姜開(kāi)達(dá)+李霄+李海波+馮思稷

摘 要：教育信息化浪潮對(duì)我國(guó)高等教育產(chǎn)生了革命性的影響。高校的教學(xué)科研越來(lái)越依賴于互聯(lián)網(wǎng)和信息化，IT服務(wù)部門承擔(dān)的工作壓力和服務(wù)要求也越來(lái)越高。但大部分高校僅依賴自身的力量無(wú)法順利完成好信息化建設(shè)和IT運(yùn)維方方面面的任務(wù)，因此選擇IT運(yùn)維外包成為必然的趨勢(shì)。外包過(guò)程中不可避免地引入了各類安全風(fēng)險(xiǎn)，本文介紹了上海交通大學(xué)近年來(lái)在高校IT運(yùn)維外包方面進(jìn)行的一些深入探索和實(shí)踐，并對(duì)如何規(guī)避外包中的風(fēng)險(xiǎn)和安全管理進(jìn)行了論述。

關(guān)鍵詞：高校信息化；IT運(yùn)維外包；風(fēng)險(xiǎn)管理

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1673-8454（2014）07-0014-03

一、高校信息化建設(shè)和IT運(yùn)維現(xiàn)狀

近年來(lái)，隨著信息技術(shù)的飛速發(fā)展和日益普及，信息化浪潮給教育帶來(lái)了革命性影響，推動(dòng)著教育領(lǐng)域不斷創(chuàng)新發(fā)展。2010年，我國(guó)頒布的《國(guó)家中長(zhǎng)期教育改革和發(fā)展規(guī)劃綱要（2010-2020年）》提出推動(dòng)信息技術(shù)與高等教育深度融合，創(chuàng)新人才培養(yǎng)模式。高校信息化部門也在為學(xué)生和教師提供更高效率的各類信息化服務(wù)平臺(tái)和安全穩(wěn)定的網(wǎng)絡(luò)接入環(huán)境而努力創(chuàng)新，深刻影響了傳統(tǒng)的教學(xué)科研和學(xué)校的綜合管理模式。同時(shí)，國(guó)家對(duì)教育信息化的重視程度和投入在逐年增加，校園信息化建設(shè)也得到了高校的普遍重視和重點(diǎn)投入。

我國(guó)高校信息化建設(shè)經(jīng)歷了二十多年的歷史，在網(wǎng)絡(luò)基礎(chǔ)設(shè)施硬件建設(shè)方面同國(guó)外高校拉近了距離，很多學(xué)校都達(dá)到了同等甚至更高水平。雖然硬件條件上去了，但是很多高校信息化應(yīng)用水平仍不理想，在信息化服務(wù)能力和IT運(yùn)維管理上差異較大，普遍存在著重硬件輕軟件，重建設(shè)輕維護(hù)，重建設(shè)輕服務(wù)等現(xiàn)象。部分實(shí)力雄厚的理工科學(xué)校和綜合性大學(xué)通過(guò)自身的力量可以完成基礎(chǔ)的信息化建設(shè)和IT運(yùn)維工作，但是對(duì)于大量的普通高等院校，由于受到技術(shù)、經(jīng)費(fèi)以及人員的限制，完全利用自身的力量來(lái)建設(shè)和運(yùn)維比較困難，無(wú)法滿足廣大師生的實(shí)際需求。

二、IT運(yùn)維外包的思路和安全風(fēng)險(xiǎn)

信息技術(shù)日新月異，如何管理復(fù)雜的、高技術(shù)含量的IT基礎(chǔ)設(shè)施，應(yīng)對(duì)靈活多變的IT服務(wù)需求，為學(xué)校廣大師生提供良好的IT服務(wù)支持？如何降低運(yùn)維成本的同時(shí)提高管理水平和效率，并保證服務(wù)的質(zhì)量，提升師生對(duì)IT服務(wù)的滿意度？如何提高運(yùn)維的靈活性和響應(yīng)速度，迎接信息化帶來(lái)的各類挑戰(zhàn)，提高學(xué)校的核心競(jìng)爭(zhēng)力？這些問(wèn)題是所有高校所面臨的共同難題，困擾著各校的信息化管理部門，而引入IT運(yùn)維外包服務(wù)正是一種經(jīng)實(shí)踐證明比較好的解決思路。通過(guò)將IT運(yùn)維服務(wù)外包，高校可以把更多精力投入到教學(xué)和科研中去。并且以較低成本提供專業(yè)化的IT服務(wù)。

