发布时间:2024-04-22 15:31:40
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇运维管理保障体系范例,将为您的写作提供有力的支持和灵感!
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)09-2028-03
大多企业经过十余年的信息化发展,大规模的信息化建设基本完成,即将面临着长期的系统运行维护的问题。但与信息系统建设的较高水平相比,还普遍存在IT服务管理较弱的问题,缺乏有效的管理手段与方法,这就使信息化的投入充满了很大的不确定性,也使信息化效果很难控制。因此,如何对企业庞大的技术系统进行科学、高效的管理,从而发挥它的最大效能,降低运营成本,是当前企业信息化过程中必须面对的挑战。
1 三套标准在运维体系中的适用性分析
ISO9000质量管理体系标准在各企业和单位中的运用非常广泛,是对整个单位运作、服务过程进行质量控制管理的体系,通过质量手册、文件控制、记录控制等方面为管理对象的实施提供指导,侧重于对宏观运作流程的控制,但不包括各专业业务层面的特定要求。
ITIL作为一种以流程为基础、以客户为导向的IT服务管理指导框架,它摆脱了传统IT管理以技术管理为焦点的弊端,实现了从技术管理到流程管理,再到服务管理的转化,适用于IT服务管理和服务流程的控制。
等级保护管理体系是对信息系统的科学、安全运行进行监督和控制的体系,从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面为信息安全专业层面提供指导,适用于运作流程中各节点的安全控制。其中的保护等级划分,也为信息安全投入和安全保障水平提供了平衡点。
对于已经实施ISO9000的单位,信息化职能部门在ISO9000贯彻实施时往往与自身信息化业务无法融合,即便进行了融合也常以信息化的一般性运维工作为主,没有考虑规范化安全运维工作在整个单位和组织质量控制体系中的重要性。因此将ITIL、等级保护思路与ISO9000融合,即可具体落实ISO9000体系中的流程控制,也可以弥补等级保护在体系要求、文件控制和记录控制等方面的薄弱环节,同时完善ISO9000体系中对信息安全领域的专业性,最终形成以质量管理体系为框架,ITIL流程控制为主线,等级保护管理标准为保障的综合运维保障体系。
2 规范运维保障体系架构设计与文件体系建设
结合三套标准的特点进行运维管理架构设计时,在体系结构层面要考虑运维体系的建设周期、各标准在运维体系中所处的层次、每个层次要达到的要求及PDCA方法论等。在服务流程层面要考虑结合企业的现状,IT服务支持模式和管理流程及最佳实践等。在具体操作层面要考虑响应方式、实现工具、安全要求、监控方法等。将三大标准体系体系结构层面设计:在整个运维生命周期中,包括运维体系建设、运维支持管理、运维成效管理及运维持续改进四个阶段。这四个阶段形成一个PDCA持续改进的管理循环。通过建立检查、反馈机制,对信息安全管理体系运行情况进行监督和控制,建立动态调整机制,确保信息安全管理体系符合新形势、新技术发展要求。
服务流程层面设计:系统运维的服务流程是信息化工作部门和服务供应商向业务部门的服务交付和支持过程,通过建立“一站式”的服务台和规范的流程程序,提高IT部门对事件的响应能力和IT运维工作的规范性,防范手工方式出现对用户请求的遗忘,以及非规范的操作引起的系统风险,同时要帮助信息化工作部门实现运维知识的积累和共享,提升运维和管理的整体水平。
具体操作层面设计:在系统运行维护中,各项工作(事件、变更等)的处理程序、操作步骤、完成时限及服务要求等,均要制订相应的标准和规范,在涉及安全管控点时,可通过建立符合信息系统等级保护要求的安全配置基线,统一信息系统建设和运行技术配置标准。
按照上述三个层面之间的关系,落实到文件体系中时,可以质量管理体系为总体框架,将体系文件分为三个级别:一级程序文件为纲领性文件,用于描述整个体系架构运作流程和运维方针策略。主要包括信息化建设与管理程序,信息系统运维管理程序,涵盖信息化建设与运维全过程。二级程序文件按ITIL流程管理为主线,为一级程序提供可操作的流程化文件。主要包括:项目管理、事件管理、问题管理、配置管理、管理、变更管理、应急管理等流程。三级流程涉及具体操作规范,落实二级流程文件中涉及的各方面运维和安全管理内容。主要包括:沟通管理、授权与审批管理、文件规范性管理、介质管理、资产管理、网络管理、系统管理、安全事件与应急管理、备份与恢复管理等方面。记录表单为实际运维过程的记录。各级文件组成结构如图2所示。
文件体系是运维体系架构的管理体现,是管理落地的基础,也要运用PDCA管理。
3 规范运维保障体系ITIL流程设计
要想管理体系得到贯彻执行,就要对规范化运维流程进行科学有效的设计。因为流程是管理的终端,主要解决的是管理固化问题。而ITIL作为事实上的国际标准,基本与组织性质和业务性质无关,仅明确指出应该“做什么”,但不讲“如何做”。因此流程设计时还要结合企业的现状,本着一切从实际出发的原则,考虑企业对IT服务管理的切身需求,按照最佳实践和企业的实际设计出的合理的IT服务支持模式和管理流程,建立自己的方法论。
在具体的规范流程设计过程中,首先要考虑的是人员岗位职责。应用服务管理之后,IT部门的组织架构、职能、工作方式都会随之发生一定变化。建立规范的流程,需要确定IT支持人员和管理人员的职责,通过流程角色的设置,而不是单纯依靠组织结构的设置来把角色和职务分开。同时制定配套的人员角色和职责及考核机制,以实现对人员的量化管理和资源的有效利用。
其次是确定提供服务的管理流程。在ITIL中已归纳为服务级别管理、IT服务财务管理、能力管理、IT服务持续性管理和可用性管理5个服务管理流程。这些管理流程用于解决“客户需要什么”、“为满足客户需求需要哪些资源”、“这些资源的成本是多少”、“如何在服务成本和服务效益(达到的服务级别)之间选择恰当的平衡点”等问题,服务提供所包括的这5个核心流程均属于战术层次的服务管理流程,用以确定服务级别协议及满足服务要求所需要的最优资源,也就是说如何做正确的事。
再次是确保用户得到适当的服务支持以保障组织业务功能。服务支持流程体现服务接触和沟通的5个运作层次的流程,即事件管理、问题管理、配置管理、变更管理和管理。这5个服务管理流程的主要职能是,确保IT服务提供方所提供的服务质量,符合服务级别协议(SLA)的要求,即如何正确的做事。ITIL核心流程之间的层次关系如图3所示。
最后是引入服务台、服务连续性管理等流程自动化工具,以系统工具来固化流程,再不断完善流程。同时要关注工具之间的联动和信息整合,如果可能,尽早的进行统一的规划,建立集成规范要求,以保证投资在未来得到充分保护,不被浪费。
所以,ITIL的应用过程和效果的获得,不是简单的单纯通过项目建设能够达到的,是企业信息中心部门、咨询服务提供商、产品提供商等多方共同努力的结果,也是一个持续改进、不断优化的长期过程。
4 构建信息系统等级保护为基础的防护体系
保障体系要结合管理体系和ITIL流程,落实安全技术及管理要求。可依据分级、分域、分区、分层的防护原则,对运维的信息系统按级别划分安全区域进行管理,各安全域划分为网络边界、网络环境、主机系统及应用环境四个安全层次,最后形成纵深防御体系。
在技术上可通过强化边界访问控制、规范网络访问行为、强制主机管理、构建应用授权和身份认证平台、加强审计监控等措施构建协同防御。每个安全保护部件或设备应具有安全保护功能独立完整、调用接口简洁、与安全产品相对应和易于管理等特征,在后期综合运维服务与监控平台集成建设中能够保障数据的共享和协同防御。在管理上通过建立综合运维服务与监控平台。将机房环境监控系统、网络管理系统、性能监测与管理系统、入侵防御系统等监控与管理的系统告警和性能监测数据进行整合,梳理各个资源之间的告警关系,进行集中监控告警模型设计,并可进行工具产品的客户化定制,实现集中监控管理和指挥控制,为运维体系安全运行提供全面的管理保障。
5 规范运维保障体系实施路线
在实施阶段,要考虑若一次性全部实施所有流程带来的风险,可采用分阶段实施的方法,做到稳步推进,以便取得良好效果。大致可分为前期准备阶段,全面试运行阶段,正式运行及扩展阶段,综合优化调整阶段。
1)前期准备阶段
明确参与运维工作人员的岗位职责,做到权限分离。开展等级保护测评并根据等级保护要求制定安全配置基线及相关操作规范。根据等级保护测评结果,按照分级、分域、分区、分层原则制定安全技术基础平台整体解决方案,在管理与技术上提供安全依据。试运行ITIL运维管理五大流程,检验工作流程的可操作性。梳理清楚管理对象,完善资产配置管理,确定运维管理的范围。
2)全面试运行阶段
全面开展规范化运维工作,在运维平台中体现所有运维工作并力争全员参与,做到运维职责明确,流程处理程序规范,操作标准,过程有痕迹并制定合理的绩效考核方案。在日常运维工作中查找不足,提供改进意见,不断完善质量目标文件、流程体系文件和操作手册。充分发挥知识库作用,将常见问题解决方法进行归纳总结并上传至知识库,做到知识共享。同时实施完成安全技术基础平台,实现安全管理中心与运维平台互联互通问题,保证安全要求融入运维流程中。
3)正式运行及扩展阶段
全面运行完善后的ITIL运维管理五大流程,结合ISO20000相关运维标准,构建信息化运维服务运维服务体系,规范化、标准化、痕迹化运维管理工作。运用PDCA过程,进一步细化调整管理体系,总结体系运行情况,调整不适用和无法落实的部分,使之能高效、有序的运作。同时定期通过第三方机构对已测评的信息系统开展等级保护复评,找出所有系统的安全隐患,并提出整改方案和实施计划,督促信息安全措施的落实。
4)综合优化调整阶段
总结前期的规范化运维工作,调整不适用的部分,常态化的管理体系运作。定期进行内部评审,找出与当前工作的不适用部分进行优化调整;同时在工作中,结合工作实际,寻求更高效安全的方法优化体系,提高体系的效能。
综合上述实施阶段,确定实施路线图如图4所示。
那么,出现这些问题的根源是什么呢?我们早就知道,建设安全系统不仅仅是技术问题,也是管理问题。而信息安全服务的主要目标就是更好的支撑IT应用系统的效果和效率,也就是说,信息安全的主要目的是通过信息安全管理体系、技术体系以及运维体系的综合有效建设,让IT应用系统能够达到更好的运营效果以及更高的效率。而如何综合而有效的建立信息安全保障体系,成为了摆在每个企业面前的课题。
合规是重中之重
信息安全标准是确保信息安全产品和系统在设计、研发、生产、建设、使用和测评过程中保持一致性、可靠性、可控性、先进性和符合性的技术规范和依据,其不仅关系到国家的信息安全,也是保护国家利益、促进产业发展的一种重要手段,同时更是信息安全保障体系中的重要组成部分,是政府进行宏观管理的重要依据。
我国在这方面虽然起步较晚,但也制定了一批符合中国国情的信息安全标准,同时在一些重点行业还颁布了一批信息安全的行业标准,尤其是国家等级保护制度和分级保护制度是我国在进行信息安全保障体系建设中的重要依据。
因此,企业只有在信息安全保障体系建设过程中依据相关标准进行合规性分析,通过安全风险评估,然后比对相关标准中所涉及的技术要求、管理要求、测评要求,才能明确得出建设的方向和重点,了解目前系统中存在的问题和改进的方法,同时明确在管理、部署和运维过程中信息安全管理的相关制度、流程和需要持续改进的目标。
此外,相关标准还为企业明确了进行信息安全保障体系建设的方法,只有遵循这种方法才能做到“有法可依、有章可循”。
安全咨询是桥梁
前面提到,信息安全建设的主要目的是让IT应用系统能够达到更好的运行效果,并提高系统的运行效率,也就是说,要让信息安全保障体系成为IT应用系统的有效支撑。然而,不同政府或企业的具体业务环境和流程各不相同,所以也不是每个政府或企业都可以使用一个统一的模板。不同的组织在建立与完善信息安全保障体系时,必须根据自己的业务特点和具体情况以及IT应用的实际情况,采取不同的步骤和方法。此外,还要注意,信息安全不仅涉及安全管理和技术层面的问题,还会涉及到治理机制、业务流程、人员管理、企业文化等内容。
这就使得,企业要运用风险的方法来决定信息安全体系建设的目标和步骤。这个过程实际上是需要专业资深的安全服务人员对目标的业务特点、IT应用实际情况和具体管理方式进行现场调研、符合性分析、相关的风险评估等操作的,尤其是对关键业务应用的深入了解和分析,只有这样才能与标准比对形成安全基线和框架参考。
而且,在建设过程中,还要不断与相关负责人(决策人员、安全管理员、网络安全维护人员)进行深入沟通,以便发现安全隐患、找出关注重点,并提出有效的策略建议,最终才能运用风险的方法来决定体系建设的目标和步骤,并一步一步实施完成。通过这一点我们不难看出,信息安全咨询贯穿于整个信息安全体系建设的过程中,是联系实际需求和建设目标的桥梁。
实际落地是关键
信息安全技术体系是利用技术手段实现了技术层面的安全保护,是整个信息安全保障体系中非常重要的一部分。很多政府和企业都部署过一些技术防护手段,但这些防护手段是不是符合相关标准和关键业务的需求,是不是把风险控制到了一个可控的水平,我们就不得而知了。
因此,在信息安全保障体系建立过程中,一定要依照标准来选择技术防护手段,同时实现技术手段的落地是关键。而要实现技术手段的落地,就要兼顾以下几点:选择的技术产品要满足政府或企业实际环境、IT应用和管理流程制度等客观条件;选择的技术产品要具有易维护、管理简便的特点,并要能够保持先进性;选择的技术产品要能够满足应用变化的需要,并适应技术的不断发展。即保障可用性、适用性和持续性。
安全意识是必须
在很多政府部门和企业中普遍存在这样一个问题,仿佛信息安全只是IT部门的事情,其他业务部门大多采取了“事不关己,高高挂起”的态度,这势必会造成安全天天喊,但是总没有明显效果的局面。
可以说,建设信息安全保障体系是企业内的一次“安全革命”,通过培训,不仅仅要让每个人都提高对安全事件处理的管理水平和技术水平,更重要的是让每个人都拥有“信息安全人人有责”的意识。
同时,这场“安全革命”给企业带来了新的知识和管理模式,企业必须通过培训将整个信息安全保障体系的相关知识转移到每位员工身上,让他们对整个体系逐步达到从接受到适应,再到最终掌握。只有这样才能让整个信息安全保障体系真正应用起来,并真正起到效果。
中图分类号:TP309 文献标识码:A 文章编号:1674-098X(2016)12(b)-0100-02
电力公司的安全防护体系根据省、市、县安全防护不同层面防护要求各有侧重、相互支撑、互为补充。根据各信息系统重要程度设计安全防护体系“三横四纵”的总体架,建立信息安全防护体系。
1 信息安全防护策略设计目标
信息安全保障体系的建设紧紧围绕安全管理、安全技术和安全运维3个方面,在每个方面都有相应的具体目标。达到这个目标就能为综合服务平台构建一个多层次、多角度的立体纵深防御体系。
安全管理的建设目标:
确定安全组织和责任划分,确定安全策略,确定信息资产分类和分级。
实现安全变更管理、安全补丁管理、安全备份管理、应急响应计划、业务持续性计划、安全核心流程。
安全培训与教育、安全控制要求:
对信息资产进行风险评估,达到ISO27001管理标准。
安全技术的建设目标:
根据业务需求划分不同的安全域,安全边界进行防护。
实现安全系统强化功能、建立网络和主机入侵检测机制、实现高危数据加密传输、关键系统的日志审计、建立病毒防范体系、建立身份认证体系、访问控制体系、远程访问安全机制。
建立数据安全存储体系、时间同步机制、集中安全审计体系、安全事件管理平台。
安全运维的建设目标:
建立定期风险评估机制。
定期对日志进行审计、定期进行渗透测试。
完善安全信息上报机制、定期对安全策略和标准进行评估和修订。
显示安全的运维外包。
2 电力信息安全建设体系内容
电力信息系统信息安全保障体系采用了“三横四纵”的总体架构,即横向上分为3个层次,分别为应用层、技术层、管理层;技术层次中纵向又分为4种主要体系,即以基础安全服务设施、数据安全保护、网络接入保护、平台安全管理为支柱,信息安全基础设施为基础,通过信息安全管理体系为业务应用提供可靠的安全保障。
一是应用层。这是安全保障体系的主要对象。信息化建设的终极目标是提供给用户好用、易用、够用的应用系统,应用系统是为了满足不同用户的不同业务需求,安全保障体系保障的核心就是应用系统及其数据。
二是技术层。这是信息安全保障体系的主要体系。目前包括技术支撑体系、技术保障体系、网络信任体系、安全服务体系。这4种体系已经经过多年的探索和建立,应该说已经覆盖了技术上的所有方面。
三是管理层。包括等级保护安全策略、安全管理制度、法律法规和技术标准。通常说“三分技术、七分管理”,再好的技术也需要完善的管理才能保证技术发挥最大的效能。
3 信息安全防护设计
电力系统是一个由内网、外网两种网络域构成的庞大信息系统。各个网络域执行着不同的服务内容:内网是一个完整的电力系统办公自动化环境,外网担负着与公众间信息沟通的责任。
如此复杂的应用环境给系统带来了大量潜在的安全隐患:黑客利用外网或专网攻击内部网络、数据在传输过程中的泄露、网页遭篡改、伪造身份进入系统、操作系统漏洞、病毒等。这些安全隐患不可能依靠某种单一的安全技术就能得到解决,必须在电力信息系统整体安全需求的基础上构筑一个完整的安全服务体系。
构建一个完整的安全防护体系有组织地实现上述安全需求,我们提出的安全保障平台由基础安全服务设施、数据安全保护、网络接入保护、平台安全管理组成。
(1)基础安全服务设施。
基础安全服务设施防护设计主要包括部署平台的应用系统的身份认证与访问控制、基础环境安全保护(访问控制、防火墙、入侵检测、安全审计、VPN)。
(2)数据安全保护。
数据安全保护方案是为部署在电力信息系统提供数据传输、数据访问和数据存储备份恢复的安全保障措施,主要分为4类:应用保护、数据传输交换保护、数据备份与恢复设计。
(3)网络接入保护。
统一管理集中建设互联网接入点,实现电力各部门互联网的安全接入和可管可控可剥离;各部门在统一的安全技术体系下,根据各自信息下发指令信息包括针对省级安全等级,建设、升级、完善安全系统;依托平台建设省级安全接入机制,实现与接入统一监控、统一管理和统一服务。
(4)平台安全管理。
安全管理体系是信息安全保障体系建设的一个重要环节,安全管理体系的建设内容包括:建立完善等级保护安全管理机构、安全管理制度、人员安全管理、系统建设运维管理、系统运维管理。
4 结语
该课题对电力公司信息安全防护策略和防护设计进行研究,电力信息化安全服务平台也基于电力信息系统安全需求设计安全防护体系,面向系统管理员、安全管理员提供安全保障,为各级信息化安全管理对安全监管、信息共享和提供安全保障支撑。
参考文献
[1] 高鹏,范杰,郭骞.电力系统信息安全技术督查策略研究[C]//电力通信管理暨智能电网通信技术论坛论文集.2012.
[2] 余勇,林为民,俞钢.电力信息系统安全保障体系的研究[C]//2004年世界工程师大会电力和能源分会场论文集.2004.
中图分类号:TP302 文献标识码:A 文章编号:
1. 地方供电公司发展的新特点
地方供电公司是整个供电系统计算机信息化的主体,它是整个区域电力系统信息化的重要环节,从长远的眼光来看供电公司的计算机信息化的发展。电力系统信息化是实现IT计算管理和自动化发展的主要方向。它通过计算机系统的应用,整合了电力企业当中电力自动化、电力监控与管理等多种资源,同时信息管理系统带来的降低企业成本效益。在此种趋势下,地方供电局已经成为了县一级供电公司的数据整理、应用中心,而且以跨区域的网络数据联网数据打造电力企业之间相互连通、相互支持的人力、物力、财力相结合的集团化信息电力系统管理。真正实现从企业一体化的电力信息应用平台以及一体化模型的企业数据中心,消除信息孤岛,发挥信息应用系统的整体效能。
电力信息一体化建设的主要思想即是进行电力业务应用集成和企业数据整合,从而构建一体化的电力信息管理平台。以ERP等系统为代表。就是对于电力生产,财务、营销、设备,人力资源等部分紧耦合业务进行了全面整合,实现业务协同。秉承这种企业级综合应用的构建思想,地市供电公司的信息应用模式发生了较大变化,由原来相对独立单纯的专业级、部门级应用,转变为企业级应用,甚至朝着集团级应用的趋势发展。从信息应用架构上来看,则呈现纵向贯通、横向集成的互联互通.多交互业务联动等更加复杂的跨专业,跨区域的应用方式,信息应用趋于复杂化及多样化。
信息应用模式的改变带来了大量新课题,信息系统的运行也不仅仅是单个系统、某个专业的管理活动,它涉及到电力企业的整个生产经营管理过程。由于业务集成与数据整合,信息应用的错误联动效应急剧增强,影响面也呈纵向横向逐级扩大。基础设施面对如此复杂庞大的集成式信息应用,如何提供强有力的支撑,IT运维活动面对多系统、跨部门及跨区域多用户、多平台系统,如何有效管理,同时运维队伍面对大量的高新技术,如何组织资源为我所用,信息运维管理在信息化供电公司建设的大环境下,不再仅仅是单纯的技术能力问题。更需要有体系化的管理支撑,这些与企业级的信息应用建设同样重要。
2. 计算机系统运维保障体系建设新思路
使用计算机系统运维方案给供电公司带来更多新的思维和新的挑战,从供电公司的硬件基础设施的发展开始,对网络、存储到应用系统,都要求具备更高的可用性、可扩展性以及安全性,提供更加强大稳固安全的支撑服务。而且围绕着计算机系统发展的运维活动,则需要更加快速的、主动、规范、有效的技术与管理方案支撑,他们的发展依托于整个技术的支持与配合。我国在制定国家电网公司SG186工程中六大保障体系的建设时,制定了保障体系的标准为:标准规范、安全防护、技术研究、管理调控、人才队伍、评价考核,覆盖了信息运维的技术与管理重点,相辅相成。地方供电公司在执行六大保障体系时,不仅要有针对自身企业的规划方式以及发展原则,而且要有实践此方案的扩展思维。
2.1标准规范体系
从地市供电公司层面来看,标准规范的建立主要用以规范整体运维活动,通过持续的制度化建设解决运维规范化运作问题。但是目前地市供电公司的信息化标准规范呈现来源众多、交叉重叠、缺少体系化、与实际发展部分不符以及缺少有效监督等现象,作为规范执行人员面对众多标准制度往往无所适从,使得标准规范形同虚设,不得不束之高阁,直接导致运维活动的随意化及运维管理的无序化,使信息系统的可靠性下降。地市供电公司信息化工作标准规范体系需要进行全面过滤、筛减,并建立适应新环境下的工作标准和运行规程,以先进的服务管理理念,以持续完善的规范实践,以相对稳定的制度体系。建立具有体系化、标准化的运行管理制度,指导和规范IT运维管理主体工作。地市供电公司在建立运维服务管理规范过程中,应建立标准的信息系统运行监控指标体系,以实现运维结果管理(即目标管理),并以目标为导向,以ITIL服务管理实践为指导,规范运维过程。同时通过运维关键部件及关键活动的管控,实现运维工作的精细化管理,通过结果、过程和关键点的把握,提高运维管理的有效性。
2.2安全防护体系
使用计算机信息系统建设时对于其整个公司贯穿式的应用架构和开放式的业务发展都要有明显的认识。通过电脑信息化安全问题的解决,电力生产区与生活区,不同省市县3级业务,不同业务应用之间,以及多种通信方式以及外单位相互关联的业务安全隔离区域,都增加一些安全受限访问等更多更复杂的安全需求与安全限制。通过组建电子数据安全防护网,数据控制安全防护网,保障电力企业的数据能够安全、有效的运行,在受到外界的影响时,电力系统依然能够自动、正常的运行,并依据当前的情况,计算机信息系统能够自动提出自动化的解决方案供人们参考,真正做到数据安全稳定、以及系统自动化的稳定发展。
2.3技术研究与人才队伍
信息技术是先进技术的典型代表,具有更新换代迅速的特点,信息化供电公司依托最先进的信息技术构建企业级的管理信息系统,从网络、主机、数据库、存储、设备等基础设施到体系化的架构、应用、数据,都渗透了大量的新技术应用。面对庞大的技术认知需求以及高端技术的学习壁垒,作为地市供电公司,在人财物资源有限的前提下,如何组织开展技术研究工作,如何锻炼和建设具备专业化能力的人才队伍,实际上是IT运维管理中最为关键的一环。
作为地市供电公司的技术人才队伍,全面研究信息应用各项高端技术并熟练掌握,需要长期的积累过程。为了应对迫在眉睫的系统支撑,地市供电公司信息技术研究必须从研究IT架构人手,通过对网络、存储、主机等IT基础架构以及对数据、应用系统的企业级架构的理解和深化,用全局化架构设计的视角,审视和认知IT系统之间的内外关联关系。对于信息化供 电公司复杂的企业级应用系统架构的研究,有助于技术人员洞悉IT运维的关键环节,区分系统运行核心和关键点。通过这种剥丝抽茧式的技术研究思路,能够将系统复杂的问题逐步分解成单纯的局部问题,对其中的核心部件以及高端的技术,完全可以利用社会上专业性的技术资源予以支持,非核心的运维工作则可以考虑运维外包,以降低运维管理系统建设的工作量。专业化的技术外援资源的利用以及运维外包模式,都必须在运维管理可控能力范围内开展,而这里可控的最好手段则是地市供电公司自身人才队伍对信息系统的架构能力和分析能力的培养,以对架构的“面”的掌握实现对单一技术“点”的控制。对地市供电公司技术人员的要求不再是对高端技术的攻关,而是掌握系统的架构及关联关系,在系统架构层面上对系统的可用性、持续性进行分析,从而决定运维工作的内容和优先级,在外部资源利用的同时,不仅有效监控资源,而且参与实践。长期积累,同样可以实现技术研究和人才队伍建设的目标。
2.4管理调控与评价考核
管理调控是从企业信息管理角度,通过对信息应用的分析实现人财物资源的合理调控,以优化资源效能。地市供电公司的IT运维管理,要实现管理调控,首先要实现管理监控。通过监控获取信息系统的真实运行状况,人力资源的工作分布及工作质量、信息投资是否发挥效力,在此基础上进行针对性管理分析,继而采用资源调控手段实现目标明确的管理调控。管理监控从量化角度出发,建立IT基础设施及信息应用系统的运行关键指标、运维活动工作指标等,指标要求采集方便、准确定位关键点,通过指标体系展现和掌控系统运行及维护工作全貌,通过指标进行能力、可用性,持续性管理和分析,提交系统优化和建设方案,推动管理调控措施的应用。管理监控的内容同时作为运维评价考核的科学参考依据,为评价考核提供良好支撑。
三、总结
电力电网的经营管理模式在不断的发展与变化,使用计算机信息化系统支持也在不断发展与变化当中,供电公司要进行自我的升级与发展,就必须要有全国一体、电力一体化的集团思维,通过建立规范化的管理、专业化的队伍、系统化的技能来保障整个计算机信息系统自动化运维的方法,保障整个电力系统的正常、有效运行。
参考文献:
1.1核心软硬件被国外垄断,严重威胁行业信息安全
当前,烟草行业的信息系统基础设施,包括主机、存储、操作系统、数据库、中间件等几乎还很大程度上依赖于国外品牌,使得烟草行业信息系统比较容易被国外掌控,威胁烟草行业信息安全。
1.2传统互联网威胁向烟草行业辐射
随着电子商务的快速发展,烟草行业信息系统由半封闭的行业内网向互联网转变,网上订货、网上营销等新型业务与互联网结合日益紧密,同样面临的网络攻击和威胁形势日益复杂严峻,传统互联网威胁(如病毒、木马等)也必将危及行业信息安全。
1.3新技术的应用使行业信息安全面临更大挑战
随着云计算、虚拟化、移动应用等新兴技术的快速发展和应用,极大地影响了信息系统的运行和服务方式,互联网服务的开放性特点对烟草行业信息安全工作提出严峻的挑战。
2烟草行业信息安全发展方向
近期,为处理好安全和发展的关系,适应信息技术发展形势需要,提出以安全保发展、以发展促安全是未来一段时间信息安全建设和管理的重要方向。
2.1坚持自主安全可控,健全行业信息安全体系
信息安全自主可控作为行业信息化发展的重要保障,加大安全可靠的先进技术应用力度,提升对核心技术的自主掌控能力,保障行业信息化建设稳步推进,健全以防为主、软硬结合的行业网络安全体系。强化网络基础设施安全,加大安全可控关键软硬件的应用比例,确保行业信息化高效安全平稳运行。
2.2坚持等级保护,提高安全管理水平
执行国家信息安全等级保护制度,以安全策略为核心,坚持技术和管理相结合,构建与行业信息化发展协调一致的行业网络安全体系。
2.3强化安全运维机制,提升安全保障能力
目前,行业信息安全保障尚未全面融入信息化的“建管用”的各个环节,需要进一步建设、健全行业网络安全保障体系,落实安全运维机制,提升安全综合防范能力。
2.4完善应急处置体系,保证系统安全稳定运行
加强日常信息安全监控,进一步完善信息安全应急处置机制,充分评估信息系统面临的威胁,并制订覆盖各类信息系统、各种信息安全事件的应急预案并进行演练,提升信息系统预警、应急处置和恢复能力,保障业务系统的连续稳定运行。
2.5烟草行业信息安全建设思路
随着国家、行业主管单位对信息安全认识和要求的不断深入,烟草行业信息系统综合安全防范能力需要通过建立自主可控的信息安全技术体系;细化和完善信息安全法规制度、标准规范、流程细则的管理体系;和以“常态化”为目标,包括阶段性运维、日常运维、应急工作三个角度的安全运维体系设计,从而提高信息系统信息安全综合防范能力。
2.6建立系统安全基线,提升系统基础防护能力
国家局针对信息安全工作下发了如《信息安全保障体系建设规范》《行业单位等级保护建设规范》等一系列的规范标准,同时以“三全工作”“安全检查”为抓手推动信息安全保障体系的建设。但由于缺乏具体的操作层面的指南,各行业单位对标准规范和安全建设尚不能有效落地,不能执行到具体的业务系统以及所属的主机、网络设备等基础设施层面。为保证信息系统整体安全水平,防止因为各类系统、设备的安全配置不到位而带来安全风险,有必要针对信息系统建立其基本的安全要求(安全基线),确保信息系统具有基本的安全保护能力。
2.7建立自主可控信息安全技术体系
自主可控是信息安全的根本保障。建立自主可控的信息安全技术体系可以从以下方面着手:一是制订行业信息安全技术产品准入要求,启动核心信息技术产品的信息安全检查和认证工作;二是加强对产品或系统的漏洞检测和代码审查,及时发现系统安全隐患,同时明确国外进口产品在使用过程的责任和义务;三是建立烟草行业新技术的安全标准规范,明确新技术的使用、运维和管理的方法和范围。
2.8不断完善行业信息安全标准规范体系
目前烟草行业已经陆续了一系列行业信息安全标准和规范,但是相对于信息化的快速发展来说还存在滞后性。制定、完善和细化行业信息安全标准规范,对于烟草信行业信息安全具有重要意义。例如,针对信息系统的建设,应制订包含在信息系统规划设计、开发建设、运行维护和停用废弃等全生命周期的安全标准规范;针对移动应用,应制订包含由移动终端、移动网络、移动平台、业务应用构成的移动安全框架和建设标准规范,为烟草行业的移动应用建设提供指导;针对烟草行业数据安全,应建立包括数据分类分级、数据分布、数据操作、数据备份和恢复在内数据安全标准规范,为合理保护和利用行业数据提供指导;针对第三方服务外包,制定第三方服务机构服务质量基本评价指标体系。
2.9建立安全运维管理服务体系
一是建立运维监控指标体系。通过对信息系统安全运维水平的层次化监控指标的建立,得到该业务系统的安全运维水平评级,以此来表明该业务系统的安全运维体系的建设成熟度。同时还应将表示安全运维水平的各个指标项建立针对某类安全事件的度量标准。建立监控指标不仅应当包括传统的各种系统资源使用率、数据和应用工作状态等,同时要加强对运维监控中发现的各种异常现象的监控分析,对风险隐患及时处理,同时根据运行分析结果动态评估系统的处理能力,动态优化系统资源配置。二是完善安全运维和管理工作。安全运维和管理工作应包含在信息系统规划设计、开发建设、运行维护和停用废弃等各环节,落实系统建设全生命周期各环节的安全指标和流程要求,做到基础信息网络、重要信息系统与安全防护设施同步规划、同步建设、同步运行。三是完善应急处置机制,保障业务连续性。随着行业数据的集中,各类信息系统整合的不断推进,信息系统的技术体系日趋复杂,需要在日常运维过程中积累、提高对各种技术的把握、优化能力。充分评估各类信息系统潜在的威胁,并制订和完善各类信息安全事件的应急预案,并定期开展应急演练。
2.10开展信息安全风险态势感知体系研究
风险态势感知体系是具有宏观的角度对行业的整体网络安全防护能力进行评估,同样也应对整体安全管理水平进行评估,为提升信息系统整体安全防护能力提供决策支持;同时风险态势感知体系应具备两个维度的态势感知能力。一方面,从安全本身的发展变化入手,通过对事件和威胁的分析来评估当前网络的整体安全态势,包括地址熵态势分析、热点事件分析和威胁态势分析;另一方面,从信息系统所需要达成的安全管理水平入手,通过对一系列管理指标的度量,来评估当前信息系统的安全管理水平;建设完备的信息安全风险感知体系,是提高烟草领域信息安全的重要途径之一。风险态势感知体系的建设应按照信息安全等级保护的相关要求,建设针对信息系统所有的基础设施包括终端、网络、应用、系统、物理各个方面,以及信息系统在业务处理过程中的身份认证、访问控制、数据与内容安全、监控审计、备份恢复等各个环节的信息安全风险态势感知体系,提高信息系统的信息安全保障能力,提高信息安全事件的预警及防范能力。
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)14-0137-02
油服信息技术应用与集中程度的不断深入提高,信息安全保障体系建设工作已成为信息化建设过程中的重要组成部分。油服具有地域分布广、业务复杂多样等特点,在信息安全形势多变的情况下,独立分散的安全措施已无法更好地满足安全防护需求。信息安全若不能得到很好的保障,将给公司的业务正常运作及办公稳定性、高效性和有效性带来影响。因此,需完善公司的信息安全政策方针、规划并建立符合油服实际情况的信息安全保障体系,采用先进的安全管理过程模式,完善信息安全管理制度与规范,提高员工的信息安全意识,提升风险控制及保障水平,以支撑油服核心业务的健康发展。
1 信息安全保障体系
1.1 信息安全保障体系建设需求
油服在信息安全方面已部署了部分信息安全防护措施,如划分安全域、部署边界访问控制设备、配备入侵防御系统、部署统一的防恶意代码软件等。与此同时,每年都开展信息系统安全测评工作,对公司的信息系统进行安全等级测评差距分析、安全问题整改咨询核查以及渗透性测试等,从而能够较为全面的掌握当前各信息系统和信息安全管理制度的建设、运维和使用情况,以提高信息系统的安全防护能力。但从总体来看,仍缺乏信息安全保障体系框架,总体安全方针和策略不够明确,安全区域划分不够细致,网络设备和重要服务器的安全策略缺乏统一标准,未部署安全运维管理中心,无法真正起到纵深安全防御的效用。
1.2 信息安全保障体系目标与定位
信息安全保障体系的建设要结合油服的信息安全需求、网络应用现状及未来发展趋势,在风险评估的基础上,明确与等级保护相适应的安全策略及具体的实施办法。对全网进行合理的安全域划分,技术与管理并重的同时,以应用与实效为主导,从网络、应用系统、组织管理等方面,保障油服信息安全,形成集检测、响应、恢复、防护为一体的安全保障体系。
2 油服信息安全保障体系架构模型
油服信息安全保障体系框架采用“结构化”的分析和控制方法,纵向把保护对象分成安全计算环境、安全区域边界和安全通信网络;横向把控制体系分成安全管理、安全技术和安全运行的控制体系,同时通过“一个安全管理中心”的安全管理概念和模式,形成一个依托于安全保护对象为基础,横向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心“三个体系、一个中心、三重防护”的信息安全保障体系
框架。
2.1 安全管理体系
根据等级保护基本要求的相关内容,信息安全管理体系重点落实安全管理制度、安全管理机构和人员安全管理的相关控制要求。
2.2 安全技术体系
根据等级保护基本要求的相关内容,通过安全技术在物理、网络、主机、应用和数据各个层面的实施,建立与实际情况相结合的安全技术体系。
2.3 安全运行体系
根据等级保护基本要求的相关内容,信息安全运行体系重点落实系统建设管理和系统运维管理的相关控制要求,并与实际情况相结合,形成符合等级保护要求的信息安全运行体系
框架。
2.4 安全管理中心
根据等级保护基本要求和安全设计技术要求的相关内容,通过“自动、平台化”的方式,对信息安全管理、技术、运行三个体系的相关控制内容,结合实际情况加以落实。
3 油服信息安全保障体系架构设计
3.1 安全管理体系架构设计
信息安全管理体系架构的设计可从以下3方面开展。
3.1.1 信息安全组织
油服信息安全组织为信息安全管理委员会,各业务部门为信息安全小组,部门经理为本小组的第一安全责任人。同时,定义了组织中各职能角色的职责,以此指导信息安全工作开展。
3.1.2 信息安全制度
油服的信息安全制度一方面能及时反映公司的信息安全风险动态,便于灵活地修订与更新;另一方面确保信息安全技术与管理人员及用户能够了解哪些是禁止做的,哪些是必须做的。
3.1.3 人员安全管理
在人员安全管理方面,可以通过对人员录用、调用、离岗、考核、培训教育和第三方人员安全几个方面进行设计。
3.2 安全技术体系架构设计
信息安全技术体系架构设计可从以下3个方面开展。
3.2.1 信息安全服务架构
信息安全服务架构设计分为保护、检测、响应与恢复四个环节,实现对信息可用性、完整性和机密性的保护,监测检查系统存在的安全漏洞,对危害系统安全的事件行为做出响应
处理。
3.2.2 信息技术基础设施安全架构
信息技术基础设施安全架构以网络安全架构为主体,结合系统软硬件进行安全配置和部署。网络安全架构的规划根据网络所承载的应用系统特性和所面临的风险划分不同的网络安全域,并实施安全防护措施。
3.2.3 应用安全架构
应用系统的信息安全保障是在信息技术基础设施安全架构上,更多地关注已有的信息安全服务是否被充分利用。为满足业务系统对信息安全的需求,通过在业务系统中实现集成保障信息安全的机制,从而达到信息安全技术控制要求。
3.3 安全运行体系架构设计
油服信息安全运行体系架构设计主要从以下3个方面开展。
3.3.1 信息系统安全等级划分
油服信息系统安全等级划分从信息资产等级、网络系统等级和应用系统等级三个方面进行定义。
3.3.2 信息安全技术控制
信息安全技术控制是由系统自身自动完成的安全控制。主要在信息系统的网络层、系统层和应用层,包含身份鉴别、访问控制、安全审计等五大类通用技术。
3.3.3 信息安全运作控制
信息安全运作控制是在油服业务运作和信息技术运作过程中进行实施的运作类安全控制,包括控制针对的主要风险点及具体分类。
4 结束语
在油服业务不断拓展,国际化步伐不断深入的过程中,信息系统在公司发展中的作用和地位日趋重要。公司对信息系统的依赖性也在不断增长,信息安全也愈发重要。健全油服信息安全保障体系,为实现“制度标准化、工作制度化”的管理常态奠定了坚实的基础。油服信息安全保障体系不仅从物理网络安全、系统应用安全、数据和用户安全等方面入手,还从安全域划分、安全边界防护、主动监控、访问控制和应急响应等方面综合考虑,进一步加强落实信息安全等级保护的基本要求,初步实现对网络与应用系统细粒度、全方位的安全管控,从而更为有效地提升了油服在信息安全方面的管理水平。
参考文献
[1]马永.浅谈企业信息安全保障体系建设[J].计算机安全,2007(7):72-75.
