IT運維管理規(guī)定

Documentserialnumber【NL89WT-NY98YT-NC8CB-NNUUT-NUT108】Documentserialnumber【NL89WT-NY98YT-NC8CB-NNUUT-NUT108】IT運維管理規(guī)定運維管理效勞保障制度為完成運維任務必須建立相應的技術支持管理制度，使維護工作做到有章可循，有據(jù)可查。同時對制定的各個制度的執(zhí)行情況進行質量考核，對運維團隊的工作績效進行評估，促進制度的更好落實，確保高質量地完成各項維護支持任務。機房運維管理制度數(shù)據(jù)中心環(huán)境平安管理數(shù)據(jù)中心進出平安管理的重點在于對不同的訪問區(qū)域制定不同的平安管控和出入原那么。將數(shù)據(jù)中心劃分3類不同類別的管控區(qū)域和平安區(qū)域。公共區(qū)域、辦公區(qū)域、機房區(qū)域。(1)公共區(qū)域：這些區(qū)域通常用于數(shù)據(jù)中心生活與展示的配套區(qū)域。該區(qū)域經(jīng)授權并在遵守相關制度的前提下來訪者可自由進出。(2)辦公區(qū)域：數(shù)據(jù)中心日常工作區(qū)域。這類區(qū)域的進入通常為數(shù)據(jù)中心內部員工及運維人員。需經(jīng)授權訪問。(3)機房區(qū)域：機房區(qū)域是數(shù)據(jù)中心的核心區(qū)域。該區(qū)域應有嚴格的進出管控，外來人員進出需提前提出申請，來訪者進出機房區(qū)域需經(jīng)授權，進出需登記。除了數(shù)據(jù)中心人員進出管理外，還應考慮設備和物品進出的流程。設備和物品的進出也應得到正式的審批,特別是對于機房區(qū)域的設備應重點管控。應通過機房人員/設備登記表詳細記錄。設備出門需開具出門憑據(jù)等。機房平安管理制度(1)機房應防塵、防靜電，保持清潔、整齊，設備無塵、排列正規(guī)、工具就位、資料齊全。(2)機房門內外、通道、設備前后和窗口附近，均不得堆放物品和雜物，做到無垃圾、無污水，以免阻礙通行和工作。(3)嚴格遵照《消防管理制度》規(guī)定，機房內嚴禁煙火，嚴禁存放和使用易燃易爆物品，嚴禁使用大功率電器、嚴禁從事危險性高的工作。如需施工，必須取得領導、消防、安保等相關部門的許可方可施工。(4)外來人員進入機房應嚴格遵照機房進出管理制度規(guī)定，填寫人員進出機房登記表，在相關部門及領導核準后，在值班人員陪同下進出，機房進出應換穿拖鞋或鞋套。(5)進入機房人員服裝必須整潔，保持機房設備和環(huán)境清潔。外來人員不得隨意進行拍照，嚴禁將水及食物帶入機房。(6)進入機房人員只能在授權區(qū)域與其工作內容相關的設備上工作，不得隨意進入和觸動未經(jīng)授權以外的區(qū)域及設備。(7)任何設備出入機房，經(jīng)辦人必須填寫設備出入機房登記表，經(jīng)相關部門及領導批準前方可進入或搬出。效勞人員平安及保密管理制度維護工程師必須熟悉并嚴格執(zhí)行平安保密準那么。外部人員因公需進入機房，應經(jīng)上級批準并指定專人帶著方可入內。有關通信設備、網(wǎng)絡組織電路開放等資料不得任意抄錄、復制，防止失密。需要監(jiān)聽電路時，應按保密規(guī)那么進行。機房內消防器材應定期檢查，每個維護人員應熟悉一般消防和平安操作方法。機房內嚴禁吸煙和存放、使用易燃、易爆物品。搞好平安保密教育，建立定期檢查制度，加強節(jié)假日的平安保密工作。未經(jīng)有關領導批準，非機房管理人員嚴禁入機房。機房內嚴禁煙火，不準存放易燃易爆物品。注重電氣平安，嚴禁違章使用電器設備，不準超負荷使用電器。按規(guī)定配備消防器材，并定期更新。定期檢查接地設施、配電設備、避雷裝置，防止雷擊、觸電事故發(fā)生。發(fā)現(xiàn)事故苗頭，應盡快采取有效措施，并及時報告領導。進行維修時，嚴格按照程序進行，杜絕人為事故發(fā)生。嚴禁違規(guī)接入大功率無線發(fā)射設備。網(wǎng)絡平安管理制度運行維護部門必須制定相應的體系確保網(wǎng)絡平安，維護人員必須確立網(wǎng)絡平安第一的意識。在網(wǎng)絡建設期必須考慮工程和現(xiàn)網(wǎng)的關系，加強施工平安管理和網(wǎng)絡割接準備工作，確?，F(xiàn)網(wǎng)的平安，嚴禁人為事故發(fā)生。網(wǎng)絡運行維護期應確保維護工作、設備運行、系統(tǒng)數(shù)據(jù)的平安?？蛻魯?shù)據(jù)的制作以及對設備的指令操作要嚴格按照客戶數(shù)據(jù)制作標準和設備技術手冊的要求根據(jù)工單執(zhí)行；對設備的所有操作要有詳細記錄，操作時要一人操作一人核對，準確無誤方可執(zhí)行，操作人員要在工單上簽字確認。網(wǎng)絡運行維護期的平安可以通過三種控制方法保證，操作控制包括對操作流程、客戶分級、權限分級、操作記錄、遠程管理、密碼管理、防火墻技術、數(shù)據(jù)備份的平安保證；運行控制包括對告警處理、測試、性能分析、應急預案的平安保證；操作設備控制包括防病毒、殺毒軟件、非生產(chǎn)應用軟件的平安控制。未經(jīng)許可，嚴禁設備廠商通過遠程控制技術對設備進行修改維護，運行維護部門應有可靠的防范措施。為保證遠程技術支持的可靠性，需定期對遠程維護設備、端口進行檢查，在確保平安保密的同時確保其可用性。磁盤、磁帶等必須進行檢查確認無病毒后，方可使用。為保證網(wǎng)絡平安，遠程維護設備在一般情況下要處于關閉狀態(tài)，只有在需要的時候才開通使用。數(shù)據(jù)中心值班制度(1)值班人員應嚴守崗位，按照規(guī)定時間上下班，無法按時到崗應提前向上級領導匯報，由上級領導負責調換班。(2)值班時間要盡職盡責，禁止從事與值班無關的事情。(3)參照《機房日常監(jiān)控及巡檢內容》按時巡檢機房環(huán)境設施，密切注意電源、溫度、濕度等機房環(huán)境情況；隨時監(jiān)控IT系統(tǒng)、網(wǎng)絡工作狀態(tài)，詳細記錄異常情況。(4)發(fā)生任何異常情況時，應嚴格執(zhí)行故障應急處理流程及時處理，并向上級領導及相關部門及時報告。做好一線技術支持工作。(5)對業(yè)務部門提出的效勞請求，要快速、準確、耐心地做出解答。并做好事件的記錄、跟蹤及回饋的效勞臺支持工作。(6)隨時監(jiān)督機房環(huán)境衛(wèi)生和無關的物品帶入，妥善管理設備工具。(7)遵照機房平安管理制度規(guī)定，制止任何違規(guī)進入機房人員及其他不當行為。(8)監(jiān)督維保廠家對機器設備進行定期巡檢和維護，對巡檢單據(jù)簽字確認，留檔備案。(9)遵照《人員/設備進出機房登記表》做好值班期間的人員、設備進出記錄。網(wǎng)絡平安管理制度防火墻平安管理職責說明防火墻的邏輯管理，涉及用戶、防火墻管理員、IT經(jīng)理三個角色。用戶包括公司業(yè)務部門工作人員、公司業(yè)務合作伙伴、公司外部系統(tǒng)效勞商以及來訪客戶。防火墻管理員負責受理解決用戶提出的防火墻相關需求，評估防火墻的配置措施和變更風險，并將分析結果報告給IT經(jīng)理。IT經(jīng)理負責審批防火墻相關的配置變更措施，確認防火墻管理員對此配置變更的評估結果符合公司平安策略和標準要求。申請防火墻權限流程及創(chuàng)立策略公司業(yè)務部門工作人員因工作需要申請開通防火墻端口通信權限時，需要填寫“網(wǎng)絡效勞訪問申請/變更表〞。經(jīng)用戶所在業(yè)務部門經(jīng)理審批通過后，由防火墻管理員受理需求。防火墻管理員按照最小授權原那么來評估此權限是否與業(yè)務處理需求相符，寫出配置措施和風險分析，并將分析結果提交IT經(jīng)理審批。經(jīng)IT經(jīng)理審批通過后，防火墻管理員為員工在防火墻上實施配置變更創(chuàng)立相應權限策略。如果用戶需要臨時在防火墻上開通端口訪問權限，那么應在“網(wǎng)絡效勞訪問申請/變更表〞備注中注明使用時限。其它步驟按照創(chuàng)立防火墻權限策略流程執(zhí)行。超過使用時限后，由防火墻管理員通知用戶并得到用戶確認后，撤銷此權限策略。防火墻管理員應明確告知用戶應對由其所具有的防火墻端口權限對生產(chǎn)系統(tǒng)產(chǎn)生的影響負責。用戶應保證開通的端口權限只用于生產(chǎn)業(yè)務數(shù)據(jù)傳輸，不可供生產(chǎn)業(yè)務以外的應用效勞使用。公司業(yè)務合作伙伴與公司進行通信需要在防火墻上開通訪問權限時，應有公司相應業(yè)務部門工作人員來提出開通防火墻端口權限請求，并填寫“網(wǎng)絡效勞訪問申請表〞。其余審批步驟與創(chuàng)立公司內部員工權限策略相同。 如因公司系統(tǒng)效勞商與公司進行通信，需要在防火墻上開通端口權限時，應由防火墻管理員自行填寫“網(wǎng)絡效勞訪問申請/變更表〞，經(jīng)IT經(jīng)理審批通過前方可創(chuàng)立相應權限策略。在系統(tǒng)效勞商效勞結束后，必須及時撤銷防火墻相應策略。 防火墻管理員應根據(jù)最小授權原那么，為來訪客戶IP地址統(tǒng)一在防火墻上配置相應權限策略，并禁止來訪客戶IP地址訪問公司內部網(wǎng)絡。變更防火墻權限流程及變更策略由于業(yè)務或技術變動需要變更公司與外部站點之間的通信方式時，涉及到防火墻相關權限策略的變動，應該由業(yè)務部門員工向防火墻管理員提交“網(wǎng)絡效勞訪問申請/變更表〞。經(jīng)業(yè)務部門經(jīng)理審批通過后防火墻管理員受理需求，分析變更實施過程和相關風險，提交IT經(jīng)理審批。經(jīng)IT經(jīng)理審批通過后，防火墻管理員在防火墻上實施配置變更，撤銷原有權限策略并創(chuàng)立新權限策略。撤銷防火墻權限策略公司業(yè)務部門工作人員進行部門調動、離職時，需要撤銷其原IP地址在防火墻上配置的相應的權限策略。員工所在業(yè)務部門通知IT經(jīng)理，由IT經(jīng)理指定防火墻管理員在防火墻上實施配置變更，撤銷員工IP地址所具有的權限。公司系統(tǒng)效勞商的效勞到期后，相關部門應通知IT經(jīng)理，由IT經(jīng)理指定防火墻管理員在防火墻上實施配置變更撤銷系統(tǒng)效勞商IP地址所具有的權限。內審和復核根據(jù)職責別離原那么，防火墻管理員備份崗位工作人員每6個月應負責檢查一次防火墻的設置是否符合防火墻配置標準，并填寫檢查記錄。IT經(jīng)理每6個月負責檢查一次“防火墻的配置標準〞是否符合公司平安策略要求，并填寫檢查記錄。賬號和權限管理制度網(wǎng)絡設備賬號權限審批制度賬號權限管理職責說明賬號權限的管理，包括用戶賬號的添加、修改和注銷操作。涉及用戶、業(yè)務部門接口人、網(wǎng)絡管理員和IT經(jīng)理四個角色。用戶包括公司業(yè)務部門工作人員、公司業(yè)務合作伙伴、公司外部系統(tǒng)效勞商以及來訪客戶。業(yè)務部門接口人負責本公司與業(yè)務合作伙伴之間的業(yè)務協(xié)調工作。網(wǎng)絡管理員負責受理解決用戶提出的賬號權限相關需求，按照最小授權原那么，評估賬號權限是否與業(yè)務需求相符，是否會對生產(chǎn)業(yè)務產(chǎn)生潛在風險。并將評估結果報告給IT經(jīng)理。IT經(jīng)理負責審批用戶賬號、權限相關配置變更是否滿足公司相應的平安策略，對網(wǎng)絡管理員對配置變更的評估結果進行確認。賬號申請流程及創(chuàng)立規(guī)那么公司業(yè)務部門工作人員因工作需要新建賬號時，需填寫“系統(tǒng)賬號申請表〞。經(jīng)用戶所在業(yè)務部門經(jīng)理審批通過后，由網(wǎng)絡管理員受理需求。網(wǎng)絡管理員按照最小授權原那么評估用戶賬號權限是否與業(yè)務處理需求相符，并將分析結果提交IT經(jīng)理審批。經(jīng)IT經(jīng)理審批通過后，網(wǎng)絡管理員為員工創(chuàng)立賬號、授予權限并通知員工。如果，用戶需要建立臨時帳號，應在“系統(tǒng)賬號申請表〞備注中寫明使用時限。其它步驟按照新創(chuàng)立賬號的管理制度執(zhí)行。超過使用時限后，由網(wǎng)絡管理員通知用戶后，將此賬號注銷。網(wǎng)絡管理員應明確告知用戶對其所分配的賬號的行為負責。用戶要妥善使用和保管好自己的賬號和密碼，不得將帳號提供應他人使用。公司業(yè)務合作伙伴需要創(chuàng)立賬號時，可以向業(yè)務部門接口人提出請求。由業(yè)務部門接口人向網(wǎng)絡管理員提出創(chuàng)立賬號請求，并填寫“系統(tǒng)賬號申請表〞。其余審批步驟與新建公司內部員工賬號步驟相同。如因工作需要為公司系統(tǒng)效勞商創(chuàng)立賬號時，由網(wǎng)絡管理員根據(jù)最小授權原那么自行填寫“系統(tǒng)賬號申請表〞，經(jīng)IT經(jīng)理審批通過方可后創(chuàng)立賬號。待系統(tǒng)效勞商效勞到期結束后，必須及時給予注銷。網(wǎng)絡管理員為來訪客戶統(tǒng)一分配IP地址網(wǎng)段，并實施身份驗證。只允許客戶具有普通訪問外網(wǎng)權限，并禁止客戶賬號訪問公司內部網(wǎng)絡系統(tǒng)。一旦客戶離開那么立即撤銷其賬號。網(wǎng)絡管理員對用戶賬號授權時，應檢查授予的訪問等級是否適應業(yè)務訪問控制策略，是否符合網(wǎng)絡的信息平安策略。此外，網(wǎng)絡管理員應對照網(wǎng)絡設備相關定義，檢查對賬號的授權中是否有高權限。如有高權限，必須將此用戶賬號的操作納入平安審計日志中。按照責任別離的原那么，網(wǎng)絡管理員為經(jīng)過批準用戶設立賬號，一個賬號對應唯一的用戶。網(wǎng)絡管理員在建立用戶賬號時，要在賬號說明中詳細標注用戶名稱、部門和賬號所關聯(lián)的業(yè)務等必要信息。對于默認系統(tǒng)賬號、商業(yè)軟件自建賬號，在正式投產(chǎn)前應刪除或禁用此類賬號。網(wǎng)絡管理員應嚴加控制。如根據(jù)具體運行環(huán)境情況，確實需要使用這些賬號，應在投入生產(chǎn)前更改缺省賬號密碼。賬號權限變更當遇到用戶崗位變動或者業(yè)務變更，需要修改原有賬號訪問權限時。網(wǎng)絡管理員應要求用戶重新填寫“系統(tǒng)賬號申請表〞，說明賬號權限變更理由，提出賬號權限變更請求。經(jīng)用戶所在部門經(jīng)理審批通過后由網(wǎng)絡管理員受理。網(wǎng)絡管理員按照最小授權原那么評估用戶賬號權限是否與業(yè)務處理需求相符，并將分析結果提交IT經(jīng)理審批。經(jīng)IT經(jīng)理審批通過后，網(wǎng)絡管理員修改用戶賬號權限并通知員工。賬號注銷公司內部員工調動、離職或終止使用網(wǎng)絡設備時，需要撤銷其使用的賬號。用戶所在部門應按流程，通知IT經(jīng)理，由IT經(jīng)理指定網(wǎng)絡管理員撤銷員工所使用的賬號。網(wǎng)絡管理員在確認沒有和此賬號相關聯(lián)的系統(tǒng)配置和數(shù)據(jù)〔如使用此賬號加密的數(shù)據(jù)〕后，撤銷用戶賬號的訪問權限并注銷用戶賬號。如果存在賬號直接關聯(lián)的系統(tǒng)配置或數(shù)據(jù)時，應首先解除此關聯(lián)，再撤銷用戶賬號的訪問權限并注銷用戶賬號。公司系統(tǒng)效勞商效勞到期后，相關部門應通知IT經(jīng)理，由IT經(jīng)理指定網(wǎng)絡管理員在確定已經(jīng)取消系統(tǒng)效勞商賬號與相關配置和數(shù)據(jù)的關聯(lián)性后，撤銷系統(tǒng)效勞商賬號。網(wǎng)絡管理員至少每季度檢查用戶賬號的使用情況，對于長時間〔如3個月〕無人使用的賬號，經(jīng)賬號所屬部門經(jīng)理確認后及時給與注銷。如賬號所屬部門要求保存賬號，應提交保存申請和保存期限。賬號所屬部門不能將賬號隨便轉給其他用戶使用。對所保存的用戶賬號，設置該賬號處于禁用狀態(tài)，重新啟用這些賬號時，賬號所屬部門仍需向運行維護部門提出申請。經(jīng)IT經(jīng)理審批同意后，網(wǎng)絡管理員方可激活此賬號供用戶使用。賬號權限復查對于所有注冊并使用公司網(wǎng)絡設備的用戶賬號，網(wǎng)絡管理員應保存正式記錄和用戶清單，建立相應的“賬號權限矩陣表〞，進行集中管理，并定期維護和更新。網(wǎng)絡管理員應參照系統(tǒng)訪問控制策略，和“賬號權限矩陣表〞，至少每半年復查用戶的訪問權限。對高權限賬號的分配情況，網(wǎng)絡管理員至少每半年核查一次，以便及時查處并清理未經(jīng)授權的高權限賬號。對此類高權限賬號，網(wǎng)絡管理員在確認不影響生產(chǎn)的前提下，應及時回收。事后通報相關用戶和上級領導，并由該用戶承當相應責任和處分。對高權限用戶賬號的使用情況，網(wǎng)絡管理員需要每月進行核對，查看其使用情況是否被完全登記，并對登記的內容進行檢查。賬號密碼管理用戶在登陸網(wǎng)絡設備時，都要求輸入其賬號所對應的密碼。網(wǎng)絡管理員會在用戶注冊時，為其賬號設置初始密碼，并在首次啟用時強制用戶對密碼進行更改。網(wǎng)絡設備賬號密碼應妥善使用和保管，并按照以下建議進行設置，以確保賬號平安：所有賬號密碼均應以密文形式存儲在網(wǎng)絡設備上。普通用戶密碼長度不少于6個字符，高權限用戶密碼長度不少于8個字符。建議設置的密碼采用字母與數(shù)字混合形式的字符串。用戶設置密碼應保證自己容易記憶，但盡量不基于以下容易猜想的字符串，比方：個人姓名、部門名稱、公司名稱、號碼、出生日期、連續(xù)數(shù)字、相同字符等。用戶盡量不使用私人用戶密碼。當需要訪問多個網(wǎng)絡設備或多重效勞時，建議用戶使用單一的密碼。用戶應定期重置密碼，以確保賬號平安。普通用戶密碼至少每季度重置一次，高權限用戶密碼至少每月重置一次。重置密碼時，用戶應不重復或者循環(huán)使用舊的密碼，其中高權限用戶密碼至少6次之內不重復使用。用戶不應把密碼包含在任何自動登錄程序之中，例如：把密碼存在宏代碼或者功能鍵上；用戶忘記密碼時，可向網(wǎng)絡管理員提出重置密碼請求，經(jīng)用戶所在部門領導批準后，在網(wǎng)絡管理員幫助和指導下重新設置密碼。遇有系統(tǒng)或者密碼可能被侵害的跡象時，用戶應及時報告網(wǎng)絡管理員，并立即重置密碼。根據(jù)職責別離原那么，網(wǎng)絡設備高權限賬號密碼應由網(wǎng)絡設備以外崗位的工程師進行管理。網(wǎng)絡管理員應每季度定期檢查用戶密碼是否按以上規(guī)定設置，對不符合要求的應及時通知用戶整改。對用戶拒不改正的，網(wǎng)絡管理員應強制停用該賬號，以確保網(wǎng)絡設備的平安。賬號權限的內部控制與審計為確保用戶管理和密碼管理的有效性，運行維護部門應對從事該項工作的網(wǎng)絡管理員有控制措施。必要時可以根據(jù)職責別離原那么設置雙向監(jiān)督崗位。同時，要對網(wǎng)絡管理員和用戶進行必要的平安意識教育。網(wǎng)絡管理員要遵守中心保密制度，確保職業(yè)操守，保證用戶信息的平安。工作中要按照審批流程嚴格執(zhí)行，并對所有操作保存記錄，以備核查。運行維護部門每年組織內部審計，以確保該項工作的有效性。內部審計人員一般由業(yè)務管理部門和運行維護部門的工作人員組成。根據(jù)職責別離原那么，網(wǎng)絡管理員不在審計人員行列之內。內部審計的內容主要以“賬號權限管理內部審計表〞中所作的強制性要求為準，建議性要求不在審計范圍之列。內部審計后，審計人員要認真填寫“賬號權限管理內部審計表〞，并對審計結果簽署意見，必要時要有相應的說明。該審計結果要及時反應給相應部門和人員，并最后由運行維護部門負責存檔。主機賬號管理制度主機賬號管理細那么1、主機賬號分類主機賬號依其重要程度分為重要賬號和普通賬號。重要賬號包括：具有集團各業(yè)務系統(tǒng)及相關設備的完全或局部管理權限的賬號為重要賬號。具有修改集團業(yè)務數(shù)據(jù)權限的賬號為重要賬號。具有讀取涉及集團秘密業(yè)務數(shù)據(jù)權限的賬號為重要賬號。其它管理制度規(guī)定為重要賬號者。其他主機賬號均歸為普通賬號。賬號依其生存周期分為永久賬號和臨時賬號，臨時賬號應嚴格按照其生存周期進行管理，到期注銷。2、賬號注冊與維護使用唯一的用戶ID，保護用戶的操作行為與用戶本人身份唯一對應，便于對用戶行為的審計以及追溯。檢查系統(tǒng)所賦予用戶的訪問權限是否與業(yè)務目標匹配，防止出現(xiàn)過度授權現(xiàn)象。應維護一份完整的主機賬戶權限列表，并做到及時更新。3、口令生成及保存賬號分配時必須同時生成相應的口令，并且與賬號一起傳送給用戶，不得創(chuàng)立沒有口令的賬號；管理員在傳遞賬號和口令時，應當采取平安的傳輸途徑，以保證不會被中途截?。挥脩粼诮邮艿劫~號和口令后，應在第一次登錄賬號時修改口令；對于以口令作為唯一驗證證據(jù)的賬號，如果賬號的用戶名由確定且公開的規(guī)那么產(chǎn)生，那么口令不應當為公開的口令；不得將賬號口令明文存儲在計算機上或寫在記事本上；為滿足應急響應需求，應將重要賬號的口令密封保存在平安場所，并隨口令的更改及時更換口令信封?？诹钚欧庖坏┓_，必須立即登錄其中涉及的所有賬號并更改所有口令；如發(fā)現(xiàn)口令有泄露跡象，應立刻報告主管領導并進行記錄，以便及時處理。4、口令設立原那么賬號的口令必須是具有足夠的長度和復雜度，使口令難于被猜想；賬號的口令在必要時間或次數(shù)〔最少5次〕內不得循環(huán)使用；賬號曾用的各個口令之間應當是沒有直接聯(lián)系的，以保證不能從以前的口令推知現(xiàn)在的口令；賬號的前后兩個口令之間的相同局部應當盡量減少，減低由前一個口令分析出后一個口令的時機；賬號的口令不應當取有意義的詞語或其他符號，如使用者的姓名，生日或其它易于猜想的信息?？诹钭畹蜆藴?普通賬號口令長度不得低于6位，口令字符中須包含字母、數(shù)字、特殊字符中的至少兩類；重要賬號口令長度不得低于8位，口令中必須包含大、小寫字母、數(shù)字和特殊字符，且不得為有意義的單詞或短語。5、賬號的取消用戶如果因職責變動而離崗，不再需要系統(tǒng)權限且無須將賬號移交給其他責任人，其原崗位主管應當申請銷戶，由管理員取消該賬號的所有權限；賬號取消的同時，應該將賬號對應的應用系統(tǒng)和效勞的權限同時注銷，保證該賬號對應用系統(tǒng)的訪問企圖失效。用戶離職后，管理員應當關閉用戶賬號在系統(tǒng)中的所有權限。6、口令使用和管理原那么重要賬號口令應在90天內至少更換一次，一般賬號口令至少在半年內更換一次；對重要設備和系統(tǒng)建議采用一次性口令方式進行認證。重要口令連續(xù)屢次嘗試登錄失敗后應暫停該賬號登錄〔可以根據(jù)實際情況設置嘗試次數(shù)，一般為5次〕。系統(tǒng)管理員修改賬號口令時，應提前〔或同時〕通知賬號使用人，以免影響其正常使用。各級口令保管落實到人，口令所有人須妥善保存，各級口令不得以任何形式明文存放于可公共訪問的設備中。出現(xiàn)以下任何一種情況時，相關口令必須立即更改并做好記錄：掌握口令的管理員離開崗位；因工作需要，由管理員以外人員使用賬號及口令登錄操作后；有跡象說明口令可能被泄露。7、管理員的責任與義務確保除匿名賬號外，系統(tǒng)中所有用戶都必須有口令；確保系統(tǒng)和網(wǎng)絡設備上沒有使用默認口令的賬號；確保重要賬號的口令具有足夠強度；定期審計，檢查系統(tǒng)用戶的數(shù)量和權限；為用戶普及口令平安知識；建議同一個管理員在不同主機上使用不同的賬號口令。主機賬號申請流程業(yè)務部門提出申請，填寫《主機賬號申請單》。申請單應填寫申請部門、申請人、申請日期、申請原因說明等信息?！吨鳈C賬號申請單》應先由所在業(yè)務部門領導審核簽字，然后交由技術管理部門領導審核簽字，再交由信息中心領導審核簽字。所有審核都通過后，由運行維護部門負責對申請的主機賬號進行開通執(zhí)行，并將執(zhí)行的情況填入《主機賬號申請單》。打印版的《主機賬號申請單》由運行維護部門存檔并長期保管。主機賬號取消流程業(yè)務部門提出申請，填寫《取消主機賬號申請單》。申請單應填寫申請部門、申請人、申請日期、申請原因說明等信息?！度∠鳈C賬號申請單》應先由所在業(yè)務部門領導審核簽字，然后交由技術管理部門領導審核簽字，再交由信息中心領導審核簽字。