齊治運(yùn)維操作管理解決方案.doc

運(yùn)維操作管理系統(tǒng) 堡壘機(jī) 運(yùn)維操作管理系統(tǒng) 堡壘機(jī) 解決方案解決方案 浙江齊治科技有限公司浙江齊治科技有限公司 20132013 年年 8 8 月月 VER3 3 0 Copyright 2005 2012 齊治科技 第2頁(yè) 聲明聲明 本文件所有權(quán)和解釋權(quán)歸齊治科技所有 未經(jīng)齊治科技書(shū)面許可 不得復(fù)制或向第三方公開(kāi) 修訂歷史記錄 版本控制 修訂歷史記錄 版本控制 版本號(hào)版本號(hào)作者作者審核人審核人文檔類(lèi)型文檔類(lèi)型保密級(jí)別保密級(jí)別完成日期完成日期 V1 0 0DXBrianADA2011 1 21 V2 1 0DXBrianADA2011 5 18 V3 2 0DXJoeADA2012 1 17 V3 3 0DXJoeADA2013 8 8 文檔類(lèi)型 A 內(nèi)部歸檔類(lèi) D 外部交付類(lèi) 保密級(jí)別 A 公開(kāi) B 有選擇公開(kāi) C 不公開(kāi) 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第1頁(yè) 目目 錄錄 1現(xiàn)狀分析現(xiàn)狀分析 2 2解決方案解決方案 4 3功能實(shí)現(xiàn)功能實(shí)現(xiàn) 11 4方案優(yōu)勢(shì)方案優(yōu)勢(shì) 25 5客戶(hù)收益客戶(hù)收益 27 6成功案例成功案例 28 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第2頁(yè) 1 1現(xiàn)狀分析現(xiàn)狀分析 1 11 1 運(yùn)維管理現(xiàn)狀運(yùn)維管理現(xiàn)狀 客戶(hù)的維護(hù)部門(mén)主要負(fù)責(zé)應(yīng)用系統(tǒng)以及信息系統(tǒng)基礎(chǔ)平臺(tái)的建設(shè)和維護(hù) 以及局內(nèi)網(wǎng)絡(luò)的建設(shè)和維護(hù) 現(xiàn)有數(shù)十臺(tái)各種各樣的服務(wù)器 其日常運(yùn)維過(guò)程 中都普遍存在以下現(xiàn)狀 用戶(hù)的訪問(wèn)方式以?xún)?nèi)部直接遠(yuǎn)程訪問(wèn)為主 其中運(yùn)維操作的遠(yuǎn)程訪問(wèn)方式 又以 SSH Telnet RDP VNC X window http https FTP SFTP 為主 設(shè)備數(shù) 量比較多 維護(hù)人員較多 并且部分設(shè)備的維護(hù)交由第三方維護(hù)廠商完成 維護(hù)操作 比較分散 權(quán)限變更復(fù)雜 使用設(shè)備上的共享系統(tǒng)賬號(hào)進(jìn)行認(rèn)證與授權(quán) 無(wú)法有效落實(shí)定期修改設(shè)備密碼的規(guī)定 用戶(hù)的運(yùn)維操作無(wú)審計(jì) 需要定期接受等保 SOX ISO27001 等法律法規(guī)標(biāo)準(zhǔn)的檢查 1 21 2存在問(wèn)題存在問(wèn)題 維護(hù)方式不統(tǒng)一 共享賬號(hào)難控制 操作行為難約束 設(shè)備密碼難管理 運(yùn)維操作無(wú)審計(jì) 法律法規(guī)難遵從 1 31 3問(wèn)題分析問(wèn)題分析 出現(xiàn)以上問(wèn)題的主要原因在于 運(yùn)維操作不規(guī)范 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第3頁(yè) 運(yùn)維操作不透明 運(yùn)維操作風(fēng)險(xiǎn)不可控 1 41 4帶來(lái)的后果帶來(lái)的后果 違規(guī)操作可能會(huì)導(dǎo)致設(shè)備 服務(wù)異常或者宕機(jī) 惡意操作可能會(huì)導(dǎo)致系統(tǒng)上敏感數(shù)據(jù) 信息被篡改 被破壞 當(dāng)發(fā)生故障的時(shí)候 無(wú)法快速定位故障原因或者責(zé)任人 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第4頁(yè) 2 2解決方案解決方案 2 12 1 實(shí)現(xiàn)目標(biāo)實(shí)現(xiàn)目標(biāo) 通過(guò) Shterm 的部署 可以有效的解決運(yùn)維部門(mén)當(dāng)前運(yùn)維過(guò)程中存在的各種 問(wèn)題 以堡壘方式 形成統(tǒng)一的運(yùn)維入口 