堡垒机银行行业设计方案

堡垒机银行行业设计方案麒麟堡垒机系统修订记录/ChangeHistory日期修订版本描述作者2023-2-26V1.0将设计局部单独提出，修改用户表格麒麟

目录1文档说明51.1方案概述51.2银行行业运维操作现状52需求分析62.1需求分析62.2实施范围73工程目标73.1集中帐号管理73.2集中身份认证和访问控制83.3集中授权管理93.4单点登录93.5实名运维审计94应用部署规划114.1访问流程114.2设备组分级124.3账户分级13账户分类13主账号分类13普通用户分组134.4认证方式144.5密码规那么144.6目标设备管理144.7数据留存策略154.8配置备份154.9访问策略164.10开发环境策略规划164.11访问控制174.12集中管理规划174.13双机部署规划195物理部署规划215.1设备硬件信息215.2软件信息215.3系统LOGO215.4地址规划225.5部署规划22文档说明麒麟开源堡垒机方案概述随着银行范围和营业网点的不断延伸扩大，各类特色业务系统和根底网络设备随之上线运行，切实有效的保障了各分行业务的稳定性、平安性和灵活性。但与此同时，随着业务系统应用范围越来越广、数据越来越多，所需日常维护的系统和设备也在日益增长，科技运维部门面临的网络、系统平安稳定运行的压力也随之增加。当前运维管理中存在的主要问题是，技术人员和维护人员的日常管理和维护都是直接登录业务系统、设备进行操作，没有针对运维操作进行统一管理、统一审计、统一分析的系统，造成运维操作没有方法进行监控分析，进而造成内部数据信息泄露、违规操作、恶意操作、密码外泄等一系列重大平安隐患。随着监管对于日常运维工作审计记录的监管需求以及银行本身运维标准化管理的需求，实现分行骨干设备的运维操作的审计需求迫在眉睫。银行行业运维操作现状一般银行行业都部署有AAA设备，实现了网络帐号统一管理、权限控制、及命令记录功能。但因为缺少专业的运维管理系统，对于运维操作的监控，还存在一定的盲区，主要表现为：运维操作方式多样、分散，缺乏有效集中管理；运维操作缺乏技术手段来约束；对运维操作行为的审计方式不直观；共享账号的情况普遍，给访问者定位带来难题。需求分析需求分析为改善银行分行运维审计的现状，落实监管需求，强化运维操作管理，部署一套运维审计平台成为解决这些问题的最优方案。运维审计平台需要能满足如下功能：提供集中、有效的运维操作管理；具备技术手段来实现对运维操作的约束；提供可视化的运维操作行为的审计方式；通过审计信息来完善账号的操作管理；运维审计记录保存一年以上。实施范围一级分行本部内网网络设备二级分行内网网络设备支行内网网络设备社区银行内网网络设备自助银行网络设备根底效劳器其他效劳器及设备〔按需〕工程目标通过建设统一的运维管理平台，实现对人员、设备、操作的统一管理，及运维管理的白盒透明化，实现认证、权限、审计、口令的集中管理，最终形成一个完整平安的运维环境，有效防止信息泄露、密码丧失、恶意及误操作、不按标准操作等平安事件的产生。同时将各项运维管理规章制度，能以可监控的方式进行管理落地。麒麟开源堡垒机集中帐号管理实现对用户帐号的统一管理和维护在实现集中帐号管理前，每一个新上线应用系统均需要建立一套新的用户帐号管理系统，并且分别由各自的管理员负责维护和管理。这种相对独立的帐号管理系统不仅建设前期投入本钱较高，而且后期管理维护本钱也会成倍增加。而通过堡垒主机的集中帐号管理，可实现对IT系统所需的帐号根底信息〔包括用户身份信息、机构部门信息、其他公司相关信息，以及生命周期信息等〕进行标准化的管理，能够为各IT系统提供根底的用户信息源。通过统一用户信息维护入口，保证各系统的用户帐号信息的唯一性和同步更新。解决用户帐号共享问题主机、数据库、网络设备中存在大量的共享帐号，当发生平安事故时，难于确定帐号的实际使用者，通过部署内控堡垒主机系统，可以解决共享帐号问题。解决帐号锁定问题用户登录失败五次，应对帐号进行锁定。网络设备、主机、应用系统等大都不支持帐号锁定功能。通过部署内控堡垒主机系统，可以实现用户帐号锁定、一键删除等功能。麒麟开源堡垒机集中身份认证和访问控制提供集中身份认证效劳实现用户访问IT系统的认证入口集中化和统一化，并实现高强度的认证方式，使整个IT系统的登录和认证行为可控制及可管理，从而提升业务连续性和系统平安性。实现用户密码管理，满足SOX法案内控管理的要求多数企业对主机、网络设备、数据库的访问都是基于“用户名+静态密码〞访问，密码长期不更换，密码重复尝试的次数也没有限制，这些都不能满足SOX法案内控管理的需求。仅通过制度要求用户在密码更换、密码设定等方面满足SOX相关要求，无法在具体执行过程中对用户进行有效监督和检查。内控堡垒主机系统通过建设集中的认证系统，并结合集中帐号管理的相关功能，实现用户密码管理，密码自动变更，提高系统认证的平安性。实现对用户的统一接入访问控制功能部署堡垒主机前，维护人员接入IT系统进行维护操作具有接入方式多样、接入点分散的特点。而维护人员中很多是代维人员，这些代维人员来自于各集成商或设备供给商，人员参差不齐，流动性大。由于维护人员对系统拥有过大权限，缺乏对其进行访问控制和行为审计的手段，存在极大的平安隐患。内控堡垒主机系统统一维护人员访问系统和设备的入口，提供访问控制功能，有效的解决运维人员的操作问题，降低相关IT系统的平安风险。麒麟开源堡垒机集中授权管理实现统一的授权管理各应用系统分别管理所属的资源，并为本系统的用户分配权限，假设没有集中统一的资源授权管理平台，授权管理任务随着用户数量及应用系统数量的增加越来越重，系统的平安性也无法得到充分保证。内控堡垒主机系统实现统一的授权管理，对所有被管应用系统的授权信息进行标准化的管理，减轻管理员的管理工作，提升系统平安性。授权流程化管理通过内控堡垒主机系统，管理层可容易地对用户权限进行审查，并确保用户的权限中不能有不兼容职责，用户只能拥有与身份相符的权限，授权也有相应的工作流审批。麒麟开源堡垒机单点登录单点登录内控堡垒主机提供了基于B/S的单点登录系统，用户通过一次登录系统后，就可以无需认证的访问包括被授权的多种基于B/S和C/S的应用系统。单点登录为具有多帐号的用户提供了方便快捷的访问途经，使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问来提高生产效率。同时，单点登录可以实现与用户授权管理的无缝连接，这样可以通过对用户、角色、行为和资源的授权，增加对资源的保护，和对用户行为的监控及审计。标准操作流程标准操作人员和第三方代维厂商的操作行为。通过内控堡垒主机系统的部署，所有系统管理人员，第三方系统维护人员，都必须通过内控堡垒主机系统来实施网络管理和效劳器维护。对所有操作行为做到可控制、可审计、可追踪。审计人员定期对维护人员的操作进行审计，以提高维护人员的操作标准性。内控堡垒主机系统标准了运维操作的工作流程，将管理员从繁琐的密码管理工作中解放出来，投入到其他工作上，对第三方代维厂商的维护操作也不再需要专门陪同，从而有效提高了运维管理效率。麒麟开源堡垒机实名运维审计实现集中的日志审计功能各应用系统相互独立的日志审计，无法进行综合日志分析，很难通过日志审计发现异常或违规行为。内控堡垒主机系统提供集中的日志审计，能关联用户的操作行为，对非法登录和非法操作快速发现、分析、定位和响应，为平安审计和追踪提供依据。辅助审查通过集中的日志审计，可以收集用户访问网络设备、主机、数据库的操作日志记录，并对日志记录需要定期进行审查，满足内部控制标准中关于日志审计的需求，真正实现关联到自然人的日志审计。应用部署规划麒麟开源堡垒机访问流程堡垒机接入方式为物理旁路、连接串行方式，堡垒机上线后，为了实现审计功能，要求所有的运维人员的运维操作都必须经过堡垒机跳转，因此，运维人员操作方式会有所改变，从原来的运维终端直接登录管理设备改为从运维终端通过堡垒机跳转登录。接入堡垒机以后，ssh、telnet、rdp等运维操作改由PC运维终端先连接到堡垒机，在从堡垒机跳转到业务效劳器，s、、数据库等应用协议，改为由PC运维终端先通过堡垒机连接到应用发布效劳器，在应用发布效劳器上翻开IE、数据库客户端等连接到业务效劳器。运维人员使用堡垒机方式主要包括WebPortal方式和工具直接登录方式二种。WebPortal方式，用户希望进行运维操作时，需要先使用IE，在URL里输入:翻开堡垒机界面，输入主帐号用户名,密码为堡垒机主帐号密码+令牌产生的6位动态密码后翻开WebPortal，在WebPortal中可以列出用户可以登录的所有设备，用户点击设备后面的工具时即可以直接登录到目标系统。工具直接登录方式，用户通过WEB登录到堡垒机后，在设备管理-列表导出里，点击后面的提交按钮，可以将制作好的Session文件下载，并且导入相应的运维工具中，用户使用时，不需要修改正去的运维习惯，只需要翻开运维工具，在运维工具中点击希望登录的设备后，输入堡垒机用户名，密码为堡垒机主帐号密码+令牌产生的6位动态密码即可以登录到目标系统。工具登录方式sessions导入界面如下：麒麟开源堡垒机设备组分级分行设备组采用树状分级至上而下为一级、二级、三级、四级、五级，整体设备组分级图如下：麒麟开源堡垒机账户分级账户分类主账号：用于登陆堡垒机，即堡垒机的登陆账号从账号：用于登陆账号使用，即网络设备及效劳器的登陆账号主账号分类运维堡垒机设置了五个用户角色：超级管理员、审计管理员、配置管理员、分组管理员、和普通用户，各角色具体权限如下表所示：序号用户角色用户权限作用对象备注1超级管理员账号管理、资产管理、系统级配置管理、运维审计谋略配置、运维操作审计堡垒机2审计管理员运维操作审计、运维审计报表堡垒机3分组管理员所属组内资产管理、运维操作审计堡垒机4普通用户设备运维堡垒机用户角色说明序号用户角色角色说明使用者备注1超级管理员Admin分行科技部指定专人2审计管理员审计信息查看分行科技部指定专人不能与超级管理员为同一个人3分组管理员分支机构管理分支机构运维管理员4普通用户普通运维总行运维人员、外包运维人员、分行运维人员用户权限说明账号管理：用于添加、删除、编辑主帐号资产管理：添加、删除、编辑设备和从帐号系统配置管理：设置堡垒机自身的管理配置，比方监控参数、SYSLOG、效劳起停、存储藏份、网络配置等运维审计谋略配置：可登录来源IP、时间列表、运行命令黑白名单等运维操作审计：查看审计运维人员操作过程设备运维：通过堡垒机主帐号，登录运维设备从帐号进行运维操作普通用户分组序号组名可管理设备1总行附属及海外机构运维中心全局部行网络设备、总行管理的根底效劳器2分行管理员组所辖所有网络设备3二级分行管理员组所辖所有网络网络设备〔除上联〕4分行监控组所辖所有网络设备5总行合作公司运维组全局部行网络设备、总行管理的根底效劳器6分行外包运维组所辖社区银行网络设备7总行网管组二台网管效劳器8效劳器运维分行人员组根底效劳器、生产效劳器、开发效劳器、办公效劳器9效劳器运维总行人员组总行管理的根底效劳器麒麟开源堡垒机认证方式主账号采用双因素认证的方式，本次主要采用以下方式：方式一:实名帐号，密码+硬件令牌动态口令：方式二:实名帐号，密码+令牌动态口令：堡垒机上线会自带200个令牌〔支持安卓和IOS系统〕和5个USBKEY硬件令牌，处于方便性考虑，建议优先使用令牌，如果遇到特殊情况在使用硬件令牌。麒麟开源堡垒机密码规那么用户必须更改首次登录的初始密码用户密码符合复杂度要求〔8～32个字符，含大小写字符，特殊字符和数字〕用户密码有效期设置为强制90天更改，80天后提醒修改用户密码不能包含4个以上连续的相同字符用户密码不能和之前设置的5次历史密码相同用户密码恶意尝试3次后账户将自动禁用麒麟开源堡垒机目标设备管理1.堡垒机对于设备帐号的管理方式：堡垒机对于设备帐号的管理方式主要包括托管方式和空用户方式，要求使用空用户方式。托管方式是指将目标设备上的帐号和密码都录入到堡垒机上，运维人员通过堡垒机登录设备时，由堡垒机代替填写目标设备上的账号和密码，直接登录到系统。空用户方式是指不把目标设备的帐号和密码录入到堡垒机，只是在堡垒机上为设备建立一个空用户的从帐号，运维人员通过堡垒机登录设备时，需要自己手工输入目标设备上的帐号和密码才能登录空用户方式相比托管方式，平安性要高，堡垒机上不需要存贮用户名和密码，但是使用起来较托管方式麻烦。2.堡垒机支持的设备类型：堡垒机支持telnet/ftp/sftp/ssh/rdp/vnc/x11协议，只要使用这些协议进行远程登录的系统，都可以使用堡垒机进行管理。对于一些使用B/S和C/S进行管理的应用，需要使用应用发布效劳器，即将C/S安装在应用发布效劳器后，当运维人员想登录系统进行操作时，先通过远程桌面连接到应用发布效劳器，从应用发布效劳器上翻开相应B/S或C/S程序连接到系统进行操作。因此，对于应用的支持，如果应用可以安装在2023R264位系统上，即可使用。麒麟开源堡垒机数据留存策略1.需要将日志留存策略设置为1年2.同时需要使用外接存贮进行日志备份。堡垒机可以使用ftp或SFTP的方式将日志外发到外接存贮上，外发方式为增量备份，每天凌晨2点将前一天的审计数据上发到外接存贮上。3.堡垒机具有FTP/SFTP上传下载文件审计〔记录功能〕为了不至堡垒机被FTP/SFTP审计文件占光存储，FTP/SFTP上传下载文件记录设置为10M以内，即，只记录10M以内的上传下载文件，10M以上的只记录文件名，不保存文件。4.如果硬盘已满，将策略设置为覆盖旧文件〔当系统空间满了以后，系统会自动删除文件，将系统硬盘留出5%的空间进行记录〕注：堡垒机系统内置2T的存储空间，通常情况下，可以保存25个运维人员一年的操作记录〔以每个运维人员一天工作8小时计算〕，计算公式如下：系统大约需要留500G做为系统使用，其余1.5T用于存贮审计日志。每个人使用运维系统一小时平均大约占20M左右的空间，因此20*8*365*25=1.46T麒麟开源堡垒机配置备份1.配置备份分为手工备份和自动备份二种方式，自动备份可以备份在分行提供的外接存贮效劳器上，使用SFTP或FTP协议，手工备份由堡垒机管理员登录到前台，在堡垒机界面上进行配置备份。2.自动配置备份要求每天备份一次，时间为每天凌晨2点。3.手工配置备份要求每周备份一次。麒麟开源堡垒机访问策略由于运维审计设备需要与网络设备、效劳器等设备进行交流，因此需要在相关防火墙上开通如下访问策略：访问策略需求明细源地址目的地址端口方向描述堡垒机/应用发布NTP-ServerNTP单向时钟同步运维终端堡垒机Tcp443、2288单向堡垒机运维管理运维终端堡垒机TCP20，21单向FTP效劳使用运维终端堡垒机TCP22单向TERLNET、SSH效劳运维终端堡垒机Tcp3389,3390单向RDP及审计使用堡垒机分行网络设备、效劳器带外、带内管理区TCP20、21、22、23、3389、590X单向访问目标效劳器ftp、ssh、telnet、rdp、vnc、x11，如果没有相应的效劳可以关闭相应的端口堡垒机应用发布效劳器TCP3389单向堡垒机连接应用发布桌面应用发布效劳器堡垒机TCP3306单向堡垒机连接应用发布数据库应用发布效劳器堡垒机TCP8888单向帐号同步端口应用发布效劳器IP分行网络设备、效劳器带外、带内管理区相关端口〔根据实际情况〕单向相关对应用发布效劳器发布的应用端口，比方如果发布了，那么开放80，如果发布了s那么开放443等麒麟开源堡垒机开发环境策略规划开发环境主要为了保证代码平安，因此开发环境帐号需要做如下策略：1.采用跳板机方式，即为分行开发人员建立假设干Windows效劳器做为跳板机，开发人员登录到跳板机进行开发2.开发人员登录到跳板机时，不允许使用RDP剪切板、不允许使用RDP磁盘映射3.如果开发人员还有运维权限，为开发人员建立二个帐号，一个用于运维，一个用于开发，以防止误操作4.以保证代码平安，另外应用发布效劳器因为涉及对象并不针对代码保护，因此开发人员不要将代码保存在应用发布效劳器上。5.跳板机上需要安装杀毒软件，以防止病毒传递麒麟开源堡垒机访问控制堡垒机上线正式运行后，需要屏蔽运维人员直接访问目标设备。访问运维目标设备时，必须通过堡垒机跳转登录，因此，需要对运维人员的访问进行策略限制。1.