基礎(chǔ)架構(gòu)配置與變更管理制度

..根底架構(gòu)配置與變更治理制度第一節(jié)總那么第一條第六條第七條第八條

定本規(guī)定。本規(guī)定所指根底架構(gòu)，請(qǐng)參見【IT與變更、根底架構(gòu)布局的配置與變更。規(guī)定中所指配置治理單位：省公司信息技術(shù)處。員、平安治理員等。其次節(jié) 平臺(tái)軟件的基準(zhǔn)配置全都性。經(jīng)授權(quán)的配置治理員應(yīng)依據(jù)系統(tǒng)安裝手冊(cè)與配置基準(zhǔn)對(duì)初裝系統(tǒng)清楚表達(dá)基準(zhǔn)配置。有問題的狀況下該系統(tǒng)或設(shè)備才能在生產(chǎn)環(huán)境下運(yùn)行。第三節(jié) 平臺(tái)軟件的配置變更第九條第十條第十一條第十二條第十三條第十四條第十五條

平臺(tái)軟件的配置變更包括但不限于：操作系統(tǒng)軟件、數(shù)據(jù)庫(kù)軟件、供給商公布的補(bǔ)丁、升級(jí)包的使用等。權(quán)的人進(jìn)展操作。/升級(jí)包的使用等〕那么應(yīng)同時(shí)提交第三方效勞商建議文檔。更發(fā)生的時(shí)間、地點(diǎn)等。配置單位治理層應(yīng)依據(jù)配置變更方案及該配置變更所能產(chǎn)生的影/升級(jí)包的平安性、準(zhǔn)確性及/升級(jí)包在安裝之前必需經(jīng)過測(cè)試。配置單位治理層應(yīng)在【配置變更申請(qǐng)、審批表】中記錄審批結(jié)果并簽字。配置治理員還應(yīng)將【配置變更申請(qǐng)、審批表簽字。第四節(jié) 硬件設(shè)施的配置變更第十八條第十九條其次十條

硬件設(shè)施的基準(zhǔn)配置參見總公司下發(fā)的【IT盤、主機(jī)HBA卡、網(wǎng)卡、光驅(qū)、磁帶機(jī)、網(wǎng)絡(luò)設(shè)備接口模塊、備份電源等硬件設(shè)施配置變更。硬件設(shè)施使用方在硬件資源使用過程中時(shí)發(fā)生硬件資源缺乏或壞確認(rèn)硬件設(shè)施配置的正確性。CPU、內(nèi)存、硬盤、備份電源、HBA卡、網(wǎng)卡、光驅(qū)、磁帶機(jī)、網(wǎng)絡(luò)設(shè)備接口模塊〕和配置變更的緣由及內(nèi)容。更發(fā)生的時(shí)間、地點(diǎn)等。配置單位治理層應(yīng)依據(jù)配置變更方案及該配置變更所能產(chǎn)生的影更申請(qǐng)、審批表】中記錄審批結(jié)果并簽字。(見【硬件設(shè)備維護(hù)規(guī)定】)。一欄中簽字。第五節(jié) 根底架構(gòu)布局的變更第三十條

整、拓?fù)渥兓?、定期停機(jī)檢修等。布局發(fā)生變更時(shí)此類根底架構(gòu)布局文檔應(yīng)得到準(zhǔn)時(shí)的更。申請(qǐng)表中應(yīng)具體描述變更的緣由、內(nèi)容、時(shí)間、涉及到的部門等相關(guān)內(nèi)容，經(jīng)需求方治理層審批后提交配置治理單位。經(jīng)授權(quán)的配置治理員應(yīng)依據(jù)審批后的布局變更方案進(jìn)展布局變更進(jìn)展確認(rèn)。配置治理員應(yīng)同時(shí)更相關(guān)的根底架構(gòu)布局文檔。一并作為【布局變更記錄表】的附件提交給配置監(jiān)管人，由其進(jìn)展布局變更確實(shí)認(rèn)，并在【布局變更記錄表】的“監(jiān)管人〞一欄中簽字。第六節(jié) 變更大事的處理治理單位應(yīng)將可能產(chǎn)生的變更行為依據(jù)上述四種影響范圍進(jìn)展歸類劃分，并每半年對(duì)分類規(guī)那么進(jìn)展評(píng)估更。依據(jù)上述分類規(guī)那么，維護(hù)單位應(yīng)具體制定變更大事的通知細(xì)那評(píng)估通知細(xì)那么。做好預(yù)備。

