中國專業(yè)IT外包服務(wù)

加入收藏??

公司微博

網(wǎng)站地圖??

IT外包價格計算器

您當(dāng)前位置：主頁 > IT服務(wù) > 網(wǎng)絡(luò)服務(wù) >

網(wǎng)絡(luò)運維 | 網(wǎng)絡(luò)安全運維介紹

2020-05-21 14:27 作者：艾銻無限瀏覽量：

網(wǎng)絡(luò)運維保姆級的IT外包,2小時內(nèi)上門,專業(yè)工程師7*24h隨叫隨到,提供整體的IT解決方案,兼職網(wǎng)管,桌面運維,it外包

IT系統(tǒng)能否正常運行直接關(guān)系到業(yè)務(wù)或生產(chǎn)是否能夠正常進行。但IT網(wǎng)絡(luò)運維管理人員經(jīng)常面臨的問題是：網(wǎng)絡(luò)變慢、設(shè)備發(fā)生故障、應(yīng)用系統(tǒng)運行效率很低。IT系統(tǒng)的任何故障如果沒有及時得到妥善處理都將會產(chǎn)生很大的影響，甚至?xí)斐删薮蟮慕?jīng)濟損失。IT部門通過采用相關(guān)的方法、手段、技術(shù)、制度、流程和文檔等，對IT運行環(huán)境（如軟硬件環(huán)境、網(wǎng)絡(luò)環(huán)境等）、IT業(yè)務(wù)系統(tǒng)和IT網(wǎng)絡(luò)運維人員進行綜合管理，構(gòu)建安全運行網(wǎng)絡(luò)運維體系。

1.環(huán)境管理要求

1）應(yīng)指定專門的部門或人員負(fù)責(zé)機房安全，對機房出入進行管理，定期對機房供配電、空調(diào)、溫濕度控制、消防等設(shè)施進行維護管理。

2）應(yīng)建立機房安全管理制度，對有關(guān)機房物理訪問，物品帶進、帶出機房和機房環(huán)境安全等方面的管理做出規(guī)定。

3）應(yīng)不在重要區(qū)域接待來訪人員，接待時桌面上沒有包含敏感信息的紙檔文件、移動介質(zhì)等。

2.資產(chǎn)管理要求

1）應(yīng)編制并保存與保護對象相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容。

2）應(yīng)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標(biāo)識管理，根據(jù)資產(chǎn)的價值選擇相應(yīng)的管理措施。

3）應(yīng)對信息分類與標(biāo)識方法做出規(guī)定，并對信息的使用、傳輸和存儲等進行規(guī)范化管理。

3.介質(zhì)管理要求

1）應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進行控制和保護，實行存儲環(huán)境專人管理，并根據(jù)存檔介質(zhì)的目錄清單定期盤點。

2）應(yīng)對介質(zhì)在物理傳輸過程中的人員選擇、打包、交付等情況進行控制，并對介質(zhì)的歸檔和查詢等進行登記記錄。

4.設(shè)備維護管理要求

1）應(yīng)對各種設(shè)備（包括備份和冗余設(shè)備）、線路等指定專門的部門或人員定期進行維護管理。

2）應(yīng)建立配套設(shè)施、軟硬件維護方面的管理制度，對其維護進行有效的管理，包括明確網(wǎng)絡(luò)運維維護人員的責(zé)任、涉外維修和服務(wù)的審批、維修過程的監(jiān)督控制等。

3）應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機房或辦公地點，含有存儲介質(zhì)的設(shè)備帶出工作環(huán)境時其中重要數(shù)據(jù)必須加密。

4）含有存儲介質(zhì)的設(shè)備在報廢或重用前，應(yīng)進行完全清除或被安全覆蓋，確保該設(shè)備上的敏感數(shù)據(jù)和授權(quán)軟件無法被恢復(fù)重用。

5.漏洞和風(fēng)險管理要求

1）應(yīng)采取必要的措施識別安全和隱患，對發(fā)現(xiàn)的安全和隱患及時進行修補或評估可能的影響后進行修補。

2）應(yīng)定期開展安全測評，形成安全測評報告，采取措施應(yīng)對發(fā)現(xiàn)的安全問題。

6.網(wǎng)絡(luò)和系統(tǒng)安全管理要求

1）應(yīng)劃分不同的管理員角色進行網(wǎng)絡(luò)和系統(tǒng)的運維管理，明確各個角色的責(zé)任和權(quán)限。

2）應(yīng)指定專門的部門或人員進行賬號管理，對申請賬號、建立賬號、刪除賬號等進行控制。

3）應(yīng)建立網(wǎng)絡(luò)運維和系統(tǒng)安全管理制度，對安全策略、賬號管理、配置管理、日志管理、日常操作、升級與打補丁、口令更新周期等方面做出規(guī)定。

4）應(yīng)制定重要設(shè)備的配置和操作手冊，依據(jù)手冊對設(shè)備進行安全配置和優(yōu)化配置等。

5）應(yīng)詳細(xì)記錄運維操作日志，包括日常巡檢工作、運行維護記錄、參數(shù)的設(shè)置和修改等內(nèi)容。

6）應(yīng)嚴(yán)格控制變更性運維，經(jīng)過審批后才可改變連接、安裝系統(tǒng)組件或調(diào)整配置參數(shù)，操作過程中應(yīng)保留不可更改的審計日志，操作結(jié)束后應(yīng)同步更新配置信息庫。

7）應(yīng)嚴(yán)格控制運維工具的使用，經(jīng)過審批后才可接入進行操作，操作過程中應(yīng)保留不可更改的審計日志，操作結(jié)束后應(yīng)刪除工具中的敏感數(shù)據(jù)。

8）應(yīng)嚴(yán)格控制遠(yuǎn)程的開通，經(jīng)過審批后才可開通遠(yuǎn)程接口或通道，操作過程中應(yīng)保留不可更改的審計日志，操作結(jié)束后立即關(guān)閉接口或通道。

9）應(yīng)保證所有與外部的連接均得到授權(quán)和批準(zhǔn)，應(yīng)定期檢查違反規(guī)定無線上網(wǎng)及其他違反網(wǎng)絡(luò)安全策略的行為。

7.惡意代碼防范管理要求

1）應(yīng)提高所有用戶的防惡意意識，告知對外來或存儲設(shè)備接入系統(tǒng)前進行惡意檢查等。

2）應(yīng)對惡意防范要求做出規(guī)定，包括防惡意軟件的授權(quán)使用、惡意庫升級、惡意的定期查殺等。

3）應(yīng)定期驗證防范惡意代碼攻擊的技術(shù)措施的有效性。

8.配置管理要求

1）應(yīng)記錄和保存基本配置信息，包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、各個設(shè)備安裝的軟件組件、軟件組件的版本和補丁信息、各個設(shè)備或軟件組件的配置參數(shù)等。

2）應(yīng)將基本配置信息改變納入變更范疇，實施對配置信息改變的控制，并及時更新基本配置信息庫。

9.密碼管理要求

應(yīng)使用符合國家管理規(guī)定的技術(shù)和產(chǎn)品。

10.變更管理要求

1）應(yīng)明確變更需求，變更前根據(jù)變更需求制定變更方案，變更方案經(jīng)過評審、審批后方可實施。

2）應(yīng)建立變更的申報和審批控制程序，依據(jù)程序控制所有的變更，記錄變更實施過程。

3）應(yīng)建立中止變更并從失敗變更中恢復(fù)的程序，明確過程控制方法和人員職責(zé)，必要時對恢復(fù)過程進行演練。

11.備份與恢復(fù)管理要求

1）應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等。

2）應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲介質(zhì)、保存期等。

3）應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略、備份程序和恢復(fù)程序等。

12.安全事件處置要求

1）應(yīng)報告所發(fā)現(xiàn)的安全弱點和可疑事件。

2）應(yīng)制定安全事件報告和處置管理制度，明確不同安全事件的報告、處置和響應(yīng)流程，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)的管理職責(zé)等。

3）應(yīng)在安全事件報告和響應(yīng)處理過程中，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結(jié)經(jīng)驗教訓(xùn)。

4）對造成系統(tǒng)中斷和造成信息泄漏的重大安全事件應(yīng)采用不同的處理程序和報告程序。

13.應(yīng)急預(yù)案管理要求

1）應(yīng)規(guī)定統(tǒng)一的應(yīng)急預(yù)案框架，并在此框架下制定不同事件的應(yīng)急預(yù)案，包括啟動預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容。

2）應(yīng)從人力、設(shè)備、技術(shù)和財務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障。

3）應(yīng)定期對系統(tǒng)相關(guān)的人員進行應(yīng)急預(yù)案培訓(xùn)，并進行應(yīng)急預(yù)案的演練。

4）應(yīng)定期對原有的應(yīng)急預(yù)案重新評估，修訂完善。

14.外包運維管理要求

1）應(yīng)確保IT外包運維服務(wù)商的選擇符合國家的有關(guān)規(guī)定。

2）應(yīng)與選定的IT外包服務(wù)商簽訂相關(guān)的協(xié)議，明確約定外包的范圍、工作內(nèi)容。

3）應(yīng)確保選擇的IT外包服務(wù)商在技術(shù)和管理方面均具有按照要求開展安全工作的能力，并將能力要求在簽訂的協(xié)議中明確。

4）應(yīng)在與IT外包運維服務(wù)商簽訂的協(xié)議中明確所有相關(guān)的安全要求。如可能涉及對敏感信息的訪問、處理、存儲要求，對IT基礎(chǔ)設(shè)施中斷服務(wù)的應(yīng)急保障要求等。

以上內(nèi)容由北京艾銻無限科技發(fā)展有限公司整理

分享到:

上一篇：網(wǎng)絡(luò)運維 | 開源網(wǎng)絡(luò)運維工具介紹

下一篇：無線覆蓋 | 無線覆蓋知識匯總

相關(guān)文章