Bankovní institut vysoká škola Praha Katedra informatiky a kvantitativních metod
Návrh infrastruktury ICT pro společnost Finapra a.s. Diplomová práce
Autor:
Michal Zítko Informační technologie a management
Vedoucí práce
Praha
Ing. Jan Háněl
červen 2015
Prohlášení: Prohlašuji, ţe jsem diplomovou práci zpracoval samostatně a v seznamu uvedl veškerou pouţitou literaturu. Svým podpisem stvrzuji, ţe odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, ţe se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.
V Praze dne 30. 6. 2015
Michal Zítko
Poděkování: Tímto bych chtěl poděkovat svému vedoucímu diplomové práce panu Ing. Janu Hánělovi za spolupráci, rady a cenné připomínky, které mi v průběhu psaní práce poskytl.
Anotace Předkládaná diplomová práce je zaměřena na návrh infrastruktury ICT pro společnost Finapra a.s. Cílem práce je analyzovat současný stav infrastruktury ICT ve společnosti a odhalit nedostatky ve stávajícím hardwarovém a softwarovém vybavení. Diplomová práce vyhodnocuje náklady na pořízení a provoz navrhovaného řešení. Dále doporučuje zavedení vhodných bezpečnostních opatření pro sníţení rizika poruchy a napadení. Klíčová slova: síťová infrastruktura, kamerový systém, VOIP telefony, hardware, software, aktivní síťové prvky Annotation This thesis is focused on the design of the ICT infrastructure for company FINAPRA a.s. The aim of thesis is to analyze the current state of ICT infrastructure in the company and reveal shortcomings find out the gaps in existing hardware and software. The thesis evaluates the costs of acquisition purchase and operation of the proposed solution. It also recommends the establishment of appropriate security measures to reduce the risk of disorder and assault. Keywords: networks infrastructure, closed circuit television, VOIP phone, hardware, software, active network elements
ÚVOD ........................................................................................................................................ 9 1
ZÁKLADNÍ TEORIE INFRASTRUKTURY ICT ...................................................... 10
1.1
Topologie sítí ................................................................................................................ 10
1.1.1
Sběrnicová topologie ................................................................................................. 10
1.1.2
Hvězdicová topologie ................................................................................................ 11
1.1.3
Kruhová topologie ..................................................................................................... 11
1.1.4
Stromová topologie .................................................................................................... 12
1.2
Model ISO/OSI ............................................................................................................ 12
1.3
Hardwarové síťové prvky ........................................................................................... 13
1.3.1
Aktivní prvky sítových technologií ........................................................................... 14
1.3.2
Pasivní prvky síťových technologií ........................................................................... 16
1.3.3
IP telefonie ................................................................................................................. 18
1.3.4
Kamerový systém ...................................................................................................... 19
1.3.4.1
IP kamery............................................................................................................ 20
1.3.4.2
Záznamové zařízení ............................................................................................ 22
1.3.4.3
Software pro správu videa .................................................................................. 23
1.3.5 1.4
Periférie ...................................................................................................................... 25 Softwarové síťové prvky ............................................................................................. 26
1.4.1
Síť peer-to-peer .......................................................................................................... 26
1.4.2
Síť klient-server ......................................................................................................... 27
2
METODOLOGIE ........................................................................................................... 29
3
ANALÝZA SOUČASNÉHO STAVU PODNIKU........................................................ 30
3.1 3.1.1
Popis podniku............................................................................................................... 30 Hlavní činnosti podniku ............................................................................................. 30
3.2
Analýza zabezpečení .................................................................................................... 31
3.3
Analýza ICT infrastruktury ....................................................................................... 32
3.3.1
Analýza internetová konektivita ................................................................................ 32
3.3.2
Analýza hardwarové vybavení společnosti................................................................ 33
3.3.2.1
Server .................................................................................................................. 33
3.3.2.2
Pracovní stanice .................................................................................................. 34
3.3.2.3
Periférie .............................................................................................................. 34
3.3.2.4
Síťové prvky ....................................................................................................... 34
3.3.2.5
IP telefonie.......................................................................................................... 35
3.3.3
Analýza softwarové vybavení společnosti ................................................................. 35 5
3.3.3.1
Serverové operační systémy ............................................................................... 35
3.3.3.2
Klientské operační systémy ................................................................................ 36
3.3.3.3
Aplikační software.............................................................................................. 37
3.3.3.4
Ekonomický software ......................................................................................... 37
3.4
Současné schéma ICT infrastruktury společnosti Finapra a.s. ............................... 37
3.5
Hodnocení současného stavu ...................................................................................... 38
4
NÁVRH ŘEŠENÍ ............................................................................................................ 40
4.1
Výběr konkrétních síťových prvků řešení ................................................................ 40
4.1.1
Kabeláţ ...................................................................................................................... 40
4.1.2
Datové zásuvky .......................................................................................................... 41
4.1.3
Aktivní prvky ............................................................................................................. 41
4.1.3.1
Switche ............................................................................................................... 41
4.1.3.2
Access point........................................................................................................ 42
4.1.3.3
Router a firewall v jednom ................................................................................. 43
4.2 4.2.1
IP telefonie .................................................................................................................... 43 Navrhované řešení Alcatel OmniPCX Enterprise...................................................... 44
4.2.1.1
Moţnosti komunikačního systému Alcatel OmniPCX Enterprise ..................... 44
4.2.1.2
Schéma řešení komunikačního systému Alcatel OmniPCX Enterprise ............. 45
4.2.1.3
Výhody systému ................................................................................................. 45
4.2.1.4
Moţnost rozšiřitelnosti komunikačního systému ............................................... 47
4.2.2
IP telefony .................................................................................................................. 47
4.2.3
Servis ......................................................................................................................... 49
4.2.4
SLA a specifikace servisní činnosti partnerem .......................................................... 49
4.3
Kamerový systém......................................................................................................... 51
4.3.1
Monitorování venkovní plochy .................................................................................. 52
4.3.2
Monitorování vnitřních prostor hlavní administrativní budovy................................. 52
4.3.3
Hardwarové vybavení kamerového systému ............................................................. 52
4.3.3.1
Vnitřní IP kamery Bosch Flexidome 5000 ......................................................... 52
4.3.3.2
Venkovní IP kamery Bosch Flexidome 5000 ..................................................... 53
4.3.3.3
Vnitřní IP kamery ............................................................................................... 55
4.3.3.4
Záznamové zařízení pro IP kamery .................................................................... 55
4.3.4
Softwarové vybavení kamerového systému .............................................................. 57
4.3.4.1
Video Client........................................................................................................ 57
4.3.4.2
IVA - Inteligentní analýza obrazu ...................................................................... 57 6
4.3.5
Legislativa .................................................................................................................. 58
4.3.6
Alternativní řešení záznamu videa z IP kamer .......................................................... 59
4.4
Zabezpečení datové komunikace................................................................................ 60
4.4.1
Šifrování..................................................................................................................... 60
4.4.2
VPN připojení ............................................................................................................ 60
4.4.2.1
Typy VPN na Cisco ASA5505 ........................................................................... 61
4.4.3
Zabezpečení bezdrátové sítě ...................................................................................... 62
4.4.4
Protokol HTTPS ........................................................................................................ 62
4.4.5
Certifikát .................................................................................................................... 63
4.4.6
Ochrana dat ................................................................................................................ 64
4.4.7
Antivirový software ................................................................................................... 65
4.4.8
Ověření identity uţivatelů a zařízení ......................................................................... 65
4.4.8.1
Restrikce účtů ..................................................................................................... 66
4.4.8.2
Silná hesla ........................................................................................................... 66
4.4.8.3
Zásady zamknutí účtu ......................................................................................... 67
4.4.9 4.5
Správa a dohled .......................................................................................................... 68 Serverové řešení ........................................................................................................... 68
4.5.1
Server ......................................................................................................................... 68
4.5.2
Operační systém serveru ............................................................................................ 69
4.5.2.1 4.5.3 4.6
Windows Server 2008 ........................................................................................ 69 Záloţní NAS server ................................................................................................... 70 Internetová konektivita ............................................................................................... 71
4.6.1
Anténní zařízení ......................................................................................................... 71
4.6.2
Umístění technologie TMCZ ve stojanu .................................................................... 72
4.7
Multifunkční tiskárny ................................................................................................. 73
4.7.1
Konica Minolta Bizhub C224e .................................................................................. 73
4.8
Návrh stavebních úprav .............................................................................................. 75
4.9
Návrh umístění zařízení .............................................................................................. 75
4.10
Schéma navrhované ICT infrastruktury společnosti Finapra a.s........................... 78
4.11
Nastavení jednotlivých síťových prvků řešení .......................................................... 79
4.11.1
Nastavení Cisco ASA5505 ..................................................................................... 79
4.11.2
Natavení Cisco SG300-28MP v 1. patře a 3 patře ................................................. 80
5 5.1
FINANČNÍ KALKULACE ŘEŠENÍ ............................................................................ 81 Ceny zakoupeného hardwaru ..................................................................................... 81 7
5.2
Ceny zakoupených softwarových licencí ................................................................... 82
5.3
Ceny odebíraných sluţeb ............................................................................................ 82
5.3.1
Přehled cen za připojení k internetu........................................................................... 82
5.3.2
Přehled cen za upgrade stávající telefonní ústředny .................................................. 83
5.3.3
Přehled cen za pevné hlasové sluţby ......................................................................... 83
5.3.4
Přehled cen za multifunkční tiskárny Konica Minolta .............................................. 84
5.4 6
Cena stavebních úprav a vybavení ............................................................................ 85 ZHODNOCENÍ A ZÁVĚR ............................................................................................ 86
SEZNAM POUŢITÉ LITERATURY .................................................................................. 89 SEZNAM OBRÁZKŮ ............................................................................................................ 93 SEZNAM TABULEK ............................................................................................................ 93 SEZNAM POUŢITÝCH ZKRATEK ................................................................................... 94 SEZNAM PŘÍLOH .............................................................................................................. 100
8
Úvod Osobní počítače se dnes jiţ zabydlely nejen v podnicích, ale i v domácnostech. O jejich výhodách určitě nikdo nepochybuje. Pokud se však sejde více počítačů pohromadě, nastávají starosti se zajištěním aktuálností dat, které se při kaţdé změně okamţitě objeví na všech počítačích, s přenášením dat z jednoho počítače na druhý, s vytisknutím nebo třeba s komunikací v síti. Řešení těchto problému nabízí vzájemné propojení počítačů ve formě vytvoření počítačové sítě. Dnes je tato technologie hojně pouţívaná a její zřízení nepředstavuje u menších sítí ţádné velké náklady. Z důvodu stálého nárůstu kriminality je zabezpečení stále důleţitějším faktorem. Je třeba pečlivě rozmyslet, jaké bezpečností mechanismy zvolit, ať uţ se jedná o domácnosti, komerční a kancelářské prostory, průmyslové zóny nebo veřejné prostranství. Jeden z nejúčinnějších nástrojů pro prevenci a zabezpečení jsou kamerové systémy. Kamery jsou vhodné nejen ke sledování dané oblasti, ale zvládají také široké spektrum funkcí, jako jsou alarmy, rozpoznání obličeje, detekce pohybu, noční vidění, vyhledávání pořízeného záběru, filtry pro maskování privátních zón a mnohé další. Předkládaná práce je zaměřena na návrh ICT1 infrastruktury pro společnost Finapra a.s. Text práce je rozdělen do pěti kapitol; přičemţ první část se zaměřuje na základní teorii ICT infrastruktury, popis topologie sítě, jednotlivé hardwarové a softwarové prvky síťových technologií, IP2 telefonii, kamerový systém a periférii. Druhá kapitola představuje a popisuje základní činnosti společnosti Finapra a.s. a analyzuje současné vybavení ICT infrastruktury, hardwarové a softwarové vybavení a zabezpečení. Třetí část obsahuje návrh nové ICT infrastruktury, IP telefonie, kamerového systému, zabezpečení přenosu dat a datové komunikace, serverové řešení a stavebních úprav. Dále třetí kapitola navrhuje umístění pracovních stanic, periférií, IP telefonie, kamerového systému a serveru a poskytuje náhled na navrhované schéma ICT infrastruktury. Čtvrtá kapitola pojednává o finanční kalkulaci navrhovaného řešení, jako jsou ceny HW3 a SF4, odebíraných sluţeb a stavebních úprav. Pátá a současně poslední část je věnovaná stručnému shrnutí a dalším variantám řešení IP telefonie, kamerového systému a serverového řešení.
1
ICT - Information and Communication Technologies – Informační a komunikační technologie. IP – Internet Protocol – Internetový protokol. 3 HW – Hardware – Hmatatelná část počítače. 4 SF – Software – Program. 2
9
1 Základní teorie infrastruktury ICT V první kapitole jsou obecně popsány základní prvky infrastruktury ICT, které přijímají a vysílají data a jsou nutné pro činnost sítě. Obecně platí, ţe se síťová infrastruktura dělí na hardwarové síťové prvky, které jsou dále rozlišovány na aktivní a pasivní, a softwarové síťové prvky. Ze všeho nejdříve je ovšem nezbytné si popsat topologii sítí a referenční model ISO/OSI.
1.1
Topologie sítí
Topologie sítí je způsob zapojení různých prvků do počítačových sítí a zachycení jejich reálného a logického tvaru. Topologii lze chápat jako určitý tvar či strukturu dané sítě. Topologie je prvkem síťového standardu a významně určuje výsledné vlastnosti sítě. Rozlišujeme topologii sítí na základní čtyři druhy: sběrnicová topologie (bus topology); hvězdicová topologie (star topology); kruhová topologie (ring topology); stromová topologie (tree topology).
1.1.1
Sběrnicová topologie
K propojení stanic se vyuţívá průběţné vedení, od stanice ke stanici. Spojení zprostředkovává jediné přenosové médium (sběrnice). Stanice se k průběţnému vedení připojují za pomocí odbočovacích konektorů, jako je např.: T konektor. Tento typ topologie se vyuţívá obzvláště v sítích, které jsou propojeny koaxiálním kabelem. Na obrázku č. 1 můţeme vidět schéma zapojení dle sběrnicové topologie.
10
Obrázek č. 1: Sběrnicová topologie
Zdroj: http://hardwaresiti.webnode.cz/topologie-siti/sbernicova-topologie/ a vlastní úprava
1.1.2
Hvězdicová topologie
Středem sítě hvězdicové topologie je rozbočovač5 (HUB), v dnešní době jiţ především switche, do kterého jsou pomocí kabelových segmentů, nejčastěji kroucenou dvojlinkou, připojeny stanice. Jedná se o nejčastěji pouţívanou topologii. Signály se přenáší z vysílacího počítače skrz HUB do všech počítačů v síti. Ukázku zapojení sítě dle hvězdicové topologie je vidět na obrázku č. 2. Obrázek č. 2: Hvězdicová topologie
Zdroj: http://hardwaresiti.webnode.cz/topologie-siti/hvezdicova-topologie/ a vlastní úprava
1.1.3
Kruhová topologie
Kruhová topologie zapojuje kaţdou stanici pomocí uzlu k dalším dvěma uzlům a tím vytvoří souvislý kruh, coţ dovoluje metodu postupného předávání zpráv (token), jak je patrné z obrázku č. 3.
5
Rozbočovač – Odborně nazývaný jako ethernetový hub. Jedná se o aktivní prvek počítačové sítě. Chová se jako opakovač, veškerá data, která přijdou na jeden z portů, zkopíruje a rozešle na všechny ostatní porty, bez ohledu na to, kterému portu data náleží
11
Obrázek č. 3: Kruhová topologie
Zdroj: http://hardwaresiti.webnode.cz/topologie-siti/kruhova-topologie/ a vlastní úprava
1.1.4
Stromová topologie
V síťových technologiích pojem stromová topologie určuje propojení stanic do útvaru podobající se tvarem koruně stromu. Základem je hvězdicová topologie, která propojuje ostatní sítě pomocí aktivních síťových prvků, jeţ leţí ve středu jednotlivých hvězdicových sítích. Takovéto propojení se pouţívá obzvláště v rozsáhlých počítačových sítích ve velkých společnostech. Obrázek č. 4: Stromová topologie
Zdroj: http://hardwaresiti.webnode.cz/topologie-siti/stromova-topologie/ a vlastní úprava
1.2
Model ISO/OSI
V počátcích vzniku sítí existovali uzavřené a nekompatibilní systémy, které vyvíjelo vícero společností. Ovšem hlavním smyslem sítí je vzájemné propojování. Z tohoto důvodu vyvstala potřeba stanovit jednotná, ucelená pravidla pro přenos dat v sítích a mezi nimi. Tohoto úkolu se ujal mezinárodní ústav pro normalizaci ISO6 a představil tzv. referenční model OSI7.
6
ISO – International Standards Organization - Mezinárodní organizace zabývající se tvorbou norem.
12
Referenční model OSI rozděluje práce v sítích do 7 navzájem spolupracujících vrstev, které popisuje tabulka č. 1. Tyto vrstvy jsou velice důleţité pro výrobce sítových komponent. Tabulka č. 1: Popis vrstev modelu ISO/OSI
Vrstva Aplikační vrstva (Application Layer)
Popis Je určitou aplikací (např. oknem v programu) zpřístupňující uţivatelům síťové sluţby. Nabízí a zajišťuje přístup k souborům (na jiných počítačích), vzdálený přístup k tiskárnám, správu sítě, elektronické zprávy (včetně emailu) atd.
Prezentační vrstva (Presentation Layer)
Má na starosti konverzi dat, přenášená data mohou totiţ být v různých sítích různě kódována. Tato vrstva zajišťuje sjednocení formy vzájemně přenášených údajů. Dále data komprimuje, případně šifruje atd. V praxi často splývá s relační vrstvou.
Relační vrstva (Session Layer) Transportní vrstva (Transport Layer)
Navazuje a po skončení přenosu ukončuje spojení. Můţe provádět ověřování uţivatelů, zabezpečení přístupu k zařízení atd.
Síťová vrstva (Network Layer)
Je zodpovědná za spojení a směrování mezi dvěma počítači nebo celými sítěmi (tj. uzly), mezi nimiţ neexistuje přímé spojení. Zajišťuje volbu trasy při spojení (mezi uzly bývá více moţných cest pro přenos paketu) atd. Volbu trasy nazýváme směrováním (routingem).
Linková (spojová) vrstva (Data-link Layer)
Uskutečňuje přenos údajů (datových rámců) po fyzickém médiu, pracuje s fyzickými adresami síťových karet, odesílá a přijímá rámce, kontroluje cílové adresy kaţdého přijatého rámce, určuje, zda bude rámec odevzdán vyšší vrstvě atd.
Fyzická vrstva (Physical Layer)
Popisuje elektrické (či optické), mechanické a funkční vlastnosti: jakým signálem je reprezentována logická jednička, jak přijímací stanice rozezná začátek bitu, jaký je tvar konektoru, k čemu je který vodič v kabelu pouţit atd.
Typickou činností transportní vrstvy je dělení přenášené zprávy na pakety a opětovné skládání přijatých paketů do zpráv (při přenosu se mohou pakety pomíchat či ztratit).
Zdroj: HORÁK, Jaroslav a Milan KERŠLÁGER. Počítačové sítě pro začínající správce. 5., aktualiz. vyd. Brno: Computer Press, 2011. ISBN 978-80-251-3176-3, str. 24 a vlastní úprava
1.3
Hardwarové síťové prvky
Hardwarové síťové prvky se dělí na aktivní a pasivní hardwarové prvky, jeţ budou popsány v následujících podkapitolách. Jejich význam je pro navrhované řešení zásadní. 7
OSI – Open Systems Interconnection - Mezinárodní standardizační program pro vývoj síťových standardů vytvořený organizacemi ISO a ITU-T.
13
1.3.1
Aktivní prvky sítových technologií
Velmi důleţitou součást topologie sítí tvoří prvky aktivní. „Tyto prvky aktivně ovlivňují dění v sítí – proto jim říkáme aktivní prvky.“8 Hned z označení vyplývá, ţe se jedná o elektronická zařízení, jeţ se aktivně podílejí na přenášení dat po síti. Rozlišujeme tyto základní aktivní prvky: Zesilovač neboli opakovač (repeater) Jedná se o nejjednodušší z aktivních síťových prvků síťových technologií. Jeho jediným úkolem je zesilování (opakování) jím procházejícího signálu, aby vlivem útlumu v pasivní části kabeláţe nedocházelo ke ztrátě dat. Díky tomuto prvku můţeme budovat rozsáhlejší sítě, neţ nám dovoluje základní topologie. Převodník (transceiver) Jde o podobné zařízení, jako je zesilovač. Kromě zesílení signálu, dokáţe i převod signálu z jednoho typu kabelu na jiný (např. z optického kabelu na metalické vedení). Rozbočovač (hub) Nezbytným prvkem v sítích s hvězdicovou topologií, jehoţ základní funkcí je rozbočování signálu neboli větvení sítě. Veškerá data přicházející na jeden z portů zkopíruje a pošle na všechny ostatní porty, a to bez ohledu na to, kterému portu data náleţí. Dnes jej nahradily switche. Most (bridge) Most představuje zařízení zastaralejší, jehoţ primárním úkolem zajištění oddělení provozu dvou segmentů sítí na druhé vrstvě referenčního modelu ISO/OSI. Most se dá povaţovat za poměrně inteligentní prvek, který se zajímá o přenášená data. Plní základní dvě funkce: filtrace paketů; propojení dvou sítí různých standardů.
8
Citace z: HORÁK, Jaroslav a Milan KERŠLÁGER. Počítačové sítě pro začínající správce. 5. aktualiz. vyd. Brno: Computer Press, 2011, 303 s. ISBN 9788025131763.
