Лекции грант. Лекции_грант. Курс лекций РостовнаДону 2007
Скачать 1.36 Mb.
|
6.2 Методология Microsoft по эксплуатации ИС Библиотека передового опыта организации управления ИТ- инфраструктурой предприятия представляет общие рекомендации и различные организации вносят свой вклад в развитие этого направления. Microsoft на ос- нове обобщения документации ITIL, стандарта ISO 15504, описывающего кри- терии оценки зрелости процессов, опыта заказчиков и партнеров Microsoft, опыта организации эксплуатации во внутренних ИТ-подразделениях Microsoft разработала библиотеку документов Microsoft Operations Framework (MOF) [5]. В состав MOF входят следующие документы и руководства − модель процессов эксплуатации (MOF Process Model for Operations); − модель групп эксплуатации (MOF Team Model for Operations); − дисциплина управления рисками эксплуатации (Risk Management Discipline for Operations); − функции управления услугами (SMF – Service Management Func- tions). Модель процессов эксплуатации и функции управления услугами описы- вают высокоуровневые операции, выполняемые при эксплуатации информаци- онных систем, и основываются на четырех принципах: − структуризация; 121 − быстрый цикл развития, итеративный подход; − управление посредством периодических контрольных мероприятий; − интегрированное управление рисками. Принцип структуризации упрощает интеграцию процессов, управление жизненным циклом информационной системы и сопоставление ролей с выпол- няемыми функциями. Принцип быстрого цикла развития способствует повышению качества работы информационной системы предприятия посредством эффективного проведения изменений при всесторонней оценке рисков. Принцип контрольных мероприятий обеспечивает регулярную оценку оперативной деятельности по эксплуатации ИТ-инфраструктуры и предостав- лению ИТ-сервисов, а также результативности и эффективности действий по внесению изменений в информационную систему. Принцип интегрированного управления рисками предполагает распро- странение процедур управления рисками во все операционные процессы и ро- ли, а также формирование упреждающей политики управления рисками. Модель процессов MOF сформирована из четырех категорий-квадрантов [5], в которых объединены ключевые задачи эксплуатации информационных систем (рис. 6.1). В модели выделены следующие квадранты: − изменения; − эксплуатация; − поддержка; − оптимизация. Квадрант «Изменения» (MOF Changing Quadrant) предназначен для фор- мализации и упорядочивания процессов изменения ИТ-инфраструктуры и ИТ- сервисов. В нем описаны следующие процессы: − управление изменениями; − управление релизами; − управление конфигурациями. 122 Опти ми за ци я Подде ржк а Измене ния Эк сплуа та ция Управление уровнем услуг Управление мощностями Управление готовностью Управление безопасностью Управление инфраструктурой Управление финансами Управление персоналом Обеспечение непрерывности предоставляемых услуг Service Desk Управление инцидентами Управление проблемами Управление изменениями Управление конфигурациями Управление релизами Мониторинг услуг Администрирование безопасности Сетевое и системное администрирование Планирование заданий Управление хранением данных Управление службой каталогов Анализ запросов на изменения Анализ сервисных соглашений Анализ готовности изменений Анализ эксплуатации Рисунок 6.1. Модель процессов MOF Функциональность квадранта «Изменения» в отличие от аналогичных процессов ITIL отличается более детальной проработкой диаграмм процессов и инструкций по их применению. Квадрант «Эксплуатация» (MOF Operating Quadrant) описывает процессы технической инфраструктуры информационной системы (рис.6.2). Для квадранта «Эксплуатация » выделены два уровня процессов. На верхнем уровне находятся следующие процессы: − системное администрирование; − администрирование безопасности; − мониторинг ИТ-сервисов. Данные процессы описывают принципы организации процессов эксплуа- тации технических и программных систем. 123 Системное администрирование Администрирование безопасности Мониторинг услуг Рисунок 6.2. Квадрант «Эксплуатация» На втором уровне находятся следующие процессы: − управление заданиями; − сетевое администрирование; − управление службой каталога; − управление хранением данных. Эти процессы описывают процессы эксплуатации конкретных подсистем. Следует отметить, что процессы квадранта «Эксплуатация» ориентиро- ваны на использование продуктов Microsoft. Квадрант «Поддержка» (MOF Supporting Quadrant) описывает процессы поддержки пользователей и ИС-службы. В нем описаны следующие процессы: − Service Desk; − управление инцидентами; − управление проблемами. Документация по процессам данного квадранта в целом соответствует содержанию аналогичных процессов ITIL, но в некоторых случаях детализиру- ются диаграммы процессов и рекомендации по их применению. 124 Квадрант «Оптимизация» (MOF Optimizing Quadrant) описывает процес- сы предоставления ИТ-сервисов и оптимизации их предоставления. В данном квадранте описаны следующие процессы: − управление уровнем предоставления ИТ-сервисов; − финансовый ИТ-менеджмент; − управление мощностями; − управление готовностью; − управление непрерывностью предоставления ИТ-сервисов; − управление персоналом ИТ-подразделений; − управление безопасностью; − оптимизация ИТ-инфраструктуры. Если первые пять процессов, в основном, соответствуют с небольшими дополнениями процессам ITIL, то процесс «Управление персоналом» базиру- ется на опыте Microsoft по управлению персоналом, мотивации, обучения и удержания квалифицированных кадров. Содержание процессов «Управление безопасностью» и «Оптимизация ИТ-инфраструктуры» содержат описание пе- редового опыта обеспечения безопасности и оптимизации ИТ-инфраструктуры. Модель групп эксплуатации формализует и описывает распределение ро- лей между участниками процесса эксплуатации ИС и обеспечение взаимодей- ствия с внешними и внутренними группами проектирования. В модели групп MOF описаны следующие роли: − группа управления изменениями в ИТ-среде; − группа управления физической инфраструктурой и инструментами управления инфраструктурой (операциями); − группа поддержки; − группа управления портфелем ИТ-сервисов; − группа управления ИТ-инфраструктурой; − группа безопасности; 125 − группа взаимодействия с поставщиками услуг и продуктов (партне- ры). Как правило роли распределяют между подразделениями ИТ-службы предприятия, но иногда они назначаются бизнес-подразделениям, внешним консультантам и партнерам. Для малых предприятий в рамках организационной структуры ИТ- службы возможны совмещения некоторых ролей сотрудниками. Рекомендации по совмещению ролей приведены в табл. 6.1 [7]. Ячейки таблицы помечены символами, имеющими следующий смысл: Д – допустимо совмещение ролей; Н/Д – не допустимо совмещение ролей; Н/Р – не рекомендуется совмещение ролей. Таблица 6.1. Возможности совмещения ролей участниками процесса эксплуатации ИС Безопасность Управление изменениями Управление инфраструктурой Поддержка Партнеры Управление операциями Управление ИТ -сервисами Безопасность Н/Р Д Н/Д Н/Р Д Н/Р Управление изменениями Н/Р Д Н/Д Д Д Н/Р Управление инфраструктурой Д Д Д Д Д Н/Р Поддержка Н/Д Н/Д Д Д Д Д Партнеры Н/Р Д Д Д Д Н/Р Управление операциями Д Д Д Д Д Д Управление ИТ-сервисами Н/Д Н/Д Н/Д Д Н/Р Д Дисциплина управления рисками эксплуатации описывает процессы вы- явления риска и принятия решений по устранению риска. При этом риском счи- тается возможность нарушения предоставления ИТ-сервиса, а управление рис- 126 ками – это регулярная деятельность, обеспечивающая актуальность мер по ми- нимизации выявленных рисков или предупреждению в каждый момент выпол- нения операций по эксплуатации. В дисциплине определены следующие этапы управления рисками: − выявление; − анализ и определение приоритетов; − планирование; − мониторинг и отчетность; − управление; − обучение. На этапе «Выявление» идентифицируют существующие риски и фикси- руют их как можно раньше. Этап анализа и определения приоритетов определяют потенциальные уг- розы от рисков и устанавливают приоритеты с целью выделения ограниченных ресурсов на снижение наиболее существенных рисков. Этап «Планирование» предполагает разработку плана действий для сни- жения влияния рисков на эксплуатацию ИС и внесение изменений в другие процессы управления ИТ-инфраструктурой с целью снижения уровня рисков. Этап «Мониторинг и отчетность» состоит в отслеживании статуса кон- кретных рисков, исполнении соответствующих им планов, подготовки отчетов для персонала и руководства о статусе наиболее опасных рисков и планов дей- ствий по управлению ими. Этап управления рисками предполагает исполнение плана действий по конкретным рискам и формирование соответствующей отчетности. На этапе «Обучение» осуществляется накопление и применение опыта управления рисками. В данной теме были рассмотрены модели уровней зрелости бизнес- процессов предприятия Capability Maturity Model, уровни зрелости ИТ- инфраструктуры, предложенные компанией Gartner, профили предприятий для 127 оптимизации ИТ-инфраструктуры, разработанные компанией IBM, уровни зре- лости ИТ-инфраструктуры предприятий, определенные в методологии компа- нии Microsoft, а также библиотеку документов Microsoft Operations Framework, ориентированную на оптимизация процессов эксплуатации информационных систем. 