机房网络设备操作安全管理制度

该制度围绕机房网络设备操作安全，规定账号实行系统管理员、操作管理员、一般用户三级分级管理，遵循最小授权和权限分割原则，账号需实名制、禁止共享及转借，密码设置需至少 8 位、3 种字符组合且每 3 个月修改一次；高危指令执行需上级审批、双人核查，远程登录需限制权限、绑定 IP 并设置超时断开；网络设备需安装防病毒软件，定期更新病毒库（至少每周一次）和检查（至少每月一次）；附录包含通传通报、交接班、故障处理、局数据管理等运维秘诀。

一、账号、密码、操作权限管理

分级管理

三级体系：系统管理员（账号创建、权限控制、安全事件分析）、操作管理员（数据配置、网元维护）、一般用户（监控查询）。
权限原则：遵循最小授权和权限分割原则，系统管理员不参与业务数据配置，操作管理员区分 “局数据” 与 “用户数据” 操作权限。

账号建立与使用要求

实名制：维护人员与账号一一对应，填写《网络设备授权表 / 权限复核表》。
共享限制：仅查询权限账号可共享，共享账号需手工记录操作，最大用户数＜维护人员数。
外部人员管理：厂家、代维等外部人员账号纳入统一管理，默认仅查询权限，特殊场景分配临时账号（需全程监控，结束后立即删除）。

密码管理

强度要求：禁止使用姓名、生日等易猜字符串，至少8 位长度、3 种字符组合，不使用单个单词。
更新周期：每3 个月修改一次，系统管理员设置初始密码，用户首次登录后立即修改。
特殊场景：人员调职 / 离职、共享账号成员变动时，及时变更密码；开启账号与 IP 绑定功能。

二、账号、权限的申请与变更管理

常规变更流程

人员调动 / 离职时，需填写《网络设备帐号、权限申请 / 变更表》，系统管理员及时调整权限或删除账号。
新系统管理员需经维护部门领导批准，原管理员密码同步修改。

临时账号管理

适用场景：系统维修、工程扩容、远程登录等，期限原则上≤2 个月，延期需重新申请。
远程登录：外部人员远程登录默认只读权限，需实时监控或日志核查；紧急情况下可电话申请临时权限，结束后删除账号并填写《远程接入登记表》。
安全设置：启用 IP 地址校验，限制特定 IP 登录；空闲10 分钟自动断开连接，关闭远程端口或 MODEM 电源。

三、高危指令管理

定义与权限

可能引发重大网络风险的指令，权限仅分配给少数技术专家，一般人员无权限。
审批流程：

非紧急情况：工单 / 纸面 / 短信申请，上级或技术专家审批。
紧急情况：电话申请，事后补报，需双人核查（一人操作、一人审核）。

执行要求

原则上在业务闲时执行，网管支持双密码授权时需输入二次授权密码（由 2-4 人共同掌管）。
禁止在多网元操作或批处理场景中执行高危指令，一般指令需上级授权。
结果确认：执行后通过网络告警、设备日志、性能统计、业务测试等确认效果及影响。

四、网络设备防病毒管理

软件安装与使用

除厂家明确禁止外，所有设备（含终端）均需安装防病毒软件，禁止安装无关程序或盗版软件。
生产用机专用，禁止办公用途或接入公网，严禁使用来历不明的存储媒介。

病毒检查机制

加载前检查：软件 / 数据加载至设备前需进行病毒扫描。
定期维护：每周至少一次更新病毒库，每月至少一次系统全面病毒检查，主管人员审阅检查结果。
问题处理：发现病毒立即处理，记录处理过程。

五、附录：运维秘诀（要点提炼）

关键问题

1. 机房网络设备账号分为哪几个权限等级？各自的核心职责是什么？

答案：分为系统管理员、操作管理员、一般用户三级。

系统管理员：负责账号创建、权限分配、安全事件分析、定期核查账号并删除无用账号，不参与业务数据配置。
操作管理员：具备数据配置、网元维护、告警处理等权限，区分 “局数据” 与 “用户数据” 操作。
一般用户：仅拥有网元告警查询、性能监视等基础权限，无数据修改权限。

2. 高危指令执行的核心安全控制措施有哪些？

答案：

权限限制：仅少数技术专家或骨干拥有权限，一般人员无资格执行。
审批流程：非紧急情况需工单 / 纸面申请，上级或技术专家审批；紧急情况可电话申请，但需事后补报。
执行规范：原则上在业务闲时执行，需一人操作、一人核查；网管支持双密码授权时，需输入二次授权密码（由 2-4 人共同掌管）。
场景限制：禁止在多网元操作或批处理场景中执行高危指令。

3. 网络设备防病毒管理的具体技术要求有哪些？

答案：

软件安装：除厂家禁止外，所有设备（含终端）均需安装防病毒软件，禁止安装无关程序或盗版软件。
定期维护：每周至少一次更新病毒库，每月至少一次系统全面病毒扫描，主管人员审阅检查结果。
操作规范：生产用机禁止办公用途或接入公网，软件 / 数据加载前需进行病毒扫描，严禁使用来历不明的存储媒介