IT运维管理制度.docx
《IT运维管理制度.docx》由会员分享,可在线阅读,更多相关《IT运维管理制度.docx(16页珍藏版)》请在冰豆网上搜索。
IT运维管理制度
日常IT运维管理制度
为完成运维任务必须建立相应的技术支持管理制度,使维护工作做到有章可循,有据可查。
同时对制定的各个制度的执行情况进行质量考核,对运维团队的工作绩效进行评估,促进制度更好落实,确保高质量地完成各项维护支持任务。
1.0运维管理制度总则
1.0.1运维保障机制
(1)建立硬件、网络、系统,应用及业务软件日常维护流程机制;
(2)建立故障应急处理流程机制;
(3)建立备份恢复保障机制;
(4)建立安全保障管理机制;
(5)建立版本管理机制,管理平台生产环境运行的软件版本;
以上机制应形成文档,作为日常遵循规.按要求执行。
1.0.2硬件维护能力
需对硬件设备具备7*24小时不间断的支持、响应能力,原则上每日对硬件设备至少检查一次并记录;定期对网络环境进行检查。
对服务器进行硬件检测,存、硬盘、I/O的使用情况进行查询并进行登记,每台服务器运行的软件对硬件性能使用情况检测,对于服务器我们进行系统备份,每日对网络使用情况进行观察,针对突发异常流量进行分析。
1.0.3故障处理响应及需求
设备(系统)出现故障时,根据不同的故障级别提供相应的服务响应,响应式及要求如下:
故障级别
故障容
响应时间及效果
其他
Ⅰ级别
一般故障
出现系统故障,不影响系统运行,不影响业务正常运作
工程师及时响应处理,24小时解决。
对于硬件故障(含机房环境故障),要求不论在时确诊需要进行备件更换,发出备件更换指令起3小时备件到达故障现场,并恢复系统正常运行。
Ⅱ级别
次要故障
出现系统故障,影响系统运行或影响非关键业务运作,不影响核心业务运作
工程师及时响应处理,8小时解决
Ⅲ级别
重大故障
出现系统故障,系统崩溃或其他状况,影响核心业务的正常运行
工程师及时响应处理,2小时解决
1.0.4具备应急预案
针对部署并进行实施系统备份、软件重要数据实时备份,主机备份是提供的保留某个时间点上的主机系统数据状态的服务。
基于主机备份可以随时生成或删除备份,并基于已备份进行主机的恢复,实现已有应用和主机数据的快速复用,如系统出现事故无法使用将进行系统恢复并把最近一次备份的数据进行恢复。
对于突发情况建立应急服务流程,主要是针对可能发生的各种意外情况设计应急案。
以控制和规避突发事件带来的集中性风险,从而降低设备集中性风险所造成的损失。
1.0.5数据库维护能力
每日对数据库进行日常巡检,容包括对日志、会话数、表空间、磁盘空间等主要数据库参数进行检查(需要配置监控软件);对数据库进行数据备份、归档日志整理、表空间维护、权限分配、异常问题处理;对数据库相关工作进行维护;定期对数据库进行重启,以释放资源;制定数据备份案及数据恢复演练案,定期进行数据恢复演练。
1.0.6中间件维护能力
对中间件进行运行状况检查;每日对核心中间件和应用日志进行检查。
定期对中间件性能进行检测,必要时进行优化处理。
1.0.7安全要求
需要按照信息系统等级保护的要求对系统进行维护,包括但不仅限于:
(1)定期对系统进行风险评估工作,包括对及应用接口进行外网渗透测试、对部主机进行漏洞扫描,并完成加固工作;
(2)对进行7*24小时安全监测,发现问题及时记录并处理;
(3)需每至少一日对信息系统进行安全巡检。
包括对网络安全设备的巡检、配置优化,对信息系统的各类状态进行判断,定期升级规则库和系统版本。
1.0.8运维服务式
为了保证项目所有软硬件设备的正常运行,我提供了灵活的服务式,可以充分满足项目的需求,服务式有以下几种:
服务台——提供技术咨询、服务请求受理、任务分派、意见受理客户、服务专员快速通道、服务查询等服务。
远程支持服务——为终端用户提供远程技术维护服务。
