вау. ВАУ. вот это, я понимаю, пропасть в представлениях :)
Левый ноутбук - дело частное. В крайнем случае, сломаешь один отдельно взятый ноутбук. Корпоративная сеть - абсолютно закрытая система (должна быть). Потому что вирус, запущенный со стороннего ноутбука, убивает всю контору. Бэкдор аккуратно доставляет информацию к конкуренту. Да что там, просто мобильник со включенным DHCP при неправильной настройке сервиса раздачи адресов может парализовать работу конторы на несколько часов.
Даже не знаю, как бы аналогию попонятней. Ну вот реально, вы приходите домой, а там орудует грабитель, деловой такой, стекла бьет, вещи упаковывает, а завидев вас, говорит - о, чувак, у меня тут веревки кончились, у тебя нету? а вы ему, такой гордый: ты, типа, ковбой, ты и прыгай, не дам я тебе веревок!
Словом, поверьте мне. Если вы видите контору, в которой можно "не знаю как" подключиться к сети, а IT об этом не знает - у конторы очень большие системные проблемы с IT-департаментом. что, конечно, не фокус - но проблема ТАМ. и обучение произойдет по сценарию 9/11 в переложении к конторским реалиям.
Да не, это-то все понятно. Нет пропасти в представлениях. ) Я имел в виду, что формально одно дело дать доступ к сети и нести ответственность за последствия действий (не так уж и важно - есть формальное разрешение или нет, в конце концов и начальство свои ноутбуки часто подключает к сети). И другое - вдруг оторваться от пасьянса от того, что тебе на стол кидают какой-то девайс, с которым ты должен быстро разобраться.
вы знаете, в этом случае в вазелин нужно стекловату крошить. я серьезно.
весу моим словам придает тот простой факт, что я сама пропахала в корпоративном IT бОльшую часть карьеры, то есть я хорошо знаю, о чем речь. это, на самом деле, того же уровня штука, как магазинное "вас много, а я одна". если дело в пасьянсе и админу не подняться по этому поводу - см. п.1 про проблемы в департаменте. Это, на самом деле, такой экс-советский подход к проблеме - попытки решать технические и организационные провалы говнистостью (извините) людей на местах.
>(не так уж и важно - есть формальное разрешение или нет, в конце концов и начальство свои ноутбуки часто подключает к сети)
ну вот это я и имею в виду под пропастью в представлениях, какая разница - начальник, не начальник? корпоративная сеть ЗАКРЫТА. физически. если она открывается на сторонний дивайс - дивайс должен проходить верификацию в айти. в противном случае дивайс просто не может увязаться. клопы не разбирают, магистр или не магистр (с), и сеть, упавшая по вине начальничьего вируса, лежит ровно так же, как намотав на конец от простого менеджера по продажам :)
Корпоративная сеть должна быть такой, какие требования выдвигает корпорация к своей работе. Очень часто люди забывают, что сама по себе корпоративная сеть нахрен никому не нужна. Она нужна для того, чтобы компания работала и зарабатывала деньги. Это ее первая, главная и единственная задача. И задача айтишников не охранять сеть, не боготворить и не строить ее, не делать ее безопасной, а сделать так, чтобы она служила сотрудникам для выполнения их основной задачи: зарабатывания бабла для компании. И именно с этой позиции должны решаться вопросы открытости, закрытости, безопасности, надежности, отказоустойчивости, отсюда должны писаться все регламенты и правила. Отсюда, кстати, растет и стандартизация. Она нужна для оптимизации процесса обслуживания. То есть, не чтобы айтишникам было удобнее. А чтобы у сотрудников быстрее решались проблемы с оборудованием. Но очень часто все эти вещи растут-растут, вырастают и начинают много о себе думать.
все так, несомненно. просто в среднем правильное обслуживание закрытых сетей получается в разы выгоднее, чем открытых и гораздо эффективнее в зарабатывании бабла для компании. закрытая же не означает изолированная. на самом деле, правильный подход: чтобы айтишникам было удобно помогать бизнесу делать деньги. такой, рука руку моет процесс со взаимными компромиссами. понятие "удобства" при этом является регламентированным определением компании, а не частного менеджера, хоть он сейл, хоть СЕО.
айти как король горы, по-моему, такая же специфика постсоветского пространства, как пасьянс и полностью открытые сети.
дайте свое определение закрытых и открытых сетей. а так же правильно обслуживания, а так же расскажите на каком основании сделан вывод о том, что всегда и везде правильное обслуживание выгоднее в разы. хотелось бы увидеть цифры этих разов.
ну что мне с вами, ругаться, что ли, ей-богу? я понятия не имею, какой у вас опыт, кто вы, какое отношение к этому всему имеете, в каких по численности и значимости корпорации работаете, есть ли у вас какой-то IT базис. а главное, что вы явно в любом айтишнике видите врага, а это очевидно не так.
в среднем, простейшие правила таковы, говоря о сети предприятия с точки зрения внутреннего пользователя: - разработан протокол по, необходимого для подключения устройства во внутреннюю сеть. самое на-поверхности решение - сеансовый впн, решение не безумно дорогое и приобретающее все большую популярность; также должно быть принято решение по антивирусной политике и политике криптования локальных данных или его, криптования, отсутствия; - разработан процесс "визирования" устройства в сети - в идеале, автоматизированный, то есть устройство принимается по проверке выполнения ряда условий и/или наличии его в ограничительном списке; - реализация гостевого подключения, вынесенного в демилитаризованные зоны, в идеале физически, если невозможно - хотя бы логически; - если есть возможность - регулярные централизованные бэкапы (может быть очень дорого для middle-sized компании). как вариант - облака местного разлива с бэкапом их - если есть возможность - вынос в дмз веб-морд к нужным аппликациям, в первую очередь к мейлу. уровень защиты зависит от критичности информации, которую можно потерять на краже. скажем, на нынешней моей работе без впна почту по веб не прочесть, а на прошлой можно было, но с рядом спецдвижений и по разовому ключу - то есть сервер был наружу открыт, но очень тщательно сертифицирован. если кража почты критической не является - обычного https-а достаточно.
это базис, который регламентируется и соблюдается. остальное накручивается сверху по мере необходимости - теми самыми внутренними проектами, которые мы все так любим :)
Я не знаю зачем вы со мной собираетесь ругаться и с чего решили, что я вижу в айтишниках врагов. Вы высказали некоторые утверждения, я всего лишь попросила уточнить определения и рассказать о том, на основании чего сделаны ваши выводы. почему вместо этого вы решили рассказать о каких-то бакапах и шифровании почты я не поняла. впрочем, у вас же "выгоднее в разы" внезапно меняется на "безумно дорого". Напомню, что выгода - это получение дополнительной прибыли. Каким образом все вышеперечисленное принесет компании выгоду?
1. вы не "попросили". в вашей "просьбе" не присутствует ни единого маркера просьбы.
2. ваша непросьба начиналась "дайте свое определение закрытых и открытых сетей". что вы и получили: простейшее определение, когда сеть может считаться закрытой и при этом комфортной для пользователя.
3. выгода - это разница между затратами и прибылью. выгода может увеличиваться как увеличением прибыли, так и снижением затрат. в зависимости от критичности ит для бизнеса, затраты и потери, обусловленные массовым или частичным отказом системы или кражей данных, могут существенно сократить эту разницу или вовсе нивелировать ее. скажем, в 2002 году один из крупнейших дистрибьютеров комптехники в СПБ потерял два ведущих сервера и порядка 45 рабочих станций из-за атаки одного из клонов "Чернобыля". Результат очень отразился и на квартальном, и на годовом отчете; полный функционал был восстановлен только через неделю.
4. >"впрочем, у вас же "выгоднее в разы" внезапно меняется на "безумно дорого"."
правильное и разумное обслуживание закрытых систем действительно выгоднее в разы. при этом процесс этот многоступенчатый, и каждый шаг рассчитывается исходя из локальной целесообразности. дальше скучно, извините. пока.
О, я пала ниц под давлением массы ваших знаний, о светлейшая, снизойдите до меня, дайте универсальное определение открытой и закрытой сети и правильного обслуживания, а так же инструмент, которым могу я изменить разы выгод, прошу умоляю.
ой, я за такое обучение беру очень дорого :) начните с бесплатных ресурсов. на курсере сейчас как раз макроэкономика идет, там все расскажут про выгоду, и совершенно даром.
А, определение дать не можете, а уже готовы обучать и задорого? Нуну. Термины и определения, о умнейшая, это всего лишь согласование понятийной базы. Еще никому прежде не приходило в голову этому обучать.
Левый ноутбук - дело частное. В крайнем случае, сломаешь один отдельно взятый ноутбук. Корпоративная сеть - абсолютно закрытая система (должна быть). Потому что вирус, запущенный со стороннего ноутбука, убивает всю контору. Бэкдор аккуратно доставляет информацию к конкуренту. Да что там, просто мобильник со включенным DHCP при неправильной настройке сервиса раздачи адресов может парализовать работу конторы на несколько часов.
Даже не знаю, как бы аналогию попонятней. Ну вот реально, вы приходите домой, а там орудует грабитель, деловой такой, стекла бьет, вещи упаковывает, а завидев вас, говорит - о, чувак, у меня тут веревки кончились, у тебя нету? а вы ему, такой гордый: ты, типа, ковбой, ты и прыгай, не дам я тебе веревок!
Словом, поверьте мне. Если вы видите контору, в которой можно "не знаю как" подключиться к сети, а IT об этом не знает - у конторы очень большие системные проблемы с IT-департаментом. что, конечно, не фокус - но проблема ТАМ. и обучение произойдет по сценарию 9/11 в переложении к конторским реалиям.
