时间:2023-08-30 16:26:33
序论:在您撰写运维管理保障体系时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
一、关于精细化管理的涵义
“精细”就是细致精密之意。在我国传统的思想文化当中,关于精细的思想可谓源远流长。古人曾讲:天下的难事,必须做到简易;天下的大事,必须做到精细。其它如“千里之堤,溃于蚁穴”的观点,也从另一层面展现了韩非子的精细化观念。就当前而言,精细化管理模式来源于一些发达国家,这种全新的管理是服务质量精细化及社会分工精细化对当代企业管理的必然趋势,它基于常规管理这个基础,且将这个基础引向一种更为深层次的管理模式,它的主要目标就在于将管理所占用的成本及资源进行最大限度的降低。作为一类管理技术与管理理念,精细化的管理强调的是通过规则的细化及系统化,运用数据化、标准化及程序化的手段,确保组织管理不同的单元保持协同、可持续、高效、精确运行。就当前而言,精细化管理模式其最主要的特征就是重效果、重质量、重具体、重过程与细节,追求专注做好一件事情,并在细节上力求最佳、精益求精[1]。
二、加强办公室精细化管理的措施(几点体会或思考)
第一,精细化管理要加强办公室细节落实、增强职工意识(注重细节,增强意识)。
就当前而言,作为一种新型管理模式,精细化管理不仅可以提高各部门管理水平,而且还可以将员工的工作效率、积极性和主动性进行提高。尤其对于复杂的企业办公室来讲,其各类工作具有突发性强、受被动性、事务纷繁复杂等特点,不论是对上接待还是服务领导,不论上传下达还是督办、督查等工作,稍有大意或者疏忽,就极有可能铸成大错,造成企业或者个人损失。在实际的企业工作当中,各企业要适当通过组织全体成员一起探讨、学习精细化的管理工作,认识到实行精细化管理的意义所在,引导和教育广大员工脚踏实地、立足本职,从细节上养成严谨细致、精益求精的工作习惯,确保精细化管理思想深入人心,贯穿每个流程、每个工作环节的始终。如果要想做到这些,那么办公室职工就在增强以下三方面的意识水平:一是增强企业意识。这也是落实办公室工作的重要保证。由于办公室每项工作都极具重要性且头绪很多,特别是对于可以影响全局的工作,更是要做到服务在先、思考在前,将企业责任意识落实到工作当中来,讲效率的同时也要保证质量水平,坚持谁工作、谁负责的责任原则,将各项工作切实落到实处,力争各项工作稳步推进,做到零缺陷、零失误,为企业正常运营提供保障;二是增强办公室职工的精品意识。从办公室工作的情况来看,这是落实工作的根本。企业办公室不论是办事还是办文,都要做到有序、保证条理性、遵守程序,要尽可能将每一个细节、每项工作做到尽善尽美 。简单地说就是办事要达到无可挑剔、会议要举办得圆满、写文要力求达到准确、精练、高效表达办文意图;三是增强办公室工作人员的创新意识。这也是办公室工作最终得以做好的动力所在。办公室工作的全局性决定了广大工作者要从企业大局出发,认真思考每一项工作,不断在工作当中探索灵活多样、行之有效的工作手段及方法,积极适应企业领导的不同的工作作风、思路以及理念,将这种服务内化为一种艺术,真正发挥出领导的助手功能。就企业办公室工作者而言,办公室的工作大多是日常事务性的工作,平凡、简单而单调,许多具体工作都有固定的程序和模式,容易在工作中产生因循守旧的惯性思维,特别在拟写重要材料时,由于平时不注重资料的收集整理,对周围环境变化的观察和思考不够,上级和领导新的思路未能及时准确把握等原因,最终将导致拟写的文章既不能迅速融入企业的经营环境,也无法有效传递管理层的经营理念和思路,也就难以真实反映企业经营管理过程中存在的问题,最终提出的管理措施和手段将失之偏颇乃至谬之千里。为此,在企业的办公室工作中创新意识的树立对工作质量的提升同样发挥着极其重要的作用。只有真正理解本职工作的实质,深入研究工作中遇到的问题和困难,积极主动思考解决的方法,才能充分发挥员工的主观能动性,才能在具体工作中创新思路、创新流程、创新方法,行动的中枢就是思想行动,只有在思想上进行重视,在行动中也才能给予重视,才能通过行动反映思想。提高工作者本身的责任意识,也是当代企业精细化管理当中不可或缺的重要因素,它能确保广大工作者在工作的过程当中思维缜密,不断提高工作效率,保证工作成效。因此,办公室工作人员在工作过程当中,要从基础抓起,关注琐事、小事,从这些锁事、小事做起并做好。从细节上入手,从小处着眼,从精细化上苦下功夫,真正使每个办公室职员认识到精细化管理所带来的良好成效,将精细化的管理方式融入到日常的学习与管理当中,树立起科学的、精细的工作态度,切实落实办公室各项工作有序、稳定、扎实地推进。有些同志难免会觉得自己工作岗位和未能及时因而从思想上忽略了工作的重要性,导致行动过程当中疏忽大意。然而许多人始终没能明白,无论工作者从事什么工作,在哪个工作岗位,都是企业办公室工作当中的一部分。所谓千里之堤,溃于蚁穴正是这个道理,也正说明了小环节其独特的重要性质。(建议删除灰色部分)
第二,将精细化管理模式运用到企业办公室规章制度的制订以及绩效考核当中(规范管理,加强考核)。
现代精细化的管理要求工作人员在工作的整个流程当中都要做到标准化、规范化及精细化。而如果在企业的日常工作过程当中,只是口头上强调要求精细化、具体化,而没有一套严格的、可供参考的奖惩制度及考核方法,没有差与优的区分,不能用量化标准去衡量,也必将使企业的精细化管理无法落到实处,最终只是流于形式。因此,在日常的实际工作流程当中,企业应结合各类办公室工作制定的相关职责要求与工作标准,将其作为对员工本职工作衡量与考核的主要依据,强化绩效考核制度,具体可采取以下几种方式:一是根据岗位职责不同,改变传统重过程轻监督的做法,制订科学的考核模式,奖优罚劣,建立事务全程监督体系;二是遵循可操作性、激励性与科学性原则,实施责任分解制,将各项工作量化、细化,从效果、标准与时间等方面具体化,建立权责统一、分工明确的科学责任体系;三是坚持定性考核与定量考核相结合、分类考核与综合考核相结合,不断提高考核科学性;四是将各类考核同奖评优先、行政问责等方面有机结合,以此使企业办公室工作全面取得实效;五是建立企业办公室工作活动台帐,记录每个员工工作成绩,定期进行工作情况汇报,推广先进的典型。坚持用数据和事实说话,不能单纯凭主观臆断进行评价,确保办公室的每个工作者能能够优质高效、各司其职完成自身所承担的各项任务,实现事事有人管、人人有事做的先进化管理,并在此项基础之上,付之于科学合理的绩效考核,这样既可推动企业各部门实现精细化管理进程,另一方面还能激发广大职工的工作积极性与热情。它的功效主要表现在以下两个方面:一是实行严格的绩效监督体系,可以即时了解各个工作者、各个部门在工作计划进度、工作任务以及规章制度等方面的具体落实情况,这样就有利于工作的评比及表彰,以此来建立合理的激励机制与约束机制,达到严格奖罚、鞭策后进、激励先进之功效;二是实行严格的考核监督休系有利于找差距抓进展。对企业办公室重要工作进展、部署落实进行严格的考核与监督,可以确保各项工作都能够最快的落实与实施。特别对于未能如期完成的工作与启动较慢的工作来讲,严格考核监督体系的实行,利用发现此项工作的问题之处,进而找出差距,以便及时将当前工作方式进行改进,以达到精细化的管理,来促进企业办公室的各项工作稳定实行,为企业实现顺利运营提供有利保障。
【关键字】烟草业 信息安全体系运维管理体系
一、IT运维的概念与重要性
