NewCom Port ::: Пресс-центр :: Презентации
ПРЕСС-ЦЕНТР
Новости/Пресс-релизы
О нас пишут
Презентации
Газета "Newcom News"
Rambler's Top100
ПРЕЗЕНТАЦИИ
«Что нам стоит сеть построить? Цена построения и эффективность корпоративной сети передачи данных»

Как выбрать наиболее эффективное техническое решение для построения корпоративной сети передачи данных? На какие моменты следует обратить особое внимание?

Прежде всего, необходимо определить задачи, которые призвана решать создаваемая сеть. Для этого, желательно понять:
  • какие информационные потоки она должна обеспечить. Это определит потребности подразделений в обмене информацией и характер таких информационных взаимодействий.
  • какие виды услуг (речевых, информационно-справочных, аудио и видео, учетно-контрольных и т.п.). Это детализирует структуру трафика и требования к качеству каналов.
  • оценить минимально необходимый объем абонентской сети (по числу абонентских портов на домен), а за тем спрогнозировать сроки жизни проекта и максимально достижимый объем абонентских окончаний. Это сформулирует требования к узлам абонентского доступа по типу портов и их масштабируемости, а так же определит разграничение доступа к корпоративной информации.
  • определить число объединяемых доменов корпоративной сети и, исходя из структуры трафика и объема абонентских портов, спрогнозировать требования к узлам агрегирования абонентского трафика и качеству магистральных каналов. Это определит класс необходимого сетевого оборудования и требуемые сетевые инструменты: трафик инжениринга, QoS, информационной безопасности и т.п.
Сформированное техническое задание на корпоративную сеть позволит правильно определить границы зоны ответственности собственно корпорации и оператора связи, предоставляющего свои каналы в аренду. При этом, неизбежно придет понимание какие узлы сети необходимо связать между собой в виртуальные сети и какие каналы потребуются для доступа к внешним информационным ресурсам.

Опишите возможные подходы по оптимизации работы сетей связи и информационных систем? Как это возможно сделать более эффективно по материальным, временным, людским затратам?

Оптимизация материальных затрат основывается на анализе структуры эксплуатационных затрат. Анализ должен опираться на критерий цена качество по каждому виду услуг. Он позволит выявить степень загрузки сетевых ресурсов, неоправданные затраты времени и непроизводительные ручные операции, нуждающиеся в автоматизации. Максимальная производительность сети достигается за счет анализа:
  • структуры ( «окраски») трафика;
  • требований к контролируемым параметрам качества по каждому виду услуг (оттенку трафика);
  • требований по информационной безопасности и разграничению доступа.
На основе этого анализа проводится балансировка нагрузки в узлах сети и планирование их модернизации.
Разнородность сред проноса трафика ведет к непроизводительным эксплуатационным издержкам, так как для технической поддержки различных элементов сети требуются специалисты по различным телекоммуникационным средам. Это ведет к избыточности людских ресурсов или к необходимости опираться на высококвалифицированных универсальных и высокооплачиваемых специалистов.
Оптимизация структуры сети в таком случае должна заключаться в миграции к однородной сети пакетной коммутации и минимизации издержек по аренде сетевых ресурсов сторонних операторов.
Анализ может выявить целесообразность перераспределения зон ответственности, то есть границ корпоративных подсетей и операторской инфраструктуры, объединяющей их в единую корпоративную информационно-телекоммуникационную инфраструктуру. Такая целесообразность обусловлена тем, что эксплуатационные расходы и стоимость корпоративного владения мощными, но недогруженными сетевыми ресурсами (мультисервисными узлами) могут оказаться избыточными. Повышение эффективности их использования может быть достигнуто за счет операторской деятельности, то есть сдачи части их сетевых ресурсов в аренду.
Что касается оптимизации работы информационных систем, то их производительность зависит от характера распределения информации по базам данных, их взаимосвязей и структуры запросов. Узкие места могут оказаться как на уровне взаимодействия клиент-сервер, так и на уровне серверного процессинга. А в случае разделения сервера информационного приложения и устройств хранения, в общем виде объединяемых в NAS / SAN инфраструктуру, оптимизации может потребовать физическая и логическая структура сети хранения данных. Анализ эффективности использования SAN и разработка требований по обеспечению непрерывности бизнеса может выявить целесообразность аренды ресурсов хранения у Storage Service Provider – SSP.

За счет использования каких программно-аппаратных комплексов можно повысить безопасность информационных систем?

