运维管理保障体系大全11篇
时间:2023-07-17 16:29:16绪论:写作既是个人情感的抒发,也是对学术真理的探索,欢迎阅读由发表云整理的11篇运维管理保障体系范文,希望它们能为您的写作提供参考和启发。
篇(1)
doi:10.3969/j.issn.1673 - 0194.2016.16.000
[中图分类号]F270.7 [文献标识码]A [文章编号]1673-0194(2016)16-00-02
1 中国石油企业信息门户背景介绍
中国石油企业信息门户于2003年开始统一建设与推广应用。采用统一平台、统一标准规范、统一技术对其下属企业进行建设。历经十余年应用,企业信息门户在企业的生产、经营和管理等方面发挥了重要的作用。各企业门户主管部门,始终把门户管理和运维工作作为工作重点,作为提升企业价值的重要举措。通过注重公平公正,强化激励约束,严格奖惩,不断深化门户机制创新,着力构建完善的门户运维工作体系。
随着门户管理与运维工作的不断推进与深化,原有工作体系存在着不足与短板,例如考核评价体系仍然需要完善,考核的力度、深度和广度还不够,过程评价不足,评价手段单一等。另外,通过门户评估,能够发现门户网站建设、运行、管理中存在的不足,提出下一步门户工作重点和发展目标,积极采取有效的措施完善改进,有效引导门户健康有序发展。
随着企业规模的不断增大,企业必须依靠信息化促进企业经营管理水平的提升,推动企业长久发展。而信息门户恰恰是最基本的信息技术手段,因此需要最大限度发挥门户的服务能力,更好地为员工提供有效服务,为企业提供服务保障。因此构建大型炼化企业门户管理与运维体系,实现门户管理和运维的闭合回路,是非常必要的。
2 信息门户实施内涵
构建大型炼化企业门户管理与运维的闭合回路,即是对现行门户管理制度、标准规范、运维流程等进行总结梳理,完善门户考核评价等工作,通过构建门户管理、运维、安全保障和考核评价等四个体系,环环相扣,互相影响和指导,从而形成符合企业门户发展的、科学合理的门户管理与运维工作体系,覆盖门户所有工作环节中,永远不会脱离PDCA管理模型:策划实施检查改进策划,实现了门户管理和运维工作的闭合回路。
3 构建大型炼化企业门户管理与运维闭合回路的主要做法
构建完善的门户管理、运维、安全保障和考核评价等4个体系,每个体系都采用PDCA方法进行不断建设与完善,搭建形成覆盖企业门户管理和运维的闭环管理环境,推动企业门户的发展,提升门户服务能力,促进企业管理水平的提升。
3.1 构建完善的门户管理体系
3.1.1 门户管理体系的内容
门户管理体系是由制度、标准、规范、组织机构、人员和流程等内容组成。它是开展门户工作的前提,有效的管理体系将使企业的门户管理和运维工作制度化、规范化。
3.1.2 门户管理体系的规划与实施
(1)完善制度、标准和规范。制度是围绕门户工作各个环节而设计的一整套管理规范。立足公司实际,自上而下、分步实施、稳步推进、逐步完善,形成了企业统一管理框架,便于管理层、运维人员及用户参照和使用。如《公司信息门户网站管理办法》《公司门户建设与运行管理规定》等,规范门户管理和运维工作,保证系统稳定、高效运行。标准是围绕门户工作制定的一系列可重复使用的规则、导则或特性文件。如《公司信息门户网站编辑规范》《门户信息格式规范》等。
(2)明确组织机构和人员职责分工,建立有效管理机制。机构设置上保证责任全覆盖。企业门户管理的组织机构包括公司信息化工作委员会、门户主管部门及门户运维部门。公司信息化工作委员会由公司领导班子成员及信息管理部领导组成,负责研究和审定公司办法及管理制度,监督与检查管理过程中的、重大情况的决策等,加强了对门户工作的统一领导和综合协调。门户管理由办公室牵头,各职能部门共同参与,使管理更加便捷和精准,提高工作效率和质量,完善管理环节与工作流程。
(3)建立、完善管理流程是门户管理工作的重要内容,要明确怎么管,如何管。
3.2 构建完善的门户运维体系
3.2.1 门户运维体系的内容
门户运维体系也是由制度、标准、规范、组织机构、人员、工作流程等内容组成。它是做好门户工作的基础,主要涵盖运维全部工作,要确保门户稳定、可靠、便捷、高效和安全。
3.2.2 门户运维体系的规划与实施
(1)制定有关运维工作的制度和标准。在管理体系中已经建立和完善门户制度、标准和规范,因此,在运维体系下,主要是围绕门户运维工作制定相应的运维制度、标准和规范。同样也要立足工作实际,便于运维人员及用户参照和使用。例如制定完善《企业门户网站运维工作细则》《门户网站用户操作手册》《门户网站管理员日常操作手册》《门户网站功能模块维护手册》等,涵盖运维所有工作内容,要制定表单跟踪,规范门户运维工作,保证系统稳定、高效运行。
(2)明确组织机构和人员职责分工,构建有效运维机制。一般都是由企业信息部门承担运维工作,或者企业信息部门和下属单位共同承担。人员分为专责和兼职两种。
(3)完善和梳理工作流程,门户系统运维工作大体分为如下五个方面。
第一,门户建设和维护。主要包括门户网站的新建与改版、专题新建与维护、门户功能的扩展等内容。由用户填写《门户建设(变更)申请表》交由运维部门操作、执行、反馈并存档。
第二,门户系统权限运维。主要对信息采编、文档库、网站、网站集权限等进行变更、维护与管理。由用户填写《门户权限变更申请表》并由运维部门授权、反馈和存档。
第三,门户系统软件运维。主要对系统软件包括服务器操作系统、数据库等进行运维。操作系统主要是对日志、补丁更新、接口等进行监控、优化和故障排查等。数据库主要是对数据备份、数据恢复、数据库优化、故障排除等进行运维。备份工作确定好增量备份和完整备份的时间、方式,以及数据保留周期等,填写《门户数据备份日志》进行留存。
第四,门户系统硬件运维。主要是对硬件设备(服务器、存储等)的日常巡检,定期检查和维修,保障设备的正常运行。运维人员巡检填写《门户巡检记录》,维修需要填写《门户硬件维修表单》等存档。
第五,门户系统客户端运维。针对最终用户在使用过程中出现的问题进行处理,保障其应用正常。运维人员根据日常处理情况填写《问题记录日志表单》。
针对整体运维情况,企业可统计《门户运行周报》或《门户运行月报》,进行分析总结,记录相应信息。
3.3 构建完善的门户安全保障体系
3.3.1 门户安全保障体系的内容
门户安全保障体系也是由制度、标准、组织机构、人员、工作内容组成。完善的安全保障体系能够有效预防各类事故的发生,减少突发事件带来无法预估的工作量和影响。
3.3.2 门户安全保障体系的规划与实施
(1)完善门户安全制度和标准。持续完善《门户信息保障措施》《门户突发事件应急预案》《门户风险管控手册》等制度,实现安全工作规范化。
(2)组织机构和人员分工。机构设置满足门户信息安全需要,一般参照上述管理体系和运维体系提及的部门共同承担,企业信息部门为主要责任部门。
(3)安全防护工作主要包括以下三点内容。
第一,监控平台。利用当前先进技术手段,建立安全保障系统,提高信息数据的采集、存储、处理等各个环节的安全性,逐步完善,形成稳定的安全保障体系。持续对门户网站进行漏洞扫描、挂马监测、敏感内容监测、域名监测、钓鱼监测、平稳度监测及篡改监测等安全监测,及时发现网站挂马事件、被黑事件、安全漏洞等问题,确保门户网站安全运行。
第二,风险管理。运维人员在做好门户基础运维工作的同时,还应该保障系统的软硬件及数据安全,加强风险识别和防范能力,提前预估可能出现的风险;针对较高的风险制定应急措施,保障门户系统安全;特别针对信息审核和,一定要严格按制度执行,做好舆情管理。
第三,应急处理。发生突发事件时,迅速发现并定位,按照应急预案进行快速响应,使影响最小。同时应该强化运维人员的应急反应能力,通过定期组织应急演练,并对演练的结果进行总结分析,增强运维人员处理突发事件应急能力。
3.4 构建完善的门户考核评价体系
3.4.1 门户考核评价体系的内容
将门户工作纳入公司信息化考核体系,制定考核和评价指标,分层次比照,加强考核与评价。建立考核和激励机制,对用户、运维人员和管理人员进行考核,对失误的地方予以批评指正,对提高、改进的地方予以奖励,充分调动人员的积极性、主动性,及时发现问题,消除潜在的隐患,促进全过程价值创造,进一步提高运维管理的水平。
3.4.2 门户考核评价体系的规划与实施
考核不仅仅是评价和监督更是激励。完整的考核评价体系能有效发掘员工的潜能,提升业务能力和技术能力,进而提升整体运维水平。
(1)全要素评价。对门户的考核不仅包含工作完成情况,还包含服务满意度、故障处理及时率、系统畅通率、设备完好率、维护及时率、培训情况等以及人员日常工作表现和素质能力的评价。
(2)全过程控制。贯穿整个门户工作中,结果性指标与过程性指标相结合,日常考核与年终考核相结合。将考核内容量化,按规定的程序和频率进行考核评价。
考核结果应扩大化、直接化、显现化,与绩效奖金直接挂钩。按照公开公平公正的原则,保证考核制度公开、目标设定公正、考核过程规范、考核结果公平,充分调动人员的积极性。还要考虑激励约束并重,坚持结果考核与过程评价相统一,激励与约束相配套,责权利相统一,考核结果与绩效奖金、培训发展等紧密挂钩。
4 结 语
企业信息化就是利用信息技术搭建支持企业生产经营管理的运行平台,通过资源的有效利用,实现降本增效,提高企业核心竞争力。信息门户作为企业最基本的信息技术手段,企业应从管理、服务和业务发展角度出发,建立完善的门户管理运维的闭合回路,提高门户服务水平和能力,保障信息系统高效安全运行,从而为企业信息化建设提供有力支撑。
篇(2)
1 综合治理信息安全的战略背景
IT管理技术发展历程,从被动管理转向主动管理,从服务导向转向业务价值。在科学的IT管理方法论方面形成了一系列标准:诸如ITIL/ITSM以流程为中心的IT管理行业标准;ISO20000ITIL 的国际标准; COBIT面向IT审计的IT管理标准;COSO企业内部控制框架,面向内部控制;ISO17799:信息安全管理国际标准。当前有很多非常好的综合性标准与规范可以参考,其中非常有名的就是ISO/IEC27000系列标准。ISO/IEC 27001通过PDCA过程,指导企业如何建立可持续改进的体系。
目前企业IT运维管理现状。需求变化:IT本身快速变更;管理目标多角度变换并存。资源不足:IT 复杂性成长快于人员成长;IT 人员持续流动。业务影响:难以判断事件对业务的影响和处理事件的优先级。信息孤岛:IT 资源多样性的,不能进行事件的关联分析,缺少统一的健康视图。IT网络与信息系统运维存在监测盲点,缺少主动预警和事件分析机制。
如何把此项复杂的工程进行细化与落地,建立信息安全保障框架?在企业有限的IT资源(包括人员、系统等)等的前提下,IT运营面临严峻的挑战,企业多半缺乏信息系统应用开发能力,在很大程度上依赖于产品开发商的支持,为此,要想实现从混乱到清晰、从被动到主动、从应付到实现价值取向的服务思想,自主加外包的混合运维方式无疑是一种好的服务方式。
2 建立和实施信息安全保障体系思路和方法
针对IT管理问题和价值取向的服务方式,借鉴PDCA工作循环原理和标准化体系建设方法,从建立安全目标和组织体系、制度体系和技术体系等三个主要层面构建实施信息安全保障体系,以规范引导人、以标准流程引导人,以业绩激励人,从而促被动变主动,坚持持续改善,促进工作效率,促进安全保障。
2.1 建立和推行目标管理
体系建设应以目标管理为先导、循序渐进,按顶层布局、中层发力、底层推动内容设计与构建,为此,借鉴当前IT运维管理目标演进方式,确立各阶段建设目标。
基础架构建设阶段(SMB),手工维护阶段。主要实现IT基础架构建设。
网络和系统监控(NSM)阶段,重视自动化监控阶段。主要实现IT设备维护和管理。
IT服务管理(ITSM)阶段,重视流程管理阶段。主要实现IT服务流程管理。
业务服务管理(BSM)阶段,重视用户服务质量与满意度。主要实现IT与业务融合管理。
从IT投入和业务价值来看,前三个阶段是间接业务价值,第四阶段才是直接业务价值。
根据ITIL这个IT服务管理的方法论,先是搭建一个框架,借用工具的配合促进落地。如图1、IT运维管理系统参考模型。
从安全目标出发,结合IT运维管理系统参考模型,每个阶段的工作向着实现直接业务价值,不断消除或减轻对性能的约束,促进IT产品或服务满足确定的规范,实现企业效益最大化。服务好用属性通过最终的绩效和检验结果监视测量价值成分。如图2。
2.2 规划融合信息安全保障体系
通过从组织体系、制度体系、技术体系层面建立和实施纵深防御体系,实现稳健的信息安全保障状态。
①组织体系:通过企业中高层的支持实现业务驱动和共同推动信息安全体系建设。当然,需要提出的问题,组织有可能要依赖长期可靠的合作伙伴:通过长期可靠的合作关系,快速引进外部专业资源和先进技术,可以帮助企业推动信息安全建设工作。为了帮助组织内外信息系统人员更好地遵守行业规范及法律要求,企业实施IT网络与信息系统安全运维体系标准,组织应做到定期对全体员工进行信息安全相关教育,包括:技能、职责和意识,通过相关审核,证明组织具备实施体系的意识和能力。
②制度体系:企业IT网络与信息系统安全运维系统建设的范围包括机房安全、数据安全、网络安全、服务器安全、业务应用安全、终端安全等。为此,企业应明确内部运维和外部协同的内容及其标准规范,包括绩效标准。建立实施IT网络与信息系统安全运维体系标准,首先把高效的信息安全做法固化下来形成规则制度或标准,成为组织中信息安全行为准则。保证事前预防、事中监控和事后审计等安全措施的得到有效执行与落实。
③技术体系:一般来说,网络设备技术体系可以按照从上到下信息所流经的设备来部署工具。即从数据安全、终端安全、应用安全、操作系统与数据库安全、网络安全、物理安全六个方面来选择不同的安全工具。按照“适度防御”原则,综合采用各种安全工具进行组合,形成企业“适用的”安全技术防线。适时根据风险评估的结果,采取相应措施,降低风险。
其中,需要采用1~2种综合管理的工具来帮助把所有的安全监控工具进行统一管控。例如SOC是给企业日常维护管理者使用,ITRM作为综合风险呈现,是给企业风险或安全管理层使用。
④体系运行和监控:体系的日常运行和监控就是从信息的生命周期进行流程控制,即在信息的创建、使用、存储、传递、更改、销毁等各个阶段进行安全控制。之前不能忽视在信息创建开发安全阶段的一个细化控制手段。在运行体系建设中,往往需要结合流程分析来关注信息的生命周期安全。运行过程中还有一个应急管理,包括灾备中心建设、业务连续性计划、应急响应等等都有相应的标准与理论支持。特别是BS25999标准的颁布,给如何建立一套完善的应急体系提供了参考。
3 企业建立和实施信息安全保障体系实践
面对网络系统互连,网络技术与设备的安全管理规范的完善这个复杂而且浩大的工程,井冈山卷烟厂不仅依靠个体分散的技术措施或者管理防护,而且结合国家、社会和个人的力量构建综合保障体系。
①依据ISO9000、ISO14000和OHSAS18000标准,国家计算机网络和信息安全相关法律法规,参考当前科学的IT管理方法论方面形成了一系列标准,结合YC/T384烟草企业安全生产标准等,识别这些与信息安全相关的法律法规及其它要求,将信息安全保障体系(框架)融合到企业质量、环境和职业健康安全(以下简称为三标)综合管理体系。
②确定信息安全管理目标并分步实施企业三年信息化发展规划。自2012年开始,企业对照YC/T384烟草企业安全生产标准要求,在梳理和评价2000年以来企业多个企业信息化三年实施规划实践环境以后,制订了新的三年信息安全管理目标和建设规划,将目标和规划分解到各年度实施,并纳入到企业年度三标综合管理体系建设目标和管理绩效考核。
③建立信息安全管理组织和工作标准,同时纳入三标综合管理体系管理考核。从体系结构上促成企业作业层、管理层(中间层)和决策层的信息化,实现企业的物资(服务)流、资金流和信息流的一体化,及时、准确和完整地传递企业的经营数据,保证企业的经营管理。利用信息化改进管理,形成企业信息安全文化,促进员工接受、理解和主动配合,不断提升全员的信息安全意识和技能,从而使信息安全管理真正落到实处。
④建立和实施信息安全保障体系文件标准。根据国家信息安全相关的法律法规及其它要求,结合行业和企业的特点和发展趋势,规范管理流程和模式。网络与信息系统建设“立足长远、分步实施、突出重点”,做到“统一规划、统一标准、统一平台、统一编码”,同步实施信息系统等级保护制度,促进企业与信息系统项目合作单位、地方通讯和公安等部门的社会化合作主要方式。企业内部各项工作实现规范化、信息化,做到一切工作都按照程序办,同时,事事处于相互制衡的环境之下、人人处于监督管理之中,从而形成职责明确、运转协调、相互制衡的工作机制,为企业内部信息安全监管提供强有力的保障。
篇(3)
中图分类号:TP309 文献标识码:A 文章编号:1674-098X(2016)12(b)-0100-02
电力公司的安全防护体系根据省、市、县安全防护不同层面防护要求各有侧重、相互支撑、互为补充。根据各信息系统重要程度设计安全防护体系“三横四纵”的总体架,建立信息安全防护体系。
1 信息安全防护策略设计目标
信息安全保障体系的建设紧紧围绕安全管理、安全技术和安全运维3个方面,在每个方面都有相应的具体目标。达到这个目标就能为综合服务平台构建一个多层次、多角度的立体纵深防御体系。
安全管理的建设目标:
确定安全组织和责任划分,确定安全策略,确定信息资产分类和分级。
实现安全变更管理、安全补丁管理、安全备份管理、应急响应计划、业务持续性计划、安全核心流程。
安全培训与教育、安全控制要求:
对信息资产进行风险评估,达到ISO27001管理标准。
安全技术的建设目标:
根据业务需求划分不同的安全域,安全边界进行防护。
实现安全系统强化功能、建立网络和主机入侵检测机制、实现高危数据加密传输、关键系统的日志审计、建立病毒防范体系、建立身份认证体系、访问控制体系、远程访问安全机制。
建立数据安全存储体系、时间同步机制、集中安全审计体系、安全事件管理平台。
安全运维的建设目标:
建立定期风险评估机制。
定期对日志进行审计、定期进行渗透测试。
完善安全信息上报机制、定期对安全策略和标准进行评估和修订。
显示安全的运维外包。
2 电力信息安全建设体系内容
电力信息系统信息安全保障体系采用了“三横四纵”的总体架构,即横向上分为3个层次,分别为应用层、技术层、管理层;技术层次中纵向又分为4种主要体系,即以基础安全服务设施、数据安全保护、网络接入保护、平台安全管理为支柱,信息安全基础设施为基础,通过信息安全管理体系为业务应用提供可靠的安全保障。
一是应用层。这是安全保障体系的主要对象。信息化建设的终极目标是提供给用户好用、易用、够用的应用系统,应用系统是为了满足不同用户的不同业务需求,安全保障体系保障的核心就是应用系统及其数据。
二是技术层。这是信息安全保障体系的主要体系。目前包括技术支撑体系、技术保障体系、网络信任体系、安全服务体系。这4种体系已经经过多年的探索和建立,应该说已经覆盖了技术上的所有方面。
三是管理层。包括等级保护安全策略、安全管理制度、法律法规和技术标准。通常说“三分技术、七分管理”,再好的技术也需要完善的管理才能保证技术发挥最大的效能。
3 信息安全防护设计
电力系统是一个由内网、外网两种网络域构成的庞大信息系统。各个网络域执行着不同的服务内容:内网是一个完整的电力系统办公自动化环境,外网担负着与公众间信息沟通的责任。
如此复杂的应用环境给系统带来了大量潜在的安全隐患:黑客利用外网或专网攻击内部网络、数据在传输过程中的泄露、网页遭篡改、伪造身份进入系统、操作系统漏洞、病毒等。这些安全隐患不可能依靠某种单一的安全技术就能得到解决,必须在电力信息系统整体安全需求的基础上构筑一个完整的安全服务体系。
构建一个完整的安全防护体系有组织地实现上述安全需求,我们提出的安全保障平台由基础安全服务设施、数据安全保护、网络接入保护、平台安全管理组成。
(1)基础安全服务设施。
基础安全服务设施防护设计主要包括部署平台的应用系统的身份认证与访问控制、基础环境安全保护(访问控制、防火墙、入侵检测、安全审计、VPN)。
(2)数据安全保护。
数据安全保护方案是为部署在电力信息系统提供数据传输、数据访问和数据存储备份恢复的安全保障措施,主要分为4类:应用保护、数据传输交换保护、数据备份与恢复设计。
(3)网络接入保护。
统一管理集中建设互联网接入点,实现电力各部门互联网的安全接入和可管可控可剥离;各部门在统一的安全技术体系下,根据各自信息下发指令信息包括针对省级安全等级,建设、升级、完善安全系统;依托平台建设省级安全接入机制,实现与接入统一监控、统一管理和统一服务。
(4)平台安全管理。
安全管理体系是信息安全保障体系建设的一个重要环节,安全管理体系的建设内容包括:建立完善等级保护安全管理机构、安全管理制度、人员安全管理、系统建设运维管理、系统运维管理。
4 结语
该课题对电力公司信息安全防护策略和防护设计进行研究,电力信息化安全服务平台也基于电力信息系统安全需求设计安全防护体系,面向系统管理员、安全管理员提供安全保障,为各级信息化安全管理对安全监管、信息共享和提供安全保障支撑。
参考文献
[1] 高鹏,范杰,郭骞.电力系统信息安全技术督查策略研究[C]//电力通信管理暨智能电网通信技术论坛论文集.2012.
[2] 余勇,林为民,俞钢.电力信息系统安全保障体系的研究[C]//2004年世界工程师大会电力和能源分会场论文集.2004.
篇(4)
2.IT建设和运维现状。卷烟企业是以烟草原料制成各类烟制品的生产制造企业。近年来随着烟草行业信息化建设蓬勃发展,经过多年信息化建设,卷烟企业在管控层和执行层分别部署了众多的信息化系统,取得了很大的成绩。经过数次ERP项目建设,全面覆盖了卷烟企业生产经营全过程,使卷烟企业信息化建设工作得到进一步落实[3],促进了卷烟企业管理水平的进一步提升,实现了业务流程标准化和规范化,实现了卷烟企业生产管理、财务业务工作一体化,实现了项目及预算管理有效监管与控制,实现了物流、资金流、信息流集成和统一,基本形成了计划—运营—总结与反馈—提升的闭环,全面提升了卷烟企业管控能力,为提升以管理竞争力为中心的卷烟企业核心竞争力打下坚实基础。卷烟企业引入ITIL管理方法,通过分析IT运维现状,梳理IT维护服务流程、完善运维管理制度等措施,加强IT运维管理,有效地保障了卷烟企业信息化业务的正常运行。但是ITIL实践仍处于探索阶段,且理论的实践不单是技术的层面,更需要结合卷烟企业文化和管理方法进行开展。因此需要充分分析现行卷烟企业信息化建设现状和IT运维管理存在的问题,逐步实施,达到ITIL思想与卷烟企业信息运维工作的有效融合。
3.信息化面临的挑战。在烟草行业处于迅猛的发展时期,业务的多变性导致信息体系运维建设也不可避免会出现一些问题主要表现如下:应用系统功能定位不够清晰:部分系统基于业务部门的自主需求建设,在建设前,缺少统一的规划,例如市场调研系统、工商协同平台、营销信息采集系统、产销协同等,导致部分功能重叠、信息孤岛现象出现、信息资源利用不充分[4]。应用系统功能覆盖不够全面:目前在各业务管理系统中还缺乏对采购、物流前期监管、招标及其客商、消费者等方面的管理功能;在电子政务系统中缺少对法律、审计、知识、标准、流程、党务等事务信息化功能及信息系统等业务支持不足等。应用系统之间缺乏有效集成:由于缺乏统一软件平台标准和集成管理规范等原因,各系统供应商提供的系统相对独立,存在数据不能被充分利用、数据接口、数据转换困难的现象。如:ERP系统中产、供、销在计划层面的联动不够;部分采购业务与供应商评估没有集成;ERP、MES、产品研发、办公协同系统(OA)等系统之间也存在相当一部分业务数据重叠,需要进一步集成。由于缺少对IT系统的有效管理,加上自动化系统具有复杂性、综合性及连续性等特点,使得传统的卷烟企业信息运维管理处于被动、孤立的状态。如何确保这些系统始终处于最佳运行状态,并使之能根据需求的变化及时进行相应的调整,已成为卷烟企业高度关注的问题。越来越多的卷烟企业信息部门开始反思如何更好地实现IT系统的价值,提供更好的系统维护手段和方法来支撑业务的稳定、高效及安全发展。通过进一步总结信息系统运维经验,认为提高整体工作质量、减少各类技术故障,提高IT服务和运维管理已成为此项工作亟待研究的新课题,这也是卷烟企业迫在眉睫需要解决的问题。
二、基于ITIL方法的运维应用研究
1.IT运维管理应用的探讨
卷烟企业综合信息化中既有流程性的内容,又有离散系统的特点,在整体的信息化系统建设和应用中涉及采购、运输、存储、调度、生产、计划及验收等诸多卷烟企业业务,内容从烟叶购进、仓储醇化到制丝、卷包;从MES数据采集到ERP数据对接、BI数据挖掘,其IT服务、运维管理配置,网络覆盖,IT运维管理总体要求更高,而借鉴ITIL方法论对构建卷烟企业综合信息化运维管理具有。ITIL内容宽泛,侧重于IT系统的运维,目标是通过有效的流程管理达到提高IT部门服务质量。从卷烟企业IT运维管理的现状来看,ITIL已经成为推进IT运维体系建设和日常操作管理的首要标准和最佳实践参照。卷烟企业应重点地应用ITIL核心思想方法,建立适合卷烟企业特色的IT运维管理体系,提高IT运维管理的效率和规范性,保障卷烟企业IT系统和设备的持续稳定运行[5]。
2.设计符合卷烟企业特点的运维管理平台
全面探索“设计符合卷烟企业特点的运维管理平台,参照戴明环PDCA在运维过程中制定有计划、有执行、有绩效、有改进的日常运维操作手册,其内容涵盖定期进行运维风险管理,日常运维管理及运维故障响应管理三大部分,形成事前
有预防,事中有监控,事后有补救位于执行层的详细工作指南。同时在伴随着信息技术发展和实际应用需求的提高,对原有单纯对底层信息基础设施的运维、管理的模式进行改造建设。在确立信息化工作向服务模式转变后,探索新形势下的IT保障体系,以运维和安全为两个着力点,为飞速增长的业务提供稳固的支撑。以“提升服务、规范管理”为目标,建立卷烟企业IT运维管理平台,提升运维服务水平。运维管理平台整体架构分为三层:IT监控层、运维管理层和综合展示层。IT监控层包括集中监控中心、安全管理中心和呼叫中心,主要目标是对业务应用(OA、生产系统、行业系统、业务用户等)、基础架构设施和安全设备的集中监控与分析实现IT运维可视化;运维管理层包括服务流程管理、业务资源管理和安全管理,主要目标是对运维日常工作流程、IT资源进行管控实现IT运维规范化;综合展现层包括综合管理中心,具体提供统一事件管理、网络状态监控、系统运行状态监控、业务状态监控、拓扑管理、趋势预警分析、服务管理、系统维护、权限管理、报表管理、知识管理、故障管理、告警管理、质量评价等功能实现IT运维可控化。
3.落实卷烟企业IT服务管理的关键因素
(1)运维中心组织架构的建立。IT运维能力提升目标:建设统一管理体系:即基于ISO20000标准与ITIL最佳实践,结合企业现有的信息化管控体系建设内容建立一套符合企业的标准运维服务管理体系与流程,规范与标准化IT服务,确保有效提升服务水平与服务质量。将从人员、流程、技术三方面进行建设:运维服务层面:结合宁波卷烟企业现状,组成由信息化部门、专业运维厂商、应用开发商的三级IT运维管理团队。管理体系建设层面:梳理IT运维服务流程,建设符合ITIL规范的流程体系,细化IT运维规范和操作安全规范,建设IT服务管理体系[6]。运维管理平台建设层面:通过建设运维管理平台,从技术上实现运维故障主动告警,运维事件自动派单,运维流程全面管控。针对企业已有的IT基础架构及业务应用系统,进行企业IT运维体系设计,分步实施并部署适用于企业的IT运维管理系统,实现对IT资源集中化、统一化、一体化的管理,实现IT服务的有效配置以及利用运维工具对应用系统的主动管理,保障企业拥有高效、稳定、可靠、安全的信息化运行环境。ITSM作为ITIL的具体实现形式体现。管控层:在管控层面主要建立管理计划、执行控制、定期检查、绩效考核等内容,确保IT运维管理可控。执行层:在执行层面主要建立主动监控、定期检查、事件处理、供应商协调、报告及分析,确保IT运维执行有序。
(2)建设运维服务团队。运维服务层面,打造由卷烟企业信息中心、专业运维厂商、应用开发商组成三级运维管理团队,建立规范的信息运维体系,创建面向客户的信息化服务模式,提供有价值的信息化专业服务,整体提高信息化管理水平,更好地服务于企业生产、经营活动。信息中心需要确保运维所需的过程得到建立、实施和保持,并且能够履行决策、协调、指挥、控制、监督、指导等职责。从这个角度出发,运维服务需要在信息中心的统筹运营管理下,通过建立运维管控层和运维执行层,来实现对所有应用系统服务需求的受理、派工、追踪、反馈和考核。通过建设IT运维管理团队,通过设立统一服务台,细化运维专业分工,实现运维与开发的分离,实现运维团队专业化。通过梳理IT服务流程,细化IT运维规范,建设IT服务管理体系,实现运维流程规范化。通过建设IT服务管理系统及IT集中监控系统,从技术上实现运维管理的可视、可管、可控,实现运维技术自动化。以此,在满足对信息资源进行统一管理、完善应急能力、降低运行成本、提高服务质量和效率的同时,更需要在保障所有业务应用系统正常运行的情况下开展工作,体现信息相关投资的价值,保障信息系统的可用性、可靠性,及信息应用系统自身的持续发展[7]。
(3)运维管理体系制度建设。运维管理层面上,将建设集运维预防控制体系、运维事中操作控制体系和运维事后恢复控制体系为一体的运维管理制度体系,从组织、流程与规范三方面保障全区运维服务。运维安全管理制度体系:建立一套运维安全保障体系制度,该制度是《运维安全体系制度》和《运维管理体系制度》二套体系的整合。其主要目标是确保运维体系在战术层上的正确性。实现运维预防体系中建设的运维管理体系建设运维安全管理制度体系采用“三个层面,四级文件”的制度制定方式,根据信息化建设的现状和未来的发展趋势,结合ITIL、COBIT、等级保护的理念和精髓,对原制度的缺陷进行完善和改进,给出科学的管理建议。
篇(5)
作为试点之一的重庆市工商管理局的规模大概有1万多工作人员、44个区县分局、400多个工商所,拥有5000多台计算机和网络设备,而数据库是大集中、大联网的。正是由于这种数据大集中所带来的业务大辐射、大交叉,使得安全管理也呈现出更加复杂的结构。
所以首先就是要搞清数据资源的需求,明确各自的实施范围。重庆市工商局在解决业务开展中遇到的问题的过程中形成了“以信息安全主管职能部门为主导、数据大集中部门为主体、专业技术机构为支撑”的安全管理模式。
其次,将数据安全保障的重点进行排序,将“数据完整性”和“数据/系统可用性”放在了首要的位置,然后是与试点单位“业务敏感性”相关的“数据机密性”。将这三个保障目标分别映射到“数据安全”、“应用安全”、“主机/平台安全”、“网络安全”和“物理安全”五个技术领域。
最后,就是要保障数据大集中信息系统提供的各项服务具有连续性。数据大集中带来的是数据越集中,电子政务工作对信息系统的依赖性越强,连续工作的要求就越高,所以一定要保证它的连续性。
另外,重庆在试点中总结了一套系统工程实施的方法。其中“三分析一筛选”方法是为了区分同属数据大集中模式,但处于不同发展阶段的电子政务系统,主要方法是“依次分析数据特征、业务特征和应用需求,然后筛选安全保障措施”。
而风险评估是等级保护的起点和依据,风险评估与等级保护之间的内在联系是重庆市试点的重要任务之一。在试点工作中将信息安全风险评估的三个流程“资产识别”、“安全威胁分析”和“系统脆弱性评估”与电子政务信息安全等级保护的三个阶段“进行定级”、“规划与设计”和“实施、验证与运维”进行嫁接,摸索出了一条“123Y立方”工程化实施的方法。
实施效果
1.重庆工商模式
篇(6)
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)14-0137-02
油服信息技术应用与集中程度的不断深入提高,信息安全保障体系建设工作已成为信息化建设过程中的重要组成部分。油服具有地域分布广、业务复杂多样等特点,在信息安全形势多变的情况下,独立分散的安全措施已无法更好地满足安全防护需求。信息安全若不能得到很好的保障,将给公司的业务正常运作及办公稳定性、高效性和有效性带来影响。因此,需完善公司的信息安全政策方针、规划并建立符合油服实际情况的信息安全保障体系,采用先进的安全管理过程模式,完善信息安全管理制度与规范,提高员工的信息安全意识,提升风险控制及保障水平,以支撑油服核心业务的健康发展。
1 信息安全保障体系
1.1 信息安全保障体系建设需求
油服在信息安全方面已部署了部分信息安全防护措施,如划分安全域、部署边界访问控制设备、配备入侵防御系统、部署统一的防恶意代码软件等。与此同时,每年都开展信息系统安全测评工作,对公司的信息系统进行安全等级测评差距分析、安全问题整改咨询核查以及渗透性测试等,从而能够较为全面的掌握当前各信息系统和信息安全管理制度的建设、运维和使用情况,以提高信息系统的安全防护能力。但从总体来看,仍缺乏信息安全保障体系框架,总体安全方针和策略不够明确,安全区域划分不够细致,网络设备和重要服务器的安全策略缺乏统一标准,未部署安全运维管理中心,无法真正起到纵深安全防御的效用。
1.2 信息安全保障体系目标与定位
信息安全保障体系的建设要结合油服的信息安全需求、网络应用现状及未来发展趋势,在风险评估的基础上,明确与等级保护相适应的安全策略及具体的实施办法。对全网进行合理的安全域划分,技术与管理并重的同时,以应用与实效为主导,从网络、应用系统、组织管理等方面,保障油服信息安全,形成集检测、响应、恢复、防护为一体的安全保障体系。
2 油服信息安全保障体系架构模型
油服信息安全保障体系框架采用“结构化”的分析和控制方法,纵向把保护对象分成安全计算环境、安全区域边界和安全通信网络;横向把控制体系分成安全管理、安全技术和安全运行的控制体系,同时通过“一个安全管理中心”的安全管理概念和模式,形成一个依托于安全保护对象为基础,横向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心“三个体系、一个中心、三重防护”的信息安全保障体系
框架。
2.1 安全管理体系
根据等级保护基本要求的相关内容,信息安全管理体系重点落实安全管理制度、安全管理机构和人员安全管理的相关控制要求。
2.2 安全技术体系
根据等级保护基本要求的相关内容,通过安全技术在物理、网络、主机、应用和数据各个层面的实施,建立与实际情况相结合的安全技术体系。
2.3 安全运行体系
根据等级保护基本要求的相关内容,信息安全运行体系重点落实系统建设管理和系统运维管理的相关控制要求,并与实际情况相结合,形成符合等级保护要求的信息安全运行体系
框架。
2.4 安全管理中心
根据等级保护基本要求和安全设计技术要求的相关内容,通过“自动、平台化”的方式,对信息安全管理、技术、运行三个体系的相关控制内容,结合实际情况加以落实。
3 油服信息安全保障体系架构设计
3.1 安全管理体系架构设计
信息安全管理体系架构的设计可从以下3方面开展。
3.1.1 信息安全组织
油服信息安全组织为信息安全管理委员会,各业务部门为信息安全小组,部门经理为本小组的第一安全责任人。同时,定义了组织中各职能角色的职责,以此指导信息安全工作开展。
3.1.2 信息安全制度
油服的信息安全制度一方面能及时反映公司的信息安全风险动态,便于灵活地修订与更新;另一方面确保信息安全技术与管理人员及用户能够了解哪些是禁止做的,哪些是必须做的。
3.1.3 人员安全管理
在人员安全管理方面,可以通过对人员录用、调用、离岗、考核、培训教育和第三方人员安全几个方面进行设计。
3.2 安全技术体系架构设计
信息安全技术体系架构设计可从以下3个方面开展。
3.2.1 信息安全服务架构
信息安全服务架构设计分为保护、检测、响应与恢复四个环节,实现对信息可用性、完整性和机密性的保护,监测检查系统存在的安全漏洞,对危害系统安全的事件行为做出响应
处理。
3.2.2 信息技术基础设施安全架构
信息技术基础设施安全架构以网络安全架构为主体,结合系统软硬件进行安全配置和部署。网络安全架构的规划根据网络所承载的应用系统特性和所面临的风险划分不同的网络安全域,并实施安全防护措施。
3.2.3 应用安全架构
应用系统的信息安全保障是在信息技术基础设施安全架构上,更多地关注已有的信息安全服务是否被充分利用。为满足业务系统对信息安全的需求,通过在业务系统中实现集成保障信息安全的机制,从而达到信息安全技术控制要求。
3.3 安全运行体系架构设计
油服信息安全运行体系架构设计主要从以下3个方面开展。
3.3.1 信息系统安全等级划分
油服信息系统安全等级划分从信息资产等级、网络系统等级和应用系统等级三个方面进行定义。
3.3.2 信息安全技术控制
信息安全技术控制是由系统自身自动完成的安全控制。主要在信息系统的网络层、系统层和应用层,包含身份鉴别、访问控制、安全审计等五大类通用技术。
3.3.3 信息安全运作控制
信息安全运作控制是在油服业务运作和信息技术运作过程中进行实施的运作类安全控制,包括控制针对的主要风险点及具体分类。
4 结束语
在油服业务不断拓展,国际化步伐不断深入的过程中,信息系统在公司发展中的作用和地位日趋重要。公司对信息系统的依赖性也在不断增长,信息安全也愈发重要。健全油服信息安全保障体系,为实现“制度标准化、工作制度化”的管理常态奠定了坚实的基础。油服信息安全保障体系不仅从物理网络安全、系统应用安全、数据和用户安全等方面入手,还从安全域划分、安全边界防护、主动监控、访问控制和应急响应等方面综合考虑,进一步加强落实信息安全等级保护的基本要求,初步实现对网络与应用系统细粒度、全方位的安全管控,从而更为有效地提升了油服在信息安全方面的管理水平。
参考文献
[1]马永.浅谈企业信息安全保障体系建设[J].计算机安全,2007(7):72-75.
[2]王朗.一个信息安全保障体系模型的研究和设计[J].北京师范大学学报(自然科学版),2004(2):58-62.
篇(7)
1.在基础平台建设的同时开展全面、有效的安全体系规划和建设;2.选用最可靠最稳定的安全产品构建安全防御系统;3.在最大限度保障安全运行的同时,又兼顾良好的运行效率;4.全面兼顾安全技术、业务运维流程和人员在信息安全保障中的积极协调作用;5.有效监控全网的安全情况,快速发现可能的安全隐患和异常行为;6.实现7×24×365的安全运行状态监控与安全运行维护处理;7.建立完善的应急响应机制和流程;8.在短短两个月时间内高效率、高质量地完成所有的工作。
一套平台 两种思想 三个系统
国家棉花市场监测系统安全建设和保障工作涉及到安全体系规划、安全系统集成、安全运维管理、信息安全专业服务、高端安全管理咨询、日常安全支持以及安全值守服务等众多内容。安全建设工作千头万绪,安全保护对象庞大复杂,安全管理要求苛刻严格,对安全保障体系的规划和设计提出了非常高的要求。
针对安全建设和管理需求,太极组织了大量的安全专家认真、深入地分析了国家棉花市场监测系统可能面临的各类安全问题,参照ISO17799等安全管理国际标准,结合太极多年在安全领域的经验,提出了解决方案。太极与相关合作伙伴紧密合作,针对国家棉花市场监测系统的安全设计和建设可以总结为:建设一套集中的安全运行管理平台,融合两种核心的安全建设思想,建立三个不同角度的信息安全子系统。
一个平台,是指通过部署安全运行管理中心产品建立国家棉花市场监测系统的集中安全运行管理平台。通过对网络中各种网络安全设备和安全软件的集中管理和监控,把一个个原本分离的网络安全孤岛联结成有机协作互动的一个整体,并自动实现对安全事件的处理,从而实现网络安全管理过程中的实时状态监测,动态策略调整,综合安全审计以及恰当及时的威胁响应,从而有效提升网络的可管理性和安全服务水平。
两种思想是指动态信息安全风险管理体系建设思想和构建信息安全纵深防御体系建设思想。
动态信息安全体系思想的根本目的,是要保障安全系统设计具备良好的动态建设过程和安全可扩展性,促进建立易扩展的信息安全保障体系。纵深防御思想是保障安全系统设计的广度和深度,促进建立全面综合、高效安全的网络安全保障体系。其在广度上要求从网络架构、网络设备、操作系统、应用系统、数据库系统等各个层面考虑安全系统建设;在深度上要求分层次,由外而内,从网络边界、内部网络、核心服务器乃至桌面PC各个层面考虑安全防御功能的建设。其核心体现就是进行合理的网络安全域规划,实现安全事件影响范围的有效控制。
本次项目,太极协助国家棉花市场监测系统规划了完善的动态信息安全风险管理体系的建设,包括三大信息安全体系安全功能技术体系、安全服务支持体系、安全管理咨询体系。
优点多多
系统的安全规划、建设和运营管理解决方案,覆盖了信息系统的整个生命周期;充分重视业务安全管理,将传统分立的安全产品管理进行有效整合;提出了安全运行管理中心解决方案,实现了安全产品和管理的集中统一;将安全监控和安全维护有机结合,实现闭环管理,提高了安全管理效率;将各种安全设备所报告的安全事件汇总在一起进行关联分析,消除安全事件的误报和重复报警,并推断问题根源,给出该事件的解决建议。
应用效果与收益
安全运行管理中心的部署,实现了分散的、异构的安全产品的集中管理,高效提炼和分析海量的安全信息和各类报警事件;实现了安全事件的闭环处理;实现了信息安全的“可控、可见和可管理”,协助国家棉花市场监测系统迈向信息安全管理乃至IT管理的新台阶。
用户评议
篇(8)
【关键词】
电力信息;安全保障;体系建设;探讨研究
所谓的电力信息系统,主要的内容包括信息网络、应用系统、网络服务系统、存储与备份系统、安全系统、辅助系统等。除此以外,上述系统的附属设备也在电力信息系统的行列内。本系统所涉及的技术,大致有数据加密技术、防火墙、入侵检测技术、网络扫描技术,以及访问控制技术等。虽然安全架构在设计上出现问题与管理方面出现问题,是引发信息系统安全问题的主要因素,但还是有其他因素存在。因此,在电力信息系统安全保障体系的建设,要考虑电网运行安全方面以外,还要经过信息安全系统的的建设、信息安全管理的建设和信息安全策略的建设三个阶段。
一、电力信息安全保障体系存在的问题
随着科学技术的不断发展,计算机技术也在不断进步,黑客是摆在我们面前不可忽视的问题。因此电力系统在正常运行的情况下,就很容易受到黑客的攻击,造成病毒的侵入,所以对电力信息的安全保障体系的建设予以加强,变得迫在眉睫。现如今,电力信息安全存在的主要问题,大致包括信息安全意识薄弱、信息安全运作机制不完善、信息安全保障工作没有常态化、系统安全设计不足,以及短板现象显著等。在大多数电力企业中,信息安全问题常常被忽视,有的甚至处于不防御状态。信息安全运作机制不完善,在不完善的业务连续性计划,不规范的信息文档和测试数据的管理中,有所体现。那么,怎么样去应对这些问题呢?使这些问题能够迎刃而解呢?主要从信息安全管理和信息安全技术两方面入手。其中,信息安全评估、建立安全管理组织、信息安全运行管理、安全策略规划和安全监督审计等,均属于信息安全管理范畴。而信息安全技术大致包括通用信息安全技术手段,也就是安全服务,比如访问管理、防恶意代码、身份认证和审核跟踪等等。
二、电力信息安全保障体系的策略与管理
结合当前形势与公司实际,要不断进行管理的创新与技术的实践。从管理层面讲,要对组织机构、系统运行维护、规章制度、相关工作人员教育等进行全面控制和管理;而从技术的层面出发,做到防护物理、主机系统、网络、数据应用等等各方面的安全性,同时在安全可靠前提下,建设一套高效、先进、实用的信息安全保障体系,支撑助力生产专业化与管理现代化,保障电力信息的安全性。制定电力信息安全策略,应该保证在国家信息安全等级保护政策的前提下进行,本着提升电力企业整体防篡改、防泄密、防攻击等综合能力的原则,进行策略的制定。电力信息安全的运行,在保证对基础环境、主营业务系统、软硬件平台等等运行维护的同时,还要确保运维技术规范、运维流程和定检等标准或机制的建立。另外,访问控制和身份认证,可以将主机系统、安全设备、应用系统,网络设备等的身份认证,进行统一管理。审计和监控,也可提高信息的安全性,对问题发生时的反应速度,也能够得以提升,对安全问题的发生,起到了有效的预防。在电力管理信息大区网络内部,还应建立能够对病毒进行预防、隔离、检测和清除的机制。这样,可以大大降低未知病毒的入侵率。
三、结论
总而言之,加强电力信息安全保障体系的建设,是新时期电力工作者热衷研究的一大科题,更是今后的工作方向。在电力信息系统安全保障体系建设的过程中,我们必须要以“坚持实事求是、以人为本”的方针为原则,系统性的分析影响电力信息系统运行安全与管理的因素,结合如今电力信息系统安全保障的实际情况,以最佳的建设原则与思路,对电力信息系统安全保障体系进行完善,为电力企业的健康长远发展做出突出的贡献。
作者:唐勇 单位:国网四川省电力公司电力科学研究院
参考文献
[1]李志茹,张华峰,党倩.电网企业信息系统安全防护措施的研究与探讨[J].电力信息化.2012(04)。
[2]香柱平.有关电力企业信息中心网络安全及防护措施的探讨[J].中小企业管理与科技(下旬刊).2010(05)。
[3]张建华,王昕伟,蒋程,于雷,俞悦,余加喜.基于蒙特卡罗方法的风电场有功出力的概率性评估[J].电力系统保护与控制.2014(03)。
篇(9)
Brief Discussion about the Establishment of Information Security System
Li Lin
(The Anhui Province Health Department Information Center Anhui Hefei 230001)
【 Abstract 】 the rapid development of information technology and is widely used, the information technology has promoted the process of economic globalization. So in such an era of information, the information security problem has also become the impact of China''s informatization health development a big problem. Informatization construction is a big part of that information security construction, but now the information spread fast, more and more loopholes, if not promptly to establish a good information security system, the informatization construction of our country cannot develop healthily. Therefore, construction of information security system to come greatly a country, small to person is very important, is also essential.
【 Keywords 】 information security; security; frame; hierarchy protection; system construction
0 引言
全球正处在一个网络化、信息化和数字化的时代,那么在这样一个信息快速发展的时代里,信息安全显得尤为重要,此时信息安全保障体系的建立就是必不可少的了。信息安全保障体系共包含了信息安全管理体系、信息安全技术体系和信息安全运维体系三部分,通过对这三部分的综合有效建设来保障信息系统的安全运行效率。为了国家更快更好地发展,必须对信息安全保障体系进行构建。本文将针对建立信息安全保障体系的具体方案进行分析。
1 中国信息安全保障体系现状
“信息保障”概念最早由美国提出,并且美国现在已经有比较完善的国家信息安全保障体系了。信息安全漏洞不一定都是由技术问题造成,它还包括人和社会的影响或者说是主观因素,所以只有用科学有效的管理方法加以规范的综合性手段,才能获得有效完善。信息安全问题存在于各行各业,同时也有着不同的属性和特征,信息安全管理体系在信息安全保障体系中是很重要的,根据不同的信息漏洞制定不同方案。
我国虽然在2003年就提出了“要在五年之内建设中国信息安全保障体系”的观点,但是在2006年才开始进行等级保护试点工作。也就是说,到目前为止,我国的信息安全保障体系建立工作才初有起色,不完善也不成熟。我国需要一个完整可用的综合性信息安全保障体系,而要想建立比较完善的信息安全保障体系,需要从各方面考虑组建信息安全保障体系的框架,包括人员、技术和管理体系等的建设。
2 信息安全保障体系的框架
信息安全保障体系的建立一般分三个部分完成,从人员、技术以及管理三个体系来综合完成。通过这三个部分的构建就组成了信息安全保障体系的基本框架,只有建立好其框架,才能完善好其建设和有效运行。
篇(10)
为了贯彻国家对信息系统安全保障工作的要求以及等级化保护坚持“积极防御、综合防范”的方针,需要全面提高信息安全防护能力。贵州广电网络信息系统建设需要进行整体安全体系规划设计,全面提高信息安全防护能力,创建安全健康的网络环境,保护国家利益,促进贵州广电网络信息化的深入发展。
1安全规划的目标和思路
贵州广电网络目前运营并管理着两张网络:办公网与业务网;其中办公网主要用于贵州广电网络各部门在线办公,重要的办公系统为OA系统、邮件系统等;业务网主要提供贵州广电网络各业务部门业务平台,其中核心业务系统为BOSS系统、互动点播系统、安全播出系统、内容集成平台以及宽带系统等。
基于对贵州广电网络信息系统的理解和国家信息安全等级保护制度的认识,我们认为,信息安全体系是贵州广电网络信息系统建设的重要组成部分,是贵州广电网络业务开展的重要安全屏障,它是一个包含贵州广电网络实体、网络、系统、应用和管理等五个层面,包括保护、检测、响应、恢复四个方面,通过技术保障和管理制度建立起来的可靠有效的安全体系。
1.1设计目标
贵州广电网络就安全域划分已经进行的初步规划,在安全域整改中初见成效,然而,安全系统建设不仅需要建立重要资源的安全边界,而且需要明确边界上的安全策略,提高对核心信息资源的保护意识。贵州广电网络相关安全管理体系的建设还略显薄弱,管理细则文件亟需补充,安全管理人员亟需培训。因此,本次规划重点在于对安全管理体系以及目前的各个业务系统进行了全面梳理,针对业务系统中安全措施进行了重点分析,综合贵州广电网络未来业务发展的方向,进行未来五年的信息安全建设规划。
1.2设计原则
1.2.1合规性原则
安全设计要符合国家有关标准、法规要求,符合广电总局对信息安全系统的等级保护技术与管理要求。良好的信息安全保障体系必然是分为不同等级的,包括对信息数据保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全技术和安全体制,以满足贵州广电网络业务网、办公网系统中不同层次的各种实际安全需求。
1.2.2技管结合原则
信息安全保障体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
1.2.3实用原则
安全是为了保障业务的正常运行,不能为了安全而妨碍业务,同时设计的安全措施要可以落地实现。
1.3设计依据
1.3.1“原则”符合法规要求
依据《中华人民共和国计算机信息系统安全保护条例K国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[20〇3]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法》(公通字[2007]43号)和GB/T22240-2009《信息安全技术信息系统安全等级保护定级指南》、GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、《广播电视安全播出管理规定》(广电总局62号令)、GDJ038-CATV|有线网络。
2011《广播电视播出相关信息系统等级保护基本要求》,对贵州省广播电视相关信息系统安全建设进行规划。
1.3.2“策略”符合风险管理
风险管理是基于“资产-价值-漏洞-风险-保障措施”的思想进行保障的。风险评估与管理的理论与方法已经成为国际信息安全的标准。
风险管理是静态的防护策略,是在对方攻击之前的自我巩固的过程。风险分析的核心是发现信息系统的漏洞,包括技术上的、管理上的,分析面临的威胁,从而确定防护需求,设计防护的措施,具体的措施是打补丁,还是调整管理流程,或者是增加、增强某种安全措施,要根据用户对风险的可接受程度,这样就可以与安全建设的成本之间做一个平衡。
1.3.3“措施”符合P2DR模型
美国ISS公司(IntemetSecuritySystem,INC)设计开发的P2DR模型包括安全策略(Policy)、检测(Detection)、防护(Protection)和响应(Response)四个主要部分,是一个可以随着网络安全环境的变化而变化的、动态的安全防御系统。安全策略是整个P2DR模型的中枢,根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等,策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。
检测(Detection)、防护(Protection)和响应(Response)三个部分又构成一个变化的、动态的安全防御体系。P2DR模型是在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整至“最安全”和“风险最低”的状态,在安全策略的指导下保证信息系统的安全[3]。
1.4安全规划体系架构
在进行了规划“原则”、“策略”、“措施”探讨的基础上,我们设计贵州广电网络的安全保障体系架构为“一个中心、两种手段”。
“一个中心”,以安全管理中心为核心,构建安全计算环境、安全区域边界和安全通信网络,确保业务系统能够在安全管理中心的统一管控下运行,不会进入任何非预期状态,从而防止用户的非授权访问和越权访问,确保业务系统的安全。
“两种手段”,是安全技术与安全管理两种手段,其中安全技术手段是安全保障的基础,安全管理手段是安全技术手段真正发挥效益的关键,管理措施的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可。
2安全保陳方案规划
2.1总体设计
贵州广电网络的安全体系作为信息安全的技术支撑措施,分为五个方面:
边界防护体系:安全域划分,边界访问控制策略的部署,主要是业务核心资源的边界,运维人员的访问通道。
行为审计体系:通过身份鉴别、授权管理、访问控制、行为曰志等手段,保证用户行为的合规性。
安全监控体系:监控网络中的异常,维护业务运行的安全基线,包括安全事件与设备故障,也包括系统漏洞与升级管理。
公共安全辅助:作为整个网络信息安全的基础服务系统,包括身份认证系统、补丁管理系统以及漏洞扫描系统等。
IT基础设施:提供智能化、弹能力的基础设施,主要的机房的智能化、服务器的虚拟化、存储的虚拟化等。
2.2安全域划分
划分安全域的方法是首先区分网络功能区域,服务器资源区、网络连接区、用户接入区、运维管理区、对外公共服务区;其次是在每个区域中,按照不同的安全需求区分不同的业务与用户,进一步划分子区域;最后,根据每个业务应用系统,梳理其用户到服务器与数据库的网络访问路径,通过的域边界或网络边界越少越好。
Z3边界防护体系规划
边界包括网络边界、安全域边界、用户接口边界(终端与服务器)、业务流边界,边界上部署访问控制措施,是防止非授权的“外部”用户访问“里面”的资源,因此分析业务的访问流向,是访问控制策略设计的依据。
2.3.1边界措施选择
在边界上我们建议四种安全措施:
1.网络边界:与外部网络的边界是安全防护的重点,我们建议采用统一安全网关(UTM),从网络层到应用层的安全检测,采用防火墙(FW)部署访问控制策略,采用入侵防御系统(IPS)部署对黑客入侵的检测,采用病毒网关(AV)部署对病毒、木马的防范;为了方便远程运维工作,与远程办公实施,在网络边界上部署VPN网关,对远程访问用户身份鉴别后,分配内网地址,给予限制性的访问授权。Web服务的SQL注入、XSS攻击等。
3.业务流边界:安全需求等级相同的业务应用采用VLAN隔离,采用路由访问限制策略;不同部门的接入域也采用VLAN隔离,防止二层广播,通知可以在发现安全事件时,开启不同子域的安全隔离。
4.终端边界:重点业务系统的终端,如运维终端,采用终端安全系统,保证终端上系统的安全,如补丁的管理、黑名单软件管理、非法外联管理、移动介质管理等等。
2.3.2策略更新管理
边界是提高入侵者的攻击“门槛”的,部署安全策略重点有两个方面:一是有针对性。允许什么,不允许什么,是明确的;二是动态性。就是策略的定期变化,如访问者的口令、允许远程访问的端口等,变化的周期越短,给入侵者留下的攻击窗口越小。
2.4行为审计体系规划
行为审计是指对网络用户行为进行详细记录,直接的好处是可以为事后安全事件取证提供直接证据,间接的好处乇两方面:对业务操作的日志记录,可以在曰后发现操作错误、确定破坏行为恢复时提供操作过程的反向操作,最大程度地减小损失;对系统操作的日志记录,可以分析攻击者的行为轨迹,从而判断安全防御系统的漏洞所在,亡羊补牢,可以弥补入侵者下次入侵的危害。
行为审计主要措施包括:一次性口令、运维审计(堡垒机)、曰志审计以及网络行为审计。
2.5安全监控体系规划
监控体系不仅是网络安全态势展示平台,也是安全事件应急处理的指挥平台。为了管理工作上的方便,在安全监控体系上做到几方面的统一:
1.运维与安全管理的统一:业务运维与安全同平台管理,提高安全事件的应急处理速度。
2.曰常安全运维与应急指挥统一:随时了解网络上的设备、系统、流量、业务等状态变化,不仅是日常运维发现异常的平台,而且作为安全事件应急指挥的调度平台,随时了解安全事件波及的范围、影响的业务,同时确定安全措施执行的效果。
3.管理与考核的统一:安全运维人员的工作考核就是网络安全管理的曰常工作与紧急事件的处理到位,在安全事件的定位、跟踪、处理过程中,就体现了安全运维人员服务的质量。因此对安全运维平台的行为记录就可以为运维人员的考核提供一线的数据。
安全监控措施主要包括安全态势监控以及安全管理平台,2.6公共安全辅助系统
作为整个网络信息安全的基础服务系统,需要建设公共安全辅助系统:
1.身份认证系统:独立于所有业务系统之外,为业务、运维提供身份认证服务。
2.补丁管理系统:对所有系统、应用的补丁进行管理,对于通过测试的补丁、重要的补丁,提供主动推送,或强制执行的技术手段,保证网络安全基线。
3.漏洞扫描系统:对于网络上设备、主机系统、数据库、业务系统等的漏洞要及时了解,对于不能打补丁的系统,要确认有其他安全策略进行防护。漏洞扫描分为两个方面,一是系统本身的漏洞,二是安全域边界部署了安全措施之后,实际用户所能访问到的漏洞(渗透性测试服务)。
2.7IT基础设施规划
IT基础设施是所有网络业务系统服务的基础,具备一个优秀的基础架构,不仅可以快速、灵活地支撑各种业务系统的有效运行,而且可以极大地提高基础IT资源的利用率,节省资金投入,达到环保的要求。
IT基础设施的优化主要体现在三个方面:智能机房、服务器虚拟化、存储虚拟化。
3安全筐理体系规划
在系统安全的各项建设内容中,安全管理体系的建设是关键和基础,建立一套科学的、可靠的、全面而有层次的安全管理体系是贵州省广播电视信息网络股份有限公司安全建设的必要条件和基本保证。
3_1安全管理标准依据
以GBAT22239-2008《信息安全技术信息系统安全等级保护基本要求》中二级、三级安全防护能力为标准,对贵州广电网络安全管理体系的建设进行设计。
3.2安全管理体系的建设目标
通过有效的进行贵州广电网络的安全管理体系建设,最终要实现的目标是:采取集中控制模式,建立起贵州广电网络完整的安全管理体系并加以实施与保持,实现动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式,从而在管理上确保全方位、多层次、快速有效的网络安全防护。
3.3安全管理建设指导思想
各种标准体系文件为信息安全管理建设仅仅提供一些原则性的建议,要真正构建符合贵州广电网络自身状况的信息安全管理体系,在建设过程中应当以以下思想作为指导:“信CATV丨有线网络息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段。”
3.4安全管理体系的建设具体内容
GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》)对信息系统的安全管理体系提出了明确的指导和要求。我们应以《基本要求》为标准,结合目前贵州广电网络安全管理体系的现状,对广电系统的管理机构、管理制度、人员管理、技术手段四个方面进行建设和加强。同时,由于信息安全是一个动态的系统工程,所以,贵州广电网络还必须对信息安全管理措施不断的加以校验和调整,以使管理体系始终适应和满足实际情况的需要,使贵州广电网络的信息资产得到有效、经济、合理的保护。
贵州广电网络的安全管理体系主要包括安全管理机构、安全管理制度、安全标准规范和安全教育培训等方面。
通过组建完整的信息网络安全管理机构,设置安全管理人员,规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施,制定严格的安全管理制度,合理地协调法律、技术和管理三种因素,实现对系统安全管理的科学化、系统化、法制化和规范化,达到保障贵州广电网络信息系统安全的目的。
3.5曰常安全运维3.5.1安全风险评估
安全风险评估是建立主动防御安全体系的重要和关键环节,这环的工作做好了可以减少大量的安全威胁,提升整个信息系统的对网络灾难的免疫能力;风险评估是信息安全管理体系建立的基础,是组织平衡安全风险和安全投入的依据,也是信息安全管理体系测量业绩、发现改进机会的最重要途径。
3.5.2网络管理与安全管理
网络管理与安全管理的主要措施包括:出入控制、场地与设施安全管理、网络运行状态监控、安全设备监控、安全事件监控与分析、提出预防措施。
3.5.3备份与容灾管理
贵州广电网络主要关键业务系统需要双机本地热备、数据离线备份措施;其他相关业务应用系统需要数据离线备份措施。
3.5.4应急响应计划
通过建立应急相应机构,制定应急响应预案,通过建立专家资源库、厂商资源库等人力资源措施,通过对应急响应有线网络ICATV预案不低于一年两次的演练,可以在发生紧急事件时,做到规范化操作,更快的恢复应用和数据,并最大可能的减少损失
3.6安全人员管理
信息系统的运行是依靠在各级党政机构工作的人员来具体实施的,他们既是信息系统安全的主体,也是系统安全管理的对象。所以,要确保信息系统的安全,首先应加强人事安全管理。
安全人员应包括:系统安全管理员、系统管理员、办公自动化操作人员、安全设备操作员、软硬件维修人员和警卫人员。
其中系统管理员、系统安全管理员必须由不同人员担当。3.7技术安全管理
主要措施包括:软件管理、设备管理、备份管理以及技术文档管理。
4安全规划分期建设路线
信息安全保障重要的是过程,而不一定是结果,重要的是安全意识的提高,而不一定是安全措施的多少。因此,信息安全建设也应该从保障业务运营为目标,提高用户自身的安全意识为思路,根据业务应用的模式与规模逐步、分阶段建设,同时还要符合国家与广电总局关于等级保护的技术与管理要求。
4.1主要的工作内容
根据安全保障方案规划的设计,贵州广电网络的信息安全建设分为如下几个方面的内容:
1.网络优化改造:主要是安全域的划分,网络结构的改造。
2.安全措施部署:边界隔离措施部署,行为审计系统部署、安全监控体系部署。
3.基础设施改造:主要是数据大集中、服务器虚拟化、存储虚拟化。
4.安全运维管理:信息安全管理规范、日常安全运维考核、安全检查与审计流程、安全应急演练、曰常安全服务等。
4.2分期建设规划
4_2.1达标阶段(2015-2017)
1.等保建设
2.信任体系:网络审计、运维审计、日志审计
3.身份鉴别(一次口令)
4.监控平台:入侵检测、流量监测、木马监测
5.安全管理平台建设
6.等保测评通过(2级3级系统)
7.安全服务:建立定期模式
8.渗透性测试服务(外部+内部)
9.安全加固服务,建立服务器安全底线
10.信息安全管理
11.落实安全管理细则文件制定
12.落实安全运维与应急处理流程
13.完善IT服务流程,建设安全运维管理平台
14.定期安全演练与培训
4.2.2持续改进阶段(2018〜2019)
1.等保建设
2.完善信息安全防护体系
3.提升整体防护能力
4.深度安全服务
5.有针对性安全演练,协调改进管理与技术措施
6.源代码安全审计服务(新上线业务)
7.信息安全管理
8.持续改进运维与应急流程与制度,提高应急反应能力
9.提高运维效率,开拓运维增值模式
篇(11)
引言:
目前,随着信息技术的日新月异和网络信息系统应用的发展,医院、企业网络技术的应用层次正在从传统的、小型业务系统逐渐向大型、关键业务系统扩展。面对日趋复杂的IT系统,不同背景的运维人员已给企事业信息系统安全运行带来较大的潜在风险,如医院信息系统是医院日常工作的重要应用,存储着重要的数据资源,是医院正常运行必不可少的组成部分,所以必须加强安全保障体系的建设。于是,堡垒机在医院中的应用,为医院工作的应用提供了安全可靠的运行环境。
传统的网络安全审计系统给医院的的运维安全问题带来了很多风险,如:账号管理无秩序,暗藏巨大隐患;粗放式权限管理的安全性难以保证;设备自身陈旧,无法审计运维加密协议、远程桌面内容等,从而难以有效定位安全事件。
以上所面临的风险严重破坏政府、医院、企业等的信息系统安全,已经成为其信息系统安全运行的严重隐患,尤其是医院,将影响其效益。尤其医院信息系统是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。
因此在考虑安全保障体系时,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
如何有效监控业务系统访问行为和敏感信息的传播,准确掌握网络系统的安全状态,及时发现违反安全策略的事件并实时告警、记录,同时进行安全事件定位分析,事后追查取证,满足合规性审计要求,是企事业迫切需要解决的问题,即IT运维安全管理的变革已刻不容缓!
堡垒机提供一套先进的运维安全管控与审计解决方案,它通过网络数据的采集、分析、识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位,为整体网络安全策略的制定提供权威可靠的支持。
随着堡垒机在医院中的应用,其主要实现了以下功能:
1)账号管理集中
堡垒机建立于唯一身份标识的全局实名制管理,支持统一账号管理策略,实现与各服务器、网络设备等无缝连接,集中管理主账号(普通用户)、从账号(目标设备系统账号)及相关属性。
2)访问控制集中
堡垒机通过集中对应用系统的访问控制,通过对主机、服务器、网络、数据库等网络中所有资源的统一访问控制,确保用户拥有的权限是完成任务所需的最小权限,实现集中有序的运维操作管理,防止非法、越权访问事件的发生。
3)安全审计集中
基于唯一身份标识,堡垒机通过对用户从登录到退出的全程操作行为审计,监控用户对被管理设备的所有敏感的关键操作,提供分级告警,聚焦关键事件,能完成对医院内网所有网上行为的监控和对安全事件及时预警发现、准确可查的功能。
通过此体系监控到的数据能对医院内部网络的使用率、数据流量、应用提供比例、安全事件记录、网络设备的动作情况、网络内人员的网上行为记录、网络整体风险情况等这些情况有较全面的了解。
信息安全是一个动态的过程,要根据网络安全的变化不断调整安全措施,适应新的网络环境,M足新的网络安全需求。
安全管理制度也有一个不断完善的过程,经过安全事件的处理和安全风险评估,会发现原有的安全管理制定中存在的不足之处。根据安全事件处理经验教训和安全风险评估的结果,对信息安全管理策略进行修改,对信息安全管理范围进行调整。
参 考 文 献
