尚思卓越堡垒机安全管理规范

第一章 总 则
第一条 为加强堡垒机的安全管理工作，有效保证堡垒机部署、运维和使用的合规性、安全性和可审计性，结合实际情况，特制定本管理规范。
第二条 本规范中使用到的相关术语定义如下：
（一）堡垒机：是一种系统运维安全管理工具，提供用户对系统进行运维操作的统一入口，既能够对身份认证、运维授权、运维行为、设备账户密码等进行有效管控，又具有再现行为轨迹、过程回放等审计功能，有效保证运维操作的合规性、安全性和可审计性。
（二）设备：指由堡垒机进行密码托管或者密码代填、通过堡垒机进行运维的各类应用系统，包括Unix、Windows平台服务器、网络设备等。
（三）协议：指堡垒机所支持的运维协议，主要可分为文本协议（Telnet、SSH）、图形协议（RDP、XWin、VNC、Http等）、文件传输协议（FTP、SFTP）。
（四）密码托管：指设备的指定账户及其密码由堡垒机保存，并按照设置由堡垒机进行自动/手动改密，用户运维无须知晓账户密码、通过堡垒机自动认证登陆。
（五）密码代填：指设备的指定账户及其密码由堡垒机保存，堡垒机只保存而不进行改密，用户运维无须知晓账户密码、由堡垒机自动代填密码登陆。
（六）黑/白名单：指堡垒机能够对文本协议以及文件传输协议进行运维命令限制，黑名单为不允许运维用户执行的命令集合，白名单为仅允许运维用户执行的命令集合。根据堡垒机功能的不同，黑名单主要存在以下三种形式，一是堡垒机直接对黑名单命令进行阻断，二是在经复核人审核通过允许执行，三是允许执行但在审计中进行高亮显示。
（七）复核：指用户在通过堡垒机使用文本协议对平台设备运维时，可由另一复核用户对操作进行复核。根据堡垒机功能的不同，复核主要存在以下三种形式，一是通过实时共享运维会话画面、观看运维操作过程进行复核，二是在观看运维过程的同时，对黑名单命令进行审核，复核员许可后允许执行黑名单命令，三是对运维操作的全部命令进行审核，只有经复核员审核通过的命令才被执行。
第二章 安全技术标准
第三条 堡垒机能够支持静态口令认证、证书认证、令牌认证、AD域等认证方式中的两种以上，能够支持设置静态口令强度、用户认证有效期、登陆失败锁定次数等参数。
第四条 堡垒机对所托管的设备账户，能够根据设备密码管理员的设置（改密时间、改密账户范围等）进行自动定时改密、以及手动改密，所生成的新密码要符合系统密码复杂度要求，并提供改密结果日志。堡垒机能够加密导出全部或者部分设备账户密码，或者将其打印至密码密函信封中保存。
第五条 堡垒机能够提供灵活、细粒度的运维授权机制，根据运维时间区间、运维用户（组）、运维协议、运维设备（组）、设备账户、运维终端IP地址等要素，以最小权限准则对运维操作进行授权，得到授权许可方可进行相应的运维操作，以降低运维操作风险，最大限度保护用户资源的安全。
第六条 堡垒机能够支持根据系统管理员的设置，将系统配置、运维审计日志等重要信息通过FTP定期自动传输或者手动下载的方式进行系统备份异地存放，满足在各类故障或应用场景使用备份数据及时恢复系统配置，确保堡垒机稳定运行。
第三章 安全设置
第七条 若堡垒机存在用于底层维护的特殊用途端口，平时必须在系统中将其关闭，仅可在应急情况或者有特殊需求时进行开放，并在操作执行完成后立刻关闭。
第八条 堡垒机设备及其主控台必须放置于生产机房，且位于视频监控范围之内。堡垒机操作必须在指定终端上进行，且终端位于视频监控范围内。
