时间:2023-06-27 17:58:33
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇运维管理保障体系,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
即使这样,如下安全问题依然摆在了很多企业面前:安全设备部署了很多,安全制度流程也建立了,但从整体角度看,仍然是各自为战,仿佛信息安全问题只是IT部门的事情,与其他人无关,这就使得无法形成整体有效的安全防护;一边是业务应用越来越复杂,一边是安全设备和制度不断增加,如果安全设备和制度做多了,业务部门抱怨太繁琐,但如果不做这么多,又怕出现安全问题,左右为难。
那么,出现这些问题的根源是什么呢?我们早就知道,建设安全系统不仅仅是技术问题,也是管理问题。而信息安全服务的主要目标就是更好的支撑IT应用系统的效果和效率,也就是说,信息安全的主要目的是通过信息安全管理体系、技术体系以及运维体系的综合有效建设,让IT应用系统能够达到更好的运营效果以及更高的效率。而如何综合而有效的建立信息安全保障体系,成为了摆在每个企业面前的课题。
合规是重中之重
信息安全标准是确保信息安全产品和系统在设计、研发、生产、建设、使用和测评过程中保持一致性、可靠性、可控性、先进性和符合性的技术规范和依据,其不仅关系到国家的信息安全,也是保护国家利益、促进产业发展的一种重要手段,同时更是信息安全保障体系中的重要组成部分,是政府进行宏观管理的重要依据。
我国在这方面虽然起步较晚,但也制定了一批符合中国国情的信息安全标准,同时在一些重点行业还颁布了一批信息安全的行业标准,尤其是国家等级保护制度和分级保护制度是我国在进行信息安全保障体系建设中的重要依据。
因此,企业只有在信息安全保障体系建设过程中依据相关标准进行合规性分析,通过安全风险评估,然后比对相关标准中所涉及的技术要求、管理要求、测评要求,才能明确得出建设的方向和重点,了解目前系统中存在的问题和改进的方法,同时明确在管理、部署和运维过程中信息安全管理的相关制度、流程和需要持续改进的目标。
此外,相关标准还为企业明确了进行信息安全保障体系建设的方法,只有遵循这种方法才能做到“有法可依、有章可循”。
安全咨询是桥梁
前面提到,信息安全建设的主要目的是让IT应用系统能够达到更好的运行效果,并提高系统的运行效率,也就是说,要让信息安全保障体系成为IT应用系统的有效支撑。然而,不同政府或企业的具体业务环境和流程各不相同,所以也不是每个政府或企业都可以使用一个统一的模板。不同的组织在建立与完善信息安全保障体系时,必须根据自己的业务特点和具体情况以及IT应用的实际情况,采取不同的步骤和方法。此外,还要注意,信息安全不仅涉及安全管理和技术层面的问题,还会涉及到治理机制、业务流程、人员管理、企业文化等内容。
这就使得,企业要运用风险的方法来决定信息安全体系建设的目标和步骤。这个过程实际上是需要专业资深的安全服务人员对目标的业务特点、IT应用实际情况和具体管理方式进行现场调研、符合性分析、相关的风险评估等操作的,尤其是对关键业务应用的深入了解和分析,只有这样才能与标准比对形成安全基线和框架参考。
而且,在建设过程中,还要不断与相关负责人(决策人员、安全管理员、网络安全维护人员)进行深入沟通,以便发现安全隐患、找出关注重点,并提出有效的策略建议,最终才能运用风险的方法来决定体系建设的目标和步骤,并一步一步实施完成。通过这一点我们不难看出,信息安全咨询贯穿于整个信息安全体系建设的过程中,是联系实际需求和建设目标的桥梁。
实际落地是关键
信息安全技术体系是利用技术手段实现了技术层面的安全保护,是整个信息安全保障体系中非常重要的一部分。很多政府和企业都部署过一些技术防护手段,但这些防护手段是不是符合相关标准和关键业务的需求,是不是把风险控制到了一个可控的水平,我们就不得而知了。
因此,在信息安全保障体系建立过程中,一定要依照标准来选择技术防护手段,同时实现技术手段的落地是关键。而要实现技术手段的落地,就要兼顾以下几点:选择的技术产品要满足政府或企业实际环境、IT应用和管理流程制度等客观条件;选择的技术产品要具有易维护、管理简便的特点,并要能够保持先进性;选择的技术产品要能够满足应用变化的需要,并适应技术的不断发展。即保障可用性、适用性和持续性。
安全意识是必须
在很多政府部门和企业中普遍存在这样一个问题,仿佛信息安全只是IT部门的事情,其他业务部门大多采取了“事不关己,高高挂起”的态度,这势必会造成安全天天喊,但是总没有明显效果的局面。
可以说,建设信息安全保障体系是企业内的一次“安全革命”,通过培训,不仅仅要让每个人都提高对安全事件处理的管理水平和技术水平,更重要的是让每个人都拥有“信息安全人人有责”的意识。
同时,这场“安全革命”给企业带来了新的知识和管理模式,企业必须通过培训将整个信息安全保障体系的相关知识转移到每位员工身上,让他们对整个体系逐步达到从接受到适应,再到最终掌握。只有这样才能让整个信息安全保障体系真正应用起来,并真正起到效果。
运维平台是手段
随着烟草行业信息化快速发展及云计算、虚拟化、移动应用等新兴技术运用,使烟草行业的信息安全面临新的挑战,主要表现在以下几点。
1.1核心软硬件被国外垄断,严重威胁行业信息安全
当前,烟草行业的信息系统基础设施,包括主机、存储、操作系统、数据库、中间件等几乎还很大程度上依赖于国外品牌,使得烟草行业信息系统比较容易被国外掌控,威胁烟草行业信息安全。
1.2传统互联网威胁向烟草行业辐射
随着电子商务的快速发展,烟草行业信息系统由半封闭的行业内网向互联网转变,网上订货、网上营销等新型业务与互联网结合日益紧密,同样面临的网络攻击和威胁形势日益复杂严峻,传统互联网威胁(如病毒、木马等)也必将危及行业信息安全。
1.3新技术的应用使行业信息安全面临更大挑战
随着云计算、虚拟化、移动应用等新兴技术的快速发展和应用,极大地影响了信息系统的运行和服务方式,互联网服务的开放性特点对烟草行业信息安全工作提出严峻的挑战。
2烟草行业信息安全发展方向
近期,为处理好安全和发展的关系,适应信息技术发展形势需要,提出以安全保发展、以发展促安全是未来一段时间信息安全建设和管理的重要方向。
2.1坚持自主安全可控,健全行业信息安全体系
信息安全自主可控作为行业信息化发展的重要保障,加大安全可靠的先进技术应用力度,提升对核心技术的自主掌控能力,保障行业信息化建设稳步推进,健全以防为主、软硬结合的行业网络安全体系。强化网络基础设施安全,加大安全可控关键软硬件的应用比例,确保行业信息化高效安全平稳运行。
2.2坚持等级保护,提高安全管理水平
执行国家信息安全等级保护制度,以安全策略为核心,坚持技术和管理相结合,构建与行业信息化发展协调一致的行业网络安全体系。
2.3强化安全运维机制,提升安全保障能力
目前,行业信息安全保障尚未全面融入信息化的“建管用”的各个环节,需要进一步建设、健全行业网络安全保障体系,落实安全运维机制,提升安全综合防范能力。
2.4完善应急处置体系,保证系统安全稳定运行
加强日常信息安全监控,进一步完善信息安全应急处置机制,充分评估信息系统面临的威胁,并制订覆盖各类信息系统、各种信息安全事件的应急预案并进行演练,提升信息系统预警、应急处置和恢复能力,保障业务系统的连续稳定运行。
2.5烟草行业信息安全建设思路
随着国家、行业主管单位对信息安全认识和要求的不断深入,烟草行业信息系统综合安全防范能力需要通过建立自主可控的信息安全技术体系;细化和完善信息安全法规制度、标准规范、流程细则的管理体系;和以“常态化”为目标,包括阶段性运维、日常运维、应急工作三个角度的安全运维体系设计,从而提高信息系统信息安全综合防范能力。
2.6建立系统安全基线,提升系统基础防护能力
