Для защиты информации применяется 4 основных метода, при этом наибольший эффект будет достигнут при комплексном применении. Вот эти методы:
Что предлагает наша компания? Это комплекс из указанных мер по защите информации. В зависимости от решаемых задач применяются разные наборы методов в комплексе или по отдельности. По нашему опыту, наиболее часто используются законодательные, организационные и программные методы защиты. Для этого нами был создан филиал в Израиле, являющейся одной и передовых в развитии телекоммуникационной сферы, и как следствие обладающей развитой ИТ-структурой.
Кроме того, права и свобода людей в этой стране, стоят на первом месте, поэтому все спорные ситуации решаются через суд, без предварительного изъятия оборудования. В подавляющем большинстве случаев суд Израиля встает на сторону резидентов, перед запросами извне. Еще одним немаловажным преимуществом этой страны является большое количестве русскоговорящих жителей – иммигрантов из стран бывшего СССР с хорошим инженерным образованием.
Поэтому мы создали в Израиле свой филиал, в местном дата-центре разместили свое оборудование, отказавшись от аренды готовой инфраструктуры, подразумевающей дополнительные риски и ограничения масштабируемости, и теперь предоставляем возможность размещения данных на серверах в Израиле. Техническая поддержка так же вынесена за пределы РФ, полностью закрывая контур безопасности, при этом она русскоязычная.
Обязательное аппаратное шифрование каналов связи, удаленный доступ вне офиса с помощью аппаратных ключей eTolken, шифрование резервных копий, опциональное шифрование разделов жесткого диска создают технический контур безопасности нашего решения.
Одной из главных характеристик наших серверов является их отказоустойчивость. Поэтому архитектура предлагаемого решения построена на кластерной технологии, с применением современной системы хранения данных (СХД) компании IBM в ядре и виртуализации для независимости от серверного «железа».
Как было описано выше – ядром отказоустойчивого решения является система хранения данных. СХД – это специализированное оборудование для хранения и обеспечение доступа к данным, отличительной особенностью которого является сверхнадежность и очень высокая скорость чтения и записи. По сути это массив внешних жестких дисков, вынесенных за пределы сервера. Подобная топология позволяет с легкостью заменять вышедшее из строя серверное «железо» без остановки системы, так как отсутствует привязка данных и операционной системы к конкретному серверу.
Сверхнадежность СХД достигается за счет дублирования абсолютно всех компонентов, включая системные платы и возможностью встроенного программного обеспечения мгновенно переключать потоки данных на дублирующие компоненты. Добавим к этому сервисные контракты с производителем, обязывающие вендор заменить любой компонент в течение 4-24 часов (в зависимости от уровня контракта) и мы получим практически безотказную систему. Высокая скорость, достигается за счет высокопроизводительных контроллеров, большого объёма кэш-памяти и самое главное большого количества дисков, позволяющих записывать и считывать блоки информации параллельно на множество дисков.
Установив, надежную и быструю систему хранения данных, необходимо продумать и внедрить отказоустойчивое подключение этой системы непосредственно к серверам. Для этого применяется технология Fiber Chennel, обеспечивающая скоростную связь между серверами и СХД. По сути это замена привычному в обычном ПК или сервере стандарту SATA или SAS, применяемому для подключения дисков внутри компьютера. Fiber Chennel работает по оптическому кабелю со скоростью 8 Гбит в секунду, позволяя дублировать маршруты между сервером и СХД. Топология подобной сети приведена на рисунке ниже.
Рисунок 1 – Топология отказоустойчивой системы
Помимо технических сбоев оборудования необходимо предусмотреть сбои программного обеспечения. Для этого применяется технология кластеризации приложений (программ). Суть ее – это дублирование роли какого-нибудь критичного приложения, например web-сервера или SQL-сервера между двумя и более серверами, физическими или виртуальными.
Главное, чтобы дублируемые роли находились на разных операционных системах. Тогда в случае «краха» одной операционной системы или критической ошибки приложения, обслуживание запросов автоматически возьмет на себя резервный или параллельный (в зависимости от реализации кластера) сервер-нода кластера. Тем самым мы достигаем повышенной отказоустойчивости на уровне операционных систем.
