Построение логической архитектуры информационной системы. Архитектура информационной системы. Виды архитектур. КИС. Структура и требования к КИС

iptables - утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана (брандмауэра) netfilter для ядер Linux версий 2.4 и 2.6. Для использования утилиты iptables требуются привилегии суперпользователя (root).Иногда под словом iptables имеется в виду и сам межсетевой экран netfilter.

1. Что же такое межсетевой экран и зачем он нужен?

Межсетевой экран - комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.

Основной задачей сетевого экрана является компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача - не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

2. Принципы работы iptables

Когда пакет приходит на наш межсетевой экран, то он сначала попадает на сетевое устройство, перехватывается соответствующим драйвером и далее передается в ядро. Далее пакет проходит ряд таблиц и затем передается либо локальному приложению, либо переправляется на другую машину.

В Iptables используется три вида таблиц:

1. Mangle - обычно эта цепочка используется для внесения изменений в заголовок пакета, например для изменения битов TOS и пр.
2. Nat - эта цепочка используется для трансляции сетевых адресов (Destination Network Address Translation). Source Network Address Translation выполняется позднее, в другой цепочке. Любого рода фильтрация в этой цепочке может производиться только в исключительных случаях.
3. Filter - здесь производится фильтрация трафика. Помните, что все входящие пакеты, адресованные нам, проходят через эту цепочку, независимо от того с какого интерфейса они поступили.

Соответственно, нас интересует третья таблица Filter. В этой таблицы имеются три встроенные цепочки:

1. INPUT - для входящих пакетов.
2. FORWARD - для проходящих через данную машину к другой.
3. OUTPUT - для исходящих.

Пакет, проходящий через эти цепочки, исходя из правила может быть пропущен (ACCEPT) или отброшен (DROP).

Программа Iptables позволяет редактировать правила через терминал путем ввода команд.

Немного о написании правил:

Каждое правило -- это строка, содержащая в себе критерии, определяющие, подпадает ли пакет под заданное правило, и действие, которое необходимо выполнить в случае выполнения критерия. В общем виде правила записываются примерно так:

Iptables [-t имя-таблицы ] команда [шаблон] [-j действие ]

Опция -t задает таблицу . Если опция упущена, то по умолчанию предполагается использование таблицы filter. Если предполагается использование другой таблицы, то это требуется указать явно.

Далее, непосредственно за именем таблицы, должна стоять команда. Если спецификатора таблицы нет, то команда всегда должна стоять первой.
Команда определяет действие iptables, например: вставить правило, или добавить правило в конец цепочки, или удалить правило и т.п.

Список команд:

• -A имя-цепочки правило (добавить правило в конец цепочки; ключ --set-counters позволяет установить счётчики пакетов и байтов)
• -I имя-цепочки номер правило (вставить правило в цепочку перед правилом с указанным номером, нумерация с 1; ключ --set-counters позволяет установить счётчики пакетов и байтов)
• -R имя-цепочки номер правило (заменить;
  ключ --set-counters позволяет установить счётчики пакетов и байтов)
• -D имя-цепочки номер (удалить правило с указанным номером, нумерация с 1)
• -D имя-цепочки правило (удалить правило по текстуальному совпадению)
• -C имя-цепочки пакет (тестировать прохождение пакета;
  исходящий адрес, адрес назначения, протокол, интерфейс, порты задаются соответствующими ключами)
• -L [имя-цепочки ] (показать список правил; дополнительные ключи:
  • -v (вывести дополнительную информацию, в частности, счётчики)
  • --exact (показывать счётчики без округления до KB, MB и т.д.)
  • --numeric (показывать адреса и номера портов в виде чисел)
  • --line-numbers (выводить номера правил)
• -F имя-цепочки (удалить все правила из цепочки)
• -Z имя-цепочки (обнулить счетчики)
• -N имя-цепочки (создать цепочку)
• -X имя-цепочки (удалить пустую цепочку, на которую нет ссылок)
• -P имя-цепочки действие (изменить действие по умолчанию: ACCEPT,
  DROP, QUEUE, RETURN)
• -E старое-имя-цепочки новое-имя-цепочки (переименовать цепочку)

Раздел шаблон задает критерии проверки, по которым определяется подпадает ли пакет под действие этого правила или нет.Здесь можно указать самые разные критерии - IP-адрес источника пакета или сети, сетевой интерфейс. IP-адрес места назначения, порт, протокол и т.д. Остальные параметры для фильтации можно посмотреть в справке по утилите iptables(man iptables)

И наконец действие указывает, какое действие должно быть выполнено при условии выполнения критериев в правиле. Здесь можно заставить ядро передать пакет в другую цепочку правил, "сбросить" пакет, выдать на источник сообщение об ошибке и т.п.

Список некоторых действий:

• ACCEPT - пропустить пакет; просмотр таблицы завершается
• DROP - выбросить молча; просмотр завершается не только для текущей цепочки, но и для других таблиц
• REJECT - выбросить, известив отправителя (--reject-with тип-извещения )

3. Порядок следования сетевого пакета, предназначенного локальному процессу/приложению:

Для локального приложения

Шаг	Таблица	Цепочка	Примечание
1			Кабель (т.е. )
2			Входной
3	mangle	PREROUTING	Обычно используется для внесения изменений в заголовок пакета, например для установки битов TOS и пр.
4	nat	PREROUTING	Преобразование адресов (Destination Network Address Translation). Фильтрация пакетов здесь допускается только в исключительных случаях.
5			Принятие решения о маршрутизации.
6	mangle	INPUT	Пакет попадает в цепочку INPUT таблицы mangle. Здесь внесятся изменения в заголовок пакета перед тем как он будет передан локальному приложению.
7	filter	INPUT	Здесь производится фильтрация входящего трафика. Помните, что все входящие пакеты, адресованные нам, проходят через эту цепочку, независимо от того с какого интерфейса они поступили.
8			Локальный процесс/приложение (т.е., программа-сервер или программа-клиент)

Важно помнить, что на этот раз пакеты идут через цепочку INPUT, а не через FORWARD.

Порядок движения пакетов, созданных локальными процессами.

От локальных процессов

Шаг	Таблица	Цепочка	Примечание
1			Локальный процесс (т.е., программа-сервер или программа-клиент).
2			Принятие решения о маршрутизации. Здесь решается куда пойдет пакет дальше -- на какой адрес, через какой сетевой интерфейс и пр.
3	mangle	OUTPUT	Здесь производится внесение изменений в заголовок пакета. Выполнение фильтрации в этой цепочке может иметь негативные последствия.
4	nat	OUTPUT	Эта цепочка используется для трансляции сетевых адресов (NAT) в пакетах, исходящих от локальных процессов брандмауэра.
5	Filter	OUTPUT	Здесь фильтруется исходящий траффик.
6	mangle	POSTROUTING	Цепочка POSTROUTING таблицы mangle в основном используется для правил, которые должны вносить изменения в заголовок пакета перед тем, как он покинет брандмауэр, но уже после принятия решения о маршрутизации. В эту цепочку попадают все пакеты, как транзитные, так и созданные локальными процессами брандмауэра.
7	nat	POSTROUTING	Здесь выполняется Source Network Address Translation. Не следует в этой цепочке производить фильтрацию пакетов во избежание нежелательных побочных эффектов. Однако и здесь можно останавливать пакеты, применяя политику по-умолчанию DROP.
8			Сетевой интерфейс (например, eth0)
9			Кабель (т.е., Internet)

Порядок движения транзитных пакетов

Шаг	Таблица	Цепочка	Примечание
1			Кабель (т.е. Интернет)
2			Сетевой интерфейс (например, eth0)
3	mangle	PREROUTING	Обычно эта цепочка используется для внесения изменений в заголовок пакета, например для изменения битов TOS и пр..
4	nat	PREROUTING	Эта цепочка используется для трансляции сетевых адресов (Destination Network Address Translation). Source Network Address Translation выполняется позднее, в другой цепочке. Любого рода фильтрация в этой цепочке может производиться только в исключительных случаях
5			Принятие решения о дальнейшей маршрутизации, т.е. в этой точке решается куда пойдет пакет -- локальному приложению или на другой узел сети.
6	mangle	FORWARD	Далее пакет попадает в цепочку FORWARD таблицы mangle, которая должна использоваться только в исключительных случаях, когда необходимо внести некоторые изменения в заголовок пакета между двумя точками принятия решения о маршрутизации.
7	Filter	FORWARD	В цепочку FORWARD попадают только те пакеты, которые идут на другой хост Вся фильтрация транзитного трафика должна выполняться здесь. Не забывайте, что через эту цепочку проходит траффик в обоих направлениях, обязательно учитывайте это обстоятельство при написании правил фильтрации.
8	mangle	POSTROUTING	Эта цепочка предназначена для внесения изменений в заголовок пакета уже после того как принято последнее решение о маршрутизации.
9	nat	POSTROUTING	Эта цепочка предназначена в первую очередь для Source Network Address Translation. Не используйте ее для фильтрации без особой на то необходимости. Здесь же выполняется и маскарадинг (Masquerading).
10			Выходной сетевой интерфейс (например, eth1).
11			Кабель (пусть будет LAN).

Есть три различных варианта прохождения пакетов.

1. Из вне на локальную службу (сервер) этого компьютера (INPUT).

2. От локальной службы (сервера) этого компьютера во вне (OUTPUT).

3. Прохождение мимо, шлюзование, мимо этого сетевого интерфейса этого компьютера (FORWARD).

4. Несколько примеров настройки:

пример скрипта:

#задаем переменные для обозначения внешнего и внутреннего сетевого интерфейса

LOCAL_IF="eth0"
INET_IF="eth0:g"

#=======================
# Удалить все правила из цепочки.
#=======================
iptables -F
iptables -X

#=======================
# Устанавливаем политику по умолчанию.
#=======================

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD ACCEPT

#=======================
# Создаем правила для всех интерфейсов.
#=======================

# http - открываем 80 порт
iptables -A INPUT -i ALL -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -i ALL -p icmp -j ACCEPT

#=======================
# Создаем правила для внутреннего интерфейса.
#=======================

# ssh - открываем 22

iptables -A INPUT -p tcp -i $LOCAL_IF -m tcp --dport 22 -j ACCEPT

осталось запустить скрипт

примеры отдельных цепочек:

Разрешаем все на внутренних интерфейсах (lo, eth0, eth1 - внутренние интрефейсы)
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

Разрешаем доступ к заданному порту из инета
iptables -A INPUT -p tcp -m tcp -d внешний_ip --dport 80 -j ACCEPT

Открываем протокол
iptables -A INPUT -p gre -j ACCEPT

5. Ссылки на документацию по настройке iptables

http://www.posix.ru/network/iptables/ -статья Дмитрия Кулакова "Настройка межсетевого экрана Iptables"

http://www.opennet.ru/docs/RUS/iptables/ - статья Оскара Андерсона в переводе Андрея Киселева "Руководство по iptables"

http://system-administrators.info/?p=396 - статья "netfilter и iptables в Linux: принципы работы, настройка"

http://www.iptables.ru/ - пошаговое конфигурирование iptables. технической поддержки

Оставьте свой комментарий!

Ключевыми понятиями iptables являются:

Правило - состоит из критерия, действия и счетчика. Если пакет соответствует критерию, к нему применяется действие, и он учитывается счетчиком. Критерия может и не быть - тогда неявно предполагается критерий «все пакеты». Указывать действие тоже не обязательно - в отсутствие действия правило будет работать только как счетчик. Правила для каждой цепочки срабатывают в порядке их следования, поэтому порядок важен.

• Критерий - логическое выражение, анализирующее свойства пакета и/или соединения и определяющее, подпадает ли данный конкретный пакет под действие текущего правила. Критерии соединяются логическим «И».

  Действие - описание действия, которое нужно проделать с пакетом и/или соединением в том случае, если они подпадают под действие этого правила. О действиях более подробно будет рассказано ниже.

  Счетчик - компонент правила, обеспечивающий учет количества пакетов, которые попали под критерий данного правила. Также счетчик учитывает суммарный объем таких пакетов в байтах.

Цепочка - упорядоченная последовательность правил. Цепочки можно разделить на пользовательские и базовые.

• Базовая цепочка - цепочка, создаваемая по умолчанию при инициализации таблицы. Каждый пакет, в зависимости от того, предназначен ли он самому хосту, сгенерирован им или является транзитным, должен пройти положенный ему набор базовых цепочек различных таблиц. Кроме того, базовая цепочка отличается от пользовательской наличием «действия по умолчанию» (default policy). Это действие применяется к тем пакетам, которые не были обработаны другими правилами этой цепочки и вызванных из нее цепочек. Имена базовых цепочек всегда записываются в верхнем регистре (PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING).

  Пользовательская цепочка - цепочка, созданная пользователем. Может использоваться только в пределах своей таблицы. Рекомендуется не использовать для таких цепочек имена в верхнем регистре, чтобы избежать путаницы с базовыми цепочками и встроенными действиями.

Таблица - совокупность базовых и пользовательских цепочек, объединенных общим функциональным назначением. Имена таблиц (как и модулей критериев) записываются в нижнем регистре, так как в принципе не могут конфликтовать с именами пользовательских цепочек. При вызове команды iptables таблица указывается в формате -t имя_таблицы. При отсутствии явного указания, используется таблица filter.

Синтаксический анализ:

# Дамп правил таблицы filter $ sudo iptables-save -c -t filter # Таблица filter * filter # Цепочки INPUT, FORWARD, OUTPUT, их политики и счётчики :INPUT ACCEPT [ 19302 :9473669 ] :FORWARD ACCEPT [ 0 :0 ] :OUTPUT ACCEPT [ 5462736 :4247599532 ] # Правило: "" - счётчик правила, "-A INPUT" - цепочка, "-i em1 -p tcp -m tcp --dport 22" - критерии, "-j ACCEPT" - действие [ 17 :1020 ] -A INPUT -i em1 -p tcp -m tcp --dport 22 -j ACCEPT COMMIT

Архитектура

В системе netfilter, пакеты пропускаются через цепочки. Цепочка является упорядоченным списком правил, а каждое правило может содержать критерии и действие или переход. Когда пакет проходит через цепочку, система netfilter по очереди проверяет, соответствует ли пакет всем критериям очередного правила, и если так, то выполняет действие (если критериев в правиле нет, то действие выполняется для всех пакетов проходящих через правило). Вариантов возможных критериев очень много. Например, пакет соответствует критерию –source 192.168.1.1 если в заголовке пакета указано, что отправитель - 192.168.1.1. Самый простой тип перехода, –jump, просто пересылает пакет в начало другой цепочки. Также при помощи –jump можно указать действие. Стандартные действия доступные во всех цепочках - ACCEPT (пропустить), DROP (удалить), QUEUE (передать на анализ внешней программе), и RETURN (вернуть на анализ в предыдущую цепочку). Например, команды

Iptables -A INPUT --source 192.168.1.1 --jump ACCEPT iptables -A INPUT --jump other_chain

означают «добавить к концу цепочки INPUT следующие правила: пропустить пакеты из 192.168.1.1, а всё, что останется - отправить на анализ в цепочку other_chain».

Цепочки

Существует 5 типов стандартных цепочек, встроенных в систему:

PREROUTING - для изначальной обработки входящих пакетов.

INPUT - для входящих пакетов адресованных непосредственно локальному процессу (клиенту или серверу).

FORWARD - для входящих пакетов перенаправленных на выход (заметьте, что перенаправляемые пакеты проходят сначала цепь PREROUTING, затем FORWARD и POSTROUTING).

OUTPUT - для пакетов генерируемых локальными процессами.

POSTROUTING - для окончательной обработки исходящих пакетов.

Также можно создавать и уничтожать собственные цепочки при помощи утилиты iptables.

Таблицы

Цепочки организованны в 4 таблицы:

Raw - просматривается до передачи пакета системе определения состояний. Используется редко, например для маркировки пакетов, которые НЕ должны обрабатываться системой определения состояний. Для этого в правиле указывается действие NOTRACK. Содержит цепочки PREROUTING и OUTPUT.

Mangle - содержит правила модификации (обычно заголовка) IP‐пакетов. Среди прочего, поддерживает действия TTL (Time to live), TOS (Type of Service), и MARK (для изменения полей TTL и TOS, и для изменения маркеров пакета). Редко необходима и может быть опасна. Содержит все пять стандартных цепочек.

Nat - просматривает только пакеты, создающие новое соединение (согласно системе определения состояний). Поддерживает действия DNAT, SNAT, MASQUERADE, REDIRECT. Содержит цепочки PREROUTING, OUTPUT, и POSTROUTING.

Filter - основная таблица, используется по умолчанию если название таблицы не указано. Содержит цепочки INPUT, FORWARD, и OUTPUT.

Цепочки с одинаковым названием, но в разных таблицах - совершенно независимые объекты. Например, raw PREROUTING и mangle PREROUTING обычно содержат разный набор правил; пакеты сначала проходят через цепочку raw PREROUTING, а потом через mangle PREROUTING.

Состояния

В системе netfilter, каждый пакет проходящий через механизм определения состояний, может иметь одно из четырёх возможных состояний:

NEW - пакет открывает новый сеанс. Классический пример - пакет TCP с флагом SYN.

ESTABLISHED - пакет является частью уже существующего сеанса.

RELATED - пакет открывает новый сеанс, связанный с уже открытым сеансом. Например, во время сеанса пассивного FTP , клиент подсоединяется к порту 21 сервера, сервер сообщает клиенту номер второго, случайно выбранного порта, после чего клиент подсоединяется ко второму порту для передачи файлов. В этом случае второй сеанс (передача файлов по второму порту) связан с уже существующим сеансом (изначальное подсоединение к порту 21).

INVALID - все прочие пакеты.

Диаграмма прохождения таблиц и цепочек

Упрощённая диаграмма прохождения таблиц и цепочек:

Детальная диаграмма:

Базовая конфигурация

Ниже приведён пример базовой статической конфигурации iptables. При сохранении и загрузке подобной конфигурации необходимо принимать во внимание возможность внесения в неё изменений со стороны других сервисов, например Fail2ban . Кроме того, при использовании IPv6-адресации конфигурацию для IPv6 следует выполнять независимо от IPv4.

IPv4

sudo iptables-save

Создаём скрипт с дампом правил iptables:

sudo nano / etc/ network/ if-up.d/ iptables-rules

Копируем следующий код:

#!/sbin/iptables-restore -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A FORWARD -p icmp -j ACCEPT -A FORWARD -j REJECT --reject-with icmp-host-prohibited #-A OUTPUT -p icmp -j ACCEPT #-A OUTPUT -o lo -j ACCEPT #-A OUTPUT -j REJECT --reject-with icmp-host-prohibited COMMIT

Дополняем нужными правилами с учётом iptables-save.

sudo chmod +x / etc/ network/ if-up.d/ iptables-rules sudo / etc/ network/ if-up.d/ iptables-rules

IPv6

Просмотр текущей конфигурации:

sudo ip6tables-save

Создаём скрипт с дампом правил ip6tables:

sudo nano / etc/ network/ if-up.d/ ip6tables-rules

Копируем следующий код:

#!/sbin/ip6tables-restore # Таблица filter и её цепочки * filter:INPUT ACCEPT [ 0 :0 ] :FORWARD ACCEPT [ 0 :0 ] :OUTPUT ACCEPT [ 0 :0 ] # Разрешаем связанные и установленые соединения -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT # Разрешаем служебный icmp-трафик -A INPUT -p ipv6-icmp -j ACCEPT # Разрешаем доверенный трафик на интерфейс loopback -A INPUT -i lo -j ACCEPT # Сюда можно вставлять дополнительные правила для цепочки INPUT # Запрещаем всё остальное для INPUT -A INPUT -j REJECT --reject-with icmp6-adm-prohibited # Порядок и смысл правил для цепочек FORWARD и OUTPUT аналогичен INPUT -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A FORWARD -p ipv6-icmp -j ACCEPT -A FORWARD -j REJECT --reject-with icmp6-adm-prohibited # Фильтровать цепочку OUTPUT настоятельно не рекомендуется #-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT #-A OUTPUT -p ipv6-icmp -j ACCEPT #-A OUTPUT -o lo -j ACCEPT #-A OUTPUT -j REJECT --reject-with icmp6-adm-prohibited COMMIT

Дополняем нужными правилами с учётом ip6tables-save.

Сохраняем и закрываем: Ctrl + O , Enter , Ctrl + X

Делаем скрипт исполняемым и загружаем правила iptables:

sudo chmod +x / etc/ network/ if-up.d/ ip6tables-rules sudo / etc/ network/ if-up.d/ ip6tables-rules

Дополнительные правила

Ниже приведены некоторые сравнительно часто используемые правила. Цепочки INPUT/OUTPUT применяются для фильтрации локального трафика. Для транзитного трафика необходимо использовать цепочку FORWARD.

