首页 关于我们 企业资质 发表指南 购物车0
目标检索
学术杂志 科普杂志 SCI杂志
当前位置: 首页 精选范文 运维管理保障体系范文

运维管理保障体系精选(十四篇)

发布时间:2024-03-27 16:05:37

序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇运维管理保障体系,期待它们能激发您的灵感。

运维管理保障体系

篇1

一、关于精细化管理的涵义

“精细”就是细致精密之意。在我国传统的思想文化当中,关于精细的思想可谓源远流长。古人曾讲:天下的难事,必须做到简易;天下的大事,必须做到精细。其它如“千里之堤,溃于蚁穴”的观点,也从另一层面展现了韩非子的精细化观念。就当前而言,精细化管理模式来源于一些发达国家,这种全新的管理是服务质量精细化及社会分工精细化对当代企业管理的必然趋势,它基于常规管理这个基础,且将这个基础引向一种更为深层次的管理模式,它的主要目标就在于将管理所占用的成本及资源进行最大限度的降低。作为一类管理技术与管理理念,精细化的管理强调的是通过规则的细化及系统化,运用数据化、标准化及程序化的手段,确保组织管理不同的单元保持协同、可持续、高效、精确运行。就当前而言,精细化管理模式其最主要的特征就是重效果、重质量、重具体、重过程与细节,追求专注做好一件事情,并在细节上力求最佳、精益求精[1]。

二、加强办公室精细化管理的措施(几点体会或思考)

第一,精细化管理要加强办公室细节落实、增强职工意识(注重细节,增强意识)。

就当前而言,作为一种新型管理模式,精细化管理不仅可以提高各部门管理水平,而且还可以将员工的工作效率、积极性和主动性进行提高。尤其对于复杂的企业办公室来讲,其各类工作具有突发性强、受被动性、事务纷繁复杂等特点,不论是对上接待还是服务领导,不论上传下达还是督办、督查等工作,稍有大意或者疏忽,就极有可能铸成大错,造成企业或者个人损失。在实际的企业工作当中,各企业要适当通过组织全体成员一起探讨、学习精细化的管理工作,认识到实行精细化管理的意义所在,引导和教育广大员工脚踏实地、立足本职,从细节上养成严谨细致、精益求精的工作习惯,确保精细化管理思想深入人心,贯穿每个流程、每个工作环节的始终。如果要想做到这些,那么办公室职工就在增强以下三方面的意识水平:一是增强企业意识。这也是落实办公室工作的重要保证。由于办公室每项工作都极具重要性且头绪很多,特别是对于可以影响全局的工作,更是要做到服务在先、思考在前,将企业责任意识落实到工作当中来,讲效率的同时也要保证质量水平,坚持谁工作、谁负责的责任原则,将各项工作切实落到实处,力争各项工作稳步推进,做到零缺陷、零失误,为企业正常运营提供保障;二是增强办公室职工的精品意识。从办公室工作的情况来看,这是落实工作的根本。企业办公室不论是办事还是办文,都要做到有序、保证条理性、遵守程序,要尽可能将每一个细节、每项工作做到尽善尽美 。简单地说就是办事要达到无可挑剔、会议要举办得圆满、写文要力求达到准确、精练、高效表达办文意图;三是增强办公室工作人员的创新意识。这也是办公室工作最终得以做好的动力所在。办公室工作的全局性决定了广大工作者要从企业大局出发,认真思考每一项工作,不断在工作当中探索灵活多样、行之有效的工作手段及方法,积极适应企业领导的不同的工作作风、思路以及理念,将这种服务内化为一种艺术,真正发挥出领导的助手功能。就企业办公室工作者而言,办公室的工作大多是日常事务性的工作,平凡、简单而单调,许多具体工作都有固定的程序和模式,容易在工作中产生因循守旧的惯性思维,特别在拟写重要材料时,由于平时不注重资料的收集整理,对周围环境变化的观察和思考不够,上级和领导新的思路未能及时准确把握等原因,最终将导致拟写的文章既不能迅速融入企业的经营环境,也无法有效传递管理层的经营理念和思路,也就难以真实反映企业经营管理过程中存在的问题,最终提出的管理措施和手段将失之偏颇乃至谬之千里。为此,在企业的办公室工作中创新意识的树立对工作质量的提升同样发挥着极其重要的作用。只有真正理解本职工作的实质,深入研究工作中遇到的问题和困难,积极主动思考解决的方法,才能充分发挥员工的主观能动性,才能在具体工作中创新思路、创新流程、创新方法,行动的中枢就是思想行动,只有在思想上进行重视,在行动中也才能给予重视,才能通过行动反映思想。提高工作者本身的责任意识,也是当代企业精细化管理当中不可或缺的重要因素,它能确保广大工作者在工作的过程当中思维缜密,不断提高工作效率,保证工作成效。因此,办公室工作人员在工作过程当中,要从基础抓起,关注琐事、小事,从这些锁事、小事做起并做好。从细节上入手,从小处着眼,从精细化上苦下功夫,真正使每个办公室职员认识到精细化管理所带来的良好成效,将精细化的管理方式融入到日常的学习与管理当中,树立起科学的、精细的工作态度,切实落实办公室各项工作有序、稳定、扎实地推进。有些同志难免会觉得自己工作岗位和未能及时因而从思想上忽略了工作的重要性,导致行动过程当中疏忽大意。然而许多人始终没能明白,无论工作者从事什么工作,在哪个工作岗位,都是企业办公室工作当中的一部分。所谓千里之堤,溃于蚁穴正是这个道理,也正说明了小环节其独特的重要性质。(建议删除灰色部分)

第二,将精细化管理模式运用到企业办公室规章制度的制订以及绩效考核当中(规范管理,加强考核)。

现代精细化的管理要求工作人员在工作的整个流程当中都要做到标准化、规范化及精细化。而如果在企业的日常工作过程当中,只是口头上强调要求精细化、具体化,而没有一套严格的、可供参考的奖惩制度及考核方法,没有差与优的区分,不能用量化标准去衡量,也必将使企业的精细化管理无法落到实处,最终只是流于形式。因此,在日常的实际工作流程当中,企业应结合各类办公室工作制定的相关职责要求与工作标准,将其作为对员工本职工作衡量与考核的主要依据,强化绩效考核制度,具体可采取以下几种方式:一是根据岗位职责不同,改变传统重过程轻监督的做法,制订科学的考核模式,奖优罚劣,建立事务全程监督体系;二是遵循可操作性、激励性与科学性原则,实施责任分解制,将各项工作量化、细化,从效果、标准与时间等方面具体化,建立权责统一、分工明确的科学责任体系;三是坚持定性考核与定量考核相结合、分类考核与综合考核相结合,不断提高考核科学性;四是将各类考核同奖评优先、行政问责等方面有机结合,以此使企业办公室工作全面取得实效;五是建立企业办公室工作活动台帐,记录每个员工工作成绩,定期进行工作情况汇报,推广先进的典型。坚持用数据和事实说话,不能单纯凭主观臆断进行评价,确保办公室的每个工作者能能够优质高效、各司其职完成自身所承担的各项任务,实现事事有人管、人人有事做的先进化管理,并在此项基础之上,付之于科学合理的绩效考核,这样既可推动企业各部门实现精细化管理进程,另一方面还能激发广大职工的工作积极性与热情。它的功效主要表现在以下两个方面:一是实行严格的绩效监督体系,可以即时了解各个工作者、各个部门在工作计划进度、工作任务以及规章制度等方面的具体落实情况,这样就有利于工作的评比及表彰,以此来建立合理的激励机制与约束机制,达到严格奖罚、鞭策后进、激励先进之功效;二是实行严格的考核监督休系有利于找差距抓进展。对企业办公室重要工作进展、部署落实进行严格的考核与监督,可以确保各项工作都能够最快的落实与实施。特别对于未能如期完成的工作与启动较慢的工作来讲,严格考核监督体系的实行,利用发现此项工作的问题之处,进而找出差距,以便及时将当前工作方式进行改进,以达到精细化的管理,来促进企业办公室的各项工作稳定实行,为企业实现顺利运营提供有利保障。

篇2

关键词:质量管理;规范运维;企业

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)09-2028-03

大多企业经过十余年的信息化发展,大规模的信息化建设基本完成,即将面临着长期的系统运行维护的问题。但与信息系统建设的较高水平相比,还普遍存在IT服务管理较弱的问题,缺乏有效的管理手段与方法,这就使信息化的投入充满了很大的不确定性,也使信息化效果很难控制。因此,如何对企业庞大的技术系统进行科学、高效的管理,从而发挥它的最大效能,降低运营成本,是当前企业信息化过程中必须面对的挑战。

1 三套标准在运维体系中的适用性分析

ISO9000质量管理体系标准在各企业和单位中的运用非常广泛,是对整个单位运作、服务过程进行质量控制管理的体系,通过质量手册、文件控制、记录控制等方面为管理对象的实施提供指导,侧重于对宏观运作流程的控制,但不包括各专业业务层面的特定要求。

ITIL作为一种以流程为基础、以客户为导向的IT服务管理指导框架,它摆脱了传统IT管理以技术管理为焦点的弊端,实现了从技术管理到流程管理,再到服务管理的转化,适用于IT服务管理和服务流程的控制。

等级保护管理体系是对信息系统的科学、安全运行进行监督和控制的体系,从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面为信息安全专业层面提供指导,适用于运作流程中各节点的安全控制。其中的保护等级划分,也为信息安全投入和安全保障水平提供了平衡点。

对于已经实施ISO9000的单位,信息化职能部门在ISO9000贯彻实施时往往与自身信息化业务无法融合,即便进行了融合也常以信息化的一般性运维工作为主,没有考虑规范化安全运维工作在整个单位和组织质量控制体系中的重要性。因此将ITIL、等级保护思路与ISO9000融合,即可具体落实ISO9000体系中的流程控制,也可以弥补等级保护在体系要求、文件控制和记录控制等方面的薄弱环节,同时完善ISO9000体系中对信息安全领域的专业性,最终形成以质量管理体系为框架,ITIL流程控制为主线,等级保护管理标准为保障的综合运维保障体系。

2 规范运维保障体系架构设计与文件体系建设

结合三套标准的特点进行运维管理架构设计时,在体系结构层面要考虑运维体系的建设周期、各标准在运维体系中所处的层次、每个层次要达到的要求及PDCA方法论等。在服务流程层面要考虑结合企业的现状,IT服务支持模式和管理流程及最佳实践等。在具体操作层面要考虑响应方式、实现工具、安全要求、监控方法等。将三大标准体系体系结构层面设计:在整个运维生命周期中,包括运维体系建设、运维支持管理、运维成效管理及运维持续改进四个阶段。这四个阶段形成一个PDCA持续改进的管理循环。通过建立检查、反馈机制,对信息安全管理体系运行情况进行监督和控制,建立动态调整机制,确保信息安全管理体系符合新形势、新技术发展要求。

服务流程层面设计:系统运维的服务流程是信息化工作部门和服务供应商向业务部门的服务交付和支持过程,通过建立“一站式”的服务台和规范的流程程序,提高IT部门对事件的响应能力和IT运维工作的规范性,防范手工方式出现对用户请求的遗忘,以及非规范的操作引起的系统风险,同时要帮助信息化工作部门实现运维知识的积累和共享,提升运维和管理的整体水平。

具体操作层面设计:在系统运行维护中,各项工作(事件、变更等)的处理程序、操作步骤、完成时限及服务要求等,均要制订相应的标准和规范,在涉及安全管控点时,可通过建立符合信息系统等级保护要求的安全配置基线,统一信息系统建设和运行技术配置标准。

按照上述三个层面之间的关系,落实到文件体系中时,可以质量管理体系为总体框架,将体系文件分为三个级别:一级程序文件为纲领性文件,用于描述整个体系架构运作流程和运维方针策略。主要包括信息化建设与管理程序,信息系统运维管理程序,涵盖信息化建设与运维全过程。二级程序文件按ITIL流程管理为主线,为一级程序提供可操作的流程化文件。主要包括:项目管理、事件管理、问题管理、配置管理、管理、变更管理、应急管理等流程。三级流程涉及具体操作规范,落实二级流程文件中涉及的各方面运维和安全管理内容。主要包括:沟通管理、授权与审批管理、文件规范性管理、介质管理、资产管理、网络管理、系统管理、安全事件与应急管理、备份与恢复管理等方面。记录表单为实际运维过程的记录。各级文件组成结构如图2所示。

文件体系是运维体系架构的管理体现,是管理落地的基础,也要运用PDCA管理。

3 规范运维保障体系ITIL流程设计

要想管理体系得到贯彻执行,就要对规范化运维流程进行科学有效的设计。因为流程是管理的终端,主要解决的是管理固化问题。而ITIL作为事实上的国际标准,基本与组织性质和业务性质无关,仅明确指出应该“做什么”,但不讲“如何做”。因此流程设计时还要结合企业的现状,本着一切从实际出发的原则,考虑企业对IT服务管理的切身需求,按照最佳实践和企业的实际设计出的合理的IT服务支持模式和管理流程,建立自己的方法论。

在具体的规范流程设计过程中,首先要考虑的是人员岗位职责。应用服务管理之后,IT部门的组织架构、职能、工作方式都会随之发生一定变化。建立规范的流程,需要确定IT支持人员和管理人员的职责,通过流程角色的设置,而不是单纯依靠组织结构的设置来把角色和职务分开。同时制定配套的人员角色和职责及考核机制,以实现对人员的量化管理和资源的有效利用。

其次是确定提供服务的管理流程。在ITIL中已归纳为服务级别管理、IT服务财务管理、能力管理、IT服务持续性管理和可用性管理5个服务管理流程。这些管理流程用于解决“客户需要什么”、“为满足客户需求需要哪些资源”、“这些资源的成本是多少”、“如何在服务成本和服务效益(达到的服务级别)之间选择恰当的平衡点”等问题,服务提供所包括的这5个核心流程均属于战术层次的服务管理流程,用以确定服务级别协议及满足服务要求所需要的最优资源,也就是说如何做正确的事。

再次是确保用户得到适当的服务支持以保障组织业务功能。服务支持流程体现服务接触和沟通的5个运作层次的流程,即事件管理、问题管理、配置管理、变更管理和管理。这5个服务管理流程的主要职能是,确保IT服务提供方所提供的服务质量,符合服务级别协议(SLA)的要求,即如何正确的做事。ITIL核心流程之间的层次关系如图3所示。

最后是引入服务台、服务连续性管理等流程自动化工具,以系统工具来固化流程,再不断完善流程。同时要关注工具之间的联动和信息整合,如果可能,尽早的进行统一的规划,建立集成规范要求,以保证投资在未来得到充分保护,不被浪费。

所以,ITIL的应用过程和效果的获得,不是简单的单纯通过项目建设能够达到的,是企业信息中心部门、咨询服务提供商、产品提供商等多方共同努力的结果,也是一个持续改进、不断优化的长期过程。

4 构建信息系统等级保护为基础的防护体系

保障体系要结合管理体系和ITIL流程,落实安全技术及管理要求。可依据分级、分域、分区、分层的防护原则,对运维的信息系统按级别划分安全区域进行管理,各安全域划分为网络边界、网络环境、主机系统及应用环境四个安全层次,最后形成纵深防御体系。

在技术上可通过强化边界访问控制、规范网络访问行为、强制主机管理、构建应用授权和身份认证平台、加强审计监控等措施构建协同防御。每个安全保护部件或设备应具有安全保护功能独立完整、调用接口简洁、与安全产品相对应和易于管理等特征,在后期综合运维服务与监控平台集成建设中能够保障数据的共享和协同防御。在管理上通过建立综合运维服务与监控平台。将机房环境监控系统、网络管理系统、性能监测与管理系统、入侵防御系统等监控与管理的系统告警和性能监测数据进行整合,梳理各个资源之间的告警关系,进行集中监控告警模型设计,并可进行工具产品的客户化定制,实现集中监控管理和指挥控制,为运维体系安全运行提供全面的管理保障。

5 规范运维保障体系实施路线

在实施阶段,要考虑若一次性全部实施所有流程带来的风险,可采用分阶段实施的方法,做到稳步推进,以便取得良好效果。大致可分为前期准备阶段,全面试运行阶段,正式运行及扩展阶段,综合优化调整阶段。

1)前期准备阶段

明确参与运维工作人员的岗位职责,做到权限分离。开展等级保护测评并根据等级保护要求制定安全配置基线及相关操作规范。根据等级保护测评结果,按照分级、分域、分区、分层原则制定安全技术基础平台整体解决方案,在管理与技术上提供安全依据。试运行ITIL运维管理五大流程,检验工作流程的可操作性。梳理清楚管理对象,完善资产配置管理,确定运维管理的范围。

2)全面试运行阶段

全面开展规范化运维工作,在运维平台中体现所有运维工作并力争全员参与,做到运维职责明确,流程处理程序规范,操作标准,过程有痕迹并制定合理的绩效考核方案。在日常运维工作中查找不足,提供改进意见,不断完善质量目标文件、流程体系文件和操作手册。充分发挥知识库作用,将常见问题解决方法进行归纳总结并上传至知识库,做到知识共享。同时实施完成安全技术基础平台,实现安全管理中心与运维平台互联互通问题,保证安全要求融入运维流程中。

3)正式运行及扩展阶段

全面运行完善后的ITIL运维管理五大流程,结合ISO20000相关运维标准,构建信息化运维服务运维服务体系,规范化、标准化、痕迹化运维管理工作。运用PDCA过程,进一步细化调整管理体系,总结体系运行情况,调整不适用和无法落实的部分,使之能高效、有序的运作。同时定期通过第三方机构对已测评的信息系统开展等级保护复评,找出所有系统的安全隐患,并提出整改方案和实施计划,督促信息安全措施的落实。

4)综合优化调整阶段

总结前期的规范化运维工作,调整不适用的部分,常态化的管理体系运作。定期进行内部评审,找出与当前工作的不适用部分进行优化调整;同时在工作中,结合工作实际,寻求更高效安全的方法优化体系,提高体系的效能。

综合上述实施阶段,确定实施路线图如图4所示。

参考文献:

篇3

 

1 综合治理信息安全的战略背景

 

IT管理技术发展历程,从被动管理转向主动管理,从服务导向转向业务价值。在科学的IT管理方法论方面形成了一系列标准:诸如ITIL/ITSM以流程为中心的IT管理行业标准;ISO20000ITIL 的国际标准; COBIT面向IT审计的IT管理标准;COSO企业内部控制框架,面向内部控制;ISO17799:信息安全管理国际标准。当前有很多非常好的综合性标准与规范可以参考,其中非常有名的就是ISO/IEC27000系列标准。ISO/IEC 27001通过PDCA过程,指导企业如何建立可持续改进的体系。

 

目前企业IT运维管理现状。需求变化:IT本身快速变更;管理目标多角度变换并存。资源不足:IT 复杂性成长快于人员成长;IT 人员持续流动。业务影响:难以判断事件对业务的影响和处理事件的优先级。信息孤岛:IT 资源多样性的,不能进行事件的关联分析,缺少统一的健康视图。IT网络与信息系统运维存在监测盲点,缺少主动预警和事件分析机制。

 

如何把此项复杂的工程进行细化与落地,建立信息安全保障框架?在企业有限的IT资源(包括人员、系统等)等的前提下,IT运营面临严峻的挑战,企业多半缺乏信息系统应用开发能力,在很大程度上依赖于产品开发商的支持,为此,要想实现从混乱到清晰、从被动到主动、从应付到实现价值取向的服务思想,自主加外包的混合运维方式无疑是一种好的服务方式。

 

2 建立和实施信息安全保障体系思路和方法

 

针对IT管理问题和价值取向的服务方式,借鉴PDCA工作循环原理和标准化体系建设方法,从建立安全目标和组织体系、制度体系和技术体系等三个主要层面构建实施信息安全保障体系,以规范引导人、以标准流程引导人,以业绩激励人,从而促被动变主动,坚持持续改善,促进工作效率,促进安全保障。

 

2.1 建立和推行目标管理

 

体系建设应以目标管理为先导、循序渐进,按顶层布局、中层发力、底层推动内容设计与构建,为此,借鉴当前IT运维管理目标演进方式,确立各阶段建设目标。

 

基础架构建设阶段(SMB),手工维护阶段。主要实现IT基础架构建设。

 

网络和系统监控(NSM)阶段,重视自动化监控阶段。主要实现IT设备维护和管理。

 

IT服务管理(ITSM)阶段,重视流程管理阶段。主要实现IT服务流程管理。

 

业务服务管理(BSM)阶段,重视用户服务质量与满意度。主要实现IT与业务融合管理。

 

从IT投入和业务价值来看,前三个阶段是间接业务价值,第四阶段才是直接业务价值。

 

根据ITIL这个IT服务管理的方法论,先是搭建一个框架,借用工具的配合促进落地。如图1、IT运维管理系统参考模型。

 

从安全目标出发,结合IT运维管理系统参考模型,每个阶段的工作向着实现直接业务价值,不断消除或减轻对性能的约束,促进IT产品或服务满足确定的规范,实现企业效益最大化。服务好用属性通过最终的绩效和检验结果监视测量价值成分。如图2。

 

2.2 规划融合信息安全保障体系

 

通过从组织体系、制度体系、技术体系层面建立和实施纵深防御体系,实现稳健的信息安全保障状态。

 

①组织体系:通过企业中高层的支持实现业务驱动和共同推动信息安全体系建设。当然,需要提出的问题,组织有可能要依赖长期可靠的合作伙伴:通过长期可靠的合作关系,快速引进外部专业资源和先进技术,可以帮助企业推动信息安全建设工作。为了帮助组织内外信息系统人员更好地遵守行业规范及法律要求,企业实施IT网络与信息系统安全运维体系标准,组织应做到定期对全体员工进行信息安全相关教育,包括:技能、职责和意识,通过相关审核,证明组织具备实施体系的意识和能力。

 

②制度体系:企业IT网络与信息系统安全运维系统建设的范围包括机房安全、数据安全、网络安全、服务器安全、业务应用安全、终端安全等。为此,企业应明确内部运维和外部协同的内容及其标准规范,包括绩效标准。建立实施IT网络与信息系统安全运维体系标准,首先把高效的信息安全做法固化下来形成规则制度或标准,成为组织中信息安全行为准则。保证事前预防、事中监控和事后审计等安全措施的得到有效执行与落实。

 

③技术体系:一般来说,网络设备技术体系可以按照从上到下信息所流经的设备来部署工具。即从数据安全、终端安全、应用安全、操作系统与数据库安全、网络安全、物理安全六个方面来选择不同的安全工具。按照“适度防御”原则,综合采用各种安全工具进行组合,形成企业“适用的”安全技术防线。适时根据风险评估的结果,采取相应措施,降低风险。

 

其中,需要采用1~2种综合管理的工具来帮助把所有的安全监控工具进行统一管控。例如SOC是给企业日常维护管理者使用,ITRM作为综合风险呈现,是给企业风险或安全管理层使用。

 

④体系运行和监控:体系的日常运行和监控就是从信息的生命周期进行流程控制,即在信息的创建、使用、存储、传递、更改、销毁等各个阶段进行安全控制。之前不能忽视在信息创建开发安全阶段的一个细化控制手段。在运行体系建设中,往往需要结合流程分析来关注信息的生命周期安全。运行过程中还有一个应急管理,包括灾备中心建设、业务连续性计划、应急响应等等都有相应的标准与理论支持。特别是BS25999标准的颁布,给如何建立一套完善的应急体系提供了参考。

 

3 企业建立和实施信息安全保障体系实践

 

面对网络系统互连,网络技术与设备的安全管理规范的完善这个复杂而且浩大的工程,井冈山卷烟厂不仅依靠个体分散的技术措施或者管理防护,而且结合国家、社会和个人的力量构建综合保障体系。

 

①依据ISO9000、ISO14000和OHSAS18000标准,国家计算机网络和信息安全相关法律法规,参考当前科学的IT管理方法论方面形成了一系列标准,结合YC/T384烟草企业安全生产标准等,识别这些与信息安全相关的法律法规及其它要求,将信息安全保障体系(框架)融合到企业质量、环境和职业健康安全(以下简称为三标)综合管理体系。

 

②确定信息安全管理目标并分步实施企业三年信息化发展规划。自2012年开始,企业对照YC/T384烟草企业安全生产标准要求,在梳理和评价2000年以来企业多个企业信息化三年实施规划实践环境以后,制订了新的三年信息安全管理目标和建设规划,将目标和规划分解到各年度实施,并纳入到企业年度三标综合管理体系建设目标和管理绩效考核。

