运维管理保障体系精选(五篇)
发布时间:2024-03-27 16:05:37
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的5篇运维管理保障体系,期待它们能激发您的灵感。
篇1
一、关于精细化管理的涵义
“精细”就是细致精密之意。在我国传统的思想文化当中,关于精细的思想可谓源远流长。古人曾讲:天下的难事,必须做到简易;天下的大事,必须做到精细。其它如“千里之堤,溃于蚁穴”的观点,也从另一层面展现了韩非子的精细化观念。就当前而言,精细化管理模式来源于一些发达国家,这种全新的管理是服务质量精细化及社会分工精细化对当代企业管理的必然趋势,它基于常规管理这个基础,且将这个基础引向一种更为深层次的管理模式,它的主要目标就在于将管理所占用的成本及资源进行最大限度的降低。作为一类管理技术与管理理念,精细化的管理强调的是通过规则的细化及系统化,运用数据化、标准化及程序化的手段,确保组织管理不同的单元保持协同、可持续、高效、精确运行。就当前而言,精细化管理模式其最主要的特征就是重效果、重质量、重具体、重过程与细节,追求专注做好一件事情,并在细节上力求最佳、精益求精[1]。
二、加强办公室精细化管理的措施(几点体会或思考)
第一,精细化管理要加强办公室细节落实、增强职工意识(注重细节,增强意识)。
就当前而言,作为一种新型管理模式,精细化管理不仅可以提高各部门管理水平,而且还可以将员工的工作效率、积极性和主动性进行提高。尤其对于复杂的企业办公室来讲,其各类工作具有突发性强、受被动性、事务纷繁复杂等特点,不论是对上接待还是服务领导,不论上传下达还是督办、督查等工作,稍有大意或者疏忽,就极有可能铸成大错,造成企业或者个人损失。在实际的企业工作当中,各企业要适当通过组织全体成员一起探讨、学习精细化的管理工作,认识到实行精细化管理的意义所在,引导和教育广大员工脚踏实地、立足本职,从细节上养成严谨细致、精益求精的工作习惯,确保精细化管理思想深入人心,贯穿每个流程、每个工作环节的始终。如果要想做到这些,那么办公室职工就在增强以下三方面的意识水平:一是增强企业意识。这也是落实办公室工作的重要保证。由于办公室每项工作都极具重要性且头绪很多,特别是对于可以影响全局的工作,更是要做到服务在先、思考在前,将企业责任意识落实到工作当中来,讲效率的同时也要保证质量水平,坚持谁工作、谁负责的责任原则,将各项工作切实落到实处,力争各项工作稳步推进,做到零缺陷、零失误,为企业正常运营提供保障;二是增强办公室职工的精品意识。从办公室工作的情况来看,这是落实工作的根本。企业办公室不论是办事还是办文,都要做到有序、保证条理性、遵守程序,要尽可能将每一个细节、每项工作做到尽善尽美 。简单地说就是办事要达到无可挑剔、会议要举办得圆满、写文要力求达到准确、精练、高效表达办文意图;三是增强办公室工作人员的创新意识。这也是办公室工作最终得以做好的动力所在。办公室工作的全局性决定了广大工作者要从企业大局出发,认真思考每一项工作,不断在工作当中探索灵活多样、行之有效的工作手段及方法,积极适应企业领导的不同的工作作风、思路以及理念,将这种服务内化为一种艺术,真正发挥出领导的助手功能。就企业办公室工作者而言,办公室的工作大多是日常事务性的工作,平凡、简单而单调,许多具体工作都有固定的程序和模式,容易在工作中产生因循守旧的惯性思维,特别在拟写重要材料时,由于平时不注重资料的收集整理,对周围环境变化的观察和思考不够,上级和领导新的思路未能及时准确把握等原因,最终将导致拟写的文章既不能迅速融入企业的经营环境,也无法有效传递管理层的经营理念和思路,也就难以真实反映企业经营管理过程中存在的问题,最终提出的管理措施和手段将失之偏颇乃至谬之千里。为此,在企业的办公室工作中创新意识的树立对工作质量的提升同样发挥着极其重要的作用。只有真正理解本职工作的实质,深入研究工作中遇到的问题和困难,积极主动思考解决的方法,才能充分发挥员工的主观能动性,才能在具体工作中创新思路、创新流程、创新方法,行动的中枢就是思想行动,只有在思想上进行重视,在行动中也才能给予重视,才能通过行动反映思想。提高工作者本身的责任意识,也是当代企业精细化管理当中不可或缺的重要因素,它能确保广大工作者在工作的过程当中思维缜密,不断提高工作效率,保证工作成效。因此,办公室工作人员在工作过程当中,要从基础抓起,关注琐事、小事,从这些锁事、小事做起并做好。从细节上入手,从小处着眼,从精细化上苦下功夫,真正使每个办公室职员认识到精细化管理所带来的良好成效,将精细化的管理方式融入到日常的学习与管理当中,树立起科学的、精细的工作态度,切实落实办公室各项工作有序、稳定、扎实地推进。有些同志难免会觉得自己工作岗位和未能及时因而从思想上忽略了工作的重要性,导致行动过程当中疏忽大意。然而许多人始终没能明白,无论工作者从事什么工作,在哪个工作岗位,都是企业办公室工作当中的一部分。所谓千里之堤,溃于蚁穴正是这个道理,也正说明了小环节其独特的重要性质。(建议删除灰色部分)
第二,将精细化管理模式运用到企业办公室规章制度的制订以及绩效考核当中(规范管理,加强考核)。
