Аутком
Защищённая ИТ-инфраструктура
Проекты | ИТ инфраструктура

Защищённая ИТ-инфраструктура

Описание проблемы

Компьютерные технологии в бизнесе уже давно стали фактором, помогающим развивать конкурентные преимущества современных предприятий. В то же время неквалифицированно налаженная ИТ-инфраструктура препятствует развитию бизнеса. Помимо точки затрат, она может стать причиной значительных финансовых потерь в результате неисправностей персональных компьютеров, неработающей электронной почты, отсутствия доступа в сеть Интернет и т.п.

Требования бизнеса

Ежедневное обеспечение сотрудников предприятия необходимым и достаточным для выполнения служебных обязанностей ИТ-сервисом.

Оценка стоимости.


Термины и определения 

КС, ЛВС – компьютерная сеть.

ИТ-инфраструктура - комплекс аппаратного и программного обеспечения, позволяющего осуществлять деятельность Предприятия с использованием ЛВС, осуществлять наиболее оптимальное для Предприятия использование сети Интернет, а также осуществлять защиту ЛВС от вредных последствий, возникающих при доступе в сеть Интернет.

ИС – информационная система.

СКС – структурированная кабельная система.

VLAN – выделенный сегмент ЛВС, используемый для группирования пользователей СКС по какому-либо признаку, например по подразделению.

Опорная сеть – фрагмент СКС состоящий из коммутационного оборудования выполняющий функции организации VLAN, обеспечения отказоустойчивости, безопасности и маршрутизации сетевого трафика между VLAN.

Администратор КС – сотрудник Исполнителя, обеспечивающий управление КС.

 
Цели внедрения

  • Обеспечение непрерывности работы сотрудников главного офиса Предприятия
  •  Обеспечение устойчивости к вирусным воздействиям, несанкционированному доступу со стороны внешних и внутренних злоумышленников
  • Создание базовой модульной инфраструктуры КС обеспечивающей постепенное подключение к ИТ-инфраструктуре КС всех сотрудников Предприятия
  • Создание технической базы для объединения территориально удалённых КС филиалов Предприятия в Единое информационное пространство на базе главного офиса

Принципы организации КС

  1. Централизация
    • Сервисы КС, такие, как файл-сервис, сервис печати, антивирусная защита, доступ в сеть Интернет должны быть организованы и предоставляться пользователям КС централизованно
    • Управление серверами, системами, правами доступа, пользователями КС должно осуществляться централизованно
    • Управление программным обеспечением: установка, удаление, обновление должно осуществляться централизованно в соответствии с единой методологией
  2. Типизация
    • Ресурсы КС, такие, как доступ в Интернет, общие файловые ресурсы, ресурсы сетевой печати и др. должны организовываться в соответствии с едиными принципами и на одной методологической базе.
    • Рабочие станции пользователей КС  должны быть взаимозаменяемыми. 
  3. Непрерывность 
    • Сервисы КС должны функционировать в штатном режиме без дополнительного участия Администраторов КС
    • Сервисы КС должны быть организованы таким образом, чтобы обеспечить восстановление работоспособности системы в случае сбоя в течение 24 часов.

Описание
В рамках решения разрабатываются нормативные документы, регламентирующие работу ключевых компонентов КС.

  1. Политики
    • Политика использования ИТ-инфраструктуры
    • Политика информационной безопасности
    • Политика использования ресурсов сети Интернет
    • Политика использования электронной почты
    • Учётная политика (аппаратного и программного обеспечения [лицензионного и бесплатного], сетевых ресурсов, пользователей, прав доступа, и проч.)
  2. Стандарты
    • Стандарт серверного аппаратного обеспечения
    • Стандарт рабочего места
    • Стандарт программного обеспечения (системного, прикладного)
    • Стандарт подключения к сети Интернет
      Стандарт организации системы электронной почты
    • Стандарт организации системы управления ресурсами локальной вычислительной сети
    • Стандарт подключения территориально удалённого подразделения/организации к ИТ-инфраструктуре
      Стандарт подключения корпоративного приложения к ИТ-инфраструктуре
    • Стандарт организации системы резервного копирования
      Стандарт организации системы антивирусной защиты 
  3. Положения
    • Положение о службе системного администрирования ИТ-инфраструктуры
    • Положение о службе технической поддержки пользователей ИТ-инфраструктуры
  4. Регламенты
    • Регламент использования информационных ресурсов
    • Регламент взаимодействия службы технической поддержки пользователей с подразделениями и внешними организациями
    • Регламент взаимодействия службы системного администрирования с  подразделениями и внешними организациями
    • Регламент управления доступом к ресурсам файлового сервера
    • Регламент резервного копирования
    • Регламент тестирования защищённости ИТ-инфраструктуры
    • Регламент проведения профилактических работ
    • Регламент внесения изменений в эксплуатационную и техническую документацию
  5. Эксплуатационная документация
    • Общее описание системы
    • Структурная схема СКС
    • Топология СКС

Защищённая ИТ-инфраструктура имеет модульную структуру и состоит из следующих подсистем:

  • СКС
  • Серверная подсистема
  • Подсистема пользователей и рабочих станций
  • Подсистема взаимодействия с сетью Интернет
  • Подсистема мониторинга и учёта.

