Подавляющее большинство средних (по украинским меркам) компаний, практически все крупные компании и холдинги, и даже некоторые небольшие компании и представительства зарубежных фирм имеют в своем составе филиалы. Независимо от того, есть ли у компании 1–2 маленьких региональных представительства, или же это холдинг с развитой сетью территориально удаленных офисов в центре и массой региональных филиалов, проблемы у них общие.

Как правило, при построении филиальной структуры любой команде приходится столкнуться с такими проблемами:


консолидация данных из филиальной сети в одной или нескольких БД, применяемых на предприятии;
получение надежных, зачастую шифрованных, каналов связи из филиала в центральный офис;
обеспечение удаленного и локального администрирования ИТ-ресурсов в филиальной сети;
минимизация общей стоимости владения (ТСО) информационной частью филиальной сети на всех этапах жизненного цикла.

Но построение ИС филиалов сопряжено с еще целым рядом проблем, на первый взгляд не имеющих прямого отношения к ИТ:

прокладка либо модернизация силовой проводки в здании, которую необходимо делать сразу с учетом физического разделения цепей энергоснабжения ИТ-инфраструктуры и всего остального (освещение, электронагревательные приборы и кондиционеры и т.д.), в филиалах с высокими требованиями по бесперебойности работы определенных узлов — еще и линии гарантированного энергоснабжения;

установка систем кондиционирования помещений;

для относительно крупных филиалов возникает необходимость создания промышленного заземления, балансировка нагрузки по разным фазам энергоснабжения;

разводка традиционной ЛВС, а также телефонии, систем видеонаблюдения, пожарной и тревожной сигнализаций, устройств централизованного контроля доступа в помещение и т.д.

В итоге, в современной филиальной структуре телефонию/IP-телефонию, управление системой кондиционирования и вентиляции, а также дублирующие выходы от системы видеонаблюдения, тревожную и пожарную сигнализацию, контроль доступа принято объединять под крышей ИТ-департамента. Соответственно, и переносить ответственность за подготовку общего проекта запуска филиала именно на него. С этой точки зрения, т.е. полной ответственности ИТ-департамента компании за проектирование, развертывание и дальнейшее сопровождение филиальной сети, мы и будем исходить.

Для начала рассмотрим задачи, характерные для ИС любого предприятия.

К наиболее ресурсоемким задачам для ИТ-подразделения из разряда “традиционных” можно отнести:

обеспечение гарантированной работоспособности основных вычислительных узлов компании с минимизацией зависимости от внешних условий, резервированием по оборудованию и каналам связи;

администрирование рабочих мест пользователей, поддержку их работоспособности в требуемые бизнес-логикой периоды времени;

разграничение доступа к данным, сохранности конфиденциальной информации, в том числе защита от несанкционированного копирования конфиденциальных данных самими сотрудниками;

комплексная защита ИС предприятия в целом и каждого подразделения в частности “по периметру безопасности” от сетевых атак, от вирусных атак, в том числе инициированных изнутри корпоративной ИС неосторожными или намеренными действиями пользователей;

контроль версий ПО и борьба с различным нерегламентированным ПО на рабочих местах пользователей, в т.ч. нелицензионным, игровым и т.д.;

в большинстве случаях — персонализированный мониторинг и учет интернет-трафика, посещаемых сайтов, переписки, использования интернет-пейджеров;

борьба с непроизводственными затратами времени на общение в ICQ, MSN, GoogleTalk и т.д.;

своевременное и регулярное создание резервных копий документов, БД и пользовательских настроек.

Если же мы говорим о филиалах или удаленных офисах, то дополнительно получаем набор сложностей:

обеспечение достоверной информации о деятельности удаленного офиса или регионального подразделения, гарантированный и своевременный обмен данными с центральной БД предприятия;

если на филиале и есть постоянный системный администратор, то, как правило, с частичной занятостью, что приводит к периодическому отсутствию системного администратора на месте, а в моменты выхода из строя оборудования или сбоев в работе ПО это приводит к дополнительной нагрузке на ИТ-специалистов в центральном офисе;

высокая сложность оказания помощи и консультирования удаленных пользователей “вслепую” сотрудниками ИТ-подразделения из центрального офиса;

организация вынужденно несет затраты на командировки высококвалифицированных и дорогих сотрудников центрального офиса в филиалы;

командированный сотрудник ИТ-отдела, приехав в другой город и установив причину неработоспособности оборудования или ПО, не всегда сможет быстро и эффективно ее устранить из-за отсутствия требуемых ресурсов.


Региональное представительство или удаленный офис, как правило, занимает несколько комнат или небольшое здание. Количество компьютеризированных рабочих мест: 3–100. ЛВС, если и есть, то не всегда качественная, особенно в арендуемых помещениях, и далеко не всегда (к примеру, по причине условий аренды или по экономическим соображениям) существует возможность привести ее в должное состояние. Локальный сервер, если он есть, не всегда является полноценным сервером с соответствующей степенью надежности — часто в качестве сервера используется обычный ПК с серверным ПО.

II. Развертывание структуры филиала

Вначале, чтобы снять вопрос, кратко рассмотрим методологии решения “околокомпьютерных” вопросов (более детально они раскрыты в других материалах номера), а затем уже сосредоточимся конкретно на ИС.

А) Вопрос энергоснабжения. Как правило, для выполнения работ по прокладке силовых линий привлекаются компании, имеющие лицензии на проведение соответствующих работ. Идеально, когда компания-подрядчик также имеет право и на выполнение работ по разводке низковольтных соединений — телефонии, ЛВС, системы видеонаблюдения, контроля доступа, иногда — тревожной сигнализации. Право на прокладку пожарной сигнализации требует отдельной лицензии, и лучше договориться с фирмой, эту лицензию имеющей, об одновременном и совместном выполнении работ по прокладке кабельной системы.

Если есть такая возможность, желательно сделать 2 отдельных набора соловой проводки — для ИТ-оборудования и общую, т.к. это в дальнейшем существенно упростит жизнь. Это избавит в будущем администраторов от таких неприятных вещей, как “залипание” свича в момент вкючения чайника или кондиционера в результате скачка напряжения. Крайне желательно сделать отдельную силовую проводку для наиболее критичных рабочих мест (кассиров в банке, супермаркете), через которую можно обеспечить централизованное гарантированное энергоснабжение.

Отдельным пунктом идет создание промышленного заземления. В подавляющем большинстве случаев этот важнейший элемент игнорируется, и возлагаются надежды на общее “зануление”. В дальнейшем, если офисные ПК будут подключены к различным фазам, это может приводить к хоть и редким, но очень трудно диагностируемым сбоям в работе сети.

Б) Системы кондиционирования. Их установку в серверной следует рассматривать с точки зрения обеспечения работы техники в летние месяцы. Для серверных комнат необходимо либо предусмотреть отдельное гарантированное энергоснабжение кондиционера, либо обеспечить иные способы вентиляции и теплоотвода из серверной и прописать соответствующие инструкции для персонала.

В) Коммуникации. В области подведения коммуникаций к офису филиала опираются на 2 параметра — обеспечение минимальных требований к каналу связи и наличие резервного канала связи на случай отказа основного. Для относительно крупных филиалов предусматривают в том числе режим одновременного использования и основного, и резервного каналов с автоматической балансировкой нагрузки.

Для небольшого филиала может быть удобно задействовать 1–2 канала ISDN или несколько цифровых телефонных линий и интернет через xDSL, при этом в роли резервного канала связи может выступать стационарный GSP/GPRS терминал. Для крупного филиала можно подвести канал E1/T1, а в качестве резервного канала купить поток у мобильного оператора. В любом случае следует принимать в расчет необходимость как обычных, коммутируемых телефонных линий (местная и междугородняя связь, факс), так и интернет и IP-телефонию (связь с центральным офисом, другими филиалами).

Для относительно крупных филиалов и для всех банковских филиальных структур важен параметр защищенности линий связи. Наиболее распространены у нас относительно дорогой и апробированный Frame Relay и существенно более дешевая альтернатива на базе VPN с гарантированным уровнем QoS. В менее ответственных случаях вполне можно обойтись и обычном интернет с качественным Firewall.

Что же касается выбора офисной АТС, наиболее разумным выглядит либо установка сразу АТС с поддержкой VoIP, либо установка традиционной АТС и к ней специализированных шлюзов для IP-телефонии (здесь есть очень интересное предложение от Cisco).

Г) СКС. Прокладка сети — всегда болезненный процесс. Основной момент, который необходимо учесть, если сеть ложится “с нуля” или серьезно модернизируется — до начала работ необходимо на поэтажном плане прорисовать коммуникационные каналы всех служб (компьютерные, телефонные, контроля доступа, все виды сигнализаций и видеонаблюдения). Очень часто эти работы выполняют разные организации, и проблема синхронизации их работ может существенно затянуть сроки сдачи в эксплуатацию нового филиала.

В тех же случаях, когда прокладка СКС не может быть выполнена или не имеет смысла, вполне возможно развернуть беспроводную сеть Wi-Fi с обеспечением соответствующего уровня безопасности для входящих в нее узлов.

Независимо от варианта построения сети, необходимо планировать активное использование VoIP — либо посредством только ПК, либо через шлюзы.

ИТ-департамент, как правило, несет непосредственную ответственность за компьютерную сеть и за телефонию, а относительно систем контроля доступа, различных сигнализаций и видеонаблюдения на ИТ-подразделение ложится задача фиксации событий в роли резервного канала, оповещение о событии и обеспечение работы хранилища событий. Здесь требования просты — блокировка или максимальное затруднение физического доступа к хранилищу, надежные и максимально не зависящие от внешней среды средства тревожного оповещения и достаточная емкость дисковой подсистемы.

III. Информационная система филиала (ИС)

В процессе создания ИС филиала, да и всей филиальной сети, есть факторы как усложняющие жизнь ИТ-отделу головного предприятия, так и существенно ее облегчающие.

Хотя сама по себе такая филиальная ИС простая, в действительности ее развертывание и дальнейшее обслуживание проблематично для предприятия. Для первичной инсталляции требуется командировка достаточно высококлассных (и дорогостоящих) специалистов, которые в том числе и дыры сверлят в стенах, и провода прокладывают, и серверы настраивают. Или же все предварительные работы выполняет внешняя структура, а командированный представитель ИТ-отдела головной организации отвечают только за настройку и конфигурирование ИС либо бизнес-ПО компании. Оба варианта — недешевы, но при этом второй имеет существенное преимущество для компании, т.к. позволяет выполнить работы в более сжатые сроки и ресурсами “местной” компании. Этой же или другой “местной” компании затем можно поручить на условиях аутсорсинга обслуживание сетевой инфраструктуры, сервис аппаратного обеспечения и поддержку работоспособности программной части на уровне ОС, если это не противоречит политике безопасности, принятой в компании.


Вопрос консультирования пользователей по работе с корпоративной учетной системой или системой документооборота ложится на плечи специалистов ИТ-отдела центрального офиса и не может быть передан ни “приходящему” системному администратору, ни в аутсорсинг. Как правило, если при построении филиальной сети не применен терминальный подход, консультации идут по телефону, “вслепую”, и системный администратор не имеет полной информации о действиях пользователя и сообщениях на экране.

На филиалах обычно используется стандартизированный набор офисного ПО, локальная версия общекорпоративной автоматизированной системы управления (АСУ) и доступ к интернет. Сотрудникам удаленного подразделения требуется набор ПО согласно его “роли” — кассир, менеджер по продажам, кладовщик, управляющий. А значит, такая ИС и рабочие места пользователей поддаются жесткому администрированию. При уверенной позиции представителей ИТ-департамента и поддержке высшего руководства можно добиться очень неплохих показателей для ТСО филиала, если не позволять пользователям разводить “зоопарк” ПО на своем рабочем месте.

В современных условиях существует 3 основные модели построения сети филиалов, основанные на:

традиционном применении ПК и серверов, по возможности — с использованием доменов;
терминальном подходе, если он применим в данной сфере деятельности;
веб-доступе к корпоративным ресурсам, чаще всего — 1–2 приложениям.

Как всегда, реальные системы чаще всего строятся на неком компромиссном варианте, и в этом есть своя правда жизни. Так что рассмотрим каждый из всех вариантов, отдельно выделив самый популярный на данный момент как в Украине, так и во всем мире — терминальный.

