产品安装调试实施方案样本.doc

1、资料内容仅供您学习参考，如有不当之处，请联系改正或者删除。 网神SecFox-LAS-BH运维审计系统 产品安装调试实施方案 一 部署结构 网神SecFox-LAS-BH运维审计系统提供了灵活的部署方式, 既能够采取串连模式, 也能够采用单臂模式接入到企业内部网络中, 可按照企业网络架构的实际情况灵活接入。 采用串连模式部署时, 网神SecFox-LAS-BH运维审计系统具备一定程度上的网络控制的功能, 可提高核心服务器

2、访问的安全性; 采用单臂旁路模式部署时, 不改变网络拓扑, 安装调试过程简单, 仅需要为系统分配一个IP, 并确保该地址与需要运维的主机IP可达, 协议可访问。 维护人员维护被管服务器或者网络设备时, 首先以WEB方式登录堡垒主机, 然后经过堡垒主机上展现的访问资源列表直接访问授权资源。 不论运维人员以何种方式( 局域网直连、 VPN、 ADSL拨号等) 访问网神SecFox-LAS-BH运维审计系统, 只要保证运维工作站与网神SecFox-LAS-BH运维审计系统路由可达即可。 网神SecFox-LAS-BH运维审计系统部署采用分区域、 分安全域部署, 根据实际网络环境, 每个

3、安全域部署一台( 套) , 采用”分布式部署, 集中式管理”模式, 即”物理分布, 逻辑集中”。 1.1区域内部署 网神SecFox-LAS-BH运维审计系统单臂部署逻辑图: 网神SecFox-LAS-BH运维审计系统单臂旁路部署物理图: 如图, 网神SecFox-LAS-BH运维审计系统旁路部署在被管服务器区的访问路径上, 经过防火墙或者交换机的访问控制策略限定只能由内控堡垒主机直接访问服务器的远程维护端口。 网神SecFox-LAS-BH运维审计系统串联部署模式图: 如图, 网神S

4、ecFox-LAS-BH运维审计系统串联部署在被管服务器区的访问路径上, 运维区域和被管服务器资源区不在同一个网络区域内, 相互隔离; 被管资源经过交换机集中连接内控堡垒主机的管理口, 管理运维人员经过访问网神SecFox-LAS-BH运维审计系统的运维管理地址, 对被管资源进行运维管理。 1.2分布式部署 网神SecFox-LAS-BH运维审计系统分布部署图: 如图, 以IDC机房运维为例, 在分布在各地的IDC机房内视其网络安全域划分情况部署网神SecFox-LAS-BH运维审计系统。运维人员只需登陆被管资源所属的网神SecFox-LAS-BH运维审计系统即可对该资源进

5、行运维操作。 二 上线配置 在地址栏上输入系统URL。例如: https:// ip 系统默认的超级管理员的帐号: admin, 密码: admin123。网神SecFox-LAS-BH运维审计系统启用后, 应及时修改口令, 以免被非法登录。 2.1上线前准备 需要在维护工作站上安装以下软件、 工具: 2.1.1安装SSO工具 使用SSO安装程序安装单点登录工具。 安装成功后能够在”控制面板”中的”添加、 删除程序”中显示: 注意: 如维护工作站的浏览器版本为IE8.0, 需要在其”Internet选项”中把网神Se

6、cFox-LAS-BH运维审计系统WEB访问地址加入”可信站点”, 并把”信任站点”的安全级别设为”低级”。 2.2建立目录树及主帐号( 自然人) 创立 主帐号创立由部署人员配合安全管理员, 采用超级用户添加不同用户( 自然人) 。 2.2.1”目录树”实施建议 目录树设计如下: 结合实际环境, 将目录树按照登录人员和资源分别进行分组。 服务器类: 所有服务器主机加入该组。 Win服务器: 所有Windows主机加入该组。 Unix服务器: 所有Unix数据库资源加入改组。 发布服务器: 发布服务器加入改组。 交换机组: 所有交换机类网络设备加入该

7、组。 核心交换机: 所有核心交换机加入该组。 楼层交换机: 所有楼层交换机加入该组。 2.3”主账号”实施建议 结合实际情况, 给每个使用人员分配一个独自的”主账号”, 主账号ID( 即登录网神SecFox-LAS-BH运维审计系统账号) 为人员姓全拼+名字首字母, 新建时全部配置成初始化口令, 初始化口令为”123123”。这样, 使用人员首次登录网神SecFox-LAS-BH运维审计系统时必须进行密码重置) 。 2.4资源及资源从帐号创立 资源及资源从帐号创立由部署人员配合系统管理员, 采用系统管理员添加被管资源及被管资源上的从帐号。 2.4.1”资源创立”实施建议 分

8、步分批加入被管资源, 前期先把”网络设备”加入。稳定运行后再分步加入其它所有资源。 2.4.1.1”资源从帐号创立”实施建议 根据调研表确定所有设备都有哪些从帐号, 能够以什么协议登录。调研清楚后对资源从帐号进行添加。 2.5管理角色的创立 由部署人员根据用户实际环境与相关管理制度在目录树相应分组中建立各种角色, 例如系统管理员、 资源管理员、 审计员等各种角色。将新建的角色授予自然人, 完成内部授权过程。授权后, 自然人只具备角色所在分组的分组管理权限, 满足各部门资源由各部门自行管理的要求。 2.5.1”角色”实施建议 调研所有使用人员的内部使用权限, 然后定义出角色, 将

9、角色授予相应的主帐号。 2.6对主帐号授权 由部署人员配合安全管理员按照账号使用情况对主帐号进行授权, 将资源上已经建立的从帐号授权给用户主帐号。 主账号系统角色授权为空, 则其只具备一般运维人员权限。 2.6.1授权实施建议 根据调研表确定所有资源的从帐号哪些在使用, 都谁在使用, 哪些从帐号已经不再使用。调研清楚后对主帐号进行授权。 对于不再使用的从帐号要统计核实, 确实不再使用的要做删除处理。 2.7配置策略 添加主机命令策略、 访问时间策略、 访问地址策略、 帐号锁定策略、 密码策略等。将新建的策略分配到自然人帐号和资源帐号, 实现对资源访问的细粒度控制

10、 2.7.1通用策略实施建议 通用策略包括: 访问锁定策略和密码策略。 访问锁定策略建议配置: 密码输入错误三次自动锁定, 锁定时间为十分钟。 密码策略建议配置: 密码长度为八位, 必须包含字母和数字。 所有主帐号均配置这两个通用策略。 2.8访问控制策略实施建议 访问控制策略包括: 主机命令策略, 访问时间策略, 访问地址策略。 根据调研表确定所有主帐号访问资源时需要配置什么策略。调研清楚后再应用策略。 策略配置能够等上面步骤稳定运行后再配置使用。 在上线配置完成后, 就能够进入试运行阶段。在试运行阶段, 用户能够将正常办公的内容转移到网神SecFox-LAS-BH

11、运维审计系统中来完成, 从而熟悉网神SecFox-LAS-BH运维审计系统的基本功能。在此阶段能够不用增加限制策略, 当充分熟悉网神SecFox-LAS-BH运维审计系统运行流程后再进行限制。此阶段可兼顾正常业务的访问( 不要切断正常业务的访问路径) , 以免出现问题。 一个处处像别人表明自己优秀的, 恰恰证明了她( 她) 并不优秀, 或者说缺什么, 便炫耀什么。 　　真正的优秀, 并不是指一个人完美无缺, 偶像般的光芒四射。而是要真实地活着, 真实地爱着。 　　对生活饱有热情, 满足与一些小确幸, 也要经得起诱惑, 耐得住寂寞, 内心始终如孩童般的纯真。

12、　　要知道, 你走的每一步, 都是为了遇见更好的自己, 都是为了不辜负所有的好年华。 　　一个真实的人, 一定也是个有担当的。 　　不论身处何地, 居于何种逆境, 她( 她) 们都不会畏惧坎坷和暴风雨的袭击。因为知道活着的意义, 就是真实的直面风浪。 　　生而为人, 我们能够失败, 却不能败的没有风骨, 甚至连挑战的资格都不敢有。 　　人当如玉, 无骨不去其身。生于尘, 立于世, 便该有一颗宽厚仁德之心, 便有一份容天下之事的气度。 　　一个真实的人, 可是又不会过于执着。 　　因为懂得, 水至清则无鱼, 人至察则无徒的道理。完美主义者最大的悲哀, 就是活得不真实, 不知道审时度势

13、 适可而止。 　　一扇窗, 推开是艳阳天, 关闭, 也要安暖向阳。不烦不忧, 该来的就用心珍惜, 坦然以对; 要走的就随它去, 无怨无悔。 　　人活着, 就是在修行, 最大的乐趣, 就是从痛苦中寻找快乐。以积极的状态, 过好每一天, 生活不完美, 我们也要向美而生。 　　一个真实的人, 一定是懂爱的。 　　时光的旅途中, 大多数都是匆匆擦肩的过客。只有那么微乎其微的人, 才能够相遇, 结伴同行。而这样的结伴一定又是基于志趣相投, 心性相近的品性。 　　最好的爱, 不是在于共富贵, 而是能够共患难, 就像一对翅膀, 只有相互拥抱着才能飞翔。爱似琉璃, 正是因为纯粹干净, 不沾染俗世的

14、美。 　　懂爱的人, 一定是真实的人。正是因为懂得真爱的不易, 因此更是以真面目面对彼此, 十指紧扣, 甘愿与爱的人把世间各种风景都看透, 无论风雨, 安暖相伴。 　　一个真实的人, 定然是有着大智慧的。 　　人生在世, 什么都追求好, 追求完美, 虽然这是一种积极的思想, 却会很累, 不但自己累, 身边人也会因为你而累。到最后就会在疲于奔命中, 丧失自我。 　　”兰居幽谷, 虽孤独亦芬芳; 梅开偏隅, 虽寂静亦流香, ”这便是一份淡泊和沉稳。一些事尽力了就好, 无愧别人, 无愧己心, 认真地活着, 便是不辜负。 　　因为懂得, 人生的风景, 最终是回归到心灵的本源。和谐共生, 平等友爱, 才是对生命的尊重和对自己的珍视。