午啪啪夜福利无码亚洲,亚洲欧美suv精品,欧洲尺码日本尺码专线美国,老狼影院成年女人大片

1、 運維操作管理系統（堡壘機）解決方案浙江齊治科技有限公司2013年8月聲明本文件所有權和解釋權歸齊治科技所有，未經齊治科技書面許可，不得復制或向第三方公開。修訂歷史記錄（版本控制）版本號作者審核人文檔類型保密級別完成日期V1.0.0DXBrianADA2011-1-21VDXBrianADA2011-5-18V3.2.0DXJoeADA2012-1-17DXJoeADA2013-8-8（文檔類型A-內部歸檔類， D-外部交付類）（保密級別A-公開，B-有選擇公開，C-不公開）目 錄1現狀分析22解決方案43功能實現114方案優勢255客戶收益276成功案例281 現狀分析1.1 運維管理現狀客2、戶的維護部門主要負責應用系統以及信息系統基礎平臺的建設和維護，以及局內網絡的建設和維護。現有數十臺各種各樣的服務器，其日常運維過程中都普遍存在以下現狀： 用戶的訪問方式以內部直接遠程訪問為主。其中運維操作的遠程訪問方式又以SSH/Telnet/RDP/VNC/X-window/http/https/FTP/SFTP為主，設備數量比較多； 維護人員較多，并且部分設備的維護交由第三方維護廠商完成，維護操作比較分散，權限變更復雜； 使用設備上的共享系統賬號進行認證與授權； 無法有效落實定期修改設備密碼的規定； 用戶的運維操作無審計； 需要定期接受等保、SOX、ISO27001等法律法規標準的檢查。13、.2 存在問題 維護方式不統一； 共享賬號難控制； 操作行為難約束； 設備密碼難管理； 運維操作無審計； 法律法規難遵從；1.3 問題分析出現以上問題的主要原因在于： 運維操作不規范； 運維操作不透明； 運維操作風險不可控；1.4 帶來的后果 違規操作可能會導致設備/服務異常或者宕機； 惡意操作可能會導致系統上敏感數據/信息被篡改、被破壞； 當發生故障的時候，無法快速定位故障原因或者責任人；2 解決方案2.1 實現目標通過Shterm的部署，可以有效的解決運維部門當前運維過程中存在的各種問題： 以堡壘方式，形成統一的運維入口，實現運維操作的唯一路徑； 引入主從帳號管理概念，使用戶認證與系統授權4、分開，從而有效解決系統帳號共享使用，帶來的身份不唯一的問題； 基于用戶、設備、系統帳號、協議類型、登錄規則的嚴格訪問控制設置，有效規避了非授權訪問帶來的問題； 密碼托管和自動改密，使得密碼管理規范能有效落地，避免了因人員的流動還會導致設備密碼存在外泄的風險； 能完整記錄運維人員的操作過程，當系統因人為操作導致故障的時候，能夠快速定位故障原因和責任人； 可以滿足等保、SOX、ISO270001、BS7799等安全規范對運維操作管理的要求。2.2 具體設計2.2.1 總設計思路因為操作的風險來源于各個方面，所以必須要從能夠影響到操作的各個層面去降低風險。齊治運維操作管理系統（Shterm）采用操作5、代理（網關）方式實現集中管理，對身份、訪問、審計、自動化操作等統一進行有效管理，真正幫助用戶最小化運維操作風險。集中管理是前提：只有集中以后才能夠實現統一管理，只有集中管理才能把復雜問題簡單化，分散是無法談得上管理的，集中是運維管理發展的必然趨勢，也是唯一的選擇。身份管理是基礎：身份管理解決的是維護操作者的身份問題。身份是用來識別和確認操作者的，因為所有的操作都是用戶發起的，如果我們連操作的用戶身份都無法確認，那么不管我們怎么控制，怎么審計都無法準確的定位操作責任人。所以身份管理是基礎。訪問控制是手段：操作者身份確定后，下一個問題就是他能訪問什么資源、你能在目標資源上做什么操作。如果操作者可以6、隨心所欲訪問任何資源、在資源上做任何操作，就等于沒了控制，所以需要通過訪問控制這種手段去限制合法操作者合法訪問資源，有效降低未授權訪問所帶來的風險。操作審計是保證：操作審計要保證在出了事故以后快速定位操作者和事故原因，還原事故現場和舉證。另外一個方面操作審計做為一種驗證機制，驗證和保證集中管理，身份管理，訪問控制，權限控制策略的有效性。自動運維是目標：操作自動化是運維操作管理的終極目標，通過讓該功能，可讓堡壘機自動幫助運維人員執行各種常規操作，從而達到降低運維復雜度、提高運維效率的目的。2.2.2 操作網關方式部署集中管理是實現運維操作安全管理的首要前提。針對當前核心設備分散管理的現狀，集中管7、理倡導的是一種統一管理的理念。集中管理是未來運維操作安全管理的必然趨勢。實現集中管理，關鍵點在于對用戶原有的運維環境不造成任何影響。綜合各種部署方案，我們采用了“操作堡壘機”的部署方式。2.2.3 用好共享賬號在當前的運維環境中，普遍存在操作者身份無法識別的安全隱患。這主要是由操作者共享使用核心設備上的系統賬號造成的。設備數量達到一定規模，必然會使用到共享賬號。共享賬號就是多人共同使用同一個存在于設備上的系統賬號，使用共享賬號會讓整體賬號的數量最少。但是僅僅依賴系統上的單一系統賬號，無法既能區分用戶身份，又能完成工作角色的定位。如何準確的區分用戶身份和工作角色，進而實現操作者和具體的操作過程一8、一對應？ Shterm將賬號的用戶身份確認和系統工作角色功能分離，在Shterm上增加了用戶賬號，完成用戶的身份確認。原來系統上的賬號依然存在，但是作用只是完成工作角色授權的工作賬號。 用戶登錄Shterm是采用唯一的用戶賬號，然后根據工作角色的需要，轉換成系統賬號登錄到被管理設備上。這樣既能夠保證整體賬號數量最少，管理方便；同時又能夠實現對用戶、工作角色的雙重定位。當用戶加入、離職或崗位變動，當代維人員和原廠商進行維護的時候，只需要在Shterm上變更該用戶賬號即可，對系統上的系統賬號沒有任何影響。代維人員維護系統并不需要知道用戶系統的最高權限的系統帳號密碼，這樣大大降低了管理風險。原廠商進9、行臨時維護的時候只需要臨時分配一個用戶賬號，當使用結束后該賬號會自動回收，減少了賬號管理的成本。2.2.4 訪問控制規則目前，用戶只要知道用戶名和密碼就可以任意訪問任意設備,這種現狀必然會帶來“未授權訪問的安全風險”。部署了Shterm后，情況就發生了變化。Shterm邏輯上成為了用戶登錄的唯一入口，因為入口唯一，訪問控制很容易配置了。相同工作任務的集合可以放置在一個訪問規則組里，當用戶崗位、職責改變時，對用戶相關聯的組、系統權限、可訪問設備通過Web的勾選，很容易調整。根據工作內容的需要，可以配置不同的許可或禁止的登錄策略。既可以設定固定日期的登錄策略，也可以設定固定時間間隔的策略，還可以設10、定一天中指定時間段的策略，并且能夠針對具體的地址段進行控制。Shterm的訪問控制列表可以讓用戶一目了然的知道某臺設備上允許哪些用戶登錄。某臺設備上的系統賬號有多少個用戶可以使用。另一方面，從安全運維的角度分析，權限控制策略是從操作的層面上，降低高危操作所帶來的安全風險：對于使用Telnet/SSH等協議進行遠程管理的設備（各種網絡設備和Unix服務器），操作權限的多少取決于用戶可以執行的命令。所以，針對操作指令的控制才是核心。對于服務器設備操作，Shterm可以對服務器的超級用戶root操作權限進行控制，即使是root用戶，權限也是受限制的，可以限制root用戶只能執行某些操作（白名單）和無11、法執行某些操作（黑名單）。當多人同時使用一個root賬號時，Shterm可以對同一個系統賬號進行操作權限再分配，保證使用同一個root賬號的不同用戶擁有不同的操作指令權限，徹底解決了共享root賬號權限一致的情況，真正實現細粒度的操作權限控制。對于網絡設備操作，Shterm可以保證即使多個用戶在進入enable狀態的時候，提供高于網絡設備系統更好級別的控制力度，保證每一個用戶的操作指令都能嚴格受到控制。對于操作權限的控制意味著我們從被動接受用戶輸入到了主動控制。對于用戶的操作可以有3種執行狀態：允許執行，拒絕執行，禁止執行。對于高危命令（刪除，重起，關機等）可以實時告警，一旦高危操作觸發，會立12、即給相關人員發送告警郵件，保證用戶在第一時間內知道高危操作是否對系統造成了影響。