齐治科技堡垒主机系统技术白皮书

1、齐治科技运维操作管理系统齐治科技运维操作管理系统白皮书白皮书浙江齐治科技有限公司浙江齐治科技有限公司版本版本 浙江齐治科技有限公司浙江齐治科技有限公司 让运维操作尽在掌控之中让运维操作尽在掌控之中( (- 2 -）声明声明本文件所有权和解释权归齐治科技所有，未经齐治科技书面许可，不得复制或向第三方公开。修订历史记录（版本控制）修订历史记录（版本控制）版本号版本号作者作者审核人审核人文档类型文档类型保密级别保密级别完成日期完成日期V2.0.0薛斌AA2013-5-18（文档类型 A-内部归档类， D-外部交付类）（保密级别 A-公开，B-有选择公开，C-不公开） 浙江齐治科技有限公司浙江齐治科技

2、有限公司 让运维操作尽在掌控之中让运维操作尽在掌控之中( (- 3 -）目目 录录第一章第一章概述概述.4第二章第二章齐治简介齐治简介.4第三章第三章方案设计方案设计.5架构蓝图.5功能框架.5第四章第四章主要功能介绍主要功能介绍.6集中管理，实现统一入口.6身份管理，实现用户实名.6访问控制，防止非授权访问.7权限控制，实现主动预防.7应用发布，实现客户端集中管理.7实时监控，实现操作透明.7会话共享，实现远程协助.7操作审计，实现事后追溯和举证.7操作搜索，实现快速定位.8自动运维，提升工作效率.8第五章第五章方案优势分析方案优势分析.8功能最先进.8产品最安全.9方案最成熟.9第六章第六

3、章客户收益客户收益.9规范操作管理.9规避操作风险.10第七章第七章拓扑结构拓扑结构.10第八章第八章主要案例介绍主要案例介绍.11 浙江齐治科技有限公司浙江齐治科技有限公司 让运维操作尽在掌控之中让运维操作尽在掌控之中( (- 4 -） 第一章第一章概述概述当前 IT 技术正在成为诸多企业的神经中枢，越来越多的企业希望借助 IT技术这一关键的战略资源提升公司的竞争优势，进而实现公司的战略目标。然而，随着网络建设和系统部署越来越深入，大多数企业面临着如何确保业务系统的稳定运行的难题。复杂的网络结构、人员结构和管理结构使得 IT 运维管理和企业生产运作间的矛盾日益凸显。日益发展变化的生产业务结构

4、对基础 IT 运维操作的管理、审计等诸多方面提出了严峻的挑战。然而，庞大的运维结构复杂的运维管理都给整体的管理增加了很大的难度，从而使得运维过程中的风险不易控制。同时国家也出台了相关的法律法规，如ISO270001、金融行业风险指引、内控、安全等级保护等，要求在访问控制、操作审计等诸多方面做得更加全面有效的管理。故此需要通过有效的技术手段来降低运维风险、规范运维操作符合相关法律法规要求。第二章第二章齐治简介齐治简介浙江齐治科技有限公司，原杭州奇智信息科技有限公司，成立于 2005 年，是国内唯一专注于运维操作管理领域的高科技企业，致力于成为领先的的运维操作审计的供应商。公司率先于业内提出了“运

5、维操作也需要管理”的理念，创新的通过操作网关（堡垒机）对运维操作进行有效的管理，帮助用户规范运维操作管理，加强操作审计，规避操作风险，提高 IT 运维的内控能力。齐治科技运维操作管理系统（以下简称 Shterm），立足于领先的命令结果精确识别技术，从操作层解决了企业与组织中现存的 IT 内控与管理的相关问题，特别针对目前安全与运维操作管理中出现的突出的运维操作的风险问题，从账号管理、密码管理、权限控制、操作审计等方面，提供了稳定、安全、方便、可行性强的解决方案，从而根本上改变了现有的管理模式，消除了固有的弊端，使运维操作管理进入一个真正安全与便利相结合的阶段，帮助客户使运维操作管理变得更加简单

6、、安全、有效。 浙江齐治科技有限公司浙江齐治科技有限公司 让运维操作尽在掌控之中让运维操作尽在掌控之中( (- 5 -）第三章第三章方案设计方案设计架构蓝图架构蓝图功能框架功能框架集中管理是前提：集中管理是前提：只有集中以后才能够实现统一管理，只有集中管理才能把复杂问题简单化，分散是无法谈得上管理的，集中是运维管理发展的必然趋势，也是唯一的选择。 浙江齐治科技有限公司浙江齐治科技有限公司 让运维操作尽在掌控之中让运维操作尽在掌控之中( (- 6 -）身份管理是基础：身份管理是基础：身份管理解决的是维护操作者的身份问题。身份是用来识别和确认操作者的，因为所有的操作都是用户发起的，如果我们连操作的

7、用户身份都无法确认，那么不管我们怎么控制，怎么审计都无法准确的定位操作责任人。所以身份管理是基础。访问控制是手段：访问控制是手段：操作者身份确定后，下一个问题就是他能访问什么资源、你能在目标资源上做什么操作。如果操作者可以随心所欲访问任何资源、在资源上做任何操作，就等于没了控制，所以需要通过访问控制这种手段去限制合法操作者合法访问资源，有效降低未授权访问所带来的风险。操作审计是保证：操作审计是保证：操作审计要保证在出了事故以后快速定位操作者和事故原因，还原事故现场和举证。另外一个方面操作审计做为一种验证机制，验证和保证集中管理，身份管理，访问控制，权限控制策略的有效性。自动运维是目标：自动运维

8、是目标：操作自动化是运维操作管理的终极目标，通过让该功能，可让堡垒机自动帮助运维人员执行各种常规操作，从而达到降低运维复杂度、提高运维效率的目的。第四章第四章主要功能介绍主要功能介绍集中管理，集中管理，实现统一入口实现统一入口部署完成后， Shterm 作为后台设备访问的唯一入口，用户对后台设备运维必须要先登录到 shterm 上，然后根据管理员预先设置好的访问规则，自动登录到后台设备上去。身份管理，实现用户实名身份管理，实现用户实名提供主从帐号管理，让用户的身份和具体的操作对应起来，从而实现用户实名制管理。支持多种认证方式，包括本地静态认证、TOTP 认证，为第三方 AD 域、LDAP、ra

9、dius、iso8583 认证提供接口。 浙江齐治科技有限公司浙江齐治科技有限公司 让运维操作尽在掌控之中让运维操作尽在掌控之中( (- 7 -）访问控制，防止非授权访问访问控制，防止非授权访问基于用户/用户组、设备/设备组、系统帐号、协议类型、登录规则来设置详细的访问控制规则，彻底杜绝了非授权访问所带来的问题。同时还可以提供对核心设备登录时候的双人授权功能。权限控制，实现主动预防权限控制，实现主动预防基于用户/用户组、设备/设备组、系统帐号、时间、命令、动作来设定详细的权限控制规则，支持命令操作黑白名单；应用发布，实现客户端集中管理应用发布，实现客户端集中管理可选应用发布模块，实现在 Web

10、 界面直接发布安装在某台 windows 服务器上的各类客户端/应用程序，如 citrix 客户端、sqlplus、secureCRT、toad 等，避免客户端本地安装导致难于管理的问题，同时实现了操作数据异地驻留，提升数据安全度；实时监控，实现操作透明实时监控，实现操作透明对于普通用户登录到目标设备上正在进行的任意类型操作，审计管理员可以再 Shterm 的 WEB 界面做到实时监控和切断，做到边操作边审计，真正实现实现操作透明；会话共享，实现远程协助会话共享，实现远程协助Shterm 可以可让多位运维人员共享同一个图形会话，参与人员拥有同样的操作权限，同时会话共享邀请人拥有对参与人员的踢出

