堡垒机实施方案.docx

堡垒机实施方案.docx

《堡垒机实施方案.docx》由会员分享，可在线阅读，更多相关《堡垒机实施方案.docx（24页珍藏版）》请在冰豆网上搜索。

堡垒机实施方案

技术部分

11投标方案

技术解决方案

项目概述

中国银行业监督管理委员会（以下简称银监会）是政府部门的重要组成机构，是国家金融行业的监督、管理、指导单位。

近年来，金融行业信息系统随着银行业金融机构的业务发展而迅速发展，信息科技已经成为银行业金融机构实现经营战略和业务运营的基础平台以及金融创新的重要手段。

银行业对信息科技的高度依赖，使得信息技术系统的安全性、可靠性和有效性直接关系到整个银行业的安全和金融体系的稳定。

各种权威的网络安全调查结果均表明，在可统计的安全事件中，70%以上均与内部人员有关，这其中既包括恶意行为（越权访问、恶意破坏、数据窃取），也包括各种非主观故意引起的非恶意行为（误操作、权限滥用）。

由此可见，规范内部人员的访问行为，特别是核心系统（主机、网络设备、安全设备、数据库等）的维护行为已经势在必行。

因此，2012年银监会内部启动了系统用户集中管控系统建设，通过部署运维用户集中管控系统，建立运维用户的集中授权、监控、管理、审计体系，加强信息安全的内部控制与管理能力，规范信息系统运行和操作管理过程，确保银监会信息系统的安全运行。

谐润运维管理审计系统是新一代运维安全审计产品，它能够对运维人员的访问过程进行细粒度的授权、全过程的操作记录及控制、全方位的操作审计、并支持事后操作过程回放功能，实现运维过程的“事前预防、事中控制、事后审计”，在简化运维操作的同时，全面解决各种复杂环境下的运维安全问题，提升企业IT运维管理水平。

需求分析

银监会对运维用户管控系统的需求如下：

1）管理对象应能够实现对银监会现有的服务器系统（Windows、Unix、Linux）、网络设备（Cisco、华为）、数据库系统（DB2、Oracle、SqlServer、Mysql）、应用系统（WAS、Weblogic）等；

2）应能够实现对机关内部、外围运维人员的访问及操作权限细粒度授权，限制用户违规访问、违规操作的能力；

3）实现全面的运维操作审计能力；

4）实现对服务器、网络设备的自动改密功能；

5）实现单点登录，并与CA系统进行整合，实现双因素认真；

6）系统部署不应影响业务系统的稳定运行，且不增加运维人员访问过程的复杂程度；

7）完善的自我管理功能，设备自身稳定、高效、易于维护。

项目建设目标

项目总体目标旨在通过对服务器操作系统、数据库、中间件及网络设备、安全设备等IT基础设施的账号及其密码进行集中控制与管理，通过账号权限的严格授权和管理，实现对设备的安全访问和管理行为的审计，达到IT系统安全生产，并满足内控审计要求的目的。

具体目标如下：

本项目中的用户集中管控系统包括1套堡垒机（含1台堡垒主机、1台应用托管中心）和1台日志服务器，堡垒主机是运维管理人员进行运维操作的统一接入点，用户集中管控产品需通过开发升级兼容银监会CA系统颁发的密钥，以实现管理用户的双因素认证。

实现在SSO（单点登录）系统总体架构下，完成对系统账号的集中认证、集中授权与集中审计，审计日志集中存储于独立的日志服务器。

实施范围

本项目在银监会机关（北京）进行部署，对100台本地或外地服务器和网络设备（每个设备可能存在错咯操作系统、数据库和中间件管理用户）进行集中管理，用户范围主要为银监会机关本地或外地运维用户。

