应用场景
运维安全中心(堡垒机)国密版,适用于需要使用国产密码的行业,满足国产化算法替代要求。进一步提升信息安全保障。
说明:
国密版堡垒机最低购买时长为六个月,目前支持广州、上海、北京地域。
为实现合规安全的国密通信,符合等保与密评要求,国密版堡垒机需使用支持国密算法(SM2/SM3/SM4)与国密 SSL 协议(TLCP)的国密浏览器进行访问和操作。
前提条件
已购买 国密版堡垒机服务。
已购买 腾讯云 CA 并已获取腾讯云 CA 颁发的配套国密 USB Key。
已购买支持国密算法的浏览器。
操作步骤
国密版堡垒机启用与配置
开通堡垒机
1. 登录 运维安全中心(堡垒机)控制台,在左侧导航栏中,选择开通服务 > 服务列表。
2. 在服务列表页面,请参考开通服务文档,完成地域、VPC 和子网的配置以开通服务。
开启 USB Key 登录
通过 “USB Key + 密码” 双重验证,校验运维人员身份,防范账号被盗风险。
1. 登录 运维安全中心(堡垒机)控制台,在左侧导航栏中,选择系统设置 > 双因子认证。
2. 在双因子认证页面,请参考 双因子认证设置(国密版)文档,启用国密双因素认证模式。
同步并托管资产至国密版堡垒机
将主机、数据库等目标资产纳入堡垒机管理范围。实现运维入口统一化,避免运维人员直接访问资产,为后续权限管控和审计打下基础。
1. 登录 运维安全中心(堡垒机)控制台,在左侧导航栏中,选择资产管理 > 主机资产。
2. 在主机资产页面,请参考 同步主机 文档,同步并托管资产至国密版堡垒机。
国密认证配置
USB Key 导入 SM2 个人证书
通过 SM2 非对称算法确保身份认证的抗抵赖性,满足密评对 “国密身份鉴别” 的强制要求。
购买腾讯云 CA 后,您将获得 USB Key 相关材料。请查阅《GM3000Ukey导入SM2个人证书手册》,按照文档指引为 USB Key 绑定国密算法身份凭证,实现"一人一证"的国密级身份认证。导入成功界面如下所示:
配置国密版浏览器
选择支持国密算法的访问终端,确保与运维安全中心(堡垒机)的国密通信兼容。以下是相关关键配置步骤:
1. 打开已激活的国密版浏览器,单击浏览器左上角图标,选择策略配置进入浏览器策略配置页面。
2. 在策略配置页面,左侧菜单中选择国密网站管理,单击查看网址列表,添加国密地址白名单。完成后请重启浏览器以使策略生效。
说明:
堡垒机的登录和运维地址需加入访问地址白名单。
3. 在策略配置页面,左侧导航栏中选择根证书管理,单击查看详情,导入根证书。导入完成后重启浏览器生效。
说明:
4. 在策略配置页面,左侧导航栏中选择 UKey 驱动管理,单击查看详情,添加驱动名称和路径。导入完成后重启浏览器生效。
说明:
用户与权限配置
新增与导入 USB Key 用户
建立堡垒机与运维人员的关联,绑定国密身份凭证。校验运维人员的账号信息,确保每一次运维操作都可关联到具体责任人,保障审计追溯要求。
1. 登录 运维安全中心(堡垒机)控制台,在左侧导航栏中,选择用户管理 > USB Key。
2. 在 USB Key 页面,单击新建,配置如下用户信息:
参数名称 | 说明 |
USB Key ID | 用于选择待绑定的 USB Key 设备的唯一标识,通过下拉选择已插入并识别的 USB Key 硬件,确保绑定的是具体的国密 USB Key 设备。 |
USB Key 名称 | 为该 USB Key 设置一个便于管理和识别的名称,可自定义(如 “张三 - 运维岗 - 国密 Key001”),用于区分不同的 USB Key 设备。 |
绑定用户 | 从下拉列表中选择要与该 USB Key 绑定的系统用户,实现 “USB Key + 用户身份” 的关联,确保后续登录时身份的唯一性和可追溯性。 |
3. 确认内容无误后,单击确定。
配置用户权限
遵循 “最小权限原则”,避免越权访问,防范高危操作风险,保障资产安全。
1. 登录 运维安全中心(堡垒机)控制台,在左侧导航栏中,选择权限管理 > 访问权限。
2. 在访问权限页面,参考 新建访问权限 文档,分配资产访问权限和操作权限,实现权限精细化管控。
运维人员通过国密浏览器进行运维操作
获取运维端链接
为运维人员提供合法的堡垒机访问入口。确保运维人员通过指定渠道访问,避免访问虚假站点导致的安全风险。
1. 登录 运维安全中心(堡垒机)控制台,在左侧导航栏中,选择概览。
2. 在概览页面,复制右侧的帮助 > 国密运维页面链接,告知给已经授权的运维用户。
运维人员使用国密版浏览器登录堡垒机
通过国密认证链路完成身份校验,进入运维操作界面。验证运维人员身份和权限,确保只有授权人员能进入系统,同时通过国密浏览器保障登录过程的通信安全。
1. 插入国密 USB Key ,打开国密版浏览器并输入运维端链接。
2. 在运维登录页面,系统将自动识别 USB Key 及 PIN 码。输入手机号/账号和密码后,单击登录。
3. 验证通过后,将进入堡垒机运维界面,可查看已授权的资产列表。
运维人员进行运维操作
1. 在运维模式中,选择主机资产 > 资产列表。
2. 在资产列表页面,单击对应主机右侧的访问。
3. 在运维页面,您可输入相关的运维命令。
查看运维审计
管理员审计操作
及时发现违规操作或恶意行为,实现安全事件追溯。
1. 登录 运维安全中心(堡垒机)控制台,在左侧导航栏中,选择操作审计 > 会话记录。
2. 在会话记录页面,参考 审计字符会话 文档,管理员可查询、回放运维操作记录,验证操作的合规性
导出审计报表
为网络安全等级保护测评、商用密码应用安全性评估提供直观依据,方便企业内部安全管理复盘。
1. 登录 运维安全中心(堡垒机)控制台。
2. 在左侧导航栏中,选择审计报表 > 报表任务。
3. 在报表任务页面,参考 报表任务 文档,可生成标准化审计报告,汇总运维操作和安全情况。
