天玥网络安全审计系统V0-运维安全管控系统-管理员使用手册-357系列-v0-20150512更新

1、2015密级：公开管理员使用手册天用网络安全审计系统V6.0运维安全管控系统适用范围：天珥OSMR列精细控制合规审计启B目是辰版权声明启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除 另有特别注明外，其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公 司。未经北京启明星辰信息技术安全有限公司书面同意， 任何人不得以任何方式或形 式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将 其全部或部分用于商业用途。本文档中的信息归北京启明星辰信息安全技术有限公司 所有并受著作权法保护。

2、免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。启明星辰公司在编 写该手册的时候已尽最大努力保证其内容准确可靠， 但启明星辰公司不对本手册中的 遗漏、不准确或错误导致的损失和损害承担责任。信息更新本文档及其相关计算机软件程序（以下文中称为“文档”）仅用于为最终用户提 供信息，并且随时可由北京启明星辰信息安全技术有限公司（下称“启明星辰”）更改或撤回。出版时间本文档于2014年7月由北京启明星辰信息安全技术有限公司编写。客户服务与技术支持如果您在使用产品时遇到了问题，可以通过以下方式反馈给我司的客户服务部， 我们将竭诚为您提供技术支持。启明星辰公司客户服务部的联系方式如下：地址：北

3、京市海淀区东北旺西路 8号中关村软件园21号楼启明星辰大厦电话：传真：网站支持：MAIL支持：信函支持邮编：100193或者您可以拨打800/400热线：热线 电话：800-810-6038400-624-3900 （服务 时段为周一至周五的9:00-17:30 ,包括国家法定节假日），未开通400/800电话的地区，可直接拨打010-5663 2688文档修订记录版本号日期修订者修订说明vl.0.12014-07-21吕波修订产品信息v1.0.22014-07-22吕波修订产品界面配置等信息v1.0.32014-07-24文斌修订产品截图和说明v1.0.42014-09-29李彬修订产品截图

4、和说明v1.0.52014-12-07李彬修订产品截图和说明V1.0.62015-02-12刘盛懋修订产品界面配置等信息V1.0.72015-03-26刘盛懋修订产品界面配置等信息V1.0.82015-05-12刘盛懋修订产品界面配置等信息目录1 概述81.1 关于本手册81.2 格式约定82 初始化配置92.1 完成配置向导92.1.1 设置密码策略 92.1.2 设置管理员账号和密码 102.1.3 配置主机网络参数 112.1.4 导入授权文件 122.1.5 确认配置信息 132.1.6 向导配置完成132.2 管理员登录142.3 配置认证方式 162.4 添加管理员172.5 系统

5、密码策略183 用户管理183.1 添加用户183.2 编辑用户属性213.3 用户其它操作233.4 用户组织机构 234 资源管理244.1 添加资源244.2 编辑主机284.3 主机其它操作294.4 资源组324.5 资源分类324.6 资源系统类型334.7 资源AD域345 策略管理355.1 访问策略355.2 命令策略385.3 集合设定405.3.1 时间集合405.3.2 IP 集合415.3.3 命令集合416 工单管理427 审计管理457.1 实时监控457.1.1 会话监控457.1.2 实时监控457.2 日志查询467.2.1 管理日志467.2.2 登录日志

6、487.2.3 审计日志507.2.4 工单日志537.3 审计报表557.3.1 报表模板 557.3.2 自定义报表 588 密码管理618.1 密码策略618.2 自动改密计划618.3 自动改密结果628.4 下载密码列表638.5 手动改密649 系统管理649.1 系统信息659.1.1 授权信息659.1.2 系统升级659.1.3 配置备份669.1.4 数据备份679.1.5 电源管理679.2 系统选项689.2.1 高可用性689.2.2 格尔认证699.2.3 认证源719.2.4 网络配置719.2.5 时间配置729.2.6 Web 选项739.2.7 备份自动导出

7、 749.2.8 运维选项 749.3 接口配置759.3.1 Syslog 759.3.2 短信769.3.3 邮件769.3.4 SNMP 779.3.5 资源同步接口 789.4 设备管理789.4.1 设备管理789.4.2 设备运行状态809.5 应用发布809.5.1 应用工具809.5.2 发布管理829.6 权限管理829.6.1 管理员8210 配置实例8710.1 添加主机 8710.2 添加用户9010.3 添加访问策略9110.4 运维用户登录 931概述1.1 关于本手册天珥网络安全审计系统 V6.0 -统一业务访问控制系统（OSM（列）（以下简称天珥 OSM,是 启

