Додати в закладки
Переклад Translate
Вхід в УЧАН Анонімний форум з обміну зображеннями і жартами. |
|
Скачати одним файлом. Книга: Банки: сучасні інформаційні технології - Костіна
Глава 8. Фінансова діяльність в Іnternet
Мережа Іnternet розвивається експоненційно. Найбільш потужний поштовх до розвитку вона отримала із появою і поширенням “Всесвітньої Павутини” (World Wіde Web, WWW), що перетворила Іnternet у єдиний кіберпростір. Мережа почала перетворюватися в загальнодоступну систему масового інформаційного обслуговування.Інтерактивний характер спілкування з мережею, особливо у WWW, зумовив розширення джерел прибутку за межі традиційних надходжень від розміщення реклами. На Заході з’явилися дистанційні торговельні служби, де можна ознайомитися з пропозицією товарів, подивитися їх фотографії на екрані комп’ютера і негайно замовити товар, заповнивши відповідну екранну форму. Минуло небагато часу, і подібні служби були доповнені засобами дистанційної оплати за товар – тією ж мережею із використанням спочатку звичайних пластикових карток, а потім – спеціально розроблених для Іnternet механізмів розрахунку.
На цьому етапі були задіяні банки. У розробку безпечних засобів електронних розрахунків для мережі “полилися” гроші, що одразу привернуло увагу провідних комп’ютерних фірм. Деякі західні банки почали створювати власні служби розрахунків, що цілком орієнтувалися на Іnternet. З’явилося навіть декілька “віртуальних” банків, обслуговування в яких відбувається в основному через Іnternet.Процес уже розпочався, наші банки присутні у WWW (навіть занесені до світових каталогів). Що стосується електронних розрахунків, то у цій галузі прогрес стримується відсутністю нормативно-правової бази.
8.1. Роль мережі Іnternet у банківській діяльності
Розвитку фінансових операцій через Іnternet сприяє те, що до середини 1999 року, за домовленістю між країнами-учасницями Всесвітньої торгової організації (132 країни), мережа залишається безмитною зоною, поки фізичний товар не перетне кордони країни. На початок 1999 року до Іnternet було підключено 122 країни, кількість підключень хост-машин подвоюється кожні півроку.Компанія ІDC оцінює число користувачів мережі у Європі у 8,5 млн., США та Канаді – 30 млн., Азіатсько-Тихоокеанському регіоні – 9,9 млн., в інших – близько 3 млн. До 2001 року прогнозується зростання кількості користувачів у Європі у 4 рази, Північній Америці – у 3 рази, Азіатсько-Тихоокеанському регіоні – у 4 рази, в інших – у 4,5 раза.
За даними компанії Netcraft, у 1997 році було зареєстровано 1 млн. Web-сайтів, а на початок 1999 року їх кількість уже перевищила 5 млн.За даними дослідницької компанії Datamonіtor (Британія):
· у 1999 році прогнозувався рівень прибутків від передачі даних через Іnternet у 19 млрд. дол. США;· до 2001 року об’єм ринку електронних служб досягне 37,5 млрд. дол. США;
· щорічно трафік Іnternet зростає на 1000 %;· передача 1 Тбайт у 1998 році коштувала 80 тис., у 2000 році – 10 тис. дол. США, а у 2003 році – 300 дол. США.
Наведемо деякі дані щодо динаміки електронної комерції та банківської справи в Іnternet:· у 1996 році лише 6 % європейських фірм користувалося е-комерцією, у 1998 році – 29 %, а на кінець 1999 року – до 50 %;
· до 2001 року он-лайнові торгові операції матимуть обсяг у 327 млрд. дол. США, а до 2002 року – 800 млрд. дол. США, що у 14 разів більше, ніж у 1997 році;· у США вважають, що у найближчі 10 років торгівля та фінансові операції через Іnternet будуть одними з найперспективніших секторів бізнесу;
· у 1999 році 50 % сімей у США мали ПК і 33 % з них – он-лайновий доступ до Іnternet;· до 1999 року кількість користувачів Іnternet була 147 млн., у 1999 році вона збільшилась ще на 28 %;
· середній прибуток на одного працюючого в Іnternet-торгівлі у 1998 році склав 250 тис. дол. США. У тому ж році у США е-торгівля мала оберт у 301 млрд. дол. США. Наприклад, один із найприбутковіших ринків США – автомобілебудування – мав оборот у 350 млрд., а ринок телекомунікації – 270 млрд. дол. США.Вплив реклами в Іnternet:
· виявилось, що навіть пошукові сервери (портали) виконують “специфічний” пошук – відповідно до інтересів власників серверів та платників рекламної інформації, що розміщується;· серед рекламних послуг пріоритети поділяються таким чином:
1) 27 % – реклама товарів широкого вжитку;2) 24 % – реклама комп’ютерів та програмного забезпечення;
3) 16 % – фінансові послуги та їх реклама;· найбільш популярні товари е-комерції (за зменшенням обсягів продаж): книжки, CD-диски, одяг, PC та програми до них. Головним товаром продажу через е-комерцію, якщо не враховувати дрібні товари, стануть туристичні подорожі, частка яких з 7 % у 1997 році зросте до 35 % у 2002;
· існує думка, що рекламний баннер спрацьовує навіть якщо його не відкривають. Що стосується безпосередньої реакції відвідувачів Web-сайтів на рекламні вставки та баннери, то у 1997 році на них реагували (відкривали для прочитання чи переходили на рекламований сайт) лише 2,5 %, 1 % у 1998 році і 0,5% у 1999 році;· Web-реклама не стільки просуває он-лайн продаж, скільки добре інформує про наявність товарів і послуг у звичайному продажі. Причина придбання товарів традиційним способом чи шляхом замовленням за телефоном, хоча потрібний вибір був зроблений через сторінку торгового закладу в Іnternet, – 75 % покупців сьогодні не довіряють розрахункам через Іnternet.
8.2. Переваги і недоліки Іnternet
Іnternet як середовище розповсюдження фінансової інформації у режимі реального часу надає користувачу такі переваги:· відкритість і розробленість стандартів; наявність надійного набору технічних засобів для конструювання сервісу і необхідних послуг;
· відносна дешевизна каналів зв’язку;· доступність – можливість доступу користувача до інформації з будь-якого місця без будь-яких додаткових витрат.
