高校IT运维外包的风险管理

2014-07-17 13:20姜开达李霄李海波冯思稷
中国教育信息化·高教职教 2014年4期
关键词:高校信息化风险管理

姜开达+李霄+李海波+冯思稷

摘 要:教育信息化浪潮对我国高等教育产生了革命性的影响。高校的教学科研越来越依赖于互联网和信息化,IT服务部门承担的工作压力和服务要求也越来越高。但大部分高校仅依赖自身的力量无法顺利完成好信息化建设和IT运维方方面面的任务,因此选择IT运维外包成为必然的趋势。外包过程中不可避免地引入了各类安全风险,本文介绍了上海交通大学近年来在高校IT运维外包方面进行的一些深入探索和实践,并对如何规避外包中的风险和安全管理进行了论述。

关键词:高校信息化;IT运维外包;风险管理

中图分类号:TP393 文献标志码:A 文章编号:1673-8454(2014)07-0014-03

一、高校信息化建设和IT运维现状

近年来,随着信息技术的飞速发展和日益普及,信息化浪潮给教育带来了革命性影响,推动着教育领域不断创新发展。2010年,我国颁布的《国家中长期教育改革和发展规划纲要(2010-2020年)》提出推动信息技术与高等教育深度融合,创新人才培养模式。高校信息化部门也在为学生和教师提供更高效率的各类信息化服务平台和安全稳定的网络接入环境而努力创新,深刻影响了传统的教学科研和学校的综合管理模式。同时,国家对教育信息化的重视程度和投入在逐年增加,校园信息化建设也得到了高校的普遍重视和重点投入。

我国高校信息化建设经历了二十多年的历史,在网络基础设施硬件建设方面同国外高校拉近了距离,很多学校都达到了同等甚至更高水平。虽然硬件条件上去了,但是很多高校信息化应用水平仍不理想,在信息化服务能力和IT运维管理上差异较大,普遍存在着重硬件轻软件,重建设轻维护,重建设轻服务等现象。部分实力雄厚的理工科学校和综合性大学通过自身的力量可以完成基础的信息化建设和IT运维工作,但是对于大量的普通高等院校,由于受到技术、经费以及人员的限制,完全利用自身的力量来建设和运维比较困难,无法满足广大师生的实际需求。

二、IT运维外包的思路和安全风险

信息技术日新月异,如何管理复杂的、高技术含量的IT基础设施,应对灵活多变的IT服务需求,为学校广大师生提供良好的IT服务支持?如何降低运维成本的同时提高管理水平和效率,并保证服务的质量,提升师生对IT服务的满意度?如何提高运维的灵活性和响应速度,迎接信息化带来的各类挑战,提高学校的核心竞争力?这些问题是所有高校所面临的共同难题,困扰着各校的信息化管理部门,而引入IT运维外包服务正是一种经实践证明比较好的解决思路。通过将IT运维服务外包,高校可以把更多精力投入到教学和科研中去。并且以较低成本提供专业化的IT服务。

目前大部分高校的信息化人员编制十分有限,并且对新进人员的学历要求很高,而从事一般的IT工作并不需要非常高的学历。受待遇和未来发展因素影响,高校信息化部门很难长期留住高水平的IT人才。通过外包服务,由公司选派有相应能力的人员长期协助学校从事相应工作,学校不用担心其待遇及去留等问题,保持了IT运维工作人员的相对稳定。

上海交通大学作为一所“综合性、研究型、国际化”的全国重点大学,校内信息化部门以建设数字大学为目标,为校内五万多师生员工提供各类专业的IT服务。在近十几年的信息化建设和日常网络及应用信息系统运维过程中,大量使用了外包服务,在人员、资金、制度上都进行了相应保障,通过全面的发现及确认外包风险,进行分析、评估,对可能引发的安全风险进行了一系列有益的深入探索和实践,从而有效地控制风险。

三、学生团队参与用户服务外包的风险控制

用户服务管理是IT运维的重要组成部分,上海交通大学从2000年开始,在学生宿舍网的管理过程中,引入了学生团队来为学生宿舍区三万多用户提供接入用户网络服务。学校有关部门提供指导,建立一个以学生自我管理、自我服务为主体的学生网络管理体系,发挥学生网管的作用,调动其积极性来参与网络维护工作,为学生打造一个良好的实践与学习环境。学生网管从作为学生的实际需求出发,帮助信息化部门提高了网络故障的应急响应和处理能力, 做了许多有意义的日常用户服务工作,但学生们毕竟缺少实践经验,平时日常学习和科研活动也占用了很多时间。兼职的网络维护工作如何来提高用户满意度?服务质量和服务能力如何控制?这都需要加强管理和组织学习培训,通过完善的制度建设来降低运维工作中的风险。

面对繁杂的学生寝室楼网络维护工作,建立了一套完善的体系来解决学生们平时遇到的各种网络问题。从宿舍楼内学生网管的工作,到学生网管部办公室客服咨询的解答,再到技术报修组的报修受理以及上门服务,这其中的每一个环节都有严格而具体的要求来规范他们的服务,确保服务质量让学生们满意。当然,维护庞大的校园网络单靠人力是远远不够的,因此学生网管自行开发了一套综合的内部技术支持系统。有了它,学生网管员们不仅可以方便地办理各种基础网络业务,还可以实时查看各个终端用户的网络运行状态,以及交换机端口信息等,及时发现问题并针对性处理。

平时宿舍楼内琐碎的网络问题处理是由楼内的学生网管来完成的,每一位网管员都被要求做到尽全力满足用户正常网络接入需要,热情耐心解答用户的任何疑问,在技术层面上指导用户完成一些基本操作。每位学生网管在闲暇之余都被要求多了解网络技术知识,参加内部培训,掌握常见问题的处理方法,在技术上要让用户信得过。

技术报修组专门负责解决楼内网管处理不了的问题,由网管员中的技术骨干组成。他们接受过专门的技能培训,配置专业的网络维修工具,在办公室值班人员所给予的远程配合下,几乎可以解决大部分学生所碰到的网络问题,如果还不能解决则协调学校网络运维部门进一步处理。同时也要求学生网管在解决问题后把全过程书面化,为以后别人的工作处理提供经验积累。在学生团队中的技术骨干由于长期和学校信息化部门沟通,其能力会得到认可,在毕业后也可以择优直接进入高校的IT运维队伍,更快的进入工作角色。

四、信息系统运维外包的风险管理

高校大量的信息系统都来自于直接采购或者由外包厂商定制化开发完成,完全由自己主导开发的大规模系统已经越来越少。常见的信息系统包括人事系统、科研系统、财务系统、学工系统、教务系统、档案系统、校园一卡通系统、公共数据平台等,不少高校还将校内各院系部门网站交由外包公司设计制作和维护。在这些信息系统的实施完成之后,日常运行过程中不可避免的会出现各种问题,高校IT运维部门可以解决部分维护工作,但是很多专业化程度较高的系统维护工作还是不可避免的要依赖外包协助完成。

虽然很多针对高校 IT 市场的外包服务商在信息系统外包过程中获得了成功,并积累了丰富的高校行业经验,但也暴露出不少的安全风险。不同的外包公司之间技术实力和管理水平参差不齐,厂商技术支持人员稳定性不高是普遍遇到的问题,这就要求高校需慎重选择合作方,签订全面详细的合同进一步加以约束,要求通过严格的岗位培训和业务培训,提高外包技术人员的能力。关键项目实施和后期维护期间,要求外包公司核心技术人员常驻学校,保证项目按要求顺利完工,并稳定运行。前期项目开发和后期运维中遇到的问题,需要提交给研发解决的,要有顺畅的正式渠道提交与反馈,限时解决或改进。在每项子系统投入运行前,完成对使用该系统的校内用户培训工作;建立完整的客户培训体系,为高校提供相关的技术培训和业务培训,并提供相应的培训技术资料。

由于很多外包公司开发的各类信息系统广泛应用在多所高校,一旦某所高校的系统被发现有严重的安全漏洞,那么会迅速波及到其他高校,引发严重的安全事件。在教务系统、学工系统等方面,这类安全事件屡见不鲜,给很多学校都造成了较大损失。在信息系统维护外包过程中,由于项目需要,服务商的技术人员可以轻易地获取学校的各类师生个人信息、财务信息、科研信息等,这些敏感信息如果发生泄漏也会给高校带来重大损失。

高校自身要建立完整且独立的信息安全保障体系,在整个IT运维过程中保护学校的重要信息资产。考虑到大部分高校都缺乏专业信息安全运维人员,使用专业安全公司提供的安全服务也成为必然的选择。同时利用高校自身的信息安全科研优势以及和国内外安全研究机构的密切联系,及时获取最新安全资讯,对外包引发的安全风险实时监控,并快速响应。

五、IT运维监控外包的风险

IT运维监控外包在很多高校广泛使用,但也由此带来了一系列安全风险。外包公司为了追求利润最大化,势必考虑降低成本,这样就给外派到学校工作的人员业务素质和稳定性带来了巨大冲击。频繁变动且能力不足的外包人员给高校IT运维必然带来了可预见的安全运营风险,和高校的固有核心利益产生了冲突。对此高校要进一步完善和外包公司的合同细节,明确保障服务质量和要求服务人员的相对稳定性,并签订专门的SLA(Service Level Agreements)服务水平协议。同时高校自身也要不断提升专业IT运维能力,即便采用了外包,也要建立管理和技术并重的内部团队,自己的人员要具备系统的IT运维管理能力,在程序设计开发、应用信息系统维护、数据库和服务器管理、网络管理和安全运维方面都要培养自身的力量,不断学习新技术,培养创新能力,对外包人员进行有效的监督和管理,仔细倾听来自教师学生的第一线业务需求,不能被外包公司所左右,从而降低安全运维风险。

六、IT运维监控平台外包开发的风险管理

IT运维监控平台对任何一所高校网络管理人员来说都是必不可少的。我们没有采取商业的管理监控解决方案,主要是考虑到当网络和应用发展到一定程度之后,其规模和复杂性决定了很难找到完全符合自身需求的方案。我们最终选择了在开源的Zabbix监控系统基础上,采取外包给专业软件公司的模式进行了大量的定制化开发来满足实际运维需求。通过分布部署Agent采集点主动获取各类监控数据,涵盖了学校数据中心使用的各类操作系统和虚拟化环境,也可以支持各大厂商的网络交换路由设备管理,满足了大规模网络和服务器监控需求。但是这条外包之路也同时存在着种种风险,合作方的选择不当可能会导致项目的无法顺利推进;软件流程设计管理不当也会引发开发周期变长,拖延系统的发布上线时间;大量不同设备的定制化开发需要投入更多资源,项目的成本控制也会直接影响合作方的开发人员投入力量;软件平台的漏洞会直接影响基础IT运维体系的整体安全性;开发人员的流动性也给整个外包开发的质量控制带来了不确定因素;后期维护服务跟不上也会影响IT运维工作的长期可持续性。

关注到这些安全风险,我们有针对性地采取了一系列措施。选择开源监控软件作为系统底层平台已经适度降低了开发风险,慎重的选择具有资质和经验的合作方来保证项目质量。全过程参与功能需求分析和流程设计来控制整个开发周期的进度,进度过慢时要求合作方增加人力,进度过快时要求合作方保障代码质量。和外包方要建立顺畅的沟通渠道,通过周报、月报和定期沟通交流,掌握对方工作进展,监督管理实际开发进度是否和预期一致,投入是否充分,代码质量是否合格。通过要求规范全过程的技术开发文档,保证了即使发生开发人员变更也可以快速完成新老交接。要求系统留有灵活的开放接口以提供良好的伸缩性和可扩展性,也可以在一定程度上规避兼容性风险。在开发过程中和正式交付时都引入第三方专业安全人员进行安全评估和渗透测试,确保IT运维监控系统自身的安全等级达到一定级别。通过详细的开发合同对项目周期和合作双方人员力量投入和项目进展时间节点进行了严格的约定,并事先就开发完成后的后期维护服务达成一致,保持长久合作关系。

七、结束语

信息安全技术一直在发展,攻防对抗在持续升级,各类安全风险和挑战始终存在,安全IT运维必然是一个长期动态的过程。作为有特长的信息网络安全科研机构和同时给数万师生提供IT专业服务的部门,高校信息化团队可以把实际安全经验和运维外包风险管理工作相结合,加强配套安全监管,从而走出一条具有自己特色的安全IT运维外包之路。

参考文献:

[1]赵灿,杜炤,杜鹃.高校信息化建设项目外包采购管理的探讨[J].中国教育信息化(高教职教),2011(5).

[2]蒋东兴,宓泳,郭清顺.高校信息化发展现状与政策建议[J].中国教育信息化(高教职教),2009(8).

[3]何秀全.高校信息化中的IT外包及其风险管理研究[D].上海外国语大学 2012年硕士学位论文.

[4]王左利.探讨学生网管模式[J].中国教育网络,2009(3).

[5]何秀全,韩耀军,罗圣,梅艳.高校信息化建设中的IT外包应用分析[J].现代教育技术,2011(5).

[6]张四海,张万光,高校IT运维服务面临的挑战与机遇[Z].中国高等教育学会教育信息化分会第九次学术年会论文集.

(编辑:王晓明)

猜你喜欢
高校信息化风险管理
探讨风险管理在呼吸机维护与维修中的应用
移动技术在高校信息化建设中应用现状分析
护理风险管理在冠状动脉介入治疗中的应用
本地化科技翻译的风险管理
风险管理在工程建设中的应用
新版GMP中质量风险管理实施初探