方案设计原则

（1）体系化设计原则

必须分析信息网络的层次关系，遵循先进的安全理念，遵照科学的安全体系和安全框架，并根据安全体系分析存在的各种安全风险，从而最大限度地避免可能存在的安全问题。

（2）可控性原则

采取的技术手段需达到安全可控的目的，技术解决方案涉及的工程实施应具有可控性。

（3）系统性、均衡性、综合性设计原则

从全系统出发，综合考虑各种安全风险，采取相应的安全措施，根据风险的大小，采取不同强度的安全措施，提供具有最优的性能价格比的安全解决方案。

（4）可行性、可靠性原则

必须保证在工程实施期间，不会对用户方的现有网络和应用系统有大的影响。

在保证网络和应用系统正常运转的前提下，提供最优安全保障。

（5）标准性原则

安全系统的设计、实施以及产品的选择以相关国际国家安全管理、安全控制、安全规程为参考依据，包括ISO17799、《GB/T信息系统安全保障评估框架》等。

（6）投资保护原则

对用户方已经存在的网络安全系统设备进行有效的利用，保护已有投资。

（7）最小影响原则

方案设计及实施时，遵循对信息系统影响最小原则，尽可能地采用对网络、系统、应用影响小技术手段，对现有系统不产生干扰，保护现有系统。

（8）易操作性原则

安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。

产品选型

根据本项目的实际需求，报价人推荐使用谐润运维管理审计系统SR-Fort-1000型产品。

产品硬件配置清单如下：

产品名称

运维管理审计系统SR-Fort-1000

应用托管中心

SR-AppBox-1000

外观大小

2U

2U

满配最大重量

30KG

30KG

最大功耗

500W

500W

MTBF

>=20000小时

>=20000小时

CPU

两颗INTELXeon3440@

两颗INTELXeon3440@

内存

16GB

16GB

存储空间

1TB，支持Raid1

1TB，支持Raid1

电源

双电源冗余

双电源冗余

外接存储

支持

支持

网络接口

100/1000M*2RJ45,可扩展

100/1000M*2RJ45,可扩展

最大管理设备数量

≥3000台

≥3000台

实时并发数

≥250个图形会话，≥1500个字符会话

≥250个图形会话，≥1500个字符会话

默认License数量

1500个

1500个

协议支持

SSH、Tenet、RDP、VNC、FTP、SFTP

http、https、MySql、Sql-Server、Oracle、DB2等

网线

标准网线2条

标准网线2条

产品部署

谐润运维管理审计系统支持多种部署方式，在本项目中，考虑到银监会的实际需求，我们将采用旁路部署方式。

部署示意图如下所示：

日志服务器

谐润运维管理审计系统部署示意图

部署时，谐润运维管理审计系统旁路接入网络，只需要1个独立的IP即可，保证堡垒主机能够通过网络连接被管理资源提供远程运维服务的端口，应用托管中心与堡垒主机做直连，通过堡垒主机NAT转换技术使应用托管中心能够访问网络中的资源。

