序論:在您撰寫運維管理保障體系時�����,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文�,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度���。
第1篇
一���、關(guān)于精細化管理的涵義
“精細”就是細致精密之意。在我國傳統(tǒng)的思想文化當(dāng)中�,關(guān)于精細的思想可謂源遠流長。古人曾講:天下的難事�,必須做到簡易;天下的大事�,必須做到精細。其它如“千里之堤�,潰于蟻穴”的觀點�,也從另一層面展現(xiàn)了韓非子的精細化觀念�。就當(dāng)前而言,精細化管理模式來源于一些發(fā)達國家���,這種全新的管理是服務(wù)質(zhì)量精細化及社會分工精細化對當(dāng)代企業(yè)管理的必然趨勢�,它基于常規(guī)管理這個基礎(chǔ)���,且將這個基礎(chǔ)引向一種更為深層次的管理模式���,它的主要目標(biāo)就在于將管理所占用的成本及資源進行最大限度的降低�����。作為一類管理技術(shù)與管理理念�,精細化的管理強調(diào)的是通過規(guī)則的細化及系統(tǒng)化,運用數(shù)據(jù)化�、標(biāo)準化及程序化的手段,確保組織管理不同的單元保持協(xié)同�����、可持續(xù)����、高效���、精確運行。就當(dāng)前而言��,精細化管理模式其最主要的特征就是重效果�����、重質(zhì)量��、重具體����、重過程與細節(jié),追求專注做好一件事情�,并在細節(jié)上力求最佳、精益求精[1]����。
二、加強辦公室精細化管理的措施(幾點體會或思考)
第一�,精細化管理要加強辦公室細節(jié)落實、增強職工意識(注重細節(jié),增強意識)��。
就當(dāng)前而言��,作為一種新型管理模式�����,精細化管理不僅可以提高各部門管理水平���,而且還可以將員工的工作效率����、積極性和主動性進行提高�。尤其對于復(fù)雜的企業(yè)辦公室來講,其各類工作具有突發(fā)性強�����、受被動性��、事務(wù)紛繁復(fù)雜等特點�,不論是對上接待還是服務(wù)領(lǐng)導(dǎo),不論上傳下達還是督辦、督查等工作,稍有大意或者疏忽���,就極有可能鑄成大錯,造成企業(yè)或者個人損失�����。在實際的企業(yè)工作當(dāng)中�,各企業(yè)要適當(dāng)通過組織全體成員一起探討���、學(xué)習(xí)精細化的管理工作,認識到實行精細化管理的意義所在���,引導(dǎo)和教育廣大員工腳踏實地、立足本職�����,從細節(jié)上養(yǎng)成嚴謹細致���、精益求精的工作習(xí)慣�,確保精細化管理思想深入人心���,貫穿每個流程、每個工作環(huán)節(jié)的始終��。如果要想做到這些�,那么辦公室職工就在增強以下三方面的意識水平:一是增強企業(yè)意識。這也是落實辦公室工作的重要保證�。由于辦公室每項工作都極具重要性且頭緒很多�����,特別是對于可以影響全局的工作�����,更是要做到服務(wù)在先����、思考在前��,將企業(yè)責(zé)任意識落實到工作當(dāng)中來����,講效率的同時也要保證質(zhì)量水平���,堅持誰工作�����、誰負責(zé)的責(zé)任原則�,將各項工作切實落到實處��,力爭各項工作穩(wěn)步推進�����,做到零缺陷、零失誤�,為企業(yè)正常運營提供保障;二是增強辦公室職工的精品意識��。從辦公室工作的情況來看����,這是落實工作的根本。企業(yè)辦公室不論是辦事還是辦文���,都要做到有序���、保證條理性���、遵守程序��,要盡可能將每一個細節(jié)�、每項工作做到盡善盡美 ��。簡單地說就是辦事要達到無可挑剔���、會議要舉辦得圓滿��、寫文要力求達到準確�、精練、高效表達辦文意圖���;三是增強辦公室工作人員的創(chuàng)新意識����。這也是辦公室工作最終得以做好的動力所在����。辦公室工作的全局性決定了廣大工作者要從企業(yè)大局出發(fā),認真思考每一項工作����,不斷在工作當(dāng)中探索靈活多樣、行之有效的工作手段及方法��,積極適應(yīng)企業(yè)領(lǐng)導(dǎo)的不同的工作作風(fēng)��、思路以及理念���,將這種服務(wù)內(nèi)化為一種藝術(shù)����,真正發(fā)揮出領(lǐng)導(dǎo)的助手功能。就企業(yè)辦公室工作者而言����,辦公室的工作大多是日常事務(wù)性的工作,平凡���、簡單而單調(diào)�����,許多具體工作都有固定的程序和模式�,容易在工作中產(chǎn)生因循守舊的慣性思維�,特別在擬寫重要材料時,由于平時不注重資料的收集整理����,對周圍環(huán)境變化的觀察和思考不夠�,上級和領(lǐng)導(dǎo)新的思路未能及時準確把握等原因,最終將導(dǎo)致擬寫的文章既不能迅速融入企業(yè)的經(jīng)營環(huán)境�����,也無法有效傳遞管理層的經(jīng)營理念和思路,也就難以真實反映企業(yè)經(jīng)營管理過程中存在的問題��,最終提出的管理措施和手段將失之偏頗乃至謬之千里���。為此���,在企業(yè)的辦公室工作中創(chuàng)新意識的樹立對工作質(zhì)量的提升同樣發(fā)揮著極其重要的作用。只有真正理解本職工作的實質(zhì)��,深入研究工作中遇到的問題和困難�,積極主動思考解決的方法,才能充分發(fā)揮員工的主觀能動性��,才能在具體工作中創(chuàng)新思路��、創(chuàng)新流程���、創(chuàng)新方法���,行動的中樞就是思想行動,只有在思想上進行重視����,在行動中也才能給予重視��,才能通過行動反映思想�����。提高工作者本身的責(zé)任意識�,也是當(dāng)代企業(yè)精細化管理當(dāng)中不可或缺的重要因素�,它能確保廣大工作者在工作的過程當(dāng)中思維縝密,不斷提高工作效率�����,保證工作成效�。因此,辦公室工作人員在工作過程當(dāng)中��,要從基礎(chǔ)抓起�����,關(guān)注瑣事����、小事�,從這些鎖事����、小事做起并做好��。從細節(jié)上入手�,從小處著眼,從精細化上苦下功夫�����,真正使每個辦公室職員認識到精細化管理所帶來的良好成效����,將精細化的管理方式融入到日常的學(xué)習(xí)與管理當(dāng)中,樹立起科學(xué)的���、精細的工作態(tài)度���,切實落實辦公室各項工作有序、穩(wěn)定��、扎實地推進�。有些同志難免會覺得自己工作崗位和未能及時因而從思想上忽略了工作的重要性,導(dǎo)致行動過程當(dāng)中疏忽大意����。然而許多人始終沒能明白���,無論工作者從事什么工作,在哪個工作崗位�,都是企業(yè)辦公室工作當(dāng)中的一部分。所謂千里之堤��,潰于蟻穴正是這個道理�����,也正說明了小環(huán)節(jié)其獨特的重要性質(zhì)�。(建議刪除灰色部分)
第二,將精細化管理模式運用到企業(yè)辦公室規(guī)章制度的制訂以及績效考核當(dāng)中(規(guī)范管理�����,加強考核)���。
現(xiàn)代精細化的管理要求工作人員在工作的整個流程當(dāng)中都要做到標(biāo)準化��、規(guī)范化及精細化���。而如果在企業(yè)的日常工作過程當(dāng)中���,只是口頭上強調(diào)要求精細化����、具體化,而沒有一套嚴格的��、可供參考的獎懲制度及考核方法���,沒有差與優(yōu)的區(qū)分�����,不能用量化標(biāo)準去衡量���,也必將使企業(yè)的精細化管理無法落到實處,最終只是流于形式�。因此,在日常的實際工作流程當(dāng)中��,企業(yè)應(yīng)結(jié)合各類辦公室工作制定的相關(guān)職責(zé)要求與工作標(biāo)準���,將其作為對員工本職工作衡量與考核的主要依據(jù)����,強化績效考核制度,具體可采取以下幾種方式:一是根據(jù)崗位職責(zé)不同���,改變傳統(tǒng)重過程輕監(jiān)督的做法���,制訂科學(xué)的考核模式,獎優(yōu)罰劣�����,建立事務(wù)全程監(jiān)督體系��;二是遵循可操作性�、激勵性與科學(xué)性原則,實施責(zé)任分解制�,將各項工作量化、細化�����,從效果�、標(biāo)準與時間等方面具體化�����,建立權(quán)責(zé)統(tǒng)一��、分工明確的科學(xué)責(zé)任體系�����;三是堅持定性考核與定量考核相結(jié)合、分類考核與綜合考核相結(jié)合�,不斷提高考核科學(xué)性;四是將各類考核同獎評優(yōu)先��、行政問責(zé)等方面有機結(jié)合����,以此使企業(yè)辦公室工作全面取得實效;五是建立企業(yè)辦公室工作活動臺帳����,記錄每個員工工作成績,定期進行工作情況匯報����,推廣先進的典型。堅持用數(shù)據(jù)和事實說話,不能單純憑主觀臆斷進行評價��,確保辦公室的每個工作者能能夠優(yōu)質(zhì)高效�����、各司其職完成自身所承擔(dān)的各項任務(wù)����,實現(xiàn)事事有人管、人人有事做的先進化管理��,并在此項基礎(chǔ)之上���,付之于科學(xué)合理的績效考核����,這樣既可推動企業(yè)各部門實現(xiàn)精細化管理進程����,另一方面還能激發(fā)廣大職工的工作積極性與熱情。它的功效主要表現(xiàn)在以下兩個方面:一是實行嚴格的績效監(jiān)督體系�,可以即時了解各個工作者、各個部門在工作計劃進度����、工作任務(wù)以及規(guī)章制度等方面的具體落實情況����,這樣就有利于工作的評比及表彰�,以此來建立合理的激勵機制與約束機制,達到嚴格獎罰�����、鞭策后進����、激勵先進之功效��;二是實行嚴格的考核監(jiān)督休系有利于找差距抓進展�。對企業(yè)辦公室重要工作進展、部署落實進行嚴格的考核與監(jiān)督����,可以確保各項工作都能夠最快的落實與實施。特別對于未能如期完成的工作與啟動較慢的工作來講����,嚴格考核監(jiān)督體系的實行��,利用發(fā)現(xiàn)此項工作的問題之處���,進而找出差距,以便及時將當(dāng)前工作方式進行改進���,以達到精細化的管理��,來促進企業(yè)辦公室的各項工作穩(wěn)定實行�,為企業(yè)實現(xiàn)順利運營提供有利保障���。
第2篇
【關(guān)鍵字】煙草業(yè) 信息安全體系運維管理體系
一�、IT運維的概念與重要性
IT運維管理就是指單位IT部門采用相關(guān)的方法�、手段、技術(shù)���、制度�����、流程和文檔等���,對IT運行環(huán)境(如硬軟件環(huán)境�����、網(wǎng)絡(luò)環(huán)境等)��、IT業(yè)務(wù)系統(tǒng)和IT運維人員進行綜合管理�。其運維管理主要包括八個方面的管理內(nèi)容:設(shè)備管理�����;應(yīng)用/服務(wù)管理��;數(shù)據(jù)/存儲/容災(zāi)管理���;業(yè)務(wù)管理;目錄/內(nèi)容管理�;資源資產(chǎn)管理;信息安全管理�;日常工作管理。
