Информационное обеспечение Олимпийских игр нельзя отнести к «обычным ИТ-проектам». Вопрос о сроках окончания проекта не обсуждается и второго шанса не будет. Все должно работать, начиная с церемонии открытия 13 августа и до самого окончания Игр. Сознавая огромную ответственность, разработчики олимпийской ИТ-системы делают все возможное, чтобы гарантировать бесперебойную работу сети
Пройдет совсем немного времени, и этот зал заполнится людьми, которые будут поддерживать работу серверов, сетей передачи данных и следить за источниками питания, без чего будет невозможна работа основных приложений для Олимпийских игр 2004 года

Вверх по холму, что на северной окраине столицы Греции, движется нескончаемый поток такси, спешащих доставить своих пассажиров в штаб-квартиру Комитета Олимпиады в Афинах. В холле штаб-квартиры привычная суета. Но стоит пройти мимо суровых охранников на пункте контроля и подняться на второй этаж технологического операционного центра, как оказываешься в другом мире. За стеклянными стенами центра поразительная тишина. Большая часть из 135 мест в зале управления пусты и из многочисленных настенных экранов включен лишь один.

Но пройдет совсем немного времени, и этот зал заполнится людьми, которые будут поддерживать работу серверов, сетей передачи данных и следить за источниками питания, без чего будет невозможна работа основных приложений для Олимпийских игр 2004 года. Однако все это произойдет чуть позже.

Клоду Филиппсу, директору программ для крупных мероприятий компании Atos Origin, основного ИТ-подрядчика Олимпийских игр, очень бы хотелось заявить о полной готовности.

«Мы готовы, но пока еще проходит тестирование систем, поскольку мы хотим быть уверены в том, что у нас есть решение и план действий на случай самой мало-мальски серьезной из возможных проблем, — признается Филиппс. — В обычном ИТ-проекте мы могли бы передать систему заказчику еще месяцев восемь назад».

Однако Олимпийские игры нельзя отнести к «обычным проектам». Вопрос о сроках окончания проекта не обсуждается и второго шанса не будет. Все должно работать, начиная с церемонии открытия 13 августа и до самого окончания Игр, как заметил Фи?липпс, участвовавший ранее в разработке системы управления для первой в мире автоматизированной АЭС.

Сознавая ответственность, которая ложится на их плечи, группа Филиппса делает все возможное, чтобы гарантировать бесперебойную работу сети. Они создают несколько уровней защиты и избыточности, используют надежную технологию и максимально тщательное и жесткое тестирование.

Создание команды

С приближением Игр группа провела два технических испытания, в рамках которого 30 специалистов Atos Origin проверяли работу сети в условиях, близких к боевым. В частности, в течение недели моделировалась загрузка системы как при проведении самых напряженных дней предстоящей Олимпиады и, по словам Филиппса, система проверялась в самых неблагоприятных вариантах развития событий, которые могут произойти, например сбой сети, атака на защиту информационной системы, отсутствие обслуживающего персонала, застрявшего в транспортной пробке и так далее.

При подобном тестировании проверку проходят не только сами продукты и процедуры, но и люди. Это крайне важно: подразделение, которым руководит Филиппс, создавалось «с нуля», а сейчас, по истечении трех лет, здесь работает 3400 человек. Многие специалисты — добровольцы, которые учились по вечерам и выходным, и во время Игр будут оказывать услуги поддержки так называемой «первой линии».

Филиппс приступил к формированию своей команды после закрытия Олимпийских игр 2000 года в Сиднее. У некоторых из его коллег опыт даже больше, поскольку они работали в приобретенной Atos Origin компании Sema, которая создавала программное обеспечение для Олимпийских игр с 1992 года, когда соревнования проходили в Барселоне.

Два основных компонента программного обеспечения, которое будет работать в сети Олимпиады, — это система GMS (Games Management System), служащая фактически ERP-системой для Олимпиады, и IDS (Information Diffusion System).

GMS будет работать на серверах Windows 2000, на играх же 2002 года, состоявшихся в Солт-Лейк-Сити, использовалась платформа Windows NT 4.0. «Мы не применяем сверхновых технологий, — пояснил Филиппс. — Наша главная задача — минимизировать риск».

IDS собирает и распространяет результаты соревнований и рейтинги. Агентства печати, такие как Associated Press и Reuters, будут получать информацию из IDS по выделенным каналам, впрочем, как и некоторые Web-сайты.

Филиппс рассчитывает на то, что система позволит передать партнеру его компании по проведению Олимпиады, корпорации Xerox, около 50 млн. страниц отчетов для печати. Они предназначены главным образом для журналистов, работающих в пресс-центре в Афинах, которые по-прежнему предпочитают получать информацию в печатном виде.