若堡垒主机和被管理资源之间存在防火墙，则需要在增加或修改防火墙的策略，防火墙的策略增加或修改如下：

源地址：

堡垒主机IP，源端口：

any，目标地址：

被管理资源IP，目标端口：

提供运维服务的监听端口。

如堡垒主机需要连接被管理的Linux服务器，Linux服务提提供ssh运维服务，则需要在防火墙上增加或修改策略如下：

源地址：

堡垒主机IP，源端口：

any，目标地址：

被管理资源IP，目标端口：

22。

维护人员只要登录运维管理系统即可访问到所有服务器，无须进行二次登录。

若运维人员与运维管理系统之间存在防火墙，则防火墙需要开放如下端口：

22（ssh、telnet协议代理模块），443（堡垒主机提供web服务），3389（rdp协议代理模块）等。

有关实施时防火墙开放策略，详见“节内容中的《实施环境调研》。

日志服务器旁路接入网络，并开发SMB共享服务，为堡垒主机提供日志存储服务，堡垒主机通过页面配置，将数据文件存储至日志服务器。

系统备机始终处于冷备状态，在堡垒主机实施完成之后，将所有配置导入系统备机，保证系统备机上的主账号、被管理资源与主账号权限与堡垒主机一致，以便随时更换。

项目实施方案

项目保密条款

我公司同原厂上海谐润网络信息技术有限公司承诺，在中标后项目签署合同前分别以单位和个人与招标方签署保密协议或保密承诺书。

项目文档

原厂谐润科技在项目工程实施完成时将系统的全部有关技术文档、图标资料及测试、验收报告等文档汇集成册交付银监会，包括但不限于以下文档：

项目投标文件

项目工程实施方案

项目工程管理及实施计划书

产品安装实施报告

系统测试报告

项目完工总结报告

培训手册

运维用户使用手册

系统技术维护手册

系统应急处理预案

其他所有项目实施过程中产生的文档

项目组织架构

为确保本项目的顺利实施，原厂商谐润科技将指派拥有丰富项目经验的技术人员担任我方项目经理，负责项目实施的全面工作，收集有关热线电话支持、现场服务、用户技术人员反应等有关服务信息。

在服务实施过程中，将严格按照服务计划，全权负责服务的管理与监督。

定时向用户项目负责人汇报情况，在处理突发事件和项目变更时，要及时调整人员和计划以保证服务地正常进行；在项目实施受阻时，及时申请增加人员和技术力量，确保项目实施的顺利进行；此外，项目经理要监督服务的质量，以确保整个维护服务顺利、高质量的完成。

谐润科技将根据项目实际要求组建专门的银监会用户集中管控系统项目小组，遴选原厂商资深项目经理和工程技术人员，为银监会用户集中管控系统项目提供最优质的服务，保证严格按照合同约定，完成该项目的实施、培训及售后服务工作。

