时间:2023-05-29 17:45:44
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇安全运维,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
同济医院计算机中心的技术实力在医疗行业位居前列,其HIS系统由医院自主研发。最近七、八年,医院的信息化建设搞得有声有色。
随着云计算和移动终端技术的发展,同济医院意识到,应该采用新技术解决现在IT架构的两大问题:运维成本高、信息安全风险大。同时以此为契机,提高IT资源利用率,实现移动医疗,更好地服务于医院的发展。2012年3月,同济医院采用VMware+Cisco+EMC三方的云平台解决方案,全面建设私有云,信息基础架构建设达到一种新的高度。
运维成本降低30%以上
跟大部分医院一样,同济医院之前也是为每个应用单独配置服务器,HIS、EMR、LIS、PACS、OA等加在一起总共有近40台物理服务器,维护这些不同时期、不同规格、不同操作系统的服务器,工作量非常大。
建成私有云后,同济医院采用VMwarevSphere 5.0云操作系统,6个思科UCS刀片服务器就可以取代40台物理服务器,不仅减少了机房空间占用,节能减排,也减少了服务器维护工作量。
目前,同济医院大约80%的应用都已经实现了服务器虚拟化。除了HIS外,其它如PACS、LIS、EMR、OA、内外网等系统都运行在虚拟环境。
桌面端维护工作量的降低更为可观。通过VMware View 5.0桌面虚拟化软件,桌面端真正的计算在数据中心完成,每一个桌面端的系统、应用和数据都放在数据中心。因此,桌面端的维护也全部在数据中心完成,再也不用满医院跑。例如,以前新安装一台医生工作站,程序和应用安装加上来回路途,至少要花费1小时;现在,新建一个虚拟桌面只需要10分钟左右。从1小时到10分钟,不仅提高了工作效率,也降低了运维成本。
建成私有云以后,机房空间也节省50%以上。之前近40台服务器加上存储占满了5个机柜,现在服务器和存储仅各占1个机柜。服务器和客户端的运维工作量也大大降低。粗略估算,两项加起来,运维成本可节省30%以上。
信息安全性更高
医院的信息安全不仅事关业务的连续性,更关乎患者的隐私。同济医院经过分析研究认为,客户端PC是极大的安全隐患。
在云架构下,终端用户在客户端输入密码,却在云端操作。黑客无法从终端直接攻击后台数据库。因此,采用云桌面以后,同济医院的数据安全风险大幅降低。
此外,同济医院创造性地利用数据库精细审计功能,在HIS系统中抛弃原厂数据库账户密码安全机制。终端用户输入账户密码后,不是立即获得数据库权限,而是要通过安全审计后才赋予权限。这样,黑客即使获得了同济HIS系统的密码,但是会被审计功能发现,因而也无法获取数据库权限。
同时,部署云架构之后,系统、应用程序和数据都存储在高可靠、高可用的存储阵列上,存储阵列之间部署了多种级别的保护,包括磁盘冗余保护、阵列容灾保护、VMware HA高可用保护等等,极大地降低了由技术带来的信息安全风险。对目前仍然运行在UNIX平台上的HIS,则通过服务器双机冗余,以及阵列之间的数据复制,同样保证高可靠性。
云服务推动移动医疗
知名信息技术研究和分析公司Gartner曾预测2012年十大技术趋势,有三大趋势跟移动应用直接相关:多媒体平板电脑、以移动为中心的应用软件和接口、应用软件商店。IT消费化成为一种重要的趋势,企业级应用纷纷支持iOS智能终端、Android智能终端。
同济医院顺应这一趋势,希望更好地为医生服务。移动终端可以甩掉各种连线,以无线联网的方式访问HIS、PACS、LIS、EMR系统,移动终端的触屏功能,高清质量的图像显示,可以给医生带来更好的使用体验,也可以更好地为患者服务。
云桌面使得移动应用切实可行。在移动终端上部署云桌面,对现有应用程序几乎无须改动。
此外,服务器虚拟化也可以带来更高的系统可用性。同济医院部署了VMware HA高可用模块。当一台物理服务器出现故障时,VMware可以自动将该服务器上的虚拟机转到其它物理服务器上,避免业务中断。此前,同济医院都是通过双机冗余之类的技术实现高可用的,出于IT投资的考虑,主要针对重要的系统。现在,所有虚拟机都可以获得高可用性。
VCE解决方案
同济医院计算机中心主任郭旭升说:“部署私有云,是同济医院信息化的重要战略步骤。经过调研和分析,我们认为VCE方案是目前最佳的选择。”
同济医院云计算平台采用了VMware+EMC+ Cisco三方的解决方案。虚拟化平台采用VMware Vshpere 4.1,虚拟化桌面采用Vmware View 4.5;服务器平台采用了Cisco的UCS刀片,6个刀片用于生产系统,2个刀片用于灾备;主存储采用EMC统一存储VNX5500,配置SSD企业闪存盘,600GB SAS磁盘,远程数据保护包,VNX5500上部署了PACS、LIS、RIS系统。
容灾存储也采用了EMC统一存储VNX5300,配有600GB SAS和2TB NL-SAS(近线SAS磁盘),远程数据保护包。与主存储数据实现实时同步。容灾存储放于医院同院区的另一幢大楼机房内。
一、龙风运维站所辖无人值守变电站现状
实现无人值守变电站是当前电力科技发展的方向,也是电力系统逐步推广减人增效的一项有力措施。南安电力公司变电中心龙风运维站下辖8个110kV无人值守变电站,包括有内桥接线、扩大内桥接线、单母分段带旁母接线三种不同的接线运行方式,设备型号、种类繁多,其中后田变电站为先进的GIS型设备。面对紧迫的安全生产现实,变电站的安全运行将直接影响安全生产质量的好坏,而加强设备巡视,及时发现设备缺陷隐患是保证设备安全,提高电网可靠性的关键之一。公司较早意识到这个问题,采取不少行之有效的措施,加强对无人值守变电站设备的巡视与检查,及时发现和消除设备缺陷几百条,为变电站的安全运行打下了坚实的基础。本文将对运维站设备巡视与安全运行的关系做初步的分析。
二、运维站进行设备巡视的重要性
近年来,部分设备的在线检测系统开始上线,对及时防止设备事故的发生起到了很好的效果。由于各方面因素的限制,并无法全方位使用类似系统,况且不是所有的设备异常、缺陷均能利用先进的在线检测系统来发现。110kV无人值守变电站的开关位置变位信号和继电保护信号通过远动装置传送到运维站,并通过远动装置实现遥控、遥信、遥测、遥调,对变电设备本身的运行状况不能明显改善和提高,某些缺陷如主变渗油、机构频繁打压等在远方仍不能监视到。因此,发现设备在运行中的异常,及早采取措施、防止事故发生,除了定期试验和检修外,更多地还是需要运维站的运行人员认真、及时、高质量的巡视检查设备,尽可能早的发现设备隐患,及时处理,以保证安全运行。
三、运维站为保安全运行对设备巡视的做法
龙风运维站深知设备巡视对确保安全运行的重要性,通过与变电中心等上级领导部门的协商后,对设备巡视提出了多项可行的措施,具体如下:
1、重视思想教育,加大奖惩力度。
运维站的每位运行人员都肩负着安全生产的责任重担,为了进一步提高运行人员的巡视质量和巡视积极性,运维站长、值班长、安全员加强对班组成员的安全教育,时刻给每个人敲响警钟,在思想上重视设备巡视工作;同时通过施行的精益计分方式,加强考核,实施奖惩制度,对巡视不到位的人员进行处罚。例如,某次110kV水头变10kV开关室及电容室冒烟,运行人员巡视时未能及时发现具体的缺陷部位,造成一定的损失。站内通过考核,扣除两位巡视人员当日的工作分数作为处罚,一定程度上提高了站内运行人员对设备巡视工作的重视程度,对确保安全生产和稳定运行起到了良好的警示效果。
2、编写变电站设备巡视标准作业指导书。
由于运维站所辖的8个110kV无人值守变电站,设备巡视的内容比较多,运行人员巡视时容易漏项,巡视时不全面,对安全运行的保障性造成影响。为了避免这种的情况,运维站根据各个变电站的实际情况,组织全体成员参与编写各个站的设备巡视标准作业指导书。通过编写指导书,变电站设备巡视的类型分类为现场巡视和视频巡视两类,其中现场巡视又细分为全面巡视、值班巡视、交接巡视、特殊巡视等四种类型。特殊巡视再分为:夜间巡视、故障巡视、红外巡视、大风前(后)巡视、雷(暴)雨巡视、冰雾巡视、投运巡视七种类型。
在细分巡视类型后,根据工作、气候等条件因素的需要对各个类型的巡视设备巡视周期,全方位监控无人值守变电站设备安全运行的实时状况,尽一切可能确保人身和设备的安全。
3、引入PDA巡视系统。
公司为进一步提高运行人员对巡视的重视度,确保人员巡视到位,引进了PDA巡视系统。PDA巡视主要时通过PDA移动设备,在变电站主变单元、户外设备、电缆层及每个配电装置室等多个重点部位设定扫描点,对巡视中设备所遇到问题数据的整理,并通过与服务器的连接达到与数据库的数据同步。通过实施PDA巡视系统,有效的提高了设备缺陷发现的几率,可靠保障了设备的安全运行。
4、利用远红外热成像测温仪提高巡视质量。
变电站的设备巡视一般就是目测、手摸和耳听设备的运行情况,其中又以目测为主。但目测的方法有着很大的局限性,对一些有发展性的缺陷较难准确发现,特别时一些在运行中容易发热的设备缺陷,要到设备发热到一定程度后才能被发现,这样就给设备缺陷的及时发现和处理造成延误,对安全运行的危害极大。运维站对这种情况有了清楚的了解,公司及时配备了远红外热成像测温仪,并在各种类型的巡视中增加一项热成像测温工作,,很大程度上提高了运行人员巡视时发现设备缺陷的能力,特别时在设备的迎峰度夏和重大节假日期间对保证安全运行和可靠供电起到了很大的作用。
四、为确保巡视到位和安全运行所需要创造的条件
