银行中心机房管理办法.doc

资源描述

1、xx银行中心机房管理办法xx总发xx253号附件1，xx年11月21日印发第一章总则第一条为规范我行中心机房运行管理工作，防范运行风险，确保中心机房安全、稳定运行，据有关法律、法规和本行有关规定特制定本办法。第二条本办法所称中心机房、主机、网络是指位于本行中心机房内担负全行实时业务处理的主机、数据库和中心网络系统。第三条本行灾备机房的相关运维管理参照本办法执行。第二章组织与职责第四条中心机房运行管理的职能部门为科技部，科技部在xx银行中心机房管理中的主要职责包括：（一）维护管理科科长：1、负责中心机房的数据库、系统、网络等的维护管理工作；2、负责审批监督各类机房变更操作；3、审阅

2、运维月报。（二）运行管理科科长：1、负责中心机房的运行管理工作；2、负责审批监督各类机房变更操作；3、审阅运维月报。（三）系统管理员： 1、负责系统的运行维护、管理和监控；2、运维监控管理系统的运营管理；3、运维审计系统的运营管理；4、备份系统管理。（四）网络管理员：1、网络、安全产品的运行维护、管理和监控；2、逻辑访问控制；3、日志系统运营管理；4、网站安全管理。（五）应用管理员：1、应用系统的运行维护、管理和监控；2、负责机房变更实施。（六）机房值班人员：1、机房日常运行处理；2、机房运行监控；3、机房7x24小时值班；4、负责服务中心电话接听；5、负责事件处理的接待、处理和流转。（七）数

3、据库管理员：数据库的运行维护、管理和监控。（八）网点维护员（机房管理员）：1、负责中心机房的机房环境巡检；2、负责机房信息科技基础设施的维护、管理和监控工作。第三章监控管理第一节监控范围第五条应该对信息系统的基础环境进行监控，基础环境包括但不限于机房的温湿度、消防、防水、空调、电力等环境状态。第六条应该对信息系统的系统性能进行监控，系统性能包括但不限于服务器的CPU，内存，硬盘等进行监控。第七条应该对信息系统的日志进行监控，日志包括但不限于应用层、服务器、数据库、网络等的交易日志和系统日志。第八条应该对信息系统的网络状态进行监控，网络状态包括但不限于防火墙、路由器、交换机、入侵检测

4、系统、入侵防御系统等设备的状态。第九条新系统上线前，须确定适用的监控工具及监控内容，制定具体监控策略，并提交运维中心实施。第二节信息系统基础环境监控第十条基础环境的监控包括但不限于机房的温湿度、消防、防水、空调、电力等环境状态，具体流程参见xx银行主机房物理安全管理办法。第三节信息系统性能监控第十一条系统管理员负责建立对信息系统运行状况的全面监控机制，通过人工检查或自动化监控系统对系统的性能、流量和安全等进行监控。第十二条利用自动化监控系统进行监控时，须开启发现异常自动报警的功能。第十三条利用人工检查进行监控时，必须按照既定的监控流程进行检查，填写中心机房运行监控日志。第十四条

5、系统管理员每月总结日常监控工作，包括监控工作执行情况、系统的性能、流量和安全等方面的情况及异常发现，并将总结内容合并入运维月报。第四节信息系统日志监控第十五条信息安全管理员须按照xx银行信息系统日志管理办法内的规定进行日志监控和核查，并做好相应记录。第五节网络监控第十六条网络管理员负责合理设置防火墙，路由器、交换机、入侵检测系统、入侵防御系统等网络设备的监控策略。第十七条建立监控策略，对网络性能和设备运行情况进行监控，统计CPU占有率、内存占有率、数据转发等监控参数，并监测数据中心核心设备与各分区汇聚设备、链接、链路总流量及各业务系统流量，在超出阈值时自动报警。第十八条对网络流量进

6、行持续的监控，对异常流量进行识别、分析并采取相应的措施，如异常流量的源头分析、清洗等措施。能够按照常见的攻击特点侦测异常的网络活动。第十九条建立网络管理监控平台，自动响应网络安全事件，包括控制台报警，记录网络安全事件的详细信息，并提示系统信息安全管理员采取一定的安全措施。第二十条设置合理阈值，确保既不影响网络系统的正常运行，又能够及时发现网络安全事件。确保网络监控设备被合理的使用，禁止监控工具的滥用。第二十一条网络管理员每月总结日常网络监控工作，包括监控工作执行情况、网络性能、设备运行、入侵检测等方面情况及异常发现总结，并将总结内容合并入运维月报。第六节运行监控第二十二条机房值班人员

7、须根据运行操作手册，通过数据中心各监控系统及人工巡检，对各类应用系统及基础设施等运行状况进行监测，及时发现潜在安全隐患。巡检结果记录在中心机房运行监控日志，如发现问题，应及时处理或通知相关责任人，并上报上级。第二十三条如巡检、监控工作内容变更，运行管理科科长应及时组织更新运行操作手册和中心机房运行监控日志。第七节监控异常处理第二十四条对于发现的事件，必须根据xx银行信息科技事件及问题管理办法进行解决处理，必要时上报科技部相关负责人。第二十五条对于发现的重大的或频繁发生的事件，必须根据xx银行信息科技事件及问题管理办法上升为问题进行问题分析，以便及时采取适当的解决措施。第四章运行管理第

8、一节运行操作管理第二十六条我行中心机房值班人员负责接听并记录分支行、相关部室上报的事件，并职责范围内的事件，将处理结果记录在事件单中。对职责外的事件或不能解决的事件及时提交给事件管理员，同时负责做好事件处理结果的跟踪回访工作，具体流程参照xx银行信息科技事件及问题管理办法。第二十七条对事件处理过程中发现的各生产系统问题须进行详细记录、逐级上报，并对流转的事件单督促相关技术人员尽快解决。第二十八条确保技术服务热线电话线路畅通，接听电话时须使用规范用语。须对分支机构提出的业务咨询做好登记、流转、跟踪与回访工作。第二十九条机房值班人员须严格按照标准操作流程完成日常工作内容，如：特殊业务处理

9、、生产系统运行监控、生产系统日终批处理等。第三十条机房值班人员不得擅自离岗，严禁在运行监控室内任何计算机上做与工作无关的事。第三十一条应用管理员在进行业务操作时，须对原有数据进行备份，并按照业务处理流程进行双人操作复核；操作完成后须及时退出登陆。对无操作文档或操作流程不清的业务处理单，应用管理员有权拒绝投产。第三十二条数据库管理员对数据库进行操作时，须采用菜单或脚本的维护方式。如遇特殊情况需要在数据库中直接进行操作时，须先对原数据内容进行完整备份，在确认操作结果正确后，方可将备份数据删除。第三十三条运行管理科、维护管理科、综合安全管理科长负责各自辖内科室的审核、审批工作，同时，运行管理

10、科负责在事件处理过程中协调运行、维护、开发科相应的人员调配。应当参照xx银行信息系统版本管理办法完成投产工作，各项业务须做到操作流程有单可查，处理过程双人复核，针对数据的操作须先备份后处理，严禁无业务单或无处理流程的任何操作。第三十四条机房设备上、下架、位置变更及配置变更实施，须严格按照变更流程执行。机房值班人员负责对实施过程及结果进行确认，严禁对申请单以外的机柜及设备进行任何操作。第二节值班管理第三十五条 xx银行数据中心执行24小时双人值班制度，以保证对各类应用系统及基础设施的运行实施7x24小时监控。值班人员不得擅自脱岗，须暂离岗位时，应在安排好替班人员后方可离开。第三十六条机房值

11、班人员须严格按照操作流程进行生产系统日终批处理，将完成情况填入中心机房运行监控日志。第三十七条遇雨雪等天气，须密切关注运行监控室的天棚有无漏水现象，发现异常现象立即上报，并及时进行现场处理。第三节运行安全管理第三十八条生产系统密码由密码管理员掌握，机房值班人员登陆系统须进行登记授权。第三十九条我行中心机房的计算机、服务器设备严禁外来移动存储设备接入。第四十条所有进入机房的外来设备的用电，都应当从外部接入。第四十一条未经审批授权，禁止在运行监控室进行数据查询、数据拷贝、报表打印。第四十二条机房值班人员要始终保持运行监控室内物品摆放整齐，并清理桌面上的敏感信息（如网络拓扑图、信息

12、处理设施位置目录、内部电话薄等）。第四十三条严禁在中心机房内使用电炉、取暖炉等非计算机设备。第四十四条机房值班人员要熟悉中心机房内各电源开关的位置，及消防器材的使用方法。发现火情及时报告并采取措施灭火。第四节运行监控室环境管理第四十五条运行监控室应定期打扫，室内的计算机、打印机、工作桌椅、地板及其它相关设备须保持清洁。第四十六条严禁在运行监控室内存放易燃、易爆、易碎、易腐蚀、易霉烂、易变质等危险物品和强磁场、强辐射等物品以及一切与工作无关的物品。第四十七条严禁在运行监控室内吃零食、吸烟，不得做与工作无关的事。第四十八条运行监控室内必须保持安静，严禁大声喧哗、聚众聊天。第四十九条

13、运行监控室内的一切物品，未经机房值班人员的同意，不得随意挪动、拆卸和带出运行监控室。对运行监控室内有故障的设备进行修理时，科技部协同人员须在场监督。第五节机房检测第五十条每月由机房维护管理员对机房设施进行巡检，并进行月度分析。第五十一条每年科技部聘请相关专业机构进行机房年检，并出具机房年检报告，检测内容包括但不限于机房防雷、接地设施、消防、电磁防护等方面。第五章网络通讯管理第一节网络通讯设备操作权限管理第五十二条网络管理员负责网络通讯设备的配置、监督、变更、测试及管理。第五十三条网络通讯设备的相关权限授予工作需经过严格的审批。第二节网络通讯系统密码管理第五十四条网络管理员负责

14、网络通讯系统的密码管理。网络通讯系统密码的日常管理遵循SXYH-ITZD-XXAQ-09xx银行信息系统密钥管理办法。第五十五条全辖所有的网络设备（路由器，交换机，防火墙等）的密码须采用当前最为安全的MD5密文加密方式，防止密码被非法破解。第五十六条网络通讯设备需由外部人员进行现场维护与维修时，必须由网络管理员进行相关密码输入，并在密码输入过程中注意保密；需送外单位维护、维修或接受厂商升级服务时，应在发出设备前重置密码。设备返回后，须及时变更密码。第三节网络通讯设备配置管理第五十七条网络管理员负责制定网络通讯设备的配置策略，包括网络接口配置、防火墙访问策略配置、网络地址转换（NAT）配

15、置、路由配置、虚拟局域网（VLAN）配置等，并将各项策略文档化及脚本化。第五十八条网络管理员负责运行网络通讯设备配置脚本，实施配置策略，并负责对路由器、交换机、防火墙等网络设备的配置文件进行定期备份，并在网络或设备配置发生变更时，及时备份新的配置文件。第四节网络通讯变更管理第五十九条网络通讯的变更包括网络通讯设备的变更和网络通讯配置的变更。第六十条网络通讯设备的变更应遵循xx银行IT资产管理办法内硬件资产变更相关流程。第六十一条网络通讯配置的变更通过变更审批进行。第六十二条变更前，网络管理员应制定变更实施方案，包括变更实施计划、风险评估、验证、应急和回退方案，相关方案须经评审。第

16、六十三条除紧急变更外，网络通讯变更实施时间应避开业务高峰日期和特殊日期。第六十四条变更实施过程中，如发生与实施计划不相符的意外情况，且无法立即排除，在报告并经维护管理科科长审批后（如有必要可请示上级领导），执行回退方案。第五节网络通讯线路管理第六十五条发生网络通讯线路故障时，网络管理员应及时上报并联系网络运营服务商进行线路恢复。第六十六条因系统建设或业务需要，需要增加网络通讯线路时，由使用单位发起业务联系函，通过信息科技采购流程审批后，由网络管理员完成实施。第六十七条因业务需要，发生线路停用或迁移时，由使用单位通过协同系统发起业务联系函，由科技部确认并实施。第六节网络通讯IP地址

17、管理第六十八条网络管理员负责制定和维护xx银行网络IP地址相关设计及使用规范。第六十九条因生产和办公需要需接入相关网络时，由使用人提交业务联系函，网络管理员根据具体业务需要分配IP地址，并更新IP地址分配表。第七节网络通讯服务管理第七十条业务系统投入正式生产时，运行中心人员根据机房设备变更审批单开通相应的网络通讯服务。第七十一条网络管理员定期查看各业务系统网络通讯服务开启状态，确保非服务端口均已关闭。第八节网络通讯高可用性管理第七十二条应通过设备及线路冗余保证网络通讯的高可用性。第七十三条网络管理员应根据网络通讯系统设备及其连接关系，编制网络拓扑图，明确数据流走向。第七十四条

18、应定期进行应急演练，根据网络拓扑图，制定应急演练方案，对主、备设备及线路进行模拟故障演练，确保网络的高可用性。第九节网络通讯安全管理第七十五条网络通讯安全管理的相关内容应遵循SXYH-ITZD-XXAQ-07网络安全管理办法的相关管理条例执行。第六章数据库管理第七十六条数据库的系统参数由数据库管理员根据应用要求与数据库性能进行调整。第七十七条应用数据库的对象由应用程序管理员创建、维护。第七十八条数据库管理员定期监视数据库磁盘空间的使用情况；数据库备份与恢复由数据库管理员与运行人员在各自权限范围内分工完成。第七十九条数据库管理人员、应用系统维护人员及其他人员均不得直接对生产数据库中

19、的业务数据进行修改操作，如果确实需要进行添加、删除和修改数据的，应在柜员或业务专用终端通过特定的应用程序工具进行，并且事前必须有审批，事后必须有记录。第七章机房变更管理第一节变更的申请第八十条变更来源包括网点和业务部门提交的数据修改、科技部门根据业务部门变更请求或根据维护要求提交的变更申请、新系统上线、系统维护等。第八十一条变更分为：一般变更和重大变更（注：凡涉及支付清算系统的变更，参见xx银行支付清算系统运维管理办法）。第八十二条重大变更，是指影响对业务系统连续运行的变更事项。重大变更内容包括：（一）生产系统或重要业务子系统运行设备升级或更换；（二）重要网络通讯设备升级或更换；（

20、三）生产系统或重要业务子系统的上线或升级（含前期非生产环境上的安装部署准备工作）；（四）灾备系统上线或切换；（五）其他重大变更。第八十三条一般变更内容包括：（一）应用系统的数据修改；（二）应用系统数据清理；（三）应用系统程序更新、配置参数更改；（四）一般业务子系统运行设备的升级或更换（含前期非生产环境上的安装部署准备工作）；（五）一般网络通讯设备的升级或更换；（六）系统、数据库、网络的补丁或配置参数更改；（七）安全设备、安全产品的上线、升级或配置参数更改；（八）电源、空调、消防、防雷、监控等辅助设备、防护设施的变更；（九）信息系统存储设备扩容、升级、优化、参数更改；（十）其他一般变更。第八十

21、四条利用工具自动记录所有变更，并实施存档和备份功能。第二节变更的受理第八十五条变更申请人根据计划填写“xx银行主机房变更申请”（数据修改除外），并整理和制定业务部门上线请求报告、实施方案（实施手册）、测试报告（对重大变更必须附上详细的测试和验收报告）、风险评估和应急预案（回滚方案）等变更材料，作为申请附件一起交应用管理员；对于一般变更的申请附件除实施方案外可以视具体变更内容适当选择。第八十六条对于参数修改类变更以及杀毒软件升级等常规变更，应由相关负责人填写日常维护维护申请，经过领导审批后实施变更。第三节变更的审批第八十七条在提交变更申请之前，变更申请人应当得到本部门负责人审阅并批准

22、。第八十八条重大变更或是业务影响较大的变更操作必须经相关业务部门、科技部负责人、风险管理部负责人和分管行长审批；一般变更由科技部负责人审批。第八十九条变更申请必须经信息安全管理员和内控管理员审核，根据具体情况组织相关人员进行风险评估、制定相关措施。第九十条变更材料包括变更操作步骤、上线申请报告、业务联系函、应急备份及回退方案、业务测试报告、技术测试报告、项目申请（评估）表、配置清单（软硬件、容量规划）、代码变更申请单、系统用户申请表、IP地址分配表、备份策略表、补丁评估测试表、系统安全参数变更申请表、以及变更后的系统操作手册等材料。第九十一条对于重要信息系统停止服务的变更，相关业务部门

23、做好业务协调并提前向人民银行、银监、银联等相关部门、单位报备。第四节变更的实施第九十二条变更申请批准后，涉及业务系统的变更在实施前，变更申请人必须通知相关业务部门。第九十三条变更实施由变更申请人组织实施，并做好技术准备工作，根据情况协调现场技术支持力量。第九十四条变更实施过程必须相关人员双人操作和复核，变更过程中涉及外部技术人员操作的，必须安排科技部人员全程监督实施。第九十五条在变更实施过程中，若因某种原因导致变更失败，必须由最终批准变更部门或行领导决定是否启动回退方案。第九十六条在变更实施过程中，如果需要启动新的变更或因变更计划不周需要调整变更内容，必须报请最终批准当前变更的部门

24、或行领导审批。第五节变更的反馈、汇总和通报第九十七条应用管理员变更结束后要督促变更申请人及时移交变更项目其他资料如：项目申请报告、项目设计书、项目实施计划、项目进度报告、测试方案及测试结果、验收报告、日常维护和操作手册等以及程序和配置代码，做好相关登记并妥善保存。第九十八条运行管理科必须定期收集、跟踪各类变更的执行情况，内控安全科对变更的执行情况进行检查，特别要对重大变更和频繁发生的变更提请科技部负责人组织相关人员加以分析，定期编写变更总结报告。第九十九条业务部门必须定期向科技部通报变更执行情况，研究变更管理工作中存在的问题和不良趋势。第六节紧急变更第一百条紧急变更仅限于因生产系统问题引发的急需处理的变更。第一百零一条紧急变更经科技部负责人批准实施计划后即可实施，但事后必须补办审批手续。第七节变更审计第一百零二条内控管理员、信息安全员定期对生产变更记录进行审计核查。发现问题，记录在运维月报中并督促整改落实。同时，审计核查的结果做科技部绩效考核的依据之一。第八章附则第一百零三条本办法由科技部负责解释和修订。第一百零四条本办法自下发之日起施行。

展开阅读全文