尚思卓越企業(yè)堡壘機(jī)安全管理規(guī)范_第1頁
尚思卓越企業(yè)堡壘機(jī)安全管理規(guī)范_第2頁
尚思卓越企業(yè)堡壘機(jī)安全管理規(guī)范_第3頁
尚思卓越企業(yè)堡壘機(jī)安全管理規(guī)范_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

最新資料歡迎閱讀尚思卓越企業(yè)堡壘機(jī)安全管理規(guī)范則第一條為加強(qiáng)堡壘機(jī)的安全管理工作,有效保證堡壘機(jī)部署、運(yùn)維和使用的合規(guī)性、安全性和可審計(jì)性,結(jié)合實(shí)際情況,特制定本管理規(guī)范。第二條本規(guī)范中使用到的相關(guān)術(shù)語定義如下:(一)堡壘機(jī):是一種系統(tǒng)運(yùn)維安全管理工具,提供用戶對(duì)系統(tǒng)進(jìn)行運(yùn)維操作的統(tǒng)一入口,既能夠?qū)ι矸菡J(rèn)證、運(yùn)維授權(quán)、運(yùn)維行為、設(shè)備賬戶密碼等進(jìn)行有效管控,又具有再現(xiàn)行為軌跡、過程回放等審計(jì)功能,有效保證運(yùn)維操作的合規(guī)性、安全性和可審計(jì)性。(二)設(shè)備:指由堡壘機(jī)進(jìn)行密碼托管或者密碼代填、通過堡壘機(jī)進(jìn)行運(yùn)維的各類應(yīng)用系統(tǒng),包括Unix、Windows平臺(tái)服務(wù)器、網(wǎng)絡(luò)設(shè)備等。(三)協(xié)議:指堡壘機(jī)所支持的運(yùn)維協(xié)議,主要可分為文本協(xié)議(Telnet、SSH)、圖形協(xié)議(RDP、XWin、VNC、Http等)、文件傳輸協(xié)議(FTP、SFTP)。(四)密碼托管:指設(shè)備的指定賬戶及其密碼由堡壘機(jī)保存,并按照設(shè)置由堡壘機(jī)進(jìn)行自動(dòng)/手動(dòng)改密,用戶運(yùn)維無須知曉賬戶密碼、通過堡壘機(jī)自動(dòng)認(rèn)證登陸。(五)密碼代填:指設(shè)備的指定賬戶及其密碼由堡壘機(jī)保存,堡壘機(jī)只保存而不進(jìn)行改密,用戶運(yùn)維無須知曉賬戶密碼、由堡壘機(jī)自動(dòng)代填密碼登陸。(六)黑/白名單:指堡壘機(jī)能夠?qū)ξ谋緟f(xié)議以及文件傳輸協(xié)議進(jìn)行運(yùn)維命令限制,黑名單為不允許運(yùn)維用戶執(zhí)行的命令集合,白名單為僅允許運(yùn)維用戶執(zhí)行的命令集合。根據(jù)堡壘機(jī)功能的不同,黑名單主要存在以下三種形式,一是堡壘機(jī)直接對(duì)黑名單命令進(jìn)行阻斷,二是在經(jīng)復(fù)核人審核通過允許執(zhí)行,三是允許執(zhí)行但在審計(jì)中進(jìn)行高亮顯示。(七)復(fù)核:指用戶在通過堡壘機(jī)使用文本協(xié)議對(duì)平臺(tái)設(shè)備運(yùn)維時(shí),可由另一復(fù)核用戶對(duì)操作進(jìn)行復(fù)核。根據(jù)堡壘機(jī)功能的不同,復(fù)核主要存在以下三種形式,一是通過實(shí)時(shí)共享運(yùn)維會(huì)話畫面、觀看運(yùn)維操作過程進(jìn)行復(fù)核,二是在觀看運(yùn)維過程的同時(shí),對(duì)黑名單命令進(jìn)行審核,復(fù)核員許可后允許執(zhí)行黑名單命令,三是對(duì)運(yùn)維操作的全部命令進(jìn)行審核,只有經(jīng)復(fù)核員審核通過的命令才被執(zhí)行。第二章安全技術(shù)標(biāo)準(zhǔn)第三條堡壘機(jī)能夠支持靜態(tài)口令認(rèn)證、證書認(rèn)證、令牌認(rèn)證、AD域等認(rèn)證方式中的兩種以上,能夠支持設(shè)置靜態(tài)口令強(qiáng)度、用戶認(rèn)證有效期、登陸失敗鎖定次數(shù)等參數(shù)。第四條堡壘機(jī)對(duì)所托管的設(shè)備賬戶,能夠根據(jù)設(shè)備密碼管理員的設(shè)置(改密時(shí)間、改密賬戶范圍等)進(jìn)行自動(dòng)定時(shí)改密、以及手動(dòng)改密,所生成的新密碼要符合系統(tǒng)密碼復(fù)雜度要求,并提供改密結(jié)果日志。堡壘機(jī)能夠加密導(dǎo)出全部或者部分設(shè)備賬戶密碼,或者將其打印至密碼密函信封中保存。第五條堡壘機(jī)能夠提供靈活、細(xì)粒度的運(yùn)維授權(quán)機(jī)制,根據(jù)運(yùn)維時(shí)間區(qū)間、運(yùn)維用戶(組)、運(yùn)維協(xié)議、運(yùn)維設(shè)備(組)、設(shè)備賬戶、運(yùn)維終端IP地址等要素,以最小權(quán)限準(zhǔn)則對(duì)運(yùn)維操作進(jìn)行授權(quán),得到授權(quán)許可方可進(jìn)行相應(yīng)的運(yùn)維操作,以降低運(yùn)維操作風(fēng)險(xiǎn),最大限度保護(hù)用戶資源的安全。第六條堡壘機(jī)能夠支持根據(jù)系統(tǒng)管理員的設(shè)置,將系統(tǒng)配置、運(yùn)維審計(jì)日志等重要信息通過FTP定期自動(dòng)傳輸或者手動(dòng)下載的方式進(jìn)行系統(tǒng)備份異地存放,滿足在各類故障或應(yīng)用場(chǎng)景使用備份數(shù)據(jù)及時(shí)恢復(fù)系統(tǒng)配置,確保堡壘機(jī)穩(wěn)定運(yùn)行。第三章安全設(shè)置第七條若堡壘機(jī)存在用于底層維護(hù)的特殊用途端口,平時(shí)必須在系統(tǒng)中將其關(guān)閉,僅可在應(yīng)急情況或者有特殊需求時(shí)進(jìn)行開放,并在操作執(zhí)行完成后立刻關(guān)閉。第八條堡壘機(jī)設(shè)備及其主控臺(tái)必須放置于生產(chǎn)機(jī)房,且位于視頻監(jiān)控范圍之內(nèi)。堡壘機(jī)操作必須在指定終端上進(jìn)行,且終端位于視頻監(jiān)控范圍內(nèi)。第九條堡壘機(jī)必須對(duì)堡壘機(jī)系統(tǒng)配置、運(yùn)維日志、審計(jì)日志等信息進(jìn)行周期性備份,以便于各類故障或應(yīng)用場(chǎng)景下對(duì)系統(tǒng)進(jìn)行恢復(fù)。其中備份周期、備份文件傳輸方式、備份文件存放方式由各行根據(jù)堡壘機(jī)產(chǎn)品功能自行確定。第條堡壘機(jī)須經(jīng)過安全測(cè)試才能正式上線使用。安全測(cè)試中應(yīng)重點(diǎn)關(guān)注:有無非法后門、系統(tǒng)健壯性、應(yīng)用產(chǎn)品代碼、應(yīng)用系統(tǒng)版本、補(bǔ)丁更新、系統(tǒng)版本等方面內(nèi)容。第一條堡壘機(jī)投產(chǎn)使用后,應(yīng)定期開展系統(tǒng)安全評(píng)估工作。使用漏洞掃描、系統(tǒng)升級(jí)、補(bǔ)丁更新等方法及時(shí)發(fā)現(xiàn)并修復(fù)相關(guān)安全漏洞,保證堡壘機(jī)穩(wěn)定運(yùn)行。第四章通用設(shè)置第二條堡壘機(jī)用戶劃分應(yīng)包括但不限于系統(tǒng)管理員、授權(quán)員、審計(jì)員、運(yùn)維用戶、設(shè)備密碼管理員五個(gè)基本類型,各行可根據(jù)自身情況對(duì)用戶進(jìn)行合理劃分,確保不同用戶類型之間權(quán)限相互制衡。第三條堡壘機(jī)用戶認(rèn)證體系中,系統(tǒng)管理員應(yīng)采用強(qiáng)口令、證書認(rèn)證、動(dòng)態(tài)口令等多重認(rèn)證方式,不同認(rèn)證要素應(yīng)由不同管理員進(jìn)行分管。其他權(quán)限用戶根據(jù)實(shí)際情況,采用合適的認(rèn)證方式。各行可根據(jù)堡壘機(jī)用戶權(quán)限大小及重要性,對(duì)認(rèn)證方式進(jìn)行靈活設(shè)置,確保堡壘機(jī)認(rèn)證體系的完備安全。第四條各行在堡壘機(jī)投產(chǎn)以后,遵循按照設(shè)備重要性循序漸進(jìn)的原則逐步將各類設(shè)備納入堡壘機(jī)管理。原則上重要系統(tǒng)均須納入堡壘機(jī)進(jìn)行管理,具體設(shè)備范圍由各行進(jìn)行確定。第五條各設(shè)備管理賬戶(root、administrator等)必須納入堡壘機(jī)進(jìn)行統(tǒng)一管理。監(jiān)控菜單用戶、無法改密的用戶可采用密碼代填的方式納入堡壘機(jī)管理。第六條設(shè)備密碼管理員須根據(jù)堡壘機(jī)改密設(shè)置,在設(shè)備賬戶密碼周期性修改或者手動(dòng)修改后,及時(shí)將各設(shè)備管理員賬戶密碼通過加密導(dǎo)出、或者打印至密碼信封等安全方式,由專人存放保管,確保設(shè)備賬戶密碼的安全。第七條出于堡壘機(jī)應(yīng)急操作的需要,各行可以在生產(chǎn)系統(tǒng)中預(yù)留應(yīng)急用戶,其密碼應(yīng)使用安全介質(zhì)進(jìn)行封存由專人保管,當(dāng)且僅當(dāng)堡壘機(jī)和所導(dǎo)出密碼均失效時(shí)啟用,以對(duì)設(shè)備進(jìn)行應(yīng)急運(yùn)維。堡壘機(jī)恢復(fù)正常后,由密碼管理員負(fù)責(zé)修改應(yīng)急用戶密碼并重新封存密碼信封。第五章運(yùn)維流程第八條應(yīng)按照運(yùn)維人員的真實(shí)信息建立獨(dú)立的堡壘機(jī)用戶ID,以識(shí)別各設(shè)備賬戶的真實(shí)使用者。第九條按照各行運(yùn)維審批流程,授權(quán)員根據(jù)有權(quán)人的審批,對(duì)運(yùn)維時(shí)間區(qū)間、運(yùn)維用戶(組)、運(yùn)維協(xié)議、運(yùn)維設(shè)備(組)、設(shè)備賬戶、運(yùn)維終端IP地址等要素進(jìn)行設(shè)置,以最小授權(quán)準(zhǔn)則對(duì)運(yùn)維操作進(jìn)行授權(quán)。第二條運(yùn)維人員僅在得到授權(quán)員授權(quán)后,在對(duì)應(yīng)的運(yùn)維時(shí)間區(qū)間登錄堡壘機(jī),方可對(duì)指定設(shè)備使用指定賬戶在指定協(xié)議上進(jìn)行系統(tǒng)運(yùn)維操作,以保證堡壘機(jī)不被超限使用。第二一條堡壘機(jī)可對(duì)黑/白名單進(jìn)行設(shè)置。例如,針對(duì)特定設(shè)備的特定賬戶操作使用黑名單進(jìn)行限制,未經(jīng)審批不得執(zhí)行,防止誤操作;對(duì)一些外部巡檢人員應(yīng)用白名單進(jìn)行限制,僅可執(zhí)行指定的查詢類巡檢命令,確保設(shè)備安全。各分行根據(jù)自身需求進(jìn)行相應(yīng)設(shè)置。第二二條堡壘機(jī)原則上應(yīng)由自有人員進(jìn)行維護(hù)操作。通過堡壘機(jī)對(duì)所托管的系統(tǒng)進(jìn)行運(yùn)維操作時(shí),涉及重要系統(tǒng)、重要變更的操作必須采用雙人復(fù)核機(jī)制,以確保對(duì)堡壘機(jī)操作的安全合規(guī)。第二三條在特殊情況下,堡壘機(jī)需要由外部人員進(jìn)行操作時(shí),操作過程中必須有人員全程陪同,并對(duì)外部人員操作堡壘機(jī)進(jìn)行實(shí)時(shí)監(jiān)控,防

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論