第一章 总 则
第一条 为健全安全生产制度,落实安全生产责任,增强安全风险/隐患排查治理能力,促进安全生产长效机制建设,防止和减少生产安全事故,结合大数据产品线实际情况,特制定本生产操作安全管理办法。
第二条 本管理办法适用于大数据产品线所有合同制员工、外协人员、厂商驻场人员。
第二章 组织职责
第三条 本管理办法说明了大数据产品线生产操作应遵守的安全制度流程,所有适用人员均需遵守本办法的管理要求。
第三章 安全生产红线
第四条 安全生产红线四准则:
(一) 守住安全红线:切勿设置弱密码,保障安全生产;
(二) 守住生产质量红线:谨防出现重大质量问题,优先恢复客户业务;
(三) 守住客户服务红线:悉心对待客诉客需,谨防各类客户投诉;
(四) 守住流程红线:严禁违反各类集团/SOP/部门双线汇报等流程,报障业务有序进行。
第三章 变更升级注意事项
第五条 如有变更升级,需注意并遵守如下事项:
(一) 非必要不变更,非必要不在规定时间外变更;
(二) 不允许任何违反“三禁止、八必须”原则的操作;
(三) 所有线上变更操作都必须先制定方案,再通过评审确认方案的可行性。四级和四级以上变更还需要走部门和公司的变更审批流程,在通过这一系列评估后才能执行;
(四) 所有线上变更操作都应遵循“一做一审、三测试”的原则(一做:变更方案需要有审核。一审:中高危操作需要执行过程中有一人协助确认每一步执行都是正确的。三测试:变更前需要有准生产验证,变更后需要有即时验证,变更后的第一个白天需要有隔日观测验证。);
(五) 所有环节,如果在合规性方面存在争议或者疑义,应立刻中止,寻求团队负责人及项目管理团队的权威专家的支持和帮助。在消除争议、澄清疑义后才能继续;
(六) 所有环节都应充分考虑合规性,以及如何举证证明合规性;
(七) 以持续推进运维流程的标准化、平台化、自动化、智能化为荣;以流程混乱、掉以轻心、疏于职守为耻;以P1、P2 级故障、重大失误过错、客户服务疏忽为戒;
(八) 任何可能对线上业务产生影响的操作,都应先按预先评审通过的方案进行。严禁无方案的操作,严禁边做边想方案。
第四章 变更操作“三禁止八必须”
第六条 变更操作 “三禁止”,如有变更操作严禁如下行为:
(一) 严禁白天无流程审批操作;
(二) 严禁无方案变更操作;
(三) 严禁封网期间未经重保审批同意操。
第七条 变更操作“八必须”,如有变更操作需遵守如下行为:
(一) 操作必须严格按规范执行,重要变更应技术、管理分级审批;
(二) 重要操作必须安排在值班现场,严格落实管理岗现场坐镇及值班制度;
(三) 操作前必须按时通知客户及业务运营单位,重要变更业务单位须安排专人配合;
(四) 操作前必须确认现网及业务状态,避免“带病”变更作业;
(五) 操作中必须严格按方案执行,重要变更“一人操作、一人审核”;
(六) 操作中紧急情况必须第一时间上报,有割接超时风险应及时组织回退;
(七) 操作后必须全面测试业务,及时分析业务、告警/性能;
(八) 必须准确及时完成操作过程打卡、业务验证打卡。
第五章 严禁弱密码
第八条 严禁弱密码,密码设置规范需遵守如下规则:
(一) 口令长度应至少12位;
(二) 口令应包括数字、小写字母、大写字母、特殊符号4类中至少3类;
(三) 口令应与用户名无相关性,口令中不得包含用户名的完整字符串、大小写变位或形似变换的字符串;
(四) 应更换系统或设备的出厂默认口令;
(五) 口令设置应避免键盘排序密码;
(六) 定期更新密码,对外使用的密码建议三个月一次,业务系统内部使用密码六个月一次;更新密码不准与旧密码相同;
(七) 禁止密码公私混用,避免私人密码泄露对业务系统的危害。
第九条 严禁弱密码,弱密码防范需遵守如下措施:
(一) cthsSenScan扫描要求:
1. 确保主机已安装cthsSenScan;
2. 组件部署、系统重启等风险操作后,必须执行cthsSecScan命令进行安全检查确认。
3. 存在默认弱密码的组件,需在部署时参考安全建议进行安全加固和自查,部署完及时使用cthsSenScan扫描。
(二) 组件测试报备流程:
1. 组件安装部署报备流程需邮件抄送CDN-安全团队(cdn_soc@chinatelecom.cn),收到回复后方可操作;
2. 组件测试完后,立即使用cthsSecScan扫描,确保无安全告警。
(三) 组件安全风险规范:
1. 按照组件规范要求进行相应的安全加固和安全配置,注意防范组件及镜像弱密码(默认密码、空密码)、未授权等配置问题。
第五章 公网暴露报备
第十条 任何环境/资产,需公网暴露端口/域名时,应提前进行安全报备、定级备案和安全评估(如内网测试环境,未配置公网IP,开放端口无需报备)。
第十一条 全网开放域名/端口安全报备需按照《智能边缘事业部大数据产线互联网暴露资产网络安全报备流程说明》,提前发起报备。