现场服务——为远程未能解决的问题提供技术支持、现场维护服务。
1.0.9运维人员管理
(1)人员储备
建立与运行维护服务相关的人员储备计划和机制,确保有足够的人员,以满足与需约定的当前和未来的运行维护服务需求。
(2)人员培训
建立与远行维护服务相关的培训体系或机制,在制定培训计划时,识别培训要求,并提供及时和有效的培训。
(3)绩效考核
建立与运行维护服务相关的绩效考核体系或机制,并能够有效组织实施。
1.0.10岗位结构
有专职团队负责运行维护服务的工作,对运行维护服务中的不同角色有明确分工和职责定义,为了保障运行维护服务交付的顺利实施,需也应提供必要的接口。
一个完整的运行维护服务团队应包括管理、技术支持、操作等主要岗位:
(1)管理岗职责:
a)在运行维护服务中负责管理运行维护服务;
b)与需建立顺畅的沟通渠道,准确地将需的需求传递到运行维护服务团队;
c)规划、检查运行维护服务的各个过程,对运行维护服务能力的策划、实施、检查、改进的围、过程、信息安全和成果负责。
(2)技术支持岗职责:
a)在运行维护服务中负责技术支持,包括网络、操作系统、数据库、中间件、应用开发、硬件、集成、信息安全等;
b)对运行维护服务过程中的请求、事件和问题做出响应,保障信息安全并对处理结果负责。
(3)操作岗职责:
a)在运行维护服务中负责日常操作的实施;
b)根据规和手册,执行运行维护服务各过程,并对其执行结果负责。
1.0.11整理知识库
具备运行维护服务活动相关的知识积累,以保证在整个组织收集、共享、重复使用所积累的知识和信息,包括:
(1)针对常见问题的描述、分析和解决法建立知识库;
(2)确保整个组织的知识是可用的、可共享的;
(3)选择一种合适的知识管理策略;
(4)知识库具备知识的添加、更新和查询功能;
(5)针对知识管理要求制定相关管理制度,并进行知识生命期管理。
1.1机房运维管理制度
1.1.1数据中心环境安全管理
数据中心进出安全管理的重点在于对不同的访问区域制定不同的安全管控和出入原则。
将数据中心划分3类不同类别的管控区域和安全区域。
公共区域、办公区域、机房区域。
1.公共区域:
这些区域通常用于数据中心生活与展示的配套区域。
该区域经授权并在遵守相关制度的前提下来访者可自由进出。
2.办公区域:
数据中心日常工作区域。
这类区域的进入通常为数据中心部员工及运维人员,需经授权访问。
3.机房区域:
机房区域是数据中心的核心区域。
该区域应有格的进出管控,外来人员进出需提前提出申请,来访者进出机房区域需经授权,进出需登记。
除了数据中心人员进出管理外,还应考虑设备和物品进出的流程。
设备和物品的进出也应得到正式的审批,特别是对于机房区域的设备应重点管控。
应通过机房人员/设备登记表详细记录。
设备出门需开具出门凭据等。
1.1.2机房安全管理制度
1.机房应防尘、防静电,保持清洁、整齐,设备无尘、排列正规、工具就位、资料齐全。
2.机房门外、通道、设备前后和窗口附近,均不得堆放物品和杂物,做到无垃圾、无污水,以免妨碍通行和工作。
3.格遵照《消防管理制度》规定,机房禁烟火,禁存放和使用易燃易爆物品,禁使用大功率电器、禁从事危险性高的工作。
如需施工,必须取得领导、消防、安保等相关部门的可可施工。
4.外来人员进入机房应格遵照机房进出管理制度规定,填写人员进出机房登记表,在相关部门及领导核准后,在值班人员陪同下进出,机房进出应换穿拖鞋或鞋套。
5.进入机房人员服装必须整洁,保持机房设备和环境清洁。
外来人员不得随意进行拍照,禁将水及食物带入机房。
6.进入机房人员只能在授权区域与其工作容相关的设备上工作,不得随意进入和触动XX以外的区域及设备。
7.任设备出入机房,经办人必须填写设备出入机房登记表,经相关部门及领导批准后可进入或搬出。
1.1.3服务人员安全及管理制度
1.维护工程师必须熟悉并格执行安全准则。
2.外部人员因公需进入机房,应经上级批准并指定专人带领可入。
3.有关通信设备、网络组织电路开放等资料不得任意抄录、复制,防止失密。
需要监听电路时,应按规则进行。
4.机房消防器材应定期检查,每个维护人员应熟悉一般消防和安全操作法。
5.机房禁吸烟和存放、使用易燃、易爆物品。
6.搞好安全教育,建立定期检查制度,加强节假日的安全工作。
7.未经有关领导批准,非机房管理人员禁入机房。
8.机房禁烟火,不准存放易燃易爆物品。
9.注重电气安全,禁违章使用电器设备,不准超负荷使用电器。
10.按规定配备消防器材,并定期更新。
11.定期检查接地设施、配电设备、避雷装置,防止雷击、触电事故发生。
12.发现事故苗头,应尽快采取有效措施,并及时报告领导。
13.进行维修时,格按照程序进行,杜绝人为事故发生。
14.禁违规接入大功率无线发射设备。
1.1.4网络安全管理制度
1.运行维护部门必须制定相应的体系确保网络安全,维护人员必须确立网络安全第一的意识。
2.在网络建设期必须考虑工程和现网的关系,加强施工安全管理和网络割接准备工作,确保现网的安全,禁人为事故发生。
3.网络运行维护期应确保维护工作、设备运行、系统数据的安全。
4.客户数据的制作以及对设备的指令操作要格按照客户数据制作规和设备技术手册的要求根据工单执行;对设备的所有操作要有详细记录,操作时要一人操作一人核对,准确无误可执行,操作人员要在工单上签字确认。
5.网络运行维护期的安全可以通过三种控制法保证,操作控制包括对操作流程、客户分级,权限分级、操作记录、远程管埋、密码管理、防火墙技术、数据备份的安全保证;运行控制包括对告警处理、测试、性能分析、应急预案的安全保证;操作设备控制包括防病毒,杀毒软件、非生产应用软件的安全控制。
6.未经可,禁设备厂商通过远程控制技术对设备进行修改维护,运行维护部门应有可靠的防措施。
7.为保证远程技术支持的可靠性,需定期对远程维护设备、端口进行检查,在确保安全的同时确保其可用性。
8.磁盘、磁带等必须进行检查确认无病毒后,可使用。
9.为保证网络安全,远程维护设备在一般情况下要处于关闭状态,只有在需要的时候才开通使用。
1.1.5数据中心值班制度
1.值班人员应守岗位,按照规定时间上下班,无法按时到岗应提前向上级领导汇报,由上级领导负责调换班。
2.值班时间要尽职尽贵,禁止从事与值班无关的事情。
3.参照《机房日常监控及巡检容》按时巡检机房环境设施,密切注意电源、温度、湿度等机房环境情况;随时监控IT系统、网络工作状态,详细记录异常情况。
4.发生任异常情况时,应格执行故障应急处理流程及时处理,并向上级领导及相关部门及时报告,做好一线技术支持工作。
5.对业务部门提出的服务请求,要快速、准确、耐心地做出解答。
并做好事件的记录、跟踪及回馈的服务台支持工作。
6.随时监督机房环境卫生和无关的物品带入,妥善管理设备工具。
7.遵照机房安全管理制度规定,制止任违规进入机房人员及其他不当行为。
8.监督维保厂家对机器设备进行定期巡检和维护,对巡检单据签字确认,留档备案。
9.遵照《人员/设备进出机房登记表》做好值班期间的人员、设备进出记录。
1.2网络安全管理制
1.2.1防火墙安全管理职责说明
1.防火墙的逻辑管理,涉及用户、防火墙管理员、IT经理三个角色。
2.用户包括公司业务部门工作人员、公司业务合作伙伴、公司外部系统服务商以及来访客户。
3.防火墙管理员负责受理解决用户提出的防火墙相关需求,评估防火墙的配置措施和变更风险,并将分析结果报告给IT经理。
4.IT经理负责审批防火墙相关的配置变更措施,确认防火墙管理员对此配置变更的评估结果符合公司安全策略和规要求。
1.2.2申请防火墙权限流程及创建策略
公司业务部门工作人员因工作需要申请开通防火墙端口通信权限时,需要填写“网络服务访问申请/变更表”。
经用户所在业务部门经理审批通过后,由防火墙管理员受理需求。
防火墙管理员按照最小授权原则来评估此权限是否与业务处理需求相符,写出配置措施和风险分析,并将分析结果提交IT经理审批。
经IT经理审批通过后,防火墙管理员为员工在防火墙上实施配置变更创建相应权限策略。
如果用户需要临时在防火墙上开通端口访问权限,则应在“网络服务访问申请/变更表”备注中注明使用时限。
其它步骤按照创建防火墙权限策略流程执行。
超过使用时限后,由防火墙管理员通知用户并得到用户确认后,撤销此权限策略。
防火墙管理员应明确告知用户应对由其所具有的防火墙端口权限对生产系统产生的影响负责。
用户应保证开通的端口权限只用于生产业务数据传输,不可供生产业务以外的应用服务使用。
公司业务合作伙伴与公司进行通信需要在防火墙上开通访问权限时,应有公司相应业务部门工作人员来提出开通防火墙端口权限请求,并填写“网络服务访问申请表”。
其余审批步骤与创建公司部员工权限策略相同。
如因公司系统服务商与公司进行通信,需要在防火墙上开通端口权限时,应由防火墙管理员自行填写“网络服务访问申请/变更表”,经IT经理审批通过后可创建相应权限策略。
在系统服务商服务结束后,必须及时撤销防火墙相应策略。
防火墙管理员应根据最小授权原则,为来访客户IP地址统一在防火墙上配置相应权限策略,并禁止来访客户IP地址访问公司部网络。
1.2.3变更防火墙权限流程及变更策略
由于业务或技术变动需要变更公司与外部站点之间的通信式时,涉及到防火墙相关权限策略的变动,应该由业务部门员工向防火墙管理员提交“网络服务访问申请/变更表”。
经业务部门经理审批通过后防火墙管理员受理需求,分析变更实施过程和相关风险,提交T经理审批。
经IT经理审批通过后,防火墙管理员在防火墙上实施配置变更,撤销原有权限策略并创建新权限策略。
1.2.4撤销防火墻权限策略
公司业务部门工作人员进行部门调动、离职时,需要撤销其原IP地址在防火墙上配置的相应的权限策略。
员工所在业务部门通知IT经理,由IT经理指定防火墙管理员在防火墙上实施配置变更,撤销员工IP地址所具有的权限。
公司系统服务商的服务到期后,相关部门应通知IT经理,由IT经理指定防火墙管理员在防火墙上实施配置变更撤销系统服务商IP地址所具有的权限。
1.2.5审和复核
根据职责分离原则,防火墙管理员备份岗位工作人员每6个月应负责检查一次防火墙的设置是否符合防火墙配置规,并填写检查记录。
IT经理每6个月负责检查一次“防火墙的配置规”是否符合公司安全策略要求,并填写检查记录。
1.3账号和权限管理制度
1.3.1网络设备账号权限审批制度
1.3.1.1账号权限管理职责说明
账号权限的管理,包括用户账号的添加、修改和注销操作。
涉及用户、业务部门接口人、网络管理员和IT经理四个角色。
用户包括公司业务部门工作人员、公司业务合作伙伴、公司外部系统服务商以及来访客户。
业务部门接口人负责本公司与业务合作伙伴之间的业务协调工作。
网络管理员负责受理解决用户提出的账号权限相关需求,按照最小授权原则,评估账号权限是否与业务需求相符,是否会对生产业务产生潜在风险。
并将评估结果报告给IT经理。
IT经理负责审批用户账号、权限相关配置变更是否满足公司相应的安全策略,对网络管理员对配置变更的评估结果进行确认。
1.3.1.2账号申请流程及创建规则
1.公司业务部门工作人员因工作需要新建账号时,需填写“系统账号申请表”。
经用户所在业务部门经理审批通过后,由网络管理员受理需求。
网络管理员按照最小授权原则评估用户账号权限是否与业务处理需求相符,并将分析结果提交IT经理审批。
经IT经理审批通过后,网络管理员为员工创建账号、授予权限并通知员工。
如果,用户需要建立临时,应在“系统账号申请表”备注中写明使用时限。
其它步骤按照新创建账号的管理制度执行。
超过使用时限后,由网络管理员通知用户后,将此账号注销。
