Компания «Цебит» провела в Ялте ежегодную конференцию, посвященную ИТ-сервисам и безопасности

Было бы преувеличением сказать, что ИТ-департаменты сегодня правят миром бизнеса. Однако их роль в работе компаний неудержимо возрастает. Если ранее информационные технологии являлись неким бонусом, их можно было сравнить с подпоркой или дополнительным средством передвижения, то сегодня мощная ИТ-база — одно из важнейших условий нормального развития бизнеса; зависимость успеха предприятия от ИТ по меньшей мере линейна.

Анатолий Зарахович: «Возможность привлечь к решению проблем непосредственных разработчиков — одно из неоспоримых преимуществ внедрения Avalon Net»

Но после «разгона» информационных технологий до невообразимых масштабов и внедрения их во все ниши приходится думать уже о том, как управлять этой неоднородной махиной.

Управлению и мониторингу ИТ-систем была посвящена конференция, традиционно проводимая компанией «Цебит» каждый год. Невзирая на кризис в Ялту съехались представители самых разных отраслей: производители ИТ-решений («Антивирусная лаборатория Info­Safe», Ava­lon Net, Cisco, Terra­soft), банкиры (Национальный банк Украины, OTP Bank), госуправленцы (Высший хозяйственный суд Украины, Кабинет Министров Украины, Одесский областной совет, «Полтава облэнерго», «Прикарпатьеоблэнерго», «Укроборонсервис»), деятели образо­вания (КНЭУ) и промышленники (Енакиевский металлургический завод, Укртрансгаз).

По словам организаторов, третья конференция, которая состоится в 2009 году, соберет еще более многочисленную аудиторию.

Управляем и наблюдаем

Комплексная система мониторинга сегодня необходима практически любой крупной компании с распределенной инфраструктурой. О причинах ее создания и принципах построения рассказал директор по развитию бизнеса предприятия «Атлас» Анатолий Зарахович.

Структура системы управления и мониторинга Avalon Net

Адаптируемость бизнеса к изменяющейся ситуации на рынках и внутри компаний, как замечают их представители, все больше зависит от оптимизации комплексной информаци­онно-телекоммуникационной инфраструктуры (ИТИ) и ее управляемости. Однако существует ряд проблем, требующих глобальной трансформации мышления руководителей бизнеса. Ведь полное согласование требований ИТ-департамента и руководства компании пока что остается недосягаемой мечтой. Отделу информационных технологий практически каждый день приходится доказывать необходимость того или иного нововведения для успешной работы. Как ни прискорбно осознавать, начальники чаще всего не высчитывают долгосрочные перспективы и остаются глухи к призывам «айтишников». В большинстве случаев к последним начинают прислушиваться лишь после возникновения проблем с функционированием информационно-телекоммуни­каци­он­ной инфраструктуры, которые уже непосредственно сказываются на ведении бизнеса. Следовательно, применение бизнес-критериев для классификации ИТИ-проблем будет способствовать экономии времени, финансов и человеческих ресурсов, позволит значительно оптимизировать затраты на программно-аппаратный комплекс управления.

Среди факторов, мешающих успешному внедрению систем управления, Анатолий Зарахович особо выделил генерацию ими больших объемов паразитного трафика (контрольных данных), что снижает общую производительность ИТ-ресурсов. Кроме того, отсутствует возможность автоматического проецирования ИТ-ин­фраструктуры и приложений на биз­нес-сервисы компании: очень важ­но, чтобы любая проблема служила аналитической информацией о том, какие сегменты бизнеса находятся в зоне риска. Также работе мешает несоответствие между картами ИТ-инфраструктуры и приложений и их реальным статусом, ведь ИТ-среда развивается непрерывно, что может порождать противоречия в предписанных ранее правилах, например, для восстановления системы. Кроме того, существует зависимость от специализированных программных агентов, устанавливаемых на конечных элементах контроля и управления, отсутствуют возможности предсказания и превентивного решения проблем, а работы по внедрению таких систем очень дороги по сравнению со стоимостью их лицензирования.

На рынке представлено несколько решений для управления ИТ-­ин­фра­структурой, среди них системы как мировых (например, IBM или HP), так и локальных производителей. Ана­толий Зарахович рассказал о комплексе Avalon Net, который компания «Атлас» в качестве системного интегратора внедрила в ряде отечественных организаций. В частности, система функционирует в структуре Национального банка Украины.