原厂谐润科技为了保证项目实施的顺利进行，会提供合理可行的系统实施方案，合理安排人员，以保证实施进度计划。

原厂谐润科技项目组织架构如下：

项目经理：

负责整个项目的进度控制、协调原厂工作人员与银监会工作人员进行协同工作，保证整个项目顺利完成。

研发经理：

负责整个项目中开发需求确认，开发进度，保证开发工作顺利进行，并按照客户要求完成开发任务（含测试工程师）。

调研工程师：

负责项目实施前资产调查、用户角色确认、网络环境调查、实施环境调研，参与设备实施方案的制定。

实施工程师：

负责项目设备接入客户网络，保证设备连通性，并进行资产录入、角色权限划分等工作。

培训讲师：

负责对客户进行相关知识培训，让客户能够独立使用设备，并能处理简单故障，保证知识转移顺利完成。

巡检工程师：

在项目实施完成后，负责对设备的使用情况进行跟踪，反馈客户的使用情况及软硬件健康情况，并按照客户的要求提交相应的报告。

售后支持：

负责对巡检工程师反馈的信息进行汇总，并根据反馈对客户进行技术支持。

银监会运维用户集中管控系统项目组谐润主要成员名单如下：

项目负责人（项目经理）

姓名

年龄

职称

专业

相关资质

相关工作年限

张彬

28

软件工程

项目经理

6年

计划用于本项目的工作人员

姓名

年龄

职称

专业

相关资质

相关工作年限

施杰

33

应用数学

高级程序员

8年

武欣

32

应用数学

高级程序员

8年

郑伟亮

31

计算机工程

培训讲师

8年

许爱明

28

计算机应用

原厂资深工程师

4年

周超

25

计算机科学技术

原厂资深工程师

3年

陆磊

26

通信工程

原厂资深工程师

3年

石波

24

计算机软件开发

原厂工程师

2年

项目实施计划

/

工作内容

开始时间

结束时间

实施单位

备注

准备阶段

发货及发货确认

7月2日

7月12日

谐润科技、银监会

按照合同要求供货

确认环境

7月12日

7月16日

谐润科技

现场调研

集成开发

7月2日

7月31日

谐润科技

集成开发与实施工作；

同步进行

实施阶段

设备上架

8月1日

8月2日

谐润科技

数据录入

8月3日

8月10日

谐润科技

访问规则设置

8月13日

8月15日

谐润科技、银监会

现场培训

8月16日

8月17日

谐润科技、银监会

提供相关项目文档

系统联调测试

8月16日

8月20日

谐润科技、银监会

解决部署中存在的问题

验收

项目初验

8月28日

8月30日

银监会、谐润科技

完成项目验收

试运行

9月1日

12月1日

谐润科技、银监会

跟踪设备运行状况

终验

12月2日

12月5日

银监会、谐润科技

完成项目验收

项目实施质量控制

在本项目实施过程中，原厂谐润科技将采取以下措施保证项目实施过程的质量：

1）建立完整的实施团队，团队内部有明确的分工，通过专业化的手段来提高公司的工作质量及技术水平；

2）派遣具备丰富经验的专业的工程实施人员，严格按照操作流程和技术要求进行施工；

3）保证良好的沟通机制，在实施过程中，项目经理将定期向银监会项目组提供实施进度记录汇报，让用户单位清楚整个项目的施工计划及施工进度情况。

4）执行科学的项目管理制度，从施工开始到施工结束验收的整个过程，我们均有相应的配套记录表格，方便项目组对实施过程进行跟踪、监督；便于后期用户方进行系统维护及管理。

同时，所有的记录表格均录入计算机进行电子化管理。

5）针对本项目，在工程施工前，由项目主管组织有关人员（业务员、技术指导、工程实施负责人、工程实施小组、质量监控小组及售后服务小组等）召开工程准备会议，介绍工程设计方案及有关的情况，布置各项工作，讨论可预见的技术细节、实施方法和实施进度等。

6）在整个工程项目的实施过程中，有质量监督小组负责对整个项目的实施质量进行监督，从而保证整个工程的质量（包括进货设备的质量保证和工程实施的质量保证）。

项目实施过程介绍

阶段一：

项目准备阶段

项目准备阶段会对整个项目的实施方案进行可行性研究和讨论，并进行实施环境调研、设备供货、二次开发接口调研及开发工作等。

实施环境调研

在项目开始实施之前，需要银监会的技术人员配合原厂谐润科技的实施人员对实施的环境进行检查，确认是否具备项目实施条件。

序号

安装条件

条件参数

是否符合条件

备注

机房的相对湿度和温度标准

相对湿度：

5%至95%

温度：

0至+55摄氏度

是□

否□

机架空间

占机架空间为

2U650×435×89　mm（长、宽、高）

是□

否□

电源参数

220V/50HZ,（最大）,500W（最大），国标电源插座。

是□

否□

日志服务器

硬件要求：

2颗IntelXeonE5620CPU主频；内存：

12GB内存；硬盘：

3*2TGBSAS硬盘；RAID卡：

集成SmartArrayP410i阵列卡；网卡4*千兆网卡；光驱：

DVD；电源及风扇：

460W热插拔冗余电源。

是□

否□

IP地址分配

谐润运维管理审计系统与日志服务器各分配一个IP，确保运维人员与谐润运维管理审计系统、管理员与谐润运维管理审计系统、谐润运维管理审计系统与目标设备能够正常通讯

是□

否□

交换机端口分配

建议分配1个端口给谐润运维管理审计系统，谐润运维管理审计系统与应用托管中心可以通过交叉线（或普通网线）直连，做NAT；日志服务器分配一个IP地址。

是□

否□

端口开放

如果普通运维人员和谐润运维管理审计系统之间有防火墙，注意防火墙开通这3个端口：

TCP22：

谐润运维管理审计系统开放的监听端口，用于普通运维人员与谐润运维管理审计系统之间的正常通讯；

TCP443：

谐润运维管理审计系统开放的监听端口，用于普通运维人员登录谐润运维管理审计系统的页面；

TCP3389：

谐润运维管理审计系统开放的监听端口，用于普通运维人员与谐润运维管理审计系统之间的正常通讯。

是□

否□

如果管理用户和谐润运维管理审计系统之间有防火墙，注意防火墙开通这2个端口：

TCP443：

谐润运维管理审计系统开放的监听端口，用于管理用户登录谐润运维管理审计系统的页面；

TCP3333：

谐润运维管理审计系统开放的监听端口，管理用户实时监控会话；

是□

否□

如果谐润运维管理审计系统和远程设备之间有防火墙，注意防火墙开通这4个TCP端口：

TCP22：

远程设备开放的监听端口，用于提供运维管理服务；

TCP80：

远程设备开放的监听端口，用于提供web管理服务；

TCP443：

远程设备开放的监听端口，用于提供web管理服务；

TCP3389：

远程设备开放的监听端口，用于提供运维管理服务；

是□

否□

如果谐润运维管理审计系统和网管系统之间有防火墙，注意防火墙开通这1个UDP端口：

UDP161：

谐润运维管理审计系统开放的监听端口，用于网管系统采集谐润运维管理审计系统的状态信息；

是□

否□

如果谐润运维管理审计系统和日志服务器之间有防火墙，注意防火墙开通这1个UDP端口：

UDP514：

日志服务器开放的监听端口，用于接受谐润运维管理审计系统发送的syslog日志信息；

是□

否□

如果谐润运维管理审计系统和时间服务器之间有防火墙，注意防火墙开通这1个UDP端口：

UDP123：

时间服务器开放的监听端口，用于提供时间同步服务；

是□

否□

管理对象帐号调研

根据合同要求，在安装调试过程中，银监会项目组成员需提供按照以下表格格式的附件：

包括主帐号调研表、主机帐号调研表、应用调研表；

运维人员调研表（样表）

登录名

Email

用户状态

姓名

部门/公司

截止日期

Xxx

1

王杰

0

…

设备调研表（样表）

主机名

主机地址

操作系统

网络协议

服务端口

主机账户名

主机账户密码

账户密码同步

host1

Server2003

RDP

3389

administrator

123456

0

host2

Linux

FTP

21

administrator

123456

1

…

其他应用调研表（样表）

主机名

主机IP

主机端口

主机帐号

密码

应用类型

应用名称

应用主机1

应用主机22

…

到货及加电验收

根据合同要求，需要对送达现场的产品进行到货验收，保证送达产品符合合同要求。

产品在接收后，保持外包装的完整性。

在原厂商的工程师到达现场后，共同进行产品的到货验收。

设备到货验收标准如下：

开箱前，检查产品外包装是否良好;

开箱检查产品外观是否良好;

产品型号是否正确;

产品数量是否正确;

产品配件是否齐全;

产品版本是否正确。

二次开发

为保证项目实施进度能够按计划完成，原厂商谐润科技将在合同签订后先对CA认证接口进行调研，调研完成后立即开始认证接口的开发工作。

原厂商谐润科技将根据银监会的实际需求，对CA认证中心接口进行兼容性开发，以严谨、务实的态度进行开发工作，保证与银监会的CA认证中心对接顺利完成。

同用户CA中心对接的认证功能开发、测试工作预计在合同签订3周内完成。

阶段二：

项目实施阶段

在项目实施过程中，安装调试工作的主要内容包括：

谐润运维管理审计系统IP配置、应用托管中心绑定互联配置、日志服务器的安装配置等。

在本项目实施过程中，谐润运维管理审计系统的安装调试工作主要由原厂谐润科技实施小组完成。

上架及初始网络配置

到货验收完成后，按照产品安装要求，将产品安装至机架，并连接电源进行设备加电验收并签署到货验收报告。

加电验收标准如下：

设备加电是否运行正常；

设备指示灯是否正常；

设备配置是否达到说明书要求。

本项目相关设备的IP配置如下：

堡垒主机：

Eth0：

GW:

：

应用托管中心：

ETH1：

GW:

日志服务器：

网卡1：

GW:

数据录入

在此过程中，谐润科技实施工程师将整理、核实准备阶段的运维人员、设备资产、应用的调研结果，并将调研结果相关数据导入至运维审计系统中。

访问规则设置

在此过程中，谐润科技实施工程师将与用户项目组成员一起，为每个运维用户、用户组建立访问授权和操作授权规则。

访问和操作授权按照“最小权限”原则创建，访问规则建立完成后，由银监会项目组人员向所有相关运维人员以书面方式通知，让运维人员测试帐号有效性。

现场培训

运维审计系统安装、调试完成后，谐润科技产品培训讲师对银监会的技术人员进行现场技术转移，向银监会人员介绍运维审计系统的原理、功能、日常维护和使用应该注意的事项，使银监会技术人员能够尽快地熟悉设备的功能和使用。

联调测试

培训工作完成后，进入项目联调测试阶段，在此过程中，由银监会组织各运维人员对运维审计功能进行试用，测试系统与各节点设备的访问情况，以确保系统能够稳定正常的运行并且能对运维操作进行审计。

完成测试后且所有功能达到项目要求之后，在银监会的统一安排下，要求日常运维的员工、第三方运维人员必须使用谐润运维管理审计系统进行日常维护工作，实现账号实名制，责任归属划分明确等管理目标。

在堡垒主机配置完成之后，将配置导出为文件，并将该文件导入系统备机，保证系统备机的主账号、被管理资源、主账号权限与堡垒主机一致，能够做到随时切换，以备不时之需。

项目培训计划

原厂商谐润科技应招标单位的时间、地点及人员要求，组织该系统的培训工作。

培训目的：

通过安全审计相关法规及标准、运维审计行为审计等培训使用户了解安全审计的理论知识，熟练操作谐润运维管理审计系统以及对谐润运维管理审计系统常见故障的排除。

培训时间：

2天

培训地点：

用户指定

培训学员人数：

不限

培训讲师：

原厂具有五年以上项目经验的资深工程师担任

培训组织方式：

现场讲课及实验练习

培训内容及计划：

时间

培训类别

具体内容

D1：

9:

00-11:

30

谐润运维管理审计系统审计原理培训

谐润运维管理审计系统审计系统原理、构成和功能；

D1：

14:

00-16:

30

谐润运维管理审计系统操作技能培训

谐润运维管理审计系统基本操作技能的培训；

D2：

9:

00-11:

30

谐润运维管理审计系统产品安装培训

谐润运维管理审计系统系统部件的配置、调整和维护；

D2：

14:

00-16:

30

谐润运维管理审计系统产品维护培训

谐润运维管理审计系统系统常见故障的处理或排除；

项目验收

阶段一：

项目初验

在完成设备的安装调试工作系统稳定运行一周后，由谐润科技提前十日提出项目初验申请，项目双方将组织项目初验工作，由银监会配合谐润科技公司完成初验文档的签署工作。

在初验结束后，用户必须提供2份能证明产品功能和性能满足要求、可正常运转的所有测量数据和资料；我方将积极配合用户做好测量数据和资料的准备工作。

初验合格后，开具有最终用户与乙方双方签字盖章的《设备安装调试初步验收合格单》，视为初验通过。

阶段二：

试运行阶段

设备安装调试完成并通过初验后，进入为期不超过3个月的连续试运行。

如果由于厂商的原因使系统在3个月内达不到规范指标要求，则在修复产品问题之后由双方等共同确定再一次连续试运行开始日期。

在试运行期间，原厂谐润科技承诺任何故障或问题都能在收到故障通知后3小时内（节、假日也不例外）被修复和解决