堡垒机银行行业设计方案.docx
《堡垒机银行行业设计方案.docx》由会员分享,可在线阅读,更多相关《堡垒机银行行业设计方案.docx(16页珍藏版)》请在第一文库网上搜索。
1、堡垒机银行行业设计方案麒麟堡垒机系统修订记录/ChangeHistory日期修订版本描述作者2023-2-26VI.0将设计局部单独提出,修改用户表格麒麟目录1文档说明41.1 方案概述41.2 银行行业运维操作现状42需求分析52.1 需求分析52.2 实施范围53工程目标63.1 集中帐号管理63.2 集中身份认证和访问控制63.3 集中授权管理73.4 单点登录73.5 实名运维审计84应用部署规划84.1 访问流程84.2 设备组分级94.3 账户分级9账户分类9主账号分类9普通用户分组104.4 认证方式104.5 密码规那么104.6 目标设备管理104.7 数据留存策略114.8
2、 配置备份114.9 访问策略4.10 开发环境策略规划124.11 访问控制124.12 集中管理规划134.13 双机部署规划145物理部署规划155.1 设备硬件信息155.2 软件信息155.3 系统1OGOI65.4 地址规划165.5 部署规划16文档说明1.1 麒麟开源堡垒机方案概述随着银行范围和营业网点的不断延伸扩大,各类特色业务系统和根底网络设备随之上线运行,切实有效的保障了各分行业务的稳定性、平安性和灵活性。但与此同时,随着业务系统应用范围越来越广、数据越来越多,所需日常维护的系统和设备也在日益增长,科技运维部门面临的网络、系统平安稳定运行的压力也随之增加。当前运维管理中存
3、在的主要问题是,技术人员和维护人员的日常管理和维护都是直接登录业务系统、设备进行操作,没有针对运维操作进行统一管理、统一审计、统一分析的系统,造成运维操作没有方法进行监控分析,进而造成内部数据信息泄露、违规操作、恶意操作、密码外泄等一系列重大平安隐患。随着监管对于日常运维工作审计记录的监管需求以及银行本身运维标准化管理的需求,实现分行骨干设备的运维操作的审计需求迫在眉睫。1.2 银行行业运维操作现状一般银行行业都部署有AAA设备,实现了网络帐号统一管理、权限控制、及命令记录功能。但因为缺少专业的运维管理系统,对于运维操作的监控,还存在一定的盲区,主要表现为: 运维操作方式多样、分散,缺乏有效集
4、中管理;运维操作缺乏技术手段来约束; 对运维操作行为的审计方式不直观;共享账号的情况普遍,给访问者定位带来难题O需求分析2.1 需求分析为改善银行分行运维审计的现状,落实监管需求,强化运维操作管理,部署一套运维审计平台成为解决这些问题的最优方案。运维审计平台需要能满足如下功能: 提供集中、有效的运维操作管理; 具备技术手段来实现对运维操作的约束; 提供可视化的运维操作行为的审计方式; 通过审计信息来完善账号的操作管理; 运维审计记录保存一年以上。2.2 实施范围一级分行本部内网网络设备二级分行内网网络设备支行内网网络设备社区银行内网网络设备自助银行网络设备根底效劳器其他效劳器及设备按需工程目标
5、通过建设统一的运维管理平台,实现对人员、设备、操作的统一管理,及运维管理的白盒透明化,实现认证、权限、审计、口令的集中管理,最终形成一个完整平安的运维环境,有效防止信息泄露、密码丧失、恶意及误操作、不按标准操作等平安事件的产生。同时将各项运维管理规章制度,能以可监控的方式进行管理落地。3.1 麒麟开源堡垒机集中帐号管理 实现对用户帐号的统一管理和维护在实现集中帐号管理前,每一个新上线应用系统均需要建立一套新的用户帐号管理系统,并且分别由各自的管理员负责维护和管理。这种相对独立的帐号管理系统不仅建设前期投入本钱较高,而且后期管理维护本钱也会成倍增加。而通过堡垒主机的集中帐号管理,可实现对IT系统
6、所需的帐号根底信息包括用户身份信息、机构部门信息、其他公司相关信息,以及生命周期信息等)进行标准化的管理,能够为各IT系统提供根底的用户信息源。通过统一用户信息维护入口,保证各系统的用户帐号信息的唯一性和同步更新。 解决用户帐号共享问题主机、数据库、网络设备中存在大量的共享帐号,当发生平安事故时,难于确定帐号的实际使用者,通过部署内控堡垒主机系统,可以解决共享帐号问题。 解决帐号锁定问题用户登录失败五次,应对帐号进行锁定。网络设备、主机、应用系统等大都不支持帐号锁定功能。通过部署内控堡垒主机系统,可以实现用户帐号锁定、一键删除等功能。3.2 麒麟开源堡垒机集中身份认证和访问控制 提供集中身份认
7、证效劳实现用户访问IT系统的认证入口集中化和统一化,并实现高强度的认证方式,使整个IT系统的登录和认证行为可控制及可管理,从而提升业务连续性和系统平安性。 实现用户密码管理,满足SOX法案内控管理的要求多数企业对主机、网络设备、数据库的访问都是基于“用户名+静态密码访问,密码长期不更换,密码重复尝试的次数也没有限制,这些都不能满足SOX法案内控管理的需求。仅通过制度要求用户在密码更换、密码设定等方面满足SOX相关要求,无法在具体执行过程中对用户进行有效监督和检查。内控堡垒主机系统通过建设集中的认证系统,并结合集中帐号管理的相关功能,实现用户密码管理,密码自动变更,提高系统认证的平安性。 实现对
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 堡垒 银行 行业 设计方案