При проведении обследования были отмечены следующие недостатки:
Сеть Предприятия в настоящее время построена без обеспечения резервирования, что грозит существенными сроками простоя при выходе из строя любого из устройств ядра сети.
Коммутатор Cisco Catalyst 6006 не оснащен резервным источником питания, что также грозит простоем при отключении электропитания, установка резервного источника питания позволяет осуществить подключение к различным источникам питания.
Управление сетевым оборудованием обеспечивается по протоколу TELNET, производящим передачу данных в открытом виде в том числе, учетную запись и пароль доступа к оборудованию.
Отсутствуют правила наименования оборудования.
Отсутствует мониторинг сети.
Отсутствует централизованный сбор информации о событиях на оборудовании (logging).
Управление оборудованием возможно с любой точки сети, что в совокупности с отсутствием централизованного сбора информации о событиях на оборудовании позволяет произвести анонимную модификацию настроек оборудования.
Технологическое оборудование подключено в один сегмент сети передачи данных с офисным оборудованием, в том числе и рабочими станциями программистов.
Нет разграничения доступа между виртуальными сетями.
4.1.2 Кабельная структура
Структурированная кабельная система (СКС) существует фрагментами только в зданиях Управления и Управлении цеха 4. В настоящее время отсутствует резервирование оптических линий связи, однако производится прокладка дополнительных магистральных линий связи. Проложенные в результате магистрали обеспечат оптическую связь между всеми основными объектами сети предприятия.
4.2 Инфраструктура уровня предоставления сервисов
4.2.1 Служба каталога
На предприятии параллельно использует три основные службы каталога:
Active Directory
eDirectory
NDS
Последняя из них является устаревшей, остальные обладают высокими характеристиками масштабируемости и управляемости. В то же время, большинство возможностей, предоставляемые как AD так и eDirectory не используется либо используются с ограничениями. В дополнение к сказанному, использование служб каталогов от различных производителей вызывает дополнительные сложности в эксплуатации информационных систем.
Кроме того, развертывание службы каталога AD в силу организационных причин (Развертывание AD было проведено по имеющимся доменам NT – 4. В момент развертывания за домены отвечали разные подразделения, не было физического соединения этих сетей, а следовательно, отсутствовала возможность разворачивания единого леса.) было произведено с ошибками, которые ограничивают возможности дальнейшего роста системы, затрудняют обслуживание и могут создать проблемы с безопасностью, например:
При планировании структуры доменов не были учтены рекомендации Microsoft, в результате чего было развернуто три домена, каждый из которых одновременно является корнем своего леса и рабочим доменом для пользователей
Для преодоления сложностей, возникших в связи с описанной ошибкой с планированием доменной структуры, были установлены отношения доверия между доменами через корни лесов, что может скомпрометировать учетные записи администраторов, а так же вызвать другие проблемы с безопасностью
В качестве DNS имени домена выбрано безсуффиксное имя (имя первого уровня), что может повлечь некорректную работу репликации и других служб из за конфликта с областью имен NETBIOS
Использование каталога eDirectory не обосновано, так как его ресурсы используются исключительно для аутентификации пользователей при доступе к дисковым ресурсам, в то время как такая же возможность предоставляется основной службой каталога предприятия.
Для исправления указанных недостатков рекомендуется проведения комплекса мер, включающих:
Редизайн структуры AD, объединение трех каталогов в единое дерево с выделенным корневым доменом
Перенос ресурсов, использующих каталог eDirectory в область действия каталога Active Directory c соответствующими корректировками настроек рабочих станций
Отказ от использования избыточных служб каталога
Разработка организационной структуры каталога
Разработка комплекса политик для управления объектами каталога
Разработка многоуровневой структуры групп безопасности
4.2.2 Система корпоративной электронной почты
На момент обследования корпоративная почтовая система базировалась на службе MDaemon. В ходе обследования почтовой системы выявлены следующие недостатки:
Используется единственный почтовый сервер как для коммуникаций с внешними адресатами, так и для внутрикорпоративного использовании, что снижает безопасность.
Почтовый сервис объединен с другими сервисами (ISA), что снижает производительность почтовой системы, а так же ставит ее в зависимость от функционирования этих сервисов.
Использование клиентского протокола POP3 хотя и обеспечивает максимальную совместимость с клиентским ПО, вынуждает хранить пользовательские почтовые базы непосредственно на компьютерах пользователей, что может повлечь их разрушение (из-за превышения размера, отказа HDD и т.д.) и затрудняет проведение резервного копирования.
Модуль антивирусной проверки работает ненадежно, что потенциально может вызвать угрозу вирусного заражения сети.
Для преодоления этих недостатков рекомендуется:
Переход на корпоративную почтовую систему класса MS Exchange
Разнесение функций корпоративного почтового хранилища и коммуникаций с сетью Интернет
Использование централизованного хранения баз пользовательских сообщений
4.2.3 Управление и мониторинг
Системы управления и мониторинга не развиты и не покрывают нужд предприятия. В частности полностью отсутствуют службы:
Инвентаризации рабочих станций и используемого ПО
Автоматического развертывания и распространения ПО
Автоматического обновления используемого ПО
Мониторинга за состоянием парка серверов
Отсутствие контроля за рабочими станциями
Это влечет за собой невозможность использования мер по поддержанию функционирования систем, а так же снижает производительность труда информационной службы, что влечет дополнительные расходы.
4.2.4 Файловый сервис
В существующем сервисе предоставления доступа к дисковым ресурсам можно выделить следующие недостатки:
Отсутствует единая структура хранения данных, что вызывает избыточность хранимой информации, а так же сложности с управлением ей.
Привязка к различным службам каталога, что влечет как сложности в администрировании, так и в поиске необходимой информации.
Отсутствие единого дерева имен жестко привязывает пользователей к конкретным серверам и затрудняет перенос данных с сервера на сервер при возникновении такой необходимости
Отсутствие контроля за пользовательскими станциями приводит к возникновению большого количества ресурсов свободного доступа, что противоречит политики безопасности компании
Отсутствие единой стратегии резервного копирования, что влечет невозможность гарантии восстановления бизнес критических документов
Для преодоления этих недостатков рекомендуется в рамках редизайна AD:
Спроектировать структуру распределенной файловой системы DFS
Спроектировать структуру файловых ресурсов (папки и права доступа)
По возможности централизовать дисковые ресурсы с помощью внедрения дисковых хранилищ большой емкости
Разработать стратегию резервного копирования
4.2.5 Доступ к приложениям
На текущий момент в информационной среде используется большое количество точек авторизации:
Каталоги AD
Каталоги Novell
Каталоги Oracle
Приложения Oracle (клиент-сервер)
Каталоги MS SQL
Клиентские приложения MS SQL (1С)
Файловые базы данных (такие как Access) собственной разработки
Почтовая служба
И др…
Наличие столь большого числа парольных пар затрудняет поддержку и координирование сервисов, служит негативным моментом для пользователей, а так же потенциально может стать угрозой безопасности сети.
Рекомендуется по завершении редизайна службы каталога провести комплекс мероприятий, направленных на интеграцию служб аутентификации в единую точку доступа (насколько это возможно).