|
已經(jīng)不記得在那里摘錄的文章了��,今天在整理文檔的時候又翻出來了���,看了又看感覺還是不錯,推薦給“童鞋”們��!
互聯(lián)網(wǎng)數(shù)據(jù)中心(Internet Data Center����,IDC)專注于為客戶提供高速可靠的數(shù)據(jù)接入服務(wù),為企業(yè)���、應(yīng)用服務(wù)提供商����、內(nèi)容服務(wù)提供商��、系統(tǒng)集成商�����、ISP等提供大規(guī)模、高質(zhì)量���、安全可靠的服務(wù)器托管�、租用以及虛擬主機(jī)等基本業(yè)務(wù)����。數(shù)據(jù)中心是一個大規(guī)模、開放式的網(wǎng)絡(luò)系統(tǒng)�,應(yīng)用環(huán)境比較復(fù)雜,其中包含各種應(yīng)用系統(tǒng)�,例如:游戲服務(wù)器、WEB服務(wù)器���、FTP服務(wù)器等���。數(shù)據(jù)中心通常擁有多個分布在不同的地理位置的機(jī)房,每個機(jī)房的網(wǎng)絡(luò)環(huán)境�、客戶應(yīng)用以及安全狀況均不相同��。各個機(jī)房都不同程度的存在一些安全隱患��,并且曾經(jīng)發(fā)生過一些安全事故,對數(shù)據(jù)中心的正常運(yùn)行造成了嚴(yán)重的影響��。
為了保障IDC網(wǎng)絡(luò)系統(tǒng)安全穩(wěn)定的運(yùn)行��,向相關(guān)方提供及時的服務(wù)�����,系統(tǒng)應(yīng)遵循以下原則:
1) 實用性
應(yīng)依據(jù)目前的用戶規(guī)模����、業(yè)務(wù)運(yùn)營情況的服務(wù)需求,設(shè)計系統(tǒng)的規(guī)模�、軟件功能和業(yè)務(wù)功能。
2) 經(jīng)濟(jì)性
系統(tǒng)的建設(shè)應(yīng)考慮投資的經(jīng)濟(jì)性����,應(yīng)充分利用現(xiàn)有網(wǎng)絡(luò)安全設(shè)備。
3) 標(biāo)準(zhǔn)化與開放性
系統(tǒng)軟件�、應(yīng)用軟件的建設(shè)應(yīng)遵循業(yè)界統(tǒng)一標(biāo)準(zhǔn),具有開放性�����,應(yīng)保證所選不同型號的硬件設(shè)備能相互兼容���。
4) 安全可靠性
要保證系統(tǒng)安全���、可靠的運(yùn)行��。
5) 可維護(hù)性
系統(tǒng)的軟件都應(yīng)提供方便���、靈活的維護(hù)手段,方便應(yīng)用人員的維護(hù)和管理�。
6) 可擴(kuò)展性
系統(tǒng)的設(shè)計和建設(shè)要充分考慮網(wǎng)絡(luò)、硬件的擴(kuò)展需要����。系統(tǒng)采用開放的可擴(kuò)充模塊結(jié)構(gòu),保證以后可以方便地升級����,實現(xiàn)增加新業(yè)務(wù)、增加容量����、以及在同一平臺上擴(kuò)充其他業(yè)務(wù)功能。
7) 模塊化
系統(tǒng)提供的應(yīng)用模塊����,用戶可以有選擇地運(yùn)用,每個軟件之間相互獨立�,模塊接口開放、明確��,任何一個應(yīng)用模塊的損壞和更換不能影響其他軟件模塊的應(yīng)用�。
8) 成熟先進(jìn)性
技術(shù)的選型和設(shè)計要在體現(xiàn)先進(jìn)性的同時,保證成熟性��。
三零盛安安全服務(wù)嚴(yán)格按照安全服務(wù)生命周期執(zhí)行�����,使得安全服務(wù)能夠系統(tǒng)�����、有效的執(zhí)行下去�。在生命周期的每一個階段都有相對應(yīng)的一系列安全服務(wù)的提供,根據(jù)客戶的需求以及客戶信息系統(tǒng)的當(dāng)前狀況�����,可以有選擇性的定制和強(qiáng)化某一階段的服務(wù)內(nèi)容�,使其更加貼切用戶的實際需求,達(dá)到更好的服務(wù)效果��。
圖1 安全服務(wù)生命周期
以下將按照安全服務(wù)生命周期的各個部分需要實施的安全服務(wù)內(nèi)容,結(jié)合數(shù)據(jù)中心的狀況和實際的安全需求���,給出相應(yīng)的各個階段的安全服務(wù)的服務(wù)計劃和技術(shù)建議�。
1.4.7 事件分級管理
針對數(shù)據(jù)中心的特點��,我們定義了四級故障事件���,將按照以下的標(biāo)準(zhǔn)對故障事件進(jìn)行分級:
重大責(zé)任事故:超過一級故障限制時間的事件��。
一級故障事件:現(xiàn)有的系統(tǒng)停機(jī)��,或遭到嚴(yán)重攻擊行為或安全事件�,對數(shù)據(jù)中心的業(yè)務(wù)運(yùn)作有重大影響�����,持續(xù)小于4小時的事件���。持續(xù)時間超過4小時則升級到重大責(zé)任事故����。
二級故障事件:現(xiàn)有系統(tǒng)的操作性能嚴(yán)重降低��,或由于網(wǎng)絡(luò)性能失常或安全事件嚴(yán)重影響數(shù)據(jù)中心業(yè)務(wù)運(yùn)作����,持續(xù)小于8小時的事件����。持續(xù)時間超過8小時則升級到一級事件。
三級故障事件:系統(tǒng)的操作性能受損����,安全事件例如病毒在小范圍內(nèi)發(fā)作,但大部分業(yè)務(wù)運(yùn)作仍可正常工作��,持續(xù)小于24小時的事件����。持續(xù)時間超過24小時則升級到二級事件。
四級故障事件:在服務(wù)器�����、存儲設(shè)備�����、安全設(shè)備等的功能、安裝或配置方面需要信息咨詢或技術(shù)支持��。本級故障事件對數(shù)據(jù)中心的業(yè)務(wù)運(yùn)作幾乎無影響��,或根本沒有影響�����,持續(xù)小于48小時的事件�。持續(xù)時間超過48小時則升級到三級事件。
我們定義�,四級故障事件屬于日常運(yùn)維服務(wù)范疇,三級故障事件仍由日常運(yùn)維服務(wù)處理�,但需要向應(yīng)急響應(yīng)服務(wù)人員告知;二級故障事件和一級故障事件屬于應(yīng)急服務(wù)項目����,故障事件從三級升級到二級時,由運(yùn)維服務(wù)人員及時通知應(yīng)急響應(yīng)服務(wù)人員啟動應(yīng)急響應(yīng)服務(wù)�����。
圖2 故障事件分級
各級故障事件的最晚響應(yīng)時間為:
|
響應(yīng)時間
|
一級故障事件
|
二級故障事件
|
三級故障事件
|
四級故障事件
|
|
1小時
|
技術(shù)服務(wù)人員
技術(shù)支持專家
|
|
|
|
|
2小時
|
技術(shù)支持專家
|
技術(shù)服務(wù)人員
|
|
|
|
4小時
|
事業(yè)部總經(jīng)理
分管副總經(jīng)理
|
技術(shù)支持專家
|
技術(shù)服務(wù)人員
|
|
|
12小時
|
總經(jīng)理
|
事業(yè)部總經(jīng)理
分管副總經(jīng)理
|
技術(shù)支持專家
|
技術(shù)服務(wù)人員
|
故障響應(yīng)時間
備注:以上響應(yīng)時間按照7x24小時計時��。
我們將根據(jù)以上標(biāo)準(zhǔn)對故障事件進(jìn)行定級,并根據(jù)故障事件的等級來制定安全服務(wù)的指標(biāo)�。
1.4.8 優(yōu)先級定義
對于數(shù)據(jù)中心這樣一個大規(guī)模的網(wǎng)絡(luò)系統(tǒng)而言,應(yīng)用系統(tǒng)繁多�����,很難做到面面俱到�,即便采取嚴(yán)格了安全保護(hù)措施,仍然可能存在安全漏洞�����,特別是存在受控性較弱的托管服務(wù)器������?赡茉馐芫W(wǎng)絡(luò)攻擊和病毒破壞��,影響數(shù)據(jù)中心系統(tǒng)正常的運(yùn)行�,造成系統(tǒng)癱瘓。通過即時恢復(fù)服務(wù)的支持���,可以有效的應(yīng)對這些突發(fā)事件�����,借助專業(yè)的安全服務(wù)公司來解決問題���,及時恢復(fù)系統(tǒng)的正常運(yùn)行�����。
根據(jù)IDC的實際情況��,按照安全事件程度劃分等級如下:
優(yōu)先級1(P1): IDC機(jī)房骨干網(wǎng)絡(luò)嚴(yán)重故障�,造成單個機(jī)房30%以上用戶業(yè)務(wù)中斷或掉包率持續(xù)超過10%����,嚴(yán)重影響IDC基本業(yè)務(wù)正常開展。
優(yōu)先級2(P2): IDC機(jī)房部分網(wǎng)段嚴(yán)重故障��,造成單個機(jī)房5%以上用戶業(yè)務(wù)中斷或掉包率持續(xù)超過5%�����,影響IDC基本業(yè)務(wù)正常開展��;核心網(wǎng)絡(luò)區(qū)功能出現(xiàn)故障或性能大幅下滑�����;應(yīng)用服務(wù)器區(qū),網(wǎng)管服務(wù)器區(qū)增值服務(wù)器區(qū)業(yè)務(wù)或功能上出現(xiàn)故障���。
優(yōu)先級3(P3):IDC機(jī)房部分網(wǎng)段故障���,造成單個機(jī)房2%以上用戶業(yè)務(wù)中斷或掉包率持續(xù)超過1%;應(yīng)用服務(wù)器區(qū)����、網(wǎng)管服務(wù)器區(qū)、增值服務(wù)器區(qū)性能上出現(xiàn)大幅下滑�。
優(yōu)先級4(P4): IDC網(wǎng)絡(luò)設(shè)備��、應(yīng)用系統(tǒng)或者安全系統(tǒng)改進(jìn)問題�,以及其它存在的安全問題,但尚未產(chǎn)生重大影響的問題�����。辦公網(wǎng)出現(xiàn)功能故障或性能下滑�。
1.4.9 響應(yīng)時間
優(yōu)先級1(P1):1小時到達(dá)現(xiàn)場;
優(yōu)先級2(P2):2小時到達(dá)現(xiàn)場�;
優(yōu)先級3(P3):4小時到達(dá)現(xiàn)場;
優(yōu)先級4(P4):12小時到達(dá)現(xiàn)場;
1.4.10 排障時間
優(yōu)先級1(P1):1 小時內(nèi)提交解決方案��,在數(shù)據(jù)中心同意的情況下控制狀態(tài)����,保證運(yùn)營系統(tǒng)能提供基本服務(wù)。12小時內(nèi)完全解決事故或明確故障原因��;
優(yōu)先級2(P2):2小時內(nèi)提交解決方案�,在數(shù)據(jù)中心同意的情況下控制狀態(tài),保證受影響系統(tǒng)能提供基本服務(wù)����。24小時內(nèi)完全解決事故或明確故障原因;
優(yōu)先級3(P3):12小時內(nèi)提交解決方案�,在數(shù)據(jù)中心同意的情況下控制狀態(tài),保證受影響系統(tǒng)能提供基本服務(wù)���。24小時內(nèi)完全解決事故或明確故障原因����;
優(yōu)先級4(P4):對系統(tǒng)改進(jìn)的問題以雙方協(xié)商的時間為準(zhǔn)���;其它存在的安全問題不超過3個工作日��;
1.4.11 應(yīng)急響應(yīng)體系
信息安全應(yīng)急體系包括事件定位��、影響分析�、控制風(fēng)險、限制損害事故的后果�、并經(jīng)過演練后加以執(zhí)行、以確保在所要求的時間期限內(nèi)恢復(fù)業(yè)務(wù)處理�����、減少事件的影響�,降低系統(tǒng)的風(fēng)險。
經(jīng)過評審批準(zhǔn)的關(guān)鍵業(yè)務(wù)體系是組織應(yīng)急預(yù)案保護(hù)的對象和組織進(jìn)行應(yīng)急預(yù)案設(shè)計的依據(jù)���。應(yīng)急預(yù)案的設(shè)計應(yīng)當(dāng)包括IT應(yīng)急措施�����、非IT應(yīng)急措施、相關(guān)部門的協(xié)調(diào)���、應(yīng)急資源的保證���、應(yīng)急預(yù)案啟動條件等����。
1. IT應(yīng)急措施的設(shè)計
對關(guān)鍵業(yè)務(wù)的應(yīng)急保護(hù)��,首先應(yīng)該通過IT內(nèi)部的應(yīng)急措施加以實現(xiàn)���。這些IT措施主要是數(shù)據(jù)備份����、網(wǎng)路備份以及系統(tǒng)和網(wǎng)絡(luò)的應(yīng)急調(diào)用等�����。IT應(yīng)急措施的設(shè)計應(yīng)當(dāng)具有可操作性��。
2. 非IT應(yīng)急措施的設(shè)計
對關(guān)鍵業(yè)務(wù)的應(yīng)急保護(hù)����,尤其是與計算機(jī)信息網(wǎng)絡(luò)系統(tǒng)關(guān)聯(lián)程度一般或者與計算機(jī)信息網(wǎng)絡(luò)系統(tǒng)關(guān)聯(lián)程度極高的核心關(guān)鍵業(yè)務(wù)的應(yīng)急保護(hù),應(yīng)當(dāng)考慮采用非IT應(yīng)急措施加以實現(xiàn)���。非IT應(yīng)急措施是在關(guān)于計算機(jī)信息網(wǎng)絡(luò)系統(tǒng)短期內(nèi)無法恢復(fù)的假設(shè)基礎(chǔ)上進(jìn)行關(guān)鍵業(yè)務(wù)連續(xù)性設(shè)計的��。如�����,切換到手工的方式進(jìn)行業(yè)務(wù)的操作�,或通過介質(zhì)傳輸?shù)姆绞竭M(jìn)行半自動業(yè)務(wù)操作等。
3. 相關(guān)部門的協(xié)調(diào)
組織的應(yīng)急預(yù)案設(shè)計是從組織保護(hù)整體利益�����,降低組織整體風(fēng)險為基本出發(fā)點��,因此���,對關(guān)鍵業(yè)務(wù)的應(yīng)急保護(hù)涉及組織的各個部門和各個方面的配合和支持���。關(guān)于關(guān)鍵業(yè)務(wù)應(yīng)急保護(hù)相關(guān)部門的關(guān)聯(lián)方式是組織應(yīng)急預(yù)案設(shè)計的關(guān)鍵。
4. 應(yīng)急資源的保證
應(yīng)急預(yù)案設(shè)計應(yīng)當(dāng)將應(yīng)急活動程序化����,并通過程序化確定執(zhí)行應(yīng)急預(yù)案所許的組織資源,包括人員���、設(shè)備、資金和其他物資�����,尤其是人員的保證和其他資源的同意指揮調(diào)度等。應(yīng)急資源的保證還包括供應(yīng)商�����、開發(fā)商�、系統(tǒng)集成商,以及其它外協(xié)和相關(guān)單位支持����。
5. 應(yīng)急預(yù)案的啟動條件
組織應(yīng)急預(yù)案的啟動條件是組織應(yīng)急預(yù)案設(shè)計的重要內(nèi)容,也是實施應(yīng)急預(yù)案的必要條件�����。組織應(yīng)當(dāng)嚴(yán)格規(guī)定應(yīng)急措施的實施和應(yīng)急資源調(diào)用的程序��、決策者和責(zé)任人����。同時,啟動應(yīng)急預(yù)案的決策信息必須來自組織規(guī)范的報告制度�����,并有記錄及可追溯。
6. 應(yīng)急預(yù)案的演練
組織的應(yīng)急預(yù)案正式批準(zhǔn)之前都必須進(jìn)行演練����。演練也可以在仿真條件下進(jìn)行,但參加演練的人員必須與實際執(zhí)行應(yīng)急預(yù)案的人員的組成相近��。應(yīng)急預(yù)案演練是組織應(yīng)急預(yù)案完善的重要工作�,包括應(yīng)急預(yù)案演練的計劃安排、演練過程和效果的詳細(xì)記錄�,演練活動的評估報告和應(yīng)急預(yù)案改進(jìn)建議等。
應(yīng)急預(yù)案演練的計劃安排
應(yīng)急預(yù)案演練應(yīng)當(dāng)事先進(jìn)行周密的組織和安排���。組織的信息部門應(yīng)當(dāng)將初步形成的應(yīng)急預(yù)案下發(fā)至各個相關(guān)部門���,由相關(guān)部門根據(jù)本部門的實際情況細(xì)化應(yīng)急預(yù)案,確定本部門的應(yīng)急程序和資源配置和調(diào)用情況�����,以及需要其他相關(guān)部門協(xié)助的請求�。組織的信息部門通過各個部門的應(yīng)急演練具體方案的整合調(diào)整,制定組織應(yīng)急預(yù)案的演練計劃安排����,確定時間,報組織信息領(lǐng)導(dǎo)小組批準(zhǔn)實施�����。
演練過程和效果的詳細(xì)記錄
應(yīng)急預(yù)案演練目的主要是檢驗應(yīng)急預(yù)案的實施過程是否符合經(jīng)濟(jì)性���、合理性和可操作性��,是否有更實際的�����、高效率的替代方式和途徑��,以及如何建立表示或提示使實施更為簡便和明確����。因此���,組織應(yīng)當(dāng)對演練過程進(jìn)行跟蹤����,并對演練過程和效果進(jìn)行真實詳細(xì)的記錄。
評估報告和改進(jìn)建議
應(yīng)急預(yù)案演練的效果應(yīng)當(dāng)進(jìn)行評估���,評估報告應(yīng)當(dāng)對應(yīng)急預(yù)案是否可操作�����、應(yīng)急程序是否科學(xué)合理����、應(yīng)急資源是否迅速到位的做出明確的結(jié)論�,評估報告必須有明確的責(zé)任人。對應(yīng)急預(yù)案演練中存在的問題�����,應(yīng)當(dāng)提出改進(jìn)意見�,如果是設(shè)計應(yīng)急預(yù)案演練能否征程進(jìn)行的重大問題,應(yīng)當(dāng)承認(rèn)演練沒有取得成功�,建議改進(jìn)后重新進(jìn)行演練。組織應(yīng)當(dāng)重視應(yīng)急預(yù)案演練的評估報告�,對存在的問題進(jìn)行改進(jìn)和調(diào)整。
應(yīng)急預(yù)案的批準(zhǔn)與實施
經(jīng)過演練和改進(jìn)的應(yīng)急預(yù)案應(yīng)當(dāng)報組織信息安全領(lǐng)導(dǎo)小組批準(zhǔn)�����,并形成正文下發(fā)。組織的各個職能部門和責(zé)任區(qū)域的負(fù)責(zé)人應(yīng)當(dāng)將應(yīng)急預(yù)案相關(guān)內(nèi)容和要求納入到各自日常的工作范圍���,明確責(zé)任人和職責(zé)�����。應(yīng)急預(yù)案臨時調(diào)用的各種資源和資金應(yīng)當(dāng)落實部門,必要時應(yīng)建立組織的信息安全應(yīng)急����?睢
1.4.12 緊急事件列表
根據(jù)數(shù)據(jù)中心的網(wǎng)絡(luò)結(jié)構(gòu)特點和業(yè)務(wù)特色��,我們確定了以下這些可能發(fā)生的安全事件���,并初步確定其應(yīng)急響應(yīng)的建議優(yōu)先級別:
|
事件
|
影響
|
可能性
|
優(yōu)先級
|
|
網(wǎng)絡(luò)故障
|
業(yè)務(wù)中斷����,影響部分業(yè)務(wù)的提供��。
|
高
|
1
|
|
病毒爆發(fā)
|
業(yè)務(wù)性能下降�����,影響部分業(yè)務(wù)的提供。
|
中
|
1
|
|
網(wǎng)絡(luò)入侵
|
重要服務(wù)器遭到入侵�,影響服務(wù)提供,對網(wǎng)絡(luò)其它部分形成威脅��。
|
中
|
1
|
|
主機(jī)故障
|
部分主機(jī)或服務(wù)器出現(xiàn)故障����,導(dǎo)致服務(wù)性能下降或者影響服務(wù)的提供。
|
中
|
2
|
|
軟件故障
|
部分應(yīng)用軟件出現(xiàn)故障����,導(dǎo)致服務(wù)性能下降或者影響服務(wù)的提供。
|
中
|
2
|
|
人為破壞
|
系統(tǒng)中的硬件/軟件設(shè)備遭到人為破壞���,導(dǎo)致服務(wù)性能下降或者影響服務(wù)的提供�����。
|
低
|
3
|
|
災(zāi)難
|
自然災(zāi)難破壞����,造成系統(tǒng)大面積破壞����,業(yè)務(wù)完全或部分中斷����。
|
低
|
4
|
緊急事件列表
1.4.13 事件處理流程
按照三零盛安安全服務(wù)體系����,我們首先將為客戶制訂應(yīng)急響應(yīng)規(guī)劃,在充分了解數(shù)據(jù)中心的現(xiàn)狀和安全需求后�,分析數(shù)據(jù)中心可能發(fā)生的緊急事件,并制訂一套應(yīng)急響應(yīng)規(guī)劃�。
應(yīng)急響應(yīng)規(guī)劃為用戶提供了一套行為的指南��,當(dāng)緊急事件發(fā)生時����,系統(tǒng)管理員可以及時的確定如何采取措施應(yīng)對緊急事件,提高對緊急事件的處理效率����。
圖3 三零盛安應(yīng)急響應(yīng)服務(wù)體系
應(yīng)急響應(yīng)的操作流程如下圖所示:
圖4 應(yīng)急響應(yīng)操所流程
1.4.14 項目管理
建議的項目小組組織結(jié)構(gòu)如下:
圖5 項目小組組織結(jié)構(gòu)
項目領(lǐng)導(dǎo)小組:由雙方最高層領(lǐng)導(dǎo)組成,負(fù)責(zé)對整體項目的領(lǐng)導(dǎo)����、協(xié)調(diào)工作。
專家小組:由技術(shù)專家擔(dān)任�,指導(dǎo)安全服務(wù)的實施并提供技術(shù)咨詢���。
項目經(jīng)理:負(fù)責(zé)項目的具體實施協(xié)調(diào)、控制工作�。
項目管理人員:負(fù)責(zé)項目的質(zhì)量管理工作。
安全運(yùn)維小組:負(fù)責(zé)安全運(yùn)行/維護(hù)服務(wù)的提供�����。
應(yīng)急響應(yīng)小組:負(fù)責(zé)即時恢復(fù)服務(wù)的提供�����。
安全培訓(xùn)小組:負(fù)責(zé)安全培訓(xùn)服務(wù)的提供����。
組員:由雙方人員構(gòu)成,負(fù)責(zé)安全服務(wù)的具體實施��、文檔管理�、安全技術(shù)分析、統(tǒng)計分析等工作�。
1.5 項目管理方法
項目管理,如今已不僅是項目經(jīng)理的職責(zé)����,只設(shè)法提高項目經(jīng)理的能力就可以將項目管理在企業(yè)中成功應(yīng)用的做法已不再成立�。只有建立適合企業(yè)自身狀況的項目管理流程��、方法即項目管理的戰(zhàn)略規(guī)劃才能確保每個項目的成功實施���。作為專業(yè)的網(wǎng)絡(luò)安全公司���,三零盛安較早的引入了國外先進(jìn)的安全系統(tǒng)實施體系?D����?DSSE-CMM (系統(tǒng)安全工程能力成熟度模型)。
SSE-CMM模型起源于1994年4月��,美國國家安全局與美國國防部�、加拿大通信安全局一起匯聚了超過60個國內(nèi)外廠家�,啟動了稱作“安全系統(tǒng)工程能力成熟模型(SSE-CMM)”的項目。這一項目力求在原有能力成熟模型(CMM)的基礎(chǔ)上�����,通過對安全工作過程進(jìn)行管理的途徑將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋完好定義的�����、成熟的、可測量的先進(jìn)學(xué)科��。
最新版本2.0已提交國際標(biāo)準(zhǔn)化組織申請作為ISO/IEC 21827國際標(biāo)準(zhǔn)�����。三零盛安技早在SSE-CMM V1階段就對該標(biāo)準(zhǔn)進(jìn)行了追蹤研究����,到了SSE-CMM V2.0 final頒布后,便在工程實施過程中開始使用這種最新的SSE-CMM來指導(dǎo)系統(tǒng)安全工程的實施���。
SSE-CMM模型本身并不是安全技術(shù)模型����,SSE-CMM與安全相關(guān)的部分一共有11個過程區(qū)(PA)����,另外還有11個來源于SE-CMM(系統(tǒng)工程)中的11個與項目組織和實施相關(guān)的過程區(qū)。由于SSE-CMM模型給出了系統(tǒng)安全工程所需考慮的關(guān)鍵過程域����,可指導(dǎo)安全工程從單一的安全設(shè)備設(shè)置轉(zhuǎn)向考慮系統(tǒng)地解決安全工程的管理、組織和設(shè)計�、實施���、驗證等。
三零盛安在數(shù)據(jù)中心的安全服務(wù)的實施中將以SSE-CMM的安全工程過程規(guī)范作為指導(dǎo)��,同時采用SSE-CMM的安全保證過程規(guī)范作為工程質(zhì)量保證標(biāo)準(zhǔn)����。
在SSE-CMM的安全工程部分:總體上我們首先根據(jù)安全評估識別出來的風(fēng)險信息應(yīng)用過程區(qū)PA10來識別最終安全需求,應(yīng)用過程區(qū)PA09提供安全輸入���,得到最后的解決方案和實施計劃和指導(dǎo)���。在從PA09- PA01(管理安全控制)的實施過程中,將應(yīng)用SSE-CMM中相關(guān)的過程區(qū)�����,也就是包含在SSE-CMM中的PA12-PA22這些過程區(qū)����,這些過程區(qū)為傳統(tǒng)的安全集成過程區(qū)���。
圖6 安全集成過程區(qū)
在采用SSE-CMM規(guī)范進(jìn)行項目管理的基礎(chǔ)上��,三零盛安在項目實施中還將從進(jìn)度控制���、質(zhì)量控制�����、變更控制和團(tuán)隊建設(shè)四個具體方面進(jìn)行項目管理來保證項目的成功實施��。
進(jìn)度控制方法
三零盛安在項目開始階段就制定詳細(xì)的實施計劃���,并在項目實施過程中進(jìn)行有效的監(jiān)督和實時調(diào)整,確保項目有計劃地如期進(jìn)行���。
質(zhì)量控制方法
三零盛安在項目實施的各個階段均有詳細(xì)的文檔記錄�,通過文檔記錄活動的過程�����,隨時了解活動的狀態(tài)或回溯查找問題原因��,最終達(dá)到控制工程質(zhì)量的目的��。
變更控制方法
變更是影響項目進(jìn)度的重要原因,也是項目管理中存在風(fēng)險較大的環(huán)節(jié)��,如控制不好會直接影響項目的成敗��。三零盛安將采用變更控制方法從“避免”和“控制”兩方面來解決這個問題�����。當(dāng)項目運(yùn)行過程中發(fā)生了變化��,首先由項目經(jīng)理判斷是否會影響整個項目的進(jìn)展���,或需要對項目的計劃進(jìn)行調(diào)整��,如果需要調(diào)整則必須與客戶進(jìn)行溝通��,在各項安排上達(dá)成一致�����,對原實施計劃作出修改�����,雙方的意見與修改后的計劃以文檔的形式進(jìn)行記錄,并由客戶進(jìn)行確認(rèn),雙方共同保存記錄
資源優(yōu)化方法
一個項目的成敗很大程度上取決與對整個項目資源的調(diào)配和人員戰(zhàn)斗力的提高�����,因此資源的調(diào)配���、團(tuán)隊的建設(shè)是非常重要的�。三零盛安非常重視團(tuán)隊建設(shè)�����,無論在明確組織架構(gòu)�,明確責(zé)任分工方面,還是在保證人員技能方面����,還是在資源調(diào)配方面,都有豐富的成功經(jīng)驗����。
億恩-天使(QQ:530997) 電話 037160135991 服務(wù)器租用,托管歡迎咨詢�����。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)�����!虛擬主機(jī)域名注冊頂級提供商�����!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