 

③建立信息安全管理组织和工作标准,同时纳入三标综合管理体系管理考核。从体系结构上促成企业作业层、管理层(中间层)和决策层的信息化,实现企业的物资(服务)流、资金流和信息流的一体化,及时、准确和完整地传递企业的经营数据,保证企业的经营管理。利用信息化改进管理,形成企业信息安全文化,促进员工接受、理解和主动配合,不断提升全员的信息安全意识和技能,从而使信息安全管理真正落到实处。

 

④建立和实施信息安全保障体系文件标准。根据国家信息安全相关的法律法规及其它要求,结合行业和企业的特点和发展趋势,规范管理流程和模式。网络与信息系统建设“立足长远、分步实施、突出重点”,做到“统一规划、统一标准、统一平台、统一编码”,同步实施信息系统等级保护制度,促进企业与信息系统项目合作单位、地方通讯和公安等部门的社会化合作主要方式。企业内部各项工作实现规范化、信息化,做到一切工作都按照程序办,同时,事事处于相互制衡的环境之下、人人处于监督管理之中,从而形成职责明确、运转协调、相互制衡的工作机制,为企业内部信息安全监管提供强有力的保障。

 

几年来,企业坚持企业信息安全方针目标,以迅速响应服务为宗旨。企业信息安全保障体系建设紧紧围绕建立科学、规范、和谐、统一、开放的管理体系,全面融入了质量、安全和环境管理体系一体化建设和实践,截止到2015年底,企业共梳理建立或整合并实施安全保障类文件包括企业管理标准、技术标准和工作标准共计31个标准文件。通过创新与改善和体系审核、管理评审和提高文件执行率及持续改进方式保持了信息安全保障管理体系的持续改进和有效运行。

篇4

关键词:安全;电子政务外网平台;电子政务外网云平台;保障体系;传统架构;云计算

中图分类号:TP393.08 文献标识码:A 文章编号:2095-1302(2016)11-0-03

0 引 言

随着电子政务外网的发展,各省市电子政务外网平台的建设均已成熟,多数省市电子政务外网平台建设之初采用的是物理机传统架构部署方式。随着信息技术的发展,云计算技术应运而生,电子政务云平台的建设风生水起。然而无论是传统架构还是在云计算环境下,电子政务外网平台面临的风险越来越多,本文就这两种架构下电子政务外网平台的安全如何建设进行分析,提出相应的解决方案。

1 建设方案

电子政务外网平台的安全建设应根据业务应用特点及平台架构层特性,应用入侵检测、入侵防御、防病毒网关、数据加密、身份认证、安全存储等安全技术,构建面向应用的纵深安全防御体系。电子政务外网平台安全建设可从分析确定定级对象及安全等级、构建安全保障体系、明确安全边界、安全技术保障、安全运维保障、安全制度保障、云计算环境下电子政务外网平台安全保障几方面考虑。

1.1 分析确定定级对象及安全等级

信息系统安全等级共分为五级,根据“中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会”的《信息安全技术 信息系统安全等级保护定级指南(GB/T 22240-2008)》,结合国家相关行业标准规范,分析确定定级对象及安全等级。本文以构建信息系统安全等级第三级标准安全建设进行探讨。

1.2 构建安全保障体系

电子政务外网平台安全保障可从安全技术保障、安全运维保障、安全制度保障三个方面着手考虑,根据“中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会”的《信息安全技术 信息系统安全等级保护定级基本要求(GB/T 22239-2008)》进行建设。物理机传统架构下的电子政务外网平台安全保障体系架构如图1所示。

1.3 明确安全边界

1.3.1 安全边界划分原则

安全边界划分原则[1]如下所示:

(1)以保障电子政务外网平台信息系统的业务、管理、控制数据处理活动、数据流的安全为根本出发点,保障平台安全;

(2)每个安全域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等;

(3)根据“信息安全等保”要求,网络规划时避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;

(4)根据《国家电子政务外网跨网数据安全交换技术要求与实施指南》,部署数据安全交换隔离系统,保障数据交换安全;

(5)对接入边界进行安全防护。

1.3.2 安全边界划分

电子政务外网平台可划分为DMZ区、内部数据中心、互联网出口区、安全及运维管理区、边界接入区五大区域。电子政务外网安全边界划分图如图2所示。

(1)DMZ区

DMZ区部署面向互联网的业务系统,包括门户网站、邮件服务等,应根据实际需求部署相应的安全策略。

(2)内部数据中心

内部数据中心区部署协同办公等内部应用系统,可根据实际需求分为多个逻辑区域,如办公业务区、测试区等,应根据实际需求部署相应安全策略。

(3)互联网出口区

互联网出口区为电子政务外网平台互联网接入边界,与运营商网络直连。该区域直接面向互联网出口区域,易被不法分子利用网络存在的漏洞和安全缺陷对系统硬件、软件进行攻击,可在该区部署相应的防火墙策略,并结合入侵防御、安全审计等技术提供立体的、全面的、有效的安全防护,允许合法用户通过互联网访问电子政务外网。

(4)安全及运维管理区

提供安全管理运维服务,保障电子政务外网平台的安全。提供统一网络管控运维服务,保障整网设备及业务系统信息正常运行。

(5)边界接入区

根据国家相关规范,对专网、企事业接入单位或其它系统接入电子政务外网时,应在访问边界部署防火墙、入侵防御系统,与“政务云”实现物理逻辑隔离,进行安全防护。

1.4 安全技术保障

采用传统架构的电子政务外网平台技术安全保障可从物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行考虑,可通过部署相应产品或配置服务进行安全保障。

1.4.1 物理安全

物理安全主要涉及环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等。具体包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面。该部分主要体现为机房及弱电的建设标准、规范,技术环节应符合相关等级保护要求。

1.4.2 网络安全

网络安全主要包括网络结构、网络边界以及网络设备自身安全等,具体包括结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护七个方面,关键安全技术保障措施如下所示:

(1)划分安全域,根据各安全域安全建设需求采用相应的安全策略。

(2)通过合理部署IPS、防火墙对网络进行边界隔离和访问控制,并实现对网络攻击的实时监测,即时中断、调整或隔离一些不正常或具有伤害性的网络行为。

(3)部署防DDoS攻击设备,及时发现背景流量中各种类型的攻击流量,针对攻击类型迅速对攻击流量进行拦截,保证正常流量通过。

(4)可在互联网出口处部署链路负载均衡设备,加强网络数据处理能力、提高网络的灵活性和可用性。

(5)采用上网行为管理、流量控制等设备,对网络流量进行实时监控管理,实现员工对终端计算机的管理和控制,规范员工上网行为,提高工作效率,实现流量控制和带宽管理,优化网络。

(6)对关键设备采用冗余设计,并在重要网段配置ACL策略以保障带宽优先级。

(7)采用安全审计技术,按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能。

1.4.3 主机、应用安全

主机安全主要包括访问控制、安全审计、剩余信息保护、恶意代码防护等几个方面。应用安全主要包括身份鉴别、访问控制、安全审计、抗抵赖性等几方面,关键安全技术保障措施如下所示:

(1)恶意代码可直接利用操作系统或应用程序的漏洞进行传播,可部署恶意代码监测、病毒防护系统及漏洞扫描等系统,通过主动防御可有效阻止病毒的传播,及时发现网络、主机、应用及数据库漏洞并修复,保障电子政务外网平台安全。

(2)利用身份认证技术及访问控制策略等技术保障主机应用安全,不允许非预期客户访问。

(3)运用审计技术保障主机应用安全,实时收集和监控信息系统状态、安全事件、网络活动,以便进行集中报警、记录、分析、处理。

(4)采用应用负载均衡技术、操作系统用户登录等技术实现资源的优化控制。

(5)可部署Web应用防火墙、网页防篡改等系统,做到事前主动防御,智能分析、屏蔽或阻断对目录中的网页、电子文档、图片、数据库等类型文件的非法篡改和破坏,保障系统业务的正常运营,全方位保护Web应用安全。

1.4.4 数据安全

数据安全主要包括数据的保密性、完整性及备份和恢复,关键安全技术保障措施如下所示:

(1)可对不同类型业务数据进行物理上或逻辑上隔离,并建设数据交换与隔离系统以保障不同安全等级的网络间的数据交换安全。

(2)采用双因素认证进行数据访问控制,不允许非预期客户访问,对违规操作实时审计报警。

(3)采用VPN、数据加密、消息数据签名、摘要等技术对数据传输进行加密,防止越权访问机密信息或恶意篡改。

(4)采用数据库冗余部署,防范数据丢失风险,为业务系统稳定运行提供保障,可考虑建设同城或异地容灾。

(5)部署数据库审计设备可在不影响被保护数据库性能的情况下,对数据库的操作实现跟踪记录、定位,实现数据库的在线监控,为数据库系统的安全运行提供了有力保障。

1.5 安全运维保障

安全运维保障可通过安全管理平台,建立与安全工作相配套的集中管理手段,提供统一展现、统一告警、统一运维流程处理等服务,可使管理人员快速准确的掌握网络整体运行状况,整体反映电子政务外网平台安全问题,体现安全投资的价值,提高安全运维管理水平。安全运维管理平台需考虑与安全各专项系统、网管系统和运管系统之间以及上下级系统之间的接口。

1.6 安全制度保障

面对形形的安全解决方案,“三分技术、七分管理”。若仅有安全技术防护,而无严格的安全管理相配合,则难以保障网络系统的运行安全。系统必须有严密的安全管理体制来保证系统安全。安全制度保障可从安全管理组织、安全管理制度、安全管理手段等方面考虑,建立完善的应急体制。

1.7 云计算环境下电子政务外网平台的安全保障

云技术是基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。随着时代的发展,云计算技术已变成信息系统主流基础架构支撑。由于云计算平台重要支撑技术是采用虚拟化实现资源的逻辑抽象和统一表示,因此在云计算环境下进行电子政务外网云平台安全保障体系建设,仅仅采用传统的安全技术是不够的,除满足上述物理安全、网络安全、主机安全、应用安全、数据安全技术保障,运维安全保障,安全制度保障需求之外,还应考虑虚拟化带来的新的安全风险。云计算环境下电子政务外网云平台安全保障体系如图3所示。

1.8 虚拟化安全

当前,云计算虚拟化安全技术还不成熟,对虚拟化的安全防护和保障技术测评则成为云环境等级保护的一大难题,主要涉及的安全包括虚拟机逃逸防范、虚拟机通信风险、虚拟机管理平台安全等方面。可采取如下安全保障措施[2]:

(1)将可信计算技术与虚拟化技术相结合,构建可信的虚拟化平台,形成完整的信任链;

(2)可建设分级访问控制机制,根据分层分级原则制定访问控制策略,实现对平台中所有虚拟机的监控管理,为数据的安全使用和访问建立一道屏障;

(3)可通过虚拟防火墙、虚拟IPS、虚拟防病毒软件或虚拟安全网关等技术实现虚拟机间的安全隔离。

2 SDS安全保障技术简介

软件定义安全(Software Defined Security,SDS)是从软件定义网络(Software Defined Network,SDN)延伸而来,将安全资源进行池化,通过软件进行统一调度,以完成相应的安全功能,实现灵活的安全防护。简单来说,传统的安全设备是单一防护软件架构在一台硬件设备之上,通常串接或旁挂于网络中,不仅将网络结构复杂化,对不同厂家的安全设备进行统一管理的复杂度也较高,需单独的物理安装空间。而SDS可以将其看作一个软件,灵活调配安全设备资源,实现灵活的网络安全防护框架,方便调整。

3 结 语

在大数据时代下,SDS是顺应时展趋势、简化安全管理的诉求,但由于SDS应用尚未完全成熟,仍需经过实践的检验。

参考文献

篇5

关键词:关键词:运维管理 ;供电公司

中图分类号:TP302    文献标识码:A     文章编号:

    1. 地方供电公司发展的新特点

    地方供电公司是整个供电系统计算机信息化的主体,它是整个区域电力系统信息化的重要环节,从长远的眼光来看供电公司的计算机信息化的发展。电力系统信息化是实现IT计算管理和自动化发展的主要方向。它通过计算机系统的应用,整合了电力企业当中电力自动化、电力监控与管理等多种资源,同时信息管理系统带来的降低企业成本效益。在此种趋势下,地方供电局已经成为了县一级供电公司的数据整理、应用中心,而且以跨区域的网络数据联网数据打造电力企业之间相互连通、相互支持的人力、物力、财力相结合的集团化信息电力系统管理。真正实现从企业一体化的电力信息应用平台以及一体化模型的企业数据中心,消除信息孤岛,发挥信息应用系统的整体效能。

    电力信息一体化建设的主要思想即是进行电力业务应用集成和企业数据整合,从而构建一体化的电力信息管理平台。以ERP等系统为代表。就是对于电力生产,财务、营销、设备,人力资源等部分紧耦合业务进行了全面整合,实现业务协同。秉承这种企业级综合应用的构建思想,地市供电公司的信息应用模式发生了较大变化,由原来相对独立单纯的专业级、部门级应用,转变为企业级应用,甚至朝着集团级应用的趋势发展。从信息应用架构上来看,则呈现纵向贯通、横向集成的互联互通.多交互业务联动等更加复杂的跨专业,跨区域的应用方式,信息应用趋于复杂化及多样化。

    信息应用模式的改变带来了大量新课题,信息系统的运行也不仅仅是单个系统、某个专业的管理活动,它涉及到电力企业的整个生产经营管理过程。由于业务集成与数据整合,信息应用的错误联动效应急剧增强,影响面也呈纵向横向逐级扩大。基础设施面对如此复杂庞大的集成式信息应用,如何提供强有力的支撑,IT运维活动面对多系统、跨部门及跨区域多用户、多平台系统,如何有效管理,同时运维队伍面对大量的高新技术,如何组织资源为我所用,信息运维管理在信息化供电公司建设的大环境下,不再仅仅是单纯的技术能力问题。更需要有体系化的管理支撑,这些与企业级的信息应用建设同样重要。

    2. 计算机系统运维保障体系建设新思路

    使用计算机系统运维方案给供电公司带来更多新的思维和新的挑战,从供电公司的硬件基础设施的发展开始,对网络、存储到应用系统,都要求具备更高的可用性、可扩展性以及安全性,提供更加强大稳固安全的支撑服务。而且围绕着计算机系统发展的运维活动,则需要更加快速的、主动、规范、有效的技术与管理方案支撑,他们的发展依托于整个技术的支持与配合。我国在制定国家电网公司SG186工程中六大保障体系的建设时,制定了保障体系的标准为:标准规范、安全防护、技术研究、管理调控、人才队伍、评价考核,覆盖了信息运维的技术与管理重点,相辅相成。地方供电公司在执行六大保障体系时,不仅要有针对自身企业的规划方式以及发展原则,而且要有实践此方案的扩展思维。

    2.1标准规范体系

    从地市供电公司层面来看,标准规范的建立主要用以规范整体运维活动,通过持续的制度化建设解决运维规范化运作问题。但是目前地市供电公司的信息化标准规范呈现来源众多、交叉重叠、缺少体系化、与实际发展部分不符以及缺少有效监督等现象,作为规范执行人员面对众多标准制度往往无所适从,使得标准规范形同虚设,不得不束之高阁,直接导致运维活动的随意化及运维管理的无序化,使信息系统的可靠性下降。地市供电公司信息化工作标准规范体系需要进行全面过滤、筛减,并建立适应新环境下的工作标准和运行规程,以先进的服务管理理念,以持续完善的规范实践,以相对稳定的制度体系。建立具有体系化、标准化的运行管理制度,指导和规范IT运维管理主体工作。地市供电公司在建立运维服务管理规范过程中,应建立标准的信息系统运行监控指标体系,以实现运维结果管理(即目标管理),并以目标为导向,以ITIL服务管理实践为指导,规范运维过程。同时通过运维关键部件及关键活动的管控,实现运维工作的精细化管理,通过结果、过程和关键点的把握,提高运维管理的有效性。

    2.2安全防护体系

    使用计算机信息系统建设时对于其整个公司贯穿式的应用架构和开放式的业务发展都要有明显的认识。通过电脑信息化安全问题的解决,电力生产区与生活区,不同省市县3级业务,不同业务应用之间,以及多种通信方式以及外单位相互关联的业务安全隔离区域,都增加一些安全受限访问等更多更复杂的安全需求与安全限制。通过组建电子数据安全防护网,数据控制安全防护网,保障电力企业的数据能够安全、有效的运行,在受到外界的影响时,电力系统依然能够自动、正常的运行,并依据当前的情况,计算机信息系统能够自动提出自动化的解决方案供人们参考,真正做到数据安全稳定、以及系统自动化的稳定发展。

    2.3技术研究与人才队伍

   信息技术是先进技术的典型代表,具有更新换代迅速的特点,信息化供电公司依托最先进的信息技术构建企业级的管理信息系统,从网络、主机、数据库、存储、设备等基础设施到体系化的架构、应用、数据,都渗透了大量的新技术应用。面对庞大的技术认知需求以及高端技术的学习壁垒,作为地市供电公司,在人财物资源有限的前提下,如何组织开展技术研究工作,如何锻炼和建设具备专业化能力的人才队伍,实际上是IT运维管理中最为关键的一环。

   作为地市供电公司的技术人才队伍,全面研究信息应用各项高端技术并熟练掌握,需要长期的积累过程。为了应对迫在眉睫的系统支撑,地市供电公司信息技术研究必须从研究IT架构人手,通过对网络、存储、主机等IT基础架构以及对数据、应用系统的企业级架构的理解和深化,用全局化架构设计的视角,审视和认知IT系统之间的内外关联关系。对于信息化供 电公司复杂的企业级应用系统架构的研究,有助于技术人员洞悉IT运维的关键环节,区分系统运行核心和关键点。通过这种剥丝抽茧式的技术研究思路,能够将系统复杂的问题逐步分解成单纯的局部问题,对其中的核心部件以及高端的技术,完全可以利用社会上专业性的技术资源予以支持,非核心的运维工作则可以考虑运维外包,以降低运维管理系统建设的工作量。专业化的技术外援资源的利用以及运维外包模式,都必须在运维管理可控能力范围内开展,而这里可控的最好手段则是地市供电公司自身人才队伍对信息系统的架构能力和分析能力的培养,以对架构的“面”的掌握实现对单一技术“点”的控制。对地市供电公司技术人员的要求不再是对高端技术的攻关,而是掌握系统的架构及关联关系,在系统架构层面上对系统的可用性、持续性进行分析,从而决定运维工作的内容和优先级,在外部资源利用的同时,不仅有效监控资源,而且参与实践。长期积累,同样可以实现技术研究和人才队伍建设的目标。

    2.4管理调控与评价考核

   管理调控是从企业信息管理角度,通过对信息应用的分析实现人财物资源的合理调控,以优化资源效能。地市供电公司的IT运维管理,要实现管理调控,首先要实现管理监控。通过监控获取信息系统的真实运行状况,人力资源的工作分布及工作质量、信息投资是否发挥效力,在此基础上进行针对性管理分析,继而采用资源调控手段实现目标明确的管理调控。管理监控从量化角度出发,建立IT基础设施及信息应用系统的运行关键指标、运维活动工作指标等,指标要求采集方便、准确定位关键点,通过指标体系展现和掌控系统运行及维护工作全貌,通过指标进行能力、可用性,持续性管理和分析,提交系统优化和建设方案,推动管理调控措施的应用。管理监控的内容同时作为运维评价考核的科学参考依据,为评价考核提供良好支撑。

    三、总结

   电力电网的经营管理模式在不断的发展与变化,使用计算机信息化系统支持也在不断发展与变化当中,供电公司要进行自我的升级与发展,就必须要有全国一体、电力一体化的集团思维,通过建立规范化的管理、专业化的队伍、系统化的技能来保障整个计算机信息系统自动化运维的方法,保障整个电力系统的正常、有效运行。

参考文献:

 [1] 郭池,蒋元晨,陈玉慧,等.从ITIL视角促电网企业信息化深化应用[J].电力信息化.2010年3月刊:14-16.

篇6

认识网络安全保障体系

1而目前,随着互联网和网络技术的发展,对于政府或企业的信息系统来讲,更是面临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系,来有效的保障信息系统的全面安全。于是,网络安全保障体系应运而生,其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设,让政府或企业的网络系统面临的风险能够达到一个可以控制的标准,进一步保障网络信息系统的安全稳定运行。

网络安全保障体系是针对传统网络安全管理体系的一种重大变革。它依托安全知识库和工作流程驱动将包括主机、网络设备和安全设备等在内的不同资产和存放在不同位置中的大量的安全信息进行范式化、汇总、过滤和关联分析,形成基于资产/域的统一等级的威胁与风险管理,并对威胁与风险进行响应和处理,该系统可以极大地提高网络信息安全的可控性。

2网络安全保障体系的作用。网络安全保障体系在网络信息安全管理中具有十分重要的作用,主要体现在如下三个方面:首先,网络安全保障体系可以对整个网络系统中不同的安全设备进行有效的管理,而且可以对重要的网络通信设备资产实施完善的管理和等级保护;其次,网络安全保障体系可以有效帮助网络安全管理人员准确分析现有网络信息系统所面临的安全威胁,从而可以帮助管理人员制定合理的网络安全应急响应流程;最后,网络安全保障体系可以通过过对网络风险进行量化,实现对网络风险的有效监控和管理。

网络安全保障体系的构建策略

1确定网络安全保障体系构建的具体目标。网络安全保障体系建设是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分,通过信息安全治理来达到具体的建设目标。其中,信息安全的组织体系是指为了在某个组织内部为了完成信息安全的方针和目标而组成的特定的组织结构,主要包括决策、管理、执行和监管机构四部分组成;信息安全的策略体系是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。

2确定适合的网络安全保障体系构建的方法。(1)网络安全管理基础理论。网络安全保障体系的安全管理方法就是通过建立一套基于有效的应用控制机制的安全保障体系,实现网络应用系统与安全管理系统的有效融合,确保网络信息系统的安全可靠性。(2)建立有效的网络安全保障体系。一是网络信息安全组织保障体系作为网络信息安全组织、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定,建立的网络安全保障体系可以在完善信息安全管理与控制的流程上发挥重要作用;二是网络信息安全技术保障体系作为网络安全保障体系的重要支撑,有效利用访问控制、身份鉴别、数据完整性、数据保密性等安全机制,是实现网络安全防护的重要技术手段;三是网络信息安全运维保障体系可以通过对网络信息系统的安全运行管理,实现整个网络信息系统安全监控、运行管理、事件处理的规范化,充分保障网络信息系统的稳定可靠运行。

篇7

近年来,国家对信息安全高度重视,各有关方面协调配合、共同努力,我国信息安全保障工作取得了很大进展。根据原卫生部的《关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函[2011]1126号文)指示精神,阜外医院作为卫生行业开展信息安全等级保护工作的试点单位,依据国家相关信息安全政策及技术标准,对医院的重要信息系统进行等级保护整改建设,切实提高了自身的信息安全防护水平。

通过对阜外医院的信息系统业务流程的梳理,并根据业务数据的重要程度和业务安全需求,准确划分系统边界,阜外医院信息系统共有6个定级对象,其定级情况如下:HIS系统为第三级信息系统,LIS系统、PACS系统、电子病历系统、阜外医院网站和财务为第二级信息系统。由于信息系统彼此间业务关联较大,所以总体上按照第三级进行整体防护体系建设。

本次阜外医院的信息系统安全等级保护工程的建设,主要是根据四部委的《信息安全等级保护管理办法》(公通字[2007]43号文)以及卫生部 [2011]1126号文的指示精神,从信息安全技术体系、信息安全管理体系、信息安全运行体系等三个方面入手,建设完整的医疗行业信息安全等级保护保障体系:

1. 建立阜外医院信息安全技术体系,从物理安全、网络安全、主机安全、应用安全、数据安全等方面进行整改建设。通过对内外网网络层面的安全整改建设,达到等级保护第三级信息系统的基本技术要求;

2. 建立阜外医院信息安全管理体系,通过安全管理策略和制度、人员安全管理、安全事件管理、系统建设管理以及系统运维管理等五个方面的建设,达到了等级保护第三级信息系统的安全管理要求;

