运维管理保障体系范文
发布时间:2024-04-22 15:31:40
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的5篇运维管理保障体系范例,将为您的写作提供有力的支持和灵感!
篇1
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)09-2028-03
大多企业经过十余年的信息化发展,大规模的信息化建设基本完成,即将面临着长期的系统运行维护的问题。但与信息系统建设的较高水平相比,还普遍存在IT服务管理较弱的问题,缺乏有效的管理手段与方法,这就使信息化的投入充满了很大的不确定性,也使信息化效果很难控制。因此,如何对企业庞大的技术系统进行科学、高效的管理,从而发挥它的最大效能,降低运营成本,是当前企业信息化过程中必须面对的挑战。
1 三套标准在运维体系中的适用性分析
ISO9000质量管理体系标准在各企业和单位中的运用非常广泛,是对整个单位运作、服务过程进行质量控制管理的体系,通过质量手册、文件控制、记录控制等方面为管理对象的实施提供指导,侧重于对宏观运作流程的控制,但不包括各专业业务层面的特定要求。
ITIL作为一种以流程为基础、以客户为导向的IT服务管理指导框架,它摆脱了传统IT管理以技术管理为焦点的弊端,实现了从技术管理到流程管理,再到服务管理的转化,适用于IT服务管理和服务流程的控制。
等级保护管理体系是对信息系统的科学、安全运行进行监督和控制的体系,从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面为信息安全专业层面提供指导,适用于运作流程中各节点的安全控制。其中的保护等级划分,也为信息安全投入和安全保障水平提供了平衡点。
对于已经实施ISO9000的单位,信息化职能部门在ISO9000贯彻实施时往往与自身信息化业务无法融合,即便进行了融合也常以信息化的一般性运维工作为主,没有考虑规范化安全运维工作在整个单位和组织质量控制体系中的重要性。因此将ITIL、等级保护思路与ISO9000融合,即可具体落实ISO9000体系中的流程控制,也可以弥补等级保护在体系要求、文件控制和记录控制等方面的薄弱环节,同时完善ISO9000体系中对信息安全领域的专业性,最终形成以质量管理体系为框架,ITIL流程控制为主线,等级保护管理标准为保障的综合运维保障体系。
2 规范运维保障体系架构设计与文件体系建设
结合三套标准的特点进行运维管理架构设计时,在体系结构层面要考虑运维体系的建设周期、各标准在运维体系中所处的层次、每个层次要达到的要求及PDCA方法论等。在服务流程层面要考虑结合企业的现状,IT服务支持模式和管理流程及最佳实践等。在具体操作层面要考虑响应方式、实现工具、安全要求、监控方法等。将三大标准体系体系结构层面设计:在整个运维生命周期中,包括运维体系建设、运维支持管理、运维成效管理及运维持续改进四个阶段。这四个阶段形成一个PDCA持续改进的管理循环。通过建立检查、反馈机制,对信息安全管理体系运行情况进行监督和控制,建立动态调整机制,确保信息安全管理体系符合新形势、新技术发展要求。
服务流程层面设计:系统运维的服务流程是信息化工作部门和服务供应商向业务部门的服务交付和支持过程,通过建立“一站式”的服务台和规范的流程程序,提高IT部门对事件的响应能力和IT运维工作的规范性,防范手工方式出现对用户请求的遗忘,以及非规范的操作引起的系统风险,同时要帮助信息化工作部门实现运维知识的积累和共享,提升运维和管理的整体水平。
具体操作层面设计:在系统运行维护中,各项工作(事件、变更等)的处理程序、操作步骤、完成时限及服务要求等,均要制订相应的标准和规范,在涉及安全管控点时,可通过建立符合信息系统等级保护要求的安全配置基线,统一信息系统建设和运行技术配置标准。
按照上述三个层面之间的关系,落实到文件体系中时,可以质量管理体系为总体框架,将体系文件分为三个级别:一级程序文件为纲领性文件,用于描述整个体系架构运作流程和运维方针策略。主要包括信息化建设与管理程序,信息系统运维管理程序,涵盖信息化建设与运维全过程。二级程序文件按ITIL流程管理为主线,为一级程序提供可操作的流程化文件。主要包括:项目管理、事件管理、问题管理、配置管理、管理、变更管理、应急管理等流程。三级流程涉及具体操作规范,落实二级流程文件中涉及的各方面运维和安全管理内容。主要包括:沟通管理、授权与审批管理、文件规范性管理、介质管理、资产管理、网络管理、系统管理、安全事件与应急管理、备份与恢复管理等方面。记录表单为实际运维过程的记录。各级文件组成结构如图2所示。
文件体系是运维体系架构的管理体现,是管理落地的基础,也要运用PDCA管理。
3 规范运维保障体系ITIL流程设计
要想管理体系得到贯彻执行,就要对规范化运维流程进行科学有效的设计。因为流程是管理的终端,主要解决的是管理固化问题。而ITIL作为事实上的国际标准,基本与组织性质和业务性质无关,仅明确指出应该“做什么”,但不讲“如何做”。因此流程设计时还要结合企业的现状,本着一切从实际出发的原则,考虑企业对IT服务管理的切身需求,按照最佳实践和企业的实际设计出的合理的IT服务支持模式和管理流程,建立自己的方法论。
在具体的规范流程设计过程中,首先要考虑的是人员岗位职责。应用服务管理之后,IT部门的组织架构、职能、工作方式都会随之发生一定变化。建立规范的流程,需要确定IT支持人员和管理人员的职责,通过流程角色的设置,而不是单纯依靠组织结构的设置来把角色和职务分开。同时制定配套的人员角色和职责及考核机制,以实现对人员的量化管理和资源的有效利用。
其次是确定提供服务的管理流程。在ITIL中已归纳为服务级别管理、IT服务财务管理、能力管理、IT服务持续性管理和可用性管理5个服务管理流程。这些管理流程用于解决“客户需要什么”、“为满足客户需求需要哪些资源”、“这些资源的成本是多少”、“如何在服务成本和服务效益(达到的服务级别)之间选择恰当的平衡点”等问题,服务提供所包括的这5个核心流程均属于战术层次的服务管理流程,用以确定服务级别协议及满足服务要求所需要的最优资源,也就是说如何做正确的事。
再次是确保用户得到适当的服务支持以保障组织业务功能。服务支持流程体现服务接触和沟通的5个运作层次的流程,即事件管理、问题管理、配置管理、变更管理和管理。这5个服务管理流程的主要职能是,确保IT服务提供方所提供的服务质量,符合服务级别协议(SLA)的要求,即如何正确的做事。ITIL核心流程之间的层次关系如图3所示。
最后是引入服务台、服务连续性管理等流程自动化工具,以系统工具来固化流程,再不断完善流程。同时要关注工具之间的联动和信息整合,如果可能,尽早的进行统一的规划,建立集成规范要求,以保证投资在未来得到充分保护,不被浪费。
所以,ITIL的应用过程和效果的获得,不是简单的单纯通过项目建设能够达到的,是企业信息中心部门、咨询服务提供商、产品提供商等多方共同努力的结果,也是一个持续改进、不断优化的长期过程。
4 构建信息系统等级保护为基础的防护体系
保障体系要结合管理体系和ITIL流程,落实安全技术及管理要求。可依据分级、分域、分区、分层的防护原则,对运维的信息系统按级别划分安全区域进行管理,各安全域划分为网络边界、网络环境、主机系统及应用环境四个安全层次,最后形成纵深防御体系。
在技术上可通过强化边界访问控制、规范网络访问行为、强制主机管理、构建应用授权和身份认证平台、加强审计监控等措施构建协同防御。每个安全保护部件或设备应具有安全保护功能独立完整、调用接口简洁、与安全产品相对应和易于管理等特征,在后期综合运维服务与监控平台集成建设中能够保障数据的共享和协同防御。在管理上通过建立综合运维服务与监控平台。将机房环境监控系统、网络管理系统、性能监测与管理系统、入侵防御系统等监控与管理的系统告警和性能监测数据进行整合,梳理各个资源之间的告警关系,进行集中监控告警模型设计,并可进行工具产品的客户化定制,实现集中监控管理和指挥控制,为运维体系安全运行提供全面的管理保障。
5 规范运维保障体系实施路线
在实施阶段,要考虑若一次性全部实施所有流程带来的风险,可采用分阶段实施的方法,做到稳步推进,以便取得良好效果。大致可分为前期准备阶段,全面试运行阶段,正式运行及扩展阶段,综合优化调整阶段。
