基于信息安全的軍工企業(yè)信息設備全生命周期管控與實現(xiàn)

劉嘉怡

摘要：信息設備是企業(yè)運行的主要物質技術基礎之一，能大幅提高企業(yè)信息管理的效率和水平，然而軍工企業(yè)的信息設備不僅關系到企業(yè)的生產運營，還關系到國家信息的安全保密，所以軍工企業(yè)信息設備管理的重要性和特殊性無容置疑。本文基于國家安全保密新標準，探討信息設備全生命周期的流程化管理問題。

關鍵詞：信息設備；信息孤島；流程；信息安全；管理

0引言

傳統(tǒng)的設備管理關注設備的綜合效率，對設備的質量運動和價值運動進行全過程（規(guī)劃、設計、選型、購置、安裝、驗收、使用、保養(yǎng)、維修、改造、更新和報廢）的科學型管理，而軍工企業(yè)的信息設備管理在傳統(tǒng)設備管理的基礎上，在可靠性、保密性、系統(tǒng)災難恢復、數據存儲安全和訪問控制等方面都有著嚴格的要求，且信息設備全生命周期管理各個流程環(huán)節(jié)產生的資料又成為確保安全保密的重要依據，對提高信息安全服務效能和決策分析有著重要作用，信息安全保密的保證又為軍工企業(yè)的運營提供可靠的保障，軍工企業(yè)的信息設備管理，是基于信息安全的設備管理。

1新形勢下各業(yè)務領域對信息設備管理提出新要求

傳統(tǒng)的信息設備管理系統(tǒng)主要面向日常業(yè)務及數據處理，無法為軍工企業(yè)的管理決策提供多視角、多維度的信息支持。設備管理、財務管理、經營管理、信息安全管理、運維管理和質量管理，以及業(yè)務流程的整合及融入，對于軍工企業(yè)的信息設備管理至關重要。通過流程設計把信息設備全生命周期產生的各業(yè)務領域的數據管理起來，并使之貫穿多應用系統(tǒng)、數據和用戶，優(yōu)化管理環(huán)節(jié)，明確管理職責，強化過程監(jiān)控，從而為“數字軍工”建設和發(fā)展提供有效的安全保障。

2國家安全保密對信息設備管理的要求

《武器裝備科研生產單位保密資格標準》規(guī)定：應當建立信息設備和存儲介質臺賬。單位應當通過監(jiān)理信息設備總臺賬，加強計算機和信息系統(tǒng)的資產管理。總臺賬應包括本單位的各類信息設備，通常有計算機、網絡設備和外部設備、存儲介質、安全保密產品等。單位各部門應當監(jiān)理相應的分臺賬，總臺賬和分臺賬的內容應相互吻合。單位應制訂嚴格的設備與介質全生命周期管理制度，建立設備采購、攜帶、維修、變更和報廢審批流程。

3傳統(tǒng)信息設備管理存在的問題

傳統(tǒng)的基于職能的信息設備管理模式強調階段的劃分及有序性，各業(yè)務部門的工作目標、范圍及關注重點不同，各部門更關注各自領域的優(yōu)化，缺乏溝通協(xié)調，欠缺對信息設備的全生命周期的過程管理，具體表現(xiàn)在以下幾個方面。

（1）采購信息設備缺乏可靠的參考依據，選型盲目，無前瞻性和計劃性，無歷史數據參考，在信息設備選型時只考慮滿足當前需要，不考慮后期運維和耗材成本，造成后期運維成本居高不下。

（2）各職能部門及使用單位按照各自業(yè)務需求建立臺賬，造成“賬、卡、物”不一致。

（3）信息設備全生命周期管理流程繁瑣，涉及設備管理、財務管理、信息安全管理、運維管理和質量管理等內容，各業(yè)務流程環(huán)節(jié)之間的銜接缺乏主導，出了問題查源頭困難。

（4）無專門的信息設備管理軟件，管理難度大。如信息設備變更、遷移、報修、維修后需手工變更臺帳，造成臺帳信息不清晰和變更滯后等現(xiàn)象。又如，報表生成困難，相關部門無法及時獲取信息設備臺帳信息。

（5）管理體制不健全，責任不明確，設備管理部門、財務部門、信息安全管理部門、運維部門和使用單位形成一種誰都能管，誰都管不了的局面，使用人員只管使用，不管不顧安全、運維和質量對信息設備的管理要求。

4建立全新信息設備管理體系架構和信息設備管理人員組織，明確業(yè)務分工

4.1設備管理網絡

建立四級信息設備管理網絡，確保各領域管理措施落實到位，依照“誰使用，誰負責；誰主管，誰指導”的原則，確立設備責任人、部門系統(tǒng)管理員、公司信息設備管理員（原資產管理員）和各業(yè)務領域管理員。如圖1所示。

