银行堡垒机实施计划方案

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

银行分行运维审计平台

实施方案

修订记录/Change History

目录

1 文档说明 (5)

1.1概述 (5)

1.2运维操作现状 (5)

2 物理部署规划 (6)

2.1设备硬件信息 (6)

2.2软件信息 (7)

2.3系统LOGO (7)

2.4地址规划 (7)

2.5部署规划 (7)

3 应用部署实施 (8)

3.1堡垒机上线说明 (8)

3.2设备初始化 (8)

3.2.1上架加电 (8)

3.2.2网络配置 (8)

3.3堡垒机配置修改方式 (9)

3.3.1目录树调整 (9)

3.3.2设备类型添加及修改 (10)

3.3.3堡垒机用户导入及用户配置 (11)

3.3.4主机设备导入 (14)

3.3.5系统赋权 (17)

3.3.6应用发布服务器添加 (19)

3.4堡垒机应用发布配置 (21)

3.4.1应用发布用户配置 (21)

3.4.2应用用户组授权 (22)

3.5数据留存配置 (23)

3.5.1审计数据留存 (23)

3.5.2设备配置留存 (24)

3.5.3定时任务配置 (25)

3.5.4动态令牌使用手册 (26)

1、证书导入 (26)

2、证书绑定 (26)

3、运维人员使用 (27)

3.6应急方案 (29)

4 系统测试 (30)

4.1 TELNET访问操作管理 (30)

4.2 SFTP访问操作管理 (30)

4.3 SSH访问操作管理 (30)

4.4 RDP访问操作管理 (31)

4.5 FTP访问操作管理 (31)

5 集中管控平台 (31)

5.1集中管控平台功能 (31)

5.2设备硬件信息 (32)

5.3软件信息 (32)

5.4地址规划 (32)

5.5部署规划 (32)

5.6集中管控平台部署 (33)

5.7系统上线需求 (33)

5.8系统安装 (34)

6 双机部署模式 (35)

6.1双机部署模式功能 (35)

6.2上线条件 (35)

6.3地址规划 (35)

6.4上线步骤 (35)

1 文档说明1.1 麒麟开源堡垒机使用概述

随着我行业务围和营业网点的不断延伸扩大,各类特色业务系统和基础网络设备随之上线运行,切实有效的保障了各分行业务的稳定性、安全性和灵活性。但与此同时,随着业务系统应用围越来越广、数据越来越多,所需日常维护的系统和设备也在日益增长,科技运维部门面临的网络、系统安全稳定运行的压力也随之增加。

当前运维管理中存在的主要问题是,技术人员和维护人员的日常管理和维护都是直接登录业务系统、设备进行操作,没有针对运维操作进行统一管理、统一审计、统一分析的系统,造成运维操作没有办法进行监控分析,进而造成部数据信息泄露、违规操作、恶意操作、密码外泄等一系列重大安全隐患。

随着监管对于日常运维工作审计记录的监管需求以及XX银行本身运维规化管理的需求,实现分行骨干设备的运维操作的审计需求迫在眉睫。

本次堡垒机项目使用麒麟开源堡垒机,麒麟开源堡垒机产品功能强大稳定性高,经过测试可以完全满足银行的使用需要。

1.2 运维操作现状

当前分行均已部署了ACS设备,实现了网络统一管理、权限控制、及命令记录功能。但因为缺少专业的运维管理系统,对于运维操作的监控,还存在一定的盲区,主要表现为:

➢运维操作方式多样、分散,缺乏有效集中管理;

➢运维操作缺乏技术手段来约束;

➢对运维操作行为的审计方式不直观;

➢共享账号的情况普遍,给访问者定位带来难题。

2 物理部署规划2.1 设备硬件信息

2.2 软件信息

2.3 系统LOGO

堡垒机LOGO在安装时,都已经被设置为XX银行运维审计平台,以与其它系统进行区分。

2.4 地址规划

参照分行部署规,运维审计堡垒机及应用发布平台,需要分行分配在基础服务器区域,分配【199.XX.XX.XX】的地址,两台设备分别需要分配IP地址,且两个地址需要在一个子网。

2.5 部署规划

⏹堡垒机、应用发布平台各需要2U的机柜空间位置

⏹堡垒机、应用发布平台需要部署在基础服务器接入区

⏹堡垒机、应用发布平台个需要2*10A电源

3 应用部署实施

3.1 堡垒机上线说明

堡垒机在发往用户前,已经完成如下设置:

●设备IP地址、网关、应用发布连接

●设备、人员、权限关系、目录结构的前期调研和导入

●密码规则策略设置

●数据留存策略设置

堡垒机现场上线实施步骤包括:

●设备上架、加电

●网络连通性测试

●系统功能测试

●现场培训

注:堡垒机出厂时,已经完成了数据导入、权限策略设置、应用发布设置和IP 等环境设置,如果有实时时发生更改,请按下面相应描述章节进行修改

3.2 设备初始化

⏹上架加电

⏹设置IP地址、网络掩码、网管

3.2.1 上架加电

第一步、分别将堡垒机和应用发布服务器按照部署位置,将主机安装固定到机柜中。

第二步、将随机携带的电源线插到主机后面板的电源插座上。

第三步、将电源线的另一端插到机柜为主机提供交流电源的插座上。

3.2.2 网络配置

发货前,堡垒机和应用发布IP默认已经按客户要求配置完毕,如果需要现场修改可以按如下步骤:

堡垒机和应用发布服务器网卡默认IP为:

相关文档
最新文档