浅谈信息系统运维管理的安全风险分析与建议

张淑凤 王泽兵 雷晨曦 单琳 郭向阳

本文对信息系统运维的具体内容进行了阐述，分析了当前信息系统运维工作中存在的主要问题，提出加强对运维人员技能培训，建设规范化的信息系统运维体系，引进先进的智能化运维管理软件平台，加强对信息系统运维工作的监管力度等措施建议，促进运维工作精细化管理。

当前，信息化建设极大促进了企业发展，很多日常工作的开展都转为线上进行，企业普遍使用信息系统进行管理并开展业务工作，如协同办公系统、邮件系统、档案管理系统、项目实施系统等。信息系统全生命周期大体包括三个阶段，即规划设计阶段，系统建设阶段和运维管理阶段。业内研究数据标明，一般企业信息化项目中，规划、建设阶段占比约20%，运维阶段占80%。运维工作的复杂性和面临的困难也达到了新高度。为保证系统安全稳定运行、为用户提供良好的服务，及时解决系统出现的各种故障和问题，需要在解决问题的同时不断优化和提升信息系统运维能力。

信息系统经过建设和相关管理审批程序，投入运行后，即交付给单位信息系统运维机构负责日常运维，系统运维工作主要包括以下内容。

（一）基础设施硬件运维管理

主要包括网络综合布线、机房管理和信息化设备管理三个方面。其中机房管理包括场地、空调、通风、供电、供水、通信线路、安保等工作内容；信息化设备管理包括对网络设备、安全设备、服务器设备和终端设备的管理等。

（二）安全产品运维管理

安全产品主要包括入侵检测系统、防火墙、主机监控与审计系统、防病毒系统、终端安全登录系统、网络监控审计系统等。安全产品的运维工作重点在于产品的策略配置和有效性监管，确保其所覆盖的服务器和终端设备装备安装产品的有效性和可用性，并对产品的审计日志进行分析，以发现违规用户行为。

（三）应用系统运维管理

应用系统是信息系统的核心，其运维管理除了要保障系统稳定运行外，重点体现在系统管理、用户权限管理和审计管理上。特别是依据分级保护标准而建设的涉密应用系统，实现对用户的权限管理和按照用户密级分级管理尤为重要，确保系统中数据的流转控制在最小知悉范围。

此外，针对军工科研生产单位，如为涉密信息系统，则设备入网和人员入网流程办理也是一个重要组成部分。武器装备科研生产单位还要求做到一人一档和一机一档，如发生策略变化和授权变化，均需要经过审批程序。

（一）依赖运维外包或是承建厂商承担运维主要工作

很多单位存在自身运维团队人员不足，技术水平不够情况，主要依靠运维外包或是系统各参加厂商协助进行运维，而此种方式运维模式下又未明确划分职责边界，缺乏对派驻的运维服务人员严格的管理，造成重要基础设施和重要数据掌握在外人手里，存在用户重要数据和敏感数据知悉范围扩大甚至泄露的风险。

（二）运维管理不规范，未形成有效的运维机制

单位只注重业务工作的开展，未能及时形成体系化的运维规范，在运维工作量不大的情況下，尚不明显，但是一旦系统规模较大，运维不规范导致的运维工作紊乱，不同的人不同的处理方式，在面对上级检查时，特别是资质单位的审查时会带来较大的麻烦，严重情况将导致单位无法通过上级检查。

（三）缺乏先进的运维技术手段支撑

由于企业领导不重视或是经费限制，在信息系统建设时，往往只注重管理应用和业务应用系统的建设，对运维手段建设方面投入不足，造成了“重建设，轻运维”的情况，导致各业务系统上线了，提升了业务信息化水平，但运维信息化建设还处于落后阶段，无法规范高效完成运维工作。

（一）建立或优化规范的运维体系

首先，明确运维组织机构和职责。一般情况下，运维组织机构往往是在单位负责人的分管领导下，由信息化管理部门具体指导，运维责任部门承担具体运维职责。该运维机构同时接受保密管理部门的监管。运维责任部门人员按照权限不同可分设系统管理员、安全管理员和安全审计员等；同时按照运维对象不同可分为网络管理员、终端管理员、应用系统管理员、数据库管理员等。

其次，建立规范化的运维管理制度体系。实施信息系统运维管理，完整而有效的运维管理制度体系是解决运维痛点和问题的基础和保障。一般运维制度体系的制定涵盖两个管理层级，一是由信息化管理部门制定和发布的制度文件，包括运维管理制度、运维管理策略和操作规程等。运维管理制度是最基本的要求，策略是在制度的框架下，针对各种安全问题提出的具体对策和解决方案，制度保障了策略的实施和落实，而操作规程是实施安全策略的具体步骤。二是由运维机构制定和发布的系列操作规程，该系列文件在信息化管理部门发布的制度文件要求下，对运维人员和运维操作的进一步细化，针对运维机构自身业务，如何开展培训，如何执行日常运维规范化操作等。

（二）培育企业自身运维团队，加强技能培训，明确考核机制

运维人员是运维工作的核心，运维人员的责任意识和技能本领是运维安全的保障。企业必须建立起自身的运维队伍，并具备网络、产品、终端等各方面的优秀人才，制定人才培养培训计划，定期参加培训并开展实战演练，确保运维队伍政治可靠、专业性强，有效解决运维各种问题。要对运维人员的任职条件提出明确要求，明确运维人员的职责和工作标准，签订安全承诺书，定期对运维人员进行履职考核，进行奖惩。

（三）引进先进的智能化运维管理平台

采用智能化运管平台协助运维人员开展运维工作，实现规范化运维设备和流程管控，是很多企业的普遍做法。能够在最少的人员干预下使用故障监测技术寻找设备运行中的故障点，发生故障时通过问题分析快速定位故障根源寻找解决方案，并能够自动运行预制脚本与工具进行故障的修复，最后还能够根据审计日志进行追溯分析，对暴露出来的问题进行深入的关联解析，找出潜藏的隐患并制定解决预案。智能化运维的终极目标，也就是将运维人员从烦琐的工作中解放出来，提高整体运维效率，降低运维成本，实现系统的高可用性。

智能化运管平台通常具备以下功能：可实现全面化设备管理；实现可视化拓扑结构管理；实现及时性故障处理，迅速定位告警设备，及时告警、自动处理，确保故障及时解决，极大提升告警处理效率，降低因故障带来的损失；实现多维度性能管理，全面采集设备资源、应用、服务等性能信息，运维人员随时把握设备性能状态，防患于未然；实现精细化报表统计，具有多项数据的统计功能，通过多种类型的图表展现，使运维人员对整体网络有一个全面直观的掌握，通过数据分析，全面把握网络状况为决策提供依据；多层次安全管理及审计日志。通过对用户网络、用户权限进行设置，以及对黑白名单的控制，以多层次多角度提升网络安全性，对行为追溯审计，便于事后跟踪，保障用户网络安全。

（四）建立对信息系统运维工作的监管机制。

为提高信息系统运维管理水平，强化日常运维执行能力，对运维人员的履职情况进行监管是一种必要的手段。一是信息化管理部门对运维机构的监管。这主要从任务下达方的角度监管运维工作的完成情况和用户的反馈情况。二是保密部门对运维机构实施监管。这主要从运维规范化的角度出发，对运维工作进行评价，从保密监督检查的角度对运维人员的操作是否合规进行评价，从而保障数据安全。

企业信息系统运维工作关乎着广大员工的应用体验，保障着业务系统的正常运转，对运维工作实施精细化、规范化管理能有效提升运维工作的规范性、统一性，提升工作效率，引进运维软件平台更是能让运维工作朝着智能化迈进，极大提升工作效率，从而有效保障企业在面临各种突发情况下业务能够正常开展。

作者单位：中核战略规划研究总院有限公司