Приклад звіту з аудиту ІТ-інфраструктури, ІТ-град

Public cloud since 2008

приклад

Наша електронна книгаIaaS для бізнесу по цеглинкахдля генеральних та комерційних директорів

звіту

1. Призначення документа

Проаналізувати доцільність використання поточної кількості серверів та видати рекомендації щодо оптимізації. Проаналізувати поточну модель безпеки.

1.2. Об'єкти аудиту

Серверна інфраструктура, Active Directory, Exchange, доступ до Інтернету, підключення філій, сервера 1С, прийом факсів, корпоративний портал на базі SharePoint 2007, серверне приміщення, мережна інфраструктура.

1.3. Проведені інтерв'ю: системний адміністратор Павло Корчагін

2. Опис об'єкта аудиту

2.1. Загальний опис ІТ-інфраструктури

Інфраструктура складається з головного офісу та чотирьох філій.

Філії пов'язані з головним офісом VPN каналами.

  • 12 серверів у головному офісі.
  • 34 робочих станцій у головному офісі.
  • У філіях кількість робочих станцій вбирається у 5.

2.2. Інфраструктура бізнес-додатків

2.2.1. Поштовий сервер MS Exchange (бізнес critical)

2.2.2. Внутрішній портал MS SharePoint

Внутрішній портал реалізований на базі MS Office SharePoint Server 2007. В основі "движка" порталу лежить веб-сайт на PHP, розташований на робочій станції системного адміністратора. Співробітниками компанії портал використовується вкрай рідко.

2.2.3. 1C (бізнес critical)

1С представлена ​​трьох серверах. Один екземпляр 1с (призначений для виробництва), версія 7.7, встановлений на сервері виділеним під домен контролер. Другий екземпляр 1с (призначений длябухгалтерії), версія 7.7, встановлено на виділений сервер. Третій екземпляр 1с (призначений для бухгалтерії), версія 8.0, встановлено виділений сервер. Супроводженням 1с займається спеціаліст, який залучається з боку. Він виконує backup всіх баз 1с. BackUp баз зберігатиметься за межами компанії у спеціаліста 1С. Поточні системні адміністратори у процедурах backup та відпрацювання процедур відновлення участі не беруть.

2.2.4. Доступ до Інтернету (бізнес critical)

Доступ до Інтернету надається без антивірусного захисту на рівні проксі сервера.

2.2.5. Прийом факсів (бізнес critical)

2.3. Операційна інфраструктура

ActiveDirectory реалізована на базі Windows Server 2003. У головному офісі розміщено 2 контролери. У кожній філії, донедавна, розміщувалося по одному домен контролеру, на якому за сумісництвом розташовувався VPN сервер (на базі MS ISA 2004). На момент аудиту філіальні домен контролери було зупинено. Періодично домен контролери виводяться з експлуатації через виникнення великої кількості помилок і як наслідок відмови в обслуговування, замість домен контролера, що виводиться, вводиться новий. Служба ActiveDirectory реалізована в українській локалізації.

ISA 2004 сервер у головному офісі виступає як VPN сервер, Firewall та проксі-сервер для доступу в інтернет співробітників компанії.

2.3.3. Антивірусний захист

На робочих станціях співробітників компанії встановлено антивірусне програмне забезпечення NOD 32. Вхідні та вихідні поштові повідомлення на поштовому сервері централізовану перевірку на антивірус не проходять.

Немає регулярних процедур BackUp як даних, так і конфігурацій серверів,BackUp виконується довільно. Немає процедур перевірки достатності та цілісності BackUp, і як наслідок навичок відновлення тих чи інших даних або додатків.

2.3.5. Серверне приміщення

3. Результати аудиту

3.1. Виявлені проблеми

3.1.1. Неоптимальність архітектурних рішень

Архітектура ІТ середовища побудована без чіткої концепції та розуміння, як це має бути. Важливі компоненти ІТ середовища (наприклад, домен контролери) зазнають частих і необґрунтованих змін, які несуть у собі великі ризики. Модель підключення філій та співробітників філій до головного офісу часто зазнає змін і також не має чіткої концепції.

3.1.2. Неефективність використання серверних ресурсів

Серверні ресурси використовуються недостатньо оптимально. При поточних потребах компанії у програмах кількість серверів можна скоротити до 6-7.

3.1.3. Організаційні та процедурні проблеми

3.2. Ризики супроводу ІТ інфраструктури

3.2.1. Короткострокові ризики

Короткострокові ризики включають вихід з ладу будь-якого компонента ІТ середовища, як на апаратному, так і на рівні додатків, що тягне за собою перерву в наданні важливих для бізнесу послуг для співробітників компанії, тобто простий. Також не можна виключати втрату важливих для компанії даних та неможливість їх відновлення в принципі (відновлювати просто ні звідки).

3.3. Пропозиції за результатами аудиту

3.3.1. Проект з оптимізації ІТ інфраструктури

Як варіант, наша компанія може розробити архітектуру ІТ середовища компанії з урахуванням поточних потреб бізнесу і передати проект на реалізацію силами фахівців ІТ відділу компанії. У цьому варіанті успішність у реалізації проектупереважно залежить від компетенції фахівців ІТ відділу компанії.

3.3.2. Разовий захід щодо нормалізації серверної інфраструктури

Можливий разовий захід щодо нормалізації та оптимізації ІТ середовища компанії, включаючи налаштування додатків, виправлення поточного стану методом виявлення помилок додатків та їх усунення, а також розробка правил та процедур для управління ІТ середовищем. І як кінцевий етап передачі управління ІТ середовищем фахівцям ІТ відділу компанії. При цьому варіанті успішність заходу залежатиме від компетенції фахівців ІТ відділу при супроводі "вибудованого" ІТ середовища та відсутності необдуманих ініціатив щодо зміни ІТ середовища.

3.3.3. Передача на аутсорсинг критичних бізнес-додатків