还剩91页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
信息网络机房安全典型隐患知识库序号隐患分类隐患子类隐患名称隐患描述整改措施1基础设施空调系统空调系统无冗余如果信息机房某一台空调故障,会导致机房温湿度达不到要求,影响设备稳定运行在夏季高温时,逐台停运空调,查看机房温度在24小时内是否满足要求,如不满足要求,应增配空调,或减少负载满足如下规范)A级机房N+X冗余(X=1-N主机房中每个区域冗余X台无可靠接地机房无可靠接地系统,可能造成设备意外损坏
1.改造接地系统,满足规范要求;
2.每年在迎峰度夏前由具有资质的单位进行一次检查和测试,并作好检查和测试的记录18基础设施其他无静电保护措施机房无静电保护措施,可能造成设备意外损坏
1.信息机房应采用活动防静电地板,且所有设备的金属外壳、各类金属管线、线槽、建筑物金属结构等必须进行等电位连接并接地;
2.操作人员在信息机房进行信息设备硬件检修时,佩戴防静电装置,并将此装置接入机柜或其他进行接地连接的金属表面19基础设施其他无可靠防水措施机房给排水管防水措施不到位,造成水管易渗漏,影响机房安全运行
1.与机房无关的给排水管不得穿过机房;
2.给排水管穿墙时应有套管,密封措施可靠;
3.有条件的在空调及进排水管周围安装漏水报警装置,重要区域布设防水围堰或引流槽,让漏出的水流可以及时排出,不产生积水20基础设施其他无防小动物措施机房区域如没有防小动物措施,小动物易进入机房,威胁电源、线缆的安全运行
1.对机房周边的沟道进行封堵,楼层间竖井、孔洞应进行有效隔断;
2.机房出入口应设置防小动物挡板,高度一般不低于50cm,或加装自动闭门器;
3.新风等对外出口应安装防护网
4.在活动静电地板下,放置防鼠灭鼠装置,并应定期检查更换基础设施其他新风系统新风系统过滤网通风不畅更换过滤网22基础设施其他防雷防雷接地大于10Q,交流电源进线侧无防雷措施进行防雷改造,接地不大于10Q,交流电源进线侧加装防雷措施23硬件设备服务器重要系统主机及重要部件无冗余服务器主机包括数据库服务器、中间件应用服务器等,单机运行的主机宕机将直接导致数据库或中间件应用停运,造成系统无法提供对外服务的严重后果此外还包括服务器主机单路电源或单电源部件隐患、主机服务器网卡部件或接入层物理交换机无冗余、服务器主机存储网络无冗余、主机服务器HBA卡部件或者光纤交换机等重要部件无冗余
1.通过利旧或者购置匹配的物理服务器主机来实现冗余,其中数据库服务器还需要通过数据库集群软件实现数据库服务器的冗余;
2.单电源问题通过购置匹配的电源部件转为双电源解决;
3.单路电源问题采用双电源接入两路PDU电路解决;
4.单网卡问题通过双物理网卡绑定技术实置匹酉己HBA旨部件或者光纤交换机等重要部件实现冗余现网卡的冗余;
5.服务器主机存储网络无冗余隐患问题通过利旧或者购24硬件设备服务器服务器硬盘空间不足或CPU内存占用率过高CPU和内存占用率过高,导致业务系统性能下降硬盘空间不足,导致系统停运风险清理硬盘文件,对服务器CPU内存及硬盘进行扩容25硬件设备服务器操作系统磁盘无冗余操作系统本地磁盘未做冗余配置单块磁盘损坏时可能会造成操作系统不可用,导致其承载的业务应用无法正常运行建立主机操作系统镜像,或通过磁盘RAID等方式完成26硬件设备存储设备磁盘阵列raid方式不合理存储磁盘阵列未使用合理的raid方式组建使用合理的方式组建,如RAID
1.RAID5或RAID1+0等,提高系统核心业务数据的可靠性硬件设备存储设备SAN网络设备及链路无冗余重要系统的存储网络应有冗余链路SAN网络设备及链路在服务器与存储设备之间数据过程起到至关重要的作用,单点SAN网络设备及链路故障时将造成存储无法访问,影响系统正常运行L配置冗余链路,存储链路的冗余通过每台主机双HBA通道卡、双交换机光纤通道来提供;
2.完善光纤交换机双机互备模式,不同的HBA卡对应接入不同的交换机28硬件设备存储设备存储告警未及时消除存储告警未及时消除存储告警内容包括微码升级、电源、磁盘、光纤模块、蓄电池电量等方面;如果告警信息未及时消除,可能会影响巡视人员对后来告警的判断,降低存储安全性,甚至引起存储运行异常制定整改计划,及时消除告警,同时加强设备巡检硬件设备存储设备san网络配置无备份每台san交换机的配置无备份,如果san网络整体发生问题,例如错误删除,则造成配置无法恢复检查梳理所有交换机,定时备份30硬件设备网络设备网络设备配置无备份网络设备未进行配置文件备份根据公司信息安全防护相关文件要求,对网络设备配置文件备份进行自查并整改31硬件设备网络设备网络设备未进行安全加固网络设备未进行安全加固根据公司信息安全防护相关文件要求,对网络设备进行安全加固32硬件设备负载均衡设备负载均衡设备无冗余负载均衡设备处于单链路状态运行,存在单链路故障隐患搭建负载均衡双机主备运行环境搭建冗余链路,实现多链路方式33硬件设备负载均衡设备负载均衡未配置健康检查负载均衡器未做健康检查配置,或未正确配置健康检查如配置的检查页面错误,在系统故障时不能自动排除故障节点
1.提供系统应用服务健康检查页面,建议页面实现应用到数据库的简单访问;
2.根据提供的检查页面在负载均衡上进行健康检查配置34硬件设备安全设备安全设备无冗余未采用冗余技术设计,未提供主要安全设备的硬件冗余,单安全设备故障可能造成业务系统网络中断或安全防护能力降低对系统网络拓扑结构进行梳理,如不满足要求,应按规范要求建立安全设备硬件冗余35硬件设备安全设备安全设备配置无备份安全设备未进行配置文件备份根据公司信息安全防护相关文件要求,对安全设备配置文件备份进行自查并整改36硬件设备安全设备安全设备未进行安全加固安全设备未进行安全加固与特征库未升级根据公司信息安全防护相关文件要求,对安全设备进行安全加固与特征库升级37硬件设备安全设备信息内网边界无访问控制信息内网边界未采用网络访问控制、网络入侵检测、日志记录与审计、边界流量监测B级机房N+l冗余主机房中每个区域冗余一台C级机房N+1冗余主机房冗余一台D级机房N2基础设施空调系统机房温湿度不达标机房温湿度达不到标准,影响设备稳定运行;;L增配空调机组
2.配备恒温恒湿专用空调
3.未配备恒温恒湿专用空调的机房,加配加湿设备满足如下规范℃℃A级机房开机时温度23±1湿度40%〜55%;停机时温度5~35湿度40%~70%℃℃B级机房开机时温度23±1湿度40%〜55%;停机时温度5~35湿度40%~70%℃℃C级机房:开机时温度20~26湿度35%〜75%停机时温度5~35湿度20%〜80%℃℃D级机房:开机时温度18~28湿度35%〜75%停机时温度5~35湿度20%〜80%根据公司信息安全防护相关文件要求,对信息内网边界安全进行自查并整改38硬件设备安全设备信息内外网间未部署国网认可的强隔离装置信息内外网间未部署国网认可的强隔离装置信息内外网间应部署国网认可的强隔离装置39系统软件操作系统本地文件系统空间分配不合理安装配置过程为本地文件系统空间规划不合理,容易造成本地文件系统空间利用率长期处于不足甚至被占满,将有可能导致操作系统CRASH或无法启动使用本地文件系统存储如应用软件、用户自定义文件、业务数据等非系统文件,这些文件导致本地文件系统空间不足,同时会导致操作系统备份恢复策略难以实施主机操作系统产生日志、trace、dump等文件长期不清理,导致本地文件系统分配不足
