堡壘主機(jī)系統(tǒng)操作管理流程(管理員用戶操作手冊(cè))

1、堡壘主機(jī)操作管理流程為了完善業(yè)務(wù)需要，提高內(nèi)控堡壘主機(jī)系統(tǒng)的管理規(guī)范性，運(yùn)維管理人員應(yīng)依據(jù)堡壘主機(jī)操作管理流程進(jìn)行操作。堡壘主機(jī)操作管理流程包含用戶賬戶申請(qǐng)、用戶資源申請(qǐng)、授權(quán)人審批管理、授權(quán)賬戶安全管理、授權(quán)資源操作、責(zé)任劃分等流程項(xiàng)。二、管理流程管理流程主要是由普通用戶想要申請(qǐng)資源而發(fā)起申請(qǐng)至指定審批人， 審批人根據(jù)實(shí)際情況予以審批或拒絕，或轉(zhuǎn)發(fā)上級(jí)領(lǐng)導(dǎo)繼續(xù)審批，審批環(huán)節(jié)可以根據(jù)需要分為一級(jí)至多級(jí)，直至有領(lǐng)導(dǎo)同意后，選擇執(zhí)行人去將此申請(qǐng)落實(shí)。自然人 （申請(qǐng)用戶）申請(qǐng)、 接入資源申請(qǐng)流程主要包括以下幾類(lèi)：用戶賬戶申請(qǐng)流程向系統(tǒng)管理員或安全部門(mén)負(fù)責(zé)人發(fā)起自然人賬戶申請(qǐng)，并填寫(xiě)賬戶接入申請(qǐng)單申請(qǐng)

2、新的接入賬戶，由系統(tǒng)管理員或安全部門(mén)負(fù)責(zé)人審核后給予賬戶的用戶名密碼授權(quán)。資源接入申請(qǐng)流程資源相關(guān)負(fù)責(zé)人申請(qǐng)資源接入到內(nèi)控堡壘主機(jī)系統(tǒng)，用戶申請(qǐng)資源接入時(shí)需詳細(xì)列出管理的資源信息, 資源信息包括主機(jī)系統(tǒng)、登錄賬戶密碼、主機(jī)IP 地址等。資源信息提交后由系統(tǒng)管理員核對(duì)資源信息和接入賬戶的對(duì)應(yīng)關(guān)系。自然人變更流程自然人申請(qǐng)調(diào)整崗位，申請(qǐng)調(diào)整資源授權(quán)，申請(qǐng)數(shù)字證書(shū)等需向系統(tǒng)管理員提交變更申請(qǐng)單。自然人注銷(xiāo)流程由于工作調(diào)離或資源主機(jī)下架等造成自然人賬戶需注銷(xiāo)停用，需要向系統(tǒng)管理員作出說(shuō)明，并由系統(tǒng)管理員審核后對(duì)自然人賬戶進(jìn)行注銷(xiāo)停用處理。三、賬戶管理帳號(hào)管理包含對(duì)所有服務(wù)器、網(wǎng)絡(luò)設(shè)備帳號(hào)的集中管理。帳

3、號(hào)和資源的集中管理是集中授權(quán)、認(rèn)證和審計(jì)的基礎(chǔ)。帳號(hào)管理可以完成對(duì)帳號(hào)整個(gè)生命周期的監(jiān)控和管理，而且還降低了企業(yè)管理大量用戶帳號(hào)的難度和工作量。同時(shí)， 通過(guò)統(tǒng)一的管理還能夠發(fā)現(xiàn)帳號(hào)中存在的安全隱患，并且制定統(tǒng)一的、標(biāo)準(zhǔn)的用戶帳號(hào)安全策略。授權(quán)賬戶的管理按照職責(zé)劃分可分為系統(tǒng)管理員、安全審計(jì)員、普通賬號(hào)系統(tǒng)管理員負(fù)責(zé)對(duì)申請(qǐng)人賬戶的創(chuàng)建、變更和撤銷(xiāo); 負(fù)責(zé)資源的創(chuàng)建、修改、刪除、授權(quán)。安全審計(jì)員負(fù)責(zé)審核、登記備案自然人的用戶權(quán)限和管理資源，并進(jìn)行定期審計(jì)。普通賬號(hào)指接入堡壘主機(jī)管理資源的自然人，主要用于登錄分配資源進(jìn)行維護(hù)操作。四、密碼管理實(shí)現(xiàn)集中的密碼管理，并按照密碼策略的要求，自動(dòng)、集中、定期

4、修改系統(tǒng)賬號(hào)的口令，對(duì)口令強(qiáng)度和周期實(shí)行統(tǒng)一的管理。1）密碼制定策略2） 用戶必須按照規(guī)定涉及相關(guān)主、從賬號(hào)密碼（長(zhǎng)度、 字符等） ，系統(tǒng)還提供多種密碼制定策略，滿足不同系統(tǒng)對(duì)密碼安全的需要；可以設(shè)定最小和最大口令長(zhǎng)度可以設(shè)定最小和最大字符數(shù)目可以設(shè)定最小和最大數(shù)字?jǐn)?shù)目可以設(shè)定最小和最大標(biāo)點(diǎn)符號(hào)數(shù)目可以進(jìn)行口令更改時(shí)間間隔限制可以設(shè)置同一口令的使用限制可以設(shè)置導(dǎo)致賬號(hào)被鎖定的嘗試失敗登錄次數(shù)可以對(duì)于管理員用戶和普通用戶分別設(shè)置口令管理和認(rèn)證方式的選擇策略。3） 密碼定期變更，用戶賬號(hào)密碼的定期變更，提高密碼的安全性；4）密碼定期檢查，系統(tǒng)管理員執(zhí)行密碼檢查，找出系統(tǒng)中存在不滿足要求的用戶口令，

5、并及時(shí)的作出響應(yīng)。五、責(zé)任劃分已授權(quán)的自然人用戶在安全運(yùn)維過(guò)程中，系統(tǒng)會(huì)對(duì)登錄用戶進(jìn)行操作審計(jì)、記錄和存檔。針對(duì)運(yùn)維過(guò)程中產(chǎn)生的安全事件依據(jù)系統(tǒng)的 事件審計(jì)平臺(tái)對(duì)事故原因進(jìn)行追溯，明確安全事故責(zé)任。六、附件表格6.1 用戶賬戶申請(qǐng)表用戶帳戶申請(qǐng)表申請(qǐng)人姓名朝O門(mén)數(shù)字證書(shū)序列號(hào)后5位授權(quán)帳戶能授權(quán)管理的資源數(shù)序號(hào)資源類(lèi)型資源名稱(chēng)資源IP系統(tǒng)類(lèi)型連接方式備注6.2 資源接入申請(qǐng)表資源接入申請(qǐng)表申請(qǐng)人姓名西f部門(mén)接入資源信息序號(hào)資源類(lèi)型資源名稱(chēng)資源IP系統(tǒng)類(lèi)型系統(tǒng)帳戶系統(tǒng)密碼6.3 自然人變更申請(qǐng)表自然人變更申請(qǐng)表申請(qǐng)人姓名西f部門(mén)TE否申請(qǐng) 數(shù)字證書(shū)數(shù)字證書(shū)序列號(hào)后5位自然人申請(qǐng)變更管理資源列表序

6、號(hào)資源類(lèi)型資源名稱(chēng)資源IP系統(tǒng)類(lèi)型連接方式備注6.4 自然人注銷(xiāo)自然人注銷(xiāo)申請(qǐng)表申請(qǐng)人姓名朝O門(mén)注銷(xiāo)時(shí)間是否注銷(xiāo)注銷(xiāo)帳戶名稱(chēng)申請(qǐng)理由七、操作手冊(cè)堡壘主機(jī)目前已跟上海 CA認(rèn)證結(jié)合，登錄堡壘機(jī)時(shí)只要登錄 CA 的PIN碼即可登錄堡壘主機(jī)。前提：當(dāng)與CA證書(shū)認(rèn)證結(jié)合時(shí)，前期需要在堡壘主機(jī)后臺(tái)添加自然人帳號(hào)，規(guī)則如下：個(gè)人證書(shū)命名方式為：名字拼音首字母 +序列號(hào)后五位（全部寫(xiě)成小寫(xiě)），如顧旭（gxb2147）,密碼統(tǒng)一 123;單位證書(shū)命名方式同個(gè) 人證書(shū)命名方式一樣。7.1 添加管理員（證書(shū)認(rèn)證關(guān)閉）使用管理員帳號(hào)和口令登錄堡壘主機(jī)， 地址:htts:/10.02212,帳號(hào)：simper, 口令

7、：123。1、【元目錄】-【自然人】-【添加】，以下以黃春暉為例增加為 管理員。2、用戶帳號(hào)為：hche1c5c,名稱(chēng)：黃春暉，點(diǎn)【提交】。用戶帳 號(hào)為：名字拼音首字母+序列號(hào)后五位。CA證書(shū)序列號(hào)查看方式為：3、右鍵UniAgent圖標(biāo) -【證書(shū)設(shè)備】-【黃春暉】-【查 看內(nèi)容】，如下圖：4、授權(quán)黃春暉為管理員帳號(hào)?！緝?nèi)部角色授權(quán)】-【增加】，勾選角色名稱(chēng)，勾選所有【配置管理權(quán)限選擇】，點(diǎn)【確定】如下圖:7.2 開(kāi)啟證書(shū)認(rèn)證（與上海CA認(rèn)證結(jié)合）在開(kāi)啟證書(shū)認(rèn)證時(shí)請(qǐng)確認(rèn)按 7.1方式添加過(guò)管理員帳號(hào)，否則開(kāi)啟證書(shū)認(rèn)證后堡壘主機(jī)將無(wú)法登錄。開(kāi)啟方式：使用管理員登錄登錄堡壘主機(jī),【配置管理】-【系統(tǒng)配置】-【認(rèn)證配置】，勾選【證書(shū)認(rèn)證開(kāi)關(guān)】-【保存設(shè)置】如下圖:，節(jié)口配置，：司絡(luò)玉都吊燈三保存設(shè)置但手機(jī)認(rèn)江常口 r 33&qu