天玥网络安全审计系统运维安全管控系统管理员使用基础手册

管理员使用手册天玥网络安全审计系统V6.0运维安全管控系统密级：公开适用范围：天玥OSM系列精细控制合规审计

版权申明启明星辰企业版权全部，并保留对本手册及本申明最终解释权和修改权。本文档中出现任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有尤其注明外,其著作权或其它相关权利均属于北京启明星辰信息安全技术。未经北京启明星辰信息技术安全书面同意，任何人不得以任何方法或形式对本手册内任何部分进行复制、摘录、备份、修改、传输、翻译成其它语言、将其全部或部分用于商业用途。本文档中信息归北京启明星辰信息安全技术全部并受著作权法保护。免责申明本手册依据现有信息制作，其内容如有更改，恕不另行通知。启明星辰企业在编写该手册时候已尽最大努力确保其内容正确可靠，但启明星辰企业不对本手册中遗漏、不正确或错误造成损失和损害负担责任。信息更新本文档及其相关计算机软件程序（以下文中称为“文档”）仅用于为最终用户提供信息，而且随时可由北京启明星辰信息安全技术（下称“启明星辰”）更改或撤回。出版时间 本文档于7月由北京启明星辰信息安全技术编写。

用户服务和技术支持假如您在使用产品时碰到了问题，能够经过以下方法反馈给本企业用户服务部，我们将竭诚为您提供技术支持。启明星辰企业用户服务部联络方法以下：地址：北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦电话：传真：

网站支持：.MAIL支持：信函支持邮编：100193或您能够拨打800/400热线：热线电话：800-810-6038400-624-3900（服务时段为周一至周五9:0017:30，包含国家法定节假日），未开通400/800电话地域，可直接拨档修订统计版本号日期修订者修订说明v1.0.1-07-21吕波修订产品信息v1.0.2-07-22吕波修订产品界面配置等信息v1.0.3-07-24文斌修订产品截图和说明v1.0.4-09-29李彬修订产品截图和说明v1.0.5-12-07李彬修订产品截图和说明V1.0.6-02-12刘盛懋修订产品界面配置等信息V1.0.7-03-26刘盛懋修订产品界面配置等信息V1.0.8-05-12刘盛懋修订产品界面配置等信息

目录TOC\o"1-4"\h\z\u1 概述 81.1 相关本手册 81.2 格式约定 82 初始化配置 92.1 完成配置向导 92.1.1 设置密码策略 92.1.2 设置管理员账号和密码 102.1.3 配置主机网络参数 112.1.4 导入授权文件 122.1.5 确定配置信息 132.1.6 向导配置完成 142.2 管理员登录 152.3 配置认证方法 172.4 添加管理员 182.5 系统密码策略 193 用户管理 203.1 添加用户 203.2 编辑用户属性 223.3 用户其它操作 243.4 用户组织机构 254 资源管理 264.1 添加资源 264.2 编辑主机 304.3 主机其它操作 314.4 资源组 344.5 资源分类 344.6 资源系统类型 354.7 资源AD域 375 策略管理 375.1 访问策略 385.2 命令策略 405.3 集合设定 425.3.1 时间集合 425.3.2 IP集合 435.3.3 命令集合 446 工单管理 457 审计管理 487.1 实时监控 487.1.1 会话监控 487.1.2 实时监控 487.2 日志查询 497.2.1 管理日志 507.2.2 登录日志 527.2.3 审计日志 547.2.4 工单日志 577.3 审计报表 597.3.1 报表模板 597.3.2 自定义报表 628 密码管理 658.1 密码策略 658.2 自动改密计划 658.3 自动改密结果 678.4 下载密码列表 678.5 手动改密 689 系统管理 699.1 系统信息 699.1.1 授权信息 699.1.2 系统升级 709.1.3 配置备份 719.1.4 数据备份 729.1.5 电源管理 739.2 系统选项 739.2.1 高可用性 739.2.2 格尔认证 749.2.3 认证源 769.2.4 网络配置 769.2.5 时间配置 789.2.6 Web选项 799.2.7 备份自动导出 809.2.8 运维选项 819.3 接口配置 819.3.1 Syslog 819.3.2 短信 829.3.3 邮件 839.3.4 SNMP 839.3.5 资源同时接口 849.4 设备管理 849.4.1 设备管理 849.4.2 设备运行状态 869.5 应用公布 879.5.1 应用工具 879.5.2 公布管理 889.6 权限管理 899.6.1 管理员 8910 配置实例 9310.1 添加主机 9310.2 添加用户 9610.3 添加访问策略 9710.4 运维用户登录 99