2.2.5 完整操作審計運維操作審計是整個Shterm解決方案的重要組成部分。管理員確定了以操作網關方式來部署，解決了之前共享賬號的問題，配置了訪問規則，明確了操作權限，那么最后也是最重要的就是操作和操作審計。Shterm支持的運維操作方式和相應的操作審計基本涵蓋了目前企業日常運維所涉及到的絕大部分操作模式，包括字符會話、圖形會話、Web Client會話、文件傳輸等等。對不同會話采用不同的審計方式針對字符會話，Shterm的審計功能會完全記錄所有會話內的輸入輸出，并可以使用模式方式對這些輸入輸出進行查詢以定位操作13、時間節點和操作內容。對于圖形會話要采用全程的錄像和鍵盤鼠標操作的記錄，并在圖形會話回放的過程中同步的顯示出來。對于Web Client方式的操作會話，也是目前非常主流的一種操作模式，Shterm可以利用對于圖形會話的審計方式來審計Web Client方式的會話，即，既包括了圖形錄像也包括了鍵盤鼠標記錄，并且可以如圖形會話一樣，鍵盤輸入信息可以進行完全的檢索以便快速定位一個較長的審計錄像。針對文件傳輸，FTP、SFTP之類的上傳下載，Shterm支持全部的信息記錄，包含時間，人員，IP等等信息。此外，Shterm對審計人員本身也有嚴格要求，一方面，對審計人員的審計操作，Shterm有嚴格的記錄，14、審計管理員何時查閱了某個會話操作都要有明確記錄。另一方面，Shterm支持非全局性的操作審計，即，審計人員也沒有權利審計所有的會話信息，因為會話中可能包含了非常敏感甚至機密的企業信息。2.2.6 運維自動化日常運維中經常需要對一些操作進行重復性動作，例如每天去執行一些腳本、檢測一些狀態等，重復繁瑣的工作容易令人出現操作的失誤。如果能通過一些技術手段，替代用戶的重復操作，使用戶從重復繁瑣的工作中釋放出來，可以讓用戶有更多的時間去專注于更多技術領域。操作自動化是運維操作管理的終極目標，通過Shterm的自動腳本功能，可讓堡壘機自動幫助運維人員執行各種常規操作，從而達到降低運維復雜度、提高運維效率的15、目的。2.3 產品部署在當前運維環境中部署了shterm（齊治運維操作管理系統，亦稱齊治運維堡壘機）之后，拓撲結構如下：部署說明 支持雙機HA部署； 部署方式是物理旁路，邏輯串接； 部署唯一條件是Shterm與被管理的設備之間IP可達，協議可訪問； 在部署過程中，不需要調整任何網絡架構，不需要安裝任何代理程序； 集中管理的一個標志就是入口唯一，Shterm是用戶操作的唯一入口； 目標設備登錄過程：用戶用唯一的用戶帳號登錄到shterm上，然后Shterm會根據配置管理員預先設置好的訪問控制規則，列出用戶選擇可以訪問的目標設備和相應系統帳號，用戶選擇完成后會自動登錄到目標設備； 應用程序登錄過程16、：用戶用唯一的用戶帳號登錄到shterm上，然后Shterm會根據配置管理員預先設置好的訪問控制規則，列出用戶選擇可以訪問的應用程序（如PL/sql），用戶點擊該程序即可馬上打開。3 功能實現3.1 集中管理部署了Shterm之后，所有用戶對后臺設備的操作，都要先登錄Shterm的WEB管理界面（Shterm作為后臺設備訪問的唯一入口，實現單點登錄），然后再根據Shterm管理員預先設置好的訪問控制規則，自動登錄到后臺目標設備上去。具體方式如下：普通用戶按照登錄流程，首先登錄到Shterm的WEB頁面，然后可以在“設備訪問”項里面，看到可訪問的設備列表。選擇好系統賬號，并點擊相應設備后面的“圖17、形”服務，即可自動登錄到圖形管理界面上去進行任何操作，同理，點擊“字符”服務，即可自動登錄到字符管理界面上去進行任何操作。3.2 部門管理Shterm可以將不同的用戶、目標設備分配到不同的部門；部門之間彼此隔離；不同部門的用戶只能管理自己部門內的目標設備、策略、操作的審計、控制等；同時，Shterm還支持樹狀結構部門管理，上級部門可以管理下級部門的資源，包括資源調整、統計報表等。