【正文】 系統(tǒng)建立運(yùn)維安全管理系統(tǒng)，實(shí)現(xiàn)全局的策略管理、統(tǒng)一訪問Portal頁面、集中身份認(rèn)證、統(tǒng)一授權(quán)及認(rèn)證請求轉(zhuǎn)發(fā)等功能，對XXXX業(yè)務(wù)系統(tǒng)的系統(tǒng)資源賬號、維護(hù)操作實(shí)施集中管理、訪問認(rèn)證、集中授權(quán)和操作審計(jì)。根據(jù)集團(tuán)的相關(guān)規(guī)范的指導(dǎo)意見，我們根據(jù)對XXXX信息系統(tǒng)具體需求的分析，結(jié)合等級保護(hù)安全評估的要求，在對XXXX系統(tǒng)進(jìn)行安全建設(shè)時(shí)，我們所遵循的根本原則是：業(yè)務(wù)保障原則：安全建設(shè)的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。2 運(yùn)維安全管控系統(tǒng)方案設(shè)計(jì) 建設(shè)原則隨著信息技術(shù)的發(fā)展，XXXX已經(jīng)建立了比較完善的信息系統(tǒng)，具有網(wǎng)絡(luò)規(guī)模大、用戶數(shù)多、系統(tǒng)全而復(fù)雜等特點(diǎn)。 系統(tǒng)共享賬號安全隱患無論是內(nèi)部運(yùn)維人員還是第三方代維人員，基于傳統(tǒng)的維護(hù)方式，都是直接采用系統(tǒng)賬號完成系統(tǒng)級別的認(rèn)證即可進(jìn)行維護(hù)操作。另據(jù)中國國家信息安全測評中心調(diào)查，信息安全的現(xiàn)實(shí)威脅也主要為內(nèi)部信息泄露和內(nèi)部人員犯罪，而非病毒和外來黑客引起 第三方維護(hù)人員安全隱患XXXX企業(yè)在發(fā)展的過程中，因?yàn)閼?zhàn)略定位和人力等諸多原因，越來越多的會(huì)將非核心業(yè)務(wù)外包給設(shè)備商或者其他專業(yè)代維公司。堡壘機(jī)提供了一套多維度的運(yùn)維操作管控與審計(jì)解決方案，使得管理人員可以對網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備、數(shù)據(jù)庫等資源進(jìn)行集中賬號管理、細(xì)粒度的權(quán)限管理和訪問審計(jì)，幫助企業(yè)提升內(nèi)部風(fēng)險(xiǎn)控制水平。網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)運(yùn)維安全管控型（LAOS）方案模板北京網(wǎng)御星云信息技術(shù)有限公司文檔修訂記錄版本號日期修訂者修訂說明20140813李彬創(chuàng)建目 錄項(xiàng)目概述 51 安全現(xiàn)狀分析 5 內(nèi)部人員操作的安全隱患 5 第三方維護(hù)人員安全隱患 5 高權(quán)限賬號濫用風(fēng)險(xiǎn) 6 系統(tǒng)共享賬號安全隱患 6 違規(guī)行為無法控制的風(fēng)險(xiǎn) 62 運(yùn)維安全管控系統(tǒng)方案設(shè)計(jì) 6 建設(shè)原則 6 總體目標(biāo) 7 建設(shè)思路 83 運(yùn)維管控系統(tǒng)解決方案 8 系統(tǒng)總體設(shè)計(jì) 8 系統(tǒng)概述 8 系統(tǒng)組成 9 技術(shù)架構(gòu) 10 系統(tǒng)主要功能 11 用戶認(rèn)證與SSO 11 自動(dòng)改密 12 訪問授權(quán)管理 12 二次審批 13 告警與阻斷 14 實(shí)時(shí)操作過程監(jiān)控 15 歷史回放 15 審計(jì)報(bào)表 16 審計(jì)存儲(chǔ) 16 系統(tǒng)功能特點(diǎn) 16 運(yùn)維協(xié)議支持廣 17 對用戶網(wǎng)絡(luò)影響最小 17 多種部署方式，適應(yīng)多變業(yè)務(wù)場景 17 友好的用戶交互體驗(yàn) 17 系統(tǒng)部署 17 單臺(tái)部署 18 雙機(jī)部署 19 分布式部署 204 項(xiàng)目實(shí)施計(jì)劃 20 投入技術(shù)力量 20 項(xiàng)目人員組織結(jié)構(gòu) 21 項(xiàng)目實(shí)施人員情況 23 項(xiàng)目實(shí)施計(jì)劃 