运维管理保障体系
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇运维管理保障体系范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
运维管理保障体系范文第1篇
即使这样,如下安全问题依然摆在了很多企业面前:安全设备部署了很多,安全制度流程也建立了,但从整体角度看,仍然是各自为战,仿佛信息安全问题只是IT部门的事情,与其他人无关,这就使得无法形成整体有效的安全防护;一边是业务应用越来越复杂,一边是安全设备和制度不断增加,如果安全设备和制度做多了,业务部门抱怨太繁琐,但如果不做这么多,又怕出现安全问题,左右为难。
那么,出现这些问题的根源是什么呢?我们早就知道,建设安全系统不仅仅是技术问题,也是管理问题。而信息安全服务的主要目标就是更好的支撑IT应用系统的效果和效率,也就是说,信息安全的主要目的是通过信息安全管理体系、技术体系以及运维体系的综合有效建设,让IT应用系统能够达到更好的运营效果以及更高的效率。而如何综合而有效的建立信息安全保障体系,成为了摆在每个企业面前的课题。
合规是重中之重
信息安全标准是确保信息安全产品和系统在设计、研发、生产、建设、使用和测评过程中保持一致性、可靠性、可控性、先进性和符合性的技术规范和依据,其不仅关系到国家的信息安全,也是保护国家利益、促进产业发展的一种重要手段,同时更是信息安全保障体系中的重要组成部分,是政府进行宏观管理的重要依据。
我国在这方面虽然起步较晚,但也制定了一批符合中国国情的信息安全标准,同时在一些重点行业还颁布了一批信息安全的行业标准,尤其是国家等级保护制度和分级保护制度是我国在进行信息安全保障体系建设中的重要依据。
因此,企业只有在信息安全保障体系建设过程中依据相关标准进行合规性分析,通过安全风险评估,然后比对相关标准中所涉及的技术要求、管理要求、测评要求,才能明确得出建设的方向和重点,了解目前系统中存在的问题和改进的方法,同时明确在管理、部署和运维过程中信息安全管理的相关制度、流程和需要持续改进的目标。
此外,相关标准还为企业明确了进行信息安全保障体系建设的方法,只有遵循这种方法才能做到“有法可依、有章可循”。
安全咨询是桥梁
前面提到,信息安全建设的主要目的是让IT应用系统能够达到更好的运行效果,并提高系统的运行效率,也就是说,要让信息安全保障体系成为IT应用系统的有效支撑。然而,不同政府或企业的具体业务环境和流程各不相同,所以也不是每个政府或企业都可以使用一个统一的模板。不同的组织在建立与完善信息安全保障体系时,必须根据自己的业务特点和具体情况以及IT应用的实际情况,采取不同的步骤和方法。此外,还要注意,信息安全不仅涉及安全管理和技术层面的问题,还会涉及到治理机制、业务流程、人员管理、企业文化等内容。
这就使得,企业要运用风险的方法来决定信息安全体系建设的目标和步骤。这个过程实际上是需要专业资深的安全服务人员对目标的业务特点、IT应用实际情况和具体管理方式进行现场调研、符合性分析、相关的风险评估等操作的,尤其是对关键业务应用的深入了解和分析,只有这样才能与标准比对形成安全基线和框架参考。
而且,在建设过程中,还要不断与相关负责人(决策人员、安全管理员、网络安全维护人员)进行深入沟通,以便发现安全隐患、找出关注重点,并提出有效的策略建议,最终才能运用风险的方法来决定体系建设的目标和步骤,并一步一步实施完成。通过这一点我们不难看出,信息安全咨询贯穿于整个信息安全体系建设的过程中,是联系实际需求和建设目标的桥梁。
实际落地是关键
信息安全技术体系是利用技术手段实现了技术层面的安全保护,是整个信息安全保障体系中非常重要的一部分。很多政府和企业都部署过一些技术防护手段,但这些防护手段是不是符合相关标准和关键业务的需求,是不是把风险控制到了一个可控的水平,我们就不得而知了。
因此,在信息安全保障体系建立过程中,一定要依照标准来选择技术防护手段,同时实现技术手段的落地是关键。而要实现技术手段的落地,就要兼顾以下几点:选择的技术产品要满足政府或企业实际环境、IT应用和管理流程制度等客观条件;选择的技术产品要具有易维护、管理简便的特点,并要能够保持先进性;选择的技术产品要能够满足应用变化的需要,并适应技术的不断发展。即保障可用性、适用性和持续性。
安全意识是必须
