Побудова інфраструктури. Поняття та компоненти ІТ-інфраструктури підприємства Між частинами ІТ-інфраструктури можливі наступні взаємозв'язки

ІТ-інфраструктура- це складна багатокомпонентна інтегрована система, що є комплексом інформаційні технології(програмних та апаратних засобів) та забезпечує діяльність організації. Комп'ютерне обладнання, програмне забезпечення, мережеві служби, сервіси, електронна пошта, моніторингові системи, політики інформаційної безпеки, системи контролю, системи резервного копіювання та зберігання даних, оргтехніка, телефонія та ін. - все це складові ІТ-інфраструктури підприємства.

Приклад схеми ІТ-інфраструктури:

Залежно від бізнес-моделі організації та розмірів компанії ІТ-інфраструктураможе бути дуже різною. На сьогоднішній день існує велика кількість різних технологій та рішень від різних виробників. Їх вибір для побудови ІТ-інфраструктури має ґрунтуватися на вирішенні головне завдання ІТ-інфраструктури- відповідати потребам бізнесу, забезпечувати безперервність бізнес-процесів, доступність та безпеку даних.

Створення ІТ-інфраструктури

Створення ефективної ІТ-інфраструктури- це досить складний процес, який вимагає високого рівнякомпетенцій у різних напрямках ІТ. Необхідно проаналізувати велику кількість інформації, щоб зрештою отримати ефективну ІТ-інфраструктуру, Що відповідає потребам бізнесу.

Планування ІТ-інфраструктури

Для того, щоб проступити до планування майбутнього ІТ-інфраструктуринеобхідно:

Провести аналіз бізнес-процесів організації;

Якщо в процесі експлуатації ІТ-інфраструктури в організації виникають нові бізнес-процеси, змінюються існуючі, організація змінюється, розвиваємось – може виникнути потреба у модернізації ІТ-інфраструктури.

Під модернізацією може матися на увазі практично будь-які зміни ІТ-інфраструктури, мета яких підвищити доступність, безпеку та ефективність її використання:

• нарощування потужностей у зв'язку з розвитком організації (придбання комп'ютерів, серверів, ліцензій, дисків, пам'яті тощо);
• впровадження нових систем, служб, сервісів у діючу інфраструктуру у зв'язку із змінами потреб бізнесу (засоби колективної роботи, CRM, ERP, система документообігу, двофакторна автентифікація тощо);
• впровадження засобів захисту інформації у зв'язку зі змінами законодавства або появою нових напрямів бізнесу (необхідність забезпечувати збереження персональних даних, банківської таємниці, державної таємниці тощо).

Отримати консультацію фахівця

Ми маємо необхідні компетенції та ресурси для реалізації ІТ-інфраструктурних проектів будь-якого масштабу. Можемо допомогти на будь-якому етапі від планування до реалізації та обслуговування ІТ-інфраструктури та забезпечити високий рівень виконання. Надішліть опис завдання, вирішення якого потребує ваш бізнес. Ми запропонуємо можливі варіанти її вирішення та оцінимо вартість її виконання.

Не кожен успішний керівник може дати точне визначення IT-інфраструктури. Спрощено кажучи, мова йдекомплекс програмних, апаратних і телекомунікаційних ресурсів, які необхідні забезпечення функціонування компанії та виконання персоналом поставлених завдань з допомогою різних додатків.

Можна сказати, що найпростіша ІТ-інфраструктура - це хоча б один ПК із встановленим ПЗ та виходом в Інтернет, якщо він необхідний для ефективної роботиофісу або компанії. А тепер уявіть, наскільки складно організувати безперебійне функціонування великої та розгалуженої компанії з представництвами не тільки містом Москва, а й в інших містах.

Навіщо створюється IT-інфраструктура?

У сучасних реаліях успішність та прибутковість бізнесу, ефективність роботи компанії, її конкурентні переваги багато в чому визначається саме рівнем розвитку, стабільністю та безпекою ІТ-інфраструктури. По суті, це один із найважливіших активів компанії. Пріоритетний аспект – відповідність IT-структури потребам та особливостям конкретного бізнесу.

Комп'ютерна мережа – це інструмент, який допомагає компанії заробляти гроші. Він має бути правильно підібраний, завжди справний та своєчасно оновлюватись.

Так, для великого рітейлера в Москві важливе вміння оперативно інтегрувати в систему нові склади та торгові точки. Банківський сектор більше тяжіє до безпеки, захисту персональних даних та інформації про рух фінансових потоків.

Незалежно від специфіки діяльності конкретної компанії, ключове завдання під час роботи з безліччю клієнтів (замовників):

• забезпечення безперебійності бізнес-процесів, оцінка ризиків, своєчасне визначення та усунення проблем;
• застосування уніфікованих рішень для легкого масштабування бізнесу;
• дотримання високого рівня безпеки та захисту ключових даних;
• можливість оперативно вносити зміни у роботу;
• прозорість та зручність системи управління;
• зниження витрат на створення та обслуговування активів.

Які є варіанти створення ІТ-інфраструктури

Серед основних сценаріїв створення ІТ-інфраструктури варто виділити такі варіанти:

• створення IT із нуля;
• модернізація існуючої інфраструктури для оптимізації витрат, покращення параметрів безпеки, зменшення ризиків;
• виконання заходів щодо реорганізації з урахуванням конкретних бізнес-завдань (впровадження нових послуг для клієнтів, визначення та додавання нових елементів, покращення якості обслуговування).

Хто має будувати IT і чому так важливо
спрогнозувати довгострокові завдання?

Створення повноцінної та ефективної інфраструктури – це дуже складний процес. Він пов'язаний із вагомими матеріальними витратами та вимагає залучення висококваліфікованих та досвідчених фахівців.

Саме тому розробку проекту, його впровадження (фізичну реалізацію), вибір комп'ютерного обладнання та програмного забезпечення, створення виконавчої документації доручають спеціалізованій компанії. В ідеалі, ця компанія може займатися і .

Щоб надалі не виникло проблем, важливо максимально докладно зібрати інформацію про організаційну структуру підприємства та її потреби, що відбуваються бізнес-процеси, перспективи розвитку. Це дозволить закласти запас ресурсів, правильно їх розподілити та контролювати.

Одна з найпоширеніших помилок – бажання заощадити на витратах та створення максимально простої ІТ-інфраструктури, порушення послідовності впровадження процесів. Так, досить часто керівник починає впровадження в компанії ERP системи і лише після цього з'ясовує, що ІТ-інфраструктура компанії категорично до цього не готова.

Ще одне погане рішення - спроба працювати з серверними бізнес-додатками на рівні всієї компанії (1С Підприємство та інше), нехтуючи створенням відмовостійкої серверної ІТ-інфраструктури та/або правильної системирезервного копіювання.

За "правильного" сценарію розвитку бізнес-процеси протікають без збоїв. Проблема виходу з експлуатації устаткування вирішується або дублюванням, або об'єднанням пристроїв у кластер.

Щоб нівелювати програмні збої та пошкодження даних, створюються системи резервного копіювання та відновлення. Ще на етапі проектування передбачають можливість впровадження в систему нових користувачів та реалізація змін бізнес-процесів у найкоротші терміни. (Наприклад, швидкий випуск банківських продуктів, моніторинг цін у конкурентів та оперативна зміна цінників).

Що потрібно знати про ІТ ризики?

Разом з перевагами та новими можливостями ІТ інфраструктура для бізнесу – це й певні ризики. Під визначенням ризиків прийнято вважати всі негативні наслідки, спричинені різними загрозами. Насамперед до них відносяться вірусні та хакерські атаки, всілякі способи крадіжки та/або навмисного псування обладнання або даних.

Слід зазначити, що чим досконаліша ІТ-інфраструктура (виключені помилки на етапі проектування, впровадження та обслуговування), тим менші ризики для бізнесу. Якісне проектування, впровадження та обслуговування дає змогу звести ризики бізнесу практично до «0».

НВО «Асоціація К» має таку територіально-розподілену структуру (рис. 17).

Малюнок 17. Територіальна структура підприємства

• 1. Центральний офіс - розташований на належить компаніїтериторії промислової зони в селі Машково Московської області і є кілька офісних будівель. Тут же розташовується хімічне виробництвовогнезахисних складів, фарб та просочень. Територія обгороджена по периметру та має цілодобову охорону (співробітники охорони, пропускний режим, система відеоспостереження та контролю доступу, охоронно-пожежна сигналізація). Вхід та вихід співробітників підприємства здійснюється через систему контролю доступу з використанням іменних електромагнітних перепусток. Проїзд автотранспорту на територію здійснюється через автоматичні ворота. Електроживлення на територію подається за двома незалежними лініями, основною та резервною, перемикання між якими здійснюється в ручному режимі протягом регламентованого часу (10 хвилин). Підключення до Інтернету організовано двома незалежними каналами зв'язку від різних провайдерів Інтернету (основний канал - оптико-волоконна лінія, резервний - спрямований Wi-Fi). Перемикання між ними у разі аварії здійснюється автоматичним способом. Доступ до серверних кімнат, а також до деяких закриті приміщенняздійснюється з використанням електронної системи контролю доступу із подальшим дублюванням механічними замками. Всі сервери та мережеве обладнання рівнів ядра та розподілу розташовані в серверних кімнатах, мережне обладнання рівня доступу - у відкритому доступі у приміщеннях офісу (як правило, в одному з приміщень поверху на стіні). Офісні будівлі та виробничі цехиз'єднані між собою оптико-волоконною лінією зв'язку. Кількість робочих місць (комп'ютер/ноутбук) в офісі - близько 250.
• 2. Представницький офіс у м. Москва - розташований на території двоповерхового будинку, що орендується, і прилеглої до нього обгородженою автомобільною стоянкою. Має два виходи з будівлі, один на міську вулицю, другий у внутрішній двір зі стоянкою, в'їзд та виїзд з якої здійснюється через автоматичні ворота. Офіс має цілодобову охорону (співробітники охорони, пропускний режим, система відеоспостереження та контролю доступу, охоронно-пожежна сигналізація). Вхід та вихід співробітників підприємства здійснюється через систему контролю доступу з використанням іменних електромагнітних перепусток. Аналогічно центральному офісу доступ до серверної кімнати та інші критично важливі об'єкти здійснюється за допомогою системи контролю доступу. Резервного електроживлення в офісі немає, але є в наявності дизель-генератор, час на введення в експлуатацію якого складає близько 1-ї години. Підключення офісу до Інтернету організовано по двох каналах зв'язку, основним - по кручений парі, і резервному - за технологією ADSL. Перемикання здійснюється автоматичним способом. Всі сервери та мережеве обладнання рівнів ядра та розподілу розташовані в серверних кімнатах, мережеве обладнання рівня доступу - у відкритому доступі в офісних приміщеннях. Кількість робочих місць (комп'ютер/ноутбук) в офісі – близько 50.
• 3. Регіональний офіс - розташований в м. Олексин Тульської області. Є обгородженою територією, на якій розташовуються офісна будівля та цех з виробництва протипожежних виробів та обладнання. Охорона та контроль доступу в офісі забезпечуються за тією самою схемою, як і в центральному офісі. Є резерв електроживлення, два інтернет-канали (основний - оптико-волоконний, резервний - ADSL). Серверна кімната поєднана (суміжне розташування) з кабінетом системного адміністратора, доступ до кабінету здійснюється лише за електронними перепустками. Всі сервери та мережеве обладнання рівнів ядра та розподілу розташовані в серверній кімнаті, мережеве обладнання рівня доступу - у відкритому доступі в приміщеннях офісу. Кількість робочих місць (комп'ютер/ноутбук) в офісі – близько 70.
• 4. Представництво в м. Санкт-Петербург - знаходиться в нежитлових (комерційних) приміщеннях багатоквартирного будинку. Кількість робочих місць співробітників представництва – близько 10. Офіс обладнаний домофоном для забезпечення контролю доступу сторонніх осіб, у неробочий час закривається на ключ та ставиться під охорону. Електроживлення подається від мережі багатоквартирного будинку, Інтернет провідний по виділеній лінії, резерву немає. Серверне обладнання відсутнє.
• 5. Представництво у м. Сочі - розташовується на території офісного центру. Чисельний склад співробітників представництва - 5 осіб. Офіс у неробочий час закривається на ключ, охороняється службою охорони бізнес-центру. Резерву електроживлення та Інтернету немає. Серверне обладнання відсутнє.
• 6. Філії у районах розташування об'єктів будівництва. Є орендовані приміщення або будівельні «вагончики» з кількістю співробітників від 1 до 5. Як правило, забезпечуються мобільним інтернетом, але може бути і провідне підключення до Інтернету (зі статичною IP-адресою) для забезпечення IP-телефонією та програмним VPN-тунелем з центральний офіс.

Весь інформаційний обмінміж територіальними структурами холдингу проводиться через глобальні мережі за допомогою захищених VPN-тунелів, що забезпечують інкапсуляцію, автентифікацію та шифрування даних. Крім цього в кожному підрозділі розгорнуто аналогову телефонію (кількість ліній залежить від розміру філії), що забезпечує резервну телефонний зв'язокміж ними у разі виникнення проблем із Інтернетом.

Корпоративні мережі центрального офісу.

На малюнку 18 представлена ​​топологія корпоративної мережіцентрального офісу НВО "Асоціація К".

Усі сервери та мережеве обладнання верхніх рівнів розподілені по двох серверних кімнатах, з метою безпеки розташованих у різних офісних будинках, але при цьому з'єднаних між собою волоконно-оптичною лінією з використанням високопродуктивних серверних комутаторів.

Доступ в Інтернет

Як уже згадувалося вище, локальна обчислювальна мережа (ЛВС) центрального офісу підключена до Інтернету за двома незалежними лініями зв'язку від різних провайдерів, одна з ліній - це волоконно-оптична лінія (оптика), інша - спрямований сигнал Wi-Fi. Всередині будівлі сигнал від обох провайдерів конвертується в Ethernet, який має дві точки входу до мережі. Перша точка входу: сервер-шлюз на операційній системі CentOS, де кожна з ліній підключається до окремої карти мережі сервера. Друга точка входу: маршрутизатор Mikrotik, де кожна лінія підключається на окремий WAN-порт.

Рисунок 18. Схема корпоративної мережі центрального офісу

У конкретний момент часу завжди активна лінія лише одного провайдера (основний канал), у разі перерви зв'язку (обрив лінії, технічна несправність на стороні провайдера тощо) на обох точках входу відбувається програмне перемикання на альтернативного провайдера з перебудовою таблиць маршрутизації. Переключення є прозорим для користувачів інтернет-послуг за винятком передачі голосу та потокового відео.

IP-телефонія

Підключення до Інтернету через маршрутизатор Mikrotik, розташований у серверній №2, обумовлено вимогами IP АТС (сервер IP-телефонії) до «прямого» доступу до глобальної мережі. Маршрутизатор прокидає SIP-пакети (голосовий трафік) на один із мережевих адаптерів сервера без жодних маніпуляцій із ними. Друга причина, через яку це підключення є - необхідність в наявності адміністративного доступу в Інтернет для співробітників Департаменту ІТ. Списки контролю доступу (ACL) на маршрутизаторі налаштовані таким чином, щоб пропускати лише SIP-трафік на IP АТС та забезпечувати доступ до Інтернету лише конкретним пристроям (за IP та MAC-адресами).

Сервер IP-телефонії є програмним VoIP (Voice over IP ) рішення Asterisk, розгорнуте на операційній системі CentOS. Оскільки сервер має пряме (без використання NAT) підключення до Інтернету, для його захисту використовуються ланцюжки правил вбудованого в операційну систему міжмережевого екрану Netfilter (утиліта Iptables). Ці правила налаштовуються таким чином, щоб пропускати лише SIP-трафік і лише від конкретних IP-адрес провайдерів IP-телефонії або віддалених абонентів (IP-телефонів та смартфонів). Раніше вже згадувалося, що деякі філії забезпечуються інтернет-підключенням зі статичною IP-адресою. Ця адреса якраз потрібна для внесення до правил міжмережевого екрану. Іншою мережевою картою IP АТС «дивиться» у локальну мережу, де немає жодних обмежень щодо трафіку, а доступ до тих чи інших підмереж визначається таблицею маршрутизації операційної системи та правилами міжмережевого екрану. З метою безпеки адміністративний доступ до сервера з боку глобальної мережі закрито, навіть за протоколом SSH.

