І. Б. ТрегубенкоО. В. КовальБЕЗПЕКА КОРПОРАТИВНИХ МЕРЕЖ. СЛУЖБА КАТАЛОГу ACTIVE DIRECTORYРозглянуто питання організації корпоративних мереж на основі розгортання служби каталогу Active Directory, детально розкриті методичні основи проектування, адміністрування та експлуатації служби каталогу у великих організаціях, описані засоби гарантування безпеки служби каталогу і механізми їх використання. Практичні завдання сприяють виробленню навичок з побудови безпечних корпоративних мереж.Для студентів вищих навчальних закладів галузі знань “Інформаційна безпека”, а також фахівців у галузі інформаційних технологій.ЗмістПередмова .....................................................................................................5Розділ 1. Корпоративна мережа. Основні поняття ........7 Корпоративна мережа. Поняття. Визначення. Особливості ............7 Класифікація корпоративних мереж...................................................8 Структура корпоративної мережі......................................................11 Ефективність функціонування мережі. Структура управління......14 Стратегічне планування корпоративної мережі..............................16 Контрольні питання.....................................................................................23 Список використаної літератури ...............................................................24Розділ 2. Організація корпоративних мереж. Служба каталогу ............................................................25 Поняття служби каталогу ..................................................................25 Еволюція служби каталогу від Microsoft .........................................26 Активний каталог Active Directory. Характеристики Active Directory ..............................................................................................30 Поняття об'єкту Active Directory. Схема Active Directory .............32 Структура Active Directory ................................................................34 Планування структури корпоративної мережі ................................43 Ролі хазяїнів операцій ........................................................................57 Довірчі відносини ..............................................................................61 Реплікація ...........................................................................................66 Огляд існуючих об’єктів Active Directory .......................................73 Облікові записи користувачів ...........................................................74 Профілі користувачів .........................................................................79 Групи користувачів ............................................................................84 Об'єкт Комп'ютер ...............................................................................98 Об'єкт Принтер ...................................................................................99 Організаційні підрозділи ...................................................................99 Іменування об'єктів Active Directory ..............................................104 Організація пошуку об'єктів Active Directory ...............................106 Групові політики ..............................................................................108Контрольні питання ...................................................................................123 Список використаної літератури ..............................................................125Розділ 3. Введення в безпеку корпоративних мереж .126 Механізм організації захисту служби каталогу Active Directory ..126 Керування доступом ........................................................................127 Делегування адміністративних повноважень ...............................137 Мережева автентифікація. Основні поняття .................................139 Технологія мережевої автентифікації в Active Directory .............141 Настроювання безпеки за допомогою групових політик .............152 Шаблони безпеки .............................................................................176 Аналіз системи безпеки ...................................................................183 Безпека дискових масивів корпоративної мережі. Оптимізація керування дисковими масивами .....................................................186 Управління файловими масивами в корпоративній мережі ........200 Контрольні питання ...................................................................................207 Список використаної літератури ..............................................................209Розділ 4. Практикум ..........................................................................210Встановлення Active Directory. Ознайомлення із схемою Active Directory. Видалення активного каталога ..........................215Створення різних моделей організації доменної структури корпоративної мережі ....................................................224Управління ролями хазяїнів операцій ............................................230Адміністрування режимів роботи домена та лісу. Переіменування контролера домена ..............................................234Управління довірчими відносинами ..............................................238Конфігурування сайтів ....................................................................246Дослідження топології реплікації. Конфігурування міжсайтових реплікацій ...................................................................250Адміністрування облікових записів користувачів. Управління профілями .....................................................................256Планування груп безпеки для надання доступу до ресурсів мережі ...........................................................................266Організація пошуку об’єктів Active Directory в рамках ієрархічної структури каталога. Делегування адміністративних повноважень ......................................................274Настроювання та застосування групових політик. Робота з об`єктами групової політики. Наслідування групових політик. Механізми зміни застосування правил групових політик ..............................................................................................282Реалізація безпеки автентифікації та аудиту за допомогою групових політик. Проектування політики паролей та облікових записів, аудиту ............................................290Оптимізація дискової системи мережі. Організація безпечного зберігання даних на дисках .........................................301Інструменти діагностики та усунення несправностей Active Directory .................................................................................308Література .................................................................................................316^ Покажчик ключових термінів і понять ..............................................318ПередмоваКорпоративна мережа – закрита структура з досить високим ступенем захисту, доступ до якої ззовні заборонений взагалі або строго обмежений, а доступ до інформації всередині її розмежований. Тому проблематика побудови захищених корпоративних систем не втрачає своєї актуальності. Посібник призначений для засвоєння студентами актуальних питань побудови захищених корпоративних мереж, сучасних поглядів і підходів до розв’язання проблеми безпеки інформації в інформаційно-комунікаційних системах. Навчальний посібник може використовуватись студентами вищих навчальних закладів, що навчаються у галузі знань 1701 “Інформаційна безпека” за напрямами підготовки “Безпека інформаційних і комунікаційних систем” та спеціальності “Захист інформації в комп’ютерних системах та мережах”, а також у галузі знань 0501 “Інформатика та обчислювальна техніка” за напрямами підготовки “Комп’ютерні науки”, “Комп’ютерна інженерія”, “Програмна інженерія”, та відповідних програм магістерської підготовки. Крім того, посібник стане в нагоді фахівцям галузі інформаційних технологій: розробникам інформаційно-комунікаційних систем, системним адміністраторам, користувачам захищених комп’ютерних систем. Основу книги складає матеріал, який присвячений розгляду питань організації корпоративних мереж на основі розгортання служби каталогу Active Directory. Детально розкриваються методичні основи проектування, адміністрування та експлуатації служби каталогу у великих організаціях, описуються засоби забезпечення безпеки служби каталогу і механізми їх використання з метою досягнення належного ступеня безпеки корпоративної мережі. Окремо наведені практичні завдання, виконання яких сприяє набуттю практичних навичок з реалізації розгортання служби каталогу Active Directory на основі Windows Server для побудови безпечних корпоративних мереж. Навчальний посібник складається із чотирьох розділів. Перші три розділи викладено у вигляді теоретичного матеріалу. Так, перший розділ розкриває