时光在流逝,从不停歇,在这时光静走的岁月中,唯有工作留下的成绩,让我们感受到努力拼搏的意义。无论是什么行业的工作,在努力工作的过程中,你可能曾面临众多的困难时刻,那就为自己写一份工作总结吧,勉励自己,吸取经验,成长为更好的自己。以下是小编精心整理的《it运维管理工作总结》,供需要的小伙伴们查阅,希望能够帮助到大家。
第一篇:it运维管理工作总结
it运维管理工作总结一
至20XX年10月底,XX有限公司在xx公司的运维又届满一年的时间了。在这为期一年的运维工作当中,xxxx的业务飞速发展,设备数量不断增加,人员的技术水平和业务知识有了显著的提升。我们的队伍在技术水平和管理经验上也有了本质的提高。
一、细致缜密的完成计划中的日常运维工作:严把质量;服务至上;严格要求;技术领先。
1.承接运维工作初始信息技术部的各位领导就对我们的运维工作给予厚望,并提出了认真完善服务水平的方针。我们在服务过程中严格按照这一要求,以对保障xxxx的发展,对用户负责的精神,把“严把质量,服务至上”的原则贯穿于日常工作的各个环节之中。使本运维期过程中的客户满意度有了非常显著的提高,多次获得了用户的认可。
2.对于在工作中信息技术部提出的新要求、新方案,我们及时相应配合,本着“严格要求”的原则,对于提出的要求科学性的分析研究,及时提出完整周密的解决方案,并拟请用户试行或测试后实施。有力的保障了运维工作的及时有效性。
对于提高服务业务技术水平上,按照信息技术部的统一规划,按时完成一系列的既定培训计划。按照“技术领先”的原则,通过技术上的培训提高了业务水平和解决故障的效率;通过制定有效的安全机制和培训,健全了xxxx信息外包人员安全机制;通过保密制度的培训使运维人员能够树立自觉维护xxxx的信息安全防范意识;通过客户服务意识的培训提高了客户的满意度。
二、吸收先进经验,保质保量的完成运维的各项任务:运维期内主机、服务器、网络和桌面均没有发生严重的生产安全事故,对于一些潜在的威胁也都在得到信息技术部门的批示下,审慎周密的完成了整改工作。运用先进的技术和经验提高劳动效率和运维工作质量:
1.运用先进的运维工具提高劳动效率。通过监控软件随时保持信息的及时性、可控性,一旦发生问题可以迅速定位和修复。
2.经过信息技术部指导,我们在运维工作中大量了采用WEB2.0技术。使我们在高效完成运维工作的情况下,为xxxx节约了大量的费用投入。
3.在工作的过程中注意新技术和新方法的学习和收集,对于有利于运维工作的成功方案及时整理并提交信息技术部。经过5年来的维护工作存储了大量的知识库信息。
三、适应任务需要,及时解决运维过程中的遇到的问题:
1.在运维过程中遇到突发问题及时与信息技术部门相关人员进行沟通,对于紧急情况的处理按照《应急预案》进行对应处理。在节假日安排主要人员进行值班和备勤,保障24小时均能及时相应。
2.在运维工作过程中,积极协助新增设备的各项实施工作,获得了信息技术部的肯定;在到货、验收、集成方案和安装调试过程中提供全程保障;对于数据的迁移、备份,各人按照自己的职责,在制定详尽的计划后、经过信息技术部的批准严格按照方案实施;
3.在配合一些公司的重大活动、事件时,为应对信息技术部人员不足的情况。我们一方面做好运维工作的情况下,另一方面派出部分或全部人员协助信息技术部的各项工作,以弥补其人力不足的状况;
4.对于机房的升级改造过程中积极配合,全程派员监理施工过程,及时出具各种施工方案和设计资料。施工完成后及时完善各类图表的变更、标识。
5.配合行政部门做好资产管理工作,对于资产管理系统派出专门人员参与学习,并对备份、升级方案及时提出自己的建议;对于办公室提出的节能减排的倡议积极响应,主动采取措施避免能源和材料的浪费;多次配合办公室进行资产统计、巡检、登记工作。
四、认真完成运维工作中的汇报、总结和知识积累工作:
1.《知识库》通过连续2年的整理已经形成了成体系的完整运维知识全集,方便了各类人员通过权限管理可以随时查找所需的运维信息,为提高运维工作效率提供了基础保障。
2.日常报告:共提交《运维日报》309份、《运维周报》52份、《机房温度周报》52份、《运维月报》12份、《运维半年报》一份、《运维年报》一份、《桌面工作记录单》1914份、《磁带存取记录表》12份。
3.工作报告:《变更报告》70份、《故障报告》5份、《数据安全保密措施报告》、《节日值班表》2份、《加班表》1份。另:《磁盘空间使用报告》等不定期报告;
4.图表:《电路电源拓扑图》、《机房及机架布局图》、《网络拓扑图》、《san环境拓扑图》、《电话配线架对应图》、《ip及工位、电话统计图》、《外包人员信息系统登记表》等。
5.其他报告:《外包人员信息安全管理建议》、《文件服务器使用管理建议》等。
通过以上的工作和措施,我公司顺利的完成了本期xxxx的运维工作任务,从根本上满足了设备运维的各项要求。任务的圆满完成,有赖于信息技术部正确的领导和大力协助;仰仗于xxxx健康发展的大好形势;得益于双方长期形成的信任与默契。
一年的时间很快过去了,在此向各位领导申请续约新的一年的运维合约。并且,在新的维护其中间维持上一年的全部合同条款,维持原来的运维价格不变。在新的运维期内,我们将保持冷静的头脑,继续发扬自身优势,多方弥补存在的不足,提高服务的水平和层次,在信息部的指导下,与各部门的同仁团结协作,大力配合,携手共进,高标准高质量完成各项运维任务。希望在新的运维期内能够更好的配合信息技术部的工作完成xxxx的各项要求和任务。
望各位领导批准。
it运维管理工作总结二
本月工作中,运维服务正常,所有电脑设备处于良好状态。保证服务质量,提高各科室人员对本月IT运维的满意度。对工作负起责任,任劳任怨,遵纪守法,服从管理,体现自我价值,为***提供更好的服务。以下是6月所有故障进行总结分析和情况描述。
1、IT运维服务共49次
本月IT运维服务工作中,统计数据如下:
办公系统故障:6次,出勤:2次,打印机/复印机:9次,电脑故障:9次, 中普数据:8次,其他故障:15次。
2、维修及耗材情况
(以上不含复印机耗材及易耗品)
5月份添加打印耗材6次总费用为:2660元 5月硬件维修2次总费用为:3130元 6月份添加打印耗材1次总费用为180元
3、IT运维服务描述和说明
一、盘点电脑资产,合理分配电脑资源
结合5月份所做的电脑资产盘点中,将年限已到期电脑进行帐上报废。由于6月份是重新续约,需对单位所有电脑设备进行清点,并分类设备哪些处于保修期内,或保修期外。共清点电脑主机:125台,显示器:141台,笔记本电脑:61台,打印机:55台。其中保修期内设备共有:142台,保修期外设备共有:252台。在4月份,本单位进新采购电脑30套(清华同方),打印机5台(OKI820B黑白)。为保证各科室日常办公和******需要,对******科室增加新打印机5台,目前使用状态良好。清点在本年报废年限已到的电脑共有38台,后期将在不影响用户使用的情况下进行更换。
二、******安防设备增加
在接到此任务前,幸好之前有过一些监控工程相关的技术知识。为增加监控需要实地考察当前安防系统设备情况以及线路走线管道。具体难度在于布线方面,其他技术方面基本解决,在这方面没什么太大技术含量只要稍微接触下基本都懂。天花板离地面较高,并且天花维护通道夹窄实施难度较大,由其工程部去完成。在技术方面,了解到摄像头的清晰度由线数决定,共购买了3个600线的摄像头,这是目前主流使用的。为了减轻布线工程人员负担,采用了集中供电器,就是所有摄像头都在同一个供电器上面供电12V。也就是在布线时不需要再另外从其他地方拉电线接插座。因为所有楼层的供电都是用集中供电的方面,供电器在楼层的某一处。决定录像质量的不是摄像头,而是录像机。录像机有几种录像模式。分别:cif、2cif、dcif、D1,也有更高。目前******安防设备有四台,录像质量全部为CIF,分辨率为352*288,保存天数约为48天,其中一台约为18天。
三、复印机、打印机耗材维修
6月份打印机耗材加粉量1台,复印机更换碳粉共有5次。打印机:整体性能稳定,整月来故障基本为零。复印机方面:负责保养公司每两星期上门进行保养,对复印机零件部位进行清理,其中检查一科,审理科复印机需要更换零件。检查一科由于鼓芯老化复印效果出现印痕,影响打印效果必须更换,总费用为840元,目前打印效果良好。审理科复印机损坏两个部件,经保养公司鉴定均为人为损坏,可能在取出卡纸的时候关侧板用力过猛,导致热敏鼓挂勾和双面导板断裂必须更换。此部件需要厂家定购,经两个星期后重新装上使用,总费用为:2290元。后续将定期查看是复印机状态,以确保发挥其最大性能。
四、出勤
出勤这工作是一个重要的学习机会,每次接到出勤任务前的一天我都会检查一次所有工具是否正常。一次在石井的出勤中,企业是一间电子商务企业,企业员工应该有100多人,在财务部门里有多套系统管理软件运作,就像工厂的整条生产线。售前,售后,发货,退货管理等。在系统里查询到数据有500万条以上,单导出一个数据表花费30多分钟,如此大数据量背后支持的服务器也不简单,在机房里有7台服务器,其中4台为linux系统。在这里才发现自已的知识不足,对linux系统接触甚少,对于一些命令早已忘记,而且那时已经是下班时期,管理员也没在场,最后搞到8点才完工。这次工作虽然辛苦,但收益良多,增长了不少见识,同时也发现自已的不足并在以后会不断努力学习,除了提高自已的技术水平外,更重要的是加强人员沟通。
