緒論：寫作既是個人情感的抒發，也是對學術真理的探索，歡迎閱讀由發表云整理的11篇運維管理保障體系范文，希望它們能為您的寫作提供參考和啟發。

篇（1）

doi：10.3969/j.issn.1673 - 0194.2016.16.000

[中圖分類號]F270.7 [文獻標識碼]A [文章編號]1673-0194（2016）16-00-02

1 中國石油企業信息門戶背景介紹

中國石油企業信息門戶于2003年開始統一建設與推廣應用。采用統一平臺、統一標準規范、統一技術對其下屬企業進行建設。歷經十余年應用，企業信息門戶在企業的生產、經營和管理等方面發揮了重要的作用。各企業門戶主管部門，始終把門戶管理和運維工作作為工作重點，作為提升企業價值的重要舉措。通過注重公平公正，強化激勵約束，嚴格獎懲，不斷深化門戶機制創新，著力構建完善的門戶運維工作體系。

隨著門戶管理與運維工作的不斷推進與深化，原有工作體系存在著不足與短板，例如考核評價體系仍然需要完善，考核的力度、深度和廣度還不夠，過程評價不足，評價手段單一等。另外，通過門戶評估，能夠發現門戶網站建設、運行、管理中存在的不足，提出下一步門戶工作重點和發展目標，積極采取有效的措施完善改進，有效引導門戶健康有序發展。

隨著企業規模的不斷增大，企業必須依靠信息化促進企業經營管理水平的提升，推動企業長久發展。而信息門戶恰恰是最基本的信息技術手段，因此需要最大限度發揮門戶的服務能力，更好地為員工提供有效服務，為企業提供服務保障。因此構建大型煉化企業門戶管理與運維體系，實現門戶管理和運維的閉合回路，是非常必要的。

2 信息門戶實施內涵

構建大型煉化企業門戶管理與運維的閉合回路，即是對現行門戶管理制度、標準規范、運維流程等進行總結梳理，完善門戶考核評價等工作，通過構建門戶管理、運維、安全保障和考核評價等四個體系，環環相扣，互相影響和指導，從而形成符合企業門戶發展的、科學合理的門戶管理與運維工作體系，覆蓋門戶所有工作環節中，永遠不會脫離PDCA管理模型：策劃實施檢查改進策劃，實現了門戶管理和運維工作的閉合回路。

3 構建大型煉化企業門戶管理與運維閉合回路的主要做法

構建完善的門戶管理、運維、安全保障和考核評價等4個體系，每個體系都采用PDCA方法進行不斷建設與完善，搭建形成覆蓋企業門戶管理和運維的閉環管理環境，推動企業門戶的發展，提升門戶服務能力，促進企業管理水平的提升。

3.1 構建完善的門戶管理體系

3.1.1 門戶管理體系的內容

門戶管理體系是由制度、標準、規范、組織機構、人員和流程等內容組成。它是開展門戶工作的前提，有效的管理體系將使企業的門戶管理和運維工作制度化、規范化。

3.1.2 門戶管理體系的規劃與實施

（1）完善制度、標準和規范。制度是圍繞門戶工作各個環節而設計的一整套管理規范。立足公司實際，自上而下、分步實施、穩步推進、逐步完善，形成了企業統一管理框架，便于管理層、運維人員及用戶參照和使用。如《公司信息門戶網站管理辦法》《公司門戶建設與運行管理規定》等，規范門戶管理和運維工作，保證系統穩定、高效運行。標準是圍繞門戶工作制定的一系列可重復使用的規則、導則或特性文件。如《公司信息門戶網站編輯規范》《門戶信息格式規范》等。

（2）明確組織機構和人員職責分工，建立有效管理機制。機構設置上保證責任全覆蓋。企業門戶管理的組織機構包括公司信息化工作委員會、門戶主管部門及門戶運維部門。公司信息化工作委員會由公司領導班子成員及信息管理部領導組成，負責研究和審定公司辦法及管理制度，監督與檢查管理過程中的、重大情況的決策等，加強了對門戶工作的統一領導和綜合協調。門戶管理由辦公室牽頭，各職能部門共同參與，使管理更加便捷和精準，提高工作效率和質量，完善管理環節與工作流程。

（3）建立、完善管理流程是門戶管理工作的重要內容，要明確怎么管，如何管。

3.2 構建完善的門戶運維體系

3.2.1 門戶運維體系的內容

門戶運維體系也是由制度、標準、規范、組織機構、人員、工作流程等內容組成。它是做好門戶工作的基礎，主要涵蓋運維全部工作，要確保門戶穩定、可靠、便捷、高效和安全。

3.2.2 門戶運維體系的規劃與實施

（1）制定有關運維工作的制度和標準。在管理體系中已經建立和完善門戶制度、標準和規范，因此，在運維體系下，主要是圍繞門戶運維工作制定相應的運維制度、標準和規范。同樣也要立足工作實際，便于運維人員及用戶參照和使用。例如制定完善《企業門戶網站運維工作細則》《門戶網站用戶操作手冊》《門戶網站管理員日常操作手冊》《門戶網站功能模塊維護手冊》等，涵蓋運維所有工作內容，要制定表單跟蹤，規范門戶運維工作，保證系統穩定、高效運行。

（2）明確組織機構和人員職責分工，構建有效運維機制。一般都是由企業信息部門承擔運維工作，或者企業信息部門和下屬單位共同承擔。人員分為專責和兼職兩種。

（3）完善和梳理工作流程，門戶系統運維工作大體分為如下五個方面。

第一，門戶建設和維護。主要包括門戶網站的新建與改版、專題新建與維護、門戶功能的擴展等內容。由用戶填寫《門戶建設（變更）申請表》交由運維部門操作、執行、反饋并存檔。

第二，門戶系統權限運維。主要對信息采編、文檔庫、網站、網站集權限等進行變更、維護與管理。由用戶填寫《門戶權限變更申請表》并由運維部門授權、反饋和存檔。

第三，門戶系統軟件運維。主要對系統軟件包括服務器操作系統、數據庫等進行運維。操作系統主要是對日志、補丁更新、接口等進行監控、優化和故障排查等。數據庫主要是對數據備份、數據恢復、數據庫優化、故障排除等進行運維。備份工作確定好增量備份和完整備份的時間、方式，以及數據保留周期等，填寫《門戶數據備份日志》進行留存。

第四，門戶系統硬件運維。主要是對硬件設備（服務器、存儲等）的日常巡檢，定期檢查和維修，保障設備的正常運行。運維人員巡檢填寫《門戶巡檢記錄》，維修需要填寫《門戶硬件維修表單》等存檔。

第五，門戶系統客戶端運維。針對最終用戶在使用過程中出現的問題進行處理，保障其應用正常。運維人員根據日常處理情況填寫《問題記錄日志表單》。

針對整體運維情況，企業可統計《門戶運行周報》或《門戶運行月報》，進行分析總結，記錄相應信息。

3.3 構建完善的門戶安全保障體系

3.3.1 門戶安全保障體系的內容

門戶安全保障體系也是由制度、標準、組織機構、人員、工作內容組成。完善的安全保障體系能夠有效預防各類事故的發生，減少突發事件帶來無法預估的工作量和影響。

3.3.2 門戶安全保障體系的規劃與實施

（1）完善門戶安全制度和標準。持續完善《門戶信息保障措施》《門戶突發事件應急預案》《門戶風險管控手冊》等制度，實現安全工作規范化。

（2）組織機構和人員分工。機構設置滿足門戶信息安全需要，一般參照上述管理體系和運維體系提及的部門共同承擔，企業信息部門為主要責任部門。

（3）安全防護工作主要包括以下三點內容。

第一，監控平臺。利用當前先進技術手段，建立安全保障系統，提高信息數據的采集、存儲、處理等各個環節的安全性，逐步完善，形成穩定的安全保障體系。持續對門戶網站進行漏洞掃描、掛馬監測、敏感內容監測、域名監測、釣魚監測、平穩度監測及篡改監測等安全監測，及時發現網站掛馬事件、被黑事件、安全漏洞等問題，確保門戶網站安全運行。

第二，風險管理。運維人員在做好門戶基礎運維工作的同時，還應該保障系統的軟硬件及數據安全，加強風險識別和防范能力，提前預估可能出現的風險；針對較高的風險制定應急措施，保障門戶系統安全；特別針對信息審核和，一定要嚴格按制度執行，做好輿情管理。

第三，應急處理。發生突發事件時，迅速發現并定位，按照應急預案進行快速響應，使影響最小。同時應該強化運維人員的應急反應能力，通過定期組織應急演練，并對演練的結果進行總結分析，增強運維人員處理突發事件應急能力。

3.4 構建完善的門戶考核評價體系

3.4.1 門戶考核評價體系的內容

將門戶工作納入公司信息化考核體系，制定考核和評價指標，分層次比照，加強考核與評價。建立考核和激勵機制，對用戶、運維人員和管理人員進行考核，對失誤的地方予以批評指正，對提高、改進的地方予以獎勵，充分調動人員的積極性、主動性，及時發現問題，消除潛在的隱患，促進全過程價值創造，進一步提高運維管理的水平。