6.3 Вопросы для самопроверки 1. Какие уровни зрелости предприятий определены в модели CMM/СММI ? 2. Как характеризуется начальный уровень зрелости предприятия по модели CMM/СММI? 3. Как характеризуется повторяемый уровень зрелости предприятия по модели CMM/СММI? 4. Как характеризуется определенный уровень зрелости предприятия по модели CMM/СММI? 5. Как характеризуется управляемый уровень зрелости предприятия по модели CMM/СММI? 6. Как характеризуется оптимизирующий уровень зрелости предпри- ятия по модели CMM/СММI? 7. Какие уровни зрелости ИТ-инфраструктуры предложены компани- ей Gartner? 8. Какие профили предприятий для оптимизации ИТ-инфраструктуры определены компанией IBM? 9. Как характеризуется профиль commodity в модели IBM? 10. Как характеризуется профиль utility в модели IBM? 11. Как характеризуется профиль partner в модели IBM? 12. Как характеризуется профиль enabler в модели IBM? 13. Какие уровни зрелости ИТ-инфраструктуры предприятия предло- жены компанией Microsoft? 128 14. Как характеризуется базовый уровень зрелости ИТ- инфраструктуры в модели Microsoft? 15. Как характеризуется стандартизированный уровень зрелости ИТ- инфраструктуры в модели Microsoft? 16. Как характеризуется рационализированный уровень зрелости ИТ- инфраструктуры в модели Microsoft? 17. Как характеризуется динамический уровень зрелости ИТ- инфраструктуры в модели Microsoft? 18. Какие документы и руководства входят в состав библиотеки доку- ментов Microsoft Operations Framework (MOF)? 19. На каких принципах основывается модель процессов эксплуатации и функции управления услугами MOF? 20. Какие категории квадрантов входят в модель процессов MOF? 21. Какие процессы описаны в квадранте «Изменения» модели MOF? 22. Какие процессы описаны в квадранте «Эксплуатация» модели MOF? Какие процессы описаны в квадранте «Поддержка» модели MOF? 23. На какие уровни разделены процессы в квадранте «Эксплуатация»? 24. Какие процессы описаны в квадранте «оптимизация» модели MOF? 25. Какие роли участников процесса эксплуатации ИС определены в модели групп эксплуатации MOF ? 6.4 Список использованных источников 1. Пять уровней организационной зрелости предприятий по класси- фикации Capability Maturity Model / http://www.microsoft.com/Rus/Business/Vision/Strategy/Levels.mspx 2. Мильман К., Мильман С. CMMI — шаг в будущее / http://www.osp.ru/os/2005/05-06/185610/ 129 3. Колесов А. Оптимизация ИТ-инфраструктуры предприятий: подход IBM / http://www.bytemag.ru/?ID=604096 4. Бондаренко Л. Разобрался с сервисами — приступай к ERP- внедрению / http://kis.pcweek.ru/Year2004/N35/CP1251/ CorporationSystems/chapt1.htm 5. Уровни зрелости ИТ-инфраструктуры предприятия / http://www.iteam.ru/publications/it/section_91/article_3182/ 6. Решения Microsoft для повышения эффективности ИТ- инфраструктуры / Microsoft. – М.: Русская редакция, 2005. 7. MOF Team Model for Operations / http://www.microsoft.com/technet/solutionaccelerators/cits/mo/mof/moftml.mspx#E4 EAC 130 7 ТЕХНОЛОГИЯ MICROSOFT ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Процесс обеспечения безопасности относится к оперативным процессам и соответствии с библиотекой ITIL [1] и входит в блок процессов поддержки ИТ-сервисов. Нарушение безопасности информационной системы предприятия может привести к ряду негативных последствий, влияющих на уровень предос- тавления ИТ-сервисов: − снижение уровня доступности вследствие отсутствия доступа или низкой скорости доступа к данным, приложениям или службам; − полная или частичная потеря данных; − несанкционированная модификация данных; − получение доступа посторонних пользователей к конфиденциаль- ной информации. Анализ причин нарушения информационной безопасности показывает, что основными являются следующие: − ошибки конфигурирования программных и аппаратных средств ИС; − случайные или умышленные действия конечных пользователей и сотрудников ИТ-службы; − сбои