1、精選優質文檔-傾情為你奉上精選優質文檔-傾情為你奉上專心-專注-專業專心-專注-專業精選優質文檔-傾情為你奉上專心-專注-專業日常IT運維管理制度為完成運維任務必須建立相應的技術支持管理制度，使維護工作做到有章可循，有據可查。同時對制定的各個制度的執行情況進行質量考核，對運維團隊的工作績效進行評估，促進制度更好落實，確保高質量地完成各項維護支持任務。 1.0 運維管理制度總則1.0.1運維保障機制 （1）建立硬件、網絡、系統，應用及業務軟件日常維護流程機制；（2）建立故障應急處理流程機制；（3）建立備份恢復保障機制；（4）建立安全保障管理機制； （5）建立版本管理機制，管理平臺生產環境運行的軟

2、件版本；以上機制應形成文檔，作為日常遵循規范按要求執行。 1.0.2硬件維護能力 需對硬件設備具備7*24小時不間斷的支持、響應能力，原則上每日對硬件設備至少檢查一次并記錄；定期對網絡環境進行檢查。對服務器進行硬件檢測，內存、硬盤、I/O的使用情況進行查詢并進行登記，每臺服務器運行的軟件對硬件性能使用情況檢測，對于服務器我們進行系統備份，每日對網絡使用情況進行觀察，針對突發異常流量進行分析。1.0.3故障處理響應及需求設備（系統）出現故障時，根據不同的故障級別提供相應的服務響應，響應方式及要求如下：故障級別故障內容響應時間及效果其他級別一般故障出現系統故障，不影響系統運行，不影響業務正常運作工

3、程師及時響應處理，24小時內解決。對于硬件故障（含機房環境故障），要求不論在何時確診需要進行備件更換，發出備件更換指令起3小時內備件到達故障現場，并恢復系統正常運行。級別次要故障出現系統故障，影響系統運行或影響非關鍵業務運作，不影響核心業務運作工程師及時響應處理，8小時內解決級別重大故障出現系統故障，系統崩潰或其他狀況，影響核心業務的正常運行工程師及時響應處理，2小時內解決1.0.4具備應急預案 針對部署并進行實施系統備份、軟件重要數據實時備份，主機備份是提供的保留某個時間點上的主機系統數據狀態的服務。基于主機備份可以隨時生成或刪除備份，并基于已備份進行主機的恢復，實現已有應用和主機數據的快速

4、復用，如系統出現事故無法使用將進行系統恢復并把最近一次備份的數據進行恢復。對于突發情況建立應急服務流程，主要是針對可能發生的各種意外情況設計應急方案。以控制和規避突發事件帶來的集中性風險，從而降低設備集中性風險所造成的損失。1.0.5數據庫維護能力 每日對數據庫進行日常巡檢，內容包括對日志、會話數、表空間、磁盤空間等主要數據庫參數進行檢查（需要配置監控軟件）；對數據庫進行數據備份、歸檔日志整理、表空間維護、權限分配、異常問題處理；對數據庫相關工作進行維護；定期對數據庫進行重啟，以釋放資源；制定數據備份方案及數據恢復演練方案，定期進行數據恢復演練。1.0.6中間件維護能力 對中間件進行運行狀況檢

5、查；每日對核心中間件和應用日志進行檢查。定期對中間件性能進行檢測，必要時進行優化處理。 1.0.7安全要求 需要按照信息系統等級保護的要求對系統進行維護，包括但不僅限于： （1）定期對系統進行風險評估工作，包括對網站及應用接口進行外網滲透測試、對內部主機進行漏洞掃描，并完成加固工作； （2）對網站進行7*24小時安全監測，發現問題及時記錄并處理；（3）需每周至少一日對信息系統進行安全巡檢。包括對網絡安全設備的巡檢、配置優化，對信息系統內的各類狀態進行判斷，定期升級規則庫和系統版本。1.0.8運維服務方式 為了保證項目所有軟硬件設備的正常運行，我方提供了靈活的服務方式，可以充分滿足項目的需求，服

6、務方式有以下幾種： 服務臺提供技術咨詢、服務請求受理、任務分派、意見受理客戶、服務專員快速通道、服務查詢等服務。 遠程支持服務為終端用戶提供遠程技術維護服務。 現場服務為遠程未能解決的問題提供技術支持、現場維護服務。1.0.9運維人員管理 （1）人員儲備 建立與運行維護服務相關的人員儲備計劃和機制，確保有足夠的人員，以滿足與需方約定的當前和未來的運行維護服務需求。 （2）人員培訓 建立與遠行維護服務相關的培訓體系或機制，在制定培訓計劃時，識別培訓要求，并提供及時和有效的培訓。 （3）績效考核 建立與運行維護服務相關的績效考核體系或機制，并能夠有效組織實施。1.0.10崗位結構 有專職團隊負責運

7、行維護服務的工作，對運行維護服務中的不同角色有明確分工和職責定義，為了保障運行維護服務交付的順利實施，需方也應提供必要的接口。一個完整的運行維護服務團隊應包括管理、技術支持、操作等主要崗位： （1）管理崗職責： a）在運行維護服務中負責管理運行維護服務； b）與需方建立順暢的溝通渠道，準確地將需方的需求傳遞到運行維護服務團隊；c）規劃、檢查運行維護服務的各個過程，對運行維護服務能力的策劃、實施、檢查、改進的范圍、過程、信息安全和成果負責。 （2）技術支持崗職責： a）在運行維護服務中負責技術支持，包括網絡、操作系統、數據庫、中間件、應用開發、硬件、集成、信息安全等； b）對運行維護服務過程中的

8、請求、事件和問題做出響應，保障信息安全并對處理結果負責。（3）操作崗職責：a）在運行維護服務中負責日常操作的實施；b）根據規范和手冊，執行運行維護服務各過程，并對其執行結果負責。1.0.11整理知識庫 具備運行維護服務活動相關的知識積累，以保證在整個組織內收集、共享、重復使用所積累的知識和信息，包括： （1）針對常見問題的描述、分析和解決方法建立知識庫； （2）確保整個組織內的知識是可用的、可共享的； （3）選擇一種合適的知識管理策略； （4）知識庫具備知識的添加、更新和查詢功能； （5）針對知識管理要求制定相關管理制度，并進行知識生命周期管理。1.1 機房運維管理制度 1.1.1 數據中心環

9、境安全管理 數據中心進出安全管理的重點在于對不同的訪問區域制定不同的安全管控和出入原則。將數據中心劃分3類不同類別的管控區域和安全區域。公共區域、辦公區域、機房區域。 1公共區域：這些區域通常用于數據中心生活與展示的配套區域。該區域經授權并在遵守相關制度的前提下來訪者可自由進出。 2辦公區域：數據中心日常工作區域。這類區域的進入通常為數據中心內部員工及運維人員，需經授權訪問。 3機房區域：機房區域是數據中心的核心區域。該區域應有嚴格的進出管控，外來人員進出需提前提出申請，來訪者進出機房區域需經授權，進出需登記。 除了數據中心人員進出管理外，還應考慮設備和物品進出的流程。設備和物品的進出也應得到

10、正式的審批，特別是對于機房區域的設備應重點管控。應通過機房人員/設備登記表詳細記錄。設備出門需開具出門憑據等。 1.1.2 機房安全管理制度 1機房應防塵、防靜電，保持清潔、整齊，設備無塵、排列正規、工具就位、資料齊全。 2機房門內外、通道、設備前后和窗口附近，均不得堆放物品和雜物，做到無垃圾、無污水，以免妨礙通行和工作。3嚴格遵照消防管理制度規定，機房內嚴禁煙火，嚴禁存放和使用易燃易爆物品，嚴禁使用大功率電器、嚴禁從事危險性高的工作。如需施工，必須取得領導、消防、安保等相關部門的許可方可施工。 4外來人員進入機房應嚴格遵照機房進出管理制度規定，填寫人員進出機房登記表，在相關部門及領導核準后，

11、在值班人員陪同下進出，機房進出應換穿拖鞋或鞋套。 5進入機房人員服裝必須整潔，保持機房設備和環境清潔。外來人員不得隨意進行拍照，嚴禁將水及食物帶入機房。 6進入機房人員只能在授權區域與其工作內容相關的設備上工作，不得隨意進入和觸動未經授權以外的區域及設備。 7任何設備出入機房，經辦人必須填寫設備出入機房登記表，經相關部門及領導批準后方可進入或搬出。 1.1.3 服務人員安全及保密管理制度 1 維護工程師必須熟悉并嚴格執行安全保密準則。 2 外部人員因公需進入機房，應經上級批準并指定專人帶領方可入內。 3 有關通信設備、網絡組織電路開放等資料不得任意抄錄、復制，防止失密。需要監聽電路時，應按保密

12、規則進行。 4機房內消防器材應定期檢查，每個維護人員應熟悉一般消防和安全操作方法。 5 機房內嚴禁吸煙和存放、使用易燃、易爆物品。 6 搞好安全保密教育，建立定期檢查制度，加強節假日的安全保密工作。 7 未經有關領導批準，非機房管理人員嚴禁入機房。 8 機房內嚴禁煙火，不準存放易燃易爆物品。 9. 注重電氣安全，嚴禁違章使用電器設備，不準超負荷使用電器。 10按規定配備消防器材，并定期更新。11定期檢查接地設施、配電設備、避雷裝置，防止雷擊、觸電事故發生。12發現事故苗頭，應盡快采取有效措施，并及時報告領導。 13進行維修時，嚴格按照程序進行，杜絕人為事故發生。 14嚴禁違規接入大功率無線發射

13、設備。 1.1.4 網絡安全管理制度 1運行維護部門必須制定相應的體系確保網絡安全，維護人員必須確立網絡安全第一的意識。 2在網絡建設期必須考慮工程和現網的關系，加強施工安全管理和網絡割接準備工作，確保現網的安全，嚴禁人為事故發生。 3網絡運行維護期應確保維護工作、設備運行、系統數據的安全。 4客戶數據的制作以及對設備的指令操作要嚴格按照客戶數據制作規范和設備技術手冊的要求根據工單執行；對設備的所有操作要有詳細記錄，操作時要一人操作一人核對，準確無誤方可執行，操作人員要在工單上簽字確認。 5網絡運行維護期的安全可以通過三種控制方法保證，操作控制包括對操作流程、客戶分級，權限分級、操作記錄、遠程

14、管埋、密碼管理、防火墻技術、數據備份的安全保證；運行控制包括對告警處理、測試、性能分析、應急預案的安全保證；操作設備控制包括防病毒，殺毒軟件、非生產應用軟件的安全控制。 6未經許可，嚴禁設備廠商通過遠程控制技術對設備進行修改維護，運行維護部門應有可靠的防范措施。 7為保證遠程技術支持的可靠性，需定期對遠程維護設備、端口進行檢查，在確保安全保密的同時確保其可用性。 8磁盤、磁帶等必須進行檢查確認無病毒后，方可使用。 9為保證網絡安全，遠程維護設備在一般情況下要處于關閉狀態，只有在需要的時候才開通使用。1.1.5 數據中心值班制度 1值班人員應嚴守崗位，按照規定時間上下班，無法按時到崗應提前向上級

15、領導匯報，由上級領導負責調換班。 2值班時間要盡職盡貴，禁止從事與值班無關的事情。 3參照機房日常監控及巡檢內容按時巡檢機房環境設施，密切注意電源、 溫度、濕度等機房環境情況；隨時監控IT系統、網絡工作狀態，詳細記錄異常情況。 4發生任何異常情況時，應嚴格執行故障應急處理流程及時處理，并向上級領導及相關部門及時報告，做好一線技術支持工作。 5對業務部門提出的服務請求，要快速、準確、耐心地做出解答。并做好事件的記錄、跟蹤及回饋的服務臺支持工作。 6隨時監督機房環境衛生和無關的物品帶入，妥善管理設備工具。 7遵照機房安全管理制度規定，制止任何違規進入機房人員及其他不當行為。 8監督維保廠家對機器設

