На Предприятии отсутствует единая служба синхронизации времени, однако различные компоненты информационной структуры осуществляют синхронизацию времени внутри своего сегмента: • Novell. Синхронизация осуществляется стандартными средствами. АРМ с установленным Novell клиентом обновляют данных о точном времени автоматически. • Домены AD. Синхронизация осуществляется стандартными средствами. • Сервер «Энергосистемы» получает информацию о точном времени со спутника точного времени. Информация используется оборудованием, ведущим учет электроэнергии. Другие сервера не осуществляют синхронизацию с этим сервером.
3.3.2 Почтовая служба
Почтовая служба Заказчика функционирует на базе ПО MDaemon, которое функционирует на сервере Proxy. В качестве протоколов почтового обмена используются стандартные протоколы Интернет: pop3, smtp. Почтовые базы хранятся на рабочих станциях пользователей и не обслуживаются ИТ персоналом.
Почтовая служба защищена от вирусных атак посредством подключаемого антивирусного модуля (сервер) и установленных агентов AVP на компьютерах пользователей.
Входящая почта поступает на сервер почты согласно mx записям. Фильтрация почты осуществляется только на уровне подключенных антивирусных модулей. Сервер почты так же используется как почтовый шлюз для отправки электронной почты.
Почтовые адреса стандартизованы и составляются по шаблону: <первая буква имени>+<фамилия>@имя.ru
Так же, по отдельному запросу, либо для сохранения исторической преемственности, используются почтовые псевдонимы для некоторых адресов.
Первоначальные пароли для доступа к почтовым ящикам по POP3 не синхронизированы со службами каталога и как правила задаются без учета сложности, например: 1111 или 333333. В дальнейшем пользователь может сменить пароль на более безопасный. Пользователь так же может сменить пароль используя WEB доступ к почтовому серверу.
POP3 сервис и SMTP Relay не доступен для внешних адресов.
3.3.2.1 Обмен сообщениями
Большинство пользователей используют сервер почты для получения и отправки корреспонденции. Исключение составляют домены головной Организации, письма на которые отправляются по внутреннему каналу непосредственно серверам получателей.
Mdaemon размещен на одном сервере с Microsoft ISA 2000, в связи с чем для ISA сервер настроен на не стандартную конфигурацию (возможность использования локальным 25 портом).
3.3.2.2 Общие папки
Сервис общих папок не используется.
3.3.3 Proxy сервис
Proxy сервис основан на функционале Microsoft ISA 2000, установленном на сервере Proxy. В данный момент ИТ персонал рассматривает возможность перевода прокси сервиса (а также firewall) на платформу ISA 2006.
Прокси сервер сконфигурирован для обеспечения следующих функций:
Кэширование WEB запросов
Доменной авторизации (интеграция с AD) запросов
Журналы доступа по доменным записям
Фильтрация SMTP протокола
Функции пакетного фильтра и межсетевого экрана
Разрешены входящие соединения на порт smtp
Разрешены исходящие соединения для ПО банк-клиент
Разрешены исходящие соединения для ICQ
Разрешены исходящие соединения для FTP (VIP пользователи)
Для остальных видов трафика forwarding запрещен (в том числе исходящий трафик на чужие smtp и pop3 сервера)
Сервер Proxy является членом домена.
Фильтр по ограничению использования Internet по трафику – объем трафика определяется исходя их суточного запрошенного времени работы в расчете 1 час / день = 30Мб / мес.
3.3.3.1 Авторизация
Сервер обеспечивает прозрачную авторизацию пользователей по доменным учетным записям.
Разграничение доступа, лимиты, как временные так и весовые, привязаны к группам безопасности AD.
Для неблагонадежных сайтов существуют периодически обновляемые блок листы.
3.3.4 Интранет
В сети Предприятия присутствует Интранет сервер, не несущий бизнес критичных функций и используемый в основном в качестве доски объявлений IT-группы.
Кроме того, функционал Интранет сервера позволяет управлять почтовым ящиком пользователя (чтение, удаление, отправка писем, изменение пароля).
3.3.5 Мониторинг и управление. Распространение ПО.
Система мониторинга и управления в целом не развита. Отсутствует ПО для мониторинга аппаратной части сети и управления АРМ.
3.3.5.1 Мониторинг
Для отслеживания изменений в сети используются встроенные средства Windows и программный продукт Dmware.
Для окружения Novell – remote console.
