QJ 2694A-2005 计算机网络系统运行管理规范.pdf

1、q .J 中华人民共和国航天行业标准FLOl37 QJ 2694A-2005 代替。2694-1994计算机网络系统运行管理规范Specification for computer network system management 2005一04-11发布2005一07-01实施国防科学技术工业委员会发布060508000066 Q1 2694A-2005 目。昌本标准代替Q12694 - 1994 航天计算机网络运行管理规则。本标准与Q12694一1994(航天计算机网络运行管理规则相比，主要有以下变化:a) 标准名称更改为计算机网络系统运行管理规范:b) 标准结构按GJB6000-200

2、1标准编写规定:c) 根据航天行业现代的技术和管理模式，对原标准的术语定义、配置管理、运行管理、故障管理、安全管理、资源管理、权限管理等内容均进行了修订。本标准由中国航天科工集团公司提出。本标准由中国航天标准化研究所归口。本标准起草单位:中国航天科工集团公司三院三0四所。本标准主要起草人:牛卫华、刘航、王俊、章利光、徐海、李星、王映雪。本标准于1994年6月首次发布，本次为第一次修订。QJ 2694A-2005 计算机网络系统运行管理规范1 范围本标准规定了航天行业计算机网络系统的机构与职责、运行管理、设备管理、网络资源管理、安全管理和人员培训。本标准适用于航天行业计算机网络系统。2 术语和定

3、义下列术语和定义适用于本标准。2.1 网络中心netcentre 计算机网络系统的业务管理机构。2.2 核心节点root node 网络根节点。2.3 汇票节点bole node 核心节点下一级网络节点。2.4 接入网点branch node 汇聚节点下一级网络节点。2.5 一级主干网络first class network 直接与核心节点连接的网络。2.6 二级主干网络second class network 直接与汇聚节点连接的网络。2.7 三级主干网络third c1as8 network 直接与接人网点连接的网络。3 机构与职责3.1 航天行业计算机网络管理机构3.1.1 航天行业计算

4、机网络行政管理机构分为集团公司信息化管理部门、集团公司直属单位信息化管理部门、直属单位下一级信息化管理部门。3.1.2航天行业计算机网络技术业务管理由单级或多级组成。单级管理为核心网络中心管理;多级由一级网络中心(集团公司的计算机网络中心)、二级网络中心(集团公司直属单位的计算机网络中心)及Q1 2694A-2005 三级网络中心(集团公司直属单位所属单位计算机网络中心)管理组成。3.2 信息化管理部门主要职责各级信息化管理部门的主要职责如下za) 负责本级计算机网络系统与上下级网络中心的协调:b) 负责根据上级管理部门制定的各项管理规范制定本级计算机网络系统的运行模式和相关管理规范，对实施状

5、况进行监督及检查:c) 负责组织制定网络安全策略和网络安全方案，协助保卫保密部门做好网络安全保密工作:d) 对网络系统的运行状态、运行功能、运行质量进行监督、检查:e) 负责提出网络工程建设和运行管理方案。3.3 网络运行管理部门主要职责各级网络运行管理部门的主要职责如下:a) 各级网络中心设网络系统管理员、数据库管理员、安全管理员、审计管理员。每岗位为双岗建制，各岗位不得兼任，并根据网络规模配备相应的网络维护人员。b)各级网络中心需制定系统管理员、数据库管理员、安全管理员、审计管理员及网络维护人员的岗位职责和日常工作操作规程，并根据本单位情况制定岗位细则。c)各级网络中心负责本级网络运行的管