IT运维管理就是指单位IT部门采用相关的方法、手段、技术、制度、流程和文档等,对IT运行环境(如硬软件环境、网络环境等)、IT业务系统和IT运维人员进行综合管理。其运维管理主要包括八个方面的管理内容:设备管理;应用/服务管理;数据/存储/容灾管理;业务管理;目录/内容管理;资源资产管理;信息安全管理;日常工作管理。
运维工作能有效延长应用系统的生命周期,并因此成为软件工程的重要阶段。信息系统运行维护质量的优劣直接关系到应用系统的运行效果,乃至生命周期。从软件工程的角度来看,整个运维期从应用系统投入使用开始,直至系统的自然消亡,是信息系统生命周期中最长、最重要的一个阶段。良好的运维机制和运维措施不但能够确保系统长期稳定地运行,有时还能缓解或解决设计时遗留的某些缺陷,并且延长信息系统的生命周期。科学的运维工作能针对不同的运维要求确立灵活的运维原则。运维工作应是讲求科学性和策略性的。由于各种信息应用系统在职能上有着截然不同的分工,在处理方式上有着各自的特性和规律,因此应用系统间普遍存在着较多差异,这种差异不但体现在软硬件设备上,而且还体现在日常的运行方式,乃至安全性要求上。针对这些参差不齐的差异,运维部门需要制定差异化的运维原则。
二、烟草商业基层运维队伍的建设的基本方式
建立安全运维管理平台,作为体系的应用支撑系统。一方面通过集中授权访问,实现统一的认证授权和全网日志审计。另一方面依托集中授权,保障网络服务质量,提高网络的可用性和利用率。第三从业务视角提供对业务服务的管理,并以预先定义的事件管理流程完成事件的处理。第四将信息化队伍建设、资产资料管理、工作计划、考核和项目管理工作电子化,实现信息中心的信息化。
一体化保障体系建设原理是“以整体规划为引领、以标准规范为主线、以集中管控为模式、以应用系统为支撑”。即在整体信息化规划的指导下,制定标准规范,指明一体化保障体系建设工作依据和管控要求;通过集中管控,明确一体化保障体系的管控模式和具体措施;通过应用支撑,保证一体化保障体系能够按标准规范建设、按管控措施执行。
通过明确管控模式和措施,落实人员职责,确定行为规范,保证技术措施真正发挥效用,保障标准规范的有效贯彻和落实。具体措施包括在基层单位建立起"一站式"的运行维护窗口、优化岗位设置、提升人员素质、实行集中安全管理、整合技术监控及防范措施,逐步实现在线绩效评估及考核。
三、运维队伍建设过程中的若干问题
当前,宜昌市烟草公司信息化建设正在稳步推进,各类面向不同业务形态的应用系统不断产生。随着现代社会信息化程度的提高,企业对应用系统使用的网络及计算机软硬件设施的依赖程度也相应增强,然而,现实环境中的许多意外故障或蓄意事件(如病毒攻击)却无法完全避免。作为组织机构关键性和战略性的资产,信息化系统与组织机构的生产、经营、管理的关联越来越紧密,信息系统能否安全、可靠地运行,将直接影响到企业发展的各个方面。信息系统运维管理平台的建设和实施,对维护好规模越来越大、技术越来越新、复杂度越来越高的应用环境,确保各个系统能够长期、健康地运行将起到非常积极的作用。
经过近半年的运行,在烟草基层单位的队伍中安全运维管理系统应用方面存在以下两点问题:
1.重视不够,认识不足。
(1)安全运维管理系统尚未得到充分应用,没有及时通过安全运维管理系统了解本单位系统运行情况,多次发生系统预警2小时后仍未进行处理的情况。
(2)日常工作记录不及时,全年共有1517起机房日志和备份日志未及时进行记录,占总日常工作的80%。
2.落实不到位。
(1)人员未落实,一些基层单位的服务台、技术支持、日常工作记录填报人员未明确具体责任人。
(2)流程执行不到位,预警发生后,应首先由基层单位所在的服务台接受预警信息并转入事件处理流程,目前,有68%的预警信息未转入事件处理流程,只是由技术人员自行进行解决。
3.已转入事件处理流程的事件处理不及时,有50%的事件超过2小时后才开始处理。
四、基层运维队伍建设工作的改进
建设安全运维管理系统,使烟草基层单位实现信息化的公共安全管理、系统运维监管和信息安全防控为当务之急。
(一)进行“6A”公共安全管理。“6A”是指账号、授权、认证、审计、接入和流量预警。
集中账号管理:集中帐号管理的管理对象是用户和帐号,通过LDAP,将用户与其拥有的所有信息系统帐号关联,进行集中管理维护,为集中访问控制、授权、审计提供原始数据基础。
集中认证授权:集中认证授权的管理对象是用户和他的系统访问权限,通过设置在单位内的CA认证授权平台,实现所有应用系统、网络设备、操作系统、数据库等的统一认证授权和单点登录。
集中安全审计:集中安全审计的管理对象是所有基层单位的网络、主机、应用系统和用户行为,通过架设在各单位的网络探针,收集相关数据并集中的进行审计分析。
集中安全接入:集中安全接入的管理对象是用户、网络设备和服务器,通过架设在各单位的安全网关,实现对用户终端的登录安全评估检查,并为每个用户划分基于被访业务系统的专用虚拟安全域。
集中流量预警:集中流量预警的管理对象是骨干网链路,通过部署在各单位的流量探针,对网络出口流量、业务系统访问流量、终端节点流量进行综合分析、监测、预警和清洗。
(二)进行系统运行监控和运维服务监管。安全运维平台是以业务为视角,将业务系统相关网络设备、链路、主机、数据库、中间件等软硬件设备进行集中管控,对关键指标进行实时监视,出现异常情况后立即预警,通知运维人员进行处理。同时,集成部分操作命令,实现自动化处理的操作控制活动。如:监控发现业务带宽的空闲和紧张状况,通过配置针对网络的优先带宽、保证带宽和预留带宽策略,保证业务带宽需要。
烟草基层单位下一阶段将要开发的业务应用管控部分,是以全程业务流程作为监测视角,通过业务流程建模、确定监测的关键点、设置关键点的监控指标,进行以全流程业务为中心的监测处理,实时提供业务全流程运行状态和质量情况监测;并可通过模拟客户端运行全流程业务的过程以及模拟外部系统调用服务的过程,对全流程进行探测,从而主动发现业务流程的潜在问题。
(三)提升信息安全防控能力。一方面进行机房标准化改造,各单位机房标准化改造应按照B级机房标准进行,避免贪大求洋。主机房面积按照每机柜占地3.5-5.5平方米计算,机房采用双电源双回路配电,消防采用S型气溶胶自动灭火装置,机房专用空调、防雷、电磁屏蔽、环境控制等其他设施设备应符合GB50174-2008《电子信息系统机房设计规范》要求。另一方面,通过划分网络安全域、进行安全域之间的隔离和访问控制、进行应用访问流量和互联网访问流量的有效管控,来保证网络性能和带宽能够充分满足信息化需求。第三方面通过安全配置、补丁修复、漏洞扫描、防病毒、主机入侵防御等技术手段实现所有操作系统、数据库、中间件、应用的全方位安全加固与防护。第四方面通过进行终端安全修复、安全接入控制、终端桌面安全和网络行为监控,提高全省对于分散终端的安全管理能力,规范终端用户的行为,降低来自终端的安全威胁。
(四)设立基层单位运维服务窗口,统一受理、处理和记录信息化安全服务事件。
烟草基层单位运行的维护窗口设置在单位内的运维服务中心,实行74小时运维保障,做到一站式受理、一站式服务。运维服务中心设置服务台、信息服务管理、IT维护和技术支持岗位,由信息系统规划、建设和运行维护的技术人员组成。一般来说,基层的韵味服务中心是最基础的服务中心,主要是解决基层单位自身的问题,如果遇到自己解决不了的问题,则可请求上级单位层次更高的运维服务中心帮助解决。
