×××银行行业
设计方案
麒麟堡垒机系统
目录
1 文档说明5
1.1 方案概述5
1.2 银行行业运维操作现状5
2 需求分析6
2.1 需求分析6
2.2 实施范围7
3 项目目标7
3.1 集中帐号管理7
3.2 集中身份认证和访问控制8
3.3 集中授权管理9
3.4 单点登录9
3.5 实名运维审计9
4 应用部署规划11
4.1 访问流程11
4.2 设备组分级12
4.3 账户分级13
4.3.1 账户分类13
4.3.2 主账号分类13
4.3.3 普通用户分组13
4.4 认证方式14
4.5 密码规则14
4.6 目标设备管理14
4.7 数据留存策略15
4.8 配置备份15
4.9 访问策略16
4.10 开发环境策略规划16
4.11 访问控制17
4.12 集中管理规划17
4.13 双机部署规划19
5 物理部署规划21
5.1 设备硬件信息21
5.2 软件信息21
5.3 系统LOGO21
5.4 地址规划22
5.5 部署规划22
1 文档说明
1.1 方案概述
随着银行范围和营业网点的不断延伸扩大各类特色业务系统和基础网络设备随之上线运行切实有效的保障了各分行业务的稳定性、安全性和灵活性。但与此同时随着业务系统应用范围越来越广、数据越来越多所需日常维护的系统和设备也在日益增长科技运维部门面临的网络、系统安全稳定运行的压力也随之增加。
当前运维管理中存在的主要问题是技术人员和维护人员的日常管理和维护都是直接登录业务系统、设备进行操作没有针对运维操作进行统一管理、统一审计、统一分析的系统造成运维操作没有办法进行监控分析进而造成内部数据信息泄露、违规操作、恶意操作、密码外泄等一系列重大安全隐患。
随着监管对于日常运维工作审计记录的监管需求以及银行本身运维规范化管理的需求实现分行骨干设备的运维操作的审计需求迫在眉睫。
1.2 银行行业运维操作现状
一般银行行业都部署有AAA设备实现了网络帐号统一管理、权限控制、及命令记录功能。但因为缺少专业的运维管理系统对于运维操作的监控还存在一定的盲区主要表现为
运维操作方式多样、分散缺乏有效集中管理
运维操作缺乏技术手段来约束
对运维操作行为的审计方式不直观
共享账号的情况普遍给访问者定位带来难题。
2 需求分析
1.1 需求分析
为改善银行分行运维审计的现状落实监管需求强化运维操作管理部署一套运维审计平台成为解决这些问题的最优方案。
运维审计平台需要能满足如下功能
提供集中、有效的运维操作管理
具备技术手段来实现对运维操作的约束
提供可视化的运维操作行为的审计方式
通过审计信息来完善账号的操作管理
运维审计记录保存一年以上。
1.2 实施范围
一级分行本部内网网络设备
二级分行内网网络设备
支行内网网络设备
社区银行内网网络设备
自助银行网络设备
基础服务器
其他服务器及设备按需
3 项目目标
通过建设统一的运维管理平台实现对人员、设备、操作的统一管理及运维管理的白盒透明化实现认证、权限、审计、口令的集中管理最终形成一个完整安全的运维环境有效防止信息泄露、密码丢失、恶意及误操作、不按规范操作等安全事件的产生。同时将各项运维管理规章制度能以可监控的方式进行管理落地。
3.1 集中帐号管理
n 实现对用户帐号的统一管理和维护
在实现集中帐号管理前每一个新上线应用系统均需要建立一套新的用户帐号管理系统并且分别由各自的管理员负责维护和管理。这种相对独立的帐号管理系统不仅建设前期投入成本较高而且后期管理维护成本也会成倍增加。而通过堡垒主机的集中帐号管理可实现对IT系统所需的帐号基础信息包括用户身份信息、机构部门信息、其他公司相关信息以及生命周期信息等进行标准化的管理能够为各IT系统提供基础的用户信息源。通过统一用户信息维护入口保证各系统的用户帐号信息的唯一性和同步更新。
n 解决用户帐号共享问题
主机、数据库、网络设备中存在大量的共享帐号当发生安全事故时难于确定帐号的实际使用者通过部署内控堡垒主机系统可以解决共享帐号问题。
n 解决帐号锁定问题
