IT运维管理制度

第1页/第一章运维管理服务保障制度为完成运维任务必须建立相应的技术支持管理制度，使维护工作做到有章可循，有据可查。同时对制定的各个制度的执行情况进行质量考核，对运维团队的工作绩效进行评估，促进制度的更好落实，确保高质量地完成各项维护支持任务。1.1机房运维管理制度1.1.1数据中心环境安全管理数据中心进出安全管理的重点在于对不同的访问区域制定不同的安全管控和出入原则。将数据中心划分3类不同类别的管控区域和安全区域。公共区域、办公区域、机房区域。(1)公共区域：这些区域通常用于数据中心生活与展示的配套区域。该区域经授权并在遵守相关制度的前提下来访者可自由进出。(2)办公区域：数据中心日常工作区域。这类区域的进入通常为数据中心内部员工及运维人员。需经授权访问。(3)机房区域：机房区域是数据中心的核心区域。该区域应有严格的进出管控，外来人员进出需提前提出申请，来访者进出机房区域需经授权，进出需登记。除了数据中心人员进出管理外，还应考虑设备和物品进出的流程。设备和物品的进出也应得到正式的审批,特别是对于机房区域的设备应重点管控。应通过机房人员/设备登记表详细记录。设备出门需开具出门凭据等。1.1.2机房安全管理制度(1)机房应防尘、防静电，保持清洁、整齐，设备无尘、排列正规、工具就位、资料齐全。(2)机房门内外、通道、设备前后和窗口附近，均不得堆放物品和杂物，做到无垃圾、无污水，以免妨碍通行和工作。第2页/(3)严格遵照《消防管理制度》规定，机房内严禁烟火，严禁存放和使用易燃易爆物品，严禁使用大功率电器、严禁从事危险性高的工作。如需施工，必须取得领导、消防、安保等相关部门的许可方可施工。(4)外来人员进入机房应严格遵照机房进出管理制度规定，填写人员进出机房登记表，在相关部门及领导核准后，在值班人员陪同下进出，机房进出应换穿拖鞋或鞋套。(5)进入机房人员服装必须整洁，保持机房设备和环境清洁。外来人员不得随意进行拍照，严禁将水及食物带入机房。(6)进入机房人员只能在授权区域与其工作内容相关的设备上工作，不得随意进入和触动未经授权以外的区域及设备。(7)任何设备出入机房，经办人必须填写设备出入机房登记表，经相关部门及领导批准后方可进入或搬出。1.1.3服务人员安全及保密管理制度1、维护工程师必须熟悉并严格执行安全保密准则。2、外部人员因公需进入机房，应经上级批准并指定专人带领方可入内。3、有关通信设备、网络组织电路开放等资料不得任意抄录、复制，防止失密。需要监听电路时，应按保密规则进行。4、机房内消防器材应定期检查，每个维护人员应熟悉一般消防和安全操作方法。5、机房内严禁吸烟和存放、使用易燃、易爆物品。6、搞好安全保密教育，建立定期检查制度，加强节假日的安全保密工作。7、未经有关领导批准，非机房管理人员严禁入机房。8、机房内严禁烟火，不准存放易燃易爆物品。9、注重电气安全，严禁违章使用电器设备，不准超负荷使用电器。10、按规定配备消防器材，并定期更新。11、定期检查接地设施、配电设备、避雷装置，防止雷击、触电事故发生。第3页/12、发现事故苗头，应尽快采取有效措施，并及时报告领导。13、进行维修时，严格按照程序进行，杜绝人为事故发生。14、严禁违规接入大功率无线发射设备。1.1.4网络安全管理制度1.运行维护部门必须制定相应的体系确保网络安全，维护人员必须确立网络安全第一的意识。2.在网络建设期必须考虑工程和现网的关系，加强施工安全管理和网络割接准备工作，确保现网的安全，严禁人为事故发生。3.网络运行维护期应确保维护工作、设备运行、系统数据的安全。4.客户数据的制作以及对设备的指令操作要严格按照客户数据制作规范和设备技术手册的要求根据工单执行；对设备的所有操作要有详细记录，操作时要一人操作一人核对，准确无误方可执行，操作人员要在工单上签字确认。5.网络运行维护期的安全可以通过三种控制方法保证，操作控制包括对操作流程、客户分级、权限分级、操作记录、远程管理、密码管理、防火墙技术、数据备份的安全保证；运行控制包括对告警处理、测试、性能分析、应急预案的安全保证；操作设备控制包括防病毒、杀毒软件、非生产应用软件的安全控制。6.未经许可，严禁设备厂商通过远程控制技术对设备进行修改维护，运行维护部门应有可靠的防范措施。7.为保证远程技术支持的可靠性，需定期对远程维护设备、端口进行检查，在确保安全保密的同时确保其可用性。8.磁盘、磁带等必须进行检查确认无病毒后，方可使用。9.为保证网络安全，远程维护设备在一般情况下要处于关闭状态，只有在需要的时候才开通使用。第4页/1.1.5数据中心值班制度(1)值班人员应严守岗位，按照规定时间上下班，无法按时到岗应提前向上级领导汇报，由上级领导负责调换班。(2)值班时间要尽职尽责，禁止从事与值班无关的事情。(3)参照《机房日常监控及巡检内容》按时巡检机房环境设施，密切注意电源、温度、湿度等机房环境情况；随时监控IT系统、网络工作状态，详细记录异常情况。(4)发生任何异常情况时，应严格执行故障应急处理流程及时处理，并向上级领导及相关部门及时报告。做好一线技术支持工作。(5)对业务部门提出的服务请求，要快速、准确、耐心地做出解答。并做好事件的记录、跟踪及回馈的服务台支持工作。(6)随时监督机房环境卫生和无关的物品带入，妥善管理设备工具。(7)遵照机房安全管理制度规定，制止任何违规进入机房人员及其他不当行为。(8)监督维保厂家对机器设备进行定期巡检和维护，对巡检单据签字确认，留档备案。(9)遵照《人员/设备进出机房登记表》做好值班期间的人员、设备进出记录。1.2网络安全管理制度1.2.1防火墙安全管理职责说明1.防火墙的逻辑管理，涉及用户、防火墙管理员、IT经理三个角色。2.用户包括公司业务部门工作人员、公司业务合作伙伴、公司外部系统服务商以及来访客户。3.防火墙管理员负责受理解决用户提出的防火墙相关需求，评估防火墙的配置措施和变更风险，并将分析结果报告给IT经理。4.IT经理负责审批防火墙相关的配置变更措施，确认防火墙管理员对此配置第5页/变更的评估结果符合公司安全策略和规范要求。1.2.2申请防火墙权限流程及创建策略公司业务部门工作人员因工作需要申请开通防火墙端口通信权限时，需要填写“网络服务访问申请/变更表”。经用户所在业务部门经理审批通过后，由防火墙管理员受理需求。防火墙管理员按照最小授权原则来评估此权限是否与业务处理需求相符，写出配置措施和风险分析，并将分析结果提交IT经理审批。经IT经理审批通过后，防火墙管理员为员工在防火墙上实施配置变更创建相应权限策略。如果用户需要临时在防火墙上开通端口访问权限，则应在“网络服务访问申请/变更表”备注中注明使用时限。其它步骤按照创建防火墙权限策略流程执行。超过使用时限后，由防火墙管理员通知用户并得到用户确认后，撤销此权限策略。防火墙管理员应明确告知用户应对由其所具有的防火墙端口权限对生产系统产生的影响负责。用户应保证开通的端口权限只用于生产业务数据传输，不可供生产业务以外的应用服务使用。公司业务合作伙伴与公司进行通信需要在防火墙上开通访问权限时，应有公司相应业务部门工作人员来提出开通防火墙端口权限请求，并填写“网络服务访问申请表”。其余审批步骤与创建公司内部员工权限策略相同。如因公司系统服务商与公司进行通信，需要在防火墙上开通端口权限时，应由防火墙管理员自行填写“网络服务访问申请/变更表”，经IT经理审批通过后方可创建相应权限策略。在系统服务商服务结束后，必须及时撤销防火墙相应策略。防火墙管理员应根据最小授权原则，为来访客户IP地址统一在防火墙上配置相应权限策略，并禁止来访客户IP地址访问公司内部网络。1.2.3变更防火墙权限流程及变更策略由于业务或技术变动需要变更公司与外部站点之间的通信方式时，涉及到防火墙相关权限策略的变动，应该由业务部门员工向防火墙管理员提交“网络服务访问申请/变更表”。经业务部门经理审批通过后防火墙管理员受理需求，分析变更实施过程和相关风险，提交IT经理审批。