【正文】 系統(tǒng)建立運(yùn)維安全管理系統(tǒng)，實(shí)現(xiàn)全局的策略管理、統(tǒng)一訪問(wèn)Portal頁(yè)面、集中身份認(rèn)證、統(tǒng)一授權(quán)及認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)等功能，對(duì)XXXX業(yè)務(wù)系統(tǒng)的系統(tǒng)資源賬號(hào)、維護(hù)操作實(shí)施集中管理、訪問(wèn)認(rèn)證、集中授權(quán)和操作審計(jì)。根據(jù)集團(tuán)的相關(guān)規(guī)范的指導(dǎo)意見(jiàn)，我們根據(jù)對(duì)XXXX信息系統(tǒng)具體需求的分析，結(jié)合等級(jí)保護(hù)安全評(píng)估的要求，在對(duì)XXXX系統(tǒng)進(jìn)行安全建設(shè)時(shí)，我們所遵循的根本原則是：業(yè)務(wù)保障原則：安全建設(shè)的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。2 運(yùn)維安全管控系統(tǒng)方案設(shè)計(jì) 建設(shè)原則隨著信息技術(shù)的發(fā)展，XXXX已經(jīng)建立了比較完善的信息系統(tǒng)，具有網(wǎng)絡(luò)規(guī)模大、用戶(hù)數(shù)多、系統(tǒng)全而復(fù)雜等特點(diǎn)。 系統(tǒng)共享賬號(hào)安全隱患無(wú)論是內(nèi)部運(yùn)維人員還是第三方代維人員，基于傳統(tǒng)的維護(hù)方式，都是直接采用系統(tǒng)賬號(hào)完成系統(tǒng)級(jí)別的認(rèn)證即可進(jìn)行維護(hù)操作。另?yè)?jù)中國(guó)國(guó)家信息安全測(cè)評(píng)中心調(diào)查，信息安全的現(xiàn)實(shí)威脅也主要為內(nèi)部信息泄露和內(nèi)部人員犯罪，而非病毒和外來(lái)黑客引起 第三方維護(hù)人員安全隱患XXXX企業(yè)在發(fā)展的過(guò)程中，因?yàn)閼?zhàn)略定位和人力等諸多原因，越來(lái)越多的會(huì)將非核心業(yè)務(wù)外包給設(shè)備商或者其他專(zhuān)業(yè)代維公司。堡壘機(jī)提供了一套多維度的運(yùn)維操作管控與審計(jì)解決方案，使得管理人員可以對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備、數(shù)據(jù)庫(kù)等資源進(jìn)行集中賬號(hào)管理、細(xì)粒度的權(quán)限管理和訪問(wèn)審計(jì)，幫助企業(yè)提升內(nèi)部風(fēng)險(xiǎn)控制水平。網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)運(yùn)維安全管控型（LAOS）方案模板北京網(wǎng)御星云信息技術(shù)有限公司文檔修訂記錄版本號(hào)日期修訂者修訂說(shuō)明20140813李彬創(chuàng)建目 錄項(xiàng)目概述 51 安全現(xiàn)狀分析 5 內(nèi)部人員操作的安全隱患 5 第三方維護(hù)人員安全隱患 5 高權(quán)限賬號(hào)濫用風(fēng)險(xiǎn) 6 系統(tǒng)共享賬號(hào)安全隱患 6 違規(guī)行為無(wú)法控制的風(fēng)險(xiǎn) 62 運(yùn)維安全管控系統(tǒng)方案設(shè)計(jì) 6 建設(shè)原則 6 總體目標(biāo) 7 建設(shè)思路 83 運(yùn)維管控系統(tǒng)解決方案 8 系統(tǒng)總體設(shè)計(jì) 8 系統(tǒng)概述 8 系統(tǒng)組成 9 技術(shù)架構(gòu) 10 系統(tǒng)主要功能 11 用戶(hù)認(rèn)證與SSO 11 自動(dòng)改密 12 訪問(wèn)授權(quán)管理 12 二次審批 13 告警與阻斷 14 實(shí)時(shí)操作過(guò)程監(jiān)控 15 歷史回放 15 審計(jì)報(bào)表 16 審計(jì)存儲(chǔ) 16 系統(tǒng)功能特點(diǎn) 16 運(yùn)維協(xié)議支持廣 17 對(duì)用戶(hù)網(wǎng)絡(luò)影響最小 17 多種部署方式，適應(yīng)多變業(yè)務(wù)場(chǎng)景 17 友好的用戶(hù)交互體驗(yàn) 17 系統(tǒng)部署 17 單臺(tái)部署 18 雙機(jī)部署 19 分布式部署 204 項(xiàng)目實(shí)施計(jì)劃 20 投入技術(shù)力量 20 項(xiàng)目人員組織結(jié)構(gòu) 21 項(xiàng)目實(shí)施人員情況 23 項(xiàng)目實(shí)施計(jì)劃 24 成立項(xiàng)目小組 26 第一次工程協(xié)調(diào)會(huì) 26 設(shè)備交貨 26 到貨驗(yàn)收 27 施工準(zhǔn)備 28 第二次工程協(xié)調(diào)會(huì) 28 系統(tǒng)實(shí)施 28 文檔整理和現(xiàn)場(chǎng)培訓(xùn) 29 終驗(yàn) 29 技術(shù)支持 29 培訓(xùn)計(jì)劃 305 項(xiàng)目管理方案 32 項(xiàng)目管理標(biāo)準(zhǔn) 32 質(zhì)量管理 32 質(zhì)量管理的方法 32 不合格品管理 33 質(zhì)量統(tǒng)計(jì)分析工具 33 質(zhì)量改進(jìn) 33 變更控制管理 34 項(xiàng)目溝通管理 36 項(xiàng)目成本管理 37 項(xiàng)目風(fēng)險(xiǎn)管理 376 項(xiàng)目咨詢(xún)方案 40 現(xiàn)場(chǎng)安裝需求調(diào)研 40 制定詳細(xì)的實(shí)施技術(shù)方案 41項(xiàng)目概述隨著XXXX企業(yè)信息化應(yīng)用的迅速發(fā)展，企業(yè)內(nèi)部的各種業(yè)務(wù)和經(jīng)營(yíng)支撐系統(tǒng)不斷增加，網(wǎng)絡(luò)規(guī)模也迅速擴(kuò)大。1 安全現(xiàn)狀分析 內(nèi)部人員操作的安全隱患隨著XXXX企業(yè)信息化進(jìn)程不斷深入，企業(yè)的業(yè)務(wù)系統(tǒng)變得日益復(fù)雜，由內(nèi)部員工違規(guī)操作導(dǎo)致的安全問(wèn)題變得日益突出起來(lái)。如何有效地監(jiān)控設(shè)備廠商和代維人員的操作行為,并進(jìn)行嚴(yán)格的審計(jì)是企業(yè)面臨的一個(gè)關(guān)鍵問(wèn)題。隨著系統(tǒng)的不斷龐大，運(yùn)維人員與系統(tǒng)賬號(hào)之間的交叉關(guān)系越來(lái)越復(fù)雜，一個(gè)賬號(hào)多個(gè)人同時(shí)使用，是多對(duì)一的關(guān)系，賬號(hào)不具有唯一性，系統(tǒng)賬號(hào)的密碼策略很難執(zhí)行，密碼修改要通知所有知道這個(gè)賬號(hào)的人，如果有人離職或部門(mén)調(diào)動(dòng)，密碼需要立即修改，如果密碼泄露無(wú)法追查，如果有誤操作或者惡意操作，無(wú)法追查到責(zé)任人。