齐治科技堡垒主机系统技术白皮书

齐治科技运维操作管理系统

白皮书

浙江齐治科技有限公司

版本

声明

本文件所有权和解释权归齐治科技所有，未经齐治科技书面许可，不

得复制或向第三方公开。

修订历史记录（版本控制）

版本号作者审核人文档类型保密级别完成日期

V2.0.0 薛斌 A A 2013-5-18

（文档类型A-内部归档类， D-外部交付类）

（保密级别A-公开，B-有选择公开，C-不公开）

第一章概述 (4)

第二章齐治简介 (4)

第三章方案设计 (5)

架构蓝图 (5)

功能框架 (5)

第四章主要功能介绍 (6)

集中管理，实现统一入口 (6)

身份管理，实现用户实名 (6)

访问控制，防止非授权访问 (7)

权限控制，实现主动预防 (7)

应用发布，实现客户端集中管理 (7)

实时监控，实现操作透明 (7)

会话共享，实现远程协助 (7)

操作审计，实现事后追溯和举证 (7)

操作搜索，实现快速定位 (8)

自动运维，提升工作效率 (8)

第五章方案优势分析 (8)

功能最先进 (8)

产品最安全 (9)

方案最成熟 (9)

第六章客户收益 (9)

规范操作管理 (9)

规避操作风险 (10)

第七章拓扑结构 (10)

第八章主要案例介绍 (11)

第一章概述

当前IT技术正在成为诸多企业的神经中枢，越来越多的企业希望借助IT技术这一关键的战略资源提升公司的竞争优势，进而实现公司的战略目标。然而，随着网络建设和系统部署越来越深入，大多数企业面临着如何确保业务系统的稳定运行的难题。复杂的网络结构、人员结构和管理结构使得IT运维管理和企业生产运作间的矛盾日益凸显。日益发展变化的生产业务结构对基础IT运维操作的管理、审计等诸多方面提出了严峻的挑战。

然而，庞大的运维结构复杂的运维管理都给整体的管理增加了很大的难度，从而使得运维过程中的风险不易控制。同时国家也出台了相关的法律法规，如《ISO270001》、《金融行业风险指引》、《内控》、《安全等级保护》等，要求在访问控制、操作审计等诸多方面做得更加全面有效的管理。故此需要通过有效的技术手段来降低运维风险、规范运维操作符合相关法律法规要求。

第二章齐治简介

浙江齐治科技有限公司，原杭州奇智信息科技有限公司，成立于2005年，是国内唯一专注于运维操作管理领域的高科技企业，致力于成为领先的的运维操作审计的供应商。公司率先于业内提出了“运维操作也需要管理”的理念，创新的通过操作网关（堡垒机）对运维操作进行有效的管理，帮助用户规范运维操作管理，加强操作审计，规避操作风险，提高IT运维的内控能力。

齐治科技运维操作管理系统（以下简称Shterm），立足于领先的命令结果精确识别技术，从操作层解决了企业与组织中现存的IT内控与管理的相关问题，特别针对目前安全与运维操作管理中出现的突出的运维操作的风险问题，从账号管理、密码管理、权限控制、操作审计等方面，提供了稳定、安全、方便、可行性强的解决方案，从而根本上改变了现有的管理模式，消除了固有的弊端，使运维操作管理进入一个真正安全与便利相结合的阶段，帮助客户使运维操作管理变得更加简单、安全、有效。

第三章方案设计

架构蓝图

功能框架

集中管理是前提：只有集中以后才能够实现统一管理，只有集中管理才能把复杂问题简单化，分散是无法谈得上管理的，集中是运维管理发展的必然趋势，也是唯一的选择。

身份管理是基础：身份管理解决的是维护操作者的身份问题。身份是用来识别和确认操作者的，因为所有的操作都是用户发起的，如果我们连操作的用户身份都无法确认，那么不管我们怎么控制，怎么审计都无法准确的定位操作责任人。所以身份管理是基础。

访问控制是手段：操作者身份确定后，下一个问题就是他能访问什么资源、你能在目标资源上做什么操作。如果操作者可以随心所欲访问任何资源、在资源上做任何操作，就等于没了控制，所以需要通过访问控制这种手段去限制合法操作者合法访问资源，有效降低未授权访问所带来的风险。

操作审计是保证：操作审计要保证在出了事故以后快速定位操作者和事故原因，还原事故现场和举证。另外一个方面操作审计做为一种验证机制，验证和保证集中管理，身份管理，访问控制，权限控制策略的有效性。

自动运维是目标：操作自动化是运维操作管理的终极目标，通过让该功能，可让堡垒机自动帮助运维人员执行各种常规操作，从而达到降低运维复杂度、提高运维效率的目的。

第四章主要功能介绍

集中管理，实现统一入口

部署完成后， Shterm作为后台设备访问的唯一入口，用户对后台设备运维必须要先登录到shterm上，然后根据管理员预先设置好的访问规则，自动登录到后台设备上去。

身份管理，实现用户实名

提供主从帐号管理，让用户的身份和具体的操作对应起来，从而实现用户实名制管理。

支持多种认证方式，包括本地静态认证、TOTP认证，为第三方AD域、LDAP、radius、iso8583认证提供接口。

访问控制，防止非授权访问

基于用户/用户组、设备/设备组、系统帐号、协议类型、登录规则来设置详细的访问控制规则，彻底杜绝了非授权访问所带来的问题。

同时还可以提供对核心设备登录时候的双人授权功能。

权限控制，实现主动预防

基于用户/用户组、设备/设备组、系统帐号、时间、命令、动作来设定详细的权限控制规则，支持命令操作黑白名单；

应用发布，实现客户端集中管理

可选应用发布模块，实现在Web界面直接发布安装在某台windows服务器上的各类客户端/应用程序，如citrix客户端、sqlplus、secureCRT、toad等，避免客户端本地安装导致难于管理的问题，同时实现了操作数据异地驻留，提升数据安全度；

实时监控，实现操作透明

对于普通用户登录到目标设备上正在进行的任意类型操作，审计管理员可以再Shterm的WEB界面做到实时监控和切断，做到边操作边审计，真正实现实现操作透明；

会话共享，实现远程协助

Shterm可以可让多位运维人员共享同一个图形会话，参与人员拥有同样的操作权限，同时会话共享邀请人拥有对参与人员的踢出权限。

操作审计，实现事后追溯和举证

完整记录用户在目标设备上进行的Telnet、SSH、RDP、XRDP、VNC、X-Windows、Xfwd、Http、FTP、SFTP、SCP等协议的所有操作行为和第三方客户端工具的操作行为，如citrix客户端、PL/SQL、SQLPLUS、TOAD等工具；

