Процесс администрирования подсистемы "Public Relation" АС "Следственный комитет

Размещено на http://www.allbest.ru/

Введение

Информационные процессы присутствуют практически во всех областях нашей жизни, не исключение и следственные органы. Для упрощения и ускорения процесса работы сотрудников Следственного управления Следственного комитета Российской Федерации по Краснодарскому краю множество рутинных процессов и лишней бумажной работы были автоматизированы, посредством автоматизированной системы (АС) «Следственный комитет». В числе областей автоматизации является также отдел по приему граждан и документационному обеспечению, цель которого работа с общественностью.

Взаимоотношения с общественностью также можно охарактеризовать наименованием Public Relations (PR) - это одна из функций управления, способствующая установлению и поддержанию общения, взаимопонимания, расположения и сотрудничества между организацией и ее общественностью. Они включают в себя решение различных проблем: обеспечивают руководство организации информацией об общественном мнении и оказывают ему помощь в выработке ответных мер: обеспечивают деятельность руководства в интересах общественности; поддерживают его в состоянии готовности к различным переменам путем заблаговременного предвидения тенденций; используют исследование и открытое общение в качестве основных средств деятельности.

Однако каждая АС должна грамотно управляться в процессе эксплуатации, данные функции осуществляются в процессе администрирования АС.

Администрирование - непрерывный процесс, который позволяет сделать информационную систему:

- более понятной и Руководству организации и пользователям;

- более прозрачной;

- управляемой;

- более защищенной от внешних угроз (вирусы, атаки);

- стабильно функционирующей;

- не зависящей от людей и организаций, её обслуживающих;

- администрирование также позволяет уменьшить время восстановления после аварии или инцидента.

В дипломной работе рассматривается процесс администрирования подсистемы «Public Relation» АС «Следственный комитет», на основе изучения системы, а также высказывается несколько предложений по оптимизации процесса администрирования данной системы.

1. Задачи администрирования автоматизированных систем

Администрирование автоматизированных систем состоит из множества процессов и задач, которые необходимо выполнять в обязательном порядке для успешной и эффективной, бесперебойной работы системы.

Администрирование включает:

- создание и ведение сетевой спецификации;

- создание и ведение журнала информационной системы;

- создание (при необходимости) схемы сети;

- создание и ведение другой документации;

- консультирование пользователей;

- консалтинг и управление процессом модернизации ИС;

- профилактическое обслуживание компьютеров;

- профилактические работы на сервере;

- профилактика и консалтинг с целью предотвращения и предупреждения инцидентов и сокращение потерь и убытков при их возникновении;

- устранение возникающих проблем и неисправностей в информационной системе.

Консалтинг - деятельность, заключающаяся в консультировании (советовании) по вопросу оптимизации (улучшения) работы.

Сопутствующая работа (также являются частью процесса администрирования):

- Установка и подключение периферийного оборудования к компьютерам, его настройка (выполняется планово во время профилактического обслуживания), либо консультации по подключению;

- При необходимости чистка тактильных устройств (мышь), чистка системных блоков, смазка вентиляторов;

- Установка и настройка системного программного обеспечения (выполняется планово);

- Устранение возникающих неисправностей и неполадок сети, серверов, компьютеров, включая ремонт, настройку, установку и переустановку программного обеспечения (выполняется в случае возникновения неисправностей - т.н. экстренный вызов). Количество таких вызовов не ограничивается, т.к. основная задача - обеспечить нормальную работоспособность системы.

Итак, администрирование позволяет:

- предотвратить инциденты в АС;

- снизить время восстановления систем после аварий, инцидентов;

- сократить потери и убытки, связанные с информационной системой.

Администрирование ведётся по стандартам и рекомендуется ведущими специалистами в области информационных технологий (IT).

Есть мнение, что неадминистрируемая информационная система может только навредить бизнесу или производству. Руководство организации, имеющей информационную систему должно осознавать необходимость ее обслуживания.

Необходимость понимания администрирования, как важного организационного процесса назрела давно, но актуальной стала лишь в последнее время. Достаточно посмотреть статистику финансовых потерь корпораций из-за вирусов или взлома систем, чтобы понять, что применяемые на данный момент меры безопасности не эффективны. Кроме того в последнее десятилетие, в связи с активизацией различных террористических организаций безопасность компаний перестала рассматриваться однобоко.

Мировое сообщество пришло к выводу, что безопасность - это комплексное понятие, относящееся ко всем сферам деятельности предприятия, в том числе и к сфере информационных ресурсов. В связи с этим было разработано множество стандартов по обеспечению безопасности на предприятиях. Одним из основных стандартов по обеспечению информационной безопасности является стандарт ISO 17799 «Управление информационной безопасностью».

Данный стандарт помимо технических приемов защиты делает упор на организационные меры обеспечения информационной безопасности. И не случайно. Действительно - сколько не проводи технических мер защиты их всегда будет недостаточно при неграмотной и неконтролируемой работе пользователей. Для пояснения приведем следующий пример. В организации установлена система защиты от проникновения, защиты от вирусов, применены самые современные приемы защиты, программное обеспечение по защите информационной системы постоянно обновляется. Но один из пользователей знакомится через интернет, общается и в конце концов начинает обмениваться той или иной информацией. При грамотном подходе «крякера» нужная программа будет незаметно функционировать в сети уже через несколько часов после начала такого знакомства. Естественно, что система защиты будет тут же обезврежена и «крякер» получит полный контроль над системой и над данными, которые возможно являются конфиденциальными.

Поэтому главным и основным процессом современного администрирования является организационное администрирование - применение организационных мер для управления действиями персонала, повышение уровня знаний персонала, его квалификации при работе с информационными системами.

Внедряя правила и политики, организующие работу с информационной системой во-первых повышается уровень безопасности информационной системы, во-вторых повышается уровень квалификации пользователей, что автоматически ведет к снижению ошибок, в третьих появляется инструмент единого управления безопасностью как информационной системы, так и предприятия в целом, в четвертых облегчается работа системных администраторов и специалистов служб поддержки, в частности из-за разъяснения многих вопросов путем внедрения политик и правил.

Целью любого администрирования является прежде всего предупреждение проблем, обеспечение бесперебойной работы информационной системы. При возникновении проблем задача администрирования - скорейшее выявление причины и устранение проблемы, восстановление нормальной работы системы. Основным процессом администрирования является ведение документации (отсюда и происхождение термина Администрирование). Наличие документации позволяет выявлять проблемы наиболее быстро, что соответствует целям и задачам администрирования.

Дополнительными процессами администрирования являются процессы профилактического обслуживания, архивирования информации, настройки, перенастройки, улучшения конфигурации (модернизация) программного обеспечения, компьютеров и сети.

Предпосылки для изменения конфигурации возникают: в процессе профилактического обслуживания; в связи с обнаружением уязвимостей в системе защиты; с целью ускорения, повышения производительности работы; в связи с внедрением новых служб, нового программного обеспечения.

При администрировании сети необходимо пользоваться соответствующими стандартами в данной области.

При администрировании сети ведется следующая документация: схема сети; сетевая спецификация; журнал сети; и выполняются соответствующие изменениям документации работы.

В журнале сети записываются все события происходящие в сети: проблемы, ошибки, действия для их установки, изменение конфигурации и дата / время этих событий.

Сетевая документация является неполной без системной документации - документации компьютеров, серверов, журнала системных событий, журнала серверов.

Плановые работы обычно включают выделение IP адресов, управление адресным пространством, изменение логинов и паролей доступа к компьютерам и / или к сети, изменение имен компьютеров в сети, изменение учетных записей пользователей закрепленных за компьютерами, проверка на ошибки, обновление антивирусных программ, чистка компьютера от временной служебной информации.

В настоящее время постоянная угроза стабильности систем исходит от сообщества пользователей интернет, а точнее от негативно мыслящей части этого сообщества (крякеры, взломщики, вирусописатели, экспериментаторы и др.).

Администрирование предусматривает предотвращение появления «дыр» в защите информационных систем, а также их экстренное устранение при обнаружении. Для этого проводится комплекс профилактических мероприятий:

- Наблюдение за безопасностью компьютеров, серверов и сети;

- Наблюдение за новостями по обнаружению новых «дыр» в защите;

- Своевременное устранение обнаруженных в защите «дыр»;

- Обновление программного обеспечения для актуализации системы безопасности серверов и компьютеров;

- Профилактическая проверка оборудования, сканирование и проверка устройств в компьютерах на наличие ошибок;

- Профилактическая антивирусная проверка компьютеров;

- Проверка на серверах известных способов взлома и устранение «дыр» в случае их обнаружения;

- Наблюдение за производительностью серверов и коэффициентом использования ресурса производительности;

- Внесение предложений по модернизации и модернизация отдельных компьютеров и серверов. Все события по проверке и изменению конфигурации также записываются в системный файл. [2]

2. Объекты администрирования

Основные объекты администрирования [3]:

o непосредственно объекты информационных систем. Контроль за их бесперебойным функционированием, а в случае возникновения неисправностей своевременное сохранение важной информации и резервное копирование;

o программное обеспечение информационных систем, необходимое для предотвращения и выявления случаев внедрения вредоносных программ. Разработка и внедрение соответствующих мер предосторожности. Отслеживание новейших программ и средств для борьбы с возможным проникновением вирусов в систему;

o планирование и проектирование информационных систем. Подготовка и расчет будущей производительности, подробное изучение и корректировка, а возможно, и разработка проектной документации. Доработка критериев приемки информационных систем под данное конкретное производство;

o функционирование компьютеров и сетей. Обеспечение правильной и надежной работы информационных систем. Регулирование и проверка соблюдения правил эксплуатации оборудования пользователями;

o программное обеспечение, необходимое для защиты информации в сетях. Снабжение системы, имеющей конфиденциальные данные, передаваемые по открытым сетям специальными мерами и средствами, определяющими их правовую и информационную охрану;

o электронный обмен данными. Стандарты для защиты носителей информации во время их транспортировки. Отслеживание сроков действия лицензий;

o физическая защита носителей информации. Программное обеспечение, необходимое для предотвращения повреждений информационных ресурсов и возникновения перебоев в работе организации. Разработка средств защиты от хищения и несанкционированного доступа к секретным и конфиденциальным данным организации.

Объектами администрирования в следственном комитете являются:

1) Сервер MS Windows 2003 - предназначен для хранения документации, необходимой для работы сотрудников управления (справочной документации, нормативной документации, необходимой для работы ПО), также на нем находятся файлы базы данных АС «Следственный комитет».

2) АС «Следственный комитет» предназначена для ведения документации сотрудниками управления, занесения данных в общую базу, создания отчетов по проделанной работе, для учета корреспонденции, решения организационных вопросов, создания сводок о происшествиях. Содержит справочную информацию о СМИ и других объектах работы управления. Создана на базе 1С Предприятие.

3) Программное обеспечение, предназначенное для защиты конфиденциальности отчетных данных, передаваемых следственным управлением в другие государственные организации, контролирующие деятельность управления. К данному типу программ относятся Криптопро 3.6. Она предназначена для создания ЭЦП, которые помещаются на документацию, а также для создания сертификатов безопасности, согласно которым сотрудники управления получают доступ к порталу получателя.

4) Справочные программы Консультант плюс, предназначены для получения необходимой информации сотрудниками в вопросах законодательства и нормативных документов.

5) Настройка контроля доступа к документам, находящимся на удаленном сервере согласно полномочиям сотрудника, прописанным в политике безопасности управления. Для предотвращения утечки информации и возможностей несанкционированного доступа.

6) Подключение рабочих станций к сети Интернет, через WI-FI технологию, контроль исправной работы и доступа к сети Интернет. Для ускорения процессов сообщения с другими государственными организациями.

