1、一、業(yè)務(wù)維護(hù)堡壘機(jī):1、堡壘機(jī)架構(gòu)示意圖 2、堡壘機(jī)功能2.1 集中管理，實(shí)現(xiàn)單點(diǎn)登錄 所有用戶對(duì)后臺(tái)設(shè)備的操作，都要先登錄堡壘機(jī)的WEB管理界面（堡壘機(jī)作為后臺(tái)設(shè)備訪問(wèn)的唯一入口，實(shí)現(xiàn)單點(diǎn)登錄），然后再根據(jù)堡壘機(jī)管理員預(yù)先設(shè)置好的訪問(wèn)控制規(guī)則，自動(dòng)登錄到后臺(tái)目標(biāo)設(shè)備上去。具體方式如下： 普通用戶按照登錄流程，首先登錄到堡壘機(jī)的WEB頁(yè)面，然后可以在“設(shè)備訪問(wèn)”項(xiàng)里面，看到可訪問(wèn)的設(shè)備列表。選擇好系統(tǒng)賬號(hào)，并點(diǎn)擊相應(yīng)設(shè)備后面的“圖形”服務(wù)，即可自動(dòng)登錄到圖形管理界面上去進(jìn)行任何操作，同理，點(diǎn)擊“字符”服務(wù)，即可自動(dòng)登錄到字符管理界面上去進(jìn)行任何操作。 2.2 賬號(hào)管理，實(shí)現(xiàn)用戶實(shí)名制 堡壘機(jī)為

2、每個(gè)用戶分配了獨(dú)一無(wú)二的用戶賬號(hào)，設(shè)備上的系統(tǒng)賬號(hào)不變，通過(guò)把多個(gè)用戶賬號(hào)和單個(gè)系統(tǒng)賬號(hào)做關(guān)聯(lián)(用戶賬號(hào)完成身份認(rèn)證，系統(tǒng)賬號(hào)完成系統(tǒng)授權(quán))，可以在不同的用戶使用相同的系統(tǒng)帳號(hào)訪問(wèn)目標(biāo)設(shè)備的時(shí)候，堡壘機(jī)依然可以準(zhǔn)確識(shí)別用戶的身份，讓用戶的身份和具體的操作一一對(duì)應(yīng)起來(lái)，從而實(shí)現(xiàn)用戶實(shí)名制管理。 2.3 訪問(wèn)控制，防止非授權(quán)訪問(wèn)堡壘機(jī)可以根據(jù)用戶/用戶組、設(shè)備/設(shè)備組、系統(tǒng)帳號(hào)和時(shí)間來(lái)設(shè)置詳細(xì)的訪問(wèn)控制規(guī)則，設(shè)置完成后，用戶只能按照規(guī)則設(shè)置來(lái)訪問(wèn)相應(yīng)資源，徹底杜絕了非授權(quán)訪問(wèn)所帶來(lái)的問(wèn)題。 2.4 權(quán)限控制，實(shí)現(xiàn)主動(dòng)預(yù)防 對(duì)于Unix設(shè)備來(lái)說(shuō)，權(quán)限的多少取決于用戶可以執(zhí)行的命令。所以，針對(duì)操作指令

3、的控制才是核心。堡壘機(jī)可以針對(duì)超級(jí)用戶（root）做操作權(quán)限的控制，當(dāng)多人同時(shí)使用一個(gè)系統(tǒng)賬號(hào)時(shí)，堡壘機(jī)可以對(duì)同一個(gè)系統(tǒng)賬號(hào)進(jìn)行權(quán)限再分配，保證使用同一個(gè)系統(tǒng)賬號(hào)的不同用戶擁有不同的權(quán)限，這就徹底解決了共享賬號(hào)和root用戶權(quán)限 的問(wèn)題，真正實(shí)現(xiàn)細(xì)粒度的操作權(quán)限控制。對(duì)于操作權(quán)限的控制意味著我們從被動(dòng)接受用戶輸入到了主動(dòng)控制。對(duì)于用戶的操作可以有3種狀態(tài)：允許，拒絕，禁止。對(duì)于高危命令（刪除，重起，關(guān)機(jī)等）可以實(shí)時(shí)告警，一旦高危操作觸發(fā)，會(huì)立即給相關(guān)人員發(fā)送告警郵件，保證用戶在第一時(shí)間內(nèi)知道高危操作是否對(duì)系統(tǒng)有影響。 2.5 密碼托管，實(shí)現(xiàn)自動(dòng)登錄 對(duì)于目標(biāo)設(shè)備的訪問(wèn)賬號(hào)密碼，可以由堡壘機(jī)進(jìn)行

