Система управления распределенным компьютерным парком

Заказчик
ООО «ДОМОДЕДОВО АЙТИ СЕРВИСИЗ»
Руководитель проекта со стороны заказчика
ИТ-поставщик
SmartServiceDesk
Год завершения проекта
2018
Сроки выполнения проекта
Март, 2016 — Май, 2017
Масштаб проекта
3200 человеко-часов
7400 автоматизированных рабочих мест
Цели

Система управления объектами Корпоративной информационной сети ИС Ivanti (ранее LANDESK) предназначена для повышения качества оказания IT-услуг при сопровождении пользователей и объектов Корпоративной информационной сети, а также для обеспечения необходимого уровня информационной безопасности в Корпоративной информационной сети.

В ИС реализованы следующие функции управления Объектами:

  • Сбор инвентарных данных о конфигурации ПК и установленном ПО;
  • Получение статистики использования ПО, ведение учета лицензий;
  • Сбор инвентарных данных о принтерах и других SNMP-совместимых сетевых устройствах;
  • Получение сведений о неуправляемых устройствах в сети (т.е. IP-устройствах без установленного агентского ПО);
  • Обеспечение наполнения CMDB и систему управления ИТ-активами точными, полными и актуальными инвентарными данными;
  • Детализированный доступ к функционалу ИС с разграничением по ролям;
  • Обеспечение логирования сессий дистанционных подключений специалистов техподдержки к компьютерам пользователей;
  • Поддержка ОС Windows 7 и выше, Windows Server 2012;
  • Увеличение количества и качества шаблонов отчетов;
  • Обеспечение защиты компьютеров с использованием комплекса средств, включая: контроль доступа к сети, управление обновлениями для ОС и ПО, блокировка работы и устранение вредоносного ПО, настройка, контроль использования и блокировка прикладного ПО с использованием единой централизованной консоли управления.

Уникальность проекта

Особенностью Московского аэропорта Домодедово являются повышенные требования к доступности и безопасности всех ИТ-систем, прямо или косвенно обеспечивающих выполнение бизнес-процессов. В связи с этим Заказчику не подходило стандартное решение, рекомендуемое производителем Ivanti. Заказчик совместно с интегратором разработал и внедрил уникальную отказо-катастрофоустойчивую систему для продукта Ivanti.

Внедрение систем осложнялось запретом на доступ внешних консультантов к ИТ-системам, находящимся в «боевой» инфраструктуре Заказчика.

Интегратором в рамках проекта были разработаны детальные руководства администратора и пользователя системы в соответствии с корпоративными стандартами Заказчика.

В результате выполнения проекта служба эксплуатации ИТ и техподдержки пользователей получила эффективный и гибкий инструмент, дающий чёткую картинку состояния ИТ-инфраструктуры и обеспечивающий быстрое решение текущих проблем и эффективное выполнение заявок пользователей.

Использованное ПО

Основное ПО:

  • Ivanti Endpoint Manager (ранее LANDESK Management Suite) — комплексная масштабируемая система управления парком ПК и серверов, позволяющая решать широкий спектр задач: обнаружение любых сетевых устройств, детальная инвентаризация аппаратуры и ПО, сбор статистики использования ПО, развертывание ОС и миграция профилей пользователей, установка/удаление ПО и многое другое с обеспечением минимальной нагрузки на целевые ПК, каналы связи и ИТ специалистов.
  • Ivanti Endpoint Security (ранее LANDESK Security Suite) — функциональное расширение Ivanti Endpoint Manager, представляющее собой многоуровневую систему безопасности для защиты компьютерного парка от различных угроз, в том числе «уязвимостей нулевого дня». Защита включает модуль обнаружения различных видов уязвимостей (в т.ч. заданных пользователем), модуль управления обновлениями, средства контроля работы антивирусов, централизованный модуль предотвращения вторжений (HIPS), модуль управления приложениями и контроль доступа к внешним устройствам и мобильным носителям информации и многое другое.
  • Ivanti Data Analytics — функциональное расширение Ivanti Endpoint Manager, обеспечивающее инвентаризацию сетевого оборудования по протоколу SNMP, импорта дополнительной информации об оборудовании и ПО из различных источников, в том числе «облаков» вендоров.

