Izgradnja IT infrastrukture. Koncept i komponente IT infrastrukture poduzeća Mogući su sljedeći odnosi između dijelova IT infrastrukture

IT infrastruktura je složen višekomponentni integrirani sustav, koji je složen informacijske tehnologije(softver i hardver) te osigurava djelovanje organizacije. Računalna oprema, softver, mrežne usluge, usluge, e-pošta, sustavi nadzora, politike sigurnost informacija, sustavi upravljanja, sustavi za sigurnosno kopiranje i pohranu podataka, uredska oprema, telefonija itd. - sve su to komponente IT infrastrukture poduzeća.

Primjer dijagrama IT infrastrukture:

Ovisno o poslovnom modelu organizacije i veličini poduzeća IT infrastruktura mogu biti vrlo različiti. Danas postoji veliki broj različitih tehnologija i rješenja iz različitih proizvođača. Njihov izbor za izgradnju IT infrastrukture trebao bi se temeljiti na odluci glavni zadatak IT infrastruktura- zadovoljiti poslovne potrebe, osigurati kontinuitet poslovanja, dostupnost i sigurnost podataka.

Stvaranje IT infrastrukture

Stvaranje učinkovite IT infrastrukture je prilično složen proces koji zahtijeva visoka razina kompetencije u raznim područjima IT-a. Potrebno je analizirati veliku količinu informacija kako bi se u konačnici dobilo učinkovitu IT infrastrukturu koji odgovara poslovnim potrebama.

Planiranje IT infrastrukture

Kako bismo počeli planirati budućnost IT infrastruktura potrebno:

Provesti analizu poslovnih procesa organizacije;

Ako tijekom rada IT infrastrukture u organizaciji nastaju novi poslovni procesi, mijenjaju se postojeći, organizacija se mijenja, mi se razvijamo, može se pojaviti potreba za modernizacijom IT infrastrukture.

Modernizacija može značiti gotovo svaku promjenu u IT infrastrukturi, čija je svrha povećati dostupnost, sigurnost i učinkovitost njezinog korištenja:

• povećanje kapaciteta u vezi s razvojem organizacije (nabava računala, poslužitelja, licenci, diskova, memorije i dr.);
• uvođenje novih sustava, usluga, servisa u postojeću infrastrukturu zbog promjena u poslovnim potrebama (alati za suradnju, CRM, ERP, sustav za upravljanje dokumentima, dvofaktorska autentifikacija i dr.);
• uvođenje alata za informacijsku sigurnost u vezi s promjenama u zakonodavstvu ili pojavom novih poslovnih linija (potreba za osiguranjem sigurnosti osobnih podataka, bankarska tajna, državne tajne itd.).

Zatražite savjet stručnjaka

Imamo potrebne kompetencije i resurse za implementaciju IT infrastrukturnih projekata bilo koje razine. Možemo pomoći u bilo kojoj fazi od planiranja do implementacije i održavanja IT infrastrukture i osigurati visoku razinu performansi. Pošaljite opis problema koji vaša tvrtka treba riješiti. Ponudit ćemo moguće opcije za njegovo rješenje i procijeniti troškove njegove implementacije.

Ne može svaki uspješan vođa dati točnu definiciju IT infrastruktura. Jednostavno rečeno, pričamo o kompleksu softverskih, hardverskih i telekomunikacijskih resursa koji su nužni za osiguranje funkcioniranja tvrtke i obavljanje poslova od strane osoblja korištenjem različitih aplikacija.

Možemo reći da je najjednostavnija informatička infrastruktura barem jedno računalo s instaliranim softverom i pristup Internetu, ako je potrebno učinkovit rad ured ili tvrtka. Sada zamislite koliko je teško organizirati neometano funkcioniranje velike i razgranate tvrtke s predstavništvima ne samo u Moskvi, već iu drugim gradovima.

Čemu služi IT infrastruktura?

U suvremenoj stvarnosti uspjeh i profitabilnost poslovanja, učinkovitost poduzeća, njegove konkurentske prednosti uvelike su određeni razinom razvoja, stabilnosti i sigurnosti IT infrastrukture. Zapravo, to je jedno od najvažnijih sredstava tvrtke. Prioritetni aspekt je usklađenost IT strukture s potrebama i karakteristikama pojedinog poslovanja.

Računalna mreža je alat koji pomaže tvrtki zaraditi novac. Mora biti pravilno odabran, uvijek u dobrom stanju i ažuriran na vrijeme.

Dakle, za velikog trgovca u Moskvi važno je moći brzo integrirati nova skladišta u sustav i prodajna mjesta. Bankarski sektor više je naklonjen sigurnosti, zaštiti osobnih podataka i informacijama o kretanju financijskih tokova.

Bez obzira na specifičnosti djelatnosti pojedine tvrtke, ključni zadatak u radu s brojnim klijentima (kupcima):

• osiguranje kontinuiteta poslovnih procesa, procjena rizika, pravovremeno prepoznavanje i otklanjanje problema;
• primjena unificiranih rješenja za jednostavnu skalabilnost poslovanja;
• održavanje visoke razine sigurnosti i zaštite ključnih podataka;
• sposobnost brze izmjene u radu;
• transparentnost i praktičnost sustava upravljanja;
• smanjenje troškova stvaranja i održavanja imovine.

Koje su mogućnosti za stvaranje IT infrastrukture

Među glavnim scenarijima za stvaranje IT infrastrukture, vrijedi istaknuti sljedeće opcije:

• stvaranje IT-a od nule;
• modernizacija postojeće infrastrukture radi optimizacije troškova, poboljšanja sigurnosnih parametara, smanjenja rizika;
• provođenje reorganizacijskih mjera uvažavajući specifične poslovne zadatke (implementacija novih usluga za klijente, definiranje i dodavanje novih elemenata, poboljšanje kvalitete usluga).

Tko bi trebao graditi IT i zašto je to toliko važno
predvidjeti dugoročne ciljeve?