Главной составной частью комплекса Avalon Net является система «Тигр» (Tiger). Она представляет собой единую интеграционную платформу управления и базируется на автоматической проекции бизнес-функций организации на ее ИТ-инфраструктуру. Именно в «Тигре» заложен основной функционал для оптимизации управления информационными центрами предприятий. Главный модуль «Тигра» — подсистема мониторинга ИТ-ресурсов — позволяет контролировать состояние телекоммуникационного оборудования, операционных систем, баз данных, систем уровня предприятия и других приложений. Также «Тигр» дает возможность проводить инвентаризацию ИТ-ресурсов, управлять распространением ПО и резервным копированием, заниматься техобслуживанием.

Кроме того, в состав Avalon Net вхо­дят Lancelot — система динамического сбора контрольной информации со всех ИТИ-элементов, Priamus — модуль сбора данных систем жизне­обеспечения инженерии, анализатор IP-потока Gawain и блок Sybilla, который на основании накопленных сведений анализирует систему и строит прогнозы. По данным разработчиков, прогнозы системы на три дня оправдываются с вероятностью 95%, если же попытаться «предсказать» поведение на двухнедельный период, точность составит примерно 75%.

Таким образом, решение Avalon Net позволяет организовать и унифицировать оперативный контроль всех ИТ-ресурсов предприятия на базе единой интеграционной платформы управления, обеспечивая вертикальную согласованность различных ИТ-подразделений в процессе эксплуатации систем. Централизованный мониторинг всех объектов (коммутаторов, маршрутизаторов, серверов, рабочих станций, основных приложений и сервисов) позволяет анализировать события в ИТ-сети в режиме реального времени, при этом система автоматически реагирует на аварийные ситуации согласно гибкой базе правил (например, отсылка SMS или электронного письма), использует исторические данные для профилактической техподдержки и обеспечения безопасности, а также прогнозирования аномалий.

Одной из явных тенденций развития ИТ-сред крупных компаний является внедрение систем класса Service Desk. Об одном из таких решений рассказал руководитель отдела технической поддержки Terrasoft Александр Златко. По его словам, благодаря развертыванию Service Desk компании сокращают время поиска и устранения неисправностей в среднем на 75%, ускоряют управление уровнем обслуживания на 20%, а число сбоев снижается на 45%.

Аппаратным средствам удаленного управления, KVM-переключателям, был посвящен доклад Андрея Галича, коммерческого директора компании «Юстар». Отдел безопасности обязан защитить инфраструктуру от любых сбоев, причем решение таких проблем не должно занимать много времени и ресурсов. Для этих целей и служат KVM — устройства, которые позволяют администратору удаленно управлять ИТ-системой (в том числе несколькими серверами одновременно). «Юстар» занимается дистрибуцией KVM-переключателей Raritan. В продуктовую линейку входят коммутаторы KVM-over-IP, удлинители Dominion KX2, коммутаторы питания Dominion PX, Raritan PM и ПО Power IQ, а также серверы централизованного управления CommandCenter NOC VA, CommandCenter Secure Gateway.

Представитель компании «Инфо­пульс» Игорь Стареправо рассказал о построении высоконадежных информационных систем и поддержке непрерывности сервисов, исходя из опыта аутсорсинга данных услуг компанией EDB-Infopulse.

«Мониторим» безопасность

Виктор Жора: «Количество угроз растет, соответственно возрастает сложность самого процесса управления и потребность во всё более эффективных инструментах»

О современных системах мониторинга сетевой безопасности и управления ею рассказал Виктор Жора, начальник отдела защиты информации компании «Атлас». В частности, он отметил, что при создании систем управления особое внимание следует уделить концепции, политике безопасности и технологиям, которые будут использоваться.

На рынке представлено множество различных решений в сфере комплексных систем управления: от командной строки до специальных прикладных инструментов, в том числе веб-ориентированных систем управления со специальными средствами защиты — межсетевыми экранами, VPN-шлюзами, системами предотвращения вторжений, антивирусами, системами противодействия утечкам.

Практически все прикладные сервисы обладают встроенными средствами безопасности и стандартными системами управления, они также позволяют управлять средствами защиты (например, доменной политикой Linux), обновлениями, настройками безопасности различных СУБД (Oracle, MS SQL Server). Достаточно широк выбор систем мониторинга и интерпретации событий, получаемых от различных устройств и средств защиты.

Количество угроз растет, следовательно, возрастает сложность самого процесса управления, и требуются все более эффективные инструменты. Кроме того, возникает необходимость более тесного взаимодействия с парт­нерами и заказчиками — это делает границы сети прозрачнее, компании зачастую допускают сторонних пользователей к своим внутренним ресурсам. Естественно, политики безопасности еще более усложняются, растет количество устройств и в рамках этих устройств возрастает число изменений, общая нагрузка на ИТ-департамент увеличивается. Главные проблемы сетевых сред заключаются в том, что разные средства защиты имеют различные интерфейсы, порой несовместимые и представляемые в различных форматах. Кроме того, формируется большой поток генерируемых этими устройствами данных, которые крайне сложно анализировать и программно, и посредством человеческих ресурсов, особенно с учетом недостатка грамотных специалистов по ИТ-безопасности в нашей стране.

Владислав Радыш: «Для эффективности все основные элементы систем безопасности должны управляться из единой точки»

Эффективная система управления обеспечивает централизованную регистрацию и высокую степень корреляции событий (ведь их много, и бывает сложно отследить общую причину) для различных средств и механизмов защиты. Необходимы динамическая визуализация событий, касающихся информационной безопасности, возможность оценки и идентификации угроз и рисков для определенных информационных ресурсов, управление разнородными средствами защиты от разных производителей (мультивендорные системы).

Среди одновендорных систем безопасности выделяются решения Cisco, о которых рассказал менеджер по развитию бизнеса компании в Украине Владислав Радыш.

У Cisco есть два флагманских продукта управления. Cisco Security Manager отвечает за управление средствами защиты на активном сетевом оборудовании. Cisco MARS предназначен для обработки, корреляции событий и соответствующего реагирования на направленную угрозу. Продуктовый портфель Cisco включает инструменты Management Console CSM и систему контроля правильности реализованных политик NPCM (Network Policy Compliments Manager).

MARS собирает и анализирует информацию, которая поступила по раз­лич­ным протоколам не только от оборудования Cisco, но и от устройств других производителей. Продукт поддерживает и различные антивирусы, и системы предотвращения вторжений (заключены договоры с «Лабораторией Касперского», CheckPoint, Computer As­so­сi­ates, Symantec, TippingPoint, Trend Micro), работает под управлением различных операционных систем (Linux, Microsoft Windows, Sun Solaris) и с рядом СУБД. Таким образом, MARS представляет собой решение, которое охватывает практически все аспекты безопасности в сети.

Самуэль Левин: «Эффективное визуальное отображение мониторинга инфраструктуры ИТ напоминает управляющую панель кабины пилота»

На мероприятии также упоминались системы безопасности других производителей, дистрибуцией и внедрением которых занимается компания «Атлас». Это, в частности, CheckPoint, Juniper Network, Nortel и Solsoft.

Наконец, прозвучали доклады, посвященные мониторингу внутренних утечек информации (компания InfoSafe) и управления безопасностью перемещения материальных средств («Атлас»).

Представляем информацию

Когда-то при внедрении систем мониторинга проблему представления информации считали второстепенной и не уделяли ей должного внимания. Однако с усложнением подобного рода сред скорость реагирования начинает напрямую зависеть от того, насколько просто оператору увидеть проблемные участки. Таким образом, правильная визуализация помогает сократить простои бизнеса.

О различных концепциях представления информации для корпоративного контроля рассказал Самуэль Левин, президент компании Avalon Net. Прежде всего, он ввел термин «оперативный контроль», означающий поддержку функционирования систем, на которых базируется работа предприятия. При организации управления крупным предприятием со сложной разветвленной структурой неизменно появляются проблемы, вызванные непрерывным ростом объема подконтрольных данных в системах и подсистемах. В такой ситуации бизнес требует развернутой и разноуровневой системы отчетности, которая со временем порождает еще одну проблему: число отчетов превышает количество подотчетной информации. Поэтому возникает потребность во внедрении управляющей системы, которой, в свою очередь, тоже нужно управлять. При плохой структуризации данных управление системой занимает все свободное время персонала. То есть появляется необходимость внедрять инструменты для оперативного преобразования контрольных данных в наглядную форму, которая позволила бы ускорить принятие решений на их основе.

Ирина Ивченко: «Цель внедрения ЕСМУ — не мониторинг отдельных объектов, а получение обобщенной информации о состоянии критических задач»

Существует ряд общепринятых концепций представления контрольных данных. Первая — классическая — это граф, составленный на базе анализа топологии инфраструктуры. «В таком случае управление ИТ-сервисом сравнимо по сложности с задачей нахождения береговой линии государства, то есть превращается в «многослойный» поиск проблемы на разных уровнях представления и требует от оператора системы высокой степени подготовки», — считает г-н Левин. Другой классический вид представления — древовидные графы — тоже не обеспечивает целостной картины.