[2]王朗.一个信息安全保障体系模型的研究和设计[J].北京师范大学学报(自然科学版),2004(2):58-62.
1网络安全等级保护模型的建构
1.1安全计算环境的建构
其中安全计算环境能够实现相关等级系统的有效管理,在信息存储以及处理,安全策略实施过程中,能够对信息系统的重要情况全面掌控。安全计算环境在其有效区域边界安全防护中,实现对外界网络的各种攻击行为有效防护,并能够避免出现非授权访问。针对这一问题,安全计算机环境整体安全防范,也就是针对网络实施有计划有标准的安全性改造,以能够显著提升系统整体性,以免系统本身出现安全漏洞及缺陷等,出现安全风险或者受到攻击问题。另外,安全计算环境安全防护工作主要也就是有效防范和控制系统内部的攻击和非授权访问问题,以免内部人员因为自身操作方式问题出现破坏行为。
1.2安全网络环境的建构
在信息系统中,通过网络能够有效实现不同计算机和计算域,用户和用户域的有效衔接,在不同系统间信息传输过程中网络具有通道作用。网络可以在系统内外应用,部分网络信息流在传输过程中,都会不同程度的经过不稳定网络环境。因此,在实际操作中,网络安全防护工作首先也就需要提高网络设备的整体安全性,针对网络中的各个设备制定定期维护方案,以免出现网络攻击问题,基于此显著提升网络中的信息流总体安全性,在以上基础上进一步提升通信架构的整体性、安全性以及保密性。在网络自身安全保密中,可以采用网络加密技术和本身结合方式,满足网络安全等级保护的不同要求。其中在网络安全域建设中,需要制定相应的网络结构安全范围,并实现网络不同访问操作的有效控制,在实际工作中也需要重视网络的安全审计工作,提高相应边界完整性,以免在网络运行中受到网络入侵和攻击,并可以有效防范出现恶性代码问题,能够对网络设备的安全防护及信息起到有效的保护作用。
1.3安全管理中心的建构
在信息系统中,安全管理中心是重要的安全管理系统,直接影响整个系统的安全管理有效性。安全管理中心作为管理平台,能够实现对系统中不同信息安全机制的整合性管理,对于系统中存在的分散安全机制,安全管理中心可以对其实施系统化管理,实现集中管理有助于显著提升安全防范效果。安全管理中心在应用中,可以系统性统筹管理系统的相关体系域的安全计算域、网络安全域以及安全用户域等,并对其实现统一调度和应用,可以实现对广大用户身份以及授权的管理,实现对用户操作和审计过程的管理,实现对用户访问和控制,也就可以实现系统的整体风险防范,全面掌握通信架构运行情况,显著提升网络安全防护系统的整体效果。
2安全保障体系要素
在铁路信息系统中,无论是系统的建设、运行、灾难恢复、事件处置等活动,还是其支撑的运输业务和服务等系统目标,都离不开管理和技术两个安全要素的综合保证,其中管理是核心,在安全管理措施的控制下,只有具备安全资质的业务人员才可以在已经获得认证认可的技术手段支持下,执行规定的操作流程。
2.1铁路信息安全管理体系
铁路信息安全管理体系必须以国家信息安全相关法规、政策和标准以及铁路相关法规政策为基础和依据。按照GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》、GB/T22080—2008《信息技术安全技术信息安全管理体系要求》和GB/T22081—2008《信息技术安全技术信息安全管理实用规则》等国家标准和指南,结合我国铁路实际情况,将铁路信息安全管理体系划分为11个安全控制类别,其中包括信息安全政策、信息安全组织、资产业务、信息安全环境、设备使用、通信网络、配置授权、安全事件处置、安全运维、安全合规和灾备恢复等管理内容;在11个安全控制类别的基础上,建立铁路信息安全管理制度框架,如铁路信息资产管理制度、互联网访问管理制度、人员安全培训制度、机房管理制度、产品准入制度、系统运维制度、安全事件处理流程规定、介质管理制度、电子邮件使用管理规定、铁路软件开发管理流程规定等(见图2)。
2.2铁路信息安全技术框架
铁路信息安全技术框架是铁路信息安全保障体系的重要组成内容,主要包括安全管理、身份管理、授权管理、灾备管理、监控审计、可信保证等技术机制(见图3)。管理安全是统领铁路信息安全保障的纲领,纲举才能目张,构建一个全路信息系统可视化管理平台,以便对网络、计算机设备、应用系统部署、操作用户及角色、运维状态等关键信息进行全局的监控,提高对系统中安全问题及其隐患的发现、分析和防范能力。由全路统一身份管理平台、授权管理机制和责任认定构成的铁路网络信任管理体系是保障铁路信息安全可信和安全的前提。全路灾难备份和恢复策略管理是铁路信息系统可信、安全和业务可持续性的后盾。以密码技术为基础的可信计算技术为软硬件资源的安全和隔离提供了结构化保证,为计算环境的可信可靠(完整性)提供了有效的判别手段,为关键数据提供了可信安全存储,为分布式计算的安全机制一致性和网络接入控制提供了远程可信证明方法。可信计算技术是构建铁路信息安全保障体系的基础支撑。
2.3铁路信息安全的组织保证
铁路信息系统安全应该在组织上加以保证。在具体组织形式上应该由中国铁路总公司(简称总公司)主管领导和部门具体负责铁路信息安全的领导和组织工作,由相关专业职能部门分工协作,在铁路信息化的整体工作布局中设置专门机构和岗位、明确相关职责、配备信息安全专业技术和管理人员,确保信息安全管理制度的有效落实和信息安全技术机制的可操作性。铁路信息安全组织保证框架见图4。总公司信息安全主管部门应该包括以下职能机构:法规政策标准管理机构负责制定铁路信息安全相关法规、政策、标准和规范,并负责铁路业务应用密码的管理工作;安全建设运维管理机构根据铁路信息安全相关法规、政策、标准和规范,参与铁路信息系统及其安全基础设施的设计、开发和运维审核和监管工作;信息安全风险管理机构负责对进入铁路信息系统的相关产品进行测评认证,对运行系统进行安全监控,负责信息系统的安全风险管理工作;安全事件处置管理机构负责对系统紧急事件进行处理,对舆情进行综合分析,并根据事件性质和处理结果对事件进行通报;安全保密培训服务中心负责全路的信息安全法律法规、政策标准、安全意识和安全技能的培训提高工作,负责组织安排和协调社会力量以及高校等培训机构具体实施常态化信息安全培训工作;安全灾备恢复管理机构负责重要信息系统的运行和数据备份实施工作,并在系统出现严重故障后,迅速协调相关部门恢复服务或业务数据,保障关键业务服务的运行连续性。各铁路局(公司)应该参照总公司信息安全管理组织结构,设置相关部门或相关专职岗位,并有铁路局(公司)领导具体分管信息安全工作。铁路局(公司)信息安全工作应该在总公司统一组织、协调和安排下开展具体工作。
2.4铁路信息系统安全基础设施
铁路信息系统必须依赖于铁路网络与信息安全基础设施作为其安全支撑基础。铁路网络与信息安全基础设施不仅可以落实铁路集中统一安全管理的要求,提高铁路信息系统的安全水平,还能有效降低铁路信息安全的建设和运维成本。铁路信息安全基础设施包括铁路信息系统灾备恢复中心、铁路业务应用密码管理中心、数字证书系统、集中安全管理及认证授权中心、安全监控中心、安全隔离平台、信息安全培训平台以及铁路网络舆情分析系统(见图5)。铁路信息系统灾备恢复中心可以将由于系统重大故障或破坏带来的业务中断降低到最小程度,提高铁路的服务水平;铁路业务应用密码管理中心是保护铁路重要数据安全和业务安全的基础保证,同时它也是全路统一信任体系的技术基础;铁路数字证书系统可以在全路范围内建立统一的身份认证体系,提高铁路的信息安全集中管理能力,降低安全管理成本;铁路集中管理及认证授权中心通过全路集中的信息安全平台实现高效、统一的安全管理,保证安全策略的快速一致化部署;铁路信息系统安全监控中心可以对铁路信息系统的安全运行状态进行监控,掌握铁路信息系统的运行态势,从而实现在铁路信息系统中防患于未然,有效降低系统安全风险;铁路安全隔离平台是隔离铁路内部服务网和外部服务网的安全措施,它保证了铁路安全生产网络的正常运行;铁路信息安全培训平台对保证提高铁路员工的信息安全意识、培养安全素养极为重要,是人员安全的必要保证;铁路网络舆情分析系统对铁路了解社会评价、改善铁路社会化服务水平、提高铁路形象至为关键。
2.5铁路信息安全意识培养、培训和教育管理
