Проблема организации администрирования крупных информационных систем.

Copyright © 2001 Cybervlad

Совместная работа в любой сфере человеческой деятельности предполагает некий набор правил, позволяющий избежать ситуации из басни Крылова про транспортировку воза лебедем, раком и щукой.

Если использование небольшой группы автономных компьютеров требует самой минимальной регламентации, то объединение их в сеть приводит к необходимости создания более развернутого и жесткого набора правил. А коль скоро правила созданы, необходимо следить за их выполнением, что и является одной из основных целей администрирования.

Качественный состав задач администрирования и их приоритеты изменяются с ростом системы изменением ее функциональности. Так, например, небольшой сетью на базе Novell NetWare из 10-15 машин и не подключенной к Internet вполне может управлять один администратор, совмещая эти обязанности с обязанностями прикладного программиста. При этом, как правило, большинство настроек устанавливается по умолчанию и от администратора не требуется знания многих тонкостей.

Дальнейший рост системы требует выделения администратора как отдельной штатной единицы, причем не только из-за возрастающего объема рутинной работы (работа с бюджетами пользователей, архивирование данных, организация поддержки сетевой печати и т.п.), но и из-за появления принципиально новых задач.

При достижении некоторого критического порога возникает необходимость в дифференциации функций управления и разделения их между несколькими сотрудниками, т.е. создания группы администрирования.

Рассмотрим основные компоненты администрирования крупных информационных систем.

• Первый (и самый очевидный) аспект администрирования - это работа с пользователями. Сюда входит создание и удаление пользовательских бюджетов (учетных записей), их блокировка и разблокирование, настройка сценариев входа, консультирование пользователей по различным аспектам работы с системой и нахождению тех или иных ресурсов. Здесь главное - найти разумную грань, чтобы администратор не был ответственен за смену картриджа в локальном принтере пользователя - это все-таки задача службы технической поддержки. Более того, во многих компаниях на службу технической поддержки возлагают обязанности по установке и настройке сетевого клиентского программного обеспечения на компьютерах пользователей.
• Другая не менее важная задача - это управление данными. Предоставление пользователям прав на доступ к конкретным ресурсам, профилактическое обслуживание баз данных (индексация, оптимизация, упаковка), организация резервного копирования.
• Анализ производительности и оптимизация системы. Большинство систем имеют оптимальные настройки "по умолчанию" и не требуют особого вмешательства. Однако, узкие места все же могут возникать. Производители известных сетевых операционных систем на основе богатого опыта эксплуатации выводят наборы эмпирических правил, помогающих администратору вносить изменения в настройки с минимальным риском ухудшить другие показатели или сделать систему неработоспособной. Такие рекомендации имеются, в частности, у фирм Novell и Sun Microsystems; администратору остается только их изучить и знать перечень параметров, которые необходимо контролировать. Многих проблем можно избежать еще на стадии планирования сети. В частности, неправильный выбор типов кадров Ethernet и их соотношения может привести к резкому снижению производительности, а то и к нарушению работы системы при отключении одного из компонентов.
• С предыдущей задачей связана задача учета системных ресурсов. Учет ресурсов позволяет заметить тенденции к появлению узких мест до того, как появятся проблемы с производительностью и провести соответствующую модернизацию. Кроме того, система учета совершенно необходима при платном использовании ресурсов. Сюда относится контроль использования дискового пространства, печати, учет трафика.
• Техническое обслуживание и модернизация. Если собственно техническое обслуживание (очистка от пыли, смазка вентиляторов, подтяжка креплений, контроль состояния аккумуляторов, изменение физической топологии сети и т. п.) может осуществляться службой технической поддержки, то грамотное формулирование заявок на изменение аппаратной конфигурации, организация закупки дополнительных лицензий или обновленной версии программного обеспечения - задача администратора.
• Очень часто как отдельную функцию выделяют задачу управления активным сетевым оборудованием и сетью в целом.
• Немаловажным компонентом администрирования системы является обеспечение информационной безопасности. Сюда входит составление плана доступа пользователей к ресурсам (в соответствии с принятой в компании политикой информационной безопасности) и контроль его исполнения. К функциям обеспечения безопасности относятся также отслеживание появления различных уязвимостей в используемых операционных системах, организация получения и установки "заплаток" (patches).
• И последняя (по порядку изложения, но не по значимости) задача - это задача аудита, данные которого используются почти всеми приведенными выше задачами. С целью обеспечения непротиворечивости получаемой информации доступ к подсистеме аудита должен быть ограничен. Причем лицо, ответственное за подсистему аудита не должно иметь административных полномочий по управлению системой и данным, по которым аудит ведется. Такое разделение позволит существенно повысить уровень безопасности: если человек знает, что его действия протоколируются, то он воздержится от попыток совершения каких-либо манипуляций с информацией во вред компании. По этой же причине он оказывается защищенным от давления со стороны третьих лиц совершить нечто противоправное.