运维服务中心的工作主要是基层单位内信息化实现安全服务统一调度、信息资源的集中管控和统计分析。信息化安全服务统一调度依据ITIL最佳实践进行,目前已实现了事件、问题、配置和变更流程的电子化处理,下一阶段将逐步实现IT服务规划、日常需求管理、服务级别管理、服务可用性管理等其他18项服务流程的电子化工作。运维服务中心通过对信息资源的集中管控和统计分析,定期向各级领导提交运维报告,为领导决策提供必要的数据依据。
去年,湖北省烟草基层单位实现一体化的保障体系主要进行了两个方面的建设工作。一是编制了一体化保障体系建设规划、标准规范和规章制度,共编制了12项标准规范,修订完善了16项规章制度和21项管理流程。相应的征求意见稿已下发给各市州公司,下一步,市局将结合各单位提出的修订意见,对标准规范和制度流程进行修改,力争在年内。二是在基层单位内推广了安全运维管理系统,系统建立的安全准入帐号7396个,发放加密与签名证书16156张,目前全省共有7000多人在使用。安全运维管理系统集中管理IT基础设施842个、信息化项目70个、信息化从业人员172名, 实现了21项信息化指标的自动考核,从2010年10月至今,系统预警73877起,已全部处理完毕,未发生因故障导致业务中断的事故。
五、宜昌运维的发展
一体化保障体系建设遵循“统一规划、适度超前、小步快跑、分步实施”原则,分阶段开展。2011年为体系巩固年,在2010年一体化保障体系初步建成的基础上,继续巩固应用效果。2012~2013年为体系优化年,优化完善一体化保障体系。2014~2015年为体系提升年,持续改进一体化保障体系。
2011年,全省将通过“抓管理、抓落实、抓实效”三项工作来进一步深化一体化保障体系应用,巩固完善全省一体化保障体系。
参考文献
关键词:质量管理;规范运维;企业
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)09-2028-03
大多企业经过十余年的信息化发展,大规模的信息化建设基本完成,即将面临着长期的系统运行维护的问题。但与信息系统建设的较高水平相比,还普遍存在IT服务管理较弱的问题,缺乏有效的管理手段与方法,这就使信息化的投入充满了很大的不确定性,也使信息化效果很难控制。因此,如何对企业庞大的技术系统进行科学、高效的管理,从而发挥它的最大效能,降低运营成本,是当前企业信息化过程中必须面对的挑战。
1 三套标准在运维体系中的适用性分析
ISO9000质量管理体系标准在各企业和单位中的运用非常广泛,是对整个单位运作、服务过程进行质量控制管理的体系,通过质量手册、文件控制、记录控制等方面为管理对象的实施提供指导,侧重于对宏观运作流程的控制,但不包括各专业业务层面的特定要求。
ITIL作为一种以流程为基础、以客户为导向的IT服务管理指导框架,它摆脱了传统IT管理以技术管理为焦点的弊端,实现了从技术管理到流程管理,再到服务管理的转化,适用于IT服务管理和服务流程的控制。
等级保护管理体系是对信息系统的科学、安全运行进行监督和控制的体系,从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面为信息安全专业层面提供指导,适用于运作流程中各节点的安全控制。其中的保护等级划分,也为信息安全投入和安全保障水平提供了平衡点。
对于已经实施ISO9000的单位,信息化职能部门在ISO9000贯彻实施时往往与自身信息化业务无法融合,即便进行了融合也常以信息化的一般性运维工作为主,没有考虑规范化安全运维工作在整个单位和组织质量控制体系中的重要性。因此将ITIL、等级保护思路与ISO9000融合,即可具体落实ISO9000体系中的流程控制,也可以弥补等级保护在体系要求、文件控制和记录控制等方面的薄弱环节,同时完善ISO9000体系中对信息安全领域的专业性,最终形成以质量管理体系为框架,ITIL流程控制为主线,等级保护管理标准为保障的综合运维保障体系。
2 规范运维保障体系架构设计与文件体系建设
结合三套标准的特点进行运维管理架构设计时,在体系结构层面要考虑运维体系的建设周期、各标准在运维体系中所处的层次、每个层次要达到的要求及PDCA方法论等。在服务流程层面要考虑结合企业的现状,IT服务支持模式和管理流程及最佳实践等。在具体操作层面要考虑响应方式、实现工具、安全要求、监控方法等。将三大标准体系体系结构层面设计:在整个运维生命周期中,包括运维体系建设、运维支持管理、运维成效管理及运维持续改进四个阶段。这四个阶段形成一个PDCA持续改进的管理循环。通过建立检查、反馈机制,对信息安全管理体系运行情况进行监督和控制,建立动态调整机制,确保信息安全管理体系符合新形势、新技术发展要求。
服务流程层面设计:系统运维的服务流程是信息化工作部门和服务供应商向业务部门的服务交付和支持过程,通过建立“一站式”的服务台和规范的流程程序,提高IT部门对事件的响应能力和IT运维工作的规范性,防范手工方式出现对用户请求的遗忘,以及非规范的操作引起的系统风险,同时要帮助信息化工作部门实现运维知识的积累和共享,提升运维和管理的整体水平。
具体操作层面设计:在系统运行维护中,各项工作(事件、变更等)的处理程序、操作步骤、完成时限及服务要求等,均要制订相应的标准和规范,在涉及安全管控点时,可通过建立符合信息系统等级保护要求的安全配置基线,统一信息系统建设和运行技术配置标准。
按照上述三个层面之间的关系,落实到文件体系中时,可以质量管理体系为总体框架,将体系文件分为三个级别:一级程序文件为纲领性文件,用于描述整个体系架构运作流程和运维方针策略。主要包括信息化建设与管理程序,信息系统运维管理程序,涵盖信息化建设与运维全过程。二级程序文件按ITIL流程管理为主线,为一级程序提供可操作的流程化文件。主要包括:项目管理、事件管理、问题管理、配置管理、管理、变更管理、应急管理等流程。三级流程涉及具体操作规范,落实二级流程文件中涉及的各方面运维和安全管理内容。主要包括:沟通管理、授权与审批管理、文件规范性管理、介质管理、资产管理、网络管理、系统管理、安全事件与应急管理、备份与恢复管理等方面。记录表单为实际运维过程的记录。各级文件组成结构如图2所示。
文件体系是运维体系架构的管理体现,是管理落地的基础,也要运用PDCA管理。
3 规范运维保障体系ITIL流程设计
要想管理体系得到贯彻执行,就要对规范化运维流程进行科学有效的设计。因为流程是管理的终端,主要解决的是管理固化问题。而ITIL作为事实上的国际标准,基本与组织性质和业务性质无关,仅明确指出应该“做什么”,但不讲“如何做”。因此流程设计时还要结合企业的现状,本着一切从实际出发的原则,考虑企业对IT服务管理的切身需求,按照最佳实践和企业的实际设计出的合理的IT服务支持模式和管理流程,建立自己的方法论。
在具体的规范流程设计过程中,首先要考虑的是人员岗位职责。应用服务管理之后,IT部门的组织架构、职能、工作方式都会随之发生一定变化。建立规范的流程,需要确定IT支持人员和管理人员的职责,通过流程角色的设置,而不是单纯依靠组织结构的设置来把角色和职务分开。同时制定配套的人员角色和职责及考核机制,以实现对人员的量化管理和资源的有效利用。
其次是确定提供服务的管理流程。在ITIL中已归纳为服务级别管理、IT服务财务管理、能力管理、IT服务持续性管理和可用性管理5个服务管理流程。这些管理流程用于解决“客户需要什么”、“为满足客户需求需要哪些资源”、“这些资源的成本是多少”、“如何在服务成本和服务效益(达到的服务级别)之间选择恰当的平衡点”等问题,服务提供所包括的这5个核心流程均属于战术层次的服务管理流程,用以确定服务级别协议及满足服务要求所需要的最优资源,也就是说如何做正确的事。
再次是确保用户得到适当的服务支持以保障组织业务功能。服务支持流程体现服务接触和沟通的5个运作层次的流程,即事件管理、问题管理、配置管理、变更管理和管理。这5个服务管理流程的主要职能是,确保IT服务提供方所提供的服务质量,符合服务级别协议(SLA)的要求,即如何正确的做事。ITIL核心流程之间的层次关系如图3所示。
最后是引入服务台、服务连续性管理等流程自动化工具,以系统工具来固化流程,再不断完善流程。同时要关注工具之间的联动和信息整合,如果可能,尽早的进行统一的规划,建立集成规范要求,以保证投资在未来得到充分保护,不被浪费。
所以,ITIL的应用过程和效果的获得,不是简单的单纯通过项目建设能够达到的,是企业信息中心部门、咨询服务提供商、产品提供商等多方共同努力的结果,也是一个持续改进、不断优化的长期过程。
4 构建信息系统等级保护为基础的防护体系
保障体系要结合管理体系和ITIL流程,落实安全技术及管理要求。可依据分级、分域、分区、分层的防护原则,对运维的信息系统按级别划分安全区域进行管理,各安全域划分为网络边界、网络环境、主机系统及应用环境四个安全层次,最后形成纵深防御体系。
在技术上可通过强化边界访问控制、规范网络访问行为、强制主机管理、构建应用授权和身份认证平台、加强审计监控等措施构建协同防御。每个安全保护部件或设备应具有安全保护功能独立完整、调用接口简洁、与安全产品相对应和易于管理等特征,在后期综合运维服务与监控平台集成建设中能够保障数据的共享和协同防御。在管理上通过建立综合运维服务与监控平台。将机房环境监控系统、网络管理系统、性能监测与管理系统、入侵防御系统等监控与管理的系统告警和性能监测数据进行整合,梳理各个资源之间的告警关系,进行集中监控告警模型设计,并可进行工具产品的客户化定制,实现集中监控管理和指挥控制,为运维体系安全运行提供全面的管理保障。
5 规范运维保障体系实施路线
在实施阶段,要考虑若一次性全部实施所有流程带来的风险,可采用分阶段实施的方法,做到稳步推进,以便取得良好效果。大致可分为前期准备阶段,全面试运行阶段,正式运行及扩展阶段,综合优化调整阶段。
1)前期准备阶段
明确参与运维工作人员的岗位职责,做到权限分离。开展等级保护测评并根据等级保护要求制定安全配置基线及相关操作规范。根据等级保护测评结果,按照分级、分域、分区、分层原则制定安全技术基础平台整体解决方案,在管理与技术上提供安全依据。试运行ITIL运维管理五大流程,检验工作流程的可操作性。梳理清楚管理对象,完善资产配置管理,确定运维管理的范围。
2)全面试运行阶段
全面开展规范化运维工作,在运维平台中体现所有运维工作并力争全员参与,做到运维职责明确,流程处理程序规范,操作标准,过程有痕迹并制定合理的绩效考核方案。在日常运维工作中查找不足,提供改进意见,不断完善质量目标文件、流程体系文件和操作手册。充分发挥知识库作用,将常见问题解决方法进行归纳总结并上传至知识库,做到知识共享。同时实施完成安全技术基础平台,实现安全管理中心与运维平台互联互通问题,保证安全要求融入运维流程中。
3)正式运行及扩展阶段
全面运行完善后的ITIL运维管理五大流程,结合ISO20000相关运维标准,构建信息化运维服务运维服务体系,规范化、标准化、痕迹化运维管理工作。运用PDCA过程,进一步细化调整管理体系,总结体系运行情况,调整不适用和无法落实的部分,使之能高效、有序的运作。同时定期通过第三方机构对已测评的信息系统开展等级保护复评,找出所有系统的安全隐患,并提出整改方案和实施计划,督促信息安全措施的落实。
4)综合优化调整阶段
总结前期的规范化运维工作,调整不适用的部分,常态化的管理体系运作。定期进行内部评审,找出与当前工作的不适用部分进行优化调整;同时在工作中,结合工作实际,寻求更高效安全的方法优化体系,提高体系的效能。
综合上述实施阶段,确定实施路线图如图4所示。
参考文献:
[关键词]炼化企业;门户管理;运维;闭合回路
doi:10.3969/j.issn.1673 - 0194.2016.16.000
[中图分类号]F270.7 [文献标识码]A [文章编号]1673-0194(2016)16-00-02
1 中国石油企业信息门户背景介绍
中国石油企业信息门户于2003年开始统一建设与推广应用。采用统一平台、统一标准规范、统一技术对其下属企业进行建设。历经十余年应用,企业信息门户在企业的生产、经营和管理等方面发挥了重要的作用。各企业门户主管部门,始终把门户管理和运维工作作为工作重点,作为提升企业价值的重要举措。通过注重公平公正,强化激励约束,严格奖惩,不断深化门户机制创新,着力构建完善的门户运维工作体系。
随着门户管理与运维工作的不断推进与深化,原有工作体系存在着不足与短板,例如考核评价体系仍然需要完善,考核的力度、深度和广度还不够,过程评价不足,评价手段单一等。另外,通过门户评估,能够发现门户网站建设、运行、管理中存在的不足,提出下一步门户工作重点和发展目标,积极采取有效的措施完善改进,有效引导门户健康有序发展。
随着企业规模的不断增大,企业必须依靠信息化促进企业经营管理水平的提升,推动企业长久发展。而信息门户恰恰是最基本的信息技术手段,因此需要最大限度发挥门户的服务能力,更好地为员工提供有效服务,为企业提供服务保障。因此构建大型炼化企业门户管理与运维体系,实现门户管理和运维的闭合回路,是非常必要的。
2 信息门户实施内涵
构建大型炼化企业门户管理与运维的闭合回路,即是对现行门户管理制度、标准规范、运维流程等进行总结梳理,完善门户考核评价等工作,通过构建门户管理、运维、安全保障和考核评价等四个体系,环环相扣,互相影响和指导,从而形成符合企业门户发展的、科学合理的门户管理与运维工作体系,覆盖门户所有工作环节中,永远不会脱离PDCA管理模型:策划实施检查改进策划,实现了门户管理和运维工作的闭合回路。
3 构建大型炼化企业门户管理与运维闭合回路的主要做法
构建完善的门户管理、运维、安全保障和考核评价等4个体系,每个体系都采用PDCA方法进行不断建设与完善,搭建形成覆盖企业门户管理和运维的闭环管理环境,推动企业门户的发展,提升门户服务能力,促进企业管理水平的提升。
3.1 构建完善的门户管理体系
3.1.1 门户管理体系的内容
门户管理体系是由制度、标准、规范、组织机构、人员和流程等内容组成。它是开展门户工作的前提,有效的管理体系将使企业的门户管理和运维工作制度化、规范化。
3.1.2 门户管理体系的规划与实施
(1)完善制度、标准和规范。制度是围绕门户工作各个环节而设计的一整套管理规范。立足公司实际,自上而下、分步实施、稳步推进、逐步完善,形成了企业统一管理框架,便于管理层、运维人员及用户参照和使用。如《公司信息门户网站管理办法》《公司门户建设与运行管理规定》等,规范门户管理和运维工作,保证系统稳定、高效运行。标准是围绕门户工作制定的一系列可重复使用的规则、导则或特性文件。如《公司信息门户网站编辑规范》《门户信息格式规范》等。
