这篇稿子写于2004年底,探讨将管理重组的概念引入安全运营的方式,当时浙江移动的试点已经得到各方面很高的认可。本文提出了一个框架,探讨IT流程重组和安全运营的结合。本文发表于 通信产业报。
1 电信业面临的机遇和挑战
中国电信业的竞争日趋激烈,上市后股东和公众对于中国电信企业管理层的压力也与日俱增。管理层的关注点与几年前相比出现了明显的变化,从用户数为中心的粗放式经营转向关心每用户营收、每用户成本、营运利润、产品服务利润等精细化的经营,也更加关注业务发展的成本。
新技术和新政策给电信市场的发展带来了更多的不确定性,也促使领导企业和潜力企业的管理层来研究这些新技术、新政策背后为企业带来的机遇和挑战。例如一号通(700号业务)和当前的“携号转网(NP)”、“双模”手机等,对中国移动、中国联通和中国电信、中国网通四家主要运营商的决策者带来了很多的思考。依靠传统的号码、地域、资费等都不能稳定地保持住客户资源时,“保障”这个词背后的含义也就更加丰富了。
收入保障、客户保障、IT保障等越来越成为电信企业控制企业风险、保证长期稳定的股东回报的重要手段。收入保障的宗旨是防止话费流失与欺诈,保证计费数据准确;客户保障的宗旨是防止客户流失,保持客户满意度。它们无疑是企业保持市场竞争的关键要素。
根据Gartner Group的最新调查显示,当前信息主管们最为关心的技术点已经从两年前的应用集成转变为设计、管理灵活高效的基础设施、安全增强、以及桌面标准和IT绩效等。参见附图一。反映在电信运营商企业上面,就是通过上述几个方面的治理提升,来有效的降低运营成本(OPEX)、同时提高业务交付的质量和保障。在这方面的努力成为去年到今年电信IT建设的主旋律。
一方面,电信企业通过建立业务数据模型、流程模型和重组、建立统一客户资料库、建设数据仓库和主题分析等来深层发掘分析企业的业务发展、运营过程中的多种发展的动力因素;另一方面,通过规划企业自身的IT战略发展路线和规划(ITSP)、不断通过整合和集成来优化信息基础设施的效率,同时提升其保障水平,控制企业的安全风险。这些都是建设IT保障体系的重要步骤。
IT综合保障体系由IT服务保障、安全保障和生命周期保障三个层面构成的,参见附图二,是电信企业整体“保障”体系中至关重要的环节,是企业竞争的重要因素,不仅仅是保护企业核心业务高质量的交付、信息资产不受外部攻击的威胁,更重要地是良好有效地保障体系可以帮助建立起股东和公众的信心,保障企业的市场核心竞争力。 本文后面部分将讨论电信企业的IT综合保障体系的意义和建设路线。
2 建设IT综合保障体系
如下图所示,电信企业越来越多需要依靠IT系统,不仅仅是向客户交付业务所需的网络管理维护系统,并且还有大规模的客户服务、帐务、市场分析、ERP等企业支撑系统。对这些关键应用的“保障”需要首先保障这些应用的底层,也就是承载这些关键应用的各种IT系统,保障这些大量的软件、硬件、中间件、安全设备、网络设备等构成的基础设施。
电信级网络是超复杂系统,是因为电信网络往往规模庞大、系统复杂,其中的各种网络设备、服务器、工作站、业务系统、支撑系统都存在着超常的复杂性、多样性。即使是其中的安全防护子系统也是由多种、来源于多个供货商的设备构成。它们通常在架构、协议、通信、操作等许多方面都存在相当大的差异性。这种差异性又进一步加大了系统的复杂度。
经过多年的建设,目前,电信网络中已经部署过大量的网管和网络安全产品。应该说,这些产品都不同程度地提高了网络的运行和交付能力,以及安全防护能力。但是,这些还不是“保障”体系。如何为这样一个超复杂的系统建设保障体系?这里,我们借用一个管理学上的假设:“高质量”的过程带来“高质量”的结果。针对超复杂的电信IT系统,加强其中某个网元或者模块,对整体系统的服务质量和安全水平,提高是有限的。
更有效的做法是以核心业务交付的服务质量为行动目标,实施下面三个步骤:
* 一. 服务管理:清理核心流程(过程),优化设计,监视端到端的流程质量
* 二. 安全管理:分析面临的威胁,分析评估,从过程、人员和技术手段三个方面来管理风险
* 三. 生命周期管理:建立核心系统的生命周期档案,评审系统需求和设计,管理系统开发和项目建设过程中的风险
建设由服务管理、安全管理和生命周期管理三层构成的IT综合保障体系,可以充分实现不断优化、提升信息基础设施的效率,不断提升核心业务交付质量的保障水平的宏观目标。在此基础上,不管是建设企业总控中心(ECC),或者安全管理中心(SCC/SOC),还是综合网管体系等等就都有了明确的行动目标和坚实的基础。
3 IT服务保障
传统上,国内的电信企业通常有三个相对独立的IT系统:网络部(或运行维护部)、计费中心(或业务支撑中心)、信息中心,其中网络部负责生产网(例如传输、交换、互联网等)的管理维护,计费中心负责计费数据的采集、结算、客服、经营分析等系统的管理维护,而企业信息中心则负责维护办公自动化(OA)、ERP、人力资源等企业应用。当然,每个运营商的实际架构可能会有所不同。