1. Традиционный подход с использованием ПК и серверов. За последний десяток лет он не претерпел особых изменений, разве что стал требовать уделять больше внимания вопросам безопасности да более простыми стали средства инсталляции приложений.

Если филиал насчитывает 2–5 рабочих мест (классический филиал банка), то установка выделенного сервера и контроллера домена не имеет практического смысла. Для таких задач используется удаленный on-line доступ к корпоративной сети, чаще всего через интернет с использованием VPN. Соответственно, для таких пользователей легко применяются доменные политики безопасности, есть возможность удаленного управления и администрирования, оказания помощи пользователям посредством NetMeeting или удаленного рабочего стола.

Для более крупных структур, где количество пользователей превышает 10 человек, имеет смысл установить выделенный сервер в роли:

локального контроллера домена (в общекорпоративном доменном лесу или общем домене);
локального DHCP, DNC, контроля доступа к сети с использованием беспроводного доступа WiFi;
файл-сервера, принт-сервера, факс-сервера и т.д.;
функции почтового сервера, анти-спам/антивирусного фильтра, proxy с системой контроля и учета использования ресурсов Интернет.

Отдельно надо обратить внимание на реализацию шлюза с Интернет и Firewall. Здесь есть масса интересных предложений как в виде маленьких аппаратных шлюзов, так и в виде программного решения на серверах под управлением Linux. Отметим только наличие очень хорошего продукта от Microsoft — ISA Server.

В центральном офисе создаются и настраиваются политики безопасности, а также плавающие профили для всех пользователей домена. Это элемент, который позволяет при грамотном создании профиля “по умолчанию” совместно с другими системами от Microsoft при первом же подключении пользователя сгенерировать его профайл и автоматически проинсталлировать с сервера все те приложения, которые ему необходимы.

О развертывании системы мы уже говорили, так что обратим внимание на поддержку и сервис. Системный администратор, или ИТ-отдел традиционно находится в Центральном офисе. Филиалы и удаленные подразделения довольствуются редкими визитами представителей ИТ-отдела, по большей части тогда, когда что-то не работает. Если же сеть филиалов разбросана по всей стране, то с администрированием ИТ-инфраструктуры естественным образом возникают “проблемы расстояния”. Для любых работ надо либо отправлять сотрудника ИТ-отдела в командировку, либо пользоваться услугами местных “Кулибиных”. Более цивилизованный путь, заключать договор на обслуживание с местной сервисной организацией, у нас пока не распространен. Ситуация осложняется тем, что на филиалах нет парка техники “на замену”, и быстро найти необходимые комплектующие, ПО или получить определенный сервис не всегда просто, тем более для “командированного” специалиста.

Подавляющее большинство из вышеперечисленного решает Терминальный подход к построению филиальной сети.

2. Терминальный подход. Для развертывания ИТ-инфраструктуры удаленных офисов и региональных филиалов применение терминалов можно считать вообще идеальным решением. Для разворачивания филиала на 3–25 рабочих мест достаточно установить один небольшой сервер, а то и просто взять серийный производительный ПК с RAID за $700–1500 для роли мини-сервера, и набор из 2–25 комплектов терминальных станций. Если считать исключительно стоимость “железа”, то “серверный набор” из системного блока, ЖК-монитора (TFT), источника бесперебойного питания (AVR or Interactive UPS), клавиатуры, мышки и сетевого коммутатора обойдется в сумму $1200–1800, а каждое рабочее место из терминальной станции, ЖК–монитора, мышки и клавиатуры — около $450.

К несомненным преимуществам терминального подхода можно отнести следующие.

Инсталляция. Очень большим плюсом можно считать простоту развертывания, модернизации и сопровождения терминальной системы. Совершенно четко известно, какое именно аппаратное обеспечение находится в удаленном офисе, и оно стандартизировано. Если не учитывать столь легко диагностируемые поломки “рабочего места”, как выход из строя мышки, клавиатуры или монитора, из подменного парка необходим только системный блок терминальной станции, который не нуждается в конфигурировании. А все настройки сервера могут быть выполнены и удаленно.

