IT运维管理制度Word下载.docx
《IT运维管理制度Word下载.docx》由会员分享,可在线阅读,更多相关《IT运维管理制度Word下载.docx(20页珍藏版)》请在冰点文库上搜索。
(5)进入机房人员服装必需整洁,坚持机房设备和环境清洁。
外来人员不得随意进行拍照,严禁将水及食物带入机房。
(6)进入机房人员只能在授权区域与其工作内容相关的设备上工作,不得随意进入和触动未通过授权以外的区域及设备。
(7)任何设备出入机房,经办人必需填写设备出入机房登记表,经相关部门
及领导批准后方可进入或搬出。
1.1.3服务人员安全及保密管理制度
1、维护工程师必需熟悉并严格执行安全保密准则。
2、外部人员因公必需进入机房,应经上级批准并指定专人带领方可入内。
3、有关通信设备、网络组织电路开放等资料不得任意抄录、复制,防止失密。
必需要
监听电路时,应按保密规则进行。
4、机房内消防器材应定期检查,每个维护人员应熟悉一般消防和安全操作方法。
5、机房内严禁吸烟和存放、使用易燃、易爆物品。
6、搞好安全保密教育,建立定期检查制度,强化节假日的安全保密工作。
7、未通过有关领导批准,非机房管理人员严禁入机房。
8、机房内严禁烟火,不准存放易燃易爆物品。
9、注重电气安全,严禁违章使用电器设备,不准超负荷使用电器。
10、按规定配备消防器材,并定期更新。
11、定期检查接地设施、配电设备、避雷装置,防止雷击、触电事故发生。
12、发现事故苗头,应尽快采用有效措施,并及时报告领导。
13、进行修理时,严格按照程序进行,杜绝人为事故发生。
14、严禁违规接入大功率无线发射设备。
1.1.4网络安全管理制度
1.运行维护部门必需制定相应的体系确保网络安全,维护人员必需确立网络安
全第一的意识。
2.在网络建设期必需合计工程和现网的关系,强化施工安全管理和网络割接准
备工作,确保现网的安全,严禁人为事故发生。
3.网络运行维护期应确保维护工作、设备运行、系统数据的安全。
备技术手册的要求依据工单执行;
对设备的所有操作要有具体记录,操作时
要一人操作一人核对,准确无误方可执行,操作人员要在工单上签字确认。
5.网络运行维护期的安全可以通过三种控制方法确保,操作控制包括对操作流
程、客户分级、权限分级、操作记录、远程管理、密码管理、防火墙技术、数据备份的安全确保;
运行控制包括对告警处理、测试、性能分析、应急预
案的安全确保;
操作设备控制包括防病毒、杀毒软件、非生产应用软件的安
全控制。
6.未通过许可,严禁设备厂商通过远程控制技术对设备进行修改维护,运行维护
部门应有可靠的防范措施。
7.为确保远程技术支持的可靠性,必需定期对远程维护设备、端口进行检查,在
确保安全保密的同时确保其可用性。
8.磁盘、磁带等必需进行检查确认无病毒后,方可使用。
9.为确保网络安全,远程维护设备在一般状况下要处于关闭状态,只有在必需要
的时候才开通使用。
1.1.5数据中心值班制度
(1)值班人员应严守岗位,按照规按时间上下班,无法按时到岗应提前向上级领导汇报,由上级领导负责调换班。
(2)值班时间要尽职尽责,禁止从事与值班无关的事情。
(3)参照《机房日常监控及巡检内容》按时巡检机房环境设施,密切注意电源、温度、湿度等机房环境状况;
随时监控IT系统、网络工作状态,具体记录异常状况。
(4)发生任何异常状况时,应严格执行故障应急处理流程及时处理,并向上级领导及相关部门及时报告。
做好一线技术支持工作。
(5)对业务部门提出的服务请求,要快速、准确、耐心地做出解答。
并做好事件的记录、跟踪及回馈的服务台支持工作。
(6)随时监督机房环境卫生和无关的物品带入,妥善管理设备工具。
(7)遵照机房安全管理制度规定,制止任何违规进入机房人员及其他不当行为。
(8)监督维保厂家对机器设备进行定期巡检和维护,对巡检单据签字确认,留档备案。
(9)遵照《人员/设备进出机房登记表》做好值班期间的人员、设备进出记录。
1.2网络安全管理制度
1.2.1防火墙安全管理使命说明
1.防火墙的逻辑管理,涉及用户、防火墙管理员、IT经理三个角色。
2.用户包括公司业务部门工作人员、公司业务合作伙伴、公司外部系统服