8、明星辰综合内控系列产品之一。天珥OSha针对业务环境下的用户运维操作进行控制和审计的合规性管控系统。它通过对自然人身份以及资源、资源账号的集中管理建立“自然人一资源一资源账号”对应关系，实现自然人对资源的统一授权，同时，对授权人员的运维操作进行记录、分析、展现，以帮助内控工作事 前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部业务操作 行为监管、避免核心资产（服务器、网络设备、安全设备等）损失、保障业务系统的正常运营。本手册详细介绍了天珥 OS血括初始化配置、用户管理、资源管理、策略管理、审计管理、密码管理、系统管理各功能模块的使用方法，用户可参考本手册，对天珥OS

9、MS行各种运维管理和审计管理。1.2 格式约定本文中所有图例均为实际拍摄或屏幕截取菜单名称和按钮名称的表示方法：【菜单名称】，【按钮名称】图标表示的含义：U :系统管理、配置的重要说明、提示信息。砂，一,:相关功能配置的举例说明信息；2初始化配置天珥OSM系统通过 Web浏览器登录进行管理（默认地址为的管理IP地址），初始化时需手动设置一个超级管理员账号、 密码（自行设定），天珥OSM目前支持的浏览器包括 Internet Explorer8 以上的版本、谷歌浏览器和火狐浏览器。注意：天珥 OSM版本为 V6.0.2.xxxx时，无初始化过程，默认超级管理员账号/密码admin/passwor

10、d$123，默认试用授权可管理资源数3台，授权截止时间 2019年12月31日。2.1完成配置向导首次登录后，系统自动进入初始化的配置向导界面。当天珥OSM版本为V6.0.2.xxxx时，无初始化过程，默认超级管理员账号/密码admin/password$123，默认试用授权可管理资源数 3台, 授权截止时间 2019年12月31日。"窃全过程操作说明：»1、密码策略的配置；2、超级管理员账号及密码的配置；3、主机网络的配置；4、导入授权文件；5、确认配置信息；6、向导配置完成。2.1.1 设置密码策略Step 1:设置需超策略七再复现宜匚蝌用 /W字母犬笥罕田薇w 忏妹苻

11、空司4E 3用里植有她期医）川 迪勒前.天隹躯用尸M史LT.对 Hsffl -密西罟易域亚|_|社用密词怕同得录E行 匚管用在升神户瘁字."在遛录生加口厢运翼录豆面讨钟后扁锁TP下一些图2.1设置密码策略操作说明：1、认证方式的选择；2、设置最小密码长度；3、配置密码复杂度；4、配置密码周期；5、配置历史对比；6、配置自动锁定；7、配置自动解锁；填写完成后点击“下一步”。2.2所示:2.1.2 设置管理员账号和密码设置密码策略后，点击下一步，配置管理员账号和密码，如图Step Z;设置管珅员蚩号和甯制上一步 I 下一步图2.2配置管理员账号和密码8操作说明：1、超级管理员姓名填写；2

12、、超级管理员账号填写（务必请牢记）；3、超级管理员密码填写（务必请牢记）；4、管理员确认密码与超级管理员密码一致； 填写完成后点击“下一步”。2.1.3 配置主机网络参数设置管理员账号后，点击下一步，配置主机网络参数，如图 2.3所示:Mep I:配置主机网络券教IPbhU 172 . 16 , 67 100下一步行眦码155 ：5534上一步图2.3配置管理员账号和密码操作说明:填写完成后点击“下一步1. 填写IP地址（做好记录）;2.填写子网掩码（做好记录）;2.1.4导入授权文件配置完主机网络后，点击下一步进行授权文件的导入，如图2.4-2.5 所示:图2.4导入前选择授权文件图2.5导

13、入后明细显示,为操作说明：71.点击“导入授权文件”选择授权文件进行导入；2.导入后可看到“授权文件明细”。2.1.5确认配置信息导入授权文件后，点击下一步进行配置信息确认，确认无误后，点击下一步完成，如图2.6所示：图2.6确认配置信息0操作说明：»1.详细确认所有配置信息的准确性；2.牢记重要配置信息；确认无误后，点击下一步。2.1.6向导配置完成配置信息确认无误后，点击完成，结束配置向导，界面提示“正在重启网卡，请耐心等待等待10秒后刷新界面即可进入登录页面，如图 2.7-2.8所示：Step h:亢成，eh者捋平竹系统得始化配置图2.7完成配置向导图2.8完成配置重启网卡2.

