1.18Требования к телекоммуникационной инфраструктуре
Телекоммуникационная инфраструктура, реализуемая системой передачи данных (СПД) предназначена для передачи электронной информации и является базовой инфраструктурной единицей для поддержания всех информационных процессов организации и функционирования ЦУБ с объектами мониторинга.
Создаваемая Система должна удовлетворять следующим основным требованиям:
объединять информационные и вычислительные ресурсы, телекоммуникационные услуги, прикладные, системные и интеллектуальные сервисы в единую автоматизированную систему;
обеспечивать доступ к централизованным ресурсам ЦУБ, как для внутренних, так и для внешних потребителей;
обеспечивать доступ к внешним децентрализованным ресурсам мониторинга для сбора, хранения и обработки информации;
обеспечивать защищённое взаимодействие сотрудников и информационных систем распространяемой по каналам связи ОАО «ЯнтарьЭнерго»;
обеспечивать высокий уровень отказоустойчивости и доступности сервиса, как на уровне всей Системы, так и на уровне ее отдельных компонент;
функционировать в режиме 24х7 (круглосуточно 7 дней в неделю), в случае возникновения отказов, оборудование должно иметь возможность автоматической реконфигурации с целью сохранения работоспособности и минимизации времени простоя;
интегрировать разнородные виды услуг и сервисов;
дифференцировать сервис в Системе в соответствии с задачами;
иметь системы централизованного управления, анализа и контроля;
поддерживать информационную безопасность в соответствии с лучшей мировой практикой, а также требованиями регулирующих органов РФ;
обеспечивать функциональную совместимость всех элементов;
поддерживать интеграцию с уже использующимся оборудованием и технологиями;
иметь возможность дальнейшего развития.
Структура СПД должна быть разработана на основе принципов, заложенных в модульной архитектуре построения высокозащищенных корпоративных сетей. Каждый модуль должен выполнять четко определенный (автономный) набор задач, полностью независимый от смежных модулей. Тем самым должна быть обеспечена высокая гибкость и масштабируемость всей Системы. На границах контура должны находиться высоко технологичные средства безопасности, контролирующие прохождение продуктивного трафика между контурами, тем самым обеспечивая высокую степень безопасности. Каждый модуль должен строиться путем дублирования всех сетевых компонентов так, чтобы выход из строя одного из компонентов не приводил к остановке работы модуля. Тем самым должна достигаться высокая надежность и отказоустойчивость, как отдельного модуля, так и всей Системы в целом.
В структуре системы должны быть выделены следующие основные модули:
модуль ядра, выполняющий задачи по высокоскоростной маршрутизации пакетов данных между всеми компонентами Системы;
модуль доступа к корпоративной сети, выполняющий функции интеграции системы с сетями объектов мониторинга и информационными ресурсами ЦУБ;
модуль управления, предназначенный для размещения основных элементов управления ИТ инфраструктурой ЦУБ;
модуль доступа центра обработки данных РУБ, предназначенный для подключения прикладных и вычислительных ресурсов к ресурсам СПД;
модуль доступа Пользователей, предназначенный для непосредственного подключения рабочих мест Пользователей к ресурсам СПД.
Система должна функционировать в режиме 24х7 (круглосуточно 7 дней в неделю). В случае возникновения отказов Система должна иметь возможность автоматической реконфигурации с целью сохранения работоспособности и минимизации времени простоя.
В составе Системы должны быть предусмотрены встроенные средства диагностики и самодиагностики. Программное обеспечение оборудования должно позволять проводить удаленную диагностику оборудования, используемых технологий и качества каналов связи.
Система должна иметь возможность развития. Все оборудование должно выбираться с запасом по производительности, возможности расширения состава услуг и сервисов.
Создаваемая Система должна иметь возможность расширения с учётом роста не более 10% в год.
Система должна обеспечивать заданные функциональные требования без существенных изменений на срок до 10 лет.
Технические и программные средства, входящие в состав Системы, должны функционировать в непрерывном режиме круглосуточно. Допускается остановка отдельных компонентов для технического обслуживания и ремонта, при этом функциональность Системы в целом должна сохраняться в полном объеме.
Уровень надежности СПД должен зависеть от показателей надежности следующих элементов:
оборудования сетевой инфраструктуры;
телекоммуникационного и каналообразующего оборудования;
системы бесперебойного питания;
каналов передачи данных.
Надежность должна обеспечиваться:
аппаратным резервированием;
линиями связи;
источниками питания;
функциональной избыточностью;
наличием средств удаленной и автономной диагностики;
наличием группового комплекта запасных инструментов и принадлежностей (ЗИП).
Коэффициент готовности Системы должен быть определен на стадии проектирования.
Отказом для технических средств Системы является невозможность выполнения приема и обработки пакетов данных, вызванная неисправностью оборудования.
Технические средства не должны требовать постоянного присутствия обслуживающего персонала.
Восстановление работоспособности технических средств СПД допускается производить путем замены отдельных блоков или устройств в целом.
Все оборудование должно иметь возможность установки в стандартный телекоммуникационный шкаф 19’’. При проектировании Системы должна быть разработана единая система наименования оборудования, определены способы нанесения маркировки на компоненты Системы.
Для обеспечения единообразия в обслуживании, Система должна быть построена на оборудовании одного производителя, иметь единый логический интерфейс управления всей Системой и единый набор технологий. Кроме того, в состав Системы должны быть включены все необходимые компоненты для организации централизованного управления Системой, включающие подсистемы:
управления производительностью;
управления конфигурациями;
управления изменениями;
управления отказами.
