信息网络安全管理最佳实践.doc

信息网络安全管理最佳实践报送单位：XXX市供电公司专业名称：科技进步企业信息化建设与管理报送日期：XXX年XXX月摘 要：在网络环境的日趋复杂以及黑客攻击、病毒入侵手段的多样化、隐蔽性强的情况下，为打造坚固、安全的信息网络环境，实现信息的可靠交互，我们在强化网络主体安全性的同时，加强对服务器集群的保护；搭建独立的无线网络平台，访问互联网；布署网络管理平台、服务器集中管理平台、机房监控系统，实时监控网络、服务器、机房的运行状态和环境；制定终端安全策略、进行信息安全培训提高全员的信息安全意识；受到国网信息安全办专家的好评。1专业管理的目标11 企业发展对专业管理的要求随着供电企业信息化建设水平不断提高和完善，应用系统规模不断扩充，拥有了营销、95598、生产、财务、OA等30个应用系统；公司服务器和小型机的数量已达42台，网络设备93台，业务应用已打破局域网的限制，向互联网纵深发展，如银电联网、集抄、车辆定位等，而互联网上黑客攻击、病毒入侵、网络攻击事件日趋严峻，为此如何打造企业坚固的网络信息平台，强化机房服务器、网络设备、信息数据的安全，成为企业信息化发展过程中的重要一环。12 目标描述信息网络安全管理的目标是流程化、规范化管理网络，加强机房管理、终端管理、服务器管理、数据库管理，将信息安全管理渗透到信息网络的每一个节点，打造坚固、安全的信息网络，使其成为信息交流的可靠载体，实现信息的安全共享与交流，为公司的生产经营、战略部署提供数据参考和技术支撑，保障OA、营销MIS、负荷控制、银电联网等各个系统的持续运行。架设无线网络用于访问外网，实现办公网络与INTERNET的完全隔离。建立机房、服务器监控系统，实时监控。13 专业管理的范围我们将专业管理的范围分成四大部分：网络管理、机房管理、终端设备和人员管理，针对每一部分的特点制定相应的管理方案，使安全管理覆盖整个信息网络。131 网络设备管理我们根据不同的业务将内网划分为9个VLAN，使各系统的应用根据安全等级进行权限分配，服务器划分在专用VLAN中，工作站通过千兆防火墙的访问列表来访问服务器，同时供电所通过三个千兆环网连接公司网络，供电所的千兆环网覆盖率100，主交换机实现了双机热备，二级交换机采用78台可网管交换机，搭建无线网络用于访问互联网，内外网实现完全物理隔离，内外网IP地址和MAC地址绑定，在内外网的各个出口布置了五台防火墙，部署了北塔网管软件。132 机房管理对机房服务器进行整合，为确保数据的安全，将80的数据库整合在UNIX环境下，大大了降低受攻击的机率，数据库实现了自动备份、异地冗灾，确保了信息数据管理的安全性。为对机房实施全方位监控，组建了机房监控系统，功能包括门禁指纹识别、红外探头配合全角摄像头自动记录机房内人员活动情况、全时段感知机房空调是否漏水、UPS和空调运行监控、烟雾检测等功能，一旦检测到异常情况，系统将以手机短信方式向有关人员报警。如系统检测到有漏水情况，将同时终止空调运行。为对网络实施全时段监控，我们成立了网络监控室，新上一台32口KVM集中控制器，将机房中所有服务器的操作迁移到监控室中。为强化服务器和网络设备的操作管理，我们严格执行信息系统“两票”制，确保服务器和网络设备的安全操作。133 终端设备管理为强化终端设备管理，保护内部资源和网络的安全性，我们部署了北信源内网安全管理系统。该系统由终端管理、补丁管理、移动存储管理和文件保密管理等组成。终端管理系统可以实现桌面行为监管、外设和接口管理、准入控制、非法外联监控和终端资产管理等功能。补丁管理系统可以实现系统漏洞分析、补丁自动分发、分发策略管理和流量控制等功能。移动存储管理系统和文件保密管理系统可以实现对文件、目录、磁盘和U盘的保密管理功能。部署存储介质认证系统，对进入办公网络的U盘、移动硬盘等存储介质进行安全认证。没有通过认证的移动存储介质不允许接入办公网络。134 人员管理在公司范围内定期进行网络安全培训讲座，提高全员的信息安全意识；制定各项信息安全制度，规范微机操作行为和网络访问方式，降低人为因素导致信息外泄的风险；禁止在办公微机上私自安装GPRS上网卡，防止办公内网与INTERNET之间形成物理连接。14 指标体系及目标值序号指标名称指标值%最佳值%1网络主交换机双机运行率1001002供电所千兆环网覆盖率1001003机房UPS并机运行率1001004机房空调并机运行率1001005网络设备监控率921006营销系统小型机双机运行率1001007网闸、防火墙、入侵检测运行率1001008信息网络安全全员培训率80909操作系统安全策略实施率9010010内网安全管理软件（终端远程管理）安装率859511移动存储介质受控率10010012密钥保密率10010013网络业务分级、分类运行率10010014网络节点和应用系统接入核准率10010015服务器数据自动备份率8010016IP地址和端口绑定率10010017病毒防护软件安装率10010018网络系统平均年运行率99.81002信息网络安全管理工作流程21完成工作的组织机构为保证信息网络安全管理工作的顺利进行，公司成立了信息网络安全管理工作领导小组，全面负责信息网络的总体规划和工作部署。信息中心负责信息网络安全工作的具体实施，并提供技术支撑。公司各部室配合并执行信息网络安全管理制度和技术措施。2.1.1信息网络安全管理领导小组职能组织召开信息网络安全管理会议，制定信息网络安全管理的各项重大决策，监督信息网络改造的实施进度，协调各部门配合信息中心进行网络安全改造。2.1.2信息中心职能负责信息网络安全改造工作的具体实施，依据上级有关信息安全的指示，制定公司的各项信息安全管理制度并监督执行。定期举行信息安全管理培训班，提高公司全员的信息安全意识。2.2.3公司各部室职能落实本部门信息安全管理工作的实施进度，严格执行公司制定的终端安全管理措施，组织人员参加信息安全培训。22 岗位设置、岗位职责及岗位人员能力说明2.2.1信息中心主任传达信息网络安全管理领导小组的各项决议，统筹规划网络安全管理方案，制定各项信息安全管理制度并监督执行。组织本单位成员讨论信息安全管理各关键环节的注意事项，制定实施细则。带领信息中心成员进行公司无线网络建设和内外网分离工作；协调银行、网通等外网业务单位配合公司进行网络安全改造。2.2.2网络管理员按照网络安全规划的需求配置交换机、路由器等网络设备，加入安全策略，清除无用配置信息，提升设备安全性，优化设备运行速度。负责严格执行网络设备和终端入网流程，进行网络设备配置文件归档工作，定位网络故障点，捕捉网络异常流量，分析原因，排除隐患。要求具备网络基础知识、熟悉网络层次结构、熟练掌握网络设备配置命令。2.2.3终端管理员负责维护公司的微机、打印机等终端设备，按照终端安全管理策略安装终端安全管理软件、杀毒软件。监督终端安全管理制度的执行，熟悉计算机工作原理和具备排除各种常见故障现象的能力，掌握各种业务软件的安装方法。2.2.4设备管理员负责各种交换机、路由器、防火墙等网络设备以及微机、打印机等终端设备的出入库登记等管理工作。要求熟悉公司内各种常用网络设备、终端设备的型号。23 流程图231 信息网络安全管理流程232 A信息网络安全改造流程 233 B终端入内网流程234 C终端入外网流程 235 信息网络系统故障处理流程 236 D信息网络系统监控流程 237 E服务器、终端故障处理流程238 F网络设备故障处理流程239 G设备报废流程 2310 H终端外修流程 2.3.11 异地容灾备份流程 2.3.12 终端安全配置流程24 流程过程控制方法说明及节点工作的做法描述241 信息网络安全管理流程过程方法说明及节点工作的做法描述节点1：流程开始节点2：信息中心制定信息网络安全管理规划方案，呈报公司信息网络安全管理领导小组审批。方案内容包括：内外网隔离改造实施方案；网络改造设备明细；估算施工周期；终端和存储介质安全管理方案，配套管理软件预算；职工信息安全培训计划和考评标准。节点3：公司信息网络安全管理领导小组进行方案审核和可行性评估，提出改进意见由信息中心进行方案修订；方案通过后，落实改造所需设备、资金，协调有关单位配合方案的实施。节点4：信息中心制定方案实施细则，明确工作分工，针对技术难点进行业务攻关。节点5：公司各部室协调终端的使用，进行业务分流，在保证业务正常运行的情况下配合信息中心进行内外网隔离建设与网络安全改造工作。节点A：执行信息网络安全改造子流程，搭建无线网络用于访问互联网和公网业务的开展。无线网络逻辑上划分为2个网段，外网业务应用网段和互联网浏览网段。实现办公内网与外网完全分离；交换机安全设置，实施终端MAC-IP地址绑定，对未分配IP地址绑定全0的MAC地址，防止非法用户盗用IP地址造成访问权限失控；办公内网与无线外网均部署网管软件，实时监控网络运行；营销、生产、OA等重要应用服务器通过防火墙与公司办公网络互联，提高数据安全性；建立机房、服务器监控系统，时刻掌握机房设备运行状况和服务器运行状态。节点6：信息网络安全改造完成后，信息网络安全管理领导小组组织人员对信息网络安全进行整体评估，提出改进意见，返回节点5进行信息网络安全整改。节点7：信息网络安全评估通过后信息中心利用BTNM网管软件、IPS、SYMANTEC END POINT MANAGER等管理平台，通过端口扫描，弱口令破译等方式检测网络漏洞和终端漏洞。节点8：根据检测结果从网络运行状况、终端安全漏洞、病毒威胁分布等角度全面分析信息网络运行现状，编写网络运行分析报告提交信息网络安全管理领导小组审批。节点9：信息网络安全管理领导小组针对网络运行分析报告内容召开信息网络安全会议，确立下一步工作目标和工作重心。节点10：信息中心根据领导小组确立的工作目标制定工作方案，强化网络安全架构，对检测出的漏洞及时封堵。节点11：对小型机、服务器进行全方位扫描，全面检测小型机、服务器和数据库存在的漏洞，从而进行针对性处理。节点12：下载官方发布的AIX-UNIX、HP-UNIX、WINDOWS2003系统补丁，对小型机、服务器进行安全升级。节点13：下载官方发布的SQL-SERVER、ORACL数据库补丁，弥补数据库漏洞。节点14：加强数据备份工作，制定数据备份策略，缩短数据备份周期，重要服务器每天备份，提高数据安全性。节点15：终端杀毒软件从SYMANTEC10.0升级至SYMANTEC11.0版本，增加主动型威胁防护和网络威胁模块，加强终端的病毒防御能力。节点16：升级终端的系统补丁至最新版本，配置终端系统补丁自动升级，制定策略在指定时间自动从内网补丁服务器下载更新，及时封堵系统漏洞。节点17：部署终端安全管理系统，使全网终端始终处于可控、在控状态，发现问题，及时处理。节点18：强化U盘、移动硬盘的安全管理，部署移动存储介质认证系统，对进入办公网络的移动存储设备进行安全认证，配合终端安全管理系统，阻止没有经过安全认证的移动存储设备接入办公网络。节点19：服务器、终端的安全升级阶段全面完成，信息中心做出书面工作总结向信息网络安全管理领导小组汇报，同时请示信息安全培训工作的工作安排。节点20：信息网络安全管理领导小组听取汇报后，对信息安全培训工作提出具体的工作要求和预期目标。节点21：信息中心制定信息网络安全培训计划，确定培训地点和学习内容，进行课时安排。节点22：公司各部室向信息中心提报培训名单，协调科室内部工作安排，保证人员准时参加培训。节点23：进行信息网络安全培训，分析信息安全的严峻现状和病毒、木马等常见的攻击方式，操作系统和安全设置以及浏览器的安全漏洞和防范措施。节点24：培训结束后进行测验考试，进行培训效果评估，同培训人员进行互动交流，了解培训需求，修订培训内容，制定下一轮培训计划。节点25：信息网络安全管理小组对信息网络安全进行整体评估，提出改进意见，交由信息中心实施。节点26：信息中心监控信息网络系统的运行状况，持续进行安全改进。节点27：资料整理归档节点38：流程结束242 A信息网络安全改造流程过程方法说明及节点工作的做法描述节点1：流程开始节点2：信息中心分析信息网络安全改造所需的设备，列出设备明细，包括设备类型、型号、接口数、IOS版本、实现功能等信息，提报设备购置申请，交由生产技术部审批。节点3：生产技术部进行申请核实，在确认无误后交由公司领导审批。节点4：公司领导对购置申请进行批复，通过后申请转至物资部。节点5：物资部根据设备购置申请明细进行设备招标采购。节点6：所需设备到位。节点7：信息中心和生产技术部设备专责人对设备进行验收，验收通过后设备专责人进行设备登记。节点8：信息中心网络管理员对核心交换机CISCO6509、CISCO4506进行安全设置，配置HSRP双机，配置安全访问控制列表，只允许网络管理员的终端IP地址可以远程登陆交换机进行访问，配置SSH，采用SSH协议替代TELNET远程访问交换机，对报文进行加密，防止被嗅探；加强IP地址的管理，执行终端IP-MAC地址绑定，对没有分配的IP地址，将其与全O的MAC地址绑定，防止IP地址被盗用，防止非法终端接入网络。节点9：对二层交换机进行安全设置，配置SSH，采用SSH协议替代TELNET远程访问交换机，对报文进行加密，防止被嗅探；执行端口-MAC地址绑定，关闭交换机未分配端口。节点10：对机房汇聚交换机CISCO4948进行安全配置，配置SSH，采用SSH协议替代TELNET远程访问交换机，对报文进行加密，防止被嗅探； 4948交换机同时与6509和4506相连，提供冗余链路，保证服务器与办公网络的可靠连接。节点11：交换机安全设置完成后进行安全测试，如有问题返回节点8依次检查交换机设置，查找原因，重新进行安全设置。节点B：交换机安全设置完成后，执行终端入内网子流程，实施终端安全策略后，终端接入办公内网。节点12：设置内网服务器防火墙，配置安全策略用于保护营销、生产等重要应用服务器，防范来自内网的攻击。同时用于和青岛公司网络的安全互联。节点13：部署办公内网网络管理软件，实时监控链路流量、设备负载、端口状态等信息。节点14：配置无线网络POE交换机，实施IP-MAC地址绑定，配置SSH，采用SSH协议替代TELNET远程访问交换机，对报文进行加密，防止被嗅探。节点15：部署无线AP，覆盖公司办公区域，提供无线网络接入端口。 节点16：集抄、负控、车辆定位等与外网应用服务器从办公网络剥离，迁移至无线外网，实现办公网络与外网的完全隔离。节点 C ：执行终端入外网子流程，实施终端安全策略后，终端接入无线外网。节点17：设置防火墙，启用安全策略，防范来自外网的攻击；添加安全访问规则，使用NAT和反向NAT实现外网应用服务器与互联网的访问，通过地址映射和端口映射控制无线外网终端访问外网的权限。节点18：防火墙设置完毕后，部署无线外网网络管理软件，全方位监控网络运行状况。节点19：安装机房监控摄像头，配合红外探头，启用触发录像方式自动记录机房内的活动。节点20：铺设机房漏水检测线，检测是否有漏水情况发生，同时铺设防水坝，当机房加湿系统出现故障有漏水情况发生时，将其限制在小范围内，同时监控系统以手机短信和电话通知的方式告警，以便及时处理。节点21：安装温湿度探头实时记录机房温湿度数据，安装烟感探头在机房发生火灾时第一时间发出告警，通知管理人员到达现场进行处理。节点22：安装部署机房监控平台，集中管理机房内UPS、空调等设备并监控这些设备的运行。节点23：设置UPS、空调、温湿度等敏感参数的告警阀值和告警方式。节点24：建立服务器集中管理平台，通过KVM交换机接管所有服务器的操作，实现服务器的集中管理与控制。节点25：资料整理归档节点26：流程结束243 B终端入内网流程过程方法说明及节点工作的做法描述节点1：流程开始节点2：终端设备通过生产技术部、信息中心联合验收后，下发到使用单位。节点3：网络管理员根据终端使用单位所在VLAN分配IP地址， 并进行登记。节点4：进入终端安全配置流程节点5：询问终端使用单位是否需要OA邮箱。节点6：终端使用单位如有需求，则提交OA申请报告领导审批。节点7：审批通过后交由信息中心处理，如不通过则跳转至节点11进行后续操作。节点8：服务器管理员在接到OA申请报告后登陆OA服务器为用户申请OA邮箱。节点9：终端维护员下载安装OA控件，告知用户登录名与初始密码。节点10：OA配置完成后，网络管理员在核心交换机上将分配给终端的IP地址与MAC地址绑定。节点11：根据终端使用单位的办公地点为其分配二层交换机端口，同时在交换机上将端口与终端MAC地址绑定。节点12：二层交换机配置完成后，终端接入办公内网。节点13：接入内网完成后，填写内部服务单。节点14：流程结束。244 C终端入外网流程过程方法说明及节点工作的做法描述节点1：流程开始。节点2：终端使用单位提报外网使用申请呈报领导审批。节点3：公司领导审批。节点4：领导审批通过后，申请转至信息中心主任，信息中心主任根据申请内容分配访问权限，交由网络管理员处理。节点5：网络管理员根据访问权限分配IP地址并登记。节点6：进入终端安全配置流程。节点7：网络管理员登陆防火墙开通终端的访问权限。节点8：网络管理员根据终端使用单位的办公地点为其分配无线外网交换机端口，同时在POE交换机上执行IP-MAC地址绑定，防止IP地址盗用。节点9：终端管理员根据使用单位访问需求安装外网应用软件，如负控、集抄、网上银行或是车辆定位系统。节点10：终端配置完成后，接入无线外网。节点11：进行外网访问测试。节点12：外网访问测试如不能通过，网络管理员分析原因，直至外网访问正常。节点13：外网访问测试通过后，在无线外网交换机上上执行端口-MAC地址绑定，防止非法终端接入。节点14：工作完成后填写内部服务单。节点15：流程结束。245 信息网络系统故障处理流程过程方法说明及节点工作的做法描述节点1：流程开始节点2：执行信息网络系统监控流程，利用网络管理软件平台和服务器集中管理平台监控信息网络系统运行情况，发现异常转入下一节点处理。节点3：根据故障类型进行故障点定位，利用网管平台定位网络设备故障点，利用服务器集中管理平台定位故障服务器，利用ETHEREAL或SNIFFER进行网络抓包定位故障终端或是网络节点设备。节点4：判断是否是网络设备故障。节点5：如果不是网络设备故障，判断是否为服务器故障，如果不是服务器故障则直接转入节点6：如果是服务器故障，并且造成应用服务中止，向信息网络安全管理领导小组汇报，估算服务器恢复投运时间。 节点7：更换备用服务器，安装系统应用服务并进行数据库迁移，恢复服务器运行。节点E：原有服务器执行服务器、终端故障处理流程，排除服务器故障。节点8：故障点类型为网络故障，判断是否为办公网络内部节点设备故障。节点9：设备故障节点为无线网络故障，判断故障节点设备是否为运营商设备，如果不是运营商设备则直接转入节点F进行网络设备故障处理流程。节点10：故障点设备为运营商设备，信息中心联系运营商处理，恢复无线网络正常运行。节点11：将网络事件记入网络运行分析报告。节点12：故障点在办公网络内部，判断是否为青岛公司网络级联设备。节点13：故障点在办公网络内部但不是青岛公司网络级联设备的，判断是否为核心交换机故障。节点14：故障点设备为核心交换机，将情况上报信息网络安全管理领导小组启动核心交换机紧急恢复预案，执行网络设备故障处理流程，恢复核心交换机常态运行。节点F：执行网络设备故障处理子流程排除网络设备故障。节点15：故障点为公司网络级联设备，将情况向信息网络安全管理领导小组汇报。节点16：信息中心联系青岛公司信息中心进行处理。节点17：资料整理归档节点18：流程结束。246 D信息网络系统监控流程过程方法说明及节点工作的做法描述节点1： 流程开始。节点2： 值班人员登陆机房监控系统，查看机房设备运行状态。节点3： 查看温湿度探测针检测到的机房温湿度数值，填写机房监控值班记录。节点4： 查看机房空调运行参数，加湿器运行状态并根据情况决定是否调节机房空调温湿度参数设定，填写机房监控值班记录。节点5： 查看UPS运行状态，填写监控室值班记录。节点6： 机房是否有突发事件发生。节点7： 机房有突发事件发生，机房监控系统以短信和电话方式发出告警通知，值班人员在第一时间到达现场，查看告警原因。节点8： 机房加湿系统发生故障，引起漏水，检水线在发现漏水时，电磁阀关闭，切断空调水源，同时漏水告警以短信方式发送至值班人员手机。节点9： 值班人员在切断机房供水系统水源后，组织人员清理机房积水，防止发生电源短路现象。节点10： 查找漏水原因，维修漏水点，故障排除后恢复机房供水系统水源供应。节点11： 填写机房突发事件记录，注明故障原因和故障排除过程。节点12： 机房停电，转由UPS供电，机房监控系统发出失电告警以手机短信方式发送至值班人员手机。节点13： 机房值班人员联系调度所值班人员，确认是否是计划停电。节点14： 在确认非计划停电后联系办公大楼值班人员恢复供电时间。节点15： 停电时间是否小于2小时。节点16：停电时间若小于2小时，密切关注UPS运行参数，重点观察电池剩余时间，直至市电供应恢复。节点16： 停电时间若大于2小时，暂时停运机房内的冗余设备和暂时可以停止的应用服务器，减轻UPS负载，重点保证生产、营销、银电联网系统的不间断运行，机房市电供应正常后，恢复冗余设备和先前停运的服务器的常态运行。节点17： 机房没有突发事件发生，登陆服务器集中管理平台。节点18： 空调故障导致温、湿度异常，机房监控系统发出温、湿度异常告警以手机短信方式发送至值班人员手机。节点19： 提交生产技术部联系设备外修。节点20： 查看每台服务器的运行状态，如果异常则转入信息网络系统故障处理流程排除服务器故障。节点21： 各服务器运行正常，转入网络监控阶段。节点22： 登陆无线网络管理软件，查看网络设备运行状态，进行数据流量分析。节点23： 无线网络运行是否正常，是否有网络设备故障；网络运行正常则填写监控室值班记录。节点24： 无线网络运行异常，转入信息网络系统故障处理流程，排除网络设备物理、逻辑故障。节点24：登陆办公网络管理软件，查看网络设备运行状态，根据流量分析网络是否存在故障。节点25： 办公网络运行是否正常，是否有网络设备故障；办公网络运行异常，即转入信息网络系统故障处理流程，排除网络设备物理、逻辑故障。节点26： 网络运行正常，填写监控室值班记录。节点27： 网络监控阶段结束，登陆SYMANTEC END POINT 病毒监控平台。节点28： 查看风险报告、威胁分布、主要攻击源等信息，生成自动检测报告。节点29： 根据检测报告内容决定是否需要升级病毒防护策略。不需要升级则填写病毒监测周报。节点30： 升级病毒防火墙防护策略，加强病毒防护能力。节点31： 病毒检测结束后填写病毒监测周报。节点32： 资料整理归档节点33： 流程结束。247 E服务器、终端故障处理流程过程方法说明及节点工作的做法描述节点1： 流程开始节点2： 服务器、终端设备故障。节点3： 是否为服务器故障。节点4： 服务器故障，观察服务器报警灯颜色是否正常，进而判断是否为物理故障。节点5： 判断维护周期是否6小时。节点6： 如维护周期大于6小时，即时启用紧急恢复预案。节点7： 如维护周期小于6小时，服务器逻辑故障，服务器管理员填写信息系统工作票，写明工作时间、地点、服务器所涉及的系统，信息中心主任签字许可后服务器管理员方可以开始工作。节点8： 服务器管理员填写信息系统操作票，标明执行何种操作和操作步骤后操作服务器。节点9： 检查系统配置、数据库设置、服务启动列表等配置信息，排除逻辑故障。节点10： 服务器报警灯颜色异常，服务器物理故障，首先启用备件。节点11： 拨打厂家售后服务电话，查看服务器是否超出保修期。节点12： 服务器尚在保修期内，设备管理员联系厂家鉴定故障点，更换服务器硬件排除物理故障。节点13： 服务器超出保修期，信息中心组织人员鉴定是否具有维修价值。节点14： 服务器具有维修价值，其性能仍然能够满足应用系统的硬件需求，生产技术部列入维修计划，交由信息网络安全管理领导小组审批。节点15： 领导小组审批通过后信息中心联系厂家售后工程师上门处理，排除物理故障。节点G: 经鉴定，服务器没有维修价值，执行设备报废流程，在对服务器、终端、网络设备采取信息安全措施后报废设备。节点16： 信息中心填写设备购置申请，注明所需服务器型号、配置等信息，报生产技术部审批，生产技术部设备专责人核实申请后呈报信息网络安全管理领导小组审批。节点17： 领导小组审批通过后申请转至物资部。节点18： 物资部根据申请内容进行设备招标采购。节点19： 设备到位节点20： 生产技术部设备专责人开箱验收设备，并进行设备登记。节点21： 验收通过后，信息中心进行服务器配置和安全设置，服务器设置完成后接入办公网络，进行数据迁移，将应用服务从备用服务器转移至新服务器。节点22： 服务器故障处理完毕。节点23： 故障点为终端设备，鉴定是否为物理故障。节点24： 终端逻辑故障，检查终端系统设置和应用软件配置，查杀病毒，查看系统配置文件，关闭多余启动项，清除恶意插件，排除逻辑故障。节点25： 故障排除后，填写服务器、终端维护记录，注明故障现象和故障排除过程。节点26： 终端物理故障，插拔内存，清除BIOS设置，进行硬件常规故障排除。节点27： 如果故障排除，则填写服务器、终端维护记录。节点28： 终端硬件损坏，信息中心鉴定是否有维修价值。节点29： 经鉴定具有维修价值，执行终端外修流程，定位故障点硬件，将终端硬盘拆下由联系维修商进行维修。节点30： 经鉴定终端配置较低，老化严重，不具备维修价值，执行设备报废流程，采取信息安全措施后终端报废。节点31： 终端使用单位向生产技术部提报终端购置申请。节点32： 生产技术部在核实申请后呈报信息网络安全管理领导小组审批。节点33： 领导小组审批通过后申请转至物资部，物资部根据申请内容招标采购终端。节点34： 招标采购后，设备到位。节点35： 设备到位后，生产技术部与信息中心对终端进行验收。节点36： 判断是办公内网终端还无线外网终端。节点37： 执行终端入内网流程对终端进行安全设置后接入办公内网。节点38： 执行终端入外网流程对终端进行安全设置后接入无线外网。节点39： 资料整理归档。节点40： 流程结束。248 F网络设备故障处理流程过程方法说明及节点工作的做法描述节点1：流程开始。节点2：通过信息网络监控系统发现网络设备故障。节点3：判断是否是逻辑故障。节点4：交换机逻辑故障，填写信息系统工作票。节点5：检查交换机设置，排除逻辑故障。节点6：交换机物理故障，检查交换机端口，判断是否为物理端口故障。节点7：交换机物理端口故障，更换交换机端口，排除故障。节点8：交换机物理故障，判断是否有维修价值。节点9：交换机没有维修价值，进行负载迁移，将负载迁移至备用交换机，恢复网络畅通。节点10：信息中心向生产技术部提交设备购置申请，设备专责人在核实申请后呈报信息网络管理领导小组审批。节点11：信息网络安全管理领导小组审批通过后，申请转至物资部。节点12：物资部招标采购交换机。节点13：交换机到位。节点14：生产技术部与信息中心协同对交换机进行验收。节点15：配置交换机，划分VLAN，配置端口，配置SSH，取代TELNET用于远程管理。绑定交换机端口与终端MAC地址。节点16：进行负载迁移，将备用交换机上的负载迁移至新交换机。节点17：交换机物理故障并且具有修复价值，由生产技术部列入维修计划，报领导审批。节点18：领导审批通过后，交由信息中心处理。节点19：信息中心联系维修交换机。节点20：维修结束后，填写网络设备维修记录，注明故障原因与处理过程。节点21：资料整理归档节点22：流程结束。249 G设备报废流程过程方法说明及节点工作的做法描述节点1：流程开始。节点2：信息中心清点待报废的设备，进行设备分类。节点3：是否为网络设备。节点4：对网络设备清除其配置文件，包括IP地址、访问控制列表等涉及网络结构的敏感信息，防止外泄。节点5：是否为微机主机节点6：对于服务器、终端设备，拆除硬盘，由信息中心统一存放，避免数据泄露的风险。节点7：填写设备报废申请单递交生产技术部审批。节点8：生产技术部设备专责人进行设备核对和资产校对。节点9：核实完毕，填写固定资产报废处理申请表，呈报公司领导审批。节点10：公司领导审批申请表，如有异议，返回节点8处理。节点101：审核通过后，生产技术部设备专责人处理设备台帐。节点12：设备移交物资部进行公开拍卖。节点13：拍卖结束后由财务部进行帐务处理。节点14：流程结束。2410 H终端外修流程过程方法说明及节点工作的做法描述节点1：流程开始。节点2：终端硬件损坏，需要外修更换，终端维护员将终端带回信息中心。节点3：设备管理员修改设备异动台帐。节点4：检测终端，确认故障点，主板故障或是显卡故障等等。节点5：设备管理员对需要联系外修的终端进行登记。节点6：终端维护员拆除终端硬盘，交由设备管理员存放，以免造成数据外泄。节点7：信息中心主任审核，确认数据外泄风险后，进行终端外修。节点8：设备管理员联系维修商维修终端。节点9：维修商维修完毕后，终端返还。节点10：设备管理员对返还的终端进行确认，确认无误后交给终端维护员进行终端性能验收。节点11：终端维护员进行终端验收，如不能通过验收，返回节点8进行处理。节点12：终端验收通过后，终端管理员将终端返还使用单位。节点13：流程结束。2411 异地容灾备份流程过程方法说明及节点工作的做法描述节点1：流程开始节点2：数据库管理员根据实际情况决定哪些数据库需要进行自动备份节点3: 需要进行自动备份的数据库根据情况制定备份方案，规定备份周期和备份时间。节点4：将自动备份方案、手动备份方案交由信息中心主任审批，如不能通过审批返回节点3重新制定自动备份方案、手动备份方案。节点5：需要进行手动备份的数据库根据情况制定备份方案，规定备份周期和备份时间。节点6：备份方案实施。节点7：服务器管理员按计划进行数据库备份，检查自动备份数据库文件。节点8：测试数据库备份文件的有效性、完整性，恢复后是否能正常工作。节点9：自动备份文件恢复后，数据库工作异常，由数据库管理员查找原因排除故障。节点10：设置异地备份服务器的增量备份周期和完整备份周期。节点11：定期检查存储中心的剩余空间，保证自动备份系统的正常工作。节点12：审视自动备份系统的工作情况及时调整备份方案。节点13：流程结束2.4.12 终端安全配置流程节点1: 流程开始节点2:检查各个计算机标识名是否正确，计算机名为个人姓名（汉字）+内部电话号码，工作组为部室名称。节点3:对分配的计算机IP地址在内网安全管理中进行保护，使其能够临时能够访问公司网络，以便安装内网安全软件。节点4:对计算机进行诺顿网络杀毒软件的安装。节点5:对所属计算机进行内网安全系统的注册。节点6:解除对其物理IP地址的保护。节点7:进入内网安全管理系统对IP地址和物理MAC地址进行绑定。节点8:安装所需要的各种应用软件。节点9:进行安全评估，判定是否可以入网工作。节点10:查找遗漏的安全漏洞并安装完毕。节点11:计算机使用人试用后对计算机出具使用评价。节点12:解决计算机使用人提出的故障和需求问题。节点13:流程结束25关键及创新节点说明251信息网络安全管理流程1)关键节点节点11：对小型机、服务器进行全方位扫描，全面检测小型机、服务器和数据库存在的漏洞，从而进行针对性处理。节点17：部署终端安全管理系统，使全网终端始终处于可控、在控状态，发现问题，及时处理。节点18：强化U盘、移动硬盘的安全管理，部署移动存储介质认证系统，对进入办公网络的移动存储设备进行安全认证，配合终端安全管理系统，阻止没有经过安全认证的移动存储设备进入办公网络。2）创新节点节点2：信息中心制定信息网络安全管理规划方案，呈报信息网络安全管理领导小组审批。方案内容包括：内外网隔离改造实施方案，列出网络改造所需设备明细，估算施工周期；终端和存储介质安全管理方案，注明引进配套管理软件所需资金；职工信息安全培训计划和考评标准。节点A：执行信息网络安全改造流程，搭建无线网络用于访问互联网和公网业务的开展，无线网络逻辑上划分为2个网段，外网业务应用网段和互联网浏览网段。办公内网与外网完全分离，交换机安全设置，实施终端MAC-IP地址绑定，对未分配IP地址绑定全0的MAC地址，防止非法用户盗用IP地址造成访问权限失控，办公内网与无线外网分别部署网管软件，实时监控网络运行。营销、生产、OA等重要应用服务器通过防火墙与公司办公网络互联，提高数据安全性，建立机房、服务器监控系统，时刻掌握机房设备运行状况和服务器运行状态。节点7：信息网络安全评估通过后信息中心利用BTNM网管软件、IPS、SYMANTEC END POINT MANAGER等管理平台，通过端口扫描，弱口令猜解等方式检测网络漏洞和终端漏洞。252 A信息网络安全改造流程1)关键节点节点17：设置防火墙，启用安全策略，防范来自外网的攻击；添加安全访问规则，使用NAT和反向NAT实现外网应用服务器与互联网的访问，通过地址映射和端口映射控制无线外网终端访问外网的权限。节点18：防火墙设置完毕后，部署无线外网网络管理软件，全方位监控网络运行状况。节点22：为对机房实施全方位监控，我们组建了机房监控系统，实现了门禁指纹识别、红外探头配合全角摄像头自动记录机房内人员活动情况、全时段感知机房空调是否漏水、UPS和空调运行监