Stvaranje potpune i učinkovite infrastrukture vrlo je složen proces. Povezan je sa značajnim materijalnim troškovima i zahtijeva uključivanje visokokvalificiranih i iskusnih stručnjaka.

Zato se izrada projekta, njegova realizacija (fizička izvedba), izbor računalne opreme i softvera, izrada izvedbene dokumentacije povjeravaju specijaliziranoj tvrtki. U idealnom slučaju, ista tvrtka se također može baviti.

Kako bi se izbjegli problemi u budućnosti, važno je prikupiti što detaljnije informacije o organizacijskoj strukturi poduzeća i njegovim potrebama, tekućim poslovnim procesima i perspektivama razvoja. To će vam omogućiti da napravite rezervu resursa, pravilno ih distribuirate i kontrolirate.

Jedna od najčešćih pogrešaka je želja za uštedom na troškovima i stvaranjem najjednostavnije IT infrastrukture, kršeći slijed implementacije procesa. Dakle, vrlo često menadžeri započnu implementaciju ERP sustava u poduzeću, a tek nakon toga saznaju da IT infrastruktura tvrtke kategorički nije spremna za to.

Još jedna loša odluka je pokušaj rada s poslužiteljskim poslovnim aplikacijama na razini cijele tvrtke (1C Enterprise, itd.), zanemarujući stvaranje poslužiteljske IT infrastrukture otporne na greške i/ili pravi sustav Rezervni primjerak.

S "ispravnim" scenarijem razvoja poslovni procesi se odvijaju bez zastoja. Problem kvara opreme rješava se dupliciranjem ili spajanjem uređaja u klaster.

Kako bi se izjednačili softverski kvarovi i oštećenje podataka, stvoreni su sustavi za sigurnosno kopiranje i oporavak. Već u fazi projektiranja predviđaju mogućnost uvođenja novih korisnika u sustav i provođenja promjena u poslovnim procesima u najkraćem mogućem vremenu. (Na primjer, brzo puštanje u promet bankarskih proizvoda, praćenje cijena konkurenata i brza promjena cjenika).

Što trebate znati o IT rizicima?

Uz prednosti i nove mogućnosti IT infrastrukture za poslovanje, postoje i određeni rizici. Pod definicijom rizika uobičajeno je uzeti u obzir sve negativne posljedice uzrokovane različitim prijetnjama. Prije svega, to su virusni i hakerski napadi, sve vrste metoda krađe i/ili namjernog oštećenja opreme ili podataka.

Treba napomenuti da što je IT infrastruktura savršenija (pogreške su isključene u fazama projektiranja, implementacije i održavanja), to su rizici za poslovanje manji. Visokokvalitetni dizajn, implementacija i održavanje omogućuju smanjenje poslovnih rizika gotovo na nulu.

Udruga "Udruga K" ima sljedeću teritorijalno raspoređenu strukturu (Slika 17).

Slika 17. Teritorijalna struktura poduzeća

• 1. Središnji ured -- nalazi se na tvrtka u vlasništvu područje industrijske zone u selu Mashkovo, Moskovska regija i sastoji se od nekoliko poslovnih zgrada. Ovdje se nalazi kemijska proizvodnja usporivači plamena, boje i impregnacije. Teritorij je ograđen po obodu i ima 24-satnu sigurnost (zaštitarsko osoblje, kontrola pristupa, video nadzor i sustav kontrole pristupa, protupožarni i sigurnosni alarmi). Ulazak i izlazak zaposlenika poduzeća provodi se putem sustava kontrole pristupa pomoću nominalnih elektromagnetskih propusnica. Vozila ulaze na teritorij kroz automatska vrata. Napajanje teritorija vrši se preko dva neovisna voda, glavnog i rezervnog, između kojih se prebacivanje vrši ručno u reguliranom vremenu (10 minuta). Internetska veza organizirana je kroz dva neovisna komunikacijska kanala od različitih Internet providera (glavni kanal je optička linija, rezervni kanal je usmjereni Wi-Fi). Prebacivanje između njih u slučaju nesreće provodi se automatski. Pristup poslužiteljskim sobama i nekim drugim zatvoreni prostori provodi se pomoću elektroničkog sustava kontrole pristupa uz naknadno umnožavanje mehaničkim bravama. Svi poslužitelji i mrežna oprema razine jezgre i distribucije nalaze se u poslužiteljskim sobama, mrežna oprema razine pristupa je javna domena u uredskim prostorijama (u pravilu u jednoj od prostorija na katu na zidu). poslovne zgrade i proizvodne radnje međusobno povezani svjetlovodnom komunikacijskom linijom. Broj radnih mjesta (računalo/laptop) u uredu je oko 250.
• 2. Predstavništvo u Moskvi - nalazi se na području dvokatnice iznajmljene zgrade i ograđenog parkirališta uz nju. Ima dva izlaza iz zgrade, jedan na gradsku ulicu, drugi na dvorište sa parkingom, u koji se ulazi i izlazi kroz automatske kapije. Ured ima 24-satno osiguranje (zaštitarstvo, kontrola pristupa, video nadzor i sustav kontrole pristupa, protupožarni i sigurnosni alarmi). Ulazak i izlazak zaposlenika poduzeća provodi se putem sustava kontrole pristupa pomoću nominalnih elektromagnetskih propusnica. Slično centralnom uredu, pristup poslužiteljskoj sobi i ostalim kritičnim objektima ostvaruje se putem sustava kontrole pristupa. U uredu nema rezervnog napajanja, ali postoji dizel generator čije je vrijeme puštanja u rad oko 1 sat. Ured je povezan s internetom putem dva komunikacijska kanala, glavnog dvožilnim kabelom, a pričuvnog ADSL tehnologijom. Prebacivanje se vrši automatski. Svi poslužitelji i mrežna oprema jezgrene i distribucijske razine nalaze se u poslužiteljskim sobama, mrežna oprema pristupne razine je otvoreno dostupna u uredskim prostorijama. Broj radnih mjesta (računalo/laptop) u uredu je oko 50.
• 3. Regionalni ured - nalazi se u Aleksinu, regija Tula. Riječ je o ograđenom prostoru na kojem se nalazi poslovna zgrada i trgovina za proizvodnju protupožarnih sredstava i opreme. Sigurnost i kontrola pristupa u uredu osigurana je na isti način kao iu centralnom uredu. Postoji rezerva snage, dva internetska kanala (glavni je optički, rezervni je ADSL). Server soba je kombinirana (susjedna) s uredom administratora sustava, pristup uredu se vrši samo s elektroničkim propusnicama. Svi poslužitelji i mrežna oprema jezgrene i distribucijske razine nalaze se u poslužiteljskoj sobi, mrežna oprema pristupne razine je otvoreno dostupna u uredskim prostorijama. Broj radnih mjesta (računalo/laptop) u uredu je oko 70.
• 4. Predstavništvo u St. Petersburgu - nalazi se u nestambenim (komercijalnim) prostorijama stambena zgrada. Broj radnih mjesta za djelatnike predstavništva je oko 10. Ured je opremljen portafonom za kontrolu pristupa neovlaštenim osobama, u neradno vrijeme se zaključava i čuva. Napajanje je iz mreže stambene zgrade, internet je ožičen putem namjenske linije, nema rezerve. Nedostaje hardver poslužitelja.
• 5. Predstavništvo u Sočiju - nalazi se na teritoriju uredski centar. Broj zaposlenih u predstavništvu je 5 osoba. Ured se zaključava u neradno vrijeme, čuva ga zaštitarska služba poslovnog centra. Nema rezervnog napajanja i interneta. Nedostaje hardver poslužitelja.
• 6. Podružnice na područjima gdje se nalaze gradilišta. Radi se o iznajmljenim prostorima ili građevinskim "vagonima" s brojem zaposlenih od 1 do 5. U pravilu im je osiguran mobilni internet, ali može postojati i žičana internetska veza (sa statičkom IP adresom) za pružanje IP telefonije i softverski VPN tunel sa središnjim uredom.

