Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 7. januar 2005.
Selvom driftafdelingen, der står for netværket i IT-Parken i Århus erkender, at man ikke kan have sikkerhedsniveau som en bank, bruger afdelingen alligevel betydelige ressourcer på sikkerhed
- herunder en hel del på fysik sikkerhed.
It-afdelingen på Datalogisk Institut på Aarhus Universitet driver størstedelen af netværket i IT-Parken, der er ved at blive etableret i Katrinebjerg-området og som omfatter Alexandra-instituttet. Det betyder blandt andet, at afdelingen står for driften af omkring 130 websteder - uden dog at have ansvar for indholdet. Herudover står afdelingen for 500-600 computere samt et antal hjemmepc'er og omkring 200 såkaldt offentlige pc'er, der står til de studerendes rådighed.
Generelt er en tynd-klient-løsning fravalgt. Dog benytter enkelte medarbejdere og studerende en SunRay-løsning, som de er glade for, blandt andet fordi den er lydløs.
- Tynde klienter er velegnede til tyndt forbrug, og til brugere, der ikke skal afvikle omfangsrige programmer. Vores studerende skal kunne compile med mere, og sommetider har de behov for at sætte ti maskiner til at være neuroner i et neuralt netværk, siger driftleder Søren Ertmann fra Datalogisk Institut i Århus.
Hoveddriftplatformen er Unix, men man kører Windows parallelt med integration på serverniveau. Desuden har man en række Mac-maskiner samt en række eksperimentelle platforme, hvoraf flere dog bliver drevet af forskerne i samarbejde med it-afdelingen.
Driftopgaverne omfatter selve netværket samt basale services som mail, print- og filservere, mailsystem og webservere og drift af operativsystemerne Windows, Linux til Unix og Mac OS. Ud over webserverne driver afdelingen cirka 30 servere.
- Driften er afgørende, fordi stort set alle aktiviteter bygger på nettet. Valget står mellem at tilbyde muligheder og at sørge for sikkerhed. Som it-afdeling betragter vi os ikke som dem, der skal styre aktiviteterne. I stedet stiller vi services til rådighed og sørger for, at infrastrukturen fungerer. Forskningsinstitutioner er steder, hvor brugerne skal kunne mere, siger Søren Ertmann.
- Som forskningsinstitution har vi ikke behov for samme sikkerhedsniveau som en bank, hvis renommé tager skade, hvis der rejses tvivl om deres procedurer på dette område, tilføjer han.
Alligevel er sikkerhed en af de vigtigste udfordringer for afdelingen.
- De fleste sårbarheder kommer af, hvad brugerne gør på enkelt-pc'erne. Det sker forholdsvis ofte, at de studerende kommer til at lægge en maskine ned. Derimod er det faste netværk og serverne temmelig robuste, selv om det er sket, at studerende ved en fejl har søgt at afvikle deres programmer på mailserveren, men i det tilfælde fik vi hurtigt skredet ind. Vi har et gigabit-backbone, så de centrale dele af netværket er ikke sådan at lægge ned, siger Søren Ertmann.
It-afdelingen benytter en række værktøjer til netovervågning, hvoraf en del er udviklet på instituttet, mens andre kommer udefra. Blandt de sidstnævnte er et webbaseret værktøj, som kan fortælle, hvor i bygningerne udstyr, der ikke længere er koblet til nettet, sidst var tilsluttet. Værktøjet giver også adgang til online-vedligeholde oplysninger om kablingen fra trådløse pda'er.
Det benyttes blandt andet til at finde frem til bærbare pc'er, der er inficeret med virus. Dem forekommer der en del af, selv om det er et krav til brugerne, at de har et fungerende, opdateret antivirus-program.
Værktøjet er også i stand til at vise de 25 mest aktive porte på netværket, hvilket kan give administratorerne et billede af, om aktiviteterne ser fornuftige ud. Herudover benyttes Nagios scripting til at finde ud af, om der er maskiner, der ikke svarer, når de bliver "pinget" eller services, der ikke kan benyttes.
