银行堡垒机实施方案设计.doc

银行分行运维审计平台实施方案修订记录/ChangeHistory日期修订版本描述作者2016-2-,完善测试部分麒麟目录1文档说明 52物理部署规划 73应用部署实施 271、证书导入 272、证书绑定 283、运维人员使用 304系统测试 325集中管控平台 356双机部署模式 37文档说明麒麟开源堡垒机使用概述随着我行业务范围和营业网点的不断延伸扩大,各类特色业务系统和基础网络设备随之上线运行,切实有效的保障了各分行业务的稳定性、安全性和灵活性。但与此同时,随着业务系统应用范围越来越广、数据越来越多,所需日常维护的系统和设备也在日益增长,科技运维部门面临的网络、系统安全稳定运行的压力也随之增加。当前运维管理中存在的主要问题是,技术人员和维护人员的日常管理和维护都是直接登录业务系统、设备进行操作,没有针对运维操作进行统一管理、统一审计、统一分析的系统,造成运维操作没有办法进行监控分析,进而造成内部数据信息泄露、违规操作、恶意操作、密码外泄等一系列重大安全隐患。随着监管对于日常运维工作审计记录的监管需求以及XX银行本身运维规范化管理的需求,实现分行骨干设备的运维操作的审计需求迫在眉睫。本次堡垒机项目使用麒麟开源堡垒机,麒麟开源堡垒机产品功能强大稳定性高,经过测试可以完全满足银行的使用需要。运维操作现状当前分行均已部署了ACS设备,实现了网络帐号统一管理、权限控制、及命令记录功能。但因为缺少专业的运维管理系统,对于运维操作的监控,还存在一定的盲区,主要表现为:运维操作方式多样、分散,缺乏有效集中管理;运维操作缺乏技术手段来约束;对运维操作行为的审计方式不直观;共享账号的情况普遍,给访问者定位带来难题。物理部署规划设备硬件信息运维审计系统包括堡垒机和应用发布服务器两台设备,物理参数如下:设备型号硬件参数堡垒机麒麟开源堡垒机CPU64位3G/16G内存/2T硬盘/交流电/2U应用发布服务器麒麟应用发布模块CPU64位3G/32G内存/2T硬盘/交流电/,都已经被设置为XX银行运维审计平台,以与其它系统进行区分。地址规划参照分行部署规范,运维审计堡垒机及应用发布平台,需要分行分配在基础服务器区域,分配【】的地址,两台设备分别需要分配IP地址,且两个地址需要在一个子网。示例如下设备名称所属区域产品型号IP堡垒机内网UOM--APP-RELEAS-、应用发布平台各需要2U的机柜空间位置堡垒机、应用发布平台需要部署在基础服务器接入区堡垒机、应用发布平台个需要2*10A电源应用部署实施堡垒机上线说明堡垒机在发往用户前,已经完成如下设置:设备IP地址、网关、应用发布连接设备、人员、权限关系、目录结构的前期调研和导入密码规则策略设置数据留存策略设置堡垒机现场上线实施步骤包括:设备上架、加电网络连通性测试系统功能测试现场培训注:堡垒机出厂时,已经完成了数据导入、权限策略设置、应用发布设置和IP等环境设置,如果有实时时发生更改,请按下面相应描述章节进行修改设备初始化上架加电设置IP地址、网络掩码、网管上架加电第一步、分别将堡垒机和应用发布服务器按照