Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
Корпорация Hewlett-Packard (HP) – одна из компаний, полностью взявшая на вооружение рекомендации ITIL. Ее применение позволило HP не только войти в число ведущих поставщиков услуг консалтинга и внедрения, но и стать одним из крупнейших провайдеров услуг по обучению основам ITIL и сертификации этих знаний.
Для практического применения ITIL компания HP разработала собственный вариант методологии, получивший название "Типовой модели HP ITSM" (IT Service Management Reference Model – ITSM Reference Model). Ее первый вариант был опубликован в сентябре 1997 г., следующий - в январе 2000 г. Действующая сегодня версия HP ITSM 3.0 выпущена в июне 2003 г. Подчеркнем, что HP ITSM построена в точном соответствии с ITIL и не противоречит ее положениям.
Следует также отметить, что ITSM Reference Model носит лишь рекомендательный характер. Однако одна из ключевых идей этой методологии состоит в том, что, несмотря на разнообразие информационных систем, их работа на 80% может быть построена на базе стандартизованных процессов и регламентов. Поэтому адаптация методологии к конкретным, специфическим задачам предприятия требует настройки не более 20% системы ИТ-сервиса.
Методология HP - ITSM Reference Model в общем жизненном цикле обслуживания ИС выделяется пять основных групп процессов [9], [10]:
При этом первые четыре блока принято рассматривать как следующие друг за другом в рамках жизненного цикла работы ИТ-службы, а в центр помещать пятый блок, отвечающий за предоставление услуг (рис. 3.1).
Рис. 3.1. Блоки процессов модели ITSM Reference Model
Блок процессов согласование задач бизнеса и ИТ обеспечивает реализацию ИТ-стратегии в соответствии с целями бизнеса и создает основу для количественной оценки эффективности затрат на ИТ. В данный блок входят следующие процессы.
При разработке портфеля ИТ-сервисов процессы этого блока согласуют ИТ-стратегию предприятия с бизнес-целями, который обеспечивает максимальный эффект для бизнеса. Разработка эффективного портфеля ИТ-сервисов требует, чтобы информационные технологии определяли важные для бизнеса ИТ-сервисы и согласовывали ИТ-функции и бизнес-функции с доступными возможностями информационных технологий, потребностями бизнеса и приоритетами обслуживания бизнеса. Эти процессы позволяют ИТ-службе согласовывать ИТ-стратегию, архитектуру, организационную структуру и портфель ИТ-сервисов с бизнес-целями – и, в конечном счете, отображать стратегию в согласованные уровни обслуживания ИТ-сервисов.
Процесс анализ потребностей бизнеса подразумевает анализ рынка ИТ-услуг с точки зрения применения информационных технологий. Этот процесс предполагает проведение оценки того как ИТ-сервисы могут способствовать повышению эффективности деятельности предприятия, выявление важности ИТ-сервисов для бизнес-подразделений и оценки ресурсов для предоставления ИТ-сервисов. В частности, здесь определяется приоритет тех или иных сервисов с точки зрения пользователей и оценивается стоимость ИТ-сервисов.
Процесс разработки стратегии развития ИТ предприятия позволяет сформировать ИТ-стратегию на основе оценки бизнеса и спланировать ИТ-архитектуру. Согласование требований бизнеса и возможностей информационных технологий позволяет обосновать план внедрения ИТ-сервисов, важных для бизнеса предприятия, определить общие количественные показатели работы ИТ-службы и сформировать последовательный план развития ИТ-стратегии и ИТ-архитектуры.
Процесс управления клиентами позволяет ИТ-службе организовывать свою деятельность на партнерских отношениях с бизнес-пользователями информационной системы. Различные функции процесса позволяют отслеживать потребности клиентов, прогнозировать изменения их требований, доводить до клиентов существующие уровни обслуживания ИТ-сервисов, оценивать удовлетворенность клиентов и участвовать в совместном решении задач.
Процесс планирования ИТ-сервисов позволяет сформировать необходимые этапы внедрения сервисов, оценить риски, связанные с этим, наметить пути максимизации возврата инвестиций.
Блок процессов планирования и управления ИТ-сервисами формирует детализированную информацию по проектированию новых ИТ-сервисов, управлению доступностью и качеством этих сервисов, а также поддержания нужного баланса между качеством и стоимостью. Данный блок включает следующие процессы:
Процесс управление безопасностью позволяет определять уровень безопасности, проводить мониторинг и управлять безопасностью корпоративной информации. Процесс формализует задачи обеспечения, управления и поддержания безопасности ИТ-инфраструктуры предприятия. Он является неотъемлемой частью общего корпоративного плана безопасности предприятия.
Процесс управления непрерывностью должен обеспечить ИТ-службе способность предоставлять заданный уровень услуг даже в результате серьезных внешних потрясений бизнеса.
Процесс управления готовностью управляет возможностью реального получения ИТ-сервисов пользователями в соответствии с согласованными уровнями обслуживания.
Процесс управления производительностью подразумевает, что ИТ-службы способны справляться с потоком поступающих заданий на предоставление ИТ-сервисов в соответствии с согласованными уровнями обслуживания.
Процесс управления финансами позволяет ИТ-службе определять стоимость предоставляемых ИТ-сервисов и покрывать свои расходы за счет платы со стороны потребителей.
Блок процессов разработки и внедрения ИТ-сервисов обеспечивает создание и тестирование новых сервисов и используемых ими инфраструктурных компонентов, включая установку оборудования и ПО, разработку приложений, обучение и т. п. Сюда входят два типа процессов:
Процесс разработки и тестирования выполняют разработку и проверку работоспособности и функциональности внедряемых ИТ-сервисов.
Процесс ввода в эксплуатацию обеспечивает развертывание новые или модернизированные компонентов и функции ИТ-сервисов для определенных пользователей с учетом их конкретных потребностей.
Блок процессов оперативное управление ИТ-сервисами обеспечивает ежедневный мониторинг предоставляемых ИТ-сервисов, управление запросами пользователей, отслеживание удовлетворенности клиентов и оценку общего уровня качества выполняемых сервисных работ. В данный блок входят следующие процессы:
Процесс оперативного управления позволяет управлять постоянным процессом предоставления ИТ-сервисов в соответствии с заданными уровнями обслуживания.
Процесс управления инцидентами обеспечивает фиксацию всех инцидентов в информационной системе и быстрое реагирование на нужды потребителей.
Процесс управления проблемами фокусируется на задаче снижения числа инцидентов на основе анализа и прогноза работы информационной системы и заблаговременного устранения потенциальных проблем или более оперативного их разрешения.
Блок процессов обеспечение ИТ-сервисами описывает предоставление соглашений и информации, процедуры взаимодействия для выполнения соглашений об уровне сервиса. Центральное положение этой группы на рис. 3.1 отражает ее связующую роль в ITSM. В состав этой группы входят три типа процессов:
Процесс управления конфигурациями отвечает за регистрацию и отслеживание состояния каждого компонента ИТ-инфраструктуры. Все сведения о компонентах (технические характеристики, состояние и различные взаимосвязи) хранятся в локальной базе данных Configuration Management Database.
Процесс управления изменениями гарантирует, что ИТ-службы используют стандартные методы и процедуры для управления всеми изменениями в информационной среде предприятия.
Процесс управления уровнями услуг позволяет выделять отдельные специфические услуги для потребителей в рамках стандартного спектра предоставляемого сервиса.
При внедрении процессного управления ИТ-службы предприятия методология HP ITSM[[11], [12] выделяет три основные стадии эволюции ИТ-служб:
Стадия управление инфраструктурой предполагает реализацию следующих процессов:
Стадия управление сервисами рекомендует внедрение следующих процессов:
Стадия управление деловыми характеристиками ИТ определяет уровень стратегического бизнес-партнера руководства компании и ИТ-службы. Одна из важнейших характеристик этой стадии – полная интеграция ИТ-процессов в общую бизнес-модель организации. Как результат, такой статус подразумевает, что руководители предприятия должны четко понимать, как те или иные инвестиции в ИТ могут способствовать развитию основного бизнеса компании. На этой стадии должны быть реализованы остальные процессы ITSM Reference Model:
Реализация методологии ITSM Reference Model напрямую связана с общей задачей повышения уровня управления качеством работы компаний. В качестве ориентиров могут быть выбраны стандарты ISO 9000, но для ИТ-подразделений лучше использовать модель CMM (Capability Maturity Model, модель уровня зрелости), в большей степени ориентированную на ИТ-отрасль.
Программные решения HP OpenView, предназначенные для централизованного управления ИТ-ресурсами предприятия, обеспечивают прозрачность управления и тесную интеграцию с бизнес-процессами [13]. Набор решений HP OpenView включает:
3.2.1 Управление бизнесом
Решение HP OpenView управление бизнесом обеспечивает связь информационных технологий предприятия с основным бизнесом. Это решение содействует повышению эффективности использования информационных технологий в бизнесе. Решение BSM позволяет прояснить как информационные технологии могут содействовать успеху ключевых бизнес-процессов предприятия, согласовать текущую деятельность ИТ-службы с потребностями бизнеса, расставить приоритеты использования ИТ-ресурсов и оптимизировать инвестиции в ИТ-инфраструктуру.
3.2.2 Управление приложениями
Решение HP OpenView управление приложениями дает возможность обеспечить необходимую доступность и производительность приложений, поддерживающих основные бизнес-процессы. Для этого используется мониторинг уровней обслуживания ИТ-сервисов (время отклика по транзакции, коэффициенты загрузки ресурсов информационной системы). Это позволяет идентифицировать проблемы до момента их возникновения, установить им приоритеты и с упреждением решать проблемы с меньшим количеством ресурсов.
3.2.3 Управление ИТ-службой
Решение HP OpenView управление ИТ-службой поддерживает переход ИТ-службы предприятия на процессную основу и содержит следующие программные решения:
Решение управление активами обеспечивает контроль и оптимизацию ИТ- ресурсов в каждой стадии жизненного цикла ИТ-сервиса. Эти решения предполагают:
Решения управление конфигурациями обеспечивают автоматизированный учет, развертывание, непрерывное управление и обновление программного обеспечения, включая операционные системы, приложения, базы данных на всех стадиях жизненного цикла ИТ-сервисов.
Решение управление объединенными событиями и производительностью обеспечивает эффективное управление ИТ-сервисами в распределенных системах.
Более подробно рассмотрим решения по идентификации и поддержке пользователей.
3.2.3.1 Управление идентификацией – Identity Management
Решение управление идентификацией обеспечивает автоматизацию процесса создания и поддержки идентификационных данных пользователя и управление доступом как внутри, так и за пределами традиционных границ ИТ-инфраструктуры предприятия. Эти задачи решаются набором продуктов HP OpenView Select - Identity, Access, Audit, Federation.
Пакет HP OpenView Select Identity обеспечивает централизованное управление идентификационными данными и правами доступа пользователей. Это решение организует и контролирует процессы подачи/обработки заявок на предоставление доступа и операции создания, изменения и аннулирования учетных записей. Технологически продукт основан на инновационной модели управления учетными записями, реализующей сервисно-ориентированный подход к ИТ. В рамках этого подхода программные и аппаратные элементы ИТ-инфраструктуры рассматриваются не в качестве обособленных объектов управления, а как взаимосвязанные компоненты системы оказания информационных услуг.
Select Identity позволяет обрабатывать ситуации, которые не вписываются в рамки ролевой модели, не создавая дополнительных ролей или правил. Вместо них используются переменные полномочия, с помощью которых можно обрабатывать исключительные ситуации в рамках процессов запросов и предоставления полномочий на доступ к ресурсам.
Пакет HP OpenView Select Access, позволяет организовать централизованный доступ к Internet-приложениям и Web-сервисам. Он предусматривает единый подход в определении политик авторизации и разграничении прав доступа к ресурсам на основе ролей. Решение дает возможность в полной мере реализовать преимущества технологий однократной регистрации в корпоративных средах на основе порталов и сетей интранет/экстранет.
Настраиваемые интерфейсы API значительно расширяют спектр поддерживаемых систем и позволяют интегрировать Select Access с традиционными и Web-средами. С помощью этого продукта обеспечивается также централизованное управление авторизацией в беспроводных и кабельных сетях Internet и экстранет. Решение поддерживает различные механизмы аутентификации, включая ввод регистрационного имени и пароля самим пользователем, Kerberos1) и Radius2), аутентификацию с использованием токенов, идентификаторов SecurID и сертификатов X.5093).
Select Access позволяет не только установить централизованные политики безопасности, действующие в отношении всех пользователей и приложений, но и гибко распределить администраторские обязанности и полномочия между сотрудниками. В частности, делегированию подлежат права на управление пользовательскими профилями, политиками, объектами аудита, доступ к определенным функциям системы Select Access и само право на дальнейшее делегирование полномочий. Уполномоченные пользователи могут работать только с частью таблицы Policy Matrix, которая определяется персональным уровнем доступа, остальные данные скрыты от посторонних глаз. Select Access также содержит гибко настраиваемую Web-консоль администрирования, которая полностью поддерживает режим делегирования полномочий и встраивается в корпоративный портал.
Решение HP OpenView Select Audit предназначено для автоматизированного аудита процессов управления идентификацией и доступом на соответствие законодательным и внутрикорпоративным нормам. Входящая в его состав среда моделирования позволяет сопоставить отдельные аспекты и положения нормативных требований к защите информации с имеющимися системами управления идентификацией и доступом.
С помощью Select Audit организуется сбор, регистрация и централизованное хранение полной истории администраторских и пользовательских действий, обращений к информационным ресурсам и решений о предоставлении прав доступа. Применение электронных подписей надежно защищает информацию в базе аудита от попыток фальсификации. Используя Select Audit, предприятие всегда может не только проконтролировать, но и документально подтвердить все случаи обращения к информационным ресурсам, действия пользователей и ИТ-персонала.
Механизмы обработки событий в Select Audit отвечают за автоматическую рассылку оповещений и выполнение предварительно заданных действий в критических ситуациях. Арсенал ответных действий предусматривает самые разные меры - от записи в журнале аудита до отправки предупреждения по электронной почте или создания инцидента в системе HP OpenView Service Desk путем отправки сообщения SNMP. Встроенные средства формирования отчетности позволяют в полной мере учесть особенности организации работ по обслуживанию ИТ-систем предприятия и политик проведения аудита.
HP OpenView Select Federation обеспечивает эффективное управление учетными записями без центрального репозитария идентификационных данных, реализуя принципы однократной регистрации и федеративного управления с использованием имеющихся систем идентификации - как входящих в состав решений HP OpenView, так и от сторонних поставщиков.
3.2.3.2 Решение HP OpenView Service Desk
Решение HP OpenView Service Desk – это готовое решение для автоматизации служб технической поддержки и внедрения процессов управления IT-услугами [14]. Объединяя критически важные компоненты технической поддержки в единое решение, оно упрощает работу пользователей и операторов службы поддержки, поднимая качество обслуживания на новый уровень
Центральное место в технической поддержке занимает работа с обращениями клиентов в ИТ-службу поддержки и учет инцидентов. Первоочередная задача при осуществлении общего руководства в области информационных технологий - максимальное удовлетворение требований конечного пользователя, и HP OpenView Service Desk предлагает ряд возможностей, которые улучшают взаимодействие с клиентом.
Программа позволяет персоналу первого уровня поддержки быстро разрешать вопросы, ставшие причиной обращений, или передавать их решение на второй уровень. Интеграция инструментальных средств Service Desk предоставляет специалисту первого уровня поддержки удобный доступ к любой необходимой информации, например, об известных происшествиях, проблемах или изменениях, связанных с конкретными компонентами инфраструктуры. Благодаря этому увеличивается число устраняемых по первому обращению проблем, что повышает производительность и конечного пользователя и персонала поддержки.
Для минимизации негативных последствий инцидентов обеспечивается двунаправленная интеграция HP Service Desk с другими технологическими компонентами HP OpenView, в результате чего информация о событиях быстро и точно передается всем сторонам, которые в ней нуждаются. Поступление информации о происшествиях в Service Desk обеспечивает их обработку в надлежащем порядке, определяемом приоритетами.
Обращения в службу поддержки, инциденты, проблемы и изменения часто требуют выполнения огромного объема работы с документами. Наряд на работу - это форма, используемая для планирования, распределения и проверки исполнения. HP OpenView Service Desk обеспечивает полную обработку и отслеживание этих форм для максимально быстрого и правильного выполнения работ. Планируемые затраты, предельную дату завершения и максимальное время на выполнение задания вносится в наряд Service Desk инициатором работы. По мере продвижения работы вы можете обновлять наряд, отражая реальное время и дату завершения, любые понесенные издержки и другие сведения. Service Desk обеспечивает просмотр состояния каждого наряда и позволяет по мере необходимости вносить уточнения в запланированные мероприятия. Отчеты о завершенной или еще выполняемой работе предоставляются в различных формах.
Управление изменениями приобретает все большую важность по мере ускорения внедрения новых технологий. В рамках HP OpenView Service Desk управление изменениями связывает операции календарного планирования, предварительной оценки, реализации и окончательного тестирования изменений информационной инфраструктуры.
В процессе управления изменениями основное внимание уделяется не столько средствам, используемым для внесения фактических изменений, сколько инструментам для управления информацией об изменениях и их последствиях для производственной среды. Практически невозможно успешно управлять сложной информационной инфраструктурой, если у операторов нет новейшей информации об используемом в данный момент программном и аппаратном обеспечении.
