|
已經(jīng)不記得在那里摘錄的文章了��,今天在整理文檔的時(shí)候又翻出來了��,看了又看感覺還是不錯(cuò)��,推薦給“童鞋”們���!
互聯(lián)網(wǎng)數(shù)據(jù)中心(Internet Data Center��,IDC)專注于為客戶提供高速可靠的數(shù)據(jù)接入服務(wù)�,為企業(yè)、應(yīng)用服務(wù)提供商�、內(nèi)容服務(wù)提供商、系統(tǒng)集成商�、ISP等提供大規(guī)模、高質(zhì)量���、安全可靠的服務(wù)器托管���、租用以及虛擬主機(jī)等基本業(yè)務(wù)。數(shù)據(jù)中心是一個(gè)大規(guī)模�����、開放式的網(wǎng)絡(luò)系統(tǒng)�,應(yīng)用環(huán)境比較復(fù)雜�,其中包含各種應(yīng)用系統(tǒng),例如:游戲服務(wù)器�����、WEB服務(wù)器��、FTP服務(wù)器等。數(shù)據(jù)中心通常擁有多個(gè)分布在不同的地理位置的機(jī)房����,每個(gè)機(jī)房的網(wǎng)絡(luò)環(huán)境、客戶應(yīng)用以及安全狀況均不相同����。各個(gè)機(jī)房都不同程度的存在一些安全隱患,并且曾經(jīng)發(fā)生過一些安全事故�,對(duì)數(shù)據(jù)中心的正常運(yùn)行造成了嚴(yán)重的影響。
為了保障IDC網(wǎng)絡(luò)系統(tǒng)安全穩(wěn)定的運(yùn)行���,向相關(guān)方提供及時(shí)的服務(wù)�����,系統(tǒng)應(yīng)遵循以下原則:
1) 實(shí)用性
應(yīng)依據(jù)目前的用戶規(guī)模�����、業(yè)務(wù)運(yùn)營(yíng)情況的服務(wù)需求����,設(shè)計(jì)系統(tǒng)的規(guī)模��、軟件功能和業(yè)務(wù)功能。
2) 經(jīng)濟(jì)性
系統(tǒng)的建設(shè)應(yīng)考慮投資的經(jīng)濟(jì)性�����,應(yīng)充分利用現(xiàn)有網(wǎng)絡(luò)安全設(shè)備���。
3) 標(biāo)準(zhǔn)化與開放性
系統(tǒng)軟件��、應(yīng)用軟件的建設(shè)應(yīng)遵循業(yè)界統(tǒng)一標(biāo)準(zhǔn)���,具有開放性,應(yīng)保證所選不同型號(hào)的硬件設(shè)備能相互兼容�����。
4) 安全可靠性
要保證系統(tǒng)安全��、可靠的運(yùn)行����。
5) 可維護(hù)性
系統(tǒng)的軟件都應(yīng)提供方便�、靈活的維護(hù)手段,方便應(yīng)用人員的維護(hù)和管理�。
6) 可擴(kuò)展性
系統(tǒng)的設(shè)計(jì)和建設(shè)要充分考慮網(wǎng)絡(luò)����、硬件的擴(kuò)展需要��。系統(tǒng)采用開放的可擴(kuò)充模塊結(jié)構(gòu)���,保證以后可以方便地升級(jí)�,實(shí)現(xiàn)增加新業(yè)務(wù)�、增加容量、以及在同一平臺(tái)上擴(kuò)充其他業(yè)務(wù)功能�。
7) 模塊化
系統(tǒng)提供的應(yīng)用模塊,用戶可以有選擇地運(yùn)用����,每個(gè)軟件之間相互獨(dú)立,模塊接口開放�、明確,任何一個(gè)應(yīng)用模塊的損壞和更換不能影響其他軟件模塊的應(yīng)用�。
8) 成熟先進(jìn)性
技術(shù)的選型和設(shè)計(jì)要在體現(xiàn)先進(jìn)性的同時(shí),保證成熟性��。
三零盛安安全服務(wù)嚴(yán)格按照安全服務(wù)生命周期執(zhí)行�����,使得安全服務(wù)能夠系統(tǒng)、有效的執(zhí)行下去���。在生命周期的每一個(gè)階段都有相對(duì)應(yīng)的一系列安全服務(wù)的提供��,根據(jù)客戶的需求以及客戶信息系統(tǒng)的當(dāng)前狀況����,可以有選擇性的定制和強(qiáng)化某一階段的服務(wù)內(nèi)容�����,使其更加貼切用戶的實(shí)際需求����,達(dá)到更好的服務(wù)效果。
圖1 安全服務(wù)生命周期
以下將按照安全服務(wù)生命周期的各個(gè)部分需要實(shí)施的安全服務(wù)內(nèi)容�,結(jié)合數(shù)據(jù)中心的狀況和實(shí)際的安全需求,給出相應(yīng)的各個(gè)階段的安全服務(wù)的服務(wù)計(jì)劃和技術(shù)建議����。
1.4.7 事件分級(jí)管理
針對(duì)數(shù)據(jù)中心的特點(diǎn)�,我們定義了四級(jí)故障事件,將按照以下的標(biāo)準(zhǔn)對(duì)故障事件進(jìn)行分級(jí):
重大責(zé)任事故:超過一級(jí)故障限制時(shí)間的事件。
一級(jí)故障事件:現(xiàn)有的系統(tǒng)停機(jī)���,或遭到嚴(yán)重攻擊行為或安全事件���,對(duì)數(shù)據(jù)中心的業(yè)務(wù)運(yùn)作有重大影響,持續(xù)小于4小時(shí)的事件�����。持續(xù)時(shí)間超過4小時(shí)則升級(jí)到重大責(zé)任事故�����。
二級(jí)故障事件:現(xiàn)有系統(tǒng)的操作性能嚴(yán)重降低����,或由于網(wǎng)絡(luò)性能失常或安全事件嚴(yán)重影響數(shù)據(jù)中心業(yè)務(wù)運(yùn)作���,持續(xù)小于8小時(shí)的事件��。持續(xù)時(shí)間超過8小時(shí)則升級(jí)到一級(jí)事件�����。
三級(jí)故障事件:系統(tǒng)的操作性能受損�����,安全事件例如病毒在小范圍內(nèi)發(fā)作���,但大部分業(yè)務(wù)運(yùn)作仍可正常工作���,持續(xù)小于24小時(shí)的事件。持續(xù)時(shí)間超過24小時(shí)則升級(jí)到二級(jí)事件��。
四級(jí)故障事件:在服務(wù)器��、存儲(chǔ)設(shè)備�����、安全設(shè)備等的功能�、安裝或配置方面需要信息咨詢或技術(shù)支持。本級(jí)故障事件對(duì)數(shù)據(jù)中心的業(yè)務(wù)運(yùn)作幾乎無影響����,或根本沒有影響,持續(xù)小于48小時(shí)的事件���。持續(xù)時(shí)間超過48小時(shí)則升級(jí)到三級(jí)事件���。
我們定義,四級(jí)故障事件屬于日常運(yùn)維服務(wù)范疇����,三級(jí)故障事件仍由日常運(yùn)維服務(wù)處理,但需要向應(yīng)急響應(yīng)服務(wù)人員告知��;二級(jí)故障事件和一級(jí)故障事件屬于應(yīng)急服務(wù)項(xiàng)目��,故障事件從三級(jí)升級(jí)到二級(jí)時(shí)����,由運(yùn)維服務(wù)人員及時(shí)通知應(yīng)急響應(yīng)服務(wù)人員啟動(dòng)應(yīng)急響應(yīng)服務(wù)。
圖2 故障事件分級(jí)
各級(jí)故障事件的最晚響應(yīng)時(shí)間為:
|
響應(yīng)時(shí)間
|
一級(jí)故障事件
|
二級(jí)故障事件
|
三級(jí)故障事件
|
四級(jí)故障事件
|
|
1小時(shí)
|
技術(shù)服務(wù)人員
技術(shù)支持專家
|
|
|
|
|
2小時(shí)
|
技術(shù)支持專家
|
技術(shù)服務(wù)人員
|
|
|
|
4小時(shí)
|
事業(yè)部總經(jīng)理
分管副總經(jīng)理
|
技術(shù)支持專家
|
技術(shù)服務(wù)人員
|
|
|
12小時(shí)
|
總經(jīng)理
|
事業(yè)部總經(jīng)理
分管副總經(jīng)理
|
技術(shù)支持專家
|
技術(shù)服務(wù)人員
|
故障響應(yīng)時(shí)間
備注:以上響應(yīng)時(shí)間按照7x24小時(shí)計(jì)時(shí)��。
我們將根據(jù)以上標(biāo)準(zhǔn)對(duì)故障事件進(jìn)行定級(jí)��,并根據(jù)故障事件的等級(jí)來制定安全服務(wù)的指標(biāo)����。
1.4.8 優(yōu)先級(jí)定義
對(duì)于數(shù)據(jù)中心這樣一個(gè)大規(guī)模的網(wǎng)絡(luò)系統(tǒng)而言,應(yīng)用系統(tǒng)繁多�,很難做到面面俱到���,即便采取嚴(yán)格了安全保護(hù)措施,仍然可能存在安全漏洞����,特別是存在受控性較弱的托管服務(wù)器�?赡茉馐芫W(wǎng)絡(luò)攻擊和病毒破壞,影響數(shù)據(jù)中心系統(tǒng)正常的運(yùn)行��,造成系統(tǒng)癱瘓��。通過即時(shí)恢復(fù)服務(wù)的支持�,可以有效的應(yīng)對(duì)這些突發(fā)事件,借助專業(yè)的安全服務(wù)公司來解決問題�,及時(shí)恢復(fù)系統(tǒng)的正常運(yùn)行。
根據(jù)IDC的實(shí)際情況�����,按照安全事件程度劃分等級(jí)如下:
優(yōu)先級(jí)1(P1): IDC機(jī)房骨干網(wǎng)絡(luò)嚴(yán)重故障���,造成單個(gè)機(jī)房30%以上用戶業(yè)務(wù)中斷或掉包率持續(xù)超過10%����,嚴(yán)重影響IDC基本業(yè)務(wù)正常開展。
優(yōu)先級(jí)2(P2): IDC機(jī)房部分網(wǎng)段嚴(yán)重故障����,造成單個(gè)機(jī)房5%以上用戶業(yè)務(wù)中斷或掉包率持續(xù)超過5%,影響IDC基本業(yè)務(wù)正常開展����;核心網(wǎng)絡(luò)區(qū)功能出現(xiàn)故障或性能大幅下滑���;應(yīng)用服務(wù)器區(qū)���,網(wǎng)管服務(wù)器區(qū)增值服務(wù)器區(qū)業(yè)務(wù)或功能上出現(xiàn)故障。
優(yōu)先級(jí)3(P3):IDC機(jī)房部分網(wǎng)段故障���,造成單個(gè)機(jī)房2%以上用戶業(yè)務(wù)中斷或掉包率持續(xù)超過1%�;應(yīng)用服務(wù)器區(qū)�、網(wǎng)管服務(wù)器區(qū)、增值服務(wù)器區(qū)性能上出現(xiàn)大幅下滑���。
優(yōu)先級(jí)4(P4): IDC網(wǎng)絡(luò)設(shè)備��、應(yīng)用系統(tǒng)或者安全系統(tǒng)改進(jìn)問題�����,以及其它存在的安全問題�����,但尚未產(chǎn)生重大影響的問題���。辦公網(wǎng)出現(xiàn)功能故障或性能下滑���。
1.4.9 響應(yīng)時(shí)間
優(yōu)先級(jí)1(P1):1小時(shí)到達(dá)現(xiàn)場(chǎng);
優(yōu)先級(jí)2(P2):2小時(shí)到達(dá)現(xiàn)場(chǎng)��;
優(yōu)先級(jí)3(P3):4小時(shí)到達(dá)現(xiàn)場(chǎng)����;
優(yōu)先級(jí)4(P4):12小時(shí)到達(dá)現(xiàn)場(chǎng);
1.4.10 排障時(shí)間
優(yōu)先級(jí)1(P1):1 小時(shí)內(nèi)提交解決方案���,在數(shù)據(jù)中心同意的情況下控制狀態(tài)����,保證運(yùn)營(yíng)系統(tǒng)能提供基本服務(wù)��。12小時(shí)內(nèi)完全解決事故或明確故障原因;
優(yōu)先級(jí)2(P2):2小時(shí)內(nèi)提交解決方案�,在數(shù)據(jù)中心同意的情況下控制狀態(tài),保證受影響系統(tǒng)能提供基本服務(wù)�。24小時(shí)內(nèi)完全解決事故或明確故障原因;
優(yōu)先級(jí)3(P3):12小時(shí)內(nèi)提交解決方案�����,在數(shù)據(jù)中心同意的情況下控制狀態(tài)���,保證受影響系統(tǒng)能提供基本服務(wù)。24小時(shí)內(nèi)完全解決事故或明確故障原因����;
優(yōu)先級(jí)4(P4):對(duì)系統(tǒng)改進(jìn)的問題以雙方協(xié)商的時(shí)間為準(zhǔn);其它存在的安全問題不超過3個(gè)工作日��;
1.4.11 應(yīng)急響應(yīng)體系
信息安全應(yīng)急體系包括事件定位���、影響分析���、控制風(fēng)險(xiǎn)、限制損害事故的后果�、并經(jīng)過演練后加以執(zhí)行���、以確保在所要求的時(shí)間期限內(nèi)恢復(fù)業(yè)務(wù)處理、減少事件的影響����,降低系統(tǒng)的風(fēng)險(xiǎn)。
經(jīng)過評(píng)審批準(zhǔn)的關(guān)鍵業(yè)務(wù)體系是組織應(yīng)急預(yù)案保護(hù)的對(duì)象和組織進(jìn)行應(yīng)急預(yù)案設(shè)計(jì)的依據(jù)�。應(yīng)急預(yù)案的設(shè)計(jì)應(yīng)當(dāng)包括IT應(yīng)急措施、非IT應(yīng)急措施�、相關(guān)部門的協(xié)調(diào)、應(yīng)急資源的保證����、應(yīng)急預(yù)案啟動(dòng)條件等。
1. IT應(yīng)急措施的設(shè)計(jì)
對(duì)關(guān)鍵業(yè)務(wù)的應(yīng)急保護(hù)�����,首先應(yīng)該通過IT內(nèi)部的應(yīng)急措施加以實(shí)現(xiàn)�����。這些IT措施主要是數(shù)據(jù)備份��、網(wǎng)路備份以及系統(tǒng)和網(wǎng)絡(luò)的應(yīng)急調(diào)用等。IT應(yīng)急措施的設(shè)計(jì)應(yīng)當(dāng)具有可操作性���。
2. 非IT應(yīng)急措施的設(shè)計(jì)
對(duì)關(guān)鍵業(yè)務(wù)的應(yīng)急保護(hù)�,尤其是與計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)關(guān)聯(lián)程度一般或者與計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)關(guān)聯(lián)程度極高的核心關(guān)鍵業(yè)務(wù)的應(yīng)急保護(hù)�����,應(yīng)當(dāng)考慮采用非IT應(yīng)急措施加以實(shí)現(xiàn)���。非IT應(yīng)急措施是在關(guān)于計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)短期內(nèi)無法恢復(fù)的假設(shè)基礎(chǔ)上進(jìn)行關(guān)鍵業(yè)務(wù)連續(xù)性設(shè)計(jì)的��。如���,切換到手工的方式進(jìn)行業(yè)務(wù)的操作,或通過介質(zhì)傳輸?shù)姆绞竭M(jìn)行半自動(dòng)業(yè)務(wù)操作等��。
3. 相關(guān)部門的協(xié)調(diào)
組織的應(yīng)急預(yù)案設(shè)計(jì)是從組織保護(hù)整體利益�,降低組織整體風(fēng)險(xiǎn)為基本出發(fā)點(diǎn)����,因此,對(duì)關(guān)鍵業(yè)務(wù)的應(yīng)急保護(hù)涉及組織的各個(gè)部門和各個(gè)方面的配合和支持�����。關(guān)于關(guān)鍵業(yè)務(wù)應(yīng)急保護(hù)相關(guān)部門的關(guān)聯(lián)方式是組織應(yīng)急預(yù)案設(shè)計(jì)的關(guān)鍵。
4. 應(yīng)急資源的保證
應(yīng)急預(yù)案設(shè)計(jì)應(yīng)當(dāng)將應(yīng)急活動(dòng)程序化�����,并通過程序化確定執(zhí)行應(yīng)急預(yù)案所許的組織資源�����,包括人員�����、設(shè)備���、資金和其他物資��,尤其是人員的保證和其他資源的同意指揮調(diào)度等�。應(yīng)急資源的保證還包括供應(yīng)商�����、開發(fā)商��、系統(tǒng)集成商,以及其它外協(xié)和相關(guān)單位支持�。
5. 應(yīng)急預(yù)案的啟動(dòng)條件
組織應(yīng)急預(yù)案的啟動(dòng)條件是組織應(yīng)急預(yù)案設(shè)計(jì)的重要內(nèi)容,也是實(shí)施應(yīng)急預(yù)案的必要條件�����。組織應(yīng)當(dāng)嚴(yán)格規(guī)定應(yīng)急措施的實(shí)施和應(yīng)急資源調(diào)用的程序�、決策者和責(zé)任人。同時(shí)�����,啟動(dòng)應(yīng)急預(yù)案的決策信息必須來自組織規(guī)范的報(bào)告制度�����,并有記錄及可追溯���。
6. 應(yīng)急預(yù)案的演練
組織的應(yīng)急預(yù)案正式批準(zhǔn)之前都必須進(jìn)行演練���。演練也可以在仿真條件下進(jìn)行��,但參加演練的人員必須與實(shí)際執(zhí)行應(yīng)急預(yù)案的人員的組成相近�。應(yīng)急預(yù)案演練是組織應(yīng)急預(yù)案完善的重要工作,包括應(yīng)急預(yù)案演練的計(jì)劃安排、演練過程和效果的詳細(xì)記錄���,演練活動(dòng)的評(píng)估報(bào)告和應(yīng)急預(yù)案改進(jìn)建議等���。
應(yīng)急預(yù)案演練的計(jì)劃安排
應(yīng)急預(yù)案演練應(yīng)當(dāng)事先進(jìn)行周密的組織和安排。組織的信息部門應(yīng)當(dāng)將初步形成的應(yīng)急預(yù)案下發(fā)至各個(gè)相關(guān)部門�,由相關(guān)部門根據(jù)本部門的實(shí)際情況細(xì)化應(yīng)急預(yù)案,確定本部門的應(yīng)急程序和資源配置和調(diào)用情況�,以及需要其他相關(guān)部門協(xié)助的請(qǐng)求。組織的信息部門通過各個(gè)部門的應(yīng)急演練具體方案的整合調(diào)整����,制定組織應(yīng)急預(yù)案的演練計(jì)劃安排,確定時(shí)間�����,報(bào)組織信息領(lǐng)導(dǎo)小組批準(zhǔn)實(shí)施����。
演練過程和效果的詳細(xì)記錄
應(yīng)急預(yù)案演練目的主要是檢驗(yàn)應(yīng)急預(yù)案的實(shí)施過程是否符合經(jīng)濟(jì)性、合理性和可操作性��,是否有更實(shí)際的�、高效率的替代方式和途徑�����,以及如何建立表示或提示使實(shí)施更為簡(jiǎn)便和明確�。因此��,組織應(yīng)當(dāng)對(duì)演練過程進(jìn)行跟蹤����,并對(duì)演練過程和效果進(jìn)行真實(shí)詳細(xì)的記錄。
評(píng)估報(bào)告和改進(jìn)建議
應(yīng)急預(yù)案演練的效果應(yīng)當(dāng)進(jìn)行評(píng)估�����,評(píng)估報(bào)告應(yīng)當(dāng)對(duì)應(yīng)急預(yù)案是否可操作�、應(yīng)急程序是否科學(xué)合理、應(yīng)急資源是否迅速到位的做出明確的結(jié)論��,評(píng)估報(bào)告必須有明確的責(zé)任人����。對(duì)應(yīng)急預(yù)案演練中存在的問題,應(yīng)當(dāng)提出改進(jìn)意見�,如果是設(shè)計(jì)應(yīng)急預(yù)案演練能否征程進(jìn)行的重大問題,應(yīng)當(dāng)承認(rèn)演練沒有取得成功��,建議改進(jìn)后重新進(jìn)行演練���。組織應(yīng)當(dāng)重視應(yīng)急預(yù)案演練的評(píng)估報(bào)告����,對(duì)存在的問題進(jìn)行改進(jìn)和調(diào)整���。
應(yīng)急預(yù)案的批準(zhǔn)與實(shí)施
經(jīng)過演練和改進(jìn)的應(yīng)急預(yù)案應(yīng)當(dāng)報(bào)組織信息安全領(lǐng)導(dǎo)小組批準(zhǔn)���,并形成正文下發(fā)。組織的各個(gè)職能部門和責(zé)任區(qū)域的負(fù)責(zé)人應(yīng)當(dāng)將應(yīng)急預(yù)案相關(guān)內(nèi)容和要求納入到各自日常的工作范圍���,明確責(zé)任人和職責(zé)��。應(yīng)急預(yù)案臨時(shí)調(diào)用的各種資源和資金應(yīng)當(dāng)落實(shí)部門���,必要時(shí)應(yīng)建立組織的信息安全應(yīng)急專款��。
1.4.12 緊急事件列表
根據(jù)數(shù)據(jù)中心的網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)和業(yè)務(wù)特色�,我們確定了以下這些可能發(fā)生的安全事件,并初步確定其應(yīng)急響應(yīng)的建議優(yōu)先級(jí)別:
|
事件
|
影響
|
可能性
|
優(yōu)先級(jí)
|
|
網(wǎng)絡(luò)故障
|
業(yè)務(wù)中斷��,影響部分業(yè)務(wù)的提供。
|
高
|
1
|
|
病毒爆發(fā)
|
業(yè)務(wù)性能下降���,影響部分業(yè)務(wù)的提供��。
|
中
|
1
|
|
網(wǎng)絡(luò)入侵
|
重要服務(wù)器遭到入侵���,影響服務(wù)提供,對(duì)網(wǎng)絡(luò)其它部分形成威脅����。
|
中
|
1
|
|
主機(jī)故障
|
部分主機(jī)或服務(wù)器出現(xiàn)故障,導(dǎo)致服務(wù)性能下降或者影響服務(wù)的提供���。
|
中
|
2
|
|
軟件故障
|
部分應(yīng)用軟件出現(xiàn)故障���,導(dǎo)致服務(wù)性能下降或者影響服務(wù)的提供。
|
中
|
2
|
|
人為破壞
|
系統(tǒng)中的硬件/軟件設(shè)備遭到人為破壞����,導(dǎo)致服務(wù)性能下降或者影響服務(wù)的提供。
|
低
|
3
|
|
災(zāi)難
|
自然災(zāi)難破壞�,造成系統(tǒng)大面積破壞,業(yè)務(wù)完全或部分中斷。
|
低
|
4
|
緊急事件列表
1.4.13 事件處理流程
按照三零盛安安全服務(wù)體系��,我們首先將為客戶制訂應(yīng)急響應(yīng)規(guī)劃��,在充分了解數(shù)據(jù)中心的現(xiàn)狀和安全需求后����,分析數(shù)據(jù)中心可能發(fā)生的緊急事件�����,并制訂一套應(yīng)急響應(yīng)規(guī)劃�。
應(yīng)急響應(yīng)規(guī)劃為用戶提供了一套行為的指南,當(dāng)緊急事件發(fā)生時(shí)�����,系統(tǒng)管理員可以及時(shí)的確定如何采取措施應(yīng)對(duì)緊急事件���,提高對(duì)緊急事件的處理效率��。
圖3 三零盛安應(yīng)急響應(yīng)服務(wù)體系
應(yīng)急響應(yīng)的操作流程如下圖所示:
圖4 應(yīng)急響應(yīng)操所流程
1.4.14 項(xiàng)目管理
建議的項(xiàng)目小組組織結(jié)構(gòu)如下:
圖5 項(xiàng)目小組組織結(jié)構(gòu)
項(xiàng)目領(lǐng)導(dǎo)小組:由雙方最高層領(lǐng)導(dǎo)組成�,負(fù)責(zé)對(duì)整體項(xiàng)目的領(lǐng)導(dǎo)����、協(xié)調(diào)工作�����。
專家小組:由技術(shù)專家擔(dān)任�,指導(dǎo)安全服務(wù)的實(shí)施并提供技術(shù)咨詢�。
項(xiàng)目經(jīng)理:負(fù)責(zé)項(xiàng)目的具體實(shí)施協(xié)調(diào)、控制工作�����。
項(xiàng)目管理人員:負(fù)責(zé)項(xiàng)目的質(zhì)量管理工作���。
安全運(yùn)維小組:負(fù)責(zé)安全運(yùn)行/維護(hù)服務(wù)的提供��。
應(yīng)急響應(yīng)小組:負(fù)責(zé)即時(shí)恢復(fù)服務(wù)的提供����。
安全培訓(xùn)小組:負(fù)責(zé)安全培訓(xùn)服務(wù)的提供���。
組員:由雙方人員構(gòu)成�����,負(fù)責(zé)安全服務(wù)的具體實(shí)施��、文檔管理���、安全技術(shù)分析���、統(tǒng)計(jì)分析等工作。
1.5 項(xiàng)目管理方法
項(xiàng)目管理���,如今已不僅是項(xiàng)目經(jīng)理的職責(zé),只設(shè)法提高項(xiàng)目經(jīng)理的能力就可以將項(xiàng)目管理在企業(yè)中成功應(yīng)用的做法已不再成立���。只有建立適合企業(yè)自身狀況的項(xiàng)目管理流程��、方法即項(xiàng)目管理的戰(zhàn)略規(guī)劃才能確保每個(gè)項(xiàng)目的成功實(shí)施�。作為專業(yè)的網(wǎng)絡(luò)安全公司�,三零盛安較早的引入了國(guó)外先進(jìn)的安全系統(tǒng)實(shí)施體系?D�?DSSE-CMM (系統(tǒng)安全工程能力成熟度模型)。
SSE-CMM模型起源于1994年4月��,美國(guó)國(guó)家安全局與美國(guó)國(guó)防部�、加拿大通信安全局一起匯聚了超過60個(gè)國(guó)內(nèi)外廠家,啟動(dòng)了稱作“安全系統(tǒng)工程能力成熟模型(SSE-CMM)”的項(xiàng)目。這一項(xiàng)目力求在原有能力成熟模型(CMM)的基礎(chǔ)上�����,通過對(duì)安全工作過程進(jìn)行管理的途徑將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋(gè)完好定義的�、成熟的、可測(cè)量的先進(jìn)學(xué)科���。
最新版本2.0已提交國(guó)際標(biāo)準(zhǔn)化組織申請(qǐng)作為ISO/IEC 21827國(guó)際標(biāo)準(zhǔn)�。三零盛安技早在SSE-CMM V1階段就對(duì)該標(biāo)準(zhǔn)進(jìn)行了追蹤研究���,到了SSE-CMM V2.0 final頒布后�����,便在工程實(shí)施過程中開始使用這種最新的SSE-CMM來指導(dǎo)系統(tǒng)安全工程的實(shí)施��。
SSE-CMM模型本身并不是安全技術(shù)模型�,SSE-CMM與安全相關(guān)的部分一共有11個(gè)過程區(qū)(PA)�,另外還有11個(gè)來源于SE-CMM(系統(tǒng)工程)中的11個(gè)與項(xiàng)目組織和實(shí)施相關(guān)的過程區(qū)。由于SSE-CMM模型給出了系統(tǒng)安全工程所需考慮的關(guān)鍵過程域��,可指導(dǎo)安全工程從單一的安全設(shè)備設(shè)置轉(zhuǎn)向考慮系統(tǒng)地解決安全工程的管理���、組織和設(shè)計(jì)�����、實(shí)施���、驗(yàn)證等���。
三零盛安在數(shù)據(jù)中心的安全服務(wù)的實(shí)施中將以SSE-CMM的安全工程過程規(guī)范作為指導(dǎo),同時(shí)采用SSE-CMM的安全保證過程規(guī)范作為工程質(zhì)量保證標(biāo)準(zhǔn)�����。
在SSE-CMM的安全工程部分:總體上我們首先根據(jù)安全評(píng)估識(shí)別出來的風(fēng)險(xiǎn)信息應(yīng)用過程區(qū)PA10來識(shí)別最終安全需求����,應(yīng)用過程區(qū)PA09提供安全輸入�,得到最后的解決方案和實(shí)施計(jì)劃和指導(dǎo)。在從PA09- PA01(管理安全控制)的實(shí)施過程中�����,將應(yīng)用SSE-CMM中相關(guān)的過程區(qū)�,也就是包含在SSE-CMM中的PA12-PA22這些過程區(qū)�����,這些過程區(qū)為傳統(tǒng)的安全集成過程區(qū)���。
圖6 安全集成過程區(qū)
在采用SSE-CMM規(guī)范進(jìn)行項(xiàng)目管理的基礎(chǔ)上,三零盛安在項(xiàng)目實(shí)施中還將從進(jìn)度控制��、質(zhì)量控制��、變更控制和團(tuán)隊(duì)建設(shè)四個(gè)具體方面進(jìn)行項(xiàng)目管理來保證項(xiàng)目的成功實(shí)施�����。
進(jìn)度控制方法
三零盛安在項(xiàng)目開始階段就制定詳細(xì)的實(shí)施計(jì)劃���,并在項(xiàng)目實(shí)施過程中進(jìn)行有效的監(jiān)督和實(shí)時(shí)調(diào)整�����,確保項(xiàng)目有計(jì)劃地如期進(jìn)行�。
質(zhì)量控制方法
三零盛安在項(xiàng)目實(shí)施的各個(gè)階段均有詳細(xì)的文檔記錄���,通過文檔記錄活動(dòng)的過程�����,隨時(shí)了解活動(dòng)的狀態(tài)或回溯查找問題原因�,最終達(dá)到控制工程質(zhì)量的目的。
變更控制方法
變更是影響項(xiàng)目進(jìn)度的重要原因�,也是項(xiàng)目管理中存在風(fēng)險(xiǎn)較大的環(huán)節(jié),如控制不好會(huì)直接影響項(xiàng)目的成敗�����。三零盛安將采用變更控制方法從“避免”和“控制”兩方面來解決這個(gè)問題�����。當(dāng)項(xiàng)目運(yùn)行過程中發(fā)生了變化���,首先由項(xiàng)目經(jīng)理判斷是否會(huì)影響整個(gè)項(xiàng)目的進(jìn)展,或需要對(duì)項(xiàng)目的計(jì)劃進(jìn)行調(diào)整�,如果需要調(diào)整則必須與客戶進(jìn)行溝通,在各項(xiàng)安排上達(dá)成一致����,對(duì)原實(shí)施計(jì)劃作出修改,雙方的意見與修改后的計(jì)劃以文檔的形式進(jìn)行記錄�,并由客戶進(jìn)行確認(rèn)�,雙方共同保存記錄
資源優(yōu)化方法
一個(gè)項(xiàng)目的成敗很大程度上取決與對(duì)整個(gè)項(xiàng)目資源的調(diào)配和人員戰(zhàn)斗力的提高��,因此資源的調(diào)配���、團(tuán)隊(duì)的建設(shè)是非常重要的��。三零盛安非常重視團(tuán)隊(duì)建設(shè)���,無論在明確組織架構(gòu),明確責(zé)任分工方面���,還是在保證人員技能方面����,還是在資源調(diào)配方面��,都有豐富的成功經(jīng)驗(yàn)�。
億恩-天使(QQ:530997) 電話 037160135991 服務(wù)器租用,托管歡迎咨詢�。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)���!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
