時間:2023-05-31 08:55:16
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇運維安全,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進(jìn)步。
【關(guān)鍵詞】堡壘機(jī)技術(shù) 運維模式 堡壘機(jī)技術(shù)
在當(dāng)前的計算機(jī)運維安全管理中,堡壘機(jī)技術(shù)的應(yīng)用很好的提高了系統(tǒng)的安全性。因此技術(shù)人員根據(jù)傳統(tǒng)運維中存在的安全管控問題,利用堡壘機(jī)安全性能特點,結(jié)合運維安全管控實踐方法開展了堡壘機(jī)技術(shù)支持下的安全管控系統(tǒng)設(shè)計與應(yīng)用研究。這一研究的開展,對于運維系統(tǒng)安全可靠性提供了
1 傳統(tǒng)運維模式風(fēng)險分析
傳統(tǒng)運維模式下,大量的運維人員通過KVM或直連信息設(shè)備開展變更、配置、備份與維護(hù)等操作,面臨的風(fēng)險主要有以下幾個方面。
(1)賬號及授權(quán)管理不清晰;
(2)缺乏身份認(rèn)證;
(3)運維操作無全過程審計。
2 運維安全管控系統(tǒng)架構(gòu)設(shè)計與應(yīng)用
2.1 堡凈技術(shù)的介紹
堡壘機(jī),即在一個特定的網(wǎng)絡(luò)環(huán)境下,為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自外部和內(nèi)部用戶的入侵和破壞,通過訪問控制、賬號管理、身份認(rèn)證、行為審計、單點登錄與協(xié)議等多種信息安全技術(shù),實現(xiàn)運維人員對信息系統(tǒng)的安全訪問,同時對運維人員的操作過程形成完整的審計記錄。
2.2 設(shè)計依據(jù)
國家公安部《信息安全等級保護(hù)基本要求》中對二級(含)以上的信息系統(tǒng)提出明確的安全審計要求:“審計范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶;審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用、賬號的分配、創(chuàng)建與變更、審計策略的調(diào)整及審計系統(tǒng)功能的關(guān)閉與啟動等系統(tǒng)內(nèi)重要的安全相關(guān)事件等”。本次運維安全管控系統(tǒng)設(shè)計嚴(yán)格按照等級保護(hù)要求,范圍覆蓋DMZ區(qū)、等級保護(hù)二級及以上信息系統(tǒng)。
2.3 系統(tǒng)架構(gòu)設(shè)計
2.3.1 風(fēng)險控制流程
為確保運維安全管控系統(tǒng)滿足電力企業(yè)運維實際需求,要制定完善的風(fēng)險控制流程,實現(xiàn)事前實行統(tǒng)一的賬號管理、權(quán)限訪問策略、審計策略,事中身份認(rèn)證、授權(quán)及監(jiān)控,事后統(tǒng)一綜合審計的風(fēng)險控制流程,如圖1所示。
2.3.2 架構(gòu)設(shè)計
運維安全管控系統(tǒng)架構(gòu)設(shè)計由展示層、功能層、存儲層與資源層4層組成。
展示層面向用戶,采用靜態(tài)口令、動態(tài)口令、數(shù)字證書等多種身份認(rèn)證方式,具備密碼強(qiáng)度、密碼有效期、口令嘗試死鎖、用戶激活等安全管理功能,實現(xiàn)用戶分組管理,分別對系統(tǒng)管理員、審計員、運維人員提供不同的訪問頁面。
功能層實現(xiàn)賬號管理、認(rèn)證管理、授權(quán)管理、綜合審計與系統(tǒng)管理等功能,采用協(xié)議分析、基于數(shù)據(jù)包還原技術(shù),實現(xiàn)操作界面模擬,將所有的操作轉(zhuǎn)換為圖形化界面,實現(xiàn)審計信息不丟失。除了實現(xiàn)運維操作圖形化審計功能的展現(xiàn)外,還能對字符進(jìn)行分析,包括命令行操作的命令及回顯信息和非字符型操作時鍵盤、鼠標(biāo)的敲擊信息。
存儲層實現(xiàn)對運維安全管控系統(tǒng)賬號及各信息系統(tǒng)賬號的存儲及審計信息的存儲,實現(xiàn)賬號及審計信息的靈活調(diào)用。
資源層面向各信息系統(tǒng),用于實現(xiàn)賬號同步、認(rèn)證結(jié)合、審計結(jié)合等方面的數(shù)據(jù)接口工作,支持字符串操作SSH/Telnet、圖形操作RDP/VNC/X11/pcAnywhere/DameWare等。
2.4 系統(tǒng)部署與應(yīng)用
在等級保護(hù)二級區(qū)域和DMZ區(qū)域各部署兩臺堡壘機(jī),堡壘機(jī)做雙機(jī)主備,實現(xiàn)對等保二級區(qū)域和DMZ區(qū)域的網(wǎng)絡(luò)設(shè)備及服務(wù)器的運維審計,由于堡壘機(jī)采用旁路部署,實施過程中對現(xiàn)有網(wǎng)絡(luò)業(yè)務(wù)不會造成任何影響。雙機(jī)熱備與主備之間通過業(yè)務(wù)管理端口線進(jìn)行主備狀態(tài)監(jiān)測和配置同步,主機(jī)節(jié)點一旦斷開,備機(jī)節(jié)點會立刻啟動,無需人工干預(yù),從而實現(xiàn)運維安全管控業(yè)務(wù)的不間斷運行。系統(tǒng)部署后實現(xiàn)了以下應(yīng)用。
2.4.1 通過集中化管理,實現(xiàn)單點登錄
通過系統(tǒng)的部署,對資源賬號的統(tǒng)一管理,把復(fù)雜問題簡單化。
2.4.2 通過賬號管理,實現(xiàn)用戶實名制及統(tǒng)一身份認(rèn)證
為每個用戶分配了獨一無二的用戶賬號,設(shè)備上的系統(tǒng)賬號不變,通過把多個用戶賬號和單個系統(tǒng)賬號做關(guān)聯(lián),讓用戶的身份和具體的操作一一對應(yīng)起來,從而實現(xiàn)用戶實名制管理。
2.4.3 有效地執(zhí)行訪問控制,防止非授權(quán)訪問
通過系統(tǒng)設(shè)置詳細(xì)的訪問控制規(guī)則,用戶只能按照規(guī)則設(shè)置來訪問相應(yīng)資源,徹底杜絕了非授權(quán)訪問所帶來的問題。
2.4.4 精準(zhǔn)溯源操作審計
基于安全運維審計系統(tǒng)的實時監(jiān)控及字符會話審計技術(shù),完整地記錄用戶的所有操作行為,使運維操作透明化。
2.4.5 實現(xiàn)獨立審計與三權(quán)分立,完善IT內(nèi)控機(jī)制
通過應(yīng)用實現(xiàn)獨立的審計與三權(quán)分立,在三權(quán)分立的基礎(chǔ)上實施內(nèi)控與審計,有效地控制操作風(fēng)險,完善IT內(nèi)控機(jī)制。
3 結(jié)語
在電力企業(yè)信息化水平快速發(fā)展的今天,技術(shù)發(fā)展與管理模式相輔相成,信息安全不僅需要先進(jìn)的技術(shù),更需要完善的制度和審計手段。通過運維安全運維管控系統(tǒng)的建設(shè),進(jìn)一步完善了電力企業(yè)在信息運維過程中的身份認(rèn)證、訪問控制、權(quán)限控制、操作監(jiān)控和審計等措施。實現(xiàn)了全面監(jiān)控和審計運維人員對DMZ區(qū)域和IDC區(qū)域內(nèi)的信息系統(tǒng)和業(yè)務(wù)數(shù)據(jù)的操作,使筆者所在單位的信息安全防護(hù)體系有效的落地,進(jìn)一步提高電力企業(yè)信息安全防護(hù)水平。
參考文獻(xiàn)
[1]袁慧萍,董貞良.銀行數(shù)據(jù)中心運維安全審計實踐探析[J].信息安全與通信保密,2015(04).
【關(guān)鍵詞】:變電運維;安全隱患;解決方案
引言
盡管電力企業(yè)在不斷的改善變電站的運行效率,并加強(qiáng)對工作人員的監(jiān)管,但是由于缺乏科學(xué)合理的監(jiān)管方案,導(dǎo)致變電運維人員缺乏良好的工作意識,尤其是工作人員無法意識到自身工作的重要性,在工作過程中疏忽職守。現(xiàn)縣級供電企業(yè)變電站大多數(shù)是35kV的,變電站都實行了無人值守,以下則是對35kV無人值守變電站變電運維安全進(jìn)行研究。
1、關(guān)于35kV無人值守變電站變電運維安全隱患的分析
通過對35kV電壓等級分析,從中可知,35kV無人值守變電站變電運維主要存在的安全隱患有以下幾個方面:
1.1變電運維工作缺乏安全管理
當(dāng)前,據(jù)調(diào)查結(jié)果顯示,部分電力企業(yè)在展開變電運維工作的過程中,都沒有結(jié)合實際的工作情況,制定一套完整的安全管理方案,從而導(dǎo)致變電站缺乏科學(xué)的管理。正是因為缺乏安全管理方案,使得電力企業(yè)很難有效的管理員工,進(jìn)而形成工作人員能力不足,安全意識較輕的局面,這樣變電站就產(chǎn)生大量的安全隱患。
1.2工作人員缺失正確的操作觀念
由于變電運維作業(yè)的操作量較多,而且操作時間較長,從而導(dǎo)致工作人員缺失正確的操作觀念,在操作的過程中,時常出現(xiàn)操作不規(guī)范的現(xiàn)象,并且因為判斷失誤,而導(dǎo)致安全隱患的產(chǎn)生,這就嚴(yán)重影響變電站的運行。
1.3儀器設(shè)備老化
變電儀器設(shè)備時變電站中重要的組成部分,一旦儀器設(shè)備出現(xiàn)問題,整個電力企業(yè)的工作人員都會受到影響。根據(jù)研究發(fā)現(xiàn),部分變電站的員工由于工作意識薄弱,沒有良好的責(zé)任感,進(jìn)而在檢查儀器設(shè)備時,沒有發(fā)現(xiàn)儀器中存在的問題,隨著時間的推移,儀器設(shè)備老化,安全問題也不斷的產(chǎn)生。
2、針對35kV無人值守變電站變電運維的安全隱患提出的解決方案
2.1確定運維操作存在的危險點
操控變壓器作為變電運維中重要流程,其主要功能為正反充電、切合空載運行等,因此,在控制安全隱患的過程中,電力企業(yè)需要確定運維操作系統(tǒng)中存在的危險點。在操控變壓器時,要能確定分合電出現(xiàn)高低的差,檢測變壓器的承受能力和存在的危險點。當(dāng)明確危險點時,要及時讓員工了解,保障其在操作時能加強(qiáng)防范。
2.2遵守操作流程和相關(guān)的規(guī)章制度
在解決35kV無人值守變電站變電運維存在的安全隱患時,電力企業(yè)要定期對工作人員進(jìn)行培訓(xùn)和指導(dǎo),在培訓(xùn)的過程中,電力企業(yè)需要將先進(jìn)的科學(xué)技術(shù)融入到培訓(xùn)方案中,進(jìn)而在培訓(xùn)員工時,提升員工操作技能。此外,電力企業(yè)需要加強(qiáng)監(jiān)督和管理,確保員工在操作的過程中能遵守操作流程和相關(guān)的規(guī)章制度。只有這樣,工作人員才能保質(zhì)保量的完成自身的工作任務(wù)。另一方面,電力企業(yè)需要對員工明確變電運維存在的危險點,如:直流回路操作存在的安全問題、并解列操作時產(chǎn)生安全隱患、母線操作時出現(xiàn)的問題等,并將相關(guān)的解決措施灌輸于員工的思想中。
2.3對工作人員進(jìn)行安全教育
對于電力企業(yè)的員工而言,其自身的工作性質(zhì)影響著自身的人身安全。因此,電力企業(yè)在培訓(xùn)的過程中不僅要將先進(jìn)的操作理念灌輸于員工的思想中,并且也要對其進(jìn)行合理的安全教育,使其意識到自身的工作的重要性,要能保障工作人員在操作時能具備安全第一的操作理念。另外,電力應(yīng)制定合理的規(guī)章制度,對于違規(guī)操作的員工及時進(jìn)行教育和懲罰,以避免其工作態(tài)度影響其他員工。
2.4做好儀器設(shè)備的管理
變電運維工作人員在操作的過程中,要能做到定期檢測儀器設(shè)備,對于出現(xiàn)質(zhì)量問題的設(shè)備要快速的進(jìn)行檢修,而對于無法正常使用的儀器設(shè)備,要將其處理掉,以預(yù)防因為儀器設(shè)備質(zhì)量的問題,產(chǎn)生安全事故。因此,相關(guān)的管理人員必須形成正確的監(jiān)管意識,加強(qiáng)對儀器設(shè)備的檢測,從而確保變電運維時能維護(hù)工作人員的人身安全,這也能為電力企業(yè)帶來更好的經(jīng)濟(jì)效益。
2.5將新技術(shù)、新科技融入變電運維
目前變電運維采取的航拍技術(shù)、紅外熱像儀技術(shù)、動態(tài)采樣分析技術(shù)、遠(yuǎn)程監(jiān)控技術(shù)等,已經(jīng)大大縮短了變電運維的電氣設(shè)備與人的距離,并安全可靠的有效進(jìn)行非接觸式的探尋和診斷工作。這其中從發(fā)現(xiàn)隱患、到分析隱患、到確定隱患和缺陷的種種步驟已經(jīng)趨于規(guī)模,如何成熟合理的應(yīng)用還是目前和將來需要細(xì)致分析的課題。
2.6加強(qiáng)培訓(xùn),提高調(diào)度運行人員的業(yè)務(wù)技能
