齊治科技堡壘主機(jī)系統(tǒng)技術(shù)白皮書

1、齊治科技運(yùn)維操作管理系統(tǒng)齊治科技運(yùn)維操作管理系統(tǒng)白皮書白皮書浙江齊治科技有限公司浙江齊治科技有限公司版本版本 浙江齊治科技有限公司浙江齊治科技有限公司 讓運(yùn)維操作盡在掌控之中讓運(yùn)維操作盡在掌控之中( (- 2 -）聲明聲明本文件所有權(quán)和解釋權(quán)歸齊治科技所有，未經(jīng)齊治科技書面許可，不得復(fù)制或向第三方公開。修訂歷史記錄（版本控制）修訂歷史記錄（版本控制）版本號(hào)版本號(hào)作者作者審核人審核人文檔類型文檔類型保密級(jí)別保密級(jí)別完成日期完成日期V2.0.0薛斌AA2013-5-18（文檔類型 A-內(nèi)部歸檔類， D-外部交付類）（保密級(jí)別 A-公開，B-有選擇公開，C-不公開） 浙江齊治科技有限公司浙江齊治科技

2、有限公司 讓運(yùn)維操作盡在掌控之中讓運(yùn)維操作盡在掌控之中( (- 3 -）目目 錄錄第一章第一章概述概述.4第二章第二章齊治簡(jiǎn)介齊治簡(jiǎn)介.4第三章第三章方案設(shè)計(jì)方案設(shè)計(jì).5架構(gòu)藍(lán)圖.5功能框架.5第四章第四章主要功能介紹主要功能介紹.6集中管理，實(shí)現(xiàn)統(tǒng)一入口.6身份管理，實(shí)現(xiàn)用戶實(shí)名.6訪問(wèn)控制，防止非授權(quán)訪問(wèn).7權(quán)限控制，實(shí)現(xiàn)主動(dòng)預(yù)防.7應(yīng)用發(fā)布，實(shí)現(xiàn)客戶端集中管理.7實(shí)時(shí)監(jiān)控，實(shí)現(xiàn)操作透明.7會(huì)話共享，實(shí)現(xiàn)遠(yuǎn)程協(xié)助.7操作審計(jì)，實(shí)現(xiàn)事后追溯和舉證.7操作搜索，實(shí)現(xiàn)快速定位.8自動(dòng)運(yùn)維，提升工作效率.8第五章第五章方案優(yōu)勢(shì)分析方案優(yōu)勢(shì)分析.8功能最先進(jìn).8產(chǎn)品最安全.9方案最成熟.9第六章第六

3、章客戶收益客戶收益.9規(guī)范操作管理.9規(guī)避操作風(fēng)險(xiǎn).10第七章第七章拓?fù)浣Y(jié)構(gòu)拓?fù)浣Y(jié)構(gòu).10第八章第八章主要案例介紹主要案例介紹.11 浙江齊治科技有限公司浙江齊治科技有限公司 讓運(yùn)維操作盡在掌控之中讓運(yùn)維操作盡在掌控之中( (- 4 -） 第一章第一章概述概述當(dāng)前 IT 技術(shù)正在成為諸多企業(yè)的神經(jīng)中樞，越來(lái)越多的企業(yè)希望借助 IT技術(shù)這一關(guān)鍵的戰(zhàn)略資源提升公司的競(jìng)爭(zhēng)優(yōu)勢(shì)，進(jìn)而實(shí)現(xiàn)公司的戰(zhàn)略目標(biāo)。然而，隨著網(wǎng)絡(luò)建設(shè)和系統(tǒng)部署越來(lái)越深入，大多數(shù)企業(yè)面臨著如何確保業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)行的難題。復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)、人員結(jié)構(gòu)和管理結(jié)構(gòu)使得 IT 運(yùn)維管理和企業(yè)生產(chǎn)運(yùn)作間的矛盾日益凸顯。日益發(fā)展變化的生產(chǎn)業(yè)務(wù)結(jié)構(gòu)

4、對(duì)基礎(chǔ) IT 運(yùn)維操作的管理、審計(jì)等諸多方面提出了嚴(yán)峻的挑戰(zhàn)。然而，龐大的運(yùn)維結(jié)構(gòu)復(fù)雜的運(yùn)維管理都給整體的管理增加了很大的難度，從而使得運(yùn)維過(guò)程中的風(fēng)險(xiǎn)不易控制。同時(shí)國(guó)家也出臺(tái)了相關(guān)的法律法規(guī)，如ISO270001、金融行業(yè)風(fēng)險(xiǎn)指引、內(nèi)控、安全等級(jí)保護(hù)等，要求在訪問(wèn)控制、操作審計(jì)等諸多方面做得更加全面有效的管理。故此需要通過(guò)有效的技術(shù)手段來(lái)降低運(yùn)維風(fēng)險(xiǎn)、規(guī)范運(yùn)維操作符合相關(guān)法律法規(guī)要求。第二章第二章齊治簡(jiǎn)介齊治簡(jiǎn)介浙江齊治科技有限公司，原杭州奇智信息科技有限公司，成立于 2005 年，是國(guó)內(nèi)唯一專注于運(yùn)維操作管理領(lǐng)域的高科技企業(yè)，致力于成為領(lǐng)先的的運(yùn)維操作審計(jì)的供應(yīng)商。公司率先于業(yè)內(nèi)提出了“運(yùn)

5、維操作也需要管理”的理念，創(chuàng)新的通過(guò)操作網(wǎng)關(guān)（堡壘機(jī)）對(duì)運(yùn)維操作進(jìn)行有效的管理，幫助用戶規(guī)范運(yùn)維操作管理，加強(qiáng)操作審計(jì)，規(guī)避操作風(fēng)險(xiǎn)，提高 IT 運(yùn)維的內(nèi)控能力。齊治科技運(yùn)維操作管理系統(tǒng)（以下簡(jiǎn)稱 Shterm），立足于領(lǐng)先的命令結(jié)果精確識(shí)別技術(shù)，從操作層解決了企業(yè)與組織中現(xiàn)存的 IT 內(nèi)控與管理的相關(guān)問(wèn)題，特別針對(duì)目前安全與運(yùn)維操作管理中出現(xiàn)的突出的運(yùn)維操作的風(fēng)險(xiǎn)問(wèn)題，從賬號(hào)管理、密碼管理、權(quán)限控制、操作審計(jì)等方面，提供了穩(wěn)定、安全、方便、可行性強(qiáng)的解決方案，從而根本上改變了現(xiàn)有的管理模式，消除了固有的弊端，使運(yùn)維操作管理進(jìn)入一個(gè)真正安全與便利相結(jié)合的階段，幫助客戶使運(yùn)維操作管理變得更加簡(jiǎn)單

6、、安全、有效。 浙江齊治科技有限公司浙江齊治科技有限公司 讓運(yùn)維操作盡在掌控之中讓運(yùn)維操作盡在掌控之中( (- 5 -）第三章第三章方案設(shè)計(jì)方案設(shè)計(jì)架構(gòu)藍(lán)圖架構(gòu)藍(lán)圖功能框架功能框架集中管理是前提：集中管理是前提：只有集中以后才能夠?qū)崿F(xiàn)統(tǒng)一管理，只有集中管理才能把復(fù)雜問(wèn)題簡(jiǎn)單化，分散是無(wú)法談得上管理的，集中是運(yùn)維管理發(fā)展的必然趨勢(shì)，也是唯一的選擇。 浙江齊治科技有限公司浙江齊治科技有限公司 讓運(yùn)維操作盡在掌控之中讓運(yùn)維操作盡在掌控之中( (- 6 -）身份管理是基礎(chǔ)：身份管理是基礎(chǔ)：身份管理解決的是維護(hù)操作者的身份問(wèn)題。身份是用來(lái)識(shí)別和確認(rèn)操作者的，因?yàn)樗械牟僮鞫际怯脩舭l(fā)起的，如果我們連操作的

7、用戶身份都無(wú)法確認(rèn)，那么不管我們?cè)趺纯刂?，怎么審?jì)都無(wú)法準(zhǔn)確的定位操作責(zé)任人。所以身份管理是基礎(chǔ)。訪問(wèn)控制是手段：訪問(wèn)控制是手段：操作者身份確定后，下一個(gè)問(wèn)題就是他能訪問(wèn)什么資源、你能在目標(biāo)資源上做什么操作。如果操作者可以隨心所欲訪問(wèn)任何資源、在資源上做任何操作，就等于沒(méi)了控制，所以需要通過(guò)訪問(wèn)控制這種手段去限制合法操作者合法訪問(wèn)資源，有效降低未授權(quán)訪問(wèn)所帶來(lái)的風(fēng)險(xiǎn)。操作審計(jì)是保證：操作審計(jì)是保證：操作審計(jì)要保證在出了事故以后快速定位操作者和事故原因，還原事故現(xiàn)場(chǎng)和舉證。另外一個(gè)方面操作審計(jì)做為一種驗(yàn)證機(jī)制，驗(yàn)證和保證集中管理，身份管理，訪問(wèn)控制，權(quán)限控制策略的有效性。自動(dòng)運(yùn)維是目標(biāo)：自動(dòng)運(yùn)維

8、是目標(biāo)：操作自動(dòng)化是運(yùn)維操作管理的終極目標(biāo)，通過(guò)讓該功能，可讓堡壘機(jī)自動(dòng)幫助運(yùn)維人員執(zhí)行各種常規(guī)操作，從而達(dá)到降低運(yùn)維復(fù)雜度、提高運(yùn)維效率的目的。第四章第四章主要功能介紹主要功能介紹集中管理，集中管理，實(shí)現(xiàn)統(tǒng)一入口實(shí)現(xiàn)統(tǒng)一入口部署完成后， Shterm 作為后臺(tái)設(shè)備訪問(wèn)的唯一入口，用戶對(duì)后臺(tái)設(shè)備運(yùn)維必須要先登錄到 shterm 上，然后根據(jù)管理員預(yù)先設(shè)置好的訪問(wèn)規(guī)則，自動(dòng)登錄到后臺(tái)設(shè)備上去。身份管理，實(shí)現(xiàn)用戶實(shí)名身份管理，實(shí)現(xiàn)用戶實(shí)名提供主從帳號(hào)管理，讓用戶的身份和具體的操作對(duì)應(yīng)起來(lái)，從而實(shí)現(xiàn)用戶實(shí)名制管理。支持多種認(rèn)證方式，包括本地靜態(tài)認(rèn)證、TOTP 認(rèn)證，為第三方 AD 域、LDAP、ra

9、dius、iso8583 認(rèn)證提供接口。 浙江齊治科技有限公司浙江齊治科技有限公司 讓運(yùn)維操作盡在掌控之中讓運(yùn)維操作盡在掌控之中( (- 7 -）訪問(wèn)控制，防止非授權(quán)訪問(wèn)訪問(wèn)控制，防止非授權(quán)訪問(wèn)基于用戶/用戶組、設(shè)備/設(shè)備組、系統(tǒng)帳號(hào)、協(xié)議類型、登錄規(guī)則來(lái)設(shè)置詳細(xì)的訪問(wèn)控制規(guī)則，徹底杜絕了非授權(quán)訪問(wèn)所帶來(lái)的問(wèn)題。同時(shí)還可以提供對(duì)核心設(shè)備登錄時(shí)候的雙人授權(quán)功能。權(quán)限控制，實(shí)現(xiàn)主動(dòng)預(yù)防權(quán)限控制，實(shí)現(xiàn)主動(dòng)預(yù)防基于用戶/用戶組、設(shè)備/設(shè)備組、系統(tǒng)帳號(hào)、時(shí)間、命令、動(dòng)作來(lái)設(shè)定詳細(xì)的權(quán)限控制規(guī)則，支持命令操作黑白名單；應(yīng)用發(fā)布，實(shí)現(xiàn)客戶端集中管理應(yīng)用發(fā)布，實(shí)現(xiàn)客戶端集中管理可選應(yīng)用發(fā)布模塊，實(shí)現(xiàn)在 Web

