运维操作管理系统堡垒机.doc

运维操作管理系统（堡垒机） 解决方案 广州宇皓信息技术有限公司 2014年3月 需求分析 所存在的问题 用户身份不唯一，用户登录后台设备时，仍然可以使用共享账号（root、administrator等）访问，从而无法准确识别用户的身份； 缺乏严格的访问控制，任何人登录到后台其中一台设备后，就可以访问到后台各种设备； 重复枯燥的密码管理工作，大大降低了工作效率的同时，人员的流动还会导致密码存在外泄的风险； 难于限制用户登录到后台设备后的操作权限； 无法知道当前的运维状况，也不知道哪些操作是违规的或者有风险的； 缺乏有效的技术手段来监管代维人员的操作； 操作无审计，因操作引起设备故障的时候无法快速定位故障的原因和责任人； 问题分析 出现以上问题的主要原因在于： 运维操作不规范； 运维操作不透明； 运维操作风险不可控； 带来的后果 违规操作可能会导致设备/服务异常或者宕机； 恶意操作可能会导致系统上敏感数据/信息被篡改、被破坏； 当发生故障的时候，无法快速定位故障原因或者责任人； 解决之道 根据客户的现状及问题，可通过部署齐治科技的IT运维操作监控系统（简称：Shterm），实现以下效果： 实现维护接入的集中化管理。对运行维护进行统一管理，包括设备账号管理、运维人员身份管理、第三方客户端操作工具的统一管理； 能够有效的整合用户现有的运维管理手段及第三方认证系统； 能够制定灵活的运维策略和权限管理，实现运维人员统一权限管理，解决操作者合法访问操作资源的问题，避免可能存在的越权访问，建立有效的访问控制； 实现运维日志记录，记录运维操作的日志信息，包括对被管理资源的详细操作行为； 实现运维操作审计，对运维人员的操作进行全程监控和记录，实现运维操作的安全审计，满足信息安全审计要求； 能够有效的检索运维操作细节； 能够对于高危及敏感的操作进行实时告警； 能够提供灵活的报表及统计分析； 实现运维操作的合规性要求、遵从现有的法律法规； 方案设计 因为操作的风险来源于各个方面，所以必须要从能够影响到操作的各个层面去降低风险。齐治运维操作管理系统（Shterm）采用操作代理（网关）方式实现集中管理，对身份、访问、审计、自动化操作等统一进行有效管理，真正帮助用户最小化运维操作风险。 集中管理是前提：只有集中以后才能够实现统一管理，只有集中管理才能把复杂问题简单化，分散是无法谈得上管理的，集中是运维管理发展的必然趋势，也是唯一的选择。 身份管理是基础：身份管理解决的是维护操作者的身份问题。身份是用来识别和确认操作者的，因为所有的操作都是用户发起的，如果我们连操作的用户身份都无法确认，那么不管我们怎么控制，怎么审计都无法准确的定位操作责任人。所以身份管理是基础。 访问控制是手段：操作者身份确定后，下一个问题就是他能访问什么资源、你能在目标资源上做什么操作。如果操作者可以随心所欲访问任何资源、在资源上做任何操作，就等于没了控制，所以需要通过访问控制这种手段去限制合法操作者合法访问资源，有效降低未授权访问所带来的风险。 操作审计是保证：操作审计要保证在出了事故以后快速定位操作者和事故原因，还原事故现场和举证。另外一个方面操作审计做为一种验证机制，验证和保证集中管理，身份管理，访问控制，权限控制策略的有效性。 自动运维是目标：操作自动化是运维操作管理的终极目标，通过该功能，可让堡垒机自动帮助运维人员执行各种常规操作，从而达到降低运维复杂度、提高运维效率的目的。 详细设计 操作网关方式部署 集中管理是实现运维操作安全管理的首要前提。 针对当前核心设备分散管理的现状，集中管理倡导的是一种统一管理的理念。集中管理是未来运维操作安全管理的必然趋势。 实现集中管理，关键点在于对用户原有的运维环境不造成任何影响。综合各种部署方案，我们采用了“操作堡垒机”的部署方式。 用好共享账号 在当前的运维环境中，普遍存在操作者身份无法识别的安全隐患。这主要是由操作者共享使用核心设备上的系统账号造成的。 设备数量达到一定规模，必然会使用到共享账号。共享账号就是多人共同使用同一个存在于设备上的系统账号，使用共享账号会让整体账号的数量减少。但是仅仅依赖系统上的单一系统账号，无法既能区分用户身份，又能完成工作角色的定位。 如何准确的区分用户身份和工作角色，进而实现操作者和具体的操作过程一一对应？ Shterm将用户身份认证和系统工作角色功能分离，在Shterm上增加了用户账号，完成用户的身份确认。原来系统上的账号依然存在，但是作用只是完成工作角色授权的工作账号。 用户登录Shterm是采用唯一的用户账号，然后根据工作角色的需要，转换成系统账号登录到被管理设备上。这样既能够保证整体账号数量最少，管理方便；同时又能够实现对用户、工作角色的双重定位。 当用户加入、离职或岗位变动，当代维人员