電網(wǎng)要想安全運行必須有業(yè)務(wù)素質(zhì)過硬的技術(shù)人員做保證,電力運維人員業(yè)務(wù)素質(zhì)的提高可以通過技術(shù)培訓(xùn)來實現(xiàn),具體可以采用外送培訓(xùn)與內(nèi)部培訓(xùn)相結(jié)合的方式以及請專家現(xiàn)場指導(dǎo)、進(jìn)行一些必要的反事故演習(xí)等方式開展。與此同時還應(yīng)重視運維人員的現(xiàn)場培訓(xùn)的開展,通過實施現(xiàn)場培訓(xùn)運維人員對設(shè)備的運行情況能有一個更深入的了解。此外,為了有效防治變電運維各類安全事故的發(fā)生,還應(yīng)重視在變電運維中積極引入一些新技術(shù)、新設(shè)備,積極探索一些非接觸式探尋與診斷技術(shù),以提高運維工作的安全性。
結(jié)束語
總而言之,電力企業(yè)需要結(jié)合35kV無人值守變電站的特性和實際的變電運維工作情況,制定一套合理的安全管理方案,并大力實施在變電運維工作中。其次,電力企業(yè)需要對運維工作人員加強(qiáng)培訓(xùn)和指導(dǎo),運用合理的方法,提升工作人員的技能,對其進(jìn)行安全教育,使其形成良好的綜合素質(zhì),并將相應(yīng)的責(zé)任落實到每一位工作人員身上,只有增加其安全意識和責(zé)任感,才能確保工作人員能夠堅守崗位,做好自身的工作,進(jìn)而減少變電運維工作的安全隱患。
新時期,伴隨醫(yī)院數(shù)字化病案信息的快速增長,病案信息安全的重要性不斷凸顯。要確保病案信息安全,必須保證信息的安全和信息系統(tǒng)的安全。信息安全體現(xiàn)在信息的保密性、完整性、真實性、未授權(quán)拷貝等方面;信息系統(tǒng)安全指數(shù)據(jù)、硬件、軟件、人、物理環(huán)境及其基礎(chǔ)設(shè)施等都受到保護(hù),不因偶然或者惡意的原因而遭到更改、泄露、破壞,系統(tǒng)可以連續(xù)可靠地正常運行,并能夠連續(xù)提供業(yè)務(wù)信息服務(wù)。構(gòu)建數(shù)字化病案信息安全保障體系是一項系統(tǒng)而復(fù)雜的工程,需要加強(qiáng)基礎(chǔ)設(shè)施安全體系、應(yīng)用安全體系和運維安全體系這三大體系建設(shè)。
1夯實基礎(chǔ)設(shè)施安全體系建設(shè)
基礎(chǔ)設(shè)施安全體系建設(shè),即病案信息化系統(tǒng)環(huán)境建設(shè),包括開發(fā)并完善用于病案信息建立、存儲、傳遞、利用的軟硬件設(shè)備和網(wǎng)絡(luò)交換設(shè)備。基礎(chǔ)設(shè)施安全體系構(gòu)建是信息安全保障體系的重中之重,是安全保障體系的核心。建立基礎(chǔ)設(shè)施安全體系時,要做好網(wǎng)絡(luò)邊界防護(hù)、系統(tǒng)主機(jī)防護(hù)、入侵檢測與審計工作,并建立完整的防病毒體系,輔之以遠(yuǎn)程訪問接入及終端準(zhǔn)入控制,構(gòu)造出切合實際、行之有效、相對先進(jìn)、穩(wěn)定可靠的網(wǎng)絡(luò)安全系統(tǒng)平臺;要保護(hù)計算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施免遭水災(zāi)、火災(zāi)、地震等事故破壞以及人為操作失誤和各種計算機(jī)犯罪行為導(dǎo)致的破壞,并定期對存放設(shè)備的場地進(jìn)行安全檢查;在共享醫(yī)療檔案信息時,要建立醫(yī)療檔案信息共享監(jiān)控平臺,確保數(shù)字病案圖像采用加密格式存儲,在第三方合法公司的軟件中使用,以防非法盜用;病案數(shù)字化制作與應(yīng)用所使用的服務(wù)器管理必須置于整個醫(yī)院系統(tǒng)的安全審計工作范圍中,還要為服務(wù)器、各工作站安裝防病毒軟件。為便于回溯追蹤,系統(tǒng)必須把用戶在系統(tǒng)內(nèi)操作形成的所有日志自動記錄下來;要重視移動存儲中數(shù)據(jù)交換和共享的安全問題,對接入終端的移動存儲設(shè)備進(jìn)行認(rèn)證、數(shù)據(jù)加密和共享受控管理,確保只有通過認(rèn)證的移動存儲設(shè)備才能夠被授權(quán)的用戶使用,還要對移動存儲設(shè)備接入進(jìn)行審計并記錄,一旦發(fā)現(xiàn)有非法使用的情況要第一時間處理,以避免數(shù)據(jù)泄漏;病案服務(wù)器數(shù)據(jù)庫參數(shù)注冊表、人員登錄信息數(shù)據(jù)庫、病案主信息數(shù)據(jù)庫都需加密存儲,并實行內(nèi)外網(wǎng)物理隔離措施。
2重視應(yīng)用安全體系建設(shè)
應(yīng)用安全體系以密碼服務(wù)為核心、身份認(rèn)證為基礎(chǔ)。醫(yī)務(wù)人員訪問病案時,可以按規(guī)定權(quán)限使用數(shù)字化病案,對無權(quán)訪問的病案需提交電子申請,經(jīng)審批通過后在可授權(quán)時段內(nèi)訪問或利用,并且只可以訪問所屬科室的病案,如需訪問其他科室的病案則需要申請;醫(yī)保、商業(yè)保險公司以及公檢法等用戶可按該體系臨時授予的權(quán)限訪問病案,如果需要訪問所有用戶以及默認(rèn)無權(quán)限訪問的病案,則要辦理電子申請審批手續(xù),在得到批準(zhǔn)后方可訪問。病案訪問權(quán)限分為閱讀、打印和導(dǎo)出三類,每一級權(quán)限向下兼容,權(quán)限具體分用戶組權(quán)限、科室權(quán)限、有效期限制、醫(yī)學(xué)分類限制、IP地址限制、顯示字段限制和特殊病案鎖定等。若系統(tǒng)在一定時限內(nèi)檢測到所在頁面沒有操作行為發(fā)生時,即視為工作人員已經(jīng)離開,便會自動開啟鎖定,再次操作時須驗證密碼,以避免工作人員離開后他人惡意操作的情況發(fā)生。系統(tǒng)可提供人員身份認(rèn)證、數(shù)據(jù)加密等功能,用于網(wǎng)絡(luò)接入及應(yīng)用服務(wù)等過程。其中,加強(qiáng)認(rèn)證措施可彌補訪問控制方面的諸多缺陷,數(shù)據(jù)加密可為整個系統(tǒng)提供縱深防御。該體系具有禁止打印、復(fù)制病案圖像以及截屏等功能,并能通過閱讀水印和完備的日志記錄防范有人使用數(shù)碼相機(jī)偷拍病案圖像,一旦發(fā)現(xiàn)偷拍行為即可通過加密的水印進(jìn)行追查。該體系通過特定軟件獲取數(shù)字化病案圖片,防止非法獲取病案圖像,還可通過架設(shè)多臺Web服務(wù)器來實現(xiàn)負(fù)載均衡。
3加強(qiáng)運維安全體系建設(shè)
運維安全體系建設(shè),指對整個系統(tǒng)平臺進(jìn)行安全運維支持、對安全設(shè)備進(jìn)行集中的事件管理、對職工進(jìn)行身份管理、對整套醫(yī)院系統(tǒng)提供全方面的威脅監(jiān)控管理。建立運維安全體系,可以保障系統(tǒng)安全、可靠運行并提供有效的安全管理。系統(tǒng)采用雙主機(jī)、雙存儲模式,當(dāng)主存儲出現(xiàn)故障的時候,備份存儲依然可以正常使用。
作者:丁麗萍 何淑萍
關(guān)鍵詞:多法人;村鎮(zhèn)銀行;運維模式;業(yè)務(wù)運維;統(tǒng)一運維平臺;云計算;大數(shù)據(jù)
中圖分類號:F832.3 文獻(xiàn)識別碼:A 文章編號:1001-828X(2016)016-000-01
2006年底,銀監(jiān)會了《關(guān)于調(diào)整放寬農(nóng)村地區(qū)銀行業(yè)金融機(jī)構(gòu)準(zhǔn)入政策 更好支持社會主義新農(nóng)村建設(shè)的若干意見》,推進(jìn)農(nóng)村金融改革,引導(dǎo)各類資本到農(nóng)村地區(qū)投資設(shè)立村鎮(zhèn)銀行等新型農(nóng)村金融機(jī)構(gòu)。在政策支持下,國內(nèi)很多中大型銀行紛紛發(fā)起設(shè)立村鎮(zhèn)銀行,產(chǎn)生了由一家母發(fā)起行在全國各地發(fā)起設(shè)立多家獨立法人村鎮(zhèn)銀行的新型金融模式。本文針對這種多法人村鎮(zhèn)銀行系統(tǒng),提出適合的運維模式設(shè)計。
一、運維模式設(shè)計背景
由于每家村鎮(zhèn)銀行都是獨立法人,因此,實現(xiàn)滿足多法人模式成為發(fā)起行建設(shè)村鎮(zhèn)銀行IT系統(tǒng)的首要目標(biāo)。與支持單一法人的銀行系統(tǒng)不同,多法人村鎮(zhèn)銀行系統(tǒng)的特點主要包括:1.同一套系統(tǒng)可以為多家獨立法人提供服務(wù);2.允許各法人的系統(tǒng)應(yīng)用有差異;3.各法人之間數(shù)據(jù)相互隔離。
現(xiàn)階段,村鎮(zhèn)銀行IT系統(tǒng)多是采用發(fā)起行統(tǒng)一建設(shè)和運維的方式進(jìn)行。針對多法人村鎮(zhèn)銀行系統(tǒng)具有的三個特點,相應(yīng)的運維模式需要解決三方面問題:一是不同法人之間的,因而要求了在系統(tǒng)運維過程中業(yè)務(wù)運維的價值;二是發(fā)起行統(tǒng)一運維的效率保證;三是運用新技術(shù)發(fā)揮數(shù)據(jù)價值。
二、運維模式的設(shè)計與實現(xiàn)
(一)提升業(yè)務(wù)運維的價值
與單一法人的系統(tǒng)運維不同,村鎮(zhèn)銀行系統(tǒng)的多法人特點,要求運維人員具有業(yè)務(wù)的視角,既要考慮設(shè)備和應(yīng)用系統(tǒng)的運行質(zhì)量,也要考慮這些設(shè)備和應(yīng)用系統(tǒng)對業(yè)務(wù)的實際支撐質(zhì)量,為進(jìn)一步提高自身運維質(zhì)量和體現(xiàn)運維價值提供參考,真正實現(xiàn)對村鎮(zhèn)銀行多個法人之間業(yè)務(wù)的技術(shù)支持。
1.建立業(yè)務(wù)運維分層模型。從業(yè)務(wù)的角度,把業(yè)務(wù)服務(wù)映射到支撐該服務(wù)的底層組件上(包括承載該業(yè)務(wù)的應(yīng)用系統(tǒng)、及支撐應(yīng)用系統(tǒng)的數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)、主機(jī)、存儲等軟、硬件平臺)。通過對設(shè)備、平臺、應(yīng)用、服務(wù)和業(yè)務(wù)流程環(huán)節(jié)進(jìn)行梳理,從業(yè)務(wù)模塊、業(yè)務(wù)環(huán)節(jié)、業(yè)務(wù)數(shù)據(jù),到相應(yīng)的應(yīng)用、設(shè)備、數(shù)據(jù)庫、中間件等支撐系統(tǒng)和應(yīng)用,建立起邏輯架構(gòu)關(guān)系,形成分層視圖模型,為業(yè)務(wù)運維打下基礎(chǔ),并建立起業(yè)務(wù)運維的知識庫,體現(xiàn)業(yè)務(wù)流程與底層IT基礎(chǔ)設(shè)施之間的映射關(guān)系,使IT運維人員隨時了解業(yè)務(wù)流程、及其與平臺系統(tǒng)架構(gòu)之間的關(guān)系。
2.建立業(yè)務(wù)運維監(jiān)控指標(biāo)體系。在業(yè)務(wù)運維分層視圖的基礎(chǔ)上,對業(yè)務(wù)模型、業(yè)務(wù)流程、業(yè)務(wù)環(huán)節(jié)、基礎(chǔ)架構(gòu)等建立起動態(tài)監(jiān)控指標(biāo)體系,如依據(jù)節(jié)假日、時段動態(tài)基線,形成相應(yīng)的KPI和KQI,為后期自動化運維建立指標(biāo)基礎(chǔ)。
3.集成系統(tǒng)性能監(jiān)控。一方面是利用系統(tǒng)的監(jiān)控運維工具,如OVOU、OEM、網(wǎng)絡(luò)監(jiān)控工具、應(yīng)用腳本監(jiān)控等;另一方面是要把這些指標(biāo)集成起來,實現(xiàn)1+1>2的運維合力效果。從業(yè)務(wù)運維與監(jiān)控角度,把孤立工具集成到統(tǒng)一的可視化運維平臺。
4.打造可視化立體業(yè)務(wù)運維平臺。通過把業(yè)務(wù)流程與IT基礎(chǔ)設(shè)施之間的映射進(jìn)行實時的可視化展示,建立可視化運維平臺,實現(xiàn)實時的、可視化的、面向業(yè)務(wù)的監(jiān)控,幫助IT運維人員從業(yè)務(wù)視角開展系統(tǒng)運維工作,第一時間發(fā)現(xiàn)業(yè)務(wù)運維問題,直觀和快速定位問題,有效協(xié)同業(yè)務(wù)和技術(shù)人員共同解決問題,提升業(yè)務(wù)可用性和系統(tǒng)可用性的綜合管理能力。
(二)建設(shè)統(tǒng)一運維平臺
由于村鎮(zhèn)銀行地處各地,由發(fā)起行集中運維IT系統(tǒng)。為保證運維效率,借鑒ITIL V3最佳實踐框架和ISO 20000國際標(biāo)準(zhǔn),應(yīng)該從人員、流程、技術(shù)三個方面入手,建立統(tǒng)一運維平臺。
1.一體化人員管理。在建立運行制度體系時,首先建立統(tǒng)一的安全生產(chǎn)管理辦法,作為綱領(lǐng)性制度,明確安全生產(chǎn)相關(guān)各方的職責(zé)分工。同時,制定全行統(tǒng)一的運維人員考核評價標(biāo)準(zhǔn)和獎懲制度,使全員做到有法可依,有法必依,違法必究。
