中国赛宝认证上海办事处主任牛永玺:运维体系的发展历程和实践的思考

摘要: 信息化系统运维专场活动沙龙在太平洋保险大厦圆满举行!

12-10 20:52 首页 畅享网Vsharing

9月8日,由上海市国资委指导,上海市国有资产信息中心主办,畅享网提供媒体支持的走进太平洋保险集团——信息化系统运维专场活动沙龙在太平洋保险大厦圆满举行。沙龙活动针对信息化系统运维工作中面临人员成本高、保障效率低、外包服务不满意等诸多问题,以优秀企业成功项目为例,分享经验做法,研讨解决方案。

以下为中国赛宝认证上海办事处主任牛永玺演讲的主题为《运维体系的发展历程和实践的思考》,畅享网整理。

大家好,我个人从2012年开始接触到运维管理体系,9月6号国务院开的常务会议,就提出重点要加强中国质量体系建设,实现一个标准、一个张证书、全球通行。在认证任可管理委员会数据库可以查到中国所有企业中通过ISO20000认证的有1000多家,其实不止这个数据。为什么能查到这个数据呢?因为在2014年之前ISO20000在中国是还没有被CNAS备案。也就是2014年才被认可,被认可的原因是因为2009年工信部一直在做ITSS,也就是这几年中国和国际上在做标准的竞赛,因此才会有ITSS大规模的标准发布。


运维体系的发展

从最早的网管到现在的运维经理的职责和工程师,从最早的人工解决问题到现在的自动化、智能化,以及到运维管理平台,这是运维体系发展的过程。是工具在前面还是后面?先上管理还是先上工具?一直是一个很矛盾的话题。每次到企业做认证的时候,我们都很难取舍。当企业拿出所有管理制度,会发现好多管理制度是缺失的。当打开自动化运维工具发现运维工具也是不明确的。所以有个难题,审核的时候到底过还是不过。

需求与交付能力

2015年开始我接触了上海几家比较大的央企和国企,这两年国内一些好的监控工具、运维产品出现了。从国内一家航空公司在2010年带入了ITIL,2012年上了BMC运维管理工具,后来发现想要实现自动化的运维或者想要实现基于信息安全的运维,好多国家的产品还是支持不了,包括他们在2015年的时候过了ISO20000,2014年过了ISO27000,他们过完以后在2016年下半年开始思考一个问题,自动化运维和安全运维怎么相结合,他们迫于压力把Remdy的产品换了,因为实现不了它们的安全运维。

从IT系统的优化或者监控工具的集成,其实CMBB建立起来很多人说很简单,我知道中国国内有一家公司建它花了七年,就是华为。到了综合改进的协同,协同就是好多公司的运维人员是分区域的,怎么去协同、怎么去分级管理,分级管理就是一个在上海、一个在北京的两个团队统一管理之后,怎么给每个区域做分级授权。也就是北京有北京的流程,上海有上海的流程,当领导要看所有数据的时候,一个报表打出来就能看到。一直到最终的量化,就是管理的可视化、过程的痕迹化,其实所有量化这两年我们一直在思考和一些甲方的领导考虑这个问题,量化到最后无非改一个指标,这个指标是为未来两三年的规划做指导。软件开发里面也有一个量化,运维也在提量化,从量化指标可以看出设备、人员要不要增加、怎么考核他的KPI 。

连续这两年我们做过几次国家的一些信息安全泄露的审计事件和调查事件,会发现70%的信息安全泄露事件是从运维工程师或者外包的运维人员泄露的。泄露出去的原因很简单,就是所有的账号和密码没人愿意去定期做巡检、更换。当我把密码授权出去以后,不定期的巡检、更换密码,然后没法去集中管理授权,这就是为什么这几年的信息泄露的原因。

我们讲信息安全的合规性,还有合规性的监督检查和管理,我们在航空公司提出合规性的审计,就是职工做的活,领导必须要审计,只不过是事前或者事后。那么你审计的时候错误犯了,审计也没用,其实不对的。这里面有个审计,所有做的活后台是有记录的,这里面就牵涉到信息安全的合规性。这是集中授权和分级授权的道理,以及怎么建立密码保护、行为监管。工程师干事管不了,但是我只要想查他做的坏事可以查出哪个时间点,他做什么坏事,这就是痕迹化。

在合规监督这块,在航空公司做了一个动态的密码管理,它不是完全安全产品,它就是运维授权。不管是外包的还是公司自有的运维工程师,要进服务器需要密码,但这个密码你永远见不到,它是动态的。申请进入的时候会申请一个时限,比如2个小时。然后自动弹出一个窗口,2个小时以后退出来,你做的所有动作在这里面是录屏的。你退出以后再想进入要重新申请密码,这个密码永远见不到,也就是他没有办法把密码转借给别人。我们曾经出了一件很小的事情,当下面的员工在申报报销流程的时候,在Oracle报销流程。我出差不在,我的密码其中有一个员工是有的,因为比较信任,请他帮我过流程。他把里面一个报销流程给过的,然后被审计组查出来,这个责任到了我身上。这就会让我们考虑到密码的转借或者替代的操作,到底最终的责任是谁?索性我没有密码,你没有办法把事情让别人过。

CMDB可以理解为是一个知识库或者一条报表,颗粒度会细化到无法想象的地步的时候,CMDB就能建好。

这是这两年在航空领域和国家电网实现的信息化的运维管理流程和管理案例,现在正在和他们一起起草航空领域的标准,仅仅指航空领域的安全运维标准以及怎么去保护旅客隐私的标准。实际上到最后运维报表量化到最终所有的考核和对供应商的监管,都是在KPI里面去查。

这就是我们在航空公司里面实现的信息安全的运维管理,总共分了五个步骤:资产信息安全评估、信息安全流程化、重大事故的应急机制以及保持高可预期。

分享一个案例,目前这个项目还没完全结束,我相信在不久的某一天也许我们会请大家去参观或者看我们做的案例实现的量化或者安全保障方式方法。

我大概讲这么多,谢谢各位朋友!


首页 - 畅享网Vsharing 的更多文章: