齐治科技运维操作管理解决方案功能介绍.doc

运维操作管理系统 堡垒机 运维操作管理系统 堡垒机 功能点介绍功能点介绍 浙江齐治科技有限公司浙江齐治科技有限公司 20132013 年年 6 6 月月 VER3 2 0 浙江齐治科技有限公司 Copyright 2005 2013 齐治科技 第1页 目目 录录 1功能实现功能实现 2 1 1集中管理 2 1 2部门管理 2 1 3账号管理 3 1 4身份认证 4 1 5访问控制 5 1 6权限控制 5 1 7金库模式 6 1 8会话共享 8 1 9密码托管 9 1 10自动运维 10 1 11应用发布 10 1 12操作审计 11 1 13操作搜索 14 1 14统计报表 15 浙江齐治科技有限公司 Copyright 2005 2013 齐治科技 第2页 1 1功能实现功能实现 1 11 1 集中管理集中管理 部署了 Shterm 之后 所有用户对后台设备的操作 都要先登录 Shterm 的 WEB 管理界面 Shterm 作为后台设备访问的唯一入口 实现单点登录 然后 再根据 Shterm 管理员预先设置好的访问控制规则 自动登录到后台目标设备上 去 具体方式如下 普通用户按照登录流程 首先登录到 Shterm 的 WEB 页面 然后可以在 设 备访问 项里面 看到可访问的设备列表 选择好系统账号 并点击相应设备 后面的 图形 服务 即可自动登录到图形管理界面上去进行任何操作 同理 点击 字符 服务 即可自动登录到字符管理界面上去进行任何操作 1 21 2 部门管理部门管理 浙江齐治科技有限公司 Copyright 2005 2013 齐治科技 第3页 Shterm 可以将不同的用户 目标设备分配到不同的部门 部门之间彼此隔 离 不同部门的用户只能管理自己部门内的目标设备 策略 操作的审计 控 制等 同时 Shterm 还支持树状结构部门管理 上级部门可以管理下级部门的资 源 包括资源调整 统计报表等 1 31 3 账号管理账号管理 Shterm 为每个用户分配了独一无二的用户账号 设备上的系统账号不变 通过把多个用户账号和单个系统账号做关联 用户账号完成身份认证 系统账号 完成系统授权 可以在不同的用户使用相同的系统帐号访问目标设备的时候 Shterm 依然可以准确识别用户的身份 让用户的身份和具体的操作一一对应起 来 从而实现用户实名制管理 浙江齐治科技有限公司 Copyright 2005 2013 齐治科技 第4页 1 41 4 身份认证身份认证 Shterm 支持的认证方式包括 本地静态认证 第三方 AD 域 LDAP radius iso8583 认证和内置 totp time based one time passwd 认 浙江齐治科技有限公司 Copyright 2005 2013 齐治科技 第5页 证 其中 totp 认证 是动态令牌认证 Shterm 已经内置了 totp 认证服务器 只需要再部署相应的令牌即可 1 51 5 访问控制访问控制 Shterm 可以根据用户 用户组 设备 设备组 系统帐号和时间来设置详细 的访问控制规则 设置完成后 用户只能按照规则设置来访问相应资源 彻底 杜绝了非授权访问所带来的问题 1 61 6 权限控制权限控制 对于 Unix 设备来说 权限的多少取决于用户可以执行的命令 所以 针对 操作指令的控制才是核心 Shterm 可以针对超级用户 root 做操作权限的控制 当多人同时使用一 个系统账号时 Shterm 可以对同一个系统账号进行权限再分配 保证使用同一 个系统账号的不同用户拥有不同的权限 这就彻底解决了共享账号和 root 用户 浙江齐治科技有限公司 Copyright 2005 2013 齐治科技 第6页 权限的问题 真正实现细粒度的操作权限控制 对于操作权限的控制意味着我们从被动接受用户输入到了主动控制 对于 用户的操作可以有 3 种状态 允许 拒绝 禁止 对于高危命令 删除 重起 关机等 可以实时告警 一旦高危操作触发 会立即给相关人员发送告警邮件 保证用户在第一时间内知道高危操作是否对 系统有影响 浙江齐治科技有限公司 Copyright 2005 2013 齐治科技 第7页 1 71 7 金库模式金库模式 1 7 1 实时监控与阻断实时监控与阻断 对于普通用户登录到目标设备上正在进行的操作 审计管理员可以再 Shterm 的 WEB 界面做到实时监控 做到边操作边审计 真正实现实现操作透明 同时对于用户的违规操作 审计管理员还可以做到实时切断 具体如下图 1 7 2 双人授权访问双人授权访问 Shterm 具备核心设备登录时候的双人授权功能 针对不同的访问控制策略 分配不同的双人授权人 普通用户如想登录该设备 必须经过相关管理人员 的授权才行 浙江齐治科技有限公司 Copyright 2005 2013 齐治科技 第8页 1 7 3 双人复核操作双人复核操作 Shterm 对于在核心设备上的敏感指令操作 需要经过第二个人复核后 才能被执行 1 81 8 会话共享会话共享 Shterm 具有图形操作会话共享功能 可让多位运维人员对同一个会话进行 共享操作 例如用户 A 在设备登录的过程中需要用户 B 输入后半段的密码 这 时用户 A 可以在 WEB 界直接申请 B 收到申请后就可以登录同一台设备完成分 段密码输入的工作 并不需要两人同在一个地方 浙江齐治科技有限公司 Copyright 2005 2013 齐治科技 第9页 1 91 9 密码托管密码托管 1 9 1 单点登录单点登录 对于目标设备的访问账号密码 可以由 Shterm 进行集中托管 只要配置管 理员在相应设备的密码管理中将目标设备的账号密码添加上去即可 使用了密码托管功能后 用户以后访问目标设备时 只需要记住自己的 Shterm 上的账号和密码 即可通过 Shterm 自动登录目标设备 1 9 2 自动改密自动改密 Shterm 可以灵活配置目标设备密码的修改策略 实现密码的批量定期自动 修改 修改后的结果可以以加密邮件方式发送给密码保管员 从而实现密码的 集中管理 同时密码保管员也可以随时在系统的 WEB 界面打包备份设备的密码 到本地 提高改密功能可用性 浙江齐治科技有限公司 Copyright 2005 2013 齐治科技 第10页 1 101 10自动运维自动运维 1 10 1网络设备配置自动备份网络设备配置自动备份 Shterm 具备网络设备配置自动备份功能 管理员通过在 shterm 上配置相 应策略 可在指定的时间 自动备份指定的网络设备上的配置文件 1 10 2Unix 系统脚本自动执行系统脚本自动执行 Shterm 具备 UNIX 系统脚本自动执行功能 管理员通过在 shterm 上配置相 应策略 可在指定的时间 自动到指定的 UNIX 服务器上执行指定的脚本 实现 自动巡检等日常工作 1 111 11应用发布应用发布 Shterm 可以通过 Web 管理界面 直接发布安装在某台 windows 服务器上的 浙江齐治科技有限公司 Copyright 2005 2013 齐治科技 第11页 各类客户端 应用程序 如 citrix 客户端 sqlplus secureCRT toad 等 此外 Shterm 还支持部分客户端工具的密码自动代填 实现客户端密码的 集中管理 1 121 12操作审计操作审计 Shterm 不仅能记录用户在目标设备上进行的 Telnet SSH RDP VNC X Windows Http Https FTP SFTP SCP 等协议的所有操作行为 此外还能完美审计第三方客户端工具的操作 如 citrix 客户端 PL SQL SQLPLUS TOAD 等工具 1 12 1命令操作审计命令操作审计 文本方式记录 基于 命令精准识别 的专利技术 唯一可以确保对各种常规和非常规操 作行为的准确识别 对于字符命令操作的日志回放支持 在 Web 界面直接回放操作过程 浙江齐治科技有限公司 Copyright 2005 2013 齐治科技 第12页 智能输入输出分离 展现在用户面前的只是输入命令 展开后可查 看命令输出结果 支持任意点回放 支持 上下箭头 TAB 命令补全 等输入操作回放 1 12 2图形操作审计图形操作审计 录像方式记录 在录像方式记录用户操作过程的同时 还可以文本方式完整记录用户的键 盘鼠标敲击 复制粘贴操作 并能对操作界面进行问题模糊识别 对于图形化操作日志的回放支持 不须加载 无延时在线拖拉回放 支持多倍速回放 自动过滤屏幕静止操作 根据时间点直接定位回放 针对任意一个审计画面可以抓屏 保存成一个图片文件 点击即可回放 浙江齐治科技有限公司 Copyright 2005 2013 齐治科技 第13页 回放时可显示键盘和鼠标操作内容 鼠标状态点 回放的时候可以在这里查看到在 相应时间点键盘输入的内容 浙江齐治科技有限公司 Copyright 2005 2013 齐治科技 第14页 1 12 3数据库操作审计数据库操作审计 Shterm 支持以文本方式 100 记录客户端操作对应的每条 SQL 语句 SQL 语 句跟图形审计结果关联回放 1 131 13操作搜索操作搜索 针对字符操作记录 都可以按照时间 用户账号 目标设备 系统账号 命令关键字进行搜索 在最短的时间内找到相关日志内容 实现快速定位 针对图形操作记录 可以根据键盘输入 剪贴板操作 模糊识别的内容 URL 地址为关键字进行查询定位 针对数据库操作记录 可以根据