銀行堡壘機(jī)實(shí)施方案計(jì)劃

PAGE37銀行分行運(yùn)維審計(jì)平臺實(shí)施方案修訂記錄/ChangeHistory日期修訂版本描述作者2016-2-16獨(dú)立實(shí)施方案，完善測試部分麒麟

目錄1文檔說明 5概述 5運(yùn)維操作現(xiàn)狀 52物理部署規(guī)劃 6設(shè)備硬件信息 6軟件信息 7系統(tǒng)LOGO 7地址規(guī)劃 7部署規(guī)劃 73應(yīng)用部署實(shí)施 8堡壘機(jī)上線說明 8設(shè)備初始化 8上架加電 9網(wǎng)絡(luò)配置 9堡壘機(jī)配置修改方式 9目錄樹調(diào)整 10設(shè)備類型添加及修改 11堡壘機(jī)用戶導(dǎo)入及用戶配置 11主機(jī)設(shè)備帳號導(dǎo)入 14系統(tǒng)帳號賦權(quán) 18應(yīng)用發(fā)布服務(wù)器添加 20堡壘機(jī)應(yīng)用發(fā)布配置 22應(yīng)用發(fā)布用戶配置 22應(yīng)用用戶組授權(quán) 23數(shù)據(jù)留存配置 24審計(jì)數(shù)據(jù)留存 24設(shè)備配置留存 25定時任務(wù)配置 26動態(tài)令牌使用手冊 271、證書導(dǎo)入 272、證書綁定 283、運(yùn)維人員使用 28應(yīng)急方案 304系統(tǒng)測試 31TELNET訪問操作管理 31SFTP訪問操作管理 31SSH訪問操作管理 32RDP訪問操作管理 32FTP訪問操作管理 325集中管控平臺 33集中管控平臺功能 33設(shè)備硬件信息 33軟件信息 33地址規(guī)劃 33部署規(guī)劃 34集中管控平臺部署 34系統(tǒng)上線需求 35系統(tǒng)安裝 356雙機(jī)部署模式 36雙機(jī)部署模式功能 36上線條件 36地址規(guī)劃 37上線步驟 37文檔說明麒麟開源堡壘機(jī)使用概述隨著我行業(yè)務(wù)范圍和營業(yè)網(wǎng)點(diǎn)的不斷延伸擴(kuò)大，各類特色業(yè)務(wù)系統(tǒng)和基礎(chǔ)網(wǎng)絡(luò)設(shè)備隨之上線運(yùn)行，切實(shí)有效的保障了各分行業(yè)務(wù)的穩(wěn)定性、安全性和靈活性。但與此同時，隨著業(yè)務(wù)系統(tǒng)應(yīng)用范圍越來越廣、數(shù)據(jù)越來越多，所需日常維護(hù)的系統(tǒng)和設(shè)備也在日益增長，科技運(yùn)維部門面臨的網(wǎng)絡(luò)、系統(tǒng)安全穩(wěn)定運(yùn)行的壓力也隨之增加。當(dāng)前運(yùn)維管理中存在的主要問題是，技術(shù)人員和維護(hù)人員的日常管理和維護(hù)都是直接登錄業(yè)務(wù)系統(tǒng)、設(shè)備進(jìn)行操作，沒有針對運(yùn)維操作進(jìn)行統(tǒng)一管理、統(tǒng)一審計(jì)、統(tǒng)一分析的系統(tǒng)，造成運(yùn)維操作沒有辦法進(jìn)行監(jiān)控分析，進(jìn)而造成內(nèi)部數(shù)據(jù)信息泄露、違規(guī)操作、惡意操作、密碼外泄等一系列重大安全隱患。隨著監(jiān)管對于日常運(yùn)維工作審計(jì)記錄的監(jiān)管需求以及XX銀行本身運(yùn)維規(guī)范化管理的需求，實(shí)現(xiàn)分行骨干設(shè)備的運(yùn)維操作的審計(jì)需求迫在眉睫。本次堡壘機(jī)項(xiàng)目使用麒麟開源堡壘機(jī)，麒麟開源堡壘機(jī)產(chǎn)品功能強(qiáng)大穩(wěn)定性高，經(jīng)過測試可以完全滿足銀行的使用需要。運(yùn)維操作現(xiàn)狀當(dāng)前分行均已部署了ACS設(shè)備，實(shí)現(xiàn)了網(wǎng)絡(luò)帳號統(tǒng)一管理、權(quán)限控制、及命令記錄功能。但因?yàn)槿鄙賹I(yè)的運(yùn)維管理系統(tǒng)，對于運(yùn)維操作的監(jiān)控，還存在一定的盲區(qū)，主要表現(xiàn)為：運(yùn)維操作方式多樣、分散，缺乏有效集中管理；運(yùn)維操作缺乏技術(shù)手段來約束；對運(yùn)維操作行為的審計(jì)方式不直觀；共享賬號的情況普遍，給訪問者定位帶來難題。