网络公司机房管理.doc

1、网络公司机房管理第一节 机房环境第1条 机房环境要求1、机房工作人员应备有工作服和工作鞋，进入机房要更换。2、机房门窗要严密，室内要防尘和清洁。3、 机房的温度一般保持在205C，相对湿度一般保持在3075%，有特殊要求的设备，以该设备说明书要求安排。第2条 机房环境维护1、例行维护l 每天进行机房及周边环境的卫生检查l 每两周进行机房及周边环境的卫生清洁l 每天对机房日常维护指标进行检查并记录2、紧急维护 l 及时进行相关的紧急自处理l 即时向救护部门申请救助：公司领导、火警-119、匪警-110l 通报公司相关领导并备案第二节 机房日常运行维护管理第3条 对机房设备维护的要求1、机房应备有

2、防静电手镯，维护人员插拔设备模块时要带防静电手镯。2、维护终端使用的软盘要有严格的防病毒措施，严禁安装、使用未经批准的软件。3、各种通信设备外壳，应良好接地。使用220伏及其以上交流电源工作时，必须注意人身安全和设备安全。4、机房内严禁使用可能引起火灾的取暖设备。机房内要备灭火器，灭火器要放在固定位置，并指定专人管理，定期检查，保证良好。要求每一维护人员熟知其使用方法和火警电话号码。5、室内所有设施要建立固定资产管理目录，并有专人负责。定期核对。第4条 对机房操作人员的要求：1、 机房内严禁吸烟、饮食、睡觉、闲谈、娱乐。2、 除值班人员和维护人员外，其他部门和外单位人员，需经有关领导批准，方可

3、进入机房。3、 值班人员对用户的电话讯问应作完事后记录。4、 值班人员应按规定的时间，对环境、湿度、温度、电源电压，设备运行等进行记录和监视。5、 值班人员只能按规定的权限作好系统运行和管理工作，不得越权改动操作系统的硬软件。6、 系统出现异常情况时，值班人员需及时向有关技术人员和领导汇报，不可自行处理。7、 人员应会熟练使用灭火器材。出现火警时应立即报告保卫部和火警台。第三节 主机系统管理第5条 “主机系统管理”的目的是保证xxx信息港宽带网络 网络内的主机正常运行和各种网络服务的高效运作，确保网络安全，提高xxx信息港宽带网络的服务质量。主机系统的管理目标包括：1、 外观状态2、 Powe

4、r状态3、 CPU利用率4、 硬盘空间5、 进程状态6、 日志检查7、 网络接口状态8、 TCP端口使能状态9、 UDP端口使能状态10、 安全状态第6条 主机系统管理应遵循如下原则：1、实行“主机管理员”负责制，应根据UNIX 主机的服务功能，由特定的“主机管理员”负责整机的系统管理、主要服务进程的健康性检查以及日常的物理维护；2、设立“安全管理员”，所有UNIX 主机的超级用户口令由“安全管理员”掌握，所有主机的安全由“安全管理员”负责，具体负责该主机的管理员只能用“sudo”来管理主机。3、为每台主机建立“机历本”，记录所有与该机器有关的信息。第7条 用户账号管理1、UNIX 主机上的用

5、户账号（包括超级口令和用户口令）应由“安全管理员”掌握，其中超级用户的口令(“su”口令)以硬拷贝的形式在部门负责人处存档；“sudo”用户的账号在“安全管理员”处存档。2、“主机管理员”需要在主机上增减“sudo”用户账号，需经“安全管理员”同意，并由“安全管理员”记录。3、“主机管理员”有权在所管辖的机器上增减用户账号（除超级用户账号），但要在确保不影响系统安全的前提下进行。4、主机账号的Description 域不得为空，要写明账号所有者的身份姓名。第8条 软件包管理1、“主机管理员”负责本机的软件包的管理和维护；应对本机所安装的软件有详细的清单，包括系统软件的名称、版本，所装应用软件的

6、名称、版本、功能及安装时间2、“主机管理员”在自己管辖的主机上增减软件，需经“安全管理员”同意，并作好记录。第9条 系统服务程序的管理1、每天上午10：00、下午2：00、下午4：00检查主要服务进程（如：SENDMAIL/POP3/radiusd）的资源占用率（CPU/MEMERY）,并做记录。每周/每月统计当周的数据，分析“忙时”系统的资源利用情况；为系统是否需要增加容量提供依据。2、每天下午4：30检查应用服务的log , 对错误信息予以分析和记录，（以便及早发现安全隐患和系统不稳定的因素，及早处理）。3、每天一次检查存储介质上的空间利用率，避免空间不够造成的数据丢失。4、每天下午5：0

7、0总结当天系统出现的问题并作记录。5、“主机管理员”在修改配置数据后，应做记录，作为日后查询的依据。（1）DNS 服务器：增减DNS内容后，需要做如下记录。通过修改配置文件内的serial_number 来确定最后修改时间；通过修改配置文件备注中的管理员名称来确定文件最后由谁修改的。最后在机房工作记录本上记录。（2）Radius服务器：增减NAS后，需要做如下记录。通过修改配置文件备注中的修改时间来确定最后修改时间；通过修改配置文件备注中的管理员名称来确定文件最后由谁修改的。最后在机房工作记录本上记录。（3）Email 服务器： 在修改配置文件后，在机房工作记录本上记录。（4）Vhost 服务

8、器： 修改配置文件后，需要做如下记录。通过修改配置文件备注中的修改时间来确定最后修改时间；通过修改配置文件备注中的管理员名称来确定文件最后由谁修改的。最后在机房工作记录本上记录。第10条 系统备份管理1、 Email/Vhost/DNS服务器：每天做一次增量备份；每周做一次全备份。(若是磁带库做自动备份，则由负责Email的“主机管理员”向负责带库的“主机管理员”确认备份是否成功)；备份数据保存6个月以上。2、 Radius 服务器：每次修改配置文件后，做一次全备份。备份数据保存6个月以上。第11条 系统安全管理1、UNIX主机用户密码制定和维护规则（1） 任何账号生成后，禁止使用缺省密码作为

9、密码使用；（2） 长度应大于6位，且应该是字母（大小写）符号数字混合使用；（3） 避免使用自己（或亲属朋友）的姓名生日等易被人猜到的信息作为密码；避免使用与自己的用户名相关的信息作为密码；（4） 用户要妥善管理自己的账号/密码，用户的密码严禁被他人使用（若有需求，可以在“主机管理员”的同意下开临时账号）。（5） 由于主机用户自己的账号/密码管理不善，造成系统安全性问题（如，口令过于简单，被黑客猜到，进入系统），由该密码的所有者负相应的责任。（6） 当用户登录主机（输入密码）的时候，应让他人回避，以避免密码泄露。（7） 主机用户最少每月修改一次自己的密码；超级用户口令最少每月检查一次，最少2个月

10、修改一次；2、责任分工（1） “主机管理员”对所管辖主机的安全直接负责；“安全管理员”负责所有主机的安全管理。（2） “主机管理员”应在每天上班后前两个小时内检查系统的log 文件，发现任何可疑的问题，都要与“安全管理员”联系，共同解决，并且要对事件的“现象描述”和“解决过程”以及“结果”做详细的记录。（3） “安全管理员”对所有的主机进行不定期的安全检查，发现问题后，与“主机管理员”联系，共同解决，并有“主机管理员”做详细的记录。第四节 网络系统管理第12条 网络配置管理1、“网络配置管理”的目的是：为业务生成、故障处理、性能调整等网络行为提供统一、高效和安全的网络设备配置功能。2、网络配置

11、管理的主要目标包括：l 配置时间l 可靠性：误配率l 完整性l 安全性l 可管理性3、工作流程网络配置管理的基本工作流程如下：配置任务输入执行者：业务配置工程师配置任务分解执行者：网络分析工程师配置任务模拟执行者：路由工程师配置任务执行与监测执行者：路由工程师配置结果确认执行者：网络分析工程师结果反馈与备案执行者：业务配置工程师操作审计执行者：经理n 配置任务输入l 功能描述：接收来自外部系统的网络配置要求。具有配置要求的外部系统包括业务运营系统、故障处理系统和性能监控系统等l 该功能可在业务管理员的指导（认可）下由相关的软件系统辅助完成。n 配置任务分解l 功能描述：对输入的配置任务按照技术

12、要求分解为可操作的功能子任务。根据网络构成，任务分解可按照：n 管理域：高速互联网、城域网、接入网等n 技术类型：IP、DWDM、业务系统等l 该功能可在系统分析员的指导（认可）下由相关的软件系统辅助完成。n 配置任务模拟l 功能描述：对每一个功能子任务进行模拟确认。l 该功能可在配置工程师的指导（认可）下由相关的软件系统辅助完成。n 配置任务执行与监测l 功能描述：对已确认过的所有配置子任务按照一定的顺序进行网络设备的配置生成操作，并对配置的执行结果进行监测。l 该功能可在配置工程师的指导（认可）下由相关的软件系统辅助完成。n 配置结果确认l 功能描述：对所有的配置执行结果进行汇总确认。n

13、结果反馈与备案l 功能描述：将经确认后的配置结果反馈给相关的外部系统，并进行配置备案。l 该功能可在业务管理员的指导（认可）下由相关的软件系统辅助完成。n 操作审计l 功能描述：网络配置管理系统提供对网络设备所有配置操作的记录和审计功能。l 该功能可在系统分析员的指导（认可）下由相关的软件系统辅助完成。4、网络配置管理应遵循以下原则：n 严禁违反作业流程进行网络配置操作；n 业务管理员受理的配置业务必需具有相关外部部门主管的签字认可；n 配置工程师只能受理由系统分析员签字认可的网络配置操作，严禁私自受理网络配置操作。n 业务管理员的配置反馈必需具有系统分析员的签字认可；n 系统分析员有权对配置

14、工程师的配置作业进行审计。第13条 网络故障管理1、 网络故障管理的目的是全面、即时地收集网络系统的故障告警，并进行高效、规范的处理，以保证网络系统承诺的服务质量。2、 网络故障处理的主要管理目标有：n 故障发现时间n 故障处理时间：MTTRn MTTA：系统平均无故障时间3、 网络故障管理的基本工作流程如下：故障处理审计执行者：经理故障反馈与备案执行者：维护工程师故障处理与恢复执行者：维护工程师故障分析诊断执行者：网络系统分析工程师、维护工程师告警信息收集执行者：维护工程师网络故障管理工作流程n 告警信息收集l 功能描述：实时收集网络设备的故障告警信息，并上报相关系统分析员。维护工程师是相关

15、设备故障信息的第一接收者。设备告警信息可以来自于： 网络设备本身 客户 客户服务中心l 该功能可在维护工程师的指导（认可）下由相关的软件系统辅助完成。n 故障分析诊断l 功能描述：在维护工程师的配合协助下，系统分析员对所有收集的故障告警信息进行故障关联、故障定位分析，并得出故障处理方案。必要时同时包括故障备份方案。l 该功能可在系统分析员的指导（认可）下由相关的软件系统辅助完成。n 故障处理与恢复l 功能描述：维护工程师在系统分析员的故障处理方案指导下进行所辖网络设备的故障处理与恢复操作，包括故障备份方案的配置操作（与网络配置管理配合）。不同维护工程师的管理范围可为： 本地 本地域 全网 不同

16、的设备类型l 该功能可在维护工程师的指导（认可）下由相关的软件系统辅助完成。n 故障反馈与备案l 功能描述：故障处理完毕后，维护工程师对所有的故障处理流程备案，并对相关的故障处理结果反馈给故障申告部门。n 故障处理审计l 功能描述：网络故障管理系统提供对网络故障处理流程的审计功能，必要时NMC Supervisor可对相关维护工程师和系统分析员的故障操作流程进行审计。4、网络故障管理应遵循以下原则：n 维护工程师的故障处理操作必须有相关系统分析员的方案认可；n 维护工程师有义务配合系统分析员进行故障的分析处理工作；n 维护工程师不可越权进行故障处理。第14条 网络性能管理1、网络性能管理的目的

17、是： 通过规范、全面的性能管理流程，为网络的高效、健康运行和业务提供保证。 2、网络性能管理的目标主要包括：n 设备可用性n POP节点可用性n 链路可用性n 网络端到端时延n 时延抖动n Load Balance能力（带宽）n Traffic Caching能力3、 网络性能管理的基本工作流程如下：反馈与备案执行者：性能检测工程师优化配置认可执行者：网络系统分析工程师优化配置测试执行者：性能管理工程师配置方案提交执行者：性能管理工程师优化配置方案生成执行者：网络系统分析工程师优化申请处理执行者：性能管理工程师日常性能监测执行者：性能监测工程师审计执行者：经理n 日常性能监测l 功能描述：确定

18、全网的性能监测点，并在网络性能监测系统的辅助下对其进行性能参数监测。n 优化申请受理l 功能描述：受理对网络性能优化管理的要求，并规则化后输出给后继流程。网络性能优化申请可以来自于： 网络日常监测 客户服务中心 新业务要求n 优化配置方案生成l 功能描述：根据性能管理员受理的网络性能优化申请要求进行网络系统分析，并形成网络性能优化配置方案。n 配置方案提交l 功能描述：将系统分析员提出的网络性能优化配置方案提交给网络配置管理系统的相关人员，以便其进行网络优化配置。n 优化配置测试l 功能描述：对网络配置管理系统优化配置后的网络进行性能测试认证。n 优化配置认可l 功能描述：对优化后的网络测试结

19、果进行认可。n 反馈与备案l 功能描述：对每一性能优化任务进行记录备案，以便于审计。并对来自客户服务中心的优化请求进行反馈。n 审计l 功能描述： NMC Supervisor对性能管理员和系统分析员的网络性能优化行为进行审计。4、网络性能管理应遵循以下原则：n 严禁性能管理员私自下单进行性能优化操作n 配置申请必须具有系统分析员的签字认可n 性能优化流程必须进行备案以便审计第15条 网络安全管理网络安全管理的目的是保证xxx信息港宽带网络作为电信级运营网络的安全性和其核心系统信息的高度保密性。保证网络的安全和确保核心机密不泄露是每个系统管理员基本义务，同时也是考核管理员工作情况的前提条件。1

20、. 网络上主机系统的安全管理（1） 实行两极安全管理制度，设置“主机管理员”和“安全管理员”。（2） 列在”/etc/sudoers”文件中的用户名均为“主机管理员”；（3） 掌握“su”账号的用户为“安全管理员”。（4） “主机管理员”对所管辖主机的安全直接负责；（5） “安全管理员”对所有主机的安全负责。（6） “主机管理员”应在每天上班后前两个小时内检查系统的log 文件：n 检查由TCP_WRAPPER产生的LOG，对于连续的恶意攻击要做详细的记录，通知“安全管理员”处理。n 检查系统产生的“messages” 以及应用程序产生的LOG文件，发现可疑现象要通知“安全管理员”处理。（7）

21、 “安全管理员”对所有的主机进行不定期的安全检查，发现问题后，与“主机管理员”联系，共同解决，并由“主机管理员”做详细的记录。2. 主机用户密码制定和维护规则（1） 任何账号生成后，禁止使用缺省密码作为密码使用；（2） 长度应大于6位，且应该是字母（大小写）符号数字混合使用；（3） 避免使用自己（或亲属朋友）的姓名生日等易被人猜到的信息作为密码；避免使用与自己的用户名相关的信息作为密码；（4） 用户要妥善管理自己的账号/密码，用户的密码严禁被他人使用（若有需求，可以在“主机管理员”的同意下开临时账号）。（5） 若是由于主机用户自己的账号/密码管理不善，造成系统安全性问题（如，口令过于简单，被黑

22、客猜到，进入系统），由该密码的所有者负全部责任。（6） 当用户登录主机（输入密码）的时候，他人不得在旁边观看；用户有权让他人回避，以避免密码泄露。（7） 主机用户最少每月修改一次自己的密码；超级用户口令最少每月检查一次；最少2个月修改一次；3. 用户账号管理（1） 主机上的用户账号（包括超级口令和用户口令）应由“安全管理员”和“其中超级用户的口令(“su”口令)以硬拷贝的形式在部门负责人处存档；“sudo”用户的账号在“安全管理员”处存档。（2） “主机管理员”需要在主机上增减“sudo”用户账号，需经“安全管理员”同意，并由“安全管理员”记录。（3） “主机管理员”有权在所管辖的机器上增减用

23、户账号（除超级用户账号），但要在确保不影响系统安全的前提下进行。（4） 主机账号的Description 域不得为空，要写明账号所有者的身份姓名。4. 主机操作规程（1） 每次登录主机要用自己的账号；完成工作要退出系统。（2） 操作人员离开机器10分钟以上，应在退出系统后离开；不得锁屏。（3） 操作过程中若有事离开10分钟之内，应锁屏幕后离开；办完事情及时返回，并打开屏幕。（4） 若需要用超级用户的权限，应尽量用“sudo command”的形式，而不是在“#”的状态下完成操作。（5） 用户在输入口令的时候，在场的其他人应回避，（用户有权要求其他人回避）。（6） 在做“系统升级”、“给系统加P

24、ATCH”等对系统核心的操作时，应有两个管理员在场才能操作。5. 路由器口令安全管理规则（1） 路由器”ENABLE”口令应由负责该路由器的运营维护工程师和部门负责人同时掌握。（2） 路由器“ENABLE”口令应在部门相关领导处存档（硬拷贝）。（3） 只有经理有权或授权修改“ENABLE”口令.6. 路由器安全操作规则（1） 任何管理员不得擅自修改路由器配置，须经部门负责人同意后方可进行。（2） 对路由器做任何配置的修改之前要对配置做备份，抄送经理。（3） 对路由器做任何配置的修改之后，只有确认正确之后方可“write memory” 。（4） 修改路由器的任何设置需在值班日志上详细记录，交接

25、班时做必要说明。（5） 修改路由关键配置需有两个管理员同时在场的情况下才能操作。（6） 在路由器有业务承载的情况下，路由器的重新启动，需经过部门负责人批准方可执行。7. 网络操作人员保密规则（1） xxx信息港宽带网络系统管理员不得在任何时间、地点、以任何的形式向除xxx信息港宽带网络管理员之外的任何人泄露关于xxx信息港宽带网络的网络内部结构、网络设备的端口配置的情况。（2） xxx信息港宽带网络系统管理员不得在任何时间、地点、以任何的形式向除xxx信息港宽带网络管理员之外的任何人泄露关于xxx信息港宽带网络内部的IP 地址分配的情况和设备域名的设置规则。（3） xxx信息港宽带网络系统管理员不得在任何时间、地点、以任何的形式向除xxx信息港宽带网络管理员之外的任何人泄露关于xxx信息港宽带网络内部主机的应用服务器的具体的端口（TCP/UDP）的配置情况（包括防火墙的设置）。（4） xxx信息港宽带网络系统管理员不得在任何时间、地点、以任何的形式向除xxx信息港宽带网络管理员之外的任何人泄露关于xxx信息港宽带网络管理员远程工作所使用的连接方法。（5） xxx信息港宽带网络系统管理员不得在任何时间、地点、以任何的形式向除xxx信息港宽带网络管理员之外的任何人泄露关于xxx信息港宽带网络曾出现的网络故障（包括曾被黑客攻击或系统瘫痪）。避免造成不良影响。