有人会认为既然运维站管辖的是无人值守变电站,就可以降低对变电站设备巡视检查的条件,这种认识是明显存在错误的。虽然变电站实现无人值班,但其设备还是24h运行的,由于没有人在现场值班,对设备的巡视就需要更重视。运维站运行人员巡视检查设备的主要目的是发现设备异常情况或事故苗头,以便及时处理,防范于未然,保障安全运行,因而有利于巡视检查的条件必不可少。
1、户内外要有良好的照明设施,经常检查照明线路,及时更换损坏的灯具,以保证夜间巡视的正常进行;
【关键词】CA证书认证 体系设计 非功能性技术设计 内外网统一安全接入――P2P VSN虚拟安全域 社会工程学入侵
目前大部分市区级政务信息网络主要着承载政务办公数据流系统、对公众提供业务办理等系统以及基本的互联网访问权限。随着政务信息业务系统业务逻辑日趋复杂,体量日益庞大,在政务信息系统的风险控制,安全运维成本,科学管理,方面将迎来一个全新的战场。
当前政务信息系统有或部分有以下问题:
区县的相关管理、运维人员能力匮乏,网络安全知识相对较落后,对全局政务网的硬件服务器、存储、数据库软件、应用服务器中间件、相关政务信息业务系统并没有做到了如指掌不能完全驾驭全局运维与安全保障。在出现故障时无法从业务角度快度锁定故障起源点,无法对故障进行深度解析并提供完整解决方案并实施。
区县政务信息系统是没有统一的认证授权并各自为政,无法做到访问控制,没有USB-KEY,CA证书认证等技术融入,病毒非常容相互间在各个系统中传递感染,重要数据岌岌可危;区县政务网基本没有全网的日志审计和客户机上网行为管理的,各种繁杂的应用安全系统设备产生的安全事件以及网络安全行为监控各自独立,冗余度过高,没有科学的审计,有效的整合,出现问题业务系统管理员根本无法防御爆炸式连锁攻击,安全风险系数极高。外网办公接入设备直接接入业务网,没有对过程数据流进行监察审计,业务数据在网络中的传输缺乏近乎透明传递,安全隐患非常严重。
政务信息网络发生故障或者爆发大规模病毒攻击时,无法精准锁定攻击源头,从根源控制攻击,整个处理过程也缺少科学的提高故障解决手段,缺少应急预案,缺少专家应急小组。
这些问题必须且毋庸置疑的解决和改善,应采用以下技术和策略:CA证书认证体系设计,非功能性技术设计,内外网统一安全接入――P2P VSN虚拟安全域,USB-KEY,动态短信密码,一次性口令等方式,堵着社会工程学入侵缺口。
1 政务信息系统及网络安全运维的实践
实现终端内外网统一接入:整合梳理办公内网和Internet网络的用户认证、访问授权、资源权限等问题,彻底不留隐患的有效的解决办公内网的安全接入和Internet网络安全接入,彻底清除未授权终端非法用户对政务信息系统的存在威胁,确保了政务业务系统的数据在政务网络中安全数据流传输的可靠性。
完整的用户行为和关键政务信息系统数据流日志审计,记录并保留一个月以上的用户上网行为是非常有必要的,在庞大的用户痕迹日志信息中进行初步数据挖掘,能发现潜在的安全隐患,防患于未然,将安全隐患控制牢牢控制,并扼杀。若已发生安全事故,可迅速定位事故爆发点,妥善快速解决问题,如事故造成严重的财产损失,可提交公安机关进行取证。
定期由专业安全运维第三方服务公司提供专家级业务报告,为下一步网络优化提供建议,保障网络持续、健康发展、安全:对整个被监控网络能够提供全面安全健康状态检测报告。报告内容包含客户机非安全访问记录、并发数异常记录、带宽控制效果、攻击发生统计等等。
2 政务信息系统及网络安全运维建设
2.1 政务信息系统建设内容应涵盖以下方面
建立覆盖区县政务信息系统所涉及的硬件服务器设备、存储设备、核心网络链路拓扑、政务业务系统结构、数据库并发数据链路流和中间件异常并况的综合管理安全运维平台,包括集中授权管理中心、面向业务的精确带宽流量控制系统和业务服务中心,系统应具备完整业务功能和良好伸缩性。
实现集中授权管理中心,建立集中安全管控平台:构建全网集中的用户账号管理、认证管理、授权管理、日志审计,为内外网用户提供统一的接入服务,加强内控管理,并且为精确带宽流量控制系统和业务服务管理中心提供管理控制依据。
面向业务的带宽流量控制系统:构建业务网络分析、净化、控制系统,进行全面的流量监视、净化和控制,有效提高链路的带宽利用率,保障重点业务的网络质量。
2.2 CA证书认证体系设计
为切实做好政务信息系统安全认证工作,提高各个区县网络安全保障水平和对应用系统的防护能力,建立CA证书认证体系。
遵循“建设政务信息系统统一的身份认证体系,为构建政务网络信任体系奠定基础,提高应用系统安全保障和防护能力”的目标,保证数据的完整性和保密性,确保用户来源和行为的真实性和不可否认性。
2.3 内外网统一安全接入――P2P VSN虚拟安全工作域
建立P2P构成的虚拟安全域,确保政务信息业务应用环境的安全性。
通过集中安全管控平台,用户终端无论在企业网内或是在互联网中,只需要能够在网络层与安全网关之间可达、通过身份认证后即可建立P2P VSN虚拟安全工作域,借由端到端的加密隧道与授权业务系统进行通信。
2.4 防止社会工程学入侵渗透
在以上的技术应用可以阻止90%以上的黑客攻击,但是有关信息系统及其网络安全的问题是矛与盾永无休止的话题,事实上,没有任何技术能防范社会工程学攻击。这就是安全方面做薄弱的环节:人!
政务信息所有工作人员都应该进行定期前言安全知识培训。
政务信息系统所有业务干系人都应懂得基本的安全策略,策略是指导业务人员行为保护政务信息系统与敏感信息所必须的规则。
参考文献
[1]张丽丽.新常态下推进“互联网+政务服务”建设研究――以浙江省政务服务网为例[J].浙江学刊,2016(05).
[2]冯巧玲.IPS在电子政务系统中的部署与实现[J].西安文理学院学报(自然科学版), 2015(02).
[3]刘邦凡,关梦颖.电子政务的信息安全立法[J].电子商务,2014(01).
关键词:企业运维管理;信息系统;安全风险
随着信息时代的来临,信息系统和技术已经成为当下各个领域不可或缺以及赖以生存的基础性建设。现今信息已经成为衡量一个企业综合竞争水平的重要标志。但是,信息技术在不断支撑着企业业务开展的同时,其在运维方面也会产生相应的安全风险,主要表现为非法访问、信息篡改以及信息泄露。这些风险就会对企业的信息安全带来巨大的隐患。
1信息系统安全风险的控制难点
近年来随着网络技术的不断更新,企业也通过各种安全措施加强了信息系统安全风险的防护措施,但仍存在两个难点,首先是信息系统的高风险性,由于当下信息系统较为复杂,且漏洞较多,就会使得系统处于高风险性,使得运维人员很难进行控制。其次是当下IP管理以及信息系统的规模逐渐增加,也就使得攻击源变得多样化,运维人员无法进行有效的追踪,也无法进行有效的防护。
2企业运维管理中信息系统安全风险分析
近年来,信息时代的脚步逐渐加快,信息化的水平也在与日俱增。信息技术也以其方便、实用等特点广泛地应用在各企业之间。而为了更好地将信息技术的最大作用发挥出来,就需要定期对其维护。但是随着信息系统的应用需求逐渐增加,网络规模的不断扩大,使得信息系统的结构愈加复杂,也使得技术漏洞逐渐增加,这就会对企业的信息系统带来安全隐患。在现今运维管理中信息系统的安全风险主要包括下述几个方面。
2.1服务器终端层面的风险
服务器终端层面的风险主要分为下述几个部分:①信息系统的基本安全保密配置不够完善,管理不够成熟,这就使得用户可以私自更改BIOS的启动顺序,使得安全防护产品的失效,从而进行信息的窃取和篡改;②安全风险的报警装置不够成熟,不能够达到预期的效果,通常会由于安全产品之间的兼容性问题失去应用的效用,出现误报或者漏报的情况。然后就是系统含有漏洞,信息系统最主要的部分就是系统,在当下的企业中应用的操作系统基本上都为Windows系列,而一些停止补丁升级的Windows系统就存在着漏洞,很容易受到侵蚀,进而造成数据的丢失。2.2网络层面的风险在网络层面安全风险主要为网络设备的安全配置不当,通常会开启多余的服务或者端口,这就存在了被非法访问的隐患。同时在访问控制方面不能对接入进行有效的控制,会造成设备非法接入的风险。另外,企业通常不会对用户进行分层、分级,这就会导致网络拓扑混乱,使得企业重要的信息资源存在被非法授权访问的安全隐患。
2.3硬件层面的风险
现今,企业都拥有大量的硬件,且都是采用的国外进口。企业根本无法知晓底层硬件的工作机制,其是否含有隐藏通道等。例如惠普的某型号服务器已经被证实存在后门,这些设备的运维都需要专业的工作人员进行,这也就会使得维修过程容易发生信息篡改或者信息窃取的风险。2.4应用层面的风险应用层面的风险主要就是身份认证的管理不够完善。管理员的口令较弱、用户名和密码过于简单等都会被攻击者利用。甚至在当下一些企业还有用户名公用、滥用的现象,这就更给攻击者提供了良好的机会,攻击者可以通过这些漏洞进行水平提权,进而对信息进行窃取,甚至其可以获取管理者的权限,对系统进行控制,这就会给企业造成巨大的经济损失。
2.5安全审计层面的风险
在当下的信息系统风险管理都会部署一些安全监测产品,例如防火墙、杀毒软件等。这些产品只能针对某类安全问题有效,这就使得信息系统的审计工作变得松散,不能形成完整的体系。而且由于系统的兼容性等原因,总会出现误报、漏报的现象,这就会对审计的作用带来巨大的影响,使其无法发挥其应有的效用。另外,企业虽然相应的部署了安全管理平台进行日志的收集,但在当下的信息系统中智能分析能力较弱,不能够对全局进行有效的监控,也就没有办法实现综合监控和安全风险的态势分析。
3企业运维管理中信息系统安全风险的控制策略
通过对上述安全风险的问题进行有效的分析,基于信息的特点,本文提出了下述信息系统安全风险的控制策略。
3.1加强信息系统数据资源的安全风险控制