Cijeli razmjena informacija između teritorijalnih struktura holdinga provodi se putem globalnih mreža kroz sigurne VPN tunele koji omogućuju enkapsulaciju, autentifikaciju i enkripciju podataka. Osim toga, analogna telefonija je raspoređena u svakom odjelu (broj linija ovisi o veličini poslovnice), pružajući rezervu telefonski priključak između njih u slučaju problema s internetom.

Korporativna mreža središnjeg ureda.

Slika 18 prikazuje topologiju korporativna mreža središnji ured NVO "Udruga K".

Svi poslužitelji i mrežna oprema gornjih razina raspoređeni su u dvije poslužiteljske sobe, smještene u različitim poslovnim zgradama iz sigurnosnih razloga, ali istovremeno međusobno povezane svjetlovodnom linijom pomoću poslužiteljskih preklopnika visokih performansi.

pristup internetu

Kao što je gore spomenuto, lokalna mreža (LAN) središnjeg ureda povezana je s internetom putem dvije neovisne komunikacijske linije različitih pružatelja usluga, jedna od linija je optička linija (optika), druga je usmjereni Wi-Fi signal. Unutar zgrade, signal oba pružatelja pretvara se u Ethernet, koji ima dvije ulazne točke u mrežu. Prva ulazna točka: gateway poslužitelj na CentOS operativnom sustavu, gdje je svaka od linija spojena na zasebnu mrežnu karticu poslužitelja. Druga ulazna točka: Mikrotik router, gdje je svaka od linija spojena na zaseban WAN port.

Slika 18. Shema korporativne mreže središnjeg ureda

U određenom trenutku uvijek je aktivna linija samo jednog pružatelja (glavni kanal), u slučaju prekida komunikacije (prekid linije, tehnički kvar na strani pružatelja i sl.), obje ulazne točke su prešao na alternativnog pružatelja usluga s restrukturiranjem tablica usmjeravanja. Prebacivanje je transparentno za korisnike internetskih usluga, osim za glasovni i video streaming.

IP telefonija

Spajanje na Internet preko Mikrotik routera koji se nalazi u serverskoj sobi br. 2 je zbog zahtjeva IP PBX-a (poslužitelj IP telefonije) za “direktan” pristup globalnoj mreži. Usmjerivač prosljeđuje SIP pakete (glasovni promet) jednom od mrežnih adaptera poslužitelja bez ikakvih manipulacija s njima. Drugi razlog postojanja ove veze je potreba za administrativnim pristupom Internetu za djelatnike Odjela informatike. Liste kontrole pristupa (ACL-ovi) na usmjerivaču konfigurirane su tako da dopuštaju samo SIP promet prema PBX IP-u i daju pristup Internetu samo određenim uređajima (prema IP i MAC adresama).

Poslužitelj IP telefonije je softverski VoIP (Glas preko IP-a ) Asterisk rješenje implementirano na CentOS operativnom sustavu. Budući da poslužitelj ima izravnu (bez korištenja NAT-a) vezu s internetom, za njegovu zaštitu koriste se lanci pravila vatrozida Netfilter ugrađenog u operativni sustav (uslužni program Iptables). Ova su pravila konfigurirana na način da propuštaju samo SIP promet i samo s određenih IP adresa pružatelja usluga IP telefonije ili udaljenih pretplatnika (IP telefoni i pametni telefoni). Već je ranije spomenuto da neke poslovnice imaju internetsku vezu sa statičkom IP adresom. Ova adresa je samo potrebna da bude uključena u pravila vatrozida. S drugom mrežnom karticom IP PBX “gleda” u lokalnu mrežu, gdje nema ograničenja prometa, a pristup određenim podmrežama određen je tablicom usmjeravanja operativnog sustava i pravilima vatrozida. Iz sigurnosnih razloga zatvoren je administrativni pristup poslužitelju s globalne mreže, čak i putem SSH protokola.