网络管理员应明确告知用户对其所分配的账号的行为负责。
用户要妥善使用和保管好自己的账号和密码,不得将提供给他人使用。
2.公司业务合作伙伴需要创建账号时,可以向业务部门接口人提出请求。
由业务部门接口人向网络管理员提出创建账号请求,并填写“系统账号申请表”。
其余审批步骤与新建公司部员工账号步骤相同。
3.如因工作需要为公司系统服务商创建账号时,由网络管理员根据最小授权原则自行填写“系统账号申请表”,经IT经理审批通过可后创建账号。
待系统服务商服务到期结束后,必须及时给予注销。
4.网络管理员为来访客户统一分配IP地址网段,并实施身份验证。
只允客户具有普通访问外网权限,并禁止客户账号访问公司部网络系统。
一旦客户离开则立即撤销其账号。
5.网络管理员对用户账号授权时,应检查授予的访问等级是否适应业务访问控制策略,是否符合网络的信息安全策略。
此外,网络管理员应对照网络设备相关定义,检查对账号的授权中是否有窩权限。
如有高权限,必须将此用户账号的操作纳入安全审计日志中。
6.按照责任分离的原则,网络管理员为经过批准用户设立账号,一个账号对应唯一的用户。
网络管理员在建立用户账号时,要在账号说明中详细标注用户名称、部门和账号所关联的业务等必要信息。
7.对于默认系统账号、商业软件自建账号,在正式投产前应删除或禁用此类账号。
网络管理员应加控制。
如根据具体运行环境情况,确实需要使用这些账号,应在投入生产前更改缺省账号密码。
1.3.1.3账号权限变更
当遇到用户岗位变动或者业务变更,需要修改原有账号访问权限时。
网络管理员应要求用户重新填写“系统账号申请表”,说明账号权限变更理由,提出账号权限变更请求。
经用户所在部门经理审批通过后由网络管理员受理。
网络管理员按照最小授权原则评估用户账号权限是否与业务处理需求相符,并将分析结果提交IT经理审批。
经IT经理审批通过后,网络管理员修改用户账号权限并通知员工。
1.3.1.4账号注销
1.公司部员工调动、离职或终止使用网络设备时,需要撤销其使用的账号。
用户所在部门应按流程,通知IT经理,由IT经理指定网络管理员撤销员工所使用的账号。
网络管理员在确认没有和此账号相关联的系统配置和数据(如使用此账号加密的数据)后,撤销用户账号的访问权限并注销用户账号。
如果存在账号直接关联的系统配置或数据时,应首先解除此关联,再撤销用户账号的访问权限并注销用户账号。
2.公司系统服务商服务到期后,相关部门应通知IT经理,由IT经理指定网络管理员在确定已经取消系统服务商账号与相关配置和数据的关联性后,撤销系统服务商账号。
3.网络管理员至少每季度检查用户账号的使用情况,对于长时间(如3个月)无人使用的账号,经账号所属部门经理确认后及时给与注销。
如账号所属部门要求保留账号,应提交保留申请和保留期限。
账号所属部门不能将账号随便转给其他用户使用。
对所保留的用户账号,设置该账号处于禁用状态,重新启用这些账号时,账号所属部门仍需向运行维护部门提出申请。
经IT经理审批同意后,网络管理员可激活此账号供用户使用。
1.3.1.5账号权限复查
对于所有注册并使用公司网络设备的用户账号,网络管理员应保存正式记录和用户清单,建立相应的“账号权限矩阵表”,进行集中管理,并定期维护和更新。
网络管理员应参照系统访问控制策略,和“账号权限矩阵表”,至少每半年复查用户的访问权限。
对高权限账号的分配情况,网络管理员至少每半年核查一次,以便及时查处并清理XX的高权限账号。
对此类高权限账号,网络管埋员在确认不影响生产的前提下,应及时回收。
事后通报相关用户和上级领导,并由该用户承担相应责任和处罚。
对高权限用户账号的使用情况,网络管理员需要每月进行核对,查看其使用情况是否被完全登记,并对登记的容进行检查。
1.3.1.6账号密码管理
用户在登陆网络设备时,都要求输入其账号所对应的密码。