Удалённый доступ

# remote.ssh -A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 22 -j ACCEPT # remote.rdp -A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 3389 -j ACCEPT # remote.vnc -A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 5900 -j ACCEPT

Веб и файловые сервисы

# web.http, web.https -A INPUT -p tcp -m conntrack --ctstate NEW -m multiport -A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 21 -j ACCEPT

Почта и мгновенные сообщения

# mail.pop3, mail.pop3s -A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 110 ,995 -j ACCEPT # mail.imap, mail.imaps -A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 143 ,993 -j ACCEPT # mail.smtp, mail.smtps -A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 25 ,465 -j ACCEPT # im.xmpp -A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 5222 ,5223 -j ACCEPT # im.icq.oscar -A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 5190 -j ACCEPT

Сетевые службы

# network.openvpn.vpn -A INPUT -p udp -m conntrack --ctstate NEW -m udp --dport 1194 -j ACCEPT # network.squid.proxy -A INPUT -p udp -m conntrack --ctstate NEW -m udp --dport 3128 -j ACCEPT # network.dns -A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 53 -j ACCEPT -A INPUT -p udp -m conntrack --ctstate NEW -m udp --dport 53 -j ACCEPT # network.ntp -A INPUT -p udp -m conntrack --ctstate NEW -A INPUT -p udp -m conntrack --ctstate NEW -m udp --dport 69 -j ACCEPT # network.dhserver.dhcp.discover-request -A INPUT -p udp -m conntrack --ctstate NEW -m udp --sport 68 --dport 67 -j ACCEPT # network.dhclient.dhcp.discover-request #-A OUTPUT -p udp -m conntrack --ctstate NEW -m udp --sport 68 --dport 67 -j ACCEPT # network.dhserver.dhcp.offer-ack #-A OUTPUT -p udp -m conntrack --ctstate NEW -m udp --sport 67 --dport 68 -j ACCEPT

Тестирование и отладка

Просмотр текущей конфигурации для IPv4 и IPv6:

sudo iptables-save sudo ip6tables-save

Логирование

Трассировка

Модули ядра

Просмотр загруженных модулей:

lsmod | grep -E "^ip|^nf" | sort

Для загрузки дополнительных модулей удобно применять автодополнение: 2x Tab

sudo modprobe nf sudo modprobe modules-load.d

Итак, сегодня мы будем разбираться что же это за зверь такой этот IPTables и как с ним бороться, победить и обуздать? :)

IPTables - утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана (фаервола или брандмауэра) NETFilter для ядер Linux, начиная с версии 2.4. Для использования утилиты IPTables требуются привилегии суперпользователя (root).

Иногда под словом IPTables имеется в виду и сам межсетевой экран NETFilter. С его помощью можно достаточно гибко управлять (в данном случае - обработкой пакетов, поступающих к нам или же исходящих от нас).

Например, можно запретить одному компьютеру доступ в Интернет, другому разрешить доступ только к сайтам, третьему "пробросить" (назначить) заранее определенный порт, а "подозрительные" пакеты отправлять назад отправителю (пусть сам себя ломает). Можно подменять «на лету» служебную информацию IP пакетов (отправитель, получатель, TTL , пр.) и многое другое, чего сразу и не придумаешь.

Что, для начала, следует знать о файрволах, - они предназначены для защиты, поэтому нужно крепко запомнить, что последним правилом (policy ) должно быть «запрещать остальное». Второе, но все же, не менее важное - всегда осторожно редактируйте правила или Telnet.

Случаи когда производилась настройка правил по удаленке, а после применения правил невнимательный админ оказывался "отрезан" от сервера не единичны! И хорошо, если сервер в двух шагах, а что если он где-то в тридевятом царстве?

Принцип работы брандмауэра

Когда пакет приходит на наш брандмауэр, то он сперва попадает на , перехватывается соответствующим драйвером и далее передается в ядро. Далее пакет проходит ряд таблиц, а затем передается либо локальному приложению, либо переправляется на другую машину.

Порядок следования пакета приведен в таблице ниже:

Шаг	Таблица	Цепочка	Примечание
1			Кабель (т.е. Интернет)
2			Сетевой интерфейс (например, eth0)
3	mangle	PREROUTING	Обычно эта цепочка используется для внесения изменений в заголовок пакета, например для изменения битов TOS и пр.
4	nat	PREROUTING	Эта цепочка используется для трансляции сетевых адресов (Destination Network Address Translation). Source Network Address Translation выполняется позднее, в другой цепочке. Любого рода фильтрация в этой цепочке может производиться только в исключительных случаях
5			Принятие решения о дальнейшей маршрутизации, т.е. в этой точке решается куда пойдет пакет - локальному приложению или на другой узел сети.
6	mangle	FORWARD	Далее пакет попадает в цепочку FORWARD таблицы mangle, которая должна использоваться только в исключительных случаях, когда необходимо внести некоторые изменения в заголовок пакета между двумя точками принятия решения о маршрутизации.
7	Filter	FORWARD	В цепочку FORWARD попадают только те пакеты, которые идут на другой хост Вся фильтрация транзитного трафика должна выполняться здесь. Не забывайте, что через эту цепочку проходит трафик в обоих направлениях. Обязательно учитывайте это обстоятельство при написании правил фильтрации.
8	mangle	POSTROUTING	Эта цепочка предназначена для внесения изменений в заголовок пакета уже после того как принято последнее решение о маршрутизации.
9	nat	POSTROUTING	Эта цепочка предназначена в первую очередь для Source Network Address Translation. Не используйте ее для фильтрации без особой на то необходимости. Здесь же выполняется и маскарадинг (Masquerading).
10			Выходной сетевой интерфейс (например, eth1)
11			Кабель (пусть будет LAN)

Как Вы можете видеть, пакет проходит несколько этапов, прежде чем будет передан далее. На каждом из этапов пакет может быть остановлен, будь то цепочка iptables или что-либо еще, но нас главным образом интересует iptables.

Заметьте, что нет каких-либо цепочек, специфичных для отдельных интерфейсов или чего-либо подобного. Цепочку FORWARD проходят ВСЕ пакеты, которые движутся через наш брандмауэр-роутер. Не используйте цепочку INPUT для фильтрации транзитных пакетов, они туда просто не попадают. Через эту цепочку движутся только данные, предназначенные этому же хосту.

Правила iptables

Приведу пример части моего конфига роутера: vlan332 - это интерфейс через который я получаю доступ к Интернету, vlan333 - доступ в локальную сеть провайдера, а 172.30.2.5 - мой компьютер.

#NAT
iptables -t nat -A POSTROUTING -o vlan332 -j MASQUERADE
iptables -t nat -A POSTROUTING -o vlan333 -j MASQUERADE

#Torrent
iptables -A PREROUTING -t nat -p tcp --dport 9000 -i vlan332 -j DNAT --to 172.30.2.5

#Open port
iptables -A INPUT -p tcp --dport 53 -j ACCEPT #DNS TCP
iptables -A INPUT -p udp --dport 53 -j ACCEPT #DNS UDP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT #WEB server

#Все остальное входящее "дропать" (удалять)
iptables -A INPUT -i vlan332 -j DROP

Что все это значит? Прежде всего, для удобства чтения я поделил конфиг на «секции» комментариями, т.е. в одной секции правила для NAT, в другой - проброс портов (PAT), в третей - разрешаем порты сервера и т.д.

Рассмотрим первое и второе правило (они отличаются только сетевыми интерфейсами):

iptables -t nat -A POSTROUTING -o vlan332 -j MASQUERADE

Исходя из него, мы добавляем в таблицу nat (-t nat) новое правило для цепочки postrouting (-A POSTROUTING), которое будет последним на момент выполнения команды в цепочке (т.е. - в конец). Правило будет применяться на исходящем интерфейсе vlan332 (-o vlan332) и будет передаваться в MASQUERADE (-j MASQUERADE) те NAT.

Говоря человеческим языком, - все что будет выходить с интерфейса vlan332 должно скрываться за NAT"ом. Это значит, что при выходе с нашего маршрутизатора адресом отправителя будет указан наш сервер, а не конечный компьютер пользователя, с которого был отправлен запрос. Когда придет ответ на запрос, будет проведена обратная процедура и пакет будет передан изначальному отправителю. Для чего это нужно будет подробно расписано в статье про NAT.

Перейдем к следующей группе правил, а именно секции помеченной как "torrent". В этой секции указаны правила для проброса портов (PAT - Port Adress Translation), т.е. для того чтобы со стороны Интернета можно было подключится к порту на компьютере за нашим роутером. Без этого не смогут правильно работать многие приложения, например файлообменные сети torrent, DC++ и некоторые приложения, требующие входящих подключений из сети Интернет. Разберем правило на примере проброса (назначения) портов для Torrent клиента

iptables -A PREROUTING -t nat -p tcp --dport 9000 -i vlan332 -j DNAT --to 172.30.2.5

Как и в предыдущем правиле, мы указываем таблицу и цепочку (-A PREROUTING -t nat), указываем допустимый тип протокола. В текущем правиле TCP (-p tcp) (в другом правиле UDP, хотя их можно указать и в одном правиле, у меня это, к сожалению, не получилось даже с официальной литературой и решения пока не нашел).

Порт назначения 9000 (--dport 9000), входящий интерфейс vlan332. Действием DNAT (-j DNAT) мы указываем, что нужно подменить адрес получателя на 172.30.2.5 (--to 172.30.2.5) т.е. - наш компьютер. Получается: все входящие соединения по протоколу TCP на порт 9000 перенаправлять на IP 172.30.2.5.

iptables -A INPUT -p tcp --dport 53 -j ACCEPT #DNS TCP

Указываем цепочку INPUT, протокол TCP, порт под номером 53 (используется для работы служб DNS) и действие - разрешить . Вы можете заметить, что для DNS запросов используется UDP и это будет правильно. Для передачи же информации о зонах (доменах) используется TCP и так как мой сервер является первичным для нескольких зон, я разрешил доступ через TCP.

Последним правилом, как я говорил выше, должен быть запрет всего остального, что не попало под фильтры. Я написал iptables -A INPUT -i vlan332 -j DROP т.е. все входящие пакеты на интерфейс vlan332 удалять.

Так как у этого файрвола нет постоянного конфига, то при перезагрузке правила нужно вводить вручную. Это не беда, так как есть shell скрипты (аналог bat и cmd файлов в Windows) и при выполнении они будут запускать команды, в них прописанные.

Для этого создадим файлик в каталоге etc с именем firewall.sh командой nano /etс/firewall.sh т.е. откроем его сразу в редакторе. Впишем туда все необходимые нам правила и сохраним его нажав Ctrl+X.

Вот некоторые правила рабочего конфига, которые могут Вам пригодиться в повседневном использовании. Первая строка (#!/bin/sh) обязательна, так как она указывает чем нужно интерпретировать эти инструкции.

#!/bin/sh
PATH=/usr/sbin:/sbin:/bin:/usr/bin

# Удалить все существующие правила всех таблиц и цепочек
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

# Разрешить любой трафик
iptables -A INPUT -i lo -j ACCEPT#Петля (loopback)
iptables -A INPUT -i eth0 -j ACCEPT#Внутренний интерфейс в локалку
iptables -A INPUT -i eth2 -j ACCEPT#Внутренний интерфейс в локалку 2

#NAT
iptables -t nat -A POSTROUTING -o vlan332 -j MASQUERADE#Включить NAT в сторону Интернета
iptables -t nat -A POSTROUTING -o vlan333 -j MASQUERADE#Включить NAT в сторону провайдера (сеть провайдера)

#PORT FORWARDING
#Torrent
iptables -A PREROUTING -t nat -p tcp --dport 9000 -i vlan332 -j DNAT --to 172.30.2.5#Проброс портов на IP
iptables -A PREROUTING -t nat -p udp --dport 9000 -i vlan332 -j DNAT --to 172.30.2.5

#VPN соединения, разрешение подключения через PPP и тп.
iptables -A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -m state --state RELATED,ESTABLISHED -j ACCEPT

#Открываем порты сервера
iptables -A INPUT -p tcp --dport 23 -j ACCEPT #Разрешить доступ через SSH

#Все остальное входящее удалять ("дропать" - отбрасывать)
iptables -A INPUT -i vlan332 -j DROP

# Включение форвардинга, без этого не будет происходить маршрутизация пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

После этого делаем файл исполняемым, т.е.:
chmod +x /etс/firewall.sh (eXecute).