要搞好铁路信息系统的信息安全管理,离不开相关人员的安全意识培养、技能培训和专业教育。铁路信息安全意识培养、培训和教育分别针对不同层次和专业的人员而设。信息安全意识培养通过对信息安全术语、议题和基本概念的宣传、宣导,吸引一般人群对信息安全的关注,帮助人们了解信息安全所关注的问题,并能因此产生正确的响应;信息安全培训让信息系统相关人员获得相关的技能和必备的资质,使其在信息安全管理、设计、开发、建设、运维、操作、评估和使用等方面满足与信息安全相关的岗位职能要求,培训可以分为初级、中级和高级等多个层次;信息安全教育则从信息安全专业理论、技术、经验等方面培养信息安全专家,与信息安全培训一样,这种信息安全教育也应分为初级、中级和高级等多个层次。为降低信息安全意识培养、培训和教育的管理和运作成本,铁路信息安全资质认证也可以和国家其他部门的资质认证机构合作,对一些可信度高、有较高权威的信息安全资质证书采取等同认可方法。铁路信息安全意识培养、培训和教育管理框架见图6。铁路信息安全意识培养、培训和教育管理可分为两方面:一方面是针对全部相关人员的信息安全意识培养。安全意识培养是一个长期的宣传和贯导工作,可以通过制度奖惩、危机教育、标语口号等方式建立普遍的信息安全概念,推广信息安全文化;另一方面是针对岗位定义不同的信息安全资质要求,并这对这些资质要求建立相对应的信息安全技能和专业培训、教育,为了满足这些资质培训教育工作,总公司必须建立相关的培训和认证机制,设置相关的机构。
2.6系统流程及操作安全保证
系统流程和操作安全是指铁路信息安全建设、运维和灾备恢复等活动的流程和操作安全,它旨在保证铁路信息系统及其安全基础设施在安全生命周期中主要阶段的过程安全。在铁路信息安全建设和运行过程中,要制定并依托相关的铁路网络与信息安全管理制度、技术标准规范和组织部门机构,对系统的安全设计、产品测评准入、安全工程等过程进行安全管控,从根本上杜绝系统在结构上的安全缺陷、严防不合规的产品进入系统、保证系统建设施工的安全规范;在铁路信息系统的日常运行过程中,也必须建立系统风险监控、评估和控制的管理和技术体系,通过专业专职的机构和部门,对系统的安全状态进行实时监控、对系统安全风险进行定期或不定期的评估;对安全事件进行预案规划、演练和应急处置,避免重大安全事件的发生;对系统服务或重要数据实施安全灾备,最大程度地减少系统故障带来的铁路运输业务和服务中断时间,减小风险后果。铁路信息安全建设、运维和灾备恢复流程见图7。
Brief Discussion about the Establishment of Information Security System
Li Lin
(The Anhui Province Health Department Information Center Anhui Hefei 230001)
【 Abstract 】 the rapid development of information technology and is widely used, the information technology has promoted the process of economic globalization. So in such an era of information, the information security problem has also become the impact of China''s informatization health development a big problem. Informatization construction is a big part of that information security construction, but now the information spread fast, more and more loopholes, if not promptly to establish a good information security system, the informatization construction of our country cannot develop healthily. Therefore, construction of information security system to come greatly a country, small to person is very important, is also essential.
【 Keywords 】 information security; security; frame; hierarchy protection; system construction
0 引言
全球正处在一个网络化、信息化和数字化的时代,那么在这样一个信息快速发展的时代里,信息安全显得尤为重要,此时信息安全保障体系的建立就是必不可少的了。信息安全保障体系共包含了信息安全管理体系、信息安全技术体系和信息安全运维体系三部分,通过对这三部分的综合有效建设来保障信息系统的安全运行效率。为了国家更快更好地发展,必须对信息安全保障体系进行构建。本文将针对建立信息安全保障体系的具体方案进行分析。
1 中国信息安全保障体系现状
“信息保障”概念最早由美国提出,并且美国现在已经有比较完善的国家信息安全保障体系了。信息安全漏洞不一定都是由技术问题造成,它还包括人和社会的影响或者说是主观因素,所以只有用科学有效的管理方法加以规范的综合性手段,才能获得有效完善。信息安全问题存在于各行各业,同时也有着不同的属性和特征,信息安全管理体系在信息安全保障体系中是很重要的,根据不同的信息漏洞制定不同方案。
我国虽然在2003年就提出了“要在五年之内建设中国信息安全保障体系”的观点,但是在2006年才开始进行等级保护试点工作。也就是说,到目前为止,我国的信息安全保障体系建立工作才初有起色,不完善也不成熟。我国需要一个完整可用的综合性信息安全保障体系,而要想建立比较完善的信息安全保障体系,需要从各方面考虑组建信息安全保障体系的框架,包括人员、技术和管理体系等的建设。
2 信息安全保障体系的框架
信息安全保障体系的建立一般分三个部分完成,从人员、技术以及管理三个体系来综合完成。通过这三个部分的构建就组成了信息安全保障体系的基本框架,只有建立好其框架,才能完善好其建设和有效运行。
中图分类号:F291 文献标识码:A
0引言
《国家电网公司信息系统安全管理办法》对建设国网一体化信息安全保障体系的目标给出了指导性意见,就是要增强信息安全防护能力,提升信息安全自主可控能力,防止承载各类业务系统被恶意渗透,防止关键业务信息系统数据或信息被窃取或篡改,以确保更有效的抵御各种风险,最终实现国网自上而下信息系统网络安全、服务器及应用系统、桌面终端、移动存储介质等全方面的管控,使各层级信息化应用水平及信息安全防护水平达到一个新的高度[1]。
近年来,随着国家电网公司信息技术的深化应用,信息安全日益重要。渑池县电业局在市县一体化信息安全管理策略的设计和实现中以“硬件建设”为基础,以“软件建设”为关键,以“管理建设”为手段,深化安全管理,持续提升信息化安全水平。
1专业管理的顶层设计和指标体系
1.1市县一体化顶层设计目标。在现有的信息化平台基础上,通过2年的系统建设,分步实施“硬件组体、软件添翼、管理促飞”信息安全保障体系“三部曲”策略,最终构筑起坚强的市县一体化信息安全保障体系。
1.2从环境设施上加以提升,从技术流程上加以完善,从管理措施上严格要求,以确保更有效的抵御各种风险,实现安全稳定可靠运行。安全保障策略指标值如下:
1.2.1硬件指标:内网网络部署防火墙、内外网实现“物理隔离”;部署上网行为管理、门禁、防雷等硬件设施;部署数据中心虚拟容灾系统;建设市县网络主备通道。
1.2.2软件指标:桌面注册率达到100%;杀毒软件安装率达到100%;无账户弱口令;无安全防护漏洞;无违规邮件、网站。
1.2.3管理制度:制定或修编渑池县电业局《安全移动存储介质管理办法》《桌面终端设备安全管理办法》《计算机信息系统安全管理办法》《信息网络运行管理办法》《计算机信息系统安全管理办法》《计算机机房管理制度》《计算机设备管理办法(试行)》《网络与信息安全突发事件应急预案(试行)》《信息安全保密协议书》《信息系统口令管理办法》、《信息内外网办公终端准入管理办法》。
2市县一体化策略的实现
2.1硬件组体“搭建体骼”。
2.1.1基础环境建设。长远规划,进行机房资源整合,按照国家二类机房建设要求,改扩建中心机房面积达到160平方米,进行机房区域划分,增设直流电源室、公共上网区、备品备件室、维修间共128平方米,开展门禁系统、信息防雷系统及监控系统建设,添置网络测试仪器及相关办公用品,机房具备防水、防火、防灰尘、防盗、防雷等多种功能,完全满足运维、管理、办公需求。
2.1.2数据容灾建设。本着同城异地备份、确保数据安全的原则,建设60余平方米数据中心虚拟容灾机房,具备实时备份系统数据和集中统一管理的功能,满足各类系统扩展性和可靠性要求。
