Построение безопасной офисной ИТ инфраструктуры: малое предприятие //
Задача
Необходимо развернуть с минимальными затратами максимально функциональную офисную сеть на 10 рабочих мест. Приложения: бухгалтерская программа для DOS, электронная почта, офисные документы, мгновенные сообщения ICQ, обмен документами, печать документов, программа штрих-кодирования платежных поручений Biprint. Дополнительные условия: выделенные сервер по финансовым соображениям невозможен, поэтому сервер должен одновременно служить и рабочим местом.
Конфигурация сервера
Pentium-4 2.8 ГГц, ОЗУ 1 Гб, RAID1 80 Гб. Используется UPS на 700VA. Операционная система: сервер – Windows 2003, клиенты – бездисковые станции. Идеологически данное решение основано на проекте «Терминальная сеть». В качестве клиентов использовалось уже имеющееся оборудование. Это позволило только на этапе развертывания сэкономить порядка 20000 рублей и полностью окупить развертывание системы.
Схема сети
Схема сети изображена на рисунке (рис. 1). Соединение с интернет осуществляется через ADSL модем, подключенный к серверу. Для обеспечения защиты на сетевом уровне сервер использует встроенный пакетный фильтр Windows 2003. На сервере установлены следующие службы и приложения: почтовый сервер, веб-сервер, SQL сервер, служба факсов (MS Fax Service), сервер коллективной работы (Windows Sharepoint Server), антивирус сервер, DHCP сервер, DNS сервер, Tftp сервер, сервис мониторинга журналов безопасности.
Загрузка клиентов происходит следующим образом. Поскольку на тонком клиенте нет жестких дисков и прочих накопителей, после включения сетевая карта такого клиента получает с сервера загрузочный файл (~5Мб), который использует для загрузки операционной системы Linux. Загруженная операционная система запускает клиента терминального сервера rdesktop, вся дальнейшая работа ведется в этом клиенте.
Службы. В полученной системе у клиентов в терминальном сеансе работают: бухгалтерская программа для DOS, клиент электронной почты, офисные приложения (word, excel), клиент службы обмена мгновенными сообщениями ICQ, браузер Mozilla Firefox для доступа к веб-ресурсам интернет и Internet Explorer, как клиент системы коллективной работы Windows Sharepoint Services. Для пользователей установлена политика, ограничивающая возможности запуска ими различных приложений только разрешенными и проверенными программами, установленными на сервере. Запуск и установка любых других приложений клиентам ЗАПРЕЩЕНА. Аналогично, с помощью политик безопасности, настроен запрет использования Internet Explorer для веб-серфинга. Доступ к установленным приложениям для различных групп пользователей управляется с помощью локальных групп безопасности Windows. Все пользователи работают с ограниченными правами, сохраняют свои личных документы в домашнем каталоге на сервере. Если документы предназначены для коллективной работы, они хранятся в Sharepoint и доступны другим пользователям в соответствие со списками контроля доступа (ACL). Ежедневно на сервере запускается процесс резервного копирования ВСЕХ данных. Это копирование производится на отдельный винчестер, установленный на сервере. Хранятся три последние резервные копии. Печать документов осуществляется на два лазерных принтера, подсоединенных к тонким клиентам. Эти принтеры доступны на сервере. Тонкий клиент эмулирует (имитирует) аппаратный принт-сервер HP JetDirect. На сервере такой принтер подключается, как локальный, с типом порта TCP/IP. Это стандартный функционал Windows. Для работы программы Biprint создана локальная группа, которой разрешен запуск этого программного обеспечения, а также изменение файлов в спулере печати. На сервере работает программа мониторинга печати – PrintMonitor, задача которой вести учёт использования принтеров. Помимо этого возможен учёт того, ЧТО именно печатают пользователя на рабочих принтерах. В общем случае тонких клиентах отсутствуют съёмные носители, что наряду с мониторингом использования принтеров, почты и ICQ перекрывает каналы утечки информации. При необходимости возможно разрешить конкретному пользователю использование внешних носителей информации: cdrom, жёсткие диски, дискеты, usb-накопители, flash-карты и т.д.
Электронная почта. Для функционирования электронной почты зарегистрирован домен третьего уровня (бесплатно). Свой почтовый сервер и почтовый домен позволяет фирме иметь собственную независимую почтовую политику, как в части создания новых электронных адресов, так и других ресурсов: списков рассылки, адресных книг и т.д. Для защиты почтовой системы от спама используется антиспам система компании ООО «ИТ Консультант», на рисунке (рис. 2) изображена схема работы такого решения. Для приема почты используются внешние почтовые серверы с антиспам системой. Отбрасывание спам-сообщений начинается на этапе получения конверта письма, продолжается контекстным и эвристическим анализом на основании собственных правил. Статистика работы антиспам системы в марте 2005 года говорит о том, что среди пришедших сообщений 85% составляли спам. Там же, в антиспам системе входящая почта проверяется на вирусы, запрещенные типы вложений, наличие реального отправителя и получателя и т.д. Для конечного пользователя итогом этого процесса является уменьшение количества спама во входящей корреспонденции на два порядка. В функционал почтового сервера входит веб-интерфейс к сообщениям, а-ля mail.ru, который дает возможность работать со своей почтой из любой точки, где есть соединение с интернет. Собственный почтовый сервер позволяет вести учёт и запись ВСЕЙ входящей и исходящей почты, как для отдельного почтового адреса, так и для всех работников.
Факсы. Тесно связана с почтовой службой и установленная на сервере служба факсов. Сервер принимает входящие факсы (рис. 3) и может отправлять исходящие. После приема факс пересылается на внутренний почтовый сервер, где помещается в общую почтовую папку. Пользователи имеют доступ к этой папке из своих почтовых клиентов и могут просматривать входящие факсы не вставая со своего рабочего места. Теперь ни один факс не пропадёт! Процесс отправки факсов тоже очень прост. Пользователь готовит документ, например в Excel’e, затем дает команду печатать его, а в качестве принтера выбирает принтер с названием Fax. Несложный мастер(wizard) задаст несколько вопросов (номер получателя, когда доставить и т.д.) и поместит исходящий факс в очередь доставки. По окончании этого процесса пользователю может придти уведомление (в зависимости от настроек). Один или несколько пользователей могут быть назначены администраторами факса и получают права по управлению различными параметрами службы приема и отправки факсов.
Система коллективной работы основана на трех серверных компонентах: веб-сервер, SQL сервер и Windows Sharepoint Server. Работа с Windows SharePoint Services не требует обязательного знания языка программирования или HTML, обеспечивая пользователям общее веб-пространство и основные совместно используемые средства и службы. Это просто идеальное решение для организации эффективной работы сотрудников любой фирмы. Узлы Windows SharePoint Services обеспечивают новый уровень хранения файлов, предоставляя возможность организации сообществ для работы в группе, что позволяет пользователям совместно работать над документами, задачами и событиями, а также упрощает совместный доступ к контактам и другим сведениям. Они также позволяют руководителям групп и узлов легко управлять содержимым узла и деятельностью пользователей. Среда Windows SharePoint Services предназначена для обеспечения удобства (рис.4) и гибкости при развертывании, администрировании и разработке приложений. Важнейшей функциональной возможностью SharePoint Services является интеграция с привычным большинству сотрудников фирм пакетом Microsoft Office.
Телефония. В офисе используется мини-АТС. Для минимизации расходов на международные и междугородние телефонные переговоры используется IP-телефония (VoIP). Устройство VoIP Cisco ATA-186 (шлюз VoIP) с одной стороны включено во внутренний порт офисной мини-АТС, а с другой – к провайдеру VoIP (российскому или зарубежному). При использовании такой схемы подключения звонок, скажем, из Брянска в Москву выглядит следующим образом: выход на шлюз VoIP - 85, затем 8095 и московский номер. До внедрения данной системы расходы на междугороднюю телефонию составляли порядка 5000 рублей в месяц. После внедрения они упали до 1200 рублей. Суммарный годовой экономический эффект составил более 40000 рублей.
Система безопасности базируется на правильном применении групповых политик, настройки прав доступа, настройке политик безопасности и аудита. Цель – сохранение работоспособности с минимизацией прав пользователей и перекрытием возможных каналов утечки информации. Мониторинг печати, почты, служб мгновенного обмена сообщениями (ICQ), телефонии, ограничение в использовании съёмных носителей призваны предотвращать возможные утечки информации.
Вывод
Построенная система полностью реализует все требования заказчика, безопасна, экономична, современна, управляема и проста в обслуживании. Она легко может быть масштабирована и способна поддерживать работу до 40 клиентов.