互联网数据机房安全管理制度规范.docx

互联网数据机房安全管理制度规范.docx

《互联网数据机房安全管理制度规范.docx》由会员分享，可在线阅读，更多相关《互联网数据机房安全管理制度规范.docx（27页珍藏版）》请在冰豆网上搜索。

互联网数据机房安全管理制度规范

第一章绪论

当今社会运转，无不需要信息化，信息服务正在呈几何级数增长，电信运营商、业务提供商对IDC机房的要求也越来越高，如何能为他们提供一个安全、稳定、可扩展、易升级、节能环保的IDC机房已经显得非常重要，这对于运营商的发展，乃至信息行业的发展而言，都是未来相当长一段时间内的重中之重。

目前企业面对传统数据中心管理复杂、运维成本高居不下、难以适应业务发展需要等一系列问题，对数据中心建设热情依旧，新建、扩建、改建项目都有不同程度增加，未来投资力度依然很大。

国内数据中心市场处于高速增长期，项目建设也需要一定周期，所以对市场波动和风险有较强的抵抗能力。

目前数据中心厂商在加紧新技术、新产品的推广力度，针对行业应用特点的各种整体解决方案不断推出，节能、安全、智能管理等概念逐渐深入，厂商之间以及厂商和用户的合作日益紧密，也为数据中心产业今后的健康发展奠定了基础，对于电信级数据中心的挑战。

就维护方面，首先要对维护人员的组织架构和管理进行重新组织和规划。

将人员分成几层，第一种对设备健康状况简单的维护。

维护人员针对以前的数据中心设备进行一些简单的操作维护和管理，专业化水平相对较低，无法进行更深入的管理。

第二种是专业化程度相当于数据库的专业人员。

在以前没有规模化和效益化之前。

运营商并未提供这种服务，客户需求似乎也没那么强烈。

专业化不足是其中一个挑战。

其次，由于数据中心的虚拟化和云化，运营商亟需细分和提高维护人员的技术水平。

基于规模化和一体化平台，运营商可以分级别、分客户市场培养相对应的专业技术人员，比如分别培养具有支持客户、面向服务和面向内部系统等的专门人才，以满足在“云”的各种层次上都有专业技术人员做支撑的要求。

为了确保市场要求，在高速增长的同时，不仅仅要培养大量的运营维护人员，还在要在制度上对从业人员进行规范。

本人工作于计算机通讯行业，长期从事电信业务技术工作，长时间工作于各地电信机房，对于各地IDC机房的管理规范熟知。

应公司邀请，参加公司IDC机房管理制度的完善工作。

利用本人的工作经验，参考各地电信机房的管理制度，参与完善编写IDC机房管理制度规范，以此成文。

第二章机房物理安全管理

2.1人员安全管理

1.数据中心人员要切实遵守安全制度，认真执行用电、防火的安全规定，做好防火、防爆、防盗、防汛等工作，确保人身和设备的安全，每个数据中心人员都应学会触电后的急救，掌握防火灭火常识和消防器材的使用。

机房内必须有相应的灭火器材和防护用具。

2.机房一旦发生火情，数据中心人员应按照通信机房火灾应急处理流程进行处理，并立即上报。

3.在维护、测试、磁带调换、装载、障碍处理、日常操作以及工程施工等工作中，应采取预防措施，避免工伤和通信事故的发生，插拔电路板时，应采取防静电措施，禁止佩戴手表戒指等金属物品，以免损坏电路板。

4.注意安全用电，遵守安全用电规定。

不准擅自带电作业，经批准带电作业时，应做好绝缘防护措施，按照相关操作规程实施，禁止一切可能造成电源短路和人身设备受损的行动。

5.登高作业或搬运笨重物件时，应遵守相关安全操作规定，防止人身伤亡或器材损坏。

6.机房内禁止工作人员用餐和存放食品，防止引入老鼠造成电器短路；禁止将水带入机房。

2.2代维人员安全管理

2.2.1代维人员安全管理制度

1.代维人员必须遵守数据中心所有管理规定。

2.代维人员要切实遵守安全制度，认真执行用电、防火的安全规定，做好防火、防爆、防盗、防汛等工作，确保人身和设备的安全，每个代维人员都应学会触电后的急救，掌握防火灭火常识和消防器材的使用。

机房内必须有相应的灭火器材和防护用具。

3.代维人员对数据中心所有物理安全进行事实监控，负责数据中心日常工作。

4.机房一旦发生火情，代维人员应按照通信机房火灾应急处理流程进行处理，并立即上报。

2.2.2交接班制度

1.交接班内容：

（1）机房内正在使用的主、备用设备工作情况。

（2）检查所有客户设备运行情况。

（3）维护作业执行情况和故障处理情况。

（4）上级部门临时交待的重要事项和有关通知。

（5）填写并打印所有交班报告。

（6）记录上传文档服务器。

（7）工具、仪器常用的资料、文件、紧急备用材料、消防器材等是否齐全。

（8）机房环境（温度、湿度、空调、清洁、日光灯等）情况。

2.值机人员应在下班前30分钟全面巡视机房一次，按交班内容作好交班准备工作。

3.接班人员应在接班前10分钟进入机房等待接班，并查阅综合记录、通知等有关记录。

4.接班者在听取交待后，由交班者陪同对机房正在使用的所有设备进行检查无误后宣布正式接班，发出交班报告，并在值班记录表上双方签名，该时间作为正式接班时间。

5.交接班中由于漏交、错交而产生的差错由交班者负责，接班后发现的差错事故由接班者负责。

6.交班者正在处理重大问题，或未做完应做的例行工作以及机房混乱、工具不清等不得交接班。

7.在交接班过程中发生故障时以交班者为主负责处理，接班者协助处理，完成和告一段落后才能继续交接班，并将情况在值班表中记录清楚。

2.2.3机房巡回检查制度

1.值班人员每60分钟对机房设备进行巡回检查，并根据表格作好相应记录；重点通信保障期间巡检制度为每30分钟检查一次。

2.对需要打印的记录应按规定打印。

3.如发现线缆质量有问题或设备故障，应立即采取相应措施，做好记录，并向运维组长汇报。

4.如遇电源变化，气候恶劣情况时，应加强巡视检查。

5.如发现客户设备有问题，应立即通知客户处理。

2.2.4机房值机记录规定

1.值机人员姓名，值班日期及交接班时间有明确记录。

2.值班期间告警及系统运行情况详细记录。

对网络配置、数据备份、系统启动、重大故障等做专项记录。

（1）做网络配置前后必须进行备份。

（2）记录表详细填写修改内容、操作员、时间和结果。

3.客户移入移出设备需详细填写设备移入移出记录表。

（1）移出设备需要其公司盖章后的介绍信。

（2）移出人需是授权人并持有有效证件。

2.2.5与相关单位联系制度

1.机房发现与其他网络接口设备、传输线路等有不正常情况时应首先检查本端设备，并作好相应记录。

确认本端无问题，与相关单位协调解决。

2.业务系统发生故障，机房人员必须立即用电话通告系统负责人，把故障情况和本端初步检查结果告诉对方，请对方帮助检查。

接到相关部门反馈检查结果后，值机人员必须作好详细记录。

3.在进行维护时可能影响到对端设备，应事先通知对方机房，进入其他单位机房，需按对方要求填写申请。

4.机房环境动力问题，联系相关专业尽快解决（物业、空调、电源、消防）。

2.3第三方人员安全管理

1.对进入IDC人员进行访问控制，所有进入IDC人员必须填写《数据中心访客登记》。

2.访问IDC的人员需遵守《数据中心管理规范》。

3.对于进入数据中心机房调试维护的客户，需告知客户安全通道急出现紧急情况的处理办法。

4.访问数据中心人员必须出示有效身份证明和文件，证明进入数据中心已经过授权。

5.参观人员必须事先报经数据中心人员同意后，在有数据中心人员带领下,方可进入。

6.进入数据中心必须佩戴数据中心发出的访客标识。

7.访问数据中心人员只能在授权活动范围内活动，不得随意在数据中心活动或擅自进入机房。

8.除特别需要外（如系统安装,更换服务器,更换硬件）,第三方维护人员不得进入机房进行调试。

9.人员进入机房在维护工作完成后,应立即离开机房,不得无故停留。

10.重启进程等工作,可以选择远程操作,如有特殊需求,可在数据中心指定调试工位进行调试,调试过程中禁止做与工作无关的操作。

11.配合数据中心相关维护管理人员，填写相应登记记录,并告知数据中心维护管理员进入机房的维护内容,得到允许后,方可进入机房。

12.访问数据中心人员在未经允许的情况下，不得对机房设备进行拍照、摄像等行为。

13.机房内禁止用餐和存放食品，防止引入老鼠造成电器短路；禁止将水带入机房。

14.禁止带易燃易爆物品进入机房，设备维护用品及资料必须在离开时带出机房。

2.4机房环境安全管理

1.机房不准使用木板、纤维板、宝丽板、塑料板、聚苯乙烯泡沫塑料等易燃材料装修。

2.吊顶隔墙、空调通风管道、门窗、窗帘等物应采用阻燃材料制作，对已使用易燃可燃材料装修的，要采用防火涂料等办法进行防火处理，以便提高耐火等级。

3.机房温度应保持在15~25℃，相对湿度在40%~60%，保持正常通风。

4.机房与机房，机房与办公区要有区域防火隔离。

5.水平方向铺设的电缆、电线及管道穿墙时，孔洞缝隙要用非燃材料进行封堵。

电缆竖井及管道，应在每层的楼板处用非燃材料进行封堵，竖井及其检修部门不准使用可燃材料。

6.机房应根据不同部位合理选配消防器材并存放明显部位。

消防器材要指定专人定期检查维护管理，保证长期处于完好有效状态，消防器材设施任何人均不得挪做他用。

7.院内和楼内消火栓、消防井要定期检查确保完好，要做到无封堵、无压盖。

各部位的通道，不准堆积杂物和易燃物品，不得随意封堵消防通道，确保通道畅通。

8.机房内严禁吸烟，禁止使用电热器具，禁止使用明火作业和电气焊。

9.机房内要长期保持清洁整齐，禁止堆放与通信生产无关的物品，打印纸、包装箱等易燃物品要随时清除。

10.机房内禁止存放易燃易爆及腐蚀性物品。

对于设备维护需要的软件、机房手册等，应放置在专用铁柜中。

11.机房不准有易燃可燃气体、液体，不准使用可燃易燃液体清洁设备、擦拭地板。

12.机房内非特殊需要，严禁使用明火。

若确有必要，必须持有相关部门批准的文件，并采取相应严密措施后，方可动用明火。

13.对于机房各种照明及应急照明，每周进行检查，如有问题即时与物业联系更换。

2.5门禁安全管理

1.数据中心所有机房门必须设门禁。

2.非数据中心人员除授权外不得随便进入机房。

3.门禁必须设有紧急开关按钮，出现紧急情况可以通过击碎紧急按钮玻璃逃生。

4.平时不使用的机房门必须从机房内侧反锁，门上用十字封条封死。

5.门禁卡设有专人管理，申请门禁卡需填写《数据中心门禁访问申请表》，由数据中心经理签字后方可制作使用。

6.门禁系统需与消防联动，当消防告警，门禁系统自动失效，机房内人员可以逃生。

7.门禁卡必须设置备用卡，由专人保管，在紧急事件中使用。

8.门禁记录每年至少检查一次。

2.6机房设备安全管理

2.6.1自有设备管理

1.数据中心自有设备需有单独机柜摆放，客户不得对数据中心设备进行任何操作。

2.数据中心自有设备每天进行巡检，每月由维保厂家进行维护。

3.数据中心自有设备必须帖有公司资产标签。

4.数据中心设有专人管理所有设备资产。

5.每半年对数据中心设备资产进行核查登记。

6.数据中心自有设备位置移动需有资产管理员及经理的授权，填写相关表单后方可移动。

7.对于数据中心运行的设备进行实时监控。

8.自有设备物理情况每天进行检查记录。

2.6.2客户设备管理

1.进入数据中心设备需遵循数据中心安全管理规范，非品牌设备不得托管在数据中心。

2.数据中心客户设备每天由运维人员进行物理巡检，客户每月至少维护一次。

3.进入数据中心设备必须填写《客户设备记录表－第一部分：

移入记录》进行备案。

4.客户移出设备需持单位盖章的介绍信及单位盖章、授权人签字的《客户设备记录表－第二部分：

移出记录》。

5.对于客户设备数据中心进行7×24小时监控。

6.客户设备安装需按照数据中心管理规定。

7.放入数据中心机柜中的设备必须遵循用电规范，每个机柜不得超过2500KW/h。

8.放入数据中心机柜中的设备必须遵循数据中心散热管理规定。

2.7机房电源、空调安全管理

2.7.1机房电源安全管理

1.数据中心电源扩容，必须在网运中心电源部门的配合下才能进行

2.所有设备加电前需确保不超过空开负载。

3.客户不得自行开关机柜空气开关，不得进行带电设备拆卸。

4.电源线应采用整段的线料，不得在中间接头。

交流电源线必须有接地保护线。

机房内由接地总汇集线引出的交直流接地线应设明显标志。

安装后的电源线应用不同的颜色的胶带区分，电缆剖头处必须用胶带和护套封扎。

5.直流电源线与交流电源线、信号线需分开布放，避免绑在同一线束内，避免交叉布放。

6.穿线时电缆两头必须用绝缘物封闭，严禁裸露导线在槽道和设备内穿行。

7.沿地槽布放电源线时，电缆不宜直接与地面接触，如有特殊情况，需套管保护。

8.电源线加钢管（塑料管）保护时，管内需清洁，平滑；电源线穿过后，管口两端应密封，非同一级电压电力电缆，不得穿在同一管孔内。

9.用万用表测量用电设备内正负极接入端是否绝缘，确认无误后用经过绝缘、处理的工具在电源柜内依次将保护地和电力线正极连接在电源柜地线排和正极母排上。

10.在电源设备上接线和最后加电前，必须有工程负责人、IDC维护人员、IDC施工负责人等在场，方可在电源设备上接线和最后加电。

11.电源线布放完毕后，在相对湿度不大于80％时用500伏兆欧表测试线对间、线对地的绝缘电阻应大于1兆欧。

12.测试电源线的压降应符合设计规定。

13.加电1小时后检查电源线线鼻子处，电源线连接处及电源线与设备连接处温度均不大于65度方可。

2.7.2机房空调安全管理

1.对空调工作情况每四小时检查一次，对温度、湿度、运行情况、制冷情况、漏水情况等进行记录。

2.如发现空调有告警情况，应立即通知网运空调班处理。

3.如发现空调有漏水情况，应立即采取应急处理，处理后通知网运空调班进行检修。

4.对于空调后水管缝合处，每天检查一次。

5.对于网运空调班维护空调后，数据中心人员必须进行检查是否有漏水等安全隐患。

2.8机房施工管理

1.进入数据中心进行施工，需要数据中心施工管理员审核确认，填写《现场工程承包商入场工作许可申请》，签署《项目施工协议书》后，并认真阅读《现场施工管理办法》后方可进入施工。

2.搬运设备时要轻拿轻放，禁止在地板上直接拖拉重物。

若因施工或搬运物品而造成地板和墙面损伤将对责任方进行罚款。

3.在地板上挪动机柜需小心损坏地板，并注意人员安全。

4.项目施工负责人及其他人员进入IDC机房必须携带有效证件，穿一次性鞋套，得到工作人员允许并登记后才可以进入。

5.在施工过程中必须遵守移动通信大楼的管理规定。

人员应该爱护机房环境，设备应在机房外拆封，禁止将纸箱子等易燃物带入机房，垃圾要带走。

6.禁止使用两个插销板进行串连使用，禁止在显示器散热孔及类似的设备上放置纸张。

7.施工人员在机房及维护室内禁止吸烟，喝水，吃东西，大声喧哗,禁止一切与工作无关的事，禁止将水杯和易燃易爆物品带入机房内，如被发现，将给予处罚。

8.在IDC范围内钻孔、焊接和会造成灰尘、震动或噪音工程前，必须通IDC工作人员，得到IDC工作人员批准后并在IDC工作人员的监督下，才能按规定实施，会造成灰尘的必须使用吸尘器即时清楚。

9.严禁使用机柜电源为工程工具提供电力。

在IDC机房内的线路路由，必须由IDC工作人员核准后，按照规定路由布线。

10.如需要布放线延至IDC机房以外，需要得到IDC机房负责人的许可后才可布放。

11.移动内部业务系统设备标签和网线标签要遵循集团标准。

12.施工人员不得进入监控室，不得触碰、观看、记录IDC内的设备和设施，不得随意搬动消防器材。

13.施工人员除施工需要不得影响其他客户工作，闲杂人员禁止进入机房,未经许可，禁止在机房内进行照相、摄影及其他一些活动。

14.当天施工结束后要将场地清理干净。

操作结束后（包括软件升级、打补丁、各种工程施工），不能在机柜内、机柜上、假地板下面等地方遗留杂物（包括纸箱、技术资料、锣钉锣栓、线段和线皮、塑料包装用品、钥匙和标牌等）。

操作时使用的各种连线、插销板等要物归原位。

15.如果有设备要寄存在IDC，要向IDC工作人员说明，并写明项目名称及寄存清单，将设备放置指定地点。

16.从IDC借用工具要填写借用登记表，用完后要及时归还。

17.严禁在通信楼内任何地方（包括厕所内）吸烟，发现一个烟头罚款50元，并对责任单位进行最高2000元的罚款。

18.发生火灾等紧急情况，应立即拔出着火电路盘切断火源并呼叫IDC维护人员采取灭火措施。

19.严禁将工具放在设备和高凳上，以防发生事故，在高凳上施工作业，必须设专人保护，作业人员使用的工具、部件要妥善放置，避免高空坠落的危险发生。

20.使用电钻钻孔时要随手清理灰尘，打眼组装后清洁全部施工现场，铁屑、缆皮、缆头等集中处理干净。

21.注意用电安全，遵守安全用电规定，不准擅自带电作业。

经批准带电作业时，应做好绝缘防护措施，按照相关操作规程实施，禁止一切可能造成电源短路和人身设备受损的行动。

22.对于各种施工辅助材料（通用），各施工队员应严格遵守使用规定，不得私自挪用，影响正常施工进度。

23.在投入运行的设备现场进行扩容等施工工作，应杜绝由于施工造成的误操作或其他原因给现网运行设备造成影响或阻断。

24.各施工单位应贯彻执行本规定的具体要求，其自行制定的规程不得与本规定相抵触。

2.9安全检查

1.每年元旦、春节、两会、五一、十一等重大节日期间，对通信机房安全生产情况进行检查，是否存在安全隐患等情况。

2.按照代维合同要求，每月检查运维工作执行情况，每季度对代维工作进行考核，并做检查记录。

3.在检查安全生产时，要边检查边整改。

第三章信息安全管理

3.1信息资产安全

1.资产管理员负责识别管理的信息资产。

2.资产管理员负责核实和维护本部门系统信息资产的信息。

3.资产属性发生变更，资产管理员要及时更新信息资产记录。

变更包括地理位置变动、信息资产配置信息、补丁信息等变动。

4.资产管理权限发生变更，资产管理员要及时通知本公司安全管理员，将资产状况及时更新到公司安全管理系统中。

管理权限变更包括资产所属系统发生变更和信息资产所属部门发生变更。

5.资产设备由设备所属的系统管理人员负责安全防护。

6.部门信息安全工作组定期巡检本部门所属系统信息资产的安全状况。

7.在系统建设设备选型时应符合集团公司入网规范，确保产品的可靠性。

3.2网络安全管理

1.各系统网络设备当前运行配置文件应和备份配置文件保持一致。

2.网络设备登录提示标识应适当屏蔽内部网络信息内容，并应有相关合法性警告信息。

3.通过设备日志或外部认证设备维护对设备的登录状况，内容应当包括访问登录时间，人员，成功登录和失败登录时间和次数等信息。

4.严格控制对网络设备的管理授权。

按照最小权限原则对用户进行授权。

5.各系统网络设备的密码应严格按照《账号、口令及权限管理办法》执行。

6.严禁管理员透漏设备口令、SNMP字符串、设备配置文件等信息给未授权人员。

7.所有网络必须具有关于拓扑结构、所用设备、链路使用情况等关于网络情况的详细说明文档，并保持文档内容和现有网络、设备连接和链路信息保持一致。

8.对重要区域实行冷备份与热备份相结合的方式，避免双重失效造成的影响。

9.重要系统在网络上传输机密性要求高的信息时，必须启用可靠的加密算法保证传输安全。

10.由统一的IP地址管理机构、人员负责对IP地址进行规划、登记、维护和分配。

确保部门有足够的地址容量并有一定的冗余供扩展使用，并及时关闭和回收被废止的地址。

11.未经公司信息安全组织批准，测试网络与公司内部网络不能直接连接。

12.未经公司信息安全组织批准，严禁员工私自设立拨号接入服务。

13.未经公司信息安全组织批准，严禁员工通过拔号方式对外部网络进行访问。

14.所有的远程访问必须具备身份鉴别和访问授权控制，至少应采用用户名/口令方式，通过Internet的远程接入访问必须通过VPN的连接，并启用VPN的加密与验证功能。

15.不同安全区域之间应采用防火墙，路由器访问控制列表等方式对边界进行保护。

只开放必要的服务和端口，减少暴露在网络外部的风险。

16.根据业务变化及时检验更新现有的防火墙配置策略，满足新的安全需求。

17.采取逻辑或物理隔离方法对网络采取必要的隔离措施，以维护不同网络间信息的机密性，解决网络信息分区传输的安全问题。

18.网络中各设备应开启日志记录功能，对网络使用情况进行记录。

3.3账号、口令及权限管理

3.3.1帐号管理

1.系统管理员应当对系统帐号使用情况进行统一管理，并对每个帐号的使用者信息、帐号权限、使用期限进行记录。

2.应避免使用系统默认账号，系统管理员应当为每一个系统用户设置一个帐号，避免系统内部存在共享帐号。

3.各系统管理员应当对系统中存在的账号进行定期检查，确保系统中不存在无用或匿名账号。

4.部门信息安全组定期检查各系统帐号管理情况，内容应包含如下几个方面：

员工离职或帐号已经过期，相应的帐号在系统中仍然存在上；

用户是否被授予了与其工作职责不相符的系统访问权限；

帐号使用情况是否和系统管理员备案的用户账号权限情况一致；

是否存在非法账号或者长期未使用账号；

是否存在弱口令账号。

5.各系统应具有系统安全日志功能，能够记录系统帐号的登录和访问时间、操作内容、IP地址等信息。

6.系统在创建账号、变更账号以及撤销账号的过程中，应到得到部门经理的审批后才可实施。

3.3.2口令管理

1.系统密码、口令的设置至少应该符合以下要求：

长度大于8位；

大小写字母、数字，以及特殊字符混合使用，例如：

TmB1w2R!

；

不是任何语言的单词；

不能使用缺省设置的密码。

2.密码至少应该保证每季度更换一次，包括：

UNIX/Linux系统root用户的密码、网络设备的enable密码、Windows系统Administrator用户的密码，以及应用系统的管理用户密码。

3.密码不能以明文的方式通过电子邮件或者其它网络传输方式进行传输。

4.公司员工不能将密码告诉别人，如果系统的密码泄漏了，必须立即更改。

5.系统管理员不能共享超级用户帐号，应采用组策略控制超级用户的访问。

6.业务管理人员不能共享业务管理帐号，应当为每一位业务管理人员分配单独的帐号。

7.所有系统集成商在施工期间设立的缺省密码在系统投入使用之前都要删除。

8.密码要以加密形式保存，加密算法强度要高，加密算法要不可逆。

9.密码在输入系统时，不能在显示屏上明文显示出来。

10.系统应该强制指定密码的策略，包括密码的最短有效期、最长有效期、最短长度、复杂性等。

11.除了系统管理员外，普通用户不能改变其它用户的口令。

3.3.3权限管理

1.各系统应根据“最小授权”的原则设定账户访问权限，控制用户仅能够访问到工作需要的信息。

2.从账号管理的角度，应进行基于角色的访问控制权限的设定，即对系统的访问控制权限是以角色或组为单位进行授予。

3.细分角色根据系统的特性和功能长期存在，基本不随人员和管理岗位的变更而变更。

4.一个用户根据实际情况可以分配多个角色。

5.各系统应该设置审计用户的权限，审计用户应当具备比较完整的读权限，审计用户应当能够读取系统关键文件，检查系统设置、系统日志等信息。

3.4配置变更管理

1.各系统管理员应对本系统的设备、系统等IT资产的配置进行记录，并保存配置记录信息。

2.各系统在发生