精华内容
下载资源
问答
  • 针对目前物业服务矛盾纠纷多,企业经济效益低,社会满意度不高等问题,近期,市住房城乡建设局进一步加强对物业服务企业监管力度,四举措推动物业服务企业做好住宅小区内物业服务工作。   一是要求物业服务企业...
    针对目前物业服务矛盾纠纷多,企业经济效益低,社会满意度不高等问题,近期,市住房城乡建设局进一步加强对物业服务企业监管力度,四举措推动物业服务企业做好住宅小区内物业服务工作。
      
         一是要求物业服务企业严格按照《宿迁市市区物业管理办法》,必须在小区物业服务用房和公示栏内长期公布物业管理法规制度、保安、保洁等责任制度、物业服务等级内容、收费标准内容、服务承诺及物业服务岗位监督台;限期公布2010年物业服务收费收支帐目。
      
        二是要求物业服务企业采取各种形式广泛宣传文明礼仪知识,让广大业主自觉认真履行《业主规约》,维护物业小区环境卫生、秩序安全的责任和义务,要通过小区党支部、宣传栏、悬挂条幅、配置温馨提示牌、送传单等形式广泛宣传文明创建,倡导业主的文明意识。同时,物业服务企业要对小区文明行为和不文明行为,如乱丢垃圾、车辆乱停放、扯绳晾衣、乱安乱装、违章搭建、破坏绿化等进行影像采集,统一汇总,并于每月底前集中或及时上报,通过新闻媒体进行公布。
      
        三是要求物业服务企业对所服务的物业小区进行一次拉网式的排查,在雨季来临前,对防汛防涝的设施、危房、危墙、屋顶、外墙悬挂物、地下室、地下车库、发电设施、雨水管道、明沟、暗沟等进行全面认真排查,如用维修资金需经业主委员会同意后,分别于6月底和11月底前两次集中履行报批手续,及时消除隐患。否则,发现一起雨季集中投诉、信访或因公共部位、公共设施设备维修不到位造成信访投诉的,要通报批评,记入不良行为记录,情节严重的,吊销其资质证书或建议业主委员会解除聘用合同。
      
        四是对业主、使用人未按照物业服务合同的约定交纳物业管理服务费的,物业服务企业可以催交,逾期仍不交纳的,物业服务企业可以按每日万分之五加收滞纳金或向人民法院起诉,但不得以此为由,擅自停水、停电以及做出其它违反规定的行为。市住房城乡建设局将采取日常检查、明查暗访等形式对物业服务企业执行情况进行检查,对违反规定行为的,将结合信用管理,依据物业管理法规等有关规定予以严肃查处。
    展开全文
  • 大促保障准备工作

    千次阅读 2016-10-28 21:06:27
    大促准备过程中,有哪些工作项,需要细致到什么程度,怎么做。看这里,都是干货。

    大促保障如何做,有哪些工作项,看这里。

    工作项 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
    应用容量评估,测算PV、UV、一天内调用次数、峰值调用量 所有                                  
    数据容量评估,测算数据库、REDIS等存储容量,记录数、磁盘占用量 所有                              
    线下PRE环境性能压测(详细工作计划)                              
                 
               
                           
    线上购物链压测            
    DB TOP SQL慢查询巡检及优化         所有                  
    DB数据库IO调度算法巡检(DeadLine配置)             所有                  
    DB SQL超时设置         所有                      
    REDIS分片巡检及优化(<32G)         所有                      
    ESB 巡检(连接数8000限制、400W数据积压限制、TPS4000限制、高可用配置)         所有                      
    RSF 版本巡检(2.1.2)         所有                  
    故障场景重点关注项         所有                      
    高可用(一主多从、冷备)、其他事项巡检         所有                  
    RSF超时、限流、SLA、告警设置         所有                  
    ESB超时、限流、SLA、告警设置         所有                  
    容错设计检查               所有            
    降级限流设计检查               所有            
    全流程核心链路过载演练                      
    系统监控、告警、人员设置检查             所有                  
    宕机应急演练                                  
    创单功能生产压测                                  
    DB\REDIS主备切换演练                              
    ZK故障演练                              
    应急预案   所有                            
    零点峰值应对   所有                            
    扩容交付进度                                    
    压测不达标程序优化计划                                    
    MQ迁移                                
    主备切换演练                          
    网络参数、交换机高可用巡检         所有                        

    双11大促准备工作清单
                   
    分类 工作项 交付物 计划开始时间 计划完成时间 负责人 完成结果 备注
    容量和性能评估              
    1 应用容量评估,测算PV、UV、一天内调用次数、峰值调用量 评估报告     各系统技术经理 完成  
    2 数据容量评估,测算数据库、REDIS等存储容量,记录数、磁盘占用量 2016/10/13 2016/10/15 各系统技术经理 完成  
    系统性能压测达标              
    1 线下PRE环境性能压测(详细工作计划) 压测报告 2016/10/13 2016/10/30 各系统技术经理 进行中  
    2 线上购物链压测 2016/10/20 2016/10/30 技术经理 完成  
    3 创单功能生产压测 演练报告 2016/10/13 2016/10/25   完成  
    4 全流程核心链路 演练报告 2016/10/17 2016/10/25 各系统技术经理 进行中  
    巡检自检              
    1 DB TOP SQL慢查询巡检及优化 巡检自检清单 2016/10/13 2016/10/25 各系统技术经理 完成  
    2 DB数据库IO调度算法巡检(DeadLine配置) 2016/10/13 2016/10/25 各系统技术经理 完成  
    3 DB SQL超时设置 2016/10/13 2016/10/25 各系统技术经理 完成  
    4 REDIS分片巡检及优化(<32G) 2016/10/13 2016/10/25 各系统技术经理 完成  
    5 ESB 巡检(连接数8000限制、400W数据积压限制、TPS4000限制、高可用配置) 2016/10/13 2016/10/25 各系统技术经理 完成  
    6 RSF 版本巡检(2.1.2) 2016/10/13 2016/10/25 各系统技术经理 完成  
    7 网络参数、交换机高可用巡检 2016/10/15 2016/10/17 各系统技术经理 完成  
    8 故障场景重点关注项 2016/10/13 2016/10/25 各系统技术经理 完成  
    9 高可用(一主多从、冷备)、其他事项巡检 2016/10/13 2016/10/25 各系统技术经理 完成  
    核心链路与服务SLA              
    1 RSF超时、限流、SLA、告警设置 服务治理与调用链路 2016/10/13 2016/10/25 各系统技术经理 完成  
    2 ESB超时、限流、SLA、告警设置 2016/10/13 2016/10/25 各系统技术经理 完成  
    3 容错设计 2016/10/13 2016/10/25 各系统技术经理 完成  
    4 降级限流设计 2016/10/13 2016/10/25 各系统技术经理 完成  
    系统监控与应急演练              
    1 系统监控、告警、人员设置检查 系统监控与应急处置手册 2016/10/13 2016/10/25 各系统技术经理 完成  
    2 宕机应急演练 演练报告 2016/10/13 2016/10/25   完成  
    3 DB\REDIS主备切换演练 演练报告 2016/10/13 2016/10/25 各系统技术经理 完成  
    4 ZK故障演练 演练报告 2016/10/13 2016/10/25 各系统技术经理 完成  
    5 主备切换演练 应急预案 2016/10/13 2016/10/25   进行中  
    6 应急预案 应急预案 2016/10/13 2016/10/15 各系统技术经理 完成  
    7 零点峰值应对 应急预案 2016/10/13 2016/10/15 各系统技术经理 完成  
    扩容或优化准备清单              
    1 扩容交付进度 情况说明 2016/10/13 2016/10/25 各系统技术经理 完成  
    2 压测不达标程序优化计划 计划安排 2016/10/13 2016/10/25 各系统技术经理 进行中  
    3              



    巡检清单
                   
    序号 分类 巡检内容 处理方案
    事前处置 监控告警 应急处置
    防控手段 监控点 影响范围 应急手段 恢复时长
    一、系统应用程序   参数优化、安全巩固、扩容、高可用 CPU、IO、TPS、QPS、单据量、健康检测   降级、分流、限流  
    1 系统参数配置 应用服务器配置:数据库连接池设置,连接数、事务隔离级别,连接超时等 检查 连接数监控 整个应用 前端限流 1分钟
    2 系统参数配置 应用服务器配置:线程池设置,工作线程、IO线程数设置,超时等 检查 线程队列监控 整个应用 前端限流,增大队列长度 1分钟
    3 系统参数配置 ESB配置:是否配置预警阀值、新老平台复用的接口URL配置是否一致 检查        
    4 系统参数配置 UTS配置:检查PRE与PRD环境是否配置一致 检查        
    5 系统参数配置 SCM配置:检查PRE与PRD环境是否配置一致 检查        
    6 业务参数配置 业务配置数据:检查PRE与PRD环境是否配置一致 检查        
    7 业务参数配置 功能菜单是否可关闭、降级功能开关是否可用 检查        
    8 业务参数配置 业务运行过程中需要的必要主数据、元数据是否正确设置 检查        
    9 定时任务配置 23:50-00:10之间禁止启动定时任务,23:50之前启动的定时任务需要在23:55前运行完成。 检查        
    10 定时任务配置 所有定时任务,尽量避免在整点触发,选择一个随机的非整点时间来触发启动 检查        
    11 RPC、REST接口异常 响应超时 优化程序,扩容 健康检查,接口监控 关联系统 业务降级,前端限流 2分钟
    12 RPC、REST接口异常 无响应 优化程序,扩容 健康检查,接口监控 关联系统 业务降级,前端限流 2分钟
    13 RPC、REST接口异常 QPS、TPS超出预估峰值 扩容、高可用 接口监控 关联系统 业务降级,前端限流 2分钟
    14 RPC、REST接口异常 成功率异常下降    接口监控 关联系统 前端限流、负载均衡 2分钟
    15 系统应用异常 不能正常运行 高可用 健康检查 关联系统 负载均衡 1秒
    16 系统应用异常 进程异常、假死 高可用 健康检查 关联系统 负载均衡 1秒
    17 系统应用异常 线程阻塞 高可用 健康检查、线程监控 关联系统 负载均衡 1秒
    18 系统应用异常 无法启动 高可用 健康检查 关联系统 负载均衡 1秒
    19 系统应用异常 响应缓慢或无响应  高可用 健康检查、超时检查 关联系统 前端限流、业务降级、负载均衡 1秒
    20 交易异常 流量异常下降   健康检查、流量监控 关联系统    
    21 交易异常 成功率异常下降    健康检查、接口监控 整个应用    
    22 交易异常 大量繁忙,交易时间延长 高可用 健康检查、接口监控 整个应用 前端限流、业务降级、负载均衡 5秒
    23 交易异常 交易异常报错 高可用 健康检查、接口监控 整个应用 负载均衡  
    24 其他异常 应用服务队列堵塞 高可用 健康检查、接口监控 整个应用 前端限流、负载均衡 5秒
    二、数据库   参数优化、安全巩固、扩容、高可用 CPU、IO、MEM、TPS、QPS、健康检测   限流、主备切换  
    25 物理损坏 数据库崩溃 高可用 健康检查 关联系统 主备切换 5分钟
    26 物理损坏 数据库存储损坏 高可用、热备 磁盘、IO监控 关联系统 主备切换 5分钟
    27 物理损坏 逻辑日志满导致数据库挂起 高可用 磁盘、IO监控 关联系统 主备切换 5分钟
    28 操作异常 数据库无法正常处理请求 高可用 健康检测 关联系统 前端限流、主备切换 5分钟
    29 操作异常 数据库表死锁   死锁监控 整个应用 快速杀死进程 3分钟
    30 操作异常 数据库表数据无法插入 存储容量检查 错误日志监控 整个应用 读写分离,主备切换 5分钟
    31 操作异常 数据库交易处理缓慢 慢SQL检查 慢SQL监控 整个应用 前端限流  
    32 操作异常 数据库无法连接或无响应、假死   健康检测 关联系统 主备切换 5分钟
    33 操作异常 数据库性能极剧下降    连接数监控、IO监控 关联系统 前端限流 3分钟
    34 操作异常 数据库实例出现大量等待事件   连接数监控、IO队列监控 关联系统 前端限流 3分钟
    35 其他异常 数据库短时间不可用   健康检测 关联系统 前端限流、主备切换 3分钟
    36 其他异常 主从同步延迟 检查 延迟监控   持续观察  
    37 其他异常 数据库实例监听宕掉 检查 健康检查   主备切换 5分钟
    三、中间件   参数优化、安全巩固、扩容、高可用 CPU、IO、MEM、TPS、QPS、健康检测   主备切换  
    38 ESB中间件 实例异常或僵死 参数检查,高可用 健康检查、内存(>80%)IOCPU(>80%) 关联系统 切换 5分钟
    39 RSF中间件 实例异常或僵死 参数检查,高可用 健康检查、内存(>80%)IOCPU(>80%) 关联系统 客户端负载均衡 1分钟
    40 REDIS中间件 实例异常或僵死 参数检查,高可用 健康检查、内存(>80%)IOCPU(>80%) 关联系统 自动重新选主 1分钟
    41 REDIS中间件 主从同步延迟 参数检查,高可用 延迟监控 关联系统    
    42 消息中间件 实例异常或僵死 参数检查,高可用 健康检查、内存(>80%)IOCPU(>80%) 关联系统 切换 5分钟
    43 消息中间件 消息堆积 参数检查,高可用 消息堆积长度(>2000,结合RTQPS) 关联系统 前端限流  
    44 WAS中间件 实例异常或僵死 参数检查,高可用 健康检查、内存(>80%)IOCPU(>80%) 关联系统 前端负载均衡  
    45 负载均衡中间件 NGINX实例异常或僵死 参数检查,高可用 健康检查、内存(>80%)IOCPU(>80%) 关联系统 主备切换 2分钟
    46 负载均衡中间件 IHS实例异常或僵死 参数检查,高可用 健康检查、内存(>80%)IOCPU(>80%) 关联系统 主备切换 2分钟
    47 文件图片服务器 存储失败 参数检查,高可用 健康检查、内存(>80%)IOCPU(>80%) 关联系统 切换 5分钟
    48 其他依赖中间件 WAF拦截失败 参数检查,高可用、TOP 50 IP梳理 健康检查、内存(>80%)IOCPU(>80%) 关联系统 切换  
    四、操作系统 参数优化、安全巩固、升级 LOAD、IOWAIT   切换  
    49 异常或报错 负载过高 检查 负载监控 整个应用 前端限流 1分钟
    50 异常或报错 无响应 检查 健康检查 整个应用 前端容错 1分钟
    51 异常或报错 文件数超出 检查 系统日志监控 整个应用 前端限流 1分钟
    52 异常或报错 TIME_WAIT连接占用严重 检查 网络日志监控 整个应用 前端限流 1分钟
    53 异常或报错 交换区频繁换入换出 检查 磁盘、IO监控 整个应用 前端限流 1分钟
    五、硬件及网络 备份 存活检测   切换  
    54 网络异常 网络异常中断   网络监控 整个应用 切换  
    55 网络异常 AP与DB间网络异常或不可用   网络监控 整个应用 切换  
    56 网络异常 网络端口流量异常升高/下降   网络监控 整个应用 切换  
    57 网络异常 IP地址异常或出现冲突    网络监控 整个应用 切换  
    58 网络异常 数据传输中出现异常丢包   网络监控 整个应用 切换  
    59 硬件异常 F5服务异常或报错   网络监控 整个应用 切换  
    60 硬件异常 异常掉电    主机监控 整个应用 切换  
    61 硬件异常 磁盘存储损坏   磁盘、IO监控 整个应用 切换  



    1.某些没有经过充分压测的接口 流量过大,拖死整个系统。 需要针对每个接口根据接口tps能力设置好流控值。
    2.请求的数据穿透了缓存,如爬虫爬了冷数据等,拖死数据库。流控+监控应急封ip或封接口。
    3.因为外部服务响应慢,导致线程池被卡满。需要做好超时设置,支持熔断。
    4.物理机故障,如宕机或响应慢。需要做好高可用,紧密监控、及时切换。
    5.某个redis或数据库分片出现故障,导致全局卡死。需要超时设置、对redis或数据库分片需要支持熔断能力。
    6.依赖的外部服务故障,同时系统对外部非重要服务耦合过于紧,无法降级。
    7.缓存没有及时生效 或 数据传输出现延时。系统需要评估需要处理的数据量 及时长,确保数据能及时处理完成。
    8.资源争抢,特别是io资源争用。 各重要系统请检查 现有系统的io利用率和iops指标,如存在瓶颈,需要进行迁移或切ssd。
    9.数据库坏页,核心链路系统需要做到一主两从,出现疑似数据库坏页,尽快切换。
    10.ddos或cc攻击, 安全团队需要做应对攻击的应急预案,并加强演练,加快恢复速度。
    11.网络故障、网络延时、基础服务故障。网络和基础服务 必须保证 高可用和良好性能。
    12.定时任务 停止服务 或 调度延迟,未能及时监控出来。加强对每个定时任务的监控和报警。


    服务要有容错设计,为失败设计,服务主要异常场景:
    (1)服务内部出错、异常;
    (2)服务处理延迟;
    (3)服务处理过载;
    (4)网络链路延迟或中断;
    (5)服务依赖链中部分依赖SLA不达标,造成整体服务不可用;
    (6)服务链条过长,造成SLA整体不可控;
    解决的思路:隔离(物理或逻辑)、自我保护、失效转移或恢复、降级;
    1、隔离手段:依据服务重要性分级或流量特点、用户画像等,从物理上隔离服 务。主要使用分流技术;将服务使用的资源(CPU、线程、IO等)隔离,主要使用舱壁模式;
    2、自我保护手段:快速失败(failfast)、流控、超时、熔断;
    3、失效转移或恢复手段:失效检测、重试、转移(failover)、回退恢复(failback);
    4、降级手段:依据依赖服务的重要性或依赖程度(强、弱),同步变异步,降级开关、拒绝部分服务等;
     
    降级方案、限流方案设计说明:
    1. 每个系统需要分析调用量前10的服务(URL、ESB、RSF服务),并综合考虑其响应时间和耗时。原则上所有调用量大且降级后对销售或作业不造成较大影响的服务,都需要考虑。    
    2. 降级、限流的目的是保护系统,减少本系统的压力、或降低对后端系统的压力、或降低对网络的压力。 
    3. 限流方案不能造成正常销售或作业执行工作,降级后不能对销售造成较大的影响,对销售的较小影响是可以接受的。先限流,再降级。 
    4. 需要有成熟可靠的降级、限流预案。
    5. 降级手段有:功能禁用、增加功能的缓存时间、使用本地缓存而不是调用外部服务、减少某些业务特性以降低业务复杂度、不调用后端依赖服务、异常时采用默认数据或兜底数据,同步变异步调用,减少JOB执行频率或变更业务峰值JOB触发调用时间等;
    6. 限流手段有:随机拒绝请求、拒绝低优先级系统调用,拒绝低级别用户调用,根据白名单或黑名单规则拒绝特定用户请求调用,对失败率高或响应超时系统调用拒绝调用,利用线程池队列排队处理调用,拒绝超出处理能力调用等。  
    7. OLAP应用,如对OLTP系统的物理机器或网络资源造成了争用,同样需要设计降级方案。    
     
    超时设置方法:
    1、核心链路方法,通过压测获取响应时间TP99/TP90。作业线方法通过拉取RSF\ESB报表获取响应时间TP99/TP90.
    2、要清楚响应时间的增加,不仅消耗资源(例如线程池、CPU、IO等),也会使TPS下降。严重时会耗尽连接,发生级联现象,使相关系统受到影响。TPS=C/RT.
    3、响应时间的增加,会使失败率增加,异常会增加。如事务类接口在非幂等性设计情况下,造成重复生成数据。
    4、原则上,作业线方法,可以通过查看TP99数据,设置2*TP99-5*T99。高并发核心链路接口,要不大于2*TP99.非核心作业方法,可以统一设置为3秒,原则上不应大于5秒。
    5、响应时间在2-5倍TP99之间的选择,应结合是否事务方法、是否幂等,并发量,以及对业务的影响进行评估。并发量小的,事务方法,对业务影响大的,响应时间可设置大些;并发量大的,对业务影响小的,响应时间可设置小些。其他的,可以统一设置为3*TP99.
    6、报表类、JOB类方法,根据事务执行时间进行单独设置。
     

    RSF\ESB限流设置。两者都是基于限制并发数来限制调用次数,从而达到限流目的。
    1、根据压测或历史得知,你的总并发数;
    2、基于分组分类的原则,设置线程池,RSF线程池没有物理分开,是基于信号量区分不同的线程池;
    3、根据业务,可以将接口划分为:核心对外服务接口,核心流程接口、关联核心流程接口,其他非核心流程;
    4、根据接口分类,建立不同的分组,例如核心对外服务接口设置并发200,核心流程接口100,关联核心流程接口50,其他非核心流程40。
    5、可以继续设置分层,如划分为三层,1级、2级、3级。针对不同分类接口设置三层。例如核心对外服务接口设置并发三级,1级300,2级200,3级150.其他类似。统筹分类分层。
    6、在接口上挂上分组。


    展开全文
  • 2.2 我国信息安全保障工作主要内容 为构建信息安全保障体系,我国已经在信息安全标准化、应急处理与信息通报、等级保护、风险评估和人才队伍建设等方面展开工作,并取得了一些成果。 2.2.1 信息安...

    本节书摘来自华章出版社《信息安全保障》一书中的第2章,第2.2节,作者 吴世忠 江常青 孙成昊 李华 李静,更多章节内容可以访问云栖社区“华章计算机”公众号查看

    2.2 我国信息安全保障工作主要内容

    为构建信息安全保障体系,我国已经在信息安全标准化、应急处理与信息通报、等级保护、风险评估和人才队伍建设等方面展开工作,并取得了一些成果。

    2.2.1 信息安全标准化

    信息安全标准为信息安全保障各项工作提供规范,为保障工作的各参与方提供交流和评判的基准,因此,信息安全标准化是国家构建信息安全保障体系的重要基础环节。
    1.?意义
    信息安全标准化工作是我国信息安全保障工作的重要组成部分之一,也是政府进行宏观管理的重要依据,同时也是保护国家利益、促进产业发展的重要手段之一。虽然国际上有很多标准化组织研究制定了多个信息安全标准,但是由于信息安全标准事关国家安全利益,因此不能过分依赖于国际标准,而是要在充分借鉴国际标准的前提下,通过本国组织和专家制定出符合本国国情并可以信任的信息安全技术和管理等领域的标准,切实有效地保护国家利益和安全。
    信息安全标准是解决信息安全产品和系统在设计、研发、生产、建设、使用和测评中的一致性、可靠性、可控性、先进性和符合性的技术规范与依据。信息安全保障体系的建设是一个极其庞大的复杂系统,没有配套的安全标准,就不能构造出一个可用、实用的信息安全保障体系。信息安全标准化建设作为我国信息安全保障体系的重要组成部分,具有极其重要的意义。
    信息安全标准化工作是解决信息安全问题的重要技术支撑,其作用突出地体现在能够确保有关产品、设施的技术先进性、可靠性和一致性。在按国际规则实行IT产品市场准入时能够为相关产品的安全性合格评定提供依据,以强化和保证我国信息化的安全产品、工程、服务的技术自主可控。
    2.?实践历程
    目前,国务院授权在国家质量监督检验检疫总局管理下,由国家标准化管理委员会统一管理全国标准化工作,下设有529个专业技术委员会。中国标准化工作实行统一管理与分工负责相结合的管理体制,由88个国务院有关行政主管部门和国务院授权的有关行业协会分工管理本部门、本行业的标准化工作,由31个省、自治区、直辖市政府有关行政主管部门分工管理本行政区域内本部门、本行业的标准化工作。
    1984年7月,在我国的全国计算机与信息处理标准化技术委员会下,建立了相应的数据加密分技术委员会,在国家技术监督局和原电子工业部的领导下,归口管理国内外的信息技术数据加密的标准化工作。1997年8月,随着信息技术的发展和工作范围的扩大,在原数据加密分委员会的基础上,改组成立了信息技术安全分技术委员会(与国际ISO/IEC JTC1/SC27信息技术的安全技术分委会对应)。它是一个具有广泛代表性、权威性和军民结合的信息安全标准化组织,其工作范围是负责信息和通信安全的通用框架、方法、技术和机制的标准化,归口国内外对应的标准化工作。2002年4月,经国家标准化管理委员会批准,全国信息安全标准化技术委员会(简称“信安标委”,委员会编号为TC260)正式成立。
    信安标委成立后,逐步形成“基础性研究——标准预研——标准制定”3个阶段波浪式的标准研制新模式,以工作组为主体开展信息安全标准的研究制定工作。工作组由国内信息安全技术领域的有关部门、研究机构、企事业单位及高等院校等代表组成,是标准研制的技术力量。目前正式成立了信息安全标准体系与协调工作组(WG1)、涉密信息系统安全保密工作组(WG2)、密码工作组(WG3)、鉴别与授权工作组(WG4)、信息安全评估工作组(WG5)、通信安全工作组(WG6)和信息安全管理工作组(WG7)7个工作组。
    信安标委制定形成了我国信息安全标准体系框架,并以该标准体系框架作为指导我国信息安全标准制订工作的指导性技术文件,围绕信息安全保障体系建设,积极开展了配套标准的研究制定工作。
    除全国信息安全标准化委员会、公安部信息系统安全标准化技术委员会、中国通信标准化协会网络与信息安全技术工作委员会3个专业性信息安全标准化组织外,我国其他有关主管部门和地方政府也发布了部分信息安全行业标准或地方标准。

    2.2.2 信息安全应急处理与信息通报

    发生信息安全事件可能造成严重损失和恶劣社会影响,我国非常重视信息安全事件管理。应急处理与信息通报是信息安全事件管理的重要内容。加强信息安全应急处理与信息通报是信息安全保障实践活动的重要内容,能够提高安全事件的整体应对能力。
    1.?意义
    国家信息基础设施安全应急保障工作是国家信息安全保障体系建设的重要组成部分。建立健全应急处理与信息通报机制依赖于建设和完善信息安全监控体系,提高网络安全事件应对和防范能力,防止有害信息传播。因此,高度重视信息安全应急处置工作,健全信息安全应急指挥和安全通报制度,不断完善信息安全应急处置预案,具有十分重要的意义。
    1)信息安全应急处理与信息通报工作是国家信息安全保障工作的基本制度和重要措施。
    建立国家网络与信息安全通报机制,有利于各部门、各领域实现信息交流与共享,综合分析安全威胁和安全状况,做好信息安全预警和防范工作,提升对信息安全事件的快速反应和整体应对能力,保证应对措施的及时性和有效性;有利于国家调动和整合各领域的有利资源,迅速、全面掌握整体情况,及时做出决策部署;有利于全社会增强安全防范意识,共同参与信息安全保障工作。因此,建立国家网络与信息安全通报制度,是国家信息安全保障工作的基本制度和重要举措。
    2)信息安全应急处理与信息通报工作有利于提高基础信息网络与重要信息系统的信息安全防范、保障能力。
    建立国家网络与信息安全信息通报制度,能够及时、全面地收集、汇总各方面的网络与信息安全信息,经过综合研判分析,提出对策、建议并及时通报基础信息网络和重要信息系统,为事件发生单位提供对策和技术支持,为其他单位提供预警信息,从而协助基础信息网络和重要信息系统全面掌握国内、外网络与信息安全政策和技术动态,有针对性地制定和实施安全防范措施,增强网络与信息安全防范、保障能力,确保涉及国计民生的基础信息网络和重要信息系统的安全。
    3)信息安全应急处理与信息通报工作有助于加强国家网络与信息安全应急处置工作。
    建立国家网络与信息安全通报制度,能够在发生重大网络与信息安全事件时,在国家网络与信息安全协调小组和成员单位之间以及各成员单位之间,建立畅通的信息交流渠道,全面收集事件的相关情况,及时上报协调小组,同时将协调小组的预警命令和决策部署下达到成员单位,做好预警和防范工作,建立健全国家信息安全应急处置协调机制和指挥调度机制,提高对网络与信息安全事件的快速反应和整体应对能力,保证应急处置措施的及时性和有效性,确保国家基础信息网络和重要信息系统的安全。
    2.?实践历程
    信息安全应急保障体系包括组织机构、标准法规、支撑系统和运行能力4个方面。组织机构是负责国家信息基础设施安全应急处理与通报工作的主体;标准法规是实施国家信息基础设施安全应急处理与通报工作的行为准则和技术标准;支撑系统是支持国家信息基础设施安全应急处理与通报工作实施的技术手段;运行能力是组织机构按照标准法规、利用支撑系统处置国家信息基础设施安全应急事件的能力。
    (1)信息安全应急处理机制的建立
    2000年,我国成立了国家计算机网络应急技术处理协调中心(National Computer network Emergency Response technical Team Coordination Center of China,CNCERT/CC)、国家计算机病毒应急处理中心和国家计算机网络入侵防范中心,建立了最早的技术合作雏形。后来根据在2001年应对一系列大规模网络安全事件中得到的经验教训,这个合作体系又扩大到各骨干互联网运营单位。扩展后的合作体系使我国对大规模网络安全事件的应急响应效率和能力有了极大的提高。自2003年起,各部门都开始制定与互联网相关的应急预案,开始重视应急协调预案和不同部门间的协调。根据新的网络安全威胁特点,这个体系在2004年又进行了进一步的扩展和调整,形成了我国公共互联网络应急处理体系,以便发挥政府、产业界、专业组织、研究机构和安全企业等方面的作用,在中央和地方组成的核心框架下,形成有机整体,使网络安全事件的预防、应对能力均得到更全面、更有效的加强。
    我国的应急响应机构包括CNCERT/CC、中国教育和科研计算机网紧急响应组(China Education and Research Network Computer Emergency Response Team,CCERT)及其他专业性的组织。CNCERT/CC由工业和信息化部(以下简称“工信部”)互联网应急处理协调办公室直接领导,负责协调我国各计算机网络安全事件应急组(Computer Emergency Response Team,CERT),共同处理国家公共互联网上的安全紧急事件,为国家公共互联网、国家主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急和防范等安全服务和技术支持,及时收集、核实、汇总和发布有关互联网安全的权威性信息,组织国内计算机网络安全应急组织进行国际合作和交流。CCERT是中国教育和科研计算机网CERNET专家委员会领导之下的一个公益性的服务和研究组织,从事网络安全技术的研究和非营利性质的网络安全服务。目前,CCERT的应急响应体系已经包括CERNET内部各级网络中心的安全事件响应组织或安全管理相关部门,是一个由30多个单位组成、覆盖全国的应急响应组织。其他专业性的应急组织还包括国家计算机病毒应急处理中心、国家计算机网络入侵防范中心、国家863计划反计算机入侵和防病毒研究中心。
    (2)信息安全通报机制的建立
    网络信息的安全保障和应急处置涉及多个部门、多个层次,需要建立和规范对影响网络与信息安全的事件的发现、分析、通报、预警以及处置的工作机制,以便统一发布危害警报,统一协调行动。协同加强安全防范,确保一旦发生大规模病毒感染、网络攻击及其他网络信息安全事件时,能够及时有效处置,减少危害损失和影响范围。
    根据“谁主管、谁负责;谁经营,谁负责”的原则,强化各个部门的信息汇总和研判工作,在国家网络与信息安全协调小组的领导下,形成跨部门的网络与信息安全有关信息的共享机制。坚持政府主导,充分发挥社会中介的作用。采用分类、分级的处理方式,规范网络与信息安全的预警和通报工作,及时有效地化解安全风险。
    “分类、分级”的预警与通报机制由公安部负责协调小组成员单位和各重要信息系统主管部门的网络与信息安全信息汇总和反馈工作。发生网络信息安全事件后,协调小组成员单位和各重要信息系统主管部门除按正常渠道上报外,必须及时通知公安机关,公安部在综合分析后,及时将研判结果通报各有关单位。公安部公共信息网络安全监察部门,面向全国接受网络与信息安全方面的报警,组织对计算机安全犯罪行为的调查和打击,研究并提出相应的应对措施,分析研判信息安全问题的性质、危害程度和可能的影响范围,必要时向政府机关、科研单位和网络营运管理部门发布安全预警信息。发生网络安全事件后,各部门、各单位、各网络运营单位和社会公众有义务及时向各级公安机关报告。
    工信部负责基础电信网络和互联网的网络与信息安全事件通报,通过CERT的协作机制,接受网络与信息安全事件报告,分析研判信息安全事件的性质和危害程度,研究提出相应的对应措施,组织技术应急,面向基础电信网络和互联网发布预警信息。
    国家网络与信息安全协调小组办公室将定期对国家网络与信息安全的总体形势进行综合研究和会商,研究提出相应的管理和技术政策建议,并向国务院报告。出现可能影响社会稳定和国民经济正常运行的网络与信息安全威胁时,随时组织会商,及时报告。