4、集中托管，只要配置管理員在相應(yīng)設(shè)備的密碼管理中將目標(biāo)設(shè)備的賬號(hào)密碼添加上去即可； 使用了密碼托管功能后，用戶以后訪問(wèn)目標(biāo)設(shè)備時(shí)，只需要記住自己的堡壘機(jī)上的賬號(hào)和密碼，即可通過(guò)堡壘機(jī)自動(dòng)登錄目標(biāo)設(shè)備。 2.6 自動(dòng)改密，實(shí)現(xiàn)密碼集中管理 堡壘機(jī)可以靈活配置目標(biāo)設(shè)備密碼的修改策略，實(shí)現(xiàn)密碼的批量定期自動(dòng)修改，修改后的結(jié)果可以以加密郵件方式發(fā)送給密碼保管員，從而實(shí)現(xiàn)密碼的集中管理，同時(shí)密碼保管員也可以隨時(shí)在系統(tǒng)的WEB界面打包備份設(shè)備的密碼到本地，提高改密功能可用性。 2.7 實(shí)時(shí)監(jiān)控，實(shí)現(xiàn)操作透明 對(duì)于普通用戶登錄到目標(biāo)設(shè)備上正在進(jìn)行的操作，審計(jì)管理員可以再Shterm的WEB界面做到實(shí)時(shí)監(jiān)控，做

5、到邊操作邊審計(jì)，真正實(shí)現(xiàn)實(shí)現(xiàn)操作透明； 同時(shí)對(duì)于用戶的違規(guī)操作，審計(jì)管理員還可以做到實(shí)時(shí)切斷。 2.8 操作審計(jì)，實(shí)現(xiàn)完整記錄 Shterm可以完整記錄用戶的所有操作行為，具體體現(xiàn)在： 所見(jiàn)即所得：記錄用戶真實(shí)、原始的操作，而不是處理過(guò)的操作； 以人為本：基于用戶身份和工作角色的雙審計(jì)，保證操作審計(jì)到人； 關(guān)聯(lián)分析：完整記錄用戶多次聯(lián)系跳轉(zhuǎn)的操作會(huì)話，準(zhǔn)確分析關(guān)聯(lián)操作； 支持基于Http/Https協(xié)議的操作審計(jì)； 深度審計(jì) 為了進(jìn)一步增加運(yùn)維操作的完善性，Shterm可以記錄圖形操作的鼠標(biāo)點(diǎn)擊情況和鍵盤輸入情況，從而實(shí)現(xiàn)深度審計(jì)。 快速定位： 對(duì)歷史字符操作會(huì)話，可以實(shí)現(xiàn)從任一命令點(diǎn)回放下面

6、的操作。對(duì)歷史圖形操作會(huì)話，還可以做到完整得在線回放和下載到本地回放，回放方式支持拖拉定位、倍速回放和自動(dòng)過(guò)濾靜止會(huì)話。 2.9 操作搜索，實(shí)現(xiàn)快速定位 對(duì)于歷史操作記錄，都可以按照時(shí)間、用戶賬號(hào)、目標(biāo)設(shè)備、系統(tǒng)賬號(hào)、命令關(guān)鍵字進(jìn)行搜索，在最短的時(shí)間內(nèi)找到相關(guān)日志內(nèi)容，實(shí)現(xiàn)快速定位。二、業(yè)務(wù)安全： 軟件WAF安全狗網(wǎng)絡(luò)中服務(wù)器均配置安裝安全狗安全套件，用軟件的形勢(shì)達(dá)到硬件waf功能的需求。所有web業(yè)務(wù)服務(wù)器均部署網(wǎng)站安全狗+服務(wù)器安全狗雙重防護(hù)模式，從web及系統(tǒng)層對(duì)業(yè)務(wù)及服務(wù)器系統(tǒng)進(jìn)行安全保護(hù)，從而實(shí)現(xiàn)整體業(yè)務(wù)高安全性的要求。1、網(wǎng)站安全狗網(wǎng)站安全狗其主要功能涵蓋網(wǎng)馬查殺、主動(dòng)防御、.Ne

7、t 設(shè)置、流量保護(hù)、資源保護(hù)、網(wǎng)站監(jiān)控、IP 黑白名單管理以及防護(hù)日志查詢等模塊，能夠?yàn)橛脩籼峁?shí)時(shí)的網(wǎng)站安全防護(hù)，避免各類針對(duì)網(wǎng)站的攻擊所帶來(lái)的危害。1.1網(wǎng)站木馬查殺 木馬掃描方式可以分為：（1）全站掃描：對(duì) IIS 服務(wù)器上的所有站點(diǎn)，包括運(yùn)行中和未運(yùn)行的站點(diǎn)進(jìn)行掃描。目前支持第一級(jí)的虛擬目錄。（2）自定義網(wǎng)站掃描：掃描選擇的本地網(wǎng)站。需選擇掃描的網(wǎng)站域名。（3）自定義路徑掃描：掃描選擇的文件路徑。需選擇掃描的路徑。 1.2 主動(dòng)防御（1） 網(wǎng)站漏洞防護(hù)根據(jù)攻擊特征庫(kù)，對(duì)用戶輸入進(jìn)行過(guò)濾，用于檢測(cè)實(shí)時(shí)的 SQL 注入，主動(dòng)防御引擎，并及時(shí)屏蔽惡意攻擊，從而達(dá)到防護(hù)網(wǎng)站的目的。（2） 網(wǎng)馬

8、防護(hù)主動(dòng)攔截上傳或?yàn)g覽的網(wǎng)頁(yè)木馬，保護(hù)網(wǎng)站不受網(wǎng)絡(luò)木馬的攻擊。（3）危險(xiǎn)組件防護(hù)攔截惡意代碼對(duì)組件的破壞，保護(hù)網(wǎng)站安全。禁止對(duì)外發(fā)送數(shù)據(jù)包，可以有效的防止網(wǎng)站被掛馬后，利用 PHP 程序、ASP 程序以及網(wǎng)站上的其他組件對(duì)外進(jìn)行發(fā)包占用機(jī)器帶寬，導(dǎo)致正常業(yè)務(wù)無(wú)法運(yùn)行的情況出現(xiàn)。（4）禁止 IIS 執(zhí)行程序v 提供設(shè)置應(yīng)用程序和應(yīng)用程序池白名單：白名單中的應(yīng)用程序和應(yīng)用程序池不受禁止 IIS 執(zhí)行程序的限制。v 支持限制命令行最大長(zhǎng)度，長(zhǎng)度范圍：300-800。1.3 .Net 設(shè)置安全模式設(shè)置.Net 使用代碼訪問(wèn)安全性策略將權(quán)限授予程序集。權(quán)限可準(zhǔn)確界定哪些程序集類型能訪問(wèn)。用戶可以根據(jù)網(wǎng)站

9、的的資源類型設(shè)置對(duì)應(yīng)的權(quán)限級(jí)別。（1）完整模式：沒(méi)有任何權(quán)限限制，容易產(chǎn)生一些安全問(wèn)題（系統(tǒng)默認(rèn)為此模式）；（2）高級(jí)模式：屏蔽大部分的危險(xiǎn)功能（部分網(wǎng)站會(huì)受到影響），保證網(wǎng)站安全運(yùn)行（強(qiáng)烈建議您使用高級(jí)模式）；廈門服云信息科技有限公司 25（3）中級(jí)模式：屏蔽了一些常用功能，部分網(wǎng)站無(wú)法正常運(yùn)行（不推薦您使用此模式）；（4）低級(jí)模式：屏蔽了大部分常用功能，大部分網(wǎng)站無(wú)法正常運(yùn)行（不推薦您使用此模式）；（5）初級(jí)模式：屏蔽了絕大部分常用功能，絕大部分網(wǎng)站無(wú)法正常運(yùn)行（不推薦您使用此模式）。v 提供禁止第三方非法修改.Net 配置的功能，保護(hù).Net 網(wǎng)站安全。1.4

10、流量保護(hù)（1）保護(hù)網(wǎng)站不受到 CC 工具發(fā)起的 DDoS 攻擊；（2）能夠限制單個(gè)訪問(wèn)用戶下載服務(wù)器某個(gè)特定資源的線程數(shù)目；（3）能夠根據(jù) IP 黑白名單，禁止某個(gè) IP 或者 IP 段的訪問(wèn)網(wǎng)站。1.5資源保護(hù)保護(hù)網(wǎng)站資源，防止特定文件被非法下載，拒絕防盜鏈。1.6 IP 黑白名單通過(guò)設(shè)置一些 IP 地址為黑名單地址或者白名單地址，從而控制它們?cè)L問(wèn)網(wǎng)站。1.7防護(hù)日志提供系統(tǒng)日志查看和刪除功能。（1）提供按指定時(shí)間段來(lái)查看日志的功能。（2）能夠查詢及刪除所選日期的日志。（3）能夠設(shè)置日志保存天數(shù)。（3）支持日志內(nèi)容右鍵，將日志內(nèi)容的 IP 添加到白名單或者黑名單中。2、服務(wù)器安全狗功能涵蓋了

11、服務(wù)器系統(tǒng)優(yōu)化（包括服務(wù)器漏洞補(bǔ)丁修復(fù)等）、服務(wù)器程序守護(hù)、遠(yuǎn)程桌面監(jiān)控、文件目錄守護(hù)、系統(tǒng)帳號(hào)監(jiān)控、DDOS 防火墻、ARP 防火墻、Web 防火墻、安全策略設(shè)置以及郵件實(shí)時(shí)告警等多方面模塊，為用戶的服務(wù)器在運(yùn)營(yíng)過(guò)程中提供完善的保護(hù)，使其免受惡意的攻擊和破壞。我司將根據(jù)業(yè)務(wù)及維護(hù)特性，對(duì)如下功能進(jìn)行使用。2.1系統(tǒng)漏洞修復(fù)通過(guò)啟用服務(wù)器安全狗系統(tǒng)漏洞掃描及修復(fù)功能，及時(shí)修復(fù)加固源自于系統(tǒng)側(cè)的漏洞，減少或杜絕公開(kāi)漏洞的被利用。2.2殺毒服務(wù)器安全狗，是一款專業(yè)殺毒和安全軟件，能兼容服務(wù)器上多款軟件，安全、殺毒集一身。2.3網(wǎng)絡(luò)防火墻2.3.1通過(guò)設(shè)置三層防火墻保護(hù)，來(lái)實(shí)時(shí)保護(hù)服務(wù)器的網(wǎng)絡(luò)安全。（1）防火墻：防護(hù)服務(wù)器 DDOS 攻擊，ARP 攻擊，WEB 防火墻攻擊，實(shí)時(shí)攔截惡意攻擊。（2）安全策略：設(shè)置安全策略，保護(hù)服務(wù)不會(huì)非法訪問(wèn)。（3）超級(jí)黑白名單：設(shè)置黑白名單，實(shí)時(shí)檢測(cè)訪問(wèn)來(lái)源的合法性。2.3.2 web防火墻（1）訪問(wèn)規(guī)則：設(shè)置某段時(shí)間（11000 秒）內(nèi)，允許單 IP 請(qǐng)求數(shù)（