راه پرداخت
رسانه فناوری‌های مالی ایران

دغدغه اصلی؛ نگاه بالا به پایین / چرا «یکپارچگی» در مانیتورینگ عملیات مهم است؟

ماهنامه عصر تراکنش شماره ۴۲ / سازمان‌ها و نهادهای بزرگ از جمله بانک‌ها، همچون مجمع‌الجزایری هستند که در ظاهر به‌عنوان یک مجموعه واحد دیده می‌شوند، ولی وقتی موشکافی می‌کنیم، می‌بینیم که از جزیره‌های کوچک و بزرگی تشکیل شده‌اند که به شکل‌های مختلفی با یکدیگر در ارتباط هستند و هر جزیره برای رسیدن به اهدافی خاص، مجموعه‌ای از عملیات و ماشین‌ها را مدیریت می‌کند که خود نیز به مانیتورینگ پیوسته نیاز دارند تا بتوانند چرخه حیات‌شان را ادامه دهند. تا به امروز این مانیتورینگ به شکل‌های مختلف و جزیره‌جزیره صورت گرفته که چالش‌های خاص خودش را نیز داشته است.

ارزش افزوده واقعی مانیتورینگ در چنین سازمان‌های عظیم‌الجثه‌ای زمانی شکل می‌گیرد که این مانیتورینگ به شکل «یکپارچه» صورت بگیرد. این یکپارچگی مانیتورینگ ضمن افزایش سطح و عمق دید و بینش مدیران جهت تصمیم‌گیری، خود نیز به داده‌ها و کلان‌داده‌های تازه‌ای می‌انجامد که در نوع خود یکتا هستند. به نظر می‌رسد سامانه معین یا همان سامانه مانیتورینگ عملیات یکپارچه نوین بانک ملت که حاصل تلاش مشترک سه شرکت بهسازان ملت، پایش‌افزار فناوران شریف و دانش‌افزار نارون شریف بوده، به‌دنبال چنین اهدافی بوده است.

به همین بهانه میزگردی با حضور محمد ساعدی، مشاور مدیرعامل شرکت بهسازان ملت؛ ابوالحسن شمسایی، مدیرعامل شرکت «پایش‌افزار فناوران شریف» و مدیر ارشد توسعه محصول «معین» و سیدرضا بنی‌هاشمی، معاون معاون مدیرعامل در امور بانک‌های اطلاعاتی ترتیب دادیم و درباره چیستی مانیتورینگ عملیات و اهمیت یکپارچگی آن صحبت کردیم.

اگر موافق باشید ابتدا از مفهوم «مانیتورینگ عملیات» شروع می‌کنیم. اول این سؤال مطرح می‌شود که منظور از عملیات چیست و دوم آنکه مانیتورینگ چه معنی دارد و نهایتاً آنکه ترکیب آن دو با هم چه معنی می‌دهد و چه نیازی به وجودش داریم؟ در بانک یا سازمان‌های بزرگ دیگر مثل بیمه، کارگزاری بورس و حتی شرکت‌هایی که متمرکز بر حوزه فناوری نیستند، چه نیازی به رفتن به سمت مفهوم مانیتورینگ عملیات وجود دارد؟

ساعدی: همه کسب‌وکارهای مبتنی بر فناوری اطلاعات نیازمند پایداری سرویس هستند. تمام کسب‌وکارها این دغدغه را دارند که آیا سرویسی که به مشتری عرضه می‌کنند، پایدار هست یا نه. بانک‌ها یکی از کسب‌وکارهای دارای سرویس‌های پرتراکنش هستند که همیشه دغدغه کاهش میزان خطا و ارتقای کیفیت سرویس را دارند و می‌خواهند کیفیت سرویس‌هایشان تداوم داشته باشد و تصادفی نباشد. برداشت مشتریان از خطا نیز با برداشت کسب‌وکارها از خطا متفاوت است. بسیار اتفاق می‌افتد که ارائه‌دهنده‌ محصول می‌گوید «من خطایی ندارم و کیفیت سرویس‌هایم بالاست»، ولی مشتری سرویس مناسبی دریافت نمی‌کند.

اصلی‌ترین ابزار برای پوشش هر دو دیدگاه از پایداری و کیفیت سرویس، مانیتورینگ جامع و کامل سرویس‌هاست. به عبارتی نیازمند سامانه مانیتورینگی هستیم که پایش از دیدگاه مشتری تا پایین‌ترین لایه فناوری را پوشش دهد و هر سرویس را از هر سطح و دیدگاهی پایش کند. وقتی فناوری اطلاعات بخواهد به یک نیازمندی پاسخ دهد، طبیعتاً از لایه‌های مختلف تجهیزات و سرویس‌های مختلفی بهره می‌برد که اختلال در هر کدام از آن لایه‌ها، کسب‌وکار را مختل می‌سازد. سامانه جامع مانیتورینگ عملیات کمک می‌کند که چنین اختلال‌هایی سریعاً کشف و رفع شود و نهایتاً سرویس پایدارتر و باکیفیت‌تری به مشتریان ارائه شود.

شمسایی: یک سرویس نرم‌افزاری، در فاز توسعه، توسط متخصصان نرم‌افزار پیاده‌سازی می‌شود و در فاز عملیات، توسط متخصصان فناوری اطلاعات اجرایی شده و نگهداری می‌شود. به عبارتی، پس از اینکه سرویس نرم‌افزاری تولید و توسعه داده شد، وارد فاز اجرایی و عملیاتی‌ می‌شود. عملیاتی‌سازی سرویس، مجموعه اقداماتی است که به‌منظور راه‌اندازی، اجرا و نگهداری یک سرویس انجام می‌شود؛ این اقدامات شامل تهیه و نگهداری تجهیزات و منابع سخت‌افزاری، تهیه و مدیریت شبکه ارتباطی، نصب، راه‌اندازی و مدیریت ابزارهای نرم‌افزاری مورد نیاز است؛ بنابراین صفر تا صد حیات یک سرویس شامل دو فاز توسعه و عملیات است.