数据资源的风险控制主要从三个方面进行:①存储安全,可以采用先进的加密技术对信息数据库进行加密处理,从数据资产产生的源头进行安全防护体系的构建;②标识安全,通过标识技术对信息进行去区分标注,经过审计后,让标识与信息系统密不可分,这样就不会出现信息篡改的问题;③访问安全,可以采用强制访问控制的方式,对访问主体进行限制。例如,某些数据非管理员权限仅能读取,不能够打印或者重新编辑,而一些重要信息限制再无权观看。
3.2加强信息系统的信息安全风险控制
信息安全主要就是对应用安全进行控制,通过对系统的需求进行有效的分析,设计开发指导验收运维过程中进行安全保障。同时还要定期对系统进行渗透测试,如果企业的技术较为先进,还可以通过源代码进行安全风险分析,仔细地对漏洞进行查找,如果发现及时进行修复,长此以往就会不断提高系统的整体安全性。另外还要将运维过程中出现的问题进行整体分析,这样就能够形成较为完善的风险控制规范,为后续的系统安全提供可行性较高的参考数据。
3.3构建运维风险控制平台
针对认证管理和孤岛等问题,就可以亿堡垒机为中间体进行控制平台的构建,形成对企业信息系统全面的安全监控。通过安全防护产品的报警日志和应用系统的审计日志,构建威胁事件的审计模型,构建完善的综合安全事件分析统计平台,这样才能对风险事件进行关联审计分析,最终实现实时报警的效果。
3.4加强信息系统的管理和梳理
要想切实地提高企业的信息系统运维管理能力,必须要加强信息安全专项检查,要制定详细的规范来明确信息系统日常需要进行的管理操作,还要对日常管理的具体细节进行定义,这样才能使信息系统日常管理规范、明确,继而使其信息化和制度化。还要闭环管理信息安全风险和运维实践,防止低层次的信息安全问题发生。另外还要加强专项检查整体提高信息系统的安全运维能力。同时还要对信息资源进行有效的分类整理,要构建完善的应急备灾能力,还要定期对应急备灾的能力进行检测,例如可以临时构建信息丢失的问题,看其恢复能力,只有这样才能有效地保障备份能够及时地恢复。
3.5构建完善的信息风险防护体系
正与邪、矛与盾、攻与防,永远都是相对存在的。在信息系统风险控制上也是一样的,要想预防攻击者的非法入侵,就必须要建立完善的信息风险防护体系。所以,企业要培养构建一支团队,让其不断进行学习,掌握攻击的技术,然后让其对企业的防护系统进行破坏,进而完善,只有不断地从攻击者的角度去思考,才能够构建完善的防护体系,只有不断进行攻防,才能够更好地提升信息风险防护体系,让其更好地保护信息系统,防止信息窃取和篡改的问题出现。
4结语
综上所述,虽然当下企业对信息安全风险的防护工作不断重视,也构建了许多防护的措施,具备了一些防护能力,但由于信息技术的不断发展,使漏洞变得更加隐蔽。所以,企业要想稳定发展,必须要采取措施对信息系统安全风险进行运维控制,只有这样才能有效的保障企业的经济利益,为企业的发展做出有力的支撑。
作者:徐美霞 单位:广东电网有限责任阳江供电局
参考文献:
[1]上官琳琳.企业信息系统的管理与运维研究[J].管理观察,2014(18):100-101+104.
[2]何芬.企业运维管理中信息系统安全风险控制探究[J].信息技术与信息化,2014(5):208-210+212.
[3]石磊,王刚.关于企业信息安全风险管理系统的研究[J].华北电力技术,2013(9):65-70.
【关键词】机架式KVM 矩阵式KVM KVM Over IP安全等级保护 运维审计
目前大多数电视台都会建设以服务器、工作站、虚拟机、数据库等基础资源为主的IT数据中心、存储中心机房,用以支撑台内的节目生产管理、各制作岛、媒资、播出、总控等诸多应用业务。大多数IT机房建设方案都会采用KVM(Keyboard Video Mouse)多电脑切换器,目的是利用少数公共的鼠标、键盘和显示器实现操控多台终端主机界面,这样可以减少机房布线的复杂度、节省机柜空间、提高系统的可管理性、提高系统运维人员的工作效率。
机架式KVM、矩阵式KVM与KVM over IP是广电IT系统常用的几种KVM设备,随着机房建设的规模日益庞大,运行维护的难度逐步增加以及信息系统安全等级保护的要求越来越高,这几类KVM在日常使用中都有各自的优缺点。
一 KVM的应用
1.机架式KVM
机架式KVM是IT机房建设中应用最广泛的设备之一,可以实现用一套键盘、鼠标、显示器控制更多主机的目的。机架式KVM价格便宜、通用性强、安装简便、易于规划、可以串接纵向扩展等特点使得它至今仍是大多数中小型IT机房建设的首选。
虽然机架式KVM的市场占有率很高,但是机架式KVM在实际应用中存在着一些缺点:例如KVM设备不利于管理,连接主机需要使用专用连接线缆,且线缆的长度有限,对主机的分辨率有要求等问题使得它在一些特殊应用环境下的缺陷需要通过其他方式来弥补。
2.矩阵式KVM
矩阵式KVM是基于TCP/IP网络架构的专业数据中心管理设备,它可以通过部署多个控制终端实现远程管控多台主机的功能。远程控制终端的数量可根据需求弹性扩充。矩阵式KVM相比较机架式KVM来说,功能性上有所增强,矩阵式KVM通过转换模块将KVM模拟信号转换为IP信号进行传输,增强了信号的安全性,同时还可以将信号进行放大,使得KVM到主机间的连接距离可扩展至40米。矩阵式KVM使用以太网线使得布线安装变得更加灵活,主机连接的密度也相对较高,使用远程控制终端可以将操作人员与KVM之间的操作距离延伸至300米,这样可以实现机房内设备的远距离多点分散控制,避免了管理人员来回在机房内不同机柜之间进行操作,减少机房出入次数,提高了系统运维效率与主机的安全性。
矩阵式KVM远程控制终端便捷的主机访问方式改变了机架式KVM的操作模式,使得运维人员可以在机房外完成大多数的操作,但由于矩阵式KVM在主机端和远程控制接收端传输的都是模拟信号,只是信号传输介质发生了变化,这与机架式KVM在工作原理上是一样的。
3.KVM Over IP
KVM Over IP是将主机的键盘、鼠标和显示卡的输出通过转换模块进行数字化,然后进行加密与压缩并使用IP技术传输KVM数据的一种技术。KVM Over IP传输的信号是加密的数字信号,不易被破解,这是与机架式KVM、矩阵式KVM一个不同的地方。KVM Over IP在访问时不需要像矩阵式KVM一样的远程控制端,它是基于B/S架构进行管理的,Web浏览器是访问KVM Over IP最主要的应用程序。通过设定KVM Over IP以太网口的IP地址,只要网络可达,便可实现对KVM over IP的管理以及其连接的主机进行访问,因此控制端通过KVMover IP连接主机,在距离上不受限制。
与机架式KVM、矩阵式KVM另一个区别是KVM Over IP有集中管理平台,不仅能管理域内多台同型号的KVM,方便系统的扩展;同时还可实现对主机的访问过程进行录屏,录屏的数据采用了图像变化采集方式,从进入主机的操作界面时开始记录,在没有操作的时候不记录,直到退出主机的操作界面后停止。由于记录的过程并不基于主机的操作系统,只与主机的显示卡输出有关。因此,KVM over IP可以对主机的启动过程、BIOS层面操作以及蓝屏故障信息进行记录。而KKVM over IP具有人员三权分立管理功能,这方便对运维人员的访问权限和资产进行管理。
二 信息系统安全等级保护要求下审计方式的考虑
根据《广播电视相关信息系统安全等级保护基本要求》规定,信息系统应该对系统内的网络设备、重要终端、系统中的接口服务器、Web服务器、应用服务器、数据库服务器等重要服务器的操作系统和数据库进行审计,审计的颗粒度为用户级,因此在信息系统建设之初就应尽量考虑到各个操作环节的审计方式及覆盖范围。
我们以四级系统为例列举系统的安全审计要求,其中主要包括:
(1)系统应能提供覆盖到每个用户的审计功能;
(2)审计内容应包括用户登录、修改配置、核心业务操作等重要行为,以及系统资源的异常使用等;
(3)审计记录至少应包括事件的日期和时间、事件类型、客户端IP地址、描述和结果等;
(4)应保证无法单独中断审计进程;
(5)提供安全审计记录存储与保护等功能,审计记录应无法被删除、修改或覆盖等;
(6)应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能;
(7)应为安全管理中心提供集中管理的接口。
为了满足信息系统安全等级保护中对安全审计的要求,广电IT系统引入了运维审计。
1.什么是运维审计
运维审计起源于跳转机。而跳转机原本是一台通用服务器,系统运维人员通常通过跳转机远程登录到系统内的主机来进行集中化管理。然而跳转机没有审计功能,对误操作与违规操作无法进行回溯追查,这些不足使得运维审计应运而生。运维审计可以管理系统内以RDP(Remote Desktop Protocol)、VNC(Virtual Network Computer)、SSH(Secure Shell)、Telnet等方式登陆的资产设备,操作的功能与跳转机类似。运维审计可以根据不同协议类型访问的设备采用不同的记录方式记录操作全过程,例如以RDP、VNC方式访问的设备用录屏的方式进行记录,以SSH和Telnet方式访问的设备以记录命令行及输出结果的方式进行记录等。运维审计记录的内容需满足安全等级保护的要求。
运维审计管理的理念是:
(1)通过控制,从源头上解决对主机的操作问题;
(2)有时主机通用的账号无法确认操作人员的身份,通过运维审计的账号管理来实现操作人员的定位;
(3)审计能够帮助管理员找出操作中产生的问题。
