银行堡垒机实施计划方案.docx

银行分行运维审计平台 实施方案 修订记录/Change History 日期 日期 修订版本 描述 作者 2016-2-16 V1.0 独立实施方案，完善测试部分 麒麟 目录 文档说明 5 概述 5 运维操作现状 5 物理部署规划 6 设备硬件信息 6 软件信息 7 系统 LOGO 7 地址规划 7 部署规划 7 应用部署实施 8 堡垒机上线说明 8 设备初始化 8 上架加电 8 网络配置 8 堡垒机配置修改方式 9 目录树调整 9 设备类型添加及修改 10 堡垒机用户导入及用户配置 11 主机设备导入 14 系统赋权 17 应用发布服务器添加 19 堡垒机应用发布配置 21 应用发布用户配置 21 应用用户组授权 22 数据留存配置 23 审计数据留存 23 设备配置留存 24 定时任务配置 25 动态令牌使用手册 26 1、证书导入 26 2、证书绑定 26 3、运维人员使用 27 应急方案 29 系统测试 30 TELNET 访问操作管理 30 SFTP 访问操作管理 30 SSH 访问操作管理 30 RDP 访问操作管理 31 FTP 访问操作管理 31 集中管控平台 31 集中管控平台功能 31 设备硬件信息 32 软件信息 32 地址规划 32 部署规划 32 集中管控平台部署 33 系统上线需求 33 系统安装 34 双机部署模式 35 双机部署模式功能 35 上线条件 35 地址规划 35 上线步骤 35 1 文档说明 麒麟开源堡垒机使用概述 随着我行业务围和营业网点的不断延伸扩大，各类特色业务系统和基础网络设备随之上线运行，切实有效的保障了各分行业务的稳定性、安全性和灵活性。但与此同时，随着业务系统应用围越来越广、数据越来越多，所需日常维护的系统和设备也在日益增长，科技运维部门面临的网络、系统安全稳定运行的压力也随之增加。 当前运维管理中存在的主要问题是，技术人员和维护人员的日常管理和维护都是直接登录业务系统、设备进行操作，没有针对运维操作进行统一管理、统一审计、统一分析的系统，造成运维操作没有办法进行监控分析，进而造成部数据信息泄露、违规操作、恶意操作、密码外泄等一系列重大安全隐患。 随着监管对于日常运维工作审计记录的监管需求以及XX 银行本身运维规化管理的需求，实现分行骨干设备的运维操作的审计需求迫在眉睫。 本次堡垒机项目使用麒麟开源堡垒机，麒麟开源堡垒机产品功能强大稳定性高，经过测试可以完全满足银行的使用需要。 运维操作现状 当前分行均已部署了 ACS 设备，实现了网络统一管理、权限控制、及命令记录功能。但因为缺少专业的运维管理系统，对于运维操作的监控，还存在一定的盲区，主要表现为： 运维操作方式多样、分散，缺乏有效集中管理； 运维操作缺乏技术手段来约束； 对运维操作行为的审计方式不直观； 共享账号的情况普遍，给访问者定位带来难题。 2 设备硬件信息 物理部署规划 设备型号 设备 型号 硬件参数 堡垒机 麒麟开源 CPU 64 位 3G/16G 存/2T 硬盘/交流电/2U 堡垒机 应用发布服务器 麒麟应用 CPU 64 位 3G/32G 存/2T 硬盘/交流电/2U 发布模块 软件信息 设备 设备 操作系统 软件版本 Licenses 数 堡垒机 Centos V1.1 100000 个 应用发布服务器 Windows server 2008 V1.3 系统 LOGO 堡垒机LOGO 在安装时，都已经被设置为XX 银行运维审计平台，以与其它系统进行区分。 地址规划 参照分行部署规，运维审计堡垒机及应用发布平台，需要分行分配在基础服务器区域，分配 设备名称所属区域产品型号IP 设备名称 所属区域 产品型号 IP 堡垒机 网 UOM-1000A 应用发布服务器 网 Modul-APP-RELEAS-HW 部署规划 堡垒机、应用发布平台各需要 2U 的机柜空间位置 堡垒机、应用发布平台需要部署在基础服务器接入区 堡垒机、应用发布平台个需要 2*10A 电源 3 应用部署实施 堡垒机上线说明 堡垒机在发往用户前，已经完成如下设置: 设备 IP 地址、网关、应用发布连接 设备、人员、权限关系、目录结构的前期调研和导入 密码规则策略设置 数据留存策略设置 堡垒机现场上线实施步骤包括: 设备上架、加电 网络连通性测试 系统功能测试 现场培训 注：堡垒机出厂时，已经完成了数据导入、权限策略设置、应用发布设置和 IP 等环境设置，如果有实时时发生更改，请按下面相应描述章节进行修改 设备初始化 上架加电 设置 IP 地址、网络掩码、网管