齊治科技堡壘主機系統(tǒng)技術白皮書

1、齊治科技運維操作管理系統(tǒng)齊治科技運維操作管理系統(tǒng)白皮書白皮書浙江齊治科技有限公司浙江齊治科技有限公司版本版本 浙江齊治科技有限公司浙江齊治科技有限公司 讓運維操作盡在掌控之中讓運維操作盡在掌控之中( (- 2 -）聲明聲明本文件所有權和解釋權歸齊治科技所有，未經齊治科技書面許可，不得復制或向第三方公開。修訂歷史記錄（版本控制）修訂歷史記錄（版本控制）版本號版本號作者作者審核人審核人文檔類型文檔類型保密級別保密級別完成日期完成日期V2.0.0薛斌AA2013-5-18（文檔類型 A-內部歸檔類， D-外部交付類）（保密級別 A-公開，B-有選擇公開，C-不公開） 浙江齊治科技有限公司浙江齊治科技

2、有限公司 讓運維操作盡在掌控之中讓運維操作盡在掌控之中( (- 3 -）目目 錄錄第一章第一章概述概述.4第二章第二章齊治簡介齊治簡介.4第三章第三章方案設計方案設計.5架構藍圖.5功能框架.5第四章第四章主要功能介紹主要功能介紹.6集中管理，實現(xiàn)統(tǒng)一入口.6身份管理，實現(xiàn)用戶實名.6訪問控制，防止非授權訪問.7權限控制，實現(xiàn)主動預防.7應用發(fā)布，實現(xiàn)客戶端集中管理.7實時監(jiān)控，實現(xiàn)操作透明.7會話共享，實現(xiàn)遠程協(xié)助.7操作審計，實現(xiàn)事后追溯和舉證.7操作搜索，實現(xiàn)快速定位.8自動運維，提升工作效率.8第五章第五章方案優(yōu)勢分析方案優(yōu)勢分析.8功能最先進.8產品最安全.9方案最成熟.9第六章第六

3、章客戶收益客戶收益.9規(guī)范操作管理.9規(guī)避操作風險.10第七章第七章拓撲結構拓撲結構.10第八章第八章主要案例介紹主要案例介紹.11 浙江齊治科技有限公司浙江齊治科技有限公司 讓運維操作盡在掌控之中讓運維操作盡在掌控之中( (- 4 -） 第一章第一章概述概述當前 IT 技術正在成為諸多企業(yè)的神經中樞，越來越多的企業(yè)希望借助 IT技術這一關鍵的戰(zhàn)略資源提升公司的競爭優(yōu)勢，進而實現(xiàn)公司的戰(zhàn)略目標。然而，隨著網絡建設和系統(tǒng)部署越來越深入，大多數(shù)企業(yè)面臨著如何確保業(yè)務系統(tǒng)的穩(wěn)定運行的難題。復雜的網絡結構、人員結構和管理結構使得 IT 運維管理和企業(yè)生產運作間的矛盾日益凸顯。日益發(fā)展變化的生產業(yè)務結構

4、對基礎 IT 運維操作的管理、審計等諸多方面提出了嚴峻的挑戰(zhàn)。然而，龐大的運維結構復雜的運維管理都給整體的管理增加了很大的難度，從而使得運維過程中的風險不易控制。同時國家也出臺了相關的法律法規(guī)，如ISO270001、金融行業(yè)風險指引、內控、安全等級保護等，要求在訪問控制、操作審計等諸多方面做得更加全面有效的管理。故此需要通過有效的技術手段來降低運維風險、規(guī)范運維操作符合相關法律法規(guī)要求。第二章第二章齊治簡介齊治簡介浙江齊治科技有限公司，原杭州奇智信息科技有限公司，成立于 2005 年，是國內唯一專注于運維操作管理領域的高科技企業(yè)，致力于成為領先的的運維操作審計的供應商。公司率先于業(yè)內提出了“運

5、維操作也需要管理”的理念，創(chuàng)新的通過操作網關（堡壘機）對運維操作進行有效的管理，幫助用戶規(guī)范運維操作管理，加強操作審計，規(guī)避操作風險，提高 IT 運維的內控能力。齊治科技運維操作管理系統(tǒng)（以下簡稱 Shterm），立足于領先的命令結果精確識別技術，從操作層解決了企業(yè)與組織中現(xiàn)存的 IT 內控與管理的相關問題，特別針對目前安全與運維操作管理中出現(xiàn)的突出的運維操作的風險問題，從賬號管理、密碼管理、權限控制、操作審計等方面，提供了穩(wěn)定、安全、方便、可行性強的解決方案，從而根本上改變了現(xiàn)有的管理模式，消除了固有的弊端，使運維操作管理進入一個真正安全與便利相結合的階段，幫助客戶使運維操作管理變得更加簡單

6、、安全、有效。 浙江齊治科技有限公司浙江齊治科技有限公司 讓運維操作盡在掌控之中讓運維操作盡在掌控之中( (- 5 -）第三章第三章方案設計方案設計架構藍圖架構藍圖功能框架功能框架集中管理是前提：集中管理是前提：只有集中以后才能夠實現(xiàn)統(tǒng)一管理，只有集中管理才能把復雜問題簡單化，分散是無法談得上管理的，集中是運維管理發(fā)展的必然趨勢，也是唯一的選擇。 浙江齊治科技有限公司浙江齊治科技有限公司 讓運維操作盡在掌控之中讓運維操作盡在掌控之中( (- 6 -）身份管理是基礎：身份管理是基礎：身份管理解決的是維護操作者的身份問題。身份是用來識別和確認操作者的，因為所有的操作都是用戶發(fā)起的，如果我們連操作的

7、用戶身份都無法確認，那么不管我們怎么控制，怎么審計都無法準確的定位操作責任人。所以身份管理是基礎。訪問控制是手段：訪問控制是手段：操作者身份確定后，下一個問題就是他能訪問什么資源、你能在目標資源上做什么操作。如果操作者可以隨心所欲訪問任何資源、在資源上做任何操作，就等于沒了控制，所以需要通過訪問控制這種手段去限制合法操作者合法訪問資源，有效降低未授權訪問所帶來的風險。操作審計是保證：操作審計是保證：操作審計要保證在出了事故以后快速定位操作者和事故原因，還原事故現(xiàn)場和舉證。另外一個方面操作審計做為一種驗證機制，驗證和保證集中管理，身份管理，訪問控制，權限控制策略的有效性。自動運維是目標：自動運維

8、是目標：操作自動化是運維操作管理的終極目標，通過讓該功能，可讓堡壘機自動幫助運維人員執(zhí)行各種常規(guī)操作，從而達到降低運維復雜度、提高運維效率的目的。第四章第四章主要功能介紹主要功能介紹集中管理，集中管理，實現(xiàn)統(tǒng)一入口實現(xiàn)統(tǒng)一入口部署完成后， Shterm 作為后臺設備訪問的唯一入口，用戶對后臺設備運維必須要先登錄到 shterm 上，然后根據管理員預先設置好的訪問規(guī)則，自動登錄到后臺設備上去。身份管理，實現(xiàn)用戶實名身份管理，實現(xiàn)用戶實名提供主從帳號管理，讓用戶的身份和具體的操作對應起來，從而實現(xiàn)用戶實名制管理。支持多種認證方式，包括本地靜態(tài)認證、TOTP 認證，為第三方 AD 域、LDAP、ra

9、dius、iso8583 認證提供接口。 浙江齊治科技有限公司浙江齊治科技有限公司 讓運維操作盡在掌控之中讓運維操作盡在掌控之中( (- 7 -）訪問控制，防止非授權訪問訪問控制，防止非授權訪問基于用戶/用戶組、設備/設備組、系統(tǒng)帳號、協(xié)議類型、登錄規(guī)則來設置詳細的訪問控制規(guī)則，徹底杜絕了非授權訪問所帶來的問題。同時還可以提供對核心設備登錄時候的雙人授權功能。權限控制，實現(xiàn)主動預防權限控制，實現(xiàn)主動預防基于用戶/用戶組、設備/設備組、系統(tǒng)帳號、時間、命令、動作來設定詳細的權限控制規(guī)則，支持命令操作黑白名單；應用發(fā)布，實現(xiàn)客戶端集中管理應用發(fā)布，實現(xiàn)客戶端集中管理可選應用發(fā)布模塊，實現(xiàn)在 Web

10、 界面直接發(fā)布安裝在某臺 windows 服務器上的各類客戶端/應用程序，如 citrix 客戶端、sqlplus、secureCRT、toad 等，避免客戶端本地安裝導致難于管理的問題，同時實現(xiàn)了操作數(shù)據異地駐留，提升數(shù)據安全度；實時監(jiān)控，實現(xiàn)操作透明實時監(jiān)控，實現(xiàn)操作透明對于普通用戶登錄到目標設備上正在進行的任意類型操作，審計管理員可以再 Shterm 的 WEB 界面做到實時監(jiān)控和切斷，做到邊操作邊審計，真正實現(xiàn)實現(xiàn)操作透明；會話共享，實現(xiàn)遠程協(xié)助會話共享，實現(xiàn)遠程協(xié)助Shterm 可以可讓多位運維人員共享同一個圖形會話，參與人員擁有同樣的操作權限，同時會話共享邀請人擁有對參與人員的踢出

