堡垒机实施方案Word格式.docx

1、方案设计及实施时，遵循对信息系统影响最小原则，尽可能地采用对网络、系统、应用影响小技术手段，对现有系统不产生干扰，保护现有系统。（8）易操作性原则安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。 产品选型根据本项目的实际需求，报价人推荐使用谐润运维管理审计系统SR-Fort-1000型产品。产品硬件配置清单如下：产品名称运维管理审计系统SR-Fort-1000应用托管中心SR-AppBox-1000外观大小2U满配最大重量30KG最大功耗500WMTBF=20000小时CPU两颗INTEL Xeon 3440 内存16GB存储空间1TB，支持Raid1电源双电源冗

2、余外接存储支持网络接口100/1000M*2 RJ45,可扩展最大管理设备数量3000台实时并发数250个图形会话，1500个字符会话默认License数量1500个协议支持SSH、Tenet、RDP、VNC、FTP、SFTPhttp、https、MySql、Sql-Server、Oracle、DB2等网线标准网线2条 产品部署谐润运维管理审计系统支持多种部署方式，在本项目中，考虑到银监会的实际需求，我们将采用旁路部署方式。部署示意图如下所示： 谐润运维管理审计系统部署示意图部署时，谐润运维管理审计系统旁路接入网络，只需要1个独立的IP即可，保证堡垒主机能够通过网络连接被管理资源提供远程运维服

3、务的端口，应用托管中心与堡垒主机做直连，通过堡垒主机NAT转换技术使应用托管中心能够访问网络中的资源。若堡垒主机和被管理资源之间存在防火墙，则需要在增加或修改防火墙的策略，防火墙的策略增加或修改如下：源地址：堡垒主机IP，源端口：any，目标地址：被管理资源IP，目标端口：提供运维服务的监听端口。如堡垒主机需要连接被管理的Linux服务器，Linux服务提提供ssh运维服务，则需要在防火墙上增加或修改策略如下：22。维护人员只要登录运维管理系统即可访问到所有服务器，无须进行二次登录。若运维人员与运维管理系统之间存在防火墙，则防火墙需要开放如下端口：22（ssh、telnet协议代理模块），44

4、3（堡垒主机提供web服务），3389（rdp协议代理模块）等。有关实施时防火墙开放策略，详见“节内容中的实施环境调研。日志服务器旁路接入网络，并开发SMB共享服务，为堡垒主机提供日志存储服务，堡垒主机通过页面配置，将数据文件存储至日志服务器。系统备机始终处于冷备状态，在堡垒主机实施完成之后，将所有配置导入系统备机，保证系统备机上的主账号、被管理资源与主账号权限与堡垒主机一致，以便随时更换。 项目实施方案 项目保密条款我公司同原厂上海谐润网络信息技术有限公司承诺，在中标后项目签署合同前分别以单位和个人与招标方签署保密协议或保密承诺书。 项目文档原厂谐润科技在项目工程实施完成时将系统的全部有关技

5、术文档、图标资料及测试、验收报告等文档汇集成册交付银监会，包括但不限于以下文档： 项目投标文件 项目工程实施方案 项目工程管理及实施计划书 产品安装实施报告 系统测试报告 项目完工总结报告 培训手册 运维用户使用手册 系统技术维护手册 系统应急处理预案 其他所有项目实施过程中产生的文档 项目组织架构为确保本项目的顺利实施，原厂商谐润科技将指派拥有丰富项目经验的技术人员担任我方项目经理，负责项目实施的全面工作，收集有关热线电话支持、现场服务、用户技术人员反应等有关服务信息。在服务实施过程中，将严格按照服务计划，全权负责服务的管理与监督。定时向用户项目负责人汇报情况，在处理突发事件和项目变更时，要

