+7 (812) 495-45-59
Подписка на рассылку:

Создание инфраструктуры для построения единой финансово-управленческой системы Холдинга (группы распределенных предприятий) на базе системы «1С:Предприятие 8»

 

Содержание

  1. Введение
  2. Описание поставленной задачи
  3. Безопасность
    1. Человеческий фактор
    2. Безопасность передачи данных в локальной сети
    3. Безопасность передачи данных между площадками
    4. Сетевая безопасность серверов
    5. Ограничение физического доступа к сетевому оборудованию
    6. Ограничение физического доступа к серверному оборудованию
    7. Дополнительная безопасность данных
  4. Надежность
    1. Рабочие места пользователей
    2. Коммутационное оборудование
    3. Каналы связи
    4. Серверное оборудование
    5. Контроль состояния сети и серверов
  5. Описание предлагаемого решения
    1. Общая инфрастуктура
    2. Сетевая инфрастуктура
    3. Сервера
    4. Разграничение ответственности
  6. Этапы реализации проекта
    1. Подготовительный этап
    2. Настройка оборудования и программного обеспечения
    3. Начало внедрения
    4. Расширение функционала
    5. Текущее люслуживание
  7. Оценка стоимости этапов
    1. Этап 1: Подготовительный этап
    2. Этап 2: Настройка оборудования и программмного обеспечения
    3. Этап 3: Начало внедрения
    4. Этап 4: Расширение функционала
    5. Текущее обслуживание (ежемесячное)

 

1. Введение

    Данный документ создан с двумя целями:
  • Показать элементы, на которые необходимо обратить дополнительное внимание при создании подобной инфраструктуры. 
  • Предложить вариант решения.

Проекты по созданию инфраструктуры ориентируются на конкретную решаемую задачу. В нашем случае это должны быть требования программного обеспечения «1С:Предприятие 8», для формирования которых необходимо привлечь специалистов по 1С, для которых, в свою очередь, должны быть сформулированы требования к создаваемой системе со стороны Заказчика, (Холдинга).

В силу специфики текущей версии системы «1С:Предприятия 8» к ней не применимы стандартные подходы к созданию подобных систем баз данных, основанных на архитектуре клиент-сервер. Поэтому для участия в проекте была привлечена одна из опытнейших в Санкт-Петербурге фирм по внедрению систем на базе 1С, которые на начальных условий Заказчика, сформировали общее представление о создаваемой системе и её требованиях к сетевой инфраструктуре. Более подробное предложение по внедрению «1С:Предприятие 8» было вынесено в отдельное приложение к данному проекту и в данном документе не рассматривается.

Отметим ряд существенных моментов, подчеркивающих исключительную важность подготовительной работы перед внедрением программной платформы для единого финансово-управленческого учета Холдинга:

  • Для корректировки предложения по внедрению «1С:Предприятие 8» необходима тщательная проработка технического задания специалистами по 1С и представителями Холдинга. 
  • Для внедрения сложной финансово-управленческой системы, охватывающей бухгалтерию и производство нескольких предприятий, во избежание ошибок на этапе проектирования целесообразно пригласить исполнителей, имеющих опыт подробных внедрений. 
  • Весной 2009 года выйдет новая версия «1С:Предприятие 8», которая в большей степени подходит для работы в распределённых системах (существенно изменено количество передаваемой информации клиент-сервер), соответственно, требования к сетевой инфраструктуре уменьшатся, однако стоимость непосредственно внедрения в некоторых случаях вырастет.

2. Описание поставленной задачи

Создаваемая инфраструктура должна обеспечивать безопасную и надёжную работу с единой финансово-управленческой системой для всех предприятий, входящих в холдинг. Помимо этого должна обеспечиваться дополнительная защищённость части хранимых данных.

Можно выделить следующие основные площадки, на которых располагаются предприятия и их подразделения:

Санкт-Петербург:

  1. Площадка № 1: Проспект …..., дом …..:
    • ЗАО "1";
    • ЗАО "2"
  2. 2. Площадка № 2: Улица….., дом….
    • ООО "3";
    • ОАО "4";
    • ООО "41";
    • ООО "42";
    • ЗАО "3";
    • ООО "44".
  3. 3. Склад в Колпино.

