#云原生背景#
云计算是信息技术发展和服务模式创新的集中体现,是信息化发展的重要变革和必然趋势。随着“新基建”加速布局,以及企业数字化转型的逐步深入,如何深化用云进一步提升云计算使用效能成为现阶段云计算发展的重点。云原生以其高效稳定、快速响应的特点极大地释放了云计算效能,成为企业数字业务应用创新的原动力,云原生进入快速发展阶段,就像集装箱加速贸易全球化进程一样,云原生技术正在助力云计算普及和企业数字化转型。
云原生计算基金会(CNCF)对云原生的定义是:云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中,构建和运行可d性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式编程API。
#云安全时代市场发展#
云安全几乎是伴随着云计算市场而发展起来的,云基础设施投资的快速增长,无疑为云安全发展提供土壤。根据 IDC 数据,2020 年全球云安全支出占云 IT 支出比例仅为 11%,说明目前云安全支出远远不够,假设这一比例提升至 5%,那么2020 年全球云安全市场空间可达 532 亿美元,2023 年可达 1089 亿美元。
海外云安全市场:技术创新与兼并整合活跃。整体来看,海外云安全市场正处于快速发展阶段,技术创新活跃,兼并整合频繁。一方面,云安全技术创新活跃,并呈现融合发展趋势。例如,综合型安全公司 PaloAlto 的 Prisma 产品线将 CWPP、CSPM 和 CASB 三个云安全技术产品统一融合,提供综合解决方案及 SASE、容器安全、微隔离等一系列云上安全能力。另一方面,新兴的云安全企业快速发展,同时,传统安全供应商也通过自研+兼并的方式加强云安全布局。
国内云安全市场:市场空间广阔,尚处于技术追随阶段。市场规模上,根据中国信通院数据,2019 年我国云计算整体市场规模达 13345亿元,增速 386%。预计 2020-2022 年仍将处于快速增长阶段,到 2023 年市场规模将超过 37542 亿元。中性假设下,安全投入占云计算市场规模的 3%-5%,那么 2023 年中国云安全市场规模有望达到 1126 亿-1877 亿元。技术发展上,中国在云计算的发展阶段和云原生技术的程度上与海外市场还有一定差距。国内 CWPP 技术应用较为广泛,对于 CASB、CSPM 一些新兴的云安全技术应用较少。但随着国内公有云市场的加速发展,云原生技术的应用越来越广泛,我们认为CASB、SCPM、SASE 等新兴技术在国内的应用也将越来越广泛。
#云上安全呈原生化发展趋势#
云原生技术逐渐成为云计算市场新趋势,所带来的安全问题更为复杂。以容器、服务网格、微服务等为代表的云原生技术,正在影响各行各业的 IT 基础设施、平台和应用系统,也在渗透到如 IT/OT 融合的工业互联网、IT/CT 融合的 5G、边缘计算等新型基础设施中。随着云原生越来越多的落地应用,其相关的安全风险与威胁也不断的显现出来。Docker/Kubernetes 等服务暴露问题、特斯拉 Kubernetes 集群挖矿事件、Docker Hub 中的容器镜像被“投毒”注入挖矿程序、微软 Azure 安全中心检测到大规模 Kubernetes 挖矿事件、Graboid 蠕虫挖矿传播事件等一系列针对云原生的安全攻击事件层出不穷。
从各种各样的安全风险中可以一窥云原生技术的安全态势,云原生环境仍然存在许多安全问题亟待解决。在云原生技术的落地过程中,安全是必须要考虑的重要因素。
#云原生安全的定义#
国内外各组织、企业对云原生安全理念的解释略有差异,结合我国产业现状与痛点,云原生与云计算安全相似,云原生安全也包含两层含义:“面向云原生环境的安全”和“具有云原生特征的安全”。
面向云原生环境的安全,其目标是防护云原生环境中的基础设施、编排系统和微服务的安全。这类安全机制,不一定具备云原生的特性(比如容器化、可编排),它们可以是传统模式部署的,甚至是硬件设备,但其作用是保护日益普及的云原生环境。
具有云原生特征的安全,是指具有云原生的d性敏捷、轻量级、可编排等特性的各类安全机制。云原生是一种理念上的创新,通过容器化、资源编排和微服务重构了传统的开发运营体系,加速业务上线和变更的速度,因而,云原生系统的种种优良特性同样会给安全厂商带来很大的启发,重构安全产品、平台,改变其交付、更新模式。
#云原生安全理念构建#
为缓解传统安全防护建设中存在的痛点,促进云计算成为更加安全可信的信息基础设施,助力云客户更加安全的使用云计算,云原生安全理念兴起,国内外第三方组织、服务商纷纷提出以原生为核心构建和发展云安全。
Gartner提倡以云原生思维建设云安全体系
基于云原生思维,Gartner提出的云安全体系覆盖八方面。其中,基础设施配置、身份和访问管理两部分由云服务商作为基础能力提供,其它六部分,包括持续的云安全态势管理,全方位的可视化、日志、审计和评估,工作负载安全,应用、PaaS 和 API 安全,扩展的数据保护,云威胁检测,客户需基于安全产品实现。
Forrester评估公有云平台原生安全能力
Forrester认为公有云平台原生安全(Public cloud platform native security, PCPNS)应从三大类、37 个方面去衡量。从已提供的产品和功能,以及未来战略规划可以看出,一是考察云服务商自身的安全能力和建设情况,如数据中心安全、内部人员等,二是云平台具备的基础安全功能,如帮助和文档、授权和认证等,三是为用户提供的原生安全产品,如容器安全、数据安全等。
安全狗以4项工作防护体系建设云原生安全
(1)结合云原生技术的具体落地情况开展并落实最小权限、纵深防御工作,对于云原生环境中的各种组成部分,均可贯彻落实“安全左移”的原则,进行安全基线配置,防范于未然。而对于微服务架构Web应用以及Serverless应用的防护而言,其重点是应用安全问题。
(2)围绕云原生应用的生命周期来进行DevSecOps建设,以当前的云原生环境的关键技术栈“K8S + Docker”举例进行分析。应该在容器的全生命周期注重“配置安全”,在项目构建时注重“镜像安全”,在项目部署时注重“容器准入”,在容器的运行环境注重云计算的三要素“计算”“网络”以及“存储”等方面的安全问题。
(3)围绕攻击前、中、后的安全实施准则进行构建,可依据安全实施准则对攻击前、中、后这三个阶段开展检测与防御工作。
(4)改造并综合运用现有云安全技术,不应将“云原生安全”视为一个独立的命题,为云原生环境提供更多支持的主机安全、微隔离等技术可赋能于云原生安全。
#云原生安全新型风险#
云原生架构的安全风险包含云原生基础设施自身的安全风险,以及上层应用云原生化改造后新增和扩大的安全风险。云原生环境面临着严峻的安全风险问题。攻击者可能利用的重要攻击面包括但不限于:容器安全、编排系统、软件供应链等。下面对重要的攻击面安全风险问题进行梳理。
#云原生安全问题梳理#
问题1:容器安全问题
在云原生应用和服务平台的构建过程中,容器技术凭借高d性、敏捷的特性,成为云原生应用场景下的重要技术支撑,因而容器安全也是云原生安全的重要基石。
(1)容器镜像不安全