7) Антивирусное программное обеспечение, контроль обновлений баз и новых версий, также исследование новых разработок в данной области. Для обеспечения защиты от внешних угроз и различных вредоносных программ, появляющихся с высокой частотой.

8) MS SQL Server 2005 предназначена для работы с данными, помещенными из АС «Следственный комитет».

2.1 Характеристика АС «Следственный комитет»

АС «Следственный комитет» предназначена для упорядочивания документооборота отдела по приему граждан и документационному обеспечению, а также корреспонденции управления в целом. Она выполнена в среде 1С Предприятия 1.77 и является надстройкой к данной программе.

Основные функции системы:

- регистрация и учет корреспонденции;

- регистрация и учет жалоб;

- организационные вопросы;

- контроль выполнения;

- следственная работа;

- сводки о происшествиях.

АС «Следственный комитет» предназначена для обеспечения деятельности аппарата Следственного управления Следственного комитета Российской Федерации по Краснодарскому краю.

Работа АС осуществляется на IBM PC - совместимых компьютерах в рамках локальной сети посредством передачи данных в центральном аппарате прокуратуры и посредством модемной связи с районными, окружными, городскими и транспортными прокуратурами.

В качестве центрального сервера используется двухпроцессорный комплекс на базе процессоров Xeon 2,4 GHz ОЗУ 1 Gb с операционной системой MS Windows 2000 Server.

На уровне рабочих станций центрального аппарата прокуратуры предполагается использование IBM-совместимых компьютеров не ниже Celeron 466 с операционной системой Windows 98/2000 professional.

АС состоит из ряда подсистем:

- подсистема работы с жалобами и обращениями граждан;

- подсистема следственного управления;

- подсистема следственного отдела;

- подсистема организационно-контрольной службы;

- подсистема следователя по надзору за соблюдением законов в исправительных учреждениях;

- подсистема помощника по связям со средствами массовой информации;

- подсистема отдела по надзору за соблюдением законодательства в сфере экономики и охраны природы;

- подсистема канцелярии;

- подсистема сводок о происшествиях.

В состав автоматизированных рабочих мест могут входить одна или несколько подсистем, необходимых для выполнения служебных обязанностей специалиста.

В АРМ руководителя, его заместителей, начальников отделов и управлений, старших помощников входят подсистемы всех подчиненных ему отделов и управлений. Подсистема работы с письмами и жалобами граждан входят во все АРМы.

Ввод информации во всех АРМах осуществляется в виде карточек. Представление информации может осуществляться как в карточной, так и в журнальной форме. Во всех журнальных формах может осуществляться поиск информации по всем полям (графам) отчета.

Вход в подсистемы осуществляется работником при помощи регистрационного кода (пароля).

Поиск и выборки информации может осуществляться для основных журнальных форм как по заранее определенным критериям или их комплексу, так и по произвольным словам. Из всех журнальных и карточных форм может осуществляться печать.

Объектом администрирования дипломной работы являются подсистемы работы с жалобами и обращениями граждан и канцелярии, которые по своей сути относятся к подсистеме «Public Relation».

2.2 Описание подсистемы «Public Relation»

Данная подсистема предназначена для автоматизации работы отдела по приему граждан и документационному обеспечению, т.е. канцелярии (рис. 1).

Главные его задачами является:

1) Организация работ по первичному рассмотрению корреспонденции, поступившей в аппарат следственного управления, в том числе письменных обращений граждан РФ, должностных и иных лиц, иностранных граждан и лиц без гражданства и т.д.

2) Анализ состояния работы системы следственного управления по рассмотрению обращений для доклада руководителю следственного управления.

3) Организация и ведение личного приема граждан, дача разъяснений по поводу их обращений.

4) Техническое обеспечение документооборота аппарата следственного управления.

5) Подготовка методических рекомендаций в установленной форме деятельности и их внедрение в практику работы в аппарате следственного управления, территориальных следственных отделах.

6) Учет и анализ документооборота в аппарате следственного управления, наработка мер по совершенствованию делопроизводства.

7) Организация подготовки документов для их передачи на архивное хранение в соответствии с действующими нормативами.

8) Комплектование и организация использования архивного фонда следственного управления.

Основные функции отдела:

1) Прием, обработка, регистрация, учет входящих документов, передача для доклада руководству управления и в структурные подразделения следственного управления.

2) Организация отправки исходящей корреспонденции соответствующим адресатам.

3) Организационно-техническое и документальное обеспечение деятельности руководства следственного управления и структурных подразделений следственного управления.

4) Участие в информационно-справочном обеспечении деятельности руководства следственно управления и структурных подразделений аппарата следственного управления.

5) Первичное рассмотрение и подготовка для доклада руководству следственного управления обращений граждан, а также своевременное их направление в соответствующие структурные подразделения аппарата следственного управления.

6) Осуществление централизованного учета и анализа документооборота структурных подразделений аппарата следственного управления.

7) Периодическое информирование руководства следственного управления о количестве и характере обращений граждан.

8) Уведомление граждан о результатах первичного рассмотрения обращений.



Рис. 1

Таким образом, подсистема PR решает следующие задачи:

· автоматизация приема жалоб и обращений;

· автоматизация приема и распределения корреспонденции;

· создание отчетности для руководства;

· автоматизация информации о коллегиях и нормативно-распорядительных документах.

Основные преимущества использования данной подсистемы:

· безопасность хранения стратегически важной информации за счет встроенных средств резервного копирования;

· средства поиска и хранение информации, обеспечивают оперативный доступ ко всем базам данных на предприятии;

· адекватность управленческих решений за счет доступности полной, оперативной и структурированной информации;

· снижение зависимости от персонала, так как информация не уходит вместе с работником, а остается в управлении;

· быстрая адаптация персонала за счет прозрачности основных бизнес-процессов и доступности информации.

Основными задачами администрирования данной подсистемы являются:

· Контроль целостности данных;

· Контроль конфиденциальности данных;

· Обеспечение бесперебойной и безошибочной работы аппаратных средств;

· Обеспечение бесперебойной и безошибочной работы программных средств;

· Улучшение управляемости подсистемы.

