發布時間:2023-06-26 16:15:04
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的網絡運維工作的重要性樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
關鍵詞 網絡管理;集中運維;資源整合;帶外管理
中圖分類號:TP3 文獻標識碼:A 文章編號:1671-7597(2013)23-0106-02
近幾年在石油企業信息技術基礎設施項目中,網絡管理與運維的重要性愈加凸顯,在多年的不懈努力之下,石油企業網絡管理與運維在網絡結構上形成了石油企業集團公司、石油企業網絡區域中心、地區公司網絡三層網絡架構,在功能上形成了網絡設備、安全設備、基礎應用、應用協議等多種監控、運維業務。
由于石油企業下轄油田公司、銷售公司、研究機構等部門眾多,地理位置分散,統一運維管理難度較大,所以在現階段針對這種多分支機構的企事業單位較難形成有效的信息資源整合及集中運維管理方式。在這種形勢下,依據筆者多年的石油企業網絡運維管理經驗,適時的總結出一套行之有效的多分支機構集中網管運維系統模型,有效的提高了運維效率、降低了運維成本,并且極大的提高了信息資源的安全性。
1 網絡管理的三個階段
網絡管理按照發展方式可以分為以下三個階段。
1.1 重建設、輕運維階段
在整個信息系統建設初期,信息資源保有量較少,該階段更加注重的是形成規模和體系的網絡架構,增加信息化建設基礎設施的保有量。由于信息資源保有量較少,該階段的運維任務并不重,可以在這個階段重視建設,運維僅能維護系統正常運轉即可。
1.2 建設、運維并重階段
經過一定的信息化建設后,信息資源已經初具規模,但并未達到飽和狀態,整個信息系統對信息資源的需求量仍然很大;但在該階段,運維工作并不像第一階段那樣作為輔助工作維護信息系統運轉,在該階段就應該將運維工作與建設并重;并且在該階段就應該著手向第三階段過渡。
1.3 輕建設、重運維階段
該階段信息化建設已經形成較大規模,信息資源在整個系統內已經趨近飽和狀態,建設任務基本已經結束,在日后的網絡運維過程中的建設也是依據資源需求進行局部的、小范圍調整。與此同時,網絡管理與運維工作的重要性凸顯,成為日常工作的重中之重。該階段應該形成有效的信息風險的適應能力,并且具備信息系統的反饋能力,能夠指導局部建設或資源調整。
2 集中網絡管理與運維的必要性
依據上述的網絡管理的三個發展階段描述,現在大多數企業仍然處于第二階段向第三階段過渡,該階段頗為重要,需要具備企業網絡管理與運維思想的前瞻性,能夠認知到整個信息系統轉變到第三階段后要面臨的挑戰和應對手段。面對第三階段,筆者進行了總結,認為對于多分支機構網絡進行集中運維管理是應對挑戰的不二法門。
以下總結一下多分支機構呈現的分散式的網絡所面臨的問題。
1)各分支機構相對缺乏完善的運維制度和運維流程。受制于各分支機構規模和規范化的影響,大多數分支機構的運維制度和運維流程相對缺失,很難形成制度化、規范化的運維流程,而這又是減少運維過程中人為隨意性的有效約束力。
2)各分支機構運維人員能力參差不齊,運維響應能力相對滯后。各分支機構運維人員的技術能力參差不齊,少數能達到總部網絡運維團隊的水準,所以出現故障時可能無法得到及時的響應,從而造成生產上、經濟上的損失。
3)無法形成全局的運維管理觀念。從分支機構自身為視角,很難具備對企業整體網絡框架的全局觀,無法達到自身優化,更無法做到各分支機構之間網絡調整、資源優化。
4)運維和管理過程存在人為風險。由于缺乏完善的運維制度和運維流程,在日常的運維過程中就可能會存在人為的隨意性,形成隱患。
通過以上闡述,很容易得出:對于多分支機構的企事業單位,亟需一種集中式的網絡管理與運維手段,打造技術實力儲備深厚、運維管理過程規范的集中運維管理團隊,對整個企業內的信息化資源有全盤的認識和掌控能力。所以建立集中網絡管理與運維系統是十分必要的。
3 集中網絡管理與運維系統架構
集中式網絡管理與運維系統將依托于現有網絡管理系統構建,針對現有網絡監控系統增加帶外管理系統和網絡配置管理系統,并且實現與石油企業統一身份認證平臺、服務流程平臺、短信平臺進行集成,形成統一入口、規范流程、集中監控、集中運維、集中控制的三集中綜合運維管理平臺。
其中帶外管理系統的構建將依托于現有網絡鏈路資源,現有廣域網資源一般為雙核心、雙鏈路,已經在可靠性上形成有效保障,無需單獨增加帶外管理獨立的鏈路,所以可以在可靠性和經濟性上形成一個折中。
通過建設帶外網絡管理系統和網絡配置管理系統,可以有效解決下列問題:
形成獨立的網絡管理與運維通道:帶外網絡管理系統通過串口管理設備,將網管數據與業務數據分開,為網管數據建立獨立通道。在這個通道中,只傳輸管理數據、統計信息等,網管數據與業務數據分離,可以提高網管的效率與可靠性,也有利于提高網管數據的安全性。如果設備在帶內網管上已經不可控,帶外網管可通過設備已有的Console端口,利用獨立的通道獲得對設備的控制能力。
高可靠的故障處理功能:通過帶外網絡管理系統,能夠形成獨立的網絡管理與運維專用通道,與傳統業務網形成雙平面帶外網絡管理系統;在業務網無法訪問或設備脫網時仍然能夠對設備進行遠程訪問與維護,提高故障處理能力。
遠程現場級運維:通過帶外網絡管理系統能夠形成高可控的遠程管理模式,達到現場級運維需求,縮短故障處理時間,最大程度減少損失。
應急與災備功能:帶外管理網絡能夠作為一條設備應急訪問通道,形成石油企業廣域網網絡容災中除冗余核心、冗余鏈路外另一種新的容災方式。
運維日志記錄功能:能夠詳細記錄用戶的登陸、操作及退出情況,并且能夠根據管理的要求定制一些事件,可以通過郵件通知。
操作過程回溯功能:提供強大的操作過程記錄和回放功能,完整的記錄運維人員所有操作行為,在因運維操作引起網絡設備故障時能夠快速定位故障原因和責任人,達到操作回溯和規范化運維的需求。
4 應用效果
通過構建集中網絡管理與運維系統,能夠形成集中網絡監控、集中網絡運維、集中網絡控制的三集中一體化網絡運維管理系統,通過網絡監控子模塊監控網絡狀態、發現網絡中的問題,一旦發現問題進行告警,通過帶外網絡管理和網絡配置管理子模塊形成有效的運維響應機制,減少人為干擾因素,提高機房的安全性。并且監控、管理、運維均在運維流程模塊監督之下,提高運維流程規范化。通過該系統建設,能夠有效增強多分支機構企業的網絡應變能力,增加網絡可控性、可靠性。
參考文獻
[1]褚建立,劉彥舫.計算機網絡技術[M].清華大學出版社,2006.
