時間:2023-05-31 08:55:16
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇運維安全,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】堡壘機技術 運維模式 堡壘機技術
在當前的計算機運維安全管理中,堡壘機技術的應用很好的提高了系統的安全性。因此技術人員根據傳統運維中存在的安全管控問題,利用堡壘機安全性能特點,結合運維安全管控實踐方法開展了堡壘機技術支持下的安全管控系統設計與應用研究。這一研究的開展,對于運維系統安全可靠性提供了
1 傳統運維模式風險分析
傳統運維模式下,大量的運維人員通過KVM或直連信息設備開展變更、配置、備份與維護等操作,面臨的風險主要有以下幾個方面。
(1)賬號及授權管理不清晰;
(2)缺乏身份認證;
(3)運維操作無全過程審計。
2 運維安全管控系統架構設計與應用
2.1 堡凈技術的介紹
堡壘機,即在一個特定的網絡環境下,為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞,通過訪問控制、賬號管理、身份認證、行為審計、單點登錄與協議等多種信息安全技術,實現運維人員對信息系統的安全訪問,同時對運維人員的操作過程形成完整的審計記錄。
2.2 設計依據
國家公安部《信息安全等級保護基本要求》中對二級(含)以上的信息系統提出明確的安全審計要求:“審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶;審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用、賬號的分配、創建與變更、審計策略的調整及審計系統功能的關閉與啟動等系統內重要的安全相關事件等”。本次運維安全管控系統設計嚴格按照等級保護要求,范圍覆蓋DMZ區、等級保護二級及以上信息系統。
2.3 系統架構設計
2.3.1 風險控制流程
為確保運維安全管控系統滿足電力企業運維實際需求,要制定完善的風險控制流程,實現事前實行統一的賬號管理、權限訪問策略、審計策略,事中身份認證、授權及監控,事后統一綜合審計的風險控制流程,如圖1所示。
2.3.2 架構設計
運維安全管控系統架構設計由展示層、功能層、存儲層與資源層4層組成。
展示層面向用戶,采用靜態口令、動態口令、數字證書等多種身份認證方式,具備密碼強度、密碼有效期、口令嘗試死鎖、用戶激活等安全管理功能,實現用戶分組管理,分別對系統管理員、審計員、運維人員提供不同的訪問頁面。
功能層實現賬號管理、認證管理、授權管理、綜合審計與系統管理等功能,采用協議分析、基于數據包還原技術,實現操作界面模擬,將所有的操作轉換為圖形化界面,實現審計信息不丟失。除了實現運維操作圖形化審計功能的展現外,還能對字符進行分析,包括命令行操作的命令及回顯信息和非字符型操作時鍵盤、鼠標的敲擊信息。
存儲層實現對運維安全管控系統賬號及各信息系統賬號的存儲及審計信息的存儲,實現賬號及審計信息的靈活調用。
資源層面向各信息系統,用于實現賬號同步、認證結合、審計結合等方面的數據接口工作,支持字符串操作SSH/Telnet、圖形操作RDP/VNC/X11/pcAnywhere/DameWare等。
2.4 系統部署與應用
在等級保護二級區域和DMZ區域各部署兩臺堡壘機,堡壘機做雙機主備,實現對等保二級區域和DMZ區域的網絡設備及服務器的運維審計,由于堡壘機采用旁路部署,實施過程中對現有網絡業務不會造成任何影響。雙機熱備與主備之間通過業務管理端口線進行主備狀態監測和配置同步,主機節點一旦斷開,備機節點會立刻啟動,無需人工干預,從而實現運維安全管控業務的不間斷運行。系統部署后實現了以下應用。
2.4.1 通過集中化管理,實現單點登錄
通過系統的部署,對資源賬號的統一管理,把復雜問題簡單化。
2.4.2 通過賬號管理,實現用戶實名制及統一身份認證
為每個用戶分配了獨一無二的用戶賬號,設備上的系統賬號不變,通過把多個用戶賬號和單個系統賬號做關聯,讓用戶的身份和具體的操作一一對應起來,從而實現用戶實名制管理。
2.4.3 有效地執行訪問控制,防止非授權訪問
通過系統設置詳細的訪問控制規則,用戶只能按照規則設置來訪問相應資源,徹底杜絕了非授權訪問所帶來的問題。
2.4.4 精準溯源操作審計
基于安全運維審計系統的實時監控及字符會話審計技術,完整地記錄用戶的所有操作行為,使運維操作透明化。
2.4.5 實現獨立審計與三權分立,完善IT內控機制
通過應用實現獨立的審計與三權分立,在三權分立的基礎上實施內控與審計,有效地控制操作風險,完善IT內控機制。
3 結語
在電力企業信息化水平快速發展的今天,技術發展與管理模式相輔相成,信息安全不僅需要先進的技術,更需要完善的制度和審計手段。通過運維安全運維管控系統的建設,進一步完善了電力企業在信息運維過程中的身份認證、訪問控制、權限控制、操作監控和審計等措施。實現了全面監控和審計運維人員對DMZ區域和IDC區域內的信息系統和業務數據的操作,使筆者所在單位的信息安全防護體系有效的落地,進一步提高電力企業信息安全防護水平。
參考文獻
[1]袁慧萍,董貞良.銀行數據中心運維安全審計實踐探析[J].信息安全與通信保密,2015(04).
【關鍵詞】:變電運維;安全隱患;解決方案
引言
盡管電力企業在不斷的改善變電站的運行效率,并加強對工作人員的監管,但是由于缺乏科學合理的監管方案,導致變電運維人員缺乏良好的工作意識,尤其是工作人員無法意識到自身工作的重要性,在工作過程中疏忽職守。現縣級供電企業變電站大多數是35kV的,變電站都實行了無人值守,以下則是對35kV無人值守變電站變電運維安全進行研究。
1、關于35kV無人值守變電站變電運維安全隱患的分析
通過對35kV電壓等級分析,從中可知,35kV無人值守變電站變電運維主要存在的安全隱患有以下幾個方面:
1.1變電運維工作缺乏安全管理
當前,據調查結果顯示,部分電力企業在展開變電運維工作的過程中,都沒有結合實際的工作情況,制定一套完整的安全管理方案,從而導致變電站缺乏科學的管理。正是因為缺乏安全管理方案,使得電力企業很難有效的管理員工,進而形成工作人員能力不足,安全意識較輕的局面,這樣變電站就產生大量的安全隱患。
1.2工作人員缺失正確的操作觀念
由于變電運維作業的操作量較多,而且操作時間較長,從而導致工作人員缺失正確的操作觀念,在操作的過程中,時常出現操作不規范的現象,并且因為判斷失誤,而導致安全隱患的產生,這就嚴重影響變電站的運行。
1.3儀器設備老化
變電儀器設備時變電站中重要的組成部分,一旦儀器設備出現問題,整個電力企業的工作人員都會受到影響。根據研究發現,部分變電站的員工由于工作意識薄弱,沒有良好的責任感,進而在檢查儀器設備時,沒有發現儀器中存在的問題,隨著時間的推移,儀器設備老化,安全問題也不斷的產生。
2、針對35kV無人值守變電站變電運維的安全隱患提出的解決方案
2.1確定運維操作存在的危險點
操控變壓器作為變電運維中重要流程,其主要功能為正反充電、切合空載運行等,因此,在控制安全隱患的過程中,電力企業需要確定運維操作系統中存在的危險點。在操控變壓器時,要能確定分合電出現高低的差,檢測變壓器的承受能力和存在的危險點。當明確危險點時,要及時讓員工了解,保障其在操作時能加強防范。
2.2遵守操作流程和相關的規章制度
在解決35kV無人值守變電站變電運維存在的安全隱患時,電力企業要定期對工作人員進行培訓和指導,在培訓的過程中,電力企業需要將先進的科學技術融入到培訓方案中,進而在培訓員工時,提升員工操作技能。此外,電力企業需要加強監督和管理,確保員工在操作的過程中能遵守操作流程和相關的規章制度。只有這樣,工作人員才能保質保量的完成自身的工作任務。另一方面,電力企業需要對員工明確變電運維存在的危險點,如:直流回路操作存在的安全問題、并解列操作時產生安全隱患、母線操作時出現的問題等,并將相關的解決措施灌輸于員工的思想中。
2.3對工作人員進行安全教育
對于電力企業的員工而言,其自身的工作性質影響著自身的人身安全。因此,電力企業在培訓的過程中不僅要將先進的操作理念灌輸于員工的思想中,并且也要對其進行合理的安全教育,使其意識到自身的工作的重要性,要能保障工作人員在操作時能具備安全第一的操作理念。另外,電力應制定合理的規章制度,對于違規操作的員工及時進行教育和懲罰,以避免其工作態度影響其他員工。
2.4做好儀器設備的管理
變電運維工作人員在操作的過程中,要能做到定期檢測儀器設備,對于出現質量問題的設備要快速的進行檢修,而對于無法正常使用的儀器設備,要將其處理掉,以預防因為儀器設備質量的問題,產生安全事故。因此,相關的管理人員必須形成正確的監管意識,加強對儀器設備的檢測,從而確保變電運維時能維護工作人員的人身安全,這也能為電力企業帶來更好的經濟效益。
2.5將新技術、新科技融入變電運維
目前變電運維采取的航拍技術、紅外熱像儀技術、動態采樣分析技術、遠程監控技術等,已經大大縮短了變電運維的電氣設備與人的距離,并安全可靠的有效進行非接觸式的探尋和診斷工作。這其中從發現隱患、到分析隱患、到確定隱患和缺陷的種種步驟已經趨于規模,如何成熟合理的應用還是目前和將來需要細致分析的課題。