14、2管理员登录天期网络安全审计系统V6.Q图2.9登录界面输入管理员用户名、密码和验证码（当天珥 OSM系统为V972及以上版本时，验证码可以在管理界面设置取消）即可登录管理界面，登录后可看到监控界面，如图2.10所示:图2.10监控界面操作说明:1、天珥OSM提供浏览器支持，用户可以通过Internet Explorer8以上的版本和火狐浏览器进行登录访问;2、用户登陆界面提供“下载工具”通道，包括环境检测助手、JRE软件下载、证书下载、用户手册和审计播放器下载，点击将进入相应的下载界面。2.3配置认证方式导航条上选择【系统管理】一 【系统选项】一 【认证源】 【添加】，可配置认

15、证方式,也可不用配置，系统内部默认有认证模式如图2.11所示:图2.11配置认证方式类型选择：Radius、LDAR WindowsAD 域；里|操作说明：11、系统支持本地认证和其它认证方式；其它所有管理员和运维用户均与选择的认证方式相关联；2、启用外部认证源时，会禁用本地认证，所有登录认证都通过外部认证源, 所以必须保证外部认证源可用并且外部认证源的参数配置正确的情况下再启用外部认证源。3、系统默认通过系统自身的账号管理系统进行身份认证；4、Radius：通过Radius协议由第三方认证服务器对系统用户进行身份认证；5、LDAP：通过轻量级目录访问协议由第三方认证服务器对系统用户进行身份认

16、证；6、WindowsAD域：通过 Windows AD域服务器对系统用户进行身份认证。2.4添加管理员重新以超级管理员的身份登录系统，进入日常管理界面，选择【系统管理】一【权限管理】 -【管理员】，如图2.12所示:详细操作请参见8.6.1 章节。为曲b1n.工五里卜暮屈:*医寸» -gqi i不口配必事* 里注 X V a«n也出ioUmam解阳直布 if用WtfllIflflLM图2.12超级管理员操作界面操作说明：1、默认管理员权限共七种：用户管理，资源管理，策略管理、审计管理，报表管理、密码管理、系统管理；2、管理员角色可以多选，即一个用户可以兼任多个管理角色；3

17、、用户管理：用户、用户组的增删改管理；4、资源管理：资源、资源分类、资源类型的增删改管理；5、策略管理：运维用户、主机及相应的授权策略管理；6、审计管理：审计运维用户的操作，包括实时监控、记录检索、审计信息等功能；7、报表管理：报表的生成和下载，包括会话报表、异常会话报表、异常操作报表、自定义报表等；8、密码管理：主机的密码安全管理，包括密码策略、自动改密、手工改密以及管理密码文件；9、系统管理：管理天珥OSM的基本配置，包括系统监控、管理员配置及其 他基本配置信息。2.5系统密码策略导航条上选择【密码管理】一 【密码策略】可配置与密码相关的安全策略，如图 2.13所示:图2.13密码策略配置

18、密码最小长度：限定所有天珥OSM账户的密码最小长度密码复杂度：勾选可设置密码必须包含大小写字母、数字或符号密码周期：若启用，可设置密码过期时间和提醒时间，默认为 90天密码过期历史对比：若启用，可设置密码对比次数，默认为3次登录锁定：若启用，在规定的时间内输入密码错误超过设置的次数，则将帐号锁定，并设置自动解锁时间3用户管理3.1所示:3.1 添加用户选择导航条上【用户管理】，查看当前用户列表，并可执行【添加】操作；如图*用二懵W胃电中1141T TMY-EI词切神田山/天用网络安全审il提用户足电良工i«m»jP *!£关F1 可 ii 5-在一或，星En

19、63;_:>图3.1添加用户-基础信息1、导航至【用户管理】，可在用户列表界面查看到用户名称、状态、组织机构、真实姓名、主机、邮箱等信息。2、点击【添加】进入用户属性编辑界面，输入用户基础信息名称；用户名支持英文字母、数字、下划线、小数点输入；此项为必填项启用/禁用：更改用户账号的启停状态；新账号默认状态为启用密码：密码设置可选择手工输入或由系统自动生成密码；此项为必填项真实姓名；输入用户真实姓名；姓名支持中英名字母输入；此项为必填项手机：输入用户手机号码；此类信息为可选择输入项邮箱：输入用户邮箱地址；此类信息为可选择输入项开始时间&结束时间：指定用户登录的时间范围；此类信息为可

