Jeśli jesteś właścicielem tej strony, możesz wyłączyć reklamę poniżej zmieniając pakiet na PRO lub VIP w panelu naszego hostingu już od 4zł!
Strony WWWSerwery VPSDomenyHostingDarmowy Hosting CBA.pl
Super User

Super User

Firma Research In Motion (RIM) kilka miesięcy temu wypuściła na rynek swój nowy system o nazwie BlackBerry 10. Nowe oprogramowanie ma być innowacją w porównaniu do poprzednich systemów tej firmy, zapewniając zupełnie nowe funkcjonalności oraz nowy interfejs graficzny.

Obecnie na rynku dostępne są dwa terminale z tym systemem o nazwach Z10 ( terminal tylko z dotykowym ekranem) oraz Q10 z klasyczną klawiaturą QWERTY.

RIM planuje w niedalekiej przyszłości wypuszczenie tego oprogramowania również na swoje tablety (BlackBerry PlayBook).

W tym artykule skupimy się na tym, jaki wpływ ma nowy system na firmy, które do tej pory korzystają z rozwiązań RIMu.

Do tej pory, do zarządzania terminalami w firmie, która posiada jeden z systemów pocztowych, jakimi są Microsoft Exchange, bądź IBM Lotus Domino wykorzystać było można dwa produkty:

 

  1. BlackBerry Enterprise Server ( płatne oprogramowanie umożliwiające synchronizacje skrzynek pocztowych użytkowników z terminalami oraz zarządzanie nimi poprzez bardzo dużą liczbę polis)
  2. BlackBerry Enterprise Server Express ( bezpłatne oprogramowanie o ograniczonych możliwościach zarządzania w porównaniu do wersji płatnej)

 

Przy użyciu powyższych aplikacji nie będziemy już w stanie zarządzać nowym systemem. Co więc zrobić, kiedy firma zdecyduje się na wymianę części z terminali na nowe z BlackBerry 10?

Oczywiście musimy pozostawić posiadane przez nas oprogramowanie, do zarządzania terminalami, które pozostają niezmienione. Natomiast w kwestii nowych mamy do wyboru kilka rozwiązań.

Pierwszym z nich i najprostszym jest korzystanie z popularnej usługi ActiveSync, która zapewnia komunikację poprzez protokoły http i https terminala z serwerem pocztowym. Wsparcie dla tego protokołu jest nowością wśród produktów RIMu i występuje tylko w systemie BlackBerry 10.

Przy takim rozwiązaniu firma nie ponosi dodatkowych kosztów, (poza oczywiście kupnem terminala i opłatą za transmisje danych) związanych z zakupem specjalistycznego oprogramowania. Jest natomiast ograniczona, co do możliwości zarządzania takim terminalem do rozwiązań, które zapewnia sam serwer pocztowy.

Drugim rozwiązaniem jest zakup dedykowanego oprogramowania BlackBerry Enterprise Service 10, w skład, którego wchodzą takie produkty jak:

 

  • BlackBerry Device Service (BDS),
  • Universal Device Service (UDS),
  • BlackBerry Management Studio (BMS),

 

Przy użyciu BDS możemy zarządzać urządzeniami z oprogramowaniem BlackBerry 10 oraz tabletami BlackBerry PlayBook. Poza kosztami samego oprogramowania musimy zakupić na każdy terminal licencje CAL. RIM oferuje też transfer licencji ze starszych wersji, więc jeśli posiadamy już system BES, część licencji możemy zamienić na licencje dla BDS. Transferu licencji można dokonać poprzez ich rejestracje na stronach RIMu.

Zupełnie nowe funkcjonalności dostarcza nam UDS. Dzięki niemu jesteśmy w stanie zarządzać urządzeniami z systemem Android od wersji 2.2 wzwyż oraz iOS od wersji 4.3 wzwyż. W tym przypadku tak samo jak w BDS wymagane są specjalne licencje CAL.