в работе программного и аппаратного обеспечения ИС; − злоумышленные действия посторонних по отношению к информа- ционной системе лиц. Компания Microsoft разрабатывает стратегию построения защищенных информационных систем (Trustworthy Computing) — это долгосрочная страте- гия, направленная на обеспечение более безопасной, защищенной и надежной работы с компьютерами для всех пользователей [2]. Концепция защищенных компьютерных построена на четырех принци- пах: − безопасность, которая предполагает создание максимально защи- щенных ИТ-инфраструктур; 131 − конфиденциальность, которая подразумевает внедрение в состав и технологий и продуктов средств защиты конфиденциальности на протяжении всего периода их эксплуатации; − надежность, которая требует повышения уровня надежности про- цессов и технологий разработки программного обеспечения инфор- мационных систем; − целостность деловых подходов для укрепления доверия клиентов, партнеров, государственных учреждений. Данные принципы реализуются в программных продуктах Microsoft. Компания Microsoft предлагает обеспечивать безопасность операционных сис- тем семейства Windows с помощью технологии единого каталога (Active Direc- tory) и групповых политик. Использование групповой политики и Active Direc- tory позволяет централизовано управлять параметрами безопасности как для одного пользователя или компьютера, так и для группы пользователей, управ- лять безопасностью серверов и рабочих станций. Для решения вопросов обеспечения информационной безопасности ком- пания Microsoft предоставляет следующие технологии [3]: − Active Directory – единый каталог, позволяющий сократить число паролей, которые должен вводить пользователь; − двухэтапная аутентификация на основе открытых/закрытых ключей и смарт-карт; − шифрование трафика на базе встроенных средств операционной системы IPSec (IP Security - это комплект протоколов, касающихся вопросов шифрования, аутентификации и обеспечения защиты при транспортировке IP-пакетов); − создание защищенных беспроводных сетей на основе стандарта IEEE 802.1x; − шифрование файловой системы; − защита от вредоносного кода; 132 − организация безопасного доступа мобильных и удаленных пользо- вателей; − защита данных на основе кластеризации, резервного копирования и несанкционированного доступа; − служба сбора событий из системных журналов безопасности. 7.1 Групповые политики Управление групповыми политиками в Microsoft Windows Server 2003 позволяет администраторам задавать конфигурацию операционных систем сер- веров и клиентских компьютеров [4]. Реализуется эта функциональность с по- мощью оснастки «Редактор объектов групповой политики», общий вид которой приведен на рис. 7.1 Для компьютеров, входящих в домен Active Directory, используются групповые политики, определяющие политики безопасности, используемые в рамках сайта, домена или набора организационных единиц (OU – organizational units). Рисунок 7.1. Оснастка «Редактор объектов групповой политики» 133 Групповые политики и Active Directory позволяют: − централизованно управлять пользователями и компьютерами в масштабах предприятия; − автоматически применять политики информационной безопасно- сти; − понижать сложность административных задач (например, обновле- ние операционных систем, установка приложений); − унифицировать параметры безопасности в масштабах предприятия; − обеспечить эффективную реализацию стандартных вычислитель- ных средств для групп пользователей. При управлении безопасностью информационной системы предприятия групповая политика позволяет управлять контроллерами доменов и серверами, определять наборы параметров для конкретной группы пользователей, пара- метры защиты, сетевой конфигурации и ряд других параметров, применяемых к определенной группе компьютеров. Active Directory позволяет управлять через групповые политики любыми службами и компонентами на платформе Windows. Групповые политики Active Directory позволяют администраторам цен- трализованно управлять ИТ-инфраструктурой предприятия. С помощью груп- повой политики можно создавать управляемую ИТ-инфраструктуру информа- ционной системы. Эти возможности позволяют снизить уровень ошибок поль- зователей при модификации параметров операционных систем и приложений, а также совокупную стоимость владения информационной системы, связанную с администрированием распределенных сетей. Групповая политика позволяет создать