杨晓勇
涉密网络 信息系统运行维护 服务外包
1 引言
随着大数据时代的到来与深入应用,智能、智慧这样的词汇充斥在各行各业,从智能制造、智能工厂、智能驾驶、智能运维,到智慧城市、智慧社区、智慧医疗、智慧农业,人工智能与大数据开始在各个领域发挥出其独特的魅力与优势,互联网已经进入共享时代。互联网上云及基于云的SAAS服务、各种运维理论开始百花齐放,并迅速扩展到涉密网络领域。让本身局限于涉密特性的涉密网络管理者也开始蠢蠢欲动,积极思考如何在满足业务需求的同时还能提升企业效益,改变涉密网络信息系统运行维护管理的传统思维与工作模式,更有效的提高运维管理的效率。
2 涉密网络信息系统运行维护
2.1 特性分析
涉密网络/涉密信息系统顾名思义是该网络及信息系统涉密国家保密信息与数据,需要采取数据加密的方式加强对信息的保护与保密,与互联网物理隔离,需进行分级保护测评并取得相应的许可证书方可正常使用。对涉密网络而言,核心问题是保护其存储的国家秘密信息的安全,对于新技术潜在的不可预知的风险,一直持观望态度。
2.2 传统运维模式
对于涉密网络的安全管理与运维,存在一个普遍共识即"三分靠技术,七分靠管理"。除了依靠安全保密技术进行防护和管理之外,最重要的是管理制度的有效落实,然而涉密网络管理制度与要求的落实一直以来缺乏有效的监管监督措施,成为涉密网络运维管理的长期困扰与问题。在这种现状下,区别于政府单位倾向于运维服务外包的方式,绝大多数的军工涉密企业采取的是由单位内部组织培养人员开展涉密网络与信息系统的运行维护工作。
2.3 运维现状需求与工作思路
信息技术的普及,使得企业运营的各个环节都开始越来越依赖信息系统,越来越离不开信息系统。在企业的信息化形成一定规模达到成熟阶段之前,企业大多会不断的投入新的应用系统来充实信息化的基础,这就造成应用系统如雨后春笋般不断增加的局面,而信息系统的运维压力也随之不断增加。
新的应用系统不断增加,新知识不断涌来。运维团队时刻面临着人手不够、技能不熟等硬性问题。此时就需要一支相对更专业、技能更成熟的运维团队,能够在短时间内立即接手新应用系统的运维管理,外包式运维开始凸显其优势。对涉密军工企业来说,需要考虑的是如何在确保信息系统安全可控的情况下实现运维服务外包。
2.4传统运维与运维外包的优劣对比
传统运维模式即企业设立专门的运维机构,由企业内部正式员工承担网络与信息系统的运维工作,目前大多数的涉密军工企业采取的是这种模式。这种运维模式的优势很明显,涉密网络与信息系统的安全能够得到有效控制,对运维过程、运维人员也有相应的企业规章制度可以进行约束;而它的缺点也同样明显,要想培养出各方面能力都很出色的运维人员,在人员待遇、技能培训等方面企业就不得不付出更多的成本,而且还随时面临人员流失、运维工作交接不畅、运维经验无法继承等风险。
运维外包即客户将全部或部分IT运维工作包给专业性公司完成的服务模式,是一种服务外包。采用运维外包的模式已然成为一种趋势,并已经催生出一个运维服务产业。到现在,运维服务行业整体已经呈现出一种蓬勃发展的态势。运维服务外包的优势就在于企业可以花更少的人力成本、金钱成本,来更高效、更专业的完成整个网络与信息系统的日常运维工作。可以集中精力投入到企业的经营生产中,而不必承担因运维人员流动频繁所带来的间接损失和风险;如果企业选择运维外包的服务模式,不得不慎重考虑和规划的就是信息安全问题,这也是运维外包的一大突出缺点,它存在着信息安全不可控的风险。尤其是重要的、涉密的信息系统,如何确定运维外包的业务范围,如何有效控制并减少信息泄露风险,是涉密企业进行运维服务外包无法绕过的关键问题。目前集团级企业中采取的较可靠的一种运维外包方式是将涉密信息系统的运维服务外包给集团内部某一家专业的IT企业,从一定程度上降低外来人员承担涉密信息系统运维所带来的安全风险。
3 涉密信息系统运维管理体系
3.1 涉密信息系统构成
涉密信息系统的整体组成包括几大部分内容:涉密网络、安全产品、涉密终端与服务器、应用系统、移动存储介质、涉密办公自动化设备、涉密信息系统审计与风险评估。运维服务涉及到网络、操作系统、硬件、数据库、中间件、安全产品、存储、应用系统等多个方面的专业知识[1],其中数据库、存储、应用系统、办公设备等的日常运维服务均有可能接触到涉密信息,运维服务外包时需重点关注。下面以涉密信息系统运维服务外包为背景重点讨论涉密军工企业的运维管理体系架构。
3.1 运维管理体系架构
无论是从提升企业的运维技术层次上,还是从企业信息化进程的推动上来看,作者都认为IT运维服务外包是一个很好的管理思维转变的契机,对涉密军工企业同样如此。如何在考虑信息安全的前提下有效利用运维服务外包这个利器,企业需要提前考虑和规划。从涉密信息系统运维外包的角度谈涉密信息系统运维管理体系,作者认为至少应该包含下[图-1]所示的内容模块:
(1)涉密网络安全管理制度
企业尤其是涉密军工企业准备将运维服务外包出去,首先需要审视的是企业自身是否具备完善的涉密网络或涉密信息系统安全保密管理制度,明确"什么能做,什么不能做,应该怎么做"。若这一条不具备,笔者认为根本无需去考虑运维外包了。作为涉密网络的基础管理制度,绝对是企业信息系统运行维护管理的奠基石,若制度不完整不完善,日常运维管理中将会漏洞百出,严重的甚至会影响信息系统的数据安全造成失泄密事件。
(2)运维业务范围界定
一旦决定进行运维服务外包,应该在运维外包业务范围的界定上有明确的、详细的规定,并以文件的形式固定外包技术人员与内部员工的职责与业务范围,避免外包技术人员与企业内部的相关信息化人员产生职责不清、分工不明、互相推诿的现象。
(3)运维管理制度与操作规程
建立完善的运维管理制度来规范管理[1]、约束运维团队的人员日常行为与运维操作行为;针对安全问题提出对策和解决方案,形成安全策略文档;同时编制并提交详细的运维操作规程用于明确安全策略所需的资源、设备、工具和人员,说明各项信息系统的具体运维步骤[2]。
(4)外包技术人员保密管理要求
承担运维外包服务的团队入驻企业之前,需先进行保密知识教育与培训,签订保密承诺书与责任书,明确团队成员所需承担的保密责任与义务。
(5)服务管理
运维服务团队需建立一套完整的、系统性的服务管理平台,包含问题接单、服务处理流程、事件分类、问题变更、应急机制、用户反馈与满意度调查等内容[3]。企业组织评审通过后投入实施,用于确保运维团队能提供快速、高效、高质量、并能适应企业本身各项管理执行流程与业务流程的运维服务。
(6)监管审计
需建立一套由企业内部人员监管运维团队的常规机制,结合涉密信息系统的日常审计功能与涉密信息系统常规性的安全检查,来对运维服务团队的日常行为与运维操作是否合规做事件监督与事后审计。
(7)技能培训
聘请专业技术人员来承担企业内部的运维工作,不代表企业就可以完全丢掉自身信息化人员的培养计划。从长远看,企业还是应该建立长期的培训计划,让运维团队对企业内部负责信息化相应监管审计工作的人员进行定期的技能培训,保证监管人员能够熟悉涉密信息系统运维的各项操作与流程,同时也作为企业运维自备人员去学习各项技术手段。
(8)知识管理
进入大数据时代,知识的重要性开始越来越被大众所接受。聘用外来团队做运维服务更要注重运维知识的继承与利用,企业可以以制度的形式从管理上要求运维团队做运维知识的沉淀与积累工作,形成企业自己的运维知识库。这样即便运维团队出现更换,运维工作也能够迅速进行交接,不会对企业的信息系统运维造成大范围的影响。
3.2 面临的挑战
ITIL思维及观点已经从国外渗透进入国内的各行各业,运维服务势必会朝着运维体系的方向发展,形成结构化、程序化、标准化的服务平台,并成为企业经营发展的重要支撑。大多数的涉密军工企业的运维管理还处在一个"救火员"式的初始阶段,少部分企业开始尝试"计划员"式的前瞻运维模式。但笔者认为运维最终一定会走向"系统级的体系运维",能在计划的基础上不断改善企业信息系统环境并成为企业信息化快速发展的重要助力。
要想达到最终的目标,单靠外聘专业运维技术团队是无法实现的,企业信息化进程的推动最终还是要依靠企业管理思维的与时俱进及内部熟悉各项业务流程的人员的共同努力。如何利用好外聘运维团队来培养企业自己的信息化种子人选,是企业所要面临的一大挑战。
4. 结论
运维服务外包有它明显的优势同样也存在一定的风险,涉密军工企业尤其需要慎重考虑。一旦决定采用运维服务外包的模式,就要考虑如何在确保涉密信息系统正常运转的情况下利用运维团队培养属于企业自己的信息化力量,沉淀属于企业自己的知识库,才能将运维外包的优势发挥到最大,为企业争取更多的利益。
参考文献:
[1] 浅谈信息系统运维外包的安全管理,侯永利,电子技术与软件工程;
[2] 军工保密资格认定工作指导手册(2017年版),国家军工保密资格认定办公室;
[3] 信息系统运维服务管理探讨,林武,电子世界。
刘薇(1987年生)女,本科学历,工程师,研究方向为IT运维与企业信息化规划应用。
论文作者:刘薇
论文发表刊物:《科技尚品》2018年第12期
论文发表时间:2019/7/18
标签:外包论文; 密信论文; 信息系统论文; 企业论文; 系统论文; 团队论文; 人员论文; 《科技尚品》2018年第12期论文;