運(yùn)維管理保障體系大全11篇

緒論：寫作既是個人情感的抒發(fā)，也是對學(xué)術(shù)真理的探索，歡迎閱讀由發(fā)表云整理的11篇運(yùn)維管理保障體系范文，希望它們能為您的寫作提供參考和啟發(fā)。

篇（1）

doi：10.3969/j.issn.1673 - 0194.2016.16.000

[中圖分類號]F270.7 [文獻(xiàn)標(biāo)識碼]A [文章編號]1673-0194（2016）16-00-02

1 中國石油企業(yè)信息門戶背景介紹

中國石油企業(yè)信息門戶于2003年開始統(tǒng)一建設(shè)與推廣應(yīng)用。采用統(tǒng)一平臺、統(tǒng)一標(biāo)準(zhǔn)規(guī)范、統(tǒng)一技術(shù)對其下屬企業(yè)進(jìn)行建設(shè)。歷經(jīng)十余年應(yīng)用，企業(yè)信息門戶在企業(yè)的生產(chǎn)、經(jīng)營和管理等方面發(fā)揮了重要的作用。各企業(yè)門戶主管部門，始終把門戶管理和運(yùn)維工作作為工作重點(diǎn)，作為提升企業(yè)價(jià)值的重要舉措。通過注重公平公正，強(qiáng)化激勵約束，嚴(yán)格獎懲，不斷深化門戶機(jī)制創(chuàng)新，著力構(gòu)建完善的門戶運(yùn)維工作體系。

隨著門戶管理與運(yùn)維工作的不斷推進(jìn)與深化，原有工作體系存在著不足與短板，例如考核評價(jià)體系仍然需要完善，考核的力度、深度和廣度還不夠，過程評價(jià)不足，評價(jià)手段單一等。另外，通過門戶評估，能夠發(fā)現(xiàn)門戶網(wǎng)站建設(shè)、運(yùn)行、管理中存在的不足，提出下一步門戶工作重點(diǎn)和發(fā)展目標(biāo)，積極采取有效的措施完善改進(jìn)，有效引導(dǎo)門戶健康有序發(fā)展。

隨著企業(yè)規(guī)模的不斷增大，企業(yè)必須依靠信息化促進(jìn)企業(yè)經(jīng)營管理水平的提升，推動企業(yè)長久發(fā)展。而信息門戶恰恰是最基本的信息技術(shù)手段，因此需要最大限度發(fā)揮門戶的服務(wù)能力，更好地為員工提供有效服務(wù)，為企業(yè)提供服務(wù)保障。因此構(gòu)建大型煉化企業(yè)門戶管理與運(yùn)維體系，實(shí)現(xiàn)門戶管理和運(yùn)維的閉合回路，是非常必要的。

2 信息門戶實(shí)施內(nèi)涵

構(gòu)建大型煉化企業(yè)門戶管理與運(yùn)維的閉合回路，即是對現(xiàn)行門戶管理制度、標(biāo)準(zhǔn)規(guī)范、運(yùn)維流程等進(jìn)行總結(jié)梳理，完善門戶考核評價(jià)等工作，通過構(gòu)建門戶管理、運(yùn)維、安全保障和考核評價(jià)等四個體系，環(huán)環(huán)相扣，互相影響和指導(dǎo)，從而形成符合企業(yè)門戶發(fā)展的、科學(xué)合理的門戶管理與運(yùn)維工作體系，覆蓋門戶所有工作環(huán)節(jié)中，永遠(yuǎn)不會脫離PDCA管理模型：策劃實(shí)施檢查改進(jìn)策劃，實(shí)現(xiàn)了門戶管理和運(yùn)維工作的閉合回路。

3 構(gòu)建大型煉化企業(yè)門戶管理與運(yùn)維閉合回路的主要做法

構(gòu)建完善的門戶管理、運(yùn)維、安全保障和考核評價(jià)等4個體系，每個體系都采用PDCA方法進(jìn)行不斷建設(shè)與完善，搭建形成覆蓋企業(yè)門戶管理和運(yùn)維的閉環(huán)管理環(huán)境，推動企業(yè)門戶的發(fā)展，提升門戶服務(wù)能力，促進(jìn)企業(yè)管理水平的提升。

3.1 構(gòu)建完善的門戶管理體系

3.1.1 門戶管理體系的內(nèi)容

門戶管理體系是由制度、標(biāo)準(zhǔn)、規(guī)范、組織機(jī)構(gòu)、人員和流程等內(nèi)容組成。它是開展門戶工作的前提，有效的管理體系將使企業(yè)的門戶管理和運(yùn)維工作制度化、規(guī)范化。

3.1.2 門戶管理體系的規(guī)劃與實(shí)施

（1）完善制度、標(biāo)準(zhǔn)和規(guī)范。制度是圍繞門戶工作各個環(huán)節(jié)而設(shè)計(jì)的一整套管理規(guī)范。立足公司實(shí)際，自上而下、分步實(shí)施、穩(wěn)步推進(jìn)、逐步完善，形成了企業(yè)統(tǒng)一管理框架，便于管理層、運(yùn)維人員及用戶參照和使用。如《公司信息門戶網(wǎng)站管理辦法》《公司門戶建設(shè)與運(yùn)行管理規(guī)定》等，規(guī)范門戶管理和運(yùn)維工作，保證系統(tǒng)穩(wěn)定、高效運(yùn)行。標(biāo)準(zhǔn)是圍繞門戶工作制定的一系列可重復(fù)使用的規(guī)則、導(dǎo)則或特性文件。如《公司信息門戶網(wǎng)站編輯規(guī)范》《門戶信息格式規(guī)范》等。

（2）明確組織機(jī)構(gòu)和人員職責(zé)分工，建立有效管理機(jī)制。機(jī)構(gòu)設(shè)置上保證責(zé)任全覆蓋。企業(yè)門戶管理的組織機(jī)構(gòu)包括公司信息化工作委員會、門戶主管部門及門戶運(yùn)維部門。公司信息化工作委員會由公司領(lǐng)導(dǎo)班子成員及信息管理部領(lǐng)導(dǎo)組成，負(fù)責(zé)研究和審定公司辦法及管理制度，監(jiān)督與檢查管理過程中的、重大情況的決策等，加強(qiáng)了對門戶工作的統(tǒng)一領(lǐng)導(dǎo)和綜合協(xié)調(diào)。門戶管理由辦公室牽頭，各職能部門共同參與，使管理更加便捷和精準(zhǔn)，提高工作效率和質(zhì)量，完善管理環(huán)節(jié)與工作流程。

（3）建立、完善管理流程是門戶管理工作的重要內(nèi)容，要明確怎么管，如何管。

3.2 構(gòu)建完善的門戶運(yùn)維體系

3.2.1 門戶運(yùn)維體系的內(nèi)容

門戶運(yùn)維體系也是由制度、標(biāo)準(zhǔn)、規(guī)范、組織機(jī)構(gòu)、人員、工作流程等內(nèi)容組成。它是做好門戶工作的基礎(chǔ)，主要涵蓋運(yùn)維全部工作，要確保門戶穩(wěn)定、可靠、便捷、高效和安全。

3.2.2 門戶運(yùn)維體系的規(guī)劃與實(shí)施

（1）制定有關(guān)運(yùn)維工作的制度和標(biāo)準(zhǔn)。在管理體系中已經(jīng)建立和完善門戶制度、標(biāo)準(zhǔn)和規(guī)范，因此，在運(yùn)維體系下，主要是圍繞門戶運(yùn)維工作制定相應(yīng)的運(yùn)維制度、標(biāo)準(zhǔn)和規(guī)范。同樣也要立足工作實(shí)際，便于運(yùn)維人員及用戶參照和使用。例如制定完善《企業(yè)門戶網(wǎng)站運(yùn)維工作細(xì)則》《門戶網(wǎng)站用戶操作手冊》《門戶網(wǎng)站管理員日常操作手冊》《門戶網(wǎng)站功能模塊維護(hù)手冊》等，涵蓋運(yùn)維所有工作內(nèi)容，要制定表單跟蹤，規(guī)范門戶運(yùn)維工作，保證系統(tǒng)穩(wěn)定、高效運(yùn)行。

（2）明確組織機(jī)構(gòu)和人員職責(zé)分工，構(gòu)建有效運(yùn)維機(jī)制。一般都是由企業(yè)信息部門承擔(dān)運(yùn)維工作，或者企業(yè)信息部門和下屬單位共同承擔(dān)。人員分為專責(zé)和兼職兩種。

（3）完善和梳理工作流程，門戶系統(tǒng)運(yùn)維工作大體分為如下五個方面。

第一，門戶建設(shè)和維護(hù)。主要包括門戶網(wǎng)站的新建與改版、專題新建與維護(hù)、門戶功能的擴(kuò)展等內(nèi)容。由用戶填寫《門戶建設(shè)（變更）申請表》交由運(yùn)維部門操作、執(zhí)行、反饋并存檔。

第二，門戶系統(tǒng)權(quán)限運(yùn)維。主要對信息采編、文檔庫、網(wǎng)站、網(wǎng)站集權(quán)限等進(jìn)行變更、維護(hù)與管理。由用戶填寫《門戶權(quán)限變更申請表》并由運(yùn)維部門授權(quán)、反饋和存檔。

第三，門戶系統(tǒng)軟件運(yùn)維。主要對系統(tǒng)軟件包括服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫等進(jìn)行運(yùn)維。操作系統(tǒng)主要是對日志、補(bǔ)丁更新、接口等進(jìn)行監(jiān)控、優(yōu)化和故障排查等。數(shù)據(jù)庫主要是對數(shù)據(jù)備份、數(shù)據(jù)恢復(fù)、數(shù)據(jù)庫優(yōu)化、故障排除等進(jìn)行運(yùn)維。備份工作確定好增量備份和完整備份的時(shí)間、方式，以及數(shù)據(jù)保留周期等，填寫《門戶數(shù)據(jù)備份日志》進(jìn)行留存。

第四，門戶系統(tǒng)硬件運(yùn)維。主要是對硬件設(shè)備（服務(wù)器、存儲等）的日常巡檢，定期檢查和維修，保障設(shè)備的正常運(yùn)行。運(yùn)維人員巡檢填寫《門戶巡檢記錄》，維修需要填寫《門戶硬件維修表單》等存檔。

第五，門戶系統(tǒng)客戶端運(yùn)維。針對最終用戶在使用過程中出現(xiàn)的問題進(jìn)行處理，保障其應(yīng)用正常。運(yùn)維人員根據(jù)日常處理情況填寫《問題記錄日志表單》。

針對整體運(yùn)維情況，企業(yè)可統(tǒng)計(jì)《門戶運(yùn)行周報(bào)》或《門戶運(yùn)行月報(bào)》，進(jìn)行分析總結(jié)，記錄相應(yīng)信息。

3.3 構(gòu)建完善的門戶安全保障體系

3.3.1 門戶安全保障體系的內(nèi)容

門戶安全保障體系也是由制度、標(biāo)準(zhǔn)、組織機(jī)構(gòu)、人員、工作內(nèi)容組成。完善的安全保障體系能夠有效預(yù)防各類事故的發(fā)生，減少突發(fā)事件帶來無法預(yù)估的工作量和影響。

3.3.2 門戶安全保障體系的規(guī)劃與實(shí)施

（1）完善門戶安全制度和標(biāo)準(zhǔn)。持續(xù)完善《門戶信息保障措施》《門戶突發(fā)事件應(yīng)急預(yù)案》《門戶風(fēng)險(xiǎn)管控手冊》等制度，實(shí)現(xiàn)安全工作規(guī)范化。

（2）組織機(jī)構(gòu)和人員分工。機(jī)構(gòu)設(shè)置滿足門戶信息安全需要，一般參照上述管理體系和運(yùn)維體系提及的部門共同承擔(dān)，企業(yè)信息部門為主要責(zé)任部門。

（3）安全防護(hù)工作主要包括以下三點(diǎn)內(nèi)容。

第一，監(jiān)控平臺。利用當(dāng)前先進(jìn)技術(shù)手段，建立安全保障系統(tǒng)，提高信息數(shù)據(jù)的采集、存儲、處理等各個環(huán)節(jié)的安全性，逐步完善，形成穩(wěn)定的安全保障體系。持續(xù)對門戶網(wǎng)站進(jìn)行漏洞掃描、掛馬監(jiān)測、敏感內(nèi)容監(jiān)測、域名監(jiān)測、釣魚監(jiān)測、平穩(wěn)度監(jiān)測及篡改監(jiān)測等安全監(jiān)測，及時(shí)發(fā)現(xiàn)網(wǎng)站掛馬事件、被黑事件、安全漏洞等問題，確保門戶網(wǎng)站安全運(yùn)行。

第二，風(fēng)險(xiǎn)管理。運(yùn)維人員在做好門戶基礎(chǔ)運(yùn)維工作的同時(shí)，還應(yīng)該保障系統(tǒng)的軟硬件及數(shù)據(jù)安全，加強(qiáng)風(fēng)險(xiǎn)識別和防范能力，提前預(yù)估可能出現(xiàn)的風(fēng)險(xiǎn)；針對較高的風(fēng)險(xiǎn)制定應(yīng)急措施，保障門戶系統(tǒng)安全；特別針對信息審核和，一定要嚴(yán)格按制度執(zhí)行，做好輿情管理。

第三，應(yīng)急處理。發(fā)生突發(fā)事件時(shí)，迅速發(fā)現(xiàn)并定位，按照應(yīng)急預(yù)案進(jìn)行快速響應(yīng)，使影響最小。同時(shí)應(yīng)該強(qiáng)化運(yùn)維人員的應(yīng)急反應(yīng)能力，通過定期組織應(yīng)急演練，并對演練的結(jié)果進(jìn)行總結(jié)分析，增強(qiáng)運(yùn)維人員處理突發(fā)事件應(yīng)急能力。

3.4 構(gòu)建完善的門戶考核評價(jià)體系

3.4.1 門戶考核評價(jià)體系的內(nèi)容

將門戶工作納入公司信息化考核體系，制定考核和評價(jià)指標(biāo)，分層次比照，加強(qiáng)考核與評價(jià)。建立考核和激勵機(jī)制，對用戶、運(yùn)維人員和管理人員進(jìn)行考核，對失誤的地方予以批評指正，對提高、改進(jìn)的地方予以獎勵，充分調(diào)動人員的積極性、主動性，及時(shí)發(fā)現(xiàn)問題，消除潛在的隱患，促進(jìn)全過程價(jià)值創(chuàng)造，進(jìn)一步提高運(yùn)維管理的水平。