概述相关本手册天玥网络安全审计系统V6.0-统一业务访问控制系统（OSM系列）（以下简称天玥OSM），是启明星辰综合内控系列产品之一。天玥OSM是针对业务环境下用户运维操作进行控制和审计合规性管控系统。它经过对自然人身份和资源、资源账号集中管理建立“自然人—资源—资源账号”对应关系，实现自然人对资源统一授权，同时，对授权人员运维操作进行统计、分析、展现，以帮助内控工作事前计划预防、事中实时监控、违规行为响应、事后合规汇报、事故追踪回放，加强内部业务操作行为监管、避免关键资产（服务器、网络设备、安全设备等）损失、保障业务系统正常运行。本手册具体介绍了天玥OSM包含初始化配置、用户管理、资源管理、策略管理、审计管理、密码管理、系统管理各功效模块使用方法，用户可参考本手册，对天玥OSM进行多种运维管理和审计管理。格式约定本文中全部图例均为实际拍摄或屏幕截取菜单名称和按钮名称表示方法：【菜单名称】，【按钮名称】图标表示含义：：系统管理、配置关键说明、提醒信息。：相关功效配置举例说明信息；初始化配置 天玥OSM系统经过Web浏览器登录进行管理（默认地址为https://OSM-Server管理IP地址），初始化时需手动设置一个超级管理员账号、密码（自行设定），天玥OSM现在支持浏览器包含InternetExplorer8以上版本、谷歌浏览器和火狐浏览器。注意：天玥OSM版本为V6.0.2.xxxx时，无初始化过程，默认超级管理员账号/密码admin/password$123，默认试用授权可管理资源数3台，授权截止时间12月31日。完成配置向导首次登录后，系统自动进入初始化配置向导界面。当日玥OSM版本为V6.0.2.xxxx时，无初始化过程，默认超级管理员账号/密码admin/password$123，默认试用授权可管理资源数3台，授权截止时间12月31日。全过程操作说明：密码策略配置；超级管理员账号及密码配置；主机网络配置；导入授权文件；确定配置信息；向导配置完成。设置密码策略设置密码策略，图2.1所表示：图2.1设置密码策略操作说明：认证方法选择；设置最小密码长度；配置密码复杂度；配置密码周期；配置历史对比；配置自动锁定；配置自动解锁；填写完成后点击“下一步”。设置管理员账号和密码设置密码策略后，点击下一步，配置管理员账号和密码，图2.2所表示：图2.2配置管理员账号和密码操作说明：超级管理员姓名填写；超级管理员账号填写（务必请切记）；超级管理员密码填写（务必请切记）；管理员确定密码和超级管理员密码一致；填写完成后点击“下一步”。配置主机网络参数设置管理员账号后，点击下一步，配置主机网络参数，图2.3所表示：图2.3配置管理员账号和密码操作说明：填写IP地址（做好统计）；填写子网掩码（做好统计）；填写完成后点击“下一步”。导入授权文件配置完主机网络后，点击下一步进行授权文件导入，图2.4-2.5所表示：图2.4导入前选择授权文件图2.5导入后明细显示操作说明：点击“导入授权文件”选择授权文件进行导入；导入后可看到“授权文件明细”。确定配置信息导入授权文件后，点击下一步进行配置信息确定，确定无误后，点击下一步完成，图2.6所表示：图2.6确定配置信息操作说明：具体确定全部配置信息正确性；切记关键配置信息；确定无误后，点击下一步。向导配置完成配置信息确定无误后，点击完成，结束配置向导，界面提醒“正在重启网卡，请耐心等候…”，等候10秒后刷新界面即可进入登录页面，图2.7-2.8所表示：图2.7完成配置向导图2.8完成配置重启网卡管理员登录打开浏览器，输入https://OSM-Server管理IP地址，图2.9所表示：图2.9登录界面输入管理员用户名、密码和验证码（当日玥OSM系统为v972及以上版本时，验证码能够在管理界面设置取消）即可登录管理界面，登录后可看到监控界面，图2.10所表示：图2.10监控界面操作说明：天玥OSM提供浏览器支持，用户能够经过InternetExplorer8以上版本和火狐浏览器进行登录访问；用户登陆界面提供“下载工具”通道，包含环境检测助手、JRE软件下载、证书下载、用户手册和审计播放器下载，点击将进入对应下载界面。配置认证方法 导航条上选择【系统管理】—>【系统选项】—>【认证源】—>【添加】，可配置认证方法，也可不用配置，系统内部默认有认证模式图2.11所表示：图2.11配置认证方法类型选择：Radius、LDAP、WindowsAD域；操作说明：系统支持当地认证和其它认证方法；其它全部管理员和运维用户均和选择认证方法相关联；启用外部认证源时，会禁用当地认证，全部登录认证全部经过外部认证源，所以必需确保外部认证源可用而且外部认证源参数配置正确情况下再启用外部认证源。系统默认经过系统本身账号管理系统进行身份认证；Radius：经过Radius协议由第三方认证服务器对系统用户进行身份认证；LDAP：经过轻量级目录访问协议由第三方认证服务器对系统用户进行身份认证；WindowsAD域：经过WindowsAD域服务器对系统用户进行身份认证。添加管理员重新以超级管理员身份登录系统，进入日常管理界面，选择【系统管理】—>【权限管理】—>【管理员】，图2.12所表示：具体操作请参见8.6.1章节。图2.12超级管理员操作界面操作说明：默认管理员权限共七种：用户管理，资源管理，策略管理、审计管理，报表管理、密码管理、系统管理；管理员角色能够多选，即一个用户能够兼任多个管理角色；用户管理：用户、用户组增删改管理；资源管理：资源、资源分类、资源类型增删改管理；策略管理：运维用户、主机及对应授权策略管理；审计管理：审计运维用户操作，包含实时监控、统计检索、审计信息等功效；报表管理：报表生成和下载，包含会话报表、异常会话报表、异常操作报表、自定义报表等；密码管理：主机密码安全管理，包含密码策略、自动改密、手工改密和管理密码文件；系统管理：管理天玥OSM基础配置，包含系统监控、管理员配置及其它基础配置信息。系统密码策略 导航条上选择【密码管理】—>【密码策略】可配置和密码相关安全策略，图2.13所表示：图2.13密码策略配置密码最小长度：限定全部天玥OSM账户密码最小长度密码复杂度：勾选可设置密码必需包含大小写字母、数字或符号密码周期：若启用，可设置密码过期时间和提醒时间，默认为90天密码过期历史对比：若启用，可设置密码对比次数，默认为3次登录锁定：若启用，在要求时间内输入密码错误超出设置次数，则将帐号锁定，并设置自动解锁时间用户管理添加用户选择导航条上【用户管理】，查看目前用户列表，并可实施【添加】操作；图3.1所表示：图3.1添加用户-基础信息导航至【用户管理】，可在用户列表界面查看到用户名称、状态、组织机构、真实姓名、主机、邮箱等信息。