Организация и безопасность своего сервера

Люди во всем мире думают, как сделать офисную сеть надежной и безопасной, заручившись поддержкой экспертов, попробуем ответить на эти непростые вопросы.

Час простоя платежной системы, вызванный сбоем в работе серверов или отключением питания, обойдется ее владельцам в $2,5-3-4 миллиона. Небольшой компании один час неполадок в локальной сети обойдется в меньшую, но все равно весьма неприятную сумму - $7-10 тыс. Нужно однако сделать поправку - речь об американской небольшой компании. Это данные калифорнийского Института изучения электроэнергии. В Америке все подсчитано.

Кажется, в России подсчитать аналогичные убытки пока еще не успели. У руководителей бизнеса в нашей стране много других проблем и рисков, и они редко задумываются об организации своей IT-инфраструктуры.

ОСНОВЫ Без компьютеров нельзя представить себе современную фирму. Любой руководитель хочет увидеть прибыли и убытки своей компании, просто нажав на кнопку в окне Excel. Между тем, такая легкость возможна только благодаря современным методам сбора и обработки информации. И мало кто вдается в подробности, как именно все это функционирует.

«Компьютерные технологии стали чем-то бытовым и ежедневным, как поездка на автомобиле, - говорит генеральный директор компании IBS DataFortДенис Калинин. - Человек просто садится в машину, поворачивает ключ в замке зажигания и едет. В лучшем случае, у него имеется самое общее представление о происходящих процессах: в камере сгорания двигаются поршни, крутится вал... Как работает распределение впрыска в инжекторе, он уже вряд ли знает».

Точно так же, на уровне схемы, многие знают: ключевые звенья современной офисной сети - сервер и рабочие станции. Локальная сеть должна быть подключена к интернету. У компании должен быть сайт. Все это должно работать слаженно, стабильно и противостоять угрозам извне. Но как организовать защиту сети?

СЕРВЕР В современном бизнесе контроль за информацией имеет первостепенное значение. «Руководству предприятия необходимо, чтобы процесс обмена и накопления информации был для него прозрачным и подконтрольным»,- рассказывает Петр Ильин, руководитель технического отдела компании КАНО. Оптимальное решение - создание информационного узла, который контролирует прием и посылку информации по определенным правилам. Сервер и представляет собой такой информационный узел.

Да, сервер нужен. Вопрос в том, где он должен находиться физически? Вариант первый: у вас в офисе. Вариант второй: у владельца хостинга.

В любом случае, следует помнить: сервер - это сердце вашей сети, которое работает 24 часа в сутки и 365 дней в году. Для него придется создать стабильные физические условия - температурный режим, защиту от статического электричества и бесперебойное питание.

Если вы покупаете хостинг на сервере, убедитесь, что он находится в специализированном ЦОД - центре обработки данных. На вопрос, чем именно хороши ЦОД, Денис Калинин, компания которого управляет тремя такими центрами, отвечает: «Никто в Москве не может похвастаться абсолютно стабильной подачей энергии. А центры обработки данных имеют собственную устойчивую энергосистему - рядом с ними устанавливаются автономные дизельные генераторы, электрические подстанции. Обеспечивается охрана. Круглосуточно дежурит квалифицированный IT-персонал. Для неспециалиста самая понятная аналогия с ЦОД - автоматическая телефонная станция. Неслучайно первые российские дата-центры в начале 90-х разместились именно в зданиях АТС».

Еще один вариант — «виртуальный офис». В этом случае ваш сервер располагается на площадке хостинг-центра, для подключения к нему достаточно иметь ноутбук с выходом в интернет. Такой вариант хорош экономией на «железе», мобильностью и известной степенью конфиденциальности (по стандартному договору с хостинг-провайдером ваши данные являются неразглашаемыми), объясняет наш эксперт Петр Ильин.

Однако есть и серьезное уязвимое место - надежность всей схемы полностью зависит от интернет-канала. Поэтому нужно быть уверенным в том, что эта схема работы вообще подходит для вашей фирмы.

ВЫБИРАЕМ ИНТЕРНЕТ-КАНАЛ Критерий выбора прост: чем шире, тем лучше для комфортной работы. Однако чем этот канал шире - тем дороже. По мнению Петра Ильина, для офиса, в котором работают 10-20 компьютеров, достаточно канала со скоростью не менее 1 Мб/с (оптимальный вариант - 10Мб/с).

Если вы решили открыть онлайн-бизнес, например, интернет-биржу, интернет-магазин или портал, тогда потребуется по-настоящему быстрая связь, с пропускной способностью от 10 Мб/с. Несколько широких резервных интернет-каналов тоже будут не лишними.

ОБОРОНЯЕМСЯ Ваша сеть - это крепость, которую нужно защищать от атак врагов снаружи и от предательства изнутри. Внутренняя опасность - это злонамеренные или безграмотные пользователи, внешняя - вирусы и хакерские атаки из интернета.

Роль часового на входе в замок выполняет так называемый сервер-шлюз, еще известный как прокси-сервер. Серверы-шлюзы способны закрывать входящий трафик по всем известным протоколам обмена данными и портам, оставляя доступ только пользователям, прошедшим идентификацию - назвавшим верный пароль. Им прокси-сервер предоставляет защищенный, шифрованный канал связи.

Существуют два вида шлюзов - аппаратные и программные. Программные работают на основе операционной системы сервера. Их основной плюс - большое число гибких настроек. Минус - высокая стоимость программного обеспечения и его обслуживания. (Вряд ли нужно напоминать, что не стоит доверять настройку такого важного узла IT-системы непрофессионалам).