運維工作能有效延長應(yīng)用系統(tǒng)的生命周期�,并因此成為軟件工程的重要階段。信息系統(tǒng)運行維護質(zhì)量的優(yōu)劣直接關(guān)系到應(yīng)用系統(tǒng)的運行效果��,乃至生命周期����。從軟件工程的角度來看����,整個運維期從應(yīng)用系統(tǒng)投入使用開始,直至系統(tǒng)的自然消亡,是信息系統(tǒng)生命周期中最長�、最重要的一個階段。良好的運維機制和運維措施不但能夠確保系統(tǒng)長期穩(wěn)定地運行���,有時還能緩解或解決設(shè)計時遺留的某些缺陷,并且延長信息系統(tǒng)的生命周期����。科學(xué)的運維工作能針對不同的運維要求確立靈活的運維原則��。運維工作應(yīng)是講求科學(xué)性和策略性的����。由于各種信息應(yīng)用系統(tǒng)在職能上有著截然不同的分工,在處理方式上有著各自的特性和規(guī)律����,因此應(yīng)用系統(tǒng)間普遍存在著較多差異,這種差異不但體現(xiàn)在軟硬件設(shè)備上,而且還體現(xiàn)在日常的運行方式�����,乃至安全性要求上��。針對這些參差不齊的差異�����,運維部門需要制定差異化的運維原則���。
二�����、煙草商業(yè)基層運維隊伍的建設(shè)的基本方式
建立安全運維管理平臺���,作為體系的應(yīng)用支撐系統(tǒng)。一方面通過集中授權(quán)訪問��,實現(xiàn)統(tǒng)一的認證授權(quán)和全網(wǎng)日志審計���。另一方面依托集中授權(quán),保障網(wǎng)絡(luò)服務(wù)質(zhì)量�,提高網(wǎng)絡(luò)的可用性和利用率�����。第三從業(yè)務(wù)視角提供對業(yè)務(wù)服務(wù)的管理��,并以預(yù)先定義的事件管理流程完成事件的處理��。第四將信息化隊伍建設(shè)����、資產(chǎn)資料管理�、工作計劃、考核和項目管理工作電子化���,實現(xiàn)信息中心的信息化���。
一體化保障體系建設(shè)原理是“以整體規(guī)劃為引領(lǐng)、以標(biāo)準規(guī)范為主線��、以集中管控為模式���、以應(yīng)用系統(tǒng)為支撐”�����。即在整體信息化規(guī)劃的指導(dǎo)下�����,制定標(biāo)準規(guī)范��,指明一體化保障體系建設(shè)工作依據(jù)和管控要求����;通過集中管控,明確一體化保障體系的管控模式和具體措施��;通過應(yīng)用支撐�����,保證一體化保障體系能夠按標(biāo)準規(guī)范建設(shè)���、按管控措施執(zhí)行���。
通過明確管控模式和措施,落實人員職責(zé)�����,確定行為規(guī)范��,保證技術(shù)措施真正發(fā)揮效用�����,保障標(biāo)準規(guī)范的有效貫徹和落實�����。具體措施包括在基層單位建立起"一站式"的運行維護窗口�����、優(yōu)化崗位設(shè)置��、提升人員素質(zhì)�����、實行集中安全管理���、整合技術(shù)監(jiān)控及防范措施��,逐步實現(xiàn)在線績效評估及考核�����。
三���、運維隊伍建設(shè)過程中的若干問題
當(dāng)前����,宜昌市煙草公司信息化建設(shè)正在穩(wěn)步推進�����,各類面向不同業(yè)務(wù)形態(tài)的應(yīng)用系統(tǒng)不斷產(chǎn)生�。隨著現(xiàn)代社會信息化程度的提高,企業(yè)對應(yīng)用系統(tǒng)使用的網(wǎng)絡(luò)及計算機軟硬件設(shè)施的依賴程度也相應(yīng)增強����,然而,現(xiàn)實環(huán)境中的許多意外故障或蓄意事件(如病毒攻擊)卻無法完全避免�。作為組織機構(gòu)關(guān)鍵性和戰(zhàn)略性的資產(chǎn),信息化系統(tǒng)與組織機構(gòu)的生產(chǎn)���、經(jīng)營����、管理的關(guān)聯(lián)越來越緊密,信息系統(tǒng)能否安全���、可靠地運行,將直接影響到企業(yè)發(fā)展的各個方面��。信息系統(tǒng)運維管理平臺的建設(shè)和實施���,對維護好規(guī)模越來越大���、技術(shù)越來越新、復(fù)雜度越來越高的應(yīng)用環(huán)境�����,確保各個系統(tǒng)能夠長期�、健康地運行將起到非常積極的作用。
經(jīng)過近半年的運行��,在煙草基層單位的隊伍中安全運維管理系統(tǒng)應(yīng)用方面存在以下兩點問題:
1.重視不夠��,認識不足�。
(1)安全運維管理系統(tǒng)尚未得到充分應(yīng)用���,沒有及時通過安全運維管理系統(tǒng)了解本單位系統(tǒng)運行情況,多次發(fā)生系統(tǒng)預(yù)警2小時后仍未進行處理的情況�����。
(2)日常工作記錄不及時�����,全年共有1517起機房日志和備份日志未及時進行記錄����,占總?cè)粘9ぷ鞯?0%。
2.落實不到位��。
(1)人員未落實����,一些基層單位的服務(wù)臺、技術(shù)支持���、日常工作記錄填報人員未明確具體責(zé)任人����。
(2)流程執(zhí)行不到位,預(yù)警發(fā)生后�,應(yīng)首先由基層單位所在的服務(wù)臺接受預(yù)警信息并轉(zhuǎn)入事件處理流程,目前����,有68%的預(yù)警信息未轉(zhuǎn)入事件處理流程,只是由技術(shù)人員自行進行解決�����。
3.已轉(zhuǎn)入事件處理流程的事件處理不及時�,有50%的事件超過2小時后才開始處理����。
四、基層運維隊伍建設(shè)工作的改進
建設(shè)安全運維管理系統(tǒng)�,使煙草基層單位實現(xiàn)信息化的公共安全管理、系統(tǒng)運維監(jiān)管和信息安全防控為當(dāng)務(wù)之急���。
(一)進行“6A”公共安全管理�?!?A”是指賬號、授權(quán)��、認證、審計�、接入和流量預(yù)警。
集中賬號管理:集中帳號管理的管理對象是用戶和帳號��,通過LDAP�,將用戶與其擁有的所有信息系統(tǒng)帳號關(guān)聯(lián),進行集中管理維護���,為集中訪問控制�、授權(quán)���、審計提供原始數(shù)據(jù)基礎(chǔ)��。
集中認證授權(quán):集中認證授權(quán)的管理對象是用戶和他的系統(tǒng)訪問權(quán)限����,通過設(shè)置在單位內(nèi)的CA認證授權(quán)平臺�����,實現(xiàn)所有應(yīng)用系統(tǒng)�、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫等的統(tǒng)一認證授權(quán)和單點登錄�����。
集中安全審計:集中安全審計的管理對象是所有基層單位的網(wǎng)絡(luò)�、主機、應(yīng)用系統(tǒng)和用戶行為����,通過架設(shè)在各單位的網(wǎng)絡(luò)探針,收集相關(guān)數(shù)據(jù)并集中的進行審計分析�����。
集中安全接入:集中安全接入的管理對象是用戶���、網(wǎng)絡(luò)設(shè)備和服務(wù)器,通過架設(shè)在各單位的安全網(wǎng)關(guān)��,實現(xiàn)對用戶終端的登錄安全評估檢查���,并為每個用戶劃分基于被訪業(yè)務(wù)系統(tǒng)的專用虛擬安全域�����。
集中流量預(yù)警:集中流量預(yù)警的管理對象是骨干網(wǎng)鏈路��,通過部署在各單位的流量探針����,對網(wǎng)絡(luò)出口流量、業(yè)務(wù)系統(tǒng)訪問流量��、終端節(jié)點流量進行綜合分析�����、監(jiān)測�、預(yù)警和清洗。
(二)進行系統(tǒng)運行監(jiān)控和運維服務(wù)監(jiān)管�����。安全運維平臺是以業(yè)務(wù)為視角���,將業(yè)務(wù)系統(tǒng)相關(guān)網(wǎng)絡(luò)設(shè)備�、鏈路���、主機��、數(shù)據(jù)庫�����、中間件等軟硬件設(shè)備進行集中管控���,對關(guān)鍵指標(biāo)進行實時監(jiān)視�����,出現(xiàn)異常情況后立即預(yù)警���,通知運維人員進行處理。同時�,集成部分操作命令,實現(xiàn)自動化處理的操作控制活動����。如:監(jiān)控發(fā)現(xiàn)業(yè)務(wù)帶寬的空閑和緊張狀況��,通過配置針對網(wǎng)絡(luò)的優(yōu)先帶寬�����、保證帶寬和預(yù)留帶寬策略,保證業(yè)務(wù)帶寬需要����。
煙草基層單位下一階段將要開發(fā)的業(yè)務(wù)應(yīng)用管控部分,是以全程業(yè)務(wù)流程作為監(jiān)測視角����,通過業(yè)務(wù)流程建模、確定監(jiān)測的關(guān)鍵點�、設(shè)置關(guān)鍵點的監(jiān)控指標(biāo),進行以全流程業(yè)務(wù)為中心的監(jiān)測處理��,實時提供業(yè)務(wù)全流程運行狀態(tài)和質(zhì)量情況監(jiān)測�;并可通過模擬客戶端運行全流程業(yè)務(wù)的過程以及模擬外部系統(tǒng)調(diào)用服務(wù)的過程,對全流程進行探測����,從而主動發(fā)現(xiàn)業(yè)務(wù)流程的潛在問題。
(三)提升信息安全防控能力�。一方面進行機房標(biāo)準化改造,各單位機房標(biāo)準化改造應(yīng)按照B級機房標(biāo)準進行�,避免貪大求洋。主機房面積按照每機柜占地3.5-5.5平方米計算�,機房采用雙電源雙回路配電,消防采用S型氣溶膠自動滅火裝置��,機房專用空調(diào)、防雷����、電磁屏蔽、環(huán)境控制等其他設(shè)施設(shè)備應(yīng)符合GB50174-2008《電子信息系統(tǒng)機房設(shè)計規(guī)范》要求�����。另一方面�����,通過劃分網(wǎng)絡(luò)安全域���、進行安全域之間的隔離和訪問控制���、進行應(yīng)用訪問流量和互聯(lián)網(wǎng)訪問流量的有效管控,來保證網(wǎng)絡(luò)性能和帶寬能夠充分滿足信息化需求�����。第三方面通過安全配置��、補丁修復(fù)����、漏洞掃描、防病毒�、主機入侵防御等技術(shù)手段實現(xiàn)所有操作系統(tǒng)、數(shù)據(jù)庫�����、中間件�����、應(yīng)用的全方位安全加固與防護����。第四方面通過進行終端安全修復(fù)、安全接入控制����、終端桌面安全和網(wǎng)絡(luò)行為監(jiān)控,提高全省對于分散終端的安全管理能力��,規(guī)范終端用戶的行為��,降低來自終端的安全威脅���。
(四)設(shè)立基層單位運維服務(wù)窗口�����,統(tǒng)一受理��、處理和記錄信息化安全服務(wù)事件�����。
煙草基層單位運行的維護窗口設(shè)置在單位內(nèi)的運維服務(wù)中心���,實行74小時運維保障���,做到一站式受理、一站式服務(wù)��。運維服務(wù)中心設(shè)置服務(wù)臺�、信息服務(wù)管理、IT維護和技術(shù)支持崗位���,由信息系統(tǒng)規(guī)劃�、建設(shè)和運行維護的技術(shù)人員組成���。一般來說�����,基層的韻味服務(wù)中心是最基礎(chǔ)的服務(wù)中心��,主要是解決基層單位自身的問題�,如果遇到自己解決不了的問題���,則可請求上級單位層次更高的運維服務(wù)中心幫助解決��。