点击【添加】进入用户属性编辑界面，输入用户基础信息名称；用户名支持英文字母、数字、下划线、小数点输入；此项为必填项启用/禁用：更改用户账号启停状态；新账号默认状态为启用密码：密码设置可选择手工输入或由系统自动生成密码；此项为必填项真实姓名；输入用户真实姓名；姓名支持中英名字母输入；此项为必填项手机：输入用户手机号码；这类信息为可选择输入项邮箱：输入用户邮箱地址；这类信息为可选择输入项开始时间&结束时间：指定用户登录时间范围；这类信息为可选择输入项登录限制：包含用户端IP地址或所在网段（网段格式比如：/24）和MAC地址（MAC地址输入格式比如：00-1F-16-29-F1-15）限制高级属性：可勾选不能修改密码、密码永不过期、密码已过期备注：可在此对该用户进行描述；此项为可选择输入项强认证USB令牌认证：依据需要选择运维用户登录时是否使用USB令牌认证（需要插上已经过令牌重置工具初始化USB令牌），图3.2所表示令牌状态：显示令牌状态令牌密码：用于此运维用户登录进行令牌认证时下载令牌重置工具：令牌重置工具用于重新初始化已和用户绑定USB令牌，重新初始化后USB令牌能够再次和需要令牌认证用户进行绑定图3.2添加用户-强认证属性应用工具限制：用于有应用公布功效时，可选择限制运维用户使用运维工具种类（图3.3所表示）。图3.3添加用户-应用工具限制点击【确定】完成用户账号添加。关键说明：手机输入需符合手机号码位长及格式要求；Email信息输入需要符合邮件格式要求；密码设置需要符合密码管理>密码策略中已定义密码长度及复杂度要求；启用账号使用期后，过期账号将会自动锁定；强认证依据需要选择用户登录是否使用USB令牌认证。编辑用户属性选择导航条上【用户管理】，查看目前用户列表，在对应用户名后，点击【属性】可对已经存在用户信息进行修改，图3.3所表示：图3.3编辑用户属性-基础信息在强认证属性中对用户增加使用USB令牌认证，图3.4所表示，对已使用USB令牌认证用户解除令牌绑定，图3.5所表示：图3.4编辑用户属性-强认证图3.5编辑用户属性-强认证2关键说明：编辑用户基础信息，如密码、真实姓名、手机、邮箱、描述等；修改密码：重新设置用户密码；启用使用期：修改账号使用期，不启用则为永久账号；在强认证中，配置USB令牌认证相关信息；在应用工具限制中，对运维用户可使用运维工具进行限制。用户其它操作选择导航条上【用户管理】，查看目前用户列表；图3.6所表示：图3.6用户列表删除：从用户列表中勾选需要删除用户，点击【删除】可从系统中删除该运维用户启用：从用户列表中勾选需要禁用用户，点击【禁用】可将此用户禁用禁用：从用户列表中勾选需要启用用户，点击【启用】可将此用户启用移动：从用户列表中勾选需要移动到其它组织机构用户，点击【移动】，选择需要移动到组织机构名全部导出：按系统定义格式导出全部用户列表导出目前：按系统定义格式导出选中用户列表用户组织机构选择导航条上【用户管理】；查看目前用户组织机构列表，并可实施用户组织机构管理操作；图3.7所表示：图3.7用户组织机构管理鼠标指针移动到资源组名称，显示操作按钮：添加：在组织机构或已建立组织机构名处，点击，即成功添加对应组织机构修改：在已建立组织机构名处，点击，即可修改组织机构责任人、电话和备注，名称为不可修改项删除：在对应组织机构名处，点击，即成功删除对应组织机构导出：在资源组或已建立组织机构名处，点击，即可将组织机构信息导出资源管理添加资源选择导航条上【资源管理】—>【资源】；查看目前资源列表，并可实施【添加】操作；图4.1所表示：图4.1添加资源资源列表查看列表查看：名称、资源组、资源分类、资源系统类型、IP地址、操作输入资源属性基础信息：名称：输入资源名至资源属性；资源名支持中英文、数字及字符输入；此项为必填项状态：在下拉菜单中选择启用或禁用资源；此项为必选项资源分类：在下拉菜单中选择资源类型；此项为必选项资源系统类型：在下拉菜单中选择资源系统类型；此项为必选项IP地址：输入资源（设备）IP地址；此项为必填项及可填多个IP地址编号：输入资源（设备）编号全部者：输入资源（设备）全部者责任人：输入资源（设备）责任人备注：对该主机功效、特征进行说明添加资源服务信息；图4.2所表示：图4.2添加资源服务名称：输入资源服务属性；服务名支持中英文、数字及字符输入；此项为必填项类型：在下拉菜单中选择服务类型；此项为必选项端口：输入该服务端口号；此项为必填项备注：填写添加服务备注信息连通检测：检测堡垒机到资源服务器该服务是否正常开放（堡垒机V701以上版本含有该功效）添加资源系统账号信息；图4.3所表示：图4.3添加资源账号名称：输入资源账号；此项为必填项，如账号为特权账号，需勾选特权账号密码及密码确定：输入该账号对应密码及密码确定，如密码为空则不用输入资源AD域：如资源为windows系统，并加入了域，需要对此资源账号改密时，需要选择资源所属域（域相关参数设置请参与本手册4.7章节）服务授权：勾选该账号连接本资源服务类型，可多选参数：填写连接登录所需参数，如oracle可选SID或Service_Name，登录角色可选择normal、sysdba或sysoper；备注：填写该资源账号备注信息高级选项（堡垒机为V221及以上版本才含有该功效），以下图所表示：绑定协议代理服务器：当堡垒机配置了协议代理服务器时，能够固定访问该资源使用绑定协议代理服务器；绑定应用公布服务器：当堡垒机配置了应用公布服务器时，能够固定访问该资源使用绑定应用公布服务器；点击【确定】完成全部主机信息录入。关键说明：通常情况下，用户只需要配置资源IP、资源名、资源类型、服务类型及资源账号信息即可；账号切换命令、密码输入提醒、全部者、责任人、编号、备注为可选择输入项，如无需要可不用填写；资源分类、资源系统类型、资源AD域需要在资源管理>资源分类、资源管理>资源系统类型、资源管理>资源AD域中先行定义；用户能够对协议默认端口号进行修改；列表中禁用资源用红色显示编辑主机选择导航条上【资源管理】—>【资源】；查看目前资源列表，在对应资源名后，点击【属性】、【服务】、【账号】可分别对已经存在主机信息进行修改，图4.4-4.6所表示：图4.4编辑资源属性图4.5编辑资源服务图4.6编辑资源账号编辑资源属性基础信息。如名称、资源分类、资源系统类型、IP地址、账号切换命令&密码输入提醒等编辑资源服务信息，可对此资源服务进行添加、编辑、删除等操作编辑资源账号信息，能够对本机账号进行添加、编辑、删除等操作主机其它操作选择导航条上【资源管理】—>【资源】；查看目前资源列表，勾选资源并可实施【删除】操作；图4.7所表示：图4.7资源删除删除：在勾选对应资源名后，点击【删除】可从系统中删除该资源；可进行多个资源勾选，进行批量删除启用\禁用：在勾选对应资源名后，点击【禁用】可将此资源停止使用，点击【启用】可将此资源启用，默认资源是启用状态移动：在勾选对应资源名后，点击【移动】可将此资源移动到其它资源组内导入/导出：资源主机信息能够以csv格式批量导入导出，管理员能够对csv格式资源主机列表进行增删改注意：经过在资源管理页面导出资源主机csv格式文件，能够看到资源主机具体信息，根据默认格式能够对资源主机进行增删改操作。在csv文件中，帐号名称后方有密文密码、明文密码，而导出资源列表中只有密文密码，在导入资源列表时，只需填写明文密码，假如现有密文密码又有明文密码，堡垒机在识别时会以明文密码优先。在修改资源主机CSV文件时，需要根据导出格式进行配置，其中关键参数配置以下表所表示：资源名称IP地址服务名称(类型,端口,状态),服务名称存在'('必需使用'\'转义帐号名称明文密码服务授权,多个用';'拆分,服务名称存在'('必需使用'\'转义,参数存在'=,|'必需使用'\'转义服务器A资源主机开放服务写在同一单元格，服务之间使用分号分隔SSH(SSH,22,启用);telnet(TELNET,23,启用);RDP(RDP,3389,启用)资源主机开放服务写在同一单元格，服务之间使用分号分隔root123456当一个服务有多个帐号时，分行写SSH当一个服务有多个帐号时，分行写admin123456SSHadministrator123456当一个帐号同时绑定多个服务时，不一样服务用分号分隔TELNET;RDP当一个帐号同时绑定多个服务时，不一样服务用分号分隔user1123456FTP服务器BOTHER(OTHER,0,启用);FTP(FTP,21,启用);……(此次省略)sa123456FTP在上一个资源主机最终一个帐号下一行开始配置新资源主机在上一个资源主机最终一个帐号下一行开始配置新资源主机sa123456TELNETsa123456MSSQLsa123456ORACLE(loginas=normal,SERVICE_NAME=nmdb)参数说明：loginas为数据库登录角色（可选：normal、sysdba、sysoper）;选配数据库Server_Name或SID参数。sa123456SYBASE(servername=sim,dbname=sim)参数说明：servername为节点名；dbname为实例名。sa123456INFORMIX(servername=sim,dbname=sim)参数说明：servvername为节点名；dbname为实例名。sa123456DB2(db2instance=sim,dbname=sim)参数说明：db2instance为实例名；dbname为数据库名。sa123456MYSQLsa123456HTTP(submit=login,stype=id,password=password,ptype=id,username=user,utype=id,url=)参数说明：url为web登录地址；stype为节点类型（包含：id、name、xpath）；submit为该节点参数。sa123456RLOGINsa123456TERADTA(dbname=sim)参数说明：dbname为实例名。sa123456RDPsa123456SSH[空账号]123456VNCsa123456POSTGRESQL(dbname=sim)参数说明：dbname为实例名sa123456OTHER资源组选择导航条上【资源管理】—>【资源】；查看目前资源列表，在资源列表左边，可查看目前资源组，并可实施资源组管理操作；图4.8所表示：图4.8管理资源组 鼠标指针移动到资源组名称，显示操作按钮：添加：在资源处，点击，即弹出添加资源组信息框，输入需要新增资源组信息修改：在已建立资源组名处，点击，即可修改资源组名称和备注删除：在对应资源组名处，点击，即成功删除对应资源组清空：在已建立资源组名处，点击，即可清空该资源组下全部资源主机（堡垒机V701以上版本含有该功效）资源分类选择导航条上【资源管理】—>【资源分类】，在资源分类列表中会显示系统默认和已添加资源分类。默认资源分类为主机、数据库、安全设备和网络设备四种，而且不许可删除。另外可经过勾选资源分类名称，对自定义资源分类进行删除操作，点击资源分类属性，可对资源分类进行编辑。资源分类列表以下图4.9所表示：图4.9资源分类列表在资源分类界面点击【添加】，进入添加资源分类页面，以下图4.10所表示：图4.10添加资源分类名称：添加名称。必填项，且不能反复。仅支持英文字母、数字、下划线、小数点。备注：该资源分类描述说明。资源系统类型选择导航条上【资源管理】—>【资源系统类型】，在资源系统类型列表中会显示系统默认和已添加资源系统类型，默认资源类型有Linux、Windows、AIX、HP-UX、Cisco和Huawei六种，而且不许可删除。