您的位置:360文档中心› 堡垒机银行行业设计方案

堡垒机银行行业设计方案

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

麒麟堡垒机设计方案

堡垒机银行行业

设计方案

麒麟堡垒机系统

修订记录/Change History

文档版本3.4 (2022-04-25)第2页, 共20页

目录

1 文档说明 (4)

1.1方案概述 (4)

1.2银行行业运维操作现状 (5)

2 需求分析 (6)

2.1需求分析 (6)

2.2实施范围 (6)

3 项目目标 (7)

3.1集中帐号管理 (7)

3.2集中身份认证和访问控制 (7)

3.3集中授权管理 (8)

3.4单点登录 (8)

3.5实名运维审计 (9)

4 应用部署规划 (10)

4.1访问流程 (10)

4.2设备组分级 (11)

4.3账户分级 (12)

4.3.1账户分类 (12)

4.3.2主账号分类 (12)

4.3.3 普通用户分组 (12)

4.4认证方式 (13)

4.5密码规则 (13)

4.6目标设备管理 (13)

4.7数据留存策略 (14)

4.8配置备份 (14)

4.9访问策略 (14)

4.10开发环境策略规划 (15)

4.11访问控制 (15)

4.12集中管理规划 (15)

4.13双机部署规划 (17)

文档版本3.4 (2022-04-25)第3页, 共20页

5 物理部署规划 (19)

5.1设备硬件信息 (19)

5.2软件信息 (19)

5.3系统LOGO (19)

5.4地址规划 (19)

5.5部署规划 (20)

1 文档说明1.1 麒麟开源堡垒机方案概述

随着银行范围和营业网点的不断延伸扩大,各类特色业务系统和基础网络设备随之上线运行,切实有效的保障了各分行业务的稳定性、安全性和灵活性。但与此同时,随着业务系统应用范围越来越广、数据越来越多,所需日常维护的系统和设备也在日益增长,科技运维部门面临的网络、系统安全稳定运行的压力也随之增加。

当前运维管理中存在的主要问题是,技术人员和维护人员的日常管理和维护都是直接登录文档版本3.4 (2022-04-25)第4页, 共20页

业务系统、设备进行操作,没有针对运维操作进行统一管理、统一审计、统一分析的系统,造成运维操作没有办法进行监控分析,进而造成内部数据信息泄露、违规操作、恶意操作、密码外泄等一系列重大安全隐患。

随着监管对于日常运维工作审计记录的监管需求以及银行本身运维规范化管理的需求,实现分行骨干设备的运维操作的审计需求迫在眉睫。

1.2 银行行业运维操作现状

一般银行行业都部署有AAA设备,实现了网络帐号统一管理、权限控制、及命令记录功能。

但因为缺少专业的运维管理系统,对于运维操作的监控,还存在一定的盲区,主要表现为:➢运维操作方式多样、分散,缺乏有效集中管理;

➢运维操作缺乏技术手段来约束;

➢对运维操作行为的审计方式不直观;

➢共享账号的情况普遍,给访问者定位带来难题。

文档版本3.4 (2022-04-25)第5页, 共20页

2 需求分析2.1 需求分析

为改善银行分行运维审计的现状,落实监管需求,强化运维操作管理,部署一套运维审计平台成为解决这些问题的最优方案。

运维审计平台需要能满足如下功能:

➢提供集中、有效的运维操作管理;

➢具备技术手段来实现对运维操作的约束;

➢提供可视化的运维操作行为的审计方式;

➢通过审计信息来完善账号的操作管理;

➢运维审计记录保存一年以上。

2.2 实施范围

➢一级分行本部内网网络设备

➢二级分行内网网络设备

➢支行内网网络设备

➢社区银行内网网络设备

➢自助银行网络设备

➢基础服务器

➢其他服务器及设备(按需)

文档版本3.4 (2022-04-25)第6页, 共20页

3 项目目标

通过建设统一的运维管理平台,实现对人员、设备、操作的统一管理,及运维管理的白盒透明化,实现认证、权限、审计、口令的集中管理,最终形成一个完整安全的运维环境,有效防止信息泄露、密码丢失、恶意及误操作、不按规范操作等安全事件的产生。同时将各项运维管理规章制度,能以可监控的方式进行管理落地。

3.1 麒麟开源堡垒机集中帐号管理

⏹实现对用户帐号的统一管理和维护

在实现集中帐号管理前,每一个新上线应用系统均需要建立一套新的用户帐号管理系

统,并且分别由各自的管理员负责维护和管理。这种相对独立的帐号管理系统不仅建

设前期投入成本较高,而且后期管理维护成本也会成倍增加。而通过堡垒主机的集中

帐号管理,可实现对IT系统所需的帐号基础信息(包括用户身份信息、机构部门信息、

其他公司相关信息,以及生命周期信息等)进行标准化的管理,能够为各IT系统提供

基础的用户信息源。通过统一用户信息维护入口,保证各系统的用户帐号信息的唯一

性和同步更新。

⏹解决用户帐号共享问题

主机、数据库、网络设备中存在大量的共享帐号,当发生安全事故时,难于确定帐号

的实际使用者,通过部署内控堡垒主机系统,可以解决共享帐号问题。

⏹解决帐号锁定问题

用户登录失败五次,应对帐号进行锁定。网络设备、主机、应用系统等大都不支持帐

号锁定功能。通过部署内控堡垒主机系统,可以实现用户帐号锁定、一键删除等功能。

3.2 麒麟开源堡垒机集中身份认证和访问控制

⏹提供集中身份认证服务

实现用户访问IT系统的认证入口集中化和统一化,并实现高强度的认证方式,使整个

IT系统的登录和认证行为可控制及可管理,从而提升业务连续性和系统安全性。

文档版本3.4 (2022-04-25)第7页, 共20页

相关文档
最新文档