齊治運(yùn)維操作管理解決方案.doc

運(yùn)維操作管理系統(tǒng) 堡壘機(jī) 運(yùn)維操作管理系統(tǒng) 堡壘機(jī) 解決方案解決方案 浙江齊治科技有限公司浙江齊治科技有限公司 20132013 年年 8 8 月月 VER3 3 0 Copyright 2005 2012 齊治科技 第2頁(yè) 聲明聲明 本文件所有權(quán)和解釋權(quán)歸齊治科技所有 未經(jīng)齊治科技書面許可 不得復(fù)制或向第三方公開 修訂歷史記錄 版本控制 修訂歷史記錄 版本控制 版本號(hào)版本號(hào)作者作者審核人審核人文檔類型文檔類型保密級(jí)別保密級(jí)別完成日期完成日期 V1 0 0DXBrianADA2011 1 21 V2 1 0DXBrianADA2011 5 18 V3 2 0DXJoeADA2012 1 17 V3 3 0DXJoeADA2013 8 8 文檔類型 A 內(nèi)部歸檔類 D 外部交付類 保密級(jí)別 A 公開 B 有選擇公開 C 不公開 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第1頁(yè) 目目 錄錄 1現(xiàn)狀分析現(xiàn)狀分析 2 2解決方案解決方案 4 3功能實(shí)現(xiàn)功能實(shí)現(xiàn) 11 4方案優(yōu)勢(shì)方案優(yōu)勢(shì) 25 5客戶收益客戶收益 27 6成功案例成功案例 28 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第2頁(yè) 1 1現(xiàn)狀分析現(xiàn)狀分析 1 11 1 運(yùn)維管理現(xiàn)狀運(yùn)維管理現(xiàn)狀 客戶的維護(hù)部門主要負(fù)責(zé)應(yīng)用系統(tǒng)以及信息系統(tǒng)基礎(chǔ)平臺(tái)的建設(shè)和維護(hù) 以及局內(nèi)網(wǎng)絡(luò)的建設(shè)和維護(hù) 現(xiàn)有數(shù)十臺(tái)各種各樣的服務(wù)器 其日常運(yùn)維過程 中都普遍存在以下現(xiàn)狀 用戶的訪問方式以內(nèi)部直接遠(yuǎn)程訪問為主 其中運(yùn)維操作的遠(yuǎn)程訪問方式 又以 SSH Telnet RDP VNC X window http https FTP SFTP 為主 設(shè)備數(shù) 量比較多 維護(hù)人員較多 并且部分設(shè)備的維護(hù)交由第三方維護(hù)廠商完成 維護(hù)操作 比較分散 權(quán)限變更復(fù)雜 使用設(shè)備上的共享系統(tǒng)賬號(hào)進(jìn)行認(rèn)證與授權(quán) 無(wú)法有效落實(shí)定期修改設(shè)備密碼的規(guī)定 用戶的運(yùn)維操作無(wú)審計(jì) 需要定期接受等保 SOX ISO27001 等法律法規(guī)標(biāo)準(zhǔn)的檢查 1 21 2存在問題存在問題 維護(hù)方式不統(tǒng)一 共享賬號(hào)難控制 操作行為難約束 設(shè)備密碼難管理 運(yùn)維操作無(wú)審計(jì) 法律法規(guī)難遵從 1 31 3問題分析問題分析 出現(xiàn)以上問題的主要原因在于 運(yùn)維操作不規(guī)范 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第3頁(yè) 運(yùn)維操作不透明 運(yùn)維操作風(fēng)險(xiǎn)不可控 1 41 4帶來(lái)的后果帶來(lái)的后果 違規(guī)操作可能會(huì)導(dǎo)致設(shè)備 服務(wù)異?；蛘咤礄C(jī) 惡意操作可能會(huì)導(dǎo)致系統(tǒng)上敏感數(shù)據(jù) 信息被篡改 被破壞 當(dāng)發(fā)生故障的時(shí)候 無(wú)法快速定位故障原因或者責(zé)任人 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第4頁(yè) 2 2解決方案解決方案 2 12 1 實(shí)現(xiàn)目標(biāo)實(shí)現(xiàn)目標(biāo) 通過 Shterm 的部署 可以有效的解決運(yùn)維部門當(dāng)前運(yùn)維過程中存在的各種 問題 以堡壘方式 形成統(tǒng)一的運(yùn)維入口 實(shí)現(xiàn)運(yùn)維操作的唯一路徑 引入主從帳號(hào)管理概念 使用戶認(rèn)證與系統(tǒng)授權(quán)分開 從而有效解決系統(tǒng) 帳號(hào)共享使用 帶來(lái)的身份不唯一的問題 基于用戶 設(shè)備 系統(tǒng)帳號(hào) 協(xié)議類型 登錄規(guī)則的嚴(yán)格訪問控制設(shè)置 有效規(guī)避了非授權(quán)訪問帶來(lái)的問題 密碼托管和自動(dòng)改密 使得密碼管理規(guī)范能有效落地 避免了因人員的流 動(dòng)還會(huì)導(dǎo)致設(shè)備密碼存在外泄的風(fēng)險(xiǎn) 能完整記錄運(yùn)維人員的操作過程 當(dāng)系統(tǒng)因人為操作導(dǎo)致故障的時(shí)候 能 夠快速定位故障原因和責(zé)任人 可以滿足等保 SOX ISO270001 BS7799 等安全規(guī)范對(duì)運(yùn)維操作管理的 要求 2 22 2 具體設(shè)計(jì)具體設(shè)計(jì) 2 2 1 總設(shè)計(jì)思路總設(shè)計(jì)思路 因?yàn)椴僮鞯娘L(fēng)險(xiǎn)來(lái)源于各個(gè)方面 所以必須要從能夠影響到操作的各個(gè)層 面去降低風(fēng)險(xiǎn) 齊治運(yùn)維操作管理系統(tǒng) Shterm 采用操作代理 網(wǎng)關(guān) 方式 實(shí)現(xiàn)集中管理 對(duì)身份 訪問 審計(jì) 自動(dòng)化操作等統(tǒng)一進(jìn)行有效管理 真正 幫助用戶最小化運(yùn)維操作風(fēng)險(xiǎn) 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第5頁(yè) 集中管理是前提 集中管理是前提 只有集中以后才能夠?qū)崿F(xiàn)統(tǒng)一管理 只有集中管理才能 把復(fù)雜問題簡(jiǎn)單化 分散是無(wú)法談得上管理的 集中是運(yùn)維管理發(fā)展的必然趨 勢(shì) 也是唯一的選擇 身份管理是基礎(chǔ) 身份管理是基礎(chǔ) 身份管理解決的是維護(hù)操作者的身份問題 身份是用來(lái) 識(shí)別和確認(rèn)操作者的 因?yàn)樗械牟僮鞫际怯脩舭l(fā)起的 如果我們連操作的用 戶身份都無(wú)法確認(rèn) 那么不管我們?cè)趺纯刂?怎么審計(jì)都無(wú)法準(zhǔn)確的定位操作 責(zé)任人 所以身份管理是基礎(chǔ) 訪問控制是手段 訪問控制是手段 操作者身份確定后 下一個(gè)問題就是他能訪問什么資源 你能在目標(biāo)資源上做什么操作 如果操作者可以隨心所欲訪問任何資源 在資 源上做任何操作 就等于沒了控制 所以需要通過訪問控制這種手段去限制合 法操作者合法訪問資源 有效降低未授權(quán)訪問所帶來(lái)的風(fēng)險(xiǎn) 操作審計(jì)是保證 操作審計(jì)是保證 操作審計(jì)要保證在出了事故以后快速定位操作者和事故 原因 還原事故現(xiàn)場(chǎng)和舉證 另外一個(gè)方面操作審計(jì)做為一種驗(yàn)證機(jī)制 驗(yàn)證 和保證集中管理 身份管理 訪問控制 權(quán)限控制策略的有效性 自動(dòng)運(yùn)維是目標(biāo) 自動(dòng)運(yùn)維是目標(biāo) 操作自動(dòng)化是運(yùn)維操作管理的終極目標(biāo) 通過讓該功能 可讓堡壘機(jī)自動(dòng)幫助運(yùn)維人員執(zhí)行各種常規(guī)操作 從而達(dá)到降低運(yùn)維復(fù)雜度 提高運(yùn)維效率的目的 2 2 2 操作網(wǎng)關(guān)方式部署操作網(wǎng)關(guān)方式部署 集中管理是實(shí)現(xiàn)運(yùn)維操作安全管理的首要前提 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第6頁(yè) 針對(duì)當(dāng)前核心設(shè)備分散管理的現(xiàn)狀 集中管理倡導(dǎo)的是一種統(tǒng)一管理的理 念 集中管理是未來(lái)運(yùn)維操作安全管理的必然趨勢(shì) 實(shí)現(xiàn)集中管理 關(guān)鍵點(diǎn)在于對(duì)用戶原有的運(yùn)維環(huán)境不造成任何影響 綜合 各種部署方案 我們采用了 操作堡壘機(jī) 的部署方式 2 2 3 