9 July 2015

ИТ-инфраструктура одной государственной бюджетной образовательной организации

IT Infrastructure
Sandbox
Здравствуйте!
Основной целью статьи является осветить вопрос развития ИТ-инфраструктуры одной государственной бюджетной образовательной организации в условиях ограничения бюджета.

Цель публикации


1. поделиться опытом;
2. по возможности, получить отзывы и рекомендации.

Введение


Ни для кого не секрет, что движителем развития ИТ в организации могут быть:
А) отдел ИТ (или его представители).
Б) бизнес (или его представители).

В любом из двух крайних положений – это плохо! Решение находиться где-то посередине. На стыке бизнеса и представителей ИТ – тех, кто зарабатывает деньги и тех, кто создает условия для того, чтобы можно было зарабатывать деньги комфортно, безопасно, надежно, стабильно, много и т.д.

Для решения любой проблемы необходимо сделать первый шаг – признать ее существование (проблемы). Затем планомерно выполнить следующее:
А) описать ее, понять причины;
Б) поставить задачи по устранению причин и недопущению их в будущем;
В) решать поставленные задачи и отслеживать, контролировать состояние, поддерживая его в стабильном положении.
Это все лирика теория. Переходим к практике.

Проблема ИТ – недостаточное понимание отделом ИТ, что необходимо бизнесу сейчас и того, что ему будет нужно, а так же отсутствие приоритетов в том, в чем есть понимание.

Первый шаг сделан!

Далее причины:
1. Полное отсутствие представления о модели ИТ-инфраструктуры, стратегии развития, правилах работы, планах работы;
2. Нет заинтересованности в развитии (отсутствует стимул) у всего отдела ИТ;
3. Нет понимания того, как ИТ может помочь бизнесу в его вопросах (работа ведется в основном только по заявкам, нет плана работ и профилактических мероприятий).

Идем дальше!

Решения:
1. Собрать информацию об ИТ-инфраструктуре (все ее количественные и качественные характеристики). Описать модель: схемы сети, таблицы адресации, распределения и размещения оборудования, списки лицензий на ПО и где оно установлено. Кто из сотрудников, с чем работает и что ему реально нужно. Все это в электронных схемах и/или на бумаге, но так что бы все в отделе ИТ это видели и принимали участие. Далеко не последними вопросами будут «узкие места», которые вылезут как риски ИТ!
2. Заинтересовать отдел ИТ (ну здесь вообще классика «кнута и пряника»):
  • a. уволить совсем ленивых и выгоревших, для острастки остальных;
  • b. ввести систему премирования и наказания, для проявляющих признаки жизни и задора (выговоры, замечания, отгулы, квартальные премии, право скорректировать время для отпуска и т.п.).

3. Изучить основные вопросы работы бизнеса:
  • a. совещание с присутствием руководителей отделов и директора для получения информации от бизнеса;
  • b. анализ собранной ранее информации по ИТ.

4. Исходя их ситуации постепенно применять и внедрять решения и технологии, не забывая отчитываться перед руководством о поставленных и решенных задачах (и главное о преимуществах решения этих задач для бизнеса).
Сделать последний шаг и «шагать дальше»!
Здесь тоже много букв и пунктов, так как контроль применять нужно в нескольких направлениях: ит-инфраструктура, сотрудники отдела, риски:
1. Внедрить мониторинг того, что является критичным или узким местом (с прицелом на мониторинг всей инфраструктуры).
2. Ввести определенные показатели качества работы отдела ИТ (качественные и/или количественные). Здесь чуть подробнее:
  • a. Матрица ответственности с указанием замены на время отпуска/больничного;
  • b. Показатели в приделах своего фронта работ и общие: количество отработанных обращений (чем больше, тем лучше), количество возникших инцидентов по сбою работы в инфраструктуре (чем меньше тем лучше), количество выполненных проектов (какие-то масштабные работы), выполненные плановые задачи, наличие опозданий/пропусков (без уважительной причины).

3. Расставить приоритеты по развитию ИТ исходя из рисков и особенностей бизнеса (вся информация уже была собрана).
4. И самое главное еще раз: отчитываться перед руководством о поставленных и решенных задачах (это задача руководителя отдела)! Если руководство не видит, что вы делаете (а вы ночами не спите, разрабатываете, оптимизируете), оно будет считать, что вы ничего не делаете… Сотрудники отдела отчитываются руководителю отдела ИТ, руководитель отчитывается руководству ОУ. Здесь важно понять — отчет не сама цель, т.е. работа для отчета – это потраченное время на не нужную бумагу. Отчет сотрудников должен показывать их уровень работы, вовлеченности, инициативности и пользы, и предполагает оценку работы со стороны руководителя, т.е. заинтересованность в выполненной работе.

Описание предметной области (организации)


Вы все еще здесь?! Тогда продолжим…
К особенностям государственных образовательных организаций можно отнести:
1. Состав и характеристика пользователей:
Пользователей всего два типа – студенты и сотрудники.
Студентов (~2200 человек) в свою очередь условно можно разделить на еще два типа (хотя на практике они просто студенты, но все же): студенты ИТ-специальностей, и все остальные.
Сотрудников (~150 человек) различаем как – преподаватели и административный персонал.
Каждый подтип пользователей отдельно оценивается с точки зрения скрытой угрозы для ИТ, необходимым правам доступа и местам работы.
2. Деятельность сотрудников:
Административная: привязан к рабочему месту (перемещения не частые), есть строгий набор необходимого для работы ПО и оборудования (ничего не обычного).
Преподавательская: преподаватель перемещается из аудитории в аудиторию, работает с основным офисным ПО и специализированным (зависит от преподаваемой дисциплины). Офисный пакет стандартный, специализированное ПО может отличаться в разных кабинетах. Доступ к учебным материалам со всех ПК в организации (для студентов на чтение). Доступ к USB-модемам заблокирован.
3. Студенты (как без них): деятельность направлена на обучение (необходимы меры по приспособлению к безопасной и изолированной работе). Сетевые папки отдельные для каждого кабинета с доступом для студентов на запись (так чтобы файлы не кочевали между аудиториями), к учебным материалам только чтение. Доступ к USB-накопителям и USB-модемам заблокирован.
4. Большое количество техники задействовано в учебном процессе: в соотношении 4:1. Таким образом необходимо контролировать еще и зав. лабораториями (что бы они контролировали состояние и вовремя предупреждали о замеченных проблемах и неисправностях). В дополнение к стандартным учебным ПК, есть еще и нестандартные: сервера на eComstation (OS/2) с учебным ПО, учебные ПК с виртуальными машинами (для ИТ-специальностей).
5. Особенности лицензирования ПО. У многих разработчиков ПО есть образовательные скидки и академические программы лицензирования, например:
  • a. Microsoft Dreamspark Premium/Standard (1)
  • b. AutoDesk Academic Resource Center (2)
  • c. MyArchiCAD (3)
  • d. Smart-soft (Traffic Inspector) (4)
  • e. и т.д.

6. Штат отдела ИТ: 7 человек (включая руководителя) из них 3 не полная ставка в отделе ИТ, в филиалах нет технических специалистов:
  • a. системных администраторов — 2
  • b. инженеров — 2
  • c. техников — 1
  • d. инженеров ИБ – 1

7. Организация системы технической поддержки пользователей: внутренний телефон отдела ИТ, мобильный телефон отдела ИТ, система обмена мгновенными сообщениями, личный телефон руководителя отдела, личный телефон сотрудников отдела.
8. Область ответственности отдела ИТ дополнительно включает: системы видеонаблюдения, систему контроля и управления доступом, телефонную сеть организации.
9. Интересы бизнеса (если можно так назвать):
  • a. Общие
    i. Поддержание работы всего парка ПК и СВТ.
    ii. Оптимизация и сокращение затрат на поддержание работы: выполнение планового технического обслуживания (превентивные меры), упрощение обслуживания (т.о. сохранение того же штата отдела при росте инфраструктуры), сокращение рисков потери данных и простоев в работе, подбор оптимальных конфигураций и состава закупаемого оборудования, продление срока эксплуатации старых ПК, например – в качестве терминальных клиентов.
    iii. Обеспечение информационной безопасности, в том числе защита информации от потери, утечки.
    iv. Поддержание использования ИТ в правовом поле (соблюдение СанПин, ФЗ и т.п.).
  • b. Образовательные
    i. Внедрение современных программных средств востребованных для соответствующих образовательных специальностей (по возможности с заменой на СПО).
    ii. Консультации преподавателей по вопросам использования СПО аналогов коммерческого ПО.
  • c. Административные
    i. Приоритетная поддержка некоторых административных процессов.

10. Финансирование: финансирование разделено на два типа областное (муниципальное), т.е. бюджетные средства и собственные средства (внебюджетные). Помимо этого государство выделяет деньги на различные «целевые программы» — это тоже государственные деньги, но расходуются они под сильным контролем, с обязательными проверками и отчетами. Опыт показывает, что:
  • a. бюджетные деньги как правило уходят на коммунальные расходы (в том числе телефон и Интернет) и их не так много.
  • b. собственные – на обслуживание (выполнение ремонта, приобретение комплектующих на замену вышедших из строя, заправка картриджей), рабочие места сотрудников, с большим трудом выдаются на обязательное ПО (обновление подписок, продление лицензий на антивирусное ПО), в последнее время с еще большим трудом выдаются на модернизацию инфраструктуры.
  • c. целевые – здесь все просто и сложно: если подходит под цели, то «больше накладывай, быстрее неси», если нет – то нет.

Как выход из ситуации (при ограниченном бюджете): в любое расходование закладывать % сверху (накладной на ИТ). Т.е. при покупке ПК – необязательно покупать ОЕМ лицензии ОС (OEM для большой организации – это ад), но продумать вопрос включения в общую сеть – стоит. Такой вариант называется уже не ПК, а АРМ и может включать: ПК, периферию, и необходимое оборудование для подключения к сети.
При приобретении лицензий (если это необходимо) лучше купить с планируемым «запасом» (после оценки всей инфраструктуры, и отслеживания ситуации за один-два года, обычно картина проясняется насколько нужно планировать).
При приобретении оборудования – тоже планировать с запасом: если площадь помещения и здания позволяет поставить огромное количество сетевого оборудования и при расширении (а, ведь мы планируем расширяться) его станет больше – взять коммутатор с запасом портов. Если есть возможность взять резервный (которого нет) – берем, лишним не будет (называется не нагруженный резерв)!

Описание инфраструктуры организации


Инфраструктура:
— компьютеров — 500
— железных серверов — 6
— управляемого коммутационного оборудования (из них беспроводного оборудования) – 9 (1)
— копировально-множительной техники (принтеры, МФУ, плоттеры и т.п.) -110
Количество абонентов внутренней телефонной сети: — 14
Городских телефонных номеров (без учета филиалов) — 10
Количество филиалов — 4
Количество зданий — 3
Подключение к сети Интернет: 30Мбит/сек (основной) и 5 Мбит/сек (резервный)
Исторически сложившаяся физически отдельная локальная сеть в бухгалтерии, с самостоятельным доступом к сети Интренет. Прошу, не спрашивайте почему не включили их в общую сеть. Работает стабильно — пусть пока работает, конечно в планах изменение сети есть.
Есть еще одна особенность: отдел кадров подключается к сети использующейся в бухгалтерии по VPN, затем по RDP идет на сервер и затем работает. Здесь используется такая приблуда — SoftEther VPN (http://habrahabr.ru/post/208782/). У костылей есть свои минусы: после подключения на рабочем ПК пропадают сетевые ресурсы, нет доступа к Интернет.
Подключения филиалов – аренда VPN-канала
Распределенная сеть с выделенными серверами. В сеть включены порядка 92% всех ПК. Сеть разграничена на VLAN’ы. До полноценной СКС еще не доросли.
Исторически сложилось, что выделенное серверное помещение (есть используемое и есть планируемое, сейчас об используемом), расположено во втором учебном корпусе, где почти нет административных ПК и общее количество ПК в 4 раза (!!!) меньше, чем в главном. Однако, именно туда приходят оба канала Интернет. Главный корпус со вторым связан оптикой. В главном корпусе нет серверов. Т.е. в случае обрыва или отсутствия света там – мы сидим вообще без сети и без всего! Сложилось так потому, что (без шуток):
1. Находиться отделение дистанционных технологий.
2. Есть помещение 4 кв.м.
3. Думать в целом об инфраструктуре было некому.
Программное обеспечение: есть большой список лицензионного ПО, но так как учет и актуализация ранее не велась, то шаг – стандартизации и легализации необходимого ПО еще не завершен.

