Bezpieczeństwo

Bezpieczeństwo systemów informatyki ściśle powiązanych z układami automatyki jest rozbudowanym procesem polegającym na ciągłym testowaniu i ulepszaniu sprawności działania procedur, rozwiązań technologicznych i systemów zabezpieczeń. W jego bezpośredni zakres wliczyć możemy:

Zabezpieczenia na wypadek awarii

  • sprzętu informatycznego
  • sieci teleinformatycznej
  • systemów zasilania i chłodzenia

 Bezpieczeństwo dostępu do internetu

  • włamania poprzez sieć internet
  • zawirusowanie systemów 
  • przejęcie kontroli, wyciek danych

Bezpieczeństwa związanego z czynnikiem ludzkim

  • przypadkowe uszkodzenie danych
  • zaniedbanie procedur (update / backup)
  • kradzież / sabotaż danych

Świadomość skutków utraty sprawności systemów informatycznych dla przedsiębiorstwa, powodujących w łagodnym przypadku zatrzymanie produkcji, a w wypadku zniszczenia danych z systemów ERP zwykle upadek przedsiębiorstwa sprawia, że większość firm posiada dziś szereg procedur związanych z bezpieczeństwem oraz bada określone współczynniki opisujące zagadnienia Ciągłości Biznesowej w firmie (ang. Busines Continuity). 

Systemy i procedury bezpieczeństwa opierają się na dwóch filarach

  • zabezpieczeniu przed ewentalną awarią
  • zapewnieniu możliwości szybkiego odtworzenia systemów po awarii.

    Jakość obydwóch filarów bezpieczeństwa zależy od poczynionych przed potencjalną awarią inwestycji.

Internet

Internet, będący dziś bardzo ważnym medium technologicznym stał się nieodzowną częścią infrastruktury firm. Przedsiębiorstwo które ma aspiracje być konkurencyjnym na rynku nie może sobie pozwolić na rezygnacje z płynących z internetu korzyści. Internet dla firmy to:

– dostęp do bieżcych informacji
– aktualizacje oprogramowania komputerów
– aktualizacje oprogramowania maszyn
– dostęp zdalny serwisu do maszyn i urządzeń
– komunikacja zewnętrzna i wewnętrzna firmy

  stanowią dziś o przewadze technologicznej firmy nad konkurencją.

Jednocześnie powszechną jest wiedza o zagrożeń płynących z internetu  i trudnościach z jego zabezpieczeniem. Jest to klasyczny przypadek ukazujący bezpieczeństwo jako nieustający proces, który jeśli nie będzie wciąż kontrolowany i poprawiany nie będzie spełniał swoich podstawowych funkcji.

Każde urządzenie z rodziny routerów instalowane pomiędzy siecią a internetem posiada wbudowane funkcje bezpieczeństwa. Jego poziom niestety jest bardzo niski, praktycznie kwalifikuje je do użytkowania dla potrzeb domowych.

Najlepszym zabezpieczeniem przed niebezpieczeństwami płynącym z internetu jest nie przyłączanie go, jeśli nie ma takiej potrzeby. W sieciach automatyki stosuje się rozwiązanie z serwerami wymiany, na które ściągamy wymagane poprawki i serwisy, następnie mając pewność, że pozyskane oprogramowanie nie jest zainfekowane serwer taki odłączmy od internetu i przyłączamy do sieci automatyki. Mając odpowiednio zabezpieczony dostęp internetu do serwera wymiany zyskujemy duży stopień bezpieczeństwa, jednak czynności upgrade wymagają ingerencji specjalistycznej obsługi oraz ograniczają dostęp do serwisu urządzeń czy rozwiązań technologicznych wymagających rejestracji online.

Najwyższy poziom bezpieczeństwa online uzyskujemy agregując kilka rozwiązań bezpieczeństwa różnych firm, podłączonych pomiędzy naszą firmową siecią a łączem zewnętrznym. Stosujemy tu Firewalle renomowanych firm – Cisco, Checkpoint, uzupełniając je rozwiązaniami specjalizowanym pod kątem wirusów, spamu czy filtracji sieci www (websense). Wskazane jest, aby pomimo automatycznych uaktualnień baz bezpieczeństwa pracę tych urządzeń nadzorował specjalista, który analizując logi na bierząco będzie monitorował i modyfikował działanie urządzeń i reagował na alarmy.