Osim poslužitelja IP-telefonije, tvrtka koristi Panasonic digitalnu telefonsku centralu koja omogućuje rad s klasičnim telefonskim linijama. Ova stanica ima ugrađenu mogućnost prebacivanja na sličnu telefonsku centralu koja se nalazi u predstavništvu u Moskvi koristeći IP protokol. Razmjena govornog prometa između dva ureda odvija se kroz VPN tunel.

pristupni poslužitelj

Glavna točka pristupa Internetu za organizaciju je veza preko gateway poslužitelja koji se nalazi u poslužiteljskoj sobi br.1. Poslužitelj pristupnika kombinira funkcije pristupnog pristupnika Internetu, poslužitelja pošte, proxy poslužitelja, VPN koncentratora i vatrozida. Sve potrebne funkcionalnosti implementirane su kroz CentOS operativni sustav i dodatno instalirane aplikacijske pakete.

Sav promet koji prolazi kroz server pregledava vatrozid Netfilter koji ga obrađuje prema strogo definiranim lancima pravila. Proxy poslužitelj Squid omogućuje vam fleksibilno upravljanje kontrolom korisničkog pristupa određenim internetskim resursima. Poslužitelj e-pošte ima "samoučeću" zaštitu od neželjene pošte i konfiguriran je za rad pomoću IMAP protokola, koji omogućuje autorizaciju korisnika putem imeničke usluge (Active Directory) kontrolera domene.

Funkcije VPN koncentratora obavlja programski paket KAME IPSec-Tools koji formira VPN tunele s predstavništvima i podružnicama tvrtke, kao i s krajnjim korisnicima kojima je omogućen daljinski pristup mreži poduzeća. Ovaj softver vam omogućuje da implementirate mogućnost automatskog ponovnog pokretanja VPN tunela u slučaju da je jedan od pružatelja internetskih usluga nedostupan. Oprema predstavništva u Moskvi omogućuje vam da prepoznate promjenu davatelja na strani poslužitelja središnjeg ureda i inicijalizirate ponovno stvaranje tunela. Slično radi i poslužitelj u središnjem uredu. To vam omogućuje da stalno održavate stabilan VPN tunel između središnjih i predstavničkih ureda (vrijeme prebacivanja nije duže od 5 minuta). Oprema u drugim podružnicama zahtijeva ručno ponovno kreiranje tunela s pomoćnim pružateljem usluga, međutim, ne moraju se izvoditi nikakve operacije na strani pristupnog poslužitelja u središnjem uredu.

Putem VPN tunela s predstavništvima i podružnicama tvrtke razmjenjuju se podaci, pošta, govorni promet, repliciraju se poslužitelji, a udaljeni korisnici rade na terminalskom poslužitelju. To vam omogućuje da osigurate zaštitu prenesenih podataka.

Gateway poslužitelj ima namjensko sučelje za spajanje na upravljačku mrežu, konfiguriran je za povezivanje samo putem SSH protokola uz promjenu zadanih portova i striktno nabrajanje administratora s pristupom. Implementirane osnovne preporuke za postavljanje operativnih sustava sličnih Linuxu. Antivirusni softver nije instaliran. Operativni sustav se redovito ažurira. Pohrana e-pošte na poslužitelju je šifrirana.

Datotečni poslužitelj

Sve datoteke i podaci poduzeća pohranjuju se na datotečni poslužitelj koji je postavljen na platformi Samba operativnog sustava CentOS. Platforma vam omogućuje rad s mrežnim pohranama pomoću SMB/CIFS protokola. Kontrola pristupa podacima preko mreže provodi se korištenjem autorizacijskih funkcija putem domenskih računa Active Directory (AD).

Ograničen broj administratora ima pristup upravljanju serverom, to možemo učiniti ili putem lokalne konzole ili putem SSH pristupa, koristi se upravljačka mreža.

Iz sigurnosnih razloga svi podaci na poslužitelju su šifrirani, koristi se zrcaljenje. Antivirusni softver nije instaliran.

Poslužitelj 1C Enterprise i SQL Server

Kao osnovni ERP sustav za organizaciju NPO "Udruga K" koristi se tehnološka platforma "1C Enterprise 8". Ovo sadrži većinu povjerljivih informacija tvrtke. Platforma je postavljena na dva poslužitelja, od kojih jedan obavlja funkcije pohranjivanja i obrade baze podataka (SQL server), a drugi implementira funkcionalnost aplikacije (Server 1C). Oba poslužitelja rade na Microsoft Windows Server 2008 SP2 operativnom sustavu, redovita ažuriranja se instaliraju s internog WSUS (Windows Server Update Services) poslužitelja.

Vatrozid (ugrađen u operativni sustav) SQL poslužitelja konfiguriran je na takav način da propušta promet samo s 1C poslužitelja na strogo definirane portove i administrativni promet. Pristup poslužitelju omogućen je autorizacijom u AD-u. Radi očuvanja resursa, nije instaliran antivirusni softver. Sve baze podataka SQL Servera šifrirane su kako bi se osigurala visoka razina privatnosti.

Vatrozid 1C poslužitelja konfiguriran je tako da dopušta promet samo prema portovima koje koristi platforma 1C Enterprise i administrativnom prometu. Poput SQL Servera, kontrolom pristupa upravlja se korištenjem Domain Services.

Klijenti poslužitelja 1C Enterprise instalirani su na radnim stanicama korisnika i dopuštaju prijavu u sustav samo s vjerodajnicama korisnika koje je u njemu prethodno registrirao administrator 1C. Kontrolu pristupa podacima unutar sustava osiguravaju ugrađeni konfiguracijski alati 1C Enterprise. Pristup pojedinim funkcionalnim blokovima je reguliran.

Kontrolor domene

Poslužitelj kontrolera domene pohranjuje podatke imeničke usluge (AD) i upravlja korisničkim interakcijama u domeni, uključujući procese prijavljivanja korisnika, provjeru autentičnosti i traženje imenika. Kontroler domene je najvažnija karika u osiguravanju informacijske sigurnosti. U slučaju kvara ovog poslužitelja zbog nedostatka ispravne autorizacije, performanse gotovo svih IT sustava poduzeća su poremećene. Kako bi se izbjegla ova situacija, funkcionalnost kontrolera domene duplicirana je na drugom poslužitelju (u dotičnom poduzeću rezervni kontroler domene kreiran je na temelju virtualnog stroja na jednom od fizičkih poslužitelja poduzeća).