یکی از مهم‌ترین دغدغه‌ها در فاز عملیات یک سرویس، نظارت بر صحت عملکرد سرویس و المان‌های وابسته به آن سرویس است که این مهم همان مفهوم مانیتورینگ عملیات است. در مانیتورینگ عملیات، همواره از المان‌های زیرساختی و وابسته به یک سرویس؛ مجموعه‌ای از شاخص‌های کارایی به‌طور دائمی استخراج و به شاخص‌های کیفی تحلیل می‌شوند تا صحت و کیفیت عملکرد یک سرویس، به‌صورت 7×24 نظارت شود و در صورت وقوع مشکلی در عملکرد آن سرویس، آن مشکل و منشاء آن، در اسرع وقت کشف و در جهت رفع آن اقدام شود.

در بسیاری از کسب‌وکارها، سرویس‌ها و خدمات از فضای فیزیکی به فضای سایبری مهاجرت کرده‌اند. حتی در کسب‌وکارهایی که متمرکز بر فناوری اطلاعات نیستند، این مهاجرت در حال وقوع است. همین مسئله باعث اهمیت روزافزون مانیتورینگ عملیات در بسیاری از کسب‌وکارهای امروز و آینده می‌شود.

بنی‌هاشمی: هر جایی که یک سرویس مالی یا بانکی ارائه می‌شود، زیرساخت فناوری اطلاعات آن بسیار پیچیده و متشکل از تجهیزات و ابزارهایی متنوع است. یک سرویس در صورتی پایدار است که تمام اجزای این زیرساخت، صحیح و منسجم عمل کنند. اهمیت بخش عملیات هم همین‌جا مشخص می‌شود. اطلاعات بین زیرساخت‌های فناوری اطلاعات بانک و کاربر نهایی توسط بستر اینترنت تبادل می‌شود.

کاربر از طریق اینترنت به سرویس و شبکه داخلی بانک متصل می‌شود و درخواست او به زیرساخت‌های فناوری اطلاعات بانک می‌رسد و در زیرساخت‌های فناوری اطلاعات بانک پردازش و اجرا می‌شود تا درخواست مالی کاربر عملیاتی شود. این همان محیط عملیاتی است. مفهوم مانیتورینگ عملیات هم نظارت بر کارکرد و کارایی تک‌تک اجزای این محیط است تا بتوان هر لحظه وضعیت المان‌های این محیط را رصد کرد و نهایتاً سرویس پایدار و باکیفیتی را به کاربر ارائه داد.

با توجه به بحث‌هایی که مطرح شد یک سؤال از آقای شمسایی می‌پرسم. به استخراج شاخص‌های کیفی اشاره کردید. آیا در یک بانک یا یک صنعت، تمام شاخص‌های کیفی قابل استخراج و قابل اندازه‌گیری هستند؟

شمسایی: در ابتدا باید بگویم که ما از شاخص‌های کیفی المان‌های موجود در فضای مجازی یا سایبری صحبت می‌کنیم و این شاخص‌های کیفی را از استخراج شاخص‌های کارایی که عمدتاً از این المان‌ها قابل استخراج هستند، به دست می‌آوریم. در هر کسب‌و‌کار فعالی در فضای مجازی یا سایبری، همه سرویس‌ها یا خدمات الکترونیکی، در فضای ابری اختصاصی یا اجاره‌ای آن کسب‌وکار در حال اجراست. می‌دانیم فضای ابری شامل سه لایه است.

لایه اول شامل تجهیزات سخت‌افزاری و شبکه است، مانند سوئیچ‌ها، روترها، فایروال‌ها، آی‌پی‌اس‌/آی‌دی‌اس‌ها، ذخیره‌سازها، سرورها، سرورهای تیغه‌ای، ابزارهای مجازی‌ساز و سیستم‌عامل‌ها که برای اجرای یک سرویس در فضای ابری، یک یا چند ماشین مجازی و ارتباطات لازم را فراهم می‌کند و شما می‌توانید به‌طور مثال، روی آنها سرویس خود را اجرا و راه‌اندازی کنید؛ بنابراین در این لایه، یک یا چند رایانه یا ماشین مجازی به اضافه شبکه و ارتباطات لازم بین آنها یا اتصال به اینترنت جهت ارتباط با مشتریان فراهم می‌شود.

در لایه دوم، علاوه بر ماشین‌های مجازی، ابزارها و تجهیزات نرم‌افزاری که لازمه یک سرویس یا خدمت الکترونیک هستند، در این رایانه‌ها یا ماشین‌های مجازی راه‌اندازی می‌شوند، مانند پایگاه‌های داده، سیستم‌های صف ‌پیام، سرورهای وب، سرورهای کاربردی، ابزارهای تدارک سرویس، ابزارهای تحلیل داده، ابزارهای ارکستریشن و بسیاری نرم‌افزارهای دیگری که به‌عنوان پیش‌نیازهای سرویس تهیه و نصب می‌شوند.