運維服務(wù)中心的工作主要是基層單位內(nèi)信息化實現(xiàn)安全服務(wù)統(tǒng)一調(diào)度�����、信息資源的集中管控和統(tǒng)計分析�����。信息化安全服務(wù)統(tǒng)一調(diào)度依據(jù)ITIL最佳實踐進行����,目前已實現(xiàn)了事件���、問題�����、配置和變更流程的電子化處理���,下一階段將逐步實現(xiàn)IT服務(wù)規(guī)劃����、日常需求管理��、服務(wù)級別管理���、服務(wù)可用性管理等其他18項服務(wù)流程的電子化工作�。運維服務(wù)中心通過對信息資源的集中管控和統(tǒng)計分析����,定期向各級領(lǐng)導(dǎo)提交運維報告,為領(lǐng)導(dǎo)決策提供必要的數(shù)據(jù)依據(jù)��。
去年�,湖北省煙草基層單位實現(xiàn)一體化的保障體系主要進行了兩個方面的建設(shè)工作。一是編制了一體化保障體系建設(shè)規(guī)劃、標(biāo)準規(guī)范和規(guī)章制度��,共編制了12項標(biāo)準規(guī)范����,修訂完善了16項規(guī)章制度和21項管理流程���。相應(yīng)的征求意見稿已下發(fā)給各市州公司���,下一步,市局將結(jié)合各單位提出的修訂意見����,對標(biāo)準規(guī)范和制度流程進行修改,力爭在年內(nèi)���。二是在基層單位內(nèi)推廣了安全運維管理系統(tǒng)�����,系統(tǒng)建立的安全準入帳號7396個��,發(fā)放加密與簽名證書16156張�����,目前全省共有7000多人在使用����。安全運維管理系統(tǒng)集中管理IT基礎(chǔ)設(shè)施842個、信息化項目70個�、信息化從業(yè)人員172名, 實現(xiàn)了21項信息化指標(biāo)的自動考核,從2010年10月至今����,系統(tǒng)預(yù)警73877起,已全部處理完畢�����,未發(fā)生因故障導(dǎo)致業(yè)務(wù)中斷的事故����。
五、宜昌運維的發(fā)展
一體化保障體系建設(shè)遵循“統(tǒng)一規(guī)劃�、適度超前、小步快跑����、分步實施”原則�,分階段開展��。2011年為體系鞏固年����,在2010年一體化保障體系初步建成的基礎(chǔ)上,繼續(xù)鞏固應(yīng)用效果�。2012~2013年為體系優(yōu)化年,優(yōu)化完善一體化保障體系�����。2014~2015年為體系提升年�����,持續(xù)改進一體化保障體系���。
2011年,全省將通過“抓管理�、抓落實、抓實效”三項工作來進一步深化一體化保障體系應(yīng)用��,鞏固完善全省一體化保障體系���。
參考文獻
第3篇
關(guān)鍵詞:質(zhì)量管理����;規(guī)范運維;企業(yè)
中圖分類號:TP393 文獻標(biāo)識碼:A 文章編號:1009-3044(2013)09-2028-03
大多企業(yè)經(jīng)過十余年的信息化發(fā)展���,大規(guī)模的信息化建設(shè)基本完成���,即將面臨著長期的系統(tǒng)運行維護的問題。但與信息系統(tǒng)建設(shè)的較高水平相比�,還普遍存在IT服務(wù)管理較弱的問題,缺乏有效的管理手段與方法����,這就使信息化的投入充滿了很大的不確定性,也使信息化效果很難控制��。因此�����,如何對企業(yè)龐大的技術(shù)系統(tǒng)進行科學(xué)����、高效的管理�,從而發(fā)揮它的最大效能���,降低運營成本�����,是當(dāng)前企業(yè)信息化過程中必須面對的挑戰(zhàn)�����。
1 三套標(biāo)準在運維體系中的適用性分析
ISO9000質(zhì)量管理體系標(biāo)準在各企業(yè)和單位中的運用非常廣泛���,是對整個單位運作、服務(wù)過程進行質(zhì)量控制管理的體系�����,通過質(zhì)量手冊�、文件控制��、記錄控制等方面為管理對象的實施提供指導(dǎo)��,側(cè)重于對宏觀運作流程的控制���,但不包括各專業(yè)業(yè)務(wù)層面的特定要求��。
ITIL作為一種以流程為基礎(chǔ)���、以客戶為導(dǎo)向的IT服務(wù)管理指導(dǎo)框架����,它擺脫了傳統(tǒng)IT管理以技術(shù)管理為焦點的弊端�,實現(xiàn)了從技術(shù)管理到流程管理,再到服務(wù)管理的轉(zhuǎn)化��,適用于IT服務(wù)管理和服務(wù)流程的控制��。
等級保護管理體系是對信息系統(tǒng)的科學(xué)�、安全運行進行監(jiān)督和控制的體系,從安全管理制度���、安全管理機構(gòu)����、人員安全管理����、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等方面為信息安全專業(yè)層面提供指導(dǎo)�����,適用于運作流程中各節(jié)點的安全控制����。其中的保護等級劃分����,也為信息安全投入和安全保障水平提供了平衡點。
對于已經(jīng)實施ISO9000的單位�,信息化職能部門在ISO9000貫徹實施時往往與自身信息化業(yè)務(wù)無法融合,即便進行了融合也常以信息化的一般性運維工作為主����,沒有考慮規(guī)范化安全運維工作在整個單位和組織質(zhì)量控制體系中的重要性。因此將ITIL�、等級保護思路與ISO9000融合,即可具體落實ISO9000體系中的流程控制���,也可以彌補等級保護在體系要求、文件控制和記錄控制等方面的薄弱環(huán)節(jié)����,同時完善ISO9000體系中對信息安全領(lǐng)域的專業(yè)性�����,最終形成以質(zhì)量管理體系為框架���,ITIL流程控制為主線,等級保護管理標(biāo)準為保障的綜合運維保障體系�。
2 規(guī)范運維保障體系架構(gòu)設(shè)計與文件體系建設(shè)
結(jié)合三套標(biāo)準的特點進行運維管理架構(gòu)設(shè)計時,在體系結(jié)構(gòu)層面要考慮運維體系的建設(shè)周期���、各標(biāo)準在運維體系中所處的層次�����、每個層次要達到的要求及PDCA方法論等��。在服務(wù)流程層面要考慮結(jié)合企業(yè)的現(xiàn)狀��,IT服務(wù)支持模式和管理流程及最佳實踐等�����。在具體操作層面要考慮響應(yīng)方式�、實現(xiàn)工具���、安全要求�����、監(jiān)控方法等����。將三大標(biāo)準體系體系結(jié)構(gòu)層面設(shè)計:在整個運維生命周期中,包括運維體系建設(shè)�����、運維支持管理�����、運維成效管理及運維持續(xù)改進四個階段�����。這四個階段形成一個PDCA持續(xù)改進的管理循環(huán)���。通過建立檢查、反饋機制��,對信息安全管理體系運行情況進行監(jiān)督和控制,建立動態(tài)調(diào)整機制�����,確保信息安全管理體系符合新形勢��、新技術(shù)發(fā)展要求�����。
服務(wù)流程層面設(shè)計:系統(tǒng)運維的服務(wù)流程是信息化工作部門和服務(wù)供應(yīng)商向業(yè)務(wù)部門的服務(wù)交付和支持過程��,通過建立“一站式”的服務(wù)臺和規(guī)范的流程程序����,提高IT部門對事件的響應(yīng)能力和IT運維工作的規(guī)范性,防范手工方式出現(xiàn)對用戶請求的遺忘����,以及非規(guī)范的操作引起的系統(tǒng)風(fēng)險,同時要幫助信息化工作部門實現(xiàn)運維知識的積累和共享���,提升運維和管理的整體水平����。
具體操作層面設(shè)計:在系統(tǒng)運行維護中,各項工作(事件�、變更等)的處理程序、操作步驟����、完成時限及服務(wù)要求等,均要制訂相應(yīng)的標(biāo)準和規(guī)范���,在涉及安全管控點時���,可通過建立符合信息系統(tǒng)等級保護要求的安全配置基線,統(tǒng)一信息系統(tǒng)建設(shè)和運行技術(shù)配置標(biāo)準����。
按照上述三個層面之間的關(guān)系,落實到文件體系中時�����,可以質(zhì)量管理體系為總體框架��,將體系文件分為三個級別:一級程序文件為綱領(lǐng)性文件���,用于描述整個體系架構(gòu)運作流程和運維方針策略�����。主要包括信息化建設(shè)與管理程序����,信息系統(tǒng)運維管理程序���,涵蓋信息化建設(shè)與運維全過程�����。二級程序文件按ITIL流程管理為主線���,為一級程序提供可操作的流程化文件。主要包括:項目管理����、事件管理、問題管理�、配置管理、管理�、變更管理���、應(yīng)急管理等流程。三級流程涉及具體操作規(guī)范�����,落實二級流程文件中涉及的各方面運維和安全管理內(nèi)容�����。主要包括:溝通管理�、授權(quán)與審批管理、文件規(guī)范性管理���、介質(zhì)管理����、資產(chǎn)管理�、網(wǎng)絡(luò)管理、系統(tǒng)管理��、安全事件與應(yīng)急管理���、備份與恢復(fù)管理等方面����。記錄表單為實際運維過程的記錄。各級文件組成結(jié)構(gòu)如圖2所示�����。
文件體系是運維體系架構(gòu)的管理體現(xiàn)����,是管理落地的基礎(chǔ)�����,也要運用PDCA管理����。
3 規(guī)范運維保障體系ITIL流程設(shè)計
要想管理體系得到貫徹執(zhí)行,就要對規(guī)范化運維流程進行科學(xué)有效的設(shè)計����。因為流程是管理的終端,主要解決的是管理固化問題�。而ITIL作為事實上的國際標(biāo)準,基本與組織性質(zhì)和業(yè)務(wù)性質(zhì)無關(guān)�����,僅明確指出應(yīng)該“做什么”,但不講“如何做”���。因此流程設(shè)計時還要結(jié)合企業(yè)的現(xiàn)狀����,本著一切從實際出發(fā)的原則��,考慮企業(yè)對IT服務(wù)管理的切身需求���,按照最佳實踐和企業(yè)的實際設(shè)計出的合理的IT服務(wù)支持模式和管理流程���,建立自己的方法論。
在具體的規(guī)范流程設(shè)計過程中��,首先要考慮的是人員崗位職責(zé)����。應(yīng)用服務(wù)管理之后,IT部門的組織架構(gòu)��、職能����、工作方式都會隨之發(fā)生一定變化�����。建立規(guī)范的流程����,需要確定IT支持人員和管理人員的職責(zé)�����,通過流程角色的設(shè)置�,而不是單純依靠組織結(jié)構(gòu)的設(shè)置來把角色和職務(wù)分開�����。同時制定配套的人員角色和職責(zé)及考核機制����,以實現(xiàn)對人員的量化管理和資源的有效利用。