3. 建立阜外医院安全运维体系,通过综合运维系统、安全管理中心、信息安全服务等内容的建设,实现了日常安全运维管理,使阜外医院的信息系统安全保障体系能够有效落实。

信息安全等级保护保建设,使阜外医院信息安全保障体系成功通过了等级保护第三级信息系统的安全测评。因此,本次阜外医院信息安全保障工程的建设,具有以下三个方面的重大意义:

一、有效落实了国家政策要求。首先是完成了国家信息安全等级保护的的工作部署,使阜外医院重要信息系统安全防护能力达到规定要求,确保业务工作有效开展。

通过本次工程建设,确保阜外医院重要信息系统安全防护工作符合国家等级保护制度要求,确保方向正确、方法得当、结果合规,使信息安全建设工作不偏离国家监管的大方向,这是阜外医院作为国家三甲级医疗机构的地位决定的,是确保阜外医院的权威性、严肃性的有力保障,具有重要的政治意义。

二、能够有效推动行业安全建设。有利于形成阜外医院信息安全工作统一规划、统一指导、统一要求的工作机制,为国家卫计委指导各医疗单位进行等级保护建设方面起到试点示范效应。

通过本次工程建设,可以分析清楚阜外医院信息系统数量、分布、安全防护程度等基本情况,研究清楚系统信息安全的各自特点,通过调研和分析,提出全院信息安全工作“一盘棋”的管理思路,统一管理、统一指导、统一具体要求,实质性推动行业信息安全建设工作。

篇8

【关键词】网络;安全等级保护;实施策略

1网络安全等级保护模型的建构

1.1安全计算环境的建构

其中安全计算环境能够实现相关等级系统的有效管理,在信息存储以及处理,安全策略实施过程中,能够对信息系统的重要情况全面掌控。安全计算环境在其有效区域边界安全防护中,实现对外界网络的各种攻击行为有效防护,并能够避免出现非授权访问。针对这一问题,安全计算机环境整体安全防范,也就是针对网络实施有计划有标准的安全性改造,以能够显著提升系统整体性,以免系统本身出现安全漏洞及缺陷等,出现安全风险或者受到攻击问题。另外,安全计算环境安全防护工作主要也就是有效防范和控制系统内部的攻击和非授权访问问题,以免内部人员因为自身操作方式问题出现破坏行为。

1.2安全网络环境的建构

在信息系统中,通过网络能够有效实现不同计算机和计算域,用户和用户域的有效衔接,在不同系统间信息传输过程中网络具有通道作用。网络可以在系统内外应用,部分网络信息流在传输过程中,都会不同程度的经过不稳定网络环境。因此,在实际操作中,网络安全防护工作首先也就需要提高网络设备的整体安全性,针对网络中的各个设备制定定期维护方案,以免出现网络攻击问题,基于此显著提升网络中的信息流总体安全性,在以上基础上进一步提升通信架构的整体性、安全性以及保密性。在网络自身安全保密中,可以采用网络加密技术和本身结合方式,满足网络安全等级保护的不同要求。其中在网络安全域建设中,需要制定相应的网络结构安全范围,并实现网络不同访问操作的有效控制,在实际工作中也需要重视网络的安全审计工作,提高相应边界完整性,以免在网络运行中受到网络入侵和攻击,并可以有效防范出现恶性代码问题,能够对网络设备的安全防护及信息起到有效的保护作用。

1.3安全管理中心的建构

在信息系统中,安全管理中心是重要的安全管理系统,直接影响整个系统的安全管理有效性。安全管理中心作为管理平台,能够实现对系统中不同信息安全机制的整合性管理,对于系统中存在的分散安全机制,安全管理中心可以对其实施系统化管理,实现集中管理有助于显著提升安全防范效果。安全管理中心在应用中,可以系统性统筹管理系统的相关体系域的安全计算域、网络安全域以及安全用户域等,并对其实现统一调度和应用,可以实现对广大用户身份以及授权的管理,实现对用户操作和审计过程的管理,实现对用户访问和控制,也就可以实现系统的整体风险防范,全面掌握通信架构运行情况,显著提升网络安全防护系统的整体效果。

2网络安全等级保护的实施策略

篇9

为了保障安全,大数据平台依照“安全三同步”原则进行建设,即同步规划、同步组织实施、同步运作投产。

奇虎360的大数据平台安全保障体系框架如图B-7所示。大数据平台安全保障体系框架包括“安全职责划分”,“安全区域划分”,“安全级别划分”,“安全监测模块”,“安全防御模块”,“业务安全与安全运维模块”,“安全响应中心模块”等部分。

安全职责划分

安全职责划分是整体方案的基础,所有技术手段都应贴近安全职责划分,为其服务。梳理大数据平台各方安全责任边界,对整个活动中的安全事件进行详细的责任划分。

安全区域划分

大数据平台环境相对复杂,涉及多类业务,多类系统,现有网络结构已经考虑了分级问题,在此基础上,需进一步细化安全域的划分以及不同安全域、不同安全级别的访问控制设计。

安全级别划分

按照安全区域划分结果,为每个区域制定响应的安全等级,区域安全等级与用户安全等级、数据安全等级相互对应。通过安全级别的划分确保可信合规使用资源。

安全监测模块

其中主要包括大数据平台安全防御审查系统并提供基于人工或自动化的多层次的安全监测服务。

安全防御模块

按照统一规划、统一标准的设计思路,在充分考虑当前网络应用和实际环境的基础上,对整体的网络划分为若干个安全域和安全区,建设大数据平台面向各个区域的基础安全防御系统和大数据平台自身的防御系统。

业务安全与安全运维模块

实现安全运维操作的分级管理,针对大数据业务安全和安全运维工作的用户赋予符合其安全职责划分的权限,实现业务安全和安全运维。

篇10

关键词:中小企业公共服务平台;公共服务;市场化运营

0引言

在中国这样一个发展中的大国,中小企业相比于大企业,对经济发展更为重要。一个国家的经济要强大,不仅要有能走向世界的大企业,而且也要有成功的中小企业。这几年经济飞速发展,中小企业的数目不断增加、壮大,且发展较为迅速,在经济构成中的比重不断提高,但在产业水平、产品水平、企业核心竞争力上还存在较大的差距。虽然我国中小企业服务体系建设取得了一定成绩,但仍存在不足之处,主要有以下几个方面:一是投资体系不完善,资金来自不同渠道、不同部门,难以集中调配运用,阻碍了平台基础设施及服务体系建设完善,多数平台规模不大、结构不合理、服务能力不强。二是共享机制不完善,无法满足企业对服务日益增长的需求;三是平台服务功能完善,服务领域和内容有待拓展,服务质量有待提高;四是服务体系建设区域间发展不平衡、企业产品检测较为困难,无法享受就近服务;五是人才匮乏矛盾突出;六是不能顺应国家“互联网+”中小企业公共服务的大趋势。针对以上问题,打造以省服务平台为枢纽,窗口服务平台为支撑的“互联互通,协同合作”的全省中小企业公共服务平台网络是最佳的解决渠道。通过建立统一的省级中小企业公共服务平台,协助政府完善完成中小企业的一站式服务,提升政府扶持中小企业、服务中小企业的能力,促进中小企业服务体系的建设,既把企业的诉求反映上来,也要把国家的政策落实下去,实现上下互动、左右联通、公开共享。充分调动各类社会资源,整合各级各类政策资源,为中小企业提供各类优质服务资源,推进实现均衡化服务供给,实现政策和志愿服务在全省范围内的公开和共享。

1中小企业公共服务平台建设内容

1.1建设思路

第一,省级服务平台以云计算平台为基础,通过“线上+线下”、“窗口+平台”、“传统+移动”、“公益+市场”的方式为全省企业提供一个了使用便捷、功能全面、运营成本低的功能平台。第二,中小企业公共服务平台在做好省枢纽平台顶层设计的同时,充分考虑了各市州服务“窗口”的特点,以建成各市州服务“窗口”的特色平台为导向。第三,在全省层面体现充分利用本省现有的基础和优势资源的要求,主要包括业务上对省级决策指挥的支撑、公共服务的资源共享,数据上对全省基础库的共享利用,共性平台、网络基础设施与全省统筹建设内容集约统筹。第四,省级线上平台要充分体现与各市州服务“窗口”之间的关系,主要是对中小企业需求从市州服务“窗口”向省级平台辐射,以优先保障各市州服务“窗口”的线下利益。

1.2总体建设架构

省级中小企业公共服务平台网络技术架构是一个以云计算为基础的面向服务(SOA)的架构。以云基础设施既云服务、云平台既服务为基础支撑的信息化基础资源共享服务体系;每层既对上一层提供服务支撑,同时又具有独立的面向业务支撑的应用服务体系;体现云基础设施及服务、数据资源及服务、云平台及服务和业务应用及服务的云计算体系架构。还有信息安全保障体系和运维监控服务体系。通过建设中小企业公共服务平台网络,实现云基础设施、服务支撑、安全保障、运维服务等资源的共建共享,为业务系统统一提供信息化基础设施。开展信息化应用时,只需在平台上部署业务应用软件,而不用考虑其承载环境。

(1)渠道层。服务渠道,即中小企业用户、平台运营单位、中小企业服务机构、政府部门、公众可以通过Internet、APP应用、微信平台、呼叫中心等途径访问的平台,选择并使用各项服务。平台门户系统没有具体的功能,其作用是展示业务层所提供的功能、服务等。

(2)业务层。用户通过门户平台、呼叫中心或智能终端平台进行服务请求,按照业务规则向相应的应用系统分发业务请求,并统一反馈应用系统所产生的业务结果。例如为中小企业提供包括信息咨询、创业辅导、管理咨询、市场开拓、企业融资、技术创新和质量检测、人才招聘与培训、法律咨询,招商引资、服务代办、电子商务、数据上报、项目申报及大众创业的“8+N”功能模块及青海特色扩展功能模块的服务功能。同时企业和园区可以通过平台进行项目申报、生产经营数据采集等工作。

(3)支撑层。对整个平台中的用户、平台运营基础功能、数据存储、平台所承载业务配置管理及平台知识库等基础功能进行统一管理的平台。包括会员中心系统、运营管理系统、数据资源中心、广告管理系统、业务配置管理系统、知识库管理系统。

(4)能力层。为整个平台提供所需的一切基础能力,如:企业数据采集、搜索引擎功能、系统监控、缓存方案、文件上传存储等功能。

(5)安全保障体系。信息安全保障体系确保服务平台网络各层服务的安全,按照三级安全保障管理要求,建立多级安全防护体系(即:平台层、安全域和虚拟主机防护),确保服务平台网络基础设施、数据资源和应用系统的安全,创造安全健康的信息化应用系统部署环境。安全保障体系要通过完善具体的安全制度和周密可靠的事件处理机制,达到保障系统安全的目标。

(6)运维体系。按照“统一监管,规范运维”的原则,建立统一的信息化运维监管中心,规范建设各级服务平台运维体系,实现统一管理、集中监控、分级维护、分权负责的运维体系,保障信息化系统的安全稳定可靠运行。

1.3线上、线下业务流程设计

以中小企业公共服务平台人才需求为例,建立特色的人才资源库,中小企业可以通过两种方式寻求企业人才。

(1)企业可以通过人才资源库根据人才的技能类型、工作年限等进行过滤定位到企业需求的人才,获取人才的基础信息,通过线下联系的方式获取人才。

(2)企业可以通过自身对人才岗位的要求,在服务平台招聘公告从而获取人才。

(3)平台将展示热门企业的相关信息,包括企业主要从事的行业、企业的性质、企业的规模、企业所在地区等。

(4)平台将展示职场相关咨询,包括劳动法规、简历指导、面试秘籍、薪酬信息、现场招聘等信息。

2中小企业公共服务平台的运营思考

2.1运营整体思路

以“政府主导、市场化运作、企业化管理、专业化服务“为引导,“政企”联合成立平台网络运营公司为主体的运作模式推行中小企业公共服务平台更加具有市场的竞争力。具体来说就是由联合成立的运营公司主要负责公共服务平台的建设和运营,政府给予优惠政策、提供补贴资金、协调相关资源,扶持平台做强做大。