务商以及来访客户。
3.防火墙管理员负责受理解决用户提出的防火墙相关必需求,评估防火墙的
配置措施和变更风险,并将分析结果报告给IT经理。
4.IT经理负责审批防火墙相关的配置变更措施,确认防火墙管理员对此配
置变更的评估结果符合公司安全策略和规范要求。
1.2.2申请防火墙权限流程及创建策略
公司业务部门工作人员因工作必需要申请开通防火墙端口通信权限时,必需要填
写“网络服务访问申请/变更表〞。
经用户所在业务部门经理审批通过后,由防火墙管理员受理必需求。
防火墙管理员按照最小授权原则来评估此权限是否与业务处理必需求相符,写出配置措施和风险分析,并将分析结果提交IT经理审批。
经IT经理审批通过后,防火墙管理员为员工在防火墙上实施配置变更创建相应权限策略。
如果用户必需要临时在防火墙上开通端口访问权限,则应在“网络服务访问申请/变更表〞备注中注明使用时限。
其它步骤按照创建防火墙权限策略流程执行。
超过使用时限后,由防火墙管理员通知用户并得到用户确认后,撤销此权限策略。
防火墙管理员应明确告知用户应对由其所具有的防火墙端口权限对生产系统产生的影响负责。
用户应确保开通的端口权限只用于生产业务数据传输,不可供生产业务以外的应用服务使用。
公司业务合作伙伴与公司进行通信必需要在防火墙上开通访问权限时,应有公司相应业务部门工作人员来提出开通防火墙端口权限请求,并填写“网络服务访问申请表〞。
其余审批步骤与创建公司内部员工权限策略相同。
如因公司系统服务商与公司进行通信,必需要在防火墙上开通端口权限时,应由防火墙管理员自行填写“网络服务访问申请/变更表〞,经IT经理审批通过后方可创建相应权限策略。
在系统服务商服务结束后,必需及时撤销防火墙相应策略。
防火墙管理员应依据最小授权原则,为来访客户IP地址统一在防火墙上配
置相应权限策略,并禁止来访客户IP地址访问公司内部网络。
1.2.3变更防火墙权限流程及变更策略
由于业务或技术变动必需要变更公司与外部站点之间的通信方式时,涉及到防火墙相关权限策略的变动,应该由业务部门员工向防火墙管理员提交“网络服务访问申请/变更表〞。
经业务部门经理审批通过后防火墙管理员受理必需求,分析变更实施过程和相关风险,提交IT经理审批。
经IT经理审批通过后,防火墙管理员在防火墙上实施配置变更,撤销原有权限策略并创建新权限策略。
1.2.4撤销防火墙权限策略
公司业务部门工作人员进行部门调动、离职时,必需要撤销其原IP地址在防火墙上配置的相应的权限策略。
员工所在业务部门通知IT经理,由IT经理指定防火墙管理员在防火墙上实施配置变更,撤销员工IP地址所具有的权限。
公司系统服务商的服务到期后,相关部门应通知IT经理,由IT经理指定防火墙管理员在防火墙上实施配置变更撤销系统服务商IP地址所具有的权限。
1.2.5内审和复核
依据使命分开原则,防火墙管理员备份岗位工作人员每6个月应负责检查一次防火墙的设置是否符合防火墙配置规范,并填写检查记录。
IT经理每6个月负责检查一次“防火墙的配置规范〞是否符合公司安全策略要求,并填写检查记录。
1.3账号和权限管理制度
1.3.1网络设备账号权限审批制度
账号权限的管理,包括用户账号的添加、修改和注销操作。
涉及用户、业务部门接口人、网络管理员和IT经理四个角色。
用户包括公司业务部门工作人员、公司业务合作伙伴、公司外部系统服务商以及来访客户。
业务部门接口人负责本公司与业务合作伙伴之间的业务协调工作。
网络管理员负责受理解决用户提出的账号权限相关必需求,按照最小授权原则,评估账号权限是否与业务必需求相符,是否会对生产业务产生潜在风险。
并将评估结果报告给IT经理。
IT经理负责审批用户账号、权限相关配置变更是否满足公司相应的安全策略,对网络管理员对配置变更的评估结果进行确认。
1.公司业务部门工作人员因工作必需要新建账号时,必需填写“系统账号申请
表〞。
经用户所在业务部门经理审批通过后,由网络管理员受理必需求。
网络管理员按照最小授权原则评估用户账号权限是否与业务处理必需求相
符,并将分析结果提交IT经理审批。
经IT经理审批通过后,网络管理员为员工创建账号、授予权限并通知员工。