11、權限。操作審計，實現(xiàn)操作審計，實現(xiàn)事后追溯和舉證事后追溯和舉證完整記錄用戶在目標設備上進行的 Telnet、SSH、RDP、XRDP、VNC、X-Windows、Xfwd、Http、FTP、SFTP、SCP 等協(xié)議的所有操作行為和第三方客戶端工具的操作行為，如 citrix 客戶端、PL/SQL、SQLPLUS、TOAD 等工具；獨家“命令精準識別”的專利技術，確保對各種常規(guī)、非常規(guī)命令操作的準確識別； 浙江齊治科技有限公司浙江齊治科技有限公司 讓運維操作盡在掌控之中讓運維操作盡在掌控之中( (- 8 -）錄像方式記錄用戶的圖形操作過程，并且還可以實現(xiàn)文本方式完整記錄用戶的鍵盤鼠標敲擊、復制粘

12、貼操作，并能對操作界面進行問題模糊識別，記錄的內容和圖形審計相關聯(lián)；可選的數(shù)據庫審計模塊，實現(xiàn)對數(shù)據庫客戶端操作所對應的 sql 語句的100%文本審計，語句可以和圖形審計相關聯(lián)；操作搜索，實現(xiàn)快速定位操作搜索，實現(xiàn)快速定位對字符操作記錄，按照時間、用戶賬號、目標設備、系統(tǒng)賬號、命令關鍵字進行搜索，在最短的時間內找到相關日志內容，實現(xiàn)快速定位；對圖形操作記錄，根據鍵盤輸入、剪貼板操作、模糊識別的內容、URL 地址為關鍵字進行查詢定位；針對數(shù)據庫操作記錄，可以根據 SQL 語句的內容為關鍵字進行查詢定位；所有查詢的結果可以和圖形操作過程關聯(lián)回放；自動運維，提升工作效率自動運維，提升工作效率密碼托

13、管，自動改密；網絡設備配置自動備份；Unix 系統(tǒng)腳本自動執(zhí)行；報表自動化；第五章第五章方案優(yōu)勢分析方案優(yōu)勢分析功能最先進功能最先進 唯一在運維審計域獲得國家發(fā)明專利及香港發(fā)明專利的產品（且兩項專利）； 唯一實現(xiàn)圖形操作模糊識別的產品； 唯一實現(xiàn)圖形會話關鍵字（鍵盤輸入、剪貼板、模糊識別、URL 地址）檢索的產品； 唯一實現(xiàn)圖形操作無延時前后拖拉回放的產品； 唯一提供設備密碼修改容錯性保證的產品； 浙江齊治科技有限公司浙江齊治科技有限公司 讓運維操作盡在掌控之中讓運維操作盡在掌控之中( (- 9 -） 唯一實現(xiàn) citrix 方式的應用發(fā)布的產品； 唯一內置動態(tài)認證服務器的產品； 唯一可實現(xiàn)堡

14、壘機方式的數(shù)據庫審計（100%記錄所有 sql 語句，并實現(xiàn)sql 與圖形審計關聯(lián)）的產品；產品最安全產品最安全Shterm 是以安全性為基礎構建堅實的運維堡壘，是業(yè)內唯一不存在中高級安全漏洞、對外不開放非安全端口的產品。 只開放 3 個端口（22、443 和 5899），徹底杜絕 telnet、ftp、rdp 等非安全服務端口開放； 使用 SSL、SSH 封裝傳輸過程； 唯一同時擁有國家保密局和中國國家信息安全產品認證的；方案最成熟方案最成熟 在申廣發(fā)證券交易網、申銀萬國、中德證券、安信證券、金元證券、深圳證券信息等證券類客戶處得到過大規(guī)模使用； 唯一市場化時間超過六年以上； 唯一在單個用戶

15、超過 2,300 個并發(fā)用戶環(huán)境成功部署； 唯一在單個用戶超過 10,000 臺服務器環(huán)境成功部署； 唯一在單個用戶超過 2,000 臺網絡設備環(huán)境成功部署；第六章第六章客戶收益客戶收益規(guī)范操作管理規(guī)范操作管理 實現(xiàn)操作透明化 增強操作可控性 提高操作管理效率 浙江齊治科技有限公司浙江齊治科技有限公司 讓運維操作盡在掌控之中讓運維操作盡在掌控之中( (- 10 -）規(guī)避操作風險規(guī)避操作風險 法律規(guī)范遵從 有效監(jiān)管代維廠商 完善責任認定體系第七章第七章拓撲結構拓撲結構在當前運維環(huán)境中部署了 shterm 之后，拓撲結構如下：部署說明部署說明支持雙機 HA 部署；部署方式是物理旁路，邏輯串接；集中管理的一個標志就是入口唯一，Shterm 是用戶操作的唯一入口；部署唯一條件是 Shterm 與被管理的設備之間 IP 可達，協(xié)議可訪問。在部署過程中，不需要調整任何網絡架構，不需要安裝任何代理程序；目標設備登錄過程：用戶用唯一的用戶帳號登錄到 shterm 上，然后Sht