国家局针对信息安全工作下发了如《信息安全保障体系建设规范》《行业单位等级保护建设规范》等一系列的规范标准,同时以“三全工作”“安全检查”为抓手推动信息安全保障体系的建设。但由于缺乏具体的操作层面的指南,各行业单位对标准规范和安全建设尚不能有效落地,不能执行到具体的业务系统以及所属的主机、网络设备等基础设施层面。为保证信息系统整体安全水平,防止因为各类系统、设备的安全配置不到位而带来安全风险,有必要针对信息系统建立其基本的安全要求(安全基线),确保信息系统具有基本的安全保护能力。
2.7建立自主可控信息安全技术体系
自主可控是信息安全的根本保障。建立自主可控的信息安全技术体系可以从以下方面着手:一是制订行业信息安全技术产品准入要求,启动核心信息技术产品的信息安全检查和认证工作;二是加强对产品或系统的漏洞检测和代码审查,及时发现系统安全隐患,同时明确国外进口产品在使用过程的责任和义务;三是建立烟草行业新技术的安全标准规范,明确新技术的使用、运维和管理的方法和范围。
2.8不断完善行业信息安全标准规范体系
目前烟草行业已经陆续了一系列行业信息安全标准和规范,但是相对于信息化的快速发展来说还存在滞后性。制定、完善和细化行业信息安全标准规范,对于烟草信行业信息安全具有重要意义。例如,针对信息系统的建设,应制订包含在信息系统规划设计、开发建设、运行维护和停用废弃等全生命周期的安全标准规范;针对移动应用,应制订包含由移动终端、移动网络、移动平台、业务应用构成的移动安全框架和建设标准规范,为烟草行业的移动应用建设提供指导;针对烟草行业数据安全,应建立包括数据分类分级、数据分布、数据操作、数据备份和恢复在内数据安全标准规范,为合理保护和利用行业数据提供指导;针对第三方服务外包,制定第三方服务机构服务质量基本评价指标体系。
2.9建立安全运维管理服务体系
一是建立运维监控指标体系。通过对信息系统安全运维水平的层次化监控指标的建立,得到该业务系统的安全运维水平评级,以此来表明该业务系统的安全运维体系的建设成熟度。同时还应将表示安全运维水平的各个指标项建立针对某类安全事件的度量标准。建立监控指标不仅应当包括传统的各种系统资源使用率、数据和应用工作状态等,同时要加强对运维监控中发现的各种异常现象的监控分析,对风险隐患及时处理,同时根据运行分析结果动态评估系统的处理能力,动态优化系统资源配置。二是完善安全运维和管理工作。安全运维和管理工作应包含在信息系统规划设计、开发建设、运行维护和停用废弃等各环节,落实系统建设全生命周期各环节的安全指标和流程要求,做到基础信息网络、重要信息系统与安全防护设施同步规划、同步建设、同步运行。三是完善应急处置机制,保障业务连续性。随着行业数据的集中,各类信息系统整合的不断推进,信息系统的技术体系日趋复杂,需要在日常运维过程中积累、提高对各种技术的把握、优化能力。充分评估各类信息系统潜在的威胁,并制订和完善各类信息安全事件的应急预案,并定期开展应急演练。
2.10开展信息安全风险态势感知体系研究
风险态势感知体系是具有宏观的角度对行业的整体网络安全防护能力进行评估,同样也应对整体安全管理水平进行评估,为提升信息系统整体安全防护能力提供决策支持;同时风险态势感知体系应具备两个维度的态势感知能力。一方面,从安全本身的发展变化入手,通过对事件和威胁的分析来评估当前网络的整体安全态势,包括地址熵态势分析、热点事件分析和威胁态势分析;另一方面,从信息系统所需要达成的安全管理水平入手,通过对一系列管理指标的度量,来评估当前信息系统的安全管理水平;建设完备的信息安全风险感知体系,是提高烟草领域信息安全的重要途径之一。风险态势感知体系的建设应按照信息安全等级保护的相关要求,建设针对信息系统所有的基础设施包括终端、网络、应用、系统、物理各个方面,以及信息系统在业务处理过程中的身份认证、访问控制、数据与内容安全、监控审计、备份恢复等各个环节的信息安全风险态势感知体系,提高信息系统的信息安全保障能力,提高信息安全事件的预警及防范能力。
3结语
铁路信息安全建设和运行必须结合铁路信息化实际情况,从管理和技术两个层面综合保证铁路信息系统的运行操作安全,保障铁路信息系统及其安全基础设施的运行安全,并最终保障铁路运输业务及运输服务的安全。铁路信息安全保障体系结构见图1。管理和技术是铁路信息安全保障体系的两个要素,是保证铁路信息系统及其所支撑的铁路运输业务和服务安全建设和运行的必要条件。在这两个安全要素中,管理是核心,是基础,它影响和决定技术的选择以及技术标准规范;反过来,技术也会影响到信息安全管理方式和管理制度的具体形式,降低管理成本。在安全管理层面中,国家和铁路行业的信息安全方针政策法规是铁路信息安全建设和安全运维的管理基础;铁路信息安全管理制度是信息安全方针政策法规在铁路信息安全日常工作中的具体要求体现;铁路信息安全组织保障是落实铁路信息安全方针政策法规、执行铁路信息安全管理制度的岗位职责基础和人员保障;信息安全意识培养、培训和教育是铁路信息安全方针政策法规和铁路信息安全管理制度得以高效、准确地落实和执行的保证。管理安全保证不仅通过方针政策法规、组织保障、管理制度、意识培养培训教育等形式直接对铁路业务提供安全支持和保障外,还通过对信息安全技术的影响间接地保护铁路业务安全。铁路信息安全方针政策法规和管理制度等因素是制定铁路信息安全技术标准和规范的重要基础,同时,它们也会对信息安全方案的设计、产品选择和采购方式产生不同程度的影响。在安全管理控制下,只有具备安全资质的业务人员才可以在已经获得认证认可的技术手段支持下,执行规定的操作流程;铁路信息系统操作流程安全包括铁路信息系统的建设、运维和灾备恢复等活动的流程和操作安全,它旨在保证铁路信息系统及其安全基础设施在安全生命周期中各主要阶段的过程安全。铁路信息系统由铁路外部服务网、内部服务网、安全生产网以及若干生产专网组成,铁路的各种应用业务都直接运行在这些系统之上,为了更好地支撑这些业务系统的安全运行,支持铁路统一的安全管理,在铁路信息系统中还包括灾备中心、数字证书系统、集中管理及认证授权中心等安全基础设施系统或安全平台,这些安全基础设施及其所服务的铁路应用业务系统的运行安全是铁路运输业务及服务正常安全运行的环境保障。
2安全保障体系要素
在铁路信息系统中,无论是系统的建设、运行、灾难恢复、事件处置等活动,还是其支撑的运输业务和服务等系统目标,都离不开管理和技术两个安全要素的综合保证,其中管理是核心,在安全管理措施的控制下,只有具备安全资质的业务人员才可以在已经获得认证认可的技术手段支持下,执行规定的操作流程。
2.1铁路信息安全管理体系
铁路信息安全管理体系必须以国家信息安全相关法规、政策和标准以及铁路相关法规政策为基础和依据。按照GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》、GB/T22080—2008《信息技术安全技术信息安全管理体系要求》和GB/T22081—2008《信息技术安全技术信息安全管理实用规则》等国家标准和指南,结合我国铁路实际情况,将铁路信息安全管理体系划分为11个安全控制类别,其中包括信息安全政策、信息安全组织、资产业务、信息安全环境、设备使用、通信网络、配置授权、安全事件处置、安全运维、安全合规和灾备恢复等管理内容;在11个安全控制类别的基础上,建立铁路信息安全管理制度框架,如铁路信息资产管理制度、互联网访问管理制度、人员安全培训制度、机房管理制度、产品准入制度、系统运维制度、安全事件处理流程规定、介质管理制度、电子邮件使用管理规定、铁路软件开发管理流程规定等(见图2)。
2.2铁路信息安全技术框架