it运维管理工作总结三
时间飞逝,一晃而过,弹指之间2011年已过半,作为公司的一名计算机软件管理员,在公司领导及各部门各同事的帮助下,我顺利的完成了各项工作。在具体工作中,我努力做好服务工作。为了今后更好地工作,完善不足,特此将我半年的工作情况做一个总结:
一、工作总结:
工作内容:我负责的工作主要有二个方面(一)、根据公司需求,负责公司网络应用系统,公司网站的开发,公司网络应用系统服务器的安装、配置和维护工作,公司网络应用系统用户帐号及权限的管理。(二)、负责公司网络和计算机软件的维护工作;公司计算机上软件的安装、调试及软件在使用过程中出现问题的解决;公司网络资源的权限分配;对公司人员提供必要的技术支持服务。
工作完成情况:
(一)、完成公司网站的前期资料收集准备工作,制定出建站操作流程,此项目根据公司需求可随时启动,并短时间能够完成建站工作。
(二)、完成公司资产管理系统的用户需求收集整理工作,并与多家软件公司多次沟通,最终根据需求选定在集团公司的用友财务平台上增加资产管理模块,达到资产管理与财务的时时同步。现项目因需集团财务平台的升级到新版本后才能增加我们所需的模块而暂时搁置,等集团平台升级后可再启动。
(三)、完成公司OA系统的日常维护工作,调整OA论坛板块,增加公司新闻、意见建议、纪念建党九十周年、纪念辛亥革命一百周年等板块并及时更新其内容,让员工及时了解公司新闻动态,提高自身思想觉悟。完成对OA系统帐号的管理工作,赋予每个帐号相对应的使用权限,对新入职、离职员工帐号做到及时添加和删除,对各地托管资产管理员帐号按地区分别分组。
(四)、在日常工作中及时响应了各部门的电脑软件、硬件、邮件、网络、打印机的维护。公司目前有近80多台电脑,由于机器较多且大多数为省店临近报废的旧机器,日常出现故障的情况较为常见,主要的电脑故障有:硬件故障,系统故障,网络故障,软件故障等,很多机器由于长期使用,导致系统中存在大量垃圾文件,系统文件也有部分受到损坏,从而导致系统崩溃,重装系统,另外有一些属网络故障,线路问题等。做到了尽可能的降低设备使用故障率,在其出现故障的时候,并做到了能在当地解决就当地解决,不能当地解决的也在最短的时间内给予了解决,保证了公司计算机的正常使用。
(五)、对公司每台电脑安装防病毒软件,避免了病毒在公司局域网内自我复制相互传播,占用局域网的网络资源,甚至使得系统崩溃,丢失硬盘的重要资料等各种危害,并及时的对软件进行升级,定期的清除隔离病毒的文件夹,定期的对每台计算机系统补丁软件补丁进行更新,防止了病毒和黑客通过系统漏洞进行的破坏和攻击。
(六)、对院内租赁产业重新布上网线,给租赁户提供网络服务并提供一定的计算机技术支持服务,给资产部租赁业务提供支持。
(七)、协助安全主管整理打印安全回执表并分地区上传到OA系统的公共文件夹,供相关部门和领导随时调阅。
(八)参与 office 2007软件使用培训,提高自身业务水平。
二、查找不足 反思改进
半年来,我始终坚持严格要求自己,勤奋努力,在自己平凡而普通的工作岗位上,努力做好本职工作,从不把情绪带到工作中。回顾半年来的工作,我在思想上、学习上、工作上取得了新的进步。但我也认识到自己的不足之处:
1、自己的思路还很窄对现代网络技术的发展认识的不够全面,自己对新技术掌握速度还不够快。
2、有时候在一些突发故障比较集中时,没有分清轻重缓急,科学的去安排时间,导致少数问题处理不及时。
3、公司网络IP设置没有做系统规划,导致有时候有IP冲突而导致网络中断的情况发生。
三、提高认识 持续进步
总结了过去,方能找到不足!对于下半年的工作计划,在总结上半年工作的同时,针对自己不足之处,我也做出了初步设想:
1、在硬件条件允许的情况下安装网络流量检测软件,对局域网进行监测,及时发现网络故障和排错,使网络快速高效的运行。
2、在继续完善公司网络的同时,加强理论和业务知识学习,不断提高自身综合素质水平。把工作做到更好。
3、等省店全部搬离我们接管机房后,对公司所有电脑设备进行统一计算机名称,分单位部门给予不同的IP段并对硬件情况、IP地址详细登记造表方便管理。
4、领导交办的每一项工作,分清轻重缓急,科学安排时间,按时、按质、按量完成任务。
上半年的工作已顺利完成,有收获也有缺憾,在下半年,我会继续秉着兢兢业业,恪尽职守的态度,把工作做得更好,让自己的能力得到进一步的提高。
第二篇:IT运维管理六大趋势
为应对不断变化的IT网络,Gartner发布的2013年对众多公司和组织机构具有战略意义的十大技术与趋势,关于IT运维管理包括以下六大趋势:
趋势1:支撑数据大集中管理
2013年,大数据成为IT界最受关注的话题之一,大数据正在从专注于个别项目向对企业战略信息架构的影响上转移,对数据量、种类、速度和复杂性的处理正迫使许多传统方法需要发生改变。同时为企业内部和运维产品提供商带来前所未有的难题,大数据时代,随着企业IT架构的不断扩展,服务器、存储设备的数量越来越多,网络也变得更加复杂,从而给运维工作带来了巨大的挑战,特别是分支机构众多的大型企业或垂直层级较多的政府单位,为了保障良好的用户体验和数据时效性,运维工作显得十分艰巨。IT监控系统每分钟要进行上万个数据采集已非易事,而对采集上来的海量数据进行处理和分析才是更难的挑战。如果数据未经过处理,这就对运维没有任何意义和价值。因此,在大数据集中趋势越来越明显的2013年,在此背景下具备实时采集和海量分析能力的IT运维管理产品将会成为数据分析应用的新增长点。
趋势2:虚拟化监控管理同等对待
在虚拟化诱人的高额回报面前,相对滞后的IT运维管理已经让众多CIO熬过了艰难的2012.在虚拟化后,IT运维部门需要对新增的虚拟网络、数据存储、虚拟机、ESX/ESXi主机数量、集群对象提供一种全新的管理方式。而这种方式就是消除虚拟化主机“不可见”的特殊性,尤其是在支持边缘应用的虚拟机和支撑核心应用的物理服务器同时存在环境中,IT运维产品需要具备“同等对待”的能力。很多方法可以实现这种管理模式,比如,在虚拟交换机和虚拟机之间仍然采用“实体连接”的方式进行管理,等等,这样才能消除虚拟化运维的死角,才能支撑传统数据中心全面升级换代至“云数据中心”。
趋势3:存储系统融入一体化监控
大数据、虚拟化对运维人员来说如临大敌,存储则是所有企业面临的另一个挑战。其稳定性、性能都是确保核心任务运行关键,存储系统发生事故、灾难往往给企业形象和业务连续性带来极大的威胁。
趋势4:主机监控更加细化
在Gartner发布的2013预测中,IT操作流程自动化成为了影响数据中心发展的技术之一,而实现IT管理流程自动化仍是IT管理人员降低IT操作成本和复杂性的一个关键目标。另外,在影响数据中心的技术中配置管理数据库(CMDB)将继续在企业IT运营基础设施中扮演重要的角色。这些对主机系统更加完备运维工具可以帮助IT运营的建立、维护、可视化和监视逻辑应用程序或者服务拓扑管理和跨系统的依赖性。
“工欲善其事,必先利其器”,利用自动化的IT运维工具力争出错率趋近于零,可以有效减轻人工控制流程的负担,同时也对提高业务服务质量起到事半功倍的效果。而在主机层面的监控只有做到精细化,便可有效的预测、预防、隔离、诊断和解决发生的问题,掌握各种系统资源的利用情况。另外,IT运维产品的发展趋势决定了,要在企业复杂的异构网络环境和系统面前毫不畏惧,有这种实力才能实现业务系统所依托的网络平台资源、服务器资源、应用系统资源、信息服务资源等进行统一综合管理。
趋势5:BSM运维产品认可度攀升
从IT运维管理在企业收益价值链的位置来看,以往的IT基础设施管理、IT设备维护和管理、IT服务流程管理等,只是对业务发挥着间接辅助作用。而唯有IT与业务融合的创新管理模型,才能对用户业务开展有直接价值,这也正是2012年众多企业用户对BSM理念进行了广泛讨论和最佳实践的原因。而在厂商层面,必须将产品与BSM理念耦合度做到最紧密,才能帮助那些缺少IT运维项目实施经验企业实现这个终极目标。我们从更多的用户层面上了解到,在2013年的起点处开始,许多CIO极其所带领的团队都希望利用BSM产品将业务清晰化、视图化,并在此基础之上才更好地执行SLA(Service-Level Agreement,服务等级协议)在企业中的兑现。
趋势6:运维产品紧跟企业发展步伐
IT运维管理的需求是随着企业规模与成长速度逐步调整形成的,从技术与管理两个维度来分析,企业IT运维管理一般可分为三个阶段:IT基础设施管理阶段、综合业务管理阶段、全域集中管理阶段。而在实际运维中,企业则可以通过对着三阶段的了解,“对号入座”。
根据据IDC预测,2013年58%的新IT投资决策将由企业高管直接参与,而这个趋势在过去三年里上涨了80%.那么,企业高层在规划IT投资时,为了避免“失控”, IT运维部门就需要向决策层提供这种准确的战略信息, 因此,IT运维工具必须要能提供每个分支机构的IT运维状况,真正起到大海捞针的作用,在剔除非关键信息的基础上完成决策支撑。