2.6加強培訓,提高調度運行人員的業務技能
電網要想安全運行必須有業務素質過硬的技術人員做保證,電力運維人員業務素質的提高可以通過技術培訓來實現,具體可以采用外送培訓與內部培訓相結合的方式以及請專家現場指導、進行一些必要的反事故演習等方式開展。與此同時還應重視運維人員的現場培訓的開展,通過實施現場培訓運維人員對設備的運行情況能有一個更深入的了解。此外,為了有效防治變電運維各類安全事故的發生,還應重視在變電運維中積極引入一些新技術、新設備,積極探索一些非接觸式探尋與診斷技術,以提高運維工作的安全性。
結束語
總而言之,電力企業需要結合35kV無人值守變電站的特性和實際的變電運維工作情況,制定一套合理的安全管理方案,并大力實施在變電運維工作中。其次,電力企業需要對運維工作人員加強培訓和指導,運用合理的方法,提升工作人員的技能,對其進行安全教育,使其形成良好的綜合素質,并將相應的責任落實到每一位工作人員身上,只有增加其安全意識和責任感,才能確保工作人員能夠堅守崗位,做好自身的工作,進而減少變電運維工作的安全隱患。
新時期,伴隨醫院數字化病案信息的快速增長,病案信息安全的重要性不斷凸顯。要確保病案信息安全,必須保證信息的安全和信息系統的安全。信息安全體現在信息的保密性、完整性、真實性、未授權拷貝等方面;信息系統安全指數據、硬件、軟件、人、物理環境及其基礎設施等都受到保護,不因偶然或者惡意的原因而遭到更改、泄露、破壞,系統可以連續可靠地正常運行,并能夠連續提供業務信息服務。構建數字化病案信息安全保障體系是一項系統而復雜的工程,需要加強基礎設施安全體系、應用安全體系和運維安全體系這三大體系建設。
1夯實基礎設施安全體系建設
基礎設施安全體系建設,即病案信息化系統環境建設,包括開發并完善用于病案信息建立、存儲、傳遞、利用的軟硬件設備和網絡交換設備。基礎設施安全體系構建是信息安全保障體系的重中之重,是安全保障體系的核心。建立基礎設施安全體系時,要做好網絡邊界防護、系統主機防護、入侵檢測與審計工作,并建立完整的防病毒體系,輔之以遠程訪問接入及終端準入控制,構造出切合實際、行之有效、相對先進、穩定可靠的網絡安全系統平臺;要保護計算機網絡設備、設施免遭水災、火災、地震等事故破壞以及人為操作失誤和各種計算機犯罪行為導致的破壞,并定期對存放設備的場地進行安全檢查;在共享醫療檔案信息時,要建立醫療檔案信息共享監控平臺,確保數字病案圖像采用加密格式存儲,在第三方合法公司的軟件中使用,以防非法盜用;病案數字化制作與應用所使用的服務器管理必須置于整個醫院系統的安全審計工作范圍中,還要為服務器、各工作站安裝防病毒軟件。為便于回溯追蹤,系統必須把用戶在系統內操作形成的所有日志自動記錄下來;要重視移動存儲中數據交換和共享的安全問題,對接入終端的移動存儲設備進行認證、數據加密和共享受控管理,確保只有通過認證的移動存儲設備才能夠被授權的用戶使用,還要對移動存儲設備接入進行審計并記錄,一旦發現有非法使用的情況要第一時間處理,以避免數據泄漏;病案服務器數據庫參數注冊表、人員登錄信息數據庫、病案主信息數據庫都需加密存儲,并實行內外網物理隔離措施。
2重視應用安全體系建設
應用安全體系以密碼服務為核心、身份認證為基礎。醫務人員訪問病案時,可以按規定權限使用數字化病案,對無權訪問的病案需提交電子申請,經審批通過后在可授權時段內訪問或利用,并且只可以訪問所屬科室的病案,如需訪問其他科室的病案則需要申請;醫保、商業保險公司以及公檢法等用戶可按該體系臨時授予的權限訪問病案,如果需要訪問所有用戶以及默認無權限訪問的病案,則要辦理電子申請審批手續,在得到批準后方可訪問。病案訪問權限分為閱讀、打印和導出三類,每一級權限向下兼容,權限具體分用戶組權限、科室權限、有效期限制、醫學分類限制、IP地址限制、顯示字段限制和特殊病案鎖定等。若系統在一定時限內檢測到所在頁面沒有操作行為發生時,即視為工作人員已經離開,便會自動開啟鎖定,再次操作時須驗證密碼,以避免工作人員離開后他人惡意操作的情況發生。系統可提供人員身份認證、數據加密等功能,用于網絡接入及應用服務等過程。其中,加強認證措施可彌補訪問控制方面的諸多缺陷,數據加密可為整個系統提供縱深防御。該體系具有禁止打印、復制病案圖像以及截屏等功能,并能通過閱讀水印和完備的日志記錄防范有人使用數碼相機偷拍病案圖像,一旦發現偷拍行為即可通過加密的水印進行追查。該體系通過特定軟件獲取數字化病案圖片,防止非法獲取病案圖像,還可通過架設多臺Web服務器來實現負載均衡。
3加強運維安全體系建設
運維安全體系建設,指對整個系統平臺進行安全運維支持、對安全設備進行集中的事件管理、對職工進行身份管理、對整套醫院系統提供全方面的威脅監控管理。建立運維安全體系,可以保障系統安全、可靠運行并提供有效的安全管理。系統采用雙主機、雙存儲模式,當主存儲出現故障的時候,備份存儲依然可以正常使用。
作者:丁麗萍 何淑萍
關鍵詞:多法人;村鎮銀行;運維模式;業務運維;統一運維平臺;云計算;大數據
中圖分類號:F832.3 文獻識別碼:A 文章編號:1001-828X(2016)016-000-01
2006年底,銀監會了《關于調整放寬農村地區銀行業金融機構準入政策 更好支持社會主義新農村建設的若干意見》,推進農村金融改革,引導各類資本到農村地區投資設立村鎮銀行等新型農村金融機構。在政策支持下,國內很多中大型銀行紛紛發起設立村鎮銀行,產生了由一家母發起行在全國各地發起設立多家獨立法人村鎮銀行的新型金融模式。本文針對這種多法人村鎮銀行系統,提出適合的運維模式設計。
一、運維模式設計背景
由于每家村鎮銀行都是獨立法人,因此,實現滿足多法人模式成為發起行建設村鎮銀行IT系統的首要目標。與支持單一法人的銀行系統不同,多法人村鎮銀行系統的特點主要包括:1.同一套系統可以為多家獨立法人提供服務;2.允許各法人的系統應用有差異;3.各法人之間數據相互隔離。
現階段,村鎮銀行IT系統多是采用發起行統一建設和運維的方式進行。針對多法人村鎮銀行系統具有的三個特點,相應的運維模式需要解決三方面問題:一是不同法人之間的,因而要求了在系統運維過程中業務運維的價值;二是發起行統一運維的效率保證;三是運用新技術發揮數據價值。
二、運維模式的設計與實現
(一)提升業務運維的價值
與單一法人的系統運維不同,村鎮銀行系統的多法人特點,要求運維人員具有業務的視角,既要考慮設備和應用系統的運行質量,也要考慮這些設備和應用系統對業務的實際支撐質量,為進一步提高自身運維質量和體現運維價值提供參考,真正實現對村鎮銀行多個法人之間業務的技術支持。
1.建立業務運維分層模型。從業務的角度,把業務服務映射到支撐該服務的底層組件上(包括承載該業務的應用系統、及支撐應用系統的數據庫、中間件、網絡、主機、存儲等軟、硬件平臺)。通過對設備、平臺、應用、服務和業務流程環節進行梳理,從業務模塊、業務環節、業務數據,到相應的應用、設備、數據庫、中間件等支撐系統和應用,建立起邏輯架構關系,形成分層視圖模型,為業務運維打下基礎,并建立起業務運維的知識庫,體現業務流程與底層IT基礎設施之間的映射關系,使IT運維人員隨時了解業務流程、及其與平臺系統架構之間的關系。
2.建立業務運維監控指標體系。在業務運維分層視圖的基礎上,對業務模型、業務流程、業務環節、基礎架構等建立起動態監控指標體系,如依據節假日、時段動態基線,形成相應的KPI和KQI,為后期自動化運維建立指標基礎。
3.集成系統性能監控。一方面是利用系統的監控運維工具,如OVOU、OEM、網絡監控工具、應用腳本監控等;另一方面是要把這些指標集成起來,實現1+1>2的運維合力效果。從業務運維與監控角度,把孤立工具集成到統一的可視化運維平臺。
4.打造可視化立體業務運維平臺。通過把業務流程與IT基礎設施之間的映射進行實時的可視化展示,建立可視化運維平臺,實現實時的、可視化的、面向業務的監控,幫助IT運維人員從業務視角開展系統運維工作,第一時間發現業務運維問題,直觀和快速定位問題,有效協同業務和技術人員共同解決問題,提升業務可用性和系統可用性的綜合管理能力。
(二)建設統一運維平臺
由于村鎮銀行地處各地,由發起行集中運維IT系統。為保證運維效率,借鑒ITIL V3最佳實踐框架和ISO 20000國際標準,應該從人員、流程、技術三個方面入手,建立統一運維平臺。
1.一體化人員管理。在建立運行制度體系時,首先建立統一的安全生產管理辦法,作為綱領性制度,明確安全生產相關各方的職責分工。同時,制定全行統一的運維人員考核評價標準和獎懲制度,使全員做到有法可依,有法必依,違法必究。
2.一體化流程建設。逐步構建全行生產運行制度框架體系,全面覆蓋日常運行、應急管理和災備管理,優先制定日常值班、事件、問題、變更、應急、外部商等管理制度,還應建立基礎設施、系統維護、運行操作、數據安全、生產調度等各專業領域實施細則,形成比較完善的生產運行規章制度體系。
