IT運(yùn)維管理制度

日常/r/nIT/r/n運(yùn)維管理制度/r/n為完成運(yùn)維任務(wù)必須建立相應(yīng)的技術(shù)支持管理制度，使維護(hù)工作做到有章可循，有據(jù)可查。同時(shí)對(duì)制定的各個(gè)制度的執(zhí)行情況進(jìn)行質(zhì)量考核，對(duì)運(yùn)維團(tuán)隊(duì)的工作績(jī)效進(jìn)行評(píng)估，促進(jìn)制度更好落實(shí)，確保高質(zhì)量地完成各項(xiàng)維護(hù)支持任務(wù)。/r/n1.0/r/n運(yùn)維管理制度總則/r/n1.0.1/r/n運(yùn)維保障機(jī)制/r/n（/r/n1/r/n）/r/n建立硬件、網(wǎng)絡(luò)、系統(tǒng)，應(yīng)用及業(yè)務(wù)軟件日常維護(hù)流程機(jī)制；/r/n（/r/n2/r/n）/r/n建立故障應(yīng)急處理流程機(jī)制；/r/n（/r/n3/r/n）/r/n建立備份恢復(fù)保障機(jī)制；/r/n（/r/n4/r/n）/r/n建立安全保障管理機(jī)制；/r/n（/r/n5/r/n）/r/n建立版本管理機(jī)制，管理平臺(tái)生產(chǎn)環(huán)境運(yùn)行的軟件版本；/r/n以上機(jī)制應(yīng)形成文檔，作為日常遵循規(guī)范．按要求執(zhí)行。/r/n1.0.2/r/n硬件維護(hù)能力/r/n需對(duì)硬件設(shè)備具備/r/n7*24/r/n小時(shí)不間斷的支持、響應(yīng)能力，原則上每/r/n日對(duì)硬件設(shè)備至少檢查一次并記錄；定期對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行檢查。/r/n對(duì)服/r/n務(wù)器進(jìn)行硬件檢測(cè)，內(nèi)存、硬盤、/r/nI/O/r/n的使用情況進(jìn)行查詢并進(jìn)行登/r/n記，每臺(tái)服務(wù)器運(yùn)行的軟件對(duì)硬件性能使用情況檢測(cè)，對(duì)于服務(wù)器我/r/n們進(jìn)行系統(tǒng)備份，每日對(duì)網(wǎng)絡(luò)使用情況進(jìn)行觀察，/r/n針對(duì)突發(fā)異常流量/r/n進(jìn)行分析。/r/n1.0.3/r/n故障處理響應(yīng)及需求/r/n設(shè)備（系統(tǒng)）出現(xiàn)故障時(shí)，根據(jù)不同的故障級(jí)別提供相應(yīng)的服務(wù)/r/n響應(yīng)，響應(yīng)方式及要求如下：/r/n故障級(jí)別/r/n故障內(nèi)容/r/n響應(yīng)時(shí)間及效其彳/r/n果/r/n也/r/nI/r/n級(jí)別/r/n一般故障/r/n出現(xiàn)系統(tǒng)故障，不影響系統(tǒng)運(yùn)行，不影響業(yè)務(wù)正常運(yùn)作/r/n工程師及時(shí)響應(yīng)處理，/r/n24/r/n小時(shí)/r/n內(nèi)解決。/r/n對(duì)于硬件故障/r/n（含機(jī)房環(huán)境章），要求不、時(shí)論在何時(shí)確診需要進(jìn)行備件更換，發(fā)出備件更換指令起/r/n3/r/n小時(shí)內(nèi)備件到達(dá)章現(xiàn)場(chǎng)，并恢、時(shí)復(fù)系統(tǒng)正常運(yùn)行。/r/nII/r/n級(jí)別/r/n次要故障/r/n出現(xiàn)系統(tǒng)故障，/r/n影響系統(tǒng)運(yùn)行或影響非關(guān)鍵業(yè)務(wù)運(yùn)作，不影響核心業(yè)務(wù)運(yùn)作/r/n工程師及時(shí)響故/r/n1/r/n應(yīng)處理，/r/n8/r/n小/r/n內(nèi)解決/r/nIII/r/n級(jí)別/r/n重大故障/r/n出現(xiàn)系統(tǒng)故障，/r/n系統(tǒng)崩潰或其/r/n他狀況，影響核/r/n工程師及時(shí)響故/r/n1/r/n應(yīng)處理，/r/n2/r/n小/r/n內(nèi)解決/r/n心業(yè)務(wù)的正常/r/n運(yùn)行/r/n1.0.4/r/n具備應(yīng)急預(yù)案/r/n針對(duì)部署并進(jìn)行實(shí)施系統(tǒng)備份、軟件重要數(shù)據(jù)實(shí)時(shí)備份，主機(jī)備/r/n份是提供的保留某個(gè)時(shí)間點(diǎn)上的主機(jī)系統(tǒng)數(shù)據(jù)狀態(tài)的服務(wù)?；谥鳈C(jī)備份可以隨時(shí)生成或刪除備份，并基于已備份進(jìn)行主機(jī)的恢復(fù)，/r/n實(shí)現(xiàn)/r/n已有應(yīng)用和主機(jī)數(shù)據(jù)的快速?gòu)?fù)用，如系統(tǒng)出現(xiàn)事故無法使用將進(jìn)行系統(tǒng)恢復(fù)并把最近一次備份的數(shù)據(jù)進(jìn)行恢復(fù)。對(duì)于突發(fā)情況建立應(yīng)急服務(wù)流程，主要是針對(duì)可能發(fā)生的各種意外情況設(shè)計(jì)應(yīng)急方案。/r/n以控制/r/n和規(guī)避突發(fā)事件帶來的集中性風(fēng)險(xiǎn)，/r/n從而降低設(shè)備集中性風(fēng)險(xiǎn)所造成/r/n的損失。/r/n1.0.5/r/n數(shù)據(jù)庫(kù)維護(hù)能力/r/n每日對(duì)數(shù)據(jù)庫(kù)進(jìn)行日常巡檢，內(nèi)容包括對(duì)日志、會(huì)話數(shù)、表空間、磁盤空間等主要數(shù)據(jù)庫(kù)參數(shù)進(jìn)行檢查（需要配置監(jiān)控軟件）；對(duì)數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)備份、歸檔日志整理、表空間維護(hù)、權(quán)限分配、異常問題處理；對(duì)數(shù)據(jù)庫(kù)相關(guān)工作進(jìn)行維護(hù)；定期對(duì)數(shù)據(jù)庫(kù)進(jìn)行重啟，以釋放資源；制/r/n定數(shù)據(jù)備份方案及數(shù)據(jù)恢復(fù)演練方案，定期進(jìn)行數(shù)據(jù)恢復(fù)演練。/r/n1.0.6/r/n中間件維護(hù)能力/r/n對(duì)中間件進(jìn)行運(yùn)行狀況檢查；每日對(duì)核心中間件和應(yīng)用日志進(jìn)行檢查。定期對(duì)中間件性能進(jìn)行檢測(cè)，必要時(shí)進(jìn)行優(yōu)化處理。/r/n1.0.7/r/n安全要求/r/n需要按照信息系統(tǒng)等級(jí)保護(hù)的要求對(duì)系統(tǒng)進(jìn)行維護(hù)，包括但不僅限于：/r/n（/r/n1/r/n）定期對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估工作，/r/n包括對(duì)網(wǎng)站及應(yīng)用接口進(jìn)行/r/n外網(wǎng)滲透測(cè)試、對(duì)內(nèi)部主機(jī)進(jìn)行漏洞掃描，并完成加固工作；/r/n（/r/n2/r/n）對(duì)網(wǎng)站進(jìn)行/r/n7*24/r/n小時(shí)安全監(jiān)測(cè)，發(fā)現(xiàn)問題及時(shí)記錄并處理；/r/n（/r/n3/r/n）需每周至少一日對(duì)信息系統(tǒng)進(jìn)行安全巡檢。