用好共享賬號(hào)用好共享賬號(hào) 在當(dāng)前的運(yùn)維環(huán)境中 普遍存在操作者身份無(wú)法識(shí)別的安全隱患 這主要 是由操作者共享使用核心設(shè)備上的系統(tǒng)賬號(hào)造成的 設(shè)備數(shù)量達(dá)到一定規(guī)模 必然會(huì)使用到共享賬號(hào) 共享賬號(hào)就是多人共同 使用同一個(gè)存在于設(shè)備上的系統(tǒng)賬號(hào) 使用共享賬號(hào)會(huì)讓整體賬號(hào)的數(shù)量最少 但是僅僅依賴系統(tǒng)上的單一系統(tǒng)賬號(hào) 無(wú)法既能區(qū)分用戶身份 又能完成工作 角色的定位 如何準(zhǔn)確的區(qū)分用戶身份和工作角色 進(jìn)而實(shí)現(xiàn)操作者和具體的操作過程 一一對(duì)應(yīng) Shterm 將賬號(hào)的用戶身份確認(rèn)和系統(tǒng)工作角色功能分離 在 Shterm 上增 加了用戶賬號(hào) 完成用戶的身份確認(rèn) 原來(lái)系統(tǒng)上的賬號(hào)依然存在 但是作用 只是完成工作角色授權(quán)的工作賬號(hào) 用戶登錄 Shterm 是采用唯一的用戶賬號(hào) 然后根據(jù)工作角色的需要 轉(zhuǎn)換 成系統(tǒng)賬號(hào)登錄到被管理設(shè)備上 這樣既能夠保證整體賬號(hào)數(shù)量最少 管理方 便 同時(shí)又能夠?qū)崿F(xiàn)對(duì)用戶 工作角色的雙重定位 當(dāng)用戶加入 離職或崗位變動(dòng) 當(dāng)代維人員和原廠商進(jìn)行維護(hù)的時(shí)候 只 需要在 Shterm 上變更該用戶賬號(hào)即可 對(duì)系統(tǒng)上的系統(tǒng)賬號(hào)沒有任何影響 代維人員維護(hù)系統(tǒng)并不需要知道用戶系統(tǒng)的最高權(quán)限的系統(tǒng)帳號(hào)密碼 這 樣大大降低了管理風(fēng)險(xiǎn) 原廠商進(jìn)行臨時(shí)維護(hù)的時(shí)候只需要臨時(shí)分配一個(gè)用戶賬號(hào) 當(dāng)使用結(jié)束后 該賬號(hào)會(huì)自動(dòng)回收 減少了賬號(hào)管理的成本 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第7頁(yè) 2 2 4 訪問控制規(guī)則訪問控制規(guī)則 目前 用戶只要知道用戶名和密碼就可以任意訪問任意設(shè)備 這種現(xiàn)狀必然 會(huì)帶來(lái) 未授權(quán)訪問的安全風(fēng)險(xiǎn) 部署了 Shterm 后 情況就發(fā)生了變化 Shterm 邏輯上成為了用戶登錄的 唯一入口 因?yàn)槿肟谖ㄒ?訪問控制很容易配置了 相同工作任務(wù)的集合可以放置在一個(gè)訪問規(guī)則組里 當(dāng)用戶崗位 職責(zé)改 變時(shí) 對(duì)用戶相關(guān)聯(lián)的組 系統(tǒng)權(quán)限 可訪問設(shè)備通過 Web 的勾選 很容易調(diào) 整 根據(jù)工作內(nèi)容的需要 可以配置不同的許可或禁止的登錄策略 既可以設(shè) 定固定日期的登錄策略 也可以設(shè)定固定時(shí)間間隔的策略 還可以設(shè)定一天中 指定時(shí)間段的策略 并且能夠針對(duì)具體的地址段進(jìn)行控制 Shterm 的訪問控制列表可以讓用戶一目了然的知道某臺(tái)設(shè)備上允許哪些用 戶登錄 某臺(tái)設(shè)備上的系統(tǒng)賬號(hào)有多少個(gè)用戶可以使用 另一方面 從安全運(yùn)維的角度分析 權(quán)限控制策略是從操作的層面上 降 低高危操作所帶來(lái)的安全風(fēng)險(xiǎn) 對(duì)于使用 Telnet SSH 等協(xié)議進(jìn)行遠(yuǎn)程管理的設(shè)備 各種網(wǎng)絡(luò)設(shè)備和 Unix 服務(wù)器 操作權(quán)限的多少取決于用戶可以執(zhí)行的命令 所以 針對(duì)操作指令 的控制才是核心 對(duì)于服務(wù)器設(shè)備操作 Shterm 可以對(duì)服務(wù)器的超級(jí)用戶 root 操作權(quán)限進(jìn) 行控制 即使是 root 用戶 權(quán)限也是受限制的 可以限制 