3.4.2 門戶考核評價體系的規劃與實施

考核不僅僅是評價和監督更是激勵。完整的考核評價體系能有效發掘員工的潛能，提升業務能力和技術能力，進而提升整體運維水平。

（1）全要素評價。對門戶的考核不僅包含工作完成情況，還包含服務滿意度、故障處理及時率、系統暢通率、設備完好率、維護及時率、培訓情況等以及人員日常工作表現和素質能力的評價。

（2）全過程控制。貫穿整個門戶工作中，結果性指標與過程性指標相結合，日常考核與年終考核相結合。將考核內容量化，按規定的程序和頻率進行考核評價。

考核結果應擴大化、直接化、顯現化，與績效獎金直接掛鉤。按照公開公平公正的原則，保證考核制度公開、目標設定公正、考核過程規范、考核結果公平，充分調動人員的積極性。還要考慮激勵約束并重，堅持結果考核與過程評價相統一，激勵與約束相配套，責權利相統一，考核結果與績效獎金、培訓發展等緊密掛鉤。

4 結 語

企業信息化就是利用信息技術搭建支持企業生產經營管理的運行平臺，通過資源的有效利用，實現降本增效，提高企業核心競爭力。信息門戶作為企業最基本的信息技術手段，企業應從管理、服務和業務發展角度出發，建立完善的門戶管理運維的閉合回路，提高門戶服務水平和能力，保障信息系統高效安全運行，從而為企業信息化建設提供有力支撐。

篇（2）

1 綜合治理信息安全的戰略背景

 

IT管理技術發展歷程，從被動管理轉向主動管理，從服務導向轉向業務價值。在科學的IT管理方法論方面形成了一系列標準：諸如ITIL/ITSM以流程為中心的IT管理行業標準;ISO20000ITIL 的國際標準; COBIT面向IT審計的IT管理標準;COSO企業內部控制框架，面向內部控制;ISO17799：信息安全管理國際標準。當前有很多非常好的綜合性標準與規范可以參考，其中非常有名的就是ISO/IEC27000系列標準。ISO/IEC 27001通過PDCA過程，指導企業如何建立可持續改進的體系。

 

目前企業IT運維管理現狀。需求變化：IT本身快速變更;管理目標多角度變換并存。資源不足：IT 復雜性成長快于人員成長;IT 人員持續流動。業務影響：難以判斷事件對業務的影響和處理事件的優先級。信息孤島：IT 資源多樣性的，不能進行事件的關聯分析，缺少統一的健康視圖。IT網絡與信息系統運維存在監測盲點，缺少主動預警和事件分析機制。

 

如何把此項復雜的工程進行細化與落地，建立信息安全保障框架?在企業有限的IT資源(包括人員、系統等)等的前提下，IT運營面臨嚴峻的挑戰，企業多半缺乏信息系統應用開發能力，在很大程度上依賴于產品開發商的支持，為此，要想實現從混亂到清晰、從被動到主動、從應付到實現價值取向的服務思想，自主加外包的混合運維方式無疑是一種好的服務方式。

 

2 建立和實施信息安全保障體系思路和方法

 

針對IT管理問題和價值取向的服務方式，借鑒PDCA工作循環原理和標準化體系建設方法，從建立安全目標和組織體系、制度體系和技術體系等三個主要層面構建實施信息安全保障體系，以規范引導人、以標準流程引導人，以業績激勵人，從而促被動變主動，堅持持續改善，促進工作效率，促進安全保障。

 

2.1 建立和推行目標管理

 

體系建設應以目標管理為先導、循序漸進，按頂層布局、中層發力、底層推動內容設計與構建，為此，借鑒當前IT運維管理目標演進方式，確立各階段建設目標。

 

基礎架構建設階段(SMB)，手工維護階段。主要實現IT基礎架構建設。

 

網絡和系統監控(NSM)階段，重視自動化監控階段。主要實現IT設備維護和管理。

 

IT服務管理(ITSM)階段，重視流程管理階段。主要實現IT服務流程管理。

 

業務服務管理(BSM)階段，重視用戶服務質量與滿意度。主要實現IT與業務融合管理。

 

從IT投入和業務價值來看，前三個階段是間接業務價值，第四階段才是直接業務價值。

 

根據ITIL這個IT服務管理的方法論，先是搭建一個框架，借用工具的配合促進落地。如圖1、IT運維管理系統參考模型。

 

從安全目標出發，結合IT運維管理系統參考模型，每個階段的工作向著實現直接業務價值，不斷消除或減輕對性能的約束，促進IT產品或服務滿足確定的規范，實現企業效益最大化。服務好用屬性通過最終的績效和檢驗結果監視測量價值成分。如圖2。

 

2.2 規劃融合信息安全保障體系

 

通過從組織體系、制度體系、技術體系層面建立和實施縱深防御體系，實現穩健的信息安全保障狀態。

 

①組織體系：通過企業中高層的支持實現業務驅動和共同推動信息安全體系建設。當然，需要提出的問題，組織有可能要依賴長期可靠的合作伙伴：通過長期可靠的合作關系，快速引進外部專業資源和先進技術，可以幫助企業推動信息安全建設工作。為了幫助組織內外信息系統人員更好地遵守行業規范及法律要求，企業實施IT網絡與信息系統安全運維體系標準，組織應做到定期對全體員工進行信息安全相關教育，包括：技能、職責和意識，通過相關審核，證明組織具備實施體系的意識和能力。

 

②制度體系：企業IT網絡與信息系統安全運維系統建設的范圍包括機房安全、數據安全、網絡安全、服務器安全、業務應用安全、終端安全等。為此，企業應明確內部運維和外部協同的內容及其標準規范，包括績效標準。建立實施IT網絡與信息系統安全運維體系標準，首先把高效的信息安全做法固化下來形成規則制度或標準，成為組織中信息安全行為準則。保證事前預防、事中監控和事后審計等安全措施的得到有效執行與落實。

 

③技術體系：一般來說，網絡設備技術體系可以按照從上到下信息所流經的設備來部署工具。即從數據安全、終端安全、應用安全、操作系統與數據庫安全、網絡安全、物理安全六個方面來選擇不同的安全工具。按照“適度防御”原則，綜合采用各種安全工具進行組合，形成企業“適用的”安全技術防線。適時根據風險評估的結果，采取相應措施，降低風險。

 

其中，需要采用1～2種綜合管理的工具來幫助把所有的安全監控工具進行統一管控。例如SOC是給企業日常維護管理者使用，ITRM作為綜合風險呈現，是給企業風險或安全管理層使用。

 

④體系運行和監控：體系的日常運行和監控就是從信息的生命周期進行流程控制，即在信息的創建、使用、存儲、傳遞、更改、銷毀等各個階段進行安全控制。之前不能忽視在信息創建開發安全階段的一個細化控制手段。在運行體系建設中，往往需要結合流程分析來關注信息的生命周期安全。運行過程中還有一個應急管理，包括災備中心建設、業務連續性計劃、應急響應等等都有相應的標準與理論支持。特別是BS25999標準的頒布，給如何建立一套完善的應急體系提供了參考。

 

3 企業建立和實施信息安全保障體系實踐

 

面對網絡系統互連，網絡技術與設備的安全管理規范的完善這個復雜而且浩大的工程，井岡山卷煙廠不僅依靠個體分散的技術措施或者管理防護，而且結合國家、社會和個人的力量構建綜合保障體系。

 

①依據ISO9000、ISO14000和OHSAS18000標準，國家計算機網絡和信息安全相關法律法規，參考當前科學的IT管理方法論方面形成了一系列標準，結合YC/T384煙草企業安全生產標準等，識別這些與信息安全相關的法律法規及其它要求，將信息安全保障體系(框架)融合到企業質量、環境和職業健康安全(以下簡稱為三標)綜合管理體系。

 

②確定信息安全管理目標并分步實施企業三年信息化發展規劃。自2012年開始，企業對照YC/T384煙草企業安全生產標準要求，在梳理和評價2000年以來企業多個企業信息化三年實施規劃實踐環境以后，制訂了新的三年信息安全管理目標和建設規劃，將目標和規劃分解到各年度實施，并納入到企業年度三標綜合管理體系建設目標和管理績效考核。

 

③建立信息安全管理組織和工作標準，同時納入三標綜合管理體系管理考核。從體系結構上促成企業作業層、管理層(中間層)和決策層的信息化，實現企業的物資(服務)流、資金流和信息流的一體化，及時、準確和完整地傳遞企業的經營數據，保證企業的經營管理。利用信息化改進管理，形成企業信息安全文化，促進員工接受、理解和主動配合，不斷提升全員的信息安全意識和技能，從而使信息安全管理真正落到實處。

 

④建立和實施信息安全保障體系文件標準。根據國家信息安全相關的法律法規及其它要求，結合行業和企業的特點和發展趨勢，規范管理流程和模式。網絡與信息系統建設“立足長遠、分步實施、突出重點”，做到“統一規劃、統一標準、統一平臺、統一編碼”，同步實施信息系統等級保護制度，促進企業與信息系統項目合作單位、地方通訊和公安等部門的社會化合作主要方式。企業內部各項工作實現規范化、信息化，做到一切工作都按照程序辦，同時，事事處于相互制衡的環境之下、人人處于監督管理之中，從而形成職責明確、運轉協調、相互制衡的工作機制，為企業內部信息安全監管提供強有力的保障。

 