在很多政府部门和企业中普遍存在这样一个问题,仿佛信息安全只是IT部门的事情,其他业务部门大多采取了“事不关己,高高挂起”的态度,这势必会造成安全天天喊,但是总没有明显效果的局面。
可以说,建设信息安全保障体系是企业内的一次“安全革命”,通过培训,不仅仅要让每个人都提高对安全事件处理的管理水平和技术水平,更重要的是让每个人都拥有“信息安全人人有责”的意识。
同时,这场“安全革命”给企业带来了新的知识和管理模式,企业必须通过培训将整个信息安全保障体系的相关知识转移到每位员工身上,让他们对整个体系逐步达到从接受到适应,再到最终掌握。只有这样才能让整个信息安全保障体系真正应用起来,并真正起到效果。
运维平台是手段
运维管理保障体系范文第2篇
随着烟草行业信息化快速发展及云计算、虚拟化、移动应用等新兴技术运用,使烟草行业的信息安全面临新的挑战,主要表现在以下几点。
1.1核心软硬件被国外垄断,严重威胁行业信息安全
当前,烟草行业的信息系统基础设施,包括主机、存储、操作系统、数据库、中间件等几乎还很大程度上依赖于国外品牌,使得烟草行业信息系统比较容易被国外掌控,威胁烟草行业信息安全。
1.2传统互联网威胁向烟草行业辐射
随着电子商务的快速发展,烟草行业信息系统由半封闭的行业内网向互联网转变,网上订货、网上营销等新型业务与互联网结合日益紧密,同样面临的网络攻击和威胁形势日益复杂严峻,传统互联网威胁(如病毒、木马等)也必将危及行业信息安全。
1.3新技术的应用使行业信息安全面临更大挑战
随着云计算、虚拟化、移动应用等新兴技术的快速发展和应用,极大地影响了信息系统的运行和服务方式,互联网服务的开放性特点对烟草行业信息安全工作提出严峻的挑战。
2烟草行业信息安全发展方向
近期,为处理好安全和发展的关系,适应信息技术发展形势需要,提出以安全保发展、以发展促安全是未来一段时间信息安全建设和管理的重要方向。
2.1坚持自主安全可控,健全行业信息安全体系
信息安全自主可控作为行业信息化发展的重要保障,加大安全可靠的先进技术应用力度,提升对核心技术的自主掌控能力,保障行业信息化建设稳步推进,健全以防为主、软硬结合的行业网络安全体系。强化网络基础设施安全,加大安全可控关键软硬件的应用比例,确保行业信息化高效安全平稳运行。
2.2坚持等级保护,提高安全管理水平
执行国家信息安全等级保护制度,以安全策略为核心,坚持技术和管理相结合,构建与行业信息化发展协调一致的行业网络安全体系。
2.3强化安全运维机制,提升安全保障能力
目前,行业信息安全保障尚未全面融入信息化的“建管用”的各个环节,需要进一步建设、健全行业网络安全保障体系,落实安全运维机制,提升安全综合防范能力。
2.4完善应急处置体系,保证系统安全稳定运行
加强日常信息安全监控,进一步完善信息安全应急处置机制,充分评估信息系统面临的威胁,并制订覆盖各类信息系统、各种信息安全事件的应急预案并进行演练,提升信息系统预警、应急处置和恢复能力,保障业务系统的连续稳定运行。
2.5烟草行业信息安全建设思路
随着国家、行业主管单位对信息安全认识和要求的不断深入,烟草行业信息系统综合安全防范能力需要通过建立自主可控的信息安全技术体系;细化和完善信息安全法规制度、标准规范、流程细则的管理体系;和以“常态化”为目标,包括阶段性运维、日常运维、应急工作三个角度的安全运维体系设计,从而提高信息系统信息安全综合防范能力。
2.6建立系统安全基线,提升系统基础防护能力
国家局针对信息安全工作下发了如《信息安全保障体系建设规范》《行业单位等级保护建设规范》等一系列的规范标准,同时以“三全工作”“安全检查”为抓手推动信息安全保障体系的建设。但由于缺乏具体的操作层面的指南,各行业单位对标准规范和安全建设尚不能有效落地,不能执行到具体的业务系统以及所属的主机、网络设备等基础设施层面。为保证信息系统整体安全水平,防止因为各类系统、设备的安全配置不到位而带来安全风险,有必要针对信息系统建立其基本的安全要求(安全基线),确保信息系统具有基本的安全保护能力。
2.7建立自主可控信息安全技术体系
自主可控是信息安全的根本保障。建立自主可控的信息安全技术体系可以从以下方面着手:一是制订行业信息安全技术产品准入要求,启动核心信息技术产品的信息安全检查和认证工作;二是加强对产品或系统的漏洞检测和代码审查,及时发现系统安全隐患,同时明确国外进口产品在使用过程的责任和义务;三是建立烟草行业新技术的安全标准规范,明确新技术的使用、运维和管理的方法和范围。
2.8不断完善行业信息安全标准规范体系
目前烟草行业已经陆续了一系列行业信息安全标准和规范,但是相对于信息化的快速发展来说还存在滞后性。制定、完善和细化行业信息安全标准规范,对于烟草信行业信息安全具有重要意义。例如,针对信息系统的建设,应制订包含在信息系统规划设计、开发建设、运行维护和停用废弃等全生命周期的安全标准规范;针对移动应用,应制订包含由移动终端、移动网络、移动平台、业务应用构成的移动安全框架和建设标准规范,为烟草行业的移动应用建设提供指导;针对烟草行业数据安全,应建立包括数据分类分级、数据分布、数据操作、数据备份和恢复在内数据安全标准规范,为合理保护和利用行业数据提供指导;针对第三方服务外包,制定第三方服务机构服务质量基本评价指标体系。
2.9建立安全运维管理服务体系
一是建立运维监控指标体系。通过对信息系统安全运维水平的层次化监控指标的建立,得到该业务系统的安全运维水平评级,以此来表明该业务系统的安全运维体系的建设成熟度。同时还应将表示安全运维水平的各个指标项建立针对某类安全事件的度量标准。建立监控指标不仅应当包括传统的各种系统资源使用率、数据和应用工作状态等,同时要加强对运维监控中发现的各种异常现象的监控分析,对风险隐患及时处理,同时根据运行分析结果动态评估系统的处理能力,动态优化系统资源配置。二是完善安全运维和管理工作。安全运维和管理工作应包含在信息系统规划设计、开发建设、运行维护和停用废弃等各环节,落实系统建设全生命周期各环节的安全指标和流程要求,做到基础信息网络、重要信息系统与安全防护设施同步规划、同步建设、同步运行。三是完善应急处置机制,保障业务连续性。随着行业数据的集中,各类信息系统整合的不断推进,信息系统的技术体系日趋复杂,需要在日常运维过程中积累、提高对各种技术的把握、优化能力。充分评估各类信息系统潜在的威胁,并制订和完善各类信息安全事件的应急预案,并定期开展应急演练。
2.10开展信息安全风险态势感知体系研究
风险态势感知体系是具有宏观的角度对行业的整体网络安全防护能力进行评估,同样也应对整体安全管理水平进行评估,为提升信息系统整体安全防护能力提供决策支持;同时风险态势感知体系应具备两个维度的态势感知能力。一方面,从安全本身的发展变化入手,通过对事件和威胁的分析来评估当前网络的整体安全态势,包括地址熵态势分析、热点事件分析和威胁态势分析;另一方面,从信息系统所需要达成的安全管理水平入手,通过对一系列管理指标的度量,来评估当前信息系统的安全管理水平;建设完备的信息安全风险感知体系,是提高烟草领域信息安全的重要途径之一。风险态势感知体系的建设应按照信息安全等级保护的相关要求,建设针对信息系统所有的基础设施包括终端、网络、应用、系统、物理各个方面,以及信息系统在业务处理过程中的身份认证、访问控制、数据与内容安全、监控审计、备份恢复等各个环节的信息安全风险态势感知体系,提高信息系统的信息安全保障能力,提高信息安全事件的预警及防范能力。
3结语
运维管理保障体系范文第3篇
铁路信息安全建设和运行必须结合铁路信息化实际情况,从管理和技术两个层面综合保证铁路信息系统的运行操作安全,保障铁路信息系统及其安全基础设施的运行安全,并最终保障铁路运输业务及运输服务的安全。铁路信息安全保障体系结构见图1。管理和技术是铁路信息安全保障体系的两个要素,是保证铁路信息系统及其所支撑的铁路运输业务和服务安全建设和运行的必要条件。在这两个安全要素中,管理是核心,是基础,它影响和决定技术的选择以及技术标准规范;反过来,技术也会影响到信息安全管理方式和管理制度的具体形式,降低管理成本。在安全管理层面中,国家和铁路行业的信息安全方针政策法规是铁路信息安全建设和安全运维的管理基础;铁路信息安全管理制度是信息安全方针政策法规在铁路信息安全日常工作中的具体要求体现;铁路信息安全组织保障是落实铁路信息安全方针政策法规、执行铁路信息安全管理制度的岗位职责基础和人员保障;信息安全意识培养、培训和教育是铁路信息安全方针政策法规和铁路信息安全管理制度得以高效、准确地落实和执行的保证。管理安全保证不仅通过方针政策法规、组织保障、管理制度、意识培养培训教育等形式直接对铁路业务提供安全支持和保障外,还通过对信息安全技术的影响间接地保护铁路业务安全。