بنابراین تا این لایه، یک کسب‌و‌کار، همه زیرساخت‌های سخت‌افزاری و نرم‌افزاری لازم را برای اجرا و راه‌اندازی سرویس خود دارد. لایه سوم مربوط به سرویس‌هایی است که یک کسب‌و‌کار تولید می‌کند. در این لایه برنامه کاربردی یا سرویس تولیدشده توسط یک کسب‌وکار روی زیرساخت سخت‌افزاری و نرم‌افزاری فراهم شده و روی دو لایه قبل قرار می‌گیرد و بدین ترتیب همه اقدامات لازم برای عملیاتی‌سازی یک سرویس انجام شود.

حال اگر از مانیتورینگِ عملیات صحبت می‌کنید، یعنی تمام المان‌های هر سه لایه فضای ابری یک کسب‌وکار باید مورد نظارت و مانیتورینگ قرار گیرند. در واقع در پاسخ به پرسش شما می‌توان گفت، لازم است که شاخص‌های کارایی همه المان‌های فناوری اطلاعات که در فضای ابری یک کسب‌و‌کار مانند بانک قرار دارند و در شبکه در دسترس هستند، استخراج و وضعیت کیفی این المان‌ها تحلیل شود و این امکان عمدتاً وجود دارد.

آقای ساعدی، در گذشته بانک‌ها از چه ابزارها یا روش‌ها یا استانداردهایی برای مانیتورینگ بهره می‌بردند؟

ساعدی: در ابتدا در تکمیل بحث‌های قبل باید گفت بلوغ یک کسب‌وکار در گرو کیفیت سرویس‌های آن است و اینجاست که شاخص‌های کارایی و کیفی اهمیت می‌یابند. در این خصوص، قوانین تنظیم مقررات نیز به‌شدت ناظر هستند. در حوزه رتبه‌بندی، الزاماتی وجود دارد و برای سرویس‌دهی نامناسب ارائه‌دهندگان خدمات حوزه پرداخت، جرائمی تعریف شده است. در این شرایط اهمیت مانیتورینگ شاخص‌های کیفی ملموس‌تر می‌شود.

هر کسب‌وکاری که بتواند توافق سطح سرویس (SLA) مناسبی؛ حتی با سطوح پایین منعقد کند، در سنجش کیفی موفق‌تر است. با استاندارد شدن و افزایش بلوغ کسب‌وکار، «سطح سرویس» کاملاً معنی و مفهوم پیدا می‌کند. کسب‌وکارهایی که به سمت بلوغ و استاندارد شدن حرکت می‌کنند، همگی نیازمند مانیتورینگ دقیق سطح کیفی سرویس‌های خود هستند.

اما در رابطه با اینکه تا پیش از این، بانک‌ها از چه روش‌ها و ابزارهایی برای مانیتورینگ عملیات بهره می‌بردند، باید گفت که هر کسب‌و‌کاری که یک سرویس را عملیاتی می‌کند، از روز نخست با مانیتورینگ و پایش آن سرویس سروکار دارد. هرچه سرویس‌ها و سیستم‌ها بزرگ‌تر شوند، دغدغه‌ها نیز افزایش می‌یابند و به همین دلیل هر کدام از بانک‌ها به‌ناچار از ابزارهای گوناگون برای مانیتورینگ بهره می‌گیرند. اما مسئله نبود مانیتورینگ عملیات در بانک‌ها نیست؛ بلکه مسئله این است که مانیتورینگ عملیات به‌طور عمده جزیره‌ای و به‌صورت تکه‌های مجزا از هم است.

محمد ساعدی، مشاور مدیرعامل شرکت بهسازان ملت

در حوزه امنیت از ابزارهای متفاوت استفاده می‌کنند. در حوزه کارایی و کیفیت سرویس نیز نرم‌افزارهای مختلفی تهیه یا توسعه داده شده و برای مانیتورینگ استفاده می‌شود. حتی در کانال‌های بانکی نیز، ابزارهای گوناگونی به کار می‌رود. بنابراین وقتی نگاه کنید، می‌بینید برای یک سرویس چندین نوع ابزار مانیتورینگ مختلف وجود دارد و همگی صحت عملکرد بخشی از سیستم را نشان می‌دهند، ولی تجمیع نشده و تحلیل جامعی از وضعیت سرویس ارائه نمی‌دهند.

به نکته بسیار مهمی اشاره کردید. از صحبت شما چنین برداشت کرده‌ام که تاکنون بانک‌ها و مؤسسات مالی بزرگ، مانیتورینگ داشته‌اند، ولی از لحاظ یکپارچگی ضعیف بوده‌اند. اهمیت این دو نکته در آن است که از حالت جزیره‌ای به سمت یکپارچگی برویم.

شمسایی: این یکپارچگی می‌تواند برایمان ارزش افزوده داشته باشد.

از آقای بنی‌هاشمی می‌خواهم که مفهوم یکپارچگی را تشریح کنند. اهمیت یکپارچگی در عملیات چیست؟ آقای ساعدی بخشی از اهمیت آن را توضیح دادند، ولی با ایجاد یکپارچگی در عمل چه اتفاقی می‌افتد؟

بنی‌هاشمی: تجربه 15ساله بنده در بخش بانک‌های اطلاعاتی و همچنین سروکار داشتن با سایر بخش‌های عملیاتی، محیط‌های توسعه و طراحی و محیط کسب‌وکار این امر را نشان می‌دهد که وقتی تعداد و تنوع کاربران و سرویس‌ها زیاد می‌شود، زیرساخت‌ها نیز پیچیده می‌شوند و نیاز به یکپارچگی پیچیده‌ای دارند.