铁路信息安全技术框架是铁路信息安全保障体系的重要组成内容,主要包括安全管理、身份管理、授权管理、灾备管理、监控审计、可信保证等技术机制(见图3)。管理安全是统领铁路信息安全保障的纲领,纲举才能目张,构建一个全路信息系统可视化管理平台,以便对网络、计算机设备、应用系统部署、操作用户及角色、运维状态等关键信息进行全局的监控,提高对系统中安全问题及其隐患的发现、分析和防范能力。由全路统一身份管理平台、授权管理机制和责任认定构成的铁路网络信任管理体系是保障铁路信息安全可信和安全的前提。全路灾难备份和恢复策略管理是铁路信息系统可信、安全和业务可持续性的后盾。以密码技术为基础的可信计算技术为软硬件资源的安全和隔离提供了结构化保证,为计算环境的可信可靠(完整性)提供了有效的判别手段,为关键数据提供了可信安全存储,为分布式计算的安全机制一致性和网络接入控制提供了远程可信证明方法。可信计算技术是构建铁路信息安全保障体系的基础支撑。
2.3铁路信息安全的组织保证
铁路信息系统安全应该在组织上加以保证。在具体组织形式上应该由中国铁路总公司(简称总公司)主管领导和部门具体负责铁路信息安全的领导和组织工作,由相关专业职能部门分工协作,在铁路信息化的整体工作布局中设置专门机构和岗位、明确相关职责、配备信息安全专业技术和管理人员,确保信息安全管理制度的有效落实和信息安全技术机制的可操作性。铁路信息安全组织保证框架见图4。总公司信息安全主管部门应该包括以下职能机构:法规政策标准管理机构负责制定铁路信息安全相关法规、政策、标准和规范,并负责铁路业务应用密码的管理工作;安全建设运维管理机构根据铁路信息安全相关法规、政策、标准和规范,参与铁路信息系统及其安全基础设施的设计、开发和运维审核和监管工作;信息安全风险管理机构负责对进入铁路信息系统的相关产品进行测评认证,对运行系统进行安全监控,负责信息系统的安全风险管理工作;安全事件处置管理机构负责对系统紧急事件进行处理,对舆情进行综合分析,并根据事件性质和处理结果对事件进行通报;安全保密培训服务中心负责全路的信息安全法律法规、政策标准、安全意识和安全技能的培训提高工作,负责组织安排和协调社会力量以及高校等培训机构具体实施常态化信息安全培训工作;安全灾备恢复管理机构负责重要信息系统的运行和数据备份实施工作,并在系统出现严重故障后,迅速协调相关部门恢复服务或业务数据,保障关键业务服务的运行连续性。各铁路局(公司)应该参照总公司信息安全管理组织结构,设置相关部门或相关专职岗位,并有铁路局(公司)领导具体分管信息安全工作。铁路局(公司)信息安全工作应该在总公司统一组织、协调和安排下开展具体工作。
2.4铁路信息系统安全基础设施
铁路信息系统必须依赖于铁路网络与信息安全基础设施作为其安全支撑基础。铁路网络与信息安全基础设施不仅可以落实铁路集中统一安全管理的要求,提高铁路信息系统的安全水平,还能有效降低铁路信息安全的建设和运维成本。铁路信息安全基础设施包括铁路信息系统灾备恢复中心、铁路业务应用密码管理中心、数字证书系统、集中安全管理及认证授权中心、安全监控中心、安全隔离平台、信息安全培训平台以及铁路网络舆情分析系统(见图5)。铁路信息系统灾备恢复中心可以将由于系统重大故障或破坏带来的业务中断降低到最小程度,提高铁路的服务水平;铁路业务应用密码管理中心是保护铁路重要数据安全和业务安全的基础保证,同时它也是全路统一信任体系的技术基础;铁路数字证书系统可以在全路范围内建立统一的身份认证体系,提高铁路的信息安全集中管理能力,降低安全管理成本;铁路集中管理及认证授权中心通过全路集中的信息安全平台实现高效、统一的安全管理,保证安全策略的快速一致化部署;铁路信息系统安全监控中心可以对铁路信息系统的安全运行状态进行监控,掌握铁路信息系统的运行态势,从而实现在铁路信息系统中防患于未然,有效降低系统安全风险;铁路安全隔离平台是隔离铁路内部服务网和外部服务网的安全措施,它保证了铁路安全生产网络的正常运行;铁路信息安全培训平台对保证提高铁路员工的信息安全意识、培养安全素养极为重要,是人员安全的必要保证;铁路网络舆情分析系统对铁路了解社会评价、改善铁路社会化服务水平、提高铁路形象至为关键。
2.5铁路信息安全意识培养、培训和教育管理
要搞好铁路信息系统的信息安全管理,离不开相关人员的安全意识培养、技能培训和专业教育。铁路信息安全意识培养、培训和教育分别针对不同层次和专业的人员而设。信息安全意识培养通过对信息安全术语、议题和基本概念的宣传、宣导,吸引一般人群对信息安全的关注,帮助人们了解信息安全所关注的问题,并能因此产生正确的响应;信息安全培训让信息系统相关人员获得相关的技能和必备的资质,使其在信息安全管理、设计、开发、建设、运维、操作、评估和使用等方面满足与信息安全相关的岗位职能要求,培训可以分为初级、中级和高级等多个层次;信息安全教育则从信息安全专业理论、技术、经验等方面培养信息安全专家,与信息安全培训一样,这种信息安全教育也应分为初级、中级和高级等多个层次。为降低信息安全意识培养、培训和教育的管理和运作成本,铁路信息安全资质认证也可以和国家其他部门的资质认证机构合作,对一些可信度高、有较高权威的信息安全资质证书采取等同认可方法。铁路信息安全意识培养、培训和教育管理框架见图6。铁路信息安全意识培养、培训和教育管理可分为两方面:一方面是针对全部相关人员的信息安全意识培养。安全意识培养是一个长期的宣传和贯导工作,可以通过制度奖惩、危机教育、标语口号等方式建立普遍的信息安全概念,推广信息安全文化;另一方面是针对岗位定义不同的信息安全资质要求,并这对这些资质要求建立相对应的信息安全技能和专业培训、教育,为了满足这些资质培训教育工作,总公司必须建立相关的培训和认证机制,设置相关的机构。
2.6系统流程及操作安全保证
系统流程和操作安全是指铁路信息安全建设、运维和灾备恢复等活动的流程和操作安全,它旨在保证铁路信息系统及其安全基础设施在安全生命周期中主要阶段的过程安全。在铁路信息安全建设和运行过程中,要制定并依托相关的铁路网络与信息安全管理制度、技术标准规范和组织部门机构,对系统的安全设计、产品测评准入、安全工程等过程进行安全管控,从根本上杜绝系统在结构上的安全缺陷、严防不合规的产品进入系统、保证系统建设施工的安全规范;在铁路信息系统的日常运行过程中,也必须建立系统风险监控、评估和控制的管理和技术体系,通过专业专职的机构和部门,对系统的安全状态进行实时监控、对系统安全风险进行定期或不定期的评估;对安全事件进行预案规划、演练和应急处置,避免重大安全事件的发生;对系统服务或重要数据实施安全灾备,最大程度地减少系统故障带来的铁路运输业务和服务中断时间,减小风险后果。铁路信息安全建设、运维和灾备恢复流程见图7。
3结束语
基于SOA架构的内蒙古烟草应用集成平台框架
内蒙古烟草2011年已经完成了硬件资源的集成整合,具有统一的存储资源池、统一的计算资源池、统一的应用资源池、统一的WEB资源池和扩展应用资源池。目前这样的硬件资源环境很适合选择基于SOA框架构建内蒙古烟草应用集成平台(如图1所示),基于软硬件基础设施运行,为应用系统提供门户集成、服务集成、流程集成和规则管理等服务。它遵循J2EE标准、JSR168/162、WFMC标准、安全体系和认证标准,同时也遵循烟草行业内的标准,支持消息的XML表示、事务管理、集群、可靠安全传输、永久存储和智能路由,可为内蒙古烟草应用提供丰富灵活的集成开发环境,能为内蒙古烟草应用集成从建模、开发、集成、部署、运行、监控、维护的完整生命周期过程管理提供基础环境,适用于内蒙古烟草信息化建设中对数据集成和应用集成的广泛需求。基础平台可分为5个逻辑部件层和3个保障体系。5个逻辑部件层的组成及功能如下:门户层:打破应用系统之间的界限,实现应用系统的构件化,对应用构件进行统一的注册和管理,对用户信息进行统一管理,实现各应用构件的单点登录、权限管理、统一认证和个性化界面定制等功能。服务层:提供企业服务总线和流程管理平台。通过企业服务总线为应用系统提供业务服务集成的能力,通过服务管理实现服务注册、服务存储、服务生命周期管理和服务监控管理;通过流程管理平台提供业务流程整合的能力,实现流程定义、流程整合、流程编排和流程监控功能。应用层:将应用拆分成构件,形成应用构件池。资源层:将企业的数据和服务作为企业资源管理,将流程、信息和交互服务作为服务资源进行管理。支撑层:包括基础的应用服务器、数据库服务器和目录服务器等中间件软件,交换机、路由器、网络防火墙等网络基础设施,以及配套的系统监控管理系统软件。3个保障体系分别是:标准与规范体系:与应用集成平台配套的标准与规范体系用以指导和要求各应用系统的建设和管理,包括基础资源标准、数据交换标准、应用集成标准和门户集成标准。信息安全保障体系:基于PKI/CA技术体系,对整体系统进行安全加固,并参照行业要求建立信息安全保障体系,包括应用安全管理和数据安全管理。运维管理体系:与应用集成平台配套的标准与规范体系用以指导和要求各应用系统的运维管理,包括应用运维管理和平台运维管理。
基于SOA架构的内蒙古烟草应用集成平台的实现
内蒙古烟草应用集成不是1个独立的技术实现,而是1个全面的、协同合作的解决方案。通过构建多层次的应用集成基础框架,结合目录服务、MDA和BEPL等技术模型,实现内蒙古烟草各系统的业务流程、应用系统、数据资源无缝集成,真正做到内蒙古烟草“大整合、高共享、流程化”。其具体实现如图2所示。内蒙古烟草应用集成框架包括5个部分:(1)门户集成平台:通过部署中软国际的R1portal产品,实现建立一个跨应用、设备和企业的统一集成的互动用户界面,使用户可以通过任何设备从任何地方获取所需信息。包括统一用户管理、统一角色管理、统一授权管理、统一身份认证和统一授权管理,支持个性化界面管理与面向后台应用的功能组装。(2)服务集成:服务集成可分为基础业务实现(过SOMA的服务发现方法进行分析)、信息交换集成、业务流程管理和挖掘服务价值四个阶段。主要建设内容包括服务总线平台的搭建、现有系统服务的注册,门户相关服务的注册等。(3)流程集成:基于BPEL的业务流程管理,实现企业内部的流程、服务的整合。基于公共的流程引擎,实现不同系统间流程对接及流程携带的、实时数据交换服务以及多设备接入所需要的服务等,并提供丰富的应用适配器,实现现有不同系统之间的流程集成和数据交换。以服务为中心的应用集成通过流程服务来完成业务流程集成。在业务流程集成中,业务逻辑将封装、组合成服务,流程服务提供自动执行业务流程的能力,并满足自动执行流程和人工交互流程。具体实现过程如图3所示:(4)服务资源资产化及管理集成:提供对服务资源进行构件化管理(包括构建设计、构架开发、构件注册、构件检索和构件监管等内容)和对应用系统的资产化管理(包括硬件/网络管理、)基础软件管理、应用软件系统管理)。内蒙古烟草应用集成平台中有两种构建服务,分别是:数据服务构建和应用服务构建。构建信息包括:元信息、资源信息和部署信息。(5)系统安全集成:访问控制、身份鉴别、资源控制、安全审计等功能。
结束语
虽然,在内蒙古烟草应用集成平台建设的过程中,众多的应用系统都面临进行SOA改造的命运,但是SOA并不是对企业旧有IT投资的推倒重来,而是最大限度地保护旧有的投资,并为未来发展奠定一个统一的、最佳的IT基础。遵照SOA的一系列技术规范构建的内蒙古烟草应用集成平台能够实现各应用的无缝集成,适应全区烟草行业务发展的需求。目前,基于SOA架构的内蒙古烟草应用集成平台已经取得了阶段性的研究成果,应用系统数据库及软、硬件环境和应用集成平台相关产品的安装、部署与调试已经完成,实现了双机冗余,统一了企业组织机构编码与用户编码,集中展示了个人待办、个人日程、通讯录、新闻、通知公告、邮件、公文等内容,并且完成了工商协同、烟叶系统、一号工程、二号工程、投资管理、专卖内管、客户经理移动平台等二十个应用系统的单点登录工作,与全区烟草行业CA认证系统实现了无缝登录链接,有效解决了烟草信息孤岛问题,实现了工商协同办公与卷烟销售的有效集成。(本文作者:张春芳、孟杰单位:烟草专卖局、内蒙古集通铁路(集团)有限责任公司)
1现状与问题
1.信息安全现状
随着信息化建设的推进,我校信息化建设初具规模,软硬件设备配备完成,运行保障的基础技术手段基本具备。网络中心技术力量雄厚,承担网络系统管理和应用支持的专业技术人员达20余人;针对重要应用系统采用了防火墙、IPS/IDS、防病毒等常规安全防护手段,保障了核心业务系统在一般情况下的正常运行,具备了基本的安全防护能力|6];日常运行管理规范,按照信息基础设施运行操作流程和管理对象的不同,确定了网络系统运行保障管理的角色和岗位,初步建立了问题处理的应急响应机制。由网络中心进行日常管理的主要有六大业务应用系统,即网络通信平台、认证计费系统、校园一卡通、电子校务系统、网站群、邮件系统。
网络通信平台是大学各大业务平台的基础核心,是整个校园网的基础,其他应用系统都运行在高校的基础网络环境上;认证计费系统是针对用户接入校园网和互联网的一种接入认证计费的管理方式;校园一卡通系统建设在物理专网上,主要实现学生校园卡消费管理,校园卡与大学网络有3个物理接口;电子校务系统是大学最重要的业务应用系统,系统中存储着重要的教务工作数据、学生考试信息、财务数据等重要数据信息;大学主页网站系统为大学校园的互联网窗口起到学校对外介绍宣传的功能;邮件系统主要为大学教师与学生提供邮件收发服务,目前邮件系统注册用1.2面临的主要问题
通过等级保护差距分析和风险评估,目前大学所面临的信息安全风险和主要问题如下:
(1)高校领域没有总体安全标准指引,方向不明确,缺少主线。
(2)对国际国内信息安全法律法规缺乏深刻意识和认识。
(3)信息安全机构不完善,缺乏总体安全方针与策略,职责不够明确。
(4)教职员工和学生数量庞大,管理复杂,人员安全意识相对薄弱,日常安全问题多。
()建设投资和投入有限,运维和管理人员的信息安全专业能力有待提高。
(6)内部管理相对松散,缺乏安全监管及检查机制,无法有效整体管控。
(7)缺乏信息安全总体规划,难以全面提升管理
(8)缺乏监控、预警、响应、恢复的集中运行管理手段,无法提高安全运维能力。
2建设思路
2.1建设原则和工作路线
学校信息安全建设的总体原则是:总体规划、适度防护,分级分域、强化控制,保障核心、提升管理,支撑应用、规范运维。
依据这一总体原则,我们的信息安全体系建设工作以风险评估为起点,以安全体系为核心,通过对安全工作生命周期的理解从风险评估、安全体系规划着手,并以解决方案和策略设计落实安全体系的各个环节,在建设过程中逐步完善安全体系,以安全体系运行维护和管理的过程等全面满足安全工作各个层面的安全需求,最终达到全面、持续、突出重点的安全保障。
2.2体系框架
信息安全体系框架依据《信息安全技术信息系统安全等级保护基本要求》GBT22239-2008、《信息系统等级保护安全建设技术方案设计要求》(征求意见稿),并吸纳了IATF模型[7]中“深度防护战略,,理论,强调安全策略、安全技术、安全组织和安全运行4个核心原则,重点关注计算环境、区域边界、通信网络等多个层次的安全防护,构建信息系统的安全技术体系和安全管理体系,并通过安全运维服务和itsm[8]集中运维管理(基于IT服务管理标准的最佳实践),形成了集风险评估、安全加固、安全巡检、统一监控、提前预警、应急响应、系统恢复、安全审计和违规取证于一体的安全运维体系架构(见图2),从而实现并覆盖了等级保护基本要求中对网络安全、主机安全、应用安全、数据安全和管理安全的防护要求,以满足信息系统全方位的安全保护需求。
(1)安全策略:明确信息安全工作目的、信息安全建设目标、信息安全管理目标等,是信息安全各个方面所应遵守的原则方法和指导性策略。
(2)安全组织:是信息安全体系框架中最重要的
各级组织间的工作职责,覆盖安全管理制度、安全管理机构和人员安全管理3个部分。
(3)安全运行:是信息安全体系框架中最重要的安全管理策略之一,是维持信息系统持续运行的保障制度和规范。主要集中在规范信息系统应用过程和人员的操作执行,该部分以国家等级保护制度为依据,覆盖系统建设管理、系统运维管理2个部分。