2.一體化流程建設(shè)。逐步構(gòu)建全行生產(chǎn)運行制度框架體系,全面覆蓋日常運行、應(yīng)急管理和災(zāi)備管理,優(yōu)先制定日常值班、事件、問題、變更、應(yīng)急、外部商等管理制度,還應(yīng)建立基礎(chǔ)設(shè)施、系統(tǒng)維護(hù)、運行操作、數(shù)據(jù)安全、生產(chǎn)調(diào)度等各專業(yè)領(lǐng)域?qū)嵤┘?xì)則,形成比較完善的生產(chǎn)運行規(guī)章制度體系。
3.一體化技術(shù)平臺。構(gòu)建一體化運維流程管理平臺,實現(xiàn)人員、技術(shù)和流程的有機(jī)整合,通過工作流引擎的自動調(diào)度實現(xiàn)流程的自動化,方便運維人員使用相關(guān)的管理流程進(jìn)行日常運維,以提升IT服務(wù)質(zhì)量;建設(shè)覆蓋全行的集中監(jiān)控管理系統(tǒng)和運維事件響應(yīng)中心,匯聚各個IT系統(tǒng)的故障和事件,進(jìn)行過濾、轉(zhuǎn)發(fā)、自動響應(yīng)、報警等處理,完成事件級集成并實現(xiàn)交易級的應(yīng)用監(jiān)控。
(三)利用云計算、大數(shù)據(jù)等新技術(shù)進(jìn)行運維決策分析
利用云計算、大數(shù)據(jù)等互聯(lián)網(wǎng)新技術(shù)進(jìn)行運維決策輔助分析,實現(xiàn)智能化、精細(xì)化的運維管理和決策。
1.基于云計算服務(wù)的運維管理。針對村鎮(zhèn)銀行系統(tǒng)數(shù)量較少、數(shù)據(jù)量較小的特點,以云計算為核心的下一代數(shù)據(jù)中心可以提供更好的運維支撐解決方案,將各種先進(jìn)的運維管理技術(shù)進(jìn)行有效的整合,對新增的虛擬網(wǎng)絡(luò)、數(shù)據(jù)存儲、虛擬機(jī)、宿主機(jī)、集群對象采用全新的管理方式,從日常監(jiān)控、例行巡檢、服務(wù)受理、故障處理、平臺維護(hù)、配置管理、安全管理等方面著手,利用自動化運維工具,實現(xiàn)對物理資源、虛擬資源的統(tǒng)一管理,提供資源管理、統(tǒng)計、監(jiān)控、調(diào)度、服務(wù)管控等端到端的綜合管理能力,從而實現(xiàn)對云中心統(tǒng)一、便捷、高效、智能的一體化運維管理。
2.基于大數(shù)據(jù)分析的運維安全管理。運維安全管理是運維管理的一個重要組成部分,同時,涉及面甚廣,必須對整個IT系統(tǒng)中的設(shè)備、應(yīng)用和服務(wù)進(jìn)行全面的監(jiān)控和分析,實時采集與信息安全相關(guān)的“大數(shù)據(jù)”,并進(jìn)行基于大數(shù)據(jù)的自動化處理和分析,才能更早發(fā)現(xiàn)越來越復(fù)雜的攻擊和滲透,并盡早采取預(yù)防措施,封堵安全漏洞,避免IT系統(tǒng)和生產(chǎn)數(shù)據(jù)受到影響,以保障具有對私業(yè)務(wù)的村鎮(zhèn)銀行系統(tǒng)安全穩(wěn)定運行。
從ASP到SaaS再到云計算,業(yè)界一直在嘗試“輕裝”IT支撐企業(yè)非核心業(yè)務(wù),人力資源HR管理首當(dāng)其沖。
中國的人才管理起步雖晚于西方國家十余年,但發(fā)展速度極快。人才管理的發(fā)展賦予了HR新的角色,HR正經(jīng)歷從“事務(wù)型”向“專家型”的轉(zhuǎn)變,HR需要具備更專業(yè)的人才管理技術(shù)、運用專業(yè)的人才管理工具,才能滿足企業(yè)的人才管理要求。
“一些企業(yè)逐漸摒棄傳統(tǒng)eHR軟件,開始使用更專注企業(yè)人才戰(zhàn)略的人才管理軟件。” 中國人才管理與測評解決方案提供商――北森總裁王朝暉向記者介紹,“eHR作為人力資源管理時代的產(chǎn)物,以事務(wù)性工作為核心,它的目標(biāo)是節(jié)約企業(yè)工作時間、人力成本;人才管理軟件以‘人’為核心,關(guān)注人才的招募、培養(yǎng)、發(fā)展,目標(biāo)是為企業(yè)源源不斷地提供人才,而這才是提升企業(yè)人才競爭力的關(guān)鍵。”
北森從2002年就開始做人才測評的業(yè)務(wù),是介于軟件和咨詢中間的內(nèi)容服務(wù)商。它從2005開始成為軟件服務(wù)提供商,通過SaaS的模式提供服務(wù)。眼下,云計算市場愈發(fā)紅火,北森認(rèn)為,產(chǎn)業(yè)發(fā)展時機(jī)已經(jīng)成熟,是時候大力推廣云計算平臺下的人才管理了。
6月29日,北森聯(lián)合中國人事科學(xué)研究院共同完成并了《2010―2011中國企業(yè)人才管理成熟度調(diào)查報告》。該報告深入分析了1966家中國企業(yè)的人才管理現(xiàn)狀,通過多項指標(biāo)對企業(yè)人才管理的成熟情況進(jìn)行了系統(tǒng)的分析。
王朝暉介紹,北森的iTalent人才管理云計算平臺囊括了招聘管理、人才測評、績效管理、繼任與發(fā)展、360度評估反饋、員工調(diào)查等多個模塊,涵蓋員工從入職、激勵、發(fā)展、留任到離職的整個生命循環(huán),幫企業(yè)打造持續(xù)的人才供應(yīng)鏈。他認(rèn)為,人才管理平臺的誕生將終結(jié)傳統(tǒng)eHR軟件的事務(wù)性核心訴求,全面提升中國企業(yè)的人才管理水平。
而北森技術(shù)總監(jiān)張慶化在接受采訪時則表示,互聯(lián)網(wǎng)應(yīng)用更多是強(qiáng)調(diào)高性能、高并發(fā)。云計算真的能夠改寫行業(yè)的發(fā)展軌跡,讓那些以前用不好、用不起軟件的企業(yè)真正用起來。他說,采用云計算模式,可以把以前的企業(yè)IT成本轉(zhuǎn)向運維成本,讓企業(yè)花費很少成本就能永遠(yuǎn)使用最新版本的產(chǎn)品。
而對于安全,張慶化說他們通過三個方面來保障北森的云安全:運維安全、流程安全和技術(shù)安全。“我們所有提供給客戶的系統(tǒng)都有專門的團(tuán)隊維護(hù),這個團(tuán)隊必須和我們公司簽署協(xié)議,對于用戶數(shù)據(jù)保密,還有各種系統(tǒng)指標(biāo)有嚴(yán)格的要求。在流程安全上,客戶需要導(dǎo)出任何數(shù)據(jù)時,需要遵照規(guī)范的流程,通過一系列的手續(xù)才能完成操作。”張慶化強(qiáng)調(diào),對于像員工薪酬、績效等核心數(shù)據(jù),他們的設(shè)計思路和銀行一樣,“我們對數(shù)據(jù)加密,但密鑰在用戶手里,其實我們拿不到數(shù)據(jù)。”
(一)設(shè)備的倒閘操作中存在的危險因素
1、對倒閘操作票進(jìn)行編制因素
按照變電運行設(shè)備的狀態(tài)可將變電運維設(shè)備分為以下四種狀態(tài):第一運行,第二熱備用,第三冷備用,第四檢修。對操作票的填寫和使用必須準(zhǔn)確無誤,嚴(yán)格遵守國家電網(wǎng)的相關(guān)規(guī)定制度,執(zhí)行變電站的現(xiàn)場運行工作。當(dāng)變電設(shè)備的狀態(tài)發(fā)生變化時,則需要填寫倒閘操作票。倒閘操作是保證安全生產(chǎn)的一項重要操作流程,正確的倒閘操作可以有效預(yù)防人身危害。以往多起操作事故的主要誘發(fā)原因就是沒有正確的填寫操作票。因此,嚴(yán)格編制操作票是及其重要的操作前提,要求所有變電站必須要個執(zhí)行操作票中的相關(guān)規(guī)定,否則就會有安全隱患。
2、對現(xiàn)場設(shè)備的實施操作因素
由于變壓器、母線等設(shè)備需要工作人員進(jìn)行操作,因此不正確的操作還會引發(fā)安全風(fēng)險。一般情況,不正確的人員操作變壓器有以下兩種形式,一是在過壓的情況下切合空載變壓器,這會給變壓器的絕緣功能造成一定的損害,二是變壓器的空載電壓不斷增大時一樣會損害變壓器的絕緣。對斷路器的操作一般是當(dāng)線路出現(xiàn)故障時造成斷路器本身故障。對母線倒閘操作存在的危險因素有很多,第一帶負(fù)荷的情況下拉閘;第二是因為繼電保護(hù)與自動裝置發(fā)生切換故障而導(dǎo)致的危險因素;第三,在對空載母線充電時會產(chǎn)生電壓互感器發(fā)生諧振的問題。這些危險因素如不能及時處理將會給變電站帶來不可想象的后果。
(二)對二次直流回路操作的因素
二次回路操作在變電運行中也是非常重要的環(huán)節(jié),工作人員對保護(hù)壓板的進(jìn)退操作決定了變電運行的狀態(tài)。一旦出現(xiàn)工作人員對設(shè)備進(jìn)行錯誤操作,將直接導(dǎo)致事故發(fā)生,對變電站造成巨大損失。所以,工作人員必須嚴(yán)格按照電網(wǎng)規(guī)定的制度對二次直流回路的操作進(jìn)行執(zhí)行,確保人身安全的同時也減少不必要的損失。
(三)對設(shè)備安全檢查工作
工作人員對設(shè)備安全檢查是否認(rèn)真是一切巡視檢查工作的提前條件,在人員沒有按照相關(guān)安全規(guī)定進(jìn)行巡視時造成的運行事故乃至人身傷害頻頻發(fā)生,所以對設(shè)備安全檢查是特別重要的。(四)自然因素引發(fā)的危險外界環(huán)境也是影響變電運維的一個因素,由異常的天氣引發(fā)的事故有很多,例如:冬天溫度過低,導(dǎo)致充油充氣設(shè)備壓力過低,而夏天與之相反,這都會引發(fā)變電事故;大風(fēng)天氣引線容易被外物纏繞等等自然因素。這些因素都會給變電運維帶來一定的事故隱患。對此,我們要對外界因素采取有效的防范措施,做好防范工作。
二、提出有效預(yù)防變電運維管理中危險的措施
(一)做好相關(guān)規(guī)定制度
要想做好變電運維管理工作,必須先制定出完善的管理體制,并落實到位。加強(qiáng)變電運維人員的工作態(tài)度,提高他們的安全意識,嚴(yán)格按照規(guī)范制度進(jìn)行操作。與此同時,將日常管理工作落實到實際當(dāng)中,制定安全生產(chǎn)責(zé)任制度,對違反制度的人員進(jìn)行處罰。嚴(yán)格執(zhí)行安全生產(chǎn)法則,以保變電系統(tǒng)安全運行。
(二)加強(qiáng)對設(shè)備巡視
因供變電運行的設(shè)備很多,因此對變電設(shè)備巡視工作在整個變電運維過程中顯得尤為重要。巡視工作是否認(rèn)真到位關(guān)系到整個變電系統(tǒng)的運行狀態(tài),如有不慎,將會導(dǎo)致變電事故發(fā)生。所以,變電運維人員要嚴(yán)謹(jǐn)認(rèn)真地對每一個變電設(shè)備進(jìn)行巡查,排除一切可能導(dǎo)致變電事故發(fā)生的安全隱患。
(三)總結(jié)天氣原因?qū)е碌陌踩蛩兀扇》婪洞胧?/p>
有時候外界因素導(dǎo)致的變電事故是我們阻止不了的,但是我們可以通過以往的經(jīng)驗教訓(xùn)不斷總結(jié),研究出有效預(yù)防變電事故發(fā)生的相應(yīng)措施。冬天做好保暖設(shè)施,夏天做好散熱工作等等。只有將有效的保護(hù)措施落實到位,才會大大降低事故發(fā)生率。在工作中不斷總結(jié)經(jīng)驗吸取教訓(xùn),采取有效預(yù)防措施對變電運維工作順利進(jìn)行起著促進(jìn)作用。
(四)做好繼電保護(hù)工作
繼電保護(hù)工作是保障整個電網(wǎng)安全運行的重要任務(wù),對電網(wǎng)安全運行起決定性作用。但是也是一個容易引發(fā)變電運維事故的危險因素。想要做好繼電保護(hù)工作就要先檢查繼電保護(hù)裝置運行狀態(tài)是否穩(wěn)定,對控制保護(hù)設(shè)備做好長期有效的管理,對二次直流回路做好管理工作,預(yù)防錯誤操作,保證繼電設(shè)備穩(wěn)定運行。因此,做好繼電保護(hù)工作可以有效避免變電運維事故的發(fā)生。
(五)提高變電運維工作人員的綜合素質(zhì)
目前我國變電運維工作依舊存在很多不足之處,變電運維工作人員的綜合素質(zhì)不重影響了變電運維管理工作,加上時代和科技的快速進(jìn)步,變電運維人員的職業(yè)知識有限,又制約了變電運維的工作進(jìn)展。在變電站工作的人員肩負(fù)著重大的安全責(zé)任,為了確保變電運維安全運行,必須提高變電工作人員的綜合素質(zhì)。首先加強(qiáng)培養(yǎng)電力工作人員的專業(yè)技能,達(dá)到對所有操作流程熟練規(guī)范程度。其次是針對一些危險因素進(jìn)行細(xì)致分析,做好預(yù)防工作,端正工作人員的嚴(yán)謹(jǐn)態(tài)度,加強(qiáng)安全意識,隨時對工作人員進(jìn)行專業(yè)水平和操作技術(shù)進(jìn)行考核,加強(qiáng)對變電運維人員進(jìn)行培訓(xùn),讓他們學(xué)習(xí)更新的文化知識和先進(jìn)的操作技術(shù),進(jìn)而提高變電工作人員的綜合素質(zhì)。
三、總結(jié)
關(guān)鍵詞:銀行信息 信息系統(tǒng) 安全問題
前言
銀行信息系統(tǒng)的安全保障要以縝密的分析為前提,制定詳細(xì)的對策, 充分利用安全技術(shù)、安全產(chǎn)品來實現(xiàn)安全措施。本文以泰安農(nóng)村信用 社為例闡述銀行信息安全問題.