2.2公益服务的运营

对于政府公益将采用资金支持、应用引导和增值服务三种模式推动平台对中小企业持续服务能力的提升。

(1)资金支持。按照国家对平台网络“扶上马、送一程“的建设运营原则,发展初期可以从中小企业平台建设资金中给予平台公司运营补贴;后期从中小企业发展资金中专项列支部分资金支持平台运营,或者按年度设立我省中小企业二化融合发展专项资金,提升企业信息化与工业化深度融合水平;根据服务内容及考核标准,通过政府购买服务方式保障平台网络公益。

(2)应用引导。平台网络建设投运后,以中小企业发展基金,以及固定资产和建设、流动资金贷款贴息、改善融资环境担保业务奖补、创业创新载体建设、服务能力提升、奖励奖金等专项资金为切入点,逐步将两委所有资金申报、评审、审核、拨付、跟踪工作搬上平台网络,由内向外推广普及平台应用,同时采用“接进来、延出去”方式延伸服务链,最大限度实现平台网络的智能化闭环服务。

(3)增值服务。借政府有形之手推动市场无形之手,通过落实上述各项措施,利用3~5年时间,逐步汇聚各类服务机构,培育平台网络活跃用户,积累沉淀企业数据。待服务资源、企业用户及报送数据达到一定数量级后,便可以通过大数据技术清洗、提炼、挖掘相关数据,形成高附加值的数据资源,通过购买服务方式为政府机关、金融机构、咨询机构提供有偿数据服务。

2.3市场化自主运营

平台除公益外,还要逐步实现自主运营,市场化自主运营的具体方式体现在以下几个方面:

(1)服务平台上自行开发的软件,通过企业客户的线上、线下订购使用,平台可以全部收入。

(2)服务平台引入的基于SaaS服务的ISP、ICP软件,通过企业客户的线上、线下订购,平台以分成方式取得收入。

(3)政府的技改资金及其它扶持资金通过平台受理向中小企业提供服务取得相应的服务费。

(4)通过给企业客户提供电子商务的交易服务收取相关服务费。

(5)为企业提供CI形象策划、产品设计、包装、市场宣传推广等服务产生的服务费。

(6)通过电子商务平台的广告搜索竞价产生交易费。

(7)通过平台汇聚的中小企业经营及运营大数据形成的系列产品为中小企业提供有偿服务。

(8)平台可以开展中小企业的相关培训获得收益。

3结论和展望

“政府主导、市场化运作”下的中小企业公共服务平台在新的经济形势下,逐步发展成为了政府的助手,企业的娘家,不但用大数据的方式积极向政府有关部门反映企业在发展过程中遇到的困难问题,帮助企业学习了解国家、省市有关中小企业扶持政策,更加为中小微企业提供信息咨询、融资对接、技术推广、市场开拓、教育培训等服务,是促进小型微型企业健康发展的重要载体,未来还将集聚更多社会化的和市场化的各类服务资源,不断健全服务功能,在解决小型微型企业共性需求、畅通信息渠道、改善经营管理、提高业务技能、进一步拓展市场以及实现创新发展等方面发挥更重要作用。

参考文献:

[1]粱肖冰.基于新形势下中小企业公共服务平台的作用分析.吉林省经济管理干部学院学报,2016(1).

篇11

关键词:市县一体化;信息;安全;保障

中图分类号:F291 文献标识码:A

0引言

《国家电网公司信息系统安全管理办法》对建设国网一体化信息安全保障体系的目标给出了指导性意见,就是要增强信息安全防护能力,提升信息安全自主可控能力,防止承载各类业务系统被恶意渗透,防止关键业务信息系统数据或信息被窃取或篡改,以确保更有效的抵御各种风险,最终实现国网自上而下信息系统网络安全、服务器及应用系统、桌面终端、移动存储介质等全方面的管控,使各层级信息化应用水平及信息安全防护水平达到一个新的高度[1]。

近年来,随着国家电网公司信息技术的深化应用,信息安全日益重要。渑池县电业局在市县一体化信息安全管理策略的设计和实现中以“硬件建设”为基础,以“软件建设”为关键,以“管理建设”为手段,深化安全管理,持续提升信息化安全水平。

1专业管理的顶层设计和指标体系

1.1市县一体化顶层设计目标。在现有的信息化平台基础上,通过2年的系统建设,分步实施“硬件组体、软件添翼、管理促飞”信息安全保障体系“三部曲”策略,最终构筑起坚强的市县一体化信息安全保障体系。

1.2从环境设施上加以提升,从技术流程上加以完善,从管理措施上严格要求,以确保更有效的抵御各种风险,实现安全稳定可靠运行。安全保障策略指标值如下:

1.2.1硬件指标:内网网络部署防火墙、内外网实现“物理隔离”;部署上网行为管理、门禁、防雷等硬件设施;部署数据中心虚拟容灾系统;建设市县网络主备通道。

1.2.2软件指标:桌面注册率达到100%;杀毒软件安装率达到100%;无账户弱口令;无安全防护漏洞;无违规邮件、网站。

1.2.3管理制度:制定或修编渑池县电业局《安全移动存储介质管理办法》《桌面终端设备安全管理办法》《计算机信息系统安全管理办法》《信息网络运行管理办法》《计算机信息系统安全管理办法》《计算机机房管理制度》《计算机设备管理办法(试行)》《网络与信息安全突发事件应急预案(试行)》《信息安全保密协议书》《信息系统口令管理办法》、《信息内外网办公终端准入管理办法》。

2市县一体化策略的实现

2.1硬件组体“搭建体骼”。

2.1.1基础环境建设。长远规划,进行机房资源整合,按照国家二类机房建设要求,改扩建中心机房面积达到160平方米,进行机房区域划分,增设直流电源室、公共上网区、备品备件室、维修间共128平方米,开展门禁系统、信息防雷系统及监控系统建设,添置网络测试仪器及相关办公用品,机房具备防水、防火、防灰尘、防盗、防雷等多种功能,完全满足运维、管理、办公需求。

2.1.2数据容灾建设。本着同城异地备份、确保数据安全的原则,建设60余平方米数据中心虚拟容灾机房,具备实时备份系统数据和集中统一管理的功能,满足各类系统扩展性和可靠性要求。

2.1.3市县网络扩容建设。按照河南省电力公司要求,单独配置双千兆路由器,配置双核心千兆交换机,实现与三门峡供电公司的联网带宽达到2*100M,市县APN备用通道1*10M,省公司至县局VPN联网带宽1*100M的目的。

2.1.4实现内外物理隔离。对边缘配线间进行改造,加装楼间层防水防潮装置,采用防鼠技术措施。对内网和外网采取平行布线模式,终端用户主机双配置,实现完全物理上的内外网分离。

2.1.5扩容后备电源。中心机房增设10kVA不间断UPS电源,与兰州大学联合开发了蓄电池除硫装置,当市电供电系统出现停电或电池容量不足时,以短信形式向维护人员发送告警信息,极大地提高了其设备的维护效率和系统运行安全性,延长UPS电源的使用寿命。

2.1.6从低压电源侧、通信线路、通讯设备及网络设备全方位、多层次部署机房三级防雷系统,有效地防止雷击对机房内设备所产生的危害。

2.2软件添翼“助翼双翅”。

2.2.1终端用户防护。按照《国家电网公司信息化“SG186”工程安全防护总体方案》,对信息内外网部署北信源桌面终端标准化管理系统,实现桌面终端安全访问、安全接入,硬件资产全生命周期应用等功能,桌面终端标准化管理系统级联至市公司,实现桌面运行监测及相关考核指标的标准化,安装率达到100%。

2.2.2防病毒防御系统安装。全网桌面终端安装Nod32防病毒软件,安装率达到100%。对危害桌面终端安全的恶意软件和功能时刻保持着高度警惕。桌面终端安全系统、智能防御系统等级提升。

2.2.3补丁系统完善。通过标准化的管理流程实时为桌面终端提供标准、最新的补丁漏洞信息及数据更新服务。定期自动从互联网获取操作系统软件厂商的补丁,在仿真的网络环境中严格测试认证后,确保补丁安全,再将安全的补丁分发到实际网络环境中的计算机终端,并可以进行相关的补丁分发行为控制和流量管理,在简化人工干预的同时,确保终端系统的安全和网络的稳定。

2.2.4市县联动安全措施。三门峡供电公司部署网管软件,定期对县局的终端设备扫描检测内网安全漏洞,丰富安全技术手段,为县局信息安全管理提供支撑。同时依据《关于企业使用正版软件通知》要求,与知名厂商签订购置正版操作系统供应协议。省市县三级所用桌面终端安装了国网公司下发的正版软件,增强了基础层业务应用稳定性和数据的安全性。

2.3管控结合“促力腾飞”。

2.3.1“引教结合”,强化安全管理。通过文件、公告、会议、信息安全竞赛等多种渠道,大力宣传保障网络与信息安全的重要性。组织信息技术人员和信息员进行网络与信息安全技术培训和现场宣贯。对关键岗位人员进行全面、严格的安全审查和技能考核,对在信息系统安全工作中做出显著成绩的单位和人员应给予奖励和表彰,对违反国家法律、法规和渑池县电业局有关规定,造成一定不良影响和后果的,追究其责任。这些措施的实施,使全局范围内从上到下统一了思想、明确了认识,强化了全员网络与信息安全意识。

2.3.2强化系统运行维护管理。对信息网络与系统运行状况等进行监测和报警,定期对监测和报警记录进行分析,根据需要采取必要的应对措施。建立安全管理中心,对安全设备、恶意代码、补丁升级、安全审计等安全设施进行集中管理。严格按照有关信息系统事故调查规定,及时报告信息系统事故情况,认真开展信息系统事故原因分析,坚持“四不放过”原则,有效落实整改,确保类似事故不再发生。

2.3.3强化移动存储规范化管理。移动存储设备集中授权分发,数据交换前必须通过正确的身份认证,符合密码复杂度身份认证策略,记录数据交换过程的工作日志,便于以后进行跟踪审计,非授权的移动存储介质,在工作环境不可用。利用信息保密、访问控制、审计等技术手段,对移动存储设备实施安全保护,登记存储信息资产、日志记录、审计记录和信息不能被移动存储设备非法流失,实现存储设备信息安全的“五不”原则,即:进不来、拿不走、读不懂、改不了、信不丢。

2.3.4强化弱口令管理。根据“信息安全通报”、“信息安全反违章”检查的结果,结合其实际,进行全面的信息系统弱口令专项治理工作[2]。对系统本单位及局属各部门的桌面计算机,信息应用系统、操作系统、中间件和数据库系统等用户的访问账号及口令进行彻底排查,对不符合口令要求的用户及系统下发相应的通知,使其进行限期的整改,杜绝信息系统泄密事件的发生。

2.3.5强化安全接入管理。通过在网络中部署相应的网络安全检查策略,确保用户满足身份认证的要求,同时用户的终端设备必须达到一定的安全和策略条件,才可以通过网关设备接入到网络中并获得相应的访问权限。一方面验证了用户的身份,避免了非法用户接入到网络中,限定了用户的访问权限;另一方面也避免了存在安全隐患的终端系统的接入,可以大大消除蠕虫病毒对网络系统以及承载的业务所带来的威胁和影响,实现帮助客户发现、预防和消除安全威胁的目标。

2.3.6强化保密工作管理。管理严格执行“不上网、上网不”纪律[3],重要工作资料不得在外网计算机上留存,严禁在信息外网上传输、处理涉及国家秘密和渑池县电业局秘密的信息。严格信息系统安全工作人员录用过程,审查其身份、背景、专业资格,及时终止离岗员工的所有访问权限。严格外部人员访问程序,对允许访问人员实行专人全程陪同或监督,并登记备案。

2.3.7强化运行通报管理。为进一步做好信息安全保障工作,定期对信息安全工作进行统计分析,在月报中透明的体现信息安全运维工作,使全体员工及时掌握信息系统的运行情况,更好的为生产经营业务服务,渑池县电业局每月《渑池县电业局信息化工作简报》对当月信息安全运维工作的整体情况进行统计分析。每月一期《渑池县电业局网络与信息安全运行月报》,对当月网络与信息安全运行情况进行统计分析。信息安全运行通报制度的执行,使全体员工对信息安全运维工作有了了解的途径,增强了全员信息安全意识。