运维审计也具有人员三权分立管理功能,运维审计设立用户、管理员及审计员三种角色,对于操作记录的过程只有审计员才有权回放,用户及管理员的操作都会详细记录在案。运维审计系统支持基于B/S架构的单点登录系统,单点登录系统采用与访问授权相结合方式进行,用户登录运维审计系统后,只能够访问已获得授权的设备。运维人员无需记忆繁多的目标服务器IP、账号、密码等信息,只需要记住自己登陆运维审计的账号、密码即可,这能够有效地提高运维人员的工作效率。
2.单独使用KVM时的审计漏洞
机架式KVM与矩阵式KVM无审计功能,运维人员对主机所做的操作都没有记录,如果遇到操作人员的非法操作或误操作所引发的问题,则不能回溯之前的操作过程,无法提供参考依据。更具风险的是运维人员可以通过KVM去直接操作主机,从而绕过运维审计,这样就无法避免一些人员对主机的恶意操作及无痕操作。对于登录账号为管理员的主机,机架式KVM和矩阵式KVM均无法对操作人员的身份进行判别并管理,这对于出现问题后续追查相关责任人具有一定的困难;我们可以通过增加一些机房行为监控来记录人员的操作,但是监控主机操作界面的效果还是很有限的。
如果应用KVM over IP的集中管理平台,建立应用KVM over IP的审计系统,可以解决机架式KVM、矩阵式KVM无审计的问题。然而在广电IT系统当中还有大量的网络、安全等设备,像播出、主控系统中还包含大量的专业的视音频处理设备、存储设备等,有些设备的访问方式采用的是B/S或C/S架构,需要通过客户端的Web浏览器或安装客户端软件来进行管理,有些设备需要通过串口连接进行访问。针对这些特殊的设备,KVM Over IP不能访问,无法实现对系统操作记录的全覆盖。
3.单独使用运维审计时的审计漏洞
运维审计登录主机需要依赖于目标主机操作系统的正常运行,当主机操作系统出现故障时,运维审计便无法访问主机,只有在主机操作系统恢复正常后才能继续登录操作。而在播出、主控及数据中心系统当中有很多设备是基于Windows和Linux等操作系统平台开发的专业设备,在设备启动的过程中,需要关注很多信息,尤其是由于设备硬件故障导致无法正常启动时BIOS层的信息,这对于运维人员排查故障来说尤为重要。如因硬件故障导致无法启动至操作系统,单独依靠运维审计则无法对设备进行维护。
与KVM over IP一样,运维审计对于访问方式采用的是B/S、C/S架构和串口连接的设备,也无法进行管理,通常对于上述这几类设备的操作是用便携式PC和设备之间用网线或串口直连,再使用相对应的访问工具软件来完成后续操作。然而这样直连的方式也不符合信息安全等级保护要求中的规定:系统应启用访问控制功能,依据安全策略控制用户对资源的访问。而便携式PC与设备直连,绕开了网络中的访问控制和审计设备,同时还存在传播病毒的风险,出于对系统安全的考虑,不应采用便携式PC来进行直连管理。
4.运维审计与KVM并存时审计的问题
当运维审计与KVM并存时,对于B/S、C/S架构及串口访问设备,两者都无法直接访问。对于这类设备的操作会有审计盲区。而KVM与运维审计对主机的访问分别建立了各自的访问路径,对于系统运维人员来说,在主机运行正常的情况下,使用任何一种方式都可以完成对主机的操作。为了避免因运维审计故障而无法访问主机的特殊情况出现,KVM的存在还是很有必要的。但是在KVM与运维审计并存的系统中,两者应用的定位应当有所区别,KVM主要应用于主机上线前的调试以及故障后的应急维护,运维审计应承担对主机的日常操作和审计工作。二者的主要区别是通过运维审计会留下操作痕迹,而有些系统的运维人员担心自己的操作可能会引起主机的故障,影响系统的稳定运行,从而不愿意通过运维审计去做运维,因此更多的选择直接通过KVM来完成对主机的操作。因此需要用技术手段来弥补审计盲区,同时限制对主机的访问方式,避免产生无痕操作。
三 KVM over IP、运维审计与跳转机结合的解决方案
针对上述结合广电特性的IT系统中几类KVM以及运维审计的优势与存在的问题,如何解决各类操作的审计盲区,同时又避免无法追查和不安全连接的操作行为,我们提出了一个将KVM over IP、运维审计与跳转机相结合的解决方法:如图1所示:
我们需要在系统中设立一台Windows操作系统的跳转机,在跳转机上安装Web浏览器、串口通讯软件以及一些C/S架构设备私有的客户端软件等,目的是用跳转机来解决运维审计和KVM Over IP对某些特殊设备无法直接访问的问题,同时将跳转机划入运维审计的资产管理范围,凡是通过跳转机的所有操作,都由运维审计来进行记录。
对于因主机硬件所引起的操作系统启动故障过程的审计,需要对BIOS层信息进行检查的操作,就只能通过KVM来实现,KVM Over IP的录屏功能,可以记录主机的启动过程及BIOS层的信息。而登录KVM Over IP也需要通过跳转机的Web浏览器。这台Windows跳转机,成为解决系统运维审计访问盲点的一个关键环节,从而达到对系统内所有设备操作审计的全覆盖。三者的结合还可以将KVM over IP的集中管理平台省去,不必重复建立两套审计系统,节省成本。
从安全的角度考虑,对运维审计、KVM Over IP以及Windows跳转机的访问应有严格的把控,我们需要通过规章制度来规范日常的操作流程;同时也需要用技术的手段对恶意操作加以防范,其中包括设置网络层的访问控制列表,用以限制系统内设备间通信的IP地址及端口;还可以通过跳转机的操作系统安全设置,限定所能登录的设备IP及用户,必要的情况下可以将跳转机做主机操作系统加固并加入到终端安全管理的范围内来加强管控。
在安全等级保护要求较高的系统,还应设立身份认证系统,给系统使用人员发放个人秘钥,结合双因素认证来防止发生通过登录密码来伪造身份的事情,这样才能做到对主机的每一步操作都可追根溯源。
将KVM over IP、运维审计与跳转机结合实现对操作过程记录的全覆盖的同时,存在另一个问题:跳转机所连接的设备种类较多,运维审计在录制跳转机操作过程时,只能记录是由操作跳转机所发生的动作,并不能够做到将每次操作按照跳转机访问的设备再进一步明确分类,这对于筛选、查询、定位由跳转机所产生的审计内容增加了一些难度。
目前运维审计还不具备串口访问、Web浏览器功能,若运维审计能够将虚拟机集成在产品中,通过虚拟机来完成跳转机的功能,则可以省去跳转机这一环节,对于简化系统结构,减少故障点而言,是很有意义的。
关键词:中间件;数据库;安全可控;集中专业化运维
一、背景及意义
随着信息科技的快速发展,银行所开展的各方面业务均以IT基础设施作为支撑。保障银行业务数据的完整性、安全性,保障业务系统的连续性、稳定性、可靠性,是IT系统运维的主要目标。如何充分整合利用各类软硬件资源,提高运维团队专业化水平,提高运维管理效率是目前银行IT运维的主要挑战。
(一)信息系统运维管理面临的挑战
我们已投产应用系统200余套。由于IT人员少,需借助外包人员从事具体运维工作,目前由70多家外包商,每家从2人到15人不等,分别负责不同应用系统,绝大部分是纵向独立运维。随着我们业务及IT系统快速发展,信息系统运维管理问题日渐凸显。
第一方面,管理复杂度高。系统多,队伍散,对统一的质量,统一流程控制难度大,规范难以落地。专业化程度受影响,每个队伍人员少,难以兼顾各方面。整个运维管理水平,风险控制能力依赖于每个队伍。每个人的短板决定了系统性风险。每个系统相对独立,难以保证跨系统、跨团队知识转移。对外包队伍依赖性高,外包管理难度大。
第二方面,资源利用受影响。数据库中间件等软硬件资源无法跨系统调度,交付时间长,资源管理标准化程度低,资源配置合理性不足,资源投入成本高。
第三方面,安全生产压力大。没有双活或多活架构,系统跨中心抗风险能力不足,给安全生产带来很大压力。
第四方面,银监会提出安全可控,是长治久安的战略举措。因非关键系统运维多、小、散、标准化程度低,导致保证安全可控实施难度大。
针对上述挑战,如果没有强大的运维体系,专业化队伍,自动化管理,信息系统风险将会很高。
(二)研究内容及目标
本课题立足实际,结合安全可控监管要求,以专业化、标准化为指导,从管理革新和技术改进两个层面,通过对人力和软硬件资源进行科学分类、集中整合,围绕应用系统、中间件和数据库多层次立体化综合设计,建成一套高效实用的运维体系,重点解决生产安全面临的突出问题与挑战,提高信息系统的整体抗风险能力。
二、集中专业化体系建设整体思路
通过虚拟化技术,结合数据库及中间件的云化高可用性、负载均衡和DNS技术实现主机虚拟化、数据库云化、中间件池化的技术架构体系;通过建设专业团队体系,实现应用集中化、接入智能化、运维专业化、监控统一化的管理体系。
整个体系通过数据库云、中间件资源池、集中专业化应用运维三个层面的资源整合、专业化建设实现。
集中数据库平台。通过利用全局DNS机制,结合负载均衡及数据库自身高可用技术,整合非关键系统数据库,提高服务器资源利用率,实现统一管理,降低数据库版本多样性,提高数据库服务高可用性和安全性水平。
中间件池化建设。建立基于虚拟机为基础的中间件资源池,实现中间件快速部署,统一配置,提高中间件部署工作效率,充分利用各类软硬件资源。
三、集中数据库建设方案
集中数据库平台应满足高可靠高可用服务要求,即业界公认的RAS标准。所采用的数据库软件在集群、管理、数据保护、资源利用方面要求具有先进性,有较长时间的技术支持。我们已有的数据库管理经验对集中数据库平台运行维护具有支持作用。集中数据库平台建设重点满足以下方面:
1、高可用性。集中数据库平台应能够满足较大的负载需求,提供高可用的数据处理和应用响应能力。可根据负载需求灵活扩展计算资源,提高系统容量和处理能力。调整资源过程简便,能有效缩短服务中断时间。
2、数据同步及数据安全。为保证数据安全性和操作管理风险可控,集中数据库平台应具备数据多冗余存储机制及同步机制,满足不同级别容灾需求。