در این شرایط باید تمام زیرساخت‌ها هماهنگ با یکدیگر کار کنند. ابزار مانیتورینگ در تمام حوزه‌ها لازم است. هر سازنده‌ای که تجهیزی را تولید می‌کند، برای آن یک ابزار مانیتورینگ خاص می‌سازد و گاهی مدل کسب‌وکاری آن سازنده طوری است که فقط از ابزار مانیتورینگ خود کسب درآمد می‌کند. چالش مهم ما این است که بین این ابزارها ارتباطی وجود ندارد و ما نمی‌توانیم به‌صورت یکپارچه، بر کل مجموعه نظارت کنیم.

وقتی در ارائه سرویس کسب‌وکاری مشکلی پیش می‌آید که ریشه آن در یکی از زیرساخت‌های فناوری اطلاعات آن است، پیدا کردن ریشه مشکل، امر بسیار پیچیده‌ای است؛ چراکه گاهی می‌بینیم اجزای سیستم به‌تنهایی خوب عمل می‌کنند، ولی در تعامل با یکدیگر مشکل دارند. گاهی قطعی در بخشی از شبکه داخلی یا اختلال در یک سرویس بیرونی، تمام عملکرد یک سرویس را مختل می‌سازد. اینجاست که یکپارچگی در مانیتورینگ عملیات و اهمیت آن معلوم می‌شود. سیستم نظارت یکپارچه، نظامی است که روی تمام اجزا نظارت دارد و در صورت رخداد یک مشکل، ما را به‌سرعت به ریشه مشکل می‌رساند.

آقای شمسایی، لطفاً راجع به ارزش افزوده یکپارچگی توضیح دهید.

شمسایی: یکپارچگی در مانیتورینگ دو ارزش افزوده ایجاد می‌کند. اولین ارزش افزوده، کاهش هزینه‌های مانیتورینگ است. وقتی تجهیزاتی را از برندهای مختلف خریداری می‌کنیم، گاهی مجبور به خرید ابزارهای مانیتورینگی می‌شویم که آن برندها را پوشش می‌‌دهند. این ابزارهای مانیتورینگ خارجی هستند و هزینه‌های دلاری بالایی بابت‌شان می‌پردازیم و چون عمده این ابزارهای مانیتورینگ پوششی صددرصد نسبت به برندهای مختلف ندارند، بنابراین مجبوریم تعدادی از آنها را به‌صورت جزیره‌ای برای مانیتورینگ همه تجهیزات موجود داشته باشیم و بابت به‌روزرسانی آنها نیز هزینه‌های مکرر بسیاری بپردازیم. این جزیره‌ای‌بودن در هر سه سطح فضای ابری یک کسب‌وکار مطرح است و تعداد ابزارهای مانیتورینگ مورد استفاده را افزایش می‌دهد.

ابوالحسن شمسایی، مدیرعامل شرکت «پایش‌افزار فناوران شریف» و مدیر ارشد توسعه محصول «معین»
ابوالحسن شمسایی، مدیرعامل شرکت «پایش‌افزار فناوران شریف» و مدیر ارشد توسعه محصول «معین»

وقتی ابزارهای مانیتورینگ متنوع باشند، مجبوریم اولاً برای خرید و به‌روزرسانی آنها هزینه بسیاری بپردازیم و ثانیاً به کارشناسان مانیتورینگ بیشتری برای کار با ابزارهای متنوع نیاز داریم و این مسئله هزینه عملیات را بالا می‌برد. در نتیجه وجود یک ابزار یکپارچه مانیتورینگ می‌تواند این هزینه‌ها را کاهش دهد.

ارزش افزوده دوم، تحقق تجمیع اطلاعات همه المان‌های دخیل در یک سرویس و امکان تحلیل یکپارچه آنهاست تا در صورت بروز مشکل در یک سرویس، منشاء خطا به‌سرعت و دقت بیشتری کشف و رفع شود. وقتی تمام اطلاعات استخراجی المان‌های فضای ابری یک کسب‌وکار را به شکل یکپارچه داشته باشیم، امکان تحلیل این داده‌ها (به نحوی که بتوانیم علاوه بر تشخیص خطا به سمت پیشگیری خطا هم برویم) وجود دارد. در حالت جزیره‌ای این اتفاق نمی‌افتد، چون داده‌های لازم برای تشخیص یا پیشگیری از مشکل در یک سرویس را در اختیار نداریم. اهداف ما در محصول جدیدی که توسعه می‌دهیم، همین است.

آقای ساعدی؛ آقای شمسایی به اهمیت کاهش هزینه اشاره کردند و اینکه چگونه یکپارچگی باعث کاهش مخارج دلاری، جامع‌شدن اطلاعات و پیشگیری از خطا می‌شود. برایمان در این‌باره بیشتر توضیح دهید که یک بانک یا یک مجموعه مالی چگونه با خرید سامانه و لایسنس شما هزینه‌های خود را کاهش می‌دهد؟ بالأخره بابت خرید این سرویس باید پولی بپردازند.

ساعدی: به نظر من اصلی‌ترین دغدغه صاحبان کسب‌وکار پایداری سرویس و حفظ برند کسب‌وکار است. هزینه‌ای که بابت خرید یک محصول مانیتورینگ یکپارچه پرداخته می‌شود، قابل قیاس با هزینه‌های ایجاد زیرساخت و تولید محصول نیست، ولی تأثیر مهمی در حفظ برند آن کسب‌وکار خواهد داشت. همچنین گاه صاحبان کسب‌وکار در بانک‌ها، هزینه‌هایی را خواه‌ناخواه به‌دلیل جرائم رگولاتوری می‌پردازند که با مانیتورینگ یکپارچه سرویس و تشخیص سریع مشکل و منشاء آن می‌توان این موارد را کاهش داد. نکته دیگر اینکه در حالت مانیتورینگ جزیره‌ای وقتی خطا رخ می‌دهد، زمان یافتن ریشه خطا و برگرداندن سرویس به حالت عادی به‌شدت بالاست.