It-afdelingen vil typisk opdage, at der bliver benyttet ulovlig fildelings-software ved, at netværket begynder at blive langsommere, og der opstår trafikpropper i FTP-trafikken. Der kører dog projekter, hvor forskerne benytter peer-to-peer-teknologi i samarbejdet med kolleger i England.
Ud over it-sikkerheden har it-afdelingen også ansvar for den fysiske sikkerhed af det udstyr, der skal være til rådighed for medarbejdere og studerende, og det er en krævende opgave.
- Vi har et markant højere sikkerhedsniveau i IT-Parken end på Universitetet i øvrigt. Der er ikke generel offentlig adgang med åbne døre overalt. Der benyttes kort og kode til alle adgangsdøre, og yderdøre bliver overvåget med webcams. Desuden anvendes der brudsikkert glas til vinduerne. Det har ført til, at antallet af indbrudsforsøg er blevet reduceret fra et om måneden til et hver tredje-fjerde måned, og det er sjældent, at tyvene slipper af sted med noget, siger Søren Ertmann.
Projektorerne er boltet fast til loftet, og størstedelen af de statiske pc'er er placeret i en særlig tyverisikret kasse. Dermed er det en værkstedsopgave at flytte en stationær pc fra et lokale til et andet.
Udover de forholdsvis store udgifter til adgangskontrol og bygningssikkerhed betyder den ekstra sikring, at den enkelte maskine fordyres med cirka ti procent.
It-afdelingen har endnu ikke fundet den ideelle løsning til at styre administrationen af de mange forskellige software-licenser.
- Der findes løsninger til licensstyring på markedet, men de er ikke optimale for os. Her er de enkelte maskiner ikke bundet til bestemte systemer. De kan køre et styresystem med en softwareopsætning den ene dag og en helt anden opsætning den næste. Den situation er hverken licensbetingelserne eller systemerne til at administrere dem forberedt for.
Backup er en anden opgave, der har ændret karakter de seneste år i takt med, at brugerne omsætter stadig større mængder af data.
- Vores brugere har op mod tre terabytes liggende på filserverne, og den samlede mængde af det, der skal tages backup af ligger omkring 4,5 terabytes. Vi forenkler dog opgaven, ved udelukkende at tage backup af ændringerne, som udgør 70-80 gigabytes i døgnet.
It-afdelingen benyttede tidligere et båndbaseret backup-system, men man erkendte, at med de aktuelle datamængder ville det tage op til en uge at genetablere blot en af de store servere. Derfor tages i dag backup på IDE RAID-diske, hvorfra data kan reetableres meget hurtigere.
Billedtekst:
afvejet sikkerhed - Vi har ikke behov for samme sikkerhedsniveau som en bank, hvis renommé tager skade, hvis der rejses tvivl om deres procedurer, siger driftsleder Søren Ertmann, Datalogisk Institut i Århus.
Foto: Jens Hasse/Chili
Boks:
Den ultimative udfordring til it-driften
Vil du høre erfaringer fra it-driftsansvarlige, som virkelig står over for udfordringer, skal du henvende dig på it-uddannelserne på de højere læreanstalter. Hvor andre typisk rationaliserer driftopgaven ved at vælge en platform og et antal systemer, skal netværkene på it-uddannelserne understøtte stort set hvad som helst. "Hvis det findes, har vi det", beskriver if-chef Steen Pedersen fra DTU situationen. Det er klart, at dette stiller mere end almindelige krav til integrationen i netværkene.
Samtidig er det en betydelig udfordring at gøre nettene og it-faciliteterne tilstrækkeligt robuste på it-uddannelserne. De studerende er der trods alt for at eksperimentere og lære af deres erfaringer. It-ressourcerne skal være tilstrækkelige til at studerende og forskere kan få opfyldt deres behov, og samtidig er it-afdelingerne under pres for at holde udgifterne nede.
De følgende erfaringer fra it-driftsafdelingerne i IT-Parken i Århus, IT-Universitetet i Ørestaden og DTU i Lyngby viser interessant nok, at selv om opgaverne er ensartede, er der betydelig variation i løsningerne. Således har man i Århus fravalgt den type centraliserede, klientbaserede løsninger, man benytter på uddannelsesinstitutionerne i københavnsområdet, og går man endnu længere ned i detaljerne, er der flere variationer.