поняття корпоративної мережі, її характерні особливості. Представлено сутність стратегічного планування корпоративної мережі та управління ефективністю її функціонування. В другому розділі досить детально розкривається поняття служби каталогу, її складових, принципів функціонування, питань адміністрування. Приводяться порівняльні характеристики та рекомендації щодо застосування тих чи інших елементів при розгортанні служби каталогу в процесі побудови корпоративної мережі організації. Третій розділ посібника присвячений опису механізму організації безпеки служби каталогу Active Directory, який лежить в основі побудови захищеної корпоративної мережі, а також існуючих інструментів забезпечення безпеки в мережах, побудованих на основі доменних моделей. Кожен із вказаних розділів посібника завершується переліком контрольних питань для кращого засвоєння матеріалу та списком використаної літератури. Теоретичне викладення матеріалу, наведене в описаних розділах посібника вимагає закріплення шляхом виконання певних практичних завдань по розглянутій тематиці. Четвертий розділ представлено у вигляді практикуму, який присвячений набуттю практичних навиків по реалізації розгортання служби каталогу Active Directory та застосуванню описаних інструментів захисту, що має на меті забезпечення найбільш повного та глибокого засвоєння основ побудови захищених корпоративних мереж. До кожного практичного завдання приведено детальний опис методики його виконання.РОЗДІЛ 1^ КОРПОРАТИВНА МЕРЕЖА. ОСНОВНІ ПОНЯТТЯ1.1. Корпоративна мережа. Поняття. Визначення. Особливості.Корпоративна мережа (КМ) - взаємозалежна сукупність мереж, служб передачі даних і телеслужб, призначена для надання єдиного захищеного мережевого простору обмеженому рамками корпорації колу користувачів. Основними особливостями корпоративних мереж є: 1. Використання такого ж інструментарію, який використовується при роботі з мережею передачі даних загального користування. 2. Доступ до інформації надається тільки обмеженій групі клієнтів у внутрішній мережі організації. Внутрішня мережа представляє із себе локальну мережу, відділену від глобальних мереж міжмережевими екранами (МЕ). 3. Циркулює інформація трьох типів: офіційна (поширення якої офіційно санкціонується та заохочується на рівні організації);проектна або групова (призначена для використання окремою групою співробітників, як правило, підлягає захисту);неофіційна (особиста папка або каталог на сервері, що служать сховищем статей, заміток і ідей, якими можна поділитися з іншими співробітниками підприємства. 4. Наявність централізованої системи керування корпоративною мережею. Існуючим корпоративним автоматизованим системам властиво: 1. Використання корпораціями розподіленої моделі обчислень. 2. Невіддільність корпоративних додатків від функціональних підрозділів корпорації, оскільки частина прикладного коду розташовується на станції-клієнті. 3. Необхідність одночасного контролю декількох локальних обчислювальних мереж, необхідність обміну центральної консолі повідомленнями із платформами адміністрування. 4. Широкий спектр використовуваних способів подання, зберігання та передачі інформації. 5. Інтеграція даних різного призначення, що належать різним суб'єктам, у рамках єдиних баз даних. І, навпаки, розміщення необхідних деяким суб'єктам даних у віддалених вузлах мережі (приклад, текстові звіти, збережені на робочих станціях). 6. Абстрагування власників даних від фізичних структур і місця розміщення даних. 7. Участь у процесі автоматизованої обробки інформації великої кількості користувачів і персоналу різних категорій. Безпосередній і одночасний доступ до ресурсів (у тому числі й інформаційним) великої кількості користувачів (суб'єктів доступу) різних категорій. 8. Високий ступінь різнорідності засобів обчислювальної техніки та зв'язку, а також програмного забезпечення. 9. Відсутність спеціальної програмно-апаратної підтримки засобів захисту у функціональних технічних засобах, використовуваних у системі.^ 1.2. Класифікація корпоративних мережВідповідно до введеного визначення корпоративної мережі її склад в загальному випадку утворюють наступні функціональні елементи:Рис. 1.1 - Функціональні компоненти корпоративних мережРобочі місця (абоненти) корпорації, які можуть бути: зосередженими, тобто розташовуватися в рамках одного будинку; розподіленими, тобто розосередженими на деякій в загальному випадку необмежено великій території.Інформаційні сервери корпорації, призначені для зберігання та обробки інформаційних масивів (баз даних) різного функціонального призначення. Вони також можуть бути зосередженими або розподіленими на великій території корпорації.^ Засоби телекомунікації, що забезпечують взаємодію між собою робочих станцій і свою взаємодію з інформаційним серверами. Засоби телекомунікації в рамках корпорації можуть бути: виділеними (або орендованими), що є приналежністю корпорації; загального призначення (це існуючі поза корпорацією мережеві зв'язки, засоби яких використовуються корпорацією). Це, як правило, засоби існуючих мереж загального користування.Телеслужби. В межах корпорації інформаційний вплив може бути реалізований в рамках однієї (телефонія, телетекст, відеотекст, телефакс) або декількох служб (інтеграція служб), що повинне забезпечуватися відповідними засобами телекомунікації. ^ Система керування ефективністю функціонування корпоративної мережі. Залежно від реалізованого набору служб в корпоративній мережі повинні використовуватися свої засоби керування мережею, зокрема, засоби маршрутизації і комутації; засоби адміністрування, реалізовані з метою ефективного використання мережевих ресурсів. По можливості керування елементами корпоративної мережі можна виділити: керовані в межах корпорації функціональні елементи (це власні, або, що вводяться додатково в рамках корпоративної мережеві засоби); не керовані в рамках корпорації функціональні елементи, (зокрема, маршрутизатори та комутатори), що є приналежністю використовуваних корпорацією підмереж загального призначення.^ Система керування безпекою функціонування корпоративної мережі. У корпоративній мережі повинні бути реалізовані необхідні мережеві служби безпеки, та повинні використовуватися відповідні засоби безпеки.^ Система забезпечення надійності корпоративної мережі. Повинні бути передбачені засоби забезпечення працездатності всієї мережі, або її фрагментів при відмовах елементів мережі.^ Система діагностики та контролю. У рамках корпоративної мережі повинні бути передбачені засоби контролю працездатності окремих функціональних елементів, система збору інформації про відмови та збої і надання її системам забезпечення живучості; керування ефективністю функціонування; керування безпекою. Для корпоративної мережі повинні бути розроблені засоби діагностики, реалізовані як у процесі функціонування мережі, так і профілактично.^ Система експлуатації. Крім перерахованих функціональних елементів, корпоративні мережі зв'язку повинні мати план (гіпотезу) процесу розвитку, який визначає функціональні можливості, що закладаються в неї, зокрема на рівні протоколів взаємодії мережевих компонентів і можливості їхньої інтеграції. Узагальнюючи введені ознаки корпоративних мереж, отримаємо можливу їхню класифікацію:по набору функціональних елементів, рисунок 1.1;по ієрархії керування, рисунок 1.2. Тут під локальною підсистемою розуміється деяка функціональна підсистема, класифікація якої для системи керування безпекою наведена на рисунку 1.3, а сама функціональна підсистема наведена на рисунку 1.4;по набору (типу та кількості) поєднуваних в рамках корпоративної мережі підмереж загального користування;по набору (типу та кількості) реалізованих в рамках корпоративної мережі телеслужб.Рис. 1.2 - Класифікація компонентів КМ по ієрархії керуванняРис. 1.3 - Класифікація функціональних підсистем управління безпекою Рис. 1.4 - Елементи функціональної підсистеми^ 1.3. Структура корпоративної мережіВраховуючи введені класифікаційні ознаки можна одержати деяку узагальнену структуру корпоративної мережі, що наведена на рисунку 1.5. Практично будь-яка корпоративна мережа буде містити фрагменти наведеної узагальненої структури. У рамках даної мережі повинна бути реалізована вторинна мережа зв'язку - система керування, представлена на рисунку 1.6. Тут також можуть використовуватися виділені канали. В основі системи керування корпоративної мережі повинні лежати наступні принципи: суміщення адміністрування окремих функціональних підсистем (питання ефективності не може вирішуватися без розгляду питання живучості мережі, а питання безпеки без врахування ефективності та живучості, інакше кажучи, при зміні рівня безпеки, наприклад, змінюється і ефективність, що повинно бути враховано); централізоване/розподілене адміністрування, яке припускає, що основні завдання адміністрування повинні вирішуватися із центра (основний фрагмент мережі); вторинні завдання (наприклад, у рамках вилучених фрагментів) засобами керування окремих підсистем; в рамках керуючої системи повинні бути реалізовані функції системи автоматичного керування. З метою підвищення оперативності реакції системи керування на особливо важливі події, в системі повинна реалізуватися автоматична обробка особливо важливих впливів; в рамках системи безпеки повинен бути реалізований принцип адаптивного керування безпекою адекватно зміні відповідних подій (наприклад, система виявлення атак може блокувати локальний порт у випадку атаки типу «відмова в обслуговуванні»). для підвищення ефективності і надійності системи керування необхідно передбачити експертну систему – систему «підказок» для вироблення керуючих впливів на різні події. На рисунку 1.5 проілюстрований загальний випадок, який відрізняється тим, що структури основного та віддаленого фрагментів співпадають (по функціям вони різні – в основному фрагменті реалізується централізоване керування мережею зв'язку). Як правило, дані фрагменти мають різну складність. ^ Рис. 1.5 - Узагальнена структура корпоративної мережіПри цьому слід зазначити, що спрощення структури мережі реалізується шляхом зменшення складності віддалених фрагментів, з переносом відповідних функцій на елементи основного фрагмента, (відповідно з підвищенням його складності), що, насамперед, має місце для наступних елементів: інформаційні сервери (з погляду забезпечення безпеки мережі має сенс сконцентрувати всі інформаційні сервери, забезпечуючи для них необхідний захист організаційними та технічними заходами); адміністрування всіма функціональними підсистемами для корпоративних мереж, що використовують обмежене число додаткових засобів реалізації функціональних підсистем (наприклад, маршрутизаторів) може бути сконцентроване в основному фрагменті; підключення до загальнодоступних сервісів (мережа Інтернет) здійснюється з виділених робочих місць основного фрагмента (тут використовуються відповідні засоби захисту, підключення до глобальних мереж у загальному випадку відмінні від інших). Враховуючи сказане та рисунок 1.5 маємо спрощену структуру корпоративної мережі, яка наведена на рисунку 1.7. Саме структура корпоративної мережі, наведена на рисунку 1.7, може бути рекомендована як типова для більшості малих і середніх корпорацій (структура мережі, наведена на рисунку 1.5 припускає реалізацію мережі для дуже розгалуженої інфраструктури корпорації). Отже, у даному розділі наведені два граничних варіанти структур корпоративної мережі, граничних у тому розумінні, що відрізняються максимальною та мінімальною складністю структури. На практиці більшість корпоративних мереж по складності організації займають деяке проміжне місце, відповідно в більшій мірі тяжіючи до одного із розглянутих варіантів.Рис. 1.6 - Система керування корпоративною мережеюРис. 1.7 - Спрощена структура корпоративної мережі^ 1.4. Ефективність функціонування мережі.Структура управління.Розглянемо структуру управління ефективністю функціонування мережі в рамках наведених структур мережі та перерахованих раніше основних принципів адміністрування. В рамках корпоративної мережі повинні бути реалізовані всі основні функції мережевих протоколів корпоративних мереж:маршрутизація;комутація;керування потоками (забезпечення ефективності функціонування при високому завантаженні);контроль часу життя пакета. Як у будь-якій іншій мережі завдання управління ефективністю вирішуються в рамках вторинної (накладеної) мережі зв'язку. Ефективне управління функціонуванням корпоративної мережі може бути забезпечено тільки при динамічній маршрутизації, де маршрути повинні вибиратися адаптивно до топології та навантаження в мережі. Зміна маршрутів адаптивна до зміни топології реалізується разом із системою керування живучістю мережі. Ієрархічна структура системи управління ефективністю наведена на рисунку 1.8, де маршрутизатор може розглядатися як вузол комутації корпоративної мережі.