Poniższy schemat przedstawia rozmieszczenie serwerów wraz z ich rolami w organizacji.

BlackBerry Management Studio data flow

Każdy z systemów posiada swój własny panel administracyjny, natomiast jeśli w organizacji występuje wiele systemów dużym ułatwieniem będzie instalacja i konfiguracja BMS. BMS zapewni nam jeden panel administracyjny łączący wszystkie posiadane przez nas produkty RIMu.

Artykuł opracował Andrzej Baranowski,

Źródła:

  1. Opracowanie własne
  2. www.blackberry.com

W dosłownym tłumaczeniu z języka angielskiego „biuro pomocy”. Jest to wyznaczona grupa osób, część organizacji (sekcja lub dział), która odpowiedzialna jest za przyjmowanie, zapisywanie, oraz kontrolę i rozwiązywanie zgłoszeń. Helpdesk stanowi pojedynczy punkt kontaktu dla użytkowników.

Helpdesk IT służy rozwiązywaniu problemów informatycznych. Obecnie rośnie popularność tej formy wsparcia dla użytkowników. Przedsiębiorcy, zatem często decydują się na rozwiązywanie problemów poprzez ten rodzaj pomocy i nie tylko kwestiach związanych z IT, ale również z innymi dziedzinami. Użytkownicy najczęściej otrzymują dostęp do helpdesku poprzez udostępniony numer telefonu, lub poprzez stronę internetową. Z założenia kontakt ma być szybki i prosty dla użytkowników. Helpdesk najczęściej znajduję się poza firmą gdyż jest to bardziej rentowne rozwiązanie, choć niekiedy firmy decydują się na swój wewnętrzny zespół specjalistów helpdesk. Duże helpdeski często są podzielone na kilka poziomów, są to tzw. linie wsparcia dla użytkowników. Pierwszy poziom (linia) odpowiada za przyjęcie zgłoszenia i udziela odpowiedzi na najprostsze, ogólne pytania. Jeśli problem jest bardziej złożony użytkownicy odsyłani są na kolejne linie wsparcia, które posiadają większą wiedzę ekspercką. Każdy kolejny poziom jest bardziej zaawansowany. Z powodu dużej ilości zgłoszeń działy helpdesk korzystają z oprogramowań służących do zarządzania zgłaszanymi problemami, zapytaniami. Oprogramowanie pozwala śledzić użytkownikom przebieg ich sprawy. Klient po rejestracji problemu otrzymuje odpowiedź z numerem zgłoszenia tzw. tasc, ticket, dzięki czemu może śledzić przebieg jego realizacji i aktualny status.

O dużym powodzeniu helpdesku decydują zatrudnieni tam specjaliści. Ważne by komunikowali się oni z użytkownikami w sposób prosty i przyjazny jednocześnie, bez wchodzenie w techniczne szczegóły, na których nie zna się klient zgłaszający swój problem.

Do głównych zalet zewnętrznego działu Helpdesk zaliczamy:

  • stałą i pewną pomoc dostępną nawet przez 24h na dobę
  • dostęp do wykwalifikowanych i certyfikowanych specjalistów z różnych dziedzin wiedzy IT
  • wysoką jakość świadczonych usług
  • brak potrzeby stwarzania miejsc pracy i tym samym oszczędności z tego wynikające
  • brak kosztów wynikający ze szkolenia informatyków
  • łatwość zgłaszania problemów, śledzenie i ich weryfikacji
  • szybki czas reakcji na zgłoszenia użytkowników (regulowany odpowiednimi zapisami w umowie)
  • brak problemów wynikających z tzw. „czynników ludzkich” – choroby, zwolnienia
  • brak kłopotów w zarządzaniu dodatkowym personelem (działem w firmie)
  • redukcja kosztów operacyjnych
  • prosty pojedynczy punkt kontaktowy, zazwyczaj w formie zgłoszenia mailem lub telefonem
  • stała pomoc w każdym problemie
  • możliwość konsultacji i doradztwa

 