Современная же концепция, реализованная в решениях Avalon Net, заключается в представлении информации в виде разнообразных контрольных досок, образующих нечто сродни панели управления пилота. Данное представление позволяет вывести контрольную информацию и организовать ее таким образом, чтобы оператор мог одним взглядом охватить все аспекты управления и быстро принять решение.

«Сердцем» контрольных досок является понятие ключевых показателей производительности (key performance indicators). Они представляют собой метаинформацию о подконтрольных данных. К сожалению, эти индикаторы не универсальны, каждая организация выбирает и настраивает их самостоятельно с помощью специального инструментария. Любой ключевой показатель состоит из данных, их агрегации и представления в правильной форме, показателя степени детализации и допустимого разброса значений. Так, для сферы продаж индикаторами могут служить время обслуживания клиентов, прибыль, число заказов и т.п. При возникновении проблемы, на доске появляется активная точка или изменяется цвет отображаемых элементов.

Марина Годик: «Система уже неоднократно помогала исправить проблему до того, как она отразится на партнерах и клиентах ЦРП»

Благодаря такому представлению скорость обнаружения и решения проблем возрастает в разы, поэтому контрольными досками пользуются многие аэропорты, крупные торговые сети и банки.

Как это делают в Нацбанке

Опытом создания единой системы мониторинга и управления поделилась начальник управления защиты информации Национального банка Украины Ирина Ивченко. Данный проект начался с тендера, в результате была выбрана система Avalon Net, которая соответствует ряду требований организации и выполняет семь функций мониторинга. Интегратором выступила компания «Атлас», с которой в декабре 2005 года был заключен договор, а в августе 2007-го решение запустили в промышленную эксплуатацию.

Первая система электронных платежей в Национальном банке начала функционировать в 1994 году. Через ее контур в режиме файлового обмена работали все 34 отделения банка. В то время вопрос об управлении системой не поднимался, во всех филиалах были собственные локальные сети и подключения через модемы к дата-центру и головному отделению. Тогда если и возникали проблемы, то в основном со связью, но, как только в 2000 году банк начал внедрять в систему электронных платежей онлайновый режим обработки, возникла необходимость в обновлении сети и системе управления для нее.

Новая сеть представляет собой боль­шую корпоративную WLAN, ко­то­рая базируется на опорной сети, работающей на оборудовании Nortel. Сеть делится на две демилитаризованные части: информационную зону, объединяющую все филиалы НБУ, в которой выполняются внутренние задачи (например, SAP, планирование бюджета и пр.), и отдельную сеть доступа, через которую к основной сети подключаются внешние учреждения. Со временем при организации управления такой сетью и внедрении управляющих блоков возник вопрос: в какую зону поместить контрольный сегмент и где будет «вращаться» система мониторинга? Ведь агент такой системы должен иметь доступ ко всему аппаратному и программному обеспечению, что могло бы нарушить политику безопасности НБУ по всем параметрам. Поэтому было принято решение создать отдельный контрольный сегмент и разработана архитектура единой системы мониторинга и управления (ЕСМУ).

Поиск проблемы с помощью контрольной доски

ЕСМУ НБУ имеет двухуровневую структуру. На первом уровне, в двух центральных объектах НБУ (центральная аппаратная и Центральная расчетная палата), установлены мощные серверы с основным ПО — модулями комплекса «Тигр», которые обобщают всю информацию, выполняют инвентаризацию, анализ и пр.

В каждом из 34 подразделений банка установлены серверы второго уровня, на которых инсталлированы модули сбора информации Lancelot и ряд вспомогательных программных модулей. Серверы второго уровня объединены с центральными по VPN-каналу специальным контрольным сегментом, который полностью изолирован, но занимается сбором информации из всех источников. Также с помощью оборудования Nortel CES был создан отдельный сегмент, в который имеют доступ только серверы второго уровня, что повышает безопасность сети. Два главных сервера находятся в едином кластере, являясь зеркалами.