Соблюдение баланса между запросами ваших заказчиков и необходимым обслуживанием систем имеет решающее значение в управлении изменениями. Для выполнения этого условия Service Desk предлагает Outage Planning (планирование перерывов в работе). Используя Outage Planning, можно задавать плановое время простоя элементов конфигурации и служб. Перерыв в работе может быть связан с профилактическими мероприятиями, такими как техническое обслуживание сервера, или с не зависящими от вас обстоятельствами, например, с перерывами в подаче электроэнергии.
HP OpenView Service Desk отслеживает и контролирует элементы конфигурации (например, компоненты аппаратного обеспечения) в течение всего срока их службы. Наряду с предоставлением информации другим процессам, таким как анализ проблем и управление изменениями, управление конфигурациями, обеспечивает также простой доступ к информации о договорах на оказание услуг, а также о связях между элементами конфигурации и относящимися к ним организационными вопросами.
В основе эффективного управления на основе SLA лежит четкое понимание зависимости различных служб, лежащих в основе информационной инфраструктуры. HP OpenView Service Desk включает расширения, которые помогают оператору сориентироваться благодаря:
HP OpenView Service Desk помогает в предоставлении и документировании услуги в соответствии с обязательствами, заявленными в соглашении SLA. С его помощью легко составить таблицы, описывающие время, потраченное на решение различных пользовательских проблем. Максимальное время на оказание поддержки зависит от гарантированного уровня обслуживания, для его соблюдения учитывается момент поступления запроса и расписание работы информационной службы. Каждому обращению в службу поддержки автоматически присваивается приоритет в зависимости от уровня обслуживания и степени серьезности обращения. При вычислении допустимых сроков обслуживания учитываются:
Представления баз данных дают возможность быстрой интеграции для создания необходимых вам документов, настроенных под конкретного заказчика, например, в виде отчетов об уровне обслуживания, таблиц с показателями работы информационной службы и отчетов об управлении изменениями.
Отчеты - это ключевой способ представления управленческой информации о производительности, готовности к работе и пропускной способности ИТ-службы поддержки. HP OpenView Service Desk предлагает готовые средства создания отчетов общего назначения. Для отображения всей информации, хранимой в базе данных Service Desk, используются пригодные для распечатки табличные и графические формы, а также представления в виде пиктограмм и списков, напоминающих Проводник Microsoft Windows. Кроме того, для облегчения интеграции с внешними инструментальными средствами для создания отчетов имеются специальные представления в базе данных Service Desk. Формирование таких баз - это автоматический процесс, происходящий при установке Service Desk.
Простота использования и гибкость - центральные моменты архитектуры Service Desk. Интуитивно-понятный интерфейс пользователя, подобный интерфейсу Microsoft Outlook, предоставляет легко воспринимаемую информацию в знакомом виде, что существенно облегчает обучение конечных пользователей. Развертывание и обновление без остановки приложения, а также простота настройки приносят дополнительную выгоду, сокращая затраты на администрирование и время развертывания справочной службы.
Введение правил реагирования системы на значения полей пользовательского интерфейса обеспечивает дополнительные возможности. В зависимости от состояния или значения определенного поля в открытом диалоговом окне, например, в Service Call (телефонное обращение в службу поддержки), менеджер правил Rule Manager предпримет необходимые действия еще до того, как информация будет сохранена.
Правила позволяют выполнить следующие операции:
HP OpenView Service Desk предоставляет стандартное решение для создания объединенной службы поддержки, основанное на лучших отраслевых технологиях.
HP OpenView Service Desk позволяет объединить в единый поток операций процессы управления конфигурациями, изменениями, обработкой инцидентов и причин сбоев.
Благодаря такому уровню интеграции ИТ-служба поддержки способна работать в упреждающем режиме. Имея под рукой всю необходимую информацию, персонал сможет четко реагировать на возникающие проблемы и разрешать их до того, как они отразятся на критически важных бизнес-процессах.
Возможность сопоставить конкретную проблему в инфраструктуре с соглашениями об уровне обслуживания (например, с использованием HP OpenView Operations) обеспечивает обработку происшествий в соответствии с SLA для конкретного элемента конфигурации.
3.2.4 Управление ИТ-инфраструктурой
Решение управление ИТ-инфраструктурой обеспечивает проактивное и эффективное управление вычислительной сетью ИС, программными средствами, приложениями и оборудованием для обеспечения качественного предоставления ИТ-сервисов пользователям с минимальными затратами. Данное решение предполагает управление сетями серверами и хранением данных уровня предприятие, оптимизацию производительности информационной системы и оптимизацию работы приложений конечных пользователей.
Решение HP OpenView Network Node Manager (NNM) обеспечивает высокофункциональное управление сетью предприятия, позволяя оптимизировать совокупную стоимость владения, повысить производительность и эффективность использования сетевых ресурсов [15]. Инструменты, входящие в состав решения HP OpenView NNM, позволяют сократить сроки поиска и устранения неисправностей. Эти инструменты будут одинаково полезны как начинающим специалистам по обслуживанию сетей, так и высококвалифицированным сетевым администраторам.
Графический интерфейс HP OpenView NNM содержит наглядные сведения о состоянии сети и позволяет быстро перейти к детальным спискам событий или визуальным картам сети. Карты сети наглядно отображают состояние сетевых устройств и места возникновения неполадок, что помогает своевременно обнаружить и устранить проблемы в работе сети.
HP OpenView NNM содержит обширный перечень готовых отчетов, необходимых для упреждающего анализа и выявления тенденций в работе сети. Отчеты позволяют отобразить тренды производительности и готовности сети, осуществить инвентаризацию имеющихся устройств и систем, а также получить статистику ошибок и отказов с использованием практически любого браузера. С помощью отчетов HP OpenView NNM можно получить точную картину состояния всех элементов сети и устранить потенциальные проблемы до того, как они начнут сказываться на работоспособности и производительности.
