20150617 MONICAZHANG

续上

8.3 综合网管系统日志管理

8.3.1 综合网管系统日志信息                                                      ITIL培训

综合网管系统日志应包括如下类型：

        综合网管系统运行日志：记录综合网管系统运行状况

        运行日志中包括系统异常运行情况的记录，包括发生时间和详细信息

        综合网管系统操作日志：记录用户登陆以及用户操作历史

       操作日志记录用户的操作历史。

在进行数据备份时，应对日志也进行备份。以备未来审计。                ISO20000培训

8.3.2 综合网管系统日志清理

每隔2个月进行一次日志清理，包括网管监控软件日志清理、告警管理软件日志清理，以及历史告警数据库日志清理

8.4 综合网管系统安全性

8.4.1 管理系统访问控制

管理系统具有基于角色的访问控制机制，能够为不同的管理角色分配不同的访问权限，通过管理员与管理角色的对应，实现严格的访问控制机制。防止通过综合网管系统非法对设备进行操作。                           ITSS培训

除了角色访问控制机制外，综合网管系统还提供了服务器访问的安全控制，包括：

        网络访问控制：在某些需要开启SNMP的设备上，设定只允许网管服务器进行访问

        创建专用用户：如果需要在被管理对象上创建用户，则需要创建专用用户，且给予最小权限

        通过物理安全防护手段，例如保证机房和物理设备的安全等。

另外，综合网管系统还会启动一个守护进程，实时监视自身服务和进程的运行，如果不是明确经授权的关闭综合网管系统服务，该守护进程会优先屏蔽掉“系统关机”、“系统重启动”等高危操作，防止因误操作造成的系统不可用。       ITSS认证

8.4.2 权限、角色、用户管理

1、权限管理

定义综合网管系统中的对象，基于每个对象建立、读、写、更改、删除、停止、启动等权限，对象应可灵活分类；综合网管系统中的对象分类参考：

        性能指标数据：从网元采集到综合网管系统中的网元性能指标数据；       ITSS考试

        告警信息数据：从网元采集到综合网管系统中的网元告警数据；

        配置信息数据：从网元采集或手工配置到综合网管系统中的配置信息；

        统计汇总数据：经处理后的统计汇总数据，包括经汇总、过滤、统计、分类后的数据；

        用户属性信息数据：综合网管系统用户的各类属性；

        其它数据；

在实施过程中可以根据具体情况对对象进行分类。

2、角色管理

根据对对象权限的划分，定义不同的角色，每种角色由对不同对象（或对象类）的权限组合而成。一个角色可对应有多个/（类）对象多种权限，多个角色可对应同时拥有一个权限                     ITSS工具

角色分类建议参考如下，如有需要可以继续扩充：

        监控角色：对某类对象如告警信息数据有读权限；

        平台管理角色：对系统平台相关对象有读、写、操作等权限；

        数据库管理角色：对数据库相关对象有读、写、操作等权限；

        网络管理角色：对网络相关对象有读、写、操作等权限；

        中间件管理角色：对中间件相关对象有读、写、操作等权限；

        应用软件管理角色：对应用软件相关对象有读、写、操作等权限；

        统计分析角色：对经过处理的统计汇总数据有各类操作权限；

        安全管理角色：对用户属性数据有各类操作权限；      ITSS团购

        备份管理角色：对所有类别的数据都有读取的权限；

        其它角色

3、用户管理

用户管理用于认证综合网管系统管理员的身份和控制综合网管系统管理员的管理权限。

每个用户有相应的帐号和口令，综合网管系统可通过用户帐号和口令等方式完成对用户的身份认证。

每个用户有特定的管理权限，综合网管系统通过用户的管理权限完成对用户管理操作的授权。用户的管理权限可通过角色等方式来赋予，系统可以将某一个或几个角色赋予一个用户。

在角色定义的基础上定义不同用户，每类用户由不同的角色组合而成。一个用户可对应有多种角色，多个用户可对应一个角色；

用户的分类参考：根据级别可以把用户由高到低分为系统管理员、管理员和一般用户；根据地域可以把用户分为总部级用户、省级用户及地市级用户。                                                 ITSS软件

根据以上分类方法的结合，可考虑分为9类用户：总部级系统管理员、总部级管理员、总部级一般用户、省级系统管理员、省级管理员、省级一般用户、地市级系统管理员、地市级管理员、地市级一般用户。

以上几大类用户又可进行细分如管理员又可分为主机管理员、数据库管理员、中间件管理员等；

数据传输安全

1.        对于使用Agent进行数据采集的方式，Agent端和Server端之间能够提供包括加密措施在内的安全通信手段。

2.        如果有控制性质的操作需求，全部走带外方式或者直接对设备的console端口操作（如修改网络设备的配置等）；带外网络可以是独立的带外物理网或者虚拟专用网（VPN）。

3.        禁止主机设备的root口令等信息在带内网上的（明文）传输。                ITSS体系

4.        对于SNMP、Netflow、Syslog等方式，应能对联网设备的路由发布进行控制，防止数据被错误导向。

待续http://www.itilxf.com/thread-49167-1-1.html

本帖关键字：ITSS ISO20000

20150617 MONICAZHANG

续上

8.3 综合网管系统日志管理

8.3.1 综合网管系统日志信息                                                      ITIL培训

综合网管系统日志应包括如下类型：

        综合网管系统运行日志：记录综合网管系统运行状况

        运行日志中包括系统异常运行情况的记录，包括发生时间和详细信息

        综合网管系统操作日志：记录用户登陆以及用户操作历史

       操作日志记录用户的操作历史。

在进行数据备份时，应对日志也进行备份。以备未来审计。                ISO20000培训

8.3.2 综合网管系统日志清理

每隔2个月进行一次日志清理，包括网管监控软件日志清理、告警管理软件日志清理，以及历史告警数据库日志清理

8.4 综合网管系统安全性

8.4.1 管理系统访问控制

管理系统具有基于角色的访问控制机制，能够为不同的管理角色分配不同的访问权限，通过管理员与管理角色的对应，实现严格的访问控制机制。防止通过综合网管系统非法对设备进行操作。                           ITSS培训

除了角色访问控制机制外，综合网管系统还提供了服务器访问的安全控制，包括：

        网络访问控制：在某些需要开启SNMP的设备上，设定只允许网管服务器进行访问

        创建专用用户：如果需要在被管理对象上创建用户，则需要创建专用用户，且给予最小权限

        通过物理安全防护手段，例如保证机房和物理设备的安全等。

另外，综合网管系统还会启动一个守护进程，实时监视自身服务和进程的运行，如果不是明确经授权的关闭综合网管系统服务，该守护进程会优先屏蔽掉“系统关机”、“系统重启动”等高危操作，防止因误操作造成的系统不可用。       ITSS认证

8.4.2 权限、角色、用户管理

1、权限管理

定义综合网管系统中的对象，基于每个对象建立、读、写、更改、删除、停止、启动等权限，对象应可灵活分类；综合网管系统中的对象分类参考：

        性能指标数据：从网元采集到综合网管系统中的网元性能指标数据；       ITSS考试

        告警信息数据：从网元采集到综合网管系统中的网元告警数据；

        配置信息数据：从网元采集或手工配置到综合网管系统中的配置信息；

        统计汇总数据：经处理后的统计汇总数据，包括经汇总、过滤、统计、分类后的数据；

        用户属性信息数据：综合网管系统用户的各类属性；

        其它数据；

在实施过程中可以根据具体情况对对象进行分类。

2、角色管理

根据对对象权限的划分，定义不同的角色，每种角色由对不同对象（或对象类）的权限组合而成。一个角色可对应有多个/（类）对象多种权限，多个角色可对应同时拥有一个权限                     ITSS工具

角色分类建议参考如下，如有需要可以继续扩充：

        监控角色：对某类对象如告警信息数据有读权限；

        平台管理角色：对系统平台相关对象有读、写、操作等权限；

        数据库管理角色：对数据库相关对象有读、写、操作等权限；

        网络管理角色：对网络相关对象有读、写、操作等权限；

        中间件管理角色：对中间件相关对象有读、写、操作等权限；

        应用软件管理角色：对应用软件相关对象有读、写、操作等权限；

        统计分析角色：对经过处理的统计汇总数据有各类操作权限；

        安全管理角色：对用户属性数据有各类操作权限；      ITSS团购

        备份管理角色：对所有类别的数据都有读取的权限；

        其它角色

3、用户管理

用户管理用于认证综合网管系统管理员的身份和控制综合网管系统管理员的管理权限。

每个用户有相应的帐号和口令，综合网管系统可通过用户帐号和口令等方式完成对用户的身份认证。

每个用户有特定的管理权限，综合网管系统通过用户的管理权限完成对用户管理操作的授权。用户的管理权限可通过角色等方式来赋予，系统可以将某一个或几个角色赋予一个用户。

在角色定义的基础上定义不同用户，每类用户由不同的角色组合而成。一个用户可对应有多种角色，多个用户可对应一个角色；

用户的分类参考：根据级别可以把用户由高到低分为系统管理员、管理员和一般用户；根据地域可以把用户分为总部级用户、省级用户及地市级用户。                                                 ITSS软件

根据以上分类方法的结合，可考虑分为9类用户：总部级系统管理员、总部级管理员、总部级一般用户、省级系统管理员、省级管理员、省级一般用户、地市级系统管理员、地市级管理员、地市级一般用户。

以上几大类用户又可进行细分如管理员又可分为主机管理员、数据库管理员、中间件管理员等；

数据传输安全

1.        对于使用Agent进行数据采集的方式，Agent端和Server端之间能够提供包括加密措施在内的安全通信手段。

2.        如果有控制性质的操作需求，全部走带外方式或者直接对设备的console端口操作（如修改网络设备的配置等）；带外网络可以是独立的带外物理网或者虚拟专用网（VPN）。

3.        禁止主机设备的root口令等信息在带内网上的（明文）传输。                ITSS体系

4.        对于SNMP、Netflow、Syslog等方式，应能对联网设备的路由发布进行控制，防止数据被错误导向。

待续http://www.itilxf.com/thread-49167-1-1.html

本帖关键字：ITSS ISO20000