如果,用户必需要建立临时帐号,应在“系统账号申请表〞备注中写明使用时限。
其它步骤按照新创建账号的管理制度执行。
超过使用时限后,由网络管理员通知用户后,将此账号注销。
网络管理员应明确告知用户对其所分配的账号的行为负责。
用户要妥善使用和保管好自己的账号和密码,不得将帐号提供给他人使用。
2.公司业务合作伙伴必需要创建账号时,可以向业务部门接口人提出请求。
由业务部门接口人向网络管理员提出创建账号请求,并填写“系统账号申请表〞。
其余审批步骤与新建公司内部员工账号步骤相同。
3.如因工作必需要为公司系统服务商创建账号时,由网络管理员依据最小授
权原则自行填写“系统账号申请表〞,经IT经理审批通过方可后创建账号。
待系统服务商服务到期结束后,必需及时给予注销。
4.网络管理员为来访客户统一分配IP地址网段,并实施身份验证。
只同意
客户具有一般访问外网权限,并禁止客户账号访问公司内部网络系统。
一旦客户离开则马上撤销其账号。
5.网络管理员对用户账号授权时,应检查授予的访问等级是否适应业务访
问控制策略,是否符合网络的信息安全策略。
此外,网络管理员应对比网络设备相关定义,检查对账号的授权中是否有高权限。
如有高权限,必需将此用户账号的操作纳进安全审计日志中。
6.按照责任分开的原则,网络管理员为经过批准用户设立账号,一个账号
对应唯一的用户。
网络管理员在建立用户账号时,要在账号说明中具体
标注用户名称、部门和账号所关联的业务等必要信息。
7.关于默认系统账号、商业软件自建账号,在正式投产前应删除或禁用此
类账号。
网络管理员应严加控制。
如依据具体运行环境状况,确实必需要
使用这些账号,应在投入生产前更改缺省账号密码。
当碰到用户岗位变动或者业务变更,必需要修改原有账号访问权限时。
网络管理员应要求用户重新填写“系统账号申请表〞,说明账号权限变更理由,提出账号权限变更请求。
经用户所在部门经理审批通过后由网络管理员受理。
网络管理员按照最小授权原则评估用户账号权限是否与业务处理必需求相符,并将分析结果提交IT经理审批。
经IT经理审批通过后,网络管理员修改用户账号权限并通知员工。
1.公司内部员工调动、离职或终止使用网络设备时,必需要撤销其使用的账
号。
用户所在部门应按流程,通知IT经理,由IT经理指定网络管理员撤销员工所使用的账号。
网络管理员在确认没有和此账号相关联的系统配置和数据〔如使
用此账号加密的数据〕后,撤销用户账号的访问权限并注销用户账号。
如果存在账号直接关联的系统配置或数据时,应首先解除此关联,再撤销用户账号的访问权限并注销用户账号。
2.公司系统服务商服务到期后,相关部门应通知IT经理,由IT经理指定
网络管理员在确定已经取消系统服务商账号与相关配置和数据的关联性后,撤销系统服务商账号。
3.网络管理员至少每季度检查用户账号的使用状况,关于长时间〔如3个
月〕无人使用的账号,经账号所属部门经理确认后及时给与注销。
如账号所属部门要求保留账号,应提交保留申请和保留期限。
账号所属部门不能将账号随便转给其他用户使用。
对所保留的用户账号,设置该账号处于禁用状态,重新启用这些账号时,账号所属部门仍必需向运行维护部门提出申请。
经IT经理审批同意后,网络管理员方可激活此账号供用户使用。
关于所有注册并使用公司网络设备的用户账号,网络管理员应储存正式记录和用户清单,建立相应的“账号权限矩阵表〞,进行集中管理,并定期维护和更新。
网络管理员应参照系统访问控制策略,和“账号权限矩阵表〞,至少每半年复查用户的访问权限。
对高权限账号的分配状况,网络管理员至少每半年核查一次,以便及时查处并清理未通过授权的高权限账号。
对此类高权限账号,网络管理员在确认不影响生
产的前提下,应及时回收。
事后通报相关用户和上级领导,并由该用户承当相应责任和处罚。
对高权限用户账号的使用状况,网络管理员必需要每月进行核对,查看其使用状况是否被完全登记,并对登记的内容进行检查。
用户在登陆网络设备时,都要求输入其账号所对应的密码。
网络管理员会在用户注册时,为其账号设置初始密码,并在首次启用时强制用户对密码进行更改。
网络设备账号密码应妥善使用和保管,并按照以下建议进行设置,以确保账号安全:
所有账号密码均应以密文形式存储在网络设备上。
一般用户密码长度不少于6个字符,高权限用户密码长度不少于8个字符。
建议设置的密码采纳字母与数字混合形式的字符串。
用户设置密码应确保自己容易记忆,但尽量不基于以下容易推测的字符串,比如:
个人姓名、部门名称、公司名称、号码、出生日期、连续数字、相同字符等。
用户尽量不使用私人用户密码。
当必需要访问多个网络设备或多重服务时,建议用户使用单一的密码。
用户应定期重置密码,以确保账号安全。
一般用户密码至少每季度重置一
次,高权限用户密码至少每月重置一次。
重置密码时,用户应不重复或者循环使用旧的密码,其中高权限用户密码至少6次之内不重复使用。
用户不应把密码包涵在任何自动登录程序之中,例如:
把密码存在宏代码或者功能键上;
用户忘记密码时,可向网络管理员提出重置密码请求,经用户所在部门领导批准后,在网络管理员帮助和指导下重新设置密码。
遇有系统或者密码可能被侵害的迹象时,用户应及时报告网络管理员,并马上重置密码。
依据使命分开原则,网络设备高权限账号密码应由网络设备以外岗位的工程师进行管理。
网络管理员应每季度定期检查用户密码是否按以上规定设置,对不符合要求的应及时通知用户整改。
对用户拒不改正的,网络管理员应强制停用该账号,以确保网络设备的安全。
为确保用户管理和密码管理的有效性,运行维护部门应对从事该项工作的网络管理员有控制措施。
必要时可以依据使命分开原则设置双向监督岗位。
同时,要对网络管理员和用户进行必要的安全意识教育。
网络管理员要遵守中心保密制度,确保职业操守,确保用户信息的安全。
工作中要按照审批流程严格执行,并对所有操作保留记录,以备核查。
运行维护部门每年组织内部审计,以确保该项工作的有效性。
内部审计人员一般由业务管理部门和运行维护部门的工作人员组成。
依据使命分开原则,网络管理员不在审计人员行列之内。
内部审计的内容主要以“账号权限管理内部审计表〞中所作的强制性要求为准,建议性要求不在审计范围之列。
内部审计后,审计人员要认真填写“账号权限管理内部审计表〞,并对审计结果签署看法,必要时要有相应的说明。
该审计结果要及时反馈给相应部门和人员,并最后由运行维护部门负责存档。
1.3.2主机账号管理制度
1.3.
1、主机账号分类
1.主机账号依其重要程度分为重要账号和一般账号。
重要账号包括:
a)具有集团各业务系统及相关设备的完全或部分管理权限的账号为重要账
b)具有修改集团业务数据权限的账号为重要账号。
c)具有读取涉及集团秘密业务数据权限的账号为重要账号。
d)其它管理制度规定为重要账号者。
其他主机账号均归为一般账号。
2.账号依其生存周期分为永久账号和临时账号,临时账号应严格按照其生存周
期进行管理,到期注销。
2、账号注册与维护
1.使用唯一的用户ID,保护用户的操作行为与用户本人身份唯一对应,便于对
用户行为的审计以及追溯。
2.检查系统所赋予用户的访问权限是否与业务目标匹配,防止出现过度授权现
象。
3.应维护一份完整的主机账户权限列表,并做到及时更新。
3、口令生成及储存
1.账号分配时必需同时生成相应的口令,并且与账号一起传送给用户,不得创
建没有口令的账号;
2.管理员在传递账号和口令时,应当采用安全的传输途径,以确保不会被中途
截取;
3.用户在接受到账号和口令后,应在第一次登录账号时修改口令;
4.关于以口令作为唯一验证证据的账号,如果账号的用户名由确定且公开的规
则产生,则口令不应当为公开的口令;
5.不得将账号口令明文存储在计算机上或写在记事本上;
6.为满足应急响应必需求,应将重要账号的口令密封储存在安全场所,并随口令
的更改及时改换口令信封。
口令信封一旦打开,必需马上登录其中涉及的所有账号并更改所有口令;
7.如发现口令有泄露迹象,应立即报告主管领导并进行记录,以便及时处理。
4、口令设立原则
1.账号的口令必需是具有足够的长度和复杂度,使口令难于被推测;
2.账号的口令在必要时间或次数〔最少5次〕内不得循环使用;
3.账号曾用的各个口令之间应当是没有直接联系的,以确保不能从以前的口令
推知现在的口令;
