Сергей Катышев
Компания TOPS, Москва
serguey@ tops-msk.com

Основной слой
Второй слой
Третий слой
Конкретная реализация модели

Современную концепцию управления Инфомационными Технологиями (ИТ) можно представить в виде трехслойного пирога. В основании его находится слой управления сетями, средний слой - управление системами и верхушка - управление информационным сервисом. Если в каком- нибудь слое не хватает компонентов - страдает вкус всего пирога.

Основной слой

Управление сетями включает в себя мониторинг и управление элементами сети:

  • активными сетевыми компонентами (маршрутизаторами, коммутаторами (switches), концентраторами, коммутируемыми разветвителями) и линиями их привязки;
  • программным обеспечением активных компонентов;
  • узлами сети, которые образуют информационную структуру корпорации: активными (с точки зрения предоставления информации) серверами файлов, приложениями и базами данных, а также пассивными (с точки зрения потребления информации ) клиентскими местами (ПК и рабочими станциями);
  • людьми обслуживающими и использующими элементы сети.

Фактически нижний слой представляет собой магистраль для передачи данных.

Принимая во внимание модель управления сетями, предложенную стандартом OSI, будем рассматривать следующие "вкусовые компоненты" (функции) данного слоя:

  • поиск и устранение неисправностей, мониторинг статуса состояния сети, средства генерации сообщений об ошибках и предупреждениях. Здесь выполняется трассировка тестирующих действий и ошибочных ситуаций, ведутся журналы по уведомлению, событиям системы и их корреляции. Должна быть предусмотрена возможность получения отчетов. По всем перечисленным действиям должны составляться отчеты;
  • управление конфигурацией и динамическими изменениями, включая их отслеживание. Должно обеспечиваться централизованное управление конфигурированием;
  • управленеие учетом - ведение статистики использования сетевых ресурсов, может применяться для оценки стоимости использования и установки лимитов;
  • управление безопасностью - обеспечение защиты сети от несанкционированного доступа, неправомерного использования и других деструктивных воздействий. Эта функция включает авторизацию, контроль доступа, шифрование и управление ключами, security log и управление рисками;
  • управление производительностью для обеспечения системных менеджеров и управляющего сетью персонала статистической информацией о времени отклика, полосе пропускания, нагрузке, сетевых ошибках.

Второй слой

Управление системами включает в себя мониторинг и управление элементами, входящими в состав систем: ОС, базы данных, промежуточное ПО, бизнес приложения, обслуживающий системы персонал и пользователи - суть их компоненты. Акцент, по сравнению с первым слоем, смещается на системы обработки данных. По отношению к ним тоже можно применить стандарт OSI:

  • обнаружение и коррекция ошибок, мониторинг статуса состояния систем, средства генерации сообщений об ошибках и предупреждениях. Здесь выполняется трассировка тестирующих действий и ошибочных ситуаций, ведутся журналы по уведомлению, событиям системы и их корреляции. Должна быть предусмотрена возможность получения отчетов по всем перечисленным действиям;
  • управление конфигурацией и динамическими изменениями, включая их отслеживание. Должно обеспечиваться централизованное управление конфигурированием;
  • управленеие учетом - получение статистики использования системных ресурсов пользователями, может применяться для оценки стоимости использования и установления лимитов;
  • управление безопасностью системы в целом. Эта функция включает централизованное администрирование пользователей, авторизацию (для Internet/intranet), контроль доступа (на уровне ресурсов системы), шифрование ( для защиты выполнения действий в системе), управление ключами (для подтверждения подлинности), security log, управление рисками;
  • управление производительностью для обеспечения системных менеджеров и управленческого персонала статистической информацией о времени отклика, нагрузке, системных ошибках.

Третий слой

Это "верхушка пирога", она видна всем, поэтому должна быть понятна и полезна не только техническому персоналу, но прежде всего потребителю -покупателю информационного сервиса.