Чтобы данный файл отрабатывал автоматически при загрузке, пропишем путь к нему в файле «автозагрузки». Открываем nano /etс/rc.local и дописываем перед exit 0 строку /etс/firewall.sh Если необходимо использовать VLAN (виртуальные интерфейсы и сети), то нужно эту строку прописать в файле /etс/network/interfaces в виде up sh /etс/firewall.sh к интерфейсу vlan, например:

# VLAN to INET
auto vlan332
iface vlan332 inet static
address xxx.xxx.xxx.xxx
netmask 255.255.255.252
# gateway xxx.xxx.xxx.xxx
vlan_raw_device eth1
up sh /etс/firewall.sh

Это нужно потому, что сначала пройдет «автозагрузка», и только через некоторое время поднимутся наши VLAN интерфейсы, а если интерфейса нет, то и правило не создастся.

К сожалению, описать полностью работу этого замечательного файрвола у меня нет возможности, но по нему есть отличная документация на русском (перевод оригинального руководства разработчика), вот ее адрес .

Не составит большого труда, прочитав даже часть ее или поставив конкретную задачу, решить большинство вопросов связанных с этим файрволом и самостоятельным написанием правил.

Архитектура ИС, типы архитектур

Любая организация представляет собой сложную систему. Для изучения сложных систем используется системный подход, для применения которого вводится понятие архитектуры. В понятии архитектуры воплощается идея целостности системы, идея подчинения элемента системы ее замыслу, назначению, миссии.

Архитектура системы , согласно ANSI/IEEE Std 1471-2000 – это «фундаментальная организационная структура системы, воплощенная в ее компонентах, их взаимоотношениях между собой и с окружением, и принципы, управляющие ее построением и эволюцией».

В настоящее время понятие архитектуры широко используется при анализе, описании, моделировании деятельности организаций (предприятий) как сложных системных объектов. Существование организации (предприятия) предполагает наличие у нее некоторой архитектуры, которая может или нет обеспечить необходимый уровень управления и контроля процессов производства продукции/услуг, добиться соответствия продукции/услуг ожиданиям потребителей, реализовать поставленные цели.

Архитектура организации должна включать описание роли людей, описание процессов (функции и поведение), представление всех вспомогательных технологий на протяжении жизненного цикла организации. Она определяет структуру бизнеса, информацию, необходимую для его ведения, технологии, применяемые для поддержания бизнес-операций и процессы преобразования, развития и перехода, необходимые для реализации новых технологий при изменении или появлении новых бизнес-потребностей.

Традиционно архитектура организации представляется в виде следующих слоев (таблица 1.3.1).

В зависимости отмиссии, стратегии развития и долгосрочных бизнес-целей бизнес-архитектура определяет необходимые бизнес-процессы, информационные и материальные потоки, поддерживающую их организационную структуру.

Системная архитектура определяет совокупность методологических, технологических и технических решений для обеспечения информационной поддержки деятельности организации, определяемой его бизнес-архитектурой, и включает в себя архитектуры приложений, данных и техническую.

Архитектура приложений включает прикладные программные системы, поддерживающие выполнение бизнес-процессов, интерфейсы взаимодействия прикладных программных систем между собой и с внешними системами, источниками или потребителями данных, средства и методы разработки и сопровождения приложений.

Архитектуру данных определяют базы данных и хранилища данных, системы управления базами данных и хранилищами данных, правила и средства разграничения доступа к данным.

Сетевая архитектура и архитектура платформпредставляют техническую архитектуру .

Сетевую архитектуру образуют вычислительные сети, используемые коммуникационные протоколы, сервисы и системы адресации в сетях, методики обеспечения бесперебойной работы сетей в форс-мажорных условиях.

Архитектура платформ включает аппаратные средства вычислительной техники – серверы, рабочие станции, устройства хранения данных и другое компьютерное оборудование, операционные и управляющие системы, утилиты и офисные программные системы, методики обеспечения бесперебойной работы аппаратуры (главным образом, серверов) и баз данных в форс-мажорных обстоятельствах.

Архитектура организации является одним из главных средств управления изменениями в бизнесе и технологиях, при этом поддерживает работу менеджеров при анализе потенциальных изменений и их реализации, создает основу для совместной работы бизнес-менеджеров и ИТ-менеджеров, создает единое информационное пространство организации.

Архитектура информационной системы – это концептуальное описание структуры, определяющее модель, выполняемые функции и взаимосвязь компонентов информационной системы.

Архитектура информационной системы предусматривает наличие трех компонент:

1. Информационные технологии – аппаратно-программная компонента, телекоммуникации и данные, совместно обеспечивающие функционирование информационной системы и являющиеся ее главной материальной основой;

2. Функциональные подсистемы – специализированные программы, обеспечивающие обработку и анализ информации для цельной подготовки документов или принятия решений в конкретной функциональной области на базе информационных технологий;

3. Управление информационными системами обеспечивает оптимальное взаимодействие информационных технологий, функциональных подсистем и связанных с ними специалистов, а также их развитие в течение всего жизненного цикла информационной системы.

Различают следующие виды архитектур: файл-сервер; клиент-сервер; многоуровневая; архитектура на базе хранилища данных; Internet/Intranet.

В общем случае функции клиентского приложения разбиваются на следующие группы:

Ввод и отображение данных (презентационная логика) – часть кода клиентского приложения, которая определяет, что пользователь видит на экране, когда работает с приложением. Как правило, получение информации от пользователя происходит посредством различных форм. А выдача результатов запросов – посредством отчетов;

Бизнес-логика – часть кода клиентского приложения, которая определяет алгоритм решения конкретных задач приложения. Она определяет функциональность и работоспособность системы в целом. Блоки программного кода могут быть распределены по сети и использоваться многократно (CORBA, DCOM) для создания сложных распределенных приложений;

Обработка данных внутри приложения (логика базы данных) – часть кода клиентского приложения, которая связывает данные сервера с приложением. Она обеспечивает добавление, модификацию и выборку данных, проверку целостности и непротиворечивости данных и реализацию транзакций

Физически, функции могут реализовываться одним программным модулем, или же распределяться на несколько параллельных процессов в одном или нескольких узлах сети.

Рассматриваются следующие архитектуры

Функции \ Тип архитектуры	Файл-сервер	Клиент-сервер (Бизнес-логика на клиенте)	Клиент-сервер (бизнес-логика на сервере)	3-уровневая архитектура
Презентационная логика	Клиент	Клиент	Клиент	Клиент
Бизнес-логика	Клиент	Клиент	Сервер БД	Сервер приложений
Логика базы данных	Файл-сервер (или клиент) Все три функции реализуются одним программным модулем	Сервер БД Презентационная и бизнес-логика образуют единый модуль. Данные хранятся на сервере БД	Сервер БД Бизнес логика реализована в виде хранимых процедур, исполняемых на сервере БД	Сервер БД Функции исполняются на разных компьютерах.

Файл-сервер – выделенный сервер, оптимизированный для выполнения файловых операций ввода-вывода и предназначенный для хранения файлов любого типа, обладающий большим объемом дискового пространства. Для повышения надежности хранения данных оборудуется RAID контроллером.

В архитектуре «файл-сервер» сервер выполняет функции хранения данных и кода программы, а клиент – обработку данных. Клиент обращается к серверу на уровне файловых команд, система управления файлами считывает запрашиваемые данные из БД и поблочно передает эти данные клиентскому приложению. Фактически, эта архитектура предполагает автономную работу программного обеспечения ИС на разных компьютерах в сети. Компоненты ИС взаимодействуют только за счет наличия общего хранилища данных под управлением СУБД, поддерживающей файл-серверную архитектуру.

При использовании файл-серверной архитектуры копия СУБД создается для каждого инициированного пользователем сеанса работы с ней, которая выполняется на том же процессоре, что и пользовательский процесс. Вся ответственность за сохранность и целостность базы данных лежит на программе и сетевой операционной системе. Обработка всех данных происходит на рабочих местах, а сервер используется только как разделяемый накопитель. При больших объемах данных и работе во многопользовательском режиме существенно снижается быстродействие.

В архитектуре ИС «файл-сервер» присутствует «толстый» клиент и очень «тонкий» сервер в том смысле, что почти вся работа выполняется на стороне клиента, а от сервера требуется только достаточная емкость дисковой памяти.

К недостаткам архитектуры «файл-сервер» относят высокий сетевой трафик, связанный с передачей по сети множества блоков и файлов, необходимых приложениям клиентов; ограниченное множество команд манипулирования данными; отсутствие развитых средств защиты данных (только на уровне файловой системы).

1.4. Структура корпоративной информационной системы и требования.

Рис. 1.5.1. Структура семейства стандартов ИСО 9000

Внедрение и поддержание на предприятии системы качества в соответствии со стандартами семейства ИСО 9000 предполагает использование программных продуктов таких классов:

Комплексные системы управления предприятием (автоматизированные информационные системы поддержки принятия управленческих решений), АИСППР

Системы электронного документооборота,

Продукты, позволяющие создавать модели функционирования организации, проводить анализ и оптимизацию ее деятельности (в том числе, системы нижнего уровня класса АСУТП и САПР, продукты интеллектуального анализа данных, а также ПО, ориентированное исключительно на подготовку и поддержание функционирования систем качества в соответствии со стандартом ИСО 9000)

Следовательно, внедрение системы качества ИСО 9000 и внедрение корпоративной информационной системы на предприятии взаимосвязаны.

Корпоративная информационная система (КИС) - это совокупность информационных систем отдельных подразделений предприятия, объединенных общим документооборотом, таких, что каждая из систем выполняет часть задач по управлению принятием решений, а все системы вместе обеспечивают функционирование предприятия в соответствии со стандартами качества ИСО 9000. Исторически сложились ряд требований к корпоративным информационным системам. Основными требованиями являются функциональные и системные. Основными системными требованиями являются:

системность и комплексность: система должна охватывать все уровни управления организацией с учетом филиалов, дочерних фирм, сервисных центров и представительств. Весь процесс производства с точки зрения информатики представляет собой непрерывный процесс порождения, обработки, изменения, хранения и распространения информации. Каждое рабочее место - будь то рабочее место сборщика на конвейере, бухгалтера, менеджера, кладовщика, специалиста по маркетингу или технолога - это узел, потребляющий и порождающий определенную информацию.