盡量安排在業(yè)務(wù)、工作的空閑時(shí)段進(jìn)展。第七節(jié) 定期批閱位應(yīng)定期對(duì)各類配置對(duì)象的配置基準(zhǔn)進(jìn)展評(píng)估(每年一次)，形成【配置基準(zhǔn)評(píng)估表】并提交治理層批閱。施。狀況與相關(guān)文檔的記錄全都。文檔不全都那么應(yīng)說明發(fā)生的緣由與處理結(jié)果。第八節(jié) 文檔保存配置治理單位指定專人進(jìn)展統(tǒng)一治理，保存工作痕跡。第九節(jié) 附那么第四十條

本制度自公布之日起開頭執(zhí)行。附件一 配置變更申請(qǐng)、審批流程配置變更申請(qǐng)、審批流程配置變更申請(qǐng)、審批流程申請(qǐng)人需求方治理層配置治理員變更方治理層開頭否否填寫《配置變更申請(qǐng)、審批表》審批？是制定變更打算理層審批？否是《配置變更申請(qǐng)、審批表》完畢附件二 配置變更治理流程變更治理流程變更治理流程變更治理員需求申請(qǐng)人監(jiān)管人變更記錄表開頭是否是初始配置是依據(jù)配置基準(zhǔn)實(shí)施初始配置否否與配置基準(zhǔn)全都嗎？治理層是否要求做測(cè)試？是否通過運(yùn)行測(cè)試與安全檢查？是是是需求方申請(qǐng)人簽字確認(rèn)是否有申請(qǐng)人簽字？測(cè)試報(bào)告在測(cè)試環(huán)境中對(duì)配置變更打算進(jìn)展測(cè)試否是否完畢是否通過測(cè)試？否在變更記錄中簽字確認(rèn)是是變更記錄表依據(jù)打算在生產(chǎn)環(huán)境中實(shí)施變更否全都？是需求方申請(qǐng)人簽字確認(rèn)變更打算是否經(jīng)過審批？否批流程附件三 配置變更申請(qǐng)、審批表姓名設(shè)備名稱

部門設(shè)備編號(hào)

處室有效期至變更需求欄 *申請(qǐng)方填*平臺(tái)軟件硬件設(shè)施變更緣由：

變更類型數(shù)據(jù)庫(kù)操作系統(tǒng)路由策略平安策略補(bǔ)丁/升級(jí)其它CPU內(nèi)存硬盤備份電源HBA卡網(wǎng)卡光驅(qū)磁帶機(jī)網(wǎng)絡(luò)設(shè)備接口模塊其它變更內(nèi)容：申請(qǐng)單位審批人： 結(jié)論： 審批時(shí)間：變更分析欄 *變更方填*配置方案：治理員： 時(shí)間：影響范圍：變更實(shí)施時(shí)間：通知公布時(shí)間：通知公布對(duì)象：配置單位審批人： 結(jié)論：

治理員： 時(shí)間：審批時(shí)間：附件四 布局變更申請(qǐng)、審批表姓名姓名部門處室截止日期變更需求欄**變更類別：設(shè)備增減設(shè)備遷移線路調(diào)整拓?fù)渥兓ｋ姍z修其它變更緣由：變更內(nèi)容：申請(qǐng)單位審批人：結(jié)論：時(shí)間：變更分析欄**布局變更方案：治理員：時(shí)間：影響范圍：治理員：時(shí)間：變更實(shí)施時(shí)間：通知公布時(shí)間：通知公布對(duì)象：變更單位審批人：結(jié)論：時(shí)間：編號(hào)：設(shè)備編號(hào)：變更時(shí)間：編號(hào)：設(shè)備編號(hào)：變更時(shí)間：治理員：變更類型數(shù)據(jù)庫(kù)操作系統(tǒng)路由策略平安策略補(bǔ)丁/升級(jí) 硬件資源其它變更結(jié)論結(jié)論：申請(qǐng)人：時(shí)間：配置變更批閱變更審批審批表的鏈接〔或附件〕測(cè)試狀況假設(shè)存在測(cè)試，供給測(cè)試報(bào)告的鏈接〔或附件變更后文檔配置清單或設(shè)備維護(hù)檔案的鏈接〔或附件〕審核結(jié)論：監(jiān)管人：審核時(shí)間：編號(hào)：構(gòu)造文檔號(hào)：變更時(shí)間：治理員：變更類型變更結(jié)論設(shè)備增減 設(shè)備遷移 線路調(diào)整 拓?fù)渥兓Y(jié)論： 申請(qǐng)人：停電檢修時(shí)間：其它配置變更批閱變更審批審批表的鏈接〔或附件〕測(cè)試狀況假設(shè)存在測(cè)試，供給測(cè)試報(bào)告的鏈接〔或附件變更后文檔布局文檔的鏈接〔或附件〕審核結(jié)論：監(jiān)管人：審核時(shí)間：變更對(duì)象變更類型批閱結(jié)論批閱時(shí)間監(jiān)管人附件五 配置變更記錄表附件六 布局變更記錄表附件七 根底架構(gòu)變更年審表附件八

配置基準(zhǔn)一、路由器配置基準(zhǔn)：fingerbootptcp-small-serversudp-small-serversnoipproxy-arpnoip server、遠(yuǎn)程訪問的平安telnet53、口令加密啟用口令加密。enablesecret設(shè)置特權(quán)模式的訪問口令。4、snmp的平安public訪問串。用訪問掌握列表限制使用snmp的范圍。5、端口的平安icmp不行達(dá)信息，防止路DOS攻擊。在不行靠接口上應(yīng)關(guān)閉CDP協(xié)議，關(guān)閉ＩＰ反向路由設(shè)置。6、訪問掌握列表IP地址范圍訪問。7、日志設(shè)置外部的syslog日志效勞器。notification。8、AAA設(shè)置外在的AAA效勞器。通過該效勞供給以下功能：authentication，即確定訪問者的身份。路由器的掌握臺(tái)登錄和遠(yuǎn)程登錄都要使用AAAAAA效勞器上為系統(tǒng)治理員和系統(tǒng)操作員分別設(shè)置用戶賬號(hào)。授權(quán)authorization，對(duì)不同的訪問者授予不同的訪問權(quán)限。系統(tǒng)治理員態(tài)的命令。9、路由協(xié)議證。見下表：路由協(xié)議路由協(xié)議認(rèn)證方式RIPMD5OSPFMD5EIGRPMD5IS-ISMD5BGPMD5二、防火墻配置基準(zhǔn)：1、防火墻的缺省包過濾規(guī)那么為允許，在調(diào)試過程完成，測(cè)試完畢后，肯定要將防火墻的默認(rèn)允許，改為制止。2ANY的規(guī)那么，3度〕4ip地址轉(zhuǎn)換成防火墻的公網(wǎng)地址后再訪問外部網(wǎng)絡(luò)。5、為了保證防火墻本身的主機(jī)平安不要隨便開啟防火墻的遠(yuǎn)程ＳＳＨ治理功能，建議使用WEB+ S+密鑰等有效的治理方法。6來(lái)，用于對(duì)大事分析。三、數(shù)據(jù)庫(kù)配置基準(zhǔn)：1、對(duì)于特權(quán)用戶組的治理：GID=0,可以進(jìn)入超級(jí)用戶所建立的用戶組可寫文件。未經(jīng)許可的用戶持有GID=0，會(huì)增加敏感系統(tǒng)配置文件被更改或刪Informix用戶組的授權(quán)進(jìn)展限制，只有被合理授權(quán)過的用戶才能屬于此用戶組；dba權(quán)限的限制informix數(shù)據(jù)庫(kù)沒有特地的用戶賬號(hào)治理的內(nèi)容，所以是通過數(shù)據(jù)庫(kù)Informix數(shù)據(jù)庫(kù)進(jìn)展訪問，存在三個(gè)存取級(jí)別，dba，resource，connectdba權(quán)限的用戶能夠?qū)?shù)據(jù)庫(kù)進(jìn)展操作，因此不能合理賜予數(shù)據(jù)庫(kù)用戶的權(quán)限必將帶來(lái)較大的風(fēng)險(xiǎn)。因此我們建議對(duì)數(shù)據(jù)庫(kù)用戶的權(quán)限進(jìn)展限制，只有被合理授ID已被刪除或禁用。Informix的重要文件的保護(hù)Informix的未經(jīng)許可訪問會(huì)對(duì)數(shù)據(jù)真實(shí)性、有效性以及保密性帶來(lái)風(fēng)險(xiǎn)。因此我們informix用戶組的用戶才應(yīng)當(dāng)有讀、寫、執(zhí)行權(quán)限，其他用戶有只讀權(quán)限；4、明確的職責(zé)分工Informix中操作與審計(jì)責(zé)任進(jìn)展職責(zé)劃分，即由不同的用戶擔(dān)當(dāng)，DBSSO(databasesecurityofficer)和auditofficer)ixuser=*表示沒有制定用戶組〕平安治理員應(yīng)當(dāng)安排各種不同的角色對(duì)數(shù)據(jù)庫(kù)進(jìn)展治理。應(yīng)當(dāng)為不同類別的治理員分派不同的角色。可以通過以下命令分派角色：createrolerolename;通過以下命令為對(duì)象進(jìn)展特權(quán)授權(quán)：grantprivilegenameontablenametorolename;通過以下命令為賬號(hào)安排角色：grant rolenametousername;平安治理員應(yīng)當(dāng)為“Process〞賬號(hào)安排角色。每一種“Process〞賬號(hào)應(yīng)當(dāng)安排特定的角色?？梢酝ㄟ^以下命令創(chuàng)立角色：createrolerolename;可以通過以下命令為系統(tǒng)和對(duì)象建立特權(quán)：grantprivilegenameontablenametorolename;可以通過以下命令為賬號(hào)安排角色：grantrolenametousername;角色?？梢酝ㄟ^以下命令安排角色：CREATEROLErolename;通過以下命令為系統(tǒng)和對(duì)象安排特權(quán)：GRANTprivilegenameONtablenameTOrolename;可以通過以下命令為用戶安排角色：GRANTrolenameTOusername;5、權(quán)限訪問掌握建議妥當(dāng)賜予數(shù)據(jù)庫(kù)對(duì)象的訪問權(quán)限，不然會(huì)帶來(lái)較大的風(fēng)險(xiǎn)，因此需要確認(rèn)客戶已經(jīng)限制了數(shù)據(jù)庫(kù)對(duì)象的訪問權(quán)限，馬上systabauth系統(tǒng)表中的tabauth列設(shè)為小寫字母，表示不具備數(shù)據(jù)庫(kù)對(duì)象的訪問權(quán)限；procauth列設(shè)置為小寫字母“e〞，即限制被授權(quán)人持有對(duì)存儲(chǔ)過程和觸發(fā)器的執(zhí)行權(quán)，以借此來(lái)授予他人該權(quán)限；建議為數(shù)據(jù)庫(kù)的應(yīng)用程序文件進(jìn)展合理的用戶權(quán)限設(shè)置，確認(rèn)只有組內(nèi)用戶才擁有對(duì)數(shù)據(jù)庫(kù)的應(yīng)用程序文件進(jìn)展讀和運(yùn)行的權(quán)限。6、系統(tǒng)平安設(shè)置在Informix中沒有關(guān)于如下方面的固有掌握，因此必需在操作系統(tǒng)層面對(duì)以下方面進(jìn)展掌握：最小密碼長(zhǎng)度；保證用戶使用非空的密碼，且密碼具備肯定的簡(jiǎn)單程度；強(qiáng)迫用戶在特定時(shí)間后更改密碼；錄應(yīng)當(dāng)在操作系統(tǒng)層面被記錄，并有系統(tǒng)治理員定期進(jìn)展批閱這些記錄，查看是否存在特別；統(tǒng)進(jìn)展治理過程中應(yīng)當(dāng)使用哪些效勞/設(shè)施(例如isql,)，不需要的效勞//設(shè)施進(jìn)展平安方面的考慮，確認(rèn)只有授權(quán)的人員可以使用這些效勞/設(shè)施。平安治理員應(yīng)當(dāng)定期批閱誰(shuí)曾經(jīng)訪問過功能比較大的效勞/設(shè)施，確定是否該訪問是必需的。一般的，如下文件不應(yīng)當(dāng)是全部用戶都可執(zhí)行的：onstat-顯示共享的存儲(chǔ)和效勞空間的統(tǒng)計(jì)數(shù)據(jù)；oncheck–檢查并修訂磁盤空間；onmode–變更一個(gè)IDSonlog–規(guī)律日志調(diào)試工具；oninit–初始化并啟動(dòng)數(shù)據(jù)庫(kù)空間；onspaces–配置數(shù)據(jù)庫(kù)spacechunk；onparms–設(shè)置日志。7、平安監(jiān)控方面作人員或數(shù)據(jù)庫(kù)治理員：創(chuàng)立表失敗〔Tablefailure創(chuàng)立索引失敗〔Indexfailure二進(jìn)制大對(duì)象失敗〔BlobfailureChunk離線，mirror%ld(Chunkisoff-line,mirrorisactive:%ld(chunknumber))；數(shù)據(jù)庫(kù)空間離線〔DBSpaceisoff-line內(nèi)部子系統(tǒng)失敗〔InternalSubsystemfailure數(shù)據(jù)庫(kù)效勞空間初始化失敗〔Databaseserverinitializationfailure物理修復(fù)失敗〔PhysicalRestorefailed物理恢復(fù)失敗〔PhysicalRecoveryfailed物理恢復(fù)失敗〔LogicalRecoveryfailed不能翻開Chunk〔CannotopenChunk:‘%s’(pathname)不能翻開數(shù)據(jù)庫(kù)空間〔CannotopenDbspace:‘%s’(dbspacename)性能提升〔PerformanceImprovementpossible數(shù)據(jù)庫(kù)失敗〔DatabasefailureHigh-availabilitydata-replicationfailure檔案文件特別〔Archiveaborted日志備份特別〔LogBackupaborted規(guī)律日志滿了—需要備份〔LogicalLogsarefull--Backupisneeded數(shù)據(jù)庫(kù)效勞空間資源溢出〔Databaseserverresourceoverflow長(zhǎng)期交易檢查〔LongTransactiondetected規(guī)律日志完成〔LogicalLogComplete不能安排存儲(chǔ)空間〔UnabletoAllocateMemory。onstaoncheck、等命令〕檢查消息日志：一些至關(guān)重要的信息可能來(lái)自消息日志，如防火墻的安裝，規(guī)律日志的備份，或者效勞器崩潰。檢察系統(tǒng)狀況(內(nèi)存，硬盤和輸入輸出利用率):系統(tǒng)狀況表達(dá)了系統(tǒng)活動(dòng)狀態(tài)，例如顯示資源缺乏或一般的性能統(tǒng)計(jì)。通過檢查系統(tǒng)狀況，可以幫助確定引起系統(tǒng)問題的性能因素。檢查輸入輸出隊(duì)列活動(dòng)：假設(shè)系統(tǒng)中產(chǎn)生了輸入輸出隊(duì)列，就會(huì)有傳輸?shù)钠款i。當(dāng)數(shù)據(jù)從物理磁盤之間傳輸過程中不能到達(dá)預(yù)期的傳輸速度就會(huì)產(chǎn)生傳輸隊(duì)列?？梢酝ㄟ^使用onstat-gioq命令為每一個(gè)虛擬處理器〔VP〕監(jiān)控這些隊(duì)列。該命令的輸出結(jié)果顯示了每一個(gè)能夠進(jìn)展異步傳輸?shù)腣P的傳輸懇求隊(duì)列的統(tǒng)lenmaxlenLenmaxlen是指在效勞器開啟后或上一次onstatzmaxlen是兩位數(shù)，傳輸懇求就需要排隊(duì)，這樣就會(huì)引起性能的降低。CPU隊(duì)列活動(dòng)：假設(shè)用戶線程需要排隊(duì)通過CPU的虛擬處理器處理，就會(huì)消滅CPUCUP虛擬處理器都在執(zhí)行其CPU隊(duì)列,onstat-grea。該命令的運(yùn)行結(jié)果顯示全部預(yù)備啟動(dòng)的，但是需要排隊(duì)等候執(zhí)行的用戶的線程。四、操作系統(tǒng)配置基準(zhǔn)：UNIX系統(tǒng)：1、系統(tǒng)閑置時(shí)間設(shè)置:建議針對(duì)IBMAIX、HPUXSCOUNIX間的大小做出規(guī)定：TIMEOUT/TMOUT<=300。2、 用戶賬號(hào)治理和密碼策略：每個(gè)用戶有唯一的用戶名〔username〕和用戶ID〔UIDUID>100，用戶GID>100100通用賬號(hào)應(yīng)被禁用；不使用的默認(rèn)系統(tǒng)賬號(hào)應(yīng)禁用；無(wú)需授權(quán)的賬號(hào)不允許被使用；已離職的員工賬號(hào)準(zhǔn)時(shí)刪除或禁用；第三方效勞商技術(shù)支持賬號(hào)應(yīng)禁用，僅在需要時(shí)臨時(shí)開啟；shadowpassword賬號(hào)應(yīng)有唯一的初始密碼，第一次使用賬號(hào)時(shí)應(yīng)馬上修改該密碼，密碼以平安方式公布；密碼應(yīng)不易猜測(cè)，具有肯定簡(jiǎn)單度密碼組成：4<=maxage<=13minage>=1Minalpha>=1Minother>=1mindiff>=1maxrepeats<=23、 超級(jí)用戶賬號(hào)治理：rootUID=0；root的路徑不能包括當(dāng)前的工作名目；應(yīng)當(dāng)限制root用戶的遠(yuǎn)程登錄；組內(nèi)的特權(quán)用戶〔GID=0〕應(yīng)被適當(dāng)查看；只允許前臺(tái)〔console〕進(jìn)展rootroot應(yīng)包含以下命令行：telnet=false；rlogin=false。4、 Unix操作系統(tǒng)配置治理：對(duì)于Umask02SUIDSGID全部的shell/etc/shells建議操作系統(tǒng)為全部world-writeable的名目都設(shè)置粘貼位(“T〞)；建議只有root用戶才有權(quán)使用at或batchcrontab在/etc/ftpusers文件中參與允許使用ftp得用戶列表；不要通過hosts.equiv文件來(lái)建立信任；建立定期對(duì)重要文件權(quán)限進(jìn)展檢查的機(jī)制；建議檢查全部的網(wǎng)絡(luò)效勞配置，全部不必要的網(wǎng)絡(luò)效勞配置從/etc/inetd.conf除非必需，否那么建議移除全部以r.rhosts件；只在需要的狀況下開啟telnetdaemon；制止后臺(tái)程序finger的使用；檢查本機(jī)是否真的需要ftp效勞，假設(shè)不需要，應(yīng)制止使用這個(gè)效勞制止后臺(tái)程序tftp、rexec的使用；UUCP系統(tǒng)中同磁盤、存儲(chǔ)、磁帶和網(wǎng)絡(luò)文件要設(shè)置為644；555(r-xr-xr-x:)，以保護(hù)以下系統(tǒng)程序：/usr/sbin/mount/usr/sbin/acct/acctcom/usr/sbin/login以下文件的訪問級(jí)別存在適當(dāng)?shù)钠桨脖Ｗo(hù)：/etc/security/.ids/etc/security/login.cfg/etc/group/etc/security/group/etc/passwd/etc/security/passwd/etc/passwd.dir/etc/security/user/etc/security/environ/etc/security/limits/etc/security/mkuser.default/etc/secur