《堡垒主机系统操作管理流程.docx》由会员分享,可在线阅读,更多相关《堡垒主机系统操作管理流程.docx(11页珍藏版)》请在三一办公上搜索。
1、堡垒主机操作管理流程、概述为了完善业务需要,提高内控堡垒主机系统的管理规范性,运维 管理人员应依据堡垒主机操作管理流程进行操作。堡垒主机操作管理 流程包含用户账户申请、用户资源申请、授权人审批管理、授权账户 安全管理、授权资源操作、责任划分等流程项。二、管理流程管理流程主要是由普通用户想要申请资源而发起申请至指定审批 人,审批人根据实际情况予以审批或拒绝,或转发上级领导继续审批, 审批环节可以根据需要分为一级至多级,直至有领导同意后,选择执 行人去将此申请落实。自然人(申请用户)申请、接入资源申请流程主要包括以下几类:用户账户申请流程向系统管理员或安全部门负责人发起自然人账户申请,并填写 账户
2、接入申请单申请新的接入账户,由系统管理员或安全部门 负责人审核后给予账户的用户名密码授权。资源接入申请流程资源相关负责人申请资源接入到内控堡垒主机系统,用户申请 资源接入时需详细列出管理的资源信息,资源信息包括主机系 统、登录账户密码、主机IP地址等。资源信息提交后由系统 管理员核对资源信息和接入账户的对应关系。自然人变更流程自然人申请调整岗位,申请调整资源授权,申请数字证书等需 向系统管理员提交变更申请单。自然人注销流程由于工作调离或资源主机下架等造成自然人账户需注销停用, 需要向系统管理员作出说明,并由系统管理员审核后对自然人 账户进行注销停用处理。三、账户管理帐号管理包含对所有服务器、网
3、络设备帐号的集中管理。帐号和 资源的集中管理是集中授权、认证和审计的基础。帐号管理可以完成 对帐号整个生命周期的监控和管理,而且还降低了企业管理大量用户 帐号的难度和工作量。同时,通过统一的管理还能够发现帐号中存在 的安全隐患,并且制定统一的、标准的用户帐号安全策略。授权账户的管理按照职责划分可分为系统管理员、安全审计员、 普通账号 系统管理员负责对申请人账户的创建、变更和撤销;负责资源的创建、修 改、删除、授权。 安全审计员负责审核、登记备案自然人的用户权限和管理资源,并进行定 期审计。普通账号指接入堡垒主机管理资源的自然人,主要用于登录分配资源进 行维护操作。四、密码管理实现集中的密码管理
4、,并按照密码策略的要求,自动、集中、定期修改系统账号的口令,对口令强度和周期实行统一的管理。1)密码制定策略2)用户必须按照规定涉及相关主、从账号密码(长度、字符等),系统还提供多种密码制定策略,满足不同系统对密码安全的需要;可以设定最小和最大口令长度可以设定最小和最大字符数目可以设定最小和最大数字数目可以设定最小和最大标点符号数目可以进行口令更改时间间隔限制可以设置同一口令的使用限制可以设置导致账号被锁定的尝试失败登录次数可以对于管理员用户和普通用户分别设置口令管理和认证方式的选择策略。3)密码定期变更,用户账号密码的定期变更,提高密码的安全性;4)密码定期检查,系统管理员执行密码检查,找出
5、系统中存在不 满足要求的用户口令,并及时的作出响应。五、责任划分已授权的自然人用户在安全运维过程中,系统会对登录用户进行 操作审计、记录和存档。针对运维过程中产生的安全事件依据系统的 事件审计平台对事故原因进行追溯,明确安全事故责任。六、附件表格6.1用户账户申请表用户帐户申请表申请人姓名申请部门数字证书序列号后5位授权帐户能授权管理的资源数序号资源类型资源名称资源IP系统类型连接方式备注6.2资源接入申请表资源接入申请表申请人姓名申请部门接入资源信息序号资源类型资源名称资源IP系统类型系统帐户系统密码6.3自然人变更申请表自然人变更申请表申请人姓名申请部门是否申请数字证书序数字证书列号后5位
6、自然人申请变更管理资源列表序号资源类型资源名称资源IP系统类型连接方式备注6.4自然人注销自然人注销申请表申请人姓名申请部门注销时间是否注销注销帐户名称申请理由七、操作手册堡垒主机目前已跟上海CA认证结合,登录堡垒机时只要登录CA 的PIN码即可登录堡垒主机。前提:当与CA证书认证结合时,前期需要在堡垒主机后台添加自 然人帐号,规则如下:个人证书命名方式为:名字拼音首字母+序列号后五位(全部写成小写),如顾旭(gxb2147),密码统一 123;单位证书命名方式同个 人证书命名方式一样。7.1添加管理员(证书认证关闭)使用管理员帐号和口令登录堡垒主机,地址:htts:/10.0.2.212,帐
7、号:simper, 口令:123。1、【元目录】-【自然人】-【添加】,以下以黄春晖为例增加为管理员。2、用户帐号为:hche1c5c,名称:黄春晖,点【提交】。用户帐号为:名字拼音首字母+序列号后五位。CA证书序列号查看方式为:3、右键UniAgent图标-【证书设备】-【黄春晖】-【查看内容】,如下图:4、授权黄春晖为管理员帐号。【内部角色授权】-【增加】,勾选角色名称,勾选所有【配置管理权限选择】,点【确定】如下图:就 https孙MhfiJWlS/TnvVauWit/俱g网亦jsp删除(jE)反回Iht5ps:/10.0.2.3l2/aini/pubHi:/DlgWin.j5p7.2开
8、启证书认证(与上海CA认证结合)在开启证书认证时请确认按7.1方式添加过管理员帐号,否则开 启证书认证后堡垒主机将无法登录。开启方式:使用管理员登录登录堡垒主机,【配置管理】-【系统 配置】-【认证配置】,勾选【证书认证开关】-【保存设置】如下 图:U7认证*旦2亩计就 SOHifi使震当厂没占外融雌民u j r in mi 1_1 f早疝用愈H美:In域旧另器-根地&1:iy2-16.23. 1ST域丁机讯如甫口:翔朱luldSsctLii# 1?lW:i3F$iiLit itFuser, d保存设,I课存谑域服才海一舀伸化宅明:.加,这时需要输入PIN码才可以登录堡垒主机。7.3登录堡垒主机打开IE或360等浏览器(目前只支持IE内核的浏览器),输入地址:https:/,选择证书,如下图:输入PIN码,即可登录堡垒主机,如下图:
