某业务运维信息系统风险评估报告(DOC 100页)
X X X业务运维
信息系统风险评估报告
文档控制
版本信息
所有权声明
文档里的资料版权归江苏开拓信息系统有限公司(以下简称“江苏开拓”)所有。未经江苏开拓事先书面允许,不得复制或散发任何部分的内容。任何团体或个人未经批准,擅自观看方案将被认为获取了江苏开拓的私有信息而遭受法律的制裁。
目录
1.评估项目概述 (6)
1.1.评估目的和目标 (6)
1.2.被评估系统概述 (6)
1.2.1.系统概况 (6)
2.风险综述 (6)
2.1.风险摘要 (6)
2.1.1.风险统计与分析 (6)
2.1.2.极高风险摘要 (10)
2.1.3.高风险摘要 (10)
2.1.4.中风险摘要 (11)
2.1.5.低风险摘要 (12)
2.2.风险综述 (13)
3.风险分析 (17)
3.1.网络通信 (17)
3.1.1.VLAN间未做访问控制 (17)
3.1.2.内网设计中存在单点故障风险 (18)
3.1.3.外网设计中存在单点故障风险 (19)
3.1.4.无专业审计系统 (20)
3.1.5.SSG520防火墙配置策略不当 (20)
3.1.6.网络边界未做访问控制 (22)
3.2.安装部署 (23)
3.2.1.Windows系统未安装最新补丁 (23)
3.2.2.Windows系统开放了不需要的服务 (24)
3.2.3.Windows系统开放了默认共享 (25)
3.2.4.Windows系统存在权限控制不当的共享 (26)
3.2.5.Windows系统过多的管理员账号 (28)
3.2.6.Windows系统账户策略配置不当 (29)
3.2.7.Windows系统审核策略配置不当 (31)
3.2.8.Windows系统事件日志策略配置不当 (32)
3.2.9.Windows系统终端服务开放在常规端口 (33)
3.2.10.Windows系统未禁用Guest账号 (34)
3.2.11.Windows系统没有重命名管理员账号 (36)
3.2.12.Windows系统管理员账号弱口令 (37)
3.2.13.Windows系统允许匿名FTP访问 (38)
3.2.14.Windows系统IIS允许父路径 (39)
3.2.15.Windoiws系统存在IIS示例程序 (40)
3.2.16.Windoiws系统存在IIS目录权限设置不当 (41)
3.2.17.Windoiws系统IIS脚本默认映射 (43)
3.2.18.Windoiws系统SNMP默认团体字 (44)
3.2.19.BBS数据库文件未改名 (45)
3.2.20.SQL Server数据库未安装最新补丁 (47)
3.2.21.SQL Server数据库审核级别设置不当 (48)
3.2.22.SQL Server数据库服务运行在特权账号下 (49)
3.2.23.SQL Server数据库存在存在xp_cmdshell等扩展存储过程 (50)
3.2.24.SQL Server数据库管理员账户使用弱口令 (51)
3.2.25.未限制可登录Cisco交换机的IP地址 (53)
3.2.26.Cisco交换机开放过多不需要的SNMP服务 (54)
3.2.27.使用弱密码管理Cisco交换机 (56)
3.2.28.cisco交换机的SNMP只读及读写存在弱密码 (56)
3.2.29.SSG520的SNMP只读及读写存在弱密码 (58)
3.2.30.SUN Solaris 未安装最新安全补丁 (59)
3.2.31.SUN Solaris存在弱口令帐户 (60)
3.2.32.SUN Solaris使用明文协议维护主机 (61)
3.2.33.SUN Solaris ftp服务允许匿名用户访问 (62)
3.2.34.SUN Solaris存在极危险的.rhosts文件 (63)
3.2.35.系统存在有安全漏洞的HTTP服务器 (64)
3.2.36.SUN Solaris启用了多个不需要的服务 (66)
3.2.37.Oracle监听器安全配置不当 (67)
3.2.38.Oracle 数据库调度程序漏洞 (68)
3.2.39.Oracle 数据库多重目录遍历漏洞 (69)
3.2.40.SUN Solaris主机系统日志无备份 (71)
3.3.认证授权 (71)
3.3.1.系统未采用安全的身份鉴别机制 (71)
3.3.2.未对数据库连接进行控制 (73)
3.4.安全审计 (74)
3.4.1.无登录日志和详细日志记录功能 (74)
3.5.备份容错 (75)
3.5.1.无异地灾备系统 (75)
3.5.2.数据备份无异地存储 (76)
3.5.3.核心业务系统存在单点故障 (77)
3.6.运行维护 (78)
3.6.1.未形成信息安全管理制度体系 (78)
3.6.2.未规范安全管理制度的维护 (79)
3.6.3.人员岗位、配备不完善 (80)
3.6.4.未与相关人员签订保密协议 (81)
3.6.5.未规范信息系统建设 (82)
3.6.6.运维管理待健全 (83)
3.7.物理环境 (84)
3.7.1.机房存在多余出入口 (84)
3.7.2.机房未进行防水处理 (85)
3.7.3.机房内无防盗报警设施 (86)
3.7.4.防火措施不当 (87)
3.7.5.未采取防静电措施 (88)
3.8.系统开发 (89)
3.8.1.系统未进行分级管理 (89)
3.8.2.系统开发外包管理有待完善 (90)
3.8.3.未规范系统培训环境 (91)
3.8.4.未规范口令管理 (92)
3.8.5.未对用户登陆进行安全控制 (93)
3.8.6.未对系统会话进行限制 (94)
4.安全建议总结 (95)
4.1.网络通信 (95)
4.2.安装部署 (95)
4.3.认证授权 (96)
4.4.安全审计 (96)
4.5.备份容错 (96)
4.6.运行维护 (96)
4.7.物理环境 (97)
4.8.系统开发 (97)
5.附录:信息安全风险级别定义 (99)
1.评估项目概述
1.1.评估目的和目标
对XXX信息系统进行风险评估,分析系统的脆弱性、所面临的威胁以及由此可能产生的风险;根据风险评估结果,给出安全控制措施建议。
风险评估范围包括:
(1)安全环境:包括机房环境、主机环境、网络环境等;
(2)硬件设备:包括主机、网络设备、线路、电源等;
(3)系统软件:包括操作系统、数据库、应用系统、监控软件、备份系统等;
(4)网络结构:包括远程接入安全、网络带宽评估、网络监控措施等;
(5)数据交换:包括交换模式的合理性、对业务系统安全的影响等;
(6)数据备份/恢复:包括主机操作系统、数据库、应用程序等的数据备份/恢复机制;
(7)人员安全及管理,通信与操作管理;
(8)技术支持手段;
(9)安全策略、安全审计、访问控制;
1.2.被评估系统概述
1.2.1.系统概况
XXX信息系统主要由HIS系统、LIS系统、PACS系统以及医保、大屏、合理用药、折子工程等业务系统、内外网安全服务器、双翼服务器、OA服务器、交换机、防火墙以及安全控制设备等构成,内外网物理隔离,外网为访问互联网相关服务为主,内网为XXX生产网络。
2.风险综述
2.1.风险摘要
2.1.1.风险统计与分析
经过风险分析,各级风险统计结果如下:
风险级别风险数量百分比
极高风险 2 2.94%
高风险9 13.24%
中风险39 57.35%
低风险18 26.47%
总计68 100% 根据风险评估统计结果,各级风险统计结果分布如下图所示:
各类风险分布数量如下表所示:
类别
风险级别
总计低风险中风险高风险极高风险
运行维护 1 5 0 0 6 系统开发 1 4 1 0 6 物理环境0 3 2 0 5 网络通信 2 1 1 1 5 认证授权0 2 0 0 2 备份容错0 0 2 1 3 安装部署13 24 3 0 40 安全审计 1 0 0 0 1
类别风险级别总计总计18 39 9 2 68
各类风险及级别分布如下图所示:
极高风险分布如下图所示:
高风险分布如下图所示:
中风险分布如下图所示:
低风险分布如下图所示:
2.1.2.极高风险摘要
极高风险摘要 2 备份容错 1
?核心业务系统单点故障导致业务中断 1
网络通信 1
?内网单点一故障风险造成业务系统服务停止 1
2.1.
