Строим сеть своими руками
В последние полгода в нашей стране наблюдается рост деловой активности. Все большее количество компаний объявляют о расширении своей сферы деятельности, предпринимая все более активные действия по привлечению клиентуры. Многие компании не просто расширяются в «рыночном» понятии этого слова — происходит их физическое расширение с обязательной реструктуризацией. Естественно, любое расширение административных и производственных подразделений неизбежно приводит к необходимости изменений в структуре корпоративной информационной системы.
При этом изменения можно производить по-разному: можно, например, сделать полноценную СКС или остановиться на более дешевом и более сложном в обслуживании варианте. Преимущества СКС очевидны любому техническому специалисту, но вот убедить в ее необходимости руководство, как правило, достаточно сложно. К сожалению, до сих пор решающим аргументом в пользу СКС в глазах руководителей, далеких от техники, являются красивые короба, в которых она монтируется. Не вдаваясь в длительное и ненужное нашим просвещенным читателям перечисление преимуществ СКС, попробуем рассмотреть в этой статье проблему создания сети «с нуля».
При этом акценты здесь расставлены таким образом, что вся модернизация производится силами самой компании в лице системного администратора и службы технической поддержки, без привлечения сторонних организаций-интеграторов. Отметим, что изложенные выкладки справедливы в большей степени для небольшой компании, число сотрудников которой не превышает пятидесяти.
Как известно, доводить до ума что бы то ни было можно бесконечно долго. Поэтому зачастую наилучшим способом избавления от старой информационной системы времен кризиса будет полная ее замена на предварительно спланированную и тщательно продуманную СКС. При этом монтаж новой системы может вестись параллельно существованию старой системы, что позволит свести к минимуму время простоя информационной системы в целом.
При этом все работы должны проводиться под неусыпным контролем команды эксплуатации информационной системы (системных администраторов), поскольку именно они являются ответственными за ее работоспособность. Их должностные обязанности достаточно просты — сеть должна работать постоянно, без сбоев и на достаточной для пользовательских приложений скорости.
На начальном этапе у большинства системных администраторов возникает праведное желание создать «идеальную» сеть. Естественно, это стоит денег, и немалых. Поэтому не приходится удивляться, что сметная стоимость сети из 10 рабочих станций и 2 серверов составляет порядка 50 тыс. долл. Это достаточно точная стоимость «правильной» сети. Однако нет необходимости покупать сразу все — возможно разбить этот процесс на независимые этапы (например, по 5 тыс. долл раз в полгода), что позволит вашей компании растянуть эти платежи по времени. При этом каждый этап должен быть маленьким, но завершенным проектом. Например, разумно потратиться изначально на новые серверы в базовой конфигурации, с перспективой приобретения через полгода дополнительной дисковой памяти к ним. Минимальная стоимость создания сети считается по следующей формуле:
Sсоздания сети = (Nрабочих станций + NСерверов) × 20 долл. + NПомещений × 150 долл.
В эту сумму входит стоимость сетевых карт и минимально необходимого активного оборудования (хабов). Кроме того, требуется закупить кабель информационной сети, количество которого определяется конфигурацией рабочих помещений компании.
Кроме того, системный администратор является оптимальной кандидатурой на должность руководителя службы технической поддержки. Это обусловлено тем, что абсолютное большинство системных администраторов являются признанными знатоками как аппаратного, так и программного обеспечения и имеют бесценный опыт по оказанию помощи пользователям. Минимальный бюджет службы технической поддержки (фонд заработной платы) считается по очень простой формуле:
Sзарплаты = Nрабочих станций × 25 долл. + NСерверов × 50 долл.
Таким образом, минимальный фонд заработной платы службы технической поддержки, отвечающей за поддержку 10 рабочих станций и 2 серверов, составляет 350 долл. Приведенная оценка справедлива только в случае использования в компании рабочих станций и серверов известных производителей (brand-name), осуществляющих гарантийное обслуживание своей техники. В случае когда в компании практикуется приобретение компьютеров в виде комплектующих, эта сумма должна возрасти на 50%, поскольку количество отказов собранного на коленке оборудования заведомо больше, чем оборудования именитого производителя. Кроме того, устранение неисправности в этом случае займет больше времени и потребует финансовых вложений.
Итак — аппаратная составляющая сети готова. Теперь остается оживить эту груду металла и заставить ее работать. При этом необходимо решить ряд принципиальных вопросов, одним из которых является выбор сетевой операционной системы. При ее решении стоит прислушаться к рекомендациям вашего системного администратора, поскольку именно на него ляжет весь груз управления сетью.
Информацию надо защищать. Несмотря на появление ультрасовременных систем безопасности, самым надежным способом обеспечить сохранность информации является резервное копирование.
Самой страшной угрозой для любой информационной системы является утрата хранящейся в ней информации. Даже проблемы защиты информации от хищения менее приоритетны по сравнению с задачей обеспечения гарантированной сохранности информации в системе. Годы развития компьютерной индустрии подтвердили надежность классического решения этой проблемы, а именно использование технологии ленточных накопителей. Их последние модели позволяют сохранять на один физический носитель до 120 Гбайт информации. При средней стоимости 1500 долл. эти устройства позволяют обеспечить резервное копирование содержимого корпоративной информационной системы.
Однако наличие оборудования резервного копирования не является достаточным условием сохранности информации — необходима еще и отработанная методика проведения операции резервного копирования. Она предполагает задействование в этом процессе двух сотрудников, один из которых производит само резервное копирование, а второй проверяет уже записанные ленты на читаемость. Этот правило обязано своим рождением ставшему классическим случаю в Калифорнийском технологическом университете, когда из-за халатного отношения к резервному копированию было утеряно большое количество информации. Традиционно операции по резервному копированию возлагаются на инженеров службы технической поддержки, однако лицом, осуществляющим контроль их деятельности, как правило, является второй системный администратор.
Вирусы и троянские программы являются постоянной угрозой безопасности любой информационной системы. Поэтому уже на начальном этапе работы над сетью представляется необходимым создание хотя бы минимальной системы антивирусной безопасности.
Компьютерным вирусом мы будем называть программу, способную создавать свои копии и выполнять некоторые действия на компьютере пользователя без его ведома. В настоящее время в мире насчитывается более 50 тыс. различных вирусных программ и их модификаций. Для борьбы с вирусами используются специальные программы (антивирусы), позволяющие их обнаружить и удалить до момента начала их активизации. Для успешной борьбы с ними необходимо четко представлять себе, откуда к вам может прийти подобный посетитель. Это могут быть устройства чтения гибких дисков, электронная почта, файловые архивы сети Интернет и все другие пути, по которым в сеть компании поступает информация от других организаций и частных лиц. Поэтому представляется оптимальным акцентировать усилия по антивирусной защите на самых опасных направлениях. В настоящий момент в России наибольшее распространение получили два программных антивирусных комплекса — AVP («Лаборатория Касперского», Россия) и Norton Antivirus Enterprise Edition (Symantec Co, США). Оба эти комплекса позволяют надежно прикрыть все вирусоопасные направления и поддерживают функцию автоматического обновления антивирусной базы. На каком продукте остановить свой выбор, должен решать специалист по информационной безопасности вашей компании.
В последние годы в мире электронного бизнеса царит легкая паника, вызванная непрекращающимися взломами информационных систем по всему миру. Полученная преступниками информация, как правило, не соответствует количеству шума, поднимаемого масс-медиа по каждому случаю, сведения о котором просочились за пределы компании.
Несмотря на то что основным источником утечки информации, как правило, являются действующие или недавно уволенные сотрудники компании, пренебрегать защитой от удаленного хищения информации не стоит. Дело тут даже не столько в потенциально большом ущербе, сколько в повышенной «говорливости» занимающихся этим «кул хацкеров». Как правило, этим грешат юные дарования, только-только получившие в подарок персональный компьютер с доступом в Интернет и до сих пор находящиеся под впечатлением фильма «Хакеры». Обычно количество шума, поднимаемого ими в случае успеха, не идет ни в какое сравнение с достигнутым результатом (который, как правило, минимален). Однако этот шум вполне может привести к потере части клиентуры. Наибольший ущерб в этом случае понесут компании, занимающиеся продажей через Интернет с использованием электронных карт (например, Visa). После громкого скандала, пусть даже не связанного с получением информации о клиентах, многие откажутся от его услуг из-за одной только боязни потерять деньги. Поэтому рекомендуем вам уже на начальном этапе создания сети позаботиться хотя бы о минимальной защите от вторжения по сети Интернет (например, поставить proxy-сервер). Однако если ваша организация имеет отношение к финансам, этой защиты будет явно недостаточно. В этом случае затраты на обеспечение безопасности внутренней сети могут составлять сотни тысяч долларов в год. Кроме того, чем более известна ваша компания в компьютерных кругах, тем большее количество вундеркиндов будут стремиться отточить на вас свои навыки по взлому сети.
Что же касается профессиональных взломщиков, то гарантировать абсолютную безопасность от них невозможно. Любая защита по определению может быть взломана, поскольку она создана людьми. Поэтому необходимо периодически производить изменения структуры защиты с целью воспрепятствовать последовательному преодолению ее уровней нарушителем. Кроме того, необходимо постоянно анализировать состояние всех уровней защиты и отлавливать попытки несанкционированного доступа (далее НСД) на самых отдаленных рубежах. Также необходимо шифровать критические документы с учетом максимального времени их «горячести». Это означает, что длина ключа шифрования должна быть выбрана таким образом, чтобы время, необходимое на дешифрацию защищаемого документа, многократно превышало время его актуальности. Для почтовой переписки вполне достаточно определить время актуальности отправления в 100 лет, поскольку век спустя участников переписки с большой вероятностью не будет в живых и привлечь их к ответу будет весьма проблематично.
Самым простым способом испортить любую систему является вывод из строя ее нервного центра. Для корпоративной сети это главная коммутационная стойка и серверное помещение; выход из строя одного из них приведет практически к полной остановке работы всей информационной системы.
Простейшим способом хищения информации является хищение резервных копий корпоративного файлового сервера. Действительно, на одном (как правило) носителе сконцентрирована самая важная информация со всей сети компании. При этом похитить и вынести ее довольно просто — достаточно лишь получить доступ в серверное помещение, где хранятся файловые архивы компании. Кроме того, серверное помещение является естественным нервным центром всей информационной сети компании, вывод которого из строя парализует всю ее работу. В свое время (два года назад) пожар в центральном коммутационном помещении одного из издательств на два дня парализовал выход ежедневной газеты и только самоотверженная работа службы технической поддержки позволила в столь сжатые сроки восстановить работоспособность сети. Поэтому пренебрегать защитой нервного центра информационной сети компании было бы глупо.
Корпоративный канал доступа к Интернету может стать источником повышенных расходов, особенно в том случае, когда компания оплачивает трафик помегабайтно. Не заостряя внимание на том, что многие провайдеры грешат приписками (и достаточно большими) к реальному трафику, выставляя завышенные счета, поговорим об общей безопасности канала доступа к Интернету.
Самый простой способ проникнуть в сеть компании до смешного похож на тот, к которому прибегли греки при взятии Трои. Именно поэтому данный метод получил название троянского коня. На практике он реализован достаточно просто — в программу, реализующую или очень полезные, или очень забавные функции, встраивается маленький кусок кода, который позволяет собрать информацию о компьютере, на котором запущена программа, и о его сетевом окружении. Кроме того, может производиться поиск файлов определенного типа и их отправка на сторону (например, по системе электронной почты). В этом случае отследить автора программы и место назначения украденной информации достаточно проблематично. Воспрепятствовать проникновению в сеть компании такого ПО довольно сложно, и в абсолютном большинстве случаев проблема решается по принципу «что не разрешено — то запрещено». Кроме того, памятуя о главенствующей роли Интернета в распространении ПО, представляется необходимым ограничить доступ сотрудников компании к файловым ресурсам Сети. Также возможно на основе анализа Интернет-трафика компании определить сервисы, которые стоит развернуть во внутренней сети компании для снижения стоимости пользования каналом Интернет.
КомпьютерПресс 10'2001