主機服務器運維管理制度

1、主機服務器運維管理制度2013-03-21 發(fā)布 2013-03-21 執(zhí)行XXXXX 發(fā) 布前 言為了實現(xiàn)勵治支付公司IT規(guī)范管理，明確各相關(guān)部門職責，規(guī)范業(yè)務管理，使信息系統(tǒng)正常、高效安全運行，充分發(fā)揮系統(tǒng)的良好作用，特制定本管理制度。本管理制度由勵治支付公司技術(shù)部提出、起草、歸口并解釋。本管理制度的主要編寫人員： 董昱 李啟洋本管理制度的審核人：張宏濤本管理制度的批準人：王騏愷本管理制度自發(fā)布之日起實施。執(zhí)行中的問題和意見，請及時反饋至勵治支付公司技術(shù)部。1、 范圍本制度明確了勵治支付公司IT的使用規(guī)定及工作規(guī)范。 本制度適用于勵治支付公司IT運維管理工作。勵治支付公司所有相關(guān)人員均應嚴

2、格遵照執(zhí)行，與信息安全相關(guān)的業(yè)務也應嚴格遵守本制度。二、規(guī)范性引用文件下列文件對于本規(guī)范的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本規(guī)范。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本規(guī)范。中華人民共和國計算機信息系統(tǒng)安全保護條例中華人民共和國國家安全法中華人民共和國保守國家秘密法計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定ISO27001標準/ISO27002指南公通字200743號信息安全等級保護管理辦法GB/T 21028-2007 信息安全技術(shù) 服務器安全技術(shù)要求GB/T 20269-2006 信息安全技術(shù) 信息

3、系統(tǒng)安全管理要 求 GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求GB/T 22240-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南三、總則圍繞公司打造經(jīng)營型、服務型、一體化、現(xiàn)代化為總體目標，保障信息化建設(shè)，提高運維能力，保證運維管理系統(tǒng)安全穩(wěn)定的運行，明確崗位職責、規(guī)范系統(tǒng)操作、提高系統(tǒng)可靠性和維護管理水平，特制定運維管理制度。本制度凡與上級有關(guān)標準和規(guī)定有不符的地方，應按上級有關(guān)標準規(guī)定執(zhí)行。一、運維管理系統(tǒng)的范圍運維管理系統(tǒng)主要是針對網(wǎng)絡(luò)設(shè)備、服務器、業(yè)務應用系統(tǒng)、客戶端的pc機進行維護和管理。二、IT運維管理系統(tǒng)的維護職責1、系統(tǒng)管理人員負責IT運

4、維服務器硬件的巡檢和維護，負責操作系統(tǒng)的巡檢和維護，負責硬件及操作系統(tǒng)故障的及時處理，負責系統(tǒng)級用戶和密碼的管理，負責操作系統(tǒng)配置的優(yōu)化，為IT運維管理系統(tǒng)數(shù)據(jù)庫和應用的正常運行提供安全可靠的平臺。2、IT運維管理系統(tǒng)應用管理人員負責該系統(tǒng)數(shù)據(jù)庫和應用的維護工作，內(nèi)容包括：在數(shù)據(jù)庫中管理IT運維管理系統(tǒng)的用戶及權(quán)限，數(shù)據(jù)備份及巡檢工作。以及IT運維管理系統(tǒng)應用層的用戶及權(quán)限的管理，對本系統(tǒng)用戶發(fā)生問題的響應。三、網(wǎng)絡(luò)安全管理1、組織工作人員認真學習計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法，提高工作人員的維護網(wǎng)絡(luò)安全的警惕性和自覺性。2、負責對本網(wǎng)絡(luò)用戶進行安全宣傳，使用戶自覺遵守和維護計算機信