第三篇:IT运维配置管理方案书
IT运维配置管理系统项目
建议书
北京中辰华创科技有限公司
2014年7月
目 录
一、IT运维配置管理背景 .............................................................................................................. 3
二、IT运维配置管理现状 .............................................................................................................. 4
三、解决方案 ................................................................................................................................... 8
四、IT运维配置管理应用效果 .................................................................................................... 10
4.1实现集中帐号管理,降低管理费用 .............................................................................. 10 4.2实现集中身份认证和访问控制,避免冒名访问,提高访问安全性 .......................... 10 4.3实现集中授权管理,简化授权流程,减轻管理压力 .................................................. 11 4.4实现单点登录,规范操作过程,简化操作流程 .......................................................... 11 4.5实现实名运维审计,满足安全规范要求 ...................................................................... 12
五、总结......................................................................................................................................... 12
一、IT运维配置管理背景
随着各行业业务的迅速发展,各种经营支撑系统不断增加,网络规模迅速扩大,支撑系统中有大量的网络设备、主机和数据库等IT系统,它们分别属于不同的部门和不同的业务系统。目前各IT系统都有一套独立的用户管理、认证、授权和审计机制,由相应的管理员负责维护和管理。当维护人员同时对多个系统进行维护时,设备的权限管理复杂度会成倍增加,经常出现共享帐号,弱口令帐号,授权不清,访问控制不严,操作审计不全等问题,降低了核心设备和关键设备的安全性,给单位或组织的生产和运营带来巨大风险。
原有的由各个系统分散的进行用户、认证、权限、审计的管理模式造成了在业务管理和安全之间的失衡,已经成为业务发展的瓶颈之一,不能满足单位目前及未来业务发展的要求。
IT运维配置管理系统针对单位内部的网络设备和服务器进行保护,对此类资产的常用访问方式进行监控和审计。例如对字符终端、图形终端等访问方式进行监控和审计,实现对用户运维过程的标准化管理,满足单位内部网络对核心资源的访问安全的要求。
二、IT运维配置管理现状
目前,单位或机构的运维管理有以下三个特点:
关键的核心业务都部署于Unix和Windows服务器上。 应用的复杂度决定了多种角色交叉管理。
运行维护人员更多的依赖Telnet、SSH、FTP、RDP等进行远程管理。 基于这些现状,在管理中存在以下突出问题:
1. 使用共享帐号的安全隐患:单位的支撑系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统。各应用系统都有一套独立的帐号体系,用户为了方便登陆,经常出现多人共用帐号的情况。多人同时使用一个系统帐号在带来方便性的同时,导致用户身份唯一性无法确定。如果其中任何一个人离职或者将帐号告诉其他无关人员,会使这个帐号的安全无法保证。由于共享帐号是多人共同使用,发生问题后,无法准确定位恶意操作或误操作的责任人。更改密码需要通知到每一个需要使用此帐号的人员,带来了密码管理的复杂化。
2. 密码策略无法有效执行:为了保证密码的安全性,安全管理员制定了严格的密码策略,比如密码要定期修改,密码要保证足够的长度和复杂度等,但是由于管理的机器数量和帐号数量太多,往往导致密码策略的实施流于形式。 3. 授权不清晰:各系统分别管理所属的系统资源,为本系统的用户分配权限,无法严格按照最小权限原则分配权限。另外,随着用户数量的增加,权限管理任务越来越重,当维护人员同时对多个系统进行维护时,工作复杂度会成倍增加,安全性无法得到充分保证。 4. 访问控制策略不严格:目前的管理中,没有一个清晰的访问控制列表,无法一目了然的看到什么用户能够以何种身份访问哪些关键设备,同时缺少有效的技术手段来保证访问控制策略被有效执行。
5. 用户操作无法有效审计:各系统独立运行、维护和管理,所以各系统的审计也是相互独立的。每个网络设备,每个主机系统分别进行审计,安全事故发生后需要排查各系统的日志,但是往往日志找到了,也不能最终定位到行为人。
另外各系统的日志记录能力各不相同,例如对于Unix系统来说,日志记录就存在以下问题:
Unix 系统中,用户在服务器上的操作有一个历史命令记录的文件,但是用户可以随意更改和删除自己的记录;
root 用户不仅仅可以修改自己的历史记录,还可以修改他人的历史记录,系统本身的的历史记录文件已经变的不可信; 记录的命令数量有限制;
无法记录操作人员、操作时间、操作结果等。
对运维的管理现状进行分析,造成这种不安全现状的原因是多方面的,总结起来主要有以下几点。
1. 各IT系统独立的帐户管理体系造成身份管理的换乱,而身份的唯一性又恰恰是认证、授权、审计的依据和前提,因此身份的混乱实际上造成设备访问的混乱。 2. 各IT系统独立管理,风险分散在各系统中,各个击破困难大,这种管理方式造成业务管理和安全之间失衡。 3. 核心服务器或设备的物理安全和临机访问安全通过门禁系统和录像系统得以较好的解决,但是对他们的网络访问缺少控制或欠缺控制力度。 4. 在帐号、密码、认证、授权、审计等各方面缺乏有效的集中管理技术手段。
三、解决方案
针对以上问题,以解决主要问题为方向,单位迫切需要建立起一套合规、稳定、高效的基础平台系统,IT运维配置管理系统。将分散自治式的管理模式改为集中的管理模式。只有集中才能够实现统一管理,也只有集中才能把复杂问题简单化,集中管理是运维管理思想发展的必然趋势。IT运维配置管理系统为资源提供统一的单点登录访问入口,在平台上集中进行帐号管理、授权管理、认证管理,并通过协议代理技术实现资源运维过程的审计。通过IT运维配置管理系统的建设,达到以下效果:
1.为用户提供统一的操作和维护的入口和平台。为集中管理各个主机、网络设备、数据库提供了技术手段,可以集中管理、登陆各个IT系统,包括各种主机、网络设备、数据库及应用,在未来增加新业务系统时也能迅速、方便的通过该系统进行发布。用户访问IT运维配置管理系统时,系统为每个用户提供自己的操作平台,登录后显示所有授权给自己的IT系统,通过点击访问方式单点登录到各IT系统完成访问动作。
2.实现集中的账号管理。管理员在一点上即可对不同系统中的账号进行管理,由系统自动同步不同系统下的账号;账号创建、分配过程均留下电子记录,便于审计。
3. 实现集中的身份认证。管理员不仅可以根据需要选择不同的身份认证方式,而且在不更改或只对应用进行有限更改的情况下,即可在原来只有弱身份认证手段的IT系统上,增加强身份认证手段,提高系统安全性。通过一次登录可以访问包括WEB和非WEB在内的所有授权的IT系统,可以使用户无需记忆多种登录过程,用户ID和口令。它通过向客户提供对其个性化资源的快捷访问提高生产效率和利润、降低管理开销、提高整个系统的安全性。
4. 实现集中访问授权。对单位资产进行有效保护,防止私自授权或权限未及时收回对单位信息资产造成的安全损害;实现基于角色的授权管理,在人员离职、岗位变动时,只需要在一处进行更改,即可在所有纳入IT运维配置管理管理平台的系统中改变权限;可以为授权增加特定的限制,如只有在规定的时间段、来自特定地域的人员才能访问指定的资源。
5. 实现集中安全审计管理。不仅能够对人员的登录过程、登录后进行的操作进行审计,而且能够将多个主机、设备、应用日志进行对比分析,从中发现问题。
6. 实现细粒度的访问控制。通过IT运维配置管理实现内部网络运维行为管理,最大限度保护用户资源的安全。细粒度访问控制体现在命令策略,时间策略和地址策略上,命令策略是命令的集合,可以是一组可执行命令,也可以是一组非可执行的命令。
四、IT运维配置管理应用效果
4.1实现集中帐号管理,降低管理费用
实现对用户帐号的统一管理和维护:集中帐号管理可实现对IT系统所需的帐号基础信息(包括用户身份信息、机构部门信息、其他公司相关信息,以及生命周期信息等)进行标准化的管理,能够为各IT系统提供基础的用户信息源。通过统一用户信息维护入口,保证各系统的用户帐号信息的唯一性和同步更新。
解决用户帐号共享问题:主机、数据库、网络设备中存在大量的共享帐号,当发生安全事故时,难于确定帐号的实际使用者,通过部署IT运维配置管理系统,可以解决共享帐号问题。
解决帐号锁定问题:用户登录失败五次,应对帐号进行锁定。网络设备、主机、应用系统等大都不支持帐号锁定功能。通过部署IT运维配置管理系统,可以实现用户帐号锁定、一键删除等功能。
4.2实现集中身份认证和访问控制,避免冒名访问,提高访问安全性
提供集中身份认证服务:实现用户访问IT系统的认证入口集中化和统一化,并实现高强度的认证方式,使整个IT系统的登录和认证行为可控制及可管理,从而提升业务连续性和系统安全性。
实现用户密码管理,满足SOX法案内控管理的要求:IT运维配置管理系统通过建设集中的认证系统,并结合集中帐号管理的相关功能,实现用户密码管理,密码自动变更,提高系统认证的安全性。
实现对用户的统一接入访问控制功能:部署IT运维配置管理系统前,维护人员接入IT系统进行维护操作具有接入方式多样、接入点分散的特点。而维护人员中很多是代维人员,这些代维人员来自于各集成商或设备供应商,人员参差不齐,流动性大。由于维护人员对系统拥有过大权限,缺乏对其进行访问控制和行为审计的手段,存在极大的安全隐患。IT运维配置管理系统统一维护人员访问系统和设备的入口,提供访问控制功能,有效的解决运维人员的操作问题,降低相关IT系统的安全风险。
4.3实现集中授权管理,简化授权流程,减轻管理压力
实现统一的授权管理:各应用系统分别管理所属的资源,并为本系统的用户分配权限,IT运维配置管理系统实现统一的授权管理,对所有被管应用系统的授权信息进行标准化的管理,减轻管理员的管理工作,提升系统安全性。
授权流程化管理:通过IT运维配置管理系统,管理层可容易地对用户权限进行审查,并确保用户的权限中不能有不兼容职责,用户只能拥有与身份相符的权限,授权也有相应的工作流审批。
4.4实现单点登录,规范操作过程,简化操作流程
单点登录:用户通过一次登录系统后,无需认证的访问包括被授权的多种基于B/S和C/S的应用系统。单点登录为具有多帐号的用户提供了方便快捷的访问途经,使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问来提高生产效率。同时,单点登录可以实现与用户授权管理的无缝连接,这样可以通过对用户、角色、行为和资源的授权,增加对资源的保护,和对用户行为的监控及审计。
规范操作流程:规范操作人员和第三方代维厂商的操作行为。所有系统管理人员,第三方系统维护人员,都必须通过IT运维配置管理系统来实施网络管理和服务器维护。对所有操作行为做到可控制、可审计、可追踪。审计人员定期对维护人员的操作进行审计,以提高维护人员的操作规范性。
4.5实现实名运维审计,满足安全规范要求
实现集中的日志审计功能:各应用系统相互独立的日志审计,无法进行综合日志分析,很难通过日志审计发现异常或违规行为。IT运维配置管理系统提供集中的日志审计,能关联用户的操作行为,对非法登录和非法操作快速发现、分析、定位和响应,为安全审计和追踪提供依据。 辅助审查:通过集中的日志审计,可以收集用户访问网络设备、主机、数据库的操作日志记录,并对日志记录需要定期进行审查,满足内部控制规范中关于日志审计的需求,真正实现关联到自然人的日志审计。
五、总结
单位内部网络安全存在诸多的问题,每种问题都不可小视,对于这些问题,单位内部应该规范管理,应该使用更为先进的IT技术手段、技术工具来帮助管理员进行规范化管理,这样才能够保证单位内部网络的安全性。IT运维配置管理系统使得单位内部网络的管理合理化、安全化、专业化和规范化,充分保障单位网络资源和信息资源的安全。
北京中辰华创科技有限公司成立于2010年,注册资金500万元,公司办公地点位于中关村南大街甲2号数码银座A座,主要从事IT系统运维管理技术与产品开发、信息安全技术研究与产品开发、信息系统安全工程建设与安全管理服务等安全业务。
公司核心成员均为业界资深人士,公司现有各类技术人员100余名,80%具有本科以上学位,其中博士2名、硕士1名,管理和研发骨干均具有丰富的从业经验,具备较强的科研、创新能力。
自2010年以来,相继推出了一系列的产品:IT运维管理系统、业务运维监控系统、信息安全实训与攻防演练平台、互联网流量缓存加速系统。在IT运维管理领域、信息安全攻防模拟以及网络应用优化领域获得技术的提升。
联系我们:010-56248750 18611034978 MAIL:zchcsupport@126.com
第四篇:系统运维管理-IT基础设施运维管理规范
IT 基础设施运维管理规范 文件编号:运维-002-V1.0
目录
运维管理规范-------------- 4 1. 目的 ------------------------ 4 2. 适用范围 ------------------ 4 3. 规范性引用及参考 ----- 4 4. 本文术语,定义和缩略语 --------------------------- 5 5. 基本要求 ------------------ 6
5.1运维管理原则----- 6 5.2制度和流程管理6 5.5供应商管理 -------- 7 5.6督促检查 ----------- 7 6. 运行维护 ------------------ 8
6.1日常操作及监控分析 -------------------------- 8 6.2 数据与介质管理 - 8 6.3机房管理 ----------- 9 6.4 网络管理 ---------- 9 6.5 弱电管理 --------- 10 6.6桌面维护 ---------- 10 6.7服务器及系统变更 ---------------------------- 11
6.8 配置管理 --------- 12 6.9 事件与问题管理 12 7. 应急管理 ----------------- 12
7.1应急准备 ---------- 12 7.2应急处置 ---------- 13
运维管理规范
1. 目的
为规范公司运维工作,使相关工作具有持续改善及相互协作性,同时加强计算机设备的管理及维护,确保维修工作的及时性,降低计算机设备的报修率,实现业务与技术的融合,将业务部门与IT 部门紧密结合在一起,根据公司管理要求及计算机应用的需要,由运维部制定。
2. 适用范围
本规范规定了运维管理工作的要求。
本规范适用于维信理财集团(中国) 总部,包括全国各分部及门店。
3. 规范性引用及参考
◆ IT 服务管理国际标准ISO/IEC 20000 ◆ 企业获得ISO/IEC 20000认证的权威指南 ◆ 全球著名IT 服务管理书库(ITSM Library) ◆ IT 服务质量管理原则
◆ 理解ISO/IEC 20000在IT 服务中的地位 ◆ ISO/IEC 20000规范和实践准则 ◆ IT 服务管理国际标准ISO/IEC 20000 ◆ GB/T 20269—2006 信息安全技术 信息系统安全管理要求
◆ ISO 31000:2009 风险管理 原则和指南(Risk management -- Principles and guidelines)
◆ JR-T 0060—2010 金融信息系统安全等级保护基本要求 ◆ JR/T 0074-2012 金融IT 服务管理基本规范 ◆ 中国金融标准化报告(2011)
4. 本文术语,定义和缩略语
1、 IT: Information Technology 信息技术
2、 DNS: Domain Name Service 域名服务
3、 DHCP: Dynamic Host Configuration Protocol 动态主机配置协议
4、 VPN: Virtual Private Network 虚拟专用网
5、 OA: Office Automation 办公自动化系统
6、 ISO: International Organization for Standardization 国际标准化组织 编订日期:30.7.2014 批准日期: 生效日期:
7、故障: IT设备或系统丧失规定的功能,导致服务中断或降质,或对正常运行造成潜在威胁。
8、异常: IT设备或系统的状态发生超出预期的变化或性能指标参数超出正常范围,有可能引发或已经引发故障,需要引起运维人员关注或处理。
9、资料: IT设备或系统的运行记录,包括IT 设备或系统的配置、故障历史记录、软硬件扩容或调整记录、权限变更申请记录等。
10、运行维护:本规范中的运行维护包括IT 基础设施维护、IT 应用系统运维维护、安全管理、网络接入、内容信息以及综合管理等。
5. 基本要求
5.1运维管理原则