1)前期准备阶段
明确参与运维工作人员的岗位职责,做到权限分离。开展等级保护测评并根据等级保护要求制定安全配置基线及相关操作规范。根据等级保护测评结果,按照分级、分域、分区、分层原则制定安全技术基础平台整体解决方案,在管理与技术上提供安全依据。试运行ITIL运维管理五大流程,检验工作流程的可操作性。梳理清楚管理对象,完善资产配置管理,确定运维管理的范围。
2)全面试运行阶段
全面开展规范化运维工作,在运维平台中体现所有运维工作并力争全员参与,做到运维职责明确,流程处理程序规范,操作标准,过程有痕迹并制定合理的绩效考核方案。在日常运维工作中查找不足,提供改进意见,不断完善质量目标文件、流程体系文件和操作手册。充分发挥知识库作用,将常见问题解决方法进行归纳总结并上传至知识库,做到知识共享。同时实施完成安全技术基础平台,实现安全管理中心与运维平台互联互通问题,保证安全要求融入运维流程中。
3)正式运行及扩展阶段
全面运行完善后的ITIL运维管理五大流程,结合ISO20000相关运维标准,构建信息化运维服务运维服务体系,规范化、标准化、痕迹化运维管理工作。运用PDCA过程,进一步细化调整管理体系,总结体系运行情况,调整不适用和无法落实的部分,使之能高效、有序的运作。同时定期通过第三方机构对已测评的信息系统开展等级保护复评,找出所有系统的安全隐患,并提出整改方案和实施计划,督促信息安全措施的落实。
4)综合优化调整阶段
总结前期的规范化运维工作,调整不适用的部分,常态化的管理体系运作。定期进行内部评审,找出与当前工作的不适用部分进行优化调整;同时在工作中,结合工作实际,寻求更高效安全的方法优化体系,提高体系的效能。
综合上述实施阶段,确定实施路线图如图4所示。
篇2
那么,出现这些问题的根源是什么呢?我们早就知道,建设安全系统不仅仅是技术问题,也是管理问题。而信息安全服务的主要目标就是更好的支撑IT应用系统的效果和效率,也就是说,信息安全的主要目的是通过信息安全管理体系、技术体系以及运维体系的综合有效建设,让IT应用系统能够达到更好的运营效果以及更高的效率。而如何综合而有效的建立信息安全保障体系,成为了摆在每个企业面前的课题。
合规是重中之重
信息安全标准是确保信息安全产品和系统在设计、研发、生产、建设、使用和测评过程中保持一致性、可靠性、可控性、先进性和符合性的技术规范和依据,其不仅关系到国家的信息安全,也是保护国家利益、促进产业发展的一种重要手段,同时更是信息安全保障体系中的重要组成部分,是政府进行宏观管理的重要依据。
我国在这方面虽然起步较晚,但也制定了一批符合中国国情的信息安全标准,同时在一些重点行业还颁布了一批信息安全的行业标准,尤其是国家等级保护制度和分级保护制度是我国在进行信息安全保障体系建设中的重要依据。
因此,企业只有在信息安全保障体系建设过程中依据相关标准进行合规性分析,通过安全风险评估,然后比对相关标准中所涉及的技术要求、管理要求、测评要求,才能明确得出建设的方向和重点,了解目前系统中存在的问题和改进的方法,同时明确在管理、部署和运维过程中信息安全管理的相关制度、流程和需要持续改进的目标。
此外,相关标准还为企业明确了进行信息安全保障体系建设的方法,只有遵循这种方法才能做到“有法可依、有章可循”。
安全咨询是桥梁
前面提到,信息安全建设的主要目的是让IT应用系统能够达到更好的运行效果,并提高系统的运行效率,也就是说,要让信息安全保障体系成为IT应用系统的有效支撑。然而,不同政府或企业的具体业务环境和流程各不相同,所以也不是每个政府或企业都可以使用一个统一的模板。不同的组织在建立与完善信息安全保障体系时,必须根据自己的业务特点和具体情况以及IT应用的实际情况,采取不同的步骤和方法。此外,还要注意,信息安全不仅涉及安全管理和技术层面的问题,还会涉及到治理机制、业务流程、人员管理、企业文化等内容。
这就使得,企业要运用风险的方法来决定信息安全体系建设的目标和步骤。这个过程实际上是需要专业资深的安全服务人员对目标的业务特点、IT应用实际情况和具体管理方式进行现场调研、符合性分析、相关的风险评估等操作的,尤其是对关键业务应用的深入了解和分析,只有这样才能与标准比对形成安全基线和框架参考。