6、及时调整人员和计划以保证服务地正常进行；在项目实施受阻时，及时申请增加人员和技术力量，确保项目实施的顺利进行；此外，项目经理要监督服务的质量，以确保整个维护服务顺利、高质量的完成。谐润科技将根据项目实际要求组建专门的银监会用户集中管控系统项目小组，遴选原厂商资深项目经理和工程技术人员，为银监会用户集中管控系统项目提供最优质的服务，保证严格按照合同约定，完成该项目的实施、培训及售后服务工作。原厂谐润科技为了保证项目实施的顺利进行，会提供合理可行的系统实施方案，合理安排人员，以保证实施进度计划。原厂谐润科技项目组织架构如下：项目经理：负责整个项目的进度控制、协调原厂工作人员与银监会工作人员进行协同

7、工作，保证整个项目顺利完成。研发经理：负责整个项目中开发需求确认，开发进度，保证开发工作顺利进行，并按照客户要求完成开发任务（含测试工程师）。调研工程师：负责项目实施前资产调查、用户角色确认、网络环境调查、实施环境调研，参与设备实施方案的制定。实施工程师：负责项目设备接入客户网络，保证设备连通性，并进行资产录入、角色权限划分等工作。培训讲师：负责对客户进行相关知识培训，让客户能够独立使用设备，并能处理简单故障，保证知识转移顺利完成。巡检工程师：在项目实施完成后，负责对设备的使用情况进行跟踪，反馈客户的使用情况及软硬件健康情况，并按照客户的要求提交相应的报告。售后支持：负责对巡检工程师反馈的信息

8、进行汇总，并根据反馈对客户进行技术支持。银监会运维用户集中管控系统项目组谐润主要成员名单如下：项目负责人（项目经理）姓名年龄职称专业相关资质相关工作年限张彬28软件工程项目经理6年计划用于本项目的工作人员施杰33应用数学高级程序员8年武欣32郑伟亮31计算机工程培训讲师许爱明计算机应用原厂资深工程师4年周超25计算机科学技术3年陆磊26通信工程石波24计算机软件开发原厂工程师2年 项目实施计划/工作内容开始时间结束时间实施单位备注准备阶段发货及发货确认7月2日7月12日谐润科技、银监会按照合同要求供货确认环境7月16日谐润科技现场调研集成开发7月31日集成开发与实施工作；同步进行实施阶段设备上

9、架8月1日8月2日数据录入8月3日8月10日访问规则设置8月13日8月15日现场培训8月16日8月17日提供相关项目文档系统联调测试8月20日解决部署中存在的问题验收项目初验8月28日8月30日银监会、谐润科技完成项目验收试运行9月1日12月1日跟踪设备运行状况终验12月2日12月5日 项目实施质量控制在本项目实施过程中，原厂谐润科技将采取以下措施保证项目实施过程的质量：1）建立完整的实施团队，团队内部有明确的分工，通过专业化的手段来提高公司的工作质量及技术水平；2）派遣具备丰富经验的专业的工程实施人员，严格按照操作流程和技术要求进行施工；3）保证良好的沟通机制，在实施过程中，项目经理将定期向

10、银监会项目组提供实施进度记录汇报，让用户单位清楚整个项目的施工计划及施工进度情况。4）执行科学的项目管理制度，从施工开始到施工结束验收的整个过程，我们均有相应的配套记录表格，方便项目组对实施过程进行跟踪、监督；便于后期用户方进行系统维护及管理。同时，所有的记录表格均录入计算机进行电子化管理。5）针对本项目，在工程施工前，由项目主管组织有关人员（业务员、技术指导、工程实施负责人、工程实施小组、质量监控小组及售后服务小组等）召开工程准备会议，介绍工程设计方案及有关的情况，布置各项工作，讨论可预见的技术细节、实施方法和实施进度等。6）在整个工程项目的实施过程中，有质量监督小组负责对整个项目的实施质量

11、进行监督，从而保证整个工程的质量（包括进货设备的质量保证和工程实施的质量保证）。 项目实施过程介绍 阶段一：项目准备阶段项目准备阶段会对整个项目的实施方案进行可行性研究和讨论，并进行实施环境调研、设备供货、二次开发接口调研及开发工作等。实施环境调研在项目开始实施之前，需要银监会的技术人员配合原厂谐润科技的实施人员对实施的环境进行检查，确认是否具备项目实施条件。序号安装条件条件参数是否符合条件机房的相对湿度和温度标准相对湿度：5%至95%温度：0至+55摄氏度是 否 机架空间占机架空间为2U 65043589mm（长、宽、高）电源参数220V/50HZ,（最大）,500W（最大），国标电源插座。

