银行堡垒机实施方案.doc

银行分行运维审计平台
实施方案
修订记录/Change History
日期
修订版本
描述
作者
2016-2-16
独立实施方案，完善测试部分
麒麟
目录
1 文档说明 6
麒麟开源堡垒机使用概述 6
运维操作现状 7
2 物理部署规划 8
设备硬件信息 8
软件信息 8
系统LOGO 9
地址规划 9
部署规划 9
3 应用部署实施 10
堡垒机上线说明 10
设备初始化 10
上架加电 11
网络配置 11
堡垒机配置修改方式 12
目录树调整 12
设备类型添加及修改 13
堡垒机用户导入及用户配置 13
主机设备帐号导入 17
系统帐号赋权 21
应用发布服务器添加 23
堡垒机应用发布配置 25
应用发布用户配置 25
应用用户组授权 26
数据留存配置 27
审计数据留存 27
设备配置留存 29
定时任务配置 30
动态令牌使用手册 31
1、证书导入 31
2、证书绑定 32
3、运维人员使用 32
应急方案 34
4 系统测试 35
TELNET访问操作管理 35
SFTP访问操作管理 36
SSH访问操作管理 36
RDP访问操作管理 36
FTP访问操作管理 37
5 集中管控平台 38
集中管控平台功能 38
设备硬件信息 38
软件信息 38
地址规划 39
部署规划 39
集中管控平台部署 39
系统上线需求 40
系统安装 41
6 双机部署模式 42
双机部署模式功能 42
上线条件 42
地址规划 42
上线步骤 43
文档说明
麒麟开源堡垒机使用概述
随着我行业务范围和营业网点的不断延伸扩大，各类特色业务系统和基础网络设备随之上线运行，切实有效的保障了各分行业务的稳定性、安全性和灵活性。但与此同时，随着业务系统应用范围越来越广、数据越来越多，所需日常维护的系统和设备也在日益增长，科技运维部门面临的网络、系统安全稳定运行的压力也随之增加。
当前运维管理中存在的主要问题是，技术人员和维护人员的日常管理和维护都是直接登录业务系统、设备进行操作，没有针对运维操作进行统一管理、统一审计、统一分析的系统，造成运维操作没有办法进行监控分析，进而造成内部数据信息泄露、违规操作、恶意操作、密码外泄等一系列重大安全隐患。
随着监管对于日常运维工作审计记录的监管需求以及XX银行本身运维规范化管理的需求，实现分行骨干设备的运维操作的审计需求迫在眉睫。
本次堡垒机项目使用麒麟开源堡垒机，麒麟开源堡垒机产品功能强大稳定性高，经过测试可以完全满足银行的使用需要。
运维操作现状
当前分行均已部署了ACS设备，实现了网络帐号统一管理、权限控制、及命令记录功能。但因为缺少专业的运维管理系统，对于运维操作的监控，还存在一定的盲区，主要表现为：
运维操作方式多样、分散，缺乏有效集中管理；
运维操作缺乏技术手段来约束；
对运维操作行为的审计方式不直观；
共享账号的情况普遍，给访问者定位带来难题。
物理部署规划
设备硬件信息
运维审计系统包括堡垒机和应用发布服务器两台设备，物理参数如下：
设备
型号
硬件参数
堡垒机
麒麟开源堡垒机
CPU 64位 3G/16G内存/2T硬盘/交流电/2U
应用发布服务器
麒麟应用发布模块
CPU 64位 3G/32G内存/2T硬盘/交流电/2U
软件信息
设备
操作系统
软件版本
Licenses数
堡垒机
Centos
个
应用发布服务器
Windows server 2008
系统LOGO
堡垒机LOGO在安装时，都已经被设置为XX银行运维审计平台，以与其它系统进行区分。
地址规划
参照分行部署规范，运维审计堡垒机及应用发布平台，需要分行分配在基础服务器区域，分配【】的地址，两台