另外经过勾选资源类型名称，可对自定义资源系统类型进行删除操作，点击资源系统属性，可对资源系统进行编辑。资源系统列表以下图4.11所表示：图4.11资源系统列表在资源系统类型界面点击【添加】，进入添加资源系统页面，以下图4.12所表示：图4.12添加资源系统类型名称：资源系统名称。必填项，且不能反复。仅支持英文字母、数字、下划线、小数点账号切换命令：选填项密码输入提醒：选填项备注：该资源系统类型描述说明资源AD域 选择导航条上【资源管理】—>【资源AD域】，如资源为windows系统，并加入了域，需要对此资源登录账号改密时，可在此提前设置好资源AD域相关信息，在添加资源服务账号时，可直接选择此处设置域名。在主机AD域列表中会显示已添加AD域清单，列表显示AD域域名。可从列表直接删除AD域。图4.13所表示：图4.13资源AD域列表添加AD域：点击【添加资源AD域】，在弹出窗口输入域名、域管理员名、密码和域控制器IP地址，点击【确定】，即可完成AD域添加编辑AD域：在清单中单击已经有域名属性，可进行修改，修改完成以后点击【确定】，即可完成AD域编辑删除AD域：在清单中勾选已经有域名，再点击【删除资源AD域】，即可完成AD域删除策略管理 策略管理关键配置运维用户访问授权及指令授权。访问策略授权和指令操作授权均可配置黑白名单。授权中使用到指令集合、IP集合和时间集合需要预先定义。访问策略选择导航条上【策略管理】—>【访问策略】，授权运维用户访问运维主机，需要配置对应授权。访问策略授权配置方法采取向导式。访问授权策略页面图5.1所表示：图5.1访问授权策略列表 在访问授权策略列表中显示了已配置策略。点击【添加】，进入访问策略授权向导图5.2所表示：图5.2添加访问策略名称：输入访问策略名；资源名支持中英文、数字及字符输入；此项为必填项高级属性：选择是否启用以下功效：RDP剪切板、RDP磁盘映射限制IP：在启用限制IP功效后，在IP设置范围内运维用户能访问堡垒机限制时间：启用限制时间功效后，限制运维用户只能在指定时间范围内能访问堡垒机完成基础信息配置后，点击【下一步】进入绑定用户页面图5.3所表示：图5.3绑定用户页面选择绑定服务，点击【下一步】图5.4所表示：图5.4绑定服务选择绑定账号，可点击连接参数查看账号参数，点击【确定】完成一条访问策略配置，图5.5所表示：图5.5绑定账号命令策略选择导航条上【策略管理】—>【命令策略】，指令操作授权关键配置运维用户指令黑白名单：在命令策略界面点击【添加】，进入命令策略配置向导图5.6所表示：图5.6命令策略-基础信息基础信息填写名称、匹配模式、审计动作、告警方法、命令集合、操作命令和操作对象等，名称：输入审计策略名；资源名支持中英文、数字及字符输入；此项为必填项匹配模式：在下拉菜单选择包含或不包含；此项为必选项审计动作：在下拉菜单选择许可实施、忽略命令、阻断会话或二次审批；此项为必选项告警方法：包含Syslog、短信、邮件、SNMP，相关设置需由系统管理员配置，参见8.2.6和8.3章节命令集合：选择在命令集合中设置命令集操作&对象：输入需要匹配运维操作命令和对象填写完基础信息后，点击【下一步】图5.7所表示：图5.7命令策略绑定用户绑定用户，勾选上用户名称将这条审计策略授权到指定用户，点击【下一步】图5.8所表示：图5.8命令策略绑定服务 绑定服务，勾选上运维服务名称将审计策略授权到指定服务，关联从账号，点击【确定】完成一条审计策略配置。操作说明：1、策略命令配置和实施命令拒绝为黑名单，一旦运维用户使用命令列表中命令，将会触发响应，响应方法在审计动作配置，通常设置为阻断命令。2、策略命令配置和实施命令许可为白名单，运维用户使用命令列表中命令，将会触发响应，响应方法在审计动作配置，通常设置为忽略命令。3、输入多个命令时。每一行只能输入一个命令。集合设定时间集合选择导航条上【策略管理】—>【集合设定】—>【时间集合】，查看目前时间集合列表，点击【添加时间集合】图5.9所表示：图5.9添加时间集合名称：该时间集合名称，能够使用字母、数字和汉字区间&开始时间&结束时间：配置时间范围，可输入多个时间范围，每行一个备注：该时间集合说明文字关键说明：使用【添加】能够配置多个时间范围。时间范围数量无限制设置了时间集合，在添加访问策略时，如需限制访问时间时就能够直接选择提前设置时间集合IP集合选择导航条上【策略管理】—>【集合设定】—>【IP集合】，查看目前命令集合列表，点击【添加IP集合】图5.10所表示：图5.10添加IP集合名称：该IP集合名称，能够使用字母、数字和汉字起始IP&终止IP&显示信息：该IP集合IP地址段，可输入多个IP地址段，每行一个备注：该IP集合说明文字关键说明：设置了IP集合，在添加访问策略时，如需限制访问源IP地址范围时就能够直接选择提前设置IP集合命令集合选择导航条上【策略管理】—>【集合设定】—>【命令集合】，查看目前命令集合列表，点击【添加命令集合】图5.11所表示：图5.11添加命令集合名称：该指令集合名称，能够使用字母、数字和汉字操作&对象：指令集合内容，能够输入多个指令，每行一个，对象可为空备注：该指令集合说明文字从文件导入：命令集合支持导入功效，可提前在文档中根据要求格式设置好需要导入命令，每行经过#分隔关键说明：设置了命令集合，在添加命令策略时，可直接选择提前设置命令集合工单管理工单管理关键是管理员为运维用户下发临时访问授权，能够限制特定运维用户在特定时间范围内才能访问授权运维资源。工单管理页面，图6.1所表示：图6.1工单管理点击【添加】，管理员能够新建工单，图6.2所表示图6.2添加工单-基础信息图6.3添加工单-绑定服务图6.4添加工单-绑定帐号审计管理实时监控会话监控选择导航条上【审计管理】—>【实时监控】—>【会话监控】，图7.1所表示：图7.1会话监控会话监控：对已建立会话进行实时监控，可查看到用户名、资源、服务、账号、开始时间等信息。实时监控选择导航条上【运维管理】—>【实时监控】—>【会话监控】，图7.2所表示：图7.2会话监控实时监控：对会话监控列表中会话条目选择实时监控，可对正在进行会话以图形方法实时监控，图7.2所表示。图7.3强制结束会话强制结束会话：在会话监控列表选择需要断开会话，再点击【强制结束会话】，可断开正在进行会话，图7.3所表示。日志查询 天玥OSM拥有强大日志查询功效，同时自带了大量审计报表模板，让用户方便制作各类报表。管理日志 管理日志关键对管理员在天玥网络安全审计系统上所做操作进行审计，选择导航条上【审计管理】—>【日志查询】—>【管理日志】—>【设置查询条件】，页面图7.4-7.6所表示：图7.4管理日志查询-基础限制图7.5管理日志查询-运维用户限制图7.6管理日志查询-管理员限制管理日志查询结果图7.7所表示：图7.7管理日志查询结果关键说明：设置查询条件中可依据操作时间、操作状态、日志类型、操作名称和指定用户来设定查询；管理日志查询结果可导出为CSV格式文件。登录日志登录日志关键是对用户登录或注销登录天玥网络安全审计系统行为进行统计，选择导航条上【审计管理】—>【日志查询】—>【审计日志】—>【设置查询条件】，图7.7-7.9所表示：图7.7登录日志查询-基础限制图7.8登录日志查询-运维用户限制图7.9登录日志查询-管理员限制登录日志查询结果图7.10所表示：图7.10登录日志查询结果关键说明：设置查询条件中可依据操作时间、操作状态、操作名称和指定用户来设定查询；登录日志查询结果可导出为CSV格式文件。审计日志 审计日志关键是对用户操作目标设备进行操作审计，选择导航条上【审计管理】—>【日志查询】—>【审计日志】—>【设置查询条件】，图7.11-7.14所表示：图7.11审计日志查询-基础限制图7.12审计日志查询-服务限制图7.13审计日志查询-用户限制图7.14审计日志查询-命令策略限制审计日志查询结果，图7.15,7.16所表示：图7.15审计日志查询结果图7.16审计日志-命令详情和回放关键说明：审计日志查询可依据时间限制、审计动作、服务IP地址、用户IP地址、账号限制、关键字限制等基础查询条件设置查询；审计日志查询还可选定用户及主机服务等设置查询；查询结果可先试详情，点击一条日志前+号或选择上方“显示详情”即可展开该会话具体信息；日志结果可导出为CSV格式文件；将鼠标移动到日志统计上，在该条日志右手边出现选择框，能够查看命令详情和会话回放（图6.16所表示）。工单日志 堡垒机为V221及以上版本时才含有该功效，工单日志关键是管理员下发工单审计日志，选择导航条上【审计管理】—>【日志查询】—>【工单日志】—>【设置查询条件】，图7.17-7.19所表示：图7.17工单日志-基础限制图7.18工单日志-服务限制图7.19工单日志-用户限制工单日志查询结果图7.20，7.21所表示：图7.20工单日志-查询结果图7.21工单日志-工单具体统计审计报表报表模板选择导航条上【审计管理】—>【审计报表】—>【报表模版】，天玥OSM内置了大量报表模板，能够方便生成多种统计或明细报表。内置报表模板分为：默认会话报表模版、默认操作报表模版、默认异常会话报表模版和默认异常操作报表模版，用户仅需在对应报表模板点击“生成报表”就可根据需要时间自动生成报表，图6.22所表示：图6.22报表模版在【审计管理】—>【审计报表】—>【报表模板】列表界面，点击【生成报表】即可设置创建报表，图6.23-6.24所表示：图6.23创建报表-基础信息图6.24创建报表-具体配置 在【审计管理】—>【审计报表】—>【报表文件】界面中可看见已生成报表和计划任务，计划任务是指周期性地生成报表，图6.25-6.26所表示：图6.25已生成报表列表图6.26计划任务报表关键说明：报表生成步骤选择导航条上【审计管理】—>【审计报表】—>【报表模版】在报表模板分类列表里选择需要操作分类在对应报表模板项，点击“生成报表”，弹出“创建报表”向导在创建报表界面填写基础信息和具体配置后，点击“生成报表”在【审计管理】—>【审计报表】—>【报表文件】—>【已生成报表】里，可查看到刚才生成报表自定义报表 选择导航条上【审计管理】—>【审计报表】—>【报表模板】，用户也能够自定义报表模板，图6.27所表示：图6.27自定义报表新增模板，图6.28-6.31所表示：图6.28新建模版-基础信息图6.29新建模版-报表条件图6.30新建模版-基础报表图6.31新建模版-完成设置关键说明：天玥OSM选择在天天空闲时间制作自动报表。如选择【天天】，则在天天凌晨00：00以后开始制作上一天自动报表；如选择【每七天】，则在每七天一凌晨00：00以后开始制作上一周自动报表；如选择【每个月】，则在每个月1日凌晨00：00以后开始制作上一月自动报表。密码管理密码策略 选择导航条上【密码管理】—>【密码策略】，可配置和密码相关安全策略，具体说明参见2.5章节。页面图8.1所表示：图8.1密码策略自动改密计划 选择导航条上【密码管理】—>【自动改密计划】，点击【添加】可配置定时自动修改运维主机用户密码。图8.2所表示：图8.2自动改密计划计划名称：必填项，不能使用特殊字符，能够使用大小写字母、数字。首次实施时间：第一次自动改密时间。实施周期：配置定时修改密码时间。密码策略：生成新密码复杂度要求。能够使用随机密码，也能够手动指定。填写密码名称、选择首次实施时间、实施周期、密码策略，点击改密对象配置中配置主机，选择改密计划发送对象，图7.3所表示:图8.3改密对象勾选改密对象，点击【确定】完成。如需要对特权账号改密，请勾选“许可修改特权账号密码”。