24 成立項(xiàng)目小組 26 第一次工程協(xié)調(diào)會(huì) 26 設(shè)備交貨 26 到貨驗(yàn)收 27 施工準(zhǔn)備 28 第二次工程協(xié)調(diào)會(huì) 28 系統(tǒng)實(shí)施 28 文檔整理和現(xiàn)場培訓(xùn) 29 終驗(yàn) 29 技術(shù)支持 29 培訓(xùn)計(jì)劃 305 項(xiàng)目管理方案 32 項(xiàng)目管理標(biāo)準(zhǔn) 32 質(zhì)量管理 32 質(zhì)量管理的方法 32 不合格品管理 33 質(zhì)量統(tǒng)計(jì)分析工具 33 質(zhì)量改進(jìn) 33 變更控制管理 34 項(xiàng)目溝通管理 36 項(xiàng)目成本管理 37 項(xiàng)目風(fēng)險(xiǎn)管理 376 項(xiàng)目咨詢方案 40 現(xiàn)場安裝需求調(diào)研 40 制定詳細(xì)的實(shí)施技術(shù)方案 41項(xiàng)目概述隨著XXXX企業(yè)信息化應(yīng)用的迅速發(fā)展，企業(yè)內(nèi)部的各種業(yè)務(wù)和經(jīng)營支撐系統(tǒng)不斷增加，網(wǎng)絡(luò)規(guī)模也迅速擴(kuò)大。1 安全現(xiàn)狀分析 內(nèi)部人員操作的安全隱患隨著XXXX企業(yè)信息化進(jìn)程不斷深入，企業(yè)的業(yè)務(wù)系統(tǒng)變得日益復(fù)雜，由內(nèi)部員工違規(guī)操作導(dǎo)致的安全問題變得日益突出起來。如何有效地監(jiān)控設(shè)備廠商和代維人員的操作行為,并進(jìn)行嚴(yán)格的審計(jì)是企業(yè)面臨的一個(gè)關(guān)鍵問題。隨著系統(tǒng)的不斷龐大，運(yùn)維人員與系統(tǒng)賬號之間的交叉關(guān)系越來越復(fù)雜，一個(gè)賬號多個(gè)人同時(shí)使用，是多對一的關(guān)系，賬號不具有唯一性，系統(tǒng)賬號的密碼策略很難執(zhí)行，密碼修改要通知所有知道這個(gè)賬號的人，如果有人離職或部門調(diào)動(dòng)，密碼需要立即修改，如果密碼泄露無法追查，如果有誤操作或者惡意操作，無法追查到責(zé)任人。IT建設(shè)的核心任務(wù)是運(yùn)用現(xiàn)代信息技術(shù)為企業(yè)整體發(fā)展戰(zhàn)略的實(shí)現(xiàn)提供支撐平臺(tái)并起到推動(dòng)作用。在保證安全的同時(shí)，還要保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率。通過本次安全運(yùn)維管控系統(tǒng)的建設(shè)，最終達(dá)到以下目標(biāo)：1. 通過運(yùn)維安全管控系統(tǒng)的建設(shè)為XXXX的系統(tǒng)資源運(yùn)維人員提供統(tǒng)一的入口，支持統(tǒng)一身份認(rèn)證手段。4. 系統(tǒng)應(yīng)具備靈活的授權(quán)管理功能，可實(shí)現(xiàn)一對一、一對多、多對多的用戶授權(quán)。網(wǎng)御LAOS是針對業(yè)務(wù)環(huán)境下的用戶運(yùn)維操作進(jìn)行控制和審計(jì)的合規(guī)性管控系統(tǒng)。管理員用戶在界面中進(jìn)行運(yùn)維用戶管理、設(shè)備及帳號管理、用戶授權(quán)管理和運(yùn)維審計(jì)管理等管理功能；運(yùn)維用戶在界面中進(jìn)行資源單點(diǎn)登錄等操作?？蓪?shí)現(xiàn)對應(yīng)用客戶端工具的自動(dòng)調(diào)出、密碼代填和操作審計(jì)功能。 本地認(rèn)證252。網(wǎng)御LAOS部署后，運(yùn)維人員可以通過不同的方式對目標(biāo)對象進(jìn)行訪問、維護(hù)：252。自動(dòng)密碼管理支持以下功能：252。 支持隨機(jī)不同密碼、隨機(jī)相同密碼、手工指定密碼等新密碼設(shè)定策略；252。 自動(dòng)改密結(jié)果確認(rèn)功能，密碼管理員必須人工確認(rèn)已經(jīng)下載或收到密碼文件；否則改密計(jì)劃自動(dòng)停止執(zhí)行，確保改密過程可靠性；252。 基于向?qū)降呐渲眠^程；252。 支持基于訪問者IP的訪問控制；252。 限制RDP訪問使用磁盤映射功能252。 對新建遠(yuǎn)程訪問會(huì)話進(jìn)行審批252。 阻斷未經(jīng)授權(quán)用戶訪問主機(jī)；252。 告警方式支持：以SYSLOG、短信、郵件、SNMP方式實(shí)時(shí)發(fā)送告警信息。 支持vi、smit、setup等字符菜單操作同步顯示； 歷史回放網(wǎng)御LAOS能夠以視頻回放方式，可根據(jù)操作記錄定位回放或完整重現(xiàn)維護(hù)人員對遠(yuǎn)程主機(jī)的整個(gè)操作過程，從而真正實(shí)現(xiàn)對操作內(nèi)容的完全審計(jì)。 支持倍速/低速播放、拖動(dòng)、暫停、停止、重新播放等播放控制操作；252。 支持以html、CSV方式生成并導(dǎo)出報(bào)表；252。252。 周期性自動(dòng)歸檔功能； 系統(tǒng)功能特點(diǎn) 運(yùn)維協(xié)議支持廣網(wǎng)御LAOS支持多種運(yùn)維訪問協(xié)議，能夠充分滿足日常運(yùn)維需要。 文件傳輸協(xié)議：FTP、SFTP252。 友好的用戶交互體驗(yàn)系統(tǒng)的用戶界面具備友好的用戶交互體驗(yàn)。終端維護(hù)區(qū)域用戶通過或方式登錄系統(tǒng)portal，經(jīng)過用戶身份認(rèn)證后，通過資源列表單點(diǎn)登錄至被管目標(biāo)資源。 部署網(wǎng)御LAOS后，內(nèi)部服務(wù)器的維護(hù)端口只需開放給運(yùn)維審計(jì)系統(tǒng)，無需再讓運(yùn)維人員直接訪問。 分布式部署 分布式部署如圖所示，網(wǎng)御LAOS支持分布式部署，把網(wǎng)域網(wǎng)絡(luò)審計(jì)系統(tǒng)切換至Proxy模式部署在各個(gè)運(yùn)維通道點(diǎn)，網(wǎng)域網(wǎng)絡(luò)審計(jì)系統(tǒng)部署在上層中心交換網(wǎng)絡(luò)中。如果小組成員確實(shí)需要更換，會(huì)和某某用戶的人員提前協(xié)調(diào)，同意后再進(jìn)行更換。u 配合某某用戶完成項(xiàng)目前期準(zhǔn)備工作。假定項(xiàng)目實(shí)施開始的時(shí)間為T，時(shí)間單位：日歷天，整個(gè)項(xiàng)目工程進(jìn)展如下：項(xiàng)目序號項(xiàng)目內(nèi)容投用時(shí)間完成時(shí)間1方案調(diào)整與合同簽訂：完成投標(biāo)文件修改，確定項(xiàng)目訂購的硬件設(shè)備和軟件。同時(shí)做詳細(xì)的業(yè)務(wù)需求調(diào)研、分析。 第一次工程協(xié)調(diào)會(huì)本次工程協(xié)調(diào)會(huì)建議在網(wǎng)域星云項(xiàng)目組成立后召開，參加人員包括用戶相關(guān)人員和網(wǎng)域星云項(xiàng)目組成員。 協(xié)商確定最終的工程實(shí)施進(jìn)度表；216。交貨地點(diǎn)：某某用戶指定地點(diǎn)。 網(wǎng)域星云派專人將所提供合同中全部貨物運(yùn)至指定地點(diǎn)，視為貨物的交貨時(shí)間，接收方出具《設(shè)備到貨驗(yàn)收單》。 網(wǎng)域星云供貨時(shí)提供設(shè)備的序列號列表清單以便與生產(chǎn)廠商核對。216。驗(yàn)貨程序網(wǎng)域星云公司將在合同規(guī)定的交貨期內(nèi)提供所有產(chǎn)品，在某某用戶用戶指定的安裝地點(diǎn)進(jìn)行產(chǎn)品交付。本系統(tǒng)中出現(xiàn)的任何涉及版權(quán)糾紛，均由網(wǎng)域星云承擔(dān)全部法律責(zé)任。 施工準(zhǔn)備網(wǎng)域星云設(shè)備安裝工程師到來之前，某某用戶應(yīng)確保機(jī)房和其他安裝場地配備符合貨物安裝要求的設(shè)施。 現(xiàn)場安裝條件的確認(rèn)，如電源、機(jī)架、電纜線等。根據(jù)書面確認(rèn)結(jié)果，如果施工條件具備，由用戶方和我方協(xié)商確定現(xiàn)場施工的具體時(shí)間。216。216。項(xiàng)目經(jīng)理及相關(guān)施工工程師負(fù)責(zé)安裝調(diào)試各系統(tǒng)的軟件系統(tǒng)，保證在規(guī)定周期內(nèi)完成所有調(diào)測與單項(xiàng)驗(yàn)收。系統(tǒng)安裝完成后，某某用戶沒有異議，