Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
ГОСЫ / Administrirovanie.doc
Скачиваний:
42
Добавлен:
15.02.2016
Размер:
150.02 Кб
Скачать
  1. Основные задачи администрирования информационных систем

Администратор

  • управляющая программа, организующая программа, диспетчер, программа управления

  • программа или ответственное лицо

  • специалист, отвечающий за проектирование, инсталляцию, конфигурирование, контроль, управление и обслуживание комп. сети, системы или СУБД.

Администрирование – функциональная поддержка управления системным ресурсом и обеспечения его безопасной и бесперебойной работы

Администрирование ИС заключается:

  1. в обеспечении безотказной работы системы и ее ресурсов в условиях многопользовательского режима в сочетании с удовлетворительным временем отклика на запросы пользователей

  2. в управлении доступом (регистрация пользователей, назначение прав и ограничений)

  3. в обеспечении доступности, безопасности и масштабируемости системы

К ИС относятся: ОС, сетевые службы и протоколы, СУБД, Web-серверы, обслуживающие системы и т.п.

Каждая ИС, в зависимости от назначения и средств ее организации, является индивидуальным компьютерным продуктом. Поэтому правила и условия администрирования жестко зависят от исходной ИС. Они не могут быть абсолютно универсальными или стандартными, но могут совпадать в принципиальном решении ключевых вопросов.

К обязанностям системного администратора обычно относят следующие задачи:

  • подключение и настройка аппаратных устройств;

  • установка и обновление программного обеспечения;

  • запуск и настройка общесистемных сервисов (конфигурирование системы);

  • настройка сетевых протоколов;

  • обеспечение печати и отправки почты;

  • обеспечение файловых серверов, серверов приложений, web и ftp-серверов;

  • управление процессами – изменение их приоритета, принудительное завершение;

  • управление общесистемными ресурсами, такими, как дисковые разделы и файловые системы;

  • распределение ресурсов;

  • определение дисковых квот и управление ими;

  • регистрация и управление пользователями;

  • настройка групповых политик;

  • настройка политики безопасности;

  • обеспечение безопасности;

  • регистрация и анализ всех инцидентов, связанных с нарушение безопасности;

  • резервное копирование информационных ресурсов;

  • мониторинг системы в поисках любого возможного системного сбоя, узкого места или уязвимости в защите;

  • поиск неисправностей;

  • анализ производительности и надежности;

  • обеспечение защиты от ошибок пользователей

  • мониторинг действий пользователей;

  • мониторинг электронной почты;

  • мониторинг работы в Internet;

  • автоматизация рутинных операций администрирования (командные скрипты управления).

Выполнение перечисленных задач требует особого статуса администратора – статуса суперпользователя системы.

Учетная запись администратора обладает всеми привилегиями – правами и полномочиями – в системе. Администратор может не только выполнить важные настройки системы и сконфигурировать системные службы, но и повредить их, например, случайно. Самый важный принцип администрирования – это принцип минимальных полномочий. Учетная запись любого пользователя должна обладать минимальным, но достаточным для выполнения необходимого задания набором прав. Этот же принцип относится и к самому администратору: не рекомендуется выполнять работу, не требующую высокого уровня полномочий, под учетной записью администратора. Для выполнения обычной работы следует использовать учетную запись с более низким статусом.

Управление пользователями включает такие функции:

  • Создание учетной записи пользователя;

  • Изменение пароля;

  • Отключение/включение учетной записи;

  • Удаление учетной записи пользователя.

Другая задача администрирования – управление группами. Управление группами включает в себя:

  • создание группы;

  • добавление пользователей в группу;

  • удаление группы.

К наиболее существенным элементам программного обеспечения безопасности в государственных структурах относится так называемое мандатное управление доступом, состоящее в том, что для каждого пользователя устанавливается определенный уровень допуска к конфиденциальной информации, а каталогам и файлам назначается категория конфиденциальности. При этом доступ к файлу пользователь получит только в том случае, если его уровень допуска не ниже уровня конфиденциальности файла.

Каждому администратору, кто использует групповые политики для управления сетями Windows, известно, насколько мощной и гибкой является эта технология. Она охватывает весь спектр задач администрирования, от блокировки компьютеров пользователей и распространения программного обеспечения по рабочим местам до централизованного применения корпоративной политики безопасности. Количество возможных настроек параметров политики измеряется тысячами, поэтому практически всегда можно выбрать нужный вариант конфигурации для управления теми или иными компонентами системной среды.

Оборотной стороной богатых возможностей данной технологии является сложность распространения групповых политик и управления ими, а в ряде случаев некорректная установка параметров может привести к неожиданным последствиям для пользователей и приложений. Неполадки, которые возникают в процессе использования групповых политик, могут принимать различные формы. Чаще всего они проявляются в виде нарушений работы приложений на компьютерах пользователей. Либо это могут быть проблемы администрирования, возникающие у специалистов, обслуживающих эти компьютеры. Если говорить более определенно, то в большинстве случаев подобные проблемы связаны с двумя основными типами политик, а именно с политиками установки ограничений на компьютеры пользователей (desktop lockdown policies) и с политиками безопасности (security policies).