Operativni sustav poslužitelja je Microsoft Windows Server 2008 SP2. Grupna pravila koriste se za upravljanje objektima Active Directory, omogućujući vam stvaranje učinkovitog računalnog sustava kojim se lako upravlja. radno okruženje, i također su važan element sigurnost informacija. Pravila se centralno primjenjuju na sve radne stanice u korporativnoj mreži i omogućuju vam jednoobraznu konfiguraciju pravila kao što su složenost lozinki za korisnike, zaključavanje zaslona, ​​dopuštenje za pokretanje određenih programa i većinu drugih sigurnosnih pravila koja se primjenjuju na korisničke radne stanice, poslužitelje i druge članove. domena.

Kontroler domene također vam omogućuje kontrolu korisničkog pristupa određenim resursima poslovne mreže. Primjerice, administratori će moći pristupiti poslužiteljima, a korisnici samo računalima.

Poslužitelj također djeluje kao DNS poslužitelj poduzeća, dok rješava zahtjeve iz interne mreže i preusmjerava vanjske zahtjeve na gateway server. DNS poslužitelj zaštićen je ograničavanjem slušanja IP adresa, onemogućavanjem rekurzije za mrežne klijente i određivanjem korijenskih savjeta vanjskim DNS poslužiteljima.

Za osiguranje kontrolera domene primjenjuju se sljedeći postupci:

• 1) instaliranje najnovijih sigurnosnih ažuriranja;
• 2) stvaranje sigurnosnih kopija imeničke usluge i particija sustava;
• 3) redovite antivirusne provjere;
• 4) onemogućiti anonimni pristup AD-u;
• 5) uključivanje politike revizije;
• 6) SID filtriranje.

Terminalni poslužitelj (Terminalni poslužitelj)

Ovaj poslužitelj pruža udaljene radne površine korisnicima 1C Enterprise i aplikacijskim programima poslužitelja aplikacija. Terminalni poslužitelj je potreban za pružanje pristupa lokalnim resursima za klijente s niskim performansama i udaljene korisnike koji se spajaju na mrežu putem VPN-a.

Sigurnost terminalskog poslužitelja osiguravaju sigurnosni mehanizmi ugrađeni u operativni sustav Microsoft Windows Server 2008 SP2, kao što je provjera autentičnosti na mrežnoj razini (NLA), SSL enkripcija, promjena zadanog RDP porta i provjera kompatibilnosti s RDP klijentima.

Antivirusni softver nije instaliran.

Poslužitelj aplikacija

Aplikacijski poslužitelj pruža okruženje za postavljanje i pokretanje prilagođenih poslovnih poslužiteljskih aplikacija. Ove aplikacije odgovaraju na mrežne zahtjeve klijentskih računala ili drugih aplikacija. Postavljen na operacijskom sustavu Microsoft Windows Server 2008 SP2.

Sigurnost poslužitelja osigurava vatrozid operativnog sustava, koji je fleksibilno konfiguriran za filtriranje prometa aplikacija tako da zahtjevi za port prolaze samo od pouzdanih klijenata, kao i autorizacija u AD-u. Antivirusni softver omogućuje vam redovito skeniranje sustava i pruža pravovremenu kontrolu pokretanja bilo kojeg poslužiteljskog programa.

Pričuvni poslužitelj (Pričuvni poslužitelj)

Kako bi se osigurala dostupnost podataka koje pohranjuju i obrađuju poslužitelji poduzeća, koriste se redovite procedure izrade sigurnosnih kopija. Pravodobno izvršenje ovih postupaka osigurava rezervni poslužitelj instaliran na CentOS operativnom sustavu i koristi Bacula cross-platform softver. Bacula je softver za sigurnosno kopiranje, arhiviranje i vraćanje temeljen na webu klijent-poslužitelj. Klijenti su instalirani na svakom od poslužitelja tvrtke i osiguravaju prijenos podataka na poslužitelj prema rasporedu. Zaštita informacija tijekom sigurnosnog kopiranja omogućena je sljedećim mehanizmima:

• 1) sve usluge autorizirane su korištenjem CRAM-MD5 algoritma za provjeru autentičnosti;
• 2) MD5, SHA1 potpisi za svaku datoteku u arhivi;
• 3) CRC kontrolni zbroj za svaki blok zapisan u volumen pohrane;
• 4) korištenje ACL-a za upravljačku konzolu;
• 5) šifriranje razmjene korištenjem TLS-a;
• 6) šifriranje podataka pomoću PKI-ja;
• 7) validacija podataka slična sustavu za otkrivanje upada.

Backup server ima namjensko sučelje za spajanje na upravljačku mrežu, konfiguriran je za povezivanje samo putem SSH protokola uz promjenu zadanih portova i striktno nabrajanje administratora s pristupom. Implementirane osnovne preporuke za postavljanje operativnih sustava sličnih Linuxu. Antivirusni softver nije instaliran. Operativni sustav se redovito ažurira. Sigurnosna pohrana na poslužitelju je šifrirana.

Poslužitelj za bilježenje i praćenje događaja (Syslog poslužitelj)

Ovaj poslužitelj implementira funkcije praćenja stanja IT sustava poduzeća. Ovdje se prikupljaju sve registracijske informacije sa serverske i aktivne mrežne opreme, a također se prati njihovo fizičko stanje, klima u serverskim sobama, raspoloživi sistemski resursi, stanje kanala prijenosa podataka itd.

Poslužitelj syslog postavljen je na CentOS operativnom sustavu, sigurnost poslužitelja osiguravaju mehanizmi slični prethodno opisanim poslužiteljima ove vrste. Koristi se Zabbix - sustav za nadzor i praćenje statusa IT usluga.