16、備進行定期巡檢和維護，對巡檢單據簽字確認，留檔備案。 9遵照人員/設備進出機房登記表做好值班期間的人員、設備進出記錄。 1.2 網絡安全管理制 1.2.1 防火墻安全管理職責說明 1.防火墻的邏輯管理，涉及用戶、防火墻管理員、IT經理三個角色。 2.用戶包括公司業務部門工作人員、公司業務合作伙伴、公司外部系統服務商以及來訪客戶。 3. 防火墻管理員負責受理解決用戶提出的防火墻相關需求，評估防火墻的配置措施和變更風險，并將分析結果報告給IT經理。4.IT經理負責審批防火墻相關的配置變更措施，確認防火墻管理員對此配置變更的評估結果符合公司安全策略和規范要求。1.2.2 申請防火墻權限流程及創建策略

17、 公司業務部門工作人員因工作需要申請開通防火墻端口通信權限時，需要填寫“網絡服務訪問申請/變更表”。經用戶所在業務部門經理審批通過后，由防火墻管理員受理需求。防火墻管理員按照最小授權原則來評估此權限是否與業務處理需求相符，寫出配置措施和風險分析，并將分析結果提交IT經理審批。經IT經理審批通過后，防火墻管理員為員工在防火墻上實施配置變更創建相應權限策略。如果用戶需要臨時在防火墻上開通端口訪問權限，則應在“網絡服務訪問申請/變更表”備注中注明使用時限。其它步驟按照創建防火墻權限策略流程執行。超過使用時限后，由防火墻管理員通知用戶并得到用戶確認后，撤銷此權限策略。防火墻管理員應明確告知用戶應對由其

18、所具有的防火墻端口權限對生產系統產生的影響負責。用戶應保證開通的端口權限只用于生產業務數據傳輸，不可供生產業務以外的應用服務使用。 公司業務合作伙伴與公司進行通信需要在防火墻上開通訪問權限時，應有公司相應業務部門工作人員來提出開通防火墻端口權限請求，并填寫“網絡服務訪問申請表”。其余審批步驟與創建公司內部員工權限策略相同。 如因公司系統服務商與公司進行通信，需要在防火墻上開通端口權限時，應由防火墻管理員自行填寫“網絡服務訪問申請/變更表”，經IT經理審批通過后方可創建相應權限策略。在系統服務商服務結束后，必須及時撤銷防火墻相應策略。 防火墻管理員應根據最小授權原則，為來訪客戶IP地址統一在防火

19、墻上配置相應權限策略，并禁止來訪客戶IP地址訪問公司內部網絡。 1.2.3 變更防火墻權限流程及變更策略 由于業務或技術變動需要變更公司與外部站點之間的通信方式時，涉及到防火墻相關權限策略的變動，應該由業務部門員工向防火墻管理員提交“網絡服務訪問申請/變更表”。經業務部門經理審批通過后防火墻管理員受理需求，分析變更實施過程和相關風險，提交T經理審批。經IT經理審批通過后，防火墻管理員在防火墻上實施配置變更，撤銷原有權限策略并創建新權限策略。1.2.4 撤銷防火墻權限策略 公司業務部門工作人員進行部門調動、離職時，需要撤銷其原IP地址在防火墻上配置的相應的權限策略。員工所在業務部門通知IT經理，

20、由IT經理指定防火墻管理員在防火墻上實施配置變更，撤銷員工IP地址所具有的權限。 公司系統服務商的服務到期后，相關部門應通知IT經理，由IT經理指定防火墻管理員在防火墻上實施配置變更撤銷系統服務商IP地址所具有的權限。 1.2.5 內審和復核 根據職責分離原則，防火墻管理員備份崗位工作人員每6個月應負責檢查一次防火墻的設置是否符合防火墻配置規范，并填寫檢查記錄。IT經理每6個月負責檢查一次“防火墻的配置規范”是否符合公司安全策略要求，并填寫檢查記錄。 1.3 賬號和權限管理制度 1.3.1 網絡設備賬號權限審批制度 1.3.1.1賬號權限管理職責說明 賬號權限的管理，包括用戶賬號的添加、修改和