目前大部分高校的信息化人員編制十分有限，并且對(duì)新進(jìn)人員的學(xué)歷要求很高，而從事一般的IT工作并不需要非常高的學(xué)歷。受待遇和未來(lái)發(fā)展因素影響，高校信息化部門很難長(zhǎng)期留住高水平的IT人才。通過(guò)外包服務(wù)，由公司選派有相應(yīng)能力的人員長(zhǎng)期協(xié)助學(xué)校從事相應(yīng)工作，學(xué)校不用擔(dān)心其待遇及去留等問(wèn)題，保持了IT運(yùn)維工作人員的相對(duì)穩(wěn)定。

上海交通大學(xué)作為一所“綜合性、研究型、國(guó)際化”的全國(guó)重點(diǎn)大學(xué)，校內(nèi)信息化部門以建設(shè)數(shù)字大學(xué)為目標(biāo)，為校內(nèi)五萬(wàn)多師生員工提供各類專業(yè)的IT服務(wù)。在近十幾年的信息化建設(shè)和日常網(wǎng)絡(luò)及應(yīng)用信息系統(tǒng)運(yùn)維過(guò)程中，大量使用了外包服務(wù)，在人員、資金、制度上都進(jìn)行了相應(yīng)保障，通過(guò)全面的發(fā)現(xiàn)及確認(rèn)外包風(fēng)險(xiǎn)，進(jìn)行分析、評(píng)估，對(duì)可能引發(fā)的安全風(fēng)險(xiǎn)進(jìn)行了一系列有益的深入探索和實(shí)踐，從而有效地控制風(fēng)險(xiǎn)。

三、學(xué)生團(tuán)隊(duì)參與用戶服務(wù)外包的風(fēng)險(xiǎn)控制

用戶服務(wù)管理是IT運(yùn)維的重要組成部分，上海交通大學(xué)從2000年開(kāi)始，在學(xué)生宿舍網(wǎng)的管理過(guò)程中，引入了學(xué)生團(tuán)隊(duì)來(lái)為學(xué)生宿舍區(qū)三萬(wàn)多用戶提供接入用戶網(wǎng)絡(luò)服務(wù)。學(xué)校有關(guān)部門提供指導(dǎo)，建立一個(gè)以學(xué)生自我管理、自我服務(wù)為主體的學(xué)生網(wǎng)絡(luò)管理體系，發(fā)揮學(xué)生網(wǎng)管的作用，調(diào)動(dòng)其積極性來(lái)參與網(wǎng)絡(luò)維護(hù)工作，為學(xué)生打造一個(gè)良好的實(shí)踐與學(xué)習(xí)環(huán)境。學(xué)生網(wǎng)管從作為學(xué)生的實(shí)際需求出發(fā)，幫助信息化部門提高了網(wǎng)絡(luò)故障的應(yīng)急響應(yīng)和處理能力, 做了許多有意義的日常用戶服務(wù)工作，但學(xué)生們畢竟缺少實(shí)踐經(jīng)驗(yàn)，平時(shí)日常學(xué)習(xí)和科研活動(dòng)也占用了很多時(shí)間。兼職的網(wǎng)絡(luò)維護(hù)工作如何來(lái)提高用戶滿意度？服務(wù)質(zhì)量和服務(wù)能力如何控制？這都需要加強(qiáng)管理和組織學(xué)習(xí)培訓(xùn)，通過(guò)完善的制度建設(shè)來(lái)降低運(yùn)維工作中的風(fēng)險(xiǎn)。

面對(duì)繁雜的學(xué)生寢室樓網(wǎng)絡(luò)維護(hù)工作，建立了一套完善的體系來(lái)解決學(xué)生們平時(shí)遇到的各種網(wǎng)絡(luò)問(wèn)題。從宿舍樓內(nèi)學(xué)生網(wǎng)管的工作，到學(xué)生網(wǎng)管部辦公室客服咨詢的解答，再到技術(shù)報(bào)修組的報(bào)修受理以及上門服務(wù)，這其中的每一個(gè)環(huán)節(jié)都有嚴(yán)格而具體的要求來(lái)規(guī)范他們的服務(wù)，確保服務(wù)質(zhì)量讓學(xué)生們滿意。當(dāng)然，維護(hù)龐大的校園網(wǎng)絡(luò)單靠人力是遠(yuǎn)遠(yuǎn)不夠的，因此學(xué)生網(wǎng)管自行開(kāi)發(fā)了一套綜合的內(nèi)部技術(shù)支持系統(tǒng)。有了它，學(xué)生網(wǎng)管員們不僅可以方便地辦理各種基礎(chǔ)網(wǎng)絡(luò)業(yè)務(wù)，還可以實(shí)時(shí)查看各個(gè)終端用戶的網(wǎng)絡(luò)運(yùn)行狀態(tài)，以及交換機(jī)端口信息等，及時(shí)發(fā)現(xiàn)問(wèn)題并針對(duì)性處理。

平時(shí)宿舍樓內(nèi)瑣碎的網(wǎng)絡(luò)問(wèn)題處理是由樓內(nèi)的學(xué)生網(wǎng)管來(lái)完成的，每一位網(wǎng)管員都被要求做到盡全力滿足用戶正常網(wǎng)絡(luò)接入需要，熱情耐心解答用戶的任何疑問(wèn)，在技術(shù)層面上指導(dǎo)用戶完成一些基本操作。每位學(xué)生網(wǎng)管在閑暇之余都被要求多了解網(wǎng)絡(luò)技術(shù)知識(shí)，參加內(nèi)部培訓(xùn)，掌握常見(jiàn)問(wèn)題的處理方法，在技術(shù)上要讓用戶信得過(guò)。

技術(shù)報(bào)修組專門負(fù)責(zé)解決樓內(nèi)網(wǎng)管處理不了的問(wèn)題，由網(wǎng)管員中的技術(shù)骨干組成。他們接受過(guò)專門的技能培訓(xùn)，配置專業(yè)的網(wǎng)絡(luò)維修工具，在辦公室值班人員所給予的遠(yuǎn)程配合下，幾乎可以解決大部分學(xué)生所碰到的網(wǎng)絡(luò)問(wèn)題，如果還不能解決則協(xié)調(diào)學(xué)校網(wǎng)絡(luò)運(yùn)維部門進(jìn)一步處理。同時(shí)也要求學(xué)生網(wǎng)管在解決問(wèn)題后把全過(guò)程書(shū)面化，為以后別人的工作處理提供經(jīng)驗(yàn)積累。在學(xué)生團(tuán)隊(duì)中的技術(shù)骨干由于長(zhǎng)期和學(xué)校信息化部門溝通，其能力會(huì)得到認(rèn)可，在畢業(yè)后也可以擇優(yōu)直接進(jìn)入高校的IT運(yùn)維隊(duì)伍，更快的進(jìn)入工作角色。

四、信息系統(tǒng)運(yùn)維外包的風(fēng)險(xiǎn)管理

高校大量的信息系統(tǒng)都來(lái)自于直接采購(gòu)或者由外包廠商定制化開(kāi)發(fā)完成，完全由自己主導(dǎo)開(kāi)發(fā)的大規(guī)模系統(tǒng)已經(jīng)越來(lái)越少。常見(jiàn)的信息系統(tǒng)包括人事系統(tǒng)、科研系統(tǒng)、財(cái)務(wù)系統(tǒng)、學(xué)工系統(tǒng)、教務(wù)系統(tǒng)、檔案系統(tǒng)、校園一卡通系統(tǒng)、公共數(shù)據(jù)平臺(tái)等，不少高校還將校內(nèi)各院系部門網(wǎng)站交由外包公司設(shè)計(jì)制作和維護(hù)。在這些信息系統(tǒng)的實(shí)施完成之后，日常運(yùn)行過(guò)程中不可避免的會(huì)出現(xiàn)各種問(wèn)題，高校IT運(yùn)維部門可以解決部分維護(hù)工作，但是很多專業(yè)化程度較高的系統(tǒng)維護(hù)工作還是不可避免的要依賴外包協(xié)助完成。

雖然很多針對(duì)高校 IT 市場(chǎng)的外包服務(wù)商在信息系統(tǒng)外包過(guò)程中獲得了成功，并積累了豐富的高校行業(yè)經(jīng)驗(yàn)，但也暴露出不少的安全風(fēng)險(xiǎn)。不同的外包公司之間技術(shù)實(shí)力和管理水平參差不齊，廠商技術(shù)支持人員穩(wěn)定性不高是普遍遇到的問(wèn)題，這就要求高校需慎重選擇合作方，簽訂全面詳細(xì)的合同進(jìn)一步加以約束，要求通過(guò)嚴(yán)格的崗位培訓(xùn)和業(yè)務(wù)培訓(xùn)，提高外包技術(shù)人員的能力。關(guān)鍵項(xiàng)目實(shí)施和后期維護(hù)期間，要求外包公司核心技術(shù)人員常駐學(xué)校，保證項(xiàng)目按要求順利完工，并穩(wěn)定運(yùn)行。前期項(xiàng)目開(kāi)發(fā)和后期運(yùn)維中遇到的問(wèn)題，需要提交給研發(fā)解決的，要有順暢的正式渠道提交與反饋，限時(shí)解決或改進(jìn)。在每項(xiàng)子系統(tǒng)投入運(yùn)行前，完成對(duì)使用該系統(tǒng)的校內(nèi)用戶培訓(xùn)工作；建立完整的客戶培訓(xùn)體系，為高校提供相關(guān)的技術(shù)培訓(xùn)和業(yè)務(wù)培訓(xùn)，并提供相應(yīng)的培訓(xùn)技術(shù)資料。

由于很多外包公司開(kāi)發(fā)的各類信息系統(tǒng)廣泛應(yīng)用在多所高校，一旦某所高校的系統(tǒng)被發(fā)現(xiàn)有嚴(yán)重的安全漏洞，那么會(huì)迅速波及到其他高校，引發(fā)嚴(yán)重的安全事件。在教務(wù)系統(tǒng)、學(xué)工系統(tǒng)等方面，這類安全事件屢見(jiàn)不鮮，給很多學(xué)校都造成了較大損失。在信息系統(tǒng)維護(hù)外包過(guò)程中，由于項(xiàng)目需要，服務(wù)商的技術(shù)人員可以輕易地獲取學(xué)校的各類師生個(gè)人信息、財(cái)務(wù)信息、科研信息等，這些敏感信息如果發(fā)生泄漏也會(huì)給高校帶來(lái)重大損失。

高校自身要建立完整且獨(dú)立的信息安全保障體系，在整個(gè)IT運(yùn)維過(guò)程中保護(hù)學(xué)校的重要信息資產(chǎn)。考慮到大部分高校都缺乏專業(yè)信息安全運(yùn)維人員，使用專業(yè)安全公司提供的安全服務(wù)也成為必然的選擇。同時(shí)利用高校自身的信息安全科研優(yōu)勢(shì)以及和國(guó)內(nèi)外安全研究機(jī)構(gòu)的密切聯(lián)系，及時(shí)獲取最新安全資訊，對(duì)外包引發(fā)的安全風(fēng)險(xiǎn)實(shí)時(shí)監(jiān)控，并快速響應(yīng)。

五、IT運(yùn)維監(jiān)控外包的風(fēng)險(xiǎn)

IT運(yùn)維監(jiān)控外包在很多高校廣泛使用，但也由此帶來(lái)了一系列安全風(fēng)險(xiǎn)。外包公司為了追求利潤(rùn)最大化，勢(shì)必考慮降低成本，這樣就給外派到學(xué)校工作的人員業(yè)務(wù)素質(zhì)和穩(wěn)定性帶來(lái)了巨大沖擊。頻繁變動(dòng)且能力不足的外包人員給高校IT運(yùn)維必然帶來(lái)了可預(yù)見(jiàn)的安全運(yùn)營(yíng)風(fēng)險(xiǎn)，和高校的固有核心利益產(chǎn)生了沖突。對(duì)此高校要進(jìn)一步完善和外包公司的合同細(xì)節(jié)，明確保障服務(wù)質(zhì)量和要求服務(wù)人員的相對(duì)穩(wěn)定性，并簽訂專門的SLA（Service Level Agreements）服務(wù)水平協(xié)議。同時(shí)高校自身也要不斷提升專業(yè)IT運(yùn)維能力，即便采用了外包，也要建立管理和技術(shù)并重的內(nèi)部團(tuán)隊(duì)，自己的人員要具備系統(tǒng)的IT運(yùn)維管理能力，在程序設(shè)計(jì)開(kāi)發(fā)、應(yīng)用信息系統(tǒng)維護(hù)、數(shù)據(jù)庫(kù)和服務(wù)器管理、網(wǎng)絡(luò)管理和安全運(yùn)維方面都要培養(yǎng)自身的力量，不斷學(xué)習(xí)新技術(shù)，培養(yǎng)創(chuàng)新能力，對(duì)外包人員進(jìn)行有效的監(jiān)督和管理，仔細(xì)傾聽(tīng)來(lái)自教師學(xué)生的第一線業(yè)務(wù)需求，不能被外包公司所左右，從而降低安全運(yùn)維風(fēng)險(xiǎn)。

六、IT運(yùn)維監(jiān)控平臺(tái)外包開(kāi)發(fā)的風(fēng)險(xiǎn)管理

IT運(yùn)維監(jiān)控平臺(tái)對(duì)任何一所高校網(wǎng)絡(luò)管理人員來(lái)說(shuō)都是必不可少的。我們沒(méi)有采取商業(yè)的管理監(jiān)控解決方案，主要是考慮到當(dāng)網(wǎng)絡(luò)和應(yīng)用發(fā)展到一定程度之后，其規(guī)模和復(fù)雜性決定了很難找到完全符合自身需求的方案。我們最終選擇了在開(kāi)源的Zabbix監(jiān)控系統(tǒng)基礎(chǔ)上，采取外包給專業(yè)軟件公司的模式進(jìn)行了大量的定制化開(kāi)發(fā)來(lái)滿足實(shí)際運(yùn)維需求。通過(guò)分布部署Agent采集點(diǎn)主動(dòng)獲取各類監(jiān)控?cái)?shù)據(jù)，涵蓋了學(xué)校數(shù)據(jù)中心使用的各類操作系統(tǒng)和虛擬化環(huán)境，也可以支持各大廠商的網(wǎng)絡(luò)交換路由設(shè)備管理，滿足了大規(guī)模網(wǎng)絡(luò)和服務(wù)器監(jiān)控需求。但是這條外包之路也同時(shí)存在著種種風(fēng)險(xiǎn)，合作方的選擇不當(dāng)可能會(huì)導(dǎo)致項(xiàng)目的無(wú)法順利推進(jìn)；軟件流程設(shè)計(jì)管理不當(dāng)也會(huì)引發(fā)開(kāi)發(fā)周期變長(zhǎng)，拖延系統(tǒng)的發(fā)布上線時(shí)間；大量不同設(shè)備的定制化開(kāi)發(fā)需要投入更多資源，項(xiàng)目的成本控制也會(huì)直接影響合作方的開(kāi)發(fā)人員投入力量；軟件平臺(tái)的漏洞會(huì)直接影響基礎(chǔ)IT運(yùn)維體系的整體安全性；開(kāi)發(fā)人員的流動(dòng)性也給整個(gè)外包開(kāi)發(fā)的質(zhì)量控制帶來(lái)了不確定因素；后期維護(hù)服務(wù)跟不上也會(huì)影響IT運(yùn)維工作的長(zhǎng)期可持續(xù)性。

關(guān)注到這些安全風(fēng)險(xiǎn)，我們有針對(duì)性地采取了一系列措施。選擇開(kāi)源監(jiān)控軟件作為系統(tǒng)底層平臺(tái)已經(jīng)適度降低了開(kāi)發(fā)風(fēng)險(xiǎn)，慎重的選擇具有資質(zhì)和經(jīng)驗(yàn)的合作方來(lái)保證項(xiàng)目質(zhì)量。全過(guò)程參與功能需求分析和流程設(shè)計(jì)來(lái)控制整個(gè)開(kāi)發(fā)周期的進(jìn)度，進(jìn)度過(guò)慢時(shí)要求合作方增加人力，進(jìn)度過(guò)快時(shí)要求合作方保障代碼質(zhì)量。和外包方要建立順暢的溝通渠道，通過(guò)周報(bào)、月報(bào)和定期溝通交流，掌握對(duì)方工作進(jìn)展，監(jiān)督管理實(shí)際開(kāi)發(fā)進(jìn)度是否和預(yù)期一致，投入是否充分，代碼質(zhì)量是否合格。通過(guò)要求規(guī)范全過(guò)程的技術(shù)開(kāi)發(fā)文檔，保證了即使發(fā)生開(kāi)發(fā)人員變更也可以快速完成新老交接。要求系統(tǒng)留有靈活的開(kāi)放接口以提供良好的伸縮性和可擴(kuò)展性，也可以在一定程度上規(guī)避兼容性風(fēng)險(xiǎn)。在開(kāi)發(fā)過(guò)程中和正式交付時(shí)都引入第三方專業(yè)安全人員進(jìn)行安全評(píng)估和滲透測(cè)試，確保IT運(yùn)維監(jiān)控系統(tǒng)自身的安全等級(jí)達(dá)到一定級(jí)別。通過(guò)詳細(xì)的開(kāi)發(fā)合同對(duì)項(xiàng)目周期和合作雙方人員力量投入和項(xiàng)目進(jìn)展時(shí)間節(jié)點(diǎn)進(jìn)行了嚴(yán)格的約定，并事先就開(kāi)發(fā)完成后的后期維護(hù)服務(wù)達(dá)成一致，保持長(zhǎng)久合作關(guān)系。

七、結(jié)束語(yǔ)

信息安全技術(shù)一直在發(fā)展，攻防對(duì)抗在持續(xù)升級(jí)，各類安全風(fēng)險(xiǎn)和挑戰(zhàn)始終存在，安全I(xiàn)T運(yùn)維必然是一個(gè)長(zhǎng)期動(dòng)態(tài)的過(guò)程。作為有特長(zhǎng)的信息網(wǎng)絡(luò)安全科研機(jī)構(gòu)和同時(shí)給數(shù)萬(wàn)師生提供IT專業(yè)服務(wù)的部門，高校信息化團(tuán)隊(duì)可以把實(shí)際安全經(jīng)驗(yàn)和運(yùn)維外包風(fēng)險(xiǎn)管理工作相結(jié)合，加強(qiáng)配套安全監(jiān)管，從而走出一條具有自己特色的安全I(xiàn)T運(yùn)維外包之路。

參考文獻(xiàn)：

[1]趙燦,杜炤,杜鵑.高校信息化建設(shè)項(xiàng)目外包采購(gòu)管理的探討[J].中國(guó)教育信息化(高教職教),2011(5).

[2]蔣東興,宓泳,郭清順.高校信息化發(fā)展現(xiàn)狀與政策建議[J].中國(guó)教育信息化(高教職教),2009(8).

[3]何秀全.高校信息化中的IT外包及其風(fēng)險(xiǎn)管理研究[D].上海外國(guó)語(yǔ)大學(xué) 2012年碩士學(xué)位論文.

[4]王左利.探討學(xué)生網(wǎng)管模式[J].中國(guó)教育網(wǎng)絡(luò),2009(3).

[5]何秀全,韓耀軍,羅圣,梅艷.高校信息化建設(shè)中的IT外包應(yīng)用分析[J].現(xiàn)代教育技術(shù),2011(5).

[6]張四海,張萬(wàn)光,高校IT運(yùn)維服務(wù)面臨的挑戰(zhàn)與機(jī)遇[Z].中國(guó)高等教育學(xué)會(huì)教育信息化分會(huì)第九次學(xué)術(shù)年會(huì)論文集.

（編輯：王曉明）