(4)安全技术:是从技术角度出发,落实学校组织机构的总体安全策略及管理的具体技术措施的实现,是对各个防护对象进行有效地技术措施保护。安全技术注重信息系统执行的安全控制,针对未授权的访问或误用提供自动保护,发现违背安全策略的行为,并满足应用程序和数据的安全需求。安全技术包含通信网络、计算环境、区域边界和提供整体安全支撑的安全支撑平台。该部分以国家等级保护制度为依据,覆盖物理层、网络层、主机层、应用层和数据层5个部分。
()安全运维:安全运维服务体系架构共分两层,实现人员、技术、流程三者的完美整合,通过基于ITIL[9]的运维管理方法,保障基础设施和生产环境的正常运转,提升业务的可持续性,从而也体现了安全运3重点建设工作
3.1安全渗透测试
2009年4月,学校对38个网站、2个关键系统和6台主机系统进行远程渗透测评。通过测评,全面、完整地了解了当前系统的安全状况,发现了20个高危漏洞,并针对高危漏洞分析了系统所面临的各种风险,根据测评结果发现被测系统存在的安全隐患。渗透测试主要任务包括:收集网站信息、网站威胁分析、脆弱性分析和渗透入侵测评、提升权限测评、获取代码、渗透测评报告。
3.2风险评估和安全加固
2009年5月,依据安全渗透测试结果,对大学的六大信息系统进行了安全测评。根据评估结果得出系统存在的安全问题,并对严重的问题提出相应的风险控制策略。主要工作任务包括:系统调研、方案编写、现场检测、资产分析、威胁分析、脆弱性分析和风险分析。通过风险评估最终得出了威胁的数量和等级,表1、表2为威胁的数量和等级统计。2009年6月和9月,基于风险评估结果,对涉及到的网络设备(4台)和主机设备(14台)进行了安全加固工作。
3.3安全体系规划
根据前期对全校的网络、重要信息系统及管理层面的全面评估和了解整理出符合大学实际的安全需求,并结合实际业务要求,对学校整体信息系统的安全工作进行规划和设计,并通过未来3年的逐步安全建设,满足学校的信息安全目标及国家相关政策和标准学校依据国际国内规范及标准,参考业界的最佳实践ISMS[10](信息安全管理体系),结合我校目前的实际情况,制定了一套完整、科学、实际的信息安全管理体系,制定并描述了网络与信息安全管理必须遵守的基本原则和要求。
通过信息安全管理体系的建立,使学校的组织结构布局更加合理,人员安全意识也明显提高,从而保证了网络畅通和业务正常运行,提高了IT服务质量。通过制度、流程、标准及规范,加强了日常安全工作执行能力,提高了信息安全保障水平。
4未来展望和下一步工作
4.1安全防护体系
根据网络与信息系统各节点的网络结构、具体的应用以及安全等级的需求,可以考虑使用逻辑隔离技术(VLAN或防火墙技术)将整个学校的网络系统划分为3个层次的安全域:第一层次安全域包括整个学校网络信息系统;第二层次安全域将各应用系统从逻辑上和物理上分别划分;第三层次安全域主要是各应用系统内部根据应用人群的终端分布、部门等划分子网或子系统。
公钥基础设施包括:CA安全区:主要承载CAServer、主从LDAP、数据库、加密机、OCSP等;KMC管理区:主要承载KMCServer、加密机等;RA注册区:主要承载各院所的RA注册服务器,为各院所的师生管理提供数字证书注册服务。
应用安全支撑平台为各信息系统提供应用支撑服务、安全支撑服务以及安全管理策略,使得信息系统建立在一个稳定和高效的应用框架上,封装复杂的业务支撑服务、基础安全服务、管理服务,并平滑支持业务系统的扩展。主要包括:统一身份管理、统一身份认证、统一访问授权、统一审计管理、数据安全引擎、单点登录等功能。
4.2安全运维体系
ITSM集中运维管理解决方案面对学校日益复杂的IT环境,整合以往对各类设备、服务器、终端和业务系统等的分割管理,实现了对IT系统的集中、统一、全面的监控与管理;系统通过融入ITIL等运维管理理念,达到了技术、功能、服务三方面的完全整合,实现了IT服务支持过程的标准化、流程化、规范化,极大地提高了故障应急处理能力,提升了信息部门的管理效率和服务水平。
根据终端安全的需求,系统应建设一套完整的技术平台,以实现由管理员根据管理制度来制定各种详尽的安全管理策略,对网内所有终端计算机上的软硬件资源、以及计算机上的操作行为进行有效管理。实现将以网络为中心的分散管理变为以用户为中心集中策略管理;对终端用户安全接入策略统一管理、终端用户安全策略的强制实施、终端用户安全状态的集中审计;对用户事前身份和安全级别的认证、事中安全状态定期安全检测,内容包括定期的安全风险评估、安全加固、安全应急响应和安全巡检。
4.3安全审计体系
当前存在的问题主要有两方面:一是当网站出现故障或者安全隐患时,运维人员往往很难在第一时间发现问题并做出应急处理,严重地影响了网站的可用性与品牌形象权威性。二是传统的网络运维没有规范化、体系化,导致难以有效管控安全事件处理进度。
2015 年,CNCERT(国家互联网应急中心)通报了涉及政府机构和重要信息系统部门的事件型漏洞近 2.4 万起,约是 2014 年的 2.6 倍,网络安全威胁继续保持快速增长态势。
2014年第一届世界互联网大会和2015年第二届世界互联网大会之后,2016年中国举办第三届世界互联网大会和G20峰会,中国正在成为国际黑客关注的目标,尤其是中国政府网站将成为国际黑客攻击的重点目标。
因此,为确保中国政府网站的安全、高效、可持续运作,网站安全保障工作成为各级地方政府的重要任务之一。
浙江乾冠信息安全研究院CNCERT(国家互联网应急中心)通报了涉及政府机构和重要信息系统部门的网站进行了摸底排查,目前发现不少网站存在安全隐患,发现高危漏洞5个,中危和低危漏洞16个,网站故障率为20%。由此看来,一些政府单位的相关网站安全性面临较大威胁,如何彻底排查、修复网站的安全问题,已成为现如今做好网络安全维护工作最重要的部分,建立一套长效的网络安全保证体系是当务之急。
为此乾冠提出部署网络安全应急移动管理平台体系的解决方案。该安全保障体系主要由网站监测平台、网站预警平台、移动应急指挥三部分构成。实现“监测、预警、服务”安全闭环式管理。
第一步,建立网站远程监测平台。网站监测平台是一套软硬件一体化监测平台,已广泛用于云平台、网站和金融机构,以云计算和数据集中化技术为依托,采用远程监测方式对网站提供7×24小时实施安全监测服务。
第二步,建立网站安全预警平台。网站安全预警平台是针对网站的漏洞、可用性、篡改、挂马、暗链、坏链、DNS劫持、敏感字等进行实时监测和预警,在发生安全事件时,第一时间获悉,并依据应急预案及时作出应对策略,最大限度减少网络安全事件带来的损失。
第三步,部署移动应急处置平台。当出现一个安全事件后,为了及时和统一处理,以及跟踪处理进度,可以由网站监测预警平台或者由手机App安全软件生成运维工单,每一个需要处理的故障告警均以运维工单的形式流转,既方便统一指挥和跟踪处理情况,也便于日后的统一总结分析。
9月20日,以太信御网络科技有限公司(简称以太信御)在北京SecurityLink系列解决方案,提出“安全技术+商业应用”的理念。以太网科COO、以太信御董事兼CEO肖波表示,以太信御的创新在于实现以往一直平行而无交集的企业级应用和信息安全软件的跨界,关注企业级信息安全市场,为企业应用安全提供安全应用,进而提供无处不在的安全应用。
肖波认为,当前我国企业级信息安全领域尚比较薄弱,管理软件和信息安全分属不同领域,两者平行运营而无交集,以太信御在此一背景下,选择定位于企业级信息安全领域,向行业领军企业、平台级公司进军。
肖波对此雄心勃勃。他强调,过去10年全球信息安全产业的每个细分领域都产生了一个世界级巨头,他相信中国信息安全也会诞生世界级巨头,并带动本土信息安全产业的发展。“如今在消费级市场已经有了巨头,企业级市场还没有。”肖波说,“我就不能想一想吗?”
