序論:在您撰寫(xiě)運(yùn)維管理保障體系時(shí)��,參考他人的優(yōu)秀作品可以開(kāi)闊視野�����,小編為您整理的7篇范文���,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度。
第1篇
一���、關(guān)于精細(xì)化管理的涵義
“精細(xì)”就是細(xì)致精密之意���。在我國(guó)傳統(tǒng)的思想文化當(dāng)中,關(guān)于精細(xì)的思想可謂源遠(yuǎn)流長(zhǎng)����。古人曾講:天下的難事,必須做到簡(jiǎn)易���;天下的大事,必須做到精細(xì)�����。其它如“千里之堤�,潰于蟻穴”的觀(guān)點(diǎn),也從另一層面展現(xiàn)了韓非子的精細(xì)化觀(guān)念�����。就當(dāng)前而言�����,精細(xì)化管理模式來(lái)源于一些發(fā)達(dá)國(guó)家,這種全新的管理是服務(wù)質(zhì)量精細(xì)化及社會(huì)分工精細(xì)化對(duì)當(dāng)代企業(yè)管理的必然趨勢(shì)�,它基于常規(guī)管理這個(gè)基礎(chǔ),且將這個(gè)基礎(chǔ)引向一種更為深層次的管理模式�,它的主要目標(biāo)就在于將管理所占用的成本及資源進(jìn)行最大限度的降低。作為一類(lèi)管理技術(shù)與管理理念�����,精細(xì)化的管理強(qiáng)調(diào)的是通過(guò)規(guī)則的細(xì)化及系統(tǒng)化����,運(yùn)用數(shù)據(jù)化、標(biāo)準(zhǔn)化及程序化的手段�����,確保組織管理不同的單元保持協(xié)同�����、可持續(xù)�����、高效、精確運(yùn)行��。就當(dāng)前而言�����,精細(xì)化管理模式其最主要的特征就是重效果��、重質(zhì)量���、重具體�����、重過(guò)程與細(xì)節(jié)����,追求專(zhuān)注做好一件事情�,并在細(xì)節(jié)上力求最佳�、精益求精[1]。
二����、加強(qiáng)辦公室精細(xì)化管理的措施(幾點(diǎn)體會(huì)或思考)
第一,精細(xì)化管理要加強(qiáng)辦公室細(xì)節(jié)落實(shí)、增強(qiáng)職工意識(shí)(注重細(xì)節(jié)��,增強(qiáng)意識(shí))��。
就當(dāng)前而言���,作為一種新型管理模式�����,精細(xì)化管理不僅可以提高各部門(mén)管理水平��,而且還可以將員工的工作效率��、積極性和主動(dòng)性進(jìn)行提高���。尤其對(duì)于復(fù)雜的企業(yè)辦公室來(lái)講,其各類(lèi)工作具有突發(fā)性強(qiáng)�����、受被動(dòng)性�����、事務(wù)紛繁復(fù)雜等特點(diǎn),不論是對(duì)上接待還是服務(wù)領(lǐng)導(dǎo)�,不論上傳下達(dá)還是督辦、督查等工作����,稍有大意或者疏忽,就極有可能鑄成大錯(cuò)���,造成企業(yè)或者個(gè)人損失���。在實(shí)際的企業(yè)工作當(dāng)中,各企業(yè)要適當(dāng)通過(guò)組織全體成員一起探討��、學(xué)習(xí)精細(xì)化的管理工作�����,認(rèn)識(shí)到實(shí)行精細(xì)化管理的意義所在����,引導(dǎo)和教育廣大員工腳踏實(shí)地����、立足本職����,從細(xì)節(jié)上養(yǎng)成嚴(yán)謹(jǐn)細(xì)致����、精益求精的工作習(xí)慣,確保精細(xì)化管理思想深入人心����,貫穿每個(gè)流程、每個(gè)工作環(huán)節(jié)的始終��。如果要想做到這些��,那么辦公室職工就在增強(qiáng)以下三方面的意識(shí)水平:一是增強(qiáng)企業(yè)意識(shí)�。這也是落實(shí)辦公室工作的重要保證。由于辦公室每項(xiàng)工作都極具重要性且頭緒很多����,特別是對(duì)于可以影響全局的工作,更是要做到服務(wù)在先��、思考在前���,將企業(yè)責(zé)任意識(shí)落實(shí)到工作當(dāng)中來(lái)�,講效率的同時(shí)也要保證質(zhì)量水平,堅(jiān)持誰(shuí)工作���、誰(shuí)負(fù)責(zé)的責(zé)任原則����,將各項(xiàng)工作切實(shí)落到實(shí)處�,力爭(zhēng)各項(xiàng)工作穩(wěn)步推進(jìn),做到零缺陷����、零失誤,為企業(yè)正常運(yùn)營(yíng)提供保障�;二是增強(qiáng)辦公室職工的精品意識(shí)。從辦公室工作的情況來(lái)看��,這是落實(shí)工作的根本�����。企業(yè)辦公室不論是辦事還是辦文�,都要做到有序、保證條理性�、遵守程序,要盡可能將每一個(gè)細(xì)節(jié)�、每項(xiàng)工作做到盡善盡美 。簡(jiǎn)單地說(shuō)就是辦事要達(dá)到無(wú)可挑剔���、會(huì)議要舉辦得圓滿(mǎn)���、寫(xiě)文要力求達(dá)到準(zhǔn)確、精練�、高效表達(dá)辦文意圖;三是增強(qiáng)辦公室工作人員的創(chuàng)新意識(shí)�����。這也是辦公室工作最終得以做好的動(dòng)力所在����。辦公室工作的全局性決定了廣大工作者要從企業(yè)大局出發(fā),認(rèn)真思考每一項(xiàng)工作�,不斷在工作當(dāng)中探索靈活多樣、行之有效的工作手段及方法����,積極適應(yīng)企業(yè)領(lǐng)導(dǎo)的不同的工作作風(fēng)、思路以及理念���,將這種服務(wù)內(nèi)化為一種藝術(shù)�����,真正發(fā)揮出領(lǐng)導(dǎo)的助手功能��。就企業(yè)辦公室工作者而言�,辦公室的工作大多是日常事務(wù)性的工作,平凡���、簡(jiǎn)單而單調(diào)�,許多具體工作都有固定的程序和模式����,容易在工作中產(chǎn)生因循守舊的慣性思維,特別在擬寫(xiě)重要材料時(shí)�����,由于平時(shí)不注重資料的收集整理��,對(duì)周?chē)h(huán)境變化的觀(guān)察和思考不夠���,上級(jí)和領(lǐng)導(dǎo)新的思路未能及時(shí)準(zhǔn)確把握等原因����,最終將導(dǎo)致擬寫(xiě)的文章既不能迅速融入企業(yè)的經(jīng)營(yíng)環(huán)境,也無(wú)法有效傳遞管理層的經(jīng)營(yíng)理念和思路����,也就難以真實(shí)反映企業(yè)經(jīng)營(yíng)管理過(guò)程中存在的問(wèn)題�,最終提出的管理措施和手段將失之偏頗乃至謬之千里。為此��,在企業(yè)的辦公室工作中創(chuàng)新意識(shí)的樹(shù)立對(duì)工作質(zhì)量的提升同樣發(fā)揮著極其重要的作用���。只有真正理解本職工作的實(shí)質(zhì)���,深入研究工作中遇到的問(wèn)題和困難,積極主動(dòng)思考解決的方法����,才能充分發(fā)揮員工的主觀(guān)能動(dòng)性,才能在具體工作中創(chuàng)新思路�����、創(chuàng)新流程�、創(chuàng)新方法,行動(dòng)的中樞就是思想行動(dòng),只有在思想上進(jìn)行重視����,在行動(dòng)中也才能給予重視,才能通過(guò)行動(dòng)反映思想����。提高工作者本身的責(zé)任意識(shí),也是當(dāng)代企業(yè)精細(xì)化管理當(dāng)中不可或缺的重要因素����,它能確保廣大工作者在工作的過(guò)程當(dāng)中思維縝密,不斷提高工作效率�����,保證工作成效����。因此,辦公室工作人員在工作過(guò)程當(dāng)中��,要從基礎(chǔ)抓起�����,關(guān)注瑣事、小事�,從這些鎖事、小事做起并做好�。從細(xì)節(jié)上入手,從小處著眼���,從精細(xì)化上苦下功夫��,真正使每個(gè)辦公室職員認(rèn)識(shí)到精細(xì)化管理所帶來(lái)的良好成效���,將精細(xì)化的管理方式融入到日常的學(xué)習(xí)與管理當(dāng)中��,樹(shù)立起科學(xué)的�����、精細(xì)的工作態(tài)度�����,切實(shí)落實(shí)辦公室各項(xiàng)工作有序��、穩(wěn)定��、扎實(shí)地推進(jìn)。有些同志難免會(huì)覺(jué)得自己工作崗位和未能及時(shí)因而從思想上忽略了工作的重要性���,導(dǎo)致行動(dòng)過(guò)程當(dāng)中疏忽大意����。然而許多人始終沒(méi)能明白�����,無(wú)論工作者從事什么工作��,在哪個(gè)工作崗位��,都是企業(yè)辦公室工作當(dāng)中的一部分��。所謂千里之堤�����,潰于蟻穴正是這個(gè)道理�����,也正說(shuō)明了小環(huán)節(jié)其獨(dú)特的重要性質(zhì)���。(建議刪除灰色部分)
第二��,將精細(xì)化管理模式運(yùn)用到企業(yè)辦公室規(guī)章制度的制訂以及績(jī)效考核當(dāng)中(規(guī)范管理�,加強(qiáng)考核)。
現(xiàn)代精細(xì)化的管理要求工作人員在工作的整個(gè)流程當(dāng)中都要做到標(biāo)準(zhǔn)化�、規(guī)范化及精細(xì)化。而如果在企業(yè)的日常工作過(guò)程當(dāng)中�����,只是口頭上強(qiáng)調(diào)要求精細(xì)化��、具體化�,而沒(méi)有一套嚴(yán)格的�、可供參考的獎(jiǎng)懲制度及考核方法,沒(méi)有差與優(yōu)的區(qū)分�,不能用量化標(biāo)準(zhǔn)去衡量,也必將使企業(yè)的精細(xì)化管理無(wú)法落到實(shí)處�����,最終只是流于形式��。因此����,在日常的實(shí)際工作流程當(dāng)中���,企業(yè)應(yīng)結(jié)合各類(lèi)辦公室工作制定的相關(guān)職責(zé)要求與工作標(biāo)準(zhǔn),將其作為對(duì)員工本職工作衡量與考核的主要依據(jù)�����,強(qiáng)化績(jī)效考核制度���,具體可采取以下幾種方式:一是根據(jù)崗位職責(zé)不同����,改變傳統(tǒng)重過(guò)程輕監(jiān)督的做法�����,制訂科學(xué)的考核模式�,獎(jiǎng)優(yōu)罰劣,建立事務(wù)全程監(jiān)督體系�;二是遵循可操作性、激勵(lì)性與科學(xué)性原則�����,實(shí)施責(zé)任分解制,將各項(xiàng)工作量化��、細(xì)化����,從效果、標(biāo)準(zhǔn)與時(shí)間等方面具體化�,建立權(quán)責(zé)統(tǒng)一、分工明確的科學(xué)責(zé)任體系����;三是堅(jiān)持定性考核與定量考核相結(jié)合、分類(lèi)考核與綜合考核相結(jié)合�,不斷提高考核科學(xué)性;四是將各類(lèi)考核同獎(jiǎng)評(píng)優(yōu)先���、行政問(wèn)責(zé)等方面有機(jī)結(jié)合�����,以此使企業(yè)辦公室工作全面取得實(shí)效;五是建立企業(yè)辦公室工作活動(dòng)臺(tái)帳�����,記錄每個(gè)員工工作成績(jī),定期進(jìn)行工作情況匯報(bào)���,推廣先進(jìn)的典型�����。堅(jiān)持用數(shù)據(jù)和事實(shí)說(shuō)話(huà)�����,不能單純憑主觀(guān)臆斷進(jìn)行評(píng)價(jià)�����,確保辦公室的每個(gè)工作者能能夠優(yōu)質(zhì)高效�、各司其職完成自身所承擔(dān)的各項(xiàng)任務(wù)����,實(shí)現(xiàn)事事有人管、人人有事做的先進(jìn)化管理����,并在此項(xiàng)基礎(chǔ)之上,付之于科學(xué)合理的績(jī)效考核�,這樣既可推動(dòng)企業(yè)各部門(mén)實(shí)現(xiàn)精細(xì)化管理進(jìn)程��,另一方面還能激發(fā)廣大職工的工作積極性與熱情����。它的功效主要表現(xiàn)在以下兩個(gè)方面:一是實(shí)行嚴(yán)格的績(jī)效監(jiān)督體系�����,可以即時(shí)了解各個(gè)工作者�、各個(gè)部門(mén)在工作計(jì)劃進(jìn)度、工作任務(wù)以及規(guī)章制度等方面的具體落實(shí)情況��,這樣就有利于工作的評(píng)比及表彰�����,以此來(lái)建立合理的激勵(lì)機(jī)制與約束機(jī)制����,達(dá)到嚴(yán)格獎(jiǎng)罰、鞭策后進(jìn)�、激勵(lì)先進(jìn)之功效;二是實(shí)行嚴(yán)格的考核監(jiān)督休系有利于找差距抓進(jìn)展����。對(duì)企業(yè)辦公室重要工作進(jìn)展、部署落實(shí)進(jìn)行嚴(yán)格的考核與監(jiān)督�,可以確保各項(xiàng)工作都能夠最快的落實(shí)與實(shí)施。特別對(duì)于未能如期完成的工作與啟動(dòng)較慢的工作來(lái)講��,嚴(yán)格考核監(jiān)督體系的實(shí)行���,利用發(fā)現(xiàn)此項(xiàng)工作的問(wèn)題之處��,進(jìn)而找出差距�����,以便及時(shí)將當(dāng)前工作方式進(jìn)行改進(jìn)�����,以達(dá)到精細(xì)化的管理����,來(lái)促進(jìn)企業(yè)辦公室的各項(xiàng)工作穩(wěn)定實(shí)行���,為企業(yè)實(shí)現(xiàn)順利運(yùn)營(yíng)提供有利保障��。
第2篇
【關(guān)鍵字】煙草業(yè) 信息安全體系運(yùn)維管理體系
一����、IT運(yùn)維的概念與重要性
IT運(yùn)維管理就是指單位IT部門(mén)采用相關(guān)的方法、手段��、技術(shù)����、制度、流程和文檔等��,對(duì)IT運(yùn)行環(huán)境(如硬軟件環(huán)境��、網(wǎng)絡(luò)環(huán)境等)���、IT業(yè)務(wù)系統(tǒng)和IT運(yùn)維人員進(jìn)行綜合管理���。其運(yùn)維管理主要包括八個(gè)方面的管理內(nèi)容:設(shè)備管理;應(yīng)用/服務(wù)管理����;數(shù)據(jù)/存儲(chǔ)/容災(zāi)管理;業(yè)務(wù)管理�����;目錄/內(nèi)容管理�;資源資產(chǎn)管理;信息安全管理�����;日常工作管理��。
運(yùn)維工作能有效延長(zhǎng)應(yīng)用系統(tǒng)的生命周期�����,并因此成為軟件工程的重要階段����。信息系統(tǒng)運(yùn)行維護(hù)質(zhì)量的優(yōu)劣直接關(guān)系到應(yīng)用系統(tǒng)的運(yùn)行效果,乃至生命周期��。從軟件工程的角度來(lái)看����,整個(gè)運(yùn)維期從應(yīng)用系統(tǒng)投入使用開(kāi)始,直至系統(tǒng)的自然消亡�,是信息系統(tǒng)生命周期中最長(zhǎng)����、最重要的一個(gè)階段�����。良好的運(yùn)維機(jī)制和運(yùn)維措施不但能夠確保系統(tǒng)長(zhǎng)期穩(wěn)定地運(yùn)行�����,有時(shí)還能緩解或解決設(shè)計(jì)時(shí)遺留的某些缺陷�����,并且延長(zhǎng)信息系統(tǒng)的生命周期����。科學(xué)的運(yùn)維工作能針對(duì)不同的運(yùn)維要求確立靈活的運(yùn)維原則�。運(yùn)維工作應(yīng)是講求科學(xué)性和策略性的。由于各種信息應(yīng)用系統(tǒng)在職能上有著截然不同的分工���,在處理方式上有著各自的特性和規(guī)律��,因此應(yīng)用系統(tǒng)間普遍存在著較多差異��,這種差異不但體現(xiàn)在軟硬件設(shè)備上��,而且還體現(xiàn)在日常的運(yùn)行方式����,乃至安全性要求上。針對(duì)這些參差不齊的差異�,運(yùn)維部門(mén)需要制定差異化的運(yùn)維原則�。
二、煙草商業(yè)基層運(yùn)維隊(duì)伍的建設(shè)的基本方式
建立安全運(yùn)維管理平臺(tái)�����,作為體系的應(yīng)用支撐系統(tǒng)�。一方面通過(guò)集中授權(quán)訪(fǎng)問(wèn),實(shí)現(xiàn)統(tǒng)一的認(rèn)證授權(quán)和全網(wǎng)日志審計(jì)�����。另一方面依托集中授權(quán)�,保障網(wǎng)絡(luò)服務(wù)質(zhì)量,提高網(wǎng)絡(luò)的可用性和利用率��。第三從業(yè)務(wù)視角提供對(duì)業(yè)務(wù)服務(wù)的管理��,并以預(yù)先定義的事件管理流程完成事件的處理。第四將信息化隊(duì)伍建設(shè)�、資產(chǎn)資料管理、工作計(jì)劃���、考核和項(xiàng)目管理工作電子化�,實(shí)現(xiàn)信息中心的信息化�����。
一體化保障體系建設(shè)原理是“以整體規(guī)劃為引領(lǐng)�、以標(biāo)準(zhǔn)規(guī)范為主線(xiàn)、以集中管控為模式���、以應(yīng)用系統(tǒng)為支撐”�����。即在整體信息化規(guī)劃的指導(dǎo)下���,制定標(biāo)準(zhǔn)規(guī)范,指明一體化保障體系建設(shè)工作依據(jù)和管控要求��;通過(guò)集中管控�����,明確一體化保障體系的管控模式和具體措施;通過(guò)應(yīng)用支撐����,保證一體化保障體系能夠按標(biāo)準(zhǔn)規(guī)范建設(shè)、按管控措施執(zhí)行�。
通過(guò)明確管控模式和措施,落實(shí)人員職責(zé)����,確定行為規(guī)范��,保證技術(shù)措施真正發(fā)揮效用��,保障標(biāo)準(zhǔn)規(guī)范的有效貫徹和落實(shí)�����。具體措施包括在基層單位建立起"一站式"的運(yùn)行維護(hù)窗口���、優(yōu)化崗位設(shè)置��、提升人員素質(zhì)��、實(shí)行集中安全管理�����、整合技術(shù)監(jiān)控及防范措施����,逐步實(shí)現(xiàn)在線(xiàn)績(jī)效評(píng)估及考核。
三����、運(yùn)維隊(duì)伍建設(shè)過(guò)程中的若干問(wèn)題
當(dāng)前,宜昌市煙草公司信息化建設(shè)正在穩(wěn)步推進(jìn)�����,各類(lèi)面向不同業(yè)務(wù)形態(tài)的應(yīng)用系統(tǒng)不斷產(chǎn)生���。隨著現(xiàn)代社會(huì)信息化程度的提高��,企業(yè)對(duì)應(yīng)用系統(tǒng)使用的網(wǎng)絡(luò)及計(jì)算機(jī)軟硬件設(shè)施的依賴(lài)程度也相應(yīng)增強(qiáng)�,然而�,現(xiàn)實(shí)環(huán)境中的許多意外故障或蓄意事件(如病毒攻擊)卻無(wú)法完全避免。作為組織機(jī)構(gòu)關(guān)鍵性和戰(zhàn)略性的資產(chǎn),信息化系統(tǒng)與組織機(jī)構(gòu)的生產(chǎn)�����、經(jīng)營(yíng)�、管理的關(guān)聯(lián)越來(lái)越緊密,信息系統(tǒng)能否安全����、可靠地運(yùn)行,將直接影響到企業(yè)發(fā)展的各個(gè)方面���。信息系統(tǒng)運(yùn)維管理平臺(tái)的建設(shè)和實(shí)施�,對(duì)維護(hù)好規(guī)模越來(lái)越大����、技術(shù)越來(lái)越新���、復(fù)雜度越來(lái)越高的應(yīng)用環(huán)境��,確保各個(gè)系統(tǒng)能夠長(zhǎng)期���、健康地運(yùn)行將起到非常積極的作用。
經(jīng)過(guò)近半年的運(yùn)行�����,在煙草基層單位的隊(duì)伍中安全運(yùn)維管理系統(tǒng)應(yīng)用方面存在以下兩點(diǎn)問(wèn)題:
1.重視不夠,認(rèn)識(shí)不足�。
(1)安全運(yùn)維管理系統(tǒng)尚未得到充分應(yīng)用,沒(méi)有及時(shí)通過(guò)安全運(yùn)維管理系統(tǒng)了解本單位系統(tǒng)運(yùn)行情況���,多次發(fā)生系統(tǒng)預(yù)警2小時(shí)后仍未進(jìn)行處理的情況���。
(2)日常工作記錄不及時(shí),全年共有1517起機(jī)房日志和備份日志未及時(shí)進(jìn)行記錄���,占總?cè)粘9ぷ鞯?0%�。
2.落實(shí)不到位�����。
(1)人員未落實(shí)����,一些基層單位的服務(wù)臺(tái)、技術(shù)支持���、日常工作記錄填報(bào)人員未明確具體責(zé)任人���。
(2)流程執(zhí)行不到位�,預(yù)警發(fā)生后�,應(yīng)首先由基層單位所在的服務(wù)臺(tái)接受預(yù)警信息并轉(zhuǎn)入事件處理流程,目前���,有68%的預(yù)警信息未轉(zhuǎn)入事件處理流程�����,只是由技術(shù)人員自行進(jìn)行解決���。
3.已轉(zhuǎn)入事件處理流程的事件處理不及時(shí),有50%的事件超過(guò)2小時(shí)后才開(kāi)始處理����。
四、基層運(yùn)維隊(duì)伍建設(shè)工作的改進(jìn)
建設(shè)安全運(yùn)維管理系統(tǒng)�����,使煙草基層單位實(shí)現(xiàn)信息化的公共安全管理�����、系統(tǒng)運(yùn)維監(jiān)管和信息安全防控為當(dāng)務(wù)之急�。
(一)進(jìn)行“6A”公共安全管理?�!?A”是指賬號(hào)�、授權(quán)、認(rèn)證��、審計(jì)�、接入和流量預(yù)警。
集中賬號(hào)管理:集中帳號(hào)管理的管理對(duì)象是用戶(hù)和帳號(hào)�,通過(guò)LDAP,將用戶(hù)與其擁有的所有信息系統(tǒng)帳號(hào)關(guān)聯(lián)�����,進(jìn)行集中管理維護(hù)�,為集中訪(fǎng)問(wèn)控制、授權(quán)��、審計(jì)提供原始數(shù)據(jù)基礎(chǔ)�����。
集中認(rèn)證授權(quán):集中認(rèn)證授權(quán)的管理對(duì)象是用戶(hù)和他的系統(tǒng)訪(fǎng)問(wèn)權(quán)限,通過(guò)設(shè)置在單位內(nèi)的CA認(rèn)證授權(quán)平臺(tái)����,實(shí)現(xiàn)所有應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備�、操作系統(tǒng)、數(shù)據(jù)庫(kù)等的統(tǒng)一認(rèn)證授權(quán)和單點(diǎn)登錄��。
集中安全審計(jì):集中安全審計(jì)的管理對(duì)象是所有基層單位的網(wǎng)絡(luò)����、主機(jī)、應(yīng)用系統(tǒng)和用戶(hù)行為�����,通過(guò)架設(shè)在各單位的網(wǎng)絡(luò)探針���,收集相關(guān)數(shù)據(jù)并集中的進(jìn)行審計(jì)分析�����。
集中安全接入:集中安全接入的管理對(duì)象是用戶(hù)�、網(wǎng)絡(luò)設(shè)備和服務(wù)器���,通過(guò)架設(shè)在各單位的安全網(wǎng)關(guān)��,實(shí)現(xiàn)對(duì)用戶(hù)終端的登錄安全評(píng)估檢查���,并為每個(gè)用戶(hù)劃分基于被訪(fǎng)業(yè)務(wù)系統(tǒng)的專(zhuān)用虛擬安全域。
集中流量預(yù)警:集中流量預(yù)警的管理對(duì)象是骨干網(wǎng)鏈路�����,通過(guò)部署在各單位的流量探針�����,對(duì)網(wǎng)絡(luò)出口流量�、業(yè)務(wù)系統(tǒng)訪(fǎng)問(wèn)流量、終端節(jié)點(diǎn)流量進(jìn)行綜合分析�、監(jiān)測(cè)、預(yù)警和清洗�。
(二)進(jìn)行系統(tǒng)運(yùn)行監(jiān)控和運(yùn)維服務(wù)監(jiān)管。安全運(yùn)維平臺(tái)是以業(yè)務(wù)為視角�����,將業(yè)務(wù)系統(tǒng)相關(guān)網(wǎng)絡(luò)設(shè)備�、鏈路�����、主機(jī)���、數(shù)據(jù)庫(kù)、中間件等軟硬件設(shè)備進(jìn)行集中管控�,對(duì)關(guān)鍵指標(biāo)進(jìn)行實(shí)時(shí)監(jiān)視,出現(xiàn)異常情況后立即預(yù)警���,通知運(yùn)維人員進(jìn)行處理�。同時(shí)�,集成部分操作命令,實(shí)現(xiàn)自動(dòng)化處理的操作控制活動(dòng)�。如:監(jiān)控發(fā)現(xiàn)業(yè)務(wù)帶寬的空閑和緊張狀況,通過(guò)配置針對(duì)網(wǎng)絡(luò)的優(yōu)先帶寬�����、保證帶寬和預(yù)留帶寬策略�,保證業(yè)務(wù)帶寬需要。
煙草基層單位下一階段將要開(kāi)發(fā)的業(yè)務(wù)應(yīng)用管控部分���,是以全程業(yè)務(wù)流程作為監(jiān)測(cè)視角�,通過(guò)業(yè)務(wù)流程建模、確定監(jiān)測(cè)的關(guān)鍵點(diǎn)���、設(shè)置關(guān)鍵點(diǎn)的監(jiān)控指標(biāo),進(jìn)行以全流程業(yè)務(wù)為中心的監(jiān)測(cè)處理�����,實(shí)時(shí)提供業(yè)務(wù)全流程運(yùn)行狀態(tài)和質(zhì)量情況監(jiān)測(cè)����;并可通過(guò)模擬客戶(hù)端運(yùn)行全流程業(yè)務(wù)的過(guò)程以及模擬外部系統(tǒng)調(diào)用服務(wù)的過(guò)程,對(duì)全流程進(jìn)行探測(cè)��,從而主動(dòng)發(fā)現(xiàn)業(yè)務(wù)流程的潛在問(wèn)題����。
(三)提升信息安全防控能力。一方面進(jìn)行機(jī)房標(biāo)準(zhǔn)化改造����,各單位機(jī)房標(biāo)準(zhǔn)化改造應(yīng)按照B級(jí)機(jī)房標(biāo)準(zhǔn)進(jìn)行,避免貪大求洋�。主機(jī)房面積按照每機(jī)柜占地3.5-5.5平方米計(jì)算,機(jī)房采用雙電源雙回路配電�����,消防采用S型氣溶膠自動(dòng)滅火裝置,機(jī)房專(zhuān)用空調(diào)�、防雷、電磁屏蔽��、環(huán)境控制等其他設(shè)施設(shè)備應(yīng)符合GB50174-2008《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》要求���。另一方面�,通過(guò)劃分網(wǎng)絡(luò)安全域�����、進(jìn)行安全域之間的隔離和訪(fǎng)問(wèn)控制、進(jìn)行應(yīng)用訪(fǎng)問(wèn)流量和互聯(lián)網(wǎng)訪(fǎng)問(wèn)流量的有效管控,來(lái)保證網(wǎng)絡(luò)性能和帶寬能夠充分滿(mǎn)足信息化需求�。第三方面通過(guò)安全配置、補(bǔ)丁修復(fù)、漏洞掃描、防病毒、主機(jī)入侵防御等技術(shù)手段實(shí)現(xiàn)所有操作系統(tǒng)�、數(shù)據(jù)庫(kù)��、中間件����、應(yīng)用的全方位安全加固與防護(hù)����。第四方面通過(guò)進(jìn)行終端安全修復(fù)��、安全接入控制����、終端桌面安全和網(wǎng)絡(luò)行為監(jiān)控����,提高全省對(duì)于分散終端的安全管理能力,規(guī)范終端用戶(hù)的行為��,降低來(lái)自終端的安全威脅�����。
(四)設(shè)立基層單位運(yùn)維服務(wù)窗口�,統(tǒng)一受理、處理和記錄信息化安全服務(wù)事件����。
煙草基層單位運(yùn)行的維護(hù)窗口設(shè)置在單位內(nèi)的運(yùn)維服務(wù)中心,實(shí)行74小時(shí)運(yùn)維保障,做到一站式受理�����、一站式服務(wù)���。運(yùn)維服務(wù)中心設(shè)置服務(wù)臺(tái)����、信息服務(wù)管理���、IT維護(hù)和技術(shù)支持崗位���,由信息系統(tǒng)規(guī)劃、建設(shè)和運(yùn)行維護(hù)的技術(shù)人員組成����。一般來(lái)說(shuō),基層的韻味服務(wù)中心是最基礎(chǔ)的服務(wù)中心�,主要是解決基層單位自身的問(wèn)題,如果遇到自己解決不了的問(wèn)題�,則可請(qǐng)求上級(jí)單位層次更高的運(yùn)維服務(wù)中心幫助解決。
運(yùn)維服務(wù)中心的工作主要是基層單位內(nèi)信息化實(shí)現(xiàn)安全服務(wù)統(tǒng)一調(diào)度���、信息資源的集中管控和統(tǒng)計(jì)分析�。信息化安全服務(wù)統(tǒng)一調(diào)度依據(jù)ITIL最佳實(shí)踐進(jìn)行,目前已實(shí)現(xiàn)了事件��、問(wèn)題����、配置和變更流程的電子化處理,下一階段將逐步實(shí)現(xiàn)IT服務(wù)規(guī)劃���、日常需求管理���、服務(wù)級(jí)別管理�����、服務(wù)可用性管理等其他18項(xiàng)服務(wù)流程的電子化工作�。運(yùn)維服務(wù)中心通過(guò)對(duì)信息資源的集中管控和統(tǒng)計(jì)分析,定期向各級(jí)領(lǐng)導(dǎo)提交運(yùn)維報(bào)告�,為領(lǐng)導(dǎo)決策提供必要的數(shù)據(jù)依據(jù)。
去年���,湖北省煙草基層單位實(shí)現(xiàn)一體化的保障體系主要進(jìn)行了兩個(gè)方面的建設(shè)工作�。一是編制了一體化保障體系建設(shè)規(guī)劃、標(biāo)準(zhǔn)規(guī)范和規(guī)章制度���,共編制了12項(xiàng)標(biāo)準(zhǔn)規(guī)范�����,修訂完善了16項(xiàng)規(guī)章制度和21項(xiàng)管理流程����。相應(yīng)的征求意見(jiàn)稿已下發(fā)給各市州公司���,下一步�����,市局將結(jié)合各單位提出的修訂意見(jiàn)�����,對(duì)標(biāo)準(zhǔn)規(guī)范和制度流程進(jìn)行修改�,力爭(zhēng)在年內(nèi)�����。二是在基層單位內(nèi)推廣了安全運(yùn)維管理系統(tǒng),系統(tǒng)建立的安全準(zhǔn)入帳號(hào)7396個(gè)�,發(fā)放加密與簽名證書(shū)16156張,目前全省共有7000多人在使用�。安全運(yùn)維管理系統(tǒng)集中管理IT基礎(chǔ)設(shè)施842個(gè)、信息化項(xiàng)目70個(gè)����、信息化從業(yè)人員172名, 實(shí)現(xiàn)了21項(xiàng)信息化指標(biāo)的自動(dòng)考核,從2010年10月至今���,系統(tǒng)預(yù)警73877起�,已全部處理完畢����,未發(fā)生因故障導(dǎo)致業(yè)務(wù)中斷的事故。
五�、宜昌運(yùn)維的發(fā)展
一體化保障體系建設(shè)遵循“統(tǒng)一規(guī)劃����、適度超前、小步快跑�����、分步實(shí)施”原則,分階段開(kāi)展��。2011年為體系鞏固年���,在2010年一體化保障體系初步建成的基礎(chǔ)上�,繼續(xù)鞏固應(yīng)用效果����。2012~2013年為體系優(yōu)化年,優(yōu)化完善一體化保障體系����。2014~2015年為體系提升年,持續(xù)改進(jìn)一體化保障體系���。
2011年����,全省將通過(guò)“抓管理���、抓落實(shí)�����、抓實(shí)效”三項(xiàng)工作來(lái)進(jìn)一步深化一體化保障體系應(yīng)用�,鞏固完善全省一體化保障體系。
參考文獻(xiàn)
第3篇
關(guān)鍵詞:質(zhì)量管理�;規(guī)范運(yùn)維;企業(yè)
中圖分類(lèi)號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2013)09-2028-03
大多企業(yè)經(jīng)過(guò)十余年的信息化發(fā)展��,大規(guī)模的信息化建設(shè)基本完成�,即將面臨著長(zhǎng)期的系統(tǒng)運(yùn)行維護(hù)的問(wèn)題。但與信息系統(tǒng)建設(shè)的較高水平相比�,還普遍存在IT服務(wù)管理較弱的問(wèn)題,缺乏有效的管理手段與方法�����,這就使信息化的投入充滿(mǎn)了很大的不確定性�����,也使信息化效果很難控制���。因此���,如何對(duì)企業(yè)龐大的技術(shù)系統(tǒng)進(jìn)行科學(xué)���、高效的管理����,從而發(fā)揮它的最大效能,降低運(yùn)營(yíng)成本���,是當(dāng)前企業(yè)信息化過(guò)程中必須面對(duì)的挑戰(zhàn)�。
1 三套標(biāo)準(zhǔn)在運(yùn)維體系中的適用性分析
ISO9000質(zhì)量管理體系標(biāo)準(zhǔn)在各企業(yè)和單位中的運(yùn)用非常廣泛����,是對(duì)整個(gè)單位運(yùn)作、服務(wù)過(guò)程進(jìn)行質(zhì)量控制管理的體系�,通過(guò)質(zhì)量手冊(cè)、文件控制���、記錄控制等方面為管理對(duì)象的實(shí)施提供指導(dǎo)���,側(cè)重于對(duì)宏觀(guān)運(yùn)作流程的控制,但不包括各專(zhuān)業(yè)業(yè)務(wù)層面的特定要求��。
ITIL作為一種以流程為基礎(chǔ)���、以客戶(hù)為導(dǎo)向的IT服務(wù)管理指導(dǎo)框架�����,它擺脫了傳統(tǒng)IT管理以技術(shù)管理為焦點(diǎn)的弊端�����,實(shí)現(xiàn)了從技術(shù)管理到流程管理���,再到服務(wù)管理的轉(zhuǎn)化��,適用于IT服務(wù)管理和服務(wù)流程的控制����。
等級(jí)保護(hù)管理體系是對(duì)信息系統(tǒng)的科學(xué)�、安全運(yùn)行進(jìn)行監(jiān)督和控制的體系,從安全管理制度�、安全管理機(jī)構(gòu)、人員安全管理��、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等方面為信息安全專(zhuān)業(yè)層面提供指導(dǎo)����,適用于運(yùn)作流程中各節(jié)點(diǎn)的安全控制。其中的保護(hù)等級(jí)劃分,也為信息安全投入和安全保障水平提供了平衡點(diǎn)�����。
對(duì)于已經(jīng)實(shí)施ISO9000的單位��,信息化職能部門(mén)在ISO9000貫徹實(shí)施時(shí)往往與自身信息化業(yè)務(wù)無(wú)法融合���,即便進(jìn)行了融合也常以信息化的一般性運(yùn)維工作為主,沒(méi)有考慮規(guī)范化安全運(yùn)維工作在整個(gè)單位和組織質(zhì)量控制體系中的重要性�。因此將ITIL、等級(jí)保護(hù)思路與ISO9000融合��,即可具體落實(shí)ISO9000體系中的流程控制����,也可以彌補(bǔ)等級(jí)保護(hù)在體系要求、文件控制和記錄控制等方面的薄弱環(huán)節(jié)�,同時(shí)完善ISO9000體系中對(duì)信息安全領(lǐng)域的專(zhuān)業(yè)性,最終形成以質(zhì)量管理體系為框架����,ITIL流程控制為主線(xiàn),等級(jí)保護(hù)管理標(biāo)準(zhǔn)為保障的綜合運(yùn)維保障體系�����。
2 規(guī)范運(yùn)維保障體系架構(gòu)設(shè)計(jì)與文件體系建設(shè)
結(jié)合三套標(biāo)準(zhǔn)的特點(diǎn)進(jìn)行運(yùn)維管理架構(gòu)設(shè)計(jì)時(shí),在體系結(jié)構(gòu)層面要考慮運(yùn)維體系的建設(shè)周期����、各標(biāo)準(zhǔn)在運(yùn)維體系中所處的層次、每個(gè)層次要達(dá)到的要求及PDCA方法論等���。在服務(wù)流程層面要考慮結(jié)合企業(yè)的現(xiàn)狀��,IT服務(wù)支持模式和管理流程及最佳實(shí)踐等���。在具體操作層面要考慮響應(yīng)方式、實(shí)現(xiàn)工具��、安全要求����、監(jiān)控方法等。將三大標(biāo)準(zhǔn)體系體系結(jié)構(gòu)層面設(shè)計(jì):在整個(gè)運(yùn)維生命周期中��,包括運(yùn)維體系建設(shè)�、運(yùn)維支持管理、運(yùn)維成效管理及運(yùn)維持續(xù)改進(jìn)四個(gè)階段��。這四個(gè)階段形成一個(gè)PDCA持續(xù)改進(jìn)的管理循環(huán)。通過(guò)建立檢查��、反饋機(jī)制�����,對(duì)信息安全管理體系運(yùn)行情況進(jìn)行監(jiān)督和控制���,建立動(dòng)態(tài)調(diào)整機(jī)制,確保信息安全管理體系符合新形勢(shì)����、新技術(shù)發(fā)展要求。
服務(wù)流程層面設(shè)計(jì):系統(tǒng)運(yùn)維的服務(wù)流程是信息化工作部門(mén)和服務(wù)供應(yīng)商向業(yè)務(wù)部門(mén)的服務(wù)交付和支持過(guò)程����,通過(guò)建立“一站式”的服務(wù)臺(tái)和規(guī)范的流程程序,提高IT部門(mén)對(duì)事件的響應(yīng)能力和IT運(yùn)維工作的規(guī)范性�,防范手工方式出現(xiàn)對(duì)用戶(hù)請(qǐng)求的遺忘,以及非規(guī)范的操作引起的系統(tǒng)風(fēng)險(xiǎn)��,同時(shí)要幫助信息化工作部門(mén)實(shí)現(xiàn)運(yùn)維知識(shí)的積累和共享�����,提升運(yùn)維和管理的整體水平。
具體操作層面設(shè)計(jì):在系統(tǒng)運(yùn)行維護(hù)中�����,各項(xiàng)工作(事件���、變更等)的處理程序���、操作步驟、完成時(shí)限及服務(wù)要求等���,均要制訂相應(yīng)的標(biāo)準(zhǔn)和規(guī)范�����,在涉及安全管控點(diǎn)時(shí)�����,可通過(guò)建立符合信息系統(tǒng)等級(jí)保護(hù)要求的安全配置基線(xiàn)�,統(tǒng)一信息系統(tǒng)建設(shè)和運(yùn)行技術(shù)配置標(biāo)準(zhǔn)����。
按照上述三個(gè)層面之間的關(guān)系��,落實(shí)到文件體系中時(shí)�,可以質(zhì)量管理體系為總體框架�����,將體系文件分為三個(gè)級(jí)別:一級(jí)程序文件為綱領(lǐng)性文件��,用于描述整個(gè)體系架構(gòu)運(yùn)作流程和運(yùn)維方針策略�����。主要包括信息化建設(shè)與管理程序���,信息系統(tǒng)運(yùn)維管理程序,涵蓋信息化建設(shè)與運(yùn)維全過(guò)程���。二級(jí)程序文件按ITIL流程管理為主線(xiàn)����,為一級(jí)程序提供可操作的流程化文件��。主要包括:項(xiàng)目管理�、事件管理�、問(wèn)題管理��、配置管理�、管理、變更管理�����、應(yīng)急管理等流程����。三級(jí)流程涉及具體操作規(guī)范,落實(shí)二級(jí)流程文件中涉及的各方面運(yùn)維和安全管理內(nèi)容���。主要包括:溝通管理�、授權(quán)與審批管理����、文件規(guī)范性管理、介質(zhì)管理�、資產(chǎn)管理、網(wǎng)絡(luò)管理�、系統(tǒng)管理、安全事件與應(yīng)急管理�����、備份與恢復(fù)管理等方面。記錄表單為實(shí)際運(yùn)維過(guò)程的記錄����。各級(jí)文件組成結(jié)構(gòu)如圖2所示。
文件體系是運(yùn)維體系架構(gòu)的管理體現(xiàn)��,是管理落地的基礎(chǔ)��,也要運(yùn)用PDCA管理���。
3 規(guī)范運(yùn)維保障體系ITIL流程設(shè)計(jì)
要想管理體系得到貫徹執(zhí)行����,就要對(duì)規(guī)范化運(yùn)維流程進(jìn)行科學(xué)有效的設(shè)計(jì)��。因?yàn)榱鞒淌枪芾淼慕K端��,主要解決的是管理固化問(wèn)題�。而ITIL作為事實(shí)上的國(guó)際標(biāo)準(zhǔn)���,基本與組織性質(zhì)和業(yè)務(wù)性質(zhì)無(wú)關(guān)���,僅明確指出應(yīng)該“做什么”�,但不講“如何做”���。因此流程設(shè)計(jì)時(shí)還要結(jié)合企業(yè)的現(xiàn)狀����,本著一切從實(shí)際出發(fā)的原則���,考慮企業(yè)對(duì)IT服務(wù)管理的切身需求����,按照最佳實(shí)踐和企業(yè)的實(shí)際設(shè)計(jì)出的合理的IT服務(wù)支持模式和管理流程��,建立自己的方法論���。
在具體的規(guī)范流程設(shè)計(jì)過(guò)程中��,首先要考慮的是人員崗位職責(zé)����。應(yīng)用服務(wù)管理之后,IT部門(mén)的組織架構(gòu)���、職能�����、工作方式都會(huì)隨之發(fā)生一定變化�。建立規(guī)范的流程���,需要確定IT支持人員和管理人員的職責(zé)��,通過(guò)流程角色的設(shè)置�,而不是單純依靠組織結(jié)構(gòu)的設(shè)置來(lái)把角色和職務(wù)分開(kāi)���。同時(shí)制定配套的人員角色和職責(zé)及考核機(jī)制��,以實(shí)現(xiàn)對(duì)人員的量化管理和資源的有效利用��。
其次是確定提供服務(wù)的管理流程。在ITIL中已歸納為服務(wù)級(jí)別管理���、IT服務(wù)財(cái)務(wù)管理�����、能力管理�、IT服務(wù)持續(xù)性管理和可用性管理5個(gè)服務(wù)管理流程。這些管理流程用于解決“客戶(hù)需要什么”����、“為滿(mǎn)足客戶(hù)需求需要哪些資源”、“這些資源的成本是多少”���、“如何在服務(wù)成本和服務(wù)效益(達(dá)到的服務(wù)級(jí)別)之間選擇恰當(dāng)?shù)钠胶恻c(diǎn)”等問(wèn)題����,服務(wù)提供所包括的這5個(gè)核心流程均屬于戰(zhàn)術(shù)層次的服務(wù)管理流程�����,用以確定服務(wù)級(jí)別協(xié)議及滿(mǎn)足服務(wù)要求所需要的最優(yōu)資源��,也就是說(shuō)如何做正確的事��。
再次是確保用戶(hù)得到適當(dāng)?shù)姆?wù)支持以保障組織業(yè)務(wù)功能��。服務(wù)支持流程體現(xiàn)服務(wù)接觸和溝通的5個(gè)運(yùn)作層次的流程���,即事件管理����、問(wèn)題管理、配置管理�、變更管理和管理。這5個(gè)服務(wù)管理流程的主要職能是���,確保IT服務(wù)提供方所提供的服務(wù)質(zhì)量���,符合服務(wù)級(jí)別協(xié)議(SLA)的要求,即如何正確的做事����。ITIL核心流程之間的層次關(guān)系如圖3所示。
最后是引入服務(wù)臺(tái)��、服務(wù)連續(xù)性管理等流程自動(dòng)化工具�,以系統(tǒng)工具來(lái)固化流程,再不斷完善流程���。同時(shí)要關(guān)注工具之間的聯(lián)動(dòng)和信息整合����,如果可能����,盡早的進(jìn)行統(tǒng)一的規(guī)劃,建立集成規(guī)范要求�����,以保證投資在未來(lái)得到充分保護(hù)���,不被浪費(fèi)�。
所以�,ITIL的應(yīng)用過(guò)程和效果的獲得,不是簡(jiǎn)單的單純通過(guò)項(xiàng)目建設(shè)能夠達(dá)到的���,是企業(yè)信息中心部門(mén)����、咨詢(xún)服務(wù)提供商�����、產(chǎn)品提供商等多方共同努力的結(jié)果����,也是一個(gè)持續(xù)改進(jìn)��、不斷優(yōu)化的長(zhǎng)期過(guò)程��。
4 構(gòu)建信息系統(tǒng)等級(jí)保護(hù)為基礎(chǔ)的防護(hù)體系
保障體系要結(jié)合管理體系和ITIL流程�����,落實(shí)安全技術(shù)及管理要求����?���?梢罁?jù)分級(jí)、分域��、分區(qū)����、分層的防護(hù)原則,對(duì)運(yùn)維的信息系統(tǒng)按級(jí)別劃分安全區(qū)域進(jìn)行管理�����,各安全域劃分為網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)環(huán)境��、主機(jī)系統(tǒng)及應(yīng)用環(huán)境四個(gè)安全層次�����,最后形成縱深防御體系����。
在技術(shù)上可通過(guò)強(qiáng)化邊界訪(fǎng)問(wèn)控制���、規(guī)范網(wǎng)絡(luò)訪(fǎng)問(wèn)行為���、強(qiáng)制主機(jī)管理、構(gòu)建應(yīng)用授權(quán)和身份認(rèn)證平臺(tái)��、加強(qiáng)審計(jì)監(jiān)控等措施構(gòu)建協(xié)同防御��。每個(gè)安全保護(hù)部件或設(shè)備應(yīng)具有安全保護(hù)功能獨(dú)立完整���、調(diào)用接口簡(jiǎn)潔�、與安全產(chǎn)品相對(duì)應(yīng)和易于管理等特征���,在后期綜合運(yùn)維服務(wù)與監(jiān)控平臺(tái)集成建設(shè)中能夠保障數(shù)據(jù)的共享和協(xié)同防御��。在管理上通過(guò)建立綜合運(yùn)維服務(wù)與監(jiān)控平臺(tái)�。將機(jī)房環(huán)境監(jiān)控系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)����、性能監(jiān)測(cè)與管理系統(tǒng)、入侵防御系統(tǒng)等監(jiān)控與管理的系統(tǒng)告警和性能監(jiān)測(cè)數(shù)據(jù)進(jìn)行整合���,梳理各個(gè)資源之間的告警關(guān)系���,進(jìn)行集中監(jiān)控告警模型設(shè)計(jì),并可進(jìn)行工具產(chǎn)品的客戶(hù)化定制���,實(shí)現(xiàn)集中監(jiān)控管理和指揮控制�����,為運(yùn)維體系安全運(yùn)行提供全面的管理保障。
5 規(guī)范運(yùn)維保障體系實(shí)施路線(xiàn)
在實(shí)施階段��,要考慮若一次性全部實(shí)施所有流程帶來(lái)的風(fēng)險(xiǎn)��,可采用分階段實(shí)施的方法,做到穩(wěn)步推進(jìn)����,以便取得良好效果���。大致可分為前期準(zhǔn)備階段��,全面試運(yùn)行階段����,正式運(yùn)行及擴(kuò)展階段��,綜合優(yōu)化調(diào)整階段����。
1)前期準(zhǔn)備階段
明確參與運(yùn)維工作人員的崗位職責(zé)�,做到權(quán)限分離���。開(kāi)展等級(jí)保護(hù)測(cè)評(píng)并根據(jù)等級(jí)保護(hù)要求制定安全配置基線(xiàn)及相關(guān)操作規(guī)范����。根據(jù)等級(jí)保護(hù)測(cè)評(píng)結(jié)果�,按照分級(jí)、分域��、分區(qū)�、分層原則制定安全技術(shù)基礎(chǔ)平臺(tái)整體解決方案,在管理與技術(shù)上提供安全依據(jù)����。試運(yùn)行ITIL運(yùn)維管理五大流程,檢驗(yàn)工作流程的可操作性����。梳理清楚管理對(duì)象,完善資產(chǎn)配置管理�����,確定運(yùn)維管理的范圍。
2)全面試運(yùn)行階段
全面開(kāi)展規(guī)范化運(yùn)維工作���,在運(yùn)維平臺(tái)中體現(xiàn)所有運(yùn)維工作并力爭(zhēng)全員參與���,做到運(yùn)維職責(zé)明確,流程處理程序規(guī)范�,操作標(biāo)準(zhǔn),過(guò)程有痕跡并制定合理的績(jī)效考核方案���。在日常運(yùn)維工作中查找不足�����,提供改進(jìn)意見(jiàn),不斷完善質(zhì)量目標(biāo)文件����、流程體系文件和操作手冊(cè)。充分發(fā)揮知識(shí)庫(kù)作用���,將常見(jiàn)問(wèn)題解決方法進(jìn)行歸納總結(jié)并上傳至知識(shí)庫(kù)����,做到知識(shí)共享。同時(shí)實(shí)施完成安全技術(shù)基礎(chǔ)平臺(tái)�����,實(shí)現(xiàn)安全管理中心與運(yùn)維平臺(tái)互聯(lián)互通問(wèn)題�,保證安全要求融入運(yùn)維流程中。
3)正式運(yùn)行及擴(kuò)展階段
全面運(yùn)行完善后的ITIL運(yùn)維管理五大流程�����,結(jié)合ISO20000相關(guān)運(yùn)維標(biāo)準(zhǔn)�,構(gòu)建信息化運(yùn)維服務(wù)運(yùn)維服務(wù)體系,規(guī)范化����、標(biāo)準(zhǔn)化、痕跡化運(yùn)維管理工作��。運(yùn)用PDCA過(guò)程��,進(jìn)一步細(xì)化調(diào)整管理體系����,總結(jié)體系運(yùn)行情況,調(diào)整不適用和無(wú)法落實(shí)的部分�����,使之能高效、有序的運(yùn)作�。同時(shí)定期通過(guò)第三方機(jī)構(gòu)對(duì)已測(cè)評(píng)的信息系統(tǒng)開(kāi)展等級(jí)保護(hù)復(fù)評(píng),找出所有系統(tǒng)的安全隱患�����,并提出整改方案和實(shí)施計(jì)劃���,督促信息安全措施的落實(shí)���。
4)綜合優(yōu)化調(diào)整階段
總結(jié)前期的規(guī)范化運(yùn)維工作,調(diào)整不適用的部分�����,常態(tài)化的管理體系運(yùn)作�。定期進(jìn)行內(nèi)部評(píng)審����,找出與當(dāng)前工作的不適用部分進(jìn)行優(yōu)化調(diào)整;同時(shí)在工作中�����,結(jié)合工作實(shí)際,尋求更高效安全的方法優(yōu)化體系�,提高體系的效能。
綜合上述實(shí)施階段����,確定實(shí)施路線(xiàn)圖如圖4所示。
參考文獻(xiàn):
第4篇
[關(guān)鍵詞]煉化企業(yè)����;門(mén)戶(hù)管理;運(yùn)維�����;閉合回路
doi:10.3969/j.issn.1673 - 0194.2016.16.000
[中圖分類(lèi)號(hào)]F270.7 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194(2016)16-00-02
1 中國(guó)石油企業(yè)信息門(mén)戶(hù)背景介紹
中國(guó)石油企業(yè)信息門(mén)戶(hù)于2003年開(kāi)始統(tǒng)一建設(shè)與推廣應(yīng)用���。采用統(tǒng)一平臺(tái)���、統(tǒng)一標(biāo)準(zhǔn)規(guī)范、統(tǒng)一技術(shù)對(duì)其下屬企業(yè)進(jìn)行建設(shè)���。歷經(jīng)十余年應(yīng)用��,企業(yè)信息門(mén)戶(hù)在企業(yè)的生產(chǎn)��、經(jīng)營(yíng)和管理等方面發(fā)揮了重要的作用�����。各企業(yè)門(mén)戶(hù)主管部門(mén)�,始終把門(mén)戶(hù)管理和運(yùn)維工作作為工作重點(diǎn),作為提升企業(yè)價(jià)值的重要舉措�。通過(guò)注重公平公正,強(qiáng)化激勵(lì)約束�,嚴(yán)格獎(jiǎng)懲,不斷深化門(mén)戶(hù)機(jī)制創(chuàng)新���,著力構(gòu)建完善的門(mén)戶(hù)運(yùn)維工作體系��。
隨著門(mén)戶(hù)管理與運(yùn)維工作的不斷推進(jìn)與深化�����,原有工作體系存在著不足與短板,例如考核評(píng)價(jià)體系仍然需要完善�,考核的力度、深度和廣度還不夠���,過(guò)程評(píng)價(jià)不足�,評(píng)價(jià)手段單一等。另外�����,通過(guò)門(mén)戶(hù)評(píng)估��,能夠發(fā)現(xiàn)門(mén)戶(hù)網(wǎng)站建設(shè)��、運(yùn)行����、管理中存在的不足,提出下一步門(mén)戶(hù)工作重點(diǎn)和發(fā)展目標(biāo)�,積極采取有效的措施完善改進(jìn),有效引導(dǎo)門(mén)戶(hù)健康有序發(fā)展�����。
隨著企業(yè)規(guī)模的不斷增大��,企業(yè)必須依靠信息化促進(jìn)企業(yè)經(jīng)營(yíng)管理水平的提升�����,推動(dòng)企業(yè)長(zhǎng)久發(fā)展。而信息門(mén)戶(hù)恰恰是最基本的信息技術(shù)手段�����,因此需要最大限度發(fā)揮門(mén)戶(hù)的服務(wù)能力��,更好地為員工提供有效服務(wù)����,為企業(yè)提供服務(wù)保障。因此構(gòu)建大型煉化企業(yè)門(mén)戶(hù)管理與運(yùn)維體系�����,實(shí)現(xiàn)門(mén)戶(hù)管理和運(yùn)維的閉合回路����,是非常必要的。
2 信息門(mén)戶(hù)實(shí)施內(nèi)涵
構(gòu)建大型煉化企業(yè)門(mén)戶(hù)管理與運(yùn)維的閉合回路�,即是對(duì)現(xiàn)行門(mén)戶(hù)管理制度、標(biāo)準(zhǔn)規(guī)范�、運(yùn)維流程等進(jìn)行總結(jié)梳理,完善門(mén)戶(hù)考核評(píng)價(jià)等工作��,通過(guò)構(gòu)建門(mén)戶(hù)管理���、運(yùn)維�����、安全保障和考核評(píng)價(jià)等四個(gè)體系���,環(huán)環(huán)相扣,互相影響和指導(dǎo)�,從而形成符合企業(yè)門(mén)戶(hù)發(fā)展的、科學(xué)合理的門(mén)戶(hù)管理與運(yùn)維工作體系����,覆蓋門(mén)戶(hù)所有工作環(huán)節(jié)中,永遠(yuǎn)不會(huì)脫離PDCA管理模型:策劃實(shí)施檢查改進(jìn)策劃���,實(shí)現(xiàn)了門(mén)戶(hù)管理和運(yùn)維工作的閉合回路����。
3 構(gòu)建大型煉化企業(yè)門(mén)戶(hù)管理與運(yùn)維閉合回路的主要做法
構(gòu)建完善的門(mén)戶(hù)管理���、運(yùn)維�����、安全保障和考核評(píng)價(jià)等4個(gè)體系��,每個(gè)體系都采用PDCA方法進(jìn)行不斷建設(shè)與完善�,搭建形成覆蓋企業(yè)門(mén)戶(hù)管理和運(yùn)維的閉環(huán)管理環(huán)境,推動(dòng)企業(yè)門(mén)戶(hù)的發(fā)展����,提升門(mén)戶(hù)服務(wù)能力,促進(jìn)企業(yè)管理水平的提升�����。
3.1 構(gòu)建完善的門(mén)戶(hù)管理體系
3.1.1 門(mén)戶(hù)管理體系的內(nèi)容
門(mén)戶(hù)管理體系是由制度�、標(biāo)準(zhǔn)、規(guī)范�����、組織機(jī)構(gòu)�����、人員和流程等內(nèi)容組成��。它是開(kāi)展門(mén)戶(hù)工作的前提,有效的管理體系將使企業(yè)的門(mén)戶(hù)管理和運(yùn)維工作制度化�����、規(guī)范化����。
3.1.2 門(mén)戶(hù)管理體系的規(guī)劃與實(shí)施
(1)完善制度����、標(biāo)準(zhǔn)和規(guī)范。制度是圍繞門(mén)戶(hù)工作各個(gè)環(huán)節(jié)而設(shè)計(jì)的一整套管理規(guī)范��。立足公司實(shí)際���,自上而下�、分步實(shí)施�、穩(wěn)步推進(jìn)、逐步完善�����,形成了企業(yè)統(tǒng)一管理框架,便于管理層����、運(yùn)維人員及用戶(hù)參照和使用。如《公司信息門(mén)戶(hù)網(wǎng)站管理辦法》《公司門(mén)戶(hù)建設(shè)與運(yùn)行管理規(guī)定》等����,規(guī)范門(mén)戶(hù)管理和運(yùn)維工作,保證系統(tǒng)穩(wěn)定�、高效運(yùn)行。標(biāo)準(zhǔn)是圍繞門(mén)戶(hù)工作制定的一系列可重復(fù)使用的規(guī)則�����、導(dǎo)則或特性文件�。如《公司信息門(mén)戶(hù)網(wǎng)站編輯規(guī)范》《門(mén)戶(hù)信息格式規(guī)范》等。
(2)明確組織機(jī)構(gòu)和人員職責(zé)分工���,建立有效管理機(jī)制�����。機(jī)構(gòu)設(shè)置上保證責(zé)任全覆蓋����。企業(yè)門(mén)戶(hù)管理的組織機(jī)構(gòu)包括公司信息化工作委員會(huì)、門(mén)戶(hù)主管部門(mén)及門(mén)戶(hù)運(yùn)維部門(mén)�����。公司信息化工作委員會(huì)由公司領(lǐng)導(dǎo)班子成員及信息管理部領(lǐng)導(dǎo)組成�����,負(fù)責(zé)研究和審定公司辦法及管理制度���,監(jiān)督與檢查管理過(guò)程中的、重大情況的決策等����,加強(qiáng)了對(duì)門(mén)戶(hù)工作的統(tǒng)一領(lǐng)導(dǎo)和綜合協(xié)調(diào)。門(mén)戶(hù)管理由辦公室牽頭��,各職能部門(mén)共同參與�����,使管理更加便捷和精準(zhǔn)�,提高工作效率和質(zhì)量,完善管理環(huán)節(jié)與工作流程。
(3)建立���、完善管理流程是門(mén)戶(hù)管理工作的重要內(nèi)容���,要明確怎么管,如何管����。
3.2 構(gòu)建完善的門(mén)戶(hù)運(yùn)維體系
3.2.1 門(mén)戶(hù)運(yùn)維體系的內(nèi)容
門(mén)戶(hù)運(yùn)維體系也是由制度、標(biāo)準(zhǔn)�����、規(guī)范���、組織機(jī)構(gòu)�����、人員��、工作流程等內(nèi)容組成����。它是做好門(mén)戶(hù)工作的基礎(chǔ),主要涵蓋運(yùn)維全部工作����,要確保門(mén)戶(hù)穩(wěn)定、可靠�、便捷、高效和安全�。
3.2.2 門(mén)戶(hù)運(yùn)維體系的規(guī)劃與實(shí)施
(1)制定有關(guān)運(yùn)維工作的制度和標(biāo)準(zhǔn)。在管理體系中已經(jīng)建立和完善門(mén)戶(hù)制度�����、標(biāo)準(zhǔn)和規(guī)范��,因此��,在運(yùn)維體系下�����,主要是圍繞門(mén)戶(hù)運(yùn)維工作制定相應(yīng)的運(yùn)維制度���、標(biāo)準(zhǔn)和規(guī)范。同樣也要立足工作實(shí)際��,便于運(yùn)維人員及用戶(hù)參照和使用。例如制定完善《企業(yè)門(mén)戶(hù)網(wǎng)站運(yùn)維工作細(xì)則》《門(mén)戶(hù)網(wǎng)站用戶(hù)操作手冊(cè)》《門(mén)戶(hù)網(wǎng)站管理員日常操作手冊(cè)》《門(mén)戶(hù)網(wǎng)站功能模塊維護(hù)手冊(cè)》等�,涵蓋運(yùn)維所有工作內(nèi)容,要制定表單跟蹤����,規(guī)范門(mén)戶(hù)運(yùn)維工作,保證系統(tǒng)穩(wěn)定��、高效運(yùn)行����。
(2)明確組織機(jī)構(gòu)和人員職責(zé)分工,構(gòu)建有效運(yùn)維機(jī)制�。一般都是由企業(yè)信息部門(mén)承擔(dān)運(yùn)維工作,或者企業(yè)信息部門(mén)和下屬單位共同承擔(dān)�����。人員分為專(zhuān)責(zé)和兼職兩種��。
(3)完善和梳理工作流程���,門(mén)戶(hù)系統(tǒng)運(yùn)維工作大體分為如下五個(gè)方面���。
第一�����,門(mén)戶(hù)建設(shè)和維護(hù)�。主要包括門(mén)戶(hù)網(wǎng)站的新建與改版���、專(zhuān)題新建與維護(hù)�����、門(mén)戶(hù)功能的擴(kuò)展等內(nèi)容����。由用戶(hù)填寫(xiě)《門(mén)戶(hù)建設(shè)(變更)申請(qǐng)表》交由運(yùn)維部門(mén)操作�����、執(zhí)行�、反饋并存檔���。
第二�,門(mén)戶(hù)系統(tǒng)權(quán)限運(yùn)維����。主要對(duì)信息采編��、文檔庫(kù)��、網(wǎng)站�����、網(wǎng)站集權(quán)限等進(jìn)行變更��、維護(hù)與管理���。由用戶(hù)填寫(xiě)《門(mén)戶(hù)權(quán)限變更申請(qǐng)表》并由運(yùn)維部門(mén)授權(quán)、反饋和存檔�。
第三,門(mén)戶(hù)系統(tǒng)軟件運(yùn)維����。主要對(duì)系統(tǒng)軟件包括服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)等進(jìn)行運(yùn)維�。操作系統(tǒng)主要是對(duì)日志、補(bǔ)丁更新�、接口等進(jìn)行監(jiān)控、優(yōu)化和故障排查等����。數(shù)據(jù)庫(kù)主要是對(duì)數(shù)據(jù)備份���、數(shù)據(jù)恢復(fù)、數(shù)據(jù)庫(kù)優(yōu)化�����、故障排除等進(jìn)行運(yùn)維��。備份工作確定好增量備份和完整備份的時(shí)間��、方式�����,以及數(shù)據(jù)保留周期等�����,填寫(xiě)《門(mén)戶(hù)數(shù)據(jù)備份日志》進(jìn)行留存��。
第四����,門(mén)戶(hù)系統(tǒng)硬件運(yùn)維。主要是對(duì)硬件設(shè)備(服務(wù)器��、存儲(chǔ)等)的日常巡檢���,定期檢查和維修��,保障設(shè)備的正常運(yùn)行���。運(yùn)維人員巡檢填寫(xiě)《門(mén)戶(hù)巡檢記錄》,維修需要填寫(xiě)《門(mén)戶(hù)硬件維修表單》等存檔��。
第五�,門(mén)戶(hù)系統(tǒng)客戶(hù)端運(yùn)維。針對(duì)最終用戶(hù)在使用過(guò)程中出現(xiàn)的問(wèn)題進(jìn)行處理���,保障其應(yīng)用正常�����。運(yùn)維人員根據(jù)日常處理情況填寫(xiě)《問(wèn)題記錄日志表單》�����。
針對(duì)整體運(yùn)維情況�����,企業(yè)可統(tǒng)計(jì)《門(mén)戶(hù)運(yùn)行周報(bào)》或《門(mén)戶(hù)運(yùn)行月報(bào)》����,進(jìn)行分析總結(jié),記錄相應(yīng)信息���。
3.3 構(gòu)建完善的門(mén)戶(hù)安全保障體系
3.3.1 門(mén)戶(hù)安全保障體系的內(nèi)容
門(mén)戶(hù)安全保障體系也是由制度�����、標(biāo)準(zhǔn)���、組織機(jī)構(gòu)、人員��、工作內(nèi)容組成����。完善的安全保障體系能夠有效預(yù)防各類(lèi)事故的發(fā)生,減少突發(fā)事件帶來(lái)無(wú)法預(yù)估的工作量和影響���。
3.3.2 門(mén)戶(hù)安全保障體系的規(guī)劃與實(shí)施
(1)完善門(mén)戶(hù)安全制度和標(biāo)準(zhǔn)���。持續(xù)完善《門(mén)戶(hù)信息保障措施》《門(mén)戶(hù)突發(fā)事件應(yīng)急預(yù)案》《門(mén)戶(hù)風(fēng)險(xiǎn)管控手冊(cè)》等制度,實(shí)現(xiàn)安全工作規(guī)范化����。
(2)組織機(jī)構(gòu)和人員分工。機(jī)構(gòu)設(shè)置滿(mǎn)足門(mén)戶(hù)信息安全需要�����,一般參照上述管理體系和運(yùn)維體系提及的部門(mén)共同承擔(dān)��,企業(yè)信息部門(mén)為主要責(zé)任部門(mén)�。
(3)安全防護(hù)工作主要包括以下三點(diǎn)內(nèi)容。
第一�,監(jiān)控平臺(tái)。利用當(dāng)前先進(jìn)技術(shù)手段��,建立安全保障系統(tǒng)��,提高信息數(shù)據(jù)的采集����、存儲(chǔ)���、處理等各個(gè)環(huán)節(jié)的安全性,逐步完善�����,形成穩(wěn)定的安全保障體系���。持續(xù)對(duì)門(mén)戶(hù)網(wǎng)站進(jìn)行漏洞掃描���、掛馬監(jiān)測(cè)、敏感內(nèi)容監(jiān)測(cè)�����、域名監(jiān)測(cè)���、釣魚(yú)監(jiān)測(cè)����、平穩(wěn)度監(jiān)測(cè)及篡改監(jiān)測(cè)等安全監(jiān)測(cè)����,及時(shí)發(fā)現(xiàn)網(wǎng)站掛馬事件���、被黑事件、安全漏洞等問(wèn)題��,確保門(mén)戶(hù)網(wǎng)站安全運(yùn)行��。
第二��,風(fēng)險(xiǎn)管理����。運(yùn)維人員在做好門(mén)戶(hù)基礎(chǔ)運(yùn)維工作的同時(shí)����,還應(yīng)該保障系統(tǒng)的軟硬件及數(shù)據(jù)安全,加強(qiáng)風(fēng)險(xiǎn)識(shí)別和防范能力��,提前預(yù)估可能出現(xiàn)的風(fēng)險(xiǎn)�����;針對(duì)較高的風(fēng)險(xiǎn)制定應(yīng)急措施�,保障門(mén)戶(hù)系統(tǒng)安全;特別針對(duì)信息審核和���,一定要嚴(yán)格按制度執(zhí)行���,做好輿情管理����。
第三�����,應(yīng)急處理����。發(fā)生突發(fā)事件時(shí),迅速發(fā)現(xiàn)并定位�,按照應(yīng)急預(yù)案進(jìn)行快速響應(yīng),使影響最小��。同時(shí)應(yīng)該強(qiáng)化運(yùn)維人員的應(yīng)急反應(yīng)能力�����,通過(guò)定期組織應(yīng)急演練����,并對(duì)演練的結(jié)果進(jìn)行總結(jié)分析��,增強(qiáng)運(yùn)維人員處理突發(fā)事件應(yīng)急能力���。
3.4 構(gòu)建完善的門(mén)戶(hù)考核評(píng)價(jià)體系
3.4.1 門(mén)戶(hù)考核評(píng)價(jià)體系的內(nèi)容
將門(mén)戶(hù)工作納入公司信息化考核體系,制定考核和評(píng)價(jià)指標(biāo)����,分層次比照,加強(qiáng)考核與評(píng)價(jià)�。建立考核和激勵(lì)機(jī)制�,對(duì)用戶(hù)、運(yùn)維人員和管理人員進(jìn)行考核���,對(duì)失誤的地方予以批評(píng)指正��,對(duì)提高�����、改進(jìn)的地方予以獎(jiǎng)勵(lì)�,充分調(diào)動(dòng)人員的積極性�����、主動(dòng)性,及時(shí)發(fā)現(xiàn)問(wèn)題���,消除潛在的隱患���,促進(jìn)全過(guò)程價(jià)值創(chuàng)造,進(jìn)一步提高運(yùn)維管理的水平��。
3.4.2 門(mén)戶(hù)考核評(píng)價(jià)體系的規(guī)劃與實(shí)施
考核不僅僅是評(píng)價(jià)和監(jiān)督更是激勵(lì)��。完整的考核評(píng)價(jià)體系能有效發(fā)掘員工的潛能��,提升業(yè)務(wù)能力和技術(shù)能力��,進(jìn)而提升整體運(yùn)維水平�����。
(1)全要素評(píng)價(jià)�。對(duì)門(mén)戶(hù)的考核不僅包含工作完成情況,還包含服務(wù)滿(mǎn)意度�����、故障處理及時(shí)率、系統(tǒng)暢通率�、設(shè)備完好率、維護(hù)及時(shí)率���、培訓(xùn)情況等以及人員日常工作表現(xiàn)和素質(zhì)能力的評(píng)價(jià)���。
(2)全過(guò)程控制。貫穿整個(gè)門(mén)戶(hù)工作中�����,結(jié)果性指標(biāo)與過(guò)程性指標(biāo)相結(jié)合���,日?�?己伺c年終考核相結(jié)合。將考核內(nèi)容量化�,按規(guī)定的程序和頻率進(jìn)行考核評(píng)價(jià)。
考核結(jié)果應(yīng)擴(kuò)大化��、直接化��、顯現(xiàn)化��,與績(jī)效獎(jiǎng)金直接掛鉤��。按照公開(kāi)公平公正的原則,保證考核制度公開(kāi)����、目標(biāo)設(shè)定公正、考核過(guò)程規(guī)范�����、考核結(jié)果公平���,充分調(diào)動(dòng)人員的積極性��。還要考慮激勵(lì)約束并重��,堅(jiān)持結(jié)果考核與過(guò)程評(píng)價(jià)相統(tǒng)一�����,激勵(lì)與約束相配套����,責(zé)權(quán)利相統(tǒng)一�����,考核結(jié)果與績(jī)效獎(jiǎng)金、培訓(xùn)發(fā)展等緊密掛鉤����。
4 結(jié) 語(yǔ)
企業(yè)信息化就是利用信息技術(shù)搭建支持企業(yè)生產(chǎn)經(jīng)營(yíng)管理的運(yùn)行平臺(tái),通過(guò)資源的有效利用����,實(shí)現(xiàn)降本增效,提高企業(yè)核心競(jìng)爭(zhēng)力�。信息門(mén)戶(hù)作為企業(yè)最基本的信息技術(shù)手段,企業(yè)應(yīng)從管理�、服務(wù)和業(yè)務(wù)發(fā)展角度出發(fā),建立完善的門(mén)戶(hù)管理運(yùn)維的閉合回路��,提高門(mén)戶(hù)服務(wù)水平和能力��,保障信息系統(tǒng)高效安全運(yùn)行�����,從而為企業(yè)信息化建設(shè)提供有力支撐���。
主要參考文獻(xiàn)
第5篇
即使這樣,如下安全問(wèn)題依然擺在了很多企業(yè)面前:安全設(shè)備部署了很多,安全制度流程也建立了�,但從整體角度看,仍然是各自為戰(zhàn)����,仿佛信息安全問(wèn)題只是IT部門(mén)的事情,與其他人無(wú)關(guān)���,這就使得無(wú)法形成整體有效的安全防護(hù)��;一邊是業(yè)務(wù)應(yīng)用越來(lái)越復(fù)雜�,一邊是安全設(shè)備和制度不斷增加�����,如果安全設(shè)備和制度做多了���,業(yè)務(wù)部門(mén)抱怨太繁瑣�����,但如果不做這么多��,又怕出現(xiàn)安全問(wèn)題�,左右為難。
那么�����,出現(xiàn)這些問(wèn)題的根源是什么呢����?我們?cè)缇椭溃ㄔO(shè)安全系統(tǒng)不僅僅是技術(shù)問(wèn)題��,也是管理問(wèn)題��。而信息安全服務(wù)的主要目標(biāo)就是更好的支撐IT應(yīng)用系統(tǒng)的效果和效率���,也就是說(shuō)��,信息安全的主要目的是通過(guò)信息安全管理體系��、技術(shù)體系以及運(yùn)維體系的綜合有效建設(shè)�����,讓IT應(yīng)用系統(tǒng)能夠達(dá)到更好的運(yùn)營(yíng)效果以及更高的效率����。而如何綜合而有效的建立信息安全保障體系��,成為了擺在每個(gè)企業(yè)面前的課題���。
合規(guī)是重中之重
信息安全標(biāo)準(zhǔn)是確保信息安全產(chǎn)品和系統(tǒng)在設(shè)計(jì)���、研發(fā)、生產(chǎn)����、建設(shè)、使用和測(cè)評(píng)過(guò)程中保持一致性�����、可靠性����、可控性、先進(jìn)性和符合性的技術(shù)規(guī)范和依據(jù)�,其不僅關(guān)系到國(guó)家的信息安全,也是保護(hù)國(guó)家利益�、促進(jìn)產(chǎn)業(yè)發(fā)展的一種重要手段,同時(shí)更是信息安全保障體系中的重要組成部分����,是政府進(jìn)行宏觀(guān)管理的重要依據(jù)����。
我國(guó)在這方面雖然起步較晚���,但也制定了一批符合中國(guó)國(guó)情的信息安全標(biāo)準(zhǔn)��,同時(shí)在一些重點(diǎn)行業(yè)還頒布了一批信息安全的行業(yè)標(biāo)準(zhǔn)��,尤其是國(guó)家等級(jí)保護(hù)制度和分級(jí)保護(hù)制度是我國(guó)在進(jìn)行信息安全保障體系建設(shè)中的重要依據(jù)����。
因此��,企業(yè)只有在信息安全保障體系建設(shè)過(guò)程中依據(jù)相關(guān)標(biāo)準(zhǔn)進(jìn)行合規(guī)性分析���,通過(guò)安全風(fēng)險(xiǎn)評(píng)估���,然后比對(duì)相關(guān)標(biāo)準(zhǔn)中所涉及的技術(shù)要求、管理要求�、測(cè)評(píng)要求,才能明確得出建設(shè)的方向和重點(diǎn)�,了解目前系統(tǒng)中存在的問(wèn)題和改進(jìn)的方法����,同時(shí)明確在管理�、部署和運(yùn)維過(guò)程中信息安全管理的相關(guān)制度�����、流程和需要持續(xù)改進(jìn)的目標(biāo)�����。
此外����,相關(guān)標(biāo)準(zhǔn)還為企業(yè)明確了進(jìn)行信息安全保障體系建設(shè)的方法,只有遵循這種方法才能做到“有法可依���、有章可循”���。
安全咨詢(xún)是橋梁
前面提到,信息安全建設(shè)的主要目的是讓IT應(yīng)用系統(tǒng)能夠達(dá)到更好的運(yùn)行效果���,并提高系統(tǒng)的運(yùn)行效率�,也就是說(shuō),要讓信息安全保障體系成為IT應(yīng)用系統(tǒng)的有效支撐��。然而��,不同政府或企業(yè)的具體業(yè)務(wù)環(huán)境和流程各不相同��,所以也不是每個(gè)政府或企業(yè)都可以使用一個(gè)統(tǒng)一的模板�。不同的組織在建立與完善信息安全保障體系時(shí),必須根據(jù)自己的業(yè)務(wù)特點(diǎn)和具體情況以及IT應(yīng)用的實(shí)際情況��,采取不同的步驟和方法����。此外,還要注意����,信息安全不僅涉及安全管理和技術(shù)層面的問(wèn)題,還會(huì)涉及到治理機(jī)制�、業(yè)務(wù)流程、人員管理��、企業(yè)文化等內(nèi)容����。
這就使得�,企業(yè)要運(yùn)用風(fēng)險(xiǎn)的方法來(lái)決定信息安全體系建設(shè)的目標(biāo)和步驟���。這個(gè)過(guò)程實(shí)際上是需要專(zhuān)業(yè)資深的安全服務(wù)人員對(duì)目標(biāo)的業(yè)務(wù)特點(diǎn)��、IT應(yīng)用實(shí)際情況和具體管理方式進(jìn)行現(xiàn)場(chǎng)調(diào)研���、符合性分析�、相關(guān)的風(fēng)險(xiǎn)評(píng)估等操作的,尤其是對(duì)關(guān)鍵業(yè)務(wù)應(yīng)用的深入了解和分析�,只有這樣才能與標(biāo)準(zhǔn)比對(duì)形成安全基線(xiàn)和框架參考。
而且�����,在建設(shè)過(guò)程中����,還要不斷與相關(guān)負(fù)責(zé)人(決策人員、安全管理員���、網(wǎng)絡(luò)安全維護(hù)人員)進(jìn)行深入溝通���,以便發(fā)現(xiàn)安全隱患�、找出關(guān)注重點(diǎn)�,并提出有效的策略建議,最終才能運(yùn)用風(fēng)險(xiǎn)的方法來(lái)決定體系建設(shè)的目標(biāo)和步驟���,并一步一步實(shí)施完成���。通過(guò)這一點(diǎn)我們不難看出,信息安全咨詢(xún)貫穿于整個(gè)信息安全體系建設(shè)的過(guò)程中�����,是聯(lián)系實(shí)際需求和建設(shè)目標(biāo)的橋梁��。
實(shí)際落地是關(guān)鍵
信息安全技術(shù)體系是利用技術(shù)手段實(shí)現(xiàn)了技術(shù)層面的安全保護(hù)���,是整個(gè)信息安全保障體系中非常重要的一部分�����。很多政府和企業(yè)都部署過(guò)一些技術(shù)防護(hù)手段�����,但這些防護(hù)手段是不是符合相關(guān)標(biāo)準(zhǔn)和關(guān)鍵業(yè)務(wù)的需求����,是不是把風(fēng)險(xiǎn)控制到了一個(gè)可控的水平,我們就不得而知了�。
因此,在信息安全保障體系建立過(guò)程中����,一定要依照標(biāo)準(zhǔn)來(lái)選擇技術(shù)防護(hù)手段,同時(shí)實(shí)現(xiàn)技術(shù)手段的落地是關(guān)鍵����。而要實(shí)現(xiàn)技術(shù)手段的落地�,就要兼顧以下幾點(diǎn):選擇的技術(shù)產(chǎn)品要滿(mǎn)足政府或企業(yè)實(shí)際環(huán)境、IT應(yīng)用和管理流程制度等客觀(guān)條件�;選擇的技術(shù)產(chǎn)品要具有易維護(hù)、管理簡(jiǎn)便的特點(diǎn)����,并要能夠保持先進(jìn)性;選擇的技術(shù)產(chǎn)品要能夠滿(mǎn)足應(yīng)用變化的需要��,并適應(yīng)技術(shù)的不斷發(fā)展�。即保障可用性、適用性和持續(xù)性。
安全意識(shí)是必須
在很多政府部門(mén)和企業(yè)中普遍存在這樣一個(gè)問(wèn)題���,仿佛信息安全只是IT部門(mén)的事情���,其他業(yè)務(wù)部門(mén)大多采取了“事不關(guān)己,高高掛起”的態(tài)度�����,這勢(shì)必會(huì)造成安全天天喊�,但是總沒(méi)有明顯效果的局面。
可以說(shuō)��,建設(shè)信息安全保障體系是企業(yè)內(nèi)的一次“安全革命”���,通過(guò)培訓(xùn)��,不僅僅要讓每個(gè)人都提高對(duì)安全事件處理的管理水平和技術(shù)水平���,更重要的是讓每個(gè)人都擁有“信息安全人人有責(zé)”的意識(shí)。
同時(shí)��,這場(chǎng)“安全革命”給企業(yè)帶來(lái)了新的知識(shí)和管理模式��,企業(yè)必須通過(guò)培訓(xùn)將整個(gè)信息安全保障體系的相關(guān)知識(shí)轉(zhuǎn)移到每位員工身上,讓他們對(duì)整個(gè)體系逐步達(dá)到從接受到適應(yīng)�,再到最終掌握。只有這樣才能讓整個(gè)信息安全保障體系真正應(yīng)用起來(lái)���,并真正起到效果�����。
運(yùn)維平臺(tái)是手段
第6篇
【 關(guān)鍵詞 】 信息安全���;信息安全保障體系;國(guó)家大劇院
Exploration of Information Security Framework for National Center for the Performing Arts
Liu Zhen-yu
(National Center for the Performing Arts BeiJing 100031)
【 Abstract 】 The status of information security of National Center for the Performing Arts is explored. After that��, information security problems and risks that National Center for the Performing Arts faced with are analysed. The information security framework which includes technique��, management and operating is followed. The paper ends up with the elaboration of the effectiveness of the information security framework.
【 Keywords 】 information security�; information security framework�; national center for the performing arts
1 背景
隨著信息技術(shù)的飛速發(fā)展,人類(lèi)正以前所未有的速度進(jìn)入以網(wǎng)絡(luò)為主的信息時(shí)代����,網(wǎng)絡(luò)的快速發(fā)展不僅促進(jìn)了人們的通信和交流,同時(shí)也帶來(lái)了商業(yè)和經(jīng)濟(jì)模式的巨大變革�。
國(guó)家大劇院是國(guó)家新建的重要文化設(shè)施���,也是一處別具特色的景觀(guān)勝地。作為北京市國(guó)家級(jí)標(biāo)志性文化設(shè)施���,國(guó)家大劇院的建設(shè)與運(yùn)行體現(xiàn)了正在迅速崛起和復(fù)興的中國(guó)在精神文化領(lǐng)域的追求�����,因此�,依托信息化手段宣傳和服務(wù)于廣大文化藝術(shù)愛(ài)好者是國(guó)家大劇院電子商務(wù)網(wǎng)站建設(shè)的宗旨�,使之成為“國(guó)家表演藝術(shù)最高殿堂、藝術(shù)普及教育的引領(lǐng)者���、中外藝術(shù)交流最大平臺(tái)���、文化創(chuàng)意產(chǎn)業(yè)重要基地”。
國(guó)家大劇院網(wǎng)絡(luò)及信息系統(tǒng)從2007開(kāi)始逐步建設(shè)���,建設(shè)初期主要滿(mǎn)足國(guó)家大劇院演出宣傳���、文藝教育、演出票務(wù)��、公眾服務(wù)、內(nèi)部辦公和訪(fǎng)問(wèn)互聯(lián)網(wǎng)的需求�����,官方網(wǎng)站電子商務(wù)平臺(tái)承擔(dān)著對(duì)外宣傳及網(wǎng)上售票業(yè)務(wù)�����。隨著國(guó)家大劇院近幾年影響力和地位的不斷提升以及業(yè)務(wù)的發(fā)展壯大����,對(duì)信息化建設(shè)提出了更高要求,同時(shí)對(duì)信息安全的需求也越來(lái)越迫切�����,結(jié)合國(guó)家等級(jí)保護(hù)制度來(lái)進(jìn)行安全保障建設(shè)成為國(guó)家大劇院信息化建設(shè)的有益補(bǔ)充��。
2 現(xiàn)狀及問(wèn)題
目前國(guó)家大劇院局域網(wǎng)骨干帶寬為千兆�����,雙核心���。已部署的安全設(shè)施�,如在整個(gè)局域網(wǎng)的出口均部署了防火墻��,內(nèi)網(wǎng)服務(wù)器域邊界部署了防火墻�����;在門(mén)戶(hù)網(wǎng)站出口部署了流量控制和入侵防御設(shè)備����;內(nèi)部終端還廣泛部署了防病毒軟件,以防范計(jì)算機(jī)病毒在局域網(wǎng)內(nèi)傳播和破壞���。國(guó)家大劇院正在運(yùn)行的業(yè)務(wù)系統(tǒng)主要包括網(wǎng)站系統(tǒng)�、票務(wù)系統(tǒng)�����、藝術(shù)資料管理系統(tǒng)����、OA系統(tǒng)、財(cái)務(wù)系統(tǒng)及郵件系統(tǒng)等�����。
根據(jù)對(duì)國(guó)家大劇院信息化及信息安全現(xiàn)狀的分析,結(jié)合國(guó)內(nèi)外信息安全發(fā)展態(tài)勢(shì)����,發(fā)現(xiàn)國(guó)家大劇院面臨著一些信息安全問(wèn)題及風(fēng)險(xiǎn)。
假冒網(wǎng)站����、網(wǎng)站掛馬等安全風(fēng)險(xiǎn)。據(jù)權(quán)威統(tǒng)計(jì)��,2011年下半年���,檢測(cè)新增掛馬網(wǎng)站獨(dú)立網(wǎng)址246萬(wàn)�,平均每日100萬(wàn)人次訪(fǎng)問(wèn)此類(lèi)掛馬鏈接����,新增釣魚(yú)盜號(hào)欺詐類(lèi)網(wǎng)站獨(dú)立網(wǎng)址492萬(wàn),共攔截10億余次釣魚(yú)盜號(hào)欺詐類(lèi)網(wǎng)址�����,平均每日600萬(wàn)人次訪(fǎng)問(wèn)此類(lèi)欺詐類(lèi)鏈接�。假冒網(wǎng)站獨(dú)占鰲頭的是電商網(wǎng)購(gòu)類(lèi),而且仿冒范圍不斷擴(kuò)散����,通過(guò)國(guó)家大劇院運(yùn)維人員統(tǒng)計(jì)觀(guān)察,越來(lái)越多的黑客����、病毒、不法機(jī)構(gòu)和人員對(duì)國(guó)家大劇院電子商務(wù)網(wǎng)站系統(tǒng)的正常運(yùn)行產(chǎn)生威脅���,網(wǎng)站業(yè)務(wù)系統(tǒng)隨時(shí)都可能遭受惡意攻擊����。
系統(tǒng)入侵或網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)���。由于系統(tǒng)保護(hù)措施不到位�,可能導(dǎo)致國(guó)家大劇院票務(wù)等對(duì)外網(wǎng)站系統(tǒng)的域名劫持����、DDoS攻擊等安全風(fēng)險(xiǎn)。同時(shí)��,也可能由于軟件漏洞或者安全意識(shí)單薄等造成內(nèi)部郵件等信息泄露����。
非授權(quán)訪(fǎng)問(wèn)風(fēng)險(xiǎn)�����。由于國(guó)家大劇院內(nèi)部辦公等信息系統(tǒng)邊界缺乏訪(fǎng)問(wèn)控制設(shè)施���,并且在網(wǎng)絡(luò)可信接入、分辨非法訪(fǎng)問(wèn)���、辨別身份偽裝等方面存在著很大的缺陷�����,未授權(quán)者可通過(guò)網(wǎng)絡(luò)非法訪(fǎng)問(wèn)網(wǎng)站及系統(tǒng)服務(wù)器���,并進(jìn)行非法讀取、篡改和破壞數(shù)據(jù)等不良行為��,構(gòu)成對(duì)內(nèi)部數(shù)據(jù)及信息系統(tǒng)的重大隱患����。
數(shù)據(jù)安全風(fēng)險(xiǎn)。媒資庫(kù)建設(shè)完成后將承載大量的媒體資料���,這些有藝術(shù)價(jià)值的音像資料是國(guó)家大劇院的寶貴資產(chǎn)�����,一旦由于自然災(zāi)害�����、人員非法入侵����、內(nèi)部人員誤操作等造成數(shù)據(jù)丟失損壞���,將對(duì)國(guó)家大劇院造成重大損失����。
媒體資源庫(kù)音像資料版權(quán)風(fēng)險(xiǎn)�����。目前�,劇院已經(jīng)為視頻在線(xiàn)傳播及直播提供服務(wù)平臺(tái),然而提供的音視頻服務(wù)面臨版權(quán)盜用�、盜鏈和惡意下載等問(wèn)題��,容易對(duì)劇院和公眾利益帶來(lái)?yè)p害�����。
內(nèi)控管理風(fēng)險(xiǎn)��。據(jù)權(quán)威調(diào)查報(bào)告顯示����,內(nèi)部員工的粗心大意是企業(yè)信息安全的最大威脅�����,由此造成的安全事故高達(dá)78%�����。目前����,由于國(guó)家大劇院內(nèi)部員工的安全意識(shí)還相對(duì)淡薄,存在進(jìn)入業(yè)務(wù)系統(tǒng)的登錄口令設(shè)置過(guò)于簡(jiǎn)單�,私自訪(fǎng)問(wèn)不安全網(wǎng)站,私自接入不安全設(shè)備等問(wèn)題�,這些都給大劇院信息系統(tǒng)造成了極大的安全隱患和威脅��。
3 信息安全保障體系探索
3.1 總體目標(biāo)
通過(guò)對(duì)國(guó)家大劇院信息安全現(xiàn)狀��、問(wèn)題以及信息安全建設(shè)需求的分析��,可知國(guó)家大劇院信息安全保障體系建設(shè)的總體目標(biāo)是按照國(guó)家信息安全等級(jí)保護(hù)相關(guān)要求�����,從風(fēng)險(xiǎn)控制、技術(shù)設(shè)施���、管理體制及運(yùn)維服務(wù)等方面入手��,基于成熟的安全技術(shù)��,借鑒先進(jìn)可行的管理理念���,加強(qiáng)外御威脅防護(hù)、構(gòu)建內(nèi)控管理機(jī)制�、強(qiáng)化數(shù)據(jù)保護(hù)措施,建立和完善信息安全管理體制�����,加強(qiáng)安全服務(wù)保障,設(shè)計(jì)適合國(guó)家大劇院信息化發(fā)展的安全保障體系���,從而確保業(yè)務(wù)流程可控����、業(yè)務(wù)狀態(tài)可視����,保障業(yè)務(wù)整體安全。
3.2 設(shè)計(jì)思路
針對(duì)國(guó)家大劇院安全保障目標(biāo)����,在信息安全保障體系設(shè)計(jì)上基于幾種設(shè)計(jì)思路。
3.2.1構(gòu)建網(wǎng)站可信機(jī)制
通過(guò)第三方網(wǎng)站身份誠(chéng)信認(rèn)證來(lái)確保網(wǎng)站真實(shí)性����,可幫助網(wǎng)民判斷網(wǎng)站的真實(shí)性。同時(shí)����,基于可信證書(shū)類(lèi)產(chǎn)品,確保系統(tǒng)管理用戶(hù)身份的真實(shí)性����。其次�,借助社會(huì)力量來(lái)實(shí)現(xiàn)假冒網(wǎng)站的定位����、侵權(quán)取證等服務(wù),從而有效打擊防范欺詐類(lèi)網(wǎng)站并且協(xié)助維權(quán)���。
3.2.2建設(shè)安全可靠的辦公網(wǎng)絡(luò)平臺(tái)
積極推進(jìn)信息安全等級(jí)保護(hù)建設(shè)��,通過(guò)制定安全策略���、部署安全設(shè)備,完善安全保密管理制度�,加強(qiáng)安全運(yùn)維支撐建設(shè),從物理安全�����、網(wǎng)絡(luò)安全�����、主機(jī)安全�、應(yīng)用安全����、數(shù)據(jù)安全、流程安全�、人員安全等多方面保障系統(tǒng)的安全穩(wěn)定運(yùn)行。
3.2.3建立網(wǎng)絡(luò)信任服務(wù)
通過(guò)為網(wǎng)絡(luò)管理員�、網(wǎng)站維護(hù)人員頒發(fā)數(shù)字證書(shū),部署網(wǎng)絡(luò)可信接入及遠(yuǎn)程安全接入設(shè)施來(lái)構(gòu)建劇院內(nèi)部的網(wǎng)絡(luò)信任服務(wù)體系�����,保證信息系統(tǒng)及媒資庫(kù)資源的可靠訪(fǎng)問(wèn)��,確保我院信息資源安全。
3.3 體系框架
在國(guó)家大劇院信息系統(tǒng)安全保障體系設(shè)計(jì)以及實(shí)現(xiàn)中����,將在國(guó)家相關(guān)的安全政策、法規(guī)�、標(biāo)準(zhǔn)、要求的指導(dǎo)下��,制定可具體操作的安全策略����,構(gòu)建國(guó)家大劇院網(wǎng)站系統(tǒng)安全技術(shù)系統(tǒng)�、安全管理體系以及安全運(yùn)行體系�����,形成集防護(hù)�、檢測(cè)��、評(píng)估�、響應(yīng)�����、恢復(fù)于一體的整體安全保障體系�,從而實(shí)現(xiàn)物理安全、網(wǎng)絡(luò)安全�����、主機(jī)安全���、數(shù)據(jù)安全和應(yīng)用安全����,以滿(mǎn)足國(guó)家大劇院網(wǎng)站系統(tǒng)全方位的安全保護(hù)需求�。國(guó)家大劇院信息系統(tǒng)整體安全保障體系模型如圖1所示。
國(guó)家大劇院信息系統(tǒng)整體安全保障體系模型主要由三個(gè)方面組成����。
3.3.1安全技術(shù)體系
參考國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》按照威脅分析,將信息資產(chǎn)劃分為若干保護(hù)對(duì)象,并按照“一個(gè)中心”管理下的“三重保護(hù)”的設(shè)計(jì)框架����,構(gòu)建國(guó)家大劇院信息安全技術(shù)體系保障機(jī)制和策略,為國(guó)家大劇院信息系統(tǒng)的運(yùn)行提供安全保護(hù)環(huán)境���。該環(huán)境共包括四部分:安全計(jì)算環(huán)境��、安全區(qū)域邊界���、安全通信網(wǎng)絡(luò)和安全管理中心。
3.3.2安全管理體系
以國(guó)家大劇院現(xiàn)有業(yè)務(wù)系統(tǒng)所服務(wù)對(duì)象為基礎(chǔ)���,建立完善的安全管理體系�,建立信息安全管理機(jī)構(gòu)�����、制定信息安全管理制度�����、設(shè)置信息安全管理崗位���。
3.3.3安全運(yùn)維服務(wù)體系
針對(duì)業(yè)務(wù)安全運(yùn)行的需要���,以日常巡檢、咨詢(xún)�、評(píng)估等建立有效的運(yùn)維服務(wù)機(jī)制,加強(qiáng)對(duì)資產(chǎn)管理的分析���、隱患發(fā)現(xiàn)�、策略審核考評(píng)等�,不斷發(fā)現(xiàn)平臺(tái)在運(yùn)行中的安全隱患,降低系統(tǒng)脆弱性和面臨潛在的威脅帶來(lái)的影響及損失�����,以及時(shí)對(duì)安全策略實(shí)現(xiàn)完善和防護(hù)措施的改進(jìn)提升�。
3.4 信息安全體系建設(shè)實(shí)踐
國(guó)家大劇院信息安全保障工作經(jīng)過(guò)長(zhǎng)期的努力,已經(jīng)初見(jiàn)成效�。在安全體系的建設(shè)實(shí)踐中,總結(jié)出幾點(diǎn)實(shí)踐經(jīng)驗(yàn)�。
3.4.1制定標(biāo)準(zhǔn)規(guī)范,奠定保障基礎(chǔ)
信息安全保障建設(shè)的一項(xiàng)重要工作之一是參照國(guó)家等級(jí)保護(hù)的技術(shù)要求完成相應(yīng)的合規(guī)性檢查���。因此�,國(guó)家大劇院應(yīng)據(jù)此建立適合國(guó)家大劇院的信息安全管理基線(xiàn),堅(jiān)持常態(tài)化管理和動(dòng)態(tài)控制�,達(dá)到并保持國(guó)家相關(guān)安全主管部門(mén)的安全審計(jì)要求。
3.4.2重視管理��,制度先行
信息安全是一個(gè)動(dòng)態(tài)發(fā)展的過(guò)程���,每年隨著業(yè)務(wù)發(fā)展變化而變化����,同時(shí)隨著信息安全技術(shù)的不斷演變�����,都會(huì)出現(xiàn)新的安全防護(hù)技術(shù)的使用�����。經(jīng)過(guò)多年實(shí)踐證明�,每個(gè)系統(tǒng)或者防護(hù)設(shè)備上線(xiàn)前,都必須在遵守總體防護(hù)規(guī)范的前提下�,編制好具有針對(duì)性的管理要求,才有有效降低安全風(fēng)險(xiǎn)引入的可能�����。
3.4.3定期組織代碼審計(jì)和滲透測(cè)試等系統(tǒng)檢測(cè)
代碼安全審計(jì)是通過(guò)人工分析和工具掃描的方式檢驗(yàn)應(yīng)用程序的源代碼,利用大量的代碼安全規(guī)則�����,來(lái)分析源代碼中的違反規(guī)則部分���,進(jìn)而確定可能存在的安全漏洞和隱患。應(yīng)用系統(tǒng)生命周期安全的從SDL實(shí)踐上看�,安全做的越早效果越好(但開(kāi)發(fā)模式改動(dòng)的成本也相對(duì)比較大),代碼審計(jì)作為保證代碼安全的最低低線(xiàn)����,其作用是不可取代的��。
另外,除了從代碼開(kāi)發(fā)過(guò)程中保證開(kāi)發(fā)出安全的應(yīng)用系統(tǒng)以外��,針對(duì)已開(kāi)發(fā)的系統(tǒng),國(guó)家大劇院還組織第三方測(cè)試機(jī)構(gòu)�����,從攻擊者視角檢測(cè)信息系統(tǒng)安全防護(hù)能力是否達(dá)到�,是否存在成功攻入系統(tǒng)的途徑。
4 信息安全建設(shè)意義
通過(guò)構(gòu)建信息安全保障平臺(tái)����,保障我劇院信息系統(tǒng)可安全合規(guī)運(yùn)行?;趪?guó)家信息安全等級(jí)保護(hù)制度要求���,建設(shè)國(guó)家大劇院信息系統(tǒng)整體安全保障體系模型信息安全保障基礎(chǔ)設(shè)施��,制定安全策略��,為國(guó)家大劇院系統(tǒng)提供安全可靠的運(yùn)行環(huán)境���。
提高國(guó)家大劇院電子票務(wù)等信息系統(tǒng)的安全運(yùn)行平穩(wěn)度。通過(guò)在信息安全技術(shù)�、信息安全保密管理等多維度的體系保障建設(shè),保障網(wǎng)站真實(shí)性���、打擊假冒網(wǎng)站��,大大提高國(guó)家大劇院信息系統(tǒng)安全穩(wěn)定運(yùn)行的平穩(wěn)度����。
提高用戶(hù)的安全便捷以及系統(tǒng)安全管理能力���。通過(guò)構(gòu)建可信的電子票務(wù)運(yùn)營(yíng)環(huán)境�,為用戶(hù)提供身份認(rèn)證及網(wǎng)絡(luò)信任機(jī)制�����,加強(qiáng)用戶(hù)的身份�、資金安全保障����,并且提高系統(tǒng)安全管理能力��。
提升安全隱患發(fā)現(xiàn)能力�。安全隱患的發(fā)現(xiàn)能力是信息安全管理中的關(guān)鍵能力,關(guān)系到能否將風(fēng)險(xiǎn)消除在事件發(fā)生之前��。通過(guò)建立入侵監(jiān)測(cè)系統(tǒng)����、防病毒系統(tǒng)以及定期的安全脆弱性檢測(cè)等,大大提升我劇院信息系統(tǒng)的安全隱患發(fā)現(xiàn)能力���。
5 結(jié)束語(yǔ)
建設(shè)和完善信息安全保障體系是為了保證國(guó)家大劇院的業(yè)務(wù)在今后發(fā)展過(guò)程中對(duì)信息安全建設(shè)的要求����。
信息安全保障體系建設(shè)涵蓋安全管理體系�、安全技術(shù)體系、安全運(yùn)維體系的復(fù)雜系統(tǒng)工程�����,是一項(xiàng)長(zhǎng)期性的專(zhuān)業(yè)的細(xì)致的認(rèn)為,需要以信息安全技術(shù)為基礎(chǔ)��,持續(xù)投入大量的人力和物力�。為使國(guó)家大劇院建設(shè)成為國(guó)際化、現(xiàn)代化的大劇院提供有力的信息安全保障��。
參考文獻(xiàn)
[1] 關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)(國(guó)發(fā)[2012]23號(hào)).
[2] 信息安全管理實(shí)用規(guī)則(GB/T 22081-2008).
[3] 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求(GBT25070-2010).
[4] 信息系統(tǒng)安全等級(jí)保護(hù)體系框架(GA/T 708-2007).
[5] 國(guó)家大劇院電子商務(wù)網(wǎng)站系統(tǒng)安全保障方案.內(nèi)部資料�,2010.
[6] 國(guó)家大劇院安全服務(wù)保障方案.內(nèi)部資料,2011.
