時間:2023-08-29 16:42:25
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡運維管理制度,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
衛生監督信息系統信息安全技術體系建設,嚴格遵循等級保護第三級的技術要求進行詳細設計、技術選擇、產品選型、產品部署。技術體系從物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復等5個方面進行設計。
1.物理安全
衛生監督中心現有南北兩個機房,機房及相關配套設施面積總計160平方米。北機房部署等級保護第三級信息系統,南機房部署等級保護第二級信息系統,實現了第三級系統與第二級系統物理環境隔離。根據等級保護有關要求,機房均采用了精密空調、門禁系統、環境監測系統等設備設施及技術手段,有效地保證了機房的物理安全。
2.網絡安全
主干網絡鏈路均采用雙鏈路連接,關鍵網絡、安全設備均采用雙機冗余方式,避免單點故障。采用防火墻、入侵防護系統、DDoS系統進行邊界防護,各網絡區域之間采用防火墻進行區域隔離,在對外服務區部署了入侵檢測系統,在交換服務區部署了網絡審計系統。在核心數據區部署了數據庫審計系統,對網絡行為進行監控和記錄。在安全管理區部署安全管理系統,實現設備日志的統一收集及分析。
3.主機安全
所有服務器和管理終端配置了密碼安全策略;禁止用戶遠程管理,管理用戶必須進入機房通過KVM進行本地管理;所有服務器和管理終端進行了補丁更新,刪除了多余賬戶,關閉了不必要的端口和服務;所有服務器和管理終端開啟了安全審計功能;通過對數據庫的安全配置,實現管理用戶和特權用戶的分離,并實現最小授權要求。
4.應用安全
衛生監督中心7個應用系統均完成了定級備案,并按照等級保護要求開展了測評工作。應用服務器采取了集群工作部署,保證了系統的高可用性,同時建立了安全審計功能模塊,記錄登錄日志、業務操作日志、系統操作日志3種日志,并實現查詢和審計統計功能,配置了獨立的審計賬戶。門戶網站也采用了網頁防篡改、DDoS等系統。信息安全等級保護第三級系統管理人員及高權限用戶均使用CA證書登錄相應系統。
5.數據安全及備份恢復
衛生監督信息報告系統數據庫服務器使用了雙機熱備,應用服務器采用多機負載均衡,每天本地備份,保證了業務系統的安全、穩定和可靠運行。其余等級保護第三級信息系統使用了雙機備份,無論是軟件還是硬件問題,都可以及時準確地進行恢復并正常提供服務。同時,衛生監督中心在云南建立了異地數據備份中心,每天進行增量備份,每周對數據進行一次全備份。備份數據在一定時間內進行恢復測試,保證備份的有效性。
二、信息安全管理體系
在開展信息安全等級保護工作中,我們深刻體會到,信息安全工作“三分靠技術,七分靠管理”。為保證信息安全等級保護工作順利進行,參考ISO/IEC27001《信息安全管理體系要求》,衛生監督中心建立了符合實際工作情況的信息安全管理制度體系,明確了“統一領導,技管并重;預防為主,責權分明;重點防護,適度安全”的安全方針,涵蓋等級保護管理要求中安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五大方面的要求。衛生監督中心建立了較為完善的信息安全責任制,設立了信息安全領導小組,領導小組組長由衛生監督中心主任擔任,成員由衛生監督中心有關處室負責人組成,信息處作為信息安全工作辦公室負責衛生監督中心日常信息安全管理工作。信息處設立了信息安全管理崗位,分別為網絡管理員、系統管理員、應用管理員、安全管理員、安全審計員、機房管理員,并建立了信息安全崗位責任制度。此外,衛生監督中心依據上年度運維中存在的信息安全隱患每年對其進行修訂,確保信息安全工作落到實處。
三、信息安全運維體系
在信息安全工作中,建立信息安全管理制度不是目的,要以信息安全等級保護有關要求指導信息安全運維實踐。衛生監督中心結合實際情況,編制了《國家級衛生監督信息系統運行維護工作規范》,從運行維護流程、資源管理和環境管理三個方面進行了規范,將安全運維理念落到實處。運維人員在實際工作中,嚴格按照工作規范要求。利用衛生監督中心OA系統,建立了統一的服務臺,實現了事件、問題的全流程閉環管理(即:發現問題、登記問題、解決問題、解決反饋、解決確認)。年均處理信息安全事件近百件,將信息安全問題消滅在萌芽階段,有效地保證了信息系統穩定運行,保證了衛生監督中心信息安全目標和方針的實現。
四、信息安全等級保護實踐經驗
1.規范管理,細化流程
衛生監督中心從安全管理制度、安全管理組織機構及人員、安全建設管理和安全運維管理等方面建立了較為完善的安全管理體系。通過管理體系的建設,為國家級衛生監督信息系統運維管理工作中安全管理提供了重要指導。國家級衛生監督信息系統運維工作從安全管理體系的建設中吸取了很多有益經驗,不僅合理調配了運維管理人員,落實了運維管理組織機構和崗位職責,而且細化了運維管理流程,形成了“二級三線”的運維處理機制。
2.循序漸進,持續完善
近年來,隨著信息安全等級保護工作機制的不斷完善,主管部門監督檢查力度的不斷加大,信息系統開展等級測評的數量穩步增長,測評覆蓋率顯著提升。通過統計分析本單位近些年測評的數百個信息系統的數據,可以得出以下結論:一是較早開展等級測評的行業,經過測評和整改建設,測評符合率逐年提高;二是隨著等級測評工作的持續推進,近期才開展首次測評的行業特別是基層單位的信息安全工作基礎較薄弱,測評得分明顯偏低。通過對物理安全、網絡安全、主機安全、應用安全、數據安全、安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理等10個層面的測評結果進行統計,其中網絡安全、主機安全、應用安全、系統運維管理等方面的不符合率相對較高,信息系統的建設、使用、運維階段存在一些較普遍的問題。
信息系統安全保護措施落實情況分析
整體而言,隨著等級測評工作的持續推進,黨政機關、企事業單位對信息系統安全等級保護的認識和重視程度得到普遍提升,在管理和技術兩方面主要采取了以下安全措施:
信息安全管理措施落實情況
在信息安全管理方面呈現出兩級分化的特點。一些重點行業的業務信息化程度高、自身信息技術隊伍力量足、信息安全投入經費有保障,其安全管理措施一般也能得到有效落實,在機構、人員、制度、建設管理、運維管理等方面均能較好地符合相關標準的要求。這一類的典型包括銀行、證券、電力等行業主管部門對信息安全監管嚴格的幾大行業。相反,部分對信息系統管控相對松散的單位如大專院校、在信息安全投入方面得不到充分保障的單位如基層政府部門,其信息安全專業人員的配備達不到標準規范的要求,安全責任部門地位偏低權限不足,很難制定并有效貫徹落實結合本單位實際的信息安全管理制度。
信息安全技術措施落實情況
多數單位通過部署邊界安全設備,強化入侵防范措施來提高網絡的安全性;通過加固操作系統和數據庫的安全策略,啟用安全審計,安裝殺毒軟件等措施,來提高主機安全防護水平;通過開發應用系統的安全模塊,從身份鑒別、訪問控制、日志記錄等方面,強化業務應用的安全性;通過部署數據備份設備、加密措施,加強對數據安全的保護。
信息系統常見安全問題分析
隨著等級測評工作的覆蓋面進一步擴大,近年來初次測評的單位和基層部門仍發現一些典型問題。
信息安全意識有待提高
很多單位對當前日趨嚴峻的網絡安全形勢認識不足,將信息安全工作視為被動應付上級檢查、被動應對安全事件的任務來消極對待。一些單位認為取得“基本符合”的測評結論就高枕無憂,完成測評備案就完成了等級保護。由此造成對信息安全合規的落實不夠、資金和人員投入不足、重建設輕運維、有制度無執行、有預案不演練等問題,根源還是安全意識薄弱。
信息安全管理有待加強
信息安全管理不到位主要表現在安全管理制度、系統建設管理、系統運維管理等方面。
信息安全管理制度不完善。基層單位信息安全管理制度不全、人員配備不足、授權審批流于形式、執行記錄缺失等問題較為常見。部分單位的信息安全管理制度照搬模版,未結合本單位實際進行修訂,導致缺乏可操作性。
系統建設管理不到位。系統建設過程中落實信息安全“同步建設”原則不到位。在軟件開發階段較普遍未遵循安全編碼規范,導致安全功能缺失、應用層漏洞頻現。在系統驗收階段,很多單位僅注重業務功能驗收,缺乏專門的安全性測試;電子政務類項目較普遍未按規定在項目驗收環節完成“一證兩報告”(即等級測評報告、風險評估報告和系統備案證明)。
系統運維管理不到位。在系統運維管理方面,部分單位運維和開發崗位不分,職責不清,存在一人身兼數職現象。很多單位在信息資產管理、介質管理、變更管理等方面缺乏操作規程和相關記錄,數據備份策略不明,應急預案不完善并缺乏演練。
關鍵技術措施有待落實
分析近年來的測評結果,安全技術措施不足問題主要體現在以下幾個方面:
在物理安全方面,隨著電子政務集約化建設的推進,大量信息系統已經集中到高規格的專業機房,但仍有部分單位自有機房條件簡陋,位置選擇不規范,出入管理較隨意,防盜防破壞、防雷防火防潮能力較差,環境監控措施不足。
在網絡安全方面,常見網絡和安全設備的配置不到位,如未合理劃分區域、未精細配置訪問控制策略、未對重要設備做地址綁定等;較普遍缺少專業審計系統。部分單位設備老舊,安全產品本身存在一定缺陷導致無法滿足等級保護要求。個別單位用于生產控制的重要信息系統在網絡層面未采取必要安全措施的同時,還違規接通互聯網,存在極大的安全隱患。
在主機安全方面,部分單位存在弱口令、不啟用登錄失敗處理和安全審計功能、不及時更新補丁、不關閉非必要服務等問題。此外,由于主流操作系統和數據庫很少支持強制訪問控制機制,相關要求普遍未落實。
在應用安全方面,很多應用軟件安全功能不足,缺少身份鑒別、審計日志、信息加密等能力。由于很少進行安全掃描、滲透測試,相當一部分系統存在高危風險,如SQL注入、跨站腳本、文件上傳等漏洞,以及弱口令、網頁木馬等問題。
在數據安全方面,較常見的是數據保密性和完整性措施薄弱。此外,部分信息系統的備份和恢復措施欠完善,缺乏有效的災難恢復手段。
針對新技術的等級保護測評標準有待出臺
隨著浙江政務服務網的大力推進,省內各級政務云平臺的建設使用已全面開展,有相當數量的電子政務系統已遷移上云。同時涉及城市公共設施、水電氣等工控系統密集的行業對等級保護工作越來越重視,對云計算、工控系統、移動APP等的測評需求不斷加大。但現有的《GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求》未涉及云計算、工業控制、移動互聯等領域,在測評實踐中已遇到諸多不適應情況。針對這些新技術新應用的等級保護測評標準需求已非常迫切。
重要信息系統安全保護對策建議
針對上述存在的問題,本文提出以下對策建議,以供參考。
提高信息安全意識
提高全員信息安全意識是全面提升信息安全保障水平的根本解決之道。要樹立全體人員的安全觀念,加強信息安全培訓。除了通過強化工作考核和安全檢查來督促信息安全工作的深入開展,還應通過多種方式開展信息安全政策解讀和信息安全標準宣貫,強化對全員的安全意識教育和考查。建議結合一些合適的安全職業技能培訓,落實信息安全相關崗位“持證上崗”的要求。
加強信息安全管理
“三分技術,七分管理”,各單位應轉變觀念,將“信息安全”與“系統穩定、功能正常”同等重視起來,將安全管理要求與自身業務緊密結合,制訂完善的體系化的安全管理制度。
在系統建設管理過程中,應要求開發人員遵循安全編碼規范進行開發;在系統驗收環節,應認真做好安全性驗收測試。在電子政務領域應落實國家對電子政務項目管理的制度要求,驗收階段完成等級測評,未通過測評的應不予驗收。
在系統運維管理方面,應加強制定信息系統日常管理操作的詳細規范,明確定義工作流程和操作步驟,使日常運行管理制度化、規范化。對信息資產按重要性進行分類梳理,建立完善應急災備措施,定期開展演練,確保備份的有效性。
落實關鍵技術措施
針對測評發現的問題,各單位應根據系統所定級別,結合自身條件,綜合考慮問題的影響范圍、嚴重程度、整改難度等因素,制定整改計劃,有步驟地落實相關技術措施。對于策略配置類的問題及時糾正;對于整改難度大、需要添置硬件或修改代碼的問題,應在充分測試和試運行的基礎上實施整改。對于強制訪問控制、敏感標記、雙因子鑒別等難點問題,建議國家加強相關產業政策的引導,促進安全廠商研發技術、推出產品,解決市場供應問題。各級主管部門應通過測評、整改、監督檢查、再測評的閉環管理,督促關鍵技術措施的落實。
加快新技術的等級保護測評標準編制工作
目前公安部信息安全等級保護評估中心在牽頭起草針對云計算安全的等級保護標準,尚處于征求意見階段。其余新技術領域的等級保護標準制定工作進度更晚,隨著智慧城市、云計算、大數據、移動互聯、工業控制等新技術的快速應用,安全標準相對滯后的問題更加突出,應進一步加快相關新標準的制定。
關鍵詞:維護;網絡;信息化
1 MDCN運維管理系統平臺簡介
MDCN運維管理平臺的建立,提升信息技術、產品和服務的應用,充分調動相關維護人員積極性、主動性,努力提高網絡維護質量,保障了各種業務在MDCN網絡上的穩定運行。該平全基于瀏覽器/服務器(Browser/Server)三層結構體系,客戶端為瀏覽器,服務器端分為應用服務器和數據服務器。
2 MDCN運維管理系統作用
2.1 維護制度管理
⑴維護管理:各項管理制度;⑵維護制度:各項作業計劃;⑶系統通知:記錄各種通告性文檔;MDCN系統平臺的各項管理制度可以在此模塊中查閱,便于管理、統一要求,提高運維效率。
2.2 日常維護工作
⑴日常監測:記錄每天設備CPU利用率、PING響應時間;⑵定期監測:對全網設備做系統、全面、詳細的監測,確保系統的正常運行;⑶數據備份:為保證數據正確有效,備份MDCN網的各項參數指標,防止數據丟失;⑷流量測試:記錄各業務系統月度流量;MDCN系統的維護工作的具體記錄可在此模塊中體現,實際工作落實到人,加強員工的責任感。
2.3 系統故障類
⑴故障月報:記錄月度全網故障的詳細情況及解決程度。⑵故障通知單:故障通知單以各業務系統區分,做為處理故障的依據。⑶嚴重、重大故障:對業務系統有嚴重影響故障的專題報告板塊。MDCN網的系統故障及解決情況可在該頁面查閱,便于工作檢查;同時也為今后處理類似故障提供依據,縮短故障排查時間。
2.4 業務申請情況
⑴業務申請單:體現業務系統接入申請到實施全過程進度。⑵承載的業務系統:記錄現有各業務系統的使用、運行情況及互通情況。通過該頁面可以很好的掌握工程狀況,快速開通新業務;根據客戶申請,審核接入條件并進行審批。
2.5 月報總結歸納
⑴維護月報:記錄MDCN網每月的維護情況,包括網絡指標分析、業務流量分析等。⑵割接報告:記錄工程施工割接報告。月度的工作情況、系統運行情況、工程進展情況可在該板塊中查看,便于檢查,有助于加強管理。
2.6 用戶申告登記
用戶申告:記錄各業務系統的用戶申告,落實申告的每一項內容進行答復,提供技術支持。
2.7 網絡資料
⑴網絡平臺:提供MDCN網的相關知識資料,提高維護組人員素質。⑵系統配置:備份MDCN網設備的配置。⑶統計資料:記錄各項基礎資料,主要包括電路、硬件設備、板卡等檔案。該頁面側重于MDCN相關技術文件匯總,通過學習加深對MDCN網的理解,提高維護人員整體技術水平,另一方面便于MDCN資源統計。
2.8 FTP服務
提供維護組信息共享平臺、上傳維護記錄、資料備份的渠道。
2.9 業務接入在線審批
⑴提交申請:新業務表單在線填寫提交。⑵資料審核:各部門進行審核批復。
2.10 故障報障
⑴故障同步:與MDCN監控軟件接口,同步出現網絡中各類故障告警。⑵多元告警現實:出現告警,通過語音或短信形式進行告警通知。
2.11 用戶管理
⑴登陸權限:不同用戶分級別分權限進行管理。⑵設備管理:按權限提供直接登陸設備接口。
2.12 配置備份
⑴自動備份:自動備份設備配置,減少人工備份的繁瑣,保證數據安全性。⑵自動保存:備份同時自動保存到指定目錄。
2.13 郵件通知
⑴業務接入通知:在線填寫竣工通知單郵件發送。⑵故障告警通知:出現告警,在線填寫故障表單,發送相關負責人。
3 MDCN網絡運維管理系統平臺特點
⑴安全與開放相統一;⑵使用簡捷高效;⑶安裝配置簡單;⑷可擴充性強。MDCN運維平臺功能涉及到的范圍廣、部門多、人員復雜,技術體系結構為三層結構體系,可擴展性強,用戶使用簡單方便。MDCN系統平臺具有良好的可擴展性,這種結構均允許系統在多個層面上進行擴展,并且不影響層面之間以及與其它功能模塊的關系,從而為系統在功能的縱深度和橫向的覆蓋面上的加強和擴展打下了良好的基礎。
4 市場分析
通過MDCN運維系統管理平臺的應用,使網絡資源管理體系不斷優化升級,充分應用新技術,對系統平臺進行革新和改造,有很大的市場需求。通過該平臺還增強了MDCN系統的維護高效性、相關信息查詢的實效性。
⑴使用用戶:主要包括MDCN系統運維人員。用戶通過權限管理可以方便瀏覽相關信息,簡單高效的找到所需資源,大大提高了效率;并且保證了信息的統一性、時效性、準確性。
⑵用戶管理:系統可以為前臺不同的板塊設置不同的管理員,板塊管理員可以對該板塊進行信息的審核、修改、刪除等基本操作,可本板塊的公告、通知等信息,可以設置重點信息置頂、重要信息加亮等操作。管理員可以設置不同用戶的不同權限,充分做到了信息的保密性、安全性。
5 技術分析
MDCN系統平全基于瀏覽器/服務器(Browser/Server)三層結構體系,系統平臺的建設與運行階段所涉及的硬件、軟件與相關技術等,隨著網絡技術的發展,支撐系統應用的技術日益增多,平臺采用了.net技術,數據庫采用Windows SQLserver。
技術分析如下:⑴數據倉庫與數據挖掘技術在網絡活動中主要用于各種大量的繁雜數據的存儲與分析,提高數據處理的效率。⑵服務器采用刀片服務器進行擴容,具有投資小,建立速度快、安全可靠、無需軟件硬件配置、無需技術支持等特點,對于MDCN系統管理平臺升級來說,可節省大量人力物力及一系列煩瑣的工作,是一種較佳的選擇。可以支持多種服務,如ASP、CGI、PHP、JSP、網站數據庫支持、Flash、定期數據庫備份等。⑶開發平臺:系統的開發程序有.NET、數據庫程序等。是Microsoft XML Web services平臺。XML Web services允許應用程序通過Internet進行通訊和共享數據,而不管所采用的是哪種操作系統、設備或編程語言。平臺提供創建XML Web services并將這些服務集成在一起之所需。
在技術的選擇上,系統后期的優化,包括Web瀏覽器、數據庫服務、郵件服務、防火墻與服務器、中間組件、客戶操作系統、網絡服務系統、商務應用系統在內的軟件與硬件設施。
6 經濟效益分析
本平臺主要是針對MDCN網絡開發設計的,其實用性大,費時小,系統成本低,能滿足各個業務系統負責人和管理人員的基本需求,具有很高的實用價值。
⑴MDCN運維管理平臺的建設為MDCN系統穩定運行提供了強有力的堅強后盾,為業務使用單位節省了資源的開銷。⑵提高網絡維護水平,發揮帶動用戶、引導開發、提供信息、推廣技術的綜合功能,減少用戶查詢資料的的盲目性。⑶按照區域化布局、專業化分工、規模化運營、標準化管理的要求,進一步優化了MDCN網絡維護體系結構。⑷圍繞新業務接入、故障信息處理、工程實施進度、信息、日常維護等主要功能,推進了網絡維護工作信息化。⑸以較小的維護人員成本,優化維護質量體系,促使網絡維護及使用向便捷、快速、高效方面轉變;
關鍵詞:典型工作任務;課程設置;雙證課程
中圖分類號:G642.0 文獻標志碼:A 文章編號:1674-9324(2013)36-0063-02
一、企業信息管理師職業能力要求調研
企業信息管理師首先是一名合格的企業管理人才,同時還必須具備一定的信息產業知識,其知識結構則要橫跨文理學科。職業功能模塊可歸納如下:
(一)信息化管理
1.制訂信息化戰略規劃。(1)能夠調研信息化的發展趨勢;(2)能夠調研同行業信息化信息;(3)能夠調研企業內外信息化需求;(4)能夠調研企業信息化建設條件;(5)能夠起草企業信息化戰略規劃報告。
2.制定并監督執行信息化管理制度。(1)能夠編寫信息化管理制度;(2)能夠監督信息化管理制度的執行;(3)能夠檢查并分析信息化管理制度的執行情況;(4)能夠提出信息化管理制度的調整建議。
3.信息化標準規范設計。(1)能夠執行國家、地方、行業信息化標準;(2)能夠制定企業信息化標準規范。
4.全員信息化培訓。(1)能夠制定培訓大綱;(2)能夠組織培訓;(3)能夠組織培訓效果的評估。
(二)信息系統開發
1.系統總體規劃。(1)能夠歸納企業各部門對信息系統的不同要求,并撰寫初步調查報告;(2)能夠起草信息系統總體方案;(3)能夠建立綜合平臺;(4)能夠提出系統的總體開發模式,選擇合適的開發工具和平臺。
2.業務流程調查及優化。(1)能夠制定調查提綱;(2)能夠制定調查方法;(3)能夠制定調查計劃;(4)能夠組織調查;(5)能夠進行業務流程分析;(6)能夠撰寫調查報告并提出優化建議。
3.系統分析。(1)能夠進行系統需求的詳細調查與分析;(2)能夠繪制數據圖;(3)能夠編制數據字典。
4.系統設計。(1)能夠進行系統的總體設計;(2)能夠繪制模塊結構圖;(3)能夠進行代碼設計;(4)能夠進行系統的詳細設計;(5)能夠進行數據庫設計。
5.系統實施。(1)能夠組織程序設計;(2)能夠組織系統測試;(3)能夠進行系統安裝與調試;(4)能夠控制系統實施進度;(5)能夠實施系統轉換。
(三)信息網絡構建
1.需求調查。能夠進行網絡需求調查。
2.網絡設計。(1)能夠進行企業網絡系統的組網規劃;(2)能夠進行網絡數據傳輸技術設計;(3)能夠制定因特網接入方案。
3.網絡服務設計。(1)能夠制定網絡系統的各種服務方案;(2)能夠設計各種應用服務器的部署方案。
4.軟硬件選型。(1)能夠根據軟硬件產品的技術性能和價格情況,合理選擇軟硬件;(2)能夠起草招標書,并對投標書進行技術審核。
5.項目實施。(1)能夠進行質量控制;(2)能夠進行時間進度控制;(3)能夠進行網絡系統的測試和驗收。
6.網絡管理。(1)能夠制定網絡系統管理規劃;(2)能夠進行網絡資源使用管理;(3)能夠進行網絡系統性能管理。
7.安全管理。(1)能夠進行網絡系統安全規劃;(2)能夠進行網絡安全配置管理;(3)能夠進行網絡安全服務管理。
(四)信息系統維護
1.系統軟件維護。(1)能夠檢查系統運行狀況;(2)能夠解決系統運行中的問題。
2.應用軟件管理。(1)能夠管理各應用系統的運行;(2)能夠排除各應用系統出現的故障。
3.數據維護。(1)能夠組織檢查數據的存儲、更新;(2)能夠進行數據安全管理。
4.監督執行信息系統維護和管理制度。(1)能夠考核維護人員工作業績;(2)能夠發現和糾正違章行為。
5.系統備份和恢復。(1)能夠進行系統備份、災害防范的規劃與實施;(2)能夠進行網絡系統存儲管理的規劃與實施。
(五)信息系統運作
1.制定操作規程,能夠編寫用戶使用手冊。
2.信息系統運作效果分析。(1)能夠分析信息系統的運行效果;(2)能夠進行信息系統的效益分析。
3.操作和使用信息系統。(1)能夠通過信息系統進行業務管理;(2)能夠通過信息系統開展電子商務應用。
(六)信息資源開發利用
1.信息采集內容規劃。(1)能夠確定信息采集的內容;(2)能夠將信息采集的內容合理分類;(3)能夠設計信息采集內容體系。
2.信息源布點。能夠確定信息源
3.信息采集與傳輸系統設計。(1)能夠設計信息采集方式;(2)能夠設計信息傳輸方式。
4.信息綜合。(1)能夠篩選信息;(2)能夠綜合信息;(3)能夠進行信息排序。
二、典型工作任務設置
(一)崗位能力分析
根據企業信息管理師職業功能模塊對崗位能力進行劃分,對其工作過程,工作任務的對象,工具、方法與工作的組織,及對工作和技術的要求等,歸納如下:
1.主營業務流程中,業務財務分析中數據轉換;內部業務數據;經理及上游部門;內部信息系統系統錄入/輸出。
2.客戶管理,業務拓展,業務服務、現有產品/服務中客戶體驗、問題、拓展機會、企業銷售管理層指派、目標是保持良好客戶關系,保持并擴大業務量,保持競爭地位。
3.信息收信,整理,分析提供和管理過程中的信息安全保密,企業對內對外一切商業活動的保密(營銷、宣傳、新產品研發等的保密工作)。
4.網站的需求和收集整理,產生需求文檔,供后期開發;網站的開發和功能的修改完善,產生系統說明書,方便使用;網站信息的維護和過程,保持數據實時更新。
5.產品研發、測試、運維全過程;項目實施全過程:了解產品/服務過程,記錄研發測試運維的客戶需求和技術內容。
6.ITO、BPO等企業大量需要桌面外包工程師,向外派企業進行桌面端的全程服務。
7.為企業的信息部門或管理部門提供服務Excel、Access、Sqltrier等常用數據庫工具使用。
8.工作任務的對象為計算機及終端軟硬件,使用終端軟硬件的測試與維修平臺。
9.IT信息系統維護。
(二)典型工作任務提取方法
典型工作任務就是要求學生做一件事,但這件事是按實際工作的要求來操作的。可將基于工作過程的計算機信息管理專業的典型工作任務總結如下:企業內部數據維護、客戶管理、日常信息安全管理、網站日常運維、技術類文檔編寫、IT桌面設計、簡易數據庫設計、終端軟硬件基本維護、信息系統維護、中小型信息系統建設、應用軟件開發和測試運維。可把計算機信息管理專業人才培養方案中的典型工作任務的知識點歸納概括如下:
1.企業內部數據維護:基本操作知識、常用輸入法、應用軟件知識、操作系統知識。
2.客戶管理:營銷策略技巧、企業運營模式、談判技巧、商業模式。
3.日常信息安全管理:信息安全理論、泄密案例研究、數據庫基礎理論。
4.網站日常運維:HTML、CSS、Photoshop、Dreamweaver、網站設計工具。
5.技術類文檔編寫:產品生命周期知識、產品業務相關知識、技術文檔規范、軟件開發生命周期元素、方法論、規范。
6.IT桌面設計:Internet基礎知識、硬件和軟件、系統軟件、應用軟件。
7.簡易數據庫設計:計算機基礎知識、數據庫設計教程、基礎程序設計知識。
8.終端軟硬件基本維護:各種常用辦公軟硬件、各種pos系統/BIOS、OS:/Window/linux。
9.信息系統維護:OS:/Window/linux、DB:Oracle/MY SQL語言:ASP/JAVA/維護:ITIL、其他:網管。
10.中小型信息系統建設:OS:/Window/linux、DB:Oracle/MY SQL語言:ASP/JAVA開發:CMMZ其他:一體化系統(如Domma)。
11.應用軟件開發、測試、運維:軟件工程學相關知識、項目管理知識、測試工具與方法、開發工具與方法、了解企業生產工廠管理模式。
關鍵詞:IT運維;運維管理規范;安全運維管理;運維管理自動化
1 企業級數據中心運維管理面臨的挑戰
如今,作為企業數據傳輸、計算和存儲中心的數據中心,集中了各種軟硬件資源和關鍵業務系統,需要解決很多問題,這也讓數據中心的運行管理變得很困難。首先,依據上層業務的角度來看,計算是數據中心的主要任務,所以一定要對性能參數和業務流量進行調整,以確保服務器、數據庫、中間件和Web等運行正常;其次,依據基礎設施角度來看,要整合管理工具并在一個平臺內對路由器、交換機、服務器等設備進行管理,以滿足數據中心可視化管理的要求;再次,依據運維和服務的角度來看,數據中心各個方面的服務質量和服務流程是影響業務部門業務的直接因素;最后,依據技術發展趨勢方面來看,一定要將軟件和硬件管理好,使得數據中心的各項指標標準化后,可以完成自動化目標。這一過程需要靈活的管理機制和方法,讓各方面協調起來并不容易,企業數據中心管理人員要予以重視。
企業級數據中心運維管理具體來說就是系統進行規劃、協調、控制一達到信息系統服務的標準,是信息系統服務有關各項管理工作的總稱,它主要分為以下五個階段:
(1)數據中心戰略階段:這一階段要在資源設施的基礎上分析業務目標,明確IT與業務方案,為數據中心提供規劃和發展的藍圖,再進行高級執行規劃。
(2)數據中心設計階段:要依靠先進設備和高新技術,統計數據中心各項數據,規劃工程體系結構、治理模型。
(3)數據中心轉換階段:是協調新數據中心盡快運作起來,要在數據中心建設實施的時候就進行相關的物理設備部署、試運轉、驗收等動作,讓新數據中心快速的轉人生產運行階段。
(4)數據中心運行階段:依靠自動化管理軟件,管理復雜異構數據中心環境,為端口提供服務器、存儲、網絡以及審計、應用等管理。
(5)數據中心持續改進階段:通過ITIL/ITSM進行實踐,選取最佳的實施方案和評估制度,并在新IT技術和外包選擇的基礎上,持續不斷的提升數據中心的服務質量,實現成本中心向創中心的轉變目標。
所以,數據中心生命周期法是一項重要的管理原則,通過它可以有效的管理數據中心,這對于數據中心管理的運營和服務的改進意義重大。從整體上來看,數據中心的運維管理主要有運行和持續改進兩個階段,不過這一過程所需要的時間較長,需要投入一定的精力才可以管理好,充分發揮出數據中心的作用,確保數據中心業務系統應用達到更好的效果。
2 企業級數據中心的運維管理規范
運維管理規范了相應的數據中心運維服務原則和基本要求,能夠推動數據中心服務框架的構成。數據中心運維服務規范的制定,可以根據規范需求選擇相應的提供商,并對其服務進行評價,進而督促提供商提高服務質量,進一提升數據中心運維服務,提高工作效率。
機房基礎設施、網絡及網絡設備、服務器及存儲、軟件、數據是企業級數據中心服務的對象。數據中心服務有例行操作、響應支持、優化改善和咨詢評估等服務流程。需要根據約定條件和服務規定來進行監控和防護、檢查等作業,根據不同的響應前提,可以分為事件驅動響應、服務請求響應和應急響應。適應性改進、增強性改進和預防性改進是優化改善服務的三個形式,按照客戶的要求可以進行相關的服務方案和運行系統管理,對服務對象的運行狀況、運行環境進行現狀調研、系統分析和評估。
3 企業級數據中心的安全運維管理
根據系統的重要性網絡安全、密集程度等因素企業級數據中心可以分為安全域和實施信息安全等級進行保護。根據不同的需求可以對信息安全資源進行優化整合,構建數據中心應急響應系統和災難備份系統,將信息安全設備的作用充分發揮出來。不斷的提升保障體系建設,并逐步的完善相關的安全機制,根據相應的安全管理制度,加強數據中心安全和防護能力。所以,企業級數據中心在進行安全體系建設時要結合實際情況,采取相應的安全措施,依法辦事,讓安全防護體系的構架更完善。
4 企業級災備中心的運維管理
一般大型的數據中心中都會有災備中心建設,在進行建設災備中心以后,就可以管理相應的中心運營制度,主要有災難報告、災難恢復的審批及處理、日常備份等運行管理制度,應用好這些制度能夠保障災備業務的照常運行,并能夠有效的支持災備工作開展,發揮其最大的作用。災備中心運營管理是一個復雜的過程,需要專業的管理和運營制度。
5 企業級數據中心運維管理的自動化
從總體上來說,數據中心需要通過自動化的方式解決成本加大、運作復雜、數據架構等問題,以滿足相關標準和客戶需求。實現數據中心的自動化管理是數據中心的發展方向,如今IT服務管理成本逐步加大,其運維風險也不斷升高,所以需要通過數據中心自動化管理實現IT運維自動化,讓IT團隊實現資源轉型,提高服務水平。
6 結束語
降低人工操作的失誤率,加強對于整個系統的監控,讓運作更加簡單,是企業級數據中心運維管理的重要任務。同時,加強企業級數據中心運維管理還能夠節省人力,讓相關的技術人員可以全身心的投入到系統、流程的優化工作中,逐步實現數據中心運維管理自動化,節約成本,企業通過數據中心的自動化管理能夠更安全、有效的展開工作,適應時展的需求,并得到長足的發展。
參考文獻
關鍵詞:高校;信息化建設;無線網絡安全;運維對策;
進入21世紀之后,互聯網技術迎來了飛速發展的時期,越來越多的互聯網技術應用到了生產生活的各行各業中,可以說新時代的信息化建設改變著我們的生產和生活。而隨著我國"網絡強國"戰略的不斷推進,"互聯網+"模式與各個行業間的融合度越來越高。
高校信息化建設對于現代教育發展的意義重大,在課堂上,老師可以使用信息化手段進行授課;在業余時間,學生們還能夠在互聯網上瀏覽各種各樣的學習資源;甚至于很多的高校還提出了線上直播課程,信息化建設帶來了更加多元化的教學手段。但是,在高校信息化建設中,在安全上仍然會存在一些問題和漏洞,因為網絡具有公開、共享、實時的特點,因此網絡安全問題必然需要引起足夠的重視,近些年,無線技術在多個場景下得到普及,在高校場景下無線技術的應用一樣非常重要。無線終端設備比如手機、筆記本等已經成為高校生活里的必不可少的學習生活設備,傳統的有線網絡接入受制約性明顯的情況下,在特定的場景下比如圖書館,自習室,食堂等地方通過無線網絡的形式進行網絡覆蓋,對于提升高校信息化建設至關重要。然而,在高校信息化建立中無線網絡服務的安全問題不容忽視,一方面,需要提高無線網絡的服務質量,保障無線網絡的全時段通暢,并滿足全校師生的無線網使用需求;另一方面,無線網絡要重視相關的網絡安全建設,切實保障高校網絡的安全,并為高校信息化建設提供網線網絡安全保障。基于此在累積高校信息化建設經驗基礎上,探析無線網絡安全問題及運維策略顯得尤為重要。
1 高校信息化建設中無線網絡安全問題
在高校信息化建設中,通過對無線網絡的建設,最主要的目的是解決了有線網絡接入的一些限制問題及異常問題。高校無線網絡具有開放性的特點,在多個場景下甚至校園全域均需要具備無線網絡的接收能力。在無線網絡建設初期,網絡的覆蓋范圍為工作的重心,在校園內存在信號弱的地域內,進行重新預設,實現對信號的補充,保障校園各個區域都能夠接入網絡。而隨著高校無線網絡建設規模的不斷擴大,用戶的不斷增加,結合實際建設的情況,將高校無線網絡的安全管理逐步調整成為高校無線網絡建設的工作重點。高校無線網絡安全管理是一個系統的工作,需要結合高校的無線網絡設計形式以及網絡模式等進行有序的安全管理工作。下面對目前高校信息化建設里無線網絡常見的安全問題進行分析:
(1)非法用戶侵入。開放性是無線網絡設計的主要特點之一,但是在日常的實際安全管理中經常出現非法用戶侵入的問題。非法用戶侵入之后,對高校無線網絡用戶的用戶信息甚至賬號、賬戶信息都會構成威脅,很有可能導致教師或者學生的信息泄露。另外,由于在非法操作下會占用大量的無線網絡資源,就可能導致高校現有的內部系統穩定性受到影響。
(2)數據泄露。在大數據時代,高校教學管理體系中各類的教學數據是不可或缺的重要資源。為此,在無線網絡建設中需要規避利用無線網絡漏洞盜取高校教學數據資源的問題,這項工作是高校信息化建設的重要環節。然而,全國各地眾多的高校均發生過個人信息、教學資源、管理資源等外泄的事故,造成這種問題的主要原因一方面是數據結構不穩定,另一方面在于無線網絡漏洞,不法分子利用網絡漏洞將這些數據傳送至系統之外,給高校帶來了巨大損失。
(3)系統癱瘓。無線網絡的在使用中會有一定的限額,一旦同時使用的用戶過多,超過了能夠承載的限額,高校無線網絡可能會出現癱瘓的問題,而造成這種現象的原因主要是因為無線網絡在建設中設備配置存在問題,通常是在無線網絡建設時沒有對區域內的網絡運行及網絡服務需求有全面的考量,再加上高校內無線網絡使用的頻率存在高峰期和低谷期,一旦在高峰期出現大量用戶同時使用,就可能存在上述癱瘓的問題,并嚴重的影響我國高校信息化建設的效果。
(4)網絡監聽。很多不法分子利用無線網絡開放性的特點,通過不法手段竊聽重要信息內容后,對高校用戶進行惡意敲詐和勒索。如此一來,對高校的聲譽會造成不良的影響,同時對高校教師和學生的個人隱私信息的保護帶來隱患,甚至影響到用戶的安全問題。
(5)其他安全隱患。網絡安全管理本身是一項對于高校信息化建設里具有積極意義的工作,結合高校的無線網絡設計模式,可以發現其實很多高校存在安全性低的現象,有些無線接入點的設置就沒有考慮安全問題,在網絡認證形式上一樣存在缺陷問題,只有具備MAC認證,才能達到信息普及的效果。目前,國內高校配置高級的802.1x認證協議的并不多見,因此,對于一般校園無線網絡來講,還需要一套更加完善的安全體系。
2 高校信息化建設中無線網絡運維對策
通過對高校信息化建設過程中無線網絡安全問題的分析,我們可以知道非法侵入、數據泄露、系統癱瘓、網絡監聽等是當前常見的無線網絡安全問題,那么我們需要從這些問題的實際情況出發,尋求解決問題的相關運維對策,達到提升高校無線網絡安全的目的。
(1)合理應用無線入侵檢測技術。近些年來,無線網絡技術對于入侵技術有一定的要求,要求無線網絡的安全管理人員要能夠掌握檢測技術的種類,并通過對無線網絡進行檢測和分析,對非法侵入的類型進行判斷。為了保障高校網絡的安全和穩定,在日常加強監控和分析的工作之外,需要以無線入侵檢測系統為基礎,了解MAC地址概況,找到偽裝的WAP無線上網用戶,不斷強化防御系統的管理。
在高校信息化無線網絡建設中,要建立起完善的認證訪問控制形式,通常高校無線網絡用戶分為兩種一種是固定用戶,另外一種是流動用戶,結合實際的需求和用戶分析,以安全界定為基礎,采用802.1x認證方式對用戶進行認證,針對現有認證管理的注意事項,需要做好協議分析工作。
(2)加強數據安全管理,制定信息化安全制度。為了保障高校信息化建設中老師和學生個人信息安全問題,避免個人用戶信息外泄事故的發生,并保障高校教育教學數據資源的安全和穩定,必須在高校信息化建設中加強對數據安全的管理工作,大力推行信息化安全管理制度。在無線網絡使用頻率不斷增加的背景下,數據傳輸的安全是必須要全力保障的,并要時刻關注數據傳輸動態,并配置相關的安全管理機制,全面阻擋數據流通外泄的問題。在進行數據安全管理的制度里,要實行責任機制,從制度上完善監管機制,加大監管力度,營造良好的無線網絡安全的環境。
(3)做好系統運維,制定應急預案。高校信息化建設要以無線網絡為中心制定相應的系統運維計劃,要不斷優化系統承載能力,定期分析用戶使用需求和系統服務能力的關系,一旦發生系統癱瘓隱患,要快速拓展無線網絡的系統服務能力,同時要避免同一區域內網絡共頻的問題,避免多種網絡的相互干擾,造成系統穩定性降低的問題。在做好日常系統服務能力運維監控的同時,為了進一步降低無線網絡系統服務癱瘓的風險,提升無線網絡服務質量,結合各個高校的實際使用情況,要制定相應的應急措施,以前瞻性的措施對可能存在的潛在風險進行提前預防,保障高校無線網絡系統的安全穩定運行。
(4)完善現有虛擬專用網絡技術。虛擬專用網絡技術指的是在開放性的公用網絡上建立專用網絡的模式,以加密系統和隧道的形式的應用安全為基礎,保障無線網絡使用的安全性。虛擬專用網絡形式具有突然性的特點,能夠有效保障網絡的整體安全性。具體實施階段需要在VPN建設完成后,提供計費以及用戶認證的服務,以此來保障無線網絡的安全性提升。
(5)提高網絡安全管理技術水平。在無線網絡建設和后續的安全管理中,提升安全管理人員的安全技術水平及安全意識是重點工作。不僅要求安全管理工作人員能夠掌握安全管理的類型以及注意事項,還需要掌握足夠的故障維修及突發事件處理的能力。對于無線網絡的安全管理工作人員來說,安全意識和技術水平一樣重要,要不斷提升工作人員對無線網絡安全問題的重視程度,明確責任人制度,切實保障高校信息化建設無線網絡的安全運作。
(6)優化高校信息化建設無線網絡安全管理制度。根據高校信息化建設無線網絡安全管理的需求,要制定相應的規章制度,以制度來約束個人使用無線網絡的行為。具體規章制度包含《無線網絡升級管理制度》、《軟件更新準則》、《網絡數據資源管理辦法》等,同時依托高校各個教育管理部門,定期組織相應的無線網絡安全培訓,提升高校廣大師生的安全用網意識,并規范自身的用網行為,加強網絡安全管理自主性,發揮師生無線網絡安全管理主體能動性,削減無線網絡安全管理阻力,為解決各類無線網絡安全問題鋪平道路。
3 結束語
綜上所述,當前在高校信息化建設的過程中,對校園無線網絡安全管理有更高的要求,結合實際要求可知,在無線網絡安全管理中要明確注意事項及運維策略。可以說無線網絡的問題頻繁出現已經成為影響信息化高校建設的重要障礙。針對文中一系列的無線網絡安全性問題,需要廣大高校信息化工作者們加強數據安全管理,防侵入系統建設,信息化安全制度的優化,無線網絡系統的優化等多種運維對策加以應對,提高無線網絡安全穩定性,繼而推動高校信息化建設健康發展。
參考文獻
[1]陳亨坦。淺談無線網絡安全防范措施在高校網絡中的應用[J]中國科技信息, 2008(17):90+94.
[2]楊川。高校無線網絡安全問題及防范措施[J].計算機光盤軟件與應用, 2014, 17(15):207+209.
[3]楊。基于大數據環境下的高校檔案信息化建設分析[J].蘭臺內外, 2021(5):7-9.
關鍵詞:信息技術;信息運維管理;創新
中圖分類號:TP311.52 文獻標識碼:A 文章編號:1006-8937(2013)17-0057-02
所謂“信息運維管理”,是指單位信息部門采用相關的方法、手段、技術、制度、流程等,對于信息運行環境、信息業務系統和信息運維人員進行的綜合管理,其系統支撐也就是所謂的信息運維管理系統。最早的信息運維系統出現在20世紀80年代的英國,最早是為英國政府部門開發的,但很快就在英國的眾多企業中得到了廣泛的應用。而我國企業生產為了將信息化與自動化高度整合,進而實現多層次生產、全方位管理的協調發展,也采用了相應的IT管理系統,不斷改善信息運維管理,建立綜合信息化運維管理體系,極大地提升了企業數字化管理的效率。但由于管理模式的限制,我國的信息運維管理仍存在一些問題,亟待管理人員、技術人員不斷創新進行系統改革。
1 當前我國企業信息運維管理的現狀
IT管理系統的應用,使信息系統逐步成為企業生產經營不可或缺的組成部分,也成為保障企業安全生產的重要因素。但由于大量的信息數據,信息運維管理系統在工作時經常出現一些問題,主要可以歸結為以下幾個方面:
①運維管理人員經驗不足,能力有待提高。隨著信息技術的快速發展,企業的信息系統數量不斷增多,為了更好地管理大量的數據,企業便會不斷對信息運維管理系統進行調整,而運維管理人員沒有接受及時的培訓或進行相關方面的學習,對信息系統的維護與管理不清楚,就造成了系統技術與人力管理不協調。一旦信息運維管理系統發生故障,或有突發狀況,由于管理人員的經驗不足,專業技術指向性不強,便會造成信息系統的維護不及時,導致企業信息數據流失甚至財產損失,不利于企業的長期穩定發展。
②系統運行不穩定,缺乏安全保障。企業為了適應信息化的要求,采用了IT管理系統,但面對大量的信息數據,IT環境仍不夠安全可靠,信息數據的挖掘深度和廣度都不夠,極易發生信息失真,缺乏一套完整的信息數據安全保障系統的支持,并且系統的運行過于依賴人,關鍵人員的流動往往會引起信息系統的大幅度波動。此外,盡管網絡、服務器、數據庫、應用軟件等都達到了99.5%的可用性,但仍意味著一年要有十多天的停機時間。
③信息系統的檢查不及時,缺乏力度。信息自動化系統,具有復雜性、綜合性及連續性等特點,使得信息運維管理系統始終處在波動狀態,運維管理人員總是處在“救火”狀態,哪里有問題就去哪里補救,處于被動的服務狀態,疲于臨時故障的解決,缺乏對運維系統的整體巡檢,更是對如何有效地防范和應對問題沒有系統的認識。此外,IT部門缺乏相應的應用和服務支持,信息數據審核不嚴謹、數據收集不及時,造成信息混亂與缺失,不便于企業對信息的整理與分析。
④運維管理制度不夠規范化、系統化。信息系統中的問題,歸根結底是缺乏一套具有科學合理的技術體系設計、功能方便的運維管理系統來支持信息的自動化管理。由于信息運維管系統在我國企業的運用尚未完全普及,國家也沒有制定出完善的運維管理制度,致使管理系統缺乏技術、制度的支持,系統的服務質量與業績也沒有量化的標準,不利于對管理人員的內部管理。
2 信息運維管理的創新對策
建設一套“功能完備、架構合理、安全穩定、規范標準”的信息運維管理系統,對推動企業自動化、信息化管理有重要的意義。而隨著信息技術的發展,越來越多的企業部門開始反思如何更好地開展IT管理系統,提供更好的運維手段來支持業務高效、穩定、安全的發展。要實現其的創新管理,可以從以下幾個方面入手:
①加大對管理人員的技術培訓,挖掘其自身潛力。信息技術的發展與時俱進,不斷變化。要想將信息技術與人力運維管理有機的結合起來,這對人才的能力有了更高的要求,需要企業的IT部門加大對人才的選拔,不可過于依賴于某個人,同時注重對員工的技能培訓,不斷加強其自身對知識的接受與學習能力,以適應現今競爭激烈的社會。此外,適時地績效審核是不可或缺的,一方面,可以對員工過去一段時間的工作成果進行整體評價,便于及時發現其工作失誤或優秀方面,可以提高員工工作的積極性和責任意識;另一方面,可以對員工的未來業績進行制定,以挖掘其自身潛力,利于企業的工作質量和效益的保證。
②設立信息數據安全保障體系,加強風險防范。IT系統的管理需要技術保障,隨著信息技術的不斷創新,運用有效的運維支持系統來保證信息數據的收集、存儲和分析是一個必要的技術保障。如目前最新的信息安全保障體系是SD-DSM系統,它是全球最先進的三位一體電子存儲數據安全保障體系,該體系由兩套硬件設備組成,分別為SD-DSM-A及SD-DSM-B模塊。SD-DSM為單位信息化保障建設提供縱向深度防御和橫向容災實時恢復相結合的全面解決方案,涵蓋了前預防(離線備份)、中守護(數據恢復)、后防泄密(數據擦除銷毀)三個方面。三個方面的立體防護保障體系為單位使用服務器、辦公電腦、筆記本電腦、移動硬盤等電子存儲數據打造了最低風險的穩定運行環境以及無責任事故的單位信息安全體系。通過先進技術的運用,可以盡量將風險降到最低,減少不必要的經濟損失。
③深入檢查信息運維管理系統,進行事前準備。信息數據量多、信息管理工作繁雜,是每個企業IT部門面臨的問題。面對海量的數據,企業能做好的就是加強對信息數據的審核,IT部門要不斷及時、深入地巡查信息運維管理系統,盡早的發現問題,并及時更正,對所出現的問題要進行記錄和總結,制定出有效的防范和應對方案。在信息數據整理好后,再由IT部門交由其服務部門進行審核、更正,以加強信息的準確性。
④完善信息運維管理制度,建立科學合理的管理體系。IT管理主要是各種技術管理工作,像服務器管理、網絡管理、系統軟件管理和信息臺賬管理等,而為了更好地開展信息運維管理工作,需要將技術管理轉化為流程管理,再將流程管理轉化為服務管理,以滿足客戶的需求,創造更人性化的服務。同時,為了建立起具有行業特點和企業特色的運維管理系統,實現運維管理的及時性與主動性,就需要建立專門的運維中心,便于所有數據的集中存放與管理。此外,國家和企業也要制定相應的運維管理制度,制定一套完善的信息運維管理體系,嚴厲打擊破壞、偷竊他人信息的行為,鼓勵更多企業加強技術的更新,加大對信息運維管理的投資力度與專業人員的技術指導,加強其程序操作的規范性、合理性。
對于一些大型企業,信息設備和信息系統復雜多樣,單靠人工管理他們的運行和維護情況已不可能,這樣就需要一套切合實際的信息運維系統來輔助單位信息中心進行自動化管理,不斷完善信息運維管理系統,實行創新化管理,提高管理人員的素質培養,設立安全可靠的信息保障體系,深入檢查信息運維數據,將會極大地促進企業的信息化、數字化發展,實現企業的自動化管理,也對信息運維管理系統的穩定運行有著重要意義。
一、前言
縣級供電企業是國家電網公司的基層單位,其信息通信管理處于電網企業管理的最基層的執行地位,管轄的電力基礎設施是有電力通信傳輸網、電力信息網、電力數據網組成,在通信網絡上搭建信息網和數據網,支撐電力業務的信息安全運行。如何使信息通信滿足企業安全生產,經營管理的需要,必須建立統一、集中管理的一體化模式,實現信息通信專業管理由條塊分割向協調統一,由分散粗放向集中精益的根本性好轉。
二、現狀分析
(一)信息網現狀分析
通過實施局域網改造項目,將核心交換機與通信接入設備的鏈路,由原來的單鏈路改造成雙鏈路,實現核心交換機之間千兆連接,增強與變電站、供電所及各部室的寬帶連接,完善網絡管理,保證網絡的可靠、高效運行。無論信息網絡、還是通信網絡建設都是一項重要的工作,對信息和通信網絡融合進行有效管理,不僅可以提高網絡系統的穩定性,還可以大大減輕運維的工作量。
(二)人才隊伍現狀分析
根據國家電網公司“SG186工程”,縣級供電企業信息化建設需實施“6個保障體系”,即信息化安全防護體系、標準規范體系、管理調控體系、評價考核體系、技術研究體系和人才隊伍體系。信息通信班組主要負責通信網的運行、維護、檢修;信息通信系統運行監控、檢修和日常維護;上級公司生產經營集中部署的應用系統、局域網和機房設施的監控和運維,公司內外網桌面終端管理和運維,電視電話會議技術支持。人才方面,全面提高信息通信運維人員的綜合能力和素質,淡化專業分工,培養“一專多能”,多專業兼顧的復合型人才,按照信息通信行業特征,突出專業化的業務實施,為電力系統提供強有力的人才支持。
三、實施專業化管理
(一)加強資料管理提升軟實力
準確完善的運行資料是提升班組管理的軟實力。信通設備資源管理是一項龐大的數據系統工程,要實現資源的共享,建立并及時更新設備信通臺賬,做到對通信設備的的全生命生命周期管理。積極推行設備狀態檢修,確保設備運行的可控能控在控,有效的提升設備健康運行水平。進一步加強班組運行資料的整理歸檔工作,各類圖標資料做到繪制精細化,修改滾動花,現場同步化,大大提高班組運維管理水平,更好的為全公司提供一個安全可靠地穩定的通信平臺。
(二)加強技能培訓提升員工素質
統計分析,縣級供電企業從事通信的技術人員無論從年齡結構,還是學歷層次、職稱級別、技術等級,都處于相對弱勢,整體技能素質不是很高,制約了公司信息通信運維創新的發展需求,通過加強技能培訓,來切實提高運維人員的綜合能力和通信網絡的運行管理水平,確保電力通信網絡的安全。在制度上,將標準化班組建設與學習型班組建設有機結合起來,搭建交流共享的學習平臺,廣泛收集積累外、內部信息和知識,在班組中營造濃厚的學習氛圍。要注重新知識的推廣培訓工作,確保班組全體人員掌握先進的技術。班組要建立常態崗位練兵機制,加大學習理念的宣傳教育力度,采取問答、考試、比武的方式,激發員工在工作中學習、在學習中工作的積極性和熱情。
(三)加強績效管理提高工作積極性
完善管理制度,提倡一崗多能及專業融合,全面提高工作效率。制定階段性職業生涯,合理設置職業愿景及階段性職業發展計劃,做到近期有目標,長期有愿景,促進員工在日常的積累進步中實現職業生涯的健康發展。制定績效考核制度,鼓勵技能提升專業融合,針對分工完成情況,結隊幫帶,制定切實可行的考核制度,對每項制度完成情況進行打分,當月完成情況好的給予績效加分,與工資獎金掛鉤,鼓勵員工對各項制度的落實。
(四)加強一體化管理推動相互融合
近年來,供電企業信息、通信技術取得了很大的進步,傳統的通信專業和信息專業界限被打破,信息通信技術相互交融性很強,新技術與新應用進一步推動了信息通信的相互融合。通過整合信息通信資源,深入開展信息通信系統適應性調整和完善提升,加快構建信息通信一體化管理,建設和運維體系,提升集約化、扁平化、專業化管理水平,全面支撐堅強智能電網和“三集五大”體系建設。隨著智能電網的發展,對通信網絡管理和信息安全防護提出了新的要求。企業的信息化水平是衡量企業現代化水平的重要標準,信息系統逐漸集中,對信息網絡通道的安全、可靠提出了更高的要求,需要大量的信息設備終端維護工作及信息安全保障工作。在通信專業管理方面,主要職能為引進先進的通信技術,規劃通信網絡,提供各類可靠通道。信息通信專業一體化管理后,網絡統一規劃建設,統一運維管理,合理使用網絡資源,避免了重復運檢,節約了人力、物力資源,消除了跨專業管理的真空,減少了消除故障的時間,提升了信息運維管理工作效率,減少了網絡邊界安全隱患,提升了網絡安全管理的指標,為數字化、信息化電網提供強有力的支撐。
信息通信專業融合建設是一項復雜的系統工程,涉及到環境、網絡、系統、業務各層次的管理,以及對人員的培訓教育與管理,不能一蹴而就,需要“統一指揮,反應敏捷、協調有序、運轉高效”的管理機制,切實提高信息通信系統運維水平和工作質效,確保信息通信一體化管理體系在電力生產中發揮重要作用。
四、結語
電力信息通信作為電網支撐平臺,在保障電網安全運行,市場經營和公司現代化管理等方面發揮著重要的作用,信息通信管理需要規范化的管理、專業化的隊伍、系統化的技能,才能打造更加穩固堅強的管理技術支撐平臺,推進公司管理水平持續提升。
1、電力營銷IT運維管理現狀
為了實現智能化、自動化、人性化營銷服務需求,國內供電企業IT信息化系統建設正處于高速發展的階段。電力營銷、生產、人力資源管理等主營業務系統也逐步向系統化、網絡化方向發展。目前,很多供電企業所建立的電力營銷IT監控運行系統和IT服務管理系統,基本上沿用常規面向設備服務的管理體系,沒有現代智能營銷直接面向服務對象的運維體系。常規面向設備服務的運維管理模式,很難從整體系統較多對整個營銷業務系統的可行性、可用性、以及健康狀況進行動態測評,也就很難將用戶人性化服務有效考慮其中,無法實現面向電力用戶的業務服務水平進行動態兩戶評估分析,從而造成營銷運維管理長期處于“被動”局面,在系統功能結構、數據處理等方面均已不能滿足現代日益擴展的面向電力客戶人性化服務的營銷運維管理工作需求。因此,結合電力企業營銷運維管理實際情況,整合現有的營銷監控運行和服務系統,從網絡化、系統化、人性化等方面強化營銷運維系統的分析應用功能,進而實現全面面向電力用戶服務的集中運維管理體系,對電力企業而言就顯得非常必要[1]。
2、電力營銷IT運維管理體系主要實現功能
電力營銷IT運維管理體系,是指電力企業營銷管理部門,通常采用相關的運行維護管理方法、技術手段、規章制度、操作流程、以及文檔資料等的優化,通過IT運行環境(包括運維管理硬件環境、網絡環境、高級功能應用軟件環境等),實現對營銷業務系統和運維人員進行綜合系統管理。電力營銷IT運維管理體系在構筑過程中應從以下方面進行考慮:
(1)設備的運維管理:對網絡設備、服務器設備、PC電腦、計算機輔助設備等的運行工況狀況進行動態監控運行和維護管理;
(2)應用軟件的運維管理:對營銷過程中各種高級應用軟件如:數據庫、操作系統、WEB瀏覽器、郵件、以及營銷系統中各種通用或特定的服務監控軟件系統進行運行維護管理;
(3)數據運行管理:對系統運行數據、業務數據、操作事件等信息,進行統一的存儲、備份、以及恢復等管理;
(4)業務信息管理:對營銷事件中發生的各種信息數據、系統運行工況、業務流程、業務操作完整性、以及業務辦理實施全過程,進行動態監控與管理;
(5)系統運行安全管理:針對電力企業營銷過程的行業特點、運行維護系統安全、環境安全、數據信息安全、管理權限保密控制等進行安全管理;
3、“主動式”營銷運維管理模式構建
3.1優化營銷業務服務流程
優化營銷業務運維管理服務流程是為了規范運行管理和檢修維護操作技能流程,既要根據營銷運維管理制度實際功能需求,建立完善可靠、科學合理的營銷業務運維管理服務流程。通過營銷業務運維管理流程的優化改進,可以使日常的運維管理工作更加流程化、系統化,使運維管理人員角色更加清晰化,從而有效提高營銷業務問題的解決速度和質量,使整個運維管理體系中信息數據的相關技術和信息資料更加暢通和透明,使實際營銷服務信息更為完整化、靈活化。營銷業務運維服務流程,涉及到整個營銷業務的事件管理、問題管理、配置管理、變更管理、以及管理等五個核心運維管理業務流程。在“主動式”營銷運維管理模式建立過程中,要充分結合國家電網公司“兩級三線”的可靠運維體系模式,根據營銷業務實際功能需求,通過梳理優化運維業務、工作票、操作票等與營銷業務服務相關的運維管理流程,確保整個營銷服務業務運維流程能夠按照國家電網公司相關技術標準進行建設運行[2]。
3.2建設高質優質營銷業務技術支撐平臺
隨著“SG186”工程,電力營銷業務應用、營銷智能分析與輔助決策系統、用電信息遠程集中采集系統、以及營銷動態稽查監控系統在電力營銷領域中的建設和普及,同時考慮智能電網建設營銷服務功能系統等需求,建設高質優質營銷業務技術支撐平臺,已成為“主動式”營銷運維管理模式構建需要考慮的重要內容。因此,電力營銷相關部門在進行營銷運維管理模式建立過程中,面對越來越艱巨的運維管理任務和服務功能需求,應充分借助現代電力信息技術,從精細化、精益化、科學化、網絡化、系統化等運維管理方面,建設高質優質的營銷業務技術支撐平臺,具備對各類運維事件信息的全面采集、動態運算分析處理能力,實現營銷運維管理系統運行維護工作的智能化、自動化、高效率目標,有效提高整體營銷業務運維系統的運行維護管理水平。
【關鍵詞】供電公司 運維管理系統 研究 應用
近些年來人們對電力資源的需求在不斷的增加,電力行業呈現出較好的發展趨勢,電力公司也隨之增多了起來,電力公司的規模也在不斷的擴大,為了方便電力公司管理工作的進行,電力公司開始應用了網絡信息技術,具體的應用方式為建立運維管理系統,并且涉及到了電力公司的供電分配和生產經營等多個方面。
一、供電公司運維管理系統存在的問題
(一)供電公司運維管理系統存在不合理性
供電公司中的運維管理系統一般都是由供電公司項目管理人員與項目管理工作一起進行的,在這樣的管理任務分配中,很容易出現偏重項目管理工作忽視運維管理系統工作的現象,另外從事項目管理工作的員工具有一定的注重技術性,因此在運維管理系統工作中容易忽略其運行的系統性。
(二)運維管理系統缺乏條理性
供電公司的運維管理系統大多數是在電力公司已經運營一段時間后才發展起來的,因此在管理方式與管理系統上存在著一定的問題,缺乏較為規范的管理制度,管理人員在運維管理系統工作中缺乏管理力度,并且在管理的過程中受人為因素的影響程度較大,導致很多常見問題沒有很好的解決方式,提高了運維體系管理的難度。
二、運維管理系統建設的原則
(一)安全性原則
在建設電力公司運維管理系統的時候,首先要保證的就是安全性,這樣可以降低供電運維系統被攻擊的可能性,另外還要避免出現個人利用供電公司運維系統維護私利的現象,更要杜絕運維系統中非法經營的現象。
(二)可管理性原則
運維系統作為供電公司中的主要管理體系要具有可管理性,為公司的運行提供管理支持,為相關的技術的發展提供科學的數據支持,這就要求公司運行的數據是集中的,管理方式也是集中的,這種集中不單指的是物理上的集中,更是指管理思想和管理體系的集中,這樣才能在供電公司建設的過程中為其提供有效的管理方式,并且保證相關員工在查找資料時能夠快速查找到所需資料,進而提高運維管理系統運行的效率。
(三)可擴展性原則
一個供電公司的發展是在不斷進步的,那么相關的建設和管理體系就要做出相應的變化,但是又不可能完全的發生變化,因此為了m應高速變化的供電市場,增加供電公司與時代接軌的程度,運維管理系統需要具有可擴展性,這樣在供電行業出現變化時,運維管理系統能夠在最短的時間內被擴展應用內容及應用范圍。
三、運維管理系統的應用方式
(一)在拓撲管理中的應用
在供電公司的運維管理系統中最為核心的一項管理系統就是拓撲管理,也是構成管理條件的核心要素之一,明確的拓撲圖能夠讓管理者明確管理系統中的網絡規模、應用設備分布、故障定位等,讓管理者能夠直接找出管理系統中的問題,并且能夠根據運維系統及時的發現其中的錯誤原因,然后再根據原因采取相應的解決措施,具有其他管理角度所不能達到的管理效果。另外拓撲圖能夠反應各項網絡傳輸中的真實情況,有著提高網絡監管效率的作用,能夠讓管理者一目了然的了解公司運營的情況,并掌握各個階段的管理監控情況。通過對運維管理系統的監控來提高對供電公司管理的程度。
(二)在網絡設備管理中的應用
供電公司的運維管理系統能夠涉及到的網絡設備有路由器、網絡交換機、防火墻設施等,并且這些網絡設備的運行情況都能在拓撲圖中有所展示,通過對網絡設備產時間運行過程的顯示,工作人員可以了解到整個網絡設備運行體系甚至是整個供電體系運行的情況,這樣工作人員能夠及時的對網絡設備中出現的問題進行檢查,并采取解決措施另外工作人員還可以根據運維管理系統顯示的人信息對各個網絡設備的端口及服務器開關進行檢查,確保每一項網絡服務器的運行狀態是符合供電公司發展的要求的。其中對網絡設備的管理工作主要表現在網絡拓撲管理、設備運行狀態管理、運行信息管理、運行結果分析管理、系統配置管理、歷史數據顯示管理、設備檢查管理、設備維修管理、設備不正常運行管理上。
(三)在設備報警管理中的應用
在供電設備上安裝報警管理系統是十分有必要的,對報警系統的管理也是供電公司運維管理系統應用的一個表現,主要是在報警信息系統中應用信息集中、信息判斷、信息傳遞等功能,確保在問題以及隱患出現的時刻,能夠及時的將信息記以及系統和設備的運行情況及時的傳遞到管理人員的監控器中。報警管理中最為重要的就是報警級別的管理,在管理報警級別的時候可以運用不同的功能接受端口,或者是對不同等級的報警系統采用不同的顏色為和標志。另外不同的級別的報警還可以采用不同的報警聲音,如郵件省、短信提醒聲、網絡消息接受聲等,這樣管理人員在聽到不同的報警聲音時可以帶好不同繁榮整修工具,這樣能夠一次性的完成對問題設備的檢修工作,提高了檢修的效率。
(四)在網絡修補日志上的應用
關鍵詞:信息安全;管理體系;PKI/CA;MPLS VPN;基線
在供電企業現代信息技術廣泛運用生產經營、綜合管理之中,實現資源和信息共享,為領導提供相關輔助決策。保障企業信息安全是企業領導層、專業人員及企業全員共同面對的。信息安全是集管理、人員、設備、技術為一體系統工程,木桶原理可以很好地詮釋信息安全,一個企業安全不取決于最強項,而取決最短板。信息安全需從制度建設、體系架構、一體化防控體系、人員意識、專業人員技術水平等多方面共同建設,才能有效提高企業信息安全,才能為企業生產、經營保駕護航。
1基層供電信息安全現狀
基層供電企業信息安全建設方面,在制度建設、安全分區、網絡架構、一體化防護、人員意識、專業人員技術水平等多方面存在不同程度問題。
1.1管理制度不健全,制度多重化
信息安全制度建設方面較為被動,大多數都是現實之中出現某一問題,然后一個相關制度,制度修修補補。同一類問題有時出現不同管理規定里,處理辦法不一,甚至發生沖突。原有信息安全管理制度寬泛,操作性較差。信息系統建設渠道不同,未提前進行信息安全方面考慮,管理職責不明,導致部分信息安全工作開始不順暢。
1.2安全區域劃分不明,網絡架構不清晰
基層供電企業系統建設主要由上級推廣系統和自建系統,系統建設時候相當部分系統未充分考慮系統,特別是業務部門自建系統更甚。網絡建設需要什么就連接什么,存在服務器、終端、外聯區域不明顯,網絡架構不清晰。
1.3未建立一體化安全防護體系
從近些年已經發生的各類信息安全事件來看,內部客戶端問題造成超過將近70%。內部終端用戶網絡行為控制不足,存在網絡帶寬濫用;終端接入沒有相應準入控制,不滿足網絡安全需求用戶接入辦公網絡,網絡環境安全構成極大風險;內部人員對核心服務器和網絡設備未建立統一內部控制機制;移動介質未實施注冊制管理等問題。
1.4未建立行之有效設備基線標準
網絡安全設備、操作系統、數據庫、中間件、應用系統等廠家為了某種方便需求,在設備和系統中常常保留有默認缺省安全配置項,這些恰恰是別人利用漏洞。基層供電企業在部署設備和系統時,沒有統一基線標準,沒有對設備和系統進行相應基線加固,企業存在潛在風險。
1.5信息安全意識較差,技術水平參差不齊
企業信息安全認識存在認識上誤區,常常認為我們有較強信息安全保護設備,外部不易攻破內部,事實上堡壘常常是從內部攻破的。比如企業員工弱口令、甚至空口令、共用相同密碼、木馬、病毒、企業機密泄露等,這恰恰是基層供電企業全員信息安全意識較為薄弱表現。專業技術人員缺乏必要自我學習和知識主動更新,未取得專門信息安全專業人員資質,處理問題能力表現參差不齊。
2必要性
信息安全為國家安全重要組成部門,電力企業信息安全為國家信息安全的重要元素,電網安全事關國計民生。2014年2月,國家成立中央網絡安全和信息化領導小組,將網絡信息安全提升前所未有高度。近年發生的“棱鏡門”事件,前幾年發生伊朗核電站“震網”病毒(Stuxnet病毒)網絡攻擊,其中一個關鍵問題就是利用移動介質擺渡來進行攻擊,造成設備癱瘓,這一系列信息安全事件都事關國家安全,因此人人都要有信息安全意識。首先要防止企業機密數據(財務、人資、投資、客戶等)泄漏;其次,保持數據真實性和完整性,錯誤的或被篡改的不當信息可能會導致錯誤的決策或商業機會甚至信譽的喪失;最后,信息的可用性,防止由于人員、流程和技術服務的中斷而影響業務的正常運作,業務賴以生存的關鍵系統如失效,不能得到及時有效恢復,會造成重大損失。建立嚴格的訪問控制,前面數據分級時有制定數據的“所有者”及給敏感數據進行分級,按照分級的要求制定嚴格的訪問控制策略,基本的思想是最小特權原則和權限分離原則。最少特權是給定使用者最低的只需完成其工作任務的權限;權限分離原則是將不同的工作職能分開,只給相關職能有必要讓其知道的內容訪問權限。通過對內部網絡行為的監控可以規范內部的上網行為,提高工作效率,保護企業有限網絡資源應用于主要生產經營上來。
3特點探析
通過我們對基層供電企業在信息安全存在問題及必要性來看,主要是管理制度、網絡信息安全技術、人員意識等方面存在問題,有以下特點。
3.1管理制度方面
常說信息安全“三方技術、七分管理”,制度建設對信息安全保障至關重要。信息安全管理制度應該有上級主管部門建立一套統一管理制度,基層供電企業遵照執行,可以根據各單位具體情況進一步細化,讓管理制度落地。從企業總體信息安全方針到具體專業制度管理上,實現全網一體化,規范化。
3.2網絡信息安全技術方面
上級專業主管部門,站在企業高度,制定專業技術標準和技術細則。從網絡安全分區、網絡技術架構、互聯網接入和訪問方式、終端安全管理、網絡準入控制等方面統一規劃,分布實施,最終實現企業網絡信息安全防控一體化。
3.3信息安全意識培養方面
企業員工信息安全意識培養是個長期的過程,不是通過一次兩次培訓就能解決的,采取形式多樣化方式來培養員工安全意識,可以通過集中培訓講課、視頻宣傳、張貼宣傳畫等方式進行。針對專業人員,要讓他們養成按照制度辦事習慣,用戶需要申請某項資源,嚴格按照制度執行,填寫相應資源申請,有時候領導打招呼也要按照制度流程來執行。長此以往,人人都會知道自己該做什么,不該做什么,該怎么做,企業信息安全意識就會得到極大提高。
3.4專業技術人員水平方面
信息安全技術日新月異,不學習就落后,不斷收集信息安全方面信息,共同討論相關話題,建立相應培訓機制,專業人員實行持證上崗,提升專業人員實際解決問題能力,有效提高人員專業素養,成為企業信息安全方面專家。
4實施和開展
從2009年開始,先后進行一系列信息安全建設,涉及到信息安全制度建設、網絡信息安全體系架構、信息安全保障服務、人員培訓等方面,整體提高基層供電企業信息安全狀況。
4.1信息安全制度建設
2010年開始信息安全體系ISO27001、27002建設,結合企業情況,形成30個信息安全相關文件,涵蓋企業信息安全方針、等級保護、人員管理、機房管理、網絡信息系統運行維護管理、終端安全、病毒防護、介質管理、數據管理、日志管理、教育培訓等諸多方面。2013年為進一步提示公司信息化管理水平,先后增加修改建設管理、實用化管理、項目管理、信息安全管理、運維管理、綜合管理5個方面14個管理細則。經過這一系列制度建設,基層供電企業有章可循,全網信息安全依據統一,明確短板情況。
4.2建設一體化網絡與信息安全防控
首先依據電監會5號文件要求,網絡架構按照三層四區原則進行部署建設,生產實時控制大區(Ⅰ、Ⅱ區)與信息管理大區(Ⅲ、Ⅳ區)之間采用國家強制認證單向數據隔離裝置進行強制隔離,網絡架構采用核心、匯聚、接入部署。網絡接入按照功能劃分服務器區、網管區、核心交換區、用戶辦公區、外聯區、互聯網接入區,在綜合數據網上,利用MPLSVPN,根據劃分不同VPN業務、隔離相互間數據交叉。建立全網PKI/CA系統,構建企業員工在企業數字身份認證系統,已建成系統進行未采用PKI登陸系統,進行相應改造結合PKI/CA系統,采用PKI登陸,在建系統用戶登陸必須集成PKI登陸。根據企業信息安全要求,進行互聯網統一出口,部署統一互聯網防控設備,建立統一上網行為管理策略,規范員工上網行為,合理使用有限互聯網資源,審計員工上網日志,以備不時之需。建立企業統一病毒防護系統,實現病毒軟件統一安裝,病毒庫自動更新,防護策略統一下發,定期統計病毒分布情況,同時作為終端接入內網必備選項,對終端病毒態勢比較嚴重用戶進行督促整改,有效防止病毒在企業內部蔓延,進一步進化內網環境。建立統一網絡邊界安全防護,在企業內網邊界合理部署防火墻、IPS、UTM,并將其產生日志發送到統一安全管理平臺,進行日志管理分析,展現企業內部信息安全態勢,預警企業內部信息安全存在問題。利用AD域或PKI/CA進行用戶身份認證,建設統一桌面管理,所有內網用戶必須滿足最基本防病毒、安全助手、IT監控要求方可接入內網,系統啟用強制安全策略,終端采用采用DHCP,用戶不能自動修改IP地址,在DHCP服務器上實現IP與MAC地址及人員綁定,杜絕用戶私自更換IP地址引起沖突。安全認證方面可以采用NACC或交換機802.1x方式進行,不滿足要求用戶,自動重定向到指定網站進行安全合規性檢查,滿足要求后自動接入內網,強制所有用戶采用統一網絡安全準入規則。實行移動介質注冊制,極大提高終端安全性,有效保護企業信息資產。建立內部運維控制機制,實現4A統一安全管理,認證、賬號、授權、審計集中管控。規劃統一服務器、網絡設備資源池,按照用戶需求,提交相應申請材料,授權訪問特定設備和資源,并對用戶訪問行為全程記錄審計。
5結語
關鍵詞:信息安全;體系建設;方案
中圖分類號:TP309.2文獻標識碼:A文章編號:1009-3044(2008)36-2846-02
The Implementation Program of an Information Security System for an Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: In view of the enterprise information technology becoming more, the issue of business information security has become an important factor in life, an enterprise information security system for the implementation of the program. From the organization, management, construction and technical aspects on the construction of the three. In the specific implementation process, based on the specific circumstances at the same time or step-by-step building-related.
Key words: information security; system construction; program
1 引言
信息安全的體系建設就是讓企業建立安全的組織架構,同時建立一套管理規范來規范成員的行為,并建立起安全的平臺為企業提供安全支撐同時為企業創造效益。本文根據一些企業現在實際情況,針對其信息安全現狀提出總體的實施步驟。企業在具體的實施過程中可參照這些步驟考慮實施。
下文將根據組織建設、管理建設和技術建設三個方面展開闡述。同時,在對技術建設闡述時,將從基礎設施建設和系統建設兩個方面分開闡述。
2 信息安全體系建設總體步驟
具體的實施步驟如圖1所示,具體包括:組織建設、團隊建設、管理規范、基礎環境、資產定級和評估、支撐系統和服務運維。以上組成部分都可歸結為組織建設、管理建設和技術建設三個方面。
圖1 信息安全體系建設步驟
實施步驟中有的步驟是可以同時進行的,如圖2所示。但有相對的優先級,優先級高的環節相應的應該放在優先考慮的位置。有些環節鑒于完成的周期較長,建議可以同步進行,避免信息安全實施周期過長,影響企業的目標達成。
3 組織建設
信息安全體系建設要做好,組織建設是關鍵。組織建設是所有其它建設的前提。而組織建設的第一步就是做好組織調整。組織調整就是把信息安全運營管理分為兩個部門,一個是生產部門,一個是管理部門。
3.1 信息安全管理部門
信息安全管理部門有權對其它部門進行安全考核,同時信息安全生產部門是由信息安全的管理部門直接管理指揮的。信息安全管理部門的職責決定其管理部門對企業信息安全有著全局的管控能力,負責信息安全全局任務下達和監督,安全戰略目標的建議以及政府、公安、司法等安全外聯。
3.2 信息安全生產部門
信息安全生產的部門,其信息安全生產內容包括三個部分,對內是企業信息安全的支撐、對外提供企業信息安全服務和公眾信息安全服務,接受安全管理部門的領導的管理和考核,和其他生產部門屬平級關系。
4 管理建設
4.1 管理制度頒布
對于管理制度,必須對管理規范和流程進行規范定義,在管理制定頒布之前應該作以下的事情:由安全管理部門牽頭召開各個部門參與的管理制定內容研究討論會,收集各方建議;根據各個建議對管理制度進行修訂;修訂后管理制度,再次召集各個部門討論并基本通過;安全管理部門頒布管理制度并確定管理制度的實施的開始時間;在制度實施開始時間之前,進行制度宣灌,組織各個部門參加學習,并進行相關學習的考試;管理制度開始實施。
4.2 管理制度落實
信息安全管理制度落實是由信息安全管理部門的管控部執行的,管控部包括考核、質檢、審計三個小組共同組成,考核各個部門管理制度的落實情況。如何對各個部門的信息安全情況進行考核呢?不同時期有不同的做法,分為兩個階段:
一是SOC(信息安全運維中心)建設階段。SOC建設階段由于安全生產組織和安全支撐系統還不夠健全,對安全的支撐十分有限,因此這個階段的質檢、審計、考核多以手工為主,信息安全審計和信息安全質檢以部門抽樣檢查為主,無法做到全面的普查。信息安全質檢組定期進行各個部門的信息安全檢查,主要工作是定期的信息安全巡檢工作。信息安全審計組對各個部門的工作日志進行定期的審計工作,特別是出現信息安全事件后的審計工作。信息安全生產部門配合管理部門進行信息安全質檢工作和審計工作,同時信息安全生產部門承擔著SOC支撐系統建設的需求分析、項目監督、系統驗收等工作。
二是SOC運維階段。SOC運維階段,由于各個信息安全支撐系統已經較為完備,而且人員組織逐漸成熟,對信息安全的管控能力將實現一個質的飛越,信息安全質檢組可隨時對考核部門進行信息安全巡檢,巡檢可采用面向全網的信息安全自動巡檢,全面系統的分析全網的安全狀況,信息安全審計可分手工和自動相結合的方式進行審計,根據不同的業務應用、訪問控制等進行審計分析,快速高效的進行審計。信息安全管控從抽樣管理到全面管理,從靜態管理到動態管理,從事后響應到事前預防。
5 基礎設施建設及相關建設
信息安全基礎設施建設的目的主要是實現對現有生產網資源的集中和優化,提高系統運行效率,并同時進行局部的信息安全加固和改進,使得在信息安全支持系統尚未建成時,使現有生產網系統的信息安全性和可用性提高到一個新的水準。其內容主要包括結構調整、優化整合和安全集成。結構調整主要是對信息安全體系存在重大影響的網絡基礎架構的調整;優化整合是對信息安全可用性和保密性的關鍵因素進行改進,如操作通道的加密;安全集成是根據企業信息安全需要綜合分析后,得出在現有生產網上所要建設和購置的信息安全系統及產品。
此外,在經過資產的等級劃分之后,并進行的相關信息資產的優化整合后,全網中大量的信息安全問題和隱患將被排除,但是還會有許多的薄弱點,這些薄弱點是在優化整合后還沒有解決的或疏忽的問題,找出這些薄弱點就需要一次系統的信息安全評估過程,把目前安全存在的問題進行分析。信息安全評估的是根據信息資產的本身的所處的網絡環境和信息資產價值有直接的關系,信息安全評估的目的不是要求企業把所有的問題一概而論的解決掉,而是告訴企業有這些一些問題值得關注,至于解決的問題的要投入的人力物力是根據信息資產的本身的價值而定。
6 系統建設
信息安全系統建設也即最后的信息安全體系建設的最后步驟,是具體實施的過程。在面上主要表現為依照信息安全體系建設規劃方案進行采購與部署。這里的采購對象包括:產品采購類、服務產品類和研發產品類。
6.1 產品采購類
在建設信息安全支撐和信息安全服務系統過程中會涉及到許多安全產品的采購,如防火墻、黑洞、入侵檢測、安全檢測工具產品、成熟的安全集成產品等等采購,因此我們將這部分不需要太多定制開發可直接購買或集成的產品定義為產品采購類。其采用的原則是:
1)安全產品的本身應該具備的功能要求;2)安全產品本身應該具備的性能要求;3)安全產品本身應該具備的安全要求;4)安全產品應該具體的管理要求;5)安全產品的可擴展性要求。
6.2 服務產品類
圖2 信息安全體系建設并行建設步驟
服務產品類,主要是針對對外安全服務的產品類,對外服務的產品類包括集成產品和服務內容。服務產品定義主要是根據市場運營所推出相應服務而定義。服務產品的實施原則如下:
1)產品市場潛力;2)產品的產出比戰略研究;3)產品相關的信息安全等級評估;4)產品相關的信息安全策略;5)產品相關的響應團隊;6)產品宣傳渠道和策略分析;7)產品相關的增值服務;8)產品創造價值的統計分析。
6.3 研發產品類
信息安全支撐系統和信息安全服務系統建設中,一定有一些系統需要進行定制開發,這些定制開發的產品我們定義為研發類產品。研發類產品建設原則如下:
1)產品能夠滿足現有生產的功能要求;2)產品具有良好的可靠性和擴展性;3)產品具有一定先進性,能滿足3-5年企業IT發展要求;4)產品要預留信息安全管理接口,能對系統日志進行采集和審計。
7 結束語
文章針對在企業信息化程度越來越高的情況下,信息安全成為關乎企業生命的重要因素,提出了一種針對企業的信息安全體系建設實施方案。在具體的實施過程中,可以基于具體情況分步驟或者同時進行相關建設。此方案對于指導企業的信息安全體系建設有一定的參考意義。
參考文獻:
[1] 周學廣,劉藝. 信息安全學[M]. 北京: 機械工業出版社,2003.
[2] 韓祖德. 計算機信息安全基礎教程[M]. 北京: 人民郵電出版社, 2005.
[3] 陸廣能. 淺析數字化檔案信息安全問題[J]. 電腦知識與技術, 2005, (10):30-32.
[4] 李娟. 淺談如何構建檔案信息安全防護體系[J].河南職業技術師范學院學報, 2004, (4):20-25.
[5] 范開菊. 網絡環境下檔案信息安全問題探微[J]. 科技情報開發與經濟, 2005, (2):47.