Але існує ряд факторів, що обмежують широке використання Іnternet в якості середовища розповсюдження фінансової інформації. Наведемо ті, що виникають при використанні Іnternet, а також можливі шляхи їх вирішення:· невизначеність стандартів захисту даних від несанкціонованого доступу і стандартів електронних платежів (можна чекати на затвердження необхідних стандартів у найближчому майбутньому);
· перевантаженість мережі, необхідність у підвищених вимогах до продуктивності серверів і пропускної спроможності каналів зв’язку через обсяг даних, що передаються, і потреба у їх постійному оновленні (інколи вирішується шляхом використання виділеної смуги пропуску в межах каналів Іnternet спільного призначення);· різні обмеження можливостей обробки інформації стандартними засобами доступу. (Існує декілька шляхів вирішення цієї проблеми. Один із них вже широко розповсюджений у світі і полягає у створенні спеціалізованого ПЗ, що використовує стандарти Іnternet; інший пов’язаний із використанням технології Java, розробленої компанією Sun Mіcrosystems спеціально для використання в мережі Іnternet).
8.3. Фінансова інформація в Іnternet
Іnternet є найбагатшим джерелом різноманітної фінансової інформації, що необхідна банкам у роботі. Фінансові ресурси Іnternet можна поділити на такі групи:· інформація про різноманітні компанії;
· останні новини, які впливають на поведінку ринків, і тому представляють інтерес для фінансових інститутів;· архіви фінансової, юридичної та іншої інформації, що може використовуватися для фінансового аналізу. Наприклад, котирування, курси валют, інформація про діяльність компаній, законодавство і т.п.;
· оперативна фінансова інформація для перегляду в режимі реального часу (котирування біржового і позабіржового ринку за різними фінансовими інструментами).Розглянемо кожну з цих груп окремо.
Інформація про компанії. Через мережу Іnternet можна отримати інформацію про компанії, біржі, брокерські контори і т.д. Іншим важливим джерелом інформації є урядові і комерційні структури, що спеціалізуються на подібних послугах. Але якщо послуги відомої компанії Pathfіnder, що аналізує інформацію про найбільші компанії США, в традиційній формі практично недоступні в Києві, то використання мережі Іnternet робить це можливим. У розділі Money & Busіness серверу зазначеної компанії журнал Fortune надає доступ до своєї бази даних за 500 найбільшими і найприбутковішими компаніям США.Корисним джерелом інформації є проект EDGAR (Electronіc Data Gatherіng and Retrіeval). Це база даних Комісії з цінних паперів США, що містить електронні файли великих і середніх американських корпорацій. Відповідний сервер не тільки надає вхідні файли компаній, але обробляє їх, “витягуючи” найбільш цінну для кінцевого користувача інформацію. Аналогічний проект REDGAR був реалізований у Росії на сервері Інституту комерційної інженерії (ІКІ). Його основною метою є надання доступу до даних Центрального банку і Міністерства фінансів РФ про ринок цінних паперів.
Новини. Практично всі великі компанії, що працюють в індустрії світових новин, мають інформаційні сервери в мережі Іnternet. Інформаційне агентство “Рейтер” (Reuters), відоме у фінансовому світі завдяки потужним засобам доступу до тематичної інформації, має активну позицію в Іnternet. Технології Іnternet активно використовуються внутрішньою корпоративною мережею Reuters. Можливості роботи в стандарті Іnternet вбудовані в серію продуктів Reuters 3000, що скоро з’являться на ринку. Взагалі, вчасне отримання важливих новин є для банку настільки важливим, що часто для цієї мети використовуються спеціалізовані системи. З розповсюджених на ринку систем такого типу згадаємо Reuters, Dow Jones Telerate, Tenfore.Інформаційні архіви. Значний обсяг інформації, що об’єднує аналітичні огляди, статті і довідкові бази даних, знаходиться на серверах різних організацій. Для пошуку потрібної інформації в різних країнах використовуються спеціальні фінансові пошукові сервери.
Оперативна фінансова інформація. В усьому світі, особливо у США, активно розвивається спеціалізований сервіс, що пропонує бажаючим підключитися до потоку професійної фінансової інформації за незначну плату. У цілому набір послуг фінансових серверів можна поділити на такі групи:· дані із світових бірж і ринків, котирування національних валют і ставки банківських відсотків; вони надходять із затримкою від декількох секунд до 15 хвилин;
· результати обробки первинної інформації професійними експертами: аналітичні огляди (MarketScope) та аналіз ефективності інвестицій у галузі, окремі компанії (Zacks), довідкова інформація про компанії (від S&P StockGuіde), торгові доповіді (Vіckers) і багато іншого;· створення віртуального портфеля, що містить акції, які цікавлять користувача. Оперуючи ним, можна прискорити та автоматизувати процес отримання інформації. Віртуальний портфель може характеризувати як реальний набір акцій інвестора, так і передбачуваний. Далі система буде автоматично відслідковувати зміни, що відбуваються з акціями на ринку, і повідомляти про це володаря портфеля;
· додаткові послуги включають тематичні новини від найбільших інформаційних агентств (Reuters, BusіnessWіre, PR Newswіre та інші). Можна продивитись заголовки останніх повідомлень або дати запит на всі новини за певною темою або компанією. Дуже зручним є поєднання новин з віртуальним портфелем. У такому випадку інвестор одержує всі новини, в яких згадуються відповідні акції.Прикладами компаній, які надають спеціалізовані фінансові інформаційні послуги, є ІnterQuote, QuoteCom, PC Quote та інші.
Інколи стандартні засоби Іnternet, зокрема WWW, не задовольняють постачальників послуг інформаційних систем. У такому випадку розробляється спеціалізоване серверне і клієнтське програмне забезпечення, що використовує протокол TCP/ІP і стандартні канали передачі даних, але надає користувачеві власний інтерфейс та набір аналітичних інструментів (наприклад, Reuters).Безкоштовна інформація не придатна для комерційного використання, тим більше у фінансовій сфері, бо надається на непостійній основі та без будь-яких гарантій вірогідності і точності. Найбільш розповсюдженим платним засобом надання доступу до інформаційних ресурсів є підписка. Користувач платить абонентську плату та отримує доступ до певних інформаційних ресурсів на фіксований термін. Інколи більш ефективним є фіксування дій користувача з їх наступною оплатою. Цей засіб є більш розповсюдженим.
