堡垒机实施方案

堡垒机实施方案
堡垒机实施方案

技术部分

11 投标方案

技术解决方案

项目概述

中国银行业监督管理委员会(以下简称银监会)是政府部门的重要组成机构,是国家金融行业的监督、管理、指导单位。近年来,金融行业信息系统随着银行业金融机构的业务发展而迅速发展,信息科技已经成为银行业金融机构实现经营战略和业务运营的基础平台以及金融创新的重要手段。银行业对信息科技的高度依赖,使得信息技术系统的安全性、可靠性和有效性直接关系到整个银行业的安全和金融体系的稳定。

各种权威的网络安全调查结果均表明,在可统计的安全事件中,70%以上均与内部人员有关,这其中既包括恶意行为(越权访问、恶意破坏、数据窃取),也包括各种非主观故意引起的非恶意行为(误操作、权限滥用)。由此可见,规范内部人员的访问行为,特别是核心系统(主机、网络设备、安全设备、数据库等)的维护行为已经势在必行。因此,2012年银监会内部启动了系统用户集中管控系统建设,通过部署运维用户集中管控系统,建立运维用户的集中授权、监控、管理、审计体系,加强信息安全的内部控制与管理能力,规范信息系统运行和操作管理过程,确保银监会信息系统的安全运行。

谐润运维管理审计系统是新一代运维安全审计产品,它能够对运维人员的访问过程进行细粒度的授权、全过程的操作记录及控制、全方位的操作审计、并支持事后操作过程回放功能,实现运维过程的“事前预防、事中控制、事后审计”,

在简化运维操作的同时,全面解决各种复杂环境下的运维安全问题,提升企业IT运维管理水平。

需求分析

银监会对运维用户管控系统的需求如下:

1)管理对象应能够实现对银监会现有的服务器系统(Windows、

Unix、Linux)、网络设备(Cisco、华为)、数据库系统(DB2、Oracle 、SqlServer、Mysql)、应用系统(WAS、Weblogic)等;

2)应能够实现对机关内部、外围运维人员的访问及操作权限细粒度

授权,限制用户违规访问、违规操作的能力;

3)实现全面的运维操作审计能力;

4)实现对服务器、网络设备的自动改密功能;

5)实现单点登录,并与CA系统进行整合,实现双因素认真;

6)系统部署不应影响业务系统的稳定运行,且不增加运维人员访问

过程的复杂程度;

7)完善的自我管理功能,设备自身稳定、高效、易于维护。

项目建设目标

项目总体目标旨在通过对服务器操作系统、数据库、中间件及网络设备、安全设备等IT基础设施的账号及其密码进行集中控制与管理,通过账号权限的严

格授权和管理,实现对设备的安全访问和管理行为的审计,达到IT系统安全生产,并满足内控审计要求的目的。具体目标如下:

本项目中的用户集中管控系统包括1套堡垒机(含1台堡垒主机、1台应用托管中心)和1台日志服务器,堡垒主机是运维管理人员进行运维操作的统一接入点,用户集中管控产品需通过开发升级兼容银监会CA系统颁发的密钥,以实现管理用户的双因素认证。实现在SSO(单点登录)系统总体架构下,完成对系统账号的集中认证、集中授权与集中审计,审计日志集中存储于独立的日志服务器。

实施范围

本项目在银监会机关(北京)进行部署,对100台本地或外地服务器和网络设备(每个设备可能存在错咯操作系统、数据库和中间件管理用户)进行集中管理,用户范围主要为银监会机关本地或外地运维用户。

方案设计原则

(1)体系化设计原则

必须分析信息网络的层次关系,遵循先进的安全理念,遵照科学的安全体系和安全框架,并根据安全体系分析存在的各种安全风险,从而最大限度地避免可能存在的安全问题。

(2)可控性原则

采取的技术手段需达到安全可控的目的,技术解决方案涉及的工程实施应具有可控性。

(3)系统性、均衡性、综合性设计原则

从全系统出发,综合考虑各种安全风险,采取相应的安全措施,根据风险的大小,采取不同强度的安全措施,提供具有最优的性能价格比的安全解决方案。

(4)可行性、可靠性原则

必须保证在工程实施期间,不会对用户方的现有网络和应用系统有大的影响。在保证网络和应用系统正常运转的前提下,提供最优安全保障。

(5)标准性原则

安全系统的设计、实施以及产品的选择以相关国际国家安全管理、安全控制、安全规程为参考依据,包括ISO17799、《GB/T 信息系统安全保障评估框架》等。

(6)投资保护原则

对用户方已经存在的网络安全系统设备进行有效的利用,保护已有投资。

(7)最小影响原则

方案设计及实施时,遵循对信息系统影响最小原则,尽可能地采用对网络、

系统、应用影响小技术手段,对现有系统不产生干扰,保护现有系统。

(8)易操作性原则

安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。

产品选型

根据本项目的实际需求,报价人推荐使用谐润运维管理审计系统SR-Fort-1000型产品。

产品硬件配置清单如下:

产品部署

谐润运维管理审计系统支持多种部署方式,在本项目中,考虑到银监会的实际需求,我们将采用旁路部署方式。

部署示意图如下所示:

系统

备机

日志服

务器

谐润运维管理审计系统部署示意图

部署时,谐润运维管理审计系统旁路接入网络,只需要1个独立的IP即可,保证堡垒主机能够通过网络连接被管理资源提供远程运维服务的端口,应用托管中心与堡垒主机做直连,通过堡垒主机NAT转换技术使应用托管中心能够访问网络中的资源。

若堡垒主机和被管理资源之间存在防火墙,则需要在增加或修改防火墙的策略,防火墙的策略增加或修改如下:

源地址:堡垒主机IP,源端口:any,目标地址:被管理资源IP,目标端口:提供运维服务的监听端口。

如堡垒主机需要连接被管理的Linux服务器,Linux服务提提供ssh运维服务,则需要在防火墙上增加或修改策略如下:

源地址:堡垒主机IP,源端口:any,目标地址:被管理资源IP,目标端口:22。

维护人员只要登录运维管理系统即可访问到所有服务器,无须进行二次登录。

若运维人员与运维管理系统之间存在防火墙,则防火墙需要开放如下端口:22(ssh、telnet协议代理模块),443(堡垒主机提供web服务),3389(rdp 协议代理模块)等。