Список решаемых задач:

Задача Кол-во рабочих мест Площадка
Бухгалтерский учет 16-18  
Управление производством 12  
Складской учёт 4  
Аналитика и управленческий учет 2  

Общее количество пользователей системы — 36 человек.

3. Безопасность

Составляющие обеспечения безопасности создаваемой системы можно разделить на несколько категорий. Ниже будут рассмотрены варианты технических решений по повышению безопасности.

3.1 Человеческий фактор

Решить этот вопрос полностью практически невозможно, особенно с учётом участия в холдинге нескольких организаций, каждая из которых может проводить свою политику набора персонала. Однако за счёт правильной организации доступа к данным можно минимизировать потенциальный ущерб. Решение данной задачи целиком ложится на специалистов 1С, которые на этапе составления задания на внедрение должны определить уровни доступа для различных групп сотрудников.

Следует обратить особое внимание на квалификацию организации, занимающейся внедрением 1С, поскольку создание иерархической структуры доступа требует дополнительных знаний и усилий, а поскольку мы не являемся специалистами по 1С, нам будет сложно самим оценить безопасность реализованного решения.

3.2 Безопасность передачи данных в локальной сети

Есть разные подходы к решению данной задачи, например, создание виртуальных сетей в рамках единого коммутационного поля предприятия, однако наиболее надёжным и бюджетным решением является создание физически независимой сети для финансовых и управленческих подразделений. При этом связь компьютеров из изолированной сети с другими компьютерами предприятия или сетью Интернет должна отсутствовать или быть строго регламентирована.

Следует также отметить, что компьютеры, находящиеся на разных предприятиях, не должны иметь возможности непосредственного взаимодействия, весь обмен данными должен происходить через соответствующие серверы.

3.3 Безопасность передачи данных между площадками

Организация безопасного соединения между площадками традиционно решается посредством создания виртуального защищённого канала между сетями, варьируется только используемое оборудование. При этом разброс цен достаточно велик: от оборудования для домашнего использования за 3 тысячи рублей до специализированного оборудования фирмы CISCO, цена которого для решения поставленной задачи составляет не менее 50 тысяч рублей.

Наиболее гибким решением можно считать использование специализированного сервера доступа (примерная стоимость — 30 тысяч рублей), который будет обеспечивать защищённый канал с аналогичными серверами, расположенными на других площадках, а так же сможет обеспечить строго регламентированный обмен данными с локальной сетью предприятия (например: электронная почта или обновления используемого ПО).

Помимо этого можно существенно повысить безопасность и надёжность передачи данных между площадками за счёт использования выделенных логических или физических каналов.

3.4 Сетевая безопасность серверов

Для обеспечения сетевой безопасности серверов необходимо ограничить пропускаемый к нему трафик, для этого можно использовать либо встроенные средства защиты сервера (в случае серверов на базе UNIX-систем), либо дополнительно устанавливаемый между сервером и компьютерами клиентов брандмауэр.

3.5 Ограничение физического доступа к сетевому оборудованию

Желательно, чтобы всё сетевое оборудование находилось в помещениях с ограниченным доступом. Помимо этого оборудование следует размещать в закрываемых шкафах, или, как компромисс, — в труднодоступном, но легко контролируемом (просматриваемом) месте, например, на стене под потолком.

3.6 Ограничение физического доступа к серверному оборудованию

Правильная организация доступа к серверам очень важна, поскольку большинство средств защиты легко преодолимо при наличии физического доступа к оборудованию сервера.

Оптимальным решением является выделение отдельного помещения для установки серверов. Помещение должно быть оборудовано охранной и пожарной сигнализацией и, по возможности, средствами видеонаблюдения. Доступ в помещение должен быть строго ограничен и предоставляться только на время проведения работ, которые невозможно выполнить удалённо.

3.7 Дополнительная безопасность данных

Для обеспечения дополнительной безопасности части данных можно развернуть узел создаваемой системы (из VPN-сервера и сервера баз данных) в одной из Европейских стран (управляющая компания Холдинга) Установленный там сервер баз данных будет использоваться для хранения данных, требующих дополнительной защиты, а так же для резервного копирования.

В случае необходимости возможно изменение схемы работы создаваемой системы для использования сервера баз данных в Европе для всех данных.

4 Надёжность

Надёжность работы системы в целом складывается из надёжности работы её компонентов. Решения, применяемые для повышения надёжности, в каждом случае могут быть разными. При этом следует найти компромисс между надёжностью и стоимостью системы.

Возможности по повышению надёжности должны быть заложены на этапе проектирования, однако могут быть реализованы в ходе дальнейшей эксплуатации системы.

4.1 Рабочие места пользователей

Применение архитектуры клиент-сервер позволяет минимизировать количество хранимой на персональном компьютере пользователя уникальной информации. При выходе из строя компьютера в случае необходимости можно продолжить работать через другой компьютер, подключенный к той же сети и имеющий установленный клиент для 1С.

Несмотря на вышесказанное, целесообразно принять комплекс мер по повышению надёжности работы персональных компьютеров и минимизации времени восстановления при выходе из строя оборудования. К таким мерам можно отнести использование фильтров питания или источников бесперебойного питания (ИБП) (в зависимости от качества электропитания), регулярное архивирование операционной системы и данных пользователя.

4.2 Коммутационное оборудование

Применение специализированного высоконадёжного оборудования для создания управленческих сетей на отдельных предприятиях представляется нецелесообразным из-за существенного роста цены решения (до двух порядков) и стоимости его обслуживания.

Всё сетевое оборудование должно быть защищено от сбоев электропитания с помощью ИБП, достаточно использовать простые (backup) модели, время работы на батареях должно составлять не менее 20 минут.

Для обеспечения быстрого восстановления при сбоях конфигурация оборудования (если применимо) должна сохраняться.

По мере возможности целесообразно иметь запасное оборудование.

4.3 Каналы связи

При наличии технических возможностей для повышения надёжности связи между площадками целесообразно использовать прямые каналы (виртуальные или физические). На случай выхода из строя такие каналы могут быть продублированы с помощью защищённых VPN-соединений через сеть Интернет.

VPN-соединения, проложенные через сеть Интернет, могут быть продублированы при наличии на площадке подключений к нескольким Интернет-провайдерам.

Оборудование, организующее VPN-соединение, может быть продублировано и способно работать в режиме автоматической замены.

Каналообразующее оборудование обычно принадлежит провайдеру, его резервирование и время восстановления оговаривается в соответствующем договоре.

4.4 Серверное оборудование

Центральные сервера являются сердцем создаваемой системы и требуют повышенной надёжности.

    Базовые решения для повышения надёжности отдельного сервера:
  1. Использование высоконадёжного оборудования (BRAND). 
  2. Высоконадёжные системы записи данных на диски (RAID-6).
  3. Резервирование компонентов оборудования (применение блоков питания с резервированием). 
  4. Использование двух on-line ИБП для электропитания.
  5. Подводка электропитания от независимых фидеров с системой автоматического переключения.
  6. Контроль температурного режима работы оборудования (установка кондиционера).

Помимо повышения надёжности самих серверов необходимо организовать дублирование серверов, при котором резервный сервер будет находиться в режиме постоянной готовности и регулярно синхронизировать свои данные с данными основного сервера. При этом переключение между серверами будет осуществляться вручную.

Структура «1С:Предприятие 8» позволяет создать кластер «1С:Предприятие», который может распределять нагрузку между несколькими серверами, однако он имеет выделенный центральный сервер, при выходе из строя которого система перестаёт работать. Такое решение не приводит к повышению надёжности, так как количество точек отказа не уменьшается.

4.5 Контроль состояния сети и серверов

Для обеспечения надёжной работы системы в целом и быстрого нахождения возникших неисправностей необходим постоянный автоматизированный контроль состояния каналов связи, серверов и прочего оборудования.

Для этого необходима установка дополнительного сервера, оборудованного GSM-модемом, и блока контроля окружающей среды в серверном помещении. В случае возникновения неисправности или прогнозируемой угрозы сообщение об этом будет отправляться сотрудникам, ответственным за работу системы.