篇（3）

中圖分類號：TP309 文獻標識碼：A 文章編號：1674-098X（2016）12（b）-0100-02

電力公司的安全防護體系根據省、市、縣安全防護不同層面防護要求各有側重、相互支撐、互為補充。根據各信息系統重要程度設計安全防護體系“三橫四縱”的總體架，建立信息安全防護體系。

1 信息安全防護策略設計目標

信息安全保障體系的建設緊緊圍繞安全管理、安全技術和安全運維3個方面，在每個方面都有相應的具體目標。達到這個目標就能為綜合服務平臺構建一個多層次、多角度的立體縱深防御體系。

安全管理的建設目標：

確定安全組織和責任劃分，確定安全策略，確定信息資產分類和分級。

實現安全變更管理、安全補丁管理、安全備份管理、應急響應計劃、業務持續性計劃、安全核心流程。

安全培訓與教育、安全控制要求：

對信息資產進行風險評估，達到ISO27001管理標準。

安全技術的建設目標：

根據業務需求劃分不同的安全域，安全邊界進行防護。

實現安全系統強化功能、建立網絡和主機入侵檢測機制、實現高危數據加密傳輸、關鍵系統的日志審計、建立病毒防范體系、建立身份認證體系、訪問控制體系、遠程訪問安全機制。

建立數據安全存儲體系、時間同步機制、集中安全審計體系、安全事件管理平臺。

安全運維的建設目標：

建立定期風險評估機制。

定期對日志進行審計、定期進行滲透測試。

完善安全信息上報機制、定期對安全策略和標準進行評估和修訂。

顯示安全的運維外包。

2 電力信息安全建設體系內容

電力信息系統信息安全保障體系采用了“三橫四縱”的總體架構，即橫向上分為3個層次，分別為應用層、技術層、管理層；技術層次中縱向又分為4種主要體系，即以基礎安全服務設施、數據安全保護、網絡接入保護、平臺安全管理為支柱，信息安全基礎設施為基礎，通過信息安全管理體系為業務應用提供可靠的安全保障。

一是應用層。這是安全保障體系的主要對象。信息化建設的終極目標是提供給用戶好用、易用、夠用的應用系統，應用系統是為了滿足不同用戶的不同業務需求，安全保障體系保障的核心就是應用系統及其數據。

二是技術層。這是信息安全保障體系的主要體系。目前包括技術支撐體系、技術保障體系、網絡信任體系、安全服務體系。這4種體系已經經過多年的探索和建立，應該說已經覆蓋了技術上的所有方面。

三是管理層。包括等級保護安全策略、安全管理制度、法律法規和技術標準。通常說“三分技術、七分管理”，再好的技術也需要完善的管理才能保證技術發揮最大的效能。

3 信息安全防護設計

電力系統是一個由內網、外網兩種網絡域構成的龐大信息系統。各個網絡域執行著不同的服務內容：內網是一個完整的電力系統辦公自動化環境，外網擔負著與公眾間信息溝通的責任。

如此復雜的應用環境給系統帶來了大量潛在的安全隱患：黑客利用外網或專網攻擊內部網絡、數據在傳輸過程中的泄露、網頁遭篡改、偽造身份進入系統、操作系統漏洞、病毒等。這些安全隱患不可能依靠某種單一的安全技術就能得到解決，必須在電力信息系統整體安全需求的基礎上構筑一個完整的安全服務體系。

構建一個完整的安全防護體系有組織地實現上述安全需求，我們提出的安全保障平臺由基礎安全服務設施、數據安全保護、網絡接入保護、平臺安全管理組成。

（1）基礎安全服務設施。

基礎安全服務設施防護設計主要包括部署平臺的應用系統的身份認證與訪問控制、基礎環境安全保護（訪問控制、防火墻、入侵檢測、安全審計、VPN）。

（2）數據安全保護。

數據安全保護方案是為部署在電力信息系統提供數據傳輸、數據訪問和數據存儲備份恢復的安全保障措施，主要分為4類：應用保護、數據傳輸交換保護、數據備份與恢復設計。

（3）網絡接入保護。

統一管理集中建設互聯網接入點，實現電力各部門互聯網的安全接入和可管可控可剝離；各部門在統一的安全技術體系下，根據各自信息下發指令信息包括針對省級安全等級，建設、升級、完善安全系統；依托平臺建設省級安全接入機制，實現與接入統一監控、統一管理和統一服務。

（4）平臺安全管理。

安全管理體系是信息安全保障體系建設的一個重要環節，安全管理體系的建設內容包括：建立完善等級保護安全管理機構、安全管理制度、人員安全管理、系統建設運維管理、系統運維管理。

4 結語

該課題對電力公司信息安全防護策略和防護設計進行研究，電力信息化安全服務平臺也基于電力信息系統安全需求設計安全防護體系，面向系統管理員、安全管理員提供安全保障，為各級信息化安全管理對安全監管、信息共享和提供安全保障支撐。

參考文獻

[1] 高鵬，范杰，郭騫.電力系統信息安全技術督查策略研究[C]//電力通信管理暨智能電網通信技術論壇論文集.2012.

[2] 余勇，林為民，俞鋼.電力信息系統安全保障體系的研究[C]//2004年世界工程師大會電力和能源分會場論文集.2004.

篇（4）

2.IT建設和運維現狀。卷煙企業是以煙草原料制成各類煙制品的生產制造企業。近年來隨著煙草行業信息化建設蓬勃發展，經過多年信息化建設，卷煙企業在管控層和執行層分別部署了眾多的信息化系統，取得了很大的成績。經過數次ERP項目建設，全面覆蓋了卷煙企業生產經營全過程，使卷煙企業信息化建設工作得到進一步落實[3]，促進了卷煙企業管理水平的進一步提升，實現了業務流程標準化和規范化，實現了卷煙企業生產管理、財務業務工作一體化，實現了項目及預算管理有效監管與控制，實現了物流、資金流、信息流集成和統一，基本形成了計劃—運營—總結與反饋—提升的閉環，全面提升了卷煙企業管控能力，為提升以管理競爭力為中心的卷煙企業核心競爭力打下堅實基礎。卷煙企業引入ITIL管理方法，通過分析IT運維現狀，梳理IT維護服務流程、完善運維管理制度等措施，加強IT運維管理，有效地保障了卷煙企業信息化業務的正常運行。但是ITIL實踐仍處于探索階段，且理論的實踐不單是技術的層面，更需要結合卷煙企業文化和管理方法進行開展。因此需要充分分析現行卷煙企業信息化建設現狀和IT運維管理存在的問題，逐步實施，達到ITIL思想與卷煙企業信息運維工作的有效融合。

3.信息化面臨的挑戰。在煙草行業處于迅猛的發展時期，業務的多變性導致信息體系運維建設也不可避免會出現一些問題主要表現如下：應用系統功能定位不夠清晰：部分系統基于業務部門的自主需求建設，在建設前，缺少統一的規劃，例如市場調研系統、工商協同平臺、營銷信息采集系統、產銷協同等，導致部分功能重疊、信息孤島現象出現、信息資源利用不充分[4]。應用系統功能覆蓋不夠全面：目前在各業務管理系統中還缺乏對采購、物流前期監管、招標及其客商、消費者等方面的管理功能；在電子政務系統中缺少對法律、審計、知識、標準、流程、黨務等事務信息化功能及信息系統等業務支持不足等。應用系統之間缺乏有效集成：由于缺乏統一軟件平臺標準和集成管理規范等原因，各系統供應商提供的系統相對獨立，存在數據不能被充分利用、數據接口、數據轉換困難的現象。如：ERP系統中產、供、銷在計劃層面的聯動不夠；部分采購業務與供應商評估沒有集成；ERP、MES、產品研發、辦公協同系統（OA）等系統之間也存在相當一部分業務數據重疊，需要進一步集成。由于缺少對IT系統的有效管理，加上自動化系統具有復雜性、綜合性及連續性等特點，使得傳統的卷煙企業信息運維管理處于被動、孤立的狀態。如何確保這些系統始終處于最佳運行狀態，并使之能根據需求的變化及時進行相應的調整，已成為卷煙企業高度關注的問題。越來越多的卷煙企業信息部門開始反思如何更好地實現IT系統的價值，提供更好的系統維護手段和方法來支撐業務的穩定、高效及安全發展。通過進一步總結信息系統運維經驗，認為提高整體工作質量、減少各類技術故障，提高IT服務和運維管理已成為此項工作亟待研究的新課題，這也是卷煙企業迫在眉睫需要解決的問題。

二、基于ITIL方法的運維應用研究

1.IT運維管理應用的探討

卷煙企業綜合信息化中既有流程性的內容，又有離散系統的特點，在整體的信息化系統建設和應用中涉及采購、運輸、存儲、調度、生產、計劃及驗收等諸多卷煙企業業務，內容從煙葉購進、倉儲醇化到制絲、卷包；從MES數據采集到ERP數據對接、BI數據挖掘，其IT服務、運維管理配置，網絡覆蓋，IT運維管理總體要求更高，而借鑒ITIL方法論對構建卷煙企業綜合信息化運維管理具有。ITIL內容寬泛，側重于IT系統的運維，目標是通過有效的流程管理達到提高IT部門服務質量。從卷煙企業IT運維管理的現狀來看，ITIL已經成為推進IT運維體系建設和日常操作管理的首要標準和最佳實踐參照。卷煙企業應重點地應用ITIL核心思想方法，建立適合卷煙企業特色的IT運維管理體系，提高IT運維管理的效率和規范性，保障卷煙企業IT系統和設備的持續穩定運行[5]。

