齐治科技堡垒主机系统技术白皮书.docx
《齐治科技堡垒主机系统技术白皮书.docx》由会员分享,可在线阅读,更多相关《齐治科技堡垒主机系统技术白皮书.docx(9页珍藏版)》请在冰点文库上搜索。
齐治科技堡垒主机系统技术白皮书
齐治科技运维操作管理系统
白皮书
浙江齐治科技有限公司
版本
声明
本文件所有权和解释权归齐治科技所有,未经齐治科技书面许可,不得复制或向第三方公开。
修订历史记录(版本控制)
版本号
作者
审核人
文档类型
保密级别
完成日期
V2.0.0
薛斌
A
A
2013-5-18
(文档类型A-内部归档类,D-外部交付类)
(保密级别A-公开,B-有选择公开,C-不公开)
第一章
概述
当前IT技术正在成为诸多企业的神经中枢,越来越多的企业希望借助IT技术这一关键的战略资源提升公司的竞争优势,进而实现公司的战略目标。
然而,随着网络建设和系统部署越来越深入,大多数企业面临着如何确保业务系统的稳定运行的难题。
复杂的网络结构、人员结构和管理结构使得IT运维管理和企业生产运作间的矛盾日益凸显。
日益发展变化的生产业务结构对基础IT运维操作的管理、审计等诸多方面提出了严峻的挑战。
然而,庞大的运维结构复杂的运维管理都给整体的管理增加了很大的难度,从而使得运维过程中的风险不易控制。
同时国家也出台了相关的法律法规,如《ISO270001》、《金融行业风险指引》、《内控》、《安全等级保护》等,要求在访问控制、操作审计等诸多方面做得更加全面有效的管理。
故此需要通过有效的技术手段来降低运维风险、规范运维操作符合相关法律法规要求。
第二章
齐治简介
浙江齐治科技有限公司,原杭州奇智信息科技有限公司,成立于2005年,是国内唯一专注于运维操作管理领域的高科技企业,致力于成为领先的的运维操作审计的供应商。
公司率先于业内提出了“运维操作也需要管理”的理念,创新的通过操作网关(堡垒机)对运维操作进行有效的管理,帮助用户规范运维操作管理,加强操作审计,规避操作风险,提高IT运维的内控能力。
齐治科技运维操作管理系统(以下简称Shterm),立足于领先的命令结果精确识别技术,从操作层解决了企业与组织中现存的IT内控与管理的相关问题,特别针对目前安全与运维操作管理中出现的突出的运维操作的风险问题,从账号管理、密码管理、权限控制、操作审计等方面,提供了稳定、安全、方便、可行性强的解决方案,从而根本上改变了现有的管理模式,消除了固有的弊端,使运维操作管理进入一个真正安全与便利相结合的阶段,帮助客户使运维操作管理变得更加简单、安全、有效。
第三章
方案设计
架构蓝图
功能框架
集中管理是前提:
只有集中以后才能够实现统一管理,只有集中管理才能把复杂问题简单化,分散是无法谈得上管理的,集中是运维管理发展的必然趋势,也是唯一的选择。
身份管理是基础:
身份管理解决的是维护操作者的身份问题。
身份是用来识别和确认操作者的,因为所有的操作都是用户发起的,如果我们连操作的用户身份都无法确认,那么不管我们怎么控制,怎么审计都无法准确的定位操作责任人。
所以身份管理是基础。
访问控制是手段:
操作者身份确定后,下一个问题就是他能访问什么资源、你能在目标资源上做什么操作。
如果操作者可以随心所欲访问任何资源、在资源上做任何操作,就等于没了控制,所以需要通过访问控制这种手段去限制合法操作者合法访问资源,有效降低未授权访问所带来的风险。
操作审计是保证:
操作审计要保证在出了事故以后快速定位操作者和事故原因,还原事故现场和举证。
另外一个方面操作审计做为一种验证机制,验证和保证集中管理,身份管理,访问控制,权限控制策略的有效性。
自动运维是目标:
操作自动化是运维操作管理的终极目标,通过让该功能,可让堡垒机自动帮助运维人员执行各种常规操作,从而达到降低运维复杂度、提高运维效率的目的。
第四章
主要功能介绍
集中管理,实现统一入口
部署完成后,Shterm作为后台设备访问的唯一入口,用户对后台设备运维必须要先登录到shterm上,然后根据管理员预先设置好的访问规则,自动登录到后台设备上去。
身份管理,实现用户实名
提供主从帐号管理,让用户的身份和具体的操作对应起来,从而实现用户实名制管理。
支持多种认证方式,包括本地静态认证、TOTP认证,为第三方AD域、LDAP、radius、iso8583认证提供接口。
访问控制,防止非授权访问
基于用户/用户组、设备/设备组、系统帐号、协议类型、登录规则来设置详细的访问控制规则,彻底杜绝了非授权访问所带来的问题。
同时还可以提供对核心设备登录时候的双人授权功能。
权限控制,实现主动预防
