银行分行运维审计平台
实施方案
修订记录/Change History
日期
修订版本
描述
作者
2016-2-16
独立实施方案,完善测试部分
麒麟
ﻬ
目录
1 文档说明ﻩ5
概述ﻩ5
运维操作现状ﻩ5
2 物理部署规划ﻩ6
2.1 设备硬件信息 6
软件信息ﻩ7
2.3 系统LOGOﻩ7
地址规划ﻩ7
部署规划ﻩ7
3 应用部署实施ﻩ8
堡垒机上线说明ﻩ8
设备初始化ﻩ8
上架加电ﻩ9
.2 网络配置ﻩ9
3.3 堡垒机配置修改方式ﻩ9
.1 目录树调整ﻩ10
设备类型添加及修改ﻩ11
堡垒机用户导入及用户配置ﻩ11
.4 主机设备帐号导入ﻩ14
系统帐号赋权ﻩ18
.6 应用发布服务器添加ﻩ20
堡垒机应用发布配置ﻩ22
应用发布用户配置ﻩ22
应用用户组授权ﻩ23
3.5 数据留存配置ﻩ24
审计数据留存ﻩ24
设备配置留存ﻩ25
定时任务配置ﻩ26
3.5.4 动态令牌使用手册ﻩ27
1、证书导入ﻩ27
2、证书绑定ﻩ28
3、运维人员使用ﻩ28
3.6 应急方案ﻩ30
4 系统测试ﻩ31
TELNET访问操作管理ﻩ31
SFTP访问操作管理ﻩ31
SSH访问操作管理ﻩ32
RDP访问操作管理ﻩ32
FTP访问操作管理ﻩ32
5 集中管控平台ﻩ33
集中管控平台功能ﻩ33
设备硬件信息ﻩ33
5.3 软件信息 33
5.4 地址规划ﻩ33
部署规划ﻩ34
集中管控平台部署ﻩ34
系统上线需求ﻩ35
5.8 系统安装ﻩ35
6 双机部署模式ﻩ36
双机部署模式功能ﻩ36
6.2 上线条件ﻩ36
地址规划ﻩ37
上线步骤ﻩ37
文档说明
麒麟开源堡垒机使用概述
随着我行业务范围和营业网点的不断延伸扩大,各类特色业务系统和基础网络设备随之上线运行,切实有效的保障了各分行业务的稳定性、安全性和灵活性。但与此同时,随着业务系统应用范围越来越广、数据越来越多,所需日常维护的系统和设备也在日益增长,科技运维部门面临的网络、系统安全稳定运行的压力也随之增加。
当前运维管理中存在的主要问题是,技术人员和维护人员的日常管理和维护都是直接登录业务系统、设备进行操作,没有针对运维操作进行统一管理、统一审计、统一分析的系统,造成运维操作没有办法进行监控分析,进而造成内部数据信息泄露、违规操作、恶意操作、密码外泄等一系列重大安全隐患。
随着监管对于日常运维工作审计记录的监管需求以及XX银行本身运维规范化管理的需求,实现分行骨干设备的运维操作的审计需求迫在眉睫。
本次堡垒机项目使用麒麟开源堡垒机,麒麟开源堡垒机产品功能强大稳定性高,经过测试可以完全满足银行的使用需要。
运维操作现状
当前分行均已部署了ACS设备,实现了网络帐号统一管理、权限控制、及命令记录功能。但因为缺少专业的运维管理系统,对于运维操作的监控,还存在一定的盲区,主要表现为:
运维操作方式多样、分散,缺乏有效集中管理;
运维操作缺乏技术手段来约束;
对运维操作行为的审计方式不直观;
共享账号的情况普遍,给访问者定位带来难题。
物理部署规划
设备硬件信息
运维审计系统包括堡垒机和应用发布服务器两台设备,物理参数如下:
设备
型号
硬件参数
堡垒机
麒麟开源堡垒机
CPU 64位 3G/16G内存/2T硬盘/交流电/2U
应用发布服务器
麒麟应用发布模块
CPU 64位 3G/32G内存/2T硬盘/交流电/2U
软件信息
设备
操作系统
软件版本
Licenses数
堡垒机
Centos
V1.1
100000个
应用发布服务器
Windows server 2008
系统LOGO
堡垒机LOGO在安装时,都已经被设置为XX银行运维审计平台,以与其它系统进行区分。
地址规划
参照分行部署规范,运维审计堡垒机及应用发布平台,需要分行分配在基础服务器区域,分配【199
银行堡垒机实施方案 来自淘豆网m.daumloan.com转载请标明出处.
