Системная интеграция — комплексный подход к самостоятельному решению проблемы

РОМАН МАРКОВ

Системная интеграция – комплексный подход

к самостоятельному решению проблемы

«Системная интеграция». К сожалению, не все IT-специалисты четко понимают смысл этого выражения. Сегодня мы попробуем разъяснить значение этого популярного в области информационных технологий термина, а также дадим рекомендации по самостоятельному осуществлению этой задачи силами собственного IT-отдела.

Проект системной интеграции в разрезе информационно-технического обеспечения предприятия – это комплекс действий, направленных на автоматизацию рабочих процессов и увеличение эффективности труда сотрудников при помощи вычислительной техники, а также на повышение безопасности корпоративной сети.

При этом понятие «интеграция» подразумевает реализацию единых механизмов взаимодействия IT-ресурсов и пользователей, комплексные меры безопасности на уровне всей информационной структуры предприятия, создание административной политики работы в сети, регламент функционирования отделов технической поддержки, системных администраторов и руководителей IT-структур.

Помимо этого, важным условием для успешного внедрения проекта является реализация всех этапов автоматизации одной организацией (структурным подразделением), имеющей опыт создания и сдачи подобных проектов «под ключ».

С чего начать?

Попробуем описать общие концепции такого проекта, а также типичные ошибки и трудности, с которыми придется столкнуться на различных этапах работы. Автор статьи является руководителем отдела системной интеграции IT-компании и принимает прямое участие в таких проектах. Описанные ситуации основаны на реальных событиях, происходящих в процессе взаимодействия с участниками проекта. Как было сказано выше, «системная интеграция» – глобальный процесс, поэтому участниками проекта в той или иной мере являются все сотрудники фирмы. В связи с этим и появляется необходимость в создании административных правил для всех подразделений предприятия. Впрочем, обо всем по порядку. Опишем порядок как административных, так и технических мер.

Существуют два варианта развития проекта:

• Вы хотите построить на своем предприятии всю IT-структуру «с нуля» и «под ключ».
• У вас уже есть функционирующая сетевая инфраструктура, которую необходимо упорядочить.

Как правило, первый вариант всегда проще, хотя и в этом случае обязательна разработка плана и концепций. В противном случае в итоге вы получите вариант №2 и начало новой попытки системной интеграции. Рассмотрим первый вариант как основу построения корпоративных систем, а затем на его базе проанализируем возможные пути модификации уже существующей инфраструктуры.

Кабельная система – все «с нуля»

Как «театр начинается с вешалки», так и любая IT-система начинается с физических коммуникаций. Проще говоря, с проводов (или беспроводных коммуникаций). Именно грамотное проектирование с учетом дальнейшего роста компании, а также качественная разводка кабельных систем и определяет дальнейшие возможности масштабирования существующей сети.

Старайтесь сразу строить предварительные расчеты и планы таким образом, чтобы свести все коммуникации (локальная сеть и телефония) в единый центр коммутации. Как правило, это коммутационный шкаф-стойка для установки в нем патч-панелей и оборудования. Именно здесь рекомендуется сконцентрировать все проводные коммуникации для их дальнейшей коммутации и распределения. Кажущиеся излишними трудозатраты по организации описанной схемы с лихвой оправдаются дальнейшей экономией времени при реорганизации фирмы (переезды отделов в другие помещения, добавление рабочих мест и т. п.). Статистика показывает, что в средних и крупных компаниях примерно 30% служащих раз в год меняют свое рабочее место в связи с описанными выше событиями. И именно по этой причине всегда необходимо планировать кабельную сеть таким образом, чтобы количество розеток было большим, чем нужно для удовлетворения сегодняшнего спроса. При масштабировании сети такой избыток дает возможность пользователям и гостям беспроблемно мигрировать внутри офиса.

Всегда необходимо помнить, что и в глобальных коммуникациях (это могут быть как соединения между помещениями, так и между зданиями) рекомендуется предусмотреть «лишнюю пару» – дополнительный провод (или несколько – все зависит от задач), который не будет использоваться сразу, однако при необходимости легко вводится в общую схему коммутации. Это поможет в будущем избежать проблем с потерей скорости при резком увеличении количества рабочих мест в соседних зданиях/помещениях. Телефонная сеть вообще является камнем преткновения при расширении компании. В случае с масштабированием компьютерной сети всегда можно выйти из положения (пусть и ценой потери скорости передачи данных) установкой дополнительного сетевого коммутатора в помещение, где сгруппировались новые рабочие места. К сожалению, со стандартной телефонией такой фокус не проходит и при необходимости увеличить количество телефонов в определенном помещении приходится тянуть туда новые провода. В этом случае и можно будет использовать «лишний провод», который был заблаговременно оставлен при первичной прокладке сети. Причем задействовать витую пару, которая была запланирована под локальную сеть с некоторой избыточностью, оказывается гораздо удобнее, так как по стандартной витой паре можно прокинуть сразу несколько телефонных линий.