3.3.5.2 Управление
В качестве средств удаленного управления рабочими станциями используются: • Встроенные средства Windows (mmc консоль)
• RAdmin 2.1
• DMWare
3.3.5.3 Распространение ПО
Система распространения ПО отсутствует.
3.3.6 Служба печати
Большинство принтеров подключены непосредственно к рабочим станциям. Общий доступ осуществляется с помощью клиентов сети Microsoft. Очереди печати храняться на рабочих станциях, к которым и подключены принтеры.
Так же присутствует несколько (около 3) выделенных сетевых принтера, подключаемых как локальный порт.
Управление печатью и разграничения доступа отсутствуют.
3.3.7 Файловые ресурсы
Политика использования файловых ресурсов отсутствует. Документы пользователей могут храниться как локально так и на сетевых ресурсах.
3.3.7.1 Локальные файловые ресурсы
Локальные файловые ресурсы в основном используются для хранения рабочих документов пользователей, а так же для хранения почтовых баз.
Административно запрещено предоставлять локальные ресурсы к общему доступу, однако, так как многие пользователи являются администраторами своих рабочих станций, полностью избежать подобной практики не удается.
Общий размер бизнес критичных локальных файловых ресурсов в расчете на одно АРМ оцениваться (в среднем) в районе 2Гб.
3.3.7.2 Сетевые файловые ресурсы
Сетевые файловые ресурсы в основном используются для трех целей:
• Размещение файлов общего доступа, таких как справочники, шаблоны и т.п.
• Размещение документов департаментов и отделов (буфер передачи)
• Размещение баз данных файлового доступа (таких как Access)
Так же серверные ресурсы используются для хранения клиент-серверных БД. Суммарно (для всех серверов) используется порядка 200Гб (~180 сетевых папок).
Подключения ресурсов в случае Novell осуществляются логин скриптом. Для Windows клиентов как правило осуществляется индивидуальная настройка для каждого пользователя
3.3.7.3 Внешние файловые ресурсы
Выделенные файловые ресурсы, такие как внешние дисковые массивы отсуствуют.
3.3.8 Базы данных
Заказчик использует большое количество баз данных, используемых приложениями собственной разработки.
3.3.8.1 Базы данных файлового доступа
На предприятии используются следующие сервера в качестве средств хранения и предоставления ресурсов для БД файлового доступа (с указанием вида БД):
Ресурсы сети Novell DBASE (FoxPro) Paradox
Ресурсы сети Windows ACCESS FoxPro
3.3.8.2 Клиент-серверные БД
На предприятии используются следующие БД по технологии клиент-сервер:
Базовое ПО: Microsoft Windows
Interbase
MS SQL
Oracle 8
Базовое ПО: Linux
Linux (MySQL)
Базовое ПО: Unix
Oracle 8
Большинство БД расположенных на серверах MS используют смешанную авторизацию (по домену и по спискам доступа). Частично приложения используют авторизацию по домену, работая с базой под учетной записью системного пользователя.
Для работы с БД Oracle используются авторизация на уровне приложений-клиентов
3.3.9 Антивирусная защита и защита от атак
3.3.9.1 DoS атаки, спуфинг
Собственные средства защиты от DoS атак и спуфинга отсутствуют. Частично защита осуществляется на оборудовании провайдера.
3.3.9.2 Защита файловых ресурсов
На всех серверах Заказчика установлена серверная версия Антивируса Касперского. Обновление баз для всех серверов осуществляется автоматически с общего ресурса сервера.
Обновление антивирусных баз на сервере осуществляется вручную администратором, который ежедневно загружает обновления баз и корректирует содержимое общей папки.
Обновление антивирусных баз на серверах Novell так же осуществляется вручную, в связи с отсутствием возможности автоматического обновления баз в клиенте AVP для Novell.
Локальные рабочие станции защищены Антивирусом Касперского.
3.3.9.3 Защита почтовых систем
Защита почтовой системы, базирующейся на ПО MDaemon осуществляется с помощью подключаемого модуля на базе Антивируса Касперского. В ходе эксплуатации антивирусного модуля были выявлены сбои в работе в результате которых модуль пропускал даже известные ему вирусы.
Дополнительно для обеспечения защиты от вторжений используются обучаемые фильтры содержимого.
3.3.9.4 Защита HTTP протокола
Защита отсутствует.
3.3.9.5 Антиспам
Для защиты от не санкционированных рассылок используется подключаемый модуль фильтрации содержимого. Модуль является обучаемым.