3.4.2 門戶考核評價(jià)體系的規(guī)劃與實(shí)施

考核不僅僅是評價(jià)和監(jiān)督更是激勵。完整的考核評價(jià)體系能有效發(fā)掘員工的潛能，提升業(yè)務(wù)能力和技術(shù)能力，進(jìn)而提升整體運(yùn)維水平。

（1）全要素評價(jià)。對門戶的考核不僅包含工作完成情況，還包含服務(wù)滿意度、故障處理及時(shí)率、系統(tǒng)暢通率、設(shè)備完好率、維護(hù)及時(shí)率、培訓(xùn)情況等以及人員日常工作表現(xiàn)和素質(zhì)能力的評價(jià)。

（2）全過程控制。貫穿整個門戶工作中，結(jié)果性指標(biāo)與過程性指標(biāo)相結(jié)合，日常考核與年終考核相結(jié)合。將考核內(nèi)容量化，按規(guī)定的程序和頻率進(jìn)行考核評價(jià)。

考核結(jié)果應(yīng)擴(kuò)大化、直接化、顯現(xiàn)化，與績效獎金直接掛鉤。按照公開公平公正的原則，保證考核制度公開、目標(biāo)設(shè)定公正、考核過程規(guī)范、考核結(jié)果公平，充分調(diào)動人員的積極性。還要考慮激勵約束并重，堅(jiān)持結(jié)果考核與過程評價(jià)相統(tǒng)一，激勵與約束相配套，責(zé)權(quán)利相統(tǒng)一，考核結(jié)果與績效獎金、培訓(xùn)發(fā)展等緊密掛鉤。

4 結(jié) 語

企業(yè)信息化就是利用信息技術(shù)搭建支持企業(yè)生產(chǎn)經(jīng)營管理的運(yùn)行平臺，通過資源的有效利用，實(shí)現(xiàn)降本增效，提高企業(yè)核心競爭力。信息門戶作為企業(yè)最基本的信息技術(shù)手段，企業(yè)應(yīng)從管理、服務(wù)和業(yè)務(wù)發(fā)展角度出發(fā)，建立完善的門戶管理運(yùn)維的閉合回路，提高門戶服務(wù)水平和能力，保障信息系統(tǒng)高效安全運(yùn)行，從而為企業(yè)信息化建設(shè)提供有力支撐。

篇（2）

1 綜合治理信息安全的戰(zhàn)略背景

 

IT管理技術(shù)發(fā)展歷程，從被動管理轉(zhuǎn)向主動管理，從服務(wù)導(dǎo)向轉(zhuǎn)向業(yè)務(wù)價(jià)值。在科學(xué)的IT管理方法論方面形成了一系列標(biāo)準(zhǔn)：諸如ITIL/ITSM以流程為中心的IT管理行業(yè)標(biāo)準(zhǔn);ISO20000ITIL 的國際標(biāo)準(zhǔn); COBIT面向IT審計(jì)的IT管理標(biāo)準(zhǔn);COSO企業(yè)內(nèi)部控制框架，面向內(nèi)部控制;ISO17799：信息安全管理國際標(biāo)準(zhǔn)。當(dāng)前有很多非常好的綜合性標(biāo)準(zhǔn)與規(guī)范可以參考，其中非常有名的就是ISO/IEC27000系列標(biāo)準(zhǔn)。ISO/IEC 27001通過PDCA過程，指導(dǎo)企業(yè)如何建立可持續(xù)改進(jìn)的體系。

 

目前企業(yè)IT運(yùn)維管理現(xiàn)狀。需求變化：IT本身快速變更;管理目標(biāo)多角度變換并存。資源不足：IT 復(fù)雜性成長快于人員成長;IT 人員持續(xù)流動。業(yè)務(wù)影響：難以判斷事件對業(yè)務(wù)的影響和處理事件的優(yōu)先級。信息孤島：IT 資源多樣性的，不能進(jìn)行事件的關(guān)聯(lián)分析，缺少統(tǒng)一的健康視圖。IT網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)維存在監(jiān)測盲點(diǎn)，缺少主動預(yù)警和事件分析機(jī)制。

 

如何把此項(xiàng)復(fù)雜的工程進(jìn)行細(xì)化與落地，建立信息安全保障框架?在企業(yè)有限的IT資源(包括人員、系統(tǒng)等)等的前提下，IT運(yùn)營面臨嚴(yán)峻的挑戰(zhàn)，企業(yè)多半缺乏信息系統(tǒng)應(yīng)用開發(fā)能力，在很大程度上依賴于產(chǎn)品開發(fā)商的支持，為此，要想實(shí)現(xiàn)從混亂到清晰、從被動到主動、從應(yīng)付到實(shí)現(xiàn)價(jià)值取向的服務(wù)思想，自主加外包的混合運(yùn)維方式無疑是一種好的服務(wù)方式。

 

2 建立和實(shí)施信息安全保障體系思路和方法

 

針對IT管理問題和價(jià)值取向的服務(wù)方式，借鑒PDCA工作循環(huán)原理和標(biāo)準(zhǔn)化體系建設(shè)方法，從建立安全目標(biāo)和組織體系、制度體系和技術(shù)體系等三個主要層面構(gòu)建實(shí)施信息安全保障體系，以規(guī)范引導(dǎo)人、以標(biāo)準(zhǔn)流程引導(dǎo)人，以業(yè)績激勵人，從而促被動變主動，堅(jiān)持持續(xù)改善，促進(jìn)工作效率，促進(jìn)安全保障。

 

2.1 建立和推行目標(biāo)管理

 

體系建設(shè)應(yīng)以目標(biāo)管理為先導(dǎo)、循序漸進(jìn)，按頂層布局、中層發(fā)力、底層推動內(nèi)容設(shè)計(jì)與構(gòu)建，為此，借鑒當(dāng)前IT運(yùn)維管理目標(biāo)演進(jìn)方式，確立各階段建設(shè)目標(biāo)。

 

基礎(chǔ)架構(gòu)建設(shè)階段(SMB)，手工維護(hù)階段。主要實(shí)現(xiàn)IT基礎(chǔ)架構(gòu)建設(shè)。

 

網(wǎng)絡(luò)和系統(tǒng)監(jiān)控(NSM)階段，重視自動化監(jiān)控階段。主要實(shí)現(xiàn)IT設(shè)備維護(hù)和管理。

 

IT服務(wù)管理(ITSM)階段，重視流程管理階段。主要實(shí)現(xiàn)IT服務(wù)流程管理。

 

業(yè)務(wù)服務(wù)管理(BSM)階段，重視用戶服務(wù)質(zhì)量與滿意度。主要實(shí)現(xiàn)IT與業(yè)務(wù)融合管理。

 

從IT投入和業(yè)務(wù)價(jià)值來看，前三個階段是間接業(yè)務(wù)價(jià)值，第四階段才是直接業(yè)務(wù)價(jià)值。

 

根據(jù)ITIL這個IT服務(wù)管理的方法論，先是搭建一個框架，借用工具的配合促進(jìn)落地。如圖1、IT運(yùn)維管理系統(tǒng)參考模型。

 

從安全目標(biāo)出發(fā)，結(jié)合IT運(yùn)維管理系統(tǒng)參考模型，每個階段的工作向著實(shí)現(xiàn)直接業(yè)務(wù)價(jià)值，不斷消除或減輕對性能的約束，促進(jìn)IT產(chǎn)品或服務(wù)滿足確定的規(guī)范，實(shí)現(xiàn)企業(yè)效益最大化。服務(wù)好用屬性通過最終的績效和檢驗(yàn)結(jié)果監(jiān)視測量價(jià)值成分。如圖2。

 

2.2 規(guī)劃融合信息安全保障體系

 

通過從組織體系、制度體系、技術(shù)體系層面建立和實(shí)施縱深防御體系，實(shí)現(xiàn)穩(wěn)健的信息安全保障狀態(tài)。

 

①組織體系：通過企業(yè)中高層的支持實(shí)現(xiàn)業(yè)務(wù)驅(qū)動和共同推動信息安全體系建設(shè)。當(dāng)然，需要提出的問題，組織有可能要依賴長期可靠的合作伙伴：通過長期可靠的合作關(guān)系，快速引進(jìn)外部專業(yè)資源和先進(jìn)技術(shù)，可以幫助企業(yè)推動信息安全建設(shè)工作。為了幫助組織內(nèi)外信息系統(tǒng)人員更好地遵守行業(yè)規(guī)范及法律要求，企業(yè)實(shí)施IT網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)維體系標(biāo)準(zhǔn)，組織應(yīng)做到定期對全體員工進(jìn)行信息安全相關(guān)教育，包括：技能、職責(zé)和意識，通過相關(guān)審核，證明組織具備實(shí)施體系的意識和能力。

 

②制度體系：企業(yè)IT網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)維系統(tǒng)建設(shè)的范圍包括機(jī)房安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、服務(wù)器安全、業(yè)務(wù)應(yīng)用安全、終端安全等。為此，企業(yè)應(yīng)明確內(nèi)部運(yùn)維和外部協(xié)同的內(nèi)容及其標(biāo)準(zhǔn)規(guī)范，包括績效標(biāo)準(zhǔn)。建立實(shí)施IT網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)維體系標(biāo)準(zhǔn)，首先把高效的信息安全做法固化下來形成規(guī)則制度或標(biāo)準(zhǔn)，成為組織中信息安全行為準(zhǔn)則。保證事前預(yù)防、事中監(jiān)控和事后審計(jì)等安全措施的得到有效執(zhí)行與落實(shí)。

 

③技術(shù)體系：一般來說，網(wǎng)絡(luò)設(shè)備技術(shù)體系可以按照從上到下信息所流經(jīng)的設(shè)備來部署工具。即從數(shù)據(jù)安全、終端安全、應(yīng)用安全、操作系統(tǒng)與數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全、物理安全六個方面來選擇不同的安全工具。按照“適度防御”原則，綜合采用各種安全工具進(jìn)行組合，形成企業(yè)“適用的”安全技術(shù)防線。適時(shí)根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險(xiǎn)。

 

其中，需要采用1～2種綜合管理的工具來幫助把所有的安全監(jiān)控工具進(jìn)行統(tǒng)一管控。例如SOC是給企業(yè)日常維護(hù)管理者使用，ITRM作為綜合風(fēng)險(xiǎn)呈現(xiàn)，是給企業(yè)風(fēng)險(xiǎn)或安全管理層使用。

 

④體系運(yùn)行和監(jiān)控：體系的日常運(yùn)行和監(jiān)控就是從信息的生命周期進(jìn)行流程控制，即在信息的創(chuàng)建、使用、存儲、傳遞、更改、銷毀等各個階段進(jìn)行安全控制。之前不能忽視在信息創(chuàng)建開發(fā)安全階段的一個細(xì)化控制手段。在運(yùn)行體系建設(shè)中，往往需要結(jié)合流程分析來關(guān)注信息的生命周期安全。運(yùn)行過程中還有一個應(yīng)急管理，包括災(zāi)備中心建設(shè)、業(yè)務(wù)連續(xù)性計(jì)劃、應(yīng)急響應(yīng)等等都有相應(yīng)的標(biāo)準(zhǔn)與理論支持。特別是BS25999標(biāo)準(zhǔn)的頒布，給如何建立一套完善的應(yīng)急體系提供了參考。

 

3 企業(yè)建立和實(shí)施信息安全保障體系實(shí)踐

 

面對網(wǎng)絡(luò)系統(tǒng)互連，網(wǎng)絡(luò)技術(shù)與設(shè)備的安全管理規(guī)范的完善這個復(fù)雜而且浩大的工程，井岡山卷煙廠不僅依靠個體分散的技術(shù)措施或者管理防護(hù)，而且結(jié)合國家、社會和個人的力量構(gòu)建綜合保障體系。

 

①依據(jù)ISO9000、ISO14000和OHSAS18000標(biāo)準(zhǔn)，國家計(jì)算機(jī)網(wǎng)絡(luò)和信息安全相關(guān)法律法規(guī)，參考當(dāng)前科學(xué)的IT管理方法論方面形成了一系列標(biāo)準(zhǔn)，結(jié)合YC/T384煙草企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)等，識別這些與信息安全相關(guān)的法律法規(guī)及其它要求，將信息安全保障體系(框架)融合到企業(yè)質(zhì)量、環(huán)境和職業(yè)健康安全(以下簡稱為三標(biāo))綜合管理體系。

 

②確定信息安全管理目標(biāo)并分步實(shí)施企業(yè)三年信息化發(fā)展規(guī)劃。自2012年開始，企業(yè)對照YC/T384煙草企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)要求，在梳理和評價(jià)2000年以來企業(yè)多個企業(yè)信息化三年實(shí)施規(guī)劃實(shí)踐環(huán)境以后，制訂了新的三年信息安全管理目標(biāo)和建設(shè)規(guī)劃，將目標(biāo)和規(guī)劃分解到各年度實(shí)施，并納入到企業(yè)年度三標(biāo)綜合管理體系建設(shè)目標(biāo)和管理績效考核。

 

③建立信息安全管理組織和工作標(biāo)準(zhǔn)，同時(shí)納入三標(biāo)綜合管理體系管理考核。從體系結(jié)構(gòu)上促成企業(yè)作業(yè)層、管理層(中間層)和決策層的信息化，實(shí)現(xiàn)企業(yè)的物資(服務(wù))流、資金流和信息流的一體化，及時(shí)、準(zhǔn)確和完整地傳遞企業(yè)的經(jīng)營數(shù)據(jù)，保證企業(yè)的經(jīng)營管理。利用信息化改進(jìn)管理，形成企業(yè)信息安全文化，促進(jìn)員工接受、理解和主動配合，不斷提升全員的信息安全意識和技能，從而使信息安全管理真正落到實(shí)處。

 

④建立和實(shí)施信息安全保障體系文件標(biāo)準(zhǔn)。根據(jù)國家信息安全相關(guān)的法律法規(guī)及其它要求，結(jié)合行業(yè)和企業(yè)的特點(diǎn)和發(fā)展趨勢，規(guī)范管理流程和模式。網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)“立足長遠(yuǎn)、分步實(shí)施、突出重點(diǎn)”，做到“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一平臺、統(tǒng)一編碼”，同步實(shí)施信息系統(tǒng)等級保護(hù)制度，促進(jìn)企業(yè)與信息系統(tǒng)項(xiàng)目合作單位、地方通訊和公安等部門的社會化合作主要方式。企業(yè)內(nèi)部各項(xiàng)工作實(shí)現(xiàn)規(guī)范化、信息化，做到一切工作都按照程序辦，同時(shí)，事事處于相互制衡的環(huán)境之下、人人處于監(jiān)督管理之中，從而形成職責(zé)明確、運(yùn)轉(zhuǎn)協(xié)調(diào)、相互制衡的工作機(jī)制，為企業(yè)內(nèi)部信息安全監(jiān)管提供強(qiáng)有力的保障。