3.3 賬號管理Shterm為每個用戶分配了獨一無二的用戶賬號，設備上的系統賬號不變，通過把多個用戶賬號和單個系統賬號做關聯(用戶賬號完成身份認證，系統賬號完成系統授權)，可以在不同的用戶使用相同的系統帳號訪問目標設備18、的時候，Shterm依然可以準確識別用戶的身份，讓用戶的身份和具體的操作一一對應起來，從而實現用戶實名制管理。3.4 身份認證Shterm支持的認證方式包括：本地靜態認證，第三方AD域、LDAP、radius、iso8583認證和內置totp（time-based-one-time-passwd）認證。其中totp認證，是動態令牌認證。Shterm已經內置了totp認證服務器，只需要再部署相應的令牌即可：3.5 訪問控制Shterm可以根據用戶/用戶組、設備/設備組、系統帳號和時間來設置詳細的訪問控制規則，設置完成后，用戶只能按照規則設置來訪問相應資源，徹底杜絕了非授權訪問所帶來的問題。3.619、 權限控制對于Unix設備來說，權限的多少取決于用戶可以執行的命令。所以，針對操作指令的控制才是核心。Shterm可以針對超級用戶（root）做操作權限的控制，當多人同時使用一個系統賬號時，Shterm可以對同一個系統賬號進行權限再分配，保證使用同一個系統賬號的不同用戶擁有不同的權限，這就徹底解決了共享賬號和root用戶權限的問題，真正實現細粒度的操作權限控制。對于操作權限的控制意味著我們從被動接受用戶輸入到了主動控制。對于用戶的操作可以有3種狀態：允許，拒絕，禁止。對于高危命令（刪除，重起，關機等）可以實時告警，一旦高危操作觸發，會立即給相關人員發送告警郵件，保證用戶在第一時間內知道高危操作20、是否對系統有影響。3.7 金庫模式3.7.1 實時監控與阻斷對于普通用戶登錄到目標設備上正在進行的操作，審計管理員可以再Shterm的WEB界面做到實時監控，做到邊操作邊審計，真正實現實現操作透明；同時對于用戶的違規操作，審計管理員還可以做到實時切斷。具體如下圖：3.7.2 雙人授權訪問Shterm具備核心設備登錄時候的雙人授權功能（針對不同的訪問控制策略分配不同的雙人授權人）。普通用戶如想登錄該設備，必須經過相關管理人員的授權才行。3.7.3 雙人復核操作Shterm對于在核心設備上的敏感指令操作，需要經過第二個人復核后，才能被執行。3.8 會話共享Shterm具有圖形操作會話共享功能，可讓21、多位運維人員對同一個會話進行共享操作，例如用戶A在設備登錄的過程中需要用戶B輸入后半段的密碼，這時用戶A可以在WEB界直接申請，B收到申請后就可以登錄同一臺設備完成分段密碼輸入的工作，并不需要兩人同在一個地方。3.9 密碼托管3.9.1 單點登錄對于目標設備的訪問賬號密碼，可以由Shterm進行集中托管，只要配置管理員在相應設備的密碼管理中將目標設備的賬號密碼添加上去即可；使用了密碼托管功能后，用戶以后訪問目標設備時，只需要記住自己的Shterm上的賬號和密碼，即可通過Shterm自動登錄目標設備。3.9.2 自動改密Shterm可以靈活配置目標設備密碼的修改策略，實現密碼的批量定期自動修改，22、修改后的結果可以以加密郵件方式發送給密碼保管員，從而實現密碼的集中管理，同時密碼保管員也可以隨時在系統的WEB界面打包備份設備的密碼到本地，提高改密功能可用性。3.10 自動運維3.10.1 網絡設備配置自動備份Shterm具備網絡設備配置自動備份功能。管理員通過在shterm上配置相應策略，可在指定的時間，自動備份指定的網絡設備上的配置文件。3.10.2 Unix系統腳本自動執行Shterm具備UNIX系統腳本自動執行功能。管理員通過在shterm上配置相應策略，可在指定的時間，自動到指定的UNIX服務器上執行指定的腳本；實現自動巡檢等日常工作。3.10.3 自動發現目標設備Shterm具有23、自動發現目標設備功能，可以根據管理指定的時間，對指定IP地址段的設備做自動掃描，并把設備的IP、類型、編碼等內容，供配置管理員修改導入。