2.1.3市县网络扩容建设。按照河南省电力公司要求,单独配置双千兆路由器,配置双核心千兆交换机,实现与三门峡供电公司的联网带宽达到2*100M,市县APN备用通道1*10M,省公司至县局VPN联网带宽1*100M的目的。
2.1.4实现内外物理隔离。对边缘配线间进行改造,加装楼间层防水防潮装置,采用防鼠技术措施。对内网和外网采取平行布线模式,终端用户主机双配置,实现完全物理上的内外网分离。
2.1.5扩容后备电源。中心机房增设10kVA不间断UPS电源,与兰州大学联合开发了蓄电池除硫装置,当市电供电系统出现停电或电池容量不足时,以短信形式向维护人员发送告警信息,极大地提高了其设备的维护效率和系统运行安全性,延长UPS电源的使用寿命。
2.1.6从低压电源侧、通信线路、通讯设备及网络设备全方位、多层次部署机房三级防雷系统,有效地防止雷击对机房内设备所产生的危害。
2.2软件添翼“助翼双翅”。
2.2.1终端用户防护。按照《国家电网公司信息化“SG186”工程安全防护总体方案》,对信息内外网部署北信源桌面终端标准化管理系统,实现桌面终端安全访问、安全接入,硬件资产全生命周期应用等功能,桌面终端标准化管理系统级联至市公司,实现桌面运行监测及相关考核指标的标准化,安装率达到100%。
2.2.2防病毒防御系统安装。全网桌面终端安装Nod32防病毒软件,安装率达到100%。对危害桌面终端安全的恶意软件和功能时刻保持着高度警惕。桌面终端安全系统、智能防御系统等级提升。
2.2.3补丁系统完善。通过标准化的管理流程实时为桌面终端提供标准、最新的补丁漏洞信息及数据更新服务。定期自动从互联网获取操作系统软件厂商的补丁,在仿真的网络环境中严格测试认证后,确保补丁安全,再将安全的补丁分发到实际网络环境中的计算机终端,并可以进行相关的补丁分发行为控制和流量管理,在简化人工干预的同时,确保终端系统的安全和网络的稳定。
2.2.4市县联动安全措施。三门峡供电公司部署网管软件,定期对县局的终端设备扫描检测内网安全漏洞,丰富安全技术手段,为县局信息安全管理提供支撑。同时依据《关于企业使用正版软件通知》要求,与知名厂商签订购置正版操作系统供应协议。省市县三级所用桌面终端安装了国网公司下发的正版软件,增强了基础层业务应用稳定性和数据的安全性。
2.3管控结合“促力腾飞”。
2.3.1“引教结合”,强化安全管理。通过文件、公告、会议、信息安全竞赛等多种渠道,大力宣传保障网络与信息安全的重要性。组织信息技术人员和信息员进行网络与信息安全技术培训和现场宣贯。对关键岗位人员进行全面、严格的安全审查和技能考核,对在信息系统安全工作中做出显著成绩的单位和人员应给予奖励和表彰,对违反国家法律、法规和渑池县电业局有关规定,造成一定不良影响和后果的,追究其责任。这些措施的实施,使全局范围内从上到下统一了思想、明确了认识,强化了全员网络与信息安全意识。
2.3.2强化系统运行维护管理。对信息网络与系统运行状况等进行监测和报警,定期对监测和报警记录进行分析,根据需要采取必要的应对措施。建立安全管理中心,对安全设备、恶意代码、补丁升级、安全审计等安全设施进行集中管理。严格按照有关信息系统事故调查规定,及时报告信息系统事故情况,认真开展信息系统事故原因分析,坚持“四不放过”原则,有效落实整改,确保类似事故不再发生。
2.3.3强化移动存储规范化管理。移动存储设备集中授权分发,数据交换前必须通过正确的身份认证,符合密码复杂度身份认证策略,记录数据交换过程的工作日志,便于以后进行跟踪审计,非授权的移动存储介质,在工作环境不可用。利用信息保密、访问控制、审计等技术手段,对移动存储设备实施安全保护,登记存储信息资产、日志记录、审计记录和信息不能被移动存储设备非法流失,实现存储设备信息安全的“五不”原则,即:进不来、拿不走、读不懂、改不了、信不丢。
2.3.4强化弱口令管理。根据“信息安全通报”、“信息安全反违章”检查的结果,结合其实际,进行全面的信息系统弱口令专项治理工作[2]。对系统本单位及局属各部门的桌面计算机,信息应用系统、操作系统、中间件和数据库系统等用户的访问账号及口令进行彻底排查,对不符合口令要求的用户及系统下发相应的通知,使其进行限期的整改,杜绝信息系统泄密事件的发生。
2.3.5强化安全接入管理。通过在网络中部署相应的网络安全检查策略,确保用户满足身份认证的要求,同时用户的终端设备必须达到一定的安全和策略条件,才可以通过网关设备接入到网络中并获得相应的访问权限。一方面验证了用户的身份,避免了非法用户接入到网络中,限定了用户的访问权限;另一方面也避免了存在安全隐患的终端系统的接入,可以大大消除蠕虫病毒对网络系统以及承载的业务所带来的威胁和影响,实现帮助客户发现、预防和消除安全威胁的目标。
2.3.6强化保密工作管理。管理严格执行“不上网、上网不”纪律[3],重要工作资料不得在外网计算机上留存,严禁在信息外网上传输、处理涉及国家秘密和渑池县电业局秘密的信息。严格信息系统安全工作人员录用过程,审查其身份、背景、专业资格,及时终止离岗员工的所有访问权限。严格外部人员访问程序,对允许访问人员实行专人全程陪同或监督,并登记备案。
2.3.7强化运行通报管理。为进一步做好信息安全保障工作,定期对信息安全工作进行统计分析,在月报中透明的体现信息安全运维工作,使全体员工及时掌握信息系统的运行情况,更好的为生产经营业务服务,渑池县电业局每月《渑池县电业局信息化工作简报》对当月信息安全运维工作的整体情况进行统计分析。每月一期《渑池县电业局网络与信息安全运行月报》,对当月网络与信息安全运行情况进行统计分析。信息安全运行通报制度的执行,使全体员工对信息安全运维工作有了了解的途径,增强了全员信息安全意识。
2.3.8强化系统上下线管理。加强应用系统的管理审批流程,形成闭环管理。新建信息系统涉及安全防护措施建设时,明确安全需求,确定安全等级,结合渑池县电业局安全防护总体策略,进行安全防护方案设计。严格规范系统变更、系统重要操作、物理访问和系统接入申报和审批程序,建立健全变更管理制度。保证所有与外部系统的连接均得到授权和批准,并进行必要的安全隔离,配置严格的访问控制策略,开展必要的安全评估[4]。
2.4激活人力资源,提升管控空间。
2.4.1搭建核心保障体系。成立以科技信息副局长为组长的信息安全保障体系领导小组,各部门负责人为领导小组成员,对渑池县电业局整体信息安全保障体系工作进行全面督导。领导小组下设工作小组(办公室设在信息中心),具体负责协调、执行实现信息安全保障策略的各项工作,本单位各部门设有兼职信息管理员,负责配合本单位本部门信息安全保障体系的协调、执行。
2.4.2开展兼职信息员建设,发挥信息管理员潜能。在全局各部门设立兼职信息管理员36名,部门兼职信息管理员由各部门既通晓业务、又熟悉计算机知识的人员担任,职责为进行基础性的运维工作、信息安全宣传、督导与检查和整改工作。信息员管理以安全员的标准按照专业化管理思路统一管理,设立有合理的薪酬标准及详细的管理制度,每月定期召开信息安全会议,按月开展信息技术培训,严格执行各种业务考核和工作安排,不断强化责任心和业务能力,形成全局齐抓共管的局面。
2.4.3绩效考核与控制。为保证市县信息安全保障体系的正常运转,明确职责分工,对工作项目和内容进行标准化、规范化管理,依据国网公司、省公司等上级单位的相关要求,修订完善了《渑池县电业局信息网络运行管理办法》等11项管理规范及标准,进一步规范了信息系统运行管理,确保安全保障策略持续、稳步实施。
3结语
近年来,国网公司实施了覆盖信息系统全生命周期的54项管理措施,立足国产化,积极探索自主可控安全管理模式,结合电网安全需求,加强顶层设计,对电网信息安全工作进行整体规划,经过努力,渑池县电业局在网络信息安全保障策略的设计和实施中的经验和做法,解决了县级供电企业信息安全保障体系中存在的一些突出问题和安全漏洞,广大员工在信息安全等重点环节,从制度执行、行为监控、防治体系等方面,有了稳步提升,总体来看,建成了电网信息安全等级保护纵深防御体系,为市县一体化的安全、稳定运行提供了强有力的信息安全运行保障,达到了预期的效果和目的。
参考文献
[1]国家电网公司信息系统安全管理办法[Z].北京:国家电网公司,2011.
[2]国家电网公司信息网络运行管理规程(试行)[S].北京:国家电网公司,2003.
[3]国家电网公司信息安全风险评估管理暂行办法[Z].北京:国家电网公司,2011.
[4]国家电网公司信息系统建转运实施细则[Z].北京:国家电网公司,2010.
