运维安全管理系统设计(精选10篇)
运维安全管理系统设计 篇1
摘要:随着企业信息化程的越来越高, 企业内部各系统的运维管理也越来越重要, 现有的堡垒机只能满足部分安全运维的需要, 本文设计了一套运维安全管理系统, 除了能够对账号、权限分配等等进行统一的管理认证之外, 还与核查机制相结合, 从而能够更加合理、高效、安全的进行运维安全管理。
关键词:运维安全,系统设计
一、当前运维安全管理的问题
随着企业信息化的不断发展, 支撑企业的各种网络设备、主机系统、应用系统也在不断壮大, 各类业务系统也日益复杂。对于一个企业来说, 最大的威胁和破坏往往来自于企业内部, 主要表现为: (1) 账号管理无序, 多人共享账号。 (2) 权限管理粗放, 系统安全难以保证。 (3) 日志粒度粗犷, 事件无法定位。 (4) 缺乏统一的运维审计机制。 (5) 缺乏对第三方代维管理的行为监控, 等等。
解决上述问题仅仅依靠严格的规章制度来对运维人员进行约束是远远不够的, 堡垒机应运而生。堡垒机能做到对运维人员账号的安全管理和审计, 但不能审核配置信息的正确性, 运维人员维护系统的操作是否正确, 信息系统配置变更后是否安全等等也都不在堡垒机的控制范围内。为保证信息系统的安全可控, 必须设计更有效、更合理的运维安全管理系统。
二、系统设计思路
为更好的满足运维安全管理的需要, 系统既要实现安全管理, 又要能和安全配置核查有联动作用, 实现“系统运维——运维审计——运维核查——问题定位”的全封闭式管理, 如图所示:
主要模块说明如下:
2.1权限管理模块。这一模块的主要目的是隔离终端用户对网络设备和服务器资源的直接访问——通过防火墙等访问策略, 不允许设备 (包括网络设备、操作系统、数据库和应用系统等) 的运维人员直接登录, 所有操作必须经过运维安全管理系统, 任何用户对目标的访问都必须通过此模块进行翻译, 系统能够截获所有操作行为。具体流程为:运维人员要先登陆运维安全管理系统进行身份认证, 通过认证后运维人员提出相应的操作申请, 该请求通过运维安全管理系统权限检验后, 系统将代替运维人员连接到目标设备进行运维管理, 并将结果返回给运维用户。
主要包含以下几个子模块: (1) 账号管理模块。账号和资源的集中管理是集中授权、认证和审计的基础。账号管理模块能够对所有服务器、网络设备、安全设备等账号进行集中管理, 制定统一的、标准的账号安全策略, 进而实现对账号整个生命周期的监控, 账号集中管理也能降低管理大量账号的难度和工作量。 (2) 身份认证模块。用户在登录设备前先连接到运维安全管理系统进行身份认证, 再进行操作申请, 认证模式包括动态口令、静态密码、硬件key等多种方式。同时, 还具备单点登录功能——用户一次登录成功后, 可以无需认证的访问被授权的所有系统。单点登录为具有多账号的用户提供了方便快捷的访问途径, 使用户无需记忆多种登陆ID和口令, 提高了效率;同时, 由于系统本身采用强认证, 从而提高了用户认证环节的安全性。 (3) 资源授权模块。通过集中授权和统一的访问控制, 该模块不仅能够根据用户的权限对主账号能够使用的从账号进行授权, 还能实现对行为和资源命令级的细粒度控制, 能够对不法命令进行阻断, 严防非法、越权访问事件的发生, 最大限度的保护用户资源的安全。 (4) 操作审计模块。模块能够对账号使用情况、资源使用情况、执行操作等进行全程的追踪并记录日志, 实时监控并记录运维人员对操作系统、安全设备、网络设备、数据库等进行的各种操作。具有审计权限的用户可以登陆系统查看监控结果, 出现问题能够直接定位到问题的根源所在, 迅速追责。
2.2安全核查模块。安全核查模块能够以管理员的身份 (权限由权限管理模块处获得) 登陆目标系统, 从而得到各个系统主机、网络设备、数据库、应用平台等的配置信息, 根据提前设定的系统配置规范进行核查, 确保配置是满足安全规范要求的。
该模块主要作用是确保运维人员维护各信息系统的操作正确, 以及信息系统配置变更后是否安全。同时, 如果配置规范发生变化, 模块能够快速地对相应的设备、服务器、应用平台进行配置核查工作, 摒弃传统的人工逐一检查, 降低人工成本和操作复杂度。
2.3配置变更联动管理。当运维人员需要对设备的配置进行变更时, 先通过账号管理模块登录。登录后, 整个配置变更过程在审计模块的监控下执行。更改时, 权限管理模块将相应的用户密码传递给安全核查模块, 运维人员的配置完毕后, 安全核查模块即可以自动对配置后的信息进行配置核查, 检查修改后的配置是否符合现有的安全规范。
如果存在不符合安全规范的地方, 安全核查模块会自动告警, 并出具报告。安全管理员就可以及时发现系统配置的异常情况, 并通过审计模块定位到相应人员, 责令其进行整改。整改的过程也属于配置变更过程, 依旧要求在审计模块和安全检查模块监控进行下操作, 当新的配置能够符合安全规范时, 整个配置变更过程才算完成闭环。
三、结束
本文的运维安全管理系统除了能够解决传统的堡垒机能解决的账号管理、登录审核等问题外, 还能进行配置审查, 并对运维人员修改策略后, 新的策略是否满足安全规范等进行实时的核查, 实现“系统运维——运维审计——运维核查——问题定位”的全封闭式管理, 能够更加合理、高效、安全的对企业运维进行安全管理。
参考文献
[1]郝永清.堡垒主机搭建全攻略与流行黑客攻击技术深度分析[M].科学出版社, 2010.
[2]赵瑞霞, 王全平.构建堡垒主机抵御网络攻击[J].网络安全技术与应用, 2010, 8.
运维安全管理系统设计 篇2
1.1设备管理
风电场对环境条件的要求较高,通常处于偏远的地理位置。为应对相对较为恶劣的气候条件,风电场应从设计阶段即对输变电设施应对气候条件的能力加以充分考虑,所有设备均应确保结构简单、操作方便且性能可靠、便于维护。为提高设备运行的安全性,还应解决好消防和通信等问题。风电场需安排专业人员对风电机组的各项参数变化加以密切监控,一旦发现异常,应立即通知领导与检修人员,及时采取处理措施,预防事故发生。
1.2维护管理
维护管理的对象包括风电机组与场区内的输变电设施,风电场应重视这些设施的日常维护、定期维护与故障处理,同时还应定期进行非常规性维护。开展日常维护工作可延长设备的.可利用时间,有利于风电场经济效益的提高;由于风电机组在设计、制造、装配以及调试等环节均会出现一定的缺陷,因此我们还要对设备进行非常规维护工作,即在设备运行过程中分析并总结有可能引起故障的因素,并及时制定有效的技术措施,严格把控设备质量;出现设备故障后,维护人员应第一时间采取处理措施,避免停机时间过长对企业日常生产造成影响。
1.3人员管理
UCloud电子运维系统的设计 篇3
关键词:电子运维;模块;功能
1 系统背景
UCloud电子运维系统是实现中国联通集团整体网络运行维护和生产流程电子化管理系统。首先,随着中国联通业务的发展和运维工作的推进,运维部门建设了多套移网、固网生产指挥调度系统。其次,为加强集团总部与省分公司之间的监督与协作,通过建设统一的集中管理系统,能够真正实现流程的端到端的监控和操作的标准化。再次,根据EOMS在OSS域中的重新定位和规划,EOMS不再仅是运维内部生产工作的电子化支撑系统,也可以用来满足计划、市场、客服等外部部门对运维服务的各类交互需求,更是运维服务的统一对外门户。从应用功能角度而言, EOMS为一级结构,包括五个功能模块:运维管理功能模块、生产支撑功能模块、系统管理功能模块、运维统一门户功能模块和系统接口管理。生产支撑功能包括资源核查管理、割接管理、故障/隐患/投诉管理、重保管理、资源数据管理等EOMS生产支撑性功能模块;运维管理功能模块包括公示管理、测试卡管理、设备后评价管理等EOMS管理性功能模块。本文对其中的版本管理和公示管理两个功能模块进行简介。
2 版本管理功能模块
2.1 版本管理功能模块的概述
版本管理包括版本入网测试流程、版本升级流程、标准版本库管理。版本升级流程是使用部门申请标准版本用于设备升级,及升级成功后更新实体网元版本升级记录。标准版本库管理不同专业、不同设备型号及不同厂家的标准软硬件版本信息。具体设备的版本升级记录,包括升级历史版本和当前版本信息,在资源管理系统中维护,通过横向接口同步到资源管理系统。
2.2 版本管理功能模块入网测试流程说明
2.2.1 申请信息:总部管理部门通过设备厂家入网申请审批结果,生成入网测试许可证,并将入网测试许可证发送至测试处室进行入网测试审核。测试处室审阅人员需要对入网许可证进行审核,审核通过后测试处室负责人处进行签发,审核不通过则将入网许可证驳回至管理部门相关人员。完成申请单后可提交到下一步骤,以便相关人员进行下一步流程的操作。
2.2.2 调度信息:入网测试许可证签发通过后,流程流转至该环节。测试处室根据版本测试的申请内容,拟定入网测试的调度单,发送至审核人员对调度单进行审核,审核人员对调度单进行审核,审核完成通过后将发送至测试部门领导处进行签发处理,若审核不通过则将调度单驳回至调度单拟稿人,由调度单拟稿人对调度单进行重新编辑重新申请。签发通过后系统将调度单下发至相关省分部门进行施工。
2.2.3 反馈信息:地市执行单位执行调度单,并填写入网测试反馈单,地市审核人员进行反馈单审核。如果审核通过,则将反馈单上报至省分;如果审核不通过,则将反馈单驳回至拟稿人。省分反馈单拟稿人对地市上报的反馈单进行审查并汇总,如果不通过,则驳回地市拟稿人。如果通过,则根据地市反馈单生成本省反馈单,并由签发人员审核签发至总部,如果不通过,则驳回至省分拟稿人。省分反馈单审核签发后,流程流转至该环节。总部人员审核反馈单,如果审核不通过,则将反馈单驳回至反馈省分拟稿人,要求重新上报反馈内容;如果审核通过,则将审核通过的消息反馈至省分,流程流转至管理部门生成入网许可证。入网测试调度单反馈,是一个层层反馈过程;分为:入网测试地市反馈单拟稿、入网测试省分反馈单拟稿、入网测试省分反馈单审核等环节。
2.2.4 流程监控:流程全过程监控功能贯穿于移动、交换、传输、数据、业务平台、宝视通等所有专业生产支撑流程,该功能要求实现对流程流转过程中执行的每一步进行监控记录,供流程的相关人员查看。
2.3 与现有本地电子运维系统差异比较
集团电子运维没有本地标准版本库,所有有关入网和升级的流程全部要通过总部进行流转。本地电子运维各流程都是在省内流转,流程差异较大。
3 公示管理功能模块
3.1 公示管理功能模块概述
公示管理主要实现各级部门负责人根据分权分级分域确定相应权限,进行公示发起,提交审核人员审核,审核通过后,在系统门户发布公示。公示发布时,需填写公示结束时间,到时间系统自动撤销公示,存入公示库。公示发布人也可以随时撤销公示。集团总部可以查询统计全集团的公示,并可以管理省级的公示。
3.2 公示管理功能模块功能说明
3.2.1 公示展示:根据登录用户的ID及部门ID,在云门户页面“我的部门”中展示当前客户有权限查看的最新公示。
3.2.2 公示查询:系统提供公示管理功能,支持用户查询各种公示,包括割接公示、规范公示、公文公示、版本升级情况公示、提示信息公示、重大故障报告公示、历史公示和其他公示的详细信息。
3.2.3 公示录入:公示录入功能主要分为:公示录入保存、公示修改和公示提交審核。公示录入保存信息包括:公示序号、录入人员ID、录入人员、标题、公示内容、状态(保存、提交审核等)、公示生效时间、公示失效时间、备注等。公示修改可以修改已经保存的公示信息。公示提交审核:对录入的公示确认无误以后,提交审核人员进行审核。
3.2.4 公示审核:公示审核,主要管理如下事项:点选待审核的公示,弹出公示操作页面;可对公示详情、操作步骤、附件、流程进行查看。
3.3 与现有本地电子运维系统差异比较
本地电子运维包括看集团发布的公示信息和省内人员发布的系统公告,展示在本地电子运维的首页,集团电子运维公示管理展示在公示管理模块-公示查询或者云门户-我的空间里面。
4 总结
本文主要对UCloud电子运维系统的背景及其中的两个模块进行了简述。运维管理工作是一个不断优化的过程,当前随着运维管理工作流程的逐步固化和规范性加强,满足运维管理工作的不断优化需求,提高员工的工作效率,作为管理支撑工具的UCloud电子运维系统必然要求不断更新。
参考文献:
运维安全管理系统方案设计 篇4
一、风险需求分析
1、设备密码管理
IT系统口令对IT系统的安全是非常重要的,因此随着IT系统数量庞大,IT系统的口令管理工作量越来越大,复杂度也越来越高。但在实际管理中,由于管理和使用的矛盾导致IT系统口令管理存在很多安全隐患。主要表现如下:
(1) 为了满足安全管理要求,IT系统的口令需定期修改(一般半个月或一个月),这大大加大了口令管理的工作量;
(2)口令强度要满足安全要求,其复杂性也有一定要求。一方面加大了修改口令的工作量和复杂度,同时对维护人员来说也很不方便,经常是将口令记录在记事本上,造成口令泄露问题。同时在实际操作中,经常将口令设置为很有规律性,一旦知道一个口令,很容易知道其他系统的口令;
(3)由于很多系统是由外包厂商提供运维服务,所以口令也容易外露出去。
数量众多的服务器,导致存在更多的密码,这些密码的存储,传输,获取都存在IT风险。
2、用户认证安全管理
关于用户管理,实现多种认证方式,针对不同等级的用户使用不同的认证方式。
普通认证方式:帐号 + 密码
证书认证方式:USBKEY+PIN码
动态口令认证:令牌 +PIN码
其中,动态口令可以通过手机短信来实现动态令牌
3、其他风险分析
(1)多入口操作现象
随着IT系统构成的复杂,在运维过程中可通过多种入口对IT系统进行维护,导致无法统一管理、设置统一安全策略等而引起各种安全隐患。
(2)交叉运维操作现象
在IT系统运维过程中,存在多种管理角色,如设备管理员、系统管理员、安全管理员和应用系统管理员等,同时对于同一个角色也同样存在多个管理员。对于这些管理员进行维护时,可能是使用IT系统的同一个帐号,这样一旦出现问题很难定位具体某个人的操作。
(3)越权和违规操作
根据最新的统计资料,11%的安全问题导致网络数据破坏,14%的安全问题导致数据失密,而从恶意攻击的特点来看,70%的攻击来自组织内部。尤其面对拥有特权的维护用户,由于以前没有一种技术手段来控制其操作,所以出现越权或违规操作的现象时有出现。
如何建立一种技术手段,能保证可信的用户才能访问其拥有权限的资源,控制这种越权或违规操作,并能对这种越权或违规操作进行告警,以便安全人员能对此类操作进行分析,避免出现严重后果的情况下才发现。
4、无详细操作记录
针对运维 操作 ,IT系统是靠 系统日志 方式进行 记录的。它存在以下问题:
(1)系统日志不独立,无法防止被篡改;
(2)系统日志记录信息不全面,目前系统日志记录的信息相对简单,而且检索不方便。
能否建立一种技术手段,将运维操作的所有内容进行记录,支持在事中或事后进行场景回放,并支持防篡改。
5、无法满足合规性检查
随着IT系统的重要性和对业务系统影响越来越大,相关的法律法规对其安全性、可持续性工作、IT操作风险以及企业内控等都有明确的要求,企业每年均有内审和外审来评估IT系统的安全性。目前面对这些合规性检查,只能是制度上的检查,没有有效的数据和技术来说明这些制度是如何落实的。
因此需要在IT系统安全运维方面建立一种或多种技术手段来满足合规性要求,以满足合规性检查的需要。
6、没有运维安全分析报告
目前运维管理方面,由于没有数据,无法实现定期的运维安全情况的分析报告。对运维过程存在的问题无法有定量或定性的分析数据,只能简单从安全事件方面进行描述。
因此需要有一套系统,能从运维操作的实际数据中分析运维安全情况,定量地展现运维安全态势。并能通过安全情况分析,发现潜在安全风险,辅助企业改进IT系统的安全建设。
二、IT 需求解决方案
1、产品选型
通过市场调研,发现江南科友的HAC1000堡垒机系统能够实现大部分功能,在此基础上进行定制开发,实现企业其它需求。
2、系统部署
运维区人员通过浏览器连接到运维安全系统,在浏览器中可以通过telnet或ssh等命令行模式连接到后台业务主机,也可以通过windows2003使用plsql等客户端工具连接到后台业务主机。
根据HAC支持的部署方式和用户网络结构,考虑HAC产品引入尽可能减少对现有网络结构的改变,一般采用单臂部署模式。具体部署位置建议部署在运维区域。所有的运维均通过HAC的认证后方可访问IT基础设施,包括主机、服务器、网络与安全设备等。其逻辑示意图为图1:
3、运维操作流程
(1)运维客户端通过https访问HAC系统;
(2)HAC接收到运维请求后,则会要求运维人员输入HAC用户名和验证密码,或者是其它身份验证方式。当身份验证通过后,HAC将显示其拥有权限的目标资源;
(3)用户在页面选择目标服务器点击运维即发起访问后台服务器的请求,并等待审核人员审批;
(4)审核人员在系统中审批运维客户的申请,同意后运维人员才能进入目标服务器运维;
(5)运维客户端显示后台服务器桌面,即可进行各种运维操作;
(6) HAC将记录运维的所有操作和结果。
三、系统实现功能
1、设备密码管理
为了保证运维安全管理,系统将IT系统帐号、口令进行统一管理,并支持系统帐号分配和口令自动修改等功能。
(1)口令管理
1实现Windows、Unix系统、网络 / 安全设备帐号口令统一管理;
2支持对IT系统帐号的口令实施自动定期修改和人工重置功能;
3实现运行中心维护人员通过Telnet/SSH/FTP/SFTP/RDP/Xwindows协议访问IT系统的自动登录功能。
(2)帐号管理
1提供Unix系统帐号的收集、过滤及管理功能;
2提供Windows系统帐号录入及管理功能;
3提供IT系统帐号到运维用户的分配功能;
4支持IT系统帐号级别设置,通过帐号级别与敏感操作告警与阻断关联。
2、运维用户认证管理
HAC系统提供一套运维用户管理功能,实现“谁做了的问题”。具体功能如下:
(1)提供用户建立和维护的功能;
(2)支持用户组的设置;
(3)支持用户多种认证方式,支持双因素动态令牌认证(短信发送);
(4)支持用户口令 密码强度、口 令长度、口 令尝试死锁、口令有效期等安全策略;
(5)提供用户是否激活的管理;
(6)提供用户信息的导入导出功能。
3、资源管理
HAC提供对IT系统资源进行管理,具体功能如下:
(1)提供IT系统的建立和维护功能;
(2)可细分IT系统提供的不同服务;
(3)支持资源组设置,以满足不同业务系统管理的需要。
4、授权管理
授权管理是实现运维用户获取访问IT系统资源权限的管理。
(1)提供用户到资源、用户组到资源、用户到资源组、用户组到资源组的授权;
(2)提供基于客户端地址、访问时间、访问时段的授权规则;
(3)支持授权规则模版。
5、运维操作
运维操作 是用户基 于Telnet/FTP/SSH/SFTP/RDP/Xwindows协议通过HAC对IT系统进行维护和变更操作。
(1)Telnet/FTP/SSH/SFTP运维操作
1支持通过Telnet/FTP/SSH/SFTP协议对IT系统的运维操作;
2针对Telnet/SSH协议,提供按序号、IP地址、资源名选择需要访问的IT系统,也提供根据资源组(业务系统)方式进行过滤;
3针对FTP/SFTP协议,提供方便的运维操作。
(2)RDP运维操作
1支持通过RDP对Windows 2000/2003/2008 Server、Windows XP等Windows环境的服务器的运维操作;
2支持Windows服务器本地用户和域用户登录;
3支持以会话或Console方式登录Windows服务器;
4提供用户可设置是否启用磁盘映射和剪贴板的功能;
5提供方便的选择Windows服务器方式,支持按资源组、资源名通配、IP过滤;可按资源名、IP、资源组等进行排序。
(3)Xwindows运维操作
1支持通过Xwindows对Unix服务器的运维操作;
2提供方便的选择Unix服务器方式,支持按资源组、资源名通配、IP过滤;可按资源名、IP、资源组等进行排序。
(4)双人操作支持
对于关键的运维操作,从安全管理上要求必须双人在场方可操作。系统支持以下两种情况下的双人操作:
1操作开始就需要双人在场操作;
2运维人员在操作过程中,针对有些操作需要双人,可请求双人操作。
6、敏感操作告警与阻断
(1)针对命令交互性协议提供敏感操作的设置;
(2)敏感操作响应方式支持告警和阻断方式;
(3)告警支持邮件告警、审计平台告警、声音告警;
(4)邮件告警信息包括会话基本信息、敏感操作内容等;
(5)结合帐号级别,可实现不同用户级执行不同响应方式;
(6)对当前存在告警的会话操作,允许管理员强行中断会话;
(7)阻断命令和强行中断会话在客户端有良好的提示。
7、运维操作监控
(1)提供正在活动会话情况的监控;
(2)提供当前活动用户情况监控;
(3)提供当前被访问资源情况监控;
(4)提供当前操作的会话操作实时监控(图形协议除外);
(5)允许管理员强行中断某一个活动会话,并在客户端有良好的提示。
四、审计功能设计开发
1、运维操作审计
(1)提供当天会话操作显示,并针对存在敏感操作的会话进行标识,并且根据敏感操作级别采用不同颜色进行标识;
(2)提供基于用户、客户端地址、资源名、资源地址、时间和操作关键字(RDP协议除外)进行会话检索功能;
(3) 提供会话图形化的回放功能,回放支持快进、慢放、暂停、拖拉等功能,对命令交互式协议支持按命令进行定位回放,对图形协议支持按时间进行定位回放;
(4)针对命令交互式协议,支持逐条命令及其结果显示的审计方式,并能基于关键字进行检索;
(5)对已审计的会话操作具有标识;
(6)提供运维操作统计,可支持根据时间、用户、资源、用户组、资源组进行运维操作的统计,提供列表、饼图、直方图和曲线图,并可关联到具体的会话操作。
2、告警审计
(1)在审计平台上实时显示今日发生的告警,并依据告警级别用不同颜色进行标识;
(2)支持告警类别、级别、资源、用户、协议、时间进行告警检索;
(3)对于正在会话的告警,可关联到运维操作监控中的实时监控功能;
(4)对于已完成的会话告警,可关联到运维操作审计。
3、系统自审计
(1)系统记录系统管理员对HAC的操作进行记录,记录内容包括时间、管理员、客户端地址、操作模块、操作内容等信息;
(2)能显示今日管理操作记录,并支持根据模块、管理员进行过滤;
(3)支持根据模块、管理员、时间进行管理操作的查询;
(4)提供运维用户操作权限审计功能,支持用户名、资源名过滤;
(5)提供管理员角色、用户情况、资源情况和授权规则的审计。
五、统计与报表
1、提供基于日、月、年和用户自定义条件为单位的运维操作统计报表功能,具有总操作数、敏感操作总数、流量总量等情况,资源被操作top10、资源被操作反top10、资源被操作情况分布(操作次数、敏感操作发生次数、流量)、用户操作top10、用户操作情况分布(操作次数、敏感操作发生次数、流量)、协议分布情况(操作次数、敏感操作发生次数、流量)、时间分布情况(以小时为单位,以操作开始时间为准次数、敏感操作次数)等;
2、提供系统管理操作统计报表功能,具有操作总数,各模块操作分布情况、管理员操作情况分布、时间分布情况等;
3、提供系统管理操作查询报表功能,支持按时间、模块、管理员等进行查询形成报表;
4、提供敏感操作统计报表功能,具有发生总数、按级别分布情况、按资源分布情况、按用户分布情况,按时间分布情况;
5、提供资源、用户、权限等系统配置情况查询报表功能;
6、提供相关报表的定时产生功能。
六、应用效果
系统投入运行后,满足了IT审计的合规性,规避了IT操作风险。主要体现在:
1、任何操作有记录:运维人员的任何操作行为有详细记录,包括用户、时间、IP、对象、内容和审批信息等等,符合IT审计要求。
2、任何操作可追索:运维人员对服务器的各种操作,都有录像保存,选择回放,可以把运维人员的每一动作看的清清楚楚。
运维安全管理系统设计 篇5
?1 范围
本标准规定了嘉峪关、酒泉供电公司变电运维工区安全质量管理岗位的职责与权限、岗位任职资格、工作内容与要求、报告与记录、检查与考核等要求。
本标准适用于嘉峪关、酒泉供电公司变电运维工区安全质量管理岗位。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
Q/GDW27
001――2
领导干部及管理人员到岗到位管理标准
Q/GDW27
001――21904劳动竞赛和技术比武管理标准
Q/GDW27
002――2全面质量监督管理标准
Q/GDW27
003――2安全生产职责管理标准
Q/GDW27
004――2质量事件调查处理管理标准
Q/GDW27
005――2新建变电站启动投运前安全监督管理标准
Q/GDW27
006――2运行变电站改造、扩建安全管理标准
Q/GDW27
008――2安全培训监督管理标准
Q/GDW27
009――2安规考试管理标准
Q/GDW27
011――2安全事故(事件)信息统计报告管理标准
Q/GDW27
012――2班组安全活动规范化管理标准
Q/GDW27
013――2安全检查监督管理标准
Q/GDW27
014――2安全性评价管理标准
Q/GDW27
015――2事故隐患排查治理管理标准
Q/GDW27
016――2安全生产反违章管理标准
Q/GDW27
017――2安全生产量化管理评价管理标准
Q/GDW27
001――2安全技术劳动保护措施计划管理标准
Q/GDW27
002――2安全工器具使用与管理标准
Q/GDW27
003――2安全设施与标示管理标准
Q/GDW27
004――2劳动保护用品管理标准
Q/GDW27
001――2电力设施保护管理标准
Q/GDW27
002――2消防安全管理标准
3 职责与权限
3.1 职责
3.1.1 执行电力安全工作规程以及上级下达的有关安全生产规定。汇总编制上报安全计划及事故措施,并督促实施。协助领导实施内部治安管理,综合管理,消防管理。督促检查工区各项工作中安全措施的执行情况,制止违章行为。
3.1.2 组织开展安全员网活动,编制每周安全活动计划,并督促检查执行情况。
3.1.3 组织开展春、秋季安全大检查,防火、防汛、防台、迎峰渡夏等专项检查,编制检查总结,汇总制订整改措施,并监督落实。消防设施和灭火器材的管理。
3.1.4 组织对职工开展安全和安规年试,结合实际工作,表彰好人好事,发现存在问题及事故苗头,及时汇报领导,杜绝事故隐患。
3.1.5 组织进行所辖变电站设备等各类危险源的辨识、分析和防控工作。
3.2 权限
3.2.1 对在部门范围内安全管理,有监督权和考核权、建议权。
3.2.2 有权就本岗位中存在的问题提出意见和建议。
3.2.3 对本岗位人员制定的关于安全管理的相关制度和规定有解释权。
4 岗位任职资格
4.1 学历与职称
具有大学本科及以上学历或中级及以上专业技术职称(新聘管理、技术人员应具有全日制本科及以上学历)。
4.2 工作经历
本科学历的应从事专业工作5年及以上,研究生及以上学历的应从事专业工作3年及以上。
4.3 业务知识
4.3.1 掌握电力线路、电气设备施工、运行、职工等专门知识。
4.3.2 熟悉电力生产过程和供电系统、电气设备基本原理。
4.3.3 熟悉电力工业技术管理法规、供电法规以及其它等有关法律法规知识。掌握电业生产人员培训制度和电业安全工作规程。
4.3.4 熟悉电力企业生产安全等管理知识,了解电力企业现代化管理知识。
4.4 工作能力
4.4.1 具有一定的的文字与语言表达能力、计算机操作能力、组织与沟通协调能力、工作创新能力、管理能力与决策能力、较强的执行力和学_能力。
4.4.2 能正确理解党和国家方针、政策及上级下达的文件、指令,结合本所目标任务,针对变电、配电设备运行管理中出现的情况和问题作出正确分析与判断。
4.4.3 能对安全生产质量管理工作中出现的各种情况进行分析,作出决断或为领导决策提供意见。
4.4.4 有组织管理工作的能力,能协调有关人员及有关部门共同开展工作。
风电运维人员安全管理 篇6
一、风电运维相关概述
1. 设备管理
(1) 运行管理
风电场设备运行管理有两个方面, 一是输变电设备运行管理;由于风电场对环境条件有特殊要求, 电场周围在一般情况下都较为恶劣。地理位置往往较偏僻。为此, 要求输变电设施在设计时应对恶劣气候条件对输变电设备影响予以充分考虑。在满足电力行业相关标准的前提下, 所选设备应针对风力发电的特点做到结构简单、操作方便, 性能可靠和便于维护等, 必要时还应解决好消防和通信问题, 提高风电运行的安全性。二是风力发电机组的日常运行工作:通过监控发电机组各项参数变化及运行状态, 一旦发现异常变化趋势, 便可通过监控程序对其进行处理。对于常规故障, 应及时通知相关部门并积极配合处理解决。
(2) 维护管理
风电场的维护指发电机组的维护和场区内输变电设施维护, 其中包括日常维护、定期维护、非常规性维护及故障处理等。如设备日常维护, 设备的可利用率和风场的经济效益取决于常规故障消缺的有效性和及时性, 同时常规故障也是设备维护管理中最关键环节之一。维护人员在出现故障的第一时间内尽可能的排除故障, 恢复设备正常运行, 既可以减少故障停机时间, 同时也可以提高设备可利用率, 降低维修成本。在如非常规维护:风电机组的生产处于起步阶段, 其设计、制造、装配和调试等各个环节都会存在不同程度的缺陷, 应在实际运行中认真总结和分析故障原因, 从而制定有效地维护技术措施, 严把质量安全关。
2. 人员管理
(1) 风场场长安全职责
风电场安全生产第一责任人就是风场场长。根据风电场年度安全目标计划组织制定风电场实现目标计划, 从而更好的落实安全责任, 保证安全目标的实现。场长还具体落实并执行安全生产各项规章制度, 检查和指导风电场安全生产工作。负责组织制定风电场特殊运行方式及重大操作项目安全、技术及组织措施, 组织制定风电场年度“两措”计划编制工作, 负责组织实施审批后的“两措”计划。场长有义务和责任参加或主持不安全事件或事故的调查, 并在安生部的统一领导组织下开展风电场各类安全检查工作, 及时消除查出的不安全因素。根据风电特点, 组织编制有风期和无风期的运行方案, 优化风机组运行方式, 确保风电机组安全稳定经济运行。
(2) 风场值班员职责
风场值班员在场长及其他工作人员协助下严格执行《安全工作规程》, 贯彻“安全第一, 预防为主”的方针, 负责各岗位所管辖的设备、消防设施、照明设施、文明生产及其他生产配套设施完好性。参加春、秋季安全大检查, 发现不安全情况及设备缺陷应立即报备上层, 并积极采取有效措施, 防止事态进一步扩大, 参与事后安全生产事故障碍、异常调查分析会, 提供正确的原始资料, 协助各方做好安全管理工作。
二、风电运维人员安全管理现状
1. 员工安全教育不到位, 安全意识模糊
目前, 风电场运维人员安全管理最明显及最直接的问题就是员工实际解决问题能力较差, 安全生产意识处于模糊阶段, 造成这种现象的原因莫过于上岗前运维人员受安全教育时间较短, 逐渐使员工安全行为受安全意识影响。思想可以指挥人的行为, 员工日常工作行为会因心态好坏受到直接影响, 如果员工心态较差, 工作责任心不强, 极易形成员工安全意识淡薄, 增加事故发生, 就不能保证安全生产。
2. 设备管理人员过于粗放化
目前风电企业机械设备的采购和使用及管理都属于短期行为, 形成这些行为的主要表现是在采购设备时过于对眼前利益过于注重, 购买设备的积极性不高。一般风电场都追求质量、进度和效益, 因此在设备使用过程中, 机械设备的管理和运行维护更多地的要服从风电场需要, 进而导致许多设备在实际使用过程中常超负荷运转工作, 由于施工需要也不能及时对设备进行维修和保养。此外, 机械设备在全寿命周期内不仅仅参与到日常工作中, 所以项目部对机械设备保养和维护的积极性不高, 以致在使用过程中对设备的粗放化管理, 给机械设备寿命造成较大伤害, 很多设备不能保持良好的状态, 既影响风电日常运行, 也增添安全事故发生率。
三、加强风电运维人员安全管理措施
1. 加强风电运维人员安全意识
从事故原因中可说明, 造成安全生产事故的关键因素则是没有及时发展故障设备及前期人员管理不善, 存有隐患的设备是导致事故的直接原因, 有时因操作人员的失误及故障排除能力不强, 都会间接造成重大的人员伤亡。这时就需要培养风电运维人员的安全意识, 增强排除故障能力, 以便发生故障时可自行解决或及时上报相关部门, 不影响风电场的正常运行。具体提高人员安全意识可从以下几点出发, 首先, 在风电企业中制定一系列的安全管理制度, 以此来约束工作人员在生产活动中的行为, 加强员工政治思想教育和技术业务的学习, 提倡主人翁精神, 从根本上提高员工责任心、上进心和事业心, 进而提高安全思想意识。其次强化安全管理;安全管理的目的是为实现安全目标而进行的有关控制措施及计划, 从组织、技术及管理等各个方面出发, 以强有力的措施消除种种不安全因素, 第一时间避免事故的发生。做好安全管理工作可从“严、细、实”方面协调, 如“严”, 保证良好的工作环境, 自然要有严明的规章制定, 各单位领导要起到带头作用, 在严密的组织中担负第一负责任的重任, 把安全工作放置首位, 具备高度的责任心和事业心, 把好规章制度执行关和各项工作管理关, 认真对待和严肃查处功安全生产中一切不安全现象和习惯性违章, 维护安全工作的严肃性。其次细处入手;除了细化规章制度, 还从细微处入 (下转第38页) 手, 以防为主, 防微杜渐, 做到事事有章可循, 将法律法规和生产实践相结合, 不断增强运维人员整体技术业务素质, 防止不安全因素素的的出出现现。。最最后后落落到到实实处处::一一切切从从实实际际出出发发, , 将将安安全全责责任任落落到到实处, 如果建立规章制度是治标, 把规章制度落到实处就是治本, 标本兼治, 才会收到良好的安全生产效果, 稳定风电企业效益。
2. 加强人员培训和日常管理
随着风电场的不断发展和新技术的广泛使用, 运维人员综合素质就显得尤为重要。风电场行业特点也决定了在生产管理过程中贯穿员工培训工作, 即新员工进场培训、岗前培训和岗位培训。安全生产法第二十一条规定:“应当对从业人员进行安全生产教育和培训, 保证从业人员熟悉相关安全生产规章制度和安全操作规范, 具备必要的安全生产知识和操作技能, 未经培训和教育的工作人员不能上岗作业。对新员工进行安全教育是中央企业履行的社会责任, 风电运行和维护属于高危行业, 如果不对新员工采取采取进场教育, 直接对故障设备进行维修, 很容易对员工的生命安全造成伤害。对新员工进行安全培训和教育也是提高员工生产事故防范能力的有效途径之一, 由于我国风电场大多位于偏远地区, 条件较艰苦, 再加上风场配置人员数量较少, 为提高经济效益, 风电场运维都是24h连续开展, 所以, 运维人员要长期面临高强度连续作业及夜间值班, 休息时间极其短缺。在这种条件下需要加强风场运维人员的日常管理, 否则会使风电场的安全生产及运行稳定受到直接影响, 进而威胁到经济效益。
四、结语
综上所述, 中国风电行业经过了高速发展之后逐渐向稳步发展过渡, 风电企业在这个时期不可避免的会出现效益下滑、发展速度放缓等现状, 不得不寻求全新的管理策略。本文主要以风电运维人员安全管理为切入点, 分析了目前其人员安全管理所存在现状, 得出应加强其管理等措施。安全生产管理人员的有效配备对风电场日后运行都起着至关重要的作用, 应引起足够的重视, 才能更好地稳定企业安全发展的根基。
摘要:目前, 我国风电已经进入规模化发展阶段, 随着不断扩大的风电场装机容量, 以致在电网中风力发电所占比例也越来越高, 为了使风力发电组达到最佳并网状态, 适应电网要求, 应注重提高风电设备的可靠性, 加强运维人员安全管理, 从而产生更大的经济效益, 更好的服务于社会, 适应时代发展。本文则主要以风电运维设备、技术及人员方面分析, 重点分析运维人员安全管理, 以供参考。
关键词:风电场,运行维护,安全管理,人员
参考文献
[1]江建军.浅析海上风电场运维安全管理的特殊性[A].2013电力行业信息化年会论文集[C].2013:471-473.
[2]高嵩.抓实抓好风电安全管理实现新能源又好又快发展[A].中国国际电力安全发展暨电力应急管理论坛论文集[C].2009:61-67.
[3]杨春伟, 刘晓明.关于特大型风电场运营管理的一些初步想法[J].电器工业, 2012, (8) :68-69.
[4]侯旭东.风电设备吊装工程重大危险源分析及安全管理建议[J].科技致富向导, 2013, (15) :327.
[5]刘志昌.从安全标准化方面论风电场的安全管理[J].科技创新与应用, 2013, (35) :155.
论变电运维安全管理 篇7
班组的安全管理重在“以人为本”, 认真地、有针对性地开展好各项安全活动, 以活动抓管理, 以管理抓安全。通过各种方式营造一个良好的安全生产氛围, 使班组的每一个人都能感受到安全这一强大的力量。要做好人员的安全管理必须做到以下几点:
1.1 增强每个人的安全意识
安全意识的提高, 能充分反映出一个人的基本素养, 只有真正增强和提高了自己的安全意识, 才能养成一个良好的安全生产习惯, 从而自觉的去执行各项规章制度。在日常的实际工作当中, 要加强自我约束, 时刻都要规范自己的作业行为, 把安全作为我们每个人的基本需要, 安全第一的观念不应该仅体现在思想上, 更应该是落实在实际工作当中, 体现在日常的一言一行当中, 让安全意识时刻在我们的头脑中扎根。
要增强安全意识, 必须要有一个良好的安全氛围, 靠养成去自觉的改变那些对安全生产的偏见, 把要我安全自觉地变成我要安全。一个班组要想营造一个好的安全氛围, 必须利用好以下两种方式:一是每个人都要多去进行沟通和交流, 使每个人都产生一种共鸣, 思想统一、目标一致, 从而形成一个和谐的工作大环境。二是在班组营造一个良好的工作氛围, 使大家都气顺劲足, 保持一个高昂的工作热情, 使大家在工作中享受快乐, 从而会真正提高每个人的工作效率, 这对安全生产会大有裨益。通过以上两点, 不仅能使思想统一, 更使行动一致, 人人都以遵章守纪为荣, 试想如果一个集体能使每个人的思想和行动都高度统一在一起了, 那结果就可想而知了。
1.2 加强安全知识的培训和学习
只有不断提高自己, 不断的更新自己的安全生产知识, 才能做到安全地工作。加强对各种规程的学习, 只有加强对安全生产规章制度及规程的学习结合自身的业务技术素质, 才能保证生产安全。在学习过程中, 不能只是死记硬背制度规程的条文, 而要理解其中的含义, 多问几个为什么, 把制度规程与现场实际结合起来, 找出自己在工作中的不安全因素, 只有这样, 才会从心底产生一种“战战兢兢, 如履薄冰”的感觉, 自觉的用制度和规程来规范自己在安全生产中的行为。
1.3 提高业务和安全技能水平
每个人都要对自己的业务和技能水平有一个清晰的认识, 制定出切实可行的适合自己的学习和培训目标, 以此来督促自己不断的去努力, 不但要学习业务技能、还要学习一些理论基础、更要学习一些安全技能方面的知识以此来不断的全面充实和提高自己。站在安全的角度, 安全技能方面的学习就尤为重要。澳大利亚煤矿工业已多年不出现人身死亡事故, 据介绍经验主要有两条:一条是采用好的安全装置;另一条是确保职工在危险情况下有正确、迅速的反应。这两条经验都值得我们借鉴。第二条就是指的安全技能, 可见安全技能的重要性。要保证安全, 仅有业务技能水平是很不够的, 也是很片面的, 还应该是建立在有一个良好的安全技能和安全素养, 精湛的专业技能对安全是个保障, 二者相辅相成, 缺一不可。
1.4 定期开展安全活动
安全活动是提高职工安全意识的重要手段, 首先通过定期开展安全活动, 可以学习规程制度、学习事故案例等并对安全生产情况进行总结, 以此来举一反三的汲取事故教训, 杜绝类似事故的重复发生, 来更好的指导自己的安全生产, 能起到事半功倍的效果。
然后就是开好班前会和班后会。班前会和班后会的内容要有所区别, 班前会要安排当日的工作任务并提出安全注意事项;班后会, 要对当日的安全情况作出小结, 找出不足和改进的方法, 坚持天天召开这两个会, 坚持天天敲打安全警钟。最后就是落实三不伤害的措施。要求在工作的准备阶段或者分配工作任务时, 必须检查工器具是否完好, 安全组织措施、技术措施是否齐全完整, 人员身体素质、精神状态是否能胜任工作。此外, 在作业中随时提醒作业人员注意执行《安全规程》, 工作中要相互提醒, 时刻绷紧安全这根弦。
2 设备的安全管理
2.1 设备是整个电网运行的最基本元素
设备的优劣直接关系到运行的安全性能;从设备安装、学习、操作到熟练掌握始终贯穿在整个运行操作过程中, 所以要建立设备档案、制定设备操作规程、填写设备操作、运行、保养、检修记录, 制定设备责任人, 使设备始终处于良好的运行状态。
2.2 加强设备的日常维护管理
每一台设备都要有责任人, 从安装、调试、试运行一系列流程都要有专人跟踪、落实;人员的挑选要谨慎认真;尽量使专业与实际工作相近, 相结合, 以便于能尽快掌握;日常的维护、检修、保养是设备良好运行的前提与基础, 所以在日常工作检查中, 要把设备使用、等各项记录进行核查, 查处记录缺项、漏项、不真实的内容, 督促设备责任人做好日常维护保养工作。
2.3 正确操作使用, 确保设备健康运行
每台设备都要建立完备的《设备使用安全管理制度》、《设备使用操作规程》;设备操作员严格执行操作规程、严禁违规违章操作, 这在电网运行安全中是致命隐患, 直接关系到生命安全, 所以良好的操作习惯与安全教育是必须的遵守的法则。无数次沉痛的教训, 无一不是疏忽大意、责任心不强、违规违章操作造成的, 设备是由人来操作的, 它既是工作的支撑又是人的载体, 良好的工作习惯发挥着重要的作用。
IT运维管理系统的设计 篇8
系统建设背景
随着信息系统架构越来越复杂, IT运维管理变得越来越重要, 但是目前IT运维管理工作存在较多问题。例如管理的设备越来越多, 但是设备基础资料管理混乱;设备的连接关系、资源的使用情况掌握不清晰;设备从什么地方购买、什么时间购买、服务购买情况掌握不清晰;专业技术分工越来越细, 人员协同配合不足;应用系统越来越集中, 应用层次越来越深, 用户权限管理难度增大;各级信息部门、与业务部门间沟通联系有待提高;网络接入用户分布广、数量大, 服务质量不高。
系统建设目标
采用ITIL信息技术基础架构库的指导方针和原则构建高效能的IT运维管理系统, 把人员、组织机构、流程、工具进行有效而合理的整合, 集成IT服务主要流程, 消除IT运维人员的重复劳动, 提高工作效率, 提升竞争力。
项目设计指导思想
基于ITIL管理规范, 借鉴同行业的先进经验, 对IT运维工作进行规范统一管理, 规范运维流程工作。设立统一的服务台, 来协调用户及运维人员之间的关系,
建立统计报表 (服务申请统计报表、工单统计报表) 。通过运维人员工作量统计报表提供可证明的考核指标, 评估人员表现, 合理安排人员岗位, 明确职责;将管理、监控和考核有机地结合起来, 提升整体的运维管理水平。
系统技术特点
系统基于ITIL标准设计开发, 对传统IT运维业务管理业务进行改造和细化, 符合IT运维人员实际工作和业务需求。ITIL框架如下图所示:
系统功能概述
IT运维管理系统包括资产管理、工单管理、IT人员服务台管理、问题管理、变更管理 (包括用户接入、安装调试、配置管理、检修及停退) 、缺陷管理、运行日志管理、日常巡检管理、知识库管理、报表管理等模块。其目的是为了实现设备管理规范化、运行维护标准化、业务过程流程化、资源管理集成化。
通过IT运维管理系统建立资产间的关联关系及表单和资产间的关联关系, 管理员可以在对该资产进行操作时快速确定其影响范围, 并且可以查询统计资产在某一时间段内做过哪些配置和变更, 以及某一时间段内资产发生的缺陷, 为总结系统阶段性运行情况提供了依据。
通过计划模块制定每个系统的巡检标准作业计划, 巡检管理是指将IT信息设备的运行、维护等相关管理规程落到实处。每个运维人员可根据制定的巡检计划方便快捷的完成日常巡检和月巡检工作。按巡检对象类型分为IT基础设施巡检工单、安全设备巡检工单、应用基础软件巡检工单等。
除日常巡视管理外, 在已正式投入生产运行的信息网络、通信网络、应用系统、安全防护系统、存储备份系统、机房电源系统以及辅助系统上所有的操作, 例如设备安装、调试、故障检修、安全性测试、预防性试验、备份与恢复、软件变更等工作, 执行工作票制度, 应填用工作票。凡可能引起严重运维事故的操作必须填写操作票。
完善知识库内容。除了把常见问题、典型问题的解决方案录入到知识库中方便专业人员互相学习和使用, 减少人员调动对系统运维工作带来的影响, 同时还将参加会议的相关资料放到知识库中共享, 让没有参加会议的人员可以通过知识库进行学习。用户也可以通过自助服务查询相关问题解决方案, 并依此自己解决系统使用过程中遇到的问题, 不必事事依靠专业人员解决, 既方便快捷又可提高计算机使用水平。
IT运维系统依据分析出来的两个关键绩效指标“工单”和“服务申请”, 建立统计报表, 以月度为考核周期, 每月对关键绩效指标进行考核, 通过考核不断提高运维人员的工作能力和改进工作绩效, 提高运维人员在工作执行中的主动性, 提高工作质量。
集成IT监控系统
IT监控系统用于实时监控信息网络、IT设备、应用系统的运行状况。集成已建成的IT监控系统, 实现对IT设施的指标采集和监控。深度集成IT运维系统与IT监控系统, 从事件管理和运行指标视图两个方面更好的为IT运维提供服务。
采集IT监控系统的重要事件集成到事件管理中, 部署资产和登记资产的匹配检查。运行监控中发现的故障及自动告警, 引发事件管理流程。
业务系统监控指标主要反映业务系统的运行及应用状况。运行状况指标主要包括系统运行的健康性、稳定性、可靠性等方面。应用状况指标主要反应业务系统的实际使用状况, 如其功能范围、使用频度等, 以反应业务系统在信息化建设中为生产所提供信息化手段的强度以及公司在系统上线后信息化程度的不断提高。业务系统监控指标可分为通用监控指标和专业应用指标。通用监控指标指CPU使用率、内存使用率、系统服务平均响应时长、页面会话连接数、在线用户数、累计访问人次、数据库平均响应时长等。专业应用指标可根据不同业务应用专业领域的不同, 分别列出能够反映各业务应用状况的指标。深化IT运维管理系统和IT监控系统的集成, 增强运行指标视图, 发挥系统协调运行效果, 提升IT管理监控水平。
集成IT服务客户电话系统
IT服务客户电话系统, 提供客服坐席和技术支持电话服务。实现IT服务客户电话系统和IT运维综合管理系统的集成, 通常在两个方面实现技术接口, 一个是为业务代表坐席提供服务台、知识库等功能, 其主要实现途径是为业务代表坐席提供IT综合运维管理系统的相关功能应用界面, 帮助业务代表快速实现事件、问题等流程的发起。另一个是基于CTI平台实现导航式的自助服务接口, 为客户提供各种自助申请、自助报修、自助查询等功能。集成IT服务客户电话系统, 并实现技术支持电话服务和IT服务管理系统的自动响应。
结语
企业园区网络的安全与运维管理 篇9
作为企业园区网络的网络管理员, 我们必须了解园区网络面临的多方面的安全威胁, 从而制定相应的管理措施, 以保障网络的安全与稳定。
1 园区安全风险分析
1.1 内部局域网的安全威胁
在已知的网络维护安全事件中, 约70%的攻击是来自局域网。首先, 局域网中用户之间经常通过网络共享资源, 给病毒的传播提供了便捷;其次, 内部管理人员有意或者无意泄漏系统管理员的用户名、口令、内部网的网络结构以及其他一些重要信息等, 这有可能加大网络安全事件造成的损失。另外, 由于局域网内的用户主机、服务器等直接或者间接连接到同一台网络设备上, 局域网的高带宽也在加快病毒的传播速度的同时, 加剧病毒对网络的影响程度。
1.2 广域网、用户迁移的安全威胁
其他区域网络感染的病毒有可能通过广域网传播到本地区域网, 也可能随着用户出差、变换工作地点、同一台机器在不同的网络环境中使用等原因将病毒带入本地区域网。
1.3 电子邮件应用安全威胁
电子邮件是最为广泛的网络应用之一。局域网用户除了使用企业内部邮箱收发系统内办公邮件以外, 也会接受一些来自Internet的不明邮件, 这给入侵者提供机会, 给系统带来了不安全因素。
1.4 来自Internet的安全威胁
来自Internet的安全威胁非常多, 园区网络一般只会开启互联网的网页浏览功能, 但网页浏览也是网络系统被入侵的一个不安全因素, 这也是园区网络最主要的病毒来源之一。浏览网页、下载资料都可能带来病毒程序或者木马, 还有利用假冒手段骗取你的关键信息等手段。
2 网络管理措施
2.1 网络拓扑设计
园区网络的管理应从设计阶段就加以考虑。关键节点双机热备、关键传输链路采用多条不同路由、设备互联采用动态路由环状连接等, 这些冗余架构都能从很大程度上增强基础网络的稳定性。但我们也需要在网络的复杂性和简洁性上做好权衡, 过于复杂的网络结构反倒会给后期的运维管理埋下隐患。笔者在长期的网络运维管理实践中就遇到过不少这样的问题。个别局域网系统设计考虑非常多, 采用双机热备、多链路上联等多种方式, VRRP、STP也都用上了, 以期增强网络的稳定性。结果在后期运维中, 由于选用设备版本不够稳定, 经常出现莫名其妙的问题, 反倒降低了整个系统的可用性。
2.2 网络管理文档的建立
网络维护的绝大部分工作在于平时细致的管理和准备, 需要对网络的每一个细节做到了然于胸, 当故障发生时, 我们能够迅速定位到故障点, 以最快速度排除故障。为了做好网络的管理, 我们需要持续做好网络管理文档的完善工作。如:交换机端口信息表、ip和mac地址的对应表、网络拓扑图、故障处理报告等等, 这些信息都会为我们应对突发网络故障提供帮助。例如:经常在园区内泛滥的ARP病毒, 由于其影响范围广、难以查杀而让网管人员颇为头疼。如果我们有ip和mac地址对应表, 就能够非常快的定位病毒源, 以最快速度处理掉故障。
2.3 网络的日常检查及性能分析
我们需要经常对核心网络、应用服务器进行细致的检查, 分析性能, 察看日志, 发现可疑情况及时处理。这种工作虽然枯燥但却很重要。每天的重复劳动不一定总能发现异常, 但这是我们发现问题, 对故障进行预判的依据。例如:一次日常检查我们发现某主干交换机CPU、内存使用率偏高, 通过进一步分析日志发现某接口错误。经过细致排查, 我们发现接口光纤质量不好导致接口报错, 更换光纤后故障排除, 避免了问题的进一步升级。
2.4 系统及时升级、补丁、病毒定义及时更新
网络设备、服务器的软件系统需要及时升级, 服务器、客户端也要及时打补丁、更新病毒定义, 这是我们防患于未然的必要措施。目前国内客户端使用微软的用户比较多, 那WSUS就非常重要。防病毒服务器也必须统一部署, 能够使病毒定义统一更新, 避免网内有安全短板。
2.5 网络管理系统、日志系统、网管工具的使用
通过使用网络管理系统, 可以实现设备的轮询、故障的报警等功能。通过一些阀值的设定, 系统可以第一时间将故障预警信息通过邮件或者短信发送给系统管理员或者网管中心, 能够帮助我们实现对故障的预判。并且, 网络管理系统图形化、自动化的管理方式, 也将大大提高我们网络管理的效率。
日志系统也非常重要, 通过对日志系统记录的设备运行状态进行分析, 能够帮助我们发现系统存在的问题, 为排错、优化系统提供依据。
各种网管工具更是我们做网络管理的必要的帮手, 比如抓包软件、可视光源、测线工具、标签机、螺丝刀等等, 所以网管人员往往都是背着背包的, 应手的家伙一个也不能少。
2.6 做好设备、线缆标识工作
好记性不如烂笔头, 一个人做过的事也很容易就忘掉, 更何况网络管理团队中有好多人, 很多时候一件事往往追溯不到源头。所以标识、记录工作非常重要。如果标识工作不到位, 很容易会发生设备、线缆用途无人知晓, 谁都不敢动的情况。
2.7 对用户的培训
很多网络故障是由人为因素造成的, 比如碰掉设备的电源、办公室HUB出现环接等等, 通过适当的时机对用户进行网络知识的教育, 能够有效地避免类似网络故障的发生, 给网络管理工作降低工作量和难度。
2.8 其他
机房环境设施的运维管理, 也是对网络的安全与运维管理产生重要影响的一个方面。除此之外, 如果有互联网出口的, 还需要部署防火墙、上网行为管理设备等, 既要做好安全防护, 又要做到有迹可查。
3 结论
本文提到的风险分析及网络管理措施并不完全, 网络安全保障及维护管理工作也是一项技术要求很高的持续性工作, 需要网络管理人员有较高的技术水平和持续的学习能力, 善于利用各种网络管理工具和各方面的技术支持, 才能在网络管理方面跟上技术的进步, 提高网络管理的效率, 应对各方面的安全威胁, 把网络管理工作做好。
参考文献
[1]商伶俐.园区网络系统安全设计方案[J].赤峰学院学报:自然科学版, 2012, 28 (2) :135-137.
基于ITIL的运维管理系统设计 篇10
一、基于ITIL的信息系统运维管理系统的研究
1. ITIL标准框架概述
ITIL (Information Technology Infrastructure Library) 又称作“信息技术基础构架库”。是英国政府组织并由一批国际知名IT厂商和专家共同研究开发形成的一套IT行业的服务管理标准库。20世纪90年代中期ITIL已经成为IT管理领域事实上的国际标准。
ITIL标准主要包括6大模块 (图1) , 即业务管理、服务管理、ICT基础构架管理、IT服务管理规划与实施、应用管理和安全管理。ITIL的核心模块是“服务管理”, 这个模块一共包括10个流程和1项职能, 这些流程和职能又被归结为两大流程组, 即“服务提供”流程组和“服务支持”流程组。其中服务支持流程组归纳了与IT管理相关的1项管理职能及5个流程, 即事件管理、问题管理、配置管理、变更管理和发布管理, 是信息系统运维的核心管理流程。
2. 运维管理系统在设计时应遵循的原则
以ITIL的框架为基础, 分析比较目前相对成熟的运维系统, 在设计信息系统运维管理系统时, 应当遵循以下原则。
(1) 界面简洁友好。
(2) 注重信息系统运维的全过程管理。
(3) 追踪运维请求的根本原因。
(4) 考虑运维问题的关联性。
二、信息系统运维管理系统设计
中国石油炼化企业设备综合管理平台自2006年推广应用以来, 已完成多家地区公司的上线工作, 随着平台在企业设备管理中不断深化应用, 信息资源的增长也对平台的运维服务管理部门提出了更高的要求, 不仅要进行平台基础设施的日常运行维护管理, 支撑业务系统稳定、高效运行, 而且应该实现长期安全、可靠、持续的运行环境, 使平台能够以用户为中心, 主动适应业务发展需求。实现上述目标的关键是建立一系列的管理流程和支持工具, 提高平台运维工作效率, 提高用户的满意度。
2012年初平台运维项目组在学习了ITIL和ISO20000等国际标准和认证体系的基础上, 以ITIL的运维流程 (图2) 为基础, 考虑平台当时运维工作的实际情况, 分别设计运维系统各模块的功能及流程, 明确各功能模块之间的流转关系, 最终形成了适合平台需求的运维管理系统。该系统通过近3年的应用实践, 不断完善, 使得本企业信息系统运维管理能力得到很大提升。
通过对ITIL服务支持流程的分析, 考虑信息系统运维工作的迫切需求, 运维系统在设计时, 初步考虑实现运维请求管理、问题管理、变更管理和知识管理4个部分, 其他相关功能在后续的工作中逐步实现。运维系统各模块功能及流程设计如下。
1. 运维请求管理
(1) 功能描述。运维请求模块是运维系统的入口之一, 目的是实现日常问题的快速处理响应、统计处理时间、处理情况。通过采用主体界面分层级展示的方式, 确保基层用户录入界面简洁、减少必填字段、减少用户操作环节。其中, 属于未知问题需要寻求根本解决方案的转入问题管理模块处理。
(2) 流程描述如图3所示。
(1) 用户提出运维请求并记录。
(2) 进入问题类型判断, 已知问题处理并记录;未知问题, 提供临时解决方案, 同时将运维请求转入问题管理功能进行处理;变更或新需求转入变更管理功能进行处理。如果都不是, 由实施方对请求提出解决方案进行处理, 然后由二级运维单位判断事件是否永久解决和是否变更, 不是永久解决事件转入问题管理功能, 变更的进入变更管理功能。确认后, 由发起人将运维请求关闭。
(3) 对于运维请求的管理要求采取谁发起谁关闭的原则。
(3) 指标 (请求管理指标) :常规请求处理时间不得超过48h。超过48h未处理的常规请求需要给请求处理负责人发提醒。
每级运维请求处理的时间定义为该级用户将该请求从前一级发出的时间到将该请求发送至下一级运维的总耗时。
2. 问题管理
(1) 功能描述。问题管理是对问题进行分类总结管理, 可以将目前不具备条件实现的运维请求转为问题进行处理。
由运维人员对问题进行识别、记录、分类, 由系统实施商提供解决方案, 运维人员对该方案进行审核、确认, 系统实施商对该方案进行实施后, 运维人员确认并关闭问题。关闭的问题由运维人员判断是否需要对信息系统进行升级, 需要升级的转入变更管理流程, 不需要升级的将该解决方案录入知识库。
(2) 流程描述如图4所示。
(1) 由运维人员针对未知问题进行确认。
(2) 提交给系统实施商编写解决方案。解决方案由用户进行审核, 判断是临时方案或永久方案。如果是永久方案就直接进行修改实施, 如果是临时方案, 先由实施方进行处理, 之后在进行详细处理, 提出永久方案。
(3) 问题源于运维请求, 统一由运维人员进行关闭。
(4) 问题关闭之后, 将具备解决方案的问题记录到知识管理中。
3. 变更管理
(1) 功能描述。变更管理模块是运维管理系统的入口之一, 同时也是一个单独的功能模块, 基于变更纸质表格进行设计, 同时新增需求也在此处合并处理, 通过增加字典加以区别。
(2) 流程描述如图5所示。
变更与运维请求管理的主要区别在于需要控制的字段不同, 主要过程基本保持一致。
4. 知识管理
(1) 功能描述。知识管理与问题管理具有关联关系, 已经解决的问题可以转入知识库, 形成系统常见 (已知) 问题知识库 (按点击率统计) , 便于运维知识的共享与查询。可分别从所属功能模块、根原因分析、运维事项等多纬度多角度进行管理。具体要求如下。
(1) 实现操作手册按照条目拆分查询。
(2) 采用标签方式对知识库提供检索功能, 并提供全文搜索功能。
(2) 流程描述。对于问题管理模块中已提供永久解决方案的问题转入知识库, 由运维人员对问题原因进行分析, 加注根原因, 形成信息系统运维知识条目。
三、结论和建议
通过该系统的应用, 实现了:信息系统运维请求的全过程管理、追踪运维问题的根本原因、控制信息系统的变更和新增需求, 并形成了运维知识库, 便于对运维问题进行统计分析, 为运维工作提供了依据。
在运维系统的设计中还增加了“补充信息”的特色功能, 该功能是在该条运维请求关闭前, 相关人员可以随时添加对该问题的说明和解释, 确保运维问题的描述更加清晰明确, 同时提供了问题提出人和问题解决人的沟通渠道, 提高了解决问题的准确性。
随着运维系统的进一步应用, 应当考虑在运维系统中设计“监控管理”、“配置管理”和“发布管理”等功能, 更加全面地对信息系统的运维进行管理, 同时随着运维数据量的增加, 形成相应的统计报表, 分析和统计运维服务的各项指标的完成率, 进一步提高信息系统运维服务的质量和工作效率, 提高信息系统用户的满意度。
参考文献
[1]黄岩渠.ITIL实践:运维管理系统设计与实现[J].金融信息化论坛, 2009, 8 (12) .
[2]刘志刚.IT系统运维服务流程管理的探索与实践[J].机场建设, 2010, 4 (41) .
[3]刘通.ITILV3服务管理与认证考试详解 (第2版) [M].哈尔滨工业大学出版社.
【运维安全管理系统设计】推荐阅读:
运维综合管理07-26
运维监控管理系统08-14
系统运维管理-资产管理规范05-13
运维管理系统平台作用06-07
it运维管理系统08-11
变电设施:运维管理05-24
企业运维管理05-26
变电运维管理06-22
运维管理应用平台08-20
运维工具管理规范08-02