摘要:随着我国科学技术的进步,信息技术得到了飞速发展,信息系统在当今社会中的应用越来越广泛,同时,也对信息系统的运维安全工作提出了更高的期待和要求,精益化体系建设成为了各界人士关注的重点。本文阐述了精益化运维体系的概念,指出了当前信息系统运维工作存在的安全隐患,探究了提高信息系统运维精益化体系建设的方法,以期为相关安全运维工作提供一定参考。
关键词:信息系统;安全运维;精益化体系建设;方法
引言
信息系统运维工作的主要目的是保障系统的正常稳定运行,避免产生信息泄露等安全问题的出现,其包括两层含义即运行和维护,对于任何一个系统而言,不能够预先知道其何时信息系统安全事故,如系统崩溃、信息泄露、系统中毒等,并且系统的复杂程度越高,运维难度越大,如何提高我国信息系统安全运维已成为当前亟待解决的重要问题之一。我国信息系统运维体系建设相较于西方发达国家起步晚、起点低,依然处于初步发展的阶段,对于信息系统的安全性要求较低,因此我们要借鉴一些相关的国际标准,如ISO20000等,推进我国信息体统安全运维体系的建设。“十二五”党中央关于信息系统运维方面提出了新要求,即抓紧学习西方先进的科学技术,加大信息系统运维精益化体系建设力度,增加体系建设经济投入,迅速提高我国信息系统安全运维管理水平[1-4]。因此了解信息系统运维概念,探究信息系统安全运维精益化管理体系建设方法具有重要的意义。
1、精益化运维体系的概念
运行与维护简称运维,运维体系即一套运行与维护的管理方法,随着目前信息技术的发展,信息系统建设越来越庞大,信息分析处理的逻辑关系越来越复杂,无形中给信息系统的运维增加了很大的难度,因此,需要建立精益化运维体系,服务于信息系统的运维工作,提高运维工作效率,保证信息系统的正常运行。近年来,运维系统已在很多领域得到了应用,达到了运维人员只需通过问题的探究、获得问题发生的可能性、跟踪问题是否发生、分析和解决问题等规范的思路和方法,完成信息系统的日常运维工作变的更加容易,由此可见,精益化运维体系建设刻不容缓,其可以实时获取信息系统的运行情况、提取相关运行数据、运用对应的分析管理方法、对数据分析结果进行落实控制等。
2、信息系统运维存在的安全隐患
信息系统基础架构安全管理工具欠缺,当前信息系统仅有H3C的网络监控和基于Landesk的桌面管理系统,安全管理流程虽然存在,但是依然没有适合的管理工具能够保证系统的安全稳定运行;信息系统的安全运维机制不完善,没有建立统一的安全运维操作管理流程,没有形成统一安全管理规范文件,多数是以管理人员的经验等进行安全问题的处理;管理数据库配置信息不完善,难以满足信息系统安全管理的需求,我们要收集更多的配置属性数据,捋清数据间的相互关系,建立科学合理的安全管理模式;信息系统安全运维考核机制不完善,采用填表方式进行绩效评价的方式效率低下,主观意识成分多,不能真实反应安全运维工作的真实情况。
3、信息系统安全运维精益化体系建设的方法
3.1优化安全运维体系组织架构
信息系统安全运维组织机构设置对于安全运维工作效率的保障至关重要,我们在优化运维体系组织架构时重点是细化安全运维管理流程,明确安全运维工作中各个职能部门的工作职责,梳理信息系统安全运维的逻辑关系,明确工作流程控制节点和运维工作岗位设置,确定各岗位的职责和权限,实现信息系统安全运维体系精简高效全面的管理模式。我们要努力搭建一套“一个核心、两条主线、三维架构、四大支撑”的信息系统安全运维组织架构,用于信息系统的安全运维工作,其以信息调度为核心,坚持安全运行与维护为主线,建立以系统安全运行、业务流程、管理架构相结合的三维架构,以信息系统、业务流程、网络安全管理、基础设施维护作为四大支撑的安全运维工作,达到信息系统整体安全运维工作的有序、高效开展。
3.2创建新的安全管理模式
信息系统安全运维工作主体包括网络安全、主机存储、数据运行情况、故障隐患治理、检修执行等安全运维管理等,我们应该逐一进行安全管理思路的创新,提升各个环节的管理效率,保证信息系统安全运维工作的可靠运行。为了保证信息系统安全运维工作能够按照要求执行,我们需要细化安全运维工作,确定安全运维质量控制点,彻底改变传统的运维模式。