用户登录失败五次应对帐号进行锁定。网络设备、主机、应用系统等大都不支持帐号锁定功能。通过部署内控堡垒主机系统可以实现用户帐号锁定、一键删除等功能。
3.2 集中身份认证和访问控制
n 提供集中身份认证服务
实现用户访问IT系统的认证入口集中化和统一化并实现高强度的认证方式使整个IT系统的登录和认证行为可控制及可管理从而提升业务连续性和系统安全性。
n 实现用户密码管理满足SOX法案内控管理的要求
多数企业对主机、网络设备、数据库的访问都是基于“用户名+静态密码”访问密码长期不更换密码重复尝试的次数也没有限制这些都不能满足SOX法案内控管理的需求。仅通过制度要求用户在密码更换、密码设定等方面满足SOX相关要求无法在具体执行过程中对用户进行有效监督和检查。内控堡垒主机系统通过建设集中的认证系统并结合集中帐号管理的相关功能实现用户密码管理密码自动变更提高系统认证的安全性。
n 实现对用户的统一接入访问控制功能
部署堡垒主机前维护人员接入IT系统进行维护操作具有接入方式多样、接入点分散的特点。而维护人员中很多是代维人员这些代维人员来自于各集成商或设备供应商人员参差不齐流动性大。由于维护人员对系统拥有过大权限缺乏对其进行访问控制和行为审计的手段存在极大的安全隐患。内控堡垒主机系统统一维护人员访问系统和设备的入口提供访问控制功能有效的解决运维人员的操作问题降低相关IT系统的安全风险。
3.3 集中授权管理
n 实现统一的授权管理
各应用系统分别管理所属的资源并为本系统的用户分配权限若没有集中统一的资源授权管理平台授权管理任务随着用户数量及应用系统数量的增加越来越重系统的安全性也无法得到充分保证。内控堡垒主机系统实现统一的授权管理对所有被管应用系统的授权信息进行标准化的管理减轻管理员的管理工作提升系统安全性。
n 授权流程化管理
通过内控堡垒主机系统管理层可容易地对用户权限进行审查并确保用户的权限中不能有不兼容职责用户只能拥有与身份相符的权限授权也有相应的工作流审批。
3.4 单点登录
n 单点登录
内控堡垒主机提供了基于B/S的单点登录系统用户通过一次登录系统后就可以无需认证的访问包括被授权的多种基于B/S和C/S的应用系统。单点登录为具有多帐号的用户提供了方便快捷的访问途经使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问来提高生产效率。同时单点登录可以实现与用户授权管理的无缝连接这样可以通过对用户、角色、行为和资源的授权增加对资源的保护和对用户行为的监控及审计。
n 规范操作流程
规范操作人员和第三方代维厂商的操作行为。通过内控堡垒主机系统的部署所有系统管理人员第三方系统维护人员都必须通过内控堡垒主机系统来实施网络管理和服务器维护。对所有操作行为做到可控制、可审计、可追踪。审计人员定期对维护人员的操作进行审计以提高维护人员的操作规范性。
内控堡垒主机系统规范了运维操作的工作流程将管理员从繁琐的密码管理工作中解放出来投入到其他工作上对第三方代维厂商的维护操作也不再需要专门陪同从而有效提高了运维管理效率。
3.5 实名运维审计
n 实现集中的日志审计功能
各应用系统相互独立的日志审计无法进行综合日志分析很难通过日志审计发现异常或违规行为。内控堡垒主机系统提供集中的日志审计能关联用户的操作行为对非法登录和非法操作快速发现、分析、定位和响应为安全审计和追踪提供依据。
n 辅助审查
通过集中的日志审计可以收集用户访问网络设备、主机、数据库的操作日志记录并对日志记录需要定期进行审查满足内部控制规范中关于日志审计的需求真正实现关联到自然人的日志审计。
4 应用部署规划
4.1 访问流程
堡垒机接入方式为物理旁路、连接串行方式堡垒机上线后为了实现审计功能要求所有的运维人员的运维操作都必须经过堡垒机跳转因此运维人员操作方式会有所改变从原来的运维终端直接登录管理设备改为从运维终端通过堡垒机跳转登录。
接入堡垒机以后ssh、telnet、rdp等运维操作改由PC运维终端先连接到堡垒机在从堡垒机跳转到业务服务器https、http、数据库等应用协议改为由PC运维终端先通过堡垒机连接到应用发布服务器在应用发布服务器上打开IE、数据库客户端等连接到业务服务器。