有关实施时防火墙开放策略,详见“节内容中的《实施环境调研》。

日志服务器旁路接入网络,并开发SMB共享服务,为堡垒主机提供日志存储服务,堡垒主机通过页面配置,将数据文件存储至日志服务器。

系统备机始终处于冷备状态,在堡垒主机实施完成之后,将所有配置导入系统备机,保证系统备机上的主账号、被管理资源与主账号权限与堡垒主机一致,以便随时更换。

项目实施方案

项目保密条款

我公司同原厂上海谐润网络信息技术有限公司承诺,在中标后项目签署合同前分别以单位和个人与招标方签署保密协议或保密承诺书。

项目文档

原厂谐润科技在项目工程实施完成时将系统的全部有关技术文档、图标资料及测试、验收报告等文档汇集成册交付银监会,包括但不限于以下文档:

项目投标文件

项目工程实施方案

项目工程管理及实施计划书

产品安装实施报告

系统测试报告

项目完工总结报告

培训手册

运维用户使用手册

系统技术维护手册

系统应急处理预案

其他所有项目实施过程中产生的文档

项目组织架构

为确保本项目的顺利实施,原厂商谐润科技将指派拥有丰富项目经验的技术人员担任我方项目经理,负责项目实施的全面工作,收集有关热线电话支持、现场服务、用户技术人员反应等有关服务信息。在服务实施过程中,将严格按照服务计划,全权负责服务的管理与监督。定时向用户项目负责人汇报情况,在处理突发事件和项目变更时,要及时调整人员和计划以保证服务地正常进行;在项目实施受阻时,及时申请增加人员和技术力量,确保项目实施的顺利进行;此外,项目经理要监督服务的质量,以确保整个维护服务顺利、高质量的完成。

谐润科技将根据项目实际要求组建专门的银监会用户集中管控系统项目小组,遴选原厂商资深项目经理和工程技术人员,为银监会用户集中管控系统项目提供最优质的服务,保证严格按照合同约定,完成该项目的实施、培训及售后服务工作。

原厂谐润科技为了保证项目实施的顺利进行,会提供合理可行的系统实施方案,合理安排人员,以保证实施进度计划。

原厂谐润科技项目组织架构如下:

项目经理:

负责整个项目的进度控制、协调原厂工作人员与银监会工作人员进行协同工作,保证整个项目顺利完成。

研发经理:

负责整个项目中开发需求确认,开发进度,保证开发工作顺利进行,并按照客户要求完成开发任务(含测试工程师)。

调研工程师:

负责项目实施前资产调查、用户角色确认、网络环境调查、实施环境调研,参与设备实施方案的制定。

实施工程师:

负责项目设备接入客户网络,保证设备连通性,并进行资产录入、角色权限划分等工作。

培训讲师:

负责对客户进行相关知识培训,让客户能够独立使用设备,并能处理简单故障,保证知识转移顺利完成。

巡检工程师:

在项目实施完成后,负责对设备的使用情况进行跟踪,反馈客户的使用情况及软硬件健康情况,并按照客户的要求提交相应的报告。

售后支持:

负责对巡检工程师反馈的信息进行汇总,并根据反馈对客户进行技术支持。

银监会运维用户集中管控系统项目组谐润主要成员名单如下:

项目实施计划

项目实施质量控制

在本项目实施过程中,原厂谐润科技将采取以下措施保证项目实施过程的质量:

1)建立完整的实施团队,团队内部有明确的分工,通过专业化的手

段来提高公司的工作质量及技术水平;

2)派遣具备丰富经验的专业的工程实施人员,严格按照操作流程和

技术要求进行施工;

3)保证良好的沟通机制,在实施过程中,项目经理将定期向银监会

项目组提供实施进度记录汇报,让用户单位清楚整个项目的施工计划及

施工进度情况。

4)执行科学的项目管理制度,从施工开始到施工结束验收的整个过

程,我们均有相应的配套记录表格,方便项目组对实施过程进行跟踪、

监督;便于后期用户方进行系统维护及管理。同时,所有的记录表格均

录入计算机进行电子化管理。

5)针对本项目,在工程施工前,由项目主管组织有关人员(业务员、

技术指导、工程实施负责人、工程实施小组、质量监控小组及售后服务

小组等)召开工程准备会议,介绍工程设计方案及有关的情况,布置各

项工作,讨论可预见的技术细节、实施方法和实施进度等。

6)在整个工程项目的实施过程中,有质量监督小组负责对整个项目

的实施质量进行监督,从而保证整个工程的质量(包括进货设备的质量

保证和工程实施的质量保证)。

项目实施过程介绍

阶段一:项目准备阶段

项目准备阶段会对整个项目的实施方案进行可行性研究和讨论,并进行实施环境调研、设备供货、二次开发接口调研及开发工作等。

实施环境调研

在项目开始实施之前,需要银监会的技术人员配合原厂谐润科技的实施人员对实施的环境进行检查,确认是否具备项目实施条件。

序号安

装条件条件参数

否符

合条

房的相对湿度和温度标准相对湿度:5%至95%

温度:0至+55摄氏度

机架空间占机架空间为

2U 650×435×89 mm(长、宽、高)

管理对象帐号调研

根据合同要求,在安装调试过程中,银监会项目组成员需提供按照以下表格格式的附件:包括主帐号调研表、主机帐号调研表、应用调研表;

齐治堡垒机简易使用手册

齐治堡垒机简易使用手册 Shterm用户手册- 应用发布手册杭州奇智信息科技有限公司2011年3月版本浙江齐治科技有限公司目录第1章用户登录shterm ......................................................... ................................................. 3 普通用户首次登录............................................................... ........................................ 3 用户登录账号............................................................... .................................... 4 使用环境准备............................................................... .................................... 4 第2章Windwos设备访问............................................................... ......................................... 6 WEB登录...............................................................

IT运维安全审计(堡垒机)解决方案

网域NSYS运维安全审计(堡垒机)解决方案 网域运维安全审计(堡垒机)提供运维用户操作以及违规事件等多种审计报表,过报表功能,即能够满足大部分客户的日常审计需求,也可满足如" 等级保护"、" 萨班斯法案"等合规性要求。同时,系统也支持通过自定义或二次开发方式进行灵活扩展。 集中统一管理、安全审计、统一账号管理, 统一身份认证, 统一授权管理,统一操作审计,流程管理,单点登录,并能图像形式的回放操作员记录、使管理员操作简单快捷。 运维用户通过一个统一的平台就能登录所有的目标设备,包Unix 、Linux 、Win dows月服务器以及各类网络设备。 集中管理用户、设备、系统账号; 集中管理用户、系统账号的密码;所有用户集中登录、集中认证; 集中配置账号密码策略、访问控制策略;集中管理所有用户操作记录; 访问控制 1. 根据用户角色设置分组访问控制策略; 2. 实现" 用户-系统-系统账号"的对应关系; 权限控制 1. 可设置以命令为基础的权限控制策略; 2. 可支持IT 运维人员对多种远程维护方式,如字符终端方式(SSH、Telnet 、Rlogin)、图形方式(RDR X11、VNC Radmin PCAnywhere、文件传输(FTP、SFTP以及多种主流数据库工具按照用户/用户组、资源/资源组、运维时间段、运维会话时长等授权。 实时的操作告警及审计机制 监控告警机制 能对运维用户的所有操作进行实时的控制阻断、告警及监控,避免由于一些敏感的操作导致网络中断或企业信息泄露。 详尽的会话审计与回放机制 系统提供运维协议Telnet 、FTP、SSH、SFTP、RDP(Windows Terminal )、Xwindows、VNC、AS400、Http 、Https 等完整会话记录,完全满足内容审计中信息百分百不丢失的要求。 1. 能记录所有操作并能随时根据审计的需要查询任何时候任何人员所做的任何操作。 2. 提供图像形式的回放,真实、直观、可视地重现当时操作过程。 3. 能记录加密维护协议SSH数据符合法律法规

堡垒机系统应急预案

堡垒机应急预案

1 麒麟开源堡垒机应急处理 部署麒麟开源堡垒机后用户对设备的运维操作均需通过堡垒机进行,以确保访问行为安全、可审计。 而麒麟开源堡垒机应急处理方式主要取决于实施过程所采用的访问控制方式。 麒麟开源堡垒机在推广使用过程中一般有两种访问控制方式分别是1、口令修改方式2、网络ACL方式(网络ACL设备为VPN设备及交换机)下面就对以上两种方式的应急处理进行简单的说明。 1.1 采用口令修改访问控制方式时的应急 为确保所有设备维护人员必须通过堡垒机访问设备,通用做法之一就是将相应的设备账号口令进行修改,正确设备口令均存储在堡垒机中,堡垒机会定期的将所有设备或部分设备的账号名/口令进行备份并以邮件或其他方式发送加密信封给少数高权限管理员。 应急方法:当堡垒机出现短期无法恢复的宕机情况时,高权限管理员可直接将响应设备账号/口令发送至普通访问人员手中以确保能够正常登陆设备完成业务。

1.2 采用网络ACL 访问控制方式时的应急 A 区 为确保所有设备维护人员必须通过堡垒机访问设备,另外一种常用做法为网络ACL 方式。 设置VPN 服务器及用户专线接入交换机ACL (或交换机ACL )限制访问用户到具体生产设备域的几个标准运维端口的访问,如:telnet(23)、SSH(22)、RDP (3389)并将堡垒机访问端口例外。具体防火墙策略可参看下表。 防火墙策略 应急方法:当堡垒机出现短期无法恢复的宕机情况时,网络管理员需直接将办公域与具体生产设备安全域之间的ACL 网络限制去除,允许用户对生产设备的直接访问。 2 生产恢复 在进行上述应急处理的同时,公司将指派技术人员在4小时内(本省)赶赴现场进行故障处理,到场后2小时内解决。若遇到重大技术(如灾难性事故)问

麒麟开源堡垒机用户操作手册

运维安全堡垒平台用户操作手册 麒麟开源堡垒机用户操作手册

目录 1.概述 (1) 1.1.功能介绍 (1) 1.2.名词解释 (1) 1.3.环境要求 (2) 2.登录堡垒机 (2) 2.1.准备................................................................................................. 错误!未定义书签。 2.1.1.控件设置 (2) 2.1.2.Java Applet支持............................................................................. 错误!未定义书签。 2.2.登录堡垒机 (3) 3.设备运维 (4) 3.1.Web Portal设备运维 (4) 3.2.运维工具直接登录 (6) 3.3.SecureCRT打开多个设备 (7) 3.4.列表导出 (11) 4.操作审计 (14) 4.1.字符协议审计 (14) 4.2.SFTP和FTP会话审计 (16) 4.3.图形会话审计 (17) 4.4.RDP会话审计 (18) 4.5.VNC会话审计 (20) 5.其他辅助功能 (22) 5.1.修改个人信息 (22) 5.2.网络硬盘 (22) 5.3.工具下载 (23)

1.概述 运维安全堡垒平台(以下简称运维堡垒机)是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。 1.1.功能介绍 运维堡垒机集中管理运维账号、资产设备,集中控制运维操作行为,能够实现实时监控、阻断、告警,以及事后的审计与统计分析。 支持常用的运维工具协议(如SSH、telnet、ftp、sftp、RDP、VNC等),并可以应用发布的方式支持图形化运维工具。 运维堡垒机支持旁路模式和VPN模式两种方式,物理上旁路部署,灵活方面。 运维堡垒机在操作方式上,不改变用户的操作习惯,仍然可以使用自己本机的运维工具。 1.2.名词解释 协议 指运维堡垒机运维工具所用的通信协议,比如Putty使用SSH协议,CRT支持SSH 和Telnet等。 工具 指运维人员实现对设备的维护所使用的工具软件。 设备账号 指运维目标资产设备的用于维护的系统账户。 自动登录 指运维堡垒机为运维工具实现自动登录目标被管设备,而运维用户不需要输入目标设备的登录账号和密码,也称为单点登录(SSO)。 命令阻断

极地内网内控安全管理系统内控堡垒主机操作手册V

极地内网内控安全管理系统 (内控堡垒主机) 操作手册北京市海淀区上地安宁庄西路9号金泰富地大厦8层 电话:010- 传真:010- 客服:400-01234-18 邮编:100085 网站:

目录

一、前言 欢迎使用内控堡垒主机系统,本用户使用手册主要介绍内控堡垒主机部署结构、配置、使用和管理。通过阅读本文档,用户可以了解内控堡垒主机系统的基本设计思想,配置和使用方法。在安装、使用内控堡垒主机系统之前,请仔细阅读文档内容。 本章内容主要包括: ●本文档的用途。 ●阅读对象。 ●本文档的组织结构。 ●如何联系北京极地安全技术支持。 1.1 文档目的 本文档主要介绍如何配置和使用内控堡垒主机系统。通过阅读本文档,用户能够正确地部署和配置内控堡垒主机系统。 1.2 读者对象 本安装手册适用于具有基本网络知识的安全管理员、系统管理员阅读,通过阅读本文档,他们可以独自完成以下一些工作: ●内控堡垒主机系统的功能使用。 ●内控堡垒主机系统的策略配置与管理。 1.3 文档组织 本文档包括以下章节及其主要内容: ●前言,介绍了本手册各章节的基本内容、文档和技术支持信息。 ●系统简介,介绍内控堡垒主机系统的部署结构和登录方法。 ●系统应用,介绍如何配置使用内控堡垒主机系统。 1.4 技术支持 北京极地公司对于生产的安全产品提供远程的产品咨询服务,广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。

公司主页提供交互网络服务,用户及合作伙伴可以在世界的任何地方,任何时候访问技术支持中心,获取实时的网络安全解决方案、安全服务和各种安全资料。 ●传真: 010- ●客服经理承接质量问题投诉邮箱: 二、系统简介 内控堡垒主机系统是极地安全内控解决方案的重要组成部分,部署在企业的内部网络中,用于保护企业内部核心资源的访问安全。 内控堡垒主机是一种被加固的可以防御进攻的计算机,具备很强安全防范能力。内控堡垒主机扮演着看门者的工作,所有对网络设备和服务器的请求都要从这扇大门经过。因此内控堡垒主机能够拦截非法访问,和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为。 内控堡垒主机具备强大的输入输出审计功能,不仅能够详细记录用户操作的每一条指令,而且能够将所有的输出信息全部记录下来,也具备图形终端操作的审计功能,能够对多平台的多种图形终端操作做审计,并且内控堡垒主机具备审计回放的功能,能够模拟用户在线操作过程。总之,内控堡垒主机能够极大的保护企业内部网络设备及服务器资源的安全性,使得企业内部网络管理合理化,专业化,信息化。 2.1 关键字 用户名:也叫主帐号,使用内控堡垒主机的用户统称为用户名。 资源:内控堡垒主机管理的主机系统,数据库,网络设备等统称为资源。例如AIX系统、Windows2000系统、DB2数据库、CISCO3560等。 从账号:从账号是资源中的账号,例如AIX中的root账号,Windows2000中的Administrator账号。 SSO单点登录:SSO(SingleSign-On)中文为单点登录,就是说在同一个地点完成对不同资源的访问。 策略:控制用户登录、设置密码、禁止使用命令、允许访问命令的方法。

内控堡垒机特点及解决方案

序号 客户遇到的问题 极地解决办法 备注 1 核心IT设备的操作无法监控:如服务器,数据库、交换机,路由器,防火墙等。 通过堡垒主机的实时审计及操作后审计可以直观的了解到对被管设备的实时操作及事后操作查询。 2 设备巡检耗费大量人力及时间。如巡检500台网络设备仅搜集设备上的数据就需要耗费几人天。 通过堡垒主机的智能运维工具可以将需要执行的命令作为脚本提交给设备自动运行并采集数据,省去了大量的人工操作而直接进入数据分析阶段,提高了工作效率。 3 使用KVM方式管理服务器系统导致多台设备,操作时来回切换。如使用KVM管理大量服务器系统。 通过堡垒主机的单点登录系统,操作人员只需登录堡垒主机后就可直接登录被授权的资源,无需再输入用户名密码。 4 各类资源密码记忆复杂:用户需要记忆许多用户名和密码用于登录各个系统,经常出现忘记密码的情况,有些管理员直接使用相同的密码,缺乏统一的用户管理。

将资源添加到堡垒主机后,系统将记录登录设备的真实帐号、密码,省去了管理员大量记录密码的问题,并提高了密码的保密性。 5 密码变更管理复杂。如用户需要定期更改大量设备的登录密码,需要进行大量的密码变更操作。 极地堡垒主机系统支持各种类型设备密码自动变更,并可根据用户密码负载规则定义密码,统一变更密码后生成密码信封,协助管理员管理设备登录密码。 6 设备操作权限划分难。例如:主机设备上某些不安全命令被执行,导致系统故障。 通过堡垒主机的命令行限制、登录IP限制、登录时间限制,可以细粒度的限制操作人员的操作权限,最大限度的保证设备安全运行。 7 频繁登录和注销:管理不同的主机、网络设备需要分别登录,操作烦琐 通过堡垒主机的单点登录系统,操作人员只需登录堡垒主机后就可直接登录被授权的资源,无需再输入用户名密码。 8 内控安全:企业生产数据面临被内部人员篡改、删除、窃取、主机被关机、设备配置被修改,导致企业生产停顿、商业资料泄露,给企业造成巨大的损失。 通过堡垒主机全方位的操作审计功能可以了解到是谁、在什么时间、在什么地点,进行了那些操作。

天融信堡垒机配置文档

安全运维审计配置手册 自然人:登录堡垒机使用的账号 资源:需要堡垒机管理的服务器、网络设备等等 从账号:资源本身的账号,即登录资源使用的账号 岗位:资源的集合,通过岗位可以将堡垒机管理的资源进行分类,便于管理员运维自然人与资源之间的使用逻辑关系 个人岗位:岗位的子类,可以理解为对自然人来说个人独有资源集合 密码代填:在运维人员登录资源的时候,堡垒机可以代填用户名密码,如果不代填的情况下,需要用户自己手动输入用户名密码 组织结构:目录树是堡垒机自身的一个目录结构,它可以方便管理员对繁杂的用户群体、资源群体进行归类区分,可以对比windows或者Linux操作系统的文件系统进行理解 目录树:可以将其理解为堡垒机目录结构的根目录,类似于linux系统的根目录

堡垒机使用前准备 1、访问堡垒机页面前浏览器配置 堡垒机使用ie浏览器访问,并需要配置加密协议

2、访问堡垒机页面,并下载安装标准版控件

注:安装控件的时候直接下一步直接安装即可,安装过程中关闭所有浏览器页面安装完控件以后访问堡垒机,浏览器会提示运行加载项,点击允许

管理员对堡垒机的管理操作 堡垒机管理员在管理堡垒机的时侯步骤如下: 1、添加堡垒机用户 2、添加资源(需要堡垒机管理的设备) 3、创建岗位(给资源划分组) 4、如果需要密码代填功能可以将资源的账号绑定到对应资源中 5、将岗位与堡垒机用户关联(将资源组给运维人员) 1、用户管理模块创建自然人 1、用户账号是登录堡垒机时使用的账号,用户名称是用于标识这个账号用的可以使用中文 2、初始化口令的默认密码是123456,用户初次登录堡垒机的时候会强制要求修改密码 3、将用户账号、用户名称、密码等信息都填写完毕以后点击保存即可创建自然人账号,这个账号是每个运维人员登录堡垒机使用的账号

【堡垒机】极地数据堡垒机“防统方”解决方案概述

技术文章 极地数据堡垒机 “防统方”解决方案概述 方案综述 极地数据内控堡垒机,是国内知名的内网安全厂商极地安全,针对医药行业“防统方”现实需求,基于当前国际上最前沿主流的内网信息系统后台高端保护技术——堡垒机技术,而研发的全面“防统方”解决方案。 该方案立足于智能主动、全程管控的“防统方”理念,通过事前的堡垒机集中账号和访问通道管控,事中的单点登录、统一授权和访问控制,事后的数据走向与行为审计等功能,具备在服务器及后台数据库的核心设备层面的数据保护、智能拦截和行为审计,实现了真正意义上的智能管控和深度审计“防统方”的目的。 通过极地数据内控堡垒机“防统方”解决方案(以下简称:“防统方”堡垒机),能够有效地防止和精确审计医院系统内外的各种有权限访问内部各个核心系统的人员的统方操作,包括:医院HIS系统使用者管理者、医院信息设备管理者、外部技术维护人员,以及外部黑客等。 极地“防统方”堡垒机的核心价值在于: (1) 治本:从根源解决“防统方”难题。 (2) 全程:融预警变事后追查为主动防御。 (3) 高效:产品便捷操作,智能防御和深度审计。 (4) 整体:产品方案高屋建瓴,不光针对防统方问题,同时对整个医院内网信息系统核心数据设备,构建了高效率运维支撑和高强度安全保障的信息安全体系。 医院面临的“防统方”困境 困境一:“统方”途径多,堵漏难度大 目前,卫生行业信息系统均采用专网互联,并采用了防火墙、杀毒软件等基本的安全防护软件,但仍然存在众多安全威胁和监管漏洞,导致非法“统方”行为的发生。一般而言,现在医院统方途径主要有四大方面,简单分析如下:

第一,HIS应用系统相关功能提供的统方。 医院的HIS等医疗系统,集中了处方统计分析业务、处方查询(药剂科),以及挂号、病历、诊疗信息管理等核心业务模块,后台涉及到医生、药品、剂量、单价、应收金额等直接或间接能够“统方”的信息,这些功能本身提供详尽的统方表格,同时该应用系统有部分高权限用户拥有统方权限,例如,一些医院的药剂科本身就兼具正常“统方”的职责,在一定的时间药剂科科长需要对医生、药品和剂量信息进行统计,以防止医生用药比例过高导致医生停诊。因此,如果HIS应用系统本身管理制度出现漏洞,或者有权限的医院内部人员出现问题,就会导致统方数据外泄的威胁。但这个途径逐步已经不成为非法统方的主要途径,这是因为尽管这是统方最直接和便捷的通道,但也是非法统方者最危险的通道,因为HIS系统本身对相关权限和开放权限的人员,构建了严格的管理和审计体制,对于当前主流HIS系统,很难钻到空子。 第二,内部信息资源管理人员非法“统方” 随着信息化水平提升,医院信息中心人员也迅速增加,他们负责医院信息化建设,以及日常IT网络设备、数据库等程序的维护工作,这些管理人员掌握着SYS、SYSTEM等超级用户,这些用户具备了访问所有IT网络设备、服务器、应用数据库的权限;从而使毫无业务需要的信息中心工作人员能够访问所有处方数据,具备“统方”的最佳途径;另外,数据库管理员(简称:DBA 人员)也可以直接查询数据库中的用户密码表,使用具备统方权限的应用用户登录到HIS系统直接进行非法“统方”。由于这个群体对于信息系统的操作熟悉程度,以及目前对于超级用户的技术审计比较薄弱,因此,事实证明,这是目前比较主要的非法统方途径。 第三,开发人员、维护人员非法“统方”。 医疗信息系统的开发和维护人员掌握着系统访问数据库的用户名和口令,这些人员经常需要

堡垒机安全基线技术手册

1.1运维管控与安全审计系统 1.1.1绿盟堡垒机安全基线技术要求 1.1.1.1设备管理 转变传统IT 安全运维被动响应的模式,建立面向用户的集中、主动的运维安全管控模式,降低人为安全风险,满足合规要求,保障公司效益。 参考配置操作: 以堡垒机管理员(weboper)身份,web方式登陆堡垒机:https://192.168.3.8,系统---》系统配 置---》认证配置,web超时时间设置为600秒,确定。 参考配置操作: 以堡垒机管理员(weboper)身份,web方式登陆堡垒机:https://192.168.3.8,系统---》系统配 置---》引擎,除数据库审计服务开启外,其他服务均关闭,确定。 1.1.1.2用户账号与口令安全

应配置用户账号与口令安全策略,提高设备账户与口令安全。 参考配置操作: 1、以堡垒机管理员(weboper)身份,web方式登陆堡垒机:https://192.168.3.8,对象---》用户, 选择weboper,点右边的操作按钮,在弹出的对话框中,更改weboper的密码,确定。 2、以堡垒机审计员(webaudit)身份,web方式登陆堡垒机:https://192.168.3.8,对象---》用户, 选择webaudit,点右边的操作按钮,在弹出的对话框中,更改webaudit的密码,确定。 3、在初次用console方式对堡垒机进行配置时,使用conadmin账号登陆后,应先修改conadmin用 户的密码。

1.1.1.3 日志与审计 堡垒机支持“日志零管理”技术。提供:日志信息自动备份维护、提供 多种详细的日志报表模板、全程运维行为审计(包括字符会话审计、图形操作审计、数据库运维审计、文件传输审计) 1.1.1.4 安全防护 堡垒机采用专门设计的安全、可靠、高效的硬件平台。该硬件平台采用严格的设计和工艺标准,保证高可靠性。操作系统经过优化和安全性处理,保证系统的安全性。采用强加密的SSL 传输控制命令,完全避免可能存在的嗅探行为,确保数据传输安全。

齐治堡垒机简易使用手册V1.0

Shterm用户手册- 应用发布手册 (配置管理员) 杭州奇智信息科技有限公司 2011年3月 版本

目录 第1章用户登录shterm (3) 1.1普通用户首次登录 (3) 1.1.1用户登录账号 (4) 1.1.2使用环境准备 (4) 第2章Windwos设备访问 (6) 2.1.1WEB登录 (6) 2.1.2本地MSTSC客户端登录 (7) 第3章访问字符终端设备(Telnet、SSH) (9) 3.1.1Web终端访问 (9) 3.1.2第三方SSH客户端工具访问 (10) 3.1.3WEB调用客户端登录 (12) 第4章客户端工具访问 (14) 4.1.1调用客户端工具 (14) 4.1.2文件传递 (15) 第5章文件传输 (15) 第6章账户设置 (16) 6.1个人信息修改 (16) 6.2密码修改 (18)

第1章用户登录shterm 1.1普通用户首次登录 Shterm采用Web作为用户界面。用户可使用Microsoft Internet Explorer 或以其为内核其他浏览器、Mozilla Firefox、Google Chrome等主流浏览器访问Shterm。 Shterm的访问地址一般为这种形式的:https://ipaddr,如:https://10.100.192.102 注意:建议将此站点加入到浏览器的安全站点中。

1.1.1用户登录账号 目前Shterm已与AD域认证系统进行了联合认证,因此在登录Shterm系统时只需要使用自己的AD域账号密码就可以登录Shterm系统了。 1.1.2使用环境准备 为了正常的使用Shterm您需要做以下环境准备工作:首先在您的系统安装Jre(Java虚拟机),此工具可在shterm的右上方下拉“工具下载”。 如果浏览器用的是IE或IE核心的,则需要再安装ShtermLoader工具,此工具可在shterm的右上方“工具下载”中下载并安装; 注意:需根据浏览器的版本下载相应的ShtermLoader,如32位的浏览器则需要下载32位的ShtermLoader,64位的浏览器则需要下载64位的ShtermLoader;

网堡垒机部署方案

目录 一.概述 (2) 1.1背景分析 (2) 1.2运维现状分析 (2) 1.3存在的问题 (3) 1.4问题分析 (4) 二.解决方案 (4) 2.1.实现目标 (4) 2.2运维人员需求 (5) 2.3部署拓扑 (6) 2.4 部署说明 (6) 2.5堡垒机的配置: (7) 2.6.防火墙的配置: (7) 2.7 交换机的配置 (8) 2.8应急措施 (8)

530运维堡垒机解决方案 一.概述 1.1背景分析 随着信息技术的不断发展和信息化建设的不断进步,业务应用、办公系统、商务平台的不断推出和投入运行,信息系统在企业的运营中全面渗透。统管理员压力太大等因素,人为误操作的可能性时有发生,这会对部门或者企业声誉造成重大影响,并严重影响其经济运行效能。黑客/恶意访问也有可能获取系统权限,闯入部门或企业内部网络,造成不可估量的损失。如何提高系统运维管理水平,满足相关标准要求,防止黑客的入侵和恶意访问,跟踪服务器上用户行为,降低运维成本,提供控制和审计依据,越来越成为企业关心的问题。 1.2运维现状分析 530政务外网中现有各大厂商的网络设备,安全设备和服务器,其日常运维过程中普遍存在以下现状:

·用户访问方式以内部远程访问为主,运维操作的访问方式又以SSH/TELNET/RDP/VNC/HTTP/HTTPS为主; ·用户凭借设备上的账号完成身份认证授权,难以保障账号的安全性; ·密码管理复杂,无法有效落实密码定期修改的规定; ·运维人员的操作行为无审计,事故发生后无法快速定位事故原因和责任人; 1.3存在的问题 ?用户身份不唯一,用户登录后台设备时,仍然可以使用共享账号(root、administrator等)访问,从而无法准确识别用户的身份;?缺乏严格的访问控制,任何人登录到后台其中一台设备后,就可以访问到后台各种设备; ?重复枯燥的密码管理工作,大大降低了工作效率的同时,人员的流动还会导致密码存在外泄的风险; ?难于限制用户登录到后台设备后的操作权限; ?无法知道当前的运维状况,也不知道哪些操作是违规的或者有风险的; ?缺乏有效的技术手段来监管代维人员的操作; ?操作无审计,因操作引起设备故障的时候无法快速定位故障的原因和责任人;

运维安全堡垒平台用户操作手册

运维安全堡垒平台用户操作手册

目录 1.概述 (1) 1.1.功能介绍 (1) 1.2.名词解释 (1) 1.3.环境要求 (2) 2.登录堡垒机 (2) 2.1.准备 (2) 2.1.1.控件设置 (2) 2.2.登录堡垒机 (3) 3.设备运维 (4) 3.1.Web Portal设备运维 (4) 3.2.运维工具直接登录 (6) 3.3.SecureCRT打开多个设备 (7) 3.4.列表导出 (11) 4.操作审计 (14) 4.1.字符协议审计 (14) 4.2.SFTP和FTP会话审计 (16) 4.3.图形会话审计 (17) 4.4.RDP会话审计 (18) 4.5.VNC会话审计 (20) 5.其他辅助功能 (22) 5.1.修改个人信息 (22) 5.2.网络硬盘 (22) 5.3.工具下载 (23)

1.概述 运维安全堡垒平台(以下简称运维堡垒机)是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。 1.1.功能介绍 运维堡垒机集中管理运维账号、资产设备,集中控制运维操作行为,能够实现实时监控、阻断、告警,以及事后的审计与统计分析。 支持常用的运维工具协议(如SSH、telnet、ftp、sftp、RDP、VNC等),并可以应用发布的方式支持图形化运维工具。 运维堡垒机支持旁路模式和VPN模式两种方式,物理上旁路部署,灵活方面。 运维堡垒机在操作方式上,不改变用户的操作习惯,仍然可以使用自己本机的运维工具。 1.2.名词解释 协议 指运维堡垒机运维工具所用的通信协议,比如Putty使用SSH协议,CRT支持SSH 和Telnet等。 工具 指运维人员实现对设备的维护所使用的工具软件。 设备账号 指运维目标资产设备的用于维护的系统账户。 自动登录 指运维堡垒机为运维工具实现自动登录目标被管设备,而运维用户不需要输入目标设备的登录账号和密码,也称为单点登录(SSO)。 命令阻断

堡垒机方案

2015 平安医院解决方案建议书 天玥网络安全审计系统V6.0 运维安全管控系统 精细控制合规审计

目录 项目概述 (3) 1安全现状分析 (3) 1.1内部人员操作的安全隐患 (3) 1.2第三方维护人员安全隐患 (3) 1.3高权限账号滥用风险 (4) 1.4系统共享账号安全隐患 (4) 1.5违规行为无法控制的风险 (4) 2运维安全管控系统方案设计 (4) 2.1建设原则 (4) 2.2总体目标 (5) 2.3建设思路 (6) 3运维管控系统解决方案 (6) 3.1系统总体设计 (6) 3.1.1系统概述 (6) 3.1.2系统组成 (7) 3.1.3技术架构 (8) 3.2系统主要功能 (9) 3.2.1用户认证与SSO (9) 3.2.2自动改密 (10) 3.2.3访问授权管理 (10) 3.2.4二次审批 (11) 3.2.5告警与阻断 (12) 3.2.6实时操作过程监控 (12) 3.2.7历史回放 (13) 3.2.8审计报表 (14) 3.2.9审计存储 (14) 3.3系统功能特点 (14) 3.3.1运维协议支持广 (14) 3.3.2对用户网络影响最小 (15) 3.3.3友好的用户交互体验 (15) 3.4系统部署 (15) 3.4.1单台部署 (16)

项目概述 随着平安医院信息化应用的迅速发展,企业内部的各种业务和经营支撑系统不断增加,网络规模也迅速扩大。由于信息系统运维人员和业务系统的管理人员掌握着系统资源管理的最高权限,一旦操作出现安全问题将会给企业带来巨大的损失,加强对运维管理人员操作行为的监管与审计成为信息安全发展的必然趋势。 在此背景之下,平安医院计划针对运维操作和业务管理与审计进行堡垒机项目建设。堡垒机提供了一套多维度的运维操作管控与审计解决方案,使得管理人员可以对网络设备、服务器、安全设备、数据库等资源进行集中账号管理、细粒度的权限管理和访问审计,帮助企业提升内部风险控制水平。 1安全现状分析 1.1内部人员操作的安全隐患 随着平安医院信息化进程不断深入,企业的业务系统变得日益复杂,由内部员工违规操作导致的安全问题变得日益突出起来。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题,但对于内部人员的违规操作却无能为力。根据FBI和CSI对484家公司进行的网络安全专项调查结果显示:超过70%的安全威胁来自公司内部,在损失金额上,由于内部人员泄密导致了6056.5万美元的损失,是黑客造成损失的16倍,是病毒造成损失的12倍。另据中国国家信息安全测评中心调查,信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪,而非病毒和外来黑客引起 1.2第三方维护人员安全隐患 平安医院在发展的过程中,因为战略定位和人力等诸多原因,越来越多的会将非核心业务外包给设备商或者其他专业代维公司。如何有效地监控设备厂

堡垒主机用户操作手册运维管理

堡垒主机用户操作手册 运维管理 版本2.3.2 2011-06 目录1.前言...................................................... 1.1.系统简介 .............................................. 1.2.文档目的 .............................................. 1.3.读者对象 .............................................. 2.登录系统.................................................. 2.1.静态口令认证登录 (3) 2.2.字证书认证登录 ........................................ 2.3.动态口令认证登录 ...................................... 2.4.LDAP域认证登录........................................ 2.5.单点登录工具 ..........................................

3.单点登录(SS0)........................................... 3.1.安装控件 .............................................. 3.2.单点登录工具支持列表 .................................. 3.3.单点登录授权资源查询 .................................. 3.4.单点登录操作 .......................................... Windows资源类(域内主机\域控制器 \windows2003\2008) Unix\Linux资源类............................... 数据库(独立)资源类 ........................... ORACLE_PLSQL单点登录........................... ORACLE_SQLDeveleper单点登录.................... MSSQLServer2000查询分析器单点登录.............. MSSQLServer2000企业管理器单点登录.............. SQLServer2005ManagementStudio单点登录.......... SQLServer2008ManagementStudio单点登录.......... SybaseDbisqlg单点登录..........................

银行堡垒机实施计划方案

银行分行运维审计平台 实施方案

修订记录/Change History

目录 1 文档说明 (5) 1.1概述 (5) 1.2运维操作现状 (5) 2 物理部署规划 (6) 2.1设备硬件信息 (6) 2.2软件信息 (7) 2.3系统LOGO (7) 2.4地址规划 (7) 2.5部署规划 (7) 3 应用部署实施 (8) 3.1堡垒机上线说明 (8) 3.2设备初始化 (8) 3.2.1上架加电 (8) 3.2.2网络配置 (9) 3.3堡垒机配置修改方式 (9) 3.3.1目录树调整 (10) 3.3.2设备类型添加及修改 (10) 3.3.3堡垒机用户导入及用户配置 (11) 3.3.4主机设备导入 (14) 3.3.5系统赋权 (18) 3.3.6应用发布服务器添加 (19) 3.4堡垒机应用发布配置 (21) 3.4.1应用发布用户配置 (21) 3.4.2应用用户组授权 (22) 3.5数据留存配置 (23) 3.5.1审计数据留存 (23) 3.5.2设备配置留存 (24) 3.5.3定时任务配置 (25) 3.5.4动态令牌使用手册 (26) 1、证书导入 (26) 2、证书绑定 (27)

3、运维人员使用 (27) 3.6应急方案 (29) 4 系统测试 (30) 4.1 TELNET访问操作管理 (30) 4.2 SFTP访问操作管理 (30) 4.3 SSH访问操作管理 (30) 4.4 RDP访问操作管理 (31) 4.5 FTP访问操作管理 (31) 5 集中管控平台 (32) 5.1集中管控平台功能 (32) 5.2设备硬件信息 (32) 5.3软件信息 (32) 5.4地址规划 (32) 5.5部署规划 (33) 5.6集中管控平台部署 (33) 5.7系统上线需求 (33) 5.8系统安装 (34) 6 双机部署模式 (35) 6.1双机部署模式功能 (35) 6.2上线条件 (35) 6.3地址规划 (35) 6.4上线步骤 (36)