(2)明确组织机构和人员职责分工,建立有效管理机制。机构设置上保证责任全覆盖。企业门户管理的组织机构包括公司信息化工作委员会、门户主管部门及门户运维部门。公司信息化工作委员会由公司领导班子成员及信息管理部领导组成,负责研究和审定公司办法及管理制度,监督与检查管理过程中的、重大情况的决策等,加强了对门户工作的统一领导和综合协调。门户管理由办公室牵头,各职能部门共同参与,使管理更加便捷和精准,提高工作效率和质量,完善管理环节与工作流程。
(3)建立、完善管理流程是门户管理工作的重要内容,要明确怎么管,如何管。
3.2 构建完善的门户运维体系
3.2.1 门户运维体系的内容
门户运维体系也是由制度、标准、规范、组织机构、人员、工作流程等内容组成。它是做好门户工作的基础,主要涵盖运维全部工作,要确保门户稳定、可靠、便捷、高效和安全。
3.2.2 门户运维体系的规划与实施
(1)制定有关运维工作的制度和标准。在管理体系中已经建立和完善门户制度、标准和规范,因此,在运维体系下,主要是围绕门户运维工作制定相应的运维制度、标准和规范。同样也要立足工作实际,便于运维人员及用户参照和使用。例如制定完善《企业门户网站运维工作细则》《门户网站用户操作手册》《门户网站管理员日常操作手册》《门户网站功能模块维护手册》等,涵盖运维所有工作内容,要制定表单跟踪,规范门户运维工作,保证系统稳定、高效运行。
(2)明确组织机构和人员职责分工,构建有效运维机制。一般都是由企业信息部门承担运维工作,或者企业信息部门和下属单位共同承担。人员分为专责和兼职两种。
(3)完善和梳理工作流程,门户系统运维工作大体分为如下五个方面。
第一,门户建设和维护。主要包括门户网站的新建与改版、专题新建与维护、门户功能的扩展等内容。由用户填写《门户建设(变更)申请表》交由运维部门操作、执行、反馈并存档。
第二,门户系统权限运维。主要对信息采编、文档库、网站、网站集权限等进行变更、维护与管理。由用户填写《门户权限变更申请表》并由运维部门授权、反馈和存档。
第三,门户系统软件运维。主要对系统软件包括服务器操作系统、数据库等进行运维。操作系统主要是对日志、补丁更新、接口等进行监控、优化和故障排查等。数据库主要是对数据备份、数据恢复、数据库优化、故障排除等进行运维。备份工作确定好增量备份和完整备份的时间、方式,以及数据保留周期等,填写《门户数据备份日志》进行留存。
第四,门户系统硬件运维。主要是对硬件设备(服务器、存储等)的日常巡检,定期检查和维修,保障设备的正常运行。运维人员巡检填写《门户巡检记录》,维修需要填写《门户硬件维修表单》等存档。
第五,门户系统客户端运维。针对最终用户在使用过程中出现的问题进行处理,保障其应用正常。运维人员根据日常处理情况填写《问题记录日志表单》。
针对整体运维情况,企业可统计《门户运行周报》或《门户运行月报》,进行分析总结,记录相应信息。
3.3 构建完善的门户安全保障体系
3.3.1 门户安全保障体系的内容
门户安全保障体系也是由制度、标准、组织机构、人员、工作内容组成。完善的安全保障体系能够有效预防各类事故的发生,减少突发事件带来无法预估的工作量和影响。
3.3.2 门户安全保障体系的规划与实施
(1)完善门户安全制度和标准。持续完善《门户信息保障措施》《门户突发事件应急预案》《门户风险管控手册》等制度,实现安全工作规范化。
(2)组织机构和人员分工。机构设置满足门户信息安全需要,一般参照上述管理体系和运维体系提及的部门共同承担,企业信息部门为主要责任部门。
(3)安全防护工作主要包括以下三点内容。
第一,监控平台。利用当前先进技术手段,建立安全保障系统,提高信息数据的采集、存储、处理等各个环节的安全性,逐步完善,形成稳定的安全保障体系。持续对门户网站进行漏洞扫描、挂马监测、敏感内容监测、域名监测、钓鱼监测、平稳度监测及篡改监测等安全监测,及时发现网站挂马事件、被黑事件、安全漏洞等问题,确保门户网站安全运行。
第二,风险管理。运维人员在做好门户基础运维工作的同时,还应该保障系统的软硬件及数据安全,加强风险识别和防范能力,提前预估可能出现的风险;针对较高的风险制定应急措施,保障门户系统安全;特别针对信息审核和,一定要严格按制度执行,做好舆情管理。
第三,应急处理。发生突发事件时,迅速发现并定位,按照应急预案进行快速响应,使影响最小。同时应该强化运维人员的应急反应能力,通过定期组织应急演练,并对演练的结果进行总结分析,增强运维人员处理突发事件应急能力。
3.4 构建完善的门户考核评价体系
3.4.1 门户考核评价体系的内容
将门户工作纳入公司信息化考核体系,制定考核和评价指标,分层次比照,加强考核与评价。建立考核和激励机制,对用户、运维人员和管理人员进行考核,对失误的地方予以批评指正,对提高、改进的地方予以奖励,充分调动人员的积极性、主动性,及时发现问题,消除潜在的隐患,促进全过程价值创造,进一步提高运维管理的水平。
3.4.2 门户考核评价体系的规划与实施
考核不仅仅是评价和监督更是激励。完整的考核评价体系能有效发掘员工的潜能,提升业务能力和技术能力,进而提升整体运维水平。
(1)全要素评价。对门户的考核不仅包含工作完成情况,还包含服务满意度、故障处理及时率、系统畅通率、设备完好率、维护及时率、培训情况等以及人员日常工作表现和素质能力的评价。
(2)全过程控制。贯穿整个门户工作中,结果性指标与过程性指标相结合,日常考核与年终考核相结合。将考核内容量化,按规定的程序和频率进行考核评价。
考核结果应扩大化、直接化、显现化,与绩效奖金直接挂钩。按照公开公平公正的原则,保证考核制度公开、目标设定公正、考核过程规范、考核结果公平,充分调动人员的积极性。还要考虑激励约束并重,坚持结果考核与过程评价相统一,激励与约束相配套,责权利相统一,考核结果与绩效奖金、培训发展等紧密挂钩。
4 结 语
企业信息化就是利用信息技术搭建支持企业生产经营管理的运行平台,通过资源的有效利用,实现降本增效,提高企业核心竞争力。信息门户作为企业最基本的信息技术手段,企业应从管理、服务和业务发展角度出发,建立完善的门户管理运维的闭合回路,提高门户服务水平和能力,保障信息系统高效安全运行,从而为企业信息化建设提供有力支撑。
主要参考文献
即使这样,如下安全问题依然摆在了很多企业面前:安全设备部署了很多,安全制度流程也建立了,但从整体角度看,仍然是各自为战,仿佛信息安全问题只是IT部门的事情,与其他人无关,这就使得无法形成整体有效的安全防护;一边是业务应用越来越复杂,一边是安全设备和制度不断增加,如果安全设备和制度做多了,业务部门抱怨太繁琐,但如果不做这么多,又怕出现安全问题,左右为难。
那么,出现这些问题的根源是什么呢?我们早就知道,建设安全系统不仅仅是技术问题,也是管理问题。而信息安全服务的主要目标就是更好的支撑IT应用系统的效果和效率,也就是说,信息安全的主要目的是通过信息安全管理体系、技术体系以及运维体系的综合有效建设,让IT应用系统能够达到更好的运营效果以及更高的效率。而如何综合而有效的建立信息安全保障体系,成为了摆在每个企业面前的课题。
合规是重中之重
信息安全标准是确保信息安全产品和系统在设计、研发、生产、建设、使用和测评过程中保持一致性、可靠性、可控性、先进性和符合性的技术规范和依据,其不仅关系到国家的信息安全,也是保护国家利益、促进产业发展的一种重要手段,同时更是信息安全保障体系中的重要组成部分,是政府进行宏观管理的重要依据。
我国在这方面虽然起步较晚,但也制定了一批符合中国国情的信息安全标准,同时在一些重点行业还颁布了一批信息安全的行业标准,尤其是国家等级保护制度和分级保护制度是我国在进行信息安全保障体系建设中的重要依据。
因此,企业只有在信息安全保障体系建设过程中依据相关标准进行合规性分析,通过安全风险评估,然后比对相关标准中所涉及的技术要求、管理要求、测评要求,才能明确得出建设的方向和重点,了解目前系统中存在的问题和改进的方法,同时明确在管理、部署和运维过程中信息安全管理的相关制度、流程和需要持续改进的目标。
此外,相关标准还为企业明确了进行信息安全保障体系建设的方法,只有遵循这种方法才能做到“有法可依、有章可循”。
安全咨询是桥梁
前面提到,信息安全建设的主要目的是让IT应用系统能够达到更好的运行效果,并提高系统的运行效率,也就是说,要让信息安全保障体系成为IT应用系统的有效支撑。然而,不同政府或企业的具体业务环境和流程各不相同,所以也不是每个政府或企业都可以使用一个统一的模板。不同的组织在建立与完善信息安全保障体系时,必须根据自己的业务特点和具体情况以及IT应用的实际情况,采取不同的步骤和方法。此外,还要注意,信息安全不仅涉及安全管理和技术层面的问题,还会涉及到治理机制、业务流程、人员管理、企业文化等内容。
这就使得,企业要运用风险的方法来决定信息安全体系建设的目标和步骤。这个过程实际上是需要专业资深的安全服务人员对目标的业务特点、IT应用实际情况和具体管理方式进行现场调研、符合性分析、相关的风险评估等操作的,尤其是对关键业务应用的深入了解和分析,只有这样才能与标准比对形成安全基线和框架参考。
而且,在建设过程中,还要不断与相关负责人(决策人员、安全管理员、网络安全维护人员)进行深入沟通,以便发现安全隐患、找出关注重点,并提出有效的策略建议,最终才能运用风险的方法来决定体系建设的目标和步骤,并一步一步实施完成。通过这一点我们不难看出,信息安全咨询贯穿于整个信息安全体系建设的过程中,是联系实际需求和建设目标的桥梁。
实际落地是关键
信息安全技术体系是利用技术手段实现了技术层面的安全保护,是整个信息安全保障体系中非常重要的一部分。很多政府和企业都部署过一些技术防护手段,但这些防护手段是不是符合相关标准和关键业务的需求,是不是把风险控制到了一个可控的水平,我们就不得而知了。
因此,在信息安全保障体系建立过程中,一定要依照标准来选择技术防护手段,同时实现技术手段的落地是关键。而要实现技术手段的落地,就要兼顾以下几点:选择的技术产品要满足政府或企业实际环境、IT应用和管理流程制度等客观条件;选择的技术产品要具有易维护、管理简便的特点,并要能够保持先进性;选择的技术产品要能够满足应用变化的需要,并适应技术的不断发展。即保障可用性、适用性和持续性。
安全意识是必须
在很多政府部门和企业中普遍存在这样一个问题,仿佛信息安全只是IT部门的事情,其他业务部门大多采取了“事不关己,高高挂起”的态度,这势必会造成安全天天喊,但是总没有明显效果的局面。
可以说,建设信息安全保障体系是企业内的一次“安全革命”,通过培训,不仅仅要让每个人都提高对安全事件处理的管理水平和技术水平,更重要的是让每个人都拥有“信息安全人人有责”的意识。
同时,这场“安全革命”给企业带来了新的知识和管理模式,企业必须通过培训将整个信息安全保障体系的相关知识转移到每位员工身上,让他们对整个体系逐步达到从接受到适应,再到最终掌握。只有这样才能让整个信息安全保障体系真正应用起来,并真正起到效果。
运维平台是手段
【 关键词 】 信息安全;信息安全保障体系;国家大剧院
Exploration of Information Security Framework for National Center for the Performing Arts
Liu Zhen-yu
(National Center for the Performing Arts BeiJing 100031)
【 Abstract 】 The status of information security of National Center for the Performing Arts is explored. After that, information security problems and risks that National Center for the Performing Arts faced with are analysed. The information security framework which includes technique, management and operating is followed. The paper ends up with the elaboration of the effectiveness of the information security framework.
【 Keywords 】 information security; information security framework; national center for the performing arts
1 背景
随着信息技术的飞速发展,人类正以前所未有的速度进入以网络为主的信息时代,网络的快速发展不仅促进了人们的通信和交流,同时也带来了商业和经济模式的巨大变革。
国家大剧院是国家新建的重要文化设施,也是一处别具特色的景观胜地。作为北京市国家级标志性文化设施,国家大剧院的建设与运行体现了正在迅速崛起和复兴的中国在精神文化领域的追求,因此,依托信息化手段宣传和服务于广大文化艺术爱好者是国家大剧院电子商务网站建设的宗旨,使之成为“国家表演艺术最高殿堂、艺术普及教育的引领者、中外艺术交流最大平台、文化创意产业重要基地”。
国家大剧院网络及信息系统从2007开始逐步建设,建设初期主要满足国家大剧院演出宣传、文艺教育、演出票务、公众服务、内部办公和访问互联网的需求,官方网站电子商务平台承担着对外宣传及网上售票业务。随着国家大剧院近几年影响力和地位的不断提升以及业务的发展壮大,对信息化建设提出了更高要求,同时对信息安全的需求也越来越迫切,结合国家等级保护制度来进行安全保障建设成为国家大剧院信息化建设的有益补充。
2 现状及问题
目前国家大剧院局域网骨干带宽为千兆,双核心。已部署的安全设施,如在整个局域网的出口均部署了防火墙,内网服务器域边界部署了防火墙;在门户网站出口部署了流量控制和入侵防御设备;内部终端还广泛部署了防病毒软件,以防范计算机病毒在局域网内传播和破坏。国家大剧院正在运行的业务系统主要包括网站系统、票务系统、艺术资料管理系统、OA系统、财务系统及邮件系统等。
根据对国家大剧院信息化及信息安全现状的分析,结合国内外信息安全发展态势,发现国家大剧院面临着一些信息安全问题及风险。
假冒网站、网站挂马等安全风险。据权威统计,2011年下半年,检测新增挂马网站独立网址246万,平均每日100万人次访问此类挂马链接,新增钓鱼盗号欺诈类网站独立网址492万,共拦截10亿余次钓鱼盗号欺诈类网址,平均每日600万人次访问此类欺诈类链接。假冒网站独占鳌头的是电商网购类,而且仿冒范围不断扩散,通过国家大剧院运维人员统计观察,越来越多的黑客、病毒、不法机构和人员对国家大剧院电子商务网站系统的正常运行产生威胁,网站业务系统随时都可能遭受恶意攻击。
系统入侵或网络攻击风险。由于系统保护措施不到位,可能导致国家大剧院票务等对外网站系统的域名劫持、DDoS攻击等安全风险。同时,也可能由于软件漏洞或者安全意识单薄等造成内部邮件等信息泄露。