铁路信息安全方针政策法规和管理制度等因素是制定铁路信息安全技术标准和规范的重要基础,同时,它们也会对信息安全方案的设计、产品选择和采购方式产生不同程度的影响。在安全管理控制下,只有具备安全资质的业务人员才可以在已经获得认证认可的技术手段支持下,执行规定的操作流程;铁路信息系统操作流程安全包括铁路信息系统的建设、运维和灾备恢复等活动的流程和操作安全,它旨在保证铁路信息系统及其安全基础设施在安全生命周期中各主要阶段的过程安全。铁路信息系统由铁路外部服务网、内部服务网、安全生产网以及若干生产专网组成,铁路的各种应用业务都直接运行在这些系统之上,为了更好地支撑这些业务系统的安全运行,支持铁路统一的安全管理,在铁路信息系统中还包括灾备中心、数字证书系统、集中管理及认证授权中心等安全基础设施系统或安全平台,这些安全基础设施及其所服务的铁路应用业务系统的运行安全是铁路运输业务及服务正常安全运行的环境保障。
2安全保障体系要素
在铁路信息系统中,无论是系统的建设、运行、灾难恢复、事件处置等活动,还是其支撑的运输业务和服务等系统目标,都离不开管理和技术两个安全要素的综合保证,其中管理是核心,在安全管理措施的控制下,只有具备安全资质的业务人员才可以在已经获得认证认可的技术手段支持下,执行规定的操作流程。
2.1铁路信息安全管理体系
铁路信息安全管理体系必须以国家信息安全相关法规、政策和标准以及铁路相关法规政策为基础和依据。按照GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》、GB/T22080—2008《信息技术安全技术信息安全管理体系要求》和GB/T22081—2008《信息技术安全技术信息安全管理实用规则》等国家标准和指南,结合我国铁路实际情况,将铁路信息安全管理体系划分为11个安全控制类别,其中包括信息安全政策、信息安全组织、资产业务、信息安全环境、设备使用、通信网络、配置授权、安全事件处置、安全运维、安全合规和灾备恢复等管理内容;在11个安全控制类别的基础上,建立铁路信息安全管理制度框架,如铁路信息资产管理制度、互联网访问管理制度、人员安全培训制度、机房管理制度、产品准入制度、系统运维制度、安全事件处理流程规定、介质管理制度、电子邮件使用管理规定、铁路软件开发管理流程规定等(见图2)。
2.2铁路信息安全技术框架
铁路信息安全技术框架是铁路信息安全保障体系的重要组成内容,主要包括安全管理、身份管理、授权管理、灾备管理、监控审计、可信保证等技术机制(见图3)。管理安全是统领铁路信息安全保障的纲领,纲举才能目张,构建一个全路信息系统可视化管理平台,以便对网络、计算机设备、应用系统部署、操作用户及角色、运维状态等关键信息进行全局的监控,提高对系统中安全问题及其隐患的发现、分析和防范能力。由全路统一身份管理平台、授权管理机制和责任认定构成的铁路网络信任管理体系是保障铁路信息安全可信和安全的前提。全路灾难备份和恢复策略管理是铁路信息系统可信、安全和业务可持续性的后盾。以密码技术为基础的可信计算技术为软硬件资源的安全和隔离提供了结构化保证,为计算环境的可信可靠(完整性)提供了有效的判别手段,为关键数据提供了可信安全存储,为分布式计算的安全机制一致性和网络接入控制提供了远程可信证明方法。可信计算技术是构建铁路信息安全保障体系的基础支撑。
2.3铁路信息安全的组织保证
铁路信息系统安全应该在组织上加以保证。在具体组织形式上应该由中国铁路总公司(简称总公司)主管领导和部门具体负责铁路信息安全的领导和组织工作,由相关专业职能部门分工协作,在铁路信息化的整体工作布局中设置专门机构和岗位、明确相关职责、配备信息安全专业技术和管理人员,确保信息安全管理制度的有效落实和信息安全技术机制的可操作性。铁路信息安全组织保证框架见图4。总公司信息安全主管部门应该包括以下职能机构:法规政策标准管理机构负责制定铁路信息安全相关法规、政策、标准和规范,并负责铁路业务应用密码的管理工作;安全建设运维管理机构根据铁路信息安全相关法规、政策、标准和规范,参与铁路信息系统及其安全基础设施的设计、开发和运维审核和监管工作;信息安全风险管理机构负责对进入铁路信息系统的相关产品进行测评认证,对运行系统进行安全监控,负责信息系统的安全风险管理工作;安全事件处置管理机构负责对系统紧急事件进行处理,对舆情进行综合分析,并根据事件性质和处理结果对事件进行通报;安全保密培训服务中心负责全路的信息安全法律法规、政策标准、安全意识和安全技能的培训提高工作,负责组织安排和协调社会力量以及高校等培训机构具体实施常态化信息安全培训工作;安全灾备恢复管理机构负责重要信息系统的运行和数据备份实施工作,并在系统出现严重故障后,迅速协调相关部门恢复服务或业务数据,保障关键业务服务的运行连续性。各铁路局(公司)应该参照总公司信息安全管理组织结构,设置相关部门或相关专职岗位,并有铁路局(公司)领导具体分管信息安全工作。铁路局(公司)信息安全工作应该在总公司统一组织、协调和安排下开展具体工作。
