Защита информации от внешних угроз, рассмотренная нами в предыдущем материале цикла, порой заметно осложняется наличием удалённых от головного офиса площадок — торговых точек, складов, филиалов и так далее. Кроме того, они своим существованием порождают дополнительно довольно много других проблем, главные из которых — организация обмена информацией и обслуживание малым штатом при большом территориальном разбросе.
Проще всего эти проблемы решаются в случае покрытия зоны расположения удалённых площадок радиусом действия ЛВС. Поэтому рассматривать такой вариант не будем, просто предположив, что это маленький численно, но большой по занимаемой площади офис с той же малой сетью, об обслуживании которой мы и говорим. Единственной особенностью будет бо́льшая сложность организации среды передачи данных, или кабельного хозяйства. Проходящий по «чужой» территории кабель нужно защитить или спрятать, а лучше и то, и другое. Иначе рано или поздно он станет точкой входа для атаки на сеть на физическом уровне путём подмены клиента, бороться с которой очень сложно. Или будет повреждён детьми, животными или злоумышленниками, порой интересующимися не информацией, а цветными металлами.
Альтернативных вариантов достаточно много, включая дальнобойные беспроводные оптические и радиоканалы, физический кабель в кабельном канале провайдера услуг телефонии или другие варианты. Сразу в голову ничего не приходит, но это достаточно динамичная область. Применяются такие вот физические соединения без использования общедоступных сетей передачи данных широко и спрос на них только растёт. Потому что это удобно — включить филиал в общую ЛВС, не внося никаких новых приёмов в систему управления данными и не создавая дополнительных угроз безопасности. Но не всегда возможно, и поэтому рассмотрим другие варианты, от простых к удобным.
Автономное подразделение
Ну совсем простой способ организации взаимодействия. Практически оно настолько незначительно, что, казалось бы, и организовывать-то особо ничего не надо. Работает себе филиал в своей собственной копии основной программы, в базе данных головного подразделения его текучка вообще не дублируется, а только необходимые для отчётности сведения вносятся, достаточно редко. Надо просто предусмотреть в основной программе возможность такого экспорта и импорта. И ещё текущие документы ходят в обоих направлениях. Как правило на сменных носителях или по электронной почте.
Возникает несколько неудобств. Надо обеспечить сохранность данных на удалённой площадке. Правильно будет поставить туда сервер и т. д., ну а если там всего одна машина? Придётся что-то придумывать для резервирования информации на месте.
Далее — если нужен доступ в интернет, то надо организовать его безопасность, что тоже проще сделать посредством серверных решений. Ну и наконец никакой возможности дистанционного контроля и обслуживания такого ПК у системного администратора не будет, для решения всех текущих проблем придётся после долгой задушевной беседы с пользователем по телефону выезжать на место. Если таких точек много, то нагрузка возрастает очень существенно.
Общие рекомендации таковы.
- Использовать на удалённых площадках самую надёжную технику
- Применять проверенные и обкатанные решения
- Не устанавливать на такие машины ничего лишнего и строго регламентировать права пользователя
- Не пожалеть времени на максимально подробный инструктаж оператора, включая не только повседневную работу, но и распространённые нештатные ситуации.
В принципе, эти правила работают при любой организации распределённой сети.
Периодическое подключение к головной сети
Если уже в прошлом пункте мы упомянули электронную почту, то оптимальным при наличии подключения к глобальной сети будет такая организация процесса обмена данными, когда возможно не только использование стандартных публичных сервисов, но и прямое подключение удалённого компьютера к ЛВС офиса. Да, интернет-революция сейчас в разгаре, и постоянный вход в сеть становится всё доступнее и дешевле. Однако не везде. Ещё очень много таких мест, где нет альтернативы аналоговому модему, и как раз там может и быть филиал.
В таком случае надо за короткий период времени обменяться достаточно большим объёмом разнообразных данных. Для этого необходимо выработать процедуру подготовки к сеансу связи, автоматически запускаемую в определённое время или по запросу. К примеру такую: выполнить экспорт из основной программы, собрать новые документы, упаковать всё архиватором, отправить в головной офис, принять пакет данных, распаковать, распределить по типу данных, выполнить импорт при необходимости. Ну и на другой стороне тоже должна выполняться соответствующая процедура. Частота сеансов и объём информации определяется исключительно на стадии организации рабочего процесса и по ходу корректируется.
Кроме того, для не очень штатных ситуаций желательно предусмотреть возможность контроля удалённой машины посредством к примеру программы RAdmin.