стандартизация и унификация:

единообразие форм представления информации, а также учета, контроля и хранения документов;

единообразие по возможности пользовательского интерфейса для всех решаемых задач;

единый порядок документирования, сопровождения и модификации;

система должна строиться на основе типовых программных продуктов и стандартных технологиях и методологиях учета и анализа данных;

надежность: сохранность данных, отсутствие сбоев и надежная работа системы;

безопасность: требование безопасности включает в себя несколько аспектов:

защита данных от потери. Это требование реализуется, в основном, на организационном, аппаратном и системном уровнях. Прикладная система, какой является, например АСУ, не обязательно должна содержать средства резервного копирования и восстановления данных. Эти вопросы решаются на уровне операционной среды;

сохранение целостности и непротиворечивости данных. Прикладная система должна отслеживать изменения во взаимозависимых документах и обеспечивать управление версиями и поколениями наборов данных;

предотвращение несанкционированного доступа к данным внутри системы. Эти задачи решаются комплексно как организационными мероприятиями, так и на уровне операционных и прикладных систем. В частности, прикладные компоненты должны иметь развитые средства администрирования, позволяющие ограничивать доступ к данным и функциональным возможностям системы в зависимости от статуса пользователя, а также вести мониторинг действий пользователей в системе.

предотвращение несанкционированного доступа к данным извне. Решение этой части проблемы ложится в основном на аппаратную и операционную среду функционирования КИС и требует ряда административно-организационных мероприятий.

адаптивность или гибкость: то есть гибко настраиваться на разное законодательство, иметь разноязыковые интерфейсы, уметь работать с различными валютами одновременно; гибкость системы в настройке позволяет смоделировать любую схему работы предприятия;

модульность построения дает поэтапно расширять функциональность системы, к тому же если система не создается под конкретное производство, а приобретается на рынке готовых систем, модульность позволяет исключить из поставки компоненты, которые не вписываются в инфологическую модель конкретного предприятия или без которых на начальном этапе можно обойтись, что позволяет сэкономить средства;

простота: разработчики сделают все, чтобы работа с системой была удобна для пользователей и администратора. Для этого настройка системы должна быть реализована на основе стандартных средств (например, Windows-интерфейс);

масштабируемость и переносимость на другую аппаратную платформу;

открытость (выход в международные сети – с одной стороны, а так же возможность настройки системы на особенности конкретного предприятия);

на определенном этапе развития предприятия рост требований к производительности и ресурсам системы может потребовать перехода на более производительную программно-аппаратную платформу. Чтобы такой переход не повлек за собой кардинальной ломки управленческого процесса и неоправданных капиталовложений на приобретение более мощных прикладных компонентов, необходимо выполнение требования мобильности;

поддержка внедрения и сопровождения со стороны разработчика;

способность системы к развитию.

Все функциональные подсистемы КИС используют общее информационное и техническое обеспечение. Это означает, что необходимо так создать и организовать функционирование комплекса технических средств и информационных ресурсов, чтобы своевременно решать все задачи функциональных подсистем.

В свою очередь, прикладная система выдвигает ряд требований к среде, в которой она функционирует. Средой ее функционирования являются сетевая операционная система, операционные системы на рабочих станциях, система управления базами данных и ряд вспомогательных подсистем, обеспечивающих функции безопасности, архивации и т.п.

Тема 2. Информационные ресурсы корпоративных информационных систем

2.1 Информационная модель организации

С позиций кибернетики процесс управления системой, как направленное воздействие на элементы системы для достижения цели, можно представить в виде информационного процесса, связывающего внешнюю среду, объект и систему управления. При этом внешняя среда и объект управления информируют систему управления о своем состоянии, система управления анализирует эту информацию, вырабатывает управляющее воздействие на объект управления, отвечает на изменения внешней среды и при необходимости модифицирует цель и структуру всей системы (рис. 2.1).

Рисунок 2.1 – Схема управления экономическим объектом

Объект и система управления между собой и с внешней средой связаны через информационные потоки – совокупность, циркулирующей информации как внутри системы, так и между системой и внешней средой, необходимой для управления предприятием.Информационный поток характеризуется маршрутом движения информации от источника к получателю, направление которого задается адресами источника и получателя информации; объемом передаваемой информации и его составляющими.

Можно выделить следующие информационные потоки (ИП):

Информационный поток из внешней среды (1) в систему управления, который можно разделить на две составляющие:

Нормативная информация, создаваемая государственными учреж-дениями в области законодательства;

Информация о конъюнктуре рынка, создаваемая конкурентами, потребителями, поставщиками;

Информация, передаваемая из системы управления во внешнюю среду (2): отчетная информация, прежде всего, финансовая информация в государственные органы, инвесторам, кредиторам, потребителям; маркетинговая информация потенциальным потребителям;

Информационный поток из системы управления на объект управления (3 – прямая кибернетическая связь) – совокупность плановой, нормативной и распорядительной информации для осуществления хозяйственных процессов;

Информация от объекта управления в систему управления (4 – обратная кибернетическая связь) – учетная информация о состоянии объекта управления (сырье, материалы, денежные, энергетические, трудовые ресурсы, готовая продукция и выполненные услуги) в результате выполнения хозяйственных процессов.

КИС этими информационными потоками связывает воедино три компонента: объект управления, систему управления и внешнюю среду, рассматривая каждого из них и как источник, и как потребителя информации.

КИС накапливает и перерабатывает поступающую учетную информацию и имеющиеся нормативы и планы в аналитическую информацию, служащую основой для прогнозирования развития объекта управления, корректировки его целей и создания планов для нового цикла воспроизводства.

Формы проявления информационных потоков можно свести к следующим видам: бумажный документ, электронный документ, визуальный документ (фотографии, кинопленка, телевидение и т. д.), вербальные (устные) сообщения (разговор, радио, телефон), структурированная информация из баз данных.

Как и материальные, информационные потоки характеризуются источником возникновения, объемными и качественными показателями, скоростью передачи, ритмичностью, векторной направленностью и т.д. По отношению к системе они делятся на: внешние и внутренние информационные потоки. По предназначению – входные и выходные информационные потоки.

Данные могут обрабатываться и перемещаться тремя способами: по мере возникновения (потоком); с регулярной периодичностью – информация накапливается, затем обрабатывается и перемещается через заранее установленные интервалы времени; нерегулярно (по мере возникновения отдельных информационных совокупностей).

Следовательно, важнейшая особенность процесса управления заключается в его информационной природе .

С точки зрения информационных технологий, решение любой производственной или научной задачи описывается следующей технологической цепочкой: реальный объект – модель – алгоритм – программа – результаты – реальный объект. В этой цепочке важнейшую роль играет звено «модель», как необходимый, обязательный этап решения задачи. Под моделью при этом понимается некоторый образ реального объекта (системы), отражающий существенные его свойства и заменяющий объект в процессе решения задачи.

По форме представления модели можно классифицировать на:

- вербальные (текстовые), описываемые предложениями на формализованном естественном языке;

- математические , основанные на формальных языках, широко используемые математические методы;

- информационные, описывающие информационные процессы (возникновение, передачу, преобразование и использование информации) в системах самой разнообразной природы.

В рамках информатики как самостоятельной науки выделяют класс информационных моделей. Информатика имеет самое непосредственное отношение и к математическим моделям, поскольку они являются основой применения компьютера при решении задач различной природы: математическая модель исследуемого процесса или явления на определенной стадии исследования преобразуется в компьютерную (вычислительную) модель, которая затем превращается в алгоритм и компьютерную программу.

Человек в своей деятельности имеет дело как с реальными объектами (предметами, процессами, явлениями), так и с их разного рода заместителями: материальными макетами, описаниями, рисунками, схемами, таблицами, компьютерными программами и т.д. Замена одного объекта другим, но сохраняющим все существенные свойства исходного объекта, называется моделированием, сам заменяющий объект – моделью исходного объекта. Цель моделирования – назначение будущей модели, т.е. определяются те свойства объекта-оригинала, которые будут воспроизведены в модели в рамках поставленной задачи.

Информационная модель – совокупность информации, характеризующая существенные свойства и состояния объекта, процесса, явления, а также взаимосвязь с внешним миром.

Построению информационной модели предшествует:

Выделение существенных частей и свойств объекта в рамках поставленной задачи;

Определение связи между существенными компонентами в моделируемой системе;

Определение ее структуры.

Свойства информационной модели:

1. Полнота;

2. Целостность и непротиворечивость;

4. Сложность;

5. Избыточность;

6. Архитектура.

Одним из наиболее часто используемых типов информационных моделей является прямоугольная таблица. Такой тип моделей применяется для описания ряда объектов, обладающих одинаковыми наборами свойств. С помощью таблиц могут быть построены как статические, так и динамические информационные модели в различных предметных областях. Широко известно табличное представление математических функций, статистических данных, расписаний поездов и самолетов, уроков и так далее.

Табличные информационные модели проще всего строить и исследовать на компьютере с помощью электронных таблиц и систем управления базами данных.

Группа объектов, обладающих одинаковыми свойствами, называется классом объектов . Внутри класса объектов могут быть выделены подклассы, объекты которых обладают некоторыми особенными свойствами, в свою очередь подклассы могут делиться на еще более мелкие группы и так далее. Такой процесс систематизации объектов называется процессом классификации .

В процессе классификации объектов часто строятся информационные модели, которые имеют иерархическую структуру . В биологии весь животный мир рассматривается как иерархическая система (тип, класс, отряд, семейство, род, вид), в информатике используется иерархическая файловая система и так далее.

Сетевые информационные модели применяются для отражения систем со сложной структурой, в которых связи между элементами имеют произвольный характер. Например, различные региональные части глобальной компьютерной сети Интернет (американская, европейская, российская, австралийская и так далее) связаны между собой высокоскоростными линиями связи. При этом одни части (например, американская) имеют прямые связи со всеми региональными частями Интернета, а другие могут обмениваться информацией между собой только через американскую часть (например, российская и австралийская). Связи между вершинами носят двусторонний характер и поэтому изображаются ненаправленными линиями (ребрами ), а сам граф поэтому называется неориентированным .

В основе информационного моделирования лежат три основных постулата:

все состоит из элементов;

элементы имеют свойства;

элементы связаны между собой отношениями.

Объект, к которому применимы эти постулаты, может быть представлен информационной моделью.

Информационные модели можно проклассифицировать по различным признакам (табл. 2.1).

Таблица 2.1 – Классификация информационных моделей

Признак классификации	Средства описания
способ описания	- формальные языки (например, язык математики, таблицы, языки программирования, расширение естественного языка человека и т. д.) - графические (например, блок-схемы, диаграммы, графики и т.д.)
цели создания	- классификационные (например, древовидные, генеалогическое дерево, развитие природы по Дарвину, дерево папок в компьютере) - динамические (чаще всего служат для решения задач управления и прогнозирования)
природа моделируемого объекта	- детерминированные (определенные), когда известны законы, по которым изменяется или развивается объект - вероятностные (объект имеет вероятностную природу и характеризуется неопределенностью)

Информация как элемент управления и предмет управленческого труда должна обеспечить качественное представление о задачах и состоянии управляемой и управляющей систем и разработку моделей желаемого их состояния.

Процесс обслуживания информационных потоков является основной задачей информационного обеспечения КИС, в котором можно выделить два уровня характеристик:

элементный – совокупность данных, признаков, форм и видов носителей информации, их номенклатура;

системный – взаимосвязи и зависимости между классификационными группами информации, реализуемый в виде информационных моделей, в которых исследуется движение информационных потоков, их интенсивность и устойчивость, алгоритмы преобразования информации и соответствующая этим объективным условиям схема документооборота.

Для формирования информационного обеспечения необходимо:

ясное понимание целей, задач, функций всей системы управления организацией;

выявление движения информации, представленной для анализа в виде схем информационных потоков, от момента возникновения и до ее использования на различных уровнях управления;

наличие и использование системы классификации и кодирования;

владение методологией создания концептуальных информационно-логических моделей, отражающих взаимосвязи информации;

создание массивов информации на машинных носителях, что требует наличия современного технического обеспечения.

В основе создания информационного обеспечения лежит информационная модель организации (предприятия).

Для анализа информационного обеспечения наибольшее значение имеет выделение следующих разновидностей информации (табл. 2.2).

Таблица 2.2 – Классификация информации

Признак классификации	Виды информации
Специфика описываемых процессов	производственно-экономическая, технико-технологическая, организационная, социальная, информация о внешних хозяйственных связях
отношение к управляемому объекту	внешняя, внутренняя
роль в процессе управления	учетная, директивная, нормативная, плановая, аналитическая
степень обновляемости и порядок поступления	- постоянная, переменная, длительного хранения, оперативная, циклическая, периодическая
степень агрегирования	простая, интегрированная, усредненная и т.п.
степень преобразования	первичная, промежуточная, результативная
специфика обработки	бухгалтерская, статистическая, оперативно-производственная и т.п.

Информационная модель является фундаментом для реализации бизнес-решений с использованием современных технологий.

Характеризуя информацию как предмет труда в процессе управления, необходимо учесть ряд ее особенностей. Прежде всего, информация – это предмет труда длительного пользования. При использовании она не теряет своих потребительских свойств, хотя и входит в состав готового продукта (управленческого решения), составляя его субстанцию. Такая особенность информации предлагает определенную специфику ее формирования. Наибольший объем работ и затрат связан с первоначальным созданием информационных массивов – баз данных. В последующем данные периодически обновляются, корректируются, но продолжают использоваться.

Информация относится к предметам труда особого рода также потому, что она способна к саморазвитию. Количественное накопление информации дает возможность более четко установить тенденцию развития управляемого объекта и выявить новые связи между отдельными классификационными группами информации. Это позволяет в качестве одного из важнейших принципов построения информационной системы сформулировать получение максимума производной при минимуме исходной информации.

Старение информации в ряде случаев связано с потерей ее ценности для конкретных условий и целей, но она может быть «омоложена» и вновь приобретает ценность с изменением условий. Определенную полезность сохраняет даже ретроспективная информация как база для анализа динамики.

Информация должна быть подготовлена к использованию. В зависимости от степени ее подготовленности может быть выделена первичная информация как набор данных, показателей, описывающих отдельные стороны процесса и его элементов, вторичная информация, прошедшая определенное упорядочение и классификацию.

В процессе организации информации принципиальное значение имеет расчленение ее на условно-постоянную, выполняющую роль нормативно-справочной и характеризующей процесс в статике, и переменную – в динамике. В связи с этим информационные модели могут быть разделены на группы:

Информационные модели отдельных элементов и локальных процессов, описывающие статическое состояние объекта;

Информационные модели динамики, характеризующие изменение отдельных элементов и процессов;

Интегрированные информационные модели, описывающие определенные решения и имеющие активную направленность.

Процесс формирования информационного обеспечения включает несколько этапов:

Описание состояния объекта, т.е. «физическая фотография», которое предполагает формирование набора технико-экономических показателей и параметров, характеризующих управляющую и управляемую системы и соответствующей их классификации;

Построение справочников и классификаторов, содержащих постоянную информацию, т.е. формирование частных статических моделей;

Отражение в информационных моделях динамики отдельных элементов и процессов. При этом количественное изменение предполагает корректировку информации, а качественное изменение – ее частичную или полную перестройку;

Построение интегрированной информационной модели, отражающей взаимосвязь и динамику локальных процессов объекта управления.

В настоящее время успешно используется несколько методик анализа информационного обеспечения. Они различаются принятыми характеристиками количества информации (символы, записи, графостроки, документы и т.п.), методами и инструментами анализа. Наиболее разработанными можно считать следующие методы:

Матричного моделирования процессов разработки данных;

- графоаналитический метод исследования потоков информации.

Описание потоков информации в виде графика типа дерева ;

- схем информационных связей плановых расчетов;

- исследовательского анализа задач управления, разработанный на выявлении «коротких» потоков.

Наиболее полное и детальное отражение и анализ потоков информации можно получить с помощью информационных моделей, которые разрабатываются как матричные модели. При этом используются различные матрицы – материальные процессы и документооборот, документооборот и состав решений и задач на конкретном уровне управления, по определенным группам задач, по разным уровням управления и др.

Чаще других используются модели в виде матриц и графов. Оба эти способа моделирования предполагают выделение в информационной системе в виде самостоятельных компонентов исходных, промежуточных и конечных данных. Это позволяет изучать их изолированно, что имеет принципиальное значение для исследования потребности во внешней и внутрипроизводственной информации.

Матричные модели потоков циркулирующей информации могут быть построены в различных вариантах, но в качестве базовых выступают матрицы размерностью «документ на документ», «показатель на показатель». При этом документы могут рассматриваться как единые блоки.

В классическом виде матричные модели предназначены для анализа классификационных связей. Но они приемлемы также для изучения основных характеристик информационного обеспечения управленческого аппарата, потому что позволяют показать различные группировки видов и источников информации и способствуют более полному выявлению фактической обеспеченности и возможности улучшения задач разного вида.

Графоаналитический метод исследования информационных потоков основан на представлении их информационного графа и анализа его матрицы смежности. Графы могут быть построены на уровне документов, на уровне компонентов (исходные, промежуточные и внешние данные) и на синтетическом уровне (исходные и промежуточные данные, внешние и функциональные результаты).

Имея графы основных задач и процедур, решаемых в процессе управления, можно получить матрицу смежности графов, показывающую взаимосвязь задач и документов, используемых в управлении. Граф каждой задачи и конкретного уровня управления позволяет установить рациональную информационную преемственность, возможность использования промежуточных и конечных результатов данной задачи для других.

Структурный граф может использоваться для расчета объема информации.

Обеспечение рациональных связей между источниками и приемниками информации и путей ее циркулирования является одним из непременных условий эффективного функционирования системы управления. Относительное постоянство взаимозависимостей структурных подразделений позволяет выбирать рациональную структуру путей движения информации и наиболее эффективные технические средства для каждого канала связи.

2.1 Информационные ресурсы КИС

Информационные ресурсы – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).

Если рассмотреть информационные ресурсы с точки зрения их принадлежности к соответствующим службам предприятия (организации), то выполняемые ими задачи можно свести в представленную таблицу 4.

Таблица 2.3 – Роль информационных ресурсов в управлении организацией

Уровни и службы управления	Решаемые задачи
Руководство предприятия	обеспечение достоверной информацией о финансовом состоянии компании на текущий момент и подготовка прогноза на будущее; обеспечение контроля за работой служб предприятия; обеспечение четкой координации работ и ресурсов; предоставление оперативной информации о негативных тенденциях, их причинах и возможных мерах по исправлению ситуации; формирование полного представления о себестоимости конечного продукта (услуги) по компонентам затрат
Финансово-бухгалтерские службы	полный контроль за движением средств; реализация необходимой менеджменту учетной политики; оперативное определение дебиторской и кредиторской задолженностей; контроль за выполнением договоров, смет и планов; контроль за финансовой дисциплиной; отслеживание движения товарно-материальных потоков; оперативное получение полного набора документов финансовой отчетности
Управление производством	контроль за выполнением производственных заказов; контроль за состоянием производственных мощностей; контроль за технологической дисциплиной; ведение документов для сопровождения производственных заказов (заборные карты, маршрутные карты); оперативное определение фактической себестоимости производственных заказов
Службы маркетинга	контроль за продвижением новых товаров на рынок; анализ рынка сбыта с целью его расширения; ведение статистики продаж; информационная поддержка политики цен и скидок; использование базы стандартных писем для рассылки; контроль за выполнением поставок заказчику в нужные сроки при оптимизации затрат на транспортировку
Службы сбыта и снабжения	ведение баз данных товаров, продукции, услуг; планирование сроков поставки и затрат на транспортировку; оптимизация транспортных маршрутов и способов транспортировки; компьютерное ведение контрактов
Службы складского учета	управление многозвенной структурой складов; оперативный поиск товара (продукции) по складам; оптимальное размещение на складах с учетом условий хранения; управление поступлениями с учетом контроля качества; инвентаризация

В результате применения информационных технологий к информационным ресурсам создается некая новая информация или информация в новой форме. Эта продукция информационной системы называется информационными продуктами и услугами.

Информационная услуга – деятельность по осуществлению поиска, получения, хранения, обработки, распространения и (или) предоставления информации.

Информационный посредник – гражданин, индивидуальный предприниматель или юридическое лицо, предоставляющие информационные услуги обладателям и (или) пользователям информации.

Информационные отношения – отношения, возникающие в процессе сбора, осуществления поиска, передачи, получения, хранения, обработки, накопления, использования, распространения и (или) предоставления информации, а также ее защиты с использованием информационных технологий, систем и сетей.

Информационный продукт – некоторое информационное содержание в виде совокупности данных, сформированное производителем для распространения в вещественной и невещественной форме, предоставляется в пользование потребителю.

Основными источниками получения сведений о сложившейся организации управления и тенденциях ее развития в настоящее время являются следующие:

данные отчетности – дают возможность выявить численность и состав работников, занятых в аппарате управления, величину издержек управления, стоимость организационной и вычислительной техники;

директивная документация – приказы, распоряжения, протоколы совещаний, материалы по проверке исполнения, отчеты отдельных подразделений и т.п.;

специальные обследования – представляют собой обобщенные сведения по результатам анализа, например, анализ загруженности материально-вещественных элементов системы управления; проведение специальных опросов работников аппарата управления или коллектива соответствующего подразделения управляемого объекта.

Названные источники информации не исключают друг друга. Они должны сочетаться, взаимодополнять и обогащая получаемый разными методами материал.

Корпоративную ИС обычно рассматривают как некоторую совокупность решений и компонентов их реализации, в числе которых обязательным условием является единая база хранения информации . Поэтому по отношению к информационным ресурсам информационная система должна:

позволять накапливать определенный опыт и знания, обобщать их в виде формализованных процедур и алгоритмов решения;

постоянно совершенствоваться и развиваться;

быстро адаптироваться к изменениям внешней среды и новым потребностям организации;

соответствовать насущным требованиям человека, его опыту, знаниям, психологии.

Информационные ресурсы классифицируют по размещению источника информации (расположен источник информации внутри организации или же он внешний по отношению к ней), по предназначению .

К внешнй информации относится:

Рыночная информация – размер и рост рынка, покупательная способность, привычки, спрос и поведение потребителей, рыночная доля, информация о конкурентах – является товаром для фирм, рекламных агентств, банков, специализированных компаний, занимающихся рыночными исследованиями.

