一、运维堡垒机服务内容
服务对象:本系统仅对郑州航空工业管理学院各业务系统管理和运维人员开放。
适用范围:对数据中心服务器、虚机、网络设备等提供服务。
推荐浏览器:推荐使用IE11、Chrome69、Firefox65及以上版本的浏览器。
账号说明:仅针对有管理和运维需求的服务器、虚机、网络设备开通账号,需要自行申请账号权限。
申请地址:融合门户
二、运维堡垒机账号类型说明
按照等级保护的要求,运维堡垒机账号分为:运维人员和审核人员。
运维人员为信息系统厂商的技术人员或学校教职工,负责服务器(虚机)和信息系统的管理和运维。
审核人员为学校负责信息系统的教职工,负责监管运维人员对服务器(虚机)和信息系统的操作行为规范。
运维人员和审核人员不能由同一人承担。
三、运维堡垒机登陆方式
(一)校园网内登录
1.访问网址:https://blj.zua.edu.cn,选择校园网用户入口进行登录。
2.使用申请后的用户名和密码进行登录,首次登陆时需要修改密码。
密码长度为10-50位,至少包含大写字母、小写字母、数字、特殊字符中的三种,新密码不能与最近1次修改的密码有重复。1年内无登陆使用记录的账号将自动封禁,如再次使用需提交继续运维申请。
(二)校外登录
1.访问网址:https://blj.zua.edu.cn,按照运维计算机操作系统版本在校外用户入口下载对应的运维堡垒机客户端软件。
2.运行运维堡垒机客户端软件,校外登陆必须使用VPN方式访问堡垒机。①“添加登录账户”处选择“VPN”;②“堡垒机VPN服务地址”处填写:“jump.zua.edu.cn”;③“端口”处填写:“60443”。
3.使用申请后的运维堡垒机账号和密码进行登录,首次登陆时需要修改密码。
密码长度为10-50位,至少包含大写字母、小写字母、数字、特殊字符中的三种,新密码不能与最近1次修改的密码有重复。1年内无登陆运维记录的账号将自动封禁,如再次使用需提交继续运维申请。
四、运维堡垒机运维方式
1.运维人员登录运维堡垒机系统后,在①“工单”②“我的申请”页面右上角③“新建工单”。
2.填写①“工单名称”②“授权有效期”(按照实际运维时间选择授权有效期,如:一天、一周、一月,最长不要超过两个月,以降低运维人员账号泄露风险)③“添加资产”④“添加主机账户”⑤“选择主机账户”,添加需要运维的服务器资产后⑥ “创建工单”。
3.工单创建后,审批人员登陆运维堡垒机系统,在①“工单”②“工单审批”③“待审批”选择需要审批的④工单进行⑤“批准”操作或“拒绝”操作。
4.审批人员批准工单后,运维人员在①“运维”②“主机运维”③“工单运维”选择④“工单”需要运维的⑤资产进行运维操作。
五、运维堡垒机使用注意要求
1.严禁修改服务器操作系统已有用户帐号、密码及权限等配置,否则可能影响正常登录。服务器中初始运行的虚拟化平台、安全相关等必要程序,请不要进行任何操作,以免影响服务器的运行及安全。
2.严禁对服务器操作系统的文件权限、网络、防火墙、安全策略等基本配置进行随意修改。如确需修改,请提供必要性说明及技术方案,提前与学校信息系统管理员沟通确认并报信息管理中心审核确认后进行调整。
3.严禁在生产服务器中进行开发测试,调试完成后应及时关闭调试模式。所有代码、数据备份及各类说明文档应异地保存,不得直接存放在生产服务器中。
4.严禁在服务器中安装远程控制软件,如 TeamViewer、ToDesk、向日葵等,远程操作只能通过运维堡垒机进行;服务器禁止安装与应用服务无关的软件,特别是盗版或来源不明软件;数据中心统一部署了虚拟化安全防护系统,如服务器确需单独安装其他安全软件,可安装安全软件的服务器版不可安装个人桌面版。
5.严禁将服务器随意挪作他用,应严格按照申请用途使用。
6.信息系统部署前应向校方提供详细的部署实施方案,经双方沟通确认后再启动部署工作。
7.运维堡垒机的帐号专人专用,不得随意将账号借给他人使用,定期修改运维堡垒机密码,人员出现变更或增加时可向信息管理中心申请账号变更或增加。
8.由于不按本说明操作造成的各类故障、安全问题,一经发现,信息管理中心将停止各类服务,根据操作的危害性、造成的后果等限制或取消服务器的权限,责任由相关操作人员自行承担并由责任方负责解决。
六、服务器(虚机)使用注意要求
1.按照《党委(党组)网络安全工作责任制实施办法》,落实“谁主管谁负责,谁建设谁负责,谁使用谁负责”的原则,服务器(虚机)申请单位主要负责人为本单位的网络与信息安全的第一责任人,严格遵守《中华人民共和国网络安全法》、《网络安全审查办法》和《中华人民共和国计算机信息系统安全保护条例》等国家法律、法规和行政规章制度,对本单位的信息系统、服务器(虚机)及网站的信息服务行为承担法律、行政和民事责任。
2.服务器(虚机)申请单位须对服务器操作系统及应用系统进行安全检查,并定期登录进行操作系统的补丁更新升级、系统安装软件的更新升级和各类漏洞的修补工作。若虚拟服务器长期处于无人管理状态,或感染病毒、发生服务器安全事件的,信息管理中心将关闭相关服务器并要求负责人进行整改。
3.服务器(虚机)申请单位须对服务器实施日志管理制度,按照国家和学校有关规定保存系统日志、访问日志、业务系统日志应用程序日志等。
5.服务器(虚机)申请单位拥有所申请服务器的使用和管理权,自行管理其服务器的操作系统、业务系统及相关数据。负责服务器上数据的完整性和保密性,对所管理的信息及数据进行备份,指定专人保管账号并定期更换密码,如因服务器升级、感染病毒、服务器硬件损坏、账号密码泄露、违规操作等引起的各种问题及产生的一切后果,由于网络运营商、设备故障等因素引起的服务器无法正常访问或数据丢失,信息管理中心不承担任何责任。重要数据请及时异地备份。
6.服务器(虚机)申请单位须做好系统升级、数据备份、安全措施的优化调整等工作并有责任和义务配合国家信息安全管理相关职能部门的监督和检查。
