技术服务,包括培训、安装指导、售后服务保障及承诺

1技术服务，包括培训、安装指导1.1技术方案5.1.1项目目标为了保障信息的完整性、可用性、机密性，有些网络网络系统部署了防火墙、IDS、防病毒等各类安全设备，并且采用了如网络边界划分、强化边界访问控制等多种防护手段，但是对于系统内众多的网络系统运维人员、第三方系统运维人员以及设备厂商维护人员却缺乏有效的管理与监控，众所周知系统网络运维人员他们享有系统的“最高权限”，一旦出现恶意操作或误操作，将会对业务系统带来巨大影响，造成不可估量的严重后果。特别是对BOSS、CA这些核心业务系统的影响将更为巨大，直接导致为企业带来经济损失，而且严重的也会造成极为负面的社会影响。在加大网络边界防护、数据通信安全、防病毒等基础上，也需要加大对内网安全的治理共同维护信息系统安全。5.1.2建设原则根据客户的项目建设目标要求，在方案设计和系统开发过程中将严格遵守以下项目建设原则：1、遵循统一性、标准性原则系统建设应按照集约化发展、标准化建设的管理要求，坚持统一领导、统一规划、统一标准、统一组织实施的原则，总体部署、分步实施、有序推进，统筹安排系统建设，确保建设顺利实施。2、遵循统一开发、标准管控原则应严格遵循相关技术规范和业务规范的要求，在建设过程中，需遵循相关的规范和管理制度。3、遵循安全、可靠性原则系统设计应满足业务高峰期间的需求，适应异常和特殊情况给系统带来的压力，连续7X24小时不间断工作；系统关键环节软硬件资源设计采用高可用性方案，保证系统运行的高度可靠。采用相关安全机制和技术手段保障系统的应用安全、数据安全、主机安全、网络安全、物理安全。4、遵循先进、实用性原则系统选择的技术架构应保持技术领先，采用多层架构设计技术。在系统的高并发控制、临界资源控制、并行计算方面构筑先进的技术体系，以保证系统有不断发展和扩充的余地，并保证系统有足够的通用性和复用性。在实用的基础上考虑先进性和前瞻性，切实满足客户服务中心业务实际工作和管理需求。5.1.3功能要点通过安全产品将人与目标设备进行分离，建立以“人-＞用户账号-＞授权-＞目标设备账号-＞目标设备”为管理模式，通过基于唯一身份标识的集中管理账号与权限、授权的控制策略，与各服务器、网络设备等无缝连接，实现集中精细化运维操作管控与审计。使IT安全运维从被动响应的模式转变为主动的运维安全管控模式，降低人为安全风险，满足合规和内部管理要求。统一身份及认证管理(1)完善的身份管理和认证为了确保合法用户才能访问其拥有权限的后台资源，解决IT系统中普遍存在的交叉运维而无法定位到具体人的问题，满足审计系统“谁做的”要求，系统提供一套完整的身份管理和认证功能。>支持账号掘组织僭理模式;组织管理能力，支持纵向七级横向255个的组织划分能力，能够实现更完善的分权管理和分权审计；支持运维用户和管理员采用同一个账号；支持管理员、运维用户的静态口令、数字证书、动态口令、LDAP、AD域、Radius等认证方式；支持AD域、LDAP账号的自动同步；>支持密码强度、密码有效期(按天设置)、口令尝试死锁、用户激活、备注、访问白名单等安全管理功能；支持用户分组管理，并且单个用户可以属于多个用户组；支持用户信息导入导出，方便批量处理；A支持系统管理员、运维管理员、设备账号管理员、会话审计员、管理审计员等管理员角色；A审计员分权管理，分为会话审计员、管理审计员，其中会话审计员只能审计会话信息，管理审计员只能审计NABH自身操作信息。(2)内置动态口令认证由于运维审计系统一般都采用SSO单点登录方式访问服务器进行运维操作，审计系统的账号登录变成唯一的认证途径，所以审计系统的账号认证必须采用强认证方式。NABH内置动态口令认证认证系统，增加用户的强认证方式，可省去第三方动态口令系统所增加的成本和重复管理。除了动态双因素认证以外还支持静态口令加动态口令结合认证静态口令可设置复杂度、长度与有效期，用户可自行修改静态口令不会增加管理员的工作内置动态口令系统，管理员可再运维审计系统页面管理动态令动态令牌每次打开时需要密码认证，减少了令牌丢失的风险。当发生紧急运维时，用户忘带令牌，可通过页面申请，审计系统通过短信发送临时动态码。