Состав и порядок проведения регламентных и профилактических работ должны быть определены проектом, при этом должна быть учтена периодичность для проведения регламентных работ не реже одного раза в квартал, а для профилактических работ не реже одного раза в год.
При разработке Системы должна быть учтена необходимость наличия необходимого и достаточного комплекта запасных частей. Состав комплекта ЗИП, а так же условия его хранения должны быть определены проектом.
При построении Системы и ее основных частей должен использоваться единый модельный ряд оборудования, должна быть обеспечена взаимозаменяемость модулей и их единообразие в обслуживании.
На всё активное сетевое оборудование должна предоставляться гарантия от производителя сроком не менее 1 год. Техническая поддержка должна оказываться производителем в режиме 24x7 с возможностью обновления программного обеспечения и замены неисправного оборудования.
В качестве транспортной среды между ЦУБ и объектами мониторинга должны использоваться существующие ресурсы (каналы связи) ОАО «Россети». Организацию каналов связи между объектами осуществляет Заказчик. Стык между активным сетевым оборудованием и каналами связи должен быть выполнен на основе интерфейса Ethernet 10/100/1000. Рекомендуемая пропускная способность каналов связи для информационного обмена между Объектами составляет не менее 10 Мбит/с.
Администрирование системы передачи данных должно осуществляться с помощью отдельного АРМ администратора системы передачи данных.
Для создания модуля ядра должны быть использованы высокопроизводительные магистральные коммутаторы. Для поддержки адаптивности всей Системы, программное обеспечение коммутаторов должно включать поддержку динамических протоколов маршрутизации OSPF и BGP. Производительность устройств, состав и количество интерфейсов коммутаторов должно быть определено на этапе проектирования Системы.
Функциями модуля доступа к корпоративной сети являются:
организация высокозащищенного и контролируемого подключения СПД к сетям доступа с низким уровнем доверия;
На периметре сети должны быть расположены современные высокопроизводительные модульные маршрутизаторы, которые выполняют функции отказоустойчивого подключения к внешней сети. Производительность устройств должна быть достаточна для организации взаимодействия с объектами мониторинга, но не менее 1 Гбит/с с возможностью расширения путем лицензирования дополнительной производительности. Программное обеспечение маршрутизаторов должно иметь динамические протоколы маршрутизации OSPF, BGP, технологии инкапсуляции GRE, 802.1Q, HDLC, PPP, MLPP, FrameRelay, HDLC, технологии управления трафиком CBWFQ, WRED, PBR, оснащена слотами для установки DSP, поддерживать функции шифрования, межсетевого экранирования, унифицированных коммуникаций, а так же возможность установки модулей для развертывания приложений пользователей. Маршрутизаторы должны быть оснащены двумя блоками питания и иметь возможность установки в телекоммуникационный шкаф 19’. Для организации контролируемого доступа, в состав модуля должны быть включены следующие инструменты:
межсетевые экраны для защиты сети от внешних угроз;
средства анализа сигнатур атак и предотвращения вторжения;
средства криптографической защиты трафика при передаче по внешним и публичным сетям операторов связи.
Средства криптографической защиты трафика должны функционировать под управлением доверенной ОС Linux c ядром версии 2.6.32.
Средства криптографической защиты трафика (СКЗТ) должны обеспечивать реализацию следующего функционала:
Двухстороннюю криптографическую аутентификацию между взаимодействующими СКЗТ при установлении защищенного соединения и контроль на ее основе доступа пользователей СКЗТ к корпоративным информационным ресурсам;
Проверку целостности передаваемых/получаемых данных посредством вычисления значения их хэш-функции в соответствии с ГОСТ Р 34.11-94 и обеспечение на этой основе целостности;
Конфиденциальность трафика на основе шифрования в соответствии с ГОСТ 28147-89;
Автоматическую пакетную фильтрацию входящего и исходящего трафика с использованием служебной информации в полях заголовков пакетов сетевого и транспортного уровней;
Защиту настроек системы от несанкционированного доступа;
Регистрирование событий, осуществление мониторинга протоколируемых событий;
Контроль целостности ПО программных компонент СКЗТ путем вычисления хеш-функции;
Загрузку и хранение ключевой информации;
Формирование сеансовых ключей;
Подключение мобильных устройств.
Функцией модуля управления является организация централизованного управления ИТ инфраструктурой ЦУБ. Модуль предназначен для размещения всех ИТ сервисов централизованного управления к таким относятся:
средства централизованного управления сетевой инфраструктурой;
средства централизованного управления ИБ;
средства коммутации трафика для подключения серверов централизованного управления ИТ и интерфейсов управления ИТ систем.
Производительность устройств, состав и количество интерфейсов должны быть определены на этапе проектирования Системы.
Модуль ЦОД предназначен для организации отказоустойчивого и высокоскоростного подключения серверов, систем хранения данных и корпоративных информационных систем ЦУБ к ресурсам СПД с пропускной способностью 10G или 40G.
Модуль доступа Пользователей предназначен для организации непосредственного подключения рабочих мест Пользователей и технологического оборудования к ресурсам СПД. Коммутаторы должны иметь возможность стекирования до 8 устройств и управления как единое устройство. Производительность устройств должна быть не менее 100 Mpps. Коммутаторы должны быть оснащены двумя блоками питания с бюджетом достаточным для использования технологии PoE+ на всех портах коммутатора.
|