root 用戶只能執(zhí)行 某些操作 白名單 和無(wú)法執(zhí)行某些操作 黑名單 當(dāng)多人同時(shí)使用一個(gè) root 賬號(hào)時(shí) Shterm 可以對(duì)同一個(gè)系統(tǒng)賬號(hào)進(jìn)行操 作權(quán)限再分配 保證使用同一個(gè) root 賬號(hào)的不同用戶擁有不同的操作指令權(quán)限 徹底解決了共享 root 賬號(hào)權(quán)限一致的情況 真正實(shí)現(xiàn)細(xì)粒度的操作權(quán)限控制 對(duì)于網(wǎng)絡(luò)設(shè)備操作 Shterm 可以保證即使多個(gè)用戶在進(jìn)入 enable 狀態(tài)的 時(shí)候 提供高于網(wǎng)絡(luò)設(shè)備系統(tǒng)更好級(jí)別的控制力度 保證每一個(gè)用戶的操作指 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第8頁(yè) 令都能嚴(yán)格受到控制 對(duì)于操作權(quán)限的控制意味著我們從被動(dòng)接受用戶輸入到了主動(dòng)控制 對(duì)于用戶的操作可以有 3 種執(zhí)行狀態(tài) 允許執(zhí)行 拒絕執(zhí)行 禁止執(zhí)行 對(duì)于高危命令 刪除 重起 關(guān)機(jī)等 可以實(shí)時(shí)告警 一旦高危操作觸發(fā) 會(huì)立即給相關(guān)人員發(fā)送告警郵件 保證用戶在第一時(shí)間內(nèi)知道高危操作是否對(duì) 系統(tǒng)造成了影響 2 2 5 完整操作審計(jì)完整操作審計(jì) 運(yùn)維操作審計(jì)是整個(gè) Shterm 解決方案的重要組成部分 管理員確定了以操 作網(wǎng)關(guān)方式來(lái)部署 解決了之前共享賬號(hào)的問題 配置了訪問規(guī)則 明確了操 作權(quán)限 那么最后也是最重要的就是操作和操作審計(jì) Shterm 支持的運(yùn)維操作方式和相應(yīng)的操作審計(jì)基本涵蓋了目前企業(yè)日常運(yùn) 維所涉及到的絕大部分操作模式 包括字符會(huì)話 圖形會(huì)話 Web Client 會(huì)話 文件傳輸?shù)鹊?對(duì)不同會(huì)話采用不同的審計(jì)方式針對(duì)字符會(huì)話 Shterm 的審計(jì)功能會(huì)完全 記錄所有會(huì)話內(nèi)的輸入輸出 并可以使用模式方式對(duì)這些輸入輸出進(jìn)行查詢以 定位操作時(shí)間節(jié)點(diǎn)和操作內(nèi)容 對(duì)于圖形會(huì)話要采用全程的錄像和鍵盤鼠標(biāo)操 作的記錄 并在圖形會(huì)話回放的過程中同步的顯示出來(lái) 對(duì)于 Web Client 方式 的操作會(huì)話 也是目前非常主流的一種操作模式 Shterm 可以利用對(duì)于圖形會(huì) 話的審計(jì)方式來(lái)審計(jì) Web Client 方式的會(huì)話 即 既包括了圖形錄像也包括了 鍵盤鼠標(biāo)記錄 并且可以如圖形會(huì)話一樣 鍵盤輸入信息可以進(jìn)行完全的檢索 以便快速定位一個(gè)較長(zhǎng)的審計(jì)錄像 針對(duì)文件傳輸 FTP SFTP 之類的上傳下 載 Shterm 支持全部的信息記錄 包含時(shí)間 人員 IP 等等信息 此外 Shterm 對(duì)審計(jì)人員本身也有嚴(yán)格要求 一方面 對(duì)審計(jì)人員的審計(jì) 操作 Shterm 有嚴(yán)格的記錄 審計(jì)管理員何時(shí)查閱了某個(gè)會(huì)話操作都要有明確 記錄 另一方面 Shterm 支持非全局性的操作審計(jì) 即 審計(jì)人員也沒有權(quán)利 審計(jì)所有的會(huì)話信息 因?yàn)闀?huì)話中可能包含了非常敏感甚至機(jī)密的企業(yè)信息 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第9頁(yè) 2 2 6 運(yùn)維自動(dòng)化運(yùn)維自動(dòng)化 日常運(yùn)維中經(jīng)常需要對(duì)一些操作進(jìn)行重復(fù)性動(dòng)作 例如每天去執(zhí)行一些腳 本 檢測(cè)一些狀態(tài)等 