现代精细化的管理要求工作人员在工作的整个流程当中都要做到标准化、规范化及精细化。而如果在企业的日常工作过程当中,只是口头上强调要求精细化、具体化,而没有一套严格的、可供参考的奖惩制度及考核方法,没有差与优的区分,不能用量化标准去衡量,也必将使企业的精细化管理无法落到实处,最终只是流于形式。因此,在日常的实际工作流程当中,企业应结合各类办公室工作制定的相关职责要求与工作标准,将其作为对员工本职工作衡量与考核的主要依据,强化绩效考核制度,具体可采取以下几种方式:一是根据岗位职责不同,改变传统重过程轻监督的做法,制订科学的考核模式,奖优罚劣,建立事务全程监督体系;二是遵循可操作性、激励性与科学性原则,实施责任分解制,将各项工作量化、细化,从效果、标准与时间等方面具体化,建立权责统一、分工明确的科学责任体系;三是坚持定性考核与定量考核相结合、分类考核与综合考核相结合,不断提高考核科学性;四是将各类考核同奖评优先、行政问责等方面有机结合,以此使企业办公室工作全面取得实效;五是建立企业办公室工作活动台帐,记录每个员工工作成绩,定期进行工作情况汇报,推广先进的典型。坚持用数据和事实说话,不能单纯凭主观臆断进行评价,确保办公室的每个工作者能能够优质高效、各司其职完成自身所承担的各项任务,实现事事有人管、人人有事做的先进化管理,并在此项基础之上,付之于科学合理的绩效考核,这样既可推动企业各部门实现精细化管理进程,另一方面还能激发广大职工的工作积极性与热情。它的功效主要表现在以下两个方面:一是实行严格的绩效监督体系,可以即时了解各个工作者、各个部门在工作计划进度、工作任务以及规章制度等方面的具体落实情况,这样就有利于工作的评比及表彰,以此来建立合理的激励机制与约束机制,达到严格奖罚、鞭策后进、激励先进之功效;二是实行严格的考核监督休系有利于找差距抓进展。对企业办公室重要工作进展、部署落实进行严格的考核与监督,可以确保各项工作都能够最快的落实与实施。特别对于未能如期完成的工作与启动较慢的工作来讲,严格考核监督体系的实行,利用发现此项工作的问题之处,进而找出差距,以便及时将当前工作方式进行改进,以达到精细化的管理,来促进企业办公室的各项工作稳定实行,为企业实现顺利运营提供有利保障。
篇2
关键词:质量管理;规范运维;企业
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)09-2028-03
大多企业经过十余年的信息化发展,大规模的信息化建设基本完成,即将面临着长期的系统运行维护的问题。但与信息系统建设的较高水平相比,还普遍存在IT服务管理较弱的问题,缺乏有效的管理手段与方法,这就使信息化的投入充满了很大的不确定性,也使信息化效果很难控制。因此,如何对企业庞大的技术系统进行科学、高效的管理,从而发挥它的最大效能,降低运营成本,是当前企业信息化过程中必须面对的挑战。
1 三套标准在运维体系中的适用性分析
ISO9000质量管理体系标准在各企业和单位中的运用非常广泛,是对整个单位运作、服务过程进行质量控制管理的体系,通过质量手册、文件控制、记录控制等方面为管理对象的实施提供指导,侧重于对宏观运作流程的控制,但不包括各专业业务层面的特定要求。
ITIL作为一种以流程为基础、以客户为导向的IT服务管理指导框架,它摆脱了传统IT管理以技术管理为焦点的弊端,实现了从技术管理到流程管理,再到服务管理的转化,适用于IT服务管理和服务流程的控制。
等级保护管理体系是对信息系统的科学、安全运行进行监督和控制的体系,从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面为信息安全专业层面提供指导,适用于运作流程中各节点的安全控制。其中的保护等级划分,也为信息安全投入和安全保障水平提供了平衡点。
对于已经实施ISO9000的单位,信息化职能部门在ISO9000贯彻实施时往往与自身信息化业务无法融合,即便进行了融合也常以信息化的一般性运维工作为主,没有考虑规范化安全运维工作在整个单位和组织质量控制体系中的重要性。因此将ITIL、等级保护思路与ISO9000融合,即可具体落实ISO9000体系中的流程控制,也可以弥补等级保护在体系要求、文件控制和记录控制等方面的薄弱环节,同时完善ISO9000体系中对信息安全领域的专业性,最终形成以质量管理体系为框架,ITIL流程控制为主线,等级保护管理标准为保障的综合运维保障体系。
2 规范运维保障体系架构设计与文件体系建设
结合三套标准的特点进行运维管理架构设计时,在体系结构层面要考虑运维体系的建设周期、各标准在运维体系中所处的层次、每个层次要达到的要求及PDCA方法论等。在服务流程层面要考虑结合企业的现状,IT服务支持模式和管理流程及最佳实践等。在具体操作层面要考虑响应方式、实现工具、安全要求、监控方法等。将三大标准体系体系结构层面设计:在整个运维生命周期中,包括运维体系建设、运维支持管理、运维成效管理及运维持续改进四个阶段。这四个阶段形成一个PDCA持续改进的管理循环。通过建立检查、反馈机制,对信息安全管理体系运行情况进行监督和控制,建立动态调整机制,确保信息安全管理体系符合新形势、新技术发展要求。
服务流程层面设计:系统运维的服务流程是信息化工作部门和服务供应商向业务部门的服务交付和支持过程,通过建立“一站式”的服务台和规范的流程程序,提高IT部门对事件的响应能力和IT运维工作的规范性,防范手工方式出现对用户请求的遗忘,以及非规范的操作引起的系统风险,同时要帮助信息化工作部门实现运维知识的积累和共享,提升运维和管理的整体水平。
