银行分行运维审计平台实施方案修订记录/Change History目录1 文档说明 (5)1.1概述 (5)1.2运维操作现状 (5)2 物理部署规划 (6)2.1设备硬件信息 (6)2.2软件信息 (7)2.3系统LOGO (7)2.4地址规划 (7)2.5部署规划 (7)3 应用部署实施 (8)3.1堡垒机上线说明 (8)3.2设备初始化 (8)3.2.1上架加电 (8)3.2.2网络配置 (8)3.3堡垒机配置修改方式 (9)3.3.1目录树调整 (9)3.3.2设备类型添加及修改 (10)3.3.3堡垒机用户导入及用户配置 (11)3.3.4主机设备导入 (14)3.3.5系统赋权 (17)3.3.6应用发布服务器添加 (19)3.4堡垒机应用发布配置 (21)3.4.1应用发布用户配置 (21)3.4.2应用用户组授权 (22)3.5数据留存配置 (23)3.5.1审计数据留存 (23)3.5.2设备配置留存 (24)3.5.3定时任务配置 (25)3.5.4动态令牌使用手册 (26)1、证书导入 (26)2、证书绑定 (26)3、运维人员使用 (27)3.6应急方案 (29)4 系统测试 (30)4.1 TELNET访问操作管理 (30)4.2 SFTP访问操作管理 (30)4.3 SSH访问操作管理 (30)4.4 RDP访问操作管理 (31)4.5 FTP访问操作管理 (31)5 集中管控平台 (31)5.1集中管控平台功能 (31)5.2设备硬件信息 (32)5.3软件信息 (32)5.4地址规划 (32)5.5部署规划 (32)5.6集中管控平台部署 (33)5.7系统上线需求 (33)5.8系统安装 (34)6 双机部署模式 (35)6.1双机部署模式功能 (35)6.2上线条件 (35)6.3地址规划 (35)6.4上线步骤 (35)1 文档说明1.1 麒麟开源堡垒机使用概述随着我行业务围和营业网点的不断延伸扩大，各类特色业务系统和基础网络设备随之上线运行，切实有效的保障了各分行业务的稳定性、安全性和灵活性。

但与此同时，随着业务系统应用围越来越广、数据越来越多，所需日常维护的系统和设备也在日益增长，科技运维部门面临的网络、系统安全稳定运行的压力也随之增加。

当前运维管理中存在的主要问题是，技术人员和维护人员的日常管理和维护都是直接登录业务系统、设备进行操作，没有针对运维操作进行统一管理、统一审计、统一分析的系统，造成运维操作没有办法进行监控分析，进而造成部数据信息泄露、违规操作、恶意操作、密码外泄等一系列重大安全隐患。

随着监管对于日常运维工作审计记录的监管需求以及XX银行本身运维规化管理的需求，实现分行骨干设备的运维操作的审计需求迫在眉睫。

本次堡垒机项目使用麒麟开源堡垒机，麒麟开源堡垒机产品功能强大稳定性高，经过测试可以完全满足银行的使用需要。

1.2 运维操作现状当前分行均已部署了ACS设备，实现了网络统一管理、权限控制、及命令记录功能。

但因为缺少专业的运维管理系统，对于运维操作的监控，还存在一定的盲区，主要表现为：➢运维操作方式多样、分散，缺乏有效集中管理；➢运维操作缺乏技术手段来约束；➢对运维操作行为的审计方式不直观；➢共享账号的情况普遍，给访问者定位带来难题。

2 物理部署规划2.1 设备硬件信息2.2 软件信息2.3 系统LOGO堡垒机LOGO在安装时，都已经被设置为XX银行运维审计平台，以与其它系统进行区分。

2.4 地址规划参照分行部署规，运维审计堡垒机及应用发布平台，需要分行分配在基础服务器区域，分配【199.XX.XX.XX】的地址，两台设备分别需要分配IP地址，且两个地址需要在一个子网。

2.5 部署规划⏹堡垒机、应用发布平台各需要2U的机柜空间位置⏹堡垒机、应用发布平台需要部署在基础服务器接入区⏹堡垒机、应用发布平台个需要2*10A电源3 应用部署实施3.1 堡垒机上线说明堡垒机在发往用户前，已经完成如下设置:●设备IP地址、网关、应用发布连接●设备、人员、权限关系、目录结构的前期调研和导入●密码规则策略设置●数据留存策略设置堡垒机现场上线实施步骤包括:●设备上架、加电●网络连通性测试●系统功能测试●现场培训注：堡垒机出厂时，已经完成了数据导入、权限策略设置、应用发布设置和IP 等环境设置，如果有实时时发生更改，请按下面相应描述章节进行修改3.2 设备初始化⏹上架加电⏹设置IP地址、网络掩码、网管3.2.1 上架加电第一步、分别将堡垒机和应用发布服务器按照部署位置，将主机安装固定到机柜中。

第二步、将随机携带的电源线插到主机后面板的电源插座上。

第三步、将电源线的另一端插到机柜为主机提供交流电源的插座上。

3.2.2 网络配置发货前，堡垒机和应用发布IP默认已经按客户要求配置完毕，如果需要现场修改可以按如下步骤：堡垒机和应用发布服务器网卡默认IP为：使用eth1进行登录，以避免配置错误后无法登入，堡垒机的管理口为console，通过https访问可以得到键盘显示器的界面，如果堡垒机出现硬件故障或两个网卡都不通时，使用管理口登录。

完成上架加电操作后，打开堡垒机的电源按钮，堡垒机开机启动，等待两分钟，启动完成后，使用笔记本通过网线连接堡垒机，笔记本IP地址配置为172.16.210.2/30后使用网线直接连接到堡垒机eth1口，然后使用浏览器打开https://172.16.210.1用户名输入admin 密码12345678，进入堡垒机系统，在【系统配置】-【网络配置】中修改网卡的IP地址信息，更改为规划好的eth0 IP地址。

应用发布IP eth1地址默认为172.16.210.1/30，可以直接使用mstsc rdp到应用发布服务器对IP地址进行修改。

3.3 堡垒机配置修改方式堡垒机上线，已经完成项如下：⏹目录树导入、设置⏹堡垒机用户导入表，建立主⏹设备、设备用户导入，建立从⏹飞塔防火墙应用从导入⏹设备授权设置到现场，有可能会对某些设备进行相应的调整，调整方法如下：3.3.1 目录树调整单击导航树中【资源管理】中的【资产管理】，选择“目录管理”页签，单击“增加新节点”；根据所要创建的组类型选择“所属目录”与“属性”；系统已经默认安装了标准的目录结构，只需要对目录结构进行相应的修改即可以完成本步设置图 1说明：“节点名”输入节点的名称，“所属目录”新创建目录所属那个父组；设备组目录结构与分行ACS一致，目录树可以无限级目录，堡垒机配置前必须先将目录树配置完毕才能进行用户和设备的导入，用户和设备导入时，必须有配置好的目录树。

3.3.2 设备类型添加及修改设备类型配置，主要是加入分行有的，但堡垒机中不存在的设备类型，否则导入时无法写成正确的设备类型（为了方便管理，设备类型最好不要涉及型号，只设置厂商即可，比如Cisco的 2960交换机、3950交换机，可以统一放在Cisco类型的设备中）单击导航树中【资源管理】中的【资产管理】，选择“系统类型”页签，单击“增加”；图 2说明：“主机/网络”选项中，主机代表操作系统类型设备，网络代表路由交换类型设备，“系统类型”框中填写设备的类型，中文、英文都支持；3.3.3 堡垒机用户导入及用户配置导入表格填写，将附件一.运维人员导入表格按如下要求进行填写用户名:运维人员登录堡垒机时的名称，要求唯一（必须填写）密码: 运维人员登录堡垒机时的密码（必须填写）真实：运维人员的真实（必须填写）电子：运维人员的电子地址（选择填写）用户权限：统一配置为普通用户（必须填写）组名：目录结构中的资源组名称，如果出现同样名称的资源组，则导入时需要用组名(id)方式，比如出现重名的first组，如果你想在界面中这个组加入，则组名为first(221)手机：运维人员的手机（选择填写）工作单位：运维人员的工作单位（选择填写）工作部门：运维人员的工作部门（选择填写）USBKEY:为动态口令的令牌ID，如果用户需要动态令牌，则在动态令牌列表文件中选择一个未使用的动态令牌给用户后面的其它选项：一般不需要填写，所有的用户按模版复制即可用户导入表确认无误后,使用admin用户登录前台，在资源管理-资产管理-用户管理菜单，点击右下方的导入按钮在导入界面中，将加密的勾勾上，点击浏览按钮，选择找到需要导入的用户表后，点击提交按钮，即可以将所有的用户导入到堡垒机中点入确定后，会给用户提示，表中哪些用户没有导入成功及未成功的理由用户导入后，如果有个另的用户需要修改或添加，可以在用户管理菜单进行操作单击导航树中【资源管理】中的【资产管理】，选择“用户管理”页签，单击“添加用户”，填写用户的基本信息、权限信息及其他信息；图 3图 43.3.4 主机设备导入主机设备导入前提与堡垒机导入前提一致，必须先做好目录树。

按附件二主机设备表中的要求收集分行的主机设备，并且填好，主机导入时，会自动创建主机主机名：主机的名称IP主机的IP地址服务器组：服务器所属组的ID号，因为目录中允许同名称的组，因此，服务器组用ID号替代，可以在资产管理-资源管理-目录节点中查看ID号，如下图：系统类型：主机的操作系统类型，必须在第一章中添加的或系统自带的中选择添加系统用户：系统用户名，如果不想托管，则这项不填当前密码：系统播放的密码，如果不想托管，则这项可以不填登录协议：目前支持telnet/ssh1/ssh/ftp/rdp/vnc/x11 ，可以在这些登录方式中选择相应的端口：登录协议连接的目标端口过期时间：这个系统的过期时间，如果超过过期时间，则不在允许登录自动修改密码：是否对这个进行自动修改密码（默认为否）主：自动修改密码时只使用一个登录修改主机上所有的用户密码，如果是主，则填是，主一般为root权限或可以sudo 为root自动登录：默认填是堡垒机用户：XX项目中均填否Sftp用户：如果是SSH服务，则设置这个SSH用户是否可以使用SFTP服务，是为允许，否为不允许公私钥用户：如果是SSH服务，设置这个SSH用户认证是不是使用公私钥方式，是或否在资源管理-资产管理-设备管理中，点击导入按钮勾上加密按钮，并点击浏览按钮找到主机设备列表的表格后，点击提交按钮，会将所有的设备导入单台设备的添加、修改可以在设备管理菜单完成单击导航树中【资源管理】中的【资产管理】，选择“设备管理”页签，单击“添加”，填写基本信息；图 5单击导航树中【资源管理】中的【资产管理】，选择“设备管理”页签，指定设备的操作栏中单击“用户”，图 6单击“添加新用户”；图 7根据实际情况填写下图信息；3.3.5 系统赋权堡垒机（主）、主机系统（从）导入完成后，需要进行赋权操作，赋权后堡垒机（主）登录到堡垒机才能跳转到相应的设备。