这篇文章写于2004-8-29，发表于中国计算机用户，尝试将ITIL/ITSM与安全结合在一起，与系统生命周期建立安全综合保障体系。网络链接： http://media.ccidnet.com/media/ccu/626/03301.htm

 

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

１．电信业面临的机遇和挑战
中国电信业的竞争日趋激烈，上市后股东和公众对于中国电信企业管理层的压力也与日俱增。管理层的关注点与几年前相比出现了明显的变化，从用户数为中心的粗放式经营转向关心每用户营收、每用户成本、营运利润、产品服务利润等精细化的经营，也更加关注业务发展的成本。

 

[separator]

新技术和新政策给电信市场的发展带来了更多的不确定性，也促使领导企业和潜力企业的管理层来研究这些新技术、新政策背后为企业带来的机遇和挑战。例如一号 通（700号业务）和当前的“携号转网（NP）”、“双模”手机等，对中国移动、中国联通和中国电信、中国网通四家主要运营商的决策者带来了很多的思考。 依靠传统的号码、地域、资费等都不能稳定地保持住客户资源时，“保障”这个词背后的含义也就更加丰富了。

 

收入保障、客户保障、IT服务保障、安全保障等越来越成为电信企业控制企业风险、保证长期稳定的股东回报的重要手段。收入保障的宗旨是防止话费流失与欺诈，保证计费数据准确；客户保障的宗旨是防止客户流失，保持客户满意度。它们无疑是企业保持市场竞争的关键要素。

近几年来，一方面，电信企业通过建立业务数据模型、流程模型和重组、建立统一客户资料库、建设数据仓库和主题分析等来深层发掘分析企业的业务发展、运营过 程中的多种发展的动力因素；另一方面，通过规划企业自身的IT战略发展路线和战略（ITSP）、建设信息基础设施的保障体系来提基础设施的效率，控制企业 的安全风险。这些都是建设IT保障体系的重要步骤。

 

IT保障体系由IT服务保障和安全保障两个层面构成的，参见附图一，是电信企业整体“保障”体系中至关重要的环节，是企业竞争的重要因素，不仅仅是保护企 业核心业务高质量的交付、信息资产不受外部攻击的威胁，更重要地是良好有效地保障体系可以帮助建立起股东和公众的信心，保障企业的市场核心竞争力。

本文后面部分将讨论电信企业的IT综合保障体系的意义和建设路线。

２．建设IT保障体系
如下图所示，电信企业越来越多需要依靠IT系统，不仅仅是向客户交付业务所需的网络管理维护系统，并且还有大 规模的客户服务、帐务、市场分析、ERP等企业支撑系统。对这些关键应用的“保障”需要首先保障这些应用的底层，也就是承载这些关键应用的各种IT系统， 保障这些大量的软件、硬件、中间件、安全设备、网络设备等构成的基础设施。

 

经过多年的建设，目前，电信网络中已经部署过大量的网管和网络安全产品。应该说，这些产品都不同程度地提高了网络的运行和交付能力，以及安全防护能力。但是，这些还不是“保障”体系。

 

我们说，电信级网络是超复杂系统，是因为电信网络往往规模庞大、系统复杂，其中的各种网络设备、服务器、工作站、业务系统、支撑系统都存在着超常的复杂 性、多样性。即使是其中的安全防护子系统也是由多种、来源于多个供货商的设备构成。它们通常在架构、协议、通信、操作等许多方面都存在相当大的差异性。这 种差异性又进一步加大了系统的复杂度。

 

如何为这样一个超复杂的系统建设保障体系？这里，我们借用一个管理学上的假设：“高质量”的过程带来“高质量”的结果。针对超复杂的电信IT系统，加强其 中某个网元或者模块，对整体系统的服务质量和安全水平，提高是有限的。更有效的做法是，以最终交付的服务为龙头，清理出核心的流程（过程），将关注点和资 源、精力放到流程优化，以及端到端的流程服务质量（QoS）上。例如：
? 故障的集中管理和根源分析
? 配置和变更管理
? 新业务系统的开发和上线
? 访问关系的建立和变更
? 预警信息的批准和发布
? 系统补丁的收集、测试、批准、发布和分发
? 等等