Итак, на основе изложенного, можно выделить 5 категорий административного персонала, обеспечивающего эксплуатацию информационной системы.

1. Администратор 1. Оптимизация настроек. Мониторинг производительности. Модернизация. Техническое обслуживание и профилактика. Организация резервного копирования.
2. Администратор 2. Регистрация новых пользователей. Отслеживание изменения статуса пользователей (ведение и хранение учетных карт). Консультация пользователей. Смена и восстановление пароля, решение других проблем.
3. Администратор 3. Организация размещения данных. Назначение/изменение прав доступа. Планирование резервного копирования и хранение резервных копий. Восстановление данных (совместно с администратором 1).
4. Администратор безопасности системы. Участие в разработке матрицы доступа к ресурсам. Контроль за соблюдением политики безопасности при эксплуатации. Отслеживание информации об уязвимостях системы и своевременное принятие мер. Периодическое практическое тестирование защищенности системы.
5. Аудитор. Настройка подсистемы регистрации. Организация архивирования и хранения журналов регистрации. Анализ журналов регистрации.

В заключение, несколько слов об организации процесса.

Во-первых, все аспекты деятельности всех администраторов должны быть обеспечены нормативными и методическими документами. Это защитит как интересы руководства компании, так и администраторов. Кроме того, как показывает опыт, наличие типовых инструкций позволяет четче и слаженней действовать в нестандартных ситуациях. Состав пакета нормативных документов может быть примерно следующим:

1. Положение о локальной сети компании.
2. Инструкция администратору серверов.
3. Инструкция администратору баз данных.
4. Инструкция пользователю.
5. Инструкция администратору информационной безопасности.
6. Инструкция аудитору.
7. Процедура оформления доступа к ресурсам.
8. Инструкция по резервному копированию и восстановлению информации.
9. Инструкция по антивирусной безопасности.
10. Инструкция о парольной защите.

Как правило, непосредственно процесс администрирования должен осуществляться со специальных административных станций, выделенных в логический (или физический) сегмент. Такой подход решит многие проблемы с безопасностью: перехват парольной и другой важной управляющей информации при передаче ее по сети или вводе с клавиатуры, заражение вирусами. В зависимости от потенциальных возможностей администратора и ценности циркулирующей в системе информации, станции администрирования могут быть размещены в защищенной зоне и снабжаться дополнительными средствами защиты.

Конкретный выбор распределения обязанностей в плане допустимого и недопустимого совмещения функций осуществляется руководством компании. Здесь очень важно не ошибиться, так как слишком большое сосредоточение полномочий может нанести вред компании (обидевшись на низкую зарплату, администратор может разрушить систему) и самому администратору (на него могут оказать давление злоумышленники), а недостаток прав и их сильное распыление могут привести к недопустимым задержкам при выходе из нестандартных ситуаций.

При распределении обязанностей следует учитывать психологический аспект, особенно для администраторов, непосредственно контактирующих с пользователями. Вежливо, но твердо проводить администрирование, не забывая при этом, что система построена не для оттачивания мастерства администратора, а ради той самой "прослойки между креслом и терминалом", называемой пользователем, под силу далеко не каждому профессионалу в области информационных технологий.

Вполне естественным желанием администратора является желание избавить себя от лишних забот, проведя максимальную автоматизацию рутинных процедур. Многие разрабатывают с этой целью небольшие утилиты и скрипты. Однако на рынке представлено достаточно большое количество специализированных средств, позволяющих перевести труд администраторов на качественно новый уровень и унифицировать управление разнородными системами. Это такие средства как ManageWise, ZenWorks, HP OpenView и др.

В заключение хочется отметить, что организация управления большими системами остается одной из немногих областей, где невозможно предложить полностью готовые решения; здесь всегда необходим творческий подход и учет всех уникальных особенностей конкретной системы. Создавать систему администрирования своими силами, привлекать специализированную фирму или вообще поручить эту задачу сторонней организации - в каждом конкретном случае решает руководство компании, но необходимые исходные данные и экономические выкладки должны предоставлять специалисты в области информационных технологий.