银行堡垒机实施方案.doc

1、银行分行运维审计平台实施方案银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中心第 2 页, 共 39 页修订记录/Change History日期 修订版本 描述 作者2016-2-16 V1.0 独立实施方案，完善测试部分 麒麟银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中心第 3 页, 共 39 页目录1 文档说明 51.1 概述 51.2 运维操作现状 52 物理部署规划 62.1 设备硬件信息 62.2 软件信息 72.3 系统 LOGO.72.4 地址规划 7

2、2.5 部署规划 73 应用部署实施 83.1 堡垒机上线说明 83.2 设备初始化 83.2.1 上架加电 .93.2.2 网络配置 .93.3 堡垒机配置修改方式 93.3.1 目录树调整 .103.3.2 设备类型添加及修改 .113.3.3 堡垒机用户导入及用户配置 .113.3.4 主机设备帐号导入 .143.3.5 系统帐号赋权 .183.3.6 应用发布服务器添加 .203.4 堡垒机应用发布配置 223.4.1 应用发布用户配置 .223.4.2 应用用户组授权 .233.5 数据留存配置 243.5.1 审计数据留存 .243.5.2 设备配置留存 .253.5.3 定时任务

3、配置 .263.5.4 动态令牌使用手册 .27银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中心第 4 页, 共 39 页1、证书导入 .272、证书绑定 .283、运维人员使用 .283.6 应急方案 304 系统测试 314.1 TELNET访问操作管理 .314.2 SFTP访问操作管理 .314.3 SSH访问操作管理 .324.4 RDP访问操作管理 .324.5 FTP访问操作管理 .325 集中管控平台 335.1 集中管控平台功能 335.2 设备硬件信息 335.3 软件信息 335.4 地址规划 335.5 部

4、署规划 345.6 集中管控平台部署 345.7 系统上线需求 355.8 系统安装 356 双机部署模式 366.1 双机部署模式功能 366.2 上线条件 366.3 地址规划 376.4 上线步骤 37银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中心第 5 页, 共 39 页1 文档说明1.1 麒麟开源堡垒机使用概述随着我行业务范围和营业网点的不断延伸扩大，各类特色业务系统和基础网络设备随之上线运行，切实有效的保障了各分行业务的稳定性、安全性和灵活性。但与此同时，随着业务系统应用范围越来越广、数据越来越多，所需日常维护的系统

5、和设备也在日益增长，科技运维部门面临的网络、系统安全稳定运行的压力也随之增加。当前运维管理中存在的主要问题是，技术人员和维护人员的日常管理和维护都是直接登录业务系统、设备进行操作，没有针对运维操作进行统一管理、统一审计、统一分析的系统，造成运维操作没有办法进行监控分析，进而造成内部数据信息泄露、违规操作、恶意操作、密码外泄等一系列重大安全隐患。随着监管对于日常运维工作审计记录的监管需求以及 XX银行本身运维规范化管理的需求，实现分行骨干设备的运维操作的审计需求迫在眉睫。本次堡垒机项目使用麒麟开源堡垒机，麒麟开源堡垒机产品功能强大稳定性高，经过测试可以完全满足银行的使用需要。1.2 运维操作现状

6、当前分行均已部署了 ACS设备，实现了网络帐号统一管理、权限控制、及命令记录功能。但因为缺少专业的运维管理系统，对于运维操作的监控，还存在一定的盲区，主要表现为：银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中心第 6 页, 共 39 页 运维操作方式多样、分散，缺乏有效集中管理； 运维操作缺乏技术手段来约束； 对运维操作行为的审计方式不直观； 共享账号的情况普遍，给访问者定位带来难题。2 物理部署规划2.1 设备硬件信息运维审计系统包括堡垒机和应用发布服务器两台设备，物理参数如下：银行运维审计平台实施方案 文档密级：内部资料文档版

7、本 3.4 (2019-09-02)银行总行科技开发部运维中心第 7 页, 共 39 页设备 型号 硬件参数堡垒机 麒麟开源堡垒机CPU 64位 3G/16G 内存/2T 硬盘/交流电/2U应用发布服务器 麒麟应用发布模块CPU 64位 3G/32G 内存/2T 硬盘/交流电/2U2.2 软件信息设备 操作系统 软件版本 Licenses数堡垒机 Centos V1.1 100000个应用发布服务器 Windows server 2008 V1.32.3 系统 LOGO堡垒机 LOGO在安装时，都已经被设置为 XX银行运维审计平台，以与其它系统进行区分。2.4 地址规划参照分行部署规范，运维审

