【正文】 運(yùn)輸保險(xiǎn)事宜，有關(guān)包裝費(fèi)、運(yùn)費(fèi)、保險(xiǎn)費(fèi)、商檢費(fèi)、搬運(yùn)費(fèi)等費(fèi)用由網(wǎng)域星云承擔(dān)。 就下一步的工作進(jìn)行通報(bào)和溝通等。 各方項(xiàng)目組人員介紹，確定各自負(fù)責(zé)人和聯(lián)系人；216。T+3T+256實(shí)施方案安裝測試：按照合同要求、技術(shù)方案和工程安裝實(shí)施計(jì)劃，完成項(xiàng)目合同內(nèi)設(shè)備的安裝調(diào)試工作T+15T+407系統(tǒng)技術(shù)培訓(xùn)和相關(guān)手冊的編寫T+15T+1008項(xiàng)目驗(yàn)收：根據(jù)項(xiàng)目合同要求，對系統(tǒng)進(jìn)行驗(yàn)收。T+1T+13設(shè)備交貨與到貨驗(yàn)收：我方能夠在10個(gè)工作日內(nèi)為某某用戶指提供貨物，按照合同的軟、硬件清單簽收到貨的設(shè)備。在驗(yàn)收過程中，因交付貨物的部分或全部不符合本合同約定的數(shù)量、質(zhì)量標(biāo)準(zhǔn)，外觀變形或損壞等情形，將按某某用戶要求更換、補(bǔ)齊，確保所交付的貨物完好無損。. 工程實(shí)施各方責(zé)任某某用戶職責(zé)：u 對工程實(shí)施方案進(jìn)行審定；u 組織、協(xié)調(diào)工程實(shí)施階段的有關(guān)工作；u 按照培訓(xùn)計(jì)劃，參加培訓(xùn)；u 完成工程實(shí)施的各項(xiàng)準(zhǔn)備工作；u 配合網(wǎng)域星云施工人員做好工程實(shí)施方案；u 負(fù)責(zé)轄內(nèi)產(chǎn)品的到貨驗(yàn)收；u 配合網(wǎng)域星云進(jìn)行安裝、調(diào)試；u 負(fù)責(zé)系統(tǒng)試運(yùn)行；u 組織進(jìn)行工程驗(yàn)收。4 項(xiàng)目實(shí)施計(jì)劃 投入技術(shù)力量 項(xiàng)目人員組織結(jié)構(gòu) 項(xiàng)目人員組織機(jī)構(gòu)圖. 指導(dǎo)管理小組由雙方負(fù)責(zé)人組成，負(fù)責(zé)本次施工項(xiàng)目的指導(dǎo)、管理、高級(jí)協(xié)調(diào)。 雙機(jī)部署 雙機(jī)部署如圖所示，網(wǎng)御LAOS支持HA雙機(jī)熱備部署，以避免單點(diǎn)故障隱患，最大程度滿足運(yùn)維的可靠性和連續(xù)性。 單臺(tái)部署 單臺(tái)部署如圖所示，網(wǎng)御LAOS在部署時(shí)只需要為其分配一個(gè)獨(dú)立IP地址即可，無需對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行任何調(diào)整。同時(shí)系統(tǒng)支持多種目標(biāo)資源訪問方式，包括頁面WEB訪問、頁面調(diào)用本地客戶端訪問、命令或圖形菜單訪問和客戶端直連訪問，系統(tǒng)使用界面友好，能夠最大程度適應(yīng)不同用戶的使用習(xí)慣。 對用戶網(wǎng)絡(luò)影響最小物理旁路、邏輯串聯(lián)方式部署，不必更改現(xiàn)有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時(shí)不需要在被管理設(shè)備上安裝任何代理程序，對用戶業(yè)務(wù)和網(wǎng)絡(luò)結(jié)構(gòu)影響最小。 字符協(xié)議：SSHv1vTELNET、RLOGIN、TN5250（AS400）252。 存儲(chǔ)空間不足時(shí)自動(dòng)歸檔并刪除最早數(shù)據(jù)；252。 支持以日報(bào)、周報(bào)、月報(bào)的方式自動(dòng)生成周期性報(bào)表。252。 以WEB在線視頻回放方式重現(xiàn)維護(hù)人員對服務(wù)器的所有操作過程，無須在客戶端安裝播放客戶端軟件；252。 252。 阻斷指令黑名單的操作行為；252。 告警與阻斷網(wǎng)御LAOS系統(tǒng)支持根據(jù)已設(shè)定的訪問控制策略，自動(dòng)檢測日常運(yùn)維過程中發(fā)生的越權(quán)訪問、違規(guī)操作等安全事件，系統(tǒng)能夠根據(jù)安全事件的類型、等級(jí)等條件進(jìn)行自動(dòng)的告警或阻斷處理。 是否啟用備注功能（訪問前必須先填寫維護(hù)內(nèi)容） 二次審批網(wǎng)御LAOS支持根據(jù)需求對特殊訪問與操作進(jìn)行二次審批功能，該功能可以進(jìn)一步加強(qiáng)對第三方人員訪問或關(guān)鍵設(shè)備訪問操作的控制力度，確保所有訪問操作都在實(shí)時(shí)監(jiān)控過程中進(jìn)行。 