011系统运维手册008操作

1、江西支付科技密级：江西支付系统操作规范江西支付科技2014 年 6 月文档：V1.0项目名称：江西支付编写：编写日期：2014-4-23审核：审核日期：2014-6-13批准：批准日期：2014-6-17版本控制信息版本日期拟稿和修改说明草稿2014-4-23V1.02014-6-17正式签档江西支付操作规范守则江西支付是一个十分复杂的系统，涉及到多方面的应用环境。为了使系统能更好的安全稳定运行，特制定以下守则。第一章管理网络信息系统的安全管理的最根本是管理，相关要提高安全意识，规范操作流程，用于具体的安全技术工作中。随着生产系统的日益庞大，系统安全问题日益突出，公司也意识到独立设置安全管理员

2、岗位的重要性，但根据公司目前实际情况，安全管理员的工作只能暂时分摊到技术部的相关中。虽如此，但公司对各的职责亦是十分明确，具体规划如下：第一条生产系统机房门禁配置有验证系统，只允许相关操作出入机房，严禁不相干在机房附近出入徘徊等。如其他确需进入机房，由操作员带其进入，并实时跟随，直至其离开机房为止。第二条机房内禁水，禁火，禁易燃物，一切与生产设备不相干的东西存在。机房内配有灭火装置，安全管理员应培训相关防范知识，每天都要巡检机房，如发现情况可及时处理。机房恒定温度 2025 度左右，安全管理员应经常查看机房内空调状态，特别是夏季空调故障多发期更要注意。并注意机房内清洁，是否有水泽，供电系统，照

3、明系统是否良好等。第三条安全管理员应每天查看设备的物理运行状态。主要通过设备的指示灯（结合设备日志）查看是否有告警，比如电源，风扇，网络线路等运行不正常等，发现问题及时上报 IT 部处理。第四条设备出入机房，安全管理员应及时做好登记，出入原因等，对于出机房的设备，要先消除掉设备里相关与公司有关的配置信息后，才允许移出机房。设备新增，更换或时，必须至少 2 人在场，互相协助，而且行为要先文档化才可操作机器，以防出错。安全管理员要 2 周查看一次机房内，安全管理员应由以上轮流担任，以防监守自盗。第五条值班要确保 724 小时对系统进行不间断，发现任何问题要及时上报相关技术处理，特别是周末时更要保证

4、系统的可用性。第六条包括系统管理员，网络管理员等，做好日常系统的调试备份工作，操作设备前要把具体流程文档化，以最大限度减少差错。任何不确定的事不得上生产机操作，并责任到人。遇系统故障时，不得隐瞒实情，保留第一现场，立即联系相关厂商技术支持处理。以解决问题为第一首要任务。第七条公司定期对相关技术进行技能培训，技术自己也要加强自身能力的学习提高，以进一步保障系统安全。第二章 生产网络系统的控制第一条为了保障生产系统的安全，江西支付采用办公网和生产网的设备物理分开的方式部署，避免了互相影响。办公网只能通过接入生产网。里配置了合理的访问控制策略。安全管理员会定期查看该日志，杜绝不相关进入系统。第二条任

5、何能接入生产网的员工都会被登记，新员工需要接入生产网，需要向 IT 部门申请，待核实后才可配置接入，并做相关文档登记。第三条对于一些应用系统的操作，根据应用做到用户权限最小化，业务模块最小化，用户专人负责制，而且 IT 部利监控他们的行为，以防人为破坏。第四条加强对公司员工的安全意识教育，提高安全意识，明确个人责任。做任何与系统相关操作时一定要遵循文档化，规，做到有据可查。第三章生产设备口令管理第一条生产设备采用权限制，比如值守只分配系统状态查看，而系统管理员等拥有设备配置更改等。第二条生产设备的知道的人越少越好，但最少应有 2 人知道。第三条设备的，由部门和系统管理员商议确定，必须两人同时在

6、场设定。应设置强用户口令，尽量复杂，设置不应是名字、生日，重复、顺序、规律数字等容易猜测的数字和字符串，争取达到 16 位数，避免同质化，（服务器，交换机等不应该）。第四条的更改。应最少 3 个月更改一次系统口令。采用定期轮换制度。处理级信息的系统，口令长度不得少于八个字符，口令更换周期不得长于一月；处理级信息的系统，应当采用口令或生理特征等强认证措施；第五条要文档化，加密，口令在网络中必须加密传输等，并争取掌握在尽量少的手里。文档须部门在场时要由指定专人封存。并且保证口令存放载体的物理安全。第六条针对特殊应用，比如江西支付的客户号和产生过程存在敏感信息泄漏的风险。针对这一情况，考虑由 2 人

7、管理，一人负责客户号，一人负责产生，2 人必须同时在场时才可以操作此业务。第七条定期对员工进行相关安全方面的培训，对于擅自更改，散布者，必要时可以动用或法律等保护措施。第四章生产设备配置的更改管理第一条任何操作不得擅自无故更改系统配置文件，否则公司以法律。第二条管理员在更改系统配置时，不应直接在生产环境中修改。应先在测试环境中配置，等测试无误后才可去生产环境操作。第三条更改配置时，首先要切实符合业务发展需要，具体操作步骤要先文档化，并通知相关，待审核通过后，方可进行配置更改。并且应就更改配置后的风险进行可能的分析，做好防备工作，保障业务不间断运行。针对公司经常变更的防火墙策略，特制定以下变更流程：1. 相关需要更改策略的提出更改需求，填写。2. 技术部对需求进行审核，主要考虑需求是否合理,是否可以实现,对现有网络有无影响，改动复杂程度,策略持续时间等。3. 经审核通过后，开始实施需求。首先操作要先保存原有配置，以防修改不成功后及时回退。然后通知相关人员，在不影响业务正常运行的情况下，更改策略配置，改动后经相关测试观察，如无异常，则保存配置。至此，策略修改完成。第四条对于业务的更改，比如在系统升级时，需要停止业务时，要先做好