產(chǎn)品安裝調(diào)試實(shí)施計(jì)劃方案

...wd......wd......wd...網(wǎng)神SecFox-LAS-BH運(yùn)維審計(jì)系統(tǒng)產(chǎn)品安裝調(diào)試實(shí)施方案一部署構(gòu)造網(wǎng)神SecFox-LAS-BH運(yùn)維審計(jì)系統(tǒng)提供了靈活的部署方式，既可以采取串連模式，也可以采用單臂模式接入到企業(yè)內(nèi)部網(wǎng)絡(luò)中，可按照企業(yè)網(wǎng)絡(luò)架構(gòu)的實(shí)際情況靈活接入。采用串連模式部署時(shí)，網(wǎng)神SecFox-LAS-BH運(yùn)維審計(jì)系統(tǒng)具備一定程度上的網(wǎng)絡(luò)控制的功能，可提高核心服務(wù)器訪問(wèn)的安全性；采用單臂旁路模式部署時(shí)，不改變網(wǎng)絡(luò)拓?fù)洌惭b調(diào)試過(guò)程簡(jiǎn)單，僅需要為系統(tǒng)分配一個(gè)IP，并確保該地址與需要運(yùn)維的主機(jī)IP可達(dá)，協(xié)議可訪問(wèn)。維護(hù)人員維護(hù)被管服務(wù)器或者網(wǎng)絡(luò)設(shè)備時(shí)，首先以WEB方式登錄堡壘主機(jī)，然后通過(guò)堡壘主機(jī)上展現(xiàn)的訪問(wèn)資源列表直接訪問(wèn)授權(quán)資源。不管運(yùn)維人員以何種方式〔局域網(wǎng)直連、VPN、ADSL撥號(hào)等〕訪問(wèn)網(wǎng)神SecFox-LAS-BH運(yùn)維審計(jì)系統(tǒng)，只要保證運(yùn)維工作站與網(wǎng)神SecFox-LAS-BH運(yùn)維審計(jì)系統(tǒng)路由可達(dá)即可。網(wǎng)神SecFox-LAS-BH運(yùn)維審計(jì)系統(tǒng)部署采用分區(qū)域、分安全域部署，根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境，每個(gè)安全域部署一臺(tái)〔套〕，采用“分布式部署，集中式管理〞模式，即“物理分布，邏輯集中〞。1.1區(qū)域內(nèi)部署網(wǎng)神SecFox-LAS-BH運(yùn)維審計(jì)系統(tǒng)單臂部署邏輯圖：網(wǎng)神SecFox-LAS-BH運(yùn)維審計(jì)系統(tǒng)單臂旁路部署物理圖：如圖，網(wǎng)神SecFox-LAS-BH運(yùn)維審計(jì)系統(tǒng)旁路部署在被管服務(wù)器區(qū)的訪問(wèn)路徑上，通過(guò)防火墻或者交換機(jī)的訪問(wèn)控制策略限定只能由內(nèi)控堡壘主機(jī)直接訪問(wèn)服務(wù)器的遠(yuǎn)程維護(hù)端口。網(wǎng)神SecFox-LAS-BH運(yùn)維審計(jì)系統(tǒng)串聯(lián)部署模式圖：如圖，網(wǎng)神SecFox-LAS-BH運(yùn)維審計(jì)系統(tǒng)串聯(lián)部署在被管服務(wù)器區(qū)的訪問(wèn)路徑上，運(yùn)維區(qū)域和被管服務(wù)器資源區(qū)不在同一個(gè)網(wǎng)絡(luò)區(qū)域內(nèi)，相互隔離；被管資源通過(guò)交換機(jī)集中連接內(nèi)控堡壘主機(jī)的管理口，管理運(yùn)維人員通過(guò)訪問(wèn)網(wǎng)神SecFox-LAS-BH運(yùn)維審計(jì)系統(tǒng)的運(yùn)維管理地址，對(duì)被管資源進(jìn)展運(yùn)維管理。1.2分布式部署網(wǎng)神SecFox-LAS-BH運(yùn)維審計(jì)系統(tǒng)分布部署圖：如圖，以IDC機(jī)房運(yùn)維為例，在分布在各地的IDC機(jī)房?jī)?nèi)視其網(wǎng)絡(luò)安全域劃分情況部署網(wǎng)神SecFox-LAS-BH運(yùn)維審計(jì)系統(tǒng)。運(yùn)維人員只需登陸被管資源所屬的網(wǎng)神SecFox-LAS-BH運(yùn)維審計(jì)系統(tǒng)即可對(duì)該資源進(jìn)展運(yùn)維操作。二上線配置在地址欄上輸入系統(tǒng)URL。例如：s://ip系統(tǒng)默認(rèn)的超級(jí)管理員的帳號(hào)：admin，密碼：admin123。