При тестировании настройки политик главное правило заключается в том, что за один раз в настройки политики следует вносить не более одного изменения. Данное изменение должно быть тщательно протестировано, и лишь после этого можно вносить следующее изменение. Разумеется, при таком подходе развертывание групповых политик будет происходить медленнее, но зато это существенно облегчит выявление возможных проблем в настройке политик, по сравнению с внесением большого количества изменений за один раз.

Групповые политики обладают весьма богатыми возможностями. Но если перед применением GPO (Group Policy Objects) не будут выполняться тестовые мероприятия, это может привести к ежедневным нарушениям работы. Следует всегда помнить о том, что перед применением новых настроек групповой политики все внесенные изменения должны быть тщательно протестированы.

Простым и эффективным средством для предотвращения неправомерного использования собственной сети является ограничение пропускной способности для отдельных пользователей или пользовательских групп. Эту функцию предлагает все большее количество сетевых устройств. Администратор может назначить каждому пользователю или группе определенную пропускную способность в соответствии с их функциями (ролями). Особенно полезна подобная функция в сетях, где загружаются очень большие объемы данных, например в университетах. Администратор сети может изначально ограничить или заблокировать определенные виды трафика — данные одноранговых приложений или соответствующие определенному шаблону, типичному для атак по типу «отказ в обслуживании».

Безопасность системы обеспечивается неукоснительным соблюдением всех организационно-дисциплинарных требований, внедрением аппаратно-программных средств оборонительного характера (брандмауэры, антивирусное ПО, антиспамовые фильтры)  защита от НСД, а также активными методами выявления и блокирования всех потенциальных каналов утечки информации.

Избыточность является одной из важнейших составляющих любой стратегии восстановления системы (и/или данных) после сбоев. Так, администраторы организаций, где какая-либо потеря данных должна быть полностью исключена, делают ставку на такие технологии, как зеркальное копирование и синхронное тиражирование, добиваясь, чтобы текущая копия базы данных всегда находилась в актуальном состоянии.

Компании с менее критичными требованиями обходятся обычной резервной копией на магнитной ленте: если администраторы сохраняют массивы данных ежедневно, то в худшем случае будут потеряны изменения за несколько последних часов работы, для восстановления которых необходимы заранее известные затраты времени и средства.

Для определения конкретных требований обеспечения надежности системы администратору необходимо провести анализ положения дел на предприятии и, прежде всего, инвентаризацию. В результате точно будет точно определено, какие приложения и где именно реализованы, на какой платформе работают и какие ресурсы требуется предоставить, чтобы обеспечить бесперебойный режим функционирования системы в целом.

Готовностью системы называется время, в течение которого все пользователи в сети могут согласованно обращаться ко всем без исключения имеющимся в ней приложениям и данным. ИС с высокой готовностью в состоянии реагировать на ошибки без остановки работы, из-за чего и обладают высокой степенью отказоустойчивости. Это достигается путем применения избыточных компонентов, которые при возникновении неисправности поддерживают выполнение всех функций и поэтому минимизируют время отказа. На практике различают два вида системных отказов: запланированные и незапланированные. Действия по наращиванию системы, замене неисправного, но имеющего аналог компонента, обновлению программного обеспечения намечаются администратором заранее, а потому если и ведут к простоям, то запланированным. Стихийные бедствия, ошибки конфигурации или дефекты основной платы становятся причиной незапланированных отказов системы. Первым шагом по устранению таковых является целенаправленное организационное и техническое планирование.

При отказоустойчивом построении системы администратор не должен допускать остановки вычислительного центра. При этом желательно разделить функции работы ИС на несколько областей управления: данные, программное обеспечение, сеть, безопасность, информационно-справочная служба и т. д. Обязательной частью этой концепции является план действия в критической ситуации. Даже самые полные защитные механизмы не способны защитить от каждой технической проблемы или неосторожных действий, поэтому всегда остается вероятность частичных или полных отказов ИС. Восстановление работоспособности при определенных обстоятельствах может быть очень сложным процессом и потребовать больших затрат. Заранее продуманные действия обеспечивают, по возможности, наиболее быстрое и полное устранение неполадок. Фундаментом для концепции кризисного плана является тщательный анализ организационного устройства предприятия, его технической оснащенности и состояния ИС. На основе этих данных можно выявить все без исключения работающие в данный момент приложения, определить приемлемое время потенциального отказа и составить перечень мероприятий, которые должны проводиться во время его устранения. Очень полезное руководство для составления подобного плана представляет собой «Справочник основных приемов защиты информационных систем» Федерального ведомства безопасности информационной техники.

Обычное явление в крупных информационных системах — «зоопарк», то есть наличие в рамках единой системы разнородных (аппаратная часть+ОС) вычислительных сегментов.

Несмотря на очевидные сложности, связанные с этим явлением, от администратора требуется обеспечить бесперебойную работу, быстрое внедрение очередных приложений и производительность такой системы.

Соседние файлы в папке ГОСЫ