Информация о конкурентах – иногда рассматривается как часть рыночной информации. Но она заслуживает отдельного рассмотрения, поскольку может влиять на принятие стратегических решений, даже если рыночные условия не учитываются непосредственно. Компании могут, например, заинтересоваться, где конкуренты находят источники сырья и специалистов, для того чтобы участвовать в конкурентной борьбе за эти источники или сохранить уже имеющиеся. Точную информацию о конкурентах получить трудно, и эта область удостоилась пристального внимания благодаря таким неэтичным действиям некоторых компаний, как промышленный шпионаж.

Макроэкономическая и геополитическая информация – информация этого вида редко напрямую воздействует на компании, но может сыграть решающую роль при разработке долгосрочной стратегии.

Информация о поставщиках обычно концентрируется на таких аспектах, как издержки, надежность, качество и время доставки.

Внешняя финансовая информация – валютные курсы, динамика курсов акций, движение на рынке капитала и т.д.

Информация о регулировании и налогообложении.

Внутренняя информация:

Информация о производстве – эффективность производства и производительность, издержки, отходы производства и качество.

Информация о трудовых ресурсах – обучение персонала, уровень квалификации, моральное состояние персонала и расходы на обеспечение кадрами.

Внутренняя финансовая информация – информация из бухгалтерского баланса о прибыли и издержках, имуществе и обязательствах, финансовые показатели деятельности предприятия (коэффициент P/E – отношение рыночной цены акции к доходу по ней, отношение заработной платы к валовой выручке, показатели производительности и т.д.).

Информация внутри организации распределена по множеству компьютеров и хранится в виде разнообразных файлов, отчетов и сообщений электронной почты. Поэтому важнейшей задачей корпоративной информационной системы является организация доступа ко всей информации. Многие организации создают Интранет-сети с внутренними web-серверами для доступа сотрудникам к разнообразной информации. Благодаря связям с корпоративными базами данных, файл-серверами и хранилищами документов Web-серверы предоставляют сотрудникам компании самые различные виды информации через единый интерфейс – хорошо знакомый Web-браузер.

Корпоративные информационные системы на основе Интранет-технологии позволяют создать информационную инфраструктуру корпорации, объединив различные информационные ресурсы и предоставив к ним единообразный доступ.

В информационную инфраструктуру корпорации могут входить следующие типы информационных ресурсов :

Гипертекстовый документ не только отображается и служит для навигации, но и поддерживает диалог с пользователем, при необходимости – ввод данных по электронной форме с передачей их на сервер. Пользователь может пересылать на сервер произвольные файлы. Гипертекстовые страницы могут быть сгенерированы динамически с использованием данных из других ресурсов. Гипермедиа-документ является динамическим по своей природе, но поток информации, как правило, однонаправленный, связан с воспроизведением аудио-, видео- и других мультимедиа-файлов. Обратный поток ограничен управлением навигацией и воспроизведением.

Офисные документы представляют собой тексты, электронные документы, планы и т.п., подготовленные с помощью пакетов офисной автоматизации или групповой работы. Доступ к этой информации может быть обеспечен либо в режиме чтения (с использованием программ просмотра), либо полный доступ с возможностью редактирования в той среде, где документ был создан. Помимо навигации с помощью гипертекста возможно организовать контекстный поиск документов.

Графическая информация отображается в виде статических иллюстраций, анимации или трехмерных сцен виртуальной реальности. Для выполнения навигации с изображением или его частями связывают гиперссылки, кроме того, имеется возможность изменять виртуальные сцены.

Архивные файлы документов и программ доступны на серверах FTP и Gopher. Пользователь может выбрать нужную информацию и получить ее с сервера по запросу. Загрузка файлов возможна и с web-серверов.

Сообщения электронной почты представляют собой информационный ресурс, хранимый в почтовых ящиках и общих папках. Они образуют двунаправленные потоки – сообщения можно посылать и получать. Однако больше распространен сбор данных с использованием почты. В общих папках обычно организуются дискуссии, часто задаваемые вопросы FAQ, планы встреч и другие групповые работы.

Новости – динамически изменяемый ресурс, организуемый на основе внешних или внутренних (корпоративных) каналов (пока не получили широкого распространения). Отображение новостей производится по запросу или в режиме бегущей строки. Распространение информации осуществляется методом опроса каналов или широковещательной рассылки, нередко необходима подписка на требуемые новости.

Базы данных не имеют прямой поддержки в Интернет/Интранет. Доступ и ведение БД производится через серверные или клиентские приложения. При этом запросы на поиск и ввод данных оформляются в виде HTML-форм.

Хранилище данных может иметь различную реализацию (реляционная многомерная БД, совокупность ODBC-источников данных), но предназначено для целей оперативной аналитической обработки данных. Доступ к хранилищу организуется подобно доступу к базе данных.

Для ведения перечисленных информационных ресурсов и организации потоков между клиентами и серверами используются различные средства разработки, эксплуатации и сопровождения Интернет/Интранет-приложений.

Основные проблемы, связанные с информационными ресурсами можно разделить на следующие группы:

Нормативно-правовые проблемы . Информационные ресурсы, используемые в рамках корпоративной информационной системы, должны быть защищены соответствующими нормативно-правовыми актами, определяющими статус ИС. От их корректности и охвата всех возникающих проблем при использовании информационных ресурсов зависит сохранность и эффективность последних.

Финансовые проблемы возникают в связи с необходимостью учета затрат на сбор, регистрацию, хранение, обработку информационных ресурсов и на доступ к ним. Обычно государственная информация распространяется по ценам копирования, стоимость корпоративных информационных ресурсов, которые являются собственностью предприятия, определяется самим владельцем. В настоящее время наблюдается тенденция снижения доли бесплатной информации и увеличение платной, причем платная информация обычно предоставляется по договорным ценам. Государственных прейскурантов на информационные услуги очень мало. Таким образом, происходит явная коммерциализация государственного информационного ресурса. Фактически, только библиотеки и, частично, архивы сохраняют реальное бесплатное обслуживание.

Проблема доступности информации тесно связана с ее защитой.

Ответственность – распределение ответственности за хранение и использование информационных ресурсов позволяет избежать множества внутрикорпоративных конфликтов, связанных с доступом к информации, ее сохранностью, обновляемостью, конфиденциальностью, передачей и т.п.

Проблема учета информационных ресурсов. Право доступа к информационным ресурсам относится к числу основных задач по обеспечению информационной безопасности. Это право закреплено десятками общих и специальных норм различных законов, в том числе базового закона «Об информатизации, информатизации и защите информации» и многими другими. Однако реализация этих норм, связанных с открытостью, доступностью информационных ресурсов, в значительной степени зависит от трактовки общих норм различных ведомств и структур, различных систем, аппаратов. Самая главная проблема в том, что нужно знать, какие и на каких условиях ресурсы должны быть открыты. То есть, понятие открытости должно проходить через соответствующий учетный механизм, должно регулироваться в двух направлениях.

Тема 3. Техническое обеспечение КИС

Лекция 2. Информационная система как компонент эффективной системы управления организации

Современные ИС рассматриваются как эффективный инструмент в конкурентной борьбе предприятия. В связи с этим ИС призваны быстро адаптироваться к новым потребностям бизнеса (его целям и задачам) и полностью соответствовать архитектуре предприятия (Enterprise Architecture – EA).

Многие из аналитиков крупных компаний (например, Клиф Финкельштейн) считают, что в настоящее время большинство из них просто перешли от состояния ручного хаоса к состоянию хаоса автоматизированного. Соответственно, практически любые крупные организации требуют структуризации и документирования как бизнес-процессов, так и обеспечивающих их информационных систем.

Организациярассматривается как стабильная формальная социальная структура, которая получает ресурсы из окружающего мира и перерабатывает их в продукты своей деятельности. Организации обладают как рядом общих черт, присущих им всем, так и многими индивидуальными особенностями.

Различают следующие способы описания организации:

· путем задания структуры (структурная модель);

· путем описания состояний (статика и динамика, состояние организации–набор показателей)

· с помощью описания оператора (функциональная модель).

При анализе эффективности использования корпоративной ИС на предприятии достаточно часто возникает вопрос о необходимости соответствия ее архитектуры архитектуре самого предприятия. Внедрение информационных систем на предприятии является сложным трудоемким процессом. Вместе с тем многие организации тратят большие денежные средства на внедрение различных информационных систем без анализа общей концепции развития предприятия. Построение комплексной информационной системы современного предприятия можно сравнить по сложности с проектированием города, где информационные системы соответствуют зданиям. Информационные системы, как и отдельные здания, требуют поддержки и правильной эксплуатации, ремонта и модернизации. Но жизненный цикл информационной системы существенно короче жизненного цикла здания.

Поэтому при проектировании корпоративной ИС необходимо представлять метамодель организации. Метамодель организации - это наиболее общее и всестороннее представление ее как единой системы, имеющей краткосрочные и долгосрочные цели ведения деятельности, определенные миссией и стратегией, обладающей внешними и внутренними ресурсами, необходимыми для выполнения миссии и достижения поставленных целей, а также сложившимися правилами осуществления деятельности - способами реализации бизнес-процессов и бизнес-функций.

Задание метамодели организации означает определение ее архитектуры и инфраструктуры .

Архитектура организации (EA - Enterprise Architecture) – некоторая концепция (логическое построение), определяющая, что и как она делает (миссия, цели, стратегия, основные функции), на какие части она распадается (свойства элементов), где они размещены (структура организации) и как эти части и на каких принципах взаимодействуют (взаимосвязь компонентов). Архитектура организации, как описание организации высшего для нее уровня, содержит в себе понятия более низкого уровня - архитектуры функциональных и структурных частей организации.

Архитектура предприятия определяет общую структуру и функции подсистем (бизнес и ИТ) в рамках всей организации в целом (включая партнеров и другие организации, формирующие так называемое «предприятие реального времени»), обеспечивает общую рамочную модель (framework), стандарты и руководства для архитектуры уровня отдельных проектов. Общее видение, обеспечиваемое архитектурой предприятия, создает возможность единого проектирования систем, адекватных, с точки зрения обеспечения целей организации , и способных к взаимодействию и интеграции там, где это необходимо.

Для построения архитектуры организации необходима определенная инфраструктура организации – комплекс взаимосвязанных обслуживающих структур, составляющих и/или обеспечивающих основу для решения некоторой проблемы или задачи, т.е. инфраструктура - это набор средств реализации архитектуры. Выбор определенной архитектуры организации предопределяет необходимую для этого инфраструктуру. Для понятия «инфраструктура» также как и для понятия «архитектура» характерно содержание описания инфраструктур нижнего уровня иерархии и инфраструктур функциональной нацеленности

В соответствии со стандартом ANSI/IEEE 1471 архитектура организации рассматривается, как «фундаментальная организация системы , состоящая из совокупности компонент, их связей между собой и внешней средой, и принципы, которыми руководствуются при их создании и развитии».

