IT運維管理制度

wordwordPAGEPAGE18/16第一章運維管理服務保障制度評估，促進制度的更好落實，確保高質(zhì)量地完成各項維護支持任務。機房運維管理制度數(shù)據(jù)中心環(huán)境安全管理3區(qū)域、機房區(qū)域。權(quán)并在遵守相關(guān)制度的前提下來訪者可自由進出。與運維人員。需經(jīng)授權(quán)訪問。外來人員進出需提前提出申請，來訪者進出機房區(qū)域需經(jīng)授權(quán)，進出需登記。除了數(shù)據(jù)中心人員進出管理外，還應考慮設(shè)備和物品進出的流程。設(shè)備和物品的進出也應得到正式的審批,特別是對于機房區(qū)域的設(shè)備應重點管控。應通過機房人員/設(shè)備登記表詳細記錄。設(shè)備出門需開具出門憑據(jù)等。機房安全管理制度位、資料齊全。垃圾、無污水，以免妨礙通行和工作。物品，嚴禁使用大功率電器、嚴禁從事危險性高的工作。如需施工，必須取得領(lǐng)導、消防、安保等相關(guān)部門的許可方可施工?；蛐?。意進展拍照，嚴禁將水與食物帶入機房。入和觸動未經(jīng)授權(quán)以外的區(qū)域與設(shè)備。領(lǐng)導批準后方可進入或搬出。服務人員安全與管理制度1、維護工程師必須熟悉并嚴格執(zhí)行安全準如此。2、外部人員因公需進入機房，應經(jīng)上級批準并指定專人帶領(lǐng)方可入。3、有關(guān)通信設(shè)備、網(wǎng)絡(luò)組織電路開放等資料不得任意抄錄、復制，防止失密。需要監(jiān)聽電路時，應按規(guī)如此進展。4、機房消防器材應定期檢查，每個維護人員應熟悉一般消防和安全操作方法。5、機房嚴禁吸煙和存放、使用易燃、易爆物品。6、搞好安全教育，建立定期檢查制度，加強節(jié)假日的安全工作。7、未經(jīng)有關(guān)領(lǐng)導批準，非機房管理人員嚴禁入機房。8、機房嚴禁煙火，不準存放易燃易爆物品。9、注重電氣安全，嚴禁違章使用電器設(shè)備，不準超負荷使用電器。10、11、12、

按規(guī)定配備消防器材，并定期更新。定期檢查接地設(shè)施、配電設(shè)備、避雷裝置，防止雷擊、觸電事故發(fā)生。發(fā)現(xiàn)事故苗頭，應盡快采取有效措施，并與時報告領(lǐng)導。13、14、

進展維修時，嚴格按照程序進展，杜絕人為事故發(fā)生。嚴禁違規(guī)接入大功率無線發(fā)射設(shè)備。網(wǎng)絡(luò)安全管理制度第一的意識。工作，確?，F(xiàn)網(wǎng)的安全，嚴禁人為事故發(fā)生。網(wǎng)絡(luò)運行維護期應確保維護工作、設(shè)備運行、系統(tǒng)數(shù)據(jù)的安全?？蛻魯?shù)據(jù)的制作以與對設(shè)備的指令操作要嚴格按照客戶數(shù)據(jù)制作規(guī)和設(shè)備技操作一人核對，準確無誤方可執(zhí)行，操作人員要在工單上簽字確認。網(wǎng)絡(luò)運行維護期的安全可以通過三種控制方法保證，操作控制包括對操作流程、客戶分級、權(quán)限分級、操作記錄、遠程管理、密碼管理、防火墻技術(shù)、數(shù)據(jù)備份的安全保證；運行控制包括對告警處理、測試、性能分析、應急預案的門應有可靠的防措施。保安全的同時確保其可用性。磁盤、磁帶等必須進展檢查確認無病毒后，方可使用。時候才開通使用。