地市供电企业业务信息系统运维问题探讨*

2013-03-09 07:13樊栽根
湖州师范学院学报 2013年1期
关键词:运维信息系统部门

樊栽根,高 健

(国网浙江省电力公司湖州供电公司,浙江 湖州 313000)

0 引言

由于供电服务涉及众多的专业,供电业务信息系统按覆盖范围可以分成两大类:一类是通用业务系统,如门户系统、ERP系统、协同办公系统等,业务应用面几乎覆盖了全部业务部门;第二类是专用业务系统,如PMS生产管理系统、营销系统、95598客服系统等,相对而言其业务应用面只覆盖到供电企业某个专业部门.通用业务系统处理企业的日常管理事务,专用业务系统应用在电网的规划设计、基建施工、运维检修、营销客服等各个方面,是企业的核心生产力.如何确保这些专用业务系统安全、高效、经济地运行,成为地市供电企业信息系统运维管理中面临的一个重要任务.

1 业务信息系统运维管理现状

业务信息系统的日常运维工作可分为后台IT运维和前台应用运维两块内容.后台IT运维是维持系统软硬件安全稳定运行的基础工作,主要有硬件设备管理、操作系统管理、数据库管理、中间件管理、应用软件管理、数据备份、运行监控等,是较为专业的IT工作.前台应用运维是在后台IT运维基础上,为保证正常业务应用的管理工作,一般有培训推广、用户及权限管理、配置变更、业务指标监控、应用事件管理、信息保密、应用审计、程序改进升级等,前台应用运维更多的是与供电业务关联的工作.

在国网一般地市供电公司,业务信息系统运维模式按IT部门角色主要存在三种不同情况,即IT部门负责全部运维、IT部门只负责后台IT运维和IT部门只负责硬件巡视.IT部门负责全部运维工作的系统一般是通用业务系统,这些系统由IT部门牵头建设,在软硬件选型、系统架构、安全防护等都做过较专业的设计,建设过程规范性较好.由于业务应用不归属某个专业部门,前台应用运维也由IT部门负责.因此,这类系统后后台IT运维及前台应用运维都由IT部门负责.专用业务系统中一部分如县局MIS生产系统、通信GIS系统等建设过程中IT部门参与较多,技术方案经过上级专业部门的审查,有一定的安全防护措施,建设规范性好,向IT部门进行过运维移交,由IT部门负责后台IT运维.专用业务系统中更多的是如营销监控系统、营销物料系统等,设备硬件、软件平台、软硬件架构选型和业务软件开发完全由业务部门自行负责的系统,建设过程不够规范,存在较大的安全隐患,未履行建转运审批手续,仍旧由建设部门负责全部的运维工作,但实际大部分运维工作由开发厂商负责.

2 业务信息系统运维管理中存在的主要问题

总体而言,业务信息系统建设中存在“重开发建设、轻管理运维”的现象.业务部门在系统开发建设时更多考虑的是如何实现业务功能需求,而往往忽视了本应同步落实的安全运维措施.系统建设过程规范性差,安全漏洞较多,无法满足上线管理的条件.因而造成这些系统建成后,业务部门“不想管”,IT部门“管不了”,日常运维“没人管”的局面.

2.1 部分系统建设及管理人员安全意识不高

近年来,随着信息安全宣传的不断强化,员工特别是业务管理人员对个人终端的安全的意识度逐年增加,但对服务器及系统的安全意识还未得到根本性的转变,表现为系统建设中安全防护不够重视,系统规划时,未有安全防护设计和安全投入,即使有安全防护设计,遇到技术难关或工作量大的情况时,就会忽略安全防护工作.此外,对已投入正式运行系统的安全加固也不够重视,存在侥幸心理,认为安全策略等可有可无.

2.2 部分系统上线时安全性不高

以往业务部门有较大的立项自由度,部分系统在立项、方案审查时没有通过信息部门的审核.由于对系统安全认识的不足,业务部门主导建设的系统在开发设计时,主要以满足功能需求为主,基本没有考虑安全防护设计,系统在安全上存在较多的隐患.这些安全隐患表现为数据接口混乱,甚至程序直接修改数据库而不进行逻辑审核和记录操作任何痕迹,传输安全加密机制落后,未开发行为审计功能、缺少数据备份措施、无口令强制修改密码复杂度设置策略功能等.这些系统完成开发后,再进行安全设计、功能添加、代码修改等几乎不可能完成的任务.加之系统上线时,管理部门把关不严,未邀请信息安全部门进行专业的安全测评,系统留下了较多的安全隐患,给后期的运维工作带来了困难.

2.3 部分业务系统上线后运维管理工作界面不清

由于业务主导建设的信息系统安全性普遍不高,未进行上线前安全评估,没有合法的上线手续,缺乏基本的运维文档,日常管理混乱,不满足移交运维条件,根据国家电网公司《国家电网公司信息系统上下线管理办法》规定,不能正式投入运行.由于缺乏基本的运维文档和培训,IT运维部门也无力接管系统的运维工作.因此,系统长期处于试运行状态,试运行期间的运维工作仍由建设单位即业务部门负责.

2.4 部分系统运维工作安全隐患较多

由于部分系统未能完成上线移交,全部日常运维仍由建设单位负责,而建设单位主要的精力在供电业务上,也缺乏专业的IT运维能力,将大部分运维工作交给系统开发厂商.厂商技术人员不熟悉国网信息安全要求,也无运维管理职责,往往日常运维工作不到位,如不按照作业指导书的要求进行作业,不进行系统的安全加固或安全加固不完全等,存在不少的安全隐患.

3 业务信息系统运维管理的改进措施

3.1 清理不规范系统

信息部门发起,由业务主管部门负责对在用信息系统“家底”进行全面清理,由使用部门限期上报系统应用情况和保留理由,未上报或无合理的保留理由的系统一律自动下线.信息部门统计业务数据大小及更新情况,反馈给业务主管部门.业务主管部门根据这些材料,结合日常业务管理情况逐一对系统的应用情况进行研究,以确定系统是否需要保留.

对确实需要保留的系统,根据《国家电网公司信息系统上下线管理办法》要求,由建设单位负责完善上线资料,消除安全隐患,重新进行上线测评,补办上线审批手续.对于需要下线的系统,根据《国家电网公司信息系统上下线管理办法》的要求,做好下线评估和数据保存归档工作.同时,严格准入机制,对群创、试点类信息化项目实行试验考察期机制,在2~3年后进行后评估,对于实用性效果不理想的,及时进行下线.

国网湖州供电公司开展了信息系统专项清理工作,对运行的业务系统进行清查、整顿,完成水电联查、电力安全工器具检测系统等13套业务系统的下线工作,对保留的系统根据《国家电网公司信息系统上下线管理办法》要求,补办了上线手续,取得了较好的效果.

3.2 划分运维管理工作界面

完成上线审批补办手续后,对保留的系统依照“谁主管谁负责、谁使用谁负责”的原则,根据最有利工作的原则对运维职责分工,划清各部门的工作界面,书面签订运维管理协议.

一般而言,硬件设备管理、操作系统管理、数据库管理、后台软件管理等后台IT运维而言,由于其专业性比较强,建议由具备专业运维能力的IT部门运维.推广培训、账户管理、应用日志审计等前台应用运维,由于与业务紧密联系,日常工作是涉及具体业务事项的处理,并不需要多少IT知识,又由于IT部门不能够全面掌握业务情况,建议由业务部门负责,IT部门提供技术支持.

3.3 建立运维专档

在完善上线资料基础上,以满足生产与管理实际需要为目标,全面梳理运维管理要求和实际需要,对积累运维资料进行整理并系统化.国网湖州供电公司根据自身的实际情况,完成了通信GIS等11套系统运维建档工作,补充并完善了系统数据流图、系统网络拓扑图、更新了缺陷(故障)记录、数据备份策略表、漏洞扫描及整改报告、设备统计及变更表、系统安装配置文档、系统上线/变更维护记录、应急预案和隐患排查治理档案表等资料.

3.4 定期组织运维培训

签订运维管理划分协议后,根据管理职责将运维人员纳入运维工作组织,并定期组织学习培训.组织运维人员学习省公司及国网公司安全方面的文件及时掌握有关信息安全的最新要求,通过聘请业内专家讲解前沿技术和工作中的技巧,提高了信息安全运维工作技能.

3.5 建立服务工单处理流程

国家电网公司及分支机构设立了186信息服务台,186信息服务台统一负责受理信息资源申请、咨询受理、故障报修等服务请求.利用186信息服务台建立服务工单受理机制,186服务台通过电话、邮件等接收用户服务请求并形成工作单.能直接解答的请求,由186服务台直接答复客户,不能直接答复由186受理后根据职责划分下发到责任人进行处理,最终由186信息服务台统一答复客户,形成完整的信息工单流程(如图1所示).

图1 186信息服务平台工作流程图

3.6 加大信息技术监督及业绩考核力度

充分发挥技术监督的作用,将技术监督贯穿规划可研、立项设计、设备采购、系统开发、竣工验收、运维检修、退役报废等全过程,使技术监督起到超前防范的作用,深化技术监督全过程管控.同时,对信息系统运维过程、指标进行量化考核,并列入经济责任制考核,做到奖惩分明.

4 结语

随着“三集五大”、智能电网建设的推进,信息系统将发挥越来越重要的支撑和保障作用.如何结合企业信息化快速推进,围绕安全、高效、经济的目标,本着“谁主管谁负责、谁使用谁负责”的原则,优化、调整业务信息系统的管理模式,值得我们认真思考并在实践中不断地探索.

猜你喜欢
运维信息系统部门
联合监督让纪检部门不再单打独斗
企业信息系统安全防护
运维技术研发决策中ITSS运维成熟度模型应用初探
风电运维困局
基于区块链的通航维护信息系统研究
信息系统审计中计算机审计的应用
杂乱无章的光伏运维 百亿市场如何成长
哪些是煤电部门的“落后产能”?
医改成功需打破部门藩篱
基于SG-I6000的信息系统运检自动化诊断实践