Постарайтесь при начальном монтаже максимально облегчить себе дальнейшую жизнь. Справедливость поговорки «Два переезда равны одному пожару» много раз проверена на практике, поэтому попробуйте приложить все усилия, чтобы спланировать это еще на этапе проектирования кабельных систем. Помимо этого, не стоит забывать об уже прочно держащих позиции технологиях беспроводных сетей. В последние годы оборудование для построения беспроводных сетей наконец-то стало удовлетворять тем требованиям, которые возникают при работе пользователей с современными сетевыми приложениями, так что их применение в помещениях с прямой видимостью (или с незначительными перекрытиями) является прекрасной альтернативой проводным системам. Однако следует помнить, что стремиться построить полностью беспроводную сеть не стоит – соединения между помещениями/этажами лучше сделать на кабельной основе.

Оборудование

После того, как все кабельные системы спроектированы и построены, можно приступать к закупке нового оборудования и модификации устаревшего. Тут следует руководствоваться многократно описанными принципами соответствия поставленных задач и необходимой для этого техники. Прежде всего необходимо напомнить основную мысль, которую, к сожалению, очень часто игнорируют: не экономьте на узлах, которые являются критичными по отношению к работоспособности всей системы. Практика показывает, что возможность сэкономить хотя бы сотню долларов часто приводит к тому, что закрываются глаза на обратную сторону медали – итоговую надежность системы. Как правило, руководители, принимающие решения в области финансирования, не в состоянии оперировать техническими понятиями. Зато они прекрасно знают и понимают значимость таких терминов, как «убытки в результате простоя предприятия», «цейтнот при формировании результатов», «налоговая и финансово-экономическая отчетность». И в техническом обосновании приобретения надежной техники должны бросаться в глаза не «гигагерцы и гигабайты», а аргументы, понятные именно этим людям. Например, фраза о том, что «скорость формирования товарного отчета увеличится в 6-10 раз, а скорость формирования складских документов повысится в 4 раза» гораздо эффективнее, нежели «время реакции дисковой системы при операциях чтения-записи улучшается в 5 раз». Всегда помните – для руководства важны итоговые результаты, а не технические подробности. Научитесь формулировать свои мысли и идеи так, чтобы они были понятны людям, принимающим решения о финансировании проекта. Тогда вы получите большие возможности для реализации задуманного. Также немаловажным является приведение расчетов, показывающих экономическую эффективность модернизации. Спрогнозировав возможные перемещения рабочих мест сотрудников, увеличение их численности, появление новых задач, рост рабочих информационных баз, вы сможете заранее просчитать будущие затраты на необходимую модернизацию ресурсов, и сравнив их с возможностью сразу приобрести необходимую технику, вывести экономическую выгоду.

В частности, попытка сэкономить на серверных системах обычно приводит либо к необходимости новой модификации уже через полгода, либо вообще к падению операционной системы, потере рабочих данных и, соответственно, незапланированным простоям – от невозможности работы одного отдела до остановки работы всего предприятия.

Если рассматривать требования к таким системам, то очевидна необходимость применения в серверах надежных дисковых систем в случае больших вычислительных нагрузок – многопроцессорных ресурсов, резервных систем электропитания и защиты от перегрузок в электрических сетях. Не стоит пользоваться принципом: «система может и на IDE-диске стоять – там никаких нагрузок нет». Сэкономив 50-100 у.е. сейчас, ваша фирма получит неработоспособную систему через год. Причем произойдет это как всегда «в самый неподходящий момент». Запомните – не бывает «подходящих моментов» для выхода из строя информационной системы. И именно вы несете за это ответственность. Если при обсуждении расходов вы натыкаетесь на стену непонимания и экономить на критически важных узлах принуждают люди, принимающие решения о финансировании, – не забывайте принять меры для того, чтобы не оказаться крайним. В данном случае рекомендуется написать на имя руководителя служебную записку примерно следующего содержания:

Директору ООО «Рога и копыта»

Пупкину Василию Дормидонтовичу

от системного администратора

Федькина Петра Ивановича

Служебная записка

Довожу до Вашего сведения, что использование в приобретаемых серверах жестких дисков типа IDE, а также отсутствие источников бесперебойного питания мощностью не менее 1000 VA могут привести к неполадкам в работе информационной системы вплоть до полного выхода из строя и потере хранимых данных.

Подпись

Ознакомлен: <подпись директора>

Ну и последнее замечание, касаемо физического построения сетей. Документируйте свои действия, маркируйте коммуникации. Даже если вы не владеете профессиональными программами для проектирования и документирования информационных сетей – программу Microsoft Visio никто не отменял. Она представляет собой довольно неплохой инструмент для инженерного планирования начального уровня. Маркировка кабелей и кабель-каналов – вообще обязательное действие. Помимо этого необходимо маркировать и серверы в стойках. Когда в стойке смонтировано несколько серверов от одного производителя, вряд ли удастся навскидку сказать, какой из них за что отвечает. Крепите на них таблички с DNS-именем и IP-адресом.

Если что-то уже есть…

Если вы модернизируете уже существующую информационную систему, то все советы, приведенные выше, остаются в силе. Помимо этого, при наличии старых коммуникаций необходимо проверить их на целостность и качество передачи.

Простейший способ – посмотреть статистику передачи по сетевым интерфейсам после проведения множественных операций передачи/приема данных. Если скорость передачи недостаточна, а в статистике появляются потерянные пакеты – стоит задуматься о смене кабельной системы или отдельных ее частей. Однако такой способ проверки является довольно спорным и отражает действительность только при грамотной настройке приемника/передатчика. В противном случае, например, плохо настроенное антивирусное ПО, может отрицательно повлиять на упомянутые характеристики, хотя сама кабельная система окажется идеальной. Гораздо лучше применять тестирование кабельной системы на физическом уровне при помощи приборов, измеряющих такие характеристики, как сигнал/шум, сопротивление изоляции и др. Это дорогостоящее оборудование, однако вовсе необязательно его приобретать. Для тестирования в сомнительных случаях можно обратиться к организациям, оказывающим подобные услуги. В любом случае при сложной кабельной разводке такое исследование обойдется дешевле смены всей кабельной системы. Точно так же необходимо подвергнуть тестированию и ресурсы серверов, и при необходимости – рабочих станций. Недостаточно просто переустановить операционную систему на сервере. Необходимо убедиться в том, что нет дефектов в оборудовании – дисковой системы, памяти и т. д.

Информационная среда

Убедившись в исправности физических коммуникаций и оборудования, следует переходить к следующему этапу – внедрению информационной среды. На этом этапе необходимо будет установить операционные системы на серверы и рабочие станции, организовать их взаимодействие, настроить программное обеспечение под конкретных пользователей. Разумеется, что выбор операционных систем и распределение задач должны происходить еще до того, как будет закуплено оборудование. Тут все стандартно – подбор соответствующего оборудования происходит исходя из поставленных задач.

Перейдем к принципам настройки серверного программного обеспечения, вопросам защиты от вторжений, а также настройке рабочих станций для взаимодействия с серверами и между собой. Акцентируем ваше внимание, что в статье не приводится инструкций по настройке конкретного программного обеспечения или оборудования, а даются общие рекомендации, следуя которым вы получите максимально защищенную IT-структуру. Также не указывается никаких предпочтений при выборе операционных систем для реализации проекта. Автор ни в коей мере не претендует на непогрешимость указанных методов, а всего лишь делится своим опытом реализации подобных проектов. Практика показала, что после сдачи таких сетей у заказчиков не возникает необходимости полной реорганизации, а масштабируемость позволяет легко вводить в эксплуатацию новые сервера, рабочие места и программное обеспечение.

Прежде всего необходима логическая структура, которая будет объединять все учетные записи для пользователей, компьютеров и серверов в одно целое. Это «домен». Обращаем внимание, что понятие «домен» вовсе не подразумевает обязательное использование продуктов Microsoft, как многие ошибочно считают. «Домен» в переводе означает «область», «район». То есть в нашем случае домен – это логическое объединение для централизованного управления. Домен отличается от рабочей группы тем, что данные о всех структурных единицах, в него входящих, хранятся в единой центральной базе данных, что сильно упрощает администрирование системы в целом.

Внутри домена необходимо спланировать разделение упомянутых структурных единиц на группы. Это упростит дальнейшее делегирование прав на пользование ресурсами. Помните, что основой построения защищенной среды является принцип «что не разрешено, то запрещено» и ни в коем случае не наоборот! Действительно, по умолчанию при начальном вводе систему в эксплуатацию никто (кроме администратора, разумеется) не должен иметь доступа никуда. Абсолютно! После этого можно делегировать группам и структурным единицам определенные права. Упомянутый и кажущийся очень простым принцип на самом деле подразумевает под собой систему глобальной безопасности. Просто необходимо научиться корректно его реализовывать.

Связь с внешним миром и безопасность

Построив систему в виде локальной сети и проверив ее работоспособность (взаимодействие клиент-сервер, клиент-клиент, действие запретов и разрешений), приступаем к организации связи с внешним миром. Проще говоря, подключаемся к сети Интернет и другим филиалам компании. Тут действует тот же универсальный принцип, о котором мы уже писали. Поэтому перед тем, как подключить кабель от внешнего мира к вашей локальной сети, необходимо убедиться в том, что на устройстве маршрутизации запрещен проход любого трафика во всех направлениях. Только после этого можно аккуратно добавлять настройки, которые будут частично разрешать прохождение необходимого трафика. Любые запросы, не отвечающие разрешающим правилам, должны отбрасываться. Причем чаще всего рекомендуется применять для защиты «режим молчания». Запрещающие правила систем маршрутизации при поступлении соответствующего пакета отправляют ответ о том, что запрошенный ресурс запрещает подключение к нему. При соблюдении режима молчания такой пакет игнорируется, имитируя выключенное или несуществующее устройство. Для настройки таких систем необходим специалист, хорошо представляющий работу стека протокола IP. Для большей надежности рекомендуется использовать аппаратные маршрутизаторы/межсетевые экраны. Абсолютным лидером в этой области является компания Cisco Systems. Однако их продукты отличаются очень высокой стоимостью (проверенная надежность не бывает дешевой). В последнее время на рынок вышли многочисленные компании, предлагающие недорогую альтернативу подобным продуктам. Практически все производители сетевого оборудования имеют в ассортименте решения для построения защитных систем эконом-класса (маршрутизаторы со встроенными пакетными фильтрами, VPN-маршрутизаторы). Наиболее надежным окажется решение с использованием каскадного комплекса защиты. Например, последовательного использования аппаратного маршрутизатора и шлюзового сервера с работающими на нем средствами маршрутизации и протоколирования.

Следующие шаги также неразрывно связаны с доступом во внешний мир. Это использование антивирусных мониторов и сканеров корпоративного уровня, а также обязательное создание внутреннего почтового сервера, отвечающего за перенаправление всей электронной почты компании. Акцентируем внимание на словосочетании «корпоративный уровень». Помните, что в системе IT-безопасности компании не должно быть звеньев, хоть каким-то образом зависящих от решения пользователя. Понятие «корпоративный антивирусный монитор и сканер» означает, что это программное обеспечение настраивается и устанавливается администратором системы, автоматически проверяет наличие обновлений, распространяется на всю сеть, а пользователь не в состоянии ни отключить, ни удалить продукт со своей рабочей станции. Такой антивирусный продукт при грамотной настройке не будет спрашивать пользователя о необходимости обновить свои базы, не станет уточнять, что делать с зараженным файлом, не позволит вмешаться в свою работу.

При этом корпоративная почтовая система просканирует всю входящую и исходящую корреспонденцию еще до того, как пользователь получит возможность принять ее, отбросит зараженные письма, заблокирует подозрительные и явно запрещенные вложения, проверит легитимность отправителя и отсутствие его в международных черных списках. И только после этого доставит письмо пользователю. Как правило, на почтовые системы устанавливают антивирус другого производителя, нежели используется в режиме монитора внутри локальной сети. Таким образом достигается страховка от несвоевременного выхода обновлений какого-либо из них. Неопознанное на почтовом сервере зараженное письмо будет поймано монитором на локальной машине пользователя и наоборот. Для еще большей надежности можно применять третий способ защиты – сканирование межсетевого трафика на промежуточном шлюзе. Однако стоит помнить, что нельзя использовать одновременно несколько таких средств в едином логическом пространстве (например, сервере или рабочей станции). Так, одновременная установка двух антивирусных мониторов разных производителей на один компьютер когда-то породила известную в IT-мире байку про дуэль антивирусов. Проверка может быть только последовательной.

Не стоит также забывать о контроле активности пользователей в сети Интернет, ведении статистики посещаемости и отчетов по трафику интернет-ресурсов. Так, периодически просматривая указанную статистику, можно обнаружить «нездоровую» активность в определенном направлении и предотвратить утечку информации или распространение вредоносных программ. Помните, что «вы не можете управлять тем, что не можете подсчитать». Как правило, при грамотной настройке дальнейшая работа администратора сети заключается в постоянном контроле. Всего и вся. Осознание того, что полностью контролируешь процесс, приносит уверенность в дальнейшей работе. И напротив – даже малое непонимание происходящего в итоге приведет к полному падению системы. Контролируйте свою систему и спите спокойно. И тогда бытующее мнение о том, что системные специалисты работают круглосуточно и не спят ночами, канет наконец-то в лету. В таком дерганом режиме работают те, кто не спланировал работу заранее.