独家“命令精准识别”的专利技术，确保对各种常规、非常规命令操作的准确识别；

录像方式记录用户的图形操作过程，并且还可以实现文本方式完整记录用户的键盘鼠标敲击、复制粘贴操作，并能对操作界面进行问题模糊识别，记录的内容和图形审计相关联；

可选的数据库审计模块，实现对数据库客户端操作所对应的sql语句的100%文本审计，语句可以和图形审计相关联；

操作搜索，实现快速定位

对字符操作记录，按照时间、用户账号、目标设备、系统账号、命令关键字进行搜索，在最短的时间内找到相关日志内容，实现快速定位；

对图形操作记录，根据键盘输入、剪贴板操作、模糊识别的内容、URL地址为关键字进行查询定位；

针对数据库操作记录，可以根据SQL语句的内容为关键字进行查询定位；

所有查询的结果可以和图形操作过程关联回放；

自动运维，提升工作效率

密码托管，自动改密；

网络设备配置自动备份；

Unix系统脚本自动执行；

报表自动化；

第五章方案优势分析

功能最先进

唯一在运维审计域获得国家发明专利及香港发明专利的产品（且两项专利）；

唯一实现图形操作模糊识别的产品；

唯一实现图形会话关键字（键盘输入、剪贴板、模糊识别、URL地址）检索的产品；

唯一实现图形操作无延时前后拖拉回放的产品；

唯一提供设备密码修改容错性保证的产品；

唯一实现citrix方式的应用发布的产品；

唯一内置动态认证服务器的产品；

唯一可实现堡垒机方式的数据库审计（100%记录所有sql语句，并实现sql与图形审计关联）的产品；

产品最安全

Shterm是以安全性为基础构建坚实的运维堡垒，是业内唯一不存在中高级安全漏洞、对外不开放非安全端口的产品。

只开放3个端口（22、443和5899），彻底杜绝telnet、ftp、rdp等非安全服务端口开放；

使用SSL、SSH封装传输过程；

唯一同时拥有国家保密局和中国国家信息安全产品认证的；

方案最成熟

在申广发证券交易网、申银万国、中德证券、安信证券、金元证券、深圳证券信息等证券类客户处得到过大规模使用；

唯一市场化时间超过六年以上；

唯一在单个用户超过2,300个并发用户环境成功部署；

唯一在单个用户超过10,000台服务器环境成功部署；

唯一在单个用户超过2,000台网络设备环境成功部署；

第六章客户收益

规范操作管理

实现操作透明化

增强操作可控性

提高操作管理效率

规避操作风险

法律规范遵从

有效监管代维厂商

完善责任认定体系

第七章拓扑结构

在当前运维环境中部署了shterm之后，拓扑结构如下：

部署说明

支持双机HA部署；

部署方式是物理旁路，逻辑串接；

集中管理的一个标志就是入口唯一，Shterm是用户操作的唯一入口；

部署唯一条件是Shterm与被管理的设备之间IP可达，协议可访问。在部署过程中，不需要调整任何网络架构，不需要安装任何代理程序；

目标设备登录过程：用户用唯一的用户帐号登录到shterm上，然后Shterm会根据配置管理员预先设置好的访问控制规则，列出用户选择可

以访问的目标设备和相应系统帐号，用户选择完成后会自动登录到目标

设备；

应用程序登录过程：用户用唯一的用户帐号登录到shterm上，然后Shterm会根据配置管理员预先设置好的访问控制规则，列出用户选择可

以访问的应用程序（如SecureCRT），用户点击该程序即可马上打开；第八章主要案例介绍

运维操作管理系统堡垒机

运维操作管理系统（堡垒机）解决方案广州宇皓信息技术有限公司 3月

1.1需求分析 1.1.1所存在的问题 ?用户身份不唯一，用户登录后台设备时，依然能够使用共享账号（root、administrator等）访问，从而无法准确识别用户的身份； ?缺乏严格的访问控制，任何人登录到后台其中一台设备后，就能够访问到后台各种设备； ?重复枯燥的密码管理工作，大大降低了工作效率的同时，人员的流动还会导致密码存在外泄的风险； ?难于限制用户登录到后台设备后的操作权限； ?无法知道当前的运维状况，也不知道哪些操作是违规的或者有风险的； ?缺乏有效的技术手段来监管代维人员的操作； ?操作无审计，因操作引起设备故障的时候无法快速定位故障的原因和责任人； 1.1.2问题分析出现以上问题的主要原因在于： ?运维操作不规范； ?运维操作不透明； ?运维操作风险不可控；

1.1.3带来的后果 ?违规操作可能会导致设备/服务异常或者宕机； ?恶意操作可能会导致系统上敏感数据/信息被篡改、被破坏；?当发生故障的时候，无法快速定位故障原因或者责任人；1.1.4解决之道根据客户的现状及问题，可经过部署齐治科技的IT运维操作监控系统（简称：Shterm），实现以下效果： ?实现维护接入的集中化管理。对运行维护进行统一管理，包括设备账号管理、运维人员身份管理、第三方客户端操作工具的统一管理； ?能够有效的整合用户现有的运维管理手段及第三方认证系统； ?能够制定灵活的运维策略和权限管理，实现运维人员统一权限管理，解决操作者合法访问操作资源的问题，避免可能存在的越权访问，建立有效的访问控制； ?实现运维日志记录，记录运维操作的日志信息，包括对被管理资源的详细操作行为； ?实现运维操作审计，对运维人员的操作进行全程监控和记录，实现运维操作的安全审计，满足信息安全审计要求； ?能够有效的检索运维操作细节； ?能够对于高危及敏感的操作进行实时告警；

神州数码易安文件保密系统技术白皮书

神州数码易安-文件保密系统技术白皮书本文阐述神州数码易安-文件保密系统的技术要领及功能，如果您是神州数码易安-文件保密系统技术服务人员或企业内部的神州数码系统管理人员，您可以从本文中得到技术上的参考和帮助。神州数码Digital China拥有所有版权。

