返回
尚思卓越企业堡垒机安全管理规范.doc

尚思卓越企业堡垒机安全管理规范.doc

ID:55782016

大小:31.50 KB

页数:7页

时间:2020-06-07

尚思卓越企业堡垒机安全管理规范.doc_第1页
尚思卓越企业堡垒机安全管理规范.doc_第2页
尚思卓越企业堡垒机安全管理规范.doc_第3页
尚思卓越企业堡垒机安全管理规范.doc_第4页
尚思卓越企业堡垒机安全管理规范.doc_第5页
资源描述:

《尚思卓越企业堡垒机安全管理规范.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、尚思卓越企业堡垒机安全管理规范第一章总则第一条为加强堡垒机的安全管理工作,有效保证堡垒机部署、运维和使用的合规性、安全性和可审计性,结合实际情况,特制定本管理规范。第二条本规范中使用到的相关术语定义如下:(一)堡垒机:是一种系统运维安全管理工具,提供用户对系统进行运维操作的统一入口,既能够对身份认证、运维授权、运维行为、设备账户密码等进行有效管控,又具有再现行为轨迹、过程回放等审计功能,有效保证运维操作的合规性、安全性和可审计性。(二)设备:指由堡垒机进行密码托管或者密码代填、通过堡垒机进行运维的各类应用系统,包括Unix、

2、Windows平台服务器、网络设备等。(三)协议:指堡垒机所支持的运维协议,主要可分为文本协议(Telnet、SSH)、图形协议(RDP、XWin、VNC、Http等)、文件传输协议(FTP、SFTP)。(四)密码托管:指设备的指定账户及其密码由堡垒机保存,并按照设置由堡垒机进行自动/手动改密,用户运维无须知晓账户密码、通过堡垒机自动认证登陆。(五)密码代填:指设备的指定账户及其密码由堡垒机保存,堡垒机只保存而不进行改密,用户运维无须知晓账户密码、由堡垒机自动代填密码登陆。(六)黑/白名单:指堡垒机能够对文本协议以及文件传输

3、协议进行运维命令限制,黑名单为不允许运维用户执行的命令集合,白名单为仅允许运维用户执行的命令集合。根据堡垒机功能的不同,黑名单主要存在以下三种形式,一是堡垒机直接对黑名单命令进行阻断,二是在经复核人审核通过允许执行,三是允许执行但在审计中进行高亮显示。(七)复核:指用户在通过堡垒机使用文本协议对平台设备运维时,可由另一复核用户对操作进行复核。根据堡垒机功能的不同,复核主要存在以下三种形式,一是通过实时共享运维会话画面、观看运维操作过程进行复核,二是在观看运维过程的同时,对黑名单命令进行审核,复核员许可后允许执行黑名单命令,三

4、是对运维操作的全部命令进行审核,只有经复核员审核通过的命令才被执行。第一章安全技术标准第一条堡垒机能够支持静态口令认证、证书认证、令牌认证、AD域等认证方式中的两种以上,能够支持设置静态口令强度、用户认证有效期、登陆失败锁定次数等参数。第二条堡垒机对所托管的设备账户,能够根据设备密码管理员的设置(改密时间、改密账户范围等)进行自动定时改密、以及手动改密,所生成的新密码要符合系统密码复杂度要求,并提供改密结果日志。堡垒机能够加密导出全部或者部分设备账户密码,或者将其打印至密码密函信封中保存。第一条堡垒机能够提供灵活、细粒度的运

5、维授权机制,根据运维时间区间、运维用户(组)、运维协议、运维设备(组)、设备账户、运维终端IP地址等要素,以最小权限准则对运维操作进行授权,得到授权许可方可进行相应的运维操作,以降低运维操作风险,最大限度保护用户资源的安全。第二条堡垒机能够支持根据系统管理员的设置,将系统配置、运维审计日志等重要信息通过FTP定期自动传输或者手动下载的方式进行系统备份异地存放,满足在各类故障或应用场景使用备份数据及时恢复系统配置,确保堡垒机稳定运行。第一章安全设置第三条若堡垒机存在用于底层维护的特殊用途端口,平时必须在系统中将其关闭,仅可在应

6、急情况或者有特殊需求时进行开放,并在操作执行完成后立刻关闭。第四条堡垒机设备及其主控台必须放置于生产机房,且位于视频监控范围之内。堡垒机操作必须在指定终端上进行,且终端位于视频监控范围内。第一条堡垒机必须对堡垒机系统配置、运维日志、审计日志等信息进行周期性备份,以便于各类故障或应用场景下对系统进行恢复。其中备份周期、备份文件传输方式、备份文件存放方式由各行根据堡垒机产品功能自行确定。第二条堡垒机须经过安全测试才能正式上线使用。安全测试中应重点关注:有无非法后门、系统健壮性、应用产品代码、应用系统版本、补丁更新、系统版本等方面

7、内容。第三条堡垒机投产使用后,应定期开展系统安全评估工作。使用漏洞扫描、系统升级、补丁更新等方法及时发现并修复相关安全漏洞,保证堡垒机稳定运行。第一章通用设置第四条堡垒机用户划分应包括但不限于系统管理员、授权员、审计员、运维用户、设备密码管理员五个基本类型,各行可根据自身情况对用户进行合理划分,确保不同用户类型之间权限相互制衡。第五条堡垒机用户认证体系中,系统管理员应采用强口令、证书认证、动态口令等多重认证方式,不同认证要素应由不同管理员进行分管。其他权限用户根据实际情况,采用合适的认证方式。各行可根据堡垒机用户权限大小及重

8、要性,对认证方式进行灵活设置,确保堡垒机认证体系的完备安全。第一条各行在堡垒机投产以后,遵循按照设备重要性循序渐进的原则逐步将各类设备纳入堡垒机管理。原则上重要系统均须纳入堡垒机进行管理,具体设备范围由各行进行确定。第二条各设备管理账户(root、administrator等)必须纳入堡垒

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。