Podaci o registraciji se razmjenjuju preko zajedničke mreže.

mrežni hardver

Razmjena podataka između poslužitelja i krajnjih hostova (računala, telefona, itd.) osigurana je upotrebom poslužiteljskih preklopnika visokih performansi i preklopnika na razini jezgre i distribucije. Ova mrežna oprema sloja 3 ima osnovne sigurnosne postavke kao što je administrativna kontrola pristupa, upravljanje putem namjenskih priključaka itd. VLAN tehnologija u ovaj trenutak nije uključen.

Bežični usmjerivač omogućuje Wi-Fi vezu s klijentskom mrežom. Za to se koriste namjenska podmreža i pristupne liste na usmjerivaču za filtriranje prometa mobilnih korisnika. Bežične veze koriste sljedeće sigurnosne kontrole:

• 1) promjena postavljenog (zadanog) naziva mreže (SSID) u pristupnim točkama;
• 2) omogućiti zaštićeno WiFi pristup(WPA/WPA2);
• 3) omogućiti hardverska ograničenja MAC adresa;
• 4) povezivanje pristupne točke na mrežu izvan vatrozida ili u odvojenom segmentu od žične lokalne mreže.

Korporativna mreža predstavništava.

Slika 19 prikazuje dijagram korporativne mreže predstavništva u Moskvi NPO "Association K".

Slika 19. Shema korporativne mreže predstavništva

Slično mreži središnjeg ureda, pristup internetu omogućen je putem dva internetska kanala različitih pružatelja usluga. Glavna linija je žičani Internet koristeći Ethernet tehnologiju, rezervna linija je ADSL kanal niske brzine. Dvije su ulazne točke u mrežu: prva je gateway server sličan konfiguracijskom serveru instaliranom u središnjem uredu, druga je Mikrotik router koji je neophodan za administrativni pristup Internetu.

Gateway server, kao i Mikrotik router, omogućuju automatsko prebacivanje između glavne i rezervne komunikacijske linije.

Panasonic PBX je sličan instaliranoj stanici u središnjem uredu, osim po broju dostupnih pretplatnika. Omogućuje digitalnu telefoniju između ureda kroz VPN tunel.

Poslužitelj kontrolera domene virtualiziran je i repliciran s poslužiteljem u središnjem uredu i pohranjuje sličnu konfiguraciju usluge imenika, što vam omogućuje upravljanje okruženjem domene iz jednog centra.

Konfiguracije i načini zaštite preostalih poslužitelja u predstavništvu u potpunosti su usklađeni s poslužiteljima u središnjem uredu. Lokalni aplikacijski poslužitelj potreban je za rad s predstavničkim programima koji zahtijevaju instalaciju poslužiteljskih dijelova u lokalnoj mreži (primjerice, niz programa za proračun opasnosti od požara).

Svi ostali servisi raspoređeni u središnjem uredu dostupni su korisnicima predstavništva putem VPN tunela. Vatrozidi s obje strane tunela propuštaju samo strogo definiran promet koji zahtijevaju određene aplikacije i usluge.

Pristup korporativnoj mreži korisničkih radnih stanica, IP telefona, uredske opreme provodi se putem prekidača razine pristupa, koji se nalaze u javnoj domeni u uredskim prostorijama (u pravilu, u jednoj od soba na katu na zidu). Iz sigurnosnih razloga, svi neiskorišteni priključci na ovim preklopnicima su onemogućeni.

Korporativna mreža regionalnog ureda.

Slika 20 prikazuje dijagram korporativne mreže regionalnog ureda u gradu Aleksinu NPO "Udruga K".

Svi poslužitelji i mrežna oprema gornjih razina smješteni su u poslužiteljskoj sobi, kombiniranoj s uredom administratora sustava i opremljenoj sustavom kontrole pristupa.

Korporativna mreža ima jednu točku pristupa Internetu putem usmjerivača (vatrozida) D-Link NetDefend UTM Firewall, koji vam omogućuje povezivanje dvije WAN linije od različitih internetskih pružatelja usluga i ima mogućnost organiziranja VPN tunela. Glavna internet linija je optička, rezervna linija je ADSL.

D-Link NetDefend UTM router ima sveobuhvatnu zaštitu od virusnih napada, neovlaštenog pristupa i neželjenog sadržaja te omogućuje automatsku rezervaciju internetskih kanala. Istodobno, ne postoji mogućnost automatske "ponovne izgradnje" VPN tunela u slučaju prekida veze. U slučaju takve situacije, administrator sustava regionalnog ureda ima jasne upute kako rekonfigurirati tunel.

Slika 20. Shema korporativne mreže regionalnog ureda

Slično uredu u Moskvi, kontroler domene replicira se s poslužiteljem u središnjem uredu, što vam omogućuje upravljanje okruženjem domene iz jednog centra.

Koristi se kao proxy poslužitelj programsko rješenje Kerio Control raspoređen na poslužitelju s operativnim sustavom Microsoft Windows Server 2008 SP2. Sigurnost poslužitelja osigurana je operativnim sustavom, kao i samozaštitom softverskog proxy poslužitelja.

Za rad s programima područnih ureda koji zahtijevaju instalaciju poslužiteljskih dijelova u lokalnoj mreži (tehnološki proizvodni programi) potreban je lokalni aplikacijski poslužitelj.

Pristup bežičnoj mreži provodi se analogno središnjem uredu.

ATS u regionalnom uredu je analogan, izoliran je od korporativne mreže poduzeća.

Pristup uslugama središnjeg ureda ostvaruje se kroz VPN tunel.

Ostali poslužitelji imaju konfiguraciju sličnu poslužiteljima u središnjem uredu, njihovu sigurnost osiguravaju gore opisane zaštite.

Prekidači razine pristupa regionalnog ureda instalirani su nasumično, mnogi od njih nemaju ugrađenu sigurnosnu funkcionalnost.

Korporativna mreža predstavništava u St. Petersburgu i Sočiju

Lokalna mreža predstavništava NPO Udruge K (Slika 21) mali je segment koji se sastoji od D-Link NetDefend UTM Firewall routera, pristupne točke bežične mreže, korisničkih računala, IP telefona i mrežnih MFP-ova.