一、神州数码易安-文件保密系统实现原理 I、原理图 II、神州数码易安-文件保密系统原理（1）实现原理通过“神州数码易安-文件保密系统”加载到Windows的内核，我们可以监控Windows 的所有与文件读写、打印机输出及数据通讯等相关的执行过程，从而对非法访问进行控

制，并对敏感的数据进行实时的加密。（2）安全性神州数码易安-文件保密系统是加载在Windows内核中的软件监控系统，当安装了神州数码易安-文件保密系统后，用户无法看到神州数码易安-文件保密系统在运行，但用户的任何动作，如保存文件、读文件等都在神州数码易安-文件保密系统的监控之下。用户试图关闭神州数码易安-文件保密系统是不可能的，就象Windows运行时您不可能关闭Windows内核一样，除非您关闭计算机。（3）稳定性神州数码易安-文件保密系统的实现采用了32位（并可以支持64位系统）软件代码，并在Windows内核执行前实现监控并触发少量必要的加密动作，因此，该系统在运行时，并不损耗系统资源，且能“安静而忠诚”的工作着。只有当指定的应用软件如Pro/E 访问数据文件如ASM后缀的文件时才触发加密动作。安装完神州数码易安-文件保密系统后，对系统的影响就象多加装了一个USB接口的硬件设备及其驱动程序。 III、实时强制加密神州数码易安-文件保密系统采用的加密方式为实时加密。即操作人员在文件写入或修改完成时，易安-文件保密系统会实时对文件进行加密，确保文件的安全性。神州数码易安-文件保密系统可对不同客户端进行不同的加密策略配置。即对于客户的特殊要求，例如，对不同的客户端的加密应用程序有不同的要求（有的客户端控制Office 应用程序所产生的文件，而有的客户端则控制AutoCAD应用程序所产生的文件），我们可以根据客户的不同需求，通过不同的加密策略的配置来达到客户要求的控制效果即使不同企业都采用神州数码易安-文件保密系统，不同的企业也不能打开其它企业的图文档。因为易安-文件保密系统是通过软件加硬件的方式进行加密，不同的硬件网络有不同的加密格式。图文档一旦离开了本公司的办公网络就会失效。

智慧科技-计划管理系统技术白皮书-万达信息

智慧科技-计划管理系统技术白皮书 1产品定位各级科委目前对科技计划的管理主要采用电子文档化的管理模式。随着业务工作发展与政府服务职能的深化，业务信息的数据量也不断积累和扩大，现有的管理方式对业务工作的支撑力度开始显得不足，主要体现在信息记录的格式缺乏统一性、信息由多人管理较为分散、对信息的查阅和利用不够便捷等。因此，建设科技计划管理系统，利用更为有效的信息化管理手段变得十分必要。计划管理系统的建设将以实际业务需求为导向，实现科技计划的全生命周期管理，通过信息化手段规范计划管理业务的管理要素和日常工作，并对收集到的各类要素信息进行更为有效的分析利用，为业务人员在计划管理中的综合处理、高效配置、科学决策提供更为有效的支撑。凭借多年在信息化系统建设领域的丰富实践经验，我们在方案总体设计方面，周密考虑，充分部署，力争在方案的总体架构方面体现先进性、扩展性和实用性。一方面，根据各级科委具体需求，采用BS应用结构作为整体应用架构，实现安全的信息交换与业务处理；其次，采用模块化设计的思想，将各个管理环节标准化和规范化，实现业务开展过程的全面推进；第三，通过完善的后台管理功能，提供灵活的定制服务，满足业务处理的需求。整个系统设计在考虑了现有信息系统的使用特点以及现阶段的业务需求的同时，还充分考虑了系统的潜在需求，具有先进性和较高的可扩展性。系统总体框架如下图：

2主要功能 ●计划可研计划可行性研究阶段，根据计划指南，部门推荐，完成计划科研报告编写(Word和在线），在计划申报系统中进行填报。可研报告包含企业信息，计划可研书要求的信息等 ●立项管理：计划管理最关键过程，根据可研报告，进行立项管理过程。计划立项审查，和全省市计划库中原有计划进行对比，从计划名称、计划建设内容、考核指标、承担单位、计划负责人等各个方面进行比对，形成相应的客观报告。专家根据立项审查结果，进行再次审核，最终形成结果，专家随机取自专家系统库，同时各自打分可以网上网下结合进行，保证其公平透明。 ●计划申报：计划可研和立项管理结束后，将发放计划正式立项通知书。

中科分布式存储系统技术白皮书V2.0

LINGHANG TECHNOLOGIES CO.,LTD 中科分布式存储系统技术白皮书北京领航科技 2014年04

目录 1、产品介绍 (3) 1.1 云时代的政府/企业烦恼 (3) 1.2 产品服务与定位 (3) 2、中科分布式存储应用场景 (4) 2.1 目标用户 (4) 2.2 产品模式 (4) 2.2.1高性能应用的底层存储 (4) 2.2.2企业级海量数据存储平台 (5) 2.2.3容灾备份平台 (5) 2.3 使用场景 (5) 2.3.1企业级数据存储 (5) 2.3.2私有云计算 (6) 2.3.3海量数据存储 (6) 2.3.4大数据分析 (7) 2.3.5 容灾备份 (7) 3、中科分布式存储核心理念 (8) 4、中科分布式存储功能服务 (9) 4.1 存储系统功能介绍 (9) 4.2 WEB监控管理端功能介绍 (11) 5、系统技术架构 (12) 5.1 系统总体架构 (12) 5.2 系统架构性特点 (12) 5.3 技术指标要求 (14) 5.4 系统软硬件环境 (15)

1、产品介绍 1.1云时代的政府/企业烦恼 ?政府、企事业单位每天产生的大量视频、语音、图片、文档等资料，存在哪里？ ?政府、企事业单位各个部门、各个子系统之间强烈的数据共享需求如何满足？ ?大数据如何高效处理以达到统一存取、实时互动、价值传播、长期沉淀？ ?您是否为单位电子邮箱充斥大量冗余数据还要不断扩容而烦恼？ ?政府、企事业单位的私有云平台为什么操作和数据存取这么慢？ ?政府、企事业单位的存储平台数据量已接近临界值需要扩容，但上面有重要业务在运行，如何能在线扩展存储空间？ ?公司的每一个子公司都有重要客户数据，要是所在的任何一个城市发生大规模灾难（比如地震）数据怎么办？ ?政府、企事业单位有一些历史数据平时比较少用到,但又不能丢掉，占用了大量的高速存储资源，能否移到更廉价的存储设备上去？ 1.2产品服务与定位大数据时代已经来临！面对数据资源的爆炸性增长，政府、企事业单位每天产生的海量视频、语音、图片、文档和重要客户数据等资料如何有效存取？政府多个部门之间、公司和子公司之间、公司各个部门之间强烈的数据共享需求如何满足？如果

IT运维安全审计(堡垒机)解决方案

网域NSYS运维安全审计（堡垒机）解决方案网域运维安全审计（堡垒机）提供运维用户操作以及违规事件等多种审计报表，过报表功能，即能够满足大部分客户的日常审计需求，也可满足如" 等级保护"、" 萨班斯法案"等合规性要求。同时，系统也支持通过自定义或二次开发方式进行灵活扩展。集中统一管理、安全审计、统一账号管理, 统一身份认证, 统一授权管理,统一操作审计,流程管理，单点登录，并能图像形式的回放操作员记录、使管理员操作简单快捷。运维用户通过一个统一的平台就能登录所有的目标设备，包Unix 、Linux 、Win dows月服务器以及各类网络设备。集中管理用户、设备、系统账号；集中管理用户、系统账号的密码；所有用户集中登录、集中认证；集中配置账号密码策略、访问控制策略；集中管理所有用户操作记录；访问控制 1. 根据用户角色设置分组访问控制策略； 2. 实现" 用户－系统－系统账号"的对应关系；权限控制 1. 可设置以命令为基础的权限控制策略； 2. 可支持IT 运维人员对多种远程维护方式，如字符终端方式（SSH、Telnet 、Rlogin）、图形方式（RDR X11、VNC Radmin PCAnywhere、文件传输（FTP、SFTP以及多种主流数据库工具按照用户/用户组、资源/资源组、运维时间段、运维会话时长等授权。实时的操作告警及审计机制监控告警机制能对运维用户的所有操作进行实时的控制阻断、告警及监控，避免由于一些敏感的操作导致网络中断或企业信息泄露。详尽的会话审计与回放机制系统提供运维协议Telnet 、FTP、SSH、SFTP、RDP（Windows Terminal ）、Xwindows、VNC、AS400、Http 、Https 等完整会话记录，完全满足内容审计中信息百分百不丢失的要求。 1. 能记录所有操作并能随时根据审计的需要查询任何时候任何人员所做的任何操作。 2. 提供图像形式的回放，真实、直观、可视地重现当时操作过程。 3. 能记录加密维护协议SSH数据符合法律法规

可视化综合运维管理系统白皮书

IT可视化综合运维管理解决方案 SmartView产品技术白皮书V1.61 目录

一、导论 1.1. 产品背景 IT行业技术突飞猛进地发展，设备集成度不断提高，使各种网络设备之间的界限逐渐模糊，主设备、传输系统、支撑系统之间相互融合，互相渗透，已经逐步向一体化的解决方案迈进。首先，机房内由设施数量众多，特别是当企业存在分支机构，由于分布范围广，机房内走线将非常复杂，尤其是老机房，如何理清楚设备与设备、设备与系统的拓扑关系，通常是机房维护人员的最为头疼的难题。其次，对于办公区域，存在大量固定资产、移动办公类设备，这些设备资产的管理常常具有移动性，且各种人为情况较多。办公区域工位与网络也有一定的对应关系，如何找出工位与设备资产、工位与网络端口的对应关系，将能够很大程度上提升并规范企业的IT水平。此外，当设备出现故障的时候，在相同类型的设备中，如何能快速定位出故障设备，如何真实的通过系统反应出设备环境及周边情况；如何通过系统以往解决过程和系统知识库，提供可参考的解决思路，将能够显着提高运维的自动化程度。因此，有必要建立一套“集中监控、集中维护、集中管理”的监控系统，实现对企业IT资产实现远程集中监控，实时动态呈现设备告警信息及设备参数；快速定位出故障设备，使维护和管理从人工被动看守的方式向计算机集中控制和管理的模式转变；通过标准的ITIL流程提升企业IT服务效率。 3D仿真是企业IT数字化管理信息化建设的一个重要的组成部分，全三维可视化资源管理与运维监控平台，形象化的虚拟场景和真实数据相结合，通过3维场景能显着增强机房查看与监控，企业办公区域监控，提高设备、设施、资产与流程的直观可视性、可管理型，真正提高企业IT运维管理的效率，让IT真正服务于企业运营。神州数码针对以上问题推出一套基于生产实景的全3D可视化IT资源管理与运维监控管理平台，形象化的虚拟场景和真实数据相结合，用户在显示屏幕前即可查看到机房中的所有设备，对于日常维护人员对设备的运行监控管理，资产审核人员对设备的盘点

清华紫光档案系统

清华紫光电子档案管理系统技术白皮书清华紫光股份有限公司电子档案事业部二○○七年

目录第一章档案资料的有效管理 .......................................................................................... 错误！未定义书签。 1.1问题的提出 ................................................................................................................ 错误！未定义书签。 1.2电子档案资料管理系统解决的问题......................................................................... 错误！未定义书签。 1.3电子档案管理系统在发达国家的广泛应用............................................................. 错误！未定义书签。 1.4清华紫光电子档案管理解决方案............................................................................. 错误！未定义书签。 1.4.1档案手工管理流程和电子化管理流程 .............................................................. 错误！未定义书签。 1.4.2高效、完整的电子档案管理解决方案 .............................................................. 错误！未定义书签。第二章清华紫光电子档案管理软硬件系统组成 ........................................................... 错误！未定义书签。 2.1硬件系统的组成 ........................................................................................................ 错误！未定义书签。 2.2软件系统的组成 ........................................................................................................ 错误！未定义书签。第三章清华紫光电子档案管理系统功能介绍 . (1) 3.1、系统维护 (2) 3.2、文件管理 (10) 3.3、收集整编 (12) 3.4、档案管理 (15) 3.5、开发利用 (22) 3.6、信息服务子系统 (26) 第四章OA接口程序描述 (29) 4.1功能作用 (29) 4.2工作流程 (29) 4.3档案管理系统与OA系统的关系 (30) 4.4.OA接口维护程序 (31) 第五章清华紫光电子档案管理系统主要特点 (32) 5.1软件特点 (32) 5.2清华紫光档案管理系统的技术基础 (34)

