко всем учетном записям пользователей в этом домене.

Это относится к политикам паролей, и политикам блокировки учетных записей и политикам Kerberos, причем доменные границы не являются границами безопасности.

Схема доменных пространств представлена на Рисунке 16.

Рисунок 16 - Схема доменных пространств

 

В организации имеется один домен: «chizic.ru», он является поддоменом глобального географического домена «.ru»

 

2.5 Создание структуры организационных единиц (OU) для каждого домена

 

Путем группирования всех пользователей в OU для этой организационной единицы (OU) назначается групповая политика, автоматически конфигурирующая рабочий стол пользователя. Объекты также группируются с целью назначения администратора для этой группы объектов.

Организационные единицы OU отделов могут содержать еще несколько OU.

OU учетных записей. Эти OU содержат  учетные записи пользователей  и групп отдела. В некоторых  случаях единицы OU учетных записей  разбиваются на OU, содержащие группы, пользовательские учетные записи или удаленных пользователей.

OU рабочих станций. Эта единица OU содержит все рабочие станции  пользователей и может включать  отдельные OU для рабочих станций Windows 2003, Microsoft Windows XP Professional, а также  для мобильных компьютеров.

OU ресурсов. Эта организационная единица OU содержит ресурсы, привязанные к отделу, которые могут включать такие объекты, как локальные группы домена, серверы, принтеры и общие папки.

OU приложений или проектов. Если  группа лиц и ресурсов работает  с отдельным проектом или приложением, для которого требуется уникальная система управления, то для этих пользователей можно создать структуру OU, а затем сгруппировать в этом OU пользователей, ресурсы и компьютеры для этого проекта.

Примечание. Теоретически структура OU может содержать сколь угодно уровней, однако рекомендуется использовать не более десяти. Для того чтобы удовлетворить потребности большинства компаний, вполне достаточно четырех-пяти уровней.

Схема OU для организации приведена на Рисунке 17.

Рисунок 27 – Схема распределения OU организации

 

2.6 Проектирование физических компонент AD DS. Создание проекта узлов (сайтов)

 

Понятие быстрого сетевого подключения в значительной степени зависит от таких факторов, как количество пользователей в размещении, общее количество объектов в домене и количество доменов в лесе. Кроме того, потребуется определить общую пропускную способность, доступную для репликации. В большинстве случаев сетевые подключения внутри узла должны предоставлять пропускную способность не меньше 512 кбит/с (Kbps). В крупной компании для сетевых подключений внутри узла пропускная способность обычно не должна быть менее 10 Мбит/с (Mbps). Если узлы создаются для того, чтобы пользователи входили в AD DS, то каждый узел должен содержать контроллер домена, а большинство узлов - сервер глобального каталога. Следовательно, при создании узла для офиса компании с небольшим количеством пользователей и медленным сетевым подключением к другим офисам компании возникает вопрос: следует ли устанавливать контроллер домена в этом офисе? Для того чтобы ответить на этот, вопрос, нужно определить, кто создает больший объем трафика: клиенты, входящие на контроллер домена в другом офисе компании, или репликация между контроллерами домена. Кроме того, понадобится учесть и другие факторы. Если не добавлять контроллер домена в это размещение компании, нужно учесть вероятность отказов сетевого подключения, в результате чего пользователи не смогут входить в домен. Сервер также может быть добавлен в размещение компании по другим причинам. Например, сервер Windows Server, который в любом случае развертывается в этом размещении, добавляется, если он выполняет роль контроллера домена для этого узла.

Схема узлов в сети представлена на Рисунке 18.

Рисунок 18 – Схема размещения WEB-сайтов

 

Для каждого сайта был в ДМЗ организован свой сервер, под управлением ОС FreeBSD. Так как узлы развертываются в ДМЗ за межсетевым экраном, идентифицировать их подсети не требуется – узлы физически отрезаны от внутренней корпоративной сети.

Следующий этап - создание топологии репликации для узлов. С этой целью между размещениями компании назначаются узловые ссылки, для каждой из которых нужно планировать расписание и интервал репликации, а также стоимость узловой ссылки. В случае назначения мостовых серверов репликации для каждого, узла следует идентифицировать все разделы AD DS, которые будут локализованы в узле, и выделить сервер-плацдарм для каждого раздела.

Вычисление стоимости каждой узловой ссылки представляет собой довольно, особенно при наличии множества возможных маршрутов между размещениями компании, когда сетевой ссылке требуется назначить стоимость с целью использования оптимального маршрута для репликации AD DS.

Один из способов определить стоимость, которую следует назначить для каждой узловой ссылки, связывающую пропускную способность сети со стоимостью узловой ссылки (таблица 8).

Таблица 8 – Связывание пропускной способности сети со стоимостью узловых ссылок

Доступная пропускная способность	Стоимость узловой ссылки
Больше или равна 100 Мбит/с   Меньше 56 кбит/с	5 10 100 200 400 800 2000

Стоимость в проектируемой сети будет всегда 5, поэтому дополнительных управлений и настроек маршрутизации не требуется.

 

Часть 3 Расчет экономической эффективности от внедрения вычислительной сети

 

3.1 Источники  экономической эффективности

 

По оценке зарубежных специалистов в области автоматизации управления, автоматизация работы служащих в условиях промышленных предприятий может сократить общие расходы на конторскую деятельность примерно на 25%. Однако, наиболее важной целью автоматизации работы служащих является повышение качества административных решений (качество вырабатываемой информации).

Источниками экономической эффективности, возникающей от применения компьютеров и вычислительных сетей в организационном управлении, являются:

• уменьшение затрат на обработку единицы информации;
• повышение точности расчетов;
• увеличение скорости выполнения вычислительных и печатных работ;
• возможность моделирования изменения некоторых переменных и анализ результатов;
• способность автоматически собирать, запоминать и накапливать разрозненные данные;
• систематическое ведение баз данных;
• уменьшение объемов хранимой информации и стоимости хранения данных;
• стандартизация ведения документов;
• существенное уменьшение времени поиска необходимых данных;
• улучшение доступа к архивам данных;
• возможность использования вычислительных сетей при обращении к базам данных.