公司按集中与分散相结合的原则,设立机房、各部门配备电脑。计算机系统本着“总体规划、分步建设”的方式实施建立。
计算机系统建设应综合考虑成本、费用、效率、效果、先进性及适用性,选择最优技术、经济方案。
5.2制度和流程管理
运维管理制度应包括但不限于机房管理、网络与系统管理、数据和介质管理、配置管理、安全管理、监控管理、文档管理、设备和软件管理、供应商管理等制度。
运维操作流程应包括但不限于日常操作、事件处理、问题处理、系统变更、应急处置等流程。
5.3 文档管理
对运维过程中涉及的各类文档进行管理,可按照制度文档、技术文档、合同文档、审批记录、日志记录等进行分类,并妥善保存。 5.3.2 对文档的版本应当进行控制。
文档在使用时应能读取、使用较新版本,防止作废文件的逾期使用。
5.4设备和软件管理
建立计算机相关设备和软件管理制度,对设备和软件的使用、安装、维修(升级)等进行规范。明确设备和软件管理责任人。对设备进行标识,标识应放在设备明显位置。
规定设备和软件的使用年限,定期进行盘点,并对设备状态进行评估和更新。
对外送设备的维修进行严格管理,防止数据泄露。
对拟下线和拟报废设备的存储介质中的全部信息进行清除或销毁。对正式下线设备和软件交指定部门统一管理、保存或处置,并保留相应记录。设备和软件报废应符合公司现行资产管理规定。
5.5供应商管理
对供应商支持运维服务的相关活动进行统一管理。
在与供应商签订的合同中明确其应承担的责任、义务,并约定服务要求和范围等内容。
应定期收集、更新供应商信息,组织对供应商的服务质量、履约情况、人员工作情况等内容进行评价,并跟踪和记录供应商改进情况。加强运维外包服务管理,主要包括:
a) 明确外包公司应当承担的责任及追究方式;
b) 明确界定外包人员的工作职责、活动范围、操作权限; c) 对外包人员工作情况进行监督和检查,并留存相应记录; d) 对驻场外包人员的入场和离场进行管理; e) 定期评估外包的服务质量; f) 制定外包服务意外终止的应急措施。
5.6督促检查
定期检查审计,对运维制度的执行情况和运维工作开展情况定期进行检查和审计,以督促运维工作持续改进。
指定人员负责对日常操作执行情况进行检查,确保运维管理制度和操作流程的有效执行。对检查和审计结果采取纠正、预防措施。
6. 运行维护
6.1日常操作及监控分析
未经许可,任何人不得随便使用电脑及相关设备。不得更换电脑硬件和软件,拒绝使用来历不明的软件和移动设备。
电脑发生故障时,使用者作简易处理仍不能排除的,应立即报告IT ,非专业管理人员不得擅自拆开机箱或调换设备配件。
计算机及其相关设备的报废需经过IT 部门或专职人员鉴定,确认不符合使用要求后方可申请报废。
运维应采取各种监控措施,配备视频、语音、系统监控和报警工具,对影响信息系统正常运行的关键对象,包括机房环境、网络、通信线路、主机、存储、数据库、核心交易业务相关的应用系统、安全设备等进行监控。
主要监控指标具体如下:
a) 机房:电力状态、空调运行状态、消防设施状态、温湿度、漏水、人员及设备进出等;
b) 网络与通信:设备运行状态、中央处理器使用率、通信连接状态、网络流量、核心节点间网络
延时、丢包率等;
c) 主机:设备运行状态、中央处理器使用率、内存利用率、磁盘空间利用率、通信端口状态等;
d) 存储:设备运行状态、数据交换延时、存储电池状态等;
e) 安全设备:设备运行状态、中央处理器使用率、内存利用率、端口状态、数据流量、并发连接数、安全事件记录情况等;
6.2 数据与介质管理
配合数据应用部,对核心业务数据进行周备份,并每季度进行恢复性测试。
对设备和人员出入进行管理。进入机房应限制和监控其活动范围,并有专人陪同;未经批准不得接入生产环境。
6.3机房管理
对机房环境、供电、空调、消防、安防等基础设施的运行维护、设备和人员出入、机房工作人员等进行规范管理。
应指定机房管理负责人。 确保机房环境整洁和安全,包括:
a) 应定期检查防水、防雷、防火、防潮、防尘、防鼠、防静电等措施的有效性;
b) 应保持机房环境卫生,设备摆放合理,归类; c) 不得随意出入机房。
d) 未经审批不得接入其它用电设备。
6.4 网络管理
确保网络、系统的正常运行。网络管理应包括: a) 绘制网络拓扑图,并保持更新;
b) 应保持网络设备的可用性,及时维修、更换故障设备; c) 应负责网络系统的参数配置、调优; d) 应定期对系统容量进行检查和评估;
e) 应定期检查网络设备的用户、口令及权限设置的正确性;
f) 应定期对整个网络连接进行检查,确保所有交换机端口处于受控状态; g) 应对网络信息点进行管理,编制信息点使用表,并及时维护和更新,确保与实际情况一致。计
算机网络跳线应整齐干净,跳线标识清晰;
h) 应制定网络访问控制策略,应合理设置网络隔离设施上的访问控制列表,关闭与业务无关的端口;编制文档并保持更新;访问控制策略的变更应履行审批手续。
权限管理应包括如下要求:
a) 权限分配应履行审批手续,权限设置后应复核; b) 应按照最小安全访问原则分配用户权限; c) 应在用户账户变化时,同时变更或撤销其权限; d) 应定期检查权限设置的有效性。
6.5 弱电管理
严格按图纸施工,在保证系统功能质量的前提下,提高工艺标准要求,确保施工质量。质量检查制度,现场管理人员将定期进行质量检查并贯穿到整个施工过程中。统运行验收:当设备安装完毕并调试运行无误后,由公司派现场调试人员进行系统联调,并向上级汇报调试结果。运维对弱电设备的综合管理,包括技术资料、档案的收集。同时,每月一次对弱电设备运行状况进行检查,并及时处理汇报问题。
6.6桌面维护
日常数据注意事项:
a. 个人文件(Excel 、Word 、PDF 等)建议员工不要存放在系统盘(通常为C 盘),可以存放在其它盘符。
b. 工程师可通过多种方式或途径来告知员工如何进行日常文件的备份,如:口述、邮件、培训等。
c. 未经许可,禁止使用U 盘,移动硬盘,手机或其它外设,如:网盘、邮箱等,盗取公司内部文件。
重装系统前注意事项:
a. 询问用户有哪些相关数据需要备份,如桌面、我的文档、收藏夹、邮件等。b. 用户Email 的备份:如客户端为Outlook 则导出相关OST 或PST 文件;硬件损坏需更换或维修时,运维人员进行测试,明确是否真实异常,不可随意更换。
关于账号、权限、密码
a. 必须严格按照公司制定的IT 策略进行管理,不可私自制定规范。 b. 禁止私自把个人管理员权限借给他人或告知他人。
c. 禁止为他人开设规定以外的权限,如:本地管理员、其他部门目录访问权限、上网权限、电话权限等。
d. 更改任何类型用户权限时需得到相关审批层级确认才可执行。 e. 如电脑无特殊应用需求,则一律为“user”普通权限。
f. 人员离职时,总部和分部应及时通过OA 确认,删除离职人员的相关账号与信息。
g. 妥善保管自己所知的密码。
6.7服务器及系统变更
不得在服务器上使用带有病毒和木马的软件、光盘和可移动存贮设备,使用上述设备前一定要先做好病毒检测;不得利用服务器从事工作以外的事情,无工作需要不得擅自拆卸服务器零部件,严禁更换服务器配套设备。不得擅自删除、移动、更改服务器数据;不得故意破坏服务器系统;不得擅自修改服务器系统时间。
使用空闲主机,对服务器系统补丁进行升级测试,运行平稳后,各服务器升级安装补丁,弥补系统漏洞;为服务器系统做好病毒及木马的实时监测,及时升级病毒库。
管理员对管理员账户与口令严格保密、重要数据库,网站,APP 等服务器由研发配合定期修改密码,以保证系统安全,防止对系统的非法入侵。
任何无关人员不得擅自进入主机房,需要进入的须征得服务器管理人员同意。应注意保护机房内的设备和物品,未经允许的非管理人员不得擅自操作机房内设备。
严禁携带易燃易爆和强磁物品及其它与机房工作无关的物品进入机房,机房内严禁吸咽。除管理员外,任何人不得随意改动服务器内系统及环境配置。
除系统管理员或授权参加系统管理的人员外,任何用户不得以任何方式获取(或企图获取)超级用户权限。
6.8 配置管理
明确配置管理负责人。
建立配置文档库,对服务器、存储、网络、安全设备,操作系统、应用软件、数据库等进行管理。
定期对配置进行备份及文档库归类。
及时检查并定期审计,对发现的不一致情况及时纠正修改。
6.9 事件与问题管理
对运维事件的处理进行规范,对发生的所有事件,根据事件的影响程度和影响范围评估事件处理优先级并及时处理。
对所有事件响应、处理、结束等过程进行跟踪、监督及检查。对问题进行分析、提出解决方案,通过变更管理审批后部署实施。
7.应急管理
7.1应急准备
明确网络、系统等事件的应急指挥决策机制,负责网络与系统事件的预防预警、应急处置、报告和调查处理工作。
网络与系统应急管理应遵循“谁主管谁负责、谁运行谁负责”、“统一指挥、密
切协同;注重预防、减少风险;科学处置、及时报告;以人为本、公平优先”的原则。
应急准备应符合如下要求:
a) 系统管理员、网络管理员、安全管理员等关键岗位应熟练掌握应急预案,能有效处置相关事件;
b) 在自身力量不足以满足应急要求的情况下,应与相关供应商签署服务保障协议。协议内容应包