2.3.8强化系统上下线管理。加强应用系统的管理审批流程,形成闭环管理。新建信息系统涉及安全防护措施建设时,明确安全需求,确定安全等级,结合渑池县电业局安全防护总体策略,进行安全防护方案设计。严格规范系统变更、系统重要操作、物理访问和系统接入申报和审批程序,建立健全变更管理制度。保证所有与外部系统的连接均得到授权和批准,并进行必要的安全隔离,配置严格的访问控制策略,开展必要的安全评估[4]。

2.4激活人力资源,提升管控空间。

2.4.1搭建核心保障体系。成立以科技信息副局长为组长的信息安全保障体系领导小组,各部门负责人为领导小组成员,对渑池县电业局整体信息安全保障体系工作进行全面督导。领导小组下设工作小组(办公室设在信息中心),具体负责协调、执行实现信息安全保障策略的各项工作,本单位各部门设有兼职信息管理员,负责配合本单位本部门信息安全保障体系的协调、执行。

2.4.2开展兼职信息员建设,发挥信息管理员潜能。在全局各部门设立兼职信息管理员36名,部门兼职信息管理员由各部门既通晓业务、又熟悉计算机知识的人员担任,职责为进行基础性的运维工作、信息安全宣传、督导与检查和整改工作。信息员管理以安全员的标准按照专业化管理思路统一管理,设立有合理的薪酬标准及详细的管理制度,每月定期召开信息安全会议,按月开展信息技术培训,严格执行各种业务考核和工作安排,不断强化责任心和业务能力,形成全局齐抓共管的局面。

2.4.3绩效考核与控制。为保证市县信息安全保障体系的正常运转,明确职责分工,对工作项目和内容进行标准化、规范化管理,依据国网公司、省公司等上级单位的相关要求,修订完善了《渑池县电业局信息网络运行管理办法》等11项管理规范及标准,进一步规范了信息系统运行管理,确保安全保障策略持续、稳步实施。

3结语

近年来,国网公司实施了覆盖信息系统全生命周期的54项管理措施,立足国产化,积极探索自主可控安全管理模式,结合电网安全需求,加强顶层设计,对电网信息安全工作进行整体规划,经过努力,渑池县电业局在网络信息安全保障策略的设计和实施中的经验和做法,解决了县级供电企业信息安全保障体系中存在的一些突出问题和安全漏洞,广大员工在信息安全等重点环节,从制度执行、行为监控、防治体系等方面,有了稳步提升,总体来看,建成了电网信息安全等级保护纵深防御体系,为市县一体化的安全、稳定运行提供了强有力的信息安全运行保障,达到了预期的效果和目的。

参考文献

[1]国家电网公司信息系统安全管理办法[Z].北京:国家电网公司,2011.

[2]国家电网公司信息网络运行管理规程(试行)[S].北京:国家电网公司,2003.

[3]国家电网公司信息安全风险评估管理暂行办法[Z].北京:国家电网公司,2011.

[4]国家电网公司信息系统建转运实施细则[Z].北京:国家电网公司,2010.

--------------------

作者简介:赵江华(1978—),男,河南省三门峡市渑池县人,高级工程师,主要从事电网调度管理、光纤通信工程项目建设及网络应用方面的研究。

篇12

摘 要:电力通信系统作为实现国家电网公司战略发展目标的重要支撑保障体系,作用日益突出,通信系统运行工作面临重大机遇和严峻挑战,该文重点研究“基于一级调度、两级运维的省市骨干通信网运维管理体系”,建立新型管理机构,固化各类通信管理流程,开展通信运维集中管理、两级实施,并成功应用到实际工作中,取得了良好的经济效益。

关键词:通信 调度 运维 管理

中图分类号:TN915 文献标识码:A 文章编号:1672-3791(2016)07(a)-0089-02

电力通信系统作为实现国家电网公司战略发展目标的重要支撑保障体系,作用日益突出,通信系统运行工作面临重大机遇和严峻挑战,省、市骨干通信网作为电网安全生产和企业经营管理的重要支撑手段,需要进一步优化通信网运维管理体制。

该文首先分析了电力通信管理现状及存在的问题,根据长期积累的工作管理经验,探索“基于一级调度、两级运维的省市骨干通信网运维管理体系”管理思路,之后列举了一系列有效措施作为新体系建设支撑,该体系建设后提高了通信工作效率,节约了经济成本,具有一定的创新性和推广性。

1 电力通信的现状问题

1.1 电力通信工作现状

目前省电力通信管理执行通信调度24小时运行值班管理制度,实行“四值三运转”,实时监控系统运行、受理通信故障,协调指挥通信检修工作。地市公司通信调度机构设置情况存在较大差异,部分市公司未设置通信调度机构或现有机构不具备24小时运行值班能力,难以满足对电网安全生产和经营管理的支撑需求。

省电力通信运维负责500 kV及以上通信网架系统及设备,地市公司通信运维所辖地区内电力通信网架系统及设备。

1.2 电力通信存在的问题

省市电力通信网融合交叉多,导致省市通信工作协调配合工作较多,目前省、市电力通信均设立通信机构,市公司通信调度力量薄弱,对系统的运行监控、调度指挥作用还比较欠缺。两级通信调度管理模式导致工作效率低,缺少统一指挥延误应急抢修,且造成人力资源浪费。

目前省市电力通信虽为两级运维,但各行其是,运维管理模式存在局限性。500 kV变电站遍布全省各地市,省电力通信人员可能只为处理一起简单缺陷就要到千里之外的变电站工作,由于责任归属问题,导致靠近变电站的地市公司通信人员不便插手,致使工作经济成本高。

综上所述,现有管理体系不适应通信管理理念的转变和发展。

2 一级调度、两级运维的省市骨干通信网管理体系建设模型

为更好地提升省市通信调度运维的协同运作,达到通信减员增效的目的,创新提出“基于一级调度、两级运维的省市骨干通信网管理体系”管理思路,即建立省级通信集中调控中心,作为全省通信运维工作的“一级调度”指挥中心,建立省市通信专业协同运维机制,在省级通信调控中心的统一指挥下,最大效能地提升全省通信运维队伍工作效率。

以通信调控中心建设为切入点,以省公司信息通信调控中心为主体,建立覆盖省、市、县的电力通信监控系统,集中管理运行值班、通信检修、运行方式等通信调运检工作,实现全省电力通信的“一级调度”管理实践,提高省、市骨干通信网运行集约化管理能力,强化省公司应对突发事件能力建设的有效途径和方式。创建省、市两级通信运维队伍的协同机制,有效结合省公司运维队伍的技术优势和市公司运维队伍的地理优势和经验优势,加强应急事件处置能力,提高人力资源效能,实现通信系统安全、高效运维。

3 一级调度、两级运维省市骨干通信网管理体系建设主要措施

3.1 创建“一级调度、两级运维”管理机构

为提高电力通信调度安全可靠性,节约人力资源,达到“人、财、物”优化配置,在省通信调度及地市通信调度基础上,将电力通信调度机构由二级调度整合为一级调度,实现通信调度一体化,制定《机构和职责优化调整、人员调配方案》,开展组织机构调整,形成省一级通信调度、省市二级运维组织机构。借助通信管理系统,集中监控省市公司的传输网管,实现全省通信运行工作集中调度。

为完善“一级调度、两级运维”机制建设,从组织建设、技术管理、执行考核三个方面,制定各类管理制度,修订一系列岗位说明书、制定每项岗位工作标准,编写《通信系统一级调度运行管理规范》、《省市信息通信检修规定》等一系列管理及工作规范,确保各项制度落实到专业管理的每个环节,形成“目标精益到岗位,岗位精益到个人”的管理模式。

3.2 固化“一级调度、两级运维”工作流程

工作流程是理顺通信的重中之重,固化流程是各项工作顺利开展的基础,实现基于流程的设备生命周期管理为原则,采用自下而上的流程管理模式,实施工作任务的从计划、准备、执行到考核的全过程控制,实现设备从验收、运行维护、大修技改到退运的闭环管理。主要完成故障、检修、方式等核心业务流程梳理,对其进行固化流转,并制定各类大修技改等检修作业指导书,规范审批手续及归档要求,所有流程、资料全部贯穿到TMS通信管理系统平台中,能够随时录入,调阅、监督和考核。

3.3 创新手段,开展通信运维集中管理、两级实施

随着电网规模的不断扩大,通信系统新设备、新技术的广泛应用,通信线路、通信设备规模成倍增加,通信运维随之增加,使通信运行管理部门承担的检修任务日益繁重,为规范省市两级通信运维工作,充分发挥省公司通信调度优势与能力,全面掌控省市两级通信网实时运行状态,规范通信运维管理,统一标准、统一要求,创建通信网两级协同运维机制,提升全省通信运维管理水平。

建立高效合理的省市协同运维机制,根据通信设备、业务不同类别,建立通信协同运维快速响应机制,在一定范围内实现属地运维、区域协作,充分提高运维资源的优化调配,缩短故障处理时间、提高工作效率,在全省范围内实现通信运维资源整合再分配。

4 结论

“基于一级调度、两级运维的省市骨干通信网管理体系”把规范化制度建设作为通信管理的着力点和支撑点,制度管理实现调度、运维各环节流程程序化、标准化、透明化。“一级调度”实现了省市通信系统监控、工作指挥调度、检修集中管控、运行方式统一安排;“两级运维”使省市职责划分进一步清晰明确,避免出现职责重叠交叉或职责管控死角,均衡省市两级运维分工,降低省市之间的协调沟通成本,逐步实现通信调度管理的专业化、集约化、扁平化。

5 结语

“基于一级调度、两级运维的省市骨干通信网运维管理体系”建设符合“三集五大”体系建设的要求,适应电力通信发展趋势,顺应通信管理的一般规律,该体系应用后不仅在一定程度上缓解了通信专业人员力量不足的问题,降低全省通信运维交通、人员的成本,而且大大提高了通信网监控能力和调度人员协同指挥能力,提高工作效率,同时对电力系统内各网省公司提升通信调度、运维工作水平有一定的借鉴和指导意义。

参考文献

篇13

课题研究主要内容包括智慧信息化整体架构特征、安全框架,安全保障管理要求、技术要求及保障机制等。

概述

智慧信息化整体架构与主要特征

智慧信息化整体架构模型主要包括物联感知层,网络通信层,计算与存储层,数据及服务支撑层,智慧应用层,安全保障体系,运维管理体系,建设质量管理体系等。具有开放性、移动化、集中化、协同化、高渗透等主要特征。

智慧信息系统安全风险分析

根据智慧信息化特征,结合信息安全体系层次模式,逐层分析智慧信息化带来新的安全风险。

物理屏障层,主要包括场地门禁、设备监控、警卫等。移动性特点带来物理介质的安全新风险。移动设备和智能终端自身防御能力弱、数量大、分布散、采用无线连接、缺少有效监控等带来的风险。

安全技术层,主要包括防火墙、防病毒、过滤等安全技术。云计算、物联网、移动互联网等技术的开放性、协同性等特征带来的安全新风险。

管理制度层,主要包括信息安全人事、操作和设备等。智慧信息化环境下信息资源高度集中、服务外包等新模式带来的管理制度上的新风险。

政策法规层,主要包括信息安全法律、规章和政策等。对各类海量数据整合、共享和智能化的挖掘利用等深度开发带来的信息管理政策法规上的新风险。

安全素养层,主要包括民众信息安全意识、方法、经验等。智慧信息化带来威胁快速传播、波及范围倍增扩大的风险,信息安全威胁的主体发生转换,社会公众的高度参与,用户、技术与管理人员的安全意识和素养带来的风险比传统系统更大。

智慧信息系统安全框架

智慧信息系统安全框架如图2所示。管理终端和其他经过认证授权的可信终端作为智慧信息系统可信组成部分,需要进行边界防护,防止越权访问,互联网用户等非可信组成部分,要采取安全隔离措施,使其只能访问受限资源,防止内部数据非法流出。对数据区域、物联网感知区域、物联网控制区域以及基础设施的管理区域进行严格的安全域划分,针对不同的安全域实施安全产品的监测、防护、审计等不同的安全策略以保护数据安全,再配合同步进行的体系建设、安全培训等安全服务措施,实现智慧信息系统的深度防御。

管理要求

安全保障规划。信息化主管部门负责智慧信息化发展总体安全保障规划,各相关领域主管部门负责专项领域安全保障规划。确定安全目标,提出与业务战略相一致的安全总体方针及方案。