1.信息安全分析 銀行信息系統(tǒng)具有服務(wù)范圍廣泛,平臺復(fù)雜多樣,業(yè)務(wù)品種不斷 更新的特點。因此銀行信息系統(tǒng)龐大而復(fù)雜,信息安全涉及方面眾多, 我們大體可以按照安全管理、信息資產(chǎn)與環(huán)境、主機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、 日常運維五個方面進(jìn)行分析.
1.1安全管理問題分析.
泰安農(nóng)村信用社信息系統(tǒng)一貫重視系統(tǒng)安全,但對與系統(tǒng)安全的 管理仍處于比較傳統(tǒng)的模式,即一種靜態(tài)的、局部的、少數(shù)人負(fù)責(zé)的、 突擊式的、事后糾正式的管理方式;安全管理偏重對業(yè)務(wù)的保障,在內(nèi) 部管理上相對比較松散;一些安全管理策略和制度規(guī)范比較宏觀,在 可操作性和實效性上還值得進(jìn)一步探討與改進(jìn).
1.2信息資產(chǎn)與環(huán)境問題分析.
泰安農(nóng)信信息系統(tǒng)依照相關(guān)的規(guī)定進(jìn)行建設(shè)。目前還需要改進(jìn)的 問題為包括物理環(huán)境的單點故障隱患及不可抗力因素導(dǎo)致的系統(tǒng)安 全的風(fēng)險;對信息資產(chǎn)的保護(hù)缺乏信息資產(chǎn)分類體系,無法實現(xiàn)對設(shè) 備的購置、維修、報廢等環(huán)節(jié)的實時管理.
1.3主機(jī)系統(tǒng)問題分析 信息中心的主機(jī)上存放大量的業(yè)務(wù)數(shù)據(jù),對全轄提供數(shù)據(jù)服務(wù)及 技術(shù)支持,保證轄內(nèi)計算機(jī)系統(tǒng)全年365天、全天24小時不間斷運 行,因此主機(jī)采用高可用性和全冗余結(jié)構(gòu)的主機(jī)系統(tǒng),配置磁盤陣列 存儲數(shù)據(jù).
目前面臨維護(hù)錯誤和操作失誤、未經(jīng)授權(quán)訪問和操作、權(quán)限濫用、 硬件故障、數(shù)據(jù)庫本身存在的安全漏洞等威脅.
1.4網(wǎng)絡(luò)系統(tǒng)問題分析 現(xiàn)行銀行計算機(jī)網(wǎng)絡(luò)是銀行計算機(jī)信息系統(tǒng)中最易受攻擊又最 難以防范的薄弱環(huán)節(jié),為了保障網(wǎng)絡(luò)安全,目前采取的的措施有增加 防火墻,對連接科技中心主機(jī)全部做了限制,安裝了IDS入侵檢測系 統(tǒng)。還存在以下問題:主交換機(jī)雖然劃分了VLAN,但劃分VLAN數(shù)量 少,無法滿足業(yè)務(wù)高速發(fā)展需要;辦公網(wǎng)現(xiàn)在沒有邏輯劃分;在省市和 市縣之間沒有實施QOS策略,存在一定網(wǎng)絡(luò)擁塞的風(fēng)險.
1.5日常運維問題分析 目前日常運維工作繁重,日常運維只是通過已有的書面的操作流 程進(jìn)行操作,無法記錄操作結(jié)果,對日常運維缺乏審計性;機(jī)房主要依 靠人工巡查等手段進(jìn)行監(jiān)控,存在不能及時發(fā)現(xiàn)問題的隱患。對于登 陸信息系統(tǒng)的網(wǎng)點柜員身份驗證停留在“用戶名+密碼”階段,存在非 法入侵的安全隱患.
2.信息安全風(fēng)險識別 通過對泰安農(nóng)村信用社進(jìn)行信息資產(chǎn)識別,逐項進(jìn)行風(fēng)險評估, 并制訂風(fēng)險控制措施.
2.1確定資產(chǎn)風(fēng)險等級 全面了解泰安農(nóng)信信息系統(tǒng)安全現(xiàn)狀,采用定性與定量相結(jié)合的 方法,并依據(jù)標(biāo)準(zhǔn)要求充分考慮到資產(chǎn)的安全價值、威脅、薄弱點、威 脅發(fā)生的可能性、威脅造成的潛在響應(yīng)等因素,將各個資產(chǎn)所面臨的 眾多威脅因素統(tǒng)一起來描述.
2.2明確風(fēng)險控制方法 根據(jù)風(fēng)險評估表,對該資產(chǎn)已經(jīng)識別出的風(fēng)險點,在現(xiàn)有的控制 措施之外,進(jìn)一步提出解決該風(fēng)險點的新方法或新措施,以使風(fēng)險降 低到可接受的程度,并明確責(zé)任人,制定一個切實可行的風(fēng)險處理計 劃。3.信息安全問題解決 根據(jù)風(fēng)險評估的結(jié)果及風(fēng)險控制方案,依照安全管理體系的要求 對準(zhǔn)備階段中涉及的各類問題集中解決,使得在信息系統(tǒng)受到侵襲 時,確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度.
3.1安全管理的安全實現(xiàn) 針對目前泰安農(nóng)信信息系統(tǒng)在安全管理方面存在的問題,信息安 全人員仔細(xì)分析問題,提出問題解決方案如下.
3.1.1明確指出系統(tǒng)中每位員工的責(zé)權(quán)問題.
3.1.2建立較完善的信息科技制度體系,明確泰安農(nóng)信信息系統(tǒng) 工作流程,避免管理混亂.
3.1.3建立規(guī)范的信息系統(tǒng)風(fēng)險防控和應(yīng)急處置流程,逐步提高 突發(fā)事件的應(yīng)急能力.
3.2信息資產(chǎn)與環(huán)境的安全實現(xiàn) 針對目前泰安農(nóng)信信息系統(tǒng)在信息資產(chǎn)與環(huán)境方面存在的問題, 信息安全人員仔細(xì)分析問題,提出如下問題解決方案.
3.2.1引入“計算機(jī)設(shè)備管理系統(tǒng)”軟件,規(guī)范設(shè)備管理。對設(shè)備的 購置、維修、報廢等環(huán)節(jié)的管理的問題進(jìn)行跟蹤記錄.
3.2.2對銀行設(shè)備與物理環(huán)境進(jìn)行容災(zāi)規(guī)劃,實施容災(zāi)系統(tǒng)。對通 訊線路及硬件設(shè)備進(jìn)行冗余備份;對重要數(shù)據(jù)制定完善的備份規(guī)則.
3.3主機(jī)系統(tǒng)的安全實現(xiàn) 針對目前泰安農(nóng)信信息系統(tǒng)在主機(jī)系統(tǒng)方面存在的問題,信息安 全人員仔細(xì)分析問題,提出如下問題解決方案.
3.3.1開發(fā)備份配置軟件,保存每次設(shè)置變更情況,使設(shè)置變更有 跡可循.
3.3.2為保證數(shù)據(jù)信息安全,采用雙機(jī)熱備、重要數(shù)據(jù)遠(yuǎn)程備份、 異地存放等多種措施避免系統(tǒng)風(fēng)險.
3.3.3應(yīng)用“運維安全管理系統(tǒng)”對操作員的操作進(jìn)行限制,杜絕 由于操作用戶權(quán)限過大而造成的安全隱患.
3.4網(wǎng)絡(luò)信息的安全實現(xiàn) 主要包括信用社內(nèi)部數(shù)據(jù)傳輸線路的安全實現(xiàn)、第三方接入的安 全實現(xiàn)等。泰安農(nóng)信采用SDH線路進(jìn)行組網(wǎng);通過端點隔離方式實現(xiàn) 業(yè)務(wù)和辦公網(wǎng)絡(luò)分離;通過整體路由規(guī)劃和QOS規(guī)劃實現(xiàn)對各業(yè)務(wù) 數(shù)據(jù)流的控制;內(nèi)網(wǎng)配置了多套防火墻,實現(xiàn)對內(nèi)網(wǎng)的通訊訪問的控 制與隔離.
3.5日常運維的安全實現(xiàn) 針對目前泰安農(nóng)信信息系統(tǒng)在日常運維方面存在的問題,信息安 全人員仔細(xì)分析問題,提出如下問題解決方案.
3.5.1建立網(wǎng)絡(luò)化的運維機(jī)制。探索建立科技服務(wù)聯(lián)動網(wǎng).
3.5.2分析日常工作流程,開發(fā)“電子日志系統(tǒng)”,確保日常工作不 會遺漏,并記錄操作員日常操作,保證操作過程的可審計性.
3.5.3建立機(jī)房自動監(jiān)控系統(tǒng),實時監(jiān)控放置、設(shè)備的運行狀態(tài)及 工作參數(shù),發(fā)現(xiàn)部件故障或參數(shù)異常,及時報警,并可記錄歷史數(shù)據(jù)和 報警時間.
[關(guān)鍵詞]安全活動日 管理創(chuàng)新 管理流程
中圖分類號:TM63 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-914X(2016)05-0184-01
1引言:安全生產(chǎn)是供電企業(yè)生存和發(fā)展的基礎(chǔ),如何保障安全、鞏固安全、強(qiáng)化安全是供電企業(yè)工作的重中之重,安全日活動是企業(yè)為提高職工的安全意識、安全技能,保證人身、設(shè)備、電網(wǎng)的安全而采取的一種有效的方法。班組是企業(yè)最基層的組織,班組安全日活動是提升員工安全素養(yǎng)、改善員工作業(yè)行為,確保安全生產(chǎn)的重要載體。班組安全日活動質(zhì)量的高低,對企業(yè)安全生產(chǎn)基礎(chǔ)的好壞起著舉足輕重的作用。通過優(yōu)化安全活動日管理流程,總結(jié)提煉安全管理的成功經(jīng)驗和做法,為確保安全工作的穩(wěn)定局面奠定堅實基礎(chǔ)。同時,也是班組學(xué)習(xí)安全規(guī)章制度、總結(jié)分析安全生產(chǎn)情況、查找薄弱環(huán)節(jié)、制定安全措施,增強(qiáng)職工安全意識的平臺。因此,班組安全日活動質(zhì)量的高低,對夯實企業(yè)安全生產(chǎn)基礎(chǔ)起著舉足輕重的作用。
目前,班組安全活動存在內(nèi)容、形式單一,不能按期進(jìn)行;活動記錄不實,為應(yīng)付檢查編造活動記錄等問題,管理人員對安全日活動參與度不夠,檢查不到位,起不到預(yù)期效果,調(diào)動不起職工積極參與的意識,達(dá)不到提高職工安全意識的目的或解決實際問題的效果。針對上述問題,應(yīng)結(jié)合班組的實際情況,開展形式多樣、內(nèi)容豐富的安全日活動,在“實”字下功夫,講實話、求實效,進(jìn)一步提高班組安全活動質(zhì)量和成效,提升班組安全管理水平。
2 安全活動有計劃
部門安全專責(zé)要根據(jù)國網(wǎng)公司、省公司安全文件、事故通報等文件,結(jié)合每月工作安排實際情況制定行之有效的“安全日活動”指導(dǎo)計劃,其內(nèi)容應(yīng)包括安全活動例行內(nèi)容、事故學(xué)習(xí)情況及制定措施,近期安全生產(chǎn)分析,本月現(xiàn)場工作的安全分析及危險點分析等。運維站站長或安全員根據(jù)活動指導(dǎo)計劃針對本站運維實際情況明確本月活動主題,然后根據(jù)活動主題,明確活動內(nèi)容和流程。在活動中值班長對本值安全生產(chǎn)情況進(jìn)行匯報分析,每位職工都應(yīng)積極發(fā)表自己的認(rèn)識和工作中發(fā)現(xiàn)的問題,通過交流討論,共同協(xié)作,制定行之有效地措施,有效地避免了事故的發(fā)生。
3 安全活動重實效
首先要增強(qiáng)班組員工“學(xué)安全、懂安全、會安全”的安全意識及積極參與安全日活動的主動性,調(diào)動員工集思廣益,不斷拓展班組安全日活動思路及課題。其次運維班組安全活動不要盲目追求大課題,應(yīng)該選擇生產(chǎn)中凸顯的問題或工作中急需解決的安全問題,加強(qiáng)安全活動的實效性和針對性,避免不講實際生生搬硬套,走形式化。通過對生產(chǎn)中凸顯的問題或工作中的急需解決的安全問題進(jìn)行分析,提出有效的解決措施,這樣不僅僅班組安全得到了保障,同時,也有利于班組的日常工作的開展,提高了班組的工作效率。
4 創(chuàng)新活動多形式
在班組安全日活動中,采取形式多樣的活動方式,使班組人員在輕松愉快的環(huán)境中接受安全教育。比如,可以采用“安全微課堂”、征集安全警句、討論發(fā)言、寫心得體會、演講等形式,將安全知識貫穿到其中,充分調(diào)動大家的積極性,對事故快報、倒閘操作風(fēng)險點、兩票執(zhí)行的特殊點等積極討論,踴躍發(fā)言。鶴壁公司打破以往學(xué)習(xí)簡報、宣讀文件等傳統(tǒng)枯燥的安全教育培訓(xùn)模式,創(chuàng)新開展形式多樣的班組安全活動。
(1)開展“安全微課堂”,利用“微課堂”短小濃縮、主題簡潔、形式靈活多樣的特點,因材施教,貼近班組實際,充分調(diào)動每位員工參與安全生產(chǎn)大討論,對事故簡報、作業(yè)流程、作業(yè)現(xiàn)場危險點等積極討論踴躍發(fā)言,增強(qiáng)職工安全防范與自我保護(hù)意識,潛移默化中提高了班組安全水平。
(2)安全文化上墻。組織員工根據(jù)工作經(jīng)驗及感悟開展安全警句征集,配以相應(yīng)工作照片建立安全文化走廊,營造了濃厚的班組安全文化氛圍,時時刻刻提醒運維員工“工作再忙,安全不忘”,同時在班組園地開辟出安全學(xué)習(xí)園地,放入事故快報、安全文件等,盡可能利用空間開展安全活動,加強(qiáng)每位員工對安全活動的理解。
(3)利用微信群實時開展安全活動,對設(shè)備巡視檢查、兩票執(zhí)行中遇見的問題、作業(yè)現(xiàn)場的安措布置及危險點等在微信群中實時進(jìn)行交流分析、點評,讓每位員工都充分參與到學(xué)習(xí)討論中,提高了員工安全意識和技術(shù)素質(zhì),同時也加強(qiáng)了作業(yè)現(xiàn)場的安全監(jiān)督和風(fēng)險管控,有效防范事故發(fā)生,使安全活動收到實效。
由此可見,只要安全活動組織者多動腦筋,不斷豐富新穎活動內(nèi)容,采取形式多樣的方式方法開展安全日活動,吸引班組人員積極主動參與,就會使安全活動開展得扎實有效,為安全生產(chǎn)工作打下堅實的基礎(chǔ)。
5 安全活動強(qiáng)管理
部門領(lǐng)導(dǎo)要重視安全活動管理,堅決杜絕講起來重要、做起來次要,忙起來不要的現(xiàn)象,要落地有聲,確保班組安全的持久和實效性。明確安全活動的管理分工及責(zé)任,部門主任親自參與,安全培訓(xùn)專工負(fù)責(zé)具體指導(dǎo),各運維站站長和安全員負(fù)責(zé)組織。部門管理人員應(yīng)嚴(yán)格按照要求每月參加一次班組安全日活動,主要是傳達(dá)貫徹上級文件精神和工作意見,指導(dǎo)部署下一步工作,并與職工一起討論分析近期的安全生產(chǎn)工作。其中,參加情況和發(fā)言應(yīng)在活動記錄中體現(xiàn),并在記錄上簽署評價、提出要求。 同時,部門領(lǐng)導(dǎo)及部門安全專責(zé)要密切關(guān)注班組的安全日活動的開展,積極督促班組的安全日活動,定期檢查班組的安全日活動的質(zhì)量和效果,對照活動計劃查看活動記錄是否全面、規(guī)范;提問班組成員是否了解和熟悉學(xué)習(xí)內(nèi)容,是否制定和落實防范措施,以判斷活動記錄的真實性,確保班組安全日活動取得應(yīng)有的實效和意義。
6 結(jié)束語
通過安全日活動管理創(chuàng)新,優(yōu)化安全活動日管理流程,開發(fā)活動的多樣性,保持活動的持久性,有效提高了職工的安全意識,營造了良好的安全氛圍,夯實了安全生產(chǎn)基礎(chǔ),真正做到安全生產(chǎn)的“可控”、“在控”。安全日活動管理創(chuàng)新讓員工進(jìn)一步認(rèn)識到安全的重要性、現(xiàn)實性,并從中總結(jié)提煉了安全工作和管理的經(jīng)驗,特別是“安全微課堂”的開展,為確保變電站安全穩(wěn)定運行的局面奠定了基礎(chǔ)。
隨著云計算技術(shù)在核電廠的推廣應(yīng)用,企業(yè)的信息化水平提升到新的高度。企業(yè)對信息安全可靠性、保密性、完整性產(chǎn)生更高的述求,信息安全的防護(hù)工作日趨緊迫。傳統(tǒng)的信息安全防御手段無法應(yīng)對新出現(xiàn)的威脅,因此需結(jié)合現(xiàn)有的信息安全體系,采取與云計算技術(shù)相結(jié)合的手段開展一系列信息安全防護(hù)工作。本文主要介紹了云計算的相關(guān)概念和體系架構(gòu),云計算技術(shù)在核電的應(yīng)用,國內(nèi)核電信息安全體系現(xiàn)狀,以及基于云計算的核電信息安全體系設(shè)計。
關(guān)鍵詞:
云計算;核電;信息安全
核電行業(yè)是很早就使用計算機(jī)實現(xiàn)生產(chǎn)自動化的企業(yè)。繼個人計算機(jī)、互聯(lián)網(wǎng)變革之后,2010年,云計算作為第三次IT浪潮的代表正在向我們走來。它將帶來人類生活、生產(chǎn)方式和商業(yè)模式的根本性改變,成為當(dāng)前全社會關(guān)注的熱點。云計算的目的是將不同的IT資源(資源包括網(wǎng)絡(luò),服務(wù)器,存儲,應(yīng)用軟件,服務(wù))以服務(wù)的方式交付給用戶。計算資源、存儲資源、軟件開發(fā)、系統(tǒng)測試、系統(tǒng)維護(hù)和各種豐富的應(yīng)用服務(wù),都將像水和電一樣方便地被使用。信息實質(zhì)上是一種資源,其價值在于其所能創(chuàng)造的機(jī)遇與利益。信息安全的目的即是保護(hù)信息的完整性、可用性及保密性等屬性,以保證信息的價值。一旦信息的完整性、可用性或保密性缺失或受損,信息的價值將大打折扣。核電廠作為國防建設(shè)的重點單位,信息安全重要性尤為突出。隨著云計算技術(shù)在核電廠的推廣應(yīng)用,信息安全的防護(hù)出現(xiàn)一些新的變化,本文即是針對這些新的變化進(jìn)行相應(yīng)的探討,目的是提升核電廠信息安全水平。
1云計算概念和體系架構(gòu)
網(wǎng)絡(luò)通信、分布式計算及服務(wù)計算等技術(shù)的發(fā)展為云計算的實施提供了強(qiáng)有力的支撐。NIST指出云計算是一種以通過網(wǎng)絡(luò)連接,便攜且按需訪問的可配置共享資源池的服務(wù),計算資源將以最小的管理和交互代價快速提供給用戶;同時云計算還應(yīng)滿足按需自助服務(wù)、廣泛網(wǎng)絡(luò)接人、高效資源共享、高彈性計算、支持度量計費等五大功能特性。根據(jù)云計算所提供服務(wù)類別的不同,云計算的服務(wù)模式可以分為軟件即服務(wù)(SoftwareasaService,SaaS)、平臺即服務(wù)(PlatformasaService,PaaS)和基礎(chǔ)設(shè)施即服務(wù)(InfrastructureasaService,IaaS)。典型的云計算平臺架構(gòu)如下:IaaS、PaaS、SaaS在功能范圍和側(cè)重點上都存在差異,其中IaaS需要在異構(gòu)資源環(huán)境下,提供按需付費、可度量資源池功能,同時要兼顧硬件資源的充分利用和用戶需求的滿足;PaaS不僅關(guān)注底層硬件資源的整合,還需要提供能夠供租戶進(jìn)行開發(fā)、調(diào)試應(yīng)用的平臺環(huán)境;SaaS不僅需實現(xiàn)底層資源的充分利用,還必須通過部署一個或多個應(yīng)用軟件環(huán)境,為用戶提供可定制化的應(yīng)用服務(wù)。
2云計算技術(shù)在核電企業(yè)的應(yīng)用
隨著核電ERP/EAM/ECM等核心系統(tǒng)的構(gòu)建,以及IT架構(gòu)的進(jìn)一步集中調(diào)整,整個核電IT系統(tǒng)的架構(gòu)變的更為復(fù)雜。為了提升信息化水平,提高資源利用率,核電廠開展云計算相關(guān)技術(shù)研究,結(jié)合企業(yè)實際情況,遵循四化的理念來建立、提升、完善云計算平臺的能力。核電企業(yè)四化包括:資源管理集約化:通過對企業(yè)計算、存儲、網(wǎng)絡(luò)資源的集中化、標(biāo)準(zhǔn)化、服務(wù)化管理實現(xiàn)高效、彈性的IT架構(gòu);應(yīng)用交付一體化:通過軟件全生命周期管理的自動化以及面向企業(yè)級應(yīng)用的業(yè)務(wù)框架提高企業(yè)應(yīng)用的交互能力;系統(tǒng)運營智能化:通過全方位的監(jiān)控和時間處理,將數(shù)據(jù)植入到運營流程中,達(dá)到流程化、智能化運行的目標(biāo);運維管理自動化:通過運維作業(yè)集中管理調(diào)度與監(jiān)控實現(xiàn)運維作業(yè)的標(biāo)準(zhǔn)化和自動化提高應(yīng)用運維的效率和可管理型。
3國內(nèi)核電信息安全體系現(xiàn)狀
目前國內(nèi)大部分核電企業(yè)的信息安全體系建設(shè)主要遵守《電力行業(yè)信息系統(tǒng)等級保護(hù)定級工作指導(dǎo)意見》(電監(jiān)信息[2007]44號)、《信息安全等級保護(hù)管理辦法》和《關(guān)于進(jìn)一步推進(jìn)中央企業(yè)信息安全等級保護(hù)工作的通知》(公通字[2010]70號)等,以上述辦法圍繞等級保護(hù)來開展信息安全體系建設(shè)。一些信息化建設(shè)水平較好的核電企業(yè),在信息安全建設(shè)過程中逐步借鑒和參考國際國內(nèi)先進(jìn)的信息安全標(biāo)準(zhǔn),主要是目前國際上應(yīng)用最廣泛的ISO27001信息安全管理體系。在傳統(tǒng)的信息安全時代主要采用隔離作為安全的手段,具體分為物理隔離、內(nèi)外網(wǎng)隔離、加密隔離,實踐證明這種隔離手段針對傳統(tǒng)IT架構(gòu)能起到有效的防護(hù)。同時這種隔離為主的安全體系催生了一批以硬件銷售為主的安全公司,例如各種FireWall(防火墻)、IDS/IPS(入侵檢測系統(tǒng)/入侵防御系統(tǒng))、WAF(Web應(yīng)用防火墻)、UTM(統(tǒng)一威脅管理)、SSL網(wǎng)關(guān)、加密機(jī)等。在這種隔離思想下,并不需要應(yīng)用提供商參與較多信息安全工作,在典型場景下是由總集成商負(fù)責(zé)應(yīng)用和信息安全之間的集成,而這導(dǎo)致了長久以來信息安全和應(yīng)用相對獨立的發(fā)展,尤其在國內(nèi)這兩個領(lǐng)域的圈子交集并不大。結(jié)果,傳統(tǒng)信息安全表現(xiàn)出分散割據(jù)化、對應(yīng)用的封閉化、硬件盒子化的三個特征。信息安全體系的基本建設(shè)要素包括物理安全、網(wǎng)絡(luò)安全和系統(tǒng)安全三個要素。(1)物理安全。物理安全主要涵蓋機(jī)房安全、信息設(shè)備安全、通信線路安全等,保障信息機(jī)房的電源、溫濕度、進(jìn)出入的安全,保障信息化基礎(chǔ)設(shè)施、通信線路等的運行可靠性、雙鏈路互備等措施。(2)網(wǎng)絡(luò)安全。互聯(lián)網(wǎng)的安全主要以防火墻為核心,輔以IPS、防病毒網(wǎng)關(guān)等設(shè)備為核電構(gòu)建統(tǒng)一的、安全的互聯(lián)網(wǎng)出入口。內(nèi)部局域網(wǎng)作為網(wǎng)絡(luò)中終端數(shù)量最大、用戶最多的區(qū)域,一直是網(wǎng)絡(luò)安全防護(hù)的重點區(qū)域。首先,局域網(wǎng)要進(jìn)行核心層、匯聚層、接入層的規(guī)劃和IP地址劃分,核心層要滿足雙機(jī)熱備的要求。在網(wǎng)絡(luò)管理中要實現(xiàn)網(wǎng)絡(luò)資源的配置、網(wǎng)絡(luò)流量監(jiān)控,保障局域網(wǎng)絡(luò)的穩(wěn)定通暢。其次,終端安全管理是內(nèi)部局域網(wǎng)安全的管理重心,建立終端管理、防病毒、移動介質(zhì)等防控手段。(3)系統(tǒng)安全。信息系統(tǒng)的穩(wěn)定運行是支撐核電業(yè)務(wù)連貫性的必要條件,信息系統(tǒng)的服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫、系統(tǒng)接口等的管理有效性是實現(xiàn)系統(tǒng)安全、穩(wěn)定運行的基礎(chǔ)。系統(tǒng)的應(yīng)用安全主要指系統(tǒng)中數(shù)據(jù)訪問、流程審批、操作合規(guī)性等安全,主要通過用戶認(rèn)證、電子證書、文檔加密、行為審計等手段來加以監(jiān)控。
4基于云計算的信息安全體系設(shè)計
核電企業(yè)云平臺承載企業(yè)的關(guān)鍵應(yīng)用,數(shù)據(jù)作為企業(yè)的資產(chǎn),其安全性需要采取相應(yīng)措施加以保障,核電企業(yè)在建設(shè)云平臺過程中,注重安全管理。安全管理是為了建設(shè)可靠的安全保障體系,實現(xiàn)應(yīng)用服務(wù)及數(shù)據(jù)調(diào)用的安全認(rèn)證和安全審計,主動的異常數(shù)據(jù)操作行為的監(jiān)控分析、預(yù)警機(jī)制,并提供異常問題的倒查追溯能力。為了更好的保證業(yè)務(wù)之間的隔離性和安全性,核電廠從三個方面建立信息安全體系:(1)訪問安全。訪問安全基于身份認(rèn)證和權(quán)限認(rèn)證來完成。身份認(rèn)證是建立統(tǒng)一的用戶信息庫,為系統(tǒng)提供身份認(rèn)證服務(wù),只有合法用戶才能對信息化系統(tǒng)進(jìn)行訪問;權(quán)限認(rèn)證主要是根據(jù)用戶身份對其進(jìn)行權(quán)限判斷,以權(quán)限認(rèn)證與統(tǒng)一認(rèn)證相結(jié)合,為信息化系統(tǒng)提供方便、簡單的、可靠的授權(quán)服務(wù),從而對用戶進(jìn)行整體的、有效的訪問控制,保護(hù)系統(tǒng)資源不被非法或越權(quán)訪問,防止信息泄漏。(2)數(shù)據(jù)安全。數(shù)據(jù)安全是對及內(nèi)部信息系統(tǒng)進(jìn)行嚴(yán)格的安全防護(hù),對計算機(jī)、數(shù)據(jù)、敏感業(yè)務(wù)系統(tǒng)采用認(rèn)證、加密等技術(shù)手段進(jìn)行控制。數(shù)據(jù)安全主要包括:數(shù)據(jù)完整性,數(shù)據(jù)保密性,備份和恢復(fù)。數(shù)據(jù)完整性:通過循環(huán)冗余校驗(CRC)以及消息認(rèn)證碼(帶密鑰的Hash函數(shù))來保證完整性。數(shù)據(jù)保密性:通過傳輸協(xié)議加密以及數(shù)據(jù)加密來保證保密性。備份和恢復(fù):對重要信息進(jìn)行備份,并對備份介質(zhì)定期進(jìn)行可用性測試。(3)操作安全。操作安全是為了防止誤操作帶來的風(fēng)險,如刪除關(guān)鍵數(shù)據(jù)造成系統(tǒng)無法正常運行。操作安全可以通過事前預(yù)防和事后補救這兩方面來保證。事前預(yù)防是通過對關(guān)鍵操作進(jìn)行多人復(fù)核,降低單人誤操作機(jī)率;事后補救是通過操作日志來回滾誤操作。結(jié)合云計算平臺建設(shè)現(xiàn)狀和企業(yè)實際,核電廠從云平臺基礎(chǔ)安全、云平臺攻防安全、云平臺運維安全等方面建設(shè)信息安全體系,構(gòu)筑全方位的信息安全防護(hù)屏障。