بعضاً گزارش‌های کارشناسی در مدت طولانی تهیه می‌شوند. در دنیای فناوری اطلاعات این عبارت مشهور است که «به محض اینکه هر صاحب کسب‌وکاری به سازندگان اعلام کند که سیستم دچار خطا شده، سازندگان به او می‌گویند منابع سخت‌افزاری شما ضعیف هستند». بدین ترتیب، تمام تقصیرات را بر گردن سخت‌افزار می‌اندازند. با ابزار مانیتورینگ یکپارچه، می‌توان محل خطا و دلایل آن را دقیق‌تر و سریع‌تر مشخص کرد و حتی از هزینه‌های سخت‌افزاری بی‌مورد نیز جلوگیری کرد.

در حال حاضر بانک‌ها در زمان تراکنش‌های بالا و در هنگام پیک، با بیشترین خطا مواجه‌اند و مجبورند منابع اضافه اختصاص دهند، در حالی که با مانیتورینگ یکپارچه مناسب می‌توانند روند رشد استفاده از منابع سخت‌افزاری را درک کرده و منابع سخت‌افزاری بهینه را با هزینه پایین‌تر تأمین کنند.

آقای بنی‌هاشمی، با توجه به مواردی که آقای ساعدی و آقای شمسایی درباره کاهش هزینه و تمام مزایای مانیتورینگ یکپارچه گفتند، بهتر است از بحث راجع به بانک ملت فراتر برویم و کاربرد سامانه معین را در بانک‌های دیگر مثل تجارت، صادرات یا حتی بانک‌های کوچک‌تر بررسی کنیم. فرض کنید یکی از آن بانک‌ها با مشکلاتی که گفتید مواجه باشد و سامانه شما بتواند مشکل او را حل کند.

در این صورت به چه دلیل ممکن است که نخواهد به سراغ سامانه معین بیاید؟ چرا از شرکت‌های خارجی یک سیستم یکپارچه مشابه را تهیه نکند؟ چرا به سمت شرکت‌های دیگری نمی‌رود که همین سامانه‌های مانیتورینگ را برایش فراهم می‌کنند؟ مزیت رقابتی سامانه معین چیست که کسب‌وکارها به نفع‌شان است که به سراغش بیایند؟

بنی‌هاشمی: نقطه قوت سامانه مانیتورینگ معین که باید بر آن تأکید کرد، این است که ما می‌توانیم یک کسب‌وکار را با زیرساخت‌ها و فناوری‌های زیرمجموعه آن به‌صورت یکجا مانیتور کنیم. ابزارهای مانیتورینگ برای زیرساخت‌ها، فراوان هستند و همگی بدون استثنا خارجی و متأسفانه قفل‌شکسته هستند. تحریم‌ها، نبود نمایندگی فروش، نبود پشتیبانی، نبود مستندات استقرار و هزینه‌های ارزی، مشکلات زیادی را برای تهیه یک نسخه مناسب ایجاد کرده است.

از سوی دیگر به فرض اینکه تحریم‌ها وجود نداشته باشد و بتوانیم ابزارهای خارجی را به‌راحتی بخریم؛ با مطالعه ابزارهای مانیتورینگ خارجی رایج در ایران فهمیدیم که در هیچ‌کدام از آنها چیزی به نام «مانیتور کردن سرویس به‌صورت یکپارچه» وجود ندارد. ما می‌خواهیم کل کسب‌وکار را یکجا مانیتور کنیم، یعنی المان‌های زیرساختی تشکیل‌دهنده سرویس‌های یک کسب‌وکار را در یک سامانه با واسط کاربری مناسب تعریف و ارتباطات بین آنها را وارد کنیم و یک گراف از المان‌ها و سرویس‌های آن کسب‌وکار تشکیل دهیم تا بتوانیم ساختار زیرساخت فناوری اطلاعات آن کسب‌وکار و وابستگی بین آنها و سرویس‌ها را مشخص سازیم. این‌گونه است که وقتی مشکلی در یک سرویس به وجود می‌آید، سامانه معین با رهگیری این گراف می‌‌تواند به ریشه دقیق مشکل برسد.

از طرفی تمام دوستان حوزه فناوری اطلاعات می‌دانند که ابزار سولارویندز به‌عنوان یکی از قوی‌ترین نرم‌افزارهای مانیتورینگ در دنیا شناخته می‌شود، ولی در یک ماه اخیر توسط هکرهای روسی هک شد. سازمان‌های آمریکایی به خاطر اینکه اطلاعات آنها در دست رقیب‌شان قرار گرفته، متحمل هزینه فراوان شده‌اند. اگر ما این ابزار را از خارج می‌خریدیم با چالش امنیتی مواجه بودیم.

