1. Obsah
3. Úvod
3.1. Definície pojmov
4. Ciele
5. Organizácia
5.1. Personálna štruktúra
6. Technické riešenie
6.1. Požiadavky
6.1.1. Požiadavky vo faktoch a číslach
6.2. Výber technológie
6.3. Fyzická topológia siete
6.3.1. Prvá úroveň fyzickej topológie – chrbticová sieť
6.3.2. Druhá úroveň fyzickej topológie
6.4. Pasívna časť
6.4.1. Stojanové rozvádzače
6.4.2. Metalický štruktúrovaný kabelážny systém
6.5. Logická topológia siete
6.6. Aktívne prvky
6.6.1. Požiadavky na aktívne prvky
7. Bezpečnosť
7.1. Bezpečnosť informácií
7.2. Personálna bezpečnosť
7.3. Sieťová bezpečnosť
7.4. Fyzická bezpečnosť
8. Financovanie
8.1. Príjmy
8.2. Výdavky
2. Úvod
Tento dokument je zostavený pre potreby občianskeho združenia Sieť ŠD Mladosť – Ynet (ďalen len Ynet), ktorého hlavným cieľom je uspokojovanie potrieb členov združenia v oblasti informačných systémov a dátovej komunikácie. Združenie pracuje na nekomerčnej báze a osoby ktoré sa podieľajú na rozvoji združenia a jeho aktivít pracujú bez nároku na finančnú alebo materiálnu odmenu.
2.1. Definície pojmov
Ynet – Občianske združenie Sieť ŠDaJ Mladosť
Belojanis – ŠD Nikosa Belojanisa
STU – Slovenská technická univerzita, Bratislava
ÚZ STU – Účelové zariadenia STU
Backbone – chrbticová časť počítačovej siete
centrálny uzol – centrálny aktívny prvok alebo niekoľko aktívnych prvkov tvoriacich jeden celok
hraničný uzol – hraničný aktívny prvok alebo niekoľko aktívnych prvkov tvoriacich jeden celok
POP – point of presence
3. Ciele
Cieľom projektu je združovať študentov predovšetkým za účelom vzdelávania a uspokojovania ich záujmu v oblasti informačných technológií a dátovej komunikácie.
Ďalšie ciele:
- vybudovať, spravovať a rozširovať počítačovú sieť pre študentov ubytovaných v Študentskom domove Nikosa Belojanisa v Bratislave,
- organizovať podujatia spojené s využívaním počítačovej siete ako kurzy, školenia a pod.,
- spolupracovať so Študentským parlamentom Fakulty architektúry STU, Akademickým senátom FA STU a Radou ubytovaných študentov pôsobiacou pri Študentskom domove Nikosa Belojanisa a ďalšími študentskými organizáciami na základe vzájomnej dohody,
- podporovať projekty súvisiace s cieľom činnosti,
- spolupracovať so združeniami a organizáciami s podobným zameraním za účelom rozvoja, alebo výmeny skúseností,
- využívať myšlienkové prostriedky (prednášky a stretnutia, semináre a diskusie, odborné dialógy a pod., vydávanie bulletinov, brožúriek, príručiek, zoznamov a pod.),
4. Organizácia
Organizáciu celého projektu bude zastrešovať Občianske združenie Sieť ŠD Mladosť – Ynet, ktoré vzniklo presne za týmto účelom. Ynet bude nielen realizátorom projektu, ale bude mať v kompetencii všetky administratívne a organizáčné úkony, potrebné na všetky činnosti súvisiace s realizáciou projektu a následnou správou siete po dokončení projektu. Na činnosť Ynet-u bude po celý čas dohliadať dozorná rada, zložená z členov akadmickej obce, pre ktorú sa tento projekt realizuje.
4.1. Personálna štruktúra
Personálnu štruktúra Ynet-u budú tvoriť riadiace a výkonné zložky. Riadiacu zložku predstavuje predsedníctvo, ktoré nesie hlavnú zodpovednosť za realizáciu celého projektu, výbere dodávateľov, nakladanie s financiami a efektívne riadenie prác a správy.