21、注銷操作。涉及用戶、業務部門接口人、網絡管理員和IT經理四個角色。 用戶包括公司業務部門工作人員、公司業務合作伙伴、公司外部系統服務商以及來訪客戶。 業務部門接口人負責本公司與業務合作伙伴之間的業務協調工作。 網絡管理員負責受理解決用戶提出的賬號權限相關需求，按照最小授權原則，評估賬號權限是否與業務需求相符，是否會對生產業務產生潛在風險。并將評估結果報告給IT經理。 IT經理負責審批用戶賬號、權限相關配置變更是否滿足公司相應的安全策略，對網絡管理員對配置變更的評估結果進行確認。1.3.1.2賬號申請流程及創建規則 1.公司業務部門工作人員因工作需要新建賬號時，需填寫“系統賬號申請表”。經用戶所

22、在業務部門經理審批通過后，由網絡管理員受理需求。網絡管理員按照最小授權原則評估用戶賬號權限是否與業務處理需求相符，并將分析結果提交IT經理審批。經IT經理審批通過后，網絡管理員為員工創建賬號、授予權限并通知員工。如果，用戶需要建立臨時帳號，應在“系統賬號申請表”備注中寫明使用時限。其它步驟按照新創建賬號的管理制度執行。超過使用時限后，由網絡管理員通知用戶后，將此賬號注銷。網絡管理員應明確告知用戶對其所分配的賬號的行為負責。用戶要妥善使用和保管好自己的賬號和密碼，不得將帳號提供給他人使用。 2.公司業務合作伙伴需要創建賬號時，可以向業務部門接口人提出請求。由業務部門接口人向網絡管理員提出創建賬號

23、請求，并填寫“系統賬號申請表”。其余審批步驟與新建公司內部員工賬號步驟相同。 3.如因工作需要為公司系統服務商創建賬號時，由網絡管理員根據最小授權原則自行填寫“系統賬號申請表”，經IT經理審批通過方可后創建賬號。待系統服務商服務到期結束后，必須及時給予注銷。 4.網絡管理員為來訪客戶統一分配IP地址網段，并實施身份驗證。只允許客戶具有普通訪問外網權限，并禁止客戶賬號訪問公司內部網絡系統。一旦客戶離開則立即撤銷其賬號。 5.網絡管理員對用戶賬號授權時，應檢查授予的訪問等級是否適應業務訪問控制策略，是否符合網絡的信息安全策略。此外，網絡管理員應對照網絡設備相關定義，檢查對賬號的授權中是否有窩權限。

24、如有高權限，必須將此用戶賬號的操作納入安全審計日志中。 6.按照責任分離的原則，網絡管理員為經過批準用戶設立賬號，一個賬號對應唯一的用戶。網絡管理員在建立用戶賬號時，要在賬號說明中詳細標注用戶名稱、部門和賬號所關聯的業務等必要信息。 7.對于默認系統賬號、商業軟件自建賬號，在正式投產前應刪除或禁用此類賬號。網絡管理員應嚴加控制。如根據具體運行環境情況，確實需要使用這些賬號，應在投入生產前更改缺省賬號密碼。1.3.1.3賬號權限變更當遇到用戶崗位變動或者業務變更，需要修改原有賬號訪問權限時。網絡管理員應要求用戶重新填寫“系統賬號申請表”，說明賬號權限變更理由，提出賬號權限變更請求。經用戶所在部門

25、經理審批通過后由網絡管理員受理。網絡管理員按照最小授權原則評估用戶賬號權限是否與業務處理需求相符，并將分析結果提交IT經理審批。經IT經理審批通過后，網絡管理員修改用戶賬號權限并通知員工。 1.3.1.4賬號注銷 1.公司內部員工調動、離職或終止使用網絡設備時，需要撤銷其使用的賬號。用戶所在部門應按流程，通知IT經理，由IT經理指定網絡管理員撤銷員工所使用的賬號。網絡管理員在確認沒有和此賬號相關聯的系統配置和數據（如使用此賬號加密的數據）后，撤銷用戶賬號的訪問權限并注銷用戶賬號。如果存在賬號直接關聯的系統配置或數據時，應首先解除此關聯，再撤銷用戶賬號的訪問權限并注銷用戶賬號。 2.公司系統服務