Выполнение данных задач является основополагающими факторами в правильном функционировании данной подсистемы. Целость данных обеспечивается путем резервного копирования информации, содержащейся в базе данных.

Обеспечение конфиденциальности обеспечивается за счет разграничения доступа к информации и объектам подсистемы, то есть каждому сотруднику соответствует учетная запись, которой предоставлены определенные права в системе, в соответствии с занимаемой должностью.

Средством обеспечения бесперебойной работы программных и аппаратных средств является постоянный мониторинг состояния данных элементов подсистемы, в случае нахождения ошибок, устранение их в кратчайшие сроки путем замены оборудования, либо установки необходимого программного обеспечения. Улучшение управляемости производится путем введения необходимых изменений, а также настройки параметров администрирования.

Работа в сети осуществляется на основе архитектуры файл-сервер.

Для осуществления правильной работы подсистемы Public Relation в сети необходимы такие администрируемые программные средства как: Windows Server 2003 и Microsoft SQL Server 2005.

Технология Windows Server 2003 содержит все функции, ожидаемые пользователями от серверной ОС Windows, используемой для выполнения ответственных задач, такие как безопасность, надежность, доступность и масштабируемость. Кроме того, корпорация Microsoft усовершенствовала и расширила серверную ОС Windows для того, чтобы ваша организация могла оценить преимущества технологии Microsoft.NET, разработанной для связи людей, систем, устройств и обмена данными.

Windows Server 2003 является многозадачной операционной системой, способной централизовано или распределено управлять различными наборами ролей, в зависимости от потребностей пользователей. Некоторые из ролей сервера:

· файловый сервер и сервер печати;

· веб-сервер и веб-сервер приложений;

· почтовый сервер;

· сервер терминалов;

· сервер удаленного доступа / сервер виртуальной частной сети (VPN);

· служба каталогов, система доменных имен (DNS), сервер протокола динамической настройки узлов (DHCP) и служба Windows Internet Naming Service (WINS);

· сервер потокового мультимедиа-вещания.

Microsoft SQL Server 2005 является решением следующего поколения для управления и анализа данных, которое предоставляет повышенную безопасность, стабильность данным предприятия и аналитическим приложениям, облегчая их построение, развёртывание и управление.

Построенные на сильных сторонах SQL Server 2000, SQL Server 2005 представляет собой интегрированное решение по управлению и анализу данных, которое поможет организациям различного масштаба:

· Строить, развертывать и управлять промышленными приложениями, которые являются более безопасными, масштабируемыми и надежными.

· Увеличивать продуктивность информационных технологий, уменьшая сложность построения, развертывания и управления приложениями по работе с базами данных.

· Разделять данные между платформами, приложениями и устройствами для облегчения соединения внутренних и внешних систем.

· Контролировать стоимость, не жертвуя качеством выполнения, доступностью, масштабируемостью и безопасностью.

SQL Server 2005 также содержит много новых и улучшенных возможностей, помогающих персонал вашего отдела информационных технологий более продуктивным. SQL Server 2005 включает главные улучшения управления данными предприятия в следующих областях:

· Управляемость;

· Доступность;

· Масштабируемость;

· Безопасность.

3. Проблемы администрирования подсистемы Public Relation

Изучив подсистему Public Relation, являющуюся частью АС «Следственный комитет», а также выяснив методы и средства администрирования данного объекта, был выявлен ряд проблем, требующих немедленного устранения:

· Отсутствие зеркалирования данных;

· Недостаточная защита сервера сети;

· Отсутствие отчетности журнала регистрации.

Данные проблемы могут привести к тяжелым последствиям по отношению к АС «Следственный комитет» и к подсистеме Public Relation в частности.

Отсутствие зеркалирования данных может привести к полной потере информации, в случае аппаратных проблем с носителями, установленными на сервере. В некоторых случаях информация может быть восстановлена, при помощи некоторых специализированных утилит, но данный процесс отнимает большие объемы времени, а потеря информации хоть на какой-либо срок остановит полностью работу многих отделов управления, что является неприемлемым для организации подобного масштаба.

Сервер имеет правильное расположения с точки зрения доступности к нему посторонних лиц, однако это является недостаточным для его защиты, ведь нарушитель может быть сотрудником управления, имеющим доступ к помещению, в котором находится сервер. Программная защита сервера ограничена лишь наличием антивирусного программного обеспечения и программы True Cript, создающей зашифрованные области дискового пространства. Однако злоумышленник, получив доступ к этим областям имеет шанс расшифрования данных, что ведет к утечке секретной информации, не подлежащей разглашению.

Отсутствие отчетности журнала регистрации снижает контроль за доступом в АС «Следственный комитет» и подсистему Public Relations в частности. А это снижает уровень защищенности системы, так как появляется возможность несанкционированного доступа, который будет не замечен, а следовательно может повториться в последующем времени.

4. Методы администрирования

Изучив вышеописанные проблемы, можно предложить ряд решений, способствующих устранению недостатков администрирования подсистемы Public Relations.

4.1 Зеркалирование данных

Существует несколько вариантов зеркалирования данных, предложим основные:

Наиболее удобный вариант: зеркалирование дисков. То есть в компьютере установлена пара жестких дисков одинакового объема (но разных фирм), и ежесуточно информация с одного из них копируется на другой. Причем не вся, а только та, что изменилась. Разделы и папки дисков абсолютно идентичны. В случае выхода из строя одного жесткого диска, можно спокойно использовать другой, идентичный имевшемуся.

Можно делать это аппаратно, с помощью технологии RAID. RAID (англ. redundant array of independent/inexpensive disks - избыточный массив независимых / недорогих жестких дисков) - массив из нескольких дисков, управляемых контроллером. В зависимости от типа используемого массива он может обеспечивать различные степени отказоустойчивости и быстродействия. Тип RAID 1 как раз и является зеркальным дисковым массивом, когда информация записывается одновременно на два жестких диска. Но данный способ достаточно неудобный и требует специальных знаний.

MirrorFolder - утилита для зеркалирования и синхронизации файлов в режиме реального времени, которая автоматически дублирует данные с локального компьютера на любой отображаемый накопитель: локальный, сетевой или внешний диск. Вы можете устанавливать зеркала для важных разделов или целого диска путем автоматической синхронизации или с помощью режима зеркалирования. После установки и настройки программа будет функционировать в фоновом режиме совершенно незаметно для вас, выполняя важную работу по сохранению данных.

Вся настройка занимает ровно 10 минут, после чего вы можете забыть об этой программе и вспомнить только тогда, когда у вас откажет жесткий диск. Конечно, мы все надеемся, что этого не произойдет, но береженого, как говорится, Бог бережет. Кстати, у вас есть целый месяц на то, чтобы поработать с программой и понять, нужна ли она вам.

После запуска программы MirrorFolder вы попадаете в ее главное окно (рис. 3). Давайте настроим ежесуточную синхронизацию с одного раздела жесткого диска на другой. Необязательно, чтобы их объемы совпадали - достаточно хотя бы того, что диск-приемник будет обладать не меньшим объемом, чем диск-источник.

Рис. 3

Щелкните по кнопке New у правого края окна. Откроется окно Setup a new mirror (рис. 4). Выберите папку-источник (либо весь диск), щелкнув по кнопке Browse возле поля Source Path. Выберите папку-приемник (либо диск-приемник), щелкнув по кнопке Browse возле поля Mirror Path. Если вы хотите исключить какие-то подпапки из этого задания, щелкните по кнопке Add и добавьте эти папки в список исключений, следя, чтобы стоял флажок Exclude. В противном случае (при активном флажке Include) вы включите эти папки в список.

Рис. 4

Щелкните по кнопке ОК - вы вернетесь в главное окно. Ваша задача появилась во второй половине окна. Выделите ее и щелкните по кнопке Options. Откроется окно Options for (рис. 5). Здесь необходимо указать параметры синхронизации.

На первой вкладке можно выбрать режим, в котором вы будете синхронизировать данные. Это может быть режим синхронизации или зеркалирования в реальном времени (Mirror in real-time, Synchronize in real-time), синхронизация в заданное время (Synchronize periodically every, Synchronize at specific time), в моменты запуска или выключения компьютера и т.д. Не рекомендую выбирать синхронизацию в реальном времени, так как это может серьезно замедлить работу компьютера. Наиболее оптимальный вариант - устанавливать синхронизацию на время простоя компьютера или перед его выключением.

Рис. 5

На вкладке SyncOptions (рис. 6) рекомендуется оставить первый пункт по умолчанию. Программа будет проверять только размер и дату изменения файла. Это наиболее оптимальный с точки зрения затрачиваемого времени вариант.

На первой вкладке можно выбрать режим, в котором вы будете синхронизировать данные. Это может быть режим синхронизации или зеркалирования в реальном времени (Mirror in real-time, Synchronize in real-time), синхронизация в заданное время (Synchronize periodically every, Synchronize at specific time), в моменты запуска или выключения компьютера и т.д. Не рекомендую выбирать синхронизацию в реальном времени, так как это может серьезно замедлить работу компьютера. Наиболее оптимальный вариант - устанавливать синхронизацию на время простоя компьютера или перед его выключением.



Рис. 6

Рис. 7

На вкладке SyncOptions (рис. 7) рекомендую оставить первый пункт по умолчанию. Программа будет проверять только размер и дату изменения файла. Это наиболее оптимальный с точки зрения затрачиваемого времени вариант. [1]

Другим вариантом является зеркалирование только БД при помощи команд SQL.

Зеркалирование баз данных на MS SQL Существует есть 3 режима зеркалирования:

- защищённый с автоматическим восстановлением

- защищённый с ручным восстановлением

- не защищённый / асинхронный

Защищённый отличаются от асинхронного тем, что не ждут подтверждения принятия транзакции на зеркальном сервере, а продолжают работать и набрасывают в очередь новые и новые транзакции.

Защищённый с автоматическим восстановлением требует для автоматического восстановления использовать 3-й сервер (следящий) и в принципе полезен только если у вас в приложении можно указать резервный сервер для переключения в случае когда не работает основной.

Рассмотрим работу в защищённом режиме с ручным восстановлением.

Часть 1. Настройка связи сервера.

Для связи серверов друг с другом на обоих машинах создаются контрольные точки, открываются порты на соединение, создаются пользователи, сертификаты и пр.

Создадим контрольные точки, для авторизации мы будем использовать сертификат сгенерированный MS SQL сервером (так же можно использовать и другие сертификаты).

Создаём сертификат на главном сервере и сохраним его в паку D:\Certs

USE MASTER

GO

IF NOT EXISTS (SELECT 1 FROM sys.symmetric_keys where name = '##MS_DatabaseMasterKey##')

CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'секретный пароль'

GO

IF NOT EXISTS (select 1 from sys.databases where [is_master_key_encrypted_by_server] = 1)

ALTER MASTER KEY ADD ENCRYPTION BY SERVICE MASTER KEY

GO

IF NOT EXISTS (SELECT 1 FROM sys.certificates WHERE name = 'PrincipalServerCert')

CREATE CERTIFICATE PrincipalServerCert

WITH SUBJECT = 'Principal Server Certificate',

START_DATE = '08/15/2011',

EXPIRY_DATE = '08/15/2021';

GO

BACKUP CERTIFICATE PrincipalServerCert TO FILE = 'D:\Certs\PrincipalServerCert.cer'

Создадим контрольную точку DBMirrorEndPoint на главном сервере.