網(wǎng)神SecFox-LAS-BH運(yùn)維審計(jì)系統(tǒng)啟用后，應(yīng)及時(shí)修改口令，以免被非法登錄。2.1上線前準(zhǔn)備需要在維護(hù)工作站上安裝以下軟件、工具：2.1.1安裝SSO工具使用SSO安裝程序安裝單點(diǎn)登錄工具。安裝成功后可以在“控制面板〞中的“添加、刪除程序〞中顯示：注意：如維護(hù)工作站的瀏覽器版本為IE8.0，需要在其“Internet選項(xiàng)〞中把網(wǎng)神SecFox-LAS-BH運(yùn)維審計(jì)系統(tǒng)WEB訪問(wèn)地址參加“可信站點(diǎn)〞，并把“信任站點(diǎn)〞的安全級(jí)別設(shè)為“低級(jí)〞。2.2建設(shè)目錄樹(shù)及主帳號(hào)〔自然人〕創(chuàng)立主帳號(hào)創(chuàng)立由部署人員配合安全管理員，采用超級(jí)用戶添加不同用戶〔自然人〕。2.2.1“目錄樹(shù)〞實(shí)施建議目錄樹(shù)設(shè)計(jì)如下：結(jié)合實(shí)際環(huán)境，將目錄樹(shù)按照登錄人員和資源分別進(jìn)展分組。服務(wù)器類(lèi)：所有服務(wù)器主機(jī)參加該組。Win服務(wù)器：所有Windows主機(jī)參加該組。Unix服務(wù)器：所有Unix數(shù)據(jù)庫(kù)資源參加改組。發(fā)布服務(wù)器：發(fā)布服務(wù)器參加改組。交換機(jī)組：所有交換機(jī)類(lèi)網(wǎng)絡(luò)設(shè)備參加該組。核心交換機(jī)：所有核心交換機(jī)參加該組。樓層交換機(jī)：所有樓層交換機(jī)參加該組。2.3“主賬號(hào)〞實(shí)施建議結(jié)合實(shí)際情況，給每個(gè)使用人員分配一個(gè)單獨(dú)的“主賬號(hào)〞，主賬號(hào)ID〔即登錄網(wǎng)神SecFox-LAS-BH運(yùn)維審計(jì)系統(tǒng)賬號(hào)〕為人員姓全拼+名字首字母，新建時(shí)全部配置成初始化口令，初始化口令為“123123〞。這樣，使用人員首次登錄網(wǎng)神SecFox-LAS-BH運(yùn)維審計(jì)系統(tǒng)時(shí)必須進(jìn)展密碼重置〕。2.4資源及資源從帳號(hào)創(chuàng)立資源及資源從帳號(hào)創(chuàng)立由部署人員配合系統(tǒng)管理員，采用系統(tǒng)管理員添加被管資源及被管資源上的從帳號(hào)。2.4.1“資源創(chuàng)立〞實(shí)施建議分步分批參加被管資源，前期先把“網(wǎng)絡(luò)設(shè)備〞參加。穩(wěn)定運(yùn)行后再分步參加其他所有資源。2.4.1.1“資源從帳號(hào)創(chuàng)立〞實(shí)施建議根據(jù)調(diào)研表確定所有設(shè)備都有哪些從帳號(hào)，可以以什么協(xié)議登錄。調(diào)研清楚后對(duì)資源從帳號(hào)進(jìn)展添加。2.5管理角色的創(chuàng)立由部署人員根據(jù)用戶實(shí)際環(huán)境與相關(guān)管理制度在目錄樹(shù)相應(yīng)分組中建設(shè)各種角色，例如系統(tǒng)管理員、資源管理員、審計(jì)員等各種角色。將新建的角色授予自然人，完成內(nèi)部授權(quán)過(guò)程。授權(quán)后，自然人只具備角色所在分組的分組管理權(quán)限，滿足各部門(mén)資源由各部門(mén)自行管理的要求。2.5.1“角色〞實(shí)施建議調(diào)研所有使用人員的內(nèi)部使用權(quán)限，然后定義出角色，將角色授予相應(yīng)的主帳號(hào)。2.6對(duì)主帳號(hào)授權(quán)由部署人員配合安全管理員按照賬號(hào)使用情況對(duì)主帳號(hào)進(jìn)展授權(quán)，將資源上已經(jīng)建設(shè)的從帳號(hào)授權(quán)給用戶主帳號(hào)。主賬號(hào)系統(tǒng)角色授權(quán)為空，則其只具備一般運(yùn)維人員權(quán)限。2.6.1授權(quán)實(shí)施建議根據(jù)調(diào)研表確定所有資源的從帳號(hào)哪些在使用，都誰(shuí)在使用，哪些從帳號(hào)已經(jīng)不再使用。調(diào)研清楚后對(duì)主帳號(hào)進(jìn)展授權(quán)。對(duì)于不再使用的從帳號(hào)要統(tǒng)計(jì)核實(shí)，確實(shí)不再使用的要做刪除處理。2.7配置策略添加主機(jī)命令策略、訪問(wèn)時(shí)間策略、訪問(wèn)地址策略、帳號(hào)鎖定策略、密碼策略等。將新建的策略分配到自然人帳號(hào)和資源帳號(hào)，實(shí)現(xiàn)對(duì)資源訪問(wèn)的細(xì)粒度控制。2.7.1通用策略實(shí)施建議通用策略包括：訪問(wèn)鎖定策略和密碼策略。訪問(wèn)鎖定策略建議配置：密碼輸入錯(cuò)誤三次自動(dòng)鎖定，鎖定時(shí)間為十分鐘。密碼策略建議配置：密碼長(zhǎng)度為八位，必須包含字母和數(shù)字。所有主帳號(hào)均配置這兩個(gè)通用策略。2.8訪問(wèn)控制策略實(shí)施建議訪問(wèn)控制策略包括：主機(jī)命令策略，訪問(wèn)時(shí)間策略，訪問(wèn)地址策略。根據(jù)調(diào)研表確定所有主帳號(hào)訪問(wèn)資源時(shí)需要配置什么策略。調(diào)研清楚后再應(yīng)用策略。策略配置可以等上面步驟穩(wěn)定運(yùn)行后再配置使用。在上線配置完成后，就可以進(jìn)入試運(yùn)行階段。在試運(yùn)行階段，用戶可以將正常辦公的內(nèi)容轉(zhuǎn)移到網(wǎng)神SecFox-LAS-BH運(yùn)維審計(jì)系統(tǒng)中來(lái)完成，從而熟悉網(wǎng)神SecFox-LAS-BH運(yùn)維審計(jì)系統(tǒng)的基本功能。在此階段可以不用增加限制策略，當(dāng)充分熟悉網(wǎng)神SecFox-LAS-BH運(yùn)維審計(jì)系統(tǒng)運(yùn)行流程后再進(jìn)展限制。此階段可兼顧正常業(yè)務(wù)的訪問(wèn)〔不要切斷正常業(yè)務(wù)的訪問(wèn)路徑〕，以免出現(xiàn)問(wèn)題。一個(gè)處處像別人說(shuō)明自己優(yōu)秀的，恰恰證明了他〔她〕并不優(yōu)秀，或者說(shuō)缺什么，便炫耀什么。真正的優(yōu)秀，并不是指一個(gè)人完美無(wú)缺，偶像般的光芒四射。而是要真實(shí)地活著，真實(shí)地愛(ài)著。對(duì)生活飽有熱情，滿足與一些小確幸，也要經(jīng)得起誘惑，耐得住寂寞，內(nèi)心始終如孩童般的純真。要知道，你走的每一步，都是為了遇見(jiàn)更好的自己，都是為了不辜負(fù)所有的好年華。一個(gè)真實(shí)的人，一定也是個(gè)有擔(dān)當(dāng)?shù)?。不管身處何地，居于何種逆境，他〔她〕們都不會(huì)畏懼坎坷和暴風(fēng)雨的襲擊。因?yàn)橹阑钪囊饬x，就是真實(shí)的直面風(fēng)浪。生而為人，我們可以失敗，卻不能敗的沒(méi)有風(fēng)骨，甚至連挑戰(zhàn)的資格都不敢有。人當(dāng)如玉，無(wú)骨不去其身。生于塵，立于世，便該有一顆寬厚仁德之心，便有一份容天下之事的氣度。一個(gè)真實(shí)的人，但是又不會(huì)過(guò)于執(zhí)著。因?yàn)槎?，水至清則無(wú)魚(yú)，人至察則無(wú)徒的道理。完美主義者最大的悲哀，就是活得不真實(shí)，不知道審時(shí)度勢(shì)，適可而止。一扇窗，推開(kāi)是艷陽(yáng)天，關(guān)閉，也要安暖向陽(yáng)。不煩不憂，該來(lái)的就用心珍惜，坦然以對(duì)；要走的就隨它去，無(wú)怨無(wú)悔。人活著，就是在修行，最大的樂(lè)趣，就是從痛苦中尋找快樂(lè)。以積極的狀態(tài)，過(guò)好每一天，生活不完美，我們也要向美而生。一個(gè)真實(shí)的人，一定是懂愛(ài)的。時(shí)光的旅途中，大多數(shù)都是匆匆擦肩的過(guò)客。只有那么微乎其微的人，才可以相遇，結(jié)伴同行。而這樣的結(jié)伴一定又是基于志趣相投，心性相近的品性。最好的愛(ài)，不是在于共富貴，而是可以共患難，就像一對(duì)翅膀，只有相互擁抱著才能飛翔。愛(ài)似琉璃，正是因?yàn)榧兇飧蓛簦徽慈舅资赖拿?。懂?ài)的人，一定是真實(shí)的人。正是因?yàn)槎谜鎼?ài)的不易，所以更是以真面目面對(duì)彼此，十指緊扣，甘愿與愛(ài)的人把世間各種風(fēng)景都看透，無(wú)論風(fēng)雨，安暖相伴。一個(gè)真實(shí)的人，定然是有著大智慧的。