限制SSH協(xié)議使用SFTP252。管理員可根據(jù)用戶、用戶組、訪問主機(jī)、目標(biāo)系統(tǒng)賬號(hào)、訪問方式設(shè)置細(xì)粒度訪問策略；252。 訪問授權(quán)管理網(wǎng)御LAOS系統(tǒng)通過集中統(tǒng)一的訪問控制和細(xì)粒度的命令級(jí)授權(quán)策略，確保每個(gè)運(yùn)維用戶擁有的權(quán)限是完成任務(wù)所需的最合理權(quán)限。 設(shè)定指定的改密對象，支持AD域賬號(hào)改密；252。 針對不同設(shè)備制定不同改密計(jì)劃；252。 支持通過WEB直接調(diào)用本地客戶端方式進(jìn)行訪問；運(yùn)維人員登錄網(wǎng)御LAOS系統(tǒng)時(shí)，系統(tǒng)會(huì)根據(jù)訪問授權(quán)列表自動(dòng)展示授權(quán)范圍的主機(jī)，避免用戶訪問未經(jīng)授權(quán)主機(jī)。 LDAP認(rèn)證252。網(wǎng)御LAOS為每一個(gè)運(yùn)維人員創(chuàng)建唯一的運(yùn)維賬號(hào)（主賬號(hào)），運(yùn)維賬號(hào)是獲取目標(biāo)設(shè)備訪問權(quán)利的唯一賬號(hào)，進(jìn)行運(yùn)維操作時(shí)，所有設(shè)備賬號(hào)（從賬號(hào)）均與主賬號(hào)進(jìn)行關(guān)聯(lián)，確保所有運(yùn)維行為審計(jì)記錄的一致性，從而準(zhǔn)確定位事故責(zé)任人，彌補(bǔ)傳統(tǒng)網(wǎng)絡(luò)安全審計(jì)產(chǎn)品無法準(zhǔn)確定位用戶身份的缺陷，有效解決賬號(hào)共用問題。l 行為審計(jì)模塊實(shí)現(xiàn)對行為操作的審計(jì)功能，包括實(shí)時(shí)高危/違規(guī)行為的告警、實(shí)時(shí)監(jiān)控、歷史數(shù)據(jù)檢索及報(bào)表統(tǒng)計(jì)等功能。 系統(tǒng)組成網(wǎng)御LAOS由WEB模塊、協(xié)議代理模塊、行為審計(jì)模塊和應(yīng)用發(fā)布模塊和存儲(chǔ)模塊組成。本項(xiàng)目建成后，對于用戶來說，將實(shí)現(xiàn)只需進(jìn)行一次登錄，就可以維護(hù)不同的主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等，并能方便的來回切換訪問；對于管理員來說，將實(shí)現(xiàn)對用戶信息、設(shè)備信息、訪問控制信息等統(tǒng)一定義和描述，能確保信息的一致性；只需在運(yùn)維安全管控系統(tǒng)進(jìn)行統(tǒng)一配置管理和維護(hù)，降低工作量和復(fù)雜度。2. 系統(tǒng)應(yīng)根據(jù)“網(wǎng)絡(luò)實(shí)名制”原則記錄用戶從登錄系統(tǒng)直至退出的全程訪問、操作日志，并以方便、友好的界面方式提供對這些記錄的操作審計(jì)功能。生命周期原則：安全建設(shè)不僅僅要考慮靜態(tài)設(shè)計(jì)，還要考慮不斷的變化；系統(tǒng)應(yīng)具備適度的靈活性和擴(kuò)展性。信息安全是XXXX正常業(yè)務(wù)運(yùn)營與發(fā)展的基礎(chǔ)；是保證網(wǎng)絡(luò)品質(zhì)的基礎(chǔ)；是保障客戶利益的基礎(chǔ)。而事后追查，只能是亡羊補(bǔ)牢，損失已經(jīng)造成。 高權(quán)限賬號(hào)濫用風(fēng)險(xiǎn)因?yàn)榉N種歷史遺留問題，并不是所有的信息系統(tǒng)都有嚴(yán)格的身份認(rèn)證和權(quán)限劃分，權(quán)限劃分混亂，高權(quán)限賬號(hào)（比如root賬號(hào)）共用等問題一直困擾著網(wǎng)絡(luò)管理人員，高權(quán)限賬號(hào)往往掌握著數(shù)據(jù)庫和業(yè)務(wù)系統(tǒng)的命脈，任何一個(gè)操作都可能導(dǎo)致數(shù)據(jù)的修改和泄露，最高權(quán)限的濫用，讓運(yùn)維安全變得更加脆弱，也讓責(zé)任劃分和威脅追蹤變得更加困難。根據(jù)FBI和CSI對484家公司進(jìn)行的網(wǎng)絡(luò)安全專項(xiàng)調(diào)查結(jié)果顯示：超過70%的安全威脅來自公司內(nèi)部，在損失金額上，是黑客造成損失的16倍，是病毒造成損失的12倍。在此背景之下，XXXX企業(yè)計(jì)劃針對運(yùn)維操作和業(yè)務(wù)管理與審計(jì)進(jìn)行堡壘機(jī)項(xiàng)目建設(shè)。