/r/n包括對(duì)網(wǎng)絡(luò)安全/r/n設(shè)備的巡檢、配置優(yōu)化，對(duì)信息系統(tǒng)內(nèi)的各類狀態(tài)進(jìn)行判斷，定期升級(jí)規(guī)則庫(kù)和系統(tǒng)版本。/r/n1.0.8/r/n運(yùn)維服務(wù)方式/r/n為了保證項(xiàng)目所有軟硬件設(shè)備的正常運(yùn)行，我方提供了靈活的服務(wù)方式，可以充分滿足項(xiàng)目的需求，服務(wù)方式有以下幾種：/r/n服務(wù)臺(tái)——提供技術(shù)咨詢、服務(wù)請(qǐng)求受理、任務(wù)分派、意見受理客戶、服務(wù)專員快速通道、服務(wù)查詢等服務(wù)。/r/n遠(yuǎn)程支持服務(wù)——為終端用戶提供遠(yuǎn)程技術(shù)維護(hù)服務(wù)。/r/n現(xiàn)場(chǎng)服務(wù)——為遠(yuǎn)程未能解決的問題提供技術(shù)支持、現(xiàn)場(chǎng)維護(hù)服/r/n務(wù)。/r/n1.0.9/r/n運(yùn)維人員管理/r/n（/r/n1/r/n）人員儲(chǔ)備建立與運(yùn)行維護(hù)服務(wù)相關(guān)的人員儲(chǔ)備計(jì)劃和機(jī)制，確保有足夠的人員，以滿足與需方約定的當(dāng)前和未來的運(yùn)行維護(hù)服務(wù)需求。/r/n（/r/n2/r/n）人員培訓(xùn)/r/n建立與遠(yuǎn)行維護(hù)服務(wù)相關(guān)的培訓(xùn)體系或機(jī)制，在制定培訓(xùn)計(jì)劃時(shí)/r/n識(shí)別培訓(xùn)要求，并提供及時(shí)和有效的培訓(xùn)。/r/n（/r/n3/r/n）績(jī)效考核建立與運(yùn)行維護(hù)服務(wù)相關(guān)的績(jī)效考核體系或機(jī)制，并能夠有效組織實(shí)施。/r/n1.0.10/r/n崗位結(jié)構(gòu)/r/n有專職團(tuán)隊(duì)負(fù)責(zé)運(yùn)行維護(hù)服務(wù)的工作，對(duì)運(yùn)行維護(hù)服務(wù)中的不同角色有明確分工和職責(zé)定義，為了保障運(yùn)行維護(hù)服務(wù)交付的順利實(shí)施/r/n需方也應(yīng)提供必要的接口。一個(gè)完整的運(yùn)行維護(hù)服務(wù)團(tuán)隊(duì)?wèi)?yīng)包括管理、/r/n技術(shù)支持、操作等主要崗位：/r/n（/r/n1/r/n）管理崗職責(zé)：/r/na/r/n）在運(yùn)行維護(hù)服務(wù)中負(fù)責(zé)管理運(yùn)行維護(hù)服務(wù)；/r/nb/r/n）與需方建立順暢的溝通渠道，/r/n準(zhǔn)確地將需方的需求傳遞到運(yùn)行/r/n維護(hù)服務(wù)團(tuán)隊(duì)；/r/nc/r/n）/r/n規(guī)劃、檢查運(yùn)行維護(hù)服務(wù)的各個(gè)過程，對(duì)運(yùn)行維護(hù)服務(wù)能力的/r/n策劃、實(shí)施、檢查、改進(jìn)的范圍、過程、信息安全和成果負(fù)責(zé)。/r/n（/r/n2/r/n）技術(shù)支持崗職責(zé)：/r/na/r/n）在運(yùn)行維護(hù)服務(wù)中負(fù)責(zé)技術(shù)支持，包括網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)/r/n庫(kù)、中間件、應(yīng)用開發(fā)、硬件、集成、信息安全等；/r/nb/r/n）對(duì)運(yùn)行維護(hù)服務(wù)過程中的請(qǐng)求、事件和問題做出響應(yīng)，保障信息安全并對(duì)處理結(jié)果負(fù)責(zé)。/r/n（/r/n3/r/n）操作崗職責(zé)：/r/na/r/n）在運(yùn)行維護(hù)服務(wù)中負(fù)責(zé)日常操作的實(shí)施；/r/nb/r/n）根據(jù)規(guī)范和手冊(cè)，執(zhí)行運(yùn)行維護(hù)服務(wù)各過程，并對(duì)其執(zhí)行結(jié)果負(fù)責(zé)。/r/n1.0.11/r/n整理知識(shí)庫(kù)/r/n具備運(yùn)行維護(hù)服務(wù)活動(dòng)相關(guān)的知識(shí)積累，以保證在整個(gè)組織內(nèi)收集、共享、重復(fù)使用所積累的知識(shí)和信息，包括：/r/n（/r/n1/r/n）/r/n針對(duì)常見問題的描述、分析和解決方法建立知識(shí)庫(kù)；/r/n（/r/n2/r/n）/r/n確保整個(gè)組織內(nèi)的知識(shí)是可用的、可共享的；/r/n（/r/n3/r/n）/r/n選擇一種合適的知識(shí)管理策略；/r/n（/r/n4/r/n）/r/n知識(shí)庫(kù)具備知識(shí)的添加、更新和查詢功能；/r/n（/r/n5/r/n）/r/n針對(duì)知識(shí)管理要求制定相關(guān)管理制度，/r/n并進(jìn)行知識(shí)生命周期/r/n管理。/r/n1.1/r/n機(jī)房運(yùn)維管理制度/r/n1.1.1/r/n數(shù)據(jù)中心環(huán)境安全管理/r/n數(shù)據(jù)中心進(jìn)出安全管理的重點(diǎn)在于對(duì)不同的訪問區(qū)域制定不同的安全管控和出入原則。將數(shù)據(jù)中心劃分/r/n3/r/n類不同類別的管控區(qū)域和安/r/n全區(qū)域。公共區(qū)域、辦公區(qū)域、機(jī)房區(qū)域。/r/n1/r/n．公共區(qū)域：這些區(qū)域通常用于數(shù)據(jù)中心生活與展示的配套區(qū)域。/r/n

/r/n該區(qū)域經(jīng)授權(quán)并在遵守相關(guān)制度的前提下來訪者可自由進(jìn)出。/r/n2/r/n．辦公區(qū)域：數(shù)據(jù)中心日常工作區(qū)域。這類區(qū)域的進(jìn)入通常為數(shù)據(jù)中心內(nèi)部員工及運(yùn)維人員，需經(jīng)授權(quán)訪問。/r/n3/r/n．機(jī)房區(qū)域：機(jī)房區(qū)域是數(shù)據(jù)中心的核心區(qū)域。該區(qū)域應(yīng)有嚴(yán)格的進(jìn)出管控，外來人員進(jìn)出需提前提出申請(qǐng)，來訪者進(jìn)出機(jī)房區(qū)域需經(jīng)授權(quán)，進(jìn)出需登記。/r/n除了數(shù)據(jù)中心人員進(jìn)出管理外，還應(yīng)考慮設(shè)備和物品進(jìn)出的流程。設(shè)備和物品的進(jìn)出也應(yīng)得到正式的審批，特別是對(duì)于機(jī)房區(qū)域的設(shè)備應(yīng)重點(diǎn)管控。應(yīng)通過機(jī)房人員/r/n//r/n設(shè)備登記表詳細(xì)記錄。設(shè)備出門需開具出門憑據(jù)等。/r/n1.1.2/r/n機(jī)房安全管理制度/r/n1/r/n．機(jī)房應(yīng)防塵、防靜電，保持清潔、整齊，設(shè)備無塵、排列正規(guī)工具就位、資料齊全。/r/n2/r/n．