14
Přepínač (switch) Switch je obdobou rozbočovače s tím zásadním rozdílem, ţe se chová jako inteligentní prvek sítě. Má za úkol analyzovat pakety a posílat je do konkrétní větvě sítě, kde se nachází cílová adresa, jinými slovy umoţňuje filtraci paketů. Za pomoci filtraci paketů dochází k výrazně menšímu vytíţení daného segmentu sítě neţ v případě pouţití rozbočovače. Switch plní současně i funkci mostu (bridge). „Dokáţe fyzicky propojit několik částí lokální sítě a řídit komunikaci mezi nimi. Switch si pro kaţdý port zaznamenává MAC adresy9 připojených počítačů.10“ Směrovač (router) „Je nejinteligentnějším aktivním prvkem. Pracuje na úrovni síťové vrstvy ISO/OSI. Shromaţďuje informace o připojených sítích a pak vybírá nejvýhodnější cestu pro posílaný paket. Jeho úkolem je tedy propojit počítače lokální sítě s počítači, které se nacházejí v jiných sítích. Na rozdíl od mostu, který dokáţe paket směrovat pouze v rámci lokální sítě, obsahuje směrovací (routovací) tabulku, ve které jsou zaznamenány informace o dalších směrovačích, které patří jiným sítím.“11 Brána (gateway) Brána je v počítačových sítích zařízení, které pracuje aţ na nejvyšší úrovni vrstvy ISO/OSI. Slouţí k připojování sítí LAN12 k cizímu prostředí. Gateway například přijme zprávu z internetové stránky, kterou pošle do GSM13 sítě v podobě SMS14 zprávy. Přístupový bod (access point – AP) Access point slouţí jako řídící prvek bezdrátové sítě a komunikuje s bezdrátovými zařízeními ve svém okolí. Stará se o směrování paketů mezi bezdrátovými zařízeními a většinou mezi pevnou sítí. V zásadě funguje jako přepínač s tím rozdílem, ţe je port bezdrátový.
9
MAC - Media Access Control - Jedinečné číslo, které výrobce přiřadil síťovému prvku. Citace z: PB pro SŠ. BOUCHALA, Petr. PB pro SŠ *online+. 1999 *cit. 2015-06-29+. Dostupné z: http://boucpe.wz.cz/index.htm. 11 Citace z: HORÁK, Jaroslav a Milan KERŠLÁGER. Počítačové sítě pro začínající správce. 5., aktualiz. vyd. Brno: Computer Press, 2011. ISBN 978-80-251-3176-3. 12 LAN – Local Area Network - Zkratka pro lokální počítačovou síť. 13 GSM – Global System For Mobile Communications - Globální Systém pro Mobilní komunikaci. 14 SMS – Short Message Service – Systém krátkých zpráv. 10
15
1.3.2
Pasivní prvky síťových technologií
Mezi pasivní prvky síťových technologií se řadí kabely, konektory a ukončovací prvky, které zajišťují datové přenosy po fyzické vrstvě. Podle pouţitého přenosového média dělíme kabelové vedení na metalické a optické. Jednou z klíčových vlastností kabelového vedení je jejich rychlost respektive propustnost, s jakou mohou přenášet data. Rychlost se vyjadřuje v Mb/s (megabity za sekundu) a nejběţnější rychlostí u sítí LAN je 100 Mb/s. V poslední době není výjimkou ani rychlost 1.000 Mb/s neboli 1 Gb/s (gigabity za sekundu), oproti tomu rychlost 10 Mb/s je jiţ minulostí. Metalické vedení Metalické kabeláţe se dělí podle svých parametrů do několika základních kategorií, v tabulce č. 2 jsou zobrazeny nejčastěji pouţívané typy a jejich vlastnosti. Data jsou přenášená jako elektrické impulsy v kovových vodičích. Tabulka č. 2: Vlastnosti kroucené dvojlinky
Název kabelu
Standard
Kroucená dvojlinka
100 Base - T
Kroucená dvojlinka
1 000 Base - T
Kroucená dvojlinka
1 000 Base - TX
Kroucená dvojlinka
1 000 Base - TX
Kroucená dvojlinka
1 000 Base - TX2
Označení Kategorie 5 Kategorie 5e Kategorie 6 Kategorie 6a Kategorie 7
Rychlost přenosu
Konektor
Šířka pásma
100 Mb/s
RJ - 45
100 MHz
1 000 Mb/s
RJ - 45
125 MHz
1 000 Mb/s
RJ - 45
250 MHz
1 000 Mb/s
RJ - 45
500 MHz
1 000 Mb/s
GC45, TERA
1200 MHz
Zdroj: HORÁK, Jaroslav a Milan KERŠLÁGER. Počítačové sítě pro začínající správce. 5., aktualiz. vyd. Brno: Computer Press, 2011. ISBN 978-80-251-3176-3, str. 24 a vlastní úprava
V praxi se můţeme setkat se dvěma typy provedení dvojlinky: Nestíněná kroucená dvojlinka – UTP15. Jednotlivé páry jsou vloţeny do vnější plastické izolace. Je nejpouţívanějším vodičem v kabeláţi sítí LAN.
15
UTP – Unshielded Twisted Pair - Nestíněná kroucená dvojlinka.
16
Stíněná kroucená dvojlinka - STP16. Od UTP se odlišuje kovovým obalem – stíněním, sniţující rušení z okolí. Stíněn můţe být kaţdý pár uvnitř kabelu nebo se stíní pouze plášť kabelu. UTP kabely jsou draţší a proto se pouţívají pouze v místech, kde dochází k vnějšímu rušení. Veškeré uvedené kabely se vyrábějí v bezhalogenovém provedení se samo zhášecím pláštěm, který neuvolňuje do ovzduší jedovaté zplodiny a nepodporuje hoření. Obrázek č. 5: Kroucená dvojlinka a konektor RJ-45
Zdroj: HORÁK, Jaroslav a Milan KERŠLÁGER. Počítačové sítě pro začínající správce. 5., aktualiz. vyd. Brno: Computer Press, 2011, 303 s. ISBN 978-80-251-3176-3.
Optické vedení Je zaloţeno na odlišném principu neţ metalické vedení. Data jsou přenášena světelnými impulsy ve světlovodivých optických vláknech. Optická vlákna jsou velmi tenká a jsou uloţena v ochranném obalu. Další jejich vlastností je vysoká citlivost na mechanické poškození a ohyby. Optická kabeláţ nastupuje v místech, kde metalické vedení jiţ nedostačuje. Zejména při propojení větších vzdáleností, nutnosti dosaţení vyšší přenosové rychlosti, odolnosti proti rušení, galvanické oddělení.
16
STP – Shielded Twisted Pair – Stíněná kroucená dvojlinka.
17
Obrázek č. 6: Optický kabel
Zdroj: http://www.alternetivo.cz/kabel-opticky-armovany-skelnymi-vlakny-antirodent-armed-08vlaken-mm-62-5-125-clt-mdpe-6-4mm-500n_ies17421.jpg
Optické kabely rozlišujeme podle konstrukce optického vlákna na dva druhy: Mnohovidové – MMF17, se vyznačují horšími optickými vlastnostmi, které jsou způsobeny levným zdrojem světla, kterým je LED dioda, a tím dochází ke zkreslení signálu. Jejich výhodou je niţší cena. Jednovidové - SMF18 dosahují nejvyšší přenosové rychlosti pomocí přenášení jediného světelného paprsku. Zdrojem světla jsou laserové diody. Lze vyuţít aţ pro dosaţení delší vzdálenosti, aţ 100 km. Nevýhodou jsou vysoké pořizovací náklady a sloţité a drahé spojování optických kabelů.
1.3.3
IP telefonie
VoIP19 znamená přenos hlasu pomocí internetového protokolu. VoIP telefony umoţňují telefonovat po síťové infrastruktuře. IP telefony převedou hlas do digitalizované podoby a v těle paketů za pomocí protokolů UDP20/TCP21/IP pošlou data prostřednictvím sítě do jiného média, dostupného pro protokol IP. K posílání jednotlivých digitalizovaných paketů je potřeba vyuţití internetu, intranetu nebo jiného datového spojení. IP telefon pouţívá obvykle rozhraní pro přímé připojení do sítě Ethernet (vrstva 2 ISO/OSI modelu). Standartní rychlost je 10 Mbit/s a 100 Mbit/s, 10BASE-T a 100BASE-TX. 17
MMF – Multi Mode Fiber. SMF – Single Mode Fiber. 19 VoIP - Voice over Internet Protocol. 20 UDP – User Datagram Protocol - Uživatelský datagramový protokol. 21 TCP – Transmission Control Protocol - Přenosový řídící protokol. 18
18
V současnosti se vyuţívají VoIP telefony s metalickým gigabitovým (termálním) rozhraním 10/100/1000 Mbit/s. Datový výkon telefonu je jistě niţší, celou šířku pásma od 100 Mbit/s aţ po 1000 Mbit/s IP telefon ani zdaleka nevyuţije. Jiţ název sám napovídá, ţe VoIP telefon komunikuje protokolem IP na třetí, relační, vrstvě referenčního modelu ISO/OSI. Některé inteligentnější IP telefony disponují zabudovaným miniswitchem (mikroswitch). Ten plní funkci vestavěného síťového přepínače se dvěma porty. Jeho úkol představuje zajištění přívodu pouze jednoho kabelu od zásuvky. Do druhého portu miniswitche se připojí navazující kabel pro další zařízení, například stanici. Obě zařízení (stanice i telefon) tak vyuţívají jediný kabel, jednu zásuvku a jeden port odlehlého přepínače. V mikroswitchi dochází ke sjednocení: datové komunikace ze stanice; hlasové VoIP komunikace z telefonu. Napájení IP telefonu lze dvěma způsoby: klasickým vnějším napájecím adaptérem; PoE – Power over Ethernet je napájení po datovém síťovém kabelu. K napájení je zapotřebí jednak VoIP telefon s moţností napájení přes PoE, tak i switch s touto funkcí. PoE switche je o něco finančně náročnější, ale má své výhody: o úspora kabelu a zásuvky pro konektor RJ-45; o úspora elektrické zásuvky; o zálohový zdroj napájení umístěný v racku22 - UPS23; o správa zařízení – moţnost dálkového restartu přístroje na konci kabelu vypnutím a zapnutím napájením pomocí příkazu na portu.
1.3.4
Kamerový systém
Kamerový systém (CCTV24) je pouţití kamer ke sledování, monitorování nebo zobrazování prostor. Pořízené nahrávky z IP kamer se můţou archivovat a slouţí případně jako důkazní materiál. Takovéto kamery se nazývají průmyslové kamery. V jednotlivých podkapitolách si 22
Rack – Stojanový rozvaděč pro přehlednou montáž hardwarových síťových technologií. UPS – Uninterruptible Power Supply/Source – Zdroj nepřerušovaného napájení. 24 CCTV – Closed Circuit Television – Uzavřený televizní okruh. 23
19
podrobněji popíšeme jednotlivé části kamerového systému. V bliţším popisu kamerového systému úplně vynecháme analogové kamery a zaměříme se pouze na IP kamery, které jsou jedním ze stěţejných bodů této práce a k nim příslušné záznamové zařízení. 1.3.4.1 IP kamery IP kameru neboli síťovou kameru lze charakterizovat jako kameru a počítač v jednom. Pořizuje a vysílá ţivě zachycené záběry přímo pomocí sítě a umoţňuje tak pověřeným uţivatelům spravovat, sledovat a ukládat video záběry pomocí síťového záznamového hardwaru a softwaru zaloţeného na IP adrese jak v lokální - místní síti, tak i dálkovým přístupem. Dálkový přístup ovšem vyţaduje internetovou konektivitu. „Kaţdá síťová kamera se skládá z čočky, obrazového senzoru, jednoho nebo několika procesorů a paměti. Procesory jsou pouţity ke zpracování obrazu, video analýze a k provádění síťových funkcí. Paměť kamery uchovává firmware (počítačový program) zařízení a slouţí také pro lokální nahrávání video sekvencí.“25 Kamery jsou připojeny k síti a můţou mít v sobě vestavěný řadu aplikačního softwaru, jako je například: WEB server; Data server; FTP26 klient; Mail klient; administrace alarmu. Podstatnou výhodou je, ţe IP kamera nemusí být připojena ke koncové stanici, funguje samostatně a můţe se umístit kdekoliv, kde existuje připojení k síti. Další výhodou IP kamer je řešení napájení, které je jako u VoIP telefonů, přes PoE. Při výpadku proudu jsou kamery stále aktivní a to díky záloţnímu zdroji napájení u switche, záleţí ovšem na kapacitě UPS. Můţeme se ovšem setkat s IP kamerou bezdrátovou, tato kamera se vyuţívá v místech, kde je obtíţné dotáhnout síťový kabel.
25
Citace z: NetRex s.r.o. [online]. [cit. 2015-03-10+. Dostupné z: http://www.netrex.cz/cz/podpora/kamerovysystem/ip-kamery/co-je-ip-kamera/. 26 FTP – File Transfer Protocol – Protokol pro přenos souborů.
20
IP kamery se v základu rozdělují do 2 kategorií dle prostředí, ve kterém budou pouţívány. První kategorii tvoří kamery pro vnitřní instalaci. V druhé skupině jsou IP kamery pro vnější prostředí. Vnější IP kamera je vybavena automatickou clonou objektivu k regulaci mnoţství světla, které musí obrazový senzor zpracovat. Venkovní kamery jsou také vybaveny externím, ochranným krytem, který odolá přírodním ţivlům a vandalismu. Kryty jsou také dostupné pro IP kamery vymezené pro vnitřní instalaci, protoţe potřebují ochranu před prachem, vlhkostí nebo jiţ zmíněným vandalismem. IP kamer existuje několik typů: fixní IP kamery; fixní dome IP kamery; otočné kamery (PTZ27); speciální kamery. Základní funkce IP kamer: nepřetrţité nahrávání záznamu; nahrávání v dopředu nastavených časových úsecích nebo při aktivaci předem nadefinované události; detekce pohybu v obraze; noční vidění; přenášení zvuku; vstup a výstup je digitální; sériové porty pro data nebo pro PTZ; obrazové buffery28 uvnitř kamery, jeţ dokáţí ukládat a posílat záběry, které byly zaznamenány předtím, neţ byl spuštěn alarm.
27
PTZ – Pan/Tilt/Zoom – Kamera, která je umožňuje dálkového ovládání natočení a naklánění a přibližování a oddalování obrazu. 28 Buffery (Buffer memory) – Vyrovnávací paměť.
21
1.3.4.2 Záznamové zařízení Ke zpracování obrazu kamerového systému CCTV se obvykle pouţívají nahrávací zařízení připojená k monitoru. Tato zařízení ukládají pořízené záznamy z IP kamer a současně také slouţí k archivaci záběrů s moţností pozdějšího přehrání a zobrazení snímaného místa. Dříve se vyuţívaly k uloţení obrazu zařízení typu VCR29 a TLR30 s video-přepínači. S těmito typy záznamových zařízení se v dnešní době prakticky nesetkáme, jelikoţ jsou jiţ zastaralé a dávno překonané. Vyrábějí se základní tři druhy moderních záznamových zařízení. Jedná se o DVR31, NVR32 a záznamové karty do PC33, jejichţ pouţití, spolehlivost a funkce je však limitována hardwarovou vybaveností daného PC. Délka nahrávání u záznamových zařízení je ovlivněna nejen kvalitou záznamu, snímkováním (Frame rate – počet snímků za sekundu), ale také zvoleným kompresním formátem. Typy kompresních formátů jsou: JPEG34; MJPEG35; JPEG 2000; MJPEG 2000; H.261, H.263, H.264; MPEG36-1, MPEG-2, MPEG-4; MPEG-7, MPEG-21. NVR záznamové zařízení NVR jsou síťová nahrávací zařízení, která zaznamenávají digitální obraz z IP kamer a ten pak ukládají na pevný disk. Obvykle jsou umístěny samostatně mimo místo monitoringu a připojeny k počítačové síti. Slouţí tedy jako datové úloţiště. 29
VCR Video Cassette Recorder – je elektromechanické zařízení, které zaznamenává analogový obraz a zvuk na vyměnitelné magnetické pásky nebo videokazety. 30 TLR – Time Lapse Recorder - Videorekordér, který zaznamenává obraz z CCTV kamery na VHS pásku. 31 DVR – Digital Video Recorder – je elektronické zařízení nebo aplikační software, který zaznamenává video v digitálním formátu na disku nebo jiném datovém médiu. 32 NVR – Network Video Recorder – Síťové záznamové zařízení a aplikační software, který zaznamenávají obraz z IP kamer a ten pak ukládají na pevný disk. 33 PC – Personal Computer – Osobní počítač. 34 JPEG – Joint Photographic Expert Group – Skupina koordinující standardizaci datové komprese. 35 MJPEG - Motion Joint Picture Expert Group – Kompresní formát videa. 36 MPEG – Moving Picture Expert Group – Skupina pracující při ISO a IEC pro stanovení požadavků a vytváření norem pro digitální kompresi video a audio dat.
22
Komunikace s kamerami probíhá pomocí IP adres, tím pádem můţe být monitoring systému prováděn z kteréhokoli počítače připojeného do sítě. Tyto rekordéry mohou být taktéţ dodávány v konfiguracích pro 4, 8, 16, 24, 32, 48 a 64 IP kamer. Základními funkcemi, kterými NVR rekordéry disponují, jsou: funkce bezpečnostního videorekordéru; různé záznamové reţimy obrazu a zvuku: o trvalý kontinuální záznam; o záznam aktivovaný alarmem kamery (detekcí pohybu kamery); o záznam aktivovaný při detekci pohybu v obraze (detekování pohybu v NVR); o záznam aktivovaný při detekci pohybu a současně při alarmu; o záznam podle nastaveného časovače. Obrázek č. 7: Schéma funkcí NVR
Zdroj: http://www.t-cz.com/sitove-nvr-bcs-nvr0402-pro-4-kamery-1080p-25sn-s-alarm-h-264-hdmi_d13780.html a vlastní úprava
1.3.4.3 Software pro správu videa Pro hardwarové záznamové zařízení jsou k dispozici unifikované nadstavbové aplikační softwary, jenţ kromě stejných základních funkcí, jako u NVR zařízení, podporují i mnoho rozšířenějších funkcí. Většina renomovaných výrobců softwaru pro správu IP kamer
23
a záznamových zařízení jsou členy jedním ze dvou platforem ONVIF37 (evropští a asijští výrobci) a PSIA38 (američtí výrobci), které mají za cíl vytvořit univerzální komunikační standart pro výrobce. Níţe jsou uvedeny nejdůleţitější rozšiřující funkce: Různé dělené displeje a uspořádání obrazovky pro současné sledování obrazu z více kamer. Různé záznamové reţimy: kontinuální záznam, záznam při výskytu události, záznam podle časového harmonogramu. Multiplexní provoz - tj. současné ţivé sledování a přehrávání záznamu. Podpora megapixelových a HDTV39 kamer. Podpora různých kompresních formátů (M-JPEG, MPEG-4, H.264). Vysoká záznamová rychlost (např. aţ 1500fps v závislosti na pouţitém hardware). Duplexní přenos zvuku. Podpora reprodukce a nahrávání zvuku. Inteligentní detekce pohybu a vyspělé video analytické funkce. Účinné funkce pro vyhledání poţadovaného záznamu (např. časová osa se znázorněním míry aktivity v obraze, vyhledávání záznamu z poţadované kamery, vyhledávání podle data a času, vyhledávání alarmových událostí atd.). Manuální
nebo
automatizovaná
archivace
záznamu
podle
časového
harmonogramu. Moţnost exportu a konverze zvoleného záznamu do AVI40, JPEG, WAVE41 aj. Pokročilá správa a konfigurace připojených kamer a video enkodérů. Elektronický plánek objektu (e-map, site-map) s ikonami připojených kamer. Při kliknutí na ikonu poţadované kamery se zobrazí příslušný obraz.
37
ONVIF – Open Network Video Interface Forum – Otevřené sdružení výrobců v oblasti IP videa a jeho zpracování. 38 PSIA – Physical Security Interoperability Alliance - Globální konsorcium více než 65 fyzických výrobců bezpečnostních a systémových integrátorů. 39 HDTV – High-definition television – Televize s vysokým rozlišením. 40 AVI – Audio Video Interleave – Formát pro záznam zvuku a obrazu. 41 WAVE – Waveform Audio File Format – Zvukový formát vytvořený firmou IBM a Microsoft pro ukládání zvuku do PC.
24
Podpora více monitorů připojených k počítači se software. Příklad: E-map na prvním monitoru, ţivé sledování na druhém monitoru, přehrávání na třetím monitoru. Podpora ovládání PTZ (speed-dome) kamer, včetně prepozic, automatické obchůzky (autopatrol) atd. Moţnost ovládání speed-dome kamer pomocí joysticku připojeného k PC. Vzdálený přístup k počítači se software pomocí klientského programu nebo přes webové rozhraní (tj. např. pomocí Internet Explorer). Podpora přístupu z PDA42. Sofistikované zabezpečení systému (správa uţivatelů, IP filtrace atd.). Komfortní intuitivní obsluha. Automatická detekce IP kamer a video serverů připojených do sítě a jejich přidání do systému. Záznam prováděných operací a akcí obsluhy do provozního deníku ("log"). Vyspělé alarmové funkce. Moţnost konfigurace různých akcí při výskytu alarmu: zobrazení alarmové kamery v "hotspot" okně, notifikace o alarmu e-mailem nebo SMS zprávou, záznam důleţitých okamţiků před a po výskytu události (tzv. pre-/post-alarm) atd. Různé funkce ke zlepšení kvality obrazu ("Image Enhancement", "Light Funnel" aj.). Rozhraní API43 pro aplikační vývojáře a systémové integrátory.
1.3.5
Periférie
Periférie je označení pro zařízení, které bývá zpravidla k počítači připojeno, ale není jeho součástí, a rozšiřuje jeho moţnosti. Periférie můţe být připojena ke stanici přímo nebo nepřímo, přes počítačovou síť, pomocí různých rozhraní a konektorů. Periférie se dělí na vstupní, výstupní a kombinovaná zařízení. Pro účel této práce si vyjmenujeme pouze zařízení, které se přímo, týkají tématu a obsahu této práce. Ostatní zařízení bude vynecháno.
42 43
PDA – Personal Digital Assistant – Kapesní počítač. API – Application Programming Interface - Programové rozhraní aplikace.
25
Mezi výstupní periférie patří: tiskárna; monitor. Do vstupní periférie spadá: IP kamera; scanner. Poslední kategorie je kombinovaná vstupně výstupní: VoIP telefony; zařízení pro ukládání dat; síťová karta; multifunkční zařízení.
