廣西國稅運(yùn)維審計(jì)項(xiàng)目需求功能說明書

1、 廣西國稅運(yùn)維審計(jì)系統(tǒng)項(xiàng)目需求功能說明書 廣西國稅稅運(yùn)維審計(jì)計(jì)系統(tǒng)項(xiàng)目目需求功能能說明書書 目錄TOC o 1-4 h z u HYPERLINK l _Toc288479824 第1章前言 PAGEREF _Toc288479824 h 5 HYPERLINK l _Toc288479825 1.1.編寫目目的 PAGEREF _Toc288479825 h 5 HYPERLINK l _Toc288479826 1.2.項(xiàng)目背背景 PAGEREF _Toc288479826 h 5 HYPERLINK l _Toc288479827 1.3.運(yùn)維管管理現(xiàn)狀狀 PAGEREF _Toc288

2、479827 h 5 HYPERLINK l _Toc288479828 1.4.存在問問題 PAGEREF _Toc288479828 h 6 HYPERLINK l _Toc288479829 1.5.問題分分析 PAGEREF _Toc288479829 h 6 HYPERLINK l _Toc288479830 1.6.帶來的的后果 PAGEREF _Toc288479830 h 7 HYPERLINK l _Toc288479831 1.7.參考文文檔 PAGEREF _Toc288479831 h 7 HYPERLINK l _Toc288479832 第2章需求概概述 PAGER

3、EF _Toc288479832 h 7 HYPERLINK l _Toc28847798333 2.11.系統(tǒng)建設(shè)設(shè)需求 PAGEREF _Toc288479833 h 8 HYPERLINK l _Toc288479834 2.1.1.統(tǒng)一安安全防護(hù)護(hù) PAGEREF _Toc288479834 h 8 HYPERLINK l _Toc288479835 2.1.2.統(tǒng)一ITT系統(tǒng)口口令管理理 PAGEREF _Toc288479835 h 8 HYPERLINK l _Toc288479836 2.1.3.身份認(rèn)認(rèn)證和授授權(quán) PAGEREF _Toc288479836 h 8 HYPER

4、LINK l _Toc288479837 2.1.4.關(guān)鍵操操作監(jiān)控控和報(bào)警警 PAGEREF _Toc288479837 h 8 HYPERLINK l _Toc288479838 2.1.5.操作審審計(jì) PAGEREF _Toc288479838 h 8 HYPERLINK l _Toc288479839 2.1.6.操作分分析報(bào)表表 PAGEREF _Toc288479839 h 9 HYPERLINK l _Toc288479840 2.2.實(shí)現(xiàn)目目標(biāo) PAGEREF _Toc288479840 h 9 HYPERLINK l _Toc288479841 2.2.1.提高操操作透明明度

5、 PAGEREF _Toc288479841 h 9 HYPERLINK l _Toc288479842 2.2.2.增強(qiáng)操操作可控控性 PAGEREF _Toc288479842 h 9 HYPERLINK l _Toc288479843 2.2.3.具體目目標(biāo) PAGEREF _Toc288479843 h 9 HYPERLINK l _Toc288479844 第3章功能需需求 PAGEREF _Toc288479844 h 10 HYPERLINK l _Toc288479845 3.1.集中管管理 PAGEREF _Toc288479845 h 10 HYPERLINK l _Too

6、c288847798446 3.11.1.統(tǒng)一操操作入口口 PAGEREF _Toc288479846 h 10 HYPERLINK l _Toc288479847 3.1.2.統(tǒng)一定定制策略略 PAGEREF _Toc288479847 h 10 HYPERLINK l _Toc288479848 3.1.3.統(tǒng)一操操作平臺(tái)臺(tái) PAGEREF _Toc288479848 h 10 HYPERLINK l _Toc2884798499 3.11.4.統(tǒng)一管管理審計(jì)計(jì) PAGEREF _Toc288479849 h 10 HYPERLINK l _Toc288479850 3.2.訪問控控制 P

7、AGEREF _Toc288479850 h 10 HYPERLINK l _Toc288479851 3.2.1.四要素素控制 PAGEREF _Toc288479851 h 11 HYPERLINK l _Toc288479852 3.2.2.詳細(xì)規(guī)規(guī)則設(shè)置置 PAGEREF _Toc288479852 h 11 HYPERLINK l _Toc288479853 3.2.3.訪問權(quán)權(quán)限控制制 PAGEREF _Toc288479853 h 11 HYPERLINK l _Toc288479854 3.3.實(shí)時(shí)控控制 PAGEREF _Toc288479854 h 11 HYPERLINK

8、 l _Toc288479855 3.3.1.實(shí)時(shí)監(jiān)監(jiān)控 PAGEREF _Toc288479855 h 11 HYPERLINK l _Toc288479856 3.3.2.實(shí)時(shí)阻阻斷 PAGEREF _Toc288479856 h 12 HYPERLINK l _Toc288479857 3.4.密碼管管理 PAGEREF _Toc288479857 h 12 HYPERLINK l _Toc288479858 3.4.1.密碼托托管 PAGEREF _Toc288479858 h 12 HYPERLINK l _Toc288479859 3.4.2.自動(dòng)改改密 PAGEREF _Toc2

9、88479859 h 12 HYPERLINK l _Toc288479860 3.5.自動(dòng)告告警 PAGEREF _Toc288479860 h 12 HYPERLINK l _Toc288479861 3.5.1.設(shè)備登登錄提醒醒 PAGEREF _Toc288479861 h 13 HYPERLINK l _Toc28847798662 3.55.2.命令操操作告警警 PAGEREF _Toc288479862 h 13 HYPERLINK l _Toc288479863 3.5.3.圖形操操作告警警 PAGEREF _Toc288479863 h 13 HYPERLINK l _Toc

10、288479864 3.6.操作審審計(jì) PAGEREF _Toc288479864 h 13 HYPERLINK l _Toc288479865 3.6.1.圖形會(huì)會(huì)話操作作審計(jì) PAGEREF _Toc288479865 h 14 HYPERLINK l _Toc288479866 3.6.2.字符命命令操作作（Teelneet/SSSH）的操作作審計(jì) PAGEREF _Toc288479866 h 14 HYPERLINK l _Toc288479867 3.6.3.HTTTP、HTTTPS操操作審計(jì)計(jì)（防火火墻、IIPS、IDSS等） PAGEREF _Toc288479867 h 15

11、 HYPERLINK l _Toc288479868 3.6.4.應(yīng)用發(fā)發(fā)布操作作審計(jì) PAGEREF _Toc288479868 h 15 HYPERLINK l _Toc288479869 3.6.5.鍵盤鼠鼠標(biāo)、剪剪貼板的的操作審審計(jì) PAGEREF _Toc288479869 h 15 HYPERLINK l _Toc288479870 3.6.6.文件傳傳輸操作作(FTTP/SSFTPP/SCCP)審審計(jì) PAGEREF _Toc288479870 h 16 HYPERLINK l _Toc288479871 3.7.數(shù)據(jù)庫庫審計(jì) PAGEREF _Toc288479871 h 16

12、 HYPERLINK l _Toc288479872 3.7.1.直接登登錄到數(shù)數(shù)據(jù)庫服服務(wù)器使使用命令令行的操操作審計(jì)計(jì) PAGEREF _Toc288479872 h 16 HYPERLINK l _Toc288479873 3.7.2.通過weeb進(jìn)行行的操作作審計(jì) PAGEREF _Toc288479873 h 16 HYPERLINK l _Toc288479874 3.7.3.使用客客戶端工工具的操操作審計(jì)計(jì) PAGEREF _Toc288479874 h 16 HYPERLINK l _Toc288479875 3.8.會(huì)話過過程回放放 PAGEREF _Toc288479875

13、 h 17 HYPERLINK l _Toc288479876 3.8.1.會(huì)話過過程回放放機(jī)制 PAGEREF _Toc288479876 h 17 HYPERLINK l _Toc288479877 3.9.歷史記記錄查詢?cè)?PAGEREF _Toc288479877 h 17 HYPERLINK l _Toc288479878 3.9.1.歷史記記錄查詢?cè)儥C(jī)制 PAGEREF _Toc288479878 h 17 HYPERLINK l _Toc288479879 3.100.日志搜搜索 PAGEREF _Toc288479879 h 17 HYPERLINK l _Tocc288847

14、998800 3.110.11.終端會(huì)會(huì)話搜索索機(jī)制 PAGEREF _Toc288479880 h 17 HYPERLINK l _Toc288479881 3.100.2.圖形會(huì)會(huì)話搜索索機(jī)制 PAGEREF _Toc288479881 h 18 HYPERLINK l _Toc288479882 3.100.3.鍵盤輸輸入內(nèi)容容搜索機(jī)機(jī)制 PAGEREF _Toc288479882 h 18 HYPERLINK l _Toc288847798883 3.111.綜合審審計(jì)報(bào)表表 PAGEREF _Toc288479883 h 18 HYPERLINK l _Toc288479884 3.

15、111.1.自定義義報(bào)表 PAGEREF _Toc288479884 h 18 HYPERLINK l _Toc288479885 3.111.2.自動(dòng)報(bào)報(bào)表 PAGEREF _Toc288479885 h 19前言編寫目的的本文檔是是廣西國國稅信息息系統(tǒng)運(yùn)運(yùn)維安全全審計(jì)項(xiàng)項(xiàng)目的需需求功能能說明書書，主要要描述了了運(yùn)維安安全審計(jì)計(jì)系統(tǒng)（又稱堡堡壘機(jī)系系統(tǒng)，以下簡簡稱堡壘壘機(jī)）的的處理和和控制。本文檔檔是系統(tǒng)統(tǒng)設(shè)計(jì)、編碼、測(cè)試、驗(yàn)收的的依據(jù)。在項(xiàng)目實(shí)實(shí)施過程程中，系系統(tǒng)的設(shè)設(shè)計(jì)、開開發(fā)必須須以本文文檔為標(biāo)標(biāo)準(zhǔn)，如如需對(duì)系系統(tǒng)的需需求進(jìn)行行修改，則按照照本項(xiàng)目目計(jì)劃書書中需求求變更流流程執(zhí)行行。本

16、文檔讀讀者對(duì)象象：廣西國稅稅信息中中心及其其他監(jiān)管管部門。廣西國稅稅信息中中心負(fù)責(zé)責(zé)系統(tǒng)設(shè)設(shè)計(jì)、規(guī)規(guī)劃的有有關(guān)人員員。廣西國稅稅項(xiàng)目組。項(xiàng)目背景景根據(jù)國稅稅總局上上級(jí)監(jiān)管管機(jī)構(gòu)對(duì)對(duì)信息科科技的審審計(jì)要求求，我局局?jǐn)M啟動(dòng)動(dòng)建設(shè)信信息中心心運(yùn)維審審計(jì)系統(tǒng)統(tǒng)。以有效監(jiān)監(jiān)控我局局信息中中心內(nèi)部部運(yùn)維管管理人員員的操作作風(fēng)險(xiǎn)，同時(shí)也也便于風(fēng)風(fēng)險(xiǎn)管理理部門對(duì)對(duì)信息中中心風(fēng)險(xiǎn)險(xiǎn)內(nèi)控進(jìn)進(jìn)行監(jiān)督督管理，通過該該系統(tǒng)的的建立，對(duì)整個(gè)個(gè)信息系系統(tǒng)以及及網(wǎng)絡(luò)體體系建立立起有效效的操作作監(jiān)控手手段，規(guī)規(guī)范日常常的運(yùn)維維操作。運(yùn)維管理理現(xiàn)狀廣西國稅稅信息中中心部門門主要負(fù)負(fù)責(zé)應(yīng)用用系統(tǒng)以以及信息息系統(tǒng)基基礎(chǔ)平臺(tái)臺(tái)的建設(shè)設(shè)