 

篇（3）

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-098X（2016）12（b）-0100-02

電力公司的安全防護(hù)體系根據(jù)省、市、縣安全防護(hù)不同層面防護(hù)要求各有側(cè)重、相互支撐、互為補(bǔ)充。根據(jù)各信息系統(tǒng)重要程度設(shè)計(jì)安全防護(hù)體系“三橫四縱”的總體架，建立信息安全防護(hù)體系。

1 信息安全防護(hù)策略設(shè)計(jì)目標(biāo)

信息安全保障體系的建設(shè)緊緊圍繞安全管理、安全技術(shù)和安全運(yùn)維3個方面，在每個方面都有相應(yīng)的具體目標(biāo)。達(dá)到這個目標(biāo)就能為綜合服務(wù)平臺構(gòu)建一個多層次、多角度的立體縱深防御體系。

安全管理的建設(shè)目標(biāo)：

確定安全組織和責(zé)任劃分，確定安全策略，確定信息資產(chǎn)分類和分級。

實(shí)現(xiàn)安全變更管理、安全補(bǔ)丁管理、安全備份管理、應(yīng)急響應(yīng)計(jì)劃、業(yè)務(wù)持續(xù)性計(jì)劃、安全核心流程。

安全培訓(xùn)與教育、安全控制要求：

對信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評估，達(dá)到ISO27001管理標(biāo)準(zhǔn)。

安全技術(shù)的建設(shè)目標(biāo)：

根據(jù)業(yè)務(wù)需求劃分不同的安全域，安全邊界進(jìn)行防護(hù)。

實(shí)現(xiàn)安全系統(tǒng)強(qiáng)化功能、建立網(wǎng)絡(luò)和主機(jī)入侵檢測機(jī)制、實(shí)現(xiàn)高危數(shù)據(jù)加密傳輸、關(guān)鍵系統(tǒng)的日志審計(jì)、建立病毒防范體系、建立身份認(rèn)證體系、訪問控制體系、遠(yuǎn)程訪問安全機(jī)制。

建立數(shù)據(jù)安全存儲體系、時(shí)間同步機(jī)制、集中安全審計(jì)體系、安全事件管理平臺。

安全運(yùn)維的建設(shè)目標(biāo)：

建立定期風(fēng)險(xiǎn)評估機(jī)制。

定期對日志進(jìn)行審計(jì)、定期進(jìn)行滲透測試。

完善安全信息上報(bào)機(jī)制、定期對安全策略和標(biāo)準(zhǔn)進(jìn)行評估和修訂。

顯示安全的運(yùn)維外包。

2 電力信息安全建設(shè)體系內(nèi)容

電力信息系統(tǒng)信息安全保障體系采用了“三橫四縱”的總體架構(gòu)，即橫向上分為3個層次，分別為應(yīng)用層、技術(shù)層、管理層；技術(shù)層次中縱向又分為4種主要體系，即以基礎(chǔ)安全服務(wù)設(shè)施、數(shù)據(jù)安全保護(hù)、網(wǎng)絡(luò)接入保護(hù)、平臺安全管理為支柱，信息安全基礎(chǔ)設(shè)施為基礎(chǔ)，通過信息安全管理體系為業(yè)務(wù)應(yīng)用提供可靠的安全保障。

一是應(yīng)用層。這是安全保障體系的主要對象。信息化建設(shè)的終極目標(biāo)是提供給用戶好用、易用、夠用的應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)是為了滿足不同用戶的不同業(yè)務(wù)需求，安全保障體系保障的核心就是應(yīng)用系統(tǒng)及其數(shù)據(jù)。

二是技術(shù)層。這是信息安全保障體系的主要體系。目前包括技術(shù)支撐體系、技術(shù)保障體系、網(wǎng)絡(luò)信任體系、安全服務(wù)體系。這4種體系已經(jīng)經(jīng)過多年的探索和建立，應(yīng)該說已經(jīng)覆蓋了技術(shù)上的所有方面。

三是管理層。包括等級保護(hù)安全策略、安全管理制度、法律法規(guī)和技術(shù)標(biāo)準(zhǔn)。通常說“三分技術(shù)、七分管理”，再好的技術(shù)也需要完善的管理才能保證技術(shù)發(fā)揮最大的效能。

3 信息安全防護(hù)設(shè)計(jì)

電力系統(tǒng)是一個由內(nèi)網(wǎng)、外網(wǎng)兩種網(wǎng)絡(luò)域構(gòu)成的龐大信息系統(tǒng)。各個網(wǎng)絡(luò)域執(zhí)行著不同的服務(wù)內(nèi)容：內(nèi)網(wǎng)是一個完整的電力系統(tǒng)辦公自動化環(huán)境，外網(wǎng)擔(dān)負(fù)著與公眾間信息溝通的責(zé)任。

如此復(fù)雜的應(yīng)用環(huán)境給系統(tǒng)帶來了大量潛在的安全隱患：黑客利用外網(wǎng)或?qū)＞W(wǎng)攻擊內(nèi)部網(wǎng)絡(luò)、數(shù)據(jù)在傳輸過程中的泄露、網(wǎng)頁遭篡改、偽造身份進(jìn)入系統(tǒng)、操作系統(tǒng)漏洞、病毒等。這些安全隱患不可能依靠某種單一的安全技術(shù)就能得到解決，必須在電力信息系統(tǒng)整體安全需求的基礎(chǔ)上構(gòu)筑一個完整的安全服務(wù)體系。

構(gòu)建一個完整的安全防護(hù)體系有組織地實(shí)現(xiàn)上述安全需求，我們提出的安全保障平臺由基礎(chǔ)安全服務(wù)設(shè)施、數(shù)據(jù)安全保護(hù)、網(wǎng)絡(luò)接入保護(hù)、平臺安全管理組成。

（1）基礎(chǔ)安全服務(wù)設(shè)施。

基礎(chǔ)安全服務(wù)設(shè)施防護(hù)設(shè)計(jì)主要包括部署平臺的應(yīng)用系統(tǒng)的身份認(rèn)證與訪問控制、基礎(chǔ)環(huán)境安全保護(hù)（訪問控制、防火墻、入侵檢測、安全審計(jì)、VPN）。

（2）數(shù)據(jù)安全保護(hù)。

數(shù)據(jù)安全保護(hù)方案是為部署在電力信息系統(tǒng)提供數(shù)據(jù)傳輸、數(shù)據(jù)訪問和數(shù)據(jù)存儲備份恢復(fù)的安全保障措施，主要分為4類：應(yīng)用保護(hù)、數(shù)據(jù)傳輸交換保護(hù)、數(shù)據(jù)備份與恢復(fù)設(shè)計(jì)。

（3）網(wǎng)絡(luò)接入保護(hù)。

統(tǒng)一管理集中建設(shè)互聯(lián)網(wǎng)接入點(diǎn)，實(shí)現(xiàn)電力各部門互聯(lián)網(wǎng)的安全接入和可管可控可剝離；各部門在統(tǒng)一的安全技術(shù)體系下，根據(jù)各自信息下發(fā)指令信息包括針對省級安全等級，建設(shè)、升級、完善安全系統(tǒng)；依托平臺建設(shè)省級安全接入機(jī)制，實(shí)現(xiàn)與接入統(tǒng)一監(jiān)控、統(tǒng)一管理和統(tǒng)一服務(wù)。

（4）平臺安全管理。

安全管理體系是信息安全保障體系建設(shè)的一個重要環(huán)節(jié)，安全管理體系的建設(shè)內(nèi)容包括：建立完善等級保護(hù)安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)運(yùn)維管理、系統(tǒng)運(yùn)維管理。

4 結(jié)語

該課題對電力公司信息安全防護(hù)策略和防護(hù)設(shè)計(jì)進(jìn)行研究，電力信息化安全服務(wù)平臺也基于電力信息系統(tǒng)安全需求設(shè)計(jì)安全防護(hù)體系，面向系統(tǒng)管理員、安全管理員提供安全保障，為各級信息化安全管理對安全監(jiān)管、信息共享和提供安全保障支撐。

參考文獻(xiàn)

[1] 高鵬，范杰，郭騫.電力系統(tǒng)信息安全技術(shù)督查策略研究[C]//電力通信管理暨智能電網(wǎng)通信技術(shù)論壇論文集.2012.

[2] 余勇，林為民，俞鋼.電力信息系統(tǒng)安全保障體系的研究[C]//2004年世界工程師大會電力和能源分會場論文集.2004.

篇（4）

2.IT建設(shè)和運(yùn)維現(xiàn)狀。卷煙企業(yè)是以煙草原料制成各類煙制品的生產(chǎn)制造企業(yè)。近年來隨著煙草行業(yè)信息化建設(shè)蓬勃發(fā)展，經(jīng)過多年信息化建設(shè)，卷煙企業(yè)在管控層和執(zhí)行層分別部署了眾多的信息化系統(tǒng)，取得了很大的成績。經(jīng)過數(shù)次ERP項(xiàng)目建設(shè)，全面覆蓋了卷煙企業(yè)生產(chǎn)經(jīng)營全過程，使卷煙企業(yè)信息化建設(shè)工作得到進(jìn)一步落實(shí)[3]，促進(jìn)了卷煙企業(yè)管理水平的進(jìn)一步提升，實(shí)現(xiàn)了業(yè)務(wù)流程標(biāo)準(zhǔn)化和規(guī)范化，實(shí)現(xiàn)了卷煙企業(yè)生產(chǎn)管理、財(cái)務(wù)業(yè)務(wù)工作一體化，實(shí)現(xiàn)了項(xiàng)目及預(yù)算管理有效監(jiān)管與控制，實(shí)現(xiàn)了物流、資金流、信息流集成和統(tǒng)一，基本形成了計(jì)劃—運(yùn)營—總結(jié)與反饋—提升的閉環(huán)，全面提升了卷煙企業(yè)管控能力，為提升以管理競爭力為中心的卷煙企業(yè)核心競爭力打下堅(jiān)實(shí)基礎(chǔ)。卷煙企業(yè)引入ITIL管理方法，通過分析IT運(yùn)維現(xiàn)狀，梳理IT維護(hù)服務(wù)流程、完善運(yùn)維管理制度等措施，加強(qiáng)IT運(yùn)維管理，有效地保障了卷煙企業(yè)信息化業(yè)務(wù)的正常運(yùn)行。但是ITIL實(shí)踐仍處于探索階段，且理論的實(shí)踐不單是技術(shù)的層面，更需要結(jié)合卷煙企業(yè)文化和管理方法進(jìn)行開展。因此需要充分分析現(xiàn)行卷煙企業(yè)信息化建設(shè)現(xiàn)狀和IT運(yùn)維管理存在的問題，逐步實(shí)施，達(dá)到ITIL思想與卷煙企業(yè)信息運(yùn)維工作的有效融合。

3.信息化面臨的挑戰(zhàn)。在煙草行業(yè)處于迅猛的發(fā)展時(shí)期，業(yè)務(wù)的多變性導(dǎo)致信息體系運(yùn)維建設(shè)也不可避免會出現(xiàn)一些問題主要表現(xiàn)如下：應(yīng)用系統(tǒng)功能定位不夠清晰：部分系統(tǒng)基于業(yè)務(wù)部門的自主需求建設(shè)，在建設(shè)前，缺少統(tǒng)一的規(guī)劃，例如市場調(diào)研系統(tǒng)、工商協(xié)同平臺、營銷信息采集系統(tǒng)、產(chǎn)銷協(xié)同等，導(dǎo)致部分功能重疊、信息孤島現(xiàn)象出現(xiàn)、信息資源利用不充分[4]。應(yīng)用系統(tǒng)功能覆蓋不夠全面：目前在各業(yè)務(wù)管理系統(tǒng)中還缺乏對采購、物流前期監(jiān)管、招標(biāo)及其客商、消費(fèi)者等方面的管理功能；在電子政務(wù)系統(tǒng)中缺少對法律、審計(jì)、知識、標(biāo)準(zhǔn)、流程、黨務(wù)等事務(wù)信息化功能及信息系統(tǒng)等業(yè)務(wù)支持不足等。應(yīng)用系統(tǒng)之間缺乏有效集成：由于缺乏統(tǒng)一軟件平臺標(biāo)準(zhǔn)和集成管理規(guī)范等原因，各系統(tǒng)供應(yīng)商提供的系統(tǒng)相對獨(dú)立，存在數(shù)據(jù)不能被充分利用、數(shù)據(jù)接口、數(shù)據(jù)轉(zhuǎn)換困難的現(xiàn)象。如：ERP系統(tǒng)中產(chǎn)、供、銷在計(jì)劃層面的聯(lián)動不夠；部分采購業(yè)務(wù)與供應(yīng)商評估沒有集成；ERP、MES、產(chǎn)品研發(fā)、辦公協(xié)同系統(tǒng)（OA）等系統(tǒng)之間也存在相當(dāng)一部分業(yè)務(wù)數(shù)據(jù)重疊，需要進(jìn)一步集成。由于缺少對IT系統(tǒng)的有效管理，加上自動化系統(tǒng)具有復(fù)雜性、綜合性及連續(xù)性等特點(diǎn)，使得傳統(tǒng)的卷煙企業(yè)信息運(yùn)維管理處于被動、孤立的狀態(tài)。如何確保這些系統(tǒng)始終處于最佳運(yùn)行狀態(tài)，并使之能根據(jù)需求的變化及時(shí)進(jìn)行相應(yīng)的調(diào)整，已成為卷煙企業(yè)高度關(guān)注的問題。越來越多的卷煙企業(yè)信息部門開始反思如何更好地實(shí)現(xiàn)IT系統(tǒng)的價(jià)值，提供更好的系統(tǒng)維護(hù)手段和方法來支撐業(yè)務(wù)的穩(wěn)定、高效及安全發(fā)展。通過進(jìn)一步總結(jié)信息系統(tǒng)運(yùn)維經(jīng)驗(yàn)，認(rèn)為提高整體工作質(zhì)量、減少各類技術(shù)故障，提高IT服務(wù)和運(yùn)維管理已成為此項(xiàng)工作亟待研究的新課題，這也是卷煙企業(yè)迫在眉睫需要解決的問題。