5 Описание предлагаемого решения

5.1 Общая инфраструктура

На одной и площадок выделяется специализированное помещение для серверов, которое оборудуется: 

  1. Системой охлаждения двумя кондиционерами мощностью 8-10 кВт; 
  2. Системой резервированного электропитания от двух независимых подстанций с автоматическим переключением (при наличии технических возможностей); 
  3. Двумя источниками бесперебойного питания с двойным преобразованием и мощностью 5 кВА; 
  4. Системой контроля состояния окружающей среды; 
  5. Охранной сигнализацией; 
  6. Пожарной сигнализацией; 
  7. Системой порошкового пожаротушения.

5.2 Сетевая инфраструктура

В помещении для серверов устанавливается:

  1. Гигабитный коммутатор на 16 портов для сети серверов; 
  2. Сервер доступа, сетевые порты которого распределены следующим образом:
    • Выделенная сеть связи с другими площадками (при наличии);
    • Сеть провайдера (для организации VPN-соединения);
    • Сеть серверов;
    • Сеть отделов управления площадки;
    • Локальная сеть площадки.

На удалённых площадках устанавливается сервер доступа, сетевые порты которого распределены следующим образом:

  1. Выделенная сеть связи с другими площадками (при наличии); 
  2. Сеть провайдера (для организации VPN-соединения);
  3. Сеть отделов управления площадки;
  4. Локальная сеть площадки.

На удалённой площадке в Европе устанавливается сервер доступа, сетевые порты которого распределены следующим образом:

  1. Сеть провайдера (для организации VPN-соединения); 
  2. Сеть серверов (для подключения SQL-сервера).

Между площадками № 1 и №2, у городского оператора наземной связи арендуется выделенный канал пропускной способностью не менее 2 мегабит в секунду.

Между площадкой в Колпино и площадкой с серверами через сеть Интернет прокладывается виртуальный канал (VPN). Полная иллюстрация структурного решения предоставлена на рис.1.

5.3 Серверы

В помещении для серверов устанавливаются следующие сервера:

  1. Основной сервер «1С:Предприятие 8» и SQL базы данных;
  2. Резервный сервер «1С:Предприятие 8» и SQL базы данных (база регулярно копируется с основного сервера);
  3. Терминальный сервер (для удалённого доступа с других площадок к системе 1С);
  4. Почтовый сервер (для обмена корреспонденцией внутри отделов управления и ограниченного обмена с внешними адресатами);
  5. Файловый сервер для обмена и единого хранения документов внутри отделов управления;
  6. Сервер контроля состояния сети и окружающей среды.

На удалённой площадке в Европе устанавливается SQL-сервер, который используется для хранения защищённой части данных и резервного копирования основной базы данных.

5.4 Разграничение ответственности

Для обеспечения работы создаваемой системы целесообразно сформировать группу обслуживания, в состав которой будут входить:

  1. руководитель группы;
  2. специалист по оборудованию;
  3. специалист по операционным системам;
  4. специалист по сетям;
  5. специалист по серверному программному обеспечению (почта, файловый сервер);
  6. специалист по системе «1С:Предприятие 8».

Предполагается, что участники группы обслуживания будут совмещать эту деятельность с другими своими обязанностями. В качестве специалиста по 1С может быть приглашён представитель внешней организации, занимающейся внедрением и обслуживанием 1С.

Для построения эффективной работы создаваемой системы необходимо ввести разграничение ответственности между участвующими в работах специалистами:

Зона ответственности Ответственные за обслуживание
Локальная сеть площадки IT-специалисты площадки
Локальная сеть отделов управления площадки (до сетевого порта сервера доступа) IT-специалисты площадки
Компьютеры пользователей сети отделов управления IT-специалисты площадки
Электропитание серверного и сетевого оборудования Инженерная служба площадки
Общая инфраструктура помещения для серверов Инженерная служба площадки
Подключения площадок к сети Интернет IT-специалисты площадки
Выделенные каналы между площадками Группа обслуживания
Сервера доступа Группа обслуживания
Серверы (см. раздел 5.3) Группа обслуживания

6 Этапы реализации проекта

6.1 Подготовительный этап

Основная задача подготовительного этапа — это формирование технических заданий и конкретных технических и организационных решений, а так же закупка минимального количества оборудования и программного обеспечения для начала работ. На данном этапе выполняется:

  1. Формирование группы обслуживания; 
  2. Совместная проработка технического задания на создаваемую финансово-управленческую систему (участники: группа обслуживания, отделы управления и организация, занимающаяся внедрением 1С); 
  3. Коррекция проекта инфраструктуры согласно техническому заданию на финансово-управленческую систему; 
  4. Исследование технических возможностей по выделению и оборудованию помещения для серверов, формирование технических заданий для соответствующих инженерных служб; 
  5. Исследование технических возможностей по организации выделенного канала связи между площадками № 1 и № 2; 
  6. Создание технического задания на создание или модернизацию сетей отделов управления на площадках; 
  7. Закупка оборудования и программного обеспечения для начала работ:
    • Основного сервера «1С:Предприятие 8» и SQL базы данных (лицензии на 18 пользователей);
    • Гигабитного коммутатора на 16 портов для сети серверов;
    • Двух серверов доступа;
    • Источника бесперебойного питания для серверов.

Длительность этапа: 1-2 месяца.

6.2 Настройка оборудования и программного обеспечения

На данном этапе настраивается закупленное оборудование, «1С:Предприятие» модернизируется согласно техническому заданию. Выполняется:

  1. Настройка основного сервера «1С:Предприятие 8» и SQL базы данных; 
  2. Настройка серверов доступа; 
  3. Адаптация системы «1С:Предприятие 8» для бухгалтерских служб согласно техническому заданию; 
  4. Перенос данных из используемых бухгалтерских систем в создаваемую систему на базе «1С:Предприятие 8»;
  5. Выделение и оборудование помещения для серверов; 
  6. Заключение договора на аренду выделенного канала связи между площадками № 1 и № 2 7. Создание или модернизация сетей отделов управления на площадках; 
  7. Закупка источника бесперебойного питания для сервера доступа; 
  8. Закупка терминального сервера.

Длительность этапа: 2 месяца.

6.3 Начало внедрения

На данном этапе отделы управления площадок № 1 и № 2, начинают работать с созданной системой (бухгалтерской частью). Выполняется:

  1. Обучение сотрудников отделов управления использованию созданной системы; 
  2. Настройка канала связи между площадками № 1 и № 2. 
  3. Подключение сетей отделов управления на площадках к серверам доступа; 
  4. Переход отделов управления (бухгалтерии) на созданную систему; 
  5. Организация консультаций сотрудников отделов управления по использованию созданной системы на рабочих местах; 
  6. Настройка терминального сервера для доступа с удалённых площадок; 
  7. Закупка и установка второго источника бесперебойного питания в помещении для серверов; 
  8.  Закупка и настройка резервного сервера «1С:Предприятие 8» и SQL базы данных, организация регулярной синхронизации с основным сервером.

Длительность этапа: 1 месяц.

6.4 Расширение функционала

На данном этапе полностью реализуется проект по внедрению 1С, создаётся дополнительный функционал для сети отделов управления. Выполняется:

  1. Закупка дополнительных лицензий для «1С:Предприятие 8» и SQL-сервера. 
  2. Адаптация системы «1С:Предприятие 8» для ведения управленческого и производственного учёта; 
  3. Создание удалённого сервера баз данных вне основных площадок и организация подключения к нему защищённого канала; 
  4. Вынос защищённой части данных, требующих дополнительной защиты, на удалённый сервер баз данных, внесение соответствующих модификаций в систему «1С:Предприятие 8»; 
  5. Обновление системы «1С:Предприятие 8» с текущей версии на версию 8.2; 
  6. Закупка и настройка дополнительных серверов согласно разделу 5.3; 
  7. Закупка, настройка и установка сервера доступа для площадки в Новгороде, прокладка виртуального канала связи.

Длительность этапа: 3 месяца.

6.5 Текущее обслуживание

К данному этапу система должна быть полностью реализована согласно техническому заданию. Основные направления текущего обслуживания:

  1. Отслеживание состояния сетей и оборудования (согласно разделу 5.4); 
  2. Устранение возникающих неисправностей; 
  3. Прогнозирование и предупреждение неисправностей; 
  4. Регламентное обслуживание оборудования и программного обеспечения; 
  5. Модернизация системы по мере возникновения соответствующих потребностей у отделов управления.