Usmjerivač omogućuje žičanu internetsku vezu preko jednog komunikacijske linije i omogućuje vam održavanje VPN tunela sa središnjim uredom. U slučaju prebacivanja na rezervnu internetsku liniju u središnjem uredu, usmjerivač se daljinski konfigurira prema rezervnom davatelju usluga.

Slika 21. Shema korporativne mreže predstavništava u Sankt Peterburgu i Sočiju

Korisnička oprema radi na mreži s dinamičkom IP adresom dobivenom od routera. To je učinjeno kako bi osoblje ureda moglo samostalno (bez uključivanja IT stručnjaka) povezati računala i druge uređaje s lokalnom mrežom.

Administratori iz središnjeg ureda konfiguriraju korisničku opremu pomoću programa za udaljenu administraciju.

Korisnici na lokalnoj mreži predstavništava nemaju pristup routeru.

Mreža poslovnica.

U pravilu, podružnica organizacije (mala prostorija u građevinskim ili drugim objektima) ima jedno (ili više) računala i jedan (ili više) IP telefona povezanih na Wi-Fi na kućnoj razini (ili u segmentu malih poduzeća). Fi ruter instaliran na licu mjesta od strane zaposlenika podružnice (Slika 22).

Slika 22. Shema korporativne mreže poslovnice

Zbog nepostojanja VPN veze sa središnjim uredom, koriste se dva mehanizma za osiguranje zaštite prenesenih podataka.

• 1. Internetska veza se uspostavlja pomoću statičke IP adrese. Ovo osigurava stvaranje jasnih pravila vatrozida središnjeg ureda kako bi se omogućio promet samo iz određene poslovnice. Ova funkcionalnost je prijeko potrebna kod korištenja IP telefona, jer radi sigurnosti poslužitelja IP telefonije vatrozid dopušta povezivanje putem SIP protokola samo s određenih IP adresa.
• 2. Za pristup resursima mreže središnjeg ureda s računala podružnice koristi se softverski VPN tunel između korisničke radne stanice i pristupnog poslužitelja. Za izradu takvog tunela koristi se softver s implementacijom temeljenom na OpenVPN tehnologiji. Kako bi osigurao kontrolni kanal i protok podataka, OpenVPN koristi OpenSSL biblioteku. To vam omogućuje korištenje cijelog skupa algoritama za šifriranje dostupnih u ovoj biblioteci.

Ukoliko ne postoji tehnička mogućnost pristupa žičnom internetu, podružnice mogu koristiti modeme umjesto rutera za povezivanje mobilni internet. S ovom implementacijom nije moguće ugostiti IP telefon, ali je prihvatljiva upotreba OpenVPN klijenta.

Kako bi se osiguralo uspješno funkcioniranje poduzeća, razvija se njegov IT odjel informacijska infrastruktura(aplikacije, poslužitelji, diskovni nizovi, mreže), što omogućuje pružanje usluge odgovarajuće razine.

Povijesno uspostavljen način izgradnje IT odjela u potpunosti odražava strukturu informacijski sustavi. Istovremeno, svaka pojedinačna jedinica podržava određeni informacijski sustav. S ovim pristupom obično nema učinkovit sustav interakcija s poslovnim korisnicima te se javljaju problemi s utvrđivanjem kvalitete pruženih usluga.

S prvim informacijskim sustavima javila se potreba za upravljanjem korporativnom infrastrukturom.

Informacijska tehnologija u poduzećima obično se shvaća kao skup informacijskih sustava koji pružaju podršku i automatizaciju postojećih poslovnih procesa.

IT koji se koristi u servisu razlikuje se po nizu značajki:

• Raznolikost primijenjenih IT-a, koja je povezana s prisutnošću velikog broja tematskih područja vezanih uz uslužni sektor, te njihovom raznolikošću.
• IT inteligencija. Usluga mora implementirati cijeli niz intelektualnih usluga vezanih uz individualizaciju, tj. s učinkovitijim radom proizvoda u specifičnim uvjetima njegove uporabe od strane ovog potrošača (ili s proširenjem sfere korisnosti proizvoda za njega).
• Unifikacija i standardizacija, potreba uzimanja u obzir ruskog i međunarodnim standardima reguliranje uporabe IT-a u uslužnom sektoru.
• Individualizacija IT-a, fokus na konkretnog korisnika. Uspjeh uslužne djelatnosti određen je potražnjom za ponuđenom uslugom i time koliko je uslužno poduzeće točno i pravovremeno sposobno utvrditi potrebe i individualne preferencije svakog od svojih kupaca, nudeći proizvod ili uslugu na višoj razini od konkurencije , što je moguće zahvaljujući IT-u.
• IT skalabilnost kako bi se zadovoljile potrebe malih i velikih uslužnih tvrtki.
• Prilagodljivost IT-a, sposobnost zadovoljavanja različitih zahtjeva i potreba korisnika, transformira se izravno u proces usluge.

Informacijska tehnologija je sustav organizacijske strukture, osiguranje funkcioniranja i razvoja informacijskog prostora poduzeća i sredstava informacijske interakcije. Osnova informacijske tehnologije je informatička infrastruktura.

Infrastruktura(lat.infra - ispod, ispod i naT.structura - struktura, lokacija) - kompleks međusobno povezanih uslužnih struktura ili objekata koji čine i/ili daju osnovu za funkcioniranje sustava

Infrastruktura informacijske tehnologije (IT infrastruktura)- ovo je organizacijska i tehnička udruga softvera, računalnih i telekomunikacijskih objekata, komunikacija između njih i operativnog osoblja, osiguravajući pružanje informacija, računalnih i telekomunikacijskih resursa, sposobnosti i usluga zaposlenicima (odjelima) poduzeća (organizacije) potrebnih za implementacija profesionalna djelatnost te rješavanje relevantnih poslovnih problema.