其次是確定提供服務(wù)的管理流程��。在ITIL中已歸納為服務(wù)級別管理��、IT服務(wù)財務(wù)管理、能力管理����、IT服務(wù)持續(xù)性管理和可用性管理5個服務(wù)管理流程。這些管理流程用于解決“客戶需要什么”����、“為滿足客戶需求需要哪些資源”、“這些資源的成本是多少”�����、“如何在服務(wù)成本和服務(wù)效益(達到的服務(wù)級別)之間選擇恰當(dāng)?shù)钠胶恻c”等問題�����,服務(wù)提供所包括的這5個核心流程均屬于戰(zhàn)術(shù)層次的服務(wù)管理流程�����,用以確定服務(wù)級別協(xié)議及滿足服務(wù)要求所需要的最優(yōu)資源�����,也就是說如何做正確的事。
再次是確保用戶得到適當(dāng)?shù)姆?wù)支持以保障組織業(yè)務(wù)功能���。服務(wù)支持流程體現(xiàn)服務(wù)接觸和溝通的5個運作層次的流程����,即事件管理�����、問題管理�����、配置管理����、變更管理和管理�����。這5個服務(wù)管理流程的主要職能是��,確保IT服務(wù)提供方所提供的服務(wù)質(zhì)量���,符合服務(wù)級別協(xié)議(SLA)的要求�,即如何正確的做事。ITIL核心流程之間的層次關(guān)系如圖3所示����。
最后是引入服務(wù)臺、服務(wù)連續(xù)性管理等流程自動化工具����,以系統(tǒng)工具來固化流程,再不斷完善流程�����。同時要關(guān)注工具之間的聯(lián)動和信息整合���,如果可能��,盡早的進行統(tǒng)一的規(guī)劃����,建立集成規(guī)范要求����,以保證投資在未來得到充分保護,不被浪費。
所以��,ITIL的應(yīng)用過程和效果的獲得����,不是簡單的單純通過項目建設(shè)能夠達到的,是企業(yè)信息中心部門�、咨詢服務(wù)提供商、產(chǎn)品提供商等多方共同努力的結(jié)果�����,也是一個持續(xù)改進�、不斷優(yōu)化的長期過程。
4 構(gòu)建信息系統(tǒng)等級保護為基礎(chǔ)的防護體系
保障體系要結(jié)合管理體系和ITIL流程�����,落實安全技術(shù)及管理要求�����?��?梢罁?jù)分級、分域、分區(qū)����、分層的防護原則,對運維的信息系統(tǒng)按級別劃分安全區(qū)域進行管理�����,各安全域劃分為網(wǎng)絡(luò)邊界���、網(wǎng)絡(luò)環(huán)境�����、主機系統(tǒng)及應(yīng)用環(huán)境四個安全層次����,最后形成縱深防御體系�。
在技術(shù)上可通過強化邊界訪問控制、規(guī)范網(wǎng)絡(luò)訪問行為�����、強制主機管理��、構(gòu)建應(yīng)用授權(quán)和身份認證平臺、加強審計監(jiān)控等措施構(gòu)建協(xié)同防御�。每個安全保護部件或設(shè)備應(yīng)具有安全保護功能獨立完整、調(diào)用接口簡潔����、與安全產(chǎn)品相對應(yīng)和易于管理等特征,在后期綜合運維服務(wù)與監(jiān)控平臺集成建設(shè)中能夠保障數(shù)據(jù)的共享和協(xié)同防御�����。在管理上通過建立綜合運維服務(wù)與監(jiān)控平臺����。將機房環(huán)境監(jiān)控系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)�����、性能監(jiān)測與管理系統(tǒng)���、入侵防御系統(tǒng)等監(jiān)控與管理的系統(tǒng)告警和性能監(jiān)測數(shù)據(jù)進行整合����,梳理各個資源之間的告警關(guān)系���,進行集中監(jiān)控告警模型設(shè)計���,并可進行工具產(chǎn)品的客戶化定制,實現(xiàn)集中監(jiān)控管理和指揮控制�,為運維體系安全運行提供全面的管理保障。
5 規(guī)范運維保障體系實施路線
在實施階段�,要考慮若一次性全部實施所有流程帶來的風(fēng)險,可采用分階段實施的方法�,做到穩(wěn)步推進,以便取得良好效果��。大致可分為前期準備階段�����,全面試運行階段��,正式運行及擴展階段���,綜合優(yōu)化調(diào)整階段����。
1)前期準備階段
明確參與運維工作人員的崗位職責(zé)��,做到權(quán)限分離。開展等級保護測評并根據(jù)等級保護要求制定安全配置基線及相關(guān)操作規(guī)范��。根據(jù)等級保護測評結(jié)果����,按照分級、分域���、分區(qū)��、分層原則制定安全技術(shù)基礎(chǔ)平臺整體解決方案�,在管理與技術(shù)上提供安全依據(jù)�����。試運行ITIL運維管理五大流程�,檢驗工作流程的可操作性。梳理清楚管理對象�����,完善資產(chǎn)配置管理���,確定運維管理的范圍��。
2)全面試運行階段
全面開展規(guī)范化運維工作�,在運維平臺中體現(xiàn)所有運維工作并力爭全員參與,做到運維職責(zé)明確�����,流程處理程序規(guī)范�����,操作標(biāo)準����,過程有痕跡并制定合理的績效考核方案�����。在日常運維工作中查找不足����,提供改進意見,不斷完善質(zhì)量目標(biāo)文件����、流程體系文件和操作手冊��。充分發(fā)揮知識庫作用��,將常見問題解決方法進行歸納總結(jié)并上傳至知識庫���,做到知識共享。同時實施完成安全技術(shù)基礎(chǔ)平臺��,實現(xiàn)安全管理中心與運維平臺互聯(lián)互通問題��,保證安全要求融入運維流程中�。
3)正式運行及擴展階段
全面運行完善后的ITIL運維管理五大流程,結(jié)合ISO20000相關(guān)運維標(biāo)準����,構(gòu)建信息化運維服務(wù)運維服務(wù)體系,規(guī)范化����、標(biāo)準化、痕跡化運維管理工作�。運用PDCA過程,進一步細化調(diào)整管理體系��,總結(jié)體系運行情況,調(diào)整不適用和無法落實的部分�����,使之能高效����、有序的運作。同時定期通過第三方機構(gòu)對已測評的信息系統(tǒng)開展等級保護復(fù)評�,找出所有系統(tǒng)的安全隱患�,并提出整改方案和實施計劃,督促信息安全措施的落實����。
4)綜合優(yōu)化調(diào)整階段
總結(jié)前期的規(guī)范化運維工作,調(diào)整不適用的部分����,常態(tài)化的管理體系運作。定期進行內(nèi)部評審�����,找出與當(dāng)前工作的不適用部分進行優(yōu)化調(diào)整�;同時在工作中,結(jié)合工作實際,尋求更高效安全的方法優(yōu)化體系�����,提高體系的效能����。
綜合上述實施階段,確定實施路線圖如圖4所示���。
參考文獻:
第4篇
[關(guān)鍵詞]煉化企業(yè)���;門戶管理;運維�����;閉合回路
doi:10.3969/j.issn.1673 - 0194.2016.16.000
[中圖分類號]F270.7 [文獻標(biāo)識碼]A [文章編號]1673-0194(2016)16-00-02
1 中國石油企業(yè)信息門戶背景介紹
中國石油企業(yè)信息門戶于2003年開始統(tǒng)一建設(shè)與推廣應(yīng)用�����。采用統(tǒng)一平臺���、統(tǒng)一標(biāo)準規(guī)范��、統(tǒng)一技術(shù)對其下屬企業(yè)進行建設(shè)�。歷經(jīng)十余年應(yīng)用,企業(yè)信息門戶在企業(yè)的生產(chǎn)��、經(jīng)營和管理等方面發(fā)揮了重要的作用�����。各企業(yè)門戶主管部門����,始終把門戶管理和運維工作作為工作重點,作為提升企業(yè)價值的重要舉措����。通過注重公平公正��,強化激勵約束�����,嚴格獎懲�����,不斷深化門戶機制創(chuàng)新,著力構(gòu)建完善的門戶運維工作體系�����。
隨著門戶管理與運維工作的不斷推進與深化���,原有工作體系存在著不足與短板�,例如考核評價體系仍然需要完善����,考核的力度、深度和廣度還不夠�����,過程評價不足�,評價手段單一等。另外���,通過門戶評估����,能夠發(fā)現(xiàn)門戶網(wǎng)站建設(shè)����、運行���、管理中存在的不足,提出下一步門戶工作重點和發(fā)展目標(biāo)�����,積極采取有效的措施完善改進�����,有效引導(dǎo)門戶健康有序發(fā)展��。
隨著企業(yè)規(guī)模的不斷增大�����,企業(yè)必須依靠信息化促進企業(yè)經(jīng)營管理水平的提升��,推動企業(yè)長久發(fā)展����。而信息門戶恰恰是最基本的信息技術(shù)手段����,因此需要最大限度發(fā)揮門戶的服務(wù)能力�,更好地為員工提供有效服務(wù)���,為企業(yè)提供服務(wù)保障���。因此構(gòu)建大型煉化企業(yè)門戶管理與運維體系,實現(xiàn)門戶管理和運維的閉合回路����,是非常必要的。
2 信息門戶實施內(nèi)涵
構(gòu)建大型煉化企業(yè)門戶管理與運維的閉合回路���,即是對現(xiàn)行門戶管理制度���、標(biāo)準規(guī)范、運維流程等進行總結(jié)梳理��,完善門戶考核評價等工作�����,通過構(gòu)建門戶管理����、運維���、安全保障和考核評價等四個體系,環(huán)環(huán)相扣�����,互相影響和指導(dǎo)���,從而形成符合企業(yè)門戶發(fā)展的�����、科學(xué)合理的門戶管理與運維工作體系��,覆蓋門戶所有工作環(huán)節(jié)中�,永遠不會脫離PDCA管理模型:策劃實施檢查改進策劃���,實現(xiàn)了門戶管理和運維工作的閉合回路���。
3 構(gòu)建大型煉化企業(yè)門戶管理與運維閉合回路的主要做法
構(gòu)建完善的門戶管理��、運維、安全保障和考核評價等4個體系�,每個體系都采用PDCA方法進行不斷建設(shè)與完善,搭建形成覆蓋企業(yè)門戶管理和運維的閉環(huán)管理環(huán)境���,推動企業(yè)門戶的發(fā)展��,提升門戶服務(wù)能力���,促進企業(yè)管理水平的提升。
3.1 構(gòu)建完善的門戶管理體系
3.1.1 門戶管理體系的內(nèi)容
門戶管理體系是由制度����、標(biāo)準、規(guī)范�、組織機構(gòu)、人員和流程等內(nèi)容組成���。它是開展門戶工作的前提�����,有效的管理體系將使企業(yè)的門戶管理和運維工作制度化�����、規(guī)范化�����。
3.1.2 門戶管理體系的規(guī)劃與實施
(1)完善制度�、標(biāo)準和規(guī)范。制度是圍繞門戶工作各個環(huán)節(jié)而設(shè)計的一整套管理規(guī)范�。立足公司實際,自上而下�、分步實施、穩(wěn)步推進��、逐步完善���,形成了企業(yè)統(tǒng)一管理框架�����,便于管理層����、運維人員及用戶參照和使用��。如《公司信息門戶網(wǎng)站管理辦法》《公司門戶建設(shè)與運行管理規(guī)定》等,規(guī)范門戶管理和運維工作��,保證系統(tǒng)穩(wěn)定�����、高效運行����。標(biāo)準是圍繞門戶工作制定的一系列可重復(fù)使用的規(guī)則�、導(dǎo)則或特性文件。如《公司信息門戶網(wǎng)站編輯規(guī)范》《門戶信息格式規(guī)范》等����。
(2)明確組織機構(gòu)和人員職責(zé)分工,建立有效管理機制�。機構(gòu)設(shè)置上保證責(zé)任全覆蓋。企業(yè)門戶管理的組織機構(gòu)包括公司信息化工作委員會�、門戶主管部門及門戶運維部門。公司信息化工作委員會由公司領(lǐng)導(dǎo)班子成員及信息管理部領(lǐng)導(dǎo)組成����,負責(zé)研究和審定公司辦法及管理制度,監(jiān)督與檢查管理過程中的�����、重大情況的決策等,加強了對門戶工作的統(tǒng)一領(lǐng)導(dǎo)和綜合協(xié)調(diào)�。門戶管理由辦公室牽頭,各職能部門共同參與���,使管理更加便捷和精準���,提高工作效率和質(zhì)量,完善管理環(huán)節(jié)與工作流程��。
(3)建立����、完善管理流程是門戶管理工作的重要內(nèi)容,要明確怎么管�,如何管。
3.2 構(gòu)建完善的門戶運維體系
3.2.1 門戶運維體系的內(nèi)容
門戶運維體系也是由制度��、標(biāo)準�、規(guī)范、組織機構(gòu)��、人員���、工作流程等內(nèi)容組成�。它是做好門戶工作的基礎(chǔ),主要涵蓋運維全部工作���,要確保門戶穩(wěn)定���、可靠���、便捷����、高效和安全�。
3.2.2 門戶運維體系的規(guī)劃與實施
(1)制定有關(guān)運維工作的制度和標(biāo)準。在管理體系中已經(jīng)建立和完善門戶制度�、標(biāo)準和規(guī)范,因此��,在運維體系下��,主要是圍繞門戶運維工作制定相應(yīng)的運維制度�、標(biāo)準和規(guī)范。同樣也要立足工作實際�����,便于運維人員及用戶參照和使用。例如制定完善《企業(yè)門戶網(wǎng)站運維工作細則》《門戶網(wǎng)站用戶操作手冊》《門戶網(wǎng)站管理員日常操作手冊》《門戶網(wǎng)站功能模塊維護手冊》等�,涵蓋運維所有工作內(nèi)容,要制定表單跟蹤���,規(guī)范門戶運維工作����,保證系統(tǒng)穩(wěn)定��、高效運行��。
(2)明確組織機構(gòu)和人員職責(zé)分工�����,構(gòu)建有效運維機制�����。一般都是由企業(yè)信息部門承擔(dān)運維工作�,或者企業(yè)信息部門和下屬單位共同承擔(dān)。人員分為專責(zé)和兼職兩種����。
(3)完善和梳理工作流程�,門戶系統(tǒng)運維工作大體分為如下五個方面��。
第一����,門戶建設(shè)和維護。主要包括門戶網(wǎng)站的新建與改版�、專題新建與維護�、門戶功能的擴展等內(nèi)容。由用戶填寫《門戶建設(shè)(變更)申請表》交由運維部門操作��、執(zhí)行��、反饋并存檔�����。
第二���,門戶系統(tǒng)權(quán)限運維�����。主要對信息采編�����、文檔庫��、網(wǎng)站��、網(wǎng)站集權(quán)限等進行變更����、維護與管理。由用戶填寫《門戶權(quán)限變更申請表》并由運維部門授權(quán)���、反饋和存檔�����。
第三�,門戶系統(tǒng)軟件運維��。主要對系統(tǒng)軟件包括服務(wù)器操作系統(tǒng)�����、數(shù)據(jù)庫等進行運維。操作系統(tǒng)主要是對日志����、補丁更新、接口等進行監(jiān)控�����、優(yōu)化和故障排查等���。數(shù)據(jù)庫主要是對數(shù)據(jù)備份���、數(shù)據(jù)恢復(fù)、數(shù)據(jù)庫優(yōu)化�����、故障排除等進行運維����。備份工作確定好增量備份和完整備份的時間���、方式�����,以及數(shù)據(jù)保留周期等����,填寫《門戶數(shù)據(jù)備份日志》進行留存。
第四���,門戶系統(tǒng)硬件運維�。主要是對硬件設(shè)備(服務(wù)器��、存儲等)的日常巡檢�����,定期檢查和維修����,保障設(shè)備的正常運行。運維人員巡檢填寫《門戶巡檢記錄》�,維修需要填寫《門戶硬件維修表單》等存檔。
第五��,門戶系統(tǒng)客戶端運維。針對最終用戶在使用過程中出現(xiàn)的問題進行處理�,保障其應(yīng)用正常。運維人員根據(jù)日常處理情況填寫《問題記錄日志表單》�。
針對整體運維情況,企業(yè)可統(tǒng)計《門戶運行周報》或《門戶運行月報》��,進行分析總結(jié)����,記錄相應(yīng)信息。
3.3 構(gòu)建完善的門戶安全保障體系
3.3.1 門戶安全保障體系的內(nèi)容
門戶安全保障體系也是由制度���、標(biāo)準��、組織機構(gòu)����、人員��、工作內(nèi)容組成��。完善的安全保障體系能夠有效預(yù)防各類事故的發(fā)生��,減少突發(fā)事件帶來無法預(yù)估的工作量和影響�。
3.3.2 門戶安全保障體系的規(guī)劃與實施
(1)完善門戶安全制度和標(biāo)準�����。持續(xù)完善《門戶信息保障措施》《門戶突發(fā)事件應(yīng)急預(yù)案》《門戶風(fēng)險管控手冊》等制度,實現(xiàn)安全工作規(guī)范化����。
(2)組織機構(gòu)和人員分工。機構(gòu)設(shè)置滿足門戶信息安全需要��,一般參照上述管理體系和運維體系提及的部門共同承擔(dān)�,企業(yè)信息部門為主要責(zé)任部門。
(3)安全防護工作主要包括以下三點內(nèi)容�。
第一,監(jiān)控平臺���。利用當(dāng)前先進技術(shù)手段�,建立安全保障系統(tǒng)�����,提高信息數(shù)據(jù)的采集��、存儲�、處理等各個環(huán)節(jié)的安全性,逐步完善,形成穩(wěn)定的安全保障體系��。持續(xù)對門戶網(wǎng)站進行漏洞掃描���、掛馬監(jiān)測�����、敏感內(nèi)容監(jiān)測����、域名監(jiān)測����、釣魚監(jiān)測、平穩(wěn)度監(jiān)測及篡改監(jiān)測等安全監(jiān)測�,及時發(fā)現(xiàn)網(wǎng)站掛馬事件、被黑事件����、安全漏洞等問題,確保門戶網(wǎng)站安全運行���。
第二,風(fēng)險管理。運維人員在做好門戶基礎(chǔ)運維工作的同時��,還應(yīng)該保障系統(tǒng)的軟硬件及數(shù)據(jù)安全�,加強風(fēng)險識別和防范能力,提前預(yù)估可能出現(xiàn)的風(fēng)險�;針對較高的風(fēng)險制定應(yīng)急措施,保障門戶系統(tǒng)安全����;特別針對信息審核和,一定要嚴格按制度執(zhí)行��,做好輿情管理��。
第三���,應(yīng)急處理����。發(fā)生突發(fā)事件時�,迅速發(fā)現(xiàn)并定位,按照應(yīng)急預(yù)案進行快速響應(yīng)�����,使影響最小。同時應(yīng)該強化運維人員的應(yīng)急反應(yīng)能力�����,通過定期組織應(yīng)急演練�����,并對演練的結(jié)果進行總結(jié)分析��,增強運維人員處理突發(fā)事件應(yīng)急能力����。
3.4 構(gòu)建完善的門戶考核評價體系
3.4.1 門戶考核評價體系的內(nèi)容
將門戶工作納入公司信息化考核體系,制定考核和評價指標(biāo)�,分層次比照,加強考核與評價����。建立考核和激勵機制,對用戶����、運維人員和管理人員進行考核,對失誤的地方予以批評指正�����,對提高、改進的地方予以獎勵����,充分調(diào)動人員的積極性�����、主動性����,及時發(fā)現(xiàn)問題,消除潛在的隱患��,促進全過程價值創(chuàng)造���,進一步提高運維管理的水平����。
3.4.2 門戶考核評價體系的規(guī)劃與實施
考核不僅僅是評價和監(jiān)督更是激勵��。完整的考核評價體系能有效發(fā)掘員工的潛能�����,提升業(yè)務(wù)能力和技術(shù)能力,進而提升整體運維水平���。
(1)全要素評價���。對門戶的考核不僅包含工作完成情況�,還包含服務(wù)滿意度����、故障處理及時率����、系統(tǒng)暢通率��、設(shè)備完好率�����、維護及時率��、培訓(xùn)情況等以及人員日常工作表現(xiàn)和素質(zhì)能力的評價。
(2)全過程控制�����。貫穿整個門戶工作中����,結(jié)果性指標(biāo)與過程性指標(biāo)相結(jié)合����,日常考核與年終考核相結(jié)合��。將考核內(nèi)容量化�,按規(guī)定的程序和頻率進行考核評價。
考核結(jié)果應(yīng)擴大化����、直接化、顯現(xiàn)化�,與績效獎金直接掛鉤。按照公開公平公正的原則��,保證考核制度公開�、目標(biāo)設(shè)定公正、考核過程規(guī)范����、考核結(jié)果公平,充分調(diào)動人員的積極性。還要考慮激勵約束并重�����,堅持結(jié)果考核與過程評價相統(tǒng)一,激勵與約束相配套,責(zé)權(quán)利相統(tǒng)一�,考核結(jié)果與績效獎金�、培訓(xùn)發(fā)展等緊密掛鉤。
4 結(jié) 語
企業(yè)信息化就是利用信息技術(shù)搭建支持企業(yè)生產(chǎn)經(jīng)營管理的運行平臺�,通過資源的有效利用,實現(xiàn)降本增效�,提高企業(yè)核心競爭力����。信息門戶作為企業(yè)最基本的信息技術(shù)手段���,企業(yè)應(yīng)從管理�、服務(wù)和業(yè)務(wù)發(fā)展角度出發(fā)���,建立完善的門戶管理運維的閉合回路���,提高門戶服務(wù)水平和能力�,保障信息系統(tǒng)高效安全運行���,從而為企業(yè)信息化建設(shè)提供有力支撐。
主要參考文獻
第5篇
即使這樣����,如下安全問題依然擺在了很多企業(yè)面前:安全設(shè)備部署了很多����,安全制度流程也建立了����,但從整體角度看��,仍然是各自為戰(zhàn)�,仿佛信息安全問題只是IT部門的事情�����,與其他人無關(guān)�,這就使得無法形成整體有效的安全防護��;一邊是業(yè)務(wù)應(yīng)用越來越復(fù)雜�����,一邊是安全設(shè)備和制度不斷增加�����,如果安全設(shè)備和制度做多了�����,業(yè)務(wù)部門抱怨太繁瑣����,但如果不做這么多�����,又怕出現(xiàn)安全問題���,左右為難�����。
那么�,出現(xiàn)這些問題的根源是什么呢�����?我們早就知道�,建設(shè)安全系統(tǒng)不僅僅是技術(shù)問題���,也是管理問題���。而信息安全服務(wù)的主要目標(biāo)就是更好的支撐IT應(yīng)用系統(tǒng)的效果和效率��,也就是說�,信息安全的主要目的是通過信息安全管理體系、技術(shù)體系以及運維體系的綜合有效建設(shè)����,讓IT應(yīng)用系統(tǒng)能夠達到更好的運營效果以及更高的效率。而如何綜合而有效的建立信息安全保障體系,成為了擺在每個企業(yè)面前的課題��。
合規(guī)是重中之重
信息安全標(biāo)準是確保信息安全產(chǎn)品和系統(tǒng)在設(shè)計����、研發(fā)、生產(chǎn)����、建設(shè)����、使用和測評過程中保持一致性、可靠性、可控性��、先進性和符合性的技術(shù)規(guī)范和依據(jù)�����,其不僅關(guān)系到國家的信息安全����,也是保護國家利益、促進產(chǎn)業(yè)發(fā)展的一種重要手段���,同時更是信息安全保障體系中的重要組成部分,是政府進行宏觀管理的重要依據(jù)。
我國在這方面雖然起步較晚���,但也制定了一批符合中國國情的信息安全標(biāo)準��,同時在一些重點行業(yè)還頒布了一批信息安全的行業(yè)標(biāo)準��,尤其是國家等級保護制度和分級保護制度是我國在進行信息安全保障體系建設(shè)中的重要依據(jù)�。
因此��,企業(yè)只有在信息安全保障體系建設(shè)過程中依據(jù)相關(guān)標(biāo)準進行合規(guī)性分析���,通過安全風(fēng)險評估,然后比對相關(guān)標(biāo)準中所涉及的技術(shù)要求�、管理要求��、測評要求��,才能明確得出建設(shè)的方向和重點,了解目前系統(tǒng)中存在的問題和改進的方法�����,同時明確在管理�����、部署和運維過程中信息安全管理的相關(guān)制度、流程和需要持續(xù)改進的目標(biāo)。
此外�����,相關(guān)標(biāo)準還為企業(yè)明確了進行信息安全保障體系建設(shè)的方法��,只有遵循這種方法才能做到“有法可依���、有章可循”。
安全咨詢是橋梁
前面提到����,信息安全建設(shè)的主要目的是讓IT應(yīng)用系統(tǒng)能夠達到更好的運行效果���,并提高系統(tǒng)的運行效率,也就是說�,要讓信息安全保障體系成為IT應(yīng)用系統(tǒng)的有效支撐。然而����,不同政府或企業(yè)的具體業(yè)務(wù)環(huán)境和流程各不相同���,所以也不是每個政府或企業(yè)都可以使用一個統(tǒng)一的模板����。不同的組織在建立與完善信息安全保障體系時�,必須根據(jù)自己的業(yè)務(wù)特點和具體情況以及IT應(yīng)用的實際情況�,采取不同的步驟和方法�。此外�,還要注意�����,信息安全不僅涉及安全管理和技術(shù)層面的問題��,還會涉及到治理機制�、業(yè)務(wù)流程���、人員管理、企業(yè)文化等內(nèi)容���。
這就使得,企業(yè)要運用風(fēng)險的方法來決定信息安全體系建設(shè)的目標(biāo)和步驟����。這個過程實際上是需要專業(yè)資深的安全服務(wù)人員對目標(biāo)的業(yè)務(wù)特點��、IT應(yīng)用實際情況和具體管理方式進行現(xiàn)場調(diào)研�、符合性分析、相關(guān)的風(fēng)險評估等操作的�,尤其是對關(guān)鍵業(yè)務(wù)應(yīng)用的深入了解和分析����,只有這樣才能與標(biāo)準比對形成安全基線和框架參考��。
而且�����,在建設(shè)過程中�,還要不斷與相關(guān)負責(zé)人(決策人員、安全管理員、網(wǎng)絡(luò)安全維護人員)進行深入溝通�,以便發(fā)現(xiàn)安全隱患���、找出關(guān)注重點,并提出有效的策略建議�,最終才能運用風(fēng)險的方法來決定體系建設(shè)的目標(biāo)和步驟����,并一步一步實施完成。通過這一點我們不難看出���,信息安全咨詢貫穿于整個信息安全體系建設(shè)的過程中����,是聯(lián)系實際需求和建設(shè)目標(biāo)的橋梁�����。
實際落地是關(guān)鍵
信息安全技術(shù)體系是利用技術(shù)手段實現(xiàn)了技術(shù)層面的安全保護,是整個信息安全保障體系中非常重要的一部分����。很多政府和企業(yè)都部署過一些技術(shù)防護手段�����,但這些防護手段是不是符合相關(guān)標(biāo)準和關(guān)鍵業(yè)務(wù)的需求��,是不是把風(fēng)險控制到了一個可控的水平,我們就不得而知了。
因此����,在信息安全保障體系建立過程中,一定要依照標(biāo)準來選擇技術(shù)防護手段����,同時實現(xiàn)技術(shù)手段的落地是關(guān)鍵�。而要實現(xiàn)技術(shù)手段的落地,就要兼顧以下幾點:選擇的技術(shù)產(chǎn)品要滿足政府或企業(yè)實際環(huán)境����、IT應(yīng)用和管理流程制度等客觀條件;選擇的技術(shù)產(chǎn)品要具有易維護���、管理簡便的特點�����,并要能夠保持先進性�;選擇的技術(shù)產(chǎn)品要能夠滿足應(yīng)用變化的需要����,并適應(yīng)技術(shù)的不斷發(fā)展。即保障可用性�、適用性和持續(xù)性��。
安全意識是必須
在很多政府部門和企業(yè)中普遍存在這樣一個問題��,仿佛信息安全只是IT部門的事情��,其他業(yè)務(wù)部門大多采取了“事不關(guān)己�����,高高掛起”的態(tài)度����,這勢必會造成安全天天喊����,但是總沒有明顯效果的局面。
可以說���,建設(shè)信息安全保障體系是企業(yè)內(nèi)的一次“安全革命”���,通過培訓(xùn),不僅僅要讓每個人都提高對安全事件處理的管理水平和技術(shù)水平��,更重要的是讓每個人都擁有“信息安全人人有責(zé)”的意識�。
同時���,這場“安全革命”給企業(yè)帶來了新的知識和管理模式,企業(yè)必須通過培訓(xùn)將整個信息安全保障體系的相關(guān)知識轉(zhuǎn)移到每位員工身上��,讓他們對整個體系逐步達到從接受到適應(yīng)�,再到最終掌握。只有這樣才能讓整個信息安全保障體系真正應(yīng)用起來���,并真正起到效果�����。
運維平臺是手段
第6篇
【 關(guān)鍵詞 】 信息安全;信息安全保障體系��;國家大劇院
Exploration of Information Security Framework for National Center for the Performing Arts
Liu Zhen-yu
(National Center for the Performing Arts BeiJing 100031)
【 Abstract 】 The status of information security of National Center for the Performing Arts is explored. After that�����, information security problems and risks that National Center for the Performing Arts faced with are analysed. The information security framework which includes technique���, management and operating is followed. The paper ends up with the elaboration of the effectiveness of the information security framework.
【 Keywords 】 information security���; information security framework����; national center for the performing arts
1 背景
隨著信息技術(shù)的飛速發(fā)展���,人類正以前所未有的速度進入以網(wǎng)絡(luò)為主的信息時代�����,網(wǎng)絡(luò)的快速發(fā)展不僅促進了人們的通信和交流�,同時也帶來了商業(yè)和經(jīng)濟模式的巨大變革����。
國家大劇院是國家新建的重要文化設(shè)施,也是一處別具特色的景觀勝地��。作為北京市國家級標(biāo)志性文化設(shè)施�����,國家大劇院的建設(shè)與運行體現(xiàn)了正在迅速崛起和復(fù)興的中國在精神文化領(lǐng)域的追求�����,因此,依托信息化手段宣傳和服務(wù)于廣大文化藝術(shù)愛好者是國家大劇院電子商務(wù)網(wǎng)站建設(shè)的宗旨��,使之成為“國家表演藝術(shù)最高殿堂�、藝術(shù)普及教育的引領(lǐng)者、中外藝術(shù)交流最大平臺�、文化創(chuàng)意產(chǎn)業(yè)重要基地”。
國家大劇院網(wǎng)絡(luò)及信息系統(tǒng)從2007開始逐步建設(shè)�,建設(shè)初期主要滿足國家大劇院演出宣傳、文藝教育��、演出票務(wù)����、公眾服務(wù)、內(nèi)部辦公和訪問互聯(lián)網(wǎng)的需求�,官方網(wǎng)站電子商務(wù)平臺承擔(dān)著對外宣傳及網(wǎng)上售票業(yè)務(wù)����。隨著國家大劇院近幾年影響力和地位的不斷提升以及業(yè)務(wù)的發(fā)展壯大,對信息化建設(shè)提出了更高要求���,同時對信息安全的需求也越來越迫切�,結(jié)合國家等級保護制度來進行安全保障建設(shè)成為國家大劇院信息化建設(shè)的有益補充�。
2 現(xiàn)狀及問題
目前國家大劇院局域網(wǎng)骨干帶寬為千兆,雙核心���。已部署的安全設(shè)施�,如在整個局域網(wǎng)的出口均部署了防火墻,內(nèi)網(wǎng)服務(wù)器域邊界部署了防火墻��;在門戶網(wǎng)站出口部署了流量控制和入侵防御設(shè)備����;內(nèi)部終端還廣泛部署了防病毒軟件,以防范計算機病毒在局域網(wǎng)內(nèi)傳播和破壞��。國家大劇院正在運行的業(yè)務(wù)系統(tǒng)主要包括網(wǎng)站系統(tǒng)�����、票務(wù)系統(tǒng)����、藝術(shù)資料管理系統(tǒng)、OA系統(tǒng)�、財務(wù)系統(tǒng)及郵件系統(tǒng)等。
根據(jù)對國家大劇院信息化及信息安全現(xiàn)狀的分析���,結(jié)合國內(nèi)外信息安全發(fā)展態(tài)勢�,發(fā)現(xiàn)國家大劇院面臨著一些信息安全問題及風(fēng)險。
假冒網(wǎng)站��、網(wǎng)站掛馬等安全風(fēng)險�����。據(jù)權(quán)威統(tǒng)計�����,2011年下半年����,檢測新增掛馬網(wǎng)站獨立網(wǎng)址246萬,平均每日100萬人次訪問此類掛馬鏈接����,新增釣魚盜號欺詐類網(wǎng)站獨立網(wǎng)址492萬,共攔截10億余次釣魚盜號欺詐類網(wǎng)址�,平均每日600萬人次訪問此類欺詐類鏈接。假冒網(wǎng)站獨占鰲頭的是電商網(wǎng)購類�,而且仿冒范圍不斷擴散����,通過國家大劇院運維人員統(tǒng)計觀察,越來越多的黑客、病毒����、不法機構(gòu)和人員對國家大劇院電子商務(wù)網(wǎng)站系統(tǒng)的正常運行產(chǎn)生威脅,網(wǎng)站業(yè)務(wù)系統(tǒng)隨時都可能遭受惡意攻擊����。
系統(tǒng)入侵或網(wǎng)絡(luò)攻擊風(fēng)險。由于系統(tǒng)保護措施不到位��,可能導(dǎo)致國家大劇院票務(wù)等對外網(wǎng)站系統(tǒng)的域名劫持�、DDoS攻擊等安全風(fēng)險。同時�����,也可能由于軟件漏洞或者安全意識單薄等造成內(nèi)部郵件等信息泄露���。
非授權(quán)訪問風(fēng)險����。由于國家大劇院內(nèi)部辦公等信息系統(tǒng)邊界缺乏訪問控制設(shè)施��,并且在網(wǎng)絡(luò)可信接入���、分辨非法訪問���、辨別身份偽裝等方面存在著很大的缺陷���,未授權(quán)者可通過網(wǎng)絡(luò)非法訪問網(wǎng)站及系統(tǒng)服務(wù)器,并進行非法讀取�、篡改和破壞數(shù)據(jù)等不良行為,構(gòu)成對內(nèi)部數(shù)據(jù)及信息系統(tǒng)的重大隱患���。
數(shù)據(jù)安全風(fēng)險�。媒資庫建設(shè)完成后將承載大量的媒體資料����,這些有藝術(shù)價值的音像資料是國家大劇院的寶貴資產(chǎn),一旦由于自然災(zāi)害��、人員非法入侵����、內(nèi)部人員誤操作等造成數(shù)據(jù)丟失損壞,將對國家大劇院造成重大損失�����。
媒體資源庫音像資料版權(quán)風(fēng)險�����。目前�����,劇院已經(jīng)為視頻在線傳播及直播提供服務(wù)平臺�����,然而提供的音視頻服務(wù)面臨版權(quán)盜用�����、盜鏈和惡意下載等問題�,容易對劇院和公眾利益帶來損害。
內(nèi)控管理風(fēng)險����。據(jù)權(quán)威調(diào)查報告顯示,內(nèi)部員工的粗心大意是企業(yè)信息安全的最大威脅����,由此造成的安全事故高達78%�。目前��,由于國家大劇院內(nèi)部員工的安全意識還相對淡薄���,存在進入業(yè)務(wù)系統(tǒng)的登錄口令設(shè)置過于簡單�,私自訪問不安全網(wǎng)站�,私自接入不安全設(shè)備等問題,這些都給大劇院信息系統(tǒng)造成了極大的安全隱患和威脅�����。
3 信息安全保障體系探索
3.1 總體目標(biāo)
通過對國家大劇院信息安全現(xiàn)狀��、問題以及信息安全建設(shè)需求的分析����,可知國家大劇院信息安全保障體系建設(shè)的總體目標(biāo)是按照國家信息安全等級保護相關(guān)要求,從風(fēng)險控制��、技術(shù)設(shè)施�����、管理體制及運維服務(wù)等方面入手��,基于成熟的安全技術(shù),借鑒先進可行的管理理念����,加強外御威脅防護���、構(gòu)建內(nèi)控管理機制��、強化數(shù)據(jù)保護措施�,建立和完善信息安全管理體制��,加強安全服務(wù)保障����,設(shè)計適合國家大劇院信息化發(fā)展的安全保障體系,從而確保業(yè)務(wù)流程可控�����、業(yè)務(wù)狀態(tài)可視��,保障業(yè)務(wù)整體安全�。
3.2 設(shè)計思路
針對國家大劇院安全保障目標(biāo),在信息安全保障體系設(shè)計上基于幾種設(shè)計思路�����。
3.2.1構(gòu)建網(wǎng)站可信機制
通過第三方網(wǎng)站身份誠信認證來確保網(wǎng)站真實性,可幫助網(wǎng)民判斷網(wǎng)站的真實性�����。同時��,基于可信證書類產(chǎn)品���,確保系統(tǒng)管理用戶身份的真實性��。其次�����,借助社會力量來實現(xiàn)假冒網(wǎng)站的定位����、侵權(quán)取證等服務(wù)��,從而有效打擊防范欺詐類網(wǎng)站并且協(xié)助維權(quán)����。
3.2.2建設(shè)安全可靠的辦公網(wǎng)絡(luò)平臺
積極推進信息安全等級保護建設(shè)����,通過制定安全策略�����、部署安全設(shè)備����,完善安全保密管理制度�����,加強安全運維支撐建設(shè)���,從物理安全��、網(wǎng)絡(luò)安全���、主機安全、應(yīng)用安全���、數(shù)據(jù)安全��、流程安全����、人員安全等多方面保障系統(tǒng)的安全穩(wěn)定運行。
3.2.3建立網(wǎng)絡(luò)信任服務(wù)
通過為網(wǎng)絡(luò)管理員��、網(wǎng)站維護人員頒發(fā)數(shù)字證書��,部署網(wǎng)絡(luò)可信接入及遠程安全接入設(shè)施來構(gòu)建劇院內(nèi)部的網(wǎng)絡(luò)信任服務(wù)體系����,保證信息系統(tǒng)及媒資庫資源的可靠訪問,確保我院信息資源安全����。
3.3 體系框架
在國家大劇院信息系統(tǒng)安全保障體系設(shè)計以及實現(xiàn)中,將在國家相關(guān)的安全政策��、法規(guī)��、標(biāo)準����、要求的指導(dǎo)下,制定可具體操作的安全策略,構(gòu)建國家大劇院網(wǎng)站系統(tǒng)安全技術(shù)系統(tǒng)��、安全管理體系以及安全運行體系�����,形成集防護��、檢測��、評估����、響應(yīng)�����、恢復(fù)于一體的整體安全保障體系�����,從而實現(xiàn)物理安全�����、網(wǎng)絡(luò)安全、主機安全���、數(shù)據(jù)安全和應(yīng)用安全��,以滿足國家大劇院網(wǎng)站系統(tǒng)全方位的安全保護需求�。國家大劇院信息系統(tǒng)整體安全保障體系模型如圖1所示���。
國家大劇院信息系統(tǒng)整體安全保障體系模型主要由三個方面組成���。
3.3.1安全技術(shù)體系
參考國家標(biāo)準《信息安全技術(shù) 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》按照威脅分析,將信息資產(chǎn)劃分為若干保護對象���,并按照“一個中心”管理下的“三重保護”的設(shè)計框架��,構(gòu)建國家大劇院信息安全技術(shù)體系保障機制和策略����,為國家大劇院信息系統(tǒng)的運行提供安全保護環(huán)境�。該環(huán)境共包括四部分:安全計算環(huán)境、安全區(qū)域邊界����、安全通信網(wǎng)絡(luò)和安全管理中心�����。
3.3.2安全管理體系
以國家大劇院現(xiàn)有業(yè)務(wù)系統(tǒng)所服務(wù)對象為基礎(chǔ)����,建立完善的安全管理體系�����,建立信息安全管理機構(gòu)�����、制定信息安全管理制度���、設(shè)置信息安全管理崗位。
3.3.3安全運維服務(wù)體系
針對業(yè)務(wù)安全運行的需要�,以日常巡檢、咨詢����、評估等建立有效的運維服務(wù)機制,加強對資產(chǎn)管理的分析����、隱患發(fā)現(xiàn)��、策略審核考評等��,不斷發(fā)現(xiàn)平臺在運行中的安全隱患,降低系統(tǒng)脆弱性和面臨潛在的威脅帶來的影響及損失���,以及時對安全策略實現(xiàn)完善和防護措施的改進提升。
3.4 信息安全體系建設(shè)實踐
國家大劇院信息安全保障工作經(jīng)過長期的努力��,已經(jīng)初見成效��。在安全體系的建設(shè)實踐中���,總結(jié)出幾點實踐經(jīng)驗����。
3.4.1制定標(biāo)準規(guī)范�,奠定保障基礎(chǔ)
信息安全保障建設(shè)的一項重要工作之一是參照國家等級保護的技術(shù)要求完成相應(yīng)的合規(guī)性檢查。因此���,國家大劇院應(yīng)據(jù)此建立適合國家大劇院的信息安全管理基線�,堅持常態(tài)化管理和動態(tài)控制�����,達到并保持國家相關(guān)安全主管部門的安全審計要求。
3.4.2重視管理�,制度先行
信息安全是一個動態(tài)發(fā)展的過程,每年隨著業(yè)務(wù)發(fā)展變化而變化���,同時隨著信息安全技術(shù)的不斷演變����,都會出現(xiàn)新的安全防護技術(shù)的使用�。經(jīng)過多年實踐證明,每個系統(tǒng)或者防護設(shè)備上線前�,都必須在遵守總體防護規(guī)范的前提下,編制好具有針對性的管理要求���,才有有效降低安全風(fēng)險引入的可能�。
3.4.3定期組織代碼審計和滲透測試等系統(tǒng)檢測
代碼安全審計是通過人工分析和工具掃描的方式檢驗應(yīng)用程序的源代碼���,利用大量的代碼安全規(guī)則,來分析源代碼中的違反規(guī)則部分���,進而確定可能存在的安全漏洞和隱患���。應(yīng)用系統(tǒng)生命周期安全的從SDL實踐上看��,安全做的越早效果越好(但開發(fā)模式改動的成本也相對比較大)�����,代碼審計作為保證代碼安全的最低低線�,其作用是不可取代的����。
另外,除了從代碼開發(fā)過程中保證開發(fā)出安全的應(yīng)用系統(tǒng)以外��,針對已開發(fā)的系統(tǒng)�,國家大劇院還組織第三方測試機構(gòu),從攻擊者視角檢測信息系統(tǒng)安全防護能力是否達到�����,是否存在成功攻入系統(tǒng)的途徑��。
4 信息安全建設(shè)意義
通過構(gòu)建信息安全保障平臺��,保障我劇院信息系統(tǒng)可安全合規(guī)運行��。基于國家信息安全等級保護制度要求���,建設(shè)國家大劇院信息系統(tǒng)整體安全保障體系模型信息安全保障基礎(chǔ)設(shè)施�����,制定安全策略����,為國家大劇院系統(tǒng)提供安全可靠的運行環(huán)境�����。
提高國家大劇院電子票務(wù)等信息系統(tǒng)的安全運行平穩(wěn)度��。通過在信息安全技術(shù)�����、信息安全保密管理等多維度的體系保障建設(shè)�,保障網(wǎng)站真實性、打擊假冒網(wǎng)站����,大大提高國家大劇院信息系統(tǒng)安全穩(wěn)定運行的平穩(wěn)度。
提高用戶的安全便捷以及系統(tǒng)安全管理能力�����。通過構(gòu)建可信的電子票務(wù)運營環(huán)境��,為用戶提供身份認證及網(wǎng)絡(luò)信任機制�,加強用戶的身份、資金安全保障����,并且提高系統(tǒng)安全管理能力。
提升安全隱患發(fā)現(xiàn)能力�。安全隱患的發(fā)現(xiàn)能力是信息安全管理中的關(guān)鍵能力,關(guān)系到能否將風(fēng)險消除在事件發(fā)生之前����。通過建立入侵監(jiān)測系統(tǒng)、防病毒系統(tǒng)以及定期的安全脆弱性檢測等��,大大提升我劇院信息系統(tǒng)的安全隱患發(fā)現(xiàn)能力�。
5 結(jié)束語
建設(shè)和完善信息安全保障體系是為了保證國家大劇院的業(yè)務(wù)在今后發(fā)展過程中對信息安全建設(shè)的要求。
信息安全保障體系建設(shè)涵蓋安全管理體系����、安全技術(shù)體系����、安全運維體系的復(fù)雜系統(tǒng)工程��,是一項長期性的專業(yè)的細致的認為��,需要以信息安全技術(shù)為基礎(chǔ)���,持續(xù)投入大量的人力和物力�����。為使國家大劇院建設(shè)成為國際化����、現(xiàn)代化的大劇院提供有力的信息安全保障��。
參考文獻
[1] 關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見(國發(fā)[2012]23號).
[2] 信息安全管理實用規(guī)則(GB/T 22081-2008).
[3] 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求(GBT25070-2010).
[4] 信息系統(tǒng)安全等級保護體系框架(GA/T 708-2007).
[5] 國家大劇院電子商務(wù)網(wǎng)站系統(tǒng)安全保障方案.內(nèi)部資料�����,2010.
[6] 國家大劇院安全服務(wù)保障方案.內(nèi)部資料����,2011.
第7篇
1 綜合治理信息安全的戰(zhàn)略背景
IT管理技術(shù)發(fā)展歷程�,從被動管理轉(zhuǎn)向主動管理��,從服務(wù)導(dǎo)向轉(zhuǎn)向業(yè)務(wù)價值���。在科學(xué)的IT管理方法論方面形成了一系列標(biāo)準:諸如ITIL/ITSM以流程為中心的IT管理行業(yè)標(biāo)準;ISO20000ITIL 的國際標(biāo)準; COBIT面向IT審計的IT管理標(biāo)準;COSO企業(yè)內(nèi)部控制框架,面向內(nèi)部控制;ISO17799:信息安全管理國際標(biāo)準�����。當(dāng)前有很多非常好的綜合性標(biāo)準與規(guī)范可以參考�,其中非常有名的就是ISO/IEC27000系列標(biāo)準。ISO/IEC 27001通過PDCA過程�����,指導(dǎo)企業(yè)如何建立可持續(xù)改進的體系����。
目前企業(yè)IT運維管理現(xiàn)狀。需求變化:IT本身快速變更;管理目標(biāo)多角度變換并存����。資源不足:IT 復(fù)雜性成長快于人員成長;IT 人員持續(xù)流動。業(yè)務(wù)影響:難以判斷事件對業(yè)務(wù)的影響和處理事件的優(yōu)先級。信息孤島:IT 資源多樣性的��,不能進行事件的關(guān)聯(lián)分析�����,缺少統(tǒng)一的健康視圖��。IT網(wǎng)絡(luò)與信息系統(tǒng)運維存在監(jiān)測盲點��,缺少主動預(yù)警和事件分析機制��。
如何把此項復(fù)雜的工程進行細化與落地��,建立信息安全保障框架?在企業(yè)有限的IT資源(包括人員����、系統(tǒng)等)等的前提下,IT運營面臨嚴峻的挑戰(zhàn)�,企業(yè)多半缺乏信息系統(tǒng)應(yīng)用開發(fā)能力,在很大程度上依賴于產(chǎn)品開發(fā)商的支持���,為此�,要想實現(xiàn)從混亂到清晰�、從被動到主動��、從應(yīng)付到實現(xiàn)價值取向的服務(wù)思想�����,自主加外包的混合運維方式無疑是一種好的服務(wù)方式��。
2 建立和實施信息安全保障體系思路和方法
針對IT管理問題和價值取向的服務(wù)方式�����,借鑒PDCA工作循環(huán)原理和標(biāo)準化體系建設(shè)方法,從建立安全目標(biāo)和組織體系�����、制度體系和技術(shù)體系等三個主要層面構(gòu)建實施信息安全保障體系�,以規(guī)范引導(dǎo)人、以標(biāo)準流程引導(dǎo)人���,以業(yè)績激勵人�����,從而促被動變主動�����,堅持持續(xù)改善�,促進工作效率,促進安全保障�。
2.1 建立和推行目標(biāo)管理
體系建設(shè)應(yīng)以目標(biāo)管理為先導(dǎo)、循序漸進��,按頂層布局��、中層發(fā)力���、底層推動內(nèi)容設(shè)計與構(gòu)建�,為此���,借鑒當(dāng)前IT運維管理目標(biāo)演進方式��,確立各階段建設(shè)目標(biāo)���。
基礎(chǔ)架構(gòu)建設(shè)階段(SMB),手工維護階段��。主要實現(xiàn)IT基礎(chǔ)架構(gòu)建設(shè)�����。
網(wǎng)絡(luò)和系統(tǒng)監(jiān)控(NSM)階段,重視自動化監(jiān)控階段�。主要實現(xiàn)IT設(shè)備維護和管理。
IT服務(wù)管理(ITSM)階段��,重視流程管理階段����。主要實現(xiàn)IT服務(wù)流程管理。
業(yè)務(wù)服務(wù)管理(BSM)階段�,重視用戶服務(wù)質(zhì)量與滿意度。主要實現(xiàn)IT與業(yè)務(wù)融合管理���。
從IT投入和業(yè)務(wù)價值來看,前三個階段是間接業(yè)務(wù)價值���,第四階段才是直接業(yè)務(wù)價值�����。
根據(jù)ITIL這個IT服務(wù)管理的方法論����,先是搭建一個框架,借用工具的配合促進落地��。如圖1�、IT運維管理系統(tǒng)參考模型。
從安全目標(biāo)出發(fā)���,結(jié)合IT運維管理系統(tǒng)參考模型���,每個階段的工作向著實現(xiàn)直接業(yè)務(wù)價值,不斷消除或減輕對性能的約束����,促進IT產(chǎn)品或服務(wù)滿足確定的規(guī)范,實現(xiàn)企業(yè)效益最大化�����。服務(wù)好用屬性通過最終的績效和檢驗結(jié)果監(jiān)視測量價值成分����。如圖2。
2.2 規(guī)劃融合信息安全保障體系
通過從組織體系�����、制度體系、技術(shù)體系層面建立和實施縱深防御體系����,實現(xiàn)穩(wěn)健的信息安全保障狀態(tài)。
①組織體系:通過企業(yè)中高層的支持實現(xiàn)業(yè)務(wù)驅(qū)動和共同推動信息安全體系建設(shè)�����。當(dāng)然���,需要提出的問題�,組織有可能要依賴長期可靠的合作伙伴:通過長期可靠的合作關(guān)系�,快速引進外部專業(yè)資源和先進技術(shù),可以幫助企業(yè)推動信息安全建設(shè)工作�����。為了幫助組織內(nèi)外信息系統(tǒng)人員更好地遵守行業(yè)規(guī)范及法律要求����,企業(yè)實施IT網(wǎng)絡(luò)與信息系統(tǒng)安全運維體系標(biāo)準��,組織應(yīng)做到定期對全體員工進行信息安全相關(guān)教育����,包括:技能����、職責(zé)和意識����,通過相關(guān)審核,證明組織具備實施體系的意識和能力�。
②制度體系:企業(yè)IT網(wǎng)絡(luò)與信息系統(tǒng)安全運維系統(tǒng)建設(shè)的范圍包括機房安全、數(shù)據(jù)安全�、網(wǎng)絡(luò)安全、服務(wù)器安全����、業(yè)務(wù)應(yīng)用安全、終端安全等�����。為此��,企業(yè)應(yīng)明確內(nèi)部運維和外部協(xié)同的內(nèi)容及其標(biāo)準規(guī)范��,包括績效標(biāo)準。建立實施IT網(wǎng)絡(luò)與信息系統(tǒng)安全運維體系標(biāo)準�����,首先把高效的信息安全做法固化下來形成規(guī)則制度或標(biāo)準���,成為組織中信息安全行為準則�����。保證事前預(yù)防���、事中監(jiān)控和事后審計等安全措施的得到有效執(zhí)行與落實。
③技術(shù)體系:一般來說����,網(wǎng)絡(luò)設(shè)備技術(shù)體系可以按照從上到下信息所流經(jīng)的設(shè)備來部署工具。即從數(shù)據(jù)安全����、終端安全、應(yīng)用安全�����、操作系統(tǒng)與數(shù)據(jù)庫安全���、網(wǎng)絡(luò)安全��、物理安全六個方面來選擇不同的安全工具�����。按照“適度防御”原則��,綜合采用各種安全工具進行組合����,形成企業(yè)“適用的”安全技術(shù)防線�。適時根據(jù)風(fēng)險評估的結(jié)果,采取相應(yīng)措施����,降低風(fēng)險。
其中��,需要采用1~2種綜合管理的工具來幫助把所有的安全監(jiān)控工具進行統(tǒng)一管控�����。例如SOC是給企業(yè)日常維護管理者使用,ITRM作為綜合風(fēng)險呈現(xiàn)���,是給企業(yè)風(fēng)險或安全管理層使用�����。
④體系運行和監(jiān)控:體系的日常運行和監(jiān)控就是從信息的生命周期進行流程控制�����,即在信息的創(chuàng)建��、使用����、存儲�、傳遞、更改�、銷毀等各個階段進行安全控制。之前不能忽視在信息創(chuàng)建開發(fā)安全階段的一個細化控制手段��。在運行體系建設(shè)中�����,往往需要結(jié)合流程分析來關(guān)注信息的生命周期安全。運行過程中還有一個應(yīng)急管理��,包括災(zāi)備中心建設(shè)��、業(yè)務(wù)連續(xù)性計劃��、應(yīng)急響應(yīng)等等都有相應(yīng)的標(biāo)準與理論支持����。特別是BS25999標(biāo)準的頒布�,給如何建立一套完善的應(yīng)急體系提供了參考。
3 企業(yè)建立和實施信息安全保障體系實踐
面對網(wǎng)絡(luò)系統(tǒng)互連��,網(wǎng)絡(luò)技術(shù)與設(shè)備的安全管理規(guī)范的完善這個復(fù)雜而且浩大的工程�����,井岡山卷煙廠不僅依靠個體分散的技術(shù)措施或者管理防護�,而且結(jié)合國家、社會和個人的力量構(gòu)建綜合保障體系����。
①依據(jù)ISO9000、ISO14000和OHSAS18000標(biāo)準�����,國家計算機網(wǎng)絡(luò)和信息安全相關(guān)法律法規(guī),參考當(dāng)前科學(xué)的IT管理方法論方面形成了一系列標(biāo)準��,結(jié)合YC/T384煙草企業(yè)安全生產(chǎn)標(biāo)準等���,識別這些與信息安全相關(guān)的法律法規(guī)及其它要求�,將信息安全保障體系(框架)融合到企業(yè)質(zhì)量�����、環(huán)境和職業(yè)健康安全(以下簡稱為三標(biāo))綜合管理體系����。
②確定信息安全管理目標(biāo)并分步實施企業(yè)三年信息化發(fā)展規(guī)劃。自2012年開始����,企業(yè)對照YC/T384煙草企業(yè)安全生產(chǎn)標(biāo)準要求,在梳理和評價2000年以來企業(yè)多個企業(yè)信息化三年實施規(guī)劃實踐環(huán)境以后��,制訂了新的三年信息安全管理目標(biāo)和建設(shè)規(guī)劃�����,將目標(biāo)和規(guī)劃分解到各年度實施,并納入到企業(yè)年度三標(biāo)綜合管理體系建設(shè)目標(biāo)和管理績效考核�。
③建立信息安全管理組織和工作標(biāo)準,同時納入三標(biāo)綜合管理體系管理考核��。從體系結(jié)構(gòu)上促成企業(yè)作業(yè)層���、管理層(中間層)和決策層的信息化,實現(xiàn)企業(yè)的物資(服務(wù))流����、資金流和信息流的一體化,及時����、準確和完整地傳遞企業(yè)的經(jīng)營數(shù)據(jù),保證企業(yè)的經(jīng)營管理�����。利用信息化改進管理���,形成企業(yè)信息安全文化���,促進員工接受���、理解和主動配合,不斷提升全員的信息安全意識和技能����,從而使信息安全管理真正落到實處。
④建立和實施信息安全保障體系文件標(biāo)準�。根據(jù)國家信息安全相關(guān)的法律法規(guī)及其它要求,結(jié)合行業(yè)和企業(yè)的特點和發(fā)展趨勢���,規(guī)范管理流程和模式���。網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)“立足長遠、分步實施�����、突出重點”�����,做到“統(tǒng)一規(guī)劃����、統(tǒng)一標(biāo)準�、統(tǒng)一平臺�、統(tǒng)一編碼”,同步實施信息系統(tǒng)等級保護制度���,促進企業(yè)與信息系統(tǒng)項目合作單位���、地方通訊和公安等部門的社會化合作主要方式。企業(yè)內(nèi)部各項工作實現(xiàn)規(guī)范化���、信息化,做到一切工作都按照程序辦�,同時,事事處于相互制衡的環(huán)境之下����、人人處于監(jiān)督管理之中,從而形成職責(zé)明確���、運轉(zhuǎn)協(xié)調(diào)�����、相互制衡的工作機制����,為企業(yè)內(nèi)部信息安全監(jiān)管提供強有力的保障。
幾年來��,企業(yè)堅持企業(yè)信息安全方針目標(biāo)�,以迅速響應(yīng)服務(wù)為宗旨。企業(yè)信息安全保障體系建設(shè)緊緊圍繞建立科學(xué)���、規(guī)范�����、和諧��、統(tǒng)一��、開放的管理體系�,全面融入了質(zhì)量�����、安全和環(huán)境管理體系一體化建設(shè)和實踐���,截止到2015年底���,企業(yè)共梳理建立或整合并實施安全保障類文件包括企業(yè)管理標(biāo)準����、技術(shù)標(biāo)準和工作標(biāo)準共計31個標(biāo)準文件��。通過創(chuàng)新與改善和體系審核��、管理評審和提高文件執(zhí)行率及持續(xù)改進方式保持了信息安全保障管理體系的持續(xù)改進和有效運行����。