20、选择输入项登录限制：包括客户端IP地址或所在网段（网段的格式例如：/24）和MAC地址（MAC地址的输入格式例如：00-1F-16-29-F1-15）的限制高级属性：可勾选不能修改密码、密码永不过期、密码已过期备注：可在此对该用户进行描述；此项为可选择输入项3、强认证USB令牌认证：根据需要选择运维用户登录时是否使用USB令牌认证（需要插上已通过令牌重置工具初始化的 USB令牌），如图3.2所示 令牌状态：显示令牌状态令牌密码：用于此运维用户登录进行令牌认证时下载令牌重置工具：令牌重置工具用于重新初始化已与用户绑定的USB令牌，重新初始 化后的USB令牌可以再次与需要令牌

21、认证的用户进行绑定F* 天期网络安全审计系统V6.0-法缗安全管控系统或相* tuj xmFMz-MSUI丽I图3.2添加用户-强认证属性应用工具限制：用于有应用发布功能时，可选择限制运维用户使用运维工具的种类（如 图3.3所示）。1WIET.55W#*H盘= IWiETjESH1KF1TPRDP(HMUCflAOfCAAOJM3WO-nt叩叩产 L5QSWTQid4araoiitTCdfeip3y (!翻中一 Jt-f CK1 *应用工具限制图3.3添加用尸4、点击【确定】完成用户账号添加。j重要说明：1、手机输入需符合手机号码位长及格式要求；Email信息输入需要符合邮件格式要求；2、密码

22、设置 需要符合 密码管理 密码策略中已定义的密码长度及复杂度要求;3、启用账号有效期后，过期账号将会自动锁定；4、强认证根据需要选择用户登录是否使用USB令牌认证。3.2 编辑用户属性选择导航条上【用户管理】，查看当前用户列表，在对应的用户名后，点击【属性】 可对已经存在的用户信息进行修改，如图 3.3所示:图3.3编辑用户属性-基础信息在强认证属性中对用户增加使用USB令牌认证，如图3.4所示，对已使用 USB令牌认证的用户解除令牌绑定，如图 3.5所示：图3.4编辑用户属性-强认证图3.5编辑用户属性-强认证2重要说明：1、编辑用户基本信息，如 密码、真实姓名、手机、邮箱、描述 等;2、修

23、改密码：重新设置用户密码；3、启用有效期：修改账号有效期，不启用则为永久账号；4、在强认证中，配置 USB令牌认证的相关信息；5、在应用工具限制中，对运维用户可使用的运维工具进行限制。3.3 用户其它操作选择导航条上【用户管理】，查看当前用户列表；如图 3.6所示:天殂网络安全审计系统VG.O-运维安全管控系统 tf H A 1 m WF aouqmi WHAtMEz 卡母北B皿声哨跳日IHfi J.周户理-Mi« & * 芭IM«码讨& RHla 宁ARttV曹事c普 *窜 xmk am 事 /面上” 电巾* va«名”一鎏:&MWM&q

24、uot;B工JK*Jin算1制酬餐lt】U呻L匕?；兰示0 # T T ! H融物I匚图3.6用户列表删除：从用户列表中勾选需要删除的用户，点击【删除】可从系统中删除该运维用户启用：从用户列表中勾选需要禁用的用户，点击【禁用】可将此用户禁用禁用：从用户列表中勾选需要启用的用户，点击【启用】可将此用户启用移动：从用户列表中勾选需要移动到其它组织机构的用户，点击【移动】，选择需要移动到的组织机构名全部导出：按系统定义的格式导出全部用户列表导出当前：按系统定义的格式导出选中的用户列表3.4 用户组织机构选择导航条上【用户管理】；查看当前用户组织机构列表，并可执行用户组织机构管理操作；如图3.7所示：

25、天殂网络安全审计系统V60运维安全管控系统 6 EA* 更“，“上月;* 口上用尸* Lu AfetH 甘 “* 0 工* £>«.-«« _>“， r，*-*时+，菖；用:户雪座！* $ M »0 en v mm ，由 y ±sa± «, a-as « s-es9 * baFlKfe«¥fliRMICHH步%/白4awF1EVFB 11 K Imh I R *图3.7用户组织机构管理鼠标指针移动到资源组名称，显示操作按钮：添加：在组织机构或已建立的组织机构名处，点击口 ，