4.1云平臺基礎(chǔ)安全
(1)網(wǎng)絡(luò)安全。云計算平臺網(wǎng)絡(luò)分為兩部分:管理平面和業(yè)務(wù)平面網(wǎng)絡(luò)。管理平面網(wǎng)絡(luò)主要用來管理云計算主機(jī),業(yè)務(wù)網(wǎng)絡(luò)主要負(fù)責(zé)傳遞業(yè)務(wù)系統(tǒng)相關(guān)數(shù)據(jù),兩者傳輸數(shù)據(jù)不同,訪問授權(quán)也不一致,需將管理平面和業(yè)務(wù)平面網(wǎng)絡(luò)隔離。此外,需關(guān)閉未使用的網(wǎng)絡(luò)端口防止非法接入,回收服務(wù)器默認(rèn)路由防止主動外聯(lián)。(2)宿主機(jī)安全。首先要保證操作系統(tǒng)安全,減少系統(tǒng)漏洞。由于云計算操作系統(tǒng)大部分是基于開源平臺開發(fā),存在漏洞較多。因此進(jìn)行系統(tǒng)定制化開發(fā)時候需將操作系統(tǒng)內(nèi)核和組件精簡,減少非必要的功能,修復(fù)相關(guān)漏洞,對主機(jī)做符合業(yè)界安全規(guī)范的配置加固,內(nèi)核防提權(quán)模塊加固等。(3)多租戶資源隔離。云計算平臺的典型場景是多租戶共享,但和傳統(tǒng)IT架構(gòu)相比,原來的可信邊界徹底被打破了,威脅可能直接來自于相鄰租戶。租戶通過Hypervisor(虛擬機(jī)監(jiān)視器)共享同一個物理操作系統(tǒng)的計算資源,在一張共享的二層網(wǎng)絡(luò)上實現(xiàn)網(wǎng)絡(luò)的區(qū)隔。攻擊者一旦通過某0day漏洞實現(xiàn)虛擬逃逸到宿主機(jī),攻擊者就可以讀取這臺宿主機(jī)上所有虛擬機(jī)的內(nèi)存,從而可以控制這臺宿主機(jī)上的所有虛擬機(jī)。同時更致命的是,整個云平臺節(jié)點間通訊的API默認(rèn)都是可信的,因此可以從這臺宿主機(jī)與集群消息隊列交互,進(jìn)而集群消息隊列會被攻擊者控制,最終一舉攻破整個云主機(jī)集群。云服務(wù)器租戶隔離從以下幾個方面設(shè)計:基于VT-x技術(shù)隔離CPU;硬件輔助EPT技術(shù)隔離內(nèi)存;分離設(shè)備驅(qū)動I/O模型隔離存儲;交換型Vswitch,不同VM的數(shù)據(jù)包被轉(zhuǎn)發(fā)到對應(yīng)的虛擬端口;VM的IP、Mac地址綁定防地址欺騙及網(wǎng)絡(luò)嗅探;物理內(nèi)存、物理存儲重分配前清零;用戶數(shù)據(jù)打標(biāo)簽隔離存儲。(4)數(shù)據(jù)存儲安全。數(shù)據(jù)是信息系統(tǒng)最核心要素,數(shù)據(jù)的可靠性和安全性在信息安全中地位尤為突出,云計算平臺采取了分布式存儲技術(shù),將數(shù)據(jù)分散在多個磁盤中。同一數(shù)據(jù)分別備份三份存儲于磁盤中,任意部分丟失均立刻進(jìn)行恢復(fù),可靠性達(dá)99.9999%,較好保障數(shù)據(jù)安全性;為應(yīng)對物理拷貝,將數(shù)據(jù)打散后即使單獨拷貝磁盤出去,無系統(tǒng)進(jìn)行數(shù)據(jù)提取、整合,無法恢復(fù)數(shù)據(jù)。
4.2云平臺攻防安全
互聯(lián)網(wǎng)攻防體系包括DDOS攻擊防御、入侵防御、弱點分析和態(tài)勢感知四個方面,整體架構(gòu)如下:(1)DDOS攻擊防御。DDOS(分布式拒絕服務(wù)),是指借助于客戶/服務(wù)器技術(shù),將多個計算機(jī)聯(lián)合起來作為攻擊平臺,很多DOS攻擊源一起攻擊某臺服務(wù)器就組成了DDOS攻擊。DDOS攻擊本質(zhì)上是一種只能緩解而不能完全防御的攻擊,它不像漏洞那樣打個補丁解決了就是解決了,DDOS就算購買和部署了當(dāng)前市場上比較有競爭力的防御解決方案也完全談不上徹底根治。防火墻、IPS、WAF這些安全產(chǎn)品都號稱自己有一定的抗DDOS能力,而實際上他們只針對小流量下,應(yīng)用層的攻擊比較有效,對于稍大流量的DDOS攻擊則無濟(jì)于事。結(jié)合云計算平臺特點,DDoS攻擊防御使用DDoS清洗系統(tǒng),通過封堵大流量DDoS攻擊,保障云平臺可用;通過攔截應(yīng)用層DDoS/CC攻擊,保障業(yè)務(wù)可用。DDoS清洗系統(tǒng)可1秒完成檢測->牽引->清洗->回注流程,全自動響應(yīng),無人值守,提高效率,降低成本;與全球信息安全防護(hù)廠商共享數(shù)據(jù),提供最大450+Gbps防御能力,可抵御海量攻擊;采用了精準(zhǔn)的攻擊檢測技術(shù),網(wǎng)絡(luò)抖動小。本系統(tǒng)配置專用大數(shù)據(jù)平臺,采用基于大數(shù)據(jù)分析技術(shù)可快速分析惡意IP庫、惡意行為庫。(2)入侵防御。入侵防御系統(tǒng)是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計算機(jī)網(wǎng)絡(luò)安全設(shè)備,能夠即時的中斷、調(diào)整或隔離一些不正常或是具有傷害性的網(wǎng)絡(luò)資料傳輸行為。傳統(tǒng)的入侵防御系統(tǒng)多集中在應(yīng)對4~7層的應(yīng)用攻擊,在應(yīng)對DDoS洪水型攻擊時卻顯得捉襟見肘,而基于云計算的入侵防御系統(tǒng)不但要集成的原有入侵防御產(chǎn)品多層的防攻擊功能,更需具有專業(yè)抗DDoS攻擊功能,可清洗2~4層的洪水型攻擊流量,能夠從而實現(xiàn)系統(tǒng)全方位的入侵防護(hù)。云計算入侵防御系統(tǒng)需要具備功能包括:實時網(wǎng)絡(luò)入侵?jǐn)r截,封堵惡意行為;自動木馬后門檢測,保護(hù)主機(jī)安全;弱點分析,可以快速分析出系統(tǒng)存在漏洞、弱點及時發(fā)現(xiàn)弱點,自動修復(fù)漏洞;具備實時掃描功能,風(fēng)險隨時可知。(3)網(wǎng)絡(luò)態(tài)勢感知。所謂網(wǎng)絡(luò)態(tài)勢是指由各種網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢。網(wǎng)絡(luò)態(tài)勢感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中,對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測最近的發(fā)展趨勢。基于云計算的態(tài)勢感知服務(wù)可以讓企業(yè)決策者發(fā)現(xiàn)眼睛看不見的風(fēng)險。態(tài)勢感知的第一個特點是以海量數(shù)據(jù)、超強(qiáng)的計算為依托,讓黑客攻擊顯影。第二個特點就是讓風(fēng)險可視化。有了它,沒有安全技術(shù)基礎(chǔ)的人也能看見風(fēng)險的過去、現(xiàn)在和將來。基于云計算的態(tài)勢感知系統(tǒng)需具備功能包括:安全數(shù)據(jù)大屏實時展示;集中安全策略管理;多維度日志關(guān)聯(lián)分析;時間+空間,安全風(fēng)險全局態(tài)勢感知。(4)數(shù)據(jù)庫審計。數(shù)據(jù)庫是企業(yè)最具有戰(zhàn)略性的資產(chǎn),通常都保存著重要的商業(yè)伙伴和客戶信息,這些信息需要被保護(hù)起來,以防止競爭者和其他非法者獲取。面對日趨復(fù)雜的安全風(fēng)險,必須部署數(shù)據(jù)庫審計系統(tǒng)。數(shù)據(jù)庫審計能夠?qū)崟r記錄網(wǎng)絡(luò)上的數(shù)據(jù)庫活動,對數(shù)據(jù)庫操作進(jìn)行細(xì)粒度審計的合規(guī)性管理,對數(shù)據(jù)庫遭受到的風(fēng)險行為進(jìn)行告警,對攻擊行為進(jìn)行阻斷。它通過對用戶訪問數(shù)據(jù)庫行為的記錄、分析和匯報,用來幫助用戶事后生成合規(guī)報告、事故追根溯源,同時加強(qiáng)內(nèi)外部數(shù)據(jù)庫網(wǎng)絡(luò)行為記錄,提高數(shù)據(jù)資產(chǎn)安全。基于云計算的數(shù)據(jù)庫審計系統(tǒng)是在數(shù)據(jù)庫虛機(jī)上安裝數(shù)據(jù)庫審計業(yè)務(wù)端程序,該程序會對該虛機(jī)上的數(shù)據(jù)庫業(yè)務(wù)進(jìn)行審計。另外在中控區(qū)部署統(tǒng)一的數(shù)據(jù)庫審計管理端程序,對所有業(yè)務(wù)端程序提供集中管控。
4.3云平臺安全運維
隨著云計算平臺的建設(shè)推進(jìn),各應(yīng)用系統(tǒng)也進(jìn)行了基于“云”的設(shè)計改造,因此必須建立一套完整的基于云計算的安全運維體系,保證各類緊急事件能夠及時處理。基于云計算的安全運維體系應(yīng)包括以下兩個方面。(1)帶外管理分離與運營平臺。云平臺的運維管理應(yīng)與業(yè)務(wù)網(wǎng)絡(luò)分離,同時建立運維平臺和運營平臺。運維平臺主要供IT管理員進(jìn)行云平臺的運維,運營平臺提供運營相關(guān)服務(wù),包括計費、考核、流程審批等。(2)運維管理審計。InforCube運維管理審計系統(tǒng)涵蓋多種運維協(xié)議(RDP、SSH、TELNET、FTP、SCP等)并提供操作回放檢索、輸入記錄、標(biāo)題抓取等功能,從明確人、主機(jī)、帳戶各個角度,提供豐富的統(tǒng)計分析,幫助用戶及時發(fā)現(xiàn)安全隱患,協(xié)助優(yōu)化網(wǎng)絡(luò)資源的使用。它能夠?qū)\維人員的訪問過程進(jìn)行細(xì)粒度的授權(quán)、全過程的操作記錄及控制、全方位的操作審計、并支持事后操作過程回放功能,實現(xiàn)運維過程的“事前預(yù)防、事中控制、事后審計”,在簡化運維操作的同時,全面解決云計算復(fù)雜環(huán)境下的運維安全問題,提升企業(yè)IT運維管理水平。
5結(jié)束語
云計算平臺的信息安全體系建設(shè),除了要依據(jù)上級單位的要求,參照ISO27001和信息系統(tǒng)安全等級保護(hù)體系開展企業(yè)信息安全建設(shè),更重要的是要根據(jù)云平臺架構(gòu)特點,有針對性進(jìn)行方案設(shè)計,采取更先進(jìn)的技術(shù)進(jìn)行安全加固。新技術(shù)的發(fā)展日新月異,相應(yīng)的安全威脅手段也在改進(jìn),如僅僅按照國標(biāo)和行業(yè)的標(biāo)準(zhǔn)進(jìn)行安全防范,無法防范新出現(xiàn)的威脅。因此針對云平臺的信息安全體系建設(shè)日趨緊迫。此外,在做好信息安全的技術(shù)防御之時,提高管理、加強(qiáng)對安全體系的審查改進(jìn)是重要的落地手段。通過安全體系的設(shè)計,落實改進(jìn)措施,定期實施加固,將安全體系落實到實處,才可以保障企業(yè)的信息安全。
作者:張榮斌 單位:中核核電運行管理有限公司
參考文獻(xiàn):
[1]梅生偉,王瑩瑩,陳來軍等.從復(fù)雜網(wǎng)絡(luò)視角評述智能電網(wǎng)信息安全研究現(xiàn)狀及若干展望[J].高電壓技術(shù),2011,37(3):672-679.
[2]李文武,游文霞,王先培等.電力系統(tǒng)信息安全研究綜述[J].電力系統(tǒng)保護(hù)與控制,2011,39(10):140-147.DOI:10.3969/j.issn.1674-3415.2011.10.026.
[3]謝迎軍.信息及信息安全思辨[C].//中國電機(jī)工程學(xué)會電力通信專業(yè)委員會第九屆學(xué)術(shù)會議論文集.2013:822-826.
[4]工業(yè)和信息化部信息安全協(xié)調(diào)司司長趙澤良:積極應(yīng)對風(fēng)險挑戰(zhàn)維護(hù)國家信息安全[J].信息安全與通信保密,2012,(3):2-2.
[5]杜保東,楊慶明,李冰等.企業(yè)云計算信息安全方案研究[J].信息系統(tǒng)工程,2014,(5):67-68.
[6]汪兆成.基于云計算模式的信息安全風(fēng)險評估研究[J].信息網(wǎng)絡(luò)安全,2011,(9):56-59.DOI:10.3969/j.issn.1671-1122.2011.09.018.
[7]楊成.解析現(xiàn)階段云計算的應(yīng)用與信息安全[J].科技展望,2015,(20):1-2.
[8]中華人民共和國國家標(biāo)準(zhǔn)GB/T22239-2008《信息系統(tǒng)安全等級保護(hù)基本要求》
關(guān)鍵詞:變電運維管理;危險點;預(yù)控措施;精益化;一體化 文獻(xiàn)標(biāo)識碼:A
中圖分類號:TM732 文章編號:1009-2374(2015)21-0134-02 DOI:10.13535/ki.11-4406/n.2015.21.067
變電運維管理的危險點分析和預(yù)控應(yīng)用,充分體現(xiàn)出變電運維管理工作由經(jīng)驗傳統(tǒng)向科學(xué)現(xiàn)代化,粗放式向精細(xì)式發(fā)展的一種必然趨勢。其主要工作模式是,工作人員通過分析,排查整理出潛在的危險點,再對危險點進(jìn)行評估,最后準(zhǔn)確及時地采取適當(dāng)?shù)念A(yù)控措施。
1 變電運維管理中存在的危險點
1.1 變壓器的危險點
在日常變電運維工作過程中,變壓器可能會對工作人員造成危險,這些情況包括:第一,切合空載變壓器的過程中會產(chǎn)生過電壓,導(dǎo)致自身的絕緣性能受損;第二,變壓器的絕緣性能會因為不斷增大的空載電壓而受到永久性的損害。
1.2 母線倒閘操作的危險點
母線倒閘操作同樣具有各種各樣的危險點:第一,存在帶負(fù)荷拉刀閘的問題;第二,由于自動裝置切換間的故障和繼電保護(hù)而產(chǎn)生的誤操作行為;第三,電壓互感器在空載母線充電時可能出現(xiàn)的諧振問題。
1.3 直流回路的危險點
工作人員在變電運維的操作時,經(jīng)常接觸的是直流回路。同樣,這種直流回路的操作也存在著潛在的危險,尤其是二次直流回路操作中,能否正確地操作保護(hù)壓板投退是至關(guān)重要的。工作人員不熟悉設(shè)備和二次設(shè)備程序的故障等情況都可能造成自動裝置切換間的故障和繼電保護(hù)而產(chǎn)生的誤操作行為。因此,必須嚴(yán)格按照相關(guān)的標(biāo)準(zhǔn)進(jìn)行操作作業(yè),確保二次直流回路的操作正確性。
1.4 倒閘操作票的危險點
雖然有種類繁多的變電運維設(shè)備,但大體上設(shè)備狀態(tài)可分為運行、冷備用、熱備用、檢修四種狀態(tài)。操作票應(yīng)該嚴(yán)格按照相關(guān)標(biāo)準(zhǔn),根據(jù)現(xiàn)場不同的運維方式,按照給出的不同調(diào)度指令,進(jìn)行填寫和使用。在變電運維過程中,確保設(shè)備安全操作的關(guān)鍵就是倒閘操作。所以,倒閘操作票的編制、審核和執(zhí)行是至關(guān)重要的,即使相同的設(shè)備,在不同的狀態(tài)下,狀態(tài)與狀態(tài)之間進(jìn)行切換操作時都應(yīng)該有操作票。
1.5 工作人員違反安全規(guī)定的危險點
在對設(shè)備進(jìn)行巡視檢查時,工作人員必須嚴(yán)格遵循相關(guān)規(guī)章制度,對各級安全工作檢查到位。工作人員在設(shè)備巡視檢查過程中,由于不遵守相關(guān)安全規(guī)章制度,而造成的人身傷害事故,尤其是在單人巡視檢查時造成的事故是變電運維管理中的重災(zāi)區(qū),因此遵守各類安全規(guī)章制度是重中之重。
1.6 不可抗力的危險點
當(dāng)異常天氣發(fā)生時,將會對變電運維管理造成極大的潛在挑戰(zhàn)。在較為寒冷的冬季,導(dǎo)線便會出現(xiàn)過緊現(xiàn)象,同時設(shè)備油面也會明顯降低,出現(xiàn)過低現(xiàn)象;在較為炎熱的夏季,導(dǎo)線則會出現(xiàn)過松的現(xiàn)象,設(shè)備油面會明顯升高,出現(xiàn)過高現(xiàn)象;在大霧天,設(shè)備便會發(fā)生晃閃;當(dāng)雷雨天氣出現(xiàn)時,設(shè)備則有可能會出現(xiàn)突然故障;當(dāng)暴風(fēng)、龍卷風(fēng)等天氣出現(xiàn)時,一些雜物、引線等則會被吹起,出現(xiàn)纏繞等情況。以上各種情況都有可能引發(fā)事故,所以在實際情況中,應(yīng)根據(jù)天氣的變化采取相應(yīng)的應(yīng)對措施,嚴(yán)格監(jiān)督與落實。
2 變電運維管理中的預(yù)控措施
2.1 完善各類制度,監(jiān)督落實到位
針對變電運維工作,必須建立完善的管理制度,并積極嚴(yán)格監(jiān)督和落實。對于作業(yè)卡、設(shè)備操作卡以及巡視卡,需要重點關(guān)注并落實執(zhí)行。首先,必須提高變電運維工作人員的安全意識,在思想上要高度重視,做好生產(chǎn)基礎(chǔ)工作,對于每一步的操作必須嚴(yán)格規(guī)范。其次,在日常生產(chǎn)管理工作中,必須明確安全生產(chǎn)責(zé)任并落實考核,認(rèn)真做好每項工作內(nèi)容。量化和細(xì)化工作中的每個操作事項,保證其能有序開展,從而形成良好的內(nèi)部管理制度。全面貫徹落實安全生產(chǎn)準(zhǔn)則,提高工作人員的安全責(zé)任意識,確保各管理機(jī)制平穩(wěn)正常運作,從而保證變電運維安全生產(chǎn)工作的有序開展。
2.2 提高工作人員素質(zhì),規(guī)范操作行為
2.2.1 加強(qiáng)日常培訓(xùn)工作,重點做好崗位培訓(xùn)。在日常倒閘工作時,管理人員和運維人員必須嚴(yán)格按照“三交底”的專業(yè)要求去約束自身行為。首先,站管人員與工作負(fù)責(zé)人交底。前一日下午時段或者晚上,對于次日有操作計劃的,各變電運維工作站的管理人員必須將次日工作內(nèi)容包括配合項目、操作內(nèi)容、操作票、預(yù)令和次日需要使用的設(shè)備、值班人員的情況、操作注意事項以及驗收設(shè)備時的注意事項等情況做好記錄,寫在工作日志中,并向工作負(fù)責(zé)人進(jìn)行匯報交底。其次,工作負(fù)責(zé)人與操作人員交底。工作負(fù)責(zé)人應(yīng)將上述站管人員交底的事宜轉(zhuǎn)述給值班的操作人員,進(jìn)行安全交底。最后,現(xiàn)場管理人員與站管人員交底。在前一日下午時段或者晚上,現(xiàn)場管理人員與站管人員就交底事宜進(jìn)行溝通,并對運維工作站的相關(guān)情況進(jìn)行詢問,監(jiān)督落實各項工作。
2.2.2 做好二次直流回路的運維技術(shù)。繼電保護(hù)裝置的投入或者停用,需要根據(jù)當(dāng)值的調(diào)度指令來執(zhí)行。如果認(rèn)為繼電保護(hù)裝置會發(fā)生誤動危險,停用的同時需要向有關(guān)調(diào)度進(jìn)行匯報,說明情況。日常運作情況下,不允許沒有保護(hù)運行措施的電氣設(shè)備運行。流變二次回路不得開路,壓變二次回路不得短路也不允許并列。工作負(fù)責(zé)人需要對繼電保護(hù)裝置的定校檢修工作進(jìn)行書面評論,當(dāng)書面評論是“可以投入運行”時才能
使用。
2.3 全面實施精益化設(shè)備巡視
完善設(shè)備巡視卡并落實執(zhí)行,尤其當(dāng)異常天氣發(fā)生時,更要做好巡視檢查工作。大風(fēng)天氣時,應(yīng)重點巡視檢查有沒有異物搭掛在戶外設(shè)備上,設(shè)備導(dǎo)線上的熱縮材料有沒有脫落或者松動等情況。雷雨天氣時,應(yīng)重點巡視檢查避雷器和避雷針是否完好接引地下線,并核對和記錄下全站的壁壘設(shè)備運作情況。絕緣子和瓷絕緣是否有裂紋和放電痕跡。冰雪天氣時,巡視的重點工作是檢查接點處是否發(fā)熱,設(shè)備是否存在電暈和放電爬弧現(xiàn)象,導(dǎo)線的松弛度和設(shè)備以及引線是否結(jié)冰等情況。冰雹天氣時主要檢查設(shè)備的瓷絕緣有沒有受到損害。大霧天氣時,最主要的巡視工作就是檢查瓷絕緣是否放電打火以及設(shè)備是否電暈和放電爬弧。通過巡視檢查發(fā)現(xiàn)的這些問題,進(jìn)行有針對性的一一處理。
2.4 落實措施,推進(jìn)運維一體化工作
穩(wěn)定整合全過程業(yè)務(wù)和重組人員并保證現(xiàn)有業(yè)務(wù)生產(chǎn)的有序正常開展,確保電網(wǎng)安全生產(chǎn)和生產(chǎn)秩序正常,必須積極落實變電運維管理過程中的預(yù)控措施,推進(jìn)變電運維一體化工作。實施“變電運維一體化”措施方案,改變原有的傳統(tǒng)生產(chǎn)組織方式,將變電運維人員和檢修人員融合起來,逐步實現(xiàn)設(shè)備巡視、帶點檢測、倒閘操作和維護(hù)性檢修業(yè)務(wù)等運維工作的統(tǒng)一管理實施,以提高變電運維工作的效率。
3 結(jié)語
事實證明,做好變電運維管理過程中的安全防護(hù)工作,不僅能確保工作人員的人身安全,還能減少事故的發(fā)生,從而維護(hù)好企業(yè)利益和社會利益。運用逆向思維對變電運維管理中的危險點進(jìn)行條理清晰的分析,并規(guī)劃出有效可行的預(yù)控策略。要想避免違章事故的發(fā)生,既要提高工作人員的安全意識,完善并監(jiān)督落實各項制度,還要提升工作人員素質(zhì),規(guī)范其操作行為,實施精益化設(shè)備巡視,推進(jìn)運維一體化工作,這樣才能進(jìn)行實質(zhì)性的安全防護(hù)。
參考文獻(xiàn)
[1] 邵軍.論變電運維管理中危險點分析及控制策略[J].中國電力教育,2010,(28).
[2] 李云啟.關(guān)于變電運維中危險點控制的分析[J].科技視界,2012,(30).
[3] 邢巍.論電氣設(shè)備倒閘操作的危險及防范[J].黑龍江科技信息,2008,(27).
1信息安全風(fēng)險的特征
信息安全風(fēng)險主要具有以下幾地特征。第一,動態(tài)性與可變性。信息安全風(fēng)險在其生命周期內(nèi)是動態(tài)進(jìn)行著變化的,所以其具有動態(tài)性與可變性。第二,多樣性與多層次。信息安全風(fēng)險既有管理方面的,也有技術(shù)和環(huán)境方面的,因而具有多樣性;同時,網(wǎng)絡(luò)層、物理層、鏈路層、應(yīng)用層等都是信息安全風(fēng)險作用的層面,所以又具有多層次特點。第三,可預(yù)測性。信息安全風(fēng)險可以通過各種定量、定性分析方法來進(jìn)行預(yù)測和判斷。第四,客觀性與不確定性。信息安全風(fēng)險客觀存在于信息系統(tǒng)生命周期的各個階段和各個層級中,且會隨著各種不確定因素的變化而變化。
2煙草行業(yè)存在的信息安全風(fēng)險
2.1易受外部干擾和攻擊
通常,煙草企業(yè)為方便基層員工,要求基層部門通過VPN來訪問企業(yè)內(nèi)部信息系統(tǒng),同時企業(yè)內(nèi)部網(wǎng)絡(luò)經(jīng)常會有存儲設(shè)備和電腦供應(yīng)商的介人。企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的頻繁連接,為外部網(wǎng)絡(luò)中病毒、木馬、黑客等對企業(yè)內(nèi)部網(wǎng)絡(luò)的干擾、攻擊與破壞創(chuàng)造了便利的通道。一旦企業(yè)內(nèi)部網(wǎng)絡(luò)遭受外部干擾和攻擊,將很可能導(dǎo)致企業(yè)信息系統(tǒng)遭受不良影響而中斷,甚至造成整個網(wǎng)絡(luò)系統(tǒng)癱瘓和計算機(jī)的崩潰,給企業(yè)造成巨大的經(jīng)濟(jì)損失。
2.2內(nèi)部安全存在隱患
隨著信息技術(shù)應(yīng)用的日益普遍和成熟,各煙草企業(yè)已建立起屬于自己的內(nèi)部局域網(wǎng),并開發(fā)出各種所需信息系統(tǒng),包括信息管理系統(tǒng)、生產(chǎn)銷售系統(tǒng)、辦公系統(tǒng)、綜合服務(wù)系統(tǒng)、決策系統(tǒng)等。這些系統(tǒng)共同支撐起企業(yè)經(jīng)營決策管理,大大提高了企業(yè)辦公的效率。然而,信息系統(tǒng)在給企業(yè)帶來巨大便利的同時,也給企業(yè)信息安全帶來了更多、更大的風(fēng)險,如不良信息對員工思想的沖擊,員工結(jié)構(gòu)頻繁的變化流動等,都給企業(yè)的內(nèi)部安全控制造成了很大隱患。
3煙草行業(yè)信息安全風(fēng)險的控制策略
3.1加強(qiáng)數(shù)據(jù)備份與恢復(fù),提高數(shù)據(jù)安全
數(shù)據(jù)安全是信息系統(tǒng)最為核心的一個部分,它具有兩種含義。其一,數(shù)據(jù)本身的安全,指通過數(shù)據(jù)完整性、數(shù)據(jù)加密等現(xiàn)代使用較為廣泛的加密算法對數(shù)據(jù)進(jìn)行主動保護(hù),提高數(shù)據(jù)本身的安全性。其二,數(shù)據(jù)防護(hù)的安全,指以現(xiàn)代數(shù)據(jù)存儲為主要工具對數(shù)據(jù)進(jìn)行安全防護(hù),如數(shù)據(jù)備份、數(shù)據(jù)恢復(fù)、磁盤陣列等。對于煙草行業(yè)而言,宜采用統(tǒng)一的數(shù)據(jù)備份系統(tǒng)和性能良好的數(shù)據(jù)備份軟件,以提高數(shù)據(jù)的備份和恢復(fù)功能,并按照備份策略對所有需要備份的數(shù)據(jù)進(jìn)行增量和完全備份,以提高數(shù)據(jù)的安全性。此外,應(yīng)指派專業(yè)人員對數(shù)據(jù)備份情況進(jìn)行定期檢查,以確保數(shù)據(jù)備份進(jìn)行的及時準(zhǔn)確、可靠完整。同時對數(shù)據(jù)進(jìn)行定期恢復(fù)測試,對其可用性進(jìn)行檢驗,根據(jù)數(shù)據(jù)可用性情況和備份、恢復(fù)情況對數(shù)據(jù)備份策略和恢復(fù)策略進(jìn)行及時恰當(dāng)?shù)恼{(diào)整,保障數(shù)據(jù)備份策略與恢復(fù)策略可以滿足數(shù)據(jù)備份與恢復(fù)需要。
3.2提高信息系統(tǒng)的物理安全
在信息系統(tǒng)當(dāng)中,物理安全指的是系統(tǒng)運行時所需的各種硬件設(shè)備及硬件環(huán)境的安全,這些硬件設(shè)備主要有機(jī)房及機(jī)房中的各種計算機(jī)、設(shè)備、數(shù)據(jù)存儲所需的各種介質(zhì)等。信息系統(tǒng)具備良好的物理安全是企業(yè)內(nèi)部控制安全中的一項重要內(nèi)容,是網(wǎng)絡(luò)與計算機(jī)設(shè)備硬件自身安全及信息系統(tǒng)各種硬件安全穩(wěn)定運行的可靠保障。提高煙草企業(yè)信息系統(tǒng)的物理安全,需要企業(yè)對系統(tǒng)硬件運行狀態(tài)進(jìn)行定期檢查,及時排除硬件故障,為硬件運行提供安全可靠的外界環(huán)境。
3.3提高系統(tǒng)運維安全
為確保信息系統(tǒng)可以長期安全穩(wěn)定運行,需要對信息系統(tǒng)進(jìn)行定期維護(hù),需要對系統(tǒng)內(nèi)各相關(guān)軟件進(jìn)行升級。在這一環(huán)節(jié)當(dāng)中,信息部門作為信息系統(tǒng)運行與維護(hù)的主要承擔(dān)者和主要責(zé)任者,應(yīng)對其職責(zé)范圍內(nèi)的信息安全有所了解,并以此為基礎(chǔ)做好系統(tǒng)運維記錄,做好系統(tǒng)資料與各種軟件程序的防護(hù)工作,建立完整詳細(xì)的軟硬件資源庫。在強(qiáng)化運維人員對信息安全重要性認(rèn)識的同時,對信息系統(tǒng)中可能存在的安全風(fēng)險進(jìn)行定期檢查與排除,及時獲得相應(yīng)的漏洞補丁,及時修復(fù)信息系統(tǒng)出現(xiàn)的各種安全問題。
4結(jié)語
通過上文分析可知,若想要煙草企業(yè)信息系統(tǒng)處于相對安全的運行狀態(tài)下,就需要采取各種有效的對策來對信息系統(tǒng)中存在的各種安全風(fēng)險進(jìn)行有效控制,確保全方位提高信息系統(tǒng)的安全性。只有信息安全風(fēng)險得到了有效控制,只有信息系統(tǒng)的安全性得到了切實提高,煙草行業(yè)才會快速穩(wěn)定、可持續(xù)發(fā)展下去,才會為我國經(jīng)濟(jì)發(fā)展貢獻(xiàn)一份力量。
參考文獻(xiàn)
[1]肖峰.煙草信息安全風(fēng)險分析及策略控制[J].現(xiàn)代商業(yè),2015(23).