Sysdig的报告中提到,在用户的生产环境中,会将公开的镜像仓库作为软件源,如最大的容器镜像仓库Docker Hub。一方面,很多开源软件会在Docker Hub上发布容器镜像。另一方面,开发者通常会直接下载公开仓库中的容器镜像,或者基于这些基础镜像定制自己的镜像,整个过程非常方便、高效。然而,Docker Hub上的镜像安全并不理想,有大量的官方镜像存在高危漏洞,如果使用了这些带高危漏洞的镜像,就会极大的增加容器和主机的入侵风险。目前容器镜像的安全问题主要有以下三点:
1不安全的第三方组件
在实际的容器化应用开发过程当中,很少从零开始构建镜像,而是在基础镜像之上增加自己的程序和代码,然后统一打包最终的业务镜像并上线运行,这导致许多开发者根本不知道基础镜像中包含多少组件,以及包含哪些组件,包含的组件越多,可能存在的漏洞就越多。
2恶意镜像
公共镜像仓库中可能存在第三方上传的恶意镜像,如果使用了这些恶意镜像来创建容器后,将会影响容器和应用程序的安全
3敏感信息泄露
为了开发和调试的方便,开发者将敏感信息存在配置文件中,例如数据库密码、证书和密钥等内容,在构建镜像时,这些敏感信息跟随配置文件一并打包进镜像,从而造成敏感信息泄露
(2)容器生命周期的时间短
云原生技术以其敏捷、可靠的特点驱动引领企业的业务发展,成为企业数字业务应用创新的原动力。在容器环境下,一部分容器是以docker的命令启动和管理的,还有大量的容器是通过Kubernetes容器编排系统启动和管理,带来了容器在构建、部署、运行,快速敏捷的特点,大量容器生命周期短于1小时,这样一来容器的生命周期防护较传统虚拟化环境发生了巨大的变化,容器的全生命周期防护存在很大变数。对防守者而言,需要采用传统异常检测和行为分析相结合的方式,来适应短容器生命周期的场景。
传统的异常检测采用WAF、IDS等设备,其规则库已经很完善,通过这种检测方法能够直观的展示出存在的威胁,在容器环境下,这种方法仍然适用。
传统的异常检测能够快速、精确地发现已知威胁,但大多数未知威胁是无法通过规则库匹配到的,因而需要通过行为分析机制来从大量模式中将异常模式分析出来。一般来说,一段生产运营时间内的业务模式是相对固定的,这意味着,业务行为是可以预测的,无论启动多少个容器,容器内部的行为总是相似的。通过机器学习、采集进程行为,自动构建出合理的基线,利用这些基线对容器内的未知威胁进行检测。
(3)容器运行时安全
容器技术带来便利的同时,往往会忽略容器运行时的安全加固,由于容器的生命周期短、轻量级的特性,传统在宿主机或虚拟机上安装杀毒软件来对一个运行一两个进程的容器进行防护,显示费时费力且消耗资源,但在黑客眼里容器和裸奔没有什么区别。容器运行时安全主要关注点:
1不安全的容器应用
与传统的Web安全类似,容器环境下也会存在SQL注入、XSS、RCE、XXE等漏洞,容器在对外提供服务的同时,就有可能被攻击者利用,从而导致容器被入侵
2容器DDOS攻击
默认情况下,docker并不会对容器的资源使用进行限制,默认情况下可以无限使用CPU、内存、硬盘资源,造成不同层面的DDOS攻击
(4)容器微隔离
在容器环境中,与传统网络相比,容器的生命周期变得短了很多,其变化频率也快很多。容器之间有着复杂的访问关系,尤其是当容器数量达到一定规模以后,这种访问关系带来的东西向流量,将会变得异常的庞大和复杂。因此,在容器环境中,网络的隔离需求已经不仅仅是物理网络的隔离,而是变成了容器与容器之间、容器组与宿主机之间、宿主机与宿主机之间的隔离。
问题2:云原生等保合规问题
等级保护20中,针对云计算等新技术、新应用领域的个性安全保护需求提出安全扩展要求,形成新的网络安全等级保护基本要求标准。虽然编写了云计算的安全扩展要求,但是由于编写周期很长,编写时主流还是虚拟化场景,而没有考虑到容器化、微服务、无服务等云原生场景,等级保护20中的所有标准不能完全保证适用于目前云原生环境;
通过安全狗在云安全领域的经验和具体实践,对于云计算安全扩展要求中访问控制的控制点,需要检测主机账号安全,设置不同账号对不同容器的访问权限,保证容器在构建、部署、运行时访问控制策略随其迁移;
对于入侵防范制的控制点,需要可视化管理,绘制业务拓扑图,对主机入侵进行全方位的防范,控制业务流量访问,检测恶意代码感染及蔓延的情况;
镜像和快照保护的控制的,需要对镜像和快照进行保护,保障容器镜像的完整性、可用性和保密性,防止敏感信息泄露。
问题3:宿主机安全
容器与宿主机共享 *** 作系统内核,因此宿主机的配置对容器运行的安全有着重要的影响,比如宿主机安装了有漏洞的软件可能会导致任意代码执行风险,端口无限制开放可能会导致任意用户访问的风险。通过部署主机入侵监测及安全防护系统,提供主机资产管理、主机安全加固、风险漏洞识别、防范入侵行为、问题主机隔离等功能,各个功能之间进行联动,建立采集、检测、监测、防御、捕获一体化的安全闭环管理系统,对主机进行全方位的安全防护,协助用户及时定位已经失陷的主机,响应已知、未知威胁风险,避免内部大面积主机安全事件的发生。
问题4:编排系统问题
编排系统支撑着诸多云原生应用,如无服务、服务网格等,这些新型的微服务体系也同样存在着安全问题。例如攻击者编写一段代码获得容器的shell权限,进而对容器网络进行渗透横移,造成巨大损失。
Kubernetes架构设计的复杂性,启动一个Pod资源需要涉及API Server、Controller、Manager、Scheduler等组件,因而每个组件自身的安全能力显的尤为重要。API Server组件提供的认证授权、准入控制,进行细粒度访问控制、Secret资源提供密钥管理及Pod自身提供安全策略和网络策略,合理使用这些机制可以有效实现Kubernetes的安全加固。
问题5:软件供应链安全问题
通常一个项目中会使用大量的开源软件,根据Gartner统计至少有95%的企业会在关键IT产品中使用开源软件,这些来自互联网的开源软件可能本身就带有病毒、这些开源软件中使用了哪些组件也不了解,导致当开源软件中存在0day或Nday漏洞,我们根本无法获悉。
开源软件漏洞无法根治,容器自身的安全问题可能会给开发阶段带的各个过程带来风险,我们能做的是根据SDL原则,从开发阶段就开始对软件安全性进行合理的评估和控制,来提升整个供应链的质量。
问题6:安全运营成本问题
虽然容器的生命周期很短,但是包罗万象。对容器的全生命周期防护时,会对容器构建、部署、运行时进行异常检测和安全防护,随之而来的就是高成本的投入,对成千上万容器中的进程行为进程检测和分析,会消耗宿主机处理器和内存资源,日志传输会占用网络带宽,行为检测会消耗计算资源,当环境中容器数量巨大时,对应的安全运营成本就会急剧增加。
问题7:如何提升安全防护效果
关于安全运营成本问题中,我们了解到容器安全运营成本较高,我们该如何降低安全运营成本的同时,提升安全防护效果呢?这就引入一个业界比较流行的词“安全左移”,将软件生命周期从左到右展开,即开发、测试、集成、部署、运行,安全左移的含义就是将安全防护从传统运营转向开发侧,开发侧主要设计开发软件、软件供应链安全和镜像安全。
因此,想要降低云原生场景下的安全运营成本,提升运营效率,那么首先就要进行“安全左移”,也就是从运营安全转向开发安全,主要考虑开发安全、软件供应链安全、镜像安全和配置核查:
开发安全
需要团队关注代码漏洞,比如使用进行代码审计,找到因缺少安全意识造成的漏洞和因逻辑问题造成的代码逻辑漏洞。
供应链安全
可以使用代码检查工具进行持续性的安全评估。
镜像安全
使用镜像漏洞扫描工具持续对自由仓库中的镜像进行持续评估,对存在风险的镜像进行及时更新。
配置核查
核查包括暴露面、宿主机加固、资产管理等,来提升攻击者利用漏洞的难度。
问题8:安全配置和密钥凭证管理问题
安全配置不规范、密钥凭证不理想也是云原生的一大风险点。云原生应用会存在大量与中间件、后端服务的交互,为了简便,很多开发者将访问凭证、密钥文件直接存放在代码中,或者将一些线上资源的访问凭证设置为弱口令,导致攻击者很容易获得访问敏感数据的权限。
#云原生安全未来展望#
从日益新增的新型攻击威胁来看,云原生的安全将成为今后网络安全防护的关键。伴随着ATT&CK的不断积累和相关技术的日益完善,ATT&CK也已增加了容器矩阵的内容。ATT&CK是对抗战术、技术和常识(Adversarial Tactics, Techniques, and Common Knowledge)的缩写,是一个攻击行为知识库和威胁建模模型,它包含众多威胁组织及其使用的工具和攻击技术。这一开源的对抗战术和技术的知识库已经对安全行业产生了广泛而深刻的影响。
云原生安全的备受关注,使ATTACK Matrix for Container on Cloud的出现恰合时宜。ATT&CK让我们从行为的视角来看待攻击者和防御措施,让相对抽象的容器攻击技术和工具变得有迹可循。结合ATT&CK框架进行模拟红蓝对抗,评估企业目前的安全能力,对提升企业安全防护能力是很好的参考。
IT行业包括计算机硬件、软件与IT服务业。经过多年来的发展,包含IT行业在内的电子信息产业已经成为中国国民经济的支柱产业。分析中国IT行业的发展历史可以看出,内需是拉动中国IT行业持续增长的重要动力。下面一起看下IT行业的发展环境是怎样的
1990年前后,国内计算机市场销售每年不足10万台。从1993年起,由于金字系列工程的拉动,汉字技术的成熟,以及中国家庭用户对微机逐渐认知和接受等原因,内需市场开始以指数曲线迅速上升,中国IT行业也进入快速成长阶段。
20世纪90年代中后期,外资IT企业大规模向中国珠三角地区转移,IT领域的外商直接投资与合资、合作企业大量增加,中国IT行业从此进入国际化发展时期。21世纪以来,以台资为主的IT企业向长三角地区实施了更大规模的迁移,使中国迅速成为世界IT产品制造基地和出口大国。总体来看,中国IT行业的主导产品仍然是微型计算机及周边产品,软件与IT服务也得到了相应的发展。但外资企业发展的基础是国际市场,内资企业发展的基础仍然是内需市场。
20世纪90年代以来,随着中国政府和企业对于以IT技术带动传统行业发展重要性的日益重视,IT行业发展环境日益完善。中国越来越开放的投资环境和成本、资源优势成为全球IT产业战略转移的 热点 区域,这不仅带来了巨大的生产力发展和就业机会,同时,作为国际产业链条中的必要环节,梯次转移项目的加盟也增加了中国IT行业的国际贸易份额。在这种发展态势下,中国各类存储驱动器、打印机、 显示器 等外设的生产能力迅速攀升到数千万台以上,一些计算机零配件和耗材的产量达到世界第一,软件和IT服务行业也快速发展。中国迅速成为世界上重要的IT产品生产基地和出口大国。
行业发展环境
政策环境
中国IT行业的快速发展是与政府相关政策的大力支持分不开的。近年来,中国政府在鼓励IT行业发展方 面相 继制定了有关的 政策法规 ,以促进行业的健康发展,如国务院2000年发布的《鼓励软件产业和集成电路产业发展的若干政策》,对于促进中国软件产业的健康和快速发展起到了积极作用。2004年,信息产业部又宣布北京、天津、青岛、上海、苏州、杭州、深圳、福厦沿海地区、广东珠江三角洲地区9个城市和地区为首批国家电子信息产业基地。建设国家电子信息产业基地是实现中国电子信息产业由大到强转变的一项战略举措,也是市场经济环境下,政府主管部门转变观念和职能,引导、规范和促进区域产业发展的一种新尝试。目前中国电子信息产业仍处于国际分工的末端,核心技术匮乏,企业实力不强,已成为影响产业可持续发展的主要制约因素。信息产业基地的挂牌,再一次明确了中国电子信息产业的核心任务是实施电子强国战略,加快中国由世界电子信息产业大国向世界电子信息产业强国转变。
2004年1月,中国再次进行出口退税政策的改革,这将对包括计算机及相关行业的进出口产生重要的影响。总体而言,此次退税政策的改革是中国宏观政策对IT行业进行指导的一次必然选择,这必将推动企业提升出口产品的技术含量、进一步改善其出口商品结构,无疑将有利于产业的可持续发展。12月底,财政部、国家税务总局联合下发文件,把计算机等部分电子、信息技术产品的出口退税率由现行的13%重新提高到17%,具体产品还包括集成电路、部分分立器件、移动通信基地站等。种种迹象表明,国家正在逐步加大对电子信息产品出口的扶持力度。
经济环境
市场是产业发展的土壤。虽然近年来全球间行业较为疲软,但由于中国国内计算机尤其是PC机市场仍处于成长阶段,社会保有量仍相对不足,远未达到欧美市场的成熟度,市场仍有很大的增长空间。因此,中国IT行业能够在国际市场一片低迷的环境下,以庞大的内需市场牵引为拉动力量,保持着稳定的增长趋势。
世界宏观经济形势走势良好,为中国计算机产品进出口贸易的快速增长提供了良好的发展空间。各主要发达国家和地区的经济指标在2003年快速复苏的基础上,2004年均维持了较快的增长势头。亚洲地区其他国家的经济和进出口贸易活跃。世界经济好转和国际贸易的回升为中国IT行业提供了良好的需求环境和发展机遇。
投资环境
国家《行政许可法》的颁布实施,进一步规范了政府在产业发展中的行为,为政府规范、监督、引导、服务行业发展提供了法律依据,大大改善了中国IT行业的投资环境。
2004年,中国IT企业的融资 渠道 进一步拓宽。在政府宏观调控、银行加息等政策变革的情况下,中国IT企业的上市融资、资本并购依然取得了长足发展,为中国IT行业的发展提供了资金保障。
外资的不断进入使得中国计算机工业技术能力成长迅速,从而使中国良好的基础设施、完备的产业部门和劳动力优势得以充分发挥。外资向中国IT制造业的集中使其日益融入全球生产制造分工体系,产品出现大规模跨国流动,成为世界贸易链条中的重要一环。
市场规模
从IT市场的发展采看,近年来,受中国政府积极产业政策的支持和国内旺盛市场需求的拉动,中国IT市场一直保持着良好的增长态势。2004年,中国IT市场继续实现了稳定的增长,全年实现市场销售收入40831亿元,比2002年增长170%。其中软件和IT服务保持了较快的增长,增长率分别达到199%和26%。
从垂直市场来看,2004年,中国商业IT应用仍然占据IT市场625%的份额,其中大型企业应用增长了135%,市场份额从2002年的324%下降至292%,而中小企业应用持续快速增长,市场份额增至333%;在非商用市场,政府、 教育 和家庭应用需求继续呈现旺盛的增长态势,其中教育行业和家庭应用增长率均保持在20%以上,成为拉动中国IT市场增长的重要力量。
在行业应用市场,2004年,除了证券行业IT应用市场出现了2%的负增长外, 其它 各行业均实现了不同程度的增长。其中,医疗、教育、制造等行业的增长率均保持在175%以上,医疗行业则实现了377%的高速增长,同时在市场中的份额有所扩大;而银行业IT应用发展相对迟缓,仅比2003年增长57%;其他如电信、交通、能源行业的增长均低于总体IT应用市场的增长率。