非授权访问风险。由于国家大剧院内部办公等信息系统边界缺乏访问控制设施,并且在网络可信接入、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,未授权者可通过网络非法访问网站及系统服务器,并进行非法读取、篡改和破坏数据等不良行为,构成对内部数据及信息系统的重大隐患。
数据安全风险。媒资库建设完成后将承载大量的媒体资料,这些有艺术价值的音像资料是国家大剧院的宝贵资产,一旦由于自然灾害、人员非法入侵、内部人员误操作等造成数据丢失损坏,将对国家大剧院造成重大损失。
媒体资源库音像资料版权风险。目前,剧院已经为视频在线传播及直播提供服务平台,然而提供的音视频服务面临版权盗用、盗链和恶意下载等问题,容易对剧院和公众利益带来损害。
内控管理风险。据权威调查报告显示,内部员工的粗心大意是企业信息安全的最大威胁,由此造成的安全事故高达78%。目前,由于国家大剧院内部员工的安全意识还相对淡薄,存在进入业务系统的登录口令设置过于简单,私自访问不安全网站,私自接入不安全设备等问题,这些都给大剧院信息系统造成了极大的安全隐患和威胁。
3 信息安全保障体系探索
3.1 总体目标
通过对国家大剧院信息安全现状、问题以及信息安全建设需求的分析,可知国家大剧院信息安全保障体系建设的总体目标是按照国家信息安全等级保护相关要求,从风险控制、技术设施、管理体制及运维服务等方面入手,基于成熟的安全技术,借鉴先进可行的管理理念,加强外御威胁防护、构建内控管理机制、强化数据保护措施,建立和完善信息安全管理体制,加强安全服务保障,设计适合国家大剧院信息化发展的安全保障体系,从而确保业务流程可控、业务状态可视,保障业务整体安全。
3.2 设计思路
针对国家大剧院安全保障目标,在信息安全保障体系设计上基于几种设计思路。
3.2.1构建网站可信机制
通过第三方网站身份诚信认证来确保网站真实性,可帮助网民判断网站的真实性。同时,基于可信证书类产品,确保系统管理用户身份的真实性。其次,借助社会力量来实现假冒网站的定位、侵权取证等服务,从而有效打击防范欺诈类网站并且协助维权。
3.2.2建设安全可靠的办公网络平台
积极推进信息安全等级保护建设,通过制定安全策略、部署安全设备,完善安全保密管理制度,加强安全运维支撑建设,从物理安全、网络安全、主机安全、应用安全、数据安全、流程安全、人员安全等多方面保障系统的安全稳定运行。
3.2.3建立网络信任服务
通过为网络管理员、网站维护人员颁发数字证书,部署网络可信接入及远程安全接入设施来构建剧院内部的网络信任服务体系,保证信息系统及媒资库资源的可靠访问,确保我院信息资源安全。
3.3 体系框架
在国家大剧院信息系统安全保障体系设计以及实现中,将在国家相关的安全政策、法规、标准、要求的指导下,制定可具体操作的安全策略,构建国家大剧院网站系统安全技术系统、安全管理体系以及安全运行体系,形成集防护、检测、评估、响应、恢复于一体的整体安全保障体系,从而实现物理安全、网络安全、主机安全、数据安全和应用安全,以满足国家大剧院网站系统全方位的安全保护需求。国家大剧院信息系统整体安全保障体系模型如图1所示。
国家大剧院信息系统整体安全保障体系模型主要由三个方面组成。
3.3.1安全技术体系
参考国家标准《信息安全技术 信息系统等级保护安全设计技术要求》按照威胁分析,将信息资产划分为若干保护对象,并按照“一个中心”管理下的“三重保护”的设计框架,构建国家大剧院信息安全技术体系保障机制和策略,为国家大剧院信息系统的运行提供安全保护环境。该环境共包括四部分:安全计算环境、安全区域边界、安全通信网络和安全管理中心。
3.3.2安全管理体系
以国家大剧院现有业务系统所服务对象为基础,建立完善的安全管理体系,建立信息安全管理机构、制定信息安全管理制度、设置信息安全管理岗位。
3.3.3安全运维服务体系
针对业务安全运行的需要,以日常巡检、咨询、评估等建立有效的运维服务机制,加强对资产管理的分析、隐患发现、策略审核考评等,不断发现平台在运行中的安全隐患,降低系统脆弱性和面临潜在的威胁带来的影响及损失,以及时对安全策略实现完善和防护措施的改进提升。
3.4 信息安全体系建设实践
国家大剧院信息安全保障工作经过长期的努力,已经初见成效。在安全体系的建设实践中,总结出几点实践经验。
3.4.1制定标准规范,奠定保障基础
信息安全保障建设的一项重要工作之一是参照国家等级保护的技术要求完成相应的合规性检查。因此,国家大剧院应据此建立适合国家大剧院的信息安全管理基线,坚持常态化管理和动态控制,达到并保持国家相关安全主管部门的安全审计要求。
3.4.2重视管理,制度先行
信息安全是一个动态发展的过程,每年随着业务发展变化而变化,同时随着信息安全技术的不断演变,都会出现新的安全防护技术的使用。经过多年实践证明,每个系统或者防护设备上线前,都必须在遵守总体防护规范的前提下,编制好具有针对性的管理要求,才有有效降低安全风险引入的可能。
3.4.3定期组织代码审计和渗透测试等系统检测
代码安全审计是通过人工分析和工具扫描的方式检验应用程序的源代码,利用大量的代码安全规则,来分析源代码中的违反规则部分,进而确定可能存在的安全漏洞和隐患。应用系统生命周期安全的从SDL实践上看,安全做的越早效果越好(但开发模式改动的成本也相对比较大),代码审计作为保证代码安全的最低低线,其作用是不可取代的。
另外,除了从代码开发过程中保证开发出安全的应用系统以外,针对已开发的系统,国家大剧院还组织第三方测试机构,从攻击者视角检测信息系统安全防护能力是否达到,是否存在成功攻入系统的途径。
4 信息安全建设意义
通过构建信息安全保障平台,保障我剧院信息系统可安全合规运行。基于国家信息安全等级保护制度要求,建设国家大剧院信息系统整体安全保障体系模型信息安全保障基础设施,制定安全策略,为国家大剧院系统提供安全可靠的运行环境。
提高国家大剧院电子票务等信息系统的安全运行平稳度。通过在信息安全技术、信息安全保密管理等多维度的体系保障建设,保障网站真实性、打击假冒网站,大大提高国家大剧院信息系统安全稳定运行的平稳度。
提高用户的安全便捷以及系统安全管理能力。通过构建可信的电子票务运营环境,为用户提供身份认证及网络信任机制,加强用户的身份、资金安全保障,并且提高系统安全管理能力。
提升安全隐患发现能力。安全隐患的发现能力是信息安全管理中的关键能力,关系到能否将风险消除在事件发生之前。通过建立入侵监测系统、防病毒系统以及定期的安全脆弱性检测等,大大提升我剧院信息系统的安全隐患发现能力。
5 结束语
建设和完善信息安全保障体系是为了保证国家大剧院的业务在今后发展过程中对信息安全建设的要求。
信息安全保障体系建设涵盖安全管理体系、安全技术体系、安全运维体系的复杂系统工程,是一项长期性的专业的细致的认为,需要以信息安全技术为基础,持续投入大量的人力和物力。为使国家大剧院建设成为国际化、现代化的大剧院提供有力的信息安全保障。
参考文献
[1] 关于大力推进信息化发展和切实保障信息安全的若干意见(国发[2012]23号).
[2] 信息安全管理实用规则(GB/T 22081-2008).
[3] 信息系统等级保护安全设计技术要求(GBT25070-2010).
[4] 信息系统安全等级保护体系框架(GA/T 708-2007).
[5] 国家大剧院电子商务网站系统安全保障方案.内部资料,2010.
[6] 国家大剧院安全服务保障方案.内部资料,2011.