[2]周肖肖.煙草行業(yè)電子政務(wù)項目建設(shè)中的風(fēng)險管理實踐[D].北京:北京郵電大學(xué),2009.
關(guān)鍵詞:ITIL;運維;流程
中圖分類號:TP311.52
近年來,隨著現(xiàn)代企業(yè)信息化程度的不斷發(fā)展,各類業(yè)務(wù)系統(tǒng)的不斷深化應(yīng)用,企業(yè)信息化工作所涉及的內(nèi)容,逐漸由基礎(chǔ)設(shè)施建設(shè)、信息系統(tǒng)運維、網(wǎng)絡(luò)安全保障,向引導(dǎo)業(yè)務(wù)協(xié)同、促進(jìn)流程優(yōu)化、開展數(shù)據(jù)綜合分析應(yīng)用、服務(wù)決策經(jīng)營管理等方面延伸。信息部門所扮演的角色也,逐步由綜合保障,向核心支撐轉(zhuǎn)變。各類信息系統(tǒng)已成為承載企業(yè)各項生產(chǎn)經(jīng)營活動正常開展的平臺,因而信息系統(tǒng)及其配套設(shè)施的安全和穩(wěn)定運行,直接關(guān)系著公司的正常運營。因此對于信息部門的運維管理水平,提出了很高的要求。
1 川渝中煙運維工作的現(xiàn)狀
經(jīng)過多年的信息化建設(shè),川渝中煙工業(yè)有限公司現(xiàn)有業(yè)務(wù)信息系統(tǒng)十余個,涉及公司生產(chǎn)調(diào)度、財務(wù)管理、物資采購、人力資源管理、市場營銷等范圍。并且大部分采用總部集中模式進(jìn)行部署,IT基礎(chǔ)架構(gòu)變的越來越復(fù)雜。面對如今多系統(tǒng)、多數(shù)據(jù)、多廠商和多架構(gòu)復(fù)雜現(xiàn)狀,傳統(tǒng)的IT運維管理的方式帶來的弊端逐漸顯現(xiàn):
(1)由于實施經(jīng)驗等原因,在體系建設(shè)的系統(tǒng)性、科學(xué)性和完整性等方面存在一定缺陷,沒有形成統(tǒng)一的管控模式,尚未形成規(guī)范的IT管控體系和技術(shù)支撐體系。
(2)由于信息部門人員較少,川渝中煙采用外協(xié)單位進(jìn)行運維的方式開展運維工作。在系統(tǒng)運行出現(xiàn)問題后,如何協(xié)調(diào)好不同的外協(xié)單位,相互配合處理故障,都成為了長期困擾信息部門負(fù)責(zé)運維工作的人員的難題。
(3)缺乏統(tǒng)一的集中監(jiān)控與管理平臺,無法快速定位故障源和發(fā)現(xiàn)潛在故障,缺乏預(yù)警機(jī)制。在實際工作中常常扮演救火員的角色,無法做到提前預(yù)防,主動式運維。
(4)缺乏日常運行維護(hù)工作的管理工具,目前值班、運維等工作流程還采用紙介質(zhì)進(jìn)行記錄。
(5)缺乏量化運維工作量的工具,無法對運維人員進(jìn)行有效的考核,運維工作的價值得不到直接體現(xiàn)。
建立完善的IT管控體系及制度框架,制定IT管控主要配套制度;建立各類IT管控流程,實現(xiàn)面向流程的業(yè)務(wù)管理模式;建立集中監(jiān)控管理平臺、實現(xiàn)對問題的快速響應(yīng)和及時處理,真正實現(xiàn)運行監(jiān)控可視化、事件處理自動化、運維流程有序化、服務(wù)質(zhì)量可量化的目標(biāo),從而整體提高IT運維管理水平,已成為川渝中煙信息化運維管理工作的需要達(dá)到的目標(biāo)。
2 ITIL簡介
ITIL即IT基礎(chǔ)架構(gòu)庫(Information Technology Infrastructure Library)是IT服務(wù)管理(ITSM)的最佳實踐,它具有很多成功的案例。如:寶潔公司(P&G)從1997年開始采用ITIL進(jìn)行IT服務(wù)管理,在隨后的4年中節(jié)省了超過5億美元的IT預(yù)算,運營費用降低了6%~8%,技術(shù)人員的人數(shù)減少了15%~20%。ITIL是根據(jù)實踐而不是理論開發(fā)的,英國商務(wù)部OGC(Office of Government Commerce)收集和分析全球各種組織解決服務(wù)管理問題方面的信息,進(jìn)行總結(jié)和篩選,最終了ITIL。它來源于實踐,反過來也指導(dǎo)于實踐。
本文基于ITIL服務(wù)管理體系,結(jié)合企業(yè)實際情況,對運維平臺中運維服務(wù)流程的角色定位做了相關(guān)設(shè)計,以保證相關(guān)運維服務(wù)流程能夠順利運轉(zhuǎn)。
3 基于ITIL的運維流程角色設(shè)計
結(jié)合ITIL概念的運維平臺的設(shè)計思路是以事件管理、問題管理、配置管理、變更管理和管理五個IT服務(wù)管理關(guān)鍵流程為主線建立運維服務(wù)流程;在服務(wù)流轉(zhuǎn)過程中輔以相關(guān)角色權(quán)限管理,知識庫管理以及運維考核等管理內(nèi)容,覆蓋運維服務(wù)生命周期管理內(nèi)容;流程服務(wù)與IT基礎(chǔ)設(shè)施監(jiān)控平臺等系統(tǒng)通過接口進(jìn)行對接,實現(xiàn)主動防御,主動告警的運維安全服務(wù)機(jī)制。
基于服務(wù)流程的運維管理系統(tǒng),流程中所涉及的各個環(huán)節(jié)的職能職責(zé)的明確,以及其分配的合理性,是系統(tǒng)流程正常運轉(zhuǎn)的基礎(chǔ)。因此在流程設(shè)計中,在應(yīng)用現(xiàn)有國際標(biāo)準(zhǔn)體系的同時,應(yīng)結(jié)合企業(yè)自身實際情況進(jìn)行優(yōu)化,以減少國際標(biāo)準(zhǔn)在實際應(yīng)用中“水土不服”的情況。
川渝中煙信息部門負(fù)責(zé)信息設(shè)備運維管理工作的人員僅為3人,其職責(zé)包括各業(yè)務(wù)信息系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、機(jī)房環(huán)境配套設(shè)備以及個人終端設(shè)備的運行維護(hù)管理工作,以及耗材管理,設(shè)備采購,制度制定等綜合事務(wù)。在實際的運維工作中,更多的是管理和協(xié)調(diào)相關(guān)因為單位進(jìn)行處理,故障處理的具體操作由不同的外協(xié)單位進(jìn)行。因此,在整個系統(tǒng)的流程設(shè)計中,將各運維外協(xié)單位的職責(zé)范圍定義為運維事件的處理環(huán)節(jié),而信息部門運維管理人員的職責(zé)范圍定義為對整個運維事件的各流程節(jié)點中的審批、授權(quán)、記錄和考核等管理工作。
服務(wù)臺在運維服務(wù)工作中,負(fù)責(zé)響應(yīng)終端客戶的服務(wù)請求,由外協(xié)運維人員擔(dān)任,要求能夠具備基礎(chǔ)而全面的運維知識,了解川渝中煙主要系統(tǒng)運維基本情況。服務(wù)臺通過系統(tǒng)下發(fā)工單的形式向?qū)?yīng)一線支持人員發(fā)起運維服務(wù)流程。服務(wù)臺的另一個職責(zé)是對運維服務(wù)的結(jié)果進(jìn)行確認(rèn)和記錄,以及用戶回訪。
工單生成的形式為兩種:終端用戶可通過電話、郵件和運維平臺三種方式向服務(wù)臺提出服務(wù)申請。服務(wù)臺對于無法當(dāng)場自行處理的問題進(jìn)行記錄,生成工單;監(jiān)控平臺的出現(xiàn)系統(tǒng)告警后,會自動生成系統(tǒng)工單發(fā)向服務(wù)臺,服務(wù)臺將工單向下一環(huán)節(jié)發(fā)送一線、二線支持對工單所描述的問題進(jìn)行處理,一線工程師為各外協(xié)運維單位現(xiàn)場駐場人員,負(fù)責(zé)對服務(wù)臺無法解決的時間進(jìn)行快速有效的分析,提出解決方案以盡快恢復(fù)服務(wù)。二線工程師為各外協(xié)服務(wù)單位遠(yuǎn)程技術(shù)支持。負(fù)責(zé)提供對一線支持人員無法解決的事件進(jìn)一步進(jìn)行調(diào)研,找出解決方案并盡快恢復(fù)服務(wù)。
運維服務(wù)的整個周期內(nèi),在生成工單、運維處理過程以及事件處理結(jié)束等諸多流轉(zhuǎn)環(huán)節(jié)中,系統(tǒng)均會同步抄送一份記錄發(fā)給川渝中煙信息部門運維管理員留檔。對于涉及審批授權(quán)等環(huán)節(jié)的內(nèi)容,運維管理員則是作為甲方授權(quán)人員,直接參與到流程運轉(zhuǎn)的環(huán)節(jié)中。待甲方相應(yīng)授權(quán)通過后,流程才會繼續(xù)往下運轉(zhuǎn);而在故障處理的環(huán)節(jié)中,運維管理員主要職能是運維工作進(jìn)度管理,過程審計和質(zhì)量考核,不參與進(jìn)流程運轉(zhuǎn)環(huán)節(jié),因此不會影響對于故障處理環(huán)節(jié)的具體執(zhí)行。在具體角色的分配上,采用AB角的方式進(jìn)行多用戶授權(quán),同時開發(fā)無線終端界面,結(jié)合VPN等技術(shù)實現(xiàn)遠(yuǎn)程管理,以保證流程的流暢運轉(zhuǎn)。
這種流程角色設(shè)計方案,在確保了權(quán)限審批的規(guī)范性的同時,也兼顧了故障處理的及時性,保證了運維平臺的流程運轉(zhuǎn)部分的合理性和可用性。
4 結(jié)束語
ITIL是管理科學(xué)在信息技術(shù)中的應(yīng)用,它描述了一些列基于過程的IT服務(wù)管理最佳實踐經(jīng)驗,沒有針對任何特殊平臺或者技術(shù),只是在理論上進(jìn)行指導(dǎo)。項目的關(guān)鍵在于如何結(jié)合企業(yè)自身實際應(yīng)用實現(xiàn)標(biāo)準(zhǔn)體系落地,從合規(guī)性,適用性,科學(xué)性等方面,對所有流程循序漸進(jìn),科學(xué)合理的進(jìn)行設(shè)計。
企業(yè)IT服務(wù)管理是一個長期建設(shè)的過程,以ITIL理論為指導(dǎo),需經(jīng)過不斷的應(yīng)用完善和優(yōu)化調(diào)整,來逐步形成適應(yīng)企業(yè)自身發(fā)展的IT服務(wù)管理體系。運維服務(wù)平臺作為IT運維服務(wù)管理體系的固化和落地,配套的運維管理制度,以提供制度支撐,也是確保能夠?qū)崿F(xiàn)ITIL最佳實踐的重要因素。
參考文獻(xiàn):
[1]曹漢平,王強(qiáng),賈素玲.現(xiàn)代IT服務(wù)管理:基于ITIL的最佳實踐[M].北京:清華大學(xué)出版社.
[2]Jan van Bon.基于ITIL的IT服務(wù)管理基礎(chǔ)篇[M].北京:清華大學(xué)出版社.
