1.5　網絡服務級別管理

前文介紹網絡服務常見的環(huán)境及場景，但是網絡服務提供商能提供什么品質的服務、什么級別的支持和保障呢？這就涉及服務級別管理問題。服務級別起源于英國CCTA（Central Computing and Telecommunications Agency），1989年由英國商務部（Office of Government Commerce，OGC）開發(fā)，并經由AXLOS推廣到全球服務管理最佳實踐ITIL，形成ISO/IEC 20000國際標準。

1.5.1　服務級別協(xié)議

服務級別協(xié)議（Service Level Agreement，SLA），是組織和客戶之間用于定義服務及其達成一致的績效所簽署的文件化協(xié)議。通俗來講，服務級別協(xié)議也稱服務水平協(xié)議或服務等級協(xié)議。在ISO/IEC 20000中統(tǒng)一術語為服務級別協(xié)議。

服務級別協(xié)議定義了服務提供商與客戶之間正式基于服務級別的書面理解和確認。其中，網絡安全要求、網絡服務要求是很重要的服務交付指標，是對服務雙方進行的具有約束力的服務協(xié)議。

1.5.2　服務級別管理

根據ITIL 2011版中對服務級別管理（SLM）的定義：服務級別管理是指為簽訂服務級別協(xié)議（SLA）而進行的計劃、草擬、協(xié)商、監(jiān)控和報告，以及簽訂服務級別協(xié)議后對服務績效的評價等一系列活動所組成的一個服務管理流程。服務級別管理旨在確保組織所需的IT服務質量在成本合理的范圍內得以維持并逐漸提高。

操作級別協(xié)議（OLA）是IT服務提供方和組織內部IT部門就某個具體服務項目的提供而達成的協(xié)議。用于支持服務級別目標實現的IT技術支持團隊，一般指IT內部的相關部門或其他小組。

在服務級別管理活動中，如果服務是由甲方自服務的，服務級別協(xié)議（SLA）即等同于操作級別協(xié)議（OLA）；如果服務是由乙方提供外包服務的，服務級別協(xié)議（SLA）即等同于第三方合同（UC）。

1.5.3　服務級別目標

服務級別目標（Service-Level Object，SLO）是很重要的服務級別協(xié)議管理手段。通過在服務級別協(xié)議中定義網絡安全要求、服務管理要求，實現對網絡服務的安全管控，具體指標包括一系列的服務級別目標（SLO）對服務提供者提供的服務進行度量與考核。

服務級別目標（SLO）是由若干個服務等級目標（Service Level Target，SLT）組成的，用于定義服務提供者和客戶之間針對具體服務的處理目標的定義。SLT指定義一個服務的響應目標，即SLT需要定義類型、度量單位、數值、優(yōu)先級等。

安全事件一般可分為三級或五級，包括網絡攻擊事件、有害程序事件、信息泄露事件等內容，這時需要定義每一個分類、不同級別的事件的解決時間要求（如一級故障要求多少分鐘解決），還需要定義哪個級別的事件影響可用性（如一級故障、二級故障都影響可用性）。

1.5.4　服務級別目標的拆解

網絡服務安全與監(jiān)控的具體管理手段，需要通過服務級別目標（SLO）進行管理。網絡服務本身應把可用性管理、容量管理、服務連續(xù)性管理、財務管理等相關指標進行綜合管理與控制，才能有效地支持服務級別目標（SLO）的實現，安全服務與監(jiān)控的目標定義還需要考慮人、財、物及IT基礎設施的支持，通過全面系統(tǒng)地定義服務級別協(xié)議目標，實現客戶安全的服務需求。

進一步引入ISO/IEC 20000的相關管理流程，可以更加全面地實現服務級別協(xié)議中定義的相關服務級別目標（SLO）。通過所提供的服務和相應的服務級別目標及工作目標特性，實現全面定制與管理服務級別協(xié)議。

定制服務級別管理的指標數量及指標的高低，取決于組織的規(guī)模、管理能力的成熟度、安全流程的復雜度，不應生搬硬套，而應制定企業(yè)能夠運行的服務級別工作框架。

1.5.5　網絡安全等級保護對服務級別管理的要求

為了配合《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）的實施，同時適應云計算、移動互聯、物聯網、工業(yè)控制和大數據等新技術、新應用場景下網絡安全等級保護工作的開展，對《信息安全技術信息系統(tǒng)安全等級保護基本要求》（GB/T 22239—2008）進行了修訂，修訂的思路和方法是調整原國家標準GB/T 22239—2008的內容，針對共性安全保護需求提出安全通用要求，針對云計算、移動互聯、物聯網、工業(yè)控制和大數據等新技術、新應用領域的個性安全保護需求提出安全擴展要求，形成新的《信息安全技術網絡安全等級保護基本要求》（GB/T 22239—2019）標準。其中規(guī)定了第一級到第四級等級保護對象的安全要求，每個級別的安全要求均由安全通用要求和安全擴展要求構成。

在GB/T 22239—2019規(guī)定的云計算安全擴展要求中，宏觀上定義了信息安全對SLM的要求，重點涵蓋以下要求。

（1）云服務商應根據業(yè)務系統(tǒng)的安全保護等級提供相應安全等級保護能力。

（2）應以書面方式約定云服務商的權限與責任，包括管理范圍、職責劃分、訪問授權、隱私保護、行為準則、違約責任等。

（3）簽訂服務級別協(xié)議（SLA）和簽訂隱私保護協(xié)議，并可向第三方提供相關證明。

其中，對于云服務商，一方面需要對自己的云平臺進行定級、備案、建設整改、測評等一系列流程；另一方面需要給云租戶提供必要的支撐，包括云服務商安全資質、通過測評的證明材料等。

1.5.6　ITSS對服務級別管理的要求

信息技術服務標準（Information Technology Service Standards，ITSS）是在工業(yè)和信息化部、國家標準化管理委員會的領導和支持下，由ITSS工作組研制的一套適用于國內企業(yè)服務領域的標準庫和IT服務管理的方法論。

其方法論模型參考了ISO/IEC 20000、ITIL、COBIT、ISO 27001等多種管理方法，是一套成體系和綜合配套的信息技術服務標準庫，全面規(guī)范了IT服務產品及其組成要素，用于指導實施標準化和可信賴的IT服務。

ITSS作為國內的IT服務管理實踐，給出了服務級別管理的框架。ITSS服務級別管理關系如圖1-5所示。

從服務提供商的角度，首先需要梳理的是服務目錄，其次針對當前的每個服務項目進行分析。與客戶（業(yè)務方）討論確定一個服務范圍（服務目錄），然后確定服務時間范圍（服務日歷），最后根據業(yè)務的現實情況來一同確定可用性與解決時間。