Znacznie tańszymi w zakupie i utrzymaniu, ale i nie gwarantującymi tak wysokiego poziomu bezpieczeństwa są rozwiązania niemal bezobsługowe klasy UTM (Unified Threat Management Appliances). Rozwiązania integrujące „w jednym pudełku” firewall, antywirus, antyspam i terminację kanałów VPN takich firm jak Checkpoint, Fortinet, Juniper czy Netasq, dają nam dobry średni poziom bezpieczeństwa i w zasadzie nie wymagają zatrudniania specjalisty od bezpieczeństwa.

Ważnym elementem jest też odpowiednia konfiguracja sieci. Szyfrowanie połączeń realizowanych zewnętrznie i stosowanie tuneli VPN, wewnątrz podział na podsieci o różnym poziomie bezpieczeństwa i dostępu do wrażliwych danych.

Użytkownicy

Bezpieczne użytkowanie sieci informatycznej wewnątrz firmy budujemy już na poziomie sprzętu, gdzie rozwiązania klasy NAC (Network Admission Control – Cisco) już na poziomie logowania do brzegowych urządzeń sieciowych sprawdza komputery pod kątem przynależności do sieci (MAC Adresy), typu podłączanego urządzenia, ważności sygnatur programów antywirusowych i aktualności patchy systemu operacyjnego które stanowią pierwszy element linii obrony tak, aby

– nie dopuścić do nieautoryzowanego logowania do systemu
– nie dopuścić nieodpowiednio zabezpieczonych komputerów do sieci.
– nie dopuścić do włamania przez znane już „dziury” systemowe i wirusy

Drugim elementem jest autoryzacja w systemie Active Directory, realizowana przy pomocy hasła (z zalecaną polityką zmian haseł), certyfikatu przechowywanego na karcie lub tokenu (RSA). Polityka dostępu do informacji AD zapewniać musi hierarchizację uprawnień do korzystania z poszczególnych zasobów sieci.

Trzecim elementem jest zabezpieczenie przed nieumyślnym lub umyślnym wyniesieniem danych z firmy. Z pomocą przychodzą rozwiązania klasy EndPoint Protection (Symantek) czy SecureDok, realizujące kontrolę dostępu urządzeń USB i CD/DVD, szyfrowanie pamięci przenośnych, płyt DVD, a także szyfrowanie dysków twardych notebooków.

Rozwiązaniem wysokiego bezpieczeństwa jest przeniesienie komputerów dostępowych całkowicie poza obszar potencjalnego działania osób fizycznych. Rozwiązanie takie oferuje wirtualizacja desktopów. W praktyce komputer (desktop) funkcjonuje wówczas jako obraz na terminalu dostępowym, podczas gdy jego fizyczne dane nigdy nie opuszczają Centrum Danych, w którym podobnie jak serwery chronione są rozwiązaniai wysokiego poziomu. Rozwiązanie takie (np. VMware View) gwarantują szereg unikalnych funkcjonalności, np. dostarczania desktopu w dowolne w zasadzie miejsce na świecie, przy zachowaniu wysokiego poziomu bezpieczeństwa danych, obniżeniu kosztów bieżącej obsługi i archiwizacji (korzystamy z mechanizmów już istniejących w centrach danych dla serwerów produkcyjnych).

Archiwizacja

Odtwarzanie danych w wypadku awarii jest istotnym zagadnieniem polityki ciągłości biznesowej firmy. Jego zakres i czas wykonania często może zadecydować o zachwianiu wyników finansowych firmy, gdyż bez systemów informatycznych nie będzie działać zarówno produkcja jak i obsługa kontrahentów.

Jakość i zakres odtworzenia zależy od inwestycji poczynionych w przygotowania systemów backupowych, przestrzegania polityk backupu oraz dokonywania praktycznych kontrolnych testów działania systemu.

