成立于2019年的河南華鼎供應(yīng)鏈管理有限公司（以下簡(jiǎn)稱(chēng)為華鼎供應(yīng)鏈）是一家冷鏈?zhǔn)称妨魍ǚ?wù)商。目前，華鼎供應(yīng)鏈在全國(guó)擁有25個(gè)分支機(jī)構(gòu)，14個(gè)省級(jí)中心倉(cāng)，倉(cāng)儲(chǔ)面積25萬(wàn)平方米，干支線網(wǎng)絡(luò)1870條，冷藏車(chē)超過(guò)3000輛，日訂單處理數(shù)量超過(guò)40萬(wàn)件，服務(wù)包括鍋圈食匯、蜜雪冰城、書(shū)亦燒仙草、夸父炸串、五芳齋、馬路邊邊等餐飲連鎖、新零售、生產(chǎn)工廠各類(lèi)客戶超過(guò)700家，服務(wù)終端門(mén)店數(shù)量超過(guò)100,000個(gè)。

在華鼎供應(yīng)鏈的信息化建設(shè)進(jìn)程中，已對(duì)報(bào)貨APP、WMS（倉(cāng)庫(kù)管理系統(tǒng)）、OMS（訂單管理系統(tǒng)）、TMS（運(yùn)輸管理系統(tǒng)）、ERP（企業(yè)資源計(jì)劃）、POS（銷(xiāo)售終端），以及上、下游客戶端等八大類(lèi)18項(xiàng)子系統(tǒng)進(jìn)行了高度融合，實(shí)現(xiàn)了客戶一鍵下單、一鍵支付、一鍵查詢、一鍵收貨等功能。

目前，華鼎供應(yīng)鏈擁有自己的云信息中心，在職研發(fā)人員超過(guò)150人，部門(mén)包括研發(fā)組、測(cè)試組、實(shí)施組以及運(yùn)維組等，公司的IT應(yīng)用架構(gòu)已經(jīng)全部遷移至阿里云。

IT運(yùn)維的痛點(diǎn)

隨著公司業(yè)務(wù)的迅速擴(kuò)張，在日常的運(yùn)維過(guò)程中，華鼎供應(yīng)鏈云信息中心的運(yùn)維團(tuán)隊(duì)面臨著很多問(wèn)題和挑戰(zhàn)：

■?資產(chǎn)缺乏統(tǒng)一訪問(wèn)入口

華鼎供應(yīng)鏈目前擁有上百臺(tái)IT資產(chǎn)，主要用于運(yùn)維、開(kāi)發(fā)和測(cè)試人員的日常訪問(wèn)。人員訪問(wèn)較為分散，缺乏統(tǒng)一的資產(chǎn)訪問(wèn)入口，難以對(duì)用戶的訪問(wèn)進(jìn)行有效的監(jiān)管，運(yùn)維團(tuán)隊(duì)的管理工作面臨很大的壓力，也存在著很大的運(yùn)維風(fēng)險(xiǎn)；

■?權(quán)限分配難、缺乏定責(zé)手段

在日常訪問(wèn)中，華鼎供應(yīng)鏈的運(yùn)維管理人員缺乏有效的權(quán)限管控手段，很難做到權(quán)限的統(tǒng)一管控和安全審計(jì)，無(wú)法對(duì)用戶的操作權(quán)限進(jìn)行有效的管控，經(jīng)常出現(xiàn)多人使用同一個(gè)賬號(hào)進(jìn)行訪問(wèn)的現(xiàn)象。

同時(shí)，管理員也缺乏相應(yīng)的審計(jì)手段。這就導(dǎo)致了系統(tǒng)在出現(xiàn)安全事件后，經(jīng)常會(huì)有人員相互推責(zé)的情況，管理員難以對(duì)事故發(fā)生的原因進(jìn)行追溯，也無(wú)法定責(zé)到具體人員，不能避免同一安全事故的再次發(fā)生；

■?等保三級(jí)認(rèn)證的需要

近年來(lái)，國(guó)家對(duì)于信息系統(tǒng)安全的重視程度越來(lái)越高。作為一家全國(guó)性的企業(yè)，華鼎供應(yīng)鏈非常重視信息系統(tǒng)安全建設(shè)，每年都會(huì)進(jìn)行國(guó)家信息安全等級(jí)保護(hù)評(píng)測(cè)。而堡壘機(jī)作為通過(guò)等保的重要實(shí)現(xiàn)工具，華鼎供應(yīng)鏈需要專(zhuān)業(yè)的堡壘機(jī)來(lái)滿足權(quán)限分離控制與事件追蹤溯源的要求，助力企業(yè)順利通過(guò)等保三級(jí)認(rèn)證。

為什么選擇JumpServer堡壘機(jī)？

在2021年之前，華鼎供應(yīng)鏈一直使用的是云堡壘機(jī)。使用下來(lái)存在著很多的問(wèn)題，并且原有云堡壘機(jī)的功能也無(wú)法滿足公司后續(xù)不斷擴(kuò)展的使用場(chǎng)景需求。

2021年5月，華鼎供應(yīng)鏈云信息中心的運(yùn)維團(tuán)隊(duì)對(duì)JumpServer進(jìn)行了部署測(cè)試，在測(cè)試過(guò)程中發(fā)現(xiàn)JumpServer所提供的功能不僅比之前使用的云堡壘機(jī)更加強(qiáng)大和豐富，能夠滿足公司當(dāng)前的運(yùn)維需求，還解決了之前云堡壘機(jī)產(chǎn)品的一些運(yùn)維痛點(diǎn)。具體包含以下幾點(diǎn)：