8、计堡垒机及应用发布平台，需要分行分配在基础服务器区域，分配【199.XX.XX.XX】的地址，两台设备分别需要分配 IP地址，且两个地址需要在一个子网。示例如下设备名称 所属区域 产品型号 IP堡垒机 内网 UOM-1000A 199.1.1.1应用发布服务器 内网 Modul-APP-RELEAS-HW 199.1.1.2银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中心第 8 页, 共 39 页2.5 部署规划 堡垒机、应用发布平台各需要 2U的机柜空间位置 堡垒机、应用发布平台需要部署在基础服务器接入区 堡垒机、应用发布平台个

9、需要 2*10A电源3 应用部署实施3.1 堡垒机上线说明堡垒机在发往用户前，已经完成如下设置: 设备 IP地址、网关、应用发布连接 设备、人员、权限关系、目录结构的前期调研和导入 密码规则策略设置 数据留存策略设置堡垒机现场上线实施步骤包括: 设备上架、加电 网络连通性测试 系统功能测试 现场培训银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中心第 9 页, 共 39 页注：堡垒机出厂时，已经完成了数据导入、权限策略设置、应用发布设置和 IP等环境设置，如果有实时时发生更改，请按下面相应描述章节进行修改3.2 设备初始化 上架加电

10、 设置 IP地址、网络掩码、网管3.2.1 上架加电第一步、分别将堡垒机和应用发布服务器按照部署位置，将主机安装固定到机柜中。第二步、将随机携带的电源线插到主机后面板的电源插座上。第三步、将电源线的另一端插到机柜为主机提供交流电源的插座上。3.2.2 网络配置发货前，堡垒机和应用发布 IP默认已经按客户要求配置完毕，如果需要 现场修改可以按如下步骤：堡垒机和应用发布服务器网卡默认 IP为：设备名称 网卡名称 IP 访问方式堡垒机 Eth0 分行提供的 IP https、ssh堡垒机 Eth1 172.16.210.1/30 https、ssh堡垒机 管理口 172.16.210.5/30 ht

11、tps应用发布 Eth0 分行提供的 IP RDP应用发布 Eth0 172.16.210.1/30 RDP本次工程，堡垒机和应用发布都要求使用 eth0口，修改堡垒机和应用发布 IP时，使用eth1进行登录，以避免配置错误后无法登入，堡垒机的管理口为 console，通过 https访问可以得到键盘显示器的界面，如果堡垒机出现硬件故障或两个网卡都不通时，使用管理口登录。完成上架加电操作后，打开堡垒机的电源按钮，堡垒机开机启动，等待两分钟，启动完成后，使用笔记本通过网线连接堡垒机，笔记本 IP地址配置为 172.16.210.2/30后使用网线直接连接到堡垒机 eth1口，然后使用浏览器打开

12、https:/172.16.210.1 用户名输入 admin 密码12345678，进入堡垒机系统，在【系统配置】-【网络配置】中修改网卡的 IP地址信息，更改为规划好的 eth0 IP地址。银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中心第 10 页, 共 39 页应用发布 IP eth1地址默认为 172.16.210.1/30，可以直接使用 mstsc rdp到应用发布服务器对 IP地址进行修改。3.3 堡垒机配置修改方式堡垒机上线，已经完成项如下： 目录树导入、设置 堡垒机用户导入表，建立主帐号 设备、设备用户导入，建立

13、从帐号 飞塔防火墙应用从帐号导入 设备授权设置到现场，有可能会对某些设备进行相应的调整，调整方法如下：3.3.1 目录树调整单击导航树中【资源管理】中的【资产管理】 ，选择“目录管理”页签，单击“增加新节点” ；根据所要创建的组类型选择“所属目录”与“属性” ；系统已经默认安装了标准的目录结构，只需要对目录结构进行相应的修改即可以完成本步设置银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中心第 11 页, 共 39 页图 1说明：“节点名”输入节点的名称， “所属目录”新创建目录所属那个父组；设备组目录结构与分行 ACS一致，目录树

14、可以无限级目录，堡垒机配置前必须先将目录树配置完毕才能进行用户和设备的导入，用户和设备导入时，必须有配置好的目录树。3.3.2 设备类型添加及修改设备类型配置，主要是加入分行有的，但堡垒机中不存在的设备类型，否则导入时无法写成正确的设备类型（为了方便管理，设备类型最好不要涉及型号，只设置厂商即可，比如 Cisco的 2960交换机、3950 交换机，可以统一放在 Cisco类型的设备中）单击导航树中【资源管理】中的【资产管理】 ，选择“系统类型”页签，单击“增加” ；图 2银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中心第 12

15、页, 共 39 页说明：“主机/网络”选项中，主机代表操作系统类型设备，网络代表路由交换类型设备，“系统类型”框中填写设备的类型，中文、英文都支持；3.3.3 堡垒机用户导入及用户配置导入表格填写，将附件一.运维人员导入表格按如下要求进行填写用户名:运维人员登录堡垒机时的名称，要求唯一（必须填写）密码: 运维人员登录堡垒机时的密码 （必须填写）真实姓名：运维人员的真实姓名 （必须填写）电子邮箱：运维人员的电子邮箱地址（选择填写）用户权限：统一配置为 普通用户 （必须填写）组名：目录结构中的资源组名称，如果出现同样名称的资源组，则导入时需要用组名(id)方式，比如出现重名的 first组，如果你

16、想在界面中这个组加入，则组名为 first(221)手机号码：运维人员的手机号码（选择填写）工作单位：运维人员的工作单位（选择填写）工作部门：运维人员的工作部门（选择填写）USBKEY:为动态口令的令牌 ID，如果用户需要动态令牌，则在动态令牌列表文件中选择一个未使用的动态令牌给用户后面的其它选项：一般不需要填写，所有的用户按模版复制即可用户导入表确认无误后,使用 admin用户登录前台，在 资源管理-资产管理-用户管理菜单，点击右下方的导入按钮银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中心第 13 页, 共 39 页在导入界面

17、中，将加密的勾勾上，点击浏览按钮，选择找到需要导入的用户表后，点击提交按钮，即可以将所有的用户导入到堡垒机中点入确定后，会给用户提示，表中哪些用户没有导入成功及未成功的理由银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中心第 14 页, 共 39 页用户导入后，如果有个另的用户需要修改或添加，可以在用户管理菜单进行操作单击导航树中【资源管理】中的【资产管理】 ，选择“用户管理”页签，单击“添加用户” ，填写用户的基本信息、权限信息及其他信息；图 3银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)

18、银行总行科技开发部运维中心第 15 页, 共 39 页图 43.3.4 主机设备帐号导入主机设备帐号导入前提与堡垒机帐号导入前提一致，必须先做好目录树。按附件二主机设备帐号表中的要求收集分行的主机帐号设备，并且填好，主机帐号导入时，会自动创建主机主机名：主机的名称IP主机的 IP地址服务器组：服务器所属组的 ID号，因为目录中允许同名称的组，因此，服务器组用 ID号替代，可以在资产管理-资源管理-目录节点中查看 ID号，如下图：银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中心第 16 页, 共 39 页系统类型：主机的操作系统类型

19、，必须在第一章中添加的或系统自带的中选择添加系统用户：系统用户名，如果不想托管，则这项不填当前密码：系统播放的密码，如果不想托管，则这项可以不填登录协议：目前支持 telnet/ssh1/ssh/ftp/rdp/vnc/x11 ，可以在这些登录方式中选择相应的端口： 登录协议连接的目标端口过期时间：这个系统帐号的过期时间，如果超过过期时间，则不在允许登录自动修改密码：是否对这个帐号进行自动修改密码（默认为否）主帐号：自动修改密码时只使用一个帐号登录修改主机上所有的用户密码，如果是主帐号，则填是，主帐号一般为 root权限或可以 sudo 为 root自动登录：默认填是堡垒机用户：XX 项目中均

20、填否Sftp用户 ：如果是 SSH服务，则设置这个 SSH用户是否可以使用 SFTP服务，是为允许，否为不允许公私钥用户：如果是 SSH服务，设置这个 SSH用户认证是不是使用公私钥方式，是或否在资源管理-资产管理-设备管理中，点击导入按钮勾上加密按钮，并点击浏览按钮找到主机设备列表的表格后，点击提交按钮，会将所有的设备帐号导入银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中心第 17 页, 共 39 页单台设备的添加、修改可以在设备管理菜单完成单击导航树中【资源管理】中的【资产管理】 ，选择“设备管理”页签，单击“添加” ，填写基