而且,在建设过程中,还要不断与相关负责人(决策人员、安全管理员、网络安全维护人员)进行深入沟通,以便发现安全隐患、找出关注重点,并提出有效的策略建议,最终才能运用风险的方法来决定体系建设的目标和步骤,并一步一步实施完成。通过这一点我们不难看出,信息安全咨询贯穿于整个信息安全体系建设的过程中,是联系实际需求和建设目标的桥梁。
实际落地是关键
信息安全技术体系是利用技术手段实现了技术层面的安全保护,是整个信息安全保障体系中非常重要的一部分。很多政府和企业都部署过一些技术防护手段,但这些防护手段是不是符合相关标准和关键业务的需求,是不是把风险控制到了一个可控的水平,我们就不得而知了。
因此,在信息安全保障体系建立过程中,一定要依照标准来选择技术防护手段,同时实现技术手段的落地是关键。而要实现技术手段的落地,就要兼顾以下几点:选择的技术产品要满足政府或企业实际环境、IT应用和管理流程制度等客观条件;选择的技术产品要具有易维护、管理简便的特点,并要能够保持先进性;选择的技术产品要能够满足应用变化的需要,并适应技术的不断发展。即保障可用性、适用性和持续性。
安全意识是必须
在很多政府部门和企业中普遍存在这样一个问题,仿佛信息安全只是IT部门的事情,其他业务部门大多采取了“事不关己,高高挂起”的态度,这势必会造成安全天天喊,但是总没有明显效果的局面。
可以说,建设信息安全保障体系是企业内的一次“安全革命”,通过培训,不仅仅要让每个人都提高对安全事件处理的管理水平和技术水平,更重要的是让每个人都拥有“信息安全人人有责”的意识。
同时,这场“安全革命”给企业带来了新的知识和管理模式,企业必须通过培训将整个信息安全保障体系的相关知识转移到每位员工身上,让他们对整个体系逐步达到从接受到适应,再到最终掌握。只有这样才能让整个信息安全保障体系真正应用起来,并真正起到效果。
篇3
中图分类号:TP309 文献标识码:A 文章编号:1674-098X(2016)12(b)-0100-02
电力公司的安全防护体系根据省、市、县安全防护不同层面防护要求各有侧重、相互支撑、互为补充。根据各信息系统重要程度设计安全防护体系“三横四纵”的总体架,建立信息安全防护体系。
1 信息安全防护策略设计目标
信息安全保障体系的建设紧紧围绕安全管理、安全技术和安全运维3个方面,在每个方面都有相应的具体目标。达到这个目标就能为综合服务平台构建一个多层次、多角度的立体纵深防御体系。
安全管理的建设目标:
确定安全组织和责任划分,确定安全策略,确定信息资产分类和分级。
实现安全变更管理、安全补丁管理、安全备份管理、应急响应计划、业务持续性计划、安全核心流程。
安全培训与教育、安全控制要求:
对信息资产进行风险评估,达到ISO27001管理标准。
安全技术的建设目标:
根据业务需求划分不同的安全域,安全边界进行防护。
实现安全系统强化功能、建立网络和主机入侵检测机制、实现高危数据加密传输、关键系统的日志审计、建立病毒防范体系、建立身份认证体系、访问控制体系、远程访问安全机制。
建立数据安全存储体系、时间同步机制、集中安全审计体系、安全事件管理平台。
安全运维的建设目标:
建立定期风险评估机制。
定期对日志进行审计、定期进行渗透测试。
完善安全信息上报机制、定期对安全策略和标准进行评估和修订。
显示安全的运维外包。
2 电力信息安全建设体系内容
电力信息系统信息安全保障体系采用了“三横四纵”的总体架构,即横向上分为3个层次,分别为应用层、技术层、管理层;技术层次中纵向又分为4种主要体系,即以基础安全服务设施、数据安全保护、网络接入保护、平台安全管理为支柱,信息安全基础设施为基础,通过信息安全管理体系为业务应用提供可靠的安全保障。
一是应用层。这是安全保障体系的主要对象。信息化建设的终极目标是提供给用户好用、易用、够用的应用系统,应用系统是为了满足不同用户的不同业务需求,安全保障体系保障的核心就是应用系统及其数据。
二是技术层。这是信息安全保障体系的主要体系。目前包括技术支撑体系、技术保障体系、网络信任体系、安全服务体系。这4种体系已经经过多年的探索和建立,应该说已经覆盖了技术上的所有方面。
