发布时间:2023-06-26 16:15:04
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的网络运维工作的重要性样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
关键词 网络管理;集中运维;资源整合;带外管理
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2013)23-0106-02
近几年在石油企业信息技术基础设施项目中,网络管理与运维的重要性愈加凸显,在多年的不懈努力之下,石油企业网络管理与运维在网络结构上形成了石油企业集团公司、石油企业网络区域中心、地区公司网络三层网络架构,在功能上形成了网络设备、安全设备、基础应用、应用协议等多种监控、运维业务。
由于石油企业下辖油田公司、销售公司、研究机构等部门众多,地理位置分散,统一运维管理难度较大,所以在现阶段针对这种多分支机构的企事业单位较难形成有效的信息资源整合及集中运维管理方式。在这种形势下,依据笔者多年的石油企业网络运维管理经验,适时的总结出一套行之有效的多分支机构集中网管运维系统模型,有效的提高了运维效率、降低了运维成本,并且极大的提高了信息资源的安全性。
1 网络管理的三个阶段
网络管理按照发展方式可以分为以下三个阶段。
1.1 重建设、轻运维阶段
在整个信息系统建设初期,信息资源保有量较少,该阶段更加注重的是形成规模和体系的网络架构,增加信息化建设基础设施的保有量。由于信息资源保有量较少,该阶段的运维任务并不重,可以在这个阶段重视建设,运维仅能维护系统正常运转即可。
1.2 建设、运维并重阶段
经过一定的信息化建设后,信息资源已经初具规模,但并未达到饱和状态,整个信息系统对信息资源的需求量仍然很大;但在该阶段,运维工作并不像第一阶段那样作为辅助工作维护信息系统运转,在该阶段就应该将运维工作与建设并重;并且在该阶段就应该着手向第三阶段过渡。
1.3 轻建设、重运维阶段
该阶段信息化建设已经形成较大规模,信息资源在整个系统内已经趋近饱和状态,建设任务基本已经结束,在日后的网络运维过程中的建设也是依据资源需求进行局部的、小范围调整。与此同时,网络管理与运维工作的重要性凸显,成为日常工作的重中之重。该阶段应该形成有效的信息风险的适应能力,并且具备信息系统的反馈能力,能够指导局部建设或资源调整。
2 集中网络管理与运维的必要性
依据上述的网络管理的三个发展阶段描述,现在大多数企业仍然处于第二阶段向第三阶段过渡,该阶段颇为重要,需要具备企业网络管理与运维思想的前瞻性,能够认知到整个信息系统转变到第三阶段后要面临的挑战和应对手段。面对第三阶段,笔者进行了总结,认为对于多分支机构网络进行集中运维管理是应对挑战的不二法门。
以下总结一下多分支机构呈现的分散式的网络所面临的问题。
1)各分支机构相对缺乏完善的运维制度和运维流程。受制于各分支机构规模和规范化的影响,大多数分支机构的运维制度和运维流程相对缺失,很难形成制度化、规范化的运维流程,而这又是减少运维过程中人为随意性的有效约束力。
2)各分支机构运维人员能力参差不齐,运维响应能力相对滞后。各分支机构运维人员的技术能力参差不齐,少数能达到总部网络运维团队的水准,所以出现故障时可能无法得到及时的响应,从而造成生产上、经济上的损失。
3)无法形成全局的运维管理观念。从分支机构自身为视角,很难具备对企业整体网络框架的全局观,无法达到自身优化,更无法做到各分支机构之间网络调整、资源优化。
4)运维和管理过程存在人为风险。由于缺乏完善的运维制度和运维流程,在日常的运维过程中就可能会存在人为的随意性,形成隐患。
通过以上阐述,很容易得出:对于多分支机构的企事业单位,亟需一种集中式的网络管理与运维手段,打造技术实力储备深厚、运维管理过程规范的集中运维管理团队,对整个企业内的信息化资源有全盘的认识和掌控能力。所以建立集中网络管理与运维系统是十分必要的。
3 集中网络管理与运维系统架构
集中式网络管理与运维系统将依托于现有网络管理系统构建,针对现有网络监控系统增加带外管理系统和网络配置管理系统,并且实现与石油企业统一身份认证平台、服务流程平台、短信平台进行集成,形成统一入口、规范流程、集中监控、集中运维、集中控制的三集中综合运维管理平台。
其中带外管理系统的构建将依托于现有网络链路资源,现有广域网资源一般为双核心、双链路,已经在可靠性上形成有效保障,无需单独增加带外管理独立的链路,所以可以在可靠性和经济性上形成一个折中。
通过建设带外网络管理系统和网络配置管理系统,可以有效解决下列问题:
形成独立的网络管理与运维通道:带外网络管理系统通过串口管理设备,将网管数据与业务数据分开,为网管数据建立独立通道。在这个通道中,只传输管理数据、统计信息等,网管数据与业务数据分离,可以提高网管的效率与可靠性,也有利于提高网管数据的安全性。如果设备在带内网管上已经不可控,带外网管可通过设备已有的Console端口,利用独立的通道获得对设备的控制能力。
高可靠的故障处理功能:通过带外网络管理系统,能够形成独立的网络管理与运维专用通道,与传统业务网形成双平面带外网络管理系统;在业务网无法访问或设备脱网时仍然能够对设备进行远程访问与维护,提高故障处理能力。
远程现场级运维:通过带外网络管理系统能够形成高可控的远程管理模式,达到现场级运维需求,缩短故障处理时间,最大程度减少损失。
应急与灾备功能:带外管理网络能够作为一条设备应急访问通道,形成石油企业广域网网络容灾中除冗余核心、冗余链路外另一种新的容灾方式。
运维日志记录功能:能够详细记录用户的登陆、操作及退出情况,并且能够根据管理的要求定制一些事件,可以通过邮件通知。
操作过程回溯功能:提供强大的操作过程记录和回放功能,完整的记录运维人员所有操作行为,在因运维操作引起网络设备故障时能够快速定位故障原因和责任人,达到操作回溯和规范化运维的需求。
4 应用效果
通过构建集中网络管理与运维系统,能够形成集中网络监控、集中网络运维、集中网络控制的三集中一体化网络运维管理系统,通过网络监控子模块监控网络状态、发现网络中的问题,一旦发现问题进行告警,通过带外网络管理和网络配置管理子模块形成有效的运维响应机制,减少人为干扰因素,提高机房的安全性。并且监控、管理、运维均在运维流程模块监督之下,提高运维流程规范化。通过该系统建设,能够有效增强多分支机构企业的网络应变能力,增加网络可控性、可靠性。
参考文献
[1]褚建立,刘彦舫.计算机网络技术[M].清华大学出版社,2006.