В управление сервисом ИТ входит мониторинг и управление инфраструктурой ИТ и предоставляемым сервисом в контексте основных бизнес-процессов предприятия. Управление сервисом ИТ соответствует стандартам содержащимся в ITIL (Information Technology Infrastructure Library) и может служить инструментом сертификации предприятия по ISO9000. Управленеие сервисом состоит из 8 модулей образующих законченное решение:

  • управление уровнем сервиса - обеспечивает возможность качественного и количественного измерения предоставленного сервиса; предоставляет средства для определения сервиса в соответствии с описанием технических ресурсов, необходимых для его осуществления и требуемого уровня их доступности; проверяет, достигнут ли требуемый уровень обслуживания. ( При превышении порога для времени отклика соответствующего сервиса специалист по ИТ может уведомить технический персонал и/или эскалировать проблему, в тоже время пользователь, у которого возникла проблема должен иметь полную информацию о способе ее разрешения);
  • управление конфигурацией - используется для описания конфигурации и взаимоотношений отдельных частей инфраструктуры. Записи о частях конфигурации: аппаратура, ПО, сетевые компоненты и документация могут регистрироваться, обслуживаться, структуризироваться и разноситься по категориям. Может использоваться опциональный модуль обслуживания для обеспечения аудита конфигурации. Данные по инфраструктуре, хранящиеся в модуле дожны быть доступны из остальных модулей Управления Сервисом;
  • управление доской подсказок - регистрирует запрос о необходимости помощи и все действия по его обслуживанию. Обработка происходит по следующему алгоритму: регистрация; ассоциация запроса с записью в общей базе конфигурации системы, к которой имеет отношение запрос, диспетчеризация запроса и направление его соответствующему специалисту по ИТ.

Описанный процесс полностью автоматизирован и интегрирован с Управленеием Уровнем Сервиса и Управлением Конфигурацией. Когда запрос не обрабатывается до конца, задача передается модулю Управление Проблемами.

В контексте Управления Сервисом проблема - это не полностью обслуженный запрос в ответ на "подсказку". Если HelpDesk фиксирует первоначальный инцидент и старается обслужить клиента как можно быстрее, то Problem Manager выясняет глубинные причины возникновения проблемы и предлагает корректирующие воздействия, чтобы на будущее предотвратить возникновение подобной ситуации. Когда решение об изменении конфигурации в качестве корректирующего действия принято, задача передается модулю Управление Изменениями.

Управление Изменениями - модуль, позволяющий эффективно планировать и вводить в действие изменения инфраструктуры ИТ без потери качества предоставляемого сервиса. В этот модуль встроены средства моделирования и анализа предлагаемого изменения конфигурации с точки зрения качества предоставляемого сервиса.

Модуль Управления дистрибуцией и контролем использования ПО - предназначен для наблюдения за программными продуктами на всем протяжении их жизненного цикла, начиная от разработки до дистрибуции и имплементации. Управление осуществляется путем регистрации программного продукта в соответствующей базе модуля Управление Конфигурацией. Модуль Управление Процессом дистрибуции и контроля использования ПО тесно игтегрирован с модулями Управление Конфигурацией и Управление Изменениями.

Модуль Управление ценой - используется для оценки уровня предоставляемого сервиса, который должен быть первоначально согласован с клиентом. Имеет средства проверки соответствия уровня предоставленного клиенту сервиса первоначально заявленному.

Управление Отчетами - модуль создания отчетов о работе Системы Управления Сервисом.

На рис. 1 представлена описанная архитектура с учетом взимоотношения отдельных частей и обьединения однородных функций для различных слоев.

Picture 1.

Рисунок 1.
Архитектура системы управления распределенными ресурсами

На всех уровнях (особенно на третьем) модуль Управление Проблемами должен иметь возможность ранжировать события (или проблем) причем через уровни.

Рассмотрим теперь некоторые конкретные реализации для различных слоев нашей концептуальной модели.

Конкретная реализация модели

На рис. 2 приведена схема решения от HP.

Picture 2.

Рисунок 2.
Структура решения от HP

Слой Управление Сетью. Для этого слоя наиболее полные решения предлагает HP, а если речь идет об Управлении Сетью, то OpenView - это лучший вариант.

