Политика обработки персональных данных посетителей сайта
(С)2017 ООО "ОПТИМАЛ СИСТЕМС". Все права на содержимое страницы защищены в соответствии с четвертой частью ГК РФ
ПРИКАЗ №2021.06.18-1 от 2021.06.18
ПРИКАЗ №2021.06.18-1 от 2021.06.18 О мерах по реализации указа мэра Москвы от 12 июня 2021г. № 29–УМ «О внесении изменений в указ мэра Москвы от 8 июня 2020г. № 68–УМ»
6-18-2021
Оптимизация построения системы телефонии
Апрель, 2021 - Завершено эскизное проектирование системы офисной телефонии для частного заказчика. Задача была поставлена следующим образом:
  • На объекте имеется телефонная сеть на оборудовании Cisco Systems, снятом производителем с производства.
  • В помещениях и на уличном пространстве объекте развернута сеть подвижной радиосвязи DECT с использованием архитектуры KIRK.
  • Целью проектирования ставилось нахождение решения для модернизации данной сети, оптимального с точки зрения расходов.
Для всех рассматриваемых вариантов модернизации сети производителями анонсировался сходный набор функций: телефония, видеотелефония, функция отслеживания присутствия абонентов (Presence), функция обмена сообщениями. С точки зрения архитектуры рассматривалась оптимизация по типу сервера обработки вызовов, и используемым телефонам.  
Сервер обработки вызовов Аппаратный сервер Виртуальная машина
Подвижная сеть Wi-Fi DECT Wi-Fi DECT
Asterisk
Cisco CUCM
Avaya IP Office
      Схема целевой архитектуры телефонной сети для варианта с использованием архитектуры Cisco Systems приведена на рисунке. Особенности различных вариантов модернизации сети   1 Решение на бесплатном программном обеспечении Asterisk FreePBX Преимущества:
  • Отсутствие платных лицензий
Недостатки:
  • Необходимость использовать аппаратные телефонные аппараты и проверять их совместимость
  • Отсутствие программного клиента телефонии с бесшовной интеграцией с данной станцией
  • Отсутствие бесшовной интеграции с сетями подвижной радиосвязи
  • Отсутствие технической поддержки от производителя.
Таким образом, вариант с бесплатным ПО Free PBX был признан наиболее затратным как с точки зрения развертывания (необходимо проверять совместимость телефонов), так и с точки зрения дальнейшей эксплуатации (отсутсвие технической поддержки). Не последнюю роль в решении сыграл тот факт, что для единственного программного клиента-телефона Sangoma Connect в русскоязычной части Apple Store был лишь один отзыв, да и тот - отрицательный.   2. Решение на архитектуре Cisco Unified Communications Manager Business Edition Рассмотрены два варианта: на аппаратном сервере и в виде виртуальной машины. У обоих вариантов сразу нашелся существенный с точки зрения недостаток - необходимость платить за лицензии на обработку вызовов в течение всего срока эксплуатации системы. Существенным преимуществом решения на данной архитекутуре является наличие дополнительных служб, развернутых в рамках приобретения сервера обработки вызовов Cisco Unified Communications Manager Business Edition. Если голосовую почту, например, в современном мире используют крайне редко, то наличие системы управления Cisco Prime - это большое подспорье в работе технической службы. Добавив лицензии на управление коммутаторами/маршрутизаторами и сетью Wi-Fi, в случае использования единого вендора можно получить полноценную систему управления объектом с визуализацией неисправностей, сбором статистики и управлением конфигурациями активных сетевых устройств.   У решения на базе Cisco Systems существует программный клиент - многофункциональный телефон Cisco Jabber. Он выпускается в вариантах как для ОС Android, так и для Apple iOS. Основными функциями данной порграммы являются:
  • Установление и разрыв телефонных вызовов, использование дополнительных функций телефонии (удержание/перехват/серийное искание);
  • Книга контактов, интегрируемая со справочником LDAP, которым может служить например, контроллер домена Microsoft;
  • Отображение статуса каждого из абонентов телефонной книги (присутствие);
  • Обмен текстовыми и мультимедийными сообщениями (чат).
  [caption id="attachment_2081" align="aligncenter" width="640"] Внешний вид экрана Cisco Jabber[/caption] Если говорить о сетях подвижной связи, у Cisco Systems отсутствует обственное решение для подвижной связи на базе протокола DECT, бесшовно интегрируемое в данную архитектуру. Ткаим образом, в качестве транспорта для голосового трафикапредпочтительным является использование сети Wi-Fi . 3. Решение с применением архитектуры Avaya IP Office Для данной архитектуры сразу было принято решения использовать виртуальную среду, так как не было необходимости задействовать ни функции маршрутизации, ни модули для подключения аналоговых телефонов. Особым отличием решений от Avaya является многоуровневая обработка входящих и исходящих вызовов. Таким образом, УАТС, обслуживающую например, апарт-отель можно превратить в полнофункциональный контакт-центр с постановкой задач исполнителям, проверкой выполнения и отслеживания прогресса. Главное конкурентное преимущество данного решения состоит в том, что компания Avaya в работе с конечными заказчиками еще не перешла полностью на модель работы по подпискам. Можно приобрести "вечные" лицензии, что является с точки зрения некоторых заказчиков, бесспорной выгодой. Но вспомнив историю развития электронной отрасли вообще и связи в частности, приняв в внимание тот факт, что все производители уже научились раздавать и отзывать цифровые сертификаты на любой срок - очевидно, что это всего лишь приманка. Телефоны устареют через несколько лет, несмотря на то, что будут покрыты "вечными" лицензиями, и превратятся в памятник ошибки, сделанной инвестором. В данное решение бесшовно интегрируется система Avaya DECT с телефонными аппаратами собственной марки. Стационарные IP-телефоны Avaya традиционно, очень удобны для использования. Программный телефонный клиент Avaya IXWorkplace имеет функции, сходные с функциями Cisco Jabber за отсутствием обмена сообщениями (чат). [caption id="attachment_2010" align="aligncenter" width="640"] Внешний вид телефона AVAYA K175[/caption] 4. Выводы Установив факт примерного единообразия решений с точки зрения выполняемых функций, была сделана сравнительная таблица оценки стоимости решения на срок до 10 лет. Выводы из сравнения таковы:
  • Решение DECT существенным образом "утяжеляет" стоимость системы, притом что практически всегда на объекте существует параллельно работающая сеть Wi-Fi. Если сеть Wi-Fi построена по стандартам, подразумевающим бесшовный переход абонентского терминала из зоны действия одной точки в зону действия другой (хендовер) - она будет гораздо лучшим транспортом для голосового трафика, и на порядок более универсальным, управляемым и предсказуемым.
  • Решение с использованием виртуальных северов существенно снижает стоимость управления системой, так как все аппаратные сервера - единообразны для всех приложений и служб ,их использующих. К тому же, задействовав механизм резервного копирования виртуальных машин и содержимого виртуальных дисков, можно за считанные минуты развернуть образ системы на новом сервере взамен вышедшего из строя. "Виртуальный" вариант у обоих вендоров несколько дешевле, чем полноценные аппаратные сервера (ровно на стоимость "железа").
  • Через 10 лет эксплуатации стоимость решения с помесячным лицензированием (подписками) становится больше стоимости решения с постоянными лицензиями.
Подробности и обезличенный эскизный проект можно получить, отправив запрос по адресу: info@optimal.systems .
4-20-2021
Ситуационный центр, как средство оптимизации расходов на охрану объектов
Март, 2021 - Компания ООО Оптимал Системс завершила проект по удаленному управлению инженерными системами апарт-отеля на Крестовском острове, Санкт-Петербург   Постановка задачи Организация, которая являлась заказчиком данного проекта, владеет несколькими объектами недвижимости, расположенными в различных населенных пунктах и зонах отдыха на территории Российской Федерации. К числу таких объектов относятся  жилые дома, апарт-отели, физкультурно-оздоровительные комбинаты (ФОК), и прочие зоны отдыха. Для обеспечения безопасности, бесперебойной работы объектовых служб и удобства проживания, на каждом из этих объектов исторически существуют следующие системы:
  • Охранное теленаблюдение;
  • Контроль доступа к помещениям («СКУД по карточкам»);
  • Управление инженерными системами комплекса зданий («Умный дом»);
  • Озвучивание помещений;
  • Домашний кинотеатр;
  • Wi-Fi с высокоскоростным доступом к Интернет.
Для обслуживания этих систем на каждом из объектов функционировали службы:
  • Охраны;
  • Технической поддержки.
Объектовые подразделения охраны безо всякой натяжки можно было назвать самым дорогостоящим отделом. Трудности начинались непосредственно в момент набора сотрудников. Местных кадров подходящей квалификации находилось крайне мало, особенно в сельской местности. Связано это с особенностями работы (использование электронных систем слежения), и вообще, с отсутствием мужчин среднего возраста. Приходилось нанимать охранников из районных и областных центров; при этом в расходы как нанимателей, так и самих сотрудников дополнительно включались расходы по поездкам на работу/с работы, что не добавляло лояльности сотрудникам и служило одним из факторов повышенной «текучки» кадров. Если прибавить к этим факторам еще и необходимость обучения сотрудников основам работы с имеющимся на объекте системами, становится очевидно, что интегральная стоимость обеспечения и поддержания должного режима охраны на объектах была высока. С технической службой основная проблема заключалась в низкой эффективности ее «по определению». Каждодневной работы для квалифицированного специалиста на объекте не было, как не было и смысла нанимать его на полный рабочий день. Его участие в технической поддержке заключалось лишь в приезде «по вызову» на устранение сбойных и аварийных ситуаций (перезапуск коммутаторов, точек доступа Wi-Fi), которые случались не чаще раза в месяц по всем информационным службам. В связи с этим фактом, специалистов не набирали в штат, и были они приходящие, оплачивали им только реально проводимые работы (которых было мало), и соответственно, лояльность их находилась на самом низком уровне. Это сказывалось на уровне технической поддержки, так как время реакции на проблему было непредсказуемым. Таким образом, качество обслуживания объектовых систем было ниже приемлемого уровня. Ситуация осложнялась еще и тем, что в текущем десятилетии кардинально изменилась модель информационной безопасности. Если раньше антивирус, установленный на компьютерах, обеспечивал защиту фактически, от всех информационных угроз, то во втором десятилетии 21 века этого было явно, недостаточно. Операционные системы и программы стали требовать обязательных обновлений, закрытия уязвимостей, причем устанавливаться обновления стали самостоятельно, безо всякой связи с текущими задачами, выполняемыми компьютером, и стало понятно, что функции администрирования должны стать непрерывными. Таким образом, совместно с заказчиком задача была сформирована следующим образом:
  • Повысить качество работы системы;
  • Снизить эксплуатационные издержки.
Для преодоления недостатков, присущих описанной модели управления, было принято решение консолидировать управление как информационными системами объектов, так и режимом охраны. Для комплексного управления решили создать единый ситуационный центр на одном из объектов, имеющем наилучшее и наиболее надежное соединение с сетью Интернет. Сотрудники ситуационного центра взяли бы на себя функции охраны и технической поддержки по всем остальным объектам. При этом объектовые службы охраны и технической поддержки было решено расформировать.   Введение          Изначально на каждом из объектов была реализована охранно-пожарная сигнализация (ОПС), система охранного телевидения (СОТ), система контроля и управления доступом (СКУД). Данные системы были введены в эксплуатацию, но ими было необходимо управлять удаленно, для этого был разработан проект по реализации удаленного доступа к системам. Объекты находятся в разных городах, для удобства объект на котором установлены системы и стоят центральные серверы мы будем называть «Объект А», соответственно объект, на котором нужно реализовать удаленное рабочее место «Объект B». В конечном итоге, мы должны получить удаленное рабочее место, с которого оператор без всяких проблем смог бы просматривать состояние «Объекта А» и взаимодействовать с ним так, как если бы он находился на самом объекте.   Охранно-пожарная сигнализация (ОПС)          Принцип работы. Система ОПС развернутая на «Объекте А» реализована на базе программного комплекса Орион Про, которая в свою очередь включает в себя все необходимые модули для мониторинга, конфигурации и взаимодействия с системой. В процессе работе оператор системы (охранник ситуационного центра, не присутствующий на объекте) обеспечивает:
  • режим охраны (контроль состояния объектов на интерактивных планах помещений; то есть, оператор производит визуальный контроль за объектом и реагирует на появление тревог и различных событий.
  • управление постановкой и снятием объектов с охраны; Т.е. оператор через программный модуль «Монитор» может управлять объектом ставя его на охрану или снимая, делая это с помощью интерактивных планов помещений. Например, на объект приехали люди и его надо снять с охраны, для этого оператор переходит в «Монитор» и снимает весь объект с охраны (или частично), нажимая правую кнопку мыши на нужном объекте, для открытия контекстного меню, в котором можно произвести данную конфигурацию. Соответственно, когда люди покинули объект его надо поставить на охрану и оператор проделывает все действий в точности, как и до этого, но лишь выбирая другой пункт контекстного меню.
  • анализ журнала событий. Т.е. при любом событии в журнале оно будет отображаться, имея параметры (время, объект на котором произошло и так далее). Оператор в свою очередь просматривает эти события в реальном времени (если необходимо, то просматривает архив событий) и реагирует на них в случае необходимости. Например, если в журнале событий появилась запись «Синхронизация видеоподсистем завершена», то оператору не стоит как-то реагировать на это событие, но в случае появлении записи «Соединение с сервером «Объект А» потерянно» то в таком случае следует действовать разработанному регламенту. В журнале событий отображаются не только события, связанные с системой, но и с объектом в целом, такие как «Тревога проникновения», «Пожар» и т.д.
При этом в зависимости от настройки полномочий, оператор имеет возможность управлять теми или иными объектами системы. Объекты, для которых нет прав на управление или просмотр состояний и событий, не будут отображаться на вкладках и планах помещений. Для этих событий не будут доступны ни просмотр событий и состояний, ни управление. Если оператор имеет право на обработку тревог, то ему будут доступны действия по обработке тревог. Все полномочия операторы настраиваются администратором системы в программном модуле «Администратор базы данных». В нашем случае оператор, не находясь на объекте может полноценно взаимодействовать с ним. Кроме того, так как в ситуационном центре действует сменный режим работы, необходимо отслеживать всех операторов (охранников) и их взаимодействия с системой. Для решения этой задачи в системе предусмотрен «Отчет за смену». Идея этой функции проста: когда один оператор сменяется другим, с помощью одной кнопки создается отчет за прошедшую смену в котором указываются все события, произошедшие за это время (в том числе то как оператор среагировал на ту или иную тревогу). Все действия оператора заносятся в электронный архив на центральном сервере и их можно просмотреть и проанализировать в любое время. Кроме того, в данной системе реализована отправка сообщений на email и смс, что позволяет получать оперативные оповещения как линейных сотрудников ситуационного центра, так руководящего персонала. Обеспечение непрерывности процессов и целостности данных На центральном сервере системы, который установлен на «Объекте А» производиться резервное копирование конфигурации для того, чтобы в случае непредвиденных обстоятельств можно было систему восстановить. С помощью скрипта эти файлы копируются на сервер, который установлен на «Объекте В» и оттуда копируются на виртуальный сервер. Трехкратное резервирование данных позволяет со стопроцентной вероятностью восстановить систему в случае даже наиболее серьезной аварии. При выходе из строя центрального сервера системы все удаленные рабочие места не будут иметь связи с объектом, если в системе не предусмотрен резервный центральный сервер. Для восстановления понадобиться все также установить «Орион Про», а затем подключить оборудование к серверу и загрузить резервную копию системы, которая была сделана до этого. После этого система должна заработать, а все удаленные рабочие места восстановят соединения без дополнительной конфигурации. Система охранного телевидения Принцип работы. На «Объекте А» реализована система охранного телевидения, состоящая из сервера Trassir QuattroStation и видеокамер. Данный сервер представляет собой решение для построения охранного телевидения на базе IP-видеокамер с высокой отказоустойчивостью. Серверы размещены на двух объектах и объединены в отказоустойчивый кластер. Схема соединения СОТ На сервер находящийся на «Объекте А» поступает видеосигнал с камер подключенных к нему. Вся информация записывается в режиме реального времени и хранится на архиве сервера. Сервер находящийся на «Объекте В» подключен к серверу с «Объекта В» и получает также все сигналы в режиме реального времени, единственное отличие в том, что на втором сервере нет подключенных камер. Также на «Объекте В» ведется запись архива. В процессе работе оператор системы (охранник ситуационного центра, не присутствующий на объекте) обеспечивает:
  • Контроль за объектом. Т.е. если при срабатывании, например, системы ОПС была тревога проникновения, оператор должен посмотреть по камерам кто проник и от куда, а также, что делает злоумышленник или это вообще ворона мимо датчика пролетела.
  • Реагирование на оповещения СОТ. Т.е. в системе СОТ настроены правила, некоторые из них срабатывают при обнаружении движения в объективе камеры и тогда система издает звуковое оповещение. Оператор должен найти в какой камере происходит движение и оценить ложная сработка была или нет. Стоит отметить, что под «ложной» сработкой подразумевается, например, кот, который гуляет по двору, при этом он создает движение и вызывает тревогу.
  • Управление поворотными камерами. Т.е. в системе присутствуют поворотные камеры, которыми можно управлять с помощью нескольких режимов. Оператор в свою очередь должен управлять данными камерами в случае необходимости. Например, если с соседней камеры плохо виден некий подозрительный объект или если необходимо проследить чьё-то передвижение по объекту.
  • Просмотр архива. Т. е. оператор должен уметь просматривать архив в случае необходимости, например, по просьбе администратора сети или начальника охраны, все зависит от правил, установленных на объекте и могут отличаться друг от друга.
  • Конфигурация. Т.е. в зависимости от полномочий оператора, тот может производить конфигурацию при необходимости, при этом если оператор имеет необходимые навыки, так как в противном случае восстановление системы может занять не мало времени. Обычно в системах полномочии подразделяются, и оператор занимается контролем системы, а администратор занимается конфигурацией и устранением неисправностей.
Установка. Установив сервер на «Объекте В», мы приступили к установке рабочего места оператора. Было решено использовать два монитора для более комфортного использования системы. На первом мониторе выводится порядка 6 камер, на втором 4 камеры (поворотные камеры). В самом сервере было настроено несколько правил таких как: звуковое оповещение при обнаружении движения в камере, отправка email уведомлений администратору системы при разрыве соединения, отправка уведомлений по email при неполадках в сервере (состояние здоровья сервера ухудшилось/пришло в норму), выводить изображение с поворотных камер в полный экран и т.п. Задача оператора состоит в том, чтобы производить мониторинг и отслеживать движение в камере, при этом если движение появляется воспроизводится звуковое оповещение, чтобы не пропустить ничего. Чаще всего движение в кадре вызваны естественными причинами (птицы, сильный ветер и т.п.), но при попадании человека в кадр у оператора есть регламент согласно которому он будет действовать. По требованию администратора системы оператор также может искать в архиве нужные фрагменты, для чего была реализована удобная функция поиска в архиве. Поиск в архиве может производиться по нескольким параметрам: дата, камера, движение в кадре. Соответственно и запись архива может вестись в двух режимах: постоянная запись, запись при появлении движения. В нашей системе запись видеться во втором режиме, что значительно экономит память сервера и выдает хороший результат так как запись начинается за несколько секунд до начала движения, снимает все движение и продолжает несколько секунд после движения. Итог по СОТ. В заключении хочется отметить, что решение создания удаленного рабочего места СОТ изначально казалось не самым правильным решением, но на деле оказалось отличным выбором из-за ряда преимуществ. Во-первых, в случае неисправности одного из серверов весь записавшийся архив остается на другом сервере. Во-вторых, это отличный показатели передачи видеосигнала, который приходит на удаленное рабочее место без задержек, что позволяет следить за объектом в режиме реального времени. Понятный и простой для освоения интерфейс, и простая конфигурация являются еще одним плюсом, а масштабируемость не представляет никаких трудностей. Интеграция с ОПС позволяет достичь наилучших результатов в охране объекта.  Еще одним плюсом удаленной системы является то, что резервные копии сервера также сохраняются на удаленном рабочем месте и в случае выходя из строя центрального сервера его можно будет восстановить, использовав эти резервные копии. Архивы также хранятся на двух серверах, причем в зависимости от настройки можно определить в каком режиме и на каких дисках будет записан архив. Если установить режим хранения привилегированных каналов, то можно установить требуемую глубину архива для определенных каналов. Режим хранения субпоток – включает запись дополнительного потока. Хранить субпоток в точности – позволяет установить требуемую глубину архива для субпотока. Если не устанавливать глубину, субпоток будет стираться одновременно с основным. Для предотвращения несанкционированного доступа к архиву можно включить шифрование сохраненных данных. В нашем случае эта настройка была отключена, так как оператору необходимо по требованию просматривать архив в случае необходимости. Резервные копии конфигурации можно сохранять в облаке и на сервере, но автоматического режима сохранений нет, поэтому рекомендуется создавать копии после каждого изменения конфигурации. Зато в системе присутствует гибкая настройка автоматизации, которая не требует сильных знаний в написаниях скриптов и правил, а достаточно лишь выставить нужные параметры. Например, создаем правило, выбираем по какому событию оно будет воспроизводиться и выбираем, что при этом произойдет. У нас на УДРМ настроены правила благодаря которым администратор системы получает email уведомления в случае отказа системы, заполнения дисков и т.п. К тому же можно писать скрипты, что позволит настроить систему значительно глубже, но при этом написание скриптов требует не плохих знаний в этой теме. Подводя итог по системе охранного телевидения Trassir хочется отметить, что данная система имеет огромный потенциал и хорошо себя показывает в отказоустойчивости, функционале, ведении архива и передачи видеоинформации напрямую, даже в условиях того, что объекты находятся в разных городах, главное обеспечить стабильную связь. Система контроля управления доступом          Принцип работы. Система контроля управления доступом представляет из себя совокупность программно-аппаратных технических средств контроля и управления доступа (входа/выхода) к «Объекту А». Соответственно управление предоставлением доступа и непосредственно мониторинг производиться на «Объекте В». В управление включены все ворота и калитки находящееся по периметру объекта. В системе используются домофонные системы «АББ» которые управляются с помощью планшетных компьютеров с установленной программой «ABB Welcome». Справедливости ради, стоит заметить, что управление может производиться любым устройством с ПО «Android», «iOS». Схема соединений СКУД Теперь на планшетный компьютер, который находиться на «Объекте В» будет поступать информация с «Объекта А» благодаря ip-шлюзу ABB который установлен на «Объекте А». В данном случае система управления будет выглядеть так: приходи человек к калитке и нажимает вызов на домофоне, а вызов приходит на планшетный компьютер, который находиться на «Объекте В», а также вызов приходит на абонентскую видео-станцию, установленную на «Объекте А». В видео-станции, как и в случае с планшетным компьютером раздастся звонок и при ответе на него установиться видео связь, что позволит видеть вызывающего человека. Далее оператор решает открыть дверь или нет, кроме того оператор может задействовать дополнительный шлейф, который отвечает за открытие автомобильных ворот. Каждый разговор регистрируется как, например, в телефоне, что означает возможность просмотреть каждый принятый или отклоненный звонок, а также действие оператора при этом. Скриншоты с домофона делаются во время каждого звонка поэтому можно увидеть того, кто вызывал. В процессе работы оператор (охранник ситуационного центра, не присутствующий на объекте) обеспечивает:
  • Управление вызовами. Т.е. при поступлении звонка с вызывной станции оператор должен ответить на звонок и при необходимости открыть дверь. Кроме того, оператор может сделать фотографию (скриншот) вызывающего если это необходимо.
  • Управление шлейфами. Т.е. оператор может управлять различными шлейфами, которые есть в системе, например, управление автомобильными воротами. Если надо открыть автомобильные ворота, то оператор переходит во вкладку шлейфов и взаимодействует с нужным, приводя в действие механизм открытия/закрытия ворот.
  • Просмотр камеры вызова. Данный пункт вовсе не является главным или обязательным, но не будет лишним сказать, что возникают иногда моменты, когда оператору лучше обратиться к камере СКУД, нежели к камере СОТ, чтобы лучше разглядеть, например, людей стоящий долго у ворот и не вызывающих.
  • Работа с архивом. При работе с СКУД все звонки и скриншоты сохраняются, составляя архив данных. Оператор должен при необходимости перейти в архив и найти тот или иной вызов и просмотреть скриншот с него.
  • Конфигурация. Если есть полномочия, то оператор может производить конфигурацию при необходимости. При этом в самом «мобильном-клиенте» все изменения не будут влиять на систему в целом, а относятся они непосредственно к мобильному-клиенту.
Итоги по СКУД. Оператор системы, находящийся за АРМ в ситуационном центре, обладает полным набором функций системы СКУД, расположенной неа удаленном объекте: управление шлейфами, открытие закрытие ворот, просмотр истории вызовов, конфигурация системы, управление звонками (принимать вызовы, отклонять вызовы, открывать дверь во время вызова, включать/выключать микрофон клиентского устройства).   Итоги проекта Таким образом, для управления всем множеством объектов был создан единый ситуационный центр (ЕСЦ), обладающий следующими характеристиками:
  • Управление доступом и ресурсами на удаленных объектах без непосредственного присутствия на них позволило за первый год эксплуатации снизить время аварий на всех системах до 5 минут, что составляет надежность 99,999%;
  • Централизованное размещение сотрудников (единая смена дежурных операторов вместо разрозненных смен с различным административным подчинением) позволило снизить операционные выплаты на 70%.
Фото любезно предоставлено проектом citywalls.ru
3-12-2021
Система защиты информации КМС ГБУ ФХУ Мэрии Москвы
Компания ООО «Оптимал Системс» по приглашению ООО «АРинтег» провела в течение 2020 года работы по проектированию и настройке Системы защиты информации корпоративной мультисервисной сети ГБУ ФХУ Мэрии Москвы (КМС). Данная система содержит разделы:
  • Система аудио- и видеоконференцсвязи Правительства Москвы;
  • Система защиты информации государственных информационных систем корпоративной мультисервисной сети ГБУ ФХУ Мэрии Москвы.
В процессе выполнения работ были достигнуты следующие результаты:
  • Запроектированы технические и организационные решения по созданию Системы защиты информации КМС ГБУ ФХУ Мэрии Москвы;
  • Осуществлена миграция средств аудио-и видеоконференцсвязи в защищенный сегмент КМС ГБУ ФХУ Мэрии Москвы;
  • Осуществлена миграция программно-аппаратного комплекса Государственных информационных систем (ГИС), в защищенный сегмент КМС ГБУ ФХУ Мэрии Москвы.
Следует отметить тот факт, что сеансы аудио- и видеоконференцсвязи Правительства Москвы, производящиеся на регулярной основе, в условиях самоизоляции по причине пандемии COVID-2019 стали производиться практически круглосуточно. В связи с этим, преимущественную часть работ приходилось выполнялась в условиях реальной работы КМС ПМ, в течение коротких технологических интервалов, без длительных перерывов в обслуживании.   Работы были выполнены в поставленный срок, с соблюдением всех необходимых условий и стандартов. Отзыв о сотрудничестве размещен в разделе "О компании->Отзывы заказчиков". Фото предоставлено http://mos.ru  
2-9-2021
ГК АВТОДОР - пункт приема оплаты Павловск
Компания ООО Оптимал Системс завершила проект по созданию системы телефонии на объекте "Пункт взимания платы ГК АВТОДОР" по адресу: Россия, 636-й км шоссе М-4.
Сервер обработки вызовов реализован на платформе AVAYA IP Office. В качестве вычислительной среды для работы сервера использована виртуальная архитектура VMware ESXi.
Работы были выполнены в поставленный срок, с высоким качеством и с соблюдением всех необходимых условий, стандартов, строительных норм и правил.
8-21-2020
Forticlient - Защита оконечных устройств
Доля оконечного оборудования в любой современной мультимедийной сети составляет более 95% от общего числа сетевых устройств, и именно эти устройства в основном, являются конечной мишенью атак информационной безопасности. Хранение на них приватной информации (персональные данные, рабочие документы) с одной стороны, и фактическое ослабление контроля со стороны администраторов за поддержанием должного уровня защищенности – с другой - в комплексе, создают «питательную среду» для жизнедеятельности вредоносного ПО. Программное обеспечение FortiClient представляет собой продукт по обеспечению безопасности оконечных устройств (endpoints). Данный программный комплекс сочетает в себе мощное решение для обеспечения безопасности и простоту в использовании. При этом жесткие требования к ресурсам отсутствуют, и программа может быть установлена на устройство с минимальной производительностью. Для внедрения FortiClient нет никакой необходимости удалять другие приложения, борющиеся с вредоносным ПО, так как они будут все работать в комплексе.   Инструмент может использоваться на сервере управления (EMS) для обеспечения централизованного управления Endpoint-защиту, а также работать как самостоятельное решение, обеспечивая качественную защиту. Что представляет из себя FortiClient С точки зрения пользователя, FortiClient – это программа, устанавливаемая на компьютер, сервер или смартфон. Она предназначена для обеспечения защиты от широкого спектра угроз информационной безопасности. Помимо традиционных средств защиты имеется также ряд дополнительных возможностей, среди которых: VPN-клиент, система фильтрации веб-контента, контроль приложений, что заметно повышает надежность системы. [caption id="attachment_1369" align="aligncenter" width="300"] Веб-фильтр[/caption] Программное обеспечение FortiClient предназначено для защиты компьютеров и ноутбуков с ОС Windows, MacOSX, Linux, Ubuntu, Red Hat, CentOS, а также имеет версии для мобильных устройств и планшетов на базе операционных систем Android и iOS. Данные версии являются бесплатными и предоставляют базовую защиты от уязвимостей без ограничений. Версия для iOS ограничена функциями веб-фильтрации и клиента VPN, так считается, что Apple обеспечивает достаточную защиту от прочих угроз силами самой iOS. [caption id="attachment_1368" align="aligncenter" width="300"] Статистика блокируемых ресурсов[/caption] Однако для корпоративных пользователей необходимо приобрести FortiClient Enterprise Management Server (EMS), который имеет многоуровневые настройки обслуживания как абонентских, так и сетевых служебных устройств. Функциональные возможности FortiClient предназначен для обеспечения всесторонней защиты конечных точек (end points) от различных видов угроз. [caption id="attachment_1367" align="aligncenter" width="300"] Категории веб-фильтрации с обновлением в реальном времени[/caption] Защита от вредоносных программ обеспечивается за счет антивирусного ядра, который был разработан компанией Fortinet. Антивирусная защита осуществляется работой антивирусного монитора. Есть возможность создания расписания для проверки. [caption id="attachment_1366" align="aligncenter" width="300"] Результаты сканирования уязвимостей на компьютере Windows[/caption] Также FortiClient обеспечивает антивирусную проверку почтового трафика по протоколам POP3 и SMTP. Кроме этого в программе реализовано эвристическое сканирование и функция определения интернет-червей. В программе существует карантин, в который помещаются все подозрительные объекты (включается в настройках). Пользователь может посмотреть их в любой момент, отправить разработчикам для тестирования или сообщить о ложном срабатывании или добавить данный файл и/или папку в исключение для проверки их антивирусом. [caption id="attachment_1365" align="aligncenter" width="300"] Статистика попыток исполнения злонамеренного кода (Malware)[/caption] В FortiClient реализован персональный межсетевой экран, который обеспечивает защиту компьютера от сетевых атак и несанкционированных подключений. Существует возможность создания произвольного количества сетевых зон и их подразделения на несколько типов с определением отдельных правил для каждого типа. Для детектирования и блокировки сетевых атак, в файрволле есть система обнаружения вторжений (IPS). VPN-клиент является одной из ключевых особенностей FortiClient. С его помощью можно подключаться к корпоративным сервисам с использованием технологий IPSec и SSL. FortiClient обеспечивает защищенную виртуальную частную сеть с шифрованием, и поддержку нескольких шлюзов для одного туннеля. [caption id="attachment_1361" align="aligncenter" width="480"] Настройки Forticlient для Android[/caption] В данном продукте есть система блокировки спама, которая не требует никакой настройки, так как данный антиспам работает на основе подготовленных разработчиками правил, которые регулярно обновляются. Веб-фильтрация позволяет выборочно блокировать и мониторить веб-траффик на основе категорий интернет-сайтов. Позволяет настраивать опции безопасного поиска и списка исключений, а также предоставляет облачный рейтинг URL. [caption id="attachment_1364" align="aligncenter" width="561"] Настройки Forticlient для Apple iOS. Отсутствует все, кроме веб-фильтрации[/caption] WAN-оптимизация. Функция, которая реализована в FortiClient и оптимизирует WAN-соединения, что ускоряет работу различных сетевых приложений. Данная функция работает, когда доступ к WAN осуществляется через устройство Fortigate. [caption id="attachment_1362" align="aligncenter" width="300"] Настройки антивирусной защиты[/caption] Централизованное управление FortiManager позволяет управлять всеми политиками безопасности, что необходимо в корпоративных информационных системах. Для реализации используется продукт FortiManager. Он позволяет управлять программными и аппаратно-программными средствами защиты. FortiClient ведет подробный журнал своей работы, который можно посмотреть с помощью консоли управления. Кроме того, можно воспользоваться FortiAnalyzer, который позволит собирать информацию со всех средств защиты Fortinet, работающих в сети. Вывод данной информации происходит в удобном для просмотра виде. FortiClient Enterprise Management Server FortiClient Enterprise Management Server (EMS) – это решение, ориентированное на корпоративных пользователей и обладает несколько большим функционалом в отличии от бесплатной версии. Отличия от бесплатной версии: централизованное управление при наличии FortiManager, централизованный просмотр логов и генерации отчетов при наличии FortiAnalyzer, WAN-оптимизация при наличии FortiGate, техническая поддержка и частота обновлений баз данных (1 час у платной/ 1 день у бесплатной версии) Для того, чтобы функции EMS были реализован в полной мере необходима интеграция с другими продуктами Fortinet: FortiGate, FortiManager, FortiAnalyzer. Управление данным сетевым оборудованием производится с помощью FortiOS и обеспечивает безопасность в сети организации. FortiOS – это специализированная операционная система, которая является программной основой FortiGate и устанавливается на линейку сетевого оборудования Fortinet. Эта операционная система предлагает набор функций, позволяющий обеспечить безопасность в сети. Интеграция Компонент FortiClient изначально интегрирован с FortiSandbox. FortiClient автоматически отправляет файлы в «песочницу» для анализа в режиме реального времени. Данные об угрозах в режиме реального времени мгновенно распространяются по всей сети предприятия. FortiClient делится телеметрическими данными конечных точек с корпоративными межсетевыми экранами (МЭ) FortiGate для обеспечения соответствия требованиям безопасности конечных точек. Данные телеметрии повышают рейтинг безопасности. Централизованное управление FortiGate + EMS осуществляет регистрацию, проверку соответствия и оповещения новых конечных точек. Позволяет развернуть FortiClient с подготовленным профилем на конечной точки, проводить мониторинг узлов. Интеграция с FortiAnalyzer/FortiManager/FortiSIEM Вместе с телеметрией конечных точек FortiClient отправляет свои журналы событий, в том числе данные об уязвимостях, трафике и событиях, с центр управления сетью и центр управления безопасности для экспертного анализа угроз. FortiAnalyzer предоставляет сводки по узлам, по угрозам, отчеты антивируса, веб-фильтра, угрозы по времени, угрозы по устройству/пользователю, отчеты по VPN. Интеграция с FortiAuthenticator обеспечивает безопасный вход и двухфакторную проверку подлинности. Таким образом, FortiClient является одним из лучших решений для защиты конечных устройств от продвинутых атак, сочетая в себе простоту и надежность:
  • Доступен для множества ОС таких как Windows, Linux, iOS, Android и др.
  • Выявление и подавление продвинутых угроз
  • Масштабируемое централизованное управление
  • Интеграция с другими сетевыми устройствами Fortinet
 
7-22-2020
Cisco DNA
Введение Cisco DNA (Digital Network Architecture) представляет из себя открытую программную архитектуру, предназначенную для эффективного управления корпоративной сетевой средой и в первую очередь - для приведения сетевых настроек, политик и архитектуры решений к структуре, которая может быть бесшовно интегрирована в бизнес-модель современной средней и крупной компании. Архитектура Cisco DNA объединяет в себе уже существующие и зарекомендовавшие решения, так и технологии которые ранее не использовались в корпоративном сегменте. Рекомендованное взаимодействие для всех используемых в рамках архитектуры продуктов и решений описывается с помощью открытых программных интерфейсов API. В рамках архитектуры ИТ-задачи современного предприятия объединены в крупные логические блоки:
  • Упрощение и автоматизация ИТ-процессов
  • Ускорение внедрения инноваций
  • Получение аналитики сети, приложениях, пользователях
  • Снижение рисков, издержек, расходов
  • Эффективное и автоматизированное взаимодействие с основным бизнесом.
Cisco DNA является развитием реализации SDN (Software Defined Network). Обновления касаются системы управления сетью, мониторинга, аналитики, в том числе обрабатываемой с помощью технологии машинного обучения, и обратных связей между ними, за счет чего возможна реакция на различные неполадки в сети, ошибки и сетевые угрозы. Переход компании на Cisco DNA дает более гибкую модель управления сетевой инфраструктуры, с ответами на вопросы: кто, куда, когда. Архитектура решения представляет из себя ряд программных и аппаратных компонент. Digital Network Architecture (DNA) Center – система управления сетью, которая является простой и легкой в управлении, благодаря отказу от громоздких, многоуровневых меню. Данная система имеет интуитивно понятный интерфейс управления. В системе реализованы функции, связанные с конфигурированием, проектированием и различными политиками, и исполнениями. DNA Center предоставляет информацию благодаря которой стало возможно управлять централизованно всеми сетевыми функциями и оптимизировать производительность сети и приложений. Через данную систему можно управлять всеми устройствами, настроить их автоматическую установку и снизить количество ошибок при автоматическом обслуживании сети. Система в режиме реального времени получает информацию, с данными о работе сети, подключенных устройствах и запущенных на них приложениях. Благодаря машинному обучению, пользователю предоставляется информация о наличии проблем, их источниках и способах устранения. Кроме того, в DNA Center реализована система политик, которые применяются к пользователям и приложениям, а не к сетевым устройствам. Это поможет значительно сократить время на назначение политик, так как можно, например, назначить определенные политики группам лиц, а не устройствам.         Виртуализация Использование виртуализации в Cisco DNA является одним из базовых принципов и является способом повышения эффективности использования доступных ресурсов ИТ. Благодаря развитию технологии виртуализации сетевых функций NFV, виртуализация впервые затронула сетевые функции. NFV (Network Functions Virtualization) – концепция сетевой архитектуры использующая технологии виртуализации для виртуализации целых классов функций сетевых узлов в виде составных элементов. Это означает, что многие из сетевых функций, которые раньше были доступны только в виде специализированного оборудования, теперь доступны в виртуальном виде, при этом полностью сохраняются все функциональные возможности аппаратных аналогов. Большинство аппаратных решений Cisco имеют виртуализированные версии (Например, Cisco CSR1000V, Cisco ASR 1000, Cisco ASAv, Cisco Web Security Appliance). Использование NFV является более эффективным способом построить и эффективно эксплуатировать сетевую среду, так как:
  • развертывание виртуальной версии происходит значительно быстрее, чем развертывание аппаратных платформ;
  • Единообразие аппаратной и программной части (серверы/гипервизоры вместо разнотипных маршрутизаторов/межсетевых экранов) повышает эффективность управления и сводит к минимуму периоды возможного простоя из-за аварий;
  • Процесс внедрения новых функций и служб в сети становится полностью предсказуемым, так как в случае сомнений в работоспособности будущего решения, его легко стендировать для проверки.
Cisco DNA предлагает совершенно новые разработки – Cisco Enterprise Service Automation (Cisco ESA) – программный комплекс для автоматизации внедрения. Обеспечение сетевых сервисов не должно ограничиваться использованием только NFV технологий, так как внедрение современных аппаратных решений Cisco в области маршрутизации и коммутации остаются эффективными для множества инфраструктур. Для соответствия решений требованиям и задачам DNA, компания Cisco внесла дополнения в ПО аппаратных платформ. Речь идет о доступности открытых API управления на аппаратных платформах таких как:  
  • Cisco Catalyst 3650/3850
  • Cisco ISR 4000
  • Cisco ASR 100
  • И других популярных моделях
Автоматизация Автоматизация и надежность также является ключевым принципом Cisco DNA. Автоматизация не является революционной, многие производители предлагают специализированные системы управления (NMSNetwork Management System), которые призваны автоматизировать часть процессов взаимодействия с инфраструктурой. В качестве преимуществ NMS можно отметить глубокую интеграцию с обслуживаемыми решениями и богатые возможности настройки таких систем, из-за чего это также можно причислить к недостаткам, так как они остаются сложными в освоении и эксплуатации. Автоматизация в DNA направлена на упрощение и ускорение всех основных ИТ-процессов. Для реализации автоматизации Cisco выпустила решение для автоматизации всех сетевых процессов в корпоративной сетевой инфраструктуре Cisco Application Policy Infrastructure Controller – Enterprise Module (Cisco APIC-EM). APIC-EM – это решение полностью обеспечивает автоматизацию ИТ-процессов и услуг, охватывающих все домены корпоративной среды. Наряду с возможностью использования REST API для программирования услуг в сети, APIC-EM обладает интуитивно понятным графическим интерфейсом управления – любая функция доступная через API, также доступна и через графический интерфейс и наоборот. Cisco APIC-EM можно начать использовать в сети, уже находящейся в эксплуатации – в отличии от классических SDN-решений не требуется мигрировать на плоскость управления (Control Plane) на централизованный SDN-контроллер. Сейчас APIC-EM поддерживает все современные модели оборудования Cisco для корпоративной сети. Также Cisco APIC-EM поставляется с набором готовых приложений, призванных автоматизировать наиболее часто встречающиеся операции в корпоративной сети:    
  • Внедрение нового оборудования (Network PnP)
  • Применение CVD дизайнов и политик (IWAN App и Easy QoS App)
  • Поиск неисправностей и сбоев в сети (Path Tracer)
  • И другие
Аналитика Автоматизация DNA позволяет упростить и ускорить процессы внедрения и эксплуатации ИТ инфраструктуры, но не подразумевает контроля качества предоставляемых услуг. Для решения данной проблемы Cisco DNA предлагает ряд решений по аналитике. Средства аналитики получают телеметрию с корпоративной инфраструктуры и приложений, способны в режиме реального времени осуществлять различные виды анализа о состоянии, поведении и тенденциях, как для ИТ-услуг, так и для пользователей, кроме того оценить насколько результат соответствует согласованному качеству предоставления сервиса. Для получения телеметрии могут использоваться специальные приложения, которые размещаются непосредственно на устройствах и/или виртуальных машинах. Примерами аналитики DNA являются Cisco Tetration Analytics и Cisco Connected Mobile Experience (CMX). Cisco CMX – технология, разработанная специально для беспроводных сетей, позволяющая собрать, проанализировать и выдать информацию о местоположении беспроводных клиентов, сформировать профили их поведения и присутствия в беспроводной сети. Tetration Analytics – это новейшая платформа Cisco для формирования аналитики в рамках ЦОД. Данная платформа использует программные и аппаратные сенсоры для анализа поведения пользователей и приложений в ЦОД, повышая прозрачность происходящих в ЦОД процессов. Безопасность В Cisco DNA интегрированы современные решения Cisco для обеспечения информационной и сетевой безопасности – Cisco ISE, Cisco Stealthwatch. Программные и аппаратные компоненты на всех уровнях архитектуры оснащены специализированными средствами контроля доступа и обнаружения угроз. Особый акцент сделан на использование TrustSec и MacSec. В Cisco DNA использованы решения на базе этих технологий – сеть как сенсор (Network-as-a-Sensor) и сеть как средство контроля (Network-as-Enforcer). Подписки Программное обеспечение Cisco DNA предоставляет широкие возможности маршрутизации, коммутации и беспроводной связи на трех уровнях подписки: Essentials, Advantage, Premier, на 3/5/7 лет. Также есть два типа лицензий: Network Essentials, Network Advantage. Лицензии для маршрутизации:
    Программное обеспечение с типичными возможностями маршрутизации, идет в комплекте подпиской Essentials Программное обеспечение с полными возможностями маршрутизации. Идет в комплекте с подпиской Advantage или Premier
3 уровень маршрутизации x x
Программируемость x x
MACsec шифрование x x
Телеметрия и видимость x x
Основные возможности обеспечения безопасности x x
Управление маршрутизатором x x
Оптимизация использования полосы пропускания х
Гибкая сегментация сети х
Расширенные функции безопасности х
  Подписка Cisco DNA для маршрутизации:
Cisco DNA Essentials Cisco DNA Advantage Cisco DNA Premier
Защищенный узел доступа в интернет (WAN Edge) x x x
Централизованная консоль управления x x x
Неограниченные пограничные устройства и сегментация x x
Оптимизация SaaS/ IaaS/ Colo/ WAN x x
Аналитика x x
Защищенный узел доступа в облако (Cloud edge) x
    Лицензии для коммутации:
Network Essentials Network Advantage
Бессрочная лицензия, одноразовая покупка
Основные возможности коммутатора x x
Маршрутизация 3-го уровня x x
Программируемость NETCONF / RESTCONF / gRPC / YANG x x
Телеметрия и видимость x x
128-битное шифрование MACsec x x
Полная функциональность маршрутизации 3 уровня x
Гибкая сегментация сети х
256-битное шифрование MACsec х
Оптимизация использования полосы пропускания х
  Подписка Cisco DNA для коммутации:
Cisco DNA Essentials Cisco DNA Advantage Cisco DNA Premier
Централизованное управление x x x
Автоматизация и инициализация x x x
Безопасное подключение x x x
Аналитика x x
Политика и безопасность x
  Лицензии для беспроводной связи:
Network Essentials Network Advantage
Программное обеспечение идет в комплекте подпиской Essentials Программное обеспечение идет в комплекте с подпиской Advantage или Premier
Оптимизированная радиочастота x x
Оптимизированный IoT x x
Телеметрия и видимость x x
Управление маршрутизатором x x
Высокая доступность и отказоустойчивость х
Гибкая сегментация сети х
  Подписка Cisco DNA для беспроводной связи:
Cisco DNA Essentials Cisco DNA Advantage Cisco DNA Premier
Централизованное управление x x x
Автоматизация и инициализация x x x
Безопасное подключение x x x
Взаимодействие и понимание местоположения x x
Аналитика x x
Политика и безопасность x
  Пример проекта, разработанного с учетом использования архитектуры Cisco DNA Решение Cisco DNA было применено при построении корпоративной ИТ-инфраструктуры в удаленном офисе логистической компании. Cisco DNA было выбрано, так как данная архитектура способна упростить и увеличить эффективное управление ресурсами. Кроме того, DNA обеспечивает отличную автоматизацию и аналитику, что необходимо в современных ИТ-инфраструктурах. Cisco DNA – это открытая, расширяемая, программно управляемая архитектура. В её основе лежат технологические концепции такие как: виртуализация, автоматизация, программируемость, аналитика на основе данных о работе сети, а также облачные принципы управления сервисами. В сетевой инфраструктуре используются точки доступа Cisco, контроллеры Cisco 5520 и коммутаторы Cisco Catalyst 9500. Выбор коммутаторов серии 9500 обусловлен современной элементной базой, возможностью интеграции с облачными сервисами и, что немаловажно, значительно сокращенной по сравнению с более старыми сериями стоимостью владения за счет использования модели подписок DNA. Важнейшей частью сети DNA является контроллер APIC-EM (Application Policy Infrastructure Controller), который способен обслуживать до 2 тыс. устройств. Контроллер Cisco DNA   находящийся в главном офисе, объединяет средства сетевой виртуализации, автоматизации и аналитики. Он обеспечивает высокий уровень автоматизации как в проводной сети, так и в беспроводной. Благодаря Cisco DNA было существенно упрощен процесс внедрения изменений и поиска неисправностей.   Для того, чтобы быстро развернуть ИТ-инфраструктуру в удаленном офисе было решено применить виртуальные версии аппаратных платформ. Для автоматизации внедрения виртуальной версии использовался программный комплекс Cisco Enterprise Service Automation (Cisco ESA).       Контроллер APIC-EM был внедрен в сеть, которая уже находится в эксплуатации, при этом в отличии от классических решений его не требовалось мигрировать на плоскость управления (Control Plane) на централизованный SDN-контроллер. Благодаря данному контроллеру было автоматизировано внедрение нового оборудования, используя готовое приложение Network PnP. Благодаря приложению Path Tracer, являющемуся частью архитектуры Cisco DNA, был автоматизирован поиск неисправностей и сбоев в сети. Для получения аналитики были использованы специальные приложения, размещенные на виртуальных машинах, такие как - Cisco Tetration Analytics и Cisco Connected Mobile Experience (CMX). Эти приложения получают телеметрию с корпоративной инфраструктуры и приложений, и в режиме реального времени осуществляют анализ состояния, поведения и тенденции. Cisco CMX – технология, разработанная специально для беспроводных сетей, позволяет собрать, проанализировать и выдать информацию о местоположении беспроводных клиентов, сформировать профили их поведения и присутствия в беспроводной сети. Tetration Analytics –платформа для формирования аналитики в рамках ЦОД. Данная платформа использует программные и аппаратные сенсоры для анализа поведения пользователей и приложений в ЦОД, повышая прозрачность происходящих в ЦОД процессов. На основе полученной аналитики система автоматизации может быстро найти и устранить неполадки в сети, с помощью искусственного интеллекта. Для обеспечения безопасности в DNA интегрированы современные решения Cisco для обеспечения информационной и сетевой безопасности такие как - Cisco ISE, Cisco Stealthwatch. Особый акцент сделан на использование TrustSec и MacSec. В Cisco DNA использованы решения на базе этих технологий – сеть как сенсор (Network-as-a-Sensor) и сеть как средство контроля (Network-as-Enforcer). В итоге, использование архитектуры Cisco DNA автоматизировало процессы и защитило бизнес-процессы от нежелательных простоев повысив отказоустойчивость. Мы получили прозрачную инфраструктуру с централизованным управлением и высокой отказоустойчивостью, и безопасностью.
6-16-2020
Клиент VPN от Фортинет - бесплатно
18 марта, основатель, представитель правления и генеральный директор Fortinet рассказал о важных обновлениях, связанных с пандемией коронавируса COVID-19. Всемирная организация здравоохранения рекомендует внедрение общекорпоративной политики удаленной работы. В связи с этим компания Fortinet предоставила преимущества для своих текущих и потенциальных заказчиков, а именно:
  • Открыла бесплатный доступ на скачивание и использование VPN-клиента FortiClient VPN для того, чтоб увеличить доступность удаленной работы для людей по всему Земному шару (Скачать, кликнув на красный квадрат с надписью Download по центру справа);
  • Предоставила бесплатный доступ к некоторым онлайн курсам учебной программы Fortinet NSE;
  • Создала  портал, с инструментами для обучения клиентов быстрому созданию безопасного решения.
3-18-2020
AirWatch - технология централизованного управления мобильными устройствами
Современная модель занятости сотрудников все чаще подразумевает вовлеченность - пусть даже частичную и точечную - в круг своих рабочих обязанностей, даже в те часы и дни, которые в прошлом веке было принято полностью посвещать отдыху от работы. Справедливости ради следует добавить, что есть множество фирм, где это требовалоь всегда. Предприятия с круглосуточным рабочим циклом, аэропорты, процессинговые центры - во всех компаниях такого рода жизнь не прекращается никогда. Уезжая домой, руководитель пиар-службы держит включенным доступ к рабочей почте и ленте новостей. А уж, то говорить о научных работниках и инженерах, у которых понедельник не прекращается даже в пятницу вечером, и которые вообще не имеют привычки запирать свой мозг на работе. Таким образом, современная реальность требует, чтобы доступ к корпоративным данным той или иной степени важности был обеспечен в любое время и из любого места. Зачастую пользователи мобильных устройств пользуются общедоступными решениями доступа к файлам, не подозревая, что такие приложения могут подвергнуть риску ценную информацию, доступ к которой можно получить с мобильного устройства. Это может быть не только личная информация, хранящаяся на устройство, а также и корпоративные данные, почта, облачные сервисы.   Прогресс не стоит на месте и мобильность пользователя всегда остается актуальной задачей, что и дало ход разработке простого решения по совместной работе с контентом, которое призвано защитить конфиденциальные данные.   Технология политик и рапределения прав доступа VmWare AirWatch обеспечивает безопасный доступ к контенту всегда и везде, надежно защищая конфиденциальные данные, при этом являясь единым приложением для надежного доступа пользователей к самым последним материалам со своих мобильных устройств.    

Обзор

  AirWatch технология VMware для централизованного управления мобильными устройствами и приложениями при любых сценариях. Она обеспечивает поддержку каждого устройства и пользователя из единой консоли управления. Помогает реализовать безопасность компании на всех уровнях, при этом повышая эффективность мобильной работы, предоставляя сотрудникам возможность подключится и работать в любое время, в любой точке, с любого устройства.    

Возможности

Если совсем кратко - AirWatch дает доступ с мобильного устройства (планшета, телефона) к ресурсам корпоративной сети, превратив на это время мобильное устройство в безопасное. Благодаря единой консоли управления, осуществляется управление полным жизненным циклом мобильных устройств на всех основных операционных системах.   Для создания абсолютно защищенной ИТ-среды AirWatch предлагает многоуровневый подход к обеспечению безопасности. Все параметры и политики безопасности настраиваются с помощью единой платформы управления корпоративной мобильной средой для защиты пользователей, конечных устройств, приложений, данных и сети.   Для приложений реализован единый каталог, со встроенной службой единого входа. Администратор сети может разворачивать приложения на каждом устройстве, а также настраивать доступ к приложениям в соответствии с политиками безопасности.   В состав платформы AirWatch входит пакет приложения призванных повысить эффективность работы, предоставляя удобный доступ к бизнес-приложениям и при этом обеспечивая безопасность корпоративного класса. В составе данного пакета входят средства для работы с электронной почтой, социальными сетями, календарем, браузером, контактами и содержимым.   AirWatch предоставляет решение которое, позволяет управлять мобильными устройствами, при этом удовлетворяя все политики безопасности компании. Управление мобильными устройствами происходит централизовано и может быть разграниченным, например, если у компании есть несколько филиалов в разных городах.    

Решение AirWatch

  Решение создано для управления всеми мобильными средствами компании, такими как устройства, приложения и контент.   AirWatch состоит из нескольких модулей:  
  • AirWatch Mobile Device Management (MDM)
  • AirWatch Mobile Application Management(MAM)
  • AirWatch Mobile Email Management(MEM)
  • AirWatch Mobile Content Management(MCM)
 

Модуль

Функции

Mobile Device Management

Конфигурация мобильных устройств
Управление мобильными устройствами
Применение политик безопасности
Mobile Application Management Управление приложениями
Доступ к корпоративному магазину приложений
Mobile Email Management Управление мольной почтой
Защита корпоративной почтовой структуры
Шифрование конфиденциальной информации
Mobile Content Management Защищенный доступ к рабочим файлам
Защищенный браузер
Доступ к офисным файлам на устройствах

 

      Каждый из этих модулей обеспечивает защиту и управление определенным аспектом, а комплексно призваны организовать полную систему работы с мобильными устройствами в корпоративной среде.

 

AirWatch Mobile Device Management (MDM)

  Модуль AirWatch для управления мобильными устройствами позволяет управлять масштабными внедрениями мобильных устройств. AirWatch позволяет моментально инициализировать мобильные устройства для использования в корпоративной среде, конфигурировать их и управлять настройками устройств без подключения их к компьютеру, применять политики безопасности и соответствия стандартами, защищать корпоративные данные при мобильном подключении к ним, а так же удаленно блокировать и стирать память устройств. При этом устройства классифицируются на корпоративные и личные устройства. К корпоративным устройствам можно применить больше настроек, связанных непосредственно с самим устройством, например, выключение, блокировка и изменение настроек устройства, вплоть до настроек потребляемого траффика мобильной сети. Настройки для личных устройств сотрудников нацелены на предоставление доступа к сети, корпоративным данным и приложениям. Например, если устройство не пройдет регистрацию в системе, то ему не будет предоставлен доступ к корпоративным данным, в то время как зарегистрированное устройство может пользоваться приложениями и корпоративными данными в соответствии с настроенными политиками, а администратор системы может мониторить все зарегистрированные устройства.   Все это создано для того, чтобы разделять доступ, устройства и пользователей в корпоративной сети. Благодаря этой системе каждый пользователь получает доступ только к той информации к которой у него есть доступ, при этом сделать он может с любого мобильного устройства, зарегистрированного в системе AirWatch.   AirWatch позволяет управлять устройствами на базе Android, Apple, BlackBerry, MAC OS X, Symbian и Windows через единую консоль управления.    

AirWatch Mobile Application Management (MAM)

  Модуль управления мобильными приложениями позволят управлять внутренними, коммерческими и корпоративными приложениями, настраивая доступ к приложениям в соответствии с политиками безопасности. Например, можно запретить использование приложений таких как мобильный банк или социальные сети, а оставить только те, что необходимы.   В AirWatch реализован специальный корпоративный магазин приложений, который позволяет администраторам системы распространять внутренние приложения компании, обновлять их и разворачивать на мобильных устройствах. В этот каталог приложений также могут входить разрешенные приложения от сторонних разработчиков, которые доступны в AppStore (iOS) или google play (Android) и прочих магазинах приложений.    

AirWatch Mobile Email Management (MEM)

  Модуль управления мобильной почтой – MEM предоставляет функционал для обеспечения высокой защищенности корпоративной почтовой инфраструктуры. AirWatch позволяет контролировать устройства, получающие доступ к почте, предотвращать несанкционированный доступ, шифровать конфиденциальную информацию.    

AirWatch Mobile Content Management (MCM)

  Модуль управления мобильным контентом позволяет осуществлять защищенный доступ к рабочим файлам и документам через специальное мобильное приложение. В модуль AirWatch MCM входят приложения: Secure Content Locker и Secure Browser.   Приложение Secure Content Locker позволяет получать оперативный доступ к офисным документам и прочим файлам, расположенным в общих папках, SharePoint-сайтах и доступных по WebDAV, делая доступными эти файлы на устройствах.   Приложение AirWatch Secure Browser представляет собой защищенный браузер, разработанный для мобильных платформ iOS и Android. Браузер позволяет получить доступ к Интернет-сайтам (внутренним сайтам компании), или создать фильтрованный, или организованный доступ в Интернет с мобильных устройств.  
12-20-2019
Cisco Wi-Fi6
 

      Стандарт Wi-Fi 6 - это новый стандарт под номером IEEE 802.11ax - появился, как ответ на требования к современной сети передачи данных, а именно:
  • требования к надежности.  Более согласованное и надежное сетевое соединение обеспечивает беспроблемную работу для клиентов, IoT и всех приложений, особенно голосовых и видео.
  • требования к масштабируемости. Беспроводные сети растут лавинообразно за счет подключения устройств интернета вещей (IoT), и включают в себя все больше и больше устройств.
  • требования к производительности. Повсеместный отказ от проводных сетей приводит к тому, что беспроводная сеть должна быть способна передавать видео трафик в реальном масштабе времени и с высоким качеством изображения.
           Стандарт IEEE 802.11ax имеет ряд преимуществ:  
  • надежность – обеспечивает бесперебойную работу благодаря постоянному и надежному сетевому соединению
  • емкость – обеспечивает передачу большого объема данных большему количеству клиентов по сравнению с предыдущими стандартами Wi-Fi, включая (IoT)
  • Ускорение в диапазоне 2.4 ГГц за счет технологий многолучевого приема MIMO и MU-MIMO (линейная скорость передачи данных 1,148 Гбит/с).
  • Улучшение производительности сети за счет четырехкратного увеличения средней пропускной способности по сравнению со стандартом 802.11ас
  • Сокращение стоимости владения инфраструктурой за счет увеличения срока службы батарей смартфонов, планшетов и устройств IoT. Стандарт 802.11ac идеально подходит для устройств IoT благодаря расширенному покрытию Wi-Fi и поддержке частоты 2.4ГГц.

Протокол WPA3

Протокол WPA 3 - это усиленный протокол аутентификации, который пришел на смену скомпрометированному протоколу WPA2.          WPA – это режим защищенного доступа к сети Wi-Fi.   WPA 2 – это стандарт безопасности который определяет, что происходит при подключении к закрытой сети Wi-Fi с помощью пароля. WPA 2 определяет протокол, который маршрутизатор и клиентское устройство используют для выполнения «рукопожатия», позволяющего им безопасно подключаться и взаимодействовать.   WPA3 добавляет четыре функции которые не присутствуют в WPA2. Эти функции: конфиденциальность в общественных сетях Wi-Fi, защита от атак перебора пароля, легкий процесс соединения устройств без дисплея, более высокая безопасность для крупных организаций.         Конфиденциальность в общественных сетях Wi-Fi. Защита открытых беспроводных сетей на данный момент оставляет желать лучшего. Так как они открыты это позволяет подключиться любому пользователю, трафик, передаваемый через них, вообще не шифруется. Все передается в виде обычного текста, так что любой пользователь может перехватить ваш трафик. Появление зашифрованных HTTPS-соединений немного улучшило ситуацию, но не сильно. WPA3 призвано исправить данную ситуацию благодаря «индивидуальному шифрованию данных». При подключении к открытой Wi-Fi сети трафик между устройством и точкой доступа будет зашифрован. Это позволит сделать публичные сети более частными и не позволит злоумышленникам шпионить без фактического взлома шифрования.         Защита от атак перебора пароля (brute-force). При подключении устройства к точке доступа, устройство выполняет «Рукопожатие», которое гарантирует использование правильного пароля для подключения и для защиты соединения. Но «Рукопожатие» оказалось уязвимым. WPA3 определяет новое рукопожатие, что позволит обеспечить более надежную защиту, даже при выборе пароля пользователем, т.е. даже при использовании слабого пароля, стандарт WPA3 защитит от атак перебора пароля.         Легкий процесс соединения устройств без дисплея. В наше время появляются устройства, которые могут подключиться к беспроводной сети и при этом они не имеют дисплея, а также клавиатуры для ввода данных. WPA3 включает в себя функцию, которая позволит упростить процесс настройки безопасности для устройств, которые не имеют дисплея. На сегодняшний день, что-то похожее есть в Wi-Fi Protected Setup, которая включает в себя нажатие кнопки на маршрутизаторе для подключения устройства.         Более высокая безопасность для крупных организаций. WPA3 будет включать в себя «192-битный набор безопасности, в соответствии с коммерческими алгоритмом национальной безопасности (CNSA). Он предназначен для государственного, оборонного и промышленного применения. Комитет по системам национальной безопасности (CNSS) является частью агентства национальной безопасности США, поэтому изменение добавляет функцию, запрошенную правительством США, что позволяет реализовать более сильное шифрование на критически важных сетях Wi-Fi. На всех устройствах компании Cisco которые были перечислены в данной статье есть поддержка WPA3, но не стоит забывать, чтобы пользоваться WPA3 нужны совместимые устройства с этим протоколом. Так что некоторые устройства будут подключаться как раньше к WPA2, а другие через WPA3.  

Преимущества решений от Cisco Systems

  С точками доступа Cisco и беспроводными контроллерами можно получить ряд преимуществ:  
  • Получение собранной и проанализированной информации для более эффективного использования сети.
  • Автоматическое отделение и защита IoT- устройств от сети предприятия с помощью ПО Cisco Access.
  • С помощью специализированной интегральной микросхемы Cisco (ASIC) для приложений расширяйте возможности беспроводного доступа с помощью интеллектуальных функций и получите комплексную защиту с помощью классификации уровня устройства 1 и защиты от вторжений.
Точки доступа Cisco Catalyst 9100 могут решать проблемы сети следующего поколения. Точки доступа являются отказоустойчивыми, интеллектуальными и обеспечивают интегрированную защиту для мобильных клиентов и устройств IoT.   Беспроводные решения Cisco отличаются отказоустойчивостью, имеют необходимую интегрированную защиту и используют адаптивный и проницательный интеллект, обеспечивающий полезную информацию о вашей сети. Благодаря основанным на намерениях сетям, построенным на архитектуре цифровой сети Cisco, наши беспроводные решения выходят за рамки новейшего стандарта Wi-Fi 6 (802.11ax) и готовы к растущим ожиданиям пользователей, устройствам IoT и облачным приложениям следующего поколения.   Благодаря способности обрабатывать увеличенный мобильный трафик, а также поддерживать IoT в масштабах, первые точки доступа Cisco Wi-Fi 6 с передовыми радиочастотными инновациями расширят беспроводной доступ с интеллектуальными возможностями и обеспечат безопасное и надежное высококачественное беспроводное взаимодействие для всех сетей. Компонентами беспроводной сети являются: точки доступа, контроллеры, командный центр, Cisco DNA Spaces.  

Технические характеристики

 

Точки доступа Cisco

  Cisco Catalyst 9130  
  • Предназначен для крупного предприятия
  • с четырьмя приёмопередатчиками (2,4 ГГц и 5 ГГц), FRA, IOT-ready (BLE и Zigbee) и оптимизирован для стандарта Wi-Fi 6
  • Оснащен интегральной схемой Cisco RF ASIC для обеспечения обнаружения CleanAir, WIPS, DFS и поддерживает до 500 клиентов.
Cisco Catalyst 9120  
  • Предназначен для средних и крупных предприятий
  • с четырьмя приёмопередатчиками (2,4 ГГц и 5 ГГц), FRA, поддержкой IOT (BLE, Zigbee, Thread) и оптимизирован для стандарта Wi-Fi 6
  • Оснащен интегральной схемой Cisco RF ASIC для обеспечения обнаружения CleanAir, WIPS, DFS и поддерживает до 500 клиентов.
Cisco Catalyst 9117  
  • идеально подходит для небольших или средних развертываний
  • Три радиомодуля (2,4 ГГц, 5 ГГц и BLE), соответствующие стандарту Wi-Fi 6
  • поддерживает до 500 клиентов и доступен с внутренней антенной
Cisco Catalyst 9115 (на данный момент только эта серия сертифицирована в России).  
  • идеально подходит для небольших и средних предприятий
  • Три радиомодуля (2,4 ГГц, 5 ГГц и BLE) соответствуют стандарту Wi-Fi 6.
  • Поддерживает до 500 клиентов и доступен с внутренней или внешней антенной
Cisco Aironet 4800  
  • Целевое развертывание - крупные корпоративные организации, которым необходим критически важный трафик
  • Оснащен четырьмя приёмопередатчиками (2,4 ГГц и 5 ГГц), встроенными BLE и FRA, интеллектуальным захватом, Hyperlocation и поддерживает 802.11ac Wave 2
  • Поддерживает до 400 клиентов и может работать без контроллера через Mobility Express
Cisco Aironet 3800  
  • отлично подходит для средних и крупных предприятий, требующих критически важных трафика
  • Оснащен тремя приёмопередатчиками (2,4 ГГц и 5 ГГц) и FRA, способностью разрабатывать конкретные приложения с помощью отдельной платформы разработчика и поддерживает стандарт 802.11ac Wave 2.
  • Поддерживает до 400 клиентов и может работать без контроллера через Mobility Express
Cisco Aironet 2800  
  • Предназначен для средних и крупных предприятий, требующих расширенных функций
  • Оснащен тремя приёмопередатчиками (2,4 ГГц и 5 ГГц) и FRA и поддерживает 802.11ac Wave 2
  • Поддерживает до 400 клиентов и может работать без контроллера через Mobility Express
Cisco Aironet 1800  
  • Четыре различных точки доступа на выбор, все идеально подходит для малого и среднего бизнеса
  • Оснащен двумя приёмопередатчиками (2,4 ГГц и 5 ГГц), которые поддерживают стандарт 802.11ac Wave 2
  • Поддерживает до 400 клиентов и может работать без контроллера через Mobility Express

Беспроводные контроллеры Cisco

  Cisco Catalyst 9800-80  
  • отлично     подходит для крупных предприятий и сетей поставщиков услуг
  • Соответствует стандарту Wi-Fi 6 с пропускной способностью 80 Гбит / с
  • поддерживает 6000 точек доступа и 64 000 клиентов
Cisco Catalyst 9800-40  
  • идеально подходит для средних и крупных предприятий
  • поддерживает стандарт Wi-Fi 6 с пропускной способностью 40 Гбит / с
  • поддерживает 2000 точек доступа и 24 000 клиентов
Cisco Catalyst 9800-L  
  • Идеально подходит для малых и средних развертываний и предлагает две разные версии: медные и оптоволоконные каналы связи
  • поддерживает стандарт Wi-Fi 6 с пропускной способностью 5 Гбит / с
  • поддерживает 250 точек доступа и 5000 клиентов
Cisco Catalyst 9800-CL  
  • Виртуальный контроллер беспроводной связи, который имеет несколько вариантов масштабирования, развертывание в общедоступном или частном облаке и доступен VMWare ESXi, KVM, Cisco ENCS, Amazon Web Services и Google Cloud Marketplace
  • Wi-Fi 6, совместимый с пропускной способностью 2 Гбит / с
  • Может поддерживать до 6000 точек доступа и 64 000 клиентов

Встроенный беспроводной контроллер Cisco на AP

   
  • Нулевой вариант без физического устройства
  • Простота развертывания и управления через веб-интерфейс или мобильное приложение.
  • Может поддерживать до 100 точек доступа и 2000 клиентов
Cisco Catalyst 9800, встроенный в коммутатор Catalyst 9000  
  • Устанавливается на коммутаторы Cisco Catalyst 9300 и идеально подходит для небольших кампусов или распределенных филиалов.
  • Оптимизирован для стандарта Wi-Fi 6
  • поддерживает 200 точек доступа и 4000 клиентов
Контроллер беспроводной локальной сети Cisco 8540  
  • Отлично подходит для масштабного развертывания в сфере предоставления услуг, для предприятий и крупных кампусов.
  • поддерживает стандарт 802.11ac Wave 2 с пропускной способностью 40 Гбит / с
  • поддерживает 6000 точек доступа и 64 000 клиентов
Контроллер беспроводной локальной сети Cisco 5520  
  • Предназначен для средних и крупных предприятий и кампусов
  • 802.11ac Wave 2, совместимый с пропускной способностью 20 Гбит / с
  • Поддержка 1500 точек доступа и 20 000 клиентов
Контроллер беспроводной локальной сети Cisco 3504  
  • Идеально подходит для малого и среднего бизнеса
  • Оптимизирован для 802.11ac Wave 2 с пропускной способностью 4 Гбит / с
  • поддерживает 150 точек доступа и 3000 клиентов
12-16-2019
+7 915 OPTIMAL
125212, Москва,
Кронштадтский бульвар, д. 7А