2.設計符合卷煙企業特點的運維管理平臺

全面探索“設計符合卷煙企業特點的運維管理平臺，參照戴明環PDCA在運維過程中制定有計劃、有執行、有績效、有改進的日常運維操作手冊，其內容涵蓋定期進行運維風險管理，日常運維管理及運維故障響應管理三大部分，形成事前

有預防，事中有監控，事后有補救位于執行層的詳細工作指南。同時在伴隨著信息技術發展和實際應用需求的提高，對原有單純對底層信息基礎設施的運維、管理的模式進行改造建設。在確立信息化工作向服務模式轉變后，探索新形勢下的IT保障體系，以運維和安全為兩個著力點，為飛速增長的業務提供穩固的支撐。以“提升服務、規范管理”為目標，建立卷煙企業IT運維管理平臺，提升運維服務水平。運維管理平臺整體架構分為三層：IT監控層、運維管理層和綜合展示層。IT監控層包括集中監控中心、安全管理中心和呼叫中心，主要目標是對業務應用（OA、生產系統、行業系統、業務用戶等）、基礎架構設施和安全設備的集中監控與分析實現IT運維可視化；運維管理層包括服務流程管理、業務資源管理和安全管理，主要目標是對運維日常工作流程、IT資源進行管控實現IT運維規范化；綜合展現層包括綜合管理中心，具體提供統一事件管理、網絡狀態監控、系統運行狀態監控、業務狀態監控、拓撲管理、趨勢預警分析、服務管理、系統維護、權限管理、報表管理、知識管理、故障管理、告警管理、質量評價等功能實現IT運維可控化。

3.落實卷煙企業IT服務管理的關鍵因素

（1）運維中心組織架構的建立。IT運維能力提升目標：建設統一管理體系：即基于ISO20000標準與ITIL最佳實踐，結合企業現有的信息化管控體系建設內容建立一套符合企業的標準運維服務管理體系與流程，規范與標準化IT服務，確保有效提升服務水平與服務質量。將從人員、流程、技術三方面進行建設：運維服務層面：結合寧波卷煙企業現狀，組成由信息化部門、專業運維廠商、應用開發商的三級IT運維管理團隊。管理體系建設層面：梳理IT運維服務流程，建設符合ITIL規范的流程體系，細化IT運維規范和操作安全規范，建設IT服務管理體系[6]。運維管理平臺建設層面：通過建設運維管理平臺，從技術上實現運維故障主動告警，運維事件自動派單，運維流程全面管控。針對企業已有的IT基礎架構及業務應用系統，進行企業IT運維體系設計，分步實施并部署適用于企業的IT運維管理系統，實現對IT資源集中化、統一化、一體化的管理，實現IT服務的有效配置以及利用運維工具對應用系統的主動管理，保障企業擁有高效、穩定、可靠、安全的信息化運行環境。ITSM作為ITIL的具體實現形式體現。管控層：在管控層面主要建立管理計劃、執行控制、定期檢查、績效考核等內容，確保IT運維管理可控。執行層：在執行層面主要建立主動監控、定期檢查、事件處理、供應商協調、報告及分析，確保IT運維執行有序。

（2）建設運維服務團隊。運維服務層面，打造由卷煙企業信息中心、專業運維廠商、應用開發商組成三級運維管理團隊，建立規范的信息運維體系，創建面向客戶的信息化服務模式，提供有價值的信息化專業服務，整體提高信息化管理水平，更好地服務于企業生產、經營活動。信息中心需要確保運維所需的過程得到建立、實施和保持，并且能夠履行決策、協調、指揮、控制、監督、指導等職責。從這個角度出發，運維服務需要在信息中心的統籌運營管理下，通過建立運維管控層和運維執行層，來實現對所有應用系統服務需求的受理、派工、追蹤、反饋和考核。通過建設IT運維管理團隊，通過設立統一服務臺，細化運維專業分工，實現運維與開發的分離，實現運維團隊專業化。通過梳理IT服務流程，細化IT運維規范，建設IT服務管理體系，實現運維流程規范化。通過建設IT服務管理系統及IT集中監控系統，從技術上實現運維管理的可視、可管、可控，實現運維技術自動化。以此，在滿足對信息資源進行統一管理、完善應急能力、降低運行成本、提高服務質量和效率的同時，更需要在保障所有業務應用系統正常運行的情況下開展工作，體現信息相關投資的價值，保障信息系統的可用性、可靠性，及信息應用系統自身的持續發展[7]。

（3）運維管理體系制度建設。運維管理層面上，將建設集運維預防控制體系、運維事中操作控制體系和運維事后恢復控制體系為一體的運維管理制度體系，從組織、流程與規范三方面保障全區運維服務。運維安全管理制度體系：建立一套運維安全保障體系制度，該制度是《運維安全體系制度》和《運維管理體系制度》二套體系的整合。其主要目標是確保運維體系在戰術層上的正確性。實現運維預防體系中建設的運維管理體系建設運維安全管理制度體系采用“三個層面，四級文件”的制度制定方式，根據信息化建設的現狀和未來的發展趨勢，結合ITIL、COBIT、等級保護的理念和精髓，對原制度的缺陷進行完善和改進，給出科學的管理建議。

篇（5）

作為試點之一的重慶市工商管理局的規模大概有1萬多工作人員、44個區縣分局、400多個工商所，擁有5000多臺計算機和網絡設備，而數據庫是大集中、大聯網的。正是由于這種數據大集中所帶來的業務大輻射、大交叉，使得安全管理也呈現出更加復雜的結構。

所以首先就是要搞清數據資源的需求，明確各自的實施范圍。重慶市工商局在解決業務開展中遇到的問題的過程中形成了“以信息安全主管職能部門為主導、數據大集中部門為主體、專業技術機構為支撐”的安全管理模式。

其次，將數據安全保障的重點進行排序，將“數據完整性”和“數據/系統可用性”放在了首要的位置，然后是與試點單位“業務敏感性”相關的“數據機密性”。將這三個保障目標分別映射到“數據安全”、“應用安全”、“主機/平臺安全”、“網絡安全”和“物理安全”五個技術領域。

最后，就是要保障數據大集中信息系統提供的各項服務具有連續性。數據大集中帶來的是數據越集中，電子政務工作對信息系統的依賴性越強，連續工作的要求就越高，所以一定要保證它的連續性。

另外，重慶在試點中總結了一套系統工程實施的方法。其中“三分析一篩選”方法是為了區分同屬數據大集中模式，但處于不同發展階段的電子政務系統，主要方法是“依次分析數據特征、業務特征和應用需求，然后篩選安全保障措施”。

而風險評估是等級保護的起點和依據，風險評估與等級保護之間的內在聯系是重慶市試點的重要任務之一。在試點工作中將信息安全風險評估的三個流程“資產識別”、“安全威脅分析”和“系統脆弱性評估”與電子政務信息安全等級保護的三個階段“進行定級”、“規劃與設計”和“實施、驗證與運維”進行嫁接，摸索出了一條“123Y立方”工程化實施的方法。

實施效果

1．重慶工商模式

篇（6）

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2013）14-0137-02

油服信息技術應用與集中程度的不斷深入提高，信息安全保障體系建設工作已成為信息化建設過程中的重要組成部分。油服具有地域分布廣、業務復雜多樣等特點，在信息安全形勢多變的情況下，獨立分散的安全措施已無法更好地滿足安全防護需求。信息安全若不能得到很好的保障，將給公司的業務正常運作及辦公穩定性、高效性和有效性帶來影響。因此，需完善公司的信息安全政策方針、規劃并建立符合油服實際情況的信息安全保障體系，采用先進的安全管理過程模式，完善信息安全管理制度與規范，提高員工的信息安全意識，提升風險控制及保障水平，以支撐油服核心業務的健康發展。

1 信息安全保障體系

1.1 信息安全保障體系建設需求

油服在信息安全方面已部署了部分信息安全防護措施，如劃分安全域、部署邊界訪問控制設備、配備入侵防御系統、部署統一的防惡意代碼軟件等。與此同時，每年都開展信息系統安全測評工作，對公司的信息系統進行安全等級測評差距分析、安全問題整改咨詢核查以及滲透性測試等，從而能夠較為全面的掌握當前各信息系統和信息安全管理制度的建設、運維和使用情況，以提高信息系統的安全防護能力。但從總體來看，仍缺乏信息安全保障體系框架，總體安全方針和策略不夠明確，安全區域劃分不夠細致，網絡設備和重要服務器的安全策略缺乏統一標準，未部署安全運維管理中心，無法真正起到縱深安全防御的效用。

1.2 信息安全保障體系目標與定位

信息安全保障體系的建設要結合油服的信息安全需求、網絡應用現狀及未來發展趨勢，在風險評估的基礎上，明確與等級保護相適應的安全策略及具體的實施辦法。對全網進行合理的安全域劃分，技術與管理并重的同時，以應用與實效為主導，從網絡、應用系統、組織管理等方面，保障油服信息安全，形成集檢測、響應、恢復、防護為一體的安全保障體系。