经IT经理审批通过后，防火墙管理员在防火墙上实施配置变更，撤销原有权限策略并创建新权限策略。第6页/1.2.4撤销防火墙权限策略公司业务部门工作人员进行部门调动、离职时，需要撤销其原IP地址在防火墙上配置的相应的权限策略。员工所在业务部门通知IT经理，由IT经理指定防火墙管理员在防火墙上实施配置变更，撤销员工IP地址所具有的权限。公司系统服务商的服务到期后，相关部门应通知IT经理，由IT经理指定防火墙管理员在防火墙上实施配置变更撤销系统服务商IP地址所具有的权限。1.2.5内审和复核根据职责分离原则，防火墙管理员备份岗位工作人员每6个月应负责检查一次防火墙的设置是否符合防火墙配置规范，并填写检查记录。IT经理每6个月负责检查一次“防火墙的配置规范”是否符合公司安全策略要求，并填写检查记录。1.3账号和权限管理制度1.3.1网络设备账号权限审批制度1.3.1.1账号权限管理职责说明账号权限的管理，包括用户账号的添加、修改和注销操作。涉及用户、业务部门接口人、网络管理员和IT经理四个角色。用户包括公司业务部门工作人员、公司业务合作伙伴、公司外部系统服务商以及来访客户。业务部门接口人负责本公司与业务合作伙伴之间的业务协调工作。网络管理员负责受理解决用户提出的账号权限相关需求，按照最小授权原则，评估账号权限是否与业务需求相符，是否会对生产业务产生潜在风险。并将评估结果报告给IT经理。IT经理负责审批用户账号、权限相关配置变更是否满足公司相应的安全策略，对网络管理员对配置变更的评估结果进行确认。第7页/1.3.1.2账号申请流程及创建规则1.公司业务部门工作人员因工作需要新建账号时，需填写“系统账号申请表”。经用户所在业务部门经理审批通过后，由网络管理员受理需求。网络管理员按照最小授权原则评估用户账号权限是否与业务处理需求相符，并将分析结果提交IT经理审批。经IT经理审批通过后，网络管理员为员工创建账号、授予权限并通知员工。如果，用户需要建立临时帐号，应在“系统账号申请表”备注中写明使用时限。其它步骤按照新创建账号的管理制度执行。超过使用时限后，由网络管理员通知用户后，将此账号注销。网络管理员应明确告知用户对其所分配的账号的行为负责。用户要妥善使用和保管好自己的账号和密码，不得将帐号提供给他人使用。2.公司业务合作伙伴需要创建账号时，可以向业务部门接口人提出请求。由业务部门接口人向网络管理员提出创建账号请求，并填写“系统账号申请表”。其余审批步骤与新建公司内部员工账号步骤相同。3.如因工作需要为公司系统服务商创建账号时，由网络管理员根据最小授权原则自行填写“系统账号申请表”，经IT经理审批通过方可后创建账号。待系统服务商服务到期结束后，必须及时给予注销。4.网络管理员为来访客户统一分配IP地址网段，并实施身份验证。只允许客户具有普通访问外网权限，并禁止客户账号访问公司内部网络系统。一旦客户离开则立即撤销其账号。5.网络管理员对用户账号授权时，应检查授予的访问等级是否适应业务访问控制策略，是否符合网络的信息安全策略。此外，网络管理员应对照网络设备相关定义，检查对账号的授权中是否有高权限。如有高权限，必须将此用户账号的操作纳入安全审计日志中。6.按照责任分离的原则，网络管理员为经过批准用户设立账号，一个账号对应唯一的用户。网络管理员在建立用户账号时，要在账号说明中详细标注用户名称、部门和账号所关联的业务等必要信息。7.对于默认系统账号、商业软件自建账号，在正式投产前应删除或禁用此类账号。网络管理员应严加控制。如根据具体运行环境情况，确实需要使用这些账号，应在投入生产前更改缺省账号密码。第8页/1.3.1.3账号权限变更当遇到用户岗位变动或者业务变更，需要修改原有账号访问权限时。网络管理员应要求用户重新填写“系统账号申请表”，说明账号权限变更理由，提出账号权限变更请求。经用户所在部门经理审批通过后由网络管理员受理。网络管理员按照最小授权原则评估用户账号权限是否与业务处理需求相符，并将分析结果提交I