据悉,以太信御推出的SecurityLink系列解决方案将为企业级信息安全保驾护航。以太信御副总经理林森介绍,SecurityLink包含基础架构安全A、业务应用安全X、业务数据安全D和运维安全M这四个系列产品,在技术架构、业务应用、业务数据、运维安全四个领域整合出50个安全组件,并根据企业信息化安全各种需求,将不同的安全组件进行组合,为企业信息安全提供全方位立体化防御。
其中,基础架构安全A系列包含以太信御统一威胁管理(A-USM)、以太信御Web应用安全网关(A-WAG)、以太信御安全虚拟专线系统(A-VPN),、以太信御应用交付系统(A-ADC)和以太信御主机安全卫士(A-HSG)五款产品。
业务应用安全X系列是SecurityLink系列解决方案的核心,以BowlineBox硬件盒子的方式整合了业务系统保护、ERP安全保护等安全组件,旨在解决用户核心的业务系统数据安全。BowlineBox安全盒子针对应用规模分别推出X1、X3、X5、X6、X9不同系列产品。BowlineBox安全盒子可以为企业提供全生命周期的业务安全保障体系:通过访问准入、安全准入、系统可用性保障、企业敏感信息防泄漏实现事前防范,通过实时、全面的监控体系和高校、快捷的报警机制进行事中监测,通过多样化分析体系、面向企业的个性化安全报告进行事后分析。
业务数据安全D系列由以太信御敏感信息防泄密系统(D-DLP)进行防护,包含敏感信息泄漏阻断、敏感信息泄露监测、敏感信息加密、数据备份/异地灾备等防护措施,保障企业业务数据的安全问题。
运维安全M系列由以太信御漏洞扫描系统(M-APS)和以太信御运维安全审计系统(M-OSM)共同防护,解决运维安全审计、日志统一管理、漏洞扫描/基线核查和IT运行综合管理等安全问题。
此外,以太信御还针对SecurityLink系列解决方案提供全面的企业安全服务,其中包括信息安全演练、信息安全加固优化、信息安全咨询服务、信息安全风险评估、信息安全远程监测、信息安全应急响应、信息安全培训和信息安全运维服务内容。
【关键词】变电站;倒闸操作;精益化;后评估;并行操作
1.目标描述
1.1 管理目标
改写基建变电站启动工作需要人数多、时间长的历时,提高基建投运工作的效率和速度,实现现场作业“工作流程化、作业标准化、倒闸操作精益化”的目标,达到缩短倒闸操作作业时间、提高工作效率和安全性、提高设备运行指标的目的。
1.2 指标体系及目标值
设定以下量化指标,形成管理指标体系。指标体系与目标值如表1所示。
2.主要做法
2.1 管理工作流程图
管理流程请见图1《变电站大型现场作业标准化流程图》。
2.2 主要流程说明
2.2.1 投运准备阶段
变电运维班组制定了详细的组织措施,编制投运时间节点控制表,细化人员分工和职责,负责豆庄站投运的班组负责人,将标准化管理流程充分贯彻到实际工作中。首先,成立了投运工作小组细化了运维人员的工作责任内容,按专业列出了生产准备分工表,便于班组负责人与班员之间的直线管理;并制定投运准备工作表积极做好各项生产准备工作。及早制订各项准备工作流程,从规程编写、设备熟悉、现场培训等工作。
在豆庄站设备验收阶段,在正式验收还未开始之前,运维班组已安排人员下现场熟悉设备,每天安排专人进站,按事先结合实际列好的信息核对表,与专业人员逐一进行综自“四遥”功能信息的核对与试验。采取与土建、设备安装、调试、试验、操作、厂家培训同步进行的并行验收(见图2)方式,关口前移,使得每一项工作的开始、过程、结束值班员均有人跟踪记录,对变电站全部基建工程、设备操作特性掌握十分清楚,在验收中及时发现问题及时督促施工单位整改,为确保新建220kV豆庄变电站的“零缺陷”投运提供了保障。
2.2.2 操作准备会阶段
运维班组在投运前两天召开220kV豆庄站倒闸操作准备会,将投运人员、学习要求、危险点控制、各环节的时间节点、最佳操作方案等列入操作准备会,通过准备会,确定了安全工器具准备、防误闭锁装置熟悉及操作票填写及审核责任人,明确了各个环节控制点的执行人、监督人,同时辨识工作现场危险点并制定自控措施。进行倒闸操作停送电的事故预想,本次220kV豆庄站启动涉及2座220kV站,3座110kV站,共安排值班员14名,车辆3部,并将详细分工内容制作成表,以工作展板的方式在现场展出,使得各项投运送电工作清晰、明了。
2.2.3 安全工器具检查
提前一天12点前对操作所需要的安全、操作工器具、照明用具进行详细检查,确保能正常使用,并填写工器具检查记录表。
为缩短操作时间,操作前应将操作工器具集中放在指定的安全地点。操作用扳手、录音笔、纸笔应提前准备好,并集中存放。
2.2.4 防误装置检查
运维班组应按照操作准备会上确定的人员分工,做好防误闭锁装置熟悉与检验工作。应提前熟悉五防系统使用方法,在工作前一天的12点前必须完成防误闭锁装置检查,并填写防误闭锁装置检查记录表,避免因五防装置问题延长操作用时。
检查内容包括:验证五防系统通讯和闭锁逻辑、机械锁是否正常,如发现异常,经现场简单处理不能解决,立即上报缺陷,当日消缺;检查电脑钥匙在用和备用电池电量,电量不足应提前充电,确保运行操作电量充足。全面检查消缺后,立即备份五防软件系统,一旦系统故障可立即恢复;配备适量五防锁、锁码,防止锁具损坏等非人为因素延误操作进度。
2.2.5 操作票填写与审核
应按照操作准备会上确定的人员分工,至少提前一天做好启动操作票的填写与审核工作。提前到变电站熟悉现场设备和操作路线,根据调度预令和现场实际情况准备操作票。
运行人员合理安排操作顺序,在不违反规定的情况下,应保证同一区域内的设备能连续、顺序操作,减少不必要的人员往返时间,缩短整个操作的时间。合理减少操作票项目,缩短操作时间。对同一组操作人员刚完成的操作内容,在相关的操作任务中应不再重复进行设备位置的检查。
2.2.6 启动操作
运维班组应认真梳理优化现场实际操作的流程,尽量缩短操作时间。
运行人员在接受调度令后,5分钟内开始按操作票进行送电操作。大型作业应根据调度指令安排2-3组人员分组并行操作。
2.2.7 倒闸操作后评估
在豆庄220kV变电站投运工作结束当后,运维班组对当天工作进行“倒闸操作后评估”,进行工作总结、分析,班组负责人进行点评;针对存在的问题,商定整改措施,落实到责任人,按时整改完毕,评估作业后,现场运维人员共分析出问题4项,需改进行的措施2项,并按整改措施逐一进行落实,将其总结归纳,在今后的各类作业现场中同步执行。
重点评估内容:操作准备工作完备性、合理性;人员分工合理性;操作危险点辨识全面性、针对性;变电站大型倒闸操作用时情况统计分析;操作步骤合理性,并逐步优化;操作过程人员行为规范性。
3.应用效果及效益分析
3.1 应用效果
通过从提前谋划、专业管理、流程运转、指标体系、保障体系的实施推广、大型现场倒闸操作精益化等环节,节约了新建站投运时间、提高了效率、保证了安全、提高了可靠性。
3.1.1 安全效益分析
a.操作票三级审核模拟演练,验证倒闸操作正确率
提前1天与调度值班员进行沟通,并依据变电站启动措施进行操作票填写,对操作票所列步骤进行现场逐步核实。填写完毕后进行归档保存,工区专业管理进行操作票的逐步审核,确保操作票的正确完备。审核完成后,由确定的操作人进行实际设备送电前的演练操作,验证防误闭锁装置正向逻辑和反向逻辑的正确性,验证实际设备操作结果的正确性。
b.精益化操作提高倒闸操作时效
运行人员接令后,操作人打印已经拟好的操作票并在5分钟内进行模拟操作,模拟完毕进行实际设备的正式操作。辅助操作人立即将提前准备的安全工器具摆放到位,节约了操作人在次准备安全工器具的时间,提高了倒闸操作效率。
据统计“豆庄输变电工程启动时间总共不到11个小时,站内设备启动只用用了7个小时,送电时间比实际预计时间快了近4个小时。运行人员出动操作车辆10台/次(除涿州、高碑店220kV站外,还有涿县、下胡良、刁窝三座110kV站的配合操作),期间操作人员分为两组,优化了送电操作流程,改变了以往的顺序性送电模式,实行了结构性送电模式,既一组操作人员执行线路送电任务,另一组操作人员执行站内10kV母线、电容器、站变送电的任务,两者互不影响,不存在交叉操作,大大的缩短了操作时间,运行操作有效作业时间缩短190分钟,一方面作业整体时间有效得到缩短;另一方面通过实施“精益化流程”,在运行作业上,实现了缩短作业时间、规范现场秩序、提高作业效率的目的。
c.倒闸操作精益化促进可靠性指标稳步提升
如:保定公司满城220kV站启动,投运总体时间为13小时25分钟,其主变、断路器、母线、隔离开关上半年的可用系数为99.744%,而豆庄站启动,启动总体时间为7小时,其主变、断路器、母线、隔离开关上半年的可用系数为100%,同比提高了0.083个百分点。
3.1.2 社会效益分析
由于明确了具体的时间节点和配合方法,使得调度、检修和运行人员的工作配合更加顺畅,启动工作在友好、和谐的氛围中完成。检修和运行专业对于工作申请和工作票等问题方面的分歧明显减少了,需要部门负责人之间协调解决问题的情况基本消失了,调度和运行专业互相等靠和埋怨的现象也不再发生了。通过实施“倒闸操作精益化”,在运行作业上,实现了缩短作业时间、规范现场秩序、提高作业效率的目的。220kV豆庄输变电工程的顺利投运,坚定了运行员工执行实际大型现场标准化、精益化的坚定信念。
参考文献
[1]付艳华,王伟斌,周建国.DL/T969变电站运行导则, 2005.