括双方联系人、联系方式、服务内容及范围、应急处理方式等。应定期检查和评估协议的执行情况,确保服务保障措施落实到位,确保在应急处置中相关单位能提供及时有效的技术支持;
c) 应建立有效的应急通讯联络系统,确保信息畅通;
7.2应急处置
在发生网络与系统事件后,迅速采取应急措施,尽快恢复信息系统正常运行,如有重要情况应及时上报。
暂时无法确定事件原因、责任和结论的,应先给出事件的初步分析判断,并组织力量尽快查找原因,给出解决方法,采取整改措施。
第五篇:IT运维管理制度(最终版)
第一章 运维管理服务保障制度
为完成运维任务必须建立相应的技术支持管理制度,使维护工作做到有章可循,有据可查。同时对制定的各个制度的执行情况进行质量考核,对运维团队的工作绩效进行评估,促进制度的更好落实,确保高质量地完成各项维护支持任务。
1.1 机房运维管理制度
1.1.1 数据中心环境安全管理
数据中心进出安全管理的重点在于对不同的访问区域制定不同的安全管控和出入原则。将数据中心划分3类不同类别的管控区域和安全区域。公共区域、办公区域、机房区域。
(1)公共区域:这些区域通常用于数据中心生活与展示的配套区域。该区域经授权并在遵守相关制度的前提下来访者可自由进出。
(2)办公区域:数据中心日常工作区域。这类区域的进入通常为数据中心内部员工及运维人员。需经授权访问。
(3)机房区域:机房区域是数据中心的核心区域。该区域应有严格的进出管控,外来人员进出需提前提出申请,来访者进出机房区域需经授权,进出需登记。
除了数据中心人员进出管理外,还应考虑设备和物品进出的流程。设备和物品的进出也应得到正式的审批,特别是对于机房区域的设备应重点管控。应通过机房人员/设备登记表详细记录。设备出门需开具出门凭据等。 1.1.2 机房安全管理制度
(1) 机房应防尘、防静电,保持清洁、整齐,设备无尘、排列正规、工具就位、资料齐全。
(2) 机房门内外、通道、设备前后和窗口附近,均不得堆放物品和杂物,做到无垃圾、无污水,以免妨碍通行和工作。
第1页/ (3) 严格遵照《消防管理制度》规定,机房内严禁烟火,严禁存放和使用易燃易爆物品,严禁使用大功率电器、严禁从事危险性高的工作。如需施工,必须取得领导、消防、安保等相关部门的许可方可施工。
(4) 外来人员进入机房应严格遵照机房进出管理制度规定,填写人员进出机房登记表,在相关部门及领导核准后,在值班人员陪同下进出,机房进出应换穿拖鞋或鞋套。
(5) 进入机房人员服装必须整洁,保持机房设备和环境清洁。外来人员不得随意进行拍照,严禁将水及食物带入机房。
(6) 进入机房人员只能在授权区域与其工作内容相关的设备上工作,不得随意进入和触动未经授权以外的区域及设备。
(7) 任何设备出入机房,经办人必须填写设备出入机房登记表,经相关部门及领导批准后方可进入或搬出。 1.1.3 服务人员安全及保密管理制度
1、维护工程师必须熟悉并严格执行安全保密准则。
2、外部人员因公需进入机房,应经上级批准并指定专人带领方可入内。
3、有关通信设备、网络组织电路开放等资料不得任意抄录、复制,防止失密。需要监听电路时,应按保密规则进行。
4、机房内消防器材应定期检查,每个维护人员应熟悉一般消防和安全操作方法。
5、机房内严禁吸烟和存放、使用易燃、易爆物品。
6、搞好安全保密教育,建立定期检查制度,加强节假日的安全保密工作。
7、未经有关领导批准,非机房管理人员严禁入机房。
8、机房内严禁烟火,不准存放易燃易爆物品。
9、注重电气安全,严禁违章使用电器设备,不准超负荷使用电器。
10、
11、 按规定配备消防器材,并定期更新。
定期检查接地设施、配电设备、避雷装置,防止雷击、触电事故发生。
第2页/
12、
13、
14、 发现事故苗头,应尽快采取有效措施,并及时报告领导。 进行维修时,严格按照程序进行,杜绝人为事故发生。 严禁违规接入大功率无线发射设备。
1.1.4 网络安全管理制度
1. 运行维护部门必须制定相应的体系确保网络安全,维护人员必须确立网络安全第一的意识。
2. 在网络建设期必须考虑工程和现网的关系,加强施工安全管理和网络割接准备工作,确保现网的安全,严禁人为事故发生。
3. 网络运行维护期应确保维护工作、设备运行、系统数据的安全。
4. 客户数据的制作以及对设备的指令操作要严格按照客户数据制作规范和设备技术手册的要求根据工单执行;对设备的所有操作要有详细记录,操作时要一人操作一人核对,准确无误方可执行,操作人员要在工单上签字确认。 5. 网络运行维护期的安全可以通过三种控制方法保证,操作控制包括对操作流程、客户分级、权限分级、操作记录、远程管理、密码管理、防火墙技术、数据备份的安全保证;运行控制包括对告警处理、测试、性能分析、应急预案的安全保证;操作设备控制包括防病毒、杀毒软件、非生产应用软件的安全控制。 6. 未经许可,严禁设备厂商通过远程控制技术对设备进行修改维护,运行维护部门应有可靠的防范措施。
7. 为保证远程技术支持的可靠性,需定期对远程维护设备、端口进行检查,在确保安全保密的同时确保其可用性。
8. 磁盘、磁带等必须进行检查确认无病毒后,方可使用。
9. 为保证网络安全,远程维护设备在一般情况下要处于关闭状态,只有在需要的时候才开通使用。
第3页/ 1.1.5 数据中心值班制度
(1) 值班人员应严守岗位,按照规定时间上下班,无法按时到岗应提前向上级领导汇报,由上级领导负责调换班。
(2) 值班时间要尽职尽责,禁止从事与值班无关的事情。
(3) 参照《机房日常监控及巡检内容》按时巡检机房环境设施,密切注意电源、温度、湿度等机房环境情况;随时监控IT系统、网络工作状态,详细记录异常情况。
(4) 发生任何异常情况时,应严格执行故障应急处理流程及时处理,并向上级领导及相关部门及时报告。做好一线技术支持工作。
(5) 对业务部门提出的服务请求,要快速、准确、耐心地做出解答。并做好事件的记录、跟踪及回馈的服务台支持工作。
(6) 随时监督机房环境卫生和无关的物品带入,妥善管理设备工具。 (7) 遵照机房安全管理制度规定,制止任何违规进入机房人员及其他不当行为。
(8) 监督维保厂家对机器设备进行定期巡检和维护,对巡检单据签字确认,留档备案。
(9) 遵照《人员/设备进出机房登记表》做好值班期间的人员、设备进出记录。
1.2 网络安全管理制度
1.2.1 防火墙安全管理职责说明
1. 防火墙的逻辑管理,涉及用户、防火墙管理员、IT经理三个角色。 2. 用户包括公司业务部门工作人员、公司业务合作伙伴、公司外部系统服务商以及来访客户。
3. 防火墙管理员负责受理解决用户提出的防火墙相关需求,评估防火墙的配置措施和变更风险,并将分析结果报告给IT经理。
4. IT经理负责审批防火墙相关的配置变更措施,确认防火墙管理员对此配置
第4页/ 变更的评估结果符合公司安全策略和规范要求。
1.2.2 申请防火墙权限流程及创建策略
公司业务部门工作人员因工作需要申请开通防火墙端口通信权限时,需要填写“网络服务访问申请/变更表”。经用户所在业务部门经理审批通过后,由防火墙管理员受理需求。防火墙管理员按照最小授权原则来评估此权限是否与业务处理需求相符,写出配置措施和风险分析,并将分析结果提交IT经理审批。经IT经理审批通过后,防火墙管理员为员工在防火墙上实施配置变更创建相应权限策略。
如果用户需要临时在防火墙上开通端口访问权限,则应在“网络服务访问申请/变更表”备注中注明使用时限。其它步骤按照创建防火墙权限策略流程执行。超过使用时限后,由防火墙管理员通知用户并得到用户确认后,撤销此权限策略。防火墙管理员应明确告知用户应对由其所具有的防火墙端口权限对生产系统产生的影响负责。用户应保证开通的端口权限只用于生产业务数据传输,不可供生产业务以外的应用服务使用。
公司业务合作伙伴与公司进行通信需要在防火墙上开通访问权限时,应有公司相应业务部门工作人员来提出开通防火墙端口权限请求,并填写“网络服务访问申请表”。其余审批步骤与创建公司内部员工权限策略相同。
如因公司系统服务商与公司进行通信,需要在防火墙上开通端口权限时,应由防火墙管理员自行填写“网络服务访问申请/变更表”,经IT经理审批通过后方可创建相应权限策略。在系统服务商服务结束后,必须及时撤销防火墙相应策略。
防火墙管理员应根据最小授权原则,为来访客户IP地址统一在防火墙上配置相应权限策略,并禁止来访客户IP地址访问公司内部网络。 1.2.3 变更防火墙权限流程及变更策略
由于业务或技术变动需要变更公司与外部站点之间的通信方式时,涉及到防火墙相关权限策略的变动,应该由业务部门员工向防火墙管理员提交“网络服务访问申请/变更表”。经业务部门经理审批通过后防火墙管理员受理需求,分析变更实施过程和相关风险,提交IT经理审批。经IT经理审批通过后,防火墙管理员在防火墙上实施配置变更,撤销原有权限策略并创建新权限策略。
第5页/ 1.2.4 撤销防火墙权限策略
公司业务部门工作人员进行部门调动、离职时,需要撤销其原IP地址在防火墙上配置的相应的权限策略。员工所在业务部门通知IT经理,由IT经理指定防火墙管理员在防火墙上实施配置变更,撤销员工IP地址所具有的权限。
公司系统服务商的服务到期后,相关部门应通知IT经理,由IT经理指定防火墙管理员在防火墙上实施配置变更撤销系统服务商IP地址所具有的权限。 1.2.5 内审和复核