СКС
СКС состоит из кабельной системы и коммутационного оборудования. Для обеспечения стратегических принципов централизации, непрерывности и типизации СКС организовывается в соответствии со схемой

Структурированная кабельная система

Опорная сеть состоит из двух коммутаторов 3-го уровня (например Cisco 3550-12T) распределяющих нагрузку по маршрутизации трафика и обеспечивающих автоматическое переключение этажных коммутаторов (например Cisco WS-C3524) в случае сбоев. Этажные коммутаторы подключаются к коммутаторам 3-го уровня двумя каналами (например 1000BaseT) для обеспечения непрерывности работы в случае выхода из строя одного из каналов.

 

Опорная сеть обеспечивает возможность группирования пользователей в выделенные сегменты VLAN. Выделенные сегменты КС могу объединять в себе пользователей ЛВС по определённому признаку, например по принадлежности к одному подразделению. В целях безопасности и оптимизации производительности сегменты логически изолированы друг от друга. Предусмотрено предоставление доступа пользователям между выделенными сегментами в случае необходимости.

В защищённой ИТ-инфраструктуре имеются выделенные сегменты СКС следующих типов: серверный сегмент, сегмент взаимодействия с  сетью Интернет и выделенные сегменты пользователей. Серверный сегмент и сегмент взаимодействия с сетью Интернет предназначены для обеспечения эффективности работы КС и защиты информации.
 
Серверная подсистема

Состоит из серверов и специализированного оборудования. Серверная подсистема организовывается в соответствии со следующей схемой.
 Схема защищённой ИТ-инфраструктуры

Серверная подсистема организовывается на основе Активного каталога MS Windows © в соответствии со стратегическими принципами централизации, типизации и непрерывности. 

 

 

 

Серверная подсистема обеспечивает поддержку следующих сервисов КС:

  • Управление ИТ-инфраструктурой
  • ИС электронного документооборота «Optima Workflow»
  • Файловый сервис
  • Сетевая печать
  • Информационно-справочные системы («Гарант», «Консультант плюс»)
  • Антивирусная защита
  • Система резервного копирования
  • Система корпоративной электронной почты

Серверная подсистема обеспечивает:

  • Централизованное управление ресурсами ЛВС
  • Централизованное управление пользователями и правами доступа
  • Централизованное автоматическое обновление и установка программного обеспечения
  • Централизованную службу сетевой печати документов
  • Корпоративную электронную почту
  • Единые политики, определяющие режимы работы пользователей с ИТ-инфраструктурой в соответствии с принятыми нормативными документами
  • Независимость пользователей и рабочих станций ЛВС, т.е. любой пользователь может использовать для работы любую рабочую станцию ЛВС при одинаковых возможностях доступа к ресурсам, данным и программному обеспечению
  • Централизованное хранение данных
  • Резервное копирование данных
  • Горячее резервирование ключевых сервисов ИТ-инфраструктуры
  • Обеспечение основных функций серверной подсистемы должно базироваться на штатных средствах Активного Каталога MS Windows.

Система резервного копирования

Система резервного копирования обеспечивает архивирование информации  серверной подсистемы глубиной минимум в 1 месяц в соответствии с регламентом резервного копирования.

Подсистема пользователей и рабочих станций
Подсистема состоит из рабочих станций, необходимого для работы сотрудников периферийного оборудования и пользователей КС. Аппаратная конфигурация рабочих станций и периферийного оборудования, а также программное обеспечение рабочих станций соответствует корпоративным стандартам.
Для выполнения требований соответствия корпоративным стандартам в КС реализована система автоматической установки и настройки рабочих станций сотрудников.

Подсистема взаимодействия с сетью Интернет
Подсистема предназначена для обеспечения безопасного использования сотрудников Предприятия с сетью Интернет. Цели подсистемы – предотвращение попыток несанкционированного доступа из сети Интернет к КС Предприятия, защита от вирусных эпидемий, оптимизация и контроль доступа сотрудников Предприятия в сеть Интернет. Подсистема обеспечивает разграничение доступа пользователей в сеть Интернет таким же способом, как и обеспечение разграничения прав доступа к другим ресурсам КС, например, к папкам на файл-сервере, для этого подсистема интегрирована с Активным Каталогом MS Windows.
В целях оперативного реагирования на попытки несанкционированных информационных воздействий через сеть Интернет подсистема оснащена системой оперативного распознавания атак из сети Интернет.

Подсистема учёта и мониторинга.
Подсистема предназначена для мониторинга состояния КС, оперативного оповещения о неисправностях и хранения информации об истории событий в КС. 
С подсистемой учёта и мониторинга интегрирована ИС «Поддержки пользователей», которая используется для приёма и учёта заявок пользователей КС по выполнению каких-либо работ связанных с технической поддержкой.