(3)后台账号口令集中管理系统支持对后台各类资源(主机、服务器、网络设备、数据库等的账号口令进行统一管理，即后台资源的账号口令由系统托管，用户登录系统后，系统根据用户权限分配后台资源的使用权。托管账号支持一站式关联用户、关联用户组。SSO单点登录SSO单点登录功能是运维人员通过堡垒机认证和授权后，堡垒机根据配置策略实现后台资源的自动登录此功能提供了运维人员到后台资源账号的一种可控对应，同时实现了对后台资源账号的口令统一保护。管理员将后台资源账号及口令配置到堡垒机中；A根据管理员配置，实现运维用户与后台资源账号对应，限制账号的越权使用；A运维用户通过堡垒机认证和授权后，堡垒机根据分配的账号实现自动登录后台资源。支持的SSO账号类型包括：>支持WindowsLinux、Unix等服务器账号自动登录支持CISCO(包括特权账号)、H3C等网络设备账号自动登录支持FTP.VNC、SFTP等账号自动登录支持PLSQL.SQLPLUS等数据库工具账号自动登录后台设备自动改密安全策略往往需要对后台设备的账号密码进行定期修改由于各种原因无法落地。对于之前已经实现SSO的账号密码，堡垒机提供定期修改功能：根据口令安全策略，堡垒机定期自动修改后台资源帐户口令；支持密码更新周期自定义，可以按天设置；A根据管理员配置，实现运维用户与后台资源账号对应，限制账号的越权使用；A运维用户通过堡垒机认证和授权后，堡垒机根据分配的账号实现自动登录后台资源。实际应用时存在多台设备具备相同的帐号、密码的情况，可以通过“统一账号管理”实现，只需要手工添加一次账号，无需多次添加；并且启用密码定期修改功能时，该账号密码自动修改为相同的密码。电子口令保管箱对于托管的后台设备口令，除支持以文件导出、邮件等的方式进行备份外，还支持把该托管口令备份到专用的口令安全存储设备上，防止口令丢失的风险。对于该口令安全存储设备的访问，支持指纹方式认证。访问控制及授权灵活、细粒度的授权系统提供基于授权规则名的授权设置每个授权规则名下可以绑定多个用户用户组、设备、设备组、访问规则(年、月、日、周、时间、会话时长、运维户端IP、协议类型)每条授权规则可以设置相应的备注、启用/禁用设置。用「胡访间或原操忙_1㈣radcg.lf.呈唇U5H-1瑚鼎0用「胡访间或原操忙_1㈣radcg.lf.呈唇U5H-1瑚鼎0WirricrffEfll5V/jrxfciura启用aa1juh快查找・|挹收舌鼻1「M1第佰是百瓦＜1.'1＞期匕_三|系统提供基于告警规则名的授权设置，每个告警规则名下可以绑定多个用户、用户组、设备、设备组、命令规则。每条授权规则可以设置为启用或禁用。＞可以通过命令规则进行规则匹配，支持黑、白名单功能；＞支持预订义和自定义的匹配命令设置，匹配命令支持多条命令，支持正则表达式；＞告警规则可以设置为阻断或只告警；＞告警规则支持告警级别设置，支持普通、严重、紧急等级别；＞告警规则可以按照帐号级别进行绑定，可以设置为只有指定安全级别的帐号才能触发告警规则，针对不同用户实施不同的规则，从而提供更细粒度的操作控制。(3)应用发布除TelnetSSH、FTP、SFTP、RDP、VNC、XWIN、HTTP、HTTPS等常用协议外，针对用户独特的运维需求，NABH推出了业界首创的虚拟桌面主机安全操作系统设备(VDH,VirtualDesktopHost)通过VDH配合NABH进行审计能够完全达到审计、控制、授权的要求A运维操作全程可控，可做到授权后应用只能访问指定服务，最大降低对后台目标服务集群的可能安全风险。可对整个运维操作过程进行完整记录，实现详尽的会话审计和回放。可依据用户要求快速实现新应用的发布和审计。可支持对数据库维护工具、pcAnywhere.DameWare等不同工具的运维操作进行监控和审计。(4)电子工单流程管理目前运维工作的流程管理日趋重要，通过电子工单形式的流程管理，可以简化纸质工单的工作量与节省成本审计人员也能通过工单里的相关内容了解到运维操作的操作原因，进一步起到追溯运维事件原因的作用。