关键说明：使用改密功效时，必需配置一个超级管理员账号为特权账号，支持对一般账号进行改密；假如主机为windows，首先要求windows主机必需开启telnet服务，其次必需在天玥OSM管理界面中，对该windows主机配置telnet服务并绑定超级管理员账号和需要进行改密一般用户账号，超级管理员账号设置为特权账号；主机类型为linux、unix只支持telnet、ssh、rlogin协议帐号修改，root帐号必需勾选为特权帐号；自动改密结果 选择导航条上【密码管理】—>【自动改密结果】，查看自动改密结果，图8.4所表示：图8.4自动改密结果关键说明：自动改密结果会经过邮件方法发送到创建该自动改密计划管理员，前提条件是该管理员基础信息中已配置了邮箱地址。下载密码列表选择导航条上【密码管理】—>【下载密码列表】，天玥OSM提供了下载运维主机目前密码功效。经过自动改密后，管理员可能需要一份新账号密码列表，可从这里直接下载，图8.5所表示：图8.5下载密码列表关键说明：密码文件需要含有密码管理权限管理员使用天玥OSM密码查看工具查看，密码查看工具下载界面在【密码管理】—>【下载密码列表】界面，图7.5所表示。手动改密 选择导航条上【密码管理】—>【手动改密】，假如运维主机密码经过手工修改，而且忘记了密码情况下，能够使用手工改密功效，图8.6所表示：图8.6手动改密关键说明：手工改密不需要原密码。使用改密功效时，必需配置一个超级管理员账号为特权账号，支持对一般账号进行改密；假如主机为windows，首先要求windows主机必需开启telnet服务，其次必需在天玥OSM管理界面中，对该windows主机配置telnet服务并绑定超级管理员账号和需要进行改密一般用户账号，超级管理员账号设置为特权账号。系统管理 天玥OSM运维安全系统管理员，关键负责管理天玥OSM基础配置。包含网络及全局策略配置、系统时间管理、配置备份管理、管理员配置等。 天玥OSM超级管理员在完成配置向导时，会添加一个系统管理员用户。经过该用户登录天玥OSM实施系统基础配置。系统信息授权信息 导航条上选择【系统管理】—>【系统信息】—>【授权信息】可查看天玥OSM系统授权信息，图9.1所表示：图9.1授权信息点击更新授权文件可对授权信息进行更新获取一次授权。系统升级导航条上选择【系统管理】—>【系统信息】—>【系统升级】可对天玥OSM进行升级，图9.2-9.3所表示：图9.2系统升级图9.3安装升级包操作说明：升级包获取请联络厂商人员进行获取；管理员上传升级包后，请按描述选择合适时段进行升级，如升级包描述需要升级后重启设备，那么请管理员选择用户使用率较少时段进行升级。配置备份导航条上选择【系统管理】—>【系统信息】—>【配置备份】可对系统配置进行备份或恢复，图9.4所表示：图9.4配置备份数据备份导航条上选择【系统管理】—>【系统信息】—>【数据备份】可对系统全部数据（包含配置信息和日志信息）进行备份，图9.5所表示：图9.5数据备份电源管理导航条上选择【系统管理】—>【系统信息】—>【电源管理】可对系统进行重启和关机操作，图9.6所表示：图9.6电源管理系统选项高可用性导航条上选择【系统管理】—>【系统选项】—>【高可用性】可对热备及浮动地址进行配置，图9.7所表示：图9.7高可用性操作说明：事先定义好热备主机和备机，确定热备功效所需浮动IP地址；在主机高可用性配置界面，选择“启用”热备功效；选择热备角色为“主机”；配置浮动IP地址（注意子网掩码格式：比如03/16），选择浮动IP相关联网卡；输入配对号（配对号范围为：1-254，必需保持主备机配对号一致）；输入备机IP地址，点“确定”保留；在备机高可用性配置界面，选择“启用”热备功效；选择热备角色为“备机”；输入浮动IP地址（注意子网掩码格式：比如03/16）；选择浮动IP相关联网卡；输入主机IP地址，依据需要勾选“同时配置”（勾选后点击“确定”就立即同时主机配置），点“确定”保留；热备功效默认备机去同时主机配置，同时周期默认为每个小时同时一次。热备配置成功后，就能经过浮动IP访问系统：https://浮动IP地址（比如：03）。格尔认证支持格尔安全网关传输cookie形式数字证书认证（具体实现方法请参见格尔企业提供“格尔安全认证网关Web系统开发规范”）。导航条上选择【系统管理】—>【系统选项】—>【格尔认证】，勾选“启用”格尔认证，认证网关URL地址依据实际环境从格尔厂商处获取，图9.8所表示进行设置。需要设置为经过格尔数字证书认证登录主账号，在主账号属性中“格尔认证标识”栏输入格尔数字证书专题CN项值（图9.9所表示）。如管理员也需要设置为格尔数字证书认证登录，那么在管理员属性中“格尔认证标识”栏也需要输入和登录用户对应格尔数字证书专题CN项值。根据以上说明设置好后，在登录页面能够看到“数字证书登录”选项（图9.10所表示），提前准备好需要用于登录格尔数字证书，选择“数字证书登录”时会提醒选择提前准备证书（图9.11所表示），选择对应证书，此时格尔安全网关会传输认证信息到天玥网络安全审计系统，天玥网络安全审计系统认证经过后就进入到使用界面。图9.8格尔认证设置1图9.9格尔认证设置2图9.10格尔认证登录图9.11格尔认证-选择数字证书认证源具体操作请参见2.3章节网络配置选择导航条上【系统管理】—>【系统选项】—>【网络配置】，图9.12所表示：图9.12网络配置1图9.13网络配置2网络配置：设定或更改网卡IP地址，配置接口聚合；路由配置：设定或更改路由信息；DNS配置：配置DNS服务器地址；证书配置：系统为6.0.2及以后版本，在更新网络配置后，点击应用，堡垒机会自动生成对应证书（图9.12）。创建证书：系统为6.0.2以前版本，首次登陆系统，需创建证书，将天玥OSM系统IP地址和证书绑定（图9.13）。