機(jī)房門內(nèi)外、通道、設(shè)備前后和窗口附近，均不得堆放物品和/r/n雜物，做到無垃圾、無污水，以免妨礙通行和工作。/r/n3/r/n．嚴(yán)格遵照《消防管理制度》規(guī)定，機(jī)房?jī)?nèi)嚴(yán)禁煙火，嚴(yán)禁存放和使用易燃易爆物品，嚴(yán)禁使用大功率電器、嚴(yán)禁從事危險(xiǎn)性高的工作。如需施工，必須取得領(lǐng)導(dǎo)、消防、安保等相關(guān)部門的許可方可施工。/r/n4/r/n．外來人員進(jìn)入機(jī)房應(yīng)嚴(yán)格遵照機(jī)房進(jìn)出管理制度規(guī)定，/r/n填寫人/r/n員進(jìn)出機(jī)房登記表，在相關(guān)部門及領(lǐng)導(dǎo)核準(zhǔn)后，在值班人員陪同下進(jìn)出，機(jī)房進(jìn)出應(yīng)換穿拖鞋或鞋套。/r/n5/r/n．進(jìn)入機(jī)房人員服裝必須整潔，保持機(jī)房設(shè)備和環(huán)境清潔。外來人員不得隨意進(jìn)行拍照，嚴(yán)禁將水及食物帶入機(jī)房。/r/n6/r/n．進(jìn)入機(jī)房人員只能在授權(quán)區(qū)域與其工作內(nèi)容相關(guān)的設(shè)備上工作，不得隨意進(jìn)入和觸動(dòng)未經(jīng)授權(quán)以外的區(qū)域及設(shè)備。/r/n7/r/n．任何設(shè)備出入機(jī)房，經(jīng)辦人必須填寫設(shè)備出入機(jī)房登記表，經(jīng)相關(guān)部門及領(lǐng)導(dǎo)批準(zhǔn)后方可進(jìn)入或搬出。/r/n1.1.3/r/n服務(wù)人員安全及保密管理制度/r/n1/r/n．維護(hù)工程師必須熟悉并嚴(yán)格執(zhí)行安全保密準(zhǔn)則。/r/n2/r/n．外部人員因公需進(jìn)入機(jī)房，應(yīng)經(jīng)上級(jí)批準(zhǔn)并指定專人帶領(lǐng)方可入內(nèi)。/r/n3/r/n．有關(guān)通信設(shè)備、網(wǎng)絡(luò)組織電路開放等資料不得任意抄錄、復(fù)制，防止失密。需要監(jiān)聽電路時(shí)，應(yīng)按保密規(guī)則進(jìn)行。/r/n4/r/n．機(jī)房?jī)?nèi)消防器材應(yīng)定期檢查，/r/n每個(gè)維護(hù)人員應(yīng)熟悉一般消防和/r/n安全操作方法。/r/n5/r/n．機(jī)房?jī)?nèi)嚴(yán)禁吸煙和存放、使用易燃、易爆物品。/r/n6/r/n．搞好安全保密教育，建立定期檢查制度，加強(qiáng)節(jié)假日的安全保密工作。/r/n7/r/n．未經(jīng)有關(guān)領(lǐng)導(dǎo)批準(zhǔn)，非機(jī)房管理人員嚴(yán)禁入機(jī)房。/r/n8/r/n．機(jī)房?jī)?nèi)嚴(yán)禁煙火，不準(zhǔn)存放易燃易爆物品。/r/n9./r/n注重電氣安全，嚴(yán)禁違章使用電器設(shè)備，不準(zhǔn)超負(fù)荷使用電器。/r/n10/r/n．按規(guī)定配備消防器材，并定期更新。/r/n11/r/n．定期檢查接地設(shè)施、配電設(shè)備、避雷裝置，防止雷擊、觸電事故發(fā)生。/r/n12/r/n．發(fā)現(xiàn)事故苗頭，應(yīng)盡快采取有效措施，并及時(shí)報(bào)告領(lǐng)導(dǎo)。/r/n13/r/n．進(jìn)行維修時(shí)，嚴(yán)格按照程序進(jìn)行，杜絕人為事故發(fā)生。/r/n14/r/n．嚴(yán)禁違規(guī)接入大功率無線發(fā)射設(shè)備。/r/n1.1.4/r/n網(wǎng)絡(luò)安全管理制度/r/n1/r/n．運(yùn)行維護(hù)部門必須制定相應(yīng)的體系確保網(wǎng)絡(luò)安全，/r/n維護(hù)人員必/r/n須確立網(wǎng)絡(luò)安全第一的意識(shí)。/r/n2/r/n．在網(wǎng)絡(luò)建設(shè)期必須考慮工程和現(xiàn)網(wǎng)的關(guān)系，/r/n加強(qiáng)施工安全管理/r/n和網(wǎng)絡(luò)割接準(zhǔn)備工作，確?，F(xiàn)網(wǎng)的安全，嚴(yán)禁人為事故發(fā)生。/r/n3/r/n．網(wǎng)絡(luò)運(yùn)行維護(hù)期應(yīng)確保維護(hù)工作、設(shè)備運(yùn)行、系統(tǒng)數(shù)據(jù)的安全。/r/n4/r/n．客戶數(shù)據(jù)的制作以及對(duì)設(shè)備的指令操作要嚴(yán)格按照客戶數(shù)據(jù)制/r/n作規(guī)范和設(shè)備技術(shù)手冊(cè)的要求根據(jù)工單執(zhí)行；對(duì)設(shè)備的所有操作要有詳細(xì)記錄，操作時(shí)要一人操作一人核對(duì)，準(zhǔn)確無誤方可執(zhí)行，操作人員要在工單上簽字確認(rèn)。/r/n5/r/n．網(wǎng)絡(luò)運(yùn)行維護(hù)期的安全可以通過三種控制方法保證，/r/n操作控制/r/n包括對(duì)操作流程、客戶分級(jí)，權(quán)限分級(jí)、操作記錄、遠(yuǎn)程管埋、密碼管理、防火墻技術(shù)、數(shù)據(jù)備份的安全保證；運(yùn)行控制包括對(duì)告警處理、測(cè)試、性能分析、應(yīng)急預(yù)案的安全保證；操作設(shè)備控制包括防病毒，殺毒軟件、非生產(chǎn)應(yīng)用軟件的安全控制。/r/n6/r/n．未經(jīng)許可，嚴(yán)禁設(shè)備廠商通過遠(yuǎn)程控制技術(shù)對(duì)設(shè)備進(jìn)行修改維護(hù)，運(yùn)行維護(hù)部門應(yīng)有可靠的防范措施。/r/n7/r/n．為保證遠(yuǎn)程技術(shù)支持的可靠性，需定期對(duì)遠(yuǎn)程維護(hù)設(shè)備、端口進(jìn)行檢查，在確保安全保密的同時(shí)確保其可用性。/r/n8/r/n．磁盤、磁帶等必須進(jìn)行檢查確認(rèn)無病毒后，方可使用。/r/n9/r/n．為保證網(wǎng)絡(luò)安全，遠(yuǎn)程維護(hù)設(shè)備在一般情況下要處于關(guān)閉狀態(tài)，只有在需要的時(shí)候才開通使用。/r/n1.1.5/r/n數(shù)據(jù)中心值班制度/r/n1/r/n．值班人員應(yīng)嚴(yán)守崗位，按照規(guī)定時(shí)間上下班，無法按時(shí)到崗應(yīng)提前向上級(jí)領(lǐng)導(dǎo)匯報(bào)，由上級(jí)領(lǐng)導(dǎo)負(fù)責(zé)調(diào)換班。/r/n2/r/n．值班時(shí)間要盡職盡貴，禁止從事與值班無關(guān)的事情。/r/n3/r/n．參照《機(jī)房日常監(jiān)控及巡檢內(nèi)容》按時(shí)巡檢機(jī)房環(huán)境設(shè)施，密切注意電源、溫度、濕度等機(jī)房環(huán)境情況；隨時(shí)監(jiān)控/r/nIT/r/n系統(tǒng)、網(wǎng)絡(luò)/r/n工作狀態(tài)，詳細(xì)記錄異常情況。/r/n4/r/n．發(fā)生任何異常情況時(shí)，應(yīng)嚴(yán)格執(zhí)行故障應(yīng)急處理流程及時(shí)處理，/r/n并向上級(jí)領(lǐng)導(dǎo)及相關(guān)部門及時(shí)報(bào)告，做好一線技術(shù)支持工作。/r/n5/r/n．對(duì)業(yè)務(wù)部門提出的服務(wù)請(qǐng)求，要快速、準(zhǔn)確、耐心地做出解答。并做好事件的記錄、跟蹤及回饋的服務(wù)臺(tái)支持工作。/r/n6/r/n．隨時(shí)監(jiān)督機(jī)房環(huán)境衛(wèi)生和無關(guān)的物品帶入，/r/n妥善管理設(shè)備工具。/r/n7/r/n．遵照機(jī)房安全管理制度規(guī)定，/r/n制止任何違規(guī)進(jìn)入機(jī)房人員及其/r/n他不當(dāng)行為。/r/n8/r/n．監(jiān)督維保廠家對(duì)機(jī)器設(shè)備進(jìn)行定期巡檢和維護(hù)，/r/n對(duì)巡檢單據(jù)簽/r/n字確認(rèn)，留檔備案。/r/n9/r/n．遵照《人員/r/n//r/n設(shè)備進(jìn)出機(jī)房登記表》做好值班期間的人員、設(shè)備進(jìn)出記錄。/r/n1.2/r/n網(wǎng)絡(luò)安全管理制/r/n1.2.1/r/n防火墻安全管理職責(zé)說明/r/n防火墻的邏輯管理，涉及用戶、防火墻管理員、/r/nIT/r/n經(jīng)理三個(gè)角色。/r/n用戶包括公司業(yè)務(wù)部門工作人員、公司業(yè)務(wù)合作伙伴、公司外部系統(tǒng)服務(wù)商以及來訪客戶。/r/n防火墻管理員負(fù)責(zé)受理解決用戶提出的防火墻相關(guān)需求，評(píng)估/r/n防火墻的配置措施和變更風(fēng)險(xiǎn)，并將分析結(jié)果報(bào)告給/r/nIT/r/n經(jīng)理。/r/n4.IT/r/n經(jīng)理負(fù)責(zé)審批防火墻相關(guān)的配置變更措施，確認(rèn)防火墻管理/r/n員對(duì)此配置變更的評(píng)估結(jié)果符合公司安全策略和規(guī)范要求。/r/n1.2.2/r/n申請(qǐng)防火墻權(quán)限流程及創(chuàng)建策略/r/n公司業(yè)務(wù)部門工作人員因工作需要申請(qǐng)開通防火墻端口通信權(quán)限時(shí)，需要填寫“網(wǎng)絡(luò)服務(wù)訪問申請(qǐng)/r/n//r/n變更表”。經(jīng)用戶所在業(yè)務(wù)部門經(jīng)/r/n理審批通過后，由防火墻管理員受理需求。防火墻管理員按照最小授權(quán)原則來評(píng)估此權(quán)限是否與業(yè)務(wù)處理需求相符，寫出配置措施和風(fēng)險(xiǎn)分析，并將分析結(jié)果提交/r/nIT/r/n經(jīng)理審批。經(jīng)/r/nIT/r/n經(jīng)理審批通過后，防火墻管理員為員工在防火墻上實(shí)施配置變更創(chuàng)建相應(yīng)權(quán)限策略。/r/n如果用戶需要臨時(shí)在防火墻上開通端口訪問權(quán)限，則應(yīng)在“網(wǎng)絡(luò)服務(wù)訪問申請(qǐng)/r/n//r/n變更表”備注中注明使用時(shí)限。其它步驟按照創(chuàng)建防火墻權(quán)限策略流程執(zhí)行。超過使用時(shí)限后，由防火墻管理員通知用戶并得到用戶確認(rèn)后，撤銷此權(quán)限策略。防火墻管理員應(yīng)明確告知用戶應(yīng)對(duì)由其所具有的防火墻端口權(quán)限對(duì)生產(chǎn)系統(tǒng)產(chǎn)生的影響負(fù)責(zé)。用戶應(yīng)保證開通的端口權(quán)限只用于生產(chǎn)業(yè)務(wù)數(shù)據(jù)傳輸，不可供生產(chǎn)業(yè)務(wù)以外的應(yīng)用服務(wù)使用。/r/n公司業(yè)務(wù)合作伙伴與公司進(jìn)行通信需要在防火墻上開通訪問權(quán)限時(shí)，應(yīng)有公司相應(yīng)業(yè)務(wù)部門工作人員來提出開通防火墻端口權(quán)限請(qǐng)求，并填寫“網(wǎng)絡(luò)服務(wù)訪問申請(qǐng)表”。其余審批步驟與創(chuàng)建公司內(nèi)部員工權(quán)限策略相同。/r/n如因公司系統(tǒng)服務(wù)商與公司進(jìn)行通信，需要在防火墻上開通端口/r/n權(quán)限時(shí)，應(yīng)由防火墻管理員自行填寫“網(wǎng)絡(luò)服務(wù)訪問申請(qǐng)/r/n//r/n變更表”，/r/n經(jīng)/r/nIT/r/n經(jīng)理審批通過后方可創(chuàng)建相應(yīng)權(quán)限策略。在系統(tǒng)服務(wù)商服務(wù)結(jié)束后，必須及時(shí)撤銷防火墻相應(yīng)策略。/r/n防火墻管理員應(yīng)根據(jù)最小授權(quán)原則，為來訪客戶/r/nIP/r/n地址統(tǒng)一在防火墻上配置相應(yīng)權(quán)限策略，并禁止來訪客戶/r/nIP/r/n地址訪問公司內(nèi)部網(wǎng)絡(luò)/r/n1.2.3/r/n變更防火墻權(quán)限流程及變更策略/r/n由于業(yè)務(wù)或技術(shù)變動(dòng)需要變更公司與外部站點(diǎn)之間的通信方式時(shí)，涉及到防火墻相關(guān)權(quán)限策略的變動(dòng)，/r/n應(yīng)該由業(yè)務(wù)部門員工向防火墻管/r/n理員提交“網(wǎng)絡(luò)服務(wù)訪問申請(qǐng)/r/n//r/n變更表”。經(jīng)業(yè)務(wù)部門經(jīng)理審批通過后防火墻管理員受理需求，分析變更實(shí)施過程和相關(guān)風(fēng)險(xiǎn)，/r/n提交/r/nT/r/n經(jīng)理/r/n審批。經(jīng)/r/nIT/r/n經(jīng)理審批通過后，防火墻管理員在防火墻上實(shí)施配置變更，撤銷原有權(quán)限策略并創(chuàng)建新權(quán)限策略。/r/n1.2.4/r/n撤銷防火墻權(quán)限策略/r/n公司業(yè)務(wù)部門工作人員進(jìn)行部門調(diào)動(dòng)、離職時(shí)，需要撤銷其原/r/nIP/r/n地址在防火墻上配置的相應(yīng)的權(quán)限策略。員工所在業(yè)務(wù)部門通知/r/nIT/r/n經(jīng)理，由/r/nIT/r/n經(jīng)理指定防火墻管理員在防火墻上實(shí)施配置變更，撤銷員工/r/nIP/r/n地址所具有的權(quán)限。/r/n公司系統(tǒng)服務(wù)商的服務(wù)到期后，相關(guān)部門應(yīng)通知/r/nIT/r/n經(jīng)理，由/r/nIT/r/n經(jīng)理指定防火墻管理員在防火墻上實(shí)施配置變更撤銷系統(tǒng)服務(wù)商/r/nIP/r/n地址所具有的權(quán)限。/r/n1.2.5/r/n內(nèi)審和復(fù)核/r/n根據(jù)職責(zé)分離原則，防火墻管理員備份崗位工作人員每/r/n6/r/n個(gè)月應(yīng)負(fù)責(zé)檢查一次防火墻的設(shè)置是否符合防火墻配置規(guī)范，并填寫檢查記錄。/r/nIT/r/n經(jīng)理每/r/n6/r/n個(gè)月負(fù)責(zé)檢查一次“防火墻的配置規(guī)范”是否符合公司安全策略要求，并填寫檢查記錄。/r/n1.3/r/n賬號(hào)和權(quán)限管理制度/r/n1.3.1/r/n網(wǎng)絡(luò)設(shè)備賬號(hào)權(quán)限審批制度/r/n1.3.1.1/r/n賬號(hào)權(quán)限管理職責(zé)說明/r/n賬號(hào)權(quán)限的管理，包括用戶賬號(hào)的添加、修改和注銷操作。涉及用戶、業(yè)務(wù)部門接口人、網(wǎng)絡(luò)管理員和/r/nIT/r/n經(jīng)理四個(gè)角色。/r/n用戶包括公司業(yè)務(wù)部門工作人員、公司業(yè)務(wù)合作伙伴、公司外部系統(tǒng)服務(wù)商以及來訪客戶。/r/n業(yè)務(wù)部門接口人負(fù)責(zé)本公司與業(yè)務(wù)合作伙伴之間的業(yè)務(wù)協(xié)調(diào)工作。網(wǎng)絡(luò)管理員負(fù)責(zé)受理解決用戶提出的賬號(hào)權(quán)限相關(guān)需求，按照最小授權(quán)原則，評(píng)估賬號(hào)權(quán)限是否與業(yè)務(wù)需求相符，/r/n是否會(huì)對(duì)生產(chǎn)業(yè)務(wù)/r/n產(chǎn)生潛在風(fēng)險(xiǎn)。并將評(píng)估結(jié)果報(bào)告給/r/nIT/r/n經(jīng)理。/r/nIT/r/n經(jīng)理負(fù)責(zé)審批用戶賬號(hào)、權(quán)限相關(guān)配置變更是否滿足公司相應(yīng)的安全策略，對(duì)網(wǎng)絡(luò)管理員對(duì)配置變更的評(píng)估結(jié)果進(jìn)行確認(rèn)。/r/n1.3.1.2/r/n賬號(hào)申請(qǐng)流程及創(chuàng)建規(guī)則/r/n公司業(yè)務(wù)部門工作人員因工作需要新建賬號(hào)時(shí)，需填寫“系統(tǒng)賬號(hào)申請(qǐng)表”。經(jīng)用戶所在業(yè)務(wù)部門經(jīng)理審批通過后，由網(wǎng)絡(luò)管理員受理需求。網(wǎng)絡(luò)管理員按照最小授權(quán)原則評(píng)估用戶賬號(hào)權(quán)限是否與業(yè)務(wù)處理需求相符，并將分析結(jié)果提交/r/nIT/r/n經(jīng)理審批。經(jīng)/r/nIT/r/n經(jīng)理審批通過后，網(wǎng)絡(luò)管理員為員工創(chuàng)建賬號(hào)、授予權(quán)限并通知員工。如果，用戶需要建立臨時(shí)帳號(hào)，應(yīng)在“系統(tǒng)賬號(hào)申請(qǐng)表”備注中寫明使用時(shí)限。其它步驟按照新創(chuàng)建賬號(hào)的管理制度執(zhí)行。超過使用時(shí)限后，由網(wǎng)絡(luò)管理員通知用戶后，將此賬號(hào)注銷。網(wǎng)絡(luò)管理員應(yīng)明確告知用戶對(duì)其所分配的賬號(hào)的行為負(fù)責(zé)。用戶要妥善使用和保管好自己的賬號(hào)和密碼，不得將帳號(hào)提供給他人使用。/r/n公司業(yè)務(wù)合作伙伴需要?jiǎng)?chuàng)建賬號(hào)時(shí)，可以向業(yè)務(wù)部門接口人提出請(qǐng)求。由業(yè)務(wù)部門接口人向網(wǎng)絡(luò)管理員提出創(chuàng)建賬號(hào)請(qǐng)求，并填寫“系統(tǒng)賬號(hào)申請(qǐng)表”。其余審批步驟與新建公司內(nèi)部員工賬號(hào)步驟相同。/r/n如因工作需要為公司系統(tǒng)服務(wù)商創(chuàng)建賬號(hào)時(shí)，由網(wǎng)絡(luò)管理員根據(jù)/r/n最小授權(quán)原則自行填寫“系統(tǒng)賬號(hào)申請(qǐng)表”，經(jīng)/r/nIT/r/n經(jīng)理審批通過方可后創(chuàng)建賬號(hào)。待系統(tǒng)服務(wù)商服務(wù)到期結(jié)束后，必須及時(shí)給予注銷。/r/n網(wǎng)絡(luò)管理員為來訪客戶統(tǒng)一分配/r/nIP/r/n地址網(wǎng)段，并實(shí)施身份驗(yàn)證。只允許客戶具有普通訪問外網(wǎng)權(quán)限，并禁止客戶賬號(hào)訪問公司內(nèi)部網(wǎng)絡(luò)系統(tǒng)。一旦客戶離開則立即撤銷其賬號(hào)。/r/n網(wǎng)絡(luò)管理員對(duì)用戶賬號(hào)授權(quán)時(shí)，應(yīng)檢查授予的訪問等級(jí)是否適/r/n應(yīng)業(yè)務(wù)訪問控制策略，是否符合網(wǎng)絡(luò)的信息安全策略。此外，網(wǎng)絡(luò)管/r/n理員應(yīng)對(duì)照網(wǎng)絡(luò)設(shè)備相關(guān)定義，檢查對(duì)賬號(hào)的授權(quán)中是否有窩權(quán)限。如有高權(quán)限，必須將此用戶賬號(hào)的操作納入安全審計(jì)日志中。/r/n6./r/n按照責(zé)任分離的原則，網(wǎng)絡(luò)管理員為經(jīng)過批準(zhǔn)用戶設(shè)立賬號(hào)，一個(gè)賬號(hào)對(duì)應(yīng)唯一的用戶。網(wǎng)絡(luò)管理員在建立用戶賬號(hào)時(shí)，要在賬號(hào)說明中詳細(xì)標(biāo)注用戶名稱、部門和賬號(hào)所關(guān)聯(lián)的業(yè)務(wù)等必要信息。/r/n7./r/n對(duì)于默認(rèn)系統(tǒng)賬號(hào)、商業(yè)軟件自建賬號(hào)，在正式投產(chǎn)前應(yīng)刪除或禁用此類賬號(hào)。網(wǎng)絡(luò)管理員應(yīng)嚴(yán)加控制。如根據(jù)具體運(yùn)行環(huán)境情況，確實(shí)需要使用這些賬號(hào)，應(yīng)在投入生產(chǎn)前更改缺省賬號(hào)密碼。/r/n1.3.1.3/r/n賬號(hào)權(quán)限變更/r/n當(dāng)遇到用戶崗位變動(dòng)或者業(yè)務(wù)變更，需要修改原有賬號(hào)訪問權(quán)限時(shí)。網(wǎng)絡(luò)管理員應(yīng)要求用戶重新填寫“系統(tǒng)賬號(hào)申請(qǐng)表”，說明賬號(hào)權(quán)限變更理由，提出賬號(hào)權(quán)限變更請(qǐng)求。經(jīng)用戶所在部門經(jīng)理審批通過后由網(wǎng)絡(luò)管理員受理。網(wǎng)絡(luò)管理員按照最小授權(quán)原則評(píng)估用戶賬號(hào)權(quán)限是否與業(yè)務(wù)處理需求相符，并將分析結(jié)果提交/r/nIT/r/n經(jīng)理審批。經(jīng)/r/nIT/r/n經(jīng)理審批通過后，網(wǎng)絡(luò)管理員修改用戶賬號(hào)權(quán)限并通知員工。/r/n1.3.1.4/r/n賬號(hào)注銷/r/n公司內(nèi)部員工調(diào)動(dòng)、離職或終止使用網(wǎng)絡(luò)設(shè)備時(shí)，需要撤銷其使用的賬號(hào)。用戶所在部門應(yīng)按流程，通知/r/nIT/r/n經(jīng)理，由/r/nIT/r/n經(jīng)理指定網(wǎng)絡(luò)管理員撤銷員工所使用的賬號(hào)。網(wǎng)絡(luò)管理員在確認(rèn)沒有和此賬號(hào)/r/n相關(guān)聯(lián)的系統(tǒng)配置和數(shù)據(jù)（如使用此賬號(hào)加密的數(shù)據(jù)）后，撤銷用戶/r/n賬號(hào)的訪問權(quán)限并注銷用戶賬號(hào)。如果存在賬號(hào)直接關(guān)聯(lián)的系統(tǒng)配置或數(shù)據(jù)時(shí)，應(yīng)首先解除此關(guān)聯(lián)，再撤銷用戶賬號(hào)的訪問權(quán)限并注銷用戶賬號(hào)。/r/n公司系統(tǒng)服務(wù)商服務(wù)到期后，相關(guān)部門應(yīng)通知/r/nIT/r/n經(jīng)理，由/r/nIT/r/n經(jīng)理指定網(wǎng)絡(luò)管理員在確定已經(jīng)取消系統(tǒng)服務(wù)商賬號(hào)與相關(guān)配置和數(shù)據(jù)的關(guān)聯(lián)性后，撤銷系統(tǒng)服務(wù)商賬號(hào)。/r/n網(wǎng)絡(luò)管理員至少每季度檢查用戶賬號(hào)的使用情況，對(duì)于長(zhǎng)時(shí)間/r/n（如/r/n3/r/n個(gè)月）無人使用的賬號(hào)，經(jīng)賬號(hào)所屬部門經(jīng)理確認(rèn)后及時(shí)給與注銷。如賬號(hào)所屬部門要求保留賬號(hào)，應(yīng)提交保留申請(qǐng)和保留期限。賬號(hào)所屬部門不能將賬號(hào)隨便轉(zhuǎn)給其他用戶使用。對(duì)所保留的用戶賬號(hào)，設(shè)置該賬號(hào)處于禁用狀態(tài)，重新啟用這些賬號(hào)時(shí)，賬號(hào)所屬部門仍需向運(yùn)行維護(hù)部門提出申請(qǐng)。經(jīng)/r/nIT/r/n經(jīng)理審批同意后，網(wǎng)絡(luò)管理員方可激活此賬號(hào)供用戶使用。/r/n1.3.1.5/r/n賬號(hào)權(quán)限復(fù)查/r/n對(duì)于所有注冊(cè)并使用公司網(wǎng)絡(luò)設(shè)備的用戶賬號(hào)，網(wǎng)絡(luò)管理員應(yīng)保存正式記錄和用戶清單，建立相應(yīng)的“賬號(hào)權(quán)限矩陣表”，進(jìn)行集中管理，并定期維護(hù)和更新。網(wǎng)絡(luò)管理員應(yīng)參照系統(tǒng)訪問控制策略，和“賬號(hào)權(quán)限矩陣表”，至少每半年復(fù)查用戶的訪問權(quán)限。/r/n對(duì)高權(quán)限賬號(hào)的分配情況，網(wǎng)絡(luò)管理員至少每半年核查一次，以便及時(shí)查處并清理未經(jīng)授權(quán)的高權(quán)限賬號(hào)。對(duì)此類高權(quán)限賬號(hào)，網(wǎng)絡(luò)/r/n管埋員在確認(rèn)不影響生產(chǎn)的前提下，/r/n應(yīng)及時(shí)回收。事后通報(bào)相關(guān)用戶/r/n和上級(jí)領(lǐng)導(dǎo)，并由該用戶承擔(dān)相應(yīng)責(zé)任和處罰。/r/n對(duì)高權(quán)限用戶賬號(hào)的/r/n使用情況，網(wǎng)絡(luò)管理員需要每月進(jìn)行核對(duì)，/r/n查看其使用情況是否被完/r/n全登記，并對(duì)登記的內(nèi)容進(jìn)行檢查。/r/n1.3.1.6/r/n賬號(hào)密碼管理/r/n用戶在登陸網(wǎng)絡(luò)設(shè)備時(shí)，都要求輸入其賬號(hào)所對(duì)應(yīng)的密碼。網(wǎng)絡(luò)/r/n管理員會(huì)在用戶注冊(cè)時(shí)，為其賬號(hào)設(shè)置初始密碼，并在首次啟用時(shí)強(qiáng)制用戶對(duì)密碼進(jìn)行更改。/r/n網(wǎng)絡(luò)設(shè)備賬號(hào)密碼應(yīng)妥善使用和保管，并按照以下建議進(jìn)行設(shè)置，/r/n以確保賬號(hào)安全：所有賬號(hào)密碼均應(yīng)以密文形式存儲(chǔ)在網(wǎng)絡(luò)設(shè)備上。/r/n普通用戶密碼長(zhǎng)度不少于/r/n6/r/n個(gè)字符，高權(quán)限用戶密碼長(zhǎng)度不少于/r/n8/r/n個(gè)字符。建議設(shè)置的密碼采用字母與數(shù)字混合形式的字符串。用戶設(shè)置密碼應(yīng)保證自己容易記憶，但盡量不基于以下容易猜測(cè)/r/n的字符串，比如：個(gè)人姓名、部門名稱、公司名稱、電話號(hào)碼、出生日期、連續(xù)數(shù)字、相同字符等。/r/n用戶盡量不使用私人用戶密碼。當(dāng)需要訪問多個(gè)網(wǎng)絡(luò)設(shè)備或多重服務(wù)時(shí)，建議用戶使用單一的密碼。/r/n用戶應(yīng)定期重置密碼，以確保賬號(hào)安全。普通用戶密碼至少每季度重置一次，高權(quán)限用戶密碼至少每月重置一次。重置密碼時(shí)，用戶應(yīng)不重復(fù)或者循環(huán)使用舊的密碼，其中高權(quán)限用戶密碼至少/r/n6/r/n次之內(nèi)/r/n不重復(fù)使用。/r/n用戶不應(yīng)把密碼包含在任何自動(dòng)登錄程序之中，例如：把密碼存在宏代碼或者功能鍵上；用戶忘記密碼時(shí)，可向網(wǎng)絡(luò)管理員提出重置密碼請(qǐng)求，經(jīng)用戶所在部門領(lǐng)導(dǎo)批準(zhǔn)后，在網(wǎng)絡(luò)管理員幫助和指導(dǎo)下重新設(shè)置密碼。遇有系統(tǒng)或者密碼可能被侵害的跡象時(shí)，用戶應(yīng)及時(shí)報(bào)告網(wǎng)絡(luò)管理員，并立即重置密碼。/r/n根據(jù)職責(zé)分離原則，網(wǎng)絡(luò)設(shè)備高權(quán)限賬號(hào)密碼應(yīng)由網(wǎng)絡(luò)設(shè)備以外崗位的工程師進(jìn)行管理。/r/n網(wǎng)絡(luò)管理員應(yīng)每季度定期檢查用戶密碼是否按以上規(guī)定設(shè)置，對(duì)不符合要求的應(yīng)及時(shí)通知用戶整改。/r/n對(duì)用戶拒不改正的，網(wǎng)絡(luò)管理員/r/n應(yīng)強(qiáng)制停用該賬號(hào)，以確保網(wǎng)絡(luò)設(shè)備的安全。/r/n1.3.1.7/r/n賬號(hào)權(quán)限的內(nèi)部控制與審計(jì)/r/n為確保用戶管理和密碼管理的有效性，運(yùn)行維護(hù)部門應(yīng)對(duì)從事該項(xiàng)工作的網(wǎng)絡(luò)管理員有控制措施。必要時(shí)司以根據(jù)職責(zé)分離原則設(shè)置雙向監(jiān)督崗位。同時(shí)，要對(duì)網(wǎng)絡(luò)管理員和用戶進(jìn)行必要的安全意識(shí)教育。/r/n網(wǎng)絡(luò)管理員要遵守中心保密制度，確保職業(yè)操守，保證用戶信息的安全。工作中要按照審批流程嚴(yán)格執(zhí)行，并對(duì)所有操作保留記錄，以備核查。/r/n運(yùn)行維護(hù)部門每年組織內(nèi)部審計(jì)，以確保該項(xiàng)工作的有效性。內(nèi)/r/n

/r/n部審計(jì)人員一般由業(yè)務(wù)管理部門和運(yùn)行維護(hù)部門的工作人員組成。根/r/n

/r/n據(jù)職責(zé)分離原則，網(wǎng)絡(luò)管理員不在審計(jì)人員行列之內(nèi)。/r/n內(nèi)部審計(jì)的內(nèi)/r/n容主要以“賬號(hào)權(quán)限管理內(nèi)部畝計(jì)表”中所作的強(qiáng)制性要求為準(zhǔn)，/r/n建議性要求不在審計(jì)范圍之列。內(nèi)部審計(jì)后，審計(jì)人員要認(rèn)真填寫“賬/r/n號(hào)權(quán)限管理內(nèi)部審計(jì)表”，并對(duì)審計(jì)結(jié)果簽署意見，必要時(shí)要有相應(yīng)的說明。該審計(jì)結(jié)果要及時(shí)反饋給相應(yīng)部門和人員，/r/n并最后由運(yùn)行維/r/n護(hù)部門負(fù)責(zé)存檔。/r/n1.3.2/r/n主機(jī)賬號(hào)管理制度/r/n1.3.2.1/r/n主機(jī)賬號(hào)管理細(xì)則/r/n1/r/n、主機(jī)賬號(hào)分類/r/n1/r/n．主機(jī)賬號(hào)依其重要程度分為重要賬號(hào)和普通賬號(hào)。/r/n重要賬號(hào)包括：/r/nA/r/n）/r/n具有集團(tuán)業(yè)務(wù)系統(tǒng)及相關(guān)設(shè)備的完全或部分管理權(quán)限的賬號(hào)為重要賬號(hào)。/r/nB/r/n）/r/n具有修改集團(tuán)業(yè)務(wù)數(shù)據(jù)權(quán)限的賬號(hào)為重要賬號(hào)。/r/nC/r/n）/r/n具有讀取涉及集團(tuán)秘密業(yè)務(wù)數(shù)據(jù)權(quán)限的賬號(hào)為重要賬號(hào)。/r/nD/r/n）/r/n其它管理制度規(guī)定為重要賬號(hào)的。/r/n其它主機(jī)賬號(hào)均歸為普通賬號(hào)。/r/n2/r/n．賬號(hào)依其生存周期分為永久賬號(hào)和臨時(shí)賬號(hào)，/r/n臨時(shí)賬號(hào)應(yīng)嚴(yán)格/r/n按照其生存周期進(jìn)行管理，到期注銷。/r/n2/r/n、賬號(hào)注冊(cè)與維護(hù)/r/n1?/r/n使用唯一的用戶/r/nID/r/n,/r/n保護(hù)用戶的操作行為與用戶本人身份唯一/r/n對(duì)應(yīng)，便于對(duì)用戶行為的審計(jì)以及追溯。/r/n檢查系統(tǒng)所賦予用戶的訪問權(quán)限是否與業(yè)務(wù)目標(biāo)匹配,防止出現(xiàn)過度授權(quán)現(xiàn)象。/r/n應(yīng)維護(hù)一份完整的主機(jī)賬戶權(quán)限列表,并做到及時(shí)更新。/r/n3/r/n、口令生成及保存/r/n1/r/n．賬號(hào)分配時(shí)必須同時(shí)生成相應(yīng)的口令,/r/n并且與賬號(hào)一起傳送給/r/n用戶,不得創(chuàng)建沒有口令的賬號(hào)；/r/n管理員在傳遞賬號(hào)和口令時(shí),應(yīng)當(dāng)采取安全的傳輸途徑,以保證不會(huì)被中途截??；/r/n用戶在接受到賬號(hào)和口令后,應(yīng)在第一次登錄賬號(hào)時(shí)修改口令；/r/n對(duì)于以口令作為唯一驗(yàn)證證據(jù)的賬號(hào),如果賬號(hào)的用戶名由確定且公開的規(guī)則產(chǎn)生,則口令不應(yīng)當(dāng)為公開的口令；/r/n不得將賬號(hào)口令明文存儲(chǔ)在計(jì)算機(jī)上或?qū)懺谟浭卤旧希?r/n為滿足應(yīng)急響應(yīng)需求,應(yīng)將重要賬號(hào)的口令密封保存在安全場(chǎng)所,并隨口令的更改及時(shí)更換口令信封?？诹钚欧庖坏┐蜷_,必須立/r/n即登錄其中涉及的所有賬號(hào)并更改所有口令；/r/n如發(fā)現(xiàn)口令有泄露跡象,應(yīng)立刻報(bào)告主管領(lǐng)導(dǎo)并進(jìn)行記錄,以便及時(shí)處理。/r/n4/r/n、口令設(shè)立原則/r/n賬號(hào)的口令必須是具有足夠的長(zhǎng)度和復(fù)雜度，使口令難以被猜測(cè)。/r/n賬號(hào)的口令在必要時(shí)間或次數(shù)/r/n（/r/n最少/r/n5/r/n次/r/n）/r/n內(nèi)不得循環(huán)使用。/r/n賬號(hào)曾用的各個(gè)口令之間應(yīng)當(dāng)是沒有直接聯(lián)系的，以保證不能從以前的口令推知現(xiàn)在的口令。/r/n賬號(hào)的前后兩個(gè)口令之間的相同部分應(yīng)當(dāng)盡量減少，減低由前一個(gè)口令分析出后一個(gè)口令的機(jī)會(huì)。/r/n賬號(hào)的口令不應(yīng)當(dāng)取有意義的詞語或其他符號(hào)，如使用者的姓名，生日或其它易于猜測(cè)的信息。/r/n口令最低標(biāo)準(zhǔn)：普通賬號(hào)口令長(zhǎng)度不得低于/r/n6/r/n位，口令字符中須包含字母、數(shù)字、特殊字符中的至少兩類；重要賬號(hào)口令長(zhǎng)度不得低于/r/n8/r/n位，口令中必須包含大、小寫字母、數(shù)字和特殊字符，且不得為有意義的單詞或短語。/r/n5/r/n、賬號(hào)的取消/r/n用戶如果因職責(zé)變動(dòng)而離崗，不再需要系統(tǒng)權(quán)限且無須將賬號(hào)移交給其他責(zé)任人，其原崗位主管應(yīng)當(dāng)申請(qǐng)銷戶，由管理員取消該賬號(hào)的所有權(quán)限。/r/n賬號(hào)取消的同時(shí)，應(yīng)該將賬號(hào)對(duì)應(yīng)的應(yīng)用系統(tǒng)和服務(wù)的權(quán)限同時(shí)注銷，保證該賬號(hào)對(duì)應(yīng)用系統(tǒng)的訪問企圖失效。/r/n用戶離職后，管理員應(yīng)當(dāng)關(guān)閉用戶賬號(hào)在系統(tǒng)中的所有權(quán)限。/r/n6/r/n、口令使用和管理原則/r/n重要賬號(hào)口令應(yīng)在/r/n90/r/n天內(nèi)至少更換一次，一般賬號(hào)口令至少在半年內(nèi)更換一次；對(duì)重要設(shè)備和系統(tǒng)建議采用一次性口令方式進(jìn)行認(rèn)證。/r/n重要口令連續(xù)多次嘗試登錄失敗后應(yīng)暫停該賬號(hào)登錄（可以根據(jù)實(shí)際情況設(shè)置嘗試，一般次數(shù)為/r/n5/r/n次）。/r/n系統(tǒng)管理員修改賬號(hào)口令時(shí)，應(yīng)提前（或同時(shí)）通知賬號(hào)使用人，以免影響其正常使用。/r/n各級(jí)口令保管落實(shí)到人/r/n,/r/n口令所有人須妥善保存，各級(jí)口令不得以任何形式明文存放于可公共訪問的設(shè)備中。/r/n出現(xiàn)以下任何一種情況時(shí)，相關(guān)口令必須立即更改并做好記錄/r/n1/r/n）/r/n掌握口令的管理員離開崗位；/r/n2/r/n）因工作需要，由管理員以外人員使用賬號(hào)及口令登錄操作后；/r/n3/r/n）有跡象表明口令可能被泄露。/r/n7/r/n、管理員的責(zé)任與義務(wù)/r/n確保除匿名賬號(hào)外，系統(tǒng)中所有用戶都必須有口令；/r/n確保系統(tǒng)和網(wǎng)絡(luò)設(shè)備上沒有使用默認(rèn)口令的賬號(hào)；/r/n確保重要賬號(hào)的口令具有足夠強(qiáng)度/r/n;/r/n定期審計(jì)，檢查系統(tǒng)用戶的數(shù)量和權(quán)限；/r/n為用戶普及口令安全知識(shí)；/r/n建議同一個(gè)管理員在不同主機(jī)上使用不同的賬號(hào)口令。