W dzisiejszych czasach właściciele firm skupiają się na podstawowej działalności firmy, z której czerpią profity (usługi, produkty), dlatego też decydują się na zewnętrzny hepldesk. Tym samym, nie muszą martwić się o problemy wynikające z tworzenia takiego działu wewnątrz organizacji. Powierzają te sprawy wykwalifikowanemu zespołowi fachowców. Właściwie nie ma w tym momencie branży czy też środowiska gdzie helpdesk nie spełniałby swojego zadania. W świecie informatyzacji i szybkiego rozwoju cyfrowego, nie da się uciec od informatyki, a prostym sposobem na radzenie sobie z tym jest decyzja by powierzyć procesy IT zewnętrznym specjalistom. Rodzi się tylko pytanie, czym kierować się przy wyborze firmy oferującej usługi helpdesku? Wiadomo ofert na rynku jest bardzo wiele. Najlepiej zebrać informację o firmie, sprawdzić od jak dawna jest na rynku, jak duży liczy zespół specjalistów, jakie mają oni certyfikaty, dla kogo pracują. Z pewnością pomocne okażą się referencję od partnerów, klientów. Warto zadać sobie troszkę trudu i skontaktować się z obecnymi klientami firmy i zapytać, o jakość i zadowolenie z firmy świadczącej helpdesk.

Artykuł opracowała Marlena Markowska,

Źródło: własne

Jednym z nowych rozwiązań, jakie oferuje Windows Server 2012 jest replikacja maszyn wirtualnych Hyper-V. Funkcjonalność ta oferuje replikację pracujących maszyn wirtualnych pomiędzy dwoma serwerami Windows Server 2012 z rolą Hyper-V. W przypadku awarii głównego serwera, replikowane maszyny wirtualne można błyskawicznie uruchomić na serwerze repliki. Proces replikacji uruchamia się co 5 minut. Oznacza to, że wszystkie zmiany na maszynach wirtualnych są wysyłane z serwera głównego na serwer zapasowy w takim odstępie czasu i jest to maksymalny czas utraty danych w przypadku awarii serwera głównego.

Opis funkcji replikacji znajduje się na stronie Microsoft i jest dostępny do ściągnięcia: 
http://www.microsoft.com/en-us/download/details.aspx?id=29189

Poniższy diagram przestawia sytuację replikacji dowolnej ilości maszyn wirtualnych znajdujących się na serwerach Windows Server 2012 między dwoma lokalizacjami wykorzystując łącze LAN/WAN.

Diagram  replikacji dowolnej ilości maszyn

Aby uruchomić takie środowisko należy zapewnić:

  • dwa dowolne serwery z systemami Windows Server 2012 z uruchomionymi rolami Hyper-V w środowisku bez domeny w grupie roboczej. Jeden z nich będzie głównym serwerem produkcyjnym, drugi może znajdować się w tej samej lokalizacji bądź w innej, np. oddział lub centrum kolokacyjne. Oba serwery muszą mieć zbliżone parametry jeśli chodzi o pamięć operacyjną, przestrzeń dyskową oraz ilość rdzeni lecz nie muszą być identyczne ani wyprodukowane przez tego samego producenta.
  • Certyfikat SSL dla każdego serwera Hyper-V. Nie będzie używany mechanizm autoryzacji kerberos gdyż jest on dostępny tylko dla środowiska, w którym serwery Hyper-V są członkami domeny Active Directory. W naszym przypadku całe środowisko produkcyjne uruchamiamy wyłącznie na maszynach wirtualnych w związku z tym, serwerów HOST z rolą Hyper-V nie dodajemy do domeny, która będzie obsługiwana przez serwer uruchomiony na maszynie wirtualnej. Gdy kontrolery domeny zainstalowane na maszynach wirtualnych nie są uruchomione, nie są w stanie autoryzować mechanizmu replikacji opartej o kerberos. Dlatego też proces autoryzacji replikacji będzie opierał się o certyfikaty SSL.

