运维管理保障体系汇编(三篇)

绪论：一篇引人入胜的运维管理保障体系，需要建立在充分的资料搜集和文献研究之上。搜杂志网为您汇编了三篇范文，供您参考和学习。

篇1

1 综合治理信息安全的战略背景

 

IT管理技术发展历程，从被动管理转向主动管理，从服务导向转向业务价值。在科学的IT管理方法论方面形成了一系列标准：诸如ITIL/ITSM以流程为中心的IT管理行业标准;ISO20000ITIL 的国际标准; COBIT面向IT审计的IT管理标准;COSO企业内部控制框架，面向内部控制;ISO17799：信息安全管理国际标准。当前有很多非常好的综合性标准与规范可以参考，其中非常有名的就是ISO/IEC27000系列标准。ISO/IEC 27001通过PDCA过程，指导企业如何建立可持续改进的体系。

 

目前企业IT运维管理现状。需求变化：IT本身快速变更;管理目标多角度变换并存。资源不足：IT 复杂性成长快于人员成长;IT 人员持续流动。业务影响：难以判断事件对业务的影响和处理事件的优先级。信息孤岛：IT 资源多样性的，不能进行事件的关联分析，缺少统一的健康视图。IT网络与信息系统运维存在监测盲点，缺少主动预警和事件分析机制。

 

如何把此项复杂的工程进行细化与落地，建立信息安全保障框架?在企业有限的IT资源(包括人员、系统等)等的前提下，IT运营面临严峻的挑战，企业多半缺乏信息系统应用开发能力，在很大程度上依赖于产品开发商的支持，为此，要想实现从混乱到清晰、从被动到主动、从应付到实现价值取向的服务思想，自主加外包的混合运维方式无疑是一种好的服务方式。

 

2 建立和实施信息安全保障体系思路和方法

 

针对IT管理问题和价值取向的服务方式，借鉴PDCA工作循环原理和标准化体系建设方法，从建立安全目标和组织体系、制度体系和技术体系等三个主要层面构建实施信息安全保障体系，以规范引导人、以标准流程引导人，以业绩激励人，从而促被动变主动，坚持持续改善，促进工作效率，促进安全保障。

 

2.1 建立和推行目标管理

 

体系建设应以目标管理为先导、循序渐进，按顶层布局、中层发力、底层推动内容设计与构建，为此，借鉴当前IT运维管理目标演进方式，确立各阶段建设目标。

 

基础架构建设阶段(SMB)，手工维护阶段。主要实现IT基础架构建设。

 

网络和系统监控(NSM)阶段，重视自动化监控阶段。主要实现IT设备维护和管理。

 

IT服务管理(ITSM)阶段，重视流程管理阶段。主要实现IT服务流程管理。

 

业务服务管理(BSM)阶段，重视用户服务质量与满意度。主要实现IT与业务融合管理。

 

从IT投入和业务价值来看，前三个阶段是间接业务价值，第四阶段才是直接业务价值。

 

根据ITIL这个IT服务管理的方法论，先是搭建一个框架，借用工具的配合促进落地。如图1、IT运维管理系统参考模型。

 

从安全目标出发，结合IT运维管理系统参考模型，每个阶段的工作向着实现直接业务价值，不断消除或减轻对性能的约束，促进IT产品或服务满足确定的规范，实现企业效益最大化。服务好用属性通过最终的绩效和检验结果监视测量价值成分。如图2。

 

2.2 规划融合信息安全保障体系

 

通过从组织体系、制度体系、技术体系层面建立和实施纵深防御体系，实现稳健的信息安全保障状态。

 

①组织体系：通过企业中高层的支持实现业务驱动和共同推动信息安全体系建设。当然，需要提出的问题，组织有可能要依赖长期可靠的合作伙伴：通过长期可靠的合作关系，快速引进外部专业资源和先进技术，可以帮助企业推动信息安全建设工作。为了帮助组织内外信息系统人员更好地遵守行业规范及法律要求，企业实施IT网络与信息系统安全运维体系标准，组织应做到定期对全体员工进行信息安全相关教育，包括：技能、职责和意识，通过相关审核，证明组织具备实施体系的意识和能力。