操作说明：该网络配置页面和串口网络配置菜单相一致；若设备为单机布署，网卡配置地址即是真实IP；时间配置选择导航条上【系统管理】—>【系统选项】—>【时间配置】：目前系统时间：能够手动修正目前系统时间，图9.14所表示；图9.14手动配置目前时间时间同时配置：启用时间同时服务器，进行时间同时配置，图9.15所表示：图9.15时间服务器配置服务器地址：可手工修改并保留时间同时地址；Web选项选择导航条上【系统管理】—>【系统选项】—>【Web选项】，以下图所表示图9.16Web选项设置超时时间设置：默认为1800秒，最小超时时间为300秒，最大超时时间为86400秒；验证码设置：选择登录堡垒机是否使用验证码，或3次密码连续输入错误再开启验证码；登录限制设置：选择能否在同一时刻相同运维账号在不一样位置登录；（堡垒机V701以上版本含有该功效）操作说明：页面超时设置对全部管理员和运维用户全部有效；超时时间即指页面无任何操作连续空闲时间，原理上是页面和系统后台程序没有任何交互时间；登录限制是对运维账号能否进行单点登录控制；备份自动导出 选择导航条上【系统管理】—>【系统选项】—>【备份自动导出】，图9.17所表示：图9.17FTP方法备份备份自动导出设置：开启备份数据上传外置FTP服务器；操作说明：系统天天定时在零时进行前一日数据备份,启用后会将数据备份推送至用户ftp服务端；推送至FTP服务器备份数据包含：堡垒机配置备份和数据备份；运维选项堡垒机为V221及以上版本才含有此功效。在选择导航条上【系统管理】—>【系统选项】—>【运维选项】，以下图所表示：图9.18运维选项设置自定义帐号：许可运维用户连接运维资源时使用自定义帐号；保留自定义帐号：许可运维用户连接运维资源时保留自定义帐号；接口配置Syslog选择导航条上【系统管理】—>【接口配置】—>【Syslog】，图所表示：选择“启用”Syslog接口，配置接收告警信息syslog服务器IP地址和端口。图9.19Syslog接口配置短信选择导航条上【系统管理】—>【接口配置】—>【短信】，图9.20所表示：配置短信告警方法相关参数：数据库类型、数据库服务器IP、端口、数据库登录账号、数据库登录密码、数据库名、短信SQL语句。图9.20短信接口配置操作说明：选择短信接口操作中间数据库类型；输入短信接口操作数据库服务器IP地址，端口；输入短信接口操作数据库登陆账号和密码；依据短信sql语句模板，结合实际情况，填写短信接口sql语句。邮件选择导航条上【系统管理】—>【接口配置】—>【邮件】，图9.21所表示：配置邮件接口信息：SMTP服务器、端口、是否匿名用户、账号、密码、是否启用SSL；可填入测试邮箱，测试下邮件接口环境是否正常。图9.21邮件接口配置操作说明：当选择邮件方法时，需要在邮件收件人地址栏输入告警信息收件人邮箱地址，每行一个地址；SNMP选择导航条上【系统管理】—>【接口配置】—>【SNMP】，图9.22所表示：配置SNMP接口信息：服务器IP、端口、trapOID、hostOID。图9.22SNMP接口配置资源同时接口选择导航条上【系统管理】—>【接口配置】—>【资源同时接口】（图9.23所表示），如需和外部系统做资源同时，请参见“外部系统资源同时接口”文档。图9.23资源同时接口配置设备管理设备管理选择导航条上【系统管理】—>【设备管理】，图9.24所表示：图9.24设备管理界面添加应用公布服务器：运维堡垒机版本为857及以后版本，添加应用公布服务器时，会生成应用公布服务器密钥，图9.25所表示。在有效时间之内，在应用公布服务器上使用该密钥注册，系统会自动让提前根据要求设置好应用公布服务器加入域并重启，当看到添加应用公布服务器显示“在线”时，表示已添加成功；（具体步骤参考实施培训指南）添加协议公布服务器：运维堡垒机版本为857及以后版本，添加协议拟代理服务器时，会生成协议代理服务器密钥，图9.26所表示，在协议代理服务器后台手动让其角色发生转变，并使用该密钥注册，当看到添加协议代理服务器显示“在线”时，表示已添加成功；（协议代理服务器可分担天玥网络安全审计系统关键主机审计压力）；（具体步骤参考实施培训指南）删除：删除不需要管理设备；启用：选择需要启用设备进行启用；禁用：选择需要禁用设备进行禁用；刷新：刷新设备状态；重新选择：重新选择要操作设备。图9.25设备管理界面-添加应用公布服务器图9.26设备管理界面-添加协议代理服务器设备运行状态选择导航条上【系统管理】—>【设备管理】，在设备管理界面，点击设备图标查看具体设备运行状态（图9.27所表示），内容包含：CPU使用情况、物理内存使用情况和磁盘空间使用情况。图9.27设备运行状态应用公布应用工具选择导航条上【系统管理】—>【应用公布】—>【应用工具】，可对应用工具进行添加、删除操作。实施【添加】操作，输入应用程序名称，输入应用公布服务器上应用程序路径，选择应用工具启用、禁用状态，图9.28所表示。图9.28添加应用工具选择应用工具使用图标。假如自定义图标，图片格式为png、gif、jpg，图片像素为32×32，图9.29。图9.29应用工具图标选择应用工具绑定对应服务类型，如需要公布工具，使用服务不包含在标准协议内，请选择OTHER服务类型，注意在添加资源时配置服务时，对应选择OTHER服务类型，图9.30。图9.30应用工具绑定服务类型公布管理选择导航条上【系统管理】—>【应用公布】—>【公布管理】，可对应用进行公布、删除操作。公布应用程序添加界面图9.31所表示。图9.31公布应用程序操作说明：公布管理应用程序配置【系统管理】—>【应用公布】—>【公布管理】—>【公布】，选择需要公布应用程序；路径自动选择为9.5.1章节中配置应用程序对应路径；选择启用或禁用状态；将应用程序和应用公布服务器绑定。权限管理管理员选择导航条上【系统管理】—>【权限管理】—>【