具体操作层面设计:在系统运行维护中,各项工作(事件、变更等)的处理程序、操作步骤、完成时限及服务要求等,均要制订相应的标准和规范,在涉及安全管控点时,可通过建立符合信息系统等级保护要求的安全配置基线,统一信息系统建设和运行技术配置标准。
按照上述三个层面之间的关系,落实到文件体系中时,可以质量管理体系为总体框架,将体系文件分为三个级别:一级程序文件为纲领性文件,用于描述整个体系架构运作流程和运维方针策略。主要包括信息化建设与管理程序,信息系统运维管理程序,涵盖信息化建设与运维全过程。二级程序文件按ITIL流程管理为主线,为一级程序提供可操作的流程化文件。主要包括:项目管理、事件管理、问题管理、配置管理、管理、变更管理、应急管理等流程。三级流程涉及具体操作规范,落实二级流程文件中涉及的各方面运维和安全管理内容。主要包括:沟通管理、授权与审批管理、文件规范性管理、介质管理、资产管理、网络管理、系统管理、安全事件与应急管理、备份与恢复管理等方面。记录表单为实际运维过程的记录。各级文件组成结构如图2所示。
文件体系是运维体系架构的管理体现,是管理落地的基础,也要运用PDCA管理。
3 规范运维保障体系ITIL流程设计
要想管理体系得到贯彻执行,就要对规范化运维流程进行科学有效的设计。因为流程是管理的终端,主要解决的是管理固化问题。而ITIL作为事实上的国际标准,基本与组织性质和业务性质无关,仅明确指出应该“做什么”,但不讲“如何做”。因此流程设计时还要结合企业的现状,本着一切从实际出发的原则,考虑企业对IT服务管理的切身需求,按照最佳实践和企业的实际设计出的合理的IT服务支持模式和管理流程,建立自己的方法论。
在具体的规范流程设计过程中,首先要考虑的是人员岗位职责。应用服务管理之后,IT部门的组织架构、职能、工作方式都会随之发生一定变化。建立规范的流程,需要确定IT支持人员和管理人员的职责,通过流程角色的设置,而不是单纯依靠组织结构的设置来把角色和职务分开。同时制定配套的人员角色和职责及考核机制,以实现对人员的量化管理和资源的有效利用。
其次是确定提供服务的管理流程。在ITIL中已归纳为服务级别管理、IT服务财务管理、能力管理、IT服务持续性管理和可用性管理5个服务管理流程。这些管理流程用于解决“客户需要什么”、“为满足客户需求需要哪些资源”、“这些资源的成本是多少”、“如何在服务成本和服务效益(达到的服务级别)之间选择恰当的平衡点”等问题,服务提供所包括的这5个核心流程均属于战术层次的服务管理流程,用以确定服务级别协议及满足服务要求所需要的最优资源,也就是说如何做正确的事。
再次是确保用户得到适当的服务支持以保障组织业务功能。服务支持流程体现服务接触和沟通的5个运作层次的流程,即事件管理、问题管理、配置管理、变更管理和管理。这5个服务管理流程的主要职能是,确保IT服务提供方所提供的服务质量,符合服务级别协议(SLA)的要求,即如何正确的做事。ITIL核心流程之间的层次关系如图3所示。
最后是引入服务台、服务连续性管理等流程自动化工具,以系统工具来固化流程,再不断完善流程。同时要关注工具之间的联动和信息整合,如果可能,尽早的进行统一的规划,建立集成规范要求,以保证投资在未来得到充分保护,不被浪费。
所以,ITIL的应用过程和效果的获得,不是简单的单纯通过项目建设能够达到的,是企业信息中心部门、咨询服务提供商、产品提供商等多方共同努力的结果,也是一个持续改进、不断优化的长期过程。
4 构建信息系统等级保护为基础的防护体系
保障体系要结合管理体系和ITIL流程,落实安全技术及管理要求。可依据分级、分域、分区、分层的防护原则,对运维的信息系统按级别划分安全区域进行管理,各安全域划分为网络边界、网络环境、主机系统及应用环境四个安全层次,最后形成纵深防御体系。
在技术上可通过强化边界访问控制、规范网络访问行为、强制主机管理、构建应用授权和身份认证平台、加强审计监控等措施构建协同防御。每个安全保护部件或设备应具有安全保护功能独立完整、调用接口简洁、与安全产品相对应和易于管理等特征,在后期综合运维服务与监控平台集成建设中能够保障数据的共享和协同防御。在管理上通过建立综合运维服务与监控平台。将机房环境监控系统、网络管理系统、性能监测与管理系统、入侵防御系统等监控与管理的系统告警和性能监测数据进行整合,梳理各个资源之间的告警关系,进行集中监控告警模型设计,并可进行工具产品的客户化定制,实现集中监控管理和指挥控制,为运维体系安全运行提供全面的管理保障。
5 规范运维保障体系实施路线
在实施阶段,要考虑若一次性全部实施所有流程带来的风险,可采用分阶段实施的方法,做到稳步推进,以便取得良好效果。大致可分为前期准备阶段,全面试运行阶段,正式运行及扩展阶段,综合优化调整阶段。
1)前期准备阶段
明确参与运维工作人员的岗位职责,做到权限分离。开展等级保护测评并根据等级保护要求制定安全配置基线及相关操作规范。根据等级保护测评结果,按照分级、分域、分区、分层原则制定安全技术基础平台整体解决方案,在管理与技术上提供安全依据。试运行ITIL运维管理五大流程,检验工作流程的可操作性。梳理清楚管理对象,完善资产配置管理,确定运维管理的范围。
2)全面试运行阶段
全面开展规范化运维工作,在运维平台中体现所有运维工作并力争全员参与,做到运维职责明确,流程处理程序规范,操作标准,过程有痕迹并制定合理的绩效考核方案。在日常运维工作中查找不足,提供改进意见,不断完善质量目标文件、流程体系文件和操作手册。充分发挥知识库作用,将常见问题解决方法进行归纳总结并上传至知识库,做到知识共享。同时实施完成安全技术基础平台,实现安全管理中心与运维平台互联互通问题,保证安全要求融入运维流程中。