2.4铁路信息系统安全基础设施
铁路信息系统必须依赖于铁路网络与信息安全基础设施作为其安全支撑基础。铁路网络与信息安全基础设施不仅可以落实铁路集中统一安全管理的要求,提高铁路信息系统的安全水平,还能有效降低铁路信息安全的建设和运维成本。铁路信息安全基础设施包括铁路信息系统灾备恢复中心、铁路业务应用密码管理中心、数字证书系统、集中安全管理及认证授权中心、安全监控中心、安全隔离平台、信息安全培训平台以及铁路网络舆情分析系统(见图5)。铁路信息系统灾备恢复中心可以将由于系统重大故障或破坏带来的业务中断降低到最小程度,提高铁路的服务水平;铁路业务应用密码管理中心是保护铁路重要数据安全和业务安全的基础保证,同时它也是全路统一信任体系的技术基础;铁路数字证书系统可以在全路范围内建立统一的身份认证体系,提高铁路的信息安全集中管理能力,降低安全管理成本;铁路集中管理及认证授权中心通过全路集中的信息安全平台实现高效、统一的安全管理,保证安全策略的快速一致化部署;铁路信息系统安全监控中心可以对铁路信息系统的安全运行状态进行监控,掌握铁路信息系统的运行态势,从而实现在铁路信息系统中防患于未然,有效降低系统安全风险;铁路安全隔离平台是隔离铁路内部服务网和外部服务网的安全措施,它保证了铁路安全生产网络的正常运行;铁路信息安全培训平台对保证提高铁路员工的信息安全意识、培养安全素养极为重要,是人员安全的必要保证;铁路网络舆情分析系统对铁路了解社会评价、改善铁路社会化服务水平、提高铁路形象至为关键。
2.5铁路信息安全意识培养、培训和教育管理
要搞好铁路信息系统的信息安全管理,离不开相关人员的安全意识培养、技能培训和专业教育。铁路信息安全意识培养、培训和教育分别针对不同层次和专业的人员而设。信息安全意识培养通过对信息安全术语、议题和基本概念的宣传、宣导,吸引一般人群对信息安全的关注,帮助人们了解信息安全所关注的问题,并能因此产生正确的响应;信息安全培训让信息系统相关人员获得相关的技能和必备的资质,使其在信息安全管理、设计、开发、建设、运维、操作、评估和使用等方面满足与信息安全相关的岗位职能要求,培训可以分为初级、中级和高级等多个层次;信息安全教育则从信息安全专业理论、技术、经验等方面培养信息安全专家,与信息安全培训一样,这种信息安全教育也应分为初级、中级和高级等多个层次。为降低信息安全意识培养、培训和教育的管理和运作成本,铁路信息安全资质认证也可以和国家其他部门的资质认证机构合作,对一些可信度高、有较高权威的信息安全资质证书采取等同认可方法。铁路信息安全意识培养、培训和教育管理框架见图6。铁路信息安全意识培养、培训和教育管理可分为两方面:一方面是针对全部相关人员的信息安全意识培养。安全意识培养是一个长期的宣传和贯导工作,可以通过制度奖惩、危机教育、标语口号等方式建立普遍的信息安全概念,推广信息安全文化;另一方面是针对岗位定义不同的信息安全资质要求,并这对这些资质要求建立相对应的信息安全技能和专业培训、教育,为了满足这些资质培训教育工作,总公司必须建立相关的培训和认证机制,设置相关的机构。
2.6系统流程及操作安全保证
系统流程和操作安全是指铁路信息安全建设、运维和灾备恢复等活动的流程和操作安全,它旨在保证铁路信息系统及其安全基础设施在安全生命周期中主要阶段的过程安全。在铁路信息安全建设和运行过程中,要制定并依托相关的铁路网络与信息安全管理制度、技术标准规范和组织部门机构,对系统的安全设计、产品测评准入、安全工程等过程进行安全管控,从根本上杜绝系统在结构上的安全缺陷、严防不合规的产品进入系统、保证系统建设施工的安全规范;在铁路信息系统的日常运行过程中,也必须建立系统风险监控、评估和控制的管理和技术体系,通过专业专职的机构和部门,对系统的安全状态进行实时监控、对系统安全风险进行定期或不定期的评估;对安全事件进行预案规划、演练和应急处置,避免重大安全事件的发生;对系统服务或重要数据实施安全灾备,最大程度地减少系统故障带来的铁路运输业务和服务中断时间,减小风险后果。铁路信息安全建设、运维和灾备恢复流程见图7。