基于用户/用户组、设备/设备组、系统帐号、时间、命令、动作来设定详细的权限控制规则,支持命令操作黑白名单;
应用发布,实现客户端集中管理
可选应用发布模块,实现在Web界面直接发布安装在某台windows服务器上的各类客户端/应用程序,如citrix客户端、sqlplus、secureCRT、toad等,避免客户端本地安装导致难于管理的问题,同时实现了操作数据异地驻留,提升数据安全度;
实时监控,实现操作透明
对于普通用户登录到目标设备上正在进行的任意类型操作,审计管理员可以再Shterm的WEB界面做到实时监控和切断,做到边操作边审计,真正实现实现操作透明;
会话共享,实现远程协助
Shterm可以可让多位运维人员共享同一个图形会话,参与人员拥有同样的操作权限,同时会话共享邀请人拥有对参与人员的踢出权限。
操作审计,实现事后追溯和举证
完整记录用户在目标设备上进行的Telnet、SSH、RDP、XRDP、VNC、X-Windows、Xfwd、Http、FTP、SFTP、SCP等协议的所有操作行为和第三方客户端工具的操作行为,如citrix客户端、PL/SQL、SQLPLUS、TOAD等工具;
独家“命令精准识别”的专利技术,确保对各种常规、非常规命令操作的准确识别;
录像方式记录用户的图形操作过程,并且还可以实现文本方式完整记录用户的键盘鼠标敲击、复制粘贴操作,并能对操作界面进行问题模糊识别,记录的内容和图形审计相关联;
可选的数据库审计模块,实现对数据库客户端操作所对应的sql语句的100%文本审计,语句可以和图形审计相关联;
操作搜索,实现快速定位
对字符操作记录,按照时间、用户账号、目标设备、系统账号、命令关键字进行搜索,在最短的时间内找到相关日志内容,实现快速定位;
对图形操作记录,根据键盘输入、剪贴板操作、模糊识别的内容、URL地址为关键字进行查询定位;
针对数据库操作记录,可以根据SQL语句的内容为关键字进行查询定位;
所有查询的结果可以和图形操作过程关联回放;
自动运维,提升工作效率
密码托管,自动改密;
网络设备配置自动备份;
Unix系统脚本自动执行;
报表自动化;
第五章
方案优势分析
功能最先进
Ø唯一在运维审计域获得国家发明专利及香港发明专利的产品(且两项专利);
Ø唯一实现图形操作模糊识别的产品;
Ø唯一实现图形会话关键字(键盘输入、剪贴板、模糊识别、URL地址)检索的产品;
Ø唯一实现图形操作无延时前后拖拉回放的产品;
Ø唯一提供设备密码修改容错性保证的产品;
Ø唯一实现citrix方式的应用发布的产品;
Ø唯一内置动态认证服务器的产品;
Ø唯一可实现堡垒机方式的数据库审计(100%记录所有sql语句,并实现sql与图形审计关联)的产品;
产品最安全
Shterm是以安全性为基础构建坚实的运维堡垒,是业内唯一不存在中高级安全漏洞、对外不开放非安全端口的产品。
Ø只开放3个端口(22、443和5899),彻底杜绝telnet、ftp、rdp等非安全服务端口开放;
Ø使用SSL、SSH封装传输过程;
Ø唯一同时拥有国家保密局和中国国家信息安全产品认证的;
方案最成熟
Ø在申广发证券交易网、申银万国、中德证券、安信证券、金元证券、深圳证券信息等证券类客户处得到过大规模使用;
Ø唯一市场化时间超过六年以上;
Ø唯一在单个用户超过2,300个并发用户环境成功部署;
Ø唯一在单个用户超过10,000台服务器环境成功部署;
Ø唯一在单个用户超过2,000台网络设备环境成功部署;
第六章
客户收益
规范操作管理
Ø实现操作透明化
Ø增强操作可控性
Ø提高操作管理效率
规避操作风险
Ø法律规范遵从
Ø有效监管代维厂商
Ø完善责任认定体系
第七章
拓扑结构
在当前运维环境中部署了shterm之后,拓扑结构如下:
部署说明
Ø支持双机HA部署;
Ø部署方式是物理旁路,逻辑串接;
Ø集中管理的一个标志就是入口唯一,Shterm是用户操作的唯一入口;
Ø部署唯一条件是Shterm与被管理的设备之间IP可达,协议可访问。
在部署过程中,不需要调整任何网络架构,不需要安装任何代理程序;
Ø目标设备登录过程:
用户用唯一的用户帐号登录到shterm上,然后Shterm会根据配置管理员预先设置好的访问控制规则,列出用户选择可以访问的目标设备和相应系统帐号,用户选择完成后会自动登录到目标设备;
Ø应用程序登录过程:
用户用唯一的用户帐号登录到shterm上,然后Shterm会根据配置管理员预先设置好的访问控制规则,列出用户选择可以访问的应用程序(如SecureCRT),用户点击该程序即可马上打开;
第八章
主要案例介绍
升级会员 