1.4
Softwarové síťové prvky
Mimo síťového hardwaru, jímţ jsme se zabývali v předešlé kapitole, je dalším důleţitým prvkem v sítích software. Software je v uţším slova smyslu program, který nám umoţňuje ovládat hardware, a tím vytvořit provozuschopnou síť. Trh se softwarovými produkty pro počítačové sítě je v porovnání s hardwarovým výrazně menší. V praxi jsou pouţívány sítě od společností Microsoft, Novell, Linux nebo Apple. Typy síťového softwaru Hlavním faktorem při rozdělování síťového softwaru je pouţití (či nepouţití) serveru. Podle tohoto faktoru rozlišujeme sítě na peer-to-peer a klient-server.
1.4.1
Síť peer-to-peer
Síť peer-to-peer obsahuje pouze síťové stanice, kterou jsou si navzájem rovnocenné. To znamená, ţe jednotlivé stanice sdílí své sluţby mezi ostatními. Stanice například můţe sdílet určité sloţky, do nichţ je povolen přístup jiným uţivatelům, nebo můţeme sdílet připojenou tiskárnu více stanicím. Jako kaţdé řešení má i síť typu peer-to-peer své výhody a nevýhody:
26
Výhody: Spravovat síť peer-to-peer je velice jednoduché, není potřeba velkých znalostí v oblasti síťových technologií. Vystavění takové sítě není nikterak finančně náročné, není nezbytné pořizovat a nasazovat server ani ţádné další síťové operační systémy (peer-to-peer síť je obsaţena ve Windows). Nevýhody při větším počtu počítačů v sítí je obtíţné udrţení přehledu o datech uloţených na stanicích. Citlivá data jsou nedostatečně chráněna proti zneuţitím nebo ukradením. Konfigurace přístupových práv je u peer-to-peer jednoduchá, ale současně i méně bezpečná. Navíc se konfigurace musí aplikovat na všech stanicích, coţ bývá téměř neuskutečnitelné. Z celkového pohledu lze říci, ţe síť peer-to-peer je ideální pro propojení několika počítačů v malé firmě. Horní hranice únosnosti a provozuschopnosti sítě je kolem deseti stanic.
1.4.2
Síť klient-server
„Architektura klient-server (Client–server model) označuje v informatice jeden z typů architektury informačních systémů. Je to tzv. dvouvrstvá architektura, ve které klient (aplikace na koncovém zařízení uţivatele) zajišťuje uţivatelské rozhraní a aplikační logiku, na serveru pak běţí relační databáze. Model klient-server je forma distribuovaného zpracování výpočetního výkonu mezi koncovým zařízením a serverem. Klient a server mezi sebou komunikují a předávají si vzájemně data skrz síť. Klient předává uţivatelův dotaz serveru a čeká na odpověď, kterou mu server pošle zpět. Klient následně výsledek dotazu, ve srozumitelné podobě, prezentuje na obrazovce uţivateli.“44 Celkově lze síť klient-server popsat následovně: Výhody: veškerá data na jednom místě, zabezpečení a zálohování dat, přehlednost, snadná údrţba a konfigurace, aktualizace údajů na jednom místě, nastavení oprávnění, uţivatelská přívětivost a snadné pouţívání. Nevýhody: vyšší pořizovací náklady, správce sítě, vyšší nároky na datový tok v síti – přetěţování sítě, niţší robustnost neţ peer-to-peer síť - pří výpadku serveru nemohou být klienti obslouţeni. 44
Citace z: MANAGEMENTMANIA.COM LLC. Managementmania.com [online]. [cit. 2015-03-06+. Dostupné z: https://managementmania.com/cs/architektura-klient-server
27
Přes všechny klady a zápory je toto řešení pro firemní sítě nevyhnutelné. Mezi nejrozšířenější operační systémy sítí LAN patří: Windows Server 2012 a starší verze od společnosti Microsoft. NetWare 6.5 od firmy Novell. Jeho starší verze byly NetWare 6 a 5, můţeme se setkat s doţívajícími verzemi 4 (hlavně 4.11). Linuxové distribuce. Příkladem je distribuce Red Hat Enterprise Linux Server, která je vyvíjena americkou firmou Red Hat Mac OS X Lion Server od společnosti Appe Inc. Softwarové poţadavky na serveru Kaţdý server nabízí několik základních sluţeb: souborový server (File server); tiskový server (Print server); aplikační server, na serveru je spuštěna některá z níţe uvedených aplikací (programů): o DHCP45 server; o DNS46 server; o Program pro elektronickou poštu; o Program pro správu databází.
45 46
DHCP – Dynamic Host Configuration Protocol - Protokol pro dynamickou konfiguraci hostitelského zařízení. DNS – Domain Name Server - Server doménových jmen, který překládá jméno domény na IP adresu serveru.
28
2 Metodologie Hlavním zdroje teoretické části diplomové práce byla odborná literatura, internetové servery, normy a odborná periodika. Nejvíce vyuţívanými zdroji pro vypracování praktické části zaměřené na analýzu současného stavu podniku, návrh ICT infrastruktury a finanční kalkulaci řešení byly především vlastní zkušenosti ze zaměstnání, legislativa, internetové zdroje, odborná konzultace s dodavatelem IT technologií A+Z Computing, dodavatelem telekomunikačních sluţeb T-Mobile Czech Republic a.s. a externím správcem sítě. Pro výběr optimálního hardwaru a softwaru byly pouţity tři základní poţadavky, na základě kterých se vyhodnotil optimální hardware a software vhodný pro účel této studie. Mezi zvolené poţadavky patří: cena, výkon a spolehlivost/poruchovost. Na modelování diagramů a schémat byl pouţit program Edraw Network Diagram od společnosti EdrawSof, jehoţ zkušební verze je zdarma ke staţení. Veškeré obrázky a postupy byly po souhlasu vedení společnosti vypracovány z firemního serveru Finapry a. s. Pokud nebyly potřebné podklady dostupné na firemním serveru nebo z firemní dokumentace, byly pouţity z internetových stránek, odborné literatury nebo odborných periodik. Ceny jednotlivých součástí navrhovaného řešení poskytly společnosti T-Mobile Czech Republic a.s., A+Z Computing, Bosch a Konica Minolta.
29
3 Analýza současného stavu podniku Analýza podniku se v této části zaměřuje na identifikaci hlavních činností podniku, současného
stavu
hardwaru,
softwaru,
rizik
způsobených
uzavřením
nevhodných
dodavatelských smluv s nízkou nebo ţádnou úrovní SLA47. Nesmí být opomenuto ani zajištění bezpečnosti dat s ohledem na ochranu informací a znalostí.
3.1
Popis podniku
Společnost Finapra a.s. vznikla v roce 1999 jako finanční a investiční společnost, jejímţ základním předmětem činnosti byla správa a odkup pohledávek. S dynamickým rozvojem a růstem firmy rozšířil se předmět činnosti významně o oblast nákupu a prodeje realit, o development průmyslových a komerčních nemovitostí. V současné době se společnost zabývá především zprostředkováním prodeje a pronájmem nemovitostí, především komerčních, a také zajištuje jejich správu. Realizuje developerské projekty v průmyslových areálech se zaměřením na logistiku a výrobu. Společnost dále nabízí vedení a zpracování účetnictví, vedení daňové evidence, vedení mezd, zpracování daňového přiznání a poskytuje účetní poradenství. Tyto sluţby především nabízí pro dceřiné společnosti a společnosti, které patří společně do jednoho holdingu48. Finapra a.s. za poslední rok provedla několik významných akvizic v podobě koupě třech průmyslových areálů, které bude potřeba pomocí informačních technologií propojit s centrálou v Praze a zajistit pro správce areálů přístupy k serveru, e-mailu a telefonní ústředně.
3.1.1
Hlavní činnosti podniku
Hlavními činnostmi společnosti jsou: správa realit; prodej a pronájem komerčních prostor, hlavně výrobních a skladových;
47
SLA – Servis Level Agreement – je termín pro označení smlouvy sjednané mezi poskytovatelem služby a jejím odběratelem. 48 Holding – Koncern nebo konglomerát je sdružení obchodních společností, z nichž jedna společnost ostatní společnosti řídí.
30
realizace developerských projektů; vyřizovaní územního rozhodnutí, stavebního povolení; příprava dokumentace pro ÚR49 a SP50; vedení účetnictví; vedení daňové evidence; vedení mezd; daňové přiznání; účetní a daňové poradenství.
3.2
Analýza zabezpečení
Poţární ani protipoţární systém není ve společnosti Finapra a.s. ţádným způsobem řešený. Jediné zajištění je formou pojištění, které by mělo pokrýt náklady na obnovení infrastruktury v případě poţáru. V kaţdém případě bude v případě poţáru zásadně narušena kontinuita poskytovaných sluţeb a odstraňování příčin poţáru společně se zřízením nového zázemí bude trvat dle rozsahu škody i několik týdnů. Z tohoto důvodu je třeba dbát především na preventivní opatření. Pro minimalizaci rizika poţáru je nutné stanovit a dodrţovat bezpečnostní pravidla v rámci organizace a zajišťovat pravidelné revize elektrozařízení v objektu. Vzhledem k cenám instalace protipoţárních zařízení, jakými jsou např. protipoţární systémy s hasícím plynem FM-200, nemá instalace takovýchto zařízení ekonomické opodstatnění. Řešení elektronického zabezpečení objektu je standardní, zajištěno alarmem s pohybovými čidly s připojením na PCO51, který vysílá signál bezpečností agentuře. Dojezd hlídky je nastaven s příjezdem do 10 minut. Ochrana dat na serveru pomocí šifrování a přístupovými hesly jsou také zabezpečena řádným způsobem. Server ani stanice nejsou členem domény. Server a data uloţená na discích nejsou ţádným způsobem zálohována. Jedinou ochranou dat je jejich zapisování do pole RAID52 1, 49
ÚR – Územní rozhodnutí. SP – Stavební povolení. 51 PCO – Pult centrální ochrany. 52 RAID – Redundant Array of Independent Disks – Vícenásobné diskové pole nezávislých disků je metoda zabezpečení dat při scénáři selhání jednoho disku. 50
31
který je odolný vůči výpadku jednoho disku. Server nemá záloţní zdroje energie (UPS), který poskytne serveru prostor v podobě dostatečného času pro bezpečné vypnutí při náhlém výpadku elektrické energie.
3.3
Analýza ICT infrastruktury
ICT infrastruktura je z dnešního pohledu nedostačující a jiţ překonaná. V následujících kapitolách je provedena analýza stávajícího stavu ICT firmy.
3.3.1
Analýza internetová konektivita
Připojení sítě společnosti Finapra a.s. k internetu je řešeno jednou přípojkou. Hlavní konektivita je zabezpečena bezdrátovou technologií 5 GHz (parabola Extreme 29Dulex) s rychlostí 15/15 Mb/s při agregaci maximálně 1:5, kterou provozuje společnost Kolbenka.net. Výhody internetové konektivity: Cena za připojení nepřesahuje částku 6.000,- Kč/měsíc bez DPH. Dostatečná rychlost pro stávající vytíţení sítě uţivateli společnosti. Nevýhody internetové konektivity: Nízká úroveň servisních sluţeb SLA – reakční doby, maximální doba opravy. Nelicencované pásmo. Závislost na jednom poskytovateli sluţeb. Závislost na jedné technologii připojení. Časté výpadky a údrţba v nočních hodinách. Agregace připojení 1:5. V případě zpoţdění s platbami za sluţby je riziko odpojení. Při technické závadě ze strany poskytovatele nebo 3 strany hrozí riziko odpojení sluţeb. Při navýšení vytíţení sítě nemusí současná konektivita dostačovat.
32
3.3.2
Analýza hardwarové vybavení společnosti
3.3.2.1 Server Serverové hardwarové vybavení společnosti obstarává malý věţový server Dell PowerEdge T20 s procesorem Xeon X3220, 2.4 GHz, operační pamětí 4 GB RAM53 a dvěma pevnými disky 500 GB SATA54. Výhody serveru: Cena pořízení do 35.000,- Kč. Tichý, efektivní a spolehlivý provoz. Malá velikost. Nevyţaduje speciální chlazení místnosti. Nevýhody serveru: Osazen pouze jedním zdrojem. Maximálně čtyři 3,5palcové pevné disky SATA. Maximální velikost pevných disků je 12 TB. Pouze jeden procesor. Maximální kapacita operační paměti je 32 GB. Obrázek č. 8: Dell PowerEdge T20
Zdroj: http://www.techradar.com/reviews/pc-mac/peripherals/servers/dell-poweredge-t20-mini-towerserver-1257381/review a vlastní úprava
53
RAM – Random Access Memory – Vyrovnávací paměť počítače. SATA – Seriál Advanced Technology Attachment – Sběrnice využívající datové rozhraní pro připojení velkokapacitních paměťových zařízení. 54
33
3.3.2.2 Pracovní stanice Hlavními pracovními stanicemi pro zaměstnance společnosti Finapra a.s. jsou desktopy a laptopy značky Lenovo. Notebooky i desktopy jsou rozličných modelů, vybraných dle potřeb zaměstnanců a jejich dané pracovní pozice. Všechny stanice jsou osazeny procesorem Intel Core i5 nebo i7, 4 GB nebo 8 GB operační paměti a dostatečně velkým diskem. Ke kaţdé pracovní stanici je vţdy ještě druhý LCD55 monitor pro pohodlnější a efektivnější práci na rozšířené ploše. 3.3.2.3 Periférie Jedinou periférií je multifunkční síťová tiskárna od HP model Color Laserjet CM2320nf. Laserová tiskárna tiskne černobíle i barevně rychlostí 20 str./min s moţností oboustranného tisku na formáty papíru A4, A5, B5. Skener dokáţe nasnímat formáty A4 a A5. Právě formát papíru je limitující pro potřeby zaměstnanců, kdy často dochází k potřebě tisku, kopírování či skenování ve formátu A3 nebo A3+. Dalším omezujícím faktorem je daný počtem tiskáren, pouze tato jedna tiskárna nedokáţe obslouţit veškeré poţadavky zaměstnanců, a tak často dochází k frontám a tím i k omezení plynulosti a efektivnosti práce na pracovišti. 3.3.2.4 Síťové prvky O datovou komunikaci v místí síti se starají tyto síťové prvky: D-Link DES-1024D (3. patro) – síťový přepínač s 24 ethernetovými RJ-45 porty podporující rychlosti 10 a 100 Mbit/s. TP-Link TL-SF1024D (1. patro) – 24portový switch TL-SF1024D je vybaven 10/100Mbps porty s Auto MDI56/MDI-X funkcí, která eliminuje nutnost pouţití nekříţených kabelů. Cisco RV42 (1. patro) – router s moţností vzdáleného přístupu, 2x fast ethernet WAN57 port, 4x fast ethernet LAN port, SPI58 firewall, hardwarové šifrování (aţ 256bit AES59), IPsec60, VPN61, PPTP62, QoS63, ochranu proti útokům DoS64. 55
LCD - Liquid Crystal Display – Displej s kapalnými krystaly. MDI – Medium Dependent Interface - Rozhraní závislé na médiu. 57 WAN – Wide Area Network – Rozlehlá počítačová síť. 58 SPI – Service Provider Interface - Sériové periferní rozhraní. 59 AES – Advanced Encryption Standard - Pokročilý šifrovací standard. 56
34
Nevýhodou obou switchů je nedostatečná rychlost na jednotlivých portech, kdy 100 Mbit/s propustnost nezvládá dostatečně rychle přenášet data po síti. Nemluvě o tom, ţe by na této síťové infrastruktuře měla vzniknout a být provozována IP telefonie a IP kamery. Takový provoz by úplně ochromil veškerou datovou komunikaci Router Cisco RV 42 je poměrně dobrým a výkonný router, ale nedokáţe poskytnout více bezpečnostních funkcí, jakými jsou IPS65 a filtrování webů, a neumoţňuje pouţívat libovolného klienta připojení VPN. 3.3.2.5 IP telefonie Společnost disponuje jednou starší telefonní ústřednou Alcatel starou 10 let, ale ţádnými VoIP telefony. V případě poruchy systému nelze zakoupit náhradní díly z důvodu ukončení výroby. Nově pořízené VoIP telefonních přístrojů nebudou fungovat se stávající verzí ústředny.
3.3.3
Analýza softwarové vybavení společnosti
Následující kapitola analyzuje jednotlivé softwarové vybavení společnosti Finapra a.s. a je rozdělena do podkapitol podle funkcí jednotlivých softwarů. 3.3.3.1 Serverové operační systémy Na serveru Dell Power Edge T20 je nainstalován operační systém Microsoft Windows Small Business Server 2008 Standart (dále jen SBS 2008). „SBS 2008 je operační systém pro provoz centrálního serveru firemní sítě. Systémové řešení Windows SBS 2008 disponuje několika serverovými technologiemi v rámci jediné licence, a proto je jeho výhodou minimalizace potřebného času pro implementaci jednoho serverového řešení. Díky systému Windows SBS 2008 není potřeba kupovat nebo licencovat vícero serverových zařízení, není nutné vyhledávat příslušné technologie pro odpovídající hardware.
60
IPsec – Internet Protocol Security – Sada protokolů pro zabezpečení internetového protokolu. VPN – Virtual Private Network – Virtuální soukromá síť. 62 PPTP – Point-to-Point Tunneling Protocol - Protokol dvoubodového tunelového spojení, umožňující propojovat LAN přes WAN se zachováním vysokého stupně bezpečnosti. 63 QoS – Quality of Services- Kvalita služeb. 64 DoS – Digital Operating Systém – Diskový operační systém. 65 IPS – Intrusion Prevention Systems – Systém detekce a prevence průniku pracuje na cestě v síti a blokuje chybný provoz. Systém analyzuje aktivní spojení a zachycuje útoky při jejich průchodu, takže chybný útočný provoz nikdy nedosáhne svého cíle. 61
35
Další přednost Windows SBS 2008 usnadňuje moţnost nasazení, které kompletně integruje konfigurace všech základních serverových produktů do jediného průvodce instalací. Systém Windows
SBS
2008
umoţňuje
simplifikované
eventuality
instalace
a
řízení
a obstarává takřka bezproblémový mezistupeň ze sítí typu peer-to-peer na serverové technologie. Napomáhá taktéţ uchovávat data a systémy včetně e-mailů a dokumentů vysoce zabezpečenými před škodlivými útoky, haváriemi a technologickým selháním. Windows SBS 2008 je vydáván ve dvou verzích, které se liší jednotlivými produkty: Windows Small Business Server 2008 Standard Windows Server 2008; Windows Exchange Server 2007; Vylepšené vzdálené webové pracoviště; Roční předplatné pro Windows Live OneCare; Microsoft SharePoint Services 3.0; Windows Server Update Services 3.0; Integrace s Microsoft Office Live, Small Business; Maximální počet klientů 50. Windows Small Business Server 2008 Premium Veškeré produkty z verze Windows SBS 2008 Standard; Druhá licenci pro Windows Server 2008 Standard; Microsoft SQL66 Server 2008 Standard Edition.“67 3.3.3.2 Klientské operační systémy Na pěti klientských stanicích jsou nainstalovány Microsoft Windows 7. Bohuţel ve třech případech se jedná pouze o základní edici, určenou pro domácí pouţití, Windows 7 Home Premium, kterou nelze připojit do domény či ovládat prostřednictvím serveru vzdálené plochy.
66
SQL – Structured Query Language – Strukturovaný dotazovací jazyk. Citace z: ZÍTKO, Michal. Microsoft Windows Small Business Server 2008 - řešení pro malé a střední firmy. Praha, 2012. Bakalářská práce. BIVS. Vedoucí práce Ing. Vladimír Beneš. 67
36
3.3.3.3 Aplikační software Všechny stanice disponují kancelářským balíčkem Microsoft Office 2010 Home and Business, který v sobě mimo základního textového a tabulkového editoru, prezentačního programu, obsahuje i e-mailového klienta Microsoft Outlook 2010, který slouţí k přijímání, odesílání a správě elektronické pošty z Microsoft Exchange serveru, ale i jiných běţných protokolů pro příjem zpráv jako je POP368 a pokročilejší IMAP69 a pro odesílání zpráv SMTP70. 3.3.3.4 Ekonomický software Jednou z nejdůleţitější a nejčastější činností společnosti Finapra a.s. je vedení účetnictví. K této činnosti firma vyuţívá účetní software Pohoda SQL od společnosti Stormware. Software běţí v datovém centru a pomocí klientů se uţivatelé připojují k účetnímu systému. Nevýhodou je, ţe klientské stanice nepromítají prováděné změny, zanesení účetní případy, do Pohody online, nýbrţ kaţdý uţivatel musí jednotlivé změny odeslat na server. Tímto vzniká u jednotlivých uţivatelů odlišná verze účetnictví, se kterou pracují.
3.4
Současné schéma ICT infrastruktury společnosti Finapra a.s.
Následující schéma ICT infrastruktury zobrazuje aktuální stav společnosti Finapra a.s. Ze schématu je patrné, ţe infrastruktura nedisponuje ţádným systémem zálohování, IP telefonií, kamerovým systémem a bezdrátovým připojením k síti.
68
POP3 – Post Office Protocol 3 - Protokol pro komunikaci poštovního klienta se SMTP serverem. IMAP - Interactive Mail Access Protocol - Interaktivní přístupový poštovní protokol. 70 SMTP - Simple Mail Transfer Protocol - Jednoduchý protokol elektronické pošty. 69
37
Obrázek č. 9: Současné schéma ICT infrastruktury společnosti Finapra a.s.
Zdroj: vlastní zpracování
3.5
Hodnocení současného stavu
ICT infrastruktura společnosti Finapra a.s. prošla v posledním roce velkých změn. Firma se rozrostla z počátečních pěti uţivatelů na dvacet, kteří byli vybaveni různými počítačovými stanicemi dle jejich činnosti a mobilnosti. Nepřímou úměrou k nárůstu uţivatelů nerostla i vybavenost ICT infrastruktury. Serverové řešení Dell PowerEdge T20 z roku 2010 jiţ plně nedokáţe zpracovávat poţadavky uţivatelů stanic. Nejpalčivějším problémem je obsluha a provoz ekonomického systému Pohoda a Exchange serveru. Posledně jmenovaná sluţba vytěţují většinu výkonu jádra procesoru a vyuţívají celou operační paměť. Vzhledem k plánovanému oddělení mail serveru a aplikačního serveru (Pohoda) do dvou nezávislých serverů pomocí virtualizace by současný hardware serveru Dell PowerEdge T20 tento proces rozdělení nezvládl. Současně zbývající výpočetní výkon a kapacita operační paměti nepostačuje pro ostatní poţadavky na sluţby, jako je například file server a výpočet VPN připojení pro jednotlivé uţivatele. Pracovní stanice jsou průběţně obměňovány, často jejich hardwarové vybavení přesahuje aktuální poţadavky na pracovní činnost. Proto můţeme konstatovat, ţe stanice jsou
38
předimenzované. Z důvodu přílišné hardwarové vybavenosti pracovních stanic dojde k jejich obnově aţ za delší časové období, výhledově za 2,5 roku. Na opačné straně leţí multimediální tiskový stroj od HP71. Pro efektivnější práci zaměstnanců je nezbytné pořízení vícero zařízení, které by měly lépe uspokojit poţadavky zaměstnanců.