在区域市场,2004年,中国IT市场的区域分布仍然呈现出不平衡的状况,但已有所缓解。其中,中国政府振兴东北老工业基地战略决策的发布和西部大开发战略的深入实施,在一定程度上带动了东北地区和西部地地区IT应用市场的增长。东北、华东、华南、西部地区均保持了178%以上的增长率,同时在市场中的份额有所扩大;而华北和华中地区的增长率则低于计算机总体市场的增长,在市场中的份额有所下降。
产品结构
近年来,中国IT市场在市场规模稳定增长的同时,市场结构也在逐步发生着变化。2004年,计算机硬件设备的销售仍然占据715%的市场份额,但比2003年的73%有所下降;而软件和IT服务的市场份额则有所扩大,其中IT服务的份额增长较快,由2003年的156%增长至2004年的168%。
赛迪顾问把计算机硬件市场划分为计算机系统、外围设备、网络设备、数码产品、应用产品与其他五大类。2004年,从市场的销售情况来看,计算机系统、外围设备增长相对缓慢,增长率均在9%以下;而数码产品和网络设备发展较快,其中数码产品实现销售额1973亿元,同比增长729%,成为拉动计算机硬件市场增长的重要力量。
计算机系统
2004年,中国计算机系统市场保持了稳步的增长态势,销量实现16815万台,同比增长177%;销售收入实现12263亿元,同比增长86%。随着IT市场竞争的日趋激烈,产品销售价格持续下滑,导致市场销售收入的增长普遍低于销量的增长,这已经成为必然的趋势。从细分产品市场来看,RISC服务器和UNIX工作站的增长相对缓慢,而 笔记本 电脑保持了最快的增长,销量同比增长40%,销售额同比增长272%。
信息化建设的成功除了有赖于符合未来整体发展战略的业务实现模式和业务逻辑、符合业务模式和业务逻辑的信息技术架构和平台,还需要相应的信息管理组织去支撑业务信息系统的规划、实施、运营、维护和管理。怎样构建企业IT运营管理体系,使得企业信息管理模式与企业业务管理模式和企业应用特点能够有机的融合,是企业信息组织建设的关键,同时也决定了企业未来在信息化建设方面顺利推进的重要保障。
1 对企业IT管理使命的理解
在充分理解和融合企业业务管理战略的基础上,运用先进的管理思想和信息技术,推动企业改革与发展;建立满足企业需要的一流的IT基础设施,迅速地提升企业IT能力和应用水平,满足企业未来发展战略的需要。为此,建立高效的IT运营管理体系是首要任务。一般来说IT运营管理基本定义应包括以下内容:
·IT运营管理基本原则:应作为企业集团IT运营管理体系的基本指南;
·IT运营管理策略:用于确定企业集团各种IT活动间关系的基本原则和出发点;
·IT运营管理组织:明确企业集团各项信息技术活动的授权和责任;
·IT运营管理流程:明确信息技术活动的程序以保障高效的运作;
·IT运营资源和技能管理:提供企业IT管理运作所需要的技能资源;
·IT运营体系的运行与维护:保障企业IT运营体系服务的成本效率和 *** 作性。
2 IT运营管理基本原则
IT运营管理基本原则是指为加强企业在信息技术方面的战略执行能力而提出的基本的准则和指导性的方针。根据信息技术发展的特点结合企业信息化的发展需求,其基本原则框架应由七个部分组成:
总方针
战略的融合:信息技术因素需要渗透到企业战略的制定中去;
业务伙伴关系:企业的IT将与业务用户在工作上建立伙伴关系,以了解和达成企业的业务实现目标;
IT项目应视为投资:信息技术项目应该被视为一项投资,它应以支持业务需求为基础;
以客户为中心:信息化管理应以服务水平为基础,重点应关注在满足业务部门的需求;
IT组件配置:应遵从IT体系结构和IT标准;
IT资源共享:IT资源应被视为企业的一项资产,每一个企业员工都有责任和义务正确的使用和保护这些资产;
IT策略和规划的沟通:IT的策略和规划应在企业集团内部进行有效的交流和沟通。
信息组织和流程
熟练和专业的工作团队:保持一个熟练和专业的工作团队管理整个体系结构,以确保达成业务目标, 业务部门从组织上参与信息部门的管理;
策略和规划的管理:为适应业务和技术的变化,有必要对策略、规划、管理、信息服务目标实现的成效作周期性审查和改进;
流程与职责:流程和职责分配要被明确清楚定义。
技术管理
技术创新的使用:主动进行技术创新,以增强企业的核心竞争力;
行业标准的使用:当存在相应的行业标准并能满足所涉及的业务需求时,应采用相应的行业标准;
因特网技术的作用:未来的应用系统和服务的交付要考虑使用互联网/企业内部网/局域网技术。
IT运营服务管理
未来的企业,在信息技术硬件和软件的应用方面会愈来愈集中,即通常所说的物理集中和业务逻辑的集中。信息中心的职能在这种高度集中的模式下,其定义相应地发生了改变。从组织层面上来看,信息管理组织将企业的IT部门从成本中心转化为服务中心;从具体IT运作层面上来看,它不是传统的以职能为中心的IT管理方式,而是以流程为中心,对复杂的IT管理活动进行管理,比如事故管理、问题管理和配置管理,将这些流程规范化、标准化,明确定义各个流程的目标和范围、成本和效益、运作步骤、关键成功因素和绩效指标、有关人员的责权利,以及各个流程之间的关系。它的根本目标体现在:
(1)提供以业务为中心的信息服务;
(2)提供高质量、低成本的服务;
(3)提供的服务如需要是可准确计价的。
数据
数据获取:每个数据将仅在企业第一次出现的时间和地点被获取一次,以后在整个企业内部共享;
数据分布:数据分布应遵守完整性和应用的需求,数据容量、数据需求共享、网络能力和数据安全同样也需考虑;
数据词典:应有一个对企业所有应用程序存取并遵循的、全公司范围的数据定义;
数据共享:应用程序应共享已有的数据,除非必须要坚持满足特殊的安全性和完整性需求;
数据所有权:每一个信息单元都需指派拥有者,负责定义数据的使用规则和保护规则;
数据质量:所有的数据在概定的频率内均可得到,保存时间长短要按时间而定,还应经过标准验证流程验证,确保数据的准确性和完整性。
应用系统
用户需求:所有的应用系统的采纳或设计都必须依照用户业务需求,并要得到业务赞助人的认可;
公共评价标准:对企业内部所有的应用系统(包括软件包)将采用一套公共的评价标准进行评价;
引进与管理:采用标准软件包。对于新应用系统供应商的引入需要建立相应的控制策略及制度,建议重点考虑国际领先的标准软件包。
网络
外部连通性:网络必须使外部连接更方便;
行业标准:行业标准将被用于企业内部和对外的沟通;
单一的逻辑网络:将只有一个逻辑、用于实际运作的网络为各互联系统提供应用和数据存取;
因特网技术:企业的网络支持因特网技术。
系统管理
服务水平管理:资源将被选择、配置和管理以满足业务的服务水平目标;
性能和容量管理:解决方案的设计应便于性能和容量管理;
安全和方便使用管理:安全措施应是全面的,但不能妨碍用户完成工作;
可用性管理:按事先达成的服务水平的协议,用户应该能够随时随地得到所需要的资源;
灾难恢复计划:有能力从灾难中恢复关键业务功能,这些关键业务是按重要程度排序的。
3 IT运营管理策略
在考虑企业未来的IT管理体系时,我们首先需要明确的是未来企业的IT管理策略。IT管理策略就是提供一些基本原则,用来将各项管理职能及业务、资源,在公司内、外部之间,以及各级管理和业务单位之间合理地分配和组合,以保障企业IT使命实现并充分优化成本和效率目标。