3结束语
运维管理保障体系范文第4篇
内蒙古烟草2011年已经完成了硬件资源的集成整合,具有统一的存储资源池、统一的计算资源池、统一的应用资源池、统一的WEB资源池和扩展应用资源池。目前这样的硬件资源环境很适合选择基于SOA框架构建内蒙古烟草应用集成平台(如图1所示),基于软硬件基础设施运行,为应用系统提供门户集成、服务集成、流程集成和规则管理等服务。它遵循J2EE标准、JSR168/162、WFMC标准、安全体系和认证标准,同时也遵循烟草行业内的标准,支持消息的XML表示、事务管理、集群、可靠安全传输、永久存储和智能路由,可为内蒙古烟草应用提供丰富灵活的集成开发环境,能为内蒙古烟草应用集成从建模、开发、集成、部署、运行、监控、维护的完整生命周期过程管理提供基础环境,适用于内蒙古烟草信息化建设中对数据集成和应用集成的广泛需求。基础平台可分为5个逻辑部件层和3个保障体系。5个逻辑部件层的组成及功能如下:门户层:打破应用系统之间的界限,实现应用系统的构件化,对应用构件进行统一的注册和管理,对用户信息进行统一管理,实现各应用构件的单点登录、权限管理、统一认证和个性化界面定制等功能。服务层:提供企业服务总线和流程管理平台。通过企业服务总线为应用系统提供业务服务集成的能力,通过服务管理实现服务注册、服务存储、服务生命周期管理和服务监控管理;通过流程管理平台提供业务流程整合的能力,实现流程定义、流程整合、流程编排和流程监控功能。应用层:将应用拆分成构件,形成应用构件池。资源层:将企业的数据和服务作为企业资源管理,将流程、信息和交互服务作为服务资源进行管理。支撑层:包括基础的应用服务器、数据库服务器和目录服务器等中间件软件,交换机、路由器、网络防火墙等网络基础设施,以及配套的系统监控管理系统软件。3个保障体系分别是:标准与规范体系:与应用集成平台配套的标准与规范体系用以指导和要求各应用系统的建设和管理,包括基础资源标准、数据交换标准、应用集成标准和门户集成标准。信息安全保障体系:基于PKI/CA技术体系,对整体系统进行安全加固,并参照行业要求建立信息安全保障体系,包括应用安全管理和数据安全管理。运维管理体系:与应用集成平台配套的标准与规范体系用以指导和要求各应用系统的运维管理,包括应用运维管理和平台运维管理。
基于SOA架构的内蒙古烟草应用集成平台的实现
内蒙古烟草应用集成不是1个独立的技术实现,而是1个全面的、协同合作的解决方案。通过构建多层次的应用集成基础框架,结合目录服务、MDA和BEPL等技术模型,实现内蒙古烟草各系统的业务流程、应用系统、数据资源无缝集成,真正做到内蒙古烟草“大整合、高共享、流程化”。其具体实现如图2所示。内蒙古烟草应用集成框架包括5个部分:(1)门户集成平台:通过部署中软国际的R1portal产品,实现建立一个跨应用、设备和企业的统一集成的互动用户界面,使用户可以通过任何设备从任何地方获取所需信息。包括统一用户管理、统一角色管理、统一授权管理、统一身份认证和统一授权管理,支持个性化界面管理与面向后台应用的功能组装。(2)服务集成:服务集成可分为基础业务实现(过SOMA的服务发现方法进行分析)、信息交换集成、业务流程管理和挖掘服务价值四个阶段。主要建设内容包括服务总线平台的搭建、现有系统服务的注册,门户相关服务的注册等。(3)流程集成:基于BPEL的业务流程管理,实现企业内部的流程、服务的整合。基于公共的流程引擎,实现不同系统间流程对接及流程携带的、实时数据交换服务以及多设备接入所需要的服务等,并提供丰富的应用适配器,实现现有不同系统之间的流程集成和数据交换。以服务为中心的应用集成通过流程服务来完成业务流程集成。在业务流程集成中,业务逻辑将封装、组合成服务,流程服务提供自动执行业务流程的能力,并满足自动执行流程和人工交互流程。具体实现过程如图3所示:(4)服务资源资产化及管理集成:提供对服务资源进行构件化管理(包括构建设计、构架开发、构件注册、构件检索和构件监管等内容)和对应用系统的资产化管理(包括硬件/网络管理、)基础软件管理、应用软件系统管理)。内蒙古烟草应用集成平台中有两种构建服务,分别是:数据服务构建和应用服务构建。构建信息包括:元信息、资源信息和部署信息。(5)系统安全集成:访问控制、身份鉴别、资源控制、安全审计等功能。
运维管理保障体系范文第5篇
1现状与问题
1.信息安全现状
随着信息化建设的推进,我校信息化建设初具规模,软硬件设备配备完成,运行保障的基础技术手段基本具备。网络中心技术力量雄厚,承担网络系统管理和应用支持的专业技术人员达20余人;针对重要应用系统采用了防火墙、IPS/IDS、防病毒等常规安全防护手段,保障了核心业务系统在一般情况下的正常运行,具备了基本的安全防护能力|6];日常运行管理规范,按照信息基础设施运行操作流程和管理对象的不同,确定了网络系统运行保障管理的角色和岗位,初步建立了问题处理的应急响应机制。由网络中心进行日常管理的主要有六大业务应用系统,即网络通信平台、认证计费系统、校园一卡通、电子校务系统、网站群、邮件系统。
网络通信平台是大学各大业务平台的基础核心,是整个校园网的基础,其他应用系统都运行在高校的基础网络环境上;认证计费系统是针对用户接入校园网和互联网的一种接入认证计费的管理方式;校园一卡通系统建设在物理专网上,主要实现学生校园卡消费管理,校园卡与大学网络有3个物理接口;电子校务系统是大学最重要的业务应用系统,系统中存储着重要的教务工作数据、学生考试信息、财务数据等重要数据信息;大学主页网站系统为大学校园的互联网窗口起到学校对外介绍宣传的功能;邮件系统主要为大学教师与学生提供邮件收发服务,目前邮件系统注册用1.2面临的主要问题
通过等级保护差距分析和风险评估,目前大学所面临的信息安全风险和主要问题如下:
(1)高校领域没有总体安全标准指引,方向不明确,缺少主线。
(2)对国际国内信息安全法律法规缺乏深刻意识和认识。
(3)信息安全机构不完善,缺乏总体安全方针与策略,职责不够明确。
(4)教职员工和学生数量庞大,管理复杂,人员安全意识相对薄弱,日常安全问题多。
()建设投资和投入有限,运维和管理人员的信息安全专业能力有待提高。
(6)内部管理相对松散,缺乏安全监管及检查机制,无法有效整体管控。
(7)缺乏信息安全总体规划,难以全面提升管理
(8)缺乏监控、预警、响应、恢复的集中运行管理手段,无法提高安全运维能力。
2建设思路
2.1建设原则和工作路线
学校信息安全建设的总体原则是:总体规划、适度防护,分级分域、强化控制,保障核心、提升管理,支撑应用、规范运维。
依据这一总体原则,我们的信息安全体系建设工作以风险评估为起点,以安全体系为核心,通过对安全工作生命周期的理解从风险评估、安全体系规划着手,并以解决方案和策略设计落实安全体系的各个环节,在建设过程中逐步完善安全体系,以安全体系运行维护和管理的过程等全面满足安全工作各个层面的安全需求,最终达到全面、持续、突出重点的安全保障。
2.2体系框架
信息安全体系框架依据《信息安全技术信息系统安全等级保护基本要求》GBT22239-2008、《信息系统等级保护安全建设技术方案设计要求》(征求意见稿),并吸纳了IATF模型[7]中“深度防护战略,,理论,强调安全策略、安全技术、安全组织和安全运行4个核心原则,重点关注计算环境、区域边界、通信网络等多个层次的安全防护,构建信息系统的安全技术体系和安全管理体系,并通过安全运维服务和itsm[8]集中运维管理(基于IT服务管理标准的最佳实践),形成了集风险评估、安全加固、安全巡检、统一监控、提前预警、应急响应、系统恢复、安全审计和违规取证于一体的安全运维体系架构(见图2),从而实现并覆盖了等级保护基本要求中对网络安全、主机安全、应用安全、数据安全和管理安全的防护要求,以满足信息系统全方位的安全保护需求。
(1)安全策略:明确信息安全工作目的、信息安全建设目标、信息安全管理目标等,是信息安全各个方面所应遵守的原则方法和指导性策略。
(2)安全组织:是信息安全体系框架中最重要的
各级组织间的工作职责,覆盖安全管理制度、安全管理机构和人员安全管理3个部分。
(3)安全运行:是信息安全体系框架中最重要的安全管理策略之一,是维持信息系统持续运行的保障制度和规范。主要集中在规范信息系统应用过程和人员的操作执行,该部分以国家等级保护制度为依据,覆盖系统建设管理、系统运维管理2个部分。