重復(fù)繁瑣的工作容易令人出現(xiàn)操作的失誤 如果能通過 一些技術(shù)手段 替代用戶的重復(fù)操作 使用戶從重復(fù)繁瑣的工作中釋放出來(lái) 可以讓用戶有更多的時(shí)間去專注于更多技術(shù)領(lǐng)域 操作自動(dòng)化是運(yùn)維操作管理的終極目標(biāo) 通過 Shterm 的自動(dòng)腳本功能 可 讓堡壘機(jī)自動(dòng)幫助運(yùn)維人員執(zhí)行各種常規(guī)操作 從而達(dá)到降低運(yùn)維復(fù)雜度 提 高運(yùn)維效率的目的 2 32 3 產(chǎn)品部署產(chǎn)品部署 在當(dāng)前運(yùn)維環(huán)境中部署了 shterm 齊治運(yùn)維操作管理系統(tǒng) 亦稱齊治運(yùn)維 堡壘機(jī) 之后 拓?fù)浣Y(jié)構(gòu)如下 部署說明部署說明 支持雙機(jī) HA 部署 部署方式是物理旁路 邏輯串接 部署唯一條件是 Shterm 與被管理的設(shè)備之間 IP 可達(dá) 協(xié)議可訪問 在部署過程中 不需要調(diào)整任何網(wǎng)絡(luò)架構(gòu) 不需要安裝任何代理程序 集中管理的一個(gè)標(biāo)志就是入口唯一 Shterm 是用戶操作的唯一入口 目標(biāo)設(shè)備登錄過程 用戶用唯一的用戶帳號(hào)登錄到 shterm 上 然后 Shterm 會(huì)根據(jù)配置管理員預(yù)先設(shè)置好的訪問控制規(guī)則 列出用戶選擇 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第10頁(yè) 可以訪問的目標(biāo)設(shè)備和相應(yīng)系統(tǒng)帳號(hào) 用戶選擇完成后會(huì)自動(dòng)登錄到目 標(biāo)設(shè)備 應(yīng)用程序登錄過程 用戶用唯一的用戶帳號(hào)登錄到 shterm 上 然后 Shterm 會(huì)根據(jù)配置管理員預(yù)先設(shè)置好的訪問控制規(guī)則 列出用戶選擇 可以訪問的應(yīng)用程序 如 PL sql 用戶點(diǎn)擊該程序即可馬上打開 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第11頁(yè) 3 3功能實(shí)現(xiàn)功能實(shí)現(xiàn) 3 13 1 集中管理集中管理 部署了 Shterm 之后 所有用戶對(duì)后臺(tái)設(shè)備的操作 都要先登錄 Shterm 的 WEB 管理界面 Shterm 作為后臺(tái)設(shè)備訪問的唯一入口 實(shí)現(xiàn)單點(diǎn)登錄 然后 再根據(jù) Shterm 管理員預(yù)先設(shè)置好的訪問控制規(guī)則 自動(dòng)登錄到后臺(tái)目標(biāo)設(shè)備上 去 具體方式如下 普通用戶按照登錄流程 首先登錄到 Shterm 的 WEB 頁(yè)面 然后可以在 設(shè) 備訪問 項(xiàng)里面 看到可訪問的設(shè)備列表 選擇好系統(tǒng)賬號(hào) 并點(diǎn)擊相應(yīng)設(shè)備 后面的 圖形 服務(wù) 即可自動(dòng)登錄到圖形管理界面上去進(jìn)行任何操作 同理 點(diǎn)擊 字符 服務(wù) 即可自動(dòng)登錄到字符管理界面上去進(jìn)行任何操作 3 23 2 部門管理部門管理 Shterm 可以將不同的用戶 目標(biāo)設(shè)備分配到不同的部門 部門之間彼此隔 離 不同部門的用戶只能管理自己部門內(nèi)的目標(biāo)設(shè)備 策略 操作的審計(jì) 控 制等 同時(shí) Shterm 還支持樹狀結(jié)構(gòu)部門管理 上級(jí)部門可以管理下級(jí)部門的資 源 包括資源調(diào)整 統(tǒng)計(jì)報(bào)表等 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第12頁(yè) 3 33 3 賬號(hào)管理賬號(hào)管理 Shterm 為每個(gè)用戶分配了獨(dú)一無(wú)二的用戶賬號(hào) 設(shè)備上的系統(tǒng)賬號(hào)不變 通過把多個(gè)用戶賬號(hào)和單個(gè)系統(tǒng)賬號(hào)做關(guān)聯(lián) 用戶賬號(hào)完成身份認(rèn)證 系統(tǒng)賬號(hào) 完成系統(tǒng)授權(quán) 可以在不同的用戶使用相同的系統(tǒng)帳號(hào)訪問目標(biāo)設(shè)備的時(shí)候 Shterm 依然可以準(zhǔn)確識(shí)別用戶的身份 讓用戶的身份和具體的操作一一對(duì)應(yīng)起 來(lái) 從而實(shí)現(xiàn)用戶實(shí)名制管理 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第13頁(yè) 3 43 4 身份認(rèn)證身份認(rèn)證 Shterm 支持的認(rèn)證方式包括 本地靜態(tài)認(rèn)證 第三方 AD 域 LDAP radius iso8583 認(rèn)證和內(nèi)置 totp time based one time passwd 認(rèn) 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第14頁(yè) 證 其中 totp 認(rèn)證 是動(dòng)態(tài)令牌認(rèn)證 Shterm 已經(jīng)內(nèi)置了 totp 認(rèn)證服務(wù)器 只需要再部署相應(yīng)的令牌即可 3 53 5 訪問控制訪問控制 Shterm 可以根據(jù)用戶 用戶組 設(shè)備 設(shè)備組 系統(tǒng)帳號(hào)和時(shí)間來(lái)設(shè)置詳細(xì) 的訪問控制規(guī)則 設(shè)置完成后 用戶只能按照規(guī)則設(shè)置來(lái)訪問相應(yīng)資源 徹底 杜絕了非授權(quán)訪問所帶來(lái)的問題 3 63 6 權(quán)限控制權(quán)限控制 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第15頁(yè) 對(duì)于 Unix 設(shè)備來(lái)說 權(quán)限的多少取決于用戶可以執(zhí)行的命令 所以 針對(duì) 操作指令的控制才是核心 Shterm 可以針對(duì)超級(jí)用戶 root 做操作權(quán)限的控制 當(dāng)多人同時(shí)使用一 個(gè)系統(tǒng)賬號(hào)時(shí) Shterm 可以對(duì)同一個(gè)系統(tǒng)賬號(hào)進(jìn)行權(quán)限再分配 保證使用同一 個(gè)系統(tǒng)賬號(hào)的不同用戶擁有不同的權(quán)限 這就徹底解決了共享賬號(hào)和 root 用戶 權(quán)限的問題 真正實(shí)現(xiàn)細(xì)粒度的操作權(quán)限控制 對(duì)于操作權(quán)限的控制意味著我們從被動(dòng)接受用戶輸入到了主動(dòng)控制 對(duì)于 用戶的操作可以有 3 種狀態(tài) 允許 拒絕 禁止 對(duì)于高危命令 刪除 重起 關(guān)機(jī)等 可以實(shí)時(shí)告警 一旦高危操作觸發(fā) 會(huì)立即給相關(guān)人員發(fā)送告警郵件 保證用戶在第一時(shí)間內(nèi)知道高危操作是否對(duì) 系統(tǒng)有影響 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第16頁(yè) 3 73 7 金庫(kù)模式金庫(kù)模式 3 7 1 實(shí)時(shí)監(jiān)控與阻斷實(shí)時(shí)監(jiān)控與阻斷 對(duì)于普通用戶登錄到目標(biāo)設(shè)備上正在進(jìn)行的操作 審計(jì)管理員可以再 Shterm 的 WEB 界面做到實(shí)時(shí)監(jiān)控 做到邊操作邊審計(jì) 真正實(shí)現(xiàn)實(shí)現(xiàn)操作透明 同時(shí)對(duì)于用戶的違規(guī)操作 審計(jì)管理員還可以做到實(shí)時(shí)切斷 具體如下圖 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第17頁(yè) 3 7 2 雙人授權(quán)訪問雙人授權(quán)訪問 Shterm 具備核心設(shè)備登錄時(shí)候的雙人授權(quán)功能 針對(duì)不同的訪問控制策略 分配不同的雙人授權(quán)人 普通用戶如想登錄該設(shè)備 必須經(jīng)過相關(guān)管理人員 的授權(quán)才行 3 7 3 雙人復(fù)核操作雙人復(fù)核操作 