Информационно-аналитическая система обработки данных вакцинации населения
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
еров системы, в обязанности которых входит контроль за серверами и за всей локальной сетью в целом. В функции серверной также входит доступ к Интернету. Уровень безопасности - высокий.
Необходимо обеспечить безопасный доступ к Интернету.
Администрирование серверов возможно только из серверной.
Защита от несанкционированного доступа на структурном уровне реализуется рациональным разделением сети на сегменты. Чаще всего обеспечение безопасности в сети осуществляется разделением сети на сегменты и их защита с помощью фильтрующих маршрутизаторов.
Для обеспечения безопасности в защищенном внутреннем сегменте -необходимо ввести внутренний маршрутизатор, который бы обеспечивал контроль доступа к данным сегментам с помощью пакетной фильтрации.
Доступ из внутренней сети к информационным ресурсам сети неограничен.
Доступ сотрудников из внутренней сети учреждения в сеть Интернет должен осуществляться в зависимости от отдела, к которому принадлежит пользователь. Администраторы сети имеют неограниченный доступ в Интернет. Руководство, отдел аналитиков имеют доступ к Интернету по протоколам http/https, ftp.
Доступ из других сегментов сети в подсеть бухгалтерии запрещён по всем протоколам.
Описание общих ресурсов сети необходимых для работы учреждения.
Общими ресурсами сети есть общая БД учреждения, общий файловый сервер учреждения.
Доступ к общей БД предусматривает организацию операций чтения, записи и модификации различных данных по работе учреждения.
Прокси-сервер будет обеспечивать выход в Интернет для тех рабочих станций, которые не имеют к нему прямого подключения.
Также в сегменте сети необходимо выделить некоторый набор адресов для серверов общего пользования (DMZ). Поскольку доступ к данным серверам должен быть равноправный, то установим их на Backbone. Так как файловый сервер будет передавать по сети большие объемы данных, то необходимо обеспечить доступ не менее 1Gbps. Такие же требования и к серверу базы данных.
Все структурные подразделения предприятия требуют небольшой пропускной способности, следовательно, скорость передачи данных внутри сети будет 100 Мбит/с.
2.5.2Разделение сети на сегменты и размещение серверов
Необходимо обеспечить безопасный доступ к Интернету для всех отделов.
Необходимо ограничить доступ к данным бухгалтерии и дирекции только этими отделами.
Разбиение сети на сегменты было проведено с целью оптимизации сетевого трафика и/или повышения безопасности сети в целом. Каждый физический сегмент сети ограничен сетевым устройством уровня 2 модели OSI (таким как коммутатор), обеспечивающим соединение узлов сегмента с остальной сетью.
Число ПК в каждом помещении выбирается в зависимости от его назначения. Общее число рабочих станций в сети - 17, следовательно, будет целесообразно разделить сеть с помощью коммутаторов на подсети (используя стандарт VLAN).
Как правило, сеть разделяют на демилитаризованную зону и основную приватную сеть с помощью внешнего маршрутизатора. Если необходима защита отдельных отделов предприятия от остальных, то дополнительно вводится безопасная внутренняя сеть, которая отделяется от основной приватной сети внутренним маршрутизатором.
Теперь рассмотрим саму структуру Backbone. Backbone состоит из центрального коммутатора, который соединен с коммутаторами от разных разделов, и пограничным маршрутизатором. К центральному коммутирующему устройству выдвигаются требования по быстродействию, поддержке технологии VLAN, а также стандарта 802.1p, который отвечает за приоритезацию входных пакетов. Приоритезация необходима для того, чтобы обмен между более приоритетными отделами сети происходили без особых задержек. Пограничный маршрутизатор выступает в роли разделителя между нашей корпоративной сетью и сетью Интернет. К нему также выдвигаются требования по быстродействию коммутации пакетов, а также поддержка всех сервисов в сети Интернет.
Защита от несанкционированного доступа на структурном уровне реализуется рациональным разделением сети на сегменты. Чаще всего обеспечение безопасности в сети осуществляется разделением сети на сегменты и их защита с помощью фильтрующих маршрутизаторов.
Как правило, сеть разделяют на демилитаризованную зону и основную приватную сеть с помощью внешнего маршрутизатора. Если необходима защита отдельных отделов предприятия от остальных, то дополнительно вводится безопасная внутренняя сеть, которая отделяется от основной приватной сети внутренним маршрутизатором.
Внешний маршрутизатор обеспечивает максимальную защиту сети при помощи пакетного фильтра, настроенного для блокировки всего трафика, кроме того, который поступает на гарантированно обслуживаемые сервисы в демилитаризованной зоне, а также исходящего и соответствующего ему входящего трафика.
Доступ из внешней сети возможен только к сервисам, расположенным в демилитаризованной зоне. Эти сервисы контролируются сетевыми администраторами. Остальная сеть не доступна извне без инициирования определённого трафика изнутри самой корпоративной сети.
Для обеспечения безопасности в защищенном внутреннем сегменте необходимо ввести внутренний маршрутизатор, который бы обеспечивал контроль доступа к данным сегментам с помощью пакетной фильтрации.
Доступ из внутренней сети к информационным ресурсам сети неограничен.
Доступ сотрудников как мобильных польз