26、即成功添加相应组织机构修改：在已建立的组织机构名处，点击即可修改组织机构的负责人、电话和备注,名称为不可修改项删除：在对应的组织机构名处，点击 x,即成功删除相应组织机构导出：在资源组或已建立的组织机构名处，点击,即可将组织机构信息导出4资源管理4.1 添加资源选择导航条上【资源管理】一 >【资源】；查看当前资源列表，并可执行【添加】操作；如图饕需，%悬空西才田L天殂网络安全审计系统V60写“i，i4必同qa叫 含 E A 网IMBV4 i±G4图4.1添加资源1、资源列表查看列表查看：名称、资源组、资源分类、资源系统类型、IP地址、操作2、输入资源属性基本信息：名称：输入资源

27、名至资源属性；资源名支持中英文、数字及字符输入；此项为必填项状态：在下拉菜单中选择启用或禁用资源；此项为必选项资源分类：在下拉菜单中选择资源类型；此项为必选项资源系统类型： 在下拉菜单中选择资源系统类型；此项为必选项IP地址：输入资源（设备）IP地址；此项为必填项及可填多个IP地址编号：输入资源（设备）的编号所有者：输入资源（设备）的所有者负责人：输入资源（设备）的负责人备注：对该主机的功能、特性进行说明3、添加资源服务信息；如图 4.2所示:图4.2添加资源服务名称：输入资源服务属性；服务名支持中英文、数字及字符输入；此项为必填项类型：在下拉菜单中选择服务类型；此项为必选项端口：输入该服务的

28、端口号；此项为必填项备注：填写添加服务的备注信息连通检测：检测堡垒机到资源服务器该服务是否正常开放（堡垒机V701以上版本具备该功能）4、添加资源系统账号信息；如图4.3所示:图4.3添加资源账号名称：输入资源账号；此项为必填项，如账号为特权账号，需勾选特权账号密码及密码确认：输入该账号对应密码及密码确认，如密码为空则不用输入资源AD域：如资源为windows系统,并加入了域，需要对此资源的账号改密时，需要选择资源所属域（域相关的参数设置请参加本手册4.7章节）服务授权：勾选该账号连接本资源的服务类型，可多选参数：填写连接登录所需参数，如 oracle可选SID或Service_

29、Name,登录角色可选择normal、sysdba 或 sysoper;备注：填写该资源账号的备注信息5、高级选项（堡垒机为V221及以上版本才具备该功能），如下图所示:绑定协议代理服务器：当堡垒机配置了协议代理服务器时，可以固定访问该资源使用绑定的协议代理服务器；绑定应用发布服务器：当堡垒机配置了应用发布服务器时，可以固定访问该资源使用绑定的应用发布服务器；6、点击【确定】完成全部主机信息录入。刈重要说明：1、通常情况下，用户只需要配置资源ip、资源名、资源类型、服务类型及资源账号信息即可；2、账号切换命令、密码输入提示、所有者、负责人、编号、备注 为可选择输入项，如无需要可不

30、用填写；3、资源分类、资源系统类型、资源AD域需要在资源管理资源分类、资源管理资源系统类型、资源管理 资源AD域中先行定义；4、用户可以对协议默认 端口号进行修改；5、列表中禁用资源用红色显示4.2 编辑主机选择导航条上【资源管理】一 【资源】；查看当前资源列表，在对应的资源名后，点击【属性】、【服务】、【账号】 可分别对已经存在的主机信息进行修改，如图 4.4-4.6所示：T=S黑图4.4编辑资源属性图4.5编辑资源服务图4.6编辑资源账号1、编辑资源属性基础信息。如 名称、资源分类、资源系统类型、IP地址、账号切换命令 &密码输入提示等2、编辑资源服务信息，可对此资源的服务进行添加

31、、编辑、删除等操作3、编辑资源账号信息，可以对本机账号进行添加、编辑、删除 等操作4.3 主机其它操作选择导航条上【资源管理】一 >【资源】；查看当前资源列表，勾选资源并可执行【删除】操 作；如图4.7所示:*天殂网络安全审计系统V6.0-运维安全管控系统 6fl e fiE/HE1>9位卜 mn 年山 工I，广 L 国事森帕用七5*旧事冏事h景川 则晖1»VJtE11fHp口M fll4B鼻L餐，HtRltkHrJU尺-4出餐1 u理ijHR图4.7资源删除删除：在勾选对应的资源名后，点击【删除】可从系统中删除该资源；可进行多个资源勾选,进行批量删除启用 禁用：在勾选对

32、应的资源名后，点击 【禁用】可将此资源停止使用，点击 【启用】 可将此资源启用，默认资源是启用状态移动：在勾选对应的资源名后，点击【移动】可将此资源移动到其他资源组内导入/导出：资源主机信息可以以csv格式批量导入导出，管理员可以对csv格式的资源主机列表进行增删改通过在资源管理页面导出的资源主机认的格式可以对资源主机进行增删改操作。csv格式文件，可以看到资源主机的详细信息，按照默在csv文件中，帐号名称后方有密文密码、明文密码,而导出的资源列表中只有密文密码，在导入资源列表时，只需填写明文密码，如果既有密文密码 又有明文密码，堡垒机在识别时会以明文密码优先。在修改资源主机的 CSV文件时，

33、需要按照导出的格式进行配置，其中重要参数配置如下表所 示:资源名称IP地址服务名称（类型，端口，状态）， 服务名称存在'（'必须使用'转义帐号名称明文密码服务授权，多个 服务名称存在 义，参数存在,=, 义用''拆分，（"必须使用'转|,必须使用'转服务器1.1,1.1SSH(SSH,22,启用);telnet(TELNET,23,oot123456、SSH± _.口国2右夕A乜用）;RDP弊P,3389,启用）个帐号时，分行写F也admin123456SSH资源主机开放服务写在同一单元格，服务之间使用分号分admin

34、istrator123456| TELNET;RDP当一个帐号同时绑user1123456FTP定多个服务时，不同服务器B1.1,1.2OTHER（OTHER,0,启用）;，启用）;一（此次省略）sa123456FTP的服务用分号分隔<）sa123456TELNET在一:一个资源主机最后sa123456MSSQL一配保、帐号的下一行开始i新的资源主机sa123456ORACLE(loginas=normal,SERVIC E_NAME=nmdb)参数说明：loginas为数据库登录角 色(可选：normal 、sysdba、 sysoper );选配数据库 Server_Name 或 S

35、ID 参数。sa123456SYBASE(servername=sim,dbna me=sim)参数说明：servername 为节点名； dbname为实例名。sa123456INFORMIX(servername=sim,db name=sim)参数说明：servvername 为节点名； dbname为实例名。sa123456DB2(db2instance=sim,dbname= sim)参数说明：db2instance 为实例名； dbname为数据库名。sa123456MYSQLsa123456HTTP(submit=login,stype=id,pa ssword=password

36、,ptype=id,use rname=user,utype=id,url=) 参数说明：url为web登录地址； stype 为节点类型(包括：id、name、 xpath )； submit 为该节点参数。sa123456RLOGINsa123456TERADTA(dbname=sim)参数说明：dbname为实例名。sa123456RDPsa123456SSH空账号123456VNCsa123456POSTGRESQL(dbname=sim)参数说明：dbname为实例名sa123456OTHER4.4资源组选择导航条上【资源管理】一 【资源】；查看当前资源列表，在资源列表左边，可查看当

37、前资源组，并可执行资源组管理操作；如图4.8所示：我际X.“ 具枷 用 耳，耳面 工/空 司也陈 91040* 1WA*二冏同耳彳优用声片金IFlUibK *4可格曲'K44* M 裁胃“星HUli* i?Ud.iaJd n0/WFMk&£ MeXfid:风5rvL船不 naMJi第M口里并I哥噩力W0工帚 巧 R切触到E H： Y 由鼻烟c:图4.8管理资源组鼠标指针移动到资源组名称，显示操作按钮：添加：在资源处，点击:广，即弹出添加资源组信息框，输入需要新增的资源组信息修改：在已建立的资源组名处，点击，即可修改资源组名称和备注删除：在对应的资源组名处，点击 X ,

38、即成功删除相应资源组清空：在已建立的资源组名处，点击，即可清空该资源组下所有资源主机（堡垒机V701以上版本具备该功能）4.5资源分类选择导航条上【资源管理】一 【资源分类】，在资源分类列表中会显示系统默认的和已添加 的资源分类。默认资源分类为主机、数据库、安全设备和网络设备四种，并且不允许删除。另外 可通过勾选资源分类名称，对自定义资源分类进行删除操作，点击资源分类属性，可对资源分类进行编辑。资源分类列表如下图4.9所示:下少天殂网络安全审计系统V6.o运维安全管控系统fin® a0*itaae=mns ：召*3Xe3密咿黑，！£拜唐亚曰髭 用户0 * T