Кроме того, IDS будут использовать также теле- и радиокомпании.

«Для таких компаний мы предложим «живую» трансляцию, необходимую для комментаторов соревнований. Это действительно система реального времени, способная дать комментаторам всю необходимую информацию, так что перед своими слушателями и зрителями они смогут выглядеть истинными эрудитами», — сказал Филиппс.

План обеспечения отказоустойчивости

Вместе системы GMS и IDS определяют жесткие требования к сети. GMS, помимо всего прочего, используется для управления свидетельствами об аккредитации, поэтому защита для такой системы приобретает критически важное значение.

Не менее важна и скорость. Цель Филиппса заключается в том, чтобы результаты появлялись на экране комментаторов уже через 0,3 с после того, как атлеты пересекут финишную прямую. Кроме того, эти данные должны сопровождаться рейтингами, статистикой и биографиями, то есть всеми сведениями, которые помогают комментаторам вести прямую трансляцию.

Ян Ноблот, менеджер по защите информации компании Atos Origin, подчеркнул, что главное в этом случае — обеспечить избыточность, и немалую. «Мы должны дублировать все, поскольку во время игр нам необходима стопроцентная готовность», — заявил он.

И когда он говорит «все», имеется в виду действительно все: маршрутизаторы и коммутаторы на каждом сайте, центры, выполняющие обработку данных, и даже ПК на столах в зале управления.

Сеть SDH состоит из двух колец STM-1, созданных греческим оператором Hellenic Telecommunications Organization (также известным под названием OTE от сокращения в греческой транскрипции) и обеспечивающих связь с местами проведения соревнований на скорости 155 Мбит/с.

Кольцо SDH связывает 36 стадионов и около 20 других олимпийских объектов. Связь между объектами осуществляется по двум различным маршрутам для каждого объекта, причем поступающий трафик обслуживается двумя различными телекоммуникационными центрами.

Даже результаты и информация из системы управления играми хранятся в двух разных центрах обработки данных, созданных OTE, которая также поддерживает и сеть SDH. Основной центр обработки данных находится рядом со штаб-квартирой OTE в Мароуси, прямо через дорогу, ведущую к олимпийскому стадиону. Другой центр расположен в сотне миль отсюда, хотя и на территории Греции, но в другой тектонической зоне.

Центры обработки данных напрямую включены в кольцо SDH, поскольку необходимо выполнять тиражирование данных между обоими центрами в реальном времени.

Прямое соединение осуществляется через пару маршрутизаторов Cisco 7200. «У нас есть по крайней мере по два таких маршрутизатора для каждого центра, сконфигурированных таким образом, что трафик будет перенаправляться автоматически, — пояснил Ноблот. — Кроме того, такое обслуживание выполняют два коммутатора Catalyst 6513 третьего уровня. Мы используем их для маршрутизации виртуальной локальной сети. На том же шасси установлен межсетевой экран и система обнаружения вторжений».

Систему IDS (Information Diffusion System) смогут использовать также теле- и радиокомпании. Это действительно система реального времени, способная дать комментаторам всю необходимую информацию, так что перед своими слушателями и зрителями они смогут выглядеть истинными эрудитами

В Atos разработали три различные конфигурации локальной сети: одну для самых крупных спортивных арен, в том числе для Олимпийского стадиона и центра водного спорта; другую — для менее крупных спортивных сооружений, таких как центр конного спорта, и третью — для самых маленьких олимпийских объектов.

Каждая спортивная арена имеет два маршрутизатора доступа, модели которых зависят от размеров данного олимпийского объекта, а также два коммутатора для передачи всего трафика в систему обнаружения вторжений. После этого вступает в работу распределительный уровень, пара коммутаторов для виртуальных локальных сетей и система маршрутизации между виртуальными локальными сетями. «Самый последний уровень — уровень доступа, где у нас есть коммутаторы Cisco, подключенные напрямую к серверам и ПК», — отметил Ноблот.

Сегментация трафика

Atos использует виртуальные локальные сети как для простого поиска неисправностей, так и для ограничения возможного ущерба, если кто-либо попытается проникнуть в сеть. Существуют отдельные виртуальные локальные сети для информационной системы комментаторов, приложений распространения информации и системы управления Играми. Все технические службы, каталоги, средства управления и мониторинга, а также системы фиксирования и контроля результатов на местах проведения соревнований имеют свои собственные виртуальные локальные сети, причем иногда используется несколько дублирующих систем для выполнения одних и тех же функций.