USE MASTER

GO

IF NOT EXISTS (SELECT * FROM sys.endpoints WHERE type = 4)

CREATE ENDPOINT DBMirrorEndPoint

STATE = STARTED AS TCP (LISTENER_PORT = 5022)

FOR DATABASE_MIRRORING (AUTHENTICATION = CERTIFICATE PrincipalServerCert, ENCRYPTION = REQUIRED

ROLE = ALL

)

Создаём сертификат и контрольную точку DBMirrorEndPoint на зеркале, по аналогии с главным.

USE MASTER

GO

IF NOT EXISTS (SELECT 1 FROM sys.symmetric_keys where name = '##MS_DatabaseMasterKey##')

CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'секретный пароль'

GO

IF NOT EXISTS (select 1 from sys.databases where [is_master_key_encrypted_by_server] = 1)

ALTER MASTER KEY ADD ENCRYPTION BY SERVICE MASTER KEY

GO

IF NOT EXISTS (SELECT 1 FROM sys.certificates WHERE name = 'MirrorServerCert')

CREATE CERTIFICATE MirrorServerCert

WITH SUBJECT = 'Mirror Server Certificate',

START_DATE = '08/15/2011',

EXPIRY_DATE = '08/15/2021';

GO

BACKUP CERTIFICATE MirrorServerCert TO FILE = 'D:\Certs\MirrorServerCert.cer'

IF NOT EXISTS (SELECT * FROM sys.endpoints WHERE type = 4)

CREATE ENDPOINT DBMirrorEndPoint

STATE=STARTED AS TCP (LISTENER_PORT = 5023)

FOR DATABASE_MIRRORING (AUTHENTICATION = CERTIFICATE MirrorServerCert, ENCRYPTION = REQUIRED

ROLE = ALL

)

Сертификаты и контрольные точки мы создали. Теперь чтобы серверы могли между собой общаться, на каждом сервере нужно создать учётные записи и привязать их к сертификатам.

Копируем сертификаты с одного на другой сервер, чтобы в папке D:\Certs лежало по 2 сертификата.

Создадим на главном сервере пользователя MirrorServerUser, этого пользователь привязываем к сгенерированному и скопированному с зеркального сервера сертификату MirrorDBCertPub

USE MASTER

GO

IF NOT EXISTS (SELECT 1 FROM sys.syslogins WHERE name = 'MirrorServerUser')

CREATE LOGIN MirrorServerUser WITH PASSWORD = 'секретныйпароль2'

IF NOT EXISTS (SELECT 1 FROM sys.sysusers WHERE name = 'MirrorServerUser')

CREATE USER MirrorServerUser;

IF NOT EXISTS (SELECT 1 FROM sys.certificates WHERE name = 'MirrorDBCertPub')

CREATE CERTIFICATE MirrorDBCertPub AUTHORIZATION MirrorServerUser

FROM FILE = 'D:\Certs\MirrorServerCert.cer'

GRANT CONNECT ON ENDPOINT:DBMirrorEndPoint TO MirrorServerUser

GO

Создадим на резервном сервере пользователя PrincipalServerUser, этого пользователь привязываем к сгенерированному и скопированному с главного сервера сертификату PrincipalDBCertPub

USE MASTER

GO

IF NOT EXISTS (SELECT 1 FROM sys.syslogins WHERE name = 'PrincipalServerUser')

CREATE LOGIN PrincipalServerUser WITH PASSWORD = 'секретныйпароль2'

IF NOT EXISTS (SELECT 1 FROM sys.sysusers WHERE name = 'PrincipalServerUser')

CREATE USER PrincipalServerUser;

IF NOT EXISTS (SELECT 1 FROM sys.certificates WHERE name = 'PrincipalDBCertPub')

CREATE CERTIFICATE PrincipalDBCertPub AUTHORIZATION PrincipalServerUser

FROM FILE = 'D:\Certs\PrincipalServerCert.cer'

GRANT CONNECT ON ENDPOINT:DBMirrorEndPoint TO PrincipalServerUser

GO

Часть 2. Настройка баз данных.

Необходимо создать backup с рабочей базы, поднять его на зеркальном сервере в режиме NORECOVERY и включить режим зеркалирования.

Зеркалируемая база данных должна иметь модель восстановления FULL.

Backup рабочей БД.

BACKUP DATABASE [MIRROR_TEST] TO DISK = N'D:\MIRROR_TEST.bak'

WITH FORMAT, INIT, NAME = N'MIRROR_TEST-Full Database Backup', STATS = 10

Поднимаем его на зеркальном (скрипт подразумевает, что файл бэкапа перенесён на зеркальный сервак на диск D)

RESTORE DATABASE [MIRROR_TEST]

FROM DISK = 'D:\MIRROR_TEST.bak' WITH NORECOVERY

MOVE N'MIRROR_TEST' TO N'D:\MSSQL_DB\MIRROR_TEST.mdf'

MOVE N'MIRROR_TEST_log' TO N'D:\MSSQL_DB\MIRROR_TEST_log.ldf'

Для запуска зеркалирования на зеркальном сервере выполняем:

ALTER DATABASE MIRROR_TEST SET PARTNER = 'TCP://MSSQLMAINSERV:5022'

Затем на главном:

ALTER DATABASE MIRROR_TEST SET PARTNER = 'TCP://MSSQLMIRRORSERV:5023'

Если появляется ошибка типа:

The mirror database, «MIRROR_TEST», has insufficient transaction log data to preserve the log backup chain of the principal database. This may happen if a log backup from the principal database has not been taken or has not been restored on the mirror database. (Microsoft SQL Server, Error: 1478)

Или

The remote copy of database «DBmirrorTest» has not been rolled forward to a point in time that is encompassed in the local copy of the database log.

Не создать backup журнала с базы на главном сервере и восстановите его на зеркальном (опять же в режиме NORECOVERY).

backup:

BACKUP LOG MIRROR_TEST TO DISK = 'D:\MIRROR_TEST.trn'

Восстановление:

RESTORE LOG MIRROR_TEST

FROM DISK = 'D:\MIRROR_TEST.trn' WITH NORECOVERY

Часть 3. Восстановление после сбоев. Изменение ролей.