    2.2.3 信息安全等级保护

    实施信息安全等级保护能够针对不同系统有效实现恰当保护,提供所需级别的保护能力,是我国在相应法规、政策和标准的基础上推行的一项重要信息安全保障工作。
    1.?意义
    近年来,党中央、国务院高度重视,各有关部门协调配合、共同努力,我国信息安全保障工作取得了很大进展。但是从总体上看,我国的信息安全保障工作尚处于起步阶段,基础薄弱,水平不高,存在以下突出问题:信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信息安全监督管理缺乏依据和标准,监管措施不到位,监管体系尚待完善。随着信息技术的高速发展和网络应用的迅速普及,我国国民经济发展和社会信息化进程全面加快,信息系统的基础性、全局性作用日益增强,信息资源已经成为国家经济建设和社会发展的重要战略资源之一。保障信息安全,维护国家安全、公共利益和社会稳定是当前信息化发展中迫切需要解决的重大问题。
    实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统的指导和服务,有效控制信息安全建设成本;有利于优化信息安全资源的配置,对信息系统实施分等级保护,重点保障基础信息网络和关系国家安全、经济命脉和社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适合社会主义市场经济发展的信息安全模式。
    实行信息安全等级保护,本质上就是要明确重点、确保重点。首先是要明确重点,在国家层面,这个重点就是那些关系国家安全、经济命脉、社会稳定的基础网络和重要信息系统。对于部门、地方和企业而言,也应根据实际确定自己的保护重点。其次,在系统定级的基础上,还要综合平衡信息安全风险和建设成本,进一步确定重点部位,将有限的资源用到最急需、最核心的地方,根据安全等级进行建设和管理,确保核心系统安全。最后,实行等级保护要坚持从实际出发。我国的信息化发展不平衡,东中西部差异较大,不同部门、不同地区信息化所处的发展阶段不同,面临的信息安全风险和信息安全需求也不一样。因此,在信息安全保障中必须从实际安全需求出发,不能片面追求“绝对安全”,搞不计成本的安全,也不能搞一刀切、上下一般粗、全国一个模式。必须区分轻重缓急,根据不同等级、不同类别、不同阶段,突出重点,将有限的资源用到最急需保障的地方。这也是实事求是思想路线在信息安全保障工作中的具体体现。
    信息安全等级保护是国家信息安全保障的基本制度和方法,开展信息安全等级保护工作是促进信息化发展,保障国家信息安全的重要举措,也是我国多年来信息安全工作的经验总结。开展信息安全等级保护,就是要解决我国信息安全面临的威胁和存在的主要问题,有效体现“适度安全、保护重点”的目的,将有限的财力、物力和人力投入重要信息系统安全保护中,按标准建设安全保护措施,建立安全保护制度,落实安全责任,加强监督检查,有效提高我国信息和信息系统安全建设的整体水平。
    2.?实践历程
    1994年2月18日,《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)发布,以国务院行政法规的形式正式确定对我国境内的计算机信息系统实行安全等级保护制度,明确公安部作为主管单位,对具体工作从法律上做了明确规定,由公安机关负责国家信息安全等级保护工作的监督、检查和指导,公安部会同有关部门制定安全等级划分标准和保护的具体办法,公安部根据本条例制定实施办法。
    (1)研究制定等级保护的准则、规范和标准
    1999年,GB 17859—1999《计算机信息系统安全保护等级划分准则》(以下简称《划分准则》)发布。这是一部强制性国家标准,它既是一部技术法规,也是等级保护的重要基础标准,它从功能上把信息系统的安全等级划分为5个级别的安全保护能力。随后,国家先后颁布了多部信息安全等级保护相关标准,逐步形成等级保护标准体系。
    (2)强化等级保护
    为了进一步贯彻落实27号文件精神,推动等级保护工作,2004年9月15日,公安部会同国家保密局和国信办共同研究制定《关于信息安全等级保护工作的实施意见》(公通字[2004]66号,以下简称《实施意见》),把等级保护确认为国家信息安全的基本制度和根本方法,明确了信息安全等级保护的建设原则、工作要求、实施计划,对信息等级保护工作做了更加具体的明确,把等级保护提到一个新的高度。2005年《实施意见》下发,等级保护工作全面启动。
    2005年9月15日,国信办正式发布《电子政务信息安全等级保护实施指南(试行)》(国信办[2005]25号)(以下简称《实施指南(试行)》),着重阐述了电子政务信息安全等级保护的基本概念、工作方法和实施过程,供各级党政机关在新建和已建电子政务系统中开展信息安全等级保护工作参考。
    (3)开展等级保护基础调研
    2005年底,公安部和国信办联合印发了《关于开展信息系统安全等级保护基础调查工作的通知》(公信安[2005]1431号),就此拉开2006年信息安全等级保护工作的序幕。2006年1月17日,根据《实施意见》,公安部、国家保密局、国家密码管理局和国务院信息化工作办公室(以下简称“国信办”)联合发布《关于印发〈信息安全等级保护管理办法(试行)〉的通知》(公通字[2006]7号),于2006年3月1日起实施。
    2006年5月20日,信息安全等级保护基础调查工作初步完成,共调研了涉及各级财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业、公用通信和广播电视传媒等4897个信息系统。
    (4)开展等级保护试点工作
    2006年5月19日,由公安部副部长任组长,公安部、国家保密局、国家密码管理局和国信办有关领导为成员的国家等级保护工作协调小组召开了第一次会议。信息产业部、广电总局、铁道部、人民银行、海关总署、国税总局、民航总局、国家电网公司、证监会和保监会等国家基础信息网络和重要信息系统主管部门的有关领导参加了本次会议。2006年6月6日,公安部、国家保密局、国家密码管理局和国信办联合正式下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号),确定从2006年7~10月组织开展信息安全等级保护试点工作。
    (5)开展等级保护定级工作,等级保护获得快速推进
    2007年6月22日,公安部、保密局、密码管理局和国信办四部委联合正式下发《关于印发〈信息安全等级保护管理办法〉的通知》(公通字[2007]43号),标志着信息安全等级保护工作的正式实行。该管理办法正式确定了信息安全等级保护制度的基本内容及各项工作要求,进一步明确了国家、公民、法人和其他组织在等级保护工作中的责任和义务,各职能部门在信息安全等级保护工作中的职责分工,以及信息系统运营使用单位、行业主管部门的安全保障法律责任。
    公安部、国家保密局、国家密码管理局和国信办于2007年7月26日联合下发《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),部署各省、自治区、直辖市公安、保密、密码管理、信息化领导小组办公室以及中央和国家机关各部委相关部门组织开展重要信息系统安全等级保护定级工作。