虽然之间存在若干个通信接口,但是三个IT系统的运行维护通常相对独立。在每一个IT系统内,传统上的管理体系如附图三所示,运行维护人员根据业务分成若干个小组,每个维护小组负责管理某项或某几项业务的应用、系统、网络等各个层面IT系统。由于缺乏数据模型和应用集成的支持,这些来源于多个供货商、厂家的软硬件设备在架构、协议、通信、操作等许多方面都存在相当大的差异性。历史积累的结果是在部门内部形成了若干个“信息孤岛”。一方面管理层很难从宏观上看到各个业务和相应IT系统的运行状况,难以快速统一的部署新的策略和制度,对业务需求部门的响应速度很慢;另一方面,当业务或应用增加时,管理者面临的挑战是或者增加人手,或者与原来的某项业务合并管理,线性增加维护人员的工作量。
这种管理结构的问题是明显的,即缺乏共享和流转机制,响应速度慢,难以保持策略一致,可扩展性不好,运行维护人员不容易“专注”。这些不足很大程度上阻碍了运营商信息系统建设和运行的效率,难以支撑快速的市场变化和需求。
另外的一种选择是,设立IT支撑小组负责网络和系统管理,设立安全小组,负责安全管理,共同为业务小组提供支撑。当增加新业务或应用时,IT支撑小组和安全小组都可以较容易的扩展覆盖,业务小组因为摆脱了底层支持的重复性内容,可以更加专注,所以也可以管理更多的业务。应该说,后者在前者上面有了提高,更加灵活,具有更好的可扩展性。
但是,层次化分工也会带来新的问题,IT系统的客户关心的是最终的交付质量,并不关心内部的层次化分工。当出现服务故障或问题时,从应用层到系统、网络层、再到安全管理层,解决故障后再逐次返回到应用层,消除客户问题。设计高效IT服务管理体系的关键是如何控制这个“时间延迟”在服务水平之内,快速实现不同层面的通信和共享,加速响应过程。在“流程整合”的背景下进行适当的重组,将IT管理、安全管理和业务管理的流程对接起来,对端到端的流程质量进行跟踪,并且从组织上、绩效考核上得以体现。
4 安全保障
网络安全威胁和防范一直是电信运营商十分关注的话题。包括ITU-T,TMForum等在内的许多国际电信组织都开始重新评估以前设计的许多标准、规范、架构等,在所有重要的标准体系中都加入了审慎的安全考虑,以避免出现类似像802.11b出现的WEP漏洞。
参见附图四,ITU-T在其安全手册中明确提出,电信网络中存在的面临的安全威胁可以分为下面四类:
* ? 预测未来威胁的困难
* ? 设计和规范型弱点
* ? 实现型弱点
* ? 运行和配置型弱点
其中第一类和第二类可以通过国际标准组织的努力逐步减小;第三类弱点需要依赖电信设备(硬件、软件)供应商和集成商提高系统开发和项目实施过程中的安全风险管理;第四类弱点则需要运营商自身的运行维护部门加强安全风险管理水平,从策略、组织、技术和运营等四个方面建设并逐步完善安全管理体系。
5 系统开发生命周期保障
电信企业的关键应用越来越复杂,业界提出了很多这方面的框架、最佳实践和规范来指导关键应用的开发,例如eTOM是电信业务过程方面的权威指导,提出了在产品生命周期和交付、保障和计费等不同阶段的关键过程。eTOM模型已经在大量国际运营商获得了成功的实践,在国内也被大量应用于IT规划、 BSS/OSS应用和其它支撑系统的设计和开发。
这里的关键应用包含两层含义,其一是应用本身;其二是包含了整体的软件、硬件等的应用系统。前者需要重点参考软件工程实践,相对成熟,对于电信企业来说,需要加强的是关于数据模型管理、接口管理、变更和配置管理等方面;后者则需要参照系统开发生命周期SDLC或LCM,对供应商、对需求、对体系架构等都进行较为完善的风险控制,并且与ITIL指导的IT服务管理和应用管理形成闭环,逐步提高运行质量和服务水平。
这一部分内容也成为NGOSS/eTOM和ITIL两大框架中变得日益重要的组成部分。
作为后者的一个例子,相对不够成熟的安全保障系统的建设,就应该充分借鉴电信企业在BOSS/ITSM等大型应用系统建设方面的经验教训,从开始就考虑开放性、集成性和可管理性,并且注重生命周期的管理,与IT保障体系在架构上互相兼容,在数据模型、界面、事件等各种层面可以互相通信、融合。这些都是从 SDLC角度,来提高电信企业IT保障水平的重要内容。
6 综述
综上所述,IT服务管理、安全管理、生命周期管理是电信IT综合保障体系的三个方面,它们从不同的角度、不同的层面来保障电信企业的核心业务的最终交付质量和效率。关键业务的服务质量是电信企业的生命线,如何保障超复杂的电信网络的服务质量也是超复杂的挑战性问题。本文试图从三个不同的角度来探讨建立电信企业的IT综合保障体系的方法和途径,其中欠缺不足之处,希望得到业界专家的指教。
附图一. CIO关心的前十个技术领域(数据来源:Gartner Group 2004)
附图二. IT综合保障体系示意图
附图三. 传统网管中心的管理模式
附图四. 电信网络中存在的脆弱性类型
***如果您对这些图片感兴趣,请留言。
在前不久9月2日召开的云安全联盟中国峰会上,在F&S的Cathy分享了有关亚太地区云计算应用的调研数据。还有以前看到的不少资料,亚太地区在云计算的接受程度和应用上与美欧相比,都有些落后。云安全的相关研究也类似的感觉,主要的体现在于公开可得的相关资料多来自美欧,来自亚太地区的贡献相对较少。
Recent Comments