ＩＴ服務管理與ＩＴ安全管理架構在中小企業的應用模式分析

摘 要：中小企業在IT資源與需求之間的落差形成了中小企業IT服務和安全管理獨特的應用模式。通過分析中小企業IT架構的2種典型的應用模式：ASP托管和分級網管，分別探討對應的企業IT服務和安全管理的實現機制，從而建立中小企業自己的IT服務管理和IT安全管理的能力。

關鍵詞：IT服務管理；IT安全管理架構；IT企業；ASP托管

中圖分類號：TP311.53 文獻標識碼：B

文章編號：1004-373X(2008)06-087-03

Typical Application Model Analysis of IT Service Management and Security

Management Library in Small Enterprise

WGNA Ruixiu，DONG Shufu

(Telecommunication Engineering College，Air Force Engineering University，Xi′an，710077，China)

Abstract：IT service management and security management has unique applications in small enterprises because of the gap between resources and demands of small enterprises′ IT system.This essay discusses how to realize IT service management and security management in small enterprises based on two typical application model of small enterprises IT infrastructure：ASP outsourcing model and multi-level network administration model，and to provide a solution to IT service management and security management in small enterprises.

Keywords：IT service management；IT security management Library；IT enterprise；ASP outsourcing

1 中小企業的需求及特點分析

中小企業是社會經濟活動中的重要構成單元，也是社會技術創新的主體。與大型企業相比，中小企業通常具有如下方面的基本特征：

(1) 企業規模和IT資源相對受限

由于中小企業自身的規模相對較小，企業內部的IT架構相對較為簡單，且企業內部的IT建設與維護力量相對較為薄弱，對于IT建設和IT服務的成本承受能力相對較低。因而從整體上看，中小企業的IT資源相對受限，會更加傾向于通過IT服務外包等方式來構建虛擬的企業IT能力。

(2) 對IT服務質量和安全性的需求較高

中小企業雖然IT系統較為簡單，但由于企業業務相對單一，企業業務發展對于業務數據的安全性依賴性較強，是企業的生存之本。如何在既充分發揮IT技術的優勢提升企業的業務能力，同時又能有效地保護企業的核心業務數據，是中小企業關注的問題。各個不同行業的中小企業根據自身業務的特點，也會有不同的個性化需求。

(3) 需求與資源條件間的落差顯著

綜合以上2個方面，不難看出，中小企業在IT服務質量和安全性方面的需求和其自身的IT資源狀況存在明顯的落差，在實際的情況中將表現為：企業的IT服務質量無法得到保障，甚至可能影響到企業的核心業務運行；企業的核心IT資產無法得到有效的保護，企業整體的IT態勢面臨較多的安全風險。

在網絡化的社會中，IT能力水平決定了一個企業的業務拓展前景和面向最終客戶的服務水平，因而上述方面的落差已經成為中小企業業務拓展的一個瓶頸因素。當然，中小企業管理層在意識和管理理念方面也存在一定的差距。

從另一個視角來看，這些落差也意味著一個潛在的市場機會，即面向中小企業的IT服務和安全管理的市場領域。

在這里，將重點針對中小企業IT架構的2種典型的應用模式，分別探討對應的企業IT服務和安全管理的實現機制問題。

2 基于ASP托管的應用模式

(1) 模式提出的背景

ASP應用托管服務是面向中小企業提供的企業核心業務系統的一站式托管服務解決方案，即由ASP運營商構建統一的系統后臺，提供企業核心業務功能，中小企業客戶可以通過簡單的客戶化業務配置和定制來快速建立起自己的核心業務系統。

在ASP應用模式下，數據安全性和服務質量已經日益成為該業務拓展的瓶頸因素。對中小企業而言，業務數據和業務資源是企業生存的根本，而要將這些重要的數據存放在一個公用的托管應用平臺之上，的確需要相應的IT服務質量和安全保障，才能打消企業用戶的疑慮。

(2) IT服務和安全管理的實現機制設計

在ASP應用托管服務模式下，企業實際上采用了整體的IT服務外包模式，因而可適用于較多的企業構建模式，包括SOHO方式。

IT服務和安全管理機制在ASP應用托管模式下的應用，主要是考慮由ASP運營商在后臺針對整個服務系統構建統一的IT服務和IT安全保障體系，并作為整體面向前端的中小企業提供服務保障。ASP運營商的IT服務和IT安全保障體系構建方法可參考通常的IT服務管理體系和IT安全管理體系構建方法論，但需要在以下方面提供一些定制化的服務內容：

多服務級別提供 應根據ASP托管服務的業務分級特點，針對不同服務等級需求來定義相應的IT服務和安全保障的服務級別，滿足不同用戶群的需求。這就要求后臺的IT保障系統支持多服務級別的設置。

虛擬服務提供 在后臺統一服務系統的基礎上，需要面向前端的中小企業用戶提供一個虛擬的服務接口，以滿足用戶的個性化配置需求，并能和ASP應用托管主服務無縫地整合起來。

統一后臺服務調度 ASP運營商需要建立統一的后臺服務調度體系，以便面向前端所有的中小企業用戶提供IT服務管理和IT安全管理的相應服務，完成相應的服務調度和資源調配。

基于上述的IT服務和安全管理架構，ASP運營商即可面向前端的中小企業用戶提供帶服務質量和安全保證的應用托管服務。對應的系統架構如圖1所示：

(3) 服務接口和SLA

在ASP應用服務托管模式下，ASP運營商和中小企業用戶之間的服務接口將包括業務配置、業務管理監控、業務故障處理、業務結算等方面。

相應的服務SLA包括IT服務質量接口(業務服務質量、業務數據可用性保證要求)和IT安全管理接口(業務數據安全性、業務連續性保證要求)2方面。

3 基于分級網管的應用模式

(1) 模式提出的背景

相對于上面的ASP應用托管服務，中小企業的另一種IT架構模式是部分自建，即企業內網上部署一些基本的IT系統和資源，這主要是出于對核心業務資源安全保護的需求。在自建IT的模式下，中小企業需要承擔一定的IT服務管理和安全管理職責，而通常中小企業自身并不具備相應的一支專業化的IT服務力量，造成事實上的很多中小企業內部IT管理不善，并導致企業核心IT資源遭受較大的風險。

因此需要提供一種能提供半外包服務模式的IT服務管理與IT安全管理模式，才能幫助中小企業以相對合理的成本實現對企業內部IT資產的合理運作管理與保護。

(2) IT服務和安全管理的實現機制設計

在中小企業自建IT的服務模式下，通常在企業內網上部署基本的IT網管(綜合網管系統)和IT安全控制系統(企業防病毒系統、安全控制系統等)，企業內部的IT團隊主要借助于這些IT管控設施進行日常的IT服務管理。

在自建IT的模式下，要實現統一的IT服務和安全管理需要采取類似于分級網管的模式，即在企業內網上建立一個簡化版的IT服務管控中心，在企業內部運行IT服務和IT安全管理的前端流程(日常操作及簡單巡檢流程等，可根據客戶需求定制確定)，同時在企業內網上部署相應的數據采集agent，將企業內網中與IT服務和安全管理相關的事件傳送到后端的分析中心進行處理。

在系統后臺，將由IT服務提供商構建1個統一的后臺管理系統，該系統在提供常規的IT服務管理和IT安全管理功能的基礎上，需要重點解決以下方面的問題：

與前端企業用戶的接口 在前端的中小企業用戶內網和后臺服務管理系統之間建立一個統一的數據和業務接口，便于agent采集數據的上傳，以及后臺的服務信息、服務流程指令的下達，實現前后端管理數據和流程的貫通。

虛擬服務管理 考慮到每個中小企業用戶的內網實際情況和需求各不相同，因此需要在服務后臺提供用戶的個性化服務管理功能，并提供對多服務級別的支持特性，以滿足不同類型用戶的特點。

跨邊界的流程調度 由于在該模式下，IT服務管理和IT安全管理的流程將在后臺和前端之間進行分布，需要提供跨工作邊界的工作流程調度管理，提供一種異步模式的工作流支持，以便能將前后端的管理流程貫通起來。

在上述實現機制下，后端的服務系統提供的主要功能將包括：

根據agent傳遞過來的企業內網的IT事件信息，進行綜合的事件歸并分析，以分析用戶端網絡的IT狀況，并生成相應的事件、故障處理工單。

根據系統生成的IT維護或維修工單，實現跨系統邊界的流程調度，指導企業內部IT人員進行現場維修和處理，并在必要時提供上門技術服務。

根據系統后臺知識庫的更新情況，定期向用戶端推送知識庫的更新和參考數據，幫助前端管理員提升IT管理水平。定期向前端管理員提供IT服務報告，幫助其明確整網的IT態勢，以及是否需要進行配套的IT工程的建議。

而企業內部IT人員所承擔的前端運維工作將主要包括：

企業內網的日常IT運維服務，對本地無法處置的IT事件，直接通報后端系統處理；

根據后端系統發送的工單，對系統自動發現的故障、隱患等進行現場處置，在必要時需要請求后端工程師的現場支持；

根據后端定期發布的IT服務報告，對企業內網進行必要的IT整改與建設，以降低系統的IT風險。

對應的系統架構參見圖2所示：

(3) 服務接口和SLA

在分級網管模式下，后端IT服務提供商和前端中小企業之間的服務接口將包括業務配置、業務管理監控、業務故障處理、業務結算、數據采集等方面。

相應的服務SLA將包括IT服務質量接口(業務服務質量，業務數據可用性保證要求)和IT安全管理接口(業務數據安全性，業務連續性保證要求)2個方面。

4 應用模式的分析

這里對上面2種典型的中小企業IT服務和安全管理的應用模式的特點進行對比分析，結果如表1所示。

從上述分析可以看出，2種不同的服務模式具有各自的特點和適用的場景。在構建上述的IT服務和安全管理機制之后，中小企業也擁有了自己的IT服務管理和IT安全管理的能力，能充分利用IT技術來提升自身的業務能力，確保自身的核心競爭力。但考慮到中小企業在業務特點、企業結構等方面存在的顯著差異性，還是需要每個企業根據自身的特點來靈活選用相應的服務模式，或者是兩者的混合模式。

參考文獻

[1]朱海林，方樂，梁晟，等.IT服務\\[M\\].北京：機械工業出版社，2006.

[2]馬雪.超企業IT服務管理—神龍公司IT服務管理實踐\\[D\\].武漢：武漢大學，2004.

[3]譚榮.一種服務器與客戶端時間同步的有效方法\\[J\\].現代電子技術，2006，29(5)：48-49.

[4]郭躍周，張穎.基于校園網的計算機考試系統的設計與實現\\[J\\].現代電子技術，2006，29(4)：121-123.

[5]蘭濱.檔案管理信息系統的開發與建設\\[J\\].現代電子技術，2005，28(24)：52-54.

作者簡介 王蕊秀 女，1980年出生，上海人，在讀碩士研究生。主要從事寬帶通信網絡研究工作。

董淑福 男，1971年出生，山東青島人，理學博士，副教授。主要從事光通信與激光技術、通信網絡研究工作。