10、 界面直接發(fā)布安裝在某臺(tái) windows 服務(wù)器上的各類客戶端/應(yīng)用程序，如 citrix 客戶端、sqlplus、secureCRT、toad 等，避免客戶端本地安裝導(dǎo)致難于管理的問(wèn)題，同時(shí)實(shí)現(xiàn)了操作數(shù)據(jù)異地駐留，提升數(shù)據(jù)安全度；實(shí)時(shí)監(jiān)控，實(shí)現(xiàn)操作透明實(shí)時(shí)監(jiān)控，實(shí)現(xiàn)操作透明對(duì)于普通用戶登錄到目標(biāo)設(shè)備上正在進(jìn)行的任意類型操作，審計(jì)管理員可以再 Shterm 的 WEB 界面做到實(shí)時(shí)監(jiān)控和切斷，做到邊操作邊審計(jì)，真正實(shí)現(xiàn)實(shí)現(xiàn)操作透明；會(huì)話共享，實(shí)現(xiàn)遠(yuǎn)程協(xié)助會(huì)話共享，實(shí)現(xiàn)遠(yuǎn)程協(xié)助Shterm 可以可讓多位運(yùn)維人員共享同一個(gè)圖形會(huì)話，參與人員擁有同樣的操作權(quán)限，同時(shí)會(huì)話共享邀請(qǐng)人擁有對(duì)參與人員的踢出

11、權(quán)限。操作審計(jì)，實(shí)現(xiàn)操作審計(jì)，實(shí)現(xiàn)事后追溯和舉證事后追溯和舉證完整記錄用戶在目標(biāo)設(shè)備上進(jìn)行的 Telnet、SSH、RDP、XRDP、VNC、X-Windows、Xfwd、Http、FTP、SFTP、SCP 等協(xié)議的所有操作行為和第三方客戶端工具的操作行為，如 citrix 客戶端、PL/SQL、SQLPLUS、TOAD 等工具；獨(dú)家“命令精準(zhǔn)識(shí)別”的專利技術(shù)，確保對(duì)各種常規(guī)、非常規(guī)命令操作的準(zhǔn)確識(shí)別； 浙江齊治科技有限公司浙江齊治科技有限公司 讓運(yùn)維操作盡在掌控之中讓運(yùn)維操作盡在掌控之中( (- 8 -）錄像方式記錄用戶的圖形操作過(guò)程，并且還可以實(shí)現(xiàn)文本方式完整記錄用戶的鍵盤鼠標(biāo)敲擊、復(fù)制粘

12、貼操作，并能對(duì)操作界面進(jìn)行問(wèn)題模糊識(shí)別，記錄的內(nèi)容和圖形審計(jì)相關(guān)聯(lián)；可選的數(shù)據(jù)庫(kù)審計(jì)模塊，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)客戶端操作所對(duì)應(yīng)的 sql 語(yǔ)句的100%文本審計(jì)，語(yǔ)句可以和圖形審計(jì)相關(guān)聯(lián)；操作搜索，實(shí)現(xiàn)快速定位操作搜索，實(shí)現(xiàn)快速定位對(duì)字符操作記錄，按照時(shí)間、用戶賬號(hào)、目標(biāo)設(shè)備、系統(tǒng)賬號(hào)、命令關(guān)鍵字進(jìn)行搜索，在最短的時(shí)間內(nèi)找到相關(guān)日志內(nèi)容，實(shí)現(xiàn)快速定位；對(duì)圖形操作記錄，根據(jù)鍵盤輸入、剪貼板操作、模糊識(shí)別的內(nèi)容、URL 地址為關(guān)鍵字進(jìn)行查詢定位；針對(duì)數(shù)據(jù)庫(kù)操作記錄，可以根據(jù) SQL 語(yǔ)句的內(nèi)容為關(guān)鍵字進(jìn)行查詢定位；所有查詢的結(jié)果可以和圖形操作過(guò)程關(guān)聯(lián)回放；自動(dòng)運(yùn)維，提升工作效率自動(dòng)運(yùn)維，提升工作效率密碼托

13、管，自動(dòng)改密；網(wǎng)絡(luò)設(shè)備配置自動(dòng)備份；Unix 系統(tǒng)腳本自動(dòng)執(zhí)行；報(bào)表自動(dòng)化；第五章第五章方案優(yōu)勢(shì)分析方案優(yōu)勢(shì)分析功能最先進(jìn)功能最先進(jìn) 唯一在運(yùn)維審計(jì)域獲得國(guó)家發(fā)明專利及香港發(fā)明專利的產(chǎn)品（且兩項(xiàng)專利）； 唯一實(shí)現(xiàn)圖形操作模糊識(shí)別的產(chǎn)品； 唯一實(shí)現(xiàn)圖形會(huì)話關(guān)鍵字（鍵盤輸入、剪貼板、模糊識(shí)別、URL 地址）檢索的產(chǎn)品； 唯一實(shí)現(xiàn)圖形操作無(wú)延時(shí)前后拖拉回放的產(chǎn)品； 唯一提供設(shè)備密碼修改容錯(cuò)性保證的產(chǎn)品； 浙江齊治科技有限公司浙江齊治科技有限公司 讓運(yùn)維操作盡在掌控之中讓運(yùn)維操作盡在掌控之中( (- 9 -） 唯一實(shí)現(xiàn) citrix 方式的應(yīng)用發(fā)布的產(chǎn)品； 唯一內(nèi)置動(dòng)態(tài)認(rèn)證服務(wù)器的產(chǎn)品； 唯一可實(shí)現(xiàn)堡

14、壘機(jī)方式的數(shù)據(jù)庫(kù)審計(jì)（100%記錄所有 sql 語(yǔ)句，并實(shí)現(xiàn)sql 與圖形審計(jì)關(guān)聯(lián)）的產(chǎn)品；產(chǎn)品最安全產(chǎn)品最安全Shterm 是以安全性為基礎(chǔ)構(gòu)建堅(jiān)實(shí)的運(yùn)維堡壘，是業(yè)內(nèi)唯一不存在中高級(jí)安全漏洞、對(duì)外不開放非安全端口的產(chǎn)品。 只開放 3 個(gè)端口（22、443 和 5899），徹底杜絕 telnet、ftp、rdp 等非安全服務(wù)端口開放； 使用 SSL、SSH 封裝傳輸過(guò)程； 唯一同時(shí)擁有國(guó)家保密局和中國(guó)國(guó)家信息安全產(chǎn)品認(rèn)證的；方案最成熟方案最成熟 在申廣發(fā)證券交易網(wǎng)、申銀萬(wàn)國(guó)、中德證券、安信證券、金元證券、深圳證券信息等證券類客戶處得到過(guò)大規(guī)模使用； 唯一市場(chǎng)化時(shí)間超過(guò)六年以上； 唯一在單個(gè)用戶

15、超過(guò) 2,300 個(gè)并發(fā)用戶環(huán)境成功部署； 唯一在單個(gè)用戶超過(guò) 10,000 臺(tái)服務(wù)器環(huán)境成功部署； 唯一在單個(gè)用戶超過(guò) 2,000 臺(tái)網(wǎng)絡(luò)設(shè)備環(huán)境成功部署；第六章第六章客戶收益客戶收益規(guī)范操作管理規(guī)范操作管理 實(shí)現(xiàn)操作透明化 增強(qiáng)操作可控性 提高操作管理效率 浙江齊治科技有限公司浙江齊治科技有限公司 讓運(yùn)維操作盡在掌控之中讓運(yùn)維操作盡在掌控之中( (- 10 -）規(guī)避操作風(fēng)險(xiǎn)規(guī)避操作風(fēng)險(xiǎn) 法律規(guī)范遵從 有效監(jiān)管代維廠商 完善責(zé)任認(rèn)定體系第七章第七章拓?fù)浣Y(jié)構(gòu)拓?fù)浣Y(jié)構(gòu)在當(dāng)前運(yùn)維環(huán)境中部署了 shterm 之后，拓?fù)浣Y(jié)構(gòu)如下：部署說(shuō)明部署說(shuō)明支持雙機(jī) HA 部署；部署方式是物理旁路，邏輯串接；集中管理的一個(gè)標(biāo)志就是入口唯一，Shterm 是用戶操作的唯一入口；部署唯一條件是 Shterm 與被管理的設(shè)備之間 IP 可達(dá)，協(xié)議可訪問(wèn)。在部署過(guò)程中，不需要調(diào)整任何網(wǎng)絡(luò)架構(gòu)，不需要安裝任何代理程序；目標(biāo)設(shè)備登錄過(guò)程：用戶用唯一的用戶帳號(hào)登錄到 shterm 上，然后Sht