Задачи повышения надежности, решаемые на данном проекте, можно сформулировать следующим образом:
• Формирование надежной сетевой инфраструктуры, обеспечивающей предоставление ИТ-услуг бизнес-пользователям с заданным качеством предоставления сервисов и разумной степенью резервирования оборудования и программного обеспечения.
• Создание единой системы электронной почты, обеспечивающей гарантированную доставку корреспонденции пользователям внутри компании, а так же гарантированные отправку и получение сообщений из внешних сетей, в случае отсутствия противоречий политикам безопасности. В виду высокой эффективности почтовой системы в качестве средства взаимодействия, как пользователей внутри компании, так и при работе с внешними партнерами, ее отказоустойчивость достаточно критична для функционирования компании в целом.
• Создание распределенной системы SNMP-мониторинга сетевых ресурсов. При построении сложных сетевых коммуникаций, от работы которых зависит качество предоставления всех наложенных сервисов, необходимым условием является постоянный мониторинг состояния сетевых ресурсов. Внедрение системы SNMP-мониторинга сетевых ресурсов предлагается осуществлять на распределенной основе. Центральный сервер системы предлагается разместить в головной компании. В зону его ответственности входит все сетевое оборудование головных офисов и ключевые сетевые ресурсы региональных подразделений, обеспечивающих работу магистральных соединений. Региональные серверы мониторинга обеспечивают контроль локальных сетевых ресурсов отдельных предприятий. Обеспечение бесперебойной работы сетевой инфраструктуры в условиях значительного количества единиц оборудования так же требует контроля над изменением их конфигураций и версий операционных систем. Предлагаемое решение позволяет обеспечить работу и данной функции управления.
Предоставление защищенного доступа.
Задачи обеспечения информационной безопасности, решаемые на данном проекте, формулируются следующим образом:
• Создание системы обеспечения безопасности межсетевого взаимодействия, как внутри компании, так и с внешними сетями. Согласно предлагаемому решению, каждое предприятие, входящее в состав компании имеет собственный выход в Internet и каналы во внутрикорпоративную сеть, предоставленные операторами связи. Исходя из этого, каждое предприятие должно быть снабжено системой контроля трафика. При этом, в виду отсутствия комплексной системы от одного производителя, обязательным условием является взаимная интегрируемость решений, так как только в этом случае существует максимальная эффективность защиты. В проектируемом варианте системы для максимальной эффективности защиты планируется взаимная интеграция межсетевых экранов, системы контроля доступа в Internet, службы каталога, антивирусной системы и системы электронной почты. • Распределение полномочий администрирования предлагается осуществлять с использованием возможностей компонентов систем, обеспечивающих максимальную безопасность. Так, в случае управления межсетевыми экранами, рассматривается две возможности администрирования системы – полностью централизованная, либо с частичной передачей полномочий локальным администраторам предприятий. Администрирование службы каталога подразумевает наличие корневого домена, обладающего административными полномочиями на службу в целом с распределением прав управления локальными площадками местным специалистам. Централизация управления антивирусными средствами и системой контроля доступа в Интернет осуществляется на основе удаленных административных консолей, реализующих стандартно полную функциональность управления для каждого объекта. • Внедрение системы аутентификации и авторизации пользователей с использованием Центров Сертификации. Еще одной возможностью обеспечения безопасности в части доступа к информационным ресурсам является использование аппаратных USB-ключей вместо стандартных парольных пар. В этом случае, система аутентификации основывается на двух факторной аутентификации. Т.е. в добавление к знанию идентификатора, пароля, ПИНа и т.п. необходимо иметь физическое устройство. Данное обстоятельство наиболее ценно для сотрудников компании проводящих значительную часть времени вне своего стандартного рабочего места, так как сводит эффективность какого-либо перехвата или кэширования парольных пар к нулю. • Обеспечение сохранности информации с использованием системы резервного копирования. Безопасность информации подразумевает и ее сохранность. В этих целях предлагается использовать систему резервного копирования информации почтовых и файл-серверов на ленточные носители. Комбинируя варианты полного и выборочного копирования, возможно максимально сократить время восстановления информации в случае необходимости, тем самым сократив простой тех или иных служб или отдельных сотрудников предприятий.
Территориальная независимость доступа.
Как уже говорилось, высокая динамичность современного бизнеса требует полной информированности о текущем положении дел вне зависимости от местоположения заинтересованного лица. В связи с этим территориальная независимость доступа требует решения следующей задачи:
• Создание единой территориально распределенной службы каталога. Служба должна обеспечивать аутентификацию пользователей вне зависимости от их территориального местонахождения внутри компании. • Создание единой территориально распределенной почтовой системы. В виду тесной интеграции системы электронной почты со службой каталога, после аутентификации пользователь сможет получить доступ к своему почтовому ящику.
