——大福（中國）有限公司 沈工

日本大福株式會社（DAIFUKU）成立于1937年，是全球領(lǐng)先的物料搬運系統(tǒng)集成商，同時也是全球TOP20的半導(dǎo)體廠商。該集團始終致力于提升其在物料搬運領(lǐng)域的專業(yè)知識，在制造、物流和服務(wù)行業(yè)為眾多客戶提供服務(wù)。目前，集團已在25個國家和地區(qū)設(shè)立了辦事處和生產(chǎn)基地，海外銷售額占總銷售額的67%。

大福（集團）公司從2002年起全面進入中國市場，成立大福（中國）有限公司（以下簡稱為大福中國）。大福中國面向汽車制造、流通及基礎(chǔ)制造、半導(dǎo)體及液晶制造等領(lǐng)域的物流系統(tǒng)先后設(shè)立了5家全資子公司，以及13處服務(wù)網(wǎng)點。

大福中國的IT運維管理現(xiàn)狀

大福中國目前包含上?？偣?、分公司以及第三方服務(wù)公司，公司之間通過VPN建立網(wǎng)絡(luò)連接，用戶可以直接通過桌面上的共享特權(quán)帳戶訪問服務(wù)器資源。

作為一家IT資產(chǎn)布局相對分散的企業(yè)用戶，大福中國在IT系統(tǒng)運維方面面臨的痛點問題包括：

■?桌面共享賬戶系統(tǒng)無法識別誰是實際的使用用戶，因此無法對用戶的登錄行為進行審計，很難有效防止用戶身份的冒用和復(fù)用，資產(chǎn)信息存在一定的安全隱患；

■?公司缺乏有效的日志審計手段，包括用戶登錄日志、操作日志、命令執(zhí)行日志等，出現(xiàn)安全事故后無法進行有效追溯，也沒有相應(yīng)的分析依據(jù)進行事后審計；

■?主機及用戶的用戶名和密碼無法統(tǒng)一進行管理，用戶登錄沒有認證復(fù)核的手段，導(dǎo)致人員和資產(chǎn)無法統(tǒng)一進行管理，權(quán)限無法進行精細劃分；

■?客戶端網(wǎng)絡(luò)能夠直接訪問服務(wù)器子網(wǎng)，包括遠程控制臺服務(wù)等，同時缺乏統(tǒng)一的用戶登錄入口。這樣一來，很難防止內(nèi)部用戶的誤操作行為，并且可能會導(dǎo)致權(quán)限被濫用的情況發(fā)生。

除了以上這些痛點問題，通過等保認證也在大福中國的IT系統(tǒng)建設(shè)規(guī)劃范圍內(nèi)。在滿足等保合規(guī)要求的基礎(chǔ)之上，大福中國還希望新構(gòu)建的運維安全審計系統(tǒng)具備以下的管理與審計能力：

1. 能夠?qū)崿F(xiàn)SAP生產(chǎn)系統(tǒng)及關(guān)聯(lián)系統(tǒng)相關(guān)的管理和審計；

2. 由上?？偛拷y(tǒng)一對全國各個分支機構(gòu)和第三方服務(wù)賬戶進行管理，包括資產(chǎn)添加、授權(quán)等操作；

3. 通過儀表板實時監(jiān)控全國各個分支機構(gòu)的資產(chǎn)信息，包括在線用戶、資產(chǎn)數(shù)量、資產(chǎn)用戶等信息。

JumpServer堡壘機交付的價值

大福中國使用JumpServer堡壘機已經(jīng)有兩年的時間了，運維人員在日常工作中會頻繁使用到JumpServer堡壘機，是深度使用的用戶。

在堡壘機選型初期，大福中國的運維管理團隊對比了市面上的一些堡壘機品牌，最終選擇了JumpServer。究其原因，一方面是公司層面近期有通過等保合規(guī)認證方面的規(guī)劃，另一方面也是JumpServer解決了公司在實際運維工作中所面臨的問題。

依托JumpServer堡壘機，從產(chǎn)品功能和售后服務(wù)的角度，大福中國獲得了很多價值收益，有效解決了公司在運維管理方面遇到的痛點問題，滿足了公司對于堡壘機的期望，使得公司的IT運維工作變得更加高效和安全。JumpServer堡壘機為大福中國帶來的安全運維能力和管理便利包括：

1. 賬號信息托管

■?在使用JumpServer之前，管理人員無法統(tǒng)一管理設(shè)備的用戶名和密碼，也無法有效落實公司定期修改設(shè)備密碼的規(guī)定。部署了JumpServer之后，管理員可以通過JumpServer的“改密計劃”功能定期修改資產(chǎn)密碼，滿足了公司對資產(chǎn)安全管理的要求；

■?JumpServer的“用戶收集”功能讓大福中國能夠及時管理一些離職或者職位變動的同事的賬號密碼，防止這些賬號發(fā)生泄露，排除安全隱患；

■?通過“密碼匣子”功能將資產(chǎn)/應(yīng)用的密碼導(dǎo)出備份，滿足了企業(yè)對于密碼管理的要求。同時，通過賬號備份功能定期發(fā)送密碼備份至管理員的郵箱，防止密碼記錄的遺失；

■?通過多因子認證等登錄認證功能保證密碼安全，提升密碼存儲的安全性。

2. 組織管理

大福中國在全國擁有數(shù)家分公司以及很多第三方服務(wù)商，維護人員眾多，部分設(shè)備的維護還是交由第三方服務(wù)廠商完成的。這就造成了系統(tǒng)維護操作的相對分散，權(quán)限變更也較為復(fù)雜。第三方服務(wù)廠商的售后人員能夠直接接觸到系統(tǒng)和服務(wù)器，存在比較大的安全隱患。

部署JumpServer之后，大福中國通過JumpServer的多組織管理功能，將當(dāng)前環(huán)境分為多個獨立組織，每個組織單獨設(shè)置組織管理員，賦予獨立的設(shè)置權(quán)限。總公司的管理員可以通過根組織對總體運維環(huán)境進行“上帝視角”的查看，達到了“一套堡壘機當(dāng)多套使用”的效果。

3. 定期巡檢與售后支持

JumpServer企業(yè)版的售后支持服務(wù)提供堡壘機的定期巡檢服務(wù)和巡檢報告，有效保障了大福中國日常運維工作的穩(wěn)定進行，發(fā)現(xiàn)問題及時進行排查解決。

遇到JumpServer大版本更新的時候，JumpServer的售后團隊會給出專業(yè)的評估和升級建議，共同制定升級規(guī)劃，并在升級過程中提供專業(yè)技術(shù)支持。

整體部署使用下來，大福中國認為JumpServer是一款操作非常簡單的堡壘機，用戶使用門檻較低，管理員使用堡壘機的學(xué)習(xí)成本也相對較低。另外，無論是客戶端維護還是Web終端維護，JumpServer都能提供比較好的使用體驗，即使是新手也能快速上手使用。