(4)安全技术:是从技术角度出发,落实学校组织机构的总体安全策略及管理的具体技术措施的实现,是对各个防护对象进行有效地技术措施保护。安全技术注重信息系统执行的安全控制,针对未授权的访问或误用提供自动保护,发现违背安全策略的行为,并满足应用程序和数据的安全需求。安全技术包含通信网络、计算环境、区域边界和提供整体安全支撑的安全支撑平台。该部分以国家等级保护制度为依据,覆盖物理层、网络层、主机层、应用层和数据层5个部分。
()安全运维:安全运维服务体系架构共分两层,实现人员、技术、流程三者的完美整合,通过基于ITIL[9]的运维管理方法,保障基础设施和生产环境的正常运转,提升业务的可持续性,从而也体现了安全运3重点建设工作
3.1安全渗透测试
2009年4月,学校对38个网站、2个关键系统和6台主机系统进行远程渗透测评。通过测评,全面、完整地了解了当前系统的安全状况,发现了20个高危漏洞,并针对高危漏洞分析了系统所面临的各种风险,根据测评结果发现被测系统存在的安全隐患。渗透测试主要任务包括:收集网站信息、网站威胁分析、脆弱性分析和渗透入侵测评、提升权限测评、获取代码、渗透测评报告。
3.2风险评估和安全加固
2009年5月,依据安全渗透测试结果,对大学的六大信息系统进行了安全测评。根据评估结果得出系统存在的安全问题,并对严重的问题提出相应的风险控制策略。主要工作任务包括:系统调研、方案编写、现场检测、资产分析、威胁分析、脆弱性分析和风险分析。通过风险评估最终得出了威胁的数量和等级,表1、表2为威胁的数量和等级统计。2009年6月和9月,基于风险评估结果,对涉及到的网络设备(4台)和主机设备(14台)进行了安全加固工作。
3.3安全体系规划
根据前期对全校的网络、重要信息系统及管理层面的全面评估和了解整理出符合大学实际的安全需求,并结合实际业务要求,对学校整体信息系统的安全工作进行规划和设计,并通过未来3年的逐步安全建设,满足学校的信息安全目标及国家相关政策和标准学校依据国际国内规范及标准,参考业界的最佳实践ISMS[10](信息安全管理体系),结合我校目前的实际情况,制定了一套完整、科学、实际的信息安全管理体系,制定并描述了网络与信息安全管理必须遵守的基本原则和要求。
通过信息安全管理体系的建立,使学校的组织结构布局更加合理,人员安全意识也明显提高,从而保证了网络畅通和业务正常运行,提高了IT服务质量。通过制度、流程、标准及规范,加强了日常安全工作执行能力,提高了信息安全保障水平。
4未来展望和下一步工作
4.1安全防护体系
根据网络与信息系统各节点的网络结构、具体的应用以及安全等级的需求,可以考虑使用逻辑隔离技术(VLAN或防火墙技术)将整个学校的网络系统划分为3个层次的安全域:第一层次安全域包括整个学校网络信息系统;第二层次安全域将各应用系统从逻辑上和物理上分别划分;第三层次安全域主要是各应用系统内部根据应用人群的终端分布、部门等划分子网或子系统。
公钥基础设施包括:CA安全区:主要承载CAServer、主从LDAP、数据库、加密机、OCSP等;KMC管理区:主要承载KMCServer、加密机等;RA注册区:主要承载各院所的RA注册服务器,为各院所的师生管理提供数字证书注册服务。
应用安全支撑平台为各信息系统提供应用支撑服务、安全支撑服务以及安全管理策略,使得信息系统建立在一个稳定和高效的应用框架上,封装复杂的业务支撑服务、基础安全服务、管理服务,并平滑支持业务系统的扩展。主要包括:统一身份管理、统一身份认证、统一访问授权、统一审计管理、数据安全引擎、单点登录等功能。
4.2安全运维体系
ITSM集中运维管理解决方案面对学校日益复杂的IT环境,整合以往对各类设备、服务器、终端和业务系统等的分割管理,实现了对IT系统的集中、统一、全面的监控与管理;系统通过融入ITIL等运维管理理念,达到了技术、功能、服务三方面的完全整合,实现了IT服务支持过程的标准化、流程化、规范化,极大地提高了故障应急处理能力,提升了信息部门的管理效率和服务水平。
根据终端安全的需求,系统应建设一套完整的技术平台,以实现由管理员根据管理制度来制定各种详尽的安全管理策略,对网内所有终端计算机上的软硬件资源、以及计算机上的操作行为进行有效管理。实现将以网络为中心的分散管理变为以用户为中心集中策略管理;对终端用户安全接入策略统一管理、终端用户安全策略的强制实施、终端用户安全状态的集中审计;对用户事前身份和安全级别的认证、事中安全状态定期安全检测,内容包括定期的安全风险评估、安全加固、安全应急响应和安全巡检。
4.3安全审计体系
