时间:2023-08-29 16:42:25
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络运维管理制度,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
卫生监督信息系统信息安全技术体系建设,严格遵循等级保护第三级的技术要求进行详细设计、技术选择、产品选型、产品部署。技术体系从物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等5个方面进行设计。
1.物理安全
卫生监督中心现有南北两个机房,机房及相关配套设施面积总计160平方米。北机房部署等级保护第三级信息系统,南机房部署等级保护第二级信息系统,实现了第三级系统与第二级系统物理环境隔离。根据等级保护有关要求,机房均采用了精密空调、门禁系统、环境监测系统等设备设施及技术手段,有效地保证了机房的物理安全。
2.网络安全
主干网络链路均采用双链路连接,关键网络、安全设备均采用双机冗余方式,避免单点故障。采用防火墙、入侵防护系统、DDoS系统进行边界防护,各网络区域之间采用防火墙进行区域隔离,在对外服务区部署了入侵检测系统,在交换服务区部署了网络审计系统。在核心数据区部署了数据库审计系统,对网络行为进行监控和记录。在安全管理区部署安全管理系统,实现设备日志的统一收集及分析。
3.主机安全
所有服务器和管理终端配置了密码安全策略;禁止用户远程管理,管理用户必须进入机房通过KVM进行本地管理;所有服务器和管理终端进行了补丁更新,删除了多余账户,关闭了不必要的端口和服务;所有服务器和管理终端开启了安全审计功能;通过对数据库的安全配置,实现管理用户和特权用户的分离,并实现最小授权要求。
4.应用安全
卫生监督中心7个应用系统均完成了定级备案,并按照等级保护要求开展了测评工作。应用服务器采取了集群工作部署,保证了系统的高可用性,同时建立了安全审计功能模块,记录登录日志、业务操作日志、系统操作日志3种日志,并实现查询和审计统计功能,配置了独立的审计账户。门户网站也采用了网页防篡改、DDoS等系统。信息安全等级保护第三级系统管理人员及高权限用户均使用CA证书登录相应系统。
5.数据安全及备份恢复
卫生监督信息报告系统数据库服务器使用了双机热备,应用服务器采用多机负载均衡,每天本地备份,保证了业务系统的安全、稳定和可靠运行。其余等级保护第三级信息系统使用了双机备份,无论是软件还是硬件问题,都可以及时准确地进行恢复并正常提供服务。同时,卫生监督中心在云南建立了异地数据备份中心,每天进行增量备份,每周对数据进行一次全备份。备份数据在一定时间内进行恢复测试,保证备份的有效性。
二、信息安全管理体系
在开展信息安全等级保护工作中,我们深刻体会到,信息安全工作“三分靠技术,七分靠管理”。为保证信息安全等级保护工作顺利进行,参考ISO/IEC27001《信息安全管理体系要求》,卫生监督中心建立了符合实际工作情况的信息安全管理制度体系,明确了“统一领导,技管并重;预防为主,责权分明;重点防护,适度安全”的安全方针,涵盖等级保护管理要求中安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五大方面的要求。卫生监督中心建立了较为完善的信息安全责任制,设立了信息安全领导小组,领导小组组长由卫生监督中心主任担任,成员由卫生监督中心有关处室负责人组成,信息处作为信息安全工作办公室负责卫生监督中心日常信息安全管理工作。信息处设立了信息安全管理岗位,分别为网络管理员、系统管理员、应用管理员、安全管理员、安全审计员、机房管理员,并建立了信息安全岗位责任制度。此外,卫生监督中心依据上年度运维中存在的信息安全隐患每年对其进行修订,确保信息安全工作落到实处。
三、信息安全运维体系
在信息安全工作中,建立信息安全管理制度不是目的,要以信息安全等级保护有关要求指导信息安全运维实践。卫生监督中心结合实际情况,编制了《国家级卫生监督信息系统运行维护工作规范》,从运行维护流程、资源管理和环境管理三个方面进行了规范,将安全运维理念落到实处。运维人员在实际工作中,严格按照工作规范要求。利用卫生监督中心OA系统,建立了统一的服务台,实现了事件、问题的全流程闭环管理(即:发现问题、登记问题、解决问题、解决反馈、解决确认)。年均处理信息安全事件近百件,将信息安全问题消灭在萌芽阶段,有效地保证了信息系统稳定运行,保证了卫生监督中心信息安全目标和方针的实现。
四、信息安全等级保护实践经验
1.规范管理,细化流程
卫生监督中心从安全管理制度、安全管理组织机构及人员、安全建设管理和安全运维管理等方面建立了较为完善的安全管理体系。通过管理体系的建设,为国家级卫生监督信息系统运维管理工作中安全管理提供了重要指导。国家级卫生监督信息系统运维工作从安全管理体系的建设中吸取了很多有益经验,不仅合理调配了运维管理人员,落实了运维管理组织机构和岗位职责,而且细化了运维管理流程,形成了“二级三线”的运维处理机制。
2.循序渐进,持续完善
近年来,随着信息安全等级保护工作机制的不断完善,主管部门监督检查力度的不断加大,信息系统开展等级测评的数量稳步增长,测评覆盖率显著提升。通过统计分析本单位近些年测评的数百个信息系统的数据,可以得出以下结论:一是较早开展等级测评的行业,经过测评和整改建设,测评符合率逐年提高;二是随着等级测评工作的持续推进,近期才开展首次测评的行业特别是基层单位的信息安全工作基础较薄弱,测评得分明显偏低。通过对物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等10个层面的测评结果进行统计,其中网络安全、主机安全、应用安全、系统运维管理等方面的不符合率相对较高,信息系统的建设、使用、运维阶段存在一些较普遍的问题。
信息系统安全保护措施落实情况分析
整体而言,随着等级测评工作的持续推进,党政机关、企事业单位对信息系统安全等级保护的认识和重视程度得到普遍提升,在管理和技术两方面主要采取了以下安全措施:
信息安全管理措施落实情况
在信息安全管理方面呈现出两级分化的特点。一些重点行业的业务信息化程度高、自身信息技术队伍力量足、信息安全投入经费有保障,其安全管理措施一般也能得到有效落实,在机构、人员、制度、建设管理、运维管理等方面均能较好地符合相关标准的要求。这一类的典型包括银行、证券、电力等行业主管部门对信息安全监管严格的几大行业。相反,部分对信息系统管控相对松散的单位如大专院校、在信息安全投入方面得不到充分保障的单位如基层政府部门,其信息安全专业人员的配备达不到标准规范的要求,安全责任部门地位偏低权限不足,很难制定并有效贯彻落实结合本单位实际的信息安全管理制度。
信息安全技术措施落实情况
多数单位通过部署边界安全设备,强化入侵防范措施来提高网络的安全性;通过加固操作系统和数据库的安全策略,启用安全审计,安装杀毒软件等措施,来提高主机安全防护水平;通过开发应用系统的安全模块,从身份鉴别、访问控制、日志记录等方面,强化业务应用的安全性;通过部署数据备份设备、加密措施,加强对数据安全的保护。
信息系统常见安全问题分析
随着等级测评工作的覆盖面进一步扩大,近年来初次测评的单位和基层部门仍发现一些典型问题。
信息安全意识有待提高
很多单位对当前日趋严峻的网络安全形势认识不足,将信息安全工作视为被动应付上级检查、被动应对安全事件的任务来消极对待。一些单位认为取得“基本符合”的测评结论就高枕无忧,完成测评备案就完成了等级保护。由此造成对信息安全合规的落实不够、资金和人员投入不足、重建设轻运维、有制度无执行、有预案不演练等问题,根源还是安全意识薄弱。
信息安全管理有待加强
信息安全管理不到位主要表现在安全管理制度、系统建设管理、系统运维管理等方面。
信息安全管理制度不完善。基层单位信息安全管理制度不全、人员配备不足、授权审批流于形式、执行记录缺失等问题较为常见。部分单位的信息安全管理制度照搬模版,未结合本单位实际进行修订,导致缺乏可操作性。
系统建设管理不到位。系统建设过程中落实信息安全“同步建设”原则不到位。在软件开发阶段较普遍未遵循安全编码规范,导致安全功能缺失、应用层漏洞频现。在系统验收阶段,很多单位仅注重业务功能验收,缺乏专门的安全性测试;电子政务类项目较普遍未按规定在项目验收环节完成“一证两报告”(即等级测评报告、风险评估报告和系统备案证明)。
系统运维管理不到位。在系统运维管理方面,部分单位运维和开发岗位不分,职责不清,存在一人身兼数职现象。很多单位在信息资产管理、介质管理、变更管理等方面缺乏操作规程和相关记录,数据备份策略不明,应急预案不完善并缺乏演练。
关键技术措施有待落实
分析近年来的测评结果,安全技术措施不足问题主要体现在以下几个方面:
在物理安全方面,随着电子政务集约化建设的推进,大量信息系统已经集中到高规格的专业机房,但仍有部分单位自有机房条件简陋,位置选择不规范,出入管理较随意,防盗防破坏、防雷防火防潮能力较差,环境监控措施不足。
在网络安全方面,常见网络和安全设备的配置不到位,如未合理划分区域、未精细配置访问控制策略、未对重要设备做地址绑定等;较普遍缺少专业审计系统。部分单位设备老旧,安全产品本身存在一定缺陷导致无法满足等级保护要求。个别单位用于生产控制的重要信息系统在网络层面未采取必要安全措施的同时,还违规接通互联网,存在极大的安全隐患。
在主机安全方面,部分单位存在弱口令、不启用登录失败处理和安全审计功能、不及时更新补丁、不关闭非必要服务等问题。此外,由于主流操作系统和数据库很少支持强制访问控制机制,相关要求普遍未落实。
在应用安全方面,很多应用软件安全功能不足,缺少身份鉴别、审计日志、信息加密等能力。由于很少进行安全扫描、渗透测试,相当一部分系统存在高危风险,如SQL注入、跨站脚本、文件上传等漏洞,以及弱口令、网页木马等问题。
在数据安全方面,较常见的是数据保密性和完整性措施薄弱。此外,部分信息系统的备份和恢复措施欠完善,缺乏有效的灾难恢复手段。
针对新技术的等级保护测评标准有待出台
随着浙江政务服务网的大力推进,省内各级政务云平台的建设使用已全面开展,有相当数量的电子政务系统已迁移上云。同时涉及城市公共设施、水电气等工控系统密集的行业对等级保护工作越来越重视,对云计算、工控系统、移动APP等的测评需求不断加大。但现有的《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》未涉及云计算、工业控制、移动互联等领域,在测评实践中已遇到诸多不适应情况。针对这些新技术新应用的等级保护测评标准需求已非常迫切。
重要信息系统安全保护对策建议
针对上述存在的问题,本文提出以下对策建议,以供参考。
提高信息安全意识
提高全员信息安全意识是全面提升信息安全保障水平的根本解决之道。要树立全体人员的安全观念,加强信息安全培训。除了通过强化工作考核和安全检查来督促信息安全工作的深入开展,还应通过多种方式开展信息安全政策解读和信息安全标准宣贯,强化对全员的安全意识教育和考查。建议结合一些合适的安全职业技能培训,落实信息安全相关岗位“持证上岗”的要求。
加强信息安全管理
“三分技术,七分管理”,各单位应转变观念,将“信息安全”与“系统稳定、功能正常”同等重视起来,将安全管理要求与自身业务紧密结合,制订完善的体系化的安全管理制度。
在系统建设管理过程中,应要求开发人员遵循安全编码规范进行开发;在系统验收环节,应认真做好安全性验收测试。在电子政务领域应落实国家对电子政务项目管理的制度要求,验收阶段完成等级测评,未通过测评的应不予验收。
在系统运维管理方面,应加强制定信息系统日常管理操作的详细规范,明确定义工作流程和操作步骤,使日常运行管理制度化、规范化。对信息资产按重要性进行分类梳理,建立完善应急灾备措施,定期开展演练,确保备份的有效性。
落实关键技术措施
针对测评发现的问题,各单位应根据系统所定级别,结合自身条件,综合考虑问题的影响范围、严重程度、整改难度等因素,制定整改计划,有步骤地落实相关技术措施。对于策略配置类的问题及时纠正;对于整改难度大、需要添置硬件或修改代码的问题,应在充分测试和试运行的基础上实施整改。对于强制访问控制、敏感标记、双因子鉴别等难点问题,建议国家加强相关产业政策的引导,促进安全厂商研发技术、推出产品,解决市场供应问题。各级主管部门应通过测评、整改、监督检查、再测评的闭环管理,督促关键技术措施的落实。
加快新技术的等级保护测评标准编制工作
目前公安部信息安全等级保护评估中心在牵头起草针对云计算安全的等级保护标准,尚处于征求意见阶段。其余新技术领域的等级保护标准制定工作进度更晚,随着智慧城市、云计算、大数据、移动互联、工业控制等新技术的快速应用,安全标准相对滞后的问题更加突出,应进一步加快相关新标准的制定。
关键词:维护;网络;信息化
1 MDCN运维管理系统平台简介
MDCN运维管理平台的建立,提升信息技术、产品和服务的应用,充分调动相关维护人员积极性、主动性,努力提高网络维护质量,保障了各种业务在MDCN网络上的稳定运行。该平全基于浏览器/服务器(Browser/Server)三层结构体系,客户端为浏览器,服务器端分为应用服务器和数据服务器。
2 MDCN运维管理系统作用
2.1 维护制度管理
⑴维护管理:各项管理制度;⑵维护制度:各项作业计划;⑶系统通知:记录各种通告性文档;MDCN系统平台的各项管理制度可以在此模块中查阅,便于管理、统一要求,提高运维效率。
2.2 日常维护工作
⑴日常监测:记录每天设备CPU利用率、PING响应时间;⑵定期监测:对全网设备做系统、全面、详细的监测,确保系统的正常运行;⑶数据备份:为保证数据正确有效,备份MDCN网的各项参数指标,防止数据丢失;⑷流量测试:记录各业务系统月度流量;MDCN系统的维护工作的具体记录可在此模块中体现,实际工作落实到人,加强员工的责任感。
2.3 系统故障类
⑴故障月报:记录月度全网故障的详细情况及解决程度。⑵故障通知单:故障通知单以各业务系统区分,做为处理故障的依据。⑶严重、重大故障:对业务系统有严重影响故障的专题报告板块。MDCN网的系统故障及解决情况可在该页面查阅,便于工作检查;同时也为今后处理类似故障提供依据,缩短故障排查时间。
2.4 业务申请情况
⑴业务申请单:体现业务系统接入申请到实施全过程进度。⑵承载的业务系统:记录现有各业务系统的使用、运行情况及互通情况。通过该页面可以很好的掌握工程状况,快速开通新业务;根据客户申请,审核接入条件并进行审批。
2.5 月报总结归纳
⑴维护月报:记录MDCN网每月的维护情况,包括网络指标分析、业务流量分析等。⑵割接报告:记录工程施工割接报告。月度的工作情况、系统运行情况、工程进展情况可在该板块中查看,便于检查,有助于加强管理。
2.6 用户申告登记
用户申告:记录各业务系统的用户申告,落实申告的每一项内容进行答复,提供技术支持。
2.7 网络资料
⑴网络平台:提供MDCN网的相关知识资料,提高维护组人员素质。⑵系统配置:备份MDCN网设备的配置。⑶统计资料:记录各项基础资料,主要包括电路、硬件设备、板卡等档案。该页面侧重于MDCN相关技术文件汇总,通过学习加深对MDCN网的理解,提高维护人员整体技术水平,另一方面便于MDCN资源统计。
2.8 FTP服务
提供维护组信息共享平台、上传维护记录、资料备份的渠道。
2.9 业务接入在线审批
⑴提交申请:新业务表单在线填写提交。⑵资料审核:各部门进行审核批复。
2.10 故障报障
⑴故障同步:与MDCN监控软件接口,同步出现网络中各类故障告警。⑵多元告警现实:出现告警,通过语音或短信形式进行告警通知。
2.11 用户管理
⑴登陆权限:不同用户分级别分权限进行管理。⑵设备管理:按权限提供直接登陆设备接口。
2.12 配置备份
⑴自动备份:自动备份设备配置,减少人工备份的繁琐,保证数据安全性。⑵自动保存:备份同时自动保存到指定目录。
2.13 邮件通知
⑴业务接入通知:在线填写竣工通知单邮件发送。⑵故障告警通知:出现告警,在线填写故障表单,发送相关负责人。
3 MDCN网络运维管理系统平台特点
⑴安全与开放相统一;⑵使用简捷高效;⑶安装配置简单;⑷可扩充性强。MDCN运维平台功能涉及到的范围广、部门多、人员复杂,技术体系结构为三层结构体系,可扩展性强,用户使用简单方便。MDCN系统平台具有良好的可扩展性,这种结构均允许系统在多个层面上进行扩展,并且不影响层面之间以及与其它功能模块的关系,从而为系统在功能的纵深度和横向的覆盖面上的加强和扩展打下了良好的基础。
4 市场分析
通过MDCN运维系统管理平台的应用,使网络资源管理体系不断优化升级,充分应用新技术,对系统平台进行革新和改造,有很大的市场需求。通过该平台还增强了MDCN系统的维护高效性、相关信息查询的实效性。
⑴使用用户:主要包括MDCN系统运维人员。用户通过权限管理可以方便浏览相关信息,简单高效的找到所需资源,大大提高了效率;并且保证了信息的统一性、时效性、准确性。
⑵用户管理:系统可以为前台不同的板块设置不同的管理员,板块管理员可以对该板块进行信息的审核、修改、删除等基本操作,可本板块的公告、通知等信息,可以设置重点信息置顶、重要信息加亮等操作。管理员可以设置不同用户的不同权限,充分做到了信息的保密性、安全性。
5 技术分析
MDCN系统平全基于浏览器/服务器(Browser/Server)三层结构体系,系统平台的建设与运行阶段所涉及的硬件、软件与相关技术等,随着网络技术的发展,支撑系统应用的技术日益增多,平台采用了.net技术,数据库采用Windows SQLserver。
技术分析如下:⑴数据仓库与数据挖掘技术在网络活动中主要用于各种大量的繁杂数据的存储与分析,提高数据处理的效率。⑵服务器采用刀片服务器进行扩容,具有投资小,建立速度快、安全可靠、无需软件硬件配置、无需技术支持等特点,对于MDCN系统管理平台升级来说,可节省大量人力物力及一系列烦琐的工作,是一种较佳的选择。可以支持多种服务,如ASP、CGI、PHP、JSP、网站数据库支持、Flash、定期数据库备份等。⑶开发平台:系统的开发程序有.NET、数据库程序等。是Microsoft XML Web services平台。XML Web services允许应用程序通过Internet进行通讯和共享数据,而不管所采用的是哪种操作系统、设备或编程语言。平台提供创建XML Web services并将这些服务集成在一起之所需。
在技术的选择上,系统后期的优化,包括Web浏览器、数据库服务、邮件服务、防火墙与服务器、中间组件、客户操作系统、网络服务系统、商务应用系统在内的软件与硬件设施。
6 经济效益分析
本平台主要是针对MDCN网络开发设计的,其实用性大,费时小,系统成本低,能满足各个业务系统负责人和管理人员的基本需求,具有很高的实用价值。
⑴MDCN运维管理平台的建设为MDCN系统稳定运行提供了强有力的坚强后盾,为业务使用单位节省了资源的开销。⑵提高网络维护水平,发挥带动用户、引导开发、提供信息、推广技术的综合功能,减少用户查询资料的的盲目性。⑶按照区域化布局、专业化分工、规模化运营、标准化管理的要求,进一步优化了MDCN网络维护体系结构。⑷围绕新业务接入、故障信息处理、工程实施进度、信息、日常维护等主要功能,推进了网络维护工作信息化。⑸以较小的维护人员成本,优化维护质量体系,促使网络维护及使用向便捷、快速、高效方面转变;
关键词:典型工作任务;课程设置;双证课程
中图分类号:G642.0 文献标志码:A 文章编号:1674-9324(2013)36-0063-02
一、企业信息管理师职业能力要求调研
企业信息管理师首先是一名合格的企业管理人才,同时还必须具备一定的信息产业知识,其知识结构则要横跨文理学科。职业功能模块可归纳如下:
(一)信息化管理
1.制订信息化战略规划。(1)能够调研信息化的发展趋势;(2)能够调研同行业信息化信息;(3)能够调研企业内外信息化需求;(4)能够调研企业信息化建设条件;(5)能够起草企业信息化战略规划报告。
2.制定并监督执行信息化管理制度。(1)能够编写信息化管理制度;(2)能够监督信息化管理制度的执行;(3)能够检查并分析信息化管理制度的执行情况;(4)能够提出信息化管理制度的调整建议。