5、息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法，使他們具備基本的網(wǎng)絡(luò)安全知識。3、加強對信息發(fā)布系統(tǒng)的信息發(fā)布的審核管理工作，杜絕違犯計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法的內(nèi)容出現(xiàn)。4、數(shù)據(jù)業(yè)務部門根據(jù)系統(tǒng)網(wǎng)絡(luò)的結(jié)構(gòu)，制定詳細的網(wǎng)絡(luò)資源訪問控制策略。經(jīng)公司生產(chǎn)技術(shù)部審批后，方可實施。5、生產(chǎn)技術(shù)部都應該對公司所有數(shù)據(jù)網(wǎng)絡(luò)設(shè)備的訪問進行控制，控制范圍：5.1、控制臺訪問控制 5.2、限制訪問空閑時間 5.3、口令的保護 5.4、對Telnet訪問的控制 5.5、多級管理員權(quán)限5.6、簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）訪問控制。6、防火墻可以實現(xiàn)比路由器（交換機）更加細化的訪問控制，合理配置的防火墻是保證訪問控制

6、策略的有力手段。防火墻可以實現(xiàn)基于IP地址、域名和用戶身份等的訪問控制。如網(wǎng)絡(luò)內(nèi)使用防火墻，則必須制訂適當?shù)陌踩呗裕⑴c網(wǎng)絡(luò)規(guī)劃保持一致。防火墻應開放最少的服務端口。如需對開放端口或更改安全區(qū)域設(shè)置，需上報公司生產(chǎn)技術(shù)部局端運行人員，經(jīng)審批后方可實施。7、主機安全。UNIX類主機和LINUX主機本身的資源訪問控制手段是整個訪問控制體系的最后堡壘。需對訪問權(quán)限進行控制。8、所有計算機均應安裝殺毒軟件，避免形成防護體系的薄弱環(huán)節(jié)。在購買產(chǎn)品時，【網(wǎng)絡(luò)版】授權(quán)安裝的服務器和客戶機數(shù)量應大于或等于實際的數(shù)量。9、強制每臺計算機開啟殺毒軟件實時監(jiān)控功能。9.1、在每臺服務器和客戶機上設(shè)定合理的定時掃描

7、頻率。9.2、每次手動查殺病毒時，選擇掃描所有文件。9.3、在重要服務器或客戶機上選定“清除之前備份帶毒文件”功能。9.4、系統(tǒng)管理員通過控制臺獲得某臺服務器或客戶機染毒信息后， 應針對該計算機進行專門處理。10、病毒防護信息管理。系統(tǒng)中心對防護體系內(nèi)所有計算機的病毒監(jiān)控、檢測，以及處理情況均有記錄。對這些信息的有效監(jiān)控、利用和管理會使整個防病毒工作更加有效。網(wǎng)絡(luò)管理員應根據(jù)網(wǎng)絡(luò)的實際運行狀況和工作需要制定切實可行的管理方案。10.1、監(jiān)控、檢測和清除病毒該項管理是網(wǎng)絡(luò)防病毒管理的核心，利用殺毒軟件【網(wǎng)絡(luò)版】提供的各項功能可實現(xiàn)對所有計算機設(shè)計具體的管理方案。如對實時監(jiān)控、掃描、清除時間、周期

8、等設(shè)置。10.2、未知病毒偵測管理由于新病毒的不斷出現(xiàn)，反病毒軟件也要隨之更新。只有建立一套完整可行的新病毒偵測和捕獲方案才能實現(xiàn)這一過程的良性循環(huán)和周期的縮短。這也是維護整個網(wǎng)絡(luò)安全必不可少的環(huán)節(jié)。一旦發(fā)現(xiàn)異?，F(xiàn)象，及時與反病毒公司聯(lián)系。四、機房管理1、機房應有定置圖，設(shè)備和纜線應布放整齊，并有明顯的標識。2、機房應保持整潔并進行定期打掃，不準存放食物，禁止存放雜物和私人用品，嚴禁存放易燃、易爆、具腐蝕性危險品。3、機房內(nèi)設(shè)備設(shè)施和物品不準任何人隨意亂動，配置的常用儀器儀表、工具、資料不得外借帶出機房。4、機房內(nèi)設(shè)備應有履歷本，物品資料應登記造冊，以備方便查閱。5、機房應配置氣體滅火器，氣體