Вспомогательные системы:

  • MS SQL Server — централизованное хранилище настроек и данных.;
  • Служба каталога MS Active Directory. Используется для импорта дополнительных инвентарных данных и авторизации пользователей;
  • MS Cluster Server. В целях обеспечения устойчивой работы системы при отказе оборудования центральный управляющий сервер системы Ivanti и сервер баз данных реализованы в виде единого кластера под управлением MS Cluster Server c применением технологии групп доступности AlwaysOn и MS NLB.
Описание проекта

Московский аэропорт Домодедово — одна из крупнейших воздушных гаваней России, в 2017 году аэропорт обслужил 30,6 млн человек.

Аэропорт Домодедово стал первым российским аэропортом, осуществивший переход в категорию крупнейших аэропортов Европы по классификации Международного совета аэропортов (ACI). Регулярные пассажирские и грузовые перевозки в Домодедово выполняют 54 авиакомпании-партнера. Маршрутная сеть аэропорта охватывает более 200 направлений Европейского, Азиатско-Тихоокеанского регионов, Ближнего Востока, Северной и Центральной Америки, 66 из которых являются уникальными для Московского авиационного узла: совершить путешествие по ним можно только из Домодедово.

В 2009 г. в компании была внедрена комплексная система управления компьютерным парком LANDESK 9.0 (позднее Ivanti). К 2016 г. назрела необходимость в миграции на новую версию в связи с появлением новых операционных систем, не поддерживаемых старой системой и появлением новых требований заказчика, а именно:

  • Получение инвентарных данных о программном обеспечении;
  • Нормализация инвентарных данных о ПО для последующего экспорта в систему управления ИТ-активами;
  • Сбор статистики использования ПО пользователями (количество запусков, время, прошедшее с последнего запуска, общее время работы);
  • Управление ПК с новыми версиями ОС;
  • Экспорт инвентарных данных в CMDB;
  • Реализация «сквозных» технологических процессов, связанных с автоматической установкой пакетов ПО по согласованным заявкам пользователей;
  • Контроль действий ИТ-специалистов в рамках использования функционала ИС;
  • Автоматизация развертывания ОС и интеграция с системой NAC.

Проект был реализован за 2 этапа силами команды, состоящей из специалистов интегратора и заказчика:

Этап 1 (март — июнь 2016) — Разработка Технического задания. В рамках 1-го этапа была развёрнута тестовая зона, в которой были размещены управляющий сервер и сервер баз данных в конфигурации, полностью идентичной «боевой». В тестовой зоне был настроен и апробирован весь функционал, обеспечивающий выполнение Требований заказчика.

Этап 2 (июль 2016 — сентябрь 2017) — Реализация требований Технического задания и Требований заказчика.

Особенностью 2-го этапа являлось условие, что все работы в «боевой» зоне выполняются только силами собственных специалистов Заказчика. В связи с этим все настройки системы выполнялись специалистами интегратора в тестовой зоне и тщательно документировались в виде соответствующих технических руководств. На основе подготовленных руководств и инструкций специалисты заказчика выполняли настройки «боевой» системы. Всего в рамках проекта было подготовлено более 1000 страниц технических инструкций.

В рамках проекта был реализован следующий функционал системы:

  • Обнаружение всех неуправляемых устройств в сети;
  • Автоматизированная установка агентского ПО на целевые компьютеры;
  • Сбор инвентарных данных с автоматическим отслеживанием изменений;
  • Сбор инвентарных данных с сетевых устройств по протоколу SNMP;
  • Сбор статистики использования прикладного ПО пользователями;
  • Автоматизированная установка и удаление прикладного ПО, в том числе и в интеграции с системой Service Desk на основе авторизованных заявок пользователей;
  • Удалённое управление процессами, службами и настройками компьютеров;
  • Автоматизация развертывания ОС и интеграции с подсистемой NAC:

— По команде администратора система во взаимодействии с NAC переносит целевой ПК в карантинную подсеть;

— Выполняется заливка требуемого образа ОС;

— Автоматически устанавливаются необходимые драйвера из пополняемой библиотеки драйверов;

— Автоматически устанавливается необходимое прикладное ПО;

— ПК автоматически включается в MS AD в требуемый OU;

— Во взаимодействии с NAC компьютер автоматически переносится из карантинной в рабочую подсеть.

