ПРОЕКТЫ

Петербургский офис компании "Открытые Технологии" (www.ot.ru) отметил годовщину своего существования. Сегодня в нем работает 31 человек, оборот за год составил 4,5 млн. долл., а в 2006 г. планируется увеличить его в 2,5 раза.

Одним из проектов, выполненных силами питерского офиса, стало обследование корпоративной сети ЗАО "ДельтаТелеком" (www.spb.skylink.ru) и выработка рекомендаций по повышению ее надежности и защищенности сетевого оборудования. Сеть компании объединяет офисы, расположенные в разных районах Санкт-Петербурга. Поскольку фирма предоставляет своим абонентам онлайновые услуги и сервисы, к работоспособности корпоративной сети предъявляются жесткие требования.

При обследовании сетевой инфраструктуры наибольшее внимание уделялось коммутируемым сегментам сети на канальном и сетевом уровнях стандартной модели OSI: анализировались особенности взаимодействия протоколов канального уровня (STP, ARP, DHCP, CDP, VTP, EtherChannel), загрузка сегментов сети и состояние коммутируемых портов.

По результатам обследования заказчику были предложены способы модернизации сети, в том числе оптимизации протоколов построения сетевого взаимодействия, схем подключения оборудования, сегментирования VLAN и определения правил доступа к сегментам.

Константин Жебенев,

директор петербургского

офиса: “В следующем году

 мы думаем увеличить

 оборот в 2,5 раза”

Актуальной проблемой крупных сетей является неконтролируемая передача широковещательных пакетов, которые могут забить полосу пропускания вплоть до того, что будет нарушена работоспособность сети. Чтобы не допускать подобных ситуаций, специалисты "Открытых Технологий" предложили средства, позволяющие держать широковещательный трафик под контролем. Для "ДельтаТелекома" были также выработаны рекомендации по внедрению системы обнаружения вторжений, а кроме того, разработаны описания типовых атак, нацеленных на все проанализированные протоколы, и показаны пути их предотвращения.

Помимо этого был составлен детальный план мероприятий по внедрению системы на базе модуля IDSM (Intrusion Detection Services Module) коммутатора Cisco Catalyst 6500, даны способы настройки всех коммутаторов сети, основанные на правилах, предлагаемых ведущими производителями коммуникационного оборудования, включая и Cisco.

Все это позволило повысить надежность корпоративной сети. В частности, уменьшилось время схождения протоколов организации сетевого взаимодействия, а значит, время восстановления сети в целом.

Следует отметить, что применение упомянутых рекомендаций на практике осуществляется сотрудниками "ДельтаТелекома" самостоятельно, т. е. "Открытые Технологии" в этом проекте выступают исключительно в роли консультанта.

Но, безусловно, самым крупным проектом, в котором принял участие и петербургский офис "Открытых Технологий", стали работы по внедрению ERP-системы Oracle E-Business Suite в межрегиональной компании (МРК) "Северо-Западный Телеком" (СЗТ, www.nwtelecom.ru), входящей в состав холдинга "Связьинвест". Собственно говоря, своим открытием офис отчасти обязан именно этому проекту: для его успешной реализации требовалось постоянно иметь на месте проведения работ, т. е. в Санкт-Петербурге, достаточное количество специалистов. Об этом проекте, в котором "Открытые Технологии" выступают в роли генерального подрядчика, уже неоднократно писалось (см., например, www.pcweek.ru/?ID=506688), однако основное внимание при этом уделялось самой ERP-системе. Между тем не менее важным является создание эффективной и безопасной сетевой инфраструктуры, без которой никакие решения верхнего уровня просто не будут нормально работать.

СЗТ стал первой межрегиональной компанией, приступившей к реализации решений, обеспечивающих безопасность ERP-системы. Работы начались в 2005 г. и ведутся в двух направлениях: создание комплекса средств информационной безопасности (КСИБ) для центра обработки данных (ЦОД) и ввод в действие виртуальных частных сетей (VPN).

Основная задача построения КСИБ - защита корпоративных приложений, в том числе ERP-системы; при этом сколько-нибудь значительные изменения в самих приложениях не допускаются, т. е. безопасность должна обеспечиваться внешними по отношению к ним средствами. Это достигается путем применения межсетевых экранов, средств обнаружения вторжений, систем корреляции событий и т. п. Большая часть КСИБ в "Северо-Западном Телекоме" уже разработана и внедряется. На основе полученного опыта созданы шаблоны проектной документации и выработаны решения, которые будут применяться в других МРК, входящих в состав "Связьинвеста".

Потребность в передаче корпоративной информации через каналы связи, арендуемые СЗТ у других телекоммуникационных операторов, привела к принятию решения о создании VPN, способной обеспечить конфиденциальность передачи данных. Внедрение VPN происходит поэтапно ("волнами"). Пока реализована связь между центральным офисом и филиалами СЗТ, на очереди - организация VPN между подразделениями филиалов.

Значительное внимание уделяется также обеспечению безопасности автоматизированных рабочих мест (АРМ) пользователей системы, причем состав средств защиты различается в зависимости от того, для каких именно сотрудников они предназначены. Для аутентификации пользователей ERP-системы в настоящее время применяется обычная схема логинов и паролей, но в целях повышения защищенности системы стойкость пароля ко взлому была регламентирована. После завершения развертывания КСИБ для ЦОД и VPN планируется внедрить систему усиленной аутентификации пользователей по цифровым сертификатам, носителями которых станут электронные ключи eToken и смарт-карты. Хотя многие подразделения СЗТ уже используют электронные ключи и смарт-карты для входа в сеть, создание комплексной системы аутентификации (Single Sign-On), способной обеспечить потребности большинства корпоративных приложений, только начинается.