Проблемы при модернизации существующих систем

Перестроение уже работающей структуры также отвечает описанным требованиям. Однако при таком развитии событий появляются некоторые трудности. Во-первых, необходимо составить подробный план перехода и проанализировать, с какими именно трудностями можно столкнуться при реализации каждого этапа. Во-вторых, осуществить внедрение в исключительно короткие сроки. Это, пожалуй, самое трудновыполнимое условие, однако поверьте, что при наличии необходимых профессиональных навыков и опыта оно осуществимо. В противном случае стоит задуматься о возможности привлечения дополнительных специалистов на время проекта. Чтобы не быть голословными, скажем, что полная реорганизация информационной сети компании (замена всех кабельных систем, располагающихся в 2 зданиях, со 100 рабочими станциями и 3 серверами, довольно большое количество сетевых приложений, включая устаревшие DOS-программы) заняла у нас 3.5 дня. Выпавшие на эти дни государственные праздники оказались как нельзя кстати, и уже в начале второй половины рабочего дня сотрудники приступили к своим обязанностям. В последующие 2 дня специалисты выслушивали пожелания сотрудников и исправляли незначительные неточности.

Хотелось бы сказать еще об одной довольно серьезной проблеме, часто препятствующей успешной реализации проекта. Это человеческий фактор. А точнее – нежелание определенных индивидуумов оказывать содействие специалистам, а иногда и саботаж с их стороны. За этим стоят разные причины, одной из которых может быть нежелание обучаться работе с новыми программными продуктами и технологиями. Если к этому присовокупить то, что часто такие люди занимают одни из ведущих или необходимых постов в компании и к их словам бездумно прислушиваются руководители, не желая при этом проанализировать ситуацию, – процесс может быть крайне затруднен. На практике встречались разные случаи. Например, в одной крупной строительной фирме бухгалтер со скандалом врывалась к директору и жаловалась на то, что системный администратор умышленно мешает ей работать. На самом деле администратор после внедрения домена Windows 2000 хотел добиться работы в единой операционной среде на всем предприятии и заменить технически устаревшую операционную систему Windows 98 на Windows 2000, тем более что ресурсы компьютера это позволяли. А бухгалтер заявила, что не будет работать в другой системе. В итоге техническому специалисту было в приказном порядке запрещено что-либо менять на компьютере бухгалтера. Помимо этого претензия заключалась в том, что «не надо мне никаких нортонов, пусть стоит касперский». В другой организации бухгалтера постоянно провоцировали сбои и ошибки в работе системы учета, так как не хотели принимать решение руководства о переходе на новую информационную систему бухгалтерского учета взамен старой, которая уже не соответствовала изменениям в законодательстве. Сговорившись, они умышленно искажали результаты работы программы. К счастью руководство оказалось более лояльным по отношению к техническим специалистам и, уволив из бухгалтерии двух человек, издало приказ о «содействии сотрудников техническому персоналу для перехода на новую систему учета».

Эти случаи далеко не единичны и многим знакомы не понаслышке. К сожалению, тут два выхода: либо убедить руководство в необходимости модернизации и создания административных приказов и инструкций, либо отказаться от проекта. В противном случае можно получить «частично работающую систему», что не является приемлемым в любых случаях.

Подводя итоги

В заключение можно сказать, что компании, решившиеся на реализацию проекта системной интеграции своими силами, должны быть уверены в том, что опыт сотрудников собственного IT-отдела позволит осуществить внедрение от начала и до конца. То есть не прекратить его, а именно завершить. В противном случае может оказаться, что из-за отсутствия навыков в некоторых областях весь проект может претерпеть неудачу. Как следствие придется прибегать к помощи компании системного интегратора, которая, скорее всего, заново будет просчитывать весь процесс и потребует сменить не соответствующее требованиям оборудование. Что, разумеется, приведет к дополнительным (и часто немалым) расходам. Поэтому именно на руководителя IT-структуры ложится основная ответственность по выбору пути системной интеграции. И глобальное понимание этим человеком всей структуры и бизнес-процессов предприятия, а также профессионального потенциала своих подчиненных поможет в итоге принять правильное решение, сделав процесс максимально эффективным, рациональным, а значит, и экономически выгодным.