Изменить роли сервера, чтобы зеркальный стал главным и наоборот можно через GUI кликну правой кнопкой по базе - Task - Mirror - Failover или же через команду T-SQL

ALTER DATABASE MIRROR_TEST SET PARTNER FAILOVER

Если возникли проблемы с зеркальной базой, главная продолжает работать в незащищённом режиме (на клиентах это никак не отражается). После возобновления работы зеркала, резервная база автоматически подключается и догоняет главную.

Если же проблемы с главной базой, то чтобы восстановить резервную нужно выполнить принудительное восстановление

ALTER DATABASE MIRROR_TEST SET PARTNER FORCE_SERVICE_ALLOW_DATA_LOSS

В этом случае существует риск потерять некоторые данные.

При выполнении принудительного восстановления зеркальная база становится главной, а бывшая главная после восстановления автоматически станет зеркальной, ожидающей разрешения продолжить сеанс зеркалирования. Для чего нужно выполнить

ALTER DATABASE MIRROR_TEST SET PARTNER RESUME. [6]

4.2 Обеспечение защиты сервера

Существует несколько вариантов защиты сервера, от НСД.

Один из вариантов это установка электронных замков.

Электронный замок «Соболь» представлен на рис. 8.

Рис. 8

Применяется как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.

Возможности:

Идентификация и аутентификация пользователей по электронным идентификаторам Touch Memory;

* Регистрация попыток доступа к ПЭВМ;

* Запрет загрузки ОС с внешних носителей (FDD, CD-ROM, ZIP, LPT, SCSI-порты) на аппаратном уровне;

* Контроль целостности операционной системы(ОС), прикладного программного обеспечения и файлов пользователя до загрузки ОС.

Аппаратный модуль доверенной загрузки «Аккорд-АМДЗ» представлен на рис. 9.

Рис. 9

«Аккорд-АМДЗ» - это аппаратный модуль доверенной загрузки для IBM-совместимых ПК - серверов и рабочих станций локальной сети, обеспечивающий защиту устройств и информационных ресурсов от несанкционированного доступа.

Комплекс начинает работу сразу после выполнения штатного BIOS компьютера - до загрузки операционной системы, и обеспечивает доверенную загрузку ОС, поддерживающих файловые системы FAT 12, FAT 16, FAT 32, NTFS, HPFS, EXT2FS, EXT3FS, FreeBSD, Sol86FS, QNXFS, MINIX. Это, в частности, ОС семейств MS DOS, Windows (Windows 9x, Windows ME, Windows NT, Windows 2000, Windows XP, Windows 2003, Windows Vista), QNX, OS/2, UNIX, LINUX, BSD и др.

Программно-аппаратный комплекс «Соболь» - это средство защиты компьютера от несанкционированного доступа, обеспечивающее доверенную загрузку.

ПАК «Соболь» обеспечивает контроль и регистрацию доступа пользователей к компьютерам, осуществляет контроль целостности программной среды и доверенную загрузку установленных операционных систем.

ПАК «Соболь» версия 3.0 сертифицирован ФСБ РФ (сертификат No СФ/027-1450 от 01.04.2010) и ФСТЭК России (сертификат No 1967 от 07.12.2009, переоформлен 11.03.2010), что позволяет использовать «Соболь» для защиты информации, составляющей коммерческую или государственную тайну в автоматизированных системах с классом защищенности до 1Б включительно.

Назначение:

ПАК «Соболь» может быть использован для того, чтобы:

* Доступ к информации на компьютере получили только те сотрудники, которые имеют на это право.

* В случае повреждения ОС или важных информационных массивов, хранящихся на компьютере, администратор мог вовремя принять меры по восстановлению информации.

Основные возможности:

· Аутентификация пользователей.

Идентификация и усиленная (двухфакторная) аутентификация пользователей с использованием персональных идентификаторов. В качестве персональных идентификаторов пользователей могут применяться:

§ iButton

§ eToken PRO

§ iKey 2032

§ Rutoken S

§ Rutoken RF S

· Блокировка загрузки ОС со съёмных носителей.

- После успешной загрузки штатной копии ОС доступ к этим устройствам восстанавливается.

- Запрет распространяется на всех пользователей компьютера, за исключением администратора.

Контроль целостности функционирует под управлением операционных систем, использующих следующие файловые системы: NTFS5, NTFS, FAT32, FAT16 и FAT12.

Администратор имеет возможность задать режим работы электронного замка, при котором будет блокирован вход пользователей в систему при нарушении целостности контролируемых файлов.

Электронный замок «Соболь» обеспечивает запрет загрузки операционной системы со съемных носителей на аппаратном уровне для всех пользователей компьютера, кроме администратора.

· Контроль целостности.

Используемый в комплексе «Соболь» механизм контроля целостности позволяет контролировать неизменность файлов и физических секторов жесткого диска до загрузки операционной системы.

- Для этого вычисляются некоторые контрольные значения проверяемых объектов и сравниваются с ранее рассчитанными для каждого из этих объектов эталонными значениями.

- Формирование списка подлежащих контролю объектов с указанием пути к каждому контролируемому файлу и координат каждого контролируемого сектора производится с помощью программы управления шаблонами контроля целостности.

· Сторожевой таймер.

Механизм сторожевого таймера обеспечивает блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса «Соболь».

· Регистрация попыток доступа к ПЭВМ.

ПАК «Соболь» осуществляет ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти. Таким образом, электронный замок «Соболь» предоставляет администратору информацию обо всех попытках доступа к ПЭВМ. В системном журнале фиксируются следующие события:

- факт входа пользователя и имя пользователя;

- предъявление незарегистрированного идентификатора пользователя;

- введение неправильного пароля;

- превышение числа попыток входа в систему;

- число и дата НСД.

· Поддержка платы PCI-Express.

Достоинства ПАК «Соболь»:

* Наличие сертификатов ФСБ и ФСТЭК России;

* Защита информации, составляющей государственную тайну;

* Помощь в построении прикладных криптографических приложений;

* Простота в установке, настройке и эксплуатации;

* Поддержка 64х битных операционных систем Windows;

* Поддержка идентификаторов iKey 2032, eToken PRO и Rutoken v. 2.0.

