《堡垒机实施方案》由会员分享,可在线阅读,更多相关《堡垒机实施方案(29页珍藏版)》请在金锄头文库上搜索。
1、精选优质文档-倾情为你奉上技 术 部 分11 投标方案11.1 技术解决方案11.1.1 项目概述中国银行业监督管理委员会(以下简称银监会)是政府部门的重要组成机构,是国家金融行业的监督、管理、指导单位。近年来,金融行业信息系统随着银行业金融机构的业务发展而迅速发展,信息科技已经成为银行业金融机构实现经营战略和业务运营的基础平台以及金融创新的重要手段。银行业对信息科技的高度依赖,使得信息技术系统的安全性、可靠性和有效性直接关系到整个银行业的安全和金融体系的稳定。各种权威的网络安全调查结果均表明,在可统计的安全事件中,70%以上均与内部人员有关,这其中既包括恶意行为(越权访问、恶意破坏、数据窃取
2、),也包括各种非主观故意引起的非恶意行为(误操作、权限滥用)。由此可见,规范内部人员的访问行为,特别是核心系统(主机、网络设备、安全设备、数据库等)的维护行为已经势在必行。因此,2012年银监会内部启动了系统用户集中管控系统建设,通过部署运维用户集中管控系统,建立运维用户的集中授权、监控、管理、审计体系,加强信息安全的内部控制与管理能力,规范信息系统运行和操作管理过程,确保银监会信息系统的安全运行。谐润运维管理审计系统是新一代运维安全审计产品,它能够对运维人员的访问过程进行细粒度的授权、全过程的操作记录及控制、全方位的操作审计、并支持事后操作过程回放功能,实现运维过程的“事前预防、事中控制、事
3、后审计”,在简化运维操作的同时,全面解决各种复杂环境下的运维安全问题,提升企业IT运维管理水平。11.1.2 需求分析银监会对运维用户管控系统的需求如下:1) 管理对象应能够实现对银监会现有的服务器系统(Windows、Unix、Linux)、网络设备(Cisco、华为)、数据库系统(DB2、Oracle 、SqlServer、Mysql)、应用系统(WAS、Weblogic)等;2) 应能够实现对机关内部、外围运维人员的访问及操作权限细粒度授权,限制用户违规访问、违规操作的能力;3) 实现全面的运维操作审计能力;4) 实现对服务器、网络设备的自动改密功能;5) 实现单点登录,并与CA系统进行
4、整合,实现双因素认真;6) 系统部署不应影响业务系统的稳定运行,且不增加运维人员访问过程的复杂程度;7) 完善的自我管理功能,设备自身稳定、高效、易于维护。11.1.3 项目建设目标项目总体目标旨在通过对服务器操作系统、数据库、中间件及网络设备、安全设备等IT基础设施的账号及其密码进行集中控制与管理,通过账号权限的严格授权和管理,实现对设备的安全访问和管理行为的审计,达到IT系统安全生产,并满足内控审计要求的目的。具体目标如下:本项目中的用户集中管控系统包括1套堡垒机(含1台堡垒主机、1台应用托管中心)和1台日志服务器,堡垒主机是运维管理人员进行运维操作的统一接入点,用户集中管控产品需通过开发
5、升级兼容银监会CA系统颁发的密钥,以实现管理用户的双因素认证。实现在SSO(单点登录)系统总体架构下,完成对系统账号的集中认证、集中授权与集中审计,审计日志集中存储于独立的日志服务器。11.1.4 实施范围本项目在银监会机关(北京)进行部署,对100台本地或外地服务器和网络设备(每个设备可能存在错咯操作系统、数据库和中间件管理用户)进行集中管理,用户范围主要为银监会机关本地或外地运维用户。11.1.5 方案设计原则(1)体系化设计原则必须分析信息网络的层次关系,遵循先进的安全理念,遵照科学的安全体系和安全框架,并根据安全体系分析存在的各种安全风险,从而最大限度地避免可能存在的安全问题。(2)可
6、控性原则采取的技术手段需达到安全可控的目的,技术解决方案涉及的工程实施应具有可控性。(3)系统性、均衡性、综合性设计原则从全系统出发,综合考虑各种安全风险,采取相应的安全措施,根据风险的大小,采取不同强度的安全措施,提供具有最优的性能价格比的安全解决方案。(4)可行性、可靠性原则必须保证在工程实施期间,不会对用户方的现有网络和应用系统有大的影响。在保证网络和应用系统正常运转的前提下,提供最优安全保障。(5)标准性原则安全系统的设计、实施以及产品的选择以相关国际国家安全管理、安全控制、安全规程为参考依据,包括ISO17799、GB/T 20274.1-2006信息系统安全保障评估框架等。(6)投
7、资保护原则对用户方已经存在的网络安全系统设备进行有效的利用,保护已有投资。(7)最小影响原则方案设计及实施时,遵循对信息系统影响最小原则,尽可能地采用对网络、系统、应用影响小技术手段,对现有系统不产生干扰,保护现有系统。(8)易操作性原则安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。11.1.6 产品选型根据本项目的实际需求,报价人推荐使用谐润运维管理审计系统SR-Fort-1000型产品。产品硬件配置清单如下:产品名称运维管理审计系统SR-Fort-1000应用托管中心SR-AppBox-1000外观大小2U2U满配最大重量30KG30KG最大功耗500W50
8、0WMTBF=20000小时=20000小时CPU两颗INTEL Xeon 3440 2.53GH两颗INTEL Xeon 3440 2.53GH内存16GB16GB存储空间1TB,支持Raid11TB,支持Raid1电源双电源冗余双电源冗余外接存储支持支持网络接口100/1000M*2 RJ45,可扩展100/1000M*2 RJ45,可扩展最大管理设备数量3000台3000台实时并发数250个图形会话,1500个字符会话250个图形会话,1500个字符会话默认License数量1500个1500个协议支持SSH、Tenet、RDP、VNC、FTP、SFTPhttp、https、MySql、
9、Sql-Server、Oracle、DB2等网线标准网线2条标准网线2条11.1.7 产品部署谐润运维管理审计系统支持多种部署方式,在本项目中,考虑到银监会的实际需求,我们将采用旁路部署方式。部署示意图如下所示:日志服务器系统备机 谐润运维管理审计系统部署示意图部署时,谐润运维管理审计系统旁路接入网络,只需要1个独立的IP即可,保证堡垒主机能够通过网络连接被管理资源提供远程运维服务的端口,应用托管中心与堡垒主机做直连,通过堡垒主机NAT转换技术使应用托管中心能够访问网络中的资源。若堡垒主机和被管理资源之间存在防火墙,则需要在增加或修改防火墙的策略,防火墙的策略增加或修改如下:源地址:堡垒主机I
10、P,源端口:any,目标地址:被管理资源IP,目标端口:提供运维服务的监听端口。如堡垒主机需要连接被管理的Linux服务器,Linux服务提提供ssh运维服务,则需要在防火墙上增加或修改策略如下:源地址:堡垒主机IP,源端口:any,目标地址:被管理资源IP,目标端口:22。维护人员只要登录运维管理系统即可访问到所有服务器,无须进行二次登录。若运维人员与运维管理系统之间存在防火墙,则防火墙需要开放如下端口:22(ssh、telnet协议代理模块),443(堡垒主机提供web服务),3389(rdp协议代理模块)等。有关实施时防火墙开放策略,详见“11.2.6”节内容中的实施环境调研。日志服务器
11、旁路接入网络,并开发SMB共享服务,为堡垒主机提供日志存储服务,堡垒主机通过页面配置,将数据文件存储至日志服务器。系统备机始终处于冷备状态,在堡垒主机实施完成之后,将所有配置导入系统备机,保证系统备机上的主账号、被管理资源与主账号权限与堡垒主机一致,以便随时更换。11.2 项目实施方案11.2.1 项目保密条款我公司同原厂上海谐润网络信息技术有限公司承诺,在中标后项目签署合同前分别以单位和个人与招标方签署保密协议或保密承诺书。11.2.2 项目文档原厂谐润科技在项目工程实施完成时将系统的全部有关技术文档、图标资料及测试、验收报告等文档汇集成册交付银监会,包括但不限于以下文档: 项目投标文件 项
12、目工程实施方案 项目工程管理及实施计划书 产品安装实施报告 系统测试报告 项目完工总结报告 培训手册 运维用户使用手册 系统技术维护手册 系统应急处理预案 其他所有项目实施过程中产生的文档11.2.3 项目组织架构为确保本项目的顺利实施,原厂商谐润科技将指派拥有丰富项目经验的技术人员担任我方项目经理,负责项目实施的全面工作,收集有关热线电话支持、现场服务、用户技术人员反应等有关服务信息。在服务实施过程中,将严格按照服务计划,全权负责服务的管理与监督。定时向用户项目负责人汇报情况,在处理突发事件和项目变更时,要及时调整人员和计划以保证服务地正常进行;在项目实施受阻时,及时申请增加人员和技术力量,
13、确保项目实施的顺利进行;此外,项目经理要监督服务的质量,以确保整个维护服务顺利、高质量的完成。谐润科技将根据项目实际要求组建专门的银监会用户集中管控系统项目小组,遴选原厂商资深项目经理和工程技术人员,为银监会用户集中管控系统项目提供最优质的服务,保证严格按照合同约定,完成该项目的实施、培训及售后服务工作。原厂谐润科技为了保证项目实施的顺利进行,会提供合理可行的系统实施方案,合理安排人员,以保证实施进度计划。原厂谐润科技项目组织架构如下:项目经理:负责整个项目的进度控制、协调原厂工作人员与银监会工作人员进行协同工作,保证整个项目顺利完成。研发经理:负责整个项目中开发需求确认,开发进度,保证开发工
14、作顺利进行,并按照客户要求完成开发任务(含测试工程师)。 调研工程师:负责项目实施前资产调查、用户角色确认、网络环境调查、实施环境调研,参与设备实施方案的制定。实施工程师:负责项目设备接入客户网络,保证设备连通性,并进行资产录入、角色权限划分等工作。培训讲师:负责对客户进行相关知识培训,让客户能够独立使用设备,并能处理简单故障,保证知识转移顺利完成。巡检工程师:在项目实施完成后,负责对设备的使用情况进行跟踪,反馈客户的使用情况及软硬件健康情况,并按照客户的要求提交相应的报告。售后支持:负责对巡检工程师反馈的信息进行汇总,并根据反馈对客户进行技术支持。银监会运维用户集中管控系统项目组谐润主要成员名单如下:项目负责人(项目经理)姓名年龄职称专业相关资质相关工作年限张彬28软件工程项目经理6年计划用于本项目的工作人员姓名年龄职称专业相关资质相关工作年限施杰33应用数学高级程序员8年武欣32应用数学高级程序员8年郑伟亮31计算机工程培训讲师8年许爱明28计算机应用原厂资深工程师4年周超25计算机科学技术原厂资深工程师3年陆磊26通信工程原厂资深工程师3年石波24计算机软件开发原厂工程师2年11.2.4 项目实施计划/工作内容
