系统堡垒机实施专项方案

技 术 部 分

11投标方案

11. 1技术处理方案

11. 1. 1项目概述

中国银行业监督管理委员会以下简称银监会是政府部门关键组成机构是国家金融行业监督、管理、指导单位。多年来金融行业信息系统伴随银行业金融机构业务发展而快速发展信息科技已经成为银行业金融机构实现经营战略和业务运行基础平台和金融创新关键手段。银行业对信息科技高度依靠使得信息技术系统安全性、可靠性和有效性直接关系到整个银行业安全和金融体系稳定。

多种权威网络安全调查结果均表明在可统计安全事件中 70%以上均和内部人员相关这其中既包含恶意行为越权访问、恶意破坏、数据窃取也包含多种非主观有意引发非恶意行为误操作、权限滥用。 由此可见规范内部人员访问行为尤其是关键系统主机、网络设备、安全设备、数据库等维护行为已经势在必行。所以 20XX年银监会内部开启了系统用户集中管控系统建设经过布署运维用户集中管控系统建立运维用户集中授权、监控、管理、审计体系加强信息安全内部控制和管理能力规范信息系统运行和操作管理过程确保银监会信息系统安全运行。

谐润运维管理审计系统是新一代运维安全审计产品它能够对运维人员访问过程进行细粒度授权、全过程操作统计及控制、全方位操作审计、并支持事后操作过程回放功效实现运维过程“事前预防、事中控制、事后审计”在简化运

维操作同时全方面处理多种复杂环境下运维安全问题提升企业IT运维管理水平。

11. 1.2需求分析

银监会对运维用户管控系统需求以下

1) 管理对象应能够实现对银监会现有服务器系统Windows、Unix、Linux、网络设备Cisco、华为、数据库系统DB2、Oracle 、SqlServer、Mysql、应用系统WAS、 Weblogic等

2) 应能够实现对机关内部、外围运维人员访问及操作权限细粒度授权 限制用户违规访问、违规操作能力

3) 实现全方面运维操作审计能力

4) 实现对服务器、 网络设备自动改密功效

5) 实现单点登录并和CA系统进行整合实现双原因认真

6) 系统布署不应影响业务系统稳定运行且不增加运维人员访问过程复杂程度

7) 完善自我管理功效设备本身稳定、高效、易于维护。

11. 1.3项目建设目标

项目总体目标意在经过对服务器操作系统、数据库、中间件及网络设备、安全设备等IT基础设施账号及其密码进行集中控制和管理经过账号权限严格授

权和管理实现对设备安全访问和管理行为审计达成IT系统安全生产并满足内控审计要求目标。具体目标以下

本项目中用户集中管控系统包含1套堡垒机含1台堡垒主机、 1台应用托管中心和1台日志服务器堡垒主机是运维管理人员进行运维操作统一接入点用户集中管控产品需经过开发升级兼容银监会CA系统颁发密钥 以实现管理用户双原因认证。实现在SSO 单点登录系统总体架构下完成对系统账号集中认证、集中授权和集中审计 审计日志集中存放于独立日志服务器。

11. 1.4实施范围

本项目在银监会机关北京进行布署对100台当地或外地服务器和网络设备每个设备可能存在错咯操作系统、数据库和中间件管理用户进行集中管理用户范围关键为银监会机关当地或外地运维用户。

11. 1.5方案设计标准

1体系化设计标准

必需分析信息网络层次关系遵照优异安全理念遵照科学安全体系和安全框架并依据安全体系分析存在多种安全风险从而最大程度地避免可能存在安全问题。

2可控性标准

采取技术手段需达成安全可控目标技术处理方案包含工程实施应含有可控性。

3系统性、均衡性、综合性设计标准

从全系统出发综合考虑多种安全风险采取对应安全方法依据风险大小采取不一样强度安全方法提供含有最优性能价格比安全处理方案。

4可行性、可靠性标准

必需确保在工程实施期间不会对用户方现有网络和应用系统有大影响。在确保网络和应用系统正常运转前提下提供最优安全保障。

5标准性标准

安全系统设计、实施和产品选择以相关国际国家安全管理、安全控制、安全规程为参考依据包含ISO17799、 《GB/T 20274. 1-20XX信息系统安全保障评定框架》等。

6投资保护标准

对用户方已经存在网络安全系统设备进行有效利用保护已经有投资。

7最小影响标准

方案设计及实施时遵照对信息系统影响最小标准尽可能地采取对网络、系统、应用影响小技术手段对现有系统不产生干扰保护现有系统。

8易操作性标准

安全方法需要人为去完成假如方法过于复杂对人要求过高本身就降低了安全性。

11. 1.6产品选型

依据本项目标实际需求 报价人推荐使用谐润运维管理审计系统SR-Fort-1000型产品。

产品硬件配置清单以下

11. 1.7产品布署

谐润运维管理审计系统支持多个布署方法在本项目中考虑到银监会实际需求我们将采取旁路布署方法。

布署示意图以下所表示

谐润运维管理审计系统布署示意图

布署时谐润运维管理审计系统旁路接入网络只需要1个独立IP即可确保堡垒主机能够经过网络连接被管理资源提供远程运维服务端口应用托管中心和堡垒主机做直连经过堡垒主机NAT转换技术使应用托管中心能够访问网络中资源。

若堡垒主机和被管理资源之间存在防火墙则需要在增加或修改防火墙策略防火墙策略增加或修改以下

源地址堡垒主机IP源端口 any 目标地址被管理资源IP 目标端口提供运维服务监听端口。

如堡垒主机需要连接被管理Linux服务器Linux服务提提供ssh运维服务则需要在防火墙上增加或修改策略以下

源地址堡垒主机IP源端口 any 目标地址被管理资源IP 目标端口

22。

维护人员只要登录运维管理系统即可访问到全部服务器无须进行二次登录。

若运维人员和运维管理系统之间存在防火墙则防火墙需要开放以下端口

22 ssh、 telnet协议代理模块 443 堡垒主机提供web服务 3389 rdp协议代理模块等。

相关实施时防火墙开放策略详见“11.2.6”节内容中《实施环境调研》。

日志服务器旁路接入网络并开发SMB共享服务为堡垒主机提供日志存放服务堡垒主机经过页面配置将数据文件存放至日志服务器。

系统备机一直处于冷备状态在堡垒主机实施完成以后将全部配置导入系统备机确保系统备机上主账号、被管理资源和主账号权限和堡垒主机一致方便随时更换。

11.2项目实施方案

11.2. 1项目保密条款

我企业同原厂上海谐润网络信息技术承诺在中标后项目签署协议前分别以单位和个人和招标方签署保密协议或保密承诺书。

11.2.2项目文档

原厂谐润科技在项目工程实施完成时将系统全部相关技术文档、图标资料及测试、验收汇报等文档聚集成册交付银监会包含但不限于以下文档

 项目投标文件

 项目工程实施方案

 项目工程管理及实施计划书

 产品安装实施汇报

 系统测试汇报

 项目完工总结汇报

 培训手册

 运维用户使用手册

 系统技术维护手册

 系统应急处理预案

 其它全部项目实施过程中产生文档

11.2.3项目组织架构