3.一體化技術平臺。構建一體化運維流程管理平臺,實現人員、技術和流程的有機整合,通過工作流引擎的自動調度實現流程的自動化,方便運維人員使用相關的管理流程進行日常運維,以提升IT服務質量;建設覆蓋全行的集中監控管理系統和運維事件響應中心,匯聚各個IT系統的故障和事件,進行過濾、轉發、自動響應、報警等處理,完成事件級集成并實現交易級的應用監控。
(三)利用云計算、大數據等新技術進行運維決策分析
利用云計算、大數據等互聯網新技術進行運維決策輔助分析,實現智能化、精細化的運維管理和決策。
1.基于云計算服務的運維管理。針對村鎮銀行系統數量較少、數據量較小的特點,以云計算為核心的下一代數據中心可以提供更好的運維支撐解決方案,將各種先進的運維管理技術進行有效的整合,對新增的虛擬網絡、數據存儲、虛擬機、宿主機、集群對象采用全新的管理方式,從日常監控、例行巡檢、服務受理、故障處理、平臺維護、配置管理、安全管理等方面著手,利用自動化運維工具,實現對物理資源、虛擬資源的統一管理,提供資源管理、統計、監控、調度、服務管控等端到端的綜合管理能力,從而實現對云中心統一、便捷、高效、智能的一體化運維管理。
2.基于大數據分析的運維安全管理。運維安全管理是運維管理的一個重要組成部分,同時,涉及面甚廣,必須對整個IT系統中的設備、應用和服務進行全面的監控和分析,實時采集與信息安全相關的“大數據”,并進行基于大數據的自動化處理和分析,才能更早發現越來越復雜的攻擊和滲透,并盡早采取預防措施,封堵安全漏洞,避免IT系統和生產數據受到影響,以保障具有對私業務的村鎮銀行系統安全穩定運行。
從ASP到SaaS再到云計算,業界一直在嘗試“輕裝”IT支撐企業非核心業務,人力資源HR管理首當其沖。
中國的人才管理起步雖晚于西方國家十余年,但發展速度極快。人才管理的發展賦予了HR新的角色,HR正經歷從“事務型”向“專家型”的轉變,HR需要具備更專業的人才管理技術、運用專業的人才管理工具,才能滿足企業的人才管理要求。
“一些企業逐漸摒棄傳統eHR軟件,開始使用更專注企業人才戰略的人才管理軟件。” 中國人才管理與測評解決方案提供商――北森總裁王朝暉向記者介紹,“eHR作為人力資源管理時代的產物,以事務性工作為核心,它的目標是節約企業工作時間、人力成本;人才管理軟件以‘人’為核心,關注人才的招募、培養、發展,目標是為企業源源不斷地提供人才,而這才是提升企業人才競爭力的關鍵。”
北森從2002年就開始做人才測評的業務,是介于軟件和咨詢中間的內容服務商。它從2005開始成為軟件服務提供商,通過SaaS的模式提供服務。眼下,云計算市場愈發紅火,北森認為,產業發展時機已經成熟,是時候大力推廣云計算平臺下的人才管理了。
6月29日,北森聯合中國人事科學研究院共同完成并了《2010―2011中國企業人才管理成熟度調查報告》。該報告深入分析了1966家中國企業的人才管理現狀,通過多項指標對企業人才管理的成熟情況進行了系統的分析。
王朝暉介紹,北森的iTalent人才管理云計算平臺囊括了招聘管理、人才測評、績效管理、繼任與發展、360度評估反饋、員工調查等多個模塊,涵蓋員工從入職、激勵、發展、留任到離職的整個生命循環,幫企業打造持續的人才供應鏈。他認為,人才管理平臺的誕生將終結傳統eHR軟件的事務性核心訴求,全面提升中國企業的人才管理水平。
而北森技術總監張慶化在接受采訪時則表示,互聯網應用更多是強調高性能、高并發。云計算真的能夠改寫行業的發展軌跡,讓那些以前用不好、用不起軟件的企業真正用起來。他說,采用云計算模式,可以把以前的企業IT成本轉向運維成本,讓企業花費很少成本就能永遠使用最新版本的產品。
而對于安全,張慶化說他們通過三個方面來保障北森的云安全:運維安全、流程安全和技術安全。“我們所有提供給客戶的系統都有專門的團隊維護,這個團隊必須和我們公司簽署協議,對于用戶數據保密,還有各種系統指標有嚴格的要求。在流程安全上,客戶需要導出任何數據時,需要遵照規范的流程,通過一系列的手續才能完成操作。”張慶化強調,對于像員工薪酬、績效等核心數據,他們的設計思路和銀行一樣,“我們對數據加密,但密鑰在用戶手里,其實我們拿不到數據。”
(一)設備的倒閘操作中存在的危險因素
1、對倒閘操作票進行編制因素
按照變電運行設備的狀態可將變電運維設備分為以下四種狀態:第一運行,第二熱備用,第三冷備用,第四檢修。對操作票的填寫和使用必須準確無誤,嚴格遵守國家電網的相關規定制度,執行變電站的現場運行工作。當變電設備的狀態發生變化時,則需要填寫倒閘操作票。倒閘操作是保證安全生產的一項重要操作流程,正確的倒閘操作可以有效預防人身危害。以往多起操作事故的主要誘發原因就是沒有正確的填寫操作票。因此,嚴格編制操作票是及其重要的操作前提,要求所有變電站必須要個執行操作票中的相關規定,否則就會有安全隱患。
2、對現場設備的實施操作因素
由于變壓器、母線等設備需要工作人員進行操作,因此不正確的操作還會引發安全風險。一般情況,不正確的人員操作變壓器有以下兩種形式,一是在過壓的情況下切合空載變壓器,這會給變壓器的絕緣功能造成一定的損害,二是變壓器的空載電壓不斷增大時一樣會損害變壓器的絕緣。對斷路器的操作一般是當線路出現故障時造成斷路器本身故障。對母線倒閘操作存在的危險因素有很多,第一帶負荷的情況下拉閘;第二是因為繼電保護與自動裝置發生切換故障而導致的危險因素;第三,在對空載母線充電時會產生電壓互感器發生諧振的問題。這些危險因素如不能及時處理將會給變電站帶來不可想象的后果。
(二)對二次直流回路操作的因素
二次回路操作在變電運行中也是非常重要的環節,工作人員對保護壓板的進退操作決定了變電運行的狀態。一旦出現工作人員對設備進行錯誤操作,將直接導致事故發生,對變電站造成巨大損失。所以,工作人員必須嚴格按照電網規定的制度對二次直流回路的操作進行執行,確保人身安全的同時也減少不必要的損失。
(三)對設備安全檢查工作
工作人員對設備安全檢查是否認真是一切巡視檢查工作的提前條件,在人員沒有按照相關安全規定進行巡視時造成的運行事故乃至人身傷害頻頻發生,所以對設備安全檢查是特別重要的。(四)自然因素引發的危險外界環境也是影響變電運維的一個因素,由異常的天氣引發的事故有很多,例如:冬天溫度過低,導致充油充氣設備壓力過低,而夏天與之相反,這都會引發變電事故;大風天氣引線容易被外物纏繞等等自然因素。這些因素都會給變電運維帶來一定的事故隱患。對此,我們要對外界因素采取有效的防范措施,做好防范工作。
二、提出有效預防變電運維管理中危險的措施
(一)做好相關規定制度
要想做好變電運維管理工作,必須先制定出完善的管理體制,并落實到位。加強變電運維人員的工作態度,提高他們的安全意識,嚴格按照規范制度進行操作。與此同時,將日常管理工作落實到實際當中,制定安全生產責任制度,對違反制度的人員進行處罰。嚴格執行安全生產法則,以保變電系統安全運行。
(二)加強對設備巡視
因供變電運行的設備很多,因此對變電設備巡視工作在整個變電運維過程中顯得尤為重要。巡視工作是否認真到位關系到整個變電系統的運行狀態,如有不慎,將會導致變電事故發生。所以,變電運維人員要嚴謹認真地對每一個變電設備進行巡查,排除一切可能導致變電事故發生的安全隱患。
(三)總結天氣原因導致的安全因素,采取防范措施
有時候外界因素導致的變電事故是我們阻止不了的,但是我們可以通過以往的經驗教訓不斷總結,研究出有效預防變電事故發生的相應措施。冬天做好保暖設施,夏天做好散熱工作等等。只有將有效的保護措施落實到位,才會大大降低事故發生率。在工作中不斷總結經驗吸取教訓,采取有效預防措施對變電運維工作順利進行起著促進作用。
(四)做好繼電保護工作
繼電保護工作是保障整個電網安全運行的重要任務,對電網安全運行起決定性作用。但是也是一個容易引發變電運維事故的危險因素。想要做好繼電保護工作就要先檢查繼電保護裝置運行狀態是否穩定,對控制保護設備做好長期有效的管理,對二次直流回路做好管理工作,預防錯誤操作,保證繼電設備穩定運行。因此,做好繼電保護工作可以有效避免變電運維事故的發生。
(五)提高變電運維工作人員的綜合素質
目前我國變電運維工作依舊存在很多不足之處,變電運維工作人員的綜合素質不重影響了變電運維管理工作,加上時代和科技的快速進步,變電運維人員的職業知識有限,又制約了變電運維的工作進展。在變電站工作的人員肩負著重大的安全責任,為了確保變電運維安全運行,必須提高變電工作人員的綜合素質。首先加強培養電力工作人員的專業技能,達到對所有操作流程熟練規范程度。其次是針對一些危險因素進行細致分析,做好預防工作,端正工作人員的嚴謹態度,加強安全意識,隨時對工作人員進行專業水平和操作技術進行考核,加強對變電運維人員進行培訓,讓他們學習更新的文化知識和先進的操作技術,進而提高變電工作人員的綜合素質。
三、總結
關鍵詞:銀行信息 信息系統 安全問題
前言
銀行信息系統的安全保障要以縝密的分析為前提,制定詳細的對策, 充分利用安全技術、安全產品來實現安全措施。本文以泰安農村信用 社為例闡述銀行信息安全問題.
1.信息安全分析 銀行信息系統具有服務范圍廣泛,平臺復雜多樣,業務品種不斷 更新的特點。因此銀行信息系統龐大而復雜,信息安全涉及方面眾多, 我們大體可以按照安全管理、信息資產與環境、主機系統、網絡系統、 日常運維五個方面進行分析.
