基于安全策略的信息系统一体化管理的
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于安全策略的信息系统一体化管理的
摘要:随着企业信息化建设的多年发展和不断推进,电网企业已建设推广了众
多信息系统,并已深入到企业日常业务和管理的各个角落。各类信息系统的高效
访问集成是提高公司员工工作效率的有效途径,信息系统安全稳定的运行是整个
企业正常运转的重要保障,自动化、不间断的监控报警系统是及时发现隐患、保
证系统正常工作的有效手段。因此,建设一个集信息系统监控、预警、全生命周
期管理等功能于一体的管理工具在信息系统的日常运营中是非常重要的。
关键词:安全策略;信息系统;现象描述
1、现象描述
随着公司信息化建设的不断推进,公司已上线了各类国网公司、省公司统推
系统,且各类系统版本较为复杂,造成在管理过程中存在诸多的问题。
(1)依靠手工Excel方式对这些数量众多的信息系统进行监管,监管力度不够,对信息系统上下线管理缺乏有效管控工具,一些不应继续使用的遗留系统仍
在运行并局部使用。
(2)信息系统能否正常使用只能依靠管理员人工查看或用户报修,缺乏有效手段及时发现系统故障,对各子系统运行状况无实时监控,发生故障后无法及时
察觉,恢复速度慢导致故障排除周期较长,信息运维用户满意度降低。
(3)公司所有的信息子系统缺乏统一入口,不少信息系统还没有与统一门户集成,各个子系统使用各自的访问控制手段,杂乱难记,用户日常使用时只能靠
输入链接地址进行访问,系统访问不方便,带来安全隐患。
2、处理过程
设计信息系统一体化管理工具,实现信息系统资源统筹管理,消除信息孤岛,促进各信息系统间互通互联,实现数据集中、文档集中、资源整合;实现信息系
统实时监控及风险预警缩短系统故障响应周期,提供信息运维服务水平,提高用
户满意度;实现信息系统全生命周期管理,确保系统安全稳定可靠运行。
1)、通过“信息系统访问控制管理”研究,基于安全访问控制策略,合理设置
各类用户的权限,构建公司各类信息系统的统一入口,建立信息系统快速搜索功能,方便用户准确快速链接到需要使用的信息系统,无需刻意记忆,提高工作效率。
● 面向方面的应用程序访问控制
利用运行时织入(runtime weaving)手段,可以将访问控制逻辑实现为AOP
方面模块后,在部署平台上织入到应用系统中,而不用修改应用系统的源代码。
安全方面代码织入之后,即可拦截过滤用户对系统的访问,实现按规则的访问控制。
AOP工具在多种语言上都有实现。其中在Java上有运行良好的AspectJ库,
此库可结合Spring框架及Spring Security子框架,实现高品质的安全控制特性。在.NET环境,有通过MSIL动态注入来实现AOP的PostSharp库。这样,公司多
数应用都可以在同一种技术框架下实现访问控制了。
● 基于Apache的访问控制方案
Apache服务器集成了访问控制能力,通过编辑.htaccess文件,可以设定特定
来源的用户对特定资源的访问允许和禁止规则,Apache将会执行该文件中设定的
规则,对某些请求进行拦截。此外,读取.htaccess文件并作出拦截或放行决定的,并不是Apache核心代码,而是Apache中的几个模块(以mod_auth为核心)提
供的。
● 基于OAuth的分布式认证方案
OAuth方案能够解决公司众多应用子系统统一认证用户的难题。即,每个子
系统均将用户认证任务委托给提供OAuth服务的门户网站进行用户身份验证。
2)、通过“信息系统全生命周期管理”研制,实现信息系统上下线、系统权限
变更等审批流程的规范化和电子化,建立一套既能实现集中授权又能实现分散管理,兼顾原则性和灵活性的业务权限管理机制,提高系统权限管理工作的效率,
有效防范权限管理工作的风险隐患。
涉及到信息系统生命周期管理的产品首先关注的是对开发外包方提交的应用
程序进行部署运行的工作。基于统一客户端平台的GUI或控制台程序,可以在这
些平台上,由管理员登记、上传更新包。用户通过统一名录定位到这些程序,点
击后,下载到客户端机器运行。这种机制,可以确保用户使用的程序总是合法的,且内容是当前最新的。
J2EE技术中,B/S应用的部署标准是统一的。应用程序提供商需要提供单一
的WAR或EAR压缩包文件,手工安放到应用服务器下指定的目录中,应用服务
器通常就可以自动对该压缩包程序解压,并在用户请求压力下将该Web应用执行起来。
要实现ASP和网站的自动部署的整体思路如下:①编写C++程序,
调用IIS的DLL(动态链接库)实现网站新建。注意网站新建工作仅需要在应用程
序第一次部署的时候开展,之后的应用升级过程中,无需重复执行。②如果希望用Java程序来控制IIS下网站部署动作的话,可将上述代码封装为支持JNI的DLL
库函数,然后从Java代码中调用,完成网站新建动作。③采用和J2EE应用一样
的方式,拷贝文件,完成应用部署和应用升级。
3)、通过“信息系统应急管理”研制,通过对各信息系统可用性进行实时监控,对无法访问的系统进行报警,通知系统管理员及时处理,缩短系统故障响应周期;当事故发生时,能够正确、有效和快速地处理信息系统事故,最大限度地减少因
信息系统中断而造成的影响和损失,提供信息运维服务水平,提高用户满意度。
● Web网页的监控
● 应用服务器的监控
● 数据库服务器的监控
● 服务器网络状态的监控
● C/S系统的监控
3、原因分析
信息系统一体化管理工具的效益分析如下:
1)、节省人员管理成本,提高劳动生产率
以前,信息部门对信息系统的管理基本只能依托excel及人工监控,对信息的跟踪不方便不及时,对系统上下线全过程缺乏有效管控,本系统通过系统故障实
时监控、智能预警、系统全寿命周期管理等手段,提高了工作效率,使电力系统
员工职责更清晰、分工更明确,对员工要求少而精。
2)、缩短故障发现及恢复时间,提高用户满意度
通过系统故障实时监控、智能预警,系统管理员可提前发现系统异常、及时
处理系统隐患,快速处理系统故障,大大减少系统故障时间,提高系统稳定性,
从而提高用户的满意度,提高公司信息化管理水平。
4、经验总结