21、本信息；图 5银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中心第 18 页, 共 39 页单击导航树中【资源管理】中的【资产管理】 ，选择“设备管理”页签，指定设备的操作栏中单击“用户” ，图 6单击“添加新用户”；图 7根据实际情况填写下图信息；银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中心第 19 页, 共 39 页3.3.5 系统帐号赋权堡垒机帐号（主帐号） 、主机系统帐号（从帐号）导入完成后，需要进行赋权操作，赋权后堡垒机帐号（主帐号）登录到堡垒机才能跳转到

22、相应的设备。前期设备授权关系调研表中包含所有的权限关系，按表进行设置。赋权操作如果一个堡垒机帐号（主帐号）有大量从帐号的权限，则赋权是在系统用户组菜单完成的，如果为堡垒机帐号（主帐号）临时添加一个从帐号的赋权，则也可以在主机设备帐号菜单中完成。赋权操作最好按用户组的方式进行赋，即将权限相同的用户放在同一个用户组中，然后为这个用户组创建一个系统用户组，将这些用户拥有权限的主机设备帐号都加到这个组中，然后将这个系统用户组绑定给这个用户组，如果每个用户的权限都不一样，也可以为单独的用户划分系统用户组后进行授权。单击导航树中【资源管理】中的【授权权限】 ，选择“系统用户组”页签，单击“添加新组” ；填

23、写“系统用户组”名，选中“未选设备”中系统用户添加到“已选设备” ，确定已经选中想要赋权的堡垒机用户组的所有系统帐号后，点击保存；单击导航树中【资源管理】中的【授权权限】 ，选择“系统用户组”页签，单击“操作”栏中“授权” ，勾选“授权组”或“授权用户” ，配置完成单击“保存修改” ；银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中心第 20 页, 共 39 页授权后，组中的用户或被授权的用户，就拥有了这个系统用户组中所有的主机系统帐号的权限。3.3.6 应用发布服务器添加前提：安装好应用发布服务器，确定好应用发布服务器的 IP地址

24、，并且已经打通堡垒机访问应用发布服务器的 TCP 3389、8888 端口，应用发布服务器到堡垒机的 TCP 3306端口单击导航树中【资源管理】中的【资产管理】 ，选择“设备管理”页签，单击“添加” ，在主机名中写应用发布服务器，在 IP地址中写入应用发布服务器 IP，主要类型为 WINDOWS，设备组选一个用户许可的设备组。配置完成单击“保存修改” ；银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中心第 21 页, 共 39 页为应用发布服务器增加一个应用发布帐号单击导航树中【资源管理】中的【应用发布】 ，选择“应用发布”页签，

25、单击“添加” ；配置完成单击“保存修改” ；A. 单击导航树中【资源管理】中的【应用发布】 ，选择“应用程序”页签，单击“添加” ；增加 IE程序安装位置；配置完成单击“保存修改” ；银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中心第 22 页, 共 39 页说明：程序地址：是应用发布服务器上 IE浏览器程序安装位置；3.4 堡垒机应用发布配置3.4.1 应用发布用户配置A. 单击导航树中【资源管理】中的【应用发布】，选择“应用发布”页签，单击操作栏中“应用发布”；B. 单击“添加” ，填写应用名称、选择服务器及填写被访设备 UR

26、L；配置完成单击“保存修银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中心第 23 页, 共 39 页改” ；说明：如果需要添加的设备比较多，先单击“导出”，填写导出表，再单击“导入”；完成设备的批量添加；3.4.2 应用用户组授权A. 单击导航树中【资源管理】中的【授权权限】 ，选择“应用用户组”页签，单击“添加新组” ；添加需要的应用用户，单击“保存” ；B. 单击“绑定”；C. 勾选绑定组或绑定用户；单击“保存修改”；银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中

27、心第 24 页, 共 39 页3.5 数据留存配置3.5.1 审计数据留存系统内置存贮为 2T，通常情况下，可以够 100个运维人员使用半年左右，所有的运维人员操作都会被系统进行留存记录，当 2T空间满的时候，系统会根据系统配置-系统参数中的配置项存贮无空间时操作进行操作，如果选择覆盖，则会删除早期的 LOG进行记录，如果选择停止操作，则系统将不在接受新的运维连接请求，并且发送告警给堡垒机管理员。这里将策略设置为覆盖旧文件。系统也可以使用自动删除功能，指定自动删除多久以前的审计数据，使用 audit帐号登录到系统，在自动删除菜单中，可以指定系统自动删除的周期，默认情况下，系统不会自动删除审计日