6、理、审计和技术协调工作。有独立网管的单位应建立网络分中心，负责完成网络系统管理、数据库管理、安全管理、审计及网络维护。没有建立网络分中心的单位可委托本单位上一级网络中心进行管理，委托的网络运行部门可设系统兼职管理员。d) 各级网络中心应定期对网络系统运行设备及所提供的服务进行统计与记录。e)各级网络中心应指定统计或兼职统计员，负责收集和保管各种记录，并对工作日志和作业记录定期统计，编写网路维护统计表上报主管部门。f) 各级网络中心定期做网络运行维护总结，年终将总结报告、维护记录和统计表一起完成归档。g) 一级保密单位的网络系统应配备独立的审计中心，对各种日志及资料进行审计管理。3.4 网络中心

7、系统管理员主要职责3.4.1 系统管理员的主要职责:、-a) 制定和实施服务器操作系统的安装和配置策略，负责操作系统的维护;b) 制定和实施操作系统的网络配置策略和各种系统服务策略:c) 制定和实施系统数据、日志和配置信息的备份、恢复策略:d) 制定和实施系统软件、硬件运行环境策略:e) 根据网络系统运行期间的资源或环境变化要求，正确改变网络系统运行状态:们对网络系统用户进行账号、口令、权限管理并设置权限的制约机制:g) 对网络系统日志、账户、配置等数据定期备份并分设管理权限:h)协助安全管理员定期查杀病毒、检查系统配置漏洞，保障系统与安全设备协调工作，确保系统管理操作符合安全管理策略:i )

8、 进行合理的系统配置，协助用户正确地使用系统提供的各种应用，并为这些应用提供系统资漉:i ) 棍据需要调整网络结构，合理配置网络资源:k) 负责网络运行监控、故障分析及处理，系统出现故障后，及时发现并排除故障:QJ 2694A-2005 1) 负责网络信息统计及分析，编写网络运行报告。3.4.2 数据库管理员的主要职责:a) 负责数据库的系统管理和维护:b) 安装和升级数据库，配置服务器和客户端实用程序:c)创建系统数据库，配置数据库系统参数、建立用户帐号、分配应用空间、分配数据库二级管理权限:d) 备份和恢复数据库系统，执行和维护数据复制、数据导人和导出:e) 管理和监视存储器、磁盘空间的利

9、用，完成用户连接:f) 监视和优化数据库性能，及时诊断系统问题，排除系统故障:g) 与安全管理员一起做好数据库应用的安全管理。3.4.3 安全管理员的主要职责:a) 负责网络系统安全运行和维护:b) 制定和实施安全策略，分配用户权限，制定实施日志审核策略:c) 负责密钥管理，定期检查口令文件，配合保密部门做好系统和数据安全管理:d)检查和分析操作系统日志，协助系统管理员完成操作系统的各项配置、实施安全策略及定期数据备份:e) 对上网运行的软件、设备进行安全检查:f) 掌握服务器的IP地址和服务端口，了解交换机和路由器的地址配置，正确安装防火墙，制定、实施防火墙安全策略:g) 制定和实施人侵检测

10、策略，正确设置各项参数，对发现的问题及时记录、处理:的掌握操作系统的常见漏洞和补救方法，定期进行安全扫描检测，分析扫描结果、弥补安全漏洞:i) 制定和实施网络防病毒策略，定期查杀病毒;j) 定期更新人侵检测、漏洞扫描和防病毒软件。3.4.4 审计管理员的主要职责:a) 负责对网络、应用及安全系统的审计，确保系统的安全性、有效性及完整性:b) 协助系统管理员配置各系统的审计策略:c) 管理和分析系统的审计信息并对出现的问题作出分析判断和处理:d) 协助和处理异常审计结果:e) 负责提出对审计策略的更新建议;f) 监察各系统管理员的工作、操作及日志记录。3.4.5 网络维护人员的主要职责:a) 负

11、责网络维护及网络用户的前端配置:b) 负责处理网络用户故障，填写故障维修记录:c) 协助系统管理员、数据库管理员和安全管理员做好系统维护工作，共同保障网络正常运行;d) 为保障设备正常运行，完成机房值班工作。3.4.6 网络用户的主要职责:a)网络用户必须增强整体和安全意识，严格执行本规定及集团内有关计算机网络系统安全保密管理规定。3 QJ 2694A-2005 b) 用户机应用环境和应用软件必须经过批准，系统配置不得随意改动。c) 人网的机器输人输出设备受控，特殊配置要求的机器需经过管理部门批准后进行设备配置。d) 用户机必须安装网络客户端防病毒软件，做到及时更新病毒代码。e) 用户必须保管

12、好自己的系统口令，并注意保密，7天内更新一次，要设置屏幕口令保护功能，5 分钟内要完成锁屏。不同系统口令应有区别，口令由字母、数字与特殊符号混合组成，长度不小于10位.f) 客户端系统出现问题要及时申报，不得擅自更改系统.g)严禁网络用户将客户机与因特网及内部网以外的网络互联。网络用户不得从事与工作无关的网上活动，不得在网上发表非法言论。h) 网络用户未经允许不得对计算机网络系统中的信息资源和应用程序进行删除、修改、增加。i) 网络用户有义务保持自己计算机的正常状态，定期做好数据整理和数据备份。j) 网络用户必须在自己的权力范围内工作，不得在网上试图超越自己的权限。k) 网络用户不经批准，不得

13、在网上添加设备。3.5 管理要求各级网络中心系统管理员、数据库管理员、安全管理员、审计管理员及维护人员各司其职，不得做试图超越自己权限的操作，及时记录有关系统设置、配置、变更、维护、审计的内容，并定期总结上报管理部门。4 运行管理4.1 网络中心内部运行管理4.1.1 各级网络中心自行维护本单位的计算机系统、网络系统、安全系统和线路系统，确保工作正常。4.1.2各级网络中心负责本单位人网设备的管理和维护。4.1.3各级网络中心自行负责维护本单位交换机及与其它单位互联的网络设备。上级网络中心与下级网络中心共同配合，完成上级网络与下级网络互联和网络维护工作。4.1.4下级网络中心遵守上级网络中心制

14、定的网络互联策略。4.1.5配有独立网管的单位自行负责本单位网络管理工作。其它单位可委托所属网络中心完成网络管理。4. 1.6 当网络发生系统故障或变更并影响全网运行时，网络中心要及时报告本网络主管部门，通知用户及网络互联的有关单位，及时组织处理，排除故障。系统恢复后及时通知用户和有关部门。4.1.7各级网络中心要加强中心机房管理，制定相应规章制度，机房值班人员要认真填写机房值班记录。4.1.8各级网络中心要设申报电话，用户发现网络故障要及时申报，值班人员在接到故障申报后，及时作好记录并通知网络维护部门予以解决。4.1.9维护工作结束后，需对维护进行记录以备统计。4.1.10 网络上运行的所有

15、应用软件，必须经过网络中心或网络分中心充分的审核，经主管部门批准后，方可上网运行。4.2 业务管理4.2.1 入网管理各网络中心对本级网络用户人网要求需制定相应的人网管理条例并建立档案备案。4.2.2 变更管理4 QJ 2694A-2005 各网络中心对所辖网络用户的位置及各项配置变更需制定相应的管理条例并建立档案备案。4.2.3 退网管理网络用户在人事部门办理调离、离退休手续时，应同时通知信息管理部门及所属网络中心，及时注销该用户相关帐号。4.3 主干网故障管理各级主干网络出现故障，由故障所涉及的网络中心解决。 入网设备管理5.1 购买与网络连接的电子设备计算机、便携式计算机、传真机、复印机

16、、打印机、扫描仪时，要严格报批手续，业务主管部门应当认真进行调研，并对设备安全性能负责。对购买的办公用或工程用电子设备要详细登记、编号、备案，并明确管理部门，专人负责。5.2 购买计算机系统软、硬件产品时，产品对信息应有完善的安全保护功能，信息流经的主机、接口、终端、信息通道以及对用户的识别，必须处于系统安全控制之下。5.3 严格控制便携式计算机的上网使用。经批准购买的计算机要有专人保管。涉密的便携式计算机平时不使用时，必须放人保险柜内上锁保管。因公外出携带便携式汁算机时，要随身保管或明确其随行人员专管。5.4 各涉密单位或部门办公用或工程用电子设备(计算机、便携式计算机、传真机、复印机、打印

17、机、扫描仪接人计算机网络系统时，必须向计算机主管部门提出申请，经管理部门批准后方可接人。严禁任何单位或个人私自连接内部计算机网络系统。5.5 更换、维修、报废办公用设备时，其原设备中的信息存储介质需进行非密化处理，确保安全后方可进行。位置变动或变更时，需向主管部门申请，经同意后方可进行。6 网络资源管理6.1 资源的分配网络资源(指域名、计算机名、IP地址、邮件地址等具有标识唯一性的资源)的分配管理包括:a)各单位网络中心要根据上级网络管理部门制定的网络资源配置规范要求，制定本单位网络资源配置规范或配置原则:b)网络资源配置及使用规范内容要包括网络建设、网络应用及网络互联所必要的参数定义及使用

18、规则:c) 单位内部网络资源的配置及使用规范要通过本单位网络管理部门批准后，方可使用并宣贯执行:d) 单位内部网络资摞的配置及使用规范要在相关网络管理部门备案，以供查询:e)单位内部网络资源的配置及使用规范若有更改的，需要通过本单位网络管理部门审查批准后方可更改使用;f)单位内部网络资源的配置及使用规范需更改的要在相关管理部门备案，以供查询并及时通告相关部门:g) 网络做较大改造，对网络资漉使用有变动，可能影响网络使用时，要向上级网络管理部门汇报。6.2 资源的使用网络资源的使用管理包括:a) 各级单位不得使用上一级单位分配给其它平级单位的网络资源:3 QJ 2694A-2005 b)若发生某

19、级单位使用上一级单位分配给其它平级单位的网络资源，由上一级单位网络管理部门解决，并追究擅用他人网络资源的部门和个人的责任;c)下级单位在使用网络资源中，若发现网络资源不够分配需要扩充或欲使用上级管理部门预留的网络资源时，要向上一级管理部门提出申请，报批后方可使用。6.3 资源的注销网络资源的注销管理包括:a) 由集团分配给各三级单位的网络资源不得擅自更改。b)各三级单位分配给集团或其他单位共享资源使用的网络设备和服务器的网络资源不得擅自更改和注销。如确实需要变更，则必须逐级向各级信息管理部门提出申请，并经各级信息管理机构逐级审批后方可更改，同时各级信息管理机构必须及时向相关的单位通报更改情况，

20、以便各单位及时更改相关的连接配置。7 安全管理7.1 航天行业计算机网络是涉密网络，网络运行管理要严格遵守国家及集团的相关保密规定。7.2 各级网络中心要按照上级有关计算机网络管理规定设立专门的管理机构。根据实际需要配置网络工作人员。同时，必须设置专职或兼职网络安全保密负责人，负责网络安全保密管理工作。7.3 计算机网络系统的安全保密管理工作，按照业务谁主管、保密谁负责的原则，实行单位领导干部负责制，建立安全保密管理制度，切实做好对本单位内部网络信息系统的监督、检查和管理。7.4各级网络中心的机房建设要符合国家及集团公司的标准要求。各级网络中心机房要安装防电磁波辐射屏蔽设备或防电磁波干扰设备，

21、要安装防火、防盗硬件设施(灭火器、铁门、铁窗、保险柜)，要安装自动报警和闭路监视技术装置，对处在繁华地段或离涉外建筑物较近的单位计算机均要安装防电磁波幅射干扰设备。7.5各级网络中心的机房要建立健全安全保密规章制度、人员出人制度、值班制度，对出人涉密要害部位的人员应当进行登记备案，控制无关或非工作人员出人。7.6各级网络中心的机房不得对外开放或内部接待参观活动。7.7计算机网络系统在进行维护(修)时，有关网络系统安全保密管理人员必须在场，对涉密信息要先采取保密措施，如转存信息、删除、转移磁介质等，防止因维修引起的设备破坏和数据丢失。对维修更换的硬件要妥善集中保存或销毁，确保涉密信息的安全。7.