Система сетевого управления HP OpenView NNM предельно проста в установке и использовании и вместе с тем обладает достаточной гибкостью для оптимизации имеющихся сетевых ресурсов и легко расширяется по мере развития сети предприятия.
В семейство программных продуктов HP OpenView позволяет решать весь комплекс задач в области управления ИТ-ресурсами. В состав программного обеспечения, кроме перечисленных ранее, входят ряд пакетов программ HP OpenView [16].
Пакет HP OpenView Compliance Manager ведет непрерывный мониторинг внутренних контуров управления ключевыми бизнес-процессами, вспомогательными приложениями и инфраструктурой, чтобы измерить эффективность, смягчить возможные риски, а также постоянно отслеживать соблюдение стандартов защиты и раскрытия информации. Пакет HP OpenView Compliance Manager оценивает эффективность инструментов ИТ-управления, проверяя основные области управления ИТ-процессами. Это – управление доступностью, управление защитой информации, управление инцидентами, управление изменениями, управление выпусками и управление конфигурациями.
HP OpenView Performance Insight - это инструмент для анализа производительности ИТ-среды и управления ею. Продукт предназначен для руководителей и технических специалистов служб эксплуатации, в чьи обязанности входит контроль и поддержание требуемого уровня обслуживания внутрикорпоративных или сторонних заказчиков. HP OpenView Performance Insight содержит средства построения отчетов, которые могут использоваться специалистами по планированию и эксплуатации ИТ- среды в качестве оперативного инструмента для выявления и устранения потенциальных проблем до того, как они начнут негативно сказываться на работе ИТ-среды. Кроме того, отчеты HP OpenView Performance Insight могут использоваться в качестве инструмента стратегического планирования, который позволяет получить и, что более важно, осмыслить информацию, необходимую для развития ИТ-среды предприятия в соответствии с эволюционирующими требованиями бизнеса. HP OpenView Performance Insight и HP OpenView Network Node Manager образуют единую систему поиска и устранения неисправностей в работе сети.
HP OpenView Reporter - это доступное, гибкое и простое в использовании решение для создания отчетов о работе распределенной ИТ-инфраструктуры предприятия. Продукт позволяет управлять отчетами, автоматически преобразовывать данные, полученные от приложений HP OpenView на всех поддерживаемых платформах, в ценную и удобную для дальнейшего использования управленческую информацию.
Пакет HP OpenView Dashboard позволяет быстро строить информационные панели, отражающие состояние любых бизнес-сервисов. Такие панели позволяют эффективно наблюдать за всеми параметрами интересующего бизнес-сервиса, включая источники событий и состояние систем безопасности.
HP OpenView Service Information Portal - это спроектированное для поставщиков услуг портальное приложение, позволяющее быстро создавать и настраивать под нужды клиентов удобные web-сайты с оперативными отчетами по уровню качества используемых ими услуг. Service Information Portal отличает удобная навигация, возможность персонализации, а также надежная защита данных.
Программный пакет HP OpenView Business Process Insight обеспечивает визуальное представление бизнес-процессов предприятия. Этот пакет предлагает инструменты для мониторинга таких процессов, как, например, доставка заказов. Пользователь может оценить влияние задержек на разных этапах процесса в терминах ценности заказа, определить ключевых заказчиков, на которых отразилась задержка, и др.
Программные решения HP OpenView позволяют автоматизировать процессы поддержки пользователей, а также внутренние процессы служб ИТ-предприятий, основываясь на концепциях управления ИТ-услугами, ITIL, ITSM, а также обеспечить визуализацию ИТ-услуг средствами веб-портала.
В данной теме были рассмотрены методология компании Hewlett-Packard, представленная моделью ITSM Reference Model и программные средства автоматизации управления ИТ-инфраструктурой предприятия HP OpenView.
Лекция: Технология Microsoft обеспечения информационной безопасности
Процесс обеспечения безопасности относится к оперативным процессам и соответствии с библиотекой ITIL [6] и входит в блок процессов поддержки ИТ-сервисов. Нарушение безопасности информационной системы предприятия может привести к ряду негативных последствий, влияющих на уровень предоставления ИТ-сервисов:
Анализ причин нарушения информационной безопасности показывает, что основными являются следующие:
Компания Microsoft разрабатывает стратегию построения защищенных информационных систем (Trustworthy Computing) - это долгосрочная стратегия, направленная на обеспечение более безопасной, защищенной и надежной работы с компьютерами для всех пользователей [38].
Концепция защищенных компьютерных построена на четырех принципах:
Данные принципы реализуются в программных продуктах Microsoft. Компания Microsoft предлагает обеспечивать безопасность операционных систем семейства Windows с помощью технологии единого каталога (Active Directory) и групповых политик. Использование групповой политики и Active Directory позволяет централизовано управлять параметрами безопасности как для одного пользователя или компьютера, так и для группы пользователей, управлять безопасностью серверов и рабочих станций.
Для решения вопросов обеспечения информационной безопасности компания Microsoft предоставляет следующие технологии [39]:
Управление групповыми политиками в Microsoft Windows Server 2003 позволяет администраторам задавать конфигурацию операционных систем серверов и клиентских компьютеров [40]. Реализуется эта функциональность с помощью оснастки "Редактор объектов групповой политики", общий вид которой приведен на рис. 7.1
увеличить изображение
Рис. 7.1. Оснастка "Редактор объектов групповой политики"
Для компьютеров, входящих в домен Active Directory, используются групповые политики, определяющие политики безопасности, используемые в рамках сайта, домена или набора организационных единиц (OU – organizational units).
Групповые политики и Active Directory позволяют:
При управлении безопасностью информационной системы предприятия групповая политика позволяет управлять контроллерами доменов и серверами, определять наборы параметров для конкретной группы пользователей, параметры защиты, сетевой конфигурации и ряд других параметров, применяемых к определенной группе компьютеров.
Active Directory позволяет управлять через групповые политики любыми службами и компонентами на платформе Windows.