  • Обнаружение уязвимостей на компьютерах (по расписанию или в ручном режиме). Критерии уязвимостей и действия по их устранению ежедневно автоматически скачиваются с сайта вендора. Возможно также задание критериев уязвимостей администратором.
  • Установка обновлений прикладного и системного ПО. Ivanti поддерживает обновления большого спектра различных производителей.
  • Удалённое управление «рабочим столом» компьютеров;
  • Контроль антивирусной защиты;
  • Обнаружение и блокировка вредоносного ПО;
  • Поддержка «чёрных» и «белых» списков. Автоматическая блокировка любого не допущенного к использованию ПО;
  • Сложная структура ролевого разделения прав доступа как к функционалу системы, так и к группам управляемых компьютеров;
  • Логирование всех действий ИТ-специалистов в рамках системы;
  • Обеспечение наполнения CMDB актуальными, точными и полными инвентарными данными, включая статистику использования прикладного ПО пользователями.
География проекта
Системой охвачены более 7 тыс. компьютеров, находящихся в Московском аэропорту Домодедово и в удалённых офисах Заказчика.
Коментарии: 16

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

  • Эдуард Иванов
    Рейтинг: 13
    74.ru
    Руководитель ИТ
    17.11.2018 01:53

    А почему именно Landesk(Ivanti)?
    Какие еще альтернативы рассматривались?

    • Павел Сальников Эдуард
      Рейтинг: 160
      ООО "ДОМОДЕДОВО АЙТИ СЕРВИСИЗ"
      Начальник отдела сопровождения корпоративных ИС
      18.11.2018 20:47

      сравнивали продукт от Microsoft и Ivanti победил последний.

  • Евгений Мещеряков
    Рейтинг: 10
    ПАО "Т Плюс"
    Начальник отдела информационно-технического сопровождения исполнительного аппарата
    27.11.2018 11:04

    Добрый день!
    На какой платформе вы используете ServiceDesk?
    Оцифровывали ли эффекты, которые были достигнуты по результатам внедрения?

    • Павел Сальников Евгений
      Рейтинг: 160
      ООО "ДОМОДЕДОВО АЙТИ СЕРВИСИЗ"
      Начальник отдела сопровождения корпоративных ИС
      27.11.2018 12:08

      1) Если речь об интеграции Landesk с ServiceDesk, то мы используем "HP Service Manager software".
      2) Что значит "Оцифровывали ли эффекты" ?

  • Евгений Мещеряков
    Рейтинг: 10
    ПАО "Т Плюс"
    Начальник отдела информационно-технического сопровождения исполнительного аппарата
    27.11.2018 13:08

    2) что стало лучше в результате внедрения? имеет это "лучше" количественные или финансовые характеристики? Например, сократили персонал, который бегал ногами по компьютерам, или после внедрения стали проводить инвентаризацию вместо 1 месяца за 1 день.

    • Павел Сальников Евгений
      Рейтинг: 160
      ООО "ДОМОДЕДОВО АЙТИ СЕРВИСИЗ"
      Начальник отдела сопровождения корпоративных ИС
      27.11.2018 13:40

      Интеграция с базой имущества в данном проекте не предусмотрено.
      Всё "лучше" перечислены выше в проекте. Сокращения персонала не было, но и с темпом нашего роста в ИТ у нас нет увеличения.

  • Анна Коробова
    Рейтинг: 10
    Префектура Зеленоградского АО г.Москвы
    начальник отдела информатизации
    05.12.2018 17:59

    В проекте весьма интересен и заслуживает внимания способ развертывания системы: "все настройки системы выполнялись специалистами интегратора в тестовой зоне и тщательно документировались в виде соответствующих технических руководств. На основе подготовленных руководств и инструкций специалисты заказчика выполняли настройки «боевой» системы. Всего в рамках проекта было подготовлено более 1000 страниц технических инструкций." Проходили ли собственные ИТ специалисты необходимую подготовку ? Как контролируется соблюдение таких обширных технических инструкций в оперативной деятельности? Разработаны ли какие-то чек-листы для специалистов ?