Крім сервера IP-телефонії, на підприємстві використовуються цифрова телефонна станція Panasonic, що дозволяє працювати з класичними телефонними лініями. Ця станція має вбудовану можливість комутації з аналогічною телефонною станцією, що у представницькому офісі у м.Москва за протоколом IP. Обмін голосовим трафіком між двома офісами здійснюється через VPN-тунель.

Сервер-шлюз

Основною для організації точкою виходу до Інтернету є підключення через сервер-шлюз, розташований у серверній №1. Сервер-шлюз поєднує функції шлюзу доступу до Інтернету, поштового сервера, проксі-сервера, VPN-концентратора та міжмережевого екрану. Весь необхідний функціонал реалізується за допомогою операційної системи CentOS та додаткових пакетів додатків.

Весь трафік, що проходить через сервер, перевіряється міжмережевим екраном Netfilter, що обробляє його згідно з строго визначеними ланцюжками правил. Проксі-сервер Squid дозволяє гнучко керувати контролем доступу користувачів до певних інтернет-ресурсів. Поштовий сервер має «навчальний» захист від спаму і налаштований на роботу за протоколом IMAP, що дозволяє використовувати авторизацію користувачів через службу каталогів (Active Directory) контролера домену.

Функції VPN-концентратора виконує програмний пакет KAME IPSec-Tools, який формує VPN-тунелі з представництвами та філіями компанії, а також кінцевими користувачами, яким надається віддалений доступ до мережі підприємства. Дане програмне забезпечення дозволяє реалізувати можливість автоматичного перезапуску VPN-тунелів у разі недоступності одного з Інтернет-провайдерів. Устаткування представницького офісу у м. Москва дозволяє розпізнати зміну провайдера на стороні сервера центрального офісу та ініціалізувати перестворення тунелю. Аналогічно працює і сервер у центральному офісі. Це дозволяє постійно підтримувати стабільний VPN-тунель між центральним та представницьким офісом (час перемикання не більше 5 хвилин). Обладнання в інших філіях вимагає ручного перестворення тунелю з резервним провайдером, проте на стороні сервера-шлюзу в центральному офісі ніяких операцій не потрібно робити.

Через VPN-тунелі з представництвами та філіями компанії проводиться обмін даними, поштою, голосовим трафіком, здійснюється реплікація серверів, робота віддалених користувачів на термінальному сервері. Це дозволяє забезпечити захист даних, що передаються.

Сервер-шлюз має виділений інтерфейс для підключення до мережі управління, налаштований на підключення тільки за протоколом SSH зі зміною портів за замовчуванням та суворим перерахуванням адміністраторів, які мають доступ. Виконані базові рекомендації щодо налаштування Linux-подібних операційних систем. Антивірусне програмне забезпечення не встановлено. Операційна система регулярно оновлюється. Сховище електронної пошти на сервері шифрується.

Файловий сервер

Усі файли та дані підприємства зберігаються на файловому сервері, який розгорнуто на платформі Samba операційної системи CentOS. Платформа дозволяє працювати з мережевими сховищами за протоколом SMB/CIFS. Контроль доступу до даних через мережу здійснюється за допомогою функцій авторизації за допомогою доменних облікових записів Active Directory (AD).

Доступ до управління сервером має обмежену кількість адміністраторів, здійснимо або через локальну консоль, або через SSH-доступ, використовується мережа управління.

З метою безпеки всі дані на сервері шифруються, використовується дзеркалювання. Антивірусне програмне забезпечення не встановлено.

Сервер 1С Підприємство та SQL-сервер

Як базова ERP-система для організації НВО «Асоціація К» використовується технологічна платформа «1С Підприємство 8». Тут міститься більшість конфіденційної інформації підприємства. Платформа розгорнута на двох серверах, де один виконує функції зберігання та обробки бази даних (SQL-сервер), а інший реалізує прикладний функціонал (Сервер 1С). Обидва сервери працюють на операційній системі Microsoft Windows Server 2008 SP2, настроєно регулярне встановлення оновлень з внутрішнього сервера WSUS (Windows Server Update Services).

Брандмауер (вбудований в операційну систему) SQL-сервера налаштований таким чином, щоб пропускати трафік тільки від сервера 1С на певні порти і адміністративний трафік. Доступ до сервера забезпечується авторизацією AD. З метою економії ресурсів антивірусне програмне забезпечення не встановлено. Усі бази даних SQL-сервера шифруються для забезпечення високого рівня конфіденційності.

Брандмауер сервера 1С налаштований на пропуск трафіку тільки порти, використовувані платформою 1С Підприємство і адміністративний трафік. Аналогічно SQL-сервер контроль доступу регулюється за допомогою доменних служб.

Клієнти сервера 1С Підприємства встановлені на робочих місцях користувачів та дозволяють увійти в систему лише з обліковими даними користувачів, які попередньо зареєстровані в ній адміністратором 1С. Контроль доступу до даних усередині системи забезпечується вбудованими засобами конфігурацій 1С Підприємства. Доступ до тих чи інших функціональних блоків регламентовано.

Контролер домену

Сервер з функціями контролера домену зберігає дані служби каталогів (AD) і керує взаємодією користувачів у домені, включаючи процеси входу користувача в систему, автентифікацію та пошук у каталозі. Контролер домену є найважливішою ланкоюу забезпеченні інформаційної безпеки. У разі виходу з експлуатації цього сервера через відсутність коректної авторизації порушується працездатність практично всіх ІТ-систем підприємства. Щоб уникнути такої ситуації, проводиться дублювання функціонала контролера домену на іншому сервері (на підприємстві, що розглядається, резервний контролер домену створений на базі віртуальної машини на одному з фізичних серверів підприємства).