    2.2.4 信息安全风险评估

    重视信息安全风险评估是信息化发达国家的重要经验,作为风险评估先驱者的信息化发达国家越来越重视信息系统风险评估工作。早在20世纪70年代初期,美国政府就提出了风险评估的要求,要求联邦政府部门依据信息和信息系统所面临的风险,根据信息丢失、滥用、泄露和未授权访问等造成损失的大小,制订、实施和维持信息安全计划,以保证信息和信息系统的适度安全。2002年颁布的《2002联邦信息安全管理法》对信息安全风险评估提出了更加具体的要求,指定联邦管理和预算办公室(Office of Management and Budget,OMB)督促这项工作,要求各联邦机构周期性地评估各自信息和信息系统的未授权访问、信息泄露、服务中断和系统破坏所造成的风险和危害,周期性地测试信息安全措施和技术的有效性。
    2006年6月,美国国土安全部正式发布了《国家基础设施保护计划》(National Infrastructure Protection Plan,NIPP)。NIPP是美国国土安全框架的一个关键要素,它是建立于一系列国家战略之上,包括2002年7月发布的《国土安全战略》,2003年2月发布的《关键基础设施和重要资产物理保护的国家战略》,2003年2月发布的《保护网际空间国家战略》,以及2003年12月发布的第7号国土安全总统令。从NIPP和这一系列美国国家战略中可以看出,以风险管理框架为基础开展风险评估工作,已经成为美国等西方发达国家保障关键基础设施和重要资源,从而保护国土安全的一个核心要素和重要手段。
    1.?意义
    信息安全风险评估是信息安全保障体系建立过程中一种重要的评价方法和决策机制,在信息安全保障体系建设中具有不可替代的地位和重要作用。信息安全风险评估是信息安全保障的基础性工作,它既是明确安全需求、确定安全保障重点的科学方法和手段,又是信息安全建设和管理的重要保证。没有准确及时的风险评估,各个机构无法对其信息安全的状况做出准确的判断。
    风险评估工作的目的是为国家信息化发展服务,促进信息安全保障体系的建设,提高信息系统的安全保护能力。目前,国家关键基础设施对信息系统的依赖性越来越强,因此,许多重要信息网络和重要信息系统单位开展信息安全风险评估的需求越来越迫切,一些大型应用行业在考虑信息系统建设的布局时,已经在信息安全评估、咨询和规划方面投入了实质性的资金支持。现阶段,风险评估工作的主要任务是要认清信息安全环境和状况,采取和完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性。
    风险评估工作的意义和作用,具体体现在以下几个方面。
    (1)信息安全风险评估是信息安全建设的起点和基础
    信息安全风险评估是科学分析信息和信息系统在保密性、完整性和可用性等方面所面临的风险,揭示一个组织机构的风险状况,并提出改进风险状况的建议的工作。只有在正确、全面认识风险后,才能在控制风险、减少风险、转移风险和接受风险之间做出正确的判断,才能决定调动多少资源,采取何种应对措施去化解、降低风险。所有信息安全建设和管理都应该是基于信息安全风险评估的结果,只有这样,信息安全建设才能做到从实际出发,坚持需求主导、突出重点,以最小的代价去最大程度地保障安全。
    风险评估既是实施信息系统安全等级保护的前提,又是信息系统安全建设和安全管理的基础工作。通过风险评估,能及早发现和解决问题,防患于未然。当前,尤其迫切需要对我国基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统进行持续的风险评估,随时掌握其安全状态,及时采取有针对性的应对措施,为建立全方位的国家信息安全保障体系提供服务。通过风险评估可以有助于认清信息安全环境和信息安全状况,明确信息化建设中各级的责任,采取或完善更加经济有效的安全保障措施,保证信息安全策略的一致性和持续性,进而服务于国家信息化的发展,促进信息安全保障体系的建设,全面提高信息安全保障能力。
    (2)信息安全风险评估是信息安全建设和管理的科学方法
    信息系统的安全性取决于系统的资产、脆弱性和威胁等多种安全要素,这些要素之间的关系以及与系统环境的关系。资产包括设备、软件、数据以及人员等,脆弱性包括系统自身在结构上、管理上和技术上的弱点和不足,威胁有自然威胁与人为威胁、内部威胁与外部威胁等,包括病毒传播、黑客攻击、网络窃密等。风险评估提供了这样一种科学的方法,它将系统的风险理论应用于某一组织的具体生产运营环境,使组织的管理层和决策层能了解组织信息安全的客观状况,基于对现状的了解,才能做出后续信息安全相关建设的正确决策。
    (3)风险评估实际上是在倡导一种适度安全
    从理论上讲,不存在绝对的安全,风险总是客观存在的。风险评估并不追求零风险,不计成本的绝对安全,或者试图完全消灭风险。信息安全风险评估要求在认清风险的基础上,决定哪些风险是必须要避免的,哪些风险是可以容忍的。也就是说,信息安全风险评估要求组织的管理者在风险与成本之间寻求一个最佳平衡点,这体现了适度安全的原则。
    2.?实践历程
    在我国,实施信息安全风险评估已有十余年。国家政策性文件《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)对信息安全风险评估工作的重视,促使我国的信息安全风险评估工作开始进入快车道。为贯彻国家政策对风险评估工作的要求,2003年,国信办成立课题组,启动了信息安全风险评估工作。课题组通过调研、标准编写和试点3个阶段的工作,先后对北京、广州、深圳和上海4个地区十几个行业的50多家单位进行了深入细致的调查与研究。在调查研究的基础上,课题组撰写了《信息安全风险评估调查报告》和《信息安全风险评估研究报告》,全面介绍信息安全风险评估的基本概念、基本理论和基本方法,阐述了信息安全风险评估的意义以及在我国推动信息安全风险评估工作的具体建议。
    2004年1月9日,全国信息安全保障工作会议在北京召开,该会对风险评估工作提出了明确要求,要“抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范,并组织力量提供技术支持。根据风险评估结果,进行相应等级的安全建设和管理,特别是对涉及国家机密的信息系统,要按照党和国家有关保密规定进行保护。对涉及国计民生的重要信息系统,要进行必要的信息安全检查。”2004年3~9月,国家信息中心组织国内二十多家单位,编制完成了《信息安全风险评估指南》、《信息安全风险管理指南》等标准规范草案。
    2005年2~8月,国务院信息办在北京市、上海市、黑龙江省、云南省、人民银行、税务总局、国家电网公司、国家信息中心等地方、部门和单位组织开展了国家基础信息网络和重要信息系统信息安全风险评估试点工作,进一步完善两个标准草案并验证两个标准草案的可用性,为全面推广信息安全风险评估工作,出台信息安全风险评估相关政策文件进行了实践探索。开展风险评估试点工作显著提高了试点单位信息安全防护和管理水平,探索了风险评估工作的基本规律和方法,检验并完善了有关标准,培养和锻炼了人才队伍。
    2005年12月16日,国家网络与信息安全协调小组正式通过了《关于开展信息安全风险评估的意见》,于2006年1月正式发布,标志着我国将开始在全国范围内,尤其是基础信息网络和重要信息系统,推进信息安全风险评估工作,使信息安全风险评估工作在实践中更加深入。该意见明确关系国计民生和社会稳定的基础信息网络和重要信息系统的信息安全风险评估技术服务由国家专控队伍承担。中国信息安全测评中心和国家信息技术安全研究中心是国家信息安全风险评估专控队伍。自2006年起,每年国信办都组织风险评估专控队伍对全国基础信息网络和重要信息系统进行检查。2006年3月7日,国信办分别在北京、云南组织召开了全面推进信息安全风险评估工作的宣贯会,由此拉开我国分步全面推广信息安全风险评估工作的序幕。
    2007年发布的GB/T 20984—2007《信息安全风险评估规范》和2009年发布的GB/Z 24364—2009《信息安全风险管理指南》,使我国的风险评估和风险管理工作更趋规范。

    2.2.5 灾难恢复

    灾难恢复能力是信息安全保障能力的重要组成部分。灾难性事件的破坏力是巨大的,然而最近几年,灾难性事件频发,由此导致很多关键业务系统中断,造成严重后果。确保灾难过后关键业务能在较短时间内恢复是信息安全保障工作的目标之一。灾难恢复规划是实现业务连续性的重要步骤,是信息安全保障实践的重要内容。
    1.?意义
    灾难恢复是指将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从不正常状态恢复到可接受状态而设计的活动和流程。
    当前,信息系统灾难恢复工作已经引起了国家、社会和单位的高度重视。灾难恢复是单位保持业务连续运作的需要,长期可持续发展的要求。它是单位加强风险管理,提高市场竞争力的重要手段,同时也是保证国家安全、人民利益、社会稳定和经济发展的需要。国内、外一系列已经发生的信息安全事件表明,如果没有应对灾难的准备和一定的恢复能力,重要信息系统一旦发生重大事故或者遭遇突发事件,将严重影响国民经济发展和社会稳定。灾难恢复是为高风险、低概率事件所准备的。在一般情况下,灾难恢复资源处于闲置状态,但当灾难来临时,若灾难备份中心不能正常发挥作用,将对单位和社会造成巨大的损失和影响。而信息系统灾难恢复管理是信息安全保障的重要组成部分,灾难恢复建设是现有信息系统安全保护的延伸,承载灾难恢复系统建设的灾备中心是保障信息安全的重要基础设施。灾难恢复是整个信息安全应急工作的一个重要环节,是信息安全综合保障的最后一道防线。我国政府高度重视重要信息系统的灾难备份和灾难恢复工作,出台了有关政策和指南。
    2.?实践历程
    20世纪90年代末期,一些单位在信息化建设的同时,开始关注数据的安全保护,进行数据的备份和恢复。但当时,无论从灾难恢复理论水平、重视程度、从业人员数量和质量,还是技术水平方面都很不成熟。
    2000年的“千年虫”事件和2001年的“9•11”事件引发了国内对信息系统灾难的集体性关注。随着国内信息化建设的不断完善,以及数据大集中的开展,国家对灾难恢复工作高度重视,越来越多的单位和部门认识到灾难恢复的重要性和必要性,开展灾难恢复建设的时机已基本成熟。
    2002年4月,银监会颁布了《商业银行内部控制指引》,其中第八章《计算机信息系统的内部控制》第一百一十七条指出:建立和健全计算机信息系统风险防范的制度,确保计算机信息系统设备、数据、系统运行和系统环境的安全;第一百三十一条中明确规定:商业银行应当建立计算机安全应急系统,制订详细的应急方案,并定期进行修订和演练。数据备份应当做到异地存放,在条件允许时,应当建立异地计算机灾难备份中心。2002年8月,人民银行下发的《中国人民银行关于加强银行数据集中安全工作的指导意见》中明确规定:“为保障银行业务的连续性,确保银行稳健运行,实施数据集中的银行必须建立相应的灾难备份中心”。
    2004年9月,国信办印发了《关于做好重要信息系统灾难备份工作的通知》(信安通[2004]11号),对做好国家重要信息系统灾难备份工作的主要目标、基本原则和近期任务提出了明确要求。文件强调了“统筹规划,资源共享,平战结合”的灾备工作原则。为进一步推动8个重点行业加快实施灾难恢复工作,国信办于2005年4月下发了《重要信息系统灾难恢复指南》(以下简称《指南》),指明了灾难恢复工作的流程,灾备中心的等级划分及灾难恢复预案的制定,使得灾难恢复建设迈上了一个新的台阶。
    2006年,在《指南》工作组的基础上,成立了标准工作组,编写《信息系统灾难恢复规范》(以下简称《规范》),编制任务由全国信息安全标准化委员会下达,由中国信息安全测评中心承担。2007年6月14日《规范》正式发布,编号为GB/T 20988—2007,这是我国灾难恢复行业第一部国家标准。
    除了国家政策上的支持,近年来,各行业为了提高信息系统的可靠性,也逐步展开了信息系统的灾难恢复建设。随着各单位对灾难恢复重视程度的提高,相关管理办法和规范陆续出台,2004年,中国灾难恢复市场开始初具规模。目前,深圳市已经开始建设灾备中心,北京、上海、广州和杭州等地方政府正在研究建设灾备中心。有关部委也在启动灾难恢复工作,海关总署已建成灾备中心,其他一些单位的灾备中心也在建设或规划中。
    2005年5月和2006年7月,在国务院信息办的指导下,中国信息产业商会信息安全产业分会分别在广东南海和北京成功举办了灾难恢复行业高层论坛和研讨会,对中国灾难恢复行业有序、健康发展起到了积极推动作用。
    2.2.6 人才队伍建设
    构建信息安全保障体系的各项工作,都需要具有相应信息安全知识和技能的人员来推动。然而,信息安全人才短缺却是当前我国信息安全保障工作面临的主要问题之一。针对这一现状,国家已经先后在多个政策和规划当中提出加快加强信息安全人才队伍建设的要求。
    1.?意义
    在整个信息安全保障工作中,人是最核心、最活跃的因素,信息安全保障工作最终也是通过人来落实的。因此,加快信息安全人才培养体系建设是发展我国信息安全保障体系必备的基础和先决条件。
    多年来,国家高度重视我国信息安全人才队伍的培养和建设。2003年9月,中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003] 27号),针对信息安全人才建设与培养工作提出了“加快信息安全人才培养,增强全民信息安全意识”的指导精神。2010年4月6日,中央军委印发《关于加强新形势下军队信息安全保障工作的意见》,意见提出要加强信息安全人才队伍建设,抓好专业力量训练和组织运用,要充分发挥广大官兵在信息安全防护中的主体作用,采取多种形式开展信息安全教育,进一步增强信息安全意识。2012年5月,国务院常务会议发布了《关于大力推进信息化发展和切实保障信息安全的若干意见》,明确提出加强宣传教育和人才培养,开展面向全社会的信息化应用和信息安全宣传教育培训。
    我国培养信息安全人才以建成国家信息安全保障体系为目标,明确信息安全人才培养的使命,把培养信息安全高级人才与信息安全的普及教育相结合,提高公民的信息安全意识。在加强学科教育的同时,加大信息安全职业培训的规模,满足社会信息化发展的需求。
    2.?实践历程
    2005年,教育部发布《教育部关于进一步加强信息安全学科、专业建设和人才培养工作的意见》,从加强信息安全学科体系研究、信息安全硕士和博士点建设、稳定信息安全本科专业设置和建立信息安全继续教育制度等十个方面提出了指导性意见。2007年我国成立了“教育部高等学校信息安全类专业教学指导委员会”,进一步促进了高校的信息安全学科建设。
    1999~2012年,我国已有80余所高校建立了信息安全本科专业,每年培养信息安全类专业本科毕业生近万人,信息安全学科建设和人才培养进入热潮阶段。从2001年武汉大学创建全国第一个信息安全本科专业,到北京大学软件与微电子学院宣布正式成立信息安全系,各高校在互联网安全监察、等级保护、风险评估、网络攻防、内容安全、数字版权保护、安全策略管理、安全系统设计与监理、计算机犯罪取证、安全标准与管理规范等多个方面形成了信息安全工程硕士的培养体系,并已经向政府立法、执法、监管和广大企、事业单位输送了大批专门人才。我国信息安全专业教育已基本形成了从专科、本科、硕士、博士到博士后的正规高等教育人才培养体系。
    除正规大学教育外,我国信息安全非学历教育已基本形成了以各种认证为核心,辅以各种职业技能培训的信息安全人才培训体系。这种培训认证是提高信息安全从业人员整体水平,解决信息安全专业人才缺口的重要方法和途径。目前,我国信息安全认证培训主要是政府相关部门的认证,如中国信息安全测评中心的“注册信息安全专业人员”(Certified Information Security Professional,CISP)资质认证;以及一些信息安全企业认证,如微软、思科等。这些都对提高信息安全专业人员的理论和技术水平,提升信息安全产业的竞争能力,强化国家信息安全管理起到了重要作用。
    然而,我国现有信息安全人才培养状况尚不能满足国家政府部门、基础信息系统和网络等关系到国计民生的重要部门与行业的需求。一方面,国内每年对信息安全人才的需求量高达数十万,今后一段时间,还将持续增长,而人才供给(包括学历教育和在职教育)每年不到3万人,在未来一段时间内,信息安全从业人员的数量同社会实际需求仍然存在较大缺口。另一方面,信息安全人才综合能力要求高,知识更新快,而当前我国信息安全教育应用实践性不足,难以满足用人单位的深层次、个性化要求。

    展开全文
  • 如何做好版本交付工作

    千次阅读 2009-06-21 12:58:00
    在公司接手版本交付工作以来,已经有3个月时间,每每总想到底如何才能更好的做好版本交付工作?恩,先简单介绍一下版本交付的种类吧:公司内部组件、模块版本的交付;公司内部产品版本的研发测试之间的交付;公司...

    在公司接手版本交付工作以来,已经有3个月时间,每每总想到底如何才能更好的做好版本交付工作?

    恩,先简单介绍一下版本交付的种类吧:

    • 公司内部组件、模块版本的交付;
    • 公司内部产品版本的研发测试之间的交付;
    • 公司内部产品版本的开发同维护之间的交付;
    • 公司与公司之间协议软件版本交付;

    针对以上几种分类,再来看一下各种IT公司的表现:

    1. 个体小IT企业:几乎没有组件模块集成,就只是几个人端到端的直接就形成产品,然后再简单的自己维护或者好点的公司有服务器、版本啥的维护工作,只表现在第三类,这类公司如:小型互联网公司等;
    2. 独立电子产品的IT企业:主营电子产品的IT企业,其电子产品涉及:硬件、UI、软件等各部分,小一点的公司只是研发自己直接形成产品的集成工作,大一点的企业,研发集成后,转交给测试部分,由测试部门测试再通过销售将产品销售出去,这样主要体现:前三类版本交付;
    3. 大型IT企业:公司有严格的部分职责划分:各组件、各模块、开发、测试、网上维护团队、系统解决方案等等各职责部门,同时大型IT企业的产品及产品版本也直接由公司同另外的客户签订协议来销售,同时保障版本被客户正常使用,这样涉及所有种类的版本交付;

    可能总结的不是很详细,但只是参考足矣!

     

    目前我负责的版本交付工作,主要体现在:

    • 我的上游是各模块组件版本的归档交付;
    • 我的下游是交付版本给测试部门、维护现网版本运行的状况,并跟踪解决出现的问题

    那么需要做好什么呢?总结了一下,从版本交付上看主要体现如下几点:

    1. 版本交付首先需要有一个版本计划;
    2. 需要总结版本交付各环节的时间,根据不同的版本(功能性不同导致各环节花费的时间也不同)调整交付的计划;
    3. 每个版本启动前,需要动员各模块、组件的相关责任人,使其了解本次版本交付的特点、特性、时间、制度等;
    4. 组件交付过程种,需要由组件版本交付的责任主体保障组件版本的质量、交付的时间;
    5. 组件模块交付到我们集成交付组后,需要根据特性、集成的目的,完成集成验证工作,需在质量、集成度、时间性等各方面把握;
    6. 完成集成的版本验证后,交由测试部门针对版本详细测试,对版本的正常、异常情况详细测试;
    7. 测试完成后,且结论是满足版本发布,需要将版本发布现网,通过销售等交付给客户;
    8. 在客户使用过程中,如果出现使用上的问题,反馈回来,需要组织分析解决,并重新进入另外的版本交付工作中。

    版本交付尤其是集成版本的交付工作,既要面向上游的各组件团队、又要接受下游客户的质疑等,承担特别重要的角色工作,需要严格把握:质量、时间。

     

    注:很久没上来唠叨,大家关于版本交付过程中由任何好的建议或者意见,请联系我:小新。

     

    展开全文
  • 如何做好售后服务

    万次阅读 2012-12-03 23:33:15
    如何做好售后服务   第一讲 售后服务工作的意义和注意事项 众所周知,这个一个服务取胜的时代,然而目前国内售后服务的现状却令人堪忧,因售后工作不到位导致产品滞销乃至品牌“破产”的事例屡见不鲜。如果...
  • 做好残疾人工作 维护社会和谐稳定

    千次阅读 2011-03-11 15:35:00
     会议指出,去年来,漳州市残疾人工作坚持以人为本,不断健全残疾人基本生活、医疗康复、社会参与、教育就业、权益保障等体系,取得了显著成效,涌现出了魏燕鹏、阮文发等一批杰出的残疾人代表,充分展示了...
  • 简介:为什么说双11是阿里每年技术保障稳定性最困难的一次?50多个BU一起加入双11,怎么组织和运营?为了保障双11的顺利进行,又有哪些备战方案以及创新技术?在由阿里云CIO学院主办的【2020中国企业数字创新峰会】...
  • 在上一期运维季刊中,我们谈到运维是一支需要有良好服务意识、具有高效执行力以保障产品稳定性为目标的技术团队。但是做好运维工作,并不只是一个理解运维工作的定义就够了,还有很多方面,这次站在新组建的运维团队...
  • 好的软件设计不是软件项目成功的唯一条件,但是没有好的设计软件项目肯定无法做好。  一、软件设计的重要性体现在以下几个方面:  1、软件设计在整个软件项目的建设中起着承上启下的重要作用。  从整个软件...
  • NFS服务器工作原理及权限设置

    千次阅读 2019-07-18 15:43:14
    一、NFS工作原理 1.1什么是NFS服务器 NFS就是Network File System的缩写,它最大的功能就是可以通过网络,让不同的机器、不同的操作系统可以共享彼此的文件(share files)。这个NFS服务器可以让PC将网络中的NFS...
  • 简短的做一下自我介绍,2012年入行,起初在中科曙光做云计算、云存储产品的测试开发工作,2015年转型移动互联网,加入美丽说负责跨端电商产品的质量保障。之后加入了百度外卖,主要负责用户产品及新零售产品的质量...
  • 如何做好项目的培训工作

    千次阅读 2018-12-12 10:29:19
    一、培训工作在项目实施中的作用 1.1培训工作的目的 在IT管理软件实施项目中,培训是贯穿整个...好的培训可以让用户熟练掌握实施方法,自主推动项目,增强对项目认同感,可以大大减少软件公司现场服务难度和时间,...
  • 文章发后,接受不少朋友的建议和意见,做了修改,现整理发给大家新版: ...要做好运维服务工作就得围绕用户满意度,推进“扎根”工作,“扎根”就是服务更加贴近用户实际,急用户所急,想用户所想,加强主动服务
  • 现在最新的CMMI将其对应的过程域称为产品和过程质量保证,缩写是PPQA,这里面的一个P产品包括了最终产物,但其焦点是中间工作产物,所以这个P放在这里反而是带来一些混淆,与测试存在一些重叠。所以过程质量保证...
  • 如何做好项目的验收工作

    千次阅读 2018-12-12 10:28:19
    我在整个项目经理技巧中都反复强调任何工作达到成效,并不在一时一地事情做到位,而是在平时工作积累中将事情细节做完善,做到位,很多想要的结果就自然达到了。 项目验收就是我们最想要达到的结果,一旦项目验收对...
  • 服务器运维的工作内容及职责

    万次阅读 2018-11-22 15:49:41
    服务器运维的日常工作: 1、负责服务器的硬件配置、软件安装、机房上下架等技术维护工作 2、负责虚拟化技术产品物理机配置、管理和日常运行监控和维护 3、负责独立主机或虚拟应用产品的开通使用、日常维护、故障诊断...
  • 运维的工作层次来分,又分为硬件运维、桌面运维、系统运维、数据库运维和应用运维。他们运维的设备,小的从个人电脑,大的到数以亿计的高精尖计算设备(比如大型机)。 根据公司IT系统规模的不同,运维团队小至1人,...
  • 苏宁在考察中强调,切实做好银行卡刷卡缴税系统推广应用工作,把金融创新深入持续开展下去,不断提升金融服务水平。 苏宁一行在湖南省地税局营业大厅现场观看了横向联网电子卡缴税的运行全过程。在充分肯了湖南省...
  • 服务器软件系统日常运维工作制度

    千次阅读 2018-11-22 15:47:38
    1、负责服务器的硬件配置、软件安装、机房上下架等技术维护工作 2、负责虚拟化技术产品物理机配置、管理和日常运行监控和维护 3、负责独立主机或虚拟应用产品的开通使用、日常维护、故障诊断和排除 4、提供独立主机...
  • 如何做好酒店财务管理工作(各部门经理必看) 以前说到酒店财务,大家就会想到记账、算账;说到酒店财务管理,大家同样会想到那是财务部的事,与其他部门没关系。而现代酒店财务管理则是酒店经营管理的核心,任何...
  • 运维工程师工作内容整理

    千次阅读 多人点赞 2019-11-06 15:29:19
    @# 运维工程师工作内容整理 总结两句话: 1、保障业务长期稳定运行(如网站服务器、游戏服务器等)。 2、保障数据安全可靠(如用户名密码、游戏数据、博客文章、交易数据等)。 由这两句话推演运维工程师要学些什么...
  • 俗话说:人强不如家伙强,多...近期,华为云推出一款客户端数据管理服务,帮助用户实现数据可视化直接管理,大幅提高工作效率。   华为云数据管理服务(Data Admin Service),简称 DAS,是一款专业的简化数据库...
  • 我们皆明白,游戏中虚拟的装备和道具实际上已经具备了商品的一般属性,如何切实做好信息安全的防范工作保障玩家的权益,已成为网游界广泛关注的问题。   根据调查显示网络游戏存在的主要安全隐患有如下几大类:...
  • 1. 重承诺、讲计划 (1)重承诺:对于用户的任何承诺,包括:服务的目标与级别要求、提供的资源或方案、应给予...(2)讲计划:工作计划是整个运维工作的龙头,工作计划依据公司要求及对用户的承诺而制定,各项运维
  • 社会保障卡加载金融功能总体方案

    千次阅读 2012-01-16 17:45:28
    为推动社会保障卡加载金融功能工作,规范具有金融功能的社会保障卡的发行和管理,促进具有金融功能的社会保障卡的应用,编制本方案。 本方案确定了具有金融功能的社会保障卡的技术实现方式、应用领域和发行管理模式...
  • 各省、自治区、直辖市人力资源社会保障厅(局),福建省公务员局,新疆生产建设兵团人事局、劳动保障局;中国人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各副省级城市中心支行;各国有商业...
  • 信息安全保障体系规划方案

    万次阅读 多人点赞 2018-06-21 17:04:59
    一、 概述1.1引言本文基于对XX公司信息安全风险评估总体规划的分析,提出XX公司信息安全技术工作的总体规划、目标以及基本原则,并在此基础上从信息安全保障体系的视角描绘了未来的信息安全总体架构。本文内容为信息...
  • 什么叫做服务器

    万次阅读 多人点赞 2019-03-15 09:54:39
    由于服务器需要响应服务请求,并进行处理,因此一般来说服务器应具备承担服务并且保障服务的能力。 服务器的构成包括处理器、硬盘、内存、系统总线等,和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 27,660
精华内容 11,064
关键字:

如何做好服务保障工作