實(shí)現(xiàn)運(yùn)維操作的唯一路徑 引入主從帳號(hào)管理概念 使用戶(hù)認(rèn)證與系統(tǒng)授權(quán)分開(kāi) 從而有效解決系統(tǒng) 帳號(hào)共享使用 帶來(lái)的身份不唯一的問(wèn)題 基于用戶(hù) 設(shè)備 系統(tǒng)帳號(hào) 協(xié)議類(lèi)型 登錄規(guī)則的嚴(yán)格訪問(wèn)控制設(shè)置 有效規(guī)避了非授權(quán)訪問(wèn)帶來(lái)的問(wèn)題 密碼托管和自動(dòng)改密 使得密碼管理規(guī)范能有效落地 避免了因人員的流 動(dòng)還會(huì)導(dǎo)致設(shè)備密碼存在外泄的風(fēng)險(xiǎn) 能完整記錄運(yùn)維人員的操作過(guò)程 當(dāng)系統(tǒng)因人為操作導(dǎo)致故障的時(shí)候 能 夠快速定位故障原因和責(zé)任人 可以滿(mǎn)足等保 SOX ISO270001 BS7799 等安全規(guī)范對(duì)運(yùn)維操作管理的 要求 2 22 2 具體設(shè)計(jì)具體設(shè)計(jì) 2 2 1 總設(shè)計(jì)思路總設(shè)計(jì)思路 因?yàn)椴僮鞯娘L(fēng)險(xiǎn)來(lái)源于各個(gè)方面 所以必須要從能夠影響到操作的各個(gè)層 面去降低風(fēng)險(xiǎn) 齊治運(yùn)維操作管理系統(tǒng) Shterm 采用操作代理 網(wǎng)關(guān) 方式 實(shí)現(xiàn)集中管理 對(duì)身份 訪問(wèn) 審計(jì) 自動(dòng)化操作等統(tǒng)一進(jìn)行有效管理 真正 幫助用戶(hù)最小化運(yùn)維操作風(fēng)險(xiǎn) 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第5頁(yè) 集中管理是前提 集中管理是前提 只有集中以后才能夠?qū)崿F(xiàn)統(tǒng)一管理 只有集中管理才能 把復(fù)雜問(wèn)題簡(jiǎn)單化 分散是無(wú)法談得上管理的 集中是運(yùn)維管理發(fā)展的必然趨 勢(shì) 也是唯一的選擇 身份管理是基礎(chǔ) 身份管理是基礎(chǔ) 身份管理解決的是維護(hù)操作者的身份問(wèn)題 身份是用來(lái) 識(shí)別和確認(rèn)操作者的 因?yàn)樗械牟僮鞫际怯脩?hù)發(fā)起的 如果我們連操作的用 戶(hù)身份都無(wú)法確認(rèn) 那么不管我們?cè)趺纯刂?怎么審計(jì)都無(wú)法準(zhǔn)確的定位操作 責(zé)任人 所以身份管理是基礎(chǔ) 訪問(wèn)控制是手段 訪問(wèn)控制是手段 操作者身份確定后 下一個(gè)問(wèn)題就是他能訪問(wèn)什么資源 你能在目標(biāo)資源上做什么操作 如果操作者可以隨心所欲訪問(wèn)任何資源 在資 源上做任何操作 就等于沒(méi)了控制 所以需要通過(guò)訪問(wèn)控制這種手段去限制合 法操作者合法訪問(wèn)資源 有效降低未授權(quán)訪問(wèn)所帶來(lái)的風(fēng)險(xiǎn) 操作審計(jì)是保證 操作審計(jì)是保證 操作審計(jì)要保證在出了事故以后快速定位操作者和事故 原因 還原事故現(xiàn)場(chǎng)和舉證 另外一個(gè)方面操作審計(jì)做為一種驗(yàn)證機(jī)制 驗(yàn)證 和保證集中管理 身份管理 訪問(wèn)控制 權(quán)限控制策略的有效性 自動(dòng)運(yùn)維是目標(biāo) 自動(dòng)運(yùn)維是目標(biāo) 操作自動(dòng)化是運(yùn)維操作管理的終極目標(biāo) 通過(guò)讓該功能 可讓堡壘機(jī)自動(dòng)幫助運(yùn)維人員執(zhí)行各種常規(guī)操作 從而達(dá)到降低運(yùn)維復(fù)雜度 提高運(yùn)維效率的目的 2 2 2 操作網(wǎng)關(guān)方式部署操作網(wǎng)關(guān)方式部署 集中管理是實(shí)現(xiàn)運(yùn)維操作安全管理的首要前提 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第6頁(yè) 針對(duì)當(dāng)前核心設(shè)備分散管理的現(xiàn)狀 集中管理倡導(dǎo)的是一種統(tǒng)一管理的理 念 集中管理是未來(lái)運(yùn)維操作安全管理的必然趨勢(shì) 實(shí)現(xiàn)集中管理 關(guān)鍵點(diǎn)在于對(duì)用戶(hù)原有的運(yùn)維環(huán)境不造成任何影響 綜合 各種部署方案 我們采用了 操作堡壘機(jī) 的部署方式 2 2 3 