با توجه به موقعیت ایران، حتی اگر پول داشته باشیم و تحریم هم پیش نیاید و به‌راحتی بتوانیم لایسنس بخریم، در مورد چالش‌های امنیتی مربوط به نرم‌افزارهای خارجی چه ‌کاری می‌توانیم انجام بدهیم؟ اگر تمام زیرساخت‌های مالی یک مؤسسه مالی را هک کنند و اطلاعات را بردارند، چه کاری از دست‌مان برمی‌آید؟

پرسیدید که چرا مؤسسات مالی باید به سمت «معین» بیایند. الان ما نمی‌توانیم ابزارهای مانیتورینگ خارجی را به‌صورت رسمی و از تولیدکننده اصلی بخریم و اگر هم بخریم با چه اطمینانی از آنها استفاده کنیم؟ متأسفانه در ایران از سولارویندز به‌صورت قفل‌شکسته برای مانیتورینگ زیرساخت به‌صورت گسترده استفاده می‌شود و این خطر را در بسیاری از جاهای مملکت و دیتاسنترها به وجود می‌آورد که در آنها نفوذی صورت گیرد. سامانه معین مشکل تحریم، مشکل لایسنس و مشکلات امنیتی را به‌صورت یکجا پوشش می‌دهد و پشتیبانی قوی ارائه می‌کند.

با توجه به اینکه بحث امنیت را مطرح و یک نمونه هک‌شدن را ذکر کردید؛ آیا شما تضمین می‌دهید که معین به هیچ‌وجه قابل نفوذ نباشد و ملاحظات امنیتی آن 100 درصد قابل اتکا و اعتماد باشد؟ می‌دانید که امنیت یک موضوع نسبی است. وقتی مقایسه می‌کنید این حس به وجود می‌آید که ابزار خود را غیرقابل نفوذ می‌دانید.

بنی‌هاشمی: هنوز کسی پیدا نشده که ادعا کند «محصول ما به هیچ‌وجه قابل نفوذ نیست». در واقع کسی نمی‌تواند چنین ادعایی کند، ولی وقتی یک محصول در داخل کشور تولید می‌شود، کدهای آن موجود است و می‌توان امنیت آن را ارزیابی و بهینه و حتی سفارشی‌سازی کرد. وقتی یک محصول خارجی می‌آوریم، هیچ اطلاعاتی از امنیت آن نداریم. در این شرایط چگونه می‌خواهید امنیت آن را بپذیرید، در حالی که امنیت سیستمی که در کشورتان تولید شده و قابل ارزیابی است را قبول نمی‌کنید؟ در حوزه نرم‌افزار نمی‌توان ادعا کرد که خارجی‌ها بهتر از داخلی‌ها هستند. شاید در مورد محصولات سخت‌افزاری این ادعا را بتوان مطرح کرد، ولی در عرصه نرم‌افزار این‌گونه نیست.

سیدرضا بنی‌هاشمی، معاون معاون مدیرعامل در امور بانک‌های اطلاعاتی
سیدرضا بنی‌هاشمی، معاون معاون مدیرعامل در امور بانک‌های اطلاعاتی

شمسایی: می‌دانیم که امنیت مطلق وجود ندارد. در مقابل هک و نفوذ، یک راهکار، پیشگیری قبل از وقوع است و یک راهکار، درمان پس از وقوع است. برای محصول معین که به‌طور کامل در داخل تولید شده، این امکان وجود دارد که تا جایی که ممکن است امنیت را در تعامل با مشتری سفارشی‌سازی کرد تا بتوان از وقوع هک و نفوذ جلوگیری کرد و اگر هم در هر جایی از سیستم هک و نفوذ اتفاق افتد، پاسخگوی مشکلات احتمالی آن بود و راهکار و پشتیبانی لازم را ارائه داد. به همین منظور، در سامانه معین با المان‌های فضای ابری، تا حد امکان بدون نصب برنامه‌ای (عامل) در سمت آن المان ارتباط برقرار می‌شود و با حداقل دسترسی مانیتورینگ می‌شوند تا مدیران آن المان‌ها و سامانه‌های موجود از عدم احتمال هر گونه نقض امنیت از جانب سامانه معین اطمینان یابند.

این یکی از مزایای رقابتی محصول معین است، اما مزیت رقابتی اصلی معین این نیست. سامانه مانیتورینگ معین با شعار «مانیتورینگ هوشمند خدمات» آمد و نگاه بالا به پایین دارد. نگاه اکثر محصولات دنیا «پایین به بالا» است؛ یعنی بیشتر به این می‌پردازند که «چه ابزارهایی دارید؟» و سپس تک‌تک آنها را مانیتور می‌کنند. نگاه بالا به پایین کاملاً متفاوت است؛ به سرویس نگاه می‌کند و می‌خواهد بداند یک سرویس که از بسیاری ملزومات نرم‌افزاری و سخت‌افزاری تشکیل شده، آیا در سطح کلان به‌طور مطلوبی کار می‌کند یا خیر؟ این نگاه به‌خصوص زمانی اهمیت می‌یابد که بخواهیم از نسل هزاره به سمت «نسل زِد» برویم که به خدمات الکترونیکی عادت داشته و تحمل تأخیر و خرابی در این خدمات را ندارند و به هیچ برندی پایبند و متعهد نمی‌مانند. برای نسل جدید باید تدبیری اندیشید.

یکی از تدابیر مهم این است که همیشه سرویس را یک موجود پیچیده و درهم‌تنیده از المان‌های مختلف لایه‌های مختلف فضای ابری ببینیم و آن را به‌صورت یکپارچه مانیتور کنیم و از صحت و سلامت عملکرد آن مطمئن شویم. سامانه معین به‌دلیل نگاه بالا به پایین خود، امکان تعریف و مانیتورینگ یک سرویس به‌صورت یک موجود پیچیده و درهم‌تنیده از المان‌های مختلف را فراهم می‌کند. مزیت رقابتی اصلی ما نیز همین نگاه متفاوت است. البته وجود پشتیبانی و امکان سفارشی‌سازی هم از سایر مزایای رقابتی ما نسبت به محصولات خارجی محسوب می‌شود.