數(shù)據(jù)中心值班制度值班人員應嚴守崗位，按照規(guī)定時間上下班，無法按時到崗應提前向上級領(lǐng)導匯報，由上級領(lǐng)導負責調(diào)換班。值班時間要盡職盡責，禁止從事與值班無關(guān)的事情。IT領(lǐng)導與相關(guān)部門與時報告。做好一線技術(shù)支持工作。件的記錄、跟蹤與回饋的服務臺支持工作。隨時監(jiān)視機房環(huán)境衛(wèi)生和無關(guān)的物品帶入，妥善管理設(shè)備工具。為。檔備案。遵照《人員/設(shè)備進出機房登記表》做好值班期間的人員、設(shè)備進出記錄。網(wǎng)絡(luò)安全管理制度防火墻安全管理職責說明防火墻的邏輯管理，涉與用戶、防火墻管理員、IT商以與來訪客戶。ITIT變更的評估結(jié)果符合公司安全策略和規(guī)要求。申請防火墻權(quán)限流程與創(chuàng)建策略公司業(yè)務部門工作人員因工作需要申請開通防火墻端口通信權(quán)限時，需要填寫“網(wǎng)絡(luò)服務訪問申請/變更表〞。經(jīng)用戶所在業(yè)務部門經(jīng)理審批通過后，由防火墻管理員受理需求。防火墻管理員按照最小授權(quán)原如此來評估此權(quán)限是否與業(yè)務處理需求相符，寫出配置措施和風險分析，并將分析結(jié)果提交ITIT通過后，防火墻管理員為員工在防火墻上實施配置變更創(chuàng)建相應權(quán)限策略。如果用戶需要臨時在防火墻上開通端口訪問權(quán)限，如此應在“網(wǎng)絡(luò)服務訪問申請/變更表〞備注中注明使用時限。其它步驟按照創(chuàng)建防火墻權(quán)限策略流程執(zhí)行。超過使用時限后，由防火墻管理員通知用戶并得到用戶確認后，撤銷此權(quán)限策略。防火墻管理員應明確告知用戶應對由其所具有的防火墻端口權(quán)限對生產(chǎn)系統(tǒng)產(chǎn)生的影響負責。用戶應保證開通的端口權(quán)限只用于生產(chǎn)業(yè)務數(shù)據(jù)傳輸，不可供生產(chǎn)業(yè)務以外的應用服務使用。公司業(yè)務合作伙伴與公司進展通信需要在防火墻上開通訪問權(quán)限時，應有公司相應業(yè)務部門工作人員來提出開通防火墻端口權(quán)限請求，并填寫“網(wǎng)絡(luò)服務訪問申請表〞。其余審批步驟與創(chuàng)建公司部員工權(quán)限策略一樣。如因公司系統(tǒng)服務商與公司進展通信，需要在防火墻上開通端口權(quán)限時，應由防火墻管理員自行填寫“網(wǎng)絡(luò)服務訪問申請/變更表〞，經(jīng)IT經(jīng)理審批通過后方可創(chuàng)建相應權(quán)限策略。在系統(tǒng)服務商服務完畢后，必須與時撤銷防火墻相應策略。IPIP變更防火墻權(quán)限流程與變更策略由于業(yè)務或技術(shù)變動需要變更公司與外部站點之間的通信方式時，涉與到防火墻相關(guān)權(quán)限策略的變動，應該由業(yè)務部門員工向防火墻管理員提交“網(wǎng)絡(luò)服務訪問申請/變更表〞。經(jīng)業(yè)務部門經(jīng)理審批通過后防火墻管理員受理需求，分析變更實施過程和相關(guān)風險，提交ITIT上實施配置變更，撤銷原有權(quán)限策略并創(chuàng)建新權(quán)限策略。撤銷防火墻權(quán)限策略IPITIT理員在防火墻上實施配置變更，撤銷員工IP地址所具有的權(quán)限。公司系統(tǒng)服務商的服務到期后，相關(guān)部門應通知ITITIP審和復核66查一次“防火墻的配置規(guī)〞是否符合公司安全策略要求，并填寫檢查記錄。賬號和權(quán)限管理制度1.3.1.1賬號權(quán)限管理職責說明賬號權(quán)限的管理，包括用戶賬號的添加、修改和注銷操作。涉與用戶、業(yè)務部門接口人、網(wǎng)絡(luò)管理員和IT經(jīng)理四個角色。用戶包括公司業(yè)務部門工作人員、公司業(yè)務合作伙伴、公司外部系統(tǒng)服務商以與來訪客戶。業(yè)務部門接口人負責本公司與業(yè)務合作伙伴之間的業(yè)務協(xié)調(diào)工作。網(wǎng)絡(luò)管理員負責受理解決用戶提出的賬號權(quán)限相關(guān)需求，按照最小授權(quán)原如ITIT對網(wǎng)絡(luò)管理員對配置變更的評估結(jié)果進展確認。賬號申請流程與創(chuàng)建規(guī)如此公司業(yè)務部門工作人員因工作需要新建賬號時，需填寫“系統(tǒng)賬號申請絡(luò)管理員按照最小授權(quán)原如此評估用戶賬號權(quán)限是否與業(yè)務處理需求相符，并將分析結(jié)果提交IT經(jīng)理審批。經(jīng)IT經(jīng)理審批通過后，網(wǎng)絡(luò)管理員為員工創(chuàng)建賬號、授予權(quán)限并通知員工。如果，用戶需要建立臨時，應在理制度執(zhí)行。超過使用時限后，由網(wǎng)絡(luò)管理員通知用戶后，將此賬號注善使用和保管好自己的賬號和密碼，不得將提供應他人使用。表〞。其余審批步驟與新建公司部員工賬號步驟一樣。ITIP戶具有普通訪問外網(wǎng)權(quán)限，并禁止客戶賬號訪問公司部網(wǎng)絡(luò)系統(tǒng)。一旦客戶離開如此立即撤銷其賬號。此用戶賬號的操作納入安全審計日志中。注用戶名稱、部門和賬號所關(guān)聯(lián)的業(yè)務等必要信息。這些賬號，應在投入生產(chǎn)前更改缺省賬號密碼。賬號權(quán)限變更當遇到用戶崗位變動或者業(yè)務變更，需要修改原有賬號訪問權(quán)限時。網(wǎng)絡(luò)管理員應要求用戶重新填寫“系統(tǒng)賬號申請表〞，說明賬號權(quán)限變更理由，提出賬號權(quán)限變更請求。經(jīng)用戶所在部門經(jīng)理審批通過后由網(wǎng)絡(luò)管理員受理。網(wǎng)絡(luò)管理員按照IT賬號注銷ITITITIT絡(luò)管理員在確定已經(jīng)取消系統(tǒng)服務商賬號與相關(guān)配置和數(shù)據(jù)的關(guān)聯(lián)性后，撤銷系統(tǒng)服務商賬號。3無人使用的賬號，經(jīng)賬號所屬部門經(jīng)理確認后與時給與注銷。如賬號所屬部門要求保存賬號，應提交保存申請和保存期限。賬號所屬部門不能將賬號隨便轉(zhuǎn)給其他用戶使用。對所保存的用戶賬號，設(shè)置該賬號處于禁用狀態(tài)，重新啟用這些賬號時，賬號所屬部門仍需向運行維護部門提出申請。經(jīng)IT賬號權(quán)限復查對于所有注冊并使用公司網(wǎng)絡(luò)設(shè)備的用戶賬號，網(wǎng)絡(luò)管理員應保存正式記錄和用戶清單，建立相應的“賬號權(quán)限矩陣表〞，進展集中管理，并定期維護和更新。網(wǎng)絡(luò)管理員應參照系統(tǒng)訪問控制策略，和“賬號權(quán)限矩陣表〞，至少每半年復查用戶的訪問權(quán)限。對高權(quán)限賬號的分配情況，網(wǎng)絡(luò)管理員至少每半年核查一次，以便與時查處并清理未經(jīng)授權(quán)的高權(quán)限賬號。對此類高權(quán)限賬號，網(wǎng)絡(luò)管理員在確認不影響生產(chǎn)的前提下，應與時回收。事后通報相關(guān)用戶和上級領(lǐng)導，并由該用戶承當相應責任和處罰。對高權(quán)限用戶賬號的使用情況，網(wǎng)絡(luò)管理員需要每月進展核對，查看其使用情況是否被完全登記，并對登記的容進展檢查。賬號密碼管理用戶在登陸網(wǎng)絡(luò)設(shè)備時，都要求輸入其賬號所對應的密碼。網(wǎng)絡(luò)管理員會在用戶注冊時，為其賬號設(shè)置初始密碼，并在首次啟用時強制用戶對密碼進展更改。網(wǎng)絡(luò)設(shè)備賬號密碼應妥善使用和保管，并按照以下建議進展設(shè)置，以確保賬號安全：所有賬號密碼均應以密文形式存儲在網(wǎng)絡(luò)設(shè)備上。普通用戶密碼長度不少于68設(shè)置的密碼采用字母與數(shù)字混合形式的字符串。用戶設(shè)置密碼應保證自己容易記憶，但盡量不基于以下容易猜想的字符串，比如：個人、部門名稱、公司名稱、、出生日期、連續(xù)數(shù)字、一樣字符等。用戶盡量不使用私人用戶密碼。當需要訪問多個網(wǎng)絡(luò)設(shè)備或多重服務時，建議用戶使用單一的密碼。用戶應定期重置密碼，以確保賬號安全。普通用戶密碼至少每季度重置一次，高權(quán)限用戶密碼至少每月重置一次。重置密碼時，用戶應不重復或者循環(huán)使用舊的密碼，其中高權(quán)限用戶密碼至少6次之不重復使用。用戶不應把密碼包含在任何自動登錄程序之中，例如：把密碼存在宏代碼或者功能鍵上；用戶忘記密碼時，可向網(wǎng)絡(luò)管理員提出重置密碼請求，經(jīng)用戶所在部門領(lǐng)導批準后，在網(wǎng)絡(luò)管理員幫助和指導下重新設(shè)置密碼。遇有系統(tǒng)或者密碼可能被侵害的跡象時，用戶應與時報告網(wǎng)絡(luò)管理員，并立即重置密碼。根據(jù)職責別離原如此，網(wǎng)絡(luò)設(shè)備高權(quán)限賬號密碼應由網(wǎng)絡(luò)設(shè)備以外崗位的工程師進展管理。網(wǎng)絡(luò)管理員應每季度定期檢查用戶密碼是否按以上規(guī)定設(shè)置，對不符合要求的應與時通知用戶整改。對用戶拒不改正的，網(wǎng)絡(luò)管理員應強制停用該賬號，以確保網(wǎng)絡(luò)設(shè)備的安全。賬號權(quán)限的部控制與審計為確保用戶管理和密碼管理的有效性，運行維護部門應對從事該項工作的網(wǎng)絡(luò)管理員有控制措施。必要時可以根據(jù)職責別離原如此設(shè)置雙向監(jiān)視崗位。同時，要對網(wǎng)絡(luò)管理員和用戶進展必要的安全意識教育。網(wǎng)絡(luò)管理員要遵守中心制度，確保職業(yè)操守，保證用戶信息的安全。工作中要按照審批流程嚴格執(zhí)行，并對所有操作保存記錄，以備核查。運行維護部門每年組織部審計，以確保該項工作的有效性。部審計人員一般由業(yè)務管理部門和運行維護部門的工作人員組成。根據(jù)職責別離原如此，網(wǎng)絡(luò)管理員不在審計人員行列之。部審計的容主要以“賬號權(quán)限管理部審計表〞中所作的強制性要求為準，建議性要求不在審計圍之列。部審計后，審計人員要認真填寫“賬號權(quán)限管理部審計表〞，并對審計結(jié)果簽署意見，必要時要有相應的說明。該審計結(jié)果要與時反應給相應部門和人員，并最后由運行維護部門負責存檔。主機賬號管理制度主機賬號管理細如此1、主機賬號分類重要賬號包括：號。具有修改集團業(yè)務數(shù)據(jù)權(quán)限的賬號為重要賬號。具有讀取涉與集團秘密業(yè)務數(shù)據(jù)權(quán)限的賬號為重要賬號。其他主機賬號均歸為普通賬號。進展管理，到期注銷。2、賬號注冊與維護使用唯一的用戶ID，保護用戶的操作行為與用戶本人身份唯一對應，便于對用戶行為的審計以與追溯。3、口令生成與保存沒有口令的賬號；?。挥脩粼诔惺艿劫~號和口令后，應在第一次登錄賬號時修改口令；此產(chǎn)生，如此口令不應當為公開的口令；不得將賬號口令明文存儲在計算機上或?qū)懺谟浭卤旧希惶柌⒏乃锌诹睿?、口令設(shè)立原如此賬號的口令必須是具有足夠的長度和復雜度，使口令難于被猜想；5知現(xiàn)在的口令；后一個口令的機會；猜想的信息。68小寫字母、數(shù)字和特殊字符，且不得為有意義的單詞或短語。5、賬號的取消人，其原崗位主管應當申請銷戶，由管理員取消該賬號的所有權(quán)限；賬號對應用系統(tǒng)的訪問企圖失效。6、口令使用和管理原如此90重要設(shè)備和系統(tǒng)建議采用一次性口令方式進展認證。5正常使用。文存放于可公共訪問的設(shè)備中。出現(xiàn)以下任何一種情況時，相關(guān)口令必須立即更改并做好記錄：掌握口令的管理員離開崗位；因工作需要，由管理員以外人員使用賬號與口令登錄操作后；7、管理員的責任與義務確保除匿名賬號外，系統(tǒng)中所有用戶都必須有口令；確保系統(tǒng)和網(wǎng)絡(luò)設(shè)備上沒有使用默認口令的賬號；確保重要賬號的口令具有足夠強度；定期審計，檢查系統(tǒng)用戶的數(shù)量和權(quán)限；為用戶普與口令安全知識；1.3.2.2主機賬號申請流程申請日期、申請原因說明等信息。門領(lǐng)導審核簽字，再交由信息中心領(lǐng)導審核簽字。1.3.2.3主機賬號取消流程業(yè)務部門提出申請，填寫《取消主機賬號申請單請人、申請日期、申請原因說明等信息。理部門領(lǐng)導審核簽字，再交由信息中心領(lǐng)導審核簽字。打印版的《取消主機賬號申請單》由運行維護部門存檔并長期保管。1.3.3.1數(shù)據(jù)庫賬號管理細如此1、數(shù)據(jù)庫賬號分類數(shù)據(jù)庫賬號依其用途分為四類：超級賬號，如Oracle數(shù)據(jù)庫中的sys、system。為系統(tǒng)普通賬號，如Oracle數(shù)據(jù)庫中的scott等。為滿足業(yè)務系統(tǒng)運行需要而創(chuàng)建的賬號為業(yè)務賬號。2、賬號創(chuàng)建與維護創(chuàng)建新的數(shù)據(jù)庫賬號時，必須明確每個數(shù)據(jù)庫賬號的責任人，便于對用戶行為的審計以與追溯。配，防止出現(xiàn)過度授權(quán)現(xiàn)象。3、口令生成與保存得創(chuàng)建沒有口令的賬號；中途截??；不得將賬號口令明文存儲在計算機上或?qū)懺谟浭卤旧?；賬號并更改所有口令；4、口令設(shè)立原如此數(shù)據(jù)庫賬號的口令必須是具有足夠的長度和復雜度，使口令難于被猜想；數(shù)據(jù)庫賬號的口令在必要時間或次數(shù)〔最少5次〕不得循環(huán)使用；口令推知現(xiàn)在