4.账号的前后两个口令之间的相同部分应当尽量减少,减低由前一个口令分析
出后一个口令的机会;
5.账号的口令不应当取有意义的词语或其他符号,如使用者的姓名,生日或其
它易于推测的信息。
6.口令最低标准:
一般账号口令长度不得低于6位,口令字符中须包涵字母、
数字、特别字符中的至少两类;
重要账号口令长度不得低于8位,口令中必需包涵大、小写字母、数字和特别字符,且不得为有意义的单词或短语。
5、账号的取消
1.用户如果因使命变动而离岗,不再必需要系统权限且无须将账号移交给其他责
任人,其原岗位主管应当申请销户,由管理员取消该账号的所有权限;
2.账号取消的同时,应该将账号对应的应用系统和服务的权限同时注销,确保
该账号对应用系统的访问企图失效。
3.用户离职后,管理员应当关闭用户账号在系统中的所有权限。
6、口令使用和管理原则
1.重要账号口令应在90天内至少改换一次,一般账号口令至少在半年内改换
一次;
对重要设备和系统建议采纳一次性口令方式进行认证。
2.重要口令连续多次尝试登录失败后应暂停该账号登录〔可以依据实际状况设
置尝试次数,一般为5次〕。
3.系统管理员修改账号口令时,应提前〔或同时〕通知账号使用人,以免影响
其正常使用。
4.各级口令保管落实到人,口令所有人须妥善储存,各级口令不得以任何形式
明文存放于可公共访问的设备中。
5.出现以下任何一种状况时,相关口令必需马上更改并做好记录:
1)掌握口令的管理员离开岗位;
2)因工作必需要,由管理员以外人员使用账号及口令登录操作后;
3)有迹象说明口令可能被泄露。
7、管理员的责任与义务
1.确保除匿名账号外,系统中所有用户都必需有口令;
2.确保系统和网络设备上没有使用默认口令的账号;
3.确珍重要账号的口令具有足够强度;
4.定期审计,检查系统用户的数量和权限;
5.为用户普及口令安全知识;
6.建议同一个管理员在不同主机上使用不同的账号口令。
1.业务部门提出申请,填写《主机账号申请单》。
申请单应填写申请部门、申
请人、申请日期、申请原因说明等信息。
2.《主机账号申请单》应先由所在业务部门领导审核签字,然后交由技术管理
部门领导审核签字,再交由信息中心领导审核签字。
3.所有审核都通过后,由运行维护部门负责对申请的主机账号进行开通执行,
并将执行的状况填入《主机账号申请单》。
4.打印版的《主机账号申请单》由运行维护部门存档并长期保管。
1.业务部门提出申请,填写《取消主机账号申请单》。
申请单应填写申请部门、
申请人、申请日期、申请原因说明等信息。
2.《取消主机账号申请单》应先由所在业务部门领导审核签字,然后交由技术
管理部门领导审核签字,再交由信息中心领导审核签字。
并将执行的状况填入《取消主机账号申请单》。
4.打印版的《取消主机账号申请单》由运行维护部门存档并长期保管。
1.3.3数据库账号及权限管理制度
1、数据库账号分类
数据库账号依其用途分为四类:
1.安装数据库时自动创建的账号为系统账号,其中具备数据库管理权限的为系
统超级账号,如Oracle数据库中的sys、system。
2.安装数据库时自动创建的账号为系统账号,其中不具备数据库管理权限的账号为系统一般账号,如Oracle数据库中的scott等。
3.为满足业务系统运行必需要而创建的账号为业务账号。
4.为个人维护数据必需要而创建的账号为个人账号。
2、账号创建及维护
1.数据库环境搭建完成后,创建任何新的数据库账号都必需经过正式的审批流
程。
2.创建新的数据库账号时,必需明确每个数据库账号的责任人,便于对用户行
为的审计以及追溯。
3.创建新的数据库账号时,必需检查数据库账号所赋予的权限是否与业务目标
匹配,防止出现过度授权现象。
4.应维护完整的数据库账户列表及数据库权限列表各一份,并做到及时更新。
1.数据库账号分配时必需同时生成相应的口令,并且与账号一起传送给用户,
不得创建没有口令的账号;
2.管理员在传递数据库账号和口令时,应当采用安全的传输途径,以确保不会
被中途截取;
3.不得将账号口令明文存储在计算机上或写在记事本上;
4.为满足应急响应必需求,应将数据库账号的口令密封储存在安全场所,
升级会员 