基于上述关键流程，来整合IT服务和安全管理、建设企业总控中心（ECC）和安全管理中心（SCC/SOC）等就有了明确的目标和坚实的基础。

３．系统开发生命周期保障
IT保障体系为电信企业的关键应用提供了安全、高效的基础平台，但是如何保障关键应用自身的安全稳定运行呢？在这一点上业界是走过许多弯路的，也付出了许 多很惨重的代价。如图1所示，电信企业的关键应用越来越复杂，业界提出了很多这方面的框架、最佳实践和规范来指导关键应用的开发，例如eTOM是电信业务 过程方面的权威指导，提出了在产品生命周期和交付、保障和计费等不同阶段的关键过程。而对于这些关键应用和系统本身的开发，则需要参照系统开发生命周期 （SDLC）方面的最佳实践，请参见图2。该图取自TMF的eTOM文档，ITIL和eTOM的结合将是电信企业建设关键应用系统的生命周期保障的最佳参 照框架。

 

这里的关键应用包含两层含义，其一是应用本身；其二是包含了整体的软件、硬件等的应用系统。前者需要重点参考软件工程实践，相对成熟，对于电信企业来说， 需要加强的是关于数据模型管理、接口管理、变更和配置管理等方面；后者则需要参照SDLC，对于供应商、对于需求、对于体系架构等都有较好的风险控制，并 且与ITIL指导的IT服务管理形成闭环，逐步提高运行质量和服务水平。

 

作为后者的一个例子，相对不够成熟的安全保障系统的建设，就应该充分借鉴电信企业在BOSS/ITSM等大型应用系统建设方面的经验教训，从开始就考虑开 放性、集成性和可管理性，并且注重生命周期的管理，与IT保障体系在架构上互相兼容，在数据模型、界面、事件等各种层面可以互相通信、融合。这些都是从 SDLC角度，来提高电信企业IT保障水平的重要内容。

４．运行维护保障体系
前面分别从IT服务管理、安全管理以及生命周期管理等三个方面讨论了电信企业IT保障体系的建设。当前国内的 电信企业通常有三个相对独立的IT系统：网络部、计费中心、企业信息化，它们的运行维护也相对独立。在每一个IT系统内都需要“集成”在一起，来考虑三个 方面的保障措施和机制。“集成”过程中运行维护保障机制将会成为挑战。

 

通常情况下，运行维护人员是按照业务进行分工的，参见图3，每个维护人员或小组，负责管理某项或某几项业务的应用、系统、网络等各个层面。当业务或应用增 加时，管理者面临的挑战是或者增加人手，或者与原来的某项业务合并管理。这种管理机制的问题是明显的，即可扩展性不好，运行维护人员不容易“专注”。

另外的一种选择是，设立IT支撑小组负责网络和系统管理，设立安全小组，负责安全管理，共同为业务小组提供支撑。当增加新业务或应用时，IT支撑小组和安 全小组都可以较容易的扩展覆盖，业务小组因为摆脱了底层支持的重复性内容，可以更加专注，所以也可以管理更多的业务。应该说，后者在前者上面有了提高，更 加灵活，具有更好的可扩展性。

 

但是，层次化分工也会带来新的问题，IT系统的客户关心的是最终的交付质量，并不关心内部的层次化分工。当出现服务故障或问题时，从应用层到系统、网络 层、再到安全管理层，解决故障后再逐次返回到应用层，消除客户问题。如何控制这个“时间延迟”？前面讨论到的SDLC可以帮助实现不同层面的通信和共享， 从而加速响应过程。但是更根本的保障措施是“流程整合”背景下的重组，即在SDLC提供的通信和共享机制下，将IT管理、安全管理和业务管理的流程对接起 来，对端到端的流程质量进行跟踪，并且从组织上、绩效考核上得以体现。

 

５. 电信IT综合保障体系
综上所述，IT服务管理、安全管理、生命周期管理、运行维护管理是电信IT综合保障体系的四个方面，它们从不同的角度、不同的层面来保障电信企业的核心业务的最终交付质量和效率。

 

关键业务的服务质量是电信企业的生命线，如何保障超复杂的电信网络的服务质量也是超复杂的挑战性问题。本文试图从四个不同的角度来探讨建立电信企业的综合保障体系的方法和途径，其中欠缺不足之处，希望得到业界专家的指教。