用好共享賬號(hào)用好共享賬號(hào) 在當(dāng)前的運(yùn)維環(huán)境中 普遍存在操作者身份無(wú)法識(shí)別的安全隱患 這主要 是由操作者共享使用核心設(shè)備上的系統(tǒng)賬號(hào)造成的 設(shè)備數(shù)量達(dá)到一定規(guī)模 必然會(huì)使用到共享賬號(hào) 共享賬號(hào)就是多人共同 使用同一個(gè)存在于設(shè)備上的系統(tǒng)賬號(hào) 使用共享賬號(hào)會(huì)讓整體賬號(hào)的數(shù)量最少 但是僅僅依賴(lài)系統(tǒng)上的單一系統(tǒng)賬號(hào) 無(wú)法既能區(qū)分用戶(hù)身份 又能完成工作 角色的定位 如何準(zhǔn)確的區(qū)分用戶(hù)身份和工作角色 進(jìn)而實(shí)現(xiàn)操作者和具體的操作過(guò)程 一一對(duì)應(yīng) Shterm 將賬號(hào)的用戶(hù)身份確認(rèn)和系統(tǒng)工作角色功能分離 在 Shterm 上增 加了用戶(hù)賬號(hào) 完成用戶(hù)的身份確認(rèn) 原來(lái)系統(tǒng)上的賬號(hào)依然存在 但是作用 只是完成工作角色授權(quán)的工作賬號(hào) 用戶(hù)登錄 Shterm 是采用唯一的用戶(hù)賬號(hào) 然后根據(jù)工作角色的需要 轉(zhuǎn)換 成系統(tǒng)賬號(hào)登錄到被管理設(shè)備上 這樣既能夠保證整體賬號(hào)數(shù)量最少 管理方 便 同時(shí)又能夠?qū)崿F(xiàn)對(duì)用戶(hù) 工作角色的雙重定位 當(dāng)用戶(hù)加入 離職或崗位變動(dòng) 當(dāng)代維人員和原廠商進(jìn)行維護(hù)的時(shí)候 只 需要在 Shterm 上變更該用戶(hù)賬號(hào)即可 對(duì)系統(tǒng)上的系統(tǒng)賬號(hào)沒(méi)有任何影響 代維人員維護(hù)系統(tǒng)并不需要知道用戶(hù)系統(tǒng)的最高權(quán)限的系統(tǒng)帳號(hào)密碼 這 樣大大降低了管理風(fēng)險(xiǎn) 原廠商進(jìn)行臨時(shí)維護(hù)的時(shí)候只需要臨時(shí)分配一個(gè)用戶(hù)賬號(hào) 當(dāng)使用結(jié)束后 該賬號(hào)會(huì)自動(dòng)回收 減少了賬號(hào)管理的成本 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第7頁(yè) 2 2 4 訪問(wèn)控制規(guī)則訪問(wèn)控制規(guī)則 目前 用戶(hù)只要知道用戶(hù)名和密碼就可以任意訪問(wèn)任意設(shè)備 這種現(xiàn)狀必然 會(huì)帶來(lái) 未授權(quán)訪問(wèn)的安全風(fēng)險(xiǎn) 部署了 Shterm 后 情況就發(fā)生了變化 Shterm 邏輯上成為了用戶(hù)登錄的 唯一入口 因?yàn)槿肟谖ㄒ?訪問(wèn)控制很容易配置了 相同工作任務(wù)的集合可以放置在一個(gè)訪問(wèn)規(guī)則組里 當(dāng)用戶(hù)崗位 職責(zé)改 變時(shí) 對(duì)用戶(hù)相關(guān)聯(lián)的組 系統(tǒng)權(quán)限 可訪問(wèn)設(shè)備通過(guò) Web 的勾選 很容易調(diào) 整 根據(jù)工作內(nèi)容的需要 可以配置不同的許可或禁止的登錄策略 既可以設(shè) 定固定日期的登錄策略 也可以設(shè)定固定時(shí)間間隔的策略 還可以設(shè)定一天中 指定時(shí)間段的策略 并且能夠針對(duì)具體的地址段進(jìn)行控制 Shterm 的訪問(wèn)控制列表可以讓用戶(hù)一目了然的知道某臺(tái)設(shè)備上允許哪些用 戶(hù)登錄 某臺(tái)設(shè)備上的系統(tǒng)賬號(hào)有多少個(gè)用戶(hù)可以使用 另一方面 從安全運(yùn)維的角度分析 權(quán)限控制策略是從操作的層面上 降 低高危操作所帶來(lái)的安全風(fēng)險(xiǎn) 對(duì)于使用 Telnet SSH 等協(xié)議進(jìn)行遠(yuǎn)程管理的設(shè)備 各種網(wǎng)絡(luò)設(shè)備和 Unix 服務(wù)器 操作權(quán)限的多少取決于用戶(hù)可以執(zhí)行的命令 所以 針對(duì)操作指令 的控制才是核心 對(duì)于服務(wù)器設(shè)備操作 Shterm 可以對(duì)服務(wù)器的超級(jí)用戶(hù) root 操作權(quán)限進(jìn) 行控制 即使是 root 用戶(hù) 權(quán)限也是受限制的 可以限制 root 用戶(hù)只能執(zhí)行 某些操作 白名單 和無(wú)法執(zhí)行某些操作 黑名單 當(dāng)多人同時(shí)使用一個(gè) root 賬號(hào)時(shí) Shterm 可以對(duì)同一個(gè)系統(tǒng)賬號(hào)進(jìn)行操 作權(quán)限再分配 保證使用同一個(gè) root 賬號(hào)的不同用戶(hù)擁有不同的操作指令權(quán)限 徹底解決了共享 root 賬號(hào)權(quán)限一致的情況 真正實(shí)現(xiàn)細(xì)粒度的操作權(quán)限控制 對(duì)于網(wǎng)絡(luò)設(shè)備操作 Shterm 可以保證即使多個(gè)用戶(hù)在進(jìn)入 enable 狀態(tài)的 時(shí)候 提供高于網(wǎng)絡(luò)設(shè)備系統(tǒng)更好級(jí)別的控制力度 保證每一個(gè)用戶(hù)的操作指 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第8頁(yè) 令都能?chē)?yán)格受到控制 對(duì)于操作權(quán)限的控制意味著我們從被動(dòng)接受用戶(hù)輸入到了主動(dòng)控制 對(duì)于用戶(hù)的操作可以有 3 種執(zhí)行狀態(tài) 允許執(zhí)行 拒絕執(zhí)行 禁止執(zhí)行 對(duì)于高危命令 刪除 重起 關(guān)機(jī)等 可以實(shí)時(shí)告警 一旦高危操作觸發(fā) 會(huì)立即給相關(guān)人員發(fā)送告警郵件 保證用戶(hù)在第一時(shí)間內(nèi)知道高危操作是否對(duì) 系統(tǒng)造成了影響 2 2 5 完整操作審計(jì)完整操作審計(jì) 運(yùn)維操作審計(jì)是整個(gè) Shterm 解決方案的重要組成部分 管理員確定了以操 作網(wǎng)關(guān)方式來(lái)部署 解決了之前共享賬號(hào)的問(wèn)題 配置了訪問(wèn)規(guī)則 明確了操 作權(quán)限 那么最后也是最重要的就是操作和操作審計(jì) Shterm 支持的運(yùn)維操作方式和相應(yīng)的操作審計(jì)基本涵蓋了目前企業(yè)日常運(yùn) 維所涉及到的絕大部分操作模式 包括字符會(huì)話 圖形會(huì)話 Web Client 會(huì)話 文件傳輸?shù)鹊?對(duì)不同會(huì)話采用不同的審計(jì)方式針對(duì)字符會(huì)話 Shterm 的審計(jì)功能會(huì)完全 記錄所有會(huì)話內(nèi)的輸入輸出 并可以使用模式方式對(duì)這些輸入輸出進(jìn)行查詢(xún)以 定位操作時(shí)間節(jié)點(diǎn)和操作內(nèi)容 對(duì)于圖形會(huì)話要采用全程的錄像和鍵盤(pán)鼠標(biāo)操 作的記錄 并在圖形會(huì)話回放的過(guò)程中同步的顯示出來(lái) 對(duì)于 Web Client 方式 的操作會(huì)話 也是目前非常主流的一種操作模式 Shterm 可以利用對(duì)于圖形會(huì) 話的審計(jì)方式來(lái)審計(jì) Web Client 方式的會(huì)話 即 既包括了圖形錄像也包括了 鍵盤(pán)鼠標(biāo)記錄 并且可以如圖形會(huì)話一樣 鍵盤(pán)輸入信息可以進(jìn)行完全的檢索 以便快速定位一個(gè)較長(zhǎng)的審計(jì)錄像 針對(duì)文件傳輸 FTP SFTP 之類(lèi)的上傳下 載 Shterm 支持全部的信息記錄 包含時(shí)間 人員 IP 等等信息 此外 Shterm 對(duì)審計(jì)人員本身也有嚴(yán)格要求 一方面 對(duì)審計(jì)人員的審計(jì) 操作 Shterm 有嚴(yán)格的記錄 審計(jì)管理員何時(shí)查閱了某個(gè)會(huì)話操作都要有明確 記錄 另一方面 Shterm 支持非全局性的操作審計(jì) 即 審計(jì)人員也沒(méi)有權(quán)利 審計(jì)所有的會(huì)話信息 因?yàn)闀?huì)話中可能包含了非常敏感甚至機(jī)密的企業(yè)信息 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第9頁(yè) 2 2 6 運(yùn)維自動(dòng)化運(yùn)維自動(dòng)化 日常運(yùn)維中經(jīng)常需要對(duì)一些操作進(jìn)行重復(fù)性動(dòng)作 例如每天去執(zhí)行一些腳 本 檢測(cè)一些狀態(tài)等 重復(fù)繁瑣的工作容易令人出現(xiàn)操作的失誤 如果能通過(guò) 一些技術(shù)手段 替代用戶(hù)的重復(fù)操作 使用戶(hù)從重復(fù)繁瑣的工作中釋放出來(lái) 可以讓用戶(hù)有更多的時(shí)間去專(zhuān)注于更多技術(shù)領(lǐng)域 操作自動(dòng)化是運(yùn)維操作管理的終極目標(biāo) 通過(guò) Shterm 的自動(dòng)腳本功能 可 讓堡壘機(jī)自動(dòng)幫助運(yùn)維人員執(zhí)行各種常規(guī)操作 從而達(dá)到降低運(yùn)維復(fù)雜度 提 高運(yùn)維效率的目的 2 32 3 產(chǎn)品部署產(chǎn)品部署 在當(dāng)前運(yùn)維環(huán)境中部署了 shterm 齊治運(yùn)維操作管理系統(tǒng) 亦稱(chēng)齊治運(yùn)維 堡壘機(jī) 之后 拓?fù)浣Y(jié)構(gòu)如下 部署說(shuō)明部署說(shuō)明 支持雙機(jī) HA 部署 部署方式是物理旁路 邏輯串接 部署唯一條件是 Shterm 與被管理的設(shè)備之間 IP 可達(dá) 協(xié)議可訪問(wèn) 在部署過(guò)程中 不需要調(diào)整任何網(wǎng)絡(luò)架構(gòu) 不需要安裝任何代理程序 集中管理的一個(gè)標(biāo)志就是入口唯一 Shterm 是用戶(hù)操作的唯一入口 目標(biāo)設(shè)備登錄過(guò)程 用戶(hù)用唯一的用戶(hù)帳號(hào)登錄到 shterm 上 然后 Shterm 會(huì)根據(jù)配置管理員預(yù)先設(shè)置好的訪問(wèn)控制規(guī)則 列出用戶(hù)選擇 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第10頁(yè) 可以訪問(wèn)的目標(biāo)設(shè)備和相應(yīng)系統(tǒng)帳號(hào) 用戶(hù)選擇完成后會(huì)自動(dòng)登錄到目 標(biāo)設(shè)備 應(yīng)用程序登錄過(guò)程 用戶(hù)用唯一的用戶(hù)帳號(hào)登錄到 shterm 上 然后 Shterm 會(huì)根據(jù)配置管理員預(yù)先設(shè)置好的訪問(wèn)控制規(guī)則 列出用戶(hù)選擇 可以訪問(wèn)的應(yīng)用程序 如 PL sql 用戶(hù)點(diǎn)擊該程序即可馬上打開(kāi) 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第11頁(yè) 3 3功能實(shí)現(xiàn)功能實(shí)現(xiàn) 3 13 1 集中管理集中管理 部署了 Shterm 之后 所有用戶(hù)對(duì)后臺(tái)設(shè)備的操作 都要先登錄 Shterm 的 WEB 管理界面 Shterm 作為后臺(tái)設(shè)備訪問(wèn)的唯一入口 實(shí)現(xiàn)單點(diǎn)登錄 然后 再根據(jù) Shterm 管理員預(yù)先設(shè)置好的訪問(wèn)控制規(guī)則 自動(dòng)登錄到后臺(tái)目標(biāo)設(shè)備上 去 具體方式如下 普通用戶(hù)按照登錄流程 首先登錄到 Shterm 的 WEB 頁(yè)面 然后可以在 設(shè) 備訪問(wèn) 項(xiàng)里面 看到可訪問(wèn)的設(shè)備列表 選擇好系統(tǒng)賬號(hào) 并點(diǎn)擊相應(yīng)設(shè)備 后面的 圖形 服務(wù) 即可自動(dòng)登錄到圖形管理界面上去進(jìn)行任何操作 同理 點(diǎn)擊 字符 服務(wù) 即可自動(dòng)登錄到字符管理界面上去進(jìn)行任何操作 3 23 2 部門(mén)管理部門(mén)管理 Shterm 可以將不同的用戶(hù) 目標(biāo)設(shè)備分配到不同的部門(mén) 部門(mén)之間彼此隔 離 不同部門(mén)的用戶(hù)只能管理自己部門(mén)內(nèi)的目標(biāo)設(shè)備 策略 操作的審計(jì) 控 制等 同時(shí) Shterm 還支持樹(shù)狀結(jié)構(gòu)部門(mén)管理 上級(jí)部門(mén)可以管理下級(jí)部門(mén)的資 源 包括資源調(diào)整 統(tǒng)計(jì)報(bào)表等 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第12頁(yè) 3 33 3 賬號(hào)管理賬號(hào)管理 Shterm 為每個(gè)用戶(hù)分配了獨(dú)一無(wú)二的用戶(hù)賬號(hào) 設(shè)備上的系統(tǒng)賬號(hào)不變 通過(guò)把多個(gè)用戶(hù)賬號(hào)和單個(gè)系統(tǒng)賬號(hào)做關(guān)聯(lián) 