9、滅火器應定期檢查。進出纜線應做好防火安全，每根纜線均應涂防火涂料。6、機房內(nèi)應采取防鼠措施，進出孔洞應封堵，防止老鼠及小動物危害設(shè)備。7、機房應配置溫度計、濕度計、空調(diào)。機房溫度應控制在1030之間，濕度應低于80%，密閉防塵。8、機房出入應有登記，非工作人員未經(jīng)許可不得隨意進入機房，進入機房不準喧嘩、不準吸煙、不準用餐。9、外單位人員不得隨意進入機房，進入機房參觀學習的人員應事先與主管部門和本部門負責人聯(lián)系，得到許可方可進入。10、機房內(nèi)應配置事故照明裝置，以備應急使用。五、工器具及備品備件管理1、應建立本部門使用的工器具和維護設(shè)備配備的備品備件的管理登記冊，隨時做到帳物相符。2、所有工器具

10、和備品備件領(lǐng)入后，應先進行領(lǐng)入登記。大件工器具和設(shè)備備品備件應指定專人管理，工器具借用及備品備件的調(diào)用應如實登記。3、小型工器具根據(jù)需要由個人負責保管，在壽命周期內(nèi)不得丟失和人為損壞，否則照價賠償。對疲勞損壞的工具，實行以舊換新，盡量避免個人工具由于保管不當造成遺失。4、大型工具和與關(guān)鍵過程、特殊過程有關(guān)的工器具，應定期進行計量和校準。5、特殊工具應由熟悉其使用性能和操作熟練的人員負責操作，并由具有同等資歷的人員進行監(jiān)護。6、為保證信息通信系統(tǒng)故障的及時排除，各類設(shè)備應配備必要的備品備件。備品備件調(diào)用后，應將替換下的壞板及時返廠維修，修復的板件重新造冊作為備件待用。7、每年，應對工器具和備品備

11、件的使用、消耗等情況進行認真統(tǒng)計、分析和核對，作為上報新的工器具和備品備件采購計劃的依據(jù)。六、技術(shù)資料、維護及應用軟件、運行記錄管理1、運行設(shè)備的各類技術(shù)資料、維護應用軟件、運行檢修記錄等是確保通信網(wǎng)健康運行的基礎(chǔ)，是信息部門和運行檢修部門對運行中的系統(tǒng)實施正常及異常維護、及時判斷電路故障原因、保證系統(tǒng)正常運行的依據(jù)。2、信息部門應重視系統(tǒng)通信信息資料及維護應用軟件的收集、整理、補充工作，確保通信信息設(shè)備的附屬軟硬件配件和設(shè)備運行臺帳、檔案、圖紙資料齊全完整，確保通信信息網(wǎng)絡(luò)設(shè)備的運行、測試記錄清晰、準確。3、信息機構(gòu)應具備以下資料：a) 所轄區(qū)域通信網(wǎng)絡(luò)及信息網(wǎng)絡(luò)拓撲結(jié)構(gòu)總圖；b) 所轄區(qū)域

12、行政、交換網(wǎng)；數(shù)據(jù)網(wǎng)；光纖等傳輸網(wǎng)、以及終端用戶分布網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)示意圖；c) 城域及干線光纜的詳細路徑圖；d) 所管轄各類設(shè)備的基本配置檔案匯總資料；e) 各類運行設(shè)備的使用說明書及操作手冊；f) 包含各類運行設(shè)備安裝、投運、更改、電路使用記錄和檢測記錄的設(shè)備履歷簿；g) 各類原材料、工器具及備品備件的進出記錄和消耗使用記錄；h) 其它與運行設(shè)備相關(guān)的資料。4、設(shè)備履歷簿和儀器儀表履歷簿由運行維護部門隨設(shè)備使用年限建立和保管。其余運行記錄按年整理分類保存。5、維護及應用軟件的管理隨著信息通信技術(shù)的發(fā)展，軟件對系統(tǒng)運行的介入程度越來越深，面越來越廣，軟件系統(tǒng)的維護管理成為通信信息運行管理的重要內(nèi)

13、容，各級通信信息運行部門對與設(shè)備維護和應用相關(guān)的軟件的管理應遵循以下原則：5.1、各類信息通信運行設(shè)備的應用軟件和維護軟件除一次裝載到系統(tǒng)內(nèi)開通運行外，還必須擁有光盤等備份文件，以便在故障后重新導入。5.2、各類通信信息運行設(shè)備的應用軟件和維護軟件在設(shè)備移交運行后須作詳細登記并由專人負責保管和維護。5.3、設(shè)備軟件升級后須作詳細登記并保留最新版本軟件拷貝，原版本軟件歸檔保存或作清晰標識分開存放。5.4、維護人員應定期跟蹤所使用系統(tǒng)的軟件升級情況和升級后的新功能，必要時提出升級建議。5.5、對各類局數(shù)據(jù)和用戶數(shù)據(jù)應定期進行備份更新，并記錄更新日期，以便在故障發(fā)生后盡快恢復最新的數(shù)據(jù)。5.6、維護

14、人員應定期清理系統(tǒng)的用戶數(shù)據(jù)和告警記錄，以便于實時運行狀況的查詢并減少對數(shù)據(jù)庫過分的占用。5.7、在網(wǎng)管系統(tǒng)上進行可能影響系統(tǒng)運行的參數(shù)設(shè)置、更改和維護等操作時，須有監(jiān)護人進行監(jiān)護和確認，并作好詳細的操作記錄；軟件進行版本升級時，對于不影響業(yè)務的升級工作，須以書面形式詳細將計劃、方案、措施等報上級主管部門備案，操作中避免人為失誤造成業(yè)務中斷；對于影響業(yè)務的升級工作，必須提前兩周向上級通信主管部門以書面形式提出申請詳細報告計劃、方案、措施等，經(jīng)批準后方可實施。七、設(shè)備巡檢、維護作業(yè)計劃管理1、“安全第一、預防為主”是信息部門必須遵循的原則，為保持設(shè)備和電路的健康運作，必須進行通信運行設(shè)備的定期巡

15、檢并實施電路運行維護作業(yè)計劃。2、通信設(shè)備巡檢由通信運行維護部門負責，正常巡視周期原則規(guī)定如下：2.1、中心機房各類設(shè)備除通信值班員當值期間的正常巡視外，工作日內(nèi)相關(guān)責任部門和檢修人員每天至少巡視一次。2.2、巡檢中發(fā)現(xiàn)的各類問題應及時采取有效措施盡快解匯報。2.3、巡檢工作應作好相關(guān)記錄備查。3、常規(guī)設(shè)備巡檢的主要內(nèi)容包括：3.1、設(shè)備運行環(huán)境的檢查（清潔度、溫濕度、防鼠堵漏、防火防盜等）。3.2、設(shè)備外觀檢查（硬件完好性、穩(wěn)定性、告警系統(tǒng)、面板參數(shù)標識）。3.3、接續(xù)連線檢查（接地線、電源引接線、架間連接電纜、負載連接電路的接續(xù)可靠性等）。3.4、機架內(nèi)部簡單清潔，接續(xù)端子除塵、加固等。3