网络设备使用ACS对运维人员登录的来源IP进行限制，只允许堡垒机和应用发布IP来源才能登录网络设备2.飞塔防火墙采用VTY限制方式，只允许堡垒机和应用发布IP才能访问飞塔防火墙进行管理运维3.效劳器管理通过防火墙策略限制，只允许堡垒机、应用发布效劳器IP才能进行运维管理访问策略完成后，运维人员必须通过堡垒机才能进行运维操作。麒麟开源堡垒机集中管理规划1.部署模式：集中管理效劳器共计二台，部署在总部，用于监管和管理各分行堡垒机，二台集中管理效劳器采用HA模式，二台之间相互备份，采用VRRP协议，当主用效劳器出问题时，从效劳器将启动效劳IP接替主效劳器提供效劳。部署图如下：2.使用人员集中管理效劳器使用人员为总行维护和管理人员，总行管理人员通过集中管理效劳器可以监控各分行的堡垒机的状态，并且生成各堡垒机的报表，也可以设置堡垒机上的权限。总行运维人员可以通过集中管理效劳器直接到各分行堡垒机上进行运维，不需要再次登录各分行的堡垒机。3.集中管理效劳器主要功能集中管理效劳器可以对分行堡垒机进行集中管理、单点登录、密码策略设置、监控堡垒机状态监控、统一生成各堡垒机的分析报表。集中管理功能：集中管理功能主要是总行管理人员管理各分行堡垒机，主要包括如下功能列表为：堡垒机帐号管理：可以在各分行堡垒机上添加、修改、删除主帐号，修改主帐号密码、锁定和解锁主帐号;效劳器资源管理：可以在各分行堡垒机上添加、修改、删除效劳器及从帐号堡垒机权限管理：可以设置各堡垒机上的权限，进行权限绑定、解锁，并且可以设置权限上的授权列表，比方来源IP、黑白名单名单等系统管理：可以对堡垒机的效劳、认证模式、网络、证书等配置进行设置，可对堡垒进行配置备份和恢复策略管理：可以设置各堡垒机的主帐号密码策略、监控策略等集中权限管理：可以设置集中管理效劳器上的用户具有哪些堡垒机上的用户的权限，经过将各堡垒机上的帐号映射给集中管理效劳器上的帐号，集中管理效劳器上的帐号就可以得到堡垒机上的相应权限单点登录功能：通过将假设干分行堡垒机用户映射给相应的集中管理平台帐号，使用集中管理平台帐号登录时，即可以直接使用已经给予映射的堡垒机帐号权限，运维人员不再需要登录到各台堡垒机上进行操作，实现了堡垒机的单点登录。密码策略设置：集中管理平台上可以对堡垒机的主帐号密码进行密码策略设置，并且可以设置分行堡垒机是否可以修改密码策略，本次将设置分行可以对本地堡垒机进行策略修改，本次集中管理效劳器上设置的堡垒机密码策略如下：用户必须更改首次登录的初始密码用户密码符合复杂度要求〔8～32个字符，含大小写字符，特殊字符和数字〕用户密码有效期设置为强制90天更改，80天后提醒修改用户密码不能包含4个以上连续的相同字符用户密码不能和之前设置的5次历史密码相同用户密码恶意尝试3次后账户将自动禁用报表功能：集中管理效劳器上可以实现报表打印，报表打印功能只能生成不同堡垒机上的报表，不能生成多个堡垒机的联合报表。报表输出格式包括堡垒机上所有的报表格式。集中监控：集中管理效劳器还可以监控堡垒机、应用发布效劳器当前状态，并且设置阀值，当系统超过阀值时，进行告警，设置阀值如下：CPU80%内存85%硬盘85%SWAP70%SSH并发600个RDP并发500个或堡垒机、应用发布不能监控当系统运行时，如果某项指标超过上述阀值将进行告警。监控告警方式采用邮件方式，需要开通分行堡垒机到邮件效劳器的TCP25端口策略。麒麟开源堡垒机双机部署规划双机部署模式说明：双机模式中，二台堡垒机一台主机一台备机，二台机器的配置数据和审计录相实时自动同步，二台堡垒机使用VRRP协议监听一个热备份IP，默认情况下，热备份IP在主效劳器上，当主效劳器出现软、硬件问题时，热备份IP会自动切到从机上，从机接替主机进行效劳。双机模式可以共同使用同一台或多台应用发布效劳器。双机模式逻辑拓朴图如下：环境要求：主、从堡垒机需要在同一个网段，共计需要三个IP，主堡垒机管理IP一个、从堡垒机管理IP一个、浮动IP一个，主从之间通过VRRP协议进行监控同步参数：主帐号、主帐号口令、主帐号所有信息、设备信息、从帐号、从帐号口令、权限绑定关系、各种策略为实时同步，即修改一