Операційна система сервера - Microsoft Windows Server 2008 SP2. Для керування об'єктами каталогу Active Directory використовуються групові політики, що дозволяють створити ефективну та легко керовану комп'ютерну робоче середовище, а також є важливим елементомінформаційну безпеку. Політики централізовано застосовуються до всіх робочих станцій корпоративної мережі та дозволяють одноманітно налаштувати такі правила, як складність пароля для користувачів, блокування екрану, дозвіл на запуск тих чи інших програм та більшу частину інших політик безпеки, що застосовуються до робочих станцій користувачів, серверів та інших членів. домену.

Контролер домену також дозволяє забезпечувати контроль доступу користувачів до тих чи інших ресурсів мережі підприємства. Наприклад, адміністратори зможуть мати доступ до серверів, а користувачі лише до комп'ютерів.

Сервер виконує також функцію DNS-сервера підприємства, при цьому дозволяючи запити від внутрішньої мережі та перенаправляючи зовнішні запити на сервер-шлюз. Захист сервера DNS забезпечується обмеженням IP-адрес прослуховування, відключенням рекурсії для мережних клієнтів та вказівкою кореневих посилань на зовнішні DNS-сервери.

Для забезпечення безпеки контролера домену застосовуються такі процедури:

• 1) встановлення останніх оновлень безпеки;
• 2) створення резервних копій служби каталогів та системних розділів;
• 3) регулярні антивірусні перевірки;
• 4) відключення анонімного доступу до AD;
• 5) включення політика аудиту;
• 6) фільтрація SID.

Термінальний сервер (сервер терміналів)

Цей сервер надає віддалені робочі столи користувачам 1С Підприємство та прикладних програм сервера додатків. Сервер терміналів необхідний для надання доступу до локальних ресурсів клієнтів з низькою продуктивністю та віддалених користувачів, що підключаються до мережі через VPN.

Безпека сервера терміналів забезпечується вбудованими в операційну систему Microsoft Windows Server 2008 SP2 механізмами захисту, такими як Network Level Authentication (NLA), SSL-шифрування, зміна порту RDP, що використовується за замовчуванням та перевірка сумісності з клієнтами RDP.

Антивірусне програмне забезпечення не встановлено.

Сервер додатків

Сервер програм представляє середовище для розгортання та виконання користувацьких серверних бізнес-додатків. Ці програми реагують на запити, що надходять через мережу від клієнтських комп'ютерів або інших програм. Розгорнуто на операційній системі Microsoft Windows Server 2008 SP2.

Безпека сервера забезпечується брандмауером операційної системи, який гнучко налаштовується на фільтрацію трафіку програм таким чином, щоб запити на порти проходили тільки з довірених клієнтів, а також авторизацією AD. Антивірусне програмне забезпечення дозволяє проводити регулярну перевірку системи та забезпечує своєчасний контроль запуску будь-яких програм сервера.

Сервер резервного копіювання (Backup-сервер)

Для забезпечення доступності даних, що зберігаються та оброблюються серверами підприємства, використовуються процедури регулярного резервного копіювання. Своєчасне виконання цих процедур забезпечує сервер резервного копіювання, розгорнутий на операційній системі CentOS та використовуючий кросплатформове програмне забезпечення Bacula. Bacula - це мережна клієнт-серверна програма для резервного копіювання, архівування та відновлення. Клієнти встановлюються на кожному із серверів підприємства та забезпечують передачу даних на сервер згідно з розкладом. Захист інформації при резервному копіюванні забезпечується такими механізмами:

• 1) всі послуги авторизуються з використанням алгоритму аутентифікації CRAM-MD5;
• 2) MD5, SHA1 сигнатури для кожного файлу в архіві;
• 3) контрольна CRC сума для кожного блоку, записаного на тому зберіганні;
• 4) використання ACL для керуючої консолі;
• 5) шифрування обміну з допомогою TLS;
• 6) шифрування даних за допомогою PKI;
• 7) перевірка даних, схожа до системи виявлення атак.

Сервер резервного копіювання має виділений інтерфейс для підключення до мережі керування, налаштований на підключення тільки за протоколом SSH зі зміною портів за замовчуванням та суворим перерахуванням адміністраторів, які мають доступ. Виконані базові рекомендації щодо налаштування Linux-подібних операційних систем. Антивірусне програмне забезпечення не встановлено. Операційна система регулярно оновлюється. Сховище резервних копій на сервері шифрується.

Сервер реєстрації подій та моніторингу (Syslog-сервер)

Цей сервер реалізує функції контролю над станом ІТ-систем підприємства. Сюди стікається вся реєстраційна інформація з серверного та активного мережевого обладнання, і тут же спостерігається їх фізичний стан, клімат у серверних кімнатах, доступні системні ресурси, стан каналів передачі даних і т.д.

Syslog-сервер розгорнутий на операційній системі CentOS, безпека сервера забезпечується механізмами, аналогічними раніше описаних серверів цього типу. Використовується Zabbix – система моніторингу та відстеження статусів ІТ-сервісів.

Обмін реєстраційними даними здійснюється за спільною мережею.

мережеве обладнання

Обмін даними між серверами та кінцевими хостами (комп'ютерами, телефонами тощо) забезпечується застосуванням високопродуктивних серверних комутаторів та комутаторів рівня ядра та розподілу. Це мережне обладнання 3-го рівня має базові налаштування безпеки, такі як контроль адміністративного доступу, керування через виділені порти тощо. Технологія VLAN в теперішній моментне задіяна.