3)正式运行及扩展阶段
全面运行完善后的ITIL运维管理五大流程,结合ISO20000相关运维标准,构建信息化运维服务运维服务体系,规范化、标准化、痕迹化运维管理工作。运用PDCA过程,进一步细化调整管理体系,总结体系运行情况,调整不适用和无法落实的部分,使之能高效、有序的运作。同时定期通过第三方机构对已测评的信息系统开展等级保护复评,找出所有系统的安全隐患,并提出整改方案和实施计划,督促信息安全措施的落实。
4)综合优化调整阶段
总结前期的规范化运维工作,调整不适用的部分,常态化的管理体系运作。定期进行内部评审,找出与当前工作的不适用部分进行优化调整;同时在工作中,结合工作实际,寻求更高效安全的方法优化体系,提高体系的效能。
综合上述实施阶段,确定实施路线图如图4所示。
参考文献:
篇3
1 综合治理信息安全的战略背景
IT管理技术发展历程,从被动管理转向主动管理,从服务导向转向业务价值。在科学的IT管理方法论方面形成了一系列标准:诸如ITIL/ITSM以流程为中心的IT管理行业标准;ISO20000ITIL 的国际标准; COBIT面向IT审计的IT管理标准;COSO企业内部控制框架,面向内部控制;ISO17799:信息安全管理国际标准。当前有很多非常好的综合性标准与规范可以参考,其中非常有名的就是ISO/IEC27000系列标准。ISO/IEC 27001通过PDCA过程,指导企业如何建立可持续改进的体系。
目前企业IT运维管理现状。需求变化:IT本身快速变更;管理目标多角度变换并存。资源不足:IT 复杂性成长快于人员成长;IT 人员持续流动。业务影响:难以判断事件对业务的影响和处理事件的优先级。信息孤岛:IT 资源多样性的,不能进行事件的关联分析,缺少统一的健康视图。IT网络与信息系统运维存在监测盲点,缺少主动预警和事件分析机制。
如何把此项复杂的工程进行细化与落地,建立信息安全保障框架?在企业有限的IT资源(包括人员、系统等)等的前提下,IT运营面临严峻的挑战,企业多半缺乏信息系统应用开发能力,在很大程度上依赖于产品开发商的支持,为此,要想实现从混乱到清晰、从被动到主动、从应付到实现价值取向的服务思想,自主加外包的混合运维方式无疑是一种好的服务方式。
2 建立和实施信息安全保障体系思路和方法
针对IT管理问题和价值取向的服务方式,借鉴PDCA工作循环原理和标准化体系建设方法,从建立安全目标和组织体系、制度体系和技术体系等三个主要层面构建实施信息安全保障体系,以规范引导人、以标准流程引导人,以业绩激励人,从而促被动变主动,坚持持续改善,促进工作效率,促进安全保障。
2.1 建立和推行目标管理
体系建设应以目标管理为先导、循序渐进,按顶层布局、中层发力、底层推动内容设计与构建,为此,借鉴当前IT运维管理目标演进方式,确立各阶段建设目标。
基础架构建设阶段(SMB),手工维护阶段。主要实现IT基础架构建设。
网络和系统监控(NSM)阶段,重视自动化监控阶段。主要实现IT设备维护和管理。
IT服务管理(ITSM)阶段,重视流程管理阶段。主要实现IT服务流程管理。
业务服务管理(BSM)阶段,重视用户服务质量与满意度。主要实现IT与业务融合管理。
从IT投入和业务价值来看,前三个阶段是间接业务价值,第四阶段才是直接业务价值。
根据ITIL这个IT服务管理的方法论,先是搭建一个框架,借用工具的配合促进落地。如图1、IT运维管理系统参考模型。
从安全目标出发,结合IT运维管理系统参考模型,每个阶段的工作向着实现直接业务价值,不断消除或减轻对性能的约束,促进IT产品或服务满足确定的规范,实现企业效益最大化。服务好用属性通过最终的绩效和检验结果监视测量价值成分。如图2。
2.2 规划融合信息安全保障体系
通过从组织体系、制度体系、技术体系层面建立和实施纵深防御体系,实现稳健的信息安全保障状态。
①组织体系:通过企业中高层的支持实现业务驱动和共同推动信息安全体系建设。当然,需要提出的问题,组织有可能要依赖长期可靠的合作伙伴:通过长期可靠的合作关系,快速引进外部专业资源和先进技术,可以帮助企业推动信息安全建设工作。为了帮助组织内外信息系统人员更好地遵守行业规范及法律要求,企业实施IT网络与信息系统安全运维体系标准,组织应做到定期对全体员工进行信息安全相关教育,包括:技能、职责和意识,通过相关审核,证明组织具备实施体系的意识和能力。
②制度体系:企业IT网络与信息系统安全运维系统建设的范围包括机房安全、数据安全、网络安全、服务器安全、业务应用安全、终端安全等。为此,企业应明确内部运维和外部协同的内容及其标准规范,包括绩效标准。建立实施IT网络与信息系统安全运维体系标准,首先把高效的信息安全做法固化下来形成规则制度或标准,成为组织中信息安全行为准则。保证事前预防、事中监控和事后审计等安全措施的得到有效执行与落实。
③技术体系:一般来说,网络设备技术体系可以按照从上到下信息所流经的设备来部署工具。即从数据安全、终端安全、应用安全、操作系统与数据库安全、网络安全、物理安全六个方面来选择不同的安全工具。按照“适度防御”原则,综合采用各种安全工具进行组合,形成企业“适用的”安全技术防线。适时根据风险评估的结果,采取相应措施,降低风险。
