等保2.0之堡垒机产品技术方案建议书目录1 项目需求 (3)1.1 项目背景 (3)1.2 建设目标 (4)1.3 设计原则 (5)1.4 业务连续性 (5)2 ××企业网络与运维管理分析 (6)2.1 ××企业网络现状 (6)2.2 ××企业运维行为管理问题与分析 (6)2.3 ××企业运维安全需求 (8)3 XX公司堡垒机产品解决方案 (9)3.1 XX公司堡垒机产品简介 (9)3.2 ××企业堡垒机部署模式 (9)3.2.1 单机部署模式 (9)3.2.2 双机热备部署模式 (10)3.2.3 集群部署模式 (11)3.3 ××企业运维安全解决方案优点总结 (13)3.3.1 支持手机APP、动态令牌等多种双因子认证 (13)3.3.2 覆盖最全的运维协议，让运维安全无死角 (13)3.3.3 运维方式丰富多样，适用自动化运维等复杂场景 (13)3.3.4 自动学习、自动授权，大大减轻管理员的配置工作 (14)3.3.5 灵活、可靠的自动改密，保障密码安全 (14)3.3.6 文件传输审计，让数据窃取行为无藏身之地 (15)3.3.7 极强的高可用性和扩展性 (15)4 XX公司堡垒机给用户带来的价值 (15)4.1 规范运维管理 (15)4.2 满足合规性要求 (16)4.3 降低资源风险，快速故障定位和责任追踪 (16)5 XX公司服务 (16)5.1 服务理念 (16)5.2 服务内容 (16)5.3 服务保障 (17)1 项目需求1.1 项目背景随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强，信息安全问题受到普遍关注。

由于业务发展等因素，各单位信息系统中的服务器及各种网络设备的不断增加，对设备的管理必须经过各种认证过程。

在一个设备的帐号被多个管理人员共享的情况下，引发了如帐号管理混乱、授权关系不清晰等各类安全问题，并加大了内控审计的难度。

国际信息安全领域很早就提出了4A（认证Authentication、账号Account、授权Authorization、审计Audit）统一安全管理平台解决方案概念，而在机构的IT运维体系中，也同样需要建立符合4A标准的统一运维安全管理平台，即融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素的安全运维管理平台，既能够为客户提供基于IT运维层面的、功能完善的、高安全级别的4A管理，也能够为用户提供参照各类法令法规（如SOX、PCI、企业内控管理、等级保护、ISO/IEC 27001等）要求的运维内控功能实现和可用的内控安全丰富报表。

随着XXXX业务系统的迅速发展，各种支撑系统和资产账号数量的不断增加，网络规模迅速扩大，原有的账号口令、权限认证、审计管理措施已不能满足企业目前及未来业务发展的要求。

面对系统和网络安全性、IT运维管理和IT内控外审的挑战，如何提高系统运维管理水平，满足相关标准要求，降低运维成本，提供控制和审计依据，已经成为越来越困扰这些企业的问题。

●独立的帐号数据库形成身份信息孤岛，帐号身份信息分散于各个系统，形成身份信息的孤岛维护人员同时对多个系统进行维护，工作复杂度会成倍增加。

●缺乏集中统一的资源授权管理平台，帐号权限无法集中管理，越权事件时有发生；缺乏集中统一的访问控制策略，各个系统访问控制自成一体，力度不一。

●自然人身份和业务系统帐号重叠，身份的混乱，账号多人共用，难以确定账号的实际使用者，难以对账号的扩散范围进行控制，容易造成安全漏洞。

●自然人对多系统的访问频繁切换，切换系统登录时，都需要输入帐号名和口令进行登录。

给工作带来不便，影响工作效率。

●独立的审计，缺乏关联分析，无法审计追踪，缺乏有效的审计手段或者根据目前的审计信息无法追溯到自然人；无法对支撑系统进行综合分析，不能及时发现入侵行为进行安全预警和数据责任追踪。

为解决XXXX安全管理的上述问题，迫切需要建立一个统一的安全管理平台，使得系统和安全管理人员可以对支撑系统的用户和各种资源进行集中管理、集中权限分配、集中审计，从技术上保证业务支撑系统安全策略的实施，保障业务支撑系统安全、高效的运行。

1.2 建设目标本项目为构建一个统一的安全管理平台，集中解决XXXX的核心业务运维的安全管理问题。

主要目标如下：●实现对业务支撑系统、DCN网运营管理系统以及操作系统、数据库、网络设备等各种IT资源的帐号、认证、授权和审计的集中控制和管理。

有效地保障业务支撑系统安全可靠地运行。

为业务支撑系统提供机制统一、多样化的认证与授权安全服务，实现平滑过渡并实现与其他堡垒机系平台之间的数据交互。

●实现集中化、基于角色的的帐号管理，实现角色属性级别的细粒度权限分配和管理。

自然人与其拥有的资产帐号关联，统一规划用户身份信息和角色，对不同系统中的帐号进行创建、分配、同步。

●实现集中化的身份认证和访问入口。

根据安全需要选择不同的身份认证方式，在不更改或只对应用进行有限更改的情况下，即可在原来只有弱身份认证手段的应用上，增加强身份认证手段。

最终实现认证手段和应用的相对隔离和灵活使用。

●实现集中访问授权，基于集中管控安全策略的访问控制和角色的授权管理。

对用户使用业务支撑系统中资源的具体情况进行合理分配，实现不同用户对不同部分实体资源的访问。

最终建立完善的资源对自然人的授权管理。

●实现集中安全审计管理，收集、记录用户对业务支撑系统关键重要资源的使用情况。

便于统计自然人对资源的访问情况，在出现安全事故时，可以责任追踪。

对人员的登录过程、操作行为进行审计和处理。

最终建立完善针对“自然人→资源”访问过程的完整审计。

1.3 设计原则本次项目的方案设计原则体现在以下几个方面：●业务连续性。

堡垒机系平台是核心业务系统的统一认证与管理入口，其自身的硬件、软件、平台必须拥有完整的自有HA（高可用性）能力，以保证在特殊情况下的系统稳定性和高可用性，满足业务连续性要求。

●规范性。

规范性原则规定本次支撑系统改造的设计、开发、实施和维护管理必须遵循中国国家标准、信息产业部有关通信行业通用的规范、通用的国际规范。

●安全可靠性。

安全可靠性规定系统建成后必须能满足电信级的可靠性指标，保证7x24小时的服务。

●易用性。

易用性原则规定建成后的系统应方便系统管理员和业务管理员使用。

●利用现有资源。

利用现有资源，充分考虑对现有系统资源、计算机资源、数据资源和传输资源的利用，避免资源浪费。

1.4 业务连续性为了满足业务连续性要求，堡垒机系平台系统建设时遵循以下几点要求：●堡垒机系平台是支撑网业务的汇聚点和统一认证与管理入口，其自身的硬件、软件、平台必须拥有完整的自有HA（高可用性）能力，以保证在特殊情况下的系统稳定性和高可用性，满足业务连续性要求；●堡垒机系平台必须支持数据备份和恢复，在必要情况下可以快速进行数据恢复。

堡垒机系平台建设后必须制定详细的备份和恢复策略，并验证这些策略的可靠性；●对于改造后的系统资源，如网络设备和主机等，应保留该系统原有认证与授权机制，通过防火墙或交换机的访问控制策略，阻断原有的认证授权通道，只允许通过堡垒机系平台系统的堡垒主机访问，当堡垒机系平台出现故障时，取消访问控制策略，恢复这些设备和系统原有认证与授权机制，可以由用户通过资产帐号的方式直接访问；2 ××企业网络与运维管理分析本项目通过与××企业进行深入的交流，我们对其网络进行了充分的了解与分析。

……2.1 ××企业网络现状本项目主要包括两个部分(注意：要给出运维设备数和运维人员、时间等变量)：1．××企业内部网络拓扑图，用来进行组网方案的分析。

2．××企业内部网络承载的运维业务，主要是内部运维业务以及外部运维业务]2.2 ××企业运维行为管理问题与分析本项目主要包括以下几个部分(主要根据与客户的沟通以及我们自己的分析给出)：3.1. 运维安全问题在当前的运维状况下，由于对业务系统区域采用的是“直接访问”式的运维操作，在应用层面得不到有效的安全控制和审计。

传统“直接访问”式运维模式在这种情况下，极有可能由于人工的疏忽、失误甚至恶意操作而增大业务系统的安全风险，另外由于业务资产数量庞大，种类众多，运维协议多样，传统的人工运维管理存在效率低下，维护难度大等弊病。

综合来看，以上问题主要表现在：1）共享账号问题当前运维环境中，某单个业务资产上的运维账号（如AIX系统下的root账号）有可能被多个运维人员（系统开发人员）所使用，这就存在共享账号的安全问题。

由于无法对应到具体的使用人（自然人），因此一旦发生运维事故，很难追溯到当时的责任人。

由于无法追责，因此容易造成权限的误用、滥用等各类衍生的运维安全问题，使得业务系统面临很大的安全风险；2）临时账号问题业务资产将不定期的接受厂商等第三方工作人员的维护或临时访问，因此需要临时建立访问账号，由于业务资产数量众多，以及以往各种原因，不可避免的在资产中存在遗留的各种临时账号，如果继续采用现有的传统运维管理方式，在将来和以后仍有可能出现临时账号未及时删除的状况。

临时账号将成为业务资产被恶意入侵的重要后门；3）账号口令敏感性问题采用传统的运维管理方式，必须要把访问业务系统的账号和口令都通知到每个需要运维访问的人员，而账号口令是业务系统极其重要的安全信息种类，理应得到保护和保密，接触的人员越多，越容易产生泄漏等安全事件，从而对业务资产的安全造成威胁；4）运维透明度和可视化问题在当前的运维模式下，管理员很难实现运维操作的透明化和可视化，包括：a) 不知道（或很难知道）当前有谁正在操作业务资产；b) 不知道（或很难知道）业务资产每天发生了多少次运维访问；c) 不知道（或很难知道）最重要的业务资产上发生了什么运维操作；d) 不知道（或很难知道）是否有高危操作正在发生，一旦发生，完全没有风险控制或报警机制；运维不透明是运维安全管理的一大弊病和隐患。

5）运维效率与工作量问题以当前的业务资产数量级，某专门的运维人员有可能要记忆或保管几十台业务节点的账号和口令，而在每一次运维过程中都有可能要手工输入几十次账号和口令，或面临输入错误等运维意外，这将大大增加运维工作的复杂度，降低运维效率，有可能造成运维人员的抵触情绪或偷工减料的工作态度。

另外，管理员的一次修改可能影响到所有需要访问资产的运维人员，随着人员的增加或调整，这种方式将显得极不灵活，很有可能挂一漏万造成某运维人员的无法登录。

2.3 ××企业运维安全需求综上所述，xx企业需要一套能够对当前的运维模式进行有效约束与管理的统一运维安全管理平台，从而实现：1）对所有运维人员建立一对一的自然人用户，解决业务资产账号共享问题；2）对临时运维访问进行统一管理，建立人走号销的访客运维机制；3）运维人员不直接接触业务资产账号口令，资产账号口令由运维管理平台统一保管；4）借由运维管理平台对所有运维操作进行实时监控和历史回放，打造透明化、可视化运维，对高危操作进行控制或报警，提高运维合理性和风险防范能力；5）运维人员可以借由运维管理平台实现单点登录，一次登录即可直接访问所有授权资产，提高运维效率和便捷性；6）运维管理平台需要对当前所有的非标准协议、客户端工具进行支持，包括授权和审计，确保在业务扩充的情况下依然能够进行有效的运维管理；3 XX公司堡垒机产品解决方案3.1 XX公司堡垒机产品简介XX公司堡垒机系统关注的是运维人员的远程操作行为，可对操作行为进行限制、监控以及记录，并可以进行回放、查询、分析等审计功能。