二、基于ITIL方法的運(yùn)維應(yīng)用研究

1.IT運(yùn)維管理應(yīng)用的探討

卷煙企業(yè)綜合信息化中既有流程性的內(nèi)容，又有離散系統(tǒng)的特點(diǎn)，在整體的信息化系統(tǒng)建設(shè)和應(yīng)用中涉及采購、運(yùn)輸、存儲、調(diào)度、生產(chǎn)、計(jì)劃及驗(yàn)收等諸多卷煙企業(yè)業(yè)務(wù)，內(nèi)容從煙葉購進(jìn)、倉儲醇化到制絲、卷包；從MES數(shù)據(jù)采集到ERP數(shù)據(jù)對接、BI數(shù)據(jù)挖掘，其IT服務(wù)、運(yùn)維管理配置，網(wǎng)絡(luò)覆蓋，IT運(yùn)維管理總體要求更高，而借鑒ITIL方法論對構(gòu)建卷煙企業(yè)綜合信息化運(yùn)維管理具有。ITIL內(nèi)容寬泛，側(cè)重于IT系統(tǒng)的運(yùn)維，目標(biāo)是通過有效的流程管理達(dá)到提高IT部門服務(wù)質(zhì)量。從卷煙企業(yè)IT運(yùn)維管理的現(xiàn)狀來看，ITIL已經(jīng)成為推進(jìn)IT運(yùn)維體系建設(shè)和日常操作管理的首要標(biāo)準(zhǔn)和最佳實(shí)踐參照。卷煙企業(yè)應(yīng)重點(diǎn)地應(yīng)用ITIL核心思想方法，建立適合卷煙企業(yè)特色的IT運(yùn)維管理體系，提高IT運(yùn)維管理的效率和規(guī)范性，保障卷煙企業(yè)IT系統(tǒng)和設(shè)備的持續(xù)穩(wěn)定運(yùn)行[5]。

2.設(shè)計(jì)符合卷煙企業(yè)特點(diǎn)的運(yùn)維管理平臺

全面探索“設(shè)計(jì)符合卷煙企業(yè)特點(diǎn)的運(yùn)維管理平臺，參照戴明環(huán)PDCA在運(yùn)維過程中制定有計(jì)劃、有執(zhí)行、有績效、有改進(jìn)的日常運(yùn)維操作手冊，其內(nèi)容涵蓋定期進(jìn)行運(yùn)維風(fēng)險(xiǎn)管理，日常運(yùn)維管理及運(yùn)維故障響應(yīng)管理三大部分，形成事前

有預(yù)防，事中有監(jiān)控，事后有補(bǔ)救位于執(zhí)行層的詳細(xì)工作指南。同時(shí)在伴隨著信息技術(shù)發(fā)展和實(shí)際應(yīng)用需求的提高，對原有單純對底層信息基礎(chǔ)設(shè)施的運(yùn)維、管理的模式進(jìn)行改造建設(shè)。在確立信息化工作向服務(wù)模式轉(zhuǎn)變后，探索新形勢下的IT保障體系，以運(yùn)維和安全為兩個著力點(diǎn)，為飛速增長的業(yè)務(wù)提供穩(wěn)固的支撐。以“提升服務(wù)、規(guī)范管理”為目標(biāo)，建立卷煙企業(yè)IT運(yùn)維管理平臺，提升運(yùn)維服務(wù)水平。運(yùn)維管理平臺整體架構(gòu)分為三層：IT監(jiān)控層、運(yùn)維管理層和綜合展示層。IT監(jiān)控層包括集中監(jiān)控中心、安全管理中心和呼叫中心，主要目標(biāo)是對業(yè)務(wù)應(yīng)用（OA、生產(chǎn)系統(tǒng)、行業(yè)系統(tǒng)、業(yè)務(wù)用戶等）、基礎(chǔ)架構(gòu)設(shè)施和安全設(shè)備的集中監(jiān)控與分析實(shí)現(xiàn)IT運(yùn)維可視化；運(yùn)維管理層包括服務(wù)流程管理、業(yè)務(wù)資源管理和安全管理，主要目標(biāo)是對運(yùn)維日常工作流程、IT資源進(jìn)行管控實(shí)現(xiàn)IT運(yùn)維規(guī)范化；綜合展現(xiàn)層包括綜合管理中心，具體提供統(tǒng)一事件管理、網(wǎng)絡(luò)狀態(tài)監(jiān)控、系統(tǒng)運(yùn)行狀態(tài)監(jiān)控、業(yè)務(wù)狀態(tài)監(jiān)控、拓?fù)涔芾怼②厔蓊A(yù)警分析、服務(wù)管理、系統(tǒng)維護(hù)、權(quán)限管理、報(bào)表管理、知識管理、故障管理、告警管理、質(zhì)量評價(jià)等功能實(shí)現(xiàn)IT運(yùn)維可控化。

3.落實(shí)卷煙企業(yè)IT服務(wù)管理的關(guān)鍵因素

（1）運(yùn)維中心組織架構(gòu)的建立。IT運(yùn)維能力提升目標(biāo)：建設(shè)統(tǒng)一管理體系：即基于ISO20000標(biāo)準(zhǔn)與ITIL最佳實(shí)踐，結(jié)合企業(yè)現(xiàn)有的信息化管控體系建設(shè)內(nèi)容建立一套符合企業(yè)的標(biāo)準(zhǔn)運(yùn)維服務(wù)管理體系與流程，規(guī)范與標(biāo)準(zhǔn)化IT服務(wù)，確保有效提升服務(wù)水平與服務(wù)質(zhì)量。將從人員、流程、技術(shù)三方面進(jìn)行建設(shè)：運(yùn)維服務(wù)層面：結(jié)合寧波卷煙企業(yè)現(xiàn)狀，組成由信息化部門、專業(yè)運(yùn)維廠商、應(yīng)用開發(fā)商的三級IT運(yùn)維管理團(tuán)隊(duì)。管理體系建設(shè)層面：梳理IT運(yùn)維服務(wù)流程，建設(shè)符合ITIL規(guī)范的流程體系，細(xì)化IT運(yùn)維規(guī)范和操作安全規(guī)范，建設(shè)IT服務(wù)管理體系[6]。運(yùn)維管理平臺建設(shè)層面：通過建設(shè)運(yùn)維管理平臺，從技術(shù)上實(shí)現(xiàn)運(yùn)維故障主動告警，運(yùn)維事件自動派單，運(yùn)維流程全面管控。針對企業(yè)已有的IT基礎(chǔ)架構(gòu)及業(yè)務(wù)應(yīng)用系統(tǒng)，進(jìn)行企業(yè)IT運(yùn)維體系設(shè)計(jì)，分步實(shí)施并部署適用于企業(yè)的IT運(yùn)維管理系統(tǒng)，實(shí)現(xiàn)對IT資源集中化、統(tǒng)一化、一體化的管理，實(shí)現(xiàn)IT服務(wù)的有效配置以及利用運(yùn)維工具對應(yīng)用系統(tǒng)的主動管理，保障企業(yè)擁有高效、穩(wěn)定、可靠、安全的信息化運(yùn)行環(huán)境。ITSM作為ITIL的具體實(shí)現(xiàn)形式體現(xiàn)。管控層：在管控層面主要建立管理計(jì)劃、執(zhí)行控制、定期檢查、績效考核等內(nèi)容，確保IT運(yùn)維管理可控。執(zhí)行層：在執(zhí)行層面主要建立主動監(jiān)控、定期檢查、事件處理、供應(yīng)商協(xié)調(diào)、報(bào)告及分析，確保IT運(yùn)維執(zhí)行有序。

（2）建設(shè)運(yùn)維服務(wù)團(tuán)隊(duì)。運(yùn)維服務(wù)層面，打造由卷煙企業(yè)信息中心、專業(yè)運(yùn)維廠商、應(yīng)用開發(fā)商組成三級運(yùn)維管理團(tuán)隊(duì)，建立規(guī)范的信息運(yùn)維體系，創(chuàng)建面向客戶的信息化服務(wù)模式，提供有價(jià)值的信息化專業(yè)服務(wù)，整體提高信息化管理水平，更好地服務(wù)于企業(yè)生產(chǎn)、經(jīng)營活動。信息中心需要確保運(yùn)維所需的過程得到建立、實(shí)施和保持，并且能夠履行決策、協(xié)調(diào)、指揮、控制、監(jiān)督、指導(dǎo)等職責(zé)。從這個角度出發(fā)，運(yùn)維服務(wù)需要在信息中心的統(tǒng)籌運(yùn)營管理下，通過建立運(yùn)維管控層和運(yùn)維執(zhí)行層，來實(shí)現(xiàn)對所有應(yīng)用系統(tǒng)服務(wù)需求的受理、派工、追蹤、反饋和考核。通過建設(shè)IT運(yùn)維管理團(tuán)隊(duì)，通過設(shè)立統(tǒng)一服務(wù)臺，細(xì)化運(yùn)維專業(yè)分工，實(shí)現(xiàn)運(yùn)維與開發(fā)的分離，實(shí)現(xiàn)運(yùn)維團(tuán)隊(duì)專業(yè)化。通過梳理IT服務(wù)流程，細(xì)化IT運(yùn)維規(guī)范，建設(shè)IT服務(wù)管理體系，實(shí)現(xiàn)運(yùn)維流程規(guī)范化。通過建設(shè)IT服務(wù)管理系統(tǒng)及IT集中監(jiān)控系統(tǒng)，從技術(shù)上實(shí)現(xiàn)運(yùn)維管理的可視、可管、可控，實(shí)現(xiàn)運(yùn)維技術(shù)自動化。以此，在滿足對信息資源進(jìn)行統(tǒng)一管理、完善應(yīng)急能力、降低運(yùn)行成本、提高服務(wù)質(zhì)量和效率的同時(shí)，更需要在保障所有業(yè)務(wù)應(yīng)用系統(tǒng)正常運(yùn)行的情況下開展工作，體現(xiàn)信息相關(guān)投資的價(jià)值，保障信息系統(tǒng)的可用性、可靠性，及信息應(yīng)用系統(tǒng)自身的持續(xù)發(fā)展[7]。

（3）運(yùn)維管理體系制度建設(shè)。運(yùn)維管理層面上，將建設(shè)集運(yùn)維預(yù)防控制體系、運(yùn)維事中操作控制體系和運(yùn)維事后恢復(fù)控制體系為一體的運(yùn)維管理制度體系，從組織、流程與規(guī)范三方面保障全區(qū)運(yùn)維服務(wù)。運(yùn)維安全管理制度體系：建立一套運(yùn)維安全保障體系制度，該制度是《運(yùn)維安全體系制度》和《運(yùn)維管理體系制度》二套體系的整合。其主要目標(biāo)是確保運(yùn)維體系在戰(zhàn)術(shù)層上的正確性。實(shí)現(xiàn)運(yùn)維預(yù)防體系中建設(shè)的運(yùn)維管理體系建設(shè)運(yùn)維安全管理制度體系采用“三個層面，四級文件”的制度制定方式，根據(jù)信息化建設(shè)的現(xiàn)狀和未來的發(fā)展趨勢，結(jié)合ITIL、COBIT、等級保護(hù)的理念和精髓，對原制度的缺陷進(jìn)行完善和改進(jìn)，給出科學(xué)的管理建議。

篇（5）

作為試點(diǎn)之一的重慶市工商管理局的規(guī)模大概有1萬多工作人員、44個區(qū)縣分局、400多個工商所，擁有5000多臺計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備，而數(shù)據(jù)庫是大集中、大聯(lián)網(wǎng)的。正是由于這種數(shù)據(jù)大集中所帶來的業(yè)務(wù)大輻射、大交叉，使得安全管理也呈現(xiàn)出更加復(fù)雜的結(jié)構(gòu)。

所以首先就是要搞清數(shù)據(jù)資源的需求，明確各自的實(shí)施范圍。重慶市工商局在解決業(yè)務(wù)開展中遇到的問題的過程中形成了“以信息安全主管職能部門為主導(dǎo)、數(shù)據(jù)大集中部門為主體、專業(yè)技術(shù)機(jī)構(gòu)為支撐”的安全管理模式。

其次，將數(shù)據(jù)安全保障的重點(diǎn)進(jìn)行排序，將“數(shù)據(jù)完整性”和“數(shù)據(jù)/系統(tǒng)可用性”放在了首要的位置，然后是與試點(diǎn)單位“業(yè)務(wù)敏感性”相關(guān)的“數(shù)據(jù)機(jī)密性”。將這三個保障目標(biāo)分別映射到“數(shù)據(jù)安全”、“應(yīng)用安全”、“主機(jī)/平臺安全”、“網(wǎng)絡(luò)安全”和“物理安全”五個技術(shù)領(lǐng)域。

最后，就是要保障數(shù)據(jù)大集中信息系統(tǒng)提供的各項(xiàng)服務(wù)具有連續(xù)性。數(shù)據(jù)大集中帶來的是數(shù)據(jù)越集中，電子政務(wù)工作對信息系統(tǒng)的依賴性越強(qiáng)，連續(xù)工作的要求就越高，所以一定要保證它的連續(xù)性。

另外，重慶在試點(diǎn)中總結(jié)了一套系統(tǒng)工程實(shí)施的方法。其中“三分析一篩選”方法是為了區(qū)分同屬數(shù)據(jù)大集中模式，但處于不同發(fā)展階段的電子政務(wù)系統(tǒng)，主要方法是“依次分析數(shù)據(jù)特征、業(yè)務(wù)特征和應(yīng)用需求，然后篩選安全保障措施”。

而風(fēng)險(xiǎn)評估是等級保護(hù)的起點(diǎn)和依據(jù)，風(fēng)險(xiǎn)評估與等級保護(hù)之間的內(nèi)在聯(lián)系是重慶市試點(diǎn)的重要任務(wù)之一。在試點(diǎn)工作中將信息安全風(fēng)險(xiǎn)評估的三個流程“資產(chǎn)識別”、“安全威脅分析”和“系統(tǒng)脆弱性評估”與電子政務(wù)信息安全等級保護(hù)的三個階段“進(jìn)行定級”、“規(guī)劃與設(shè)計(jì)”和“實(shí)施、驗(yàn)證與運(yùn)維”進(jìn)行嫁接，摸索出了一條“123Y立方”工程化實(shí)施的方法。

