隨著計(jì)算機(jī)技術(shù)的快速發(fā)展，信息處理的能力正日益增強(qiáng)，大量信息技術(shù)在電力行業(yè)經(jīng)營(yíng)管理中的廣泛應(yīng)用，使得信息安全問題顯得越來(lái)越重要，當(dāng)前，電力行業(yè)作為國(guó)民經(jīng)濟(jì)的基礎(chǔ)性行業(yè)，各企業(yè)已經(jīng)建立覆蓋電力生產(chǎn)、經(jīng)營(yíng)、管理等各個(gè)方面的ERP信息系統(tǒng)，以快速應(yīng)對(duì)和處理企業(yè)運(yùn)營(yíng)過程中發(fā)生的各項(xiàng)事務(wù)，但是，隨著IT系統(tǒng)的復(fù)雜性和用戶對(duì)IT系統(tǒng)的依賴性不斷增強(qiáng)，傳統(tǒng)被動(dòng)的IT系統(tǒng)運(yùn)維管理模式已經(jīng)無(wú)法提供全面可靠、安全的IT運(yùn)行環(huán)境，評(píng)估和分析當(dāng)前各電力行業(yè)IT系統(tǒng)的運(yùn)維安全現(xiàn)狀，從而提出更可靠的IT運(yùn)維管理模式，對(duì)降低信息風(fēng)險(xiǎn)，提高IT系統(tǒng)的運(yùn)維安全有著重要的意義。

    當(dāng)前，電力行業(yè)中大多數(shù)企業(yè)通過實(shí)施基于某一類標(biāo)準(zhǔn)的管理體系(如ITIL／ISO 20000的ITSM體系)對(duì)企業(yè)的信息系統(tǒng)進(jìn)行監(jiān)控和管理，對(duì)系統(tǒng)IT運(yùn)維操作的流程規(guī)范進(jìn)行部署和實(shí)施，然而，這些管理體系僅僅提供流程管理方面的要求，即面向日常運(yùn)維的突發(fā)事件管理、問題管理、變更管理、配置管理等運(yùn)維流程管理框架，從嚴(yán)格意義上來(lái)講，這些管理體系只提供了規(guī)范，而在實(shí)際中所有突發(fā)事件、問題和變更以及日常巡檢任務(wù)等在流程階段需要進(jìn)行實(shí)施操作時(shí)，必須依賴手工的方式予以完成，例如某個(gè)新業(yè)務(wù)系統(tǒng)上線，在變更實(shí)施過程中要調(diào)整防火墻的細(xì)微設(shè)置，通常的做法是安全人員在自己的本機(jī)上直接TELNET到防火墻的命令行界面進(jìn)行規(guī)則配置，然而手工形式的運(yùn)維操作會(huì)帶來(lái)各種安全風(fēng)險(xiǎn)，在運(yùn)維操作安全管理的過程中，必須有效地降低這些風(fēng)險(xiǎn)。

    本文以電網(wǎng)公司信息運(yùn)維綜合監(jiān)管系統(tǒng)(簡(jiǎn)稱IMS系統(tǒng))為研究對(duì)象，對(duì)其IT運(yùn)維操作過程中存在的安全風(fēng)險(xiǎn)進(jìn)行了分析，并在此基礎(chǔ)上對(duì)系統(tǒng)的安全狀況進(jìn)行評(píng)估，提出相應(yīng)的IT運(yùn)維操作安全改善的對(duì)策。

1 IMS系統(tǒng)組成現(xiàn)狀

    電網(wǎng)公司綜合監(jiān)管系統(tǒng)在遵循國(guó)家電網(wǎng)公司信息運(yùn)維體系與有關(guān)標(biāo)準(zhǔn)的前提下，結(jié)合自身特色建設(shè)而成，目前，該系統(tǒng)由1個(gè)ERP管理平臺(tái)和4個(gè)子系統(tǒng)組成(見圖1)。其中，管理平臺(tái)進(jìn)行集中監(jiān)控，4個(gè)子系統(tǒng)為：IT系統(tǒng)監(jiān)控管理子系統(tǒng)、IT服務(wù)管理子系統(tǒng)、安全管理子系統(tǒng)和桌面管理子系統(tǒng)，分別對(duì)各項(xiàng)管理任務(wù)進(jìn)行具體監(jiān)控，IMS系統(tǒng)對(duì)華中電網(wǎng)IT系統(tǒng)的流程化、規(guī)范化管理起到了重要的作用，同時(shí)該系統(tǒng)為下一步自動(dòng)化、智能化管理提供了堅(jiān)實(shí)的基礎(chǔ)。

    圖1 電網(wǎng)公司IMS系統(tǒng)示意圖

2 IT運(yùn)維操作安全風(fēng)險(xiǎn)分析

    電網(wǎng)公司通過實(shí)施基于ITIL／ISO 20000的ITSM體系，對(duì)IMS系統(tǒng)進(jìn)行監(jiān)控和管理，該管理體系在運(yùn)維操作過程中存在各種安全風(fēng)險(xiǎn)，具體如圖2所示。

    圖2中各個(gè)管理領(lǐng)域內(nèi)造成安全風(fēng)險(xiǎn)的因素具體表現(xiàn)為：(1)事件管理：在事件處理過程的修復(fù)工作中，往往需要對(duì)IT資源進(jìn)行人工操作；(2)問題管理：?jiǎn)栴}管理中問題修復(fù)需要通過變更來(lái)實(shí)施；(3)變更管理：變更通過審批后，在執(zhí)行階段需要通過手工方式操作各種IT資源；(4)配置管理：配置管理更新或者審核過程中，需要手工訪問IT配置項(xiàng)的實(shí)際物理信息，此時(shí)也需要人工操作。

    從圖2可以看出，無(wú)論ITSM流程多么完善、制度多么嚴(yán)格，一旦進(jìn)入到實(shí)質(zhì)性的實(shí)施階段(例如變更實(shí)施)，則需要相關(guān)運(yùn)維人員按照預(yù)訂的方案對(duì)IT資源進(jìn)行各種操作，由于這些操作缺乏監(jiān)控、審計(jì)和足夠的自動(dòng)化，必然存在較大的風(fēng)險(xiǎn)，尤其是在部分運(yùn)維工作需要由外包人員來(lái)完成的情形下，風(fēng)險(xiǎn)更令人擔(dān)憂，概括地講，只要存在“兩層皮”現(xiàn)象(即IT運(yùn)維操作參照一套標(biāo)準(zhǔn)，但人工操作不能嚴(yán)格按照該標(biāo)準(zhǔn)執(zhí)行)，日常運(yùn)維操作必然存在安全風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)主要來(lái)自于：(I)運(yùn)維人員組成復(fù)雜；(2)缺乏嚴(yán)格監(jiān)督；(3)缺乏對(duì)資源訪問的全周期控制，包括事前、事中和事；(3)缺乏對(duì)資源訪問的全周期控制，包括事前、事中和事后3個(gè)階段的控制；(4)安全管理制度難以落實(shí)。

    從圖2可以看出，無(wú)論ITSM流程多么完善、制度多么嚴(yán)格，一旦進(jìn)人到實(shí)質(zhì)性的實(shí)施階段(例如變更實(shí)施)，則需要相關(guān)運(yùn)維人員按照預(yù)訂的方案對(duì)IT資源進(jìn)行各種操作.由于這些操作缺乏監(jiān)控、審計(jì)和足夠的自動(dòng)化，必然存在較大的風(fēng)險(xiǎn)，尤其是在部分運(yùn)維工作需要由外包人員來(lái)完成的情形下，風(fēng)險(xiǎn)更令人擔(dān)憂.概括地講，只要存在“兩層皮”現(xiàn)象(即rr運(yùn)維操作參照一套標(biāo)準(zhǔn)，但人工操作不能嚴(yán)格按照該標(biāo)準(zhǔn)執(zhí)行)，日常運(yùn)維操作必然存在安全風(fēng)險(xiǎn).這些風(fēng)險(xiǎn)主要來(lái)自于:(1)運(yùn)維人員組成復(fù)雜;(2)缺乏嚴(yán)格監(jiān)督;(3)缺乏對(duì)資源訪問的全周期控制，包括事前、事中和事后3個(gè)階段的控制;(4)安全管理制度難以落實(shí)。

    圖2 ITSM流程中IT運(yùn)維操作安全風(fēng)險(xiǎn)示意圖

    分析電力企業(yè)現(xiàn)階段IT運(yùn)維操作中存在的安全風(fēng)險(xiǎn)是展開和深人部署安全運(yùn)維體系的基礎(chǔ),因此，圍繞企業(yè)信息系統(tǒng)進(jìn)行IT運(yùn)維操作安全現(xiàn)狀評(píng)估將具有非常重要的實(shí)際意義。

3 IT運(yùn)維操作安全評(píng)估

    3.1評(píng)估方法

    評(píng)估以電網(wǎng)公司IMS系統(tǒng)為分析對(duì)象，采取如圖3所示的IT運(yùn)維操作安全管理現(xiàn)狀評(píng)估方法，該方法主要包括以下3個(gè)部分的內(nèi)容。

    (1)調(diào)研。調(diào)研的目的是對(duì)IMS系統(tǒng)在IT運(yùn)維操作安全管理方面的整體情況進(jìn)行評(píng)估，調(diào)研通過對(duì)IMS系統(tǒng)涉及的運(yùn)維人員進(jìn)行面對(duì)面訪談的方式展開，最后對(duì)訪談的結(jié)果進(jìn)行歸納和總結(jié)，從而對(duì)系統(tǒng)安全現(xiàn)狀進(jìn)行評(píng)估分析。

    (2)評(píng)估理論基礎(chǔ)。IT運(yùn)維操作安全管理成熟度定義(1～5級(jí)分別為初始級(jí)、可重復(fù)級(jí)、已定義級(jí)、可管理級(jí)和優(yōu)化級(jí))和ISO 20000／ISO 27001中IT運(yùn)維操作的相關(guān)安全要求是本次評(píng)估的理論基礎(chǔ)。

    (3)評(píng)估手段。對(duì)IT運(yùn)維操作安全管理方面的數(shù)據(jù)進(jìn)行收集和統(tǒng)計(jì)，包括實(shí)地操作、屏幕觀察等。

    圖3 IT運(yùn)維操作安全管理現(xiàn)狀評(píng)估方法

    3.2評(píng)估結(jié)果

    采用求和取平均值的方法，分別得到IMS系統(tǒng)中7個(gè)管理領(lǐng)域的安全成熟度得分情況。

    例如，對(duì)運(yùn)維操作變更管理領(lǐng)域的成熟度評(píng)估得分為1．7，評(píng)估過程按照ISO 20000／ISO 27001中相關(guān)標(biāo)準(zhǔn)要求形成了6個(gè)評(píng)估點(diǎn)，各個(gè)評(píng)估點(diǎn)的分解得分?jǐn)?shù)據(jù)如表1。

    限于篇幅，其它6個(gè)管理領(lǐng)域的具體分解評(píng)估點(diǎn)和得分?jǐn)?shù)據(jù)不在本文中列出，我們?cè)O(shè)定了各個(gè)維度的目標(biāo)值為4(L4：可管理級(jí))，安全現(xiàn)狀與安全目標(biāo)值之間的差距如圖4所示。

    圖4  IMS系統(tǒng)中各領(lǐng)域安全成熟度現(xiàn)狀和目標(biāo)差距

4 IT運(yùn)維操作安全管理改善措施

    根據(jù)IMS系統(tǒng)lT運(yùn)維操作安全現(xiàn)狀評(píng)估的結(jié)果，結(jié)合現(xiàn)階段IMS系統(tǒng)中存在四大子系統(tǒng)的現(xiàn)狀，我們擬定了IT運(yùn)維操作安全管理的解決方案，圖5展示了未來(lái)IT運(yùn)維服務(wù)技術(shù)支撐的總體框架，該總體框架分為3個(gè)部分：運(yùn)維門戶(運(yùn)維管理與操作服務(wù)門戶、IMS門戶)，技術(shù)保障子系統(tǒng)(智能處理、操作自動(dòng)化、操作管理、操作審計(jì)、監(jiān)控管理、IT服務(wù)管理、安全管理和桌面管理)和支撐管理子系統(tǒng)(用戶管理、權(quán)限管理、日志管理和自身管理)，IT運(yùn)維操作安全管理的路線如圖6所示。

    圖5 IT運(yùn)維操作安全管理總體解決方案

    圖6中各個(gè)階段所實(shí)施的流程簡(jiǎn)單介紹如下。

    (1)P0階段：實(shí)施監(jiān)控管理、IT服務(wù)管理、安全管理SOC、桌面管理、支撐管理子系統(tǒng)，IT運(yùn)維操作安全管理的成熟度在1級(jí)左右。

    (2)P1階段：在P0階段所實(shí)施的流程基礎(chǔ)上實(shí)施運(yùn)維操作管理、運(yùn)維操作審計(jì)，初步實(shí)施運(yùn)維門戶，并建立運(yùn)維操作安全管理體系，包括流程、職責(zé)和管理制度等，實(shí)施后，運(yùn)維操作安全管理的成熟度可達(dá)到2級(jí)左右。

    圖6 IT運(yùn)維操作安全管理路線圖

    (3) P2階段:實(shí)現(xiàn)ITSM和運(yùn)維操作管控平臺(tái)的無(wú)縫集成.以電網(wǎng)公司1MS系統(tǒng)為例，該系統(tǒng)采用HPService Manager作為ITSM流程管理平臺(tái)，將其與目前市場(chǎng)上成熟的IT資源操作控制和審計(jì)產(chǎn)品—Host Control Audit ( HAC)進(jìn)行集成(圖7-8給出了二者在變更流程、事件和服務(wù)請(qǐng)求流程中的集成情況)，這些集成可以實(shí)現(xiàn)數(shù)據(jù)、結(jié)果以及審計(jì)相互自動(dòng)反饋和訪問.另外在P2階段完全實(shí)施運(yùn)維門戶，部分實(shí)施運(yùn)維管理智能分析.實(shí)施后，運(yùn)維操作安全管理的成熟度可達(dá)到3級(jí)左右。

    圖7 ITSM平臺(tái)和HAG運(yùn)維操作管控平臺(tái)在變更流程中的集成

    (4) P3階段:運(yùn)維自動(dòng)化，即:運(yùn)維流程自動(dòng)化與運(yùn)維操作自動(dòng)化.實(shí)施特有的運(yùn)維操作自動(dòng)化工具，實(shí)現(xiàn)運(yùn)維工作中多數(shù)工具的自動(dòng)化、腳本化、自動(dòng)審計(jì)化，徹底解放操作人員的雙手.實(shí)施后，運(yùn)維操作安全管理的成熟度可達(dá)到4級(jí)左右。

    (5)P4階段:持續(xù)改進(jìn)，不斷優(yōu)化.經(jīng)過一段時(shí)間后，運(yùn)維操作安全管理的成熟度可達(dá)到最高級(jí)5級(jí)。

    圖8 ITSM平臺(tái)和HAC運(yùn)維操作管控平臺(tái)在事件和服務(wù)請(qǐng)求流程中的集成

5 結(jié)語(yǔ)

    本文針對(duì)目前電力行業(yè)rr運(yùn)維操作所存在的安全風(fēng)險(xiǎn)，以電網(wǎng)公司綜合監(jiān)管系統(tǒng)為研究對(duì)象，對(duì)其IT運(yùn)維操作安全現(xiàn)狀進(jìn)行了分析和評(píng)估，并在此基礎(chǔ)上提出了總體的解決方案和安全管理路線圖，實(shí)踐表明該評(píng)估方法和IT運(yùn)維操作安全管理總體框架是可行、有效的，對(duì)其他電力企業(yè)中IT運(yùn)維操作的安全管理具有借鑒的重要意義。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://m.guhuozai8.cn/

本文標(biāo)題：IT運(yùn)維操作安全評(píng)估及對(duì)策分析

本文網(wǎng)址：http://m.guhuozai8.cn/html/news/1051552448.html