Klasyczne rozwiązania backupowe opieramy na sprawdzonych rozwiązaniach firm HP (DataProtector), EMC (Networker), Symantek (NetBackup), posiadających heterogeniczne rozwiązania dla różnego typu systemów operacyjnych, baz danych, wtyczki online, elastyczne tryby pracy (d2d, d2T, d2d2t) i szeroki wachlarz urządzeń peryferyjnych, (autoloadery, biblioteki, macierze i urządzenia VTL)

Rozwiązania wirtualnych centrów danych dają nowe możliwości prowadzenia polityki backupowej. Oprócz rozwiązań klasycznych (jw) za pomocą narzędzi systemowych (VMware VCB), wtyczek firma zewnętrznych (Symantec, EMC) lub mechanizmów macierzowych dokonywać można w szybki sposób kopie migawkowe (Snapshot) całych serwerów łącznie z programami i danymi, gotowych w razie awarii do natychmiastowego uruchomienia na innych fizycznych serwerach.

Zasilanie

Sprawne działanie centrum danych uzależnione jest od jakości wykonania zasilania w energię elektryczną. Istotnym zabezpieczeniem jest wykonanie podwójnego zasilania, z dwóch różnych podstacji trafo, przełączanych automatycznie w razie awarii. Na czas krótkich okresów awarii zasilania, rzędu 5-10 minut przeliczamy odpowiedznie zasilacze bateryjne (APC, EATON, GE). W małych instalacjach montowane w szafach, w duże instalacje wymagają często wydzielonych pomieszczeń na falowniki i akumulatory. 

Dłuższy okres  pracy awaryjnej zapewnić mogą generatory elektryczne. Projektując należy zwrócić uwagę, zwłaszcza w dużych centrach danych na wykonanie awaryjnego zasilania klimatyzacji, bez której szybkiemu uszkodzeniu uległy by dane na skutek przegrzania dysków. 

Istotnym elementem instalacji zasilania awaryjnego są układy monitorujące pracę UPS-ów. Przydatną funkcjonalnością jest informowanie o stanie akumulatorów, temperaturze pomieszczenia i oczywiście elektroniczne powiadamianie o awarii zasilania.

Busines Continuity

Ciągłość Biznesowa mówi o zdolności organizacji do ciągłego funkcjonowania, również w czasie i po katastrofie.

BC obejmuje między innymi :

– Zapobieganie utracie danych
– Minimalizację planowanych przestojów 
– Zapobieganie nieplanowanym przestojom
– Zapewnienie szybkiego odtworzenia systemu po katastrofie

Ważność zagadnień ciągłości biznesowej wynika między innymi z coraz szybsze tempa biznesu i  większej czułości przedsiębiorstw na awarie.
Sprawna walka z konkurencją wymaga najwyższego poziomu usług, a liczba i szkodliwość zagrożeń stale wzrasta.
Wg amerykańskich badań rocznie 1 na 500 centrów danych będzie miało poważną awarię (Disaster Recovery Journal). 
Statystycznie 43% firm po katastrofie nigdy się nie już otwarło, a 29% upadło w przeciągu 2 lat (McGladrey and Pullen)

Ideałem BC jest bezprzerwowa praca systemów informatycznych podczas zwykłej eksploatacji oraz podczas i po awarii.

Oczekiwania:
– Minimalizacja czasów przestojów nieplanowanych (80-90%)
– eliminacja przestojów planowanych (10-20%)
– Maksymalna ilość aplikacji wysoce dostępnych, chronionych DR
– Możliwość automatyzacji / centralne zarządzanie
– Łatwość testowania sytuacji bieżących i awaryjnych

Aby zapewnić wysoki poziom parametrów parametry BC należy wybrać odpowiednią strategię. W rozwiązaniach klasycznych jest to backup z opcjami Disaster Recovery i drogie rozwiązania Clustrowe.
W proponowanych rozwiązaniach szczególne miejsce zajmują rozwiązania wirtualnych centrów danych, dające zupełnie nowe możliwości unikania przestojów i rozwiązywania sytuacji awaryjnych.

Dzięki rozwiązaniom wysokiej dostępności VMware HA, Vmotion, DRS, Fault Tolerace czy SRM zyskujemy

– Minimalizację czasów przestojów nieplanowanych (30%)
– eliminację przestojów planowanych (95%)
– Zwiększa ilość aplikacji wysoce dostępnych, chronionych DR
– Możliwość automatyzacji / centralne zarządzanie
– Łatwość testowania sytuacji bieżących i awaryjnych 
– Szybkie instalowanie systemów/danych; backup, replika
– Finansowanie planów BC oszczędzając koszty operacyjne i sprzętu przy przejściu od rozwiązań klasycznych do wirtualnych.