ПМ.03

Билет 1.

1. Активное и пассивное сетевое оборудование. СКС. Оборудование для диагностики и сертификации кабельных систем.

2. Стандарт симметричного шифрования AES Rijndael.

3. Выполнить резервное копирование стандартными средствами ОС Windows.

1. Сетевое оборудование – устройства, необходимые для функционирования компьютерной сети.

Сетевое оборудование разделяют на активное и пассивное оборудование. Активное сетевое оборудование Активное оборудование содержит электронные схемы, которые питаются от электрической сети или других источников и выполняют функции усиления, преобразования сигналов и др. Активное оборудование обрабатывает сигнал по специальным алгоритмам.

Передача данных в сетях происходит пакетами данных, каждый из которых содержит также дополнительную техническую информацию (сведения о его источнике, цели, целостности информации и др.), которая позволяет доставить пакет по назначению. В задачи активного сетевого оборудования входит не только уловить и передать сигнал, но и обработать эту техническую информацию, вследствие чего перенаправить и распределить поступающие потоки в соответствии со встроенными в память устройства алгоритмами. Именно эта особенность и питание от сети является признаком активного оборудования.

К активному оборудованию относятся следующие типы устройств:

• сетевой адаптер – дополнительное устройство, которое устанавливается в ПК и обеспечивает его взаимодействие с другими устройствами сети. В современных ПК и ноутбуках контроллер и компоненты, которые выполняют функции сетевой карты, в основном уже интегрированы в системные платы. Также существуют: внутренние сетевые платы – отдельные платы, которые подключаются через ISA, PCI или PCI−E слот; внешние сетевые платы, которые подключаются через LPT, USB или PCMCIA интерфейс (в основном используются в ноутбуках).

• Концентратор (активный хаб, многопортовый репитер) – сетевое устройство с 4−48 портами, которое применяется для объединения ПК в сеть с применением кабеля «витая пара». Концентраторы также имеют разъёмы для подключения к сетям на базе коаксиального кабеля. В настоящее время вытеснены сетевыми коммутаторами.

• Репитер, повторитель – сетевое оборудование, предназначенное для увеличения длины сетевого соединения путём повторения сигнала на физическом уровне. Бывают однопортовые и многопортовые репитеры. От концентратора отличается тем, что у репитера гораздо меньше время задержки, т.к. он, как правило, имеет два разъема для подключения кабеля. Ему не нужно где-то концентрировать сигнал и распространять на остальные выходы. Многопортовые повторители для витой пары принято называть сетевыми концентраторами (хабами), а коаксиальные – повторителями (репитерами).

• Мост – сетевое устройство с 2 портами, которое предназначено для объединения нескольких сегментов компьютерной сети в единую сеть, осуществляет фильтрацию сетевого трафика, разбирая сетевые (MAC) адреса

• Коммутатор (свитч) – сетевое устройство, которое предназначено для объединения нескольких узлов компьютерной сети. Коммутаторы разработаны с использованием мостовых технологий, потому часто называются многопортовыми мостами. Отличается от концентратора, который распространяет трафик от одного подключённого устройства ко всем остальным, тем, что он передаёт данные только непосредственно получателю. Таким образом, сегменты сети, которым не предназначались данные, избавляются от необходимости их обрабатывать, что, безусловно, приводит к повышению производительности и безопасности сети. Исключением может быть широковещательный трафик для всех узлов сети и трафик для устройств, исходящий порт коммутатора которых неизвестен.

• Маршрутизатор (роутер) – имеет 2 или больше сетевых интерфейса и пересылает пакеты данных между различными сегментами сети. Роутер позволяет осуществлять фильтрацию сетевого трафика, разбирая сетевые (IP) адреса. В основном используется для объединения сетей разных типов, которые часто бывают несовместимыми по архитектуре и протоколам. Например, чтобы объединить локальные сети Ethernet и WAN-соединения. Часто роутер используют для обеспечения доступа из локальной сети в Интернет. Роутеры для домашнего использования обычно являются малопортовыми и обеспечивают подключение домашней сети ПК к каналу связи провайдера Интернета.

• Медиаконвертер (преобразователь среды) – сетевое устройство, которое преобразует среду распространения сигнала из одного типа в другой. Обычно средой распространения сигнала являются медные провода и оптические кабели. Как правило, медиаконвертер имеет 2 порта.

• Сетевой трансивер – устройство, которое предназначено преобразования интерфейса передачи данных (RS232−V35, AUI−UTP). Обычно имеет 2 порта.

Пассивное сетевое оборудование – сетевое оборудование, которое не питается от электросети или других источников, и предназначено для выполнения функций распределения или снижения уровня сигналов. Пассивным сетевым оборудованием является:

• Структурированная кабельная система (СКС) состоит из набора кабелей и коммутационного оборудования, включает методику их совместного использования, которая позволяет создавать регулярные расширяемые структуры связей в локальных сетях различного назначения. СКС является физической основой инфраструктуры здания, которая позволяет свести в единую систему множество сетевых информационных сервисов разного назначения: локальные вычислительные сети и телефонные сети, системы безопасности, видеонаблюдения и т.д.

• Коммутационная панель (кросс-панель, патч-панель) – составная часть СКС, выполненная в виде панели с множеством соединительных разъёмов, которые расположены на лицевой стороне панели. На тыльной ее стороне размещены контакты, которые предназначены для фиксированного соединения с кабелями и соединены с разъёмами электрически. 

• Вилка/розетка (RG58, RJ45, RJ11, GG45) и т.д.

Схемы обжима витой пары. Оптоволоконный кабель, сварка

Условно, оборудование для диагностики и сертификации кабельных систем можно поделить на четыре основные группы: сетевые анализаторы, приборы для сертификации кабельных систем, кабельные сканеры и тестеры (мультиметры). Для выбора соответствующего оборудования нужно правильно представлять, для какой цели оно будет использоваться.

Вид операций	Применяемое оборудование
Проверка кабеля на отсутствие физического обрыва	Тестеры
Диагностика медных кабельных систем.	Кабельные сканеры
Сертификация кабельных систем на соответствие определенному стандарту, диагностика кабельных систем	Портативные устройства  для сертификации кабельных систем
Эталонное тестирование кабелей различных категорий	Сетевой анализатор

Сетевые анализаторы (не следует путать их с анализаторами протоколов) -это эталонные измерительные инструменты для диагностики и сертификации кабелей и кабельных систем. Сетевые анализаторы содержат высокоточный частотный генератор и узкополосный приемник. Передавая сигналы различных частот в передающую пару и измеряя сигнал в приемной паре, можно измерить затухание и NEXT. Сетевые анализаторы - это прецизионные крупногабаритные и дорогие (стоимостью более $20.000) приборы, предназначенные для использования в лабораторных условиях специально обученным персоналом

Тестеры (омметры)

Тестеры кабельных систем- наиболее простые и дешевые приборы для диагностики кабеля. Они позволяют определить непрерывность кабеля, однако, в отличие от кабельных сканеров, не обозначают, где произошел сбой.

Кабельные сканеры

Приборы позволяют определить длину кабеля, NEXT, затухание, импеданс, схему разводки, уровень электрических шумов и оценить полученные результаты. В отличие от сетевых анализаторов сканеры могут быть использованы не только специалистами, но даже администраторами-новичками.

2. коротко об алгоритмах шифрования. Выделим следующие типы:

1. Симметричные алгоритмы шифрования (DES, AES, ГОСТ 28147-89)

2. Ассиметричные алгоритмы шифрования или с алгоритмы открытым ключом (RSA, ГОСТ 34.10-2001)

В первом случае для шифрования и расшифровывания используется один и тот же ключ, такой ключ должен сохраняться в секрете.

Во втором случае используется пара ключей: закрытый и открытый. Открытый используется для шифрования, а закрытый ключ для расшифровки сообщения.

Мы будем говорить о симметричном шифре, поэтому выделим разновидности симметричных шифров:

1. Блочные шифры

2. Поточные шифры

Блочные шифры – работают блоками, блок – совокупность бит фиксированной длины. Таким образом, сообщение разбивается на блоки, затем эти блоки каким-то образом шифруются. Употребил слово «каким-то», т.к существуют различные режимы работы.

Например, самый простой и самый очевидный режим – ECB (Electronic Codebook): каждый блок шифруется, а затем все блоки складываются (имеется ввиду сложение строк). Рисунок ниже, демонстрирует этот режим работы. Существуют следующие режимы: CBC, PCBC, CFB, OFB, CTR.

Поточные шифры – такой вид шифра, в котором отдельный символ открытого сообщения переходит в символ(ы) шифротекста, причем результат шифра (речь идет о отдельно взятом символе) зависит от ключа и расположения символа в открытом сообщение.

Простейший случай: открытый текст складывается с гаммой (XOR) и т.д. Отметим, что гамма- случайная последовательность символов (чисел)

Стоит отметить, что при определенных условиях блочные шифры можно представить в виде потокового шифра

Краткое введении в AES (Advanced Encryption Standard).

Является симметричным блочным алгоритмом шифрования. Оперирует блоком в 128 бит, ключом размера 128/192/256 бит.

• State (форма)– матрица (двумерный массив) байтов, расположенных следующем образом :

• Round (раунд) – итерация цикла преобразования над State (формой). Количество итераций зависит от длины ключа, чем больше длина ключа, тем больше итераций.

• Round key (раундовый ключ) ― уникальный ключ, который применяется в каждом отдельном в раунде.

• S-Box (таблица подстановок) –таблица, которая задает отображение одного байта в другой (биективное отображение):

• Обратная таблица подстановок ― аналогично S-Box, задает обратное отображение:

Как происходит шифрование.

Шифрование состоит из следующих функций преобразования:

1. ExpandKey — Функция для вычисления всех раундовых ключей;

2. SubBytes — Функция для подстановки байтов, использующая таблицу подстановок;

3. ShiftRows — Функция, обеспечивающая циклический сдвиг в форме на различные величины;

4. MixColumns — Функция, которая смешивает данные внутри каждого столбца формы;

5. AddRoundKey — Сложение ключа раунда с формой.

Где Nr – количество раундов.

Расшифрование происходит аналогичным образом, только в обратном порядке. 

Билет 2.

1. Физическая карта всей сети; логическая схема компьютерной сети. Расширяемость сети и масштабируемость сети.

2. Защита программ от несанкционированной эксплуатации за счёт привязки к носителю информации.

3. Монтаж соединителя муфты на оптоволокно

1. Под логической топологией сети мы будем подразумевать структуру связи конечных узлов в нашей локальной сети, которая поддерживает нужные нам направления передачи данных.

Под физической топологией сети мы будем подразумевать схему, по которой проложены кабельные линии связи.

(привести пример функциональной схемы и схемы размещения оборудования)

Расширяемость (extensibility) означает возможность сравнительно легкого добавления отдельных элементов сети (пользователей, компьютеров, приложений, служб), наращивания длины сегментов сети и замены существующей аппаратуры более мощной. При этом принципиально важно, что легкость расширения системы иногда может обеспечиваться в некоторых весьма ограниченных пределах. Например, локальная сеть Ethernet, построенная на основе одного сегмента толстого коаксиального кабеля, обладает хорошей расширяемостью, в том смысле, что позволяет легко подключать новые станции. Однако такая сеть имеет ограничение на число станций - их число не должно превышать 30-40. Хотя сеть допускает физическое подключение к сегменту и большего числа станций (до 100), но при этом чаще всего резко снижается производительность сети. Наличие такого ограничения и является признаком плохой масштабируемости системы при хорошей расширяемости.

Масштабируемость (scalability) означает, что сеть позволяет наращивать количество узлов и протяженность связей в очень широких пределах, при этом производительность сети не ухудшается. Для обеспечения масштабируемости сети приходится применять дополнительное коммуникационное оборудование и специальным образом структурировать сеть. Например, хорошей масштабируемостью обладает многосегментная сеть, построенная с использованием коммутаторов и маршрутизаторов и имеющая иерархическую структуру связей. Такая сеть может включать несколько тысяч компьютеров и при этом обеспечивать каждому пользователю сети нужное качество обслуживания.

Потребность в увеличении скорости является, вероятно, наиболее распространенной причиной модернизации сети. Она может привести к обновлению оборудования, например маршрутизаторов или самих каналов. Если производительность сети недостаточна, то первое, что следует сделать, — выяснить уровень загруженности каналов.

В качестве эмпирического правила обычно принимается, что емкость канала или интерфейса следует увеличить, когда уровень его загруженности достигает 70%. Если пропускная способность канала достаточна, то причина может лежать в адекватной производительности оборудования.

Прежде всего внимание следует обратить на старое оборудование, в частности мосты между локальными сетями. В этом случае наилучшим решением будет замена оборудования, а не его модернизация.

Однако часто появление узких мест является следствием увеличения трафика или нагрузки на такие системы, как серверы или маршрутизаторы, ранее обеспечивавшие нормальную производительность. Ответ на вопрос, что лучше — модернизировать или заменить такие системы, зависит от стоимости каждого из решений и его влияния на поддерживаемые сервисы. Рассмотреть следует оба пути, чтобы определить, какого рода модернизация наиболее оправдана.

Например, отключение сервера на выходные для увеличения объема оперативной памяти или установки еще одной сетевой платы не приведет к заметным простоям, будет стоить недорого и практически всегда оправдано. Однако когда модернизация имеет более существенные последствия для непрерывности сервиса, скажем, при переводе локальной сети от компактной магистрали на базе концентратора/маршрутизатора к коммутируемой среде, то такое решение должно иметь веские основания — желательно, чтобы оно подкреплялось планом реализации.

Кроме того, неадекватная производительность может быть связана с длительной задержкой в сети. Причиной задержки может стать медленное оборудование или каналы либо неэффективность сетевых протоколов или прикладных сервисов, например медленная обработка сообщений сервером SMTP.

Эти проблемы реально решить посредством модернизации, но сам процесс может оказаться весьма извилистым и занять много времени. Обоснование часто сводится к анализу экономических выгод «а стоит ли это делать», с учетом как бизнес-целей, так и удобства работы.

В других случаях задержка может быть связана с необходимостью преобразования форматов, обеспечения межсетевой защиты и контроля доступа или даже с большими расстояниями между конечными точками. Функции защиты и преобразование форматов предполагают аппаратную реализацию. В этом случае стоимость модернизации будет трудно обосновать без анализа экономических выгод.

Необходимость внесения изменений в сеть может быть вызвана и другими причинами, в частности потребностью обеспечения взаимодействия между сетями и системами при слиянии двух компаний. В этом случае все определяется требованиями бизнеса.

Другим побудительным мотивом может стать необходимость ликвидации периодических или хронических проблем в функционировании сети или при управлении ею. Такую модернизацию обычно можно обосновать улучшением сервиса и сокращением затрат на обслуживание и управление сетью.

Стимулом для модернизации может также стать желание получить новые возможности администрирования. Упрощение обслуживания сети является веским основанием для приобретения административного инструментария, такого, как программное обеспечение для инвентаризации настольных систем. Чтобы еще более подкрепить его, модернизацию можно увязать с такими осязаемыми выгодами, как оптимизация закупок.

Необходимость стандартизации вычислительной среды для реализации планируемых приложений или сервисов также может потребовать модернизации. В этой ситуации обоснование обычно не составляет проблем: стандартная среда позволит оптимизировать закупки, снизить затраты на обслуживание и обучение и упростить предоставление требуемых сервисов.

Часто модернизация одного элемента сети вызывает необходимость модернизации связанных с ним элементов инфраструктуры сети. Например, если локальная сеть модернизируется до Ethernet на 100 Мбит/с и на всех пользовательских системах устанавливаются соответствующие сетевые платы, то это может потребовать также и модернизации сервера.

С появлением в результате увеличения емкости сети возможности реализации новых приложений, которым необходимы гарантии на QoS, провайдерам услуг «потребуются более мощные средства измерения и контроля для «раскрашивания» IP-пакетов в соответствии с ожиданиями отправителя в отношении QoS. В этом случае обоснованием может служить необходимость выполнения соглашений об уровне сервиса (Service Level Agreement, SLA). Однако реализация QoS в существующей сети приведет к увеличению на 20% накладных расходов при передаче трафика и заметно скажется на общей производительности межсетевых устройств. Переход к современной, более эффективной межсетевой инфраструктуре позволяет компенсировать эти потери, обеспечив при этом поддержку QoS и общее улучшение обслуживания.

2. разобьем любую систему защиты на 2 подсистемы:

1) способ нанесения любого не копируемого лейбла (метки) на любой носитель так, чтобы при дублировании кустарным способом данный лейбл не копировался.

2) Внедренный в приложение модуль, который анализирует носитель (CD-ROM, HASP) на присутствие данной метки. Подсистема противодействует отладчикам, для невозможности получения за один момент времени полного дампа защищаемой программы в памяти.

На этих двух принципах работают все или почти все системы защиты и нового здесь придумать нечего (или практически нечего), дело за "немногим": нужно найти способ создания особых, невоспроизводимых, меток (1ая подсистема) и надежный, не вскрываемый модуль, анализирующий лейбл (2ая подсистема). 

Подсистема №1

Обычно проблему идентификации носителя осуществляют несколькими способами: это и создание на диске не копируемых меток, и нестандартное форматирование носителей, и заведомая порча носителя в строго определенных местах. Цель манипуляций проста: создать дефект, неподдающийся дублированию.

Недостатки: Уже давно есть утилиты, которые копируют все и вся, невзирая на лейблы. Сбойные сектора давно эмулируются драйверами виртуальных устройств. 

Подсистема №2

В защищаемое приложение внедряется код, анализирующий не копируемую метку или HASP, и только в случае успешного обнаружения такового запускает защищаемое приложение. Все остальное - это методы противодействия отладчикам и дизассемблерам, для обеспечения максимального противодействия хакерам во вскрытии: в частности максимальная маскировка момента проверки наличия метки и деактивации фрагмента кода.

В различных защитах используются разные подходы, реализованные с разными степенями надежности. Если писать об основных приемах написания защит, то можно выделить следующие:

• Защита пишется целиком на ассемблере;

• Присутствуют механизмы расчета контрольных сумм;

• Используются отладочные прерывания в собственных целях (и иные антитрассировочные способы);

• Шифруются фрагменты кода;

• Используются механизмы многопоточности;

• Вбрасывают "мусор" в тело защиты, для запутывания хакера;

Недостатки: Большинство защит имеют одну точку проверки, которая относительно легко отслеживается и блокируется. Очень редко используется неявная размазанная защита, когда точек проверки валидности больше и они размыты по всему приложению. Шифрованием блоков кодов не всегда можно абсолютно скрыть логику защиты, поскольку обычно, разработчики защит ленятся создавать динамическое шифрование (защита по схеме: расшифровал, исполнил, зашифровал).

Билет 3.

1. Техническая и проектная документация. Классификация регламентов технических осмотров, технические осмотры объектов сетевой инфраструктуры.

2. Основы технологии виртуальных защищённых сетей VPN.

3. Монтаж муфты на оптический кабель (с пигтейлами)

1. Проектирование ЛВС должно проводиться в соответствии с Постановлением Правительства РФ от 16.02.2008 № 87 «О составе разделов проектной документации и требованиях к их содержанию», региональными строительными нормами и требованиями технического задания. При проектировании ЛВС должны учитываться требования существующего законодательства и нормативных документов по экологии, охране труда и пожарной безопасности.

В начале всех работ исполнителем проводится предпроектное обследование, целями которого являются определение комплекса мероприятий и разработка технических предложений с учетом сформированных типовых решений. По результатам обследования разрабатывается техническое задание (ТЗ) на проектирование, являющееся основой для создания любого проекта. В идеальном случае развернутое техническое задание на проектирование компьютерной сети должен предоставить заказчик.

Проектная документация ЛВС (стадия «П»). Разработанная концепция ЛВС и техническое задание на ее проектирование дает основания для создания эскизного плана ЛВС — единого комплекса решений, предназначенного для обеспечения заданного режима эксплуатации ЛВС. Эскизный проект определяет оптимальную структуру ЛВС и трассу прокладки кабельных проводок, расположение и состав ОСИС организации, представление о бюджете проекта, а также ряд других параметров, которые позволят облегчить выбор конкретных решений. Проектная документация ЛВС представляет собой текстовые и графические материалы, определяющие объемно-планировочные, конструктивные и технические решения для строительства или реконструкции (модернизации) ЛВС. Основой для разработки проекта ЛВС служат архитектурно-строительная, технологическая и инженерная части технического задания.

Рабочая документация ЛВС (стадия «Р»). На следующем этапе разрабатывается рабочая документация ЛВС, которая используется на этапе строительства ЛВС. Составив и согласовав с заказчиком ТЗ на проектирование сети и состав проектной документации, специалисты исполнителя приступают к разработке рабочей документации, включающей в себя документы, чертежи, схемы, журналы и описания, необходимые для производства работ на объекте заказчика. Рабочая документация (по сути — рабочий проект) описывает, что, где, каким образом и согласно каким стандартам, нормам и правилам должно быть установлено на объекте.

Перед тем как приступить к работам, сотрудники исполнителя в обязательном порядке согласовывают с заказчиком разработанную рабочую документацию. Затем начинается монтаж объектов сетевой инфраструктуры (ОСИС).

По завершении работ выпускается исполнительная документация, которая некоторым образом повторяет рабочий проект ЛВС, но учитывает все изменения, внесенные в рабочий проект ЛВС в течение производства монтажных и наладочных работ, а также результаты тестирования телекоммуникационного оборудования и кабельных линий. Исполнительная документация передается заказчику, а также эксплуатационной службе здания, где смонтированы ОСИС. Исполнительная документация необходима для системных администраторов, службы эксплуатации здания, для обслуживания и возможности дальнейшей модернизации сети.

Заключительным этапом проектирования ЛВС является разработка сметной документации, в которой определяется полная стоимость оборудования, строительно-монтажных и пусконаладочных работ.

После завершения проектирования ЛВС и создания рабочей документации, согласно которой будут осуществляться работы по построению всей сетевой инфраструктуры на объекте, проводится контроль соответствия выполнения работ проектной документации. Этой цели служит авторский надзор — следующее звено технологической цепочки при создании инженерных систем. Авторский надзор подразумевает постоянное участие и контроль над технологией монтажа со стороны отдела технического контроля компании исполнителя. Наличие данного этапа очень важно, поскольку позволяет избежать ошибок во время выполнения работ и исключает возможность несоответствия построенной системы и согласованного проекта ЛВС. В процессе выполнения работ иногда возникает необходимость корректировки рабочего проекта сети. При наличии авторского надзора эти моменты выполняются обычно быстро и безболезненно, с последующей фиксацией в исполнительной документации.

Завершается цикл работ по инсталляции ЛВС подписанием акта приемки-сдачи. Порядок безопасной технической эксплуатации ОСИС обычно регламентирует документ «Правила эксплуатации и хранения техники. Эксплуатация ЛВС».

Если говорить о технической документации для использования внутри компании, то первое, что приходит на ум это описание сетей и серверов.

Архитектура сети.

• соответствие розеток к портам патч-панелей;

• соответствие подключения портов патч-панелей к портам сетевого оборудования;

• описание подключения на свитчах пользователей;

• описание подключения на свитчах серверов и соединений между свитчами;

• описание маршрутизации между сетевым оборудованием;

• таблица используемых ip адресов рабочими станциями;

• графическая схема сети.

Описание подключения портов патч-панелей и свитчей необходимо вести в виде рабочего журнала, который дополняется и обновляется по мере переключений. Это нужно для полной ясности что к чему подключено и как взаимодействует.

Если у вас используется «интелектуальное» сетевое оборудование и особенным образом настроена маршрутизация, это так же стоит описать.

Схема доступа в Интернет.

Закончив описание локальной сети, дополните документ описанием схемы доступа в глобальную сеть. Опишите настройки вашего шлюза и файрвола (например, если сделан проброс портов на внутренние адреса). Если у вас используется система переключения на резервный канал в случае падения основного – расскажите и об этом тоже. 

Информация о серверах.

• аппаратная часть;

• установленное программное обеспечение;

• предоставляемые сервисы;

• сетевые подключения.

Аппаратную часть полезно знать для планирования увеличения ресурсов существующих серверов. Да и при обосновании предложений по закупкам нового оборудования лучше всего опираться на то, что имеется и почему имеющегося не хватает для удовлетворения потребностей компании.

Логичным продолжением описания ПО станет описание предоставляемых сервисов. Другими словами, чёткое изложение какую роль в работе сети играет тот или иной сервер, кого он обслуживает и за что отвечает. Может быть в момент составления такой структуры вы поймёте что тот или иной сервис было бы неплохо перенести на другой сервер.

Под сетевым подключением подразумевается IP адрес сервера, а если он находится во внешней сети, то и открытые во внешний мир сервисы. Если вам потребуется срочно ограничить сетевую активность на определённых портах, то по составленному документу вы чётко будете знать, что делать.

Антивирусы и центры обновлений.

Описывая сервера не забудьте упомянуть об используемых антивирусах. Это могут быть отдельные клиентские программы на каждом компьютере или корпоративные версии программ. Где серверное приложение занимается скачиванием обновлений и распространений их среди клиентских машин. Удобно, быстро и экономно.

Система резервного копирования.

Когда вы закончили описывать сервера вашей компании, самое время описать используемую систему резервного копирования. Указать, какой из компьютеров за это отвечает, какое программное и аппаратное обеспечение для этого использует. Стоит так же задокументировать и выстроенную вами схему хранения резервных копий.

КЛАССИФИКАЦИЯ РЕГЛАМЕНТОВ ТЕХНИЧЕСКИХ ОСМОТРОВ

Согласно нормативно-технической документации техническое обслуживание — это комплекс технических и организационных мероприятий, осуществляемых в процессе эксплуатации технических объектов в целях обеспечения требуемой эффективности выполнения ими заданных функций.

В настоящее время в практике эксплуатации сетей используются три основных метода ТО: профилактический, статистический, восстановительный.

Ранее был широко распространен профилактический метод ТО оборудования.

Технологический процесс обслуживания оборудования при этом методе складывается из следующих основных видов работ:

а) профилактические проверки и измерения оборудования станции;

б) текущее обслуживание;

в) планово-предупредительный ремонт оборудования;

г) статистический учет технического состояния оборудования;

д) контроль за качеством работы.

Профилактические проверки проводятся по плану с определенной периодичностью в часы наименьшей нагрузки, т.е. после 24.00 до 6.00. Планово-предупредительный ремонт включает в себя плановый ремонт аппаратуры, приборов, механизмов, аппаратов, линий и т.д. При этом при необходимости приборы снимают с рабочих мест, разбирают их, чистят, складывают, регулируют.

Опыт применения профилактического метода проверок показал, что они:

• фактически не улучшают состояние оборудования, а лишь выявляют часть имеющихся в данный момент повреждений, причем отсутствует дифференцированный подход к состоянию оборудования;

• при удовлетворительном состоянии оборудования обнаруживают очень мало повреждений несмотря на большие эксплуатационные расходы;

не обоснованно применяются ко всему оборудованию, независимо от его состояния приводят к новым дополнительным повреждениям со стороны самого технического персонала;

• снижают качество обслуживания абонентов из-за недостатка каналов, возникающих при выключении части оборудования вовремя проверок;

Статистический метод ТО сетевых объектов, известный еще под названием «контрольно-корректирующий метод» (ККМ). Сущность этого метода заключается в сборе статистических данных о работе сетевых объектов с последующем анализом собранных данных и сопоставлении показателей качества с предельно допустимыми нормативными величинами.

Другим прогрессивным методом ТО, является восстановительный метод, при котором профилактические проверки не проводятся, а исправляются лишь повреждения, обнаруженные и выявленные согласно заявкам абонентов и (или) с помощью сигнализации.

Восстановительный метод требует значительно меньших затрат по сравнению с профилактическим и статистическим методами ТО. Этот метод предназначен для оборудования, которое работает безотказно, с заранее заданными потерями в течение определенного времени, до предусмотренной планом его замены, что свойственно современной цифровой технике.

При наличии аппаратуры автоматического контроля сетевое оборудование находится под постоянным, непрерывным наблюдением, а выявленные повреждения автоматически фиксируются и выдаются на монитор оператора. Это позволяет своевременно восстанавливать работоспособность устройств и (или) корректировать их характеристики.

Простой связи при данном методе сведен до минимума, а качество связи улучшается при сокращении расходов на техническую эксплуатацию. Кроме того, применение автоматизированного программированного контроля оборудования средств телекоммуникации способствует повышению дисциплины обслуживания.

2. В основе концепции построения виртуальных сетей VPN лежит достаточно простая идея: если в глобальной сети имеются два узла, которым нужно обменяться информацией, то между этими двумя узлами необходимо построить виртуальный защищенный туннель для обеспечения конфиденциальности и целостности информации, передаваемой через открытые сети; доступ к этому виртуальному туннелю должен быть чрезвычайно затруднен всем возможным активным и пассивным внешним наблюдателям.

Преимущества, получаемые компанией от создания таких виртуальных туннелей, заключаются прежде всего в значительной экономии финансовых средств, поскольку в этом случае компания может отказаться от построения или аренды дорогих выделенных каналов связи для создания собственных intranet/extranet сетей и использовать для этого дешевые Интернет-каналы, надежность и скорость передачи которых в большинстве своем уже не уступает выделенным линиям. Очевидная экономическая эффективность от внедрения VPN-технологий стимулирует предприятия к активному их внедрению.

Виртуальной защищенной сетью VPN (Virtual Private Network) называют объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность циркулирующих данных. Виртуальная защищенная сеть VPN формируется путем построения виртуальных защищенных каналов связи, создаваемых на базе открытых каналов связи общедоступной сети. Эти виртуальные защищенные каналы связи называются туннелями VPN. Сеть VPN позволяет с помощью туннелей VPN соединить центральный офис, офисы филиалов, офисы бизнес-партнеров и удаленных пользователей и безопасно передавать информацию через Интернет.

Туннель VPN представляет собой соединение, проведенное через открытую сеть, по которому передаются криптографически защищенные пакеты сообщений виртуальной сети. Защита информации в процессе ее передачи по туннелю VPN основана:

• на аутентификации взаимодействующих сторон;

• криптографическом закрытии (шифровании) передаваемых данных;

• проверке подлинности и целостности доставляемой информации.

Для этих функций характерна взаимосвязь друг с другом. При их реализации используются криптографические методы защиты информации. Эффективность такой защиты обеспечивается за счет совместного использования симметричных и асимметричных криптографических систем. ТуннельVPN, формируемый устройствами VPN, обладает свойствами защищенной выделенной линии, которая развертывается в рамках общедоступной сети, например Интернета. Устройства VPN могут играть в виртуальных частных сетях роль VPN-клиента, VPN-сервера или шлюза безопасности VPN.

VPN-клиент представляет собой программный или программно-аппаратный комплекс, выполняемый обычно на базе персонального компьютера. Его сетевое ПО модифицируется для выполнения шифрования и аутентификации трафика, которым это устройство обменивается с другими VPN-клиентами, VPN-серверами или шлюзами безопасности VPN.

VPN-сервер представляет собой программный или программно-аппаратный комплекс, устанавливаемый на компьютере, выполняющем функции сервера.VPN-сервер обеспечивает защиту серверов от НСД из внешних сетей, а также организацию защищенных соединений (ассоциаций) с отдельными компьютерами и с компьютерами из сегментов локальных сетей

Шлюз безопасности VPN (security gateway) — это сетевое устройство, подключаемое к двум сетям и выполняющее функции шифрования и аутентификации для многочисленных хостов, расположенных за ним. Размещен шлюз безопасности VPN так, чтобы через него проходил весь трафик, предназначенный для внутренней корпоративной сети. Сетевое соединение шлюза VPN прозрачно для пользователей позади шлюза, и представляется им выделенной линией, хотя на самом деле прокладывается через открытую сеть с коммутацией пакетов. Адрес шлюза безопасности VPN указывается как внешний адрес входящего тунне-лируемого пакета, а внутренний адрес пакета является адресом конкретного хоста позади шлюза. Шлюз безопасности VPNможет быть реализован в виде отдельного программного решения, отдельного аппаратного устройства, а также в виде маршрутизатора или МЭ, дополненных функциями VPN.

Открытая внешняя среда передачи информации включает как каналы скоростной передачи данных, в качестве которой используется сеть Интернет, так и более медленные общедоступные каналы связи, в качестве которых обычно применяются каналы телефонной сети. Эффективность виртуальной частной сети VPN определяется степенью защищенности информации, циркулирующей по открытым каналам связи. Для безопасной передачи данных через открытые сети широко используют инкапсуляцию и туннелирование. С помощью методики туннелиро-вания пакеты данных передаются через общедоступную сеть, как по обычному двухточечному соединению. Между каждой парой «отправитель — получатель данных» устанавливается своеобразный туннель — логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого.

Суть туннелирования состоит в том, чтобы инкапсулировать, т. е. «упаковать», передаваемую порцию данных, вместе со служебными полями, в новый «конверт». При этом пакет протокола более низкого уровня помещается в поле данных пакета протокола более высокого или такого же уровня. Следует отметить, что туннелирование само по себе не защищает данные от НСД или искажения, но благодаря туннелированию появляется возможность полной криптографической защиты инкапсулируемых исходных пакетов. Чтобы обеспечить конфиденциальность передаваемых данных, отправитель шифрует исходные пакеты, упаковывает их во внешний пакет с новым IP-заголовком и отправляет по транзитной сети (рис. 10.2).

Особенность технологии туннелирования в том, что она позволяет зашифровывать исходный пакет целиком, вместе с заголовком, а не только его поле данных. Это важно, поскольку некоторые поля заголовка содержат информацию, которая может быть использована злоумышленником. В частности, из заголовка исходного пакета можно извлечь сведения о внутренней структуре сети — данные о количестве подсетей и узлов и их IP-адресах. Злоумышленник может использовать такую информацию при организации атак на корпоративную сеть. Исходный пакет с зашифрованным заголовком не может быть использован для организации транспортировки по сети. Поэтому для защиты исходного пакета применяют его инкапсуляцию и туннелирова-ние. Исходный пакет зашифровывают полностью, вместе с заголовком, и затем этот зашифрованный пакет помещают в другой внешний пакет с открытым заголовком. Для транспортировки данных по открытой сети используются открытые поля заголовка внешнего пакета.

По прибытии в конечную точку защищенного канала из внешнего пакета извлекают внутренний исходный пакет, расшифровывают его и используют его восстановленный заголовок для дальнейшей передачи по внутренней сети (рис. 10.3).

Варианты построения виртуальных защищенных каналов

Безопасность информационного обмена необходимо обеспечивать как в случае объединения локальных сетей, так и в случае доступа к локальным сетям удаленных или мобильных пользователей. При проектировании VPN обычно рассматриваются две основные схемы: 1) виртуальный защищенный канал между локальными сетями (канал ЛВС—ЛВС);

2) виртуальный защищенный канал между узлом и локальной сетью (канал клиент—ЛВС) (рис. 10.4).

Схема 1 соединения позволяет заменить дорогостоящие выделенные линии между отдельными офисами и создать постоянно доступные защищенные каналы между ними. В этом случае шлюз безопасности служит интерфейсом между туннелем и локальной сетью, при этом пользователи локальных сетей используют туннель для общения друг с другом.

Схема 2 защищенного канала VPN предназначена для установления соединений с удаленными или мобильными пользователями. Создание туннеля инициирует клиент (удаленный пользователь). Для связи со шлюзом, защищающим удаленную сеть, он запускает на своем компьютере специальное клиентское ПО.

Этот вид VPN заменяет собой коммутируемые соединения и может использоваться наряду с традиционными методами удаленного доступа.

Билет 4.

1. SLA. Эксплуатация технических средств сетевой инфраструкту­ры.

2. Защита на канальном и сеансовом уровнях.

3. Привести к заводским настройкам маршрутизатор Cisco 1841.

1. Соглашение об уровне обслуживания — документ, формулирующий права и обязанности двух или более сторон в виде договора оказания услуг (к примеру, между некой компанией и ее поставщиком сетевых услуг). Основное назначение SLA — определить уровень услуг, оказываемых клиенту поставщиком согласно взаимной договоренности. Собственная ИТ-служба также может заключить договор об уровне обслуживания со своим внутрикорпоративным «клиентом».

Типовое соглашение об уровне сервиса (SLA) должно содержать следующие разделы:

• Контактные данные сторон, вовлеченных в соглашение, и срок его действия

• Описание услуги

• Техническая информация об услуге

• Поддерживаемое оператором абонентское оборудование

• Уровень и качество обслуживания

• Средства мониторинга и отчеты SLA

• Центр технической поддержки

• Механизм резервирования и восстановления услуги

• Нарушения обслуживания и компенсации

• Тарифы и выставление счетов

• Процесс улучшения SLA

• Порядок прекращения оказания услуги

1. Предмет соглашения (здесь все предельно просто) ООО "Зеленые тапочки", именуемое в дальнейшем «Заказчик», в лице генерального директора Козюпы В.А., действующего на основании Устава, с одной стороны, и ООО «Рога и копыта», именуемое в дальнейшем «Исполнитель», в лице генерального директора Пупкина А.С., действующего на основании Устава, с другой стороны, заключили настоящее Соглашение об уровне предоставляемого сервиса в рамках действующего Договора ИТ-аутсорсинга. Настоящий документ определяет критерии оценки качества услуг и их стоимости, оказываемых в соответствии с Договором, и является неотъемлемой частью Договора. Данное Соглашение отменяет заключенные ранее соглашения об уровне предоставляемого сервиса и стоимости работ, если таковые имели место.  Обговорили Рабочее время, которое считается общепринятым: 2. Рабочее время Стороны договорились о том, что рабочим временем является промежуток с 9:00 до 18:00 во все дни, кроме субботы, воскресенья и общегосударственных праздничных дней.  Теперь описываем метрики, которые будут использоваться в качестве основополагающих критериев в оценке качества предоставляемых услуг: 3. Метрики сервиса  Стороны договорились об использовании следующих метрик уровня сервиса:  3.1 Время реакции на обращение пользователя – время, прошедшее с момента поступления и регистрации запроса на обслуживание (сообщение пользователя о проблеме) до момента фактического начала работ по факту обращения. Временем поступления обращения считается момент поступления электронного письма на адрес support@pupkinservice.ru, регистрации сообщения через онлайн службу регистрации инцидентов, предоставленную Исполнителем, или телефонного звонка в службу технической поддержки с сообщением о проблеме.  3.2 Время решения проблемы – время, прошедшее с момента фактического начала работ над проблемой до закрытия заявки. Временем начала работы над проблемой считается момент отправки Заказчику уведомления о начале работ. Временем решения проблемы считается момент отправки Заказчиком сообщения, подтверждающего закрытие заявки. Подтверждение или опровержение выполнения работ должно быть отправлено Заказчиком в течение 1 часа с момента поступления от Исполнителя уведомления о выполнении заявки на обслуживание. В противном случае заявка считается закрытой автоматически, и временем закрытия заявки является момент отправки уведомления о завершении работ. Уведомления о начале и завершении работ направляются Исполнителем представителю Заказчика, от чьего имени поступила заявка на обслуживание, по электронной почте телефону или через Службу Онлайн Заявок.  3.3 Время жизни инцидента – суммарное время, прошедшее с момента поступления и регистрации обращения, до момента закрытия заявки на обслуживание.  Теперь те самые уровни сервиса, о которых мы заключаем соглашение: 4. Уровни сервиса  Сервис, предоставляемый Исполнителем, делится на уровни в соответствии с установленными значениями метрик:  Табл. 1.

Уровень критичности	Описание инцидента
Аварийный	Полный отказ информационной системы в результате технической или эксплуатационной аварии; Отказ критических сервисов при невозможности удаленного решения проблемы; Частичный или полный отказ сети, в результате которого выведены из строя более 25 % рабочих станций; Полный отказ системы электропитания или аккумуляторного питания; Невозможность загрузки серверов и сервисов в результате перезагрузки или аппаратного сбоя;
Средний	Выход из строя одного из резервированных или дублирующих элементов или одного из нескольких элементов одинаковой функциональности; Частичное отсутствие входящей и исходящей связи; Отсутствие связи или канала интернет из-за неуплаты по счетам; Отказ критических сервисов и служб при возможности удаленного решения проблемы;
Низкий	Неработоспособность отдельных ПК и сервисов; Программные и аппаратные неисправности, не влияющие на работу Информационной системы в целом; Запросы на установку/удаление ПО, модификацию аппаратного обеспечения. Прочие мелкие и незначительные операции;

В соответствии с классификацией, каждому виду инцидентов назначается время реакции, и время устранения в рабочих часах. Ответственность Исполнителя определена в рублях, за каждый факт несоблюдения нормативов метрик: Табл.2.

Наименование уровня сервиса	Наличие удаленного доступа		Отсутствие удаленного доступа		Неустойка за неисполнение нормативов. (руб./час)
	Время реакции	Время устранения	Время реакции	Время устранения
Аварийный	20 минут	1 - 3 час	30 минут	1,5 - 5 часа	300
Средний	30 минут	2 – 4 часа	40 минут	3,5 - 5 часа	200
Низкий	1 час	По согласованию	1 час	По согласованию	150

Далее описали перечень мероприятий, которые Исполнитель обязуется выполнять (не выполнять) в рамках договора и которые попадают (не попадают) под метрики: 5. Перечень мероприятий  по технической поддержке ИТ-инфраструктуры Заказчика  Исполнитель выполняет по поручению Заказчика следующие мероприятия, связанные с обслуживанием и поддержкой существующей ИТ-инфраструктуры:  • Оказание консультаций пользователям ИС Заказчика, решение проблем пользователей, связанных с функционированием ИС Заказчика и ее составных частей; • Поддержание работоспособности и доступности основных сетевых служб заказчика на уровне, указанном в данном соглашении. • Проведение мониторинга элементов и подсистем ИС заказчика, а также профилактических работ, направленных на поддержание работоспособности ИС заказчика в целом;  • Осуществление резервного копирования (в случае предоставления Заказчиком соответствующих программных и аппаратных средств, в распоряжение Исполнителя);  • Информирование Заказчика о необходимости модернизации ИС и ее элементов, а также замены вышедших из строя элементов;  • Консультации по приобретению вычислительной и копировально-множительной техники для нужд Заказчика;  • Поставка компьютерной, копировально-множительной и офисной техники по ценам Исполнителя в соответствии с требованиями Заказчика; • Установка обновлений системы 1С Предприятие версии ______.(в случае предоставления Заказчиком лицензионных идентификаторов доступа к серверам обновления указанных Программных продуктов). • Сопровождение продуктов 1С на уровне администрирования ресурсов системы и Базы данных.  • Установка обновлений информационно-правовой системы ___________ (в случае предоставления Заказчиком лицензионных идентификаторов доступа к серверам обновления указанных Программных продуктов). К работам по осуществлению технической поддержки не относятся работы, связанные с частичным или полным выполнением должностных обязанностей сотрудников Заказчика. В частности, сотрудникам Исполнителя запрещено выполнять по поручению сотрудников Заказчика такие работы как:  • Создание, редактирование, форматирование и прочая работа с документами с использованиями офисных приложений типа MS Word, MS Excel, MS PowerPoint и подобных им;  • Создание и редактирование графических, аудио и видеофайлов, флэш-презентаций и прочих медиа-файлов;  • Редактирование наполнения и верстка web-сайтов, вчт. с использованием CMS;  • Написание и отправка сообщений по электронной почте, ведение переписки от имени сотрудников Заказчика;  • Поиск информации в сети Интернет;  • Размещение файлов на FTP-серверах и скачивание файлов;  • Отправка факсов;  • Распечатывание и сканирование документов, изготовление ксерокопий документов;  • Ремонт оборудования, не относящегося к ИС заказчика;  • Выполнение погрузочно-разгрузочных работ;  • Выполнение курьерских поручений, кроме передачи Исполнителю документов, связанных с исполнением настоящего договора. 

Привести пример обслуживания – ремонт оборудования, замена картриджа и т.п.