其中,需要采用1~2种综合管理的工具来帮助把所有的安全监控工具进行统一管控。例如SOC是给企业日常维护管理者使用,ITRM作为综合风险呈现,是给企业风险或安全管理层使用。
④体系运行和监控:体系的日常运行和监控就是从信息的生命周期进行流程控制,即在信息的创建、使用、存储、传递、更改、销毁等各个阶段进行安全控制。之前不能忽视在信息创建开发安全阶段的一个细化控制手段。在运行体系建设中,往往需要结合流程分析来关注信息的生命周期安全。运行过程中还有一个应急管理,包括灾备中心建设、业务连续性计划、应急响应等等都有相应的标准与理论支持。特别是BS25999标准的颁布,给如何建立一套完善的应急体系提供了参考。
3 企业建立和实施信息安全保障体系实践
面对网络系统互连,网络技术与设备的安全管理规范的完善这个复杂而且浩大的工程,井冈山卷烟厂不仅依靠个体分散的技术措施或者管理防护,而且结合国家、社会和个人的力量构建综合保障体系。
①依据ISO9000、ISO14000和OHSAS18000标准,国家计算机网络和信息安全相关法律法规,参考当前科学的IT管理方法论方面形成了一系列标准,结合YC/T384烟草企业安全生产标准等,识别这些与信息安全相关的法律法规及其它要求,将信息安全保障体系(框架)融合到企业质量、环境和职业健康安全(以下简称为三标)综合管理体系。
②确定信息安全管理目标并分步实施企业三年信息化发展规划。自2012年开始,企业对照YC/T384烟草企业安全生产标准要求,在梳理和评价2000年以来企业多个企业信息化三年实施规划实践环境以后,制订了新的三年信息安全管理目标和建设规划,将目标和规划分解到各年度实施,并纳入到企业年度三标综合管理体系建设目标和管理绩效考核。
③建立信息安全管理组织和工作标准,同时纳入三标综合管理体系管理考核。从体系结构上促成企业作业层、管理层(中间层)和决策层的信息化,实现企业的物资(服务)流、资金流和信息流的一体化,及时、准确和完整地传递企业的经营数据,保证企业的经营管理。利用信息化改进管理,形成企业信息安全文化,促进员工接受、理解和主动配合,不断提升全员的信息安全意识和技能,从而使信息安全管理真正落到实处。
④建立和实施信息安全保障体系文件标准。根据国家信息安全相关的法律法规及其它要求,结合行业和企业的特点和发展趋势,规范管理流程和模式。网络与信息系统建设“立足长远、分步实施、突出重点”,做到“统一规划、统一标准、统一平台、统一编码”,同步实施信息系统等级保护制度,促进企业与信息系统项目合作单位、地方通讯和公安等部门的社会化合作主要方式。企业内部各项工作实现规范化、信息化,做到一切工作都按照程序办,同时,事事处于相互制衡的环境之下、人人处于监督管理之中,从而形成职责明确、运转协调、相互制衡的工作机制,为企业内部信息安全监管提供强有力的保障。
几年来,企业坚持企业信息安全方针目标,以迅速响应服务为宗旨。企业信息安全保障体系建设紧紧围绕建立科学、规范、和谐、统一、开放的管理体系,全面融入了质量、安全和环境管理体系一体化建设和实践,截止到2015年底,企业共梳理建立或整合并实施安全保障类文件包括企业管理标准、技术标准和工作标准共计31个标准文件。通过创新与改善和体系审核、管理评审和提高文件执行率及持续改进方式保持了信息安全保障管理体系的持续改进和有效运行。
篇4
关键词:安全;电子政务外网平台;电子政务外网云平台;保障体系;传统架构;云计算
中图分类号:TP393.08 文献标识码:A 文章编号:2095-1302(2016)11-0-03
0 引 言
随着电子政务外网的发展,各省市电子政务外网平台的建设均已成熟,多数省市电子政务外网平台建设之初采用的是物理机传统架构部署方式。随着信息技术的发展,云计算技术应运而生,电子政务云平台的建设风生水起。然而无论是传统架构还是在云计算环境下,电子政务外网平台面临的风险越来越多,本文就这两种架构下电子政务外网平台的安全如何建设进行分析,提出相应的解决方案。
1 建设方案
电子政务外网平台的安全建设应根据业务应用特点及平台架构层特性,应用入侵检测、入侵防御、防病毒网关、数据加密、身份认证、安全存储等安全技术,构建面向应用的纵深安全防御体系。电子政务外网平台安全建设可从分析确定定级对象及安全等级、构建安全保障体系、明确安全边界、安全技术保障、安全运维保障、安全制度保障、云计算环境下电子政务外网平台安全保障几方面考虑。
1.1 分析确定定级对象及安全等级
信息系统安全等级共分为五级,根据“中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会”的《信息安全技术 信息系统安全等级保护定级指南(GB/T 22240-2008)》,结合国家相关行业标准规范,分析确定定级对象及安全等级。本文以构建信息系统安全等级第三级标准安全建设进行探讨。
1.2 构建安全保障体系
电子政务外网平台安全保障可从安全技术保障、安全运维保障、安全制度保障三个方面着手考虑,根据“中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会”的《信息安全技术 信息系统安全等级保护定级基本要求(GB/T 22239-2008)》进行建设。物理机传统架构下的电子政务外网平台安全保障体系架构如图1所示。
1.3 明确安全边界
1.3.1 安全边界划分原则
安全边界划分原则[1]如下所示:
(1)以保障电子政务外网平台信息系统的业务、管理、控制数据处理活动、数据流的安全为根本出发点,保障平台安全;