1.1安全管理問題分析.
泰安農村信用社信息系統一貫重視系統安全,但對與系統安全的 管理仍處于比較傳統的模式,即一種靜態的、局部的、少數人負責的、 突擊式的、事后糾正式的管理方式;安全管理偏重對業務的保障,在內 部管理上相對比較松散;一些安全管理策略和制度規范比較宏觀,在 可操作性和實效性上還值得進一步探討與改進.
1.2信息資產與環境問題分析.
泰安農信信息系統依照相關的規定進行建設。目前還需要改進的 問題為包括物理環境的單點故障隱患及不可抗力因素導致的系統安 全的風險;對信息資產的保護缺乏信息資產分類體系,無法實現對設 備的購置、維修、報廢等環節的實時管理.
1.3主機系統問題分析 信息中心的主機上存放大量的業務數據,對全轄提供數據服務及 技術支持,保證轄內計算機系統全年365天、全天24小時不間斷運 行,因此主機采用高可用性和全冗余結構的主機系統,配置磁盤陣列 存儲數據.
目前面臨維護錯誤和操作失誤、未經授權訪問和操作、權限濫用、 硬件故障、數據庫本身存在的安全漏洞等威脅.
1.4網絡系統問題分析 現行銀行計算機網絡是銀行計算機信息系統中最易受攻擊又最 難以防范的薄弱環節,為了保障網絡安全,目前采取的的措施有增加 防火墻,對連接科技中心主機全部做了限制,安裝了IDS入侵檢測系 統。還存在以下問題:主交換機雖然劃分了VLAN,但劃分VLAN數量 少,無法滿足業務高速發展需要;辦公網現在沒有邏輯劃分;在省市和 市縣之間沒有實施QOS策略,存在一定網絡擁塞的風險.
1.5日常運維問題分析 目前日常運維工作繁重,日常運維只是通過已有的書面的操作流 程進行操作,無法記錄操作結果,對日常運維缺乏審計性;機房主要依 靠人工巡查等手段進行監控,存在不能及時發現問題的隱患。對于登 陸信息系統的網點柜員身份驗證停留在“用戶名+密碼”階段,存在非 法入侵的安全隱患.
2.信息安全風險識別 通過對泰安農村信用社進行信息資產識別,逐項進行風險評估, 并制訂風險控制措施.
2.1確定資產風險等級 全面了解泰安農信信息系統安全現狀,采用定性與定量相結合的 方法,并依據標準要求充分考慮到資產的安全價值、威脅、薄弱點、威 脅發生的可能性、威脅造成的潛在響應等因素,將各個資產所面臨的 眾多威脅因素統一起來描述.
2.2明確風險控制方法 根據風險評估表,對該資產已經識別出的風險點,在現有的控制 措施之外,進一步提出解決該風險點的新方法或新措施,以使風險降 低到可接受的程度,并明確責任人,制定一個切實可行的風險處理計 劃。3.信息安全問題解決 根據風險評估的結果及風險控制方案,依照安全管理體系的要求 對準備階段中涉及的各類問題集中解決,使得在信息系統受到侵襲 時,確保業務持續開展并將損失降到最低程度.
3.1安全管理的安全實現 針對目前泰安農信信息系統在安全管理方面存在的問題,信息安 全人員仔細分析問題,提出問題解決方案如下.
3.1.1明確指出系統中每位員工的責權問題.
3.1.2建立較完善的信息科技制度體系,明確泰安農信信息系統 工作流程,避免管理混亂.
3.1.3建立規范的信息系統風險防控和應急處置流程,逐步提高 突發事件的應急能力.
3.2信息資產與環境的安全實現 針對目前泰安農信信息系統在信息資產與環境方面存在的問題, 信息安全人員仔細分析問題,提出如下問題解決方案.
3.2.1引入“計算機設備管理系統”軟件,規范設備管理。對設備的 購置、維修、報廢等環節的管理的問題進行跟蹤記錄.
3.2.2對銀行設備與物理環境進行容災規劃,實施容災系統。對通 訊線路及硬件設備進行冗余備份;對重要數據制定完善的備份規則.
3.3主機系統的安全實現 針對目前泰安農信信息系統在主機系統方面存在的問題,信息安 全人員仔細分析問題,提出如下問題解決方案.
3.3.1開發備份配置軟件,保存每次設置變更情況,使設置變更有 跡可循.
3.3.2為保證數據信息安全,采用雙機熱備、重要數據遠程備份、 異地存放等多種措施避免系統風險.
3.3.3應用“運維安全管理系統”對操作員的操作進行限制,杜絕 由于操作用戶權限過大而造成的安全隱患.
3.4網絡信息的安全實現 主要包括信用社內部數據傳輸線路的安全實現、第三方接入的安 全實現等。泰安農信采用SDH線路進行組網;通過端點隔離方式實現 業務和辦公網絡分離;通過整體路由規劃和QOS規劃實現對各業務 數據流的控制;內網配置了多套防火墻,實現對內網的通訊訪問的控 制與隔離.
3.5日常運維的安全實現 針對目前泰安農信信息系統在日常運維方面存在的問題,信息安 全人員仔細分析問題,提出如下問題解決方案.
3.5.1建立網絡化的運維機制。探索建立科技服務聯動網.
3.5.2分析日常工作流程,開發“電子日志系統”,確保日常工作不 會遺漏,并記錄操作員日常操作,保證操作過程的可審計性.
3.5.3建立機房自動監控系統,實時監控放置、設備的運行狀態及 工作參數,發現部件故障或參數異常,及時報警,并可記錄歷史數據和 報警時間.
[關鍵詞]安全活動日 管理創新 管理流程
中圖分類號:TM63 文獻標識碼:A 文章編號:1009-914X(2016)05-0184-01
1引言:安全生產是供電企業生存和發展的基礎,如何保障安全、鞏固安全、強化安全是供電企業工作的重中之重,安全日活動是企業為提高職工的安全意識、安全技能,保證人身、設備、電網的安全而采取的一種有效的方法。班組是企業最基層的組織,班組安全日活動是提升員工安全素養、改善員工作業行為,確保安全生產的重要載體。班組安全日活動質量的高低,對企業安全生產基礎的好壞起著舉足輕重的作用。通過優化安全活動日管理流程,總結提煉安全管理的成功經驗和做法,為確保安全工作的穩定局面奠定堅實基礎。同時,也是班組學習安全規章制度、總結分析安全生產情況、查找薄弱環節、制定安全措施,增強職工安全意識的平臺。因此,班組安全日活動質量的高低,對夯實企業安全生產基礎起著舉足輕重的作用。
目前,班組安全活動存在內容、形式單一,不能按期進行;活動記錄不實,為應付檢查編造活動記錄等問題,管理人員對安全日活動參與度不夠,檢查不到位,起不到預期效果,調動不起職工積極參與的意識,達不到提高職工安全意識的目的或解決實際問題的效果。針對上述問題,應結合班組的實際情況,開展形式多樣、內容豐富的安全日活動,在“實”字下功夫,講實話、求實效,進一步提高班組安全活動質量和成效,提升班組安全管理水平。
2 安全活動有計劃
部門安全專責要根據國網公司、省公司安全文件、事故通報等文件,結合每月工作安排實際情況制定行之有效的“安全日活動”指導計劃,其內容應包括安全活動例行內容、事故學習情況及制定措施,近期安全生產分析,本月現場工作的安全分析及危險點分析等。運維站站長或安全員根據活動指導計劃針對本站運維實際情況明確本月活動主題,然后根據活動主題,明確活動內容和流程。在活動中值班長對本值安全生產情況進行匯報分析,每位職工都應積極發表自己的認識和工作中發現的問題,通過交流討論,共同協作,制定行之有效地措施,有效地避免了事故的發生。
3 安全活動重實效
首先要增強班組員工“學安全、懂安全、會安全”的安全意識及積極參與安全日活動的主動性,調動員工集思廣益,不斷拓展班組安全日活動思路及課題。其次運維班組安全活動不要盲目追求大課題,應該選擇生產中凸顯的問題或工作中急需解決的安全問題,加強安全活動的實效性和針對性,避免不講實際生生搬硬套,走形式化。通過對生產中凸顯的問題或工作中的急需解決的安全問題進行分析,提出有效的解決措施,這樣不僅僅班組安全得到了保障,同時,也有利于班組的日常工作的開展,提高了班組的工作效率。
4 創新活動多形式
在班組安全日活動中,采取形式多樣的活動方式,使班組人員在輕松愉快的環境中接受安全教育。比如,可以采用“安全微課堂”、征集安全警句、討論發言、寫心得體會、演講等形式,將安全知識貫穿到其中,充分調動大家的積極性,對事故快報、倒閘操作風險點、兩票執行的特殊點等積極討論,踴躍發言。鶴壁公司打破以往學習簡報、宣讀文件等傳統枯燥的安全教育培訓模式,創新開展形式多樣的班組安全活動。
(1)開展“安全微課堂”,利用“微課堂”短小濃縮、主題簡潔、形式靈活多樣的特點,因材施教,貼近班組實際,充分調動每位員工參與安全生產大討論,對事故簡報、作業流程、作業現場危險點等積極討論踴躍發言,增強職工安全防范與自我保護意識,潛移默化中提高了班組安全水平。
(2)安全文化上墻。組織員工根據工作經驗及感悟開展安全警句征集,配以相應工作照片建立安全文化走廊,營造了濃厚的班組安全文化氛圍,時時刻刻提醒運維員工“工作再忙,安全不忘”,同時在班組園地開辟出安全學習園地,放入事故快報、安全文件等,盡可能利用空間開展安全活動,加強每位員工對安全活動的理解。
(3)利用微信群實時開展安全活動,對設備巡視檢查、兩票執行中遇見的問題、作業現場的安措布置及危險點等在微信群中實時進行交流分析、點評,讓每位員工都充分參與到學習討論中,提高了員工安全意識和技術素質,同時也加強了作業現場的安全監督和風險管控,有效防范事故發生,使安全活動收到實效。