[關鍵詞]有線電視網絡 監控平臺 網絡安全 運維支撐
隨著有線電視傳輸網絡規模的不斷擴大及數字電視業務的快速發展,各種類型機房和相關設備的數目不斷增多,機房已成為各廣電部門業務管理的核心部門。為保證其安全正常運行,機房設備、線路及與機房配套的機房動力環境系統、消防安保系統必須時刻穩定協調工作。如果設備、線路發生故障,就會影響用戶的正常收看;如果機房動力及環境設備出現故障,輕則影響HFC系統的正常運行,重則將造成HFC設備的報廢,導致HFC系統陷入癱瘓,后果不堪設想。
目前國內有線運營商機房設備各自獨立運行的情況較為普遍,且缺乏專業的設備管理人員及綜合有效的管理手段,加之有線電視傳輸網絡的分前端機房基本處于無人值守狀態。鑒于此,對于有線運營商來說,建立機房的動力環境實時集中監控系統,及網絡設備運行監控系統于一體的綜合網管平臺極其必要。
架構及功能
綜合網管平臺應是一個集GIS地圖大屏、參數監控、報警接收、報警預處理、專家診斷、派工、聲光報警系統,短信報警系統為一體的網管運維指揮調度平臺,架構如圖1所示。
其包含若干子系統,這些子系統可分別建設、獨立運行。主要包括以下8個子系統(未來可能還會發展更多新的子系統):
1.機房環境動力監控子系統。負責監控機房內一切動力設備及環境狀態,主要包括:UPS、變電箱、空調、溫濕度、門禁、圖像、水浸等。
2.傳輸設備監控子系統。負責監控機房內的傳輸設備(如環網設備、發射/接收設備)及野外設備(如光站、放大器等)的指標及運行狀態。
3.機箱監控子系統。其通過GSM無線網絡等傳輸方式監控野外落地箱、光站的開閉狀態。
4.反向信道監控子系統。負責對HFC網絡的回傳信道進行實時監測。
5.CMTS監測子系統。實時與CMTS及每一個CM通訊,獲取包括發送,接收電平、信噪比等信息,當這些信息超出既定門限值時系統將主動報警。
6.B平臺監測子系統。實時與每一臺B平臺設備通信,獲取包括吞吐量等主要信息,當超出既定門限時主動報警。
7.GPS車輛調度子系統。負責對每一臺工程搶修車進行實時監控,當其發生網絡故障需要維護時,可尋找距離最近的車輛提供快速搶修。
8.其他監測子系統。各地運營商可根據自身的業務發展狀況擴建自己的子系統,綜合平臺還可管理交互式機頂盒、數字電視前端等系統。
重要性
1.安全價值
對于廣電業務傳輸商來說,安全播出是其工作的第一重點。涉及網絡安全的因素有很多:如自然災害、意外事故、蓄意破壞、偷竊、非法信號插入等。廣電傳統的舉報獎勵。人工值守等手段無法從根本上解決此類問題,隨著網絡的數字化,網絡安全管理應突出科學化、制度化,利用先進技術手段,采取技防、人防相結合的方式徹底解決網絡的安全問題。
與此同時,保證網絡安全是一個永恒的難題,因為維護人員無法預測何時將產生危機,其唯一能做的就是提前獲知涉及安全的隱患所在,當發生安全事故時能夠具備有效解決問題的手段。
網絡安全可分為兩個層次:一是對網絡基礎設備的破壞;二是對網絡傳輸信號的入侵,且兩者有一定的關聯性。網絡基礎設施的破壞有可能是蓄意性質的,如對野外落地箱、光設備、光纖和電纜的偷盜、非法闖入機房偷竊設備等,也有可能是無意破壞的,如:光纖被無意割斷,機房基礎設施空調損壞導致火災,外電空氣開關損壞或UPS電池用光導致機房停電及設備性能劣化導致停播等。有了智能化工具之后,首先可預測故障的發生并提前維護;其次當突發故障產生后,可快速調度相關人員及設備進行搶修。
而對網絡信號的非法入侵則主要屬于政治破壞,目前這一行為主要集中在網絡插播上。隨著衛視信號的換星,衛星攻擊變得越來越來困難,破壞者開始將目光轉向有線網絡,這幾年同內有線運營網絡已發生過多次非法闖入無人值守機房或野外光站,非法插播信號的事件。鑒于此,對機房(尤其是無人值守機房)及野外設備的監控是網絡安全平臺工作的重中之重。
綜合網管平臺,不但可實現從前端機房到終端整個鏈路的全面監控,在同一個平臺上集成對各類網元的統一監控功能,還可通過短信報警系統和其他方式與GPS車輛調度(搶修大隊),610辦公室、110、街道、小區保安等聯動,從而快速有效地提升整個廣電網絡的安全指數和應急處理能力。
2.運維支持價值
實現網絡快速運維將大大提升網絡的服務質量。據相關權威部門統計,上海市有線電視用戶約為600萬,截至2009年底,上海市IPTV用戶已突破100萬,即電信搶了廣電17%的市場份額,這還是在有政策壁壘的前提下。老百姓拋棄廣電選擇電信的重要原因除了,IPTV自身擁有的互動特性及電信營銷手段突出外,一個更加重要的原因是電信網絡的00S(Quality of Service服務質量)大大優于廣電,在有QoS保障的前提下,電信可以在其網絡開展更多更好的業務。
如圖2所示,與其他網絡相比,廣電基礎網絡擁有獨特的優勢,但業務卻遠遠落后于其他網絡,究其原因是廣電網絡的支撐維護系統較為薄弱,是廣電的“短腿”。因此在三網融合的大背景下,未來廣電要想贏得市場,在進行基礎網絡雙向及升級建設的同時,也要充分重視支撐網絡的建設工作。
而綜合網管平臺的最終目標就是要實現上述支撐網的完整功能。舉個例子:網絡上的骨干光纖網均有冗余備份,當主路光纖被損壞時,會自動啟用備份路南。如果有線運營商沒有進行支撐網絡的建設,一旦發生重大播出事故,后果將不堪設想。而通過網絡平臺,在主路故障發生的半小時內,運維人員就可完成修復工作,因為支撐網絡的綜合網管平臺會明確提示故障原因及發生地段。
再如:某一小區的一個光站帶500個用戶,隨著光站的常年運行,其內部正向接收模塊性能將逐漸劣化,當接收光功率降低至5dBm時,所帶的500戶將無法收看電視。如果具備支撐網絡平臺,當此模塊接收光功率降至-3dBm時,系統將報警通知運維人員及時更換模塊。
而這還只是電視信號傳輸故障,如果運營商已開展了雙向數據業務,用戶正在炒股,如果網絡發生故障,待用戶投訴后再去檢查維修,可能2小時就過去了,而在這2小時內如果股票市場發生重大行情波動(如股票跌停),將會給股民造成難以估量的損失。為了避免出現這種情況,老百姓必定要選擇能夠提供更優質安全服務的網絡服務運營商,因此采用綜合網管平臺將大大提升有線網絡的運維價值。
結論
關鍵詞:運行效率;目標;配網運維;搶修;優化管理
為了給廣大用戶提供安全、牢靠的電能,電力企業首要做的工作就是提升服務質量、增強運行效率。原始的配網運維搶修管理方式已經不能滿足當前電力企業的運行需求,實現配網運維搶修優化管理,才能有效的提升運行效率,從而推動我國電力企業的穩定發展。下面,本文將進一步對提升運行效率為目標的配網運維搶修優化管理進行分析和探究。
一、配網運維搶修優化管理的重要性
在傳統模式的作用下,配網搶修主要是以技術改進為側入點,快速找出配網發生故障的方位,以此來提升故障隔離效率,進而增加恢復送電速度。但是這種方式缺少配網運維搶修管理方法的探究,搶修管理流程不合理,搶修人員技術水平偏低,缺乏完善的激勵制度,從而給配網故障搶修效率帶來一定的影響。隨著電力企業開始加大配網管理優化力度,構建完善的檢修體系,建設配網搶修指導平臺,配置自動化管理系統,從而實現了生產運營優化管理的效果。當前,在配網管理模式中,以搶修代替維修的管理模式比較落后,不具備預防性,主要以優化線路運維的視角來實現搶修工作,并且在搶修管理中,管理流程不合理、工作人員缺少工作積極性等問題也越發嚴重,嚴重阻礙了各項工作的全面開展。因此,要想提升配電網運行效率,給廣大用戶提供安全、可靠的用電環境,做好配網運維搶修優化管理是非常必要的。
二、配網運維管理工作中存在的問題
1輸電線路設計不合理
要想提升配網運維管理質量,首先就要做好輸電線路設計工作,這樣不但可以滿足負荷需求,同時還能保障配網的運行安全,給后續的施工、造價以及管理工作提供便利的條件。但是其前提條件是要保證路徑選擇的規范性和合理性。然而,根據當前的情況來看,在進行輸電線路設計時,因為會受到施工質量以及施工技術等因素的影響,進而給輸電線路設計合理性帶來影響,例如,某電網企業在設計的過程中,尤其設計自身存在特殊性,但是在面臨這種特殊情況設置時,沒有根據設計需求開展設計工作,進而導致設計缺少合理性。
2配網網絡框架不完善
隨著城市的飛速發展,電力企業在進行規劃和建設時,沒有把城市規劃融合到其中,尤其是現階段城市各種設施存在不確定性,進而給負荷預測效果帶來了影響,使得在進行電網規劃時,配網電源點負荷和城市建設相違背的,導致電力企業不能取得理想的投資回收率,甚至會面臨重建的情況。此外,城市土地價值逐漸提升,這就給配網規劃建設項目的落實增添了難度,造成一些區域盲目追求電纜化率的現象極其嚴重,在給配網建設帶來負面影響的同時,還會危機配網的運行安全。
3配網的現代化管理水平不高
現階段,我國相關部門已經給電網建設提供了充足的資金支持,從而促進了配電網的快速發展。但是在進行配電網管理的過程中,依然存在諸多的問題,針對電網建設而言,配電網建設普遍落后,并且框架缺少合理性,線路負荷過高,管理方式比較陳舊。當前,在進行配電網管理以及運行的過程中,缺少先進技術做支撐,進而配電網現代化管理水平有待提升。
三、提升運行效率為目標的配網運維搶修優化管理措施