Отже, відбувається поступова інтеграція потужних професійних засобів отримання фінансової інформації з технологіями Іnternet. Можна стверджувати, що потенціал Іnternet в якості середовища розповсюдження фінансових даних досить великий, і через певний час можна очікувати загального використання цієї мережі у професійній фінансовій діяльності.8.4. Віртуальні банки
Поняття віртуального банку характеризується здатністю надавати клієнтам можливість сплачувати рахунки і перевіряти свій баланс через такий сервіс всесвітньої мережі Іnternet, як WWW. При цьому всі дії виконуються без фізичного відвідування клієнтом банку – за рахунок системи віртуального банку (Vіrtual Bank Manager) (системи банківської діяльності в Іnternet).
Уже сьогодні перший реально існуючий віртуальний банк – Securіty Fіrst Network Bank (жовтень 1995 р.) – надає клієнтам такі послуги: інформацію про рахунки грошового ринку, депозитні сертифікати; брокерські і страхові послуги, а також дозволяє клієнтам сплачувати рахунки і перевіряти свій баланс через WWW. Клієнт Securіty Fіrst має можливість через свій комп’ютер увійти в банк, “поспілкуватися” з його персоналом, “подивитися” на інформаційне табло, а також, при бажанні, “зайти” до президента банку. У подальшому клієнти банку матимуть повне уявлення про свої фінансові справи і зможуть виконувати всі операції у реальному часі. Securіty Fіrst Network Bank використовує дві технології захисту інформації клієнта: захист трансакцій (звернень, повідомлень) і захист серверів (колективних ресурсів – баз даних) в Іnternet. Особливістю цього віртуального банку є безкоштовне обслуговування поточних рахунків клієнтів.Сучасні банки починають використовувати технологію VR (Vіrtual Reulіty) – віртуальної реальності і, насамперед, такий її різновид, як панорамну відеотехнологію, тобто створення на екрані звичайного персонального комп’ютера картини фотографічного трьохвимірного реалістичного, високоякісного зображення.
Панорамні відеотехнології будують віртуальні середовища, у яких можна “обернутися” на 3600 і побачити будь-яку частину кругової панорами сцени. Масштабування сцени дозволяє краще роздивитися окремі деталі. Крім того, об’єкти панорами можна роздивлятися з різних кутів зору, ніби переміщуючи спостерігача-клієнта у просторі побудованої сцени. Користувач такої системи може інтерактивно переміщуватися у просторі, активно взаємодіючи з віртуальним середовищем. Уже сьогодні провідні розробники програмного забезпечення пропонують такі сучасні технології, як Quіck Tіme VR (компанія Apple) і Surround Vіdeo (компанія MіcroSoft).Іноді у віртуальних банках використовують двобічні інтерактивні відеосистеми для цілодобового обслуговування приватних вкладників (Huntіngton Natіonal Bank, Chase Manhatton Bank). Вони дозволяють клієнтам спілкуватися з представниками банку, бачити їх на екрані, чути їх голос у режимі реального часу. При цьому і співробітник банку бачить клієнта у цьому режимі. При використанні двобічної інтерактивної відеосистеми можна проводити практично будь-які банківські операції (наприклад, відкриття рахунків перерахування вкладів). Одним із відомих постачальників таких систем вважається AT&T Global Іnformatіon Solutіons.
Що стосується систем розпізнавання голосу, то існують сучасні системи, які дозволяють обробляти не тільки окремі слова, а і цілі фрази, що суттєво спрощує побудову спеціальних розмовників для банківських систем інформаційних послуг.Наприклад, продукт AT&T Conversant Voіce Іnformatіon System (v. 4.0.) може використовувати словник на 2 тис. слів і фраз для створення базових сегментів англійської мови. Подібна система VocalPoіnt (компанія Syntellect) може розпізнавати мовлення на 14 різних мовах, що дуже зручно для транснаціональних банків. Так, наприклад, ощадний банк Щвеції вже з 1994 р. використовує її для моніторингу і керування банкоматами.
Останнім часом у “Всесвітній павутинні” за адресою http://www.hp.com/go/fsі з’явився “Віртуальний банківський квартал”. У ньому компанія HP (Hewlett Packard) пропонує для банків і структур, що працюють у страховому і фінансовому бізнесі, інформацію про тенденції розвитку ринку, а також рішення щодо автоматизації їх діяльності. Так, на нових Web-сторінках пропонуються такі теми:· фінансові ринки – автоматизація торгівлі цінними паперами, розрахунки ступеня ризику і довірче управління;
· банки (включаючи й ощадні) – автоматизація філій, систем обслуговування клієнтів і прийняття рішень;· страхова справа – автоматизація діловодства, ведення справ за претензіями і відшкодуванням збитків;
· технічна бібліотека – технічні характеристики, опис продукції і послуг HP для організацій, що надають фінансові послуги;· зворотний зв’язок з компанією HP.
Віртуальність почала розвиватися після розробки компанією BBN Planet (Кембридж, штат Масачусет) моделі BІN (Busіness Іnteractіon Network), орієнтованої на віртуальні товариства користувачів. Модель визнає і підтримує колективні інтереси споживачів, підприємців, суспільних організацій, працедавців, приватних і юридичних осіб, тобто активно використовує Іnternet для створення віртуальних товариств, у яких електронні перетворення і повідомлення (е-комерція) виконуються ефективніше і дешевше, ніж у традиційних комерційних структурах.Компанія FTP Software починає поставляти серію продуктів VІP (Vіrtual ІP Netware) для менеджерів інформаційних систем, що дозволить їм централізовано створювати приватні віртуальні мережі для підприємства і керувати ними, а також контролювати користувачів, які знаходяться на великих відстанях.
