лекция. Понятие итсервиса. Функциональные области управления службой ис
 Скачать 386.78 Kb.
|
 Рис. 1. Модель процессов MOF  Рис. 2. Квадрант "Эксплуатация" На втором уровне находятся следующие процессы: управление заданиями; сетевое администрирование; управление службой каталога; управление хранением данных. Эти процессы описывают процессы эксплуатации конкретных подсистем. Следует отметить, что процессы квадранта "Эксплуатация" ориентированы на использование продуктов Microsoft. Квадрант "Поддержка" (MOF Supporting Quadrant) описывает процессы поддержки пользователей и ИС-службы. В нем описаны следующие процессы: Service Desk; управление инцидентами; управление проблемами. Документация по процессам данного квадранта в целом соответствует содержанию аналогичных процессов ITIL, но в некоторых случаях детализируются диаграммы процессов и рекомендации по их применению. Квадрант "Оптимизация" (MOF Optimizing Quadrant) описывает процессы предоставления ИТ-сервисов и оптимизации их предоставления. В данном квадранте описаны следующие процессы: управление уровнем предоставления ИТ-сервисов; финансовый ИТ-менеджмент; управление мощностями; управление готовностью; управление непрерывностью предоставления ИТ-сервисов; управление персоналом ИТ-подразделений; управление безопасностью; оптимизация ИТ-инфраструктуры. Если первые пять процессов, в основном, соответствуют с небольшими дополнениями процессам ITIL, то процесс "Управление персоналом" базируется на опыте Microsoft по управлению персоналом, мотивации, обучения и удержания квалифицированных кадров. Содержание процессов "Управление безопасностью" и "Оптимизация ИТ-инфраструктуры" содержат описание передового опыта обеспечения безопасности и оптимизации ИТ-инфраструктуры. Модель групп эксплуатации формализует и описывает распределение ролей между участниками процесса эксплуатации ИС и обеспечение взаимодействия с внешними и внутренними группами проектирования. В модели групп MOF описаны следующие роли: группа управления изменениями в ИТ-среде; группа управления физической инфраструктурой и инструментами управления инфраструктурой (операциями); группа поддержки; группа управления портфелем ИТ-сервисов; группа управления ИТ-инфраструктурой; группа безопасности; группа взаимодействия с поставщиками услуг и продуктов (партнеры). Как правило роли распределяют между подразделениями ИТ-службы предприятия, но иногда они назначаются бизнес-подразделениям, внешним консультантам и партнерам. Для малых предприятий в рамках организационной структуры ИТ-службы возможны совмещения некоторых ролей сотрудниками. Рекомендации по совмещению ролей приведены в таблице 1 . Ячейки таблицы помечены символами, имеющими следующий смысл: Д – допустимо совмещение ролей; Н/Д – не допустимо совмещение ролей; Н/Р – не рекомендуется совмещение ролей.
Дисциплина управления рисками эксплуатации описывает процессы выявления риска и принятия решений по устранению риска. При этом риском считается возможность нарушения предоставления ИТ-сервиса, а управление рисками– это регулярная деятельность, обеспечивающая актуальность мер по минимизации выявленных рисков или предупреждению в каждый момент выполнения операций по эксплуатации. В дисциплине определены следующие этапы управления рисками: выявление; анализ и определение приоритетов; планирование; мониторинг и отчетность; управление; обучение. На этапе "Выявление" идентифицируют существующие риски и фиксируют их как можно раньше. Этап анализа и определения приоритетов определяют потенциальные угрозы от рисков и устанавливают приоритеты с целью выделения ограниченных ресурсов на снижение наиболее существенных рисков. Этап "Планирование" предполагает разработку плана действий для снижения влияния рисков на эксплуатацию ИС и внесение изменений в другие процессы управления ИТ-инфраструктурой с целью снижения уровня рисков. Этап "Мониторинг и отчетность" состоит в отслеживании статуса конкретных рисков, исполнении соответствующих им планов, подготовки отчетов для персонала и руководства о статусе наиболее опасных рисков и планов действий по управлению ими. Этап управления рисками предполагает исполнение плана действий по конкретным рискам и формирование соответствующей отчетности. На этапе "Обучение" осуществляется накопление и применение опыта управления рисками. Технология MICROSOFT обеспечения информационной безопасности Групповые политики. Процесс обеспечения безопасности относится к оперативным процессам и, в соответствии с библиотекой ITIL, входит в блок процессов поддержки ИТ-сервисов. Нарушение безопасности информационной системы предприятия может привести к ряду негативных последствий, влияющих на уровень предоставления ИТ-сервисов: снижение уровня доступности вследствие отсутствия доступа или низкой скорости доступа к данным, приложениям или службам; полная или частичная потеря данных; несанкционированная модификация данных; получение доступа посторонних пользователей к конфиденциальной информации. Анализ причин нарушения информационной безопасности показывает, что основными являются следующие: ошибки конфигурирования программных и аппаратных средств ИС; случайные или умышленные действия конечных пользователей и сотрудников ИТ-службы; сбои в работе программного и аппаратного обеспечения ИС; злоумышленные действия посторонних по отношению к информационной системе лиц. Компания Microsoft разрабатывает стратегию построения защищенных информационных систем (Trustworthy Computing) - это долгосрочная стратегия, направленная на обеспечение более безопасной, защищенной и надежной работы с компьютерами для всех пользователей. Концепция защищенных компьютерных систем построена на четырех принципах: безопасность, которая предполагает создание максимально защищенных ИТ-инфраструктур; конфиденциальность, которая подразумевает внедрение в состав и технологий и продуктов средств защиты конфиденциальности на протяжении всего периода их эксплуатации; надежность, которая требует повышения уровня надежности процессов и технологий разработки программного обеспечения информационных систем; целостность деловых подходов для укрепления доверия клиентов, партнеров, государственных учреждений. Данные принципы реализуются в программных продуктах Microsoft. Компания Microsoft предлагает обеспечивать безопасность операционных систем семейства Windows с помощью технологии единого каталога (Active Directory) и групповых политик. Использование групповой политики и Active Directory позволяет централизовано управлять параметрами безопасности как для одного пользователя или компьютера, так и для группы пользователей, управлять безопасностью серверов и рабочих станций. Для решения вопросов обеспечения информационной безопасности компания Microsoft предоставляет следующие технологий: Active Directory – единый каталог, позволяющий сократить число паролей, которые должен вводить пользователь; двухэтапная аутентификация на основе открытых/закрытых ключей и смарт-карт; шифрование трафика на базе встроенных средств операционной системы IPSec (IP Security - это комплект протоколов, касающихся вопросов шифрования, аутентификации и обеспечения защиты при транспортировке IP-пакетов); создание защищенных беспроводных сетей на основе стандарта IEEE 802.1x; шифрование файловой системы; защита от вредоносного кода; организация безопасного доступа мобильных и удаленных пользователей; защита данных на основе кластеризации, резервного копирования и ограничения несанкционированного доступа; служба сбора событий из системных журналов безопасности. Управление групповыми политиками в Microsoft Windows Server 2003 позволяет администраторам задавать конфигурацию операционных систем серверов и клиентских компьютеров. Реализуется эта функциональность с помощью оснастки "Редактор объектов групповой политики", общий вид которой приведен на рис. 3  Рис. 3. Оснастка "Редактор объектов групповой политики" Для компьютеров, входящих в домен Active Directory, используются групповые политики, определяющие политики безопасности, используемые в рамках сайта, домена или набора организационных единиц (OU – organizational units). Групповые политики и Active Directory позволяют: централизованно управлять пользователями и компьютерами в масштабах предприятия; автоматически применять политики информационной безопасности; понижать сложность административных задач (например, обновление операционных систем, установка приложений); унифицировать параметры безопасности в масштабах предприятия; обеспечить эффективную реализацию стандартных вычислительных средств для групп пользователей. При управлении безопасностью информационной системы предприятия групповая политика позволяет управлять контроллерами доменов и серверами, определять наборы параметров для конкретной группы пользователей, параметры защиты, сетевой конфигурации и ряд других параметров, применяемых к определенной группе компьютеров. Active Directory позволяет управлять через групповые политики любыми службами и компонентами на платформе Windows. Групповые политики Active Directory позволяют администраторам централизованно управлять ИТ-инфраструктурой предприятия. С помощью групповой политики можно создавать управляемую ИТ-инфраструктуру информационной системы. Эти возможности позволяют снизить уровень ошибок пользователей при модификации параметров операционных систем и приложений, а также совокупную стоимость владения информационной системы, связанную с администрированием распределенных сетей. Групповая политика позволяет создать ИТ-инфраструктуру предприятия, ориентированную на потребности пользователей, сформированных в строгом соответствии с их должностными обязанностями и уровнем квалификации. Применение групповых политик и Active Directory для сайтов, доменов и организационных единиц необходимо реализовывать с учетом