姜開達(dá)+李霄+李海波+馮思稷

摘 要：教育信息化浪潮對我國高等教育產(chǎn)生了革命性的影響。高校的教學(xué)科研越來越依賴于互聯(lián)網(wǎng)和信息化，IT服務(wù)部門承擔(dān)的工作壓力和服務(wù)要求也越來越高。但大部分高校僅依賴自身的力量無法順利完成好信息化建設(shè)和IT運(yùn)維方方面面的任務(wù)，因此選擇IT運(yùn)維外包成為必然的趨勢。外包過程中不可避免地引入了各類安全風(fēng)險，本文介紹了上海交通大學(xué)近年來在高校IT運(yùn)維外包方面進(jìn)行的一些深入探索和實踐，并對如何規(guī)避外包中的風(fēng)險和安全管理進(jìn)行了論述。

關(guān)鍵詞：高校信息化；IT運(yùn)維外包；風(fēng)險管理

中圖分類號：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號：1673-8454（2014）07-0014-03

一、高校信息化建設(shè)和IT運(yùn)維現(xiàn)狀

近年來，隨著信息技術(shù)的飛速發(fā)展和日益普及，信息化浪潮給教育帶來了革命性影響，推動著教育領(lǐng)域不斷創(chuàng)新發(fā)展。2010年，我國頒布的《國家中長期教育改革和發(fā)展規(guī)劃綱要（2010-2020年）》提出推動信息技術(shù)與高等教育深度融合，創(chuàng)新人才培養(yǎng)模式。高校信息化部門也在為學(xué)生和教師提供更高效率的各類信息化服務(wù)平臺和安全穩(wěn)定的網(wǎng)絡(luò)接入環(huán)境而努力創(chuàng)新，深刻影響了傳統(tǒng)的教學(xué)科研和學(xué)校的綜合管理模式。同時，國家對教育信息化的重視程度和投入在逐年增加，校園信息化建設(shè)也得到了高校的普遍重視和重點(diǎn)投入。

我國高校信息化建設(shè)經(jīng)歷了二十多年的歷史，在網(wǎng)絡(luò)基礎(chǔ)設(shè)施硬件建設(shè)方面同國外高校拉近了距離，很多學(xué)校都達(dá)到了同等甚至更高水平。雖然硬件條件上去了，但是很多高校信息化應(yīng)用水平仍不理想，在信息化服務(wù)能力和IT運(yùn)維管理上差異較大，普遍存在著重硬件輕軟件，重建設(shè)輕維護(hù)，重建設(shè)輕服務(wù)等現(xiàn)象。部分實力雄厚的理工科學(xué)校和綜合性大學(xué)通過自身的力量可以完成基礎(chǔ)的信息化建設(shè)和IT運(yùn)維工作，但是對于大量的普通高等院校，由于受到技術(shù)、經(jīng)費(fèi)以及人員的限制，完全利用自身的力量來建設(shè)和運(yùn)維比較困難，無法滿足廣大師生的實際需求。

二、IT運(yùn)維外包的思路和安全風(fēng)險

信息技術(shù)日新月異，如何管理復(fù)雜的、高技術(shù)含量的IT基礎(chǔ)設(shè)施，應(yīng)對靈活多變的IT服務(wù)需求，為學(xué)校廣大師生提供良好的IT服務(wù)支持？如何降低運(yùn)維成本的同時提高管理水平和效率，并保證服務(wù)的質(zhì)量，提升師生對IT服務(wù)的滿意度？如何提高運(yùn)維的靈活性和響應(yīng)速度，迎接信息化帶來的各類挑戰(zhàn)，提高學(xué)校的核心競爭力？這些問題是所有高校所面臨的共同難題，困擾著各校的信息化管理部門，而引入IT運(yùn)維外包服務(wù)正是一種經(jīng)實踐證明比較好的解決思路。通過將IT運(yùn)維服務(wù)外包，高校可以把更多精力投入到教學(xué)和科研中去。并且以較低成本提供專業(yè)化的IT服務(wù)。

目前大部分高校的信息化人員編制十分有限，并且對新進(jìn)人員的學(xué)歷要求很高，而從事一般的IT工作并不需要非常高的學(xué)歷。受待遇和未來發(fā)展因素影響，高校信息化部門很難長期留住高水平的IT人才。通過外包服務(wù)，由公司選派有相應(yīng)能力的人員長期協(xié)助學(xué)校從事相應(yīng)工作，學(xué)校不用擔(dān)心其待遇及去留等問題，保持了IT運(yùn)維工作人員的相對穩(wěn)定。

上海交通大學(xué)作為一所“綜合性、研究型、國際化”的全國重點(diǎn)大學(xué)，校內(nèi)信息化部門以建設(shè)數(shù)字大學(xué)為目標(biāo)，為校內(nèi)五萬多師生員工提供各類專業(yè)的IT服務(wù)。在近十幾年的信息化建設(shè)和日常網(wǎng)絡(luò)及應(yīng)用信息系統(tǒng)運(yùn)維過程中，大量使用了外包服務(wù)，在人員、資金、制度上都進(jìn)行了相應(yīng)保障，通過全面的發(fā)現(xiàn)及確認(rèn)外包風(fēng)險，進(jìn)行分析、評估，對可能引發(fā)的安全風(fēng)險進(jìn)行了一系列有益的深入探索和實踐，從而有效地控制風(fēng)險。

三、學(xué)生團(tuán)隊參與用戶服務(wù)外包的風(fēng)險控制

用戶服務(wù)管理是IT運(yùn)維的重要組成部分，上海交通大學(xué)從2000年開始，在學(xué)生宿舍網(wǎng)的管理過程中，引入了學(xué)生團(tuán)隊來為學(xué)生宿舍區(qū)三萬多用戶提供接入用戶網(wǎng)絡(luò)服務(wù)。學(xué)校有關(guān)部門提供指導(dǎo)，建立一個以學(xué)生自我管理、自我服務(wù)為主體的學(xué)生網(wǎng)絡(luò)管理體系，發(fā)揮學(xué)生網(wǎng)管的作用，調(diào)動其積極性來參與網(wǎng)絡(luò)維護(hù)工作，為學(xué)生打造一個良好的實踐與學(xué)習(xí)環(huán)境。學(xué)生網(wǎng)管從作為學(xué)生的實際需求出發(fā)，幫助信息化部門提高了網(wǎng)絡(luò)故障的應(yīng)急響應(yīng)和處理能力, 做了許多有意義的日常用戶服務(wù)工作，但學(xué)生們畢竟缺少實踐經(jīng)驗，平時日常學(xué)習(xí)和科研活動也占用了很多時間。兼職的網(wǎng)絡(luò)維護(hù)工作如何來提高用戶滿意度？服務(wù)質(zhì)量和服務(wù)能力如何控制？這都需要加強(qiáng)管理和組織學(xué)習(xí)培訓(xùn)，通過完善的制度建設(shè)來降低運(yùn)維工作中的風(fēng)險。

面對繁雜的學(xué)生寢室樓網(wǎng)絡(luò)維護(hù)工作，建立了一套完善的體系來解決學(xué)生們平時遇到的各種網(wǎng)絡(luò)問題。從宿舍樓內(nèi)學(xué)生網(wǎng)管的工作，到學(xué)生網(wǎng)管部辦公室客服咨詢的解答，再到技術(shù)報修組的報修受理以及上門服務(wù)，這其中的每一個環(huán)節(jié)都有嚴(yán)格而具體的要求來規(guī)范他們的服務(wù)，確保服務(wù)質(zhì)量讓學(xué)生們滿意。當(dāng)然，維護(hù)龐大的校園網(wǎng)絡(luò)單靠人力是遠(yuǎn)遠(yuǎn)不夠的，因此學(xué)生網(wǎng)管自行開發(fā)了一套綜合的內(nèi)部技術(shù)支持系統(tǒng)。有了它，學(xué)生網(wǎng)管員們不僅可以方便地辦理各種基礎(chǔ)網(wǎng)絡(luò)業(yè)務(wù)，還可以實時查看各個終端用戶的網(wǎng)絡(luò)運(yùn)行狀態(tài)，以及交換機(jī)端口信息等，及時發(fā)現(xiàn)問題并針對性處理。

平時宿舍樓內(nèi)瑣碎的網(wǎng)絡(luò)問題處理是由樓內(nèi)的學(xué)生網(wǎng)管來完成的，每一位網(wǎng)管員都被要求做到盡全力滿足用戶正常網(wǎng)絡(luò)接入需要，熱情耐心解答用戶的任何疑問，在技術(shù)層面上指導(dǎo)用戶完成一些基本操作。每位學(xué)生網(wǎng)管在閑暇之余都被要求多了解網(wǎng)絡(luò)技術(shù)知識，參加內(nèi)部培訓(xùn)，掌握常見問題的處理方法，在技術(shù)上要讓用戶信得過。

技術(shù)報修組專門負(fù)責(zé)解決樓內(nèi)網(wǎng)管處理不了的問題，由網(wǎng)管員中的技術(shù)骨干組成。他們接受過專門的技能培訓(xùn)，配置專業(yè)的網(wǎng)絡(luò)維修工具，在辦公室值班人員所給予的遠(yuǎn)程配合下，幾乎可以解決大部分學(xué)生所碰到的網(wǎng)絡(luò)問題，如果還不能解決則協(xié)調(diào)學(xué)校網(wǎng)絡(luò)運(yùn)維部門進(jìn)一步處理。同時也要求學(xué)生網(wǎng)管在解決問題后把全過程書面化，為以后別人的工作處理提供經(jīng)驗積累。在學(xué)生團(tuán)隊中的技術(shù)骨干由于長期和學(xué)校信息化部門溝通，其能力會得到認(rèn)可，在畢業(yè)后也可以擇優(yōu)直接進(jìn)入高校的IT運(yùn)維隊伍，更快的進(jìn)入工作角色。

四、信息系統(tǒng)運(yùn)維外包的風(fēng)險管理

高校大量的信息系統(tǒng)都來自于直接采購或者由外包廠商定制化開發(fā)完成，完全由自己主導(dǎo)開發(fā)的大規(guī)模系統(tǒng)已經(jīng)越來越少。常見的信息系統(tǒng)包括人事系統(tǒng)、科研系統(tǒng)、財務(wù)系統(tǒng)、學(xué)工系統(tǒng)、教務(wù)系統(tǒng)、檔案系統(tǒng)、校園一卡通系統(tǒng)、公共數(shù)據(jù)平臺等，不少高校還將校內(nèi)各院系部門網(wǎng)站交由外包公司設(shè)計制作和維護(hù)。在這些信息系統(tǒng)的實施完成之后，日常運(yùn)行過程中不可避免的會出現(xiàn)各種問題，高校IT運(yùn)維部門可以解決部分維護(hù)工作，但是很多專業(yè)化程度較高的系統(tǒng)維護(hù)工作還是不可避免的要依賴外包協(xié)助完成。

雖然很多針對高校 IT 市場的外包服務(wù)商在信息系統(tǒng)外包過程中獲得了成功，并積累了豐富的高校行業(yè)經(jīng)驗，但也暴露出不少的安全風(fēng)險。不同的外包公司之間技術(shù)實力和管理水平參差不齊，廠商技術(shù)支持人員穩(wěn)定性不高是普遍遇到的問題，這就要求高校需慎重選擇合作方，簽訂全面詳細(xì)的合同進(jìn)一步加以約束，要求通過嚴(yán)格的崗位培訓(xùn)和業(yè)務(wù)培訓(xùn)，提高外包技術(shù)人員的能力。關(guān)鍵項目實施和后期維護(hù)期間，要求外包公司核心技術(shù)人員常駐學(xué)校，保證項目按要求順利完工，并穩(wěn)定運(yùn)行。前期項目開發(fā)和后期運(yùn)維中遇到的問題，需要提交給研發(fā)解決的，要有順暢的正式渠道提交與反饋，限時解決或改進(jìn)。在每項子系統(tǒng)投入運(yùn)行前，完成對使用該系統(tǒng)的校內(nèi)用戶培訓(xùn)工作；建立完整的客戶培訓(xùn)體系，為高校提供相關(guān)的技術(shù)培訓(xùn)和業(yè)務(wù)培訓(xùn)，并提供相應(yīng)的培訓(xùn)技術(shù)資料。

由于很多外包公司開發(fā)的各類信息系統(tǒng)廣泛應(yīng)用在多所高校，一旦某所高校的系統(tǒng)被發(fā)現(xiàn)有嚴(yán)重的安全漏洞，那么會迅速波及到其他高校，引發(fā)嚴(yán)重的安全事件。在教務(wù)系統(tǒng)、學(xué)工系統(tǒng)等方面，這類安全事件屢見不鮮，給很多學(xué)校都造成了較大損失。在信息系統(tǒng)維護(hù)外包過程中，由于項目需要，服務(wù)商的技術(shù)人員可以輕易地獲取學(xué)校的各類師生個人信息、財務(wù)信息、科研信息等，這些敏感信息如果發(fā)生泄漏也會給高校帶來重大損失。

高校自身要建立完整且獨(dú)立的信息安全保障體系，在整個IT運(yùn)維過程中保護(hù)學(xué)校的重要信息資產(chǎn)?？紤]到大部分高校都缺乏專業(yè)信息安全運(yùn)維人員，使用專業(yè)安全公司提供的安全服務(wù)也成為必然的選擇。同時利用高校自身的信息安全科研優(yōu)勢以及和國內(nèi)外安全研究機(jī)構(gòu)的密切聯(lián)系，及時獲取最新安全資訊，對外包引發(fā)的安全風(fēng)險實時監(jiān)控，并快速響應(yīng)。

五、IT運(yùn)維監(jiān)控外包的風(fēng)險

IT運(yùn)維監(jiān)控外包在很多高校廣泛使用，但也由此帶來了一系列安全風(fēng)險。外包公司為了追求利潤最大化，勢必考慮降低成本，這樣就給外派到學(xué)校工作的人員業(yè)務(wù)素質(zhì)和穩(wěn)定性帶來了巨大沖擊。頻繁變動且能力不足的外包人員給高校IT運(yùn)維必然帶來了可預(yù)見的安全運(yùn)營風(fēng)險，和高校的固有核心利益產(chǎn)生了沖突。對此高校要進(jìn)一步完善和外包公司的合同細(xì)節(jié)，明確保障服務(wù)質(zhì)量和要求服務(wù)人員的相對穩(wěn)定性，并簽訂專門的SLA（Service Level Agreements）服務(wù)水平協(xié)議。同時高校自身也要不斷提升專業(yè)IT運(yùn)維能力，即便采用了外包，也要建立管理和技術(shù)并重的內(nèi)部團(tuán)隊，自己的人員要具備系統(tǒng)的IT運(yùn)維管理能力，在程序設(shè)計開發(fā)、應(yīng)用信息系統(tǒng)維護(hù)、數(shù)據(jù)庫和服務(wù)器管理、網(wǎng)絡(luò)管理和安全運(yùn)維方面都要培養(yǎng)自身的力量，不斷學(xué)習(xí)新技術(shù)，培養(yǎng)創(chuàng)新能力，對外包人員進(jìn)行有效的監(jiān)督和管理，仔細(xì)傾聽來自教師學(xué)生的第一線業(yè)務(wù)需求，不能被外包公司所左右，從而降低安全運(yùn)維風(fēng)險。

六、IT運(yùn)維監(jiān)控平臺外包開發(fā)的風(fēng)險管理

IT運(yùn)維監(jiān)控平臺對任何一所高校網(wǎng)絡(luò)管理人員來說都是必不可少的。我們沒有采取商業(yè)的管理監(jiān)控解決方案，主要是考慮到當(dāng)網(wǎng)絡(luò)和應(yīng)用發(fā)展到一定程度之后，其規(guī)模和復(fù)雜性決定了很難找到完全符合自身需求的方案。我們最終選擇了在開源的Zabbix監(jiān)控系統(tǒng)基礎(chǔ)上，采取外包給專業(yè)軟件公司的模式進(jìn)行了大量的定制化開發(fā)來滿足實際運(yùn)維需求。通過分布部署Agent采集點(diǎn)主動獲取各類監(jiān)控數(shù)據(jù)，涵蓋了學(xué)校數(shù)據(jù)中心使用的各類操作系統(tǒng)和虛擬化環(huán)境，也可以支持各大廠商的網(wǎng)絡(luò)交換路由設(shè)備管理，滿足了大規(guī)模網(wǎng)絡(luò)和服務(wù)器監(jiān)控需求。但是這條外包之路也同時存在著種種風(fēng)險，合作方的選擇不當(dāng)可能會導(dǎo)致項目的無法順利推進(jìn)；軟件流程設(shè)計管理不當(dāng)也會引發(fā)開發(fā)周期變長，拖延系統(tǒng)的發(fā)布上線時間；大量不同設(shè)備的定制化開發(fā)需要投入更多資源，項目的成本控制也會直接影響合作方的開發(fā)人員投入力量；軟件平臺的漏洞會直接影響基礎(chǔ)IT運(yùn)維體系的整體安全性；開發(fā)人員的流動性也給整個外包開發(fā)的質(zhì)量控制帶來了不確定因素；后期維護(hù)服務(wù)跟不上也會影響IT運(yùn)維工作的長期可持續(xù)性。

關(guān)注到這些安全風(fēng)險，我們有針對性地采取了一系列措施。選擇開源監(jiān)控軟件作為系統(tǒng)底層平臺已經(jīng)適度降低了開發(fā)風(fēng)險，慎重的選擇具有資質(zhì)和經(jīng)驗的合作方來保證項目質(zhì)量。全過程參與功能需求分析和流程設(shè)計來控制整個開發(fā)周期的進(jìn)度，進(jìn)度過慢時要求合作方增加人力，進(jìn)度過快時要求合作方保障代碼質(zhì)量。和外包方要建立順暢的溝通渠道，通過周報、月報和定期溝通交流，掌握對方工作進(jìn)展，監(jiān)督管理實際開發(fā)進(jìn)度是否和預(yù)期一致，投入是否充分，代碼質(zhì)量是否合格。通過要求規(guī)范全過程的技術(shù)開發(fā)文檔，保證了即使發(fā)生開發(fā)人員變更也可以快速完成新老交接。要求系統(tǒng)留有靈活的開放接口以提供良好的伸縮性和可擴(kuò)展性，也可以在一定程度上規(guī)避兼容性風(fēng)險。在開發(fā)過程中和正式交付時都引入第三方專業(yè)安全人員進(jìn)行安全評估和滲透測試，確保IT運(yùn)維監(jiān)控系統(tǒng)自身的安全等級達(dá)到一定級別。通過詳細(xì)的開發(fā)合同對項目周期和合作雙方人員力量投入和項目進(jìn)展時間節(jié)點(diǎn)進(jìn)行了嚴(yán)格的約定，并事先就開發(fā)完成后的后期維護(hù)服務(wù)達(dá)成一致，保持長久合作關(guān)系。

七、結(jié)束語

信息安全技術(shù)一直在發(fā)展，攻防對抗在持續(xù)升級，各類安全風(fēng)險和挑戰(zhàn)始終存在，安全I(xiàn)T運(yùn)維必然是一個長期動態(tài)的過程。作為有特長的信息網(wǎng)絡(luò)安全科研機(jī)構(gòu)和同時給數(shù)萬師生提供IT專業(yè)服務(wù)的部門，高校信息化團(tuán)隊可以把實際安全經(jīng)驗和運(yùn)維外包風(fēng)險管理工作相結(jié)合，加強(qiáng)配套安全監(jiān)管，從而走出一條具有自己特色的安全I(xiàn)T運(yùn)維外包之路。

參考文獻(xiàn)：

[1]趙燦,杜炤,杜鵑.高校信息化建設(shè)項目外包采購管理的探討[J].中國教育信息化(高教職教),2011(5).

[2]蔣東興,宓泳,郭清順.高校信息化發(fā)展現(xiàn)狀與政策建議[J].中國教育信息化(高教職教),2009(8).

[3]何秀全.高校信息化中的IT外包及其風(fēng)險管理研究[D].上海外國語大學(xué) 2012年碩士學(xué)位論文.

[4]王左利.探討學(xué)生網(wǎng)管模式[J].中國教育網(wǎng)絡(luò),2009(3).

[5]何秀全,韓耀軍,羅圣,梅艷.高校信息化建設(shè)中的IT外包應(yīng)用分析[J].現(xiàn)代教育技術(shù),2011(5).

[6]張四海,張萬光,高校IT運(yùn)維服務(wù)面臨的挑戰(zhàn)與機(jī)遇[Z].中國高等教育學(xué)會教育信息化分會第九次學(xué)術(shù)年會論文集.

（編輯：王曉明）