Сумма начальных инвестиций. Уже при оборудовании 5-ти рабочих мест суммарная стоимость как чистого “железа”, так и лицензионного программного обеспечения (ПО) для терминального решения становится равной или ниже стоимости покупки 5-ти ПК (исходя из средней стоимости набора “средний ПК + ЖК монитор + клавиатура + мышка, без источника бесперебойного питания” в $650). Далее оборудование каждого рабочего места будет обходится в среднем в 1,5 раза дешевле, чем в “традиционном” варианте — покупке очередного ПК с очередной избыточной производительностью.

Общая производительность. Производительность работы и каждого сотрудника, и коллектива в целом окажется выше, т.к. производительность сервера будет на 30–50% выше производительности “среднего ПК”, и будет предоставляться пользователю именно тогда, когда она необходима. Здесь же надо упомянуть, что быстродействие большинства деловых программ, таких как “1С:Предприятие 7.7”, в терминальном режиме намного выше, чем в “традиционном” — с выполнением на персональном компьютере каждого пользователя через локальную сеть.

Безопасность и защита информации. У сотрудников есть только одно место, в котором они могут хранить деловую и личную информацию — дисковая подсистема мини-сервера или серверной фермы центрального офиса. Местонахождение пользовательских файлов известно, и всегда есть возможность делать резервное копирование данных в автоматическом режиме. Соответственно, стабильность функционирования всей ИТ-инфраструктуры предприятия и защита от потери важной бизнес-информации находится на качественно ином уровне, чем в традиционной одноранговой сети.

Администрирование и поддержка. На принципиально ином уровне находится администрирование всей ИС в целом, в том числе и распределение прав доступа и контроль за использованием служебной информации. Однажды выполненное конфигурирование сервера позволяет обходиться без серьезных временных и финансовых затрат на администрирование в дальнейшем, а уровень прав пользователей полностью определяется политикой головного офиса, а не “местными особенностями”.

Масштабируемость. Существенно упрощается и добавление новых рабочих мест — специалист может это сделать в буквально смысле слова за несколько минут, а в большинстве случаев вообще можно обойтись силами неквалифицированного персонала и удаленным администрированием.

Подводя итог терминального раздела, процитируем данные российских консалтинговых компаний: “Даже с учетом невысокой стоимости рабочей силы, внедрение терминальных технологий для филиальной сети предприятий в среднем приводит к снижению ТСО (совокупной стоимости владения) до 67%”.

3. Веб-доступ. Ну и под конец вспомним не слишком распространенный, но тем не менее, очень перспективный вариант работы филиальных структур — доступ через веб-интерфейс.

Сильная сторона веб-интерфейса — независимость от места, времени, аппаратного обеспечения пользователей и гарантированный доступ к сервисам везде, где есть интернет и можно обеспечить авторизацию пользователя. Минус — это все-таки частичное решение, которое позволяет автоматизировать ряд локальных задач, таких как выписка счета или регистрация заявки. А вот более сложные ситуации ведения той же бухгалтерии, пока реализовать сложно.

Один из самых удачных примеров веб-доступа к корпоративной ИС, которая реализована одним из украинских производителей и дистрибуторов алкогольной продукции. В центральном офисе у них установлено ПО “1С:Предприятие 8.0”, конфигурация “Управление торговлей” и компонент “веб-расширение”. Более 120 пользователей по всей Украине имеют доступ к этому сервису через специализированный веб-сайт и могут оформлять заявки на поставку продукции (пользуясь самыми оперативными данными о ее наличии на складах и сроках поставки, дебиторской задолженности и т.д.), просматривать свои результаты, пользоваться общим планировщиком задач и внутрисистемной почтой. По мнению автора, это очень и очень немало, хотя не для всех случаев применимо.

Кратко подводя итог, надо вспомнить, что истина — всегда где-то посередине, и от профессионализма ИТ-директора и менеджера проекта по развитию филиальной сети будет в огромной степени зависеть конечный результат. И если менеджер проекта должен четко соблюдать сроки, то ИТ-директор, в первую очередь, обязан обеспечить наилучшие технические условия в пределах бюджета и добиться минимального ТСО, исходя из 3-х лет эксплуатации ПО и оборудования филиала. Ну а варианты, которые есть, мы хоть и кратко, но рассмотрели.