следующих правил: объекты групповой политики (GPO) хранятся в каждом домене индивидуально; с одним сайтом, доменом или организационной единицей может быть сопоставлено несколько GPO; с нескольких сайтов, доменов или организационных единиц могут использовать единственную GPO; любому сайту, домену или организационной единице можно сопоставить любую GPO; параметры, определяемые GPO, можно фильтровать для конкретных групп пользователей или компьютеров на основе их членства в группах безопасности или с помощью WMI-фильтров. При администрировании ИТ-инфраструктуры предприятия администраторы посредством механизма групповой политики могут производить настройку приложений, операционных систем, безопасность рабочей среды пользователей и информационных систем в целом. Для этого используются следующие возможности: политика на основе реестра. С помощью редактора объектов групповой политики можно задать параметры в реестре для приложений, операционной системы и её компонентов (например, администратор может удалить из главного меню значок "Моя музыка", что представлено на рис. 4;) параметры безопасности. Администраторы могут указывать параметры локальной, доменной и сетевой защиты для компьютеров и пользователей в области действия GPO, используя шаблоны безопасности нарис. 5); Рис. 4 Удаление значка из главного меню профиля пользователя  Рис. 5. Оснастка Политика учетных записей шаблонов безопасности ограничения на использование программ. Данные ограничения предназначены для защиты от вирусов, выполнения нежелательных программ и атак на компьютеры; распространение и установка программ. Обеспечивается возможность централизованного управления установкой, обновлением и удалением приложений; сценарии для компьютеров и пользователей. Данные средства позволяют автоматизировать операции, выполняемые при запуске и выключении компьютера, при входе и выходе пользователя; мобильные пользовательские профили и перенаправление папок. Профили хранятся на сервере и позволяют загружаться на тот компьютер, где пользователь входит в систему. Перенаправление папок позволяет размещать важные для пользователя папки на сервере; автономные папки. Данный механизм позволяет создавать копии сетевых папок, синхронизировать их с сетью и работать с ними при отключении сети; поддержка Internet Explorer. Эта возможность позволяет администраторам проводить управление конфигурацией Microsoft Internet Explorer на компьютерах с поддержкой групповой политики. Для общего контроля применения групповой политики используются механизм WMI – фильтров (Windows Management Instrumentation). Данное решение позволяет администраторам создавать и модифицировать WMI – запросы для фильтрации параметров безопасности, определяемых групповыми политиками. WMI – фильтры позволяют динамически задавать область действия групповой политики на основе атрибутов целевого компьютера. Применение механизма групповой политики для ИТ-инфраструктуры предприятия способствует снижению сложности решения задач развертывания обновлений, установки приложений, настройки профилей пользователей и, в целом, администрирования информационной системы. Применение групповой политики в информационной системе предприятия дает следующие преимущества: повышение эффективности использования инфраструктуры Active Directory; повышение гибкости выбора области администрирования для предприятий, различающихся по размеру и отраслевой принадлежности, при происходящих изменениях в бизнесе; наличие интегрированного средства управления групповой политикой на основе консоли GPMC; простота в использовании, которая обеспечивается удобным и понятным пользовательским интерфейсом консоли GPMC, что приводит к сокращению расходов на обучение и повышает эффективность труда администраторов; надежность и безопасность действий администраторов за счет автоматизации процесса ввода групповых политик в действие; централизованное управление конфигурациями на основе стандартизации пользовательских вычислительных сред. Безопасный доступ в сеть ИТ-инфраструктура предприятия может включать интрасети, сайты в интернете и экстрасети. Многие компоненты такой инфраструктуры являются потенциально уязвимыми перед попытками неавторизованного доступа со стороны злоумышленников. Контроль и управление идентификацией пользователей может быть осуществлен на базе инфраструктуры открытых ключей. Инфраструктура открытых ключей PKI (public key infrastructure) – это системы цифровых сертификатов, центров сертификации CA (certification authorities) и других центров регистрации RA (registration authorities), которые идентифицируют (проверяют подлинность) каждой стороны, участвующей в электронной транзакции, с применением шифрования открытым ключом (public key). В Microsoft Server 2003 политику открытых ключей можно задавать с помощью оснастки MMC - Политика открытого ключа (рис.6) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||