16、.5、軟件設(shè)置參數(shù)檢查核對，歷史告警信息閱讀。3.6、設(shè)備運行資料核對記錄。3.7、本機上應用系統(tǒng)日志。3.8、介質(zhì)轉(zhuǎn)換器工作狀態(tài)。3.9、設(shè)備、線纜標識是否清晰、完整。3.10、機房清潔、溫度、濕度、電源狀態(tài)。3.11、應用系統(tǒng)磁盤空間、CPU占用情況。3.12、各應用系統(tǒng)服務狀態(tài)：如WWW、FTP、SMTP、POP3/IMAP4、Radius等服務的運行狀態(tài)。4、為了保證設(shè)備的正常運行，實時掌握設(shè)備運行狀況，必須在一定時間內(nèi)對各類運行設(shè)備和電路實施維護作業(yè)。5、維護部門維護檢修作業(yè)計劃應包括：5.1、各網(wǎng)絡(luò)設(shè)備配置參數(shù)備份。5.2、網(wǎng)管系統(tǒng)全備份。5.3、網(wǎng)絡(luò)設(shè)備口令更改。5.4、重要文件

17、、數(shù)據(jù)庫系統(tǒng)備份。5.5、應用系統(tǒng)賬號口令更改。5.6、文檔資料（網(wǎng)絡(luò)拓撲、IP地址分配、帶寬分配占用情況）整理。八、軟件管理1、為了確保網(wǎng)絡(luò)安全運行，保護用戶利益不受侵害，特制定此管理制度。2、網(wǎng)絡(luò)設(shè)備、服務器密碼口令管理的具體要求是：2.1、網(wǎng)絡(luò)設(shè)備、服務器的密碼和口令，由系統(tǒng)管理員與設(shè)備責任人協(xié)商確定，必須兩人同時在場設(shè)定。設(shè)定完成后，密碼及口令須由系統(tǒng)管理員記錄，部門負責人、系統(tǒng)管理員、設(shè)備責任人于口令記錄簽字后封存，不得將口令和密碼記錄于設(shè)備履歷本中。2.2、對于每一具體的網(wǎng)絡(luò)設(shè)備、服務器，口令和密碼僅部門負責人、系統(tǒng)管理員、設(shè)備責任人三人知曉。不得將口令和密碼泄漏與其他人員，尤其是

18、外部人員（包括公司或部門內(nèi)部非設(shè)備責任人等人員）。如有此情況發(fā)生，要嚴格追究相關(guān)人員的責任。2.3、確因特殊情況（如人員不能到達現(xiàn)場操作等原因），須將密碼和口令告知他人，須設(shè)備責任人向部門負責人、系統(tǒng)管理員匯報，經(jīng)同意后授權(quán)他人進行操作。操作完畢后，操作人員需詳細在設(shè)備履歷本中記錄操作過程，并于合適的時間和場合，按1、2條的辦法重新設(shè)定口令。更換后系統(tǒng)管理員要銷毀原記錄，將新密碼或口令記錄封存(方式同1、2)。2.4、密碼或口令要定期更換(周期見設(shè)備檢修計劃規(guī)定)，更換后系統(tǒng)管理員要銷毀原記錄，將新密碼或口令記錄封存(方式同1、2)。2.5、如發(fā)現(xiàn)密碼或口令有失密跡象，系統(tǒng)管理員要立刻報告部門負責人，由部門負責人報告辦公室，同時要盡量保護好現(xiàn)場并記錄，須接到上一級主管部門指示后再更換密碼和口令。3、對用戶密碼和口令管理的要求是：3.1、對于要求設(shè)定密碼和口令的用戶，由用戶方制定責任人與系統(tǒng)管理員商定密碼及口令，由系統(tǒng)管理員登記并請用戶負責人確認(簽字或電話通知)，之后系統(tǒng)管理員設(shè)定密碼及口令，并保存用戶檔案。3.2、當用戶由于責任人更換或忘記密碼、口令時要求查詢密碼、口令或要求更換密碼、口令時，需向網(wǎng)絡(luò)服務管理部門提交申請單，由部門負責人或系統(tǒng)管理員核實后，履行二條1款所定手續(xù)，并對用戶檔案做更新記載。3.3、如果網(wǎng)絡(luò)提供用戶自我更換密碼或口令