39、) UU«H«t 迪1* jy方* '*菱.UW -艮.号同 tfir*事旬X* * w»QH «»生«*p±»IMFfc EP. WFS-r is ff * JL Lt H *wft 1 匚号图4.9资源分类列表在资源分类界面点击【添加】，进入添加资源分类页面，如下图 4.10所示:图4.10添加资源分类名称：添加名称。必填项，且不能重复。仅支持英文字母、数字、下划线、小数点。备注：该资源分类的描述说明。4.6 资源系统类型选择导航条上【资源管理】>【资源系统类型】，在资源系统类型列表中会显示系统默

40、认的和已添加的资源系统类型，默认资源类型有Linux、Windows > AIX、HP-UX、Cisco和Huawei六种, 并且不允许删除。另外通过勾选资源类型名称，可对自定义资源系统类型进行删除操作，点击资源系统属性，可对资源系统进行编辑。资源系统列表如下图4.11所示：宁，天珥网络安全审计系ffiVGO 这堆安全管控系统修 。西W 耐 E Ml：WI nfflI交车HM* ，叁总由温*盅3£19X 用户0疝 uf1_ T«Hq£RP«>tlvja臭耳9; mnii和具1堂.wSzt 乃 , » 日 雪.£ *.图4.

41、11资源系统列表在资源系统类型界面点击【添加】，进入添加资源系统页面，如下图 4.12所示:图4.12添加资源系统类型名称：资源系统名称。必填项，且不能重复。仅支持英文字母、数字、下划线、小数点账号切换命令：选填项密码输入提示：选填项备注：该资源系统类型的描述说明4.7 资源AD域选择导航条上【资源管理】【资源AD域】，如资源为windows系统，并加入了域，需要对此资源的登录账号改密时，可在此提前设置好资源AD域相关信息，在添加资源的服务账号时，可直接选择此处设置的域名。在主机AD域列表中会显示已添加的 AD域清单，列表显示 AD域的域 名。可从列表直接删除 AD域。如图4.13所示:* a

42、 0曲训序*事客Jt K田之*三物粘 就 咨工干% «» “天琨网绪安全审计系统V6.0运堆安全管控系统图4.13资源AD域列表添加AD域：点击【添加资源 AD域】，在弹出窗口输入域名、域管理员名、密码和域控制器IP地址，点击【确定】，即可完成AD域的添加编辑AD域：在清单中单击已有的域名的属性，可进行修改，修改完成之后点击【确定】，即可完成AD域的编辑删除AD域：在清单中勾选已有的域名，再点击【删除资源 AD域】，即可完成AD域的删除5策略管理策略管理主要配置运维用户的访问授权及指令授权。访问策略授权和指令操作授权均可配置黑白名单。授权中使用到的指令集合、ip集合和时间集

43、合需要预先定义。5.1 访问策略选择导航条上【策略管理】一 【访问策略】，授权运维用户访问运维主机，需要配置相应授 权。访问策略授权的配置方式采用向导式。访问授权策略页面如图 5.1所示:昉* ii' X 林 9 E电 币M, - Mlf I R *图5.1访问授权策略列表在访问授权策略列表中显示了已配置的策略。点击【添加】，进入访问策略授权向导如图 5.2所示：图5.2添加访问策略名称：输入访问策略名；资源名支持中英文、数字及字符输入；此项为必填项高级属性：选择是否启用以下功能：RDP剪切板、RDP磁盘映射限制IP:在启用限制IP功能后，在IP设置范围内的运维用户能访问堡垒机限制时间

44、：启用限制时间功能后，限制运维用户只能在指定时间范围内能访问堡垒机完成基础信息配置后，点击【下一步】进入绑定用户页面如图5.3所示：图5.3绑定用户页面选择绑定服务，点击【下一步】如图 5.4所示:图5.4绑定服务选择绑定账号，可点击连接参数查看账号参数，点击【确定】完成一条访问策略配置，如图 5.5所示:图5.5绑定账号5.2 命令策略选择导航条上【策略管理】一 【命令策略】，指令操作授权主要配置运维用户的指令黑白名单：在命令策略界面点击【添加】，进入命令策略配置向导如图 5.6所示:图5.6命令策略-基本信息基本信息填写名称、匹配模式、审计动作、告警方式、命令集合、操作命令和操作对象等,名

45、称：输入审计策略名；资源名支持中英文、数字及字符输入；此项为必填项匹配模式：在下拉菜单选择包含或不包含；此项为必选项审计动作：在下拉菜单选择允许执行、忽略命令、阻断会话或二次审批；此项为必选项8.2.6告警方式：包才Syslocb短信、邮件、SNMP,相关设置需由系统管理员配置，参见 和8.3章节 命令集合：选择在命令集合中设置的命令集 操彳&对象：输入需要匹配的运维操作命令和对象填写完基础信息后，点击【下一步】如图 5.7所示:图5.7命令策略绑定用户绑定用户，勾选上用户名称将这条审计策略授权到指定用户，点击【下一步】如图5.8所示:图5.8命令策略绑定服务绑定服务，勾选上运维服务名