安全保障需求分析。项目单位分析系统的安全保护等级并通过论证、审核、备案;根据安全目标,分析系统运行环境、潜在威胁、资产重要性、脆弱性等,找出现有安全保护水平的差距,提出安全保障需求。

安全保障设计。项目单位根据系统总体安全方案中要求的安全策略、安全技术体系结构、安全措施和要求落实到产品功能、物理形态和具体规范上。并形成指导安全实施的指导性文件。

安全保障实施。建立安全管理职能部门,通过岗位设置、授权分工及资源配备,为系统安全实施提供组织保障。对项目质量、进度和变更等进行全过程管控及评估。

安全检测验收。系统运行前进行安全审查,关注系统的安全控制、权限设置等的正确性、连贯性、完整性、可审计性和及时性等。上线进行安全测试和评估,包括安全符合性查验,软件代码安全测试,漏洞扫描,系统渗透性测试等,确保系统安全性。

运维安全保障。建立系统安全管理行为规范和操作规程,包括机房安全管理制度,资产安全管理制度,介质安全管理制度,网络安全管理制度,个人桌面终端安全管理制度等并严格按照制度监督执行。

优化与持续改进。在系统运行一段时间或重大结构调整后进行评估,对系统各项风险控制是否恰当,能否实现预定目标提出改进建议。

技术要求

计算环境安全要求

服务器、网络设备、安全设备、终端及机房安全、操作系统、数据库管理系统应遵循GB/T 22239-2008对应安全保护等级中相关安全控制项要求,并对重要设备的安全配置和安全状态等进行严格的监控与检测。

网络虚拟化资源池应支持基于虚拟化实例的独立的安全管理。多租户环境下,租户之间的网络支持虚拟化安全隔离,各个租户可以同时对自身的安全资源进行管理。

应提供以密码技术为前提的安全接入服务,保证终端能够选择加密通信方式安全接入云计算平台。

通信网络安全要求

对应安全保护等级中网络安全控制项要求,覆盖结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等控制项要求。

虚拟网络资源间的访问,应实施网络逻辑隔离并提供访问控制手段。从区域边界访问控制、包过滤、安全审计及完整性保护等方面保护虚拟边界安全。

智慧网络应具备网络接入认证能力,确保可信授权终端接入网络。采取数据加密、信道加密等措施加强无线网络及其他信道的安全,防止敏感数据泄漏,保证传输数据完整性。

终端安全要求

对应安全保护等级中终端安全及GAT671-2006的安全控制项要求,覆盖物理安全、身份鉴别、访问控制、安全审计、恶意代码防范、入侵防范、资源控制等内容。

建设统一的终端安全管理体系,规范终端的各类访问、操作及使用行为,确保接入终端的安全合规、可管理、可控制、可审计。在重要终端中嵌入带有密码性安全子系统的终端芯片。

应用安全要求

满足对应安全保护等级中应用安全控制项要求,覆盖身份鉴别、访问控制、安全控制、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等内容。

进行可信执行保护,构建从操作系统到上层应用的信任链,实现可执行程序的完整性检验,防范恶意代码等攻击,并在受破坏时恢复。建立统一帐号、认证授权和审计系统,实现访问可溯。

遵循安全最小化原则,关闭未使用服务组件和端口;加强内存管理,防止驻留剩余信息被非授权获取;加强安全加固,对补丁与现有系统的兼容性进行测试;限制匿名用户的访问权限,支持设置用户并发连接次数、连接超时限制等,采用最小授权原则。

数据安全要求

满足对应安全保护等级中数据安全控制项要求,覆盖数据完整性、数据保密性、备份与恢复等内容。

将信息部署或迁移到云计算平台之前,明确信息类型及安全属性进行分类分级,对不同类别信息采取不同保护措施,重点防范用户越权访问、篡改敏感信息。

在多租户云计算环境下,通过物理隔离、虚拟化和应用支持多租户架构等实现不同租户之间数据和配置安全隔离,保证每个租户数据安全隐私。确保法律监管部门要求的数据可被找回。

虚拟存储系统应支持按照数据安全级别建立容错和容灾机制,防止数据损失;建立灾备中心,保证数据副本存储在合同法规允许的位置。

全面有效定位云计算数据、擦除/销毁数据,并保证数据已被完全消除或使其无法恢复。

密码技术要求

物理要求。在系统平台基础设施方面使用密码技术。

网络要求。在安全访问路径、访问控制和身份鉴别方面使用密码技术。

主机要求。在身份鉴别、访问控制、审计记录等方面使用密码技术。

应用要求。在身份鉴别、访问控制、审计记录和通信安全方面应当使用密码技术。

数据要求。在数据传输安全、数据存储安全和安全通信协议方面使用密码技术。

安全域划分与管理研究

智慧信息系统安全域可以分为安全计算域、安全用户域、安全网络域。

安全计算域:由一个或多个主机/服务器经局域网连接组成的存储和处理数据信息的区域,是需要进行相同安全保护的主机/服务器的集合。安全计算域可以细分为核心计算域和安全支撑域。

安全用户域:由一个或多个用户终端计算机组成的存储、处理和使用数据信息的区域。

安全网络域:支撑安全域的网络设备和网络拓扑,防护重点是保障网络性能和进行各子域的安全隔离与边界防护。连接安全计算域和安全计算域、安全计算域和安全用户域之间的网络系统组成的区域。安全网络域可以进一步细分为感知网接入域、互联网接入域、外联网接入域、内联网接入域、备份网络接入域。

安全管理平台技术要求

对安全事件进行集中收集、高度聚合存储及分析,实时监控全网安全状况,并可根据需求提供各种网络安全状况审计报告。

智慧监测。针对大数据,通过预警平台对流量监测分析,为管理者提前预警,避免安全事件扩大化;监听无线数据包,进行网络边界控制,对智慧信息系统内部网络实施安全保护。

智慧审计。通过运维审计与风险控制系统对系统运维人员的集中账号和访问通道管控;通过数据库审计系统对数据库访问流量进行数据报文字段级解析操作,应对来自运维人员或外部入侵的数据威胁;通过综合日志审计系统实现对违规行为监控,追踪非法操作的直接证据,推动监测防护策略、管理措施的提升,实现信息安全闭环管理;针对应用层的实时审计、监测及自动防护。

智慧日志分析。对海量原始日志,按照策略进行过滤归并,减轻日志数据传输存储压力。对来自各资源日志信息,提供多维关联分析功能,包括基于源、目的、协议、端口、攻击类型等多种统计项目报表。多租户环境支持,支持虚拟化实例,能够区分不同租户的日志以及为不同租户提供统计报表。

智慧协同。根据开放性及应急响应技术要求,安全管理平台需考虑和周边系统互联互通,支持开放的API,相互传递有价值安全信息,以进行协同联动。

除了以上八个技术方面的要求外,智慧信息化安全保障体系还对安全产品、产品安全接口等方面也做出了相关要求。

保障机制

建立责任人体制。建设单位指定信息安全保障第一责任人,明确各环节主体责任,制定安全保障岗位责任制度,并监督落实。

建立追溯查证体系。建立全流程追溯查证体系,对存在的违法入侵进行有效取证,保证证据数据不被改变和删除。参照ISO/IEC 27037:2012、ISO/IEC27042。

建立监督检查机制。由信息安全监管部门,通过备案、检查、督促整改等方式,对建设项目的信息安全保护工作进行指导监督。

建立应急处理机制。参照GB/Z 20986-2007将安全事件依次进行分级,按照分级情况制定应急预案,定期对应急预案进行演练。

建立服务外包安全责任机制。安全服务商的选择符合国家有关规定,确保提供服务的数据中心、云计算服务平台等设在境内。

建立风险评估测评机制。对总体规划、设计方案等的合理性和正确性以及安全控制的有效性进行评估。委托符合条件的风险评估服务机构,对重要信息系统检查评估。定期对系统进行安全自查与测评。

篇14

关键词:运维管理;IT运维;安全策略

中图分类号:TP311 文献识别码:A 文章编号:1001-828X(2016)031-000-01

一、运维管理现状分析

企业中的IT技术日益完善,企业管理的关键点也发生了转变,从以前的单一管理到了现在的综合管理,对网络的关注也从单一到了更系统更全面的转变。究其原因,更多的企业意识到了,业务发展迅速,设计的环节增加,系统也逐渐复杂,以前单一的网络环境已经满足不了企业综合业务和管理的需求,能够满足各个系统各个环节的技术需求。企业除了要对IT资源统一严格管理、减少投资成本、提高遇到突发事情的随机应变能力、提升产品质量和服务之外,更要注意业务系统的正常操作和运行。除此之外,我国IT管理领域用户规模逐年增加,对IT技术的要求增多,网络管理系统需要一直更新换代,以满足用户需求。

二、新时期运维管理存在的问题和解决方案

新时期,作为数据传输、计算和存储中心的数据中心,集中了各种软硬件资源,需要解决很多问题,这也让数据中心的运行管理变得困难。当前运维管理工作中存在的主要问题有:1.应用水平薄弱,增加了运维工作量;2.运维技术力量不足,制约了运维服务质量;3.缺乏完善的运维制度和严密的运维流程;4.缺乏先进的运维监控手段和工具,主动运维不足;5.运维能力相对滞后,给运维工作带来困难;6.安全意识薄弱,给后期运维带来麻烦。

因此,建立完善的运行维护管理体系,实现主动积极的运维,保障运维工作的良性发展,成为迫切需要解决的任务。这就需要数据中心的管理人员予以重视,进行规划、f调和统一控制。

第一,在上层业务层面上,数据中心的首要任务是计算,因此,对于性能参数和业务流量加以调整,使其重要程序能够正常运行;第二,基础设施方面,需要统一管理一个平台的路由器、交换机、服务器等设备,能够使得数据中心的管理符合要求;第三,从运营角度看,业务部门受到数据中心的各个方面服务质量和流程的直接影响;第四,从技术发展的展望来看,要管理好硬件和软件,从而使得数据中心的所有指标达到标准,自动化能够顺利进行。这四个方面的顺利完成,需要一套灵活的管理方法和机制,能够较容易的让各方面顺利运营。

三、建立综合保障体系,提高运维管理水平

1.以人为本,合理定位,激励与管理并重

进行合理的职责定位,实行网格化岗位分工,采用A角和B角的方式,能够有效的避免单点故障出现时可能出现的风险,实现人力资源的互为备份。采用科学的人才激励机制,坚持“以人为本”,做到“以待遇留人、以感情留人、以事业留人”,提高技术人员的待遇,补充新进技术人才。同时进行管理模式的优化,可按照地域范围,组建分片的运行维护中心,增强运行维护体系的专业性和针对性。

2.完善机制,保障到位,规范运行维护制度

健全制度建设,使日常的运维工作流程化,职责角色清晰化。加强对危险的防范意识,对安全建设具有完整的规划和加固方案,对于各种安全防护产品能够综合应用,从而能够使整个系统保持在一个相对稳定安全的状态。对系统健康检查机制的建立健全,使得系统能够自主运行,坚持天天记录检查,定期对系统健康检查进行维护,对系统中的问题做到及时的处理。

3.优化服务,提高效率,加强流程控制

完善服务平台的建设,在系统内部办公网站开通运行维护技术支持系统,为各种系统和网络的正常运行提供技术支持。增强服务意识,将服务理念引入运行维护管理的建设,对每一件事件的处理,都实行问责任制。优化运行维护流程,引入扁平化管理模式。

4.加强培训,提升素质,促进应用

制定有针对性的培训计划,既要兼顾信息技术的发展,又要考虑到实际的需求,对计算机技术进行培训,操作方面也要加强应用培训,提高整体的运行水平;以需求为动力,建立积极的运维服务理念;改变谁负责谁培训的方式,突破技术局域性限制,提高运维效率。

总之,运行维护管理体系的建立是一个不断完善的过程,我们要对现有的IT网络环境、现状及未来发展的目标有一个准确的认识,从而来制定IT管理的整体规划架构,对企业的员工进行优化,对管理流程也详细分化,从而实现服务管理的目标。运行维护体系的顺利实施,和整体水平的提升,不仅需要技术部门彻底转变观念,还要把规范的服务意识作为维护体系的根本出发点,先提高员工的基本素养,再实现服务水平的整体提升。

参考文献:

[1]席敏晖.浅谈企业级数据中心运维管理[J].科技创新与应用,2014,4.

友情链接
推荐阅读
推荐期刊