Компьютерные сети и технологии
Привет
Пользователь:

Пароль:



[ ]
[ ]

В сети
Гостей: 18
Участников: 0
На странице: 1
Участников: 3917, Новичок: ritasovurova

Разное


Пример развития сети предприятия ( продолжение Часть 4)
Обследование инфраструктуры сети Предприятия
на Tuesday 27 January 2009
от список авторов
в Сети (локальные и компьютерные) > Сложные компьютерные сети


4. Выводы
4.1 Инфраструктура физического уровня

4.1.1 Физическая и логическая структура

При проведении обследования были отмечены следующие недостатки:

  • Сеть Предприятия в настоящее время построена без обеспечения резервирования, что грозит существенными сроками простоя при выходе из строя любого из устройств ядра сети.
  • Коммутатор Cisco Catalyst 6006 не оснащен резервным источником питания, что также грозит простоем при отключении электропитания, установка резервного источника питания позволяет осуществить подключение к различным источникам питания.
  • Управление сетевым оборудованием обеспечивается по протоколу TELNET, производящим передачу данных в открытом виде в том числе, учетную запись и пароль доступа к оборудованию.
  • Отсутствуют правила наименования оборудования.
  • Отсутствует мониторинг сети.
  • Отсутствует централизованный сбор информации о событиях на оборудовании (logging).
  • Управление оборудованием возможно с любой точки сети, что в совокупности с отсутствием централизованного сбора информации о событиях на оборудовании позволяет произвести анонимную модификацию настроек оборудования.
  • Технологическое оборудование подключено в один сегмент сети передачи данных с офисным оборудованием, в том числе и рабочими станциями программистов.
  • Нет разграничения доступа между виртуальными сетями.


4.1.2 Кабельная структура

Структурированная кабельная система (СКС) существует фрагментами только в зданиях Управления и Управлении цеха 4.
В настоящее время отсутствует резервирование оптических линий связи, однако производится прокладка дополнительных магистральных линий связи.
Проложенные в результате магистрали обеспечат оптическую связь между всеми основными объектами сети предприятия.

4.2 Инфраструктура уровня предоставления сервисов

4.2.1 Служба каталога

На предприятии параллельно использует три основные службы каталога:

  • Active Directory
  • eDirectory
  • NDS


Последняя из них является устаревшей, остальные обладают высокими характеристиками масштабируемости и управляемости. В то же время, большинство возможностей, предоставляемые как AD так и eDirectory не используется либо используются с ограничениями. В дополнение к сказанному, использование служб каталогов от различных производителей вызывает дополнительные сложности в эксплуатации информационных систем.

Кроме того, развертывание службы каталога AD в силу организационных причин (Развертывание AD было проведено по имеющимся доменам NT – 4. В момент развертывания за домены отвечали разные подразделения, не было физического соединения этих сетей, а следовательно, отсутствовала возможность разворачивания единого леса.) было произведено с ошибками, которые ограничивают возможности дальнейшего роста системы, затрудняют обслуживание и могут создать проблемы с безопасностью, например:

  • При планировании структуры доменов не были учтены рекомендации Microsoft, в результате чего было развернуто три домена, каждый из которых одновременно является корнем своего леса и рабочим доменом для пользователей
  • Для преодоления сложностей, возникших в связи с описанной ошибкой с планированием доменной структуры, были установлены отношения доверия между доменами через корни лесов, что может скомпрометировать учетные записи администраторов, а так же вызвать другие проблемы с безопасностью
  • В качестве DNS имени домена выбрано безсуффиксное имя (имя первого уровня), что может повлечь некорректную работу репликации и других служб из за конфликта с областью имен NETBIOS


Использование каталога eDirectory не обосновано, так как его ресурсы используются исключительно для аутентификации пользователей при доступе к дисковым ресурсам, в то время как такая же возможность предоставляется основной службой каталога предприятия.

Для исправления указанных недостатков рекомендуется проведения комплекса мер, включающих:

  • Редизайн структуры AD, объединение трех каталогов в единое дерево с выделенным корневым доменом
  • Перенос ресурсов, использующих каталог eDirectory в область действия каталога Active Directory c соответствующими корректировками настроек рабочих станций
  • Отказ от использования избыточных служб каталога
  • Разработка организационной структуры каталога
  • Разработка комплекса политик для управления объектами каталога
  • Разработка многоуровневой структуры групп безопасности


4.2.2 Система корпоративной электронной почты

На момент обследования корпоративная почтовая система базировалась на службе MDaemon.
В ходе обследования почтовой системы выявлены следующие недостатки:

  • Используется единственный почтовый сервер как для коммуникаций с внешними адресатами, так и для внутрикорпоративного использовании, что снижает безопасность.
  • Почтовый сервис объединен с другими сервисами (ISA), что снижает производительность почтовой системы, а так же ставит ее в зависимость от функционирования этих сервисов.
  • Использование клиентского протокола POP3 хотя и обеспечивает максимальную совместимость с клиентским ПО, вынуждает хранить пользовательские почтовые базы непосредственно на компьютерах пользователей, что может повлечь их разрушение (из-за превышения размера, отказа HDD и т.д.) и затрудняет проведение резервного копирования.
  • Модуль антивирусной проверки работает ненадежно, что потенциально может вызвать угрозу вирусного заражения сети.


Для преодоления этих недостатков рекомендуется:

  • Переход на корпоративную почтовую систему класса MS Exchange
  • Разнесение функций корпоративного почтового хранилища и коммуникаций с сетью Интернет
  • Использование централизованного хранения баз пользовательских сообщений


4.2.3 Управление и мониторинг

Системы управления и мониторинга не развиты и не покрывают нужд предприятия. В частности полностью отсутствуют службы:

  • Инвентаризации рабочих станций и используемого ПО
  • Автоматического развертывания и распространения ПО
  • Автоматического обновления используемого ПО
  • Мониторинга за состоянием парка серверов
  • Отсутствие контроля за рабочими станциями


Это влечет за собой невозможность использования мер по поддержанию функционирования систем, а так же снижает производительность труда информационной службы, что влечет дополнительные расходы.

4.2.4 Файловый сервис

В существующем сервисе предоставления доступа к дисковым ресурсам можно выделить следующие недостатки:

  • Отсутствует единая структура хранения данных, что вызывает избыточность хранимой информации, а так же сложности с управлением ей.
  • Привязка к различным службам каталога, что влечет как сложности в администрировании, так и в поиске необходимой информации.
  • Отсутствие единого дерева имен жестко привязывает пользователей к конкретным серверам и затрудняет перенос данных с сервера на сервер при возникновении такой необходимости
  • Отсутствие контроля за пользовательскими станциями приводит к возникновению большого количества ресурсов свободного доступа, что противоречит политики безопасности компании
  • Отсутствие единой стратегии резервного копирования, что влечет невозможность гарантии восстановления бизнес критических документов


Для преодоления этих недостатков рекомендуется в рамках редизайна AD:

  • Спроектировать структуру распределенной файловой системы DFS
  • Спроектировать структуру файловых ресурсов (папки и права доступа)
  • По возможности централизовать дисковые ресурсы с помощью внедрения дисковых хранилищ большой емкости
  • Разработать стратегию резервного копирования


4.2.5 Доступ к приложениям

На текущий момент в информационной среде используется большое количество точек авторизации:

  • Каталоги AD
  • Каталоги Novell
  • Каталоги Oracle
  • Приложения Oracle (клиент-сервер)
  • Каталоги MS SQL
  • Клиентские приложения MS SQL (1С)
  • Файловые базы данных (такие как Access) собственной разработки
  • Почтовая служба
  • И др…


Наличие столь большого числа парольных пар затрудняет поддержку и координирование сервисов, служит негативным моментом для пользователей, а так же потенциально может стать угрозой безопасности сети.

Рекомендуется по завершении редизайна службы каталога провести комплекс мероприятий, направленных на интеграцию служб аутентификации в единую точку доступа (насколько это возможно).



Поиск Компьютерные сети и технологии

Copyright © 2006 - 2020
При использовании материалов сайта ссылка на xnets.ru обязательна!