 

②制度体系：企业IT网络与信息系统安全运维系统建设的范围包括机房安全、数据安全、网络安全、服务器安全、业务应用安全、终端安全等。为此，企业应明确内部运维和外部协同的内容及其标准规范，包括绩效标准。建立实施IT网络与信息系统安全运维体系标准，首先把高效的信息安全做法固化下来形成规则制度或标准，成为组织中信息安全行为准则。保证事前预防、事中监控和事后审计等安全措施的得到有效执行与落实。

 

③技术体系：一般来说，网络设备技术体系可以按照从上到下信息所流经的设备来部署工具。即从数据安全、终端安全、应用安全、操作系统与数据库安全、网络安全、物理安全六个方面来选择不同的安全工具。按照“适度防御”原则，综合采用各种安全工具进行组合，形成企业“适用的”安全技术防线。适时根据风险评估的结果，采取相应措施，降低风险。

 

其中，需要采用1～2种综合管理的工具来帮助把所有的安全监控工具进行统一管控。例如SOC是给企业日常维护管理者使用，ITRM作为综合风险呈现，是给企业风险或安全管理层使用。

 

④体系运行和监控：体系的日常运行和监控就是从信息的生命周期进行流程控制，即在信息的创建、使用、存储、传递、更改、销毁等各个阶段进行安全控制。之前不能忽视在信息创建开发安全阶段的一个细化控制手段。在运行体系建设中，往往需要结合流程分析来关注信息的生命周期安全。运行过程中还有一个应急管理，包括灾备中心建设、业务连续性计划、应急响应等等都有相应的标准与理论支持。特别是BS25999标准的颁布，给如何建立一套完善的应急体系提供了参考。

 

3 企业建立和实施信息安全保障体系实践

 

面对网络系统互连，网络技术与设备的安全管理规范的完善这个复杂而且浩大的工程，井冈山卷烟厂不仅依靠个体分散的技术措施或者管理防护，而且结合国家、社会和个人的力量构建综合保障体系。

 

①依据ISO9000、ISO14000和OHSAS18000标准，国家计算机网络和信息安全相关法律法规，参考当前科学的IT管理方法论方面形成了一系列标准，结合YC/T384烟草企业安全生产标准等，识别这些与信息安全相关的法律法规及其它要求，将信息安全保障体系(框架)融合到企业质量、环境和职业健康安全(以下简称为三标)综合管理体系。

 

②确定信息安全管理目标并分步实施企业三年信息化发展规划。自2012年开始，企业对照YC/T384烟草企业安全生产标准要求，在梳理和评价2000年以来企业多个企业信息化三年实施规划实践环境以后，制订了新的三年信息安全管理目标和建设规划，将目标和规划分解到各年度实施，并纳入到企业年度三标综合管理体系建设目标和管理绩效考核。

 

③建立信息安全管理组织和工作标准，同时纳入三标综合管理体系管理考核。从体系结构上促成企业作业层、管理层(中间层)和决策层的信息化，实现企业的物资(服务)流、资金流和信息流的一体化，及时、准确和完整地传递企业的经营数据，保证企业的经营管理。利用信息化改进管理，形成企业信息安全文化，促进员工接受、理解和主动配合，不断提升全员的信息安全意识和技能，从而使信息安全管理真正落到实处。

 

④建立和实施信息安全保障体系文件标准。根据国家信息安全相关的法律法规及其它要求，结合行业和企业的特点和发展趋势，规范管理流程和模式。网络与信息系统建设“立足长远、分步实施、突出重点”，做到“统一规划、统一标准、统一平台、统一编码”，同步实施信息系统等级保护制度，促进企业与信息系统项目合作单位、地方通讯和公安等部门的社会化合作主要方式。企业内部各项工作实现规范化、信息化，做到一切工作都按照程序办，同时，事事处于相互制衡的环境之下、人人处于监督管理之中，从而形成职责明确、运转协调、相互制衡的工作机制，为企业内部信息安全监管提供强有力的保障。

 

篇2

中图分类号：TP309 文献标识码：A 文章编号：1674-098X（2016）12（b）-0100-02

电力公司的安全防护体系根据省、市、县安全防护不同层面防护要求各有侧重、相互支撑、互为补充。根据各信息系统重要程度设计安全防护体系“三横四纵”的总体架，建立信息安全防护体系。

1 信息安全防护策略设计目标

信息安全保障体系的建设紧紧围绕安全管理、安全技术和安全运维3个方面，在每个方面都有相应的具体目标。达到这个目标就能为综合服务平台构建一个多层次、多角度的立体纵深防御体系。

安全管理的建设目标：

确定安全组织和责任划分，确定安全策略，确定信息资产分类和分级。

实现安全变更管理、安全补丁管理、安全备份管理、应急响应计划、业务持续性计划、安全核心流程。

安全培训与教育、安全控制要求：

对信息资产进行风险评估，达到ISO27001管理标准。

安全技术的建设目标：

根据业务需求划分不同的安全域，安全边界进行防护。

实现安全系统强化功能、建立网络和主机入侵检测机制、实现高危数据加密传输、关键系统的日志审计、建立病毒防范体系、建立身份认证体系、访问控制体系、远程访问安全机制。

建立数据安全存储体系、时间同步机制、集中安全审计体系、安全事件管理平台。

安全运维的建设目标：

建立定期风险评估机制。

定期对日志进行审计、定期进行渗透测试。

完善安全信息上报机制、定期对安全策略和标准进行评估和修订。

显示安全的运维外包。

2 电力信息安全建设体系内容

电力信息系统信息安全保障体系采用了“三横四纵”的总体架构，即横向上分为3个层次，分别为应用层、技术层、管理层；技术层次中纵向又分为4种主要体系，即以基础安全服务设施、数据安全保护、网络接入保护、平台安全管理为支柱，信息安全基础设施为基础，通过信息安全管理体系为业务应用提供可靠的安全保障。

一是应用层。这是安全保障体系的主要对象。信息化建设的终极目标是提供给用户好用、易用、够用的应用系统，应用系统是为了满足不同用户的不同业务需求，安全保障体系保障的核心就是应用系统及其数据。

二是技术层。这是信息安全保障体系的主要体系。目前包括技术支撑体系、技术保障体系、网络信任体系、安全服务体系。这4种体系已经经过多年的探索和建立，应该说已经覆盖了技术上的所有方面。

三是管理层。包括等级保护安全策略、安全管理制度、法律法规和技术标准。通常说“三分技术、七分管理”，再好的技术也需要完善的管理才能保证技术发挥最大的效能。

3 信息安全防护设计

电力系统是一个由内网、外网两种网络域构成的庞大信息系统。各个网络域执行着不同的服务内容：内网是一个完整的电力系统办公自动化环境，外网担负着与公众间信息沟通的责任。

如此复杂的应用环境给系统带来了大量潜在的安全隐患：黑客利用外网或专网攻击内部网络、数据在传输过程中的泄露、网页遭篡改、伪造身份进入系统、操作系统漏洞、病毒等。这些安全隐患不可能依靠某种单一的安全技术就能得到解决，必须在电力信息系统整体安全需求的基础上构筑一个完整的安全服务体系。

构建一个完整的安全防护体系有组织地实现上述安全需求，我们提出的安全保障平台由基础安全服务设施、数据安全保护、网络接入保护、平台安全管理组成。

（1）基础安全服务设施。

基础安全服务设施防护设计主要包括部署平台的应用系统的身份认证与访问控制、基础环境安全保护（访问控制、防火墙、入侵检测、安全审计、VPN）。

（2）数据安全保护。

数据安全保护方案是为部署在电力信息系统提供数据传输、数据访问和数据存储备份恢复的安全保障措施，主要分为4类：应用保护、数据传输交换保护、数据备份与恢复设计。

（3）网络接入保护。

统一管理集中建设互联网接入点，实现电力各部门互联网的安全接入和可管可控可剥离；各部门在统一的安全技术体系下，根据各自信息下发指令信息包括针对省级安全等级，建设、升级、完善安全系统；依托平台建设省级安全接入机制，实现与接入统一监控、统一管理和统一服务。

（4）平台安全管理。

安全管理体系是信息安全保障体系建设的一个重要环节，安全管理体系的建设内容包括：建立完善等级保护安全管理机构、安全管理制度、人员安全管理、系统建设运维管理、系统运维管理。

4 结语

该课题对电力公司信息安全防护策略和防护设计进行研究，电力信息化安全服务平台也基于电力信息系统安全需求设计安全防护体系，面向系统管理员、安全管理员提供安全保障，为各级信息化安全管理对安全监管、信息共享和提供安全保障支撑。

参考文献

[1] 高鹏，范杰，郭骞.电力系统信息安全技术督查策略研究[C]//电力通信管理暨智能电网通信技术论坛论文集.2012.

[2] 余勇，林为民，俞钢.电力信息系统安全保障体系的研究[C]//2004年世界工程师大会电力和能源分会场论文集.2004.

篇3

中图分类号：TP311.52 文献标识码：A 文章编号：1006-8937（2013）17-0057-02

所谓“信息运维管理”，是指单位信息部门采用相关的方法、手段、技术、制度、流程等，对于信息运行环境、信息业务系统和信息运维人员进行的综合管理，其系统支撑也就是所谓的信息运维管理系统。最早的信息运维系统出现在20世纪80年代的英国，最早是为英国政府部门开发的，但很快就在英国的众多企业中得到了广泛的应用。而我国企业生产为了将信息化与自动化高度整合，进而实现多层次生产、全方位管理的协调发展，也采用了相应的IT管理系统，不断改善信息运维管理，建立综合信息化运维管理体系，极大地提升了企业数字化管理的效率。但由于管理模式的限制，我国的信息运维管理仍存在一些问题，亟待管理人员、技术人员不断创新进行系统改革。

1 当前我国企业信息运维管理的现状

IT管理系统的应用，使信息系统逐步成为企业生产经营不可或缺的组成部分，也成为保障企业安全生产的重要因素。但由于大量的信息数据，信息运维管理系统在工作时经常出现一些问题，主要可以归结为以下几个方面：

①运维管理人员经验不足，能力有待提高。随着信息技术的快速发展，企业的信息系统数量不断增多，为了更好地管理大量的数据，企业便会不断对信息运维管理系统进行调整，而运维管理人员没有接受及时的培训或进行相关方面的学习，对信息系统的维护与管理不清楚，就造成了系统技术与人力管理不协调。一旦信息运维管理系统发生故障，或有突发状况，由于管理人员的经验不足，专业技术指向性不强，便会造成信息系统的维护不及时，导致企业信息数据流失甚至财产损失，不利于企业的长期稳定发展。

②系统运行不稳定，缺乏安全保障。企业为了适应信息化的要求，采用了IT管理系统，但面对大量的信息数据，IT环境仍不够安全可靠，信息数据的挖掘深度和广度都不够，极易发生信息失真，缺乏一套完整的信息数据安全保障系统的支持，并且系统的运行过于依赖人，关键人员的流动往往会引起信息系统的大幅度波动。此外，尽管网络、服务器、数据库、应用软件等都达到了99.5%的可用性，但仍意味着一年要有十多天的停机时间。

③信息系统的检查不及时，缺乏力度。信息自动化系统，具有复杂性、综合性及连续性等特点，使得信息运维管理系统始终处在波动状态，运维管理人员总是处在“救火”状态，哪里有问题就去哪里补救，处于被动的服务状态，疲于临时故障的解决，缺乏对运维系统的整体巡检，更是对如何有效地防范和应对问题没有系统的认识。此外，IT部门缺乏相应的应用和服务支持，信息数据审核不严谨、数据收集不及时，造成信息混乱与缺失，不便于企业对信息的整理与分析。

④运维管理制度不够规范化、系统化。信息系统中的问题，归根结底是缺乏一套具有科学合理的技术体系设计、功能方便的运维管理系统来支持信息的自动化管理。由于信息运维管系统在我国企业的运用尚未完全普及，国家也没有制定出完善的运维管理制度，致使管理系统缺乏技术、制度的支持，系统的服务质量与业绩也没有量化的标准，不利于对管理人员的内部管理。

2 信息运维管理的创新对策

建设一套“功能完备、架构合理、安全稳定、规范标准”的信息运维管理系统，对推动企业自动化、信息化管理有重要的意义。而随着信息技术的发展，越来越多的企业部门开始反思如何更好地开展IT管理系统，提供更好的运维手段来支持业务高效、稳定、安全的发展。要实现其的创新管理，可以从以下几个方面入手：

①加大对管理人员的技术培训，挖掘其自身潜力。信息技术的发展与时俱进，不断变化。要想将信息技术与人力运维管理有机的结合起来，这对人才的能力有了更高的要求，需要企业的IT部门加大对人才的选拔，不可过于依赖于某个人，同时注重对员工的技能培训，不断加强其自身对知识的接受与学习能力，以适应现今竞争激烈的社会。此外，适时地绩效审核是不可或缺的，一方面，可以对员工过去一段时间的工作成果进行整体评价，便于及时发现其工作失误或优秀方面，可以提高员工工作的积极性和责任意识；另一方面，可以对员工的未来业绩进行制定，以挖掘其自身潜力，利于企业的工作质量和效益的保证。

②设立信息数据安全保障体系，加强风险防范。IT系统的管理需要技术保障，随着信息技术的不断创新，运用有效的运维支持系统来保证信息数据的收集、存储和分析是一个必要的技术保障。如目前最新的信息安全保障体系是SD-DSM系统，它是全球最先进的三位一体电子存储数据安全保障体系，该体系由两套硬件设备组成，分别为SD-DSM-A及SD-DSM-B模块。SD-DSM为单位信息化保障建设提供纵向深度防御和横向容灾实时恢复相结合的全面解决方案，涵盖了前预防（离线备份）、中守护（数据恢复）、后防泄密（数据擦除销毁）三个方面。三个方面的立体防护保障体系为单位使用服务器、办公电脑、笔记本电脑、移动硬盘等电子存储数据打造了最低风险的稳定运行环境以及无责任事故的单位信息安全体系。通过先进技术的运用，可以尽量将风险降到最低，减少不必要的经济损失。

③深入检查信息运维管理系统，进行事前准备。信息数据量多、信息管理工作繁杂，是每个企业IT部门面临的问题。面对海量的数据，企业能做好的就是加强对信息数据的审核，IT部门要不断及时、深入地巡查信息运维管理系统，尽早的发现问题，并及时更正，对所出现的问题要进行记录和总结，制定出有效的防范和应对方案。在信息数据整理好后，再由IT部门交由其服务部门进行审核、更正，以加强信息的准确性。

④完善信息运维管理制度，建立科学合理的管理体系。IT管理主要是各种技术管理工作，像服务器管理、网络管理、系统软件管理和信息台账管理等，而为了更好地开展信息运维管理工作，需要将技术管理转化为流程管理，再将流程管理转化为服务管理，以满足客户的需求，创造更人性化的服务。同时，为了建立起具有行业特点和企业特色的运维管理系统，实现运维管理的及时性与主动性，就需要建立专门的运维中心，便于所有数据的集中存放与管理。此外，国家和企业也要制定相应的运维管理制度，制定一套完善的信息运维管理体系，严厉打击破坏、偷窃他人信息的行为，鼓励更多企业加强技术的更新，加大对信息运维管理的投资力度与专业人员的技术指导，加强其程序操作的规范性、合理性。