IT建設(shè)的核心任務(wù)是運(yùn)用現(xiàn)代信息技術(shù)為企業(yè)整體發(fā)展戰(zhàn)略的實(shí)現(xiàn)提供支撐平臺(tái)并起到推動(dòng)作用。在保證安全的同時(shí)，還要保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率。通過(guò)本次安全運(yùn)維管控系統(tǒng)的建設(shè)，最終達(dá)到以下目標(biāo)：1. 通過(guò)運(yùn)維安全管控系統(tǒng)的建設(shè)為XXXX的系統(tǒng)資源運(yùn)維人員提供統(tǒng)一的入口，支持統(tǒng)一身份認(rèn)證手段。4. 系統(tǒng)應(yīng)具備靈活的授權(quán)管理功能，可實(shí)現(xiàn)一對(duì)一、一對(duì)多、多對(duì)多的用戶(hù)授權(quán)。網(wǎng)御LAOS是針對(duì)業(yè)務(wù)環(huán)境下的用戶(hù)運(yùn)維操作進(jìn)行控制和審計(jì)的合規(guī)性管控系統(tǒng)。管理員用戶(hù)在界面中進(jìn)行運(yùn)維用戶(hù)管理、設(shè)備及帳號(hào)管理、用戶(hù)授權(quán)管理和運(yùn)維審計(jì)管理等管理功能；運(yùn)維用戶(hù)在界面中進(jìn)行資源單點(diǎn)登錄等操作?？蓪?shí)現(xiàn)對(duì)應(yīng)用客戶(hù)端工具的自動(dòng)調(diào)出、密碼代填和操作審計(jì)功能。 本地認(rèn)證252。網(wǎng)御LAOS部署后，運(yùn)維人員可以通過(guò)不同的方式對(duì)目標(biāo)對(duì)象進(jìn)行訪問(wèn)、維護(hù)：252。自動(dòng)密碼管理支持以下功能：252。 支持隨機(jī)不同密碼、隨機(jī)相同密碼、手工指定密碼等新密碼設(shè)定策略；252。 自動(dòng)改密結(jié)果確認(rèn)功能，密碼管理員必須人工確認(rèn)已經(jīng)下載或收到密碼文件；否則改密計(jì)劃自動(dòng)停止執(zhí)行，確保改密過(guò)程可靠性；252。 基于向?qū)降呐渲眠^(guò)程；252。 支持基于訪問(wèn)者IP的訪問(wèn)控制；252。 限制RDP訪問(wèn)使用磁盤(pán)映射功能252。 對(duì)新建遠(yuǎn)程訪問(wèn)會(huì)話(huà)進(jìn)行審批252。 阻斷未經(jīng)授權(quán)用戶(hù)訪問(wèn)主機(jī)；252。 告警方式支持：以SYSLOG、短信、郵件、SNMP方式實(shí)時(shí)發(fā)送告警信息。 支持vi、smit、setup等字符菜單操作同步顯示； 歷史回放網(wǎng)御LAOS能夠以視頻回放方式，可根據(jù)操作記錄定位回放或完整重現(xiàn)維護(hù)人員對(duì)遠(yuǎn)程主機(jī)的整個(gè)操作過(guò)程，從而真正實(shí)現(xiàn)對(duì)操作內(nèi)容的完全審計(jì)。 支持倍速/低速播放、拖動(dòng)、暫停、停止、重新播放等播放控制操作；252。 支持以html、CSV方式生成并導(dǎo)出報(bào)表；252。252。 周期性自動(dòng)歸檔功能； 系統(tǒng)功能特點(diǎn) 運(yùn)維協(xié)議支持廣網(wǎng)御LAOS支持多種運(yùn)維訪問(wèn)協(xié)議，能夠充分滿(mǎn)足日常運(yùn)維需要。 文件傳輸協(xié)議：FTP、SFTP252。 