由此可見,只要安全活動組織者多動腦筋,不斷豐富新穎活動內容,采取形式多樣的方式方法開展安全日活動,吸引班組人員積極主動參與,就會使安全活動開展得扎實有效,為安全生產工作打下堅實的基礎。
5 安全活動強管理
部門領導要重視安全活動管理,堅決杜絕講起來重要、做起來次要,忙起來不要的現象,要落地有聲,確保班組安全的持久和實效性。明確安全活動的管理分工及責任,部門主任親自參與,安全培訓專工負責具體指導,各運維站站長和安全員負責組織。部門管理人員應嚴格按照要求每月參加一次班組安全日活動,主要是傳達貫徹上級文件精神和工作意見,指導部署下一步工作,并與職工一起討論分析近期的安全生產工作。其中,參加情況和發言應在活動記錄中體現,并在記錄上簽署評價、提出要求。 同時,部門領導及部門安全專責要密切關注班組的安全日活動的開展,積極督促班組的安全日活動,定期檢查班組的安全日活動的質量和效果,對照活動計劃查看活動記錄是否全面、規范;提問班組成員是否了解和熟悉學習內容,是否制定和落實防范措施,以判斷活動記錄的真實性,確保班組安全日活動取得應有的實效和意義。
6 結束語
通過安全日活動管理創新,優化安全活動日管理流程,開發活動的多樣性,保持活動的持久性,有效提高了職工的安全意識,營造了良好的安全氛圍,夯實了安全生產基礎,真正做到安全生產的“可控”、“在控”。安全日活動管理創新讓員工進一步認識到安全的重要性、現實性,并從中總結提煉了安全工作和管理的經驗,特別是“安全微課堂”的開展,為確保變電站安全穩定運行的局面奠定了基礎。
隨著云計算技術在核電廠的推廣應用,企業的信息化水平提升到新的高度。企業對信息安全可靠性、保密性、完整性產生更高的述求,信息安全的防護工作日趨緊迫。傳統的信息安全防御手段無法應對新出現的威脅,因此需結合現有的信息安全體系,采取與云計算技術相結合的手段開展一系列信息安全防護工作。本文主要介紹了云計算的相關概念和體系架構,云計算技術在核電的應用,國內核電信息安全體系現狀,以及基于云計算的核電信息安全體系設計。
關鍵詞:
云計算;核電;信息安全
核電行業是很早就使用計算機實現生產自動化的企業。繼個人計算機、互聯網變革之后,2010年,云計算作為第三次IT浪潮的代表正在向我們走來。它將帶來人類生活、生產方式和商業模式的根本性改變,成為當前全社會關注的熱點。云計算的目的是將不同的IT資源(資源包括網絡,服務器,存儲,應用軟件,服務)以服務的方式交付給用戶。計算資源、存儲資源、軟件開發、系統測試、系統維護和各種豐富的應用服務,都將像水和電一樣方便地被使用。信息實質上是一種資源,其價值在于其所能創造的機遇與利益。信息安全的目的即是保護信息的完整性、可用性及保密性等屬性,以保證信息的價值。一旦信息的完整性、可用性或保密性缺失或受損,信息的價值將大打折扣。核電廠作為國防建設的重點單位,信息安全重要性尤為突出。隨著云計算技術在核電廠的推廣應用,信息安全的防護出現一些新的變化,本文即是針對這些新的變化進行相應的探討,目的是提升核電廠信息安全水平。
1云計算概念和體系架構
網絡通信、分布式計算及服務計算等技術的發展為云計算的實施提供了強有力的支撐。NIST指出云計算是一種以通過網絡連接,便攜且按需訪問的可配置共享資源池的服務,計算資源將以最小的管理和交互代價快速提供給用戶;同時云計算還應滿足按需自助服務、廣泛網絡接人、高效資源共享、高彈性計算、支持度量計費等五大功能特性。根據云計算所提供服務類別的不同,云計算的服務模式可以分為軟件即服務(SoftwareasaService,SaaS)、平臺即服務(PlatformasaService,PaaS)和基礎設施即服務(InfrastructureasaService,IaaS)。典型的云計算平臺架構如下:IaaS、PaaS、SaaS在功能范圍和側重點上都存在差異,其中IaaS需要在異構資源環境下,提供按需付費、可度量資源池功能,同時要兼顧硬件資源的充分利用和用戶需求的滿足;PaaS不僅關注底層硬件資源的整合,還需要提供能夠供租戶進行開發、調試應用的平臺環境;SaaS不僅需實現底層資源的充分利用,還必須通過部署一個或多個應用軟件環境,為用戶提供可定制化的應用服務。
2云計算技術在核電企業的應用
隨著核電ERP/EAM/ECM等核心系統的構建,以及IT架構的進一步集中調整,整個核電IT系統的架構變的更為復雜。為了提升信息化水平,提高資源利用率,核電廠開展云計算相關技術研究,結合企業實際情況,遵循四化的理念來建立、提升、完善云計算平臺的能力。核電企業四化包括:資源管理集約化:通過對企業計算、存儲、網絡資源的集中化、標準化、服務化管理實現高效、彈性的IT架構;應用交付一體化:通過軟件全生命周期管理的自動化以及面向企業級應用的業務框架提高企業應用的交互能力;系統運營智能化:通過全方位的監控和時間處理,將數據植入到運營流程中,達到流程化、智能化運行的目標;運維管理自動化:通過運維作業集中管理調度與監控實現運維作業的標準化和自動化提高應用運維的效率和可管理型。
3國內核電信息安全體系現狀
目前國內大部分核電企業的信息安全體系建設主要遵守《電力行業信息系統等級保護定級工作指導意見》(電監信息[2007]44號)、《信息安全等級保護管理辦法》和《關于進一步推進中央企業信息安全等級保護工作的通知》(公通字[2010]70號)等,以上述辦法圍繞等級保護來開展信息安全體系建設。一些信息化建設水平較好的核電企業,在信息安全建設過程中逐步借鑒和參考國際國內先進的信息安全標準,主要是目前國際上應用最廣泛的ISO27001信息安全管理體系。在傳統的信息安全時代主要采用隔離作為安全的手段,具體分為物理隔離、內外網隔離、加密隔離,實踐證明這種隔離手段針對傳統IT架構能起到有效的防護。同時這種隔離為主的安全體系催生了一批以硬件銷售為主的安全公司,例如各種FireWall(防火墻)、IDS/IPS(入侵檢測系統/入侵防御系統)、WAF(Web應用防火墻)、UTM(統一威脅管理)、SSL網關、加密機等。在這種隔離思想下,并不需要應用提供商參與較多信息安全工作,在典型場景下是由總集成商負責應用和信息安全之間的集成,而這導致了長久以來信息安全和應用相對獨立的發展,尤其在國內這兩個領域的圈子交集并不大。結果,傳統信息安全表現出分散割據化、對應用的封閉化、硬件盒子化的三個特征。信息安全體系的基本建設要素包括物理安全、網絡安全和系統安全三個要素。(1)物理安全。物理安全主要涵蓋機房安全、信息設備安全、通信線路安全等,保障信息機房的電源、溫濕度、進出入的安全,保障信息化基礎設施、通信線路等的運行可靠性、雙鏈路互備等措施。(2)網絡安全。互聯網的安全主要以防火墻為核心,輔以IPS、防病毒網關等設備為核電構建統一的、安全的互聯網出入口。內部局域網作為網絡中終端數量最大、用戶最多的區域,一直是網絡安全防護的重點區域。首先,局域網要進行核心層、匯聚層、接入層的規劃和IP地址劃分,核心層要滿足雙機熱備的要求。在網絡管理中要實現網絡資源的配置、網絡流量監控,保障局域網絡的穩定通暢。其次,終端安全管理是內部局域網安全的管理重心,建立終端管理、防病毒、移動介質等防控手段。(3)系統安全。信息系統的穩定運行是支撐核電業務連貫性的必要條件,信息系統的服務器、操作系統、數據庫、系統接口等的管理有效性是實現系統安全、穩定運行的基礎。系統的應用安全主要指系統中數據訪問、流程審批、操作合規性等安全,主要通過用戶認證、電子證書、文檔加密、行為審計等手段來加以監控。
4基于云計算的信息安全體系設計
核電企業云平臺承載企業的關鍵應用,數據作為企業的資產,其安全性需要采取相應措施加以保障,核電企業在建設云平臺過程中,注重安全管理。安全管理是為了建設可靠的安全保障體系,實現應用服務及數據調用的安全認證和安全審計,主動的異常數據操作行為的監控分析、預警機制,并提供異常問題的倒查追溯能力。為了更好的保證業務之間的隔離性和安全性,核電廠從三個方面建立信息安全體系:(1)訪問安全。訪問安全基于身份認證和權限認證來完成。身份認證是建立統一的用戶信息庫,為系統提供身份認證服務,只有合法用戶才能對信息化系統進行訪問;權限認證主要是根據用戶身份對其進行權限判斷,以權限認證與統一認證相結合,為信息化系統提供方便、簡單的、可靠的授權服務,從而對用戶進行整體的、有效的訪問控制,保護系統資源不被非法或越權訪問,防止信息泄漏。(2)數據安全。數據安全是對及內部信息系統進行嚴格的安全防護,對計算機、數據、敏感業務系統采用認證、加密等技術手段進行控制。數據安全主要包括:數據完整性,數據保密性,備份和恢復。數據完整性:通過循環冗余校驗(CRC)以及消息認證碼(帶密鑰的Hash函數)來保證完整性。數據保密性:通過傳輸協議加密以及數據加密來保證保密性。備份和恢復:對重要信息進行備份,并對備份介質定期進行可用性測試。(3)操作安全。操作安全是為了防止誤操作帶來的風險,如刪除關鍵數據造成系統無法正常運行。操作安全可以通過事前預防和事后補救這兩方面來保證。事前預防是通過對關鍵操作進行多人復核,降低單人誤操作機率;事后補救是通過操作日志來回滾誤操作。結合云計算平臺建設現狀和企業實際,核電廠從云平臺基礎安全、云平臺攻防安全、云平臺運維安全等方面建設信息安全體系,構筑全方位的信息安全防護屏障。