用戶(hù)賬號(hào)完成身份認(rèn)證 系統(tǒng)賬號(hào) 完成系統(tǒng)授權(quán) 可以在不同的用戶(hù)使用相同的系統(tǒng)帳號(hào)訪問(wèn)目標(biāo)設(shè)備的時(shí)候 Shterm 依然可以準(zhǔn)確識(shí)別用戶(hù)的身份 讓用戶(hù)的身份和具體的操作一一對(duì)應(yīng)起 來(lái) 從而實(shí)現(xiàn)用戶(hù)實(shí)名制管理 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第13頁(yè) 3 43 4 身份認(rèn)證身份認(rèn)證 Shterm 支持的認(rèn)證方式包括 本地靜態(tài)認(rèn)證 第三方 AD 域 LDAP radius iso8583 認(rèn)證和內(nèi)置 totp time based one time passwd 認(rèn) 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第14頁(yè) 證 其中 totp 認(rèn)證 是動(dòng)態(tài)令牌認(rèn)證 Shterm 已經(jīng)內(nèi)置了 totp 認(rèn)證服務(wù)器 只需要再部署相應(yīng)的令牌即可 3 53 5 訪問(wèn)控制訪問(wèn)控制 Shterm 可以根據(jù)用戶(hù) 用戶(hù)組 設(shè)備 設(shè)備組 系統(tǒng)帳號(hào)和時(shí)間來(lái)設(shè)置詳細(xì) 的訪問(wèn)控制規(guī)則 設(shè)置完成后 用戶(hù)只能按照規(guī)則設(shè)置來(lái)訪問(wèn)相應(yīng)資源 徹底 杜絕了非授權(quán)訪問(wèn)所帶來(lái)的問(wèn)題 3 63 6 權(quán)限控制權(quán)限控制 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第15頁(yè) 對(duì)于 Unix 設(shè)備來(lái)說(shuō) 權(quán)限的多少取決于用戶(hù)可以執(zhí)行的命令 所以 針對(duì) 操作指令的控制才是核心 Shterm 可以針對(duì)超級(jí)用戶(hù) root 做操作權(quán)限的控制 當(dāng)多人同時(shí)使用一 個(gè)系統(tǒng)賬號(hào)時(shí) Shterm 可以對(duì)同一個(gè)系統(tǒng)賬號(hào)進(jìn)行權(quán)限再分配 保證使用同一 個(gè)系統(tǒng)賬號(hào)的不同用戶(hù)擁有不同的權(quán)限 這就徹底解決了共享賬號(hào)和 root 用戶(hù) 權(quán)限的問(wèn)題 真正實(shí)現(xiàn)細(xì)粒度的操作權(quán)限控制 對(duì)于操作權(quán)限的控制意味著我們從被動(dòng)接受用戶(hù)輸入到了主動(dòng)控制 對(duì)于 用戶(hù)的操作可以有 3 種狀態(tài) 允許 拒絕 禁止 對(duì)于高危命令 刪除 重起 關(guān)機(jī)等 可以實(shí)時(shí)告警 一旦高危操作觸發(fā) 會(huì)立即給相關(guān)人員發(fā)送告警郵件 保證用戶(hù)在第一時(shí)間內(nèi)知道高危操作是否對(duì) 系統(tǒng)有影響 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第16頁(yè) 3 73 7 金庫(kù)模式金庫(kù)模式 3 7 1 實(shí)時(shí)監(jiān)控與阻斷實(shí)時(shí)監(jiān)控與阻斷 對(duì)于普通用戶(hù)登錄到目標(biāo)設(shè)備上正在進(jìn)行的操作 審計(jì)管理員可以再 Shterm 的 WEB 界面做到實(shí)時(shí)監(jiān)控 做到邊操作邊審計(jì) 真正實(shí)現(xiàn)實(shí)現(xiàn)操作透明 同時(shí)對(duì)于用戶(hù)的違規(guī)操作 審計(jì)管理員還可以做到實(shí)時(shí)切斷 具體如下圖 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第17頁(yè) 3 7 2 雙人授權(quán)訪問(wèn)雙人授權(quán)訪問(wèn) Shterm 具備核心設(shè)備登錄時(shí)候的雙人授權(quán)功能 針對(duì)不同的訪問(wèn)控制策略 分配不同的雙人授權(quán)人 普通用戶(hù)如想登錄該設(shè)備 必須經(jīng)過(guò)相關(guān)管理人員 