友好的用戶(hù)交互體驗(yàn)系統(tǒng)的用戶(hù)界面具備友好的用戶(hù)交互體驗(yàn)。終端維護(hù)區(qū)域用戶(hù)通過(guò)或方式登錄系統(tǒng)portal，經(jīng)過(guò)用戶(hù)身份認(rèn)證后，通過(guò)資源列表單點(diǎn)登錄至被管目標(biāo)資源。 部署網(wǎng)御LAOS后，內(nèi)部服務(wù)器的維護(hù)端口只需開(kāi)放給運(yùn)維審計(jì)系統(tǒng)，無(wú)需再讓運(yùn)維人員直接訪問(wèn)。 分布式部署 分布式部署如圖所示，網(wǎng)御LAOS支持分布式部署，把網(wǎng)域網(wǎng)絡(luò)審計(jì)系統(tǒng)切換至Proxy模式部署在各個(gè)運(yùn)維通道點(diǎn)，網(wǎng)域網(wǎng)絡(luò)審計(jì)系統(tǒng)部署在上層中心交換網(wǎng)絡(luò)中。如果小組成員確實(shí)需要更換，會(huì)和某某用戶(hù)的人員提前協(xié)調(diào)，同意后再進(jìn)行更換。u 配合某某用戶(hù)完成項(xiàng)目前期準(zhǔn)備工作。假定項(xiàng)目實(shí)施開(kāi)始的時(shí)間為T(mén)，時(shí)間單位：日歷天，整個(gè)項(xiàng)目工程進(jìn)展如下：項(xiàng)目序號(hào)項(xiàng)目?jī)?nèi)容投用時(shí)間完成時(shí)間1方案調(diào)整與合同簽訂：完成投標(biāo)文件修改，確定項(xiàng)目訂購(gòu)的硬件設(shè)備和軟件。同時(shí)做詳細(xì)的業(yè)務(wù)需求調(diào)研、分析。 第一次工程協(xié)調(diào)會(huì)本次工程協(xié)調(diào)會(huì)建議在網(wǎng)域星云項(xiàng)目組成立后召開(kāi)，參加人員包括用戶(hù)相關(guān)人員和網(wǎng)域星云項(xiàng)目組成員。 協(xié)商確定最終的工程實(shí)施進(jìn)度表；216。交貨地點(diǎn)：某某用戶(hù)指定地點(diǎn)。 網(wǎng)域星云派專(zhuān)人將所提供合同中全部貨物運(yùn)至指定地點(diǎn)，視為貨物的交貨時(shí)間，接收方出具《設(shè)備到貨驗(yàn)收單》。 網(wǎng)域星云供貨時(shí)提供設(shè)備的序列號(hào)列表清單以便與生產(chǎn)廠商核對(duì)。216。驗(yàn)貨程序網(wǎng)域星云公司將在合同規(guī)定的交貨期內(nèi)提供所有產(chǎn)品，在某某用戶(hù)用戶(hù)指定的安裝地點(diǎn)進(jìn)行產(chǎn)品交付。本系統(tǒng)中出現(xiàn)的任何涉及版權(quán)糾紛，均由網(wǎng)域星云承擔(dān)全部法律責(zé)任。 施工準(zhǔn)備網(wǎng)域星云設(shè)備安裝工程師到來(lái)之前，某某用戶(hù)應(yīng)確保機(jī)房和其他安裝場(chǎng)地配備符合貨物安裝要求的設(shè)施。 現(xiàn)場(chǎng)安裝條件的確認(rèn)，如電源、機(jī)架、電纜線(xiàn)等。根據(jù)書(shū)面確認(rèn)結(jié)果，如果施工條件具備，由用戶(hù)方和我方協(xié)商確定現(xiàn)場(chǎng)施工的具體時(shí)間。216。216。項(xiàng)目經(jīng)理及相關(guān)施工工程師負(fù)責(zé)安裝調(diào)試各系統(tǒng)的軟件系統(tǒng)，保證在規(guī)定周期內(nèi)完成所有調(diào)測(cè)與單項(xiàng)驗(yàn)收。系統(tǒng)安裝完成后，某某用戶(hù)沒(méi)有異議，