1. 符合等保三級(jí)的合規(guī)要求

JumpServer堡壘機(jī)是符合4A規(guī)范的運(yùn)維安全審計(jì)系統(tǒng)，并且獲得了公安部頒發(fā)的《計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證》。在功能上，JumpServer堡壘機(jī)滿足了國(guó)家三級(jí)等保方案中對(duì)堡壘機(jī)功能的具體要求，可以幫助企業(yè)快速構(gòu)建身份鑒別、訪問(wèn)控制、安全審計(jì)等方面的能力，為華鼎供應(yīng)鏈通過(guò)等保三級(jí)認(rèn)證提供了強(qiáng)有力的支持；

2. 權(quán)限分離控制

通過(guò)JumpServer，企業(yè)可以實(shí)現(xiàn)用戶個(gè)人權(quán)限的責(zé)任化，每個(gè)用戶都有獨(dú)立的賬號(hào)密碼進(jìn)行登錄訪問(wèn)，杜絕了賬號(hào)共用的情況。管理員還能夠?qū)τ脩舻脑L問(wèn)以及操作權(quán)限進(jìn)行控制，一旦出現(xiàn)問(wèn)題，可以有效避免推諉扯皮現(xiàn)象的發(fā)生；

3. 事件追蹤溯源

通過(guò)JumpServer的錄像審計(jì)功能，一旦系統(tǒng)發(fā)生故障或者安全事故，管理員可以通過(guò)查看操作錄像來(lái)查找問(wèn)題的根源，記錄事件發(fā)生的原由，快速定位責(zé)任人，回顧運(yùn)維事故，避免事故的再次發(fā)生。

JumpServer的使用經(jīng)驗(yàn)

2021年7月，JumpServer正式在華鼎供應(yīng)鏈上線，并在公司內(nèi)部推廣使用，至今已穩(wěn)定運(yùn)行將近兩年的時(shí)間。針對(duì)JumpServer的部署和日常運(yùn)維，華鼎供應(yīng)鏈希望分享的經(jīng)驗(yàn)包括：

1. 單點(diǎn)故障風(fēng)險(xiǎn)預(yù)防

目前華鼎供應(yīng)鏈采用的是JumpServer單機(jī)部署的部署方式，如果系統(tǒng)發(fā)生故障，就會(huì)影響正常的運(yùn)維工作。為保障系統(tǒng)的正常運(yùn)行，運(yùn)維團(tuán)隊(duì)使用Zabbix監(jiān)控系統(tǒng)來(lái)監(jiān)控JumpServer堡壘機(jī)所在服務(wù)器的運(yùn)行狀態(tài)，實(shí)時(shí)檢測(cè)端口、磁盤(pán)等信息，一旦出現(xiàn)異常及時(shí)發(fā)布告警信息，實(shí)現(xiàn)有效預(yù)警。

同時(shí)，通過(guò)云鏡像、數(shù)據(jù)庫(kù)備份等手段對(duì)堡壘機(jī)做好數(shù)據(jù)備份，以便出現(xiàn)故障后及時(shí)進(jìn)行數(shù)據(jù)恢復(fù)；

2. 云資產(chǎn)自動(dòng)同步

JumpServer支持對(duì)公有云、私有云資產(chǎn)的自動(dòng)同步。華鼎供應(yīng)鏈的系統(tǒng)架構(gòu)與資產(chǎn)已全部遷移至云端，管理員和用戶可以通過(guò)JumpServer實(shí)現(xiàn)云上資產(chǎn)的快速管理和訪問(wèn)，大幅提升了運(yùn)維效率；

3.?資產(chǎn)訪問(wèn)控制

華鼎供應(yīng)鏈位于云端的IT資產(chǎn)包括Linux服務(wù)器、Windows服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)等多種資產(chǎn)類(lèi)型。針對(duì)重要的資產(chǎn)，管理員需要設(shè)置資產(chǎn)登錄復(fù)核機(jī)制，并且對(duì)接釘釘進(jìn)行工單審批，以便于管理員掌控重要資產(chǎn)的人員訪問(wèn)信息。

同時(shí)，通過(guò)JumpServer還可以實(shí)現(xiàn)資源節(jié)流，根據(jù)項(xiàng)目的資源狀態(tài)合理調(diào)配資源，實(shí)時(shí)監(jiān)控資源變化，及時(shí)擴(kuò)張或者縮減云端資源，降低系統(tǒng)的整體運(yùn)行成本；

4. 定期改密

對(duì)于不再使用的資產(chǎn)，管理員需要及時(shí)回收資產(chǎn)的賬號(hào)密碼。管理員還可以對(duì)所有資產(chǎn)進(jìn)行定期批量修改密碼，并根據(jù)用戶需求制定不同的密碼策略，有效防止資產(chǎn)賬號(hào)密碼的泄露，有效保護(hù)云端資產(chǎn)的安全性；

5.?運(yùn)維管理制度的配合

對(duì)于堡壘機(jī)來(lái)說(shuō)，“產(chǎn)品解決運(yùn)維審計(jì)的需求”只是其價(jià)值落地的一個(gè)方面。另一方面，堡壘機(jī)的高效使用還需要配合嚴(yán)謹(jǐn)?shù)倪\(yùn)維管理制度。企業(yè)需要根據(jù)自身內(nèi)部要求制定完善的運(yùn)維管理制度，摒棄以往直連資產(chǎn)的方式，要求所有用戶必須通過(guò)JumpServer訪問(wèn)資產(chǎn)，不允許直連資產(chǎn)。有了制度的保障，企業(yè)才能更好地實(shí)現(xiàn)安全審計(jì)的目標(biāo)。