Теперь для окончательного создания надежной системы с уровнем доступности 99,98% в год необходимо обеспечить надежность инфраструктуры ИТ-оборудования, а так же интернета. Под инфраструктурой подразумевается гарантирование электропитание, теплооотвод, защита от пыли и других внешних воздействий. Решение этой задачи предоставляют специализированные дата-центры. Современный дата-центр – это сложная технологическая система, состоящая из множества узлов, цель которых обеспечить идеальные условия для работы серверов и другого оборудования.
Дата центры согласно стандарту TIA EIA 942 делятся на 4 класса по уровню надежности:
В России дата центров класса Tier IV нет, потому что уровень затрат на него пока не окупает надежность работы. Общую концепцию Tier IV можно описать как 2*(N+1), где N – необходимый для работы комплекс оборудования. Концепция Tier III – это (N+1), как видно из формулы цена такого ДЦ получается почти в 2 раза дешевле, а уровень надежности ненамного меньше. Поэтому наше оборудование размещено в дата-центре уровня Tier III.
Резервное копирование – типовой функционал любого облачного сервиса. Однако в свое время, когда наша компания только развивалась, мы размещали свой сайт у хостинг-провайдера. Однажды произошел сбой и сайт был поврежден. Мы обратились за резервной копией к нашему поставщику услуг и выяснилось, что по каким-то причинам актуального бэкапа нет.
Мы конечно поменяли провайдера после такого инцидента, но восстанавливать утерянные данные все равно пришлось вручную. Поэтому мы разработали для наших клиентов следующую схему, которая могла бы уберечь наших клиентов от подобной ситуации.
Мы предлагаем нашим клиентам автоматическое резервное копирование с уведомлением об успешном или не успешном копировании на любой сетевой носитель клиента. Бэкап делается ночью с заранее оговоренной периодичностью в шифрованном виде, после чего высылается отчет либо на почту, либо по SMS.
Тем самым клиент может контролировать процесс создания резервных копий и быть спокоен, что копия его данных всегда у него в наличии. Он не является нашим «заложником». В случае необходимости, мы можем настроить эти уведомления на наши типовые бэкапы, если клиенту не требуется копирование данных на собственный носитель.
Еще одним преимуществом нашей технологии резервного копирования является развитая система дополнительных резервных копий, охватывающая глубину бэкапов до полугода. Из опыта работы с клиентами мы выяснили, что иногда требуется поднять бэкап базы данных недельной, месячной или даже полугодовой давности, чтобы проверить корректность какой-нибудь проводки или данных, ошибка в которые могла закрасться очень давно.
Накопленный совместно с нашими партнерами по аутсорсинговому бухгалтерскому обслуживанию опыт мы учли в нашей типовой схеме резервного копирования и теперь готовы предложить ее Вам.
Наш подход к техподдержке отличается от подхода большинства аналогичных компаний. Свой продукт мы рассматриваем как единое целое с интернет каналами и удаленной печатью. Мы руководствуемся принципом: зачем нашему клиенту нужен удаленный сервер, если у него нестабильно работает интернет или система удаленной печати дает сбои? Поэтому берем на себя ответственность за администрирование каналообразующего оборудования клиента (роутеров), взаимодействия с интернет-провайдерами заказчика, и системы удаленной печати, расположенной на территории клиента.
На самом деле все это весьма логично, нам будет гораздо проще объяснить интернет провайдеру, что от него требуется для хорошей работы нашего продукта, и мы сможем донести аргументированные доказательства «плавающих» проблем канала до инженеров провайдера. Система удаленной печати так же оказывается узким местом подобных решений в связи с громадным разнообразием печатающих устройств, поэтому мы уделяем ей самое пристальное внимание во время внедрения и дальнейшего обслуживания.
Еще одним отличием нашего обслуживания является то, что наша компания изначально развивалась как сервисная, нежели как хостинг-провайдер. В процессе развития мы создали направление хостинга приложений на своих серверах, при этом сохранили персонал и клиенто-ориентированный подход, присущий обслуживающим компаниям. В большинстве своем классические хостинг-провайдеры укомплектованы очень хорошими ИТ-инженерами, но их немного, и работать с пользовательскими проблемами они не любят, так как это, по их мнению, недооценка их знаний и умений. Наши инженеры техподдержки специально обученные и мотивированные для работы с пользовательскими проблемами.
Система мотивации наших инженеров техподдержки построена на добровольно-принудительном обучении и аттестации в компаниях Microsoft и Cisco. Наших клиентов обслуживают сертифицированные этими производителями сотрудники, что очень положительно сказывается на качестве техподдержки. Наш принцип: квалифицированные сотрудники – высокое качество обслуживания!
Ну и последнее, для удобства наших клиентов в компании создана служба круглосуточной оперативной поддержки пользователей, т.е. в любое время вы сможете обратится к нам с проблемой или за консультацией. Начало работы с нашим продуктом начинается с процесса внедрения, в ходе которого составляется детальное техническое задание и прописываются цели внедрения.
Чтобы избежать сбоев при запуске удаленного сервера 1С, создается прототип новой системы в которую закачиваются все данные клиента и совместно с клиентом проводится тестирование, после которого исправляются найденные проблемы. После утверждения прототипа происходит обновление всех данных на актуальные, и пользователи начинают работать на сервере. Такой подход позволят избежать проблем при старте новой системы и минимизировать стресс для пользователей в первые дни работы.
Предлагаемое нами решение позволяет не только обезопасить данные от изьятия, но и создать контур безопасности от утечек данных как извне, так и изнутри. Всем известно, что в современный век высоких технологий информация правит миром. Клиентские базы, информация о поставщиках, информация о себестоимости товаров могут дать дополнительное преимущество конкурентам и ослабить ваши позиции. Поэтому пренебрегать хотя бы базовыми мерами защиты не следует, тем более они не такие уж дорогие.
На защите извне останавливаться не будем, так как для малого и среднего бизнеса взлом извне с утечкой данных маловероятен, да и базовый уровень защиты у большинства хостинг-провайдеров на хорошем уровне.
Основой любой защиты информации является разграничение прав доступа к информации тем или иным сотрудникам. Если нет доступа к информации, то и нет возможности ее похитить. Но помимо разграничения доступа необходимо построить и техническую защиту, чтобы злоумышленник банально не скачал всю базу данных, даже не имея никаких прав доступа непосредственно к ней.
Мы предлагаем следующие решение – наш удаленный сервер можно настроить таким образом, что пользователи не смогут через него выходить в интернет, тем самым перекрывается возможность утечки информации через интернет.
Следующий шаг – заблокировать возможность всем скачивать информацию с сервера на свой компьютер за исключением ответственных сотрудников. Оставить только возможность закачки данных. Остальные пользователи пусть работают на сервере, вся информация и инструменты для работы там есть. Особенно это актуально в региональных офисах, удаленных от руководства компании.
Далее следует установить системы мониторинга за почтовыми отправлениями (так как от почты отказаться невозможно, однако это возможность для утечки) и за действиями пользователей, протоколирующее любые их шаги. Внедрив такую систему, мы получим инструменты, позволяющие отследить, какие данные открывал пользователей и когда, что распечатывал, какие действия выполнял в своем сеансе в течение рабочего дня, получить серию скриншотов его удаленного экрана, вплоть до записи видео в случае необходимости.
Как видно из описания, помимо функции журналирования, эту систему мониторинга можно использовать для учета рабочего времени сотрудника и оценить его загрузку в рабочее время, сколько сотрудник, потратив фактически времени на выполнение поставленной задачи.
Ну и последнюю возможность, которую хотелось бы отметить – это использование удаленного сервера для обучения и демонстраций для региональных сотрудников. В технологии есть возможность подключения к сессиям пользователей и более опытный сотрудник может проконсультировать своего регионального коллегу, демонстрирую правильные действия с программой непосредственно у него на экране.
Более подробно об этих технологиях написано в статье: «Облачный сервер как средство контроля работы и обучения персонала»
Предлагаемое нами решение позволяет в случае необходимости произвести экстренное отключение удаленного сервера несколькими способами:
с помощью специального ярлыка на рабочем столе;
с помощью СМС на заданный номер;
с помощью аварийной кнопки, подключенной к специальному Ethernet-преобразователю, передающего информацию на сервер;
с помощью телефонного звонка.
В процессе эксплуатации решения, чтобы минимизировать последствия от случайного активирования механизма аварийного отключения, мы предусмотрели отключение не сервера, а сетевых интерфейсов. Благодаря этому решению, после восстановления доступа к серверу, активные сессии остаются работающими, и все не сохраненные данные не пропадают. Человек продолжает работать с того места, на котором закончил.
Закажите звонок специалиста!
Оставьте свои данные для того, чтобы специалист с вами связался.