Shterm 對(duì)于在核心設(shè)備上的敏感指令操作 需要經(jīng)過第二個(gè)人復(fù)核后 才能被執(zhí)行 3 83 8 會(huì)話共享會(huì)話共享 Shterm 具有圖形操作會(huì)話共享功能 可讓多位運(yùn)維人員對(duì)同一個(gè)會(huì)話進(jìn)行 共享操作 例如用戶 A 在設(shè)備登錄的過程中需要用戶 B 輸入后半段的密碼 這 時(shí)用戶 A 可以在 WEB 界直接申請(qǐng) B 收到申請(qǐng)后就可以登錄同一臺(tái)設(shè)備完成分 段密碼輸入的工作 并不需要兩人同在一個(gè)地方 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第18頁(yè) 3 93 9 密碼托管密碼托管 3 9 1 單點(diǎn)登錄單點(diǎn)登錄 對(duì)于目標(biāo)設(shè)備的訪問賬號(hào)密碼 可以由 Shterm 進(jìn)行集中托管 只要配置管 理員在相應(yīng)設(shè)備的密碼管理中將目標(biāo)設(shè)備的賬號(hào)密碼添加上去即可 使用了密碼托管功能后 用戶以后訪問目標(biāo)設(shè)備時(shí) 只需要記住自己的 Shterm 上的賬號(hào)和密碼 即可通過 Shterm 自動(dòng)登錄目標(biāo)設(shè)備 3 9 2 自動(dòng)改密自動(dòng)改密 Shterm 可以靈活配置目標(biāo)設(shè)備密碼的修改策略 實(shí)現(xiàn)密碼的批量定期自動(dòng) 修改 修改后的結(jié)果可以以加密郵件方式發(fā)送給密碼保管員 從而實(shí)現(xiàn)密碼的 集中管理 同時(shí)密碼保管員也可以隨時(shí)在系統(tǒng)的 WEB 界面打包備份設(shè)備的密碼 到本地 提高改密功能可用性 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第19頁(yè) 3 103 10自動(dòng)運(yùn)維自動(dòng)運(yùn)維 3 10 1網(wǎng)絡(luò)設(shè)備配置自動(dòng)備份網(wǎng)絡(luò)設(shè)備配置自動(dòng)備份 Shterm 具備網(wǎng)絡(luò)設(shè)備配置自動(dòng)備份功能 管理員通過在 shterm 上配置相 應(yīng)策略 可在指定的時(shí)間 自動(dòng)備份指定的網(wǎng)絡(luò)設(shè)備上的配置文件 3 10 2Unix 系統(tǒng)腳本自動(dòng)執(zhí)行系統(tǒng)腳本自動(dòng)執(zhí)行 Shterm 具備 UNIX 系統(tǒng)腳本自動(dòng)執(zhí)行功能 管理員通過在 shterm 上配置相 應(yīng)策略 可在指定的時(shí)間 自動(dòng)到指定的 UNIX 服務(wù)器上執(zhí)行指定的腳本 實(shí)現(xiàn) 自動(dòng)巡檢等日常工作 3 10 3自動(dòng)發(fā)現(xiàn)目標(biāo)設(shè)備自動(dòng)發(fā)現(xiàn)目標(biāo)設(shè)備 Shterm 具有自動(dòng)發(fā)現(xiàn)目標(biāo)設(shè)備功能 可以根據(jù)管理指定的時(shí)間 對(duì)指定 IP 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第20頁(yè) 地址段的設(shè)備做自動(dòng)掃描 并把設(shè)備的 IP 類型 編碼等內(nèi)容 供配置管理員 修改導(dǎo)入 3 113 11應(yīng)用發(fā)布應(yīng)用發(fā)布 Shterm 可以通過 Web 管理界面 直接發(fā)布安裝在某臺(tái) windows 服務(wù)器上的 各類客戶端 應(yīng)用程序 如 citrix 客戶端 sqlplus secureCRT toad 等 此外 Shterm 還支持部分客戶端工具的密碼自動(dòng)代填 實(shí)現(xiàn)客戶端密碼的 集中管理 3 123 12操作審計(jì)操作審計(jì) Shterm 不僅能記錄用戶在目標(biāo)設(shè)備上進(jìn)行的 Telnet SSH RDP VNC X Windows Http Https FTP SFTP SCP 等協(xié)議的所有操作行為 此外還能完美審計(jì)第三方客戶端工具的操作 如 citrix 客戶端 PL SQL SQLPLUS TOAD 等工具 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第21頁(yè) 3 12 1命令操作審計(jì)命令操作審計(jì) 文本方式記錄 基于 命令精準(zhǔn)識(shí)別 的專利技術(shù) 唯一可以確保對(duì)各種常規(guī)和非常規(guī)操 作行為的準(zhǔn)確識(shí)別 對(duì)于字符命令操作的日志回放支持 在 Web 界面直接回放操作過程 智能輸入輸出分離 展現(xiàn)在用戶面前的只是輸入命令 展開后可查 看命令輸出結(jié)果 支持任意點(diǎn)回放 支持 上下箭頭 TAB 命令補(bǔ)全 等輸入操作回放 點(diǎn)擊即可回放 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第22頁(yè) 3 12 2圖形操作審計(jì)圖形操作審計(jì) 錄像方式記錄 在錄像方式記錄用戶操作過程的同時(shí) 還可以文本方式完整記錄用戶的鍵 盤鼠標(biāo)敲擊 復(fù)制粘貼操作 并能對(duì)操作界面進(jìn)行問題模糊識(shí)別 對(duì)于圖形化操作日志的回放支持 不須加載 無(wú)延時(shí)在線拖拉回放 支持多倍速回放 自動(dòng)過濾屏幕靜止操作 根據(jù)時(shí)間點(diǎn)直接定位回放 針對(duì)任意一個(gè)審計(jì)畫面可以抓屏 保存成一個(gè)圖片文件 回放時(shí)可顯示鍵盤和鼠標(biāo)操作內(nèi)容 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第23頁(yè) 3 133 13操作搜索操作搜索 針對(duì)字符操作記錄 都可以按照時(shí)間 用戶賬號(hào) 目標(biāo)設(shè)備 系統(tǒng)賬號(hào) 命令關(guān)鍵字進(jìn)行搜索 在最短的時(shí)間內(nèi)找到相關(guān)日志內(nèi)容 實(shí)現(xiàn)快速定位 針對(duì)圖形操作記錄 可以根據(jù)鍵盤輸入 剪貼板操作 模糊識(shí)別的內(nèi)容 URL 地址為關(guān)鍵字進(jìn)行查詢定位 針對(duì)數(shù)據(jù)庫(kù)操作記錄 可以根據(jù) SQL 語(yǔ)句的內(nèi)容為關(guān)鍵字進(jìn)行查詢定位 所有查詢的結(jié)果可以和圖形操作過程關(guān)聯(lián)回放 鼠標(biāo)狀態(tài)點(diǎn) 回放的時(shí)候可以在這里查看到在 相應(yīng)時(shí)間點(diǎn)鍵盤輸入的內(nèi)容 命令操作查詢 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第24頁(yè) 3 143 14統(tǒng)計(jì)報(bào)表統(tǒng)計(jì)報(bào)表 Shterm 支持情況總覽 會(huì)話報(bào)表 報(bào)表模板 自動(dòng)報(bào)表 命令報(bào)表 配置 報(bào)表等統(tǒng)計(jì)報(bào)表功能 圖形操作查詢 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第25頁(yè) 4 4方案優(yōu)勢(shì)方案優(yōu)勢(shì) 4 14 1 成熟穩(wěn)定成熟穩(wěn)定 齊治公司從 2005 年成立 自主研發(fā)的堡壘機(jī)系統(tǒng) 自 2005 年被阿里巴巴 選中后 為其旗下的 25000 余臺(tái)服務(wù)器提供著運(yùn)維操作安全服務(wù) 其服務(wù)器數(shù) 量 在線維護(hù)人員數(shù)量等硬指標(biāo)在全國(guó)首屈一指 是完全可以信賴的優(yōu)秀產(chǎn)品 至今 在國(guó)內(nèi) 齊治公司是 唯一專注于運(yùn)維操作管理領(lǐng)域的廠商 在運(yùn)營(yíng)商 金融 互聯(lián)網(wǎng) 電力 政府 煙草和海關(guān)等多個(gè)高端行業(yè)得 到大規(guī)模使用 唯一在單個(gè)用戶超過 2 300 個(gè)并發(fā)用戶環(huán)境成功部署 唯一在單個(gè)用戶超過 10 000 臺(tái)服務(wù)器環(huán)境成功部署 唯一在單個(gè)用戶超