Výkonnú zložku budú tvoriť členovia realizačného teamu, ktorí budú mať rozdelené úlohy podľa svojich osobných schopností a záujmu o danú oblasť projektu a v prevažnej väčšine ubytovaných na ŠD Nikosa Belojanisa. Činnosť realizačného teamu podlieha rozhodnutiam predsedníctva a zodpovedá sa mu. Realizačný team je nutné vhodne rozdeliť do pracovných skupín, ktoré budú efektívnejšie realizovať jednotlivé časti projektu. Základné rozdelenie do skupín, ktoré sa môžu podľa potreby ďalej rozdeľovať alebo zlučovať, je nasledovné:
- skupina na realizáciu fyzických prác spojených najmä s ťahaním kabeláže a inštaláciou jednotlivých komponentov pasívnej časti
- skupina na správu aktívnych prvkov
- skupina starajúca sa o pripájanie používateľov do siete a administrívne činnosti s tým spojené
- skupina starajúca sa o bezpečnosť siete
5. Technické riešenie
5.1. Požiadavky
Návrh technickej realizácie lokálnej počítačovej siete s pripojením do siete Internet vychádza z požiadaviek, ktoré sú kladené na moderné počítačové siete v súčasnosti, ako aj z požiadaviek, ktoré budú musieť spĺňať počítačové siete v blízkej budúcnosti.
Počítačová sieť Ynet má byť schopná zabezpečovať ciele Ynet-u, ktoré vyplývajú zo stanov Ynet-u, prípadne pomáhať pri ich dosahovaní. Medzi tieto ciele patrí najmä:
- uspokojovanie záujmu študentov v oblasti informačných technológií a dátovej komunikácie
- podporovať projekty súvisiace s cieľom činnosti
Počet používateľov, ktorí budú reálne počítačovú sieť využívať sa odhaduje na 130 až 180. Tento odhad vychádza z mometálnej ubytovacej kapacity na ŠD Nikosa Belojanisa, ktorá sa pohybuje okolo 200 ubytovacích miest. Počet ubytovacích miest na ŠD Nikosa Belojanisa sa podľa podkladov z ŠD Nikosa Belojanisa a ÚZ STU v budúcnosti nebude zvyšovať. Nutnosťou bude vybavenie všetkých izieb dostatočným počtom prípojok z dôvodu častého premiesťňovania budúcich používaľov v rámci ubytovacích priestorov ŠD Nikosa Belojanisa. Cieľom je umožniť pripojiť sa do lokálnej siete (s pripojením do siete Internet) ktorémukoľvek študentovi bývajúcemu na ŠD Nikosa Belojanisa na ktorejkoľvek izbe, na ktorej bude ubytovaný.
Okrem bežných služieb ako:
- prezeranie a sťahovanie web stránok z Internetu
- sťahovanie veľkých súborov (napr. študijné materiály) pomocou ftp alebo http prokolov
- komunikácia prostredníctvom chat aplikácií
- internet banking
- on-line nakupovanie
musí navrhovaná počítačová sieť umožňovať bezproblémový chod služieb, ktoré sa stávajú alebo v blízkej budúcnosti stanú bežnými:
- hlasové služby (VoIP)
- videokonferencie
- multimediálne služby (streamovanie prednášok, seminárov, odborných konferencií, televíznych, rozhlasových staníc atď. pomocou technológie multicast)
V neposlednom rade musí byť navrhovaná počítačová sieť schopná slúžiť aj na vedecké účely (vývoj a testovanie nových aplikácií, technológií, procesov a pod.) za podmienky neobmedzenia a neohrozenia riadnej prevádzky siete.
Celá počítačová sieť musí byť ľahko a jednoducho spravovateľná s nutnosťou čo najmenšieho počtu sieťových administrátorov. Súčasťou správy siete musí byť monitoring dôležitých častí siete. Okrem samotnej funkčnosti siete, bude kladený dôraz aj na celkovú bezpečnosť siete.
Na splnenie všetkých spomenutých požiadaviek bude potrebné zabezpečiť pripojenie koncových používateľov a servrov rýchlosťou 100 Mbps alebo 1 Gbps. Chrbticová časť siete musí poskytovať priepustnosť 1 Gbps alebo 10 Gbps. Transportná linka do siete Internet si bude vyžadovať šírku pásma 100 Mbps alebo 1 Gbps.
Požaduje sa použitie perspektívnej technológie, cenovo porovnateľnej s alternatívnymi technológiami súčasnosti. Pasívna časť siete by mala byť schopná prevádzky najmenej 10 rokov bez potreby výmeny alebo obnovy. Aktívna časť siete by mala byť schopná zabezpečovať svoju funkciu cca 3-5 rokov bez potreby obnovy. Dôležitá je aj požiadavka na škálovateľnosť siete podľa potreby - rast počtu používateľov a zmeny štruktúry využívaných služieb.
Poskytovanie pripojenia lokálnej počítačovej siete do Internetu bude zabezpečované prostredníctvom optickej infraštruktúry STU a prípojných bodov akademickej siete SANET.
5.1.1. Požiadavky vo faktoch a číslach
Tabuľka č.1: Počet prípojok
Počet prípojok na 1-posteľovú izbu |
1 |
Počet prípojok na 2-posteľovú izbu |
2 |
Počet prípojok na poschodie |
42 |
Počet prípojok na poschodie |
46 |
Celkový počet prípojok (5 poschodi) |
218 |
Odhadovaný priemerný počet používateľov na 1 poschodie |
25 – 35 (v budúcnosti 40) |
Odhadovaný maximálny počet používateľov na 1 poschodie |
40 - 46 |
Odhadovaný počet používateľov |
125 - 175 |
Tabuľka č.2: Služby
Prezeranie a sťahovanie web stránok z Internetu |
---|
|
sťahovanie veľkých súborov (napr. študijné materiály, ISO distribúcie Linux, Open Office a pod.) pomocou ftp alebo http prokolov |
komunikácia prostredníctvom chat aplikácií |
internet banking |
on-line nakupovanie |
hlasové služby (VoIP) |
videokonferencie |
multimediálne služby (streamovanie prednášok, seminárov, odborných konferencií televíznych, rozhlasových staníc atď. pomocou technológie multicast) |
výskum |
Tabuľka č.3: Minimálna životnosť jednotlivých častí siete
Pasívna časť |
10 a viac rokov |
Aktívna časť |
3-5 roky |
Tabuľka č.4: Priepustnosť siete v jednotlivých častiach
Koncoví používatelia/servre |
100 Mbps, 1 Gbps |
Backbone |
1 Gbps, 10 Gbps |
Transport |
100 Mbps, 1 Gbps |
5.2. Výber technológie
Na základe zadaných požiadaviek jednoznačne vychádza ako najoptimálnejšie riešenie použitie ethernetovej technológie.