IT infrastruktura uključuje skup različitih aplikacija, baza podataka, poslužitelja, diskovnih polja, mrežne opreme i omogućuje potrošačima pristup informacijskim resursima. IT infrastruktura postaje tehnološka komponenta svake usluge i osigurava njezino pružanje u skladu s dogovorenim pravilima i procedurama.

IT infrastruktura poduzeća- ovo je jedinstveni kompleks softverskih, tehničkih, komunikacijskih, informacijskih, organizacijskih i tehnoloških sredstava za osiguranje funkcioniranja poduzeća, kao i sredstava za njihovo upravljanje.

Kako bi se osigurao učinkovit rad moderna poduzeća potrebna IT infrastruktura koja se sastoji od integriranog skupa sustava, programa i usluga. IT infrastruktura treba biti holistička, što pouzdanija, dobro osmišljena, imati velika zaliha snage, odgovaraju ne samo trenutnom stanju poslovanja, već također uzimaju u obzir njegov razvoj u budućnosti.

Temeljna IT infrastruktura tehnološka je podloga za rad ostalih slojeva korporativne arhitekture. Pravilan dizajn omogućuje vam:

• Smanjite IT troškove;
• Pojednostaviti modernizaciju postojeće infrastrukture;
• Smanjite vjerojatnost zastoja ili kvara sustava;
• Održavati sigurnost infrastrukture organizacije na odgovarajućoj razini;
• Osigurati jednostavno upravljanje IT infrastrukturom;
• Poboljšajte pouzdanost IT infrastrukture organizacije.

Jedan od uvjeta učinkovitosti funkcioniranja IT infrastruktura ustaljena je praksa njezina djelovanja. Rad IT infrastrukture trebao bi se temeljiti na politikama i procedurama razvijenim i uspostavljenim kao korporativni standardi. Raspodjela funkcija i zadataka unutar IT odjela treba osigurati pravovremenost Održavanje sve elemente informatičke infrastrukture.

Održavanje je skup mjera na razini softvera i hardvera koje se provode u fazi proizvodna operacija a usmjerena na osiguranje potrebne pouzdanosti i učinkovitosti informacijskog sustava.

U ovom trenutku možemo izdvojiti sljedeću skupinu zadataka koje rješava IT odjel:

• Osiguravanje učinkovitosti, dostupnosti, povjerljivosti obrađenih informacija.
• Osiguravanje rada informatičke infrastrukture.
• Prevencija i otklanjanje kvarova.
• Planiranje kriznim situacijama i njihovo upravljanje.
• Pružanje automatskog praćenja ispravnosti IT-a.
• Osiguravanje pouzdanosti IT infrastrukture.
• Osiguravanje informacijske sigurnosti.
• Modernizacija opreme.
• Minimizirajte troškove održavanja IT infrastrukture.

U idealnom slučaju, IT infrastruktura odgovara na promjene u okruženju

funkcioniranje, povećanje opterećenja, pooštravanje zahtjeva poslovanja, a da pritom zadrži svoju funkcionalnost, cjelovitost, spremnost i dogovorenu razinu sigurnosti. Razvoj tržišta tjera organizaciju na promjenu poslovnih modela, što pak zahtijeva odgovarajuće promjene u IT infrastrukturi.

Komponente IT infrastrukture poduzeća

S vremenom se sastav IT infrastrukture mijenjao.

U doba velikih računala, infrastruktura je bila:

• komunikacijske linije,
• modemi,
• sustavi napajanja,
• kondicioniranje.

Tijekom razvoja lokalnih mreža infrastruktura je ostala ista, ali se struktura njezinih elemenata zakomplicirala.

Prijelaz na globalne mreže dodatno zakomplicirati koncept.

Istovremeno se povećala složenost:

• povećanjem broja elemenata,
• veze među njima
• zbog kompliciranja unutarnje strukture elemenata, preraspodjele funkcija između njih.

Na primjer: programi za upravljanje kanalima prešli su na upravljanje mrežnim uređajima. Odnosno, paralelno sa složenošću opreme, komplicirala se i matematika - programi upravljanja infrastrukturom

Standardna infrastruktura mrežnog kompleksa svake tvrtke uključuje sljedeće komponente:

Fizički sastav uključuje:

• ožičenje, ruteri,
• sklopni uređaji,
• poslužitelji, stolna računala,
• kabelski sustav;
• pasivna i aktivna mrežna oprema;
• poslovi s klijentima;
• dodatna oprema(pisači, faksovi, uređaji za autorizaciju);
• sistemski softver (operacijski sustavi (OS), alati za informacijsku sigurnost, upravljački programi uređaja);
• standardni aplikacijski softver (alati za obradu proračunskih tablica, obrada teksta, elektronička pošta, datoteke);
• mrežne usluge (DNS poslužitelji, zaštita paketa, autorizacija, pristup internetu i aplikacijski poslužitelji - sustavi za upravljanje bazama podataka (DBMS), mail usluge);
• usluge tehničke podrške, centar za otpremu i kontrolu kvalitete.

Organizacijske i administrativne komponente:

• upute za postavljanje stranice poslužiteljskog i klijentskog softvera, raspored rada;
• pravila za podjelu mreže na područja u skladu s potrebama sigurnosti i izvedbe;
• poseban softver usmjeren na pružanje određenih poslovnih procesa (dizajn, kontrola zaliha, računovodstvo, interakcija s dobavljačima, upravljanje proizvodnjom).

Informacijska infrastruktura različitih razina (globalna, nacionalna, industrijska, organizacijska itd.) sadrži:

• distribuirani informacijski resursi, uključujući web resurse (web stranice, portali, itd.), banke i baze podataka (uključujući one s udaljenim pristupom), digitalne knjižnice, elektronički časopisi;
• distribuirani računalni resursi, uključujući zajedničke računalne centre, superračunalne centre, mrežne računalne resurse organizacija, pojedinačna računala;
• telekomunikacijski resursi koji osiguravaju interakciju udaljenih korisnika s informacijskim i računalnim resursima.

Vrste IT infrastrukture