[关键词]有线电视网络 监控平台 网络安全 运维支撑
随着有线电视传输网络规模的不断扩大及数字电视业务的快速发展,各种类型机房和相关设备的数目不断增多,机房已成为各广电部门业务管理的核心部门。为保证其安全正常运行,机房设备、线路及与机房配套的机房动力环境系统、消防安保系统必须时刻稳定协调工作。如果设备、线路发生故障,就会影响用户的正常收看;如果机房动力及环境设备出现故障,轻则影响HFC系统的正常运行,重则将造成HFC设备的报废,导致HFC系统陷入瘫痪,后果不堪设想。
目前国内有线运营商机房设备各自独立运行的情况较为普遍,且缺乏专业的设备管理人员及综合有效的管理手段,加之有线电视传输网络的分前端机房基本处于无人值守状态。鉴于此,对于有线运营商来说,建立机房的动力环境实时集中监控系统,及网络设备运行监控系统于一体的综合网管平台极其必要。
架构及功能
综合网管平台应是一个集GIS地图大屏、参数监控、报警接收、报警预处理、专家诊断、派工、声光报警系统,短信报警系统为一体的网管运维指挥调度平台,架构如图1所示。
其包含若干子系统,这些子系统可分别建设、独立运行。主要包括以下8个子系统(未来可能还会发展更多新的子系统):
1.机房环境动力监控子系统。负责监控机房内一切动力设备及环境状态,主要包括:UPS、变电箱、空调、温湿度、门禁、图像、水浸等。
2.传输设备监控子系统。负责监控机房内的传输设备(如环网设备、发射/接收设备)及野外设备(如光站、放大器等)的指标及运行状态。
3.机箱监控子系统。其通过GSM无线网络等传输方式监控野外落地箱、光站的开闭状态。
4.反向信道监控子系统。负责对HFC网络的回传信道进行实时监测。
5.CMTS监测子系统。实时与CMTS及每一个CM通讯,获取包括发送,接收电平、信噪比等信息,当这些信息超出既定门限值时系统将主动报警。
6.B平台监测子系统。实时与每一台B平台设备通信,获取包括吞吐量等主要信息,当超出既定门限时主动报警。
7.GPS车辆调度子系统。负责对每一台工程抢修车进行实时监控,当其发生网络故障需要维护时,可寻找距离最近的车辆提供快速抢修。
8.其他监测子系统。各地运营商可根据自身的业务发展状况扩建自己的子系统,综合平台还可管理交互式机顶盒、数字电视前端等系统。
重要性
1.安全价值
对于广电业务传输商来说,安全播出是其工作的第一重点。涉及网络安全的因素有很多:如自然灾害、意外事故、蓄意破坏、偷窃、非法信号插入等。广电传统的举报奖励。人工值守等手段无法从根本上解决此类问题,随着网络的数字化,网络安全管理应突出科学化、制度化,利用先进技术手段,采取技防、人防相结合的方式彻底解决网络的安全问题。
与此同时,保证网络安全是一个永恒的难题,因为维护人员无法预测何时将产生危机,其唯一能做的就是提前获知涉及安全的隐患所在,当发生安全事故时能够具备有效解决问题的手段。
网络安全可分为两个层次:一是对网络基础设备的破坏;二是对网络传输信号的入侵,且两者有一定的关联性。网络基础设施的破坏有可能是蓄意性质的,如对野外落地箱、光设备、光纤和电缆的偷盗、非法闯入机房偷窃设备等,也有可能是无意破坏的,如:光纤被无意割断,机房基础设施空调损坏导致火灾,外电空气开关损坏或UPS电池用光导致机房停电及设备性能劣化导致停播等。有了智能化工具之后,首先可预测故障的发生并提前维护;其次当突发故障产生后,可快速调度相关人员及设备进行抢修。
而对网络信号的非法入侵则主要属于政治破坏,目前这一行为主要集中在网络插播上。随着卫视信号的换星,卫星攻击变得越来越来困难,破坏者开始将目光转向有线网络,这几年同内有线运营网络已发生过多次非法闯入无人值守机房或野外光站,非法插播信号的事件。鉴于此,对机房(尤其是无人值守机房)及野外设备的监控是网络安全平台工作的重中之重。
综合网管平台,不但可实现从前端机房到终端整个链路的全面监控,在同一个平台上集成对各类网元的统一监控功能,还可通过短信报警系统和其他方式与GPS车辆调度(抢修大队),610办公室、110、街道、小区保安等联动,从而快速有效地提升整个广电网络的安全指数和应急处理能力。
2.运维支持价值
实现网络快速运维将大大提升网络的服务质量。据相关权威部门统计,上海市有线电视用户约为600万,截至2009年底,上海市IPTV用户已突破100万,即电信抢了广电17%的市场份额,这还是在有政策壁垒的前提下。老百姓抛弃广电选择电信的重要原因除了,IPTV自身拥有的互动特性及电信营销手段突出外,一个更加重要的原因是电信网络的00S(Quality of Service服务质量)大大优于广电,在有QoS保障的前提下,电信可以在其网络开展更多更好的业务。
如图2所示,与其他网络相比,广电基础网络拥有独特的优势,但业务却远远落后于其他网络,究其原因是广电网络的支撑维护系统较为薄弱,是广电的“短腿”。因此在三网融合的大背景下,未来广电要想赢得市场,在进行基础网络双向及升级建设的同时,也要充分重视支撑网络的建设工作。
而综合网管平台的最终目标就是要实现上述支撑网的完整功能。举个例子:网络上的骨干光纤网均有冗余备份,当主路光纤被损坏时,会自动启用备份路南。如果有线运营商没有进行支撑网络的建设,一旦发生重大播出事故,后果将不堪设想。而通过网络平台,在主路故障发生的半小时内,运维人员就可完成修复工作,因为支撑网络的综合网管平台会明确提示故障原因及发生地段。
再如:某一小区的一个光站带500个用户,随着光站的常年运行,其内部正向接收模块性能将逐渐劣化,当接收光功率降低至5dBm时,所带的500户将无法收看电视。如果具备支撑网络平台,当此模块接收光功率降至-3dBm时,系统将报警通知运维人员及时更换模块。
而这还只是电视信号传输故障,如果运营商已开展了双向数据业务,用户正在炒股,如果网络发生故障,待用户投诉后再去检查维修,可能2小时就过去了,而在这2小时内如果股票市场发生重大行情波动(如股票跌停),将会给股民造成难以估量的损失。为了避免出现这种情况,老百姓必定要选择能够提供更优质安全服务的网络服务运营商,因此采用综合网管平台将大大提升有线网络的运维价值。
结论
关键词:运行效率;目标;配网运维;抢修;优化管理
为了给广大用户提供安全、牢靠的电能,电力企业首要做的工作就是提升服务质量、增强运行效率。原始的配网运维抢修管理方式已经不能满足当前电力企业的运行需求,实现配网运维抢修优化管理,才能有效的提升运行效率,从而推动我国电力企业的稳定发展。下面,本文将进一步对提升运行效率为目标的配网运维抢修优化管理进行分析和探究。
一、配网运维抢修优化管理的重要性
在传统模式的作用下,配网抢修主要是以技术改进为侧入点,快速找出配网发生故障的方位,以此来提升故障隔离效率,进而增加恢复送电速度。但是这种方式缺少配网运维抢修管理方法的探究,抢修管理流程不合理,抢修人员技术水平偏低,缺乏完善的激励制度,从而给配网故障抢修效率带来一定的影响。随着电力企业开始加大配网管理优化力度,构建完善的检修体系,建设配网抢修指导平台,配置自动化管理系统,从而实现了生产运营优化管理的效果。当前,在配网管理模式中,以抢修代替维修的管理模式比较落后,不具备预防性,主要以优化线路运维的视角来实现抢修工作,并且在抢修管理中,管理流程不合理、工作人员缺少工作积极性等问题也越发严重,严重阻碍了各项工作的全面开展。因此,要想提升配电网运行效率,给广大用户提供安全、可靠的用电环境,做好配网运维抢修优化管理是非常必要的。
二、配网运维管理工作中存在的问题
1输电线路设计不合理
要想提升配网运维管理质量,首先就要做好输电线路设计工作,这样不但可以满足负荷需求,同时还能保障配网的运行安全,给后续的施工、造价以及管理工作提供便利的条件。但是其前提条件是要保证路径选择的规范性和合理性。然而,根据当前的情况来看,在进行输电线路设计时,因为会受到施工质量以及施工技术等因素的影响,进而给输电线路设计合理性带来影响,例如,某电网企业在设计的过程中,尤其设计自身存在特殊性,但是在面临这种特殊情况设置时,没有根据设计需求开展设计工作,进而导致设计缺少合理性。
2配网网络框架不完善
随着城市的飞速发展,电力企业在进行规划和建设时,没有把城市规划融合到其中,尤其是现阶段城市各种设施存在不确定性,进而给负荷预测效果带来了影响,使得在进行电网规划时,配网电源点负荷和城市建设相违背的,导致电力企业不能取得理想的投资回收率,甚至会面临重建的情况。此外,城市土地价值逐渐提升,这就给配网规划建设项目的落实增添了难度,造成一些区域盲目追求电缆化率的现象极其严重,在给配网建设带来负面影响的同时,还会危机配网的运行安全。
3配网的现代化管理水平不高
现阶段,我国相关部门已经给电网建设提供了充足的资金支持,从而促进了配电网的快速发展。但是在进行配电网管理的过程中,依然存在诸多的问题,针对电网建设而言,配电网建设普遍落后,并且框架缺少合理性,线路负荷过高,管理方式比较陈旧。当前,在进行配电网管理以及运行的过程中,缺少先进技术做支撑,进而配电网现代化管理水平有待提升。
三、提升运行效率为目标的配网运维抢修优化管理措施
1优化配网运维抢修组织
(1)调整运维抢修组织设置
以优化运维抢修组织为侧入点,提高线路运行和抢修质量,优化配电网管理效率,根据区域特性来实现城市配网分区管理,构建城市配电网维修和抢修团队,以区域划分的形式对于该区域的配电网运行情况进行监管,一旦发现故障,及时找出故障位置,采取相应的措施,保证配电网运行安全。配网优化运维抢修组织框架见图1:
(2)引入岗位竞争机制
的加大班组长团队建设力度机制,提高升班组长薪资标准,以带兵有方、工作突出为原则,来全面调动班组长的工作积极性。在进行班组长岗位竞争时,要秉持着公开竞聘的准则,让一些具备高能力、高素养的技术骨干参与到班组管理工作中,以此来提升班组管理的整体水平。此外,针对同事班员岗位来说,应该采用末位淘汰制,增强工作人员提升自身技能能力的压力,从而保证配网运维抢修优化管理。
2优化运维抢修基础工作
(1)动态收集设备运行参数
要想保证设备运行参数的精准性,落实动态管理,就要制定相应的管理审核机制,采用“一线一册”的形式来收集相应的设备运行参数,保证变更异动管理流程的科学性和规范性,同时还要将收集的资料和数据传送到审核部门、设备验收部门以及施工部门等部门,明确自己的职责。以此还要以六个月为单位,进行全面的核查,保证设备处于完善状态。
(2)简化故障抢修研判、处理流程
对故障研判以及处理程序进行优化,例如,在处理lOW线路故障时,抢修部门需要结合管辖区域的差异性,通知对应的抢修团队进行抢修。如果出现的低压故障,抢修部门需要通知外协企业的抢修值班工作人员进行解决,在解决完毕后,外协企业的抢修值班工作人员需要将抢修结果汇报给抢修部门。通过优化的方式,不会因为专业划分而引起工单流转现象,在发生故障时,实现了一个部门、一支团队、一次完成的管理目的,这样不仅有效的提升工作效率,同时还能降低抢修时间。
关键词:企业;IT运维;管理模式;研究;策略
中图分类号:F27
文献标识码:A
doi:10.19311/ki.1672.3198.2016.28.027
信息技术的快速发展,让企业对于IT运维服务管理工作不断提出新的挑战。IT运维服务管理模式为企业提供可靠了的保障,为信息工作的发展铺平道路。随着社会经济的快速发展,企业的新华化也进入了一个新的时代,不仅企业IT规模随着企业的发展而庞大,企业的信息化需求也在向自动化、多元化和层次化发展,为了保证企业的业务工作能够安全、可靠、快速的展开,企业开始使用各种管理手段和技术手段进行提升。
1 企业IT运维管理的现状及存在的问题
第一,由于地域和行业的不同,所以企业的IT运维管理模式也存在一定的差异。有的企业在管理中习惯使用传统的运维模式,而有的企业则喜欢应用先进的企业运维管理模式。第二,即使在同一个企业,由于级别的不同,所以其管理方式也存在一定的差别。但是整体来讲,我国大多数企业的IT运维管理都存在以下问题。
1.1 IT运维管理的服务导性没有得到重视
随着经济时代的发展,企业的规模也在日益壮大,在对IT运维管理提高要求的同时,管理也变得越来越复杂。企业的IT运维管理为什么总是会出现问题,因为企业的IT运维管理缺乏整体性的管理,只注重事中管理和事后管理,从而忽视了IT运维管理的服务导向的重要性。针对这种现象,则需要在IT运维管理中,重视对企业IT运维管理的全局性规划,促使企业的组织能力得到有效的提高。
1.2 IT运维管理的体系不健全
IT运维管理有着较为广泛的范围,由于大多数企业的IT部门不是按照IT基础机构的功能划分的,就是按照企业业务的模块进行划分的,所以企业在日常的IT运维管理中,既没有办法对IT服务人员的工作进行考核,也无法监督IT服务人员处理故障的效率及质量。其次,往往企业IT的运维管理在出现问题时,并不是单一环境出现问题,只有企业的多个部门相互协作才能解决问题的关键,由于企业IT运维管理过程的职责不清及体系不健全,所以导致企业各部门经常出现互相推卸责任的现象。
1.3 运维管理的流程缺乏保障体系
企业的IT管理部门不仅要确保企业信息系统在运行时的安全、稳定及可靠,还要利用强大的信息系统为业务部门的各项决策提供有效地支持。但由于IT管理人员往往会出现为了处理突发事件,从而忽视了主动服务的现象。
1.4 运维管理缺乏长期的规划
大部分企业的IT运维管理由于偏重于对“硬平台”的建设,忽视了“软平台”的管理和维护,导致运维工作人员在客户满意度考核中评价较低,而相关部门的责难也会打击工作人员的积极性。尤其企业网络建设缺乏这种长期的规划和对于复杂IT系统的运维管理经验,导致企业IT运维管理停滞不前。
2 提高企业IT运维服务管理能力的有效措施
2.1 在ITIL视野下建立适合企业的IT运维架构
传统的运维管理架构相对于IT运维管理架构来讲相当简单,其在碰到运维方面的问题时由运维负责人分配工作,这样的运维方式在企业初期阶段简单高效,但随着企业规模的不断扩大,以及计算机信息技术的普及应用,传统运维模式就会受到耗费人力、物力,并且处理问题的效率也较低以及工作量比较大等不利的因素影响,所以,企业为了能够高效率的运维管理,就需要改换为新的IT运维模式。IT运维管理有三个优点,第一,其不但为企业提供了稳定、高效、可靠的网络管理平台,而且也为企业的各个应用系统的正常运行提供了强有力的保障。第二,能够快速解决客户端的运维故障,为客户提供了满意的服务。第三,IT运维管理在为企业节省人力的同时,提高了处理网络故障的工作效率。基于IT运维管理的这三个优点,所以企业在IT运维管理方面不断寻求创新以及不断提高要求。
其次,企业的领导需要结合ITIL思想的指导作用,建立相应的信息化工作领导小组,并且其小组的成员必须是企业信息化职能部门,专门负责IT运维管理的决策管理与协调所有IT运维的工作。
2.2 建立职责相应的奖惩制度及运维工作考核标准
企业各部门的岗位工作方式都不相同,有的员工做着现场维护的工作,有的干着远程处理的工作,所以,不同岗位的工作所承担的责任以及所享受的待遇也不相同,但是,企业要给予员工在职责和待遇方面要与其职位相应,因此,企业应当推出与工作职责相应的奖罚及晋升制度,以激励员工的成长进步。其次,由于IT运维管理的各个岗位的工作方式不一、技术水平不同,因此要对运维人员的工作进行量化,并通过一系列分析运维数据制定严格的考核标准,激励员工不断提高服务水平和服务质量。
2.3 企业结合组织节后,建立并明确运维管理的流程
传统运维管理模式对企业IT部门是按应用开发、网络管理以及系统控制等专业进行工作划分的,其工作也是按照水平层面进行管理的。但是新的IT运维管理系统则是按照专业和技能对企业各部门进行工作分工的,比如,一线专门负责解决处理IT运维管理中最基础的问题,二线则负责解决处理IT运维管理中最难、最复杂的故障,而经理则需要对IT运维管理进行全面把握和疑难问题的解决。这样根据企业的实际情况,对结构进行优化,建立各个系统的的运营架构,使各个部门既相互独立,又互相联系。企业只有对组织结构进行调整,明确企业IT运维管理的具体流程,即使企业的IT系统出现了问题,仍难能够第一时间联络相关负责人,解决问题。
2.4 建立IT运维各系统的管理办法
IT运维管理模式和设备预知维修模式一样,同样注重预知维修。IT运维管理模式也能够根据监测系统和日志记录系统发现异常现象,并且能够通过检测系统将故障在萌芽的状态下解决。现代企业管理比较依赖于IT运维服务管理模式,所以对IT运维服务管理模式的要求也不断提高,比如,某大型企业的MES、ERP、IC卡等应用系统,要求必须实行二十四小时工作,如果不实行实施工作,那么如果某一个应用系统中出现任何一个小故障都会给企业造成巨大的经济损失,因此,降低信息系统出现的故障率对于企业来讲是非常重要的。
2.5 建立并且完善IT运维服务管理各系统的文档资料
由于网络的不稳定性,即使企业IT运维服务管理各系统的资料再详细,也有出现故障的可能,故障处理不好的话还会导致数据丢失,而维护好文档资料对IT运维服务管理工作有着重要的意义。文档资料在整理的时候除了要清晰、全面,同时还需要满足“动态更新”和“高质量材料”两个原则,如果资料的动态没有得到及时的更新,对事情对产生不利的因素,影响对事情的判断;一份高质量的资料能够让一个新人在完全不了解公司情况下,通过资料能清晰的了解公司的现状,因此建立并完善的各系统的文档资料管理对于IT运维管理非常重要。
3 总结
多数企业为了实现优化生产程序、提高工作效率以及减少对管理的成本,都选择使用IT运维服务管理模式,IT运维服务管理模式,在帮助企业实现以上要求的同时,企业也对其提出了更高的要求标准,企业IT运维服务管理模式既要有一个完整、清晰的运维架构及合理的工作流程,同时更要注重企业的管理工作及制度,只有这样,IT运维服务管理模式才能够更好的服务企业。究竟未来的IT运维管理会得到怎样的发展,我们不得而知,但是不可否认的是,我国企业的运维管理意识还有待于普及,相信而随着信息化进程的快速发展,IT运维管理一定会有广阔的发展空间。
参考文献
[1]徐健,孙永.基于ITIL构建企业IT运维服务管理体系[J].微型机与应用,2014,(10):97.101.
1 电力信息网络技术概况
电力系统是国家的基础产业,随着科学技术的不断发展,网络技术在电力信息通信中的应用,为其提供了安全、稳定、高效的生产保障,其在电力系统当中有着非常重要的作用。电力信息网络技术主要的特点包含以下几个方面:首先其信息覆盖的面积是比较广泛的,技术的装备化程度也是非常高的,必须要同时的掌握计算机技术、通信技术、网络技术、自动化技术以及相关的电力系统专业知识。其次其具有地域性,各个国家和地区的电力系统有着不同的运营以及管理的特点,在电力信息网络技术上面很难做到标准化以及产品化,并且还受到了国家政策的保护,国产化是发展的主要方针。
2 信息业务分析介绍
电力调度和管理工作重要的信息交流的平台,必须具有可靠性高以及连接速度快的特点,首先是变电站视频监控信息,对于整体的业务进一步的进行补充和完善;其次是管理信息系统,电力信息通信专网实现了各部门计算机信息联网,通过相应的查询功能,提供每日的日常任务,以此来实现信息资源的共享;第三是电网调度自动化实时数据系统,为了实现电力系统调度中心提供实时数据,以此为电力的调度提供保障,要保障信息的精准性,保障网络延时降到最低;第四提供可靠性高的继电保护信号,并且还能够实现视频会议业务,能够有效的实现远程实时会议,还有就是通信支撑网以及通信监控信息等附属服务的实现。
3 电力信息通信网络现状
当前各个地区电力部门设备还不能够进行完全的统一,从而也就会导致网络监控以及维护等措施的调度会受到限制,这样就会严重的影响电力通信网的运维。另外电网的安全可靠性的运行主要的是通过对电力通信网络信号的控制来实现的,相应的传输信号主要的是继电保护的信号。还有就是在电力系统故障维护的过程当中,主要的延续了传统的模式,也就是接到用电客户投诉之后,由相关的值班人员电话通知来进行维护,这样就会费时费力,并且还不利于统计工作的进行,这样就会给统一配运维资源带来很大的压力。此外有必要建立一个先进的资源管理系统和集中运维管理平台系统,这样在应对灾害的时候,相应的应急通信网络就能够进行实时控制信号的传输。现有的电力通信网络还不能够保障维修机构的监测手段到达这个效果,不利于电力系统的良好运行。
4 信息体制分析和发展思路
随着我国经济的发展,对于电网改革力度的加大,很多的电力企业已经建成了具有一定规模的电力专用的通信网络,但是,当前通信网的网架结构还存在一定的问题,其主要的表现在以下两个方面:首先其还是链状网络,相应的可靠性是比较低的,当前电力通信网络拓扑在整体上还是依赖于相应的输电线的走向,通常情况下是呈现星形或者是链状拓扑结构,这样的结构可靠性是比较低的。根据当前电力通信网络的状况,只能够采用线路保护的倒换,没有办法有效的实现环形网保护。其次是不能够支持IP业务,在电网系统当中,传统的同步数字体制主要是传输语音等时分复用业务。同步数字是一个以复杂的集中式供应和有限扩展性为主要特征的体系结构,此种结构很难用来处理以突发性和不平衡性为特点的IP业务,所以也就不能够满足相应的IP业务的需要。
为了使网络能够很好的实现IP业务,主要的是要对技术体制进行改革,以此来保障相应的IP业务能够很好的实现。对于已经建成的同步数字体制网络的地区,为了保障投资的有效性,应该尽可能的使用现有的设备以及技术体制升级到适合承载IP业务的通信网络,从而有效的实现从时分复用的模式过渡到动态IP的网络模式。对于还没有建立本地电网电力通信网络的地区,应该结合当前业务的需要,选择最佳的技术体制投入到建设当中,保障网络能够达到最佳的优化状态。此外,对业务的技术传输平台能够更好的适应数据业务动态变化的特点,其主要的是在传统的同步数字设备上面增加的数据处理的功能,对于相关的业务能够进行统一的控制和管理,保障电力网络能够良好的运行。
5 信息网络在电网建设中的重要性
信息网络主要是通过信息的获取、传递以及相应模式的变革,推动了智能化电网建设的变革,其在电网建设中的重要性主要表现在以下几个方面:首先其能够有效的提升电网建设的控制能力,在电网的建设过程中的大量信息网络技术,能够有效的提升电网的控制,并且还能够实现能量管理等。其次是能够实现电网企业发展模式的新转变,信息网络技术能够带给电网企业良好的创新价值,其开创了电网建设的技术路线以及方式,将信息网络技术应用到电网建设当中,能够通过信息网络技术加强人和电网之间的互动,促进电网建设的新发展,开创电网企业发展的新模式。第三其能够有效的提升电网当中输电组织的管理能力,信息网络的发展能够使输电企业、发电企业以及用电企业之间建立更好的发展关系,提升电网企业内部各个业务协作管理,能够有效的实现电网企业业务之间的协同方向,有效的满足各个方面的利益,能够有效的实现和电网企业之间的有效互动,从而能够提升智能化电网建设中的输电组织管理的功能,保障电力企业管控一体化的有效实现。此外信息网络技术的应用能够保障电网企业内部和外部在共同的协作之下,来提升业务流程的管理效率,其采用集中方式或者是协作的方式,通过协调机制来保障技术线路的一致性,从而能够保障电网的建设和运维的有序进行。同时信息网络的安全体系融合运行,能够通过对于电网的监测、分析以及控制,有效的提升安全监管的能力,实现信息的安全部署,保障电力供应的优质性,促进电力系统的安全可靠运行。
6 结束语
今天是我们前往镇江市供电公司实习的第一天,十点多钟的时候我们就到达了镇江,在住宿地方放下行李后,镇江供电公司的工程师就带领我们来到镇江供电公司参观实习。首先是对我们这段实习的日程进行大致的安排介绍。工程师告诉我们应该遵守的纪律以及电力工作的安全注意事项,他的介绍精炼简洁,言简意赅的介绍给我们留下一种亲切干练的感觉,大家听过都很期待下午具体的介绍。
中午大家回旅店休息后,2点半我们就开始了镇江市供电公司的第一次实习课。下午的实习的课由一名工程师简单介绍供电公司部门构成,然后主要讲了生产系统情况的简要介绍。紧接着镇江市供电公司运维检修部的周工程师着重向我们介绍了有关输变配电设备的运行情况和生产架构情况两方面内容,同时还给我们介绍了电网级别的从属关系。镇江市电网属于地调,服从江苏省的省调。由于镇江市面积相对较小,镇江市的设备情况与其他大城市相比要略逊一筹,售电在江苏省排中等偏下,不过由于属于发达的苏南地区,线路图还是比较错综复杂的,由此可以看出电力系统工作的难度还是很高的,而随着经济社会的发展,对于电气专业学生的要求也会越来越高。
紧接着我们学习了供电公司的生产架构介绍,周工程师向我们介绍了供电公司基本的组成部门,供电公司主要由由运维检修部、电力调度控制中心、输电运检工区、变电运维工区、检修试验工区以及配电运检工区组成,并以此为据分别说明各部门的作用。组成部门包括运维检修部、电力调度控制中心、输电运检工区、变电运维工区、检修试验工区、配电运检工区,工作人员讲解了每个部门的主要职责和机构设置以及业务。其中电力调度控制中心的“统一调度、分级管理”和变电站无人值班给我留下了比较深的印象,调度中心的管理制度保证了能从宏观上对电能进行分配从而使其得到最充分合理的利用,而变电站的无人值班则标志着技术上的进步,随着信息化时代的发展,电力系统的监控与调节也进入新时期。
2.27
今天是在镇江实习的第二天,上午不到九点大家就来到教室,静静等待着老师的到来。 上午给我们授课的是安全监察部的姜工程师,他首先通过几个曾经发生的电力生产事故的例子给我们讲解了电力工作者学习《国家电网公司电力安全工作规定》的重要性。电力系统中安全生产堪称最为重要,所以老师进行了非常详细的讲解,通过之前的例子给我们敲响警钟。对于以后要在电力行业工作的我们来说,由于学校所学毕竟局限,所以安规教育尤其显得必要,让我们身处校园的学生真真切切地感受到电力生产安全的重要性。姜工程师为我们详细地介绍了安规的基本概念、工作中的注意事项、工作票五种人的条件、五种人的安全责任等内容,例如保证安全的组织措施以及技术措施。由于时间较短而内容很多,安规没有能一次掌握全部内容。姜工程师所说“安规每一条都是用血写出来的”对我们的震撼真的很大,其重要性也要求我们在以后的工作中不断学习,时时刻刻记住要按规则操作,确保每个人以及电力系统的安全。姜工程师还说,最早版本的安规本来是十几页的小册子,在国家电网的不断发展壮大的同时,也不断的提高安全的规定,通过总结每一次安全事故使其丰富为一百多页的详尽的电网安全规章的手册。最后姜工程师通知我们我们周六将有一个安规的考试,而合格的考试成绩是我们下周能够顺利安全参观的保证。身处校园的我们要深刻学习安规的每一条,因为,这些都是血的教训总结出来的,我们要时时谨记。
下午安排的是输电运检工区的白工程师为我们讲解了有关输电的内容,白工程师XX年毕业,现在已经是运检维修班的班长,有着丰富的经验,对电网电路有着熟悉的把握。通过专门领域的学习,我们了解了电力系统的复杂程度,即使只是输电都有很多的内容。白工程师主要为我们介绍了输电运检工区的具体工作,包括输电线路的建设、检修等,同时以大量图片的形式体现了这一工作的特点。重要而又具有危险性,需要胆大心细才能完成,而输电线路需要经常维护更加大了这一工作的辛苦程度。由此可见输电运检工区的工作人员为了社会更好的用电做出了巨大的牺牲和贡献。
2.28
今天是实习的第三天,大家像往常一样早早来到供电公司培训教室。上午是镇江配电运检工区的刘主任给我们讲解有关配电的内容,刘主任详尽的给我们介绍了配电运检工区的管理模式、配网的结构和常见的配网设备。刘主任讲话滔滔不绝,可见其在电力系统工作经验之丰富。刘主任首先介绍的是该区的管理方式,该区主要实行分班负责制,而这也是电力系统的主要管理方式之一。随后介绍了配网的网络结构,我们也得以了解了配网的电压等级及采用的结构方式,还有配电网的特点,配电网中最为重要的就是其供电的可靠性。最后介绍的是配电网中一些比较重要的设备,有变压器及熔断器、电缆分支箱、变电站、开闭所等,这些在平时的生活中也可以见到,但并不是特别了解所有设备的结构和作用,今天的介绍使我学到了很多。
下午的主题是电力公司的营销部门参观,我们提前来到供电公司营销大厅。首先参观了供电公司的营业厅,熟悉一下营销大厅的环境,工作人员用简短流利的话语介绍了镇江营业厅的构成及主要工作,这是我们第一次近距离直接接触供电公司的工作,曾经只知道电力公司是卖电的,这次实地参观之后,对电力公司售电工作有了更加深刻的了解。
随后回到教室又学习了营销部门的体系知识,我们学习了营销的概况之后,一名工程师为我们详细讲解了营销的概况、营销体系组织架构、营销工作的岗位职责、营销基础知识以及部分业务流程。电力市场营销就是电力企业在变化的市场环境中,以满足人们的电力消费需求为目的,通过电力企业一系列与市场有关的经营活动,提供满足消费需要的电力产品和相应的服务,从而实现电力企业开拓市场、占领市场的目标!
3.1
今天是本周实习的最后一天,和往常一样我们早早来到教室等待授课工程师的到来。 上午安排的是魏工程师为我们讲解变电运维工区的相关知识,魏工程师的授课从三个方面给我们进行了详尽的介绍:首先是变电站的基本知识,这些知识与大家平时所学的较为接近,所以大家都听得比较清楚,但紧接着讲解的变电站的典型接线相对我们学生来说就较为复杂了。接着魏工程师介绍的是变电站的设备,一次设备如变压器,二次设备如继保装置和自动装置以及交直流设备等。这些都是学过的内容,感觉比较容易接受。最后给我们介绍了变电站的运维管理,而我们也从中学到了很多校园里学不到的知识。
下午为我们授课的是调度中心的汤主任,汤主任先是为我们简单地介绍了调度中心的工作内容和在供电公司中处的位置,随后就带我们参观了这一最为重要的工区。由配调中心到地调,工作人员都详细讲解了他们的工作,并用电气接线图大屏幕给了我们直观的感受,使我们的理解更加深入,也使我对这调度员的工作重要性有了更加深入的认识,同时也对他们认真工作的态度敬佩不已。参观过后,我们进行安规考试。因为安全问题永远是首要的,所以安排了考试。考试不是目的,树立牢固的安全意识,工作中永远按照安全规程操作,保证人身、电网、设备安全才是目的。
第一周的实习随着安规考试结束而告一段落,一周的参观实习让我们学到很多校园里学不到的知识,如安全规范的规则等等,也使得我们加强自己对电网部门的了解!
3.4 回南京找工作请假
3.5
今天是实习的最后一天,大家都早早地起来,伴随着一丝丝不舍得情绪迎接最后一天。今天我们的安排是跟随配电运检工区的工程师们实习半天,感受他们的真实工作。我们一行十六个人被分成两组,一组随输配电的员工一起工作,其余七个人一起去随检修的工程师去切实的感受实际的工作。
【 关键词 】 云计算;云安全;等级保护;虚拟化安全
1 引言
自2006年云计算的概念产生以来,各类与云计算相关的服务纷纷涌现,随之而来的就是人们对云安全问题的关注。目前各个运营商、服务提供商以及安全厂商所提的云安全解决方案,大都根据自己企业对云平台安全的理解,结合本企业专长,专注于某一方面的安全。然而,对于用户来说云平台是一个整体,需要构建云平台的整体安全防护体系。
因此,针对云计算中心的安全需求建立信息安全防护体系已经是大势所趋,云安全防护体系的建立,必将使云计算得以更加健康、有序的发展。
2 云计算的安全问题解析
云计算模式当前已得到业界普遍认同,成为信息技术领域新的发展方向。但是,随着云计算的大量应用,云环境的安全问题也日益突出。我们如果不能很好地解决相关的安全管理问题,云计算就会成为过眼“浮云”。在众多对云计算的讨论中,SafeNet的调查非常具有代表性:“对于云计算面临的安全问题,88.5%的企业对云计算安全担忧”。各种调研数据也表明:安全性是用户选择云计算的首要考虑因素。近年来,云安全的概念也有多种层面的解读,本文所指云安全是聚焦于云计算中心的安全问题及其安全防护体系。
2.1 云安全与传统安全技术的关系
云计算引入了虚拟化技术,改变了服务方式,但并没有颠覆传统的安全模式。从这张对比视图中,如图1所示,可以看出,安全的层次划分是大体类似,在云计算环境下,由于虚拟化技术的引入,需要纳入虚拟化安全的防护措施。而在基础层面上,仍然可依靠成熟的传统安全技术来提供安全防护。
如图1所示,云计算安全和传统安全在安全目标、系统资源类型、基础安全技术方面是相同的,而云计算又有其特有的安全问题,主要包括虚拟化安全问题和与云计算分租服务模式相关的一些安全问题。大体上,我们可以把云安全看做传统安全的一个超集,或者换句话说,云安全是传统安全在云计算环境下的继承和发展。
综合前面的讨论,可以推导出一个基本的认识,云计算的模式是革命性的:虚拟化安全、数据安全和隐私保护是云安全的重点和难点,云安全将基于传统安全技术获得发展。
2.2 云计算的安全需求与防护技术
解决安全问题的出发点是风险分析,CSA云安全联盟提出了所谓“七重罪”的云安全重点风险域。
Threat 1: Abuse and Nefarious Use of Cloud Computing(云计算的滥用、恶用、拒绝服务攻击);
Threat 2: Insecure Interfaces and APIs(不安全的接口和API);
Threat 3: Malicious Insiders(恶意的内部员工);
Threat 4: Shared Technology Issues(共享技术产生的问题);
Threat 5: Data Loss or Leakage(数据泄漏);
Threat 6: Account or Service Hijacking(账号和服务劫持);
Threat 7: Unknown Risk Profile(未知的风险场景)。
信息的机密性、完整性和可用性被公认为信息安全的三个重要的基本属性,用户在使用云计算服务时也会从这三个方面提出基本的信息安全需求。
机密性安全需求:要求上传到云端的信息及其处理结果以及所要求的云计算服务具有排他性,只能被授权人访问或使用,不会被非法泄露。
完整性安全需求:要求与云计算相关的数据或服务是完备、有效、真实的,不会被非法操纵、破坏、篡改、伪造,并且不可否认或抵赖。
可用性安全需求:要求网络、数据和服务具有连续性、准时性,不会中断或延迟,以确保云计算服务在任何需要的时候能够为授权使用者正常使用。
根据云计算中心的安全需求,我们会相应得到一个安全防护技术的层次结构:底层是基础设施安全,包括基础平台安全、虚拟化安全和安全管理;中间是数据安全,上层是安全服务层面,还包括安全接入相关的防护技术。
3 等级保护背景下的云安全体系
3.1 等级保护标准与云安全
自1994年国务院147号令开始,信息安全等级保护体系历经近20年的发展,从政策法规、国家标准、到测评管理都建立了完备的体系,自2010年以来,在公安部的领导下,信息安全等级保护落地实施开展得如火如荼,信息安全等级保护已经成为我国信息化建设的重要安全指导方针。
图3表明了等级保护标准体系放发展历程。
尽管引入了虚拟化等新兴技术,运营模式也从出租机房进化到出租虚拟资源,乃至出租服务。但从其本质上看,云计算中心仍然是一类信息系统,需要依照其重要性不同分等级进行保护。云计算中心的安全工作必须依照等级保护的要求来建设运维。此外,云安全还需要考虑虚拟化等新的技术和运营方式所带来的安全问题。
因此,云计算中心防护体系应当是以等级保护为指导思想,从云计算中心的安全需求出发,从技术和管理两个层面全方位保护云计算中心的信息安全;全生命周期保证云计算中心的安全建设符合等保要求;将安全理念贯穿云计算中心建设、整改、测评、运维全过程。建设目标是要满足不同用户不同等保级别的安全要求,做到等保成果的可视化,做到安全工作的持久化。
3.2 云计算中心的安全框架
一个云计算中心的安全防护体系的构建,应以等级保护为系统指导思想,能够充分满足云计算中心的安全需求为目标。根据前面的研究,我们提出一个云计算中心的安全框架,包括传统安全技术、云安全技术和安全运维管理三个层面的安全防护。
云安全框架以云安全管理平台为中心,综合安全技术和管理运维两个方面的手段确保系统的整体安全。在安全技术方面,除了传统的物理安全、网络安全、主机安全、应用安全、数据安全、备份恢复等保障措施,还需要通过虚拟化安全防护技术和云安全服务来应对云计算的新特征所带来的安全要求。
3.3 云安全防护体系架构
在实际的云安全防护体系建设中,首先要在网络和主机等传统的安全设备层面建立基础信息系统安全防护系统。基础信息安全防护体系是以等级保护标准为指导进行构建,符合等级保护标准对相应安全级别的基本安全要求。
在此基础上,通过SOC安全集中管理系统、虚拟安全组件、SMC安全运维管理系统和等保合规管理系统四个安全子系统共同组成云安全管理中心,如图4所示。通过实体的安全技术和虚拟化安全防护技术的协同工作,为云计算中心提供从实体设备到虚拟化系统的全面深度安全防护,同时通过专业的SLC等保合规管理系统来确保云安全体系对于等级保护标准的合规性。
参考文献
[1] 郝斐,王雷,荆继武等.云存储安全增强系统的设计与实现[J].信息网络安全,2012,(03):38-41.
[2] 季一木, 康家邦,潘俏羽等.一种云计算安全模型与架构设计研究[J].信息网络安全,2012,(06):6-8.
[3] 黎水林.基于安全域的政务外网安全防护体系研究[J].信息网络安全,2012,(07):3-5.
[4] 胡春辉.云计算安全风险与保护技术框架分析[J].信息网络安全,2012,(07):87-89.
[5] 王伟,高能,江丽娜.云计算安全需求分析研究[J].信息网络安全,2012,(08):75-78.
[6] 海然.云计算风险分析[J].信息网络安全,2012,(08):94-96.
[7] 孙志丹,邹哲峰,刘鹏.基于云计算技术的信息安全试验系统设计与实现[J].信息网络安全,2012,(12):50-52.
[8] 甘宏,潘丹.虚拟化系统安全的研究与分析[J].信息网络安全,2012,(05):43-45.
[9] 赛迪研究院.关于云计算安全的分析与建议[J].软件与信息服务研究,2011,5(5):3.
[10] 陈丹伟,黄秀丽,任勋益.云计算及安全分析[J].计算机技术与发展,2010,20(2):99.102.
[11] 冯登国,孙悦,张阳.信息安全体系结构[M].清华大学出版社,2008:43-81.
[12] 张水平,李纪真.基于云计算的数据中心安全体系研究与实现[J].计算机工程与设计,2011,12(32):3965.
[13] 质监局,国标委.信息系统安全等级保护基本要求.GB/T 22239—2008:1~51.
[14] 王崇.以“等保”为核心的信息安全管理工作平台设计[J].实践探究,2009,1(5):73.
[15] Devki Gaurav Pal, Ravi Krishna.A Novel Open Security Framework for Cloud Computing.International Journal of Cloud Computing and Services Science (IJ-CLOSER) ,2012 ,l.1(2):45~52.
[16] CSA.SECURITY GUIDANCE FOR CRITICAL AREAS OF FOCUS IN CLOUD COMPUTING V3.0.http:///guidance/csaguide.v3.0.pdf,2011:30.
作者简介:
白秀杰(1973-),男,硕士,系统分析师;研究方向:云安全技术。
李汝鑫(1983-),男,本科,项目管理师;研究方向:信息安全技术。
随着云计算技术在核电厂的推广应用,企业的信息化水平提升到新的高度。企业对信息安全可靠性、保密性、完整性产生更高的述求,信息安全的防护工作日趋紧迫。传统的信息安全防御手段无法应对新出现的威胁,因此需结合现有的信息安全体系,采取与云计算技术相结合的手段开展一系列信息安全防护工作。本文主要介绍了云计算的相关概念和体系架构,云计算技术在核电的应用,国内核电信息安全体系现状,以及基于云计算的核电信息安全体系设计。
关键词:
云计算;核电;信息安全
核电行业是很早就使用计算机实现生产自动化的企业。继个人计算机、互联网变革之后,2010年,云计算作为第三次IT浪潮的代表正在向我们走来。它将带来人类生活、生产方式和商业模式的根本性改变,成为当前全社会关注的热点。云计算的目的是将不同的IT资源(资源包括网络,服务器,存储,应用软件,服务)以服务的方式交付给用户。计算资源、存储资源、软件开发、系统测试、系统维护和各种丰富的应用服务,都将像水和电一样方便地被使用。信息实质上是一种资源,其价值在于其所能创造的机遇与利益。信息安全的目的即是保护信息的完整性、可用性及保密性等属性,以保证信息的价值。一旦信息的完整性、可用性或保密性缺失或受损,信息的价值将大打折扣。核电厂作为国防建设的重点单位,信息安全重要性尤为突出。随着云计算技术在核电厂的推广应用,信息安全的防护出现一些新的变化,本文即是针对这些新的变化进行相应的探讨,目的是提升核电厂信息安全水平。
1云计算概念和体系架构
网络通信、分布式计算及服务计算等技术的发展为云计算的实施提供了强有力的支撑。NIST指出云计算是一种以通过网络连接,便携且按需访问的可配置共享资源池的服务,计算资源将以最小的管理和交互代价快速提供给用户;同时云计算还应满足按需自助服务、广泛网络接人、高效资源共享、高弹性计算、支持度量计费等五大功能特性。根据云计算所提供服务类别的不同,云计算的服务模式可以分为软件即服务(SoftwareasaService,SaaS)、平台即服务(PlatformasaService,PaaS)和基础设施即服务(InfrastructureasaService,IaaS)。典型的云计算平台架构如下:IaaS、PaaS、SaaS在功能范围和侧重点上都存在差异,其中IaaS需要在异构资源环境下,提供按需付费、可度量资源池功能,同时要兼顾硬件资源的充分利用和用户需求的满足;PaaS不仅关注底层硬件资源的整合,还需要提供能够供租户进行开发、调试应用的平台环境;SaaS不仅需实现底层资源的充分利用,还必须通过部署一个或多个应用软件环境,为用户提供可定制化的应用服务。
2云计算技术在核电企业的应用
随着核电ERP/EAM/ECM等核心系统的构建,以及IT架构的进一步集中调整,整个核电IT系统的架构变的更为复杂。为了提升信息化水平,提高资源利用率,核电厂开展云计算相关技术研究,结合企业实际情况,遵循四化的理念来建立、提升、完善云计算平台的能力。核电企业四化包括:资源管理集约化:通过对企业计算、存储、网络资源的集中化、标准化、服务化管理实现高效、弹性的IT架构;应用交付一体化:通过软件全生命周期管理的自动化以及面向企业级应用的业务框架提高企业应用的交互能力;系统运营智能化:通过全方位的监控和时间处理,将数据植入到运营流程中,达到流程化、智能化运行的目标;运维管理自动化:通过运维作业集中管理调度与监控实现运维作业的标准化和自动化提高应用运维的效率和可管理型。
3国内核电信息安全体系现状
目前国内大部分核电企业的信息安全体系建设主要遵守《电力行业信息系统等级保护定级工作指导意见》(电监信息[2007]44号)、《信息安全等级保护管理办法》和《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字[2010]70号)等,以上述办法围绕等级保护来开展信息安全体系建设。一些信息化建设水平较好的核电企业,在信息安全建设过程中逐步借鉴和参考国际国内先进的信息安全标准,主要是目前国际上应用最广泛的ISO27001信息安全管理体系。在传统的信息安全时代主要采用隔离作为安全的手段,具体分为物理隔离、内外网隔离、加密隔离,实践证明这种隔离手段针对传统IT架构能起到有效的防护。同时这种隔离为主的安全体系催生了一批以硬件销售为主的安全公司,例如各种FireWall(防火墙)、IDS/IPS(入侵检测系统/入侵防御系统)、WAF(Web应用防火墙)、UTM(统一威胁管理)、SSL网关、加密机等。在这种隔离思想下,并不需要应用提供商参与较多信息安全工作,在典型场景下是由总集成商负责应用和信息安全之间的集成,而这导致了长久以来信息安全和应用相对独立的发展,尤其在国内这两个领域的圈子交集并不大。结果,传统信息安全表现出分散割据化、对应用的封闭化、硬件盒子化的三个特征。信息安全体系的基本建设要素包括物理安全、网络安全和系统安全三个要素。(1)物理安全。物理安全主要涵盖机房安全、信息设备安全、通信线路安全等,保障信息机房的电源、温湿度、进出入的安全,保障信息化基础设施、通信线路等的运行可靠性、双链路互备等措施。(2)网络安全。互联网的安全主要以防火墙为核心,辅以IPS、防病毒网关等设备为核电构建统一的、安全的互联网出入口。内部局域网作为网络中终端数量最大、用户最多的区域,一直是网络安全防护的重点区域。首先,局域网要进行核心层、汇聚层、接入层的规划和IP地址划分,核心层要满足双机热备的要求。在网络管理中要实现网络资源的配置、网络流量监控,保障局域网络的稳定通畅。其次,终端安全管理是内部局域网安全的管理重心,建立终端管理、防病毒、移动介质等防控手段。(3)系统安全。信息系统的稳定运行是支撑核电业务连贯性的必要条件,信息系统的服务器、操作系统、数据库、系统接口等的管理有效性是实现系统安全、稳定运行的基础。系统的应用安全主要指系统中数据访问、流程审批、操作合规性等安全,主要通过用户认证、电子证书、文档加密、行为审计等手段来加以监控。
4基于云计算的信息安全体系设计
核电企业云平台承载企业的关键应用,数据作为企业的资产,其安全性需要采取相应措施加以保障,核电企业在建设云平台过程中,注重安全管理。安全管理是为了建设可靠的安全保障体系,实现应用服务及数据调用的安全认证和安全审计,主动的异常数据操作行为的监控分析、预警机制,并提供异常问题的倒查追溯能力。为了更好的保证业务之间的隔离性和安全性,核电厂从三个方面建立信息安全体系:(1)访问安全。访问安全基于身份认证和权限认证来完成。身份认证是建立统一的用户信息库,为系统提供身份认证服务,只有合法用户才能对信息化系统进行访问;权限认证主要是根据用户身份对其进行权限判断,以权限认证与统一认证相结合,为信息化系统提供方便、简单的、可靠的授权服务,从而对用户进行整体的、有效的访问控制,保护系统资源不被非法或越权访问,防止信息泄漏。(2)数据安全。数据安全是对及内部信息系统进行严格的安全防护,对计算机、数据、敏感业务系统采用认证、加密等技术手段进行控制。数据安全主要包括:数据完整性,数据保密性,备份和恢复。数据完整性:通过循环冗余校验(CRC)以及消息认证码(带密钥的Hash函数)来保证完整性。数据保密性:通过传输协议加密以及数据加密来保证保密性。备份和恢复:对重要信息进行备份,并对备份介质定期进行可用性测试。(3)操作安全。操作安全是为了防止误操作带来的风险,如删除关键数据造成系统无法正常运行。操作安全可以通过事前预防和事后补救这两方面来保证。事前预防是通过对关键操作进行多人复核,降低单人误操作机率;事后补救是通过操作日志来回滚误操作。结合云计算平台建设现状和企业实际,核电厂从云平台基础安全、云平台攻防安全、云平台运维安全等方面建设信息安全体系,构筑全方位的信息安全防护屏障。
4.1云平台基础安全
(1)网络安全。云计算平台网络分为两部分:管理平面和业务平面网络。管理平面网络主要用来管理云计算主机,业务网络主要负责传递业务系统相关数据,两者传输数据不同,访问授权也不一致,需将管理平面和业务平面网络隔离。此外,需关闭未使用的网络端口防止非法接入,回收服务器默认路由防止主动外联。(2)宿主机安全。首先要保证操作系统安全,减少系统漏洞。由于云计算操作系统大部分是基于开源平台开发,存在漏洞较多。因此进行系统定制化开发时候需将操作系统内核和组件精简,减少非必要的功能,修复相关漏洞,对主机做符合业界安全规范的配置加固,内核防提权模块加固等。(3)多租户资源隔离。云计算平台的典型场景是多租户共享,但和传统IT架构相比,原来的可信边界彻底被打破了,威胁可能直接来自于相邻租户。租户通过Hypervisor(虚拟机监视器)共享同一个物理操作系统的计算资源,在一张共享的二层网络上实现网络的区隔。攻击者一旦通过某0day漏洞实现虚拟逃逸到宿主机,攻击者就可以读取这台宿主机上所有虚拟机的内存,从而可以控制这台宿主机上的所有虚拟机。同时更致命的是,整个云平台节点间通讯的API默认都是可信的,因此可以从这台宿主机与集群消息队列交互,进而集群消息队列会被攻击者控制,最终一举攻破整个云主机集群。云服务器租户隔离从以下几个方面设计:基于VT-x技术隔离CPU;硬件辅助EPT技术隔离内存;分离设备驱动I/O模型隔离存储;交换型Vswitch,不同VM的数据包被转发到对应的虚拟端口;VM的IP、Mac地址绑定防地址欺骗及网络嗅探;物理内存、物理存储重分配前清零;用户数据打标签隔离存储。(4)数据存储安全。数据是信息系统最核心要素,数据的可靠性和安全性在信息安全中地位尤为突出,云计算平台采取了分布式存储技术,将数据分散在多个磁盘中。同一数据分别备份三份存储于磁盘中,任意部分丢失均立刻进行恢复,可靠性达99.9999%,较好保障数据安全性;为应对物理拷贝,将数据打散后即使单独拷贝磁盘出去,无系统进行数据提取、整合,无法恢复数据。
4.2云平台攻防安全
互联网攻防体系包括DDOS攻击防御、入侵防御、弱点分析和态势感知四个方面,整体架构如下:(1)DDOS攻击防御。DDOS(分布式拒绝服务),是指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击。DDOS攻击本质上是一种只能缓解而不能完全防御的攻击,它不像漏洞那样打个补丁解决了就是解决了,DDOS就算购买和部署了当前市场上比较有竞争力的防御解决方案也完全谈不上彻底根治。防火墙、IPS、WAF这些安全产品都号称自己有一定的抗DDOS能力,而实际上他们只针对小流量下,应用层的攻击比较有效,对于稍大流量的DDOS攻击则无济于事。结合云计算平台特点,DDoS攻击防御使用DDoS清洗系统,通过封堵大流量DDoS攻击,保障云平台可用;通过拦截应用层DDoS/CC攻击,保障业务可用。DDoS清洗系统可1秒完成检测->牵引->清洗->回注流程,全自动响应,无人值守,提高效率,降低成本;与全球信息安全防护厂商共享数据,提供最大450+Gbps防御能力,可抵御海量攻击;采用了精准的攻击检测技术,网络抖动小。本系统配置专用大数据平台,采用基于大数据分析技术可快速分析恶意IP库、恶意行为库。(2)入侵防御。入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。传统的入侵防御系统多集中在应对4~7层的应用攻击,在应对DDoS洪水型攻击时却显得捉襟见肘,而基于云计算的入侵防御系统不但要集成的原有入侵防御产品多层的防攻击功能,更需具有专业抗DDoS攻击功能,可清洗2~4层的洪水型攻击流量,能够从而实现系统全方位的入侵防护。云计算入侵防御系统需要具备功能包括:实时网络入侵拦截,封堵恶意行为;自动木马后门检测,保护主机安全;弱点分析,可以快速分析出系统存在漏洞、弱点及时发现弱点,自动修复漏洞;具备实时扫描功能,风险随时可知。(3)网络态势感知。所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。网络态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势。基于云计算的态势感知服务可以让企业决策者发现眼睛看不见的风险。态势感知的第一个特点是以海量数据、超强的计算为依托,让黑客攻击显影。第二个特点就是让风险可视化。有了它,没有安全技术基础的人也能看见风险的过去、现在和将来。基于云计算的态势感知系统需具备功能包括:安全数据大屏实时展示;集中安全策略管理;多维度日志关联分析;时间+空间,安全风险全局态势感知。(4)数据库审计。数据库是企业最具有战略性的资产,通常都保存着重要的商业伙伴和客户信息,这些信息需要被保护起来,以防止竞争者和其他非法者获取。面对日趋复杂的安全风险,必须部署数据库审计系统。数据库审计能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。基于云计算的数据库审计系统是在数据库虚机上安装数据库审计业务端程序,该程序会对该虚机上的数据库业务进行审计。另外在中控区部署统一的数据库审计管理端程序,对所有业务端程序提供集中管控。
4.3云平台安全运维
随着云计算平台的建设推进,各应用系统也进行了基于“云”的设计改造,因此必须建立一套完整的基于云计算的安全运维体系,保证各类紧急事件能够及时处理。基于云计算的安全运维体系应包括以下两个方面。(1)带外管理分离与运营平台。云平台的运维管理应与业务网络分离,同时建立运维平台和运营平台。运维平台主要供IT管理员进行云平台的运维,运营平台提供运营相关服务,包括计费、考核、流程审批等。(2)运维管理审计。InforCube运维管理审计系统涵盖多种运维协议(RDP、SSH、TELNET、FTP、SCP等)并提供操作回放检索、输入记录、标题抓取等功能,从明确人、主机、帐户各个角度,提供丰富的统计分析,帮助用户及时发现安全隐患,协助优化网络资源的使用。它能够对运维人员的访问过程进行细粒度的授权、全过程的操作记录及控制、全方位的操作审计、并支持事后操作过程回放功能,实现运维过程的“事前预防、事中控制、事后审计”,在简化运维操作的同时,全面解决云计算复杂环境下的运维安全问题,提升企业IT运维管理水平。
5结束语
云计算平台的信息安全体系建设,除了要依据上级单位的要求,参照ISO27001和信息系统安全等级保护体系开展企业信息安全建设,更重要的是要根据云平台架构特点,有针对性进行方案设计,采取更先进的技术进行安全加固。新技术的发展日新月异,相应的安全威胁手段也在改进,如仅仅按照国标和行业的标准进行安全防范,无法防范新出现的威胁。因此针对云平台的信息安全体系建设日趋紧迫。此外,在做好信息安全的技术防御之时,提高管理、加强对安全体系的审查改进是重要的落地手段。通过安全体系的设计,落实改进措施,定期实施加固,将安全体系落实到实处,才可以保障企业的信息安全。
作者:张荣斌 单位:中核核电运行管理有限公司
参考文献:
[1]梅生伟,王莹莹,陈来军等.从复杂网络视角评述智能电网信息安全研究现状及若干展望[J].高电压技术,2011,37(3):672-679.
[2]李文武,游文霞,王先培等.电力系统信息安全研究综述[J].电力系统保护与控制,2011,39(10):140-147.DOI:10.3969/j.issn.1674-3415.2011.10.026.
[3]谢迎军.信息及信息安全思辨[C].//中国电机工程学会电力通信专业委员会第九届学术会议论文集.2013:822-826.
[4]工业和信息化部信息安全协调司司长赵泽良:积极应对风险挑战维护国家信息安全[J].信息安全与通信保密,2012,(3):2-2.
[5]杜保东,杨庆明,李冰等.企业云计算信息安全方案研究[J].信息系统工程,2014,(5):67-68.
[6]汪兆成.基于云计算模式的信息安全风险评估研究[J].信息网络安全,2011,(9):56-59.DOI:10.3969/j.issn.1671-1122.2011.09.018.
[7]杨成.解析现阶段云计算的应用与信息安全[J].科技展望,2015,(20):1-2.
[8]中华人民共和国国家标准GB/T22239-2008《信息系统安全等级保护基本要求》