IT инфраструктура предприятия

Информационная  среда

Удостоверившись в функционировании физических коммуникаций и оборудования, необходимо передвигаться к следующему этапу – внедрению информационной среды. На этом этапе нужно добровольно войти в соглашение О.С. на сервера и раб. станции, образовывать их взаимодействие, настроить П.О. под нужных пользователей. Само собой,  выбор О.С. и распределение задач должно совершаться еще до того, как будет закуплено оборудование.

Рассмотрим принципы серверного П.О. по теме, защита от нежелательных обьектов, а также настройке рабочих станций для взаимодействия с серверами и между собой. Акцентируем ваше внимание, что в статье не приводится инструкций по настройке конкретного программного обеспечения или оборудования, а даются общие рекомендации, следуя которым вы получите максимально защищенную IT-структуру. И не указывается никаких предпочтений при выборе операционных систем для реализации проекта. Автор ни в коей мере не претендует на непогрешимость указанных методов, а всего лишь делится своим опытом реализации подобных проектов. Практика показала, что после сдачи таких сетей у заказчиков не возникает необходимости полной реорганизации, а масштабируемость позволяет легко вводить в эксплуатацию новые сервера, рабочие места и программное обеспечение.

Прежде всего необходима логическая структура, которая будет объединять все учетные записи для пользователей, компьютеров и серверов в одно целое. Это «домен». Обращаем внимание, что понятие «домен» вовсе не подразумевает обязательное использование продуктов Microsoft, как многие ошибочно считают. «Домен» в переводе означает «область», «район». То есть в нашем случае домен – это логическое объединение для централизованного управления. Домен отличается от рабочей группы тем, что данные о всех структурных единицах, в него входящих, хранятся в единой центральной базе данных, что сильно упрощает администрирование системы в целом.

Внутри домена необходимо спланировать разделение упомянутых структурных  единиц на группы. Это упростит дальнейшее делегирование прав на пользование  ресурсами. Помните, что основой  построения защищенной среды является принцип «что не разрешено, то запрещено» и ни в коем случае не наоборот! Действительно, по умолчанию при начальном вводе  систему в эксплуатацию никто (кроме  администратора, разумеется) не должен иметь доступа никуда. Абсолютно! После этого можно делегировать группам и структурным единицам определенные права. Упомянутый и кажущийся  очень простым принцип на самом  деле подразумевает под собой  систему глобальной безопасности. Просто необходимо научиться корректно  его реализовывать.

Cвязь с внeшним миpoм и бeзoпacнocть

Возвести систему в виде локальной сети и проверив ее работоспособность (взаимодействие клиент-сервер, клиент-клиент, действие запретов и разрешений), приступаем к организации связи с внешним миром. Проще говоря, подключаемся к сети Интернет и другим филиалам компании. Тут действует тот же универсальный принцип. Поэтому перед тем, как подключить кабель от внешнего мира к вашей локальной сети, необходимо убедиться в том, что на устройстве маршрутизации запрещен проход любого трафика во всех направлениях. Только после этого можно аккуратно добавлять настройки, которые будут фрагментарно разрешать прохождение нужного трафика. Любые запросы, которые не подходят по правилам, должны отбрасываться. Причем чаще всего рекомендуется применять для защиты «режим молчания». Запрещающие правила систем маршрутизации при поступлении соответствующего пакета отправляют ответ о том, что запрошенный ресурс запрещает подключение к нему. При соблюдении режима молчания такой пакет игнорируется, имитируя выключенное или несуществующее устройство. Для настройки таких систем необходим специалист, хорошо представляющий работу стека протокола IP. Для большей надежности рекомендуется использовать аппаратные маршрутизаторы/межсетевые экраны. Абсолютным лидером в этой области является компания WatchGuard.

Другие шаги также несокрушимо связаны с доступом во внешний мир. Это использование антивирусных мониторов и сканеров корпоративного уровня, а также обязательное создание внутреннего почтового сервера, отвечающего за перенаправление всей электронной почты компании. Акцентируем внимание на словосочетании «корпоративный уровень». Помните, что в системе IT-безопасности компании не должно быть звеньев, хоть каким-то образом зависящих от решения пользователя. Понятие «корпоративный антивирусный монитор и сканер» означает, что это программное обеспечение настраивается и устанавливается администратором системы, автоматически проверяет существование обновлений, распространяется на всю сеть, а пользователь не в состоянии ни отключить, ни удалить продукт со своей рабочей станции. Такой антивирусный продукт при грамотной настройке не будет спрашивать пользователя о необходимости обновить свои базы, не станет уточнять, что делать с зараженным файлом, не позволит вмешаться в свою работу.

При этом корпоративная почтовая система просканирует всю входящее и исходящее уведомление еще до того, как пользователь получит возможность принять ее, отбросит зараженные письма, заблокирует подозрительные и явно запрещенные вложения, проверит законность отправителя и отсутствие его в международных черных списках. И только после этого доставит письмо пользователю. Как правило, на почтовые системы устанавливают антивирус другого производителя, нежели используется в режиме монитора внутри локальной сети. Tаким образом достигается страховка от несвоевременного выхода обновлений какого-либо из них. Неопознанное на почтовом сервере зараженное письмо будет поймано монитором на локальной машине пользователя и наоборот. Для еще большей надежности можно применять третий способ защиты – сканирование межсетевого трафика на промежуточном шлюзе. Однако стоит помнить, что нельзя использовать одновременно несколько таких средств в едином логическом пространстве (например, сервере или рабочей станции). Так, одновременная установка двух антивирусных мониторов разных производителей на один компьютер когда-то породила известную в IТ-мире байку про дуэль антивирусов. Проверка может быть только последовательной.

Не стоит также забывать о контроле активности пользователей  в сети Интернет, ведении статистики посещаемости и отчетов по трафику интернет-ресурсов. Taк, периодически просматривая указанную статистику, можно обнаружить «нездоровую» активность в определенном направлении и предотвратить утечку информации или распространение вредоносных программ. Необходимо помнить, что «нельзя управлять тем, что не в силах подсчитать». Как правило, при правильном построении дальнейшая работа администратора сети нуждается в постоянном контроле. Максимально всех дел. Осознание того, что бизнес-процесс находиться полностью под присмотром, приносит уверенность в дальнейшей работе. Даже если происходит малое непонимание ситуации, в итоге приведет к полному крушению системы. Берите под контроль свою систему и спите спокойно. И тогда бытующее мнение о том, что системные специалисты работают круглосуточно и не спят ночами, наконец-то пропадет. В таком неуравновешанном режиме работают только те, кто не спланировал работу раньше.

Проблемы  при модернизации существующих систем

Перестроение уже работающей структуры и отвечает описанным  требованиям. А при таком развитии событий появляются некоторые трудности. Из первых рук надо составить компанию доскональный канва перехода и проанализировать, с какими именно трудностями можно столкнуться при реализации каждого этапа. Непосредственно осуществить внедрение в исключительно короткие сроки. Это, на мой взгляд, самое трудновыполнимое условие, но не будем забывать то, что при наличии необходимых профессиональных навыков и опыта оно осуществимо. В противном случае стоит задуматься о возможности привлечения дополнительных специалистов на время осуществления проекта. Чтобы не быть голословными, скажем, что полная реорганизация информационной сети компании (замена всех кабельных систем, располагающихся в 2 зданиях, со 100 рабочими станциями и 3 серверами, довольно большое количество сетевых приложений, включая устаревшие DOS-программы) заняла у нас 3.5 дня. Выпавшие на эти дни государственные праздники оказались как нельзя кстати, и уже в начале второй половины рабочего дня сотрудники приступили к своим обязанностям. В последующие 2 дня специалисты выслушивали пожелания сотрудников и исправляли незначительные неточности.

Хотелось бы сказать еще  об одной важной проблеме, часто мешающей успешной реализации проекта. Это человеческий фактор. А точнее – нежелание определенных индивидуумов оказывать содействие специалистам, а иногда и саботаж с их стороны. За этим стоят разные причины, одной из которых может быть нежелание обучаться работе с новыми программными продуктами и технологиями. Если к этому присовокупить то, что часто такие люди занимают одни из ведущих или необходимых постов в компании и к их словам бездумно прислушиваются руководители, не желая при этом проанализировать ситуацию, – процесс может быть крайне затруднен. На практике встречались разные случаи. Например, в одной крупной строительной фирме бухгалтер со скандалом врывалась к директору и жаловалась на то, что системный администратор умышленно мешает ей работать. На самом деле администратор после внедрения домена Windows 2000 хотел добиться работы в единой операционной среде на всем предприятии и заменить технически устаревшую операционную систему Windows 98 на Windows 2000, тем более что ресурсы компьютера это позволяли. А бухгалтер заявила, что не будет работать в другой системе. В итоге техническому специалисту было в приказном порядке запрещено что-либо менять на компьютере бухгалтера. Помимо этого претензия заключалась в том, что «не надо мне никаких нортонов, пусть стоит касперский». В другой организации бухгалтера постоянно провоцировали сбои и ошибки в работе системы учета, так как не хотели принимать решение руководства о переходе на новую информационную систему бухгалтерского учета взамен старой, которая уже не соответствовала изменениям в законодательстве. Сговорившись, они умышленно искажали результаты работы программы. К счастью руководство оказалось более лояльным по отношению к техническим специалистам и, уволив из бухгалтерии двух человек, издало приказ о «содействии сотрудников техническому персоналу для перехода на новую систему учета».

Эти случаи далеко не единичны и многим знакомы не понаслышке. К сожалению, тут два выхода: либо убедить руководство в необходимости  модернизации и создания административных приказов и инструкций, либо отказаться от проекта. В противном случае можно  получить «частично работающую систему», что не является приемлемым в любых  случаях.

Итоги

В заключении можно сказать что компании, решившиеся на реализацию проекта системной интеграции собственными глазами отдыхать должны должно быть уверены в том, что опыт сотрудников сознание собственного достоинства IT-отдела позволит осуществить внедрение от начала и до кончать То вкушать не прекратить его, а то есть завершить. В если мимоходом может быть оказаться что из-за отсутствия навыков в некоторых областях полный намерение может быть претерпеть неудачу. Как последствие придется прибегать к при помощи компании системного интегратора, которая, скорее паче всего заново будет просчитывать непочатый вести процесс и потребует сменить не соответствующее требованиям оборудование расходам. Поэтому именно на руководителя IT-структуры ложится основная ответственность по выбору пути системной интеграции. И общее соображение этим человеком всей IT структуры и бизнес-процессов предприятия, а также профессионального стремления своих подчиненных поможет в итоге принять правильное решение, сделав процесс максимально эффективным, правильным, а значит, и экономически выгодным.

Список  литературы

1. http://www.aestel.ru/content/view/194/153/
2. http://www.coolreferat.com/Совершенствование_ИТ-инфраструктуры_предприятия
3. http://www.dltens.ru/audit-it-infrastructury.html
4. http://www.kmintegro.ru/stati/it-infrastruktura.php
5. http://www.yandex.ru/
6. http://www.google.ru/
7. http://ru.wikipedia.org/wiki/Заглавная_страница