Распространение программного обеспечение — еще одна служба, защита которой осуществляется в виртуальной локальной сети. Atos использует пакеты Symantec и LANDesk Software для удаленной загрузки программ на ПК.

Обратить особое внимание на эту проблему Ноблота заставил инцидент, произошедший во время соревнований по велоспорту, проведенных в Греции.

«Мы тогда настраивали систему, и в оборудовании возник сбой, — рассказал он. — Мы посоветовали послать специалиста с запасной аппаратурой, на что получили ответ: ?Вы в своем уме? Это невозможно. Там нужно подниматься два километра в гору?. Пришлось восстанавливать программное обеспечение дефектного компонента по сети».

Приветствуется все, что позволит избежать необходимости долговременной поездки для выполнения необходимого ремонта вручную, поскольку на решение ряда проблем в соглашениях об уровне обслуживания установлен 10-минутный лимит.

«За это время необходимо не только локализовать ошибку, но и исправить ее», — подчеркнул Филиппс.

Уникальность проекту для Олимпийских игр придает тот факт, что спортсмены, например, не будут прерывать бег только потому, что прервалась работа сервера. Как заметил Филиппс, когда они говорят об исправлении той или иной ошибки, то речь может идти о каких-то обходных решениях, увеличении функциональности и так далее, но самое главное — работа не должна останавливаться.

Олимпиада 2004 в цифрах

Впечатляющее представительство информационных технологий

  • Отпечатано 50 млн. страниц информации
  • 200 тыс. предупреждений о нарушении системы защиты в день
  • 10 500 настольных компьютеров
  • 10 тыс. сетевых компонентов
  • 3400 ИТ-специалистов в периоды пиковой нагрузки
  • 450 серверов Dell под управлением Windows
  • 450 серверов Sun под управлением Solaris
  • 300 ноутбуков, в основном для сбора статистики и ввода данных
  • 300 миллисекунд от пересечения финишной линии до предоставления информации на мониторы в кабине комментатора
  • Три года работы
  • Два полностью дублирующих друг друга центра данных в различных сейсмоактивных зонах
  • Никакого оправдания в случае сбоя

Источник: Atos Origin

Защита сети Игр требует тщательного планирования

Группа специалистов компании Atos Origin, главного подрядчика по вопросам ИТ-инфраструктуры для Олимпийских игр, прекрасно отдает себе отчет в необходимости учиться на собственных ошибках. Однако подобный опыт дается непросто. В частности, как заметил Клод Филиппс, директор программы для крупных мероприятий компании Atos Origin, они поняли, что защиту необходимо встраивать в системы с самого начала. Для Олимпиады 2002 года, состоявшейся в Солт-Лейк-Сити, компания начала интегрировать защиту слишком поздно, поэтому она оказалась недостаточно эффективной.

В итоге ничего серьезного не произошло, но некоторые проблемы все же возникли. «На нас обрушилось немало атак, но безопасность игр была обеспечена», — вспоминает Филиппс.

Группа получила несколько предупреждений от систем защиты, причем без помощи программного обеспечения эти нарушения могли остаться незамеченными. По словам Филиппса, если учесть опыт Солт-Лейк-Сити, во время Олимпиады в Афинах при таком же подходе число возможных предупреждений могло бы доходить до 200 тыс. в день, причем большая их часть оказались бы ложными.

Справиться с такой лавиной было бы невозможно. Экраны поминутно вспыхивали бы красным цветом опасности, поэтому требовалось сократить число предупреждений до 10-50, причем все эти предупреждения действительно должны касаться реальных проблем. В этом году Atos Origin использует систему CA eTrust для фильтрации предупреждений на основе набора правил. Тщательная фильтрация поможет в различных ситуациях, в частности это касается разрешений на доступ в Windows 2000. С целью не допустить передачу управления в руки злоумышленников менеджер по информационной безопасности Ян Ноблот использует для защищенного администрирования инструментарий компании NetIQ.

Такие меры предосторожности могут исключить некоторые варианты атак, но остаются другие проблемы. В Солт-Лейк-Сити злоумышленники смогли обойти блокировку на уровне приложений на ПК с открытым доступом, перезагружая их и пытаясь с них попасть в сеть.

Каждый, кто рассчитывает в Афинах запустить в сеть вирус или загрузить другое ПО, сможет убедиться, что доступ к дисководам, а также к USB-портам на ПК и серверах закрыт. По словам Филиппса, намного дешевле приобрести у поставщиков стандартные модели, а затем деинсталлировать и отключить дисководы и порты на уровне BIOS, чем заказывать специальные компьютеры.