4_2信息設備管理人員

基于軍工企業(yè)的信息設備管理的特殊性，人員配置應適應設備管理、財務管理、信息安全管理、運維管理、質量管理和客戶管理的需要，熟悉各業(yè)務模塊對信息設備管理的基本要求。傳統(tǒng)的基于財務管理及庫房管理的信息設備管理方式會導致信息設備服務體系成為“信息孤島”，設備管理、財務管理、信息安全管理、運維管理和質量管理不斷研究各自關注的信息設備管理方式，建立各自的信息設備管理要求，可能導致管理要求相互脫節(jié)不兼容。

4.3人人參與信息設備管理

強化現(xiàn)場管理，每個崗位和每位職工都參與信息設備管理活動，確保自己使用的信息設備不因無知而泄露，部門系統(tǒng)管理員宣傳、巡檢、監(jiān)管及時發(fā)現(xiàn)問題，各業(yè)務領域提出各自關注的信息設備管理要求，公司信息設備管理人員，制訂具體的信息設備管理制度。做到層層把關、人人參與，這樣的軍工企業(yè)信息設備管理才不會有真空狀態(tài)。

5建立信息設備管理系統(tǒng)，實現(xiàn)流程化管理

5.1建立完善的管理系統(tǒng)

完善的系統(tǒng)建設能夠實現(xiàn)對于信息設備全生命周期的有效管理，通過對各個流程環(huán)節(jié)監(jiān)督的設立，做到實時監(jiān)控每個過程，形成完整的信息設備基礎數據及檔案，滿足對各種設備、各種屬性、各種狀態(tài)、各個流程節(jié)點的管理及監(jiān)控要求。流程環(huán)節(jié)生成的各種數據及表單為信息設備的安全保密管理、財務管理和經營管理提供便利，在建立完善的信息設備管理庫基礎上，形成信息設備資源庫。

5.2信息設備管理的三個階段

一是信息設備前期管理階段，主要包括信息設備的規(guī)劃、評估、選型、采購和驗收等；二是信息設備中期管理階段，即設備運行使用管理階段，主要包括入庫、驗機、申請、分配、運維和維修等，該階段是信息設備為企業(yè)創(chuàng)造價值的時期；三是信息設備后期管理階段，主要是信息設備報廢及存儲介質的銷毀管理，此階段重點需要關注的是涉密載體的拆除、交接及消磁、銷毀問題。信息安全關注的主要是第二階段和第三階段的信息設備管理，以信息安全為理念基礎，搭建信息設備管理生命周期管理的框架如圖2所示。

5.3系統(tǒng)功能模塊設計及描述

本系統(tǒng)從以下功能模塊進行流程設計：“系統(tǒng)管理”、“設備入庫管理”、“計劃管理”、“配件管理”、“設備臺賬管理”、“設備流程管理”、“專用設備管理”、“IP地址池管理”、“軟件資產管理”和“報表管理”，系統(tǒng)總體框架如圖3所示。

5.3.1信息設備入庫管理

信息設備到貨后，有信息設備管理員（原資產管理員）核對合同與實物一致后，在系統(tǒng)中登記入庫，入庫后在系統(tǒng)中登記信息設備財務相關信息后進入驗機環(huán)節(jié)，不需要驗機的設備直接進入待分配環(huán)節(jié)。

5.3.2信息設備驗機管理

由信息設備技術管理部門對已入庫的需要驗機的信息設備的配置信息進行檢查登記。如計算機需要登記的主要信息有計算機硬盤、網卡、內存、CPU、顯卡和顯示器。

5.3.3信息設備分配管理

由部門系統(tǒng)管理員發(fā)起信息設備使用申請，經申請單位主管領導審批通過后，由信息設備分配人員根據申請單及當前申請信息設備的庫存狀態(tài)編制分配計劃，再由信息設備管理員根據分配計劃分配對應型號的信息設備，分配完成后，由申請單位部門系統(tǒng)管理員領取設備。

5.3.4信息設備配件管理

信息設備在維修、硬件升級、信息設備密級變化、不再使用時辦理退庫手續(xù)，不同部門之間的資產調撥均可能使用到信息設備配件，什么原因使用，如何使用，用在哪臺設備上，均需要通過流程進行監(jiān)控關聯(lián)。特別是硬盤的管理，由于處于涉密信息系統(tǒng)大環(huán)境下，所以其所有的使用及變化都應納入監(jiān)控范圍。

5.3.5信息設備臺賬管理

信息設備納入統(tǒng)一管理后，需要一個人口對數據信息進行查看。層層把關、人人參與的具體實施方式就是通過信息設備臺賬檢查實物的實際情況。信息設備責任人通過“個人臺賬查看”檢查自己名下的信息設備信息是否與實際情況一致；部門系統(tǒng)管理員抽查、監(jiān)管及時發(fā)現(xiàn)問題；各業(yè)務領域根據信息設備總臺賬查看自己業(yè)務領域關注的數據。

5.3.6信息設備流程管理

因軍工企業(yè)涉密信息系統(tǒng)安全保密要求的特殊性，信息設備安全作為物理安全的重要部分，所有的信息設備屬性的變化都需要流程進行監(jiān)控，通過流程驅動變化，是軍工企業(yè)信息設備管理的基本要求，任何變化都不能通過人工進行修改，任何變化都需要有審批有依據可查詢。

可能的流程有：信息設備接入（入網）流程、信息設備變更流程、信息設備維修流程、信息設備密級變更流程（因為軍工企業(yè)信息設備密級的變化是極為重要的數據，所以單獨設計流程進行監(jiān)控）、信息設備停用流程、信息設備啟用流程、信息設備報廢流程、信息設備借用流程和信息設備備案流程。

5.3.6.1信息設備接入（入網）流程

由部門系統(tǒng)管理員發(fā)起本單位的信息設備接人流程。通常軍工企業(yè)的網絡為局域網，所以接人流程分為接入軍工局域網、互聯(lián)網和單位某些應用建立的局域網。系統(tǒng)根據不同類型的信息設備接入不同類型的網絡，應做不同的流程流向控制。

5.3.6.2信息設備變更流程

信息設備在由部門系統(tǒng)管理員領用后，交由信息設備責任人使用，使用過程中會產生較多的變化，由于軍工企業(yè)的特殊性，信息設備的所有變化過程及結果都是檔案資料，故信息設備的任何變化都需要審核和記錄，才能形成完整的信息設備基礎數據庫及檔案。

通常信息設備在領用后，用戶在使用過程中可能會變更的內容有：基本屬性變更，如硬盤信息（因驗機錄入時手工錄入錯誤）、光驅信息（只讀、刻錄、無光驅）、網卡信息（因驗機錄入時手工錄入MAC地址錯誤）、操作系統(tǒng)安裝時間等；管理屬性變更，如責任人、使用人、安裝位置、用途和密級等；配置屬性變更，如需要增加網卡、增加硬盤、增加內存或光驅等。

5.3.6.3信息設備維修流程

由部門系統(tǒng)管理員負責發(fā)起本單位信息設備維修流程。由本單位主管領導審批同意后，經信息設備維修部門檢查，根據信息設備的實際損壞程度綜合維修部門的技術能力，決定信息設備是內修還是外修，內修由信息設備維修部門實施維修。由于軍工單位的特殊性，外修由信息設備維修部門人員對維修設備做安全處理后，全程陪同外修。最終將維修結果告知信息設備責任單位部門系統(tǒng)管理員。

5.3.6.4信息設備退庫流程

人員離職或其他原因造成計算機等設備長期閑置，可以發(fā)起設備退庫流程，由信息設備管理人員進行再次分配。因軍工企業(yè)信息設備的特殊性，避免擴大涉密信息的知悉范圍，具備存儲功能的信息設備，如計算機、服務器需由信息設備主管單位對計算機設備進行更換硬盤后方能再次分配。

5.3.6.5信息設備升降密流程

軍工企業(yè)的信息設備密級與人員密級有密切的關聯(lián)關系，由于信息設備使用人的密級或信息設備用途發(fā)生變化時，信息設備的密級都需要發(fā)生相應的變化，由部門系統(tǒng)管理員發(fā)起信息設備升降密流程。由信息設備主管單位對信息設備進行相應處理，或重新安裝操作系統(tǒng)或者更換硬盤。

5.3.6.6信息設備停用

由于軍工企業(yè)的特殊性，信息設備責任人如因工作原因臨時借調、出差導致短期內不會使用信息設備時，由信息設備責任單位的部門系統(tǒng)管理員發(fā)起信息設備停用流程，經信息設備主管單位審批后，信息設備的臺賬狀態(tài)更改為“停用”。如果是計算機設備停用，還需要做網絡端口處理，禁止設備訪問網絡權限，以防止違規(guī)接入設備對系統(tǒng)資源的訪問。處于“停用”狀態(tài)的計算機設備，不需要及時更新計算機病毒庫及升級系統(tǒng)補丁。