1.合理规划本地文件系统,分配足够的文件系统空间;
2.同时,规范本地文件系统;的使用,本地文件系统只存放操作系统内核及相关的系统文件
3.制定维护管理机制,定期处理操作系统生成的日志、trace,dump等临时文件40系统软件操作系统UNIX操作系统DUMP空间过小DUMP空间大小配置不合理DUMP空间过小有可能导致系统无法产生DUMP文件,直接影响对操作系统运行状态的深度分析,可能影响系统稳定健康运行合理规划本地文件系统,分配足够的DUMP空间41系统软件操作系统UNIX操作系统未设置备用启动路径UNIX操作系统只有单启动路径可能导致操作系统无法正常被引导至备用操作系统配置备用启动路径,用来引导备用操作系统42系统软件操作系统HP小型机集群资源包状态未设置自动切换HP小型机集群资源包未设置为自动切换在集群发生故障时,可能导致资源无法自动切换合理配置HP小型机集群资源包状态,实现集群资源的自动切换43系统软件操作系统服务器安全防护措施不足服务器操作系统在漏洞扫描、安全加固、补丁更新等方面存在措施不到位,处理不及时等问题根据公司信息安全防护相关文件要求,对服务器安全进行自查并整改44系统软件操作系统服务器时间不同步服务器未进行时钟同步或与非国网认可的时间服务地址同步,导致服务器之间时间出现偏差,影响系统稳定运行将服务器与国网公司要求的时钟同步地址进行同步45系统软件操作系统操作系统帐号未定期清理系统管理员帐号未作定期清理对系统帐号定期进行清理,并定期修改帐号密码系统软件操作系统操作系统使用NFS文件共享服务器如使用NFS共享磁盘,在主节点宕机时会导致备用节点挂死,如是重要目录使用了NFS功能,可能会导致相关系统或软件挂死,影响业务运行如是多台服务器需要共享磁盘,建议使用专业的CFS软件来实现,杜绝NFS功能出现的单点隐患47系统软件操作系统操作系统内核参数未调优操作内核默认内核参数为了系统的稳定,内核参数设置保守,在高配置服务器上该内核配置无法充分使用硬件资源,造成浪费按照规范配置合理的操作系统参数系统软件操作系统系统对非法登录的限制策略不健全是否有失败处理功能,如采取介绍会话、限制非法登录次数、登录超时退出等措施查看并修改登录限制49系统软件中间件Weblogic连接池资源不足Weblogic连接池资源配置过小,或应用程序占用数据库连接未正常关闭,会出现无法处理新的连接请求,造成前端应用等待超时,导致业务处理中断1根据数据库进程配置数processes和Weblogic的实例数量,合理分配中间件连接池参数MaxCapacity MinCapacity.InitCapacity;s
2.检查Weblogic应用日志Servers.log,如存在数据库连接泄露情况,由开发人员对应用程序进行优化完善50系统软件中间件重要系统Weblogic无冗余Weblogic单机部署,未做集群,存在中间件服务停运造成系统无法提供服务的风险完善Weblogic集群部署,力口强应用服务的健壮性和稳定性51系统软件中间件重要系统应用服务节点未单独部署应用程序直接部署在Weblogic管理服务上,没有单独建立应用程序的应用域,导致管理服务负载过大,一旦管理服务停止,应用将无法访问根据系统重要程度,将管理服务与应用服务分开部署系统软件中间件Weblogic日志设置不合理Weblogic日志设置不合理,输出的日志过多,若未及时清理,将因磁盘空间占满导致系统无法运行建议把日志输入级别定义为Warning及以上,并加强文件系统使用情况的巡检与监控,一旦超过阈值,及时处理53系统软件中间件Weblogic开发模式运行Weblogic中间件运行在开发模式,运行效率较低,影响系统性能%在Weblogic应用域路径DOMAIN_HOME%\bin中找到setDomainEnv.cmd或setDomainEnv.sh文件,修改PRODUCTION_MODE为true,重启Weblogic服务即可系统软件中间件Java VM内存分配不合理VM内存过小,GC过于频繁,限制了系统的在线用户数和并发数VM各内存区域设置不合理按照配置规范配置合理的VM大小参数和内存分配比例55系统软件中间件中间件补丁未及时更新容易造成安全隐患,造成系统运行不稳定及时安装补丁更新56系统软件中间件Java VM的垃圾回收机制未作优化GC针对不用的业务有不用的机制,不适当的机制会影响性能结合系统应用选择适当的GC机制57系统软件数据库数据库RAC配置不合理数据库RAC配置不合理,会导致系统(故障,或性能下降,常见的现象如下1)节点间的时间设置不同步,会引起数(据库单节点故障2)数据库集群中未设置网卡冗余绑定,存在单点隐患
(3))心跳网络链路直连,会因为心跳故障,导致数据库故障,扩大了故障范围
(4)心跳交换机无冗余,存在单点隐患(5心跳链路速率过低,会导致两个节点间的数据交换性能低下,影响数据库性能,严重时造成单节点宕机按标准要求配置数据库RAC,对于心跳链路速率过低问题,可采用以下办法
1.根据实际情况,升级心跳链路速率2禁用Oracle RACDRM,基础设施空调系统空调巡检不到位空调巡检频率低、内容不全,导致空调运行故障未及时处理,扩大了影响范围编制巡检手册,机房值班人员按要求巡检4基础设施空调系统空调未定期保养信息机房空调没有定期开展保养工作,将会增加空调故障率根据空调设备说明书及实际运行环境,制定保养计划,及时整改保养中发现的问题5基础设施电源系统动态资源不在两个节点间转移,减少心跳流量;
3.不同的业务在不同的主机实例上运行,减少集群间的私网通信量58系统软件数据库数据库读性能低下在业务高峰期,如系统读性能较差,会引起数据库性能低下
1.全面检查存储、SAN网络、HBA卡的性能利用情况,发现影响I/O操作的瓶颈,进行整改;
2.根据高峰期AWR报告,调整参数db_buffer_size keep_pool;
3.s优化SQL语句59系统软件数据库session_cached_cursors设置过小session_cached_cursors用于控制用户会话级别游标缓存的个数,如果过小,会增加SQL解析的次数,增加了CPU消耗检查session_cached_cursors的使用情况,适当增加此参数值60系统软件数据库Redo Log组配置过少,或文件过小,在业务高峰期可能会因无法切换Redo Log配置不合理日志,而导致数据库挂起;
1.每个数据库实例配置6到10组,每组配置2个成员
2.根据业务高峰期的系统使用情况,调整Redo Log文件大小,保证切换周期不小于5分钟61系统软件数据库表空间使用率超过阈值表空间超过阈值,无剩余空间可用,会导致数据无法写入及时发现表空间使用率过高问题,及时扩展表空间系统软件数据库db_files参数设置过小db.files参数限定可添加数据文件的最大个数db_files参数设置过小,数据文件个数将很快达到该值,导致无法扩展表空间,需要重启数据库修改此参数才能解决根据当前数据规模和增长趋势,检查当前db.files参数值,如需调整,提前做好检修计划63系统软件数据库表分析不及时未及时进行表分析,可能会生成错误的执行计划,导致SQL语句的执行效率降低
1.针对符合要求的业务表,制定手动分析计划,按月跟进;
2.在数据变化超过阈值时,应进行手动分析系统软件数据库索引创建不合理不合适的索引会导致SQL语句的执行效率降低
1.通过工具,按月分析索引使用情况,发现冗余索引,在经开发人员确认后删除;
2.分析toplOO SQL语句执行效率,创建合适索引65系统软件数据库业务用户权限过大当数据库内普通业务用户具备系统DBA权限时,可能导致因权限过大带来的非授权行为风险按照最小权限分配原则为数据库用户分配权限66系统软件数据库大对象分区不合理业务大表存在未分区及分区不合理的情况对表进行业务分析,如果为日志表建议清理日志,缩小数据量;对于业务数据,对表进行合理规划调整分区,建议按时间或区域进行分区67系统软件数据库数据库重组分析不及时在进行大量数据删除时,必须进行重组,否则删除的空间不会释放,而其中大量的碎片会给系统性能带来极其严重的影响确定需要重组的表,编制脚本或借助工具进行重组68系统软件数据库数据库补丁未及时更新容易造成安全隐患,造成系统运行不稳定结合实际,及时更新补丁69系统软件数据库数据库内存分配未优化内存参数采用默认值,导致数据库可用内存不够合理调整参数,保障SGA占有物理内存比例为50%-60%左右70系统软件数据库数据库关键参数未优化数据库关键参数未优化,如Sessions参数采用默认值,系统的在线能力受限调整和优化关键参数系统软件数据库数据库表主键或外键缺失主键缺失容易导致数据不唯一,外键缺失容易导致数据不完整重新规划设计数据库表主键或外键72系统软件数据库数据库默认口令未修改,无关用户未禁用默认口令和无关用户的存在有安全隐患更改默认口令,禁用无关用户系统软件虚拟化软件虚拟机未设置应用开机启动资源池本身具有比较高的高可用性,当硬件发生故障时,所承载的虚拟机会被运行正常的主机所接管,虚拟机的操作系统会发生重新启动,如果不设置应用在开机启动里,会影响到应用的正常访问检查修改参数,确保所有虚拟机中的应用实现开机自启动74应用软件ERP系统ECC系统Kernel版本过低目前SAP ECCKernel700已经脱离支持期该版本即使发现了新BUG,SAP也不再提供修正,而是要求进行Kernel版本升级在SAP ECCKernel700Patch236中,系统存在BUG,在进行数据批导,或在进行大数据量操作时,如果系统进程或会话不正常中止,会引起系统资源wp_ca blocks和appc_ca blocks迅速增长,并达到系统设置最大值,导致系统宕机升级Kernel到Kernel720/721版本,升级方法参考SAP NOTE1636252O应用软件ERP系统SAP应用服务器锁溢出SAP系统在批量修改数据或批量数据导入时,会出现系统锁溢出的错误适当调整参数enque/table_size,参考值为6553676应用软件ERP系统ERP系统未开启审计日志在系统发生正常业务时,无法对发生问题时的操作用户、操作命令、操作时间等信息进行检查分析开启EPR的系统审计功能,审计日志至少保留半年77应用软件ERP系统SAP系统数据库重组与OGG不兼容SAP系统提供Oracle数据库在线重组工具,与golden gate存在兼容性问题如下如果使用较早的内核版本,由于golden gate会打开附加日志功能,导致重组时由于附加日志组存在使重组命令失败升级内核至720402及以上78应用软件生产管理系统任务调度服务配置不合理由于生产管理系统任务调度服务多,配置不当常造成任务扎堆〃或反复〃执行,严重影响系统安全稳定运行全面检查生产管理系统调度服务配置策略,依据实际业务及运行状态,试次数〃、”最长执行时间〃等配置参数分组优化系统调度服务各任务项,并重新调整执行主机、最大重应用软件生产管理系统市电供电电源无冗余信息机房市电高压侧供电电源应来自不同变电站,且采用不同路由,不宜架空走线,高压侧应配备自动投切设备(A、B类机房适用)信息机房市电供电电源如无冗余,一旦发生供电故障,机房将失去市电,导致空调无法工作,UPS转电池供电改造市电供电电源,达到规范要求6基础设施电源系统UPS电源系统与自动化专业机房共用与自动化专业机房共用UPS电源系统,不符合《国家电网公司十八项电网重大反事故措施(修订版)》要求为信息机房提供独立的UPS电源系统7基础设施电源系统PI3000服务许可证书失效如果系统的PI3000服务许可证书失效,系统将只能允许5个用户同时登录使用检查PI3000服务许可证书是否有效,是否即将到期,如有问题及时申请更换80应用软件营销系统程序无业务规则校验程序如无业务规则校验,用户在界面输入极端数据时,会对系统负载造成较大压力通过修改程序代码实现规则校验81应用软件营销系统历史日志信息未归档在系统故障排除期间,需要对系统,数据库以及应用软件日志进行分析时,如日志文件丢失,无法有效定位故障部署日志服务器,分类存放数据库、操作系统、中间件、应用软件日志,要确保一年都日志均可查82应用软件协同办公系统无分库机制,单个domin库文档数量过大未开启分库机制,使得单个domin数据库的文档数量过大、表单页面内容过多、用户对表单所在数据库的访问过于频繁,造成表单运行速度慢、查询效率降低,并出现明显的白屏等现象压缩数据库、合理分库处理建议收发签库、信息采编库、其他数据库文档达到5万条以上或公文打开有明显的白屏现象可以考虑分库处理;访问日志库采用按时间自动分库方式分库应用软件业务视图或索引未优化因数据库中文档数过多、视图过多、视图索引过大,可能出现白屏及运行迟钝等现象搜索操作时,检索数据慢用户前台查看各种发文、收文、签报的视图时,文件加载响应慢展现库与业务库分离,展现库仅保留必需的字段;整理数据库视图与索引,合并相似视图、去除多余视图、索引及相关序列,如在办文件|AtDoDoc,z已办文件s〃|DoneDoc等84应用软件协同办公系统搜索无限制当数据库未限制查询返回的条目数而需返回大量数据时,综合查询搜索缓慢查看综合查询返回最大条数,建议设置搜索返回的最大条目数为1000应用软件平台参数设置不合理NSF缓冲池空间大小、jvm内存最大值、web代理并发等平台参数配置不当,造成系统资源分配不均,成为系统性能瓶颈,使得应用访问慢,前台页面加载慢,严重可导致宕机事故正确配置notes.ini文件如NSF_BUFFER_POOL_SIZE_MB设置范围512-750之间;JavaMaxHeapSize稳定设置为128MB;console_log_enabled设置为1,启用Console Log文件日志86应用软件协同办公系统Domino平台活动线程数设置不合理http线程数配置不当可能会导致服务器性能不佳,甚至引起宕机,导致系统响应慢,用户体验下降,可导致部分业务处理出现流程不同步现象正确设置HTTP的活动线程数应用软件DOMINO平台代理运行设置不合理未合理设置定时代理将影响整个系统性能,如未合理设置定时代理可育导致部分文件归档出现异常
1.设置代理管理器执行代理的频率AMgr_DocllpdateAgentMinInterva缺省设置为30分钟AMgr_DocllpdateEventDelay缺省值为5分钟DominoAsynchronizeAgents缺省值为0;
2.控制代理管理器排队代理的速度AMgr_SchedulingInterval缺省值为1分钟AMgrJJntriggeredMaillnterval缺省值为60分钟;
3.控制同时运行的代理数目88应用软件协同办公系统调用webservice服务的接口方式不合理某些模块采用domino自身jar包调用webservice服务实现与其他系统的接口集成,由于domino服务器自带的jdk版本过低(domino7自带的jdk版本是
1.
4.2)在调用domino自身jar包时易造成domino服务器http进程的jvm内存溢出,导致domino服务器宕机现象建议采用http连接方式,自行解析xml到webservice服务,不调用domino服务器自带的jar包89应用软件协同办公系统Domino平台证书过期Domino平台证书有效性过期,导致业务功能正文编辑及附件管理不能正常使用,严重时造成系统宕机定期检查Domino平台证书有效性,防止出现证书过期,针对即将过期的证书及时申请授权90应用软件协同办公系统数据库备份时间过长随着数据递增,备份时间延长,影响数据安全选择合理的备份传输技术,增加适当的备份通道;建议除历史海量库*mss.nsf进行周备份外,domino/data下的所有文件采用全备方式进行备份91应用软件门户系统门户节点服务启动速度慢门户服务更新时或重启门户节点时服务启动速度过慢,造成门户节点长时间不能提供访问,从而引起门户其他节点压力增大L在路径为%DO MAI N_H0M E%/b i n/文件夹中找到startWebLogic.sh或startWebLogic.cmd文件,检查是否设置参数WLP_SEARCH_OPTION=none,关闭全文搜索引擎;是否增加${JAVA_OPTIONS}-Dcom.bea.wlw.netui.disablelnstrumentation=true参数,关闭诊断日志;
2.增加应用服务器及应用节点应用软件目录系统AC级联缓存未及时清除adminconsole中级联缓存无法设置为不缓存,级联缓存会影响用户认证的并发处理能力依据NOVELL产品的特性,该问题无法通过系统配置解决通过管理员定期检查的方式,手工删除级联缓存定期清除级联认证缓存,方法登录AC控制台,依次点击目录管理删除对象->高级选择->对象类型选择nidsidentity,树枝选择cluster.nids.accessManagerContainer.novell,选择包括子树枝->点击预览->点击确定进行删除93应用软件目录系统AG中单点登录失败跳转页面未配置AG中没有配置单点登录失败跳转页面,该情况下用户访问业务系异常时可能出现AG访问请求重复提交的情况,如不及时停止可能导致单台AG节点挂起全面对各业务系统的登录失败页面情况进行排查,对不存在登录失败页面的系统及时整改,避免登录失败导致的AG重复请求现象94应用软件目录系统AG中IP欺骗未关闭AG中未关闭IP欺骗策略会导致用户会话异常表现为认证系统后session丢失,或要求用户重新认证在问题发生时,ics_dyn.log日志中会报如下信息Ignorecookie,detected IPSpoofingIP:或者在门户中访问国网反向级联系统后,0在同一浏览器中再次访问门户时,页面显示无法找到网页如果AG前端的负载均衡配置了多个管理IP,用户请求通过负载均衡到达AG时,前后获取的IP地址不一致导致会导致此现象解决方法及提前预防措施
1.关闭IP欺骗,在所有AG上执行touch/etc/lagDisableAuthlPCheck;
2.重启VMC服务/etc/init.d/novel I-vmc restarto95应用软件统一权限统一权限组件服务数据库连接池设置不合理统一权限各组件服务单节点连接池设置过大或者过小,当链接池过小时,有可能造成统一权限认证服务及审计服务访问堵塞;而当连接池设置过大,会对数据库造成较大压力检查统一权限数据库连接池设置,建议调整连接池初始值为
10、最大值为30,容量增长为5096应用软件数据中心cognos软件内存未及时释放cognos
8.3版本本身存在内存释放BUG,到一定时间如未进行处理,cognos会出现死机现象,导致数据中心展示页面报错影响业务应用
1.建议cognos软件升级至cognos
8.3以上版本;
2.对暂无法升级的cognos软件,应定期进行检查,对内存进行释放,避免展示页面出现问题97应用软件数据中心UPS负荷超载单UPS供电时,负荷不得超过额定输出的70%双UPS同时供电时,单台UPS主机负载不超过35%,若单台UPS主机负载过大,其中一台UPS主机发生故障时,负载转移至另一台UPS主机的过程中产生较大冲击电流,可能造成UPS系统整体故障
1.UPS主机扩容;
2.降低UPS负载8基础设施电源系统UPS输出三相负载不平衡UPS三相线路负载不平衡超过30%,影响UPS主机稳定运行调整UPS三相负荷,达到规范要求9基础设施电源系统UPS电源未定期保养Sybase IQ版本过低Sybase官方相关文档说明在版本之前Sybase iq数据库在做大规模并发查询时,由于优化器引擎在出现大规模负载查询时效率较差,且数据库引擎处理能力低下,有一定几率可导致内存空间崩溃,从而造成数据库宕机
1.升级数据库版本,将Sybase IQ版本升至以上的版本;
2.调整后台应用大规模并发查询等解决数据库频繁宕机问题98系统架构技术架构未防范SQL注入漏洞SQL注入漏洞可以用来从数据库获取敏感信息,或者利用数据库的特性执行添加用户、导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统的管理权限Trace是用来调试Web服务器连接的方式,支持Trace方式的服务器存在跨站脚本漏洞,攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息文件目录索引漏洞可以索引应用程序的所有目录结构
1.在web.xml中配置SQL注入检测过滤器和XSS攻击检测过滤器;
2.优化WebLogic的域配置,将Web应用目录设置为禁止索引目录;
3.关闭Trace配置,防止Http Trace跨站脚本攻击;
4.对内网访问网站的数据库用户权限进行限制,取消insert,update,delete等权限;
5.对网站页面的输入参数进行限制,限制参数个数为1个,对输入参数中的特殊字符进行过滤;
6.使用安全漏洞扫描软件(AppScan.WebScan等)对网站进行弱点扫描,确定是否存在漏洞如果存在漏洞,通知开发厂商通过修改程序修复漏洞;
7.建议完善系统部署架构,在互联网出口位置增加部署Web应用防火墙(WAF)99系统架构技术架构未防范DDoS攻击()分布式拒绝服务DDoS:Distributed Denialof Service攻击可以对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的能力它会导致网络拥堵,使得主机无法正常与外界进行通讯,无法处理正常请求,严重时会造成主机死机L配置Web服务器酒己置Nginx根据http_user_agent过滤防DDoS攻击;
2.建议完善系统部署架构,在互联网出口位置增加部署Web应)用防火墙(WAFo100系统架构系统集成WebService接口设置不合理系统接口采用WebService实时发送的方式,当响应时长没设置或设置不合理,接收方接口处理性能下降或异常时,发送方接口进程将处于等待对方系统响应的状态,如果遇到大量系统用户操作,存在系统宕机的风险对WebService接口的实际响应时长进行梳理,确定各WebService接口的最大响应时长,并对WebService接口响应时间进行设置101系统架构网络架构重要区域网络无冗余服务器区网络、核心网络、骨干网络未采用冗余架构,当网络出现故障时,无冗余网络造成信息系统无法访问服务器区网络、核心网络、骨干网络采用冗余架构,当一条网络链路故障时能够切换至第二条链路运行,确保网络持续性运行102灾备系统存储复制复制关系不完整主端存储与备端存储需要配置数量和容量相同的LUN,并相应配置同步关系,如果复制关系配置不完整可能导致整个复制关系无效定期对复制关系进行检查,确保所有复制链路完整103灾备系统数据复制生产端/Goldengate文件系统无冗余生产端/Goldengate文件系统单点部署,未利用双机环境进行冗余部署,如果单节点故障时会导致软件无法运行,需要重新安装配置、同步初始化将goldengate文件系统作为共享资源,加入到HA资源组中,编写启动脚本,当某一个节点启动失败时,可以通过调用脚本自动接管104灾备系统数据复制进程分配不合理划分抽取进程不合理,造成进程配置多,没有按业务耦合度进行划分,会影响抽取及同步性能
1.生产端抽取进程尽量少,原则上只允许配置一个抽取进程如果一个抽取进程不能满足性能要求,则按照《国网容灾.Goldengate进程的合并与拆分规范V12DOCX》原则进行拆分2保证数据和业务一致性,按业务耦合度配置进程存在业务耦合的对象,建议配置在一个抽取进程中按Redo日志量配置进程以小时估算,在业务峰值时,建议单个抽取进程每小时处理的redo量不超过40Go灾备系统数据复制OGG参数配置不规范参数配置不规范,造成灾备端数据不一致按照国网统一规范标准《国家电网公司信息系统灾备OGG参数规范》进行配置禁止使用不规范参数106灾备系统数据复制OGG软件版本过低由于旧版本OGG软件BUG,可能导致复制进程异常中断,造成数据同步延迟或无法同步对BUG进行跟踪确认,及时将软件升级到相对稳定的新版本107灾备系统数据复制灾备数据复制范围不完整生产端数据没有完全向灾备端进行同步,导致灾备数据对象不完整严格遵照《国家电网公司信息系统灾备OGG实施规范》执行对生产端系统数据库进行全库灾备108灾备系统灾备硬件容灾端主机性能低且无冗余由于灾备端主机设备配置较低且无冗余,存在性能隐患影响数据复制效率,在业务高峰期可能导致LAG过高的情况发生,不能承载业务的正常运行
1.升级灾备端主机配置,保证主机性能满足软件正常运行的需要;
2.对于灾备端主机无冗余隐患,建议配置RAC双机模式,做到双机负载均衡运行,保证应用级灾备的需要109数据管理数据清理系统管理数据未及时清理系统在运行过程中会产生大量系统管理数据如系统运行日志、数据库日志等,该部分数据如不清理会占用大量的表空间或磁盘空间,由于该部分数据不是业务数据,仅提供系统管理参考,无需存放太久,庞大的数据会影响系统性能,延长系统备份及恢复时间,给系统带来风险提取系统中占用空间较大的数据表,结合其业务要求对数据表进行归档或清理,并设计清理策略定期归档或清理清理完毕后需要对数据库表进行重组110数据管理数据清理冗余数据未及时清理因升级、检修、测试等可能导致数据库中存在大量垃圾数据如临时数据、失效对象等,占用系统资源,影响正常业务访问,降低系统响应速度编制数据清理操作手册,并制定数据清理应急预案,每月检修时定期清理垃圾数据数据管理数据清理历史数据未及时归档历史数据未及时归档,积压过多,造成生产系统性能低下,数据库备份恢复时间过长,浪费了存储资源,历史数据迁移未形成常态机制开展历史数据归档,编写历史数据迁移的规范化手册,实现历史数据迁移常态化112数据管理数据清理归档日志文件未及时清理未及时进行归档日志文件清理,可能因归档日志文件目录占用率过高导致数据库挂起将归档日志文件目录占用情况纳入系统巡检与监控内容,建立归档日志文件备份计划,及时进行归档日志文件清理数据管理数据清理数据表及索引碎片未及时清理当频繁发生增删改操作时,表及相关索引会产生碎片,随着碎片的增多,将出现数据库性能下降定期对碎片超过阈值的表及其索引进行碎片整理114数据管理数据安全系统数据未及时备份如未定期对系统做备份,一旦出现硬件故障或其他灾难性事件,数据就难以恢复
1.根据自身情况制定数据备份周期,建议最好保存近半年可追溯查询数据;
2.备份包含应用程序包、数据库和相关配置等数据数据管理UPS电源系统没有定期开展保养工作,将会增加故障率,减少使用寿命根据UPS主机和蓄电池说明书及运行环境,制定保养计划,清除机内积尘、测量电压、检查风扇运转等,及时整改保养中发现的问题对于长期无停电的UPS,每隔半年充放电,延长电池使用寿命10基础设施安防系统门禁信息机房出入通道无门禁系统信息机房应具有门禁系统、监视摄像系统并具有录像功能,加数据保存时间不少于3个月11基础设施安防系统监控范围不全数据安全配置文件中数据库口令未加密应用程序中各组件服务的配置文件中存在明文数据库账号及密码,易导致数据库密码泄露,并引起数据被篡改风险强化系统开发过程管控,要求使用密文;对于在运系统应检查各应用服务配置文件中是否存在明文数据库密码信息,如存在,应立即对连接信息进行加密116数据管理数据安全数据库备份时间过长随着系统数据递增,数据库的备份时间逐渐延长,如果数据库备份时间超出设置时间,可能会影响系统业务访问从备份层面上来看,选择合理的备份传输技术以及增加适当的备份通道可以提升备份速度,缩短备份时间备份传输方式采用SAN存储网络的LAN_Free方式进行备份备份通道增加依据如下驱动器数量二备份的数据量/(备份时间*每个驱动器每小时备份数据量)117数据管理数据安全备份后未进行有效性验证数据进行备份后,没有对备份介质进行有效性验证,当需要恢复数据时才发现备份数据无法恢复,造成数据丢失对备份的介质在测试服务器上进行恢复验证;物理环境具备条件的可以对核心关键系统进行双份备份118数据管理数据安全备份维护手册缺失没有完整详细的备份维护文档,出现故障需要恢复数据时,因信息不齐全和操作不熟悉,影响数据恢复速度完善系统数据备份操作手册,包括备份涉及到的软硬件配置,参数设置,以及备份恢复的操作步骤119运维管理规章制度职责分工不清运维责任不明未明确系统运维过程中各方责任与职责分工按照《国家电网公司信息通信系统调度运行管理办法》要求,应明确信息管理部门、业务管理部门、系统运行单位(部门)、外委运维团队间的分工与责任,清晰界定业务运维与系统运维分界及对口管理关系各单位信息化管理部门负责信息系统调度运行检修工作的管理,负责管理制度、规程和规范体系的建立,负责系统调运检工作的安全、应急管理以及监督、检查、考核和评价各单位业务管理部门负责信息系统的业务内容监控、数据准确性及实时性保障等应用推进工作,协助信息化管理部门做好业务应用系统运行工作的监督、检查、考核和评价工作各单位系统运行单位(部门)主要负责信息系统的调度、运行、检修、客户服务等工作,以及系统的安全运行及应急处置工作运维管理规章制度管理制度、流程不健全系统的基本管理制度、工作流程规范及应急管理制度不健全编制相关管理制度至少包括系统运行维护管理办法,包含需求管理、问题管理、配置管理、变更发布管理、系统工单管理、数据维护管理、用户权限管理、口令管理、缺陷管理等内容工作规范至少包括系统巡检案、系统现场处置预案等规范及模板、系统检修操作规范等应急管理制度至少包括系统应急预121运维管理运行管理未建立有效的调度联络机制缺少针对系统的故障调度联络和处理解决流程,影响系统故障解决效率,导致事件升级建立本级调度和国网总调、信息管理部门、业务管理部门、运行检修和客服人员的联络机制,在发现异常时,由调度联络相关人员及时处理,并跟进处理进度运维管理运行管理运维资料不健全运维资料不准确,影响了运维工作质量,降低工作效率补充完善运维资料,至少具备以下文档系统拓扑图、软硬件台账、系统配置一览表等文档当系统发生改变时,应及时更新123运维管理运行管理日常巡检监控不到位日常巡检监控不能有效发现系统运行存在的问题提高巡检监控质量,强化监督检查,形成巡检、监控及检查记录124运维管理运行管理未开展月度系统运行分析工作未建立系统运行分析制度,无法及时掌握系统运行趋势建立月度系统运行分析机制,编制系统运行月报,月报中包括系统应用情况、系统运行情况、存在问题及处理措施、下月重点工作等内容125运维管理运行管理未建立完善备份机制未建立完善备份机制,无法保障系统有效备份制定系统备份管理办法,编制备份操作手册备份对象覆盖操作系统、数据库、中间件、应用程序、集成接口、配置文件、非结构化数据等针对不同的备份对象,制定合适的备份策略,备份完成后及时进行有效性验证126运维管理检修管理测试流程不规范由于检修前测试时间不够等原因使得应用系统升级测试不规范,存在影响系统稳定运行的风险新建模块必须有功能、性能、安全测试方案,生成的测试报告由运维团队、运维管理部门、业务部门共同确认对应用程序升级包,必须附有升级说明和详细的测试方法文档,并与测试报告共同提交确认一般应于检修工作开始4天前完成测试127运维管理维保服务核心设备维保服务不全核心设备未采购维保服务,采购的服务内容不全,或采购的服务级别达不到要求核心设备维保服务内容至少应包含故障处理、备件保障、现场深度巡检等内容建议核心设备服务级别7*24小时响应,2小时内工程师到达现场,一般故障4小时内解决,特殊故障24小时内解决一般备件次日到达,8小时完成更换,核心部件8小时内到达,3小时完成更换128运维管理运维队伍外部运维队伍管理不规范没有对外部运维队伍进行有效管理,影响了运维工作质量外委运维人员必须进行运维资格考试、安规考试,签订保密协议,宣贯安全制度,建议定期考核工作质量建议核心岗位配备主备岗,人员流动率每年不高于6%129运维管理应急管理未编制有效现场应急处置预案系统出现故障时无法实现快速应急处置根据《国家电网公司网络与信息系统突发事件处置专项应急预案》(国家电网信息
[2010]1703号)要求,现场应急处置预案应覆盖系统网络中断、应用服务中断、软硬件故障、数据丢失或篡改、机房设备故障、敏感信息泄露等方面,内容建议至少包括应急场景、影响范围、应急策略、预计恢复时间等,并根据实际情况的变化及时修订130运维管理应急管理未定期开展应急演练未定期组织、开展应急演练,不能及时更正应急预案中的错误及疏漏部分,无法有效提升运维人员的应急技能根据《国家电网公司网络与信息系统突发事件处置专项应急预案》(国家电网信息
[2010]1703号)要求,各单位每半年应至少组织一次应急预案与现场处置方案演练,每两年组织修订应急预案131运维管理信息安全管理未开展系统安全加固未在系统发生重大变更时或根据风险评估、安全测评以及安全检查结果对主机、网络设备、应用系统开展安全加固、实施安全策略,导致系统存在信息泄露、数据丢失或篡改、系统停止服务等安全风险按照《国家电网公司信息安全加固实施指南》要求,应对网络系统、主机操作系统、数据库、通用服务、安全设备、业务系统从帐号权限、网络服务、数据访问控制、网络访问控制、口令策略、审计策略、漏洞修复等方面开展安全配置或补丁修复,提高信息系统自身安全性132运维管理信息安全管理未定期开展等级保护测评未按要求定期开展等级保护安全测评,难以保证信息系统安全防护强度满足要求按照《信息安全等级保护管理办法》要求,定期开展等级保护安全测评,由具备相关资质的测评机构开展等保测评,并根据测评结果开展整改,保证系统防护强度满足等级保护要求运维管理机房监控系统监控范围不全,机房基础设施发生故障时,不能及时发现处理,易扩大故障范围改造基础设施,具备被监控条件,接入机房监控系统12基础设施安防系统监控系统无报警监控系统没有报警功能,基础设施发生故障时,不能及时通知相关人员
1.改造监控系统,具备告警功能;
2.每年对监控系统进行测试和核对13基础设施消防系统无有效灭火系统A类机房信息机房未配置有效的灭火设施,在火警发生时,不能保障信息设备的安全A类机房主机房应设置洁净气体灭火系统信息安全管理互联网统一出口未部署ISS系统互联网统一出口未部署ISS系统,不能掌握互联网出口安全态势互联网统一出口部署ISS系统)通信典型隐患知识库(V
1.0序号隐患分类隐患子类隐患名称隐患描述整改措施1基础设施光缆及电缆沟道机房管沟孔洞封堵不及时或未封堵机房管沟孔洞未封堵或工作完毕未及时封堵,导致小动物进入孔洞或沟道影响光缆及电缆的安全稳定运行工作完毕后应及时封堵机房管沟及孔洞,做到封堵严密,定期对封堵情况进行检查2基础设施光缆及电缆沟道机房电缆竖井、沟道无防火阻燃措施电缆竖井、沟道无防火阻燃相应措施,发生火灾后无法有效控制电缆竖井、沟道应具备相应的防火阻燃措施3基础设施光缆及电缆沟道站内光缆进通信机房不满足双路由安全要求重要站点所有光缆在一个电缆沟(孔洞)进出通信机房
1.结合变电站大修改造,增加站内第二光缆沟道(孔洞);
2.加强设计审查,考虑并设计通信光缆不同路由沟道;
3.在未改造前,加强安全管控,增加安全标识,变电站施工时,通信技术人员必须做好危险点分析和告知4基础设施光缆及电缆沟道沟道光缆未进行显著标识未明确标识,容易造成施工等误碰,光缆发生中断标识距离应根据现场实际情况,站内沟道光缆绑扎醒目的识别标志,标示光缆用途、走向和芯数城区沟道光缆在井口处标识,尤其在光缆走向变道的拐点处,应加设识别标志基础设施光缆及电缆沟道管道、沟道积水或有异物掉落因暴雨或外部施工导致管道中有积水或异物雷雨、冬季等特殊时期进行沟道光缆检查,清除积水和杂物基础设施光缆及电缆沟道站内光缆引下无钢管或钢管口封堵不严变电站、电厂光缆架构引下无预埋钢管,预埋钢管损坏,或预埋管为PVC管,并且封堵不严制定检修计划,加装引下钢管管口封堵严密,增加保护标识基础设施通信机房设施机房空调系统无冗余配置通信机房空调故障导致机房温湿度达不到要求,影响设备稳定运行增配空调,确保空调故障下机房温湿度符合标准要求基础设施通信机房设施机房空调未定期保养通信机房空调没有定期开展保养工作,将会增加空调故障率根据空调设备说明书及实际运行环境,制定保养计划,及时整改保养中发现的问题9基础设施通信机房设施机房交流供电无冗余通信机房交流供电无冗余电源,一旦发生供电故障,机房将失去市电供电改造市电供电电源,达到至少两路不同变电站供电要求10基础设施通信机房设施机房无有效灭火系统通信机房未配置有效的灭火设施,在火警发生时,不能及时有效启动灭火装置实施灭火联系有关部门,配备有效消防设施11基础设施通信机房设施机房消防设施未定期检测灭火装置和火灾报警系统未定期检测,当发生火灾时,消防设施不能有效动作联系有关部门,根据消防设施具体情况,编制消防设施资料,定期组织具备专业消防检测资质的单位开展检测工作,并出具检测报告,对于检测中发现的问题,应及时整改基础设施通信机房设施机房无可靠接地系统机房无可靠接地系统,可能造成设备意外损坏
1.改造接地系统,满足规范要求;
2.每年在迎峰度夏前由具有资质的单位进行一次检查和测试,并作好检查和测试的记录13基础设施通信机房设施机房无可靠防水措施机房给排水管防水措施不到位,造成水管易渗漏,影响机房安全运行
1.与机房无关的给排水管不得穿过机房;
2.给排水管穿墙时应有套管,密封措施可靠14基础设施通信机房设施机房无防小动物措施机房区域如没有防小动物措施,小动物易进入机房,威胁电源、线缆的安全运行
1.对机房周边的沟道进行封堵,楼层间竖井、孔洞应进行有效隔断;
2.机房出入口应设置防小动物挡板,高度一般不低于50cm,或加装自动闭门器;
3.通风口等对外出口应安装防护网;
4.在活动静电地板下,放置防鼠灭鼠装置,并应定期检查更换15基础设施通信机房设施站内各通信设备电源电缆接线不符合要求通信设备电源线与电源开关接触不良造成打火定期检查通信电源系统接线是否合理,接线螺丝是否松动,发现问题及时整改16基础设施通信电源通信电源非独立电源供电通信电源交流供电与机房照明及墙壁插排共用同一电源,可能发生照明及墙壁电源短路造成通信电源失去交流供电
1.定期排查通信电源供电是否可靠;
2.严谨机房照明及墙壁插排电源与通信电源共用同一电源17基础设施通信电源通信蓄电池组容量不足蓄电池组容量不足,可能发生交流停电或通信电源故障时,蓄电池供电时间缩短
1.定期进行蓄电池容量分析,发现问题立即处理;2,确保通信监控系统运行正常,以便及时发现电源故障18基础设施微波铁塔微波铁塔未可靠接地微波塔防雷接地措施不可靠或不符合规范要求,可能造成雷击根据防雷接地规范的要求进行排查(测量接地电阻、接地扁铁检查),并完成整改,定期进行铁塔防雷巡视19基础设施微波铁塔微波铁塔未定期开展防腐、紧固等维护操作铁塔出现锈蚀、紧固不牢等现象,影响微波塔的结构完整开展定期巡视,除锈、补漆、紧固等工作20基础设施微波铁塔微波铁塔塔身构件开裂、损坏或铁塔发生小角度倾斜铁塔构件因质量问题或小角度倾斜影响微波铁塔安全运行更换不合格构件,对发生小角度倾斜的铁塔进行加固和塔基处理B类机房主机房宜设置洁净气体灭火系统C类机房主机房无要求设置洁净气体灭火系统配备有效消防设施14基础设施消防系统消防设施未定期检测灭火装置和火灾报警系统未定期检测,当发生火灾时,消防设施不能有效动作根据消防设施具体情况,编制消防设施资料,定期组织具备专业消防检测资质的单位开展检测工作,并出具检测报告,对于检测中发现的问题,应及时整改在加强设备检测的同时,也应当对消防器材使用人员开展培训,确保可以正确得使用这些消防器材15基础设施机房承重承重能力不足21光缆光缆220kV及以上专用光纤保护单光缆220kV及以上线路的保护传输通道采用专用光纤保护方式时,两套保护装置通过单光缆传送根据国网公司〃十八项反措要求,制定整改计划,实现同一条220kV及以上线路的专用光纤保护的两套保护装置通过不同光缆传送或承载在不同光缆的2M复用通道传送22光缆光缆光缆备用纤芯损坏光缆备用纤芯损坏,出现断芯或衰耗增大等现象制定整改计划,熔接或更换光缆,同时排查整改光缆弧垂变化、是否悬挂有异物等问题23光缆光缆光缆运行环境差光缆运行环境差,存在电腐蚀、电灼伤等异常情况,导致光缆衰耗增大甚至断芯
1.光缆电腐蚀、电灼伤较严重区段需进行光缆更换;
2.光缆有电腐蚀痕迹,但不是很严重的情况,可通过调整防振鞭与金具间的距离加以解决,间距调整为
1.5米左右,不给电弧提供放电通道或者将防振鞭更换为防振锤24光缆光缆重要站点光缆单路由接入重要站点单路由接入可能因单路由中断造成该设备所有业务中断,甚至造成一次线路停电或损失负荷
1.加强基建、技改项目的设计、施工、投运全过程管理,杜绝通信系统带隐患投运;
2.根据通信网结构变化、业务需求变化、通信设备运行状况等,对通信网运行方式进行优化和动态调整,确保重要生产业务N-1方式运行,提高安全运行水平;
3.对已投运的直调电厂、风电场,存在单路由接入的问题,无法实现双路由接入的情况,可以通过双光路、双光口板来实现25光缆接头盒光缆接头盒不符合规范要求未采用帽式接头盒,或者接头盒出现歪斜、损坏,或者放置不正确制定检修计划,更换帽式接头盒,接头盒放置铁塔第一级平台上方,塔身内侧,余缆架下方,光缆无明显受力26光缆OPGW光缆引下线OPGW光缆引下线未接地OPGW光缆引下线没有可靠接地制定整改计划,实现OPGW光缆引下线可靠三点接地27光缆余缆架余缆架松动余缆架安装不牢固,出现松动现象制定整改计划,可靠固定余缆架28光缆光缆配套保护地埋光缆敷设无钢管地埋敷设的光缆直埋,无保护钢管地埋敷设光缆必须有钢管进行保护,钢管连接处应焊接或水泥灌注检修29光缆光缆配套保护地埋光缆无明显标识地埋光缆地面上方无明显标识标志地埋光缆标识距离应根据现场实际情况,各级电网调度机构厂区内地埋光缆以及管道光缆与地埋光缆连接处,在条件允许的情况下应增加标识标志,并在标牌上添加管理部门联系方式,避免造成人为破坏事故30传输网光传输核心板卡配置无冗余重要站点传输设备仅配置一块交叉板或主控板等核心板,单板故障时可能会导致全站落地业务中断增配一块交叉板、主控板等核心板,满足1+1保护要求传输网光传输光传输设备运行温度过限设备运行温度过限可能导致设备损坏,影响业务
1.检查风扇状态,每季度清洗设备滤网;
2.检查机房环境温度,保证设备运行环境32传输网光传输同类型板卡软件版本不一致重要站点光传输系统内存在同类型板卡软件版本不一致,可能发生链路中断,造成业务通道故障及时做好网管巡检和软件技术排查,进行有计划的补丁升级,保证通信网络内设备软件版本为同一类型传输网光传输光传输设备单电源供电重要光传输设备单电源输入,一旦该路电源故障,设备掉电,业务中断重要传输设备增加与第一路电源不同系统的第二路电源,保证双电源系统供电,且能够自动切换34传输网光传输业务通道无保护路径光传输系统承载的通信业务无保护路径,在光路单点中断时,会造成业务中断
1.对不存在保护路径的业务,添加保护路径;
2.业务开通时,原则上应该均具备保护路径;
3.定期检查重要业务网管数据,避免日常网管误操作造成的备用保护路由缺失传输网光传输主备用通道同板卡承载重要业务通道承载在同一块板上,单板故障时会造成主备用通道同时中断,业务中断
1.调整业务运行方式,将业务主备用通道分别承载于不同线路板上;
2.定期核查重要业务通道运行方式,发现问题尽快整改36传输网光传输光传输系统环网出现光缆重复路由出现重复路由将造成光传输系统失去环网保护,造成个别通信站通信中断合理安排通信光缆及光传输系统运行方式,避免重复路由出现传输网光传输同一线路双套继电保护或安稳控制通道单路由可能发生多条调度所辖一次线路继电保护等重要生产业务通道因存在单路由中断,造成一次线路双套继电保护或安稳控制通道缺失,致使一次线路停电或损失负荷
1.电网调度机构、集控中心(站)、重要变电站、直调发电厂、重要风电场和通信枢纽站的通信光缆或电缆应采用不同路由的电缆沟(竖井)进入通信机房和主控室;
2.新建通信站应在设计时与全站电缆沟架统一规划,满足以上要求
3.利用基建或技改一次线路项目,增加另一条光缆路由,采用双光纤通道路由,或采用光纤+2M方式实现双通道38传输网微波微波设备内接触不良微波机内板卡及连接线如发生接触不良问题可引起电路中断定期对板卡工作状态进行确认,保证良好的运行条件;对连接线缆进行接触性参数测试,保证不会脱落传输网微波微波系统设备接地不符合规范微波系统设备接地不满足要求,导致雷击等问题,造成微波设备的损坏
1.定期巡检进行微波设备接地测试;
2.对接地线连接点定期检查固定;
3.发现问题,按照规范要求改造相关接地问题40业务网数据通信网数据通信网网络设备无冗余未采用冗余技术设计网络拓扑结构,未提供主要网络设备、通信线路的硬件冗余,单网络设备故障将造成业务系统网络中断对系统网络拓扑结构进行梳理,如不满足要求,应按规范要求建立网络设备、通信线路硬件冗余业务网机房承重不满足要求,影响建筑物结构稳定性
1.对建筑物进行加固,提高承重能力;
2.调整设备部署位置,降低楼板承重负荷16基础设施综合布线布线不符合规范机房布线不符合布线规范要求,包括线缆规格、线缆敷设方式、标签、配线架等方面按照综合布线规范要求进行整改A级机房承担信息业务的传输介质,光缆或六类及以上对绞电缆采用1+1冗余B级机房承担信息业务的传输介质,光缆或六类及以上对绞电缆采用3+1冗余基础设施其他数据通信网数据通信网配置文件未定期备份网络设备未进行配置文件备份
1.根据公司信息安全防护相关文件要求,对网络设备配置文件备份进行自查并整改;
2.加强管理,严格执行操作流程,规范操作内容42业务网交换网程控交换机输入电压不稳程控交换机供电输入电压不稳,可能造成大电流冲击下将程控交换机板卡烧坏定期对通信电源输入电压稳定性等各项性能指标开展全面检查,及时更换故障通信电源业务网交换网交换网单路由省电力公司及以上单位至各接入单位单路由联网,一旦该通道中断,造成该单位局向号不通
1.提高通道可靠性,避免因网络设备问题造成的用户大面积中断;
2.合理优化备用路由,保证能够及时将业务倒换至备用路由44业务网电视电话会议视频会议系统强弱电线缆未隔离在视频会议室布线时,强电线缆和弱电线缆未分开,导致音视频信号受到强电干扰,可能的情况有视频出现条纹,音频出现噪声或交流声
1.强弱电缆分开走线,做到不交叉;
2.线槽布局要合理,线缆标签标示规范,台账记录完整准确业务网电视电话会议承载会议系统的设备无冗余备份省电力公司级以上单位电视电话会议,发生超过10%的参会单位音、视频中断的风险做好双设备双电源系统冗余备份安全保障措施,避免因设备或电源问题造成的用户大面积中断做好会议期间”一主两备〃三重保障,即电视会议系统专线通道作为主用,数据网通道作为备用,拨号式电话会议系统作为应急措施46业务网电视电话会议视频会议系统网络无备用路由视频会议网络结构中无备用路由,当主用路由故障导致网络中断时,可能导致视频会议中断
1.合理设计网络结构,增加备用路由;
2.进行主备用切换实验,当其中一路故障时,自动切换至另一路运行,确保网络符合设计目标业务网PCM单板软件版本不一致重要站点PCM系统设备单板软件版本不一致可能导致业务不通或业务运行不稳定及时做好网管巡检和软件技术排查,进行有计划的补丁升级48支撑网同步系统时钟同步系统配置不合理,天线馈线不牢固时钟同步系统配置不合理、常年失修天线不牢固等原因造成传输系统同步出现异常
1.科学合理规划配置时钟同步网络;
2.定期开展时钟系统功能测试49支撑网通信网管通信网管系统数据未定期备份网管系统及数据未定期备份,网管系统崩溃时无法及时恢复
1.对于有周期性自动备份功能的网管,定期检查备份数据;
2.对于无周期性自动备份功能的网管,定期手工备份数据50终端通信接入网EPON配电自动化业务未配置双PON接口重要配电自动化业务未配置双PON接口,一旦端口或连接线出现问题,可能导致重要配电自动化业务中断按照规范要求整改,对重要配电自动化业务配置双PON接口51终端通信接入网EPON配网光缆无专用管道,保护措施不完善配网设备光缆一般埋于道路两侧,市政施工等易将光缆挖断在通信光缆的地面上做好醒目标识,加强与其它部门的沟通合作,定期安排巡视52终端通信接入网工业以太网组网未采用环网结构组网未采用环网结构,一旦中间设备或连接线故障,将造成部分设备通信中断按照规范要求进行整改,新建或通过迂回路由,完成工业以太网组网形成环网结构53通信管理工程管理施工现场安全监理不到位施工及监理不到位,影响工程施工质量施工中出现影响现网运行设备(光缆)的情况时,应履行检修票和工作票及会签制度,施工单位应提交相应的通信技术方案和安全措施54通信管理工程管理通信工程验收管理不规范通信工程验收不严,给安全运行带来隐患
1.按照相关通信工程验收规定进行工程阶段验收和竣工验收;
2.通信工程验收时应按相关通信工程验收管理规范进行系统技术指标测试,在达到技术规范书要求时,方可通过验收;
3.建设、施工单位应提交工程验收测试报告及竣工图纸等资料运行单位做好竣工资料的收集、整理和存档55通信管理运维管理通信调度值班制度不健全或执行不到位通信调度值班人员不到位,通信网络运行状况不清,交接班不规范,造成通信故障不能及时发现和处理
1.通信调度实行24小时有人值班;
2.值班记录清晰、完整;
3.交接班内容完整,交接清楚56通信管理运维管理通信故障处理不符合流程通信故障处理不符合流程,导致业务恢复不及时;
1.全面分析故障现象,熟悉现场设备状况,确定正确的处理方式
2.及时寻求技术支持,与相关专业人员进行会商,及时向调度通报故障处理情况,必要时采取临;时通信方案
3.做好故障处理记录,建立典型案例库和预防措施57通信管理运维管理检修工作流程不完善,涉及影响调度生产通信业务的检修申请单未进行相关专业会签同意,即在运行设备或缆路上工作,导致调度生产通信业务通道中断
1.检修工作票应履行相关专业会签、审批流程;
2.涉及影响调度生产通信业务的检修工作票应经相关专业会签或许可,得到同意后方可进行58通信管理运维管理网管权限及系统口令管理不规范网管系统管理人员权限和系统口令管理不规范,造成网管误操作
1.网管系统应根据不同岗位设置操作者级别和权限;
2.实施网络管理员级别的设置、系统口令的设置、系统操作日志的调用和远程登录的安全防护;
3.网管系统应部署身份认证系统59通信管理运维管理未按规定及要求进行通信业务通道投入/退出作业流程,造成运行通信通道中断
1.作业人员应核对现场实际情况与业务通道投入/退出通知单的安排是否一致,若有冲突,应立即向业务通道投入/退出方式单下发单位反馈,不得强行实施方式单内容或擅自变更方式单;
2.投入/退出的业务通道工作完成后,作业人员应做好现场标签标识、资料记录更新工作,并向业务需求单位反馈实施结果60通信管理运维管理通信设备基础台账更新不及时通信设备更退运更新后,设备台帐及设备标识标签更新不及时,造成通信设备故障消缺处理资料不全,影响消缺时效结合年度检修预试工作,逐站、逐机房开展通信设备台帐核对,标签标识更新完善。