Групповые политики Active Directory позволяют администраторам централизованно управлять ИТ-инфраструктурой предприятия. С помощью групповой политики можно создавать управляемую ИТ-инфраструктуру информационной системы. Эти возможности позволяют снизить уровень ошибок пользователей при модификации параметров операционных систем и приложений, а также совокупную стоимость владения информационной системы, связанную с администрированием распределенных сетей.
Групповая политика позволяет создать ИТ-инфраструктуру предприятия, ориентированную на потребности пользователей, сформированных в строгом соответствии с их должностными обязанностями и уровнем квалификации.
Применение групповых политик и Active Directory для сайтов, доменов и организационных единиц необходимо реализовывать с учетом следующих правил:
При администрировании ИТ-инфраструктуры предприятия администраторы посредством механизма групповой политики могут производить настройку приложений, операционных систем, безопасность рабочей среды пользователей и информационных систем в целом. Для этого используются следующие возможности:
увеличить изображение
Рис. 7.2. Удаление значка из главного меню профиля пользователя
увеличить изображение
Рис. 7.3. Оснастка Политика учетных записей шаблонов безопасности
Для общего контроля применения групповой политики используются механизм WMI – фильтров (Windows Management Instrumentation). Данное решение позволяет администраторам создавать и модифицировать WMI – запросы для фильтрации параметров безопасности, определяемых групповыми политиками. WMI – фильтры позволяют динамически задавать область действия групповой политики на основе атрибутов целевого компьютера.
Применение механизма групповой политики для ИТ-инфраструктуры предприятия способствует снижению сложности решения задач развертывания обновлений, установки приложений, настройки профилей пользователей и, в целом, администрирования информационной системы. Применение групповой политики в информационной системе предприятия дает следующие преимущества:
ИТ-инфраструктура предприятия может включать интрасети, сайты в интернете и экстрасети. Многие компоненты такой инфраструктуры являются потенциально уязвимыми перед попытками неавторизованного доступа со стороны злоумышленников. Контроль и управление идентификацией пользователей может быть осуществлен на базе инфраструктуры открытых ключей.
Инфраструктура открытых ключей PKI (public key infrastructure) – это системы цифровых сертификатов, центров сертификации CA (certification authorities) и других центров регистрации RA (registration authorities), которые идентифицируют (проверяют подлинность) каждой стороны, участвующей в электронной транзакции, с применением шифрования открытым ключом (public key). В Microsoft Server 2003 политику открытых ключей можно задавать с помощью оснастки MMC - Политика открытого ключа (рис. 7.4)
Политика открытого ключа (рис. 7.4)
увеличить изображение
Рис. 7.4. Оснастка Политика открытого ключа
В Windows Server 2003 центр сертификации предполагает применение электронных цифровых подписей. Службы сертификации (Certification Services) и средства управления сертификатами позволяют построить предприятию собственную инфраструктуру открытых ключей.
Применение инфраструктуры открытых ключей обеспечивает следующие преимущества для информационной системы предприятия:
В операционной системе Windows Server 2003 применяются следующие стандартные протоколы аутентификации:
В Windows Server 2003 поддерживается аутентификация с применением смарт-карт, что позволяет создавать корпоративные сети с высоким уровнем защищенности. Смарт-карта – это устройство внешне похожее на кредитную карту, на котором хранятся пароли, открытые и закрытые ключи и другие личные данные пользователя.
Для активизации смарт-карты пользователь должен вставить её в устройство чтения, подключенное к компьютеру, и ввести свой PIN-код (персональный идентификационный номер). PIN-код обрабатывается локально и не передается по сети. После нескольких неудачных попыток ввода PIN-кода смарт-карта блокируется.
Ввод PIN-кода обеспечивает аутентификацию только по отношению к смарт-карте, а не к домену. Для аутентификации в домене применяется сертификат открытого ключа, хранящийся на смарт-карте. При запросе на вход сначала происходит обращение к локальной системе безопасности клиентского компьютера. Далее происходит обращение к службе аутентификации домена с использованием сертификата пользователя. Удостоверение сертификата подтверждается цифровой подписью с применением закрытого ключа пользователя.
Для защиты коммуникаций предназначена технология IP-безопасности, базирующаяся на протоколе IPSec (IP Security). В корпоративной информационной системе данная технология должна обеспечивать защиту от:
Протокол IPSec представляет протокол транспортного уровня с защитой данных на основе шифрования, цифровой подписи и алгоритмов хеширования. Он обеспечивает безопасность на уровне отдельных IP-пакетов, что позволяет защищать обмен данными в общедоступных сетях и обмен данными между приложениями, не имеющими собственных средств безопасности.
IPSec в Windows Server 2003 интегрирован с политиками безопасности Active Directory, что обеспечивает хорошую защищенность интрасетей и коммуникаций через Internet.
В IPSec предусмотрены криптографические механизмы хеширования и шифрования для предупреждения атак. Протокол имеет следующие средства защиты:
При передаче данных с одного компьютера на другой по протоколу IPSec согласовывается уровень защиты, используемый в сеансе. В процессе согласования определяются методы аутентификации, хеширования, возможно туннелирования и шифрования. Секретные ключи для аутентификации создаются на каждом компьютере локально на основе информации, которой они обмениваются. Эта информация не передается по сети. После создания ключа выполняется аутентификация и инициируется сеанс защищенного обмена данными.
Защита от вторжений должна обеспечить профилактические меры по защите компьютеров и данных. Эти задачи решает Microsoft ISA (Internet Security and Acceleration) Server 2004. ISA Server 2004 включает межсетевой экран прикладного уровня, поддержку виртуальных частных сетей (Virtual Public Netware – VPN), Web-кэширование, фильтры прикладного уровня. ISA Server 2004 защищает корпоративные информационные системы от внутренних и внешних атак. Сервер выполняет динамическую проверку потока данных и расширенную фильтрацию различных протоколов Интернета на прикладном уровне, что позволяет противостоять угрозам, не обнаруживаемым традиционными межсетевыми экранами. ISA Server 2004 позволяет:
Сервер Microsoft ISA Server 2004 реализует функциональные возможности трехуровневого межсетевого экрана, средства управления частными виртуальными сетями и службы Web-кэширования. ISA Server 2004 позволяет повысить безопасность и производительность корпоративной информационной сети, а также снизить эксплуатационные расходы. Сервер ISA Server 2004 имеет ряд достоинств:
Задачи безопасности, а также надежности, масштабируемости, быстродействия при управлении Web-серверами обеспечиваются полнофункциональным Web-сервером Internet Information Services (IIS) 6.0. Службы IIS 6.0 базируются на архитектуре обработки запросов, которая реализует среду с изоляцией приложений. Это обеспечивает функционирование отдельных Web-приложений в собственном Web-процессе. При таком режиме работа приложений и сайтов реализуется обособлено рабочими процессами, полностью изолированными от ядра Web-сервера, что исключает их влияние друг на друга.
В IIS 6.0 включены разнообразные средства управления для администрирования и конфигурирования ИТ-инфраструктуры предприятия. Системные администраторы могут изменять параметры и отлаживать приложения во время работы служб. Службы IIS 6.0 поддерживают стандарты XML, SOAP и IPv6.
Для защиты от вирусов корпоративных информационных систем Microsoft предлагает технологию Microsoft Antigen, которая позволяет защитить серверы поддержки коммуникаций и коллективной работы. Эти решения серверного уровня предоставляют средства фильтрации файлов и контента, а также позволяют применять несколько механизмов сканирования одновременно. Комплекс антивирусных средств Microsoft Antigen помогают обеспечить антивирусную защиту на уровне серверов с использованием нескольких механизмов сканирования.
Продукты семейства Antigen - это приложения для серверов коллективной работы и передачи сообщений, которые обеспечивают защиту от атак злоумышленников, вирусов и нежелательных сообщений [41].
Использование многоядерной технологии антивирусного сканирования позволяет продуктам Antigen успешно бороться с возникающими угрозами.
Тесная интеграция с Microsoft Exchange Server, Microsoft SharePoint и Microsoft Live Communications Server обеспечивает надежную защиту и централизованное управление всей системой защиты без снижения производительности серверов, на которых установлены продукты Antigen.
Фильтрация содержания и файлов обеспечивает соблюдение единой корпоративной политики по правилам передачи и хранения документов, а также применения допустимой лексики как внутри компании, так и при отправке сообщений поставщикам и клиентам.
Продукты семейства Antigen имеют следующие преимущества:
Решения Microsoft для обеспечения повышенной защиты от компьютерных атак и воздействия вредоносного ПО включают следующие продукты:
В табл. 7.1 и 7.2 приведены ресурсы по обеспечению безопасности ИТ- инфраструктуры корпоративных систем.
|
Таблица 7.1. Русскоязычные ресурсы по обеспечению безопасности |
|
|
Наименование ресурса |
Web-ссылка |
|
Ресурс Microsoft, посвященный безопасности |
www.microsoft.com/rus/security |
|
Центр рекомендаций по обеспечению безопасности для пользователей |
www.microsoft.com/rus/securityguidance |
|
Рекомендации по обеспечению безопасности для ИТ-специалистов |
www.microsoft.com/rus/technet/security |
|
Сайт Security at Home для клиентов |
www.microsoft.com/rus/athome/security |
|
Сайт программы Malicious Software Removal Tool |
www.microsoft.com/rus/security/malwareremove/default.mspx |
|
Сведения о системах Windows и Linux |
www.microsoft.com/rus/getthefacts |
|
Таблица 7.2. Англоязычные ресурсы по обеспечению безопасности |
|
|
Наименование ресурса |
Web-ссылка |
|
Ресурс о безопасности для разработчиков ПО |
www.msdn.microsoft.com/security |
|
Ресурсы по обеспечению безопасности для партнеров |
https://partner.microsoft.com/security |
|
Пакет обновления 1 (SP1) для Windows Server 2003 |
www.microsoft.com/windowsserver2003/downloads/servicepacks/spl |
|
Пакет обновления 1 (SP1) для Windows XP |
www.microsoft.com/athome/security/protect/windowsxp/choose.mspx |
|
Microsoft Windows Defender (бета-версия 2) |
www.microsoft.com/athome/security/spyware/software |
|
Стратегия Microsoft по борьбе с программами-шпионами |
www.microsoft.com/athome/security/spyware/strategy.mspx |
|
Критерии Microsoft для определения программ-шпионов |
www.microsoft.com/athome/security/spyware/software/isv |
|
Система Microsoft Antigen |
www.microsoft.com/windowsserversystern/solutions/security/sybari.mspx |
|
Обеспечение безопасности всего цикла разработки |
www.msdn.microsoft.com/security/sdl |
|
Исследовательский центр Microsoft Security Response Center |
www.microsoft.com/security/msrc |
|
Microsoft Windows OneCare Live (бета-версия) |
https://beta.windowsonecare.com |
|
Центр интернет-обслуживания Windows Live Safety Center (бета-версия) |
www.safety.live.com |
Для обеспечения сотрудников постоянным доступом к ресурсам корпоративной сети в неё включают мобильные устройства. С помощью мобильных устройств сотрудники предприятия могут обращаться к корпоративной информации, своей почте и бизнес-приложениям с любого места, находящегося за межсетевым экраном корпоративной сети. Для поддержки мобильных пользователей необходимо реализовать в системе стандарты безопасности, позволяющие использовать корпоративные сетевые ресурсы и конфиденциальную информацию.
Для безопасной работы мобильных пользователей используются следующие виды защиты:
При защите домена мобильные устройства должны отвечать требованиям аутентификации, применяемым на предприятии. Устройства, работающие под управлением Windows Mobile 2003, поддерживают двухэтапную аутентификацию и позволяют применять стойкие пароли, биометрические технологии и сертификаты. Устройства с Windows Mobile 2003 можно интегрировать в существующую инфраструктуру открытых ключей.
