尚思卓越企業(yè)堡壘機安全管理規(guī)范

1、尚思卓越（北京）科技有限公司尚思卓越企業(yè)堡壘機安全管理規(guī)范第一章總 則第一條為加強堡壘機的安全管理工作，有效保證堡壘機部署、 運維和使用的合規(guī)性、安全性和可審計性，結(jié)合實際情況，特制定 本管理規(guī)范。第二條 本規(guī)范中使用到的相關術語定義如下：（一）堡壘機：是一種系統(tǒng)運維安全管理工具，提供用戶對系 統(tǒng)進行運維操作的統(tǒng)一入口，既能夠?qū)ι矸菡J證、運維授權、運維 行為、設備賬戶密碼等進行有效管控，又具有再現(xiàn)行為軌跡、過程 回放等審計功能，有效保證運維操作的合規(guī)性、安全性和可審計性。（二）設備：指由堡壘機進行密碼托管或者密碼代填、通過堡壘機進行運維的各類應用系統(tǒng)，包括Unix、Windows平臺服務器、網(wǎng)

2、絡設備等。（三）協(xié)議：指堡壘機所支持的運維協(xié)議，主要可分為文本協(xié)議（Tel net、SSH、圖形協(xié)議（RDR XWin VNC Http 等）、文件 傳輸協(xié)議（FTP、SFTR。（四）密碼托管：指設備的指定賬戶及其密碼由堡壘機保存，并按照設置由堡壘機進行自動/手動改密，用戶運維無須知曉賬戶 密碼、通過堡壘機自動認證登陸。（五）密碼代填：指設備的指定賬戶及其密碼由堡壘機保存， 堡壘機只保存而不進行改密，用戶運維無須知曉賬戶密碼、由堡壘機自動代填密碼登陸。（六）黑/白名單：指堡壘機能夠?qū)ξ谋緟f(xié)議以及文件傳輸協(xié)議 進行運維命令限制，黑名單為不允許運維用戶執(zhí)行的命令集合，白 名單為僅允許運維用戶執(zhí)行的

3、命令集合。根據(jù)堡壘機功能的不同， 黑名單主要存在以下三種形式，一是堡壘機直接對黑名單命令進行 阻斷，二是在經(jīng)復核人審核通過允許執(zhí)行，三是允許執(zhí)行但在審計 中進行高亮顯示。（七）復核：指用戶在通過堡壘機使用文本協(xié)議對平臺設備運 維時，可由另一復核用戶對操作進行復核。 根據(jù)堡壘機功能的不同， 復核主要存在以下三種形式，一是通過實時共享運維會話畫面、觀 看運維操作過程進行復核，二是在觀看運維過程的同時，對黑名單 命令進行審核，復核員許可后允許執(zhí)行黑名單命令，三是對運維操 作的全部命令進行審核，只有經(jīng)復核員審核通過的命令才被執(zhí)行。第二章安全技術標準第三條堡壘機能夠支持靜態(tài)口令認證、證書認證、令牌認證、

4、 AD域等認證方式中的兩種以上，能夠支持設置靜態(tài)口令強度、用 戶認證有效期、登陸失敗鎖定次數(shù)等參數(shù)。第四條 堡壘機對所托管的設備賬戶，能夠根據(jù)設備密碼管理員 的設置（改密時間、改密賬戶范圍等）進行自動定時改密、以及手 動改密，所生成的新密碼要符合系統(tǒng)密碼復雜度要求，并提供改密 結(jié)果日志。堡壘機能夠加密導出全部或者部分設備賬戶密碼，或者將其打印至密碼密函信封中保存。第五條堡壘機能夠提供靈活、細粒度的運維授權機制，根據(jù)運 維時間區(qū)間、運維用戶（組）、運維協(xié)議、運維設備（組）、設備 賬戶、運維終端IP地址等要素，以最小權限準則對運維操作進行 授權，得到授權許可方可進行相應的運維操作，以降低運維操作風

5、 險，最大限度保護用戶資源的安全。第六條 堡壘機能夠支持根據(jù)系統(tǒng)管理員的設置，將系統(tǒng)配置、 運維審計日志等重要信息通過 FTP定期自動傳輸或者手動下載的 方式進行系統(tǒng)備份異地存放， 滿足在各類故障或應用場景使用備份 數(shù)據(jù)及時恢復系統(tǒng)配置，確保堡壘機穩(wěn)定運行。第三章安全設置第七條若堡壘機存在用于底層維護的特殊用途端口，平時必須在系統(tǒng)中將其關閉，僅可在應急情況或者有特殊需求時進行開放， 并在操作執(zhí)行完成后立刻關閉。第八條 堡壘機設備及其主控臺必須放置于生產(chǎn)機房，且位于視頻監(jiān)控范圍之內(nèi)。堡壘機操作必須在指定終端上進行，且終端位于 視頻監(jiān)控范圍內(nèi)。第九條 堡壘機必須對堡壘機系統(tǒng)配置、運維日志、審計日志

6、等信息進行周期性備份，以便于各類故障或應用場景下對系統(tǒng)進行恢 復。其中備份周期、備份文件傳輸方式、備份文件存放方式由各行根據(jù)堡壘機產(chǎn)品功能自行確定。第十條堡壘機須經(jīng)過安全測試才能正式上線使用。安全測試中 應重點關注：有無非法后門、系統(tǒng)健壯性、應用產(chǎn)品代碼、應用系 統(tǒng)版本、補丁更新、系統(tǒng)版本等方面內(nèi)容。第十一條堡壘機投產(chǎn)使用后，應定期開展系統(tǒng)安全評估工作。 使用漏洞掃描、系統(tǒng)升級、補丁更新等方法及時發(fā)現(xiàn)并修復相關安 全漏洞，保證堡壘機穩(wěn)定運行。第四章通用設置第十二條 堡壘機用戶劃分應包括但不限于系統(tǒng)管理員、授權員、審計員、運維用戶、設備密碼管理員五個基本類型，各行可根據(jù)自 身情況對用戶進行合理劃

7、分， 確保不同用戶類型之間權限相互制衡。第十三條 堡壘機用戶認證體系中，系統(tǒng)管理員應采用強口令、 證書認證、動態(tài)口令等多重認證方式，不同認證要素應由不同管理 員進行分管。其他權限用戶根據(jù)實際情況，采用合適的認證方式。 各行可根據(jù)堡壘機用戶權限大小及重要性，對認證方式進行靈活設置，確保堡壘機認證體系的完備安全。第十四條各行在堡壘機投產(chǎn)以后，遵循按照設備重要性循序漸 進的原則逐步將各類設備納入堡壘機管理。 原則上重要系統(tǒng)均須納 入堡壘機進行管理，具體設備范圍由各行進行確定。第十五條 各設備管理賬戶（root、administrator等）必須納入堡網(wǎng)站：www.s un si.c n地址：北京市海

8、淀區(qū)東北旺西路8號中關村軟件園8號樓1層102室尚思卓越（北京）科技有限公司壘機進行統(tǒng)一管理。監(jiān)控菜單用戶、無法改密的用戶可采用密碼代 填的方式納入堡壘機管理。第十六條設備密碼管理員須根據(jù)堡壘機改密設置，在設備賬戶 密碼周期性修改或者手動修改后，及時將各設備管理員賬戶密碼通過加密導出、或者打印至密碼信封等安全方式，由專人存放保管， 確保設備賬戶密碼的安全。第十七條 出于堡壘機應急操作的需要，各行可以在生產(chǎn)系統(tǒng)中 預留應急用戶，其密碼應使用安全介質(zhì)進行封存由專人保管，當且 僅當堡壘機和所導出密碼均失效時啟用，以對設備進行應急運維。 堡壘機恢復正常后，由密碼管理員負責修改應急用戶密碼并重新封 存密

9、碼信封。第五章運維流程第十八條應按照運維人員的真實信息建立獨立的堡壘機用戶ID，以識別各設備賬戶的真實使用者。第十九條 按照各行運維審批流程，授權員根據(jù)有權人的審批， 對運維時間區(qū)間、運維用戶（組）、運維協(xié)議、運維設備（組）、 設備賬戶、運維終端IP地址等要素進行設置，以最小授權準則對 運維操作進行授權。第二十條運維人員僅在得到授權員授權后，在對應的運維時間 區(qū)間登錄堡壘機，方可對指定設備使用指定賬戶在指定協(xié)議上進行 網(wǎng)站：www.s un si.c n地址：北京市海淀區(qū)東北旺西路 8號中關村軟件園8號樓1層102室尚思卓越（北京）科技有限公司系統(tǒng)運維操作，以保證堡壘機不被超限使用。第二十一條

10、 堡壘機可對黑/白名單進行設置。例如，針對特定 設備的特定賬戶操作使用黑名單進行限制，未經(jīng)審批不得執(zhí)行，防 止誤操作；對一些外部巡檢人員應用白名單進行限制，僅可執(zhí)行指 定的查詢類巡檢命令，確保設備安全。各分行根據(jù)自身需求進行相 應設置。第二十二條 堡壘機原則上應由自有人員進行維護操作。通過堡壘機對所托管的系統(tǒng)進行運維操作時，涉及重要系統(tǒng)、重要變更的 操作必須采用雙人復核機制，以確保對堡壘機操作的安全合規(guī)。第二十三條 在特殊情況下，堡壘機需要由外部人員進行操作時， 操作過程中必須有人員全程陪同， 并對外部人員操作堡壘機進行實 時監(jiān)控，防止信息外泄。第六章運維審計第二十四條 堡壘機能夠支持對運維會話、 以及系統(tǒng)自身操作進