网络管理员会在用户注册时,为其账号设置初始密码,并在首次启用时强制用户对密码进行更改。
网络设备账号密码应妥善使用和保管,并按照以下建议进行设置,以确保账号安全:
所有账号密码均应以密文形式存储在网络设备上。
普通用户密码长度不少于6个字符,高权限用户密码长度不少于8个字符。
建议设置的密码采用字母与数字混合形式的字符串。
用户设置密码应保证自己容易记忆,但尽量不基于以下容易猜测的字符串,比如:
个人、部门名称、公司名称、、出生日期、连续数字、相同字符等。
用户尽量不使用私人用户密码。
当需要访问多个网络设备或多重服务时,建议用户使用单一的密码。
用户应定期重置密码,以确保账号安全。
普通用户密码至少每季度重置一次,高权限用户密码至少每月重置一次。
重置密码时,用户应不重复或者循环使用旧的密码,其中高权限用户密码至少6次之不重复使用。
用户不应把密码包含在任自动登录程序之中,例如:
把密码存在宏代码或者功能键上;用户忘记密码时,可向网络管理员提出重置密码请求,经用户所在部门领导批准后,在网络管理员帮助和指导下重新设置密码。
遇有系统或者密码可能被侵害的迹象时,用户应及时报告网絡管理员,并立即重置密码。
根据职责分离原则,网络设备高权限账号密码应由网络设备以外岗位的工程师进行管理。
网络管理员应每季度定期检查用户密码是否按以上规定设置,对不符合要求的应及时通知用户整改。
对用户拒不改正的,网络管理员应强制停用该账号,以确保网络设备的安全。
1.3.1.7账号权限的部控制与审计
为确保用户管理和密码管理的有效性,运行維护部门应对从事该项工作的网络管理员有控制措施。
必要时司以根据职责分离原则设置双向监督岗位。
同时,要对网络管理员和用户进行必要的安全意识教育。
网络管理员要遵守中心制度,确保职业操守,保证用户信息的安全。
工作中要按照审批流程格执行,并对所有操作保留记录,以备核查。
运行维护部门每年组织部审计,以确保该项工作的有效性。
部审计人员一般由业务管理部门和运行维护部门的工作人员组成。
根据职责分离原则,网络管理员不在审计人员行列之。
部审计的容主要以“账号权限管理部亩计表”中所作的强制性要求为准,建议性要求不在审计围之列。
部审计后,审计人员要认真填写“账号权限管理部审计表”,并对审计结果签署意见,必要时要有相应的说明。
该审计结果要及时反馈给相应部门和人员,并最后由运行维护部门负责存档。
1.3.2主机账号管理制度
1.3.2.1主机账号管理细则
1、主机账号分类
1.主机账号依其重要程度分为重要账号和普通账号。
重要账号包括:
A)具有集团业务系统及相关设备的完全或部分管理权限的账号为重要账号。
B)具有修改集团业务数据权限的账号为重要账号。
C)具有读取涉及集团秘密业务数据权限的账号为重要账号。
D)其它管理制度规定为重要账号的。
其它主机账号均归为普通账号。
2.账号依其生存期分为永久账号和临时账号,临时账号应格按照其生存期进行管理,到期注销。
2、账号注册与维护
1.使用唯一的用户ID,保护用户的操作行为与用户本人身份唯一对应,便于对用户行为的审计以及追溯。
2.检查系统所赋予用户的访问权限是否与业务目标匹配,防止出现过度授权现象。
3.应维护一份完整的主机账户权限列表,并做到及时更新。
3、口令生成及保存
1.账号分配时必须同时生成相应的口令,并且与账号一起传送给用户,不得创建没有口令的账号;
2.管理员在传递账号和口令时,应当采取安全的传输途径,以保证不会被中途截取;
3.用户在接受到账号和口令后,应在第一次登录账号时修改口令;
4.对于以口令作为唯一验证证据的账号,如果账号的用户名由确定且公开的规则产生,则口令不应当为公开的口令;
5.不得将账号口令明文存储在计算机上或写在记事本上;
6.为满足应急响应需求,应将重要账号的口令密封保存在安全场所,并随口
升级会员 