齐治科技堡垒主机系统技术白皮书

齐治科技运维操作管理系统

白皮书

浙江齐治科技有限公司

版本

声明

本文件所有权和解释权归齐治科技所有，未经齐治科技书面许可，不

得复制或向第三方公开。

修订历史记录（版本控制）

版本号作者审核人文档类型保密级别完成日期

V2.0.0 薛斌 A A 2013-5-18

（文档类型A-内部归档类， D-外部交付类）

（保密级别A-公开，B-有选择公开，C-不公开）

目录

第一章概述 (4)

第二章齐治简介 (4)

第三章方案设计 (5)

架构蓝图 (5)

功能框架 (5)

第四章主要功能介绍 (6)

集中管理，实现统一入口 (6)

身份管理，实现用户实名 (6)

访问控制，防止非授权访问 (7)

权限控制，实现主动预防 (7)

应用发布，实现客户端集中管理 (7)

实时监控，实现操作透明 (7)

会话共享，实现远程协助 (7)

操作审计，实现事后追溯和举证 (7)

操作搜索，实现快速定位 (8)

自动运维，提升工作效率 (8)

第五章方案优势分析 (8)

功能最先进 (8)

产品最安全 (9)

方案最成熟 (9)

第六章客户收益 (9)

规范操作管理 (9)

规避操作风险 (10)

第七章拓扑结构 (10)

第八章主要案例介绍 (11)

第一章概述

当前IT技术正在成为诸多企业的神经中枢，越来越多的企业希望借助IT技术这一关键的战略资源提升公司的竞争优势，进而实现公司的战略目标。然而，随着网络建设和系统部署越来越深入，大多数企业面临着如何确保业务系统的稳定运行的难题。复杂的网络结构、人员结构和管理结构使得IT运维管理和企业生产运作间的矛盾日益凸显。日益发展变化的生产业务结构对基础IT运维操作的管理、审计等诸多方面提出了严峻的挑战。

然而，庞大的运维结构复杂的运维管理都给整体的管理增加了很大的难度，从而使得运维过程中的风险不易控制。同时国家也出台了相关的法律法规，如《ISO270001》、《金融行业风险指引》、《内控》、《安全等级保护》等，要求在访问控制、操作审计等诸多方面做得更加全面有效的管理。故此需要通过有效的技术手段来降低运维风险、规范运维操作符合相关法律法规要求。

第二章齐治简介

浙江齐治科技有限公司，原杭州奇智信息科技有限公司，成立于2005年，是国内唯一专注于运维操作管理领域的高科技企业，致力于成为领先的的运维操作审计的供应商。公司率先于业内提出了“运维操作也需要管理”的理念，创新的通过操作网关（堡垒机）对运维操作进行有效的管理，帮助用户规范运维操作管理，加强操作审计，规避操作风险，提高IT运维的内控能力。

齐治科技运维操作管理系统（以下简称Shterm），立足于领先的命令结果精确识别技术，从操作层解决了企业与组织中现存的IT内控与管理的相关问题，特别针对目前安全与运维操作管理中出现的突出的运维操作的风险问题，从账号管理、密码管理、权限控制、操作审计等方面，提供了稳定、安全、方便、可行性强的解决方案，从而根本上改变了现有的管理模式，消除了固有的弊端，使运维操作管理进入一个真正安全与便利相结合的阶段，帮助客户使运维操作管理变得更加简单、安全、有效。

第三章方案设计

架构蓝图

功能框架

集中管理是前提：只有集中以后才能够实现统一管理，只有集中管理才能把复杂问题简单化，分散是无法谈得上管理的，集中是运维管理发展的必然趋势，也是唯一的选择。

身份管理是基础：身份管理解决的是维护操作者的身份问题。身份是用来识别和确认操作者的，因为所有的操作都是用户发起的，如果我们连操作的用户身份都无法确认，那么不管我们怎么控制，怎么审计都无法准确的定位操作责任人。所以身份管理是基础。

访问控制是手段：操作者身份确定后，下一个问题就是他能访问什么资源、你能在目标资源上做什么操作。如果操作者可以随心所欲访问任何资源、在资源上做任何操作，就等于没了控制，所以需要通过访问控制这种手段去限制合法操作者合法访问资源，有效降低未授权访问所带来的风险。

操作审计是保证：操作审计要保证在出了事故以后快速定位操作者和事故原因，还原事故现场和举证。另外一个方面操作审计做为一种验证机制，验证和保证集中管理，身份管理，访问控制，权限控制策略的有效性。

自动运维是目标：操作自动化是运维操作管理的终极目标，通过让该功能，可让堡垒机自动帮助运维人员执行各种常规操作，从而达到降低运维复杂度、提高运维效率的目的。

第四章主要功能介绍

集中管理，实现统一入口

部署完成后， Shterm作为后台设备访问的唯一入口，用户对后台设备运维必须要先登录到shterm上，然后根据管理员预先设置好的访问规则，自动登录到后台设备上去。

身份管理，实现用户实名

提供主从帐号管理，让用户的身份和具体的操作对应起来，从而实现用户实名制管理。

支持多种认证方式，包括本地静态认证、TOTP认证，为第三方AD域、LDAP、radius、iso8583认证提供接口。

访问控制，防止非授权访问

基于用户/用户组、设备/设备组、系统帐号、协议类型、登录规则来设置详细的访问控制规则，彻底杜绝了非授权访问所带来的问题。

同时还可以提供对核心设备登录时候的双人授权功能。

权限控制，实现主动预防

基于用户/用户组、设备/设备组、系统帐号、时间、命令、动作来设定详细的权限控制规则，支持命令操作黑白名单；

应用发布，实现客户端集中管理

可选应用发布模块，实现在Web界面直接发布安装在某台windows服务器上的各类客户端/应用程序，如citrix客户端、sqlplus、secureCRT、toad等，避免客户端本地安装导致难于管理的问题，同时实现了操作数据异地驻留，提升数据安全度；

实时监控，实现操作透明

对于普通用户登录到目标设备上正在进行的任意类型操作，审计管理员可以再Shterm的WEB界面做到实时监控和切断，做到边操作边审计，真正实现实现操作透明；

会话共享，实现远程协助

Shterm可以可让多位运维人员共享同一个图形会话，参与人员拥有同样的操作权限，同时会话共享邀请人拥有对参与人员的踢出权限。

操作审计，实现事后追溯和举证

完整记录用户在目标设备上进行的Telnet、SSH、RDP、XRDP、VNC、X-Windows、Xfwd、Http、FTP、SFTP、SCP等协议的所有操作行为和第三方客户端工具的操作行为，如citrix客户端、PL/SQL、SQLPLUS、TOAD等工具；

独家“命令精准识别”的专利技术，确保对各种常规、非常规命令操作的准确识别；