齐治科技堡垒主机系统技术白皮书

跳板机和堡垒机跳板机1.跳板机简介跳板机就是⼀台服务器，运维⼈员在维护过程中⾸先要统⼀登录到这台服务器，然后再登录到⽬标设备进⾏维护和操作；在腾讯，跳板机是开发者登录到服务器的唯⼀途径，开发者必须先登录跳板机，再通过跳板机登录到应⽤服务器。

2.跳板机的验证⽅式1）固定密码2）证书+固定密码+动态验证码三重认证⽅式（腾讯）作⽤：a.保护业务机器的安全；b.通过证书避免⾝份伪造，通过动态token避免证书丢失后的⾝份假冒，最⼤限度的保证安全性；证书：Certificate证书为⽂本格式，长度为2048bit；是应⽤登录到机器上的唯⼀⾝份标识，每个⽤户有且仅有⼀个证书；固定密码：分配LDAP账号时，同时也会分配⼀个固定密码动态验证码（token）：是⼀个6位数的数字串，每个动态验证码有效期3分钟；3.跳板机的优势和不⾜：1）优势：集中管理2）不⾜：没有实现对运维⼈员操作⾏为的控制和审计，使⽤跳板机的过程中还是会出现误操作、违规操作导致的事故，⼀旦出现操作事故很难快速定位到原因和责任⼈；4.运维思想：1）审计是事后⾏为，可以发现问题及责任⼈，但⽆法防⽌问题发⽣；2）只有事先严格控制，才能从源头真正解决问题；3）系统账号的作⽤只是区分⼯作⾓⾊，但⽆法确认⽤户⾝份；4）只要是机器能做的，就不要⼈去做；运维堡垒机1.堡垒机简介1）堡垒机的理念起于跳板机；2）齐治科技堡垒机：集中管理是前提；⾝份管理是基础；访问控制是⼿段；操作审计是保证；⾃动化是⽬标。

具体怎么实现呢？------有待研究。

3）堡垒机是通过切断终端对计算机⽹络和服务器资源的直接访问，采⽤协议代理的⽅式接管终端计算机对⽹络和服务器的访问；2.堡垒机作⽤1）核⼼系统运维和安全审计管控；2）过滤和拦截⾮法访问、恶意攻击，阻断不合法命令，审计监控、报警、责任追踪；3）报警、记录、分析、处理；3.堡垒机核⼼功能1）单点登录功能⽀持对X11、Linux、Unix、数据库、⽹络设备、安全设备等⼀系列授权账号进⾏密码的⾃动化周期更改，简化密码管理，让使⽤者⽆需记忆众多系统密码，即可实现⾃动登录⽬标设备，便捷安全；2）账号管理设备⽀持统⼀账户管理策略，能够实现对所有服务器、⽹路设备、安全设备等账号进⾏集中管理，完成对账号整个⽣命周期的监控，并且可以对设备进⾏特殊⾓设置，如：审计巡检员、运维操作员、设备管理员等⾃定义，以满⾜审计需求；3）⾝份认证设备提供统⼀的认证接⼝，对⽤户进⾏认证，⽀持⾝份认证模式包括动态⼝令、静态密码、硬件key、⽣物特征等多种认证⽅式，设备具有灵活的定制接⼝，可以与其他第三⽅认证服务器直接结合；安全的认证模式，有效提⾼了认证的安全性和可靠性；4）资源授权设备提供基于⽤户、⽬标设备、时间、协议类型IP、⾏为等要素实现细粒度的操作授权，最⼤限度保护⽤户资源的安全；5）访问控制设备⽀持对不同⽤户进⾏不同策略的制定，细粒度的访问控制能够最⼤限度的保护⽤户资源的安全，严防⾮法、越权访问事件的发⽣；6）操作审计设备能够对字符串、图形、⽂件传输、数据库等安全操作进⾏⾏为审计；通过设备录像⽅式监控运维⼈员对操作系统、安全设备、⽹络设备、数据库等进⾏的各种操作，对违规⾏为进⾏事中控制；对终端指令信息能够进⾏精确搜索，进⾏录像精确定位；4.堡垒机应⽤场景1）多个⽤户使⽤同⼀账号多出现在同⼀⼯作组中，由于⼯作需要，同时系统管理员账号唯⼀，因此只能多⽤户共享同⼀账号；如果发⽣安全事故，不仅难以定位账号的实际使⽤者和责任⼈，⽽且⽆法对账号的使⽤范围进⾏有效控制，存在较⼤的安全风险和隐患；2）⼀个⽤户使⽤多个账号。

声明版权所有 © 浙江齐治科技股份有限公司 2019。

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明•是浙江齐治科技股份有限公司的商标或注册商标。

•本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受浙江齐治科技股份有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，浙江齐治科技股份有限公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

关于本文档本文档详细介绍RIS的各种功能特性，内容包括RIS的特性介绍和操作指导。

本文档适用于RIS的管理员和操作员等多种用户角色，请根据自己的操作角色，参考权限列表，阅读相应的指导，或者在实际操作中有疑问时查阅本文档。

产品版本与本文档相对应的产品和版本如下表所示。

产品名称产品版本齐治科技RIS数据中心风险洞察系统 3.3.7格式约定格式说明粗体各类界面控件名称采用加粗字体表示，如单击确定。

>多级菜单用 > 隔开。

如选择用户管理 > 用户列表，表示选择用户管理菜单下的用户列表子菜单。

目录声明............................................................................................................................................................................................序言 关于本文档......................................................................................................................................................................插图清单 (ix)表格清单 (x)第 1 章 概述 (1)操作角色 (1)权限列表 (2)登录方式 (3)登录RIS Web界面 (3)登录RIS的Console (9)通过RDP登录RIS (15)通过SSH登录RIS (18)安装安全证书 (20)安装AccessClient (21)获取帮助 (21)获取软件版本信息 (21)管理软件包和用户手册 (21)第 2 章 用户管理 (23)配置用户（手工创建） (24)配置用户（批量导入） (27)配置用户（LDAP导入） (30)修改用户属性 (32)修改单个用户的属性 (32)批量修改多个用户的属性 (33)查看用户 (34)配置用户组 (36)第 3 章 资产管理 (38)配置资产 (40)配置资产（手工创建） (40)配置资产（批量导入） (44)配置资产的访问协议 (51)配置资产的帐号和密码 (53)配置资产组 (58)查看资产 (58)查看动态视图 (59)配置视图的层级 (61)配置Windows域 (62)配置密钥 (63)生成新密钥 (64)粘贴已有密钥 (64)配置等价资产 (64)配置等价帐号 (66)配置资产适配 (66)客户端代填兼容性列表 (68)第 4 章 权限管理 (71)配置权限 (72)配置动态权限 (72)配置变更单 (74)配置规则模板 (75)查看权限 (79)按用户查看权限 (79)按资产查看权限 (79)配置高危操作 (79)复核高危操作 (80)查看已复核操作 (81)配置会话复核 (83)配置高危命令 (86)配置命令模板 (89)第 5 章 资产访问 (92)查找资产 (93)建立会话 (94)通过Web界面建立会话 (94)通过Mstsc客户端建立图形会话 (98)通过Telnet/SSH客户端建立字符会话 (100)共享会话 (101)发起共享 (102)加入共享 (102)传输文件 (103)通过Web界面建立SFTP会话传输文件 (104)通过SFTP工具直连目标资产传输文件 (104)在字符终端中通过SFTP传输文件 (106)在字符会话中通过ZMODEM传输文件 (106)在RDP图形会话中通过剪贴板传输文件 (107)在RDP图形会话中通过磁盘映射传输文件 (108)执行高危操作 (108)客户端兼容性列表 (110)第 6 章 审计 (115)查看审计概览与统计 (116)查看审计数据概览 (116)查看会话情况统计 (117)检索问题 (118)查看审计结果（操作类） (121)审计在线会话 (121)审计字符会话 (122)审计图形会话 (124)审计数据库会话 (126)审计文件传输 (128)查看审计结果（事件类） (129)审计登录日志 (129)审计配置日志 (130)查看审计记录 (131)播放会话录屏 (132)数据库审计兼容性列表 (134)第 7 章 报表 (136)配置报表 (136)查看历史报表 (138)配置报表模板 (139)配置报表参数 (139)第 8 章 自动化 (141)配置脚本任务 (141)查看脚本任务执行历史和结果 (143)第 9 章 工单 (146)新建资产权限申请工单 (147)新建密码申请工单 (149)审批待办工单 (152)查看（撤销）已办工单 (152)配置审批模板 (153)第 10 章 帐号改密 (156)管理帐号资产 (156)设置帐号属性 (156)管理选定帐号密码 (157)查看选定帐号日志 (159)批量更新帐号 (159)批量导出帐号 (160)帐号维护 (160)配置改密计划 (160)配置密码备份 (165)日志报表 (166)查看历史密码 (166)系统设置 (167)配置密码规则 (167)配置改密方法 (170)第 11 章 个人帐号相关设置 (175)修改个人设置 (175)设置基本信息 (175)修改密码 (176)修改语言设置 (176)设置操作员默认展示页面 (176)配置信息加密 (177)配置ZIP文件密码 (177)配置PGP公钥 (177)修改会话配置 (178)修改字符会话配置 (178)修改图形会话配置 (179)修改文件传输配置 (181)配置密钥 (181)查看访问记录 (182)第 12 章 系统设置 (184)系统 (184)基本设置：配置网络参数 (184)基本设置：配置系统时间 (187)基本设置：配置邮件服务 (188)基本设置：配置文件服务 (188)基本设置：配置告警事件 (190)基本设置：配置短信网关和发送通知短信的功能 (193)基本设置：备份系统配置 (195)基本设置：配置logo (196)基本设置：修改服务端口 (196)基本设置：修改配置文件 (197)基本设置：配置其他系统基本参数 (197)配置部门 (200)配置HA (200)配置共享登录 (202)配置授权文件 (206)升级系统和安装补丁 (206)查看系统状态 (206)配置安全证书 (208)定期任务：配置LDAP用户同步 (209)定期任务：配置审计数据备份 (210)定期任务：配置审计数据清理 (211)配置问题诊断 (212)用户 (214)登录认证：配置本地密码参数 (214)登录认证：配置AD认证 (214)登录认证：配置LDAP认证 (216)登录认证：配置RADIUS认证 (217)登录认证：配置动态令牌认证（TOTP） (218)登录认证：配置手机令牌认证 (220)登录认证：配置短信认证 (220)登录认证：配置双因子认证 (221)登录认证：配置X.509证书认证 (221)登录认证：配置USB Key认证 (222)登录认证：配置登录安全 (223)配置用户角色权限 (224)配置用户属性 (225)配置全局用户登录控制 (225)资产 (226)配置资产类型 (226)配置资产属性 (229)访问设置 (230)远程客户端 (236)第 13 章 Console控制台 (240)配置系统日期和时间（Date and Time） (240)配置HA（HA Management） (241)设置HA维护模式 (241)拆除HA (242)查看系统信息（System Maintenance） (242)配置网络参数（Network Configuration） (243)修改网口信息 (243)修改路由配置 (244)查看/修改网口状态 (244)配置网口绑定 (245)配置默认网关 (246)配置IPv6默认网关 (247)关闭/开启IPv6路由通告 (248)配置主机名信息 (248)添加网口 (249)使用Shterm工具（Shterm Tools） (249)一键采集日志 (249)安装标准升级包和补丁包 (250)安装其他特殊补丁包 (250)恢复出厂设置 (251)修复RPM Database (251)重置admin用户（Reset admin） (251)配置SSHD端口状态（SSHD Management） (252)配置Host头防护（Nginx Management） (252)配置访问控制（ACL Management） (253)使用系统工具（System Tools） (254)图 1: 菜单布局的动态视图 (60)图 2: 树形布局的动态视图 (60)图 3: 编辑权限规则模板 (76)图 4: 命令权限检查流程图 (86)图 5: 资产权限工单处理流程 (147)图 6: 密码工单处理流程 (150)图 7: 改密流程图 (161)图 8: HA组网 (200)图 9: 直接访问的资产类型 (227)表 1: 用户手册上传要求说明表 (22)表 2: 软件包上传要求说明表 (22)表 3: 预定义用户属性 (23)表 4: 主机资产 (38)表 5: 网络资产 (38)表 6: 数据库资产 (38)表 7: 应用系统资产 (39)表 8: 常见资产属性 (39)表 9: 访问协议参数说明 (51)表 10: 资产的帐号和密码参数（手工批量导入） (54)表 11: 资产的帐号和密码参数（手工配置） (56)表 12: 树形布局动态视图按钮说明 (60)表 13: 预览视图按钮说明 (62)表 14: 等价资产的组成条件和同步的配置 (65)表 15: 客户端代填兼容性列表 (69)表 16: 动态权限匹配方式说明 (72)表 17: 主机/网络设备支持的不同协议类型的前提条件 (94)表 18: 配置会话参数 (96)表 19: 配置Mstsc客户端图形会话参数 (99)表 20: 字符会话常用操作 (100)表 21: 不同文件传输方式的比较 (103)表 22: 客户端兼容性列表 (111)表 23: 字符会话建议使用的客户端列表 (111)表 24: 登录Console控制台建议使用的客户端列表 (113)表 25: mstsc建议版本 (113)表 26: 数据库审计兼容性列表 (134)表 27: 目标资产和脚本支持情况 (141)表 28: 系统预置命令表 (142)表 29: 常见错误信息和可能原因 (144)表 30: 工单申请人、使用人和审批人的要求 (146)表 31: 支持帐号扫描的资产类型和要求 (162)表 32: 常用MIB节点 (198)表 33: 审计数据备份文件说明 (210)表 34: 动态令牌参数说明 (218)表 35: 资产属性类型说明 (229)概述1目录:•操作角色•权限列表•登录方式•安装安全证书•安装AccessClient •获取帮助操作角色RIS为了解决用户身份识别问题，为每一个用户创建一个身份认证帐号，用于平台身份鉴别，并借助访问权限将平台身份帐号与相应资产中系统帐号一一关联，实现用户操作与其身份相关联。

齐治堡垒机操作手册中国旅游集团有限公司信息共享中心2020年2月版本 <V1.0>目录第一章建立用户账户 (3)1.1 首次访问与默认用户账号 (3)1.2 添加用户账号、分配用户角色 (4)1.3建立普通用户账号 (6)1.4快速身份切换 (6)第二章添加目标设备（配置管理员） (7)2.1 Windows设备（RDP） (7)2.1.1 条件准备 (7)2.1.2 添加设备 (7)2.1.3 设置密码 (8)2.2 Linux设备(SSH、X windows) (10)2.2.1 条件准备 (10)2.2.2 添加设备 (10)2.2.3 设置密码 (11)2.3网络设备（Telnet） (12)2.3.1 条件准备 (12)2.3.2 添加设备 (12)2.3.3 设置null账号密码 (13)2.3.4 设置特权模式（enbale）密码 (14)第三章建立访问控制规则（配置管理员） (15)3.1新建规则 (16)3.2关联用户账户 (16)3.3 关联设备 (17)3.4 关联系统账号 (17)第四章设备访问（普通用户） (18)4.1环境准备 (18)4.2图形设备 (18)4.3 设备访问 (18)4.4字符终端设备访问（Telnet、SSH） (22)4.5 Web终端 (22)4.6 第三方SSH客户端 (23)第五章操作审计（审计管理员） (26)5.1字符会话审计 (26)5.1.1 命令列表式查看 (27)5.1.2 命令回放 (27)5.1.3 命令查询 (28)5．2图形会话审计 (28)5.2.1 会话列表 (29)5.2.2 会话审计 (29)第一章建立用户账户1.1 首次访问与默认用户账号Shterm采用加密型的Http方式进行访问，在浏览器地址栏中输入https://Shterm堡垒机IP地址即可，如：https://10.8.251.70,由于采用SSL技术，首次访问会出现证书错误提示，如下图：此时点击“继续浏览此网站”，将出现Shterm的登录页面。

360网神工业主机安全防护系统产品白皮书一. 引言近年来，随着工业4.0及两化深度融合战略的持续推进，以及物联网等新兴技术在工业领域的应用，工业控制系统安全也倍受政府和企业关注。

其中，工业主机是工业控制系统安全的关键环节，工业信息安全建设也需要从主机防护开始。

工业主机相对普通的IT系统主机和终端，在安全防护方面存在以下特点：1. 工业主机生命周期长，硬件资源受限在很多细分工业行业，工业主机在投运后会运行很多年，硬件资源受限，往往不能安装杀毒软件。

2. 工业主机不会随意增加应用软件工业主机投运后，安装在主机上的软件不会随意升级或增加新的软件、插件。

3. 病毒库不能定期升级杀毒软件防病毒库需要定期升级或进行在线云查杀。

而工控系统不允许在运行期间进行系统升级，也不允许在线云查杀。

在工控系统中的防病毒库如果三个月不升级，防病毒效果会大大降低。

4. 普通杀毒软件误杀关键进程目前非工控专用杀毒软件没做过与工业软件的兼容性测试，在国内外都发生过非工控专用杀毒软件误杀工业软件进程，造成工控系统运行异常的事件。

误杀进程在工业控制系统中是致命的。

5. 查毒、杀毒造成工业软件处理延时杀毒软件一般会使用本地引擎或云端病毒库对工业主机进行病毒查杀，可能会对造成工业软件的处理延时。

6. 移动存储介质使用风险工业主机大多在封闭环境中，普遍使用U盘、移动硬盘等移动存储设备传递数据，容易造成病毒通过移动存储介质进行传播。

针对以上工业主机特殊性和安全性，奇安信推出的一款工控环境专用的终端安全产品：360网神工业主机安全防护系统。

360网神工业主机安全防护系统产品白皮书二. 工业主机安全防护系统产品介绍2.1 产品概述360网神工业主机安全防护系统是奇安信全新推出的一款工控环境专用的软件产品，通过在工控上位机和服务器上安装进行入口拦截、运行拦截、扩散拦截关卡式病毒拦截技术以及基于智能匹配的白名单技术和基于ID的USB移动存储管控的工业主机安全防护系统，能够防范恶意程序的运行、非法外设接入、全面集中管理和终端安全风险管理等，实现对工业主机全面的安全防护。

齐治堡垒机简易使用手册V1.0Shterm用户手册- 应用发布手册（配置管理员）杭州奇智信息科技有限公司2011年3月版本 <V1.0>第1章第2章第3章用户登录shterm3.1普通用户首次登录Shterm采用Web作为用户界面。

用户可使用Microsoft Internet Explorer 或以其为内核其他浏览器、Mozilla Firefox、Google Chrome等主流浏览器访问Shterm。

Shterm的访问地址一般为这种形式的：https://ipaddr，如：https://10.100.192.102注意：建议将此站点加入到浏览器的安全站点中。

3.1.1用户登录账号目前Shterm已与AD域认证系统进行了联合认证，因此在登录Shterm系统时只需要使用自己的AD域账号密码就可以登录Shterm系统了。

3.1.2使用环境准备为了正常的使用Shterm您需要做以下环境准备工作：首先在您的系统安装Jre（Java虚拟机），此工具可在shterm的右上方下拉“工具下载”。

如果浏览器用的是IE或IE核心的，则需要再安装ShtermLoader工具，此工具可在shterm的右上方“工具下载”中下载并安装；注意：需根据浏览器的版本下载相应的ShtermLoader，如32位的浏览器则需要下载32位的ShtermLoader，64位的浏览器则需要下载64位的ShtermLoader；第4章Windwos设备访问对于Windows设备访问，Shterm提供了两种方式：1.直接在WEB界面中登录设备，此种方式需要安装JRE/ShtermLoader；2.打开本地MSTSC客户端登录Shterm后再登录目标设备，此种方式不需要安装任何插件；4.1.1WEB登录用户直接通过浏览器登录Shterm。

下图是普通用户登录到shterm后的界面，系统列出了您的最近访问记录。

如果您从来没有通过shterm访问过任何设备，该列表将为空（如下图）。

LEADING INNOVATIVE PRODUCTS OF CYBER SECURITY摘 要：基于账号、资产、操作审计等维度的数据采集和智能分析、风险溯源系统，实现数据驱动的多场景运维安全管理；引入API 接口技术，完成各系统对接，实现运维自动化；采用“多站点+多A 集群”的技术实现运维管理的连续性，提升异地管理效率，保障运维管理安全。

关键词：数据中心；风险可视化；运维自动化；运维安全管理中图分类号：TN915.08 文献标志码： B 文章编号：1009-8054(2020)S1-0114-05朱爱兵，岳玉慧（浙江齐治科技股份有限公司，浙江 杭州 310012）数据中心风险洞察系统RIS*文献引用格式：朱爱兵,岳玉慧.数据中心风险洞察系统RIS[J].信息安全与通信保密,2020(增刊1):114-118.ZHU Aibing,YUE Yuhui.Data Center Risk Insight System[J].Information Security andCommunications Privacy,2020(S1):114-118.* 收稿日期：2020-08-19；修回日期：2020-08-27 Received date:2020-08-19; Revised date:2020-08-27Data Center Risk Insight SystemZHU Aibing, YUE Yuhui（Zhejiang Qizhi Technology Co.,Ltd., Hangzhou Zhejiang 310012, China）Abstract: We have adopted the technology such as the data acquisition and intelligent analysis and risk traceability system based on account number, assets, operation audit, to realize data-driven in multi scene operation and maintenance safety management; We have also introduced API interface technology and completed the docking of various systems to realize operation and maintenance automation; To improve the efficiency of remote management and ensure the safety of operation and maintenance management，the technology of "multi site + multi A cluster" has been adopted to keep operation and maintenance management continuity.Key words: data center; risk visualization; operation and maintenance automation; operation and maintenance safety management0　引　言随着网络安全法、等保2.0、ISO27001、上市企业法规、银保监办[2018]313号便函等合规性政策的陆续出台和收紧，数据中心运维管理领域的合规建设需求以及安全管理需求越发凸显。

Inspur NOS安全技术白皮书文档版本V1.0发布日期2022-12-16版权所有© 2022浪潮电子信息产业股份有限公司。

保留一切权利。

未经本公司事先书面许可，任何单位和个人不得以任何形式复制、传播本手册的部分或全部内容。

商标说明Inspur浪潮、Inspur、浪潮、Inspur NOS是浪潮集团有限公司的注册商标。

本手册中提及的其他所有商标或注册商标，由各自的所有人拥有。

技术支持技术服务电话：400-860-0011地址：中国济南市浪潮路1036号浪潮电子信息产业股份有限公司邮箱：***************邮编：250101前言文档用途本文档阐述了浪潮交换机产品Inspur NOS的安全能力及技术原理。

注意由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

读者对象本文档提供给以下相关人员使用：●产品经理●运维工程师●售前工程师●LMT及售后工程师变更记录目录1概述 (1)2缩写和术语 (2)3威胁与挑战 (3)4安全架构 (4)5安全设计 (5)5.1账号安全 (5)5.2权限控制 (5)5.3访问控制 (6)5.4安全协议 (6)5.5数据保护 (7)5.6安全加固 (7)5.7日志审计 (7)5.8转发面安全防护 (7)5.9控制面安全防护 (8)6安全准测和策略 (9)6.1版本安全维护 (9)6.2加强账号和权限管理 (10)6.3TACACS+服务授权 (10)6.4加固系统安全 (12)6.4.1关闭不使用的服务和端口 (12)6.4.2废弃不安全通道 (12)6.4.3善用安全配置 (12)6.5关注数据安全 (13)6.6保障网络隔离 (14)6.7基于安全域访问控制 (14)6.8攻击防护 (15)6.9可靠性保护 (16)7安全发布 (18)随着开放网络的快速发展，白盒交换机做为一种软硬件解耦的开放网络设备，应用越来越广泛。