Основные направления


1. Обслуживание электронной почты: Яндекс почта для домена (4)
Администраторы регистрируют/восстанавливают и блокируют учетные записи, все остальное делает Яндекс (за что им большое спасибо!).
2. Серверные операционные системы:
2.1. Windows Server 2003 SP2 Standard
2.2. Windows Server 2008 R2 Standard
2.3. CentOS
2.4. Ubuntu Server
Разные задачи решаются на разных платформах. Что то виртуализировано, что то по-прежнему на железе, но сервисы и роли такие: AD (по возможности все заводиться с авторизацией через него), DNS, DHCP, WDS, файловый сервер (DFS с масками сетевых папок), Moodle, сайт ОУ, бухгалтерское ПО, KCS (6).
3. Настольные операционные системы:
3.1. Windows XP Professional SP3
3.2. Windows 7 Professional SP1
Все активно сетефицируется и вводится в домен.
4. Резервное копирование и восстановление ОС: Acronis Backup for Windows Server + Linux-решения
5. Организация и контроль доступа в Интернет: Traffic Inspector
6. Антивирус для защиты пользователей: Kaspersky для Windows Workstation (Пока используется 6 MP4)
7. Удаленное администрирование и удаленная поддержка ПК:
7.1. RAdmin (административные)
7.2. Thight VNC (учебные)
8. Постановка и учет задач отдела ИТ: Битрикс24 (бесплатное веб-решение) (6)
9. Инвентаризация ПО и ТО: Friendly Pinger (7)
10. Мониторинг сетевой и серверной инфраструктуры: Zabbix
11. Виртуализация серверов: Proxmox VE
12. Система тестирования знаний студентов: Moodle + специальный шаблон для импорта тестов (8)
13. Корпоративная система обмена сообщениями:
13.1. Сервер- Openfire
13.2. Клиенты – Pandion (NTLM-аутентификация, но нет рассылок), Spark (есть рассылка)

Выполнено за последние два года


Краткий список того что выполнено
1. Выполнена инвентаризация программного обеспечения (собраны все дистрибутивы в одном месте, выверен список того что есть, того что должно быть), идет приведение рабочих мест в соответствие со списком.
2. Выполнена инвентаризация аппаратного обеспечения (включая филиалы)
В инвентарной ведомости указано расположение всего оборудования, поддерживается в актуальном состоянии. Подготовлен список с количественными характеристиками лабораторий (по этажам, зданиям):
кол-во ПК,
кол-во другой техники по типам,
ширина, длина, высота помещения – для расчета норм СанПин (10)
3. Выполнено списание и утилизация старого оборудования (порядка 140 единиц техники).
4. Организован запас картриджей (т.е. замена пустого картриджа сотрудника выполняется сразу, затем на заправку передаются несколько пустых, после заправки они возвращаются в резерв).
5. Организован запас некоторых комплектующих (мышки, клавиатуры, блоки питания, жесткие диски), в целом резервное АРМ.
6. Утверждены регламентирующие работу отдела документы (Положение об отделе), пересмотрены должностные инструкции.
7. По согласованию с руководством выполнены кадровые решения:
  • a. принят в штат инженер по инф. безопасности (+1 единица);
  • b. принят в штат новый системный администратор с увольнением старого.

8. Разработан и утвержден пакет документов по защите ПДн – благодаря инженеру по информационной безопасности.
9. Сетефицирован ряд лабораторий (включая монтаж локальных сетей самих лабораторий).
10. Развернута система WDS (Windows Deployment Service), возможностью сетевой загрузки системы диагностики ПК.
11. Переконфигурировано сетевое оборудование филиалов для соответствия новой топологии сети (филиалы не включены в домен).
12. Впервые за 10 лет сделан ремонт в кабинете отдела ИТ, организованы нормальные рабочие места!!!
13. Согласовано и выделено помещение под серверную главного корпуса (Заложен оконный проем, установлена металлическая дверь, помещение 9 кв.м. для двух напольных шкафов хватит).
14. Проведена ревизия сетевого оборудования с установкой соответствия порт-устройство, обновлены схемы сети.
15. Частично приобретено сетевое коммутационное оборудование и система хранения данных.
16. Внедрена система обмена мгновенными сообщениями.
17. Разработана и применена политика информационной безопасности для административных и учебных ПК.

Планы на ближайшее будущее


1. Регламентированный подход к организационным вопросам в отделе ИТ (подготавливается документация и описываются процессы).
2. Введение в строй основной серверной, с резервируемой системой охлаждения, системой пожаротушения, резервным источником питания с АВР (11).
3. Введение в работу системы хранения данных (двух модульная Fujitsu) (12).
4. Включение бухгалтерии в общую сеть (с переносом сервера бухгалтерии в виртуальную инфраструктуру).
5. Полная перекройка сети и приведение к общим стандартам СКС. В том числе исключение промежуточных неуправляемых свитчей в помещениях отделов и отделений, а так же промежуточных свитчей между этими свитчами и центральными.
6. Включение всех ПК филиалов в локальную сеть.
7. Сетефикация 1ой новой лаборатории.
8. Ведение учета заправки картриджей.
9. Полное внедрение виртуализации (Proxmox).
10. Полная легализация ПО (в том числе по академическим программам и с использованием СПО)
11. Централизация закупок ПО и ТО непосредственно через отдел ИТ.
12. Восстановление работоспособности двух старых классов (по 10 ПК) для использования их в терминальном режиме (без приобретения нового оборудования).
13. Резервное копирование административный рабочих мест, не переводимых на терминальный режим (вполне возможно, что с использованием Veeam Endpoint Backup FREE) (11)
14. Внедрение системы helpdesk, для принятие заявок в электронном виде (рассматривается вариант otrs с возможностью NTLM аутентификации)
15. Перевод на терминальный режим работы части административных сотрудников (которым не нужна высокая производительность).
16. Ввести «IT education day/День ИТ-грамотности» – такое ежегодное однодневное мероприятие для студентов и преподавателей, на котором бы отдел ИТ и некоторые студенты и преподаватели делились удобными инструментами для работы, которые они используют, давали советы по удобной и правильной работе за ПК. Для повышения общего уровня ИТ-образованности и осведомленности.
17. Внедрение гибридной телефонии на 40 абонентов (аналог + IP).
18. Модернизация системы видеонаблюдения.
19. Подключение 3его здания в общую сеть с использованием оптического канала.

Заключение


В заключении отмечу: работа интересная и мне она нравится. Есть чувство того, что под твоим руководством (до этого почти в ручном режиме), что-то развивается и приобретает новые более гибкие очертания и сильную опору. До этого опыта руководства отделом не было, сейчас понимаю, что его очень мало, но я буду стремиться к тому, чтобы все сложилось хорошо и развитие продолжалось. Ведь любое даже маленькое замедление или остановка в развитии – это неизбежное отставание от конкурентов. Да и устаревание технологий и оборудования происходит очень быстро. Таким образом, при развитии необходимо руководствоваться не только сиюминутными «необходимостями», а стратегическим планом (т.е. ближайшее будущее и еще чуть-чуть в даль).
Весь поток мыслей был навеян работой и двумя тремя постами на хабре раз (14) и два (15) и три (16)
Посматриваем в сторону внедрения Microsoft System Center в полном его составе, стоит ли это того? Продукт весьма монстрообразный и дорогой. Может кто поделиться отзывами о реальной работе с ним? Стоит он того?

Список на то, что есть в статье


1. www.dreamspark.ru. [В Интернете]
2. schools.autodesk.com/login. [В Интернете]
3. www.myarchicad.com. [В Интернете]
4. www.smart-soft.ru/price.asp?product=fstec. [В Интернете]
5. pdd.yandex.ru. [В Интернете]
6. www.kaspersky.ru/security-center. [В Интернете]
7. bitrix24.ru. [В Интернете]
8. www.kilievich.com/rus/fpinger. [В Интернете]
9. moodle.org/mod/page/view.php?id=7321. [В Интернете]
10. www.ohranatruda.ru/ot_biblio/normativ/data_normativ/39/39082. [В Интернете]
11. ru.wikipedia.org/wiki/%D0%90%D0%B2%D1%82%D0%BE%D0%BC%D0%B0%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B9_%D0%B2%D0%B2%D0%BE%D0%B4_%D1%80%D0%B5%D0%B7%D0%B5%D1%80%D0%B2%D0%B0. [В Интернете]
12. www.fujitsu.com/ru/products/computing/storage/disk/eternus-dx/dx60/dx60-s2.html. [В Интернете]
13. www.veeam.com/ru/endpoint-backup-free.html. [В Интернете]
14. habrahabr.ru/post/102057. [В Интернете]
15. habrahabr.ru/post/132857. [В Интернете]
16. habrahabr.ru/post/95980. [В Интернете]
Tags:образованиеспоинфраструктура
Hubs: IT Infrastructure
+10
27.7k 161
Comments 21