[2]DL/T782 110kV及以上送变电工程启动及竣工验收规程.
[3]国家电网公司电力安全工作规程(变电部分).国家电网安监[2009]664号.
[4]国家电网公司十八项电网重大反事故措施(试行).国家电网生技[2005]400号.
[5]变电站管理规范.国家电网生技[2006]512号.
【摘要】:安全性评价是促进电网整体安全水平提升的重要措施,长期以来在输电网、城市电网及电网调度专业开展,形成了以上专业领域完善的安全评价体系。随着国家电网公司“三集五大”体系建设的深化,作为电网生产运行支撑的信息通信系统正发挥着越来越重要的作用。由于管理机构的设置,机构改革前,信息专业安全性评价偏重于管理信息网络的建设、维护,输电网、城市电网和电网调度系统安全性评价中均未涵盖信息专业,缺少对电力信息专业系统性评价的方法;同时,电力通信专业安全性评价仅作为一个分支专业纳入调度系统安全性评价内容中。
【关键词】:电力系统;信息通信;安全性评价体系;构建;应用
1、评价背景
信息通信安全性评价是依照信息安全标准对信息通信系统及其处理、传输和存储的信息的机密性、完整性和可用性进行科学评价的过程。随着通信技术和信息技术的迅猛发展,信息和通信2个专业在技术层面的趋同性越来越高,通信技术逐步由底层向应用层延伸,信息技术逐步由顶层向传输层扩展。目前,融合的信息通信技术(ICT)已成为发展的主流,技术的融合促进了信息通信架构和业务的融合。坚强智能电网以信息通信平台为支撑,以智能控制为手段,包含电力系统的发、输、变、配、用和调度各个环节,实现“电力流、信息流、业务流”的高度一体化融合,对信息通信的支撑能力和安全提出了更高的要求。
ISO17799标准提供了一个完整的切入、实施、维护和文件化组织内部的信息安全框架,系统地涵盖了信息系统的11个方面、36个目标和134项安全控制,但是由于缺乏指标计算,其可操作性不强。NISTSP800-30与NISTSP800-26是美国国家标准技术局从管理、技术和操作3个层面提出的安全管理方法。信息保障技术框是美国国家安全局(NSA)制定的,为保护美国政府和工业界的信息与信息技术设施提供技术指南。IATF从整体、过程的角度,强调人、技术、操作这3个核心,把信息安全保障分为保护网络和基础设施、保护区域边界、保护计算环境、支撑基础设施4个领域。IATF对我国信息安全工作的发展和信息安全保障体系的建设起到重要的参考和指导作用。ITSEC是欧洲的安全评价标准,将安全概念分为功能与评估2部分,采用了安全分级管理。在信息通信融合的背景下,电力系统信息通信安全性包含更V泛的意义,不仅包括信息安全,还包括信息通信设备、业务应用,同时也涵盖了管理措施、基础设施等方面。电力信息通信安全性评价是一个系统性、整体性、全覆盖的工作。目前电力信息通信安全性评价总体来说缺少系统性和整体性,信息通信分别从各自的需求对安全进行评价。随着“三集五大”战略的实施,电力信息通信承载了信息流和业务流,涵盖了电力信息采集、传输、处理和存储的各个环节,在专业融合背景下,对电力信息通信的安全性评价方案的完善与融合迫在眉睫。
2、评价目标
国家电网公司“三集五大”体系建设深化完善以来,信息通信专业在安全管理方面,缺乏系统规范的手段,无法对专业管理、系统缺陷等方面的安全风险进行全面梳理与管控,部分安全问题得不到及时有效的整改和处置,客观上增加了系统安全风险带来的威胁。构建信息通信安全性评价体系并开展实际应用,需要深入分析和研究信息通信安全管理的现状,剖析存在的困难和问题,形成一整套完善细致的安全性评价标准和评价机制;通过及时找出工作中的薄弱环节,重新梳理管理工作重点和重大安全风险点,有助于指导、细化确定年度信息通信管理工作目标,制定并落实具有针对性的管控措施,实现年度信息通信管理工作的目标化和精益化管理;同时进一步完善“三集五大”建设配套安全管理体系,促进信息通信系统整体安全水平再上新台阶,实现信息通信专业的管理现代化、决策科学化、运维标准化,全面支撑电网和公司各项业务需求和发展。
3、评价内容
基于管理、指标与业务系统三维模型,吸收相关规程、规范和管理制度内容,结合信息通信专业在安全生产管理的工作要求,针对各项安全要素,编制《信息通信安全性评价标准》(以下简称《标准》)。《标准》是查评工作的依据,其主要内容涵盖安全管理体系、建设管理、调运检管理、信息系统安全防护、电力通信系统及设备、信息通信机房及电源设施、应急管理七大部分,评价项目共152项,全面覆盖信息通信规划、建设、调度、运维、检修、应急全过程。评价从安全管理体系出发,明确信息通信安全管理的组织体系、制度体系、安全监督、例行工作和教育培训工作5个方面的具体查评要求;在建设管理环节,着重从设计阶段的信息通信安全管理、开发阶段的信息安全管理、系统上下线与设备接入管理、等级保护测评、信息通信安全监理与现场安全管控五方面强化要求;调运检管理方面分别涵盖调控、运行、检修及其指标的具体查评要求;信息系统安全防护方面覆盖应用系统、网络、主机存储及数据库、安全设备、终端及外设和灾备系统六大部分;通信系统及设备从网络结构与配置、通信设备、重要业务系统与通道、通信线缆等4个方面开展查评;信息通信机房及电源设施重点查评机房环境和电源等辅助设施;应急管理查评组织体系、预案体系、保障体系、处置与评估等4部分。评价总体采用“分小节评估汇总,加权归一化评估”的方法评估。在准备阶段由各层级单位根据自身信息通信专业的实际情况确定评价的范围,在管理现状不适合评估项要求的情形下,可将该评估项列为不参评项,并在对应小节的评分汇总时剔除该项,从而便于提高评价的普适性和通用性,并能够做到对信通专业的全面覆盖,不留死角。因而可适用于电力系统各级单位信通专业安全性评价工作,具有较好的普适性和推广价值。各部分评分分值依据项目所处环节特点设定可较全面地反映出信息通信管理和系统整体安全管控的实际需要。对于不同层级的评价单位,由于部分查评项目的适用性差异,导致评价总分的绝对值差异,因而在查评时,除评分之外还同时出具查评报告,并在报告中对评分数据进行归一化处理。
4、结论
[1]胡涛,黄健,鄢威,等.一种电力生产安全性评价方法研究及应用[J].电力系统保护与控制,2009,37(16):46-49.