/r/n1.3.2.2/r/n主機(jī)賬號(hào)申請(qǐng)流程/r/n業(yè)務(wù)部門提出申請(qǐng)．填寫《主機(jī)賬號(hào)申請(qǐng)單》。申請(qǐng)單應(yīng)填寫申請(qǐng)部門、申請(qǐng)人、申請(qǐng)日期、申請(qǐng)?jiān)蛘f明等信息。/r/n2/r/n．《主機(jī)賬號(hào)申請(qǐng)單》應(yīng)先由所在業(yè)務(wù)部門領(lǐng)導(dǎo)審核簽字，然后交由技術(shù)管理部門領(lǐng)導(dǎo)審核簽字，再交由信息中心領(lǐng)導(dǎo)審核簽字。/r/n3/r/n．所有審核都通過后，由運(yùn)行維護(hù)部門負(fù)責(zé)對(duì)申請(qǐng)的主機(jī)賬號(hào)進(jìn)行開通執(zhí)行，并將執(zhí)行的情況填入《主機(jī)賬號(hào)申請(qǐng)單》。/r/n4/r/n．打印版的《主機(jī)賬號(hào)申請(qǐng)單》由運(yùn)行維護(hù)部門存檔并長(zhǎng)期保管。/r/n1.3.2.3/r/n主機(jī)賬號(hào)取消流程/r/n1./r/n業(yè)務(wù)部門提出申請(qǐng)，填寫《取消主機(jī)賬號(hào)申請(qǐng)單》。申請(qǐng)單應(yīng)填/r/n寫申請(qǐng)部門、申請(qǐng)人、申請(qǐng)日期、申請(qǐng)?jiān)蛘f明等信息。/r/n2/r/n．《取消主機(jī)賬號(hào)申請(qǐng)單》應(yīng)先由所在業(yè)務(wù)部門領(lǐng)導(dǎo)審核簽字，/r/n然后交由技術(shù)管理部門領(lǐng)導(dǎo)審核簽字，/r/n再交由信息中心領(lǐng)導(dǎo)審核簽字。/r/n3/r/n．所有審核都通過后，由運(yùn)行維護(hù)部門負(fù)責(zé)對(duì)申請(qǐng)的王機(jī)賬號(hào)進(jìn)/r/n行開通執(zhí)行，并將執(zhí)行的情況填入《取消主機(jī)賬號(hào)申請(qǐng)單》。/r/n4/r/n．打印版的《取消主機(jī)賬號(hào)申請(qǐng)單》由運(yùn)行維護(hù)部門存檔并長(zhǎng)期/r/n保管。/r/n1.3.3/r/n數(shù)據(jù)庫(kù)賬號(hào)及權(quán)限管理制度/r/n1.3.3.1/r/n數(shù)據(jù)庫(kù)賬號(hào)管理細(xì)則/r/n1/r/n、數(shù)據(jù)庫(kù)賬號(hào)分類/r/n數(shù)據(jù)庫(kù)賬號(hào)依其用途分為四類：/r/n安裝數(shù)據(jù)庫(kù)時(shí)自動(dòng)創(chuàng)建的賬號(hào)為系統(tǒng)賬號(hào)，其中具備數(shù)據(jù)庫(kù)管理權(quán)限的為系統(tǒng)超級(jí)賬號(hào)，如/r/nOracle/r/n數(shù)據(jù)庫(kù)中的/r/nSys/r/n、/r/nsystem/r/n。/r/n2/r/n．安裝數(shù)據(jù)庫(kù)時(shí)自動(dòng)創(chuàng)建的賬號(hào)為系統(tǒng)賬號(hào)，/r/n其中不具備數(shù)據(jù)/r/n庫(kù)管理權(quán)限的賬號(hào)為系統(tǒng)普通賬號(hào)，如/r/nOracle/r/n數(shù)據(jù)庫(kù)中的/r/nScott/r/n等/r/n3./r/n為滿足業(yè)務(wù)系統(tǒng)運(yùn)行需要而創(chuàng)建的賬號(hào)為業(yè)務(wù)賬號(hào)。/r/n為個(gè)人維護(hù)數(shù)據(jù)需要而創(chuàng)建的賬號(hào)為個(gè)人賬號(hào)。/r/n2/r/n、賬號(hào)創(chuàng)建及維護(hù)/r/n1/r/n．?dāng)?shù)據(jù)庫(kù)環(huán)境搭建完成后，創(chuàng)建任何新的數(shù)據(jù)庫(kù)賬號(hào)都必須經(jīng)過正式的審批流程。/r/n2/r/n．創(chuàng)建新的數(shù)據(jù)庫(kù)賬號(hào)時(shí)，必須明確每個(gè)數(shù)據(jù)庫(kù)賬號(hào)的責(zé)任人，便于對(duì)用戶行為的審計(jì)以及追溯。/r/n創(chuàng)建新的數(shù)據(jù)庫(kù)賬號(hào)時(shí)，必須檢查數(shù)據(jù)庫(kù)賬號(hào)所賦予的權(quán)限是否與業(yè)務(wù)目標(biāo)匹配，防止出現(xiàn)過度授權(quán)現(xiàn)象。/r/n應(yīng)維護(hù)完整的數(shù)據(jù)庫(kù)賬戶列表及數(shù)據(jù)庫(kù)權(quán)限列表各一份，并做到及時(shí)更新。/r/n3/r/n、口令生成及保存/r/n1./r/n數(shù)據(jù)庫(kù)賬號(hào)分配時(shí)必須同時(shí)生成相應(yīng)的口令，并且與賬號(hào)一起傳送給用戶，不得創(chuàng)建沒有口令的賬號(hào)。/r/n2/r/n．管理員在傳遞數(shù)據(jù)庫(kù)賬號(hào)和口令時(shí)，應(yīng)當(dāng)采取安全的傳輸途徑，以保證不會(huì)被中途截取。/r/n3./r/n不得將賬號(hào)口令明文存儲(chǔ)在計(jì)算機(jī)上或?qū)懺谟浭卤旧?；?r/n為滿足應(yīng)急響應(yīng)需求，應(yīng)將數(shù)據(jù)庫(kù)賬號(hào)的口令密封保存在安全場(chǎng)所，并隨口令的更改及時(shí)更換口令信封?？诹钚欧庖坏┐蜷_，必須立即登錄其中涉及的所有賬號(hào)并更改所有口令。/r/n如發(fā)現(xiàn)口令有泄露跡象，應(yīng)立刻報(bào)告主管領(lǐng)導(dǎo)并進(jìn)行記錄，以便及時(shí)處理。/r/n4/r/n、口令設(shè)立原則/r/n1/r/n．?dāng)?shù)據(jù)庫(kù)賬號(hào)的口令必須是具有足夠的長(zhǎng)度和復(fù)雜度，/r/n使口令難/r/n于被猜測(cè)；/r/n2/r/n．?dāng)?shù)據(jù)庫(kù)賬號(hào)的口令在必要時(shí)間或次數(shù)最少/r/n5/r/n次內(nèi)不得循環(huán)使用；/r/n3/r/n．?dāng)?shù)據(jù)庫(kù)賬號(hào)曾用的各個(gè)口令之間應(yīng)當(dāng)是沒有直接聯(lián)系的，/r/n以保證不能從以前的口令推知現(xiàn)在的口令；/r/n4/r/n．?dāng)?shù)據(jù)庫(kù)賬號(hào)的前后兩個(gè)口令之間的相同部分應(yīng)當(dāng)盡量減少，減低由前一個(gè)口令分析出后一個(gè)口令的機(jī)會(huì)；/r/n數(shù)據(jù)庫(kù)賬號(hào)的口令不應(yīng)當(dāng)取有意義的詞語或其他符號(hào)，如使用者的姓名，生日或其它易于猜測(cè)的信息。/r/n6/r/n．口令最低標(biāo)準(zhǔn)：業(yè)務(wù)賬號(hào)和個(gè)人賬號(hào)口