堡垒主机操作管理流程
一、概述
为了完善业务需要,提高内控堡垒主机系统的管理规范性,运维管理人员应依据堡垒主机操作管理流程进行操作。
堡垒主机操作管理流程包含用户账户申请、用户资源申请、授权人审批管理、授权账户安全管理、授权资源操作、责任划分等流程项。
二、管理流程
管理流程主要是由普通用户想要申请资源而发起申请至指定审批人,审批人根据实际情况予以审批或拒绝,或转发上级领导继续审批,审批环节可以根据需要分为一级至多级,直至有领导同意后,选择执行人去将此申请落实。
自然人(申请用户)申请、接入资源申请流程主要包括以下几类:
●用户账户申请流程
向系统管理员或安全部门负责人发起自然人账户申请,并填写
账户接入申请单申请新的接入账户,由系统管理员或安全部门
负责人审核后给予账户的用户名密码授权。
●资源接入申请流程
资源相关负责人申请资源接入到内控堡垒主机系统,用户申请
资源接入时需详细列出管理的资源信息,资源信息包括主机系
统、登录账户密码、主机IP地址等。
资源信息提交后由系统
管理员核对资源信息和接入账户的对应关系。
●自然人变更流程
自然人申请调整岗位,申请调整资源授权,申请数字证书等需
向系统管理员提交变更申请单。
●自然人注销流程
由于工作调离或资源主机下架等造成自然人账户需注销停用,需要向系统管理员作出说明,并由系统管理员审核后对自然人
账户进行注销停用处理。
三、账户管理
帐号管理包含对所有服务器、网络设备帐号的集中管理。
帐号和资源的集中管理是集中授权、认证和审计的基础。
帐号管理可以完成对帐号整个生命周期的监控和管理,而且还降低了企业管理大量用户帐号的难度和工作量。
同时,通过统一的管理还能够发现帐号中存在的安全隐患,并且制定统一的、标准的用户帐号安全策略。
授权账户的管理按照职责划分可分为系统管理员、安全审计员、普通账号
●系统管理员
负责对申请人账户的创建、变更和撤销;负责资源的创建、修
改、删除、授权。
●安全审计员
负责审核、登记备案自然人的用户权限和管理资源,并进行定
期审计。
●普通账号
指接入堡垒主机管理资源的自然人,主要用于登录分配资源进
行维护操作。
四、密码管理
实现集中的密码管理,并按照密码策略的要求,自动、集中、定期修改系统账号的口令,对口令强度和周期实行统一的管理。
1)密码制定策略
2)用户必须按照规定涉及相关主、从账号密码(长度、字符等),系统还提供多种密码制定策略,满足不同系统对密码安全的需要;
●可以设定最小和最大口令长度
●可以设定最小和最大字符数目
●可以设定最小和最大数字数目
●可以设定最小和最大标点符号数目
●可以进行口令更改时间间隔限制
●可以设置同一口令的使用限制
●可以设置导致账号被锁定的尝试失败登录次数
●可以对于管理员用户和普通用户分别设置口令管理和认证方
式的选择策略。
3)密码定期变更,用户账号密码的定期变更,提高密码的安全性;
4)密码定期检查,系统管理员执行密码检查,找出系统中存在不满足要求的用户口令,并及时的作出响应。
五、责任划分
已授权的自然人用户在安全运维过程中,系统会对登录用户进行操作审计、记录和存档。
针对运维过程中产生的安全事件依据系统的事件审计平台对事故原因进行追溯,明确安全事故责任。
六、附件表格
6.1用户账户申请表
6.2资源接入申请表
6.3自然人变更申请表
6.4自然人注销
七、操作手册
堡垒主机目前已跟上海CA认证结合,登录堡垒机时只要登录CA 的PIN码即可登录堡垒主机。
前提:当与CA证书认证结合时,前期需要在堡垒主机后台添加自然人帐号,规则如下:
个人证书命名方式为:名字拼音首字母+序列号后五位(全部写成
小写),如顾旭(gxb2147),密码统一123;单位证书命名方式同个人证书命名方式一样。
7.1添加管理员(证书认证关闭)
使用管理员帐号和口令登录堡垒主机,地址:htts://10.0.2.212,帐号:simper,口令:123。
1、【元目录】-》【自然人】-》【添加】,以下以黄春晖为例增加为管理员。
2、用户帐号为:hche1c5c,名称:黄春晖,点【提交】。
用户帐号为:名字拼音首字母+序列号后五位。
CA证书序列号查看方式为:
3、右键UniAgent图标-》【证书设备】-》【黄春晖】-》【查看内容】,如下图:
4、授权黄春晖为管理员帐号。
【内部角色授权】-》【增加】,勾选角色名称,勾选所有【配置管理权限选择】,点【确定】如下图:
7.2开启证书认证(与上海CA认证结合)
在开启证书认证时请确认按7.1方式添加过管理员帐号,否则开启证书认证后堡垒主机将无法登录。
开启方式:使用管理员登录登录堡垒主机,【配置管理】-》【系统配置】-》【认证配置】,勾选【证书认证开关】-》【保存设置】如下图:
这时需要输入PIN码才可以登录堡垒主机。
7.3登录堡垒主机
打开IE或360等浏览器(目前只支持IE内核的浏览器),输入地址:https:// ,选择证书,如下图:
输入PIN码,即可登录堡垒主机,如下图:。