Маршрутизатор бездротового доступу забезпечує підключення до мережі клієнтів через Wi-Fi. Для цього використовується виділена підмережа та списки доступу на маршрутизаторі, що дозволяють фільтрувати трафік мобільних користувачів. Для безпроводових підключень використовуються такі елементи керування безпекою:

• 1) зміна заданого (за замовчуванням) мережного імені (SSID) у точках доступу;
• 2) включення захищеного доступу Wi-Fi(WPA/WPA2);
• 3) включення апаратних обмежень MAC-адреси;
• 4) підключення точки доступу до мережі за межами міжмережевого екрану або в окремому сегменті з дротової локальної мережі.

Корпоративна мережа представницького офісу.

На малюнку 19 представлено схему корпоративної мережі представницького офісу в м. Москва НВО «Асоціація К».

Рисунок 19. Схема корпоративної мережі представницького офісу

Аналогічно мережі центрального офісу, доступ до Інтернету здійснюється через два інтернет-канали від різних провайдерів. Основна лінія - це дротовий інтернет за технологією Ethernet, резервна лінія - низькошвидкісний ADSL-канал. Є дві точки входу до мережі: перша -- сервер-шлюз аналогічної встановленому у центральному офісі серверу конфігурації, друга -- маршрутизатор Mikrotik, необхідний адміністративного виходу до Інтернету.

Сервер-шлюз, як і маршрутизатор Mikrotik забезпечують автоматичне перемикання між основною та резервною лінією зв'язку.

АТС Panasonic аналогічна до встановленої станції в центральному офісі, за винятком кількості доступних абонентів. Вона забезпечує цифровий телефонний зв'язок між офісами через VPN-тунель.

Сервер контролера домену віртуалізований та реплікується з сервером у центральному офісі та зберігає аналогічну конфігурацію служби каталогів, дозволяючи керувати доменним середовищем з єдиного центру.

Зміни та способи захисту інших серверів представницького офісу повністю відповідають серверам у центральному офісі. Локальний сервер додатків необхідний для роботи з програмами представницького офісу, що вимагають встановлення серверних частин у локальній мережі (наприклад, ряд програм з розрахунку пожежних ризиків).

Всі інші сервіси, розгорнуті в центральному офісі, доступні для користувачів представницького офісу через VPN-тунель. Міжмережеві екрани по обидва боки тунелю пропускають лише певний трафік, потрібний тим чи іншим додаткам і сервісам.

Доступ до корпоративної мережі робочих місць користувачів, IP-телефонів, оргтехніки здійснюється через комутатори рівня доступу, які знаходяться у відкритому доступі в приміщеннях офісу (як правило, в одному з приміщень поверху на стіні). Для цілей безпеки всі порти цих комутаторів, що не використовуються, відключені.

Корпоративна мережа регіонального офісу.

На малюнку 20 представлено схему корпоративної мережі регіонального офісу в м. Олексин НВО «Асоціація К».

Усі сервери та мережеве обладнання верхніх рівнів розташовано у серверній кімнаті, поєднаній з кабінетом системного адміністратора та обладнаною системою контролю доступу.

Корпоративна мережа має єдину точку виходу в Інтернет через маршрутизатор (міжмережевий екран) D-Link NetDefend UTM Firewall, що дозволяє підключити до нього дві WAN-лінії від різних інтернет-провайдерів і має можливість організації VPN-тунелю. Основна лінія Інтернет - оптико-волоконна, резервна - ADSL.

Маршрутизатор D-Link NetDefend UTM має всебічний захист від вірусних атак, від несанкціонованого доступу та небажаного контенту, що забезпечує автоматичне резервування інтернет-каналів. У цьому відсутня можливість автоматично «перезбирати» VPN-тунель у разі розриву з'єднання. У разі виникнення такої ситуації системний адміністратор регіонального офісу має чітку інструкцію щодо переконфігурування тунелю.

Рисунок 20. Схема корпоративної мережі регіонального офісу

Аналогічно офісу в м. Москва, контролер домену реплікується із сервером у центральному офісі, дозволяючи керувати доменним середовищем із єдиного центру.

Як проксі-сервер використовується програмне рішення Kerio Control, розгорнутий на сервері з операційною системою Microsoft Windows Server 2008 SP2. Безпека сервера забезпечується засобами операційної системи, а також самозахист програмного проксі-сервера.

Локальний сервер додатків необхідний роботи з програмами регіонального офісу, які потребують установки серверних частин у локальній мережі (технологічні виробничі програми).

Доступ до бездротової мережі здійснюється за аналогією до центрального офісу.

АТС у регіональному офісі – аналогова, вона ізольована від корпоративної мережі підприємства.

Доступ до сервісів центрального офісу здійснюється через VPN-тунель.

Інші сервери мають аналогічну серверам у центральному офісі конфігурації, їхня безпека забезпечується описаними вище засобами захисту.

Комутатори рівня доступу регіонального офісу встановлені у довільному порядку, багато з них не мають вбудованого функціоналу із забезпечення безпеки.

Корпоративна мережа представництв у м. Санкт-Петербург та у м. Сочі

Локальна мережа представництв компанії НВО «Асоціація К» (рисунок 21) є невеликим сегментом, що складається з маршрутизатора D-Link NetDefend UTM Firewall, точки доступу до бездротової мережі, комп'ютерів, IP-телефонів і мережевих МФУ.

Маршрутизатор забезпечує підключення до проводового Інтернету за єдиною лінії зв'язкуі дозволяє підтримувати VPN-тунель із центральним офісом. У разі переходу на резервну лінію Інтернету в центральному офісі маршрутизатор конфігурується віддалено на резервного провайдера.

Малюнок 21. Схема корпоративної мережі представництв у м. Санкт-Петербург та Сочі

Устаткування користувача працює в мережі з динамічною IP-адресою, що отримується від маршрутизатора. Це зроблено для того, щоб співробітники офісу самостійно (без залучення ІТ-фахівців) могли здійснювати підключення комп'ютерів та інших пристроїв до локальної мережі.

Адміністратори з центрального офісу виконують налаштування обладнання за допомогою програм віддаленого адміністрування.

Користувачі локальної мережі не мають доступу до маршрутизатора.

Корпоративна мережа філії.

Як правило, філія організації (невелике приміщення на будівельних або інших об'єктах) забезпечується одним (або більше) комп'ютером та одним (або більше) IP-телефоном, що підключається до Wi-Fi маршрутизатору домашнього (або сегмента малого бізнесу) рівня, який встановлюється на місці співробітниками філії (малюнок 22).

Рисунок 22. Схема корпоративної мережі філії

Через відсутність VPN-з'єднання з центральним офісом використовується два механізми, що забезпечують захист даних, що передаються.

• 1. Підключення до Інтернету здійснюється за допомогою статичної IP-адреси. Це дозволяє забезпечити створення чітких правил міжмережевого екрану центрального офісу з метою дозволу трафіку лише від конкретної філії. Цей функціонал суворо необхідний при використанні IP-телефонів, оскільки для безпеки сервера IP-телефонії міжмережевий екран дозволяє з'єднання протоколу SIP лише з конкретних IP-адрес.
• 2. Для доступу до ресурсів мережі центрального офісу з філіальних комп'ютерів використовується програмний VPN-тунель між робочим місцем користувача і шлюзовим сервером. Для створення такого тунелю використовується програмне забезпечення з реалізацією технології OpenVPN. Для забезпечення безпеки керуючого каналу та потоку даних OpenVPN використовує бібліотеку OpenSSL. Це дозволяє використовувати весь набір алгоритмів шифрування, доступних у цій бібліотеці.

У разі відсутності технічної можливості доступу до дротового Інтернету у філіях замість маршрутизатора можуть використовуватися модеми для підключення мобільного інтернету. За такої реалізації відсутня можливість розміщення IP-телефону, але використання OpenVPN клієнта допустиме.

Для забезпечення успішного функціонування підприємства його ІТ-підрозділ розвиває інформаційну інфраструктуру(Додатки, сервери, дискові масиви, мережі), що дозволяє надавати сервіс відповідного рівня.

Історично сформований спосіб побудови ІТ-підрозділів повністю відображає структуру використовуваних інформаційних систем. У цьому кожен конкретний підрозділ підтримує певну інформаційну систему. При такому підході, як правило, не існує ефективної системивзаємодії з бізнес-користувачами та виникають проблеми з визначенням якості послуг.

Разом із першими інформаційними системами виникла потреба в управлінні корпоративною інфраструктурою.

Під інформаційними технологіями у компаніях зазвичай розуміють набір інформаційних систем, що забезпечують підтримку та автоматизацію існуючих бізнес-процесів.

ІТ, які використовуються в сервісі відрізняються рядом особливостей:

• Різноманітність прикладних ІТ, що пов'язано з наявністю великої кількості предметних областей, що належать до сфери послуг, та їх різноманітністю.
• Інтелектуалізація ІТ. Сервіс має реалізовувати весь комплекс інтелектуальних послуг, що з індивідуалізацією, тобто. з ефективнішою експлуатацією товару за умов його використання даним споживачем (чи з розширенням йому сфери корисності товару).
• Уніфікація та стандартизація, необхідність обліку російських та міжнародних стандартів, які регламентують застосування ІТ у сфері послуг
• Індивідуалізація ІТ, орієнтація конкретного користувача. Успіх сервісної діяльності визначається попитом на пропоновану послугу і тим, наскільки точно і своєчасно підприємство сервісу здатне визначити потреби та індивідуальні переваги кожного зі своїх клієнтів, запропонувавши продукт чи послугу на вищому, ніж конкуренти, рівні, що можливо завдяки ІТ.
• Масштабованість ІТ відповідно до потреб як малих, так і великих підприємств сервісу.
• Адаптивність ІТ, здатність відповідати різноманітним запитам та потребам клієнтів, трансформуватися безпосередньо у процесі обслуговування.

Інформаційні технології – це система організаційних структур, що забезпечують функціонування та розвиток інформаційного простору підприємства та засобів інформаційної взаємодії. Основу інформаційних технологій становить ІТ-інфраструктура.

Інфраструктура(лат.infra - нижче, під та naT.structura - будова, розташування) - комплекс взаємопов'язаних обслуговуючих структур або об'єктів, що складають та/або забезпечують основу, що забезпечує функціонування системи

Інфраструктура інформаційних технологій (ІТ-інфраструкгура)- це організаційно-технічне об'єднання програмних, обчислювальних та телекомунікаційних засобів, зв'язків між ними та експлуатаційного персоналу, що забезпечує надання інформаційних, обчислювальних та телекомунікаційних ресурсів, можливостей та послуг працівникам (підрозділам) підприємства (організації), необхідних для здійснення професійної діяльностіта рішення відповідних бізнес-завдань.