根据职责分离原则,防火墙管理员备份岗位工作人员每6个月应负责检查一次防火墙的设置是否符合防火墙配置规范,并填写检查记录。IT经理每6个月负责检查一次“防火墙的配置规范”是否符合公司安全策略要求,并填写检查记录。
1.3 账号和权限管理制度
1.3.1 网络设备账号权限审批制度 1.3.1.1 账号权限管理职责说明
账号权限的管理,包括用户账号的添加、修改和注销操作。涉及用户、业务部门接口人、网络管理员和IT经理四个角色。
用户包括公司业务部门工作人员、公司业务合作伙伴、公司外部系统服务商以及来访客户。
业务部门接口人负责本公司与业务合作伙伴之间的业务协调工作。
网络管理员负责受理解决用户提出的账号权限相关需求,按照最小授权原则,评估账号权限是否与业务需求相符,是否会对生产业务产生潜在风险。并将评估结果报告给IT经理。
IT经理负责审批用户账号、权限相关配置变更是否满足公司相应的安全策略,对网络管理员对配置变更的评估结果进行确认。
第6页/ 1.3.1.2 账号申请流程及创建规则
1. 公司业务部门工作人员因工作需要新建账号时,需填写“系统账号申请表”。经用户所在业务部门经理审批通过后,由网络管理员受理需求。网络管理员按照最小授权原则评估用户账号权限是否与业务处理需求相符,并将分析结果提交IT经理审批。经IT经理审批通过后,网络管理员为员工创建账号、授予权限并通知员工。如果,用户需要建立临时帐号,应在“系统账号申请表”备注中写明使用时限。其它步骤按照新创建账号的管理制度执行。超过使用时限后,由网络管理员通知用户后,将此账号注销。网络管理员应明确告知用户对其所分配的账号的行为负责。用户要妥善使用和保管好自己的账号和密码,不得将帐号提供给他人使用。 2. 公司业务合作伙伴需要创建账号时,可以向业务部门接口人提出请求。由业务部门接口人向网络管理员提出创建账号请求,并填写“系统账号申请表”。其余审批步骤与新建公司内部员工账号步骤相同。
3. 如因工作需要为公司系统服务商创建账号时,由网络管理员根据最小授权原则自行填写“系统账号申请表”,经IT经理审批通过方可后创建账号。待系统服务商服务到期结束后,必须及时给予注销。
4. 网络管理员为来访客户统一分配IP地址网段,并实施身份验证。只允许客户具有普通访问外网权限,并禁止客户账号访问公司内部网络系统。一旦客户离开则立即撤销其账号。
5. 网络管理员对用户账号授权时,应检查授予的访问等级是否适应业务访问控制策略,是否符合网络的信息安全策略。此外,网络管理员应对照网络设备相关定义,检查对账号的授权中是否有高权限。如有高权限,必须将此用户账号的操作纳入安全审计日志中。
6. 按照责任分离的原则,网络管理员为经过批准用户设立账号,一个账号对应唯一的用户。网络管理员在建立用户账号时,要在账号说明中详细标注用户名称、部门和账号所关联的业务等必要信息。
7. 对于默认系统账号、商业软件自建账号,在正式投产前应删除或禁用此类账号。网络管理员应严加控制。如根据具体运行环境情况,确实需要使用这些账号,应在投入生产前更改缺省账号密码。
第7页/ 1.3.1.3 账号权限变更
当遇到用户岗位变动或者业务变更,需要修改原有账号访问权限时。网络管理员应要求用户重新填写“系统账号申请表”,说明账号权限变更理由,提出账号权限变更请求。经用户所在部门经理审批通过后由网络管理员受理。网络管理员按照最小授权原则评估用户账号权限是否与业务处理需求相符,并将分析结果提交IT经理审批。经IT经理审批通过后,网络管理员修改用户账号权限并通知员工。 1.3.1.4 账号注销
1. 公司内部员工调动、离职或终止使用网络设备时,需要撤销其使用的账号。用户所在部门应按流程,通知IT经理,由IT经理指定网络管理员撤销员工所使用的账号。网络管理员在确认没有和此账号相关联的系统配置和数据(如使用此账号加密的数据)后,撤销用户账号的访问权限并注销用户账号。如果存在账号直接关联的系统配置或数据时,应首先解除此关联,再撤销用户账号的访问权限并注销用户账号。
2. 公司系统服务商服务到期后,相关部门应通知IT经理,由IT经理指定网络管理员在确定已经取消系统服务商账号与相关配置和数据的关联性后,撤销系统服务商账号。
3. 网络管理员至少每季度检查用户账号的使用情况,对于长时间(如3个月)无人使用的账号,经账号所属部门经理确认后及时给与注销。如账号所属部门要求保留账号,应提交保留申请和保留期限。账号所属部门不能将账号随便转给其他用户使用。对所保留的用户账号,设置该账号处于禁用状态,重新启用这些账号时,账号所属部门仍需向运行维护部门提出申请。经IT经理审批同意后,网络管理员方可激活此账号供用户使用。 1.3.1.5 账号权限复查
对于所有注册并使用公司网络设备的用户账号,网络管理员应保存正式记录和用户清单,建立相应的“账号权限矩阵表”,进行集中管理,并定期维护和更新。网络管理员应参照系统访问控制策略,和“账号权限矩阵表”,至少每半年复查用
第8页/ 户的访问权限。
对高权限账号的分配情况,网络管理员至少每半年核查一次,以便及时查处并清理未经授权的高权限账号。对此类高权限账号,网络管理员在确认不影响生产的前提下,应及时回收。事后通报相关用户和上级领导,并由该用户承担相应责任和处罚。对高权限用户账号的使用情况,网络管理员需要每月进行核对,查看其使用情况是否被完全登记,并对登记的内容进行检查。
1.3.1.6 账号密码管理
用户在登陆网络设备时,都要求输入其账号所对应的密码。网络管理员会在用户注册时,为其账号设置初始密码,并在首次启用时强制用户对密码进行更改。
网络设备账号密码应妥善使用和保管,并按照以下建议进行设置,以确保账号安全:
所有账号密码均应以密文形式存储在网络设备上。
普通用户密码长度不少于6个字符,高权限用户密码长度不少于8个字符。建议设置的密码采用字母与数字混合形式的字符串。
用户设置密码应保证自己容易记忆,但尽量不基于以下容易猜测的字符串,比如:个人姓名、部门名称、公司名称、电话号码、出生日期、连续数字、相同字符等。
用户尽量不使用私人用户密码。当需要访问多个网络设备或多重服务时,建议用户使用单一的密码。
用户应定期重置密码,以确保账号安全。普通用户密码至少每季度重置一次,高权限用户密码至少每月重置一次。重置密码时,用户应不重复或者循环使用旧的密码,其中高权限用户密码至少6次之内不重复使用。
用户不应把密码包含在任何自动登录程序之中,例如:把密码存在宏代码或者功能键上;
用户忘记密码时,可向网络管理员提出重置密码请求,经用户所在部门领导批准后,在网络管理员帮助和指导下重新设置密码。遇有系统或者密码可能被侵害的迹象时,用户应及时报告网络管理员,并立即重置密码。
根据职责分离原则,网络设备高权限账号密码应由网络设备以外岗位的工程师
第9页/ 进行管理。
网络管理员应每季度定期检查用户密码是否按以上规定设置,对不符合要求的应及时通知用户整改。对用户拒不改正的,网络管理员应强制停用该账号,以确保网络设备的安全。
1.3.1.7 账号权限的内部控制与审计
为确保用户管理和密码管理的有效性,运行维护部门应对从事该项工作的网络管理员有控制措施。必要时可以根据职责分离原则设置双向监督岗位。同时,要对网络管理员和用户进行必要的安全意识教育。
网络管理员要遵守中心保密制度,确保职业操守,保证用户信息的安全。工作中要按照审批流程严格执行,并对所有操作保留记录,以备核查。
运行维护部门每年组织内部审计,以确保该项工作的有效性。内部审计人员一般由业务管理部门和运行维护部门的工作人员组成。根据职责分离原则,网络管理员不在审计人员行列之内。内部审计的内容主要以“账号权限管理内部审计表”中所作的强制性要求为准,建议性要求不在审计范围之列。内部审计后,审计人员要认真填写“账号权限管理内部审计表”,并对审计结果签署意见,必要时要有相应的说明。该审计结果要及时反馈给相应部门和人员,并最后由运行维护部门负责存档。
1.3.2 主机账号管理制度 1.3.2.1 主机账号管理细则
1、主机账号分类
1. 主机账号依其重要程度分为重要账号和普通账号。
重要账号包括:
a) 具有集团各业务系统及相关设备的完全或部分管理权限的账号为重要账号。
b) 具有修改集团业务数据权限的账号为重要账号。 c) 具有读取涉及集团秘密业务数据权限的账号为重要账号。
第10页/ d) 其它管理制度规定为重要账号者。 其他主机账号均归为普通账号。
2. 账号依其生存周期分为永久账号和临时账号,临时账号应严格按照其生存周期进行管理,到期注销。
2、账号注册与维护
1. 使用唯一的用户ID,保护用户的操作行为与用户本人身份唯一对应,便于对用户行为的审计以及追溯。
2. 检查系统所赋予用户的访问权限是否与业务目标匹配,防止出现过度授权现象。 3. 应维护一份完整的主机账户权限列表,并做到及时更新。
3、口令生成及保存
1. 账号分配时必须同时生成相应的口令,并且与账号一起传送给用户,不得创建没有口令的账号;
2. 管理员在传递账号和口令时,应当采取安全的传输途径,以保证不会被中途截取;
3. 用户在接受到账号和口令后,应在第一次登录账号时修改口令;