3.信息化标准规范设计。(1)能够执行国家、地方、行业信息化标准;(2)能够制定企业信息化标准规范。
4.全员信息化培训。(1)能够制定培训大纲;(2)能够组织培训;(3)能够组织培训效果的评估。
(二)信息系统开发
1.系统总体规划。(1)能够归纳企业各部门对信息系统的不同要求,并撰写初步调查报告;(2)能够起草信息系统总体方案;(3)能够建立综合平台;(4)能够提出系统的总体开发模式,选择合适的开发工具和平台。
2.业务流程调查及优化。(1)能够制定调查提纲;(2)能够制定调查方法;(3)能够制定调查计划;(4)能够组织调查;(5)能够进行业务流程分析;(6)能够撰写调查报告并提出优化建议。
3.系统分析。(1)能够进行系统需求的详细调查与分析;(2)能够绘制数据图;(3)能够编制数据字典。
4.系统设计。(1)能够进行系统的总体设计;(2)能够绘制模块结构图;(3)能够进行代码设计;(4)能够进行系统的详细设计;(5)能够进行数据库设计。
5.系统实施。(1)能够组织程序设计;(2)能够组织系统测试;(3)能够进行系统安装与调试;(4)能够控制系统实施进度;(5)能够实施系统转换。
(三)信息网络构建
1.需求调查。能够进行网络需求调查。
2.网络设计。(1)能够进行企业网络系统的组网规划;(2)能够进行网络数据传输技术设计;(3)能够制定因特网接入方案。
3.网络服务设计。(1)能够制定网络系统的各种服务方案;(2)能够设计各种应用服务器的部署方案。
4.软硬件选型。(1)能够根据软硬件产品的技术性能和价格情况,合理选择软硬件;(2)能够起草招标书,并对投标书进行技术审核。
5.项目实施。(1)能够进行质量控制;(2)能够进行时间进度控制;(3)能够进行网络系统的测试和验收。
6.网络管理。(1)能够制定网络系统管理规划;(2)能够进行网络资源使用管理;(3)能够进行网络系统性能管理。
7.安全管理。(1)能够进行网络系统安全规划;(2)能够进行网络安全配置管理;(3)能够进行网络安全服务管理。
(四)信息系统维护
1.系统软件维护。(1)能够检查系统运行状况;(2)能够解决系统运行中的问题。
2.应用软件管理。(1)能够管理各应用系统的运行;(2)能够排除各应用系统出现的故障。
3.数据维护。(1)能够组织检查数据的存储、更新;(2)能够进行数据安全管理。
4.监督执行信息系统维护和管理制度。(1)能够考核维护人员工作业绩;(2)能够发现和纠正违章行为。
5.系统备份和恢复。(1)能够进行系统备份、灾害防范的规划与实施;(2)能够进行网络系统存储管理的规划与实施。
(五)信息系统运作
1.制定操作规程,能够编写用户使用手册。
2.信息系统运作效果分析。(1)能够分析信息系统的运行效果;(2)能够进行信息系统的效益分析。
3.操作和使用信息系统。(1)能够通过信息系统进行业务管理;(2)能够通过信息系统开展电子商务应用。
(六)信息资源开发利用
1.信息采集内容规划。(1)能够确定信息采集的内容;(2)能够将信息采集的内容合理分类;(3)能够设计信息采集内容体系。
2.信息源布点。能够确定信息源
3.信息采集与传输系统设计。(1)能够设计信息采集方式;(2)能够设计信息传输方式。
4.信息综合。(1)能够筛选信息;(2)能够综合信息;(3)能够进行信息排序。
二、典型工作任务设置
(一)岗位能力分析
根据企业信息管理师职业功能模块对岗位能力进行划分,对其工作过程,工作任务的对象,工具、方法与工作的组织,及对工作和技术的要求等,归纳如下:
1.主营业务流程中,业务财务分析中数据转换;内部业务数据;经理及上游部门;内部信息系统系统录入/输出。
2.客户管理,业务拓展,业务服务、现有产品/服务中客户体验、问题、拓展机会、企业销售管理层指派、目标是保持良好客户关系,保持并扩大业务量,保持竞争地位。
3.信息收信,整理,分析提供和管理过程中的信息安全保密,企业对内对外一切商业活动的保密(营销、宣传、新产品研发等的保密工作)。
4.网站的需求和收集整理,产生需求文档,供后期开发;网站的开发和功能的修改完善,产生系统说明书,方便使用;网站信息的维护和过程,保持数据实时更新。
5.产品研发、测试、运维全过程;项目实施全过程:了解产品/服务过程,记录研发测试运维的客户需求和技术内容。
6.ITO、BPO等企业大量需要桌面外包工程师,向外派企业进行桌面端的全程服务。
7.为企业的信息部门或管理部门提供服务Excel、Access、Sqltrier等常用数据库工具使用。
8.工作任务的对象为计算机及终端软硬件,使用终端软硬件的测试与维修平台。
9.IT信息系统维护。
(二)典型工作任务提取方法
典型工作任务就是要求学生做一件事,但这件事是按实际工作的要求来操作的。可将基于工作过程的计算机信息管理专业的典型工作任务总结如下:企业内部数据维护、客户管理、日常信息安全管理、网站日常运维、技术类文档编写、IT桌面设计、简易数据库设计、终端软硬件基本维护、信息系统维护、中小型信息系统建设、应用软件开发和测试运维。可把计算机信息管理专业人才培养方案中的典型工作任务的知识点归纳概括如下:
1.企业内部数据维护:基本操作知识、常用输入法、应用软件知识、操作系统知识。
2.客户管理:营销策略技巧、企业运营模式、谈判技巧、商业模式。
3.日常信息安全管理:信息安全理论、泄密案例研究、数据库基础理论。
4.网站日常运维:HTML、CSS、Photoshop、Dreamweaver、网站设计工具。
5.技术类文档编写:产品生命周期知识、产品业务相关知识、技术文档规范、软件开发生命周期元素、方法论、规范。
6.IT桌面设计:Internet基础知识、硬件和软件、系统软件、应用软件。
7.简易数据库设计:计算机基础知识、数据库设计教程、基础程序设计知识。
8.终端软硬件基本维护:各种常用办公软硬件、各种pos系统/BIOS、OS:/Window/linux。
9.信息系统维护:OS:/Window/linux、DB:Oracle/MY SQL语言:ASP/JAVA/维护:ITIL、其他:网管。
10.中小型信息系统建设:OS:/Window/linux、DB:Oracle/MY SQL语言:ASP/JAVA开发:CMMZ其他:一体化系统(如Domma)。
11.应用软件开发、测试、运维:软件工程学相关知识、项目管理知识、测试工具与方法、开发工具与方法、了解企业生产工厂管理模式。
关键词:IT运维;运维管理规范;安全运维管理;运维管理自动化
1 企业级数据中心运维管理面临的挑战
如今,作为企业数据传输、计算和存储中心的数据中心,集中了各种软硬件资源和关键业务系统,需要解决很多问题,这也让数据中心的运行管理变得很困难。首先,依据上层业务的角度来看,计算是数据中心的主要任务,所以一定要对性能参数和业务流量进行调整,以确保服务器、数据库、中间件和Web等运行正常;其次,依据基础设施角度来看,要整合管理工具并在一个平台内对路由器、交换机、服务器等设备进行管理,以满足数据中心可视化管理的要求;再次,依据运维和服务的角度来看,数据中心各个方面的服务质量和服务流程是影响业务部门业务的直接因素;最后,依据技术发展趋势方面来看,一定要将软件和硬件管理好,使得数据中心的各项指标标准化后,可以完成自动化目标。这一过程需要灵活的管理机制和方法,让各方面协调起来并不容易,企业数据中心管理人员要予以重视。
企业级数据中心运维管理具体来说就是系统进行规划、协调、控制一达到信息系统服务的标准,是信息系统服务有关各项管理工作的总称,它主要分为以下五个阶段:
(1)数据中心战略阶段:这一阶段要在资源设施的基础上分析业务目标,明确IT与业务方案,为数据中心提供规划和发展的蓝图,再进行高级执行规划。
(2)数据中心设计阶段:要依靠先进设备和高新技术,统计数据中心各项数据,规划工程体系结构、治理模型。
(3)数据中心转换阶段:是协调新数据中心尽快运作起来,要在数据中心建设实施的时候就进行相关的物理设备部署、试运转、验收等动作,让新数据中心快速的转人生产运行阶段。
(4)数据中心运行阶段:依靠自动化管理软件,管理复杂异构数据中心环境,为端口提供服务器、存储、网络以及审计、应用等管理。
(5)数据中心持续改进阶段:通过ITIL/ITSM进行实践,选取最佳的实施方案和评估制度,并在新IT技术和外包选择的基础上,持续不断的提升数据中心的服务质量,实现成本中心向创中心的转变目标。
所以,数据中心生命周期法是一项重要的管理原则,通过它可以有效的管理数据中心,这对于数据中心管理的运营和服务的改进意义重大。从整体上来看,数据中心的运维管理主要有运行和持续改进两个阶段,不过这一过程所需要的时间较长,需要投入一定的精力才可以管理好,充分发挥出数据中心的作用,确保数据中心业务系统应用达到更好的效果。
2 企业级数据中心的运维管理规范
运维管理规范了相应的数据中心运维服务原则和基本要求,能够推动数据中心服务框架的构成。数据中心运维服务规范的制定,可以根据规范需求选择相应的提供商,并对其服务进行评价,进而督促提供商提高服务质量,进一提升数据中心运维服务,提高工作效率。
机房基础设施、网络及网络设备、服务器及存储、软件、数据是企业级数据中心服务的对象。数据中心服务有例行操作、响应支持、优化改善和咨询评估等服务流程。需要根据约定条件和服务规定来进行监控和防护、检查等作业,根据不同的响应前提,可以分为事件驱动响应、服务请求响应和应急响应。适应性改进、增强性改进和预防性改进是优化改善服务的三个形式,按照客户的要求可以进行相关的服务方案和运行系统管理,对服务对象的运行状况、运行环境进行现状调研、系统分析和评估。
3 企业级数据中心的安全运维管理
根据系统的重要性网络安全、密集程度等因素企业级数据中心可以分为安全域和实施信息安全等级进行保护。根据不同的需求可以对信息安全资源进行优化整合,构建数据中心应急响应系统和灾难备份系统,将信息安全设备的作用充分发挥出来。不断的提升保障体系建设,并逐步的完善相关的安全机制,根据相应的安全管理制度,加强数据中心安全和防护能力。所以,企业级数据中心在进行安全体系建设时要结合实际情况,采取相应的安全措施,依法办事,让安全防护体系的构架更完善。
