机房运维管理制度.pdf

. . 中爆安全网科技有限公司 机房运维管理制度 （草案） . . 前言 为了实现陕西中爆安全网科技有限公司机房IT 运维规范管理， 明确各相关部门职责，规范业务管理，使信息系统正常、高效安全运 行，充分发挥系统的良好作用，特制定本管理制度。 本管理制度由陕西中爆安全网科技有限公司系统集成部提出、起 草、归口并解释。 本管理制度的主要编写人员： 本管理制度的审核人： 本管理制度的批准人： 本管理制度自发布之日起实施。 执行中的问题和意见， 请及时反馈至陕西中爆安全网科技有限公 司系统集成部。 . . 第一章适用范围 本制度明确了陕西中爆安全网科技有限公司IT 的使用规定及工 作规范。 本制度适用于陕西中爆安全网科技有限公司IT 运维管理工作。 陕西中爆安全网科技有限公司所有相关人员均应严格遵照执行，与信 息安全相关的业务也应严格遵守本制度。 . . 第二章遵循的标准规范 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文 件，仅注日期的版本适用于本规范。凡是不注日期的引用文件，其最 新版本适用于本规范。 中华人民共和国计算机信息系统安全保护条例 中华人民共和国国家安全法 中华人民共和国保守国家秘密法 计算机信息系统国际联网保密管理规定 中华人民共和国计算机信息网络国际联网管理暂行规定 ISO27001 标准/ISO27002 指南 公通字200743 号信息安全等级保护管理办法 GB/T 21028-2007 信息安全技术服务器安全技术要求 GB/T 20269-2006 信息安全技术信息系统安全管理要 求 GB/T 22239-2008 信息安全技术信息系统安全等级保 护基本要求 GB/T 22240-2008 信息安全技术信息系统安全等级保 护定级指南 . . 第三章总则 围绕公司打造经营型、服务型、一体化、现代化的云计算数据中 心为总体目标，保障信息化建设，提高运维能力，保证运维管理系统 安全稳定的运行，明确岗位职责、规范系统操作、提高系统可靠性和 维护管理水平，特制定运维管理制度。 . . 第四章运维管理系统的范围 运维管理系统主要是针对陕西中爆安全网科技有限公司云计算 数据中心机房的空调UPS 设备、监控设备、消防设备、网络安全设 备、小型机、服务器、数据库系统、客户端的pc 机进行维护和管理。 . . 第五章运维管理人员的维护职责 1、动环监控管理人员负责整个机房的精密空调、UPS 电源、配 电柜、消防灭火系统、视频监控及新风系统的巡检和维护。 2、网络安全管理人员负责整个机房的交换机、路由器等网络设备 和防火墙、网闸、 IDS 和 VPN 网关等安全设备的巡检和维护 3、系统管理人员负责IT 运维服务器硬件的巡检和维护，负责操 作系统的巡检和维护， 负责硬件及操作系统故障的及时处理，负责系 统级用户和密码的管理，负责操作系统配置的优化，为IT 运维管理 系统数据库和应用的正常运行提供安全可靠的平台。 4、数据库管理人员负责该系统数据库巡检和维护工作，内容包 括：在数据库中管理IT 运维管理系统的用户及权限，数据备份及巡 检工作。 5、网管员负责整个公司的PC 机、打印机、程控电话系统、 无线路由器、配电柜等巡检和维护。 . . 第六章机房日常管理 1.严格机房工作人员的身份管理，参与机房运维的人员必须经 过甄选。 2.机房工作人员上岗前必须经过培训和考核。培训内容分为业 务培训、技术培训和安全保密培训， 经考核通过后方可上岗。 3.机房工作人员离职应严格遵守人员变更管理流程，非紧急情 况下应提前一个月以书面形式提交人员变更申请，经审核同 意后办理相关手续。 4.机房由机房主管人员和管理人员专门负责管理。进入机房的 人员必须登记而且必须穿戴防尘鞋套。 5.未经机房主管人员许可，任何人不得将机房内的设备随意搬 动，设备出、入机房必须登记造册。 6.对数据中心机房的网络设备、安全设备、服务器、小型机以 及其他设备需要进行配置修改的需要申领工作票。工作票由 系统集成部制定格式和表单，需要进入数据中心机房的人员 需要在系统集成部门申请领取。 7.除了机房管理人员，其他人员进入数据中心机房需要持有本 部门经理和系统集成部经理签字的工作票，并进行登记后方 可允许进入。 8.机房运维人员需要每周对机房的网络设备、安全设备、服务 . . 器、小型机以及网站和应用系统进行日常检查。网络设备、 安全设备、服务器、小型机的巡检内容由系统集成部制定， 网站和应用系统的巡检内容由开发部相关人员制定。 9.机房钥匙不得转借他人，未经许可不得随意配备。 10. 未经机房主管人员许可， 任何人不得随意操作机房中的设备。 对不按要求操作和使用而造成设备损坏的，除教育批评外， 还应照价赔偿，情节严重的给予行政处分。 11. 严禁携带易燃、易爆、腐蚀性、强电磁、辐射性、流体物质 等对设备正常运行构成威胁的物品进入机房。 12. 机房主管人员统一管理计算机及相关设备，完整保存计算机 及相关设备的驱动程序、保修卡及重要随机文件。 13. 建立机房登记制度，对本地局域网络、广域网的运行，建立 档案。未发生故障或故障隐患时当班人员不可对中继、光纤、 网线及各种设备进行任何调试，对所发生的故障、处理过程 和结果等做好详细登记。 14. 计算机及其相关设备的报废需经过管理部门或专职人员鉴 定，确认不符合使用要求后方可申请报废。 15. 机房内保持环境清洁，地面、窗台和窗户无灰尖。并经常为 服务器及交换机等设备除尘。保持室内空气干燥流通。 16. 网络及主机系统配置参数变更时，必须及时修改、 变更文档， 保持网络系统配置文档与实际参数对应一致，同时将原配置 归档。 . . 17. 外来人员进入内网机房， 需遵守机房管理规定， 一律填写机 房出入登记表，未授权的人员严禁进入内网机房。 18. 外来人员进入内网机房后要听从机房工作人员的安排，未经 许可严禁操作内网机房设备。 19. 外来人员得到授权后方可对有关设备进行操作，操作过程应 由机房工作人员全程陪同监督，操作后要填写操作记录 20. 外单位人员不得随意进入机房，进入机房参观学习的人员应 事先与综合部联系，得到机房负责人和总经理许可后方可进 入。 21. 机房内应配置事故照明装置，以备应急使用。 . . 第七章机房值班管理制度 1.机房实行 7× 24 小时值守，值班人员必须保证值班电话和手 机 24 小时畅通。 2.严格执行机房值班交接班制度，接班人员应提前10 分钟到 岗，与交班人员按要求完成交接班工作，并在交接班记录表 上签字。 3.交班人员如例行工作未完成，接班人员有权要求交班人员完 成应做工作。确因特殊情况未完成工作需说明原因，详细描 述其未完成工作的具体事项，由接班人员继续完成。 4.值班期间不得擅自离岗，因特殊情况确需离岗必须履行请示 程序，并在备班人员到岗完成交接班工作后方可离开。 5.值班人员应认真履行岗位职责，实时监测网络运行状态，发 现异常情况，迅速予以处理，并及时上报。不能现场解决的， 应及时通知技术支持人员协助处理。 . . 第八章消防安全管理制度 1.不得在机房内堆放无关物品，严禁易燃、易爆等危险物品进 入机房。 2.严禁在机房及其附近吸烟、焚烧任何物品，机房内不得动用 明火。 3.定期检查机房内配备的灭火系统状态，及时更换到期灭火系 统。 4.严禁任何人随意更改消防系统配置参数、设备位置。确需更 改的，必须履行请示程序，确保消防设备正常运行。 5.每日应对气体消防系统进行巡检， 认真检查系统的工作状态； 定期安排专业人员检验和测试气体消防系统，确保系统的正 常使用。 6.定期对机房供电线路及照明器具进行检查，防止因线路老化 短路造成火灾。 7.机房工作人员应熟悉机房消防设施操作规则，了解消防设备 操作原理、掌握消防应急处理步骤和灭火器的正确使用方法。 . . 第九章技术资料、维护记录管理 1、运行设备的各类技术资料、维护应用软件、运行检修记录等 是确保通信网健康运行的基础， 是系统集成部对运行中的系统实施正 常及异常维护、及时判断电路故障原因、保证系统正常运行的依据。 2、 系统集成部应重视系统通信信息资料及维护应用软件的收集、 整理、补充工作，确保信息设备的附属软硬件配件和设备运行台帐、 档案、图纸资料齐全完整， 确保信息网络设备的运行、 测试记录清晰、 准确。 3、系统集成部应具备以下资料： a)所辖区域通信网络及信息网络拓扑结构总图； b)所辖区域行政、交换网；数据网；光纤等传输网、以及终端用 户分布网的网络结构示意图； c)城域及干线光缆的详细路径图； d)所管辖各类设备的基本配置档案汇总资料； e)各类运行设备的使用说明书及操作手册； f)包含各类运行设备安装、投运、更改、电路使用记录和检测记 录的设备履历簿； g)各类原材料、工器具及备品备件的进出记录和消耗使用记录； h)其它与运行设备相关的资料。 4、设备资产表由系统集成部随设备使用年限建立和保管。其余 运行记录按年整理分类保存。 5、维护及应用软件的管理 随着信息通信技术的发展，软件对系统运行的介入程度越来越 深， 面越来越广，软件系统的维护管理成为信息运行管理的重要内容， . . 各级信息运行部门对与设备维护和应用相关的软件的管理应遵循以 下原则： 5.1、各类信息运行设备的应用软件和维护软件除一次装载到系 统内开通运行外， 还必须拥有光盘等备份文件， 以便在故障后重新导 入。 5.2、各类信息运行设备的应用软件和维护软件在设备移交运行 后须作详细登记并由专人负责保管和维护。 5.3、设备软件升级后须作详细登记并保留最新版本软件拷贝， 原版本软件归档保存或作清晰标识分开存放。 5.4、维护人员应定期跟踪所使用系统的软件升级情况和升级后 的新功能，必要时提出升级建议。 5.5、对各类数据和用户数据应定期进行备份更新，并记录更新 日期，以便在故障发生后尽快恢复最新的数据。 5.6、维护人员应定期清理系统告警记录，以便于实时运行状况 的查询并减少对数据库过分的占用。 5.7、在网管系统上进行可能影响系统运行的参数设置、更改和 维护等操作时，须有监护人进行监护和确认， 并作好详细的操作记录； 软件进行版本升级时， 对于不影响业务的升级工作，须以书面形式详 细将计划、方案、措施等备案，操作中避免人为失误造成业务中断； 对于影响业务的升级工作， 必须提前两周向总经理以书面形式提出申 请详细报告计划、方案、措施等，经批准后方可实施。 . . 第十章设备巡检、维护作业计划管理 1、“安全第一、预防为主 ”是系统集成部必须遵循的原则，为 保持设备和电路的健康运作， 必须进行运行设备的定期巡检并实施电 路运行维护作业计划。 2、设备巡检由系统集成部门负责，正常巡视周期原则规定如下： 2.1、中心机房各类设备除通信值班员当值期间的正常巡视外， 工作日内相关责任部门和检修人员每天至少巡视一次。 2.2、巡检中发现的各类问题应及时采取有效措施尽快解汇报。 2.3、巡检工作应作好相关记录备查。 3、常规设备巡检的主要内容包括： 3.1、设备运行环境的检查（清洁度、温湿度、防鼠堵漏、防火 防盗等） 。 3.2、设备外观检查（硬件完好性、稳定性、告警系统、面板参 数标识） 。 3.3、接续连线检查（接地线、电源引接线、架间连接电缆、负 载连接电路的接续可靠性等） 。 3.4、机架内部简单清洁，接续端子除尘、加固等。 3.5、软件设置参数检查核对，历史告警信息阅读。 3.6、设备运行资料核对记录。 3.7、本机上应用系统日志。 3.8、介质转换器工作状态。 3.9、设备、线缆标识是否清晰、完整。 3.10、机房清洁、温度、湿度、电源状态。 . . 3.11、应用系统磁盘空间、 CPU 占用情况。 3.12 、各 应 用 系统 服 务 状态 ： 如 WWW 、 FTP 、 SMTP 、 POP3/IMAP4 、Radius 等服务的运行状态。 4、为了保证设备的正常运行，实时掌握设备运行状况，必须在 一定时间内对各类运行设备和电路实施维护作业。 5、维护部门维护检修作业计划应包括： 5.1、各网络设备配置参数备份。 5.2、网管系统全备份。 5.3、网络设备口令更改。 5.4、重要文件、数据库系统备份。 5.5、应用系统账号口令更改。 5.6、文档资料（网络拓扑、IP 地址分配、带宽分配占用情况） 整理。 . . 第十一章网络安全管理 1、组织运维管理人员认真学习计算机信息网络国际互联网安 全保护管理办法， 提高运维人员的维护网络安全的警惕性和自觉性。 2、 负责对本公司用户进行安全宣传，使用户自觉遵守和维护 计 算机信息网络国际互联网安全保护管理办法，使他们具备基本的网 络安全知识。 3、加强对信息发布系统的信息发布的审核管理工作，杜绝违犯 计算机信息网络国际互联网安全保护管理办法的内容出现。 4、系统集成部根据系统网络的结构，制定详细的网络资源访问 控制策略。 5、系统集成部应该对公司所有数据网络设备的访问进行控制， 控制范围： 5.1、控制台访问控制 5.2、限制访问空闲时间 5.3、口令的保护 5.4、对 Telnet 访问的控制 5.5、多级管理员权限 5.6、简单网络管理协议（ SNMP ）访问控制。 6、防火墙可以实现比路由器（交换机）更加细化的访问控制， 合理配置的防火墙是保证访问控制策略的有力手段。防火墙可以实现 基于 IP 地址、域名和用户身份等的访问控制。如网络内使用防火墙， 则必须制订适当的安全策略， 并与网络规划保持一致。 防火墙应开放 最少的服务端口。 如需对开放端口或更改安全区域设置，需上报公司 . . 生产技术部局端运行人员，经审批后方可实施。 7、主机安全。 UNIX 类主机和 WINDOWS NT 主机本身的资源 访问控制手段是整个访问控制体系的最后堡垒。需对访问权限进行控 制。 8、所有计算机均应安装杀毒软件，避免形成防护体系的薄弱环 节。在购买产品时，【网络版】授权安装的服务器和客户机数量应大 于或等于实际的数量。 9、强制每台计算机开启杀毒软件实时监控功能。 9.1、在每台服务器和客户机上设定合理的定时扫描频率。 9.2、每次手动查杀病毒时，选择扫描所有文件。 9.3、在重要服务器或客户机上选定“清除之前备份带毒文件” 功能。 9.4、系统管理员通过控制台获得某台服务器或客户机染毒信息 后， 应针对该计算机进行专门处理。 10、病毒防护信息管理。 系统中心对防护体系内所有计算机的病 毒监控、检测，以及处理情况均有记录。对这些信息的有效监控、利 用和管理会使整个防病毒工作更加有效。网络管理员应根据网络的实 际运行状况和工作需要制定切实可行的管理方案。 10.1、监控、检测和清除病毒 该项管理是网络防病毒管理的核心，利用杀毒软件【网络版】提 供的各项功能可实现对所有计算机设计具体的管理方案。如对实时监 控、扫描、清除时间、周期等设置。 10.2、未知病毒侦测管理 由于新病毒的不断出现， 反病毒软件也要随之更新。 只有建立一 套完整可行的新病毒侦测和捕获方案才能实现这一过程的良性循环 . . 和周期的缩短。这也是维护整个网络安全必不可少的环节。 . . 第十二章数据安全管理 规范西安数据中心机房的数据管理，提高数据管理水平， 保证 应用系统安全稳定运行。 数据管理包括机房内服务器的操作系统、数据库、附件以及重 要的技术文档资料。 1 管理流程 1.1 数据管理必须遵循严谨的管理流程，从数据的申请到数据的启用 可分为申请、审批、转发、修改、检查、启用六大步骤，数据管理应 重视数据文件的备份、保存与归档、数据的保密等工作。 1.2 数据修改、审核工作必须由专职人员进行，其他人员不得进行此 类操作。修改前必须填写工作票，部门领导审核批准后，交给机房管 理人员备案。 1.3 数据修改工作实行二人负责制度：一人负责操作， 一人负责监督。 相关人员完成工作后应在修改文件上书面确认。数据修改记录必须对 修改的依据、时间、内容、重要命令、测试情况、操作人员、监督人 员、审核人员和主管人员签字等内容进行完整、准确的填写。 2 数据备份 2.1 应用系统在服务器上安装部署完成后应用系统负责人提交安装 部署文档给机房管理人员。 在正式上线前， 应用系统负责人必须提交 数据库和附件的备份策略和备份脚本，并完成本地备份。 . . 2.2 应用系统数据库备份工作要求对所有应用系统数据库每日备份 一次，备份数据保留三个月；应用系统附件每日增量备份一次，每周 全备份一次， 备份数据保留半年个月； 应用系统所在操作系统每日增 量备份一次，每月全备份一次，备份数据保留半年。 2.3 备份数据存储介质可以为DVD 光盘或者移动硬盘保存，应实现 专柜保存、专人管理，同时实行异地容灾保存制度。实行异地容灾保 存的物理介质应保证的同步周期为一周。 2.4 应建立数据备份物理介质定期检查制度，定期对物理介质进行检 查，并按规定周期严格对物理介质进行更新。 3 局数据修改 在每次数据修改前， 对于大批量且影响较大的应预先制作局数据修改 批处理文件， 对于少量修改应采用操作终端进行，修改完毕后备份存 档。 3.1 未影响应用系统正常运行的数据修改 部门经理批准即可实施， 但是须通过备份保存局数据修改文件的 方式保存具体修改指令， 同时通过局部备份或非工作区备份的方式对 修改前的数据进行保存，保存时长为24 小时。 3.2 影响应用系统正常运行的数据修改 必须报总经理批准方可实施， 而且必须先做备份并准备防止应用系统 不能正常运行的应急预案。 在数据修改前一天进行系统备份，并做好 数据恢复准备。通过备份保存数据修改批处理文件的方式保存具体修 改指令，保存时长为72 小时。 . . 3.3 国家法定节假日，原则上不能进行数据修改。如因紧急情况，必 须进行局数据制作或修改， 实施部门应向总经理提出书面申请，经审 批后才能实施，并准备应急预案。 4 局数据的保密管理 数据管理和操作人员应具有数据安全保密意识，未经总经理书面批准 不得擅自将数据提供给第三方，不准擅自将数据资料带出交换机房。 4.1 数据管理应采用专人负责。对与数据相关的文件应妥善保管、不 得丢失与泄漏。 4.2 须严格遵守纪律， 增强保密观念， 增强法制观念， 不得随意增删、 泄漏与数据相关的资料。 第十三章密码口令管理 1、为了确保网络安全运行，保护用户利益不受侵害，特制定此 管理制度。 2、网络设备、服务器密码口令管理的具体要求是： 2.1、网络设备、服务器的密码和口令，由系统管理员与设备责 任人协商确定，必须两人同时在场设定。设定完成后，密码及口令须 由系统管理员记录，部门负责人、系统管理员、设备责任人于口令记 录签字后封存，不得将口令和密码记录于设备履历本中。 2.2、对于每一具体的网络设备、服务器，口令和密码仅部门负 责人、系统管理员、设备责任人三人知晓。不得将口令和密码泄漏与 其他人员，尤其是外部人员 （包括公司或部门内部非设备责任人等人 员） 。如有此情况发生，要严格追究相关人员的责任。 . . 2.3、确因特殊情况（如人员不能到达现场操作等原因），须将密 码和口令告知他人，须设备责任人向部门负责人、系统管理员汇报， 经同意后授权他人进行操作。 