Защиту мобильных устройств, работающих под управлением Windows Mobile 2003, поддерживают средства защиты, которые позволяют защищать информацию, хранящуюся на таких устройствах. Это предотвращает несанкционированный доступ к данным в случае утери или кражи мобильного устройства. В Windows Mobile 2003 в дополнение к поддержке строгих паролей встроены средства шифрования данных.
Для защиты беспроводных соединений сетевые администраторы должны контролировать процесс доступа этих устройств к корпоративной сети предприятия. Кроме того информация, передаваемая по беспроводной сети должна шифроваться.
Одним из решений по организации доступа сотрудников, находящихся вне предприятия, к корпоративной сети является организация виртуальной частной сети – VPN. Для контроля доступа к приложениям в Windows Server 2003 имеется служба сетевого карантина (Windows Quarantine). Карантин используется в сети для проверки состояния клиента пред тем, как предоставить ему доступ к защищенным сетям. Карантинный фильтр на основании политики безопасности может запретить доступ и не разрешать его до тех пор пока настройки подключаемого компьютера не будут удовлетворять требованиям политики безопасности. Для применения карантина требуется, чтобы эта служба поддерживалась и клиентом и сервером аутентификации.
Некоторые мобильные устройства, такие как КПК и смартфоны, работающие под управлением Windows Mobile 2003, имеют возможность синхронизации данных. Эти мобильные устройства оптимизированы для синхронизации с серверами Microsoft Exchange. Для синхронизации данных Exchange КПК и смартфоны, управляемые Windows Mobile могут использовать Exchange Server 2003 ActiveSync. На каждом устройстве с Windows Mobile указывают сервер Exchange и задают параметры безопасности. Для соединения с сетью, в которой работает Exchange Server 2003 ActiveSync, мобильное устройство должно иметь информацию по учетной записи пользователя и имени доступных серверов. Это позволяет создать шифруемый канал коммуникационной связи между мобильным пользователем и корпоративной сетью.
Сервер терминалов (Terminal Server) операционной системы Windows Server 2003 позволяет с удаленных клиентских компьютеров получить через сеть доступ к приложениям, установленным на сервере. Сервер терминалов обеспечивает шифрование канала связи. Для аутентификации соединений со службами терминалов и шифрования коммуникаций с сервером терминалов применяется Secure Sockets Layer (SSL) / Transport Layer Security (TLS).
SSL – протокол шифрованной передачи данных между клиентом и сервером, который требует сертификата, выданного одним из авторизованных центров. TLS - криптографический протокол, который обеспечивает безопасную передачу данных между узлами в сети Internet. Различие между SSL 3.0 и TLS 1.0 незначительные, поэтому далее в тексте термин "SSL" будет относиться к ним обоим. SSL, используя криптографию, предоставляет возможности аутентификации и безопасной передачи данных через Internet. Часто происходит лишь аутентификация сервера, в то время как клиент остается неаутентифицированным. Для взаимной аутентификации каждая из сторон должна поддерживать инфраструктуру открытых ключей
SSL включает в себя три основных фазы:
Для корректной работы аутентификации SSL (TLS) удаленные клиенты должны:
Для защиты данных применяются технологии кластеризации, теневого копирования, а также службы управления правами и Data Protection Manager [42].
Кластер определяет группу компьютеров, которые совместно выполняют одинаковый набор приложений и которые представляются клиентам и приложениям как единая система. Компьютеры объединяются в кластер с помощью программных соединений и используют средства автоматического восстановления после сбоев и балансировки сетевой нагрузки.
Windows Server 2003 имеет две службы кластеризации:
Интеграция служб кластеризации с Active Directory позволяет проводить регистрацию в Active Directory "виртуального" объекта компьютера, поддерживать аутентификацию через Kerberos и обеспечивать тесную интеграцию с другими службами, публикующими информацию о себе в Active Directory.
Теневое копирование общих папок в Windows Server 2003 помогает предотвратить случайную потерю данных и обеспечивает экономичный способ восстановления данных, утраченных в результате ошибки пользователя. При теневом копировании регулярно, через заданный интервал времени, создается теневые копии файлов и папок, хранящиеся в общих сетевых папках. Теневая копия представляет предыдущую версию файла или папки по состоянию на определенный момент времени.
Посредством теневых копий файловый сервер под управлением Windows Server 2003 может эффективно поддерживать на выбранных томах предыдущие версии всех файлов. Пользователь имеет возможность просматривать предыдущие версии файла.
Теневые копии упрощают текущее восстановление поврежденных файлов, но они не заменяют процедуры резервного копирования, создания архивов, полнофункциональной системы восстановления данных.
Теневые копии не обеспечивают защиту от потери данных при сбоях или повреждении физического носителя. Тем не менее восстановление данных из теневых копий уменьшает количество случаев, в которых приходится прибегать к восстановлению данных из архивов.
Следует отметить, что теневые копии не предназначены для использования в качестве средств управления версиями документов. Это временные копии, автоматически создаваемые по расписанию.
Microsoft System Center Data Protection Manager (DPM) предназначен для резервного копирования на диск. DPM обеспечивает постоянную эффективную защиту данных, быстрое и надежное их восстановление. Это реализуется путем использования репликации, а также инфраструктуры службы теневого копирования томов
Резервное копирование с использованием DPM может быть централизованным (копирование по схеме "диск-диск-лента в центре обработки данных") и децентрализованным (резервные копии передаются на центральный сервер DPM).
При восстановлении данных могут выполняться следующие сценарии:
В заключении следует отметить, что компания Microsoft разработала программное средство для оценки системы безопасности Security Assessment Tool (MSAT). Данный инструментарий позволяет собирать данные о системе безопасности ИТ-инфраструктуры предприятия и получать рекомендации по её усовершенствованию.
В данной теме была рассмотрена стратегия, технологии и решения компании Microsoft по построению защищенных информационных систем.