Po zainstalowaniu na dwóch serwerach Windows Server 2012 oraz roli Hyper-V przystępujemy do zdefiniowania ich nazw. Muszą one być w pełni kwalifikowanymi nazwami DNS aby można było dla nich wygenerować certyfikaty. Zmiana sufiksu DNS nie wpływa na dostęp do serwera a jedynie zmienia jego nazwę aby była zgodna z nazwą zawartą w certyfikacie SSL. Będzie zrealizowane to poprzez dodanie sufiksu DNS do nazwy serwera. Trzeba wykonać poniższe kroki:

  1. Otworzyć Server manager
  2. Przejść na Lokal Server i kliknąć na nazwie komputera:
    Screen 1
  3. Klikamy Change
    Screen 2
  4. Potem More
    Screen 3
  5. W polu primary DNS suffix wpisujemy nazwę domeny DNS. Jeśli zamierzamy zakupić certyfikaty publiczne należy wpisać tu nazwę naszej domeny publicznej typu przedsiębiorstwo.com. W moim przypadku ograniczam koszty związane z zakupem certyfikatu. Użyję certyfikatów samodzielnie wygenerowanych. Dlatego też używam domeny intranetowej przedsiębiorstwo.local.
    Screen 4
  6. Po restarcie nasz serwer przedstawia się w pełni kwalifikowaną nazwą DNS: host1.przedsiebiorstow.local.
    Screen 5
  7. Punkty 1-6 powtarzamy dla drugiego serwera, który nazwiemy HOST2.przedsiebiorstwo.local. Kolejnym krokiem jest wygenerowanie certyfikatów SSL. Jeśli zakupimy certyfikaty publiczne wystarczy je zaimportować na komputerach. Poniżej artykuł opisujący import certyfikatów:
    http://blog.powerbiz.net.au/server-2012/importing-a-pfx-certificate-into-windows-server-2012/

W naszym środowisku używamy dwóch samodzielnie podpisanych certyfikatów. Do wygenerowania certyfikatów użyjemy narzędzia makecert.exe dostępnego w pakiecie Windows SDK dostępnego na stronie Microsoft:
http://go.microsoft.com/fwlink/?linkid=84091.

Kopiujemy plik makecert.exe na oba serwery HOST1 oraz HOST2.

Na serwerze HOST1 wykonujemy polecenie, które utworzy nam główny certyfikat centrum certyfikacji:
makecert -pe -n "CN=PrimaryRootCA" -ss root -sr LocalMachine -sky signature -r "PrimaryRootCA.cer"

Następnie generujemy certyfikat dla serwera podpisany przez wyżej wygenerowany certyfikat główny: 
makecert -pe -n "CN=host1.przedsiebiorstwo.local" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "PrimaryRootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 host1Cert.cer

Generowanie certyfikatów powtarzamy na serwerze HOST2.

Certyfikat główny:
makecert -pe -n "CN=SecondaryRootCA" -ss root -sr LocalMachine -sky signature -r "SecondaryRootCA.cer"

Następnie certyfikat dla serwera HOST2:
makecert -pe -n "CN=host2.przedsiebiorstwo.local" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "SecondaryRootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 host2Cert.cer

Plik PrimaryRootCA.cer kopiujemy na serwer HOST2 i importujemy go poleceniem:certutil -addstore -f Root “PrimaryRootCA.cer”

Plik SecondaryRootCA.cer kopiujemy na serwer HOST1 i importujemy go poleceniem:certutil -addstore -f Root “SecondaryRootCA.cer”

Standardowo Windows Server 2012 sprawdza czy certyfikat nie został unieważniony. Dla certyfikatów podpisanych samodzielnie ten mechanizm nie jest w stanie tego zweryfikować. Dlatego też należy go wyłączyć na obu serwerach modyfikując rejestr poleceniem:
reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\Replication” /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f

Po zakończeniu wyżej wymienionych kroków przechodzimy do konfiguracji replikacji.