Традиционно повышение корпоративной информационной безопасности ассоциируется с применением криптозащиты трафика. Существует масса как аппаратно-программных, так и чисто программных продуктов криптозащиты, сертифицированных ФАПСИ, от продуктов с поддержкой SSL до VPN устройств, от программных средств криптозащиты типа VIPNet до криптошлюзов «Континент – К» или «Брус».
Существующие средства защиты данных в телекоммуникационных сетях можно разделить на системы, использующие для построения ключевой системы и системы аутентификации симметричные криптоалгоритмы, ко второй - асимметричные.
В системе, с симметричными ключами, требуется создание службы безопасности - центра распределения ключей (ЦРК), занимающейся распространением, уничтожением и созданием ключей. При этом носители ключевой информации распространяются абонентам с использованием физически защищенных каналов связи. Частая смена ключей при большом количестве абонентов в сети приводит к очень большим накладным расходам. Традиционный шифроблокнот заменен карточкой или дискетой - вот и все изменения в управлении ключевой системой у этих устройств по сравнению с традиционной секретной почтой. При компрометации одного абонента сети, заключающейся в краже, утере или копировании ключевой информации (на дискете, на карточке, в устройстве), становится возможным осуществлять пассивные и активные атаки на всех абонентов системы.
Вопрос об аутентификации в данной системе решается с учетом доверия абонентов друг другу. Организация цифровой подписи принципиально невозможна. Сложно решается проблема уничтожения использованных ключей. Центр распределения ключей способен контролировать всю секретную информацию, при этом не исключаются злоупотребления со стороны персонала этого центра.
Системы, использующие асимметричные криптоалгоритмы, лишены многих из вышеперечисленных недостатков. Защита данных при этом не требует службы распространения ключей и службы безопасности сети. Ключи, использующиеся для шифрования, автоматически генерируются, распространяются и уничтожаются в каждом сеансе связи. Центр распределения ключей, служба распространения ключей, физически защищенные каналы для передачи ключей и службы безопасности сети вообще не требуются. Применение теории асимметричных криптоалгоритмов позволило свести задачу обеспечения секретности данных к задаче обеспечения их целостности. Все функции центра распространения ключей в этом случае удается выполнять с помощью сертификационного центра, аналогом которого служит служба выдачи паспортов. После этапа регистрации абонент «забывает» о существовании центра сертификации.
Генерация ключей производится в каждом сеансе связи в процессе аутентификация абонентов сети. После установления аутентификации ключи уничтожаются. Возможна организация цифровой подписи данных. При этом ее проверка проводится без предоставления секретной информации третьим лицам. Пассивные атаки на абонентов сети невозможны. Активные атаки возможны только при компрометации одного из абонентов сети.
Одним из важных требований к средствам защиты данных в каналах связи должна быть полная прозрачность их со стороны пользователя вычислительной системы. Следующим не менее важным условием является максимальная независимость средств защиты данных от аппаратуры передачи данных и существующего программного обеспечения.
Очевидно, что применение средств защиты снижает общую производительность информационной системы. В зависимости от степени ее защищенности накладные расходы на обеспечение безопасности могут достигать 30% стоимости от всех затрат на сеть.
Однако, корпоративная политика информационной безопасности это целый комплекс организационно-технических мероприятий на всех уровнях сетевой модели. В тот же момент, любые приемы и методы реализуемые в системах безопасности требуют сбалансированной политики безопасности, так как неоправданное ужесточение требований к безопасности, может привести не к повышению защищенности, к ослаблению системы защиты. Современная система безопасности должна предусматривать контроль над собственными событиями и экспертную систему для on-line помощи офицерам безопасности при принятии решений и выработке реакций на нештатные ситуации и инциденты.
К сожалению, эффективно реализовать все описанные технологии в одной системе пока не удается, поэтому пользователям приходится применять совокупность систем защиты, объединенных единой концепцией безопасности. Пример таких систем — семейство продуктов SAFEsuite, разработанных американской компанией Internet Security Systems (ISS). Сегодня это — единственный комплект средств, который включает в себя все компоненты, входящие в модель адаптивного управления защиты сети.
Система информационной и сетевой безопасности должна помимо обнаружения реализуемых атак и отражения их угроз информационным ресурсам, обеспечивать обнаружение следов совершенных атак и их регистрацию. Она должна поддерживать эффективное расследование офицерами службы безопасности всех фактов вторжений, а так же необходимо предусмотреть комплекс мер по минимизации ущерба и последствий совершенных атак с помощью систем:
  • повышения надежности на основе систем частичного резервирования или за счет внесения избыточности на уровне данных (например, голограммы в твердой памяти или реализация иных алгоритмов);
  • полного резервирования на уровне аппаратного обеспечения за счет дублирования наиболее критичных устройств или их компонент, а так же на уровне сервисов или приложений за счет дублирования программ и процессов;
  • восстановления за счет создания резервных копий информационных объектов жизненно необходимых для бесперебойной работы приложений мультисервисной сети, то есть контрольных точек, фиксирующих состояния информационных объектов различных приложений мультисервисной сети.