4.1云平臺基礎安全
(1)網絡安全。云計算平臺網絡分為兩部分:管理平面和業務平面網絡。管理平面網絡主要用來管理云計算主機,業務網絡主要負責傳遞業務系統相關數據,兩者傳輸數據不同,訪問授權也不一致,需將管理平面和業務平面網絡隔離。此外,需關閉未使用的網絡端口防止非法接入,回收服務器默認路由防止主動外聯。(2)宿主機安全。首先要保證操作系統安全,減少系統漏洞。由于云計算操作系統大部分是基于開源平臺開發,存在漏洞較多。因此進行系統定制化開發時候需將操作系統內核和組件精簡,減少非必要的功能,修復相關漏洞,對主機做符合業界安全規范的配置加固,內核防提權模塊加固等。(3)多租戶資源隔離。云計算平臺的典型場景是多租戶共享,但和傳統IT架構相比,原來的可信邊界徹底被打破了,威脅可能直接來自于相鄰租戶。租戶通過Hypervisor(虛擬機監視器)共享同一個物理操作系統的計算資源,在一張共享的二層網絡上實現網絡的區隔。攻擊者一旦通過某0day漏洞實現虛擬逃逸到宿主機,攻擊者就可以讀取這臺宿主機上所有虛擬機的內存,從而可以控制這臺宿主機上的所有虛擬機。同時更致命的是,整個云平臺節點間通訊的API默認都是可信的,因此可以從這臺宿主機與集群消息隊列交互,進而集群消息隊列會被攻擊者控制,最終一舉攻破整個云主機集群。云服務器租戶隔離從以下幾個方面設計:基于VT-x技術隔離CPU;硬件輔助EPT技術隔離內存;分離設備驅動I/O模型隔離存儲;交換型Vswitch,不同VM的數據包被轉發到對應的虛擬端口;VM的IP、Mac地址綁定防地址欺騙及網絡嗅探;物理內存、物理存儲重分配前清零;用戶數據打標簽隔離存儲。(4)數據存儲安全。數據是信息系統最核心要素,數據的可靠性和安全性在信息安全中地位尤為突出,云計算平臺采取了分布式存儲技術,將數據分散在多個磁盤中。同一數據分別備份三份存儲于磁盤中,任意部分丟失均立刻進行恢復,可靠性達99.9999%,較好保障數據安全性;為應對物理拷貝,將數據打散后即使單獨拷貝磁盤出去,無系統進行數據提取、整合,無法恢復數據。
4.2云平臺攻防安全
互聯網攻防體系包括DDOS攻擊防御、入侵防御、弱點分析和態勢感知四個方面,整體架構如下:(1)DDOS攻擊防御。DDOS(分布式拒絕服務),是指借助于客戶/服務器技術,將多個計算機聯合起來作為攻擊平臺,很多DOS攻擊源一起攻擊某臺服務器就組成了DDOS攻擊。DDOS攻擊本質上是一種只能緩解而不能完全防御的攻擊,它不像漏洞那樣打個補丁解決了就是解決了,DDOS就算購買和部署了當前市場上比較有競爭力的防御解決方案也完全談不上徹底根治。防火墻、IPS、WAF這些安全產品都號稱自己有一定的抗DDOS能力,而實際上他們只針對小流量下,應用層的攻擊比較有效,對于稍大流量的DDOS攻擊則無濟于事。結合云計算平臺特點,DDoS攻擊防御使用DDoS清洗系統,通過封堵大流量DDoS攻擊,保障云平臺可用;通過攔截應用層DDoS/CC攻擊,保障業務可用。DDoS清洗系統可1秒完成檢測->牽引->清洗->回注流程,全自動響應,無人值守,提高效率,降低成本;與全球信息安全防護廠商共享數據,提供最大450+Gbps防御能力,可抵御海量攻擊;采用了精準的攻擊檢測技術,網絡抖動小。本系統配置專用大數據平臺,采用基于大數據分析技術可快速分析惡意IP庫、惡意行為庫。(2)入侵防御。入侵防御系統是一部能夠監視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。傳統的入侵防御系統多集中在應對4~7層的應用攻擊,在應對DDoS洪水型攻擊時卻顯得捉襟見肘,而基于云計算的入侵防御系統不但要集成的原有入侵防御產品多層的防攻擊功能,更需具有專業抗DDoS攻擊功能,可清洗2~4層的洪水型攻擊流量,能夠從而實現系統全方位的入侵防護。云計算入侵防御系統需要具備功能包括:實時網絡入侵攔截,封堵惡意行為;自動木馬后門檢測,保護主機安全;弱點分析,可以快速分析出系統存在漏洞、弱點及時發現弱點,自動修復漏洞;具備實時掃描功能,風險隨時可知。(3)網絡態勢感知。所謂網絡態勢是指由各種網絡設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡當前狀態和變化趨勢。網絡態勢感知是指在大規模網絡環境中,對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及預測最近的發展趨勢。基于云計算的態勢感知服務可以讓企業決策者發現眼睛看不見的風險。態勢感知的第一個特點是以海量數據、超強的計算為依托,讓黑客攻擊顯影。第二個特點就是讓風險可視化。有了它,沒有安全技術基礎的人也能看見風險的過去、現在和將來。基于云計算的態勢感知系統需具備功能包括:安全數據大屏實時展示;集中安全策略管理;多維度日志關聯分析;時間+空間,安全風險全局態勢感知。(4)數據庫審計。數據庫是企業最具有戰略性的資產,通常都保存著重要的商業伙伴和客戶信息,這些信息需要被保護起來,以防止競爭者和其他非法者獲取。面對日趨復雜的安全風險,必須部署數據庫審計系統。數據庫審計能夠實時記錄網絡上的數據庫活動,對數據庫操作進行細粒度審計的合規性管理,對數據庫遭受到的風險行為進行告警,對攻擊行為進行阻斷。它通過對用戶訪問數據庫行為的記錄、分析和匯報,用來幫助用戶事后生成合規報告、事故追根溯源,同時加強內外部數據庫網絡行為記錄,提高數據資產安全。基于云計算的數據庫審計系統是在數據庫虛機上安裝數據庫審計業務端程序,該程序會對該虛機上的數據庫業務進行審計。另外在中控區部署統一的數據庫審計管理端程序,對所有業務端程序提供集中管控。
4.3云平臺安全運維
隨著云計算平臺的建設推進,各應用系統也進行了基于“云”的設計改造,因此必須建立一套完整的基于云計算的安全運維體系,保證各類緊急事件能夠及時處理。基于云計算的安全運維體系應包括以下兩個方面。(1)帶外管理分離與運營平臺。云平臺的運維管理應與業務網絡分離,同時建立運維平臺和運營平臺。運維平臺主要供IT管理員進行云平臺的運維,運營平臺提供運營相關服務,包括計費、考核、流程審批等。(2)運維管理審計。InforCube運維管理審計系統涵蓋多種運維協議(RDP、SSH、TELNET、FTP、SCP等)并提供操作回放檢索、輸入記錄、標題抓取等功能,從明確人、主機、帳戶各個角度,提供豐富的統計分析,幫助用戶及時發現安全隱患,協助優化網絡資源的使用。它能夠對運維人員的訪問過程進行細粒度的授權、全過程的操作記錄及控制、全方位的操作審計、并支持事后操作過程回放功能,實現運維過程的“事前預防、事中控制、事后審計”,在簡化運維操作的同時,全面解決云計算復雜環境下的運維安全問題,提升企業IT運維管理水平。
5結束語
云計算平臺的信息安全體系建設,除了要依據上級單位的要求,參照ISO27001和信息系統安全等級保護體系開展企業信息安全建設,更重要的是要根據云平臺架構特點,有針對性進行方案設計,采取更先進的技術進行安全加固。新技術的發展日新月異,相應的安全威脅手段也在改進,如僅僅按照國標和行業的標準進行安全防范,無法防范新出現的威脅。因此針對云平臺的信息安全體系建設日趨緊迫。此外,在做好信息安全的技術防御之時,提高管理、加強對安全體系的審查改進是重要的落地手段。通過安全體系的設計,落實改進措施,定期實施加固,將安全體系落實到實處,才可以保障企業的信息安全。
作者:張榮斌 單位:中核核電運行管理有限公司
參考文獻:
[1]梅生偉,王瑩瑩,陳來軍等.從復雜網絡視角評述智能電網信息安全研究現狀及若干展望[J].高電壓技術,2011,37(3):672-679.
[2]李文武,游文霞,王先培等.電力系統信息安全研究綜述[J].電力系統保護與控制,2011,39(10):140-147.DOI:10.3969/j.issn.1674-3415.2011.10.026.
[3]謝迎軍.信息及信息安全思辨[C].//中國電機工程學會電力通信專業委員會第九屆學術會議論文集.2013:822-826.
[4]工業和信息化部信息安全協調司司長趙澤良:積極應對風險挑戰維護國家信息安全[J].信息安全與通信保密,2012,(3):2-2.
[5]杜保東,楊慶明,李冰等.企業云計算信息安全方案研究[J].信息系統工程,2014,(5):67-68.
[6]汪兆成.基于云計算模式的信息安全風險評估研究[J].信息網絡安全,2011,(9):56-59.DOI:10.3969/j.issn.1671-1122.2011.09.018.
[7]楊成.解析現階段云計算的應用與信息安全[J].科技展望,2015,(20):1-2.