W moim środowisku na serwerze HOST1 uruchomione są 2 serwery wirtualne FS1 oraz PS1. Na serwerze repliki HOST2 włączamy replikacje uruchamiając Hyper-V Manager i wybierając z głównego menu Hyper-V Settings. Przechodzimy na zakładkę Replication Configuration i wykonujemy poniższe kroki:

  1. Włączamy funkcję repliki
  2. Wybieramy autoryzację opartą o certyfikat.
  3. Wybieramy certyfikat – powinien pojawić się automatycznie. Jeśli nie pojawił się oznacza to, że błędnie został wygenerowany certyfikat.
  4. Pozwalamy, aby replikacja była możliwa z każdego serwera oraz definiujemy gdzie mają się zapisywać pliki na serwerze repliki. Możemy zwiększyć bezpieczeństwo i zezwolić na replikację tylko ze zdefiniowanym serwerem.
    Screen 6
  5. Poza zatwierdzeniu zmian pojawi się komunikat o włączeniu wyjątku dla ruchu przychodzącego w zaporze Windows. Włączamy go zatem jak na rysunku poniżej.
    Screen 7
    Screen 8

Przechodzimy z powrotem na serwer główny HOST1 i włączamy replikację serwera wirtualnego FS1 klikając ja na poniższym rysunku:
Screen 9

Pojawi się kreator. Wpisujemy nazwę hosta host2.przedsiebiorstwo.local. Oczywiście jeśli nasz DNS nie obsługuje domeny przedsiebiorstwo.local to musimy dopisać odpowiednie rekordy do pliku hosts w katalogu:
C:\windows\system32\Drivers\etc na obu serwerach.

Screen 10

Klikamy Next i wybieramy certyfikat dla replikacji.
Screen 11

Zaznaczamy, które dyski serwera mają się replikować. Można niektóre dyski wykluczyć z replikacji.Screen 12

Możemy ustawić jak wiele punktów przywracania ma zachowywać nasz serwer repliki. Należy pamiętać, że pochłania to odpowiednio więcej przestrzeni na dysku. Możemy też zmienić harmonogram wykonywania kopi VSS.
Screen 13

Na koniec ustawiamy jak ma być wykonana replikacja początkowa oraz kiedy ma zostać uruchomiona.
Screen 14

Po kliknięciu Finish natychmiast rozpoczyna się replikacja początkowa, jeśli nie została ustawiona na start w innym terminie. Postęp jest widoczny w Hyper-V Manager.
Screen 15

Na serwerze repliki HOST2 będzie widoczny postęp odbierania danych. Po zakończeniu maszyna wirtualna pozostanie w stanie wyłączonym.
Screen 16

Wówczas możemy podejrzeć stan replikacji wybierając z menu Replication „View Replication Health”
Screen 17
Screen 18

Wszystkie powyższe czynności powtarzamy dla kolejnych serwerów wirtualnych.

Ostatni etap to sprawdzenie poprawności działania naszej infrastruktury za pomocą wbudowanych mechanizmów failover: test failover oraz planned failover. Ale to już temat na osobny artykuł.

Autor: Marcin Pietrzak

Źródła:

    1. Opracowanie własne

    2. http://www.microsoft.com

Niniejszy artykuł poświęcony zostanie tematyce związanej z bezpiecznym przesyłaniem danych wewnątrz firmy oraz z innych lokalizacji. Mobilność współcześnie jest ważnym czynnikiem warunkującym rozwój firm. Opisane rozwiązanie znacznie wpływa na możliwości komunikacji oraz jej jakość i bezpieczeństwo.

W celu tworzenia szyfrowanej wirtualnej sieci prywatnej należy wykonać następujące kroki:

  • Uwierzytelnienie obu stron komunikacji wobec siebie za pomocą jednej z poniższych metod:Nawiązanie bezpiecznego kanału dla potrzeb IKE nazywanego ISAKMP SA (Security Associacion),
    • Hasło znane obu stronom (shared secret) – użyte w konfiguracji,
    • Podpisy RSA (ręcznie wymieniamy klucze publiczne),
    • Certyfikaty X.509 (najbardziej uniwersalna),
  • Bezpieczne uzgodnienie kluczy kryptograficznych oraz parametrów tuneli IPsec,
  • Ewentualna ich renegocjacja, co określony czas.