第7篇
1 綜合治理信息安全的戰(zhàn)略背景
IT管理技術(shù)發(fā)展歷程���,從被動(dòng)管理轉(zhuǎn)向主動(dòng)管理,從服務(wù)導(dǎo)向轉(zhuǎn)向業(yè)務(wù)價(jià)值���。在科學(xué)的IT管理方法論方面形成了一系列標(biāo)準(zhǔn):諸如ITIL/ITSM以流程為中心的IT管理行業(yè)標(biāo)準(zhǔn);ISO20000ITIL 的國(guó)際標(biāo)準(zhǔn); COBIT面向IT審計(jì)的IT管理標(biāo)準(zhǔn);COSO企業(yè)內(nèi)部控制框架���,面向內(nèi)部控制;ISO17799:信息安全管理國(guó)際標(biāo)準(zhǔn)。當(dāng)前有很多非常好的綜合性標(biāo)準(zhǔn)與規(guī)范可以參考�,其中非常有名的就是ISO/IEC27000系列標(biāo)準(zhǔn)。ISO/IEC 27001通過(guò)PDCA過(guò)程��,指導(dǎo)企業(yè)如何建立可持續(xù)改進(jìn)的體系�����。
目前企業(yè)IT運(yùn)維管理現(xiàn)狀。需求變化:IT本身快速變更;管理目標(biāo)多角度變換并存���。資源不足:IT 復(fù)雜性成長(zhǎng)快于人員成長(zhǎng);IT 人員持續(xù)流動(dòng)�。業(yè)務(wù)影響:難以判斷事件對(duì)業(yè)務(wù)的影響和處理事件的優(yōu)先級(jí)��。信息孤島:IT 資源多樣性的���,不能進(jìn)行事件的關(guān)聯(lián)分析�����,缺少統(tǒng)一的健康視圖���。IT網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)維存在監(jiān)測(cè)盲點(diǎn),缺少主動(dòng)預(yù)警和事件分析機(jī)制�����。
如何把此項(xiàng)復(fù)雜的工程進(jìn)行細(xì)化與落地���,建立信息安全保障框架?在企業(yè)有限的IT資源(包括人員�����、系統(tǒng)等)等的前提下���,IT運(yùn)營(yíng)面臨嚴(yán)峻的挑戰(zhàn)�����,企業(yè)多半缺乏信息系統(tǒng)應(yīng)用開(kāi)發(fā)能力�����,在很大程度上依賴(lài)于產(chǎn)品開(kāi)發(fā)商的支持�����,為此,要想實(shí)現(xiàn)從混亂到清晰�����、從被動(dòng)到主動(dòng)�、從應(yīng)付到實(shí)現(xiàn)價(jià)值取向的服務(wù)思想,自主加外包的混合運(yùn)維方式無(wú)疑是一種好的服務(wù)方式��。
2 建立和實(shí)施信息安全保障體系思路和方法
針對(duì)IT管理問(wèn)題和價(jià)值取向的服務(wù)方式�����,借鑒PDCA工作循環(huán)原理和標(biāo)準(zhǔn)化體系建設(shè)方法,從建立安全目標(biāo)和組織體系��、制度體系和技術(shù)體系等三個(gè)主要層面構(gòu)建實(shí)施信息安全保障體系�,以規(guī)范引導(dǎo)人、以標(biāo)準(zhǔn)流程引導(dǎo)人���,以業(yè)績(jī)激勵(lì)人����,從而促被動(dòng)變主動(dòng)�����,堅(jiān)持持續(xù)改善�����,促進(jìn)工作效率�����,促進(jìn)安全保障��。
2.1 建立和推行目標(biāo)管理
體系建設(shè)應(yīng)以目標(biāo)管理為先導(dǎo)、循序漸進(jìn)���,按頂層布局�、中層發(fā)力��、底層推動(dòng)內(nèi)容設(shè)計(jì)與構(gòu)建��,為此�,借鑒當(dāng)前IT運(yùn)維管理目標(biāo)演進(jìn)方式,確立各階段建設(shè)目標(biāo)�����。
基礎(chǔ)架構(gòu)建設(shè)階段(SMB)���,手工維護(hù)階段����。主要實(shí)現(xiàn)IT基礎(chǔ)架構(gòu)建設(shè)����。
網(wǎng)絡(luò)和系統(tǒng)監(jiān)控(NSM)階段��,重視自動(dòng)化監(jiān)控階段。主要實(shí)現(xiàn)IT設(shè)備維護(hù)和管理��。
IT服務(wù)管理(ITSM)階段��,重視流程管理階段�。主要實(shí)現(xiàn)IT服務(wù)流程管理。
業(yè)務(wù)服務(wù)管理(BSM)階段���,重視用戶(hù)服務(wù)質(zhì)量與滿(mǎn)意度�。主要實(shí)現(xiàn)IT與業(yè)務(wù)融合管理���。
從IT投入和業(yè)務(wù)價(jià)值來(lái)看����,前三個(gè)階段是間接業(yè)務(wù)價(jià)值�����,第四階段才是直接業(yè)務(wù)價(jià)值����。
根據(jù)ITIL這個(gè)IT服務(wù)管理的方法論,先是搭建一個(gè)框架��,借用工具的配合促進(jìn)落地。如圖1��、IT運(yùn)維管理系統(tǒng)參考模型���。
從安全目標(biāo)出發(fā)�����,結(jié)合IT運(yùn)維管理系統(tǒng)參考模型�����,每個(gè)階段的工作向著實(shí)現(xiàn)直接業(yè)務(wù)價(jià)值�,不斷消除或減輕對(duì)性能的約束���,促進(jìn)IT產(chǎn)品或服務(wù)滿(mǎn)足確定的規(guī)范���,實(shí)現(xiàn)企業(yè)效益最大化。服務(wù)好用屬性通過(guò)最終的績(jī)效和檢驗(yàn)結(jié)果監(jiān)視測(cè)量?jī)r(jià)值成分�����。如圖2��。
2.2 規(guī)劃融合信息安全保障體系
通過(guò)從組織體系����、制度體系、技術(shù)體系層面建立和實(shí)施縱深防御體系���,實(shí)現(xiàn)穩(wěn)健的信息安全保障狀態(tài)��。
①組織體系:通過(guò)企業(yè)中高層的支持實(shí)現(xiàn)業(yè)務(wù)驅(qū)動(dòng)和共同推動(dòng)信息安全體系建設(shè)���。當(dāng)然,需要提出的問(wèn)題��,組織有可能要依賴(lài)長(zhǎng)期可靠的合作伙伴:通過(guò)長(zhǎng)期可靠的合作關(guān)系����,快速引進(jìn)外部專(zhuān)業(yè)資源和先進(jìn)技術(shù),可以幫助企業(yè)推動(dòng)信息安全建設(shè)工作�����。為了幫助組織內(nèi)外信息系統(tǒng)人員更好地遵守行業(yè)規(guī)范及法律要求�����,企業(yè)實(shí)施IT網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)維體系標(biāo)準(zhǔn),組織應(yīng)做到定期對(duì)全體員工進(jìn)行信息安全相關(guān)教育����,包括:技能、職責(zé)和意識(shí)���,通過(guò)相關(guān)審核�,證明組織具備實(shí)施體系的意識(shí)和能力��。
②制度體系:企業(yè)IT網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)維系統(tǒng)建設(shè)的范圍包括機(jī)房安全���、數(shù)據(jù)安全�、網(wǎng)絡(luò)安全�、服務(wù)器安全、業(yè)務(wù)應(yīng)用安全�、終端安全等。為此����,企業(yè)應(yīng)明確內(nèi)部運(yùn)維和外部協(xié)同的內(nèi)容及其標(biāo)準(zhǔn)規(guī)范,包括績(jī)效標(biāo)準(zhǔn)�����。建立實(shí)施IT網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)維體系標(biāo)準(zhǔn),首先把高效的信息安全做法固化下來(lái)形成規(guī)則制度或標(biāo)準(zhǔn)��,成為組織中信息安全行為準(zhǔn)則���。保證事前預(yù)防、事中監(jiān)控和事后審計(jì)等安全措施的得到有效執(zhí)行與落實(shí)����。
③技術(shù)體系:一般來(lái)說(shuō),網(wǎng)絡(luò)設(shè)備技術(shù)體系可以按照從上到下信息所流經(jīng)的設(shè)備來(lái)部署工具�����。即從數(shù)據(jù)安全����、終端安全、應(yīng)用安全�、操作系統(tǒng)與數(shù)據(jù)庫(kù)安全、網(wǎng)絡(luò)安全�、物理安全六個(gè)方面來(lái)選擇不同的安全工具。按照“適度防御”原則���,綜合采用各種安全工具進(jìn)行組合���,形成企業(yè)“適用的”安全技術(shù)防線(xiàn)���。適時(shí)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,采取相應(yīng)措施���,降低風(fēng)險(xiǎn)��。
其中��,需要采用1~2種綜合管理的工具來(lái)幫助把所有的安全監(jiān)控工具進(jìn)行統(tǒng)一管控��。例如SOC是給企業(yè)日常維護(hù)管理者使用�����,ITRM作為綜合風(fēng)險(xiǎn)呈現(xiàn)��,是給企業(yè)風(fēng)險(xiǎn)或安全管理層使用����。
④體系運(yùn)行和監(jiān)控:體系的日常運(yùn)行和監(jiān)控就是從信息的生命周期進(jìn)行流程控制����,即在信息的創(chuàng)建�、使用����、存儲(chǔ)、傳遞�、更改��、銷(xiāo)毀等各個(gè)階段進(jìn)行安全控制�。之前不能忽視在信息創(chuàng)建開(kāi)發(fā)安全階段的一個(gè)細(xì)化控制手段。在運(yùn)行體系建設(shè)中��,往往需要結(jié)合流程分析來(lái)關(guān)注信息的生命周期安全�。運(yùn)行過(guò)程中還有一個(gè)應(yīng)急管理,包括災(zāi)備中心建設(shè)���、業(yè)務(wù)連續(xù)性計(jì)劃�、應(yīng)急響應(yīng)等等都有相應(yīng)的標(biāo)準(zhǔn)與理論支持���。特別是BS25999標(biāo)準(zhǔn)的頒布�����,給如何建立一套完善的應(yīng)急體系提供了參考�。
3 企業(yè)建立和實(shí)施信息安全保障體系實(shí)踐
面對(duì)網(wǎng)絡(luò)系統(tǒng)互連,網(wǎng)絡(luò)技術(shù)與設(shè)備的安全管理規(guī)范的完善這個(gè)復(fù)雜而且浩大的工程��,井岡山卷煙廠(chǎng)不僅依靠個(gè)體分散的技術(shù)措施或者管理防護(hù)�����,而且結(jié)合國(guó)家�����、社會(huì)和個(gè)人的力量構(gòu)建綜合保障體系���。
①依據(jù)ISO9000�����、ISO14000和OHSAS18000標(biāo)準(zhǔn)�����,國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)和信息安全相關(guān)法律法規(guī)�,參考當(dāng)前科學(xué)的IT管理方法論方面形成了一系列標(biāo)準(zhǔn)��,結(jié)合YC/T384煙草企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)等,識(shí)別這些與信息安全相關(guān)的法律法規(guī)及其它要求�,將信息安全保障體系(框架)融合到企業(yè)質(zhì)量、環(huán)境和職業(yè)健康安全(以下簡(jiǎn)稱(chēng)為三標(biāo))綜合管理體系�。
②確定信息安全管理目標(biāo)并分步實(shí)施企業(yè)三年信息化發(fā)展規(guī)劃。自2012年開(kāi)始�����,企業(yè)對(duì)照YC/T384煙草企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)要求�,在梳理和評(píng)價(jià)2000年以來(lái)企業(yè)多個(gè)企業(yè)信息化三年實(shí)施規(guī)劃實(shí)踐環(huán)境以后,制訂了新的三年信息安全管理目標(biāo)和建設(shè)規(guī)劃�,將目標(biāo)和規(guī)劃分解到各年度實(shí)施�,并納入到企業(yè)年度三標(biāo)綜合管理體系建設(shè)目標(biāo)和管理績(jī)效考核。
③建立信息安全管理組織和工作標(biāo)準(zhǔn)�����,同時(shí)納入三標(biāo)綜合管理體系管理考核��。從體系結(jié)構(gòu)上促成企業(yè)作業(yè)層�����、管理層(中間層)和決策層的信息化�����,實(shí)現(xiàn)企業(yè)的物資(服務(wù))流、資金流和信息流的一體化����,及時(shí)、準(zhǔn)確和完整地傳遞企業(yè)的經(jīng)營(yíng)數(shù)據(jù)���,保證企業(yè)的經(jīng)營(yíng)管理���。利用信息化改進(jìn)管理,形成企業(yè)信息安全文化�,促進(jìn)員工接受、理解和主動(dòng)配合���,不斷提升全員的信息安全意識(shí)和技能�����,從而使信息安全管理真正落到實(shí)處�。
④建立和實(shí)施信息安全保障體系文件標(biāo)準(zhǔn)��。根據(jù)國(guó)家信息安全相關(guān)的法律法規(guī)及其它要求�����,結(jié)合行業(yè)和企業(yè)的特點(diǎn)和發(fā)展趨勢(shì),規(guī)范管理流程和模式���。網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)“立足長(zhǎng)遠(yuǎn)�、分步實(shí)施����、突出重點(diǎn)”,做到“統(tǒng)一規(guī)劃�、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一平臺(tái)�、統(tǒng)一編碼”,同步實(shí)施信息系統(tǒng)等級(jí)保護(hù)制度�,促進(jìn)企業(yè)與信息系統(tǒng)項(xiàng)目合作單位��、地方通訊和公安等部門(mén)的社會(huì)化合作主要方式�。企業(yè)內(nèi)部各項(xiàng)工作實(shí)現(xiàn)規(guī)范化、信息化��,做到一切工作都按照程序辦�,同時(shí),事事處于相互制衡的環(huán)境之下�、人人處于監(jiān)督管理之中��,從而形成職責(zé)明確����、運(yùn)轉(zhuǎn)協(xié)調(diào)�����、相互制衡的工作機(jī)制�,為企業(yè)內(nèi)部信息安全監(jiān)管提供強(qiáng)有力的保障。
幾年來(lái)�����,企業(yè)堅(jiān)持企業(yè)信息安全方針目標(biāo)���,以迅速響應(yīng)服務(wù)為宗旨�����。企業(yè)信息安全保障體系建設(shè)緊緊圍繞建立科學(xué)��、規(guī)范�、和諧����、統(tǒng)一����、開(kāi)放的管理體系�,全面融入了質(zhì)量、安全和環(huán)境管理體系一體化建設(shè)和實(shí)踐���,截止到2015年底�,企業(yè)共梳理建立或整合并實(shí)施安全保障類(lèi)文件包括企業(yè)管理標(biāo)準(zhǔn)��、技術(shù)標(biāo)準(zhǔn)和工作標(biāo)準(zhǔn)共計(jì)31個(gè)標(biāo)準(zhǔn)文件�����。通過(guò)創(chuàng)新與改善和體系審核����、管理評(píng)審和提高文件執(zhí)行率及持續(xù)改進(jìn)方式保持了信息安全保障管理體系的持續(xù)改進(jìn)和有效運(yùn)行。