IT管理运作模型
在分析企业的IT管理策略时,我们以下图所示的IT管理运作模型为基础。该模型在许多IT技术应用较为成熟的国际化大公司得到应用,并取得良好的效果。
企业IT管理运作模式就是在此基础,结合企业自身的实际情况,企业IT使命、定位和战略选择,及未来发展模式,将各项管理职能及业务、资源,在集团及各权属公司之间以及外部关联单位之间合理地分配和组合。
内/外部分配策略选择
业务外包已经成为当今世界范围优秀企业在运作方面的一个重要趋势,尤其是IT业务的外包。通过利用外部资源,使企业的IT运作降低成本和降低风险,并更加集中于自己的核心竞争力。我们需要在IT管理策略进行更为具体的思考,以保证这项战略取得成功。
考虑内、外部分配的原则,是根据IT管理职能和业务对企业的战略价值进行区分。能够对企业战略利益产生重大影响的管理职能和业务,包括基本原则、策略、标准、规划、体系结构、用户需求等方面,应当视为企业的关键能力保持在内部,可引入外部资源提供相关咨询服务支持。而与公司核心竞争力关系较小管理职能和业务,包括方案实施推行、提供运作服务、IT服务和解决方案支持、IT资产和基础设施管理等方面,则可以根据在效率、成本、资源方面的内外部优势比较,考虑由内部管理或是采用外包。
集中/分散控制策略选择
主要包括两个方面:
·规划、控制和标准
·资源,包括人力资源、技术资源以及软硬件资源
根据对以上两个方面进行集中控制或分散控制的不同考虑,可以构成如下图所示的四种可选择的策略:
通过前面的分析我们看到,目前企业IT管理多数是一种“分散资源,分散控制”的方式。这是造成公司目前信息系统诸多问题的一个关键因素,已经不能适应企业未来发展的需要。企业需要根据自己的实际情况,结合当今信息管理的最佳实践做出新的选择。
通过对实现规模效益与保障对业务用户需求的快速有效支持方面的平衡考虑,可以适当地提高对IT资源的集中管理控制。即在IT管理策略方面进行如下图所示的转变:
信息管理策略建议
·企业需要集中IT制度、标准、基础设施方面的管理控制,以确保实现企业对未来信息系统在成本效率、互 *** 作性、对关键业务流程的支持能力方面的要求;
·涉及企业集团主要业务流程及公共的应用系统及相关基础设施包括数据中心、公共网络等,由集团集中建设和管理控制;
·满足具体业务单位特殊业务需求的独立性应用系统,及运行于PC机的个人办公软件等,及PC机、打印机等信息系统终端设备、局部网络,由各权属公司的信息中心在企业集团统一的标准和规范下进行运作;
·考虑到规模效益和管理的有效性,建议在目前模式下适当提高集中度,当企业统一的信息管理平台实施并建成后,成立企业集团信息中心来完成相应的各项管理与维护职能。
4 IT运营管理模式与组织架构
管理组织架构
根据企业IT的使命及定位,应提高未来信息管理组织的地位,使其能够成为:
·充分地掌握公司战略、目标、决策、运作情况等必要信息;
·拥有足够的职权行使其职能,保障信息技术与公司战略的紧密结合,并推动信息建设和应用;
·有能力与其他职能和业务部门充分地沟通与协作,使信息技术能够支持业务目标;
·流程和IT技术:将信息系统的建设和业务流程的梳理、优化紧密结合,使系统建设从技术驱动向业务驱动转变,真正发挥支撑业务运作的杠杆作用,从而给企业带来最大的收益;
·制定与实施IT体系结构标准规范,使企业集团(含权属公司)统一在一个高效的IT平台上运作;
·项目实施和信息系统运作支持分开,使信息管理部门更好地发挥检查和平衡作用。
结合前面对企业信息组织管理策略及运作模型的分析,未来企业信息管理组织机构的设置如下图所示的:
信息化委员会
作为企业的IT业务赞助者,由集团总裁领导下的各职能部门、权属公司负责人组成的非常设机构,承担以下职能:
·审批集团信息化建设和业务流程优化战略、规划;
·审批信息系统建设和业务流程优化计划,为业务流程优化和信息系统建设项目确定优先级,并提供所需资金和业务资源;
·审查和评价信息系统建设的收益和风险;
·对企业信息化建设的风险和收益做监控,并对重大问题进行协调和决策。
信息总监
建议由具备企业战略发展思维,能够统筹协调并赋予足够决策权的人担任。副总裁级人员,同时是信息化委员会副主任,作为企业集团信息战略的执行和管理者,应承担以下职能:
·确保信息系统的运营与公司战略目标的紧密结合;
·管理信息系统的业务价值。审视集团 (含权属公司)各业务流程的运作状况和信息系统支持情况,促进信息部门与业务部门/单位的沟通和协作,保障信息系统的价值为企业业务部门/单位所共识;
·确定公司信息系统管理规范,向信息化委员会提出信息战略和技术应用方向,保证信息系统对业务的服务和支持;
·管理公司信息技术基础架构和资源,审批公司信息技术方针政策、制度、流程、标准,信息组织机构调整及重要的外部合作等;
·推动和监控集团(含权属公司)信息系统和业务流程项目的实施,并具体监控企业集团信息系统的运作水平,向信息化委员会和集团总裁报告。
集团信息中心
作为信息管理的核心部门,在信息总监的领导下实施信息系统建设应用,并保障信息系统与战略结合,支持业务目标,通过流程优化提高企业竞争力。承担的职能可分成规划控制、流程管理、项目管理、运行监管四部分,根据企业的具体情况,每个部分可以设置成一个项目组负责,项目组成员可以由相关的部门主管或业务骨干兼任,例如战略发展部可以参与规划控制项目组、人力资源部可以参与流程管理项目组等等,各部分具体职责如下:
1、规划控制
·与业务部门/单位共同确认业务需求,并制定企业信息系统规划和计划,并对有关的信息系统建设和业务流程管理项目的优先级提出建议,上报信息总监和信息化委员会;
·跟踪信息技术发展及相关管理实践经验,保障企业集团信息系统规划的制订与执行,为提高公司的竞争力服务;
·制定并及时更新信息系统和业务流程管理相关的规章制度、标准和流程,上报信息总监和信息化委员会发布,并监督执行;
·管理企业的信息系统体系结构,以确保信息系统在成本效率、互 *** 作性、对关键业务流程的支持能力方面的要求;
·审查集团范围内(含权属公司)的信息系统建设方案及采购,为信息化委员会的决策提供依据,确保满足有关的体系结构标准和规章制度;
·外部IT供应商的认证和评价管理,确保外部信息系统供应商执行集团有关的体系结构标准和规章制度;
·监控全集团范围内的IT技能和资源状况,为实现公司IT使命和目标提供保障,并就有关技能和资源的开发引进向信息化委员会提出建议。
2、流程管理
·参加公司信息系统规划和计划,并对规划和计划中业务流程优化项目的方案、计划可行性以及资源需求负责;
·跟踪业务流程相关技术发展及管理实践经验,并推动有关的知识和技能在全集团范围内的有效传播;
·参加集团 (含权属公司)业务流程管理相关的规章制度、标准和流程的制定;
·参与监控业务流程优化工作。
3、项目管理
·参加公司信息系统规划和计划,并对规划和计划中信息系统建设项目的方案、计划可行性以及资源需求负责;
·管理或组织协调企业信息系统建设项目,对项目的目标、进度、成本、质量负责。对各权属公司信息化建设项目进行监督;
·负责所有已批准的集团级信息系统建设项目的外部采购。以及软、硬件选型和项目实施管理。
4、运行监管
·与业务部门、内外部运行服务提供单位协商确定服务水平和标准;
·参加集团信息系统规划和计划,并对规划和计划中信息系统建设项目的运行服务水平和标准要求负责;