中远麒麟iAudit运维审计系统产品白皮书北京中远麒麟科技有限公司2017年1月版本控制信息2目录1 网络运维现状 (2)1.1 概述 (2)1.2 账号共享 (2)1.3 授权不清 (3)1.4 缺乏审计 (3)1.5 代维人员 (3)1.6 法规遵从 (4)2 iAudit方案设计 (4)2.1 设计目的 (4)2.2 设计理念 (5)2.3 系统架构 (6)2.4 解决方案 (7)2.4.1 管控对象 (7)2.4.2 支持协议类型 (8)2.4.3 部署方式 (8)2.4.4 系统管理员运维过程 (9)2.4.5 运维人员运维过程 (9)3 iAudit主要功能介绍 (9)3.1 单点登录 (9)3.2 集中账号管理 (10)3.3 身份认证 (10)3.4 资源授权 (10)3.5 访问控制 (11)3.6 操作审计 (11)4 iAudit关键技术应用 (11)4.1 逻辑命名自动识别技术 (11)4.2 分布式处理技术 (11)4.3 图形协议代理 (12)4.4 数据加密技术 (12)4.5 操作还原技术 (12)4.6 动态口令技术 (12)5 iAudit产品优势 (13)5.1 强大的应用发布系统 (13)25.2 审计信息“零管理” (13)5.3 强大丰富的管理能力 (13)5.4 方便灵活的可扩展性 (14)5.5 高可靠的自身安全性 (14)6 结语 (14)31网络运维现状1.1概述我国经济的高速发展为信息化建设带来了源源不断的动力，现阶段，各行各业无不在信息资产方面增加投入，以确保基础网络、业务系统、数据资产和信息安全方面的需要。

高效的信息系统提升了企业的管理水平，提高了工作效率，同时也带来了经济效益。

但与此同时，如何维护数量众多的信息资产，让它们健康有序运行，正在引起企业信息部门的关注。

信息化建设的重点已经由原来的基础建设向深化应用、安全运维方面发生转变。

随着防火墙、入侵防御系统（IPS）等安全产品的广泛使用，网络已经具备了抵抗外部入侵的能力，但堡垒往往是在内部被攻破的。

齐治堡垒机操作手册中国旅游集团信息共享中心2020年2月版本 <V1.0>目录第一章建立用户账户31.1首次访问与默认用户账号31.2添加用户账号、分配用户角色41.3建立普通用户账号61.4快速身份切换6第二章添加目标设备（配置管理员）72.1 Windows设备（RDP）72.1.1条件准备72.1.2添加设备72.1.3 设置密码82.2 Linux设备(SSH、X windows) (10)2.2.1条件准备102.2.2添加设备102.2.3设置密码112.3网络设备（Telnet）122.3.1条件准备122.3.2添加设备122.3.3设置null账号密码132.3.4设置特权模式（enbale）密码14第三章建立访问控制规则（配置管理员）153.1新建规则163.2关联用户账户163.3关联设备173.4关联系统账号17第四章设备访问（普通用户）184.1环境准备184.2图形设备184.3设备访问184.4字符终端设备访问（Telnet、SSH）224.5 Web终端224.6第三方SSH客户端23第五章操作审计（审计管理员）265.1字符会话审计265.1.1 命令列表式查看275.1.2 命令回放275.1.3 命令查询285．2图形会话审计285.2.1 会话列表295.2.2 会话审计29第一章建立用户账户1.1首次访问与默认用户账号Shterm采用加密型的Http方式进行访问，在浏览器地址栏中输入https://Shterm堡垒机IP地址即可，如：https://10.8.251.70,由于采用SSL技术，首次访问会出现证书错误提示，如下图：此时点击“继续浏览此”，将出现Shterm的登录页面。

如下图：Shterm默认管理员账号和密码均为小写“shterm”，输入用户名和密码后回车即可登录到Shterm操作界面，如下图：1.2添加用户账号、分配用户角色使用缺省管理员登录到Shterm，并打开基本控制-用户账户菜单，如下图：点击“新建用户”，进入用户设置界面：这里不需要填写全部容，但必须设置标有红色*号项，其他可根据实际情况确定是否需要填写即可：●登录名：登录Shterm的用户ID，可以使用数字、字母或. - _等符号，但不能以. - _符号开头作为用户名，例如这里我们设置成admin；密码：选择手动输入或自动设置，默认选择手动输入，依次在设置密码和确认密码栏中输入两次密码；●权限：系统默认有4类管理员，分别负责不同的角色，可以将不同的角色权限分配给不同用户，也可以多个管理员权限分配给同一个用户，可根据公司实际情况分配权限，例如我们这里将所有权限分配给admin这个，将这四个管理员选项都勾选上。

齐治堡垒机操作手册中国旅游集团有限公司信息共享中心2020年2月版本<V1.0>目录第一章建立用户账户 (5)1.1 首次访问与默认用户账号 (5)1.2 添加用户账号、分配用户角色 (6)1.3建立普通用户账号 (8)1.4快速身份切换 (8)第二章添加目标设备（配置管理员） (9)2.1 Windows设备（RDP） (9)2.1.1 条件准备 (9)2.1.2 添加设备 (9)2.1.3 设置密码 (11)2.2 Linux设备(SSH、X windows) (13)2.2.1 条件准备 (13)2.2.3 设置密码 (14)2.3网络设备（Telnet） (15)2.3.1 条件准备 (15)2.3.2 添加设备 (16)2.3.3 设置null账号密码 (17)2.3.4 设置特权模式（enbale）密码 (18)第三章建立访问控制规则（配置管理员） (19)3.1新建规则 (19)3.2关联用户账户 (20)3.3 关联设备 (20)3.4 关联系统账号 (20)第四章设备访问（普通用户） (21)4.1环境准备 (21)4.2图形设备 (22)4.3 设备访问 (22)4.4字符终端设备访问（Telnet、SSH） (25)4.5 Web终端 (25)4.6 第三方SSH客户端 (27)第五章操作审计（审计管理员） (30)5.1字符会话审计 (30)5.1.1 命令列表式查看 (30)5.1.3 命令查询 (31)5．2图形会话审计 (32)5.2.1 会话列表 (32)5.2.2 会话审计 (33)第一章建立用户账户1.1 首次访问与默认用户账号Shterm采用加密型的Http方式进行访问，在浏览器地址栏中输入https://Shterm堡垒机IP地址即可，如：https://10.8.251.70, 由于采用SSL技术，首次访问会出现证书错误提示，如下图：此时点击“继续浏览此网站”，将出现Shterm的登录页面。

奇智科技运维操作管理系统技术白皮书杭州奇智信息科技有限公司版权说明© 版权所有 2005-2010，杭州思奇智信息科技有限公司。

本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属杭州奇智信息科技有限公司所有，受到有关产权及版权法保护。

任何个人、机构未经杭州奇智信息科技有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

商标信息Shterm是杭州思奇智信息科技有限公司的注册商标，受商标法保护。

公司信息网址：E-mail：service@目 录1.概述 (4)1.1 背景介绍 (4)2.产品概述 (5)2.1 产品架构 (5)3.主要功能介绍 (6)3.1 全WEB化管理 (6)3.2 密码托管 (7)3.3 权限控制和告警 (8)3.4 活动会话实时监控 (9)3.5 活动会话实时切断 (11)3.6 专业的操作审计记录与回放 (12)3.7 审计结果高级搜索 (14)3.8 定制化的报表 (15)3.9 跨平台多协议支持 (16)4.产品部署 (17)1.概述1.1 背景介绍目前，国内外针对操作行为审计主要采用旁路镜像网络流量分析，分析的主要协议为诸如TELNET、FTP、HTTP等明文协议，然而为了对抗网络窃听，远程管理工具正逐步由明文协议转向加密协议，例如SSH已经基本上代替了Telnet的位置；Windows的主要远程维护工具远程桌面（RDP）也采用了加密协议。

对于这些加密协议，目前主流的网络流量分析型行为审计系统都无能为力。

奇智运维操作管理（以下简称Shterm）系统，不仅支持对明文的TELNET、FTP、数据库操作进行审计，也支持对加密的SSH、RDP、XWINDOWS等协议进行审计，消除了传统行为审计系统中的审计盲点，能够为信息安全保障体系建设提供全面的、完善的审计解决方案。

同时，产品立足于领先的命令结果精确识别技术，率先提出了“操作管理”的概念，从操作层解决了企业与组织中现存的IT内控与管理的相关问题，特别针对目前安全与运维操作管理中出现的突出问题，创新的从账号管理、密码管理、权限控制、操作审计等方面，提供了稳定、安全、方便、可行性强的解决方案，从而根本上改变了现有的管理模式，消除了固有的弊端，使运维操作管理进入一个真正安全与便利相结合的阶段，帮助客户使运维操作管理变得更加简单、安全、有效。