三是管理层。包括等级保护安全策略、安全管理制度、法律法规和技术标准。通常说“三分技术、七分管理”,再好的技术也需要完善的管理才能保证技术发挥最大的效能。
3 信息安全防护设计
电力系统是一个由内网、外网两种网络域构成的庞大信息系统。各个网络域执行着不同的服务内容:内网是一个完整的电力系统办公自动化环境,外网担负着与公众间信息沟通的责任。
如此复杂的应用环境给系统带来了大量潜在的安全隐患:黑客利用外网或专网攻击内部网络、数据在传输过程中的泄露、网页遭篡改、伪造身份进入系统、操作系统漏洞、病毒等。这些安全隐患不可能依靠某种单一的安全技术就能得到解决,必须在电力信息系统整体安全需求的基础上构筑一个完整的安全服务体系。
构建一个完整的安全防护体系有组织地实现上述安全需求,我们提出的安全保障平台由基础安全服务设施、数据安全保护、网络接入保护、平台安全管理组成。
(1)基础安全服务设施。
基础安全服务设施防护设计主要包括部署平台的应用系统的身份认证与访问控制、基础环境安全保护(访问控制、防火墙、入侵检测、安全审计、VPN)。
(2)数据安全保护。
数据安全保护方案是为部署在电力信息系统提供数据传输、数据访问和数据存储备份恢复的安全保障措施,主要分为4类:应用保护、数据传输交换保护、数据备份与恢复设计。
(3)网络接入保护。
统一管理集中建设互联网接入点,实现电力各部门互联网的安全接入和可管可控可剥离;各部门在统一的安全技术体系下,根据各自信息下发指令信息包括针对省级安全等级,建设、升级、完善安全系统;依托平台建设省级安全接入机制,实现与接入统一监控、统一管理和统一服务。
(4)平台安全管理。
安全管理体系是信息安全保障体系建设的一个重要环节,安全管理体系的建设内容包括:建立完善等级保护安全管理机构、安全管理制度、人员安全管理、系统建设运维管理、系统运维管理。
4 结语
该课题对电力公司信息安全防护策略和防护设计进行研究,电力信息化安全服务平台也基于电力信息系统安全需求设计安全防护体系,面向系统管理员、安全管理员提供安全保障,为各级信息化安全管理对安全监管、信息共享和提供安全保障支撑。
参考文献
[1] 高鹏,范杰,郭骞.电力系统信息安全技术督查策略研究[C]//电力通信管理暨智能电网通信技术论坛论文集.2012.
[2] 余勇,林为民,俞钢.电力信息系统安全保障体系的研究[C]//2004年世界工程师大会电力和能源分会场论文集.2004.
篇4
中图分类号:TP302 文献标识码:A 文章编号:
1. 地方供电公司发展的新特点
地方供电公司是整个供电系统计算机信息化的主体,它是整个区域电力系统信息化的重要环节,从长远的眼光来看供电公司的计算机信息化的发展。电力系统信息化是实现IT计算管理和自动化发展的主要方向。它通过计算机系统的应用,整合了电力企业当中电力自动化、电力监控与管理等多种资源,同时信息管理系统带来的降低企业成本效益。在此种趋势下,地方供电局已经成为了县一级供电公司的数据整理、应用中心,而且以跨区域的网络数据联网数据打造电力企业之间相互连通、相互支持的人力、物力、财力相结合的集团化信息电力系统管理。真正实现从企业一体化的电力信息应用平台以及一体化模型的企业数据中心,消除信息孤岛,发挥信息应用系统的整体效能。
电力信息一体化建设的主要思想即是进行电力业务应用集成和企业数据整合,从而构建一体化的电力信息管理平台。以ERP等系统为代表。就是对于电力生产,财务、营销、设备,人力资源等部分紧耦合业务进行了全面整合,实现业务协同。秉承这种企业级综合应用的构建思想,地市供电公司的信息应用模式发生了较大变化,由原来相对独立单纯的专业级、部门级应用,转变为企业级应用,甚至朝着集团级应用的趋势发展。从信息应用架构上来看,则呈现纵向贯通、横向集成的互联互通.多交互业务联动等更加复杂的跨专业,跨区域的应用方式,信息应用趋于复杂化及多样化。