NABH内置运维审批流程，包含工单申请、工单审批、工单运维，对资源的授权和访问控制实现了流程化的管理工单申请主要由运维用户发起运维用户可以1过工单申请运维的资源、运维的时间。工单审批由运维审批员完成只有审ft通过的工单才能运维，审批拒绝的工单不能运维。同时提供抢修运维的功能^当出现突发故障，运维用户可采用紧急运维码进行抢修操作，操作完成后自动生成抢修工单。运维事件事中控制实时监控及阻断>监控正在运维的会话，信息包括运维用户、运维客户端地址、资源地址、协议、开始时间等；监控后台资源被访问情况；提供在线运维操作的实时监控功能。针对命令协议和图形协议可以图像方式实时监控正在运维的各种操作其信息与运维客户端所见完全一致；管理员可以关闭在线会话。违规操作实时告警与阻断A违反告警规则的各种事件，根据告警规则自动处理；告警事件可实时查看，并通过审计平台的声音、闪烁提示；对于设置为阻断的命令，运维用户无法执行，系统提示相关阻断信息;告警事件以邮件、短信通知。可支持ITSM可与ITSM相结合，为其优化变更管理流程，加强对变更管理中的风险控制；支持对现有运维变更管理系统快速集成。可支持双人复核操作支持Telnet/SSH的强制登录复核；A支持运维过程的高危命令复核，例如对某阻断命令，可以设置必须由其它人进行复核;复核人复核通过后，运维人员才可以执行该阻断命令；>支持会话日志记录双人复核操作审批人、时间、操作符合命令；>支持设置复核级别，可设置由任意高级别的用户进行复核，也可以设置专门的高级别用户进行复核。运维事件事后审计(1)完整记录网络会话过程>系统提供运维协议TelnetFTP、SSH、SFTP、RDP(WindowsTerminalXwindowsVNC、Http、Https以及应用发布等网络会话的完整会话记录，完全满足内容审计中信息百分百不丢失的要求；A会话信息包括运维用户、运维地址、后台资源地址、资源名、协议、起始时间、终止时间、流量大小信息；会话信息包括运维过程中所有进出后台资源的数据。(2)详尽的会话审计与回放A运维操作审计以会话为单位，提供当日和条件查询定位。条件查询支持按运维用户、运维地址、后台资源地址、协议、起始时间、结束时间和操作内容中关键字等组合方式；针对命令交互方式的协议，提供逐条命令及相关操作结果的显示;提供图像形式的回放，真实、直观、可视地重现当时的操作过程;回放提供快放、慢放、拖拉等方式，方便快速定位和查看；针对命令交互方式的协议，提供按命令进行定位回放；>针对RDP、Xwindows.VNC协议，提供按时间进行定位回放。M于RDP协议除记录视频格式外，对于各种键盘鼠标的操作进行记录，具体包括键盘信息、屏幕文本信息、文件读写信息等。自审计功能A管理员、审计员、运维人员在系统中关键操作行为记录，并可通过报表展现；A可记录主帐号访问审计设备时间、终端IP记录；可记录主帐号访问目标设备、从帐号记录。事件通知袒达中驱件认证失败近出恭妹麻犹中事件吉苦袒达中驱件认证失败近出恭妹麻犹中事件吉苦W理日谜肝峰苦理设号主帜衅户好组画里授对理•:陪.申廊性统一重机帏户临新就a事件通知功能可以将发生的事件以邮件或短信(需定制)的方式通知任何管理员。事件分为系统访问事件、配置管理事件、运维操作事件、运维审计事件、系统维护事件等5大类。完备的审计报表功能提供运维人员操作、管理员操作以及违规事件等多种审计报表:A提供日常报表，包括今日会话、今日自审计、用户信息、资源信息、权限信息、规则信息、管理员角色信息等报表；＞提供会话报表，可根据用户选定时间、用户、资源形成会话报表;＞自审计操作报表，可根据用户选定时间、管理员、模块形成自审计报表A告警报表，可根据告警类别、级别、资源、运维用户、协议、时间等条件形成报表；＞综合统计报表，可根据时间、资源、用户等条件形成综合统计报表，报表中包括概要信息、每个用户操作信息、每个资源被操作信息等；＞报表导出，支持PDF、Excel、Word等格式。定时自动生成报表并发送审计员可设置报表定时自动生成运维操作报表，并且通过邮箱发送到相关管理人员，管理人员可通过报表查看出哪些操作是没有经过操作申请报备流程的，属于违规操作。兼容性、可扩展性NABH运维审计作为IT运维流程中的一个部分，能够遵循ITIL满足稽核与审计的要求，系统能够通过定制开发与现有ITSM、SOC、网管平台进行集成，满足大型网络系统的管理要求。能够与KVM系统进行整合，解决KVM系统本身审计功能薄弱的问题。能够与专业的数据库审计系统进行整合，审计日志信息既满足直观、方面查看的目的，又可以记录详细的数据库操作记录，便于故障分析。5.1.4系统架构部署NABH可以采用旁路模式部署在网络中。部署后在三层交换机或者路由器中，做ACL控制运维人员的维护流量；也可以在防火墙中添加策略控制维护人员的维护流量，具体部署拓扑如下图：1、将NABH旁路连接在核心设备上。2、在边界防火墙，或者网络设备上配置ACL（或者防火墙策略）；禁止维护区域、Internet、机构总部直接对服务器区中的服务器进行访问。3、在网络中只允许NABH进行访问服务器区中的服务器。访问路径如下图示：在网络中通过ACL或者防火墙策略对维护流量进行封堵，因此如果要对服务器区中的服务器进行维护就必须通过NABH进行维护，NABH就成为设备远程维护的唯一入口。5.1.5使用流程（1）划分操作域在NABH中按照网络、系统、数据库、安全四个类型，分别建立了网络操作域、系统操作域、数据库操作域、安全设备操作域，四个操作域。同时为管理这些域的管理员建立与其身份相关联的运维帐号。相同区域权限划分:相同操作域中枚眼控制(2)划分等级珠江数码中有很多系统，这些系统服务于不同的业务，因此我们需要对这些系统进行等级划分，这样就能很有效的对这些设备进行管理，并且针对不同等级的设备采取不同的安全保护措施；目前基本上可以将这些系统分为三个级别：核心业务级系统（A级），前置业务以及开发级系统（B级），外围级系统（C级）；各个级别的系统所采用的安全管理模式都不应该是有所不同。在分级后，珠江数码的IT安全管理是由外想内逐级加强。特点：系统数目一般，系统帐号多，使用人员多。由于人员缺乏问题，有可能对该级别设备的监管不到位。安全策略：需要对使用人员进行身份定位，以及对操作设备的整个过程；同外围系统的系统帐号以及系统密码进行全面的监管。在该级别需要使用到NABH运维安全审计系统，通过该系统对外围系统服务器的帐号，密码进行托管。当操作人员要对外围系统进行操作时，需要在NABH上得到授权，才能登录，并且在不需要填写密码的情况下，由NABH代填密码。除此之外，还可以通过NABH对外围系统的密码进行自动变更（3）密码托管

将服务器中的用户名、密码填入NABH；通过NABH对服务器的用户名密码进行管理；除此之外，还可以NABH对服务器的密码做自动变更，即NABH自动修改服务器的密码；由于NABH知道并管理服务器的密码，因此运维用户只需要在NABH上选择维护服务器的IP，以及登录的用户名就可登录服务器。当NABH自动将外围服务器密码修改后，可以通过PC客户端连接到网络中的NABH，使用特定的软件将密码通过加密线路传输到电子保管箱中。.1崩■■PC?.1崩当NABH无法工作时，仍然可以遵循相关的流程通过指纹认证使用密码，SSO备份和查看的流程如下：a、NABH口令管理员，在电子保管箱上验证指纹通过后，操作设备进入“数据接收状态”；b、NABH口令管理员操作客户端，选择单个或者多个超级权限的账户，将其主机设备信息、用户名和口令写入电子保管箱;c、NABH口令管理员操作电子保管箱退出“数据接收状态”，关闭NABH客户端；d、出现紧急情况时，需要从电子保管箱中读取某个主机设备的超级权限账户口令时，由NABH口令管理员和需要实际使用该超级账户口令的人员（该人员的指纹需事先注册到电子保管箱中），在电子保管箱上按压指纹，验证通过后，该人员可以从电子保管箱中查看该超级权限账户的口令，即由口令管理员授权该人员从电子保管箱中获取该口令。e、密码一经使用，口令管理员第一时间通过NABH重置服务器账号口令，再同步到电子保管箱，确保口令没有泄露。将密码存放在电子保管箱的优势有以下三点：1、使用密码不可抵赖；因为使用密码的设备管理员需要在电子保管箱上按压自己的指纹才能得到密码，所以非该系统的管理员是不可以得到并开启密码。并且在电子保管箱中能够审计到何人何时使用过什么IP地址的设备密码。2、密码使用唯一性，每个管理员通过指纹认证只能得到其管理的设备系统密码。3、密码存放的安全性；由于电子保管箱采用了生物认证、硬件级的芯片加密，因此存放在电子保管箱中的密码是非常安全可靠的。1.2培训方案依据“预习、练习、复习”的思路和原则建立培训体系。“预习”提供多种形式的培训资料，“练习”提高多形式的培训内容，“复习”提供针对性的培训提升。在系统建设完成的同时，我方将提供各类文档、视频、音频等多种形式的培训资料帮助用户理解系统。文档资料包括：系统快捷页，使用手册、培训教材等；视频资料包括：操作演示等；音频包括：操作讲解等。以上培训资料应针对各类用户提供，使用户可以充分利用时间、根据需要反复学习，不断熟悉和掌握系统操作和使用，达到了永久学习的目的。系统培训体系提供标准的培训课程。标准培训围绕系统应用，为客户提供分角色/业务功能的进阶式培训。用户通过进阶的学习过程，逐步从了解系统、系统简单操作、系统复杂操作、系统管理，从而提高系统应用的使用运行效益。根据不同的能力标准，将课程分为初级、中级和高级三级，具体描述如下：初级：（会用）通过实际操作的强化训练，了解系统的基本操作和使用方法，了解系统基本功能范围。中级：（用好）能够熟练使用系统，处理业务应用的各种需要，同时，通过专项功能或特殊功能的培训，能够深入理解系统应用的管理思想，并在实际业务中加以应用；升级软件培训可以确保将最新的系统功能及时地提供给各类用户。高级：（系统维护）深入学习系统的维护功能的使用，进行系统管理和运行维护，并能够根据各类最终用户的使用提供相应的技术支持和服务。培训方式集中培训集中式培训注重理论课程和上机实验的结合。理论课程通过基础知识的讲解、真实用例的应用和互动沟通等方式，调动被培训用户的积极性，最大程度的传递知识。上机实验使学生通过亲身体验，巩固所学。现场培训现场培训是在集中培训无法完全满足培训需求的情况下对最终用户的另一种培训方式，例如需要进行培训的人员因工作需要，无法参加集中培训。根据实际情况提供现场培训服务，以适应用户的时间安排，并提供有针对性的辅导与交流。定制培训在提供标准培训方案的同时，我们亦可根据用户的需求，为各类用户量身定造能针对用户特点和用户特征的个性化培训方案，让您享受更为贴身的培训服务。定制培训包括三个步骤：培训需求分析：通过对客户的组织结构、任务、当前技术背景、工作经验和未来发展方向的分析，找出技能水平的差距为制定切实有效的培训计划提供依据。培训解决方案：以培训需求分析结果为依据，参照用户培训产品，针对不同的目标人群，定制出相应的培训解决方案。培训实施：根据培训解决方案，组织高级讲师进行培训。2售后服务保障及承诺2.1技术支持及售后服务针对本次项目，我方承诺提供如下金牌级服务：.服务概述服务响应方式：所有由我方提供的设备(包括第三方的设备)都承诺合同设备(含配套软件)质保期为60个月，质保服务为设备生产原厂商的五年7X24保修服务。自买卖双方代表在设备加电验收单上签字之日起计算。在质保期内，质保服务为提供免费的生产原厂商软件升级包和免费的设备生产原厂商保修备件。.系统关键程度：设备安装、调试以及发生故障时的支持；设备定期健康巡检现场支持；重大故障及重大活动保障支持；.保修内服务责任：更换和修理任何故障部件、插板或设备；对于被修理设备，其保修期在设备修复后重新计算；在接到用户发出的通知两天内，派出维修人员到现场处理故障；为缩短故障时间，受过培训的技术人员在我方人员不在场的情况下可对简单故障进行处理，复杂故障可在我方工程师远程指导下进行。.服务特点：全年无间隙地服务响应；重要活动派专人现场保证；保修期软件免费升级服务支持；.保修期后的服务承诺我方承诺对系统进行终身服务，质保期过后对系统进行有偿服务。在现场验收后10年内，如果买方需要对卖方所供系统进行升级扩容、购买备品备件和质保期后的技术服务等，我方负责帮助完成。系统升级扩容、备品备件和质保期后的技术服务的价格不高于本次投标价格，并参考当时市场合理价格。对于只维修不需更换设备的情况，我方只收取人工费；对于需要更换设备的情况，我方只收取设备成本费和人工费。服务内容同质保期内完全一致。