22、8数据存储介质应设专人管理，建立严格的工作制度，有可靠的存取控制措施。数据存储介质应具备检查跟踪能力，专管人员应及时检查，保证数据存储介质的安全性。重要数据文件的备份存储介质，需放专门场所保管。7.9 各级网络中心需根据本网络的状况制定网络的整体安全策略，网络安全策略体系要严格按照相关要求设计实施。7.10各单位在网页设计中，要对公共信息和涉密信息进行分类，涉密信息必须有严格的权限设置。7.11 对信息传输的密钥、密码必须有专人操作管理，严禁其他人员知悉。网络管理员、安全管理员、数据库管理员、审计管理员、网络维护人员，必须严格执行涉密人员工作纪律，遵守保密守则。7.12 计算机系统产生的涉密信

23、息介质要坚持集中管理、便于工作的管理原则。涉密信息介质要有专人管理，并严格信息介质使用登记手续。对机密级以上的信息介质须分类，存人保险柜保管，并实行双人双锁制度。6 QJ 2694A-2005 7.13计算机信息介质载体表面应当标明密级编号，无密级编号的介质不得使用。记录有涉密信息的介质不得与一般内部信息介质混合存放。不得随意带出工作室或进行拷贝。7.14绝密级文件资料严禁在计算机网络系统中保存或传输。涉密文件资料在邮件系统传输过程中，必须进行加密处理。7.15 外出试验用计算机需要接人本单位内部计算机网络系统时，要采取加密措施。对执行任务中所产生的信息介质，要妥善保管，有条件的应存人保险柜(

24、或铁皮柜。回到单位后，应及时交单位资料部门。对外出执行试验任务需要计算机的人员，单位须登记备案，并提出保密要求、注意事项、签订保密责任书。7.16记录有涉密信息的介质在复制、借阅、传递、清退、销毁等过程中，要严格按照其操作制度执行。7.17航天行业计算机网络系统与外界网络物理隔离，严禁将计算机网络系统及载有涉密信息的电子设备，接人国际、国内互联网及其它企业网。7.18各单位或部门经批准接人国际互联网的计算机，不得接人本单位内部计算机网络系统，在物理上要与内部网络完全隔离，接人国际互联网的计算机不得再进行涉及国家秘密信息业务处理。7.19各单位或部门应对全体人员加强网络信息安全保密教育，不断提高

25、全体人员的保密观念。要增强网络操作人员、管理人员和使用人员的责任意识，忠于职守，确保国家秘密的安全。7.20 主干交换机路由采用静态路由，互联地址及路由协议由上级网络管理部门制定，下级执行。下级网络中心与上级网络中心互联资源的变动要向上级管理部门提出申请，批准后方可变动并备案，不得随意更改网络拓扑结构。7.21 各单位内部网络应根据应用需要划分相关VLAN。8 人员培训8.1 各级网络中心负责提出及制定网络人员培训计划。8.2 支撑网络系统运行的技术人员要根据技术发展要求定期进行技术培训。8.3 各类应用系统的使用人员在应用系统引人之前要进行培训。8.4 技术人员及用户应定期进行技术交流。7 mueeNld守agNhJO中华人民共和国航天行业标准计算机网络系统运行管理规范QJ 2694A -2005 中国航天标准化研究所出版北京西城区月坛北小街2号邮政编码:100830 北京航标印务中心印刷中国航天标准化研究所发行版权专有不得翻印2005年7月出版定价:11.00元