堡壘主機系統(tǒng)操作管理流程(管理員用戶操作手冊)

1、堡壘主機操作管理流程為了完善業(yè)務(wù)需要，提高內(nèi)控堡壘主機系統(tǒng)的管理規(guī)范性，運維管理人員應(yīng)依據(jù)堡壘主機操作管理流程進行操作。堡壘主機操作管理流程包含用戶賬戶申請、用戶資源申請、授權(quán)人審批管理、授權(quán)賬戶安全管理、授權(quán)資源操作、責(zé)任劃分等流程項。二、管理流程管理流程主要是由普通用戶想要申請資源而發(fā)起申請至指定審批人， 審批人根據(jù)實際情況予以審批或拒絕，或轉(zhuǎn)發(fā)上級領(lǐng)導(dǎo)繼續(xù)審批，審批環(huán)節(jié)可以根據(jù)需要分為一級至多級，直至有領(lǐng)導(dǎo)同意后，選擇執(zhí)行人去將此申請落實。自然人 （申請用戶）申請、 接入資源申請流程主要包括以下幾類：用戶賬戶申請流程向系統(tǒng)管理員或安全部門負責(zé)人發(fā)起自然人賬戶申請，并填寫賬戶接入申請單申請

2、新的接入賬戶，由系統(tǒng)管理員或安全部門負責(zé)人審核后給予賬戶的用戶名密碼授權(quán)。資源接入申請流程資源相關(guān)負責(zé)人申請資源接入到內(nèi)控堡壘主機系統(tǒng)，用戶申請資源接入時需詳細列出管理的資源信息, 資源信息包括主機系統(tǒng)、登錄賬戶密碼、主機IP 地址等。資源信息提交后由系統(tǒng)管理員核對資源信息和接入賬戶的對應(yīng)關(guān)系。自然人變更流程自然人申請調(diào)整崗位，申請調(diào)整資源授權(quán)，申請數(shù)字證書等需向系統(tǒng)管理員提交變更申請單。自然人注銷流程由于工作調(diào)離或資源主機下架等造成自然人賬戶需注銷停用，需要向系統(tǒng)管理員作出說明，并由系統(tǒng)管理員審核后對自然人賬戶進行注銷停用處理。三、賬戶管理帳號管理包含對所有服務(wù)器、網(wǎng)絡(luò)設(shè)備帳號的集中管理。帳

3、號和資源的集中管理是集中授權(quán)、認證和審計的基礎(chǔ)。帳號管理可以完成對帳號整個生命周期的監(jiān)控和管理，而且還降低了企業(yè)管理大量用戶帳號的難度和工作量。同時， 通過統(tǒng)一的管理還能夠發(fā)現(xiàn)帳號中存在的安全隱患，并且制定統(tǒng)一的、標準的用戶帳號安全策略。授權(quán)賬戶的管理按照職責(zé)劃分可分為系統(tǒng)管理員、安全審計員、普通賬號系統(tǒng)管理員負責(zé)對申請人賬戶的創(chuàng)建、變更和撤銷; 負責(zé)資源的創(chuàng)建、修改、刪除、授權(quán)。安全審計員負責(zé)審核、登記備案自然人的用戶權(quán)限和管理資源，并進行定期審計。普通賬號指接入堡壘主機管理資源的自然人，主要用于登錄分配資源進行維護操作。四、密碼管理實現(xiàn)集中的密碼管理，并按照密碼策略的要求，自動、集中、定期

4、修改系統(tǒng)賬號的口令，對口令強度和周期實行統(tǒng)一的管理。1）密碼制定策略2） 用戶必須按照規(guī)定涉及相關(guān)主、從賬號密碼（長度、 字符等） ，系統(tǒng)還提供多種密碼制定策略，滿足不同系統(tǒng)對密碼安全的需要；可以設(shè)定最小和最大口令長度可以設(shè)定最小和最大字符數(shù)目可以設(shè)定最小和最大數(shù)字數(shù)目可以設(shè)定最小和最大標點符號數(shù)目可以進行口令更改時間間隔限制可以設(shè)置同一口令的使用限制可以設(shè)置導(dǎo)致賬號被鎖定的嘗試失敗登錄次數(shù)可以對于管理員用戶和普通用戶分別設(shè)置口令管理和認證方式的選擇策略。3） 密碼定期變更，用戶賬號密碼的定期變更，提高密碼的安全性；4）密碼定期檢查，系統(tǒng)管理員執(zhí)行密碼檢查，找出系統(tǒng)中存在不滿足要求的用戶口令，

5、并及時的作出響應(yīng)。五、責(zé)任劃分已授權(quán)的自然人用戶在安全運維過程中，系統(tǒng)會對登錄用戶進行操作審計、記錄和存檔。針對運維過程中產(chǎn)生的安全事件依據(jù)系統(tǒng)的 事件審計平臺對事故原因進行追溯，明確安全事故責(zé)任。六、附件表格6.1 用戶賬戶申請表用戶帳戶申請表申請人姓名朝O門數(shù)字證書序列號后5位授權(quán)帳戶能授權(quán)管理的資源數(shù)序號資源類型資源名稱資源IP系統(tǒng)類型連接方式備注6.2 資源接入申請表資源接入申請表申請人姓名西f部門接入資源信息序號資源類型資源名稱資源IP系統(tǒng)類型系統(tǒng)帳戶系統(tǒng)密碼6.3 自然人變更申請表自然人變更申請表申請人姓名西f部門TE否申請 數(shù)字證書數(shù)字證書序列號后5位自然人申請變更管理資源列表序

6、號資源類型資源名稱資源IP系統(tǒng)類型連接方式備注6.4 自然人注銷自然人注銷申請表申請人姓名朝O門注銷時間是否注銷注銷帳戶名稱申請理由七、操作手冊堡壘主機目前已跟上海 CA認證結(jié)合，登錄堡壘機時只要登錄 CA 的PIN碼即可登錄堡壘主機。前提：當與CA證書認證結(jié)合時，前期需要在堡壘主機后臺添加自然人帳號，規(guī)則如下：個人證書命名方式為：名字拼音首字母 +序列號后五位（全部寫成小寫），如顧旭（gxb2147）,密碼統(tǒng)一 123;單位證書命名方式同個 人證書命名方式一樣。7.1 添加管理員（證書認證關(guān)閉）使用管理員帳號和口令登錄堡壘主機， 地址:htts:/10.02212,帳號：simper, 口令

7、：123。1、【元目錄】-【自然人】-【添加】，以下以黃春暉為例增加為 管理員。2、用戶帳號為：hche1c5c,名稱：黃春暉，點【提交】。用戶帳 號為：名字拼音首字母+序列號后五位。CA證書序列號查看方式為：3、右鍵UniAgent圖標 -【證書設(shè)備】-【黃春暉】-【查 看內(nèi)容】，如下圖：4、授權(quán)黃春暉為管理員帳號。【內(nèi)部角色授權(quán)】-【增加】，勾選角色名稱，勾選所有【配置管理權(quán)限選擇】，點【確定】如下圖:7.2 開啟證書認證（與上海CA認證結(jié)合）在開啟證書認證時請確認按 7.1方式添加過管理員帳號，否則開啟證書認證后堡壘主機將無法登錄。開啟方式：使用管理員登錄登錄堡壘主機,【配置管理】-【系統(tǒng)配置】-【認證配置】，勾選【證書認證開關(guān)】-【保存設(shè)置】如下圖:，節(jié)口配置，：司絡(luò)玉都吊燈三保存設(shè)置但手機認江常口 r 33&qu