国津Ahoova助力航天六院实现各类信息系统维护标准化管理
中国航天推进技术研究院(中国航天科技集团公司第六研究院),是中国液体火箭发动机研制中心,是中国唯一的集运载火箭主动力系统、轨姿控动力系统及空间飞行器推进系统研究、设计、生产、试验为一体的专业研究院,被誉为航天液体动力“国家队”和“中国航天动力之乡”。研究院总部位于西安,成员单位分布于西安、北京、上海、武汉、呼和浩特。
基于 ITIL 标准,完成覆盖航天六院各级相关单位的集中、统一的信息管理系统的开发和建设工作,实现各种信息系统运行维护管理工作标准化管理。要求实现IT运维服务分级管理,各单位自上而下统一执行信息相关工作制度和流程;要求实现数据一次录入多处使用,各业务模块紧密关联,保证数据的一致性、准确性。建立规范的数据库,提供综合查询功能,并可生成分类统计报表。
IT运维服务管理系统提供如下功能:用户自助服务平台、事件管理、问题管理、变更管理、发布管理、配置管理、服务级别管理、知识库。
2、角色权限管理要求
要求角色定义灵活,权限管理可以到每个功能,每个人员根据角色和所属机构只能看到所管辖的机构数据。
要求角色权限要按照三元分立原则:
a)应用系统系统管理员实施的操作,如用户的创建、修改、注销、删除,系统参数的初始化,系统基础数据、业务流程、功能的定义等。
b)应用系统安全保密管理员实施的操作:如用户权限的分配、变更、回收,解除对用户的锁定,对审计日志(一般操作员和安全审计员的操作信息)执行的查询、导出操作。
c)应用系统安全审计员实施的操作:如审计日志的查询、导出、另存等操作。备注:安全审计员对系统管理员、安全保密员进行审计,其他普通操作用户不进行审计。
3、Ahoova项目简要历程
2018年4月开始、该项目由国津工程师Jax.Liu在现场实施;2018年8月客户正式试用并部署生产环境,三员分立研发与实施同时进行,8月底成功上线使用,12月10日通过国家保密机构安全测评。
4、Ahoova项目主要任务
第一、请求管理、问题管理、变更管理的流程、表单实施。
第二、组织结构与权限有效分配,角色定义与责任划分明确化,符合国家安全保密原则。
第三、完成与监控对接,配置告警请求推送对应工程师处理规则实现客户需求。
第四、保障信息系统环境安全可靠,不仅提升系统的运维服务水平,更能提升整体信息化应用环境的安全性,构建安全统一的运维体系。
第五、建立知识共享机制,将个人经验转换为企业知识,整体提升IT服务水准,确保服务质量,建全工作监控机制,使各级管理者可以随时了解所辖区域/部门的工作状态,以便及时发现并解决问题,扭转工作的被动局面。
5、 实施后效果
航天六院按照国家安全保密局对保密的要求,认真贯彻落实信息工作,以安全保密为原则,加大基础信息化的建设力度,建立了IT运维服务中心;实施了国津Ahoova项目之后,构建了统一的运维管理体系,推进了航天六院的IT运维水平的提高。
1)Ahoova运维管理将航天六院运维服务管理规范的、简单的、标准的搭建并启动了IT服务管理体系。
2)实现了流程标准化、业务规范化,并以流程为导向进一步提高业务效率,不仅减轻了用户的工作量,且在规范化、透明化的流程工作过程中,提供了优质的IT服务和客户满意度。
3)方便快捷的故障申报与处理,确保服务关键环节运作流畅。
4)帮助客户实现监控运维一体化,使得客户监控故障得以记录,并且使得告警可及时性,安全性,有效性的得到及时的处理和维护,提高了故障的即时可监控处理。
5)帮助客户明确了科技信息部的服务管理规范,提高了对工程师工作量、工作质量的评价。
国津ITSM项目成功上线之后,目前航天六院的IT运维服务管理已初见成效,明显的提升了IT运维服务能力和水平,保障了信息系统环境安全可靠,实现了IT运维与服务管理的持续改进!
附:三员分立的具体需求和实现方案书(节选)
需求描述:
1)需求描述
三员分权。系统管理员(admin)、保密员、审计员。
三员的全称为:系统管理员(sysadmin),安全保密员(secadmin),安全审计员(audit)。
管理员只进行管理操作,创建和删除一般操作员用户(无角色,空权限),该操作由保密员审计后生效,admin不执行业务操作。
系统管理员进行组织架构的创建
系统管理员创建的用户称之为一般操作员,执行业务操作。
一般操作员的权限赋予、变更由保密员完成,保密员同时具备对一般操作员和管理员的操作日志管理(审计日志)。
审计员只负责系统管理员和保密员的操作日志审计。
Ahoova中对应用户体系由用户和角色两个部分完成,角色负责权限定义和设备鉴权,用户负责用户属性的定义,包括用户名、密码、电话、邮件、角色等。
3)需求实现-系统管理员
系统管理员即Ahoova内置管理员admin。
4)需求实现-创建保密员
保密员业务定义:应用系统安全保密管理员实施的操作:如用户权限的分配、变更、回收,解除对用户的锁定,对审计日志(一般操作员和系统管理员的操作信息)执行的查询、导出操作。
保密员角色定义:根据上述保密员的业务定义,保密员仅具备用户管理、角色管理和操作审计三个对应功能。
三员的全称为:系统管理员(sysadmin),安全保密员(secadmin),安全审计员(audit)。
据此,Ahoova预先创建保密员角色,角色名为“保密员”,菜单赋权包括:运行摘要——操作审计、基础设置——用户管理(含所辖3个三级菜单功能)。
保密员用户默认赋权保密员角色。
注:因需求明确系统管理员只能创建用户,赋权由保密员完成。依照业务逻辑,必须预先定义保密员。
>>返回