教育电子政务工程的具体目标:
建立以服务为中心的教育电子政务平台,提高政府的综合信息服务和网上办事能力;
整合教育政务信息资源,构建集成、共享的教育公共数据库;
统筹规划、统一建设、统一管理,构建集中的教育电子政务基础保障环境;
建立教育电子政务安全防范体系,摒弃失密与滥权隐患,确保网上政务的安全;
建立教育电子政务标准体系和相关的法律法规,并通过认证等手段强调贯彻实施;
建立健全教育电子政务的管理体制,促进教育电子政务的有序发展;
建立健全教育电子政务的建设与运行机制,促进教育电子政务的良性发展。
通过教育电子政务系统平台的建设,最终建成数据集中、应用集成、基础设施整合、标准规范、安全高效的教育电子政务平台,实现教育行政电子化、管理决策科学化、公共服务系统化,全面提高教育公共服务能力和教育管理水平。
针对中央级电子政务系统具体目标,结合过去学校建设的突出问题提出有针对性的中央级电子政务系统的建设思路。
加强顶层设计,协调全局发展:组织进行教育电子政务平台顶层设计,在业务流程梳理与优化的基础上,建立教育电子政务的业务模型、功能模型、用户模型、权限模型、数据模型和系统架构。
强调服务导向,坚持应用驱动:以服务学校、师生和社会公众为目标,以提高政府的综合信息服务和网上办事能力为目的。
整合基础设施,确保稳定运行:在顶层设计的指导下,整合原有基础设施,构建统一的教育电子政务数据中心,制定统一的数据标准和编码规范,提供统一的机房、服务器与存储资源,统一的信息安全保障体系与容灾备份体系,采用统一的运行维护服务。
统一技术架构,促进持续发展:建立统一的IT架构,建立系统开发遵循的统一技术规范。
创新体制机制,建设专业队伍:建立良好的管理体制、建设与运行机制,通过建立科学合理的电子政务工程项目管理制度与规范,推动金教工程的有序实施;通过建立合理的教育电子政务运行服务机制和专业的建设与运维服务队伍,确保教育电子政务平台能够长期安全、稳定、高效地运行。
根据整体规划部署了系统建设的具体措施,包括:
网络建设:升级完善教育部机关局域网(内外网);升级改造CERNET传输网和主干网;
数据中心建设:教育部数据中心、容灾备份数据中心;
门户与软件平台建设:建立教育电子政务统一的门户系统,数据采集与交换平台、工作流管理系统、报表中间件等公共基础软件;
信息资源建设:建立全局统一的各级各类教育基础数据库和信息库;
信息安全保障体系建设:建立网络安全、数据安全、应用安全、终端安全的教育电子政务信息安全保障体系,建立信息安全管理制度和流程规范;
标准与规范建设:完善教育电子政务标准体系,开发标准培训、应用和测试,修订各类教育管理信息化标准;
充分发挥省信息化工作领导小组的作用,切实加强对全省信息化工作的统一领导和组织协调,建立定期会议制度,研究解决信息化发展中重大问题。各级各部门都要建立信息化组织领导机构,理顺管理体制,形成省市县协调联动的组织保障体系。各级各部门信息化工作领导小组办公室,具体负责本地区、本部门信息化统筹规划、综合协调和重大项目推进等工作。
第二,完善推进机制
做好《**省信息化条例》立法和宣贯工作,为全省信息化快速发展提供法制保障。建立信息化与电子政务项目统筹机制,凡使用财政资金进行建设的信息化与电子政务项目,统一由同级信息化工作领导小组办公室负责项目方案审定,提出资金需求,避免重复建设,促进资源共享;由财政部门负责对项目资金进行核定把关,统筹考虑资金安排,保障项目建设。建立电子政务运维保障机制,由省财政厅会同省信息化工作领导小组办公室,研究提出电子政务运行维护资金管理办法及运行维护资金标准,将电子政务运维资金纳入预算体系,保障电子政务系统的正常运行。研究设立信息化统计指标体系,探索建立信息化发展水平统计监测、报告制度和绩效评估制度,逐步将信息化发展水平和项目建设绩效纳入政府考核体系,形成长效推进机制。
第三,加大资金投入
各级政府要做好跨部门电子政务应用、公共信息资源开发、公益性信息化项目以及引导性试点示范等重大信息化项目的统筹规划和集约建设,加大资金投入,确保项目建成达效,形成需求主导、效益驱动的资金投入机制。有条件的地区可设立信息化专项资金。根据省财政收入增长情况,逐步扩大省级信息化专项资金的预算规模。根据国家和省关于企业技术改造的有关政策,积极争取相关资金支持,引导企业加大信息技术改造传统产业的投资力度,拓宽融资渠道,提高企业信息化水平和综合竞争力。建立完善信息化风险投资机制和资本退出机制,探索推进合同能源管理模式在信息化建设中的应用。充分发挥市场机制作用,鼓励社会资本投向通信、电力、交通、农业等基础性、战略性行业和民生领域的重大信息化工程。
第四,提升全员素质
加强对两化融合人才、信息化高级人才的引进、培养和使用,鼓励知识、技术和才能等生产要素参与收益分配,为推进信息化和工业化深度融合提供智力支撑。鼓励高等院校和职业技术院校根据市场需求调整学科和专业设置,发挥社会培训组织的作用,培养满足市场需求的各层次信息化人才。加强党政机关、企事业单位信息化队伍建设,组织开展有针对性的专业培训、技术交流和考察学习。在大中型企业推行CIO制度。加强面向公众的信息化知识宣传普及、技能培训和职业鉴定,提高全民信息素质和能力。在信息产业、信息技术、信息资源、人才培养等领域加强与国外及国内先进省市的交流与合作,学习和借鉴先进经验。
第五,健全支撑体系,完善政策法规
围绕电子政务、电子商务、两化融合、三网融合、信息资源、信息安全、信息产业等方面发展需求,加快制定相关的政策和规章,保障信息化健康有序发展。强化标准支撑。加强国家标准、行业标准和地方标准的宣贯、培训和推广,鼓励现代物流、电子政务、企业信息化等重点应用领域制定信息化相关标准和规范,支持应用单位梳理建立业务框架和信息框架。健全技术保障。探索开展信息化应用项目等级认定,引导信息化服务组织自觉提高设计、研发和服务水平;鼓励和支持大型骨干企业软件及信息服务部门的剥离,建立政产学研用联动机制,整合社会各类资源,构建与信息化相关的研究中心、技术中心、重点实验室和推进联盟等支撑体系,为各行业、各领域提供专业化的技术服务。壮大咨询服务。继续发挥省信息化专家咨询委员会的决策参谋作用,借助专业咨询、行业协会、评测中心等第三方服务机构的优势,为信息化建设提供战略规划、可行性研究、项目监理、评测评估等方面的咨询服务。
应急指挥全网集中调度通信保障全面升级
目前,中国移动已建成的集中指挥调度系统,正在向全国推广运用,可以实现省市资源全网共享。据了解,该体系由四大要素构成:科学的维护职能设置、高效的管理流程和操作规范、信息化的支撑手段、场景化的工作模式。该体系覆盖中国移动全网运维团队,贯穿总部、省级公司、地市级分公司三个层级。
中国移动集中指挥调度系统运用了多种信息化支撑手段,包括电子运维系统(EOMS)、视讯指挥调度系统、OA、短信等。其中最为关键的是电子运维系统(EOMS)和视讯指挥调度系统。以视讯指挥调度系统为例,可实时通达全国31个省级公司及部分地市公司,可实现全方位的7×24小时指挥调度,通过高质量的音、视频效果,提供面对面的现场指挥。同时,通过多画面灵活配置的功能,实现与多个省公司的同时沟通,有效提升调度效率。
据了解,中国移动在运营商中首次引入应用于国家级自然灾害、国防安全和大型公共安全事件的“蓝黄橙红”四级应急预警体系。中国移动根据网络、设备关键性能的变化,将紧急事件分为“红橙黄蓝”四个等级,对于每个等级制定不同的应急调度流程。全网共有数百个“红橙黄蓝”流程,覆盖了所有重要业务、网络和网元。对告警监控、应急调整的每个步骤都有可操作性的明确规定,保证了流程的可执行性。在发现紧急情况并启动了“红橙黄蓝”应急流程后,信息将在1小时内传递至集团和相关省公司,保证了紧急状态下的协同运作。
“天地一体”打造最坚固的应急通信网络保障体系
为了确保特大冰雪、地震、风暴等自然灾害发生后的通信网络畅通,中国移动创新研发并采用抗灾超级基站、高空基站及地面应急通信车,建成“天地一体”的应急通信网络,打造最坚固的应急通信网络体系。
据中国移动有关负责人介绍,中国移动对近50年来各类自然灾害分布情况及对通信设施的影响进行了调研并分类,重点研究了地震、水灾、台风、冰雪等4类灾害对通信设施造成的损毁和影响,有针对性地提高了基站通信设备、电源、传输、土建、安装工艺等建设标准,建设抗灾超级基站。
据了解,新建的抗灾超级基站可以抗9级地震烈度、抗百年一遇洪灾、抗百年一遇冰雪、抗12级台风等重大灾害,做到“地震震不倒、洪水淹不着、台风吹不垮、冰雪冻不坏”。此外,超级基站还采用了光纤加卫星的双路由和双电源备份技术,确保遭遇重大自然灾害后通信畅通。
2009年5月8日,中国移动第一个“超级基站”在四川都江堰投入使用。按照灾害多发地区每个县城建设1个抗灾超级基站的原则,中国移动计划在全国共建设约1500个抗灾超级基站。2009年7月前,中国移动还将完成一批抗灾超级基站改造工作,并将于2009年年底前完成全部抗灾超级基站改造工作。
据了解,“超级基站”即通过氦气艇等浮空器,升空数千米,承载大容量的基站,能实现移动通信广覆盖,在灾害发生、地面交通全阻时,可以快速抵达受灾区域上空,确保移动通信畅通。高空基站有两大优势,一是利用氦气艇等浮空器实现地面交通全阻时的快速布放;二是通过提升基站高度,实现移动通信广覆盖。