Tabuľka č.5: Výhody ethernetovej technológie
jednoduchosť |
robustnosť |
veľká dátová priepustnosť (neustále sa narastá vysoko nad úroveň iných technológií) |
možnosť pripojenia veľkého množstva používateľov (niekoľko tisíc) |
najpoužívanejšia technológia v LAN sieťach (postupne nasadzovaná aj vo WAN sieťach) |
jednotné celosvetové štandardy |
cena aktívnych prvkov |
cena pasívnych prvkov |
obrovské množstvo produktov pre aktívnu a pasívnu časť siete |
nízke náklady na údržbu |
jednoduchá správa a manažment siete |
perspektíva (jedna z najrýchlejšie sa rozvíjajúcich sieťových technológií) |
Tabuľka č.6: Nevýhody ethernetovej technológie
všetky pripojené uzly zdieľajú celú šírku pásma na danom segmente siete, t.j. nikto nemá garantovanú nejakú časť pásma pre seba (kompenzované veľkou priepustnosťou technológie) |
znížené možnosti garancie časovej odozvy a určitej kvality kritických služieb ako napr. hlasové služby, oproti napr. ATM technológii (kompenzované veľkou priepustnosťou a stále dokonalejšími prvkami Quality of Service používanými v aktívnych zariadeniach) |
znížená bezpečnosť (je potrebné ošetriť použitím moderných manažovateľných aktívnych prvkov a kombináciou s ďalšími nástrojmi vyšších vrstiev) |
Z uvedeného porovnania vyplýva, že ethernetová technológia je najvhodnejšia na realizáciu vysokorýchlostnej lokálnej počítačovej siete pri dodržaní všetkých zadaných požiadaviek, preto bude na tejto technológii postavená celá navrhovaná počítačová sieť. Z tohto faktu sa bude vychádzať pri navrhovaní fyzickej a logickej topológie sieť a výbere prvkov aktívnej a pasívnej časti siete.
5.3. Fyzická topológia siete
Fyzická topológia siete je daná rozložením a konštrukciou jednotlivých blokov tvoriacich komplex ŠDaJ Mladosť (viď. obrázky).
Obr. č.1: Komplex budov ŠD Nikosa Belojanisa (pohľad zhora)
Obr. č.2: ŠD Nikosa Belojanisa (pohľad zpredu)
Topológiu siete je možné realizovať niektorým z nasledovných modelov:
- jednoduchá hviezda
- rozšírená hviezda
- mesh
- zbernica
- kruh
Pri návrhu sa bude vychádzať z modelu dvojurovnovej hviezdy, pretože najoptimálnejšie vyhovuje možnostiam komplexu ŠD Nikosa Belojanisa. Prvú úroveň bude tvoriť chrbticová sieť, na ktorú sa budú pripájať jednotlivé hviezdy druhej úrovne. Okrem toho bude z hviezdy prvej úrovne vyvedaná transportná linka k miestnosti s vratnicou, kde bude pripojená na POP siete SANET. Hviezdy druhej úrovne budú poskytovať priame fyzické pripojenie používateľov do počítačovej siete.
5.3.1. Prvá úroveň fyzickej topológie – chrbticová sieť
Chrbticovú sieť budú tvoriť nasledovné elementy:
- centrálny aktívny prvok alebo niekoľko aktívnych prvkov tvoriacich jeden celok (centrálny uzol)
- metalická štruktúrovaná kabeláž pripájajúca aktívne hraničné prvky (uzly) a POP siete SANET
- používateľské servre, zariadenia na monitoring a manažment siete
- metalická štruktúrovaná kabeláž pripájajúca používateľské servre, zariadenia na monitoring a manažment siete
5.3.2. Druhá úroveň fyzickej topológie
Druhú úroveň fyzickej topológie budú tvoriť nasledovné elementy:
- hraničné aktívne prvky, ktoré sa budú pripájať na chrbticovú sieť prostredníctvom metalickej štruktúrovanej kabeláže
- metalická štruktúrovaná kabeláž, pomocou ktorej budú do počítačovej siete prípajaní jednotliví používatelia
5.4. Pasívna časť
Pasívnu časť počítačovej siete budú tvoriť metalické štruktúrované kabelážne systémy. Všetky uzly (hraničné + centrálny) budú spolu s príslušnými komponentmi pasívnej časti umiestnené v stojanových rozvádzačoch (rackoch), t.j. na každom poschodí 1 rozvádzač a 1 rozvádzač v serverovni, ktorá bude tvoriť centrálný bod siete.
Pri výbere komponentov pasívnej časti je bezpodmienečne nutné dodržiavať normy a smernice Slovenskej republiky a Európskej únie vzťahujúce sa k bezpečnostným požiadavkám na takéto systémy. Odporúča sa pritom držať sa medzinárodných štandardov (ISO, IEEE) z dôvodu zaručenia kvalitatívnych parametrov pasívnej časti počítačovej siete.
Podrobné informácie o typoch a cene jednotlivých komponentov pasívnej časti siete spolu s vybranými dodávateľmi sú uvedenév prílohe.
5.4.1. Stojanové rozvádzače
Všeobecné požiadavky, ktoré musia vybrané stojanové rozvádzače spĺňať:
- odnímateľné bočné steny a zadná stena
- nastaviteľné predné a zadné vodiace lišty
- bezpečnostné sklo na predných dverách
- zámok na predných dverách a jednotlivých stenách
- výška 515 mm a viac, šírka 600 mm, hĺbka 600 mm (800 mm v prípade centrálneho stojanového rozvádzača)
Stojanové rozvádzače budú obsahovať tieto komponenty pasívnej časti:
- tienené metalické patch panely
- hrebene na patch káble
- ventilačná jednotka
- elektrický rozvádzač
- kefová protiprachová jednotka
- optický patch panel (iba centrálny rozvádzač)
Dôležité upozornenie: Všetky stojanové rozvádzače a jednotlivé pasívne komponenty namontované v týchto rozvádzačoch musia byť dôsledne uzemnené !
5.4.2. Metalický štruktúrovaný kabelážny systém
Metalický štruktúrovaný kabelážny systém bude použitý v nasledovných častiach počítačovej siete:
- kabeláž pripájajúca koncových používateľov k hraničným aktívnym prvkom (splnená podmienka na maximálnu vzialenosť 100m medzi pripájaným zariadením a aktívnym prvkom siete)
- štruktúrovaná kabeláž v serverovni
- kabeláž pripájajúca jednotlive switche medzi sebou
Z dôvodu odolnosti kabeláže voči negatívnym vplyvom elektromagnetického žiarenia (vyžarovanie z okolia, vyžarovanie do okolia) bude na horizontálnu kabeláž použitý niektorý z nasledovných typov kabeláže:
- FTP (tienenie kábla fóliou, jednotlivé páry vodičov netienené)
- S-FTP (tienenie kábla opletením a fóliou)
- F-FTP (netienený kábel, jednotlivé páry vodičov tienené fóliou)
- S-STP (tienenie kábla opletením, jednotlivé páry vodičov tienené fóliou)
Horizontálna kabeláž bude slúžiť ako prepojovací prvok medzi zásuvkami (budú použité tienené) u koncových používateľov a patch panelmi v stojanových rozvádzačoch. Jednotlivé káble budú vedené od zásuvky koncového používateľa v ochranných PVC žľaboch po celej trase až k stojanovému rozvádzaču. Umiestnenie jednotlivých žľabov je na obrázku č.4 v prilohe.
Tabuľka č.7: Parametrov žľabov
20 x 20 x 300 mm na bunkách |
3 káble (jedna bunka) |
60 x 20 x 3000 mm od bunky po chodbe až k zadnej strane ochrannej konštrukcie výťahu |
6 káblov (jedna strana poschodia) |
120 x 40 x 3000 mm po oboch stranách zadnej výťahovej koštrukcie od prvého až po posledné poschodie |
48 (káblov jedna strana bloku)
|
Na pripojenie počítača koncového používateľa k zásuvke ako aj na prepojenie medzi patch panelmi a aktívnymi prvkami v stojanových rozvádzačoch budú postačovať netienené UTP káble.
Metalická štruktúrovaná kabeláž v serverovni bude vedená v špeciálnom stole, ktorý je určený a konštruovaný práve na účely jednoduchej inštalácie takejto kabeláže. Tento stôl obsahuje rozvody a zásuvky ako pre elektrickú tak aj pre počítačovú sieť.
5.5. Logická topológia siete
Na 3.vrstve a 4.vrstve sieťového modelu OSI bude v sieti Ynet použitá výlučne TCP/IP protokolová sada, ktorá je používaná takmer vo všetkých sieťach vrátane Internetu.