17、和維護(hù)護(hù)，以及及局內(nèi)網(wǎng)網(wǎng)絡(luò)的建建設(shè)和維維護(hù)。現(xiàn)現(xiàn)有近百臺(tái)各各種各樣樣的服務(wù)務(wù)器，其其日常運(yùn)運(yùn)維過程程中都普普遍存在在以下現(xiàn)現(xiàn)狀：訪問方式式以內(nèi)部部直接遠(yuǎn)遠(yuǎn)程訪問問為主。其中運(yùn)運(yùn)維操作作的遠(yuǎn)程程訪問方方式又以以sshh/teelneet/RRDP/VNCC/htttp/htttps遠(yuǎn)遠(yuǎn)程訪問問為主，設(shè)備規(guī)規(guī)模比較較大；數(shù)數(shù)據(jù)庫遠(yuǎn)遠(yuǎn)程訪問問則以PPLSQQL、SSQLPPLUSS、OEEM等客客戶端工工具為主主；維護(hù)人員員比較多多，并且且隨著運(yùn)運(yùn)維規(guī)模模的不斷斷壯大，運(yùn)維外外包趨勢(shì)勢(shì)日益明明顯。目目前部分分非核心心業(yè)務(wù)系系統(tǒng)及設(shè)設(shè)備的維維護(hù)已經(jīng)經(jīng)外包給給了第三三方代維維廠商；憑借設(shè)備備上的賬賬號(hào)密

18、碼碼完成身身份的認(rèn)認(rèn)證和授授權(quán)，難難以保證證賬號(hào)的的安全性性；密碼管理理復(fù)雜，無法有有效落實(shí)實(shí)密碼定定期修改改的規(guī)定定；運(yùn)維人員員的操作作行為無無審計(jì)，事故發(fā)發(fā)生后無無法快速速定位事事故原因因與責(zé)任任人；對(duì)后臺(tái)的的數(shù)據(jù)庫庫維護(hù)操操作缺乏乏有效的的管理手手段，對(duì)對(duì)數(shù)據(jù)庫庫操作也也無審計(jì)計(jì)；隨著網(wǎng)絡(luò)絡(luò)安全技技術(shù)的快快速發(fā)展展，國家家和行業(yè)業(yè)對(duì)信息息安全的的要求不不斷提高高，主機(jī)機(jī)的安全全問題日日益顯現(xiàn)現(xiàn)。存在問題題運(yùn)維人員員身份不不唯一，運(yùn)維人人員登錄錄后臺(tái)設(shè)設(shè)備時(shí)，仍然可可以使用用共享賬賬號(hào)（rroott、addminnisttrattor等等）訪問問，從而而無法準(zhǔn)準(zhǔn)確識(shí)別別運(yùn)維人人員的身身份；

19、缺乏嚴(yán)格格的訪問問控制，任何人人登錄到到后臺(tái)其其中一臺(tái)臺(tái)設(shè)備后后，就可可以訪問問到后臺(tái)臺(tái)各種設(shè)設(shè)備；重復(fù)枯燥燥的密碼碼管理工工作，大大大降低低了工作作效率的的同時(shí)，人員的的流動(dòng)還還會(huì)導(dǎo)致致密碼存存在外泄泄的風(fēng)險(xiǎn)險(xiǎn)；難于限制制運(yùn)維人人員登錄錄到后臺(tái)臺(tái)設(shè)備后后的操作作權(quán)限；無法知道道當(dāng)前的的運(yùn)維狀狀況，也也不知道道哪些操操作是違違規(guī)的或或者有風(fēng)風(fēng)險(xiǎn)的；缺乏有效效的技術(shù)術(shù)手段來來監(jiān)管代代維人員員的操作作；操作無審審計(jì)，因因操作引引起設(shè)備備故障的的時(shí)候無無法快速速定位故故障的原原因和責(zé)責(zé)任人；無法滿足足國家安安全等級(jí)級(jí)保護(hù)有有關(guān)方面面的要求求，如審審計(jì)、控控制等；問題分析析出現(xiàn)以上上問題的的主要原原因

20、在于于：運(yùn)維操作作不規(guī)范范；運(yùn)維操作作不透明明；運(yùn)維操作作風(fēng)險(xiǎn)不不可控；帶來的后后果違規(guī)操作作可能會(huì)會(huì)導(dǎo)致設(shè)設(shè)備/服服務(wù)異常常或者宕宕機(jī)；惡意操作作可能會(huì)會(huì)導(dǎo)致系系統(tǒng)上敏敏感數(shù)據(jù)據(jù)/信息息被篡改改、被破破壞；當(dāng)發(fā)生故故障的時(shí)時(shí)候，無無法快速速定位故故障原因因或者責(zé)責(zé)任人；參考文檔檔編號(hào)資料名稱稱來源需求概述述為了解決決以上問問題，為為運(yùn)維人人員通過過使用一一種有效效的管理理平臺(tái)，來解決決對(duì)所有有運(yùn)維操操作的集集中管理理、單點(diǎn)點(diǎn)登錄、身份認(rèn)認(rèn)證、操操作審計(jì)計(jì)等問題題，最終終達(dá)到降降低運(yùn)維維操作風(fēng)風(fēng)險(xiǎn)的目目的。具具體需求求目前主主要集中中在以下下幾點(diǎn)： 實(shí)現(xiàn)運(yùn)運(yùn)維操作作的集中中管理，提高操操作管理

21、理效率； 通過目目標(biāo)設(shè)備備密碼托托管功能能，實(shí)現(xiàn)現(xiàn)單點(diǎn)登登錄； 通過運(yùn)運(yùn)維人員員管理和和系統(tǒng)帳帳號(hào)分離離，實(shí)現(xiàn)現(xiàn)運(yùn)維人人員身份份唯一性性管理； 運(yùn)維人人員認(rèn)證證要支持持和現(xiàn)有有的第三三方的認(rèn)認(rèn)證（如如LDAAP、AAD域、Raddiuss）整合合； 通過嚴(yán)嚴(yán)格的訪訪問控制制來限制制運(yùn)維人人員可訪訪問的資資源； 通過對(duì)對(duì)關(guān)鍵指指令的實(shí)實(shí)時(shí)阻斷斷和告警警，實(shí)現(xiàn)現(xiàn)對(duì)運(yùn)維維人員高高危操作作的主動(dòng)動(dòng)控制； 提供強(qiáng)強(qiáng)大的操操作審計(jì)計(jì)功能，完整記記錄運(yùn)維維人員的的所有操操作行為為，并可可實(shí)現(xiàn)對(duì)對(duì)鍵盤鼠鼠標(biāo)等操操作行為為的深度度審計(jì)； 可以實(shí)實(shí)現(xiàn)對(duì)目目標(biāo)設(shè)備備密碼的的定期批批量自動(dòng)動(dòng)修改，降低管管理員的的改密

22、負(fù)負(fù)擔(dān)，提提高工作作效率； 符合相相關(guān)安全全規(guī)范（如SOOX、IISO2270001、BBS77799等等）；系統(tǒng)建設(shè)設(shè)需求統(tǒng)一安全全防護(hù)所有對(duì)IIT系統(tǒng)統(tǒng)的運(yùn)維維操作必必須通過過統(tǒng)一的的入口方方可進(jìn)行行，在統(tǒng)統(tǒng)一入口口設(shè)置相相關(guān)安全全策略，保證操操作安全全，降低低IT操操作風(fēng)險(xiǎn)險(xiǎn)。統(tǒng)一ITT系統(tǒng)口令令管理將IT系系統(tǒng)的管管理員口口令進(jìn)行行統(tǒng)一管管理，解解決口令令管理相相關(guān)問題題，實(shí)現(xiàn)現(xiàn)口令定定期自動(dòng)動(dòng)修改、口令安安全管理理等。所有運(yùn)維維人員進(jìn)進(jìn)行操作作不再需要要知道IIT系統(tǒng)統(tǒng)的帳戶戶口令。身份認(rèn)證證和授權(quán)權(quán)使用獨(dú)立立的身份份認(rèn)證管管理實(shí)現(xiàn)現(xiàn)對(duì)運(yùn)維維人員的的身份認(rèn)認(rèn)證、授授權(quán)，保保證只有有合

23、法運(yùn)運(yùn)維人員員才能使使用其擁擁有運(yùn)維維權(quán)限的的關(guān)鍵資資源。關(guān)鍵操作作監(jiān)控和和報(bào)警能根據(jù)運(yùn)運(yùn)維實(shí)際際情況，制定特特定運(yùn)維維操作監(jiān)監(jiān)控和報(bào)報(bào)警策略略，對(duì)敏敏感操作作或違規(guī)規(guī)行為及及時(shí)發(fā)現(xiàn)現(xiàn)，并實(shí)實(shí)現(xiàn)實(shí)時(shí)時(shí)報(bào)警和和阻斷。操作審計(jì)計(jì)對(duì)常用運(yùn)運(yùn)維協(xié)議議Tellnett、FTPP、SFFTP、SSHH、RDPP、Xwwinddowss等網(wǎng)絡(luò)絡(luò)會(huì)話的的完成記記錄和審審計(jì)，并并能提供供基于圖圖像的操操作回放放，方便便、直觀觀地將操操作展現(xiàn)現(xiàn)給審計(jì)計(jì)人員。操作分析析報(bào)表基于運(yùn)維維操作數(shù)數(shù)據(jù)，能能基于時(shí)時(shí)間、資資源、人人員的操操作、違違規(guī)事件件的統(tǒng)計(jì)計(jì)報(bào)表，為安全全人員分分析安全全態(tài)勢(shì)提提供輔助助數(shù)據(jù)。實(shí)現(xiàn)目標(biāo)標(biāo)

24、提高操作作透明度度目前的運(yùn)運(yùn)維操作作類似一一個(gè)“黑匣子子”：首先先不知道道當(dāng)前有有哪些操操作正在在進(jìn)行？其次是是在哪一一臺(tái)設(shè)備備上進(jìn)行行的操作作？更不不知道是是哪一個(gè)個(gè)運(yùn)維人人員執(zhí)行行的操作作？因?yàn)闉樗械牡牟僮鞫级疾煌该髅?，更談?wù)劜簧蠈?duì)對(duì)操作進(jìn)進(jìn)行跟蹤蹤和審計(jì)計(jì)，只有有將操作作最大限限度的透透明，隨隨時(shí)知道道目前的的操作狀狀況，才才能讓操操作變的的可以被被管理。增強(qiáng)操作作可控性性在當(dāng)前的的運(yùn)維操操作過程程中，一一方面超超級(jí)權(quán)限限運(yùn)維人人員（RRoott，ennablle等）的操作作是無法法控制的的，同時(shí)時(shí)在日常常的操作作中會(huì)出出現(xiàn)多個(gè)個(gè)運(yùn)維人人員同時(shí)時(shí)使用一一個(gè)超級(jí)級(jí)權(quán)限運(yùn)運(yùn)維人員員的情況況

25、，只有有通過更更加細(xì)粒粒度的控控制，讓讓某些運(yùn)運(yùn)維人員員能操作作什么某某些運(yùn)維維人員不不能操作作什么，即使多多個(gè)運(yùn)維維人員獲獲取同一一個(gè)超級(jí)級(jí)權(quán)限運(yùn)運(yùn)維人員員，操作作權(quán)限也也完全不不一樣，才能真真正的降降低操作作的風(fēng)險(xiǎn)險(xiǎn)。具體目標(biāo)標(biāo)集中管理理：集中所有有待管理理審計(jì)的的重要系系統(tǒng)進(jìn)行行統(tǒng)一管管理。身份管理理：解決維護(hù)護(hù)操作者者的身份份問題，準(zhǔn)確定定位操作作責(zé)任人人。訪問控制制：限制合合法操作作者合法法訪問資資源，有有效降低低未授權(quán)權(quán)訪問所所帶來的的風(fēng)險(xiǎn)。權(quán)限控制制：對(duì)于于運(yùn)維操操作來說說，權(quán)限限控制是是從操作作層面控控制操作作者的權(quán)權(quán)限，因因?yàn)椴僮髯魇亲詈撕诵牡娘L(fēng)風(fēng)險(xiǎn)因素素，只有有真正控控制住

26、運(yùn)運(yùn)維人員員的操作作權(quán)限，才能有有效的降降低操作作風(fēng)險(xiǎn)。操作審計(jì)計(jì)：操作作審計(jì)要要保證在在出了事事故以后后快速定定位操作作者和事事故原因因，還原原事故現(xiàn)現(xiàn)場(chǎng)和舉舉證。另另外一個(gè)個(gè)方面操操作審計(jì)計(jì)做為一一種驗(yàn)證證機(jī)制，驗(yàn)證和和保證集集中管理理，身份份管理，訪問控控制，權(quán)權(quán)限控制制策略的的有效性性。功能需求求集中管理理統(tǒng)一操作作入口通過使用用堡壘機(jī)機(jī)的密碼碼托管功功能和相相應(yīng)的網(wǎng)網(wǎng)絡(luò)訪問問控制，堡壘機(jī)機(jī)能夠成成為企業(yè)業(yè)運(yùn)維的的唯一操操作入口口。統(tǒng)一定制制策略將操作人人員、操操作行為為和目標(biāo)標(biāo)設(shè)備集集中到一一個(gè)平臺(tái)臺(tái)后，就就可以對(duì)對(duì)其進(jìn)行行統(tǒng)一分分組并統(tǒng)統(tǒng)一定制制相關(guān)策策略。統(tǒng)一操作作平臺(tái)系統(tǒng)運(yùn)維維

27、中，管管理人員員和操作作人員要要面對(duì)大大量不同同廠家不不同類型型的設(shè)備備，從硬硬件上看看可以分分成網(wǎng)絡(luò)絡(luò)設(shè)備和和服務(wù)器器。統(tǒng)一管理理審計(jì)使用統(tǒng)一一操作入入口，定定制相關(guān)關(guān)策略并并完成相相應(yīng)操作作及操作審審計(jì)。把把操作審審計(jì)工作作通過統(tǒng)統(tǒng)一的操作出出入口的的模式，使審計(jì)計(jì)變得易易于實(shí)現(xiàn)現(xiàn)和不可可逃避。訪問控制制堡壘機(jī)可可實(shí)現(xiàn)“運(yùn)維人人員系系統(tǒng)系系統(tǒng)帳號(hào)號(hào)”的對(duì)應(yīng)應(yīng)關(guān)系，從而實(shí)實(shí)現(xiàn)嚴(yán)格格的訪問問控制, 實(shí)現(xiàn)現(xiàn)實(shí)體級(jí)級(jí)的訪問問控制授授權(quán)。設(shè)設(shè)置完成成后，運(yùn)運(yùn)維人員員只能按按照規(guī)則則設(shè)置來來訪問相相應(yīng)資源源，徹底底杜絕了了非授權(quán)權(quán)訪問所所帶來的的問題。四要素控控制如下圖所所示，規(guī)規(guī)則包括括運(yùn)維人人員帳

28、號(hào)號(hào)，目標(biāo)標(biāo)設(shè)備，系統(tǒng)帳帳號(hào)和服服務(wù)類型型訪問這這幾個(gè)要要素。編編寫規(guī)則則就是將將已有的的信息選選入相關(guān)關(guān)欄目內(nèi)內(nèi)，而且且，此策策略為 即時(shí)生生效 策策略，相相關(guān)要素素一旦被被關(guān)聯(lián)入入策略后后，相應(yīng)應(yīng)人員就就能開始始使用。一旦使使用完畢畢，管理理員可以以即刻取取消關(guān)聯(lián)聯(lián)，相應(yīng)應(yīng)權(quán)利即即被收回回。詳細(xì)規(guī)則則設(shè)置針對(duì)每一一條訪問問控制規(guī)規(guī)則，可可以創(chuàng)建建一條或或者幾條條詳細(xì)的的登錄規(guī)規(guī)則?？梢栽O(shè)置置允許運(yùn)運(yùn)維人員員登錄的的IP范范圍；可以設(shè)置置允許運(yùn)運(yùn)維人員員登錄的的時(shí)間段段，可具具體到多多少分鐘鐘；訪問權(quán)限限控制堡壘機(jī)通通過命令令防火墻墻對(duì)同一一個(gè)系統(tǒng)統(tǒng)賬號(hào)進(jìn)進(jìn)行權(quán)限限再分配配，使得得可以讓讓使

29、用同同一個(gè)系系統(tǒng)賬號(hào)號(hào)的不同同運(yùn)維人人員擁有有不同的的權(quán)限。可靈活配配置權(quán)限限控制規(guī)規(guī)則，支支持通配配符設(shè)置置，具有有“允許、拒絕、禁止”等多種種功能。實(shí)時(shí)控制制管理員可可以在堡堡壘機(jī)的的WEBB界面，除了可可以實(shí)時(shí)時(shí)監(jiān)控運(yùn)運(yùn)維人員員在后臺(tái)臺(tái)設(shè)備上上的所有有操作外外，還可可以實(shí)時(shí)時(shí)監(jiān)控運(yùn)運(yùn)維人員員正在目目標(biāo)設(shè)備備上進(jìn)行行的任意意操作，實(shí)現(xiàn)操操作透明明，從而而達(dá)到邊邊操作邊邊審計(jì)的的目的。實(shí)時(shí)監(jiān)控控可查看運(yùn)運(yùn)維人員員的操作作會(huì)話狀狀態(tài)；在WEBB界面實(shí)實(shí)現(xiàn)實(shí)時(shí)時(shí)監(jiān)控；可以實(shí)時(shí)時(shí)監(jiān)控任任意類型型（圖形形操作和和字符操操作）的的活動(dòng)會(huì)會(huì)話；實(shí)時(shí)阻斷斷管理員在在實(shí)時(shí)監(jiān)監(jiān)管的過過程中，如果發(fā)發(fā)現(xiàn)運(yùn)維維人

30、員正正在做一一些違規(guī)規(guī)或有可可能導(dǎo)致致設(shè)備宕宕機(jī)的高高危操作作時(shí)，可可以直接接在WEEB界面面切斷此此運(yùn)維人人員的會(huì)會(huì)話連接接。 密碼管理理密碼托管管對(duì)于目標(biāo)標(biāo)設(shè)備的的訪問帳帳號(hào)密碼碼，可以以由堡壘壘機(jī)進(jìn)行行集中托托管，只只要配置置管理員員在相應(yīng)應(yīng)設(shè)備的的密碼管管理中將將目標(biāo)設(shè)設(shè)備的帳帳號(hào)密碼碼添加上上去即可可；使用了密密碼托管管功能后后，運(yùn)維維人員以以后訪問問目標(biāo)設(shè)設(shè)備時(shí)，只需要要記住自自己的上上的帳號(hào)號(hào)和密碼碼，即可可通過堡堡壘機(jī)自自動(dòng)登錄錄目標(biāo)設(shè)設(shè)備。自動(dòng)改密密堡壘機(jī)可可以靈活活配置目目標(biāo)設(shè)備備密碼的的修改策策略，實(shí)實(shí)現(xiàn)密碼碼的批量量定期自自動(dòng)修改改，修改改后的結(jié)結(jié)果可以以以加密密郵件方

31、方式發(fā)送送給密碼碼保管員員，從而而實(shí)現(xiàn)密密碼的集集中管理理，同時(shí)時(shí)密碼保保管員也也可以隨隨時(shí)在系系統(tǒng)的WWEB界界面手動(dòng)動(dòng)修改目目標(biāo)設(shè)備備的密碼碼，并可可以打包包備份設(shè)設(shè)備的密密碼到本本地，提提高改密密功能可可用性。自動(dòng)告警警設(shè)備登錄錄告警：針對(duì)核核心設(shè)備備，可設(shè)設(shè)置登錄錄告警。當(dāng)運(yùn)維維人員登登錄核心心設(shè)備時(shí)時(shí)，會(huì)發(fā)發(fā)一條告告警信息息給管理理員；命令操作作告警：對(duì)于字字符會(huì)話話設(shè)備，運(yùn)維人人員在輸輸入一些些高危命命令時(shí)，系統(tǒng)在在主動(dòng)阻阻斷的同同時(shí)，還還會(huì)發(fā)一一條告警警信息給給管理員員；圖形操作作告警：對(duì)于圖圖形會(huì)話話設(shè)備，運(yùn)維人人員在通通過鍵盤盤輸入一一些高危危指令時(shí)時(shí)，系統(tǒng)統(tǒng)會(huì)在第第一時(shí)間間

32、發(fā)出告告警信息息給管理理員；設(shè)備登錄錄提醒當(dāng)有運(yùn)維維人員登登錄到目目標(biāo)設(shè)備備時(shí)，堡堡壘機(jī)會(huì)會(huì)馬上生生成一條條告警信信息，以以郵件或或短信的的形式通通知管理理員。讓讓管理員員第一時(shí)時(shí)間得知知這臺(tái)設(shè)設(shè)備的具具體情況況。如果果發(fā)生操操作事故故時(shí)，可可以通過過登錄人人員人信信息快速速查找出出事故原原因及定定位事故故責(zé)任人人。登錄提醒醒功能支支持的操操作類型型包括：字符設(shè)設(shè)備（TTelnnet/SSHH）登錄錄、圖形形設(shè)備（RDPP/VNNC/XXwinndoww/HTTTP/HTTTPS）登錄、文件傳傳輸設(shè)備備（FTTP/SSFTPP/SCCP）登登錄和數(shù)數(shù)據(jù)庫登登錄等。命令操作作告警針對(duì)命令令操作會(huì)

33、會(huì)話，如如果運(yùn)維維人員觸觸發(fā)了設(shè)設(shè)置好的的監(jiān)控級(jí)級(jí)別命令令，堡壘壘機(jī)就會(huì)會(huì)把這些些事件進(jìn)進(jìn)行詳細(xì)細(xì)的記錄錄并發(fā)郵郵件告知知管理員，同同時(shí)還可可以支持持sysslogg方式和和短信網(wǎng)網(wǎng)關(guān)方式式的告警警信息發(fā)發(fā)送。圖形操作作告警針對(duì)圖形形操作會(huì)會(huì)話，如如果運(yùn)維維人員觸觸發(fā)了設(shè)設(shè)置好的的監(jiān)控級(jí)級(jí)別命令令，堡壘壘機(jī)就會(huì)會(huì)把這些些事件進(jìn)進(jìn)行詳細(xì)細(xì)的記錄錄并發(fā)郵郵件告知知管理員員，同時(shí)時(shí)還可以以支持ssysllog方方式和短短信網(wǎng)關(guān)關(guān)方式的的告警信信息發(fā)送送。操作審計(jì)計(jì)堡壘機(jī)可可以完整整記錄運(yùn)運(yùn)維人員員的所有有操作行行為，具具體體現(xiàn)現(xiàn)在：所見即所所得：記記錄運(yùn)維維人員真真實(shí)、原原始的操操作，而而不是處處理

34、過的的操作；以人為本本：基于于運(yùn)維人人員身份份和工作作角色的的雙審計(jì)計(jì)，保證證操作審審計(jì)到人人；關(guān)聯(lián)分析析：完整整記錄運(yùn)運(yùn)維人員員多次聯(lián)聯(lián)系跳轉(zhuǎn)轉(zhuǎn)的操作作會(huì)話，準(zhǔn)確分分析關(guān)聯(lián)聯(lián)操作；支持基于于Htttp/HHttpps協(xié)議議的操作作審計(jì)；深度審計(jì)計(jì)為了進(jìn)一一步增加加運(yùn)維操操作的完完善性，堡壘機(jī)機(jī)可以記記錄圖形形操作的的鼠標(biāo)點(diǎn)點(diǎn)擊情況況和鍵盤盤輸入情情況，從從而實(shí)現(xiàn)現(xiàn)深度審審計(jì)。快速定位位：對(duì)歷史字字符操作作會(huì)話，可以實(shí)實(shí)現(xiàn)從任任一命令令點(diǎn)回放放下面的的操作。對(duì)歷史圖圖形操作作會(huì)話，還可以以做到完完整得在在線回放放和下載載到本地地回放，回放方式式支持拖拖拉定位位、倍速速回放和和自動(dòng)過過濾靜止止會(huì)

35、話。圖形會(huì)話話操作審審計(jì)堡壘機(jī)可可以完整整記錄普普通運(yùn)維維人員的的圖形操操作，對(duì)對(duì)于審計(jì)計(jì)結(jié)果的的查看，可以做做到：拖拉定位位回放：堡壘機(jī)機(jī)可以快快速精確確地定位位播放點(diǎn)點(diǎn),可以以對(duì)圖形形設(shè)備上上進(jìn)行的的操作錄錄像進(jìn)行行無延時(shí)時(shí)的拖拉拉定位回回放； 靜止會(huì)話話自動(dòng)過過濾：堡堡壘機(jī)記記錄圖形形會(huì)話是是以增量量方式進(jìn)進(jìn)行記錄錄的，因因此對(duì)于于沒有任任何操作作的靜止止畫面堡堡壘機(jī)會(huì)會(huì)自動(dòng)過過濾掉，在播放放的過程程中會(huì)自自動(dòng)跳過過靜止畫畫面的時(shí)時(shí)間段；縮略圖查查看：對(duì)對(duì)于大的的會(huì)話，可以以以縮略圖圖分段顯顯示；根據(jù)時(shí)間間定位回回放：可可以根據(jù)據(jù)指定時(shí)時(shí)間，從從該時(shí)間間點(diǎn)開始始回放圖圖形操作作；回放抓屏

36、屏: 在回放放的過程程中，可可以隨時(shí)時(shí)進(jìn)行抓抓圖；字符命令令操作（Tellnett/SSSH）的的操作審審計(jì)堡壘機(jī)可可以完整整記錄普普通運(yùn)維維人員的的字符命命令操作作，對(duì)于于審計(jì)結(jié)結(jié)果的查查看，可可以做到到：輸入命令令和輸出出結(jié)果的的智能分分離: 對(duì)于命命令行操操作的審審計(jì)結(jié)果果查看，堡壘機(jī)機(jī)可以做做到輸入入輸出的的智能分分離：當(dāng)當(dāng)打開審審計(jì)界面面的時(shí)候候，默認(rèn)認(rèn)是讓管管理員只只看到運(yùn)運(yùn)維人員員輸入的的命令；定位回放放：運(yùn)維維人員在在查看命命令行回回放時(shí)，可以做做到從任任意命令令點(diǎn)開始始回放。只需點(diǎn)點(diǎn)開“P”，則馬馬上可以以從從這這條命令令開始回回放運(yùn)維維人員的的操作；操作會(huì)話話統(tǒng)計(jì)：執(zhí)行的的

37、命令總總數(shù)/被被拒絕/被禁止止的命令令數(shù)量；HTTPP、HTTTPSS操作審審計(jì)（防防火墻、IPSS、IDDS等）針對(duì)使用用HTTTP/HHTTPPS管理理的設(shè)備備，如防防火墻、IPSS、IDDS等，可通過過堡壘機(jī)機(jī)登錄到到被管理理設(shè)備的的WEBB界面進(jìn)進(jìn)行操作作，所有有的操作作都可以以實(shí)時(shí)監(jiān)監(jiān)控、記記錄、審審計(jì)。應(yīng)用發(fā)布布操作審審計(jì) 針對(duì)通通過C/S客戶戶端工具具（如PPL/SSQL、SQLLPLUUS、TTOADD、PCCOM等等）的運(yùn)運(yùn)維操作作，可使使用堡壘壘機(jī)的應(yīng)應(yīng)用發(fā)布布，將需需要的應(yīng)應(yīng)用程序序發(fā)布出出來，所所有的操操作過程程都被記記錄下來來。鍵盤鼠標(biāo)標(biāo)、剪貼貼板的操操作審計(jì)計(jì)為了進(jìn)

38、一一步完善善運(yùn)維操操作的完完整性，堡壘機(jī)機(jī)具有圖圖形操作作的鼠標(biāo)標(biāo)點(diǎn)擊記記錄、查查詢和審審計(jì)功能能；同樣樣對(duì)于運(yùn)運(yùn)維人員員鍵盤輸輸入的內(nèi)內(nèi)容、通通過剪貼貼板的復(fù)復(fù)制粘貼貼內(nèi)容，堡壘機(jī)機(jī)會(huì)以文文本的形形式記錄錄在頁面面中；鼠標(biāo)審計(jì)計(jì)：在查查看審計(jì)計(jì)記錄時(shí)時(shí)，在審審計(jì)的頁頁面中會(huì)會(huì)有三個(gè)個(gè)代表鼠鼠標(biāo)按鍵鍵的圖標(biāo)標(biāo)，分別別代表著著鼠標(biāo)按按鍵的左左鍵、中中鍵及右右健。回回放時(shí)，根據(jù)運(yùn)運(yùn)維人員員點(diǎn)擊鼠鼠標(biāo)不同同的按鍵鍵，所代代表的圖圖標(biāo)就會(huì)會(huì)以不同同的顏色色進(jìn)行顯顯示，并并且改變變的次數(shù)數(shù)與鼠標(biāo)標(biāo)點(diǎn)擊的的次數(shù)形形成對(duì)應(yīng)應(yīng)關(guān)系；鍵盤審計(jì)計(jì)：可以以完整記記錄運(yùn)維維人員的的鍵盤輸輸入操作作，并將將輸入內(nèi)內(nèi)容以

39、文文本方式式整理保保存；通過鍵盤盤搜索實(shí)實(shí)現(xiàn)定位位回放：支持通通過對(duì)鍵鍵盤輸入入內(nèi)容進(jìn)進(jìn)行搜索索，以實(shí)實(shí)現(xiàn)定位位回放；文件傳輸輸操作(FTPP/SFFTP/SCPP)審計(jì)計(jì)完整記錄錄運(yùn)維人人員的操操作過程程，包括括對(duì)文件件的上傳傳、下載載、刪除除、修改改權(quán)限等等等。并并能通過過時(shí)間、運(yùn)維人人員、服服務(wù)、類類型、結(jié)結(jié)果等條條件進(jìn)行行篩選搜搜索。數(shù)據(jù)庫審審計(jì)直接登錄錄到數(shù)據(jù)據(jù)庫服務(wù)務(wù)器使用用命令行行的操作作審計(jì)對(duì)于直接接登錄到到數(shù)據(jù)庫庫服務(wù)器器上的命命令行操操作，堡堡壘機(jī)要要求能夠夠記錄操操作者所所有的ssql語語句和輸輸出結(jié)果果，并且且能夠在在輸入輸輸出內(nèi)容容中進(jìn)行行文本搜搜索。通過weeb進(jìn)行

40、行的操作作審計(jì)對(duì)于使用用htttps/htttp的 webb操作，堡壘機(jī)機(jī)可以記記錄所有有的操作作過程，包括鍵鍵盤的輸輸入內(nèi)容容和鼠標(biāo)標(biāo)的點(diǎn)擊擊（左右右鍵，單單雙擊），其中中鍵盤的的輸入可可以進(jìn)行行文本搜搜索。使用客戶戶端工具具的操作作審計(jì)數(shù)據(jù)庫客客戶端一一定要集集中管理理，不允允許隨意意在筆記記本/臺(tái)臺(tái)式機(jī)等等操作終終端上安安裝客戶戶端程序序，客戶戶端程序序必須統(tǒng)統(tǒng)一安裝裝在1臺(tái)臺(tái)/幾臺(tái)臺(tái)指定的的winndowws 服服務(wù)器上上；操作者必必須通過過堡壘機(jī)機(jī)登錄到指定定的Wiindoows服服務(wù)器上上，然后后在這臺(tái)臺(tái)服務(wù)器器上打開開客戶端端程序進(jìn)進(jìn)行操作作；堡壘機(jī)完完整的記記錄所有有的圖形形操作過過程，并并且可以以實(shí)時(shí)監(jiān)監(jiān)控所有