Рис. 1.8 - Ієрархічна структура системи управління ефективністю^ Рис. 1.9 - Узагальнена структура системи управління ефективністю.WAN загального користування закриті для керування в рамках корпоративної мережі (якщо тільки це не мережі Х.25, де при встановленні з'єднання можливе узгодження якості обслуговування, включаючи завдання маршрутів), тому в загальному випадку фрагмент мережі WAN варто розглядати як віртуальний (не керований) канал. Структура системи управління ефективністю корпоративної мережі представлена на рисунку 1.9, потоки інформації в системі управління проілюстровані на рисунку 1.10. Ідеологія централізованого/розподіленого управління ефективністю полягає в наступному:з єдиного центра реалізується управління вузлами комутації (маршрутизаторами, саме це дозволяє будувати ефективні корпоративні мережі);локальні адміністратори фрагментів управляють відповідними ЛОМ. Звідси випливають наступні вимоги до елементів управління:адміністратор корпоративної мережі повинен здійснювати збір інформації про стан мережевих компонентів, у тому числі і від віддалених фрагментів; повинен обробляти цю інформацію відповідно до реалізованого алгоритму управління; повинен виробляти та видавати об'єктам управління відповідні команди;маршрутизатор повинен віддалено керуватися; здійснювати збір обробки та передачу інформації (у рамках системи збору інформації) про стан відповідних компонентів корпоративної мережі;адміністратори ЛОМ повинні забезпечувати збір обробки та передачу необхідної інформації про стан мережевих компонентів ЛОМ, керувати ЛОМ у рамках прописаних повноважень.Рис. 1.10 - Потоки інформації в системі управління.1.5. Стратегічне планування корпоративної мережіКорпоративна мережа - це складна система, що включає тисячі різних компонентів: комп'ютери будь-яких типів, починаючи з настільних і закінчуючи мейнфреймами, системне і прикладне програмне забезпечення, мережеві адаптери, концентратори, комутатори та маршрутизатори, кабельну систему. Основне завдання системних інтеграторів і адміністраторів полягає в тому, щоб ця громіздка і досить дорога система якнайкраще виконувала обробку потоків інформації, що циркулюють між співробітниками підприємства та дозволяла приймати їм своєчасні і раціональні рішення, що забезпечують виживання підприємства у жорсткій конкурентній боротьбі. Оскільки життя не стоїть на місці, зміст корпоративної інформації, інтенсивність її потоків і способи її обробки постійно змінюються. Виходячи з цього на перший план виходит завдання стратегічного планування корпоративної мережі. Стратегічне планування мережі виражається в знаходженні компроміса між потребами підприємства в автоматизованій обробці інформації, його фінансовими можливостями та можливостями мережевих і інформаційних технологій сьогодні і в найближчому майбутньому. При стратегічному плануванні мережі потрібно прийняти рішення щодо чотирьох груп питань: Які нові ідеї, рішення та продукти є стратегічно важливими? Які рішення в стратегічно важливих областях є перспективними? Які з них можуть бути корисними в існуючій корпоративній мережі? Яким чином нові рішення та продукти потрібно впроваджувати в існуючу мережу? На які етапи потрібно розбити процес переходу на нові рішення та продукти, як забезпечити максимально безболісно взаємодію нових і старих частин і компонентів мережі? Як раціонально вибрати зовнішніх співвиконавців для впровадження в мережу нових рішень і продуктів? Як вибрати інтеграторів, виробників і постачальників програмних і апаратних продуктів, провайдерів послуг територіальних мереж? Як організувати процес навчання своїх співробітників новим технологіям і продуктам? Чи варто набирати вже навчених фахівців? Розглянемо ці питання більш докладно. ^ Багаторівневе представлення корпоративної мережі Корпоративну мережу потрібно розглядати як складну систему, що складається з декількох взаємодіючих рівнів. В основі піраміди, що представляє корпоративну мережу, лежить шар комп'ютерів - центрів зберігання та обробки інформації, а також транспортна підсистема, що забезпечує надійну передачу інформаційних пакетів між комп'ютерами. Над транспортною системою працює шар мережевих операційних систем, що організує роботу додатків на комп'ютерах і надає через транспортну систему ресурси свого комп'ютера в загальне користування. Над операційною системою працюють різні додатки, але через особливу роль систем керування базами даних, що зберігають в упорядкованому вигляді основну корпоративну інформацію та виконують над нею базові операції пошуку, цей клас системних додатків, як правело, виділяють в окремий шар корпоративної мережі. На наступному рівні працюють системні сервіси, які, користуючись СУБД, як інструментом для пошуку потрібної інформації серед мільйонів і мільярдів байт, збережених на дисках, надають кінцевим користувачам цю інформацію в зручній для ухвалення рішеннь формі, а також виконують деякі загальні для підприємств всіх типів процедури обробки інформації. До цих сервісів відноситься служба World Wide Web, система электоронной пошти, системи колективної роботи та багато іншого. І, нарешті, верхній рівень корпоративної мережі представляють спеціальні програмні системи, які виконують завдання, специфічні для даного підприємства або підприємств даного типу. Прикладами таких систем можуть бути системи автоматизації банку, організації бухгалтерського обліку, автоматизованого проектування, керування технологічними процесами і т.