系统技术白皮书V2.8.1.9.1

车辆管理系统技术白皮书 (Version 2.8.1.9.1) 2019 年 11 月

目录第一章南航大车辆管理系统概述 (3) 1.1南航大车辆管理系统概述 (3) 1.2南航大车辆管理系统解决方案 (3) 第二章系统构架 (4) 2.1系统架构 (4) 2.2系统体系结构 (4) 第三章南航大车辆管理系统模块组成 (5) 3.1PC端 (5) 3.1.1 用户管理中心 (5) 3.1.2 基础数据管理 (6) 3.1.3 通行证管理 (7) 3.1.4 违章管理 (7) 3.1.5 大数据中心 (8) 3.1.6 外来车辆管理 (8) 3.1.7 信息管理中心 (8) 3.1.8 黑名单管理 (8) 3.2移动端 (9) 3.2.1 车主角色部分 (9) 3.2.2 管理员角色部分 (10) 第四章系统部署要求 (11) 4.1系统要求 (11)

第一章南航大车辆管理系统概述 1.1 南航大车辆管理系统概述南航大车辆管理系统是一套便捷的校园车辆管理系统。该系统同时满足了校内教职工、学生与校外人员车辆通行证办理的需求，用户只需打开手机访问系统即可完成通行证的办理。管理人员可以通过移动端和PC端完成在线审核，该系统与校内原有抬杆系统无缝对接，最大限度保留老系统。 1.2 南航大车辆管理系统解决方案系统有PC端和移动端两个入口。PC端只允许管理员登录；移动端管理员与用户都可以登录。管理员可以在PC端对各项基础数据进行维护、在线审核通行证办理申请、审核违章等，亦可在移动端查看、审核通行证办理申请；用户在移动端完成通行证的申请、违章上报、非机动车辆信息登记、查看个人信息等操作。用户包括校内教职工、学生与社会人员，教职工可凭个人账号直接登录；社会人员可以通过手机号在线注册使用，二者互不影响。?无缝对接学校原有系统，降低改造门槛为了保证用户通行证数据能在学校原有的抬杆系统中使用，该项目中额外增加了一个数据交换系统。通过该它完成新老系统的数据交换，用户无需对现有设备、系统进行升级改造，使原有系统能够继续使用。

堡垒机系统应急预案

堡垒机应急预案

1 麒麟开源堡垒机应急处理部署麒麟开源堡垒机后用户对设备的运维操作均需通过堡垒机进行，以确保访问行为安全、可审计。而麒麟开源堡垒机应急处理方式主要取决于实施过程所采用的访问控制方式。麒麟开源堡垒机在推广使用过程中一般有两种访问控制方式分别是1、口令修改方式2、网络ACL方式（网络ACL设备为VPN设备及交换机）下面就对以上两种方式的应急处理进行简单的说明。 1.1 采用口令修改访问控制方式时的应急为确保所有设备维护人员必须通过堡垒机访问设备，通用做法之一就是将相应的设备账号口令进行修改，正确设备口令均存储在堡垒机中，堡垒机会定期的将所有设备或部分设备的账号名/口令进行备份并以邮件或其他方式发送加密信封给少数高权限管理员。应急方法:当堡垒机出现短期无法恢复的宕机情况时，高权限管理员可直接将响应设备账号/口令发送至普通访问人员手中以确保能够正常登陆设备完成业务。

1.2 采用网络ACL 访问控制方式时的应急 A 区为确保所有设备维护人员必须通过堡垒机访问设备，另外一种常用做法为网络ACL 方式。设置VPN 服务器及用户专线接入交换机ACL （或交换机ACL ）限制访问用户到具体生产设备域的几个标准运维端口的访问，如：telnet(23)、SSH(22)、RDP (3389)并将堡垒机访问端口例外。具体防火墙策略可参看下表。防火墙策略应急方法:当堡垒机出现短期无法恢复的宕机情况时，网络管理员需直接将办公域与具体生产设备安全域之间的ACL 网络限制去除，允许用户对生产设备的直接访问。 2 生产恢复在进行上述应急处理的同时，公司将指派技术人员在4小时内（本省）赶赴现场进行故障处理，到场后2小时内解决。若遇到重大技术（如灾难性事故）问

EPSV3.0综合档案管理系统技术白皮书2013

EPS档案信息管理系统V3.0 技术白皮书南京科海智博信息技术有限公司 2013年

目录 1.产品简介 (4) 1.1 文档信息化发展趋势 (4) 1.2 产品研发背景 (4) 1.3系统特点 (5) 2.总体架构 (5) 2.1 产品技术架构 (5) 2.2 产品业务架构 (6) 3.运行环境 (6) 3.1 硬件环境 (6) 3.1.1 服务器配置 (6) 3.1.2客户端配置 (6) 3.1.3存储设备 (7) 3.1.4网络环境 (7) 3.2软件环境 (7) 3.2.1 数据库支持 (7) 3.2.2中间件支持 (7) 3.2.3浏览器支持 (7) 3.2.4 容灾支持 (7) 4.基本功能 (7) 4.1系统管理 (8) 4.2业务管理 (13) 4.3文件收集 (13) 4.4文件整编 (14) 4.5档案管理 (15) 4.6库房管理 (16) 4.7统计信息 (16) 4.8档案利用 (17) 4.9档案编研 (18) 4.10光盘打包 (18)

5.扩展功能 (19) 5.1 企业档案门户集成 (19) 5.2企业年鉴展示 (19) 5.3照片档案展示 (20) 5.4 数据安全控制 (20) 5.5数据一体化接口 (20) 5.6信息提醒接口 (20) 6.技术创新 (21) 6.1文档安全控制 (21) 6.2 全文检索技术 (22) 6.3 光盘打包技术 (23) 6.4工作流技术 (23) 6.5 海量存储技术 (24) 6.6异构数据接口 (24) 6.7系统的可扩展性 (24) 6.8档案管理平台综合业务管理 (24) 7.公司简介 (24)

数据库审计系统_技术白皮书V1.0

此处是Logo 数据库审计系统技术白皮书地址：电话：传真：邮编：

目录一.产品概述 (1) 二.应用背景 (1) 2.1现状与问题 (1) 2.1.1现状 (1) 2.1.2问题 (1) 2.2需求分析 (3) 2.2.1政策需求 (3) 2.2.1.1《信息系统安全等级保护基本要求》 (3) 2.2.1.2《商业银行信息科技风险管理指引》 (3) 2.2.2技术需求 (4) 2.2.3管理需求 (4) 2.2.4性能需求 (4) 2.2.5环境与兼容性需求 (5) 2.2.6需求汇总 (5) 三.产品介绍 (5) 3.1目标 (5) 3.2产品功能 (6) 3.2.1数据库访问行为记录 (6) 3.2.2违规操作告警响应 (6) 3.2.3集中存储访问记录 (6) 3.2.4访问记录查询 (7) 3.2.5数据库安全审计报表 (7) 3.3产品部署 (7) 3.3.1旁路部署 (7) 3.3.2分布式部署 (8) 3.4产品特性 (9) 3.4.1安全便捷的部署方式 (9) 3.4.2日志检索能力 (9) 3.4.3灵活的日志查询条件 (10) 3.4.4灵活的数据库审计配置策略 (10) 3.4.5数据库入侵检测能力 (10) 3.4.6符合审计需求设计 (11) 四.用户收益 (11) 4.1对企业带来的价值 (11) 4.2全生命周期日志管理 (12) 4.3日常安全运维工作的有力工具 (12)

协同办公(OA)系统技术白皮书

目录 1. 文档描述 (1) 2. 产品概述 (1) 2.1 系统用例 (1) 2.2 系统结构 (2) 3. 系统功能 (3) 3.1 基础功能 (3) 3.2 高级功能 (3) 3.3 定制接口 (3) 4. 产品特点 (3) 4.1 可用性 (3) 4.2 安全与保密性 (4) 4.3 可维护性 (4) 4.4 可移植性 (4) 4.5 技术特点 (4) 5. 系统运行环境 (5) 5.1 服务器环境 (5) 5.2 客户端环境 (5) 6. 成功案例 (6)

1. 文档描述该文档主要描述协同办公(OA)系统的整体方案与技术实现方式，帮助使用者了解产品功能与技术特性及应用环境需求，具体的功能与操作方式描述请参见以下文档：《协同办公（OA）系统操作手册》、《协同办公（OA）系统用户手册》等。 2. 产品概述协同办公(OA)系统是采用Internet/Intranet通信基础，以客户端Web浏览器为展现方式、以“工作流”为引擎、以“知识文档”为容器、以“信息门户”为窗口，使企事业单位内部人员方便快捷地共享信息，高效地协同工作；改变过去复杂、低效的手工办公方式，实现迅速、全方位的信息传递、知识采集、文档处理，为企业的管理和决策提供科学的依据。在传统OA的基础应用上，可供企事业机构自行灵活的定义符合自身需求的管理工作流程、知识目录架构、信息门户框架，以更便捷、更简单、更灵活、更开放的满足日常办公需求。并可根据实际需要定制开放接口实现其他系统与本系统间共享数据或调用本系统相关功能生成业务数据。 2.1 系统用例本系统为企事业单位提供信息交流、文件传递、流程审批、知识文档共享的多功能平台，可以实现邮件、文件柜、信息公告、单位新闻等基础信息交流功能，并可实现电子审批(出差、上报文件、申请)的归档管理与经验总结、学习分享的无形财富管理功能。

OA白皮书(金蝶)

网络协同办公系统产品白皮书金蝶软件武汉分公司 2006年7月

引言从目前国内的OA 市场上来看近几年国内的OA 市场取得了十分明显的进步，OA 产品种类日趋繁多，OA 产品应用到了国民经济的每一个角落。但是在繁荣的背后还有许多不尽如人意的地方，软件开发商的水平参差不齐，对组织管理及OA 产品本身定位的理解不够，缺乏对用户必要的实施指导使得很多OA 系统没有发挥应有的作用，造成极大的浪费。办公自动化是一个过程，面临的最大问题是如何利用办公自动化与组织管理相结合，解决组织管理中存在问题、办公软件如何适应组织日益变化的需求、如何能推动组织上至高层下至普通员工的应用。这就需要软件供应商既要懂得如何开发一个优秀的、适应组织管理变化需要的软件，又要懂得如何用这样的软件解决组织管理中的问题，并给予用户实施上的指导。从技术实现上看很多开发商采用“群件平台＋适当定制”的模式，开发周期较短，由于群件平台本身复杂度太高，供应商可发挥的空间较小，软件本身的适用性较差，对于定制复杂应用及与其它系统集成性较差。从软件适用性上来说由于很多供应商是就功能而开发功能，对其它的应用集成较少，对于用户需求的变化考虑较少，而办公软件又不同于其它管理软件，用户的需求经常发生改变，这就导致用户的软件永远处于需要升级的状态，完全依赖于软件供应商！金蝶协同网络办公系统是金蝶技术依据九年来为用户实施OA方案的经验、多年来对国内OA市场的洞悉及对目前市场上OA产品存在的问题进行分析后利用Web和Java技术设计开发的新一代跨平台、功能细致而齐全、人性化、分布式和具有强大自定义功能的协同办公平台。尤其是金蝶协同网络办公系统产品提供了一个强大的自定义平台，在产品实施中可根据对用户需求的分析，快速为用户搭建个性化的功能，最重要的是用户自己完全可以在产品使用中针对自身需求的变化随时调整各项功能，做到自我维护，自我管理。金蝶协同网络办公系统适用于政府部门、职能机关、社会团体、各种企业、金融机构、医院、学校、科研机构等各类单位。

“网络预警”系统产品技术白皮书

IP网络运维经管系统为企业的网络和关键应用保驾护航 “网络预警”系统产品技术白皮书

嘉锐世新科技（北京）有限公司目录

1、概述 “网络”的迅速发展已经成为人们办公、日常生活中不可缺少的一部分，一旦网络出现问题将导致无法正常办公，甚至网站内容被篡改等将产生不良影响等。网络机房，作为企业或政府“网络心脏”，网络机房的重要性越来越被信息部门重视，在以往的建设中网络中心领导注重外网的攻击，内网的经管等部分，设立防火墙，上网行为经管等设备保证网络的正常运行，往往忽视了网络运维中的网络预警。预警，听到这个名词大多会理解为，消防、公安、天气、山体滑坡等，非专业人士很少人知道网络也可以“预警”，网络预警是建立在正常网络运行状态下所占用的网络带宽，CPU的使用率、温度，内存的使用率等，根据常规值设定阀值，一但产生大的变化超过阀值将产生报警，自动通知网络经管人员，及时准确的定位到某台设备、某个端口出现故障，网络经管人员免去繁琐的检查工作，一免影响网络的正常运行。现在市场上以有众多的网络预警产品，各家都有相应的优缺点，我公司所提供的产品相比其他家的优势为： 1.专业硬件系统，没有纯软件产品的部署和维护烦恼；