ساعدی: به این نکته دقت کنیم که دغدغه اصلی، نگاه بالا به پایین نسبت به سرویس‌ها در کسب‌وکارهاست. تاکنون چنین نگاهی در مانیتورینگ عملیات وجود نداشته است. همچنین در سامانه معین، شناخت خوبی از نیازمندی‌های مانیتورینگ داخل کشور حاصل شده و مطالعاتی در این حوزه مرتب در حال انجام است.

شمسایی: توجه داشته باشید که در سامانه معین، امکان مانیتورینگ کسب‌وکار و مانیتورینگ عملیات به‌صورت توأمان وجود دارد. به عبارتی مدیران کسب‌وکارها می‌توانند با کمک معین، پارامترهای کسب‌وکاری را استخراج کرده و داشبورد‌های هوش تجاری ایجاد کنند و متخصصان بخش عملیات هم می‌توانند توسط معین، سامانه‌ها و تجهیزات سخت‌افزاری و نرم‌افزاری زیرساختی آنها را مانیتور کنند.

فکر کنید مدیرعامل یا تیم تصمیم‌گیرنده یک بانک با اطلاعاتی که می‌بینند و جلساتی که با شما می‌گذارند، متوجه می‌شوند سامانه معین همان چیزی است که می‌خواهند و جواب نیازشان را می‌دهد. در مرحله آخر یک مانع آنها را به تردید می‌اندازد: «سامانه معین مال چه کسی است؟ آیا به بانک ملت تعلق دارد یا بهسازان یا یک کنسرسیوم؟ چه نگاهی باید به آن داشته باشند؟». این سؤال می‌تواند ذهن آنها را کمی اذیت کند.

بالأخره بازار رقابتی است و به خودشان می‌گویند «مبادا دیتای ما از طریق معین به بانک رقیب برود یا از آنجا رصد شود». این نگرانی‌ها زیاد هستند و معمولاً شرکت‌های وابسته به بانک به‌سختی می‌توانند به بانک‌های دیگر محصول بفروشند. در مورد بعضی محصولات می‌بینیم که بانک‌ها ترجیح می‌دهند نمونه‌های ضعیف‌تر را از شرکت‌های مستقل بخرند، ولی نمونه‌های قوی را از شرکت‌های وابسته به بانک نگیرند.

شمسایی: بانک ملت یکی از مشتریان ماست. «بهسازان ملت» به‌عنوان زیرمجموعه این بانک، نیاز به این محصول را احساس کرده و به میدان آمده و این محصول را حمایت کرده است. در فرایند توسعه محصول دو مجموعه بیرونی که عمدتاً از نخبگان دانشگاه شریف هستند با هم این محصول را تولید کرده‌اند. این دو مجموعه از قبل دانش لازم را در این حوزه داشته‌اند و در این عرصه قدم گذاشته‌اند و برای فرایندهای توسعه‌شان به یک مشتری با امکانات و تجهیزات نیاز داشتند که خودشان قادر به تهیه آنها نبودند؛ پس در استراتژی این دو شرکت حتماً باید یکی از ارائه‌دهندگان خدمات و سرویس‌های الکترونیکی که هر سه لایه فضای ابری را در اختیار داشته باشد، وارد مشارکت می‌شد که این قرعه به نام بهسازان ملت افتاد. از طرفی بهسازان ملت خود نیز مأموریتی در حوزه مانیتورینگ داشت و خودش می‌دانست که نمی‌تواند نیازهایش را با محصولات دیگر برطرف کند؛ پس در قالب یک قرارداد، بخشی از هزینه‌هایی توسعه محصول را پرداخت کرد و پذیرفت که زیرساخت خودش را جهت تست و توسعه معین در دسترس  آن مجموعه قرار دهد.

در نتیجه این مشارکت، شرکت جدیدی در شرف تأسیس است که سهام‌دار عمده آن، دو شرکت مستقل و دانش‌بنیان «پایش‌افزار فناوران شریف» و «دانش‌افزار نارون شریف» هستند. یکی از نکات مهم این مشارکت برای ما آن است که ما انتخاب کردیم که اولین مشتری ما سخت‌ترین مشتری ما باشد. بعید می‌دانم در ایران مشتری دیگری داشته باشیم که از لحاظ امکانات و تجهیزات در مقیاس بالاتری از بانک ملت باشد؛ حداکثر ممکن است سایر بانک‌ها و سازمان‌های مبتنی بر فناوری اطلاعات هم در مقیاس بانک ملت باشند. دلیل ما از این انتخاب، همین مقیاس بالای تجهیزات و امکانات زیرساختی بانک ملت بوده و به نظر من این مورد می‌تواند نقطه قوت ما در ارائه و فروش این محصول باشد.

ساعدی: به نظر من پایش سرویس یکی از اصلی‌ترین دغدغه‌ تمامی سرویس‌دهندگان یک کسب‌وکار است، چون می‌خواهند تکریم مشتری و پایداری سرویس را با ارتقای خدمات خود بر مبنای سنجه‌های کیفی همراه کنند. از سنجه‌های زمانی گرفته تا سایر سنجه‌های کیفی همگی نیازمند پایش هستند. همان‌طور که عرض کردم، مجبوریم منابع خود را برای پیک تراکنش آماده کنیم و خدمات پشتیبانی برایش قرار دهیم، در صورتی که اگر سامانه مانیتورینگ خوبی برای یک سرویس داشته باشیم و سرویس را درست پایش کنیم، در عین حال که منابع بهینه می‌شوند، قبل از اینکه با خطا مواجه شویم، منابع را ارتقا می‌بخشیم. با داشتن مانیتورینگ جامع، هزینه پشتیبانی به‌شدت کاهش می‌یابد.