3.高风险摘要
高风险摘要9 安装部署 3
1
?非法者极易获得系统管理员用户权限攻击SUN SOLARIS系
统
?非法者利用SQL Server管理员账号弱口令渗透进系统 1
?非法者利用管理员账号弱口令尝试登录Windows系统 1
备份容错 2
?备份数据无异地存储导致灾难发生后系统不能快速恢复 1
?灾难发生后业务系统难以快速恢复 1
网络通信 1
?非法者利用医保服务器渗透进内网 1
物理环境 2
?防火措施不当引发更大损失 1
?机房未进行防水处理引起设备老化、损坏 1
系统开发 1
?未规范口令管理导致用户冒用 1
2.1.4.中风险摘要
中风险39 安装部署24
?SUN Solaris远程用户配置不当造成无需验证登录到主机 1
?非法者获得数据库权限进而获得系统管理员权限 1
?非法者或蠕虫病毒利用默认共享攻击Windows系统 1
1
?非法者或蠕虫病毒利用权限控制不当的共享攻击Windows系
统
?非法者利用Guest账号攻击Windows系统 1
?非法者利用IIS目录权限设置问题攻击Windows系统 1
?非法者利用Oracle数据库调度程序漏洞远程执行任意指令 1
1
?非法者利用SQL Server的xp_cmdshell扩展存储过程渗透进
系统
?非法者利用SQL Server漏洞攻击Windows系统 1
?非法者利用Web server的漏洞来攻击主机系统 1
?非法者利用不当的监听器配置攻击Oracle系统 1
?非法者利用匿名FTP服务登录FTP系统 1
?非法者利用已启用的不需要服务攻击Windows系统 1
?非法者利用已知Windows管理员账号尝试攻击Windows系统 1
?非法者利用已知漏洞攻击SUN SOLARIS系统 1
?非法者利用已知漏洞攻击Windows系统 1
?非法者利用远程桌面登录Windows系统 1
?非法者破解Cisco交换机弱密码而侵入系统 1
?非法者通过SNMP修改cisco交换机配置 1
?非法者通过SNMP修改SSG520防火墙配置 1
?非法者通过Sun Solaris 不需要服务的安全漏洞入侵系统 1
1
?非法者通过监听和伪造的方式获得管理员与主机间的通信内
容
?非法者有更多机会破解Windows系统密码 1
?系统管理员账号失控威胁Windows系统安全 1
认证授权 2
?未对数据库连接进行控制导致系统非授权访问 1
?系统未采用安全的身份鉴别机制导致用户账户被冒用 1
网络通信 1
?外网单一单点故障风险造成Internet访问中断 1
物理环境 3
?机房存在多余出入口可能引起非法潜入 1
?机房内无防盗报警设施引起非法潜入 1
?未采取防静电措施引起设备故障 1
系统开发 4
?生产数据通过培训环境泄露 1
?未对系统会话进行限制影响系统可用性 1
?未做用户登录安全控制导致用户被冒用 1
?系统开发外包管理有待完善引发系统安全问题 1
运行维护 5
?安全管理体系不完善引发安全问题 1
?人员岗位、配备不完善影响系统运行维护 1
?未规范信息系统建设影响系统建设 1
?未与相关人员签订保密协议引起信息泄密 1
?运维管理不完善引发安全事件 1
2.1.5.低风险摘要
低风险18 安全审计 1
?发生安全事件很难依系统日志追查来源 1
?安装部署13
?SQL Server发生安全事件时难以追查来源或异常行为 1
?Windows发生安全事件难以追查来源或非法行为 2
?非法者可从多个地点尝试登录Cisco交换机 1
?非法者利用DVBBS数据库渗透进Windows系统 1
?非法者利用IIS默认映射问题攻击Windows系统 1
?非法者利用IIS示例程序问题攻击Windows系统 1
?非法者利用IIS允许父路径问题攻击Windows系统 1
?非法者利用Oracle数据库漏洞可获得任意文件读写权限 1
?非法者利用SNMP服务获取Windows主机信息 1
?非法者利用SUN Solaris匿名FTP服务登录FTP系统 1
?非法者利用开启过多的snmp服务获得详细信息 1
?日志无备份对系统管理和安全事件记录分析带来困难 1
网络通信 2
?出现安全事件无法进行有效定位和问责 1
?非法者利用防火墙配置不当渗透入外网 1
系统开发 1
?系统未进行分级管理导致核心系统不能得到更多的保护 1
运行维护 1
?安全管理制度缺乏维护导致安全管理滞后 1
2.2.风险综述
(1)网络通信方面
1)内网设计中存在单点故障风险,当wins/dns服务器发生故障后,网内所
有域用户全部都不能正常登录到域,造成业务信息系统无法提供正常服
务。
2)网络边界未做访问控制,XXX内网是生产网,安全级别比较高,但跟
安全级别相对较低的医保网连接边界未做访问控制从而给从医保网的
非法者入侵内网提供了条件,攻击者可以通过攻击医保服务器后再渗透
入XXX内网。
3)外网设计中存在单点故障风险,外网网络中存在4个单点故障风险点,
每一单点故障点发生故障都会造成Internet访问中断,影响外网用户的
正常工作。
4)SSG520防火墙配置策略不当,可能导致非法者更容易利用防火墙的配
置问题而渗透入XXX外网,或者外网用户电脑被植入木马等程序后,
更容易被非法者控制。
5)无专业审计系统,无法对已发生安全事件准确回溯,将给确认安全事件
发生时间,分析攻击源造成极大困难,同时,在依法问责时缺乏审计信
息将无法作为安全事件发生的证据。
(2)安装部署方面
1)Windows操作系统、SUN Solaris操作系统、SQL Server数据库、Cisco
交换机等等均存在管理员账号弱口令的情况,管理员账号口令强度不
足,可能导致管理员账号口令被破解,从而导致非法者可以利用被破解
的管理员账号登录系统,对业务系统的安全稳定具有严重威胁。
2)Windows操作系统、SUN Solaris操作系统、SQL Server数据库等均未
安装最新安全补丁,这将使得已知漏洞仍然存在于系统上。由于这些已
知漏洞都已经通过Internet公布而被非法者获悉,非法者就有可能利用
这些已知漏洞攻击系统。
3)Windows操作系统、SUN Solaris操作系统均启用了多个不需要的服务,
不需要的服务却被启用,非法者就可以通过尝试攻击不需要的服务而攻
击系统,而且管理员在管理维护过程通常会忽略不需要的服务,因此导
致不需要服务中所存在的安全漏洞没有被及时修复,这使得非法者更有
可能攻击成功。
4)Windows操作系统、SUN Solaris操作系统、SQL Server数据库、Oracle
数据库等均未进行安全配置,存在部分配置不当的问题,错误的配置可
能导致安全隐患,或者将使得非法者有更多机会利用系统的安全问题攻
击系统,影响业务系统安全。
(3)认证授权方面
1)未对数据库连接进行控制,数据库连接账号口令明文存储在客户端,可
能导致账户/口令被盗取的风险,从而致使用户账户被冒用;部分数据
库连接直接使用数据库管理员账号,可能导致DBA账号被非法获得,
从而影响系统运行,数据泄露;数据库服务器没有限制不必要的客户端
访问数据库,从而导致非授权用户连接,影响系统应用。
2)系统未采用安全的身份鉴别机制,缺乏限制帐号不活动时间的机制、缺
乏设置密码复杂性的机制、缺乏记录密码历史的机制、缺乏限制密码使
用期限的机制、缺乏登录失败处理的机制、缺乏上次登录信息提示的机
制等可能引起系统用户被冒用的风险。
(4)安全审计方面
1)无登录日志和详细日志记录功能,未对登录行为进行记录,也未实现详
细的日志记录功能,可能无法检测到非法用户的恶意行为,导致信息系
统受到严重影响。
(5)备份容错方面
1)核心业务系统存在单点故障,合理用药系统无备份容错机制,而且是用
的是PC机提供服务,非常有可能由于系统故障而导致合理用药系统无
法提供服务,而核心业务系统依赖合理用药系统,可能导致业务中断。
2)数据备份无异地存储,未对系统配置信息和数据进行异地存储和备份,
当发生不可抗力因素造成系统不可用时,无法恢复,严重影响到了系统
的可用性;未对系统配置进行备份,当系统配置变更导致系统不可用时
无法恢复到正常配置,影响到系统的可用性。
3)无异地灾备系统,有可能导致发生灾难性事件后,系统难以快速恢复,
严重影响了系统的可用性。
(6)运行维护方面
1)人员岗位、配备不完善,可能造成未授权访问、未授权活动等风险;在
信息技术人员相对缺乏的情况下,无法做到充分的职责分离和岗位轮
换,可能产生潜在的安全隐患。
2)未规范信息系统建设,无第三方安全检测,造成检测结果不能准确、客
观的反应产品的缺陷与问题;缺乏信息系统操作风险控制机制和流程,维护人员和使用人员不按照风险控制机制和流程进行操作,易发生误操
作风险;开发公司未提供完整的系统建设文档、指导运维文档、系统培
训手册,使得运维人员无法规范化管理,无法对系统存档备案;未针对
安全服务单独签署保密协议,存在信息泄露无法追究责任的安全隐患。
3)未形成信息安全管理制度体系,缺乏信息系统运行的相关总体规范、管
理办法、技术标准和信息系统各组成部分的管理细则等文档,运维人员
将缺乏相关指导,会影响信息系统的安全运行维护工作。
4)未与相关人员签订保密协议,未针对关键岗位、第三方单独签署保密协
议,存在信息泄露无法追究责任的安全隐患。
5)运维管理待健全,不采用合适的方法为信息系统划分适当的保护等级,
就无法评估其安全防护是否适当,不适当的保护等级会威胁系统的安全
或造成有限的资源被浪费;缺乏管理制度规章和管理办法或制度规章和
管理办法已不适用或难以获得,则信息中心人员缺乏行为指导,信息中
心信息安全处于无序状态,极易发生信息安全事件,影响组织的正常经
营活动;暂无网络和系统漏洞扫描模块,可能由于网络或系统漏洞引起
业务中断。
6)未规范安全管理制度的维护,信息科技管理制度规章和管理办法制定、
审批和修订流程不同规范会造成版本混乱、互相冲突,影响其贯彻执行,极易发生信息安全事件,影响组织的正常经营活动。
(7)物理环境方面
1)防火措施不当,无耐火级别的建筑材料无法减小火灾造成的损失,不熟
悉消防设备使用方法、没有紧急处理流程或不熟悉紧急处理流程,不能
及时处理火灾或处理不善,会导致火灾损失增大,机房存放杂物,导致
不能及时处理火灾或处理不善,会导致火灾损失增大。
2)机房未进行防水处理,未采取防水处理,可能导致渗水,返潮等问题,
会加速设备老化,严重的可导致设备不能正常工作。
3)未采取防静电措施,未使用防静电手环,可能遭静电影响造成计算机系
统故障或损坏,影响单位业务进行;没有适当的电磁防护,可能由于电
磁影响造成计算机系统故障或损坏或信息泄漏,影响单位业务进行。
4)机房内无防盗报警设施,机架前后面板未封闭,导致设备被破坏的可能
性增大;无警报系统,无法在第一时间通知责任人作出反应
5)机房存在多余出入口,除可控入口外,其他的入口的存在会增加医院外
部人员潜入医院机房破坏信息系统的可能。
(8)系统开发方面
1)未规范口令管理,采用通用默认账号的口令可能引起账号冒用,引起数
据泄密或篡改;初始化登陆不强制更改口令,可能引起用户冒用账户的
风险,影响业务数据的真实性;不设置复杂口令,可能引起用户密码被
猜解的风险,影响业务数据的真实性;未设置口令使用期限,可能引起
用户未授权访问的风险,影响业务系统的正常应用。
2)未对系统会话进行限制,未对系统最大并发会话数进行控制,可能引起
系统超载,使系统服务响应变慢或引起宕机,影响系统的可用性;未对
空闲会话进行控制,导致占用系统多余资源,无法进行科学合理的资源
分配,影响了系统的可用性。
3)未规范系统培训环境,使用病患的真实数据对业务人员进行操作培训,
评估小组现场观测时发现,培训环境由于某种原因,将所有用户口令清
空,有可能造成有关信息被不必要人员获得,造成信息泄露。
4)系统开发外包管理有待完善,系统开发设计外包服务如果不能很好的做
好技术传递工作,则离开外包服务方系统可能很难进行安全稳定的运行
和维护;系统开发未作安全需求分析,可能导致系统设计架构不合理,影响系统安全稳定运行;外部人员调离后,不对其权限进行回收,可能
引起非法访问的风险;开发公司未提供系统建设文档、指导运维文档、系统培训手册,使得运维人员无法规范化管理,无法对系统存档备案。
5)系统未进行分级管理,不采用合适的方法为信息系统划分适当的保护等
级,就无法评估其安全防护是否适当,不适当的保护等级会威胁系统的
安全或造成有限的资源被浪费。
3.风险分析
3.1.网络通信
3.1.1.VLAN间未做访问控制
(1)现状描述
内网VLAN中的主机网关全部指到内网核心交换机C6509上,外网VLAN的主机网关都指在外网核心交换机4506上。内外网对这些VLAN的路由未作控制,各个VLAN间通过C6509(4506)可以进行互访。
(2)威胁分析
由于各个VLAN代表不同的业务内容,安全级别也是不同的,需要在不同的VLAN间做访问控制。
现有配置,各个VLAN间路由都是通的,那么各个VLAN间就都可以互访,安全级别低的VLAN可以访问安全级别高的VLAN,这样VLAN设定的目的效果就大大削弱了。
安全级别低的VLAN尝试访问高级别VLAN,有意或者无意的破坏高级别VLAN中服务器上的数据,将会对XXX的业务造成重大的影响。
(3)现有或已计划的安全措施
核心交换机6509上配置了防火墙模块,但该模块没有配置访问控制策略。
(4)风险评价
(5)建议控制措施
3.1.2.内网设计中存在单点故障风险
(1)现状描述
分析XXX目前实际的网络情况,我们发现内网中存在蛋单点故障风险,其中内网接入访问控制系统中WINS/DNS服务器没有采用热备或冷备措施。
(2)威胁分析
当此服务器发生故障后,网内所有域用户全部都不能正常登录到域,造成业务系统服务停止。
(3)现有或已计划的安全措施
无。
(4)风险评价
(5)建议控制措施
3.1.3.外网设计中存在单点故障风险
(1)现状描述
分析XXX目前实际的网络情况我们发现外网中存在单点故障风险,其中外网接入访问控制系统中WINS/DNS服务器没有采用热备或冷备措施。Internet接入设备SSG520防火墙,城市热点计费网关与外网核心交换机4506-1单线接入,没有链路和设备备份措施。
(2)威胁分析
外网网络中存在4个单点故障风险点,每一单点故障点发生故障都会造成Internet访问中断,影响外网用户的正常工作。
(3)现有或已计划的安全措施
无。
(4)风险评价
(5)建议控制措施
3.1.
4.无专业审计系统
(1)现状描述
现有XXX内外网网络均无专业审计系统。
(2)威胁分析
无专业审计系统,无法对已发生安全事件准确回溯,将给确认安全事件发生时间,分析攻击源造成极大困难,同时,在依法问责时缺乏审计信息将无法作为安全事件发生的证据。
(3)现有或已计划的安全措施
无。
(4)风险评价
(5)建议控制措施
3.1.5.SSG520防火墙配置策略不当
(1)现状描述
信息系统运行维护管理办法
大唐国际发电股份有限公司内蒙古分公司计算机网络信息系统 运行维护管理办法 第一条为加强内蒙古分公司网络信息系统运行维护管理,明确网络信息系统运行维护管理的内容、目标、管理职责、管理流程,特制定本办法,本办法适用于分公司机关本部。 第二条计算机网络信息系统是指企业计算机网络通讯平台及所有基于企业业务管理的应用系统的总称。总经理工作部是计算机网络信息系统的归口管理部门,统筹负责公司的信息化建设和计算机网络信息系统的运行、维护、检修管理工作;具体负责网络系统的检修维护、网络信息安全管理、网络客户机的日常维护、分公司公用应用系统的维护、信息系统备件及办公耗材管理。各相关业务部门负责专业应用系统的维护。 第三条网络系统的维护。由总经理工作部负责,根据网络系统发生的故障或缺陷,由信息主管确认属于系统供应商服务还是公司专业人员自主处理。属于系统供应商服务的,由信息主管向部门主管领导汇报系统故障情况,并通知和协调系统供应商处理系统故障、缺陷,信息主管组织本专业相关人员进行配合,并组织检修工作的验收和检修文档的提交。对不属于系统供应商服务的,由信息主管向部门主管领导汇报解决方案,然后组织相关人员进行设备检修或系统消缺工作,并对检修或消缺工作进行检查、验收及检修文档填写。网络系统维护报告单见附件1。 第四条应用系统的维护。由各业务主管部门负责,总经理工作部配合进行。应用系统发生故障后,由业务主管部门会同总经理工作部判断故障原因,并向各自主管领导汇报故障情况及解决方案,网络故障由总经理工作部负责解决,应用系统故障由业务主管部门负责解决,必要时请系统服务商解决,业务主管部门及总经理工作部做好配合工作。应用系统维护报告单见附件2。 第五条系统的数据备份。各应用系统的数据备份,由业务主管部门指定专人进行,总经理工作部信息主管负责技术把关。各业务主管部门根据应用系统的性质和实际情况,制定系统备份技术方案,经主管领导审核后,按时进行系统备份。分公司公用应用系统的数据备份由总经理工作部负责。系统数据备份记录表见附件3。 第六条网络信息系统安全管理。由总经理工作部负责,由信息主管根据网络系统的 应用需求和应用现状,制定整体的信息安全保障方案,并提交主管领导确认。根据网络系统功能的扩充以及可能发生的网络信息安全隐患,信息主管要及时采取必要的应对措施,并适时增加或调整网络系统相关的信息安全策略,做好涉及到计算机用户信息安全管理方面的技术指导和安全检查工
医院信息系统运行维护管理制度
中医院 信息系统运行维护管理制度 第一条为规范全院信息系统的运行维护管理工作,确保信息系统的安全可靠运行,切实提高效率和服务质量,使信息系统更好地服务于运营和管理,特制定本管理办法。 第二条运行维护管理的基本任务: 1、进行信息系统的日常运行和维护管理,实时监控系统运行状态,保证系统各类运行指标符合相关规定; 2、迅速而准确地定位和排除各类故障,保证信息系统正常运行,确保所承载的各类应用和业务正常; 3、进行系统安全管理,保证信息系统的运行安全和信息的完整、准确; 4、在保证系统运行质量的情况下,提高维护效率,降低维护成本。 第三条网络中心负责全院范围内信息系统运行维护管理、监督检查和质量考核评定工作,掌握运行质量情况,制定质量指标,并对信息系统各级维护部门进行定期检查考核; 第四条负责全院范围内信息系统的计算机硬件平台、基础软件、应用软件、配套网络和的监控和日常维护工作,制定日常维护作业计划并认真执行,保证信息系统正常运行;对于系统的所有维护(包括日常作业计划、故障处理、系统改进、数据变更、数据的
备份与恢复、功能完善增加)都必须填写维护记录;负责所辖范围内信息系统数据的备份与恢复,负责落实系统安全运行措施;每年至少组织一次全行范围内的信息系统运维管理巡回检查,全面检查各维护作业计划管理、技术档案和资料管理、备份及日志管理、机房管理、安全保密管理等制度的落实情况。 第五条系统出现故障,信息系统维护部门或维护人员首先进行处理,同时判断系统类型和故障级别,根据系统类型和故障级别,故障处理应在要求的时限内完成,并同时向院部报告。对无法解决的故障,应立即向软硬件最终提供商、代理商或维保服务商(以下简称厂商)提出技术支持申请,督促厂商安排技术支持,必要时进行跟踪处理,与厂商一起到现场进行解决。 第六条厂商技术人员现场处理故障时,当地维护人员应全程陪同并积极协助,并在故障解决后进行书面确认。 第七条参与故障处理的各方必须如实、及时填写故障处理单,现场技术支持还须当地维护人员予以签字确认或维护部门盖章。 第八条建立重要紧急信息上报渠道,对于发生的重要紧急情况,应该立即逐级向院部主管领导报告,对业务影响较大的还应及时通知业务部门。 第九条信息系统维护管理部门负责技术档案和资料的管理,应建立健全必要的技术资料和原始记录等。 第十条软件资料管理应包含以下内容: 1、所有软件的介质、许可证、版本资料及补丁资料; 2、所有软件的安装手册、操作使用手册、应用开发手册等技
某镇某村公共服务中心工程项目风险评估报告上报
目录 一、引言 (3) 二、主要内容 (3) 1.基本情况 (3) 2.制定方案 (4) 3.评估过程 (4) 4.收集资料 (5) 5.分析论证 (5) 6.主要风险 (9) 7.预防措施 (9) 8.风险等级 (9) 三、评估结论 (10) 四、附件 (10) 1、社会稳定风险评估指标体系量化评分表 (11) 2、风险防范及化解措施 (13)
xx镇xx村公共服务中心工程项目 社会稳定风险评估报告 一、引言 为进一步提升公共服务中心公共服务功能,满足群众的服务需求,根据《xxxx县委办公室关于印发<20xx年“三江一路”党建示范建设方案>的通知》xx委办[20xx]-59号文件精神,xx镇xx村公共服务中心项目拟于20xx年9月实施,该项目的按照《必须招标的工程项目规定》,并参照《xx省政府投资工程建设项目经选办法》(省政府令第197-1号)的规定严格执行,为确保xx镇xx村公共服务中心工程项目建设的顺利实施,我镇成立了社会稳定风险评估领导小组,具体负责该项目的稳定风险评估工作,并由我镇项目工作组作为总编,形成本报告。 二、主要内容 1.基本情况 本工程为xx镇xx村公共服务中心工程项目工程 (1)项目业主:xx镇人民政府 (2)拟建地点:xx区xx镇xx村民委员会 (3)项目总投资:项目总投资约85万元 (4)建设期限:项目总建设周期预计6个月 (5)建设规模及内容:xx村便民服务中心约650平方米,其中便民服务大厅约80平方米,日间照料中心活动约100平方米、办公场所等约470平方米。 2.制定方案
依据《关于建立健全重大决策社会稳定风险评估机制的指导意见(试行)》(xx发〔2012〕2号)、《xx省社会稳定风险评估办法》(xx省政府令第313号)、《xx县人民政府办公室关于转发〈xx省社会稳定风险评估办法〉的通知》(xx府办函〔2016〕162号)、xxxx县委维护社会稳定领导小组关于印发〈xx县重大行政决策社会稳定风险评估报告通用文本格式(试行)的通知》(xx维稳〔2018〕8号)等有关文件和规定制定该方案。 3.评估过程 为确保xx镇xx村公共服务中心工程项目建设的顺利实施,xx镇成立了社会稳定风险评估领导小组,具体负责该项目的稳定风险评估工作。评估领导小组严格按程序和内容,在充分调研的基础上,围绕本项目建设工作的合法性、合理性、可行性、可控性、安全性、廉政性、其它事项7个方面进行了分项评估,对项目建设的不稳定因素和可能引发的矛盾逐项进行了研判。最后,由xx镇政府社会稳定风险评估工作组为总编,对本项目建设运营可能出现的稳定风险进行了评估,并提出了相关保障措施,形成本报告。 4.收集资料 镇维稳办、住建所、国土所、综治办等相关单位、部门成了项目评估小组,并组织专干多次实地调查,了解项目区域涉及拆迁村民情况,并与村民进行动员座谈,听取相关意见建议。 5.分析论证 从合法性、合理性、可行性、可控性、安全性、廉政性及其它事项方面对该项目的风险进行分析研究。
公司信息化设备运维月报月
X X X X公司大厦信息化设备运维月报 (2014年4月) 2014年4月,AAAA公司运行维护部共计对XXXX公司大厦内信息化设备(包括计算机、打印机、网络设备、服务器、安防设备、电话系统、网络安全及数据安全等)每天均进行过至少1次巡查,共计解决各类故障338次,其中软件故障76次,硬件故障29次,更换耗材19次,打印机故障26次,电话故障11次,会议服务28次,网络故障40次,服务器维护79次,安防故障9次,同时完成其他临时安排的事项21次。 一、终端设备运维情况 终端设备主要包括计算机、打印机、传真机及各类数码设备,本月每个工作日至少做了一次全面巡查,共计21次。及时响应了各处室(单位)的报修电话,做到了15分钟内响应。根据每周对各部门的调查结果,“非常满意”占85%,其它皆为“比较满意”。 本月共处理计算机硬件故障29次,主要为计算机内存松动、电源没有插好、新增或迁移计算机等。内存条松动故障发生6次、电源线没有连接好发生2次;一台计算机出现主板损坏故障,经返厂维修后恢复正常。 本月共计处理软件故障76次,主要为办公软件安装与升级、RTX或邮箱系统无法使用、系统优化等故障。办公软件安装与升级事件本月发生次数较多,共11次;RTX问题主要是用户私自修改系统配置,升级软件版本,导致无法登陆,本月出现6次;系统需要优化主要原因是用户安装不明软件或恶意软件(插件)导致计算机运行缓慢,需要及时清理,卸载不明软件,共计处理4次。 本月共计处理打印机故障26次,主要为卡纸、驱动程序丢失、无法共享打印及更换硒鼓等。其中驱动丢失问题较多,共出现7次,无法共享打印机4次,主要原因为用户私自修改计算机IP地址,导致所有使用该IP地址打印的计算机均无法打印;卡纸多为纸张受潮所致。
(完整版)信息服务管理规范(运维)
大连软件行业规范 DSIA02022007 信息服务管理规范 第三部分计算机信息系统运营 和维护管理规范 (试行) 2007年12月26日发布 2008年1月25日施行 大连软件行业协会
前言 《信息服务管理规范》依据《ISO/IEC20000:2005“信息技术——服务管理”》标准,及其它国家和行业相关法律、法规制订。本规范为《信息服务资费标准》的引导性文件。 《信息服务管理规范》分为10部分: 第一部分:总则 第二部分:计算机信息系统集成管理规范 第三部分:计算机信息系统运营和维护管理规范 第四部分:软件服务管理规范 第五部分:数据加工和处理管理规范 第六部分:内容和增值服务管理规范 第七部分:数据库服务管理规范 第八部分:电子商务服务管理规范 第九部分:信息化工程监理规范 第十部分:其它专业类服务管理规范 本部分为《信息服务管理规范》的第三部分。 本部分起草人:郎庆斌、林华英、王永丹 本规范专家组:郎庆斌、孙鹏、刘玉贞、王小庚、孙毅、杨莉 本规范由大连市信息产业局提出并归口。 本规范召集单位:大连软件行业协会
目录 第三部分计算机信息系统运营和维护管理规范 (4) 1 适用范围 (4) 2 规范性引用文件 (4) 3 定义和术语 (4) 3.1 服务台 (4) 3.2 事件 (4) 3.3 问题 (4) 3.4 突发事件 (4) 4 要求 (4) 5 运营和维护服务类型 (5) 5.1 基础服务 (5) 5.2 性能优化服务 (5) 5.3 增值服务 (5) 6. 运营和维护服务内容 (5) 6.1 基础服务内容 (5) 6.1.1 物理环境管理和维护 (5) 6.1.2 网络基础设施管理和维护 (5) 6.1.3 数据存储设施 (5) 6.1.4 系统平台管理 (6) 6.1.5 应用系统管理和维护 (6) 6.1.6 数据管理和维护 (6) 6.1.7 安全管理和维护 (6) 6.1.8 子网管理和维护 (7) 6.1.9 桌面管理 (7) 6.1.10 操作管理 (7) 6.2 性能优化服务内容 (7) 6.2.1 系统平台性能评估 (7) 6.2.2 应用系统性能评估 (7) 6.2.3 数据存储和通信安全评估 (7) 6.2.4 系统整体安全性能评估 (7) 6.2.5 系统安全平台性能评估 (7) 6.2.6 业务整合 (7) 6.3 增值服务内容 (8) 6.3.1 规划管理 (8) 6.3.2 可用性管理 (8) 6.3.3 核心应用管理 (8) 6.3.4 安全管理 (8) 6.3.5 投资保护 (8) 6.3.6 系统运营策略和应用拓展 (8) 7 服务台管理 (8) 7.1 服务台功能 (8) 7.2 服务台流程 (8)
信息系统运行维护管理规定
信息系统运行维护管理 规定 内部编号:(YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128)
信息系统运行维护管理制度 第一章总则 一、为规范信息系统的运行维护管理工作,确保信息系统的安全可靠运行,切实提高生产效率和服务质量,使信息系统更好地服务于生产运营和管理,特制订本管理办法。 二、本管理办法适用于及其分支机构的信息系统,各分支机构和各部室可根据本办法制定相应的实施细则。 三、信息系统的维护内容在生产操作层面又分为机房环境维护、计算机硬件平台维护、配套网络维护、基础软件维护、应用软件维护五部分: 1.计算机硬件平台指计算机主机硬件及存储设备; 2.配套网络指保证信息系统相互通信和正常运行的网络组织,包括联网所需的交换机、路由器、防火墙等网络设备和局域网内连接网络设备的网线、传输、光纤线路等。 3.基础软件指运行于计算机主机之上的操作系统、数据库软件、中间件等公共软件; 4.应用软件指运行于计算机系统之上,直接提供服务或业务的专用软件; 5.机房环境指保证计算机系统正常稳定运行的基础设施,包含机房建筑、电力供应、空气调节、灰尘过滤、静电防护、消防设施、网络布线、维护工具等子系统。
四、运行维护管理的基本任务: 1.进行信息系统的日常运行和维护管理,实时监控系统运行状态,保证系统各类运行指标符合相关规定; 2.迅速而准确地定位和排除各类故障,保证信息系统正常运行,确保所承载的各类应用和业务正常; 3.进行系统安全管理,保证信息系统的运行安全和信息的完整、准确; 4.在保证系统运行质量的情况下,提高维护效率,降低维护成本。 5.本办法的解释和修改权属于信息化办公室。 第二章运行维护组织架构 一、运行维护组织 1.信息系统的运行维护管理遵循在统一的领导下,分级管理和维护的模式。作为信息化办公室,牵头组织实施信息系统的维护管理工作。原则上信息系统的维护工作应逐步集中。 2.信息系统的维护管理分两个层面:管理层面和操作层面。在管理层面,信息化办公室,负责全处范围内信息系统的维护管理和考核。在操作层面,信息化办公室就是实体的维护部门(或维护人员)。信息化办公室直接对处信息化党政领导小组负责,并接受信息化党政领导小组的业务指导和日常管理。 3.信息化办公室应对工程处信息化建设制定技术规范、作业计划、应急预案,编制技术方案、培训教材等,各部室应积极配合。 二、信息化办公室运行维护职责 1. 信息化办公室管理职责 (1)贯彻国家、行业及监管部门关于工程处信息系统技术、设备及质量管理等方面的方针、政策和规定,组织制定信息系统的维护规程、维护管理办法和维护责任制度;
系统运维管理制度
系统运维管理制度
运维管理制度 系统运维管理制度(试行) (2018年8月版) 第一章总则 运维以技术为基础,通过技术保障产品提供更高质量的服务。在软件产品的整个生命周期中运维组都需要适时参与并发挥不同得作用,因此运维组工作内容和方向非常多。 运维目标是在服务出现异常时尽可能快速恢复服务,从而保障服务的可用性;同时深入分析故障产生的原因;推动并修复服务存在的问题,同时设计并开发相关的预案以确保服务出现故障是可以高效止损。 第一条为保障信息系统软硬件设备的良好运行,使运维技术人员工作制度化、流程化、规范化,特制订本制度。 第二条运维管理工作总体目标:立足根本促发展,开拓运维新局面。在办公系统运行推广时期,通过网络、桌面、系统等的运维,促进信息系统能够稳定可持续性的发展。 第三条运维管理制度的适用范围:运维全体人员。 第二章编制方法 第一条本实施细则包括运维服务全生命周期管理方法、管理标准/规范、管理模式、管理支撑工具、管理对象以及基于流程的管理方法。
第二条本实施细则以ITIL/ISO20000为基础,以信息化项目的运维为目标,以管理支撑工具为手段,以流程化、规范化、标准化管理为方法,以全生命周期的PDCA循环为提升途径,体现了对运维服务全过程的体系化管理。 第三章运维部工作职责 第一条系统运维和技术支持 (1)根据公司业务的推进和发展目标,负责平台信息系统管理及数据交换策略的整体架构、对应用系统等技术开发方案的基础支撑,保障基础平台的稳定性和先进性。 (2)负责系统基础平台的使用培训和操作使用指南编写,对用户使用过程中出现问题的沟通和解决; (3)会同项目实施,确认系统信息基础设备和软件数量、品牌规格、技术参数,确保项目有效推进实施。 (4)系统信息基础设备和软件操作规程、应用管理制度的制定,并负责监督执行。 (5)系统信息基础设备的软件安装、调试和验收,使用培训和维修保养。 (6)系统信息基础平台日常运行过程中信息安全和技术问题的协调解决,保障平台24小时安全稳定运行。 (7)负责平台系统管理及设备保密口令的设置、更新、保存。 (8)负责系统信息协同管理及协同数据交换策略研究新程序、新系统和软件改版升级工作。
公司信息系统运维规范
精心整理 安徽省信通公司信息系统运维规范 一.日常巡检规范 按照信息系统巡检要求进行,包括巡检的时间节点、巡检频率、巡检规范三个注意事项 (1)时间节点:每日上午8:15开始日常巡检工作; (2)巡检频率:应用系统巡检频率为每日,中间件巡检频率为每两日一次,涉及数据库巡检的由数据库组完成; (3 二.(1(2拖延。 (3质量。 (4(5)(6(7 三.信息系统检修规范及流程 (1)系统如有相应的检修计划,可以向省信息调度中心申报“信息系统检修”;申请检修工作需向信息调度中心提交《信息系统检修申请表》,填写系统检修的内容等信息,并向专责和上级领导汇报、签字审核。 (2)检修类型的申请期限: 月度检修:申请下月月度检修申请必须在本月24日之前向信息调度提交申请; 周检修:申请下周检修必须在本周周四之前向信息调度提交申请;
检修窗口(国网批准的部分信息系统):申请检修窗口必须在每月18日或20日前一个工作日向信息调度提交申请。 (2)省信息调度中心通过信息系统审核申请后,在检修日前2个工作日要求必须开具信息系统工作票和操作票,并提交上级领导审核。在检修工作开始之前必须有检修工作票和操作票。 (3)检修工作开始之前,评估本次检修受影响的系统(包括集成接口),提前通知相关业务系统运维人员,做好系统保障工作。 (4)检修操作中,检修人员严格按照本次检修的操作说明或检修文档执行,做好安全备份和验证 (5 (6 四. 、(1) (2) 帐号长度不得小于8位,必须包含数字和字母; 禁止使用默认帐号或常见管理员帐号,如windows的administrator、guest,应用系统的admin、superadmin、system。 (3)口令设置 口令根据用户使用场景的不同分为基本型口令和增强型口令。 (a)基本型口令 基本型口令适用于普通用户场景。
信息系统运维管理办法
信息系统运维管理办法标准化管理处编码[BBX968T-XBB8968-NNJ668-MM9N]
**信息系统运维管理办法 第一章总则 第一条为加强我行计算机系统的运行维护工作,保障系统安全稳定运行,进一步提高系统的维护质量和效率,制定本管理办法。 第二条本办法所称信息系统,是指我行日常经营和业务办理所使用的计算机软件、硬件及基础IT设施,包括各类业务软件系统、机房设施、网络设施、服务器设施、电脑终端设备等。 第三条本办法中出现的词条解释如下: (一)运行维护手册:针对运行维护人员编写的有关系统日常维护、监控、备份、一般性故障处理、软件安装、操作、配置方法及其他相关信息的文档。 (二)运行维护:由运行维护人员按照运行维护手册的要求,进行日常的运行监控、备份、安全管理、一般故障处理,受理用户维护申请,解答用户疑问的工作。 第四条信息系统运行维护工作的基本任务是:做好系统或设备上线投产、升级、日常监控、备份、安全管理,预防、处理各类系统故障,提高我行计算机系统的整体运行水平,保障我行业务连续性计划的顺利进行。 第二章岗位职责 第五条运营管理部系统运维岗位人员负责我行信息系统的运行维护工作。系统运维岗按运行维护手册的要求进行一级维护,如无法按时解决问题,需第一时间请求主发起行协助,并在主发起行运行维护人员进行技术指导下完成相关维护工作。
第六条系统运维岗应积极接受相关设备厂商或项目组组织的运行维护培训。培训内容应包括系统的体系架构、软硬件安装、配置、日常维护方法、备份和恢复策略、一般性故障的处理方法等。 第七条运营管理部运行维护人员的主要职责包括: (一)做好系统上线投产的环境准备工作,包括网络、不间断电源等。各项技术指标应满足系统软硬件的要求。 (二)在项目组的协助下,完成硬件和操作系统的安装和配置工作。 (三)利用培训和系统上线机会,掌握系统维护技术。 (四)制定系统日志、负载监控、系统备份和恢复策略。 第三章日常管理 第八条系统运维人员应按既定的策略和《运行维护手册》的要求,承担系统的日常运行维护工作。包括运行环境监控、软硬件运行状况监控、系统备份管理、安全管理、一般性故障处理、用户申请受理等。 第九条系统运维人员应做好硬件及网络的定期检测,发现问题及时处理或第一时间报告项目组和运行中心负责人。 第十条系统运维人员需详细记录日常运行维护情况,并定期向项目组提供运行情况汇总和统计数据。 第十一条系统运维人员需根据系统运行情况,及时提出软硬件升级或修改建议。
信息化系统安全运行管理制度.doc
信息化系统安全运行管理制度 第一章:总则 第一条为确保公司信息化系统的正常运行,有效地保护信息资源,最大程度地防范风险,保障公司经营管理信息安全。根据《国家计算机信息系统安全保护条例》等有关法律、法规,结合公司实际,制订本规定。 第二条本规定所称公司信息化系统,是指公司所使用的“集团管理软件”所覆盖的使用单位、使用人、以及计算机及其网络设备所构成的网络系统。具体有财务管理系统、物资供应管理系统、销售管理系统、地磅系统、资产管理系统、人力资源管理系统、OA办公自动化系统。第三条本规定适用于公司及所属单位所有使用信息系统的操作员和系统管理员。 第二章职责描述 第四条公司企管信息部 1、根据国家和行业的发展制定公司信息化工作的发展规划、年度计划和有关规章制度; 2、负责组织实施公司信息化建设; 3、负责公司信息系统的维护及软件管理; 4、负责对各单位信息系统工作的检查、指导和监督。 第五条公司信息化系统负责人 1、协调公司各种资源,及时处理对系统运行过程中的出现的各种异常
情况及突发事件; 2、负责督促检查本制度的执行; 第六条公司系统管理员 1、负责应用系统及相关数据的正常使用和安全保障; 2、负责解答各所属单位人员的问题咨询,处理日常问题; 第七条各单位系统管理员 1、熟悉掌握系统,能够处理系统应用中的问题; 2、要及时建立问题处理情况汇总表,并定期上报给公司系统管理员,由公司系统管理员汇编成册,定期下发给所有操作人员,以做到最大程度的知识共享; 3、负责本单位新进员工的信息系统技能培训;监督本单位操作人员进行规范操作; 第八条操作员 1、严格按照业务流程和系统运行规定进行操作、不越权操作、不做违规业务; 2、保证自己的密码不泄密,定期更换密码; 第三章内部支持体系管理 第九条为了确保操作人员能够熟练掌握信息系统的运行,问题的提交与处理必须按照逐级处理方式,具体如下: 1、各单位操作人员发现问题填写“日常操作问题记录单”先提交给各自所属单位的系统管理员归集与处理; 2、在各单位系统管理员不能处理的情况下再提交到公司系统管理员处理;
浅析企业信息系统运维
2017年第12期 信息通信2017 (总第 180 期)INFORMATION&COMMUNICATIONS(Sum.N o180) 浅析企业信息系统运维 陈巧莹,文雯 (中国电建集团中南勘测设计研究院有限公司,湖南长沙410014) 摘要:随着企业规模的不断扩大,企业信息系统在企业发展中的作用逐渐凸显出来,在企业竞争力提高以及提供企业发 展动力方面有一定作用。因此,有必要加强对企业信息系统运维的研究。围绕影响企业信息系统运维服务体系建设的 关键因素、改进企业信息系统运维服务体系有效措施两个方面展开讨论,通过不断完善企业信息系统运维服务体系,能 有效实现企业良好发展的目标。 关键词:信息系统运维;信息化技术;监控体系 中图分类号:TP315 文献标识码:A文章编号=1673-1131(2017)12-0175-02 0引言 随着信息化技术的快速发展,其在人们生活以及办公得 到了普遍应用,将信息化技术应用在企业运营中,能有效实现 企业竞争力的提高。企业信息系统运维体系的建立便是信息 化技术应用在企业运营过程中的重要体现,在信息系统运维 体系作用下,将提高企业的整体实力,保证企业的良好运营。由于企业在发展过程中,需要涉及到人力资源管理以及业务 办理等工作内容,因此应该重视信息运维体系的建设。 1影响企业信息系统运维服务体系建设的关键因素企业信息系统运维服务体系建设要素包括以下方面:第 一,信息化技术。信息系统运维体系是在信息化技术不断发 展的基础上兴起的,在进行信息系统运维体系建设工作时,应 该充分利用信息化技术。例如,微信互动平台以及远程监控 等是信息化技术应用在信息系统运维体系建设上的重要体现, 只有在信息化技术的支持下,才能保证企业的良好发展;第二,员工队伍。员工队伍是促进企业发展的关键人物,同时是企 业信息系统运维体系建设的执行者。由于在信息系统运维体 系的建设过程中,将涉及到组织安排、系统维护等内容,而这 些内容需要有综合素质以及工作能力较强的员工来完成,因此应该重视人才在信息系统运维体系运行中的作用。另外,为了提高员工技能水平,企业可以通过组织相关的培训活动 来加强对员工管理能力、沟通能力以及合作能力的培养;第三,相关制度的制定。企业在建设信息系统运维体系时,应该严 格遵守相关管理部门制定的监管要求等,结合信息系统的最 佳运行经验,制定满足企业发展需求的信息系统管理标准,并 完善运维管理的相关制度以及标准等,从而为信息系统运维 体系提供一定的制度保障,保证企业各项工作的顺利进行[1]。2改进企业信息系统运维服务体系有效措施 2.1制定合理的运维流程 为了充分发挥信息运维体系在企业发展中的积极作用,应该首先制定合理的运维流程,并在这个基础上,保证信息运 维取得良好的应用效果。应该从以下方面着手进行运维流程 的制定:第一,根据信息系统基础框架的相应规范,对企业运 营过程中的各项事务进行运维管理,并根据事务类型,确定信 息系统的事件处理机制以及明确事件的分级方法,从而增强 信息系统解决事务性问题的能力;第二,建立分类管理和分级 审批流程。在建设信息系统运维体系时,需要根据企业的实 际运行情况,制定配置参数修改、存储以及更新等方面的规范, 并要求企业相关部门能根据规范标准开展工作,从而实现较好的运维效果,强化信息系统在企业发展中的有利作用;第三, 完善数据使用和管理工作,加强系统的数据分析、存储与备份 等功能,尤其对于机密性应该进行加密处理,并在使用过程中,建立相应的授权流程,避免出现数据泄露的情况[2]。 以中国电建集团中南勘测设计研究院有限公司为例,该 企业在建设信息系统运维体系时,将数据的使用和管理作为 一项重要的工作内容,并聘请专业的技术人员,在企业的内部 数据库中设置访问权限,通过访问权限的设计,只有企业内部 人员或者管理层人员能进行数据库访问行为,能有效防止不 法分子对企业数据进行任意篡改或者销毁等,从而加强了数 据的安全性;第四,完善技术支持工作。企业信息系统运维体 系的建设是在利用信息化技术的基础上实现的,因此,应该加 强对技术支持工作的重视,通过相关维护技术的应用,能保证 信息系统运维体系的有效运行,有利于企业的良好发展。 2.2建立监控系统 监控系统的建立在信息系统运维体系高效运行上有一定 的积极作用,能有效提高信息系统运维体系的建设质量。可 从以下几个方面展开监控系统的建立工作:第一,建立监控体 系。监控体系主要包括设备、信息化技术、资金、制度和网络 化境等,需要综合考虑多方面因素,保证监控体系的有效建立,使其具有完善性以及针对性;第二,建立系统监控统一平台。监控平台的建立是为了能快速找出信息系统运维体系中存在 的故障,并针对故障类型采取相应的解决措施。在监控平台 的作用下,能实现对整个信息系统的实时监控,充分掌握信息 系统运行状态等;第三,建立跨部门的监控系统。通过建立监 控系统,能逐渐完善各部门在监控、报告以及反馈等环节的运 行机制,保证对企业运营过程中的各个基础设施以及主要系 统运行情况等进行总体监控,进而实现信息系统运维体系的 有效运行,同时能显著提高信息系统运维体系的运行效率,保 证各项业务的顺利开展,并实现企业利益最大化。 2.3建立应急体系 信息系统运维体系对企业日常事务的有效完成有一定影 响,如果信息运维体系出现故障,将造成较大的经济损失,不 利于企业的良好发展。因此,应该建立合理的应急体系,尽可 能降低信息系统运维体系出现问题时造成的企业经济损失[3]。可采取以下措施来实现应急体系的有效建立:第一,建立突发 故障的预警以及处理机制,并将责任落实在个人,同时建立合 理的报告流程,保证对突发状况的及时处理;第二,制定相应 的应急处置流程,根据企业各岗位职能来进行人力资源的配 置,并要求各部门之间及时沟通,保证各部门之间的有效配合。 175
信息系统运行维护及安全管理规定正式样本
文件编号:TP-AR-L4355 There Are Certain Management Mechanisms And Methods In The Management Of Organizations, And The Provisions Are Binding On The Personnel Within The Jurisdiction, Which Should Be Observed By Each Party. (示范文本) 编制:_______________ 审核:_______________ 单位:_______________ 信息系统运行维护及安全管理规定正式样本
信息系统运行维护及安全管理规定 正式样本 使用注意:该管理制度资料可用在组织/机构/单位管理上,形成一定的管理机制和管理原则、管理方法以及管理机构设置的规范,条款对管辖范围内人员具有约束力需各自遵守。材料内容可根据实际情况作相应修改,请在使用时认真阅读。 第一章总则 第一条为了确保总公司信息系统的安全、稳定 和可靠运行,充分发挥信息系统的作用,依据《计算 机信息网络国际联网安全保护管理办法》,结合总 公司实际,特制定本规定。 第二条本规定所称的信息系统,是指由网络传 输介质、网络设备及服务器、计算机终端所构成的, 为正常业务提供应用及服务的硬件、软件的集成系 统。 第三条信息系统安全管理实行统一规划、统一
规范、分级管理和分级负责的原则。 第二章管理机构及职责 第四条总公司办公室是公司信息系统运行维护和安全管理的主管部门,其安全管理职责是:(一)负责总公司机关内互联网的运行管理,保证与城建局、各所属单位网络连接的畅通; (二)负责总公司机关局域网的运行维护管理; (三)落实安全技术措施,保障总公司信息系统的运行安全和信息安全; (四)指导、协调所属单位局域网系统的安全运行管理。 第五条总公司各所属单位信息员负责本单位局域网的运行维护和安全管理,服从总公司办公室的指导和管理。其安全管理职责是: (一)负责广域网本单位节点、本单位局域网的
信息系统运行维护管理制度
信息系统运行维护管理制度
第一章总则 第一条.为规范信息系统的运行维护管理工作,确保信息系统的 安全可靠运行,切实提高生产效率和服务质量,使信息系统更好地服务于 生产运营和管理,特制订本管理办法。 第二条.本管理办法适用于及其分支机构的信息系统,各分支机 构和各部室可根据本办法制定相应的实施细则。 第三条.信息系统的维护内容在生产操作层面又分为机房环境维 护、计算机硬件平台维护、配套网络维护、基础软件维护、应用软件维护 五部分: 1、计算机硬件平台指计算机主机硬件及存储设备; 2、配套网络指保证信息系统相互通信和正常运行的网络组织,包括联网所需的交换机、路由器、防火墙等网络设备和局域 网内连接网络设备的网线、传输、光纤线路等。 3、基础软件指运行于计算机主机之上的操作系统、数据库软件、中间件等公共软件; 4、应用软件指运行于计算机系统之上,直接提供服务或业务的专用软件; 5、机房环境指保证计算机系统正常稳定运行的基础设施,包含机房建筑、电力供应、空气调节、灰尘过滤、静电防护、消 防设施、网络布线、维护工具等子系统。 第四条.运行维护管理的基本任务: 1、进行信息系统的日常运行和维护管理,实时监控系统运行状态,保证系统各类运行指标符合相关规定;
2、迅速而准确地定位和排除各类故障,保证信息系统正常运行,确保所承载的各类应用和业务正常; 3、进行系统安全管理,保证信息系统的运行安全和信息的完整、准确; 4、在保证系统运行质量的情况下,提高维护效率,降低维护成本。 第五条.本办法的解释和修改权属于。
第二章运行维护组织架构 第一节运行维护组织 第六条.信息系统的运行维护管理遵循在统一的领导下,分级管理和维护的模式。作为信息系统维护管理部门,牵头组织分支机构实施信息系统的维护管理工作。原则上信息系统的维护工作应逐步集中。 第七条.信息系统的维护管理分两个层面:管理层面和生产操作层面。 1、在管理层面,为信息系统维护管理部门,负责全行范围内信息系统的维护管理和考核。 2、在生产操作层面,信息系统维护部门是运行中心和分支机构设置的实体或虚拟的维护部门(或维护人员)。信息系统维护部门直接对信息系统维护管理部门负责,并接受信息系统维护管理部门的业务指导和归口管理。 第八条.分支机构信息系统维护部门(或维护人员)可根据维护工作需要,向申请抽调技术人员和业务人员临时组成虚拟团队,参加分支机构设备巡检,制定技术规范、作业计划、应急预案,编制技术方案、培训教材等,各单位应积极配合。 第二节职责分工 第九条.信息系统维护管理部门职责 1.贯彻国家、行业及监管部门关于银行信息系统技术、设备及质量管理等方面 的方针、政策和规定,组织制定信息系统的维护规程、维护管理办法和维护责任制度;
系统运维管理制度汇编.doc
系统运维管理制度汇编1 运维管理制度 系统运维管理制度(试行) (2018年8月版) 第一章总则 运维以技术为基础,通过技术保障产品提供更高质量的服务。在软件产品的整个生命周期中运维组都需要适时参与并发挥不同得作用,因此运维组工作内容和方向非常多。 运维目标是在服务出现异常时尽可能快速恢复服务,从而保障服务的可用性;同时深入分析故障产生的原因;推动并修复服务存在的问题,同时设计并开发相关的预案以确保服务出现故障是可以高效止损。 第一条为保障信息系统软硬件设备的良好运行,使运维技术人员工作制度化、流程化、规范化,特制订本制度。 第二条运维管理工作总体目标:立足根本促发展,开拓运维新局面。在办公系统运行推广时期,通过网络、桌面、系统等的运维,促进信息系统能够稳定可持续性的发展。 第三条运维管理制度的适用范围:运维全体人员。 第二章编制方法 第一条本实施细则包括运维服务全生命周期管理方法、管理
标准/规范、管理模式、管理支撑工具、管理对象以及基于流程的管理方法。 第二条本实施细则以ITIL/ISO20000为基础,以信息化项目的运维为目标,以管理支撑工具为手段,以流程化、规范化、标准化管理为方法,以全生命周期的PDCA循环为提升途径,体现了对运维服务全过程的体系化管理。 第三章运维部工作职责 第一条系统运维和技术支持 (1)根据公司业务的推进和发展目标,负责平台信息系统管理及数据交换策略的整体架构、对应用系统等技术开发方案的基础支撑,保障基础平台的稳定性和先进性。 (2)负责系统基础平台的使用培训和操作使用指南编写,对用户使用过程中出现问题的沟通和解决; (3)会同项目实施,确认系统信息基础设备和软件数量、品牌规格、技术参数,确保项目有效推进实施。 (4)系统信息基础设备和软件操作规程、应用管理制度的制定,并负责监督执行。 (5)系统信息基础设备的软件安装、调试和验收,使用培训和维修保养。 (6)系统信息基础平台日常运行过程中信息安全和技术问题的协调解决,保障平台24小时安全稳定运行。
项目安全风险评估报告
第一章概述一、施工安全风险评估简介 (一)、评估目的 *****工程环境条件复杂,施工组织实施困难,作业安全风险高居不下,一直以来是行业安全监管的重点环节。在施工阶段建立安全风险评估制度,通过定性或定量的施工安全风险估测,能够增强安全风险意识,改进施工措施,规范预案预警预控管理,有效降低施工风险,严防重特大事故发生。 施工安全风险评估是*****工程设计风险评估在实施阶段的深化和落实,根据项目施工组织设计内容,辨识和评价本工程施工过程中可能存在的风险源的种类和程度,提出合理可行的安全对策措施及建议。贯彻“安全第一、预防为主、综合治理”的方针,为本工程施工阶段的安全管理提供科学依据,确保建设项目施工期间实现安全生产,使事故和危害引起的损失最少。 本次评估的目的是在对施工图设计、*****工程施工组织设计等项目建设资料进行研究的基础上,根据同类工程建设过程中发生的相关安全事故特点,辨识本项目施工过程中各项作业活动、作业环境、施工设备、危险物品等所潜在的风险,并对其进行定性、定量分析,以求明确各类危险源的种类及危害程度,进而从安全技术和组织管理等方面提出可行的安全措施,提高本工程施工期间的安全度,实现安全生产。 (二)、评估原则 本次评估以国家现行的有关安全生产的法律、法规及技术标准为依据,以《铜川市川口至青岗岭区域生态治理修复项目工程施工图设计》、《铜川市川口至青岗岭区域生态治理修复项目工程施工组织设计》为基础,用科学的评估方法和规范的评估程序,坚持科学性、公正性、针对性等原则,以严肃的科学态度开展本工程的施工安全风险评估工作。 (三)、评估内容 *****工程施工安全风险评估包括总体风险评估和专项风险评估两项内容。 1、总体风险评估 *****工程开工前,根据山体、基石雕塑、河道的地质环境条件、建设规模、结构特点等致险环境与致险因子,估测本工程施工期间的整体安全风险大小,确定静态条件下的安全风险等级。 2、专项风险评估 当本工程总体风险评估等级达到Ⅲ级(高度风险)及以上时,将其中高风险的施工作业活动(或施工区段)作为评估对象,按照施工组织设计所确定的施工工法,分解施工作业程序,结合工序(单位)作业特点、环境条件、施工组织等致险因子及类
企业信息安全运维要点剖析
1. 运维工作分类 在甲方工作多年,对甲方运维工作做下总结,主要工作包以下几方面: 1.1. 安全设备运维 包括安全设备的配置、备份、日常巡检等工作。这部分工作很多甲方因为人力的原因很难做起来,如防火墙、入侵检测系统、堡垒机、企业杀毒软件等安全设备的日常配置、日志审计,可能日常的配置因为业务需求的原因能及时做支持,安全设备日志审计因为各种原因很难做成。 1.2. 安全资产管理 通常资产管理属于甲方的IT运维的部分负责,可能有正常的流程支持IP资产上线,大多情况下是研发、测试或运维都有可能部署IP资产,实际上线的IP资产比较混乱,另外,由于上线时间较长,IP设备的业务负责人可能也不清楚,也碰到过只有业务人员知道操作系统的登录密码而运维却不知道的情况。 个人觉得安全资产管理属于安全技术运维里的重要的部分,安全资产资产发现又是安全资产管理的重要部分,另外一部分是IP设备的加固,包括漏洞管理、补丁管理、杀毒软件管理、主机入侵检测管理。涉及到与甲方的各个部门进行沟通,在没有考核的情况下这部分也是很难做好。最后是业务分级、资产分级,不同级别的资产能够采用不同级别的防护。 1.3. 软件安全开发生命周期
安全部门完全参与软件开发的需求阶段、设计阶段、实施阶段、验证阶段、发布阶段、支持和服务阶段。这部分主要工作为培训、代码审计和渗透测试工作。需要适合自己组织的安全开发培训材料和资料(知识库),需要适合自己组织的安全开发流程,在业务上线的早期参与进去。阻碍主要是业务的时间要求,安全人员能力等,这部分也是甲方安全工作的重要部分,做的好和不好对安全的结果影响很大。1.4. 迎检工作 迎检工作和重大社会活动的安全保障工作,这部分工作占组织安全工作的很大一块比例,这部分跟安全管理工作有比较多的联系,有完善的、适合自己组织的制度和流程,有正常的记录文件可以减轻迎检时的工作量,没有制度、流程或者制度、流程执行不规范,每次迎检都需要提前做好大量工作,效果也不一定好。重大社会活动期间的安全保障工作,结合安全事件响应和应急演练,做好一套完善的流程和规范,可以复用的东西 1.5. 应急响应工作 安全事件演练和应急响应工作,制定标准化的安全事件响应流程,在遇到突发安全事件知道该怎么处理。日常备份工作放到这里,备份频率、备份的有效性检测,相关的实施手册的制定和修订 1.6. 安全管理工作 包括安全策略、安全制度、规范、安全流程、标准、指南、基线等所有安全管理相关的文档制定、版本修改,监督执行情况,这部分参考ISO27000系列、等保标准
信息系统运行维护规范
产品概述 浪潮ERP-GS商业智能(BI)主要面向管理者,协助实现决策集中。对企业关注的各类信息的整合、对比、抽象、分析,面向决策层直观、简洁展现,从而达到支持决策的目的;并能针对企业不断变化的分析需求,快速生成与之相关的查询、报表、报告、驾驶舱,及时反映企业的真实情况,帮助企业在多变的商业环境中及时了解情况,规避风险。 浪潮ERP-BI商业智能主要面向管理者,协助实现决策集中。对企业关注的各类信息的整合、对比、抽象、分析,面向决策层直观、简洁展现,从而达到支持决策的目的;并能针对企业不断变化的分析需求,快速生成与之相关的查询、报表、报告、驾驶舱,及时反映企业的真实情况,帮助企业在多变的商业环境中及时了解情况,规避风险。 商业智能(BI)融合各行业分析经验,预制各主要关键应用的常用查询、企业分析常用的分析指标体系和常用的分析报告模型。借此,企业可快速提升自身分析水平; 商业智能(BI)提供一个分析查询的开发平台,可以针对企业个性化需要,来扩展产品提供的查询、分析、和报告,从而达到企业的最佳应用。 商业智能(BI)与GS集中核算、全面预算、资金管理、资产管理、供应链、等系统高度集成,可以的展示分布在各个系统中的关键信息,并能对异常信息进行联查、钻取分析。 商业智能(BI)具有良好的扩展性,除同浪潮ERP-GS产品天然集成外,还能抓取企业内其它信息系统的数据,以及外部行业数据。 总体构架 管理驾驶舱
管理驾驶舱(Management Cockpit,简称MC)是一个最大化地发挥高层经理了解、领导和控制公司业务的管理室(即驾驶舱),实际上是一个为高层管理层提供的“一站 式”(One-Stop)决策支持的管理信息中心系统。它以驾驶舱的形式,通过各种常见的图表(速度表、音量柱、预警雷达、雷达球)形象标示企业运行的关键指标(KPI), 直观的监测企业运营情况,并可以对异常关键指标预警,和挖掘分析。 实时挖掘,数据准确 形象展示、趣味驾驶 联查功能,追寻数据来源 个性设置,随需而变 异常信息自动预警 消息指令功能 单位监控舱 单位监控舱是一个直观的监控各下级单位运营状况的一个有力工具,可根据企业具体情况,设置一组KPI指标,指定每个KPI指标的标杆值和允许波动范围,以及每个指标在整个评价体系中的权重,通过这组KPI指标,对下级企业进行监控,做出数字化评价,以不同颜色标示,迅速发现异常企业;并能以雷达图的形式直观对比各企业详情。 指标自主设置,随企业考评需要而变 数字评价、雷达展示,异常企业一目了然 领导查询 领导查询系统为高层管理层提供的“一站式”信息查询服务。通过系统预制和菜单设计功能两种方式结合,可方便的把管理者关心的查询组织在一起,形成操作简洁、个性化的查询模块。 一站式操作,全面监控敏感信息无需切换模块职责。 个性化设置,随心所欲改变需要监控信息。 万能查询 用户的业务不尽相同,对于查询的需求更是千差万别。万能查询模块就是为满足用户个性化查询需求,提供的一个灵活定制查询的工具。通过该模块,可以自行方便定义客户需要的查询。 可以整合来自多个数据库的数据,在同一个查询中展示。