Структура ЕСМУ НБУ

«В ходе внедрения основное время заняла настройка контрольного сегмента, потому что нам пришлось «поломать» политику безопасности, сделать много перестроек. Ведь туда должна стекаться полная информация обо всем оборудовании, а это несколько десятков тысяч единиц, включая рабочие станции, серверы, коммутаторы, маршрутизаторы, брандмауэры, телефонные станции и пр., — комментирует Ирина Ивченко. — Кроме того, мы не сразу определились, по какой схеме будет происходить внедрение:  «на ходу» или «классическим» путем, при котором необходимо предварительно детально описать проект, сколь бы много времени на это ни ушло, после чего следует быстрая инсталляция. Мы избрали первый, поскольку для создания системы нам было необходимо собрать полную информацию о той среде, в которой мы работаем. Это оказалось непростой задачей, проявились унаследованные проблемы. В результате сборка схемы нашей сети заняла пару месяцев, после чего мы передали эту информацию в Avalon Net. На данном этапе были обнаружены ошибки: схемы сетей не соответствовали действительности, при создании контрольного сегмента выявилась ошибка ПО для сетеобразующего оборудования. В связи с этим пришлось обратиться к разработчику, который долго настаивал на том, что это наша ошибка, но мы доказали свою правоту. Из-за этих пререканий процесс затянулся на четыре месяца, и мы решили внедрить оборудование Cisco, что было нелегко, но, как показала практика, эффективно».

Главные функции системы мониторинга — сбор всей информации о телекоммуникационном оборудовании и оперативное выявление неисправностей с точным указанием, где именно они возникают. Также система отвечает за мониторинг внутренних АТС, состояние опорной сети и локальных сетей — соответственно, за все серверы, дисковые массивы; система должна обеспечить обобщенную информацию о выполнении прикладных задач, а также инвентаризацию (учет не только всей работающей техники, но и всего ПО, установленного на каждой рабочей станции). ИТ-среда НБУ требовала наличия системы резервного копирования, автоматического распространения и внесения настроек в ПО на всех рабочих станциях. Последний внедренный модуль — Service Desk.

Система мониторинга построена таким образом, что для любого оборудования можно выделять конкретные параметры (например, загрузку процессора, жесткого диска, запущенные процессы, сканирование реестра и пр.) и осуществлять динамический контроль каждые две минуты. Возможен динамический мониторинг  эффективности работы. Система использует 3—4% общего трафика. Каждый аппаратный компонент имеет свой уникальный номер, по которому его можно найти в системе в любой момент. Тут фигурируют тысячи параметров, возможна сортировка по требованию, работа с историческими данными.

В Lancelot входит модуль сетевого анализа, помогающий не просто контролировать серверы или трафик, но получить обобщенное представление обо всех крупных критических задачах. Анализ сетевого трафика позволяет выяснить, какие IP-адреса внутренней сети наиболее активно работают на выход, количество сессий, тип и объемы пакетов. Система преду­преждает об отклонениях от нормы, и ИТ-отдел банка может принять меры до того, как проблема дойдет до «красного» состояния.

Развитие комплекса не прекращается, вводятся новые параметры, дополнительные программные модули. Компания, которая устанавливала систему, оставила часть модулей открытыми и позволила дорабатывать решение силами сотрудников НБУ.

В дальнейшем планируется развить систему мониторинга для уровня инженерной инфраструктуры НБУ и интегрировать ее в ЕСМУ. Стартовой площадкой для проекта должна стать Центральная расчетная палата НБУ, о чем сообщила заместитель начальника этой организации Марина Годик.

Для этих целей была создана система оперативного оповещения сотрудников о внештатных ситуациях в работе программно-технических комплексов. ЕСМУ предоставила широкие возможности по выявлению критического состояния, от сотрудников требовалось оперативно сообщать о возникновении каких-то неполадок. Однако комплексы отличаются по регламенту работы: часть из них функционирует в одну или две смены, а некоторые трудятся в режиме 365х24х7. Именно с последними связаны основные проблемы, поскольку внештатные ситуации могут возникнуть в нерабочее время. Для обеспечения круглосуточного дежурства не хватало человеческих ресурсов, поэтому при внедрении ЕСМУ было решено разработать систему оперативного оповещения. Она контролирует критически важные объекты (серверы, телекоммуникационное оборудование, температурные датчики ИБП), которые были отобраны на основе специального перечня параметров. Был составлен список сотрудников, отвечающих за устранение той или иной ситуации.

Упрощенно работа системы выглядит следующим образом. В случае возникновения внештатной ситуации блок анализа сообщений формирует текст SMS и передает его блоку формирования, который отправляет сообщение соответствующим сотрудникам и контролирует обратную связь. Получение подтверждается стандартными средствами GSM-протокола, а, чтобы уведомить о прочтении этого сообщения,  сотрудник отправляет пустое SMS на номер GSM-модема. Все события система протоколирует. В данный момент под мониторингом находится около сотни основных объектов.