Слой Управление Системами:

  • управление проблемами - OpenView IT/Operation + ManageX( для NT);
  • управление конфигурацией и динамическими изменениями -OpenView IT/Administartion, HP AssetView + интеграция с Microsoft SMS;
  • управление производительностью - OpenView MeasureWare/PerfView;
  • управление SD&C - OpenView Software Distributor, для NT SMS или Desktop Administrator.

В рамках системы Управления Безопасностью хотелось бы иметь решения, способные обеспечить:

  • глобальное администрирование пользователей;
  • единый вход в систему (Single Sign-On)и защиту рабочей станции клиента;
  • защиту для клиент-серверных приложений;
  • защиту для приложений СУБД;
  • защищенный режим работы почтовых систем;
  • безопасность для мобильных клиентов;
  • интеграцию с SecureID;
  • интеграцию с TACACS+ и RADIUS;
  • работу с тонкими клиентами (Thin Clients);
  • безопасность виртуальных частных сетей.

Управление Безопасностью представлено сегодня следующими приложениями: HP Praesidium/Single Sign-On , HP Praesidium/ Authorization Server и HP Praesidium/Security Service.

HP Praesidium/Single Sign-On: desktop client (реализации Windows 3.x, Windows 95, NT 4.0, DCE connectivity только для Windows 95 и NT) обеспечивает одношаговый login в:

  • HP-UX для Internet сервиса и доступа к базам данных (ORACLE);
  • сетевые операционные системы (Novell NetWare v3 и v4, Microsoft LAN Manager, PC-NFS Pro);
  • DCE.

Для эмулятора 3270 на ПК клиента используется интеграция с MVS passticket security, а для идентификации и авторизации используется Philips смарт карта или ключ. Для DCE применяется модуль Gradient PCE-DCE32 2.02 в среде Windows 95 и NT. Агент для приложений баз данных, на данный момент реализован для приложений ORACLE ( на платформе HP-UX), планируется создать агент для SYBASE , Web, E-Mail, transaction processing.

HP Praesidium/Authorization Server имеет единый центр авторизации на базе настраиваемых правил для управления доступом пользователей и приложений к специфическим функциям или информации в распределенной неоднородной системе.

Все правила доступа или индивидуальные привилегии централизованно хранятся в единой базе, имеют общий интерфейс и могут разделяться всеми приложениями, доступны разработчикам новых Internet /intranet приложений и клиент серверных систем;

Имеется не зависящий от платформы WEB интерфейс настройки авторизационного сервера для обслуживания пользователей (User-based administration);

Поддерживается несколько методов идентификации ( подтверждение подлинности) пользователей : открытые ключи от Entrast, Netscape ID, DCE Security Service, Kerberos, HP Praesidium/Secirity Service

HP Praesidium/Security Service поддерживает ключей идентификации пользователя и DES для защищенной пересылки пароля.


Реализация функции Управление Безопасностью в ISM AccessMaster от компании Bull (на наш взгляд, лучший продукт в этой области), выполняемые функции: администрирование пользователей; авторизация; идентификация; единый вход в систему; аудит.

Серверная часть ISM AccessMaster 3.1 портируется на AIX, Solaris, IRIX, NT. Управляющие агенты предлагаются для обслуживания на Netware 3&4, Windows NT, OS/2 LAN Server, AIX, Solaris, HP-UX, IRIX, SCO, Digital UNIX, DEC VMS, MVS/RACF, MVS/Top secret, MVS/ACF2, Bull GCOS7, Bull GCOS8/SSM8, Security Dynamics ACE/Server, DCE.

Глобальное администрирование пользователей - обьектная модель для описания "свойств" отдельного пользователя, структуры организации в терминах структуры глобального каталога, соответствующего стандарту X.500. Для регистрации пользователя в организации формируется соответствующий профиль безопасности - объект, в котором описываются все права пользователя. Одновременно с этим происходит регистрация пользователя для ресурсов, к которым он имеет доступ - в одной операции обслуживаются различные системы безопасности, функционирующие на:

  • серверах организации (UNIX,DEC VAX);
  • мэйнфреймах (Bull GCOS7, Bull GCOS8, IBM MVS);
  • промежуточном ПО (DCE);
  • специализированном сервере доступа от Security Dynamics (ACE/Server);
  • сетевых операционных системах (Netware, NT, OS/2 LAN Server);
  • сетевых экранах и серверах удаленного доступа.

Компания Bull предлагает графический интерфейс Администратора Безопасности и Java интерфейс для работы через WEB browser. Права администраторов безопасности контролируются посредством создания специальных ролей. Каждая роль определяет, какие операции может выполнять данный администратор и с какими организациями он будет работать.

Единый вход в систему (Single Sign-On) позволяет клиенту введя один раз идентификационную информацию авторизоваться ко всем разрешенным для него ресурсам, при помощи шифрованного пароля, секретного ключа или идентификатора от Security Dynamics, смарт карты. Для рабочей станции клиента (Windows 3.11 и 95) имеется специальный модуль для формирования персональной защищенной среды пользователя, которая обеспечивает:

  • защиту от перезагрузки ПК;
  • локальную защиту для устройств, файлов и каталогов;
  • генерацию трассировочных записей;
  • проверку на неактивность;
  • специальный интерфейс авторизации конечного пользователя;
  • создание персонального рабочего места пользователя, соответствующего его профилю в глобальной БД пользователей.

Защита распределенных приложений обеспечивается при помощи стандартных технологий (DCE/Kerberos и SESAME/Public key ) в зависимости от выбранной конфигурации. Она ассоциируется с использованием GSS-API, набора программных интерфейсов для обеспечения безопасности клиент серверных приложений, стандартизованного Internet Community и X/Open. Когда приложение защищено при помощи GSS-API, авторизация производится по так называемому (Privilege Attribute Certificate) PAC, который подменяет имя и пароль для системы SSO.

Защита приложений ORACLE. Стандартная защита при помощи PAC включена в SQL*Net ORACLE. Сетевой доступ в базу данных ORACLE при помощи SQL*Net напрямую обслуживает AccessMaster:

  • идентификация пользователя и определение его роли для базы данных централизованно выполняется при помощи AccessMaster и доступно распределенным приложениям Oracle через PAC;
  • безопасность доступа к базе данных существенно повышается за счет неоднократной авторизации, имеющей место при работе сетевого клиента с базой.

Для обеспечения защищенного режима работы почтовых систем используется IDUP-GSS-API (Independant Data Unit Protection Generic Security service Application Program Interface) - стандарт для обеспечения конфедициальности и цифровой подписи в почтовых системах. Для генерации, сертификации и обслуживания открытых ключей, используемых для обеспечения безопасности почтовой системы в составе AccessMaster имеется модуль Certification Authority (CA) генерации сертификатов в стандарте X.509 и библиотека обслуживаемых публичных ключей для распространения сертификатов.

Обеспечение безопасности для мобильных клиентов. Для предоставления доступа мобильным клиентам AccessMaster предлагает те же средства, что и для локального пользователя:

  • администратор безопасности обслуживает мобильного клиента теми же средствами;
  • мобильный клиент авторизуется в системе так же как локальный.

Интеграция с SecureID. Многие серверы доступа и сетевые экраны используют для авторизации удаленных пользователей SecureID и ACE/server от компании Secure Dynamics. В составе AccessMaster имеется клиент для обслуживания ACE/Server.

Интеграция с TACACS+ и RADIUS. Для авторизации удаленных пользователей используется централизованная авторизация в AccessMaster, что позволяет не вести базы данных по пользователям в брандмауэрах и серверах удаленного доступа.

AccessMaster для тонких клиентов (Thin Clients). AccessMaster интегрирован с корпоративными серверами доступа такими как WEB сервер или брандмауэр, с целью трансформации сервера доступа в клиента AccessMaster для мобильного пользователя.