1 综合治理信息安全的战略背景
IT管理技术发展历程,从被动管理转向主动管理,从服务导向转向业务价值。在科学的IT管理方法论方面形成了一系列标准:诸如ITIL/ITSM以流程为中心的IT管理行业标准;ISO20000ITIL 的国际标准; COBIT面向IT审计的IT管理标准;COSO企业内部控制框架,面向内部控制;ISO17799:信息安全管理国际标准。当前有很多非常好的综合性标准与规范可以参考,其中非常有名的就是ISO/IEC27000系列标准。ISO/IEC 27001通过PDCA过程,指导企业如何建立可持续改进的体系。
目前企业IT运维管理现状。需求变化:IT本身快速变更;管理目标多角度变换并存。资源不足:IT 复杂性成长快于人员成长;IT 人员持续流动。业务影响:难以判断事件对业务的影响和处理事件的优先级。信息孤岛:IT 资源多样性的,不能进行事件的关联分析,缺少统一的健康视图。IT网络与信息系统运维存在监测盲点,缺少主动预警和事件分析机制。
如何把此项复杂的工程进行细化与落地,建立信息安全保障框架?在企业有限的IT资源(包括人员、系统等)等的前提下,IT运营面临严峻的挑战,企业多半缺乏信息系统应用开发能力,在很大程度上依赖于产品开发商的支持,为此,要想实现从混乱到清晰、从被动到主动、从应付到实现价值取向的服务思想,自主加外包的混合运维方式无疑是一种好的服务方式。
2 建立和实施信息安全保障体系思路和方法
针对IT管理问题和价值取向的服务方式,借鉴PDCA工作循环原理和标准化体系建设方法,从建立安全目标和组织体系、制度体系和技术体系等三个主要层面构建实施信息安全保障体系,以规范引导人、以标准流程引导人,以业绩激励人,从而促被动变主动,坚持持续改善,促进工作效率,促进安全保障。
2.1 建立和推行目标管理
体系建设应以目标管理为先导、循序渐进,按顶层布局、中层发力、底层推动内容设计与构建,为此,借鉴当前IT运维管理目标演进方式,确立各阶段建设目标。
基础架构建设阶段(SMB),手工维护阶段。主要实现IT基础架构建设。
网络和系统监控(NSM)阶段,重视自动化监控阶段。主要实现IT设备维护和管理。
IT服务管理(ITSM)阶段,重视流程管理阶段。主要实现IT服务流程管理。
业务服务管理(BSM)阶段,重视用户服务质量与满意度。主要实现IT与业务融合管理。
从IT投入和业务价值来看,前三个阶段是间接业务价值,第四阶段才是直接业务价值。
根据ITIL这个IT服务管理的方法论,先是搭建一个框架,借用工具的配合促进落地。如图1、IT运维管理系统参考模型。
从安全目标出发,结合IT运维管理系统参考模型,每个阶段的工作向着实现直接业务价值,不断消除或减轻对性能的约束,促进IT产品或服务满足确定的规范,实现企业效益最大化。服务好用属性通过最终的绩效和检验结果监视测量价值成分。如图2。
2.2 规划融合信息安全保障体系
通过从组织体系、制度体系、技术体系层面建立和实施纵深防御体系,实现稳健的信息安全保障状态。
①组织体系:通过企业中高层的支持实现业务驱动和共同推动信息安全体系建设。当然,需要提出的问题,组织有可能要依赖长期可靠的合作伙伴:通过长期可靠的合作关系,快速引进外部专业资源和先进技术,可以帮助企业推动信息安全建设工作。为了帮助组织内外信息系统人员更好地遵守行业规范及法律要求,企业实施IT网络与信息系统安全运维体系标准,组织应做到定期对全体员工进行信息安全相关教育,包括:技能、职责和意识,通过相关审核,证明组织具备实施体系的意识和能力。
②制度体系:企业IT网络与信息系统安全运维系统建设的范围包括机房安全、数据安全、网络安全、服务器安全、业务应用安全、终端安全等。为此,企业应明确内部运维和外部协同的内容及其标准规范,包括绩效标准。建立实施IT网络与信息系统安全运维体系标准,首先把高效的信息安全做法固化下来形成规则制度或标准,成为组织中信息安全行为准则。保证事前预防、事中监控和事后审计等安全措施的得到有效执行与落实。
③技术体系:一般来说,网络设备技术体系可以按照从上到下信息所流经的设备来部署工具。即从数据安全、终端安全、应用安全、操作系统与数据库安全、网络安全、物理安全六个方面来选择不同的安全工具。按照“适度防御”原则,综合采用各种安全工具进行组合,形成企业“适用的”安全技术防线。适时根据风险评估的结果,采取相应措施,降低风险。
其中,需要采用1~2种综合管理的工具来帮助把所有的安全监控工具进行统一管控。例如SOC是给企业日常维护管理者使用,ITRM作为综合风险呈现,是给企业风险或安全管理层使用。
④体系运行和监控:体系的日常运行和监控就是从信息的生命周期进行流程控制,即在信息的创建、使用、存储、传递、更改、销毁等各个阶段进行安全控制。之前不能忽视在信息创建开发安全阶段的一个细化控制手段。在运行体系建设中,往往需要结合流程分析来关注信息的生命周期安全。运行过程中还有一个应急管理,包括灾备中心建设、业务连续性计划、应急响应等等都有相应的标准与理论支持。特别是BS25999标准的颁布,给如何建立一套完善的应急体系提供了参考。
3 企业建立和实施信息安全保障体系实践
面对网络系统互连,网络技术与设备的安全管理规范的完善这个复杂而且浩大的工程,井冈山卷烟厂不仅依靠个体分散的技术措施或者管理防护,而且结合国家、社会和个人的力量构建综合保障体系。
①依据ISO9000、ISO14000和OHSAS18000标准,国家计算机网络和信息安全相关法律法规,参考当前科学的IT管理方法论方面形成了一系列标准,结合YC/T384烟草企业安全生产标准等,识别这些与信息安全相关的法律法规及其它要求,将信息安全保障体系(框架)融合到企业质量、环境和职业健康安全(以下简称为三标)综合管理体系。
②确定信息安全管理目标并分步实施企业三年信息化发展规划。自2012年开始,企业对照YC/T384烟草企业安全生产标准要求,在梳理和评价2000年以来企业多个企业信息化三年实施规划实践环境以后,制订了新的三年信息安全管理目标和建设规划,将目标和规划分解到各年度实施,并纳入到企业年度三标综合管理体系建设目标和管理绩效考核。
③建立信息安全管理组织和工作标准,同时纳入三标综合管理体系管理考核。从体系结构上促成企业作业层、管理层(中间层)和决策层的信息化,实现企业的物资(服务)流、资金流和信息流的一体化,及时、准确和完整地传递企业的经营数据,保证企业的经营管理。利用信息化改进管理,形成企业信息安全文化,促进员工接受、理解和主动配合,不断提升全员的信息安全意识和技能,从而使信息安全管理真正落到实处。
④建立和实施信息安全保障体系文件标准。根据国家信息安全相关的法律法规及其它要求,结合行业和企业的特点和发展趋势,规范管理流程和模式。网络与信息系统建设“立足长远、分步实施、突出重点”,做到“统一规划、统一标准、统一平台、统一编码”,同步实施信息系统等级保护制度,促进企业与信息系统项目合作单位、地方通讯和公安等部门的社会化合作主要方式。企业内部各项工作实现规范化、信息化,做到一切工作都按照程序办,同时,事事处于相互制衡的环境之下、人人处于监督管理之中,从而形成职责明确、运转协调、相互制衡的工作机制,为企业内部信息安全监管提供强有力的保障。
几年来,企业坚持企业信息安全方针目标,以迅速响应服务为宗旨。企业信息安全保障体系建设紧紧围绕建立科学、规范、和谐、统一、开放的管理体系,全面融入了质量、安全和环境管理体系一体化建设和实践,截止到2015年底,企业共梳理建立或整合并实施安全保障类文件包括企业管理标准、技术标准和工作标准共计31个标准文件。通过创新与改善和体系审核、管理评审和提高文件执行率及持续改进方式保持了信息安全保障管理体系的持续改进和有效运行。