Konfiguracja połączenia VPN między dwoma ruterami Cisco c7200 algorytmem PSK wirtualnej sieci prywatnej opartej na protokole IPsec

Rysunek 1 C1-komputer, C2- komputer.

Konfiguracja Ruterów R1 i R2 na rysunku nr 1 wygląda następująco:

  • W ruterze R1:

R1>enable
R1#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#hash md5
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#exit
R1(config)#crypto isakmp key zaq12wsx address 192.168.1.20
R1(config)#crypto ipsec transform-set transform esp-des esp-md5-hmac
R1(cfg-crypto-trans)#exit
R1(config)#crypto map mapa 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
        and a valid access list have been configured.
R1(config-crypto-map)#set peer 192.168.1.20
R1(config-crypto-map)#set transform-set transform
R1(config-crypto-map)#match address 100
R1(config-crypto-map)#exit
R1(config)#access-list 100 permit ip 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255
R1(config)#interface f2/0
R1(config-if)#crypto map mapa
R1(config-if)#
*Jun 12 16:47:33.719: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R1(config-if)#exit

  • W ruterze R2:

R2>enable
R2#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
R2(config)#crypto isakmp policy 1
R2(config-isakmp)#hash md5
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#exit
R2(config)#crypto isakmp key zaq12wsx address 192.168.1.10
R2(config)#crypto ipsec transform-set transform esp-des esp-md5-hmac
R2(cfg-crypto-trans)#exit
R2(config)#crypto map mapa 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
        and a valid access list have been configured.
R2(config-crypto-map)#set peer 192.168.1.10
R2(config-crypto-map)#set transform-set transform
R2(config-crypto-map)#match address 100
R2(config-crypto-map)#exit
R2(config)#access-list 100 permit ip 10.2.0.0 0.0.255.255 10.1.0.0 0.0.255.255
R2(config)#interface f2/0
R2(config-if)#crypto map mapa
R2(config-if)#
*Jun 12 16:47:33.719: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R2(config-if)#exit

W konfiguracji acces-list 100 były podawane adresy IP sieci, które będą się łączyć przez tunel stworzony za pomocą R1 i R2. Dla hostów ustawiono więc odpowiednio adresy:

  • C1: 10.1.0.11 z maską 255.255.0.0 i bramą 10.1.0.10, adresu interfejsu FastEthernet R1, do którego był podłączony C1.
  • C2: 10.2.0.21 z maską 255.255.0.0 i bramą 10.2.0.20, adresu interfejsu FastEthernet R2, do którego był podłączony C2.

Tak skonfigurowane urządzenia i komputery nawiązują łączność tworząc wirtualną sieć prywatną:

R1#show crypto isakmp sa
dst             src             state          conn-id slot
192.168.1.20    192.168.1.10    QM_IDLE              1    0

Zestawiona powyżej sieć może być odpowiednio filtrowana, można nadawać priorytety za pomocą access list. Stosując np. polecenie na obu ruterach:

access-list 100 deny   tcp any any eq ftp
access-list 100 deny   tcp any eq ftp-data any
access-list 100 permit tcp 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255
priority-list 10 protocol ip high udp 53

Dzięki takiemu ustaleniu priorytetu przesyłanie danych protokołu UDP ma w sieci najwyższy priorytet i dane są przesyłane w pierwszej kolejności. Przekłada się to na wydajność sieci. Przesyłane dane, które nie zawierają się w liście priorytetu są kolejkowane dopóki najwyższy priorytet przesyła dane co może być również szkodliwe dla sieci. Pakiety, które mają niższy priorytet są kolejkowane i dopóki przesyłane są dane o najwyższym priorytecie pozostałe czekają.