4. 对于以口令作为唯一验证证据的账号,如果账号的用户名由确定且公开的规则产生,则口令不应当为公开的口令;
5. 不得将账号口令明文存储在计算机上或写在记事本上;
6. 为满足应急响应需求,应将重要账号的口令密封保存在安全场所,并随口令的更改及时更换口令信封。口令信封一旦打开,必须立即登录其中涉及的所有账号并更改所有口令;
7. 如发现口令有泄露迹象,应立刻报告主管领导并进行记录,以便及时处理。
4、口令设立原则
1. 账号的口令必须是具有足够的长度和复杂度,使口令难于被猜测; 2. 账号的口令在必要时间或次数(最少5次)内不得循环使用;
3. 账号曾用的各个口令之间应当是没有直接联系的,以保证不能从以前的口令推知现在的口令;
4. 账号的前后两个口令之间的相同部分应当尽量减少,减低由前一个口令分析出后一个口令的机会;
第11页/ 5. 账号的口令不应当取有意义的词语或其他符号,如使用者的姓名,生日或其它易于猜测的信息。
6. 口令最低标准:普通账号口令长度不得低于6位,口令字符中须包含字母、数字、特殊字符中的至少两类;重要账号口令长度不得低于8位,口令中必须包含大、小写字母、数字和特殊字符,且不得为有意义的单词或短语。
5、账号的取消
1. 用户如果因职责变动而离岗,不再需要系统权限且无须将账号移交给其他责任人,其原岗位主管应当申请销户,由管理员取消该账号的所有权限; 2. 账号取消的同时,应该将账号对应的应用系统和服务的权限同时注销,保证该账号对应用系统的访问企图失效。
3. 用户离职后,管理员应当关闭用户账号在系统中的所有权限。
6、口令使用和管理原则
1. 重要账号口令应在90天内至少更换一次,一般账号口令至少在半年内更换一次;对重要设备和系统建议采用一次性口令方式进行认证。
2. 重要口令连续多次尝试登录失败后应暂停该账号登录(可以根据实际情况设置尝试次数,一般为5次)。
3. 系统管理员修改账号口令时,应提前(或同时)通知账号使用人,以免影响其正常使用。
4. 各级口令保管落实到人,口令所有人须妥善保存,各级口令不得以任何形式明文存放于可公共访问的设备中。
5. 出现以下任何一种情况时,相关口令必须立即更改并做好记录:
1) 掌握口令的管理员离开岗位;
2) 因工作需要,由管理员以外人员使用账号及口令登录操作后; 3) 有迹象表明口令可能被泄露。
7、管理员的责任与义务
1. 确保除匿名账号外,系统中所有用户都必须有口令; 2. 确保系统和网络设备上没有使用默认口令的账号; 3. 确保重要账号的口令具有足够强度; 4. 定期审计,检查系统用户的数量和权限;
第12页/ 5. 为用户普及口令安全知识;
6. 建议同一个管理员在不同主机上使用不同的账号口令。 1.3.2.2 主机账号申请流程
1. 业务部门提出申请,填写《主机账号申请单》。申请单应填写申请部门、申请人、申请日期、申请原因说明等信息。
2. 《主机账号申请单》应先由所在业务部门领导审核签字,然后交由技术管理部门领导审核签字,再交由信息中心领导审核签字。
3. 所有审核都通过后,由运行维护部门负责对申请的主机账号进行开通执行,并将执行的情况填入《主机账号申请单》。
4. 打印版的《主机账号申请单》由运行维护部门存档并长期保管。 1.3.2.3 主机账号取消流程
1. 业务部门提出申请,填写《取消主机账号申请单》。申请单应填写申请部门、申请人、申请日期、申请原因说明等信息。
2. 《取消主机账号申请单》应先由所在业务部门领导审核签字,然后交由技术管理部门领导审核签字,再交由信息中心领导审核签字。
3. 所有审核都通过后,由运行维护部门负责对申请的主机账号进行开通执行,并将执行的情况填入《取消主机账号申请单》。
4. 打印版的《取消主机账号申请单》由运行维护部门存档并长期保管。 1.3.3 数据库账号及权限管理制度 1.3.3.1 数据库账号管理细则
1、数据库账号分类
数据库账号依其用途分为四类:
1. 安装数据库时自动创建的账号为系统账号,其中具备数据库管理权限的为系统超级账号,如Oracle数据库中的sys、system。
2. 安装数据库时自动创建的账号为系统账号,其中不具备数据库管理权限的账号
第13页/ 为系统普通账号,如Oracle数据库中的scott等。 3. 为满足业务系统运行需要而创建的账号为业务账号。 4. 为个人维护数据需要而创建的账号为个人账号。
2、账号创建及维护
1. 数据库环境搭建完成后,创建任何新的数据库账号都必须经过正式的审批流程。 2. 创建新的数据库账号时,必须明确每个数据库账号的责任人,便于对用户行为的审计以及追溯。
3. 创建新的数据库账号时,必须检查数据库账号所赋予的权限是否与业务目标匹配,防止出现过度授权现象。
4. 应维护完整的数据库账户列表及数据库权限列表各一份,并做到及时更新。
3、口令生成及保存
1. 数据库账号分配时必须同时生成相应的口令,并且与账号一起传送给用户,不得创建没有口令的账号;
2. 管理员在传递数据库账号和口令时,应当采取安全的传输途径,以保证不会被中途截取;
3. 不得将账号口令明文存储在计算机上或写在记事本上;
4. 为满足应急响应需求,应将数据库账号的口令密封保存在安全场所,并随口令的更改及时更换口令信封。口令信封一旦打开,必须立即登录其中涉及的所有账号并更改所有口令;
5. 如发现口令有泄露迹象,应立刻报告主管领导并进行记录,以便及时处理。
4、口令设立原则
1. 数据库账号的口令必须是具有足够的长度和复杂度,使口令难于被猜测; 2. 数据库账号的口令在必要时间或次数(最少5次)内不得循环使用; 3. 数据库账号曾用的各个口令之间应当是没有直接联系的,以保证不能从以前的口令推知现在的口令;
4. 数据库账号的前后两个口令之间的相同部分应当尽量减少,减低由前一个口令分析出后一个口令的机会;
5. 数据库账号的口令不应当取有意义的词语或其他符号,如使用者的姓名,生日或其它易于猜测的信息。
第14页/ 6. 口令最低标准:业务账号和个人账号口令长度不得低于6位,口令字符中须包含字母、数字、特殊字符中的至少两类;系统超级账号口令长度不得低于8位,口令中必须包含大、小写字母、数字和特殊字符,且不得为有意义的单词或短语。
5、账号的取消
1. 业务账号的取消需要经过正式的审批流程。
2. 个人用户如果因职责变动而离岗,不再需要数据库权限且无须将个人账号移交给其他责任人,其原岗位主管应当申请销户,由数据库管理员取消该个人账号的所有权限;
3. 个人用户离职后,数据库管理员应当删除该个人用户的数据库账号。
6、口令使用和管理原则
1. 系统超级账号口令应在90天内至少更换一次,业务账号口令和个人账号口令至少在一年内更换一次;
2. 业务账号和个人账号的口令连续多次尝试登录失败后应暂停该账号登录(可以根据实际情况设置尝试次数,一般为5次)。
3. 数据库管理员修改账号口令时,应提前(或同时)通知账号使用人,以免影响其正常使用。
4. 各级口令保管落实到人,口令所有人须妥善保存,各级口令不得以任何形式明文存放于可公共访问的设备中。
5. 以下情况时相关口令必须立即更改并做好记录:
1) 掌握口令的管理员离开岗位;
2) 因工作需要,由管理员以外人员使用账号及口令登录操作后; 3) 有迹象表明口令可能被泄露。
1.3.3.2 数据库账号申请流程
4. 业务部门提出申请,填写《数据库账号申请单》。申请单应填写申请部门、申请人、申请日期、申请原因说明等信息。
5. 《数据库账号申请单》应先由所在业务部门领导审核签字,然后交由技术管理部门领导审核签字,再交由信息中心领导审核签字。
6. 所有审核都通过后,由运行维护部门负责对申请的数据库账号进行开通执行,
第15页/ 并将执行的情况填入《数据库账号申请单》。
7. 打印版的《数据库账号申请单》由运行维护部门存档并长期保管。 1.3.3.3 数据库权限管理细则
1、数据库权限分类
数据库权限依其范围分为两类:
1. 系统权限:给用户授予系统权限,使用户可以再数据库中进行特定的活动,或者在某个特定类型的模式对象上完成某项操作。
2. 对象权限:各种类型的数据库对象上的权限,它允许用户在指定的表、视图、实体化视图、序列、函数或程序包上执行操作。
2、数据库授权规定
1. 任何授权都必须填写《数据库权限申请单》,经过正式的审批流程。 2. 数据库管理员需记录授权的执行情况。 3. 数据库管理员应根据最小权限原则授权。
4. 数据库管理员应定期检查数据库账号所赋予的权限是否与业务目标匹配,防止出现过度授权现象。
3、数据库权限回收规定
1. 过期权限应及时回收。
2. 数据库管理员需记录权限回收的执行情况。 1.3.3.4 数据库权限申请流程
1. 业务部门提出申请,填写《数据库权限申请单》。申请单应填写申请部门、申请人、权限有效期、申请日期、申请原因说明等信息。
2. 《数据库权限申请单》应先由所在业务部门领导审核签字,然后交由技术管理部门领导审核签字,再交由信息中心领导审核签字。
3. 所有审核都通过后,由运行维护部门负责对申请的数据库账号进行授权,并将执行的情况填入《数据库权限申请单》。
4. 打印版的《数据库权限申请单》由运行维护部门存档并长期保管。
第16页/