і. Кінцева мета корпоративної мережі втілена в прикладних програмах верхнього рівня, але для їхньої успішної роботи абсолютно необхідно, щоб підсистеми інших рівнів чітко виконували свої функції. Стратегічні рішення, як правило, впливають на мережу в цілому, торкаючись декількох рівнів мережевої "піраміди", хоча спочатку стосуються тільки одного конкретного рівня або навіть окремої підсистеми цього рівня. Такий взаємний вплив продуктів і рішень потрібно обов'язково враховувати при плануванні технічної політики розвитку мережі, інакше можна зіштовхнутися з необхідністю термінової та непередбаченої заміни, наприклад, мережевої технології, через те, що нова прикладна програма відчуває гострий дефіцит пропускної здатності для свого трафіка. ^ Стратегічні проблеми побудови транспортної системи корпоративної мережі Через те, що транспортна система створює основу для взаємозалежної роботи окремих комп'ютерів, її часто ототожнюють безпосередньо з самим поняттям "корпоративна мережа", вважаючи всі інші рівні та компоненти мережі просто надбудовою. В свою чергу, транспортна система корпоративної мережі складається з ряду підсистем і елементів. Найбільш великими складовими транспортної системи є такі підсистеми як локальні та глобальні мережі корпорації, в розумінні суто транспортних засобів. В свою чергу кожна локальна та глобальна мережа складається з периферійних підмереж і магістралі, яка ці підмережі з’єднує воєдино. Кожна підмережа також може мати ієрархічну структуру, утворену своїми маршуртизаторами, комутаторами, концентраторами та мережевими адаптерами. Всі ці комунікаційні пристрої поєднані розгалуженою кабельною системою. Глобальна мережа, що поєднує окремі локальні мережі, роззосереджені по великій території, також має, як правило, ієрархічну структуру з восокошвидкісною магістраллю (наприклад, АТМ), більш повільними периферійними мережами (наприклад, frame relay) і каналами доступу локальних мереж до глобальної. При створенні та модернізації транспортної системи в стратегічні питання її планування включають насамперед наступні питання. Створення транспортної інфраструктури з маштабованою продуктивністю для складних локальних мереж. Вибір технології магістралі для великих локальних мереж підприємства. Технологія визначається використовуваними протоколами нижнього рівня, такими як Ethernet, Token Ring, FDDI, Fast Ethernet і т.і. та істотно впливає на типи використовуваного в мережі комунікаційного обладнання. Магістраль, як правило, є однієї з найбільш дорогих частин будь-якої мережі. Крім того, оскільки через неї проходить значна частина трафіка мережі, її властивості позначаються практично на всіх сервісах корпоративної мережі, якими користуються кінцеві користувачі. Визначення раціональної структури магістралі. Ця структура буде потім покладена в основу структури кабельної системи, вартість якої може становити 15% і більше відсотків всієї вартості мережі. Раціональна структура магістралі повинна забезпечити компроміс між якістю передачі трафика (пропускна здатність, затримки, пріоритети для відповідальних додатків) і вартістю. На структуру магістралі набільше впливає обрана технологія, тому що вона визначає максимальні довжини кабелів, можливість використання резервних зв'язків, типи кабелів і т.п. Вибір технології, структури зв'язків і комунікаційного обладнання для підмереж, що входять у велику локальну мережу. Для кожної підмережі це питання може вирішуватися автономно з урахуванням вимог і традицій кожного підрозділу підприємства. Однак, завжди потрібно враховувати наслідки, які пов'язані з вибором різних технологій у різних підмережах - складність об'єднання підмереж на магістралі не повинна бути надмірної. Вибір способа об'єднання підмереж на магістралі, наприклад, за допомогою маршрутизації, за допомогою шлюзів або ж за допомогою транслюючих комутаторів. При використанні у всіх підмережах однієї і тієї ж технології (випадок досить рідкий для великої мережі) потреба в трансляції протоколів може відпасти і тоді магістраль буде відрізнятися від підмереж тільки швидкістю та надійністю. Вибір комунікаційного обладнання, що утворить магістраль. Після вибору способу об'єднання підмереж можна вибрати конкретні типи і моделі комунікаційного обладнання. Звичайно, крім перерахованих, існують і інші завдання, які можуть бути віднесені до стратегічних для транспортної системи корпоративної мережі того або іншого підприємства. ^ Стратегічні проблеми вибору мережевої операційної системи. При ухваленні стратегічного рішення щодо використовуваних в корпоративній мережі мережевих операційних систем, необхідно враховувати, що всі мережеві ОС діляться по своїх функціональних можливостях на два класи: мережеві ОС масштабу відділу та корпоративні мережеві ОС. При виборі корпоративної мережевої ОС в першу чергу потрібно враховувати наступні критерії: Масштабована в широких межах продуктивність, заснована на підтримці багатопроцесорних і кластерних платформ. Можливість використання даної ОС як сервера додатків. Для цього ОС повинна підтримувати декілька популярних універсальних API, таких, які дозволяли б, наприклад, виконуватися в середовищі цієї ОС додаткам Unix, Windows, MS DOS, OS/2. Ці додатки повинні виконуватися ефективно, а це означає, що дана ОС повинна підтримувати обробку, що витісняє багатозадачність, мультипроцесування та віртуальну пам'ять. Наявність потужної централізованої довідкової служби. Довідкова служба повинна мати масштабованість, тобто добре працювати при дуже великій кількості користувачів і розподілених ресурсів, а для цього необхідно, щоб база довідкових даних була розподіленою. Потрібно враховувати, що довідкові служби, як і багато інших мережевих сервісів, на сьогодні часто постачаються не вбудованими в конкретну ОС, а у вигляді окремого продукту, наприклад, Street Talk for Windows NT (компанія Novell планує випуск NDS для Windows NT). Крім того існує ще ряд не менш важливих характеристик, які треба враховувати при виборі мережевої ОС, до них відносяться ступінь стабільності та безпеки ОС, наявність програмних засобів віддаленого доступу, здатність працювати в гетерогенному середовищі і т.д.. ^ Стратегічні проблеми створення корпоративних додатків Для рівня додатків важливим є вибір не самого додатка, а тієї технології, відповідно до якої додаток створюється. Це пов'язане з тим, що більша частина додатків створюється силами співробітників підприємства або ж силами сторонньої організації по конкретному технічному завданню для цього підприємства. Випадки використання готових великих додатків, що налаштовані на потреби даного підприємства, наприклад SAP R/3, зустрічаються рідше в порівнянні із створенням спеціальних додатків. Спеціальні додатки часто модифікуються, додаються, знімаються з роботи, тому важливо, щоб технологія їхнього створення допускала швидку розробку (наприклад, на основі об'єктного підходу) і швидке внесення змін при виникненні такої необхідності. Крім того, важливо, щоб технологія дозволяла будувати розподілені системи обробки інформації, що використовують всі можливості транспортної підсистеми сучасної корпоративної мережі. Технологія intranet задовольняє цим вимогам, вона є самою перспективною технологією створення додатків на найближчі кілька років. Однак, і при виборі intranet для створення корпоративних додатків, залишається чимало проблем, які можна віднести до стратегічних, тому що існує кілька варіантів реалізації цієї технології - варіант Microsoft, варіанти Sun, IBM, Netscape і інші. В остаточному підсумку властивості додатків визначають вимоги, що виставляються до інших рівнів і підсистем корпоративної мережі. Обсяги збереженої інформації, їхній розподіл по мережі, тип і інтенсивність трафіка - всі ці параметри, що впливають на вибір СУБД, операционой системи та комунікаційного обладнання є наслідком того, які додатки працюють у мережі. Тому знання властивостей додатків і їхнє свідоме формування розроблювачем корпоративної мережі дозволяють більш раціонально планувати розвиток інших її рівнів. ^ Планування етапів і способів впровадження нових технологій в існуючі мережі Важливо не тільки прийняти стратегічно вірне рішення, але й правильно впровадити його в існуючу мережу. Оскільки це рішення довгострокове, воно зовсім не обов'язково одномоментно повинно знайти своє втілення в нових програмних або апаратних засобах мережі. Наприклад, впровадження технології intranet не означає необхідності відмова від усіх додатків іншого типу. М