71
HP – Hewlett Packard
39
4 Návrh řešení Návrh řešení bude čerpat z nabytých teoretických poznatků a zjištěných výsledků analýzy. Jedním z kritérií jsou i poţadavky společnosti Finapra a.s., které budou výběru konkrétního řešení zohledněny. Klíčový důraz je kladen na mail, file server a ekonomický software, kde jsou uloţené veškerá citlivá data a know-how společnosti. Neméně důleţitou součástí řešení je i IP telefonie s kamerovým systémem. Poţadavky organizace Hlavním poţadavkem organizace je vybudování dostatečně velké ICT infrastruktury pro pokrytí potřeb nových, ale i stávajících, zaměstnanců tak, aby zaměstnanci a management mohl efektivně sdílet data a pohodlně komunikovat, jednak mezi sebou, tak i vůči vnějšímu prostředí. Důvodem změny je nedostatečná kapacita současného sítě a několik limitujících faktorů, které jednoznačně zpomalují plynulost práce. Dalším poţadavkem je zachování současné platformy ekonomického softwaru, jejíţ změna by přinesla další náklady na proškolení zaměstnanců.
4.1
Výběr konkrétních síťových prvků řešení
4.1.1
Kabeláţ
Pro připojení serverů, stanic, VoIP telefonů, IP kamer a periférií budou pouţity datové UTP72 kabely kategorie 6 – CAT 6, které jsou vhodné pro pouţití v pevných rozvodech, jako jsou např. lišty nebo přímo ve zdi. Tyto kabely jsou v současnosti nejvhodnější pro gigabitové sítě s moţností přechodu na 10 Gbps sítě v budoucnu. Switche v 1. patře a 3. patře budou propojeny optickým vícevidovým (multimode) kabelem. Níţe je uveden seznam několika nejznámějších výrobců kabelů, většina zmíněných firem vyrábí, jak UTP kabely, tak i optické kabely: UTP: Belden; Belkin; 72
UTP – Unshielded Twisted Pair – Nestíněná kroucená dvojlinka.
40
Datacom Eurolan Gembird; OEM Solarix; Signamax
4.1.2
Datové zásuvky
V jednotlivých kancelářích zakončí kabelové vedení UTP zásuvky SX9 od společnosti Solarix – kategorie CAT 6, které splňují veškeré specifikace definované ve standardech pro strukturovanou kabeláţ ANSI73/TIA74/EIA75 568, ISO/IEC 11801 a EN 50173 včetně všech posledních dodatků pro tuto kategorii. Datové zásuvky disponují dvěma porty RJ-45 se sklonem 45°, jeden port je vyhrazený pro stanice a druhý pro napájení a připojení IP telefonů k síti. Barevným schématem jsou označeny kontakty na svorkovnici podle druhu zapojení. Buď dle standardu T568A nebo T568B. Datové zásuvky mají stínění a slouţí k instalaci pod omítku či do parapetního ţlabu.
4.1.3
Aktivní prvky
4.1.3.1 Switche Racky v 1. patře a 3. patře budou osazeny přepínačem od společnosti Cisco. Konkrétně se jedná o switche Cisco SG300-28MP-K9-EU, který je vybaven 26 porty SFP76 a dvojicí combo Gigabit Ethernet portů s SFP. Pro jednotlivé pobočky budou pouţity stejné switche, ale pouze s 10 porty SFP. Přepínací kapacita dosahuje hodnoty aţ 56 Gbps a forwardovací rychlost 41.67 Mpps. Tabulka MAC adres můţe obsahovat aţ 16K záznamů. Dále nabízí podporu PoE a disponuje porty pro dva moduly mini-GBIC pro připojení optického vedení, jenţ je nutno dodatečně pořídit pro pouţití navrhovaného řešení síťové infrastruktury.
73
ANSI - American National Standards Institute - Americký národní úřad pro normalizace. TIA - Telecommunications Industry Association - Společnost pro telekomunikační průmysl. 75 EIA - Electronic Industries Association - Společnost pro elektronický výzkum. 76 SFP – Second Focal Plane – Osnova v druhé ohniskové rovině. 74
41
Obrázek č. 10: Switche Cisco SG300-28MP-K9-EU
Zdroj: http://www.novatech.co.uk/products/networking/switches/24-28portswitches/managedlayer3/sg300-28mp-k9-eu.html a vlastní úprava
4.1.3.2 Access point O šíření bezdrátového signálu se bude starat trojice přístupových bodů od společnosti UBNT. Jak název napovídá, tak balení UBNT UniFi AP, Long Range 3 pack obsahuje tři přístupové body, které budou rozmístěny po jednom do kaţdého patra pro dokonalé pokrytí budovy. Tyto zařízení disponují funkcí Key-caching (ukládání klíčů do cache). Předávání klientů mezi přístupovými body můţe mít negativní dopad nejen na některé aplikace, ale i na autentizační server (jeho zátěţ a odezvu). Výše zmíněná metoda Key-caching sniţuje zátěţ serveru a současně urychluje přepojení klienta. Pomocí uloţení klíčů do cache ukládá informaci na síť, takţe po odpojení a opětovném připojení k přístupovému bodu nezadává své kompletní údaje a jen se spojení obnoví. Obrázek č. 11: Access point UBNT UniFi AP
Zdroj: http://www.atcomp.cz/zbozi/ubnt-unifi-ap-long-range-3-pack/detail.aspx?p=z:286425 a vlastní úprava
42
4.1.3.3 Router a firewall v jednom Směrování v místní síti a ochranu síťové infrastruktury proti útokům zajistí Cisco ASA5505. Fyzický firewall Cisco ASA zajišťuje maximální ochranu díky mnoha funkcím, které obsahují: „kontrola: ovládání aplikace, podpora audio a video protokolů; prevence průniků: ochrana proti útokům typu DOS v reálném čase, detekce a filtrace aktivity virů a červů, detekce spyware, adware a malware; zabezpečení IPCom: pokročilá kontrola hlasových protokolů, specifických IP signatur; připojení SSL77 a IPsec: chráněné sluţby IPSec a SSL, sluţba SSL klient nebo portál; správa trafficu rychlostí 450 Mb/s; aktivace/deaktivace firewallu přímo ze svého Manaţeru.“78 Obrázek č. 12. Router a firewall ASA5505-50-BUN-K9
Zdroj: http://www.amazon.com/Cisco-ASA5505-Security-Firewall-ASA5505-SEC-BUNK9/dp/B00CLX0UBI a vlastní úprava
4.2
IP telefonie
Společnost T-Mobile Czech Republic a.s. (dále jen T-Mobile) navrhla pro společnost Finapra a.s. řešení IP telefonie, které je popsáno v následujících podkapitolách. Společnost Finapra
77
SSL - Secure Sockets Layer - Bezpečnostní protokol fy Netscape Communications pro přenos dat na Internetu. Citace z: Firewall Cisco ASA. Webhosting, Cloud a Dedikované servery- OVH [online]. 2015 [cit. 2015-06-10]. Dostupné z: http://www.ovh.cz/dedikovane_servery/firewall_dedikovane_servery.xml. 78
43
a.s., jako zadavatel objednávky, poţaduje splnit níţe uvedené poţadavky na upgrade stávající telefonní ústředny. Jelikoţ společnost T-Mobile je dodavatelem mobilních sluţeb je logické, aby stejný poskytovatel navrhl IP telefonii a sjednotil tak mobilní a pevné hlasové sluţby pod jednu privátní podnikovou síť (PPS). Řešení PPS přináší úspory v rámci vnitropodnikové komunikace, která není zpoplatněna. Upgrade telefonní ústředny s připojením do ICT infrastruktury. Telefonní ústředna plně pod servisem a dohledem. Moţnost připojovat nové telefonní přístroje. Propojení telefonní ústředny s ostatními pobočkami společnosti.
4.2.1
Navrhované řešení Alcatel OmniPCX Enterprise
Systém Alcatel OmniPCX Enterprise vychází z osvědčeného systému Alcatel OmniPCX 4400 a je jeho poslední softwarovou verzí pracující pod operačním systémem Linux. Oba systémy jsou navzájem plně kompatibilní. Architektura systému OXE je plně zaloţena na principech technologie VoIP. Lze vybudovat architekturu také jako klasické TDM79 řešení s přenosy pomocí okruhů – tzv. krystal technologii ACT. Komunikační server (případně CPU80) řídí prostřednictvím LAN nebo struktury ACT jednotlivé media gateway, na které jsou pak připojeny analogové nebo digitální terminály a také vstupy do veřejné nebo privátní sítě. 4.2.1.1 Moţnosti komunikačního systému Alcatel OmniPCX Enterprise Alcatel OmniPCX Enterprise dokáţe bezprostřední připojení do datových sítí LAN/WAN všech typů a přenosy zvuku skrz sítě ATM, Frame Relay a obzvláště přenos typu VoIP. Velká jistota je deklarována redundancí ústředních jednotek a zálohovacími mechanizmy pro přenosy signalizace. Multimediální telekomunikační systém Alcatel OmniPCX Enterprise zabezpečuje vysílání hlasu, dat a obrazů do maximálně 100 000 přípojných portů. Současně i připojení do
79 80
TDM – Time Division Multiplex - Sdílení média pomocí krátkých časových úseků. CPU – Central Processing Unit – Centrální výpočetní jednotka (procesor).
44
obvyklých telekomunikačních sítí prostřednictvím analogových, digitálních i ISDN81 rozhraní. Je modifikován pro zapojení do prostředí s vícerem operátorů (např. skrz GSM bran či ISDN). Umoţňuje produkovat nejrůznější druhy soukromých sítí, včetně virtuálních nebo na poţádání příčit se spolupráci s počítačovými aplikacemi, budování velikých Call Center včetně Webovských a Unified Messaging. 4.2.1.2 Schéma řešení komunikačního systému Alcatel OmniPCX Enterprise Obrázek č. 13 představuje typickou architekturu komunikačního serveru OmniPCX Enterprise Obrázek č. 13: Schéma řešení komunikačního systému Alcatel OmniPCX Enterprise
Zdroj: T-Mobile Czech Republic a.s.
4.2.1.3 Výhody systému „Hlavními výhodami systému Alcatel OmniPCX Enterprise jsou: Výkonný a spolehlivý operační systém Linux, otevřeny pro softwarové nadstavby. Komunikační servery pracující na nezávislé platformě, moţnost zálohování. Architektura ústředny zaloţená na technologii VoIP, vhodná pro budoucí aplikace. Distribuovaná architektura. 81
ISDN - Integrated Services Digital Network - Digitální komunikační síť s integrovanými službami.
45
Podpora QoS. Integrovaný telefonní seznam - volání jménem. Integrovaná znaková klávesnice u digitálního přístroje. Multilinkové digitální přístroje (počet linek omezen pouze počtem tlačítek). Hlasové nápovědy v různých jazycích (aţ 8 jazyků současně). Moţnost zasílání textových zprav i během hlasové komunikace. Podpora ISDN sluţeb. Podpora CTI82 aplikací. Vytváření Call Center, Web Call centra. Web softphone aplikace. Unified Messaging, Integrovaná hlasová pošta. Integrovaný podnikový bezdrátový systém DECT83. Základnové stanice DECT podporující současný přenos aţ 6 hovorů. Přenosné terminály DECT podporující stejné sluţby jako digitální telefony (např. volání jménem) a síťové sluţby (roaming v síti). Snadné přiřazení pevných a mobilních terminálů do dvojic. Automatická volba nejvhodnějšího operátora podle zadaných kritérií (cena, čas) v prostředí více operátorů (O2, GTS Novera, T-Mobile, Vodafone a další). Moţnost vytváření homogenních sítí komunikačních serverů prostřednictvím datových sítí nebo pomocí veřejné ISDN, bez nutnosti pouţívat pronajaté PCM okruhy. Rozhraní do sítě IP. Moţnost přenosu hlasu po IP (Internet) síti – VoIP. Vytváření telekomunikačních sítí pomocí WAN/LAN. Komprese hlasových kanálů podle různých standardů (např. G723.1, G729). 82
CTI – Computer Telephony Intergration – Zařízení spojující analogovou a počítačovou architekturu. DECT – Digital Enhanced Cordless Telecommunications – Standart používající především pro tvorbu bezdrátových telefonních systémů. 83
46
Podpora protokolů H323, SIP84 a dalších. Tarifikace hlasového provozu.“85 4.2.1.4 Moţnost rozšiřitelnosti komunikačního systému Komunikační server Alcatel OmniPCX Enterprise v dodávané verzi obsahuje moţnosti pro další vyuţití integrovaných funkcionalit, kromě snadné rozšiřitelnosti do 10 000 portů v samostatném systému a do 100 000 portů v síťovém uspořádání je to zejména Contact Centrum nebo aplikace zaloţené na web protokolech (XML)86 s vyuţitím VoIP. Funkcionality Contact Centra jsou dosaţitelné pouhým aktivováním sw licencí, webovské aplikace jsou dostupné s vyuţitím otevřeného komunikačního serveru (OTS). Moţnosti Contact Centra lze násobit integrací s počítačovými aplikace (CTI), coţ umoţňuje rozhraní ústředny Alcatel do sítě LAN (kompatibilní s CSTA87, XML a dalšími protokoly), které je standardní součástí systému. Telefonie VoIP a integrace CTI umoţňuje mimo jiné také vytváření aplikací typu CRM88, zřizování plnohodnotných odlehlých pracovišť (Branch Office, Home worker), sjednocenou správu komunikačních zdrojů (Unified Messaging) a další pokročilé aplikace pro komunikaci.
4.2.2
IP telefony
Společnost T-Mobile nabízí k telefonní ústředně následující tři typy VoIP telefonů od výrobce Alcatel za zvýhodněnou cenu: Alcatel 4018 display 1 x 20 znaků; navigační tlačítko; externí reproduktor; hands-free; 84
SIP – Session Initiation Protocol - Internetový protokol určený pro přenos signalizace v IP telefonii. Citace z: T-MOBILE CZECH REPUBLIC A.S. Nabídka komplexních telekomunikačních služeb T-Mobile ProfiNet pro společnost Finapra a.s.: Profesionální řešení Internetových a hlasových služeb T-Mobile ProfiNet [online]. Praha, 2012, 29 s. [cit. 2014-06-20] 86 XML - Extensible Markup Language – Obecný značkovací jazyk. 87 CSTA - Computer Supported Telecommunications Applications - Počítačem podporované telekomunikační aplikace. 88 CRM – Custom Relationship Management – Řízení vztahů se zákazníky. 85
47
x 10/100BaseT Ethernet port. Obrázek č. 14: Alcatel 4018
Zdroj: T-Mobile Czech Republic a.s.
Alcatel 4028 hlavní č/b displej 64 x 128 pxl. (70 x 38 mm); 6 programovatelných tlačítek integrovaná QWERTY klávesnice; navigační tlačítko; hands-free; moţnost připojení náhlavní soupravy; 2 x 10/100BaseT Ethernet port; aplikační otevřenost (XML). Obrázek č. 15: Alcatel 4028
Zdroj: T-Mobile Czech Republic a.s.
Alcatel 4038 hlavní č/b displej 100 x 160 pxl. (78 x 51 mm); 10 programovatelných tlačítek; 48
integrovaná QWERTY klávesnice; navigační tlačítko; hands-free; moţnost připojení náhlavní soupravy; 2x 10/100BaseT Ethernet port; aplikační otevřenost (XML). Obrázek č. 16: Alcatel 4038
Zdroj: T-Mobile Czech Republic a.s.
4.2.3
Servis Reakční doba do 4 hodin od nahlášení poţadavku. 4 hodiny měsíčně vzdálené konfigurace po modemu nebo VPN připojením. Telefonická konzultace v době Po aţ Pa od 8:30 do 17:00 hod. Přístup do HelpDesku přes www89 rozhraní. Čtvrtletní návštěva technika u koncového uţivatele (záloha dat PBX , provedení poţadavků uţivatele).
4.2.4
SLA a specifikace servisní činnosti partnerem
Podrobný přehled o dohodě o úrovni poskytovaných sluţeb (SLA) a specifikacích servisní činnosti partnerem nám zobrazuje tabulka č. 3.
89
WWW – World Wide Web – Celosvětová síť.
49
Tabulka č. 3: SLA a specifikace servisní činnosti partnerem
Jednotka R 5x8 Odstranění poruchy a reakční doba Odstranění poruchy - Priorita 1 Hodin Reakční doba - Priorita 1 Hodin Reakční doba - Priorita 2 Hodin Reakční doba - Priorita 3 Hodin Reakční doba - Priorita 4 Hodin Doba poskytování sluţby Pohotovost Hodin/dní Telefonická podpora Odstranění poruchy Náhradní díly Servisní zásah v místě instalace Vzdálený dohled (vzdálený přístup)* Spolupráce s operátorem Backup&Recovery (vzdálený Ročně přístup)* Preventivní údrţba (vzdálený Ročně přístup)*
F 5x8
R 7x24x365 F 7x24x365
12 hod 6 hod 4 hod 2 hod 8 hod 4 hod 24 hod 12 hod 48 hod 48 hod
12 hod 4 hod 8 hod 24 hod 48 hod
6 hod 2 hod 4 hod 12 hod 48 hod
8,5/5
8,5/5
7x24x365
7x24x365
Ne Ne
Ano Ano
Ne Ne
Ano Ano
Ano
Ano
Ano
Ano
Ne
Ano
Ne
Ano
4
12
4
12
4
12
4
12
Zdroj: T-Mobile Czech Republic a.s. a vlastní úprava
*nutné zajistit vzdálený přístup R – pouze vzdálený servis F – plný servis Odstranění poruchy – zajištění funkčnosti servisovaného zařízení, opravou vadného dílu nebo výměnou vadného dílu či celého zařízení za nové. Reakční doba – lhůta k zahájení servisního zásahu. Garantovaná reakční doba servisu. Úrovně priorit: Priorita 1 – stav nouze, celková nefunkčnost systému. Priorita 2 – porucha, funkčnost systému omezena. Priorita 3 – chyba, funkčnost systému zachována. Priorita 4 – vyţádané změny zákaznických dat. Pohotovost – doba, ve které je dodavatel připraven přijmout hlášení poruchy a zahájit nápravu. 50
Telefonická podpora – doba poskytované technické hotline pro kontaktní osoby z řad IT90 správců. Doba poskytování sluţby – nasmlouvaná servisní činnost bude prováděna na výzvu v této stanovené době. 8,5/5 – doba 8:30 – 17:00, o pracovních dnech. 24/7/365 – nepřetrţitá doba 00:00 aţ 24:00. Náhradní díly – vyčlenění náhradních dílů pro přednostní pouţití u zákazníka. Dodání náhradních dílů pro opravy v rozsahu potřebném. Servisní zásah v místě instalace – servisní činnost technika určená pro opravy na místě instalace včetně dopravy. Vzdálený dohled – komunikačního serveru ve stanovené době s garancí reakční doby, moţnost opravy jen prostřednictvím dálkového dohledu. Spolupráce s operátorem – zastupování zákazníka při jednání s operátorem v rámci poskytované sluţby. Preventivní údrţba – periodická kontrola a údrţba servisovaných zařízení, optimalizace konfigurací aktivních prvků sítě. Zahrnuje například: kontrola dobíjení baterií/ kontrola funkce UPS, roční kapacitní zkouška baterie, vyčtení chybových hlášení HiPath a jejich analýza, kontrola funkčnosti tarif. programu, záloha systémových dat, částečné vyčištění systému od povrchového prachu, kontrola funkce ostatních aplikací apod. Backup&Recovery – záloha systému a zákaznických dat vzdáleným přístupem; obnovení konfigurace – komunikační server OmniPCX Enterprise, kompletní záloha zákaznických dat na CD/DVD.
4.3
Kamerový systém
Nemovitost firmy Finapra a.s. se nachází v ulici Poděbradská 173/5, Praha 9 – Vysočany a součástí rozlehlého komerčního areálu, v němţ probíhala výroba léčiv. Předmětná administrativní budova je přímo u hlavní silnice a slouţí zároveň jako vstup do areálu. Budova je z roku 1923 a poslední velká rekonstrukce proběhla v roce 2010. V rámci této 90
IT – Information Technology – Informační technologie.
51
rekonstrukce byly provedeny přípravné práce pro umístění klasických analogových kamer. Toto řešení je pro dnešní aplikace nevyhovující, a proto bylo jako nové řešení zvoleno pouţití IP kamer. Stávající ochrana kabelového vedení bude vyuţita pro poloţení nových kabelů, které vyhovují dnešním normám a účelu vyuţití. Kamerové zabezpečení bude rozděleno na monitorování vjezdu a venkovních ploch a vnitřních částí hlavní administrativní budovy.
4.3.1
Monitorování venkovní plochy
Venkovní plochy budou monitorovány třemi IP kamerami, z nichţ první bude zabírat vjezd do areálu, druhá a třetí parkovací a odstavné plochy za hlavní administrativní budovy, z nichţ kaţdá bude umístěna na opačném konci strany budovy. Kvůli zamítavému stanovisku vedení společnosti, nebudou venkovní IP kamery zakresleny do venkovních plánů budovy. Na obrázcích by byli zachyceni nájemci společnosti.
4.3.2
Monitorování vnitřních prostor hlavní administrativní budovy
Budova je třípodlaţní s vysokými ţelezobetonovými stropy. Prostor budovy je rozdělen do tří pracovních segmentů, kterými jsou: Obchodní oddělení v 1. patře. Ekonomické oddělení ve 2. patře. Management ve 3. patře. Z důvodu vysokého přenosu dat, budou kamery na samostatném síťovém okruhu situovaném v kaţdém patře, síťové okruhy budou svedeny do samostatného switche Cisco SG300-28MPK9-EU umístěného ve 3. patře v rozvodné skříni.
4.3.3
Hardwarové vybavení kamerového systému
4.3.3.1 IP kamery Bosch Flexidome 5000 IP kamery od společnosti Bosch řady Flexidome IP 5000 se vyznačují kopulovým krytem kamery, které poskytují vysoce kvalitní obraz HD91 vyhovující náročným poţadavkům
91
HD – High-Definition – Vysoké rozlišení.
52
bezpečnostních a sledovacích sítí. Tyto robustní kamery s kopulovým krytem jsou kamerami typu Den/Noc nabízejícími vynikající výkon ve dne nebo v noci. iDNR – IP kamera pouţívá inteligentní dynamické potlačení šumu (iDNR), které aktivně analyzuje obsah scény a podle toho omezuje výskyt neţádoucích prvků v obraze způsobených šumem. Obraz s nízkým šumem a výkonná kompresní technologie H.264 poskytují čistý obraz a současně zmenšují šířku pásma a poţadavky na úloţiště aţ o 50 % v porovnání s jinými kamerami pouţívajícími technologii H.264. To má za následek toky s menší šířkou pásma, které přesto zachovávají vysokou kvalitu obrazu a plynulý pohyb. IP kamera s kopulovým krytem je v provedení se stupněm mechanické odolnosti IK10, které je ideální pro venkovní pouţití, je vhodné pro instalace, v nichţ je důleţitá odolnost proti mechanickému poškození. Varifokální objektiv 3 aţ 10 mm umoţňuje zvolit oblast pokrytí, která nejlépe vyhoví dané aplikaci. K dispozici je mnoho moţností montáţe, včetně povrchové, na stěnu a do zavěšených podhledů. 4.3.3.2 Venkovní IP kamery Bosch Flexidome 5000 Pro venkovní monitorování prostor se vyuţijí IP kamery Bosch FLEXIDOME IP outdoor 5000 NDI-50022-V3. Základní vlastnosti této kamery jsou popsaná v předešlé části, která je společná pro všechny typy kamer třídy Bosch Flexidome 5000. Venkovní verze je vybavena navíc vestavěnou aktivní infračervenou osvětlovací jednotkou, která poskytuje vysoký výkon v prostředích s mimořádně slabým osvětlením. Kamera vyhovuje standardům IP66 (NEMA typ 4X) ochrany proti vniknutí vody a prachu. V následující tabulce jsou popsány technické specifikace IP kamery. Tabulka č. 4: Technické specifikace FLEXIDOME IP outdoor 5000
FLEXIDOME IP outdoor 5000 NDI-50022-V3
Technické specifikace
Základní funkce
Pokročilé funkce
Maximální rozlišení Typ snímacího prvku Max. snímků za sekundu Vnitřní / venkovní Reţim Den/Noc Široký dynamický rozsah (WDR) Soulad se standardem ONVIF Napájení přes síť Ethernet (PoE) Komprese (H.264 a MJPEG) / vícenásobný tok Privátní maskování 53
HD 1 080p 1/2,7“ 30 snímků/s při 1 080p Ano/Ano Ano 76 dB Ano Ano Ano/4 toky Ano
FLEXIDOME IP outdoor 5000 NDI50022-V3
Technické specifikace Spouštění poplachů
Citlivost
Detekce neoprávněné manipulace Videodetekce pohybu Detekce zvuku Minimální osvětlení pro denní reţim (barevný) Minimální osvětlení pro noční reţim (černobílý) Noční vidění Max. dosah v noci Diody LED
Ohnisková vzdálenost Horizontální zorný úhel (HAoV) Detekce/pozorování/rozpoznávání/identifikace Vzdálenosti (Vzdálenosti v metrech podle normy ENDORI 50132-7) Slot pro paměťovou kartu Úloţiště Cloudové úloţiště aplikací Alarmový vstup/výstup Připojení Audiovstup/audiovýstup Hybridní*/srovnávací monitor Odolnost proti vystavení povětrnostním vlivům Kryt Odolnost proti mechanickému poškození Provozní teplota Vstupní napětí Napájení Příkon Objektiv
Ano Ano Ano 0,24 lx 0 lx Ano (infračervené) 15 m Pole 15 diod Led s vysokou účinností, vlnová délka 850 nm 3 - 10 mm 36° - 117° 24-118/9-47/5-24/2-12 Ano (aţ 2 TB Ano 1/1 Ano Ano/Ano IP66 IK10 –30 °C aţ 50 °C PoE nebo + 12 V DC Maximálně 6,0 W IPv4, IPv6, UDP, TCP, HTTP, HTTPS, RTP/RTCP, IGMP V2/V3, ICMP, ICMPv6, RTSP, FTP, Telnet, ARP, DHCP, SNTP, SNMP (V1, MIB-II), 802.1x, DNS,
Protokoly Síť
TLS 1.0, SSL, DES, 3DES, AES (volitelné) 10/100 Base-T, automatické rozeznání, poloviční/plný duplex RJ45
Šifrování Ethernet Konektor Ethernet
Zdroj: http://cz.boschsecurity.com/cs/cz_product/produkty/video_3/ipcameras/fixeddomes/flexidomeipoutdo or5000/flexidomeipoutdoor5000_401a vlastní úprava
54
4.3.3.3 Vnitřní IP kamery Vnitřní prostory budou monitorovat IP kamery Bosch FLEXIDOME IP indoor 5000 NII50022-V3. Tyto vnitřní IP kamery mají téměř stejné technické parametry jako výše uvedené venkovní IP kamery s tím rozdílem, ţe nesplňují normu IP66 (NEMA typ 4X) ochranu proti vniknutí vody a prachu. Z tohoto důvodu IP kamery nelze umístit do venkovních prostor. Tabulka č. 5: Bosch FLEXIDOME IP outdoor a indoor 5000
Zdroj: http://cz.boschsecurity.com/cs/cz_product/produkty/video_3/ipcameras/fixeddomes/flexidomeipindoor 5000/flexidomeipindoor5000_405 a vlastní úprava
4.3.3.4 Záznamové zařízení pro IP kamery Obrázek č. 17: Bosch DIVAR IP 2000 DIP-204EZ4HD
Zdroj: http://cz.boschsecurity.com/cs/cz_product/produkty/video_3/recording/iprecording/divarip2000/divari p2000_2591
Záznamové zařízení pro IP kamery zajistí zařízení Bosch DIVAR IP 2000 DIP-2042EZ-4HD, viz obrázek číslo 17. K záznamovému zařízení se pořídí 4x 2 GB SATA disky od společnosti
55
Wester Digital modelové řady Red, určené pro serverové řešení. Technické specifikace NVR jsou uvedeny v tabulce č. 6. Tabulka č. 6:Technická specifikace Bosch DIVAR IP 2000 DIP-2042EZ-4HD
Technické specifikace
DIVAR IP 2000 DIP-2042EZ-4HD
Max. velikost systému Úroveň RAID
16 RAID-1 CIF / 2CIF / 4CIF / 720p / 1 080p / 5 Podporovaná rozlišení MP Základní funkce Komprese videa H.264, MPEG-4, ONVIF, RTSP, JPEG Překódování Ano ONVIF Ano Faktor tvaru Minivěţ, 4 sloty Připojení k síti (LAN) 1 x Gigabit Ethernet Mechanické hodnoty Porty USB 2x USB 2.0 Počet napájecích zdrojů 1 Videovýstup Monitor pro sledování podrobností 1 na dekodér IP Vstupní/výstupní kanály 16 Typ komprese G.726 Zvuk Synchronizovaný zvuk Ano Přidruţení více kamer k 1 audiosignálu Ano Video Recording Manager (VRM) Ano Nahrávání Reţimy plánovaného nahrávání Ano Max. počet podporovaných disků 4 Dostupná kapacita na jeden disk 2 TB Základní kapacita systému (TB) 0, 4 nebo 8 TB Moţnosti úloţiště Max. základní kapacita systému (TB) 8 TB Plná kapacita systému (TB) 8 TB Rozšířitelné/externí úloţiště iSCSI Formát dat MP4 Export/zálohování Podporovaná zařízení Staţení z webu, FTP, Dropbox dat Reţim zálohování Manuální Mobilní zařízení (chytrý telefon / tablet) Ano - Aplikace Video Security Síť Ethernet 10/100/1000 Vzdálený přístup Přístup přes internetový prohlíţeč Ano Počet současně přístupných uţivatelů 5 Podpora forenzního vyhledávání Ano Podpora (metadata) pokročilých funkcí Webový klient Ano Zdroj: http://cz.boschsecurity.com/cs/cz_product/produkty/video_3/recording/iprecording/divarip2000/divari p2000_2591 a vlastní úprava
56
4.3.4
Softwarové vybavení kamerového systému
Součástí záznamového zařízení Bosch DIVAR IP 2000 DIP-2042EZ-4HD je několik softwaru pro nahrávání, monitorování a analýza obrazu. 4.3.4.1 Video Client Video Client je desktopová aplikace pro operační systém Windows a slouţí ke sledování ţivého obrazu a přehrávání videa z kamer připojených do sítě. Softwarový balíček zahrnuje aplikaci pro sledování ţivého obrazu a přehrávání a nástroj ConfigurationManager. Software Configuration Manager zajišťuje konfiguraci nastavení pro podporovaná zařízení. Aplikace Video Client navíc dokáţe přímé připojení k jakémukoli zařízení Bosch, takţe není nutná místní konfigurace. Funkce softwaru: Sledování ţivého obrazu z více kamer. Přehrávání a export nahraných videodat z úloţiště. Pokročilá konfigurace pro optimalizované výsledky. Lokální nahrávání a pořizování snímků. Ovládání PTZ a digitální zoom. Vyhledávání pohybu a forenzní vyhledávání. 4.3.4.2 IVA - Inteligentní analýza obrazu Software IVA představuje inteligentní analýzu obrazu, která detekuje, sleduje a analyzuje pohybující se objekty, a zároveň potlačuje neţádoucí poplachy způsobené rušivými zdroji v obraze. Software dále umoţnuje vyuţívat sloţité úlohy, jako je překročení více čar, sledování dráhy, neobvyklé zdrţování se na místě, detekce nečinných a odstraněných objektů, detekce pohybu v protisměru, odhad velikosti davu a počítání osob z nadhledu. Lze definovat filtr objektů podle velikosti, rychlosti, směru, poměru stran a barvy. Součástí je také funkce pořizování snímků obličejů zepředu. Funkce softwaru: Vestavěná analýza odstraňuje potřebu údrţby vyhrazených počítačů. 57
Přidává metadata pro forenzní vyhledávání v záznamech. Dostupné široké spektrum úloh detekce. Filtry, které dokáţí ignorovat specifikované oblasti obrazu a malé objekty.
4.3.5
Legislativa
V případě IP kamer na pracovištích je nezbytně nutné mít souhlas od všech zaměstnanců, jako subjektů soukromých údajů, kteří se pohybují v monitorovaných prostorách. Na základě rozhodnutí ÚOOÚ92 je zatajené zřízení kamerového systému (jedině z iniciativy statutárního orgánu a bez zřejmého definování pravidel provozu, pouţívání dat a nastavení tohoto systému) v místnostech kanceláří, v nichţ jsou i v harmonii se zaběhlou judikaturou Evropského soudu pro lidská práva zaměstnanci oprávněni předpokládat zaručenou míru soukromí, v rozporu s podmínkami pro výjimku §5 odst. 2 písm. e, a to obzvláště v případě, kdy tento systém pořizoval události v uvedených místnostech v pracovní době a skutečně tak slouţil k monitorování zaměstnanců. Jestliţe pořízený záznam z kamerového systému umoţňuje jednoznačné rozpoznání jednotlivých osob, je nezbytné všechny informace o určitých osobách tímto způsobem zaznamenané povaţovat za osobní údaje ve smyslu § 4 písm. a) zákona č. 101/2000 Sb. Pokud však byl kamerový systém v monitorovacích prostorách areálu instalován osobou zastávající pozici jednatele účastníka řízení, je účastník řízení, v našem případě společnost Finapra a.s., ve vztahu k těmto osobním údajům (zaznamenaným pomocí CCTV) jejich správcem ve smyslu § 4 písm. j) zákona č. 101/2000 Sb. a ručí za zachování všech povinností plynoucích ze zákona o zpracování osobních údajů. „Jednou ze základních povinností správce osobních údajů podle zákona č. 101/2000 Sb. je povinnost vyjádřená v § 5 odst. 2 tohoto zákona, tedy povinnost zpracovávat osobní údaje zásadně pouze se souhlasem subjektu údajů, o jehoţ údaje se jedná. Bez takového souhlasu je moţné osobní údaje zpracovávat pouze v případech zákonem č. 101/2000 Sb. taxativně vyjmenovaných v § 5 odst. 2 písm. a) aţ g). Ţádnou z těchto výjimek však na popsané zpracování osobních údajů prostřednictvím kamerového systému aplikovat nelze a účastník řízení byl tedy povinen disponovat souhlasem osob, které byly kamerami zachyceny, tj. osob, jejichţ osobní údaje zpracovával. Z vyjádření statutárního orgánu, ţe zaměstnanci účastníka 92
ÚOOÚ – Úřad pro ochranu osobních údajů – činnost Úřadu je vymezena zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, a některými dalšími zákony.
58
řízení nebyli o existenci instalovaného systému informováni, je však zjevné, ţe účastník řízení zpracovával osobní údaje těch, kteří procházeli kanceláří či sekretariátem statutárního orgánu účastníka řízení (tj. zaměstnanců i osob mimo organizační struktury účastníka řízení), bez jejich souhlasu.“93
4.3.6
Alternativní řešení záznamu videa z IP kamer
Alternativní řešením k NVR systémům je ukládání pořízených videí z IP kamer na diskové pole primárního serveru společnosti Finapra a.s. K tomu, aby se ukládaly videa na disky serveru, je nezbytné vlastnit patřičný software, který nejen, ţe zajistí ukládání obrazu z IP kamer, ale dokáţe s uloţeným videem dále pracovat. Pro účel společnosti bohatě postačí systém Ateas Security Professional Light. Edice je určena pro dohledové systémy s rozsahem aţ do 48 kamer s moţností jedné licence systému pro kamerový server, v našem případě Dell PowerEdge R510, a aţ tři klientské licence pro dohledové pracoviště. Systém se vyznačuje nízkou hardwarové náročnosti, tudíţ server výrazně nezatíţí. Diskové pole serveru by se musel rozšířit o další SATA disky. Výhodou ukládání obrazu IP kamer na diskové pole serveru je zapojení disků do RAIDu 10. Další výhodou je, ţe diskové pole je zálohováno na NAS server a jsou pořizovány stínové kopie. Nevýhodou je, ţe v případě výpadku serveru, restartování po aktualizaci nebo jiné údrţbě, kdy se server musí vypnout, se video neukládá. Na obrázku č. 18 je schéma zachycující nasazení systému Ateas. Obrázek č. 18: Schéma nasazení systému Ateas Security Professional Light
Zdroj: https://www.ateas.net/productprofessionallight.php a vlastní úprava 93
Citace z: Úřad pro ochranu osobních údajů. Www.uoou.cz *online+. 2013 *cit. 2015-06-15+. Dostupné z: https://www.uoou.cz/k-provozovani-kameroveho-systemu-na-pracovisti1/d-1742
59
4.4
Zabezpečení datové komunikace
Společnosti Finapra a.s. je doporučeno zavedení navzájem provázaných ISO/IEC norem 27001 a 27002 řešící řízení bezpečnosti informací v organizaci a kompletní bezpečnostní techniky a opatření zabezpečení informačních technologií. Prozatím postačí pouţití níţe uvedených bezpečnostních prvků, které sníţí riziko narušení bezpečnosti ICT.
4.4.1
Šifrování
Windows Server 2008 disponuje funkcí Windows BitLocker Drive Encrpytion (BitLocker). Funkce umoţňuje šifrování všech uloţených dat na diskovém svazku operačního systému a na konfigurovaných diskových svazcích určených pro ukládání dat. Pro uţivatelské sloţky či soubory slouţí zabezpečení technologií Encrypted File Systém – EFS. Systém je dostupný jiţ od verze Windows 2000.
4.4.2
VPN připojení
Termínem VPN je velice široký a obsahuje řadu protokolů a technologií. Zkratka VPN znamená privátní počítačová síť, která umoţňuje propojení vzdálené uţivatele, stanice nebo přímo celé počítačové sítě do LAN společnosti skrze veřejné telekomunikační sluţby, především přes internet. Bezpečnost je řešena šifrováním vytvořeného tunelu mezi dvěma body (nebo jedním a několika). VPN se rozlišuje na základní dva typy: Site-to-Site VPN – spojuje dvě (i více) sítě dohromady, obvykle centrálu a pobočky, vyuţívají se síťová zařízení (VPN koncentrátor, firewall, router, server), která slouţí jako VPN gateway a naváţí mezi sebou VPN spojení (příchozí komunikaci rozbalí a do sítě posílají standardně, odchozí zapouzdří do VPN tunelu), uţivatelské stanice pak nepotřebují VPN klienta, často pouţívané protokoly/typy jsou IPsec VPN a MPLS94 VPN. Remote Access VPN. - připojujeme individuální klienty do lokální sítě, klienti musí mít VPN klienta, na straně privátní sítě je opět speciální síťové zařízení, často pouţívané protokoly/typy jsou SSL VPN a IPsec VPN.
94
MPLS - MultiProtocol Label Switching - Používá se pro urychlení cesty paketů sítí principem přepínání značek, založeným na důsledném oddělení procesu směrování od vlastního předávání paketů.
60
Druhým nejpouţívanějším dělením VPN je podle hlavního pouţitého protokolu, na kterém je VPN vystavena: IPsec VPN - Internet Protocol Security je asi nejčastější forma VPN, je to součást IPv6 a často se pouţívá v IPv4, hojně se spojuje s L2TP95 (L2TP over IPsec). SSL VPN - moderní metoda VPN, která vyuţívá Transport Layer Security nebo Secure Sockets Layer, často se vyuţívá port 443 (HTTPS96) a VPN úspěšně prochází přes firewall, Microsoft vytvořil Secure Socket Tunneling Protocol (SSTP), coţ je přenos PPP97 nebo L2TP skrz SSL. MPLS VPN - Multiprotocol Label Switching vyuţívají hlavně ISP, kdy vytváří privátní sítě pro zákazníky přes MPLS. 4.4.2.1 Typy VPN na Cisco ASA5505 Zvolené switche od výrobce Cisco model ASA5505 pro společnost Finapra a.s. umoţňují několik typů VPN připojení, pomocí kterých bude propojena centrála s ostatními pobočkami. IPsec VPN; o Site-to-Site - spojují se VPN zařízení; o Remote Access - pouţívá se Cisco VPN Client (nebo jiný SW VPN klient); SSL VPN; o Clientless SSL VPN - přístup přes webový prohlíţeč, dříve se označovala WebVPN; o Cisco SSL VPN Client (Remote Access) - pouţívá Cisco AnyConnect VPN Client. Uţivatelé připojující se z domácí nebo venkovní sítě vyuţijí VPN připojení (vyuţívající protokolu PPTP a L2TP/IPsec), jeţ vytváří SBS 2008.
95
L2TP - Layer 2 Tunneling Protocol - Protokol tunelového propojení používaný na podporu virtuálních privátních sítí. 96 HTTPS - HyperText Transfer Protocol – Secure - Zabezpečená verze hypertextového přenosového protokolu. 97 PPP – Point-to-Point Protocol – Protokol dvoubodového spojení.
61
4.4.3
Zabezpečení bezdrátové sítě
Společnost Finapra a.s. by se měla drţet následujících všeobecných doporučení zabezpečení bezdrátových sítí: Pravidelná aktualizace firmwaru access pointu. Aktivace autorizování a šifrování pomocí WEP98. Skrytí a zrušení vysílání SSID99 na access pointech. Nastavení filtrace MAC adres. Změna původního hesla na AP. Pouţití robustnějšího zabezpečení pomocí WPA2, které vyuţívá šifrovací protokol CCMP pouţívající šifrovaní s algoritmem AES, autentizaci a kontrolu integrity. Nastavení doby zapnutí AP pouze v pracovní dobu. Při nastavování AP pouţívat bezpečnostních protokolů HTTPS a SSH100. Pravidelné monitorování AP a zařízení/uţivatelů k němu připojených. Optimalizace pokrytí oblasti bezdrátovým signálem na potřebné minimum.
4.4.4
Protokol HTTPS
HTTPS znamená v informačních technologiích nadstavbu internetového protokolu HTTP, který umoţňuje zabezpečit spojení mezi internetovým prohlíţečem a webovým serverem před odposloucháváním, nepravými daty a umoţňuje taktéţ ověřit identitu protistrany. HTTPS vyuţívá protokolu HTTP, ovšem přenášená data jsou šifrována pomocí protokolu SSL nebo následovníkem protokolem TLS. Za pomocí protokolu HTTPS se zaměstnanci můţou relativně bezpečně připojovat ke svému e-mailu skrze webový prohlíţeč. Microsoft Exchange server umoţňuje sluţbu Office Outlook Web Access právě pro připojení uţivatelů ke svému firemnímu účtu. Obrázek č. 19 nám zobrazuje uţivatelské prostředí Office Outlook Web Access. 98
WEP – Wired Equivalent Privacy – Zabezpečení bezdrátové sítě pomocí autorizace a šifrování. SSID – Service Set Identifier – Identifikátor bezdrátové sítě, který vysílá základní informace (rychlost, síla signálu, název, podporované rychlosti a atd.) o access pointu nebo Wi-Fi routeru. 100 SSH – Secure Shell – Jedná se o šifrovanou komunikaci (bezpečnostní protokol) v počítačových sítích. 99
62
Obrázek č. 19: Ukázka uţivatelského prostředí Office Outlook Web Access
Zdroj: Copyright © 2007 – Microsoft Corporation a vlastní úprava
4.4.5
Certifikát
Certifikát slouţí k ověřování přístupu do počítačové sítě z důvodu poskytnutí silného zabezpečení při identifikaci uţivatelů a koncových zařízení. Dále certifikát omezuje nutnost pouţití hesel u méně zabezpečených ověřovacích metod. Mluvíme-li o ověřování, formuluje se server jako server VPN nebo server sluţby IAS101, který je koncovým bodem zabezpečení certifikátu. Servery VPN se můţou nastavit tak, aby realizovali ověřování přístupu do počítačové sítě bez serverů sluţby IAS, nebo v případě, ţe existují v síti více klientů sluţby RADIUS (Remote Access Dial-In User Service), například serverů VPN a bezdrátových přístupových bodů, pouţije se k ověřování servery sluţby IAS. V případě výskytu více serverů VPN v síti a bezdrátových přístupových bodů, můţe se k ověřování pouţít servery sluţby IAS.
101
IAS – Internet Authentication Service - Služba ověřování v Internetu provádí centrální ověřování, autorizaci a účtování mnoha typů přístupu k síti včetně bezdrátového připojení ověřujícího přepínače, telefonického připojení a připojení virtuální privátní sítě (VPN).
63
„Certifikáty pouţívají dvě ověřovací metody pro síťový přístup: protokol EAP-TLS102 a protokol PEAP103. Obě metody vţdy pouţívají certifikáty k ověřování serveru. Podle typu ověřování nakonfigurovaného pomocí ověřovací metody lze certifikáty pouţít k ověřování uţivatele a k ověřování klienta.“104 Pouţití certifikátů pro ověřování připojení VPN představuje nejúčinnější způsob ověřování, který je k dispozici u systémů řady Windows Server 2008. Ověřování pomocí certifikátu musíme pouţít u připojení VPN pomocí protokolu L2TP/IPSec.
4.4.6
Ochrana dat
Data uloţená na discích serveru jsou nejcennějším majetkem společnosti. Přestoţe jsou data soustředěna na server a pomocí oprávnění jsou chráněna před zneuţitím, je nezbytně nutné jejich zabezpečení před výpadkem, havárií serveru. Ochrana dat zahrnuje několik metod, jimiţ jsou: Automatická ochrana pomocí diskových polí – zapojení disků do RAIDu 10. Zálohování dat na NAS server. Stínové kopie – ukládají se na disky serveru, které jsou zálohovány. Stínové kopie sloţek pořizují kopie souborů v časových bodech. Díky stínovým kopiím sloţek mohou zaměstnanci zobrazit sdílené soubory a sloţky tak, jak existovaly v časových bodech v minulosti. Přístup k předchozím verzím souborů je uţitečný, kdyţ zaměstnanci potřebují: o obnovit omylem odstraněné soubory; o obnovit nechtěně přepsané soubory; o porovnat verze souboru.
102
EAP-TLS - Extensible Authentication Protocol-Transport Level Security - je typ ověřování EAP (zprostředkovává konverzaci vzdáleného klienta s ověřovatelem) používaný v zabezpečovacích systémech pracujících s certifikátem. 103 PEAP - Protected Extensible Authentication Protocol - Protokol PEAP vytváří pomocí protokolu TLS šifrovaný kanál mezi ověřujícím klientem PEAP a ověřovacími daty PEAP nebo jiným serverem RADIUS (Remote Authentication Dial-In User Service). 104 Citace z: Ověřování a certifikáty pro síťový přístup. In: Ověřování a certifikáty pro síťový přístup *online+. *cit. 2015-06-25+. Dostupné z: https://technet.microsoft.com/cs-cz/library/cc759575(v=ws.10).aspx.
64
4.4.7
Antivirový software
Softwarovou ochranu pracovních stanic společnosti zajistí antivirové řešení Endpoint Antivirus 6, multilicence pro 15 instalací, od společnosti ESET. Antivirový program se vyznačuje minimálním dopadem na zátěţ operačního systému a celé stanice. Systém dokáţe eliminovat viry, spyware, trojské koně, červy, adware, rootkity a další internetové hrozby. ESET Endpoint Antivirus nabízí dále tyto funkce: Web control – omezuje přístup k webovým stránkám podle kategorie. Klientský antispam – filtruje spam na koncové stanici. Device control – blokuje neautorizovaná média a zařízení. ESET remote administrator – umoţňuje spravovat všechny bezpečnostní řešení ESET pomocí konzole centrální správy.
4.4.8
Ověření identity uţivatelů a zařízení
Pro společnost Finapra a.s. provozující pracovní stanice, server a jiná koncová zařízení je nezbytné zabezpečit infrastrukturu sluţeb správy koncových zařízení, kam patří bezpečnostní politiky pro koncová zařízení a sdílení dat a databází, dále správa a instalace aplikací, evidence HW a SW, správa síťových sluţeb DHCP, DNS, NTP105, DFS106, CA107. Serverové operační systémy společnosti Microsoft umoţňují efektivně řídit síť pomocí integrovaných sluţeb: Active Directory – centrální správa uţivatelů a skupin pro řízení přístupů a ověřování v síti. Group Policy – centrální správa politik pro nastavení koncových zařízení, či instalaci aplikací. DHCP, DNS – sluţby pro správu IP prostoru. DFS, Branch Cache – sluţby pro replikaci sdílených dat v rámci vzdálených lokalit společnosti.
105
NTP – Network Time Protocol - Časový protokol sítě. DFS – Distributed File Systém - Distribuovaný systém souborů. 107 CA – Cerification Authority - Certifikační autorita. 106
65
4.4.8.1 Restrikce účtů Pro účty v doméně můţeme přiřadit restrikce – omezení, které budou závazná pro určitý účet. Rozlišujeme dvojí restrikce: Přihlašovací hodiny – vyhrazení doby uţivateli pro připojení do domény. Přihlásit se k – stanovuje stanice v doméně, ke kterým se uţivatelský účet můţe přihlásit. 4.4.8.2 Silná hesla Heslo je jedním z nejhlavnějších prvků bezpečnosti ICT infrastruktury. Naproti tomu se můţe stát, ţe se heslo stane nejslabším místem zabezpečení. Dnešní odposlouchávací softwary dokáţí odhalit jakékoliv heslo, pokud je dostatek času. Z tohoto důvodu je chtěné pouţití silných hesel, jeţ se v pravidelných intervalech obměňují. Sílu hesla můţeme proto ve Správci serveru v Editoru správy zásad skupiny nadefinovat podle následujících kritérií: Délka hesla obsahující 7 aţ 14 znaků. Heslo obsahuje minimálně tři z následujících čtyř skupin: o velká písmena; o malá písmena; o číslice; o symboly (výjimkou jsou znaky kromě písmen a číslic, např.: @, %, $ (, ), _, +). Heslo obsahuje nejméně jeden symbol umístěný na druhé aţ šesté pozici. Měnit heslo v pravidelném intervalu s tím, ţe se heslo musí výrazně lišt od hesla předešlého. Heslo neobsahuje uţivatelské jméno ani část uţivatelského jména, a ani jména a příjmení uţivatele účtu. Nejedná se o normální slovo nebo jméno. Kaţdý zaměstnanec společnosti Finapra a.s. by měl být obeznámen s prací s hesly podle následujících pravidel:
66
Nikdy nikam neukládat ani nezapisovat heslo. Ţádné osobě nesdělovat heslo. Nepouţívat stejné heslo pro přihlášení k síti a k jinému účtu. Správce serveru pouţívá jiné heslo pro přihlášení k účtu správce počítače a jiné k přihlášení k síti. Měnit heslo alespoň kaţdých 60 aţ 90 dnů. V případě podezření na prozrazení hesla, poţádání o okamţitou změnu. Nikdy v dialogových oknech nepouţívejte moţnost uloţení nebo zapamatování hesla. Následující obrázek ukazuje praktickou ukázku nastavení zásad hesel ve správci serveru Windows Server 2008. Obrázek č. 20: Správce serveru – správa zásad skupiny
Zdroj: Copyright © 2007 Microsoft Corporation a vlastní úprava
4.4.8.3 Zásady zamknutí účtu Touto zásadou se zadává, co se stane s účtem po neúspěšném přihlášení. V zásadě stanovuje počet neúspěšných pokusů o přihlášení. Po přesaţení stanovených pokusů dojde k uzamčení
67
účtu. Této hodnotě se říká prahová hodnota pro uzamknutí účtu. Existují i další zásady jako např.: doba uzamčení účtu; vynulování čítače pro zamknutí účtu po určité době.
4.4.9
Správa a dohled
Správu a vzdálený dohled bude mít na starosti externí společnost A+Z Computing. Firma nabízí komplexní škálu produktů a sluţeb v oblasti dodávek, správy a servisu hardwarové platformy informačních technologií. Orientuje se na střední firmy. Konkurenční výhodou je spolehlivost navrhovaných řešení, rychlost a svědomitost prováděného servisu. Hlavním úkolem firmy bude: Sledování reportů a chybových hlášení serverů. Vzdálený dohled a řešení vzniklých problémů. Zpracování nových poţadavků na ICT infrastrukturu nebo úpravu stávajícího nastavení. Instalace aktualizací. Technická podpora a servis. Hlavní dodavatel hardwaru a softwaru.
4.5
Serverové řešení
Kapitola serverové řešení je rozdělena dvou podkapitol. První pojednává o zvoleném hardwaru serveru a druhá o operačním softwaru serveru.
4.5.1
Server
Dostatečný výkon pro následující období zajistí víceúčelový základní rackový server Dell PowerEdge R510. Server bude osazen dvěma procesory Xeon E5620, 2,4 GHz, 32 GB RAM s moţností rozšíření aţ na 128 GB (8 slotů DIMM108). Pro operační systém budou k dispozici dva 300 GB SAS disky v zapojení RAID 1. Zrcadlení, sníţení kapacitu na polovinu, a pro 108
DIMM – Dual Inline Memory Module – Dvouřadý paměťový modul.
68
data šasi se čtyřmi 500 GB SATA disky v zapojení RAID 10, které sníţí kapacitu vyuţití na polovinu. Diskové pole se dá rozšířit aţ na šasi s 12 pevnými disky. Obrázek č. 21: Dell PowerEdge R510
Zdroj: http://www.dell.com/cz/domacnosti/p/poweredge-r510/pd
4.5.2
Operační systém serveru
4.5.2.1 Windows Server 2008 Na server Dell PowerEdge R510 bude nainstalován Microsoft Windows Server 2008 s technologií Hyper-V. Jedná se o plnohodnotnou verzi Microsoft Windows Server 2008, kde jednou z rolí je Hyper-V. Pro účel společnosti se vyuţije moţnosti pouţití jedné virtuální licence, která je v ceně edice – Windows Server 2008 Standard 1+1. Server s Windows Server 2008 v reţimu Hyper-V nebude členem domény, aţ následně nainstalované dva virtuální servery. Na první virtuální operační server bude pouţit jiţ dříve zakoupený operační systém Microsoft SBS 2008. Pod SBS 2008 poběţí Exchange server, File server, sluţba pro nastavení politiky Active Directory a zálohovací software ARCserver Backup for SBS. Na druhý virtuální operační server bude pouţit jiţ zmíněná virtuální licence pro Windows Server 2008. Pod Windows Server 2008 poběţí ekonomický software Pohoda SQL a zálohovací server ARCserver Backup for MS Windows. Obrázek č. 22 nám zobrazuje schéma virtualizace serveru Dell PowerEdge R510.
69
Obrázek č. 22: Schéma virtualizace serveru Dell PowerEdge R510
Zdroj: vlastní zpracování
4.5.3
Záloţní NAS server
NAS109 je jednostranně zaměření server pro ukládání dat. Je obvykle osazen úsporným procesorem a vlastním operační systémem. Operační systém, ve většině případů, dodává přímo výrobce hardwaru (často se jedná o modifikovanou distribuci operačního systému Linux). Přístup k serveru probíhá pomocí sítě. Konfigurace a nastavení je řešeno skrze webový prohlíţeč a probíhá v grafickém prostředí. Obsluha NAS serveru bývá jednoduchá a intuitivní, nevyţaduje tedy speciální zaměření na znalosti linuxového prostředí. Navrhovaným řešením pro společnost Finapra a.s. je NAS server od výrobce Synology, konkrétně o modelovou řadu DS414. Jedná se o 4-šachtový NAS server s kapacitou aţ 32 TB a s mnoha funkcemi určený zejména rozšiřujícím se firmám pro efektivní správu, zabezpečení a sdílení dat. Díky komplexním kancelářským aplikacím DS414 zvyšuje produktivitu práce a umoţňuje zabezpečení dat pomocí komplexních systémů zálohování. DS414 dosahuje rychlosti přes 123,13 MB/s pro zápis v konfiguraci RAID 5 a prostředí Windows® a přes 217,61 MB/s pro čtení. První vestavěný koprocesor zvyšuje celkovou výkonnost hlavního procesoru jednotky a umoţňuje dosáhnout vyšší produktivity práce.
109
NAS – Network Attached Storage – je datové úložiště v síti.
70
Samotný NAS server neobsahuje disky, proto je potřeba dokoupit 4x 2 TB SATA disky určené pro servery. Obrázek č. 23: Synology DS414
Zdroj: https://www.synology.com/cs-cz/products/DS414#photo
4.6
Internetová konektivita
4.6.1
Anténní zařízení
Dodavatel technologie internetové konektivity T-Mobile zvolil zařízení Ericsson Mini-Link TN, které dokáţe vysílat na frekvenci od 18 do 38 GHz dle kmitočtového přídělu ČTÚ110. Mini-Link Tn představuje vnitřní jednotku pro uzlový koncept přenosové sítě, kde je moţné v rámci této jednotky směrovat a agregovat jednotlivé druhy provozu. Modulární architektura zařízení umoţnuje jednoduchou a cenově nenáročnou expanzi pouţitého řešení. Kapacita zařízení je od 8 MBit/s do 40 MBit/s. Celkové řešení technologie mikrovlnného připojení k internetu od společnosti T-Mobile je zakresleno do řezu administrativní budovy společnosti Finapra a.s. na obrázku č. 24.
110
ČTÚ – Český telekomunikační úřad pro výkon státní správy ve věcech stanovených zákonem včetně regulace trhu a stanovování podmínek pro podnikání v oblasti elektronických komunikací a poštovních služeb.
71
Obrázek č. 24: Anténní plán - pohled
Zdroj: NHK s.r.o.
4.6.2
Umístění technologie TMCZ ve stojanu
Technologie od T-Mobilu bude umístěna ve stojanovém rozvaděči v 1. patře. Rack taktéţ poskytne volnou zásuvku 230 V pro napájení zařízení. Obrázek č. 25 zachycuje schématické obsazení stojanu v 1. NP. Obrázek č. 25: Schematické obsazení stojanu společnosti Finapry a.s. v 1.NP
72
Zdroj: NHK s.r.o.
4.7
Multifunkční tiskárny
Zvoleným dodavatelem multifunkční tiskáren, jeţ mají pokryt poţadavky zaměstnanců, je společnost Konica Minolta.
4.7.1
Konica Minolta Bizhub C224e
Konica Minolta Bizhub C224e je model laserové multifunkční tiskárny se síťovým rozhraním. Zařízení umí barevně kopírovat, tisknout, skenovat a faxovat. Skenovat lze do e-mailu, sloţky a FTP, čímţ lze výrazně zkrátit dobu komunikace. Tiskárna bude umístěna ve všech patech hlavní administrativní budovy a v jednotlivých pobočkách. Podrobnější informace o tiskárně je v následujícím přehledu: Konfigurace tiskárny Bizhub C224e: kopírování, tisk a skenovací modul; tiskový PCL111 a PS112 řadič; připojení 10/100/1000 BaseTX Ethernet; USB113 2.0 pro tisk, USB pro skenování do flash pamětí a tisk souborů z nich; 2048 MB paměť a 250 GB pevný disk; Automatický oboustranný tisk; Boční zásobník na 150 listů; Dotykový barevný multitouch panel v českém jazyce; DK-510 stolek pod stroj; PC-210 univerzální kazeta na 2x500 listů; Oddělovací přihrádka JS-506 odsazuje úlohy; Kompaktní integrovaný finišer FS-533 sešívá v rohu a po straně, odsazuje úlohy. 111
PCL – Printer Control Leanguage – Řídící jazyk tiskárny. PS – PostScript – Jazyk popisu stránky. 113 USB - Universal Serial Bus - Univerzální sériová sběrnice. 112
73
Hlavní technické specifikace Bizhub C224e: Kopírování a tisk: o Rychlost kopírování/tisku A4:
barevně aţ 22 str./min.;
černobíle aţ 22 str./min.
o Rychlost kopírování/tisku A3:
barevně aţ 14 str./min.;
černobíle aţ 14 str./min.
o Rozlišení při kopírování:
600 x 600 dpi.
o Rozlišení při tisku:
ekvivalent 1 800 x 600 dpi (standardní);
1 200 x 1 200 dpi (maximální).
Skener: o Rychlost skenování:
barevně aţ 160 obr/min (300 dpi, z podavače);
černobíle aţ 160 obr/min (300 dpi, z podavače).
o Rozlišení skeneru:
maximálně: 600 x 600 dpi.
o Reţimy skenování:
114
síťový TWAIN114;
skenování do e-mailu;
skenování do FTP;
Skenování do schránky;
skenování do USB.
TWAIN - Toolkit Without An Interesting Name - Standardizované rozhraní ovladačů scannerů.
74
4.8
Návrh stavebních úprav
Vybraná místnost pro umístění serveru nesplňuje kvalitativní poţadavky pro bezpečný a plynulý provoz. Z tohoto důvodu bude zapotřebí provést dílčí stavební úpravy spočívající zejména v nové povrchové úpravě stěn a stropu formou nataţení nové sádrové omítky. Strop bude proveden v sádrokartonovém podhledu o tloušťce 12,5 mm v nehořlavém standardu dle normy ČSN115 EN 15725. Malba bude provedena barvou, která neváţe prachové částice např. DULUX Satin. Dále bude nutné provést opravu podlahové plochy ideálně poloţením antistatického speciálního linolea na předem připravený nový betonový podklad se zvýšenou pevností BP30 z důvodu původního dřevěného podkladu z desek OSB28. Místnost je situována v podkroví budovy a není osazena střešním oknem, coţ značně sniţuje moţnosti chlazení a větrání prostoru. Z tohoto důvodu bude nutné, nejen v letních měsících, místnost temperovat. Podkrovní část administrativní budovy je plně osazena klimatizačními jednotkami s výjimkou vybrané místnosti pro umístění serveru. Pro tento účel bude pořízena nová nástěnná klimatizační jednotka Panasonic KIT-RE12RKE s výkonným prachovým a antibakteriálním filtrem pro zachycení virů, bakterií a plísní. V místnosti jsou instalovány základní elektrické rozvody. Před instalací racku bude zapotřebí dokončit rozšíření zásuvkového pole a osazení nového jističe do rozvodné skříně.
4.9
Návrh umístění zařízení
V 1. patře jsou kanceláře obchodního oddělení. Celkově na patře sedí 8 zaměstnanců, kteří se můţou připojit k firemní síti UTP kabelem nebo pomocí bezdrátové sítě. Kaţdé pracovní místo je vybaveno jedním IP telefon a stanicí. Chodby a hlavní vchod do budovy je monitorován kamerovým systémem. Multifunkční tiskárna je umístěna na chodbě tak, aby k ní měl kaţdý ze zaměstnanců přístup. Dále se v prvním patře nachází rozvodná skříň, ze které jsou zasíťovány kanceláře v 1. a 2. patře. Jednotlivé rozmístění ICT je na obrázku č. 26.
115
ČSN – Česká technická norma.
75
Obrázek č. 26: Rozmístění ICT infrastruktury v 1. NP
Zdroj: vlastní zpracování
Ekonomické oddělení sekretariát společnosti sídlí ve druhém nadzemním poschodí hlavní administrativní budovy. Celkově je na patře 8 pracovních pozic. Kaţdá pozice je, stejně jako v prvním patře, vybavena VoIP telefonem a desktopem nebo laptopem. IP kamery monitorují ve druhém patře prostory chodby a místnost sekretariátu, kde se často zdrţují návštěvy. Všichni uţivatel a hosté můţou vyuţít bezdrátové sítě, která pokrývá celé patro. Tiskové, kopírovací a skenovací poţadavky zaměstnanců zajistí multifunkční tiskárna umístěná na chodbě.
76
Obrázek č. 27: Rozmístění ICT infrastruktury v 2. NP
Zdroj: vlastní zpracování
Třetí patro je určené pro management společnosti. S tímto ohledem jsou uzpůsobeny i jednotlivé místnosti. Na 3. patře se nachází pouze trojice pracovních stanic a IP telefonů. Síťová multifunkční tiskárna je umístěna v prostorách chodby. IP kamery snímají schodiště a chodbu propojující jednotlivé kanceláře. Poslední patro je taktéţ pokryto bezdrátovým signálem. Navrhované nové umístění serveru je situované právě do nejvyššího patra budovy z důvodu preventivních opatření do místnosti s rozvodovou skříní. Serverovna projde celkovou rekonstrukcí a bude plně klimatizovaná s udrţováním stabilní teploty a vlhkosti. Nad serverem nejsou vedeny ţádné další inţenýrské sítě, které v případě havárie neohrozí provoz serveru.
77
Obrázek č 28: Rozmístění ICT infrastruktury v 3. NP
Zdroj: vlastní zpracování
4.10 Schéma
navrhované
ICT
infrastruktury
společnosti
Finapra a.s. Navrhovaná infrastruktura ICT rozdělena na dvě základní části. První část je síťová infrastruktura centrály společnosti s hlavním serverem, zálohovým serverem, telefonní ústřednou a kamerovým systémem. Druhá část představuje síťovou infrastrukturu poboček, které jsou propojeny s centrálou pomocí VPN připojení. ICT infrastruktura centrály je potom dále fyzicky rozdělena na dvě části. První část zastupuje stojanový rozvaděč v 1. NP, ke kterému jsou připojeny pracovní stanice, IP telefony a tiskárny v prvních dvou patrech budovy a současně i odděluje a zabezpečuje celou firemní síť od internetu. Druhou částí je stojanový rozvaděč ve 3. NP, ke kterému jsou navíc oproti racku v prvním patře, připojeny IP kamery s NVR, NAS server a telefonní ústředna. Součástí racku ve třetím patře je i jediný hlavní fyzický server společnosti, jenţ provozuje dva virtuální servery. Schéma navrhované ICT infrastruktury společnosti je na obrázku č. 29. 78
Obrázek č. 29: Schéma navrhované ICT infrastruktury společnosti Finapra a.s.
Zdroj: vlastní zpracování
Nákupní ceny pořízeného hardwarového a softwarového vybavení jsou uvedeny v tabulkách v kapitole Finanční kalkulace řešení.
