生产服务器部署规范
一、服务器选型
CPU、硬盘、内存等硬件必须是当前主流产品,必须配备冗余电源、远程管理卡,,
硬盘至少为两块,应用服务器RADI1,数据库服务器RADI5。。
参考现在的服务器选型标准文档
二、操作系统标准
.初始化系统安装包
初始化系统需要开启的服务:
初始化参数优化
对现有现有操作系统操作系统进行标准化,其中包括初始化安装包、初始化系统服务,优化标准话内核参数的初始化(针对不同应用如数据库或web),以及文件系统格式的标准化。
三、目录标准(分区)
四、应用程序(中间件的版本,即目录结构)
五、新应用上线的标准
web服务器:
Web系统上线所需脚本:
六、代码上线标准
注:
代码上线标准:每次代码上线开发人员本地必须保留版本库(与生成上保持一致),
上线完成后验证本地与生产的代码是否一致。
七、服务器上架标准
服务器上线需确认的基本信息:
备注(初始化脚本内容):
AD域控服务器管理规范 一、基本规范 1.1、目的 为了加强域服务器、网络系统安全,保障系统、数据的安全运行特制定本制度。本制度适用于公司域服务器、网络系统的运行、维护和管理。 1.2、范围 1.本网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2.软件包括:服务器操作系统、数据库及应用软件、各部门工作相关的网络应用软件等。 3.域服务器网络系统配置包括在网络上的名称、IP地址分配,用户登录名称、用户密码、DNS地址设置及Internet的配置等。 4.软件是指操作系统(如Windows server2008等)系统软件。也包括病毒防范相关的应用软件。 1.3、职责 1.网络管理员为域服务器安全运行的工作人员,负责域服务器系统的日常维护和管理 2.负责系统软件的调研、采购、安装、升级、保管工作。 3.网络管理员负责域服务器的安全运行和数据备份;Ineternet对外接口安全以及计算机系统病毒防范管理;各种软件的用户密码及权限管理;协助其他职能部门进行数据备份和数据归档。 4.网络管理员和其他公司员工执行公司保密制度,严守企业商业机密;
5.服务器系统管理员密码及相关保密事项必须由网络管理相关人员掌握。1.4、管理 1.网络管理员每日定时对域服务器进行日常巡视,并填写《域服务器运行日志》。 2.对于系统和网络出现的异常现象,网络管理员应及时组织相关人员进行分析,制定处理方案,采取积极措施,并如实将异常现象记录在《服务器运行日志》。针对未能及时解决的异常现象应将异常现象描述、分析原因、处理方案、处理结果、预防措施等内容及时形成书面形式告知相关工作人员,并跟踪检查处理结果。 3.定时维护域服务器,及时组织清理磁盘(如:系统垃圾文件、各类文档临时储存文件等),保证服务器有充足空间,保障网络系统能够正常运行。 4.制定域服务器的病毒防范措施,及时下载、更新最新的病毒库,防止服务器受病毒的侵害。 1.5、使用 1.帐号管理:所有网络管理员在使用或维护完域控服务器后,应正常将帐号退出。 2.网络管理员不得随意使用其他工作人员的身份登录域控服务器或其他应用系统,确因工作需要需征得本人同意。 3.网络管理应保管好管理员密码,并定期更换密码,以保证密码安全。 4.其他拥有管理员权限用户不得随意更换域控服务器的名称、IP地址、DNS 等相关设置。因特殊原因确需更改时,应由网络管理员统一调整,并及时修改。
Windows Server 2008 R2 WEB 服务器安全设置指南(四)之禁用不必要的服务和关闭端口 安全是重中之重,以最少的服务换取最大的安全。通过只启用需要用到的服务、关闭暂时用不到的服务或不用的服务,这样最大程度来提高安全性。 作为web服务器,并不是所有默认服务都需要的,所以像打印、共享服务都可以禁用。当然了,你的系统补丁也需要更新到最新,一些端口的漏洞已经随着补丁的更新而被修复了。网上的一些文章都是相互复制且是基于win2003系统较多,而win2008相比win2003本身就要安全很多。 那我们为什么还要谈关闭端口呢,因为我们要防患于未然,万一服务器被黑就不好玩了。 禁用不必要的服务 控制面板―――管理工具―――服务:把下面的服务全部停止并禁用。 TCP/IP NetBIOS Helper Server 这个服务器需要小心。天翼云主机需要用到这个服务,所以在天翼云主机上不能禁用。 Distributed Link Tracking Client Microsoft Search 如果有,则禁用
Print Spooler Remote Registry 因为我们使用的是云主机,跟单机又不一样,所以有些服务并不能一概而论,如上面的Server服务。例如天翼云的主机,上海1和内蒙池的主机就不一样,内蒙池的主机需要依赖Server服务,而上海1的不需要依赖此服务,所以上海1的可以禁用,内蒙池就不能禁用了。 所以在禁用某一项服务时必须要小心再小心。 删除文件打印和共享 本地连接右击属性,删除TCP/IPV6、Microsoft网络客户端、文件和打印共享。
前台柜员日常业务操作规范 一、营业准备时间 1、柜员着工装进入工作柜台,严禁携带包、手机等任何私人物品,工作桌面摆放整齐不得堆放杂物及与工作无关书籍等物品 2、柜员凭自己的磁卡和密码登陆核心系统 3、清点尾箱现金、重要空白凭证,核对无误后与业务印章、个人名章一起入钱箱加锁保管 4、开启对讲机、验钞机、打印机等设备检查是否运行正常 二、营业期间 1、办理业务过程中精力集中,坚守岗位,无擅自离岗、串岗、聚谈闲聊、喧哗和笑闹现象。 2、因事离岗时应在营业窗口摆放暂停营业牌子,以提示客户。 3、办理业务过程中正确使用排队叫号机、对讲机,礼貌待客,杜绝大声喧哗或柜员之间闲谈与业务无关的话题。 4、前台柜员办理业务过程中不得中断业务接打私人电话,接打业务电话时应先告知正在办理业务的客户。 5、柜员业务处理完毕,现金应及时放入钱箱,柜面不得堆放现金。 6、柜员钱箱现金应及时整点、挑剔,不得对外支付不宜流通的人民币,大额现金应及时上缴库管员。 7、柜员日间办理业务必须以真实、合法的原始会计凭证作为交
易处理依据;受理业务依次一笔一清,一笔业务未处理完毕不得离柜,不得接受第二笔业务; 8、当日业务当日处理,不得积压;柜员间的工作要协调,凭证传递要及时正确、交接清楚,不得随意压票和拒绝办理。 9、业务操作中,要服从管理,若出现故障应立即向会计主管报告,不得擅自处理和不管不问;对会计主管监督发现的问题,柜员要立即纠正,若不纠正被事后检查或上级部门检查发现后,按照有关规定从严处罚; 10、重要空白凭证按号码顺序使用,不得跳号,按规定用途和程序使用,规范登记重要空白凭证使用登记簿,每日核对确保证、实、簿相符。使用计算机签发的重要空白凭证,不得手工填制,不得涂改,未经会计主管授权不得擅自重打、补打。 11、柜员凭柜员卡登陆操作系统,营业期间不得由他人代办业务,临时离岗签退操作系统,妥善保管柜员卡。 12、会计印章专人使用、专人负责,严禁在重要空白凭证上提前加盖业务印章,各类业务印章不得携带出本单位使用,印章保管人员变动应办理交接手续。 13、现金业务坚持“付款业务先记账后付款,收款业务先收款后记账”原则,大额存现业务要先点大把,再逐把清点。 14、柜员当班期间不得在柜台内办理本人的私人业务或代理他人办理业务。 15、严禁柜员代替客户在特殊业务凭证、个人业务凭证上签字
XXX系统 管理平台 --服务器管理规范--
目录 第一章总则 (3) 第二章指导原则 (3) 第三章服务器管理规范 (3) 第四章服务器保密制度 (4) 第五章相关记录 (5) 第六章相关文件 (5) 第七章附则 (5)
第一章总则 第一条为科学有效地管理服务器,保障XXX系统平台安全的应用、高效运行,特制定本规章制度,请遵照执行。 第二条本细则适用于XXX系统平台。 第二章指导原则 第三条严格落实安全责任有效增强防范措施 积极完善应急机制确保可靠稳定运行 第四条机房管理人员依据此规范进行对服务器操作,并记录好相应记录。 第三章服务器管理规范 第五条服务器、路由器和交换机以及通信设备是网络的关键设备,须放置在机房内,不得自行配置或更换,更不能挪作它用。 第六条服务器机房要保持清洁、卫生,并由专人负责管理和维护(包括温度、湿度、电力系统、网络设备等),除系统维护时间外,要保障服务器24小时正常运行。 第七条依据《机房管理制度》,严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。 第八条不得在服务器上使用带有病毒和木马的软件、光盘和可移动存贮设备,使用上述设备前一定要先做好病毒检测;不得利用服务器从事工作以外的事情,无工作需 要不得擅自拆卸服务器零部件,严禁更换服务器配套设备。不得擅自删除、移动、 更改服务器数据;不得故意破坏服务器系统;不得擅自修改服务器系统时间。第九条服务器系统必须及时升级安装安全补丁,弥补系统漏洞;必须为服务器系统做好病毒及木马的实时监测,及时升级病毒库。 第十条管理员对超级账户口令应严格保密、定期修改,以保证系统安全,防止对系统的非法入侵。同时可对服务器上的管理权限、进行更新设置,防止恶意破译。 第十一条建立机房登记制度,对本地局域网的运行建立档案。未发生故障或故障隐患时当
服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字,并新建同名 Administrator普通用户,设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。
(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名;——启动 交互式登录:回话锁定时显示用户信息;——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问:可匿名访问的共享;——清空 网络访问:可匿名访问的命名管道;——清空 网络访问:可远程访问的注册表路径;——清空 网络访问:可远程访问的注册表路径和子路径;——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户(****代表计算机名)ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注:用户添加查找如下图:
(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下: (8)
文件服务器管理规范 第一章总则 第一条本文件服务器承担共享和存储服务,有严格的权限配置来保证数据安全 第二条设立文件服务器,主要是为各部门提供一个资源共享的平台,有利于加强公司内部的交流与学习,便于经理、主管主任直观地了解、检查督促每位工作人员的工作。 第二章文档管理内容 第三条各部门文档管理员都应及时将与业务工作有关的各类材料上存文件服务器,与工作无关的各类资料一律不得上传。 第四条各部门负责人可以在各自主目录下设立子文件夹,并设置相应文档管理人员权限,以便于文件的管理、查阅和存档。根据工作需要,可以在子文件下,再设立子文件夹。 第五条全体职员要树立保密意识,切实加强对文字材料的管理,坚决杜绝诸如将办公室文件贴在互联网上等泄露秘密事件的发生。一旦出现问题,视情节轻重,追究责任人的相关责任。 第六条 IT部负责文件服务器的维护。各部门在使用文件服务器的过程中,出现问题,要及时通知IT部,由IT部负责解决。若因未及时通知而出现问题,责任自负。 第七条只允许存放工作文件,严禁与工作无关文件存储在
服务器上,部门文档管理员有权利协助删除不符合要求的文件。 第八条重要文件必须存放在服务器上,本地保留副本,否则出现文件丢失或损坏由其本人负责。 第九条为减轻服务器压力,不允许在服务器上直接运行文件,需要提取文件时,应先复制到本地再运行。 第十条上传文件前,需要先检查病毒,确保上传的文件是安全的。 第十一条部门负责人应按照项目名称建立总目录,每个目录下根据用途再建立子目录,各部门负责人可以根据自身情况设计自己的存储方式,尽量整理整齐,易于查找。 第十二条目录创建和权限分配因需求变化,默认创建的目录和权限是最基本的。 第十三条各部门分别整理自己的文档,存放到各自相应的目录,对于不同阶段的文档要有区分的存放到不同目录。 第十五条所有电子文档,除非工作需要,原则上不允许跨部门传播,更不允许外借或者向第三方散播,否则发生纠纷,则
6、先关闭不需要的端口开启防火墙导入IPSEC策略 在” 网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec 的功能。 然后点击确定—>下一步安装。(具体见本文附件1) 3、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 4、备份系统 用GHOST备份系统。 5、安装常用的软件 例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份
修改3389远程连接端口 修改注册表. 开始--运行--regedit 依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )
药房发药、收费日常操作规程 以病人为中心,做有良心的医生,办负责任的医院,树立良好的口碑,为病人提供满意的诊疗服务。 一、班前准备: 1.在上班时间前10—15分钟到达科室。 2.签到,整理工作台、更换工作服、平底鞋、整理头发、化淡妆。3.清点数量,把药品按规定整齐摆放在药架上,保障药品供应。4.收费人员检查零钱备用金、收据、复写纸、计算器、验钞机等必要办公用品。 5.参与临床医生、化验、治疗、护理等其他岗位员工的碰头会,对住院欠费情况与病房医生交流沟通,保证不影响患者治疗用药,更好地为病人服务。 二、划价、收费、发药、核对工作的开展 ㈠划价收费工作流程 1、划价时见到病人到达药房窗口应立即站立并接过处方,确认药品 的品名、规格和数量,当天药房的库存是否足够药房人员要做到心中有数。 2、认真审阅处方后(对处方不明或书写不清之处应立即亲自咨询开 处方的医生但不得随意更改处方)按规定划价,如果药房没有处方所开的药品,可告知医生换用相同效果的同类其他药品。
3、划价时将“挂号费、注射费、输液费、诊查费”合并入“诊疗费” 计价。 4、计算:第一次计算出费用总和,记在心里或写在其他稿纸上,重 新计算第二遍结果与第一遍相同后,把得数留在计算器上,同时记录在处方或检查单上并站立报数,(若在医院优惠活动期内,报价应说明“总额XX,优惠XX,实收XX”如有优惠,则按优惠价计算),注意计算器上的得数不要消除。 5、划价人员报价后,把处方交予收费人员,收费人员收到钱款后, 在处方上写明金额,并签上收费员的名字,盖上“现金收讫章” 后开具三联票据。 6、住院病人记账前要落实有无欠费,若有欠费,应婉转说服患者补 交住院费(或者电话通知病房主管医生),无欠费直接记账并加盖记账章后交给病人,指引其前往相应科室做检查。 注: A:报价时应当站立报出病人的名字和收费金额(语气要柔和,如有优惠,则先报原价,再报优惠幅度和优惠后的价格),病人如对收费有异议,收费人员应对其解释如: (1)让利50%——应说明药品利润按照国家标准只有15%,我们是严格按照国家物价标准收费的,也就是说我们现在只收了7.5%,让出了利润的一半; (2)优惠10%——应说明的是总费用优惠10%。(或是各项费用分别优惠的幅度。) (3)若病人提到药费贵时,可以告知患者----医院药价严格执行
服务器维护管理规范 公司内部网络服务器的安全是关系到公司数据保密和安全的一件大事,是保证各个业务系统正常工作的前提条件,因此必须进行科学、有效地管理。为了保证网络系统安全、高效运行,结合现有网络结构情况,特制定如下制度,请遵照执行: 1.服务器的管理和维护 ●维护目标是保证中心机房设备与信息的安全,保障机房具有良好的运行环境和工作 环境。 ●安排专人负责服务器的日常操作维护工作,其它人不得私自操作服务器;如果确实 需要操作服务器,应征得管理人员许可,并报部门主管同意后方可进行。 ●服务器必须建立完整的技术文档和维护方案。 ●服务器必须定期进行双机热备份。 ●每次更新服务器网站程序前,必须把相关内容备份到移动硬盘中,再进行操作,防 止造成不可挽回的损失。 ●服务器管理员应每周对服务器及外围设备进行1次例行检查和维护。 ●如发现服务器故障应及时向部门主管报告,并负责计算机及外设的日常维护与排除 故障,在遇到电脑公司三包范围内的故障时,应及时催促电脑公司上门或将机器送 至供应商处维修。 2.环境要求 ●服务器机房内必须保持整洁,不得放置无关的设备、物品。 ●每日检查服务器机房的温度和湿度,一般情况下必须保持恒温、恒湿。 ●服务器机房不能放置食品和水,不得在服务器机房内就餐。 ●一般情况下,无关人员不得进入服务器机房。 3.软件环境 为了保证服务器的最大优化,除了安装解压缩、杀毒软件等必要的应用软件外,一般不安装其他非必要的软件,包括OFFICE等,平时最好不设置壁纸、屏幕保护等。严禁安装游戏、聊天工具。 4.杀毒和系统安全 ●需要拷贝到服务器上的程序和数据,必须经过检测确认无病毒后方可进行传入。
服务器主机安全规范 启用防火墙 阿里云windows Server 2008 R2默认居然没有启用防火墙。2012可能也是这样的,不过这个一定要检查! 补丁更新 启用windows更新服务,设置为自动更新状态,以便及时打补丁。 阿里云windows Server 2008 R2默认为自动更新状态,2012可能也是这样的,不过这个一定要检查! 账号口令 优化账号 口令策略
网络服务 优化服务(1) 操作目的关闭不需要的服务,减小风险 加固方法“Win+R”键调出“运行”->services.msc,以下服务改为禁用: Application Layer Gateway Service(为应用程序级协议插件提供支持并启用网 络/协议连接) Background Intelligent Transfer Service(利用空闲的网络带宽在后台传输文 件。如果服务被停用,例如Windows Update 和 MSN Explorer的功能将无法自动 下载程序和其他信息) Computer Browser(维护网络上计算机的更新列表,并将列表提供给计算机指定浏 览) DHCP Client Diagnostic Policy Service Distributed Transaction Coordinator DNS Client Distributed Link Tracking Client Remote Registry(使远程用户能修改此计算机上的注册表设置) Print Spooler(管理所有本地和网络打印队列及控制所有打印工作) Server(不使用文件共享可以关闭,关闭后再右键点某个磁盘选属性,“共享”这个 页面就不存在了) Shell Hardware Detection TCP/IP NetBIOS Helper(提供 TCP/IP (NetBT) 服务上的NetBIOS 和网络 上客户端的NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网 络)
各机房日常巡检制度及操作规范 为规范客户驻地各机房日常巡检工作,统一工作要求及执行标准,特制定此制度及规范。 日常巡检制度 1,运维服务工程师必须按日常工作安排及巡检要求,按时进行日常巡检工作。2,未经运维负责人员授权,运维服务工程师不得擅自调整巡检频度及巡检时间点,如遇特殊情况无法按时进行巡检工作时,应及时向运维负责人汇报。3,经安排的巡检测工作,运维服务工程师将对其执行的巡检过程及巡检结果承担相应责任,不得推卸、推脱相应责任。 4,巡检工程师在巡检过程中发现相关故障及问题,应及时如实进行记录,针对非单点性故障应及时向运维负责人汇报,由运维负责人进行下一步处理。5,巡检结束后,运维工程师应及时、全面、如实填写巡检结果记录文件,并签字确认巡检结果。巡检记录文件不得由非巡检人进行填写或代填。 6,针对巡检工作出现不适合现场实际工作等情况,运维服务工程师可向运维负责人提出问题和个人建议。 7,运维负责人须定期对巡检记录及巡检过程视频进行检查,检查频度不低于一周一次,且对检查结果进行记录和汇总。 8,针对相关超出制度约束范围情况,由运维负责人负责进行解释。 日常巡检规范 巡检规范根据各机房的具体情况及以前故障情况,针对性编制,视各个机房不同情况进行逐一说明。每个机房机房规范包括如下内容:巡检工作安排,巡检时间点,巡检线路,巡检关键点进行说明。
一,总局六楼机房巡检操作规范: 1)巡检工作安排: 本机房日间工作时段(8:00-17:00)内巡检工作按日常工作情况由值班人员和白班人员共同执行;夜间工作时段(17:00-次日8:00)内巡检工作由值班人员独立执行。间隔两小时巡检一次。 每日8:00点由白班人员检查,并将结果同前日晚班人员巡检结果进行核对。每日16:00点由晚班人员检查,并将结果同当日白班人员巡检结果进行核对。 2)巡检时间点: 日间巡检时间点为:8:00,10:00,12:00,14:00,16:00,其中8点巡检由当日白班人员执行,共5次,其中16点巡检由晚班人员执行。 夜间巡检时间点为:18:00,20:00,22:00,24:00,次日2:00,次日4:00,次日6:00,共7次。 巡检时间点尽可能按上述时间点要求执行,一般巡检实际发生时间和规范要求时间偏差不超过30分钟。 3)巡检路线说明: 建议巡检次序为,先基础环境巡检,再分区巡检(从A区到B区C区D区E 区G区)。 建议巡检步行路线从平台门到各台空调,再由A区通道到B区通道C区D区E 区G区等,最后检查门口粘灰板情况。 4)巡检关键点说明: 基础环境部分: 机房各门的开启情况;空调运行情况;玻璃地板下情况;上水加热器情况
服务器使用管理规定 Document number:WTWYT-WYWY-BTGTT-YTTYU-2018GT
服务器管理规范 北京恒华伟业科技股份有限公司 2011年04月 版本历史 审批人员 目录
1.目的 为加强公司内部服务器管理,确保公司各业务系统的正常运行,并及时掌握公司服务器资源闲置或紧张状况,使公司内部服务器在良好的运行环境下,其资源得到安全、科学、有效的利用和调配,特制定本规范。 2.适用范围 本规范适用于软件事业一部、软件事业二部、产品设计部、技术支持部、质量保证部等软件部门使用的服务器,不包括公司OA、外网及配置服务器。服务器硬件、运行及维护管理由公司网管负责,其管理办法不在此之列。 3.服务器资源使用流程 公司服务器的使用整体划分为数据库服务器和应用服务器两大类。数据库服务器的使用采取大集中共享的原则,采用分配数据库用户资源和访问控制方式;应用服务器的使用一般采取统一资源调配原则,采用分配虚拟机资源和访问控制的方式。 服务器资源使用以项目用途为单位进行服务器资源的申请、分配、使用、回收。项目服务器资源使用必须明确负责人。流程图如下所示:
3.1使用申请与分配 项目立项后,项目经理(或经过项目经理授权的项目组成员)可以向质量保证部申请服务器资源,其申请项目主要包括项目名称、用途、需要安装的服务器软件、资源需求等(内存、硬盘空间)。质量保证部管理人员经与产品设计部技术人员协商后,确定分配的资源额及方式,分配相应的资源和权限。质量保证部将资源分配好并做验证后,通知项目相关人员开始使用。项目验收,管理人员应及时落实该项目使用的服务器资源,进行回收注销。 3.2责权分配 ?软件产品设计部是服务器使用技术的主管部门,负责服务器使用的资源规划设计、技术规范、资源监控、性能调优等技术性工作;
WebSphere Web服务器 安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (4) 1.1目的 (4) 1.2适用范围 (4) 1.3适用版本 (4) 1.4实施 (4) 1.5例外条款 (4) 第2章帐号管理、认证授权 (5) 2.1帐号 (5) 2.1.1应用程序角色 (5) 2.1.2控制台帐号安全 (5) 2.1.3口令管理 (6) 2.1.4密码复杂度 (6) 2.2认证授权 (7) 2.2.1控制台安全 (7) 2.2.2全局安全性与Java2安全 (7) 第3章日志配置操作 (9) 3.1日志配置 (9) 3.1.1日志与记录 (9) 第4章备份容错 (10) 4.1备份容错 (10) 第5章设备其他配置操作 (11) 5.1安全管理 (11) 5.1.1控制台超时设置 (11) 5.1.2示例程序删除 (11) 5.1.3错误页面处理 (12) 5.1.4文件访问限制 (12) 5.1.5目录列出访问限制 (13) 5.1.6控制目录权限 (13) 5.1.7补丁管理* (13) 第6章评审与修订 (15)
第1章概述 1.1目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WebSphere Web 服务器应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行WebSphere Web服务器的安全配置。 1.2适用范围 本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的WebSphere Web服务器系统。 1.3适用版本 6.x版本的WebSphere Web服务器。 1.4实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.5例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
信息系统日常操作规程 第一部分:系统日常维护 第一条系统管理员应定期检查系统的运行状况,确保系统正常运行。 第二条系统管理员应定期对系统进行漏洞扫描,对发现的系统漏洞及时修补。 第三条系统管理员必须严格执行系统操作流程,完整、准确、详细地记录并定期分析系统运行日志。 第四条根据软件的最新版本进行补丁升级,在安装补丁程序前首先对重要文件进行备份,并在测试环境中测试通过方可进行补丁程序安装。 第五条若运行期间发生异常应详细记载发生异常情况的时间、现象、处理方式等内容并妥善保存有关原始资料。 第六条系统发生故障按照《税务系统重大网络与信息安全事件调查处理办法》及相关系统的应急计划执行。 第二部分:系统的访问控制策略 第七条系统所有用户口令的长度不少于8位,管理员口令的长度不少于12位,口令必须满足复杂度要求,即字母、数字和特殊字符混合组成;不允许用生日、电话号码等易猜字符作口令。 第八条不准在机房设备上私自安装任何软件,不得在任
何服务器上建立私人文件夹,存放无关数据。 第九条禁止在系统上安装、运行与业务无关的软件;安装必需软件时需选用正版软件,并需经过领导批准。 第十条启用系统软件的安全审计功能。要求记录管理人员对设备进行的操作,包括操作的时间、操作内容、操作人、操作原因等。 第十一条严禁未授权的操作,如:更改设备配置;系统变更,系统访问等。 第十二条系统运行期间要求定时巡视设备的运行状态,实时监测系统的运行状况,保障信息系统的正常运行。 第十三条系统管理员应每天对信息系统进行检测,检测完毕后认真填写《系统运行记录表》,详细记载发生异常情况的现象、时间、处理方式等内容并妥善保存有关原始资料,工作日志必须完整、连续,不得拼接;如果发现异常及时上报。 第十四条新系统安装前必须进行病毒检测。 第十五条远程通信传送的数据,必须经过检测确认无毒后方能传输和使用。 第十六条针对下面可能发生的突发故障,应根据实际情况,制定可行的应急措施和方案,具体包括: 1、通信线路、通信设备和通信软件出现故障时的应急计划;
服务器管理规范 Document number【980KGB-6898YT-769T8CB-246UT-18GG08】
服务器管理制度 v1.0 编写人: 审核人: 批准人: 修订记录:
目录
公司内部服务器的安全是关系到公司数据保密和安全的一件大事,是保证各个业务系统正常工作的前提条件,因此必须进行科学、有效地管理。为了保证网络系统安全、高效运行,结合现有网络结构情况,特制定如下制度,请遵照执行: 服务器的管理和维护 1.维护目标是保证中心机房设备与信息的安全,保障机房具有良好的运行环境和工作环境。 2.安排专人负责服务器的日常操作维护工作,其它人不得私自操作服务器;如果确实需要操作服务器,应征得管理人员许可,并报部门主管同意后方可进行。 3.服务器必须建立完整的技术文档和维护方案。 4.服务器必须定期进行双机热备份。 5.每次更新服务器网站程序前,必须把相关内容备份到移动硬盘中,再进行操作,防止造成不可挽回的损失。 6.服务器管理员应每周对服务器及外围设备进行1次例行检查和维护。 7.如发现服务器故障应及时向部门主管报告,并负责计算机及外设的日常维护与排除故障,在遇到电脑公司三包范围内的故障时,应及时催促电脑公司上门或将机器送至供应商处维修。 机房安全管理制度 1.机房应防尘、防静电,保持清洁、整齐,设备无尘、排列正规、工具就位、资料齐全。
2.机房门内外、通道、设备前后和窗口附近,均不得堆放物品和杂物,做到无垃圾、无污水,以免妨碍通行和工作。 3.机房内严禁烟火,严禁存放和使用易燃易爆物品,严禁使用大功率电器、严禁从事危险性高的工作。如需施工,必须取得领导、消防、安保等相关部门的许可方可施工。 4.外来人员进入机房应严格遵照机房进出管理制度规定,填写人员进出机房登记表,在相关部门及领导核准后,在值班人员陪同下进出,机房进出应换穿拖鞋或鞋套。 5.进入机房人员服装必须整洁,保持机房设备和环境清洁。外来人员不得随意进行拍照,严禁将水及食物带入机房。 6.进入机房人员只能在授权区域与其工作内容相关的设备上工作,不得随意进入和触动未经授权以外的区域及设备。 7.任何设备出入机房,经办人必须填写设备出入机房登记表,经相关部门及领导批准后方可进入或搬出。 云服务器管理制度 为了加强公司云服务器的安全管理工作,保障信息系统安全、稳定运行,充分发挥系统效用,特制定本管理制度。本制度规定了公司云服务器维护管理和故障处理办法。适用于公司云服务器日常管理工作。 系统管理员负责服务器的日常操作维护,登录权限的管理。 具体内容如下: 1用户管理
WEB 服务器硬件配置方案 一、入门级常规服务器硬配置方案: 备注:作为WEB服务器,首先要保证不间断电源,机房要控制好相对温度和湿度。这里有额外配置的UPS不间断电源和稳压器,此服务器配置能胜基本的WEB请求服务,如大量的数据交换,文件读写,可能会存在带宽瓶颈。 二、顶级服务器配置方案
备注: 1,系统支持Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Web Edition、Windows Server 2003 R2 x64 Enterprise Edition、Windows Server 2003 R2 x64 Standard Edition、Windows Storage Server 2003 R2 Workgroup Edition 2,工作环境:相对工作温度10℃-35℃,相对工作湿度20%-80% 无冷凝,相对存储温度-40℃-65℃,相对湿度5%-95% 无冷凝 3,以上配置为统一硬件配置,为DELL系列服务器标准配置,参考价位¥13000 WEB 服务器软件配置和安全配置方案 一、系统的安装 1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。 2、IIS6.0的安装 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件 应用程序———https://www.doczj.com/doc/6b6503123.html,(可选) |——启用网络COM+ 访问(必选)
|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选) |——公用文件(必选) |——万维网服务———Active Server pages(必选) |——Internet 数据连接器(可选) |——WebDAV 发布(可选) |——万维网服务(必选) |——在服务器端的包含文件(可选) 然后点击确定—>下一步安装。 3、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 4、备份系统 用GHOST备份系统。 5、安装常用的软件 例如:杀毒软件、解压缩软件等;安装之后用GHOST再次备份系统。 二、系统权限的设置 1、磁盘权限 系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Inetpub 目录及下面所有目录、文件只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给Administrators 组和SYSTEM 的完全控制权限 2、本地安全策略设置 开始菜单—>管理工具—>本地安全策略 A、本地策略——>审核策略 审核策略更改成功失败 审核登录事件成功失败 审核对象访问失败 审核过程跟踪无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件成功失败 审核账户登录事件成功失败 审核账户管理成功失败 B、本地策略——>用户权限分配 关闭系统:只有Administrators组、其它全部删除。 通过终端服务拒绝登陆:加入Guests、User组 通过终端服务允许登陆:只加入Administrators组,其他全部删除 C、本地策略——>安全选项 交互式登陆:不显示上次的用户名启用 网络访问:不允许SAM帐户和共享的匿名枚举启用 网络访问:不允许为网络身份验证储存凭证启用 网络访问:可匿名访问的共享全部删除
前台的日常工作操作规 范 Document number:NOCG-YUNOO-BUYTT-UU986-1986UT
前台的日常工作流程 一.8:30-8:50每天早上早几分钟到公司或者下午下班前几分钟,打扫卫生。保持所在区域的物品摆放整齐,卫生干净。 二.公司来访客户的日常接待流程:客户上门——引导接待入座(询问来源)——倒水——联系相关人员接待——客流详情登记 三.10:30-11:30收发当天报纸和信件。报纸分送各领导助理(详细见后面),信件转交给相关人员,并做好登记工作。 四.8:30-17:30负责来访客户的接待工作,询问一下其是否有预约、哪个单位的、做什么的、其贵姓、和哪位联系的,电话通知一下要找的人或者其助 理,看是否会见。如不是,委婉拒绝,称其找的人不在或者开会等理由。尤其是过来拜访领导的客户,一定要先问明来意做好登记,先寻问了助理再做决定。 五.8:30-17:30负责前台电话的接听及其转接,做好来电的咨询工作,认真记录重要事项并及时转达给相关负责人,以免延误事情。 1)接到找同事的电话及时快速的转接过去。如果客户打过来电话不知道找哪位,留其单位,电话及其姓名,做什么的,在公司群里公布一下,让 其尽快联系客户。 2)接到找公司领导的电话,询问其是哪里的、做什么的,贵姓及其联系方式,转接给助理。如果是推销(比如企业培训,高层会议,电视台杂志 社采访等情况)的委婉拒绝。
3)接到咨询公司产品的客户,详细询问是哪里的、想了解产品的种类、贵姓及其联系方式。转交相对应的负责人。然后备档,做好来电客户信息的各项登记及其保密,电脑要时常更换密码。 4)接到关于展会方面的,一般有企划部负责,有关于展台设计搭建的让其发到企业邮箱,可多展会推销的电话,过滤一下看企划部是否需要。5)关于招聘方面的转综合部。 6)8:30-17:00收发的快递做好记录,以备发件人查询快件,签收的快件送至收件人,让其签收。公司用申通以月结的方式,每月月初会对上月的进行汇总报账(申通报账流程详见记事本)。 7)在需要面试的期间,配合综合部做好应聘者的接待及信息登记工作。8)每月中旬考勤记录及其每月考勤的导出发给相关负责人,协助做好考勤。其中包括厂区人员手写签到和新入职员工的手写签到表,做好登记月初移交于相关负责人。 9)17:30之后,下班前把本天的来电客户信息进行整理发给业务部。10)17:30之后,下班时检查前台灯光、贵宾室以及会议室门锁,确定空调、电脑、传真机等设备的电源关闭。水电照明的检查:当班前台文员负责协助行政主管检查公司除办公区域以外的所有区域的水电照明设 备,发现损坏或异常情况立即内上报;本着开源节流的原则督促改进用水用电浪费现象,由前门当班文员负责洽谈区域的灯光正常照明,当班前台巡查楼层区域内所有照明,保证正常照明,大功率照明关闭;下班后,关闭所有区域照明和关闭电源。 11)定期更新通讯录,对离职人员进行删减及新入职人员进行添加,综合部会给需要增删的人员信息,另外可在群里询问同事有无需要进行修改
集团AD域服务器管理规范 一、基本规范 1.1、目的 为了加强域服务器、网络系统安全,保障系统、数据的安全运行特制定本制度。本制度适用于对公司域服务器、网络系统的运行维护和管理。 1.2 、范围 1.本网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2.软件包括:服务器操作系统、数据库及应用软件、有关专业的网络应用软件等。 3.域控服务器网络系统配置包括在网络上的名称,IP地址分配,用户登录名称、用户密码、DNS地址设 置及Internet的配置等。 4.软件是指操作系统(如 Windows server 2008等)系统软件。也包括防病毒这样的应用软件。 1.3. 职责 1.信息管理部门为域服务器安全运行的部门,负责域服务器系统的日常维护和管理。 2.负责系统软件的调研、采购、安装、升级、保管工作; 3.负责操作系统软件有效版本的管理。 4.信息管理人员负责域控制服务器的安全运行和数据备份;internet对外接口安全以及计算机系统防病 毒管理;各种软件的用户密码及权限管理;协助其他职能部门进行数据备份和数据归档。 5.信息管理人员执行企业保密制度,严守企业商业机密; 6.其他员工执行服务器安装管理制度,遵守企业保密制度。 7.服务器系统管理员的密码必须由信息管理部门相关人员掌握。 1.4.管理 1.系统管理员每日定时对域控服务器进行日常巡视,并填写《网络运行日志》。
2.对于系统和网络出现的异常现象信息管理部应及时组织相关人员进行分析,制定处理方案,采取积极 措施,并如实将异常现象记录在《网络运行日志》。针对当时没有解决的问题或重要的问题应将问题描述、分析原因、处理方案、处理结果、预防措施等内容记录在《网络问题处理跟踪表》上。部门负责人要跟踪检查处理结果。 3.定时维护域控服务器,及时组织清理磁盘,保证服务器有充足空间,网络系统能够正常运行。 4.制定域控服务器的防病毒措施,及时下载最新的防病毒补丁,防止服务器受病毒的侵害。 5.公司新IT员工(或外包人员)需使用域控服务器须向部门主管提出申请,经批准后由信息部门负责分 配帐号。 1.5、使用 1.帐号注销:所有IT员工(或外包人员)在使用或维护完域控服务器后,应正常将帐号注销退出。 2.IT人员不得盗用其他人的身份登陆服务器或进入应用系统,确因工作需要需征得本人的同意。 3.系统管理员应保管好自己的密码,并三个月更换一次密码,以保证安全。 4.有权限网络用户不得随意更改域控服务器的名称、IP地址、DNS设置。因特殊原因的确需更改时,应 由计算机管理人员统一调整,并及时修改。 5.对于网络用户传播、复制、制造计算机病毒或采用黑客技术而致使域控服务器瘫痪造成重大损失的情 况,将给予严肃处理。 1.6 域控服务器软件的管理 1.信息管理人员负责软件的安装。 2.信息管理部门保存和使用软件的复制盘片,也可根据需要从档案借出原始盘片,复制相关资料留存使 用。 3.信息管理人员应及时检查系统更新平台的相关补丁程序的下载,并与原系统进行配套管理和使用。 4.信息管理员负责将软件商信息记录在《软件信息表》,就软件技术问题与软件商联系,并负责软件的 升级,升级程序执行。 1.7、系统保密制度
2003服务器系统安全配置-中级安全配置 08-06-16 05:27 发表于:《玉色主流空间》分类:未分类 [作者:墨鱼来源:互联网时间:2008-6-14QQ书签搜藏]【大中小】 2003服务器系统安全配置-中级安全配置!做好此教程的设置可防御一般 入侵,需要高级服务器安全维护,请联系我。我们一起交流一下!做为一 个网管,应该在处理WEB服务器或者其他服务器的时候配合程序本身或者 代码本身去防止其他入侵,例如跨站等等!前提,系统包括软件服务等的 密码一定要强壮! 服务器安全设置 1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限. 2.系统盘和站点放置盘除administrators 和system的用户权限全部去 除. 3.启用windows自带防火墙,只保留有用的端口,比如远程和 Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.
4.安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除.
5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户. 6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.
7.配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。) 8.在安全设置里本地策略-安全选项将 网络访问:可匿名访问的共享 ; 网络访问:可匿名访问的命名管道 ; 网络访问:可远程访问的注册表路径 ; 网络访问:可远程访问的注册表路径和子路径 ; 以上四项清空.