(2)每个安全域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等;
(3)根据“信息安全等保”要求,网络规划时避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
(4)根据《国家电子政务外网跨网数据安全交换技术要求与实施指南》,部署数据安全交换隔离系统,保障数据交换安全;
(5)对接入边界进行安全防护。
1.3.2 安全边界划分
电子政务外网平台可划分为DMZ区、内部数据中心、互联网出口区、安全及运维管理区、边界接入区五大区域。电子政务外网安全边界划分图如图2所示。
(1)DMZ区
DMZ区部署面向互联网的业务系统,包括门户网站、邮件服务等,应根据实际需求部署相应的安全策略。
(2)内部数据中心
内部数据中心区部署协同办公等内部应用系统,可根据实际需求分为多个逻辑区域,如办公业务区、测试区等,应根据实际需求部署相应安全策略。
(3)互联网出口区
互联网出口区为电子政务外网平台互联网接入边界,与运营商网络直连。该区域直接面向互联网出口区域,易被不法分子利用网络存在的漏洞和安全缺陷对系统硬件、软件进行攻击,可在该区部署相应的防火墙策略,并结合入侵防御、安全审计等技术提供立体的、全面的、有效的安全防护,允许合法用户通过互联网访问电子政务外网。
(4)安全及运维管理区
提供安全管理运维服务,保障电子政务外网平台的安全。提供统一网络管控运维服务,保障整网设备及业务系统信息正常运行。
(5)边界接入区
根据国家相关规范,对专网、企事业接入单位或其它系统接入电子政务外网时,应在访问边界部署防火墙、入侵防御系统,与“政务云”实现物理逻辑隔离,进行安全防护。
1.4 安全技术保障
采用传统架构的电子政务外网平台技术安全保障可从物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行考虑,可通过部署相应产品或配置服务进行安全保障。
1.4.1 物理安全
物理安全主要涉及环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等。具体包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面。该部分主要体现为机房及弱电的建设标准、规范,技术环节应符合相关等级保护要求。
1.4.2 网络安全
网络安全主要包括网络结构、网络边界以及网络设备自身安全等,具体包括结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护七个方面,关键安全技术保障措施如下所示:
(1)划分安全域,根据各安全域安全建设需求采用相应的安全策略。
(2)通过合理部署IPS、防火墙对网络进行边界隔离和访问控制,并实现对网络攻击的实时监测,即时中断、调整或隔离一些不正常或具有伤害性的网络行为。
(3)部署防DDoS攻击设备,及时发现背景流量中各种类型的攻击流量,针对攻击类型迅速对攻击流量进行拦截,保证正常流量通过。
(4)可在互联网出口处部署链路负载均衡设备,加强网络数据处理能力、提高网络的灵活性和可用性。
(5)采用上网行为管理、流量控制等设备,对网络流量进行实时监控管理,实现员工对终端计算机的管理和控制,规范员工上网行为,提高工作效率,实现流量控制和带宽管理,优化网络。
(6)对关键设备采用冗余设计,并在重要网段配置ACL策略以保障带宽优先级。
(7)采用安全审计技术,按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能。
1.4.3 主机、应用安全
主机安全主要包括访问控制、安全审计、剩余信息保护、恶意代码防护等几个方面。应用安全主要包括身份鉴别、访问控制、安全审计、抗抵赖性等几方面,关键安全技术保障措施如下所示:
(1)恶意代码可直接利用操作系统或应用程序的漏洞进行传播,可部署恶意代码监测、病毒防护系统及漏洞扫描等系统,通过主动防御可有效阻止病毒的传播,及时发现网络、主机、应用及数据库漏洞并修复,保障电子政务外网平台安全。
(2)利用身份认证技术及访问控制策略等技术保障主机应用安全,不允许非预期客户访问。
(3)运用审计技术保障主机应用安全,实时收集和监控信息系统状态、安全事件、网络活动,以便进行集中报警、记录、分析、处理。
(4)采用应用负载均衡技术、操作系统用户登录等技术实现资源的优化控制。
(5)可部署Web应用防火墙、网页防篡改等系统,做到事前主动防御,智能分析、屏蔽或阻断对目录中的网页、电子文档、图片、数据库等类型文件的非法篡改和破坏,保障系统业务的正常运营,全方位保护Web应用安全。
1.4.4 数据安全
数据安全主要包括数据的保密性、完整性及备份和恢复,关键安全技术保障措施如下所示:
(1)可对不同类型业务数据进行物理上或逻辑上隔离,并建设数据交换与隔离系统以保障不同安全等级的网络间的数据交换安全。
(2)采用双因素认证进行数据访问控制,不允许非预期客户访问,对违规操作实时审计报警。
(3)采用VPN、数据加密、消息数据签名、摘要等技术对数据传输进行加密,防止越权访问机密信息或恶意篡改。
(4)采用数据库冗余部署,防范数据丢失风险,为业务系统稳定运行提供保障,可考虑建设同城或异地容灾。