运维人员使用堡垒机方式主要包括WebPortal方式和工具直接登录方式二种。
WebPortal方式用户希望进行运维操作时需要先使用IE在URL里输入:
https://堡垒机IP
打开堡垒机界面输入主帐号用户名,密码为堡垒机主帐号密码+令牌产生的6位动态密码后打开WebPortal在WebPortal中可以列出用户可以登录的所有设备用户点击设备后面的工具时即可以直接登录到目标系统。
工具直接登录方式用户通过WEB登录到堡垒机后在设备管理-列表导出里点击后面的提交按钮可以将制作好的Session文件下载并且导入相应的运维工具中用户使用时不需要修改过去的运维习惯只需要打开运维工具在运维工具中点击希望登录的设备后输入堡垒机用户名密码为堡垒机主帐号密码+令牌产生的6位动态密码即可以登录到目标系统。
工具登录方式sessions导入界面如下
4.2 设备组分级
分行设备组采用树状分级至上而下为一级、二级、三级、四级、五级整体设备组分级图如下
4.3 账户分级
4.3.1 账户分类
主账号用于登陆堡垒机即堡垒机的登陆账号
从账号用于登陆账号使用即网络设备及服务器的登陆账号
4.3.2 主账号分类
运维堡垒机设置了五个用户角色超级管理员、审计管理员、配置管理员、分组管理员、和普通用户各角色具体权限如下表所示
用户权限说明
账号管理用于添加、删除、编辑主帐号
资产管理添加、删除、编辑设备和从帐号
系统配置管理设置堡垒机自身的管理配置比如监控参数、SYSLOG、服务起停、存储备份、网络配置等
运维审计策略配置可登录来源IP、时间列表、运行命令黑白名单等
运维操作审计查看审计运维人员操作过程
设备运维通过堡垒机主帐号登录运维设备从帐号进行运维操作
4.3.3 普通用户分组
4.4 认证方式
主账号采用双因素认证的方式本次主要采用以下方式
方式一: 实名帐号密码+硬件令牌动态口令
方式二: 实名帐号密码+手机令牌动态口令
堡垒机上线会自带200个手机令牌支持安卓和IOS系统和5个USBKEY硬件令牌处于方便性考虑建议优先使用手机令牌如果遇到特殊情况在使用硬件令牌。
4.5 密码规则
用户必须更改首次登录的初始密码
用户密码符合复杂度要求832 个字符含大小写字符特殊字符和数字
用户密码有效期设置为强制90天更改80天后提醒修改
用户密码不能包含4个以上连续的相同字符
用户密码不能和之前设置的5次历史密码相同
‘用户密码恶意尝试3次后账户将自动禁用
4.6 目标设备管理
1.堡垒机对于设备帐号的管理方式
堡垒机对于设备帐号的管理方式主要包括托管方式和空用户方式要求使用空用户方式。
托管方式是指将目标设备上的帐号和密码都录入到堡垒机上运维人员通过堡垒机登录设备时由堡垒机代替填写目标设备上的账号和密码直接登录到系统。
空用户方式是指不把目标设备的帐号和密码录入到堡垒机只是在堡垒机上为设备建立一个空用户的从帐号运维人员通过堡垒机登录设备时需要自己手工输入目标设备上的帐号和密码才能登录
空用户方式相比托管方式安全性要高堡垒机上不需要存贮用户名和密码但是使用起来较托管方式麻烦。
2.堡垒机支持的设备类型
堡垒机支持telnet/ftp/sftp/ssh/rdp/vnc/x11协议只要使用这些协议进行远程登录的系统都可以使用堡垒机进行管理。
对于一些使用B/S和C/S进行管理的应用需要使用应用发布服务器即将C/S安装在应用发布服务器后当运维人员想登录系统进行操作时先通过远程桌面连接到应用发布服务器从应用发布服务器上打开相应B/S或C/S程序连接到系统进行操作。因此对于应用的支持如果应用可以安装在2008R2 64位系统上即可使用。
4.7 数据留存策略
1.需要将日志留存策略设置为1年
2.同时需要使用外接存贮进行日志备份。堡垒机可以使用ftp或SFTP的方式将日志外发到外接存贮上外发方式为增量备份每天凌晨2点将前一天的审计数据上发到外接存贮上。
3.堡垒机具有FTP/SFTP上传下载文件审计记录功能为了不至堡垒机被FTP/SFTP审计文件占光存储FTP/SFTP上传下载文件记录设置为10M以内即只记录10M以内的上传下载文件10M以上的只记录文件名不保存文件。
4.如果硬盘已满将策略设置为覆盖旧文件当系统空间满了以后系统会自动删除文件将系统硬盘留出5%的空间进行记录
注堡垒机系统内置2T的存储空间通常情况下可以保存25个运维人员一年的操作记录以每个运维人员一天工作8小时计算计算公式如下
系统大约需要留500G做为系统使用其余1.5T用于存贮审计日志。
每个人使用运维系统一小时平均大约占20M左右的空间因此 20*8*365*25=1.46T
4.8 配置备份
1.配置备份分为手工备份和自动备份二种方式自动备份可以备份在分行提供的外接存贮服务器上使用SFTP或FTP协议手工备份由堡垒机管理员登录到前台在堡垒机界面上进行配置备份。
2.自动配置备份要求每天备份一次时间为每天凌晨2点。
3.手工配置备份要求每周备份一次。
4.9 访问策略
由于运维审计设备需要与网络设备、服务器等设备进行交流因此需要在相关防火墙上开通如下访问策略
4.10 开发环境策略规划
开发环境主要为了保证代码安全因此开发环境帐号需要做如下策略
1.采用跳板机方式即为分行开发人员建立若干Windows服务器做为跳板机开发人员登录到跳板机进行开发
2.开发人员登录到跳板机时不允许使用RDP剪切板、不允许使用RDP磁盘映射
3.如果开发人员还有运维权限为开发人员建立二个帐号一个用于运维一个用于开发以避免误操作
4.以保证代码安全另外应用发布服务器因为涉及对象并不针对代码保护因此开发人员不要将代码保存在应用发布服务器上。
5.跳板机上需要安装杀毒软件以避免病毒传递
4.11 访问控制
堡垒机上线正式运行后需要屏蔽运维人员直接访问目标设备。访问运维目标设备时必须通过堡垒机跳转登录因此需要对运维人员的访问进行策略限制。
1. 网络设备使用ACS 对运维人员登录的来源IP进行限制只允许堡垒机和应用发布IP来源才能登录网络设备
2.飞塔防火墙采用VTY限制方式只允许堡垒机和应用发布IP才能访问飞塔防火墙进行管理运维
3.服务器管理通过防火墙策略限制只允许堡垒机、应用发布服务器IP才能进行运维管理
访问策略完成后运维人员必须通过堡垒机才能进行运维操作。
4.12 集中管理规划
1.部署模式
集中管理服务器共计二台部署在总部用于监管和管理各分行堡垒机二台集中管理服务器采用HA模式二台之间相互备份采用VRRP协议当主用服务器出问题时从服务器将启动服务IP接替主服务器提供服务。
部署图如下
2.使用人员
集中管理服务器使用人员为总行维护和管理人员总行管理人员通过集中管理服务器可以监控各分行的堡垒机的状态并且生成各堡垒机的报表也可以设置堡垒机上的权限。
总行运维人员可以通过集中管理服务器直接到各分行堡垒机上进行运维不需要再次登录各分行的堡垒机。
3.集中管理服务器主要功能
集中管理服务器可以对分行堡垒机进行集中管理、单点登录、密码策略设置、监控堡垒机状态监控、统一生成各堡垒机的分析报表。
集中管理功能
l 集中管理功能主要是总行管理人员管理各分行堡垒机主要包括如下功能列表为
l 堡垒机帐号管理可以在各分行堡垒机上添加、修改、删除主帐号修改主帐号密码、锁定和解锁主帐号;
l 服务器资源管理可以在各分行堡垒机上添加、修改、删除服务器及从帐号
l 堡垒机权限管理可以设置各堡垒机上的权限进行权限绑定、解锁并且可以设置权限上的授权列表比如来源IP、黑白名单名单等
l 系统管理可以对堡垒机的服务、认证模式、网络、证书等配置进行设置可对堡垒进行配置备份和恢复
l 策略管理可以设置各堡垒机的主帐号密码策略、监控策略等
l 集中权限管理可以设置集中管理服务器上的用户具有哪些堡垒机上的用户的权限经过将各堡垒机上的帐号映射给集中管理服务器上的帐号集中管理服务器上的帐号就可以得到堡垒机上的相应权限
单点登录功能
通过将若干分行堡垒机用户映射给相应的集中管理平台帐号使用集中管理平台帐号登录时即可以直接使用已经给予映射的堡垒机帐号权限运维人员不再需要登录到各台堡垒机上进行操作实现了堡垒机的单点登录。
密码策略设置
集中管理平台上可以对堡垒机的主帐号密码进行密码策略设置并且可以设置分行堡垒机是否可以修改密码策略本次将设置分行可以对本地堡垒机进行策略修改本次集中管理服务器上设置的堡垒机密码策略如下
l 用户必须更改首次登录的初始密码
l 用户密码符合复杂度要求832 个字符含大小写字符特殊字符和数字
l 用户密码有效期设置为强制90天更改80天后提醒修改
l 用户密码不能包含4个以上连续的相同字符
l 用户密码不能和之前设置的5次历史密码相同
l 用户密码恶意尝试3次后账户将自动禁用
报表功能
集中管理服务器上可以实现报表打印报表打印功能只能生成不同堡垒机上的报表不能生成多个堡垒机的联合报表。报表输出格式包括堡垒机上所有的报表格式。
集中监控
集中管理服务器还可以监控堡垒机、应用发布服务器当前状态并且设置阀值当系统超过阀值时进行告警设置阀值如下
CPU 80%
内存 85%
硬盘 85%
SWAP 70%
SSH并发 600个
RDP并发 500个
或堡垒机、应用发布不能监控
当系统运行时如果某项指标超过上述阀值将进行告警。
监控告警方式采用邮件方式需要开通分行堡垒机到邮件服务器的TCP 25端口策略。
4.13 双机部署规划
双机部署模式说明
双机模式中二台堡垒机一台主机一台备机二台机器的配置数据和审计录相实时自动同步二台堡垒机使用VRRP协议监听一个热备份IP默认情况下热备份IP在主服务器上当主服务器出现软、硬件问题时热备份IP会自动切到从机上从机接替主机进行服务。
双机模式可以共同使用同一台或多台应用发布服务器。
双机模式逻辑拓朴图如下
环境要求
主、从堡垒机需要在同一个网段共计需要三个IP主堡垒机管理IP一个、从堡垒机管理IP一个、浮动IP一个主从之间通过VRRP协议进行监控
同步参数
主帐号、主帐号口令、主帐号所有信息、设备信息、从帐号、从帐号口令、权限绑定关系、各种策略为实时同步即修改一台堡垒机后立即同步到另一台
审计录相 每5分钟同步一次
同步模式为主、从双向即无论配置主服务器、从服务器都会立即同步到对端
支持延迟同步即当二台服务器之间网络不通当网络恢复后会立即同步网络不通时期的配置数据和审计数据
切换参数
切换时间当一台主机出现问题时切换时间不超过1秒
切换状态二台主机不支持sessions同步当发生切换时所有的连接都会断开需要重新连接
切换条件当从机在VRRP中找不到主机时会启动切换、主机重要服务down机时会发生切换
抢占配置系统默认为抢占模式即主机下线修理恢复后上线时会自动将主用抢占回来
堡垒机位置
为了尽量减少单点故障因此双机模式堡垒机位置需要尽可能多考虑冗余。
如果灾备机房与主机房之间可以实现同一个VLAN接入并且两边带宽较高或可以波分带宽则主堡垒机安装在主机房从堡垒机安装在灾备机房
如果灾备机房没有安装条件则从堡垒机与主堡垒机同时安装在主机房但是必须安装在不同的交换机上。
主从堡垒机进行录相同步时最多可能占用网络带宽为12M如果采用灾备机房安装模式需要考虑堡垒机录相同步占用带宽是否会影响业务如果录相同步时流量可能影响业务则需要在交换机接口设置CAR进行限速前提以堡垒机同步流量不会影响业务为准。
5 物理部署规划
5.1 设备硬件信息
运维审计系统包括堡垒机和应用发布服务器两台设备物理参数如下
5.2 软件信息
5.3 系统LOGO
堡垒机LOGO在安装时都已经被设置为银行运维审计平台以与其它系统进行区分。
5.4 地址规划
参照分行部署规范运维审计堡垒机及应用发布平台需要分行分配在基础服务器区域分配【177.XX.XX.XX】的地址两台设备分别需要分配IP地址且两个地址需要在一个子网。
示例如下
5.5 部署规划
n 堡垒机、应用发布平台各需要2U的机柜空间位置
n 堡垒机、应用发布平台需要部署在基础服务器接入区
n 堡垒机、应用发布平台个需要2*10A电源