第九条 堡垒机必须对堡垒机系统配置、运维日志、审计日志等信息进行周期性备份，以便于各类故障或应用场景下对系统进行恢复。其中备份周期、备份文件传输方式、备份文件存放方式由各行根据堡垒机产品功能自行确定。
第十条 堡垒机须经过安全测试才能正式上线使用。安全测试中应重点关注：有无非法后门、系统健壮性、应用产品代码、应用系统版本、补丁更新、系统版本等方面内容。
第十一条 堡垒机投产使用后，应定期开展系统安全评估工作。使用漏洞扫描、系统升级、补丁更新等方法及时发现并修复相关安全漏洞，保证堡垒机稳定运行。
第四章 通用设置
第十二条 堡垒机用户划分应包括但不限于系统管理员、授权员、审计员、运维用户、设备密码管理员五个基本类型，各行可根据自身情况对用户进行合理划分，确保不同用户类型之间权限相互制衡。
第十三条 堡垒机用户认证体系中，系统管理员应采用强口令、证书认证、动态口令等多重认证方式，不同认证要素应由不同管理员进行分管。其他权限用户根据实际情况，采用合适的认证方式。各行可根据堡垒机用户权限大小及重要性，对认证方式进行灵活设置，确保堡垒机认证体系的完备安全。
第十四条 各行在堡垒机投产以后，遵循按照设备重要性循序渐进的原则逐步将各类设备纳入堡垒机管理。原则上重要系统均须纳入堡垒机进行管理，具体设备范围由各行进行确定。
第十五条 各设备管理账户（root、administrator等）必须纳入堡垒机进行统一管理。监控菜单用户、无法改密的用户可采用密码代填的方式纳入堡垒机管理。
第十六条 设备密码管理员须根据堡垒机改密设置，在设备账户密码周期性修改或者手动修改后，及时将各设备管理员账户密码通过加密导出、或者打印至密码信封等安全方式，由专人存放保管，确保设备账户密码的安全。
第十七条 出于堡垒机应急操作的需要，各行可以在生产系统中预留应急用户，其密码应使用安全介质进行封存由专人保管，当且仅当堡垒机和所导出密码均失效时启用，以对设备进行应急运维。堡垒机恢复正常后，由密码管理员负责修改应急用户密码并重新封存密码信封。
第五章 运维流程
第十八条 应按照运维人员的真实信息建立独立的堡垒机用户ID，以识别各设备账户的真实使用者。
第十九条 按照各行运维审批流程，授权员根据有权人的审批，对运维时间区间、运维用户（组）、运维协议、运维设备（组）、设备账户、运维终端IP地址等要素进行设置，以最小授权准则对运维操作进行授权。
第二十条 运维人员仅在得到授权员授权后，在对应的运维时间区间登录堡垒机，方可对指定设备使用指定账户在指定协议上进行系统运维操作，以保证堡垒机不被超限使用。
第二十一条 堡垒机可对黑/白名单进行设置。例如，针对特定设备的特定账户操作使用黑名单进行限制，未经审批不得执行，防止误操作；对一些外部巡检人员应用白名单进行限制，仅可执行指定的查询类巡检命令，确保设备安全。各分行根据自身需求进行相应设置。
第二十二条 堡垒机原则上应由自有人员进行维护操作。通过堡垒机对所托管的系统进行运维操作时，涉及重要系统、重要变更的操作必须采用双人复核机制，以确保对堡垒机操作的安全合规。
第二十三条 在特殊情况下，堡垒机需要由外部人员进行操作时，
操作过程中必须有人员全程陪同，并对外部人员操作堡垒机进行实时监控，防止信息外泄。
第六章 运维审计
第二十四条 堡垒机能够支持对运维会话、以及系统自身操作进行记录和审计。运维行为审计能够进行灵活组合检索，并且能提供信息回放和视频回放。系统自身操作审计也要求能够进行灵活组合检索。堡垒机能够支持审计员对历史会话和当前活动会话进行审计，并可实时终结当前危险活动运维会话。