基础架构配置与变更管理制度 本文关键词:变更,架构,管理制度,配置,基础
基础架构配置与变更管理制度 本文简介:中国人寿信息技术管理制度基础架构配置与变更管理制度第一节总则第一条为合理配置系统参数,实施硬件资源的有序调配,保证硬件设施与系统软件配置能在最大程度上满足信息系统运行与安全需要,特制定本规定。第二条本规定所指基础架构,请参见《IT基础架构规范》中的定义。第三条本规定所涉及配置与变更管理范围包括:硬件
基础架构配置与变更管理制度 本文内容:
中国人寿信息技术管理制度
基础架构配置与变更管理制度
第一节
总则
第一条
为合理配置系统参数,实施硬件资源的有序调配,保证硬件设施与系统软件配置能在最大程度上满足信息系统运行与安全需要,特制定本规定。
第二条
本规定所指基础架构,请参见《IT基础架构规范》中的定义。
第三条
本规定所涉及配置与变更管理范围包括:硬件设施与平台软件的配置与变更、基础架构布局的配置与变更。
第四条
规定中所指配置管理单位:省公司信息技术处。
第五条
本规定中所指配置管理员包括系统管理员、数据库管理员、网络管理员、安全管理员等。
第二节
平台软件的基准配置
第六条
平台软件的基准配置包括操作系统软件、数据库软件、网络设备系统软件、安全设备系统软件的基准配置等。维护单位应为平台软件建立合适的配置基准。配置基准应确保系统安全与整体安全要求的一致性。
第七条
经授权的配置管理员应根据系统安装手册与配置基准对初装系统或设备进行基准配置,详细记录安装过程与设置,确保配置的正确性。配置管理员应建立该配置对象的《配置清单》并在配置清单中清楚体现基准配置。
第八条
完成基准配置的系统或设备需进行运行测试和安全性检查。运行测试与安全检查通过后,配置管理员需在配置记录上写明运行测试与安全检查结果,由配置监管人签字确认。只有在测试与安全检查没有问题的情况下该系统或设备才能在生产环境下运行。
第三节
平台软件的配置变更
第九条
平台软件的配置变更包括但不限于:操作系统软件、数据库软件、网络设备系统软件、安全设备系统软件、系统安全策略的配置变更;供应商发布的补丁、升级包的使用等。
第十条
配置管理员负责对平台软件进行配置管理和维护,配置监管人负责平台软件配置正确性的确认。可通过操作系统层面对系统配置文件的访问权限的设置、明确的职责分工来确保配置和变更只能由被授权的人进行操作。
第十一条
配置变更应有统一的配置变更申请、审批流程。《配置变更申请、审批表》中应写明该配置变更所属设备的名称、配置的类别(操作系统、数据库、路由策略、安全策略、补丁包/升级包的使用等)和配置变更的原因及内容。若配置变更源于第三方服务商的建议则应同时提交第三方服务商建议文档。
第十二条
配置管理员应根据变更申请制定配置变更计划,变更计划中应详细说明该配置变更可能对系统本身以及其他系统产生的影响、配置变更发生的时间、地点等。
第十三条
配置单位管理层应根据配置变更计划及该配置变更所能产生的影响进行分析评估,对包括获取的补丁/升级包的安全性、准确性及真实性的核查,确定配置变更的原因是否充分,决定是否需要进行配置变更测试、是否同意该变更。为确保生产系统的安全性,补丁/升级包在安装之前必需经过测试。配置单位管理层应在《配置变更申请、审批表》中记录审批结果并签字。
第十四条
经授权的配置管理员应根据审批后的配置变更计划进行配置变更,若需进行配置变更测试时,应首先完成测试并出具测试报告。配置管理员在完成配置变更后应及时填写《配置变更记录表》,该表要求变更申请人对配置变更结果进行确认并签字。同时配置管理员应更新《配置清单》。
第十五条
配置管理员还应将《配置变更申请、审批表》、《配置清单》、《测试报告》做为《配置变更记录表》的附件提交给配置监管人,由其进行配置变更的确认,并在《配置变更记录表》的“监管人”一栏中签字。
第四节
硬件设施的配置变更
第十六条
硬件设施的基准配置参见总公司下发的《IT基础架构规范》。
第十七条
硬件设施配置变更包括但不限于:主机处理器、主机内存、主机硬盘、主机HBA卡、网卡、光驱、磁带机、网络设备接口模块、备份电源等硬件设施配置变更。
第十八条
硬件设施使用方在硬件资源使用过程中时发生硬件资源不足或坏损时可申请硬件设施配置的变更,并填写《配置变更申请、审批表》。
第十九条
配置管理员负责对硬件设施进行配置管理和维护,配置监管人负责确认硬件设施配置的正确性。
第二十条
配置变更应有统一的配置变更申请、审批流程。《配置变更申请、审批表》中应写明该配置变更所属设备的名称、配置的类别(CPU、内存、硬盘、备份电源、HBA卡、网卡、光驱、磁带机、网络设备接口模块)和配置变更的原因及内容。
第二十一条
配置管理员应根据变更申请制定配置变更计划,变更计划中应详细说明该配置变更可能对系统本身以及其他系统产生的影响、配置变更发生的时间、地点等。
第二十二条
配置单位管理层应根据配置变更计划及该配置变更所能产生的影响进行分析评估,确定配置变更的原因是否充分,决定是否需要进行配置变更测试、是否同意该变更。配置单位管理层应在《配置变更申请、审批表》中记录审批结果并签字。
第二十三条
经授权的配置管理员应根据审批后的配置变更计划进行配置变更,若需进行配置变更测试时,应首先完成测试并出具测试报告。配置管理员在完成配置变更后应及时填写《配置变更记录表》,该表要求变更申请人对配置变更结果进行确认并签字。同时配置管理员应更新《硬件设备维护档案》中的硬件设备基本配置(见《硬件设备维护规定》)。
第二十四条
配置管理员还应将《配置变更申请、审批表》、《硬件设备维护档案》、《测试报告》作为《配置变更记录表》的附件提交给配置监管人,由其进行配置变更的确认,并在《配置变更记录表》的“监管人”一栏中签字。
第五节
基础架构布局的变更
第二十五条
基础架构布局的变更包括但不限于:设备增减、设备迁移、线路调整、拓扑变化、定期停机检修等。
第二十六条
维护单位应为基础架构布局建立相关文档,如机房布线图、网络拓扑图、设备分布图、机架分布图、跳线表、地址表等。当基础架构布局发生变更时此类基础架构布局文档应得到及时的更新。
第二十七条
基础架构布局变更时,变更提出方应填写《布局变更申请、审批表》,申请表中应具体描述变更的原因、内容、时间、涉及到的部门等相关内容,经需求方管理层审批后提交配置管理单位。
第二十八条
经授权的配置管理员应根据审批后的布局变更计划进行布局变更并填写《布局变更记录表》,该表要求变更申请人对布局变更结果进行确认。配置管理员应同时更新相关的基础架构布局文档。
第二十九条
配置管理员还应将《布局变更申请、审批表》、《基础架构布局文档》一并作为《布局变更记录表》的附件提交给配置监管人,由其进行布局变更的确认,并在《布局变更记录表》的“监管人”一栏中签字。
第六节
变更事件的处理
第三十条
根据变更事件可能造成的影响,其范围可以分为处室范围、部门范围、省公司本部范围、省公司本部及下级地市公司范围四类。配置管理单位应将可能产生的变更行为依据上述四种影响范围进行归类划分,并每半年对分类规则进行评估更新。
第三十一条
根据上述分类规则,维护单位应详细制定变更事件的通知细则,其内容应包括各种影响范围的最迟提前申请时间、最迟提前通知时间、变更审批领导等,并根据变更事件影响范围的更新而重新评估通知细则。
第三十二条
经过审批的配置变更或布局变更,配置管理维护单位管理层应根据影响范围及通知细则提前发布变更通知,以便受影响管理方能够及时与可能影响到的有关各方联系确认,并提前通知有关各方预先做好准备。
第三十三条
为减少配置变更与布局变更对正常业务和工作的影响,变更实施应尽量安排在业务、工作的空闲时段进行。
第七节
定期审阅
第三十四条
技术的进步或系统、设备的升级可能引起配置基准的改变。信息技术处应根据设备或系统的升级情况决定是否更新配置基准。维护单位应定期对各类配置对象的配置基准进行评估(每年一次),形成《配置基准评估表》并提交管理层审阅。
第三十五条
若需发生配置基准的变更行为则应按照配置变更申请、审批流程执行。配置管理员在填写配置变更申请时,应详细说明该配置变更属配置基准的变更。配置基准的变更必需经过测试成功后方可实施。
第三十六条
为了防止配置管理人员有意或无意的对软、硬件的配置、基础架构布局的非法更改,应建立对配置清单、基础架构布局文档、配置变更记录、布局变更记录的年审机制,该年审工作应由配置监管人员执行。配置监管人应根据相关文档对真实情况进行检查,确保实际情况与相关文档的记录一致。
第三十七条
配置监管人员进行年审工作后应填写《基础架构变更年审表》,该年审表应说明相关文档与实际情况是否相符。若实际情况与相关文档不一致则应说明发生的原因与处理结果。
第八节
文档保存
第三十八条
在基础架构配置与变更管理过程中产生的所有文档,包括《配置基准》、《配置清单》、《基础架构布局相关文档》、《配置变更申请、审批表》、《布局变更申请、审批表》、《配置变更记录表》、《布局变更记录表》、《基础架构变更年审表》、《配置基准评估表》等均应该由配置管理单位指定专人进行统一管理,保留工作痕迹。
第九节
附则
第三十九条
本制度由省公司信息技术处负责解释和修订。
第四十条
本制度自发布之日起开始执行。
附件一
配置变更申请、审批流程
附件二
配置变更管理流程
附件三
配置变更申请、审批表
姓名
部门
处室
设备名称
设备编号
有效期至
变
更
需
求
栏申请方填写*
变更类型
平台软件
数据库¨
操作系统¨
路由策略¨
安全策略¨
补丁/升级¨
其它¨
硬件设施
CPU
¨
内存¨
硬盘¨
备份电源¨
HBA卡¨
网卡¨
光驱¨
磁带机¨
网络设备接口模块¨
其它¨
变更原因:
变更内容:
申请单位审批人:
结论:
审批时间:
变
更
分
析
栏变更方填写*
配置计划:
管理员:
时间:
影响范围:
管理员:
时间:
变更实施时间:
通知发布时间:
通知发布对象:
配置单位审批人:
结论:
审批时间:
附件四
布局变更申请、审批表
姓名
部门
处室
截止日期
变
更
需
求
栏申请方填写*
变更类别:设备增减¨
设备迁移¨
线路调整¨
拓扑变化¨
停电检修¨
其它¨
变更原因:
变更内容:
申请单位审批人:
结论:
时间:
变
更
分
析
栏变更方填写*
布局变更计划:
管理员:
时间:
影响范围:
管理员:
时间:
变更实施时间:
通知发布时间:
通知发布对象:
变更单位审批人:
结论:
时间:
附件五
配置变更记录表
编号:
设备编号:
变更时间:
管理员:
变更类型
数据库¨
操作系统¨
路由策略¨
安全策略¨补丁/升级¨
硬件资源¨
其它¨
变更结论
结论:
申请人:
时间:
配置变更审阅
变更审批
审批表的链接(或附件)
测试情况
若存在测试,提供测试报告的链接(或附件),否则无。
变更后文档
配置清单或设备维护档案的链接(或附件)
审核结论:
监管人:
审核时间:
附件六
布局变更记录表
编号:
结构文档号:
变更时间:
管理员:
变更类型
设备增减¨
设备迁移¨
线路调整¨
拓扑变化¨
停电检修¨
其它¨
变更结论
结论:
申请人:
时间:
配置变更审阅
变更审批
审批表的链接(或附件)
测试情况
若存在测试,提供测试报告的链接(或附件),否则无。
变更后文档
布局文档的链接(或附件)
审核结论:
监管人:
审核时间:
附件七
基础架构变更年审表
变更对象
变更类型
审阅结论
审阅时间
监管人
附件八
配置基准
一、路由器配置基准:
1、关闭不必要的服务
finger
bootp
tcp-small-servers
udp-small-servers
no
ip
proxy-arp
no
ip
http
server
2、远程访问的安全
使用SSH方式提供远程访问。在vty线路上不提供telnet协议的传输,路由器允许终端闲置的时间设置为5分钟。
3、口令加密
使用service
password-encryption启用口令加密。
使用enable
secret设置特权模式的访问口令。
4、snmp的安全
删除public访问串。
用访问控制列表限制使用snmp的范围。
5、端口的安全
在不可靠接口上输入no
ip
unreachables停止发送icmp不可达信息,避免路由器被DOS攻击。
在不可靠接口上应关闭CDP协议,关闭IP反向路由设置。
6、访问控制列表
使用访问控制列表技术进行访问控制,只允许指定的IP地址范围访问。
7、日志
设置外部的syslog日志服务器。
在网络设备上将日志发往该服务器,日志级别不低于notification。
8、AAA
设置外在的AAA服务器。通过该服务提供以下功能:
l
认证authentication,即确定访问者的身份。路由器的控制台登录和远程登录都要使用AAA提供的认证服务。在AAA服务器上为系统管理员和系统操作员分别设置用户账号。
l
授权authorization,对不同的访问者授予不同的访问权限。系统管理员账号可以执行修改设备配置的命令,而系统操作员只能执行查看设备状态的命令。
l
记帐accounting,记录访问者对网络设备进行的操作。
9、路由协议
网络设备上配置动态路由协议时要使用该路由协议所支持的最高级报文认证。见下表:
路由协议
认证方式
RIP
MD5
OSPF
MD5
EIGRP
MD5
IS-IS
MD5
BGP
MD5
二、防火墙配置基准:
1、
防火墙的缺省包过滤规则为允许,在调试过程完成,测试结束后,一定要将防火墙的默认允许,改为禁止。
2、
若防火墙的默认规则为全通的规则,请删除默认的安全规则,然后按照网络实际环境配置相应的安全规则,并且尽量不要设置地址和服务有ANY的规则,
3、
为了有效保护内网与防火墙自身的抗攻击能力,可以打开防火墙的抗攻击功能,(建议在网络流量大的情况下不会开此功能,会影响网络的处理速度)
4、
为了有效的保护内部的网络地址,并解决网络地址不足的问题,请尽量使用防火墙的NAT功能,把内网的ip地址转换成防火墙的公网地址后再访问外部网络。
5、
为了保证防火墙本身的主机安全,不要随意开启防火墙的远程SSH管理功能,建议使用WEB+HTTPS+密钥等有效的管理方法。
6、
为了分析防火墙的数据包记录日志,应将防火墙的包过滤日志信息记录下来,用于对事件分析。
三、数据库配置基准:
1、对于特权用户组的管理:
由于特权用户组的账户,如GID=0,可以进入超级用户所建立的用户组可写文件。未经许可的用户持有GID=0
,会增加敏感系统配置文件被更改或删除的风险。在Informix数据库的管理中,Informix用户组里的用户能够对数据库服务器空间进行管理,因此我们建议对Informix用户组的授权进行限制,只有被合理授权过的用户才能属于此用户组;
2、对于dba权限的限制
由于informix数据库没有专门的用户账号管理的内容,所以是通过数据库授权赋予操作系统账号对数据库的存取权限的方法来对Informix数据库进行访问,存在三个存取级别,dba,resource,connect。拥有dba权限的用户能够对数据库进行操作,因此不能合理赋予数据库用户的权限必将带来较大的风险。因此我们建议对数据库用户的权限进行限制,只有被合理授权过的用户才能拥有dba权限。系统中没有创建通用的用户/功能ID。同一个用户不能同时登陆多次。供应商使用的用户ID已被删除或禁用。
3、对于Informix的重要文件的保护
Informix的重要文件包括系统文件、安装文件以及数据库文件等,此类文件的未经许可访问会对数据真实性、有效性以及保密性带来风险。因此我们建议限制应用程序文件的访问,只有informix用户组的用户才应该有读、写、执行权限,其他用户有只读权限;
4、明确的职责分工
建议将Informix中操作与审计责任进行职责划分,即由不同的用户担任,实施明确的职责分工,例如制定用户组将DBSSO
(database
security
officer)
和DBAO
(database
audit
officer)进行执行职责划分;(如:$INFORMAIXDIR/dbssodir/seccfg
文件中ixuser=*
表示没有制定用户组)
安全管理员应该安排各种不同的角色对数据库进行管理。应该为不同类别的管理员分派不同的角色。可以通过以下命令分派角色:
create
role
rolename;
通过以下命令为对象进行特权授权:
grant
privilege
name
on
tablename
to
rolename;
通过以下命令为账号分配角色:
grant
rolename
to
username;
安全管理员应该为“Process”账号分配角色。每一种“Process”账号应该分配特定的角色。可以通过以下命令创建角色:
create
role
rolename;
可以通过以下命令为系统和对象建立特权:
grant
privilege
name
on
tablename
to
rolename;
可以通过以下命令为账号分配角色:
grant
rolename
to
username;
安全管理员应该为用户分配角色。每一种不同类别的用户应该分配不同的角色。可以通过以下命令分配角色:
CREATE
ROLE
rolename;
通过以下命令为系统和对象分配特权:
GRANT
privilegename
ON
tablename
TO
rolename;
可以通过以下命令为用户分配角色:
GRANT
rolename
TO
username;
5、权限访问控制
建议妥善赋予数据库对象的访问权限,不然会带来较大的风险,因此需要确认客户已经限制了数据库对象的访问权限,即将systabauth
系统表中的tabauth列设为小写字母,表示不具备数据库对象的访问权限;
建议将系统表sysprocauth中的procauth
列设置为小写字母“e”,即限制被授权人持有对存储过程和触发器的执行权,以借此来授予他人该权限;
建议为数据库的应用程序文件进行合理的用户权限设置,确认只有组内用户才拥有对数据库的应用程序文件进行读和运行的权限。
6、系统安全设置
在Informix中没有关于如下方面的固有控制,因此必须在操作系统层面对以下方面进行控制:
a.
最小密码长度;
b.
保证用户使用非空的密码,且密码具备一定的复杂程度;
c.
强迫用户在特定时间后更改密码;
d.
如果连续几次失败登陆后,自动将账号锁死。关于失败登陆的记录应该在操作系统层面被记录,并有系统管理员定期进行审阅这些记录,查看是否存在异常;
e.
安全管理员应该与系统管理员和数据库管理员一起决定,在对系统进行管理过程中应该使用哪些服务/设施
(例如isql,),不需要的服务/设施应该及时删除。且应该对这些需要的服务/设施进行安全方面的考虑,确认只有授权的人员可以使用这些服务/设施。安全管理员应该定期审阅谁曾经访问过功能比较大的服务/设施,确定是否该访问是必需的。
一般的,如下文件不应该是所有用户都可执行的:
·
onstat
-
显示共享的存储和服务空间的统计数据;
·
oncheck
–
检查并修订磁盘空间;
·
onmode
–
变更一个IDS服务空间的操作模式;
·
onlog
–
逻辑日志调试工具;
·
oninit
–
初始化并启动数据库空间;
·
onspaces
–
配置数据库space和chunk;
·
onparms
–
设置日志。
7、安全监控方面
系统管理员应该建立警报策略,以确保在出现以下事件时能够及时通知操作人员或数据库管理员:
·
创建表失败(Table
failure);
·
创建索引失败(Index
failure);
·
二进制大对象失败(Blob
failure);
·
Chunk
离线,mirror处于激活状态:%ld
(Chunk
is
off-line,mirror
is
active:
%ld
(chunk
number));
·
数据库空间离线(DBSpace
is
off-line);
·
内部子系统失败(Internal
Subsystem
failure);
·
数据库服务空间初始化失败(Database
server
initialization
failure);
·
物理修复失败(Physical
Restore
failed);
·
物理恢复失败(Physical
Recovery
failed);
·
物理恢复失败(Logical
Recovery
failed);
·
不能打开Chunk
(Cannot
open
Chunk:
‘%s’
(pathname));
·
不能打开数据库空间(Cannot
open
Dbspace:
‘%s’
(dbspace
name));
·
性能提升(Performance
Improvement
possible);
·
数据库失败(Database
failure.);
·
可用很高的数据复制失败(High-availability
data-replication
failure.);
·
档案文件异常(Archive
aborted);
·
日志备份异常(Log
Backup
aborted);
·
逻辑日志满了—需要备份(Logical
Logs
are
full
--
Backup
is
needed);
·
数据库服务空间资源溢出(Database
server
resource
overflow);
·
长期交易检查(Long
Transaction
detected);
·
逻辑日志完成(Logical
Log
Complete);
·
不能分配存储空间(Unable
to
Allocate
Memory)。
b.
启动事件日志(例如对于关键数据库表的访问的审计痕迹)。每天对事件日志进行审阅。
c.
数据库管理员应该定期监控数据库。(可以通过使用
onstat,或者
oncheck
、
onlog等命令)
·
检查消息日志:一些至关重要的信息可能来自消息日志,如防火墙的安装,逻辑日志的备份,或者服务器崩溃。
·
检察系统状况(内存,硬盘和输入输出利用率):
系统状况体现了系统活动状态,例如显示资源缺乏或一般的性能统计。通过检查系统状况,可以帮助确定引起系统问题的性能因素。
·
检查输入输出队列活动:如果系统中产生了输入输出队列,就会有传输的瓶颈。当数据从物理磁盘之间传输过程中不能达到预期的传输速度就会产生传输队列。可以通过使用onstat
-g
ioq
命令为每一个虚拟处理器(VP)监控这些队列。该命令的输出结果显示了每一个能够进行异步传输的VP的传输请求队列的统计结果。该结果中有两个重要的列:len和maxlen。Len是指当前队列的长度,maxlen是指在服务器开启后或上一次onstat
–z操作后的最大队列长度。如果maxlen
是两位数,传输请求就需要排队,这样就会引起性能的降低。
·
检查CPU队列活动:如果用户线程需要排队通过CPU的虚拟处理器处理,就会出现CPU的瓶颈。当准备运行一个线程时,所有的CUP虚拟处理器都在执行其他的线程,就会产生CPU队列,。这种队列可以通过以下命令来监控onstat
-g
rea。该命令的运行结果显示所有准备启动的,但是需要排队等候执行的用户的线程。
四、操作系统配置基准:
UNIX系统:
1、
系统闲置时间设置:
建议针对IBM
AIX、HPUX小型机操作系统的和服务器SCO
UNIX系统中设定统一的系统进程最大闲置时间,并对最大闲置时间的大小做出规定:TIMEOUT
/
TMOUT
100,用户GID>100,小于100的保留给系统使用;
·
通用账号应被禁用;
·
不使用的默认系统账号应禁用;
·
无需授权的账号不允许被使用;
·
已离职的员工账号及时删除或禁用;
·
第三方服务商技术支持账号应禁用,仅在需要时临时开启;
·
控制shadow
password文件的访问权限;
·
新账号应有唯一的初始密码,第一次使用新账号时应立即修改该密码,密码以安全方式发布;
·
密码应不易猜测,具有一定复杂度
·
密码组成:
a.
4
=
1
c.
Minalpha
>=
1
d.
Minother
>=
1
e.
mindiff
>=
1
f.
maxrepeats
<=
2
3、
超级用户账号管理:
·
只有root
UID
=0;
·
root
的路径不能包括当前的工作目录;
·
应该限制root用户的远程登录;
·
组内的特权用户(GID=0)应被适当查看;
·
只允许前台(console)进行root登录,root用户的登录应包含以下命令行:telnet
=
false;rlogin
=
false。
4、
Unix操作系统配置管理:
·
对于Umask的控制,建议设置为‘027’;
·
限制SUID和SGID程序的使用;
·
所有的shell都必须在/etc/shells文件中列出;
·
建议操作系统为所有world-writeable的目录都设置粘贴位
(“T”);
·
建议只有root用户才有权使用at或batch命令;
·
crontab命令的权限只授权给必须使用该命令的用户;
·
在/etc/ftpusers文件中加入允许使用ftp得用户列表;
·
不要通过hosts.equiv文件来建立信任;
·
建立定期对重要文件权限进行检查的机制;
·
建议检查所有的网络服务配置,所有不必要的网络服务配置从/etc/inetd.conf文件中删除;
·
除非必须,否则建议移除所有以r开头的命令和以.rhosts结尾的文件;
·
只在需要的情况下开启telnet
daemon;
·
禁止后台程序finger的使用;
·
检查本机是否真的需要ftp服务,如果不需要,应禁止使用这个服务
·
禁止后台程序tftp、rexec的使用;
·
禁止UUCP协议的使用;
·
系统中同磁盘、存储、磁带和网络文件要设置为644;
·
下列文件的权限位将为555(r-x
r-x
r-x:),以保护下列系统程序:
-
/usr/sbin/mount
-
/usr/sbin/acct/acctcom
-
/usr/sbin/login
·
下列文件的访问级别存在适当的安全保护:
-
/etc/security/.ids
-
/etc/security/login.cfg
-
/etc/group
-
/etc/security/group
-
/etc/passwd
-
/etc/security/passwd
-
/etc/passwd.dir
-
/etc/security/user
-
/etc/security/environ
-
/etc/security/limits
-
/etc/security/mkuser.default
-
/etc/security/failedlogin
·
检查RPC系列的服务,如果不是必须的,那么就把它们移除。
5、
操作日志的访问权限和定期检查:
·
建议制定日志定期察看制度,从日志文件中挑选一些重要的信息定期进行察看,如对“sulog、loginlog、syslog”等系统的日志文件定期进行查看(如每晚察看),对其他重要文件例如password文件的用户账号列表定期查看(如每月察看一次);对察看结果进行书面的记录;
·
日志文件是提供系统审计跟踪痕迹的重要手段,如果日志文件对所有用户都是可操作的,那么入侵者就会删除日志文件上他所留下来的痕迹;建议系统日志文件和用户登录日志文件的许可权限都要恰当地设置,通常重要的日志文件最好将其权限设置为“600”(即-rw-------),日志文件的保留周期至少3个月。
Windows
2000操作系统:
1.
Windows策略制定:
系统设定
建议设置
1.
最短密码长度
至少为6字符(包括字母及数字)
2.
最长密码使用周期
最大值为90
天
3.
最短密码使用周期
最小值为
2
天
4.
密码历史记录
至少为
4次
5.
账户锁定
最多为5
次登录失败后锁定该账号
6.
自动注销时间
至少为30分钟
7.
锁定持续时间
永久
审计功能
启用
重启和关机
(Restart
and
Shutdown)
成功或失败
登录和注销
(Logon
and
Logoff)
成功或失败
文件/目标访问(File/Object
Access)
成功或失败
安全策略改变(Security
Policy
Change
s)
成功或失败
备份及使用备份恢复
成功或失败
2.
Windows共享文件夹:建议撤销不需要设置为网络共享的文件夹的共享权限,同时对于共享的文件夹加强访问控制,按照实际的需要进行授权。定期更新紧急修复磁盘的流程。取消非系统默认共享文件夹。删除了默认的管理员共享。限制使用FTP。动介质要被默认,不可以通过网络访问。
3.
Windows用户管理:
·
建议设置用户密码的过期时间,一般为三个月(90天);
·
所有用户必须设定密码,并允许用户更改其密码;
·
定期审阅用户情况,删除从未登录或超过90天未登录的用户。
附件九
配置基准评估表
评估人
评估时间
数据库
操作系统
路由器
防火墙
安全网关
结论:
总22页
第22页
篇2:钢铁有限责任公司设备变更管理制度
钢铁有限责任公司设备变更管理制度 本文关键词:有限责任公司,变更,管理制度,钢铁,设备
钢铁有限责任公司设备变更管理制度 本文简介:吉林建龙钢铁有限责任公司制度编码:BW-WD00-008-A/0制度页数:共12页设备变更管理制度编制:高振江审核:李春东核准:齐广堆主办单位:设备处发布日期:2008年08月20日生效日期:2008年08月20日第一章总则第一条目的建立统一的设备变更程序,确保在设备变更过程中的各环节符合规范要求和
钢铁有限责任公司设备变更管理制度 本文内容:
吉林建龙钢铁有限责任公司
制度编码:BW-WD00-008-A/0
制度页数:共12页
设备变更管理制度
编
制
:高振江
审
核
:李春东
核
准
:齐广堆
主办单位:设备处
发布日期:2008年08月20日
生效日期:2008年08月20日
第一章
总
则
第一条
目的
建立统一的设备变更程序,确保在设备变更过程中的各环节符合规范要求和便于审查。确保发生变更的设备系统在安全、健康、环境方面不受影响。确保在发生设备变更后有关规程、档案得到及时修改,相关人员得到培训和教育。
第二条
适用范围
适用于吉林建龙钢铁有限责任公司所有设备或设施的永久性变更或暂时变更和紧急变更。
第三条
引用标准
本制度执行国家、行业的各类技术规范,及本厂各类检修、运行规程和规章制度。
第四条
专用术语定义
永久变更:任何不属于暂时变更的变更,都是永久变更。
暂时变更:
指仅仅维持在一段限定或指定时间内的变更。暂时变更是以试验的方式实施,或是为了在永久变更实施之前,或在永久变更准备好之前,确保安全运行而采取的变更。暂时变更包括设备的测试、因未有指定的设备而需短期偏离常规,以及其它属暂行性质的变更。要使暂时变更成为永久变更,必须完成永久变更的流程。
紧急变更:
紧急变更是一种必须立即做出的暂时变更,目的是确保员工的安全,保护环境不受污染,确保设备安全运行及设施不受意料之外或突发情况的影响。紧急变更的审核没有永久变更的审核详细,但仍需要基本的风险评估。只要完成永久性变更规定的变更流程,便可使紧急变更成为永久变更。
临时性调整:
短时间内的调整或在做出永久性调整之前的调整。
恢复至调整前状态:
在原调整计划日期届满或原调整执行原因消失时,必须恢复所有调整,把包括所有文件、警告标识、图表和其他调整遗留问题在内的设备或系统恢复至原始状态。
新永久性调整的实施:
如果现行临时性调整被永久性调整代替,必须把所有临时性调整的影响予以消除,并完成暂时变更管理程序。
将临时性调整定为永久性调整:
如果需要保持到期的临时性调整,必须由负责执行永久性调整的部门审查批准,完成永久性变更管理流程。
变更申请的发起:
变更申请必须有具体的变更对象。
第二章
流
程
第五条
本程序旨在提供一个系统地跟踪变更工作进展的框架和指南。包括四个阶段:确认和发起、审查和批准、实施、结束。
确认和发起
在确认需要对设备或实施进行永久性或暂时和紧急变更,以便更好地确保安全、健康,保护环境不受污染,变更发起人应当以调查问卷的方式对变更进行意见采集。
在确认变更需要后,变更发起人应当填写变更申请表,由所属部门负责人签发,将调查问卷及变更申请表一并转至工程设备处。如果是紧急变更,可直接通知工程设备处立即指定变更负责人,进行变更的审查工作,稍后提交调查问卷及申请表。
审查和批准
在收到变更申请表后,变更负责人,负责收集详细的有关情况并执行总体审查工作(1级审查)。
如果通过1级审查,工程设备处负责人认为变更不大、简单并且危险很小,就将变更审查表提交生产副厂长审议批准。
通过1级审查,如果工程设备处负责人认为变更复杂、牵涉其他部门并且危险系数比较高,就应当通过生产副厂长组织相关生产部门进行2级审查。如不需要2级审查可进行变更实施程序。
如果变更审查表未获生产副厂长批准,由工程设备处负责人及变更负责人把情况向相关人员说明。
在需要2级审查的情况下,工程设备处负责:
根据风险级别安排进行简易的或综合的风险评估。
向厂部进行详细的解释说明。
变更负责人应当提供变更方案、培训要求和成本分析情况说明。
审查通过后,将有关文件(或报告)妥善保管以备审查之用。
实施
设备变更都要经过厂领导批准后方可实施。
设备变更负责人履行授权程序,完成变更授权表,然后付诸实施。
根据厂部相关授权指定变更的执行人员(一般为工程设备处主管或点检员),并向其提供相关变更方案、培训要求和成本分析情况说明。
执行人员必须确保完成以下事项:
收集全部的设备变更资料,如申请表、授权表、变更方案、图纸、手册等。
按规定执行变更。
向相关各方交换进度信息。
设备变更实施完毕后填报竣工报告(如制图、测试报告等),并报送变更负责人。
结束审查
在设备变更实施完成后,变更负责人应当确保以下事项的完成符合有关规定:
操作指南的更新、维护规格要求、变更资料及制图等。
与相关各方交换信息并进行宣传。
在必要时组织相关培训。
完成设备变更结束审查表并签字。
设备变更申请表的作用在于控制整个变更过程。由工程设备处把每一份变更申请表编上序列号码以便审查。表格原件由工程设备处保存,把完整的设备变更工作记录副本存放在厂部资料室或档案室存档。工程设备处经理负责对各项变更进行审查,评估变更效率,确认进展情况并分析是否达到预期的目的。
第六条
职责
设备变更管理制度负责人:工程设备处处长
负责设备变更全过程管理,完成变更项目的2级审查,对本厂设备变更工作每年集中检查一次。对本厂年度内所发生的设备变更在安全、健康、环保方面以及经济性情况进行评估,每年一次。
批准设备变更的执行程序和操作规则,解决该制度在执行过程中出现的各种问题,每年一次。
对本制度实施效率进行定期审查。
设备变更管理制度执行人:工程设备处专业工程师
负责本制度的实施,完成对设备变更项目的1级审查。
向员工推广本制度,审查设备变更各类技术资料、人员培训、规程制度的修订情况。
协调该制度与其它制度在执行过程中出现的各种问题。
在发生设备变更情况时对流程和操作进行审查并提出修改意见。
把设备变更申请和变更详细情况登记并存档
。
所有相关人员
变更发起人
通过审阅变更事项后,确保变更在安全方面符合相关规定。
填写变更申请表。
由部门领导签发后转至工程设备处。
工程设备处经理
执行设备变更2级审查。
指定变更负责人
变更负责人
全程负责变更的审查、授权、执行和结束工作。
与所有与变更有关的人员/部门交换信息。
在必要时组织相关的培训。
第七条
检查与评价
各生产部门负责人应经常检查本部门设备变更管理制度的执行情况,每个季度应对设备变更工作进行集中检查一次,并将检查结果填写在《永久变更检查评价表》(见附录5)中,报设备技术对应专业技术主管进行评价,无对应专业技术主管时由设备技术部经理负责评价。设备技术部评价人在《设备变更检查评价表》上要对已完成的设备变更提出评价意见,由设备技术部经理汇总整理后,送交厂领导审核,并由设备技术部负责将最后所有评价结论、审核意见反馈到各部门负责人和评价人中。
第八条
反馈
本制度应根据各生产部门的反馈意见由制度负责人进行修订、完善。
第九条
附则
本设备变更管理制度解释、修订权属于吉林建龙钢铁有限责任公司。
本设备变更管理制度自下发之日起试行。
附录:设备变更管理制度检查与评价表
序号
评价内容
评价
1
设备变更的发起是否符合制度的要求,是否能够提高“安、健、环”或者其中之一
是
否。原因:
2
设备变更的审批是否符合制度的要求,审批程序是否合理
是
否。原因:
3
设备变更的结果是能达到预期的目的或有助于提高经济效益
是
否。原因:
4
设备变更是否有按管理制度规定的程序进行
是
否。原因:
5
每位有关人员是否清楚各项设备变更,并得到相应的培训和技术资料
是
否。原因:
6
每位员工对设备变更的意见是否能够及时、准确反映到变更负责人或厂部
是
否。原因:
7
设备变更执行中或实施后是否存在影响安全、健康、环保现象
…
…
8
是否存在其它不符合本制度要求的事项?
是
否。原因:
存在问题及改进建议
存在问题:
1.
2.
3.
改进建议:
1.
2.
3.
评价意见:
审核意见:
篇3:董店乡郜庄村委香葱种植变更项目申报书
董店乡郜庄村委香葱种植变更项目申报书 本文关键词:变更,种植,庄村,项目申报,董店乡郜
董店乡郜庄村委香葱种植变更项目申报书 本文简介:河南省扶贫开发到户增收试点项目申报审批表项目名称睢县董店乡郜庄村香葱种植项目项目单位(签章):睢县董店乡郜庄村批准单位(签章):睢县扶贫办睢县财政局批准日期:一、行政村基本情况行政村名称郜庄村是否实施过整村推进否自然村数(个)2村民小组数(个)4总户数(户)248总人数(人)985劳动力数(人)76
董店乡郜庄村委香葱种植变更项目申报书 本文内容:
河南省扶贫开发到户增收试点项目
申
报
审
批
表
项
目
名
称
睢县董店乡郜庄村香葱种植项目
项
目
单
位(签章):睢县董店乡郜庄村
批
准
单
位(签章):睢县扶贫办
睢县财政局
批
准
日
期:
一、
行政村基本情况
行政村名称
郜庄村
是否实施过
整村推进
否
自然村数(个)
2
村民小组数(个)
4
总户数(户)
248
总人数(人)
985
劳动力数(人)
760
上年外出务工人数
512
建档立卡贫困户数(户)
156
建档立卡贫困人口数(人)
456
享受低保户数(户)
43
享受低保人数(人)
45
行政村是否通路
是
通公路的自然村数
2
饮水困难的自然村数
0
参加农民专业合作
经济组织户数
0
上年村级集体经济收入(万元)
0
上年农民人均纯收入(元)
2200
二、项目可行性研究信息
(一)项目基本情况
项目名称
睢县董店乡郜庄村香葱种植项目
项目覆盖农户数
100
项目起止时间
2014.1—2015.1
项目联系信息
联系人
郜富生
联系电话
13503401332
项目拟投入资金(万元)
40
其中中省财政扶贫资金(万元)
40
市级财政
(万元)
县及县以下财政(万元)
社会资金(万元)
(二)项目概况
当地自然条件和资源状况
睢县位于河南省中东部,境域在东经114°50′—115°12′,北纬34°12′—34°34′之间,气候属于温带大陆性季风气候,年平均气温14℃,年降水量701毫米,年光照2236小时。春季温暖大风多,夏季炎热雨集中,秋季凉爽日照长,冬季寒冷少雨雪等气候特点,无论气候和土壤条件都特别适宜香葱的生长和栽培,是国内最好的种植基地之一。据山东鲁蒙食品有限公司公司质检部门化验报告,睢县地产香葱品质极佳,市场价格高出普通产地的二倍多,郜庄位于睢县县城东北15公里,该村有耕地面积1132亩,人均耕地面积1.3亩,土壤肥沃,水资源丰富,并且水、电、路、通讯等基本设施均一应俱全,有着种植香葱良好条件。
当地经济发展状况
经过产业引导发展,全村香葱种植已初步形成规模,带动全村30%以上的富裕劳动力就业,月收入均在1500元以上,该村农民人纯收入2200元。
当地基础设施条件
该村是贫困村,2006年国家农业综合开发项目区,并进行土地综合治理,为该区发展产业项目提供了有力的运输条件和基础灌溉条件,同时该村积极推广农业产业机构调整,目前已经流转土地240余亩,为发展种植项目提供了土地保障。
当地发展制约因素
一、当地群众发展产业积极性很高,但是缺乏发展产业的启动资金;二、当地群众发展产业缺乏技术.人才带动,缺乏明确的产业发展方向,缺乏对市场行情的有效把控。
当地主导产业发展状况
当地群众有发展香葱种植的优良传统,目前有40余户散户发展规模不足120亩的香葱种植项目,规模普遍不大,效益不是十分明显。
项目市场前景
近年来,香葱系列产品在市场上走俏,平均每亩收入香葱7500公斤6000元,去除肥料、人工、农药等费用,每亩纯收入4000多元,市场前景非常乐观。
项目产品销售渠道
产品计划通过订单销售的模式。睢县豫芳蔬菜种植专业合作社与睢县帝丘农业发展有限责任公司常年合作,签订有产品收购协议,产品销售有保障。只要采用规范化生产、科学化的管理,强化质量监督,市场销售不存在问题。
项目建设内容
共扶持贫困户及低保户100户,采购价值40万元的香葱种苗,推广香葱种植面积200亩。
项目资金预算
根据市场行情,项目总投资32万元用于购买直径0.8--1.2公分,径长15-20公分的香葱种苗,每户补贴4000元(申请财政资金)
财政资金扶持(补贴)办法
本项目计划扶持100户扶贫户及扶贫低保户,每户补贴财政扶贫资金4000元,由村委委托县采购中心采购香葱种苗,县扶贫办、县财政局负责监管,参与项目户每户发放价值4000元的香葱种苗,经验收合格后,资金拨付到供货商账户。
项目生产技术及负责人
项目生产技术依托睢县豫芳蔬菜种植专业合作社,派睢县豫芳蔬菜种植专业合作社技术专家石广文、薛德林、全程对项目进行指导。
项目实施的组织和进度安排
1、5月—6月;选地育苗
2、7月—8月;对工作人员进行技术培训完毕。
3、9月—10月;开始种苗移栽。
(三)项目效益
扶贫效益
项目实施以后,可有效带动郜庄及周边村委群众积极开展香葱种植,香葱种植成为郜庄村的经济支柱产业,香葱种植也成为当地群众收入的主要经济收入来源。项目建成后,可扶持贫困户100户,贫困户每人每年通过香葱种植可增收2000元以上,稳定实现发展1户,脱贫1户。增收79.2万多元,使334人脱贫。辐射带动132户,543多人走上致富道路。
社会效益
我们通过郜庄香葱建设项目的实施,可充分发挥农村闲置劳动力就近务工,避免因为外出务工引起的农村留守儿童问题,同时由于大多数年轻人愿意在家发
展也增强了基层政权建设,能有效带动当地及周边群众脱贫致富,大幅度提高群众收入。
生态与环境
效益
通过豫芳蔬菜种植专业合作社的正确引导和科学管理,香葱种植面积逐年扩大。香葱的种植,改变了传统农业种植方式,促进了本地农业可持续良性发展。
三、项目农户基本信息
单位:元
户主姓名
家庭人口(人)
产业基础
预计增收
财政补助资金
社会资金
资金投入合计
栗彦同
4
4000
4000
4000
4000
王素真
4
4000
4000
4000
4000
黄国真
3
4000
4000
4000
4000
梁树荣
3
4000
4000
4000
4000
黄锦德
5
4000
4000
4000
4000
翟秀真
5
4000
4000
4000
4000
黄锦汉
4
4000
4000
4000
4000
蒋秀敏
2
4000
4000
4000
4000
宋汉真
4
4000
4000
4000
4000
黄锦良
5
4000
4000
4000
4000
黄汝利
3
4000
4000
4000
4000
蒋志国
2
4000
4000
4000
4000
郜富良
5
4000
4000
4000
4000
陈秀勤
4
4000
4000
4000
4000
栗中启
3
4000
4000
4000
4000
郜富生
4
4000
4000
4000
4000
郜国启
4
4000
4000
4000
4000
黄锦中
4
4000
4000
4000
4000
栗丙生
5
4000
4000
4000
4000
黄业光
4
4000
4000
4000
4000
栗中亮
3
4000
4000
4000
4000
卢新生
2
4000
4000
4000
4000
栗丙中
2
4000
4000
4000
4000
卢新领
5
4000
4000
4000
4000
栗彦升
4
4000
4000
4000
4000
郜心民
3
4000
4000
4000
4000
郜心世
3
4000
4000
4000
4000
孙满想
3
4000
4000
4000
4000
黄继光
5
4000
4000
4000
4000
黄汝祥
5
4000
4000
4000
4000
王永顺
2
4000
4000
4000
4000
郜心会
2
4000
4000
4000
4000
郜宝玉
2
4000
4000
4000
4000
黄汝林
3
4000
4000
4000
4000
皮广永
4
4000
4000
4000
4000
胡秀玲
4
4000
4000
4000
4000
郜新涛
3
4000
4000
4000
4000
王振海
4
4000
4000
4000
4000
黄锦山
3
4000
4000
4000
4000
栗海州
3
4000
4000
4000
4000
胡军涛
4
4000
4000
4000
4000
栗彦诗
4
4000
4000
4000
4000
卢玉杰
4
4000
4000
4000
4000
张秀勤
4
4000
4000
4000
4000
马玉兰
5
4000
4000
4000
4000
胡军生
4
4000
4000
4000
4000
黄锦中
4
4000
4000
4000
4000
蒋正啟
3
4000
4000
4000
4000
栗亚威
4
4000
4000
4000
4000
黄汝红
4
4000
4000
4000
4000
孙德荣
2
4000
4000
4000
4000
黄汝生
5
4000
4000
4000
4000
王治安
4
4000
4000
4000
4000
郜友治
2
4000
4000
4000
4000
栗玉贵
3
4000
4000
4000
4000
胡志启
4
4000
4000
4000
4000
余方连
3
4000
4000
4000
4000
栗世永
2
4000
4000
4000
4000
卢新宣
5
4000
4000
4000
4000
栗彦林
2
4000
4000
4000
4000
王永章
2
4000
4000
4000
4000
张士国
3
4000
4000
4000
4000
郜心同
4
4000
4000
4000
4000
皮涛
3
4000
4000
4000
4000
尤培玲
2
4000
4000
4000
4000
栗信勇
4
4000
4000
4000
4000
卢新学
2
4000
4000
4000
4000
栗丙占
2
4000
4000
4000
4000
栗随中
3
4000
4000
4000
4000
蒋俊举
5
4000
4000
4000
4000
张振江
2
4000
4000
4000
4000
张振兵
2
4000
4000
4000
4000
栗随丽
3
4000
4000
4000
4000
郜卫星
2
4000
4000
4000
4000
黄锦国
3
4000
4000
4000
4000
刘初玲
4
4000
4000
4000
4000
郜得体
2
4000
4000
4000
4000
黄锦喜
2
4000
4000
4000
4000
黄汝民
3
4000
4000
4000
4000
王永生
3
4000
4000
4000
4000
黄汝涛
4
4000
4000
4000
4000
黄孝先
3
4000
4000
4000
4000
黄汝红
5
4000
4000
4000
4000
黄玉民
2
4000
4000
4000
4000
黄锦成
3
4000
4000
4000
4000
栗文华
2
4000
4000
4000
4000
栗中锋
4
4000
4000
4000
4000
黄业涛
3
4000
4000
4000
4000
蒋朋举
3
4000
4000
4000
4000
蒋正亚
4
4000
4000
4000
4000
蒋海涛
2
4000
4000
4000
4000
黄培林
3
4000
4000
4000
4000
郜卫东
4
4000
4000
4000
4000
郜新河
2
4000
4000
4000
4000
郜友良
4
4000
4000
4000
4000
王秋生
3
4000
4000
4000
4000
郭文华
2
4000
4000
4000
4000
王振军
5
4000
4000
4000
4000
张勤芝
3
4000
4000
4000
4000
刘景荣
3
4000
4000
4000
4000
合计人数
334
合计万元
40
40