信息应用模式的改变带来了大量新课题,信息系统的运行也不仅仅是单个系统、某个专业的管理活动,它涉及到电力企业的整个生产经营管理过程。由于业务集成与数据整合,信息应用的错误联动效应急剧增强,影响面也呈纵向横向逐级扩大。基础设施面对如此复杂庞大的集成式信息应用,如何提供强有力的支撑,IT运维活动面对多系统、跨部门及跨区域多用户、多平台系统,如何有效管理,同时运维队伍面对大量的高新技术,如何组织资源为我所用,信息运维管理在信息化供电公司建设的大环境下,不再仅仅是单纯的技术能力问题。更需要有体系化的管理支撑,这些与企业级的信息应用建设同样重要。
2. 计算机系统运维保障体系建设新思路
使用计算机系统运维方案给供电公司带来更多新的思维和新的挑战,从供电公司的硬件基础设施的发展开始,对网络、存储到应用系统,都要求具备更高的可用性、可扩展性以及安全性,提供更加强大稳固安全的支撑服务。而且围绕着计算机系统发展的运维活动,则需要更加快速的、主动、规范、有效的技术与管理方案支撑,他们的发展依托于整个技术的支持与配合。我国在制定国家电网公司SG186工程中六大保障体系的建设时,制定了保障体系的标准为:标准规范、安全防护、技术研究、管理调控、人才队伍、评价考核,覆盖了信息运维的技术与管理重点,相辅相成。地方供电公司在执行六大保障体系时,不仅要有针对自身企业的规划方式以及发展原则,而且要有实践此方案的扩展思维。
2.1标准规范体系
从地市供电公司层面来看,标准规范的建立主要用以规范整体运维活动,通过持续的制度化建设解决运维规范化运作问题。但是目前地市供电公司的信息化标准规范呈现来源众多、交叉重叠、缺少体系化、与实际发展部分不符以及缺少有效监督等现象,作为规范执行人员面对众多标准制度往往无所适从,使得标准规范形同虚设,不得不束之高阁,直接导致运维活动的随意化及运维管理的无序化,使信息系统的可靠性下降。地市供电公司信息化工作标准规范体系需要进行全面过滤、筛减,并建立适应新环境下的工作标准和运行规程,以先进的服务管理理念,以持续完善的规范实践,以相对稳定的制度体系。建立具有体系化、标准化的运行管理制度,指导和规范IT运维管理主体工作。地市供电公司在建立运维服务管理规范过程中,应建立标准的信息系统运行监控指标体系,以实现运维结果管理(即目标管理),并以目标为导向,以ITIL服务管理实践为指导,规范运维过程。同时通过运维关键部件及关键活动的管控,实现运维工作的精细化管理,通过结果、过程和关键点的把握,提高运维管理的有效性。
2.2安全防护体系
使用计算机信息系统建设时对于其整个公司贯穿式的应用架构和开放式的业务发展都要有明显的认识。通过电脑信息化安全问题的解决,电力生产区与生活区,不同省市县3级业务,不同业务应用之间,以及多种通信方式以及外单位相互关联的业务安全隔离区域,都增加一些安全受限访问等更多更复杂的安全需求与安全限制。通过组建电子数据安全防护网,数据控制安全防护网,保障电力企业的数据能够安全、有效的运行,在受到外界的影响时,电力系统依然能够自动、正常的运行,并依据当前的情况,计算机信息系统能够自动提出自动化的解决方案供人们参考,真正做到数据安全稳定、以及系统自动化的稳定发展。
2.3技术研究与人才队伍
信息技术是先进技术的典型代表,具有更新换代迅速的特点,信息化供电公司依托最先进的信息技术构建企业级的管理信息系统,从网络、主机、数据库、存储、设备等基础设施到体系化的架构、应用、数据,都渗透了大量的新技术应用。面对庞大的技术认知需求以及高端技术的学习壁垒,作为地市供电公司,在人财物资源有限的前提下,如何组织开展技术研究工作,如何锻炼和建设具备专业化能力的人才队伍,实际上是IT运维管理中最为关键的一环。
作为地市供电公司的技术人才队伍,全面研究信息应用各项高端技术并熟练掌握,需要长期的积累过程。为了应对迫在眉睫的系统支撑,地市供电公司信息技术研究必须从研究IT架构人手,通过对网络、存储、主机等IT基础架构以及对数据、应用系统的企业级架构的理解和深化,用全局化架构设计的视角,审视和认知IT系统之间的内外关联关系。对于信息化供 电公司复杂的企业级应用系统架构的研究,有助于技术人员洞悉IT运维的关键环节,区分系统运行核心和关键点。通过这种剥丝抽茧式的技术研究思路,能够将系统复杂的问题逐步分解成单纯的局部问题,对其中的核心部件以及高端的技术,完全可以利用社会上专业性的技术资源予以支持,非核心的运维工作则可以考虑运维外包,以降低运维管理系统建设的工作量。专业化的技术外援资源的利用以及运维外包模式,都必须在运维管理可控能力范围内开展,而这里可控的最好手段则是地市供电公司自身人才队伍对信息系统的架构能力和分析能力的培养,以对架构的“面”的掌握实现对单一技术“点”的控制。对地市供电公司技术人员的要求不再是对高端技术的攻关,而是掌握系统的架构及关联关系,在系统架构层面上对系统的可用性、持续性进行分析,从而决定运维工作的内容和优先级,在外部资源利用的同时,不仅有效监控资源,而且参与实践。长期积累,同样可以实现技术研究和人才队伍建设的目标。
2.4管理调控与评价考核
管理调控是从企业信息管理角度,通过对信息应用的分析实现人财物资源的合理调控,以优化资源效能。地市供电公司的IT运维管理,要实现管理调控,首先要实现管理监控。通过监控获取信息系统的真实运行状况,人力资源的工作分布及工作质量、信息投资是否发挥效力,在此基础上进行针对性管理分析,继而采用资源调控手段实现目标明确的管理调控。管理监控从量化角度出发,建立IT基础设施及信息应用系统的运行关键指标、运维活动工作指标等,指标要求采集方便、准确定位关键点,通过指标体系展现和掌控系统运行及维护工作全貌,通过指标进行能力、可用性,持续性管理和分析,提交系统优化和建设方案,推动管理调控措施的应用。管理监控的内容同时作为运维评价考核的科学参考依据,为评价考核提供良好支撑。
三、总结
电力电网的经营管理模式在不断的发展与变化,使用计算机信息化系统支持也在不断发展与变化当中,供电公司要进行自我的升级与发展,就必须要有全国一体、电力一体化的集团思维,通过建立规范化的管理、专业化的队伍、系统化的技能来保障整个计算机信息系统自动化运维的方法,保障整个电力系统的正常、有效运行。
参考文献:
篇5
1.1核心软硬件被国外垄断,严重威胁行业信息安全
当前,烟草行业的信息系统基础设施,包括主机、存储、操作系统、数据库、中间件等几乎还很大程度上依赖于国外品牌,使得烟草行业信息系统比较容易被国外掌控,威胁烟草行业信息安全。
1.2传统互联网威胁向烟草行业辐射
随着电子商务的快速发展,烟草行业信息系统由半封闭的行业内网向互联网转变,网上订货、网上营销等新型业务与互联网结合日益紧密,同样面临的网络攻击和威胁形势日益复杂严峻,传统互联网威胁(如病毒、木马等)也必将危及行业信息安全。
1.3新技术的应用使行业信息安全面临更大挑战
随着云计算、虚拟化、移动应用等新兴技术的快速发展和应用,极大地影响了信息系统的运行和服务方式,互联网服务的开放性特点对烟草行业信息安全工作提出严峻的挑战。
2烟草行业信息安全发展方向
近期,为处理好安全和发展的关系,适应信息技术发展形势需要,提出以安全保发展、以发展促安全是未来一段时间信息安全建设和管理的重要方向。
2.1坚持自主安全可控,健全行业信息安全体系
信息安全自主可控作为行业信息化发展的重要保障,加大安全可靠的先进技术应用力度,提升对核心技术的自主掌控能力,保障行业信息化建设稳步推进,健全以防为主、软硬结合的行业网络安全体系。强化网络基础设施安全,加大安全可控关键软硬件的应用比例,确保行业信息化高效安全平稳运行。
2.2坚持等级保护,提高安全管理水平
执行国家信息安全等级保护制度,以安全策略为核心,坚持技术和管理相结合,构建与行业信息化发展协调一致的行业网络安全体系。
2.3强化安全运维机制,提升安全保障能力
目前,行业信息安全保障尚未全面融入信息化的“建管用”的各个环节,需要进一步建设、健全行业网络安全保障体系,落实安全运维机制,提升安全综合防范能力。
2.4完善应急处置体系,保证系统安全稳定运行
加强日常信息安全监控,进一步完善信息安全应急处置机制,充分评估信息系统面临的威胁,并制订覆盖各类信息系统、各种信息安全事件的应急预案并进行演练,提升信息系统预警、应急处置和恢复能力,保障业务系统的连续稳定运行。
2.5烟草行业信息安全建设思路
随着国家、行业主管单位对信息安全认识和要求的不断深入,烟草行业信息系统综合安全防范能力需要通过建立自主可控的信息安全技术体系;细化和完善信息安全法规制度、标准规范、流程细则的管理体系;和以“常态化”为目标,包括阶段性运维、日常运维、应急工作三个角度的安全运维体系设计,从而提高信息系统信息安全综合防范能力。