Аппаратные шлюзы - это отдельные устройства со специально для них написанным программным обеспечением. При сбое питания или «зависании» устройство просто перезагружают, а для его настройки и обслуживания не всегда нужно приглашать специалиста. Главный минус аппаратных шлюзов стоимостью до $1000 - ограниченность и несовершенство настроек.

Наш эксперт Петр Ильин рекомендует практически всем компаниям установить двухступенчатый шлюз (первая ступень - аппаратный шлюз для блокировки доступа извне, вторая ступень - программный шлюз с возможностью контроля трафика и аутентификацией пользователей). Если финансы предприятия ограничены - имеет смысл присмотреться к бюджетным аппаратным шлюзам.

«ЗАЩИТА ОТ ДУРАКА» Безопасность сети - это не только оборудование, но и сетевая политика. О ней имеет смысл подумать сразу. Общаясь с системным администратором или компанией-аутсорсером, руководитель должен обговорить следующие вопросы:

• можно ли пользователям работать без регистрации на сервере
• можно ли работать во внеурочное время
• допускается ли работа за чужими компьютерами
• как организуется доступ к совместным ресурсам (сетевым дискам и принтерам)
• могут ли пользователи самостоятельно изменять настройки на своих компьютерах и устанавливать/ удалять программы.

На одном российском телеканале, где посменно работают десятки человек, заблокирован доступ к сетевым почтовым сервисам, включая Яндекс, Mail.ru и Gmail, и практически ни одна машина не откроет вашу «флешку» или диск. Доступ к принтерам запрещен, выбор программ ограничен браузером Internet Explorer и текстовым редактором Word. С одной стороны, такая жесткая политика оправдана большой текучкой кадров. С другой - чтобы распечатать текст репортажа, корреспонденты должны бегать к принтеру в кабинете начальника...

Конечно, сетевая политика предполагает некие ограничения в пользу всеобщей безопасности. Но все должно быть в пределах разумного - то есть, не вставлять палки в колеса рабочего процесса.

Нужно определить политику сетевой безопасности для серверов, напоминает Петр Ильин. Серверы - это компьютеры, которые помогают рабочим станциям правильно работать, координируют их действия, дирижируют их оркестром. От сервера зависит работа системы в целом. Соответственно, допуск к работе с серверами должен быть более строгим. Доверяя настройку серверов непрофессионалам, вы рискуете частично или полностью вывести из работы IT-систему предприятия.

Политика установки программ на пользовательские компьютеры - не менее важное условие стабильной работы сети. Пример лишь одной из возможных угроз - популярные торренты. Допустим, ваш сотрудник работает за компьютером и параллельно скачивает музыку в свой iPod. Кажется, ничего плохого. Трафик в организации безлимитный, канал широкий, от работы не отрывает... А тем временем торрент ищет свободные каналы в вашей сети, чтобы скачать музыку максимально быстро, и съедает мощности подключения.

Чтобы скачивать файлы, нужно установить специальную программу - торрент-клиент. Запрет на установку нового софта пользователями решает проблему.

Тот же принцип справедлив и для прав на использование носителей информации - «флешек» и компакт-дисков. Нужно определить, к каким устройствам сети и рабочего компьютера пользователь может иметь доступ. Нет смысла позволять всем подряд работать, например, с приводами для компакт-дисков.

ВЫБИРАЕМ АНТИВИРУС Популярные антивирусы можно пересчитать по пальцам. Все они примерно одинаково справляются с поиском вирусов, одинаково часто обновляются, команды разработчиков одинаково быстро реагируют на свежие вирусы, убежден Петр Ильин. Основной критерий выбора, с его точки зрения - совместная работа антивируса и приложений, которые вы используете. Такой «симбиоз» подбирается индивидуально.

По мнению второго нашего эксперта Дениса Калинина, важнее всего регулярное и своевременное обновление вашего антивируса. Ведь каждый день в мире появляется до 200 новых вредоносных программ.

Чтобы выбрать антивирусную программу, нужно понять, откуда приходит большинство ваших документов. Если с Запада - антивирус должен быть западный. Если из России - отечественный.

ЦЕНА ВОПРОСА Подсчитаем расходы на устойчивую и безопасную сеть в офисе. Штатному системному администратору нужно будет платить весьма немало рублей в месяц в зависимости от объемов работы и его квалификации. Верхняя граница этой зарплаты предполагает опыт, знание серверной операционной системы Linux/FreeBSD, понимание основ протокола передачи данных TCP/IP 4-й и 6-й версии, знание принципов программирования на языках и perl и php. (Специалисты из небольшой компании-аутсорсера возьмутся обслуживать сеть из 20 компьютеров и одного сервера за… тоже немало рублей в месяц).

Собственный сервер обойдется в сумму от ХХХ рублей. Хостинг сайта компании - ХХХ рублей в месяц. За эту сумму провайдер предоставляет от нескольких сотен мб, о гигабайтов дискового пространства под страничку и неограниченный интернет трафик.

Во сколько обойдется лицензионный антивирус для сети из 20 пользовательских компьютеров и сервера? В «Лаборатории Касперского» нам назвали сумму в одну кучу рублей за год, а дилеры популярного продукта Dr. Web из компании «Ампула Софтваре» - другую кучу рублей.

Наконец во сколько обойдутся предприятию самые распространенные лицензионные программные продукты? MS Office... Если сеть состоит из нескольких десятков машин, нужно говорить с продавцом о скидке.

Дмитрий Артюхов, Петр Ильин

***