的授權(quán)才行 3 7 3 雙人復(fù)核操作雙人復(fù)核操作 Shterm 對(duì)于在核心設(shè)備上的敏感指令操作 需要經(jīng)過(guò)第二個(gè)人復(fù)核后 才能被執(zhí)行 3 83 8 會(huì)話共享會(huì)話共享 Shterm 具有圖形操作會(huì)話共享功能 可讓多位運(yùn)維人員對(duì)同一個(gè)會(huì)話進(jìn)行 共享操作 例如用戶(hù) A 在設(shè)備登錄的過(guò)程中需要用戶(hù) B 輸入后半段的密碼 這 時(shí)用戶(hù) A 可以在 WEB 界直接申請(qǐng) B 收到申請(qǐng)后就可以登錄同一臺(tái)設(shè)備完成分 段密碼輸入的工作 并不需要兩人同在一個(gè)地方 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第18頁(yè) 3 93 9 密碼托管密碼托管 3 9 1 單點(diǎn)登錄單點(diǎn)登錄 對(duì)于目標(biāo)設(shè)備的訪問(wèn)賬號(hào)密碼 可以由 Shterm 進(jìn)行集中托管 只要配置管 理員在相應(yīng)設(shè)備的密碼管理中將目標(biāo)設(shè)備的賬號(hào)密碼添加上去即可 使用了密碼托管功能后 用戶(hù)以后訪問(wèn)目標(biāo)設(shè)備時(shí) 只需要記住自己的 Shterm 上的賬號(hào)和密碼 即可通過(guò) Shterm 自動(dòng)登錄目標(biāo)設(shè)備 3 9 2 自動(dòng)改密自動(dòng)改密 Shterm 可以靈活配置目標(biāo)設(shè)備密碼的修改策略 實(shí)現(xiàn)密碼的批量定期自動(dòng) 修改 修改后的結(jié)果可以以加密郵件方式發(fā)送給密碼保管員 從而實(shí)現(xiàn)密碼的 集中管理 同時(shí)密碼保管員也可以隨時(shí)在系統(tǒng)的 WEB 界面打包備份設(shè)備的密碼 到本地 提高改密功能可用性 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第19頁(yè) 3 103 10自動(dòng)運(yùn)維自動(dòng)運(yùn)維 3 10 1網(wǎng)絡(luò)設(shè)備配置自動(dòng)備份網(wǎng)絡(luò)設(shè)備配置自動(dòng)備份 Shterm 具備網(wǎng)絡(luò)設(shè)備配置自動(dòng)備份功能 管理員通過(guò)在 shterm 上配置相 應(yīng)策略 可在指定的時(shí)間 自動(dòng)備份指定的網(wǎng)絡(luò)設(shè)備上的配置文件 3 10 2Unix 系統(tǒng)腳本自動(dòng)執(zhí)行系統(tǒng)腳本自動(dòng)執(zhí)行 Shterm 具備 UNIX 系統(tǒng)腳本自動(dòng)執(zhí)行功能 管理員通過(guò)在 shterm 上配置相 應(yīng)策略 可在指定的時(shí)間 自動(dòng)到指定的 UNIX 服務(wù)器上執(zhí)行指定的腳本 實(shí)現(xiàn) 自動(dòng)巡檢等日常工作 3 10 3自動(dòng)發(fā)現(xiàn)目標(biāo)設(shè)備自動(dòng)發(fā)現(xiàn)目標(biāo)設(shè)備 Shterm 具有自動(dòng)發(fā)現(xiàn)目標(biāo)設(shè)備功能 可以根據(jù)管理指定的時(shí)間 對(duì)指定 IP 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第20頁(yè) 地址段的設(shè)備做自動(dòng)掃描 并把設(shè)備的 IP 類(lèi)型 編碼等內(nèi)容 供配置管理員 修改導(dǎo)入 3 113 11應(yīng)用發(fā)布應(yīng)用發(fā)布 Shterm 可以通過(guò) Web 管理界面 直接發(fā)布安裝在某臺(tái) windows 服務(wù)器上的 各類(lèi)客戶(hù)端 應(yīng)用程序 如 citrix 客戶(hù)端 sqlplus secureCRT toad 等 此外 Shterm 還支持部分客戶(hù)端工具的密碼自動(dòng)代填 實(shí)現(xiàn)客戶(hù)端密碼的 集中管理 3 123 12操作審計(jì)操作審計(jì) Shterm 不僅能記錄用戶(hù)在目標(biāo)設(shè)備上進(jìn)行的 Telnet SSH RDP VNC X Windows Http Https FTP SFTP SCP 等協(xié)議的所有操作行為 