實(shí)施效果

1．重慶工商模式

篇（6）

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-7597（2013）14-0137-02

油服信息技術(shù)應(yīng)用與集中程度的不斷深入提高，信息安全保障體系建設(shè)工作已成為信息化建設(shè)過程中的重要組成部分。油服具有地域分布廣、業(yè)務(wù)復(fù)雜多樣等特點(diǎn)，在信息安全形勢多變的情況下，獨(dú)立分散的安全措施已無法更好地滿足安全防護(hù)需求。信息安全若不能得到很好的保障，將給公司的業(yè)務(wù)正常運(yùn)作及辦公穩(wěn)定性、高效性和有效性帶來影響。因此，需完善公司的信息安全政策方針、規(guī)劃并建立符合油服實(shí)際情況的信息安全保障體系，采用先進(jìn)的安全管理過程模式，完善信息安全管理制度與規(guī)范，提高員工的信息安全意識，提升風(fēng)險(xiǎn)控制及保障水平，以支撐油服核心業(yè)務(wù)的健康發(fā)展。

1 信息安全保障體系

1.1 信息安全保障體系建設(shè)需求

油服在信息安全方面已部署了部分信息安全防護(hù)措施，如劃分安全域、部署邊界訪問控制設(shè)備、配備入侵防御系統(tǒng)、部署統(tǒng)一的防惡意代碼軟件等。與此同時(shí)，每年都開展信息系統(tǒng)安全測評工作，對公司的信息系統(tǒng)進(jìn)行安全等級測評差距分析、安全問題整改咨詢核查以及滲透性測試等，從而能夠較為全面的掌握當(dāng)前各信息系統(tǒng)和信息安全管理制度的建設(shè)、運(yùn)維和使用情況，以提高信息系統(tǒng)的安全防護(hù)能力。但從總體來看，仍缺乏信息安全保障體系框架，總體安全方針和策略不夠明確，安全區(qū)域劃分不夠細(xì)致，網(wǎng)絡(luò)設(shè)備和重要服務(wù)器的安全策略缺乏統(tǒng)一標(biāo)準(zhǔn)，未部署安全運(yùn)維管理中心，無法真正起到縱深安全防御的效用。

1.2 信息安全保障體系目標(biāo)與定位

信息安全保障體系的建設(shè)要結(jié)合油服的信息安全需求、網(wǎng)絡(luò)應(yīng)用現(xiàn)狀及未來發(fā)展趨勢，在風(fēng)險(xiǎn)評估的基礎(chǔ)上，明確與等級保護(hù)相適應(yīng)的安全策略及具體的實(shí)施辦法。對全網(wǎng)進(jìn)行合理的安全域劃分，技術(shù)與管理并重的同時(shí)，以應(yīng)用與實(shí)效為主導(dǎo)，從網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、組織管理等方面，保障油服信息安全，形成集檢測、響應(yīng)、恢復(fù)、防護(hù)為一體的安全保障體系。

2 油服信息安全保障體系架構(gòu)模型

油服信息安全保障體系框架采用“結(jié)構(gòu)化”的分析和控制方法，縱向把保護(hù)對象分成安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)；橫向把控制體系分成安全管理、安全技術(shù)和安全運(yùn)行的控制體系，同時(shí)通過“一個安全管理中心”的安全管理概念和模式，形成一個依托于安全保護(hù)對象為基礎(chǔ)，橫向建立安全管理體系、安全技術(shù)體系、安全運(yùn)行體系和安全管理中心“三個體系、一個中心、三重防護(hù)”的信息安全保障體系

框架。

2.1 安全管理體系

根據(jù)等級保護(hù)基本要求的相關(guān)內(nèi)容，信息安全管理體系重點(diǎn)落實(shí)安全管理制度、安全管理機(jī)構(gòu)和人員安全管理的相關(guān)控制要求。

2.2 安全技術(shù)體系

根據(jù)等級保護(hù)基本要求的相關(guān)內(nèi)容，通過安全技術(shù)在物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)各個層面的實(shí)施，建立與實(shí)際情況相結(jié)合的安全技術(shù)體系。

2.3 安全運(yùn)行體系

根據(jù)等級保護(hù)基本要求的相關(guān)內(nèi)容，信息安全運(yùn)行體系重點(diǎn)落實(shí)系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理的相關(guān)控制要求，并與實(shí)際情況相結(jié)合，形成符合等級保護(hù)要求的信息安全運(yùn)行體系

框架。

2.4 安全管理中心

根據(jù)等級保護(hù)基本要求和安全設(shè)計(jì)技術(shù)要求的相關(guān)內(nèi)容，通過“自動、平臺化”的方式，對信息安全管理、技術(shù)、運(yùn)行三個體系的相關(guān)控制內(nèi)容，結(jié)合實(shí)際情況加以落實(shí)。

3 油服信息安全保障體系架構(gòu)設(shè)計(jì)

3.1 安全管理體系架構(gòu)設(shè)計(jì)

信息安全管理體系架構(gòu)的設(shè)計(jì)可從以下3方面開展。

3.1.1 信息安全組織

油服信息安全組織為信息安全管理委員會，各業(yè)務(wù)部門為信息安全小組，部門經(jīng)理為本小組的第一安全責(zé)任人。同時(shí)，定義了組織中各職能角色的職責(zé)，以此指導(dǎo)信息安全工作開展。

3.1.2 信息安全制度

油服的信息安全制度一方面能及時(shí)反映公司的信息安全風(fēng)險(xiǎn)動態(tài)，便于靈活地修訂與更新；另一方面確保信息安全技術(shù)與管理人員及用戶能夠了解哪些是禁止做的，哪些是必須做的。

3.1.3 人員安全管理

在人員安全管理方面，可以通過對人員錄用、調(diào)用、離崗、考核、培訓(xùn)教育和第三方人員安全幾個方面進(jìn)行設(shè)計(jì)。

3.2 安全技術(shù)體系架構(gòu)設(shè)計(jì)

信息安全技術(shù)體系架構(gòu)設(shè)計(jì)可從以下3個方面開展。

3.2.1 信息安全服務(wù)架構(gòu)

信息安全服務(wù)架構(gòu)設(shè)計(jì)分為保護(hù)、檢測、響應(yīng)與恢復(fù)四個環(huán)節(jié)，實(shí)現(xiàn)對信息可用性、完整性和機(jī)密性的保護(hù)，監(jiān)測檢查系統(tǒng)存在的安全漏洞，對危害系統(tǒng)安全的事件行為做出響應(yīng)

處理。

3.2.2 信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)

信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)以網(wǎng)絡(luò)安全架構(gòu)為主體，結(jié)合系統(tǒng)軟硬件進(jìn)行安全配置和部署。網(wǎng)絡(luò)安全架構(gòu)的規(guī)劃根據(jù)網(wǎng)絡(luò)所承載的應(yīng)用系統(tǒng)特性和所面臨的風(fēng)險(xiǎn)劃分不同的網(wǎng)絡(luò)安全域，并實(shí)施安全防護(hù)措施。

3.2.3 應(yīng)用安全架構(gòu)

應(yīng)用系統(tǒng)的信息安全保障是在信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)上，更多地關(guān)注已有的信息安全服務(wù)是否被充分利用。為滿足業(yè)務(wù)系統(tǒng)對信息安全的需求，通過在業(yè)務(wù)系統(tǒng)中實(shí)現(xiàn)集成保障信息安全的機(jī)制，從而達(dá)到信息安全技術(shù)控制要求。

3.3 安全運(yùn)行體系架構(gòu)設(shè)計(jì)

油服信息安全運(yùn)行體系架構(gòu)設(shè)計(jì)主要從以下3個方面開展。

3.3.1 信息系統(tǒng)安全等級劃分

油服信息系統(tǒng)安全等級劃分從信息資產(chǎn)等級、網(wǎng)絡(luò)系統(tǒng)等級和應(yīng)用系統(tǒng)等級三個方面進(jìn)行定義。

3.3.2 信息安全技術(shù)控制

信息安全技術(shù)控制是由系統(tǒng)自身自動完成的安全控制。主要在信息系統(tǒng)的網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層，包含身份鑒別、訪問控制、安全審計(jì)等五大類通用技術(shù)。

3.3.3 信息安全運(yùn)作控制

信息安全運(yùn)作控制是在油服業(yè)務(wù)運(yùn)作和信息技術(shù)運(yùn)作過程中進(jìn)行實(shí)施的運(yùn)作類安全控制，包括控制針對的主要風(fēng)險(xiǎn)點(diǎn)及具體分類。

4 結(jié)束語

在油服業(yè)務(wù)不斷拓展，國際化步伐不斷深入的過程中，信息系統(tǒng)在公司發(fā)展中的作用和地位日趨重要。公司對信息系統(tǒng)的依賴性也在不斷增長，信息安全也愈發(fā)重要。健全油服信息安全保障體系，為實(shí)現(xiàn)“制度標(biāo)準(zhǔn)化、工作制度化”的管理常態(tài)奠定了堅(jiān)實(shí)的基礎(chǔ)。油服信息安全保障體系不僅從物理網(wǎng)絡(luò)安全、系統(tǒng)應(yīng)用安全、數(shù)據(jù)和用戶安全等方面入手，還從安全域劃分、安全邊界防護(hù)、主動監(jiān)控、訪問控制和應(yīng)急響應(yīng)等方面綜合考慮，進(jìn)一步加強(qiáng)落實(shí)信息安全等級保護(hù)的基本要求，初步實(shí)現(xiàn)對網(wǎng)絡(luò)與應(yīng)用系統(tǒng)細(xì)粒度、全方位的安全管控，從而更為有效地提升了油服在信息安全方面的管理水平。

參考文獻(xiàn)

[1]馬永.淺談企業(yè)信息安全保障體系建設(shè)[J].計(jì)算機(jī)安全，2007（7）：72-75.

[2]王朗.一個信息安全保障體系模型的研究和設(shè)計(jì)[J].北京師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2004（2）：58-62.

篇（7）

1.在基礎(chǔ)平臺建設(shè)的同時(shí)開展全面、有效的安全體系規(guī)劃和建設(shè)；2.選用最可靠最穩(wěn)定的安全產(chǎn)品構(gòu)建安全防御系統(tǒng)；3.在最大限度保障安全運(yùn)行的同時(shí)，又兼顧良好的運(yùn)行效率；4.全面兼顧安全技術(shù)、業(yè)務(wù)運(yùn)維流程和人員在信息安全保障中的積極協(xié)調(diào)作用；5.有效監(jiān)控全網(wǎng)的安全情況，快速發(fā)現(xiàn)可能的安全隱患和異常行為；6.實(shí)現(xiàn)7×24×365的安全運(yùn)行狀態(tài)監(jiān)控與安全運(yùn)行維護(hù)處理；7.建立完善的應(yīng)急響應(yīng)機(jī)制和流程；8.在短短兩個月時(shí)間內(nèi)高效率、高質(zhì)量地完成所有的工作。

一套平臺 兩種思想 三個系統(tǒng)

國家棉花市場監(jiān)測系統(tǒng)安全建設(shè)和保障工作涉及到安全體系規(guī)劃、安全系統(tǒng)集成、安全運(yùn)維管理、信息安全專業(yè)服務(wù)、高端安全管理咨詢、日常安全支持以及安全值守服務(wù)等眾多內(nèi)容。安全建設(shè)工作千頭萬緒，安全保護(hù)對象龐大復(fù)雜，安全管理要求苛刻嚴(yán)格，對安全保障體系的規(guī)劃和設(shè)計(jì)提出了非常高的要求。

針對安全建設(shè)和管理需求，太極組織了大量的安全專家認(rèn)真、深入地分析了國家棉花市場監(jiān)測系統(tǒng)可能面臨的各類安全問題，參照ISO17799等安全管理國際標(biāo)準(zhǔn)，結(jié)合太極多年在安全領(lǐng)域的經(jīng)驗(yàn)，提出了解決方案。太極與相關(guān)合作伙伴緊密合作，針對國家棉花市場監(jiān)測系統(tǒng)的安全設(shè)計(jì)和建設(shè)可以總結(jié)為：建設(shè)一套集中的安全運(yùn)行管理平臺，融合兩種核心的安全建設(shè)思想，建立三個不同角度的信息安全子系統(tǒng)。

一個平臺，是指通過部署安全運(yùn)行管理中心產(chǎn)品建立國家棉花市場監(jiān)測系統(tǒng)的集中安全運(yùn)行管理平臺。通過對網(wǎng)絡(luò)中各種網(wǎng)絡(luò)安全設(shè)備和安全軟件的集中管理和監(jiān)控，把一個個原本分離的網(wǎng)絡(luò)安全孤島聯(lián)結(jié)成有機(jī)協(xié)作互動的一個整體，并自動實(shí)現(xiàn)對安全事件的處理，從而實(shí)現(xiàn)網(wǎng)絡(luò)安全管理過程中的實(shí)時(shí)狀態(tài)監(jiān)測，動態(tài)策略調(diào)整，綜合安全審計(jì)以及恰當(dāng)及時(shí)的威脅響應(yīng)，從而有效提升網(wǎng)絡(luò)的可管理性和安全服務(wù)水平。

兩種思想是指動態(tài)信息安全風(fēng)險(xiǎn)管理體系建設(shè)思想和構(gòu)建信息安全縱深防御體系建設(shè)思想。

動態(tài)信息安全體系思想的根本目的，是要保障安全系統(tǒng)設(shè)計(jì)具備良好的動態(tài)建設(shè)過程和安全可擴(kuò)展性，促進(jìn)建立易擴(kuò)展的信息安全保障體系?？v深防御思想是保障安全系統(tǒng)設(shè)計(jì)的廣度和深度，促進(jìn)建立全面綜合、高效安全的網(wǎng)絡(luò)安全保障體系。其在廣度上要求從網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等各個層面考慮安全系統(tǒng)建設(shè)；在深度上要求分層次，由外而內(nèi)，從網(wǎng)絡(luò)邊界、內(nèi)部網(wǎng)絡(luò)、核心服務(wù)器乃至桌面PC各個層面考慮安全防御功能的建設(shè)。其核心體現(xiàn)就是進(jìn)行合理的網(wǎng)絡(luò)安全域規(guī)劃，實(shí)現(xiàn)安全事件影響范圍的有效控制。

本次項(xiàng)目，太極協(xié)助國家棉花市場監(jiān)測系統(tǒng)規(guī)劃了完善的動態(tài)信息安全風(fēng)險(xiǎn)管理體系的建設(shè)，包括三大信息安全體系安全功能技術(shù)體系、安全服務(wù)支持體系、安全管理咨詢體系。