3.11 應用發布Shterm可以通過Web管理界面，直接發布安裝在某臺windows服務器上的各類客戶端/應用程序，如citrix客戶端、sqlplus、secureCRT、toad等；此外，Shterm還支持部分客戶端工具的密碼自動代填，實現客戶端密碼的集中管理；3.12 操作審計Shterm不僅能記錄用戶在目標設備上進行的Telnet、SSH、RDP、VNC、X-Windows、Http、Https、FTP、SFTP、SCP等協議的所有操作行為；此外還能24、完美審計第三方客戶端工具的操作，如citrix客戶端、PL/SQL、SQLPLUS、TOAD等工具；3.12.1 命令操作審計文本方式記錄；基于“命令精準識別”的專利技術，唯一可以確保對各種常規和非常規操作行為的準確識別；對于字符命令操作的日志回放支持： 在Web界面直接回放操作過程 智能輸入輸出分離，展現在用戶面前的只是輸入命令，展開后可查看命令輸出結果 支持任意點回放 支持“上下箭頭”、“TAB命令補全”等輸入操作回放；點擊即可回放3.12.2 圖形操作審計錄像方式記錄；在錄像方式記錄用戶操作過程的同時，還可以文本方式完整記錄用戶的鍵盤鼠標敲擊、復制粘貼操作，并能對操作界面進行問題模糊識別25、；對于圖形化操作日志的回放支持： 不須加載、無延時在線拖拉回放 支持多倍速回放 自動過濾屏幕靜止操作 根據時間點直接定位回放 針對任意一個審計畫面可以抓屏，保存成一個圖片文件 回放時可顯示鍵盤和鼠標操作內容鼠標狀態點回放的時候可以在這里查看到在相應時間點鍵盤輸入的內容3.13 操作搜索針對字符操作記錄，都可以按照時間、用戶賬號、目標設備、系統賬號、命令關鍵字進行搜索，在最短的時間內找到相關日志內容，實現快速定位；針對圖形操作記錄，可以根據鍵盤輸入、剪貼板操作、模糊識別的內容、URL地址為關鍵字進行查詢定位；針對數據庫操作記錄，可以根據SQL語句的內容為關鍵字進行查詢定位；命令操作查詢所有查詢的26、結果可以和圖形操作過程關聯回放；圖形操作查詢3.14 統計報表Shterm支持情況總覽、會話報表、報表模板、自動報表、命令報表、配置報表等統計報表功能。4 方案優勢4.1 成熟穩定齊治公司從2005年成立，自主研發的堡壘機系統。自2005年被阿里巴巴選中后，為其旗下的25000余臺服務器提供著運維操作安全服務，其服務器數量、在線維護人員數量等硬指標在全國首屈一指，是完全可以信賴的優秀產品。至今，在國內，齊治公司是： 唯一專注于運維操作管理領域的廠商 在運營商、金融、互聯網、電力、政府、煙草和海關等多個高端行業得到大規模使用 唯一在單個用戶超過2,300個并發用戶環境成功部署 唯一在單個用戶超過27、10,000臺服務器環境成功部署 唯一在單個用戶超過2,000臺網絡設備環境成功部署4.2 安全可靠Shterm是以安全性為基礎構建堅實的運維堡壘，是業內唯一不存在中高級安全漏洞、對外不開放非安全端口的產品。 只開放4個端口（22、443、3389和5899），徹底杜絕telnet、ftp等非安全服務端口開放 使用SSL、SSH封裝傳輸過程； 唯一同時擁有國家保密局和中國國家信息安全產品認證的；4.3 技術先進品質的保障在于點滴細節，齊治堡壘機系統在核心功能上面擁有獨家的技術，可以最大程度降低運維操作風險，以確保后臺設備系統的穩健運行。其領先性主要體現在以下幾點： 唯一在該領域具備發明專利，可28、確保： 對各種常規和非常規命令操作的100%識別和控制； 實現數據庫操作sql語句的100%識別； 唯一可保證目標設備密碼修改安全性； 唯一實現圖形會話關鍵字（鍵盤輸入、剪貼板、模糊識別內容）文本記錄和圖文關聯檢索； 唯一支持運維自動化； 唯一真正實現堡壘機方式的數據庫審計（100%記錄所有sql語句，并實現sql與圖形審計關聯）的產品；5 客戶收益5.1 規范操作管理 實現操作透明化 增強操作可控性 提高操作管理效率5.2 規避操作風險 法律規范遵從 有效監管代維廠商 完善責任認定體系6 成功案例6.1 政府行業6.2 運營商行業6.3 銀行行業6.4 小金融行業6.5 互聯網行業6.6 電力行業6.7 企業行業