IT运维管理制度（版）.docx

《IT运维管理制度（版）.docx》由会员分享，可在线阅读，更多相关《IT运维管理制度（版）.docx（29页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、IT运维管理制度（版） 第一章 运维管理服务保障制度 为完成运维任务必需建立相应的技术支持管理制度，使维护工作做到有章可循，有据可查。同时对制定的各个制度的执行状况进行质量考核，对运维团队的工作绩效进行评估，促进制度的更好落实，确保高质量地完成各项维护支持任务。 1.1 机房运维管理制度 1.1.1 数据中心环境平安管理 数据中心进出平安管理的重点在于对不同的访问区域制定不同的平安管控和出入原则。将数据中心划分3类不同类别的管控区域和平安区域。公共区域、办公区域、机房区域。 (1)公共区域：这些区域通常用于数据中心生活与展示的配套区域。该区域经授权并在遵守相关制度的前提下来访者可自由进出。 (

2、2)办公区域：数据中心日常工作区域。这类区域的进入通常为数据中心内部员工及运维人员。需经授权访问。 (3)机房区域：机房区域是数据中心的核心区域。该区域应有严格的进出管控，外来人员进出需提前提出申请，来访者进出机房区域需经授权，进出需登记。 除了数据中心人员进出管理外，还应考虑设备和物品进出的流程。设备和物品的进出也应得到正式的审批,特殊是对于机房区域的设备应重点管控。应通过机房人员/设备登记表具体记录。设备出门需开具出门凭据等。 1.1.2 机房平安管理制度 (1) 机房应防尘、防静电，保持清洁、整齐，设备无尘、排列正规、工具就位、资料齐全。 (2) 机房门内外、通道、设备前后和窗口旁边，均

3、不得堆放物品和杂物，做到无垃圾、无污水，以免阻碍通行和工作。 第1页/ (3) 严格遵照消防管理制度规定，机房内严禁烟火，严禁存放和运用易燃易爆物品，严禁运用大功率电器、严禁从事危急性高的工作。如需施工，必需取得领导、消防、安保等相关部门的许可方可施工。 (4) 外来人员进入机房应严格遵照机房进出管理制度规定，填写人员进出机房登记表，在相关部门及领导核准后，在值班人员陪伴下进出，机房进出应换穿拖鞋或鞋套。 (5) 进入机房人员服装必需整齐，保持机房设备和环境清洁。外来人员不得随意进行拍照，严禁将水及食物带入机房。 (6) 进入机房人员只能在授权区域与其工作内容相关的设备上工作，不得随意进入和触

4、动未经授权以外的区域及设备。 (7) 任何设备出入机房，经办人必需填写设备出入机房登记表，经相关部门及领导批准后方可进入或搬出。 1.1.3 服务人员平安及保密管理制度 1、维护工程师必需熟识并严格执行平安保密准则。 2、外部人员因公需进入机房，应经上级批准并指定专人带领方可入内。 3、有关通信设备、网络组织电路开放等资料不得随意抄录、复制，防止失密。须要监听电路时，应按保密规则进行。 4、机房内消防器材应定期检查，每个维护人员应熟识一般消防和平安操作方法。 5、机房内严禁吸烟和存放、运用易燃、易爆物品。 6、搞好平安保密教化，建立定期检查制度，加强节假日的平安保密工作。 7、未经有关领导批准

5、，非机房管理人员严禁入机房。 8、机房内严禁烟火，不准存放易燃易爆物品。 9、注意电气平安，严禁违章运用电器设备，不准超负荷运用电器。 10、 11、按规定配备消防器材，并定期更新。 定期检查接地设施、配电设备、避雷装置，防止雷击、触电事故发生。 第2页/ 12、 13、 14、发觉事故苗头，应尽快实行有效措施，并刚好报告领导。 进行修理时，严格根据程序进行，杜绝人为事故发生。 严禁违规接入大功率无线放射设备。 1.1.4 网络平安管理制度 1.运行维护部门必需制定相应的体系确保网络平安，维护人员必需确立网络平安第一的意识。 2.在网络建设期必需考虑工程和现网的关系，加强施工平安管理和网络割接

6、打算工作，确保现网的平安，严禁人为事故发生。 3.网络运行维护期应确保维护工作、设备运行、系统数据的平安。 4.客户数据的制作以及对设备的指令操作要严格根据客户数据制作规范和设备技术手册的要求依据工单执行；对设备的全部操作要有具体记录，操作时要一人操作一人核对，精确无误方可执行，操作人员要在工单上签字确认。 5.网络运行维护期的平安可以通过三种限制方法保证，操作限制包括对操作流程、客户分级、权限分级、操作记录、远程管理、密码管理、防火墙技术、数据备份的平安保证；运行限制包括对告警处理、测试、性能分析、应急预案的平安保证；操作设备限制包括防病毒、杀毒软件、非生产应用软件的平安限制。 6.未经许可

7、，严禁设备厂商通过远程限制技术对设备进行修改维护，运行维护部门应有牢靠的防范措施。 7.为保证远程技术支持的牢靠性，需定期对远程维护设备、端口进行检查，在确保平安保密的同时确保其可用性。 8.磁盘、磁带等必需进行检查确认无病毒后，方可运用。 9.为保证网络平安，远程维护设备在一般状况下要处于关闭状态，只有在须要的时候才开通运用。 第3页/ 1.1.5 数据中心值班制度 (1) 值班人员应严守岗位，根据规定时间上下班，无法按时到岗应提前向上级领导汇报，由上级领导负责调换班。 (2) 值班时间要尽职尽责，禁止从事与值班无关的事情。 (3) 参照机房日常监控及巡检内容按时巡检机房环境设施，亲密留意电

8、源、温度、湿度等机房环境状况；随时监控IT系统、网络工作状态，具体记录异样状况。 (4) 发生任何异样状况时，应严格执行故障应急处理流程刚好处理，并向上级领导及相关部门刚好报告。做好一线技术支持工作。 (5) 对业务部门提出的服务恳求，要快速、精确、耐性地做出解答。并做好事务的记录、跟踪及回馈的服务台支持工作。 (6) 随时监督机房环境卫生和无关的物品带入，妥当管理设备工具。 (7) 遵照机房平安管理制度规定，制止任何违规进入机房人员及其他不当行为。 (8) 监督维保厂家对机器设备进行定期巡检和维护，对巡检单据签字确认，留档备案。 (9) 遵照人员/设备进出机房登记表做好值班期间的人员、设备进

9、出记录。 1.2 网络平安管理制度 1.2.1 防火墙平安管理职责说明 1.防火墙的逻辑管理，涉及用户、防火墙管理员、IT经理三个角色。 2.用户包括公司业务部门工作人员、公司业务合作伙伴、公司外部系统服务商以及来访客户。 3.防火墙管理员负责受理解决用户提出的防火墙相关需求，评估防火墙的配置措施和变更风险，并将分析结果报告给IT经理。 4.IT经理负责审批防火墙相关的配置变更措施，确认防火墙管理员对此配置 第4页/ 变更的评估结果符合公司平安策略和规范要求。 1.2.2 申请防火墙权限流程及创建策略 公司业务部门工作人员因工作须要申请开通防火墙端口通信权限时，须要填写“网络服务访问申请/变更

10、表”。经用户所在业务部门经理审批通过后，由防火墙管理员受理需求。防火墙管理员根据最小授权原则来评估此权限是否与业务处理需求相符，写出配置措施和风险分析，并将分析结果提交IT经理审批。经IT经理审批通过后，防火墙管理员为员工在防火墙上实施配置变更创建相应权限策略。 假如用户须要临时在防火墙上开通端口访问权限，则应在“网络服务访问申请/变更表”备注中注明运用时限。其它步骤根据创建防火墙权限策略流程执行。超过运用时限后，由防火墙管理员通知用户并得到用户确认后，撤销此权限策略。防火墙管理员应明确告知用户应对由其所具有的防火墙端口权限对生产系统产生的影响负责。用户应保证开通的端口权限只用于生产业务数据传

11、输，不行供生产业务以外的应用服务运用。 公司业务合作伙伴与公司进行通信须要在防火墙上开通访问权限时，应有公司相应业务部门工作人员来提出开通防火墙端口权限恳求，并填写“网络服务访问申请表”。其余审批步骤与创建公司内部员工权限策略相同。 如因公司系统服务商与公司进行通信，须要在防火墙上开通端口权限时，应由防火墙管理员自行填写“网络服务访问申请/变更表”，经IT经理审批通过后方可创建相应权限策略。在系统服务商服务结束后，必需刚好撤销防火墙相应策略。 防火墙管理员应依据最小授权原则，为来访客户IP地址统一在防火墙上配置相应权限策略，并禁止来访客户IP地址访问公司内部网络。 1.2.3 变更防火墙权限流

12、程及变更策略 由于业务或技术变动须要变更公司与外部站点之间的通信方式时，涉及到防火墙相关权限策略的变动，应当由业务部门员工向防火墙管理员提交“网络服务访问申请/变更表”。经业务部门经理审批通过后防火墙管理员受理需求，分析变更实施过程和相关风险，提交IT经理审批。经IT经理审批通过后，防火墙管理员在防火墙上实施配置变更，撤销原有权限策略并创建新权限策略。 第5页/ 1.2.4 撤销防火墙权限策略 公司业务部门工作人员进行部门调动、离职时，须要撤销其原IP地址在防火墙上配置的相应的权限策略。员工所在业务部门通知IT经理，由IT经理指定防火墙管理员在防火墙上实施配置变更，撤销员工IP地址所具有的权限

13、。 公司系统服务商的服务到期后，相关部门应通知IT经理，由IT经理指定防火墙管理员在防火墙上实施配置变更撤销系统服务商IP地址所具有的权限。 1.2.5 内审和复核 依据职责分别原则，防火墙管理员备份岗位工作人员每6个月应负责检查一次防火墙的设置是否符合防火墙配置规范，并填写检查记录。IT经理每6个月负责检查一次“防火墙的配置规范”是否符合公司平安策略要求，并填写检查记录。 1.3 账号和权限管理制度 1.3.1 网络设备账号权限审批制度 1.3.1.1 账号权限管理职责说明 账号权限的管理，包括用户账号的添加、修改和注销操作。涉及用户、业务部门接口人、网络管理员和IT经理四个角色。 用户包括

14、公司业务部门工作人员、公司业务合作伙伴、公司外部系统服务商以及来访客户。 业务部门接口人负责本公司与业务合作伙伴之间的业务协调工作。 网络管理员负责受理解决用户提出的账号权限相关需求，根据最小授权原则，评估账号权限是否与业务需求相符，是否会对生产业务产生潜在风险。并将评估结果报告给IT经理。 IT经理负责审批用户账号、权限相关配置变更是否满意公司相应的平安策略，对网络管理员对配置变更的评估结果进行确认。 第6页/ 1.3.1.2 账号申请流程及创建规则 1.公司业务部门工作人员因工作须要新建账号时，需填写“系统账号申请表”。经用户所在业务部门经理审批通过后，由网络管理员受理需求。网络管理员根据

15、最小授权原则评估用户账号权限是否与业务处理需求相符，并将分析结果提交IT经理审批。经IT经理审批通过后，网络管理员为员工创建账号、授予权限并通知员工。假如，用户须要建立临时帐号，应在“系统账号申请表”备注中写明运用时限。其它步骤根据新创建账号的管理制度执行。超过运用时限后，由网络管理员通知用户后，将此账号注销。网络管理员应明确告知用户对其所安排的账号的行为负责。用户要妥当运用和保管好自己的账号和密码，不得将帐号供应给他人运用。 2.公司业务合作伙伴须要创建账号时，可以向业务部门接口人提出恳求。由业务部门接口人向网络管理员提出创建账号恳求，并填写“系统账号申请表”。其余审批步骤与新建公司内部员工

16、账号步骤相同。 3.如因工作须要为公司系统服务商创建账号时，由网络管理员依据最小授权原则自行填写“系统账号申请表”，经IT经理审批通过方可后创建账号。待系统服务商服务到期结束后，必需刚好赐予注销。 4.网络管理员为来访客户统一安排IP地址网段，并实施身份验证。只允许客户具有一般访问外网权限，并禁止客户账号访问公司内部网络系统。一旦客户离开则马上撤销其账号。 5.网络管理员对用户账号授权时，应检查授予的访问等级是否适应业务访问限制策略，是否符合网络的信息平安策略。此外，网络管理员应比照网络设备相关定义，检查对账号的授权中是否有高权限。如有高权限，必需将此用户账号的操作纳入平安审计日志中。 6.根

17、据责任分别的原则，网络管理员为经过批准用户设立账号，一个账号对应唯一的用户。网络管理员在建立用户账号时，要在账号说明中具体标注用户名称、部门和账号所关联的业务等必要信息。 7.对于默认系统账号、商业软件自建账号，在正式投产前应删除或禁用此类账号。网络管理员应严加限制。如依据详细运行环境状况，的确须要运用这些账号，应在投入生产前更改缺省账号密码。 第7页/ 1.3.1.3 账号权限变更 当遇到用户岗位变动或者业务变更，须要修改原有账号访问权限时。网络管理员应要求用户重新填写“系统账号申请表”，说明账号权限变更理由，提出账号权限变更恳求。经用户所在部门经理审批通过后由网络管理员受理。网络管理员根据

18、最小授权原则评估用户账号权限是否与业务处理需求相符，并将分析结果提交IT经理审批。经IT经理审批通过后，网络管理员修改用户账号权限并通知员工。 1.3.1.4 账号注销 1.公司内部员工调动、离职或终止运用网络设备时，须要撤销其运用的账号。用户所在部门应按流程，通知IT经理，由IT经理指定网络管理员撤销员工所运用的账号。网络管理员在确认没有和此账号相关联的系统配置和数据（如运用此账号加密的数据）后，撤销用户账号的访问权限并注销用户账号。假如存在账号干脆关联的系统配置或数据时，应首先解除此关联，再撤销用户账号的访问权限并注销用户账号。 2.公司系统服务商服务到期后，相关部门应通知IT经理，由IT

19、经理指定网络管理员在确定已经取消系统服务商账号与相关配置和数据的关联性后，撤销系统服务商账号。 3.网络管理员至少每季度检查用户账号的运用状况，对于长时间（如3个月）无人运用的账号，经账号所属部门经理确认后刚好给与注销。如账号所属部门要求保留账号，应提交保留申请和保留期限。账号所属部门不能将账号随意转给其他用户运用。对所保留的用户账号，设置该账号处于禁用状态，重新启用这些账号时，账号所属部门仍需向运行维护部门提出申请。经IT经理审批同意后，网络管理员方可激活此账号供用户运用。 1.3.1.5 账号权限复查 对于全部注册并运用公司网络设备的用户账号，网络管理员应保存正式记录和用户清单，建立相应的

20、“账号权限矩阵表”，进行集中管理，并定期维护和更新。网络管理员应参照系统访问限制策略，和“账号权限矩阵表”，至少每半年复查用 第8页/ 户的访问权限。 对高权限账号的安排状况，网络管理员至少每半年核查一次，以便刚好查处并清理未经授权的高权限账号。对此类高权限账号，网络管理员在确认不影响生产的前提下，应刚好回收。事后通报相关用户和上级领导，并由该用户担当相应责任和惩罚。对高权限用户账号的运用状况，网络管理员须要每月进行核对，查看其运用状况是否被完全登记，并对登记的内容进行检查。 1.3.1.6 账号密码管理 用户在登陆网络设备时，都要求输入其账号所对应的密码。网络管理员会在用户注册时，为其账号设

21、置初始密码，并在首次启用时强制用户对密码进行更改。 网络设备账号密码应妥当运用和保管，并根据以下建议进行设置，以确保账号平安： 全部账号密码均应以密文形式存储在网络设备上。 一般用户密码长度不少于6个字符，高权限用户密码长度不少于8个字符。建议设置的密码采纳字母与数字混合形式的字符串。 用户设置密码应保证自己简单记忆，但尽量不基于以下简单揣测的字符串，比如：个人姓名、部门名称、公司名称、电话号码、诞生日期、连续数字、相同字符等。 用户尽量不运用私人用户密码。当须要访问多个网络设备或多重服务时，建议用户运用单一的密码。 用户应定期重置密码，以确保账号平安。一般用户密码至少每季度重置一次，高权限用

22、户密码至少每月重置一次。重置密码时，用户应不重复或者循环运用旧的密码，其中高权限用户密码至少6次之内不重复运用。 用户不应把密码包含在任何自动登录程序之中，例如：把密码存在宏代码或者功能键上； 用户遗忘密码时，可向网络管理员提出重置密码恳求，经用户所在部门领导批准后，在网络管理员帮助和指导下重新设置密码。遇有系统或者密码可能被侵害的迹象时，用户应刚好报告网络管理员，并马上重置密码。 依据职责分别原则，网络设备高权限账号密码应由网络设备以外岗位的工程师 第9页/ 进行管理。 网络管理员应每季度定期检查用户密码是否按以上规定设置，对不符合要求的应刚好通知用户整改。对用户拒不改正的，网络管理员应强制

23、停用该账号，以确保网络设备的平安。 1.3.1.7 账号权限的内部限制与审计 为确保用户管理和密码管理的有效性，运行维护部门应对从事该项工作的网络管理员有限制措施。必要时可以依据职责分别原则设置双向监督岗位。同时，要对网络管理员和用户进行必要的平安意识教化。 网络管理员要遵守中心保密制度，确保职业操守，保证用户信息的平安。工作中要根据审批流程严格执行，并对全部操作保留记录，以备核查。 运行维护部门每年组织内部审计，以确保该项工作的有效性。内部审计人员一般由业务管理部门和运行维护部门的工作人员组成。依据职责分别原则，网络管理员不在审计人员行列之内。内部审计的内容主要以“账号权限管理内部审计表”中

24、所作的强制性要求为准，建议性要求不在审计范围之列。内部审计后，审计人员要仔细填写“账号权限管理内部审计表”，并对审计结果签署看法，必要时要有相应的说明。该审计结果要刚好反馈给相应部门和人员，并最终由运行维护部门负责存档。 1.3.2 主机账号管理制度 1.3.2.1 主机账号管理细则 1、主机账号分类 1.主机账号依其重要程度分为重要账号和一般账号。 重要账号包括： a) 具有集团各业务系统及相关设备的完全或部分管理权限的账号为重要账号。 b) 具有修改集团业务数据权限的账号为重要账号。 c) 具有读取涉及集团隐私业务数据权限的账号为重要账号。 第10页/ d) 其它管理制度规定为重要账号者。

25、 其他主机账号均归为一般账号。 2.账号依其生存周期分为永久账号和临时账号，临时账号应严格根据其生存周期进行管理，到期注销。 2、账号注册与维护 1.运用唯一的用户ID，爱护用户的操作行为与用户本人身份唯一对应，便于对用户行为的审计以及追溯。 2.检查系统所给予用户的访问权限是否与业务目标匹配，防止出现过度授权现象。 3.应维护一份完整的主机账户权限列表，并做到刚好更新。 3、口令生成及保存 1.账号安排时必需同时生成相应的口令，并且与账号一起传送给用户，不得创建没有口令的账号； 2.管理员在传递账号和口令时，应当实行平安的传输途径，以保证不会被中途截取； 3.用户在接受到账号和口令后，应在第

26、一次登录账号时修改口令； 4.对于以口令作为唯一验证证据的账号，假如账号的用户名由确定且公开的规则产生，则口令不应当为公开的口令； 5.不得将账号口令明文存储在计算机上或写在记事本上； 6.为满意应急响应需求，应将重要账号的口令密封保存在平安场所，并随口令的更改刚好更换口令信封。口令信封一旦打开，必需马上登录其中涉及的全部账号并更改全部口令； 7.如发觉口令有泄露迹象，应立即报告主管领导并进行记录，以便刚好处理。 4、口令设立原则 1.账号的口令必需是具有足够的长度和困难度，使口令难于被揣测； 2.账号的口令在必要时间或次数（最少5次）内不得循环运用； 3.账号曾用的各个口令之间应当是没有干脆

27、联系的，以保证不能从以前的口令推知现在的口令； 4.账号的前后两个口令之间的相同部分应当尽量削减，减低由前一个口令分析出后一个口令的机会； 第11页/ 5.账号的口令不应当取有意义的词语或其他符号，如运用者的姓名，生日或其它易于揣测的信息。 6.口令最低标准:一般账号口令长度不得低于6位，口令字符中须包含字母、数字、特别字符中的至少两类；重要账号口令长度不得低于8位，口令中必需包含大、小写字母、数字和特别字符，且不得为有意义的单词或短语。 5、账号的取消 1.用户假如因职责变动而离岗，不再须要系统权限且无须将账号移交给其他责任人，其原岗位主管应当申请销户，由管理员取消该账号的全部权限； 2.账

28、号取消的同时，应当将账号对应的应用系统和服务的权限同时注销，保证该账号对应用系统的访问企图失效。 3.用户离职后，管理员应当关闭用户账号在系统中的全部权限。 6、口令运用和管理原则 1.重要账号口令应在90天内至少更换一次，一般账号口令至少在半年内更换一次；对重要设备和系统建议采纳一次性口令方式进行认证。 2.重要口令连续多次尝试登录失败后应暂停该账号登录（可以依据实际状况设置尝试次数，一般为5次）。 3.系统管理员修改账号口令时，应提前（或同时）通知账号运用人，以免影响其正常运用。 4.各级口令保管落实到人，口令全部人须妥当保存，各级口令不得以任何形式明文存放于可公共访问的设备中。 5.出现

29、以下任何一种状况时，相关口令必需马上更改并做好记录： 1) 驾驭口令的管理员离开岗位； 2) 因工作须要，由管理员以外人员运用账号及口令登录操作后； 3) 有迹象表明口令可能被泄露。 7、管理员的责任与义务 1.确保除匿名账号外，系统中全部用户都必需有口令； 2.确保系统和网络设备上没有运用默认口令的账号； 3.确保重要账号的口令具有足够强度； 4.定期审计，检查系统用户的数量和权限； 第12页/ 5.为用户普及口令平安学问； 6.建议同一个管理员在不同主机上运用不同的账号口令。 1.3.2.2 主机账号申请流程 1.业务部门提出申请，填写主机账号申请单。申请单应填写申请部门、申请人、申请日期

30、、申请缘由说明等信息。 2.主机账号申请单应先由所在业务部门领导审核签字，然后交由技术管理部门领导审核签字，再交由信息中心领导审核签字。 3.全部审核都通过后，由运行维护部门负责对申请的主机账号进行开通执行，并将执行的状况填入主机账号申请单。 4.打印版的主机账号申请单由运行维护部门存档并长期保管。 1.3.2.3 主机账号取消流程 1.业务部门提出申请，填写取消主机账号申请单。申请单应填写申请部门、申请人、申请日期、申请缘由说明等信息。 2.取消主机账号申请单应先由所在业务部门领导审核签字，然后交由技术管理部门领导审核签字，再交由信息中心领导审核签字。 3.全部审核都通过后，由运行维护部门负

31、责对申请的主机账号进行开通执行，并将执行的状况填入取消主机账号申请单。 4.打印版的取消主机账号申请单由运行维护部门存档并长期保管。 1.3.3 数据库账号及权限管理制度 1.3.3.1 数据库账号管理细则 1、数据库账号分类 数据库账号依其用途分为四类： 1.安装数据库时自动创建的账号为系统账号，其中具备数据库管理权限的为系统超级账号，如Oracle数据库中的sys、system。 2.安装数据库时自动创建的账号为系统账号，其中不具备数据库管理权限的账号 第13页/ 为系统一般账号，如Oracle数据库中的scott等。 3.为满意业务系统运行须要而创建的账号为业务账号。 4.为个人维护数据

32、须要而创建的账号为个人账号。 2、账号创建及维护 1.数据库环境搭建完成后，创建任何新的数据库账号都必需经过正式的审批流程。 2.创建新的数据库账号时，必需明确每个数据库账号的责任人，便于对用户行为的审计以及追溯。 3.创建新的数据库账号时，必需检查数据库账号所给予的权限是否与业务目标匹配，防止出现过度授权现象。 4.应维护完整的数据库账户列表及数据库权限列表各一份，并做到刚好更新。 3、口令生成及保存 1.数据库账号安排时必需同时生成相应的口令，并且与账号一起传送给用户，不得创建没有口令的账号； 2.管理员在传递数据库账号和口令时，应当实行平安的传输途径，以保证不会被中途截取； 3.不得将账

33、号口令明文存储在计算机上或写在记事本上； 4.为满意应急响应需求，应将数据库账号的口令密封保存在平安场所，并随口令的更改刚好更换口令信封。口令信封一旦打开，必需马上登录其中涉及的全部账号并更改全部口令； 5.如发觉口令有泄露迹象，应立即报告主管领导并进行记录，以便刚好处理。 4、口令设立原则 1.数据库账号的口令必需是具有足够的长度和困难度，使口令难于被揣测； 2.数据库账号的口令在必要时间或次数（最少5次）内不得循环运用； 3.数据库账号曾用的各个口令之间应当是没有干脆联系的，以保证不能从以前的口令推知现在的口令； 4.数据库账号的前后两个口令之间的相同部分应当尽量削减，减低由前一个口令分析

34、出后一个口令的机会； 5.数据库账号的口令不应当取有意义的词语或其他符号，如运用者的姓名，生日或其它易于揣测的信息。 第14页/ 6.口令最低标准:业务账号和个人账号口令长度不得低于6位，口令字符中须包含字母、数字、特别字符中的至少两类；系统超级账号口令长度不得低于8位，口令中必需包含大、小写字母、数字和特别字符，且不得为有意义的单词或短语。 5、账号的取消 1.业务账号的取消须要经过正式的审批流程。 2.个人用户假如因职责变动而离岗，不再须要数据库权限且无须将个人账号移交给其他责任人，其原岗位主管应当申请销户，由数据库管理员取消该个人账号的全部权限； 3.个人用户离职后，数据库管理员应当删除

35、该个人用户的数据库账号。 6、口令运用和管理原则 1.系统超级账号口令应在90天内至少更换一次，业务账号口令和个人账号口令至少在一年内更换一次； 2.业务账号和个人账号的口令连续多次尝试登录失败后应暂停该账号登录（可以依据实际状况设置尝试次数，一般为5次）。 3.数据库管理员修改账号口令时，应提前（或同时）通知账号运用人，以免影响其正常运用。 4.各级口令保管落实到人，口令全部人须妥当保存，各级口令不得以任何形式明文存放于可公共访问的设备中。 5.以下状况时相关口令必需马上更改并做好记录： 1) 驾驭口令的管理员离开岗位； 2) 因工作须要，由管理员以外人员运用账号及口令登录操作后； 3) 有

36、迹象表明口令可能被泄露。 1.3.3.2 数据库账号申请流程 4.业务部门提出申请，填写数据库账号申请单。申请单应填写申请部门、申请人、申请日期、申请缘由说明等信息。 5.数据库账号申请单应先由所在业务部门领导审核签字，然后交由技术管理部门领导审核签字，再交由信息中心领导审核签字。 6.全部审核都通过后，由运行维护部门负责对申请的数据库账号进行开通执行， 第15页/ 并将执行的状况填入数据库账号申请单。 7.打印版的数据库账号申请单由运行维护部门存档并长期保管。 1.3.3.3 数据库权限管理细则 1、数据库权限分类 数据库权限依其范围分为两类： 1.系统权限：给用户授予系统权限，运用户可以再

37、数据库中进行特定的活动，或者在某个特定类型的模式对象上完成某项操作。 2.对象权限：各种类型的数据库对象上的权限，它允许用户在指定的表、视图、实体化视图、序列、函数或程序包上执行操作。 2、数据库授权规定 1.任何授权都必需填写数据库权限申请单，经过正式的审批流程。 2.数据库管理员需记录授权的执行状况。 3.数据库管理员应依据最小权限原则授权。 4.数据库管理员应定期检查数据库账号所给予的权限是否与业务目标匹配，防止出现过度授权现象。 3、数据库权限回收规定 1.过期权限应刚好回收。 2.数据库管理员需记录权限回收的执行状况。 1.3.3.4 数据库权限申请流程 1.业务部门提出申请，填写数

38、据库权限申请单。申请单应填写申请部门、申请人、权限有效期、申请日期、申请缘由说明等信息。 2.数据库权限申请单应先由所在业务部门领导审核签字，然后交由技术管理部门领导审核签字，再交由信息中心领导审核签字。 3.全部审核都通过后，由运行维护部门负责对申请的数据库账号进行授权，并将执行的状况填入数据库权限申请单。 4.打印版的数据库权限申请单由运行维护部门存档并长期保管。 第16页/ IT运维管理制度（版） 运维管理制度 在线运维管理制度 IT运维管理制度+流程 技术运维管理制度 运维专员管理制度 运维培训管理制度 运维人员管理制度 运维管理制度举荐 ERP系统运维管理制度 本文来源：网络收集与整理，如有侵权，请联系作者删除，谢谢！第29页 共29页第 29 页 共 29 页第 29 页 共 29 页第 29 页 共 29 页第 29 页 共 29 页第 29 页 共 29 页第 29 页 共 29 页第 29 页 共 29 页第 29 页 共 29 页第 29 页 共 29 页第 29 页 共 29 页