堡垒银行堡垒机实施方案

银行分行运维审计平台实施方案

修订记录/Change   try



目录

1文档说明..............................................................................................................................

1.1概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1.运维操作现状5

物理部署规划6

2.1 设备硬件信息. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.软件信息. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2 3系统OG7

2 地址规划错误未定义书签。

.5 部署规划. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

应用部署实施.....................................................................................................................8

3.1 堡垒机上线说明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

3.2设备初始化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3  .1 上架加电. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

3 2.2网络配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

3.3 堡垒机配置修改方式错误未定义书签。

.3 1 目录树调整. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

3.3.设备类型添加及修改  1

3. .堡垒机用户导入及用户配置11

3 3.4 主机设备帐号导入14

..5系统帐号赋权. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

3.3.6 应用发布服务器添加20

  堡垒机应用发布配置2

3..1应用发布用户配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

3 4.2应用用户组授权. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 

.数据留存配置24

3.5  审计数据留存错误未定义书签。

3.5.2设备配置留存2

3.  3定时任务配置26

3 5.4动态令牌使用手册. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

1、证书导入. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27

2、证书绑定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2

3、运维人员使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2

3.6 应急方案. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .0

4 系统测试31

4.1 TELNE访问操作管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3 

.2 FTP访问操作管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3 

4.3 SH访问操作管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

4.4 RDP访问操作管理32

4.5 TP访问操作管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32

5集中管控平台.....................................................................................................................33

5 1集中管控平台功能 

5. 设备硬件信息. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33

5 3 软件信息. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33

5 地址规划错误未定义书签。

5.5 部署规划错误未定义书签。

5.6 集中管控平台部署. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34

.7系统上线需求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

.8 系统安装35

 双机部署模式36

.1双机部署模式功能36

6.2上线条件3

6.3地址规划. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

.上线步骤. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37

1.1麒麟开源堡垒机使用概述

随着我行业务范围和营业网点的不断延伸扩大,各类特色业务系统和基础网络设备随之上线运行切实有效的保障了各分行业务的稳定性、安全性和灵活性。但与此同时随着业务系统应用范围越来越广、数据越来越多所需日常维护的系统和设备也在日益增长,科技运维部门面临的网络、系统安全稳定运行的压力也随之增加。

当前运维管理中存在的主要问题是,技术人员和维护人员的日常管理和维护都是直接登录业务系统、设备进行操作没有针对运维操作进行统一管理、统一审计、统一分析的系统,造成运维操作没有办法进行监控分析,进而造成内部数据信息泄露、违规操作、恶意操作、密码外泄等一系列重大安全隐患。

随着监管对于日常运维工作审计记录的监管需求以及XX银行本身运维规范化管理的需求实现分行骨干设备的运维操作的审计需求迫在眉睫。

本次堡垒机项目使用麒麟开源堡垒机,麒麟开源堡垒机产品功能强大稳定性高,经过测试可以完全满足银行的使用需要。

1.2运维操作现状

当前分行均已部署了S设备,实现了网络帐号统一管理、权限控制、及命令记录功能。但因为缺少专业的运维管理系统,对于运维操作的监控,还存在一定的盲区,主要表现为: 运维操作方式多样、分散缺乏有效集中管理;

 运维操作缺乏技术手段来约束;

 对运维操作行为的审计方式不直观;

 共享账号的情况普遍,给访问者定位带来难题。

2.1设备硬件信息

运维审计系统包括堡垒机和应用发布服务器两台设备,物理参数如下:

应用发布服务器

2.2软件信息

2.3系统LOGO

堡垒机LOG在安装时都已经被设置为XX银行运维审计平台,以与其它系统进行区分。

2.4地址规划

参照分行部署规范运维审计堡垒机及应用发布平台需要分行分配在基础服务器区域,分配【 99.XX.XX.X】的地址,两台设备分别需要分配 地址,且两个地址需要在一个子网。

示例如下

2.5部署规划

 堡垒机、应用发布平台各需要2U的机柜空间位置

 堡垒机、应用发布平台需要部署在基础服务器接入区

 堡垒机、应用发布平台个需要*0A电源

3.1堡垒机上线说明

堡垒机在发往用户前,已经完成如下设置:

 设备 地址、 网关、应用发布连接

 设备、人员、权限关系、 目录结构的前期调研和导入

 密码规则策略设置

 数据留存策略设置

堡垒机现场上线实施步骤包括:

 设备上架、加电

 网络连通性测试

 系统功能测试

 现场培训

注堡垒机出厂时,已经完成了数据导入、权限策略设置、应用发布设置和IP等环境设置,如果有实时时发生更改,请按下面相应描述章节进行修改

3.2设备初始化

 上架加电

 设置IP地址、 网络掩码、 网管

3.2.1上架加电

第一步、分别将堡垒机和应用发布服务器按照部署位置将主机安装固定到机柜中。

第二步、将随机携带的电源线插到主机后面板的电源插座上。

第三步、将电源线的另一端插到机柜为主机提供交流电源的插座上。

3.2.2网络配置

发货前,堡垒机和应用发布I默认已经按客户要求配置完毕,如果需要现场修改可以按如

下步骤

堡垒机和应用发布服务器网卡默认IP为:

本次工程,堡垒机和应用发布都要求使用th0口,修改堡垒机和应用发布IP时,使用et进行登录 以避免配置错误后无法登入堡垒机的管理口为co  le,通过http 访问可以得到键盘显示器的界面如果堡垒机出现硬件故障或两个网卡都不通时,使用管理口登录。

完成上架加电操作后,打开堡垒机的电源按钮,堡垒机开机启动,等待两分钟,启动完成后,使用笔记本通过网线连接堡垒机,笔记本IP地址配置为12 16.210.2/ 后使用网线直接连接到堡垒机eth1口,然后使用浏览器打开错误未定义书签。 用户名输入admn密码,进入堡垒机系统在【系统配置】【网络配置】中修改网卡的IP地址信息,更改为规划好的eth0IP地址。

应用发布IP eth地址默认为172. 1.21   /30,可以直接使用   c dp到应用发布服务器对I地址进行修改。

3.3堡垒机配置修改方式

堡垒机上线,已经完成项如下

 目录树导入、设置

 堡垒机用户导入表,建立主帐号