Примерен доклад за одит на ИТ инфраструктура

Публичен облак от 2008 г.

пример

Нашата електронна книга IaaS за бизнес тухла по тухла за генерални и търговски директори

пример

1. Цел на документа

Анализирайте възможността за използване на текущия брой сървъри и издайте препоръки за оптимизация. Анализирайте текущия модел на сигурност.

1.2. Одитни обекти

Сървърна инфраструктура, Active Directory, Exchange, достъп до Интернет, свързване на клонове, 1C сървъри, получаване на факсове, корпоративен портал, базиран на SharePoint 2007, сървърна стая, мрежова инфраструктура.

1.3. Проведени интервюта: системен администратор Павел Корчагин

2. Описание на обекта на одита

2.1. Общо описание на ИТ инфраструктурата

Инфраструктурата се състои от централен офис и четири клона.

Клоновете са свързани с централния офис чрез VPN канали.

  • 12 сървъра в централния офис.
  • 34 работни станции в централния офис.
  • В клоновете броят на работните станции не надвишава 5.

2.2. Инфраструктура за бизнес приложения

2.2.1. MS Exchange сървър за поща (критичен за бизнеса)

2.2.2. Вътрешен портал MS SharePoint

Вътрешният портал е реализиран на базата на MS Office SharePoint Server 2007. „Двигателят“ на портала е базиран на PHP уебсайт, разположен на работната станция на системния администратор. Порталът рядко се използва от служителите на компанията.

2.2.3. 1С (критично за бизнеса)

1C е представен на три сървъра. Едно копие на 1c (предназначено за производство), версия 7.7, е инсталирано на сървъра, посветен на домейн контролера. Второто копие 1c (предназначено за счетоводство), версия 7.7, е инсталирано на специален сървър. Третото копие 1c (предназначено за счетоводство), версия 8.0, е инсталирано на специален сървър. 1в се поддържа от външен специалист. Той също така извършва архивиране на всички 1c бази данни. Базите данни BackUp се съхраняват извън компанията от специалист 1C. Настоящите системни администратори не участват в процедури за архивиране и възстановяване.

2.2.4. Достъп до интернет (критичен за бизнеса)

Достъпът до интернет се осигурява без антивирусна защита на ниво прокси сървър.

2.2.5. Получаване на факсове (критично за бизнеса)

2.3. Оперативна инфраструктура

ActiveDirectory е базиран на Windows Server 2003. В централния офис има 2 контролера. Доскоро във всеки клон се помещаваше по един контролер на домейни, който също така хостваше VPN сървър (базиран на MS ISA 2004). По време на одита контролерите на домейн на клона бяха спрени. Периодично домейн контролерите се извеждат от експлоатация поради възникването на голям брой грешки и в резултат на отказ от обслужване се въвежда нов домейн на контролера вместо премахнатия. Услугата ActiveDirectory, внедрена в руска локализация.

Сървърът ISA 2004 в централния офис действа като VPN сървър, защитна стена и прокси сървър за достъп до Интернет за служители на компанията.

2.3.3. Антивирусна защита

На работните станции на служителите на компанията е инсталиран антивирусен софтуер NOD 32. Входящите и изходящите пощенски съобщения на пощенския сървър не преминават централизирано антивирусно сканиране. Интернет трафикът при достъп до интернет от служителите на компанията не прилича на антивирусно сканиране.

Няма редовни BackUp процедури, както данни, така и конфигурации на сървъра, BackUp се извършва произволно. Няма процедури за проверка на достатъчността и целостта на BackUp и в резултат на уменията за възстановяване на определени данни или приложения.

2.3.5. Сървърно помещение

3. Резултати от одита

3.1. Идентифицирани проблеми

3.1.1. Субоптимални архитектурни решения

Архитектурата на ИТ средата е изградена без ясна концепция и разбиране как трябва да бъде. Важни компоненти на ИТ средата (например контролери на домейни) са обект на чести и неразумни промени, които носят големи рискове. Моделът на свързване на клонове и служители в клона към централния офис често претърпява промени и също няма ясна концепция.

3.1.2. Неефективно използване на сървърните ресурси

Сървърните ресурси не се използват оптимално. С настоящите нужди на компанията в използваните приложения, броят на сървърите може да бъде намален до 6-7.

3.1.3. Организационни и процедурни проблеми

3.2. Рискове за поддръжка на ИТ инфраструктура

3.2.1. Краткосрочни рискове

Краткосрочните рискове включват отказ на който и да е компонент от ИТ средата, както на хардуер, така и на ниво приложение, което води до прекъсване в предоставянето на критични за бизнеса услуги на служители на компанията, т.е. престой. Също така е невъзможно да се изключи загубата на важни за компанията данни и невъзможността за тяхното възстановяване по принцип (просто няма къде да се възстанови).

3.3. Предложения за одит

3.3.1. Проект за оптимизация на ИТ инфраструктура

Като алтернатива, нашата компания може да разработи архитектурата на ИТ средата на компанията, като вземе предвид текущите бизнес нужди и да прехвърли проекта за изпълнение от ИТ специалистите на компанията. В този случай успехът в изпълнението на проекта до голяма степен зависи от компетентността на ИТ отдела на компанията.

3.3.2. Еднократно събитие за нормализиране на сървърната инфраструктура

Еднократно събитие е възможно за нормализиране и оптимизиране на ИТ средата на компанията, включително настройка на приложения, коригиране на текущото състояние чрез откриване на грешки в приложенията и отстраняването им, както и разработване на правила и процедури за управление на ИТ средата. И като последен етап, прехвърлянето на управлението на ИТ средата към ИТ специалистите на компанията. В този случай успехът на събитието ще зависи от компетентността на специалистите от ИТ отдела, като същевременно се поддържа „изградената“ ИТ среда и липсата на необмислени инициативи за промяна на ИТ средата.

3.3.3. Аутсорсинг на критични бизнес приложения