3、快速切换。数据库集群内部及站点间应具有快速切换功能。
4、隔离机制及可审计性。应用与系统管理间具有分离机制、操作可审计机制。
5、数据备份及服务保障。集中数据库平台配套相应的备份及其他保障机制。
6、兼容性和弹性扩展。集中数据库平台通过较简单的部署配置方便的扩展并利用现有软硬件及人力资源,提供较高的性能价格比。从而以较低的成本、较少的人员投入来建设和维护系统。
7、风险可控。数据库集中运行采取逐步过渡原则,根据系统重要性和各自情况分别制定数据库部署方案。将需要集中部署的新系统数据库和现有系统数据库分期分批逐步融入集中运行平台。
(一)整体架构
通过整合服务器资源,对数据库进行“统一资源、统一管理、统一标准、统一监控”四“统一”管理,持续提升数据库运维工作的规范化和标准化水平,同时提高运维质量和资源利用率,降低成本。
以数据库容器及运行其上的数据库实例为核心,将备份、监控、审计、安全机制进行合理整合,通过数据库双活和同城容灾建设实现集中数据库平台安全性和高可用性。
(二)高可用性
应用访问数据库方式通常采用节点叠加的配置方式,给集群扩展及服务切换带来诸多不便。主要体现在横向扩展难度大、跨中心切换复杂度高、应用配置变更频繁、运维难度大。
为了实现高可用性,简化操作复杂度,减少数据库切换对应用系统带来的影响,集中数据库平台综合采用负载均衡、域名服务实现与应用系统连接透明化,即无需在应用层修改配置,只需要调整负载均衡分发策略即可实现数据库切换。
经全面测试验证,我们选用F5作为负载均衡实现产品。负载均衡与数据库集群的连接有F5简单分发、F5单路与集群负载、F5多路与集群负载三种配置方式。
(三)容灾实现
1、服务切换
引入负载均衡设备后,数据库切换操作大幅简化,且简单快速。在负载均衡器上均预先设置好主辅数据库两组配置信息,其中辅中心的数据库配置状态禁用。在数据库不可用而需要切换时,一键式将F5分发由主中心切换至辅中心,应用无需进行任何操作,且对应用透明。
为了实现F5跨中心透明切换,通过采用全局DNS机制,当一个中心的F5都发生故障时,辅中心的F5接管服务,同时DNS提供辅中心F5的域名解析。
2、数据同步
提供存储级数据同步和数据库级数据同步。各系统可根据自身特点选择主数据中心和容灾数据中心间数据同步方式。目前所采用的数据同步机制有存储复制(TC)、数据库复制(ADG)、存储复制与数据库复制结合(TC+ADG)、Oracle GoldenGate(OGG)四种。
3、备份策略
集中数据库平台按照每天全备策略进行数据备份。一个月的数据保留在虚拟带库,超过1个月的数据保留在磁带库。恢复验证按照系统等级分每月一次,两月一次,每季度一次三类。
4、技术选择
鉴于Oracle数据库是我们的主流数据库,通过对11g和12c的对比测试,12c具有更为先进的云化技术优势,因此采用Oracle12c实施集中数据库平台建设。
在数据同步、负载均衡、数据安全、资源分配、数据复制等方面分别采用业界主流产品ADG、F5、DV、PDB、TC进行实施。
四、中间件池化方案
中间件在扩展性、安全性、与应用耦合度、资源使用情况均与数据库有很大不同。通过建立统一的中间件资源池,实现中间件部署自动化、服务定制化、配置标准化、架构统一化。中间件池通过最小资源单位进行分配,每个资源单位具有统一标准,可以灵活、快速的为用户部署所需的中间件集群。单个中间件节点具有高可用机制,可提供持续稳定服务。
(一)整体架构
通过虚拟化技术制定基础资源模板(包括操作系统、中间件平台和标准化参数配置),采用镜像技术进行资源初始化,同时实现WAS节点在服务器层面高可用性。在基础资源模板上通过配置完成中间件集群搭建。
在计算资源分配上,通过虚拟化技术实现资源分配自动化,可以为中间件提供高可用、可随时扩展的虚机资源。有效整合资源,简化管理流程。
(二)技术方案
1、池化内容。目前我们使用的中间件产品有WebSphere、WebLogic、Tomcat、MQ、Filenet、Cognos、Informatica和Tibco等多种。其中WAS中间件占59%,绝大多数部署工作以WAS为主。中间件池化建设工作从WAS池化开始,逐步酌情扩展至其他中间件产品。
基于我们现状及发展规划,搭建WAS三个主流版本的资源池。每个资源池包括WEB服务池、DM管理池、WAS服务池。
WAS资源池:WAS资源池用于部署应用程序,通过集群功能实现高可用,集群中节点数依据应用系统访问量和并发等指标设定。
DM资源池:DM资源池用于管理WAS集群和应用程序。
WEB资源池:WEB资源池用于特定系统的静态程序。
2、资源单位。最小资源单位。虚拟化环境为WAS池提供的虚拟机资源为2核CPU、8G内存、150G存储空间。每个虚拟机上部署1个WAS节点及一个服务实例。
集群资源单位。通过横向扩展WAS节点组成的集群满足较大的WAS资源需求。每个WAS集群最多由2或8个节点组成。
3、负载均衡机制。WAS节点间通过网络负载均衡设备+WAS单节点部署、网络负载均衡设备+WEB分发(可选)+WAS集群两种方式实现。
五、集中专业化运维管理方案
(一)人员组织
按照业务条线组建专业应用运维团队,将外包人员按照供应商分组,同时配备不同行方项目经理,实现横向运维,纵向管理。根据不同维度,分别建立应用软件、中间件和数据库共五个专业技术团队,统一负责相关系统及数据库和中间件基础软件的运维。
1、应用软件运维团队
负责业务应用软件日常巡检、热线电话支持、版本上线、数据变更、数据备份、系统跑批等运维工作。根据实际经验,为保证运维质量和控制操作风险,对于非关键应用系统而言,每个人负责的系统平均不超过3个,每个系统运维都设立AB角,并统一安排运维质量管理人员。
2、中间件运维团队
负责中间件环境的建设和维护,包括中间件的安装、升级、监控、技术支持、故障排查等运维任务。中间件是通用软件,与具体的业务逻辑无关,但种类繁多,技术复杂,对运维人员的专业技能和实际经验要求高。每类软件产品配置3-4名专家,集中统一提供技术支持服务。
3、数据库运维团队
负责数据库系统建设和维护,包括建设集中数据库系统,负责数据库系统的统一监控、性能调优、故障处理、技术支持等。数据库与中间件软件类似,也属于通用软件,同样具有复杂度高,专业性强的特点,与具体的业务逻辑无关。但由于数据库系统直接存放业务数据和负责数据处理,其安全稳定性至关重要,数据库团队对全行所有系统提供7*24小时技术支持。
(二)外包商集约化
外包商集约化,主要是通过引入大型专业外包服务商,精简行内现有的小众外包商数量,由3家外包商组成3支专业的应用运维团队替代原先的9个公司的18个团队负责全行非关键类系统应用运维工作。
管理流程上,由于外包运维团队减少,组织流程节点也随之减少。每个运维团队向对应的行方经理汇报,行方经理向行内主管领导汇报,形成3层组织汇报机制。运维管理由分散向集中过渡。
六、成效与收益
(一)成效
1、管理革新。按照业务条线创建了专业应用运维团队。消除了多小散问题,避免了技能参差不齐,加强了应用运维专业性,知识经验易于共享,个人技能可以实现价值最大化,制度规范容易落地,服务质量明显改善;外包管理复杂度显著降低,外包风险控制能力得到加强。另一方面,按照技术类别创建了中间件和数据库专业运维团队。加强了技术专业性,统一安装规范,统一配置标准,制度规范容易落地,整体服务水平大幅提升。
2、技术改进。已建成三套集中数据库平台,整合50套数据库。统一了软件版本、运行监控;资源利用率平均提高4-6倍,资源分配更高效合理。完成中间件资源池选型、架构设计、测试验证工作。为中间件版本统一、资源合理分配和快速交付打下了基础。
(二)收益
集中数据库平台建设为我们节约服务器资源62台,存储资源20TB,数据库授权130 CPU,备份软件授权65 CPU,双机软件授权65 CPU,卷管理授权近70 CPU。
专业化运维团队建设在提升各应用系统服务质量的同时,减少21名外包运维人员,人员复用率提高近20%。
七、结束语
应用系统数据库中间件安全可控集中专业化运维体系的建成,实现应用系统运维统一管理,统一制度、统一规范、统一流程,运维质量有了保证。集中数据库平台资源实现统一冗余配置,并实现跨中心部署,使系统可用性得到极大提升。实现外包自主可控,外包团队可替换性增强。所积累的经验为以后我们新数据中心建设提供了依据。
数据库云建设方案、F5与数据库集群融合、数据库分权管理等具有一定可推广价值。我们将在此基础上,对基础软件、自动化部署工具、监控工具进行开源化和自主化研究实践;同时探索通过开源软件进行云平台建设。
(作者单位:国家开发银行股份有限公司)
参考文献:
[1] 李克.中国金融电脑.2015年2月.
[2] 高军,修永春.银行业务连续性管理实践[J].银行家,2012年第7期.
[3] 金磐石.建设银行云计算数据中心及运维体系建设实践探讨[J].中国金融电脑,2014年7月.
[4] 袁俊德.中国金融电脑.2013年10月.
[5] 牛新庄.Bank3.0时代民生银行灾备体系建设.金融电子化,2014年6月.
[6] 高军.银行业务连续性管理实践[J].银行家,2012年第7期.
[7] 袁俊德。大型银行“两地三中心”运营体系建设实践。中国金融电脑,2013年10月。
[8] 高曙东.打造新型金融IT运维管理模式――访中国光大银行股份有限公司信息科技部副总经理史晨阳.中国金融电脑,2013年9月.
[9] 银行业应用安全可控信息技术推进指南(2014-2015年度)(银监办发317号【2014】,“317号文”).中国银监会办公厅与工业和信息化部办公厅,2014年12月26日.