堡垒机方案

平安医院解决方案建议书 天玥网络安全审计系统V6.0 运维安全管控系统 精细控制合规审计

目录 项目概述 (3) 1安全现状分析 (3) 1.1内部人员操作的安全隐患 (3) 1.2第三方维护人员安全隐患 (3) 1.3高权限账号滥用风险 (4) 1.4系统共享账号安全隐患 (4) 1.5违规行为无法控制的风险 (4) 2运维安全管控系统方案设计 (4) 2.1建设原则 (4) 2.2总体目标 (5) 2.3建设思路 (6) 3运维管控系统解决方案 (6) 3.1系统总体设计 (6) 3.1.1系统概述 (6) 3.1.2系统组成 (7) 3.1.3技术架构 (8) 3.2系统主要功能 (9) 3.2.1用户认证与SSO (9) 3.2.2自动改密 (10) 3.2.3访问授权管理 (10) 3.2.4二次审批 (11) 3.2.5告警与阻断 (12) 3.2.6实时操作过程监控 (12) 3.2.7历史回放 (13) 3.2.8审计报表 (14) 3.2.9审计存储 (14) 3.3系统功能特点 (14) 3.3.1运维协议支持广 (14) 3.3.2对用户网络影响最小 (15) 3.3.3友好的用户交互体验 (15) 3.4系统部署 (15) 3.4.1单台部署 (16)

项目概述 随着平安医院信息化应用的迅速发展,企业内部的各种业务和经营支撑系统不断增加,网络规模也迅速扩大。由于信息系统运维人员和业务系统的管理人员掌握着系统资源管理的最高权限,一旦操作出现安全问题将会给企业带来巨大的损失,加强对运维管理人员操作行为的监管与审计成为信息安全发展的必然趋势。 在此背景之下,平安医院计划针对运维操作和业务管理与审计进行堡垒机项目建设。堡垒机提供了一套多维度的运维操作管控与审计解决方案,使得管理人员可以对网络设备、服务器、安全设备、数据库等资源进行集中账号管理、细粒度的权限管理和访问审计,帮助企业提升内部风险控制水平。 1安全现状分析 1.1内部人员操作的安全隐患 随着平安医院信息化进程不断深入,企业的业务系统变得日益复杂,由内部员工违规操作导致的安全问题变得日益突出起来。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题,但对于内部人员的违规操作却无能为力。根据FBI和CSI对484家公司进行的网络安全专项调查结果显示:超过70%的安全威胁来自公司内部,在损失金额上,由于内部人员泄密导致了6056.5万美元的损失,是黑客造成损失的16倍,是病毒造成损失的12倍。另据中国国家信息安全测评中心调查,信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪,而非病毒和外来黑客引起 1.2第三方维护人员安全隐患 平安医院在发展的过程中,因为战略定位和人力等诸多原因,越来越多的会将非核心业务外包给设备商或者其他专业代维公司。如何有效地监控设备厂

威客安全等保一体机解决方案彩页

目 录 1.等级保护简介 (2) 2.等级保护工作流程 (3) 3.等级保护安全建设 (4) 4.等保合规一体化解决方案 (5) 4.1安全超融合等保一体机 (6) 4.1.1虚拟抗拒绝服务系统 (7) 4.1.2虚拟第二代防火墙 (8) 4.1.3虚拟入侵防御系统 (9) 4.1.4虚拟Web应用防护系统 (10) 4.1.5虚拟漏洞扫描系统 (11) 4.1.6虚拟日志审计系统 (12) 4.1.7虚拟运维审计系统 (13) 4.1.8网络版杀毒软件 (14) 4.1.9数据库安全审计系统 (14) 4.2部署方案 (16) 4.3方案价值与优势 (17)

1.等级保护简介 l基本概念 信息安全等级保护(简称等保认证):是我国信息安全保障的一项基本制度,是国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护。 信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合国家要求的测评机构,依据《等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。 l法律要求 《网络安全法》第21条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改: 1.制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; 2.采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; 3.采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; 4.采取数据分类、重要数据备份和加密等措施; 5.法律、行政法规规定的其他义务。

大数据中心安全系统规划方案设计

XX数据中心信息系统安全建设项目 技术方案

目录 1.项目概述 (4) 1.1.目标与范围 (4) 1.2.参照标准 (4) 1.3.系统描述 (4) 2.安全风险分析 (5) 2.1.系统脆弱性分析 (5) 2.2.安全威胁分析 (5) 2.2.1.被动攻击产生的威胁 (5) 2.2.2.主动攻击产生的威胁 (5) 3.安全需求分析 (7) 3.1.等级保护要求分析 (7) 3.1.1.网络安全 (7) 3.1.2.主机安全 (8) 3.1.3.应用安全 (9) 3.2.安全需求总结 (9) 4.整体安全设计 (10) 4.1.安全域 (10) 4.1.1.安全域划分原则 (10) 4.1.2.安全域划分设计 (11) 4.2.安全设备部署 (12) 5.详细安全设计 (13) 5.1.网络安全设计 (13) 5.1.1.抗DOS设备 (13) 5.1.2.防火墙 (14) 5.1.3.WEB应用安全网关 (15) 5.1.4.入侵防御 (16)

5.1.5.入侵检测 (17) 5.1.6.安全审计 (18) 5.1.7.防病毒 (18) 5.2.安全运维管理 (19) 5.2.1.漏洞扫描 (19) 5.2.2.安全管理平台 (19) 5.2.3.堡垒机 (21) 6.产品列表 (21)

1.项目概述 1.1.目标与范围 本次数据中心的安全建设主要依据《信息安全技术信息安全等级保护基本要求》中的技术部分,从网络安全,主机安全,应用安全,来对网络与服务器进行设计。根据用户需求,在本次建设完毕后XX数据中心网络将达到等保三级的技术要求。 因用户网络为新建网络,所以本次建设将完全按照《信息安全技术信息安全等级保护基本要求》中技术部分要求进行。 1.2.参照标准 GB/T22239-2008《信息安全技术信息安全等级保护基本要求》 GB/T 22239-2008《信息安全技术信息安全等级保护基本要求》 GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》 GB/T 20270-2006《信息安全技术网络基础安全技术要求》 GB/T 25058-2010《信息安全技术信息系统安全等级保护实施指南》 GB/T 20271-2006《信息安全技术信息系统安全通用技术要求》 GB/T 25070-2010《信息安全技术信息系统等级保护安全设计技术要求》GB 17859-1999《计算机信息系统安全保护等级划分准则》 GB/Z 20986-2007《信息安全技术信息安全事件分类分级指南》 1.3.系统描述 XX数据中心平台共有三个信息系统:能源应用,环保应用,市节能减排应用。 企业节点通过企业信息前置机抓取企业节点数据,并把这些数据上传到XX 数据中心的数据库中,数据库对这些企业数据进行汇总与分析,同时企业节点也可以通过VPN去访问XX数据中心的相关应用。

相关文档
最新文档