28、志，除非指定了删除周期并且启动了删除程序。点击下列各种服务后面的编辑按钮，在弹出的对话框中填入希望自动删除的周期，点保存即可。系统出厂时默认为删除一年前的日志，建议按默认的配置。银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中心第 25 页, 共 39 页系统可以将录相文件及配置信息自动定时同步到远端服务器上，使用 admin登录，在系统管理-数据同步菜单，点新建按钮，按下面要求输入信息，系统即会将审计录相和配置信息进行自动同步，同步方式为增量同步，每天凌晨进行同步。3.5.2 设备配置留存系统配置可以使用手工备份和自动备份二种模式

29、。银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中心第 26 页, 共 39 页手工备份在系统管理-配置备份菜单，点击生成备份按钮，即可以将配置手工备份到本机，如果想要恢复时，点击恢复将下载的备份文件上传即可以进行恢复。在系统管理-数据同步菜单，点击新建，在同步模式中选择资产权限，即可以实现自动备份，输入备份目标服务器 IP、SSH 端口、用户名、密码及备份目录后，系统会每天一次将备份文件上传到备份目标服务器。3.5.3 定时任务配置系统自动删除、自动备份等操作，默认情况下，服务都未启动，如果想要让配置的参数生效，必须在定时任务中将

30、服务启动。在菜单系统配置-系统管理-定时任务中，可以配置自动备份、自动删除启动时间周期。银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中心第 27 页, 共 39 页以审计文件备份为例，如果服务后面的勾勾上，表示服务为启动状态，如果未勾，则表示服务为未启动状态，备份调度表示服务启动的周期，如果为*号表示每次都启动，如下例中，审计备份文件每天晚上 1点 5分会启动进行备份。3.5.4 动态令牌使用手册系统内置动态令牌系统，可以使用动态口令进行登录，动态令牌目前运行硬件 Usbkey令牌和手机令牌二种模式，手机令牌目前支持 Apple手

31、机和安卓二种系统。动态令牌使用需要先将令牌证书导入，令牌证书导入后，在将令牌与相应的用户绑定起来，即可以使用，手机令牌用户还需要安装手机令牌软件。1、证书导入其它-usbkey 列表菜单，点击最下方的导入 USBKEY按钮打开 USBKEY导入界面，先点击浏览找到证书位置，在点提交，即可以将所有证书导入到堡垒机中。银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中心第 28 页, 共 39 页2、证书绑定证书导入后，需要将证书绑定给相应的用户，用户绑定后，即必须使用静态密码+动态密码的登录方式，新建用户或点编辑用户，在动态口令卡找到为

32、用户绑定的动态口令卡 ID，点确定按钮即完成绑定，注意用户与口令卡是一对一的关系。3、运维人员使用绑定以后运维人员登录堡垒机页面或使用工具直接登录必须使用静态口令+动态口令为密码来进行登录，令牌分为 USBKEY令牌与手机令牌二种。USBKEY令牌使用方式：将 USBKEY令牌插入电脑 USBKEY口，即可以出现一个名称为动态口令 U盘，双击里面的password.exe程序，即可以令牌程序令牌的初始密码为 123456，输入密码后电脑右上角即可以出现令牌的悬浮窗口，可以用鼠标点右键方式对密码进行复制粘贴银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行

33、总行科技开发部运维中心第 29 页, 共 39 页手机令牌使用方式：安卓手机只需要使用手机助手将附件 3中的 token-app软件复制到手机上，点击安装即可完成安装。苹果手机使用浏览器打开连接http:/ install application即可完成安装，苹果手机安装完毕后，需要在设置-通用-描述文件添加对 FindToken的信任才能使用动态令牌。手机令牌用户首次 登录时，登录成功后会进入一个二维码界面，二维码中间含有用户动态口令密钥信息，用户需要打开 APP，APP 首次登录密码为 123456，登录修改密码后，点击APP上方的二维码扫描按钮，开启摄像头扫描二维码，二维码扫描后，手机的 APP会出现动态口令显示界面，每 15秒产生一个动态口令，用户将一个动态口令输入到手机二维码验证页面下方的动态口令 TEXT，成功后，系统会退出，以后用户登录需要使用静态口令+手机生成的动态口令才能登录。银行运维审计平台实施方案 文档密级：内部资料文档版本 3.4 (2019-09-02)银行总行科技开发部运维中心第 30 页, 共 39 页3.6 应急方案因本方案以单机方式部署，且堡垒机本身不具备 bypass功能。