[8]中華人民共和國國家標準GB/T22239-2008《信息系統安全等級保護基本要求》
關鍵詞:變電運維管理;危險點;預控措施;精益化;一體化 文獻標識碼:A
中圖分類號:TM732 文章編號:1009-2374(2015)21-0134-02 DOI:10.13535/ki.11-4406/n.2015.21.067
變電運維管理的危險點分析和預控應用,充分體現出變電運維管理工作由經驗傳統向科學現代化,粗放式向精細式發展的一種必然趨勢。其主要工作模式是,工作人員通過分析,排查整理出潛在的危險點,再對危險點進行評估,最后準確及時地采取適當的預控措施。
1 變電運維管理中存在的危險點
1.1 變壓器的危險點
在日常變電運維工作過程中,變壓器可能會對工作人員造成危險,這些情況包括:第一,切合空載變壓器的過程中會產生過電壓,導致自身的絕緣性能受損;第二,變壓器的絕緣性能會因為不斷增大的空載電壓而受到永久性的損害。
1.2 母線倒閘操作的危險點
母線倒閘操作同樣具有各種各樣的危險點:第一,存在帶負荷拉刀閘的問題;第二,由于自動裝置切換間的故障和繼電保護而產生的誤操作行為;第三,電壓互感器在空載母線充電時可能出現的諧振問題。
1.3 直流回路的危險點
工作人員在變電運維的操作時,經常接觸的是直流回路。同樣,這種直流回路的操作也存在著潛在的危險,尤其是二次直流回路操作中,能否正確地操作保護壓板投退是至關重要的。工作人員不熟悉設備和二次設備程序的故障等情況都可能造成自動裝置切換間的故障和繼電保護而產生的誤操作行為。因此,必須嚴格按照相關的標準進行操作作業,確保二次直流回路的操作正確性。
1.4 倒閘操作票的危險點
雖然有種類繁多的變電運維設備,但大體上設備狀態可分為運行、冷備用、熱備用、檢修四種狀態。操作票應該嚴格按照相關標準,根據現場不同的運維方式,按照給出的不同調度指令,進行填寫和使用。在變電運維過程中,確保設備安全操作的關鍵就是倒閘操作。所以,倒閘操作票的編制、審核和執行是至關重要的,即使相同的設備,在不同的狀態下,狀態與狀態之間進行切換操作時都應該有操作票。
1.5 工作人員違反安全規定的危險點
在對設備進行巡視檢查時,工作人員必須嚴格遵循相關規章制度,對各級安全工作檢查到位。工作人員在設備巡視檢查過程中,由于不遵守相關安全規章制度,而造成的人身傷害事故,尤其是在單人巡視檢查時造成的事故是變電運維管理中的重災區,因此遵守各類安全規章制度是重中之重。
1.6 不可抗力的危險點
當異常天氣發生時,將會對變電運維管理造成極大的潛在挑戰。在較為寒冷的冬季,導線便會出現過緊現象,同時設備油面也會明顯降低,出現過低現象;在較為炎熱的夏季,導線則會出現過松的現象,設備油面會明顯升高,出現過高現象;在大霧天,設備便會發生晃閃;當雷雨天氣出現時,設備則有可能會出現突然故障;當暴風、龍卷風等天氣出現時,一些雜物、引線等則會被吹起,出現纏繞等情況。以上各種情況都有可能引發事故,所以在實際情況中,應根據天氣的變化采取相應的應對措施,嚴格監督與落實。
2 變電運維管理中的預控措施
2.1 完善各類制度,監督落實到位
針對變電運維工作,必須建立完善的管理制度,并積極嚴格監督和落實。對于作業卡、設備操作卡以及巡視卡,需要重點關注并落實執行。首先,必須提高變電運維工作人員的安全意識,在思想上要高度重視,做好生產基礎工作,對于每一步的操作必須嚴格規范。其次,在日常生產管理工作中,必須明確安全生產責任并落實考核,認真做好每項工作內容。量化和細化工作中的每個操作事項,保證其能有序開展,從而形成良好的內部管理制度。全面貫徹落實安全生產準則,提高工作人員的安全責任意識,確保各管理機制平穩正常運作,從而保證變電運維安全生產工作的有序開展。
2.2 提高工作人員素質,規范操作行為
2.2.1 加強日常培訓工作,重點做好崗位培訓。在日常倒閘工作時,管理人員和運維人員必須嚴格按照“三交底”的專業要求去約束自身行為。首先,站管人員與工作負責人交底。前一日下午時段或者晚上,對于次日有操作計劃的,各變電運維工作站的管理人員必須將次日工作內容包括配合項目、操作內容、操作票、預令和次日需要使用的設備、值班人員的情況、操作注意事項以及驗收設備時的注意事項等情況做好記錄,寫在工作日志中,并向工作負責人進行匯報交底。其次,工作負責人與操作人員交底。工作負責人應將上述站管人員交底的事宜轉述給值班的操作人員,進行安全交底。最后,現場管理人員與站管人員交底。在前一日下午時段或者晚上,現場管理人員與站管人員就交底事宜進行溝通,并對運維工作站的相關情況進行詢問,監督落實各項工作。
2.2.2 做好二次直流回路的運維技術。繼電保護裝置的投入或者停用,需要根據當值的調度指令來執行。如果認為繼電保護裝置會發生誤動危險,停用的同時需要向有關調度進行匯報,說明情況。日常運作情況下,不允許沒有保護運行措施的電氣設備運行。流變二次回路不得開路,壓變二次回路不得短路也不允許并列。工作負責人需要對繼電保護裝置的定校檢修工作進行書面評論,當書面評論是“可以投入運行”時才能
使用。
2.3 全面實施精益化設備巡視
完善設備巡視卡并落實執行,尤其當異常天氣發生時,更要做好巡視檢查工作。大風天氣時,應重點巡視檢查有沒有異物搭掛在戶外設備上,設備導線上的熱縮材料有沒有脫落或者松動等情況。雷雨天氣時,應重點巡視檢查避雷器和避雷針是否完好接引地下線,并核對和記錄下全站的壁壘設備運作情況。絕緣子和瓷絕緣是否有裂紋和放電痕跡。冰雪天氣時,巡視的重點工作是檢查接點處是否發熱,設備是否存在電暈和放電爬弧現象,導線的松弛度和設備以及引線是否結冰等情況。冰雹天氣時主要檢查設備的瓷絕緣有沒有受到損害。大霧天氣時,最主要的巡視工作就是檢查瓷絕緣是否放電打火以及設備是否電暈和放電爬弧。通過巡視檢查發現的這些問題,進行有針對性的一一處理。
2.4 落實措施,推進運維一體化工作
穩定整合全過程業務和重組人員并保證現有業務生產的有序正常開展,確保電網安全生產和生產秩序正常,必須積極落實變電運維管理過程中的預控措施,推進變電運維一體化工作。實施“變電運維一體化”措施方案,改變原有的傳統生產組織方式,將變電運維人員和檢修人員融合起來,逐步實現設備巡視、帶點檢測、倒閘操作和維護性檢修業務等運維工作的統一管理實施,以提高變電運維工作的效率。
3 結語
事實證明,做好變電運維管理過程中的安全防護工作,不僅能確保工作人員的人身安全,還能減少事故的發生,從而維護好企業利益和社會利益。運用逆向思維對變電運維管理中的危險點進行條理清晰的分析,并規劃出有效可行的預控策略。要想避免違章事故的發生,既要提高工作人員的安全意識,完善并監督落實各項制度,還要提升工作人員素質,規范其操作行為,實施精益化設備巡視,推進運維一體化工作,這樣才能進行實質性的安全防護。
參考文獻
[1] 邵軍.論變電運維管理中危險點分析及控制策略[J].中國電力教育,2010,(28).
[2] 李云啟.關于變電運維中危險點控制的分析[J].科技視界,2012,(30).
[3] 邢巍.論電氣設備倒閘操作的危險及防范[J].黑龍江科技信息,2008,(27).
1信息安全風險的特征
信息安全風險主要具有以下幾地特征。第一,動態性與可變性。信息安全風險在其生命周期內是動態進行著變化的,所以其具有動態性與可變性。第二,多樣性與多層次。信息安全風險既有管理方面的,也有技術和環境方面的,因而具有多樣性;同時,網絡層、物理層、鏈路層、應用層等都是信息安全風險作用的層面,所以又具有多層次特點。第三,可預測性。信息安全風險可以通過各種定量、定性分析方法來進行預測和判斷。第四,客觀性與不確定性。信息安全風險客觀存在于信息系統生命周期的各個階段和各個層級中,且會隨著各種不確定因素的變化而變化。
2煙草行業存在的信息安全風險
2.1易受外部干擾和攻擊
通常,煙草企業為方便基層員工,要求基層部門通過VPN來訪問企業內部信息系統,同時企業內部網絡經常會有存儲設備和電腦供應商的介人。企業內部網絡與外部網絡的頻繁連接,為外部網絡中病毒、木馬、黑客等對企業內部網絡的干擾、攻擊與破壞創造了便利的通道。一旦企業內部網絡遭受外部干擾和攻擊,將很可能導致企業信息系統遭受不良影響而中斷,甚至造成整個網絡系統癱瘓和計算機的崩潰,給企業造成巨大的經濟損失。
2.2內部安全存在隱患
隨著信息技術應用的日益普遍和成熟,各煙草企業已建立起屬于自己的內部局域網,并開發出各種所需信息系統,包括信息管理系統、生產銷售系統、辦公系統、綜合服務系統、決策系統等。這些系統共同支撐起企業經營決策管理,大大提高了企業辦公的效率。然而,信息系統在給企業帶來巨大便利的同時,也給企業信息安全帶來了更多、更大的風險,如不良信息對員工思想的沖擊,員工結構頻繁的變化流動等,都給企業的內部安全控制造成了很大隱患。
3煙草行業信息安全風險的控制策略
3.1加強數據備份與恢復,提高數據安全
數據安全是信息系統最為核心的一個部分,它具有兩種含義。其一,數據本身的安全,指通過數據完整性、數據加密等現代使用較為廣泛的加密算法對數據進行主動保護,提高數據本身的安全性。其二,數據防護的安全,指以現代數據存儲為主要工具對數據進行安全防護,如數據備份、數據恢復、磁盤陣列等。對于煙草行業而言,宜采用統一的數據備份系統和性能良好的數據備份軟件,以提高數據的備份和恢復功能,并按照備份策略對所有需要備份的數據進行增量和完全備份,以提高數據的安全性。此外,應指派專業人員對數據備份情況進行定期檢查,以確保數據備份進行的及時準確、可靠完整。同時對數據進行定期恢復測試,對其可用性進行檢驗,根據數據可用性情況和備份、恢復情況對數據備份策略和恢復策略進行及時恰當的調整,保障數據備份策略與恢復策略可以滿足數據備份與恢復需要。
3.2提高信息系統的物理安全
在信息系統當中,物理安全指的是系統運行時所需的各種硬件設備及硬件環境的安全,這些硬件設備主要有機房及機房中的各種計算機、設備、數據存儲所需的各種介質等。信息系統具備良好的物理安全是企業內部控制安全中的一項重要內容,是網絡與計算機設備硬件自身安全及信息系統各種硬件安全穩定運行的可靠保障。提高煙草企業信息系統的物理安全,需要企業對系統硬件運行狀態進行定期檢查,及時排除硬件故障,為硬件運行提供安全可靠的外界環境。
3.3提高系統運維安全
為確保信息系統可以長期安全穩定運行,需要對信息系統進行定期維護,需要對系統內各相關軟件進行升級。在這一環節當中,信息部門作為信息系統運行與維護的主要承擔者和主要責任者,應對其職責范圍內的信息安全有所了解,并以此為基礎做好系統運維記錄,做好系統資料與各種軟件程序的防護工作,建立完整詳細的軟硬件資源庫。在強化運維人員對信息安全重要性認識的同時,對信息系統中可能存在的安全風險進行定期檢查與排除,及時獲得相應的漏洞補丁,及時修復信息系統出現的各種安全問題。
4結語
通過上文分析可知,若想要煙草企業信息系統處于相對安全的運行狀態下,就需要采取各種有效的對策來對信息系統中存在的各種安全風險進行有效控制,確保全方位提高信息系統的安全性。只有信息安全風險得到了有效控制,只有信息系統的安全性得到了切實提高,煙草行業才會快速穩定、可持續發展下去,才會為我國經濟發展貢獻一份力量。
參考文獻
[1]肖峰.煙草信息安全風險分析及策略控制[J].現代商業,2015(23).