此外還能完美審計(jì)第三方客戶(hù)端工具的操作 如 citrix 客戶(hù)端 PL SQL SQLPLUS TOAD 等工具 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第21頁(yè) 3 12 1命令操作審計(jì)命令操作審計(jì) 文本方式記錄 基于 命令精準(zhǔn)識(shí)別 的專(zhuān)利技術(shù) 唯一可以確保對(duì)各種常規(guī)和非常規(guī)操 作行為的準(zhǔn)確識(shí)別 對(duì)于字符命令操作的日志回放支持 在 Web 界面直接回放操作過(guò)程 智能輸入輸出分離 展現(xiàn)在用戶(hù)面前的只是輸入命令 展開(kāi)后可查 看命令輸出結(jié)果 支持任意點(diǎn)回放 支持 上下箭頭 TAB 命令補(bǔ)全 等輸入操作回放 點(diǎn)擊即可回放 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第22頁(yè) 3 12 2圖形操作審計(jì)圖形操作審計(jì) 錄像方式記錄 在錄像方式記錄用戶(hù)操作過(guò)程的同時(shí) 還可以文本方式完整記錄用戶(hù)的鍵 盤(pán)鼠標(biāo)敲擊 復(fù)制粘貼操作 并能對(duì)操作界面進(jìn)行問(wèn)題模糊識(shí)別 對(duì)于圖形化操作日志的回放支持 不須加載 無(wú)延時(shí)在線拖拉回放 支持多倍速回放 自動(dòng)過(guò)濾屏幕靜止操作 根據(jù)時(shí)間點(diǎn)直接定位回放 針對(duì)任意一個(gè)審計(jì)畫(huà)面可以抓屏 保存成一個(gè)圖片文件 回放時(shí)可顯示鍵盤(pán)和鼠標(biāo)操作內(nèi)容 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第23頁(yè) 3 133 13操作搜索操作搜索 針對(duì)字符操作記錄 都可以按照時(shí)間 用戶(hù)賬號(hào) 目標(biāo)設(shè)備 系統(tǒng)賬號(hào) 命令關(guān)鍵字進(jìn)行搜索 在最短的時(shí)間內(nèi)找到相關(guān)日志內(nèi)容 實(shí)現(xiàn)快速定位 針對(duì)圖形操作記錄 可以根據(jù)鍵盤(pán)輸入 剪貼板操作 模糊識(shí)別的內(nèi)容 URL 地址為關(guān)鍵字進(jìn)行查詢(xún)定位 針對(duì)數(shù)據(jù)庫(kù)操作記錄 可以根據(jù) SQL 語(yǔ)句的內(nèi)容為關(guān)鍵字進(jìn)行查詢(xún)定位 所有查詢(xún)的結(jié)果可以和圖形操作過(guò)程關(guān)聯(lián)回放 鼠標(biāo)狀態(tài)點(diǎn) 回放的時(shí)候可以在這里查看到在 相應(yīng)時(shí)間點(diǎn)鍵盤(pán)輸入的內(nèi)容 命令操作查詢(xún) 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第24頁(yè) 3 143 14統(tǒng)計(jì)報(bào)表統(tǒng)計(jì)報(bào)表 Shterm 支持情況總覽 會(huì)話報(bào)表 報(bào)表模板 自動(dòng)報(bào)表 命令報(bào)表 配置 報(bào)表等統(tǒng)計(jì)報(bào)表功能 圖形操作查詢(xún) 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第25頁(yè) 4 4方案優(yōu)勢(shì)方案優(yōu)勢(shì) 4 14 1 成熟穩(wěn)定成熟穩(wěn)定 齊治公司從 2005 年成立 自主研發(fā)的堡壘機(jī)系統(tǒng) 自 2005 年被阿里巴巴 選中后 為其旗下的 25000 余臺(tái)服務(wù)器提供著運(yùn)維操作安全服務(wù) 其服務(wù)器數(shù) 量 在線維護(hù)人員數(shù)量等硬指標(biāo)在全國(guó)首屈一指 是完全可以信賴(lài)的優(yōu)秀產(chǎn)品 至今 在國(guó)內(nèi) 齊治公司是 唯一專(zhuān)注于運(yùn)維操作管理領(lǐng)域的廠商 在運(yùn)營(yíng)商 金融 互聯(lián)網(wǎng) 電力 政府 煙草和海關(guān)等多個(gè)高端行業(yè)得 到大規(guī)模使用 唯一在單個(gè)用戶(hù)超過(guò) 2 300 個(gè)并發(fā)用戶(hù)環(huán)境成功部署 唯一在單個(gè)用戶(hù)超過(guò) 10 000 臺(tái)服務(wù)器環(huán)境成功部署 唯一在單個(gè)用戶(hù)超