(5)部署数据库审计设备可在不影响被保护数据库性能的情况下,对数据库的操作实现跟踪记录、定位,实现数据库的在线监控,为数据库系统的安全运行提供了有力保障。
1.5 安全运维保障
安全运维保障可通过安全管理平台,建立与安全工作相配套的集中管理手段,提供统一展现、统一告警、统一运维流程处理等服务,可使管理人员快速准确的掌握网络整体运行状况,整体反映电子政务外网平台安全问题,体现安全投资的价值,提高安全运维管理水平。安全运维管理平台需考虑与安全各专项系统、网管系统和运管系统之间以及上下级系统之间的接口。
1.6 安全制度保障
面对形形的安全解决方案,“三分技术、七分管理”。若仅有安全技术防护,而无严格的安全管理相配合,则难以保障网络系统的运行安全。系统必须有严密的安全管理体制来保证系统安全。安全制度保障可从安全管理组织、安全管理制度、安全管理手段等方面考虑,建立完善的应急体制。
1.7 云计算环境下电子政务外网平台的安全保障
云技术是基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。随着时代的发展,云计算技术已变成信息系统主流基础架构支撑。由于云计算平台重要支撑技术是采用虚拟化实现资源的逻辑抽象和统一表示,因此在云计算环境下进行电子政务外网云平台安全保障体系建设,仅仅采用传统的安全技术是不够的,除满足上述物理安全、网络安全、主机安全、应用安全、数据安全技术保障,运维安全保障,安全制度保障需求之外,还应考虑虚拟化带来的新的安全风险。云计算环境下电子政务外网云平台安全保障体系如图3所示。
1.8 虚拟化安全
当前,云计算虚拟化安全技术还不成熟,对虚拟化的安全防护和保障技术测评则成为云环境等级保护的一大难题,主要涉及的安全包括虚拟机逃逸防范、虚拟机通信风险、虚拟机管理平台安全等方面。可采取如下安全保障措施[2]:
(1)将可信计算技术与虚拟化技术相结合,构建可信的虚拟化平台,形成完整的信任链;
(2)可建设分级访问控制机制,根据分层分级原则制定访问控制策略,实现对平台中所有虚拟机的监控管理,为数据的安全使用和访问建立一道屏障;
(3)可通过虚拟防火墙、虚拟IPS、虚拟防病毒软件或虚拟安全网关等技术实现虚拟机间的安全隔离。
2 SDS安全保障技术简介
软件定义安全(Software Defined Security,SDS)是从软件定义网络(Software Defined Network,SDN)延伸而来,将安全资源进行池化,通过软件进行统一调度,以完成相应的安全功能,实现灵活的安全防护。简单来说,传统的安全设备是单一防护软件架构在一台硬件设备之上,通常串接或旁挂于网络中,不仅将网络结构复杂化,对不同厂家的安全设备进行统一管理的复杂度也较高,需单独的物理安装空间。而SDS可以将其看作一个软件,灵活调配安全设备资源,实现灵活的网络安全防护框架,方便调整。
3 结 语
在大数据时代下,SDS是顺应时展趋势、简化安全管理的诉求,但由于SDS应用尚未完全成熟,仍需经过实践的检验。
参考文献
篇5
关键词:关键词:运维管理 ;供电公司
中图分类号:TP302 文献标识码:A 文章编号:
1. 地方供电公司发展的新特点
地方供电公司是整个供电系统计算机信息化的主体,它是整个区域电力系统信息化的重要环节,从长远的眼光来看供电公司的计算机信息化的发展。电力系统信息化是实现IT计算管理和自动化发展的主要方向。它通过计算机系统的应用,整合了电力企业当中电力自动化、电力监控与管理等多种资源,同时信息管理系统带来的降低企业成本效益。在此种趋势下,地方供电局已经成为了县一级供电公司的数据整理、应用中心,而且以跨区域的网络数据联网数据打造电力企业之间相互连通、相互支持的人力、物力、财力相结合的集团化信息电力系统管理。真正实现从企业一体化的电力信息应用平台以及一体化模型的企业数据中心,消除信息孤岛,发挥信息应用系统的整体效能。
电力信息一体化建设的主要思想即是进行电力业务应用集成和企业数据整合,从而构建一体化的电力信息管理平台。以ERP等系统为代表。就是对于电力生产,财务、营销、设备,人力资源等部分紧耦合业务进行了全面整合,实现业务协同。秉承这种企业级综合应用的构建思想,地市供电公司的信息应用模式发生了较大变化,由原来相对独立单纯的专业级、部门级应用,转变为企业级应用,甚至朝着集团级应用的趋势发展。从信息应用架构上来看,则呈现纵向贯通、横向集成的互联互通.多交互业务联动等更加复杂的跨专业,跨区域的应用方式,信息应用趋于复杂化及多样化。
信息应用模式的改变带来了大量新课题,信息系统的运行也不仅仅是单个系统、某个专业的管理活动,它涉及到电力企业的整个生产经营管理过程。由于业务集成与数据整合,信息应用的错误联动效应急剧增强,影响面也呈纵向横向逐级扩大。基础设施面对如此复杂庞大的集成式信息应用,如何提供强有力的支撑,IT运维活动面对多系统、跨部门及跨区域多用户、多平台系统,如何有效管理,同时运维队伍面对大量的高新技术,如何组织资源为我所用,信息运维管理在信息化供电公司建设的大环境下,不再仅仅是单纯的技术能力问题。更需要有体系化的管理支撑,这些与企业级的信息应用建设同样重要。
2. 计算机系统运维保障体系建设新思路