ІТ-інфраструктура включає сукупність різних додатків, баз даних, серверів, дискових масивів, мережного обладнання та забезпечує доступ споживачів до інформаційних ресурсів. ІТ-інфраструктура стає технологічною складовою будь-якого сервісу та забезпечує його надання відповідно до узгоджених правил та процедур.

ІТ-інфраструктура підприємства– це єдиний комплекс програмних, технічних, комунікаційних, інформаційних та організаційно-технологічних засобів забезпечення функціонування підприємства, а також засобів управління ними.

Для забезпечення ефективної діяльності сучасні підприємствапотребують ІТ-інфраструктури, що складається з інтегрованого комплексу систем, програм та служб. ІТ-інфраструктура має бути цілісною, максимально надійною, грамотно спроектованою, мати великим запасомміцності, відповідати не лише поточному стану бізнесу, а й враховувати його розвиток у майбутньому.

Базова ІТ-інфраструктура є технологічною підкладкою для роботи інших верств корпоративної архітектури. Правильне її проектування дозволяє:

• знизити витрати на ІТ;
• Спростити модернізацію наявної інфраструктури;
• Звести до мінімуму можливість простоїв у роботі або виходу систем з ладу;
• Підтримувати безпеку інфраструктури організації на належному рівні;
• Забезпечити просте керування ІТ-інфраструктурою;
• Підвищити надійність ІТ-інфраструктури організації.

Однією з умов ефективності функціонування ІТ-інфраструктуриє налагоджена практика її експлуатації. Експлуатація ІТ-інфраструктури має бути побудована на основі політик та процедур, розроблених та заснованих як корпоративні стандарти. Розподіл функцій та завдань усередині ІТ-підрозділу має забезпечувати своєчасне технічне обслуговуваннявсіх елементів ІТ-інфраструктури.

Технічне обслуговування- це комплекс заходів програмнотехнічного рівня, що здійснюються на етапі виробничої експлуатаціїта спрямованих на забезпечення необхідної надійності та ефективності функціонування інформаційної системи.

На даний момент можна виділити наступну групу завдань, які вирішуються ІТ-підрозділом:

• Забезпечення оперативності, доступності, конфіденційності інформації, що обробляється.
• Забезпечення експлуатації ІТ-інфраструктури.
• Запобігання та усунення збоїв.
• Планування кризових ситуаційта управління ними.
• Забезпечення автоматичного моніторингу працездатності ІТ.
• Забезпечення надійності функціонування ІТ-інфраструктури.
• Забезпечення інформаційної безпеки.
• Модернізація обладнання.
• Мінімізація витрат на підтримку ІТ-інфраструктури.

В ідеалі ІТ-інфраструктура реагує на зміни середовища

функціонування, зростання навантаження, посилення вимог бізнесу, зберігаючи свою функціональність, цілісність, готовність, обумовлений рівень безпеки. Розвиток ринку змушує організацію змінювати моделі бізнесу, що, своєю чергою, потребує адекватних змін ІТ-інфраструктури.

Компоненти ІТ-інфраструктури підприємства

З часом склад ІТ-інфраструктури зазнав змін.

За часів мейнфреймів інфраструктура була:

• лінії зв'язку,
• модеми,
• системи енергозабезпечення,
• кондиціювання.

У період розвитку локальних мереж інфраструктура залишилася незмінною, проте ускладнилася структура її елементів.

Перехід до глобальним мережамще більше ускладнив це поняття.

При цьому складність зростала:

• за рахунок збільшення числа елементів,
• зв'язків між ними,
• за рахунок ускладнення внутрішньої структури елементів, перерозподілу функцій між ними.

Наприклад: програми керування каналами перемістилися на керування мережними пристроями. Тобто паралельно до ускладнення апаратури ускладнювалася математика - програми управління інфраструктурою

До стандартної мережної комплексної інфраструктури будь-якої компанії входять компоненти:

До фізичного складу входять:

• проводка, маршрутизатори,
• пристрої перемикання,
• сервери, настільні комп'ютери,
• кабельна система;
• пасивне та активне мережеве обладнання;
• клієнтські робочі місця;
• додаткове обладнання(Принтери, факси, пристрої авторизації);
• системне ПЗ (операційні системи (ОС), засоби захисту інформації, драйвери пристроїв);
• стандартне прикладне ПЗ (засоби обробки електронних таблиць, роботи з текстами, електронною поштою, файлами);
• мережеві служби (сервери DNS, пакетного захисту, авторизації, доступу до Інтернету та сервери додатків - системи управління базами даних (СУБД), поштові сервіси);
• служби технічного супроводу, центр диспетчеризації та контролю якості.

Організаційно-адміністративні складові:

• інструкції з налаштування серверного та клієнтського програмного місця, регламент проведення робіт;
• правила розбиття мережі на області відповідно до потреб безпеки та продуктивності;
• спеціальне програмне забезпечення, орієнтоване на забезпечення деяких бізнес-процесів (проектування, складський облік, бухгалтерія, взаємодія з постачальниками, управління виробництвом).

Інформаційна інфраструктура різного рівня (глобальна, національна, галузева, організації тощо) містить:

• розподілені інформаційні ресурси, що включають web- ресурси (сайти, портали та ін.), банки та бази даних (у тому числі з віддаленим доступом), електронні бібліотеки, електронні журнали;
• розподілені обчислювальні ресурси, що включають ПЦ колективного користування, суперкомп'ютерні центри, мережеві обчислювальні ресурси організацій, індивідуальні комп'ютери;
• телекомунікаційні ресурси, які забезпечують взаємодію віддалених користувачів з інформаційними та обчислювальними ресурсами.

Типи IT-інфраструктури