--------------------
基于SOA架构的内蒙古烟草应用集成平台的实现
1关于电力信息化及其建设模式特点
电力信息化是由电力信息基础设施(PII)和信息化应用系统部分组成。计算机信息网络及其通信网络是电力信息化的基础,各类电力信息资源的开发利用是电力信息化的核心。电力企业信息化是指各类电力企业在电力生产和经营、管理和决策、研究和开发、市场和营销等各方面应用信息技术,建设应用系统和网络,通过对信息和知识资源的有效开发和利用,调整和重构企业组织结构和业务模式,服务企业发展目标,提高企业竞争力的过程。企业信息化包括生产过程自动化和管理信息化两方面内容。生产型企业信息化的重点在于生产过程中供应链的调配与优化,如发电厂的重点是生产过程自动化:商业销售型企业,则利用信息系统进行订单管理、客户关系管理、营销管理,与合作伙伴进行协作交流,如供电企业的重点是营销自动化:无论哪类企业,其信息化的共同之处就是应具备办公自动化、共享信息查询、业务数据处理、电子邮件等基本功能即信息网扣安全保障体系的建立,如防病毒系统,防火墙系统、入侵检测系统、存储备份系统等。现针对不同类型的电力企业,探讨在电力信息化的建设特点。
2电力信息安全现状与需求
2.1电力信息安全内涵
电力信息安全是指电力主营业务系统及企业信息安全,保障不被未经授权者访问、利用和修改,为合法用户提供安全、可信的信息服务,保证信息和信息系统的机密性、完整性、可用性、真实性和不可否认性。
2.2电力信息安全存在的问题
1)信息安全意识薄弱。信息安全由于无法量化、未发生重大事故等原因,往往被忽视,不少单位的网络与系统基本处于不设防状态;另外,电力企业IT用户由于不了解安全威胁的严峻形势和当前的安全现状,在使用个人计算机、应用系统、网络时只关注易用性,忽视了安全性。
2)信息安全保障工作没有常态化。信息安全保障工作以检查为主,如电监会、上级公司的安全检查,信息安全领导小组、工作组只在有信息安全事件发生时发挥作用,没有形成常态化的工作机制。
3)信息安全运作机制不完善。主要体现在业务连续性计划不完备、业务系统开发交付环节缺乏安全测试和对测试数据的管理、信息文档管理不规范等。
4)短板现象显著。电力企业办公地理位置分散(如供电所、营业厅),不同片区的IT运行维护(以下简称运维)、安全管理缺乏规范,在信息化建设落后的地方,由于受经济、技术水平等因素限制,往往存在信息安全短板。
5)系统安全设计不足。业务系统建设时缺乏安全设计方案,造成系统存在sql注入、跨占脚本攻击、无详细的审计日志、身份认证信息强度不足、软件容错性差等问题。
2.3信息安全保障需求
电力企业信息安全面临的风险有病毒木马、非法篡改信息、信息泄露、服务瘫痪,应对风险安全保障需求可分为信息安全管理和信息安全技术2大类 。
信息安全管理需求包括信息安全评估、安全策略规划、制度规范和实施细则制订、安全管理组织建立、信息安全培训、信息安全运行管理、安全监控、应急响应和恢复、安全监督审计等方面;信息安全技术需求主要是通用信息安全技术手段(或安全服务),如身份认证、访问管理、加密、防恶意代码、加固、监控、审核跟踪和备份恢复等。
3建立安全的电力信息保障体系
3.1信息安全策略
信息安全策略应由安全决策层制定并进行宣传,可从省级电网层面制定公司安全策略,各地市级供电局负责贯彻落实。电力信息安全策略的制定应结合国家信息安全等级保护政策,以提升企业整体防病毒、防篡改、防攻击、防泄密、防瘫痪能力为基础,并结合自身信息化建设水平。
3.2信息安全管理
对比信息安全保障框架,电力企业在信息安全管理方面亟待加强,集中体现在以下几个方面:虽然建立了信息安全管理组织,但并没有有效运转;公司员工仍认为信息安全是某一个IT部门的事,包括信息技术部内部部分管理人员,没有树立起全员信息安全意识;部分安全职责不明确或不履行职责,对安全管理制度置之不理;缺乏有效的安全通报考核机制;没有建立起风险管理控制机制;信息安全管理体系没有形成计划、实施、检查、处理闭环。
1)信息安全组织方面,应建立安全决策机构、管理机构、执行机构和督察机构。安全决策机构应由省级电网公司成立,并至少每年召开信息安全工作会议,通报电力信息安全现状和安全规划;督察机构可抽调企业内部各单位信息安全业务骨干组成,至少每个月对信息安全状况进行检察和上报;明确各级信息安全岗位职责,使安全管理组织真正运转起来。
2)安全风险管理是对企业残余风险的管理控制,防止风险发生。实施信息安全风险管理流程优化,控制变化带来的风险,确保风险受控,实施年度风险管理审核机制, 由安全督察机构实施风险审核。
3)电力信息安全保障应引入PDCA闭环管理思想,建立安全监察评价机制和信息安全考核评价指标,通过对信息安全政策、标准、规章制度、措施执行情况的检查及借助信息技术手段分析信息安全情况,不断优化安全管理运作过程。
信息系统运维部门对系统安全风险最清楚,但运维人员通常怕担责任,受批评,增加工作量,参与风险排查的积极性不高,故应调动一线运维人员排查风险的积极性,在各信息系统的管理维护部门内部建立风险排查机制,每个月进行排查,提交月报;安全管理人员与各信息系统的管理维护部门联合组织专题排查;安全督察机构每年进行强制性抽样检查,形成部门主动排查为主,专家年度安全检察为补充的安全监察机制。安全考核评价应结合安全监察,至少每年1次,先由各单位或机构根据自查情况进行自评估,之后由安全督察机构根据自评估结果,对部分部门实施强制性抽样检查,以保障安全考核评价的客观性。另外,必须根据安全考核结果进行通报和奖励。
3.3保证电力信息安全的技术措施
身份认证和访问控制可通过公钥基础设施(publickeyinfrastructure,PKI)技术进行统一管理,建立省电网级认证授权中心,提供目录服务、身份管理、认证管理、访问管理等功能。实现主机系统、网络设备、安全设备、应用系统等的统一身份认证管理。对营销、财务等系统中的机密数据,应使用加解密、数字签名、消息认证码等手段进行保护,提高系统服务和数据访问的抗抵赖性。目前,电力企业多数系统通信过程都未采取加密、数字签名等安全措施,加之企业内网未实施有效的准入控制,这给电力信息安全造成巨大风险,必须尽快梳理各类信息的机密属性,整体规划,对应用系统进行升级改造,并实施内网准入机制。
电力管理信息大区网络内部应建立病毒预防、检测、隔离和清除机制,预防未知病毒入侵,迅速隔离被感染的主机,识别并清除网内的已知病毒。
加固是指对信息系统安全领域受保护的对象进行自身安全加固的保护,内容主要包括安全漏洞扫描、渗透性测试、对象补丁的获取和实施安全、关闭不必要的服务和防止拒绝服务的攻击5部分。针对终端安全,应由省级电网公司建立统一的桌面操作系统安全补丁管理体系、建立规范的桌面计算机系统软件管理体系、建立完善的桌面计算机系统资产管理体系、建立严格的软件监控管理体系、建立有效的桌面办公安全管理规范和技术规范等。针对主机安全,需搭建统一的补丁测试环境,对电力典型业务系统进行补丁测试,建立统一的补丁测试、更新机制,建立主机平台配置技术规范等。
监控和审计可提高信息的安全性,提高问题发生时的反应速度,有效预防安全问题的发生。应进行统一规划,建立IT监控平台。目前广东电网等省级电网公司都已经开始实施监控平台的建设。
中图分类号:TP311 文献识别码:A 文章编号:1001-828X(2016)031-000-01
一、运维管理现状分析
企业中的IT技术日益完善,企业管理的关键点也发生了转变,从以前的单一管理到了现在的综合管理,对网络的关注也从单一到了更系统更全面的转变。究其原因,更多的企业意识到了,业务发展迅速,设计的环节增加,系统也逐渐复杂,以前单一的网络环境已经满足不了企业综合业务和管理的需求,能够满足各个系统各个环节的技术需求。企业除了要对IT资源统一严格管理、减少投资成本、提高遇到突发事情的随机应变能力、提升产品质量和服务之外,更要注意业务系统的正常操作和运行。除此之外,我国IT管理领域用户规模逐年增加,对IT技术的要求增多,网络管理系统需要一直更新换代,以满足用户需求。
二、新时期运维管理存在的问题和解决方案
新时期,作为数据传输、计算和存储中心的数据中心,集中了各种软硬件资源,需要解决很多问题,这也让数据中心的运行管理变得困难。当前运维管理工作中存在的主要问题有:1.应用水平薄弱,增加了运维工作量;2.运维技术力量不足,制约了运维服务质量;3.缺乏完善的运维制度和严密的运维流程;4.缺乏先进的运维监控手段和工具,主动运维不足;5.运维能力相对滞后,给运维工作带来困难;6.安全意识薄弱,给后期运维带来麻烦。
因此,建立完善的运行维护管理体系,实现主动积极的运维,保障运维工作的良性发展,成为迫切需要解决的任务。这就需要数据中心的管理人员予以重视,进行规划、f调和统一控制。
第一,在上层业务层面上,数据中心的首要任务是计算,因此,对于性能参数和业务流量加以调整,使其重要程序能够正常运行;第二,基础设施方面,需要统一管理一个平台的路由器、交换机、服务器等设备,能够使得数据中心的管理符合要求;第三,从运营角度看,业务部门受到数据中心的各个方面服务质量和流程的直接影响;第四,从技术发展的展望来看,要管理好硬件和软件,从而使得数据中心的所有指标达到标准,自动化能够顺利进行。这四个方面的顺利完成,需要一套灵活的管理方法和机制,能够较容易的让各方面顺利运营。
三、建立综合保障体系,提高运维管理水平
1.以人为本,合理定位,激励与管理并重
进行合理的职责定位,实行网格化岗位分工,采用A角和B角的方式,能够有效的避免单点故障出现时可能出现的风险,实现人力资源的互为备份。采用科学的人才激励机制,坚持“以人为本”,做到“以待遇留人、以感情留人、以事业留人”,提高技术人员的待遇,补充新进技术人才。同时进行管理模式的优化,可按照地域范围,组建分片的运行维护中心,增强运行维护体系的专业性和针对性。
2.完善机制,保障到位,规范运行维护制度
健全制度建设,使日常的运维工作流程化,职责角色清晰化。加强对危险的防范意识,对安全建设具有完整的规划和加固方案,对于各种安全防护产品能够综合应用,从而能够使整个系统保持在一个相对稳定安全的状态。对系统健康检查机制的建立健全,使得系统能够自主运行,坚持天天记录检查,定期对系统健康检查进行维护,对系统中的问题做到及时的处理。
3.优化服务,提高效率,加强流程控制
完善服务平台的建设,在系统内部办公网站开通运行维护技术支持系统,为各种系统和网络的正常运行提供技术支持。增强服务意识,将服务理念引入运行维护管理的建设,对每一件事件的处理,都实行问责任制。优化运行维护流程,引入扁平化管理模式。
4.加强培训,提升素质,促进应用
制定有针对性的培训计划,既要兼顾信息技术的发展,又要考虑到实际的需求,对计算机技术进行培训,操作方面也要加强应用培训,提高整体的运行水平;以需求为动力,建立积极的运维服务理念;改变谁负责谁培训的方式,突破技术局域性限制,提高运维效率。
总之,运行维护管理体系的建立是一个不断完善的过程,我们要对现有的IT网络环境、现状及未来发展的目标有一个准确的认识,从而来制定IT管理的整体规划架构,对企业的员工进行优化,对管理流程也详细分化,从而实现服务管理的目标。运行维护体系的顺利实施,和整体水平的提升,不仅需要技术部门彻底转变观念,还要把规范的服务意识作为维护体系的根本出发点,先提高员工的基本素养,再实现服务水平的整体提升。
参考文献: