QJ2694A-2005.pdf

QJ 中华中华人民共和国人民共和国航航天天行行业业标准标准 FL 0137 QJ 2694A2005 代替 QJ 26941994 计算机网络系统运行管理规范 Specification for computer network system management 20050411 发布 20050701 实施 国防科学技术工业委员会发 布 免费标准网( w w w . f r e e b z . n e t ) 标准最全面 免费标准网( w w w . f r e e b z . n e t ) 无需注册 即可下载 QJ 2694A2005 I 前言 本标准代替QJ 26941994航天计算机网络运行管理规则。 本标准与QJ 26941994航天计算机网络运行管理规则相比，主要有以下变化： a） 标准名称更改为计算机网络系统运行管理规范； b） 标准结构按 GJB 60002001 标准编写规定； c） 根据航天行业现代的技术和管理模式，对原标准的术语定义、配置管理、运行管理、故障管理、 安全管理、资源管理、权限管理等内容均进行了修订。 本标准由中国航天科工集团公司提出。 本标准由中国航天标准化研究所归口。 本标准起草单位：中国航天科工集团公司三院三四所。 本标准主要起草人：牛卫华、刘航、王俊、章利光、徐海、李昱、王映雪。 本标准于1994年6月首次发布，本次为第一次修订。 免费标准网( w w w . f r e e b z . n e t ) 标准最全面 免费标准网( w w w . f r e e b z . n e t ) 无需注册 即可下载 免费标准网( w w w . f r e e b z . n e t ) 标准最全面 免费标准网( w w w . f r e e b z . n e t ) 无需注册 即可下载 QJ 2694A2005 1 计算机网络系统运行管理规范 1 范围 本标准规定了航天行业计算机网络系统的机构与职责、运行管理、设备管理、网络资源管理、安全 管理和人员培训。 本标准适用于航天行业计算机网络系统。 2 术语和定义 下列术语和定义适用于本标准。 2.1 网络中心 netcentre 计算机网络系统的业务管理机构。 2.2 核心节点 root node 网络根节点。 2.3 汇聚节点 bole node 核心节点下一级网络节点。 2.4 接入网点 branch node 汇聚节点下一级网络节点。 2.5 一级主干网络 first class network 直接与核心节点连接的网络。 2.6 二级主干网络 second class network 直接与汇聚节点连接的网络。 2.7 三级主干网络 third class network 直接与接入网点连接的网络。 3 机构与职责 3.1 航天行业计算机网络管理机构 3.1.1 航天行业计算机网络行政管理机构分为集团公司信息化管理部门、 集团公司直属单位信息化管理 部门、直属单位下一级信息化管理部门。 3.1.2 航天行业计算机网络技术业务管理由单级或多级组成。单级管理为核心网络中心管理；多级由一 级网络中心（集团公司的计算机网络中心）、二级网络中心（集团公司直属单位的计算机网络中心）及 免费标准网( w w w . f r e e b z . n e t ) 标准最全面 免费标准网( w w w . f r e e b z . n e t ) 无需注册 即可下载 QJ 2694A2005 2 三级网络中心（集团公司直属单位所属单位计算机网络中心）管理组成。 3.2 信息化管理部门主要职责 各级信息化管理部门的主要职责如下： a） 负责本级计算机网络系统与上下级网络中心的协调； b） 负责根据上级管理部门制定的各项管理规范制定本级计算机网络系统的运行模式和相关管理规 范，对实施状况进行监督及检查； c） 负责组织制定网络安全策略和网络安全方案，协助保卫保密部门做好网络安全保密工作； d） 对网络系统的运行状态、运行功能、运行质量进行监督、检查； e） 负责提出网络工程建设和运行管理方案。 3.3 网络运行管理部门主要职责 各级网络运行管理部门的主要职责如下： a） 各级网络中心设网络系统管理员、数据库管理员、安全管理员、审计管理员。每岗位为双岗建 制，各岗位不得兼任，并根据网络规模配备相应的网络维护人员。 b） 各级网络中心需制定系统管理员、数据库管理员、安全管理员、审计管理员及网络维护人员的 岗位职责和日常工作操作规程，并根据本单位情况制定岗位细则。 c） 各级网络中心负责本级网络运行的管理、审计和技术协调工作。有独立网管的单位应建立网络 分中心，负责完成网络系统管理、数据库管理、安全管理、审计及网络维护。没有建立网络分 中心的单位可委托本单位上一级网络中心进行管理，委托的网络运行部门可设系统兼职管理 员。 d） 各级网络中心应定期对网络系统运行设备及所提供的服务进行统计与记录。 e） 各级网络中心应指定统计或兼职统计员，负责收集和保管各种记录，并对工作日志和作业记录 定期统计，编写网络维护统计表上报主管部门。 f） 各级网络中心定期做网络运行维护总结，年终将总结报告、维护记录和统计表一起完成归档。 g） 一级保密单位的网络系统应配备独立的审计中心，对各种日志及资料进行审计管理。 3.4 网络中心系统管理员主要职责 3.4.1 系统管理员的主要职责： a） 制定和实施服务器操作系统的安装和配置策略，负责操作系统的维护； b） 制定和实施操作系统的网络配置策略和各种系统服务策略； c） 制定和实施系统数据、日志和配置信息的备份、恢复策略； d） 制定和实施系统软件、硬件运行环境策略； e） 根据网络系统运行期间的资源或环境变化要求，正确改变网络系统运行状态； f） 对网络系统用户进行账号、口令、权限管理并设置权限的制约机制； g） 对网络系统日志、账户、配置等数据定期备份并分设管理权限； h） 协助安全管理员定期查杀病毒、检查系统配置漏洞，保障系统与安全设备协调工作，确保系统管 理操作符合安全管理策略； i） 进行合理的系统配置，协助用户正确地使用系统提供的各种应用，并为这些应用提供系统资源； j） 根据需要调整网络结构，合理配置网络资源； k） 负责网络运行监控、故障分析及处理，系统出现故障后，及时发现并排除故障； 免费标准网( w w w . f r e e b z . n e t ) 标准最全面 免费标准网( w w w . f r e e b z . n e t ) 无需注册 即可下载 QJ 2694A2005 3 l） 负责网络信息统计及分析，编写网络运行报告。 3.4.2 数据库管理员的主要职责： a） 负责数据库的系统管理和维护； b） 安装和升级数据库，配置服务器和客户端实用程序； c） 创建系统数据库，配置数据库系统参数、建立用户帐号、分配应用空间、分配数据库二级管理权 限； d） 备份和恢复数据库系统，执行和维护数据复制、数据导入和导出； e） 管理和监视存储器、磁盘空间的利用，完成用户连接； f） 监视和优化数据库性能，及时诊断系统问题，排除系统故障； g） 与安全管理员一起做好数据库应用的安全管理。 3.4.3 安全管理员的主要职责： a） 负责网络系统安全运行和维护； b） 制定和实施安全策略，分配用户权限，制定实施日志审核策略； c） 负责密钥管理，定期检查口令文件，配合保密部门做好系统和数据安全管理； d） 检查和分析操作系统日志，协助系统管理员完成操作系统的各项配置、实施安全策略及定期数据 备份； e） 对上网运行的软件、设备进行安全检查； f） 掌握服务器的 IP 地址和服务端口，了解交换机和路由器的地址配置，正确安装防火墙，制定、 实施防火墙安全策略； g） 制定和实施入侵检测策略，正确设置各项参数，对发现的问题及时记录、处理； h） 掌握操作系统的常见漏洞和补救方法，定期进行安全扫描检测，分析扫描结果、弥补安全漏洞； i） 制定和实施网络防病毒策略，定期查杀病毒； j） 定期更新入侵检测、漏洞扫描和防病毒软件。 3.4.4 审计管理员的主要职责： a） 负责对网络、应用及安全系统的审计，确保系统的安全性、有效性及完整性； b） 协助系统管理员配置各系统的审计策略； c） 管理和分析系统的审计信息并对出现的问题作出分析判断和处理； d） 协助和处理异常审计结果； e） 负责提出对审计策略的更新建议； f） 监察各系统管理员的工作、操作及日志记录。 3.4.5 网络维护人员的主要职责： a） 负责网络维护及网络用户的前端配置； b） 负责处理网络用户故障，填写故障维修记录； c） 协助系统管理员、数据库管理员和安全管理员做好系统维护工作，共同保障网络正常运行； d） 为保障设备正常运行，完成机房值班工作。 3.4.6 网络用户的主要职责： a） 网络用户必须增强整体和安全意识， 严格执行本规定及集团内有关计算机网络系统安全保密管理 规定。 免费标准网( w w w . f r e e b z . n e t ) 标准最全面 免费标准网( w w w . f r e e b z . n e t ) 无需注册 即可下载 QJ 2694A2005 4 b） 用户机应用环境和应用软件必须经过批准，系统配置不得随意改动。 c） 入网的机器输入输出设备受控，特殊配置要求的机器需经过管理部门批准后进行设备配置。 d） 用户机必须安装网络客户端防病毒软件，做到及时更新病毒代码。 e） 用户必须保管好自己的系统口令，并注意保密，7 天内更新一次，要设置屏幕口令保护功能，5 分钟内要完成锁屏。不同系统口令应有区别，口令由字母、数字与特殊符号混合组成，长度不小 于 10 位。 f） 客户端系统出现问题要及时申报，不得擅自更改系统。 g） 严禁网络用户将客户机与因特网及内部网以外的网络互联。 网络用户不得从事与工作无关的网上 活动，不得在网上发表非法言论。 h） 网络用户未经允许不得对计算机网络系统中的信息资源和应用程序进行删除、修改、增加。 i） 网络用户有义务保持自己计算机的正常状态，定期做好数据整理和数据备份。 j） 网络用户必须在自己的权力范围内工作，不得在网上试图超越自己的权限。 k） 网络用户不经批准，不得在网上添加设备。 3.5 管理要求 各级网络中心系统管理员、数据库管理员、安全管理员、审计管理员及维护人员各司其职，不得做 试图超越自己权限的操作，及时记录有关系统设置、配置、变更、维护、审计的内容，并定期总结上报 管理部门。 4 运行管理 4.1 网络中心内部运行管理 4.1.1 各级网络中心自行维护本单位的计算机系统、网络系统、安全系统和线路系统，确保工作正常。 4.1.2 各级网络中心负责本单位入网设备的管理和维护。 4.1.3 各级网络中心自行负责维护本单位交换机及与其它单位互联的网络设备。 上级网络中心与下级网 络中心共同配合，完成上级网络与下级网络互联和网络维护工作。 4.1.4 下级网络中心遵守上级网络中心制定的网络互联策略。 4.1.5 配有独立网管的单位自行负责本单位网络管理工作。其它单位可委托所属网络中心完成网络管 理。 4.1.6 当网络发生系统故障或变更并影响全网运行时，网络中心要及时报告本网络主管部门， 通知用 户及网络互联的有关单位，及时组织处理，排除故障。系统恢复后及时通知用户和有关部门。 4.1.7 各级网络中心要加强中心机房管理， 制定相应规章制度， 机房值班人员要认真填写机房值班记录。 4.1.8 各级网络中心要设申报电话，用户发现网络故障要及时申报，值班人员在接到故障申报后，及时 作好记录并通知网络维护部门予以解决。 4.1.9 维护工作结束后，需对维护进行记录以备统计。 4.1.10 网络上运行的所有应用软件，必须经过网络中心或网络分中心充分的审核，经主管部门批准后， 方可上网运行。 4.2 业务管理 4.2.1 入网管理 各网络中心对本级网络用户入网要求需制定相应的入网管理条例并建立档案备案。 4.2.2 变更管理 免费标准网( w w w . f r e e b z . n e t ) 标准最全面 免费标准网( w w w . f r e e b z . n e t ) 无需注册 即可下载 QJ 2694A2005 5 各网络中心对所辖网络用户的位置及各项配置变更需制定相应的管理条例并建立档案备案。 4.2.3 退网管理 网络用户在人事部门办理调离、离退休手续时，应同时通知信息管理部门及所属网络中心，及时注 销该用户相关帐号。 4.3 主干网故障管理 各级主干网络出现故障，由故障所涉及的网络中心解决。 5 入网设备管理 5.1 购买与网络连接的电子设备（计算机、便携式计算机、传真机、复印机、打印机、扫描仪）时， 要严格报批手续，业务主管部门应当认真进行调研，并对设备安全性能负责。对购买的办公用或工程用 电子设备要详细登记、编号、备案，并明确管理部门，专人负责。 5.2 购买计算机系统软、硬件产品时，产品对信息应有完善的安全保护功能，信息流经的主机、接口、 终端、信息通道以及对用户的识别，必须处于系统安全控制之下。 5.3 严格控制便携式计算机的上网使用。经批准购买的计算机要有专人保管。涉密的便携式计算机平 时不使用时，必须放入保险柜内上锁保管。因公外出携带便携式计算机时，要随身保管或明确其随行人 员专管。 5.4 各涉密单位或部门办公用或工程用电子设备（计算机、便携式计算机、传真机、复印机、打印机、 扫描仪）接入计算机网络系统时，必须向计算机主管部门提出申请，经管理部门批准后方可接入。严禁 任何单位或个人私自连接内部计算机网络系统。 5.5 更换、维修、报废办公用设备时，其原设备中的信息存储介质需进行非密化处理，确保安全后方 可进行。位置变动或变更时，需向主管部门申请，经同意后方可进行。 6 网络资源管理 6.1 资源的分配 网络资源（指域名、计算机名、IP地址、邮件地址等具有标识唯一性的资源）的分配管理包括： a） 各单位网络中心要根据上级网络管理部门制定的网络资源配置规范要求， 制定本单位网络资源配 置规范或配置原则； b） 网络资源配置及使用规范内容要包括网络建设、 网络应用及网络互联所必要的参数定义及使用规 则； c） 单位内部网络资源的配置及使用规范要通过本单位网络管理部门批准后，方可使用并宣贯执行； d） 单位内部网络资源的配置及使用规范要在相关网络管理部门备案，以供查询； e） 单位内部网络资源的配置及使用规范若有更改的， 需要通过本单位网络管理部门审查批准后方可 更改使用； f） 单位内部网络资源的配置及使用规范需更改的要在相关管理部门备案，以供查询并及时通告相关 部门； g） 网络做较大改造，对网络资源使用有变动，可能影响网络使用时，要向上级网络管理部门汇报。 6.2 资源的使用 网络资源的使用管理包括： a） 各级单位不得使用上一级单位分配给其它平级单位的网络资源； 免费标准网( w w w . f r e e b z . n e t ) 标准最全面 免费标准网( w w w . f r e e b z . n e t ) 无需注册 即可下载 QJ 2694A2005 6 b） 若发生某级单位使用上一级单位分配给其它平级单位的网络资源， 由上一级单位网络管理部门解 决，并追究擅用他人网络资源的部门和个人的责任； c） 下级单位在使用网络资源中， 若发现网络资源不够分配需要扩充或欲使用上级管理部门预留的网 络资源时，要向上一级管理部门提出申请，报批后方可使用。 6.3 资源的注销 网络资源的注销管理包括： a） 由集团分配给各二级单位的网络资源不得擅自更改。 b） 各二级单位分配给集团或其他单位共享资源使用的网络设备和服务器的网络资源不得擅自更改和 注销。如确实需要变更，则必须逐级向各级信息管理部门提出申请，并经各级信息管理机构逐级 审批后方可更改，同时各级信息管理机构必须及时向相关的单位通报更改情况，以便各单位及时 更改相关的连接配置。 7 安全管理 7.1 航天行业计算机网络是涉密网络，网络运行管理要严格遵守国家及集团的相关保密规定。 7.2 各级网络中心要按照上级有关计算机网络管理规定设立专门的管理机构。根据实际需要配置网络 工作人员。同时，必须设置专职或兼职网络安全保密负责人，负责网络安全保密管理工作。 7.3 计算机网络系统的安全保密管理工作，按照“业务谁主管、保密谁负责”的原则，实行单位领导 干部负责制，建立安全保密管理制度，切实做好对本单位内部网络信息系统的监督、检查和管理。 7.4 各级网络中心的机房建设要符合国家及集团公司的标准要求。各级网络中心机房要安装防电磁波 辐射屏蔽设备或防电磁波干扰设备，要安装防火、防盗硬件设施（灭火器、铁门、铁窗、保险柜），要 安装自动报警和闭路监视技术装置， 对处在繁华地段或离涉外建筑物较近的单位计算机均要安装防电磁 波幅射干扰设备。 7.5 各级网络中心的机房要建立健全安全保密规章制度、人员出入制度、值班制度，对出入涉密要害 部位的人员应当进行登记备案，控制无关或非工作人员出入。 7.6 各级网络中心的机房不得对外开放或内部接待参观活动。 7.7 计算机网络系统在进行维护（修）时，有关网络系统安全保密管理人员必须在场，对涉密信息要 先采取保密措施，如转存信息、删除、转移磁介质等，防止因维修引起的设备破坏和数据丢失。对维修 更换的硬件要妥善集中保存或销毁，确保涉密信息的安全。 7.8 数据存储介质应设专人管理，建立严格的工作制度，有可靠的存取控制措施。数据存储介质应具 备检查跟踪能力，专管人员应及时检查，保证数据存储介质的安全性。重要数据文件的备份存储介质， 需放专门场所保管。 7.9 各级网络中心需根据本网络的状况制定网络的整体安全策略，网络安全策略体系要严格按照相关 要求设计实施。 7.10 各单位在网页设计中，要对公共信息和涉密信息进行分类，涉密信息必须有严格的权限设置。 7.11 对信息传输的密钥、密码必须有专人操作管理，严禁其他人员知悉。网络管理员、安全管理员、 数据库管理员、审计管理员、网络维护人员，必须严格执行涉密人员工作纪律，遵守保密守则。 7.12 计算机系统产生的涉密信息介质要坚持“集中管理、便于工作”的管理原则。涉密信息介质要有 专人管理，并严格信息介质使用登记手续。对机密级以上的信息介质须分类，存入保险柜保管，并实行 双人双锁制度。 免费标准网( w w w . f r e e b z . n e t ) 标准最全面 免费标准网( w w w . f r e e b z . n e t ) 无需注册 即可下载 QJ 2694A2005 7 7.13 计算机信息介质载体表面应当标明密级编号，无“密级编号”的介质不得使用。记录有涉密信息 的介质不得与一般内部信息介质混合存放。不得随意带出工作室或进行拷贝。 7.14 绝密级文件资料严禁在计算机网络系统中保存或传输。涉密文件资料在邮件系统传输过程中，必 须进行加密处理。 7.15 外出试验用计算机需要接入本单位内部计算机网络系统时，要采取加密措施。对执行任务中所产 生的信息介质，要妥善保管，有条件的应存入保险柜（或铁皮柜）。回到单位后，应及时交单位资料部 门。对外出执行试验任务需要计算机的人员，单位须登记备案，并提出保密要求、注意事项、签订保密 责任书。 7.16 记录有涉密