ИТ-инфраструктуру предприятия, ориентированную на потребности пользователей, сформированных в строгом соответствии с их должностными обязанностями и уровнем квалификации. Применение групповых политик и Active Directory для сайтов, доменов и организационных единиц необходимо реализовывать с учетом следующих пра- вил: 134 − объекты групповой политики (GPO) хранятся в каждом домене ин- дивидуально; − с одним сайтом, доменом или организационной единицей может быть сопоставлено несколько GPO; − с несколько сайтов, доменов или организационных единиц могут использовать единственную GPO; − любому сайту, домену или организационной единице можно сопос- тавить любую GPO; − параметры, определяемые GPO, можно фильтровать для конкрет- ных групп пользователей или компьютеров на основе их членства в группах безопасности или с помощью WMI-фильтров. При администрировании ИТ-инфраструктуры предприятия администра- торы посредством механизма групповой политики могут производить настрой- ку приложений, операционных систем, безопасность рабочей среды пользова- телей и информационных систем в целом. Для этого используются следующие возможности: − политика на основе реестра. С помощью редактора объектов груп- повой политики можно задать параметры в реестре для приложе- ний, операционной системы и её компонентов (например админист- ратор может удалить из главного меню значок «Моя музыка», что представлено на рис. 7.2); − параметры безопасности. Администраторы могут указывать пара- метры локальной, доменной и сетевой защиты для компьютеров и пользователей в области действия GPO, используя шаблоны безо- пасности (рис 7.3); 135 Рисунок 7.2. Удаление значка из главного меню профиля пользователя Рисунок 7.3. Оснастка Политика учетных записей шаблонов безопасности 136 − ограничения на использование программ. Данные ограничения предназначены для защиты от вирусов, выполнения нежелательных программ и атак на компьютеры; − распространение и установка программ. Обеспечивается возмож- ность централизованного управления установкой, обновлением и удалением приложений; − сценарии для компьютеров и пользователей. Данные средства по- зволяют автоматизировать операции, выполняемые при запуске и выключении компьютера, при входе и выходе пользователя; − мобильные пользовательские профили и перенаправление папок. Профили хранятся на сервере и позволяют загружаться на тот ком- пьютер, где пользователь входит в систему. Перенаправление папок позволяет размещать важные для пользователя папки на сервере; − автономные папки. Данный механизм позволяет создавать копии сетевых папок, синхронизировать их с сетью и работать с ними при отключении сети; − поддержка Internet Explorer. Эта возможность позволяет админист- раторам проводить управление конфигурацией Microsoft Internet Explorer на компьютерах с поддержкой групповой политики. Для общего контроля применения групповой политики используются ме- ханизм WMI – фильтров (Windows Management Instrumentation). Данное реше- ние позволяет администраторам создавать и модифицировать WMI – запросы для фильтрации параметров безопасности, определяемых групповыми полити- ками. WMI – фильтры позволяют динамически задавать область действия груп- повой политики на основе атрибутов целевого компьютера. Применение механизма групповой политики для ИТ-инфраструктуры предприятия способствует снижению сложности решения задач развертывания обновлений, установки приложений, настройки профилей пользователей и, в целом, администрирования информационной системы. Применение групповой 137 политики в информационной системе предприятия дает следующие преимуще- ства: − повышение эффективности использования инфраструктуры Active Directory; − повышение гибкости выбора области администрирования для пред- приятий, различающихся по размеру и отраслевой принадлежности, при происходящих изменениях в бизнесе; − наличие интегрированного средства управления групповой полити- кой на основе консоли GPMC; − простота в использовании, которая обеспечивается удобным и по- нятным пользовательским интерфейсом консоли GPMC, что приво- дит к сокращению расходов на обучение и повышает эффектив- ность руда администраторов; − надежность и безопасность действий администраторов за счет ав- томатизации процесса ввода групповых политик в действие; − централизованное управление конфигурациями на основе стандар- тизации пользовательских вычислительных сред. |