Sposobów priorytetyzowania jest wiele m.in. CQ, czyli Custom Queueing i CBWFQ, czyli Class-Based WFQ (najbardziej wydajny, jednak potrzebuje znacznie większej mocy obliczeniowej).

Autor:Paweł Jaroszewicz

Źródła:

    1. Opracowanie własne

Aby mówić o audycie informatycznym w pierwszej kolejności musimy przytoczyć jego definicje, a wiec: „Audyt informatyczny jest to proces zbierania i oceniania dowodów w celu określenia czy system informatyczny i związane z nim zasoby właściwie chronią majątek, utrzymują integralność danych i dostarczają odpowiednich i rzetelnych informacji, osiągają efektywnie cele organizacji, oszczędnie wykorzystują zasoby i stosują mechanizmy kontroli wewnętrznej, tak aby dostarczyć rozsądnego zapewnienia, że osiągane są cele operacyjne i kontrolne, oraz że chroni się przed niepożądanymi zdarzeniami lub są one na czas wykrywane a ich skutki na czas korygowane”. 
Jak wiec przeprowadzić audyt aby był on zgodny z przytoczona tu definicja? Nie jest to na pewno rzecz łatwa. Istnieją normy takie jak ITIL, ISO 9001 czy COBIT którymi można się kierować przy przeprowadzaniu audytu. Są one bardzo rozbudowanie dlatego jesteśmy wstanie w oparciu o nie przeprowadzić bardzo szczegółowy audyt. Oczywiście przeprowadzenie takiego audytu wymaga od audytora dokładnej znajomości przytoczonych tu norm oraz poświęcenia dużej ilości czasu co jest równoznaczne z dużymi kosztami. Jest to na pewno idealne rozwiązanie dla dużych korporacji bądź mniejszych firm w których z racji na dziedzinę która się zajmują taki audyt jest niezbędny.

 

Realia pokazują jednak ze w przypadku małych i średnich przedsiębiorstw oczekiwania są trochę inne. Z reguły audyt jest przeprowadzany w celu pozyskania ogólnej informacji o stanie posiadanej infrastruktury informatycznej ( bezpieczeństwie, legalności , zabezpieczaniu przed ewentualnymi awariami), który stanowi podstawę do oceny pracy działu informatycznego firmy bądź w przypadku korzystania z outsourcingu informatycznego firmy która te usługi świadczy. Przeprowadzenie takiego audytu jest dużo łatwiejsze, mniej czasochłonne a co za tym idzie o wiele tańsze.

Zakres audyty powinien obejmować kluczowe elementy infrastruktury informatycznej, jak np.:

  • analizę architektury sieci, a tu m.in.
    • Zabezpieczanie dostępu do sieci od strony LAN/WAN
    • Ograniczenie dostępu z zewnątrz tylko do usług które są wymagane (np. www, poczta, ftp)
    • Zabezpieczenie urządzeń sieciowych ( switche, routery), weryfikacja złożoności haseł dostępowych oraz fizyczne zabezpieczanie przed nie autoryzowanym dostępem
    • Odseparowanie od siebie sieci w poszczególnych działach w firmie poprzez VLAN
    • Weryfikacja zdalnego dostępu do zasobów firmy przez pracowników
    • Weryfikacja posiadania schematu sieci
  • analizę systemu backupowego :
    • Harmonogram wykonywania kopii bezpieczeństwa
    • Fizyczne zabezpieczenie nośników na których backup jest trzymany
    • Weryfikacja zasobów objętych backupem
    • Weryfikacja poprawności wykonywania backupu poprzez testowe odzyskanie
    • Weryfikacja posiadania procedury wykonywania kopii bezpieczeństwa oraz procedury odzyskiwania środowiska w przypadku awarii
  • analizę zabezpieczenia antywirusowego serwerów oraz stacji roboczych
  • analizę środowiska serwerowego:
    • serwerownia:
      • analiza kontroli dostępu do serwerowni
      • wyposażenie ( szafa rakowa, klimatyzacja, czujniki temperatury etc. )
    • awaryjne zasilanie serwerów oraz zautomatyzowanie sposobu zarządzania serwerami w przypadku przerwy w dostawie prądu
    • legalność posiadanego oprogramowania
    • zabezpieczenie sprzętowe przed wystąpieniem awarii
    • analiza poprawności konfiguracji usług jakie pełnią serwery
  • analizę stacji roboczych
    • weryfikacja legalności oprogramowania
    • weryfikacja uprawnień jakie użytkownik posiada na stacji
    • łatwość dostępu do stacji przez osoby nieuprawnione (logowanie, złożoność i ważność haseł)