優(yōu)點(diǎn)多多

系統(tǒng)的安全規(guī)劃、建設(shè)和運(yùn)營管理解決方案，覆蓋了信息系統(tǒng)的整個生命周期；充分重視業(yè)務(wù)安全管理，將傳統(tǒng)分立的安全產(chǎn)品管理進(jìn)行有效整合；提出了安全運(yùn)行管理中心解決方案，實(shí)現(xiàn)了安全產(chǎn)品和管理的集中統(tǒng)一；將安全監(jiān)控和安全維護(hù)有機(jī)結(jié)合，實(shí)現(xiàn)閉環(huán)管理，提高了安全管理效率；將各種安全設(shè)備所報(bào)告的安全事件匯總在一起進(jìn)行關(guān)聯(lián)分析，消除安全事件的誤報(bào)和重復(fù)報(bào)警，并推斷問題根源，給出該事件的解決建議。

應(yīng)用效果與收益

安全運(yùn)行管理中心的部署，實(shí)現(xiàn)了分散的、異構(gòu)的安全產(chǎn)品的集中管理，高效提煉和分析海量的安全信息和各類報(bào)警事件；實(shí)現(xiàn)了安全事件的閉環(huán)處理；實(shí)現(xiàn)了信息安全的“可控、可見和可管理”，協(xié)助國家棉花市場監(jiān)測系統(tǒng)邁向信息安全管理乃至IT管理的新臺階。

用戶評議

篇（8）

【關(guān)鍵詞】

電力信息；安全保障；體系建設(shè)；探討研究

所謂的電力信息系統(tǒng)，主要的內(nèi)容包括信息網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)服務(wù)系統(tǒng)、存儲與備份系統(tǒng)、安全系統(tǒng)、輔助系統(tǒng)等。除此以外，上述系統(tǒng)的附屬設(shè)備也在電力信息系統(tǒng)的行列內(nèi)。本系統(tǒng)所涉及的技術(shù)，大致有數(shù)據(jù)加密技術(shù)、防火墻、入侵檢測技術(shù)、網(wǎng)絡(luò)掃描技術(shù)，以及訪問控制技術(shù)等。雖然安全架構(gòu)在設(shè)計(jì)上出現(xiàn)問題與管理方面出現(xiàn)問題，是引發(fā)信息系統(tǒng)安全問題的主要因素，但還是有其他因素存在。因此，在電力信息系統(tǒng)安全保障體系的建設(shè)，要考慮電網(wǎng)運(yùn)行安全方面以外，還要經(jīng)過信息安全系統(tǒng)的的建設(shè)、信息安全管理的建設(shè)和信息安全策略的建設(shè)三個階段。

一、電力信息安全保障體系存在的問題

隨著科學(xué)技術(shù)的不斷發(fā)展，計(jì)算機(jī)技術(shù)也在不斷進(jìn)步，黑客是擺在我們面前不可忽視的問題。因此電力系統(tǒng)在正常運(yùn)行的情況下，就很容易受到黑客的攻擊，造成病毒的侵入，所以對電力信息的安全保障體系的建設(shè)予以加強(qiáng)，變得迫在眉睫。現(xiàn)如今，電力信息安全存在的主要問題，大致包括信息安全意識薄弱、信息安全運(yùn)作機(jī)制不完善、信息安全保障工作沒有常態(tài)化、系統(tǒng)安全設(shè)計(jì)不足，以及短板現(xiàn)象顯著等。在大多數(shù)電力企業(yè)中，信息安全問題常常被忽視，有的甚至處于不防御狀態(tài)。信息安全運(yùn)作機(jī)制不完善，在不完善的業(yè)務(wù)連續(xù)性計(jì)劃，不規(guī)范的信息文檔和測試數(shù)據(jù)的管理中，有所體現(xiàn)。那么，怎么樣去應(yīng)對這些問題呢？使這些問題能夠迎刃而解呢？主要從信息安全管理和信息安全技術(shù)兩方面入手。其中，信息安全評估、建立安全管理組織、信息安全運(yùn)行管理、安全策略規(guī)劃和安全監(jiān)督審計(jì)等，均屬于信息安全管理范疇。而信息安全技術(shù)大致包括通用信息安全技術(shù)手段，也就是安全服務(wù)，比如訪問管理、防惡意代碼、身份認(rèn)證和審核跟蹤等等。

二、電力信息安全保障體系的策略與管理

結(jié)合當(dāng)前形勢與公司實(shí)際,要不斷進(jìn)行管理的創(chuàng)新與技術(shù)的實(shí)踐。從管理層面講，要對組織機(jī)構(gòu)、系統(tǒng)運(yùn)行維護(hù)、規(guī)章制度、相關(guān)工作人員教育等進(jìn)行全面控制和管理；而從技術(shù)的層面出發(fā)，做到防護(hù)物理、主機(jī)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)應(yīng)用等等各方面的安全性,同時(shí)在安全可靠前提下，建設(shè)一套高效、先進(jìn)、實(shí)用的信息安全保障體系，支撐助力生產(chǎn)專業(yè)化與管理現(xiàn)代化，保障電力信息的安全性。制定電力信息安全策略，應(yīng)該保證在國家信息安全等級保護(hù)政策的前提下進(jìn)行，本著提升電力企業(yè)整體防篡改、防泄密、防攻擊等綜合能力的原則，進(jìn)行策略的制定。電力信息安全的運(yùn)行，在保證對基礎(chǔ)環(huán)境、主營業(yè)務(wù)系統(tǒng)、軟硬件平臺等等運(yùn)行維護(hù)的同時(shí)，還要確保運(yùn)維技術(shù)規(guī)范、運(yùn)維流程和定檢等標(biāo)準(zhǔn)或機(jī)制的建立。另外，訪問控制和身份認(rèn)證，可以將主機(jī)系統(tǒng)、安全設(shè)備、應(yīng)用系統(tǒng)，網(wǎng)絡(luò)設(shè)備等的身份認(rèn)證，進(jìn)行統(tǒng)一管理。審計(jì)和監(jiān)控，也可提高信息的安全性，對問題發(fā)生時(shí)的反應(yīng)速度，也能夠得以提升，對安全問題的發(fā)生，起到了有效的預(yù)防。在電力管理信息大區(qū)網(wǎng)絡(luò)內(nèi)部，還應(yīng)建立能夠?qū)Σ《具M(jìn)行預(yù)防、隔離、檢測和清除的機(jī)制。這樣，可以大大降低未知病毒的入侵率。

三、結(jié)論

總而言之，加強(qiáng)電力信息安全保障體系的建設(shè)，是新時(shí)期電力工作者熱衷研究的一大科題，更是今后的工作方向。在電力信息系統(tǒng)安全保障體系建設(shè)的過程中，我們必須要以“堅(jiān)持實(shí)事求是、以人為本”的方針為原則，系統(tǒng)性的分析影響電力信息系統(tǒng)運(yùn)行安全與管理的因素，結(jié)合如今電力信息系統(tǒng)安全保障的實(shí)際情況，以最佳的建設(shè)原則與思路，對電力信息系統(tǒng)安全保障體系進(jìn)行完善，為電力企業(yè)的健康長遠(yuǎn)發(fā)展做出突出的貢獻(xiàn)。

作者：唐勇 單位：國網(wǎng)四川省電力公司電力科學(xué)研究院

參考文獻(xiàn)

[1]李志茹,張華峰,黨倩.電網(wǎng)企業(yè)信息系統(tǒng)安全防護(hù)措施的研究與探討[J].電力信息化.2012(04)。

[2]香柱平.有關(guān)電力企業(yè)信息中心網(wǎng)絡(luò)安全及防護(hù)措施的探討[J].中小企業(yè)管理與科技(下旬刊).2010(05)。

[3]張建華,王昕偉,蔣程,于雷,俞悅,余加喜.基于蒙特卡羅方法的風(fēng)電場有功出力的概率性評估[J].電力系統(tǒng)保護(hù)與控制.2014(03)。

篇（9）

Brief Discussion about the Establishment of Information Security System

Li Lin

（The Anhui Province Health Department Information Center Anhui Hefei 230001）

【 Abstract 】 the rapid development of information technology and is widely used, the information technology has promoted the process of economic globalization. So in such an era of information, the information security problem has also become the impact of China''s informatization health development a big problem. Informatization construction is a big part of that information security construction, but now the information spread fast, more and more loopholes, if not promptly to establish a good information security system, the informatization construction of our country cannot develop healthily. Therefore, construction of information security system to come greatly a country, small to person is very important, is also essential.

【 Keywords 】 information security; security; frame; hierarchy protection; system construction

0 引言

全球正處在一個網(wǎng)絡(luò)化、信息化和數(shù)字化的時(shí)代，那么在這樣一個信息快速發(fā)展的時(shí)代里，信息安全顯得尤為重要，此時(shí)信息安全保障體系的建立就是必不可少的了。信息安全保障體系共包含了信息安全管理體系、信息安全技術(shù)體系和信息安全運(yùn)維體系三部分，通過對這三部分的綜合有效建設(shè)來保障信息系統(tǒng)的安全運(yùn)行效率。為了國家更快更好地發(fā)展，必須對信息安全保障體系進(jìn)行構(gòu)建。本文將針對建立信息安全保障體系的具體方案進(jìn)行分析。

1 中國信息安全保障體系現(xiàn)狀

“信息保障”概念最早由美國提出，并且美國現(xiàn)在已經(jīng)有比較完善的國家信息安全保障體系了。信息安全漏洞不一定都是由技術(shù)問題造成，它還包括人和社會的影響或者說是主觀因素，所以只有用科學(xué)有效的管理方法加以規(guī)范的綜合性手段，才能獲得有效完善。信息安全問題存在于各行各業(yè)，同時(shí)也有著不同的屬性和特征，信息安全管理體系在信息安全保障體系中是很重要的，根據(jù)不同的信息漏洞制定不同方案。

我國雖然在2003年就提出了“要在五年之內(nèi)建設(shè)中國信息安全保障體系”的觀點(diǎn)，但是在2006年才開始進(jìn)行等級保護(hù)試點(diǎn)工作。也就是說，到目前為止，我國的信息安全保障體系建立工作才初有起色，不完善也不成熟。我國需要一個完整可用的綜合性信息安全保障體系，而要想建立比較完善的信息安全保障體系，需要從各方面考慮組建信息安全保障體系的框架，包括人員、技術(shù)和管理體系等的建設(shè)。

2 信息安全保障體系的框架

信息安全保障體系的建立一般分三個部分完成，從人員、技術(shù)以及管理三個體系來綜合完成。通過這三個部分的構(gòu)建就組成了信息安全保障體系的基本框架，只有建立好其框架，才能完善好其建設(shè)和有效運(yùn)行。

篇（10）

為了貫徹國家對信息系統(tǒng)安全保障工作的要求以及等級化保護(hù)堅(jiān)持“積極防御、綜合防范”的方針，需要全面提高信息安全防護(hù)能力。貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)需要進(jìn)行整體安全體系規(guī)劃設(shè)計(jì)，全面提高信息安全防護(hù)能力，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保護(hù)國家利益，促進(jìn)貴州廣電網(wǎng)絡(luò)信息化的深入發(fā)展。

 

1安全規(guī)劃的目標(biāo)和思路

 

貴州廣電網(wǎng)絡(luò)目前運(yùn)營并管理著兩張網(wǎng)絡(luò)：辦公網(wǎng)與業(yè)務(wù)網(wǎng);其中辦公網(wǎng)主要用于貴州廣電網(wǎng)絡(luò)各部門在線辦公，重要的辦公系統(tǒng)為OA系統(tǒng)、郵件系統(tǒng)等;業(yè)務(wù)網(wǎng)主要提供貴州廣電網(wǎng)絡(luò)各業(yè)務(wù)部門業(yè)務(wù)平臺，其中核心業(yè)務(wù)系統(tǒng)為BOSS系統(tǒng)、互動點(diǎn)播系統(tǒng)、安全播出系統(tǒng)、內(nèi)容集成平臺以及寬帶系統(tǒng)等。

 

基于對貴州廣電網(wǎng)絡(luò)信息系統(tǒng)的理解和國家信息安全等級保護(hù)制度的認(rèn)識，我們認(rèn)為，信息安全體系是貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)的重要組成部分，是貴州廣電網(wǎng)絡(luò)業(yè)務(wù)開展的重要安全屏障，它是一個包含貴州廣電網(wǎng)絡(luò)實(shí)體、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理等五個層面，包括保護(hù)、檢測、響應(yīng)、恢復(fù)四個方面，通過技術(shù)保障和管理制度建立起來的可靠有效的安全體系。

 

1.1設(shè)計(jì)目標(biāo)

 

貴州廣電網(wǎng)絡(luò)就安全域劃分已經(jīng)進(jìn)行的初步規(guī)劃，在安全域整改中初見成效，然而，安全系統(tǒng)建設(shè)不僅需要建立重要資源的安全邊界，而且需要明確邊界上的安全策略，提高對核心信息資源的保護(hù)意識。貴州廣電網(wǎng)絡(luò)相關(guān)安全管理體系的建設(shè)還略顯薄弱，管理細(xì)則文件亟需補(bǔ)充，安全管理人員亟需培訓(xùn)。因此，本次規(guī)劃重點(diǎn)在于對安全管理體系以及目前的各個業(yè)務(wù)系統(tǒng)進(jìn)行了全面梳理，針對業(yè)務(wù)系統(tǒng)中安全措施進(jìn)行了重點(diǎn)分析，綜合貴州廣電網(wǎng)絡(luò)未來業(yè)務(wù)發(fā)展的方向，進(jìn)行未來五年的信息安全建設(shè)規(guī)劃。

 

1.2設(shè)計(jì)原則

 

1.2.1合規(guī)性原則

 

安全設(shè)計(jì)要符合國家有關(guān)標(biāo)準(zhǔn)、法規(guī)要求，符合廣電總局對信息安全系統(tǒng)的等級保護(hù)技術(shù)與管理要求。良好的信息安全保障體系必然是分為不同等級的，包括對信息數(shù)據(jù)保密程度分級，對用戶操作權(quán)限分級，對網(wǎng)絡(luò)安全程度分級(安全子網(wǎng)和安全區(qū)域),對系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級(應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等)，從而針對不同級別的安全對象，提供全面、可選的安全技術(shù)和安全體制，以滿足貴州廣電網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)、辦公網(wǎng)系統(tǒng)中不同層次的各種實(shí)際安全需求。

 

1.2.2技管結(jié)合原則

 

信息安全保障體系是一個復(fù)雜的系統(tǒng)工程，涉及人、技術(shù)、操作等要素，單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn)。因此，必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。

 

1.2.3實(shí)用原則

 