2 油服信息安全保障體系架構模型

油服信息安全保障體系框架采用“結構化”的分析和控制方法，縱向把保護對象分成安全計算環境、安全區域邊界和安全通信網絡；橫向把控制體系分成安全管理、安全技術和安全運行的控制體系，同時通過“一個安全管理中心”的安全管理概念和模式，形成一個依托于安全保護對象為基礎，橫向建立安全管理體系、安全技術體系、安全運行體系和安全管理中心“三個體系、一個中心、三重防護”的信息安全保障體系

框架。

2.1 安全管理體系

根據等級保護基本要求的相關內容，信息安全管理體系重點落實安全管理制度、安全管理機構和人員安全管理的相關控制要求。

2.2 安全技術體系

根據等級保護基本要求的相關內容，通過安全技術在物理、網絡、主機、應用和數據各個層面的實施，建立與實際情況相結合的安全技術體系。

2.3 安全運行體系

根據等級保護基本要求的相關內容，信息安全運行體系重點落實系統建設管理和系統運維管理的相關控制要求，并與實際情況相結合，形成符合等級保護要求的信息安全運行體系

框架。

2.4 安全管理中心

根據等級保護基本要求和安全設計技術要求的相關內容，通過“自動、平臺化”的方式，對信息安全管理、技術、運行三個體系的相關控制內容，結合實際情況加以落實。

3 油服信息安全保障體系架構設計

3.1 安全管理體系架構設計

信息安全管理體系架構的設計可從以下3方面開展。

3.1.1 信息安全組織

油服信息安全組織為信息安全管理委員會，各業務部門為信息安全小組，部門經理為本小組的第一安全責任人。同時，定義了組織中各職能角色的職責，以此指導信息安全工作開展。

3.1.2 信息安全制度

油服的信息安全制度一方面能及時反映公司的信息安全風險動態，便于靈活地修訂與更新；另一方面確保信息安全技術與管理人員及用戶能夠了解哪些是禁止做的，哪些是必須做的。

3.1.3 人員安全管理

在人員安全管理方面，可以通過對人員錄用、調用、離崗、考核、培訓教育和第三方人員安全幾個方面進行設計。

3.2 安全技術體系架構設計

信息安全技術體系架構設計可從以下3個方面開展。

3.2.1 信息安全服務架構

信息安全服務架構設計分為保護、檢測、響應與恢復四個環節，實現對信息可用性、完整性和機密性的保護，監測檢查系統存在的安全漏洞，對危害系統安全的事件行為做出響應

處理。

3.2.2 信息技術基礎設施安全架構

信息技術基礎設施安全架構以網絡安全架構為主體，結合系統軟硬件進行安全配置和部署。網絡安全架構的規劃根據網絡所承載的應用系統特性和所面臨的風險劃分不同的網絡安全域，并實施安全防護措施。

3.2.3 應用安全架構

應用系統的信息安全保障是在信息技術基礎設施安全架構上，更多地關注已有的信息安全服務是否被充分利用。為滿足業務系統對信息安全的需求，通過在業務系統中實現集成保障信息安全的機制，從而達到信息安全技術控制要求。

3.3 安全運行體系架構設計

油服信息安全運行體系架構設計主要從以下3個方面開展。

3.3.1 信息系統安全等級劃分

油服信息系統安全等級劃分從信息資產等級、網絡系統等級和應用系統等級三個方面進行定義。

3.3.2 信息安全技術控制

信息安全技術控制是由系統自身自動完成的安全控制。主要在信息系統的網絡層、系統層和應用層，包含身份鑒別、訪問控制、安全審計等五大類通用技術。

3.3.3 信息安全運作控制

信息安全運作控制是在油服業務運作和信息技術運作過程中進行實施的運作類安全控制，包括控制針對的主要風險點及具體分類。

4 結束語

在油服業務不斷拓展，國際化步伐不斷深入的過程中，信息系統在公司發展中的作用和地位日趨重要。公司對信息系統的依賴性也在不斷增長，信息安全也愈發重要。健全油服信息安全保障體系，為實現“制度標準化、工作制度化”的管理常態奠定了堅實的基礎。油服信息安全保障體系不僅從物理網絡安全、系統應用安全、數據和用戶安全等方面入手，還從安全域劃分、安全邊界防護、主動監控、訪問控制和應急響應等方面綜合考慮，進一步加強落實信息安全等級保護的基本要求，初步實現對網絡與應用系統細粒度、全方位的安全管控，從而更為有效地提升了油服在信息安全方面的管理水平。

參考文獻

[1]馬永.淺談企業信息安全保障體系建設[J].計算機安全，2007（7）：72-75.

[2]王朗.一個信息安全保障體系模型的研究和設計[J].北京師范大學學報（自然科學版），2004（2）：58-62.

篇（7）

1.在基礎平臺建設的同時開展全面、有效的安全體系規劃和建設；2.選用最可靠最穩定的安全產品構建安全防御系統；3.在最大限度保障安全運行的同時，又兼顧良好的運行效率；4.全面兼顧安全技術、業務運維流程和人員在信息安全保障中的積極協調作用；5.有效監控全網的安全情況，快速發現可能的安全隱患和異常行為；6.實現7×24×365的安全運行狀態監控與安全運行維護處理；7.建立完善的應急響應機制和流程；8.在短短兩個月時間內高效率、高質量地完成所有的工作。

一套平臺 兩種思想 三個系統

國家棉花市場監測系統安全建設和保障工作涉及到安全體系規劃、安全系統集成、安全運維管理、信息安全專業服務、高端安全管理咨詢、日常安全支持以及安全值守服務等眾多內容。安全建設工作千頭萬緒，安全保護對象龐大復雜，安全管理要求苛刻嚴格，對安全保障體系的規劃和設計提出了非常高的要求。

針對安全建設和管理需求，太極組織了大量的安全專家認真、深入地分析了國家棉花市場監測系統可能面臨的各類安全問題，參照ISO17799等安全管理國際標準，結合太極多年在安全領域的經驗，提出了解決方案。太極與相關合作伙伴緊密合作，針對國家棉花市場監測系統的安全設計和建設可以總結為：建設一套集中的安全運行管理平臺，融合兩種核心的安全建設思想，建立三個不同角度的信息安全子系統。

一個平臺，是指通過部署安全運行管理中心產品建立國家棉花市場監測系統的集中安全運行管理平臺。通過對網絡中各種網絡安全設備和安全軟件的集中管理和監控，把一個個原本分離的網絡安全孤島聯結成有機協作互動的一個整體，并自動實現對安全事件的處理，從而實現網絡安全管理過程中的實時狀態監測，動態策略調整，綜合安全審計以及恰當及時的威脅響應，從而有效提升網絡的可管理性和安全服務水平。

兩種思想是指動態信息安全風險管理體系建設思想和構建信息安全縱深防御體系建設思想。

動態信息安全體系思想的根本目的，是要保障安全系統設計具備良好的動態建設過程和安全可擴展性，促進建立易擴展的信息安全保障體系。縱深防御思想是保障安全系統設計的廣度和深度，促進建立全面綜合、高效安全的網絡安全保障體系。其在廣度上要求從網絡架構、網絡設備、操作系統、應用系統、數據庫系統等各個層面考慮安全系統建設；在深度上要求分層次，由外而內，從網絡邊界、內部網絡、核心服務器乃至桌面PC各個層面考慮安全防御功能的建設。其核心體現就是進行合理的網絡安全域規劃，實現安全事件影響范圍的有效控制。

本次項目，太極協助國家棉花市場監測系統規劃了完善的動態信息安全風險管理體系的建設，包括三大信息安全體系安全功能技術體系、安全服務支持體系、安全管理咨詢體系。

優點多多

系統的安全規劃、建設和運營管理解決方案，覆蓋了信息系統的整個生命周期；充分重視業務安全管理，將傳統分立的安全產品管理進行有效整合；提出了安全運行管理中心解決方案，實現了安全產品和管理的集中統一；將安全監控和安全維護有機結合，實現閉環管理，提高了安全管理效率；將各種安全設備所報告的安全事件匯總在一起進行關聯分析，消除安全事件的誤報和重復報警，并推斷問題根源，給出該事件的解決建議。

應用效果與收益

安全運行管理中心的部署，實現了分散的、異構的安全產品的集中管理，高效提煉和分析海量的安全信息和各類報警事件；實現了安全事件的閉環處理；實現了信息安全的“可控、可見和可管理”，協助國家棉花市場監測系統邁向信息安全管理乃至IT管理的新臺階。

用戶評議

篇（8）

【關鍵詞】

電力信息；安全保障；體系建設；探討研究

所謂的電力信息系統，主要的內容包括信息網絡、應用系統、網絡服務系統、存儲與備份系統、安全系統、輔助系統等。除此以外，上述系統的附屬設備也在電力信息系統的行列內。本系統所涉及的技術，大致有數據加密技術、防火墻、入侵檢測技術、網絡掃描技術，以及訪問控制技術等。雖然安全架構在設計上出現問題與管理方面出現問題，是引發信息系統安全問題的主要因素，但還是有其他因素存在。因此，在電力信息系統安全保障體系的建設，要考慮電網運行安全方面以外，還要經過信息安全系統的的建設、信息安全管理的建設和信息安全策略的建設三個階段。

一、電力信息安全保障體系存在的問題

隨著科學技術的不斷發展，計算機技術也在不斷進步，黑客是擺在我們面前不可忽視的問題。因此電力系統在正常運行的情況下，就很容易受到黑客的攻擊，造成病毒的侵入，所以對電力信息的安全保障體系的建設予以加強，變得迫在眉睫。現如今，電力信息安全存在的主要問題，大致包括信息安全意識薄弱、信息安全運作機制不完善、信息安全保障工作沒有常態化、系統安全設計不足，以及短板現象顯著等。在大多數電力企業中，信息安全問題常常被忽視，有的甚至處于不防御狀態。信息安全運作機制不完善，在不完善的業務連續性計劃，不規范的信息文檔和測試數據的管理中，有所體現。那么，怎么樣去應對這些問題呢？使這些問題能夠迎刃而解呢？主要從信息安全管理和信息安全技術兩方面入手。其中，信息安全評估、建立安全管理組織、信息安全運行管理、安全策略規劃和安全監督審計等，均屬于信息安全管理范疇。而信息安全技術大致包括通用信息安全技術手段，也就是安全服務，比如訪問管理、防惡意代碼、身份認證和審核跟蹤等等。

二、電力信息安全保障體系的策略與管理

結合當前形勢與公司實際,要不斷進行管理的創新與技術的實踐。從管理層面講，要對組織機構、系統運行維護、規章制度、相關工作人員教育等進行全面控制和管理；而從技術的層面出發，做到防護物理、主機系統、網絡、數據應用等等各方面的安全性,同時在安全可靠前提下，建設一套高效、先進、實用的信息安全保障體系，支撐助力生產專業化與管理現代化，保障電力信息的安全性。制定電力信息安全策略，應該保證在國家信息安全等級保護政策的前提下進行，本著提升電力企業整體防篡改、防泄密、防攻擊等綜合能力的原則，進行策略的制定。電力信息安全的運行，在保證對基礎環境、主營業務系統、軟硬件平臺等等運行維護的同時，還要確保運維技術規范、運維流程和定檢等標準或機制的建立。另外，訪問控制和身份認證，可以將主機系統、安全設備、應用系統，網絡設備等的身份認證，進行統一管理。審計和監控，也可提高信息的安全性，對問題發生時的反應速度，也能夠得以提升，對安全問題的發生，起到了有效的預防。在電力管理信息大區網絡內部，還應建立能夠對病毒進行預防、隔離、檢測和清除的機制。這樣，可以大大降低未知病毒的入侵率。

三、結論

總而言之，加強電力信息安全保障體系的建設，是新時期電力工作者熱衷研究的一大科題，更是今后的工作方向。在電力信息系統安全保障體系建設的過程中，我們必須要以“堅持實事求是、以人為本”的方針為原則，系統性的分析影響電力信息系統運行安全與管理的因素，結合如今電力信息系統安全保障的實際情況，以最佳的建設原則與思路，對電力信息系統安全保障體系進行完善，為電力企業的健康長遠發展做出突出的貢獻。

作者：唐勇 單位：國網四川省電力公司電力科學研究院

參考文獻

[1]李志茹,張華峰,黨倩.電網企業信息系統安全防護措施的研究與探討[J].電力信息化.2012(04)。

[2]香柱平.有關電力企業信息中心網絡安全及防護措施的探討[J].中小企業管理與科技(下旬刊).2010(05)。

[3]張建華,王昕偉,蔣程,于雷,俞悅,余加喜.基于蒙特卡羅方法的風電場有功出力的概率性評估[J].電力系統保護與控制.2014(03)。

篇（9）

Brief Discussion about the Establishment of Information Security System

Li Lin

（The Anhui Province Health Department Information Center Anhui Hefei 230001）

【 Abstract 】 the rapid development of information technology and is widely used, the information technology has promoted the process of economic globalization. So in such an era of information, the information security problem has also become the impact of China''s informatization health development a big problem. Informatization construction is a big part of that information security construction, but now the information spread fast, more and more loopholes, if not promptly to establish a good information security system, the informatization construction of our country cannot develop healthily. Therefore, construction of information security system to come greatly a country, small to person is very important, is also essential.

【 Keywords 】 information security; security; frame; hierarchy protection; system construction

0 引言

全球正處在一個網絡化、信息化和數字化的時代，那么在這樣一個信息快速發展的時代里，信息安全顯得尤為重要，此時信息安全保障體系的建立就是必不可少的了。信息安全保障體系共包含了信息安全管理體系、信息安全技術體系和信息安全運維體系三部分，通過對這三部分的綜合有效建設來保障信息系統的安全運行效率。為了國家更快更好地發展，必須對信息安全保障體系進行構建。本文將針對建立信息安全保障體系的具體方案進行分析。

1 中國信息安全保障體系現狀

“信息保障”概念最早由美國提出，并且美國現在已經有比較完善的國家信息安全保障體系了。信息安全漏洞不一定都是由技術問題造成，它還包括人和社會的影響或者說是主觀因素，所以只有用科學有效的管理方法加以規范的綜合性手段，才能獲得有效完善。信息安全問題存在于各行各業，同時也有著不同的屬性和特征，信息安全管理體系在信息安全保障體系中是很重要的，根據不同的信息漏洞制定不同方案。

我國雖然在2003年就提出了“要在五年之內建設中國信息安全保障體系”的觀點，但是在2006年才開始進行等級保護試點工作。也就是說，到目前為止，我國的信息安全保障體系建立工作才初有起色，不完善也不成熟。我國需要一個完整可用的綜合性信息安全保障體系，而要想建立比較完善的信息安全保障體系，需要從各方面考慮組建信息安全保障體系的框架，包括人員、技術和管理體系等的建設。

2 信息安全保障體系的框架

信息安全保障體系的建立一般分三個部分完成，從人員、技術以及管理三個體系來綜合完成。通過這三個部分的構建就組成了信息安全保障體系的基本框架，只有建立好其框架，才能完善好其建設和有效運行。

篇（10）

為了貫徹國家對信息系統安全保障工作的要求以及等級化保護堅持“積極防御、綜合防范”的方針，需要全面提高信息安全防護能力。貴州廣電網絡信息系統建設需要進行整體安全體系規劃設計，全面提高信息安全防護能力，創建安全健康的網絡環境，保護國家利益，促進貴州廣電網絡信息化的深入發展。

 

1安全規劃的目標和思路

 

貴州廣電網絡目前運營并管理著兩張網絡：辦公網與業務網;其中辦公網主要用于貴州廣電網絡各部門在線辦公，重要的辦公系統為OA系統、郵件系統等;業務網主要提供貴州廣電網絡各業務部門業務平臺，其中核心業務系統為BOSS系統、互動點播系統、安全播出系統、內容集成平臺以及寬帶系統等。

 

基于對貴州廣電網絡信息系統的理解和國家信息安全等級保護制度的認識，我們認為，信息安全體系是貴州廣電網絡信息系統建設的重要組成部分，是貴州廣電網絡業務開展的重要安全屏障，它是一個包含貴州廣電網絡實體、網絡、系統、應用和管理等五個層面，包括保護、檢測、響應、恢復四個方面，通過技術保障和管理制度建立起來的可靠有效的安全體系。

 

1.1設計目標

 

貴州廣電網絡就安全域劃分已經進行的初步規劃，在安全域整改中初見成效，然而，安全系統建設不僅需要建立重要資源的安全邊界，而且需要明確邊界上的安全策略，提高對核心信息資源的保護意識。貴州廣電網絡相關安全管理體系的建設還略顯薄弱，管理細則文件亟需補充，安全管理人員亟需培訓。因此，本次規劃重點在于對安全管理體系以及目前的各個業務系統進行了全面梳理，針對業務系統中安全措施進行了重點分析，綜合貴州廣電網絡未來業務發展的方向，進行未來五年的信息安全建設規劃。

 

1.2設計原則

 

1.2.1合規性原則

 

安全設計要符合國家有關標準、法規要求，符合廣電總局對信息安全系統的等級保護技術與管理要求。良好的信息安全保障體系必然是分為不同等級的，包括對信息數據保密程度分級，對用戶操作權限分級，對網絡安全程度分級(安全子網和安全區域),對系統實現結構的分級(應用層、網絡層、鏈路層等)，從而針對不同級別的安全對象，提供全面、可選的安全技術和安全體制，以滿足貴州廣電網絡業務網、辦公網系統中不同層次的各種實際安全需求。

 

1.2.2技管結合原則

 

信息安全保障體系是一個復雜的系統工程，涉及人、技術、操作等要素，單靠技術或單靠管理都不可能實現。因此，必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規章制度建設相結合。

 

1.2.3實用原則

 

安全是為了保障業務的正常運行，不能為了安全而妨礙業務，同時設計的安全措施要可以落地實現。

 

1.3設計依據

 

1.3.1“原則”符合法規要求

 

依據《中華人民共和國計算機信息系統安全保護條例K國務院147號令)、《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[20〇3]27號)、《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)、《信息安全等級保護管理辦法》(公通字[2007]43號)和GB/T22240-2009《信息安全技術信息系統安全等級保護定級指南》、GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》、《廣播電視安全播出管理規定》(廣電總局62號令)、GDJ038-CATV|有線網絡。

 

2011《廣播電視播出相關信息系統等級保護基本要求》，對貴州省廣播電視相關信息系統安全建設進行規劃。

 

1.3.2“策略”符合風險管理

 

風險管理是基于“資產-價值-漏洞-風險-保障措施”的思想進行保障的。風險評估與管理的理論與方法已經成為國際信息安全的標準。

 

風險管理是靜態的防護策略，是在對方攻擊之前的自我鞏固的過程。風險分析的核心是發現信息系統的漏洞，包括技術上的、管理上的，分析面臨的威脅，從而確定防護需求，設計防護的措施，具體的措施是打補丁，還是調整管理流程，或者是增加、增強某種安全措施，要根據用戶對風險的可接受程度，這樣就可以與安全建設的成本之間做一個平衡。

 

1.3.3“措施”符合P2DR模型

 

美國ISS公司(IntemetSecuritySystem，INC)設計開發的P2DR模型包括安全策略(Policy)、檢測(Detection)、防護(Protection)和響應(Response)四個主要部分，是一個可以隨著網絡安全環境的變化而變化的、動態的安全防御系統。安全策略是整個P2DR模型的中樞，根據風險分析產生的安全策略描述了系統中哪些資源要得到保護，以及如何實現對它們的保護等，策略是模型的核心，所有的防護、檢測和響應都是依據安全策略實施的。

 

檢測(Detection)、防護(Protection)和響應(Response)三個部分又構成一個變化的、動態的安全防御體系。P2DR模型是在整體的安全策略的控制和指導下，在綜合運用防護工具(如防火墻、身份認證、加密等)的同時，利用檢測工具(如漏洞評估、入侵檢測等)了解和評估系統的安全狀態，通過適當的反應將系統調整至“最安全”和“風險最低”的狀態，在安全策略的指導下保證信息系統的安全[3]。

 

1.4安全規劃體系架構

 

在進行了規劃“原則”、“策略”、“措施”探討的基礎上，我們設計貴州廣電網絡的安全保障體系架構為“一個中心、兩種手段”。

 

“一個中心”，以安全管理中心為核心，構建安全計算環境、安全區域邊界和安全通信網絡，確保業務系統能夠在安全管理中心的統一管控下運行，不會進入任何非預期狀態，從而防止用戶的非授權訪問和越權訪問，確保業務系統的安全。

 

“兩種手段”，是安全技術與安全管理兩種手段，其中安全技術手段是安全保障的基礎，安全管理手段是安全技術手段真正發揮效益的關鍵，管理措施的正確實施同時需要有技術手段來監管和驗證，兩者相輔相成，缺一不可。

 

2安全保陳方案規劃

 

2.1總體設計

 

貴州廣電網絡的安全體系作為信息安全的技術支撐措施，分為五個方面：

 

邊界防護體系：安全域劃分，邊界訪問控制策略的部署，主要是業務核心資源的邊界，運維人員的訪問通道。

 

行為審計體系：通過身份鑒別、授權管理、訪問控制、行為曰志等手段，保證用戶行為的合規性。

 

安全監控體系：監控網絡中的異常，維護業務運行的安全基線，包括安全事件與設備故障，也包括系統漏洞與升級管理。

 

公共安全輔助：作為整個網絡信息安全的基礎服務系統，包括身份認證系統、補丁管理系統以及漏洞掃描系統等。

 

IT基礎設施：提供智能化、彈能力的基礎設施，主要的機房的智能化、服務器的虛擬化、存儲的虛擬化等。

 

2.2安全域劃分

 

劃分安全域的方法是首先區分網絡功能區域，服務器資源區、網絡連接區、用戶接入區、運維管理區、對外公共服務區;其次是在每個區域中，按照不同的安全需求區分不同的業務與用戶，進一步劃分子區域;最后，根據每個業務應用系統，梳理其用戶到服務器與數據庫的網絡訪問路徑，通過的域邊界或網絡邊界越少越好。

 

Z3邊界防護體系規劃

 

邊界包括網絡邊界、安全域邊界、用戶接口邊界(終端與服務器)、業務流邊界，邊界上部署訪問控制措施，是防止非授權的“外部”用戶訪問“里面”的資源，因此分析業務的訪問流向，是訪問控制策略設計的依據。

 

2.3.1邊界措施選擇

 

在邊界上我們建議四種安全措施：

 

1.網絡邊界：與外部網絡的邊界是安全防護的重點，我們建議采用統一安全網關(UTM),從網絡層到應用層的安全檢測，采用防火墻(FW)部署訪問控制策略，采用入侵防御系統(IPS)部署對黑客入侵的檢測，采用病毒網關(AV)部署對病毒、木馬的防范;為了方便遠程運維工作，與遠程辦公實施，在網絡邊界上部署VPN網關，對遠程訪問用戶身份鑒別后，分配內網地址，給予限制性的訪問授權。Web服務的SQL注入、XSS攻擊等。

 

3.業務流邊界：安全需求等級相同的業務應用采用VLAN隔離，采用路由訪問限制策略;不同部門的接入域也采用VLAN隔離，防止二層廣播，通知可以在發現安全事件時，開啟不同子域的安全隔離。

 

4.終端邊界：重點業務系統的終端，如運維終端，采用終端安全系統，保證終端上系統的安全，如補丁的管理、黑名單軟件管理、非法外聯管理、移動介質管理等等。

 

2.3.2策略更新管理

 

邊界是提高入侵者的攻擊“門檻”的，部署安全策略重點有兩個方面：一是有針對性。允許什么，不允許什么，是明確的;二是動態性。就是策略的定期變化，如訪問者的口令、允許遠程訪問的端口等，變化的周期越短，給入侵者留下的攻擊窗口越小。

 

2.4行為審計體系規劃

 

行為審計是指對網絡用戶行為進行詳細記錄，直接的好處是可以為事后安全事件取證提供直接證據，間接的好處乇兩方面：對業務操作的日志記錄，可以在曰后發現操作錯誤、確定破壞行為恢復時提供操作過程的反向操作，最大程度地減小損失;對系統操作的日志記錄，可以分析攻擊者的行為軌跡，從而判斷安全防御系統的漏洞所在，亡羊補牢，可以彌補入侵者下次入侵的危害。

 

行為審計主要措施包括:一次性口令、運維審計(堡壘機)、曰志審計以及網絡行為審計。

 

2.5安全監控體系規劃

 

監控體系不僅是網絡安全態勢展示平臺，也是安全事件應急處理的指揮平臺。為了管理工作上的方便，在安全監控體系上做到幾方面的統一：

 

1.運維與安全管理的統一：業務運維與安全同平臺管理，提高安全事件的應急處理速度。

 

2.曰常安全運維與應急指揮統一：隨時了解網絡上的設備、系統、流量、業務等狀態變化，不僅是日常運維發現異常的平臺，而且作為安全事件應急指揮的調度平臺，隨時了解安全事件波及的范圍、影響的業務，同時確定安全措施執行的效果。

 

3.管理與考核的統一：安全運維人員的工作考核就是網絡安全管理的曰常工作與緊急事件的處理到位，在安全事件的定位、跟蹤、處理過程中，就體現了安全運維人員服務的質量。因此對安全運維平臺的行為記錄就可以為運維人員的考核提供一線的數據。

 

安全監控措施主要包括安全態勢監控以及安全管理平臺，2.6公共安全輔助系統

 

作為整個網絡信息安全的基礎服務系統，需要建設公共安全輔助系統：

 

1.身份認證系統：獨立于所有業務系統之外，為業務、運維提供身份認證服務。

 

2.補丁管理系統：對所有系統、應用的補丁進行管理，對于通過測試的補丁、重要的補丁，提供主動推送，或強制執行的技術手段，保證網絡安全基線。

 

3.漏洞掃描系統：對于網絡上設備、主機系統、數據庫、業務系統等的漏洞要及時了解，對于不能打補丁的系統，要確認有其他安全策略進行防護。漏洞掃描分為兩個方面，一是系統本身的漏洞，二是安全域邊界部署了安全措施之后，實際用戶所能訪問到的漏洞(滲透性測試服務)。

 

2.7IT基礎設施規劃

 

IT基礎設施是所有網絡業務系統服務的基礎，具備一個優秀的基礎架構，不僅可以快速、靈活地支撐各種業務系統的有效運行，而且可以極大地提高基礎IT資源的利用率，節省資金投入，達到環保的要求。

 

IT基礎設施的優化主要體現在三個方面：智能機房、服務器虛擬化、存儲虛擬化。

 

3安全筐理體系規劃

 

在系統安全的各項建設內容中，安全管理體系的建設是關鍵和基礎，建立一套科學的、可靠的、全面而有層次的安全管理體系是貴州省廣播電視信息網絡股份有限公司安全建設的必要條件和基本保證。

 

3_1安全管理標準依據

 

以GBAT22239-2008《信息安全技術信息系統安全等級保護基本要求》中二級、三級安全防護能力為標準，對貴州廣電網絡安全管理體系的建設進行設計。

 

3.2安全管理體系的建設目標

 

通過有效的進行貴州廣電網絡的安全管理體系建設，最終要實現的目標是：采取集中控制模式，建立起貴州廣電網絡完整的安全管理體系并加以實施與保持，實現動態的、系統的、全員參與的、制度化的、以預防為主的安全管理模式，從而在管理上確保全方位、多層次、快速有效的網絡安全防護。

 

3.3安全管理建設指導思想

 

各種標準體系文件為信息安全管理建設僅僅提供一些原則性的建議，要真正構建符合貴州廣電網絡自身狀況的信息安全管理體系，在建設過程中應當以以下思想作為指導：“信CATV丨有線網絡息安全技術、信息安全產品是信息安全管理的基礎，信息安全管理是信息安全的關鍵，人員管理是信息安全管理的核心,信息安全政策是進行信息安全管理的指導原則，信息安全管理體系是實現信息安全管理最為有效的手段。”

 

3.4安全管理體系的建設具體內容

 

GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》(以下簡稱《基本要求》)對信息系統的安全管理體系提出了明確的指導和要求。我們應以《基本要求》為標準，結合目前貴州廣電網絡安全管理體系的現狀，對廣電系統的管理機構、管理制度、人員管理、技術手段四個方面進行建設和加強。同時，由于信息安全是一個動態的系統工程，所以，貴州廣電網絡還必須對信息安全管理措施不斷的加以校驗和調整，以使管理體系始終適應和滿足實際情況的需要，使貴州廣電網絡的信息資產得到有效、經濟、合理的保護。

 

貴州廣電網絡的安全管理體系主要包括安全管理機構、安全管理制度、安全標準規范和安全教育培訓等方面。

 

通過組建完整的信息網絡安全管理機構，設置安全管理人員，規劃安全策略、確定安全管理機制、明確安全管理原則和完善安全管理措施，制定嚴格的安全管理制度，合理地協調法律、技術和管理三種因素，實現對系統安全管理的科學化、系統化、法制化和規范化，達到保障貴州廣電網絡信息系統安全的目的。

 

3.5曰常安全運維3.5.1安全風險評估

 

安全風險評估是建立主動防御安全體系的重要和關鍵環節，這環的工作做好了可以減少大量的安全威脅，提升整個信息系統的對網絡災難的免疫能力;風險評估是信息安全管理體系建立的基礎，是組織平衡安全風險和安全投入的依據，也是信息安全管理體系測量業績、發現改進機會的最重要途徑。

 

3.5.2網絡管理與安全管理

 

網絡管理與安全管理的主要措施包括：出入控制、場地與設施安全管理、網絡運行狀態監控、安全設備監控、安全事件監控與分析、提出預防措施。

 

3.5.3備份與容災管理

 

貴州廣電網絡主要關鍵業務系統需要雙機本地熱備、數據離線備份措施;其他相關業務應用系統需要數據離線備份措施。

 

3.5.4應急響應計劃

 

通過建立應急相應機構，制定應急響應預案，通過建立專家資源庫、廠商資源庫等人力資源措施，通過對應急響應有線網絡ICATV預案不低于一年兩次的演練，可以在發生緊急事件時，做到規范化操作，更快的恢復應用和數據，并最大可能的減少損失

 

3.6安全人員管理

 

信息系統的運行是依靠在各級黨政機構工作的人員來具體實施的，他們既是信息系統安全的主體，也是系統安全管理的對象。所以，要確保信息系統的安全，首先應加強人事安全管理。

 

安全人員應包括：系統安全管理員、系統管理員、辦公自動化操作人員、安全設備操作員、軟硬件維修人員和警衛人員。

 

其中系統管理員、系統安全管理員必須由不同人員擔當。3.7技術安全管理

 

主要措施包括：軟件管理、設備管理、備份管理以及技術文檔管理。

 

4安全規劃分期建設路線

 

信息安全保障重要的是過程，而不一定是結果，重要的是安全意識的提高，而不一定是安全措施的多少。因此，信息安全建設也應該從保障業務運營為目標，提高用戶自身的安全意識為思路，根據業務應用的模式與規模逐步、分階段建設，同時還要符合國家與廣電總局關于等級保護的技術與管理要求。

 

4.1主要的工作內容

 

根據安全保障方案規劃的設計，貴州廣電網絡的信息安全建設分為如下幾個方面的內容：

 

1.網絡優化改造:主要是安全域的劃分，網絡結構的改造。

 

2.安全措施部署:邊界隔離措施部署，行為審計系統部署、安全監控體系部署。

 

3.基礎設施改造：主要是數據大集中、服務器虛擬化、存儲虛擬化。

 

4.安全運維管理:信息安全管理規范、日常安全運維考核、安全檢查與審計流程、安全應急演練、曰常安全服務等。

 

4.2分期建設規劃

 

4_2.1達標階段(2015-2017)

 

1.等保建設

 

2.信任體系：網絡審計、運維審計、日志審計

 

3.身份鑒別(一次口令)

 

4.監控平臺：入侵檢測、流量監測、木馬監測

 

5.安全管理平臺建設

 

6.等保測評通過(2級3級系統)

 

7.安全服務：建立定期模式

 

8.滲透性測試服務(外部+內部)

 

9.安全加固服務，建立服務器安全底線

 

10.信息安全管理

 

11.落實安全管理細則文件制定

 

12.落實安全運維與應急處理流程

 

13.完善IT服務流程，建設安全運維管理平臺

 

14.定期安全演練與培訓

 

4.2.2持續改進階段(2018?2019)

 

1.等保建設

 

2.完善信息安全防護體系

 

3.提升整體防護能力

 

4.深度安全服務

 

5.有針對性安全演練，協調改進管理與技術措施

 

6.源代碼安全審計服務(新上線業務)

 

7.信息安全管理

 

8.持續改進運維與應急流程與制度，提高應急反應能力

 

9.提高運維效率，開拓運維增值模式

 

篇（11）

引言：

目前，隨著信息技術的日新月異和網絡信息系統應用的發展，醫院、企業網絡技術的應用層次正在從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展。面對日趨復雜的IT系統，不同背景的運維人員已給企事業信息系統安全運行帶來較大的潛在風險，如醫院信息系統是醫院日常工作的重要應用，存儲著重要的數據資源，是醫院正常運行必不可少的組成部分，所以必須加強安全保障體系的建設。于是，堡壘機在醫院中的應用，為醫院工作的應用提供了安全可靠的運行環境。

傳統的網絡安全審計系統給醫院的的運維安全問題帶來了很多風險，如：賬號管理無秩序，暗藏巨大隱患；粗放式權限管理的安全性難以保證；設備自身陳舊，無法審計運維加密協議、遠程桌面內容等，從而難以有效定位安全事件。

以上所面臨的風險嚴重破壞政府、醫院、企業等的信息系統安全，已經成為其信息系統安全運行的嚴重隱患，尤其是醫院，將影響其效益。尤其醫院信息系統是一個復雜的系統工程，涉及人、技術、操作等要素，單靠技術或單靠管理都不可能實現。

因此在考慮安全保障體系時，必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規章制度建設相結合。

如何有效監控業務系統訪問行為和敏感信息的傳播，準確掌握網絡系統的安全狀態，及時發現違反安全策略的事件并實時告警、記錄，同時進行安全事件定位分析，事后追查取證，滿足合規性審計要求，是企事業迫切需要解決的問題，即IT運維安全管理的變革已刻不容緩！

堡壘機提供一套先進的運維安全管控與審計解決方案，它通過網絡數據的采集、分析、識別，實時動態監測通信內容、網絡行為和網絡流量，發現和捕獲各種敏感信息、違規行為，實時報警響應，全面記錄網絡系統中的各種會話和事件，實現對網絡信息的智能關聯分析、評估及安全事件的準確全程跟蹤定位，為整體網絡安全策略的制定提供權威可靠的支持。

隨著堡壘機在醫院中的應用，其主要實現了以下功能：

1）賬號管理集中

堡壘機建立于唯一身份標識的全局實名制管理，支持統一賬號管理策略，實現與各服務器、網絡設備等無縫連接，集中管理主賬號（普通用戶）、從賬號（目標設備系統賬號）及相關屬性。

2）訪問控制集中

堡壘機通過集中對應用系統的訪問控制，通過對主機、服務器、網絡、數據庫等網絡中所有資源的統一訪問控制，確保用戶擁有的權限是完成任務所需的最小權限，實現集中有序的運維操作管理，防止非法、越權訪問事件的發生。

3）安全審計集中

基于唯一身份標識，堡壘機通過對用戶從登錄到退出的全程操作行為審計，監控用戶對被管理設備的所有敏感的關鍵操作，提供分級告警，聚焦關鍵事件，能完成對醫院內網所有網上行為的監控和對安全事件及時預警發現、準確可查的功能。

通過此體系監控到的數據能對醫院內部網絡的使用率、數據流量、應用提供比例、安全事件記錄、網絡設備的動作情況、網絡內人員的網上行為記錄、網絡整體風險情況等這些情況有較全面的了解。

信息安全是一個動態的過程，要根據網絡安全的變化不斷調整安全措施，適應新的網絡環境，M足新的網絡安全需求。

安全管理制度也有一個不斷完善的過程，經過安全事件的處理和安全風險評估，會發現原有的安全管理制定中存在的不足之處。根據安全事件處理經驗教訓和安全風險評估的結果，對信息安全管理策略進行修改，對信息安全管理范圍進行調整。

參 考 文 獻