淺談信息系統運維管理的安全風險分析與建議

張淑鳳 王澤兵 雷晨曦 單琳 郭向陽

本文對信息系統運維的具體內容進行了闡述，分析了當前信息系統運維工作中存在的主要問題，提出加強對運維人員技能培訓，建設規范化的信息系統運維體系，引進先進的智能化運維管理軟件平臺，加強對信息系統運維工作的監管力度等措施建議，促進運維工作精細化管理。

當前，信息化建設極大促進了企業發展，很多日常工作的開展都轉為線上進行，企業普遍使用信息系統進行管理并開展業務工作，如協同辦公系統、郵件系統、檔案管理系統、項目實施系統等。信息系統全生命周期大體包括三個階段，即規劃設計階段，系統建設階段和運維管理階段。業內研究數據標明，一般企業信息化項目中，規劃、建設階段占比約20%，運維階段占80%。運維工作的復雜性和面臨的困難也達到了新高度。為保證系統安全穩定運行、為用戶提供良好的服務，及時解決系統出現的各種故障和問題，需要在解決問題的同時不斷優化和提升信息系統運維能力。

信息系統經過建設和相關管理審批程序，投入運行后，即交付給單位信息系統運維機構負責日常運維，系統運維工作主要包括以下內容。

（一）基礎設施硬件運維管理

主要包括網絡綜合布線、機房管理和信息化設備管理三個方面。其中機房管理包括場地、空調、通風、供電、供水、通信線路、安保等工作內容；信息化設備管理包括對網絡設備、安全設備、服務器設備和終端設備的管理等。

（二）安全產品運維管理

安全產品主要包括入侵檢測系統、防火墻、主機監控與審計系統、防病毒系統、終端安全登錄系統、網絡監控審計系統等。安全產品的運維工作重點在于產品的策略配置和有效性監管，確保其所覆蓋的服務器和終端設備裝備安裝產品的有效性和可用性，并對產品的審計日志進行分析，以發現違規用戶行為。

（三）應用系統運維管理

應用系統是信息系統的核心，其運維管理除了要保障系統穩定運行外，重點體現在系統管理、用戶權限管理和審計管理上。特別是依據分級保護標準而建設的涉密應用系統，實現對用戶的權限管理和按照用戶密級分級管理尤為重要，確保系統中數據的流轉控制在最小知悉范圍。

此外，針對軍工科研生產單位，如為涉密信息系統，則設備入網和人員入網流程辦理也是一個重要組成部分。武器裝備科研生產單位還要求做到一人一檔和一機一檔，如發生策略變化和授權變化，均需要經過審批程序。

（一）依賴運維外包或是承建廠商承擔運維主要工作

很多單位存在自身運維團隊人員不足，技術水平不夠情況，主要依靠運維外包或是系統各參加廠商協助進行運維，而此種方式運維模式下又未明確劃分職責邊界，缺乏對派駐的運維服務人員嚴格的管理，造成重要基礎設施和重要數據掌握在外人手里，存在用戶重要數據和敏感數據知悉范圍擴大甚至泄露的風險。

（二）運維管理不規范，未形成有效的運維機制

單位只注重業務工作的開展，未能及時形成體系化的運維規范，在運維工作量不大的情況下，尚不明顯，但是一旦系統規模較大，運維不規范導致的運維工作紊亂，不同的人不同的處理方式，在面對上級檢查時，特別是資質單位的審查時會帶來較大的麻煩，嚴重情況將導致單位無法通過上級檢查。

（三）缺乏先進的運維技術手段支撐

由于企業領導不重視或是經費限制，在信息系統建設時，往往只注重管理應用和業務應用系統的建設，對運維手段建設方面投入不足，造成了“重建設，輕運維”的情況，導致各業務系統上線了，提升了業務信息化水平，但運維信息化建設還處于落后階段，無法規范高效完成運維工作。

（一）建立或優化規范的運維體系

首先，明確運維組織機構和職責。一般情況下，運維組織機構往往是在單位負責人的分管領導下，由信息化管理部門具體指導，運維責任部門承擔具體運維職責。該運維機構同時接受保密管理部門的監管。運維責任部門人員按照權限不同可分設系統管理員、安全管理員和安全審計員等；同時按照運維對象不同可分為網絡管理員、終端管理員、應用系統管理員、數據庫管理員等。

其次，建立規范化的運維管理制度體系。實施信息系統運維管理，完整而有效的運維管理制度體系是解決運維痛點和問題的基礎和保障。一般運維制度體系的制定涵蓋兩個管理層級，一是由信息化管理部門制定和發布的制度文件，包括運維管理制度、運維管理策略和操作規程等。運維管理制度是最基本的要求，策略是在制度的框架下，針對各種安全問題提出的具體對策和解決方案，制度保障了策略的實施和落實，而操作規程是實施安全策略的具體步驟。二是由運維機構制定和發布的系列操作規程，該系列文件在信息化管理部門發布的制度文件要求下，對運維人員和運維操作的進一步細化，針對運維機構自身業務，如何開展培訓，如何執行日常運維規范化操作等。

（二）培育企業自身運維團隊，加強技能培訓，明確考核機制

運維人員是運維工作的核心，運維人員的責任意識和技能本領是運維安全的保障。企業必須建立起自身的運維隊伍，并具備網絡、產品、終端等各方面的優秀人才，制定人才培養培訓計劃，定期參加培訓并開展實戰演練，確保運維隊伍政治可靠、專業性強，有效解決運維各種問題。要對運維人員的任職條件提出明確要求，明確運維人員的職責和工作標準，簽訂安全承諾書，定期對運維人員進行履職考核，進行獎懲。

（三）引進先進的智能化運維管理平臺

采用智能化運管平臺協助運維人員開展運維工作，實現規范化運維設備和流程管控，是很多企業的普遍做法。能夠在最少的人員干預下使用故障監測技術尋找設備運行中的故障點，發生故障時通過問題分析快速定位故障根源尋找解決方案，并能夠自動運行預制腳本與工具進行故障的修復，最后還能夠根據審計日志進行追溯分析，對暴露出來的問題進行深入的關聯解析，找出潛藏的隱患并制定解決預案。智能化運維的終極目標，也就是將運維人員從煩瑣的工作中解放出來，提高整體運維效率，降低運維成本，實現系統的高可用性。

智能化運管平臺通常具備以下功能：可實現全面化設備管理；實現可視化拓撲結構管理；實現及時性故障處理，迅速定位告警設備，及時告警、自動處理，確保故障及時解決，極大提升告警處理效率，降低因故障帶來的損失；實現多維度性能管理，全面采集設備資源、應用、服務等性能信息，運維人員隨時把握設備性能狀態，防患于未然；實現精細化報表統計，具有多項數據的統計功能，通過多種類型的圖表展現，使運維人員對整體網絡有一個全面直觀的掌握，通過數據分析，全面把握網絡狀況為決策提供依據；多層次安全管理及審計日志。通過對用戶網絡、用戶權限進行設置，以及對黑白名單的控制，以多層次多角度提升網絡安全性，對行為追溯審計，便于事后跟蹤，保障用戶網絡安全。

（四）建立對信息系統運維工作的監管機制。

為提高信息系統運維管理水平，強化日常運維執行能力，對運維人員的履職情況進行監管是一種必要的手段。一是信息化管理部門對運維機構的監管。這主要從任務下達方的角度監管運維工作的完成情況和用戶的反饋情況。二是保密部門對運維機構實施監管。這主要從運維規范化的角度出發，對運維工作進行評價，從保密監督檢查的角度對運維人員的操作是否合規進行評價，從而保障數據安全。

企業信息系統運維工作關乎著廣大員工的應用體驗，保障著業務系統的正常運轉，對運維工作實施精細化、規范化管理能有效提升運維工作的規范性、統一性，提升工作效率，引進運維軟件平臺更是能讓運維工作朝著智能化邁進，極大提升工作效率，從而有效保障企業在面臨各種突發情況下業務能夠正常開展。

作者單位：中核戰略規劃研究總院有限公司