安全是為了保障業(yè)務(wù)的正常運(yùn)行，不能為了安全而妨礙業(yè)務(wù)，同時(shí)設(shè)計(jì)的安全措施要可以落地實(shí)現(xiàn)。

 

1.3設(shè)計(jì)依據(jù)

 

1.3.1“原則”符合法規(guī)要求

 

依據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例K國務(wù)院147號令)、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[20〇3]27號)、《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》(公通字[2004]66號)、《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)和GB/T22240-2009《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》、GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》、《廣播電視安全播出管理規(guī)定》(廣電總局62號令)、GDJ038-CATV|有線網(wǎng)絡(luò)。

 

2011《廣播電視播出相關(guān)信息系統(tǒng)等級保護(hù)基本要求》，對貴州省廣播電視相關(guān)信息系統(tǒng)安全建設(shè)進(jìn)行規(guī)劃。

 

1.3.2“策略”符合風(fēng)險(xiǎn)管理

 

風(fēng)險(xiǎn)管理是基于“資產(chǎn)-價(jià)值-漏洞-風(fēng)險(xiǎn)-保障措施”的思想進(jìn)行保障的。風(fēng)險(xiǎn)評估與管理的理論與方法已經(jīng)成為國際信息安全的標(biāo)準(zhǔn)。

 

風(fēng)險(xiǎn)管理是靜態(tài)的防護(hù)策略，是在對方攻擊之前的自我鞏固的過程。風(fēng)險(xiǎn)分析的核心是發(fā)現(xiàn)信息系統(tǒng)的漏洞，包括技術(shù)上的、管理上的，分析面臨的威脅，從而確定防護(hù)需求，設(shè)計(jì)防護(hù)的措施，具體的措施是打補(bǔ)丁，還是調(diào)整管理流程，或者是增加、增強(qiáng)某種安全措施，要根據(jù)用戶對風(fēng)險(xiǎn)的可接受程度，這樣就可以與安全建設(shè)的成本之間做一個平衡。

 

1.3.3“措施”符合P2DR模型

 

美國ISS公司(IntemetSecuritySystem，INC)設(shè)計(jì)開發(fā)的P2DR模型包括安全策略(Policy)、檢測(Detection)、防護(hù)(Protection)和響應(yīng)(Response)四個主要部分，是一個可以隨著網(wǎng)絡(luò)安全環(huán)境的變化而變化的、動態(tài)的安全防御系統(tǒng)。安全策略是整個P2DR模型的中樞，根據(jù)風(fēng)險(xiǎn)分析產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護(hù)，以及如何實(shí)現(xiàn)對它們的保護(hù)等，策略是模型的核心，所有的防護(hù)、檢測和響應(yīng)都是依據(jù)安全策略實(shí)施的。

 

檢測(Detection)、防護(hù)(Protection)和響應(yīng)(Response)三個部分又構(gòu)成一個變化的、動態(tài)的安全防御體系。P2DR模型是在整體的安全策略的控制和指導(dǎo)下，在綜合運(yùn)用防護(hù)工具(如防火墻、身份認(rèn)證、加密等)的同時(shí)，利用檢測工具(如漏洞評估、入侵檢測等)了解和評估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整至“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài)，在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全[3]。

 

1.4安全規(guī)劃體系架構(gòu)

 

在進(jìn)行了規(guī)劃“原則”、“策略”、“措施”探討的基礎(chǔ)上，我們設(shè)計(jì)貴州廣電網(wǎng)絡(luò)的安全保障體系架構(gòu)為“一個中心、兩種手段”。

 

“一個中心”，以安全管理中心為核心，構(gòu)建安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)，確保業(yè)務(wù)系統(tǒng)能夠在安全管理中心的統(tǒng)一管控下運(yùn)行，不會進(jìn)入任何非預(yù)期狀態(tài)，從而防止用戶的非授權(quán)訪問和越權(quán)訪問，確保業(yè)務(wù)系統(tǒng)的安全。

 

“兩種手段”，是安全技術(shù)與安全管理兩種手段，其中安全技術(shù)手段是安全保障的基礎(chǔ)，安全管理手段是安全技術(shù)手段真正發(fā)揮效益的關(guān)鍵，管理措施的正確實(shí)施同時(shí)需要有技術(shù)手段來監(jiān)管和驗(yàn)證，兩者相輔相成，缺一不可。

 

2安全保陳方案規(guī)劃

 

2.1總體設(shè)計(jì)

 

貴州廣電網(wǎng)絡(luò)的安全體系作為信息安全的技術(shù)支撐措施，分為五個方面：

 

邊界防護(hù)體系：安全域劃分，邊界訪問控制策略的部署，主要是業(yè)務(wù)核心資源的邊界，運(yùn)維人員的訪問通道。

 

行為審計(jì)體系：通過身份鑒別、授權(quán)管理、訪問控制、行為曰志等手段，保證用戶行為的合規(guī)性。

 

安全監(jiān)控體系：監(jiān)控網(wǎng)絡(luò)中的異常，維護(hù)業(yè)務(wù)運(yùn)行的安全基線，包括安全事件與設(shè)備故障，也包括系統(tǒng)漏洞與升級管理。

 

公共安全輔助：作為整個網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng)，包括身份認(rèn)證系統(tǒng)、補(bǔ)丁管理系統(tǒng)以及漏洞掃描系統(tǒng)等。

 

IT基礎(chǔ)設(shè)施：提供智能化、彈能力的基礎(chǔ)設(shè)施，主要的機(jī)房的智能化、服務(wù)器的虛擬化、存儲的虛擬化等。

 

2.2安全域劃分

 

劃分安全域的方法是首先區(qū)分網(wǎng)絡(luò)功能區(qū)域，服務(wù)器資源區(qū)、網(wǎng)絡(luò)連接區(qū)、用戶接入?yún)^(qū)、運(yùn)維管理區(qū)、對外公共服務(wù)區(qū);其次是在每個區(qū)域中，按照不同的安全需求區(qū)分不同的業(yè)務(wù)與用戶，進(jìn)一步劃分子區(qū)域;最后，根據(jù)每個業(yè)務(wù)應(yīng)用系統(tǒng)，梳理其用戶到服務(wù)器與數(shù)據(jù)庫的網(wǎng)絡(luò)訪問路徑，通過的域邊界或網(wǎng)絡(luò)邊界越少越好。

 

Z3邊界防護(hù)體系規(guī)劃

 

邊界包括網(wǎng)絡(luò)邊界、安全域邊界、用戶接口邊界(終端與服務(wù)器)、業(yè)務(wù)流邊界，邊界上部署訪問控制措施，是防止非授權(quán)的“外部”用戶訪問“里面”的資源，因此分析業(yè)務(wù)的訪問流向，是訪問控制策略設(shè)計(jì)的依據(jù)。

 

2.3.1邊界措施選擇

 

在邊界上我們建議四種安全措施：

 

1.網(wǎng)絡(luò)邊界：與外部網(wǎng)絡(luò)的邊界是安全防護(hù)的重點(diǎn)，我們建議采用統(tǒng)一安全網(wǎng)關(guān)(UTM),從網(wǎng)絡(luò)層到應(yīng)用層的安全檢測，采用防火墻(FW)部署訪問控制策略，采用入侵防御系統(tǒng)(IPS)部署對黑客入侵的檢測，采用病毒網(wǎng)關(guān)(AV)部署對病毒、木馬的防范;為了方便遠(yuǎn)程運(yùn)維工作，與遠(yuǎn)程辦公實(shí)施，在網(wǎng)絡(luò)邊界上部署VPN網(wǎng)關(guān)，對遠(yuǎn)程訪問用戶身份鑒別后，分配內(nèi)網(wǎng)地址，給予限制性的訪問授權(quán)。Web服務(wù)的SQL注入、XSS攻擊等。

 

3.業(yè)務(wù)流邊界：安全需求等級相同的業(yè)務(wù)應(yīng)用采用VLAN隔離，采用路由訪問限制策略;不同部門的接入域也采用VLAN隔離，防止二層廣播，通知可以在發(fā)現(xiàn)安全事件時(shí)，開啟不同子域的安全隔離。

 

4.終端邊界：重點(diǎn)業(yè)務(wù)系統(tǒng)的終端，如運(yùn)維終端，采用終端安全系統(tǒng)，保證終端上系統(tǒng)的安全，如補(bǔ)丁的管理、黑名單軟件管理、非法外聯(lián)管理、移動介質(zhì)管理等等。

 

2.3.2策略更新管理

 

邊界是提高入侵者的攻擊“門檻”的，部署安全策略重點(diǎn)有兩個方面：一是有針對性。允許什么，不允許什么，是明確的;二是動態(tài)性。就是策略的定期變化，如訪問者的口令、允許遠(yuǎn)程訪問的端口等，變化的周期越短，給入侵者留下的攻擊窗口越小。

 

2.4行為審計(jì)體系規(guī)劃

 

行為審計(jì)是指對網(wǎng)絡(luò)用戶行為進(jìn)行詳細(xì)記錄，直接的好處是可以為事后安全事件取證提供直接證據(jù)，間接的好處乇兩方面：對業(yè)務(wù)操作的日志記錄，可以在曰后發(fā)現(xiàn)操作錯誤、確定破壞行為恢復(fù)時(shí)提供操作過程的反向操作，最大程度地減小損失;對系統(tǒng)操作的日志記錄，可以分析攻擊者的行為軌跡，從而判斷安全防御系統(tǒng)的漏洞所在，亡羊補(bǔ)牢，可以彌補(bǔ)入侵者下次入侵的危害。

 

行為審計(jì)主要措施包括:一次性口令、運(yùn)維審計(jì)(堡壘機(jī))、曰志審計(jì)以及網(wǎng)絡(luò)行為審計(jì)。

 

2.5安全監(jiān)控體系規(guī)劃

 

監(jiān)控體系不僅是網(wǎng)絡(luò)安全態(tài)勢展示平臺，也是安全事件應(yīng)急處理的指揮平臺。為了管理工作上的方便，在安全監(jiān)控體系上做到幾方面的統(tǒng)一：

 

1.運(yùn)維與安全管理的統(tǒng)一：業(yè)務(wù)運(yùn)維與安全同平臺管理，提高安全事件的應(yīng)急處理速度。

 

2.曰常安全運(yùn)維與應(yīng)急指揮統(tǒng)一：隨時(shí)了解網(wǎng)絡(luò)上的設(shè)備、系統(tǒng)、流量、業(yè)務(wù)等狀態(tài)變化，不僅是日常運(yùn)維發(fā)現(xiàn)異常的平臺，而且作為安全事件應(yīng)急指揮的調(diào)度平臺，隨時(shí)了解安全事件波及的范圍、影響的業(yè)務(wù)，同時(shí)確定安全措施執(zhí)行的效果。

 

3.管理與考核的統(tǒng)一：安全運(yùn)維人員的工作考核就是網(wǎng)絡(luò)安全管理的曰常工作與緊急事件的處理到位，在安全事件的定位、跟蹤、處理過程中，就體現(xiàn)了安全運(yùn)維人員服務(wù)的質(zhì)量。因此對安全運(yùn)維平臺的行為記錄就可以為運(yùn)維人員的考核提供一線的數(shù)據(jù)。

 

安全監(jiān)控措施主要包括安全態(tài)勢監(jiān)控以及安全管理平臺，2.6公共安全輔助系統(tǒng)

 

作為整個網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng)，需要建設(shè)公共安全輔助系統(tǒng)：

 

1.身份認(rèn)證系統(tǒng)：獨(dú)立于所有業(yè)務(wù)系統(tǒng)之外，為業(yè)務(wù)、運(yùn)維提供身份認(rèn)證服務(wù)。

 

2.補(bǔ)丁管理系統(tǒng)：對所有系統(tǒng)、應(yīng)用的補(bǔ)丁進(jìn)行管理，對于通過測試的補(bǔ)丁、重要的補(bǔ)丁，提供主動推送，或強(qiáng)制執(zhí)行的技術(shù)手段，保證網(wǎng)絡(luò)安全基線。

 

3.漏洞掃描系統(tǒng)：對于網(wǎng)絡(luò)上設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)等的漏洞要及時(shí)了解，對于不能打補(bǔ)丁的系統(tǒng)，要確認(rèn)有其他安全策略進(jìn)行防護(hù)。漏洞掃描分為兩個方面，一是系統(tǒng)本身的漏洞，二是安全域邊界部署了安全措施之后，實(shí)際用戶所能訪問到的漏洞(滲透性測試服務(wù))。

 

2.7IT基礎(chǔ)設(shè)施規(guī)劃

 

IT基礎(chǔ)設(shè)施是所有網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)服務(wù)的基礎(chǔ)，具備一個優(yōu)秀的基礎(chǔ)架構(gòu)，不僅可以快速、靈活地支撐各種業(yè)務(wù)系統(tǒng)的有效運(yùn)行，而且可以極大地提高基礎(chǔ)IT資源的利用率，節(jié)省資金投入，達(dá)到環(huán)保的要求。

 

IT基礎(chǔ)設(shè)施的優(yōu)化主要體現(xiàn)在三個方面：智能機(jī)房、服務(wù)器虛擬化、存儲虛擬化。

 

3安全筐理體系規(guī)劃

 

在系統(tǒng)安全的各項(xiàng)建設(shè)內(nèi)容中，安全管理體系的建設(shè)是關(guān)鍵和基礎(chǔ)，建立一套科學(xué)的、可靠的、全面而有層次的安全管理體系是貴州省廣播電視信息網(wǎng)絡(luò)股份有限公司安全建設(shè)的必要條件和基本保證。

 

3_1安全管理標(biāo)準(zhǔn)依據(jù)

 

以GBAT22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》中二級、三級安全防護(hù)能力為標(biāo)準(zhǔn)，對貴州廣電網(wǎng)絡(luò)安全管理體系的建設(shè)進(jìn)行設(shè)計(jì)。

 

3.2安全管理體系的建設(shè)目標(biāo)

 

通過有效的進(jìn)行貴州廣電網(wǎng)絡(luò)的安全管理體系建設(shè)，最終要實(shí)現(xiàn)的目標(biāo)是：采取集中控制模式，建立起貴州廣電網(wǎng)絡(luò)完整的安全管理體系并加以實(shí)施與保持，實(shí)現(xiàn)動態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預(yù)防為主的安全管理模式，從而在管理上確保全方位、多層次、快速有效的網(wǎng)絡(luò)安全防護(hù)。

 

3.3安全管理建設(shè)指導(dǎo)思想

 

各種標(biāo)準(zhǔn)體系文件為信息安全管理建設(shè)僅僅提供一些原則性的建議，要真正構(gòu)建符合貴州廣電網(wǎng)絡(luò)自身狀況的信息安全管理體系，在建設(shè)過程中應(yīng)當(dāng)以以下思想作為指導(dǎo)：“信CATV丨有線網(wǎng)絡(luò)息安全技術(shù)、信息安全產(chǎn)品是信息安全管理的基礎(chǔ)，信息安全管理是信息安全的關(guān)鍵，人員管理是信息安全管理的核心,信息安全政策是進(jìn)行信息安全管理的指導(dǎo)原則，信息安全管理體系是實(shí)現(xiàn)信息安全管理最為有效的手段?！?/p>

 

3.4安全管理體系的建設(shè)具體內(nèi)容

 

GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》(以下簡稱《基本要求》)對信息系統(tǒng)的安全管理體系提出了明確的指導(dǎo)和要求。我們應(yīng)以《基本要求》為標(biāo)準(zhǔn)，結(jié)合目前貴州廣電網(wǎng)絡(luò)安全管理體系的現(xiàn)狀，對廣電系統(tǒng)的管理機(jī)構(gòu)、管理制度、人員管理、技術(shù)手段四個方面進(jìn)行建設(shè)和加強(qiáng)。同時(shí)，由于信息安全是一個動態(tài)的系統(tǒng)工程，所以，貴州廣電網(wǎng)絡(luò)還必須對信息安全管理措施不斷的加以校驗(yàn)和調(diào)整，以使管理體系始終適應(yīng)和滿足實(shí)際情況的需要，使貴州廣電網(wǎng)絡(luò)的信息資產(chǎn)得到有效、經(jīng)濟(jì)、合理的保護(hù)。

 

貴州廣電網(wǎng)絡(luò)的安全管理體系主要包括安全管理機(jī)構(gòu)、安全管理制度、安全標(biāo)準(zhǔn)規(guī)范和安全教育培訓(xùn)等方面。

 

通過組建完整的信息網(wǎng)絡(luò)安全管理機(jī)構(gòu)，設(shè)置安全管理人員，規(guī)劃安全策略、確定安全管理機(jī)制、明確安全管理原則和完善安全管理措施，制定嚴(yán)格的安全管理制度，合理地協(xié)調(diào)法律、技術(shù)和管理三種因素，實(shí)現(xiàn)對系統(tǒng)安全管理的科學(xué)化、系統(tǒng)化、法制化和規(guī)范化，達(dá)到保障貴州廣電網(wǎng)絡(luò)信息系統(tǒng)安全的目的。

 

3.5曰常安全運(yùn)維3.5.1安全風(fēng)險(xiǎn)評估

 

安全風(fēng)險(xiǎn)評估是建立主動防御安全體系的重要和關(guān)鍵環(huán)節(jié)，這環(huán)的工作做好了可以減少大量的安全威脅，提升整個信息系統(tǒng)的對網(wǎng)絡(luò)災(zāi)難的免疫能力;風(fēng)險(xiǎn)評估是信息安全管理體系建立的基礎(chǔ)，是組織平衡安全風(fēng)險(xiǎn)和安全投入的依據(jù)，也是信息安全管理體系測量業(yè)績、發(fā)現(xiàn)改進(jìn)機(jī)會的最重要途徑。

 

3.5.2網(wǎng)絡(luò)管理與安全管理

 

網(wǎng)絡(luò)管理與安全管理的主要措施包括：出入控制、場地與設(shè)施安全管理、網(wǎng)絡(luò)運(yùn)行狀態(tài)監(jiān)控、安全設(shè)備監(jiān)控、安全事件監(jiān)控與分析、提出預(yù)防措施。

 

3.5.3備份與容災(zāi)管理

 

貴州廣電網(wǎng)絡(luò)主要關(guān)鍵業(yè)務(wù)系統(tǒng)需要雙機(jī)本地?zé)醾?、?shù)據(jù)離線備份措施;其他相關(guān)業(yè)務(wù)應(yīng)用系統(tǒng)需要數(shù)據(jù)離線備份措施。

 

3.5.4應(yīng)急響應(yīng)計(jì)劃

 

通過建立應(yīng)急相應(yīng)機(jī)構(gòu)，制定應(yīng)急響應(yīng)預(yù)案，通過建立專家資源庫、廠商資源庫等人力資源措施，通過對應(yīng)急響應(yīng)有線網(wǎng)絡(luò)ICATV預(yù)案不低于一年兩次的演練，可以在發(fā)生緊急事件時(shí)，做到規(guī)范化操作，更快的恢復(fù)應(yīng)用和數(shù)據(jù)，并最大可能的減少損失

 

3.6安全人員管理

 

信息系統(tǒng)的運(yùn)行是依靠在各級黨政機(jī)構(gòu)工作的人員來具體實(shí)施的，他們既是信息系統(tǒng)安全的主體，也是系統(tǒng)安全管理的對象。所以，要確保信息系統(tǒng)的安全，首先應(yīng)加強(qiáng)人事安全管理。

 

安全人員應(yīng)包括：系統(tǒng)安全管理員、系統(tǒng)管理員、辦公自動化操作人員、安全設(shè)備操作員、軟硬件維修人員和警衛(wèi)人員。

 

其中系統(tǒng)管理員、系統(tǒng)安全管理員必須由不同人員擔(dān)當(dāng)。3.7技術(shù)安全管理

 

主要措施包括：軟件管理、設(shè)備管理、備份管理以及技術(shù)文檔管理。

 

4安全規(guī)劃分期建設(shè)路線

 

信息安全保障重要的是過程，而不一定是結(jié)果，重要的是安全意識的提高，而不一定是安全措施的多少。因此，信息安全建設(shè)也應(yīng)該從保障業(yè)務(wù)運(yùn)營為目標(biāo)，提高用戶自身的安全意識為思路，根據(jù)業(yè)務(wù)應(yīng)用的模式與規(guī)模逐步、分階段建設(shè)，同時(shí)還要符合國家與廣電總局關(guān)于等級保護(hù)的技術(shù)與管理要求。

 

4.1主要的工作內(nèi)容

 

根據(jù)安全保障方案規(guī)劃的設(shè)計(jì)，貴州廣電網(wǎng)絡(luò)的信息安全建設(shè)分為如下幾個方面的內(nèi)容：

 

1.網(wǎng)絡(luò)優(yōu)化改造:主要是安全域的劃分，網(wǎng)絡(luò)結(jié)構(gòu)的改造。

 

2.安全措施部署:邊界隔離措施部署，行為審計(jì)系統(tǒng)部署、安全監(jiān)控體系部署。

 

3.基礎(chǔ)設(shè)施改造：主要是數(shù)據(jù)大集中、服務(wù)器虛擬化、存儲虛擬化。

 

4.安全運(yùn)維管理:信息安全管理規(guī)范、日常安全運(yùn)維考核、安全檢查與審計(jì)流程、安全應(yīng)急演練、曰常安全服務(wù)等。

 

4.2分期建設(shè)規(guī)劃

 

4_2.1達(dá)標(biāo)階段(2015-2017)

 

1.等保建設(shè)

 

2.信任體系：網(wǎng)絡(luò)審計(jì)、運(yùn)維審計(jì)、日志審計(jì)

 

3.身份鑒別(一次口令)

 

4.監(jiān)控平臺：入侵檢測、流量監(jiān)測、木馬監(jiān)測

 

5.安全管理平臺建設(shè)

 

6.等保測評通過(2級3級系統(tǒng))

 

7.安全服務(wù)：建立定期模式

 

8.滲透性測試服務(wù)(外部+內(nèi)部)

 

9.安全加固服務(wù)，建立服務(wù)器安全底線

 

10.信息安全管理

 

11.落實(shí)安全管理細(xì)則文件制定

 

12.落實(shí)安全運(yùn)維與應(yīng)急處理流程

 

13.完善IT服務(wù)流程，建設(shè)安全運(yùn)維管理平臺

 

14.定期安全演練與培訓(xùn)

 

4.2.2持續(xù)改進(jìn)階段(2018?2019)

 

1.等保建設(shè)

 

2.完善信息安全防護(hù)體系

 

3.提升整體防護(hù)能力

 

4.深度安全服務(wù)

 

5.有針對性安全演練，協(xié)調(diào)改進(jìn)管理與技術(shù)措施

 

6.源代碼安全審計(jì)服務(wù)(新上線業(yè)務(wù))

 

7.信息安全管理

 

8.持續(xù)改進(jìn)運(yùn)維與應(yīng)急流程與制度，提高應(yīng)急反應(yīng)能力

 

9.提高運(yùn)維效率，開拓運(yùn)維增值模式

 

篇（11）

引言：

目前，隨著信息技術(shù)的日新月異和網(wǎng)絡(luò)信息系統(tǒng)應(yīng)用的發(fā)展，醫(yī)院、企業(yè)網(wǎng)絡(luò)技術(shù)的應(yīng)用層次正在從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。面對日趨復(fù)雜的IT系統(tǒng)，不同背景的運(yùn)維人員已給企事業(yè)信息系統(tǒng)安全運(yùn)行帶來較大的潛在風(fēng)險(xiǎn)，如醫(yī)院信息系統(tǒng)是醫(yī)院日常工作的重要應(yīng)用，存儲著重要的數(shù)據(jù)資源，是醫(yī)院正常運(yùn)行必不可少的組成部分，所以必須加強(qiáng)安全保障體系的建設(shè)。于是，堡壘機(jī)在醫(yī)院中的應(yīng)用，為醫(yī)院工作的應(yīng)用提供了安全可靠的運(yùn)行環(huán)境。

傳統(tǒng)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)給醫(yī)院的的運(yùn)維安全問題帶來了很多風(fēng)險(xiǎn)，如：賬號管理無秩序，暗藏巨大隱患；粗放式權(quán)限管理的安全性難以保證；設(shè)備自身陳舊，無法審計(jì)運(yùn)維加密協(xié)議、遠(yuǎn)程桌面內(nèi)容等，從而難以有效定位安全事件。

以上所面臨的風(fēng)險(xiǎn)嚴(yán)重破壞政府、醫(yī)院、企業(yè)等的信息系統(tǒng)安全，已經(jīng)成為其信息系統(tǒng)安全運(yùn)行的嚴(yán)重隱患，尤其是醫(yī)院，將影響其效益。尤其醫(yī)院信息系統(tǒng)是一個復(fù)雜的系統(tǒng)工程，涉及人、技術(shù)、操作等要素，單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn)。

因此在考慮安全保障體系時(shí)，必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。

如何有效監(jiān)控業(yè)務(wù)系統(tǒng)訪問行為和敏感信息的傳播，準(zhǔn)確掌握網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)，及時(shí)發(fā)現(xiàn)違反安全策略的事件并實(shí)時(shí)告警、記錄，同時(shí)進(jìn)行安全事件定位分析，事后追查取證，滿足合規(guī)性審計(jì)要求，是企事業(yè)迫切需要解決的問題，即IT運(yùn)維安全管理的變革已刻不容緩！

堡壘機(jī)提供一套先進(jìn)的運(yùn)維安全管控與審計(jì)解決方案，它通過網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、識別，實(shí)時(shí)動態(tài)監(jiān)測通信內(nèi)容、網(wǎng)絡(luò)行為和網(wǎng)絡(luò)流量，發(fā)現(xiàn)和捕獲各種敏感信息、違規(guī)行為，實(shí)時(shí)報(bào)警響應(yīng)，全面記錄網(wǎng)絡(luò)系統(tǒng)中的各種會話和事件，實(shí)現(xiàn)對網(wǎng)絡(luò)信息的智能關(guān)聯(lián)分析、評估及安全事件的準(zhǔn)確全程跟蹤定位，為整體網(wǎng)絡(luò)安全策略的制定提供權(quán)威可靠的支持。

隨著堡壘機(jī)在醫(yī)院中的應(yīng)用，其主要實(shí)現(xiàn)了以下功能：

1）賬號管理集中

堡壘機(jī)建立于唯一身份標(biāo)識的全局實(shí)名制管理，支持統(tǒng)一賬號管理策略，實(shí)現(xiàn)與各服務(wù)器、網(wǎng)絡(luò)設(shè)備等無縫連接，集中管理主賬號（普通用戶）、從賬號（目標(biāo)設(shè)備系統(tǒng)賬號）及相關(guān)屬性。

2）訪問控制集中

堡壘機(jī)通過集中對應(yīng)用系統(tǒng)的訪問控制，通過對主機(jī)、服務(wù)器、網(wǎng)絡(luò)、數(shù)據(jù)庫等網(wǎng)絡(luò)中所有資源的統(tǒng)一訪問控制，確保用戶擁有的權(quán)限是完成任務(wù)所需的最小權(quán)限，實(shí)現(xiàn)集中有序的運(yùn)維操作管理，防止非法、越權(quán)訪問事件的發(fā)生。

3）安全審計(jì)集中

基于唯一身份標(biāo)識，堡壘機(jī)通過對用戶從登錄到退出的全程操作行為審計(jì)，監(jiān)控用戶對被管理設(shè)備的所有敏感的關(guān)鍵操作，提供分級告警，聚焦關(guān)鍵事件，能完成對醫(yī)院內(nèi)網(wǎng)所有網(wǎng)上行為的監(jiān)控和對安全事件及時(shí)預(yù)警發(fā)現(xiàn)、準(zhǔn)確可查的功能。

通過此體系監(jiān)控到的數(shù)據(jù)能對醫(yī)院內(nèi)部網(wǎng)絡(luò)的使用率、數(shù)據(jù)流量、應(yīng)用提供比例、安全事件記錄、網(wǎng)絡(luò)設(shè)備的動作情況、網(wǎng)絡(luò)內(nèi)人員的網(wǎng)上行為記錄、網(wǎng)絡(luò)整體風(fēng)險(xiǎn)情況等這些情況有較全面的了解。

信息安全是一個動態(tài)的過程，要根據(jù)網(wǎng)絡(luò)安全的變化不斷調(diào)整安全措施，適應(yīng)新的網(wǎng)絡(luò)環(huán)境，M足新的網(wǎng)絡(luò)安全需求。

安全管理制度也有一個不斷完善的過程，經(jīng)過安全事件的處理和安全風(fēng)險(xiǎn)評估，會發(fā)現(xiàn)原有的安全管理制定中存在的不足之處。根據(jù)安全事件處理經(jīng)驗(yàn)教訓(xùn)和安全風(fēng)險(xiǎn)評估的結(jié)果，對信息安全管理策略進(jìn)行修改，對信息安全管理范圍進(jìn)行調(diào)整。

參 考 文 獻(xiàn)