Архитектура организации имеет две составляющие, которые описывают деятельность компании с двух основных позиций (Рис. 1.8):

· бизнес-архитектура описывает бизнес-правила и взаимодействие бизнес-процессов, структуру и потоки необходимой информации;

· архитектура информационных технологий описывает предприятие с позиции технических понятий, таких как аппаратные и компьютерные средства, программное обеспечение, защита и безопасность.

Рис. 1.8 Взаимосвязь архитектур бизнеса и ИС

Формализация архитектуры информационных систем предприятия обеспечивает уменьшение их уровня сложности и упрощает интеграцию. Оптимизация бизнес-процессов компании и оптимизация функциональности информационных систем, используемых для автоматизации бизнес-процессов, увеличивает приток инвестиций в информационные технологии. Архитектура предприятия в первую очередь объединяет архитектуры информационных технологий и бизнеса, обеспечивая системный подход к вопросам управления предприятием

Архитектура предприятия является связующим звеном между информационными системами и потребностями бизнеса предприятия для чего объединяет в себе процессы стратегического бизнес-планирования, прикладные информационные системы и процессы их сопровождения.

При этом архитектура предприятия неразрывно связана с основными рабочими процессами:

· стратегия и планирование на уровне предприятия;

· управление корпоративными проектами.

При разработке стратегии предприятия (Strategy and Planning) и в процессе управления корпоративными проектами (Enterprise program management) в настоящее время принято учитывать направление, непосредственно связанное с информационными технологиями. Современный менеджмент рассматривает ИТ-проекты и стратегические инициативы в области ИТ как определенный актив компании, которым можно управлять.

Специалисты компании META Group считают, что Business and IT portfolio management включает в себя управление портфелем информационных технологий, которое рассматривается, как процесс управления инвестициями в области управления ИТ-проектами. Под портфелем понимается совокупность проектов, выполняемых на общем пуле ресурсов (финансы, люди, оборудование, материалы, энергия). При этом пул ресурсов и результаты всех проектов портфеля находятся в компетенции одного центра ответственности – область пересечения архитектуры предприятия, стратегии предприятия и управления корпоративными проектами (Рис. 1.9). Стратегия и планирование при этом обеспечивают основу для выработки ИТ-стратегии предприятия, в соответствии с которыми появляются проекты внедрения (модернизации) информационных систем. Управление проектами – можно рассматривать, в первую очередь, как механизм, обеспечивающий переход от текущего состояния предприятия к планируемому, или, другими словами, переход от текущей архитектуры предприятия к целевой архитектуре.

Рис. 1.9 Управление портфелем информационных технологий

Представление информационных технологий в виде активов компании, позволяет корректно оценивать и расставлять приоритеты при вложении инвестиций и управлении ИТ-проектами (активами) с учетом приемлемого уровня риска, и, таким образом планировать инвестиции в эту область. Считается, что управление ИТ-портфелем должно преследовать три основные цели:

· максимизация эффективности ИТ-портфеля;

· синхронизация ИТ-портфеля с требованиями бизнеса;

· поиск оптимального баланса между риском и потенциальной отдачей от ИТ-портфеля.

Архитектура предприятия является одним из элементов управления ИТ-портфелем. Архитектура предприятия позволяет увидеть весь комплекс видов деятельности предприятия в целом, создает многоуровневые связи (стратегический уровень, структурный уровень, операционный уровень), отражающие воздействие отдельных элементов стратегии развития предприятия на его бизнес-процессы (Рис. 1.10), и их зависимость от информационных систем и технологических элементов. Она предоставляет необходимую информацию о бизнес-процессах и технологиях, необходимых для создания на предприятии эффективной информационной системы. Архитектура предприятия не только является основой для формирования портфеля активов, но также обеспечивает весь жизненный цикл многих ИТ-активов.

Рис. 1.10. Управление предприятием

В соответствии со структурой системы управления предприятием выделяют уровни абстракции архитектуры предприятия. На каждом из них существует единый набор моделей, принципов, руководства и, которые используются для создания и развития систем в контексте деятельности всего предприятия в целом. Можно выделить следующие три уровня абстракции (Рис. 1.11) 7: уровень архитектуры предприятия; уровень архитектуры отдельных решений; прикладной уровень (дизайн и разработка решений).

Рис. 1.11. Уровни абстракции архитектуры предприятия в контексте его видов деятельности

Уровень архитектуры предприятия – описывает элементы архитектуры стратегического уровня, ориентированные на создание общей концепции развития в масштабах всего предприятия в целом. На этом уровне рассматриваются основные цели и задачи предприятия, стратегия его развития, на основе которых разрабатывается ИТ-стратегия и ИТ-архитектура предприятия (формирование стратегии или предварительное планирование) . Здесь определяется общая структура информационных систем в рамках всей организации, в целом, и выделяются их основные функции.

Уровень архитектуры предприятия – это в первую очередь общая схема функционирования всего предприятия в целом, открывающая возможность проектирования всего комплекса информационных систем, обеспечивающих потребности предприятия, и их эффективную интеграцию. Построение такой схемы позволяет не только показать, какие именно бизнес-процессы, и информационные системы обеспечивают достижение основных целей предприятия, но и избежать их дублирования, повысить эффективность совместной работы.

Уровень отдельных решений – соответствует структурному уровню управления и определяет структуру и функции отдельных проектов. На этом уровне, формируется детализированная информация о приложениях, бизнес-процессах и их взаимосвязях. Здесь определяется структура информационных систем, их интерфейсы и функции. Определяются планы и схемы их развития, разрабатывается соглашение об уровне обслуживания (SLA).

Архитектура уровня отдельных проектов оценивает проект внедрения новых элементов информационной системы предприятия: как новые информационные системы будут вписываться в контекст всего предприятия, с кем они будут взаимодействовать и какие технологии использовать.

Прикладной уровень , включающий в себя дизайн отдельного решения и его архитектуру, планы реализации проектов. На этом уровне происходит работа уже непосредственно с информационными системами. Определяется структура и функции отдельных приложений, которые разрабатываются с целью обеспечения конкретной функциональности. Здесь происходит реализация стандартов и руководств, определенных на верхних уровнях.

Информационная система, на данном уровне рассматривается как сложный комплексный объект, динамически изменяющийся во времени. Конкретная реализация системы включает в себя приложения, базы данных и их реальное размещение, архитектуру, фактические потоки данных и реализацию процессов управления.

Количество уровней абстракции и их тип могут изменяться в зависимости от поставленных задач. Использование уровней абстракции позволяет осуществлять декомпозицию предприятия на отдельные подсистемы и элементы с последующим их анализом. Концепция разделения архитектуры предприятия на различные уровни абстракции помогает менеджерам принимать обоснованные управленческие решения на основе анализа влияния планируемых изменений на предприятие в целом.

При внесении изменений в архитектуру предприятия используют различные уровни абстракции. Это связано с тем, что каждый уровень абстракции использует свои модели, описывающие определенные предметные области. Например, при внедрении информационных технологий на предприятии принято выделять следующие уровни абстракции:

· уровень контекста (почему?) ориентирован в первую очередь на руководство и обосновывает необходимость проектов;

· концептуальный уровень (что?) определяет общие требования к проекту и возможные варианты его реализации;

· логический уровень (как?) описывает способ реализации данного проекта;

· физический уровень определяет решения, стандарты и технологии, позволяющие реализовать проект

Таким образом, можно говорить, архитектура предприятия является инструментом управления, обеспечивающим процесс принятия решений об инвестициях в информационные технологии, стирающим грань между управлением бизнесом и ИТ-подразделением.

Традиционно считалось, что новые инициативы по внедрению информационных технологий должны отражать требования бизнеса, и новые информационные системы должны создаваться в соответствии с этими требованиями. Однако на современном этапе развития общества бизнес должен не только формировать свои требования к ИС, но и адекватно реагировать на «сигналы» ИТ-подразделений, которые открывают предприятиям новые возможности повышения конкурентоспособности вследствие использования достижений научно-технического прогресса в области информационных систем и технологий. Таким образом, архитектуру предприятия можно рассматривать как инструмент инновационного развития организационных принципов построения деятельности предприятия, обеспечивающий его эффективное функционирование (Рис. 1.12).

Рис. 1.12. Эволюция организационных принципов управления предприятием

С точки зрения развития предприятия принято рассматривать две составляющие его архитектуры:

· целевую архитектуру (Target Architecture) – отражает план развития архитектуры предприятия («To be»);

· текущая архитектура (Current architecture) – описывает текущее состояние архитектуры предприятия («As is»).

Текущая архитектура отражает объективную реальность, существующую на предприятии в данный момент времени, и включает в себя соответствующие компоненты (бизнес-процессы, информационные системы, технологические элементы) и их связи. Это набор моделей с неизбежными упрощениями, ограничениями, отражающими субъективизм менеджеров.

Основу разработки текущей архитектуры составляет процесс документирования и поддержания информации о состоянии предприятия в актуальном виде, обеспечивающий регистрацию и контроль информации обо всех элементах архитектуры предприятия, включающий в себя ведение базы данных по архитектурным объектам, ведение управленческого учета и учета состояния.

Процесс разработки текущей архитектуры аналогичен процессу ITIL/ITSM (управление конфигурацией - Configuration Management). Для упрощения работы по разработке текущей архитектуры многие компании используют базу данных конфигурационных единиц (CMDB), дополнив ее необходимой информацией. Процесс разработки текущей архитектуры аналогичен процессу, реализованному в концепции ITIL/ITSM (концепция управления ИТ-подразделением предприятия).

Целевая архитектура - описывает желаемое будущее состояние предприятия или "что должно быть сформировано", то есть – целевая архитектура является перспективной (идеальной) моделью предприятия.

Основу целевой архитектуры составляют:

· стратегические требования к бизнес-процессам и информационным технологиям;

· информация о выявленных «узких местах» и путях их устранения;

· анализ технологических тенденций и среды деятельности бизнеса предприятия.

Целевая архитектура (модель «Тo be») и текущая архитектура (модель «Аs is») описывают начальное и конечное состояние предприятия (до и после внесения изменений в его инфраструктуру). При этом сам процесс изменений не рассматривается. Смена текущей архитектуры предприятия на целевую означает перевод предприятия на новый этап развития. Следовательно, архитектура предприятия характеризуется определенным жизненным циклом, связанным, в некоторой степени, с жизненным циклом информационных систем.

Современные подходы к построению архитектуры предприятия традиционно разделяют ее на несколько предметных областей (слоев). Количество предметных областей зависит от используемых методик. Рассмотрим предметные области, использующиеся в большинстве из существующих методик (Рис. 1.13):

· стратегические цели и задачи предприятия;

· бизнес-архитектура предприятия;

· архитектура информационных технологий (ИТ архитектура предприятия).

Рис. 1.13. Предметные области архитектуры предприятия

Архитектуру ИТ, в свою очередь, разделяют на:

· информационную архитектуру (Enterprise Information Architecture);

· архитектуру прикладных решений (Enterprise Solution Architecture);

· технологическую архитектуру (Enterprise Technical Architecture).