Какие типичные ошибки и современные тенденции управления непрерывностью бизнеса вы могли бы назвать?

Типичные ошибки в обеспечении непрерывности бизнеса в применении решений лежащих на поверхности и кажущихся приемлемыми по цене. Главная проблема в отсутствии анализа требований по срокам восстановления работоспособности информационных систем при сбоях и величине невязки, требующей актуализации после отката системы до последней контрольной точки. Каковы же реальные инструменты защиты и повышения доступности данных?
Для комплексов хранения и архивирования данных информационных приложений мультисервисных сетей в аварийной ситуации характерен выход из строя больших блоков данных целиком. В случае одиночных дисковых накопителей такое повреждение трудно восстановимо с помощью помехоустойчивого кодирования. Кодирование способного исправлять ошибки в агрегатах данных гораздо меньшего объема, чем емкости современных жестких дисков.
Внесение избыточности на уровне данных практикуется достаточно давно. Для обеспечения повышенной надежности хранения данных используются комплексы жестких дисковых накопителей, реализующие различные типы RAID архитектур, помимо этого для резервного копирования, архивирования, структурированного хранения и восстановления различных данных в требуемые сроки. В ходе резервного копирования (backup) создаются копии последних версий файлов с целью быстрого восстановления работоспособности системы в случае возникновения аварийной ситуации. Такие копии, нередко называемые резервными, хранятся на носителях (магнитные ленты, магнитооптические диски, DVD RAM) определенный срок и затем перезаписываются.
Архивное копирование (archive) представляет собой процесс создания копий файлов, предназначенных для бессрочного или долговременного хранения. Носители, на которых хранятся данные копии, называют архивными (CD ROM или DVD ROM). Периодическое проведение архивного копирования позволяет иметь копии нескольких разных версий одних и тех же файлов.
Концепция структурированного хранения данных подразумевает организацию иерархической структуры, агрегирующей устройства хранения информации. Назначение структурированного хранения - удешевление процесса хранения редко используемых данных. Система структурированного хранения включает в себя устройства оперативного доступа, работающие без вмешательства оператора (HDD и роботизированные библиотеки магнитооптических дисков или ленточных носителей). Однако большие хранилища (в сотни Тбайт) не могут ограничиться только системами автоматического хранения. Даже в них одиночные накопители или, в случае роботизированных DVD ROM или DVD RAM библиотек, целые блоки из них заменяются операторами вручную.
Использование кодов с обнаружением и некоторым потенциалом для исправления ошибок получило широкое применение в средствах телекоммуникации.
Внесение избыточности на уровне приложений используется гораздо реже. Однако, многие, особенно сетевые, службы изначально поддерживают возможность работы с резервным или вообще с неограниченным заранее неизвестным количеством альтернативных служб. Введение такой возможности рекомендуется при разработке программного обеспечения, однако, сам процесс автоматического переключения на альтернативную службу должен подтверждаться криптографическим обменом первоначальной (установочной) информацией.
Анализ угроз потерь информации и стоимости обеспечения непрерывности бизнеса может выявить неоправданно высокие затраты на хранение данных, так как эта задача требует существенных затрат на построение сети хранения данных и ее эксплуатацию. В таком случае корпорации целесообразнее обратиться к SSP и арендовать у него необходимые ресурсы хранения с требуемыми параметрами качества.

Как сократить эксплуатационные расходы по обслуживанию КСПД? Какие «подводные камни» можно встретить на этом пути?

Прежде всего, как я уже говорил, сократить эксплуатационные расходы можно за счет их анализа и оптимизации. Помимо этого, необходимо последовательно проводить миграцию сетевой инфраструктуры к однородной среде пакетной коммутации. И, самое главное, отказаться от идей «натурального хозяйства» о оценить преимущества разделения труда с четко определенными договорными обязательствами между компанией со своей корпоративной сетью и оператором.
«Подводными камнями» на этом пути являются плохо обоснованные волевые решения руководителей, обусловленные недостаточной квалификацией корпоративных технических и финансовых специалистов готовящих варианты решения. Современная информационно-телекоммуникационная инфраструктура требует для своей оптимизации консалтинга специалистов. Затраты на их привлечение, кажущиеся неоправданно большими могут привести к ощутимой экономии эксплуатационных расходов.
Телефон: (495) 981-82-82 (многоканальный)
Факс: (495) 981-82-82
© 1997 – 2007 Newcom Port
All rights reserved