26、商服務到期后，相關部門應通知IT經理，由IT經理指定網絡管理員在確定已經取消系統服務商賬號與相關配置和數據的關聯性后，撤銷系統服務商賬號。 3.網絡管理員至少每季度檢查用戶賬號的使用情況，對于長時間（如3個月） 無人使用的賬號，經賬號所屬部門經理確認后及時給與注銷。如賬號所屬部門要求保留賬號，應提交保留申請和保留期限。賬號所屬部門不能將賬號隨便轉給其他用戶使用。對所保留的用戶賬號，設置該賬號處于禁用狀態，重新啟用這些賬號時，賬號所屬部門仍需向運行維護部門提出申請。經IT經理審批同意后，網絡管理員方可激活此賬號供用戶使用。 1.3.1.5賬號權限復查 對于所有注冊并使用公司網絡設備的用戶賬號，網

27、絡管理員應保存正式記錄和用戶清單，建立相應的“賬號權限矩陣表”，進行集中管理，并定期維護和更新。 網絡管理員應參照系統訪問控制策略，和“賬號權限矩陣表”，至少每半年復查用戶的訪問權限。對高權限賬號的分配情況，網絡管理員至少每半年核查一次，以便及時查處并清理未經授權的高權限賬號。對此類高權限賬號，網絡管埋員在確認不影響生產的前提下，應及時回收。事后通報相關用戶和上級領導，并由該用戶承擔相應責任和處罰。對高權限用戶賬號的使用情況，網絡管理員需要每月進行核對，查看其使用情況是否被完全登記，并對登記的內容進行檢查。 1.3.1.6 賬號密碼管理 用戶在登陸網絡設備時，都要求輸入其賬號所對應的密碼。網絡

28、管理員會在用戶注冊時，為其賬號設置初始密碼，并在首次啟用時強制用戶對密碼進行更改。 網絡設備賬號密碼應妥善使用和保管，并按照以下建議進行設置，以確保賬號安全：所有賬號密碼均應以密文形式存儲在網絡設備上。 普通用戶密碼長度不少于6個字符，高權限用戶密碼長度不少于8個字符。建議設置的密碼采用字母與數字混合形式的字符串。 用戶設置密碼應保證自己容易記憶，但盡量不基于以下容易猜測的字符串，比 如：個人姓名、部門名稱、公司名稱、電話號碼、出生日期、連續數字、相同字符等。 用戶盡量不使用私人用戶密碼。當需要訪問多個網絡設備或多重服務時，建議用戶使用單一的密碼。 用戶應定期重置密碼，以確保賬號安全。普通用戶

29、密碼至少每季度重置一次，高權限用戶密碼至少每月重置一次。重置密碼時，用戶應不重復或者循環使用舊的密碼，其中高權限用戶密碼至少6次之內不重復使用。 用戶不應把密碼包含在任何自動登錄程序之中，例如：把密碼存在宏代碼或者功能鍵上；用戶忘記密碼時，可向網絡管理員提出重置密碼請求，經用戶所在部門領導批準后，在網絡管理員幫助和指導下重新設置密碼。遇有系統或者密碼可能被侵害的跡象時，用戶應及時報告網絡管理員，并立即重置密碼。根據職責分離原則，網絡設備高權限賬號密碼應由網絡設備以外崗位的工程師進行管理。網絡管理員應每季度定期檢查用戶密碼是否按以上規定設置，對不符合要求的應及時通知用戶整改。對用戶拒不改正的，網

30、絡管理員應強制停用該賬號，以確保網絡設備的安全。 1.3.1.7賬號權限的內部控制與審計 為確保用戶管理和密碼管理的有效性，運行維護部門應對從事該項工作的網絡管理員有控制措施。必要時司以根據職責分離原則設置雙向監督崗位。同時，要對網絡管理員和用戶進行必要的安全意識教育。 網絡管理員要遵守中心保密制度，確保職業操守，保證用戶信息的安全。工作中要按照審批流程嚴格執行，并對所有操作保留記錄，以備核查。 運行維護部門每年組織內部審計，以確保該項工作的有效性。內部審計人員一般由業務管理部門和運行維護部門的工作人員組成。根據職責分離原則，網絡管理員不在審計人員行列之內。內部審計的內容主要以“賬號權限管理內

31、部畝計表”中 所作的強制性要求為準，建議性要求不在審計范圍之列。內部審計后，審計人員要認真填寫“賬號權限管理內部審計表”，并對審計結果簽署意見，必要時要有相應的說明。該審計結果要及時反饋給相應部門和人員，并最后由運行維護部門負責存檔。 1.3.2 主機賬號管理制度 1.3.2.1主機賬號管理細則 1、主機賬號分類 1主機賬號依其重要程度分為重要賬號和普通賬號。 重要賬號包括： A）具有集團業務系統及相關設備的完全或部分管理權限的賬號為重要賬號。 B） 具有修改集團業務數據權限的賬號為重要賬號。 C）具有讀取涉及集團秘密業務數據權限的賬號為重要賬號。D）其它管理制度規定為重要賬號的。其它主機賬號

32、均歸為普通賬號。2賬號依其生存周期分為永久賬號和臨時賬號，臨時賬號應嚴格按照其生存周期進行管理，到期注銷。 2、賬號注冊與維護 1.使用唯一的用戶ID，保護用戶的操作行為與用戶本人身份唯一對應，便于對用戶行為的審計以及追溯。 2.檢查系統所賦予用戶的訪問權限是否與業務目標匹配，防止出現過度授權現象。3.應維護一份完整的主機賬戶權限列表，并做到及時更新。 3、口令生成及保存 1賬號分配時必須同時生成相應的口令，并且與賬號一起傳送給用戶，不得創建沒有口令的賬號； 2.管理員在傳遞賬號和口令時，應當采取安全的傳輸途徑，以保證不會被中途截取；3.用戶在接受到賬號和口令后，應在第一次登錄賬號時修改口令；

33、4.對于以口令作為唯一驗證證據的賬號，如果賬號的用戶名由確定且公開的規則產生，則口令不應當為公開的口令；5.不得將賬號口令明文存儲在計算機上或寫在記事本上；6. 為滿足應急響應需求，應將重要賬號的口令密封保存在安全場所，并隨口令的更改及時更換口令信封。口令信封一旦打開，必須立即登錄其中涉及的所有賬號并更改所有口令； 7.如發現口令有泄露跡象，應立刻報告主管領導并進行記錄，以便及時處理。 4、口令設立原則 1.賬號的口令必須是具有足夠的長度和復雜度，使口令難以被猜測。 2.賬號的口令在必要時間或次數(最少5次)內不得循環使用。 3.賬號曾用的各個口令之間應當是沒有直接聯系的，以保證不能從以前的口

34、令推知現在的口令。4.賬號的前后兩個口令之間的相同部分應當盡量減少，減低由前一個口令分析出后一個口令的機會。5.賬號的口令不應當取有意義的詞語或其他符號，如使用者的姓名，生日或其它易于猜測的信息。 6.口令最低標準：普通賬號口令長度不得低于6位，口令字符中須包含字母、數字、特殊字符中的至少兩類；重要賬號口令長度不得低于8位，口令中必須包含大、小寫字母、數字和特殊字符，且不得為有意義的單詞或短語。 5、賬號的取消 1.用戶如果因職責變動而離崗，不再需要系統權限且無須將賬號移交給其他責任人，其原崗位主管應當申請銷戶，由管理員取消該賬號的所有權限。 2.賬號取消的同時，應該將賬號對應的應用系統和服務

35、的權限同時注銷，保證該賬號對應用系統的訪問企圖失效。 3.用戶離職后，管理員應當關閉用戶賬號在系統中的所有權限。 6、口令使用和管理原則 1.重要賬號口令應在90天內至少更換一次， 一般賬號口令至少在半年內更換一次；對重要設備和系統建議采用一次性口令方式進行認證。 2.重要口令連續多次嘗試登錄失敗后應暫停該賬號登錄（可以根據實際情況設置嘗試，一般次數為5次）。 3.系統管理員修改賬號口令時，應提前（或同時）通知賬號使用人，以免影響其正常使用。 4.各級口令保管落實到人,口令所有人須妥善保存，各級口令不得以任何形式明文存放于可公共訪問的設備中。 5. 出現以下任何一種情況時，相關口令必須立即更改

36、并做好記錄： 1） 掌握口令的管理員離開崗位； 2）因工作需要，由管理員以外人員使用賬號及口令登錄操作后； 3）有跡象表明口令可能被泄露。 7、管理員的責任與義務 1.確保除匿名賬號外，系統中所有用戶都必須有口令； 2.確保系統和網絡設備上沒有使用默認口令的賬號； 3.確保重要賬號的口令具有足夠強度;4.定期審計，檢查系統用戶的數量和權限；5.為用戶普及口令安全知識；6.建議同一個管理員在不同主機上使用不同的賬號口令。1.3.2.2主機賬號申請流程1.業務部門提出申請填寫主機賬號申請單。申請單應填寫申請部門、申請人、申請日期、申請原因說明等信息。 2主機賬號申請單 應先由所在業務部門領導審核簽

37、字，然后交由技術管理部 門領導審核簽字，再交由信息中心領導審核簽字。 3所有審核都通過后，由運行維護部門負責對申請的主機賬號進行開通執行，并將執行的情況填入主機賬號申請單。 4打印版的主機賬號申請單由運行維護部門存檔并長期保管。 1.3.2.3主機賬號取消流程 1.業務部門提出申請，填寫取消主機賬號申請單。申請單應填寫申請部門、申請人、申請日期、申請原因說明等信息 。 2取消主機賬號申請單應先由所在業務部門領導審核簽字，然后交由技術管理部門領導審核簽字，再交由信息中心領導審核簽字。 3所有審核都通過后，由運行維護部門負責對申請的王機賬號進行開通執行，并將執行的情況填入取消主機賬號申請單。 4打

38、印版的取消主機賬號申請單由運行維護部門存檔并長期保管。 1.3.3 數據庫賬號及權限管理制度 1.3.3.1數據庫賬號管理細則 1、數據庫賬號分類 數據庫賬號依其用途分為四類： 1.安裝數據庫時自動創建的賬號為系統賬號，其中具備數據庫管理權限的為系統超級賬號，如Oracle數據庫中的Sys、system。 2安裝數據庫時自動創建的賬號為系統賬號，其中不具備數據庫管理權限的賬號為系統普通賬號，如Oracle數據庫中的Scott等。3.為滿足業務系統運行需要而創建的賬號為業務賬號。4.為個人維護數據需要而創建的賬號為個人賬號。 2、賬號創建及維護 1數據庫環境搭建完成后，創建任何新的數據庫賬號都必

39、須經過正式的審批流程。 2創建新的數據庫賬號時，必須明確每個數據庫賬號的責任人，便于對用戶行為的審計以及追溯。 3.創建新的數據庫賬號時，必須檢查數據庫賬號所賦予的權限是否與業務目標匹配，防止出現過度授權現象。 4.應維護完整的數據庫賬戶列表及數據庫權限列表各一份，并做到及時更新。 3、口令生成及保存 1.數據庫賬號分配時必須同時生成相應的口令，并且與賬號一起傳送給用戶，不得創建沒有口令的賬號。2管理員在傳遞數據庫賬號和口令時，應當采取安全的傳輸途徑，以保證不會被中途截取。3.不得將賬號口令明文存儲在計算機上或寫在記事本上；。4.為滿足應急響應需求，應將數據庫賬號的口令密封保存在安全場所，并隨口令的更改及時更換口令信封。口令信封一旦打開，必須立即登錄其中涉及的所有賬號并更改所有口令。5.如發現口令有泄露跡象，應立刻報告主管領導并進行記錄，以便及時處理。 4、口令設立原則 1數據庫賬號的口令必須是具有足夠的長度和復雜度，使口令難于被猜測；2數據庫賬號的口令在必要時間或次數最少5次內不得循環使用； 3數據庫賬號曾用的各個口令之間應當是沒有直接聯系的， 以保證不能從以前的口令推知現在的口令； 4數據庫賬號的前后兩個口令之間的相同部分應當盡量減少，減低由前一個口令分析出后一個口令的機會；