بنی‌هاشمی: شاید خوب باشد که در پایان بر اهمیت سه نکته شامل امکان سفارشی‌سازی، امکان پشتیبانی و فراهم‌شدن شفافیت با سامانه مانیتورینگ معین تأکید کنم. به‌عنوان یک کارشناس بانک‌های اطلاعاتی که بخشی از عملیات بانک ملت را مدیریت می‌کنم، این مشکل را زیاد می‌بینم که حتی اگر قوی‌ترین نرم‌افزار مانیتورینگ را انتخاب و راه‌اندازی کنید، باز هم به خاطر تنوع سرویس‌ها، نیازمند ابزارهایی خواهید شد که در هیچ ابزار آماده‌ای وجود ندارد و مختص خودتان هست. در محصول معین امکان تهیه مانیتورینگ سفارشی برای سازمان‌‌های مختلف مهیاست.

مسئله دیگر مربوط به پشتیبانی در استقرار سیستم مانیتورینگ است. در سازمانی مثل بانک یا مؤسسات مالی نسبتاً بزرگ، استقرار سیستم‌های جدید مانیتورینگ بسیار پیچیده است. وقتی راهبران سیستم بسیار متنوع هستند و سلایق و سبک‌ها و نگاه‌های مختلف دارند، در هنگام مهاجرت از سیستم‌های فعلی به سامانه‌های جدید یکپارچه، وجود پشتیبانی سامانه معین بسیار راهگشاست. ما برای یکپارچه‌سازی و استقرار کامل سیستم مانیتورینگ از نیروهای پشتیبان سامانه معین استفاده کردیم و توانستیم به نگاه واحدی درباره مانیتورینگ برسیم.

یکی دیگر از اهداف سیستم معین ایجاد شفافیت در سطوح بالاتر سازمانی است. اگر مشکلی در یک زیرساخت وجود دارد که یک سرویس را متأثر کرده، مدیران ارشد باید بتوانند مطلع شوند و نیروی انسانی نتواند جلوی مطلع‌شدن آنها را بگیرد. در یک سامانه یکپارچه امکان شفافیت برای مدیران ارشد مهیاست. در نهایت به بعضی قابلیت‌ها که مختص معین است تیتروار اشاره می‌کنم: امکان مانیتورینگ تجهیزات و ابزارهای برند IBM توأم با سایر برندها، امکان دسترسی به همه امکانات به واسطه وب و بعضی امکانات به واسطه دسکتاپ و موبایل، امکان تشکیل واحدهای مانیتورینگ مستقل با مدیریت مستقل و استقلال در واحدها و کاربران، امکان اتصال به سامانه‌های خارجی سازمانی و شبکه‌های اجتماعی، امکان مقیاس‌پذیری عرضی با فناوری داکر در بخش جمع‌آوری داده تا 10 هزار تجهیز، استفاده از فناوری‌های داده‌های حجیم جهت نگهداری تاریخچه داده‌ها و آنالیز آنها، امکان داشبوردسازی از لایه زیرساخت تا لایه کسب‌وکار برای کاربران (از سطح راهبر تا سطح مدیران ارشد سازمان)، نگاه سازمانی در محصول مانند تعریف واحدهای مانیتورینگ، شیفت و کاربران شیفت، امکان دریافت گزارش‌های متنوع پیش‌ساخته و ساخت گزارش‌های دلخواه و در نهایت امکان استفاده از تیکتینگ داخلی یا اتصال به تکتینگ خارجی.

بنی‌هاشمی: هنوز کسی پیدا نشده که ادعا کند «محصول ما به هیچ‌وجه قابل نفوذ نیست». در واقع کسی نمی‌تواند چنین ادعایی کند، ولی وقتی یک محصول در داخل کشور تولید می‌شود، کدهای آن موجود است و می‌توان امنیت آن را ارزیابی و بهینه و حتی سفارشی‌سازی کرد. وقتی یک محصول خارجی می‌آوریم، هیچ اطلاعاتی از امنیت آن نداریم. در این شرایط چگونه می‌خواهید امنیت آن را بپذیرید، در حالی که امنیت سیستمی که در کشورتان تولید شده و قابل ارزیابی است را قبول نمی‌کنید؟

شمسایی: می‌دانیم که امنیت مطلق وجود ندارد. در مقابل هک و نفوذ، یک راهکار، پیشگیری قبل از وقوع است و یک راهکار، درمان پس از وقوع است. برای محصول معین که به‌طور کامل در داخل تولید شده، این امکان وجود دارد که تا جایی که ممکن است امنیت را در تعامل با مشتری سفارشی‌سازی کرد تا بتوان از وقوع هک و نفوذ جلوگیری کرد و اگر هم در هر جایی از سیستم هک و نفوذ اتفاق افتد، پاسخگوی مشکلات احتمالی آن بود و راهکار و پشتیبانی لازم را ارائه داد.

بنی‌هاشمی: به فرض اینکه تحریم‌ها وجود نداشته باشد و بتوانیم ابزارهای خارجی را به‌راحتی بخریم؛ با مطالعه ابزارهای مانیتورینگ خارجی رایج در ایران فهمیدیم که در هیچ‌کدام از آنها چیزی به نام «مانیتور کردن سرویس به‌صورت یکپارچه» وجود ندارد. ما می‌خواهیم کل کسب‌وکار را یکجا مانیتور کنیم.

منبع ماهنامه عصر تراکنش شماره ۴۲
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.