【关键词】:变电设备;运维一体化;应用
引言
由于实践应用效果良好,变电运维一体化模式被逐渐推广,有效提升了变电运维的实际效果,增了电力系统的综合稳定性、运行安全性。可以说,变电运维一体化模式是电力行业的发展趋势,也是电力企业应对强大的电力系统维护压力的必然选择。相信随着技术的进步与设备的革新,在未来,变电运维一体化模式还将会给国家级供电工作提供更强有力的支撑。
1、变电运维一体化的应用前提
变电运维一体化在增强了整个电力系统稳定性和安全性的同时,也需要有良好的前提条件对运维一体化起到保障作用。变电运维一体化的基本原则,是对电力系统运行和检修工作进行重新整合和统筹管理,使整个电力系统的运行和维修工作形成一个整体,获得最佳的工作效率和运行、检修效果。从实践经验来看,变电运维一体化的应用前提涵盖三点主要内容。①要有专业的人才支撑,变电运维一体化需要涉及到电力系统的多个工作、管理部门,在各项工作高度整合、综合统筹的情况下,对开展一线电力系统运行维护和检修工作的人员提出了更高的业务要求,只有具备充分的变电运维一体化工作素质的人员,才能真正胜任,人员技术不达标,将对变电运维产生显著的负面影响,甚至引发安全问题。②在变电运维一体化模式下,一线的变电运维工作人员面临的安全问题更多,相关的安全部门一方面要做好人员的培训和安全教育工作;另一方面必须将安全保障工作落实到位,尤其对于带电的机械设备,务必要做好隔离和防护,严格确保工作安全。③严格划定工作人员个人责任范围,相对较高的工作安全风险以及工作误差导致的问题隐患都需要用明确个人责任的方式来进行改善,在保持工作人员较高的工作热情的同时,责任心也非常重要,高质量完成工作内容,将保障电力系统的安全和稳定。
2、变电运维一体化的保障措施
2.1明确变电运维一体化的工作机制、执行标准、管理方式
为实现良好的变电运维一体化效果,需要所有的工作人员团结协作、彼此配合,而良好的机制体制,是实现这一目的的必备策略。因此,要明确变电运维一体化的工作机制、执行标准、管理方式等,让参与变电运维一体化的人员,包括管理层、安全部门、一线工作人员,都可以明确知道自己的工作职责、业务范围、惩罚方法等。目前,变电运维工作已有相应的操作标准和工作流程,但仍然需要在此基础上继续提升可行性,不断完善。在变电运维一体化的过程中,相关的工作机制、工作标准的制定,必须严肃、认真、细致,不断改进、不断完善,以明确的、具有权威的规则给予工作人员充分的引导、指导,保证每个岗位上的电力工作者各司其职、密切配合,共同完成变电运维一体化工作任务。
2.2提升工作人员的综合素质与责任意识
变电运维一体化是一种相对较新的电力系统管理模式,在很多地方仍然需要工作人员不断学习、不断磨合,而每一个工作人员基本的业务素质和责任意识,将会影响到整体的变电运维效果。因此,需要通过科学的培训、考核,让每一个参与变电运维一体化的工作人员熟练掌握工作技能,有效理解工作范围,合理处理突发事件,严格控制安全隐患,从而提升每一个工作人员的综合业务素质。此外,要对工作人员尤其是一线工作人员的责任意识进行正确引导,让其认识到自身工作的严肃性与重要性,认识到一旦自身工作失误可能导致的严重后果,以此让每一个工作人员都能严肃认真地对待自己的工作,获得最佳的工作效果。
2.3积极开展变电运维一体化的课题研究
理论和实践相互结合,实践永远需要科学的理论进行正确引导。在变电运维一体化的实施过程中,为了不断提升变电运维一体化的应用效果,改进实际操作中容易出现的漏洞,就需要积极开展与变电运维一体化相关的课题研究,以理论研究结果促进实践效果提升。在这一过程中,电力企业应当积极从外部借力,和各电力高校、研究机构开展课题研究合作,提供研究素材与资料,互利共赢,取得预期的研究成果,并应用到变电运维一体化的改进和创新中。
2.4加强变电运维一体化安全管理
实施变电运维一体化的前提是安全,应该始终坚持安全第一、预防为主、综合治理的原则,在进行变电管理的过程中,采取有效的安全措施,以此保证电网生产、巡检和维护工作安全、有序的进行,进而实现变电运行的规范化、标准化运行,可按“先易后难,逐步融合”的原则,分步实施变电运行与变电检修专业的“双向渗透”。同时,还应该创建科学的管理制度,由专门的工作人员负责变电运维管理工作,保证变电运维一体化模式安全、有序的进行。
2.5强化人员培训
变电运维一体化管理模式对工作人员素质水平的要求相对较高,应该强化人员培训管理,具体包括以下几个方面:其一,应该根据变电运维管理工作的实际状况,制定人员培训计划,加大培训力度、深度和广度,提高变电运维管理人员的业务能力、技能水平,例如蓄电池带载测试、交直流回路检查、蓄电池充电放电、主变呼吸器更换等;其二,制定合理的培训周期,通常以一个月为周期;其三,创造良好的培训环境,让变电运维管理人员在培训的过程中积极、主动的学习,并加强相互之间的交流。通过相互沟通和学习,提高自身的技能水平和素质水平。
结语
与传统的变电运行和变电检修工作方式相比,变电运维一体化无疑是更高一级的、经过创新和发展的电力系统工作开展方式。相关的电力系统工作人员应当正确认识变电运维一体化的应用意义,掌握科学的变电运维一体化开展策略,切实提升电力系统的稳定性、安全性和高效性。
【参考文献】:
[1]肖萍,黄建杨,李俊华,等.探索变电运维一体化培训新模式[J].科技创新与应用,2016(3):157.
【关键词】:变电运维;安全隐患;解决方案
引言
尽管电力企业在不断的改善变电站的运行效率,并加强对工作人员的监管,但是由于缺乏科学合理的监管方案,导致变电运维人员缺乏良好的工作意识,尤其是工作人员无法意识到自身工作的重要性,在工作过程中疏忽职守。现县级供电企业变电站大多数是35kV的,变电站都实行了无人值守,以下则是对35kV无人值守变电站变电运维安全进行研究。
1、关于35kV无人值守变电站变电运维安全隐患的分析
通过对35kV电压等级分析,从中可知,35kV无人值守变电站变电运维主要存在的安全隐患有以下几个方面:
1.1变电运维工作缺乏安全管理
当前,据调查结果显示,部分电力企业在展开变电运维工作的过程中,都没有结合实际的工作情况,制定一套完整的安全管理方案,从而导致变电站缺乏科学的管理。正是因为缺乏安全管理方案,使得电力企业很难有效的管理员工,进而形成工作人员能力不足,安全意识较轻的局面,这样变电站就产生大量的安全隐患。
1.2工作人员缺失正确的操作观念
由于变电运维作业的操作量较多,而且操作时间较长,从而导致工作人员缺失正确的操作观念,在操作的过程中,时常出现操作不规范的现象,并且因为判断失误,而导致安全隐患的产生,这就严重影响变电站的运行。
1.3仪器设备老化
变电仪器设备时变电站中重要的组成部分,一旦仪器设备出现问题,整个电力企业的工作人员都会受到影响。根据研究发现,部分变电站的员工由于工作意识薄弱,没有良好的责任感,进而在检查仪器设备时,没有发现仪器中存在的问题,随着时间的推移,仪器设备老化,安全问题也不断的产生。
2、针对35kV无人值守变电站变电运维的安全隐患提出的解决方案
2.1确定运维操作存在的危险点
操控变压器作为变电运维中重要流程,其主要功能为正反充电、切合空载运行等,因此,在控制安全隐患的过程中,电力企业需要确定运维操作系统中存在的危险点。在操控变压器时,要能确定分合电出现高低的差,检测变压器的承受能力和存在的危险点。当明确危险点时,要及时让员工了解,保障其在操作时能加强防范。
2.2遵守操作流程和相关的规章制度
在解决35kV无人值守变电站变电运维存在的安全隐患时,电力企业要定期对工作人员进行培训和指导,在培训的过程中,电力企业需要将先进的科学技术融入到培训方案中,进而在培训员工时,提升员工操作技能。此外,电力企业需要加强监督和管理,确保员工在操作的过程中能遵守操作流程和相关的规章制度。只有这样,工作人员才能保质保量的完成自身的工作任务。另一方面,电力企业需要对员工明确变电运维存在的危险点,如:直流回路操作存在的安全问题、并解列操作时产生安全隐患、母线操作时出现的问题等,并将相关的解决措施灌输于员工的思想中。
2.3对工作人员进行安全教育
对于电力企业的员工而言,其自身的工作性质影响着自身的人身安全。因此,电力企业在培训的过程中不仅要将先进的操作理念灌输于员工的思想中,并且也要对其进行合理的安全教育,使其意识到自身的工作的重要性,要能保障工作人员在操作时能具备安全第一的操作理念。另外,电力应制定合理的规章制度,对于违规操作的员工及时进行教育和惩罚,以避免其工作态度影响其他员工。
2.4做好仪器设备的管理
变电运维工作人员在操作的过程中,要能做到定期检测仪器设备,对于出现质量问题的设备要快速的进行检修,而对于无法正常使用的仪器设备,要将其处理掉,以预防因为仪器设备质量的问题,产生安全事故。因此,相关的管理人员必须形成正确的监管意识,加强对仪器设备的检测,从而确保变电运维时能维护工作人员的人身安全,这也能为电力企业带来更好的经济效益。
2.5将新技术、新科技融入变电运维
目前变电运维采取的航拍技术、红外热像仪技术、动态采样分析技术、远程监控技术等,已经大大缩短了变电运维的电气设备与人的距离,并安全可靠的有效进行非接触式的探寻和诊断工作。这其中从发现隐患、到分析隐患、到确定隐患和缺陷的种种步骤已经趋于规模,如何成熟合理的应用还是目前和将来需要细致分析的课题。
2.6加强培训,提高调度运行人员的业务技能
电网要想安全运行必须有业务素质过硬的技术人员做保证,电力运维人员业务素质的提高可以通过技术培训来实现,具体可以采用外送培训与内部培训相结合的方式以及请专家现场指导、进行一些必要的反事故演习等方式开展。与此同时还应重视运维人员的现场培训的开展,通过实施现场培训运维人员对设备的运行情况能有一个更深入的了解。此外,为了有效防治变电运维各类安全事故的发生,还应重视在变电运维中积极引入一些新技术、新设备,积极探索一些非接触式探寻与诊断技术,以提高运维工作的安全性。
结束语
总而言之,电力企业需要结合35kV无人值守变电站的特性和实际的变电运维工作情况,制定一套合理的安全管理方案,并大力实施在变电运维工作中。其次,电力企业需要对运维工作人员加强培训和指导,运用合理的方法,提升工作人员的技能,对其进行安全教育,使其形成良好的综合素质,并将相应的责任落实到每一位工作人员身上,只有增加其安全意识和责任感,才能确保工作人员能够坚守岗位,做好自身的工作,进而减少变电运维工作的安全隐患。
关键词:多法人;村镇银行;运维模式;业务运维;统一运维平台;云计算;大数据
中图分类号:F832.3 文献识别码:A 文章编号:1001-828X(2016)016-000-01
2006年底,银监会了《关于调整放宽农村地区银行业金融机构准入政策 更好支持社会主义新农村建设的若干意见》,推进农村金融改革,引导各类资本到农村地区投资设立村镇银行等新型农村金融机构。在政策支持下,国内很多中大型银行纷纷发起设立村镇银行,产生了由一家母发起行在全国各地发起设立多家独立法人村镇银行的新型金融模式。本文针对这种多法人村镇银行系统,提出适合的运维模式设计。
一、运维模式设计背景
由于每家村镇银行都是独立法人,因此,实现满足多法人模式成为发起行建设村镇银行IT系统的首要目标。与支持单一法人的银行系统不同,多法人村镇银行系统的特点主要包括:1.同一套系统可以为多家独立法人提供服务;2.允许各法人的系统应用有差异;3.各法人之间数据相互隔离。
现阶段,村镇银行IT系统多是采用发起行统一建设和运维的方式进行。针对多法人村镇银行系统具有的三个特点,相应的运维模式需要解决三方面问题:一是不同法人之间的,因而要求了在系统运维过程中业务运维的价值;二是发起行统一运维的效率保证;三是运用新技术发挥数据价值。
二、运维模式的设计与实现
(一)提升业务运维的价值
与单一法人的系统运维不同,村镇银行系统的多法人特点,要求运维人员具有业务的视角,既要考虑设备和应用系统的运行质量,也要考虑这些设备和应用系统对业务的实际支撑质量,为进一步提高自身运维质量和体现运维价值提供参考,真正实现对村镇银行多个法人之间业务的技术支持。
1.建立业务运维分层模型。从业务的角度,把业务服务映射到支撑该服务的底层组件上(包括承载该业务的应用系统、及支撑应用系统的数据库、中间件、网络、主机、存储等软、硬件平台)。通过对设备、平台、应用、服务和业务流程环节进行梳理,从业务模块、业务环节、业务数据,到相应的应用、设备、数据库、中间件等支撑系统和应用,建立起逻辑架构关系,形成分层视图模型,为业务运维打下基础,并建立起业务运维的知识库,体现业务流程与底层IT基础设施之间的映射关系,使IT运维人员随时了解业务流程、及其与平台系统架构之间的关系。
2.建立业务运维监控指标体系。在业务运维分层视图的基础上,对业务模型、业务流程、业务环节、基础架构等建立起动态监控指标体系,如依据节假日、时段动态基线,形成相应的KPI和KQI,为后期自动化运维建立指标基础。
3.集成系统性能监控。一方面是利用系统的监控运维工具,如OVOU、OEM、网络监控工具、应用脚本监控等;另一方面是要把这些指标集成起来,实现1+1>2的运维合力效果。从业务运维与监控角度,把孤立工具集成到统一的可视化运维平台。
4.打造可视化立体业务运维平台。通过把业务流程与IT基础设施之间的映射进行实时的可视化展示,建立可视化运维平台,实现实时的、可视化的、面向业务的监控,帮助IT运维人员从业务视角开展系统运维工作,第一时间发现业务运维问题,直观和快速定位问题,有效协同业务和技术人员共同解决问题,提升业务可用性和系统可用性的综合管理能力。
(二)建设统一运维平台
由于村镇银行地处各地,由发起行集中运维IT系统。为保证运维效率,借鉴ITIL V3最佳实践框架和ISO 20000国际标准,应该从人员、流程、技术三个方面入手,建立统一运维平台。
1.一体化人员管理。在建立运行制度体系时,首先建立统一的安全生产管理办法,作为纲领性制度,明确安全生产相关各方的职责分工。同时,制定全行统一的运维人员考核评价标准和奖惩制度,使全员做到有法可依,有法必依,违法必究。
2.一体化流程建设。逐步构建全行生产运行制度框架体系,全面覆盖日常运行、应急管理和灾备管理,优先制定日常值班、事件、问题、变更、应急、外部商等管理制度,还应建立基础设施、系统维护、运行操作、数据安全、生产调度等各专业领域实施细则,形成比较完善的生产运行规章制度体系。
3.一体化技术平台。构建一体化运维流程管理平台,实现人员、技术和流程的有机整合,通过工作流引擎的自动调度实现流程的自动化,方便运维人员使用相关的管理流程进行日常运维,以提升IT服务质量;建设覆盖全行的集中监控管理系统和运维事件响应中心,汇聚各个IT系统的故障和事件,进行过滤、转发、自动响应、报警等处理,完成事件级集成并实现交易级的应用监控。
(三)利用云计算、大数据等新技术进行运维决策分析
利用云计算、大数据等互联网新技术进行运维决策辅助分析,实现智能化、精细化的运维管理和决策。
1.基于云计算服务的运维管理。针对村镇银行系统数量较少、数据量较小的特点,以云计算为核心的下一代数据中心可以提供更好的运维支撑解决方案,将各种先进的运维管理技术进行有效的整合,对新增的虚拟网络、数据存储、虚拟机、宿主机、集群对象采用全新的管理方式,从日常监控、例行巡检、服务受理、故障处理、平台维护、配置管理、安全管理等方面着手,利用自动化运维工具,实现对物理资源、虚拟资源的统一管理,提供资源管理、统计、监控、调度、服务管控等端到端的综合管理能力,从而实现对云中心统一、便捷、高效、智能的一体化运维管理。
2.基于大数据分析的运维安全管理。运维安全管理是运维管理的一个重要组成部分,同时,涉及面甚广,必须对整个IT系统中的设备、应用和服务进行全面的监控和分析,实时采集与信息安全相关的“大数据”,并进行基于大数据的自动化处理和分析,才能更早发现越来越复杂的攻击和渗透,并尽早采取预防措施,封堵安全漏洞,避免IT系统和生产数据受到影响,以保障具有对私业务的村镇银行系统安全稳定运行。
关键词:变电运维一体化;运维管理;常见问题;应对措施
DOI:10.16640/ki.37-1222/t.2016.24.191
0 引言
改革开放以来,国家致力于电网建设,电网得到了广泛覆盖。而电网广泛覆盖下,电网运维管理的难度也越来越大,尽管变电运维一体化已经得到积极推广应用,但在运维管理中还存在很多问题,本文主要就这些问题进行细致分析,力求使变电运维管理更为科学完善,确保供电质量。
1 变电运维过程管理中的常见问题
1.1 难以对现场作业进行有效监管
传统变电运维管理,设备检修都是在断电状态下所进行的,检修过程需要有专人验收把关,并需要配套完善的安全监管体系。而变电运维一体化之后,运维管理中多部门融合,出现一人多岗的情况,检修过程中,检修人员还可能兼任质量监督人员,检修、验收工作流于形式,失去原有意义,监管体系及机制被极大弱化,设备维修管理存在较大的安全隐患[1]。
1.2 难以为管理人员提供安全保障
变电运维一体化旨在提高管理效果,因此管理过程中一人多岗现象时有出现,使得管理人员工作强度增大,工作量大大增加。比如说工作人员不仅需要负责管理工作,有时还需要负责检修工作,而对于220kV 停电检修来讲,还需要进行安全防范,作业频繁,至少需要1-2小时,工作人员疲劳作业,安全作业得不到保障。可以说运维一体化管理中,一人多岗制度尽管使人力资源利用率得到了有效提升,但是变维管理人员精力有限,多岗工作下,很容易疲劳作业,出现操作上的失误,给电力系统安全运营打来极大安全隐患[2]。
1.3 难以提供复合型的运维人才
变维一体化同一般的维修两者有着本质区别,变维一体化对管理人员专业技能的深度及广度要求都比较高,需要对变维管理多个岗位工作流程有全面了解,并具备相关岗位工作经验,例如他们不仅需要熟悉一次设备、二次设备,还需要掌握各种设备试验,拥有较强综合性知识储备。但是当前很多员工都达不到要求,变电运维管理符合型人才十分匮乏。人才的匮乏导致很多运维工作不能有效开展,影响工作进度及质量。
1.4 工作流程欠规范
变电运维一体化下,变电运营集为一体,运营人员既要进行运营管理业务,同时还要做好对设备系统的检修维护,传统的变电运维工作流程同现在工作标准已经不相适应,以前的“两票三制”已经不能有效防止人员违章,变维一体化下工作流程欠规范,不标准,需要根据当前工作流程制定更为规范完善的工作流程及标准,从而实现变电运维的双效提升。
2 变电运维过程中加强管理措施策略
2.1 完善变电运维工作流程及标准
变电运维一体化下需要对工作人员工作流程及标准重新定义,在原有业务基础上需要增加消缺、设备维护等工作项目,编制相应作业指导书,制定现场作业控制卡,对设备管理及安全监管制度逐步完善,这样才能适应当前工作需求。
2.2 细化变电运维工作业务
按照从简单到困难这样的划分原则对变电运维工作业务进行合理划分,将变电检修项目进行有效区分,分块打包。同时还要按照管理人员各自专长业务,给其分配相应工作业务,规定各自工作量,这样变电运维工作才能顺利开展,安全性才有保障。
2.3 整合变电运维各部门职责
对变电运维各个部门(运行部门、检修部门等)的职责进行整合,整合之后设置专门运维部门及集控部门。运维部门负责运维过程中的消缺检验;集控部门负责运维设备的巡检,负责日常值班管理[3]。同时运维部门中运行及检修需要独立出来,每个岗位要安排专人负责,对岗位责任进行明确,完善监管体系,实现组织机构与人员职责的一体化。
2.4 提升工作人员整体素质
加强对工作人员的培训,全面提升人员整体素质。培训过程中需要按照工作人员专业情况制定合理培训计划,确保培训后运维人员能够承担相应工作。对培训力度需要逐步加大,聘请专家,亲自现场讲解,学员练习,熟练之后业务考试,确保工作人员对培训内容能够消化吸收,为机构多输送及储备一岗多能的复合型人才[4]。
3 结语
总之,在社会经济不断发展的今天,人们对变电运维要求越来越高,将变电运行、变电维护合二为一,变电运维一体化是电力系统未来发展总体趋势。尽管变电运维一体化下工作作业效率大大提高,但是变电运维一体化管理过程中难以对现场作业进行有效监管、难以为管理人员提供安全保障、 难以提供复合型的运维人才、工作流程欠规范等问题也比较突出,需要在日后管理过程中通过完善变电运维工作流程及标准、细化变电运维工作业务、整合变电运维各部门职责、提升工作人员整体素质等措施加强管理,这样才能确保变电运维一体化得以有效实施,供电安全才更有保障。
参考文献:
[1]贺林军, 周文丽.简述变电运维中隐患风险问题与应对措施[J]. 科技创新与应用,2015(09):118.
[2]林进财.变电运维一体化过程管理中的问题及解决措施研究[J]. 华东科技:学术版,2016(02):268.
毋庸置疑,当应用系统、网络设备、主机、数据库、安全设备等IT系统和设备越来越多时,运行维护工作的复杂度会呈现非线性的增加。在中国民族证券有限责任公司(下称民族证券)稳步成长的十年里,其证券经纪业务、投资银行业务、证券投资业务等各项业务迅速发展、运营管理需求不断增加,与此同时,其信息系统数量和系统用户数量不断增加,网络规模迅速扩大。如何高效、智能地进行IT系统运维管理,降低运维的复杂度,摆上了民族证券的议事日程。
告别传统 减少人工操作
在传统的运维模式中,由于缺乏系统化自动化手段,有时候需要较多的运维人员才能完成对关键信息系统的运行监控和维护操作,运维人员的数量会随着信息系统的增加而不断增加。此外,各类系统的启动、停止、运行等例行操作和关键业务系统的主从切换、灾备切换等操作如果均由运维人员手工操作,其效率、准确性等完全依赖于操作人员,存在着误操作风险。所以,只有通过自动化的工具来减少人员的手工化操作,才能保证操作的准确性和效率,而自动化运维成了解决上述问题的关键。
作为一家证券公司,民族证券对信息系统的安全与稳定要求非常之高。结合对公司IT系统运维的需求,民族证券对日常流程运维提出了集中化、实时化、可视化和智能化的标准,并从去年11月开始着手建立日常流程自动化运维项目。此后,民族证券选择与神州信息服务股份有限公司(神州数码旗下子公司,下称神州信息)合作,将运维管理升级,实施自动化运维项目。
为使民族证券的自动化运维落到实处,神州信息项目组与民族证券的业务人员进行了大量的先期沟通,了解到客户需求主要集中在“减少运维工作占用的大量人力资源,提升效率”和“减少运行维护过分依赖人工操作及操作失误,保障系统安全稳定”两个方面。神州信息集成解决方案SBU BD解决方案部总经理熊飚介绍,基于用户的两大需求,神州信息提出了服务自动化管理(Service Jet iAuto) 解决方案,以独创的“操作机器人”技术实现日常运维、系统备份和应急切换等操作。这一方案及“操作机器人”能够建立起一个为各应用系统、各种硬件基础设施提供自动化运维的管理平台,可以帮助民族证券实现集中化、实时化、可视化、智能化的“四化”IT运维管理,同时达到“比人更快,更精准,更有保障”的目标,切实提高了运维效率和运维管理质量。
在保障系统安全稳定方面,神州信息开发了“应急切换”功能。熊飚认为,当系统需要主从切换、主备切换等应急处理的时候,由于操作的系统数量较多,传统的手工操作无法保证切换的时效性,存在业务中断的风险。
自动化是运维的更高阶段
神州信息的Service Jet iAuto能够让运维工作更加体系化、自动化、透明化,更为准确和高效的自动化操作方式降低了人员变更、新人对系统不熟悉给IT系统带来的风险,同时也消除了人为误操作所带来的安全隐患,将运维人员从繁重复杂的日常IT运维中解放出来,也可以降低企业运维方面的人力成本。通过神州信息的帮助,目前民族证券已经实现了日常运维的自动化操作,降低了运维工作对IT人员的依赖,将人工误操作的风险降到了最低,保障了IT系统的稳定与安全。
现在,自动化运维已经得到越来越多CIO的关注,它也势必会逐渐取代传统的人工操作。“ IT运维自动化不单单是一个维护的过程,更是一个管理的提升过程。自动化运维是IT运维的更高层次,也是未来发展的必然趋势。” 熊飚说。
【关键词】变电站;运维一体化;实施
1 实施问题
电网的生产工作长期以来都是按职分工,形成了系统的电网运行、调度、检修等业务分类,虽然,这样的分工在一定程度上保障了电网生产的安全性,但是也存在着一定的问题,比如:生产效率低以及人力资源利用率低等状况。
(1)长期以来,设备检修工作一直坚持“应修必修、修必修好”的检修原则,及时处理设备缺陷、隐患、减少事故发生、保障电网设备运行安全,但是由于运行检修模式过于单一,没有针对设备的健康水平,适时开展状态检修工作,传统的检修模式浪费了物力、人力,降低了经济效益。
(2)运行变电方面,无论节假日、工作日和夜间,运维站的工作人数都一样,这就导致白天人力缺乏,夜间及节假日人员冗余,在人力和资金投入方面存在着浪费。
(3)变电的检修和运行有密切的联系,当停电检修时,从缺陷发现到缺陷消除,需要双方人员相互等待,时间耗费过长,导致工作效率较低,人力严重浪费。电力系统在近几年逐渐向智能化、大系统以及大容量的趋势发展,传统的检修运行模式很难满足电力系统的要求[1]。
随着电网系统日渐复杂庞大,要求的可靠性和安全性也越高,国家电网不断深入三集五大建设体系,对生产电网做出运维一体化的指示,不断使作业流程和资源配置得到优化,资源效能得到释放,才能够提高生产效率和作业效率。运维一体化是“大检修”体系建设的关键环节,可以显著体现五大体系建设的成果和效率。变电运维一体化是根据变电的实际运行状态以及工作人员的专业技能、人力效能、生产质量、安全控制以及工作协调等内容进行整合优化,从而实现变电的检修与运行由同一部门完成的目标,这样就能使资源效能得到释放,从而提高工作效率。
设备的检修运行等业务针对的是电力设备,然而两者具有不同的性质,运行需要综合知识较强,注重安全操作设备以及快速的事故处理能力。检修过程需要专业知识较强,需要熟悉设备的内部构造,设备故障处理能力较高。变电运维一体化的实施,涉及到安全控制安全分析以及业务流程等重要环节,因此,运维一体化的实施还存在着以下问题:
(1)现场作业缺失安全管控:传统状况下,设备检修和状态变更需要得到运行人员的许可、监督以及事后的验收,人员职责明确,安全维护监督以及工作质量都能做到位。然而,运维一体化就会导致一人多责的发生,同一人可能完成停电、做安全措施、检修、验收等多项任务,这就导致很多环节过于形式化,脱离实际。
(2)工作风险变大:变电的检修运行都是工作强度大,耗用时间长的任务,运维一体化就要求工作人员同时完成检修和运行的全部职责,势必增加业务量,导致工作人员劳动强度过大,从而增加了工作风险。
(3)培训运维人员周期长:运维一体化需要运维人员全面掌握变电检修和运行的所有知识,要求运维人员素质较高,使得培训专业运维人员的周期明显增长,这就给运行维修专业带来很大的挑战。
2 “先易后难,渗透融合”的工作原则
由于以上问题的存在,导致开展运维一体化不是一蹴而就的,所以,开展运维一体化需要按照先易后难的工作原则,达到变电检修运行的双向任务。
(1)制定业务划分方案。明确划分变电的检修运行的难易程度,根据运维人员素质以及实际运维状况,制定难易程度不同的阶段性作业,形成整体运维方案,阶段性展开运维业务。
(2)综合培训。首先,依照划分的业务,配需相应的运维人员,逐步深入运维工作的开展。综合培训运维人员是实施运维一体化的关键。运维人员经过专业培训承担不同的阶段任务,综合完成运维一体化工作。其次,加大培训的广度、深度和力度,培养综合掌握变电运行及维护的全面人才,实现检修运行的整合,从而完成运维一体化。
(3)职责部门整合。将变电检修和运行的部门进行整合,增设运维班和巡视班,巡视班的任务是设备巡查及时发现设备缺陷;运维班的任务是设备停电检修。另外,运维班细分为检修、运行人员,两者相互独立,完成工作许可、检修操作,安全管理并且达到人责一体化。
(4)优化运维模式。优化值班形式。减少节假日以及夜班人员,将运维人员分组待命,保障运维力量,从而达到减员增效的目的。
建立巡视台账,优化整合电力部门辅助检修状态的系统软件等,提高软件管理的人性化,减少人力资源的浪费,避免重复劳动。
(5)建立奖惩制度。定期考察运维人员的工作成绩,根据业务完成状况进行不同程度的奖励,并且对违反安全规定,等人员进行惩罚。
(6)加快变电站小型维护业务的外包工作,实际专业人做专业事。将变电站部份如:绿化、卫生、风扇冲洗、照明灯具更换等日常维护类工作实行对外承包,让运维人员有更多的精力投入到设备的操作、巡视、维护上来,达到专业人做专业事。
3 小结
变电运维一体化的开展需要提高运维人员的综合技能,提高人力资源利用率以及检修运行工作效率。变电运维一体化的实施推进了电力系统智能化、大系统、大容量的发展趋势。
参考文献:
