公务员期刊网 论文中心 正文

浅析机关单位信息系统运行维护制度建设

浅析机关单位信息系统运行维护制度建设

【摘要】本文对机关、单位信息系统运行维护管理方式和管理制度体系建设进行了初步探讨,分析了机关、单位信息系统运行维护管理制度制定过程中的工作方式和工作对象,以期对机关、单位的相关工作开展与实施起到一定的指导作用。

【关键词】机关;单位信息系统;运行维护;制度建设

1引言

网络空间已成为国家安全的最新战场,国际上围绕网络制控权的争夺越来越激烈,网络窃密与反窃密斗争形势更加严峻复杂,相关机关、单位信息系统(以下简称系统)受到攻击的威胁也越来越大。近年来,通过多管齐下、综合治理,网络窃密、泄密高发势头得到有效遏制。但总的来看,一些机关、单位仍不同程度地存在重建设轻防护、重使用轻管理等问题[1]。而从事这些信息系统运行维护、安全管理的工作人员对这些问题的严重性认识不足,技术防护不到位,风险控制意识松懈、思想麻痹[2],造成系统安全保密隐患严重。如何对运行维护工作加强管理,成为系统相关工作的核心问题。统筹考虑技术手段与制度管理的密切配合,对执行情况进行有效监督检查,形成闭环管理[3],在注重完善网络建设、增强技防能力的同时,建设完善的系统运行维护管理制度已成为其稳定运行的重要条件。

2系统运行维护工作的基本框架

2.1系统运行维护工作的基本目标

运行维护工作的基本目标可确定为,通过建立一个安全、合规、稳定、合理、可控的运行维护体系,确保系统的安全、可靠、可控,从而能充分利用系统资源。1.安全性:通过运行维护的技术活动,使系统在运行过程中能面对内外部的环境变化,始终保持其系统和数据的安全机制不遭受威胁和破坏。安全目标是系统运行维护过程中需要严格保障的重要目标。2.符合性:在系统运行维护过程中,应严格履行各项保密标准和操作性规章制度,运行维护活动不得降低系统原有技术防护强度和访问控制原则。3.稳定性:系统通过运行维护获得足够的可靠性,避免发生宕机、系统崩溃、数据丢失、大面积病毒暴发等重大运行维护事故。4.可审计:运行维护人员应结合系统变化,对照日常工作记录和安全审计日志进行运行情况分析,重点调查可疑及违规操作,工作过程中应形成可追溯的、完整的留证记录,权限应能合理配置并相互制约。5.合理性:系统运行维护技术活动应有序合理开展,运行维护工作制度应具有较强的可操作性,运行维护指标制定合理且能够被满足、被实现,运行维护工作响应及时。

2.2系统运行维护工作的主要内容

根据系统运行维护的工作目标,运行维护工作内容可划分为例行工作、响应服务、风险界定与评估和持续改进。1.例行工作:在系统运行过程中,在特定周期内需要不断重复进行,以确保系统在运行过程中保持稳定可靠的重要技术活动。2.响应服务:在系统运行维护过程中,根据用户需求,提供有针对性的技术服务与支持,是运行维护工作中人力成本所占比重最大的环节。3.风险界定与评估:在系统运行维护过程中,应根据系统的建设情况、使用情况和调整情况,定期对风险源进行辨识和控制。风险源的评估与界定直接关系着系统运行维护工作的方向,同时对风险等级的准确界定可有效降低系统的运行维护成本。4.持续改进:运行维护人员应符合系统和业务要求,持续优化运行维护业务流程和工作机制,以达到提高系统性能的目的。

2.3系统运行维护工作的主体

系统运行维护的主体需进行相应控制,主要分为内部运行维护人员和外来运行维护人员。内部运行维护人员应由本单位内部人员担任,要求政治可靠、熟悉系统管理操作流程、具有较强的责任意识和风险防控意识,应在本单位主管部门的监督下开展工作。在实际工作中,还需要进行授权细化,确保所有操作符合规定并经过授权。外来运行维护人员开展相关工作时,需要进行审核、登记、签订协议、记录操作等管理。在维护过程中,应全程由内部人员陪同;确需带离现场维修时,应进行必要的审批和技术处理。

2.4系统运行维护工作的主要对象

系统运行维护工作的主要对象是运行维护技术人员按需求提供的运行维护服务及相关信息技术资产,主要包括以下7个方面。1.基础环境:为系统提供基础运行环境的相关设施,如动力系统、环境控制系统、安全防护系统等。2.网络平台:为系统提供网络连接与通信环境的网络设备、通信设施,如网络线路、交换机、路由器设备等。3.安全系统:为系统提供安全防护的设备或系统,如防火墙、入侵检测、接入控制、安全审计、漏洞扫描、防病毒系统等。4.硬件设备:构成系统的计算机、服务器、存储设备等。5.基础软件:为系统应用提供运行环境的软件程序,如操作系统等。6.业务系统:由相关信息技术基础设施组成,完成特定业务功能的系统,如PDM、ERP、OA系统等。7.数据:应用系统支持业务运行过程中产生的数据和信息。

3系统运行维护管理制度的设计原则

在制定系统运行维护制度前,需预先了解系统的防护级别、防护强度、特殊安全性要求、控制风险及系统在设计和建设期间未解决的问题等因素,根据这些因素确定管理制度设计原则。系统运行维护制度设计原则应包括以下5个方面。

3.1安全与保密为主原则

确保国家秘密安全、杜绝和防止失泄密事件的发生是系统运行维护工作应首先考虑的要素。保密保障方面的要求有时与计算机网络性能(如数据的共享范围、传输效率、灵活性等)发生冲突。在这种情况下,应以安全与保密为主原则,在设计、实施、管理、运行、维护过程中,将确保国家秘密安全放在首要地位。

3.2技术安全和管理安全并重原则

系统运行维护必须做到技术安全和管理安全并重,配备必要的技术防护设备,同时用制度加以约束,制定合理的制度来保证设备技术安全。反之,管理制度需要适应技术的发展,管理模式要随着技术的发展不断调整,通过技术发展促进管理水平提升。

3.3准确了解保护对象原则

系统日常运行维护工作应有目的地确立工作重点,准确了解防护对象的特征,在系统中的性质、地位和重要度,同时对系统进行合理评估来确定运行维护工作的粒度。根据系统评估,确定运行维护工作开展的重点对象,例如,办公自动化(OA)系统重要度和防护需求较高,在制定运行维护管理制度时,应重点考虑其系统的检查周期、备份日期、审计频次、人员权限变化情况等;考勤系统重要度和防护需求较低,系统一旦发生故障,对机关、单位各项工作不会造成较大影响,在运行维护过程中可合理分配运行维护粒度。

3.4多层次、多安全单元防范原则

在开展系统运行维护过程中,应充分考虑各安全设备工作范围和其产生运行维护数据的关联关系,利用已有设备最大限度地发挥其技术性能,确保问题能及时显现并做到快速响应。各类安全设备、运行维护工具在系统运行中,会产生大量的运行日志和告警记录,通过对各类安全事件特征进行归类,提前做出合理的排查和定位,可使运行维护工作收到事半功倍的成效。

3.5用户便利性原则

复杂的运行维护流程和管理制度将造成系统日常运行维护效率低下。在确保信息安全的情况下,系统运行维护管理制度设计应尽可能减少冗余流程和环节,简化审批。可引入运行维护标准来设计标准化的工作流程,例如,可参考IT基础架构库(ITInfrastructureLibrary,ITIL)、ISO2000、信息技术服务标准(InformationTechnologyServiceStandards,ITSS)等通用性较强的标准来优化运行维护工作,使其更加规范化、标准化。

4系统运行维护管理制度的主要内容

明确制定系统运行维护的各项规章制度、建立健全系统管理体制、保证系统运行环境和数据的安全,才能保证系统为机关、单位各层管理服务,充分发挥信息资源的作用。管理制度组成部分应依据系统实际建设情况进行划分,按照事先制定的原则和统一标准进行分类编制,例如,根据内容分章节进行描述,或按工作对象制定不同的管理制度。制度内容应注意不同章节之间的相互影响和管理的标准化,避免出现同一对象在不同章节中出现不同的管理方式和标准。从系统运行维护工作和管理内容来看,制度内容可从以下两个维度进行划分。

4.1系统运行维护管理制度的流程

大部分系统的运行维护工作是基于流程框架的业务模式开展的,即系统管理过程中的各种业务活动过程。主要包括以下4个方面。1.事件与事故管理。主要包括:对引起系统中断或可能导致系统中断、质量下降的事项进行处理、记录的过程。主要目标是尽快使系统恢复正常,减少对系统的不利影响,尽可能保证其可用,同时记录、评估事故与事件并为其他流程活动提供支持。主要工作内容包括:事件通告、事故事件记录、事件过滤、响应级别选择、事件升级、调查诊断、事件关闭、事件评估等内容。2.问题管理。主要诊断故障根本原因和确定解决问题的方案所经历的业务过程,主要包括:诊断、维修、恢复、记录、重大问题评估等内容。问题管理为后续运行维护工作的开展提供相关经验和知识的积累。3.配置管理。主要范围包括:负责识别、维护系统或设备中的所有组成及各类设备或系统之间的关系,划分资源、提供正确的配置信息。配置工作主要包括:方案制定、配置识别、配置控制、状态记录、配置测试、配置实施、配置确认和审核等过程。4.变更管理。主要负责运行维护服务生命周期过程中对配置项的变更。具体对象主要包括:管理环境中与执行,支持及维护相关的硬件、通信设备、软件,运营系统,处理程序、角色、职责及文档记录等。变更管理过程包括:问题报告、变更请求、变更审核(评审)、变更通告、授权变更、变更实施等。

4.2系统运行维护管理制度对象

依据系统基本运行维护工作对象不同,将运行维护管理制度划分为以下4个方面。1.设施、设备管理。系统中应建立针对设施、设备的严格管控制度。主要包括:机房管理、环境设备管理、安全设备管理、综合布线管理、客户端管理、通信设备管理、存储设备管理、设备管理、配电系统管理等。2.安全策略管理。安全策略是系统进行安全规划、实施安全技术部署的顶层文件,也是系统运行维护过程中必须保证的重要技术指标和配置项目。主要包括:安全策略制定、变更、、修订周期及安全配置项等内容。3.人员管理。系统运行维护人员是运行维护工作的主体,在运行维护管理制度中,需要对各级人员的角色授权、职责范围、工作内容、作业基本行为规范、任职条件等内容进行详细定义,确保既定制度得以顺利执行以及各级人员能严格履职。4.档案管理。系统档案主要包括:系统开发、运行阶段的各项文档,包括可行性分析报告、系统说明书、系统设计方案、实施方案、设备操作手册、测试报告等,需要在系统存续的全生命周期范围内记录系统运行情况,同时各类安全配置资料、分析报告、审计情况应建立严格的档案管理制度。

4.3系统运行维护管理制度的基本内容框架

按照本文第三部分中提出的原则和第四部分提出的业务工作对象进行业务域划分,根据业务域内的工作流程对制度内容进行分析,以此确定制度中相互关联影响的部分,实现端到端流程的显性化和标准化,形成各项规定标准化的运行维护标准框架。使运行维护技术人员明确自身岗位所涉及的执行标准、考核指标、遵循原则。按照管理范围,将各工作流程涉及的运行维护工作划分出各工作模块,对各工作模块定义管理业务模块,向下一级划分各模块的子业务范围,形成自上而下构建制度的逻辑过程,避免各部分制度相互冲突,并对各业务之间的逻辑关系进行考虑和流程绘制,确定相关需要规定的约束条件,由此得出实际操作性较强的管理制度和标准业务流程。流程中各节点明确的责任岗位和质量衡量指标如图1所示,系统运行维护管理制度框架

5结语

本文从机关、单位信息系统运行维护管理工作的基本框架、设计原则、主要内容等方面进行了介绍,以期对机关、单位信息系统的实际运行维护工作起到一定的指导作用.

参考文献:

[1]杜虹.切实加强网络保密管理[J].保密工作,2012,(12):12.

[2]李元峰,蔡雅良.浅析涉密信息系统的分级保护[J].信息安全与通信保密,2008,(06):78~79,82.

[3]董碧丹.提高保密意识,做好涉密信息系统安全保密管理工作[J].保密科学技术,2012,(03):34~37.

作者:和朋 王璇 单位:山西省保密技术检查中心 国家保密科技测评中心