物理部署規(guī)劃設(shè)備硬件信息運(yùn)維審計(jì)系統(tǒng)包括堡壘機(jī)和應(yīng)用發(fā)布服務(wù)器兩臺設(shè)備，物理參數(shù)如下：設(shè)備型號硬件參數(shù)堡壘機(jī)麒麟開源堡壘機(jī)CPU64位3G/16G內(nèi)存/2T硬盤/交流電/2U應(yīng)用發(fā)布服務(wù)器麒麟應(yīng)用發(fā)布模塊CPU64位3G/32G內(nèi)存/2T硬盤/交流電/2U軟件信息設(shè)備操作系統(tǒng)軟件版本Licenses數(shù)堡壘機(jī)Centos100000個應(yīng)用發(fā)布服務(wù)器Windowsserver2008系統(tǒng)LOGO堡壘機(jī)LOGO在安裝時，都已經(jīng)被設(shè)置為XX銀行運(yùn)維審計(jì)平臺，以與其它系統(tǒng)進(jìn)行區(qū)分。地址規(guī)劃參照分行部署規(guī)范，運(yùn)維審計(jì)堡壘機(jī)及應(yīng)用發(fā)布平臺，需要分行分配在基礎(chǔ)服務(wù)器區(qū)域，分配【】的地址，兩臺設(shè)備分別需要分配IP地址，且兩個地址需要在一個子網(wǎng)。示例如下設(shè)備名稱所屬區(qū)域產(chǎn)品型號IP堡壘機(jī)內(nèi)網(wǎng)UOM-1000A應(yīng)用發(fā)布服務(wù)器內(nèi)網(wǎng)Modul-APP-RELEAS-HW部署規(guī)劃堡壘機(jī)、應(yīng)用發(fā)布平臺各需要2U的機(jī)柜空間位置堡壘機(jī)、應(yīng)用發(fā)布平臺需要部署在基礎(chǔ)服務(wù)器接入?yún)^(qū)堡壘機(jī)、應(yīng)用發(fā)布平臺個需要2*10A電源應(yīng)用部署實(shí)施堡壘機(jī)上線說明堡壘機(jī)在發(fā)往用戶前，已經(jīng)完成如下設(shè)置:設(shè)備IP地址、網(wǎng)關(guān)、應(yīng)用發(fā)布連接設(shè)備、人員、權(quán)限關(guān)系、目錄結(jié)構(gòu)的前期調(diào)研和導(dǎo)入密碼規(guī)則策略設(shè)置數(shù)據(jù)留存策略設(shè)置堡壘機(jī)現(xiàn)場上線實(shí)施步驟包括:設(shè)備上架、加電網(wǎng)絡(luò)連通性測試系統(tǒng)功能測試現(xiàn)場培訓(xùn)注：堡壘機(jī)出廠時，已經(jīng)完成了數(shù)據(jù)導(dǎo)入、權(quán)限策略設(shè)置、應(yīng)用發(fā)布設(shè)置和IP等環(huán)境設(shè)置，如果有實(shí)時時發(fā)生更改，請按下面相應(yīng)描述章節(jié)進(jìn)行修改設(shè)備初始化上架加電設(shè)置IP地址、網(wǎng)絡(luò)掩碼、網(wǎng)管上架加電第一步、分別將堡壘機(jī)和應(yīng)用發(fā)布服務(wù)器按照部署位置，將主機(jī)安裝固定到機(jī)柜中。第二步、將隨機(jī)攜帶的電源線插到主機(jī)后面板的電源插座上。第三步、將電源線的另一端插到機(jī)柜為主機(jī)提供交流電源的插座上。網(wǎng)絡(luò)配置發(fā)貨前，堡壘機(jī)和應(yīng)用發(fā)布IP默認(rèn)已經(jīng)按客戶要求配置完畢，如果需要現(xiàn)場修改可以按如下步驟：堡壘機(jī)和應(yīng)用發(fā)布服務(wù)器網(wǎng)卡默認(rèn)IP為：設(shè)備名稱網(wǎng)卡名稱IP訪問方式堡壘機(jī)Eth0分行提供的IPhttps、ssh堡壘機(jī)Eth1/30https、ssh堡壘機(jī)管理口/30https應(yīng)用發(fā)布Eth0分行提供的IPRDP應(yīng)用發(fā)布Eth0/30RDP本次工程，堡壘機(jī)和應(yīng)用發(fā)布都要求使用eth0口，修改堡壘機(jī)和應(yīng)用發(fā)布IP時，使用eth1進(jìn)行登錄，以避免配置錯誤后無法登入，堡壘機(jī)的管理口為console，通過https訪問可以得到鍵盤顯示器的界面，如果堡壘機(jī)出現(xiàn)硬件故障或兩個網(wǎng)卡都不通時，使用管理口登錄。完成上架加電操作后，打開堡壘機(jī)的電源按鈕，堡壘機(jī)開機(jī)啟動，等待兩分鐘，啟動完成后，使用筆記本通過網(wǎng)線連接堡壘機(jī)，筆記本IP地址配置為/30后使用網(wǎng)線直接連接到堡壘機(jī)eth1口，然后使用瀏覽器打開用戶名輸入admin密碼，進(jìn)入堡壘機(jī)系統(tǒng)，在【系統(tǒng)配置】-【網(wǎng)絡(luò)配置】中修改網(wǎng)卡的IP地址信息，更改為規(guī)劃好的eth0IP地址。應(yīng)用發(fā)布IPeth1地址默認(rèn)為/30，可以直接使用mstscrdp到應(yīng)用發(fā)布服務(wù)器對IP地址進(jìn)行修改。堡壘機(jī)配置修改方式堡壘機(jī)上線，已經(jīng)完成項(xiàng)如下：目錄樹導(dǎo)入、設(shè)置堡壘機(jī)用戶導(dǎo)入表，建立主帳號設(shè)備、設(shè)備用戶導(dǎo)入，建立從帳號飛塔防火墻應(yīng)用從帳號導(dǎo)入設(shè)備授權(quán)設(shè)置到現(xiàn)場，有可能會對某些設(shè)備進(jìn)行相應(yīng)的調(diào)整，調(diào)整方法如下：目錄樹調(diào)整單擊導(dǎo)航樹中【資源管理】中的【資產(chǎn)管理】，選擇“目錄管理”頁簽，單擊“增加新節(jié)點(diǎn)”；根據(jù)所要創(chuàng)建的組類型選擇“所屬目錄”與“屬性”；系統(tǒng)已經(jīng)默認(rèn)安裝了標(biāo)準(zhǔn)的目錄結(jié)構(gòu)，只需要對目錄結(jié)構(gòu)進(jìn)行相應(yīng)的修改即可以完成本步設(shè)置圖1說明：“節(jié)點(diǎn)名”輸入節(jié)點(diǎn)的名稱，“所屬目錄”新創(chuàng)建目錄所屬那個父組；設(shè)備組目錄結(jié)構(gòu)與分行ACS一致，目錄樹可以無限級目錄，堡壘機(jī)配置前必須先將目錄樹配置完畢才能進(jìn)行用戶和設(shè)備的導(dǎo)入，用戶和設(shè)備導(dǎo)入時，必須有配置好的目錄樹。設(shè)備類型添加及修改設(shè)備類型配置，主要是加入分行有的，但堡壘機(jī)中不存在的設(shè)備類型，否則導(dǎo)入時無法寫成正確的設(shè)備類型（為了方便管理，設(shè)備類型最好不要涉及型號，只設(shè)置廠商即可，比如Cisco的2960交換機(jī)、3950交換機(jī)，可以統(tǒng)一放在Cisco類型的設(shè)備中）單擊導(dǎo)航樹中【資源管理】中的【資產(chǎn)管理】，選擇“系統(tǒng)類型”頁簽，單擊“增加”；圖2說明：“主機(jī)/網(wǎng)絡(luò)”選項(xiàng)中，主機(jī)代表操作系統(tǒng)類型設(shè)備，網(wǎng)絡(luò)代表路由交換類型設(shè)備，“系統(tǒng)類型”框中填寫設(shè)備的類型，中文、英文都支持；堡壘機(jī)用戶導(dǎo)入及用戶配置導(dǎo)入表格填寫，將附件一.運(yùn)維人員導(dǎo)入表格按如下要求進(jìn)行填寫用戶名:運(yùn)維人員登錄堡壘機(jī)時的名稱，要求唯一（必須填寫）密碼:運(yùn)維人員登錄堡壘機(jī)時的密碼（必須填寫）真實(shí)姓名：運(yùn)維人員的真實(shí)姓名（必須填寫）電子郵箱：運(yùn)維人員的電子郵箱地址（選擇填寫）用戶權(quán)限：統(tǒng)一配置為普通用戶（必須填寫）組名：目錄結(jié)構(gòu)中的資源組名稱，如果出現(xiàn)同樣名稱的資源組，則導(dǎo)入時需要用組名(id)方式，比如出現(xiàn)重名的first組，如果你想在界面中這個組加入，則組名為first(221)手機(jī)號碼：運(yùn)維人員的手機(jī)號碼（選擇填寫）工作單位：運(yùn)維人員的工作單位（選擇填寫）工作部門：運(yùn)維人員的工作部門（選擇填寫）USBKEY:為動態(tài)口令的令牌ID，如果用戶需要動態(tài)令牌，則在動態(tài)令牌列表文件中選擇一個未使用的動態(tài)令牌給用戶后面的其它選項(xiàng)：一般不需要填寫，所有的用戶按模版復(fù)制即可用戶導(dǎo)入表確認(rèn)無誤后,使用admin用戶登錄前臺，在資源管理-資產(chǎn)管理-用戶管理菜單，點(diǎn)擊右下方的導(dǎo)入按鈕在導(dǎo)入界面中，將加密的勾勾上，點(diǎn)擊瀏覽按鈕，選擇找到需要導(dǎo)入的用戶表后，點(diǎn)擊提交按鈕，即可以將所有的用戶導(dǎo)入到堡壘機(jī)中點(diǎn)入確定后，會給用戶提示，表中哪些用戶沒有導(dǎo)入成功及未成功的理由用戶導(dǎo)入后，如果有個另的用戶需要修改或添加，可以在用戶管理菜單進(jìn)行操作單擊導(dǎo)航樹中【資源管理】中的【資產(chǎn)管理】，選擇“用戶管理”頁簽，單擊“添加用戶”，填寫用戶的基本信息、權(quán)限信息及其他信息；圖3圖4 主機(jī)設(shè)備帳號導(dǎo)入主機(jī)設(shè)備帳號導(dǎo)入前提與堡壘機(jī)帳號導(dǎo)入前提一致，必須先做好目錄樹。按附件二主機(jī)設(shè)備帳號表中的要求收集分行的主機(jī)帳號設(shè)備，并且填好，主機(jī)帳號導(dǎo)入時，會自動創(chuàng)建主機(jī)主機(jī)名：主機(jī)的名稱IP主機(jī)的IP地址服務(wù)器組：服務(wù)器所屬組的ID號，因?yàn)槟夸浿性试S同名稱的組，因此，服務(wù)器組用ID號替代，可以在資產(chǎn)管理-資源管理-目錄節(jié)點(diǎn)中查看ID號，如下圖：系統(tǒng)類型：主機(jī)的操作系統(tǒng)類型，必須在第一章中添加的或系統(tǒng)自帶的中選擇添加系統(tǒng)用戶：系統(tǒng)用戶名，如果不想托管，則這項(xiàng)不填當(dāng)前密碼：系統(tǒng)播放的密碼，如果不想托管，則這項(xiàng)可以不填登錄協(xié)議：目前支持telnet/ssh1/ssh/ftp/rdp/vnc/x11，可以在這些登錄方式中選擇相應(yīng)的端口：登錄協(xié)議連接的目標(biāo)端口過期時間：這個系統(tǒng)帳號的過期時間，如果超過過期時間，則不在允許登錄自動修改密碼：是否對這個帳號進(jìn)行自動修改密碼（默認(rèn)為否）主帳號：自動修改密碼時只使用一個帳號登錄修改主機(jī)上所有的用戶密碼，如果是主帳號，則填是，主帳號一般為root權(quán)限或可以sudo為root自動登錄：默認(rèn)填是堡壘機(jī)用戶：XX項(xiàng)目中均填否Sftp用戶：如果是SSH服務(wù)，則設(shè)置這個SSH用戶是否可以使用SFTP服務(wù)，是為允許，否為不允許公私鑰用戶：如果是SSH服務(wù)，設(shè)置這個SSH用戶認(rèn)證是不是使用公私鑰方式，是或否在資源管理-資產(chǎn)管理-設(shè)備管理中，點(diǎn)擊導(dǎo)入按鈕勾上加密按鈕，并點(diǎn)擊瀏覽按鈕找到主機(jī)設(shè)備列表的表格后，點(diǎn)擊提交按鈕，會將所有的設(shè)備帳號導(dǎo)入單臺設(shè)備的添加、修改可以在設(shè)備管理菜單完成單擊導(dǎo)航樹中【資源管理】中的【資產(chǎn)管理】，選擇“設(shè)備管理”頁簽，單擊“添加”，填寫基本信息；圖5單擊導(dǎo)航樹中【資源管理】中的【資產(chǎn)管理】，選擇“設(shè)備管理”頁簽，指定設(shè)備的操作欄中單擊“用戶”，圖6單擊“添加新用戶”；圖7根據(jù)實(shí)際情況填寫下圖信息；系統(tǒng)帳號賦權(quán)堡壘機(jī)帳號（主帳號）、主機(jī)系統(tǒng)帳號（從帳號）導(dǎo)入完成后，需要進(jìn)行賦權(quán)操作，賦權(quán)后堡壘機(jī)帳號（主帳號）登錄到堡壘機(jī)才能跳轉(zhuǎn)到相應(yīng)的設(shè)備。前期設(shè)備授權(quán)關(guān)系調(diào)研表中包含所有的權(quán)限關(guān)系，按表進(jìn)行設(shè)置。賦權(quán)操作如果一個堡壘機(jī)帳號（主帳號）有大量從帳號的權(quán)限，則賦權(quán)是在系統(tǒng)用戶組菜單完成的，如果為堡壘機(jī)帳號（主帳號）臨時添加一個從帳號的賦權(quán)，則也可以在主機(jī)設(shè)備帳號菜單中完成。賦權(quán)操作最好按用戶組的方式進(jìn)行賦，即將權(quán)限相同的用戶放在同一個用戶組中，然后為這個用戶組創(chuàng)建一個系統(tǒng)用戶組，將這些用戶擁有權(quán)限的主機(jī)設(shè)備帳號都加到這個組中，然后將這個系統(tǒng)用戶組綁定給這個用戶組，如果每個用戶的權(quán)限都不一樣，也可以為單獨(dú)的用戶劃分系統(tǒng)用戶組后進(jìn)行授權(quán)。單擊導(dǎo)航樹中【資源管理】中的【授權(quán)權(quán)限】，選擇“系統(tǒng)用戶組”頁簽，單擊“添加新組”；填寫“系統(tǒng)用戶組”名，選中“未選設(shè)備”中系統(tǒng)用戶添加到“已選設(shè)備”，確定已經(jīng)選中想要賦權(quán)的堡壘機(jī)用戶組的所有系統(tǒng)帳號后，點(diǎn)擊保存；單擊導(dǎo)航樹中【資源管理】中的【授權(quán)權(quán)限】，選擇“系統(tǒng)用戶組”頁簽，單擊“操作”欄中“授權(quán)”，勾選“授權(quán)組”或“授權(quán)用戶”，配置完成單擊“保存修改”；授權(quán)后，組中的用戶或被授權(quán)的用戶，就擁有了這個系統(tǒng)用戶組中所有的主機(jī)系統(tǒng)帳號的權(quán)限。應(yīng)用發(fā)布服務(wù)器添加前提：安裝好應(yīng)用發(fā)布服務(wù)器，確定好應(yīng)用發(fā)布服務(wù)器的IP地址，并且已經(jīng)打通堡壘機(jī)訪問應(yīng)用發(fā)布服務(wù)器的TCP3389、8888端口，應(yīng)用發(fā)布服務(wù)器到堡壘機(jī)的TCP3306端口單擊導(dǎo)航樹中【資源管理】中的【資產(chǎn)管理】，選擇“設(shè)備管理”頁簽，單擊“添加”，在主機(jī)名中寫應(yīng)用發(fā)布服務(wù)器，在IP地址中寫入應(yīng)用發(fā)布服務(wù)器IP，主要類型為WINDOWS，設(shè)備組選一個用戶許可的設(shè)備組。配置完成單擊“保存修改”；為應(yīng)用發(fā)布服務(wù)器增加一個應(yīng)用發(fā)布帳號單擊導(dǎo)航樹中【資源管理】中的【應(yīng)用發(fā)布】，選擇“應(yīng)用發(fā)布”頁簽，單擊“添加”；配置完成單擊“保存修改”；單擊導(dǎo)航樹中【資源管理】中的【應(yīng)用發(fā)布】，選擇“應(yīng)用程序”頁簽，單擊“添加”；增加IE程序安裝位置；配置完成單擊“保存修改”；說明：程序地址：是應(yīng)用發(fā)布服務(wù)器上IE瀏覽器程序安裝位置；堡壘機(jī)應(yīng)用發(fā)布配置應(yīng)用發(fā)布用戶配置單擊導(dǎo)航樹中【資源管理】中的【應(yīng)用發(fā)布】，選擇“應(yīng)用發(fā)布”頁簽，單擊操作欄中“應(yīng)用發(fā)布”；單擊“添加”，填寫應(yīng)用名稱、選擇服務(wù)器及填寫被訪設(shè)備URL；配置完成單擊“保存修改”；說明：如果需要添加的設(shè)備比較多，先單擊“導(dǎo)出”，填寫導(dǎo)出表，再單擊“導(dǎo)入”；完成設(shè)備的批量添加；應(yīng)用用戶組授權(quán)單擊導(dǎo)航樹中【資源管理】中的【授權(quán)權(quán)限】，選擇“應(yīng)用用戶組”頁簽，單擊“添加新組”；添加需要的應(yīng)用用戶，單擊“保存”；單擊“綁定”；勾選綁定組或綁定用戶；單擊“保存修改”；數(shù)據(jù)留存配置審計(jì)數(shù)據(jù)留存系統(tǒng)內(nèi)置存貯為2T，通常情況下，可以夠100個運(yùn)維人員使用半年左右，所有的運(yùn)維人員操作都會被系統(tǒng)進(jìn)行留存記錄，當(dāng)2T空間滿的時候，系統(tǒng)會根據(jù)系統(tǒng)配置-系統(tǒng)參數(shù)中的配置項(xiàng)存貯無空間時操作進(jìn)行操作，如果選擇覆蓋，則會刪除早期的LOG進(jìn)行記錄，如果選擇停止操作，則系統(tǒng)將不在接受新的運(yùn)維連接請求，并且發(fā)送告警給堡壘機(jī)管理員。這里將策略設(shè)置為覆蓋舊文件。系統(tǒng)也可以使用自動刪除功能，指定自動刪除多久以前的審計(jì)數(shù)據(jù)，使用audit帳號登錄到系統(tǒng)，在自動刪除菜單中，可以指定系統(tǒng)自動刪除的周期，默認(rèn)情況下，系統(tǒng)不會自動刪除審計(jì)日志，除非指定了刪除周期并且啟動了刪除程序。點(diǎn)擊下列各種服務(wù)后面的編輯按鈕，在彈出的對話框中填入希望自動刪除的周期，點(diǎn)保存即可。系統(tǒng)出廠時默認(rèn)為刪除一年前的日志，建議按默認(rèn)的配置。系統(tǒng)可以將錄相文件及配置信息自動定時同步到遠(yuǎn)端服務(wù)器上，使用admin登錄，在系統(tǒng)管理-數(shù)據(jù)同步菜單，點(diǎn)新建按鈕，按下面要求輸入信息，系統(tǒng)即會將審計(jì)錄相和配置信息進(jìn)行自動同步，同步方式為增量同步，每天凌晨進(jìn)行同步。設(shè)備配置留存系統(tǒng)配置可以使用手工備份和自動備份二種模式。手工備份在系統(tǒng)管理-配置備份菜單，點(diǎn)擊生成備份按鈕，即可以將配置手工備份到本機(jī)，如果想要恢復(fù)時，點(diǎn)擊恢復(fù)將下載的備份文件上傳即可以進(jìn)行恢復(fù)。在系統(tǒng)管理-數(shù)據(jù)同步菜單，點(diǎn)擊新建，在同步模式中選擇資產(chǎn)權(quán)限，即可以實(shí)現(xiàn)自動備份，輸入備份目標(biāo)服務(wù)器IP、SSH端口、用戶名、密碼及備份目錄后，系統(tǒng)會每天一次將備份文件上傳到備份目標(biāo)服務(wù)器。定時任務(wù)配置系統(tǒng)自動刪除、自動備份等操作，默認(rèn)情況下，服務(wù)都未啟動，如果想要讓配置的參數(shù)生效，必須在定時任務(wù)中將服務(wù)啟動。在菜單系統(tǒng)配置-系統(tǒng)管理-定時任務(wù)中，可以配置自動備份、自動刪除啟動時間周期。以審計(jì)文件備份為例，如果服務(wù)后面的勾勾上，表示服務(wù)為啟動狀態(tài)，如果未勾，則表示服務(wù)為未啟動狀態(tài)，備份調(diào)度表示服務(wù)啟動的周期，如果為*號表示每次都啟動，如下例中，審計(jì)備份文件每天晚上1點(diǎn)5分會啟動進(jìn)行備份。動態(tài)令牌使用手冊系統(tǒng)內(nèi)置動態(tài)令牌系統(tǒng)，可以使用動態(tài)口令進(jìn)行登錄，動態(tài)令牌目前運(yùn)行硬件Usbkey令牌和手機(jī)令牌二種模式，手機(jī)令牌目前支持Apple手機(jī)和安卓二種系統(tǒng)。動態(tài)令牌使用需要先將令牌證書導(dǎo)入，令牌證書導(dǎo)入后，在將令牌與相應(yīng)的用戶綁定起來，即可以使用，手機(jī)令牌用戶還需要安裝手機(jī)令牌軟件。1、證書導(dǎo)入其它-usbkey列表菜單，點(diǎn)擊最下方的導(dǎo)入USBKEY按鈕打開USBKEY導(dǎo)入界面，先點(diǎn)擊瀏覽找到證書位置，在點(diǎn)提交，即可以將所有證書導(dǎo)入到堡壘機(jī)中。2、證書綁定證書導(dǎo)入后，需要將證書綁定給相應(yīng)的用戶，用戶綁定后，即必須使用靜態(tài)密碼+動態(tài)密碼的登錄方式，新建用戶或點(diǎn)編輯用戶，在動態(tài)口令卡找到為用戶綁定的動態(tài)口令卡ID，點(diǎn)確定按鈕即完成綁定，注意用戶與口令卡是一對一的關(guān)系。3、運(yùn)維人員使用綁定以后運(yùn)維人員登錄堡壘機(jī)頁面或使用工具直接登錄必須使用靜態(tài)口令+動態(tài)口令為密碼來進(jìn)行登錄，令牌分為USBKEY令牌與手機(jī)令牌二種。USBKEY令牌使用方式：將USBKEY令牌插入電腦USBKEY口，即可以出現(xiàn)一個名稱為動態(tài)口令U盤，雙擊里面的程序，即可以令牌程序令牌的初始密碼為123456，輸入密碼后電腦右上角即可以出現(xiàn)令牌的懸浮窗口，可以用鼠標(biāo)點(diǎn)右鍵方式對密碼進(jìn)行復(fù)制粘貼手機(jī)令牌使用方式：安卓手機(jī)只需要使用手機(jī)助手將附件3中的token-app軟件復(fù)制到手機(jī)上，點(diǎn)擊安裝即可完成安裝。蘋果手機(jī)使用瀏覽器打開連接打開后，會彈出程序安裝界面如下：點(diǎn)擊installapplication即可完成安裝，蘋果手機(jī)安裝完畢后，需要在設(shè)置-通用-描述文件添加對FindToken的信任才能使用動態(tài)令牌。手機(jī)令牌用戶首次登錄時，登錄成功后會進(jìn)入一個二維碼界面，二維碼中間含有用戶動態(tài)口令密鑰信息，用戶需要打開APP，APP首次登錄密碼為123456，登錄修改密碼后，點(diǎn)擊APP上方的二維碼掃描按鈕，開啟攝像頭掃描二維碼，二維碼掃描后，手機(jī)的APP會出現(xiàn)動態(tài)口令顯示界面，每15秒產(chǎn)生一個動態(tài)口令，用戶將一個動態(tài)口令輸入到手機(jī)二維碼驗(yàn)證頁面下方的動態(tài)口令TEXT，成功后，系統(tǒng)會退出，以后用戶登錄需要使用靜態(tài)口令+手機(jī)生成的動態(tài)口令才能登錄。應(yīng)急方案因本方案以單機(jī)方式部署，且堡壘機(jī)本身不具備bypass功能。當(dāng)堡壘機(jī)發(fā)生故障時，管理員登錄到應(yīng)用發(fā)布服務(wù)器，創(chuàng)建一個共用帳號發(fā)給運(yùn)維人員登錄使用，運(yùn)維人員使用終端通過公用帳號RDP到應(yīng)用發(fā)布服務(wù)器上，在應(yīng)用發(fā)布服務(wù)器上打開運(yùn)維工具進(jìn)行運(yùn)維。堡壘機(jī)恢復(fù)后，刪除應(yīng)用發(fā)布服務(wù)器共用帳號。應(yīng)用發(fā)布服務(wù)器發(fā)生故障時，分行提供一臺其它windows2003或2008服務(wù)器，在這臺服務(wù)器上創(chuàng)建一個共用帳號，在堡壘機(jī)上添加這個共用帳號，并且把這個共用帳號授權(quán)給所有運(yùn)維人員，運(yùn)維人員需要使用應(yīng)用發(fā)布時，先通過堡壘機(jī)登錄到備用Windows服務(wù)器上，打開相應(yīng)的工具進(jìn)行運(yùn)維。系統(tǒng)測試TELNET訪問操作管理點(diǎn)擊“資源管理”-“資產(chǎn)管理”，進(jìn)入設(shè)備列表項(xiàng)，找到Linux設(shè)備，為Linux設(shè)備建立一個telnet帳號，并且將這個帳號與test運(yùn)維帳號進(jìn)行綁定使用test帳號登錄運(yùn)維監(jiān)管系統(tǒng)，可以看到上步建立的telnet系統(tǒng)帳號，點(diǎn)擊右側(cè)的putty進(jìn)行登錄，可以以telnet方式登錄到Linux系統(tǒng)在系統(tǒng)里運(yùn)行一些命令退出用超級管理員登錄監(jiān)管系統(tǒng)，在行為操作審計(jì)中可以查看到剛才的訪問，并且二種展現(xiàn)方式“查看”、“Putty”都能正常顯示操作結(jié)果或者過程。SFTP訪問操作管理點(diǎn)擊“資源管理”-“資產(chǎn)管理”，進(jìn)入設(shè)備列表項(xiàng)，找到Linux設(shè)備，為Linux設(shè)備建立一sftp帳號，并且將這個帳號與test運(yùn)維帳號進(jìn)行綁定使用test帳號登錄運(yùn)維監(jiān)管系統(tǒng)，可以看到上步建立的sftp系統(tǒng)帳號，點(diǎn)擊右側(cè)的winscp進(jìn)行登錄，可以以sftp方式登錄到Linux系統(tǒng)將一個文件從本地上傳到Linux系統(tǒng)后退出用超級管理員登錄監(jiān)管系統(tǒng)，在行為操作審計(jì)中可以查看到剛才的訪問，并且二種展現(xiàn)方式“查看”可以看到剛才上傳的文件名，點(diǎn)擊下載可以將文件下載到本地SSH訪問操作管理1. 點(diǎn)擊“資源管理”-“資產(chǎn)管理”，進(jìn)入設(shè)備列表項(xiàng)，找到Linux設(shè)備，為Linux設(shè)備建立一個ssh帳號，并且將這個帳號與test運(yùn)維帳號進(jìn)行綁定2. 使用test帳號登錄運(yùn)維監(jiān)管系統(tǒng)，可以看到上步建立的telnet系統(tǒng)帳號，點(diǎn)擊右側(cè)的putty進(jìn)行登錄，可以以ssh方式登錄到Linux系統(tǒng)3. 在系統(tǒng)里運(yùn)行一些命令退出4. 用超級管理員登錄監(jiān)管系統(tǒng)，在行為操作審計(jì)中可以查看到剛才的訪問，并且二種展現(xiàn)方式“查看”、“Putty”都能正常顯示操作結(jié)果或者過程。RDP訪問操作管理點(diǎn)擊“資源管理”-“資產(chǎn)管理”，進(jìn)入設(shè)備列表項(xiàng)，找到Windows2003或2008設(shè)備，為設(shè)備建立一個rdp(2008選擇rdp2008)帳號，并且將這個帳號與test運(yùn)維帳號進(jìn)行綁定使用test帳號登錄運(yùn)維監(jiān)管系統(tǒng)，可以看到上步建立的telnet系統(tǒng)帳號，點(diǎn)擊右側(cè)的“本”地進(jìn)行登錄，可以以RDP方式登錄到系統(tǒng)在系統(tǒng)里運(yùn)行一些操作退出用超級管理員登錄監(jiān)管系統(tǒng)，在行為操作審計(jì)中可以查看到剛才的訪問，并且點(diǎn)擊右側(cè)“本地”都能正常顯示操作結(jié)果或者過程。