Ynet dostal na logickú adresáciu siete k dispozícii časť adresného rozsahu STU. Bude použitý ip roysah pridelenź sanetom. Každý požívateľ bude mať k dispozícii práve jednu IP adresu z tohto adresného priestoru. Podľa odhadov uvedených v požiadavkách bude do siete pripojených maximálne 218 používateľov, takže získaný IP rozsah dostatočne pokrýva potreby na veľkosť adresného priestoru navyše s rezervou do budúcnosti.
Základné požiadavky na logickú topológiu siete:
- efektívne využitie priepustnosti liniek
- čo najväčšie obmedzenie prenosov smerom od jedného používateľa ku všetkým ostatným (tzv. broadcast prenosy)
- bezpečnostné požiadavky (ochrana dôležitých používateľských servrov, ochrana aktívnych zariadení, obmedzenie možností odposluchu dôverných dát a pod.)
- prehľadná a jednoduchá logická adresácia
- verejné IP adresy pre používateľov a používateľské servre, ktoré budú musieť byť dostupné z Internetu
- súkromné IP adresy pre sieťové zariadenia a používateľské servre, ktoré nebudú potrebovať alebo bude u nich vyslovene nežiadúci (z bezpečnostných dôvodov) prístup z Internetu
Z týchto požiadaviek ako aj z odhadovaného počtu používateľov na jednotlivých blokoch vyplýva ako najvýhodnejšie použiť nasledovnú adresnú schému:
Na oddelenie dátových prenosov používateľov a dátových prenosov obsahujúcich manažovacie informácie pre aktívne zariadenia, monitorovacie informácie a iné informácie vyžadujúce si zvýšenú bezpečnosť, je výhodné použiť virtuálne LAN siete, tzv. VLAN-y (medzi 2. a 3. vrstvou OSI modelu). Okrem toho sú VLAN-y veľmi efektívny nástroj na zmenšovanie broadcast segmentov, kedy je možné posielať broadcast správy iba v rámci danej VLAN. Každá podsieť by mal byť v samostatnej VLAN-e.
5.6. Aktívne prvky
Na základe požiadaviek fyzickej a logickej topológie siete je možné zvoliť jednu z nasledovných alternatív:
1. alternatíva:
-
v hraničných bodoch:
-
L2 prepínače (pripojenie koncových používateľov) bez ďalšej funkcionality ako sú VLAN-y a pod.
-
smerovače (rozdelenie siete na jednotlivé pod siete)
-
-
v centrálnom bode:
-
L2 prepínač s rozšírenou funkcionalitou, najmä možnosť použitia VLAN a s vysokou priepustnosťou prenínacej matice
-
Tabuľka č.9: Porovnanie výhod a nevýhod 1.alternatívy
Výhody |
Nevýhody |
nižšia cena hraničných prepínačov |
nutnosť použitia na každom bloku smerovač |
pri použití linuxových smerovačov postavených na PC celkovo nižšia cena aktívnych prvkov |
vyšší počet použitých aktívnych prvkov |
zníženie zaťaženia transportných liniek |
|
2. alternatíva:
- v hraničných bodoch:
- L3 prepínače spolu s L2 prepínačmi s rozšírenou funkcionalitou, najmä možnosť použitia VLAN (na 1 bloku jedne L3 prepínač a zvyšok L2 prepínače)
- v centrálnom bode:
- L2 prepínač s rozšírenou funkcionalitou, najmä možnosť použitia VLAN a s vysokou priepustnosťou prenínacej matice
Tabuľka č.10: Porovnanie výhod a nevýhod 2.alternatívy
Výhody |
Nevýhody |
nižší počet aktívnych prvkov oproti 1.alternatíve |
vysoká cena hraničných L3 prepínačov |
efektívnejší prenos dát po sieti |
|
zníženie zaťaženia transportných liniek |
|
3. alternatíva:
- v hraničných bodoch:
- L2 prepínače (pripojenie koncových používateľov) s rozšírenou funkcionalitou, najmä možnosť použitia VLAN
- v centrálnom bode:
- L3 prepínač s vysokou priepustnosťou prenínacej matice
Tabuľka č.11: Porovnanie výhod a nevýhod 3.alternatívy
Výhody |
Nevýhody |
nižší počet aktívnych prvkov oproti 1.alternatíve |
menej efektívny prenos dát po sieti oproti 2.alternatíve |
nižšia cena hraničných L2 prepínačov |
menej efektívne zníženie zaťaženia transportných liniek oproti 2.alternatíve |
efektívnejší prenos dát po sieti oproti 1.alternatíve |
|
Z uvedených porovnaí jednotlivých alternatív vyplýva, že z technického hľadiska je najideálnejšie použiť 2.alternatívu. Jej veľkou nevýhodou sú však celkové náklady na aktívne prvky, čo nie je veľmi žiadúce v prvej fáze projektu, keď sa nepredpokladá dostatočne vysoké finančné krytie na nákup takýchto zariadení. Z tohto dôvodu sa použije 3.alternatíva, ktorá je kompromisom medzi technickým riešením a cenou. V budúcnosti po vybudovaní siete, keď odpadnú náklady na pasívnu časť siete a pri získaní dostatočných príjmov, bude možný prechod k 2.alternatíve.