由于信息系統(tǒng)運(yùn)維人員和業(yè)務(wù)系統(tǒng)的管理人員掌握著系統(tǒng)資源管理的最高權(quán)限，一旦操作出現(xiàn)安全問題將會(huì)給企業(yè)帶來巨大的損失，加強(qiáng)對運(yùn)維管理人員操作行為的監(jiān)管與審計(jì)成為信息安全發(fā)展的必然趨勢。防火墻、防病毒、入侵檢測系統(tǒng)等常規(guī)的安全產(chǎn)品可以解決一部分安全問題，但對于內(nèi)部人員的違規(guī)操作卻無能為力。嚴(yán)格的規(guī)章制度只能約束一部分人的行為，只有通過嚴(yán)格的權(quán)限控制和操作審計(jì)才能確保安全管理制度的有效執(zhí)行。 違規(guī)行為無法控制的風(fēng)險(xiǎn)網(wǎng)絡(luò)管理員總是試圖定義各種操作條例，來規(guī)范內(nèi)部員工的網(wǎng)絡(luò)訪問行為，但是除了在造成惡性后果后追查責(zé)任人，沒有更好的方式來限制員工的合規(guī)操作。信息安全作為IT建設(shè)的組成部分，核心任務(wù)是綜合運(yùn)用技術(shù)、管理等手段，保障企業(yè)IT系統(tǒng)的信息安全，保證業(yè)務(wù)的連續(xù)性。結(jié)構(gòu)簡化原則：安全建設(shè)的直接目的和效果是要將整個(gè)網(wǎng)絡(luò)變得更加安全，簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于整個(gè)安全防護(hù)體系的管理、執(zhí)行和維護(hù)。在完成統(tǒng)一認(rèn)證后，根據(jù)賬號(hào)所具有訪問權(quán)限發(fā)布、管理、登錄各個(gè)主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫。 建設(shè)思路為實(shí)現(xiàn)XXXX公司構(gòu)建針對人員帳戶管理層面全面完善的安全運(yùn)維管控系統(tǒng)需要，在本項(xiàng)目的實(shí)施過程中，網(wǎng)域星云將根據(jù)“以用戶身份集中管理的思路為核心，建立全局唯一的權(quán)威身份信息源，可在一點(diǎn)集中管理用戶身份和權(quán)限，從而降低管理成本”的思路，在統(tǒng)一用戶身份的基礎(chǔ)上，實(shí)現(xiàn)各個(gè)系統(tǒng)資源的單點(diǎn)登錄、統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)、審計(jì)等信息的集中統(tǒng)一管理，并提供與用戶現(xiàn)有的數(shù)字證書系統(tǒng)進(jìn)行系統(tǒng)集成的解決方案，規(guī)劃合理、高效的用戶身份管理流程。它通過對自然人身份以及資源、資源賬號(hào)的集中管理建立“自然人賬號(hào)——資源——資源賬號(hào)”對應(yīng)關(guān)系，實(shí)現(xiàn)自然人對資源的統(tǒng)一授權(quán)，同時(shí)，對授權(quán)人員的運(yùn)維操作進(jìn)行記錄、分析、展現(xiàn)，以幫助內(nèi)控工作事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)控、違規(guī)行為響應(yīng)、事后合規(guī)報(bào)告、事故追蹤回放，加強(qiáng)內(nèi)部業(yè)務(wù)操作行為監(jiān)管、避免核心資產(chǎn)（服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等）損失、保障業(yè)務(wù)系統(tǒng)的正常運(yùn)營。l 協(xié)議代理模塊實(shí)現(xiàn)對主機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備維護(hù)過程中的協(xié)議數(shù)據(jù)包代理轉(zhuǎn)發(fā)、行為還原及記錄、高危/違規(guī)行為阻斷等功能。 技術(shù)架構(gòu). 協(xié)議代理模塊. 應(yīng)用發(fā)布模塊 系統(tǒng)主要功能 用戶認(rèn)證與SSO在信息系統(tǒng)的運(yùn)維操作過程中，經(jīng)常會(huì)出現(xiàn)多名維護(hù)人員共用設(shè)備（系統(tǒng)）賬號(hào)進(jìn)行遠(yuǎn)程訪問的情況，從而導(dǎo)致出現(xiàn)安全事件無法清晰地定位責(zé)任人。 Radius認(rèn)證252。 WEB控件方式訪問，所有協(xié)議均可通過WEB控件方式從WEB直接發(fā)起訪問，訪問過程支持IE（711版本）瀏覽器；252。 設(shè)定密碼復(fù)雜度策略；252。 改密結(jié)果自動(dòng)發(fā)送至指定密碼管理員郵箱；252。 改密結(jié)果高強(qiáng)度加密保護(hù)功能。 支持基于用戶角色的訪問控制（RBAC ,Role