集网络设备、服务器、应用系统监控经管、机房环境监控、内网流量分析经管于一身，不需单独投资各个系统； 2.网络日志服务子系统，可收集所有网络设备的运行log，易于查询，永久保存； 3.独创的集成VPN功能，轻松监控和经管远端局域网内的服务器； 4.监控历史记录、性能曲线、报表等非常详尽； 5.全中文web经管方式，智能式向导配置，更易于使用和符合国内网络经管人员使用习惯； 6.独创远程协助功能，轻松获取专业技术服务； 7.同比其它的国际品牌有较高的性价比。 2、“网络预警”产品结构及主要功能 “网络预警”系统由IP网络监控报警主系统和流量分析经管、VPN和防火墙、日志储存服务等多个子系统组成。系统以实用设计为原则，运行于安全可靠的Linux操作系统，采用多层高性能架构设计，可经管上万个监控对象。采用中文WEB架构，全面支持SNMP、WMI 和IPMI协议，提供昂贵的高端网管产品才具有的丰富功能，操作简单，是追求实用和高性价比的企业用户、政府、事业单位以及IDC服务提供商为用户提供增值服务的首选产品。 IP网络监控预警主系统

档案管理系统白皮书

白皮书 WD3.0档案信息管理系统

二○○三年

WD-3.0档案信息管理系统一前言4 1背景介绍4 2应用现状及存在的问题 4 3要求及目标 5 4规范及参照标准5 4.1法律法规 5 4.2规章制度 5 4.3业务规范 6 二文档信息管理系统7 1系统图示7 1.1设备连接图7 1.2档案业务流程图8 2系统功能框图（略图）9 3系统功能简介10 3.1文件管理10 3.2整理编目10 3.3鉴定销毁11 3.4档案保管12 3.5档案统计13 3.6查询13 3.7档案编研14 3.8档案利用14 3.9移交进馆14 3.10档案信息维护15 3.11权限管理15 4设计原则16 三系统特点16 1专业化16 2文档一体化17 3多媒体文档统一管理17 4界面友好、操作简易17 5标准化、规范化17 6检索灵活多样17 7统计报表功能丰富强大17 8安全、保密17

四系统实施内容18 1库房设施建设18 2安装的软硬件设备18 3档案整理立卷18 4档案信息数字化19 五、版本划分19 1单机版19 2网络版19

WD-3.0档案信息管理系统一前言 21世纪，是数字化的信息世纪，千变万化的数字演绎着世界的斗转星移！计算机、信息技术的不断创新与突破，创造着人类的日新月异！应运而生的WD3.0档案信息管理系统是合理运用数据库、图像处理、信息处理、INTERNET技术的新一代多媒体档案系统。 1 背景介绍各企事业单位每年产生大量的各类档案和资料信息，但由于历史的原因，档案分布在各部门，并且未经整理。这些档案、资料对日常业务管理和决策存在很高的利用价值。另外，档案综合管理规范化、标准化，也是ISO9000标准中的一个要素。 2 应用现状及存在的问题在传统的档案管理中，档案查询需要搬动原始介质，费时、费力，维护成本也很高。如何经济有效的储存管理各种类型的档案资料，如何利用信息信息技术高效管理保存档案资料、充分地向内部各部门提供档案利用服务，成为一个越来越紧迫的问题。建设数字化档案是档案管理现代化的必然选择，它可以在目录管理的基础上，逐步实现档案全面数字化管理，包括纸张、录像带、录音带等各种介质存放的档案资料；通过internet/intranet提供档案信息服务，利用者通过浏览器可以进行主题词、责任者、全文检索多种途径的档案查询；在查询目录的同时，可以直接查阅数字化的档案资料；档案查询通过计算机广域网／局域网在个部门、

终端安全配置管理系统技术白皮书

终端安全配置管理系统技术白皮书国家信息中心

目录第一章终端安全配置管理系统简介 (1) 1.1 为什么要做终端安全配置 (1) 1.2 机构如何实现机构高效的终端安全配置管理 (2) 1.3 终端安全配置管理系统技术优势 (3) 第二章终端安全配置管理系统逻辑结构 (5) 第三章终端安全配置管理系统功能 (7) 第四章终端安全配置基线介绍 (9) 4.1 基线概述 (9) 4.2 终端硬件安全配置 (9) 4.3 终端软件安全配置 (10) 4.4 终端核心安全配置 (11) 第五章系统应用方案 (14) 5.1 应用架构 (14) 5.2 实施流程 (16) 5.3 运行环境要求 (16) 第六章技术支持服务 (18) 附录一W INDOW7操作系统安全配置清单（示例） (19) 附录二国家信息中心简介 (24) i

