1.5　网络服务级别管理

前文介绍网络服务常见的环境及场景，但是网络服务提供商能提供什么品质的服务、什么级别的支持和保障呢？这就涉及服务级别管理问题。服务级别起源于英国CCTA（Central Computing and Telecommunications Agency），1989年由英国商务部（Office of Government Commerce，OGC）开发，并经由AXLOS推广到全球服务管理最佳实践ITIL，形成ISO/IEC 20000国际标准。

1.5.1　服务级别协议

服务级别协议（Service Level Agreement，SLA），是组织和客户之间用于定义服务及其达成一致的绩效所签署的文件化协议。通俗来讲，服务级别协议也称服务水平协议或服务等级协议。在ISO/IEC 20000中统一术语为服务级别协议。

服务级别协议定义了服务提供商与客户之间正式基于服务级别的书面理解和确认。其中，网络安全要求、网络服务要求是很重要的服务交付指标，是对服务双方进行的具有约束力的服务协议。

1.5.2　服务级别管理

根据ITIL 2011版中对服务级别管理（SLM）的定义：服务级别管理是指为签订服务级别协议（SLA）而进行的计划、草拟、协商、监控和报告，以及签订服务级别协议后对服务绩效的评价等一系列活动所组成的一个服务管理流程。服务级别管理旨在确保组织所需的IT服务质量在成本合理的范围内得以维持并逐渐提高。

操作级别协议（OLA）是IT服务提供方和组织内部IT部门就某个具体服务项目的提供而达成的协议。用于支持服务级别目标实现的IT技术支持团队，一般指IT内部的相关部门或其他小组。

在服务级别管理活动中，如果服务是由甲方自服务的，服务级别协议（SLA）即等同于操作级别协议（OLA）；如果服务是由乙方提供外包服务的，服务级别协议（SLA）即等同于第三方合同（UC）。

1.5.3　服务级别目标

服务级别目标（Service-Level Object，SLO）是很重要的服务级别协议管理手段。通过在服务级别协议中定义网络安全要求、服务管理要求，实现对网络服务的安全管控，具体指标包括一系列的服务级别目标（SLO）对服务提供者提供的服务进行度量与考核。

服务级别目标（SLO）是由若干个服务等级目标（Service Level Target，SLT）组成的，用于定义服务提供者和客户之间针对具体服务的处理目标的定义。SLT指定义一个服务的响应目标，即SLT需要定义类型、度量单位、数值、优先级等。

安全事件一般可分为三级或五级，包括网络攻击事件、有害程序事件、信息泄露事件等内容，这时需要定义每一个分类、不同级别的事件的解决时间要求（如一级故障要求多少分钟解决），还需要定义哪个级别的事件影响可用性（如一级故障、二级故障都影响可用性）。

1.5.4　服务级别目标的拆解

网络服务安全与监控的具体管理手段，需要通过服务级别目标（SLO）进行管理。网络服务本身应把可用性管理、容量管理、服务连续性管理、财务管理等相关指标进行综合管理与控制，才能有效地支持服务级别目标（SLO）的实现，安全服务与监控的目标定义还需要考虑人、财、物及IT基础设施的支持，通过全面系统地定义服务级别协议目标，实现客户安全的服务需求。

进一步引入ISO/IEC 20000的相关管理流程，可以更加全面地实现服务级别协议中定义的相关服务级别目标（SLO）。通过所提供的服务和相应的服务级别目标及工作目标特性，实现全面定制与管理服务级别协议。

定制服务级别管理的指标数量及指标的高低，取决于组织的规模、管理能力的成熟度、安全流程的复杂度，不应生搬硬套，而应制定企业能够运行的服务级别工作框架。

1.5.5　网络安全等级保护对服务级别管理的要求

为了配合《中华人民共和国网络安全法》（以下简称《网络安全法》）的实施，同时适应云计算、移动互联、物联网、工业控制和大数据等新技术、新应用场景下网络安全等级保护工作的开展，对《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239—2008）进行了修订，修订的思路和方法是调整原国家标准GB/T 22239—2008的内容，针对共性安全保护需求提出安全通用要求，针对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用领域的个性安全保护需求提出安全扩展要求，形成新的《信息安全技术网络安全等级保护基本要求》（GB/T 22239—2019）标准。其中规定了第一级到第四级等级保护对象的安全要求，每个级别的安全要求均由安全通用要求和安全扩展要求构成。

在GB/T 22239—2019规定的云计算安全扩展要求中，宏观上定义了信息安全对SLM的要求，重点涵盖以下要求。

（1）云服务商应根据业务系统的安全保护等级提供相应安全等级保护能力。

（2）应以书面方式约定云服务商的权限与责任，包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。

（3）签订服务级别协议（SLA）和签订隐私保护协议，并可向第三方提供相关证明。

其中，对于云服务商，一方面需要对自己的云平台进行定级、备案、建设整改、测评等一系列流程；另一方面需要给云租户提供必要的支撑，包括云服务商安全资质、通过测评的证明材料等。

1.5.6　ITSS对服务级别管理的要求

信息技术服务标准（Information Technology Service Standards，ITSS）是在工业和信息化部、国家标准化管理委员会的领导和支持下，由ITSS工作组研制的一套适用于国内企业服务领域的标准库和IT服务管理的方法论。

其方法论模型参考了ISO/IEC 20000、ITIL、COBIT、ISO 27001等多种管理方法，是一套成体系和综合配套的信息技术服务标准库，全面规范了IT服务产品及其组成要素，用于指导实施标准化和可信赖的IT服务。

ITSS作为国内的IT服务管理实践，给出了服务级别管理的框架。ITSS服务级别管理关系如图1-5所示。

从服务提供商的角度，首先需要梳理的是服务目录，其次针对当前的每个服务项目进行分析。与客户（业务方）讨论确定一个服务范围（服务目录），然后确定服务时间范围（服务日历），最后根据业务的现实情况来一同确定可用性与解决时间。