1優化配網運維搶修組織
(1)調整運維搶修組織設置
以優化運維搶修組織為側入點,提高線路運行和搶修質量,優化配電網管理效率,根據區域特性來實現城市配網分區管理,構建城市配電網維修和搶修團隊,以區域劃分的形式對于該區域的配電網運行情況進行監管,一旦發現故障,及時找出故障位置,采取相應的措施,保證配電網運行安全。配網優化運維搶修組織框架見圖1:
(2)引入崗位競爭機制
的加大班組長團隊建設力度機制,提高升班組長薪資標準,以帶兵有方、工作突出為原則,來全面調動班組長的工作積極性。在進行班組長崗位競爭時,要秉持著公開競聘的準則,讓一些具備高能力、高素養的技術骨干參與到班組管理工作中,以此來提升班組管理的整體水平。此外,針對同事班員崗位來說,應該采用末位淘汰制,增強工作人員提升自身技能能力的壓力,從而保證配網運維搶修優化管理。
2優化運維搶修基礎工作
(1)動態收集設備運行參數
要想保證設備運行參數的精準性,落實動態管理,就要制定相應的管理審核機制,采用“一線一冊”的形式來收集相應的設備運行參數,保證變更異動管理流程的科學性和規范性,同時還要將收集的資料和數據傳送到審核部門、設備驗收部門以及施工部門等部門,明確自己的職責。以此還要以六個月為單位,進行全面的核查,保證設備處于完善狀態。
(2)簡化故障搶修研判、處理流程
對故障研判以及處理程序進行優化,例如,在處理lOW線路故障時,搶修部門需要結合管轄區域的差異性,通知對應的搶修團隊進行搶修。如果出現的低壓故障,搶修部門需要通知外協企業的搶修值班工作人員進行解決,在解決完畢后,外協企業的搶修值班工作人員需要將搶修結果匯報給搶修部門。通過優化的方式,不會因為專業劃分而引起工單流轉現象,在發生故障時,實現了一個部門、一支團隊、一次完成的管理目的,這樣不僅有效的提升工作效率,同時還能降低搶修時間。
關鍵詞:企業;IT運維;管理模式;研究;策略
中圖分類號:F27
文獻標識碼:A
doi:10.19311/ki.1672.3198.2016.28.027
信息技術的快速發展,讓企業對于IT運維服務管理工作不斷提出新的挑戰。IT運維服務管理模式為企業提供可靠了的保障,為信息工作的發展鋪平道路。隨著社會經濟的快速發展,企業的新華化也進入了一個新的時代,不僅企業IT規模隨著企業的發展而龐大,企業的信息化需求也在向自動化、多元化和層次化發展,為了保證企業的業務工作能夠安全、可靠、快速的展開,企業開始使用各種管理手段和技術手段進行提升。
1 企業IT運維管理的現狀及存在的問題
第一,由于地域和行業的不同,所以企業的IT運維管理模式也存在一定的差異。有的企業在管理中習慣使用傳統的運維模式,而有的企業則喜歡應用先進的企業運維管理模式。第二,即使在同一個企業,由于級別的不同,所以其管理方式也存在一定的差別。但是整體來講,我國大多數企業的IT運維管理都存在以下問題。
1.1 IT運維管理的服務導性沒有得到重視
隨著經濟時代的發展,企業的規模也在日益壯大,在對IT運維管理提高要求的同時,管理也變得越來越復雜。企業的IT運維管理為什么總是會出現問題,因為企業的IT運維管理缺乏整體性的管理,只注重事中管理和事后管理,從而忽視了IT運維管理的服務導向的重要性。針對這種現象,則需要在IT運維管理中,重視對企業IT運維管理的全局性規劃,促使企業的組織能力得到有效的提高。
1.2 IT運維管理的體系不健全
IT運維管理有著較為廣泛的范圍,由于大多數企業的IT部門不是按照IT基礎機構的功能劃分的,就是按照企業業務的模塊進行劃分的,所以企業在日常的IT運維管理中,既沒有辦法對IT服務人員的工作進行考核,也無法監督IT服務人員處理故障的效率及質量。其次,往往企業IT的運維管理在出現問題時,并不是單一環境出現問題,只有企業的多個部門相互協作才能解決問題的關鍵,由于企業IT運維管理過程的職責不清及體系不健全,所以導致企業各部門經常出現互相推卸責任的現象。
1.3 運維管理的流程缺乏保障體系
企業的IT管理部門不僅要確保企業信息系統在運行時的安全、穩定及可靠,還要利用強大的信息系統為業務部門的各項決策提供有效地支持。但由于IT管理人員往往會出現為了處理突發事件,從而忽視了主動服務的現象。
1.4 運維管理缺乏長期的規劃
大部分企業的IT運維管理由于偏重于對“硬平臺”的建設,忽視了“軟平臺”的管理和維護,導致運維工作人員在客戶滿意度考核中評價較低,而相關部門的責難也會打擊工作人員的積極性。尤其企業網絡建設缺乏這種長期的規劃和對于復雜IT系統的運維管理經驗,導致企業IT運維管理停滯不前。
2 提高企業IT運維服務管理能力的有效措施
2.1 在ITIL視野下建立適合企業的IT運維架構
傳統的運維管理架構相對于IT運維管理架構來講相當簡單,其在碰到運維方面的問題時由運維負責人分配工作,這樣的運維方式在企業初期階段簡單高效,但隨著企業規模的不斷擴大,以及計算機信息技術的普及應用,傳統運維模式就會受到耗費人力、物力,并且處理問題的效率也較低以及工作量比較大等不利的因素影響,所以,企業為了能夠高效率的運維管理,就需要改換為新的IT運維模式。IT運維管理有三個優點,第一,其不但為企業提供了穩定、高效、可靠的網絡管理平臺,而且也為企業的各個應用系統的正常運行提供了強有力的保障。第二,能夠快速解決客戶端的運維故障,為客戶提供了滿意的服務。第三,IT運維管理在為企業節省人力的同時,提高了處理網絡故障的工作效率。基于IT運維管理的這三個優點,所以企業在IT運維管理方面不斷尋求創新以及不斷提高要求。
其次,企業的領導需要結合ITIL思想的指導作用,建立相應的信息化工作領導小組,并且其小組的成員必須是企業信息化職能部門,專門負責IT運維管理的決策管理與協調所有IT運維的工作。
2.2 建立職責相應的獎懲制度及運維工作考核標準
企業各部門的崗位工作方式都不相同,有的員工做著現場維護的工作,有的干著遠程處理的工作,所以,不同崗位的工作所承擔的責任以及所享受的待遇也不相同,但是,企業要給予員工在職責和待遇方面要與其職位相應,因此,企業應當推出與工作職責相應的獎罰及晉升制度,以激勵員工的成長進步。其次,由于IT運維管理的各個崗位的工作方式不一、技術水平不同,因此要對運維人員的工作進行量化,并通過一系列分析運維數據制定嚴格的考核標準,激勵員工不斷提高服務水平和服務質量。
2.3 企業結合組織節后,建立并明確運維管理的流程
傳統運維管理模式對企業IT部門是按應用開發、網絡管理以及系統控制等專業進行工作劃分的,其工作也是按照水平層面進行管理的。但是新的IT運維管理系統則是按照專業和技能對企業各部門進行工作分工的,比如,一線專門負責解決處理IT運維管理中最基礎的問題,二線則負責解決處理IT運維管理中最難、最復雜的故障,而經理則需要對IT運維管理進行全面把握和疑難問題的解決。這樣根據企業的實際情況,對結構進行優化,建立各個系統的的運營架構,使各個部門既相互獨立,又互相聯系。企業只有對組織結構進行調整,明確企業IT運維管理的具體流程,即使企業的IT系統出現了問題,仍難能夠第一時間聯絡相關負責人,解決問題。
2.4 建立IT運維各系統的管理辦法
IT運維管理模式和設備預知維修模式一樣,同樣注重預知維修。IT運維管理模式也能夠根據監測系統和日志記錄系統發現異常現象,并且能夠通過檢測系統將故障在萌芽的狀態下解決。現代企業管理比較依賴于IT運維服務管理模式,所以對IT運維服務管理模式的要求也不斷提高,比如,某大型企業的MES、ERP、IC卡等應用系統,要求必須實行二十四小時工作,如果不實行實施工作,那么如果某一個應用系統中出現任何一個小故障都會給企業造成巨大的經濟損失,因此,降低信息系統出現的故障率對于企業來講是非常重要的。
2.5 建立并且完善IT運維服務管理各系統的文檔資料
由于網絡的不穩定性,即使企業IT運維服務管理各系統的資料再詳細,也有出現故障的可能,故障處理不好的話還會導致數據丟失,而維護好文檔資料對IT運維服務管理工作有著重要的意義。文檔資料在整理的時候除了要清晰、全面,同時還需要滿足“動態更新”和“高質量材料”兩個原則,如果資料的動態沒有得到及時的更新,對事情對產生不利的因素,影響對事情的判斷;一份高質量的資料能夠讓一個新人在完全不了解公司情況下,通過資料能清晰的了解公司的現狀,因此建立并完善的各系統的文檔資料管理對于IT運維管理非常重要。
3 總結
多數企業為了實現優化生產程序、提高工作效率以及減少對管理的成本,都選擇使用IT運維服務管理模式,IT運維服務管理模式,在幫助企業實現以上要求的同時,企業也對其提出了更高的要求標準,企業IT運維服務管理模式既要有一個完整、清晰的運維架構及合理的工作流程,同時更要注重企業的管理工作及制度,只有這樣,IT運維服務管理模式才能夠更好的服務企業。究竟未來的IT運維管理會得到怎樣的發展,我們不得而知,但是不可否認的是,我國企業的運維管理意識還有待于普及,相信而隨著信息化進程的快速發展,IT運維管理一定會有廣闊的發展空間。
參考文獻
[1]徐健,孫永.基于ITIL構建企業IT運維服務管理體系[J].微型機與應用,2014,(10):97.101.
1 電力信息網絡技術概況
電力系統是國家的基礎產業,隨著科學技術的不斷發展,網絡技術在電力信息通信中的應用,為其提供了安全、穩定、高效的生產保障,其在電力系統當中有著非常重要的作用。電力信息網絡技術主要的特點包含以下幾個方面:首先其信息覆蓋的面積是比較廣泛的,技術的裝備化程度也是非常高的,必須要同時的掌握計算機技術、通信技術、網絡技術、自動化技術以及相關的電力系統專業知識。其次其具有地域性,各個國家和地區的電力系統有著不同的運營以及管理的特點,在電力信息網絡技術上面很難做到標準化以及產品化,并且還受到了國家政策的保護,國產化是發展的主要方針。
2 信息業務分析介紹
電力調度和管理工作重要的信息交流的平臺,必須具有可靠性高以及連接速度快的特點,首先是變電站視頻監控信息,對于整體的業務進一步的進行補充和完善;其次是管理信息系統,電力信息通信專網實現了各部門計算機信息聯網,通過相應的查詢功能,提供每日的日常任務,以此來實現信息資源的共享;第三是電網調度自動化實時數據系統,為了實現電力系統調度中心提供實時數據,以此為電力的調度提供保障,要保障信息的精準性,保障網絡延時降到最低;第四提供可靠性高的繼電保護信號,并且還能夠實現視頻會議業務,能夠有效的實現遠程實時會議,還有就是通信支撐網以及通信監控信息等附屬服務的實現。
3 電力信息通信網絡現狀
當前各個地區電力部門設備還不能夠進行完全的統一,從而也就會導致網絡監控以及維護等措施的調度會受到限制,這樣就會嚴重的影響電力通信網的運維。另外電網的安全可靠性的運行主要的是通過對電力通信網絡信號的控制來實現的,相應的傳輸信號主要的是繼電保護的信號。還有就是在電力系統故障維護的過程當中,主要的延續了傳統的模式,也就是接到用電客戶投訴之后,由相關的值班人員電話通知來進行維護,這樣就會費時費力,并且還不利于統計工作的進行,這樣就會給統一配運維資源帶來很大的壓力。此外有必要建立一個先進的資源管理系統和集中運維管理平臺系統,這樣在應對災害的時候,相應的應急通信網絡就能夠進行實時控制信號的傳輸。現有的電力通信網絡還不能夠保障維修機構的監測手段到達這個效果,不利于電力系統的良好運行。
4 信息體制分析和發展思路
隨著我國經濟的發展,對于電網改革力度的加大,很多的電力企業已經建成了具有一定規模的電力專用的通信網絡,但是,當前通信網的網架結構還存在一定的問題,其主要的表現在以下兩個方面:首先其還是鏈狀網絡,相應的可靠性是比較低的,當前電力通信網絡拓撲在整體上還是依賴于相應的輸電線的走向,通常情況下是呈現星形或者是鏈狀拓撲結構,這樣的結構可靠性是比較低的。根據當前電力通信網絡的狀況,只能夠采用線路保護的倒換,沒有辦法有效的實現環形網保護。其次是不能夠支持IP業務,在電網系統當中,傳統的同步數字體制主要是傳輸語音等時分復用業務。同步數字是一個以復雜的集中式供應和有限擴展性為主要特征的體系結構,此種結構很難用來處理以突發性和不平衡性為特點的IP業務,所以也就不能夠滿足相應的IP業務的需要。
為了使網絡能夠很好的實現IP業務,主要的是要對技術體制進行改革,以此來保障相應的IP業務能夠很好的實現。對于已經建成的同步數字體制網絡的地區,為了保障投資的有效性,應該盡可能的使用現有的設備以及技術體制升級到適合承載IP業務的通信網絡,從而有效的實現從時分復用的模式過渡到動態IP的網絡模式。對于還沒有建立本地電網電力通信網絡的地區,應該結合當前業務的需要,選擇最佳的技術體制投入到建設當中,保障網絡能夠達到最佳的優化狀態。此外,對業務的技術傳輸平臺能夠更好的適應數據業務動態變化的特點,其主要的是在傳統的同步數字設備上面增加的數據處理的功能,對于相關的業務能夠進行統一的控制和管理,保障電力網絡能夠良好的運行。
5 信息網絡在電網建設中的重要性
信息網絡主要是通過信息的獲取、傳遞以及相應模式的變革,推動了智能化電網建設的變革,其在電網建設中的重要性主要表現在以下幾個方面:首先其能夠有效的提升電網建設的控制能力,在電網的建設過程中的大量信息網絡技術,能夠有效的提升電網的控制,并且還能夠實現能量管理等。其次是能夠實現電網企業發展模式的新轉變,信息網絡技術能夠帶給電網企業良好的創新價值,其開創了電網建設的技術路線以及方式,將信息網絡技術應用到電網建設當中,能夠通過信息網絡技術加強人和電網之間的互動,促進電網建設的新發展,開創電網企業發展的新模式。第三其能夠有效的提升電網當中輸電組織的管理能力,信息網絡的發展能夠使輸電企業、發電企業以及用電企業之間建立更好的發展關系,提升電網企業內部各個業務協作管理,能夠有效的實現電網企業業務之間的協同方向,有效的滿足各個方面的利益,能夠有效的實現和電網企業之間的有效互動,從而能夠提升智能化電網建設中的輸電組織管理的功能,保障電力企業管控一體化的有效實現。此外信息網絡技術的應用能夠保障電網企業內部和外部在共同的協作之下,來提升業務流程的管理效率,其采用集中方式或者是協作的方式,通過協調機制來保障技術線路的一致性,從而能夠保障電網的建設和運維的有序進行。同時信息網絡的安全體系融合運行,能夠通過對于電網的監測、分析以及控制,有效的提升安全監管的能力,實現信息的安全部署,保障電力供應的優質性,促進電力系統的安全可靠運行。
6 結束語
今天是我們前往鎮江市供電公司實習的第一天,十點多鐘的時候我們就到達了鎮江,在住宿地方放下行李后,鎮江供電公司的工程師就帶領我們來到鎮江供電公司參觀實習。首先是對我們這段實習的日程進行大致的安排介紹。工程師告訴我們應該遵守的紀律以及電力工作的安全注意事項,他的介紹精煉簡潔,言簡意賅的介紹給我們留下一種親切干練的感覺,大家聽過都很期待下午具體的介紹。
中午大家回旅店休息后,2點半我們就開始了鎮江市供電公司的第一次實習課。下午的實習的課由一名工程師簡單介紹供電公司部門構成,然后主要講了生產系統情況的簡要介紹。緊接著鎮江市供電公司運維檢修部的周工程師著重向我們介紹了有關輸變配電設備的運行情況和生產架構情況兩方面內容,同時還給我們介紹了電網級別的從屬關系。鎮江市電網屬于地調,服從江蘇省的省調。由于鎮江市面積相對較小,鎮江市的設備情況與其他大城市相比要略遜一籌,售電在江蘇省排中等偏下,不過由于屬于發達的蘇南地區,線路圖還是比較錯綜復雜的,由此可以看出電力系統工作的難度還是很高的,而隨著經濟社會的發展,對于電氣專業學生的要求也會越來越高。
緊接著我們學習了供電公司的生產架構介紹,周工程師向我們介紹了供電公司基本的組成部門,供電公司主要由由運維檢修部、電力調度控制中心、輸電運檢工區、變電運維工區、檢修試驗工區以及配電運檢工區組成,并以此為據分別說明各部門的作用。組成部門包括運維檢修部、電力調度控制中心、輸電運檢工區、變電運維工區、檢修試驗工區、配電運檢工區,工作人員講解了每個部門的主要職責和機構設置以及業務。其中電力調度控制中心的“統一調度、分級管理”和變電站無人值班給我留下了比較深的印象,調度中心的管理制度保證了能從宏觀上對電能進行分配從而使其得到最充分合理的利用,而變電站的無人值班則標志著技術上的進步,隨著信息化時代的發展,電力系統的監控與調節也進入新時期。
2.27
今天是在鎮江實習的第二天,上午不到九點大家就來到教室,靜靜等待著老師的到來。 上午給我們授課的是安全監察部的姜工程師,他首先通過幾個曾經發生的電力生產事故的例子給我們講解了電力工作者學習《國家電網公司電力安全工作規定》的重要性。電力系統中安全生產堪稱最為重要,所以老師進行了非常詳細的講解,通過之前的例子給我們敲響警鐘。對于以后要在電力行業工作的我們來說,由于學校所學畢竟局限,所以安規教育尤其顯得必要,讓我們身處校園的學生真真切切地感受到電力生產安全的重要性。姜工程師為我們詳細地介紹了安規的基本概念、工作中的注意事項、工作票五種人的條件、五種人的安全責任等內容,例如保證安全的組織措施以及技術措施。由于時間較短而內容很多,安規沒有能一次掌握全部內容。姜工程師所說“安規每一條都是用血寫出來的”對我們的震撼真的很大,其重要性也要求我們在以后的工作中不斷學習,時時刻刻記住要按規則操作,確保每個人以及電力系統的安全。姜工程師還說,最早版本的安規本來是十幾頁的小冊子,在國家電網的不斷發展壯大的同時,也不斷的提高安全的規定,通過總結每一次安全事故使其豐富為一百多頁的詳盡的電網安全規章的手冊。最后姜工程師通知我們我們周六將有一個安規的考試,而合格的考試成績是我們下周能夠順利安全參觀的保證。身處校園的我們要深刻學習安規的每一條,因為,這些都是血的教訓總結出來的,我們要時時謹記。
下午安排的是輸電運檢工區的白工程師為我們講解了有關輸電的內容,白工程師XX年畢業,現在已經是運檢維修班的班長,有著豐富的經驗,對電網電路有著熟悉的把握。通過專門領域的學習,我們了解了電力系統的復雜程度,即使只是輸電都有很多的內容。白工程師主要為我們介紹了輸電運檢工區的具體工作,包括輸電線路的建設、檢修等,同時以大量圖片的形式體現了這一工作的特點。重要而又具有危險性,需要膽大心細才能完成,而輸電線路需要經常維護更加大了這一工作的辛苦程度。由此可見輸電運檢工區的工作人員為了社會更好的用電做出了巨大的犧牲和貢獻。
2.28
今天是實習的第三天,大家像往常一樣早早來到供電公司培訓教室。上午是鎮江配電運檢工區的劉主任給我們講解有關配電的內容,劉主任詳盡的給我們介紹了配電運檢工區的管理模式、配網的結構和常見的配網設備。劉主任講話滔滔不絕,可見其在電力系統工作經驗之豐富。劉主任首先介紹的是該區的管理方式,該區主要實行分班負責制,而這也是電力系統的主要管理方式之一。隨后介紹了配網的網絡結構,我們也得以了解了配網的電壓等級及采用的結構方式,還有配電網的特點,配電網中最為重要的就是其供電的可靠性。最后介紹的是配電網中一些比較重要的設備,有變壓器及熔斷器、電纜分支箱、變電站、開閉所等,這些在平時的生活中也可以見到,但并不是特別了解所有設備的結構和作用,今天的介紹使我學到了很多。
下午的主題是電力公司的營銷部門參觀,我們提前來到供電公司營銷大廳。首先參觀了供電公司的營業廳,熟悉一下營銷大廳的環境,工作人員用簡短流利的話語介紹了鎮江營業廳的構成及主要工作,這是我們第一次近距離直接接觸供電公司的工作,曾經只知道電力公司是賣電的,這次實地參觀之后,對電力公司售電工作有了更加深刻的了解。
隨后回到教室又學習了營銷部門的體系知識,我們學習了營銷的概況之后,一名工程師為我們詳細講解了營銷的概況、營銷體系組織架構、營銷工作的崗位職責、營銷基礎知識以及部分業務流程。電力市場營銷就是電力企業在變化的市場環境中,以滿足人們的電力消費需求為目的,通過電力企業一系列與市場有關的經營活動,提供滿足消費需要的電力產品和相應的服務,從而實現電力企業開拓市場、占領市場的目標!
3.1
今天是本周實習的最后一天,和往常一樣我們早早來到教室等待授課工程師的到來。 上午安排的是魏工程師為我們講解變電運維工區的相關知識,魏工程師的授課從三個方面給我們進行了詳盡的介紹:首先是變電站的基本知識,這些知識與大家平時所學的較為接近,所以大家都聽得比較清楚,但緊接著講解的變電站的典型接線相對我們學生來說就較為復雜了。接著魏工程師介紹的是變電站的設備,一次設備如變壓器,二次設備如繼保裝置和自動裝置以及交直流設備等。這些都是學過的內容,感覺比較容易接受。最后給我們介紹了變電站的運維管理,而我們也從中學到了很多校園里學不到的知識。
下午為我們授課的是調度中心的湯主任,湯主任先是為我們簡單地介紹了調度中心的工作內容和在供電公司中處的位置,隨后就帶我們參觀了這一最為重要的工區。由配調中心到地調,工作人員都詳細講解了他們的工作,并用電氣接線圖大屏幕給了我們直觀的感受,使我們的理解更加深入,也使我對這調度員的工作重要性有了更加深入的認識,同時也對他們認真工作的態度敬佩不已。參觀過后,我們進行安規考試。因為安全問題永遠是首要的,所以安排了考試。考試不是目的,樹立牢固的安全意識,工作中永遠按照安全規程操作,保證人身、電網、設備安全才是目的。
第一周的實習隨著安規考試結束而告一段落,一周的參觀實習讓我們學到很多校園里學不到的知識,如安全規范的規則等等,也使得我們加強自己對電網部門的了解!
3.4 回南京找工作請假
3.5
今天是實習的最后一天,大家都早早地起來,伴隨著一絲絲不舍得情緒迎接最后一天。今天我們的安排是跟隨配電運檢工區的工程師們實習半天,感受他們的真實工作。我們一行十六個人被分成兩組,一組隨輸配電的員工一起工作,其余七個人一起去隨檢修的工程師去切實的感受實際的工作。
【 關鍵詞 】 云計算;云安全;等級保護;虛擬化安全
1 引言
自2006年云計算的概念產生以來,各類與云計算相關的服務紛紛涌現,隨之而來的就是人們對云安全問題的關注。目前各個運營商、服務提供商以及安全廠商所提的云安全解決方案,大都根據自己企業對云平臺安全的理解,結合本企業專長,專注于某一方面的安全。然而,對于用戶來說云平臺是一個整體,需要構建云平臺的整體安全防護體系。
因此,針對云計算中心的安全需求建立信息安全防護體系已經是大勢所趨,云安全防護體系的建立,必將使云計算得以更加健康、有序的發展。
2 云計算的安全問題解析
云計算模式當前已得到業界普遍認同,成為信息技術領域新的發展方向。但是,隨著云計算的大量應用,云環境的安全問題也日益突出。我們如果不能很好地解決相關的安全管理問題,云計算就會成為過眼“浮云”。在眾多對云計算的討論中,SafeNet的調查非常具有代表性:“對于云計算面臨的安全問題,88.5%的企業對云計算安全擔憂”。各種調研數據也表明:安全性是用戶選擇云計算的首要考慮因素。近年來,云安全的概念也有多種層面的解讀,本文所指云安全是聚焦于云計算中心的安全問題及其安全防護體系。
2.1 云安全與傳統安全技術的關系
云計算引入了虛擬化技術,改變了服務方式,但并沒有顛覆傳統的安全模式。從這張對比視圖中,如圖1所示,可以看出,安全的層次劃分是大體類似,在云計算環境下,由于虛擬化技術的引入,需要納入虛擬化安全的防護措施。而在基礎層面上,仍然可依靠成熟的傳統安全技術來提供安全防護。
如圖1所示,云計算安全和傳統安全在安全目標、系統資源類型、基礎安全技術方面是相同的,而云計算又有其特有的安全問題,主要包括虛擬化安全問題和與云計算分租服務模式相關的一些安全問題。大體上,我們可以把云安全看做傳統安全的一個超集,或者換句話說,云安全是傳統安全在云計算環境下的繼承和發展。
綜合前面的討論,可以推導出一個基本的認識,云計算的模式是革命性的:虛擬化安全、數據安全和隱私保護是云安全的重點和難點,云安全將基于傳統安全技術獲得發展。
2.2 云計算的安全需求與防護技術
解決安全問題的出發點是風險分析,CSA云安全聯盟提出了所謂“七重罪”的云安全重點風險域。
Threat 1: Abuse and Nefarious Use of Cloud Computing(云計算的濫用、惡用、拒絕服務攻擊);
Threat 2: Insecure Interfaces and APIs(不安全的接口和API);
Threat 3: Malicious Insiders(惡意的內部員工);
Threat 4: Shared Technology Issues(共享技術產生的問題);
Threat 5: Data Loss or Leakage(數據泄漏);
Threat 6: Account or Service Hijacking(賬號和服務劫持);
Threat 7: Unknown Risk Profile(未知的風險場景)。
信息的機密性、完整性和可用性被公認為信息安全的三個重要的基本屬性,用戶在使用云計算服務時也會從這三個方面提出基本的信息安全需求。
機密性安全需求:要求上傳到云端的信息及其處理結果以及所要求的云計算服務具有排他性,只能被授權人訪問或使用,不會被非法泄露。
完整性安全需求:要求與云計算相關的數據或服務是完備、有效、真實的,不會被非法操縱、破壞、篡改、偽造,并且不可否認或抵賴。
可用性安全需求:要求網絡、數據和服務具有連續性、準時性,不會中斷或延遲,以確保云計算服務在任何需要的時候能夠為授權使用者正常使用。
根據云計算中心的安全需求,我們會相應得到一個安全防護技術的層次結構:底層是基礎設施安全,包括基礎平臺安全、虛擬化安全和安全管理;中間是數據安全,上層是安全服務層面,還包括安全接入相關的防護技術。
3 等級保護背景下的云安全體系
3.1 等級保護標準與云安全
自1994年國務院147號令開始,信息安全等級保護體系歷經近20年的發展,從政策法規、國家標準、到測評管理都建立了完備的體系,自2010年以來,在公安部的領導下,信息安全等級保護落地實施開展得如火如荼,信息安全等級保護已經成為我國信息化建設的重要安全指導方針。
圖3表明了等級保護標準體系放發展歷程。
盡管引入了虛擬化等新興技術,運營模式也從出租機房進化到出租虛擬資源,乃至出租服務。但從其本質上看,云計算中心仍然是一類信息系統,需要依照其重要性不同分等級進行保護。云計算中心的安全工作必須依照等級保護的要求來建設運維。此外,云安全還需要考慮虛擬化等新的技術和運營方式所帶來的安全問題。
因此,云計算中心防護體系應當是以等級保護為指導思想,從云計算中心的安全需求出發,從技術和管理兩個層面全方位保護云計算中心的信息安全;全生命周期保證云計算中心的安全建設符合等保要求;將安全理念貫穿云計算中心建設、整改、測評、運維全過程。建設目標是要滿足不同用戶不同等保級別的安全要求,做到等保成果的可視化,做到安全工作的持久化。
3.2 云計算中心的安全框架
一個云計算中心的安全防護體系的構建,應以等級保護為系統指導思想,能夠充分滿足云計算中心的安全需求為目標。根據前面的研究,我們提出一個云計算中心的安全框架,包括傳統安全技術、云安全技術和安全運維管理三個層面的安全防護。
云安全框架以云安全管理平臺為中心,綜合安全技術和管理運維兩個方面的手段確保系統的整體安全。在安全技術方面,除了傳統的物理安全、網絡安全、主機安全、應用安全、數據安全、備份恢復等保障措施,還需要通過虛擬化安全防護技術和云安全服務來應對云計算的新特征所帶來的安全要求。
3.3 云安全防護體系架構
在實際的云安全防護體系建設中,首先要在網絡和主機等傳統的安全設備層面建立基礎信息系統安全防護系統。基礎信息安全防護體系是以等級保護標準為指導進行構建,符合等級保護標準對相應安全級別的基本安全要求。
在此基礎上,通過SOC安全集中管理系統、虛擬安全組件、SMC安全運維管理系統和等保合規管理系統四個安全子系統共同組成云安全管理中心,如圖4所示。通過實體的安全技術和虛擬化安全防護技術的協同工作,為云計算中心提供從實體設備到虛擬化系統的全面深度安全防護,同時通過專業的SLC等保合規管理系統來確保云安全體系對于等級保護標準的合規性。
參考文獻
[1] 郝斐,王雷,荊繼武等.云存儲安全增強系統的設計與實現[J].信息網絡安全,2012,(03):38-41.
[2] 季一木, 康家邦,潘俏羽等.一種云計算安全模型與架構設計研究[J].信息網絡安全,2012,(06):6-8.
[3] 黎水林.基于安全域的政務外網安全防護體系研究[J].信息網絡安全,2012,(07):3-5.
[4] 胡春輝.云計算安全風險與保護技術框架分析[J].信息網絡安全,2012,(07):87-89.
[5] 王偉,高能,江麗娜.云計算安全需求分析研究[J].信息網絡安全,2012,(08):75-78.
[6] 海然.云計算風險分析[J].信息網絡安全,2012,(08):94-96.
[7] 孫志丹,鄒哲峰,劉鵬.基于云計算技術的信息安全試驗系統設計與實現[J].信息網絡安全,2012,(12):50-52.
[8] 甘宏,潘丹.虛擬化系統安全的研究與分析[J].信息網絡安全,2012,(05):43-45.
[9] 賽迪研究院.關于云計算安全的分析與建議[J].軟件與信息服務研究,2011,5(5):3.
[10] 陳丹偉,黃秀麗,任勛益.云計算及安全分析[J].計算機技術與發展,2010,20(2):99.102.
[11] 馮登國,孫悅,張陽.信息安全體系結構[M].清華大學出版社,2008:43-81.
[12] 張水平,李紀真.基于云計算的數據中心安全體系研究與實現[J].計算機工程與設計,2011,12(32):3965.
[13] 質監局,國標委.信息系統安全等級保護基本要求.GB/T 22239—2008:1~51.
[14] 王崇.以“等保”為核心的信息安全管理工作平臺設計[J].實踐探究,2009,1(5):73.
[15] Devki Gaurav Pal, Ravi Krishna.A Novel Open Security Framework for Cloud Computing.International Journal of Cloud Computing and Services Science (IJ-CLOSER) ,2012 ,l.1(2):45~52.
[16] CSA.SECURITY GUIDANCE FOR CRITICAL AREAS OF FOCUS IN CLOUD COMPUTING V3.0.http:///guidance/csaguide.v3.0.pdf,2011:30.
作者簡介:
白秀杰(1973-),男,碩士,系統分析師;研究方向:云安全技術。
李汝鑫(1983-),男,本科,項目管理師;研究方向:信息安全技術。
隨著云計算技術在核電廠的推廣應用,企業的信息化水平提升到新的高度。企業對信息安全可靠性、保密性、完整性產生更高的述求,信息安全的防護工作日趨緊迫。傳統的信息安全防御手段無法應對新出現的威脅,因此需結合現有的信息安全體系,采取與云計算技術相結合的手段開展一系列信息安全防護工作。本文主要介紹了云計算的相關概念和體系架構,云計算技術在核電的應用,國內核電信息安全體系現狀,以及基于云計算的核電信息安全體系設計。
關鍵詞:
云計算;核電;信息安全
核電行業是很早就使用計算機實現生產自動化的企業。繼個人計算機、互聯網變革之后,2010年,云計算作為第三次IT浪潮的代表正在向我們走來。它將帶來人類生活、生產方式和商業模式的根本性改變,成為當前全社會關注的熱點。云計算的目的是將不同的IT資源(資源包括網絡,服務器,存儲,應用軟件,服務)以服務的方式交付給用戶。計算資源、存儲資源、軟件開發、系統測試、系統維護和各種豐富的應用服務,都將像水和電一樣方便地被使用。信息實質上是一種資源,其價值在于其所能創造的機遇與利益。信息安全的目的即是保護信息的完整性、可用性及保密性等屬性,以保證信息的價值。一旦信息的完整性、可用性或保密性缺失或受損,信息的價值將大打折扣。核電廠作為國防建設的重點單位,信息安全重要性尤為突出。隨著云計算技術在核電廠的推廣應用,信息安全的防護出現一些新的變化,本文即是針對這些新的變化進行相應的探討,目的是提升核電廠信息安全水平。
1云計算概念和體系架構
網絡通信、分布式計算及服務計算等技術的發展為云計算的實施提供了強有力的支撐。NIST指出云計算是一種以通過網絡連接,便攜且按需訪問的可配置共享資源池的服務,計算資源將以最小的管理和交互代價快速提供給用戶;同時云計算還應滿足按需自助服務、廣泛網絡接人、高效資源共享、高彈性計算、支持度量計費等五大功能特性。根據云計算所提供服務類別的不同,云計算的服務模式可以分為軟件即服務(SoftwareasaService,SaaS)、平臺即服務(PlatformasaService,PaaS)和基礎設施即服務(InfrastructureasaService,IaaS)。典型的云計算平臺架構如下:IaaS、PaaS、SaaS在功能范圍和側重點上都存在差異,其中IaaS需要在異構資源環境下,提供按需付費、可度量資源池功能,同時要兼顧硬件資源的充分利用和用戶需求的滿足;PaaS不僅關注底層硬件資源的整合,還需要提供能夠供租戶進行開發、調試應用的平臺環境;SaaS不僅需實現底層資源的充分利用,還必須通過部署一個或多個應用軟件環境,為用戶提供可定制化的應用服務。
2云計算技術在核電企業的應用
隨著核電ERP/EAM/ECM等核心系統的構建,以及IT架構的進一步集中調整,整個核電IT系統的架構變的更為復雜。為了提升信息化水平,提高資源利用率,核電廠開展云計算相關技術研究,結合企業實際情況,遵循四化的理念來建立、提升、完善云計算平臺的能力。核電企業四化包括:資源管理集約化:通過對企業計算、存儲、網絡資源的集中化、標準化、服務化管理實現高效、彈性的IT架構;應用交付一體化:通過軟件全生命周期管理的自動化以及面向企業級應用的業務框架提高企業應用的交互能力;系統運營智能化:通過全方位的監控和時間處理,將數據植入到運營流程中,達到流程化、智能化運行的目標;運維管理自動化:通過運維作業集中管理調度與監控實現運維作業的標準化和自動化提高應用運維的效率和可管理型。
3國內核電信息安全體系現狀
目前國內大部分核電企業的信息安全體系建設主要遵守《電力行業信息系統等級保護定級工作指導意見》(電監信息[2007]44號)、《信息安全等級保護管理辦法》和《關于進一步推進中央企業信息安全等級保護工作的通知》(公通字[2010]70號)等,以上述辦法圍繞等級保護來開展信息安全體系建設。一些信息化建設水平較好的核電企業,在信息安全建設過程中逐步借鑒和參考國際國內先進的信息安全標準,主要是目前國際上應用最廣泛的ISO27001信息安全管理體系。在傳統的信息安全時代主要采用隔離作為安全的手段,具體分為物理隔離、內外網隔離、加密隔離,實踐證明這種隔離手段針對傳統IT架構能起到有效的防護。同時這種隔離為主的安全體系催生了一批以硬件銷售為主的安全公司,例如各種FireWall(防火墻)、IDS/IPS(入侵檢測系統/入侵防御系統)、WAF(Web應用防火墻)、UTM(統一威脅管理)、SSL網關、加密機等。在這種隔離思想下,并不需要應用提供商參與較多信息安全工作,在典型場景下是由總集成商負責應用和信息安全之間的集成,而這導致了長久以來信息安全和應用相對獨立的發展,尤其在國內這兩個領域的圈子交集并不大。結果,傳統信息安全表現出分散割據化、對應用的封閉化、硬件盒子化的三個特征。信息安全體系的基本建設要素包括物理安全、網絡安全和系統安全三個要素。(1)物理安全。物理安全主要涵蓋機房安全、信息設備安全、通信線路安全等,保障信息機房的電源、溫濕度、進出入的安全,保障信息化基礎設施、通信線路等的運行可靠性、雙鏈路互備等措施。(2)網絡安全。互聯網的安全主要以防火墻為核心,輔以IPS、防病毒網關等設備為核電構建統一的、安全的互聯網出入口。內部局域網作為網絡中終端數量最大、用戶最多的區域,一直是網絡安全防護的重點區域。首先,局域網要進行核心層、匯聚層、接入層的規劃和IP地址劃分,核心層要滿足雙機熱備的要求。在網絡管理中要實現網絡資源的配置、網絡流量監控,保障局域網絡的穩定通暢。其次,終端安全管理是內部局域網安全的管理重心,建立終端管理、防病毒、移動介質等防控手段。(3)系統安全。信息系統的穩定運行是支撐核電業務連貫性的必要條件,信息系統的服務器、操作系統、數據庫、系統接口等的管理有效性是實現系統安全、穩定運行的基礎。系統的應用安全主要指系統中數據訪問、流程審批、操作合規性等安全,主要通過用戶認證、電子證書、文檔加密、行為審計等手段來加以監控。
4基于云計算的信息安全體系設計
核電企業云平臺承載企業的關鍵應用,數據作為企業的資產,其安全性需要采取相應措施加以保障,核電企業在建設云平臺過程中,注重安全管理。安全管理是為了建設可靠的安全保障體系,實現應用服務及數據調用的安全認證和安全審計,主動的異常數據操作行為的監控分析、預警機制,并提供異常問題的倒查追溯能力。為了更好的保證業務之間的隔離性和安全性,核電廠從三個方面建立信息安全體系:(1)訪問安全。訪問安全基于身份認證和權限認證來完成。身份認證是建立統一的用戶信息庫,為系統提供身份認證服務,只有合法用戶才能對信息化系統進行訪問;權限認證主要是根據用戶身份對其進行權限判斷,以權限認證與統一認證相結合,為信息化系統提供方便、簡單的、可靠的授權服務,從而對用戶進行整體的、有效的訪問控制,保護系統資源不被非法或越權訪問,防止信息泄漏。(2)數據安全。數據安全是對及內部信息系統進行嚴格的安全防護,對計算機、數據、敏感業務系統采用認證、加密等技術手段進行控制。數據安全主要包括:數據完整性,數據保密性,備份和恢復。數據完整性:通過循環冗余校驗(CRC)以及消息認證碼(帶密鑰的Hash函數)來保證完整性。數據保密性:通過傳輸協議加密以及數據加密來保證保密性。備份和恢復:對重要信息進行備份,并對備份介質定期進行可用性測試。(3)操作安全。操作安全是為了防止誤操作帶來的風險,如刪除關鍵數據造成系統無法正常運行。操作安全可以通過事前預防和事后補救這兩方面來保證。事前預防是通過對關鍵操作進行多人復核,降低單人誤操作機率;事后補救是通過操作日志來回滾誤操作。結合云計算平臺建設現狀和企業實際,核電廠從云平臺基礎安全、云平臺攻防安全、云平臺運維安全等方面建設信息安全體系,構筑全方位的信息安全防護屏障。
4.1云平臺基礎安全
(1)網絡安全。云計算平臺網絡分為兩部分:管理平面和業務平面網絡。管理平面網絡主要用來管理云計算主機,業務網絡主要負責傳遞業務系統相關數據,兩者傳輸數據不同,訪問授權也不一致,需將管理平面和業務平面網絡隔離。此外,需關閉未使用的網絡端口防止非法接入,回收服務器默認路由防止主動外聯。(2)宿主機安全。首先要保證操作系統安全,減少系統漏洞。由于云計算操作系統大部分是基于開源平臺開發,存在漏洞較多。因此進行系統定制化開發時候需將操作系統內核和組件精簡,減少非必要的功能,修復相關漏洞,對主機做符合業界安全規范的配置加固,內核防提權模塊加固等。(3)多租戶資源隔離。云計算平臺的典型場景是多租戶共享,但和傳統IT架構相比,原來的可信邊界徹底被打破了,威脅可能直接來自于相鄰租戶。租戶通過Hypervisor(虛擬機監視器)共享同一個物理操作系統的計算資源,在一張共享的二層網絡上實現網絡的區隔。攻擊者一旦通過某0day漏洞實現虛擬逃逸到宿主機,攻擊者就可以讀取這臺宿主機上所有虛擬機的內存,從而可以控制這臺宿主機上的所有虛擬機。同時更致命的是,整個云平臺節點間通訊的API默認都是可信的,因此可以從這臺宿主機與集群消息隊列交互,進而集群消息隊列會被攻擊者控制,最終一舉攻破整個云主機集群。云服務器租戶隔離從以下幾個方面設計:基于VT-x技術隔離CPU;硬件輔助EPT技術隔離內存;分離設備驅動I/O模型隔離存儲;交換型Vswitch,不同VM的數據包被轉發到對應的虛擬端口;VM的IP、Mac地址綁定防地址欺騙及網絡嗅探;物理內存、物理存儲重分配前清零;用戶數據打標簽隔離存儲。(4)數據存儲安全。數據是信息系統最核心要素,數據的可靠性和安全性在信息安全中地位尤為突出,云計算平臺采取了分布式存儲技術,將數據分散在多個磁盤中。同一數據分別備份三份存儲于磁盤中,任意部分丟失均立刻進行恢復,可靠性達99.9999%,較好保障數據安全性;為應對物理拷貝,將數據打散后即使單獨拷貝磁盤出去,無系統進行數據提取、整合,無法恢復數據。
4.2云平臺攻防安全
互聯網攻防體系包括DDOS攻擊防御、入侵防御、弱點分析和態勢感知四個方面,整體架構如下:(1)DDOS攻擊防御。DDOS(分布式拒絕服務),是指借助于客戶/服務器技術,將多個計算機聯合起來作為攻擊平臺,很多DOS攻擊源一起攻擊某臺服務器就組成了DDOS攻擊。DDOS攻擊本質上是一種只能緩解而不能完全防御的攻擊,它不像漏洞那樣打個補丁解決了就是解決了,DDOS就算購買和部署了當前市場上比較有競爭力的防御解決方案也完全談不上徹底根治。防火墻、IPS、WAF這些安全產品都號稱自己有一定的抗DDOS能力,而實際上他們只針對小流量下,應用層的攻擊比較有效,對于稍大流量的DDOS攻擊則無濟于事。結合云計算平臺特點,DDoS攻擊防御使用DDoS清洗系統,通過封堵大流量DDoS攻擊,保障云平臺可用;通過攔截應用層DDoS/CC攻擊,保障業務可用。DDoS清洗系統可1秒完成檢測->牽引->清洗->回注流程,全自動響應,無人值守,提高效率,降低成本;與全球信息安全防護廠商共享數據,提供最大450+Gbps防御能力,可抵御海量攻擊;采用了精準的攻擊檢測技術,網絡抖動小。本系統配置專用大數據平臺,采用基于大數據分析技術可快速分析惡意IP庫、惡意行為庫。(2)入侵防御。入侵防御系統是一部能夠監視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。傳統的入侵防御系統多集中在應對4~7層的應用攻擊,在應對DDoS洪水型攻擊時卻顯得捉襟見肘,而基于云計算的入侵防御系統不但要集成的原有入侵防御產品多層的防攻擊功能,更需具有專業抗DDoS攻擊功能,可清洗2~4層的洪水型攻擊流量,能夠從而實現系統全方位的入侵防護。云計算入侵防御系統需要具備功能包括:實時網絡入侵攔截,封堵惡意行為;自動木馬后門檢測,保護主機安全;弱點分析,可以快速分析出系統存在漏洞、弱點及時發現弱點,自動修復漏洞;具備實時掃描功能,風險隨時可知。(3)網絡態勢感知。所謂網絡態勢是指由各種網絡設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡當前狀態和變化趨勢。網絡態勢感知是指在大規模網絡環境中,對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及預測最近的發展趨勢。基于云計算的態勢感知服務可以讓企業決策者發現眼睛看不見的風險。態勢感知的第一個特點是以海量數據、超強的計算為依托,讓黑客攻擊顯影。第二個特點就是讓風險可視化。有了它,沒有安全技術基礎的人也能看見風險的過去、現在和將來。基于云計算的態勢感知系統需具備功能包括:安全數據大屏實時展示;集中安全策略管理;多維度日志關聯分析;時間+空間,安全風險全局態勢感知。(4)數據庫審計。數據庫是企業最具有戰略性的資產,通常都保存著重要的商業伙伴和客戶信息,這些信息需要被保護起來,以防止競爭者和其他非法者獲取。面對日趨復雜的安全風險,必須部署數據庫審計系統。數據庫審計能夠實時記錄網絡上的數據庫活動,對數據庫操作進行細粒度審計的合規性管理,對數據庫遭受到的風險行為進行告警,對攻擊行為進行阻斷。它通過對用戶訪問數據庫行為的記錄、分析和匯報,用來幫助用戶事后生成合規報告、事故追根溯源,同時加強內外部數據庫網絡行為記錄,提高數據資產安全。基于云計算的數據庫審計系統是在數據庫虛機上安裝數據庫審計業務端程序,該程序會對該虛機上的數據庫業務進行審計。另外在中控區部署統一的數據庫審計管理端程序,對所有業務端程序提供集中管控。
4.3云平臺安全運維
隨著云計算平臺的建設推進,各應用系統也進行了基于“云”的設計改造,因此必須建立一套完整的基于云計算的安全運維體系,保證各類緊急事件能夠及時處理。基于云計算的安全運維體系應包括以下兩個方面。(1)帶外管理分離與運營平臺。云平臺的運維管理應與業務網絡分離,同時建立運維平臺和運營平臺。運維平臺主要供IT管理員進行云平臺的運維,運營平臺提供運營相關服務,包括計費、考核、流程審批等。(2)運維管理審計。InforCube運維管理審計系統涵蓋多種運維協議(RDP、SSH、TELNET、FTP、SCP等)并提供操作回放檢索、輸入記錄、標題抓取等功能,從明確人、主機、帳戶各個角度,提供豐富的統計分析,幫助用戶及時發現安全隱患,協助優化網絡資源的使用。它能夠對運維人員的訪問過程進行細粒度的授權、全過程的操作記錄及控制、全方位的操作審計、并支持事后操作過程回放功能,實現運維過程的“事前預防、事中控制、事后審計”,在簡化運維操作的同時,全面解決云計算復雜環境下的運維安全問題,提升企業IT運維管理水平。
5結束語
云計算平臺的信息安全體系建設,除了要依據上級單位的要求,參照ISO27001和信息系統安全等級保護體系開展企業信息安全建設,更重要的是要根據云平臺架構特點,有針對性進行方案設計,采取更先進的技術進行安全加固。新技術的發展日新月異,相應的安全威脅手段也在改進,如僅僅按照國標和行業的標準進行安全防范,無法防范新出現的威脅。因此針對云平臺的信息安全體系建設日趨緊迫。此外,在做好信息安全的技術防御之時,提高管理、加強對安全體系的審查改進是重要的落地手段。通過安全體系的設計,落實改進措施,定期實施加固,將安全體系落實到實處,才可以保障企業的信息安全。
作者:張榮斌 單位:中核核電運行管理有限公司
參考文獻:
[1]梅生偉,王瑩瑩,陳來軍等.從復雜網絡視角評述智能電網信息安全研究現狀及若干展望[J].高電壓技術,2011,37(3):672-679.
[2]李文武,游文霞,王先培等.電力系統信息安全研究綜述[J].電力系統保護與控制,2011,39(10):140-147.DOI:10.3969/j.issn.1674-3415.2011.10.026.
[3]謝迎軍.信息及信息安全思辨[C].//中國電機工程學會電力通信專業委員會第九屆學術會議論文集.2013:822-826.
[4]工業和信息化部信息安全協調司司長趙澤良:積極應對風險挑戰維護國家信息安全[J].信息安全與通信保密,2012,(3):2-2.
[5]杜保東,楊慶明,李冰等.企業云計算信息安全方案研究[J].信息系統工程,2014,(5):67-68.
[6]汪兆成.基于云計算模式的信息安全風險評估研究[J].信息網絡安全,2011,(9):56-59.DOI:10.3969/j.issn.1671-1122.2011.09.018.
[7]楊成.解析現階段云計算的應用與信息安全[J].科技展望,2015,(20):1-2.
[8]中華人民共和國國家標準GB/T22239-2008《信息系統安全等級保護基本要求》