«Взламывать» модемные подключения злоумышленникам сейчас не очень интересно, их больше занимают мощные ПК с широким каналом связи, но конкуренты не дремлют, и атака на такое соединение может быть организована по заказу. Потому пренебрегать его безопасностью не стоит. Простейший и достаточно надёжный способ её обеспечения применяется уже очень давно — прямое модемное соединение с выполнением обратного вызова после авторизации. И за интернет платить не надо. А использовать подключение к нему только для работы с глобальными ресурсами. Мне известны примеры достаточно активного обмена данными с достаточно обширной филиальной сетью по такой схеме. Работа с большой клиентской сетью также может протекать по такой схеме. Всё, то сказано о безопасности и сохранности данных в прошлом пункте, здесь остаётся в силе.
Постоянное подключение удалённой площадки к головной ЛВС по публичному каналу
Этот вариант набирает в последнее время всё большую популярность в связи с расширением зоны покрытия цифровыми каналами связи и снижением оплаты за трафик. Реализуется он обычно в настоящий момент подключением ADSL модема в каждом филиале и головном офисе. Есть и другие варианты связи, но для небольших предприятий наиболее актуален этот.
Здесь сразу возникает такой термин, как VPN — Virtual Private Network, виртуальная частная сеть. То есть сетевой трафик предприятия шифруется и передаётся поверх общедоступных каналов связи. Кроме шифрования трафика возникает вопрос авторизации удалённых пользователей на сервере. Решений существует очень много, но все они делают примерно одно и то же. Удалённый клиент запрашивает сервер доступа в ЛВС об этом самом доступе, между ними происходит некая процедура авторизации, обмена тайными сообщениями, после чего устанавливается канал связи. До прекращения соединения такой клиент работает в локальной сети так же, как и находящиеся в офисе машины. Порой даже без ощутимой разницы в скорости обмена данными.
Снова надо обратить внимание на правильный выбор провайдера. Зона покрытия должна охватывать все удалённые точки, он должен поддерживать технологии, необходимые для организации VPN. У многих крупных провайдеров внутрисетевой трафик бесплатен, и поэтому вложения в постоянный доступ к выносным площадкам не так уж и велики. Плюсы же огромны.
- Прямая работа в общей базе основной программы
- Быстрый документооборот
- Возможность удаленного управления аппаратными средствами филиала, даже в случае краха ОС (через IP-KVM)
- Возможность централизованного резервного копирования информации
- Организация единой системы голосовой связи на основе IP-телефонии
- Возможность централизованного доступа к внешним ресурсам интернет через единый защищённый шлюз центрального офиса для всех филиалов, что кстати полезно и для контроля и управления трафиком.
Примерно по таким принципам работают всемирные «ЛВС» крупных транснациональных корпораций. Теперь эти технологии становятся доступны и небольшим предприятиям.
По-хорошему строятся они на основе многофункциональных маршрутизаторов Cisco, для которых защита информации и организация туннеля — основная задача. Но в связи с популяризацией этого подхода технологии идут в массы и внедряются во всё более и более дешёвые устройства от динамичных азиатских производителей. Давать советы остерегусь, описания модемов с функциональностью VPN есть в соответствующем разделе сайта.
От задачи к решению
Вовсе не следует строить всю систему взаимодействия с филиалами по единому принципу, напротив, если их много, то могут одновременно сосуществовать все четыре подхода. Определяющая роль в выборе модели в каждом конкретном случае за доступностью и стоимостью того или иного подключения. Нельзя сбрасывать со счетов и экономический эффект от более быстрого взаимодействия с подразделениями, который может окупить и начальные вложения, и абонентскую плату.
Напротив, существуют ситуации, в которых не нужно «городить огород вокруг единственной пасущейся козы». Вполне возможно, что оптимально будет раз в неделю-другую привозить информацию на флэш-драйве, а локально делать резервные копии на DVD-диски. Здесь надо исходить из особенностей организации бизнес-процесса и планируемой экономической отдачи от вложенных средств. Тем не менее при принятии решения надо представлять себе весь спектр возможностей, и заглядывать вперёд хотя бы на год.
Почти в любом случае дешевле получится сразу сделать хорошо и дорого, чем сначала совсем за небольшие деньги, потом за немного большие, а потом уже как надо. Хотя и здесь всё не так однозначно — высвобождающуюся технику начального уровня можно передавать во вновь открываемые представительства по мере повышения статуса существующих. В общем, универсальных рецептов нет.
Далее рассмотрим принципы организации общения внутри небольшой организации.
Данный материал можно и нужно критиковать в конференции, НО только предметно и конструктивно. По результатам обсуждения он может быть переработан и дополнен.
Продолжение следует…