使用计算机系统运维方案给供电公司带来更多新的思维和新的挑战,从供电公司的硬件基础设施的发展开始,对网络、存储到应用系统,都要求具备更高的可用性、可扩展性以及安全性,提供更加强大稳固安全的支撑服务。而且围绕着计算机系统发展的运维活动,则需要更加快速的、主动、规范、有效的技术与管理方案支撑,他们的发展依托于整个技术的支持与配合。我国在制定国家电网公司SG186工程中六大保障体系的建设时,制定了保障体系的标准为:标准规范、安全防护、技术研究、管理调控、人才队伍、评价考核,覆盖了信息运维的技术与管理重点,相辅相成。地方供电公司在执行六大保障体系时,不仅要有针对自身企业的规划方式以及发展原则,而且要有实践此方案的扩展思维。
2.1标准规范体系
从地市供电公司层面来看,标准规范的建立主要用以规范整体运维活动,通过持续的制度化建设解决运维规范化运作问题。但是目前地市供电公司的信息化标准规范呈现来源众多、交叉重叠、缺少体系化、与实际发展部分不符以及缺少有效监督等现象,作为规范执行人员面对众多标准制度往往无所适从,使得标准规范形同虚设,不得不束之高阁,直接导致运维活动的随意化及运维管理的无序化,使信息系统的可靠性下降。地市供电公司信息化工作标准规范体系需要进行全面过滤、筛减,并建立适应新环境下的工作标准和运行规程,以先进的服务管理理念,以持续完善的规范实践,以相对稳定的制度体系。建立具有体系化、标准化的运行管理制度,指导和规范IT运维管理主体工作。地市供电公司在建立运维服务管理规范过程中,应建立标准的信息系统运行监控指标体系,以实现运维结果管理(即目标管理),并以目标为导向,以ITIL服务管理实践为指导,规范运维过程。同时通过运维关键部件及关键活动的管控,实现运维工作的精细化管理,通过结果、过程和关键点的把握,提高运维管理的有效性。
2.2安全防护体系
使用计算机信息系统建设时对于其整个公司贯穿式的应用架构和开放式的业务发展都要有明显的认识。通过电脑信息化安全问题的解决,电力生产区与生活区,不同省市县3级业务,不同业务应用之间,以及多种通信方式以及外单位相互关联的业务安全隔离区域,都增加一些安全受限访问等更多更复杂的安全需求与安全限制。通过组建电子数据安全防护网,数据控制安全防护网,保障电力企业的数据能够安全、有效的运行,在受到外界的影响时,电力系统依然能够自动、正常的运行,并依据当前的情况,计算机信息系统能够自动提出自动化的解决方案供人们参考,真正做到数据安全稳定、以及系统自动化的稳定发展。
2.3技术研究与人才队伍
信息技术是先进技术的典型代表,具有更新换代迅速的特点,信息化供电公司依托最先进的信息技术构建企业级的管理信息系统,从网络、主机、数据库、存储、设备等基础设施到体系化的架构、应用、数据,都渗透了大量的新技术应用。面对庞大的技术认知需求以及高端技术的学习壁垒,作为地市供电公司,在人财物资源有限的前提下,如何组织开展技术研究工作,如何锻炼和建设具备专业化能力的人才队伍,实际上是IT运维管理中最为关键的一环。
作为地市供电公司的技术人才队伍,全面研究信息应用各项高端技术并熟练掌握,需要长期的积累过程。为了应对迫在眉睫的系统支撑,地市供电公司信息技术研究必须从研究IT架构人手,通过对网络、存储、主机等IT基础架构以及对数据、应用系统的企业级架构的理解和深化,用全局化架构设计的视角,审视和认知IT系统之间的内外关联关系。对于信息化供 电公司复杂的企业级应用系统架构的研究,有助于技术人员洞悉IT运维的关键环节,区分系统运行核心和关键点。通过这种剥丝抽茧式的技术研究思路,能够将系统复杂的问题逐步分解成单纯的局部问题,对其中的核心部件以及高端的技术,完全可以利用社会上专业性的技术资源予以支持,非核心的运维工作则可以考虑运维外包,以降低运维管理系统建设的工作量。专业化的技术外援资源的利用以及运维外包模式,都必须在运维管理可控能力范围内开展,而这里可控的最好手段则是地市供电公司自身人才队伍对信息系统的架构能力和分析能力的培养,以对架构的“面”的掌握实现对单一技术“点”的控制。对地市供电公司技术人员的要求不再是对高端技术的攻关,而是掌握系统的架构及关联关系,在系统架构层面上对系统的可用性、持续性进行分析,从而决定运维工作的内容和优先级,在外部资源利用的同时,不仅有效监控资源,而且参与实践。长期积累,同样可以实现技术研究和人才队伍建设的目标。
2.4管理调控与评价考核
管理调控是从企业信息管理角度,通过对信息应用的分析实现人财物资源的合理调控,以优化资源效能。地市供电公司的IT运维管理,要实现管理调控,首先要实现管理监控。通过监控获取信息系统的真实运行状况,人力资源的工作分布及工作质量、信息投资是否发挥效力,在此基础上进行针对性管理分析,继而采用资源调控手段实现目标明确的管理调控。管理监控从量化角度出发,建立IT基础设施及信息应用系统的运行关键指标、运维活动工作指标等,指标要求采集方便、准确定位关键点,通过指标体系展现和掌控系统运行及维护工作全貌,通过指标进行能力、可用性,持续性管理和分析,提交系统优化和建设方案,推动管理调控措施的应用。管理监控的内容同时作为运维评价考核的科学参考依据,为评价考核提供良好支撑。
三、总结
电力电网的经营管理模式在不断的发展与变化,使用计算机信息化系统支持也在不断发展与变化当中,供电公司要进行自我的升级与发展,就必须要有全国一体、电力一体化的集团思维,通过建立规范化的管理、专业化的队伍、系统化的技能来保障整个计算机信息系统自动化运维的方法,保障整个电力系统的正常、有效运行。
参考文献:
[1] 郭池,蒋元晨,陈玉慧,等.从ITIL视角促电网企业信息化深化应用[J].电力信息化.2010年3月刊:14-16.