[2]周肖肖.煙草行業電子政務項目建設中的風險管理實踐[D].北京:北京郵電大學,2009.
關鍵詞:ITIL;運維;流程
中圖分類號:TP311.52
近年來,隨著現代企業信息化程度的不斷發展,各類業務系統的不斷深化應用,企業信息化工作所涉及的內容,逐漸由基礎設施建設、信息系統運維、網絡安全保障,向引導業務協同、促進流程優化、開展數據綜合分析應用、服務決策經營管理等方面延伸。信息部門所扮演的角色也,逐步由綜合保障,向核心支撐轉變。各類信息系統已成為承載企業各項生產經營活動正常開展的平臺,因而信息系統及其配套設施的安全和穩定運行,直接關系著公司的正常運營。因此對于信息部門的運維管理水平,提出了很高的要求。
1 川渝中煙運維工作的現狀
經過多年的信息化建設,川渝中煙工業有限公司現有業務信息系統十余個,涉及公司生產調度、財務管理、物資采購、人力資源管理、市場營銷等范圍。并且大部分采用總部集中模式進行部署,IT基礎架構變的越來越復雜。面對如今多系統、多數據、多廠商和多架構復雜現狀,傳統的IT運維管理的方式帶來的弊端逐漸顯現:
(1)由于實施經驗等原因,在體系建設的系統性、科學性和完整性等方面存在一定缺陷,沒有形成統一的管控模式,尚未形成規范的IT管控體系和技術支撐體系。
(2)由于信息部門人員較少,川渝中煙采用外協單位進行運維的方式開展運維工作。在系統運行出現問題后,如何協調好不同的外協單位,相互配合處理故障,都成為了長期困擾信息部門負責運維工作的人員的難題。
(3)缺乏統一的集中監控與管理平臺,無法快速定位故障源和發現潛在故障,缺乏預警機制。在實際工作中常常扮演救火員的角色,無法做到提前預防,主動式運維。
(4)缺乏日常運行維護工作的管理工具,目前值班、運維等工作流程還采用紙介質進行記錄。
(5)缺乏量化運維工作量的工具,無法對運維人員進行有效的考核,運維工作的價值得不到直接體現。
建立完善的IT管控體系及制度框架,制定IT管控主要配套制度;建立各類IT管控流程,實現面向流程的業務管理模式;建立集中監控管理平臺、實現對問題的快速響應和及時處理,真正實現運行監控可視化、事件處理自動化、運維流程有序化、服務質量可量化的目標,從而整體提高IT運維管理水平,已成為川渝中煙信息化運維管理工作的需要達到的目標。
2 ITIL簡介
ITIL即IT基礎架構庫(Information Technology Infrastructure Library)是IT服務管理(ITSM)的最佳實踐,它具有很多成功的案例。如:寶潔公司(P&G)從1997年開始采用ITIL進行IT服務管理,在隨后的4年中節省了超過5億美元的IT預算,運營費用降低了6%~8%,技術人員的人數減少了15%~20%。ITIL是根據實踐而不是理論開發的,英國商務部OGC(Office of Government Commerce)收集和分析全球各種組織解決服務管理問題方面的信息,進行總結和篩選,最終了ITIL。它來源于實踐,反過來也指導于實踐。
本文基于ITIL服務管理體系,結合企業實際情況,對運維平臺中運維服務流程的角色定位做了相關設計,以保證相關運維服務流程能夠順利運轉。
3 基于ITIL的運維流程角色設計
結合ITIL概念的運維平臺的設計思路是以事件管理、問題管理、配置管理、變更管理和管理五個IT服務管理關鍵流程為主線建立運維服務流程;在服務流轉過程中輔以相關角色權限管理,知識庫管理以及運維考核等管理內容,覆蓋運維服務生命周期管理內容;流程服務與IT基礎設施監控平臺等系統通過接口進行對接,實現主動防御,主動告警的運維安全服務機制。
基于服務流程的運維管理系統,流程中所涉及的各個環節的職能職責的明確,以及其分配的合理性,是系統流程正常運轉的基礎。因此在流程設計中,在應用現有國際標準體系的同時,應結合企業自身實際情況進行優化,以減少國際標準在實際應用中“水土不服”的情況。
川渝中煙信息部門負責信息設備運維管理工作的人員僅為3人,其職責包括各業務信息系統、服務器、網絡設備、安全設備、機房環境配套設備以及個人終端設備的運行維護管理工作,以及耗材管理,設備采購,制度制定等綜合事務。在實際的運維工作中,更多的是管理和協調相關因為單位進行處理,故障處理的具體操作由不同的外協單位進行。因此,在整個系統的流程設計中,將各運維外協單位的職責范圍定義為運維事件的處理環節,而信息部門運維管理人員的職責范圍定義為對整個運維事件的各流程節點中的審批、授權、記錄和考核等管理工作。
服務臺在運維服務工作中,負責響應終端客戶的服務請求,由外協運維人員擔任,要求能夠具備基礎而全面的運維知識,了解川渝中煙主要系統運維基本情況。服務臺通過系統下發工單的形式向對應一線支持人員發起運維服務流程。服務臺的另一個職責是對運維服務的結果進行確認和記錄,以及用戶回訪。
工單生成的形式為兩種:終端用戶可通過電話、郵件和運維平臺三種方式向服務臺提出服務申請。服務臺對于無法當場自行處理的問題進行記錄,生成工單;監控平臺的出現系統告警后,會自動生成系統工單發向服務臺,服務臺將工單向下一環節發送一線、二線支持對工單所描述的問題進行處理,一線工程師為各外協運維單位現場駐場人員,負責對服務臺無法解決的時間進行快速有效的分析,提出解決方案以盡快恢復服務。二線工程師為各外協服務單位遠程技術支持。負責提供對一線支持人員無法解決的事件進一步進行調研,找出解決方案并盡快恢復服務。
運維服務的整個周期內,在生成工單、運維處理過程以及事件處理結束等諸多流轉環節中,系統均會同步抄送一份記錄發給川渝中煙信息部門運維管理員留檔。對于涉及審批授權等環節的內容,運維管理員則是作為甲方授權人員,直接參與到流程運轉的環節中。待甲方相應授權通過后,流程才會繼續往下運轉;而在故障處理的環節中,運維管理員主要職能是運維工作進度管理,過程審計和質量考核,不參與進流程運轉環節,因此不會影響對于故障處理環節的具體執行。在具體角色的分配上,采用AB角的方式進行多用戶授權,同時開發無線終端界面,結合VPN等技術實現遠程管理,以保證流程的流暢運轉。
這種流程角色設計方案,在確保了權限審批的規范性的同時,也兼顧了故障處理的及時性,保證了運維平臺的流程運轉部分的合理性和可用性。
4 結束語
ITIL是管理科學在信息技術中的應用,它描述了一些列基于過程的IT服務管理最佳實踐經驗,沒有針對任何特殊平臺或者技術,只是在理論上進行指導。項目的關鍵在于如何結合企業自身實際應用實現標準體系落地,從合規性,適用性,科學性等方面,對所有流程循序漸進,科學合理的進行設計。
企業IT服務管理是一個長期建設的過程,以ITIL理論為指導,需經過不斷的應用完善和優化調整,來逐步形成適應企業自身發展的IT服務管理體系。運維服務平臺作為IT運維服務管理體系的固化和落地,配套的運維管理制度,以提供制度支撐,也是確保能夠實現ITIL最佳實踐的重要因素。
參考文獻:
[1]曹漢平,王強,賈素玲.現代IT服務管理:基于ITIL的最佳實踐[M].北京:清華大學出版社.
[2]Jan van Bon.基于ITIL的IT服務管理基礎篇[M].北京:清華大學出版社.