FTP訪問操作管理1. 點(diǎn)擊“資源管理”-“資產(chǎn)管理”，進(jìn)入設(shè)備列表項(xiàng)，找到Linux設(shè)備，為Linux設(shè)備建立一ftp帳號，并且將這個帳號與test運(yùn)維帳號進(jìn)行綁定2. 使用test帳號登錄運(yùn)維監(jiān)管系統(tǒng)，可以看到上步建立的ftp系統(tǒng)帳號，點(diǎn)擊右側(cè)的winscp進(jìn)行登錄，可以以ftp方式登錄到Linux系統(tǒng)3. 將一個文件從本地上傳到Linux系統(tǒng)后退出4. 用超級管理員登錄監(jiān)管系統(tǒng)，在行為操作審計(jì)中可以查看到剛才的訪問，并且二種展現(xiàn)方式“查看”可以看到剛才上傳的文件名，點(diǎn)擊下載可以將文件下載到本地集中管控平臺集中管控平臺功能集中管控平臺可以實(shí)現(xiàn)在一個界面上管理多臺堡壘機(jī)，將堡壘機(jī)納入集中管控平臺管理以后，管理員可以直接在集中管控平臺上對堡壘機(jī)的資產(chǎn)、權(quán)限進(jìn)行設(shè)置，并且可以在集中管控平臺上輸出各種報表，不需要在到每一臺堡壘機(jī)上進(jìn)行操作，大大減化了操作過程。同時對于運(yùn)維人員，也不需要記錄多臺堡壘機(jī)IP和帳號，只需要登錄到集中管控平臺，就可以看到自己能登錄的所有設(shè)備，也減化了運(yùn)維人員的操作過程。設(shè)備硬件信息集中管控平臺物理參數(shù)如下：設(shè)備型號硬件參數(shù)集中管控平臺UOM-MGT-3000CPU64位3G/32G內(nèi)存/2T硬盤/交流電/2U軟件信息設(shè)備操作系統(tǒng)軟件版本Licenses數(shù)集中管控平臺Centos200個地址規(guī)劃兩臺設(shè)備分別需要分配3個IP地址，且三個地址需要在一個子網(wǎng)，其中二個IP地址為管理地址，一個IP地址為HA地址，HA地址為用戶訪問地址，二臺設(shè)備使用NRRP協(xié)議對HA地址進(jìn)行管理，當(dāng)主服務(wù)器出現(xiàn)問題時，HA地址會自動飄移到從服務(wù)器。設(shè)備名稱所屬區(qū)域IP掩碼網(wǎng)關(guān)主服務(wù)器總行從服務(wù)器總行HA地址總行部署規(guī)劃設(shè)備為2U每臺需要2*10A電源450W功率集中管控平臺部署集中管控平臺部署在XX銀行總部，使用HA架構(gòu)解決單點(diǎn)故障，集中管控平臺主要用于總部管理人員進(jìn)行報表輸出和分析，同時，總部有一些運(yùn)維人員需要跨多個省進(jìn)行運(yùn)維操作時，也可以通過集中管控平臺。集中管控平臺共計(jì)二臺，采用HA架構(gòu)，二臺集中管控平臺使用NRRP協(xié)議共同使用一個熱備份IP，當(dāng)主服務(wù)器出現(xiàn)問題時，從服務(wù)器會自動將熱備份IP切換到本機(jī)，進(jìn)行服務(wù)接管，以保證不會出現(xiàn)單點(diǎn)故障。系統(tǒng)上線需求集中管控平臺需要與各分行堡壘機(jī)進(jìn)行交互訪問，并且與總行運(yùn)維人員、總行管理人員終端進(jìn)行交互訪問，不需要與分行服務(wù)器進(jìn)行交互訪問，訪問策略如下：集中管控平臺訪問策略需求明細(xì)源地址目的地址端口方向描述集中管控平臺各分行堡壘機(jī)SNMP單向狀態(tài)獲取集中管控平臺各分行堡壘機(jī)TCP3306單向數(shù)據(jù)獲取集中管控平臺各分行堡壘機(jī)TCP443單向WebPortal命令傳送集中管控平臺各分行應(yīng)用發(fā)布SNMP單向狀態(tài)獲取總行運(yùn)維終端集中管控平臺TCP443單向WEB訪問總行運(yùn)維終端相應(yīng)分行堡壘機(jī)TCP20、21、22、23、3389、590X單向訪問目標(biāo)服務(wù)器ftp、ssh、telnet、rdp、vnc、x11，如果沒有相應(yīng)的服務(wù)可以關(guān)閉相應(yīng)的端口系統(tǒng)安裝