Преимущества ПАК «Соболь»:

* соответствие законодательным требованиям;

* защита от угроз связанных с получением доступа к компонентам ИСПДн (разграничение доступа, запрет загрузки с внешних носителей и т.д.);

* обеспечивает защиту от НСД и защиту персональных данных;

* соответствие условиям эксплуатации, прописанным в формулярах на продукты Secret Net, «Континент-АП», «КриптоПро CSP», СКЗИ М506А-2000 и М506А-ХР.

Методы защиты БД от несанкционированного копирования

Несанкционированный доступ к SQL-серверу

В большинстве случаев группа администраторов Windows-сервера, на котором установлен также SQL-сервер, являются членами SQL-группы «Sysadmin». Соответственно группа администраторов Windows-сервера автоматически становится и администраторами SQL-сервера, то есть получает полный доступ к нему.

Это не совсем правильно, т.к. администратор Windows-сервера считается несанкционированным пользователем SQL-сервера.

Метод защиты

· Чтобы исключить данную ситуацию, необходимо контролировать SQL-группу «Sysadmin», а именно:

· убрать локальную группу администраторов Windows-сервераиз SQL-группы «Sysadmin» и добавить только учетную запись администратора SQL-сервера;

· если учетная запись «SA» активна - рекомендуется установить ей очень сложный пароль;

· обеспечить уникальность и регулярное изменение паролей для всех учетных записей администраторов;

· включить полный аудит (Successful and Failed Logins), чтобы контролировать все действия учетных записей администраторов.

Несанкционированный доступ к хранилищу БД

Файлы хранилища БД - это обычные Windows файлы (*.mdf, *.ndf и *.ldf).

Примечание. Они доступны для копирования только тогда, когда SQL-служба остановлена.

Доступ несанкционированного пользователя к хранилищу БД дает возможность перенести и развернуть эти файлы на другом SQL-сервере.

Метод защиты

Чтобы защитить хранилище БД, рекомендуется:

· хранить файлы БД на диске с Файловой системой NTFS;

· запустить SQL-службы от Windows/Domain учетной записи;

· выдать полные права доступа к хранилищу БД только учетной записи, под которой запускается SQL-служба;

· запустить аудит файлов, чтобы контролировать все действия, зависящие от хранилища БД;

· регулярно просматривать журнал безопасности Windows, с целью своевременного обнаружения несанкционированного доступа.

Несанкционированный доступ к архивному хранилищу БД

Доступ несанкционированного пользователя к архивному хранилищу (backup) БД дает ему возможность перенести и развернуть backup на другом SQL-сервере, получив, таким образом, доступ ко всей информации БД.

Метод защиты

Для защиты архивного хранилища следует выполнять следующие действия:

· Архивировать БД с помощью следующего запроса:

BACKUP DATABASE {database_name | @database_name_var}

TO < backup_device >

With Password = `p@ssw0rd'

В этом случае невозможно восстановитьархив без пароля.

Для восстановления используетсяследующий запрос:

Restore DATABASE {database_name | @database_name_var}

From < backup_device >

With Password = `p@ssw0rd'

Примечание. Невозможно узнать используемый пароль через SQL-Trace.

· Хранить архивы на диске с Файловой системой NTFS.

· Включить функцию «Шифровать содержимое для защиты данных» для архивного хранилища БД.

· Примечание. Для шифрования используется учетная запись, от которой запущены SQL-службы.

· Выдать полные права доступа к архивному хранилищу БД только учетной записи, под которой запускается SQL-служба.

· Запустить аудит файлов, чтобы контролировать все действия, зависящие от архивного хранилища БД.

· Регулярно просматривать журнал безопасности Windows, с целью своевременного обнаружения несанкционированного доступа. [7]

4.3 Журнал регистрации

Журнал регистрации (рис. 10) содержит информацию о том, какие события происходили в информационной базе в определенный момент времени или какие действия выполнял тот или иной пользователь. Для каждой записи журнала, отражающей изменение данных, отображается статус завершения транзакции (транзакция завершена успешно, или же транзакция отменена).

Рис. 10

Журнал регистрации доступен как в режиме 1С: Предприятие, так и в режиме Конфигуратор.

В режиме 1С: Предприятие по щелчку мыши в полях Данные и Представление данных можно перейти к тому объекту прикладного решения, который указан в записи журнала регистрации.

Информацию, находящуюся в журнале регистрации, можно отбирать по большому количеству критериев. Например, можно отобрать только информацию о том, какие документы изменялись определенным пользователем в заданный промежуток времени (рис. 11).

Рис. 11

Кроме этого, журнал регистрации поддерживает динамическую фильтрацию событий, при которой новые события, удовлетворяющие наложенному фильтру, будут появляться в списке.

Существует возможность настройки уровня событий, отображаемых в журнале регистрации, а также периодичности разделения журнала на отдельные файлы (включение / выключение журнала регистрации возможно как интерактивно, так и средствами встроенного языка) (рис. 12).



Рис. 12

Кроме этого разработчик может самостоятельно добавлять записи в журнал регистрации, используя средства встроенного языка. Такая возможность позволяет настраивать журнал регистрации под нужды конкретного прикладного решения.

В процессе длительной эксплуатации системы в журнале регистрации может накапливаться значительное число записей. Поэтому поддерживается возможность сокращения журнала регистрации и удаления записей, ставших неактуальными. При сокращении журнала регистрации можно записать удаляемые события в файл, если предвидится необходимость их анализа в будущем. Кроме этого поддерживается возможность объединения с журналом регистрации, сохраненным ранее (рис. 13).

Рис. 13

Используя средства работы со списками, разработчик имеет возможность выгрузить журнал регистрации в текстовый или табличный документ, который в дальнейшем может быть сохранен в собственном формате или, например, формате листа Excel или документа HTML.