Reply
Reply
весу моим словам придает тот простой факт, что я сама пропахала в корпоративном IT бОльшую часть карьеры, то есть я хорошо знаю, о чем речь. это, на самом деле, того же уровня штука, как магазинное "вас много, а я одна". если дело в пасьянсе и админу не подняться по этому поводу - см. п.1 про проблемы в департаменте. Это, на самом деле, такой экс-советский подход к проблеме - попытки решать технические и организационные провалы говнистостью (извините) людей на местах.
>(не так уж и важно - есть формальное разрешение или нет, в конце концов и начальство свои ноутбуки часто подключает к сети)
ну вот это я и имею в виду под пропастью в представлениях, какая разница - начальник, не начальник? корпоративная сеть ЗАКРЫТА. физически. если она открывается на сторонний дивайс - дивайс должен проходить верификацию в айти. в противном случае дивайс просто не может увязаться. клопы не разбирают, магистр или не магистр (с), и сеть, упавшая по вине начальничьего вируса, лежит ровно так же, как намотав на конец от простого менеджера по продажам :)
Reply
А так-то да, все верно.
Reply
И именно с этой позиции должны решаться вопросы открытости, закрытости, безопасности, надежности, отказоустойчивости, отсюда должны писаться все регламенты и правила. Отсюда, кстати, растет и стандартизация. Она нужна для оптимизации процесса обслуживания. То есть, не чтобы айтишникам было удобнее. А чтобы у сотрудников быстрее решались проблемы с оборудованием.
Но очень часто все эти вещи растут-растут, вырастают и начинают много о себе думать.
Reply
айти как король горы, по-моему, такая же специфика постсоветского пространства, как пасьянс и полностью открытые сети.
Reply
Reply
в среднем, простейшие правила таковы, говоря о сети предприятия с точки зрения внутреннего пользователя:
- разработан протокол по, необходимого для подключения устройства во внутреннюю сеть. самое на-поверхности решение - сеансовый впн, решение не безумно дорогое и приобретающее все большую популярность; также должно быть принято решение по антивирусной политике и политике криптования локальных данных или его, криптования, отсутствия;
- разработан процесс "визирования" устройства в сети - в идеале, автоматизированный, то есть устройство принимается по проверке выполнения ряда условий и/или наличии его в ограничительном списке;
- реализация гостевого подключения, вынесенного в демилитаризованные зоны, в идеале физически, если невозможно - хотя бы логически;
- если есть возможность - регулярные централизованные бэкапы (может быть очень дорого для middle-sized компании). как вариант - облака местного разлива с бэкапом их
- если есть возможность - вынос в дмз веб-морд к нужным аппликациям, в первую очередь к мейлу. уровень защиты зависит от критичности информации, которую можно потерять на краже. скажем, на нынешней моей работе без впна почту по веб не прочесть, а на прошлой можно было, но с рядом спецдвижений и по разовому ключу - то есть сервер был наружу открыт, но очень тщательно сертифицирован. если кража почты критической не является - обычного https-а достаточно.
это базис, который регламентируется и соблюдается. остальное накручивается сверху по мере необходимости - теми самыми внутренними проектами, которые мы все так любим :)
Reply
почему вместо этого вы решили рассказать о каких-то бакапах и шифровании почты я не поняла. впрочем, у вас же "выгоднее в разы" внезапно меняется на "безумно дорого".
Напомню, что выгода - это получение дополнительной прибыли. Каким образом все вышеперечисленное принесет компании выгоду?
Reply
2. ваша непросьба начиналась "дайте свое определение закрытых и открытых сетей". что вы и получили: простейшее определение, когда сеть может считаться закрытой и при этом комфортной для пользователя.
3. выгода - это разница между затратами и прибылью. выгода может увеличиваться как увеличением прибыли, так и снижением затрат. в зависимости от критичности ит для бизнеса, затраты и потери, обусловленные массовым или частичным отказом системы или кражей данных, могут существенно сократить эту разницу или вовсе нивелировать ее. скажем, в 2002 году один из крупнейших дистрибьютеров комптехники в СПБ потерял два ведущих сервера и порядка 45 рабочих станций из-за атаки одного из клонов "Чернобыля". Результат очень отразился и на квартальном, и на годовом отчете; полный функционал был восстановлен только через неделю.
4. >"впрочем, у вас же "выгоднее в разы" внезапно меняется на "безумно дорого"."
правильное и разумное обслуживание закрытых систем действительно выгоднее в разы. при этом процесс этот многоступенчатый, и каждый шаг рассчитывается исходя из локальной целесообразности. дальше скучно, извините. пока.
Reply
Reply
Reply
Термины и определения, о умнейшая, это всего лишь согласование понятийной базы. Еще никому прежде не приходило в голову этому обучать.
Reply
Leave a comment