7 Оценка стоимости этапов

На данном этапе точно оценить стоимость всех этапов невозможно, в основном это касается стоимости работ по адаптации и внедрению программного обеспечения «1С:Предприятие 8». Помимо этого, цена на оборудование сильно привязаны к курсу доллара и евро (в зависимости от производителя), в текущей ситуации курс меняется достаточно непредсказуемо, поэтому цены на оборудования потребуют дополнительного уточнения непосредственно в момент закупки.

7.1 Этап 1: Подготовительный этап

Наименование Оборудование Зарплата Договор
Создание ТЗ на финансово-управленческую систему     КП
Сервер для «1С:Предприятие 8» и SQL-сервер на базе DELL™ PowerEdge™ 2950 III, 2хQuad Core Intel® Xeon® E5405, 8GB RAM, RAID6 6x73GB, SAS, 3.5-inch, 15,000 rpm Hard Drive (hot-plug), 3 года гарантии 150000    
Microsoft Windows Server 2008 RUS OEM 25000    
Microsoft SQL Server 2005 SE RUS BOX 66000    
22 лицензий «1С:Предприятие 8» и SQL сервера (бухгалтерия, зарплата и управление персоналом) 190000    
Коммутатор D-Link 7500    
Два сервера доступа 60000    
ИБП MGE [68505] Pulsar MX 5000 RT3U 87000    
Группа обслуживания   40000  
Итого (рублей) 585500 40000 0

7.2 Этап 2: Настройка оборудования и программного обеспечения

Наименование Оборудование Зарплата Договор
Настройка сервера «1С:Предприятие 8»     ТЗ
Настройка 2х серверов доступа   20000  
Адаптация системы «1С:Предприятие 8»     ТЗ
Перенос данных в создаваемую систему     обследование
Оборудование помещения для серверов обследование обследование обследование
Модернизация сетей отделов управления обследование обследование  
Прокладка канала связи между площадками № 1 и № 2     обследование
ИБП для сервера доступа APC Smart 450VA 8000    
Терминальный сервер на базе DELL™ PowerEdge™ 2950 III, Quad Core Intel® Xeon® E5405, 4GB RAM, RAID1 2x200GB SATA, 3 года гарантии 100000    
Microsoft Windows Server 2008 RUS OEM на 10 пользователей + терминальные лицензии 85000    
Группа обслуживания   20000  
Итого (рублей) 193000 40000 0

7.3 Этап 3: Начало внедрения

Наименование Оборудование Зарплата Договор
Обучение сотрудников     КП
Консультаций сотрудников отделов управления      
ИБП MGE [68505] Pulsar MX 5000 RT3U 87000    
Резервный сервер для «1С:Предприятие 8» и SQL-сервер на базе DELL™ PowerEdge™ 2950 III, 2хQuad Core Intel® Xeon® E5405, 8GB RAM, RAID6 6x73GB, SAS, 3.5-inch, 15,000 rpm Hard Drive (hot-plug), 3 года гарантии 150000    
Microsoft Windows Server 2008 RUS OEM 25000    
Microsoft SQL Server 2005 SE RUS BOX 66000    
22 лицензий «1С:Предприятие 8» и SQL сервера (бухгалтерия, зарплата и управление персоналом) 190000    
Настройка синхронизации основного и резервного серверов «1С:Предприятие 8» и SQL сервера     КП
Группа обслуживания   20000  
Итого (рублей) 518000 20000 0

7.4 Этап 4: Расширение функционала

Наименование Оборудование Зарплата Договор
«1С:Предприятие 8» управление производственным предприятием 132000    
10 лицензий «1С:Предприятие 8» и SQL сервера 67200    
Адаптация системы «1С:Предприятие 8» для ведения управленческого и производственного учёта;     ТЗ
Обновление системы «1С:Предприятие 8» с текущей версии на версию 8.2;     КП
Создание удалённого сервера баз данных вне основных площадок и организация подключения к нему защищённого канала 170000 15000  
Модификация «1С:Предприятие 8» для выноса защищённых данных     КП
Закупка, настройка и установка сервера доступа для площадки в Новгороде, прокладка виртуального канала связи. 30000 10000  
Итого (рублей) 399200 25000 0

7.5 Текущее обслуживание (ежемесячное)

Наименование Оборудование Зарплата Договор
Аренда канала связи между площадками №1 и № 2     КП
Группа обслуживания   30000  
Итого (рублей) 0 30000 0