操作完毕后， 操作人员需详细在设备履 历本中记录操作过程，并于合适的时间和场合，按1、2 条的办法重 新设定口令。 更换后系统管理员要销毁原记录，将新密码或口令记录 封存(方式同 1、2)。 2.4、密码或口令要定期更换 (周期见设备检修计划规定 )，更换后 系统管理员要销毁原记录，将新密码或口令记录封存(方式同 1、2)。 2.5、如发现密码或口令有失密迹象，系统管理员要立刻报告部 门负责人，由部门负责人报告办公室， 同时要尽量保护好现场并记录， 须接到上一级主管部门指示后再更换密码和口令。 3、对用户密码和口令管理的要求是： 3.1、对于要求设定密码和口令的用户，由用户方制定责任人与 系统管理员商定密码及口令， 由系统管理员登记并请用户负责人确认 (签字或电话通知 )，之后系统管理员设定密码及口令，并保存用户档 案。 3.2、当用户由于责任人更换或忘记密码、口令时要求查询密码、 口令或要求更换密码、口令时，需向网络服务管理部门提交申请单， 由部门负责人或系统管理员核实后，履行二条 1 款所定手续， 并对用 户档案做更新记载。 3.3、如果网络提供用户自我更换密码或口令的功能，用户应自 己定期更换密码和口令，并设专人负责保密和维护工作。 . . 第十四章外来维护人员管理 严格禁止非机房运维管理人员直接进入服务器设备进行操作，若 在特殊情况下（如系统维修、升级等）需要外部人员（主要是指厂家 技术工程师、非机房运维管理人员等）进入服务器进行操作时，必须 由系统管理人员登录， 并对操作全过程进行记录备案。禁止将系统用 户账号及口令直接交给外部人员， 在紧急情况下需要为外部人员开放 临时账号时，必须获取系统集成部领导的授权。 . . 第十五章厂商技术支持 因工作需要，需厂商对系统提供技术支持时，应遵守以下程序： 系统管理员应有详细的技术服务问题登记表（附表一），对技术服 务问题严格登记，包括问题来源、问题描述、提出时间、当前状态、 服务时间、解决问题人员、完成时间、采取措施、解决问题的方法和 说明等。 . . 附表一：管理员维护登记表 维护人员姓名工作日期 维护人员单位 /部门联系电话 系统当前状态提出时间 系统问题来源 问题描述 解决方法及说明 系统管理员 处理意见 处理人员签字：机房负责人：公司领导： . . 附表二：外来人员维护登记表 维护人员姓名工作日期 维护人员单位联系电话 系统当前状态提出时间 维护对象 系统问题来源 问题描述 解决方法及说明 系统管理员 审核意见 系统管理员：系统集成部：公司领导： . . 附表三：管理员日常巡视登记表 编号： 巡视人员姓名巡视日期 巡视人员部门联系电话 巡视结果： . . 附件四：数据机房工作票 编号SXCBSW20100001 工作申请人所在部门 工作地点和工作内容 计划工作时间： 自年月日时 分 至年月日时 分 部门经理审批 . . 系统集成部审批 附件五：机房出入登记表 数据中心机房出入登记表 序号日期进入时间离开时间姓名单位/部门联系电话进入原因 1 时分时分 2 时分时分 3 时分时分 4 时分时分 5 时分时分 6 时分时分 7 时分时分 8 时分时分 9 时分时分 10 时分时分 11 时分时分 12 时分时分 13 时分时分 14 时分时分 15 时分时分 . . 16 时分时分 17 时分时分 18 时分时分 19 时分时分 20 时分时分 21 时分时分 22 时分时分 23 时分时分 24 时分时分 . . 附件六：机房交接班登记表 数据中心机房交接班登记表 交班人签名接班人签名交接班时间设备运行情况备注 . . 单纯的课本内容，并不能满足学生的需要，通过补充，达到内容的完善 教育之通病是教用脑的人不用手，不教用手的人用脑，所以一无所能。教育革命的对策是手脑联盟，结果是手与脑的力量都可以大到不可思议。