在信息与通信技术(ICT)领域每天百万级的网络作业活动,成为网络稳定运行的重要影响因子。为此,各国从立法层面,对网络运营者及合作伙伴在作业管理方面提出了更高的要求。作业管理不仅成为企业网络稳定运行的基石,也对企业的长远发展具有重要意义。当前,作业管理在业界还没有统一的定义和标准,既需要加快行业共识和标准制定,也需要提升网络运营者及其合作伙伴的作业管理意识和能力,共同打造作业管理的安全生态。
近些年,因作业管理不善而导致的网络安全事故时有发生,给社会和网络运营者带来了不良影响。
ICT 领域网络安全问题对网络稳定运行提出了更高要求。ICT 领域作为国家信息基础设施的建设和运营的重要组成部分,与民生和社会发展越发密切。随着社会数字化程度的不断深入,数字技术与各行业加速融合,移动支付广泛普及,电子商务蓬勃发展,如果与这些相关联的网络连接突然中断或变差,人们生活将会受到巨大影响。在网络已经成为各行业发展基础中的基础的当下,断网带来的影响超乎想象,除了经济损失,还会危及生命安全甚至引发社会问题。
新业务新技术的发展对作业管理带来更高的挑战。以 5G 和云等为代表的新业务和新技术给 ICT 领域带来了新挑战。5G 凭借技术优势完善和加速了千行百业的数字化转型,实现了从人与人之间通信向人与物、物与物之间通信的最大改变。全球煤矿、钢铁、港口、制造等超过 20 个行业已经部署 5G 示范应用。随着 5G 等技术的发展以及网络规模的扩大,组网方式变得越来越复杂。5G对作业管理,包括网络操作中断时长、操作时间窗等提出了更高的要求。为了实现业务的灵活部署和资源调配,运营商打造以云为核心的基础网络。受限于现网规模、网络复杂程度等内外部因素,运营商网络云化重构面临诸多挑战。云化过程将面临海量的硬件替换、通信技术/信息技术(CT/IT)系统的差异、软件定义网络/网络功能虚拟化(SDN/NFV)的跨域编排、容器和微服务等不同模式、公有和私有以及传统与虚拟长期共存的局面,作业管理的复杂度更高。
不断完善的相关立法对网络运营者的要求更加明确。随着《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等法律法规的出台,不断健全的网络安全政策法规对网络服务提供者和运营者严格落实主体责任提出明确要求,并对违规违法行为做了清晰的定义和处罚标准,执法力度明显加大。除了普遍适用的法规外,各细分行业也陆续出台行业标准和规范。同时,很多企业根据网络安全建设和运维保障过程中的经验总结,发布企业网络安全相关的要求,为企业网络安全建设提供实践指导。
综上所述,网络稳定运行的影响面越来越大,相关方不仅关注 ICT 作业管理的结果,而且对 ICT 作业活动的过程提出了更高的管理要求。经过多年的实践和思考,华为总结提炼出了作业管理的框架和方法。
《辞海》中关于作业的定义是:为完成生产、学习等方面的既定任务而进行的活动。从该阐述可以看出,作业是一个很宽泛的概念,它主要是针对生产活动的。参考《辞海》定义,ICT 作业是指为完成和 ICT 网络相关的既定任务而进行的活动。作业活动始终伴随风险,而不受控的作业活动易导致非预期事件发生,需要进行管理。
有别于项目管理,ICT 作业管理是针对单次作业活动,用可记录、可追溯的方式,对 APC 要素集进行管控。在管理框架(如图 1 所示)中,授权方授予被授权方在其 ICT 网络作业的权力,被授权方按照 APC 要素集要求进行作业,APC 要素集包含:授权,过程管理(方案、行为和数据)和基础能力(人员、工具和流程)。
结合华为多年作业管理的实践和经验,可以总结提炼出 ICT 作业管理方法(如图 2 所示),通过对 ICT 作业管理风险和挑战的洞察,围绕 ICT 作业管理的框架和 APC 要素集建立规则,将规则固化到 IT,通过运营持续优化,支撑网络平稳运行。
1. 围绕 ICT 作业管理框架和 APC 要素集建立规则
第一,授权是所有作业管理的前提。授权范围包含所有作业活动,如接入网络、数据处理、网络操作等场景。授权形式须满足可追溯性原则,如授权函、电子邮件等。授权内容须包含关键要素,如授权方、被授权方、授权目的、授权范围等。
第二,过程管理是作业管理的核心。ICT 作业过程聚焦方案、行为和数据的管理。
方案是作业活动成功实施的基础。方案的管理分为风险评估、制作和评审三个阶段。风险评估阶段需要考虑授权方的关注度、影响范围、场景的复杂度等信息,量化风险等级。根据不同等级的风险,在进入不同的评审层级时,要做好端到端的风险管理。制作阶段严格把控方案质量,确保方案要素齐全,如方案的目的、范围、时间、影响、工具或软件、步骤、保障资源、倒回计划等。评审阶段开展技术评审和管理评审。技术评审负责方案技术的正确性;管理评审负责方案计划的有效性。
行为是作业管理的重点。行为管理就是确保在作业过程中的账号、接入、操作与授权一致。账号是重要的信息资产,包含接入账号、设备账号等。原则上,授权方是账号管理的主体,被授权方要按照要求,做好账号申请、使用、移交的生命周期管理。接入需要使用正规的接入平台或工具接入网络,满足可追溯性。对接入的过程进行管理和记录,如接入的时间、接入的方式等。需考虑远程接入的安全控制机制。操作分成操作前、操作中、操作后三个阶段。操作前,要求所有的操作都要纳入监控范围,做好预警和保障计划;操作中,严格按照方案操作,对照方案中的具体实施步骤与预期的结果,若操作异常需及时停止并报告;操作后,及时通报操作结果,并对操作结果做好持续监控。若操作失败,要及时组织回溯,对问题做持续改进。
数据是重要资产。数据处理需遵从授权,做好生命周期的管理。在采集阶段,要按照最小化原则进行采集,做好数据脱敏处理。在转移和存储阶段,需要重点关注数据存储的位置和转移目的地,做好数据跨境转移的风险管控。在使用阶段,严格按照授权目的使用,做好过程记录。在销毁阶段,需要按照授权有效期,到期销毁数据。
第三,基础能力是作业管理的底座。作业管理基础能力包含人员、工具和流程的管理。接触网络或数据的人员需要具备相应的资质,相关方须做好所有作业人员的资质管理。作业管理依赖工具提高效率、提升质量、减少风险。工具本身需满足安全要求,避免工具自身引入网络安全风险。作业管理最佳实践总结出的管理规则需要通过业务流程去承载,确保成功经验可复制。
为了支撑作业管理规则有效落地,基于作业管理框架和方法构筑作业管理 IT 架构(如图 3 所示),将 ICT作业管理规则固化到 IT。ICT 作业管理的 IT 架构包括授权平台、作业平台和运营平台,各自承担不同的任务。
授权平台集中管理授权,实现授权的申请、审批、存档,支撑授权在作业活动中的调用。
作业平台聚焦过程管理,包含方案中心、账号中心、实施中心等模块。方案中心支撑标准方案的制作、审批、存档,实现方案能力基于平台的持续构建和共享。账号中心支撑账号的申请、注册、使用和移交,实现账号生命周期的管理。实施中心支撑作业活动的申请、调度、实施和关闭。
运营平台支撑可视化管理,提取作业平台各中心的数据,生成可视化看板,支撑作业管理持续改进。
通过可视化的运营平台,对作业管理的设计和运行进行评价,识别作业管理的短板,如作业人员资质满足度、作业行为符合度等,驱动作业管理的框架、方法和落地执行的持续改进,形成正向循环。
华为的 ICT 作业管理遵从相应的框架和方法,以授权作为所有作业管理的前提,建设人员、工具和流程的基础能力底座,聚焦作业过程中方案、行为和数据的管理,通过规则、IT 和运营形成正循环,持续改进。
上述 ICT 作业管理的框架和方法在以往的实践中已经发挥了良好的作用。未来,华为将进一步完善 ICT 作业管理框架和方法,使其适应更加严格、更加复杂的作业管理需求,做好网络稳定运行的有效支撑。
![信息与通信技术领域作业管理浅析和思考]( "信息与通信技术领域作业管理浅析和思考")
原文始发于微信公众号(关键基础设施安全应急响应中心):信息与通信技术领域作业管理浅析和思考
评论