5.3.6.7信息設備啟用流程

停用設備需要重新啟用時，由設備使用單位部門系統(tǒng)管理員發(fā)起信息設備啟用流程，如果是聯(lián)網的信息設備，還需經信息設備主管單位開啟信息設備訪問網絡權限，再將信息設備狀態(tài)更改為“使用中”。

5.3.6.8信息設備設備報廢流程

由于信息設備達到使用年限或因故障已無法修復，由使用單位部門系統(tǒng)管理員發(fā)起信息設備報廢流程，經信息設備主管單位進行安全處理后，將信息設備進行物理報廢處理。具有存儲功能的設備需要拆除存儲固件，能做消磁處理的需要消磁。

5.3.6.9信息設備借用流程

由信息設備主管單位提供一些信息設備，以供企業(yè)中臨時性工作需要使用，由于軍工企業(yè)的特殊性，以供借用的信息設備需要嚴格按照安全保密要求進行管理。

企業(yè)各信息設備使用部門，由用戶單位部門系統(tǒng)管理員提起信息設備借用申請，報信息設備主管部門處理后，通知借用單位部門系統(tǒng)管理員領取設備，用戶單位使用后，由借用單位部門系統(tǒng)管理員負責歸還到信息設備管理部門，進行信息安全檢查后再返回入庫。

5.3.6.10計算機安全保密防護備案、消除流程

軍工企業(yè)信息設備因安全保密要求，要安裝防病毒、審計軟件，納入域管理、回收管理員權限設置用戶、開放端口需審批等，這部分信息同樣也是信息設備管理的重要部分，是否按要求進行安裝、部署，未安裝是否按要求進行備案，納入信息設備管理系統(tǒng)管理后，與信息設備關聯(lián)，更利于管理。

5.3.7信息設備運行狀態(tài)流程查詢描述

信息設備在運行過程中的所有變化及產生的數據都是確保安全保密的重要依據，對提高信息安全服務效能和決策分析有著重要作用。本模塊主要對設備接入、變更、維修、停用、啟用、升降密、借用、報廢和計算機設備備案/消除流程進行查詢。

5.3.8信息設備臺賬查詢

本功能模塊查詢所有的信息設備臺賬信息，查詢登陸者所在部門的所有信息設備臺賬信息，查詢資產歸口為本部門的信息設備臺賬信息，查詢登陸者為責任人的信息設備信息。

5.3.9軟件資產管理

管理企業(yè)軟件資產信息，并對軟件資產的License分類型、分模塊管理，并提供License到期提醒。

5.3.10 IP地址池管理

加強信息設備接入管理，控制違規(guī)接入設備對系統(tǒng)資源的訪問，管理企業(yè)信息設備需要配置的網絡資源是首要工作。按責任部門、IP使用范圍、IP密級、信息設備所在樓宇和設備密級等物理屬性分類管理IP。信息設備的IP地址與MAC地址綁定。信息設備安裝位置變化，維修更換了網卡或者主板（網卡集成）、密級發(fā)生變化或信息設備報廢，都可能涉及IP地址的重新分配，將IP的分配、回收納入IP地址池管理，隨時監(jiān)控網絡資源的使用情況。

6.完善信息設備管理各項制度

完善的信息設備管理，除了建立信息設備管理系統(tǒng)設置流程化管理外，還需要制定全面的信息設備全生命周期管理制度，使設備管理人員、使用人員有規(guī)可循、有章可守、有疑可查。

信息設備前期管理階段，需要建立選型與采購安全管理相關制度；信息設備中期管理階段，應建立信息設備資產管理制度、信息設備標識與編號管理制度、借用信息設備管理制度、信息設備臺賬管理制度、信息設備使用及運維管理制度、信息設備維修管理制度、信息設備配件管理相關制度、信息設備使用客戶管理相關制度及要求、信息交換管理制度，信息設備后期管理階段，主要是信息設備報廢及存儲介質的銷毀管理，此階段應建立信息設備報廢管理相關制度，明確報廢流程及報廢過程中需要注意的安全保密事項。

7信息設備管理系統(tǒng)在軍工企業(yè)管理運用的前景

軍工企業(yè)的信息設備管理系統(tǒng)的成功運行是基于基礎數據的流程化管理，數據的準確性、及時行和可靠性是以信息設備全生命周期各業(yè)務流程環(huán)節(jié)的全面性、完整性和準確性為基礎的，規(guī)范信息設備管理是軍工企業(yè)實現(xiàn)兩化融合及確保國家秘密不被泄露的重要手段。

規(guī)范的信息設備管理能最終實現(xiàn)對安全保密、運維管理，設備管理、客戶關系管理及供應鏈管理等各個環(huán)節(jié)的科學管理，實現(xiàn)數據共享，建立信息資源庫，統(tǒng)籌信息資源建設。