網絡運行管理規(guī)范

網絡運行管理規(guī)范第一章總則為了加強網絡管理，提高網絡服務質量，更好地為臨床、教學、科研管理提供高質量的網絡傳輸服務。同時也為了網絡中心更好地與其他部門協(xié)調工作，明確網絡運行人員的工作范圍、工作內容、工作職責，特制定本網絡運行管理規(guī)范，供網絡運行管理人員參照執(zhí)行。第二章網絡運行網絡運行主要包括醫(yī)院各科室的運行、監(jiān)控、維護和管理工作，負責保存和維護網絡運行的各種工作日志，具體工作內容和要求如下：一、工作內容網絡中心在各樓層的機房設備管理、主干節(jié)點管理、網絡故障管理、網絡運行日志管理、設備配置管理、網絡設備維修與更換、網絡異常處理、IP地址規(guī)劃分配與管理、設備端口分配與管理、VLAN劃分與分配、文檔資料管理、網絡安全管理、網絡用戶管理、網絡管理系統(tǒng)的使用與維護等。二、主干設備管理對于分布在各建筑物內網絡配線間的主干設備，做到每半年巡檢一次，檢查電源情況、設備運行狀態(tài)、通風散熱情況等，對發(fā)現(xiàn)的問題及時處理。三、設備配置管理設備配置管理包括以下幾個方面：（一）設備分配和安裝，對安裝在各處的網絡設備登記，建立設備分布臺賬，詳細記錄各設備的型號、硬件配置、軟件版本、購置日期、安裝日期、使用單位、負責人、設備保修等信息；（二）建立各設備的配置信息電子檔案，歷次配置更改記錄、密碼信息、設備標識、IP地址，配置更改時間、修改人員等，建立設備配置文檔。（三）對于分布在各樓宇的網絡設備應安排專人對設備的配置進行維護和更改。四、IP地址的規(guī)劃、分配與管理（一）根據各用戶對IP地址的需求，規(guī)劃制定IP地址的分配方案，分配方案要有一定的余量，對于不足的IP地址應及時以書面形式申請。（二）建立IP地址分配文檔，詳細記錄IP地址對應的MAC地址、使用單位、VLAN信息、使用人、機器位置、接入位置、分配日期等。（三）對已分配的IP地址能夠方便的查詢、收回、禁用和開通。五、VLAN的劃分和分配根據需求，合理劃分不同的VLAN，包括全局VLAN、局部VLAN、管理VLAN、互聯(lián)VLAN等，建立VLAN劃分的資料檔案和說明文檔，并且方便查詢和更改，保持設備配置與檔案信息的一致，VLAN信息包括：VLAN號、VLAN名稱、類型、IP地址網絡號、掩碼、網關、使用單位、分布的設備等。六、端口分配與管理建立各設備的端口分配檔案，建立端口分配文檔，記錄的信息包括：設備信息、端口號、樓號和房間號、房間內信息插座編號、下連設備類型、使用單位、分配時間、接入時間等，保持設備配置與檔案的一致，方便查詢和更改。七、網絡故障管理（一）網絡故障的現(xiàn)象包括網絡不通、網絡性能嚴重降低、無法訪問指定的網絡資源、網絡時通時斷、重復認證等；（二）網絡不通的原因包括：設備故障、端口故障、線路故障、端口分配錯誤、地址綁定錯誤、路由錯誤、IP地址沖突、終端本身的故障等；性能下降的原因可能是網絡異常流量、網絡擁塞、設備故障、線路通信質量等；無法訪問指定的網絡資源可能是網絡不通、域名解析問題、資源本身的問題等；（三）網絡故障的來源包括：用戶投訴、網管系統(tǒng)報警、日常網絡檢查、定期巡檢等；（四）故障記錄，建立網絡故障日志文檔，對發(fā)現(xiàn)的各種故障現(xiàn)象進行詳細的記錄，記錄內容包括：故障發(fā)生的時間、故障現(xiàn)象、故障位置、故障來源、故障記錄人員等；（五）故障分析與定位：根據故障現(xiàn)象和故障位置，對故障進行分析，找出故障的原因和發(fā)生的具體位置，并記錄到故障日志中；（六）故障處理：根據故障的具體情況，盡量采取備用資源盡快恢復網絡通訊，對不同的故障類型，制定不同故障處理響應時間，對網絡運行人員不能處理的故障（如電源、空調、線路等），應盡快通知相關部門。對故障的處理情況也應記錄到故障日志中；（七）故障恢復，對于用戶投訴的故障，在故障處理后應通過相應的途徑給用戶反饋處理結果，并對故障恢復的結果、時間記錄到日志中。對于不能及時恢復的故障應通知用戶，說明情況和原因；（八）故障設備報修，對確定存在故障的設備，記錄詳細的故障信息，以書面或郵件的形式報辦公室處理，具體規(guī)定參見《網絡設備管理規(guī)范》。