序論:在您撰寫運維管理保障體系時,參考他人的優秀作品可以開闊視野�����,小編為您整理的7篇范文�����,希望這些建議能夠激發您的創作熱情�,引導您走向新的創作高度�����。
第1篇
一�����、關于精細化管理的涵義
“精細”就是細致精密之意����。在我國傳統的思想文化當中���,關于精細的思想可謂源遠流長����。古人曾講:天下的難事�,必須做到簡易;天下的大事�,必須做到精細。其它如“千里之堤�,潰于蟻穴”的觀點,也從另一層面展現了韓非子的精細化觀念����。就當前而言����,精細化管理模式來源于一些發達國家���,這種全新的管理是服務質量精細化及社會分工精細化對當代企業管理的必然趨勢��,它基于常規管理這個基礎����,且將這個基礎引向一種更為深層次的管理模式����,它的主要目標就在于將管理所占用的成本及資源進行最大限度的降低�。作為一類管理技術與管理理念,精細化的管理強調的是通過規則的細化及系統化���,運用數據化����、標準化及程序化的手段���,確保組織管理不同的單元保持協同���、可持續�����、高效�、精確運行����。就當前而言,精細化管理模式其最主要的特征就是重效果��、重質量���、重具體��、重過程與細節���,追求專注做好一件事情,并在細節上力求最佳����、精益求精[1]����。
二�、加強辦公室精細化管理的措施(幾點體會或思考)
第一,精細化管理要加強辦公室細節落實��、增強職工意識(注重細節�����,增強意識)����。
就當前而言,作為一種新型管理模式�����,精細化管理不僅可以提高各部門管理水平�,而且還可以將員工的工作效率���、積極性和主動性進行提高���。尤其對于復雜的企業辦公室來講,其各類工作具有突發性強、受被動性�、事務紛繁復雜等特點,不論是對上接待還是服務領導�����,不論上傳下達還是督辦��、督查等工作�����,稍有大意或者疏忽���,就極有可能鑄成大錯����,造成企業或者個人損失�����。在實際的企業工作當中�����,各企業要適當通過組織全體成員一起探討、學習精細化的管理工作�,認識到實行精細化管理的意義所在,引導和教育廣大員工腳踏實地��、立足本職��,從細節上養成嚴謹細致����、精益求精的工作習慣,確保精細化管理思想深入人心��,貫穿每個流程����、每個工作環節的始終。如果要想做到這些��,那么辦公室職工就在增強以下三方面的意識水平:一是增強企業意識����。這也是落實辦公室工作的重要保證。由于辦公室每項工作都極具重要性且頭緒很多���,特別是對于可以影響全局的工作���,更是要做到服務在先、思考在前����,將企業責任意識落實到工作當中來,講效率的同時也要保證質量水平�����,堅持誰工作���、誰負責的責任原則���,將各項工作切實落到實處,力爭各項工作穩步推進��,做到零缺陷���、零失誤�,為企業正常運營提供保障��;二是增強辦公室職工的精品意識���。從辦公室工作的情況來看�����,這是落實工作的根本���。企業辦公室不論是辦事還是辦文����,都要做到有序����、保證條理性、遵守程序�,要盡可能將每一個細節、每項工作做到盡善盡美 ���。簡單地說就是辦事要達到無可挑剔���、會議要舉辦得圓滿、寫文要力求達到準確��、精練、高效表達辦文意圖����;三是增強辦公室工作人員的創新意識�����。這也是辦公室工作最終得以做好的動力所在����。辦公室工作的全局性決定了廣大工作者要從企業大局出發,認真思考每一項工作���,不斷在工作當中探索靈活多樣�����、行之有效的工作手段及方法���,積極適應企業領導的不同的工作作風、思路以及理念����,將這種服務內化為一種藝術,真正發揮出領導的助手功能�����。就企業辦公室工作者而言,辦公室的工作大多是日常事務性的工作���,平凡���、簡單而單調,許多具體工作都有固定的程序和模式����,容易在工作中產生因循守舊的慣性思維,特別在擬寫重要材料時���,由于平時不注重資料的收集整理��,對周圍環境變化的觀察和思考不夠��,上級和領導新的思路未能及時準確把握等原因�����,最終將導致擬寫的文章既不能迅速融入企業的經營環境��,也無法有效傳遞管理層的經營理念和思路�,也就難以真實反映企業經營管理過程中存在的問題,最終提出的管理措施和手段將失之偏頗乃至謬之千里�。為此,在企業的辦公室工作中創新意識的樹立對工作質量的提升同樣發揮著極其重要的作用���。只有真正理解本職工作的實質,深入研究工作中遇到的問題和困難����,積極主動思考解決的方法,才能充分發揮員工的主觀能動性��,才能在具體工作中創新思路���、創新流程���、創新方法,行動的中樞就是思想行動�,只有在思想上進行重視,在行動中也才能給予重視�����,才能通過行動反映思想。提高工作者本身的責任意識���,也是當代企業精細化管理當中不可或缺的重要因素��,它能確保廣大工作者在工作的過程當中思維縝密�,不斷提高工作效率�����,保證工作成效����。因此,辦公室工作人員在工作過程當中�,要從基礎抓起,關注瑣事����、小事,從這些鎖事����、小事做起并做好。從細節上入手���,從小處著眼�,從精細化上苦下功夫,真正使每個辦公室職員認識到精細化管理所帶來的良好成效���,將精細化的管理方式融入到日常的學習與管理當中��,樹立起科學的�����、精細的工作態度,切實落實辦公室各項工作有序��、穩定�����、扎實地推進�。有些同志難免會覺得自己工作崗位和未能及時因而從思想上忽略了工作的重要性,導致行動過程當中疏忽大意��。然而許多人始終沒能明白���,無論工作者從事什么工作���,在哪個工作崗位��,都是企業辦公室工作當中的一部分�。所謂千里之堤�,潰于蟻穴正是這個道理,也正說明了小環節其獨特的重要性質���。(建議刪除灰色部分)
第二���,將精細化管理模式運用到企業辦公室規章制度的制訂以及績效考核當中(規范管理,加強考核)�。
現代精細化的管理要求工作人員在工作的整個流程當中都要做到標準化、規范化及精細化��。而如果在企業的日常工作過程當中��,只是口頭上強調要求精細化���、具體化�,而沒有一套嚴格的�����、可供參考的獎懲制度及考核方法,沒有差與優的區分���,不能用量化標準去衡量��,也必將使企業的精細化管理無法落到實處����,最終只是流于形式�����。因此�����,在日常的實際工作流程當中�����,企業應結合各類辦公室工作制定的相關職責要求與工作標準��,將其作為對員工本職工作衡量與考核的主要依據��,強化績效考核制度�����,具體可采取以下幾種方式:一是根據崗位職責不同��,改變傳統重過程輕監督的做法���,制訂科學的考核模式�,獎優罰劣��,建立事務全程監督體系����;二是遵循可操作性、激勵性與科學性原則��,實施責任分解制��,將各項工作量化�、細化,從效果����、標準與時間等方面具體化,建立權責統一����、分工明確的科學責任體系�����;三是堅持定性考核與定量考核相結合��、分類考核與綜合考核相結合��,不斷提高考核科學性����;四是將各類考核同獎評優先�、行政問責等方面有機結合,以此使企業辦公室工作全面取得實效��;五是建立企業辦公室工作活動臺帳����,記錄每個員工工作成績����,定期進行工作情況匯報,推廣先進的典型���。堅持用數據和事實說話���,不能單純憑主觀臆斷進行評價����,確保辦公室的每個工作者能能夠優質高效�����、各司其職完成自身所承擔的各項任務���,實現事事有人管��、人人有事做的先進化管理���,并在此項基礎之上,付之于科學合理的績效考核�����,這樣既可推動企業各部門實現精細化管理進程�,另一方面還能激發廣大職工的工作積極性與熱情。它的功效主要表現在以下兩個方面:一是實行嚴格的績效監督體系,可以即時了解各個工作者���、各個部門在工作計劃進度��、工作任務以及規章制度等方面的具體落實情況�,這樣就有利于工作的評比及表彰�����,以此來建立合理的激勵機制與約束機制����,達到嚴格獎罰、鞭策后進�、激勵先進之功效;二是實行嚴格的考核監督休系有利于找差距抓進展����。對企業辦公室重要工作進展、部署落實進行嚴格的考核與監督�,可以確保各項工作都能夠最快的落實與實施。特別對于未能如期完成的工作與啟動較慢的工作來講��,嚴格考核監督體系的實行���,利用發現此項工作的問題之處�,進而找出差距�����,以便及時將當前工作方式進行改進�����,以達到精細化的管理���,來促進企業辦公室的各項工作穩定實行��,為企業實現順利運營提供有利保障����。
第2篇
【關鍵字】煙草業 信息安全體系運維管理體系
一���、IT運維的概念與重要性
IT運維管理就是指單位IT部門采用相關的方法��、手段�、技術���、制度���、流程和文檔等�����,對IT運行環境(如硬軟件環境����、網絡環境等)���、IT業務系統和IT運維人員進行綜合管理���。其運維管理主要包括八個方面的管理內容:設備管理;應用/服務管理�����;數據/存儲/容災管理��;業務管理���;目錄/內容管理��;資源資產管理�;信息安全管理;日常工作管理�。
運維工作能有效延長應用系統的生命周期���,并因此成為軟件工程的重要階段��。信息系統運行維護質量的優劣直接關系到應用系統的運行效果�,乃至生命周期�。從軟件工程的角度來看,整個運維期從應用系統投入使用開始����,直至系統的自然消亡,是信息系統生命周期中最長���、最重要的一個階段�����。良好的運維機制和運維措施不但能夠確保系統長期穩定地運行�,有時還能緩解或解決設計時遺留的某些缺陷�����,并且延長信息系統的生命周期?�?茖W的運維工作能針對不同的運維要求確立靈活的運維原則�。運維工作應是講求科學性和策略性的。由于各種信息應用系統在職能上有著截然不同的分工��,在處理方式上有著各自的特性和規律���,因此應用系統間普遍存在著較多差異���,這種差異不但體現在軟硬件設備上,而且還體現在日常的運行方式����,乃至安全性要求上。針對這些參差不齊的差異��,運維部門需要制定差異化的運維原則���。
二����、煙草商業基層運維隊伍的建設的基本方式
建立安全運維管理平臺,作為體系的應用支撐系統���。一方面通過集中授權訪問��,實現統一的認證授權和全網日志審計�����。另一方面依托集中授權,保障網絡服務質量��,提高網絡的可用性和利用率�����。第三從業務視角提供對業務服務的管理����,并以預先定義的事件管理流程完成事件的處理。第四將信息化隊伍建設���、資產資料管理��、工作計劃�����、考核和項目管理工作電子化��,實現信息中心的信息化����。
一體化保障體系建設原理是“以整體規劃為引領、以標準規范為主線����、以集中管控為模式、以應用系統為支撐”�����。即在整體信息化規劃的指導下���,制定標準規范����,指明一體化保障體系建設工作依據和管控要求���;通過集中管控��,明確一體化保障體系的管控模式和具體措施��;通過應用支撐���,保證一體化保障體系能夠按標準規范建設����、按管控措施執行��。
通過明確管控模式和措施����,落實人員職責�����,確定行為規范�,保證技術措施真正發揮效用,保障標準規范的有效貫徹和落實�。具體措施包括在基層單位建立起"一站式"的運行維護窗口、優化崗位設置�����、提升人員素質、實行集中安全管理����、整合技術監控及防范措施,逐步實現在線績效評估及考核�����。
三���、運維隊伍建設過程中的若干問題
當前�,宜昌市煙草公司信息化建設正在穩步推進��,各類面向不同業務形態的應用系統不斷產生��。隨著現代社會信息化程度的提高��,企業對應用系統使用的網絡及計算機軟硬件設施的依賴程度也相應增強��,然而�,現實環境中的許多意外故障或蓄意事件(如病毒攻擊)卻無法完全避免。作為組織機構關鍵性和戰略性的資產�,信息化系統與組織機構的生產、經營、管理的關聯越來越緊密����,信息系統能否安全、可靠地運行�����,將直接影響到企業發展的各個方面�。信息系統運維管理平臺的建設和實施,對維護好規模越來越大�����、技術越來越新��、復雜度越來越高的應用環境��,確保各個系統能夠長期��、健康地運行將起到非常積極的作用�。
經過近半年的運行�����,在煙草基層單位的隊伍中安全運維管理系統應用方面存在以下兩點問題:
1.重視不夠,認識不足�����。
(1)安全運維管理系統尚未得到充分應用�����,沒有及時通過安全運維管理系統了解本單位系統運行情況�����,多次發生系統預警2小時后仍未進行處理的情況����。
(2)日常工作記錄不及時,全年共有1517起機房日志和備份日志未及時進行記錄�,占總日常工作的80%。
2.落實不到位���。
(1)人員未落實��,一些基層單位的服務臺�、技術支持����、日常工作記錄填報人員未明確具體責任人�����。
(2)流程執行不到位�,預警發生后����,應首先由基層單位所在的服務臺接受預警信息并轉入事件處理流程,目前�����,有68%的預警信息未轉入事件處理流程�����,只是由技術人員自行進行解決����。
3.已轉入事件處理流程的事件處理不及時����,有50%的事件超過2小時后才開始處理。
四、基層運維隊伍建設工作的改進
建設安全運維管理系統����,使煙草基層單位實現信息化的公共安全管理、系統運維監管和信息安全防控為當務之急����。
(一)進行“6A”公共安全管理?��!?A”是指賬號����、授權����、認證、審計���、接入和流量預警�����。
集中賬號管理:集中帳號管理的管理對象是用戶和帳號����,通過LDAP,將用戶與其擁有的所有信息系統帳號關聯����,進行集中管理維護,為集中訪問控制�����、授權����、審計提供原始數據基礎。
集中認證授權:集中認證授權的管理對象是用戶和他的系統訪問權限����,通過設置在單位內的CA認證授權平臺,實現所有應用系統�����、網絡設備��、操作系統�����、數據庫等的統一認證授權和單點登錄�。
集中安全審計:集中安全審計的管理對象是所有基層單位的網絡、主機���、應用系統和用戶行為���,通過架設在各單位的網絡探針,收集相關數據并集中的進行審計分析�����。
集中安全接入:集中安全接入的管理對象是用戶��、網絡設備和服務器��,通過架設在各單位的安全網關�����,實現對用戶終端的登錄安全評估檢查��,并為每個用戶劃分基于被訪業務系統的專用虛擬安全域��。
集中流量預警:集中流量預警的管理對象是骨干網鏈路,通過部署在各單位的流量探針����,對網絡出口流量、業務系統訪問流量���、終端節點流量進行綜合分析�����、監測���、預警和清洗。
(二)進行系統運行監控和運維服務監管����。安全運維平臺是以業務為視角,將業務系統相關網絡設備����、鏈路、主機���、數據庫���、中間件等軟硬件設備進行集中管控�,對關鍵指標進行實時監視���,出現異常情況后立即預警,通知運維人員進行處理�����。同時����,集成部分操作命令,實現自動化處理的操作控制活動���。如:監控發現業務帶寬的空閑和緊張狀況�,通過配置針對網絡的優先帶寬�����、保證帶寬和預留帶寬策略��,保證業務帶寬需要���。
煙草基層單位下一階段將要開發的業務應用管控部分�����,是以全程業務流程作為監測視角�,通過業務流程建模、確定監測的關鍵點����、設置關鍵點的監控指標,進行以全流程業務為中心的監測處理��,實時提供業務全流程運行狀態和質量情況監測��;并可通過模擬客戶端運行全流程業務的過程以及模擬外部系統調用服務的過程���,對全流程進行探測�,從而主動發現業務流程的潛在問題�。
(三)提升信息安全防控能力。一方面進行機房標準化改造�����,各單位機房標準化改造應按照B級機房標準進行,避免貪大求洋���。主機房面積按照每機柜占地3.5-5.5平方米計算����,機房采用雙電源雙回路配電�,消防采用S型氣溶膠自動滅火裝置,機房專用空調�����、防雷����、電磁屏蔽���、環境控制等其他設施設備應符合GB50174-2008《電子信息系統機房設計規范》要求�。另一方面��,通過劃分網絡安全域����、進行安全域之間的隔離和訪問控制、進行應用訪問流量和互聯網訪問流量的有效管控,來保證網絡性能和帶寬能夠充分滿足信息化需求�����。第三方面通過安全配置�、補丁修復、漏洞掃描��、防病毒����、主機入侵防御等技術手段實現所有操作系統、數據庫���、中間件�、應用的全方位安全加固與防護�����。第四方面通過進行終端安全修復�����、安全接入控制�����、終端桌面安全和網絡行為監控,提高全省對于分散終端的安全管理能力�����,規范終端用戶的行為�����,降低來自終端的安全威脅���。
(四)設立基層單位運維服務窗口����,統一受理��、處理和記錄信息化安全服務事件����。
煙草基層單位運行的維護窗口設置在單位內的運維服務中心����,實行74小時運維保障����,做到一站式受理�����、一站式服務��。運維服務中心設置服務臺��、信息服務管理���、IT維護和技術支持崗位��,由信息系統規劃�����、建設和運行維護的技術人員組成����。一般來說���,基層的韻味服務中心是最基礎的服務中心���,主要是解決基層單位自身的問題����,如果遇到自己解決不了的問題��,則可請求上級單位層次更高的運維服務中心幫助解決�。
運維服務中心的工作主要是基層單位內信息化實現安全服務統一調度、信息資源的集中管控和統計分析�。信息化安全服務統一調度依據ITIL最佳實踐進行,目前已實現了事件���、問題�����、配置和變更流程的電子化處理��,下一階段將逐步實現IT服務規劃、日常需求管理�、服務級別管理、服務可用性管理等其他18項服務流程的電子化工作�����。運維服務中心通過對信息資源的集中管控和統計分析,定期向各級領導提交運維報告���,為領導決策提供必要的數據依據��。
去年��,湖北省煙草基層單位實現一體化的保障體系主要進行了兩個方面的建設工作���。一是編制了一體化保障體系建設規劃、標準規范和規章制度����,共編制了12項標準規范,修訂完善了16項規章制度和21項管理流程�。相應的征求意見稿已下發給各市州公司,下一步�,市局將結合各單位提出的修訂意見,對標準規范和制度流程進行修改���,力爭在年內���。二是在基層單位內推廣了安全運維管理系統,系統建立的安全準入帳號7396個���,發放加密與簽名證書16156張��,目前全省共有7000多人在使用�。安全運維管理系統集中管理IT基礎設施842個、信息化項目70個����、信息化從業人員172名, 實現了21項信息化指標的自動考核,從2010年10月至今���,系統預警73877起�����,已全部處理完畢��,未發生因故障導致業務中斷的事故�。
五�����、宜昌運維的發展
一體化保障體系建設遵循“統一規劃���、適度超前���、小步快跑、分步實施”原則���,分階段開展��。2011年為體系鞏固年�,在2010年一體化保障體系初步建成的基礎上��,繼續鞏固應用效果��。2012~2013年為體系優化年�����,優化完善一體化保障體系�。2014~2015年為體系提升年,持續改進一體化保障體系��。
2011年��,全省將通過“抓管理�����、抓落實、抓實效”三項工作來進一步深化一體化保障體系應用�����,鞏固完善全省一體化保障體系�����。
參考文獻
第3篇
關鍵詞:質量管理�����;規范運維�����;企業
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)09-2028-03
大多企業經過十余年的信息化發展����,大規模的信息化建設基本完成,即將面臨著長期的系統運行維護的問題�。但與信息系統建設的較高水平相比,還普遍存在IT服務管理較弱的問題��,缺乏有效的管理手段與方法,這就使信息化的投入充滿了很大的不確定性���,也使信息化效果很難控制。因此����,如何對企業龐大的技術系統進行科學、高效的管理����,從而發揮它的最大效能,降低運營成本�,是當前企業信息化過程中必須面對的挑戰。
1 三套標準在運維體系中的適用性分析
ISO9000質量管理體系標準在各企業和單位中的運用非常廣泛���,是對整個單位運作���、服務過程進行質量控制管理的體系,通過質量手冊�����、文件控制����、記錄控制等方面為管理對象的實施提供指導�����,側重于對宏觀運作流程的控制�����,但不包括各專業業務層面的特定要求��。
ITIL作為一種以流程為基礎�����、以客戶為導向的IT服務管理指導框架����,它擺脫了傳統IT管理以技術管理為焦點的弊端����,實現了從技術管理到流程管理,再到服務管理的轉化����,適用于IT服務管理和服務流程的控制����。
等級保護管理體系是對信息系統的科學�、安全運行進行監督和控制的體系,從安全管理制度�、安全管理機構、人員安全管理�、系統建設管理和系統運維管理等方面為信息安全專業層面提供指導�,適用于運作流程中各節點的安全控制。其中的保護等級劃分��,也為信息安全投入和安全保障水平提供了平衡點����。
對于已經實施ISO9000的單位,信息化職能部門在ISO9000貫徹實施時往往與自身信息化業務無法融合���,即便進行了融合也常以信息化的一般性運維工作為主���,沒有考慮規范化安全運維工作在整個單位和組織質量控制體系中的重要性。因此將ITIL���、等級保護思路與ISO9000融合�,即可具體落實ISO9000體系中的流程控制,也可以彌補等級保護在體系要求����、文件控制和記錄控制等方面的薄弱環節,同時完善ISO9000體系中對信息安全領域的專業性�����,最終形成以質量管理體系為框架�,ITIL流程控制為主線,等級保護管理標準為保障的綜合運維保障體系���。
2 規范運維保障體系架構設計與文件體系建設
結合三套標準的特點進行運維管理架構設計時�,在體系結構層面要考慮運維體系的建設周期���、各標準在運維體系中所處的層次��、每個層次要達到的要求及PDCA方法論等����。在服務流程層面要考慮結合企業的現狀��,IT服務支持模式和管理流程及最佳實踐等�。在具體操作層面要考慮響應方式�����、實現工具����、安全要求�、監控方法等。將三大標準體系體系結構層面設計:在整個運維生命周期中�����,包括運維體系建設��、運維支持管理����、運維成效管理及運維持續改進四個階段���。這四個階段形成一個PDCA持續改進的管理循環�。通過建立檢查����、反饋機制�����,對信息安全管理體系運行情況進行監督和控制�,建立動態調整機制��,確保信息安全管理體系符合新形勢���、新技術發展要求�。
服務流程層面設計:系統運維的服務流程是信息化工作部門和服務供應商向業務部門的服務交付和支持過程����,通過建立“一站式”的服務臺和規范的流程程序,提高IT部門對事件的響應能力和IT運維工作的規范性�����,防范手工方式出現對用戶請求的遺忘�,以及非規范的操作引起的系統風險,同時要幫助信息化工作部門實現運維知識的積累和共享����,提升運維和管理的整體水平。
具體操作層面設計:在系統運行維護中���,各項工作(事件�、變更等)的處理程序、操作步驟�、完成時限及服務要求等,均要制訂相應的標準和規范�����,在涉及安全管控點時��,可通過建立符合信息系統等級保護要求的安全配置基線���,統一信息系統建設和運行技術配置標準���。
按照上述三個層面之間的關系��,落實到文件體系中時�����,可以質量管理體系為總體框架�����,將體系文件分為三個級別:一級程序文件為綱領性文件,用于描述整個體系架構運作流程和運維方針策略���。主要包括信息化建設與管理程序�,信息系統運維管理程序���,涵蓋信息化建設與運維全過程�����。二級程序文件按ITIL流程管理為主線����,為一級程序提供可操作的流程化文件�。主要包括:項目管理、事件管理�、問題管理、配置管理��、管理�、變更管理、應急管理等流程���。三級流程涉及具體操作規范���,落實二級流程文件中涉及的各方面運維和安全管理內容����。主要包括:溝通管理��、授權與審批管理�����、文件規范性管理����、介質管理、資產管理����、網絡管理、系統管理�����、安全事件與應急管理�����、備份與恢復管理等方面����。記錄表單為實際運維過程的記錄。各級文件組成結構如圖2所示�。
文件體系是運維體系架構的管理體現,是管理落地的基礎�,也要運用PDCA管理。
3 規范運維保障體系ITIL流程設計
要想管理體系得到貫徹執行��,就要對規范化運維流程進行科學有效的設計��。因為流程是管理的終端�,主要解決的是管理固化問題。而ITIL作為事實上的國際標準����,基本與組織性質和業務性質無關,僅明確指出應該“做什么”��,但不講“如何做”�。因此流程設計時還要結合企業的現狀,本著一切從實際出發的原則�,考慮企業對IT服務管理的切身需求,按照最佳實踐和企業的實際設計出的合理的IT服務支持模式和管理流程,建立自己的方法論����。
在具體的規范流程設計過程中,首先要考慮的是人員崗位職責��。應用服務管理之后��,IT部門的組織架構��、職能��、工作方式都會隨之發生一定變化�����。建立規范的流程��,需要確定IT支持人員和管理人員的職責��,通過流程角色的設置����,而不是單純依靠組織結構的設置來把角色和職務分開。同時制定配套的人員角色和職責及考核機制���,以實現對人員的量化管理和資源的有效利用��。
其次是確定提供服務的管理流程�。在ITIL中已歸納為服務級別管理����、IT服務財務管理、能力管理�����、IT服務持續性管理和可用性管理5個服務管理流程���。這些管理流程用于解決“客戶需要什么”�����、“為滿足客戶需求需要哪些資源”��、“這些資源的成本是多少”����、“如何在服務成本和服務效益(達到的服務級別)之間選擇恰當的平衡點”等問題��,服務提供所包括的這5個核心流程均屬于戰術層次的服務管理流程,用以確定服務級別協議及滿足服務要求所需要的最優資源����,也就是說如何做正確的事。
再次是確保用戶得到適當的服務支持以保障組織業務功能��。服務支持流程體現服務接觸和溝通的5個運作層次的流程����,即事件管理、問題管理���、配置管理����、變更管理和管理���。這5個服務管理流程的主要職能是����,確保IT服務提供方所提供的服務質量���,符合服務級別協議(SLA)的要求����,即如何正確的做事。ITIL核心流程之間的層次關系如圖3所示�。
最后是引入服務臺�、服務連續性管理等流程自動化工具,以系統工具來固化流程�,再不斷完善流程。同時要關注工具之間的聯動和信息整合�,如果可能,盡早的進行統一的規劃��,建立集成規范要求��,以保證投資在未來得到充分保護���,不被浪費����。
所以����,ITIL的應用過程和效果的獲得,不是簡單的單純通過項目建設能夠達到的�,是企業信息中心部門�、咨詢服務提供商��、產品提供商等多方共同努力的結果����,也是一個持續改進、不斷優化的長期過程��。
4 構建信息系統等級保護為基礎的防護體系
保障體系要結合管理體系和ITIL流程�,落實安全技術及管理要求?�?梢罁旨?����、分域��、分區、分層的防護原則�����,對運維的信息系統按級別劃分安全區域進行管理�����,各安全域劃分為網絡邊界、網絡環境�����、主機系統及應用環境四個安全層次����,最后形成縱深防御體系�。
在技術上可通過強化邊界訪問控制、規范網絡訪問行為�����、強制主機管理�����、構建應用授權和身份認證平臺����、加強審計監控等措施構建協同防御。每個安全保護部件或設備應具有安全保護功能獨立完整��、調用接口簡潔��、與安全產品相對應和易于管理等特征,在后期綜合運維服務與監控平臺集成建設中能夠保障數據的共享和協同防御���。在管理上通過建立綜合運維服務與監控平臺�����。將機房環境監控系統��、網絡管理系統�、性能監測與管理系統����、入侵防御系統等監控與管理的系統告警和性能監測數據進行整合,梳理各個資源之間的告警關系���,進行集中監控告警模型設計�����,并可進行工具產品的客戶化定制�����,實現集中監控管理和指揮控制���,為運維體系安全運行提供全面的管理保障��。
5 規范運維保障體系實施路線
在實施階段���,要考慮若一次性全部實施所有流程帶來的風險,可采用分階段實施的方法��,做到穩步推進�,以便取得良好效果。大致可分為前期準備階段����,全面試運行階段��,正式運行及擴展階段��,綜合優化調整階段��。
1)前期準備階段
明確參與運維工作人員的崗位職責�����,做到權限分離。開展等級保護測評并根據等級保護要求制定安全配置基線及相關操作規范��。根據等級保護測評結果�����,按照分級����、分域、分區�、分層原則制定安全技術基礎平臺整體解決方案,在管理與技術上提供安全依據�。試運行ITIL運維管理五大流程,檢驗工作流程的可操作性�。梳理清楚管理對象,完善資產配置管理���,確定運維管理的范圍���。
2)全面試運行階段
全面開展規范化運維工作,在運維平臺中體現所有運維工作并力爭全員參與����,做到運維職責明確�����,流程處理程序規范����,操作標準����,過程有痕跡并制定合理的績效考核方案。在日常運維工作中查找不足���,提供改進意見�,不斷完善質量目標文件����、流程體系文件和操作手冊���。充分發揮知識庫作用����,將常見問題解決方法進行歸納總結并上傳至知識庫����,做到知識共享����。同時實施完成安全技術基礎平臺��,實現安全管理中心與運維平臺互聯互通問題�����,保證安全要求融入運維流程中����。
3)正式運行及擴展階段
全面運行完善后的ITIL運維管理五大流程,結合ISO20000相關運維標準�����,構建信息化運維服務運維服務體系��,規范化�����、標準化�����、痕跡化運維管理工作。運用PDCA過程���,進一步細化調整管理體系��,總結體系運行情況����,調整不適用和無法落實的部分���,使之能高效����、有序的運作���。同時定期通過第三方機構對已測評的信息系統開展等級保護復評�����,找出所有系統的安全隱患,并提出整改方案和實施計劃����,督促信息安全措施的落實����。
4)綜合優化調整階段
總結前期的規范化運維工作�����,調整不適用的部分��,常態化的管理體系運作��。定期進行內部評審��,找出與當前工作的不適用部分進行優化調整���;同時在工作中�,結合工作實際�,尋求更高效安全的方法優化體系,提高體系的效能����。
綜合上述實施階段,確定實施路線圖如圖4所示�。
參考文獻:
第4篇
[關鍵詞]煉化企業�����;門戶管理�;運維�����;閉合回路
doi:10.3969/j.issn.1673 - 0194.2016.16.000
[中圖分類號]F270.7 [文獻標識碼]A [文章編號]1673-0194(2016)16-00-02
1 中國石油企業信息門戶背景介紹
中國石油企業信息門戶于2003年開始統一建設與推廣應用���。采用統一平臺����、統一標準規范�����、統一技術對其下屬企業進行建設����。歷經十余年應用,企業信息門戶在企業的生產��、經營和管理等方面發揮了重要的作用。各企業門戶主管部門�,始終把門戶管理和運維工作作為工作重點�����,作為提升企業價值的重要舉措����。通過注重公平公正,強化激勵約束�,嚴格獎懲,不斷深化門戶機制創新����,著力構建完善的門戶運維工作體系。
隨著門戶管理與運維工作的不斷推進與深化��,原有工作體系存在著不足與短板��,例如考核評價體系仍然需要完善���,考核的力度����、深度和廣度還不夠����,過程評價不足���,評價手段單一等。另外��,通過門戶評估���,能夠發現門戶網站建設�、運行�����、管理中存在的不足���,提出下一步門戶工作重點和發展目標���,積極采取有效的措施完善改進,有效引導門戶健康有序發展��。
隨著企業規模的不斷增大���,企業必須依靠信息化促進企業經營管理水平的提升���,推動企業長久發展�����。而信息門戶恰恰是最基本的信息技術手段,因此需要最大限度發揮門戶的服務能力���,更好地為員工提供有效服務�,為企業提供服務保障�����。因此構建大型煉化企業門戶管理與運維體系����,實現門戶管理和運維的閉合回路,是非常必要的�。
2 信息門戶實施內涵
構建大型煉化企業門戶管理與運維的閉合回路,即是對現行門戶管理制度�����、標準規范、運維流程等進行總結梳理���,完善門戶考核評價等工作���,通過構建門戶管理、運維���、安全保障和考核評價等四個體系����,環環相扣����,互相影響和指導,從而形成符合企業門戶發展的��、科學合理的門戶管理與運維工作體系����,覆蓋門戶所有工作環節中,永遠不會脫離PDCA管理模型:策劃實施檢查改進策劃�,實現了門戶管理和運維工作的閉合回路。
3 構建大型煉化企業門戶管理與運維閉合回路的主要做法
構建完善的門戶管理����、運維�����、安全保障和考核評價等4個體系���,每個體系都采用PDCA方法進行不斷建設與完善,搭建形成覆蓋企業門戶管理和運維的閉環管理環境��,推動企業門戶的發展���,提升門戶服務能力,促進企業管理水平的提升��。
3.1 構建完善的門戶管理體系
3.1.1 門戶管理體系的內容
門戶管理體系是由制度�����、標準�、規范、組織機構��、人員和流程等內容組成�。它是開展門戶工作的前提�,有效的管理體系將使企業的門戶管理和運維工作制度化�����、規范化�����。
3.1.2 門戶管理體系的規劃與實施
(1)完善制度�、標準和規范。制度是圍繞門戶工作各個環節而設計的一整套管理規范��。立足公司實際��,自上而下��、分步實施���、穩步推進����、逐步完善�����,形成了企業統一管理框架,便于管理層���、運維人員及用戶參照和使用��。如《公司信息門戶網站管理辦法》《公司門戶建設與運行管理規定》等�,規范門戶管理和運維工作����,保證系統穩定、高效運行���。標準是圍繞門戶工作制定的一系列可重復使用的規則�、導則或特性文件�����。如《公司信息門戶網站編輯規范》《門戶信息格式規范》等��。
(2)明確組織機構和人員職責分工���,建立有效管理機制。機構設置上保證責任全覆蓋����。企業門戶管理的組織機構包括公司信息化工作委員會�����、門戶主管部門及門戶運維部門����。公司信息化工作委員會由公司領導班子成員及信息管理部領導組成��,負責研究和審定公司辦法及管理制度����,監督與檢查管理過程中的、重大情況的決策等��,加強了對門戶工作的統一領導和綜合協調��。門戶管理由辦公室牽頭����,各職能部門共同參與,使管理更加便捷和精準���,提高工作效率和質量���,完善管理環節與工作流程��。
(3)建立�����、完善管理流程是門戶管理工作的重要內容�,要明確怎么管���,如何管��。
3.2 構建完善的門戶運維體系
3.2.1 門戶運維體系的內容
門戶運維體系也是由制度���、標準、規范�����、組織機構���、人員、工作流程等內容組成�����。它是做好門戶工作的基礎,主要涵蓋運維全部工作��,要確保門戶穩定����、可靠、便捷����、高效和安全。
3.2.2 門戶運維體系的規劃與實施
(1)制定有關運維工作的制度和標準����。在管理體系中已經建立和完善門戶制度、標準和規范����,因此,在運維體系下��,主要是圍繞門戶運維工作制定相應的運維制度����、標準和規范�。同樣也要立足工作實際���,便于運維人員及用戶參照和使用���。例如制定完善《企業門戶網站運維工作細則》《門戶網站用戶操作手冊》《門戶網站管理員日常操作手冊》《門戶網站功能模塊維護手冊》等,涵蓋運維所有工作內容��,要制定表單跟蹤�����,規范門戶運維工作����,保證系統穩定、高效運行��。
(2)明確組織機構和人員職責分工�,構建有效運維機制。一般都是由企業信息部門承擔運維工作����,或者企業信息部門和下屬單位共同承擔�����。人員分為專責和兼職兩種。
(3)完善和梳理工作流程�����,門戶系統運維工作大體分為如下五個方面�����。
第一�����,門戶建設和維護���。主要包括門戶網站的新建與改版�、專題新建與維護����、門戶功能的擴展等內容。由用戶填寫《門戶建設(變更)申請表》交由運維部門操作�、執行、反饋并存檔。
第二�,門戶系統權限運維。主要對信息采編���、文檔庫�����、網站�、網站集權限等進行變更�����、維護與管理���。由用戶填寫《門戶權限變更申請表》并由運維部門授權����、反饋和存檔��。
第三���,門戶系統軟件運維���。主要對系統軟件包括服務器操作系統����、數據庫等進行運維���。操作系統主要是對日志、補丁更新�、接口等進行監控、優化和故障排查等���。數據庫主要是對數據備份����、數據恢復�����、數據庫優化����、故障排除等進行運維。備份工作確定好增量備份和完整備份的時間�����、方式,以及數據保留周期等�,填寫《門戶數據備份日志》進行留存。
第四��,門戶系統硬件運維�����。主要是對硬件設備(服務器��、存儲等)的日常巡檢�,定期檢查和維修,保障設備的正常運行�����。運維人員巡檢填寫《門戶巡檢記錄》����,維修需要填寫《門戶硬件維修表單》等存檔。
第五�,門戶系統客戶端運維。針對最終用戶在使用過程中出現的問題進行處理���,保障其應用正常����。運維人員根據日常處理情況填寫《問題記錄日志表單》。
針對整體運維情況��,企業可統計《門戶運行周報》或《門戶運行月報》�����,進行分析總結�,記錄相應信息����。
3.3 構建完善的門戶安全保障體系
3.3.1 門戶安全保障體系的內容
門戶安全保障體系也是由制度、標準�、組織機構、人員���、工作內容組成�。完善的安全保障體系能夠有效預防各類事故的發生����,減少突發事件帶來無法預估的工作量和影響���。
3.3.2 門戶安全保障體系的規劃與實施
(1)完善門戶安全制度和標準。持續完善《門戶信息保障措施》《門戶突發事件應急預案》《門戶風險管控手冊》等制度�����,實現安全工作規范化�。
(2)組織機構和人員分工。機構設置滿足門戶信息安全需要���,一般參照上述管理體系和運維體系提及的部門共同承擔��,企業信息部門為主要責任部門�����。
(3)安全防護工作主要包括以下三點內容����。
第一�����,監控平臺���。利用當前先進技術手段��,建立安全保障系統��,提高信息數據的采集�����、存儲���、處理等各個環節的安全性,逐步完善�����,形成穩定的安全保障體系�。持續對門戶網站進行漏洞掃描、掛馬監測�、敏感內容監測、域名監測�����、釣魚監測���、平穩度監測及篡改監測等安全監測�����,及時發現網站掛馬事件�、被黑事件、安全漏洞等問題��,確保門戶網站安全運行��。
第二��,風險管理�����。運維人員在做好門戶基礎運維工作的同時����,還應該保障系統的軟硬件及數據安全,加強風險識別和防范能力���,提前預估可能出現的風險����;針對較高的風險制定應急措施,保障門戶系統安全���;特別針對信息審核和��,一定要嚴格按制度執行��,做好輿情管理�。
第三���,應急處理�����。發生突發事件時,迅速發現并定位����,按照應急預案進行快速響應,使影響最小�。同時應該強化運維人員的應急反應能力,通過定期組織應急演練���,并對演練的結果進行總結分析�����,增強運維人員處理突發事件應急能力�。
3.4 構建完善的門戶考核評價體系
3.4.1 門戶考核評價體系的內容
將門戶工作納入公司信息化考核體系,制定考核和評價指標�����,分層次比照��,加強考核與評價�。建立考核和激勵機制,對用戶���、運維人員和管理人員進行考核��,對失誤的地方予以批評指正���,對提高、改進的地方予以獎勵���,充分調動人員的積極性���、主動性�����,及時發現問題���,消除潛在的隱患,促進全過程價值創造�����,進一步提高運維管理的水平����。
3.4.2 門戶考核評價體系的規劃與實施
考核不僅僅是評價和監督更是激勵。完整的考核評價體系能有效發掘員工的潛能����,提升業務能力和技術能力,進而提升整體運維水平���。
(1)全要素評價。對門戶的考核不僅包含工作完成情況���,還包含服務滿意度���、故障處理及時率�、系統暢通率�、設備完好率、維護及時率���、培訓情況等以及人員日常工作表現和素質能力的評價�。
(2)全過程控制��。貫穿整個門戶工作中�,結果性指標與過程性指標相結合,日?��?己伺c年終考核相結合�。將考核內容量化�����,按規定的程序和頻率進行考核評價�����。
考核結果應擴大化、直接化�、顯現化,與績效獎金直接掛鉤����。按照公開公平公正的原則,保證考核制度公開���、目標設定公正���、考核過程規范、考核結果公平�����,充分調動人員的積極性�����。還要考慮激勵約束并重���,堅持結果考核與過程評價相統一�,激勵與約束相配套�����,責權利相統一��,考核結果與績效獎金�����、培訓發展等緊密掛鉤�。
4 結 語
企業信息化就是利用信息技術搭建支持企業生產經營管理的運行平臺,通過資源的有效利用���,實現降本增效�,提高企業核心競爭力�。信息門戶作為企業最基本的信息技術手段,企業應從管理�����、服務和業務發展角度出發�,建立完善的門戶管理運維的閉合回路,提高門戶服務水平和能力�����,保障信息系統高效安全運行,從而為企業信息化建設提供有力支撐��。
主要參考文獻
第5篇
即使這樣����,如下安全問題依然擺在了很多企業面前:安全設備部署了很多,安全制度流程也建立了�����,但從整體角度看�����,仍然是各自為戰�,仿佛信息安全問題只是IT部門的事情,與其他人無關����,這就使得無法形成整體有效的安全防護;一邊是業務應用越來越復雜��,一邊是安全設備和制度不斷增加���,如果安全設備和制度做多了����,業務部門抱怨太繁瑣,但如果不做這么多�,又怕出現安全問題�,左右為難。
那么�����,出現這些問題的根源是什么呢����?我們早就知道,建設安全系統不僅僅是技術問題���,也是管理問題�����。而信息安全服務的主要目標就是更好的支撐IT應用系統的效果和效率��,也就是說���,信息安全的主要目的是通過信息安全管理體系����、技術體系以及運維體系的綜合有效建設���,讓IT應用系統能夠達到更好的運營效果以及更高的效率����。而如何綜合而有效的建立信息安全保障體系����,成為了擺在每個企業面前的課題。
合規是重中之重
信息安全標準是確保信息安全產品和系統在設計�、研發、生產�����、建設�、使用和測評過程中保持一致性、可靠性�����、可控性、先進性和符合性的技術規范和依據��,其不僅關系到國家的信息安全�,也是保護國家利益、促進產業發展的一種重要手段�����,同時更是信息安全保障體系中的重要組成部分��,是政府進行宏觀管理的重要依據�����。
我國在這方面雖然起步較晚�����,但也制定了一批符合中國國情的信息安全標準���,同時在一些重點行業還頒布了一批信息安全的行業標準,尤其是國家等級保護制度和分級保護制度是我國在進行信息安全保障體系建設中的重要依據�。
因此,企業只有在信息安全保障體系建設過程中依據相關標準進行合規性分析���,通過安全風險評估�����,然后比對相關標準中所涉及的技術要求���、管理要求����、測評要求�,才能明確得出建設的方向和重點,了解目前系統中存在的問題和改進的方法���,同時明確在管理�、部署和運維過程中信息安全管理的相關制度�、流程和需要持續改進的目標。
此外�,相關標準還為企業明確了進行信息安全保障體系建設的方法,只有遵循這種方法才能做到“有法可依�����、有章可循”�。
安全咨詢是橋梁
前面提到�����,信息安全建設的主要目的是讓IT應用系統能夠達到更好的運行效果���,并提高系統的運行效率,也就是說�����,要讓信息安全保障體系成為IT應用系統的有效支撐���。然而,不同政府或企業的具體業務環境和流程各不相同����,所以也不是每個政府或企業都可以使用一個統一的模板。不同的組織在建立與完善信息安全保障體系時��,必須根據自己的業務特點和具體情況以及IT應用的實際情況����,采取不同的步驟和方法。此外��,還要注意,信息安全不僅涉及安全管理和技術層面的問題��,還會涉及到治理機制���、業務流程�����、人員管理�、企業文化等內容����。
這就使得,企業要運用風險的方法來決定信息安全體系建設的目標和步驟�����。這個過程實際上是需要專業資深的安全服務人員對目標的業務特點��、IT應用實際情況和具體管理方式進行現場調研�、符合性分析、相關的風險評估等操作的����,尤其是對關鍵業務應用的深入了解和分析�����,只有這樣才能與標準比對形成安全基線和框架參考���。
而且,在建設過程中��,還要不斷與相關負責人(決策人員�、安全管理員、網絡安全維護人員)進行深入溝通�����,以便發現安全隱患�����、找出關注重點�����,并提出有效的策略建議�����,最終才能運用風險的方法來決定體系建設的目標和步驟�����,并一步一步實施完成���。通過這一點我們不難看出��,信息安全咨詢貫穿于整個信息安全體系建設的過程中�,是聯系實際需求和建設目標的橋梁����。
實際落地是關鍵
信息安全技術體系是利用技術手段實現了技術層面的安全保護,是整個信息安全保障體系中非常重要的一部分��。很多政府和企業都部署過一些技術防護手段����,但這些防護手段是不是符合相關標準和關鍵業務的需求,是不是把風險控制到了一個可控的水平�����,我們就不得而知了��。
因此,在信息安全保障體系建立過程中�����,一定要依照標準來選擇技術防護手段�����,同時實現技術手段的落地是關鍵����。而要實現技術手段的落地,就要兼顧以下幾點:選擇的技術產品要滿足政府或企業實際環境�����、IT應用和管理流程制度等客觀條件�����;選擇的技術產品要具有易維護�、管理簡便的特點�,并要能夠保持先進性;選擇的技術產品要能夠滿足應用變化的需要�,并適應技術的不斷發展���。即保障可用性、適用性和持續性����。
安全意識是必須
在很多政府部門和企業中普遍存在這樣一個問題,仿佛信息安全只是IT部門的事情��,其他業務部門大多采取了“事不關己���,高高掛起”的態度�����,這勢必會造成安全天天喊���,但是總沒有明顯效果的局面。
可以說����,建設信息安全保障體系是企業內的一次“安全革命”,通過培訓�,不僅僅要讓每個人都提高對安全事件處理的管理水平和技術水平,更重要的是讓每個人都擁有“信息安全人人有責”的意識。
同時����,這場“安全革命”給企業帶來了新的知識和管理模式,企業必須通過培訓將整個信息安全保障體系的相關知識轉移到每位員工身上�,讓他們對整個體系逐步達到從接受到適應,再到最終掌握�。只有這樣才能讓整個信息安全保障體系真正應用起來,并真正起到效果���。
運維平臺是手段
第6篇
【 關鍵詞 】 信息安全�;信息安全保障體系�;國家大劇院
Exploration of Information Security Framework for National Center for the Performing Arts
Liu Zhen-yu
(National Center for the Performing Arts BeiJing 100031)
【 Abstract 】 The status of information security of National Center for the Performing Arts is explored. After that, information security problems and risks that National Center for the Performing Arts faced with are analysed. The information security framework which includes technique���, management and operating is followed. The paper ends up with the elaboration of the effectiveness of the information security framework.
【 Keywords 】 information security����; information security framework�����; national center for the performing arts
1 背景
隨著信息技術的飛速發展��,人類正以前所未有的速度進入以網絡為主的信息時代,網絡的快速發展不僅促進了人們的通信和交流�,同時也帶來了商業和經濟模式的巨大變革�����。
國家大劇院是國家新建的重要文化設施���,也是一處別具特色的景觀勝地�����。作為北京市國家級標志性文化設施����,國家大劇院的建設與運行體現了正在迅速崛起和復興的中國在精神文化領域的追求����,因此,依托信息化手段宣傳和服務于廣大文化藝術愛好者是國家大劇院電子商務網站建設的宗旨��,使之成為“國家表演藝術最高殿堂�����、藝術普及教育的引領者、中外藝術交流最大平臺��、文化創意產業重要基地”�。
國家大劇院網絡及信息系統從2007開始逐步建設,建設初期主要滿足國家大劇院演出宣傳��、文藝教育����、演出票務、公眾服務�、內部辦公和訪問互聯網的需求,官方網站電子商務平臺承擔著對外宣傳及網上售票業務�。隨著國家大劇院近幾年影響力和地位的不斷提升以及業務的發展壯大,對信息化建設提出了更高要求���,同時對信息安全的需求也越來越迫切����,結合國家等級保護制度來進行安全保障建設成為國家大劇院信息化建設的有益補充���。
2 現狀及問題
目前國家大劇院局域網骨干帶寬為千兆��,雙核心�。已部署的安全設施,如在整個局域網的出口均部署了防火墻����,內網服務器域邊界部署了防火墻;在門戶網站出口部署了流量控制和入侵防御設備���;內部終端還廣泛部署了防病毒軟件,以防范計算機病毒在局域網內傳播和破壞�����。國家大劇院正在運行的業務系統主要包括網站系統����、票務系統、藝術資料管理系統����、OA系統、財務系統及郵件系統等���。
根據對國家大劇院信息化及信息安全現狀的分析����,結合國內外信息安全發展態勢,發現國家大劇院面臨著一些信息安全問題及風險�����。
假冒網站�、網站掛馬等安全風險。據權威統計����,2011年下半年,檢測新增掛馬網站獨立網址246萬�,平均每日100萬人次訪問此類掛馬鏈接,新增釣魚盜號欺詐類網站獨立網址492萬��,共攔截10億余次釣魚盜號欺詐類網址��,平均每日600萬人次訪問此類欺詐類鏈接�����。假冒網站獨占鰲頭的是電商網購類��,而且仿冒范圍不斷擴散�,通過國家大劇院運維人員統計觀察,越來越多的黑客���、病毒�����、不法機構和人員對國家大劇院電子商務網站系統的正常運行產生威脅�,網站業務系統隨時都可能遭受惡意攻擊。
系統入侵或網絡攻擊風險�。由于系統保護措施不到位,可能導致國家大劇院票務等對外網站系統的域名劫持�、DDoS攻擊等安全風險����。同時,也可能由于軟件漏洞或者安全意識單薄等造成內部郵件等信息泄露����。
非授權訪問風險。由于國家大劇院內部辦公等信息系統邊界缺乏訪問控制設施���,并且在網絡可信接入��、分辨非法訪問�����、辨別身份偽裝等方面存在著很大的缺陷����,未授權者可通過網絡非法訪問網站及系統服務器,并進行非法讀取��、篡改和破壞數據等不良行為����,構成對內部數據及信息系統的重大隱患。
數據安全風險�����。媒資庫建設完成后將承載大量的媒體資料�����,這些有藝術價值的音像資料是國家大劇院的寶貴資產����,一旦由于自然災害、人員非法入侵���、內部人員誤操作等造成數據丟失損壞�����,將對國家大劇院造成重大損失�。
媒體資源庫音像資料版權風險。目前���,劇院已經為視頻在線傳播及直播提供服務平臺�����,然而提供的音視頻服務面臨版權盜用�、盜鏈和惡意下載等問題�,容易對劇院和公眾利益帶來損害�。
內控管理風險。據權威調查報告顯示���,內部員工的粗心大意是企業信息安全的最大威脅�,由此造成的安全事故高達78%���。目前����,由于國家大劇院內部員工的安全意識還相對淡薄,存在進入業務系統的登錄口令設置過于簡單����,私自訪問不安全網站,私自接入不安全設備等問題��,這些都給大劇院信息系統造成了極大的安全隱患和威脅�����。
3 信息安全保障體系探索
3.1 總體目標
通過對國家大劇院信息安全現狀��、問題以及信息安全建設需求的分析��,可知國家大劇院信息安全保障體系建設的總體目標是按照國家信息安全等級保護相關要求�,從風險控制、技術設施�����、管理體制及運維服務等方面入手���,基于成熟的安全技術����,借鑒先進可行的管理理念,加強外御威脅防護��、構建內控管理機制�、強化數據保護措施,建立和完善信息安全管理體制�����,加強安全服務保障��,設計適合國家大劇院信息化發展的安全保障體系��,從而確保業務流程可控���、業務狀態可視�,保障業務整體安全�����。
3.2 設計思路
針對國家大劇院安全保障目標�,在信息安全保障體系設計上基于幾種設計思路�。
3.2.1構建網站可信機制
通過第三方網站身份誠信認證來確保網站真實性,可幫助網民判斷網站的真實性。同時����,基于可信證書類產品,確保系統管理用戶身份的真實性���。其次����,借助社會力量來實現假冒網站的定位�����、侵權取證等服務���,從而有效打擊防范欺詐類網站并且協助維權��。
3.2.2建設安全可靠的辦公網絡平臺
積極推進信息安全等級保護建設�,通過制定安全策略�、部署安全設備,完善安全保密管理制度�����,加強安全運維支撐建設,從物理安全��、網絡安全�����、主機安全�����、應用安全����、數據安全、流程安全�、人員安全等多方面保障系統的安全穩定運行。
3.2.3建立網絡信任服務
通過為網絡管理員����、網站維護人員頒發數字證書,部署網絡可信接入及遠程安全接入設施來構建劇院內部的網絡信任服務體系��,保證信息系統及媒資庫資源的可靠訪問���,確保我院信息資源安全。
3.3 體系框架
在國家大劇院信息系統安全保障體系設計以及實現中,將在國家相關的安全政策�、法規、標準����、要求的指導下,制定可具體操作的安全策略���,構建國家大劇院網站系統安全技術系統����、安全管理體系以及安全運行體系����,形成集防護、檢測�����、評估��、響應����、恢復于一體的整體安全保障體系�����,從而實現物理安全���、網絡安全、主機安全��、數據安全和應用安全�,以滿足國家大劇院網站系統全方位的安全保護需求。國家大劇院信息系統整體安全保障體系模型如圖1所示����。
國家大劇院信息系統整體安全保障體系模型主要由三個方面組成。
3.3.1安全技術體系
參考國家標準《信息安全技術 信息系統等級保護安全設計技術要求》按照威脅分析���,將信息資產劃分為若干保護對象��,并按照“一個中心”管理下的“三重保護”的設計框架�,構建國家大劇院信息安全技術體系保障機制和策略��,為國家大劇院信息系統的運行提供安全保護環境����。該環境共包括四部分:安全計算環境��、安全區域邊界����、安全通信網絡和安全管理中心���。
3.3.2安全管理體系
以國家大劇院現有業務系統所服務對象為基礎,建立完善的安全管理體系���,建立信息安全管理機構�����、制定信息安全管理制度����、設置信息安全管理崗位���。
3.3.3安全運維服務體系
針對業務安全運行的需要����,以日常巡檢�����、咨詢、評估等建立有效的運維服務機制�����,加強對資產管理的分析���、隱患發現�����、策略審核考評等��,不斷發現平臺在運行中的安全隱患����,降低系統脆弱性和面臨潛在的威脅帶來的影響及損失���,以及時對安全策略實現完善和防護措施的改進提升�。
3.4 信息安全體系建設實踐
國家大劇院信息安全保障工作經過長期的努力��,已經初見成效����。在安全體系的建設實踐中�����,總結出幾點實踐經驗����。
3.4.1制定標準規范����,奠定保障基礎
信息安全保障建設的一項重要工作之一是參照國家等級保護的技術要求完成相應的合規性檢查�����。因此�,國家大劇院應據此建立適合國家大劇院的信息安全管理基線,堅持常態化管理和動態控制����,達到并保持國家相關安全主管部門的安全審計要求。
3.4.2重視管理��,制度先行
信息安全是一個動態發展的過程��,每年隨著業務發展變化而變化,同時隨著信息安全技術的不斷演變���,都會出現新的安全防護技術的使用����。經過多年實踐證明�����,每個系統或者防護設備上線前��,都必須在遵守總體防護規范的前提下���,編制好具有針對性的管理要求���,才有有效降低安全風險引入的可能。
3.4.3定期組織代碼審計和滲透測試等系統檢測
代碼安全審計是通過人工分析和工具掃描的方式檢驗應用程序的源代碼�����,利用大量的代碼安全規則�,來分析源代碼中的違反規則部分,進而確定可能存在的安全漏洞和隱患。應用系統生命周期安全的從SDL實踐上看�,安全做的越早效果越好(但開發模式改動的成本也相對比較大),代碼審計作為保證代碼安全的最低低線�����,其作用是不可取代的����。
另外,除了從代碼開發過程中保證開發出安全的應用系統以外�,針對已開發的系統�����,國家大劇院還組織第三方測試機構��,從攻擊者視角檢測信息系統安全防護能力是否達到��,是否存在成功攻入系統的途徑����。
4 信息安全建設意義
通過構建信息安全保障平臺,保障我劇院信息系統可安全合規運行����?����;趪倚畔踩燃壉Wo制度要求���,建設國家大劇院信息系統整體安全保障體系模型信息安全保障基礎設施,制定安全策略�����,為國家大劇院系統提供安全可靠的運行環境���。
提高國家大劇院電子票務等信息系統的安全運行平穩度�。通過在信息安全技術����、信息安全保密管理等多維度的體系保障建設,保障網站真實性�、打擊假冒網站,大大提高國家大劇院信息系統安全穩定運行的平穩度��。
提高用戶的安全便捷以及系統安全管理能力���。通過構建可信的電子票務運營環境��,為用戶提供身份認證及網絡信任機制��,加強用戶的身份�����、資金安全保障�����,并且提高系統安全管理能力��。
提升安全隱患發現能力�����。安全隱患的發現能力是信息安全管理中的關鍵能力��,關系到能否將風險消除在事件發生之前��。通過建立入侵監測系統�、防病毒系統以及定期的安全脆弱性檢測等����,大大提升我劇院信息系統的安全隱患發現能力�����。
5 結束語
建設和完善信息安全保障體系是為了保證國家大劇院的業務在今后發展過程中對信息安全建設的要求����。
信息安全保障體系建設涵蓋安全管理體系���、安全技術體系�、安全運維體系的復雜系統工程�,是一項長期性的專業的細致的認為,需要以信息安全技術為基礎����,持續投入大量的人力和物力。為使國家大劇院建設成為國際化�、現代化的大劇院提供有力的信息安全保障。
參考文獻
[1] 關于大力推進信息化發展和切實保障信息安全的若干意見(國發[2012]23號).
[2] 信息安全管理實用規則(GB/T 22081-2008).
[3] 信息系統等級保護安全設計技術要求(GBT25070-2010).
[4] 信息系統安全等級保護體系框架(GA/T 708-2007).
[5] 國家大劇院電子商務網站系統安全保障方案.內部資料�,2010.
[6] 國家大劇院安全服務保障方案.內部資料,2011.
第7篇
1 綜合治理信息安全的戰略背景
IT管理技術發展歷程�����,從被動管理轉向主動管理,從服務導向轉向業務價值���。在科學的IT管理方法論方面形成了一系列標準:諸如ITIL/ITSM以流程為中心的IT管理行業標準;ISO20000ITIL 的國際標準; COBIT面向IT審計的IT管理標準;COSO企業內部控制框架�,面向內部控制;ISO17799:信息安全管理國際標準�����。當前有很多非常好的綜合性標準與規范可以參考��,其中非常有名的就是ISO/IEC27000系列標準�����。ISO/IEC 27001通過PDCA過程����,指導企業如何建立可持續改進的體系。
目前企業IT運維管理現狀��。需求變化:IT本身快速變更;管理目標多角度變換并存�����。資源不足:IT 復雜性成長快于人員成長;IT 人員持續流動��。業務影響:難以判斷事件對業務的影響和處理事件的優先級�。信息孤島:IT 資源多樣性的,不能進行事件的關聯分析����,缺少統一的健康視圖。IT網絡與信息系統運維存在監測盲點�����,缺少主動預警和事件分析機制�����。
如何把此項復雜的工程進行細化與落地�����,建立信息安全保障框架?在企業有限的IT資源(包括人員���、系統等)等的前提下����,IT運營面臨嚴峻的挑戰���,企業多半缺乏信息系統應用開發能力����,在很大程度上依賴于產品開發商的支持,為此��,要想實現從混亂到清晰��、從被動到主動����、從應付到實現價值取向的服務思想,自主加外包的混合運維方式無疑是一種好的服務方式�����。
2 建立和實施信息安全保障體系思路和方法
針對IT管理問題和價值取向的服務方式��,借鑒PDCA工作循環原理和標準化體系建設方法�,從建立安全目標和組織體系、制度體系和技術體系等三個主要層面構建實施信息安全保障體系�,以規范引導人、以標準流程引導人���,以業績激勵人���,從而促被動變主動,堅持持續改善�����,促進工作效率���,促進安全保障��。
2.1 建立和推行目標管理
體系建設應以目標管理為先導����、循序漸進���,按頂層布局�、中層發力��、底層推動內容設計與構建��,為此�,借鑒當前IT運維管理目標演進方式,確立各階段建設目標����。
基礎架構建設階段(SMB)�,手工維護階段��。主要實現IT基礎架構建設�。
網絡和系統監控(NSM)階段,重視自動化監控階段�。主要實現IT設備維護和管理。
IT服務管理(ITSM)階段�����,重視流程管理階段���。主要實現IT服務流程管理��。
業務服務管理(BSM)階段����,重視用戶服務質量與滿意度�����。主要實現IT與業務融合管理。
從IT投入和業務價值來看�,前三個階段是間接業務價值,第四階段才是直接業務價值�。
根據ITIL這個IT服務管理的方法論,先是搭建一個框架��,借用工具的配合促進落地���。如圖1、IT運維管理系統參考模型���。
從安全目標出發����,結合IT運維管理系統參考模型�,每個階段的工作向著實現直接業務價值,不斷消除或減輕對性能的約束��,促進IT產品或服務滿足確定的規范����,實現企業效益最大化。服務好用屬性通過最終的績效和檢驗結果監視測量價值成分���。如圖2�����。
2.2 規劃融合信息安全保障體系
通過從組織體系�����、制度體系����、技術體系層面建立和實施縱深防御體系,實現穩健的信息安全保障狀態�����。
①組織體系:通過企業中高層的支持實現業務驅動和共同推動信息安全體系建設�。當然,需要提出的問題�,組織有可能要依賴長期可靠的合作伙伴:通過長期可靠的合作關系,快速引進外部專業資源和先進技術�����,可以幫助企業推動信息安全建設工作�。為了幫助組織內外信息系統人員更好地遵守行業規范及法律要求���,企業實施IT網絡與信息系統安全運維體系標準,組織應做到定期對全體員工進行信息安全相關教育���,包括:技能�����、職責和意識,通過相關審核��,證明組織具備實施體系的意識和能力�。
②制度體系:企業IT網絡與信息系統安全運維系統建設的范圍包括機房安全、數據安全�、網絡安全、服務器安全���、業務應用安全���、終端安全等。為此�����,企業應明確內部運維和外部協同的內容及其標準規范,包括績效標準�。建立實施IT網絡與信息系統安全運維體系標準,首先把高效的信息安全做法固化下來形成規則制度或標準�����,成為組織中信息安全行為準則�。保證事前預防、事中監控和事后審計等安全措施的得到有效執行與落實�。
③技術體系:一般來說,網絡設備技術體系可以按照從上到下信息所流經的設備來部署工具�。即從數據安全、終端安全����、應用安全、操作系統與數據庫安全�����、網絡安全��、物理安全六個方面來選擇不同的安全工具�����。按照“適度防御”原則,綜合采用各種安全工具進行組合�����,形成企業“適用的”安全技術防線����。適時根據風險評估的結果,采取相應措施����,降低風險。
其中�����,需要采用1~2種綜合管理的工具來幫助把所有的安全監控工具進行統一管控���。例如SOC是給企業日常維護管理者使用,ITRM作為綜合風險呈現�,是給企業風險或安全管理層使用。
④體系運行和監控:體系的日常運行和監控就是從信息的生命周期進行流程控制����,即在信息的創建���、使用、存儲����、傳遞、更改���、銷毀等各個階段進行安全控制��。之前不能忽視在信息創建開發安全階段的一個細化控制手段�。在運行體系建設中���,往往需要結合流程分析來關注信息的生命周期安全��。運行過程中還有一個應急管理�,包括災備中心建設�、業務連續性計劃、應急響應等等都有相應的標準與理論支持��。特別是BS25999標準的頒布�,給如何建立一套完善的應急體系提供了參考。
3 企業建立和實施信息安全保障體系實踐
面對網絡系統互連��,網絡技術與設備的安全管理規范的完善這個復雜而且浩大的工程,井岡山卷煙廠不僅依靠個體分散的技術措施或者管理防護�,而且結合國家、社會和個人的力量構建綜合保障體系���。
①依據ISO9000�����、ISO14000和OHSAS18000標準���,國家計算機網絡和信息安全相關法律法規,參考當前科學的IT管理方法論方面形成了一系列標準����,結合YC/T384煙草企業安全生產標準等,識別這些與信息安全相關的法律法規及其它要求�����,將信息安全保障體系(框架)融合到企業質量����、環境和職業健康安全(以下簡稱為三標)綜合管理體系���。
②確定信息安全管理目標并分步實施企業三年信息化發展規劃����。自2012年開始,企業對照YC/T384煙草企業安全生產標準要求����,在梳理和評價2000年以來企業多個企業信息化三年實施規劃實踐環境以后,制訂了新的三年信息安全管理目標和建設規劃�,將目標和規劃分解到各年度實施,并納入到企業年度三標綜合管理體系建設目標和管理績效考核���。
③建立信息安全管理組織和工作標準�����,同時納入三標綜合管理體系管理考核�����。從體系結構上促成企業作業層���、管理層(中間層)和決策層的信息化,實現企業的物資(服務)流、資金流和信息流的一體化�����,及時����、準確和完整地傳遞企業的經營數據,保證企業的經營管理�。利用信息化改進管理,形成企業信息安全文化��,促進員工接受�、理解和主動配合,不斷提升全員的信息安全意識和技能�����,從而使信息安全管理真正落到實處����。
④建立和實施信息安全保障體系文件標準。根據國家信息安全相關的法律法規及其它要求��,結合行業和企業的特點和發展趨勢����,規范管理流程和模式。網絡與信息系統建設“立足長遠��、分步實施�、突出重點”,做到“統一規劃��、統一標準��、統一平臺���、統一編碼”���,同步實施信息系統等級保護制度,促進企業與信息系統項目合作單位�����、地方通訊和公安等部門的社會化合作主要方式����。企業內部各項工作實現規范化、信息化���,做到一切工作都按照程序辦�,同時,事事處于相互制衡的環境之下��、人人處于監督管理之中����,從而形成職責明確、運轉協調�����、相互制衡的工作機制����,為企業內部信息安全監管提供強有力的保障。
幾年來���,企業堅持企業信息安全方針目標���,以迅速響應服務為宗旨。企業信息安全保障體系建設緊緊圍繞建立科學���、規范��、和諧����、統一���、開放的管理體系��,全面融入了質量�、安全和環境管理體系一體化建設和實踐����,截止到2015年底,企業共梳理建立或整合并實施安全保障類文件包括企業管理標準���、技術標準和工作標準共計31個標準文件�����。通過創新與改善和體系審核���、管理評審和提高文件執行率及持續改進方式保持了信息安全保障管理體系的持續改進和有效運行。