Jest to oczywiście przykładowy i bardzo uproszony zakres audytu który dla każdej firmy musi zostać stworzony indywidualnie. W celu ograniczenia kosztów przeprowadzenia takiego audyt musi on zostać tak zaplanowany, aby wykonać go w jak najkrótszym czasie.

Następstwem przeprowadzenia audytu jest sporządzenie raportu. Raport przeznaczony jest dla osób zarządzających firma czyli z reguły mało technicznych dlatego opis i słownictwo użyte w raporcie powinno być zrozumiałe dla wszystkich. Raport powinien być zwięzły, czytelny i zawierać podstawowe składniki:

1. Opis stanu faktycznego. Jest to bardzo ważny element raportu. Bardzo często , nawet w małych firmach dochodzi do sytuacji, gdzie zarząd firmy nie wie jakie zasoby informatyczne posiada ( sprzętowe, programowe) i jaką funkcjonalności mógł by przy użyciu ich osiągnąć. Ponoszone są koszty na zakup nowych rozwiązań, które równie dobrze można by osiągnąć przy użyciu obecnie używanych zasobów.

2. Opis znalezionych nieprawidłowości. W informatyce nie ma jednego najlepszego rozwiązania gdzie odstępstwo od niego można by wskazać jako nieprawidłowość. Dlatego bardzo ważną kwestią ( a może i najważniejszą) jest podejście audytora do oceny środowiska. Nie powinna ona być robiona na zasadzie wyszukiwania owych odstępstw lecz na dogłębnej ich analizie i znalezienia powodów dla których one występują. Nie oceniona w takiej sytuacji jest pomoc ze strony osób odpowiedzialnych za środowisko informatyczne, które brały udział w jego powstawaniu i są w stanie dane rozwiązanie uargumentować.

3. Rekomendacje zmian. Jeśli przedstawiliśmy już słabe strony audytowanego środowiska należy zaproponować rozwiązanie które wpłynie na jego poprawę. Proponowane rozwiązania można podzielić na etapy, np.:

  • Krytyczne (zmiany które maja wpływ na bezpieczeństwo sieci, danych et.) są to te zmiany, które powinny być wprowadzone natychmiast
  • Opcjonalne – po zapoznaniu się ze sposobem działania firmy można zaproponować rozwiązania wpływające na poprawienie wydajności pracy.

W dobie powszechnej informatyzacji bardzo ważne jest zachowanie bezpieczeństwa IT w każdej organizacji. Łatwość użytkowania i powszechność Internetu sprawia, że dostęp do informacji przechowywanych w systemach informatycznych jest znacznie łatwiejszy. Niewłaściwe zabezpieczenia często skutkują utratą tajemnic firmowych, zawodowych, danych osobowych, innych informacji niejawnych. Jeśli dojdzie zaś do awarii sprzętu lub systemu informatycznego może to doprowadzić do niepożądanego przestoju w funkcjonowaniu firmy. Infrastruktura IT musi spełniać najwyższe standardy bezpieczeństwa. Odpowiednio przygotowane i przeprowadzone audyty informatyczne pozwalają na uniknięcie awarii i sytuacji kryzysowych w infrastrukturze IT firmy.

Autor: Andrzej Baranowski

Źródła:

  1. Opracowanie własne

 

Popularne