八、網絡維護與停網在需要網絡維護時，如果需要停止部分或全部網絡傳輸，應提前作出網絡維護計劃，并提前通知受影響的網絡用戶，停網的時間盡可能短，影響的范圍盡可能小，并且選擇在下班以后的時間進行。第三章網絡用戶管理一、接入申請與登記網絡運行人員接到接入申請后，根據網絡資源（端口、線路等）的情況，決定是否允許接入，對接入用戶的信息，應建立相應的數據庫進行登記，以方便管理和查詢。二、辦公網絡用戶管理（一）接入外部網絡或內部網絡，每臺入網計算機在信息中心登記備案，備案信息包括：VLAN、IP地址、MAC地址、接入位置、使用單位、負責人、開通時間等。（二）安裝專用的服務器管理接入用戶的備案信息。（三）網絡運行人員負責各服務器的運行維護工作，做到定期檢查、實時監(jiān)控，保證服務器系統(tǒng)的正常運轉，安排專人負責服務器系統(tǒng)的管理。（四）網絡運行人員負責用戶接入信息的錄入、維護工作。第四章網絡安全管理一、網絡異常流量采取技術措施，對網絡異常流量進行檢測，對發(fā)現(xiàn)的流量異常進行分析、定位和隔離，并做好日志工作。二、網絡病毒對于網絡中的蠕蟲病毒，應采取技術手段進行檢測。對發(fā)現(xiàn)的網內病毒源通過關閉端口及時進行隔離，并通知有病毒的計算機負責人進行處理。對病毒的檢測和處理要做好日志工作。對于外網進入的網絡病毒應在邊界路由器上做針對性地訪問控制，對已實施的訪問控制要做好日志和備案工作。三、對外掃描應嚴格控制內部網絡用戶的對外掃描，采取相應的技術手段加強對掃描的檢測，對發(fā)現(xiàn)的掃描事件，及時分析，落實掃描源，通過禁用IP、關閉端口等措施進行隔離，并做好日志備案工作。四、網絡攻擊采取必要的技術手段，對網絡攻擊事件進行檢測。對發(fā)現(xiàn)的攻擊事件，及時分析，定位責任人，調整安全措施，做好日志記錄工作。五、未經允許的網絡服務根據目前我院網絡的具體情況，不允許各接入用戶提供以下網絡服務。網絡運行人員負責對網上存在的非法服務進行檢測，并強制其停止。（一）不允許在內部或外部網絡上提供DHCP動態(tài)地址分配服務。目前我院內外網采取靜態(tài)IP地址分配，并且捆綁到用戶和計算機；（二）不允許在網絡上提供NAT地址轉換服務，目前信息中心可以提供足夠IP地址滿足用戶的需求；（三）不允許在網絡上提供各種網絡代理，包括HTTP代理、SMTP代理、FTP代理、Socket代理，各網絡用戶應使用分配的合法IP地址直接訪問互聯(lián)網；（四）不允許提供未經備案的其他網絡服務，有些網絡服務由于技術方面的原因，對網絡帶寬占用很大，影響其他網絡用戶的正常應用。六、網絡安全隱患檢查網絡運行人員主要負責各路由器、交換機的安全管理，也包括幾個用戶認證服務器、用戶接入管理服務器、計費服務器的安全管理。檢查系統(tǒng)的版本信息，確定最新的版本和補丁，并及時進行升級維護。定期檢查系統(tǒng)運行日志，發(fā)現(xiàn)系統(tǒng)存在的安全隱患，采取相應的措施。對于服務器、路由器、交換機的管理密碼加強管理，定期更換，保證不泄密。七、安全對策與技術措施可以采取以下措施加強網絡系統(tǒng)的安全：（一）對網絡運行中需要的服務器系統(tǒng)，進行安全漏洞掃描，及時進行版本升級、安裝補丁程序，配置相應的主機防火墻防止攻擊。定期分析系統(tǒng)日志，消除安全隱患；（二）對路由器、交換機系統(tǒng)，跟蹤最新的安全更新信息，及時升級和打補丁程序；（三）對于確定的安全責任事件，如網絡病毒、對外掃描、對外攻擊、流量異常、國際流量超標，及時采取封IP地址、封接入端口、取消接入資格等措施，督促責任人進行整改，整改完成后，責任人應以書面報告的形式，經本單位備案蓋章后，報網絡中心申請恢復開通網絡。（四）安裝必要的攻擊檢測系統(tǒng)，實時監(jiān)測網上的攻擊事件，并進行相應的處理。第五章網絡管理系統(tǒng)目前在網絡上安裝了網絡管理系統(tǒng)，能夠對全院的主干網絡設備進行監(jiān)控和管理，網絡運行人員應熟練掌握該系統(tǒng)的使用，充分利用該系統(tǒng)對網絡進行管理，發(fā)揮網管系統(tǒng)應有的作用。一.設備狀態(tài)監(jiān)視網絡運行人員每天定期察看系統(tǒng)中的網絡狀態(tài)，及時發(fā)現(xiàn)存在的問題。二、用戶追蹤網絡運行人員應能夠熟練掌握在系統(tǒng)中快速定位特定用