4.11 Nastavení jednotlivých síťových prvků řešení Praktické ukázky nastavení síťových prvků řešení jsou součástí příloh této diplomové práce. Následující podkapitoly obashují popisky k přílohám.
4.11.1 Nastavení Cisco ASA5505 Příloha č. 1 zobrazuje firewallová pravidla, jeţ povolují jen ty nejnutnější příchozí pravidla, tedy komunikaci na Mail server, HTTPS na aplikační server a klienta pro kamerový systém. Veškerá ostatní komunikace je realizována přes VPN. Příloha č. 2 představuje NAT pravidla, která usměrňují příchozí komunikaci. Zajímavostí je, ţe ASA5505 dokáţe směrovat HTTPS jak na Mail server, tak i na Aplikační server (Pohoda SQL). Nutností je ovšem přiřazení více veřejných IP adres od poskytovatele internetu.
79
Příloha č. 3 zahrnuje routovací tabulku pro správné fungování jednotlivých VLAN116. Příloha č. 4 je nastavení pouţití RADIUS server pro autorizaci VPN. Příloha č. 5 ukazuje, jak má společnost Cisco v IOSu (operační systém routeru od Cisca) řešeno VPN připojení, v tomto případě profil pro vzdálenou správu pro společnost Stormware (Pohoda SQL). Na základě Access listu se Stormware dostane pouze na Aplikační server a nikam jinam. Ostatní Access listy jsou příznačně pojmenovány, takţe je na první pohled patrné, jaké jsou nastaveny přístupy.
4.11.2 Natavení Cisco SG300-28MP v 1. patře a 3 patře Příloha č. 6 zobrazuje nastavení přepnutí switche do L3 modu – L3 mode není nic jiného neţ switche, který umí směrovat, má funkci switche i routeru, umoţňuje vytváření VLAN. Příloha č. 7 poskytuje definici VLAN. Příloha č. 8 ukazuje přiřazení portů. Příloha č. 9 definuje adresní prostor. Příloha č. 10 představuje access list, který zamezuje hostům vstup do vnitřní sítě. Tento access list se pouţije vţdy na port, ke kterému je připojen AP.
116
VLAN - Virtual Local Area Network – Virtuální lokální síť.
80
5 Finanční kalkulace řešení 5.1
Ceny zakoupeného hardwaru
Souhrn a ceny všech hardwarových prvků navrhované ICT infrastruktury pro společnost Finapra a.s. zobrazuje tabulka č. 7. Tabulka č. 7: Ceny zakoupeného HW
Zakoupený HW
Cena/ks
Počet kusů
Cena celkem
DELL PowerEdge R510, 2x Xeon E5620, 2,4 GHz, 32 GB RAM, 2x300 GB SAS RAID 1 (Systém), 4x500 GB SATA RAID 10 (Data)
82 830 Kč
1
82 830 Kč
Synology DS414 Bosch DIVAR IP 2000 DIP-204EZ4HD Bosch FLEXIDOME IP Indoor 5000 Bosch FLEXIDOME IP Outdoor 5000 WD Red 2TBWD20EFRX DELL Inspiron SE-7720 DELL Inspiron 7537 Lenovo TP Edge E530 Lenovo Ideapad B580 Lenovo TP Edge E531 Toshiba Portege 7930-12C PC Blueline 5000 SFF Dell LED 27" U2711 Philips LCD 22" 226V4LAB UPS Smart 1000 VA Rack Mount Cisco ASA5505-50-BUN-K9 Cisco ASA5505-BUN-K9 Cisco SG300-28MP-K9-EU Cisco SG300-10MP-K9-EU Mikrotik RB750 IP telefon Alcatel 4018 IP telefon Alcatel 4028 IP telefon Alcatel 4038 UBNT UniFi AP, Long Range 3 pack
10 490 Kč 32 016 Kč 11 790 Kč 13 568 Kč 2 340 Kč 22 108 Kč 18 945 Kč 14 310 Kč 9 653 Kč 15 911 Kč 31 577 Kč 9 348 Kč 15 656 Kč 2 380 Kč 9 336 Kč 12 251 Kč 6 519 Kč 20 576 Kč 10 971 Kč 929 Kč 3 200 Kč 5 700 Kč 7 400 Kč 6 293 Kč
1 1 7 3 8 1 1 1 2 1 1 8 2 6 1 1 3 3 3 4 8 11 1 2
10 490 Kč 32 016 Kč 82 530 Kč 40 704 Kč 18 720 Kč 22 108 Kč 18 945 Kč 14 310 Kč 19 306 Kč 15 911 Kč 31 577 Kč 74 784 Kč 31 312 Kč 14 280 Kč 9 336 Kč 12 251 Kč 19 557 Kč 61 728 Kč 32 913 Kč 3 716 Kč 25 600 Kč 62 700 Kč 7 400 Kč 12 586 Kč
Celkem za HW Zdroj: vlastní zpracování
81
757 610 Kč
5.2
Ceny zakoupených softwarových licencí
Společnost Finapra a.s. zakoupila v roce 2014 tyto licence: Microsoft Windows Server 2008 OEM CZ + 5 uţivatelských licencí. CA ARCserver D2D pro Windows SBS. Microsoft Windows 8 Pro 64 bit pro jednoho uţivatele. Microsoft Windows 7 Pro 64 bit pro 6 uţivatelů. Microsoft Windows 7 Pro 64 UPG. pro 5 stanic. Microsoft Office 2010 CZ Home and Business pro 5 uţivatelů. NO32 Antivirus na 1 rok pro 15 uţivatelů. Tabulka č. 8: Ceny zakoupených SW licencí
Zakoupené SW licence
Cena/ks
Počet kusů
Cena celkem
MS WINDOWS 2008 SVR OEM CZ + 5 CAL CA ARCSERVER D2D FOR WIDNOWS SBS MS WINDOWS 8 PRO 64 BIT MS WINDOWS 7 PRO 64 BIT MS WINDOWS 7 PRO 64 BIT UPG. MS OFFICE 2010 CZ HOME A BUSINESS NOD32 ANTIVIRUS 1YR, 15 NODES
13 660 Kč 9 018 Kč 2 686 Kč 2 736 Kč 2 500 Kč 3 972 Kč 10 545 Kč
1 1 1 6 5 5 1
13 660 Kč 9 018 Kč 2 686 Kč 16 416 Kč 12 500 Kč 19 860 Kč 10 545 Kč
Celkem za SW licence
84 685 Kč
Zdroj: vlastní zpracování
Společnost vlastní jiţ dříve zakoupenou licence pro Microsoft Windows Small Business Server 2008.
5.3
Ceny odebíraných sluţeb
5.3.1
Přehled cen za připojení k internetu
Následující tabulka uvádí veškeré měsíční náklady spojené s připojením jednotlivých lokalit k internetu. Výsledná měsíční částka je suma všech měsíčních paušálních poplatků za jednotlivé lokality. V tabulce je i uvedena cena aktivace. Aktivaci představují náklady na vybudování přípojky, náklady na anténní zařízení, router, UPS a další výdaje spojené
82
s počátečním zřízením sluţeb. Veškeré náklady na zřízení, v našem případě, nese dodavatel poskytovaných sluţeb, tedy společnost T-Mobile. Tabulka č. 9: Přehled cen za připojení k internetu pro jednotlivé lokality
Lokalita Poděbradská 173/5, Praha 9 Přístupový bod Primární připojení Přístup k internetu Primární připojení Lokality Turnov, Plzeň, Liberec Přístup k internetu
Parametry MW připojení 16/16 Mbps, bez agregace
Ceny Cena aktivace Měsíční paušál Cena aktivace Měsíční paušál
Parametry VDSL připojení, agregace 1:50 Cena za přípojku - 437 Kč Celkem měsíčně
0 Kč 1 000 Kč 0 Kč 3 500 Kč
Ceny Cena aktivace
0 Kč
Měsíční paušál
1 311 Kč 5 811 Kč
Zdroj: T-Mobile Czech Republic a.s. a vlastní úprava
5.3.2
Přehled cen za upgrade stávající telefonní ústředny
Součástí dodávky telekomunikační sluţeb je upgrade stávající ústředny. Vysoká pořizovací cena systému Alcatel OmniPCX Enterprise se po dohodě s T-Mobilem rozloţila do pravidelných měsíčních splátek po dobu 36 měsíců s následným odkupem zařízení v hodně 1,- Kč. V ceně měsíčního paušálu je kompletní SLA. Tabulka č. 10: Přehled plateb za telefonní ústřednu
Služba
Parametry
Dodávka ICT řešení Dodávka a správa Alcatel OmniPCX Enterprise vč. SLA
Upgrade stávající ústředny (Alcatel 4400) o systém Alcatel OmniPCX Enterprise
Ceny Cena aktivace
0 Kč
Měsíční paušál
8 900 Kč
Celkem měsíčně
8 900 Kč
Zdroj: T-Mobile Czech Republic a.s. a vlastní úprava
5.3.3
Přehled cen za pevné hlasové sluţby
Zaměstnanci vyuţívající VoIP telefony budou telefonovat skrz novou telefonní ústřednu dle cen uvedených v tabulce č. 11. Cena za připojení VoIP telefonu do navrhovaného systému je za symbolickou 1,- Kč.
83
Tabulka č. 11: Přehled cen za pevné hlasové sluţby
Pevné hlasové sluţby - národní hovory ProfiNet: paušální poplatek – pevné hlasové sluţby ProfiNet: hovorné v 1) PPS ProfiNet: hovorné do sítě T-Mobile ProfiNet: hovorné do ostatních mobilních sítí v rámci ČR ProfiNet: hovorné do pevných sítí v rámci ČR ve špičce mimo špičku Tarifikace - minimální účtovaný interval [s] Pevné hlasové sluţby - mezinárodní hovory - zóna
Výše poskytnuté slevy
ProfiNet: Mezinárodní volání - zóna 1 Slovensko, Německo, Polsko, Rakousko
Výše poskytnuté slevy 100% 100% 20% 35%
Cena po slevě (Kč/min)
45%
0,00 Kč 0,00 Kč 2,40 Kč 2,93 Kč 0,66 Kč
0,39 Kč 60+1 Pevné sítě Mobilní sítě Cena po slevě Cena po slevě (Kč/min) (Kč/min)
30%
1,40 Kč
3,43 Kč
Zdroj: T-Mobile Czech Republic a.s. a vlastní úprava
5.3.4
Přehled cen za multifunkční tiskárny Konica Minolta
Nabídka společnosti Konica Minolta počítá s pronájmem zařízení na dobu 48 měsíců. Podmínky pronájmu multifunkční tiskáren Bizhub C224e dle výše uvedené konfigurace jsou v následující tabulce. Samostatná pořizovací cena jedné sestavy je 71 500,- Kč. Tabulka č. 12: Cenová kalkulace za pronájem za pronájem Bizhub C224e
Typ zařízení
Počet zařízení
Měsíční platba/zařízení
Měsíční platba celkem
Bizhub C224e
6
1 500 Kč
9 000 Kč
Stánkové sluţby
Formát papíru
Cena za stranu
Černobílá Barevná
A4 A4 Jednorázová platba/sluţba
0,20 Kč 1,20 Kč Jednorázová platba celkem
3 000 Kč
18 000 Kč
Sluţba
Počet
Montáţ Dopravné
6
Zdroj: Konica Minolta a vlastní úprava
84
5.4
Cena stavebních úprav a vybavení
Ceny veškerého spotřebovaného materiálu a práce na rekonstrukci serverovny včetně pořízení a montáţe klimatizační jednotky činí 136 258,- Kč. Podrobný rozpočet materiálu a práce zobrazuje tabulka č. 13. Tabulka č. 13: Zjednodušený rozpočet stavebních úprav serverovny
Popis Úprava povrchů vnitřní Omítka vnitřní zdiva, MVC, štuková Omítka vnitřní stropů rovných, MVC, štuková Podlahy a podlahové konstrukce Mazanina betonová tl. 6 cm C 16/20(B 20) Konstrukce sádrokartonové - půdní vestavba SDK GKB s poţární odolností do 30 min Izolace proti vodě a vlhkosti Izolace proti vlhkosti svis. nátěr Bornit, za studena Izolace proti vlhkosti vodor. nátěr Bornit za studena Konstrukce truhlářské + výplně otvorů D+M vstupní dveře 900/2350 P12 Osazení zárubní dveřních dřevěných, pl. do 2,5 m2 Zárubeň obklad. Sapeli š. 80 cm Podlahy vlysové a parketové Podlaha laminátová tl. 8 mm Montáţ podlahové lišty připevněné vruty, výš. 6 cm + dodávka Malby Malba DULUX Satin, penetrace 1x, bílá 1x Elektromontáţe Spínač zapuštěný sériový Zásuvka domovní nástěnná Svítidlo zářivkové D+M krabice Krone BOX Krabice přístrojová D+M Rozvaděč RS Kabel CYKY 750 V 3x2,5 mm2 uloţený pod omítkou Revize Elektro Klimatizace Panasonic KIT-RE12RKE Celkem Zdroj: vlastní zpracování
85
Dodávka 1 813 Kč 1 349 Kč 464 Kč 954 Kč 954 Kč 2 700 Kč 2 700 Kč 387 Kč 322 Kč 66 Kč 22 999 Kč 18 000 Kč 45 Kč 4 954 Kč 4 231 Kč 2 731 Kč
Náklady Montáţ 8 676 Kč 6 845 Kč 1 832 Kč 297 Kč 297 Kč 6 845 Kč 6 845 Kč 508 Kč 415 Kč 93 Kč 2 157 Kč 2 000 Kč 157 Kč 0 Kč 1 408 Kč 897 Kč
Celkem 10 489 Kč 8 193 Kč 2 296 Kč 1 251 Kč 1 251 Kč 9 545 Kč 9 545 Kč 896 Kč 737 Kč 159 Kč 25 155 Kč 20 000 Kč 202 Kč 4 954 Kč 5 638 Kč 3 627 Kč
1 500 Kč
511 Kč
2 011 Kč
854 Kč 854 Kč 30 805 Kč 132 Kč 0 Kč 4 108 Kč 700 Kč 55 Kč 25 000 Kč 810 Kč 0 Kč 27 200 Kč 27 200 Kč
1 151 Kč 1 151 Kč 16 274 Kč 112 Kč 1 011 Kč 576 Kč 250 Kč 160 Kč 3 000 Kč 1 165 Kč 10 000 Kč 7 000 Kč 7 000 Kč
2 005 Kč 2 005 Kč 47 079 Kč 245 Kč 1 011 Kč 4 684 Kč 950 Kč 215 Kč 28 000 Kč 1 975 Kč 10 000 Kč 34 200 Kč 34 200 Kč 136 258 Kč
6 Zhodnocení a závěr Diplomová práce poskytuje základní charakteristiku jednotlivých prvků infrastruktury ICT, IP telefonie, kamerového systému a zabezpečení datové komunikace. Cílem této práce byl návrh ICT infrastruktury pro společnost Finapra a.s. Součástí práce je analýza ICT vybavení společnosti s cílem odhalit slabá místa. Dalším cílem bylo vybrání konkrétních prvků řešení a poskytnout finanční kalkulaci navrhovaného řešení. V teoretické části byly obecně popsány jednotlivé topologie sítí, vrstvy modelu ISO/OSI a hardwarové i softwarové síťové prvky. Podstatnou část teorie zaujímá vysvětlení základních principů fungování IP telefonie a kamerového systému. Nechybí ani vysvětlení dělení softwarových síťových prvků. První hlavní kapitola praktické části se práce zaměřuje na analýzu současného stavu infrastruktury ICT společnosti Finapra a.s. Součástí kapitoly bylo představení a rozklíčování základních činností společnosti. Analýza měla za cíl odhalit kritická místa, která negativně ovlivňují plynulé fungování společnosti. Prvním váţným zjištěním bylo odhalení velmi slabého zabezpečení. Původní server společnosti, který slouţil jako mail a file server, nebyl ţádným způsobem zálohován. Jedinou ochranou pro server byly disky v zapojení RAID 1. Další významnou hrozbou je nepřítomnost UPS. Analýza dále rozkryla další bezpečnostní nedostatek v nedostatečném zabezpečení budovy. Centrála společnosti disponuje pouze pohybovými čidly napojenými na pult centrální ochrany. Video záznam o pohybu osob v ně budovy i mimo ni nezaznamenává ţádný kamerový systém. Vedení společnosti a především majitel nemá fakticky ţádný přehled o dění na pracovišti. Navíc kamerový systém má převáţně preventivní účinky a odradí nejednoho zločince. Podkapitola analýza ICT infrastruktury identifikuje podstatné vlastnosti internetového připojení a hardwarového a softwarového vybavení. Z rozboru vyplývá několik rizikových elementů. První slabé místo představuje internetové připojení, jeţ nemá licencované pásmo. V husté městské zástavbě můţe mít tento faktor fatální důsledky pro současné mikrovlnné připojení, které v případě výstavby výškové budovy v trase znemoţní přímé spojení s vysílačem. Závěr kapitoly je věnován krátkému hodnocení situace a předkládá schéma současné ICT infrastruktury společnosti Finapra a.s.
86
Nejobsáhlejší kapitola praktické části navrhuje konkrétní řešení infrastruktury ICT podle poţadavků společnosti. V první podkapitole je výběr konkrétní kabeláţe určené pro zasíťování budovy, datových zásuvek a aktivních prvků sítě zajišťující komunikace ve firemní síti i mimo ni. Ve druhé podkapitole byla přestavena nabídka na dodávku IP telefonie, která zahrnuje upgrade staré telefonní ústředny, výběr z IP telefonů, servis a SLA, od společnosti T-Mobile Czech Republic a.s. Třetí podkapitola se zabývala výběrem a nasazením kamerového systému včetně softwaru od výrobce Bosch. Překládá i alternativní řešení pro záznam pořízeného videa z IP kamer. Cílem čtvrté kapitoly bylo navrţení zabezpečení datové komunikace, server, stanic a sítě a ochrana dat. Navrhuje způsob pouţívání hesel, šifrování a certifikátů. Pátá podkapitola je věnována zvolenému serverovému řešení od společnosti Dell, navrţení virtualizace na novém serveru a výběru operačních systémů a záloţní NAS server. Závěrečné kapitoly byly věnovány výběru internetové konektivitě od společnosti T-Mobile a multifunkčních tiskáren do společnosti Konica Minolta. Úplný závěr kapitoly byl věnován návrhu stavebních úprav serverovny, návrhu umístění klientských stanic, VoIP telefonů, IP kamer, AP, tiskáren a rozvodných skříní a praktické ukázce z nastavení aktivních síťových prvků od společnosti Cisco, SG300 a ASA5505. Tato poslední část přináší velice důleţité informace o nastavení firewallu, rozdělení VLAN, přiřazení portů, VPN připojení, routovacích tabulek, NAT pravidel a definice adresního prostoru. Bez výše uvedeného nastavení by navrhovaná síť nemohla správně fungovat. Finanční kalkulace řešení je závěrečnou kapitolou praktické části. Jak jiţ z názvu vyplývá, obsahem kapitoly jsou tabulky pojednávající o jednorázových nákladech spojených s pořízením hardwaru, softwaru či stavebními úpravami, ale i cenové přehledy za měsíční paušální sluţby, jako jsou internetová konektivita, splátka a servis telefonní ústředny, pronájem multifunkčních tiskáren nebo přehled cen za pevné hlasové sluţby. Cílem bylo vybrat takové zařízení, které nebude nejlevnější ani nejdraţší, ale které dokáţe zajistit trvalý bezproblémový provoz a splní zadané poţadavky. Při zpracování konkrétních prvků řešení docházelo často k obtíţnému rozhodování mezi několika variantami. Na trhu s informačními technologiemi je obrovská konkurence. Nikdy se nedá s jistotou říci, které řešení či výrobce je nejlepší. Hned při výběru aktivních síťových prvků vyvstala otázka o výrobci hardwaru. Cisco je sice nejrozšířenější značkou ve firemním segmentu, ovšem konkurence nabízí zajímavější cenovou politiku. Rozhodují zde nepatrné 87
odlišnosti mezi výrobky, jimiţ jsou kvalitní operační systémy, podrobná nastavení, přívětivá uţivatelská rozhraní, servis, technická podpora, nízká poruchovost a mnohé další. V případě IP telefonie je rozhodování ještě daleko sloţitější. Nejenţe existuje celá řada kvalitních výrobců VoIP telefonů a telefonních ústředen, ale v posledních letech se virtualizace telefonní ústředny stala zcela běţnou součástí IP telefonie. Výběr poskytovatelů virtuálních telefonních ústředen je značná, i T-Mobile takovou moţnost nabízí a je poměrně zajímavá. Bohuţel vedení společnosti chová jistou antipatii a aţ nechuť vyvádět infrastrukturu ICT mimo společnost. Upřednostňuje raději fyzické umístění zařízení v ně firmy i za cenu vyšších pořizovacích a provozních nákladů. Výběr kamerového systému je na tom obdobně. Výrobců a dodavatelů CCTV působí na trhu spousty a pro kaţdý případ, existuje trochu odlišné řešení. Největším konkurenty navrţeného kamerového systému od společnosti Bosch jsou výrobci Axis, Vivotek a Hikvision. Alternativní řešení záznamu a ukládání pořízeného obrazu z IP kamer bylo popsáno v téţe kapitole. Pokračovat se dá i u serverového řešení, kde hlavními konkurenty jsou Hewlett Packard, Lenovo, Fujitsu a IBM. Další moţností je pronájem virtuálního serveru neboli outsourcing serveru. Tato moţnost by nezískala podporu u vedení společnosti. Naopak jednoznačnou volbou jsou dodavatelé internetové konektivity a multifunkčních tiskáren. Obě společnosti předloţily naprosto bezkonkurenční nabídky v poměru cena/výkon. Bezesporu lze konstatovat, ţe existují lepší varianty řešení. Některé z nich ale nenajdou podporu a pochopení u vedení společnosti nebo by představovaly výrazně vyšší náklady na pořízení a provoz. Lze určitě uvaţovat o redundantním připojení k internetu, napájení serveru či zálohování serveru do cloudu provozovaného externí firmou. Nakonec si lze myslet, ţe navrhované řešení infrastruktury ICT pro společnost Finapra a.s. není vhodné. Opak je pravdou a důkazem je realizace navrhovaného serverového řešení, IP telefonie, internetové konektivity, multifunkčních tiskáren, stavebních úprav i rozmístění ICT v letech 2014 a 2015.
