ICS35.240.01DB63CCSL77DB63備案號：青 海 省 地 方 標 準DB63/T1868—2020市場監管信息系統運維規范2020-12-09發布 2021-01-01實施青海省市場監督管理局 發布DB63/T1868DB63/T1868—2020PAGE\*ROMANPAGE\*ROMANII目 次前言 II范圍 1規范性引用文件 1術語和定義 1硬件環境運行維護要求 2軟件運行維護要求 3變更管理規范要求 4信息安全管理要求 5附錄A（規范性）系統變更管理表 9前 言本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起草。本文件由青海省市場監督管理局提出并歸口。本文件起草單位：青海省市場監督管理局信息中心。本文件主要起草人：馬玉成、劉晶、宋連峰、楊勇、韓露。本文件由青海省市場監督管理局監督實施DB63/T1868DB63/T1868—2020PAGEPAGE13市場監管信息系統運維規范范圍求、變更管理規范要求、信息安全管理要求。本文件適用于市場監管各級單位進行信息系統的運行和管理。規范性引用文件（包括所有的修改單適用于本文件。GB/T2887計算機場地通用規范術語和定義下列術語和定義適用于本標準。3.1用戶訪問生命周期信息系統中從新用戶初始注冊、日常使用，直至賬號注銷。3.2完善性維護理效率和編寫程序的改進。3.3適應性維護使系統適應環境的變化而進行的維護工作。3.4信息安全保護信息的保密性、完整性、可用性及其他屬性，如：真實性、可核查性、可靠性、防抵賴性。3.5系統運維人員對信息系統進行軟硬件維護的工作人員。3.6運維管理人員對信息系統維護過程監督管理的工作人員。硬件環境運行維護要求物理環境運維空調系統運維空調系統運維內容包括：GB/T2887定；空調系統應滿足數據機房內各類設備長期正常運行需要，并在冷量及風量上有一定的余量；空調設備的安放位置應便于安裝與維修。后備電源系統運維根據機房運行維護可靠性要求，應配備不間斷電源設備。機房消防系統機房要符合所處建筑物消防規范的要求，并單獨配置滅火裝置。視頻監控系統安全管理要求，視頻監控范圍應覆蓋重點部位及主要通道。門禁系統求。綜合布線系統綜合布線系統運維內容包括：機房綜合布線應滿足操作對象內部及與外界信息交互要求；根據指定工作周期巡查，確保布線標簽合規性、可用性及可靠性；機房線纜所穿金屬管或金屬線槽以及信息插座的底座不得影響空調系統正常送風。硬件運維例行檢查及狀態監控根據指定工作周期及時對操作對象進行巡檢、監控、備份和測試。響應支持及故障處理為遠程操作或現場操作。調研評估及性能優化對象運行性能。軟件運行維護要求軟件設計階段的要求概述效運行維護。系統軟件設計應適應于需求的快速變更，并支持應用系統變更發布的持續交付。可監控性息系統運行的業務質量，并反饋監控統計信息。易用性信息系統軟件設計應提供運行維護人員友好的人機交互界面、易配置、易部署。滿足運維要求。安全性人員的角色與權限，并提供操作日志。具有確保數據安全及傳輸過程的安全機制，以確保數據安全。可維護性適應需求變更的可配置性。軟件交付階段的要求軟件系統交付階段應確保穩定運行所需的相關配置信息準確，應符合如下要求：交付完整的文檔信息資料，交付的軟件源代碼應完整且可編輯、編譯；交付信息系統管理權限；對應用系統維護人員進行培訓；對信息系統軟件安全性進行整體評估，應完成系統等級保護測評。信息系統軟件運行維護要求信息系統軟件運行維護階段應包括：控和預防性檢查；診斷、定位故障點；制定并執行故障解決方案；檢測、監控、跟蹤故障處理效果；適應性改進、預防性改進。數據運行維護要求信息系統軟件數據運行維護包括：響應支持包括數據問題處理和服務請求處理，其中問題處理主要指針對數據錯誤、數據丟失、質量清洗、查詢統計分析、遷移、備份等數據服務。信息系統遷移要求信息系統遷移應確保過程有效和軟件系統遷移后穩定運行，應符合以下要求：制定遷移方案，形成文檔并嚴格實施；確保信息系統在原環境和新環境并行運行；當預定遷移開始時，應通知所有相關方，所有文檔、日志等應妥善歸檔；信息系統遷移后，應對原環境數據保留訪問權限；對遷移系統完成功能性測試。變更管理規范要求變更類型系統變更可分為功能完善性維護、系統缺陷修改、網絡優化調整，要求如下：功能完善性維護指根據系統使用方的需求，對系統進行的功能完善性或適應性維護；系統缺陷修改指由于系統設計和實現上的缺陷而引發的，系統功能或使用上報錯的問題；VPN產生影響。變更流程段：任務提交和接受、任務實現、任務驗收和系統測試運行。具體要求如下：（AA.1），經審批后提交給系統運維人員；析需求并提出系統變更計劃；制定系統變更方案；（AA.2），方案經評審通過后實施；統變更記錄》（AA.3）；（AA.4）；的所有文檔應至少保存兩年。系統變更失敗的恢復采取備份措施，具體操作如下：網絡服務供應商，重要網絡設備應有冗余備份；其它冗余、容錯措施；主機系統保持一致，制定有效、可行的切換機制。系統變更的權責分離系統變更過程中，應采取各種措施保證系統訪問權限受到良好控制。這些措施包括：通過系統用戶的授權管理，確保只有特定人員能進行系統維護工作；如果使用專用維護工具，只有授權人員才能使用相關維護工具；通過對系統設備的訪問控制，限制只有授權人員才能獲取設備的登錄權限以進行系統維護；名維護人員同時進行變更工作時，能夠進行適當協調；對系統日志的審閱，監督系統維護人員在系統中的操作，確認維護工作的授權；壞。物理完全應符合以下要求：防止對工作場所和信息系統的非授權物理訪問、損壞和干擾；上避免非授權訪問、干擾，宜建立必要的措施防止自然災害和人為破壞造成的損失；通過對辦公場所和信息處理設施場所設置一個或多個物理屏障來實現對安全區域的物理保護；安全區域應有適當的訪問控制策略進行保護，重要工作區域的安全工作應建立相關規范與指南；來的破壞。網絡安全網絡安全應符合以下要求：（邊界防御使用安全的基礎建設，邊界防護，應避免非法、惡意攻擊；在出現惡意攻擊、非法信息時，應使用技術手段進行安全防護并準確定位攻擊來源；網絡拓撲設計前期宜按照業務需求最大值配備網絡主要設備，并在管理方面進行優先級防護；保證主要設備具備冗余空間；在訪問中，端口的明確化，協議命令控制，用戶控制應劃分安全域；對管理員應按照不同級別、管理范圍劃分不同管理權限。主機安全主機安全應符合以下要求：意代碼防范和資源控制；保護服務器和客戶機的操作系統及運行在其上的應用支撐平臺系統免受來自外部和內部的入侵和破壞；（塊，啟用密碼口令復雜性要求，宜采用最小授權原則進行授權；括訪問人員、訪問計算機、訪問時間、操作記錄等信息；宜采用安全級別的操作系統，有效應對網絡入侵。應用安全應用安全應符合以下要求：針對不同的應用，檢測安全漏洞，采取相應的安全措施，降低應用的安全風險；在安全要求的基礎上，應控制對信息、信息處理設施和業務過程的訪問；圍。數據安全及備份數據安全及備份應符合以下要求：按照數據密級，劃分不同保護安全域，保證數據的完整性、保密性和可用性；建立備份、存儲設備管理制度，并按照不同的備份管理要求進行滿足不同的備份要求；根據數據的保密規定和用途，確定使用人員的存取權限、存取方式；制定業務數據的更改審批制度，未經批準不應隨意更改業務數據；業務數據應定期、完整、真實、準確地轉儲到安全的介質上；備份數據不得更改。安全管理中心安全管理中心應符合以下要求：對全面的日志及運維操作統一集中管理；b）設立虛擬安全網關，保證虛擬機之間數據流向安全可靠。訪問控制管理用戶訪問管理用戶訪問管理應符合以下要求：確保授權用戶訪問系統；建立正式的程序，控制對信息系統和服務的用戶訪問權的分配；訪問控制程序應涵蓋用戶訪問生命周期內的各個階段，應特別注意對特權用戶的分配及控制。用戶職責用戶職責應符合以下要求：防止未授權用戶對信息和信息處理設施的訪問和其他危害的行為；面的職責；清空指導策略以降低未授權訪問或破壞紙介質、磁介質和信息處理設施的風險。網絡訪問控制網絡訪問控制應符合以下要求：防止對網絡服務的非授權訪問；同時對內部和外部網絡服務訪問加以控制，內部網絡與外部網絡之間的接口應有效隔離；限制；對敏感或關鍵業務應用的網絡連接，應采取嚴格的控制措施；對于無線網絡，應考慮限制使用范圍，宜將無線網與內部和專用網絡隔離。操作系統訪問控制操作系統訪問控制應符合以下要求:防止對操作系統的非授權訪問；啟用安全措施限制授權用戶對操作系統的訪問，這些措施包括但不限于：按照已定義的訪問控制指導策略鑒別授權用戶；記錄成功和失敗的系統鑒別企圖；記錄專用系統特殊權限的使用；當違反系統安全策略時發布警報；提供合適的身份鑒別手段；限制用戶的連接次數。應用系統和信息訪問控制應用系統和信息訪問控制應符合以下要求：防止對應用系統和信息的非授權訪問；對應用軟件和信息的邏輯訪問只限于已授權的用戶，應用系統的措施包括但不限于：按照定義的訪問控制策略，控制用戶訪問信息和應用系統功能；訪問；不損壞共享信息資源的其他系統的安全。根據規定的訪問控制策略，限制用戶和支持人員對信息和應用系統功能的訪問；對敏感應用系統，宜在獨立的計算環境中運行。移動計算機和遠程工作使用移動計算機和遠程工作時，應建立必要保護措施：移動終端的使用，應確保信息數據不被泄露；移動計算機的保護措施有物理保護、訪問控制、備份和病毒預防的要求；問市場監管系統或濫用設施等。附錄A（規范性）系統變更申請表見表A.1表A.1系統變更申請表系統名稱變更請求類型□本級要求變更 □上級要求變更□需求增加 □需求修改 □需求縮減□其它：請說明： 變更申請人申請日期實施人員測試人員原建設內容描述變更內容描述變更的目的及影響系統使用單位意見簽字（簽章：系統運維單位意見簽字（簽章：備注系統變更評審表見表A.2表A.2系統變更方案評審表編號：方案名稱變更類型評審地點變更方案設計部門評審日期申請變部 變更負責人變更內容：評審意見：評審專家簽字：年 月 日信息安全部門意見：年 月 日系統變更記錄見A.3表A.3系統變更記錄1.基本信息變更依據（政策法規）例如：參照標準、用戶需求、需求規格說明書等變更范圍變更內容詳細描述變更工作實施人員變更工作實施時間實施技術方式實況記錄變更類型實現功能變更結果存在問題備注變更成功或失敗恢復變更評價根據變更過程及測試結果，綜合評價系統變更是否已達到預定目標。根據變更過程及測試結果，綜合評價系統變更是否已達到預定目標。根據變更內容提出關于系統功能變更的全面分析，需說明可能對現有系統造成的影響、限制條件等。系統變更驗收報告見A.4表A.4系統變更驗收報告驗收報告書需求部門系統名稱系統版本任務完成情況欄任務名稱實際開始時間實際完成時間實際工作量人天，合人月【任務完