第一章终端安全配置管理系统简介 1.1 为什么要做终端安全配置在构成信息系统的网络、服务器和终端三要素中，对终端的攻击和利用终端实施的窃密事件急剧增多，终端安全问题日益突显。攻击和窃密是终端安全的外部原因，计算机系统存在缺陷或漏洞、系统配置不当是终端安全的内部原因。外因通过内因起作用，内因是决定因素。据调查，针对系统核心的攻击中，5%是零日攻击，30%是没有打补丁，65%是由于错误的配置。因此正确的安全配置才是保障终端安全性的必要条件。计算机终端核心配置最早由美国联邦政府提出，称为联邦桌面核心配置计划（FDCC）。该计划由美国联邦预算管理办公室（OMB）负责推动，旨在提高美国联邦政府计算机终端的安全性，并实现计算机管理的统一化和标准化。美国空军最先实施桌面标准配置并取得了良好的应用效果。2007年，美国联邦政府强制规定所有使用Windows的计算机必须符合FDCC的配置要求。近年来，我国逐步认识到终端安全配置管理对于加强计算机终端安全保障工作的重要作用，对美国联邦政府实施的桌面核心配置进行了跟踪研究，并开展了我国终端安全配置标准的研制工作。多家科研院所和安全厂商参与了相关研究工作，其中，国家信息中心是国内最早开展终端安全配置研究的单位之一，目前已编制完成政务终端安全核心配置标准草案，并开发出一整套标准应用支撑工具—终端安全配置管理系统。该系统在各地方的试点应用取得了明显的成效。终端安全配置分为硬件安全配置、软件安全配置和核心安全配置，如图1所示。分别介绍如下：硬件安全配置：根据计算机硬件列装的安全要求，仅可安装符合规定的硬件和外联设备，关闭存在安全隐患的接口以及驱动，以满足政府机构和大型企业对硬件环境的安全需求。包括计算机部件清单、外联设备清单、外联接口安全配置和硬件驱动安全配置；软件安全配置：根据计算机软件安装的安全要求，仅可安装符合规定的操作系统和软件，禁止非法软件安装，以满足政府机构和大型机构对软件环境的安全需求。包括应安装软件列表、可安装软件列表和禁止安装软件列表；核心安全配置：对终端操作系统、办公软件和浏览器、邮件系统软件、其它常用软件等与安全有关的可选项进行参数设置，限制或禁止存在安全隐患或漏洞的功能，启用

堡垒机技术

InforCube运维管理审计系统技术白皮书杭州鑫网科技有限公司

目录 1.前言 (3) 2.产品概述 (3) 3.功能简介 (8) 4.关键技术 (12)

1. 前言随着互联网信息技术的迅速发展，各类信息系统及网络产品层出不穷。尤其是在大中型的实体机构中，快速建设的IT系统正从以前传统封闭的业务系统向大型关键业务系统扩展，所涉及的应用类型也日趋增加。 IT系统的广泛应用是一柄双刃剑，一方面带来了规范、便捷、高效的办公流程和业务模式，一方面也引发了对IT系统的安全性问题，以及内部运维的防御难、控制难、追溯难等问题。这些问题威胁着信息中心的安全。如：内部业务数据被篡改、泄露、窃取；恶意传播病毒、在服务器访问非法网站、误操作，重要服务器上乱操作等等。如何对企业内部“信息中心”进行有效地安全把控，现已成为政府、金融、企业必需面对的重要问题，鉴于以上因素，信息安全建设在加大网络边界防护、数据通信安全、病毒防护能力等外部网络安全建设的基础上，同样不能忽略内部运维安全的建设。引入运维安全管理与操作监控机制以发现并阻止错误及违规事件，对IT风险进行事前防范、事中控制、事后追溯的组合管理是十分必要的。 2. 产品概述 InforCube 运维审计系统就是新一代运维安全审计产品，它能够对运维人员的访问过程进行细粒度的授权、全过程的操作记录及控制、全方位的操作审计、并支持事后操作过程回放功能，实现运维过程的“事前预防、事中控制、事后审计”，在简化运维操作的同时，全面解决各种复杂环境下的运维安全问题，提升企业IT运维管理水平。 2.1 产品架构

块。协议控制层主要负责实现底层对访问过程的TCP 会话拆分、还原识别操作内容、记录操作指令、并根据策略执行阻断操作。管理模块主要实现认证方式、运维用户、操作对象的配置、访问授权控制、策略控制以及行为审计功能。 2.2优势特点旁路部署逻辑串接 InforCube 运维管理审计系统采用旁路部署的方式与企业设备或应用进行挂接，在运维这些设备或应用的过程中是逻辑串接的，对于企业设备应用层面影响几乎为零。

档案管理系统方案.doc

档案管理系统方案(2)1 领航档案管理系统方案建议书一、应用背景随着信息化的发展，现在各行各业的原有纸质文档管理逐步向电子文档管理过渡。作为客户的档案，除客户的办理需要外，还得按国家规定还要对各类单据进行分类归档管理，以备日后业务查询。建立档案电子化管理，可以有效对旧有档案进行稽核检查，便于档案管理。二、系统概述根据实际情况我们将以高起点、高标准为目标，追求效益最大化，追求一流的质量。项目在规划和实施过程中，需要体现“统一规划、分步实施、资源共享、确保安全”的原则，立足“资源服务和业务管理”的宗旨，即按各门类档案的管理规则，运用计算机技术方便、高效、可靠地管理档案资源,建立一整套完整的电子档案库。提供快速稳定的查询方式和数据共享接口。档案管理系统的建设还需要体现如下特征：统一性，建立形成一套统一的档案管理规范，并可以以此为基础实现上下级之间的信息共享和交互。权威性，在确保安全的基础上，通过规范的操作方式，保证数据的一致、完整。高效性，提供快速高效准确的智能检索功能和管理手段。安全性，从技术和管理上确保网络和涉密档案资源信息的高度安全性。

可靠性，提供7 天×24 小时不间断服务。综上所述，领航档案管理系统建设方案：建立一套规范的、准确的、先进的电子档案管理系统，提供一套相应的解决方法和数字化建设的（硬件、软件）系统工程，具备档案电子化、档案管理、权限控制、WEB 查询检索。要建立一个完整的电子档案管理系统对现在存在的大量历史档案是启动该系统的必须完成的前期准备工作。成功处理用户所有的历史库存档案，并完成每天新增业务档案的处理，实现档案管理新模式。目标实现以后,原来所有纸质档案的大量日常查询调阅工作将被电子化的档案及其全新的查阅形式所取代，纸质档案将被长期封存，档案库房内部人员进入的频率也大幅度下降，库房内部环境的自动监测和控制的要求则显得日益重要。因此。档案电子化后，档案库房的数字化综合管理和数字化档案中的客户挖掘将是我们今后长期的目标。三、文档管理系统解决方案 1、方案简介领航文件档案管理系统是一套基于b/s结构的文档管理系统,用于集团内部对重要文件的共享、管理、保存。实现集团内部文件的共享、授权访问。其尤其适用于政府、集团公司的相关单位。其核心是文件资料的加密保存、自动备份、授权访问、全文检索。文件资料是加密保存在服务器上的，当非法用户绕过系统直接登录到服务器上时，即使得到了文件也不能查看文件的内容。 2、系统业务流程 3、基本功能 A、档案管理