软件平台运维服务方案设计.docx

1、软件平台运维服务方案设计软件平台系统运维方案1.技术支持服务技术服务主要包括如下：400支持、线上客服务、远程服务；针对上述技术支持服务工作，提供2名专责客服务人员；1.1 400专门成立Call Center团队，保障做好平台的技术支持服务工作；收集整理相关问题记录，最终形成问题库，通过问题库更好的为客户提供相应服务；主要提供服务主要包括如下：通话录音智能来电分配客服工号播报服务评分1.2 线上客服线上客户主要为广大用户提供俩大类服务，主要服务的容如下：问题查找：系统自动根据当前用户所关心的问题，列出最近的相关问题，并对问题可分类进行展示，用户也可通过“搜索”进行查找；提交工单：用户也可以向

2、系统管理员提交工单，管理员接到工单后，会针对提交工单进行相应处理，用户可查看到管理员所反馈工单处理结果；1.3 远程协助 远程协助主要通过远程终端操作，解决用户在使用系统过程中遇到的各类问题；1.4 客服满意度用户提出来所有问题，均采用“一问一答”闭环式关闭所有问题；并对相关问题形成完整问题记录库；400，所有通话至少保留10个工作日通话语音记录，便于以后追责；启用客服满意度评估机制，有效提高客服满意度；2.运维服务2.2基础运维主要从物理安全、网络安全、主机安全、应用安全、数据安全以及日常设备巡检六个层面分别进行。具体容为： (1)物理安全：针对信息系统所处的物理环境即机房、线路、基础支撑设

3、施等进行标准符合性识别。主要包含：物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面。针对各个风控点安排相应的技术人员进行排查；(2)网络安全：对工作围的网络与安全设备、网络架构进行网络安全符合性排查检验。主要包含：结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防、恶意代码防、网络设备防护等方面，针对各个风控点安排相应的技术人员进行排查； (3)主机安全：针对身份鉴别、访问控制、安全审计、系统保护、入侵防护、恶意代码防护、资源控制等方面，针对各个风控点安排相应的技术人员进行排查； (4)应用安全：对信息系统进行应用安全

4、符合性排查。如身份鉴别、访问控制、安全审计、通信完整性、通信性、抗抵赖、软件容错、资源控制等方面，针对各个风控点安排相应的技术人员进行排查； (5)数据安全：主要检查系统的数据在采集、传输、处理和存储过程中的安全，针对各个风控点安排相应的技术人员进行排查；(6)日常巡检：检查系统相关服务器操作系统、数据库和中间件的开放服务及端口、磁盘使用率、存使用率、账户设置（定期修改密码并且满足复杂度和长度）、登录设置、文件权限设置、审计、共享资源、补丁更新和病毒防护等情况；防火墙的访问控制策略、网络连接数限制等信息，检查入侵检测、安全审计设备的审计策略配置、特征库版本情况等；等级每次巡检记录。2.3重大节

5、日保障保证重要活动节假日期间平台安全可靠运行，全面提高维护队伍应对突发情况的综合管理水平和应急处置能力，最大限度地保证重大节假日期间平台稳定安全运行和可靠畅通：(1)应急资源、人员准备：重要的节假日前期，提前做好资源分配工作、做好应急预案，成立专职保障小组、安排专人进行24小时待命。系统出现异常情况时，做到第一时间响应。(2)加强监控和巡视(3)应急处理：平台发生预警、异常时，值班人员根据应急预案进行第一时间响应；重大突发情况时，值班人员应第一时间上报负责人，负责人进行协调资源进行排除故障，恢复到系统正常运行状态。做好应急处置记录，形成应急报告。2.4漏洞扫描检 借助专业化漏洞检测工具，对检测

6、围的交换机、路由器和服务器实施扫描，发现配置上存在的弱点，作为对手工检查工作所获取数据的补充，同时也是制定安全加固方案的重要依据。 2.5渗透测试 通过模拟黑客对信息系统进行渗透测试，发现分析并验证其存在的主机安全漏洞、敏感信息泄露、SQL注入漏洞、XSS跨站脚本漏洞及弱口令等安全隐患，评估系统抗攻击能力，提出安全加固建议。 针对信息系统的渗透测试将采取两种类型： 第一类型：互联网渗透测试，是通过互联网发起远程攻击，比其他类型的渗透测试更能说明漏洞的严重性； 第二类型：网渗透测试，通过接入部网络发起部攻击，主要针对信息系统的后台管理系统进行测试。 2.6源代码测评 依据CVE（Common V

7、ulnerabilities & Exposures）安全漏洞库、设备厂商公布的漏洞，根据测试用例对信息系统的源代码进行安全扫描，对安全漏洞进行识别，给出整改建议方案。3.定制开发服务系统运行期间，根据实际使用情况和业务需求，可进行定制化开发服务，其中包括：系统优化：业务优化调整、界面优化调整、性能优化新增需求：新增业务的设计、开发定制开发服务流程4.服务器资源配置服务器配置数量说明DB服务器CPU：8核硬盘：1T存：64G1培训子系统与测评子系统共用一台DB服务器培训子系统CPU：8核硬盘：500G存：64G1部署教培子系统测评子系统CPU：8核硬盘：500G存：64G1部署测评子系统课件服

8、务子系统CPU：4核硬盘：1T存：32G1存放视频课件、图片、附件文件等资源，并提供对外访问服务网络带宽100M5.等保服务5.1 安全管理体系策略建立信息安全领导小组和信息安全工作组，形成符合等级保护二级基本要求的信息安全组织体系职责；建立信息安全管理制度和策略体系，形成符合等级保护二级基本要求的安全管理制度要求。5.2 安全管理体系实现重点落实安全管理制度、安全管理机构、人员安全管理、安全建设和安全运维的相关控制要求5.3 安全技术体系策略以电力行业人才发展服务平台为保障对象，以基本要求中等级保护二级要求为控制要求建设安全技术体系框架；安全技术体系建设覆盖物理、网络、主机、应用、数据各层面

9、；通过业界成熟可靠的安全技术及安全产品，结合专业技术人员的安全技术经验和能力，系统化的搭建安全技术体系，确保技术体系的安全性与可用性的有机结合，达到适用性要求；建设集中的安全管理平台，实现信息系统的集中运维控制与有效安全管理。5.4 安全技术体系实现安全总体设计方案的目标是能够符合国家等级保护政策的思路和基本要求，并结电力行业人才发展服务平台实际情况，切实指导电力行业人才发展服务平台安全建设项目网络改造、安全产品集成实施、安全管理体系文件编制和安全服务工作。物理安全：物理安全主要涉及的方面包括环境安全（防火、防水、防雷击等）设备和介质的防盗窃防破坏等方面。具体包括：物理位置的选择、物理访问控制

10、、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等十个控制点。网络安全：网络层安全主要涉及的方面包括结构安全、安全审计、边界完整性检查、入侵防、恶意代码防、网络设备防护几大类安全控制。主机安全：主机层安全主要涉及的方面包括身份鉴别、访问控制、安全审计、入侵防、恶意代码防、资源控制几大类安全控制。对应到安全保护对象，从操作系统安全、安全监控和审计、恶意代码防、其它保护控制四个层面进行阐述应用安全：应用安全需要在应用系统的设计、开发过程和运行维护中进行设计与改进。针对应用系统的结构特性，将在软件架构、安全功能、程序控制安全二方面进行安全保障。数据安全：数据安全通过

11、数据完整性、数据性、备份和恢复、网页完整性保护进行安全保障。5.5 系统安全产品部署架构图平台网络根据业务类型及安全需求划分为接入区、服务器区、存储区、测试区、安全管理区五个安全域，各区域均依照等保二级要求架设网络环境，安全区域示意图如下：1.外部访问区：由联通出口组成，提供Internet互联网访问服务，带宽为100M；2.DMZ区：由联通线路组成，提供Internet接入服务；本安全区设置有DMZ区，通过防火墙进行安全隔离；DMZ区部署了向互联网提供服务器的应用服务器，包括WEB应用防护、培训系统应用服务器、课件服务子服务器等；3.核心数据库区域：部署了网络的核心交换设备，用于数据的高速转

12、发；4.安全管理区：本安全区主要用于部署各类信息安全产品及相关服务器，目前主要包括网络安全设计系统、安全核查系统、综合日志管理系统、检测系统、入侵防护系统等；5.部用户区：业务终端的接入区域；5.6 系统安全产品清单部署产品数量部署位置部署作用链路负载均衡（可选）1台外网出口链路负载，以备双链路使用服务健康检查网络审计系统（可选）1台外网出口审计网用户上网行为，可供公安部82号令要求封堵与办公无关应用，提高员工办公效率管理部网络带宽，合理分配流量，保障核心业务流量下一代防火墙2台外网出口（双机）保护安全管理区设备的安全对业务网进行独立防护，进行访问控制、攻击防御入侵检测1台核心交换机旁挂对入侵

13、行为的检测。它通过收集和分析网络行为、安全日志、审计数据、等信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。积极主动地安全防护技术，提供了对部攻击、外部攻击和误操作的实时保护WAF1台WEB服务器前端WEB应用防护，防止web业务被破坏、篡改对传输数据进行容检测，保障数据安全，防泄密服务器端防病毒软件（网络版）6点DMZ区主机安全集中管理设备1台旁挂网核心交换机处统一管理网安全设备，可实时监控数据库审计系统1台旁挂核心交换机上审计服务器里的数据库，以便责任做到追溯到人机房防盗报警系统1套中心机房物理安全6.安装培训每个基地预计平均3人天的安装培训服务。6.2培训目标1)使关键用

14、户能够理解并熟练掌握标准业务流程的操作；2)通过培训为后续的系统运行做好充分准备。6.3培训对象各基地相关系统管理员和业务管理员。6.4培训方式现场培训现场培训旨在针对不同的用户、用户工作、用户环境提供大量小规模、有针对性甚至点对点的系统用户培训。这种培训的特点是针对性强、直观、方式灵活，而且与实际结合紧密，用户在培训中的问题可以及时得到解答。在系统安装、调试时我们将邀请用户的技术人员参与系统的安装、调试等各项工作，并在实施地点进行现场安装、配置、诊断、管理、维护等方面的培训。现场培训是为技术人员提供的培训，培训的围包括系统平台、应用平台、应用软件等的安装调试和管理维护。6.5培训容系统管理培训：与安全对策相关的信息的普及及其使用方法和系统用户的培训；在管理系统用户时实施的对策；在管理整个系统的信息时实施的对策；在记录、分析和保管管理系统的工作历史、使用记录等时实施的对策。业务流程培训：对业务人员进行整合后的新业务办理流程操作培训，既要熟悉所办的前一个业务，同时也要掌握所办业务的后一个流程，了解其业务环节在整个新流程中所处的位置。