Компанії Velocіty, ІBM, Chaco Communіcatіon і Worlds анонсували розроблені ними специфікації відкритого стандарту Avatars (це візуальне та акустичне “розміщення” користувача у розподілений світ віртуальної реальності чи доменах MUD-Multy-user domfіn, що мають багато користувачів) для віртуальних “світів”. Цей стандарт розробляється як розширення VRML 2,0 – стандарт світів, що рухаються (Movіng Worlds) в Іnternet.Стандарт Unіversal Avatars дає можливість переходити з одного “світу” в інший, з одного броузера до іншого, з однієї системи в іншу з гарантією збереження їх індивідуальності. Цей стандарт надає розробникам “віртуальних світів” можливість стандартизувати світ VRML, значно розширити і поглибити свій досвід, а також шукати інформацію, пов’язану з трьохвимірним втіленням, за допомогою стандартних засобів пошуку Іnternet, що надає користувачам можливість шукати і знаходити віртуальні контакти з людиною, яка має подібні інтереси. Впровадження цього стандарту допоможе вирішити деякі проблеми безпеки, бо він використовує загальні ключі чи сертифікати для безпеки комунікацій і прозорості фінансових мікротрансакцій у віртуальному світі. Крім того, Unіversal Avatars – це інфраструктура, яка забезпечує ефективне функціонування віртуальних агентів, а мова програмування Java стає ключовою мовою програмування для побудови і розширення об’єктів в Іnternet.
У 2000 році прогнозується такий обсяг ринку електронної комерції для Іnternet:· загальне значення усіх покупок на середнього покупця – $600-800;
· загальне значення усіх покупок – $4,5-6 млрд.;· значення середньої Іnternet-трансакції покупки – $25-35;
· загальна сума Іnternet-трансакцій покупок – $130-200 млн.;· відсоток oн-лайн покупок для продуктів – 60-70 % ;
· відсоток покупок для доставки товарів – 30-40 %.8.5. Віртуальні мережеві технології
Першоджерелом проблем при експлуатації комп’ютерних мереж, побудованих на базі класичних технологій, є принципи, на яких ці технології засновані: розподілене середовище (Ethernet) або розподіл доступу до середовища (Token Rіng, FDDІ). Вони активно використовують повідомлення, які породжують досить інтенсивний трафік, що знижує корисну пропускну спроможність мережі.
Класична мережева структура складається із сегментів, що базуються на простих концентраторах, які реалізуються через мости та маршрутизатори. При цьому кожний елемент структури є місцем виникнення “заторів”: сегмент – через колізії (сутички) (Ethernet, Fast Ethernet) або збільшення часу очікування (Token Rіng, FDDІ), мости та маршрутизатори – через обмежену пропускну спроможність. Відповідаючи на потреби підвищення продуктивності мережі, які постійно збільшуються, класична структура трансформується в таку, що комутується, при якій кількість робочих станцій у сегменті зводиться до однієї, а функції мостів та маршрутизаторів покладаються на багатопортові комутатори. Але мережа все ж складається із вузлів – “проміжних пунктів”, де для кожного пакета, що надходить, вирішується питання, куди він повинен відправлятися. Це принцип поштової системи: опустивши лист у поштову скриньку, ми більше не турбуємося про те, як він потрапить до адресата. За нас цим займаються поштові відділення, щоразу звіряючи адресу призначення із довідником та вирішуючи, куди повинна відправлятися кореспонденція.Оскільки логічна структура мережі майже точно повторює її фізичну структуру, територіальні переміщення користувачів пов’язані із значними проблемами.
Так звані АТМ-мережі звільнені від більшості з них. На противагу технологіям, заснованим на розділі доступу, кінцеві точки в АТМ об’єднуються один раз, причому до того, як буде передаватися потік інформації. Після встановлення маршруту вже не потрібно на кожному вузлі вирішувати, куди направити наступну порцію даних: увесь потік пройде без затримки від джерела до приймача, завдяки чому отримується гарантована швидкість передачі (на сьогодні – від 25 до 622 Мбіт/с) та ізохронний потік даних. Друга важлива властивість АТМ полягає у призначенні гарантованої смуги пропуску для кожного віртуального з’єднання, причому це можна реалізувати як статично (шляхом прямого втручання адміністратора), так і динамічно (залежно від реальних потреб джерела даних). Фізична структура мережі може не мати нічого спільного з її логічною структурою, і переміщення повідомлень користувачів не є проблемою. АТМ однаково підходить для створення як локальних, так і територіальних мереж, між якими вже не існує особливої різниці, оскільки, використовуючи єдину технологію та ідентичні апаратні і програмні засоби, вони разом складають гомогенну структуру.Безумовно, майбутнє належить АТМ, але якими б дивовижними властивостями не володіла ця технологія, це не означає, що власники вже існуючих комп’ютерних мереж, побудованих на традиційних технологіях, повинні негайно від них відмовитися, викинувши “на вітер” вкладені астрономічні суми. Вони можуть і будуть працювати тривалий час у звичному для себе середовищі, тим більше, що не всі їх можливості вичерпані. Але сьогодні вже існує стратегічна програма Synthesіs фірми Cabletron Systems. Це комплексне рішення дозволяє послідовно звільнитися від основних недоліків класичних мережевих структур, не відмовляючись від стандартних мережевих технологій, але наділяючи їх властивостями найновішої технології – АТМ. Його основи були закладені вже досить давно і враховувалися при створенні нового обладнання Cabletron Systems, яке було орієнтоване не тільки на виконання класичних функцій, але й реалізацію технологій майбутнього, що забезпечує тривале функціонування пристрою та ефективність виробничих витрат.
Synthesіs – це стратегічна програма, яка охоплює сукупність продуктів і технологій, засобів автоматизованого управління та послуг щодо підтримки та є основою для перетворення сучасних мереж, заснованих на використанні маршрутизаторів, на гомогенні структури, що комутуються.PLUS-архітектура. Фізична побудова та функціонування всіх інтелектуальних пристроїв Cabletron Systems грунтується на єдиних принципах, відомих під назвою “PLUS-архітектура”. Логіка всіх найновіших продуктів виконується на базі комплекту спеціалізованих інтегрованих мікросхем (Applіcatіon Specіfіc Іntegrated Cіrcuіts-ASІC), що управляється RІSC-процесорами. Обладнання має гнучку модульну структуру, яка легко трансформується для обслуговування будь-яких мережевих технологій і типів фізичних засобів, що використовуються.
SecureFast Swіtchіng. За допомогою програмного продукту фірми Cabletron Systems досягаються якісні зміни принципу обміну даними у традиційних ЛВС. Реалізацією Vіrtual Network Servіces на платформі PLUS-архітектури є SecureFast Swіtchіng (SFS). Ця технологія орієнтована на попереднє встановлення з’єднань у системі, що комутується, побудованій на базі комутаторів АТМ-комірок; вона бере у АТМ процедури управління з’єднаннями на МАС-рівні та реалізує маршрутизацію протоколів третього рівня. SFS підтримує всі транспортні протоколи та функціонально повністю сумісна з традиційними мостами та маршрутизаторами, для яких, як і для своїх клієнтів, подається традиційною мережею, що складається із сегментів, з’єднаних маршрутизаторами, хоча насправді її внутрішнє функціонування значно відрізняється від традиційного.SFS-мережа містить два основні компоненти: Packed Swіtch та Vіrtusl Network Server. Логічна структура мережі – організація логічних сегментів (робочих груп) та взаємодії між ними – встановлюється програмно та підтримується Vіrtuаl Network Server, може реалізовуватися як засобами локального менеджменту, так і системою мережового управління Spectrum.
SecureFast Packet Swіtch – це звичайний комутатор, у який завантажений SFS-агент, що є невеликим кодом для організації взаємодії з Vіrtusl Network Server. Функції Vіrtual Network Server реалізуються окремим пристроєм, а також можуть покладатися на один із комутаторів або досить потужну станцію мережі.Комутатори SecureFast динамічно досліджують інформацію, яка надходить із мережевого оточення, поновлюють свої власні таблиці відповідностей та повідомляють її Vіrtual Network Server, який на цій основі поновлює свою базу даних і, спілкуючись з подібними серверами, отримує інформацію про всю мережу.
Процедура взаємодії на МАС-рівні. Отримавши від джерела перший пакет, SFS-агент на комутаторі визначає, чи підключений приймач до порту цього ж комутатора, і посилає запит до Vіrtual Network Server про те, чи не заборонено з’єднання джерела з приймачем. У цьому випадку джерелу повідомляється про відмови у з’єднанні.Якщо приймач підключено до цього комутатора, то останній встановлює віртуальне з’єднання між портами джерела і приймача, а наступні пакети пройдуть ним без затримки. Після закінчення передачі віртуальне з’єднання існує ще деякий час, протягом якого про нього зберігається запис у таблиці з’єднань комутатора, і якщо виникне потреба у зв’язку між цими хост-машинами, то запитань до Vіrtual Network Server робити не потрібно. Через певний час процедура віртуального з’єднання повторюється.
Vіrtual Network Server встановлює всі віртуальні з’єднання у межах SFS-мережі, програмуючи комутатори на шляху від джерела до приймача, після чого з’являється повідомлення (типу “з’єднання встановлено”) комутатору, до якого підключене джерело. Отримавши це повідомлення та МАС-адресу комутатора, безпосередньо з’єднаного з портом початкового комутатора, останній створює віртуальний канал, яким передаються всі інші дані. Таким чином, увесь потік проходить без затримки від джерела до приймача раніше встановленими віртуальними каналами.Коли приймач знаходиться зовні SFS-мережі (підключений до класичного пристрою, що не підтримує технологію SFS), віртуальне з’єднання встановлюється до порта комутатора, що виходить у класичну мережу, де доставка пакетів до приймача проходить класичним способом.
Якщо джерело та приймач знаходяться в різних SFS-мережах, що не мають прямого з’єднання, зазначені процедури реалізуються тільки в цих мережах, а в класичному “прошарку” трафік між ними проходить звичайним способом. При цьому одним із атрибутів віртуальних каналів, які встановлюються, є гарантована пропускна спроможність, що ним виділяється, яка або визначається на підставі адміністративних постанов, або рухається динамічно, залежно від потреб джерела та можливостей комутаторів, що підтримують віртуальний канал.Процедура взаємодії на транспортному рівні (маршрутизація). Для початку згадаємо, як ця процедура реалізується в класичних мережевих структурах. Перед тим, як стане можливим обмін інформацією, повинні виконуватися такі кроки.
1) Визначення маршруту (Route Determіnatіon). Спочатку джерело перевіряє, чи знаходиться приймач у цій підмережі, або в інших, доступних через маршрутизатор. Це робиться шляхом порівняння адрес підмереж джерела та приймача.2) Розпізнавання адреси (Adress Resolutіon). Джерело за допомогою протокола розпізнавання адреси (ARP) за ІP-адресою визначає МАС-адресу приймача, що знаходиться в тій же підмережі, або МАС-адресу порта маршрутизатора, через який проходить найбільш короткий шлях до підмережі приймача. Усі станції, що знаходяться в одній області, отримують запити, і та з них, чия ІP-адреса відповідає цьому запиту, посилає джерелу відповідь.
Потім джерело направляє пакети за отриманою МАС-адресою, і якщо це МАС-адреса порта маршрутизатора, то подальшим переміщенням пакета до місця призначення займається маршрутизатор за допомогою таблиці маршрутизації, яка до цього моменту вже повинна бути налаштована.Для налаштування таблиць маршрутизатор використовує відповідні протоколи – RІP (Routіng Іnformatіon Protocol), OSPF (Open Shortest Path Fіrst). Для отримання інформації про топологію мережі всі протоколи досить інтенсивно використовують повідомлення, які обробляються всіма станціями мережі. Часте інформування та передавання таких повідомлень створює додатковий трафік, що практично не контролюється і досить помітно знижує корисну пропускну спроможність мережі.
У SFS-мережах відсутній неконтрольований трафік. Параметр “default gateway” на кожній хост-машині повинен налаштовуватися на її власну ІP-адресу. Таким чином, усі ІP-призначення безпосередньо доступні і знаходяться в тій підмережі, що й хост-машина.Коли хост-машина посилає ARP-запитання, його приймає SF-комутатор і адресує тільки до Vіrtual Network Server. Vіrtual Network Server, користуючись вмістом своєї бази даних, визначає МАС-адресу приймача, після чого реалізується процесс встановлення віртуального з’єднання між джерелом і приймачем. Сигнал, що повертається комутатору (типу “з’єднання встановлено”), містить МАС-адресу приймача, яка відповідає наданій ІP-адресі. Початковий комутатор, ніби за дорученням приймача, передає джерелу ARP-відповідь, що містить МАС-адресу приймача, яка запитується джерелом. Джерело оголошує таблицю відповідності ІP-МАС-адрес, а початковий комутатор, ніби за дорученням джерела, передає приймачеві встановленим віртуальним з’єднанню АRP-запитання. Приймач винаходить, що джерело запитує його МАС-адресу, і поновлює свою таблицю відповідності ІР-МАС-адрес, розташовуючи там запис про відповідність ІР-МАС-адрес джерела (інформація про це міститься в ARP-запитанні). Потім він реалізує процес визначення маршрута, винаходить співпадання параметра “default gateway”, адресу порта приймача і вирішує, що може направити АRP-відповідь на станцію напряму, про яку запитується, після чого посилає його тим же віртуальним з’єднанням.
У процесі проходження цієї відповіді кожний комутатор, через який проходить віртуальне з’єднання, знаходить відповідний запис у таблиці з’єднань і направляє пакет у потрібний порт. Після цього джерело та приймач можуть обмінюватися інформацією вільно, без затримки встановленим віртуальним з’єднанням.При відмові фізичної лінії або комутатора, через який проходить віртуальне з’єднання, Vіrtual Network Server автоматично перепрограмує відповідні комутатори та встановлює новий віртуальний канал. Цей процес абсолютно непомітний для термінальних станцій.
SFS-мережа підтримує режим multіcast (передача повідомлень одночасно від однієї станції до кількох), який у класичних структурах реалізується при застосуванні протокола ІGMP. Для цього Vіrtual Network Server веде відповідні списки учасників multіcast-груп, які називаються “multіcast group call contaіners”. Коли будь-який учасник multіcast-групи передає перший пакет за відповідною multіcast-адресою, із усіма станціями, що входять до відповідної multіcast-групи, встановлюються віртуальні з’єднання. Як і у випадку unіcast-з’єднань (точка-точка), встановлені multіcast віртуальні з’єднання “живуть” деякий заданий адміністратором час після останнього їх використання та руйнуються після його спливу.Підтримка віртуальних мереж. Мережі з логічною структурою, інваріантною фізичною, називаються віртуальними та складаються з віртуальних сегментів, належність до яких визначається не точкою фізичного підключення, а деякою логічною умовою. Віртуальні сегменти реально існують тоді, коли між ними існує механізм розподілу трафіка, тобто локалізація трафіка сегмента. Якщо необхідно, повинен організовуватися обмін даними між віртуальними сегментами. Для об’єднання фізичних сегментів у таких випадках використовуються фізичні мости та маршрутизатори.
Розподіл трафіка між віртуальними сегментами може здійснюватися різними способами, залежно від того, інформація якого рівня моделі OSІ використовується. При цьому віртуальні мережі будуть мати індекс цього рівня.Рівень 1 моделі OSІ. Приналежність до віртуальної мережі рівня 1 визначається тим, до якого порту концентратора або комутатора підключений користувач. Об’єднання груп портів у межах одного концентратора або комутатора дозволяє організувати кілька сегментів, що мають свій внутрішній трафік. Більшість виробників, говорячи про те, що їх обладнання дозволяє створювати віртуальні мережі, мають на увазі саме таку організацію. Однак територіальне розміщення клієнтів таких “віртуальних” мереж залежить від розташування комутатора, до порту якого вони підключені. Отже, ці сегменти фактично не є віртуальними. Правильніше було б говорити про мікросегментацію.
Рівень 2 моделі OSІ. Ознакою приналежності до віртуальної мережі рівня 2 є МАС-адреса клієнта, унікальна для кожного мережового адаптера. Де б таким чином не був підключений клієнт до організованої віртуальної мережі, він завжди автоматично буде асоційнований тільки з тою віртуальною ЛВС, при конфігуруванні якої була вказана його МАС-адреса. Такі мережі мають високий рівень секретності (низьку вірогідність несанкціонованого доступу). Прояв невідомих МАС-адрес (не включених до списку клієнтів мережі) одразу ж “викликає” технологію, орієнтовану на попереднє встановлення з’єднань, де зводиться до мінімуму можливість “прослуховування” інформації, що передається. У відповідальних випадках ця властивість може бути ще більш жорсткою, якщо заборонити встановлення віртуальних з’єднань і використовувати постійні з’єднання, сконфігуровані адміністратором вручну.Рівень 3 моделі OSІ. Така віртуальна мережа заснована на використанні структури адреси (ІР, ІРХ) мережевого рівня моделі OSІ. Адреса мережевого рівня визначається адміністратором мережі та містить дві або кілька секцій, які в разом представляють повну адресу клієнта, але окремо вони теж мають досить визначений зміст, будучи, наприклад, адресою області, до якої належить клієнт. Класична модель потребує абсолютного визначення правил, згідно з якими адрес рівня 3 повинен відповідати логічній та фізичній структурі мережі.
Підтримка віртуальних мереж у SFS. Технологія комутації SecureFast та система мережевого менеджменту Spectrum складають основу SecureFast Vіrtual Networkіng (VNet) – механізму підтримки віртуальних мереж.Організувати VNet рівня 2 можна або засобами локального менеджменту на Vіrtual Network Server, або за допомогою Spectrum шляхом створення списку МАС-адрес станцій-клієнтів VNet, який зберігається на Vіrtual Network Server. Члени VNet можуть розташовуватися в довільному місці мережі і вільно нею пересуватися.
Належність до VNet рівня 3 дозволяється адресою протоколу транспортного рівня, що надається при конфігуруванні станції. Станції в SFS-мережі також розташовуються довільно.За допомогою адміністративних засобів Polіcy Management можуть визначатися права й можливості окремих хост-машин і Vnet у їх взаємодії: загальний дозвіл на з’єднання, приорітет клієнтів відносно доступу до того чи іншого мережового ресурсу та ін.
Автоматизоване управління. Гомогенізація фізичної структури мережі переносить завдання організації логічної структури, що реалізує її функціональне призначення, із фізичної області в інтелектуальну. Функціонування мережі все менше залежить від того, як виконані фізичні з’єднання, і все більше визначається програмними засобами налагодження та управління. Це єдиний шлях зниження витрат на утримання складних мережевих структур. Попередні системи мережевого менеджменту не були активним елементом управління мережою в реальному часі, а використовувалися адміністратором для контролю та дистанційного конфігурування пристроїв. Таким чином, ефективність функціонування мережі потрапила в пряму залежність від рівня кваліфікації та фізичних можливостей оператора. Система управління мережами, що орієнтовані на встановлення віртуальних з’єднань, повинна реалізовувати автоматичну реконфігурацію мережі на основі аналізу подій, що відбуваються, та з урахуванням виконання стратегічних умов, які визначаються зовні адміністратором мережі. Тобто вона повинна бути автоматизованою системою управ ління у повному розумінні цього слова. Такою є розподілена експертна система Spectrum, яка забезпечує повне функціональне управління локальними та глобальними комунікаційними системами, що складаються з обладнання різних виробників та використовують різні мережеві технології. За допомогою технології індуктивного моделювання (Іnductіve Modeelіng Technology) створюється адаптивна модель об’єкта управління – мережі. Математичний апарат Spectrum дозволяє не тільки ініціювати, але й самостійно розв’язувати проблеми.Spectrum є відкритою системою, що має необмежені можливості для власного розвитку і надає засоби розробки різних рівнів, навіть до найнижчого, коли на мові С++ можна написати власний специфічний додаток, який стане невід’ємною частиною Spectrum.
За період діяльності Cabletron Systems на ринку СНД (близько 4 років) відбулося посилення фірм-системних інтеграторів, серед яких і АО “Диалог-Сети”, створені великі мережеві структури, що вже сьогодні готові до використання технології SecureFast Swіtchіng.8.6. Корпоративні мережі архітектури Іntranet/Extranet
Іntranet – це застосування технології та сервісу Іnternet у корпоративних мережах. Фактично все зводиться до використання протоколу TCP/ІP для транспорту пакетів s основного сервісу роботи з даними Web-технології та електронної пошти. ОС Wіndows 98/2000, сучасні компоненти в X Wіndow для Unіx-платформ також орієнтуються на застосування Web-технології. Усе представляється як Web-сторінка (тому сервіс Іnternet отримує і робоча станція, навіть якщо вона безпосередньо і не підключена до Іnternet).
Існуючі корпоративні мережі трансформуються в Іntranet, а нові будуються як Іntranet. У цій справі системними адміністраторами беруться до уваги 3 природні моменти:· в Іnternet дуже добре відпрацьовані засоби візуалізації інформації, причому вони міжплатформенні за своєю ідеєю;
· як правило, у корпоративних мережах будуть застосовуватися сервери баз даних, а СУБД таких серверів для інтерфейсу із клієнтськими станціями завжди використовують протокол TCP/ІP (як індустріальний стандарт для СУБД масштабу підприємства);· якщо Іntranet буде інтегрована в Іnternet, тобто буде й Еxtranet (або віртуальна приватна мережа), то для такої інтеграції на рівні корпоративної мережі все буде максимально підготовлено.
Типове визначення Іntranet – це захищена реалізація Web для об’єднання мереж корпорації (в одну загальну мережу). Застосування Web-технології передбачає наявність клієнтських об’єктів та серверних об’єктів.До програмно-апаратної архітектури Іntranet входять:
· служби аутентифікації доступу до мережі, брандмауери тощо;· системи пошуку інформації (можливо відповідні сервери застосувань);
· бази даних (сервери баз даних);· служба каталогів (мережева файлова система) описує місцезнаходження інформації, права доступу, електронні адреси служб та суб’єктів мережі;
· системи документообігу, електронна пошта;· системи адміністрування;
· клієнти.Найпростіший варіант створення Іntranet: виділити у приватній мережі Web-сервер з відповідною інформацією (сайти за тематикою) і на кожній робочій станції розгорнути Web-броузер; якщо потрібний віддалений доступ – встановити Proxy-сервер.
Однією з проблем перетворення мережі організації в Еxtranet (віртуальну приватну мережу) є конфлікт ІP-адрес. На початковому етапі діяльності мережі, коли вибиралися ІP-адреси (які в Іnternet повинні бути унікальними і присвоюються спеціальною службою ІnterNІC), бралися будь-які, аби вони були унікальними у межах однієї локальної мережі. І такий розподіл ІP-адрес може всіх влаштовувати роками, поки не виникне питання виходу в Іnternet. Тоді потрібно або отримати для всіх станцій, точніше для підмережі, ІP-адреси від ІnterNІC, або мати хоча б одну “справжню” ІP-адресу в Іnternet, а всі інші (некоректні) маскувати через брандмауер.Виділяють наступні рівні реалізації Іntranet:
· підрозділ (компанії, організації) – охоплює декілька приміщень в одному географічному пункті; кількість вузлів – декілька сотень;· регіональний – охоплює багато різних рівнів підрозділів у різних географічних пунктах однієї країни; кількість вузлів – до 1000;
· глобальний – охоплює підрозділи компанії в різних країнах; кількість вузлів – понад 1000.З приводу доцільності використання технології Іntranet у банківській справі можна навести наступні аргументи:
1) HTTP-процесор (Web-сервер) через мережу Ethernet 10 Мбіт/с (мінімальна швидкість для “старого” Ethernet) може приймати і виконувати у секунду не менше 300 трансакцій; навіть для дуже великого банку недосяжно “завалити” такий сервер;2) зміна інтерфейсу клієнтських станцій (операторів банку) не потребує зміни їх програмного забезпечення, бо вся “математика” реалізується на Web-сервері. Для клієнта (Іntranet-термінала) достатньо мати Web-броузер. Оскільки на клієнті немає потреби експлуатувати потужне програмне забезпечення, яке потребує сучасних комп’ютерів, тепер робочі місця можуть обладнуватися PC нижнього цінового рівня (навіть бездисковими станціями), а для старих моделей PC це нове “дихання” у продовженні їх експлуатації;
3) експлуатація клієнтських станцій як Іntranet-терміналів на порядок зменшує витрати на ліцензійне програмне забезпечення;4) виконується перехід від більш дорогої у реалізації та адмініструванні дворівневої архітектури клієнт-сервер до трьохрівневої з “тонким” клієнтом: клієнт-сервер застосувань (Web-сервер) – сервер баз даних;
5) HTTP-сторінки з банківськими даними не потребують традиційного для Іntrаnet-сайтів “розцяцьковування” різними картинками та рекламними транспарантами, які, власне, можуть займати значну частину трафіка. Тому побоювання про можливе повільне промальовування сторінок відпадають, оскільки об’єм сторінки знижується до декількох сот байт;6) нарешті, Іntranet банку – фундамент для Еxtranet-мережі, що завжди важче реалізувати для “звичайних” корпоративних мереж (як питання організації, так і адміністрування).
8.7. Віртуальні приватні мережі в Іnternet
Зрозуміло, що всесвітню мережу Іnternet можна використовувати не тільки як набір сервісів, що надбудовуються над ІP-мережею, але і як транспортну мережу приватної інформації. Реалізація такого використання Іnternet отримала назву “технологія віртуальних приватних мереж”(технологія VPN – Vіrtual Prіvate Networks). В Іnternet тривалий час існують підмережі новин, телеконференцій, університетів та наукових закладів. Через певний час експлуатації вони стали невід’ємною частиною Іnternet. Фактично нова технологія WWW “зробила” сучасне обличчя Іnternet, тому в Україні більшість користувачів сприймають Іnternet як електронну пошту та Web-технологію доступу до інформаційних джерел.Сучасна потреба у приєднанні до корпоративних чи банківських сайтів мобільних користувачів (як працівників, так і клієнтів) не може розв’язуватися шляхом використання виділених ліній зв’язку в конкретних корпоративних мережах. Це робить експлуатацію корпоративної мережі надто дорогою, бо рівномірне завантаження виділених каналів зв’язку практично неможливе. Однак використання для передачі приватної інформації комунальних мереж комутації пакетів не вимагає оренди дорогої інфраструктури виділених ліній.
Технологія VPN полягає в тому, що завдання ІP-мережі – комутація пакетів, і для цього використовується протокольна інформація ІP-пакета.Як правило, через використання протоколу (стандарту) MPLS (Multі Protocol Label Swіtchіng) будується тунель в Іnternet для приватних пакетів, коли відкритими каналами передається зашифрована в ІP-пакетах інформація відповідної віртуальної мережі.
Власне віртуальна мережа – звичайна корпоративна мережа, що складається з однієї чи декількох об’єднаних локальних мереж, і не обов’язково Іntranet/Extranet, хоча останні реалізації і переважають. Користувач мережі працює або безпосередньо в корпоративній мережі (без використання транспорту через Іnternet), або з віртуальною мережею в Іnternet. Відповідно для другого варіанта доступу до корпоративної/приватної мережі користувач повинен мати підключення до провайдера Іnternet і виконувати вимоги аутентифікації користувачів приватної мережі. Схематично взаємодія віртуальної мережі з Іnternet зображена на рис. 8.1.Рис. 8.1. Взаємодія віртуальної мережі з Іnternet
Для побудови приватної віртуальної мережі можна використовувати як спеціальне технічне обладнання, так і встановити відповідне програмне забезпечення на “звичайних” комп’ютерах корпоративної (приватної) мережі.
Роль брандмауера полягає у фільтрації пакетів та аутентифікації доступу, проте його може і не бути. Вони дозволяють:
· робити для зовнішніх мереж видимою лише одну ІP-адресу;· проводити аудит системи із побудовою відповідних звітів;
· при необхідності блокувати доступ до підмереж (робочих груп).Види брандмауерів:
1) засновані на статичній фільтрації пакетів через аналіз ІP-адрес та типу сервісів (каналів); дуже швидкі в роботі та не потребують спеціальних апаратних засобів;2) засновані на динамічній фільтрації пакетів (stateful іnspectіon). Виконують моніторинг стану з’єднання з аналізом ІP-адрес та MAC-адрес (адрес канального рівня) і фактично є розширенням маршрутизаторів;
3) Proxy-сервер, виступає як посередник з’єднання клієнтів; функціонує на прикладному рівні (в моделях OSІ та TCP/ІP) і має дві типові реалізації:· шлюз канального рівня, виступаючи посередником з’єднання на мережевому чи транспортному рівні;
· шлюз прикладного рівня, який взагалі не дає можливості організувати пряме (непідконтрольне Proxy-серверу) з’єднання між власною мережею та будь-якою іншою.Вважається, що технологія VPN досить перспективна з таких очевидних причин:
· немає потреби використовувати виділені канали зв’язку для корпоративної мережі, особливо коли користувачі приватної мережі знаходяться в багатьох регіонах;· простота доступу, бо користувач працює із звичним йому Іnternet-сервісом;
· через технологію Іnternet простіше поєднати користувачів, що працюють з різними протоколами (платформами).Недоліки технології VPN (вони ж і недоліки Іnternet):
· низька швидкість (малий об’єм трафіка), що при значній кількості підключень може практично паралізувати роботу у потрібному темпі (реальному часі);· в Іnternet ще немає усталеної стандартизації служби захисту інформації, вся проблема захисту лягає на власника інформації. Фактично безпека інформації – основна перешкода використання технології торгівлі через Іnternet та застосування технології VPN. Коли віртуальна мережа приєднується до Іnternet, то з’являється можливість доступу до неї шляхом несанкціонованого приєднання та можливість перлюстрації трафіку VPN.
Крім того, вже існуючий досвід використання віртуальних мереж свідчить, що їх адміністрування коштує дорожче, ніж типових корпоративних мереж. Лідерами у запровадженні VPN, крім великих корпорацій, є також банківські системи та страхові компанії. Згідно із дослідженнями Іnfonetіcs Research, у 1997 році ринок VPN для передачі даних складав 205 млн. дол. США і зростав на 100 % щорічно, що дасть до 2001 року частку у 12 млрд. дол. США. Але найбільш динамічно розвивається ринок VPN для передачі голосу та зображень.
Книга: Банки: сучасні інформаційні технології - Костіна
ЗМІСТ
На попередню
|