11、权限。操作审计，实现操作审计，实现事后追溯和举证事后追溯和举证完整记录用户在目标设备上进行的 Telnet、SSH、RDP、XRDP、VNC、X-Windows、Xfwd、Http、FTP、SFTP、SCP 等协议的所有操作行为和第三方客户端工具的操作行为，如 citrix 客户端、PL/SQL、SQLPLUS、TOAD 等工具；独家“命令精准识别”的专利技术，确保对各种常规、非常规命令操作的准确识别； 浙江齐治科技有限公司浙江齐治科技有限公司 让运维操作尽在掌控之中让运维操作尽在掌控之中( (- 8 -）录像方式记录用户的图形操作过程，并且还可以实现文本方式完整记录用户的键盘鼠标敲击、复制粘

12、贴操作，并能对操作界面进行问题模糊识别，记录的内容和图形审计相关联；可选的数据库审计模块，实现对数据库客户端操作所对应的 sql 语句的100%文本审计，语句可以和图形审计相关联；操作搜索，实现快速定位操作搜索，实现快速定位对字符操作记录，按照时间、用户账号、目标设备、系统账号、命令关键字进行搜索，在最短的时间内找到相关日志内容，实现快速定位；对图形操作记录，根据键盘输入、剪贴板操作、模糊识别的内容、URL 地址为关键字进行查询定位；针对数据库操作记录，可以根据 SQL 语句的内容为关键字进行查询定位；所有查询的结果可以和图形操作过程关联回放；自动运维，提升工作效率自动运维，提升工作效率密码托

13、管，自动改密；网络设备配置自动备份；Unix 系统脚本自动执行；报表自动化；第五章第五章方案优势分析方案优势分析功能最先进功能最先进 唯一在运维审计域获得国家发明专利及香港发明专利的产品（且两项专利）； 唯一实现图形操作模糊识别的产品； 唯一实现图形会话关键字（键盘输入、剪贴板、模糊识别、URL 地址）检索的产品； 唯一实现图形操作无延时前后拖拉回放的产品； 唯一提供设备密码修改容错性保证的产品； 浙江齐治科技有限公司浙江齐治科技有限公司 让运维操作尽在掌控之中让运维操作尽在掌控之中( (- 9 -） 唯一实现 citrix 方式的应用发布的产品； 唯一内置动态认证服务器的产品； 唯一可实现堡

14、垒机方式的数据库审计（100%记录所有 sql 语句，并实现sql 与图形审计关联）的产品；产品最安全产品最安全Shterm 是以安全性为基础构建坚实的运维堡垒，是业内唯一不存在中高级安全漏洞、对外不开放非安全端口的产品。 只开放 3 个端口（22、443 和 5899），彻底杜绝 telnet、ftp、rdp 等非安全服务端口开放； 使用 SSL、SSH 封装传输过程； 唯一同时拥有国家保密局和中国国家信息安全产品认证的；方案最成熟方案最成熟 在申广发证券交易网、申银万国、中德证券、安信证券、金元证券、深圳证券信息等证券类客户处得到过大规模使用； 唯一市场化时间超过六年以上； 唯一在单个用户

15、超过 2,300 个并发用户环境成功部署； 唯一在单个用户超过 10,000 台服务器环境成功部署； 唯一在单个用户超过 2,000 台网络设备环境成功部署；第六章第六章客户收益客户收益规范操作管理规范操作管理 实现操作透明化 增强操作可控性 提高操作管理效率 浙江齐治科技有限公司浙江齐治科技有限公司 让运维操作尽在掌控之中让运维操作尽在掌控之中( (- 10 -）规避操作风险规避操作风险 法律规范遵从 有效监管代维厂商 完善责任认定体系第七章第七章拓扑结构拓扑结构在当前运维环境中部署了 shterm 之后，拓扑结构如下：部署说明部署说明支持双机 HA 部署；部署方式是物理旁路，逻辑串接；集中管理的一个标志就是入口唯一，Shterm 是用户操作的唯一入口；部署唯一条件是 Shterm 与被管理的设备之间 IP 可达，协议可访问。在部署过程中，不需要调整任何网络架构，不需要安装任何代理程序；目标设备登录过程：用户用唯一的用户帐号登录到 shterm 上，然后Sht