·依据预先制定的标准对建设完成的信息系统项目进行投入运行的验收确认,确保系统未来运行达到有关的管理标准和服务水平要求;
·监控内外部运行服务提供单位的服务和技术支持达到设定的水平和标准,协调解决有关的问题;
·管理和监控集团IT资产和基础设施,以满足相应服务水平和标准的要求,并保障集团有关IT运行服务的长期安全;
·在服务管理的机制下确保信息系统所提供的服务满足业务部门的具体需求。
权属公司信息中心
权属公司信息中心作为本业务单位的IT管理和支持服务部门,在业务上接受集团信息中心的管理和指导,而在行政上可以继续由各权属公司负责。
·执行集团有关IT管理制度和标准,向本业务单位范围内各业务部门提供IT管理和支持服务;
·参加集团信息系统建设和业务流程优化项目,协调涉及本业务单位的有关工作,并为本业务单位所涉及的业务需求负责;
·管理和维护本业务单位的局域网、PC机及其他信息终端设备等本单位IT资产,以保障本单位所涉及的信息系统的正常运行;
·负责引进开发用于满足本单位独特业务需求的独立性应用系统,并负责相应的维护和技术支持。
外部IT咨询服务公司:
定位在企业战略性的独立外部IT公共服务及相应的外部能力资源。因为企业已明确IT咨询服务公司负责管理运作对企业具备重要战略价值的信息系统关键基础设施及提供相应服务,故在这里也将其考虑为企业未来IT的组成部分。企业内部IT与IT咨询服务公司的业务关系,由企业信息总监CIO负责管理,信息中心及各权属公司的信息部门具体分工执行。IT咨询服务公司作为企业IT的一个独立组成部分承担以下责任:
·作为指定单位负责向企业提供关键应用系统公共服务,并依照公平的市场原则收取服务费用;
·依照公平的市场原则下承担企业的IT规划、流程优化、IT管理制度标准等方面的咨询;
·依照公平的市场原则下承担企业的信息系统方案设计、实施和开发,及第三方项目监理等服务。
IT管理组织机构过渡考虑
·信息化委员会建议由企业集团的信息化应用领导小组改造而成;
·从企业集团信息管理角度,近期信息中心可以仍由战略发展部分管,可考虑强化战略发展部的职能,加强/建立其在IT规划控制、流程管理、IT建设和运作管理方面的职权;
·企业集团可以一方面考虑整合现有的信息技术管理人才资源(含权属公司),另一方逐步培养或引进,使信息中心逐步独立承担起管理企业IT的使命;
·在集团即将建设统一的信息系统平台应用方面,建议利用集团在投资方向上的管理权利推动在各权属公司的应用,按照“整体规划、分步实施”的原则,从集团财务管理信息化管理入手,选择试点适当的单位进行实施,用事实来使信息化管理平台的优越性得到充分的体现,为全面推广应用打下坚实的基础。
5 IT运营管理关键流程
为管理好企业的IT运营管理,需要建立和落实一系列的流程。具体如下:
·集团信息化规划流程
·权属公司信息化规划审核流程
·集团信息化招标管理流程
·集团信息化采购管理流程
·权属公司信息化采购管理流程
·信息管理规范制订与维护流程
·IT项目立项流程
·IT项目管理流程
·IT系统维护流程
·IT系统安全管理流程
·IT系统安全检查流程
6 IT运营资源和技能管理
面对未来的使命,企业IT的管理和运作依赖于从事相关工作的人员具备合适的技能。目前企业IT最紧迫需要加强的技能有以下几方面:
·IT管理:吸取IT组织如何在企业或其他有重大使命的行业中产生业务价值;
·业务分析:收集IT客户需求并成功地将业务需求转换为IT需求,这种技能有助于IT更能以客户为中心;
·项目管理:保证解决方案的实施能在财政预算范围内及时的产生所承诺的价值;
·软件包引进和实施:识别适当的软件包并建议相应业务流程变革;
·业务流程分析与优化:发现现有业务流程问题并推动流程变革;
·系统管理:建立系统管理原则,并利用相应的解决方案来简化每天的运作。
企业应当综合考虑如下的资源获取方案,以建立未来IT所需的技能:
·整合内部资源:利用集团(含权属公司)已有的信息技术与人才资源;
·内部培训:逐渐获得技能;
·招聘:迅速获得技能;
·外包:使用外部技能资源。
7 IT运营体系的运行与维护
未来企业的信息中心将承担整个集团的物理系统和业务逻辑的运营和维护。作为信息服务中心,稳定高效及时的信息收集、处理和发送将直接关系到整个集团日常业务的运营。因此,合理有效的信息服务管理模式是实现IT信息服务水平的基础。针对企业的未来业务管理模式和信息系统软、硬件的特点,IT信息服务管理模式如下:
整个服务架构是由5个部分构成的,即业务管理(商业视角)、服务管理、IT基础架构管理、应用管理、安全管理,它们的定义如下:
1、业务管理(商业视角):从业务部门而不是IT服务提供者(技术)的角度理解IT服务需求,也就是说,在提供IT服务的时候,我们首先应该考虑业务需求。业务管理这个模块就是用于帮助业务管理者如何利用商业思维分析IT问题,深入了解IT基础架构支持业务流程的能力和IT服务管理在提供端到端IT服务过程中作用,以及协助他们更好地处理业务部门和信息部门之间的关系,以实现商业利益;
2、服务管理:服务管理模块是整个服务架构的核心,它以一系列典型流程的方式把大部分IT管理内容进行了合理划分和管理。服务管理模块由服务支持和服务提供两个子模块构成。其中服务提供由服务级别管理、IT服务财务管理、IT服务持续性管理、可用性管理和能力管理组成,服务支持由事故管理、问题管理、配置管理、变更管理和发布管理等职能组成。服务管理取决于所实施的系统和业务部门的业务需求特征;
3、IT基础架构管理。IT服务管理的本质也是对IT基础架构的管理,只不过它采取的是一种与通常的管理方法不同的方式,即将对IT管理的任务标准化和模块化,然后打包成服务按需提供给客户。IT基础架构管理模块覆盖了IT基础架构管理的所有方面,从识别业务需求、实施、部署以及支持和维护基础架构。其目标是确保提供一个稳定可靠的IT基础架构,以支撑业务运作;
4、应用管理:IT服务管理包括对应用系统的支持、维护和运营,而应用系统是由业务部门或信息中心或第三方开发的。IT服务管理的职能应该合理地延伸,介入应用系统的开发、测试和部署。应用管理模块解决的是如何协调这两者,以使他们一致地为服务于业务部门;
5、安全管理:其目标是保护IT基础架构,使其避免未经授权的使用。安全管理模块为如何确定安全需求、制定安全政策和策略及处理安全事故提供全面指导。
服务管理模式的应用
可以想象,未来数据信息中心将是一个庞大和复杂的,如此高度集中的物理系统和业务逻辑系统给信息管理部门提出了非常高的运营和维护要求,服务管理模式的提出为信息中心在确保信息服务质量,提高服务满意度方面给出了一个结构性的管理架构。
在未来企业的系统中,在确认系统满足业务需求的前提下,还需要以这里所提出的“服务管理模式”的思想建立这样的服务管理控制系统,并与信息中心的组织架构相融合,对整个信息中心的信息服务进行监控和管理,从而提高业务系统应用水平的同时,降低系统维护的强度。
“服务管理模式”是未来信息中心必需的,但就目前企业信息化建设的情况来说,从降低风险和资源需求的角度上分析,不是目前的重点。一般,在业务部门业务运作基本上已运用信息系统进行时,服务管理模式才开始启动。
要点三人力资源计划
角色和职责的分配 :
测试的角色(谁)和职责(做什么)必须落实到合适测试的相关人员。角色和职责可能会随着时间而改变,大多数角色和职责将分配给积极参与测试工作的有关人员,如测试经理、测试管理小组的其他成员以及为测试做出贡献的个人。要找出完成测试所需要的角色和职责时,必须考虑到以下几点∶
(1)角色∶某人负责测试某部分工作的标识,如测试经理、测试成员、测试设计人员。角色的明确性如职权、职责和边界对于测试成功至关重要。
(2)职权∶使用测试资源、做出决策和批准的权利,如实施方法的选择、质量接受水平以及如何对测试进行中的偏差做出反应。当团队成员的权利和职责匹配时,他们能做得最好。
(3)职责∶为了完成测试,要求测试团队成员执行的工作。
(4)能力∶完成测试活动所需要的技能。如果测试团队成员不具备完成测试活动所必须的能力,那么绩效将受影响。当发现岗位职责与能力之间存在某种程度的不匹配时就必须采取提前的应对措施如培训、招聘人员或变更测试范围。
测试的组织结构图 :
可使用多种形式描述测试的角色和职责,最常用的有三种∶层次结构图、责任分配矩阵和文本格式。除此之外,在一些分计划(如风险、质量和沟通计划)中也可以列出某些测试的工作分配。无论采用任何形式,都要确保每一个工作包只有一个明确的责任人,而且每一个测试团队成员都非常清楚自己的角色和职责。
责任分配矩阵
反映团队成员个人与其承担的工作之间联系的方法有多种,而责任分配矩(PAM)是最直观的方法。在大型测试中,RAM 可以分成多个层级。如高层级的RAM可以界定团队中的哪个小组负责工作分解结构图中的哪一部分工作;而底层级的RAM被用来在小组内为具体活动分配角色、职责和授权层次。矩阵格式,又称表格,可以使每个成员看到与自己相关的所有活动以及某个活动相关的所有成员。责任分配矩阵有时在矩阵中以字母引用。
如表1-1中所示的 RAM 可以被称为 RACI(Responsible 负责 Accountable参与 Consult征求意见 Inform通知)(表1-2),左边一列代表的是各项活动,右边各列的第一行代表的是人员(也可以是小组或部门)
③文本格式,见图3-2。团队成员职责需要详细描述时,可以用文字形式表示。通常提供如下信息∶职责、权利、能力和资格。这些文档有各种称谓如职位描述表、角色、职责、权利表等等。这些描述和表格在测试的整个执行过程中会根据
验教训进行更新,以便为将来的测试提供更好的参考。
人员配备管理计划 :
人员配备管理计划是测试管理计划的一个分计划,描述的是何时以及怎样满足人力源需求。根据测试的需要,它可以是正式的或者非正式的,既可以是非常详细的。也可以是比较概略的。为了指导正在进行的团队成员招聘和团队建设活动,人员配备管理计划随着测试的持续进行而经常更新。人员配备管理计划中的信息随着测试应用领域和规模的不同而不同,它应该包括以下基本内容∶
(1)组建测试团队。在计划招聘所需的测试成员时,测试管理团队必须回答很多问题。如所需的人员来自组织内部还是外部是否有足够多的人员拥有所需的能力或者是仍需培训测试成员需要在固定地点工作或是远程分散办公测试所需不同层次的专业技能成本如何人力资源部门能够提供给测试管理团队什么样的支持
(2)时间表。人员配备管理计划说明了测试团队成员(个人或者集体)的时间安排,以及相关的招募活动何时开始。
(3)人力资源释放安排。事先确定测试团队成员遣散的时间和方法,对测试和组员都是有好处的。当已经完成任务的人员在适当的时候离开测试时,我们就不用再继续为其付人工费,从而降低测试的成本。提前将这些人员平稳地转移到新测试上也可以提高士气
(4)培训需求。如果计划分配到测试中的人员不具备必须的技能,就要制订出一个培训计划。这个计划可以包含如何协助团队成员获得对测试有益的证书,从而促进测试的执行。培训计划是测试计划的一个分计划。
(5)表彰彭和奖励。明确的奖励标准和完善的奖惩系统将有助于推广和加强期望的行为。要想有效,表彰和奖励必须基于个人负责的活动和绩效。如某人可以为达到成本目标而受到奖励,但同时他应该对费用的支出决策有一定程度的控制权。在编制人力资源计划时,表彰及奖励计划是他的一部分。表彰和奖励的实施是团队建设过程的一部分,最后要确保兑现奖赏。
(6)遵守的规定。人员配备管理计划包括一些策略,以确保遵从相关的政府法律如劳动法、规章、制度、劳动合同或其他的与人力资源相关的法律法规和政策。
(7)安全性。针对安全隐患,为确保测试团队成员而制定的政策和规定,应该纳入人员管理计划和风险清单内
前几天参与了公司组织的”引航计划“培训。
公司TOP分享了,”新零售战略漫谈“。
品牌事业部TOP分享了,"品牌管理,企业变革对于管理者的挑战与机遇”,如智能智造对品牌的挑战与机遇。
两位TOP分享的都是技术变革所引起的企业变革的话题。
让我印象特别深刻的是两位TOP对于变革都是积极拥抱的,变革的第一性原理都是
"一切以顾客为中心,以满足顾客需求为目的”。
这让我陷入深思,
企业的核心竞争力是 ”快速响应“、”挖掘“、”引领“顾客的需求,一切以"顾客(用户)需求"为中心。
哪么信息系统建设的原则也是必须支撑企业的核心竞争力来搭建。
目前我们公司搭建的信息系统如何
能否支撑未来企业的高速发展
如果需要变革或优化,方向又是什么?
工业时代,信息化建设一般以"前台+后台"的平台化架构来搭建,所有的软件系统都是基于这种方向来规划、设计。
一、前台、后台系统的定义
前台,每个前台系统就是一个用户的触点,是用户直接使用或交互的系统。
例如,网站、手机APP、微信公众号等都属于前台范畴。
后台,每个后台系统管理企业的核心资源(计算+数据),以规范处理企业底层核心资源和企业的核心可追溯单据为主要目的(采购、销售、财务订单等),它们的变更需要严瑾的申报审批流程和更高级别的测试部署要求,天然导致它们变更频率低、变化成本高、变化周期长。
例如,财务系统、OMS系统、客户管理系统、仓储物流管理系统等。
基础设施、计算平台作为企业的核心计算资源,也属于后台的一部分。
前台、后台系统来源有两种
1、花大价钱外采,实施,需要每年支付大量的服务费,定制化困难。
2、花大价钱自建,一身的补丁,年久失修,同样变更困难。
有人会说,现有的版本较低,可重新搭建新的后台系统。
但是由于前、后台系统天然的特性,重建也只是推倒了一个“烟囱”,只是新建一个差不多的“烟囱”,建的越多,后期的运维会越艰难(天港城、DRP、AFS、FMS等)。
二、前台+后台系统框架的僵局
"前台系统"是用户直接使用或交互的系统,而企业的核心竞争力是 ”快速响应用户的需求"。
所以前台系统为 用户而生 ,需要快速的创新迭代、越快越好。
“后台系统"的目标,主要是为了实现企业资源的数字化管理,解决企业管理的效率问题,而不是完全为了服务于前台系统。
后台系统往往是稳定至上,越稳定越好。
前台系统是需要快而美,快速迭代。
这样前台、后台系统的的配速不区配。
而企业会不断发展,顾客(用户)需求的不断变化,后台修改的“成本”、“危险”也只会越来越高。
后台系统对于变化,天然会选择保持稳定性与可靠性,响应速度会越来越慢,甚至无法响应,或者将很多的业务逻辑不断的加到前台系统,造成前台系统不断膨胀,渐渐拖垮前台系统,同时用户的满意度下降,企业的竞争力自然也随之下降。
这样前台需要的快而美、后台系统的稳定可靠天生就陷入僵局 。
我们公司是不是也慢慢体现这种特点
顾客需求多、变动频繁,而信息平台的响应速度也是越来越慢 或直接说NO
哪有没有解决之道?或有没有路径来处理?
移动互联网时代的弄潮儿,国内毫无疑问是阿里、腾讯、华为等。
其中阿里从最初的淘宝、天猫、支付宝、蚂蚁金服、阿里云等,业务不断扩展,阿里的技术团队在业务的不断摧化下,经过多年的努力,将自己的技术和业务能力沉淀出一套综合平台(大中台、小前台的系统框架),具备了对前台业务变化及创新的快速享应能力。
阿里的信息平台中,引入了中台的业务架构。
中台业务架构是将一些基础公用的业务服务抽像出来,形成 共享平台 ,提供给所有的前台业务使用。
一、中台定义
中台为前台而生,目的就是更好的服务前台规模化建设,更好的响应服务引领用户。
前台系统中的通用业务能力"沉降"到中台,为前台减肥,恢复前台的响应力。
后台系统中需要频繁变化或是需要被前台直接使用的业务能力“提取”到中台层,赋予这些业务能力更强的灵活度和更低的变更成本。
中台是在“前台”与“后台”之间添加一组变速轮,将前台、后台的速率进行区配,在”前台“与”后台“之间搭建桥梁,易于前台使用,将后台资源顺滑流向用户,响应用户。
中台作为桥梁,链接了用户与企业核心资源,可以将业务沉淀在中间层,覆予这些能力更强的灵活度和更低的变更成本,为前台提供强大的能力炮火。
二、中台的核心价值
1、以用户为核心的持续化创新能力,是中台建设的核心目标,业务响应能力和创新能力,是互联网时代企业综合能力的核心体现。
2、中台建设根本上是为了解决企业响应慢困境, 弥补顾客需求快速变化的前台和稳定可靠驱动变化周期相对较慢的后台之间的矛盾,沉淀业务能力,打通并顺滑链接前台需求与后台资源,帮助企业不断提升用户响应速度。
在未来企业信息化平台的建设过程中,我们需要建设自己的中台层。
公司现建立了比较强大的信息化平台,如SAP、OMS、CRM、WMS、SRM、POS、OA等。
也建立了较强大的系统流程运维、研发团队,有较强的软件项目开发、运维经验。
随着新技术发展(如移动互联网、物联网等)、顾客生活方式的变化、人工材料成本上升、个性化需求等各种因素,公司战略也会变动,相应的信息化系统为了支撑业务的变化也会调整。
如最近公司"新品牌"的创建,就是为了适应这种变化,对于这种变化,信息化平台如何变化,我的思考如下(仅是我个人思考,有可能全是错的)
新品牌
一、顾客定位,相对于现有品牌顾客会 年轻、更爱美、有个性、有相应的经济能力,是随着互联网发展成长起来的群体。
二、产品定位,相对于现有品牌价位会偏低,多样化、年青化、舒适。
三、销售渠道,线上线下融合,购物更方便、快捷、售前、售后体验好。
四、供应链渠道快捷,可直接采购、或外协加工,供应链需敏捷反应。
信息系统规划及方向
顾客年青化、线上线下融合、敏捷供应链,基于互联网时代的特性,信息系统的搭建也需要基于"共享服务中心”的IT架构来实施、搭建。
“共享服务中心”的IT架构。
一、可以避免重复功能的建设、维护带来的成本浪费。
二、可以最大程度避免需要打通不同系统间实现业务交互带来的集成协作成本(如SAP、OMS、WMS、POS、CRM等)。
三、业务可持续沉淀、形成可重用的服务中心,为业务的快速发展、创新带来价值。
四、可以让企业具备跟互联网企业一样的业务快速创新、试错的能力。
五、信息中心,往核心业务和数据运营团队进化,更快、更好的支持业务发展,培养即精通业务,又熟悉技术的复合型人才。
2019年或之后的很长一段时间,我们应搭建相应“共享服务服心”
一、统一库存服务中心
统一库存共享和分配的过程,提高库存的管理能力,实现全渠道库存的可视、可控。
二、统一会员服务中心
统一各个业务线分散的用户体系,统一用户数据、存储及服务接口。
三、统一商品服务中心
商品是所用用户、系统的入口,对数据的质量要求很高,高质量的数据是所有业务的基础
四、统一的交易服务中心
交易业务领域的服务中心,包括交易流程、订单管理、结算、营销、评价等。
五、统一的物流服务中心等一系列的中心
服务中心构建好后,相应的“全渠道销售平台”信息平台,自然也水到渠成。
共享服务中心的IT架构,在前台、后台系统之间搭建中台,会更快、更好的响应顾客需求、提升组织效率。
同时共享服务中心的搭建,对于研发组织、研发流程有新的优化与要求。
应避免或淘汰目前的“项目制”的实施SOA的误区。
1、所需技能:
(1)外包开发行业快速发展,对“人才”在代码和文档方面的规范性、技能和工具的熟练程度要求越来越高;
(2)Java和NET技术在市场上平分秋色,都有大量的岗位需求,;
(3)软件开发企业对开发人员的基本技术素养强调得越来越多,例如:面向对象的程序设计思想和代码组织方法、HTML/CSS/JavaScript客户端技术;
(4)为了保证质量和工期,企业中大量使用各种框架技术,要求开发人员至少熟悉一种框架技术;
2、it工程师
IT工程师是从事IT相关工作的人员的统称。它是一个广义的概念,包括IT设计人员、IT架构人员、IT工程管理人员、程序员等一系列岗位,工作内容都与软件开发生产相关。
扩展资料:
IT工程师就业趋势:
互联网企业对人才的需求中,IT技术岗位的需求相对较多,人才的求职相对较易,根据数据显示,以设计类人才配额为基准,不同融资轮次的互联网公司在人才配比方面都围绕技术类人才进行配比,即技术人数≈产品人数+设计人数+市场人数+运营人数,体现出技术人才是互联网公司的核心。
融资D轮以上的互联网公司人才数量最多,其中技术人数、产品人数和运营人数都占公司人才配额的很大一部分。其他融资轮次的公司人才数量随着公司融资轮次的增加,人才整体数量也在增加。而在此次裁员潮中,技术岗占大多数。
从全栈工程师到全周期工程师再到全思维工程师,是时代的进阶,是企业的进步,是IT工程师个人意识的提升。
愿码立志打造全球最大的IT实战型多元化复合型人才生态圈,19年初,推出了“全思维IT工程师进阶集训”让每一个程序员成长成为集技术、思维、清晰长远职业规划为一体的复合型实战型技术人才,培养程序员个人职业生涯全局战略意识,打破就业局限。
参考资料来源:百度百科-it工程师
数字化浪潮之下,人们的生产和生活方式都迎来了的变革,信息产业已成为推动国家经济发展的主导产业之一。而其快速发展的关键是就有一大批从事IT技术创新的人才。高质量的IT人才是IT产业发展的支撑,一个国家的IT人力资源储备、IT人才培养及使用状况决定着该国IT产业发展的水平和潜力。
可以说,高水平的IT人才培养和队伍建设是走向IT产业大国和强国的前提条件。在未来一段时期,我国将会利用国际产业转移的重大机遇,聚集各种资源,突破核心技术制约,在集成电路、软件、计算机与信息处理、现代移动通信、信息安全、信息服务和系统集成等技术领域加强创新,促进IT产品更新换代,推动我国由IT大国向IT强国转变,并进而推动国民经济信息化进程,以信息化带动工业化,走出一条新型工业化道路。
因此无论是从大的方向讲,还是从小的方面讲,培养和储备高质量的IT人才都显得非常重要。IT业由于技术更新换代非常的快,因而行业变化可为职场人带来很多新的发展机遇,而市场竞争激烈,也不断地为业内人士创造新的发展空间。
以上就是关于在IT项目建设中,如何保证数据库安全性全部的内容,包括:在IT项目建设中,如何保证数据库安全性、IT行业的发展环境是怎样的、怎样构建企业IT运营管理体系等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)