Предоставление персонализированного доступа.
Задачи получения доступа к информации в соответствии с предоставленными пользователю полномочиями, формулируются следующим образом:
• Внедрение системы аутентификации и авторизации пользователей. Базирующаяся на службе каталога, данная система предназначена для определения полномочий, предоставленных пользователю в части доступа к файловым системам, ящикам электронной почты, ресурсам Internet, а так же приложениям, в которых заложена возможность интеграции со службой каталога Microsoft Active Directory. • Внедрение системы контроля доступа в Internet, обеспечивает контроль доступа к ресурсам Internet как на основе контроля доступа для групп пользователей по протоколам прикладного уровня, так и контроля доступа в Web (http) по тематическим категориям сайтов (например, новостные, развлекательные, финансовые, и т.д.). Используя встроенную возможность интеграции со службой каталога, система контроля доступа в Internet не требует дополнительных средств аутентификации. Применение конкретного общего продукта для филиалов не предусмотренно.
Обеспечение работы инфраструктуры. Персонал.
Для обеспечения работы создаваемой инфраструктуры необходимо достаточное количество квалифицированного персонала на всех предприятиях компании. При составлении штатного расписания и распределении ответственности специалистов за те или иные подсистемы целесообразно ориентироваться на следующие аспекты:
• Специалисты, ответственные за то или иное направление должны быть с первого дня активно вовлечены в процесс проектирования и внедрения соответствующей подсистемы в целях получения знаний и навыков по ее эксплуатации.
• Хорошим способом мотивации существующих специалистов является проведение дополнительного обучения новым продуктам и технологиям на авторизованных производителем курсах.
• При наборе новых специалистов в той или иной области, основными критериями определения уровня квалификации являются опыт работы в заданной области, наличие прослушанных авторизованных курсов по требуемому направлению, а так же наличие сертификатов производителя оборудования или программного обеспечения. Последнее требование имеет опциональный характер в виду слабой распространенности практики требования сертификатов на предприятиях России.
• В виду значительно большей емкости рынка специалистов на террирории расположения головной компании, наиболее эффективным вариантом является создание в головном офисе группы экспертов, ответственных за поддержку региональных специалистов и разрешение инцидентов, влияющих на работу компании в целом. В приведенной ниже таблице отражен предварительный и минимальный состав необходимых специалистов по направлениям на всех предприятиях холдинга.
Таблица 3. Состав необходимых специалистов
Головной офис
Филиал 1
Филиал 2
Филиал 2
Предприятие 1
Предприятие 2
Сетевые технологии ( Cisco ), системы мониторинга сетевых ресурсов ( HP OV NNM , CiscoWorks )
3
1
2
2
2
2
Технологии Microsoft ( AD , Exchange , серверные платформы, кластеры), антивирусные системы
3
1
2
2
2
2
Специалисты по безопасности ( CheckPoint , Websense )
2
1
2
2
2
2
Итого
8
3
6
6
6
6
Процессы.
В качестве дальнейшего повышения эффективности и управляемости создаваемой инфраструктуры, одним из следующих после ее внедрения шагов должна быть реализация системы автоматизации процессов поддержки пользователей и предоставления ИТ-услуг. Комплексные системы данного класса обеспечивают решение целого ряда задач, таких как: • автоматизацию диспетчерской службы поддержки, создание единого центра обращений за помощью и единых процедур и правил таких обращений; • быстрое и эффективное решение возникающих проблем пользователей на основе формирования базы решений, идентификации повторяющихся проблем и возможности поиска вызывающего проблемы источника, обеспечения механизмов повышения приоритета критичных или медленно решаемых проблем; • сокращение простоев, связанных с неполадками в ИТ-инфраструктуре компании, и общее увеличение стабильности ИТ-инфраструктуры вследствие прогнозируемости проблем; • экономию временных, людских и технологических ресурсов, необходимых для устранения проблем; • планирование модернизации ИТ-инфраструктуры, основанное на реальных потребностях и/или проблемах; • формирование каталога ИТ-услуг, планирование их предоставления, формирование и ведение соглашений с потребителями (как внешними, так и внутренними) и внешними поставщиками, описывающих параметры качества этих услуг; • мониторинг и управление ожиданиями пользователей, подразумевающее предоставление именно тех ИТ-услуг и именно с тем качеством, которые необходимы пользователям; • оценку стоимости предоставления ИТ-услуг и развития ИТ-инфраструктуры, позволяющую планировать ИТ-бюджет.
Данные системы позволяют автоматизировать целую группу взаимосвязанных ИТ-процессов, обеспечивающих поддержку пользователей и предоставления ИТ-услуг:
• процесс управления инцидентами; • процесс управления проблемами; • процесс управления конфигурациями; • процесс управления изменениями; • процесса управления уровнем сервиса (услуг).
