网络设备运维管理制度

第一条 系统所有网络设备（包括交换机、路由器、防火墙、以及其他网络设备）应由专职系统维护人员负责定点存放和管理，定期检查存放处的物理环境，并按照物理安全制度进行维护。

第二条 维护人员应至少每天1次，对所有网络设备进行检查，确保各设备都能正常工作。

第三条 制定网络设备用户账号的管理制度，对各个网络设备上拥有用户账号的人员、权限以及账号的认证和管理方式做出明确规定。并定期进行审查，在发现有可疑的用户账号时进行核实并采取相应的措施。

第四条 在用户权限的设置时应遵循最小授权和权限分割的原则，只给系统用户、数据库系统用户或其它应用系统用户授予业务所需的最小权限，应禁止为系统无关的人员提供系统用户账号，并且关闭一切不需要的系统账号。对两个月以上不使用的用户账号进行锁定。同时对设备中所有用户账号进行登记备案。

第五条 为不同的用户建立相应的账号，根据对网络设备安装、配置、升级和管理的需要为用户设置相应的级别，并对各个级别用户能够使用的命令进行限制，严格遵循“不同权限的人执行不同等级的命令集”。

第六条 制订网络设备用户账号口令的管理制度，对口令的选取、组成、长度、保存、修改周期以及存储做出规定；禁止使用名字、姓氏、电话号码、生日等容易猜测的字符作为口令，也不应使用单个单词或命令作为口令，组成口令的字符应包含大小写英文字母、数字、标点、控制字符等，口令长度要求在8位以上；不应将口令存放在个人计算机文件中，或写到容易被其它人获取的地方；对于重要的网络设备，要求至少每个月修改一次口令；若掌握口令的管理人员调离本职工作时，必须立即更改所有相关口令；用户账号口令应以加密方式存储，如MD5方式。

第七条 严格禁止非本系统管理人员直接进入网络设备进行操作，若在特殊情况下（如系统维修、升级等）需要外部人员（主要是指厂家技术工程师、非本系统技术工程师、安全管理员等）进入网络设备进行操作时，必须由本系统管理员登录，并对操作全过程进行记录备案。禁止将系统用户账号及口令直接交给外部人员，在紧急情况下需要为外部人员开放临时账号时，在申请中写明开放临时账号的原因、时间、期限、对外部人员操作的监控方法、负责开放和注销临时账号的人员等内容，并严格进行临时账号的开放、注销、监控，并记录备案。

第八条 系统软件安装之后，应立即进行备份；在后续使用过程中，在系统软件的变更以及配置的修改之前和之后，也应立即进行备份工作。

第九条 尽可能减少网络设备的管理方式，例如Telnet、web、SNMP等；如果的确需要进行远程管理，应限定远程登录的超时时间，远程管理的用户数量，远程管理的终端IP地址，同时按照“网络安全配置管理制度”中的规定进行严格的身份认证和访问权限的授予，并在配置完后，立刻关闭此类远程连接；进行远程管理时，应设置控制口和远程登录口的超时时间，让控制口和远程登录口在空闲一定时间后自动断开。

第十条 软件更新或者补丁安装后应重新对系统进行安全设置，并进行系统的安全检查。

第十一条 及时报告任何已知的或可疑的信息安全问题、违规行为或紧急安全事件，并在采取适当措施的同时，应向主管部门报告细节；并不得试图干扰、防止、阻碍或劝阻其他员工报告此类事件；同时禁止以任何形式报复报告或调查此类事件的个人。

第十二条 定期提交安全事件和相关问题的管理报告，以备管理层检查。

第十三条 制订网络设备日志的管理制定，对于日志功能的启用，日志记录的内容，日志的管理形式，日志的审查分析做明确的规定。对于重要网络设备，应建立集中的日志管理服务器，实现对重要网络设备日志的统一管理，以利于对网络设备日志的审查分析。

第十四条 保证各设备的系统日志处于运行状态，并每两周对日志做一次全面的分析，对登录的用户、登录时间、所做的配置和操作做检查，在发现有异常的现象时应及时向信息安全工作组报告。

第十五条 定期进行安全漏洞扫描工作，平均频率应不低于每2周一次，重大安全漏洞发布后，扫描工作应在3个工作日内进行；并且为了防止网络安全扫描对网络性能造成影响，应根据业务的实际情况对扫描时间做出规定，一般安排在非业务繁忙时段；当发现网络设备上存在异常开放的网络服务或者开放的网络服务存在安全漏洞时应及时上报信息安全工作组，并采取相应措施。

第十六条 通过各种手段监控网络的流量状况，当突发异常流量时，应立即上报信息安全工作组，并同时采取适当控制措施，并记录备案。

第十七条 至少每年1次对整个网络进行灾难影响分析，并进行灾难恢复演习。

第十八条 当服务器系统出现以下现象之一时，维护人员必须进行安全问题的报告和诊断，并及时进行处理：

（1）系统中出现异常系统进程或者系统进程数量有异常变化。

（2）系统突然不明原因的性能下降。

（3）系统不明原因的重新启动。

（4）系统崩溃，不能正常启动。

（5）系统中出现异常的系统账号

（6）系统账号口令突然失控。

（7）系统账号权限发生不明变化。

（8）系统出现来源不明的文件。

（9）系统中文件出现不明原因的改动。

（10）系统时钟出现不明原因的改变。

（11）系统日志中出现非正常时间系统登录，或有不明IP地址的系统登录。

（12）发现系统不明原因的在扫描网络上其它主机。

第十九条 维护人员必须严格遵循数据备份与恢复流程。所有服务器均应有较详细的系统配置的备份，以便系统的恢复。重要数据应定期进行全备份和增量备份，并妥善保存存储介质。鉴于现在网络的主机和备份介质，建议采用如下备份计划：

（1）每月做一次系统全备份；

（2）每周做一次增量备份；

（3）每个服务器至少保持最近的三个月的系统和数据备份。

订数据备份介质的管理制度，对数据备份必须有明确的记录，在记录中标明备份内容、备份时间，存储的位置、存储的形式、安全控制的方法和措施、负责安全管理和日常备份的人员、可以访问数据的用户、访问的方式以及权限。