88
Seznam pouţité literatury Tištěná monografie 1. HORÁK, Jaroslav a Milan KERŠLÁGER. Počítačové sítě pro začínající správce. 5., aktualiz. vyd. Brno: Computer Press, 2011. ISBN 978-80-251-3176-3. 2. KABELOVÁ, Alena a Libor DOSTÁLEK. Velký průvodce protokoly TCP/IP a systémem DNS. 5., aktualiz. vyd. Brno: Computer Press, 2008, 488 s. ISBN 97880-251-2236-5. 3. ODOM, Wendell, Rus HEALY a Naren MEHTA. Směrování a přepínání sítí: autorizovaný výukový průvodce. Vyd. 1. Brno: Computer Press, 2009, 879 s. Samostudium. ISBN 978-80-251-2520-5. 4. PUŢMANOVÁ, Rita. Bezpečnost bezdrátové komunikace: Jak zabezpečit Wi-Fi, Bluetooth, GPRS či 3G. 1. vydání. Brno: CP Books, 2005. 179 s. ISBN 80-2510791-4. 5. RUSSEL, Charlie a Sharon CRAWFORD. Microsoft Windows Server 2008: velký průvodce administrátora. Vyd. 1. Brno: Computer Press, 2009, 1271 s. Administrace (Computer Press). ISBN 978-80-251-2115-3. 6. STANEK, William R a Sharon CRAWFORD. Microsoft Windows Server 2008: kapesní rádce administrátora. Vyd. 1. Brno: Computer Press, 2008, 704 s. Administrace (Computer Press). ISBN 978-80-251-1936-5. 7. ZANDL, Patrick. Bezdrátové sítě Wi-Fi. Praktický průvodce. 1. vydání. Brno: Computer Press, 2003. 204s. ISBN 80-7226-632-2. 8. ZÍTKO, Michal. Microsoft Windows Small Business Server 2008 - řešení pro malé a střední firmy. Praha, 2012. Bakalářská práce. BIVS. Vedoucí práce Ing. Vladimír Beneš.
Články odborných periodik
89
1. DĚDIČEK, Dominik. Postavte si vlastní Wi-Fi síť. Jak na počítač. Číslo 7/2011. Str. 33-36. 2. TREJBAL, Tomáš. Quo vadis cloud computing. Computerworld. 2011, 6, s. 11. ISSN 1210-9924 3. VENEZIA, Paul. Nahradí virtuální desktopy fyzické?. Computerworld. 2011, 3, s. 17-19. ISSN 1210-9924. 4. ŠVÁBENSKÝ, Mojmír. Stavovské listiny, 1212-1847: katalog : A1 [online]. Brno: Státní archiv v Brně, 1965, x64, 594 s., [10] l. obr. příl. [cit. 2015-06-29]. Inventáře a katalogy fondů Státního archivu v Brně, č. 22. ISSN 1212-0901.
Zákony 1. Zákon č. 101/200 sb., Zákon o ochraně osobních údajů a o změně některých zákonů.
[online].
2000.
[cit.
2015-04-07].
Dostupné
z:
.
Internetové zdroje 1. MANAGEMENTMANIA.COM LLC. Managementmania.com [online]. [cit. 2015-03-06]. Dostupné z: . 2. NetRex
s.r.o.
[online].
[cit.
2015-03-10].
Dostupné
z:
. 3. Ověřování a certifikáty pro síťový přístup. In: Ověřování a certifikáty pro síťový přístup [online]. [cit. 2015-06-25]. Dostupné z: . 4. T-MOBILE CZECH REPUBLIC A.S. Nabídka komplexních telekomunikačních sluţeb T-Mobile ProfiNet pro společnost Finapra a.s.: Profesionální řešení Internetových a hlasových sluţeb T-Mobile ProfiNet [online]. Praha, 2013, 29 s. [cit. 2015-06-20]
90
5. Konica Minolta. Obchodní nabídka pro zákazníka Finapra a.s.: Cenová nabídka zařízení a sluţeb [online]. Praha, 2014, 17 s. [cit. 2015-06-20] 6. Úřad pro ochranu osobních údajů. Www.uoou.cz [online]. 2013 [cit. 2015-06-15]. Dostupné
z:
pracovisti1/d-1742>. 7. Firewall Cisco ASA. Webhosting, Cloud a Dedikované servery- OVH [online]. 2015
[cit.
2015-06-10].
Dostupné
z:
. 8. PB pro SŠ. BOUCHALA, Petr. PB pro SŠ [online]. 1999 [cit. 2015-06-29]. Dostupné z: http://boucpe.wz.cz/index.htm. 9. Alza.cz
a.
s.
Alza
[online].
2012
[cit.
2012-07-02].
Dostupné
z:
[online].
2012
[cit.
2012-07-02].
Dostupné
z:
[cit.
2012-07-02].
Dostupné
z:
. 10. CZC.cz
s.r.o.
CZC
. 11. Microsoft
Corporation
[online].
2012
<www.microsoft.com>. 12. Topologie sítí. Hardware počítačových sítí [online]. 2012 [cit. 2015-06-19]. Dostupné z: . 13. Topologie počítačových sítí. Topologie sítí [online]. 1999 [cit. 2015-06-19]. Dostupné z: . 14. Aktivní síťové prvky. UNIS COMPUTERS - Networking & Communications< [online]. 2010 [cit. 2015-06-07]. Dostupné z: . 15. Co přesně znamená pojem Client - server? | TŘEŠTÍK. Firma TŘEŠTÍK [online]. 2011 [cit. 2015-06-16]. Dostupné z: .
91
16. o je IP kamera. NetRex - Inteligentní dohledové systémy [online]. 2015 [cit. 201506-16].
Dostupné
z:
kamery/co-je-ip-kamera/>. 17. Co je to IP kamera, síťová kamera, webkamera. IP kamery pro zabezpečovací a dohledové systémy | netcam.cz [online]. 2015 [cit. 2015-06-16]. Dostupné z: . 18. NVR záznamové zařízení. Kamerové systémy CCTV | AZ TOTALSERVIS s.r.o. [online].
2015
[cit.
2015-06-16].
Dostupné
z:
kamerove.com/nvr-zaznamove-zarizeni/>. 19. Bezpečnost dat v praxi. Ekonomické a informační systémy v praxi [online]. 2015 [cit. 2015-06-29]. Dostupné z: . 20. Ochrana IT infrastruktury v akademickém prostředí. Security Revue; International magazine for security engineering [online]. 2015 [cit. 2015-06-16]. Dostupné z: . 21. DIVAR IP 2000. Bosch worldwide [online]. 2015 [cit. 2015-06-29]. Dostupné z: . 22. Zásuvka Solarix CAT6 STP 2 x RJ45 pod omítku bílá SX9-2-6-STP-WH. Kabeláţ Strukturovaná.cz
[online].
2015
[cit.
2015-06-29].
Dostupné
z:
. 23. Single Mode vs. Multi-Mode Fiber Optic Cable. Ulticom | Video, Data & Voice Solutions
[online].
2015
[cit.
2015-06-29].
Dostupné
z:
.
92
24. Ověřování a certifikáty pro síťový přístup. Microsoft TechNet: Materiály pro IT odborníky
[online].
2015
[cit.
2015-06-29].
Dostupné
z:
.
Seznam obrázků Obrázek č. 1: Sběrnicová topologie.......................................................................................... 11 Obrázek č. 2: Hvězdicová topologie......................................................................................... 11 Obrázek č. 3: Kruhová topologie.............................................................................................. 12 Obrázek č. 4: Stromová topologie ............................................................................................ 12 Obrázek č. 5: Kroucená dvojlinka a konektor RJ-45................................................................ 17 Obrázek č. 6: Optický kabel ..................................................................................................... 18 Obrázek č. 7: Schéma funkcí NVR .......................................................................................... 23 Obrázek č. 8: Dell PowerEdge T20 .......................................................................................... 33 Obrázek č. 9: Současné schéma ICT infrastruktury společnosti Finapra a.s. ........................... 38 Obrázek č. 10: Switche Cisco SG300-28MP-K9-EU............................................................... 42 Obrázek č. 11: Access point UBNT UniFi AP ......................................................................... 42 Obrázek č. 12. Router a firewall ASA5505-50-BUN-K9 ........................................................ 43 Obrázek č. 13: Schéma řešení komunikačního systému Alcatel OmniPCX Enterprise ........... 45 Obrázek č. 14: Alcatel 4018 ..................................................................................................... 48 Obrázek č. 15: Alcatel 4028 ..................................................................................................... 48 Obrázek č. 16: Alcatel 4038 ..................................................................................................... 49 Obrázek č. 17: Bosch DIVAR IP 2000 DIP-204EZ4HD ......................................................... 55 Obrázek č. 18: Schéma nasazení systému Ateas Security Professional Light ......................... 59 Obrázek č. 19: Ukázka uţivatelského prostředí Office Outlook Web Access ......................... 63 Obrázek č. 20: Správce serveru – správa zásad skupiny .......................................................... 67 Obrázek č. 21: Dell PowerEdge R510 ...................................................................................... 69 Obrázek č. 22: Schéma virtualizace serveru Dell PowerEdge R510 ........................................ 70 Obrázek č. 23: Synology DS414 .............................................................................................. 71 Obrázek č. 24: Anténní plán - pohled ....................................................................................... 72 Obrázek č. 25: Schematické obsazení stojanu společnosti Finapry a.s. v 1.NP ....................... 72 Obrázek č. 26: Rozmístění ICT infrastruktury v 1. NP ............................................................ 76 Obrázek č. 27: Rozmístění ICT infrastruktury v 2. NP ............................................................ 77 Obrázek č 28: Rozmístění ICT infrastruktury v 3. NP ............................................................. 78 Obrázek č. 29: Schéma navrhované ICT infrastruktury společnosti Finapra a.s. .................... 79
Seznam tabulek Tabulka č. 1: Popis vrstev modelu ISO/OSI ............................................................................ 13 Tabulka č. 2: Vlastnosti kroucené dvojlinky ............................................................................ 16
93
Tabulka č. 3: SLA a specifikace servisní činnosti partnerem................................................... 50 Tabulka č. 4: Technické specifikace FLEXIDOME IP outdoor 5000 ..................................... 53 Tabulka č. 5: Bosch FLEXIDOME IP outdoor a indoor 5000 ................................................. 55 Tabulka č. 6:Technická specifikace Bosch DIVAR IP 2000 DIP-2042EZ-4HD..................... 56 Tabulka č. 7: Ceny zakoupeného HW ...................................................................................... 81 Tabulka č. 8: Ceny zakoupených SW licencí ........................................................................... 82 Tabulka č. 9: Přehled cen za připojení k internetu pro jednotlivé lokality ............................... 83 Tabulka č. 10: Přehled plateb za telefonní ústřednu ................................................................. 83 Tabulka č. 11: Přehled cen za pevné hlasové sluţby ................................................................ 84 Tabulka č. 12: Cenová kalkulace za pronájem za pronájem Bizhub C224e ............................ 84 Tabulka č. 13: Zjednodušený rozpočet stavebních úprav serverovny ...................................... 85
Seznam pouţitých zkratek ANSI
American National Standards Institute - Americký národní úřad pro normalizace
AP
Access Point - Přístupový bod
API
Application Programming Interface - Programové rozhraní aplikace
AVI
Audio Video Interleave - Formát pro záznam zvuku a obrazu
CA
Cerification Authority - Certifikační autorita
CCTV
Closed Circuit Television - Uzavřený televizní okruh
CPU
Central Processing Unit - Centrální výpočetní jednotka (procesor)
CRM
Custom Relationship Management - Řízení vztahů se zákazníky
CSTA
Computer Supported Telecommunications Applications - Počítačem podporované telekomunikační aplikace
CTI
Computer Telephony Intergration - Zařízení spojující analogovou a počítačovou architekturu.
ČSN
Česká technická norma
94
ČTÚ
Český telekomunikační úřad pro výkon státní správy ve věcech stanovených zákonem včetně regulace trhu a stanovování podmínek pro podnikání v oblasti elektronických komunikací a poštovních sluţeb
DECT
Digital Enhanced Cordless Telecommunications - Standart pouţívající především pro tvorbu bezdrátových telefonních systémů
DFS
Distributed File Systém - Distribuovaný systém souborů
DHCP
Dynamic Host Configuration Protocol - Protokol pro dynamickou konfiguraci hostitelského zařízení
DIMM
Dual Inline Memory Module - Dvouřadý paměťový modul
DNS
Domain Name Server - Server doménových jmen, který překládá jméno domény na IP adresu serveru
DoS
Digital Operating Systém - Diskový operační systém
DVR
Digital Video Recorder-Elektronické zařízení nebo aplikační software, který zaznamenává video v digitálním formátu na disku nebo jiném datovém médiu
EAP-TLS
Extensible Authentication ProtocolTransport Level Security - Typ ověřování EAP (zprostředkovává konverzaci vzdáleného klienta s ověřovatelem) pouţívaný v zabezpečovacích systémech pracujících s certifikátem
EIA
Electronic Industries Association - Společnost pro elektronický výzkum
FTP
File Transfer Protocol - Protokol pro přenos souborů
GSM
Global System For Mobile Communications - Globální Systém pro Mobilní komunikaci
HD
High-Definition - Vysoké rozlišení
HDTV
High-Definition Television - Televize s vysokým rozlišením
HTTPS
Hypertext Transfer Protocol Secure - Zabezpečená verze hypertextového přenosového protokolu
HW
Hardware - Hmatatelná část počítače
95
IAS
Internet Authentication Service - Sluţba ověřování v Internetu provádí centrální ověřování, autorizaci a účtování mnoha typů přístupu k síti včetně bezdrátového připojení ověřujícího přepínače, telefonického připojení a připojení virtuální privátní sítě (VPN)
ICT
Information and Communication Technologies - Informační a komunikační technologie
IMAP
Interactive Mail Access Protocol - Interaktivní přístupový poštovní protokol
IP
Internet Protocol - Internetový protokol
IPS
Intrusion Prevention Systems - Systém detekce a prevence průniku
IPsec
Internet Protocol Security - Sada protokolů pro zabezpečení internetového protokolu
ISDN
Integrated Services Digital Network - Digitální komunikační síť s integrovanými sluţbami
ISO
International Standards Organization - Mezinárodní organizace zabývající se tvorbou norem
IT
Information Technology - Informační technologie
JPEG
Joint Photographic Expert Group - Skupina koordinující standardizaci datové komprese
L2TP
Layer 2 Tunneling Protocol - Protokol tunelového propojení pouţívaný na podporu virtuálních privátních sítí
LAN
Local Area Network, - Lokální počítačovou síť
LCD
Liquid Crystal Display - Displej s kapalnými krystaly
MAC
Media Access Control - Adresa je jedinečné číslo, které výrobce přiřadil síťovému prvku
MDI
Medium Dependent Interface - Rozhraní závislé na médiu
MJPEG
Motion Joint Picture Expert Group - Kompresní formát videa
96
MMF
Multi Mode Fiber
MPEG
Moving Picture Expert Group - Skupina pracující při ISO a IEC pro stanovení poţadavků a vytváření norem pro digitální kompresi video a audio dat
MPLS
MultiProtocol Label Switching - Pouţívá se pro urychlení cesty paketů sítí principem přepínání značek, zaloţeným na důsledném oddělení procesu směrování od vlastního předávání paketů
NAS
Network Attached Storage - Datové uloţiště v síti
NTP
Network Time Protocol - Časový protokol sítě
NVR
Network Video Recorder - Síťové záznamové zařízení a aplikační software
ONVIF
Open Network Video Interface Forum - Otevřené sdruţení výrobců v oblasti IP idea a jeho zpracování
OSI
Open Systems Interconnection - Mezinárodní standardizační program pro vývoj síťových standardů vytvořený organizacemi ISO a ITUT
PC
Personal Computer - Osobní počítač
PCL
Printer Control Leanguage - Řídící jazyk tiskárny
PCO
Pult centrální ochrany
PDA
Personal Digital Assistant - Kapesní počítač
PEAP
Protected Extensible Authentication Protocol - Protokol PEAP vytváří pomocí protokolu TLS šifrovaný kanál mezi ověřujícím klientem PEAP a ověřovacími daty PEAP nebo jiným serverem RADIUS (Remote Authentication DialIn User Service)
PoE
Power over Ethernet - Napájení po datovém síťovém kabelu
POP3
Post Office Protocol 3 - Protokol pro komunikaci poštovního klienta se SMTP serverem
PPP
Point-to-Point Protocol - Protokol dvoubodového spojení.
PPS
Privátní podniková síť
97
PPTP
Point-to-Point Tunneling Protocol - Protokol dvoubodového tunelového spojení
PS
PostScript - Jazyk popisu stránky
PSIA
Physical Security Interoperability Alliance - Globální konsorcium více neţ 65 fyzických výrobců bezpečnostních a systémových integrátorů
PTZ
Pan/Tilt/Zoom - Kamera, která umoţňuje dálkového ovládání natočení a naklánění a přibliţování a oddalování obrazu
QoS
Quality of Services - Kvalita sluţeb
RAID
Redundant Array of Independent Disks - Vícenásobné diskové pole nezávislých disků je metoda zabezpečení dat při scénáři selhání jednoho disku
RAM
Random Access Memory - Vyrovnávací paměť počítače
SATA
Seriál Advanced Technology Attachment - Sběrnice vyuţívající datové rozhraní pro připojení velkokapacitních paměťových zařízení
SBS
Small Business Server
SFP
Second Focal Plane - Osnova v druhé ohniskové rovině.
SIP
Session Initiation Protocol - Internetový protokol určený pro přenos signalizace v IP telefonii
SLA
Servis Level Agreement - Termín pro označení smlouvy sjednané mezi poskytovatelem sluţby a jejím odběratelem
SMF
Single Mode Fiber
SMS
Short message service - Systém krátkých zpráv
SMTP
Simple Mail Transfer Protocol - Jednoduchý protokol elektronické pošty
SP
Stavební povolení
SPI
Service Provider Interface - Sériové periferní rozhraní
SQL
Structured Query Language - Strukturovaný dotazovací jazyk
98
SSH
Secure Shell - Jedná se o šifrovanou komunikaci (bezpečnostní protokol) v počítačových sítích
SSID
Service Set Identifier - Identifikátor bezdrátové sítě
SSL
Secure Sockets Layer - Bezpečnostní protokol fy Netscape Communications pro přenos dat na Internetu
SW
Software - Program
TCP
Transmission Control Protocol - Přenosový řídící protokol
TDM
Time Division Multiplex - Sdílení média pomocí krátkých časových úseků
TIA
Telecommunications Industry Association - Společnost pro telekomunikační průmysl
TLR
Time Lapse Recorder - Videorekordér, který zaznamenává obraz z CCTV kamery na VHS pásku
TWAIN
Toolkit Without An Interesting Name - Standardizované rozhraní ovladačů scannerů
UDP
User Datagram Protocol - Uţivatelský datagramový protokol
ÚOOÚ
Úřad pro ochranu osobních údajů
UPS
Uninterruptible Power Supply/Source - Zdroj nepřerušovaného napájení
ÚR
Územní rozhodnutí
USB
Universal Serial Bus - Univerzální sériová sběrnice
UTP
Unshielded Twisted Pair - Nestíněná kroucená dvojlinka
VCR
VideoCassette Recorder - Kazetový videomagnetofon
VLAN
Virtual Local Area Network - Virtuální lokální síť
VoIP
Voice over Internet Protocol – Technologie umoţňující přenos digitalizovaného hlasu prostřednictvím počítačové sítě
VPN
Virtual Private Network - Virtuální soukromá síť
99
WAN
Wide Area Network - Rozlehlá počítačová síť
WAVE
Waveform Audio File Format - Zvukový formát vytvořený firmou IBM a Microsoft pro ukládání zvuku do PC
WEP
Wired Equivalent Privacy - Zabezpečení bezdrátové sítě pomocí autorizace a šifrování
WWW
World Wide Web - Celosvětová síť
XML
Extensible Markup Language - Obecný značkovací jazyk
Seznam příloh Příloha č. 1: Firewallová pravidla........................................................................................... 101 Příloha č. 2: NAT pravidla ..................................................................................................... 102 Příloha č. 3: Routovací tabulka............................................................................................... 103 Příloha č. 4: Pouţití RADISU serveru .................................................................................... 104 Příloha č. 5: Access list pro VPN ........................................................................................... 105 Příloha č. 6: Nastavení L3 modu ............................................................................................ 106 Příloha č. 7: Definice VLAN .................................................................................................. 107 Příloha č. 8: Přiřazení portů .................................................................................................... 108 Příloha č. 9: Definice adresního prostoru ............................................................................... 109 Příloha č. 10: Access list pro AP ............................................................................................ 110
100
Příloha č. 1: Firewallová pravidla
Zdroj:2010-2013Cisco Systems, Inc. All Rights Reserved a vlastní úprava
101
Příloha č. 2: NAT pravidla
Zdroj:2010-2013Cisco Systems, Inc. All Rights Reserved a vlastní úprava
102
Příloha č. 3: Routovací tabulka
Zdroj:2010-2013Cisco Systems, Inc. All Rights Reserved a vlastní úprava
103
Příloha č. 4: Pouţití RADISU serveru
Zdroj:2010-2013Cisco Systems, Inc. All Rights Reserved a vlastní úprava
104
Příloha č. 5: Access list pro VPN
Zdroj:2010-2013Cisco Systems, Inc. All Rights Reserved a vlastní úprava
105
Příloha č. 6: Nastavení L3 modu
Zdroj:2010-2013Cisco Systems, Inc. All Rights Reserved a vlastní úprava
106
Příloha č. 7: Definice VLAN
Zdroj:2010-2013Cisco Systems, Inc. All Rights Reserved a vlastní úprava
107
Příloha č. 8: Přiřazení portů
Zdroj:2010-2013Cisco Systems, Inc. All Rights Reserved a vlastní úprava
108
Příloha č. 9: Definice adresního prostoru
Zdroj:2010-2013Cisco Systems, Inc. All Rights Reserved a vlastní úprava
109
Příloha č. 10: Access list pro AP
Zdroj:2010-2013Cisco Systems, Inc. All Rights Reserved a vlastní úprava
110