Модернизация телекоммуникационной и сетевой инфраструктуры Национального банка Украины
НАЦИОНАЛЬНЫЙ БАНК УКРАИНЫ Департамент информатизации Управление телекоммуникационных систем ДОРУНДЯК Николай Васильевич Начальник управления Украина, 01601, Киев-8, Тел.:(044) ул. Институтская, 9 Факс: (044)
Телекоммуникационная инфраструктура информационной сети Национального банка Украины: телекоммуникационная сеть передачи информации; сеть интегрированных услуг электросвязи; локальные сети подразделений центрального аппарата, территориальных управлений, структурных единиц, учебных заведений Национального банка; система управления информационной сетью; узел доступа к ресурсам сети Интернет.
Назначение сетевой инфраструктуры Сетевая инфраструктура – базис для построения приложений, услуг и бизнеса Сетевая инфраструктура Сервера Приложения Услуги Бизнес
Анализ текущего состояния Телефоны ТфОП ЦА НБУ IP-АТС ЦРП ТУ ТфОП FR/IP сеть ТфОП Приложения ЛВС/Enterasys Защита / VPN Сотрудники вне офисов Passport 8600/Cisco3750 Passport 6400/4430 Протоколы: IP, IPX Технологии: Eth, ATM, FR, SDH,DWDM Вендоры: Nortel, Cisco, Enterasys, HP, 3COM ЛВС/Cisco
Принципы модернизации Безопасность Надежность Управляемость Модульность Масштабируемость Совместимость Производительность Доступность
Главные объекты модернизации сети НБУ 1. Корпоративная сеть передачи данных - создание управляемой ІР-сети с современными сетевыми сервисами, которая включает центральный аппарат, ЦРП и все территориальные управления НБУ 2. Ведомственная телефонная сеть - переход к использованию ІР-телефонных технологий как на уровне абонентов, так и межузловых соединений 3. Система сетевой защиты - перестройка комплексной системы защиты информации
Преимущества единой мультисервисной сети Единая инфраструктура - упрощает управление и обслуживание Экономия на обучении персонала Защита инвестиций (возможности роста и развития) Масштабируемость, возможность построения распределенной сети Эффективное использование сетевых ресурсов Внедрение современных бизнес приложений на стыке голоса, видео и данных
Внедрение нового решения Главная проблема – минимизация воздействия на существующую сетевую среду Для успеха необходим структурированный процесс, включающий планирование, проектирование, сетевое управление и внедрение Надежная инфраструктура и каналы связи Совместимость приложений и технологий разных вендоров (Nortel, Cisco, Enterasys, 3COM, HP, MS) Поддержка механизмов QoS для приложений Возможность балансировки неэквивалентных каналов WAN сети Организация шифрованных каналов в распределенной сети
Распределение пропускной способности канала в соответствии с классом обслуживания Категория трафика (Traffic Category) Клас Обслуживания (Service Class) Тип приложения (Application Type) Очередь (Queue-Q) Приоритет очереди (Queue Type &Priorities) Распределение полосы пропускания канала (Bandwidth Distribution) Critical network control Критический Critical Critical network control traffic Q1Highest priority 5% of total bandwidth (BW) Standard network control Сетевой Network Standard network control traffic Real time, delay intolerant, fixed bandwidth Первоочередный Premium Interhuman communications requiring interaction (such as VoIP) Q2Priority queueShaped by configured rate or 10% of BW Real time, delay tolerant, low variable bandwidth Платиновый Platinum Interhuman communications requiring interaction with additional minimal delay (such as low-cost VoIP) Q3WFQ (weighted fair queuing) 60% of remaining BW after priority queues ([interface rate- (Q1+Q2)]x60%=WFQ3 forwarding rate) Real time, delay tolerant, high variable bandwidth Золотой Gold Single human communication with no interaction (such as web site streaming video) Q4WFQ24% of remaining BW Non-real time, mission critical, interactive Серебряный Silver Transaction processing (such as Telnet, web browsing) Q5WFQ10% of remaining BW Non-real time, mission critical, non-interactive Бронзовый Bronze For example, , FTP, SNMP Q6WFQ4% of remaining BW Non-real time, non-mission critical Стандартный Standard Bulk transfer (such as large FTP transfers, after-hours tape backup) Q7WFQ2% of remaining BW User Defined Пользовательский User DefinedQ8LowestWhatevers left
Ведомственная телефонная сеть: Задачи, которые необходимо решить Переход корпоративной сети связи на технологию IP Обеспечить работу корпоративной сети связи в условиях модернизации существующей транспортной сети Обеспечить интеграцию существующей сети связи с современными системами унифицированных коммуникаций (UC) Обеспечить сохранение инвестиций в существующую сеть связи на базе TDM Обеспечить возможность гибкого управления абонентской емкостью сети
Архитектура построения сети связи
Важность вопросов безопасности Любой сетевой объект – это цель для атаки: маршрутизаторы, коммутаторы, хосты, сети, приложения, информация, инструменты управления Новое поколение сетевых атак имеют много векторов и поэтому не могут быть блокированы одним устройством Сетевая безопасность – это интегрируемая система - разделение на логические уровни - безопасность «встраивается» на всех участках сети - безопасность интегрируется в сетевые устройства Сетевое управление и отчетность должны быть защищены
Безопасность передачи голоса Для голосового трафика д.б. создан отдельный защищенный голосовой VLAN Трафик должен шифроваться Система управления телефонией должна иметь ограниченный доступ Попытки несанкционированного доступа и ошибки абонентов должны журналироваться FW должны обеспечивать защиту всех сегментов сети IP-телефонии и должны «понимать» голосовой трафик Но: шифрование и туннелирование голоса влияют на производительность сети Система защиты не должна иметь единую точку отказа!
Требования к модернизации электронной почты Национального банка: Совместимость работы новой системы электронной почты с действующей системой электронной почты Национального банка NBUMAIL. Возможность достоверной передачи информации с получением данных относительно прохождения ее через транзитные узлы пользователем, который посылает информацию, а также о времени получения этой информации конечным пользователем. Для защиты информации от искривления, несанкционированного доступа, подделки во время передачи каналами связи должно использоваться шифрование. Для защиты информации от искривления и подделки должна использоваться электронная цифровая подпись (ЕЦП). Запуск почтовых программ должен встраиваться как DLL или OBJ. На случай разрушения основного программно-технического комплекса узла системы ЭП НБУ должно быть предусмотрено использование резервного узла системы ЭП НБУ. Программно-технические средства системы ЭП НБУ должны предотвращать возможность несанкционированного вмешательства обслуживающего персонала в процесс обработки электронных сообщений, внесение изменений и искривлений к почтовым конвертам и технологическим журналам работы системы ЭП НБУ. Должен быть обеспечен авторизированный доступ к данным и ресурсам системы ЭП НБУ.
Показатели назначения ЭП НБУ : - Количество абонентов системы ЭП НБУ Количество электронных сообщений, обработанных на одном узле системы ЭП НБУ за день: до 3 млн.; - Максимальный размер файла, который может передаваться, 150 Мбайт. - Должен обеспечиваться режим приоритизации электронных сообщений и продолжения его передачи после возобновления прерванного сеанса связи из последнего успешно переданного бита информации. - Должна выполняться передача электронных сообщений по маске и на группу абонентов. - Должен обеспечиваться авторизированный доступ пользователей к архивам ЭП НБУ с возможностью читать и копировать из него файлы. -Система ЭП НБУ должна иметь шлюз для работы с Интернет- почтой (Е-mail).