46、称将审计策略授权到指定服务，关联从账号，点击【确定】完 成一条审计策略的配置。操作说明:1、策略命令配置和执行命令拒绝为黑名单，一旦运维用户使用命令列表中 的命令，将会触发响应，响应方式在审计动作配置，通常设置为阻断命令。 2、策略命令配置和执行命令允许为白名单，运维用户使用命令列表中的命 令，将会触发响应，响应方式在审计动作配置，通常设置为忽略命令。3、输入多个命令时。每一行只能输入一个命令。5.3 集合设定5.3.1 时间集合选择导航条上【策略管理】一 【集合设定】一 【时间集合】，查看当前时间集合列表,点击【添加时间集合】如图 5.9所示：图5.9添加时间集合名称：该时间集合的名称，可以

47、使用字母、数字和中文 区间&开始时间&结束时间：配置时间范围，可输入多个时间范围，每行一个 备注：该时间集合的说明文字重要说明:提前设置的时间集合1、使用【添加】可以配置多个时间范围。时间范围的数量无限制 2、设置了时间集合，在添加访问策略时，如需限制访问时间时就可以直接选择5.3.2 IP 集合选择导航条上【策略管理】一 【集合设定】一 【ip集合】，查看当前命令集合列表, 点击【添加IP集合】如图5.10所示：图5.10添加IP集合名称：该IP集合的名称，可以使用字母、数字和中文起始IP&终止IP&显示信息：该IP集合的IP地址段，可输入多个IP地址段，每行

48、一个5.3.3 命令集合选择导航条上【策略管理】一 【集合设定】一 【命令集合】，查看当前命令集合列表, 点击【添加命令集合】如图 5.11所示:图5.11添加命令集合名称：该指令集合的名称，可以使用字母、数字和中文操彳&对象：指令集合的内容，可以输入多个指令，每行一个，对象可为空 备注：该指令集合的说明文字从文件导入：命令集合支持导入功能，可提前在文档中按照要求的格式设置好需要导入6工单管理工单管理主要是管理员为运维用户下发临时访问授权，可以限制特定的运维用户在特定时间 范围内才能访问授权的运维资源。工单管理页面，如图 6.1所示:下，天瑁网络安全审计系统V6.0-运维安至代控系统

49、也总良工.山则明）朝|黑""*且刀口11 ,用产 jLhIL 9 1* 口 _!次 L11I «1 ML 1*3工西工 *田*Tff "工，事等林方牛,*.I«|rtartmn>£«*优E号用1环1刘弱也颈1皿33Q*9SIITZ.DMF E5PCJTI&F1F.TC1JET.WS而.IBK jut.-B，01sl，Minim艮3««|5|7四】团.同。玉1% *H* MH I K "图6.1工单管理点击【添加】，管理员可以新建工单，如图 6.2所示图6.3添加工单-绑定服务图6.

50、4添加工单-绑定帐号7审计管理7.1实时监控7.1.1会话监控选择导航条上【审计管理】一 【实时监控】一 【会话监控】，如图7.1所示: *天羽网络安全审计系统U6.Q场维安全管控系统耳萩速!fi与荣集2D1*弹U同，日*U同南力非事用户事吾卜rt±井时日tlZ3_l17Z.LC. 1.1611172.16 JLlfll.SSH：U,.43,：i2i1-u2<-45 2£,22z25宣幡第图7.1会话监控会话监控：对已建立的会话进行实时监控，可查看到用户名、资源、服务、账号、开始时间 等信息。7.1.2实时监控选择导航条上【运维管理】一 【实时监控】一 【会话监控】，如图7.2所示:m2=*飘”罩n月蛔H融司曲I曲蜀.或 JI 嫡 Lf日a-ierarbisijt 4，用 工 事工靠用到 12鼻身也求的语.相 .i*M：173 1&1 1S1y.与幼二AljtliQ 14H.砥*幸：聃廿HuM*gepMi /hn*w/rrtlUErrlHfcprwrlilluaeiCilfeer*-! II Jl x* /iriiffHi-tidl 仙Tl 图7.2会话监控实时监控：对会话监控列表中的会话条目选择实时监控，可对正在进行的会话以图形的方式实时监控，如图7.