5.6.1. Požiadavky na aktívne prvky
Pri výbere aktívnych prvkov sa vychádza zo zvolenej alternatívy a dodatočných požiadaviek na funkcionalitu a bezpečnosť. Medzi najdôležitejšie požiadavky patria:
- manažovateľnosť (aj na diaľku) jednotlivých aktívnych zariadení
- stackovanie jednotlivých aktívnych zariadení
- metalický uplink 100/1000 Mbps (hraničné prepínače)
- 48 metalických portov 10/100 Mbps (hraničné prepínače)
- VLAN
- port security, access lists
- protokoly: IGMP, SNMP, RMON
- QoS
- cena
- značka
- flexibilný support zo strany dodávateľa a výrobcu
- záručná dobaVýber konkrétnych aktívnych prvkov bude uvedený v prílohe.
6. Bezpečnosť
Bezpečnosť je potrebné zohľadňovať vo všetkých vývojových štádiách projektu. Bezpečnostný incident môže spôsobiť škody rôznych druhov a tak podstatne sťažiť prípadne v jeho ranných štádiách aj zastaviť rozvoj projektu. Práve v týchto ranných štádiách je sieť najzraniteľnejšia keďže realizátori ešte nestihli implementovať všetky bezpečnostné mechanizmy. Rovnako informačný systém v tomto čase prechádza mnohými zmenami a preto je veľmi náročné napasovať bezpečnostné opatrenia priamo na mieru aktuálnemu stavu. Na začiatku realizácie je však v sieti pripojených relatívne málo používateľov a tí majú tiež relatívne málo informácií o aktuálnom stave siete, čo znižuje bezpečnostné riziká. Riziko útoku z vonku však zostáva a preto je napr. potrebné inštalovať firewall zároveň s inštaláciou sieťovej brány do Internetu.
Z organizačného hľadiska by mala byť v rámci projektu vytvorená skupina, ktorá sa bude špecializovať na bezpečnosť, táto skupina navrhne presné pravidlá riadenia bezpečnosti a určí presnú filozofiu smerovania združenia z tomto smere.
Táto kapitola projektu pojednáva o bezpečnosti siete Ynet všeobecne, konkrétne pravidlá a postupy sú uvedené v prílohe Smernice bezpečnosti.
Bezpečnosť v projekte Ynet by mala pozostávať z niekoľkých hlavných častí popísaných v nasledovných podkapitolách.
6.1. Bezpečnosť informácií
Musí byť definovaná kategorizácia informácií, spôsob ich ochrany a zaobchádzania s nimi. V začiatkoch projektu nie je veľmi dôležitá. Keďže je projekt realizovaný neziskovou organizáciou na nekomerčnej báze, neexistuje veľa interných informácií, ktoré by mali byť chránené pred vyzradením (spoločnosť napr. nemusí chrániť žiadne obchodné informácie). Ide skôr o ochranu informácií pred zničením a neautorizovanou zmenou. V neskorších fázach projektu, keď sa začínajú bezpečnostné opatrenia stabilizovať, vzrastajú nároky na ochranu informácií o nich hlavne z dôvodu prevencie prieniku.