2.6建立系统安全基线,提升系统基础防护能力
国家局针对信息安全工作下发了如《信息安全保障体系建设规范》《行业单位等级保护建设规范》等一系列的规范标准,同时以“三全工作”“安全检查”为抓手推动信息安全保障体系的建设。但由于缺乏具体的操作层面的指南,各行业单位对标准规范和安全建设尚不能有效落地,不能执行到具体的业务系统以及所属的主机、网络设备等基础设施层面。为保证信息系统整体安全水平,防止因为各类系统、设备的安全配置不到位而带来安全风险,有必要针对信息系统建立其基本的安全要求(安全基线),确保信息系统具有基本的安全保护能力。
2.7建立自主可控信息安全技术体系
自主可控是信息安全的根本保障。建立自主可控的信息安全技术体系可以从以下方面着手:一是制订行业信息安全技术产品准入要求,启动核心信息技术产品的信息安全检查和认证工作;二是加强对产品或系统的漏洞检测和代码审查,及时发现系统安全隐患,同时明确国外进口产品在使用过程的责任和义务;三是建立烟草行业新技术的安全标准规范,明确新技术的使用、运维和管理的方法和范围。
2.8不断完善行业信息安全标准规范体系
目前烟草行业已经陆续了一系列行业信息安全标准和规范,但是相对于信息化的快速发展来说还存在滞后性。制定、完善和细化行业信息安全标准规范,对于烟草信行业信息安全具有重要意义。例如,针对信息系统的建设,应制订包含在信息系统规划设计、开发建设、运行维护和停用废弃等全生命周期的安全标准规范;针对移动应用,应制订包含由移动终端、移动网络、移动平台、业务应用构成的移动安全框架和建设标准规范,为烟草行业的移动应用建设提供指导;针对烟草行业数据安全,应建立包括数据分类分级、数据分布、数据操作、数据备份和恢复在内数据安全标准规范,为合理保护和利用行业数据提供指导;针对第三方服务外包,制定第三方服务机构服务质量基本评价指标体系。
2.9建立安全运维管理服务体系
一是建立运维监控指标体系。通过对信息系统安全运维水平的层次化监控指标的建立,得到该业务系统的安全运维水平评级,以此来表明该业务系统的安全运维体系的建设成熟度。同时还应将表示安全运维水平的各个指标项建立针对某类安全事件的度量标准。建立监控指标不仅应当包括传统的各种系统资源使用率、数据和应用工作状态等,同时要加强对运维监控中发现的各种异常现象的监控分析,对风险隐患及时处理,同时根据运行分析结果动态评估系统的处理能力,动态优化系统资源配置。二是完善安全运维和管理工作。安全运维和管理工作应包含在信息系统规划设计、开发建设、运行维护和停用废弃等各环节,落实系统建设全生命周期各环节的安全指标和流程要求,做到基础信息网络、重要信息系统与安全防护设施同步规划、同步建设、同步运行。三是完善应急处置机制,保障业务连续性。随着行业数据的集中,各类信息系统整合的不断推进,信息系统的技术体系日趋复杂,需要在日常运维过程中积累、提高对各种技术的把握、优化能力。充分评估各类信息系统潜在的威胁,并制订和完善各类信息安全事件的应急预案,并定期开展应急演练。
2.10开展信息安全风险态势感知体系研究
风险态势感知体系是具有宏观的角度对行业的整体网络安全防护能力进行评估,同样也应对整体安全管理水平进行评估,为提升信息系统整体安全防护能力提供决策支持;同时风险态势感知体系应具备两个维度的态势感知能力。一方面,从安全本身的发展变化入手,通过对事件和威胁的分析来评估当前网络的整体安全态势,包括地址熵态势分析、热点事件分析和威胁态势分析;另一方面,从信息系统所需要达成的安全管理水平入手,通过对一系列管理指标的度量,来评估当前信息系统的安全管理水平;建设完备的信息安全风险感知体系,是提高烟草领域信息安全的重要途径之一。风险态势感知体系的建设应按照信息安全等级保护的相关要求,建设针对信息系统所有的基础设施包括终端、网络、应用、系统、物理各个方面,以及信息系统在业务处理过程中的身份认证、访问控制、数据与内容安全、监控审计、备份恢复等各个环节的信息安全风险态势感知体系,提高信息系统的信息安全保障能力,提高信息安全事件的预警及防范能力。