4 企业级灾备中心的运维管理
一般大型的数据中心中都会有灾备中心建设,在进行建设灾备中心以后,就可以管理相应的中心运营制度,主要有灾难报告、灾难恢复的审批及处理、日常备份等运行管理制度,应用好这些制度能够保障灾备业务的照常运行,并能够有效的支持灾备工作开展,发挥其最大的作用。灾备中心运营管理是一个复杂的过程,需要专业的管理和运营制度。
5 企业级数据中心运维管理的自动化
从总体上来说,数据中心需要通过自动化的方式解决成本加大、运作复杂、数据架构等问题,以满足相关标准和客户需求。实现数据中心的自动化管理是数据中心的发展方向,如今IT服务管理成本逐步加大,其运维风险也不断升高,所以需要通过数据中心自动化管理实现IT运维自动化,让IT团队实现资源转型,提高服务水平。
6 结束语
降低人工操作的失误率,加强对于整个系统的监控,让运作更加简单,是企业级数据中心运维管理的重要任务。同时,加强企业级数据中心运维管理还能够节省人力,让相关的技术人员可以全身心的投入到系统、流程的优化工作中,逐步实现数据中心运维管理自动化,节约成本,企业通过数据中心的自动化管理能够更安全、有效的展开工作,适应时展的需求,并得到长足的发展。
参考文献
关键词:高校;信息化建设;无线网络安全;运维对策;
进入21世纪之后,互联网技术迎来了飞速发展的时期,越来越多的互联网技术应用到了生产生活的各行各业中,可以说新时代的信息化建设改变着我们的生产和生活。而随着我国"网络强国"战略的不断推进,"互联网+"模式与各个行业间的融合度越来越高。
高校信息化建设对于现代教育发展的意义重大,在课堂上,老师可以使用信息化手段进行授课;在业余时间,学生们还能够在互联网上浏览各种各样的学习资源;甚至于很多的高校还提出了线上直播课程,信息化建设带来了更加多元化的教学手段。但是,在高校信息化建设中,在安全上仍然会存在一些问题和漏洞,因为网络具有公开、共享、实时的特点,因此网络安全问题必然需要引起足够的重视,近些年,无线技术在多个场景下得到普及,在高校场景下无线技术的应用一样非常重要。无线终端设备比如手机、笔记本等已经成为高校生活里的必不可少的学习生活设备,传统的有线网络接入受制约性明显的情况下,在特定的场景下比如图书馆,自习室,食堂等地方通过无线网络的形式进行网络覆盖,对于提升高校信息化建设至关重要。然而,在高校信息化建立中无线网络服务的安全问题不容忽视,一方面,需要提高无线网络的服务质量,保障无线网络的全时段通畅,并满足全校师生的无线网使用需求;另一方面,无线网络要重视相关的网络安全建设,切实保障高校网络的安全,并为高校信息化建设提供网线网络安全保障。基于此在累积高校信息化建设经验基础上,探析无线网络安全问题及运维策略显得尤为重要。
1 高校信息化建设中无线网络安全问题
在高校信息化建设中,通过对无线网络的建设,最主要的目的是解决了有线网络接入的一些限制问题及异常问题。高校无线网络具有开放性的特点,在多个场景下甚至校园全域均需要具备无线网络的接收能力。在无线网络建设初期,网络的覆盖范围为工作的重心,在校园内存在信号弱的地域内,进行重新预设,实现对信号的补充,保障校园各个区域都能够接入网络。而随着高校无线网络建设规模的不断扩大,用户的不断增加,结合实际建设的情况,将高校无线网络的安全管理逐步调整成为高校无线网络建设的工作重点。高校无线网络安全管理是一个系统的工作,需要结合高校的无线网络设计形式以及网络模式等进行有序的安全管理工作。下面对目前高校信息化建设里无线网络常见的安全问题进行分析:
(1)非法用户侵入。开放性是无线网络设计的主要特点之一,但是在日常的实际安全管理中经常出现非法用户侵入的问题。非法用户侵入之后,对高校无线网络用户的用户信息甚至账号、账户信息都会构成威胁,很有可能导致教师或者学生的信息泄露。另外,由于在非法操作下会占用大量的无线网络资源,就可能导致高校现有的内部系统稳定性受到影响。
(2)数据泄露。在大数据时代,高校教学管理体系中各类的教学数据是不可或缺的重要资源。为此,在无线网络建设中需要规避利用无线网络漏洞盗取高校教学数据资源的问题,这项工作是高校信息化建设的重要环节。然而,全国各地众多的高校均发生过个人信息、教学资源、管理资源等外泄的事故,造成这种问题的主要原因一方面是数据结构不稳定,另一方面在于无线网络漏洞,不法分子利用网络漏洞将这些数据传送至系统之外,给高校带来了巨大损失。
(3)系统瘫痪。无线网络的在使用中会有一定的限额,一旦同时使用的用户过多,超过了能够承载的限额,高校无线网络可能会出现瘫痪的问题,而造成这种现象的原因主要是因为无线网络在建设中设备配置存在问题,通常是在无线网络建设时没有对区域内的网络运行及网络服务需求有全面的考量,再加上高校内无线网络使用的频率存在高峰期和低谷期,一旦在高峰期出现大量用户同时使用,就可能存在上述瘫痪的问题,并严重的影响我国高校信息化建设的效果。
(4)网络监听。很多不法分子利用无线网络开放性的特点,通过不法手段窃听重要信息内容后,对高校用户进行恶意敲诈和勒索。如此一来,对高校的声誉会造成不良的影响,同时对高校教师和学生的个人隐私信息的保护带来隐患,甚至影响到用户的安全问题。
(5)其他安全隐患。网络安全管理本身是一项对于高校信息化建设里具有积极意义的工作,结合高校的无线网络设计模式,可以发现其实很多高校存在安全性低的现象,有些无线接入点的设置就没有考虑安全问题,在网络认证形式上一样存在缺陷问题,只有具备MAC认证,才能达到信息普及的效果。目前,国内高校配置高级的802.1x认证协议的并不多见,因此,对于一般校园无线网络来讲,还需要一套更加完善的安全体系。
2 高校信息化建设中无线网络运维对策
通过对高校信息化建设过程中无线网络安全问题的分析,我们可以知道非法侵入、数据泄露、系统瘫痪、网络监听等是当前常见的无线网络安全问题,那么我们需要从这些问题的实际情况出发,寻求解决问题的相关运维对策,达到提升高校无线网络安全的目的。
(1)合理应用无线入侵检测技术。近些年来,无线网络技术对于入侵技术有一定的要求,要求无线网络的安全管理人员要能够掌握检测技术的种类,并通过对无线网络进行检测和分析,对非法侵入的类型进行判断。为了保障高校网络的安全和稳定,在日常加强监控和分析的工作之外,需要以无线入侵检测系统为基础,了解MAC地址概况,找到伪装的WAP无线上网用户,不断强化防御系统的管理。
在高校信息化无线网络建设中,要建立起完善的认证访问控制形式,通常高校无线网络用户分为两种一种是固定用户,另外一种是流动用户,结合实际的需求和用户分析,以安全界定为基础,采用802.1x认证方式对用户进行认证,针对现有认证管理的注意事项,需要做好协议分析工作。
(2)加强数据安全管理,制定信息化安全制度。为了保障高校信息化建设中老师和学生个人信息安全问题,避免个人用户信息外泄事故的发生,并保障高校教育教学数据资源的安全和稳定,必须在高校信息化建设中加强对数据安全的管理工作,大力推行信息化安全管理制度。在无线网络使用频率不断增加的背景下,数据传输的安全是必须要全力保障的,并要时刻关注数据传输动态,并配置相关的安全管理机制,全面阻挡数据流通外泄的问题。在进行数据安全管理的制度里,要实行责任机制,从制度上完善监管机制,加大监管力度,营造良好的无线网络安全的环境。
(3)做好系统运维,制定应急预案。高校信息化建设要以无线网络为中心制定相应的系统运维计划,要不断优化系统承载能力,定期分析用户使用需求和系统服务能力的关系,一旦发生系统瘫痪隐患,要快速拓展无线网络的系统服务能力,同时要避免同一区域内网络共频的问题,避免多种网络的相互干扰,造成系统稳定性降低的问题。在做好日常系统服务能力运维监控的同时,为了进一步降低无线网络系统服务瘫痪的风险,提升无线网络服务质量,结合各个高校的实际使用情况,要制定相应的应急措施,以前瞻性的措施对可能存在的潜在风险进行提前预防,保障高校无线网络系统的安全稳定运行。
(4)完善现有虚拟专用网络技术。虚拟专用网络技术指的是在开放性的公用网络上建立专用网络的模式,以加密系统和隧道的形式的应用安全为基础,保障无线网络使用的安全性。虚拟专用网络形式具有突然性的特点,能够有效保障网络的整体安全性。具体实施阶段需要在VPN建设完成后,提供计费以及用户认证的服务,以此来保障无线网络的安全性提升。
(5)提高网络安全管理技术水平。在无线网络建设和后续的安全管理中,提升安全管理人员的安全技术水平及安全意识是重点工作。不仅要求安全管理工作人员能够掌握安全管理的类型以及注意事项,还需要掌握足够的故障维修及突发事件处理的能力。对于无线网络的安全管理工作人员来说,安全意识和技术水平一样重要,要不断提升工作人员对无线网络安全问题的重视程度,明确责任人制度,切实保障高校信息化建设无线网络的安全运作。
(6)优化高校信息化建设无线网络安全管理制度。根据高校信息化建设无线网络安全管理的需求,要制定相应的规章制度,以制度来约束个人使用无线网络的行为。具体规章制度包含《无线网络升级管理制度》、《软件更新准则》、《网络数据资源管理办法》等,同时依托高校各个教育管理部门,定期组织相应的无线网络安全培训,提升高校广大师生的安全用网意识,并规范自身的用网行为,加强网络安全管理自主性,发挥师生无线网络安全管理主体能动性,削减无线网络安全管理阻力,为解决各类无线网络安全问题铺平道路。
3 结束语
综上所述,当前在高校信息化建设的过程中,对校园无线网络安全管理有更高的要求,结合实际要求可知,在无线网络安全管理中要明确注意事项及运维策略。可以说无线网络的问题频繁出现已经成为影响信息化高校建设的重要障碍。针对文中一系列的无线网络安全性问题,需要广大高校信息化工作者们加强数据安全管理,防侵入系统建设,信息化安全制度的优化,无线网络系统的优化等多种运维对策加以应对,提高无线网络安全稳定性,继而推动高校信息化建设健康发展。
参考文献
[1]陈亨坦。浅谈无线网络安全防范措施在高校网络中的应用[J]中国科技信息, 2008(17):90+94.
[2]杨川。高校无线网络安全问题及防范措施[J].计算机光盘软件与应用, 2014, 17(15):207+209.
[3]杨。基于大数据环境下的高校档案信息化建设分析[J].兰台内外, 2021(5):7-9.
关键词:信息技术;信息运维管理;创新
中图分类号:TP311.52 文献标识码:A 文章编号:1006-8937(2013)17-0057-02
所谓“信息运维管理”,是指单位信息部门采用相关的方法、手段、技术、制度、流程等,对于信息运行环境、信息业务系统和信息运维人员进行的综合管理,其系统支撑也就是所谓的信息运维管理系统。最早的信息运维系统出现在20世纪80年代的英国,最早是为英国政府部门开发的,但很快就在英国的众多企业中得到了广泛的应用。而我国企业生产为了将信息化与自动化高度整合,进而实现多层次生产、全方位管理的协调发展,也采用了相应的IT管理系统,不断改善信息运维管理,建立综合信息化运维管理体系,极大地提升了企业数字化管理的效率。但由于管理模式的限制,我国的信息运维管理仍存在一些问题,亟待管理人员、技术人员不断创新进行系统改革。
1 当前我国企业信息运维管理的现状
IT管理系统的应用,使信息系统逐步成为企业生产经营不可或缺的组成部分,也成为保障企业安全生产的重要因素。但由于大量的信息数据,信息运维管理系统在工作时经常出现一些问题,主要可以归结为以下几个方面:
①运维管理人员经验不足,能力有待提高。随着信息技术的快速发展,企业的信息系统数量不断增多,为了更好地管理大量的数据,企业便会不断对信息运维管理系统进行调整,而运维管理人员没有接受及时的培训或进行相关方面的学习,对信息系统的维护与管理不清楚,就造成了系统技术与人力管理不协调。一旦信息运维管理系统发生故障,或有突发状况,由于管理人员的经验不足,专业技术指向性不强,便会造成信息系统的维护不及时,导致企业信息数据流失甚至财产损失,不利于企业的长期稳定发展。
②系统运行不稳定,缺乏安全保障。企业为了适应信息化的要求,采用了IT管理系统,但面对大量的信息数据,IT环境仍不够安全可靠,信息数据的挖掘深度和广度都不够,极易发生信息失真,缺乏一套完整的信息数据安全保障系统的支持,并且系统的运行过于依赖人,关键人员的流动往往会引起信息系统的大幅度波动。此外,尽管网络、服务器、数据库、应用软件等都达到了99.5%的可用性,但仍意味着一年要有十多天的停机时间。
③信息系统的检查不及时,缺乏力度。信息自动化系统,具有复杂性、综合性及连续性等特点,使得信息运维管理系统始终处在波动状态,运维管理人员总是处在“救火”状态,哪里有问题就去哪里补救,处于被动的服务状态,疲于临时故障的解决,缺乏对运维系统的整体巡检,更是对如何有效地防范和应对问题没有系统的认识。此外,IT部门缺乏相应的应用和服务支持,信息数据审核不严谨、数据收集不及时,造成信息混乱与缺失,不便于企业对信息的整理与分析。
④运维管理制度不够规范化、系统化。信息系统中的问题,归根结底是缺乏一套具有科学合理的技术体系设计、功能方便的运维管理系统来支持信息的自动化管理。由于信息运维管系统在我国企业的运用尚未完全普及,国家也没有制定出完善的运维管理制度,致使管理系统缺乏技术、制度的支持,系统的服务质量与业绩也没有量化的标准,不利于对管理人员的内部管理。
2 信息运维管理的创新对策
建设一套“功能完备、架构合理、安全稳定、规范标准”的信息运维管理系统,对推动企业自动化、信息化管理有重要的意义。而随着信息技术的发展,越来越多的企业部门开始反思如何更好地开展IT管理系统,提供更好的运维手段来支持业务高效、稳定、安全的发展。要实现其的创新管理,可以从以下几个方面入手:
①加大对管理人员的技术培训,挖掘其自身潜力。信息技术的发展与时俱进,不断变化。要想将信息技术与人力运维管理有机的结合起来,这对人才的能力有了更高的要求,需要企业的IT部门加大对人才的选拔,不可过于依赖于某个人,同时注重对员工的技能培训,不断加强其自身对知识的接受与学习能力,以适应现今竞争激烈的社会。此外,适时地绩效审核是不可或缺的,一方面,可以对员工过去一段时间的工作成果进行整体评价,便于及时发现其工作失误或优秀方面,可以提高员工工作的积极性和责任意识;另一方面,可以对员工的未来业绩进行制定,以挖掘其自身潜力,利于企业的工作质量和效益的保证。
②设立信息数据安全保障体系,加强风险防范。IT系统的管理需要技术保障,随着信息技术的不断创新,运用有效的运维支持系统来保证信息数据的收集、存储和分析是一个必要的技术保障。如目前最新的信息安全保障体系是SD-DSM系统,它是全球最先进的三位一体电子存储数据安全保障体系,该体系由两套硬件设备组成,分别为SD-DSM-A及SD-DSM-B模块。SD-DSM为单位信息化保障建设提供纵向深度防御和横向容灾实时恢复相结合的全面解决方案,涵盖了前预防(离线备份)、中守护(数据恢复)、后防泄密(数据擦除销毁)三个方面。三个方面的立体防护保障体系为单位使用服务器、办公电脑、笔记本电脑、移动硬盘等电子存储数据打造了最低风险的稳定运行环境以及无责任事故的单位信息安全体系。通过先进技术的运用,可以尽量将风险降到最低,减少不必要的经济损失。
③深入检查信息运维管理系统,进行事前准备。信息数据量多、信息管理工作繁杂,是每个企业IT部门面临的问题。面对海量的数据,企业能做好的就是加强对信息数据的审核,IT部门要不断及时、深入地巡查信息运维管理系统,尽早的发现问题,并及时更正,对所出现的问题要进行记录和总结,制定出有效的防范和应对方案。在信息数据整理好后,再由IT部门交由其服务部门进行审核、更正,以加强信息的准确性。
④完善信息运维管理制度,建立科学合理的管理体系。IT管理主要是各种技术管理工作,像服务器管理、网络管理、系统软件管理和信息台账管理等,而为了更好地开展信息运维管理工作,需要将技术管理转化为流程管理,再将流程管理转化为服务管理,以满足客户的需求,创造更人性化的服务。同时,为了建立起具有行业特点和企业特色的运维管理系统,实现运维管理的及时性与主动性,就需要建立专门的运维中心,便于所有数据的集中存放与管理。此外,国家和企业也要制定相应的运维管理制度,制定一套完善的信息运维管理体系,严厉打击破坏、偷窃他人信息的行为,鼓励更多企业加强技术的更新,加大对信息运维管理的投资力度与专业人员的技术指导,加强其程序操作的规范性、合理性。
对于一些大型企业,信息设备和信息系统复杂多样,单靠人工管理他们的运行和维护情况已不可能,这样就需要一套切合实际的信息运维系统来辅助单位信息中心进行自动化管理,不断完善信息运维管理系统,实行创新化管理,提高管理人员的素质培养,设立安全可靠的信息保障体系,深入检查信息运维数据,将会极大地促进企业的信息化、数字化发展,实现企业的自动化管理,也对信息运维管理系统的稳定运行有着重要意义。
一、前言
县级供电企业是国家电网公司的基层单位,其信息通信管理处于电网企业管理的最基层的执行地位,管辖的电力基础设施是有电力通信传输网、电力信息网、电力数据网组成,在通信网络上搭建信息网和数据网,支撑电力业务的信息安全运行。如何使信息通信满足企业安全生产,经营管理的需要,必须建立统一、集中管理的一体化模式,实现信息通信专业管理由条块分割向协调统一,由分散粗放向集中精益的根本性好转。
二、现状分析
(一)信息网现状分析
通过实施局域网改造项目,将核心交换机与通信接入设备的链路,由原来的单链路改造成双链路,实现核心交换机之间千兆连接,增强与变电站、供电所及各部室的宽带连接,完善网络管理,保证网络的可靠、高效运行。无论信息网络、还是通信网络建设都是一项重要的工作,对信息和通信网络融合进行有效管理,不仅可以提高网络系统的稳定性,还可以大大减轻运维的工作量。
(二)人才队伍现状分析
根据国家电网公司“SG186工程”,县级供电企业信息化建设需实施“6个保障体系”,即信息化安全防护体系、标准规范体系、管理调控体系、评价考核体系、技术研究体系和人才队伍体系。信息通信班组主要负责通信网的运行、维护、检修;信息通信系统运行监控、检修和日常维护;上级公司生产经营集中部署的应用系统、局域网和机房设施的监控和运维,公司内外网桌面终端管理和运维,电视电话会议技术支持。人才方面,全面提高信息通信运维人员的综合能力和素质,淡化专业分工,培养“一专多能”,多专业兼顾的复合型人才,按照信息通信行业特征,突出专业化的业务实施,为电力系统提供强有力的人才支持。
三、实施专业化管理
(一)加强资料管理提升软实力
准确完善的运行资料是提升班组管理的软实力。信通设备资源管理是一项庞大的数据系统工程,要实现资源的共享,建立并及时更新设备信通台账,做到对通信设备的的全生命生命周期管理。积极推行设备状态检修,确保设备运行的可控能控在控,有效的提升设备健康运行水平。进一步加强班组运行资料的整理归档工作,各类图标资料做到绘制精细化,修改滚动花,现场同步化,大大提高班组运维管理水平,更好的为全公司提供一个安全可靠地稳定的通信平台。
(二)加强技能培训提升员工素质
统计分析,县级供电企业从事通信的技术人员无论从年龄结构,还是学历层次、职称级别、技术等级,都处于相对弱势,整体技能素质不是很高,制约了公司信息通信运维创新的发展需求,通过加强技能培训,来切实提高运维人员的综合能力和通信网络的运行管理水平,确保电力通信网络的安全。在制度上,将标准化班组建设与学习型班组建设有机结合起来,搭建交流共享的学习平台,广泛收集积累外、内部信息和知识,在班组中营造浓厚的学习氛围。要注重新知识的推广培训工作,确保班组全体人员掌握先进的技术。班组要建立常态岗位练兵机制,加大学习理念的宣传教育力度,采取问答、考试、比武的方式,激发员工在工作中学习、在学习中工作的积极性和热情。
(三)加强绩效管理提高工作积极性
完善管理制度,提倡一岗多能及专业融合,全面提高工作效率。制定阶段性职业生涯,合理设置职业愿景及阶段性职业发展计划,做到近期有目标,长期有愿景,促进员工在日常的积累进步中实现职业生涯的健康发展。制定绩效考核制度,鼓励技能提升专业融合,针对分工完成情况,结队帮带,制定切实可行的考核制度,对每项制度完成情况进行打分,当月完成情况好的给予绩效加分,与工资奖金挂钩,鼓励员工对各项制度的落实。
(四)加强一体化管理推动相互融合
近年来,供电企业信息、通信技术取得了很大的进步,传统的通信专业和信息专业界限被打破,信息通信技术相互交融性很强,新技术与新应用进一步推动了信息通信的相互融合。通过整合信息通信资源,深入开展信息通信系统适应性调整和完善提升,加快构建信息通信一体化管理,建设和运维体系,提升集约化、扁平化、专业化管理水平,全面支撑坚强智能电网和“三集五大”体系建设。随着智能电网的发展,对通信网络管理和信息安全防护提出了新的要求。企业的信息化水平是衡量企业现代化水平的重要标准,信息系统逐渐集中,对信息网络通道的安全、可靠提出了更高的要求,需要大量的信息设备终端维护工作及信息安全保障工作。在通信专业管理方面,主要职能为引进先进的通信技术,规划通信网络,提供各类可靠通道。信息通信专业一体化管理后,网络统一规划建设,统一运维管理,合理使用网络资源,避免了重复运检,节约了人力、物力资源,消除了跨专业管理的真空,减少了消除故障的时间,提升了信息运维管理工作效率,减少了网络边界安全隐患,提升了网络安全管理的指标,为数字化、信息化电网提供强有力的支撑。
信息通信专业融合建设是一项复杂的系统工程,涉及到环境、网络、系统、业务各层次的管理,以及对人员的培训教育与管理,不能一蹴而就,需要“统一指挥,反应敏捷、协调有序、运转高效”的管理机制,切实提高信息通信系统运维水平和工作质效,确保信息通信一体化管理体系在电力生产中发挥重要作用。
四、结语
电力信息通信作为电网支撑平台,在保障电网安全运行,市场经营和公司现代化管理等方面发挥着重要的作用,信息通信管理需要规范化的管理、专业化的队伍、系统化的技能,才能打造更加稳固坚强的管理技术支撑平台,推进公司管理水平持续提升。
1、电力营销IT运维管理现状
为了实现智能化、自动化、人性化营销服务需求,国内供电企业IT信息化系统建设正处于高速发展的阶段。电力营销、生产、人力资源管理等主营业务系统也逐步向系统化、网络化方向发展。目前,很多供电企业所建立的电力营销IT监控运行系统和IT服务管理系统,基本上沿用常规面向设备服务的管理体系,没有现代智能营销直接面向服务对象的运维体系。常规面向设备服务的运维管理模式,很难从整体系统较多对整个营销业务系统的可行性、可用性、以及健康状况进行动态测评,也就很难将用户人性化服务有效考虑其中,无法实现面向电力用户的业务服务水平进行动态两户评估分析,从而造成营销运维管理长期处于“被动”局面,在系统功能结构、数据处理等方面均已不能满足现代日益扩展的面向电力客户人性化服务的营销运维管理工作需求。因此,结合电力企业营销运维管理实际情况,整合现有的营销监控运行和服务系统,从网络化、系统化、人性化等方面强化营销运维系统的分析应用功能,进而实现全面面向电力用户服务的集中运维管理体系,对电力企业而言就显得非常必要[1]。
2、电力营销IT运维管理体系主要实现功能
电力营销IT运维管理体系,是指电力企业营销管理部门,通常采用相关的运行维护管理方法、技术手段、规章制度、操作流程、以及文档资料等的优化,通过IT运行环境(包括运维管理硬件环境、网络环境、高级功能应用软件环境等),实现对营销业务系统和运维人员进行综合系统管理。电力营销IT运维管理体系在构筑过程中应从以下方面进行考虑:
(1)设备的运维管理:对网络设备、服务器设备、PC电脑、计算机辅助设备等的运行工况状况进行动态监控运行和维护管理;
(2)应用软件的运维管理:对营销过程中各种高级应用软件如:数据库、操作系统、WEB浏览器、邮件、以及营销系统中各种通用或特定的服务监控软件系统进行运行维护管理;
(3)数据运行管理:对系统运行数据、业务数据、操作事件等信息,进行统一的存储、备份、以及恢复等管理;
(4)业务信息管理:对营销事件中发生的各种信息数据、系统运行工况、业务流程、业务操作完整性、以及业务办理实施全过程,进行动态监控与管理;
(5)系统运行安全管理:针对电力企业营销过程的行业特点、运行维护系统安全、环境安全、数据信息安全、管理权限保密控制等进行安全管理;
3、“主动式”营销运维管理模式构建
3.1优化营销业务服务流程
优化营销业务运维管理服务流程是为了规范运行管理和检修维护操作技能流程,既要根据营销运维管理制度实际功能需求,建立完善可靠、科学合理的营销业务运维管理服务流程。通过营销业务运维管理流程的优化改进,可以使日常的运维管理工作更加流程化、系统化,使运维管理人员角色更加清晰化,从而有效提高营销业务问题的解决速度和质量,使整个运维管理体系中信息数据的相关技术和信息资料更加畅通和透明,使实际营销服务信息更为完整化、灵活化。营销业务运维服务流程,涉及到整个营销业务的事件管理、问题管理、配置管理、变更管理、以及管理等五个核心运维管理业务流程。在“主动式”营销运维管理模式建立过程中,要充分结合国家电网公司“两级三线”的可靠运维体系模式,根据营销业务实际功能需求,通过梳理优化运维业务、工作票、操作票等与营销业务服务相关的运维管理流程,确保整个营销服务业务运维流程能够按照国家电网公司相关技术标准进行建设运行[2]。
3.2建设高质优质营销业务技术支撑平台
随着“SG186”工程,电力营销业务应用、营销智能分析与辅助决策系统、用电信息远程集中采集系统、以及营销动态稽查监控系统在电力营销领域中的建设和普及,同时考虑智能电网建设营销服务功能系统等需求,建设高质优质营销业务技术支撑平台,已成为“主动式”营销运维管理模式构建需要考虑的重要内容。因此,电力营销相关部门在进行营销运维管理模式建立过程中,面对越来越艰巨的运维管理任务和服务功能需求,应充分借助现代电力信息技术,从精细化、精益化、科学化、网络化、系统化等运维管理方面,建设高质优质的营销业务技术支撑平台,具备对各类运维事件信息的全面采集、动态运算分析处理能力,实现营销运维管理系统运行维护工作的智能化、自动化、高效率目标,有效提高整体营销业务运维系统的运行维护管理水平。
【关键词】供电公司 运维管理系统 研究 应用
近些年来人们对电力资源的需求在不断的增加,电力行业呈现出较好的发展趋势,电力公司也随之增多了起来,电力公司的规模也在不断的扩大,为了方便电力公司管理工作的进行,电力公司开始应用了网络信息技术,具体的应用方式为建立运维管理系统,并且涉及到了电力公司的供电分配和生产经营等多个方面。
一、供电公司运维管理系统存在的问题
(一)供电公司运维管理系统存在不合理性
供电公司中的运维管理系统一般都是由供电公司项目管理人员与项目管理工作一起进行的,在这样的管理任务分配中,很容易出现偏重项目管理工作忽视运维管理系统工作的现象,另外从事项目管理工作的员工具有一定的注重技术性,因此在运维管理系统工作中容易忽略其运行的系统性。
(二)运维管理系统缺乏条理性
供电公司的运维管理系统大多数是在电力公司已经运营一段时间后才发展起来的,因此在管理方式与管理系统上存在着一定的问题,缺乏较为规范的管理制度,管理人员在运维管理系统工作中缺乏管理力度,并且在管理的过程中受人为因素的影响程度较大,导致很多常见问题没有很好的解决方式,提高了运维体系管理的难度。
二、运维管理系统建设的原则
(一)安全性原则
在建设电力公司运维管理系统的时候,首先要保证的就是安全性,这样可以降低供电运维系统被攻击的可能性,另外还要避免出现个人利用供电公司运维系统维护私利的现象,更要杜绝运维系统中非法经营的现象。
(二)可管理性原则
运维系统作为供电公司中的主要管理体系要具有可管理性,为公司的运行提供管理支持,为相关的技术的发展提供科学的数据支持,这就要求公司运行的数据是集中的,管理方式也是集中的,这种集中不单指的是物理上的集中,更是指管理思想和管理体系的集中,这样才能在供电公司建设的过程中为其提供有效的管理方式,并且保证相关员工在查找资料时能够快速查找到所需资料,进而提高运维管理系统运行的效率。
(三)可扩展性原则
一个供电公司的发展是在不断进步的,那么相关的建设和管理体系就要做出相应的变化,但是又不可能完全的发生变化,因此为了m应高速变化的供电市场,增加供电公司与时代接轨的程度,运维管理系统需要具有可扩展性,这样在供电行业出现变化时,运维管理系统能够在最短的时间内被扩展应用内容及应用范围。
三、运维管理系统的应用方式
(一)在拓扑管理中的应用
在供电公司的运维管理系统中最为核心的一项管理系统就是拓扑管理,也是构成管理条件的核心要素之一,明确的拓扑图能够让管理者明确管理系统中的网络规模、应用设备分布、故障定位等,让管理者能够直接找出管理系统中的问题,并且能够根据运维系统及时的发现其中的错误原因,然后再根据原因采取相应的解决措施,具有其他管理角度所不能达到的管理效果。另外拓扑图能够反应各项网络传输中的真实情况,有着提高网络监管效率的作用,能够让管理者一目了然的了解公司运营的情况,并掌握各个阶段的管理监控情况。通过对运维管理系统的监控来提高对供电公司管理的程度。
(二)在网络设备管理中的应用
供电公司的运维管理系统能够涉及到的网络设备有路由器、网络交换机、防火墙设施等,并且这些网络设备的运行情况都能在拓扑图中有所展示,通过对网络设备产时间运行过程的显示,工作人员可以了解到整个网络设备运行体系甚至是整个供电体系运行的情况,这样工作人员能够及时的对网络设备中出现的问题进行检查,并采取解决措施另外工作人员还可以根据运维管理系统显示的人信息对各个网络设备的端口及服务器开关进行检查,确保每一项网络服务器的运行状态是符合供电公司发展的要求的。其中对网络设备的管理工作主要表现在网络拓扑管理、设备运行状态管理、运行信息管理、运行结果分析管理、系统配置管理、历史数据显示管理、设备检查管理、设备维修管理、设备不正常运行管理上。
(三)在设备报警管理中的应用
在供电设备上安装报警管理系统是十分有必要的,对报警系统的管理也是供电公司运维管理系统应用的一个表现,主要是在报警信息系统中应用信息集中、信息判断、信息传递等功能,确保在问题以及隐患出现的时刻,能够及时的将信息记以及系统和设备的运行情况及时的传递到管理人员的监控器中。报警管理中最为重要的就是报警级别的管理,在管理报警级别的时候可以运用不同的功能接受端口,或者是对不同等级的报警系统采用不同的颜色为和标志。另外不同的级别的报警还可以采用不同的报警声音,如邮件省、短信提醒声、网络消息接受声等,这样管理人员在听到不同的报警声音时可以带好不同繁荣整修工具,这样能够一次性的完成对问题设备的检修工作,提高了检修的效率。
(四)在网络修补日志上的应用
关键词:信息安全;管理体系;PKI/CA;MPLS VPN;基线
在供电企业现代信息技术广泛运用生产经营、综合管理之中,实现资源和信息共享,为领导提供相关辅助决策。保障企业信息安全是企业领导层、专业人员及企业全员共同面对的。信息安全是集管理、人员、设备、技术为一体系统工程,木桶原理可以很好地诠释信息安全,一个企业安全不取决于最强项,而取决最短板。信息安全需从制度建设、体系架构、一体化防控体系、人员意识、专业人员技术水平等多方面共同建设,才能有效提高企业信息安全,才能为企业生产、经营保驾护航。
1基层供电信息安全现状
基层供电企业信息安全建设方面,在制度建设、安全分区、网络架构、一体化防护、人员意识、专业人员技术水平等多方面存在不同程度问题。
1.1管理制度不健全,制度多重化
信息安全制度建设方面较为被动,大多数都是现实之中出现某一问题,然后一个相关制度,制度修修补补。同一类问题有时出现不同管理规定里,处理办法不一,甚至发生冲突。原有信息安全管理制度宽泛,操作性较差。信息系统建设渠道不同,未提前进行信息安全方面考虑,管理职责不明,导致部分信息安全工作开始不顺畅。
1.2安全区域划分不明,网络架构不清晰
基层供电企业系统建设主要由上级推广系统和自建系统,系统建设时候相当部分系统未充分考虑系统,特别是业务部门自建系统更甚。网络建设需要什么就连接什么,存在服务器、终端、外联区域不明显,网络架构不清晰。
1.3未建立一体化安全防护体系
从近些年已经发生的各类信息安全事件来看,内部客户端问题造成超过将近70%。内部终端用户网络行为控制不足,存在网络带宽滥用;终端接入没有相应准入控制,不满足网络安全需求用户接入办公网络,网络环境安全构成极大风险;内部人员对核心服务器和网络设备未建立统一内部控制机制;移动介质未实施注册制管理等问题。
1.4未建立行之有效设备基线标准
网络安全设备、操作系统、数据库、中间件、应用系统等厂家为了某种方便需求,在设备和系统中常常保留有默认缺省安全配置项,这些恰恰是别人利用漏洞。基层供电企业在部署设备和系统时,没有统一基线标准,没有对设备和系统进行相应基线加固,企业存在潜在风险。
1.5信息安全意识较差,技术水平参差不齐
企业信息安全认识存在认识上误区,常常认为我们有较强信息安全保护设备,外部不易攻破内部,事实上堡垒常常是从内部攻破的。比如企业员工弱口令、甚至空口令、共用相同密码、木马、病毒、企业机密泄露等,这恰恰是基层供电企业全员信息安全意识较为薄弱表现。专业技术人员缺乏必要自我学习和知识主动更新,未取得专门信息安全专业人员资质,处理问题能力表现参差不齐。
2必要性
信息安全为国家安全重要组成部门,电力企业信息安全为国家信息安全的重要元素,电网安全事关国计民生。2014年2月,国家成立中央网络安全和信息化领导小组,将网络信息安全提升前所未有高度。近年发生的“棱镜门”事件,前几年发生伊朗核电站“震网”病毒(Stuxnet病毒)网络攻击,其中一个关键问题就是利用移动介质摆渡来进行攻击,造成设备瘫痪,这一系列信息安全事件都事关国家安全,因此人人都要有信息安全意识。首先要防止企业机密数据(财务、人资、投资、客户等)泄漏;其次,保持数据真实性和完整性,错误的或被篡改的不当信息可能会导致错误的决策或商业机会甚至信誉的丧失;最后,信息的可用性,防止由于人员、流程和技术服务的中断而影响业务的正常运作,业务赖以生存的关键系统如失效,不能得到及时有效恢复,会造成重大损失。建立严格的访问控制,前面数据分级时有制定数据的“所有者”及给敏感数据进行分级,按照分级的要求制定严格的访问控制策略,基本的思想是最小特权原则和权限分离原则。最少特权是给定使用者最低的只需完成其工作任务的权限;权限分离原则是将不同的工作职能分开,只给相关职能有必要让其知道的内容访问权限。通过对内部网络行为的监控可以规范内部的上网行为,提高工作效率,保护企业有限网络资源应用于主要生产经营上来。
3特点探析
通过我们对基层供电企业在信息安全存在问题及必要性来看,主要是管理制度、网络信息安全技术、人员意识等方面存在问题,有以下特点。
3.1管理制度方面
常说信息安全“三方技术、七分管理”,制度建设对信息安全保障至关重要。信息安全管理制度应该有上级主管部门建立一套统一管理制度,基层供电企业遵照执行,可以根据各单位具体情况进一步细化,让管理制度落地。从企业总体信息安全方针到具体专业制度管理上,实现全网一体化,规范化。
3.2网络信息安全技术方面
上级专业主管部门,站在企业高度,制定专业技术标准和技术细则。从网络安全分区、网络技术架构、互联网接入和访问方式、终端安全管理、网络准入控制等方面统一规划,分布实施,最终实现企业网络信息安全防控一体化。
3.3信息安全意识培养方面
企业员工信息安全意识培养是个长期的过程,不是通过一次两次培训就能解决的,采取形式多样化方式来培养员工安全意识,可以通过集中培训讲课、视频宣传、张贴宣传画等方式进行。针对专业人员,要让他们养成按照制度办事习惯,用户需要申请某项资源,严格按照制度执行,填写相应资源申请,有时候领导打招呼也要按照制度流程来执行。长此以往,人人都会知道自己该做什么,不该做什么,该怎么做,企业信息安全意识就会得到极大提高。
3.4专业技术人员水平方面
信息安全技术日新月异,不学习就落后,不断收集信息安全方面信息,共同讨论相关话题,建立相应培训机制,专业人员实行持证上岗,提升专业人员实际解决问题能力,有效提高人员专业素养,成为企业信息安全方面专家。
4实施和开展
从2009年开始,先后进行一系列信息安全建设,涉及到信息安全制度建设、网络信息安全体系架构、信息安全保障服务、人员培训等方面,整体提高基层供电企业信息安全状况。
4.1信息安全制度建设
2010年开始信息安全体系ISO27001、27002建设,结合企业情况,形成30个信息安全相关文件,涵盖企业信息安全方针、等级保护、人员管理、机房管理、网络信息系统运行维护管理、终端安全、病毒防护、介质管理、数据管理、日志管理、教育培训等诸多方面。2013年为进一步提示公司信息化管理水平,先后增加修改建设管理、实用化管理、项目管理、信息安全管理、运维管理、综合管理5个方面14个管理细则。经过这一系列制度建设,基层供电企业有章可循,全网信息安全依据统一,明确短板情况。
4.2建设一体化网络与信息安全防控
首先依据电监会5号文件要求,网络架构按照三层四区原则进行部署建设,生产实时控制大区(Ⅰ、Ⅱ区)与信息管理大区(Ⅲ、Ⅳ区)之间采用国家强制认证单向数据隔离装置进行强制隔离,网络架构采用核心、汇聚、接入部署。网络接入按照功能划分服务器区、网管区、核心交换区、用户办公区、外联区、互联网接入区,在综合数据网上,利用MPLSVPN,根据划分不同VPN业务、隔离相互间数据交叉。建立全网PKI/CA系统,构建企业员工在企业数字身份认证系统,已建成系统进行未采用PKI登陆系统,进行相应改造结合PKI/CA系统,采用PKI登陆,在建系统用户登陆必须集成PKI登陆。根据企业信息安全要求,进行互联网统一出口,部署统一互联网防控设备,建立统一上网行为管理策略,规范员工上网行为,合理使用有限互联网资源,审计员工上网日志,以备不时之需。建立企业统一病毒防护系统,实现病毒软件统一安装,病毒库自动更新,防护策略统一下发,定期统计病毒分布情况,同时作为终端接入内网必备选项,对终端病毒态势比较严重用户进行督促整改,有效防止病毒在企业内部蔓延,进一步进化内网环境。建立统一网络边界安全防护,在企业内网边界合理部署防火墙、IPS、UTM,并将其产生日志发送到统一安全管理平台,进行日志管理分析,展现企业内部信息安全态势,预警企业内部信息安全存在问题。利用AD域或PKI/CA进行用户身份认证,建设统一桌面管理,所有内网用户必须满足最基本防病毒、安全助手、IT监控要求方可接入内网,系统启用强制安全策略,终端采用采用DHCP,用户不能自动修改IP地址,在DHCP服务器上实现IP与MAC地址及人员绑定,杜绝用户私自更换IP地址引起冲突。安全认证方面可以采用NACC或交换机802.1x方式进行,不满足要求用户,自动重定向到指定网站进行安全合规性检查,满足要求后自动接入内网,强制所有用户采用统一网络安全准入规则。实行移动介质注册制,极大提高终端安全性,有效保护企业信息资产。建立内部运维控制机制,实现4A统一安全管理,认证、账号、授权、审计集中管控。规划统一服务器、网络设备资源池,按照用户需求,提交相应申请材料,授权访问特定设备和资源,并对用户访问行为全程记录审计。
5结语
关键词:信息安全;体系建设;方案
中图分类号:TP309.2文献标识码:A文章编号:1009-3044(2008)36-2846-02
The Implementation Program of an Information Security System for an Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: In view of the enterprise information technology becoming more, the issue of business information security has become an important factor in life, an enterprise information security system for the implementation of the program. From the organization, management, construction and technical aspects on the construction of the three. In the specific implementation process, based on the specific circumstances at the same time or step-by-step building-related.
Key words: information security; system construction; program
1 引言
信息安全的体系建设就是让企业建立安全的组织架构,同时建立一套管理规范来规范成员的行为,并建立起安全的平台为企业提供安全支撑同时为企业创造效益。本文根据一些企业现在实际情况,针对其信息安全现状提出总体的实施步骤。企业在具体的实施过程中可参照这些步骤考虑实施。
下文将根据组织建设、管理建设和技术建设三个方面展开阐述。同时,在对技术建设阐述时,将从基础设施建设和系统建设两个方面分开阐述。
2 信息安全体系建设总体步骤
具体的实施步骤如图1所示,具体包括:组织建设、团队建设、管理规范、基础环境、资产定级和评估、支撑系统和服务运维。以上组成部分都可归结为组织建设、管理建设和技术建设三个方面。
图1 信息安全体系建设步骤
实施步骤中有的步骤是可以同时进行的,如图2所示。但有相对的优先级,优先级高的环节相应的应该放在优先考虑的位置。有些环节鉴于完成的周期较长,建议可以同步进行,避免信息安全实施周期过长,影响企业的目标达成。
3 组织建设
信息安全体系建设要做好,组织建设是关键。组织建设是所有其它建设的前提。而组织建设的第一步就是做好组织调整。组织调整就是把信息安全运营管理分为两个部门,一个是生产部门,一个是管理部门。
3.1 信息安全管理部门
信息安全管理部门有权对其它部门进行安全考核,同时信息安全生产部门是由信息安全的管理部门直接管理指挥的。信息安全管理部门的职责决定其管理部门对企业信息安全有着全局的管控能力,负责信息安全全局任务下达和监督,安全战略目标的建议以及政府、公安、司法等安全外联。
3.2 信息安全生产部门
信息安全生产的部门,其信息安全生产内容包括三个部分,对内是企业信息安全的支撑、对外提供企业信息安全服务和公众信息安全服务,接受安全管理部门的领导的管理和考核,和其他生产部门属平级关系。
4 管理建设
4.1 管理制度颁布
对于管理制度,必须对管理规范和流程进行规范定义,在管理制定颁布之前应该作以下的事情:由安全管理部门牵头召开各个部门参与的管理制定内容研究讨论会,收集各方建议;根据各个建议对管理制度进行修订;修订后管理制度,再次召集各个部门讨论并基本通过;安全管理部门颁布管理制度并确定管理制度的实施的开始时间;在制度实施开始时间之前,进行制度宣灌,组织各个部门参加学习,并进行相关学习的考试;管理制度开始实施。
4.2 管理制度落实
信息安全管理制度落实是由信息安全管理部门的管控部执行的,管控部包括考核、质检、审计三个小组共同组成,考核各个部门管理制度的落实情况。如何对各个部门的信息安全情况进行考核呢?不同时期有不同的做法,分为两个阶段:
一是SOC(信息安全运维中心)建设阶段。SOC建设阶段由于安全生产组织和安全支撑系统还不够健全,对安全的支撑十分有限,因此这个阶段的质检、审计、考核多以手工为主,信息安全审计和信息安全质检以部门抽样检查为主,无法做到全面的普查。信息安全质检组定期进行各个部门的信息安全检查,主要工作是定期的信息安全巡检工作。信息安全审计组对各个部门的工作日志进行定期的审计工作,特别是出现信息安全事件后的审计工作。信息安全生产部门配合管理部门进行信息安全质检工作和审计工作,同时信息安全生产部门承担着SOC支撑系统建设的需求分析、项目监督、系统验收等工作。
二是SOC运维阶段。SOC运维阶段,由于各个信息安全支撑系统已经较为完备,而且人员组织逐渐成熟,对信息安全的管控能力将实现一个质的飞越,信息安全质检组可随时对考核部门进行信息安全巡检,巡检可采用面向全网的信息安全自动巡检,全面系统的分析全网的安全状况,信息安全审计可分手工和自动相结合的方式进行审计,根据不同的业务应用、访问控制等进行审计分析,快速高效的进行审计。信息安全管控从抽样管理到全面管理,从静态管理到动态管理,从事后响应到事前预防。
5 基础设施建设及相关建设
信息安全基础设施建设的目的主要是实现对现有生产网资源的集中和优化,提高系统运行效率,并同时进行局部的信息安全加固和改进,使得在信息安全支持系统尚未建成时,使现有生产网系统的信息安全性和可用性提高到一个新的水准。其内容主要包括结构调整、优化整合和安全集成。结构调整主要是对信息安全体系存在重大影响的网络基础架构的调整;优化整合是对信息安全可用性和保密性的关键因素进行改进,如操作通道的加密;安全集成是根据企业信息安全需要综合分析后,得出在现有生产网上所要建设和购置的信息安全系统及产品。
此外,在经过资产的等级划分之后,并进行的相关信息资产的优化整合后,全网中大量的信息安全问题和隐患将被排除,但是还会有许多的薄弱点,这些薄弱点是在优化整合后还没有解决的或疏忽的问题,找出这些薄弱点就需要一次系统的信息安全评估过程,把目前安全存在的问题进行分析。信息安全评估的是根据信息资产的本身的所处的网络环境和信息资产价值有直接的关系,信息安全评估的目的不是要求企业把所有的问题一概而论的解决掉,而是告诉企业有这些一些问题值得关注,至于解决的问题的要投入的人力物力是根据信息资产的本身的价值而定。
6 系统建设
信息安全系统建设也即最后的信息安全体系建设的最后步骤,是具体实施的过程。在面上主要表现为依照信息安全体系建设规划方案进行采购与部署。这里的采购对象包括:产品采购类、服务产品类和研发产品类。
6.1 产品采购类
在建设信息安全支撑和信息安全服务系统过程中会涉及到许多安全产品的采购,如防火墙、黑洞、入侵检测、安全检测工具产品、成熟的安全集成产品等等采购,因此我们将这部分不需要太多定制开发可直接购买或集成的产品定义为产品采购类。其采用的原则是:
1)安全产品的本身应该具备的功能要求;2)安全产品本身应该具备的性能要求;3)安全产品本身应该具备的安全要求;4)安全产品应该具体的管理要求;5)安全产品的可扩展性要求。
6.2 服务产品类
图2 信息安全体系建设并行建设步骤
服务产品类,主要是针对对外安全服务的产品类,对外服务的产品类包括集成产品和服务内容。服务产品定义主要是根据市场运营所推出相应服务而定义。服务产品的实施原则如下:
1)产品市场潜力;2)产品的产出比战略研究;3)产品相关的信息安全等级评估;4)产品相关的信息安全策略;5)产品相关的响应团队;6)产品宣传渠道和策略分析;7)产品相关的增值服务;8)产品创造价值的统计分析。
6.3 研发产品类
信息安全支撑系统和信息安全服务系统建设中,一定有一些系统需要进行定制开发,这些定制开发的产品我们定义为研发类产品。研发类产品建设原则如下:
1)产品能够满足现有生产的功能要求;2)产品具有良好的可靠性和扩展性;3)产品具有一定先进性,能满足3-5年企业IT发展要求;4)产品要预留信息安全管理接口,能对系统日志进行采集和审计。
7 结束语
文章针对在企业信息化程度越来越高的情况下,信息安全成为关乎企业生命的重要因素,提出了一种针对企业的信息安全体系建设实施方案。在具体的实施过程中,可以基于具体情况分步骤或者同时进行相关建设。此方案对于指导企业的信息安全体系建设有一定的参考意义。
参考文献:
[1] 周学广,刘艺. 信息安全学[M]. 北京: 机械工业出版社,2003.
[2] 韩祖德. 计算机信息安全基础教程[M]. 北京: 人民邮电出版社, 2005.
[3] 陆广能. 浅析数字化档案信息安全问题[J]. 电脑知识与技术, 2005, (10):30-32.
[4] 李娟. 浅谈如何构建档案信息安全防护体系[J].河南职业技术师范学院学报, 2004, (4):20-25.
[5] 范开菊. 网络环境下档案信息安全问题探微[J]. 科技情报开发与经济, 2005, (2):47.