6.2. Personálna bezpečnosť
Spočíva najmä v správnom výbere osôb, ktoré budú projekt realizovať a ďalej udržiavať. Tieto osoby je potrebné istým spôsobom preveriť pri ich prijímaní a na základne skúseností s nimi im prideliť správne prístupové práva. V podmienkach projektu Ynet je to však veľmi obtiažne, pretože všetci, ktorí sa na projekte podieľajú pracujú dobrovoľne a bez nároku na odmenu. Takže ich nie je možné priamo (napr. finančne) výrazne motivovať a riadiť ich priority ohľadom projektu.
6.3. Sieťová bezpečnosť
Najdôležitejšie časti tejto oblasti spočívajú v ochrane pripojených počítačov pred útokmi z vonku siete a ochrane sieťových serverov a iných aktívnych prvkov zabezpečujúcich chod siete pred útokmi z vonkajšej aj vnútornej siete.
Komunikácia medzi pripojenými počítačmi by nemala byť nijako obmedzovaná, takže v smere priamych systémových či aplikačných útokov ich nebude možné chrániť. No je dôležité zabezpečiť preukázateľnosť niektorých aktivít (napr. pokus o napadnutie servra) a preto je okrem spoľahlivého záznamu logov potrebné zabezpečiť aj súlad IP adries a MAC adries na sieti. Toto by malo byť riešené pomocou ACL na aktívnych zariadeniach siete.
Ochrana centrálnych serverov by mala byť riešená použitím IDS/IPS systémov nainštalovaných priamo na daných serveroch. Aktalizácie, zálohy a ostatné opatrenia na systémovej úrovnu sú v kompetencii systémových administrátorov daných servrov. Títo sa ale musia riadiť internými smernicami bezpečnosti a všeobecnými zásadami bezpečnosti.
6.4. Fyzická bezpečnosť
Na poli fyzickej bezpečnosti bude najobtiažnejšie zabezpečiť ochranu inštalovaných pasívnych prvkov siete (sieťových káblov a líšt) na verejných miestach (chodby internátu).
Centrálna serverovňa by mala mať osobitný systém ochrany, ktorý by mal byť na oveľa vyššej úrovni ako systém fyzickej ochrany ostatných zariadení umiestnených mimo tejto serverovne. Jedná sa vlastne o jediné účinné bezpečnostné opatrenie zabezpečujúce fyzickú ochranu životne dôležitých zariadení siete.
7. Financovanie
Náklady na projekt vychádzajú z návrhu technického riešenia projektu. Väčšinu celkovej sumy predstavujú náklady na aktívne prvky. Zvyšnú časťsumy tvoria náklady na pasívnu časť siete.
7.1. Príjmy
Financovanie celého projektu bude zabezpečené pomocou nasledovných zdrojov:
- členské príspevky a registračné poplatky členov Ynet-u
- sponzorské dary
- vlastná práca členov realizačného teamu
- štátne a medzinárodné granty
7.2. Výdavky
Všetky príjmy získané na realizáciu projektu budú použité výlučne na nákup:
- pasívnych a aktívnych prvkov
- inštalačného materiálu
- náradia
- výdavkou spojených s dopravou nakúpených komponentov
- používateľských servrov
- položiek, ktoré si pri stavbe a prevádzke takejto siete vyžadujú bezpečnostné normy Slovenskej republiky a Európskej únie
Žiadny príjem nebude použitý na finančnú alebo materiálnu odmenu členov realizačného teamu, keďže sa všetci zaväzujú vybudovať tento projekt bez nároku na spomenuté druhy odmeny. Predpokladané príjmy a výdavky sú popísané v prílohe.