所有審核都通過后，由運行維護部門負責對申請的主機賬號進行開通執(zhí)行，并將執(zhí)行的情況填入《取消主機賬號申請單》。打印版的《取消主機賬號申請單》由運行維護部門存檔并長期保管。數(shù)據(jù)庫賬號及權限管理制度數(shù)據(jù)庫賬號管理細那么1、數(shù)據(jù)庫賬號分類數(shù)據(jù)庫賬號依其用途分為四類：安裝數(shù)據(jù)庫時自動創(chuàng)立的賬號為系統(tǒng)賬號，其中具備數(shù)據(jù)庫管理權限的為系統(tǒng)超級賬號，如Oracle數(shù)據(jù)庫中的sys、system。安裝數(shù)據(jù)庫時自動創(chuàng)立的賬號為系統(tǒng)賬號，其中不具備數(shù)據(jù)庫管理權限的賬號為系統(tǒng)普通賬號，如Oracle數(shù)據(jù)庫中的scott等。為滿足業(yè)務系統(tǒng)運行需要而創(chuàng)立的賬號為業(yè)務賬號。為個人維護數(shù)據(jù)需要而創(chuàng)立的賬號為個人賬號。2、賬號創(chuàng)立及維護數(shù)據(jù)庫環(huán)境搭建完成后，創(chuàng)立任何新的數(shù)據(jù)庫賬號都必須經(jīng)過正式的審批流程。創(chuàng)立新的數(shù)據(jù)庫賬號時，必須明確每個數(shù)據(jù)庫賬號的責任人，便于對用戶行為的審計以及追溯。創(chuàng)立新的數(shù)據(jù)庫賬號時，必須檢查數(shù)據(jù)庫賬號所賦予的權限是否與業(yè)務目標匹配，防止出現(xiàn)過度授權現(xiàn)象。應維護完整的數(shù)據(jù)庫賬戶列表及數(shù)據(jù)庫權限列表各一份，并做到及時更新。3、口令生成及保存數(shù)據(jù)庫賬號分配時必須同時生成相應的口令，并且與賬號一起傳送給用戶，不得創(chuàng)立沒有口令的賬號；管理員在傳遞數(shù)據(jù)庫賬號和口令時，應當采取平安的傳輸途徑，以保證不會被中途截??；不得將賬號口令明文存儲在計算機上或寫在記事本上；為滿足應急響應需求，應將數(shù)據(jù)庫賬號的口令密封保存在平安場所，并隨口令的更改及時更換口令信封。口令信封一旦翻開，必須立即登錄其中涉及的所有賬號并更改所有口令；如發(fā)現(xiàn)口令有泄露跡象，應立刻報告主管領導并進行記錄，以便及時處理。4、口令設立原那么數(shù)據(jù)庫賬號的口令必須是具有足夠的長度和復雜度，使口令難于被猜想；數(shù)據(jù)庫賬號的口令在必要時間或次數(shù)〔最少5次〕內不得循環(huán)使用；數(shù)據(jù)庫賬號曾用的各個口令之間應當是沒有直接聯(lián)系的，以保證不能從以前的口令推知現(xiàn)在的口令；數(shù)據(jù)庫賬號的前后兩個口令之間的相同局部應當盡量減少，減低由前一個口令分析出后一個口令的時機；數(shù)據(jù)庫賬號的口令不應當取有意義的詞語或其他符號，如使用者的姓名，生日或其它易于猜想的信息。口令最低標準:業(yè)務賬號和個人賬號口令長度不得低于6位，口令字符中須包含字母、數(shù)字、特殊字符中的至少兩類；系統(tǒng)超級賬號口令長度不得低于8位，口令中必須包含大、小寫字母、數(shù)字和特殊字符，且不得為有意義的單詞或短語。5、賬號的取消業(yè)務賬號的取消需要經(jīng)過正式的審批流程。個人用戶如果因職責變動而離