12、日志服务器硬件要求：2颗Intel Xeon E5620 CPU 主频；内存：12GB内存；硬盘：3*2TGB SAS硬盘；RAID卡：集成Smart Array P410i阵列卡；网卡4*千兆网卡；光驱：DVD；电源及风扇：460W热插拔冗余电源。IP地址分配谐润运维管理审计系统与日志服务器各分配一个IP，确保运维人员与谐润运维管理审计系统、管理员与谐润运维管理审计系统、谐润运维管理审计系统与目标设备能够正常通讯交换机端口分配建议分配1个端口给谐润运维管理审计系统，谐润运维管理审计系统与应用托管中心可以通过交叉线（或普通网线）直连，做NAT；日志服务器分配一个IP地址。端口开放如果普通运维人

13、员和谐润运维管理审计系统之间有防火墙，注意防火墙开通这3个端口：TCP 22：谐润运维管理审计系统开放的监听端口，用于普通运维人员与谐润运维管理审计系统之间的正常通讯；TCP 443：谐润运维管理审计系统开放的监听端口，用于普通运维人员登录谐润运维管理审计系统的页面；TCP 3389：谐润运维管理审计系统开放的监听端口，用于普通运维人员与谐润运维管理审计系统之间的正常通讯。如果管理用户和谐润运维管理审计系统之间有防火墙，注意防火墙开通这2个端口：谐润运维管理审计系统开放的监听端口，用于管理用户登录谐润运维管理审计系统的页面；TCP 3333：谐润运维管理审计系统开放的监听端口，管理用户实时监控

14、会话；如果谐润运维管理审计系统和远程设备之间有防火墙，注意防火墙开通这4个TCP端口：远程设备开放的监听端口，用于提供运维管理服务；TCP 80：远程设备开放的监听端口，用于提供web管理服务；如果谐润运维管理审计系统和网管系统之间有防火墙，注意防火墙开通这1个UDP端口：UDP 161：谐润运维管理审计系统开放的监听端口，用于网管系统采集谐润运维管理审计系统的状态信息；如果谐润运维管理审计系统和日志服务器之间有防火墙，注意防火墙开通这1个UDP端口：UDP 514：日志服务器开放的监听端口，用于接受谐润运维管理审计系统发送的syslog日志信息；如果谐润运维管理审计系统和时间服务器之间有防火

15、墙，注意防火墙开通这1个UDP端口：UDP 123：时间服务器开放的监听端口，用于提供时间同步服务；管理对象帐号调研根据合同要求，在安装调试过程中，银监会项目组成员需提供按照以下表格格式的附件：包括主帐号调研表、主机帐号调研表、应用调研表；运维人员调研表（样表）登录名Email用户状态部门/公司截止日期Xxx1王杰设备调研表（样表）主机名主机地址操作系统网络协议服务端口主机账户名主机账户密码账户密码同步host1Windows Server 2003RDP3389administrator123456host2General LinuxFTP21其他应用调研表（样表）主机IP主机端口主机帐号密

16、码应用类型应用名称应用主机1mysqlfront11_mysqlfront应用主机22IE12_mysqlfront到货及加电验收根据合同要求，需要对送达现场的产品进行到货验收，保证送达产品符合合同要求。产品在接收后，保持外包装的完整性。在原厂商的工程师到达现场后，共同进行产品的到货验收。设备到货验收标准如下： 开箱前，检查产品外包装是否良好; 开箱检查产品外观是否良好; 产品型号是否正确; 产品数量是否正确; 产品配件是否齐全; 产品版本是否正确。二次开发为保证项目实施进度能够按计划完成，原厂商谐润科技将在合同签订后先对CA认证接口进行调研，调研完成后立即开始认证接口的开发工作。原厂商谐润科

17、技将根据银监会的实际需求，对CA认证中心接口进行兼容性开发，以严谨、务实的态度进行开发工作，保证与银监会的CA认证中心对接顺利完成。同用户CA中心对接的认证功能开发、测试工作预计在合同签订3周内完成。 阶段二：项目实施阶段在项目实施过程中，安装调试工作的主要内容包括：谐润运维管理审计系统IP配置、应用托管中心绑定互联配置、日志服务器的安装配置等。在本项目实施过程中，谐润运维管理审计系统的安装调试工作主要由原厂谐润科技实施小组完成。上架及初始网络配置到货验收完成后，按照产品安装要求，将产品安装至机架，并连接电源进行设备加电验收并签署到货验收报告。加电验收标准如下： 设备加电是否运行正常； 设备指

18、示灯是否正常； 设备配置是否达到说明书要求。本项目相关设备的IP配置如下：堡垒主机：Eth0： GW: ：/24应用托管中心：ETH1：/24 GW:日志服务器：网卡1： 数据录入在此过程中，谐润科技实施工程师将整理、核实准备阶段的运维人员、设备资产、应用的调研结果，并将调研结果相关数据导入至运维审计系统中。在此过程中，谐润科技实施工程师将与用户项目组成员一起，为每个运维用户、用户组建立访问授权和操作授权规则。访问和操作授权按照“最小权限”原则创建，访问规则建立完成后，由银监会项目组人员向所有相关运维人员以书面方式通知，让运维人员测试帐号有效性。运维审计系统安装、调试完成后，谐润科技产品培训讲

19、师对银监会的技术人员进行现场技术转移，向银监会人员介绍运维审计系统的原理、功能、日常维护和使用应该注意的事项，使银监会技术人员能够尽快地熟悉设备的功能和使用。联调测试培训工作完成后，进入项目联调测试阶段，在此过程中，由银监会组织各运维人员对运维审计功能进行试用，测试系统与各节点设备的访问情况，以确保系统能够稳定正常的运行并且能对运维操作进行审计。完成测试后且所有功能达到项目要求之后，在银监会的统一安排下，要求日常运维的员工、第三方运维人员必须使用谐润运维管理审计系统进行日常维护工作，实现账号实名制，责任归属划分明确等管理目标。在堡垒主机配置完成之后，将配置导出为文件，并将该文件导入系统备机，保

20、证系统备机的主账号、被管理资源、主账号权限与堡垒主机一致，能够做到随时切换，以备不时之需。 项目培训计划原厂商谐润科技应招标单位的时间、地点及人员要求，组织该系统的培训工作。培训目的：通过安全审计相关法规及标准、运维审计行为审计等培训使用户了解安全审计的理论知识，熟练操作谐润运维管理审计系统以及对谐润运维管理审计系统常见故障的排除。培训时间：2天培训地点：用户指定培训学员人数：不限原厂具有五年以上项目经验的资深工程师担任培训组织方式：现场讲课及实验练习培训内容及计划：时间培训类别具体内容D1：9:00-11:30谐润运维管理审计系统审计原理培训谐润运维管理审计系统审计系统原理、构成和功能；14

21、:00-16:谐润运维管理审计系统操作技能培训谐润运维管理审计系统基本操作技能的培训；D2：谐润运维管理审计系统产品安装培训谐润运维管理审计系统系统部件的配置、调整和维护；谐润运维管理审计系统产品维护培训谐润运维管理审计系统系统常见故障的处理或排除； 项目验收在完成设备的安装调试工作系统稳定运行一周后，由谐润科技提前十日提出项目初验申请，项目双方将组织项目初验工作，由银监会配合谐润科技公司完成初验文档的签署工作。在初验结束后，用户必须提供2份能证明产品功能和性能满足要求、可正常运转的所有测量数据和资料；我方将积极配合用户做好测量数据和资料的准备工作。初验合格后，开具有最终用户与乙方双方签字盖章的设备安装调试初步验收合格单，视为初验通过。试运行阶段设备安装调试完成并通过初验后，进入为期不超过3个月的连续试运行。如果由于厂商的原因使系统在3个月内达不到规范指标要求，则在修复产品问题之后由双方等共同确