Страховая компания НАСТА, созданная в ноябре 1993 года, работает как с гражданами, так и с организациями. Государственные лицензии дают ей право осуществлять 62 вида страхования, включая проведение работ, которые связаны с использованием сведений, составляющих государственную тайну. НАСТА поддерживает 64 филиала и более 220 представительств по всей России, а в 2006 году планирует довести количество филиалов до 70. Это одна из самых динамичных компаний на отечественном рынке страховых услуг.
Развитие бизнеса, как правило, означает прием на работу новых сотрудников и
организацию для них рабочих мест. В определенный момент здание, в котором размещался
центральный офис страховой компании НАСТА в Москве, стало слишком тесным, поэтому
компания арендовала два дополнительных помещения и вывела туда часть подразделений.
Эта мера была временной -- вскоре центральный офис должен въехать в новое, более
просторное здание. Но она потребовала реализации проекта, который получит дальнейшее
развитие при решении других, более масштабных и долгосрочных задач.
Задача
Подразделения, выведенные за пределы главного здания, естественно, оказывались
вне его локальной сети, и требовалось какими-то другими средствами обеспечить
им доступ к справочно-информационным ресурсам компании, корпоративным базам
данных, документам, программным системам. От идеи использовать виртуальную частную
сеть (VPN) пришлось отказаться -- для этого понадобились бы очень быстрые (и,
как следствие, дорогие) каналы связи. Дело в том, что "отселенные"
сотрудники должны были, среди прочего, работать с учетной программой "1С:Бухгалтерия",
а ей, как любому приложению с архитектурой "клиент--сервер", необходимо
передавать через сеть весьма значительные объемы информации.
Более удачным вариантом представлялся терминальный доступ, при котором создаваемый
трафик намного меньше, поскольку между рабочим местом пользователя и центральным
сервером передается не информация из базы данных, а только нажатия клавиш на
клавиатуре и перемещения мыши в одну сторону и изменения картинки экрана --
в другую. "Реально, -- рассказывает директор департамента ИТ компании НАСТА
Георгий Власкин, -- у нас был выбор: Microsoft Terminal Server в чистом виде
или он же с установленным поверх него специализированным ПО компании Citrix.
И остановились на втором, поскольку у Citrix есть ряд плюсов, особенно в отношении
администрирования и прав доступа".
Проект
Проектировал и создавал систему терминального доступа для компании НАСТА системный
интегратор "Крок" -- "золотой партнер" Citrix. Работа началась
с того, что ИТ-отдел заказчика сообщил интегратору, какие программные продукты
ему нужно опубликовать на терминальном сервере и поддержку какой специфической
техники понадобится при этом обеспечить. Важнейшими публикуемыми ресурсами были
упомянутая "1С:Бухгалтерия", различные справочно-информационные системы,
включая базу нормативных документов "Консультант Плюс", а также корпоративная
ИС собственной разработки ИТ-отдела НАСТА, которая внедряется в настоящее время.
Что же касается используемого в компании оборудования, то в основном оно совершенно
стандартное.
В ответ "Крок" сформировал предложение по программному и аппаратному
обеспечению, стоимости, срокам и так далее, проверил в своем центре компетенции
работоспособность решения и возможность доступа через Citrix к информационным
ресурсам НАСТА. Далее последовали заключение договора на выполнение проекта,
поставка оборудования, закупка лицензий на ПО Microsoft и Citrix. Затем в офис
НАСТА приехали специалисты "Крок", установили и настроили систему,
после чего сотрудники подразделений, выведенных в другие здания, получили доступ
к ресурсам, необходимым им для работы.
"Сложностей как таковых у нас не было, -- замечает Георгий Власкин. --
Конечно, при использовании любой терминальной технологии неизбежны некоторые
проблемы с принтерами. Это общеизвестная основная точка напряжения во всяком
подобном проекте. Но и они были быстро решены".
Основным элемент реализованной системы -- терминальный сервер Citrix Presentation
Server 3.0 Enterprise Edition, работающий под управлением ОС Microsoft Windows
2003 (с функцией Terminal Server). С ним интегрированы корпоративные приложения,
которые сделаны доступными с терминалов, а защищенный доступ к этим приложениям
обеспечивает шлюз безопасности -- Secure Gateway для Citrix Presentation Server.
Реализованные в нем механизмы защиты позволяют подключать терминалы по любым
каналам связи, включая публичные сети (в частности, Интернет). Аппаратной платформой
для всего комплекса служат четыре машины IBM: на двух, образующих так называемую
серверную ферму, установлены Presentation Server и приложения, на двух других,
объединенных с применением технологии балансировки нагрузки (NLB -- Network
Load Balancing), -- компоненты Web Interface и Secure Gateway.
Использование оборудования IBM является в НАСТА корпоративным стандартом, а
необходимую аппаратную конфигурацию рассчитали специалисты "Крок"
в соответствии с рекомендациями Citrix. На данный момент серверная ферма в состоянии
поддерживать 60 одновременно работающих сотрудников, что примерно соответствует
их нынешнему количеству в удаленных офисах. В ближайшее время она будет расширена
-- об этом чуть ниже. Парк рабочих станций компании, который также на 90% состоит
из компьютеров IBM/Lenovo, недавно был обновлен, и основная их конфигурация
сейчас -- это процессор Celeron с 256 Мбайт памяти. Установка терминального
ПО на эти машины не представляла проблемы.
Взаимодействие между пользовательскими терминалами и сервером Citrix происходит
по защищенному терминальному протоколу SSL, который поддерживает шифрование
данных, контроль целостности сообщений, идентификацию серверов и (в качестве
опции) клиентов в канале TCP/IP. Для работы по этому протоколу на терминалах
должны быть установлены SSL-сертификаты, с помощью которых они аутентифицируют
сервер и генерируют сеансовый ключ для симметричного шифрования всех передаваемых
данных. Большинство рабочих мест, подключенных к серверу Citrix, -- стационарные,
и находятся они внутри одного домена Windows. Сертификаты были розданы им автоматически
(в системе есть такая возможность). Последовательность действий при запуске
приложения с терминала в точности совпадает с той, которая применяется для его
локальной версии. Скорость выполнения большинства стандартных операций с точки
зрения пользователя практически не изменилась. Конечно, в определенных случаях
-- например, при печати документов -- возможны задержки, связанные с недостаточной
шириной канала связи, но в целом работа сотрудников вполне комфортна.
Результаты и перспективы
"У меня есть определенный опыт в области терминальных технологий, и я
не могу сказать, что у данного проекта были какие-то выдающиеся особенности,
-- говорит Георгий Власкин. -- Шла нормальная, стандартная, пожалуй, даже рутинная
работа. Но с ее помощью мы решили нужную задачу: сотрудники, работавшие в одном
офисе, спокойно переехали в другой и работают там". При этом не потребовалось
строить или арендовать каналы связи с большой пропускной способностью -- взаимодействие
между центральным сервером и терминалами происходит по каналам 256--512 кбит/с
с одновременной передачей голоса.
Так как проект был невелик и носил локальный характер, для обслуживания терминальной
системы не потребовалось выделять особого сотрудника: со всеми текущими задачами
сегодня справляется один из администраторов, который занимается еще и другими
вопросами. Он не проходил специального обучения работе с продуктами Citrix,
а просто ознакомился с инструкциями. Сопровождение системы со стороны "Крок"
ограничивается телефонными консультациями, которых, как показывает практика,
вполне хватает. Однако в самое ближайшее время все это должно в корне измениться:
проект станет масштабным, возможно, сложным и почти наверняка интересным в техническом
отношении, а его поддержка потребует больше ресурсов.
После того как центральный офис НАСТА въедет в новое здание, все его сотрудники
вновь окажутся в одной локальной сети, и система терминального доступа освободится
для решения других задач. Можно будет предоставить обслуживание по информационным
ресурсам крупным агентским офисам в Москве, а в ходе дальнейшего развития проекта
планируется распространить его на филиальную сеть компании.
Как уже говорилось, сейчас в НАСТА внедряется корпоративная информационная
системы, которая опубликована на терминальном сервере, -- пока только в Москве,
но уже в этом году начнутся работы в региональных подразделениях компании. Филиалы
будут подключаться к корпоративной мультисервисной сети, а их ранее самостоятельные
базы данных -- сливаться с единой центральной. Филиалы получат возможность работы
с общими бизнес-приложениями в режиме терминала. Чтобы это обеспечить, понадобится
в несколько раз увеличить размер инсталляции Citrix, для чего придется расширить
серверную ферму. Соответственно вырастут объем и сложность операций по поддержке
системы. По-видимому, как считает Георгий Власкин, потребуется выделенный администратор,
прошедший обучение и отвечающий только за Citrix. Нужен будет и новый договор
на сопровождение, предусматривающий в определенных случаях не только консультации
по телефону, но и выезд специалистов.
Терминальный доступ для сотрудников небольших агентских офисов в регионах --
это отдельная задача. Крупные филиалы подключаются к корпоративной мультисервисной
сети по защищенным выделенным каналам, которые уже сами по себе обеспечивают
безопасный доступ к данным. Но филиалы в таких городах, как Санкт-Петербург,
Калининград, Нижний Новгород и ряд других, создали собственные удаленные офисы,
у которых нет выделенных линий для доступа в корпоративную сеть (организовывать
их экономически нецелесообразно), но есть подключение к Интернету. В процессе
обслуживания клиентов агентам, работающим там, нужно обращаться к своим пакетам
страховых договоров, возможно, продлевать какие-то из них и т. д. Значит, для
них (точно так же как для мобильных пользователей) потребуется обеспечить защищенный
обмен информацией через публичные каналы связи.
Здесь найдут применение многочисленные механизмы аутентификации пользователей
и защиты трафика, имеющиеся в Citrix. Возможности у них очень широкие -- например,
Secure Gateway способен проверять не только сертификаты, установленные на компьютеры
(как это происходит сейчас), но и "зашитые" в аппаратные USB-ключи.
Чтобы получить доступ к своим данным и приложениям, нужно вставить такой ключ
в компьютер -- и, разумеется, ввести правильное имя и пароль. Однако это в перспективе,
а на данный момент внимание всех подразделений сосредоточено на переезде. "Терминальные
технологии Citrix помогли нам грамотно спланировать и осуществить перемещение
сотрудников из одного офиса в другой", -- говорит Георгий Власкин.