    И второй вопрос - какие KPI достигнуты после внедрения системы управления компьютерный парком (напр., с точки зрения бесперебойности, производительности ИТ-специалистов, скорости восстановления системы, в разрезе сервисов аэропорта , а также до и после внедрения), проводились ли сравнения с другими аэропортами?

    • Павел Сальников Анна
      Рейтинг: 160
      ООО "ДОМОДЕДОВО АЙТИ СЕРВИСИЗ"
      Начальник отдела сопровождения корпоративных ИС
      05.12.2018 18:24

      В рамках проекта было обучение по функционалу, а также всю установку и настройку выполняли своими силами по документации предоставленной КНТ и ранее у нас был опыт работы с LANDesk старой версии. Все инструкции нужны на первом этапе развертывания системы, а далее происходи снятие слепка и ежедневный бэкап базы. Для восстановления системы уже не требуется «гора» инструкций и поэтому они хранятся как не удаляемые документы к данной системы (если вдруг будет потеря всего, и вся или разобраться в определённых настройках системы). В данном случае система используется не для сервисов, а\п, а для рабочих мест пользователей, которых ну очень много в а\пи они все географически разбросаны на большой территории.

  • Сергей Аверьянов
    Рейтинг: 10
    Начальник ИТ отдела поддержки промышленного производства
    14.12.2018 12:49

    Пришлось ли при внедрении новой системы обновлять частично или полностью устаревшее оборудование, программное обеспечение на рабочих местах пользователей, или то, что было доступно в старой системе, нормально работает и в новой?
    Полезна функция контроля всех действий ИТ-специалистов в рамках системы, а не только пользователей.
    Впечатляет соотношение набора внедренных функций, количества автоматизированных рабочих мест и трудозатрат!

    • Павел Сальников Сергей
      Рейтинг: 160
      ООО "ДОМОДЕДОВО АЙТИ СЕРВИСИЗ"
      Начальник отдела сопровождения корпоративных ИС
      14.12.2018 13:02

      Пришлось обновлять агенты на всех ПК из-за тонкостей работы сертификата (обновление длилось 3 месяца) . Столкнулись только с проблемой, что две разные консоли не работают на одном ПК ИТ специалиста и для решения проблемы подняли временный терминальный сервер.

  • Александр Балабанов
    Рейтинг: 310
    Айсберри
    CDO
    16.12.2018 16:09

    Павел приветствую!
    В целях проекта заявлено "...для повышения качества оказания IT-услуг при сопровождении пользователей и объектов Корпоративной информационной сети, а также для обеспечения необходимого уровня информационной безопасности в Корпоративной информационной сети."

    Вопрос №1: достигли ли Вы цели? Как измеряли качество до и после проекта?
    Вопрос №2: как повлияло внедрение данного решения на ИБ?

    Комментарий: по масштабу проекта могу только представить.... Не всегда Менеджмент готов инвестировать в данные проекты - поэтому еще раз к вопросу - как Защищали данный проект?

    • Павел Сальников Александр
      Рейтинг: 160
      ООО "ДОМОДЕДОВО АЙТИ СЕРВИСИЗ"
      Начальник отдела сопровождения корпоративных ИС
      28.12.2018 17:30

      1) Основные цели проекта достигнуты.
      2) агент LD на ПК блокирует успешно всё, что не входит в белый список.
      3) ребята из МГИТ старались долго и упорно.

  • Александр Артюхов
    Рейтинг: 95
    АО "Организация "Агат"
    Руководитель проекта
    28.12.2018 17:22

    ... и кто был основным заказчиком проекта?

    • Павел Сальников Александр
      Рейтинг: 160
      ООО "ДОМОДЕДОВО АЙТИ СЕРВИСИЗ"
      Начальник отдела сопровождения корпоративных ИС
      28.12.2018 17:26

      МГИТ

  • Роман Кузнецов
    Рейтинг: 380
    Холдинг PVG
    CIO
    08.01.2019 22:06

    А кто такие МГИТ? В интернете нашел https://www.mgit.ru. Они :)?

    • Павел Сальников Роман
      Рейтинг: 160
      ООО "ДОМОДЕДОВО АЙТИ СЕРВИСИЗ"
      Начальник отдела сопровождения корпоративных ИС
      09.01.2019 12:51

      нее :)
      МГИТ- "Методическая группа информационных технологий"

Предметная область
Отрасль
Управление