期刊文章分类查询,尽在期刊图书馆借鉴目前西方或者国内成功的运维创新模式,在信息系统安全运维过程中引进状态检修和预防性试验管理等内容,根据信息系统运行情况确定系统安全运行的考核指标,采用数值分析方法对安全运维过程数据进行整理分析,设定各个子系统安全运行的判据,及时发现运行安全隐患,进行检修恢复工作,达到防患于未然的目的。为了得到有效的数据,我们需要进行大量的系统预防性试验,需要制定确实可行的试验大纲,明确试验的时间、地点、试验目的、试验数据等,统筹安排系统预防性试验工作,掌握系统的工作情况,确定系统的安全运行判据,实现信息系统的无人、高效、安全运维。
3.3建立多维度安全告警管理模块
多维度安全告警不仅指监控、巡视、巡检等过程中发现的各类安全告警信息,同时还涉及性能分析、专业技术分析等结果、应急演练结果、预防性试验结论等,还有就是信息系统日常安全运维过程出现的问题及异常情况,以此为依据设计一套规范的安全告警系统,实现安全告警规范管理。当信息系统发出安全告警时,首先进行安全告警的分级,分级的依据是安全告警信息对系统的影响程度大小,之后启动应急措施,如下发安全告警信息、组织相关人员进行信息系统的紧急抢修工作等,最后安全运维工作完成后将结果上报安全告警系统,包括暂用、恢复、停用等,经验证符合安全运维工作结果之后进行信息存档。
安全运维工作完成之后需要进行专门的研讨,确定出现安全告警的原因,用于指导安全告警系统的工作。通过跟踪验证安全运维工作结果,确定安全告警系统是否消除或关闭,对于不能立即处理的安全告警,要在系统中进行标注,同时研究分析安全告警原因,确定可行的信息系统安全运维方案,拟定安全运维工作计划,落实完成安全告警问题的排除,对于不能解决的安全告警需要写入隐患管理体统进行存储,作为信息系统日常安全运维工作的重点。
3.4闭环的安全隐患管理模块
闭环的安全隐患管理模块涉及四个环节,包括发现安全隐患、确认安全隐患、整改治理、结果验证等,编制安全隐患管理规范,配置合适的信息系统安全运维管理工具,实现系统安全隐患的全方位立体式管理。系统安全运维工作人员可以通过系统的巡查、调度监控、运行状况分析、安全告警管理等,完成信息系统的安全运维工作,如果发现安全隐患,依据系统划定的级别进行安全隐患的评审,记录整个安全隐患排除的全过程,建立安全隐患处理档案,做到安全运维工作落实到纸面上,及时跟踪,及时记录,安全隐患排除责任落实到人,要求制定详细的安全隐患整改计划、拟定可行的整改措施、亲自落实整改方案、验证结果是否达到要求、确定安全隐患出现的原因、给出安全隐患预防的措施与应急预案。
3.5量化信息系统安全运维分析模块
随着信息系统安全运维综合监控系统等管理系统的出现,基本实现了信息系统安全运维工作的数据采集、存储、分析等功能。但是时间长了,数据量多了,要求我们配置大数据分析手段对系统运行情况进行监控分析,由复杂数据中得出有用的关联信息,为信息系统管理水平的提高提供有力的数据支持,可见量化信息系统安全运维分析模块的建立能够适应新环境对信息系统安全运维的需要。量化性能分析结果,通过建立合理的逻辑关系,采用科学的分析方法,完成系统安全隐患的发现、分析、整改、验证等过程,每个过程设计多个判据,根据隐患大小给出安全隐患的危害因数,让工作人员直观准确的知道安全隐患的大小。
4、结语
信息系统安全运维工作是一个不断提升和完善的过程,首先需要梳理信息系统安全运维工作的流程,提升安全管理效率,总结信息系统安全运行的规律,建立符合实际要求的安全运维管理系统,提高安全运维工作效率。通过量化安全管理,降低安全运维人员对于系统运行情况的分析检测时间,提高了系统运行状态的监管水平,对于今后我国信息系统的安全运维工作奠定了基础。
参考文献:
[1]张忠浩,董小亚,赵西林等.信息系统运维精益化体系建设研究[J].电力信息与通信技术,2015(7):107-111.
[2]普布卓玛.信息系统运维精益化体系建设研究[J].数字化用户,2019(18).
[3]毛鹏.关于信息系统运维精益化体系建设研究[J].数字通信世界,2019(5):251-251.
[4]张春陶.电信企业精益化运维服务研究[D].北京邮电大学.
作者简介:袁礼敏(1988-)男,汉族,湖南株洲人,本科,助理工程师,主要从事软件(设备)运维工作。
论文作者:袁礼敏
论文发表刊物:《基层建设》2019年第25期
论文发表时间:2019/12/9
标签:信息系统论文; 工作论文; 安全隐患论文; 信息系统安全论文; 系统论文; 体系建设论文; 精益论文; 《基层建设》2019年第25期论文;