尚思卓越堡壘機安全管理規範
第一章 總 則
第一條 為加強堡壘機的安全管理工作,有效保證堡壘機部署、運維和使用的合規性、安全性和可審計性,結合實際情況,特制定本管理規範。
第二條 本規範中使用到的相關術語定義如下:
(一)堡壘機:是一種系統運維安全管理工具,提供使用者對系統進行運維操作的統一入口,既能夠對身份認證、運維授權、運維行為、裝置賬戶密碼等進行有效管控,又具有再現行為軌跡、過程回放等審計功能,有效保證運維操作的合規性、安全性和可審計性。
(二)裝置:指由堡壘機進行密碼託管或者密碼代填、通過堡壘機進行運維的各類應用系統,包括Unix、Windows平臺伺服器、網路裝置等。
(三)協議:指堡壘機所支援的運維協議,主要可分為文字協議(Telnet、SSH)、圖形協議(RDP、XWin、VNC、Http等)、檔案傳輸協議(FTP、SFTP)。
(四)密碼託管:指裝置的指定賬戶及其密碼由堡壘機儲存,並按照設定由堡壘機進行自動/手動改密,使用者運維無須知曉賬戶密碼、通過堡壘機自動認證登陸。
(五)密碼代填:指裝置的指定賬戶及其密碼由堡壘機儲存,堡壘機只儲存而不進行改密,使用者運維無須知曉賬戶密碼、由堡壘機自動代填密碼登陸。
(六)黑/白名單:指堡壘機能夠對文字協議以及檔案傳輸協議進行運維命令限制,黑名單為不允許運維使用者執行的命令集合,白名單為僅允許運維使用者執行的命令集合。根據堡壘機功能的不同,黑名單主要存在以下三種形式,一是堡壘機直接對黑名單命令進行阻斷,二是在經複核人稽核通過允許執行,三是允許執行但在審計中進行高亮顯示。
(七)複核:指使用者在通過堡壘機使用文字協議對平臺裝置運維時,可由另一複核使用者對操作進行復核。根據堡壘機功能的不同,複核主要存在以下三種形式,一是通過實時共享運維會話畫面、觀看運維操作過程進行復核,二是在觀看運維過程的同時,對黑名單命令進行稽核,複核員許可後允許執行黑名單命令,三是對運維操作的全部命令進行稽核,只有經複核員稽核通過的命令才被執行。
第二章 安全技術標準
第三條 堡壘機能夠支援靜態口令認證、證書認證、令牌認證、AD域等認證方式中的兩種以上,能夠支援設定靜態口令強度、使用者認證有效期、登陸失敗鎖定次數等引數。
第四條 堡壘機對所託管的裝置賬戶,能夠根據裝置密碼管理員的設定(改密時間、改密賬戶範圍等)進行自動定時改密、以及手動改密,所生成的新密碼要符合系統密碼複雜度要求,並提供改密結果日誌。堡壘機能夠加密匯出全部或者部分裝置賬戶密碼,或者將其列印至密碼密函信封中儲存。
第五條 堡壘機能夠提供靈活、細粒度的運維授權機制,根據運維時間區間、運維使用者(組)、運維協議、運維裝置(組)、裝置賬戶、運維終端IP地址等要素,以最小許可權準則對運維操作進行授權,得到授權許可方可進行相應的運維操作,以降低運維操作風險,最大限度保護使用者資源的安全。
第六條 堡壘機能夠支援根據系統管理員的設定,將系統配置、運維審計日誌等重要資訊通過FTP定期自動傳輸或者手動下載的方式進行系統備份異地存放,滿足在各類故障或應用場景使用備份資料及時恢復系統配置,確保堡壘機穩定執行。
第三章 安全設定
第七條 若堡壘機存在用於底層維護的特殊用途埠,平時必須在系統中將其關閉,僅可在應急情況或者有特殊需求時進行開放,並在操作執行完成後立刻關閉。
第八條 堡壘機裝置及其主控臺必須放置於生產機房,且位於視訊監控範圍之內。堡壘機操作必須在指定終端上進行,且終端位於視訊監控範圍內。
第九條 堡壘機必須對堡壘機系統配置、運維日誌、審計日誌等資訊進行週期性備份,以便於各類故障或應用場景下對系統進行恢復。其中備份週期、備份檔案傳輸方式、備份檔案存放方式由各行根據堡壘機產品功能自行確定。
第十條 堡壘機須經過安全測試才能正式上線使用。安全測試中應重點關注:有無非法後門、系統健壯性、應用產品程式碼、應用系統版本、補丁更新、系統版本等方面內容。
第十一條 堡壘機投產使用後,應定期開展系統安全評估工作。使用漏洞掃描、系統升級、補丁更新等方法及時發現並修復相關安全漏洞,保證堡壘機穩定執行。
第四章 通用設定
第十二條 堡壘機使用者劃分應包括但不限於系統管理員、授權員、審計員、運維使用者、裝置密碼管理員五個基本型別,各行可根據自身情況對使用者進行合理劃分,確保不同使用者型別之間許可權相互制衡。
第十三條 堡壘機使用者認證體系中,系統管理員應採用強口令、證書認證、動態口令等多重認證方式,不同認證要素應由不同管理員進行分管。其他許可權使用者根據實際情況,採用合適的認證方式。各行可根據堡壘機使用者許可權大小及重要性,對認證方式進行靈活設定,確保堡壘機認證體系的完備安全。
第十四條 各行在堡壘機投產以後,遵循按照裝置重要性循序漸進的原則逐步將各類裝置納入堡壘機管理。原則上重要系統均須納入堡壘機進行管理,具體裝置範圍由各行進行確定。
第十五條 各裝置管理賬戶(root、administrator等)必須納入堡壘機進行統一管理。監控選單使用者、無法改密的使用者可採用密碼代填的方式納入堡壘機管理。
第十六條 裝置密碼管理員須根據堡壘機改密設定,在裝置賬戶密碼週期性修改或者手動修改後,及時將各裝置管理員賬戶密碼通過加密匯出、或者列印至密碼信封等安全方式,由專人存放保管,確保裝置賬戶密碼的安全。
第十七條 出於堡壘機應急操作的需要,各行可以在生產系統中預留應急使用者,其密碼應使用安全介質進行封存由專人保管,當且僅當堡壘機和所匯出密碼均失效時啟用,以對裝置進行應急運維。堡壘機恢復正常後,由密碼管理員負責修改應急使用者密碼並重新封存密碼信封。
第五章 運維流程
第十八條 應按照運維人員的真實資訊建立獨立的堡壘機使用者ID,以識別各裝置賬戶的真實使用者。
第十九條 按照各行運維審批流程,授權員根據有權人的審批,對運維時間區間、運維使用者(組)、運維協議、運維裝置(組)、裝置賬戶、運維終端IP地址等要素進行設定,以最小授權準則對運維操作進行授權。
第二十條 運維人員僅在得到授權員授權後,在對應的運維時間區間登入堡壘機,方可對指定裝置使用指定賬戶在指定協議上進行系統運維操作,以保證堡壘機不被超限使用。
第二十一條 堡壘機可對黑/白名單進行設定。例如,針對特定裝置的特定賬戶操作使用黑名單進行限制,未經審批不得執行,防止誤操作;對一些外部巡檢人員應用白名單進行限制,僅可執行指定的查詢類巡檢命令,確保裝置安全。各分行根據自身需求進行相應設定。
第二十二條 堡壘機原則上應由自有人員進行維護操作。通過堡壘機對所託管的系統進行運維操作時,涉及重要系統、重要變更的操作必須採用雙人複核機制,以確保對堡壘機操作的安全合規。
第二十三條 在特殊情況下,堡壘機需要由外部人員進行操作時,
操作過程中必須有人員全程陪同,並對外部人員操作堡壘機進行實時監控,防止資訊外洩。
第六章 運維審計
第二十四條 堡壘機能夠支援對運維會話、以及系統自身操作進行記錄和審計。運維行為審計能夠進行靈活組合檢索,並且能提供資訊回放和視訊回放。系統自身操作審計也要求能夠進行靈活組合檢索。堡壘機能夠支援審計員對歷史會話和當前活動會話進行審計,並可實時終結當前危險活動運維會話。