为什么要采购IT第三方服务

    我们面对新的观点、新的思想，作为职业人士，更多的需要学习、理解并加以灵活运用，这也体现对企业文化的融合和认同。

    但是，切不可盲从，盲从就会活在他人的世界里，失去对事物的预判能力；相反，要养成独立思考的习惯，进行深度思考，探索背后的本质，这样的目的不是为了驳斥与反对，而是先人一步，洞见未来。

    我们曾总结过，IT系统的主要价值包括精确地呈现数据、固化流程、防呆提效等；反过来，如何提练出IT价值的评估要素，以之为牵引，倒逼业务改善呢？

    例如：IT评估要素主要可以包括业务IT覆盖率、方法工具沉淀占比、指标报表导出率、异常移动提示率等维度。其中：

    指标报表导出率、异常移动提示率可以理解为数据（报表、指标）的提取和应用，这符合数字化企业建设和经营的思想，利用IT具实现数据可视、简单高效，形成数据文化，数据驱动决策和战略；

    但是，数据是来源于业务流，来源于业务底层，确保数据的及时性、客观性是数据应用的基础；同时，如果指标、报表设计不合理，偏离客户导向，会促使管理层为了数据而数据，甚至弄虚作假，背离初衷。

    方法工具沉淀占比是比较好的导向，鼓励发明方法工具、全员创新，形成规范体系，并通过IT固化，将好的经验进行传承。

    而业务IT覆盖率是比较重要的一个指标，它体现了企业经营活动IT的支撑程度，业界也形成了一些标准的方法论，如流程梳理五步法，然后，在此基础上来进行IT覆盖的判定，决定IT项目的投入。

    但这里要特别注意的是，如果基于现状流程审视IT的投入和价值，会是一个根本性的错误。无数经验表明，流程变革（再造）才是产生价值的核心，业务IT覆盖要基于变革后的流程，而非现状。

    当然，我们既不能为了流程而流程，也不能为了IT而IT，支持经营目标，打造组织能力才是核心。

1IT安全策略

管理人员应该审视那些能够管理特权账户（如域管理员账户、应用程序管理员账户、数据库管理员）的IT安全策略，要保障安全策略的存在，还要清楚存取访问是如何被处理、验证、证明的，要确保对这些策略定期进行审查。否则，基本上就不存在管理特权访问的基础了。在没有相关报告的情况下，管理特权账户的策略是不完整的。特权账户的口令审核报告经常要涉及到如下的问题：口令何时更新、更新失败有哪些，以及在一个共享账户下，个别用户如何执行任务等等。

制定的策略应具有这样的目标：能够终止明显的不可防御的用户活动。要确保所有的雇员、订约人和其它用户清楚其责任，从而与IT的安全策略、方法以及与其角色相适应的相关指导等。

2“超级用户”账户和访问

了解公司与用户访问有关的暴露程度是很重要的。应该决定拥有访问特权的账户和用户的人员，并获得对网络、应用程序、数据和管理功能的访问有较高权力的所有账户列表。包括通常被忽视的所有计算机账户。由此，要确保用户访问能够被检查，并确保其拥有恰当的许可。一个好方法是定期地审查用户访问，并决定数据和系统的“所有者”已经得到明确授权。

3账户和口令配置标准

要保证所有的管理员账户能够根据策略更新。在特定设备上，不应存在默认的口令设置。对那些拥有足够的默认账户和口令资源的用户来说，其信息是很丰富的。有一些安全账户，其账户名就是口令，这简直是自寻烦恼。设置口令的期限也是很重要的，禁用某些明显的临时账户也是很聪明的作法。

4对口令的受控访问

对权力有所提升的账户和管理员的口令存取要加以管理。其道理可能很明显，不过对口令的共享访问并非总能得到控制。离线的记录或开放性的访问，如包含口令的电子邮件，就不应当存在。即使一个加密的口令文件也是不足取的。在最糟的情形中，口令文件的口令并没有得到控制。

5服务账户( “机器” 账户)

服务器也可以被提升权限，并用于各种罪恶的目的。这些账户典型情况下并不分配给人类用户，并且也不包括在传统的认证或口令管理过程中。这些账户可被轻易地隐藏。管理员应该保障服务账户只拥有必要的访问权。这些账户应该定期检查，因为它们经常拥有超级用户的能力。这种用户的数量是很多的，而且还有许多不用的账户也需要注意。

6高风险用户和角色

有一些公司积级地监视某些角色，这些角色对企业会造成极高的风险，企业的监视会发现其潜在的“不可接受”的行为。许多企业拥有一些风险极高的关键角色。例如，一位采购经理为谋求一个职位可能会将自己能够访问的敏感数据带到另外一家竞争公司那里去。这种情况下，其访问是被授权的，不过却存在着滥用的情况。岗位、职责的轮换以及设定任命时间是对付高风险的一个重要方案。注意：IT安全专家通常都属于高风险角色的范围。

7安全知晓项目

任何雇员或用户都可能造成一种威胁。贯彻执行一个可以处理上述所有要点的安全知晓项目，并能保证其强制实施势在必行。现在有许多方案能够确保所有的用户已经阅读并同意有关规则和政策。其中一种工具是在用户登录时要求其在一个警告消息上签名，要求用户确认其同意并选择窗口中的“接收”或“同意”复选框。

8背景筛选

背景筛选就是要认真地问雇员一些措词严格的问题，以揭示其特定行为和态度的危险信号，例如：

·违规的或异常的工作经历：离开工作的可疑理由、长期未被雇用的原因

·欺诈：在某些事实上（例如教育、以前的雇佣关系）的虚伪陈述

·人格/态度问题：与同事或管理人员的糟糕关系

·挫败、威信问题、猜疑、无力接受改变等

9事件记录

安全事件记录提供了实时使用和活动的透明度。精确而完整的用户及其活动的记录对于事件分析和制定额外的安全措施是至关重要的。获取访问的方法、访问范围和过去的活动是很重要的。为保证有充足的记录，应考虑改善对较高风险领域和服务的记录利用。

10证据

管理人员应熟悉所使用的不同存储设备，如果有任何可疑迹象，还应具备 “指纹”知识的足够知识水平。这可以是cookie数据、隐藏的 *** 作系统数据等。从公司系统中获取关键文件并将其放置到闪速存储器上是很简单的事情，这些闪速设备可被伪装为数码相机、个人数字助理（PDA）或移动电话等。还有一些调查人员从移动电话中收集和分析信息，因为这种设备可包含语音邮件、正文消息、地址文件、电话号码和许多遗漏电话、已接电话等。如果有任何可疑的非法活动，就应保留相关证据，直至最终决定其结果。

1前言随着信息技术应用快速推广，越来越多的行业和部门都建立起IT系统，在电信、金融、能源，制造等信息化程度高的行业，IT系统已经形成相当庞大的规模体系，这些行业的运营管理已形成对IT系统的高度依赖。企业级的IT系统一般由前台终端和后台数据中心构成，核心是数据中心，它为前台终端提供数据支持。数据中心IT基础设施技术繁杂、标准不一的“异构环境”对系统维护提出了极高的技术要求。IT行业第三方服务商由此应运而生。2发展根据国际惯例和产品性质，IT产业主要由软硬件产品制造、系统集成服务和IT技术服务三类构成，而IT服务分为面向政府、企事业单位的数据中心IT基础设施服务，面向终端用户的桌面支持服务，面向数据中心及终端用户的网络支持服务，以及其他服务。其中，数据中心IT基础设施服务厂商主要由原厂商和第三方厂商组成。第三方IT服务是IT服务市场发展到一定阶段后，深化发展的结果。随着国内信息化应用的深入，现有信息系统的管理维护乃至升级不可或缺，而单一设备原厂商附加的标准服务由于只对自身品牌产品负责，在面对客户的异构化(不同品牌)IT建设系统出现问题时则面临困境，这种由单一设备原厂商分散提供服务的方式已经很难满足日益复杂的IT应用环境。在这种市场环境下，具有多品牌服务能力的第三方IT服务商竞争优势明显，能够专业、高效地为企业提供统一、系统的“一站式”服务以及解决方案的第三方服务应运而生。近年来，中国IT产业迅速发展，IT基础设施服务市场的规模随之不断扩大，IT基础设施第三方服务市场也呈现快速发展态势。第三方服务商以其专业的技术水平、跨平台服务能力、较原设备厂商更低的服务价格及更灵活的服务方式，在整个数据中心IT基础设施服务市场中的比例逐步扩大，越来越多企业用户逐步接受了这种服务模式，并认可了其服务价值。根据数据显示，2011年数据中心IT基础设施第三方服务市场规模达到1806亿元，与2010年同期相比增长274%;在总体IT基础设施服务市场中的份额为4202%，较上年提升159个百分点。《2013-2017年中国数据中心IT基础设施第三方服务行业发展前景与投资预测分析报告》[1]数据显示目前，国内数据中心IT基础设施第三方服务市场还处于兴起阶段，参与竞争厂商众多，品牌也较分散，市场集中度不高。近年来中国数据中心IT基础设施第三方服务市场集中度较低，前十名服务商的市场份额之和接近20%。近年来中国数据中心IT基础设施第三方服务市场领先的的服务商主要有：电信系统集成、神码系统集成、太极计算机、华胜天成、联通系统集成、东华软件、东软集团、中铁信、中软、天玑科技。分地域来看，华东、华北和华南是数据中心IT基础设施服务的主体区域，占总体市场的65%左右。这些区域经济发展水平较高，信息化建设也拥有良好基础，市场需求旺盛，其中以华东区域市场规模最大，占总体市场的25%左右。行业发展中，电信、金融、政府在数据中心建设上开展较早，对IT服务市场需求较大，是IT服务市场的主要应用领域，共占总体市场的60%以上，其中电信行业市场最大，占比在26%左右。随着数据中心规模的扩容，IT设备在种类、品牌上呈现多样化的特点，IT应用系统也越来越多，IT设备、IT系统、基础资源之间的关系错综复杂，数据中心IT基础设施复杂度越来越高。但用户在数据中心运维的专业能力、管理水平、人才储备等方面都存在较大不足，这制约了企业IT应用水平的提升，同时也带动了数据中心IT基础设施第三方服务需求不断增长。前瞻网研究认为，受“十二五”对云计算、物联网等信息化应用以及两化深度融合工作的不断贯彻，数据中心IT基础设施第三方服务将继续保持高速增长。2012年我国数据中心IT基础设施第三方服务市场规模将达到230亿元人民币，增长率为275%，预计到2016年，市场规模将达到600亿元以上，年复合增长率276%。3第三方IT服务商优势IT行业第三方服务是指由非原厂商提供的，针对多品牌产品的IT基础设施服务。IT行业第三方服务商有三大优势：1、多品牌服务能力，解决了原厂商服务技术覆盖面窄的问题，2、专业技术强，解决了用户自我维护技术力量不足的问题，使用户从技术复杂、整合难度高的基础设施运维中脱身出来，专注于自身业务发展；3、运维成本低，使用户减少高昂的服务费用。4第三方IT服务五大类IT行业第三方服务最主要的五大类：咨询服务、实施服务、运维服务、迁移服务、培训服务。咨询服务主要包括IT系统规划咨询，IT基础架构咨询，虚拟化应用咨询等；实施服务主要包括 *** 作系统安装配置服务windows/linux/aix，数据库安装配置服务SQL/Oracle/db2，服务器虚拟化平台实施服务，容灾系统实施服务等；运维服务主要包括：设备巡检服务，定期预防性健康检查，现场备机备件服务等；迁移服务主要包括：设备搬迁及升级服务，应用及数据迁移服务等；培训服务主要包括服务器及存储维护培训，AIX系统管理培训等5第三方IT服务现状近年来，国家相继出台一系列扶持政策，为数据中心IT基础设施第三方服务营造了良好的政策环境。国家IT运维服务标准预计将于下半年或明年上半年出台。国标出台后，行业将进入洗牌阶段，以IT基础设施服务为主业的专业第三方服务商有望凭藉“专而精”的优势在竞争中脱颖而出。此外，未来几年国内IT建设将迎来又一轮高峰。而且，前两三年建设的IT系统大多过了免费维保期，自2011年起，对IT系统维修保养的需求将日益增多。中国IT基础设施服务的市场规模2014年将达到69029亿元，是中国IT服务市场增长速度最快的细分行业之一。

相对来说，Uptime Tier认证在业内是认同度最高的标准。

UptimeInstitute成立于1993年，是全球公认的数据中心标准组织和第三方认证机构。下列两项标准是数据中心基础设施可用性、可靠性及运维管理服务能力认证的重要标准依据：《Data Center Site Infrastructure TierStandard: Topology》和《Data Center Site Infrastructure TierStandard: OperationalSustainability》

随着全球范围内的数据中心业务的发展，对数据中心的可靠性提出了越来越高的要求，高可靠性等级认证的取得，将给数据中心拥有者带来更多的机会。Uptime Tier等级认证基于以上两个标准，是数据中心业界最知名、权威的认证，在全球范围得到了高度的认可。Uptime Tier数据中心等级认证体系分为Tier I—Tier IV四个等级的最高等级，Tier IV最高。

Uptime Tier等级认证针对数据中心的电气参数、冗余、地板承载、电源、冷却装备，甚至造价等等都制定了标准。作为用户最为关心的无故障时间，我们可以看到最低级的Tier I平均每年有总和超过一天的故障时间，而最高等级的Tier IV只能允许平均每年48分钟故障时间。

XDC+旗下的GC-EB1、GC-EB2、GC-EC3三座数据中心都是按照最高等级Tier IV的标准建造，2016年4月13日、5月11日，Uptime小组专家先后两次来到数据中心指导建设期间的规划、设计、建造工作。为将来通过UptimeTier IV的认证做好准备。日前，已经要拿到设计认证了。

你说的五星级数据中心，是国内的标准。

根据国家《IDC业机房星级的划分与评定》GB2887-89规定了IDC业机房星级的划分条件。标准适用于正式营业的各种经济性质的IDC业机房。以星(★)的数量和颜色表示IDC业机房的等级，星级分为五个等级，即<b>一星级、二星级、三星级、四星级、五星级</b>(含钻石五星级)，星级越高，表示IDC业机房的档次越高。其中，三星级及以下机房定义为低端机房，四星级定义为中端机房，五星级及以上定义为高端机房，另外，分别通过机房的建筑规模、基础建设规格、地理位置、采用的设备型号（进口/国产）以及机房所采用的带宽层级（核心层/骨干层/城域层）进行了划分，对符合条件的IDC机房，颁发国家认定证书。

但也有很多数据中心是自己给自己制定的规则判断，并没有通过Uptime Institute公司的权威认证，也没有拿到国际颁发的认定证书，就敢说自己过了T3/T4认证，拿了五星级，更有甚者，说自己的数据中心过了所谓的T3+，就是比T3的标准还要再高点，又不敢说自己是T4，毕竟T4是要全系的2N的配置，就有了所谓的T3 +，可是业界根本没有T3+这个说法啊，估计Uptime Institute公司内心也是挺懵逼的，我们只有uptime tier3 或者Uptime Tier4的标准，根本没有所谓T3+数据中心。

SO~以上~OVER~

以上就是关于破界突围之路：如何提升IT系统的价值（一）全部的内容，包括:破界突围之路：如何提升IT系统的价值（一）、IT安全策略，程序和标准、为什么要采购IT第三方服务等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！