GLA天玑安全运维审计系统使用手册.doc

《GLA天玑安全运维审计系统使用手册.doc》由会员分享，可在线阅读，更多相关《GLA天玑安全运维审计系统使用手册.doc（26页珍藏版）》请在课桌文档上搜索。

1、-GLA天玑平安运维审计系统使用手册版本 北京市国路安信息技术1 文档介绍1.1 文档目的本文档编写目的主要是介绍如何配置和使用GLA天玑平安运维审计系统以下简称“运维审计系统。通过阅读本文档，读者能够正确地配置和使用运维审计系统，并利用该系统提供的身份鉴别访问授权运维主机，并记录详细操作日志，保障被运维主机平安。为管理员能够更快的了解本产品的功能和掌握系统使用方法，撰写本文档。本文档供用户参考。1.2 读者对象本文档适用于网络管理员、系统管理员，以及所有进展设备安装、调试的工程师、技术支持人员等。2 产品简介2.1 简介直接通过b/s界面对远程设备、主机进展访问，本地不需留存任何远程设备、主

2、机的信息。用户与远程设备账户完全脱离，用户权限变更只需要对在运维审计系统上的用户账户操作即可，不需要对远程主机配置做任何改变。可以自动定期修改远程设备、主机上的账户密码，到达用户的定期密码修改需要。可以对批量主机、设备执行批量命令操作。所有操作都有可视化的录像可供查询。2.2 功能本系统能对登录用户进展鉴别，分角色予以不同操作对象，实现对被保护受主机的维护过程可控制、可审计的目标。对于系统管理员，实现对运维资源、资源组，运维用户、用户组，运维工具，可用命令，运维授权策略，设备账户、单点登录策略，系统配置，系统管理员配置进展综合管理；运维人员，可以查看自己可维护的所有设备，并选择已授权运维工具对

3、该设备进展维护。维护过程受到可用命令限制，并记录详细日志，以便审计管理员对其操作进展查看及回放；审计管理员，能实现对审计状态、审计用户、审计日志进展查看与管理；审计人员，可以查看系统管理和运维操作日志，并可对运维操作进展回放。3 环境配置3.1 效劳器端配置要求将软硬件一体的运维审计系统，按部署手册正确部署。3.2 客户端配置要求硬件要求系统要求浏览器要求普通PC机Win *PWin 7Win 2003/2008IE 6 IE7 IE8网络要求证书要求插件要求网络畅通安装国路安公司发布的证书支持flash(flash_player升级到最新版本)支持RDP协议4 出厂配置4.1 网口IP地址网

4、口名称IP/Subnet备注运维区域连接地址eth4可管理，提供GLA天玑平安运维审计系统访问效劳资源管理地址(eth5)可管理带外管理地址(eth7)可管理4.2 默认用户及口令用户名口令证书管理方式备注admin123456系统管理员系统置用户auditAdm123456审计管理员系统置用户auditor123456审计员系统置用户5 登录退出操作说明5.1 登录系统在浏览器中输入默认回车，选择客户端已安装的数字证书，进入到GLA天玑平安运维审计系统用户登录界面，如下如所示：图51GLA堡垒主机用户登录界面输入正确的用户名和密码，点击【登录】按钮，进入堡垒主机操作界面5.2 退出系统点击界

5、面右上角的【退出】按钮，即可退出。图52退出操作6 系统管理员操作说明6.1 操作界面说明一级目录：资源管理、人员管理、授权管理、系统管理二级目录：资源管理、运维工具图61一级目录显示界面图62二级目录显示界面6.2 资源配置该局部功能支持资源设备的增、删、改并以设备为主线，根据不同设备选择不同的运维工具支持的协议，根据不同运维工具设置不同的可用命令策略针对运维工具以黑的形式拒绝*些高危操.作的执行，如ssh连接后拒绝“rm，ftp连接后拒绝“delete。资源分级管理：设备信息-运维工具支持协议-禁用命令；可用命令黑的试运行6.2.1 配置运维资源在没有创立任何资源组的情况下，系统会提示：没

6、有分组，请先创立资源组，如下列图所示：图63没有创立任何资源组点击OK,进入增加资源界面，增加资源组图64点击资源组后的【增加】按钮，弹出添加资源组对话框图65相关操作：资源组名：输入字符不超过限制长度和特殊字符备注：非必填项增加资源组名称后。查看资源列表，资源组增加成功1. 增加资源图66增加资源界面相关操作：带*号的为必填项资源名称：输入字符不超过限制长度和特殊字符资源IP：通过堡垒主机登录的效劳器IP地址资源类型：通过下拉菜单可选择主机类型资源组：如果已增加资源组可通过下拉菜单进展选择审批：此选项是指运维用户运维时是否需要管理员审批资源描述：非必填项批量导入资源按照指定格式例如：图67编

7、写e*cel文件，批量导入-浏览-选择需要导入的e*cel文件，点击导入注意批量导入资源时，所导入资源资源组必须是存在的图682.删除资源组如果要删除创立的资源组，光标需选中该资源组，然后点击【删除组】按钮，即可删除该资源组并且该资源组下的资源一并被删除。如果要删除资源，勾选需删除资源组下的资源，点击【删除】按钮，该资源即被删除。图69资源列表界面6.2.2 配置运维工具资源管理运维工具命令列表选择需要添加命令的工具如：SSH，点击右侧的【增加新命令】按钮，输入需增加的命令和命令描述非必填项点击【增加】按钮，即可成功增加命令(此项功能是为了用户授权工具时，设置黑，提醒或限制用户使用*些重要的命

8、令，防止误操作)图610增加命令集如：在SSH工具将新增的rm命令添加到command命令集中，勾选rm命令和command命令集，点击“添加到，才弹出框中点击是，就可以将rm命令添加到command命令集中。此项功能是为了更便捷的添加更多的命令到黑黑作用：提醒或限制用户使用*些重要的命令，防止误操作)图611点击更多可查看命令集中的命令并可以删除：图612增加命令界面选中要删除的命令如：ls，点击【删除】按钮或【批量删除】按钮，即可删除该命令删除此命令之后如果此命令已经参加*个命令集，命令集中同样会删除此命令图6136.3 配置运维人员人员管理运维人员列表增加组添加角色图614增加角色界面增

9、加运维人员如：增加运维用户test_01 用户名不要太长，少于6个汉字认证证书选择客户端安装的证书图615 增加运维人员界面相关操作：用户名：不能有中文，不能超过限制的字符长度用户密码：根据系统管理员配置的密码复杂度进展设置确认密码：与上面的用户密码一致认证证书：登录的客户端需安装该证书角色：通过下拉菜单进展选择联系方式：非必填项备注：非必填项带*为必填项图616角色和运维人员列表选择一个角色下的运维人员，点击【删除】按钮，即可删除该运维用户，如果删除角色，则该角色下创立的运维用户则移动到【默认角色】下图617选中角色可对运维用户采取，制止登录堡垒主机和制止运维的两种操作，也可以再次激活登录堡

10、垒主机和运维两种功能6.4 配置授权给角色增加授权图618授权管理界面选择资源组：所有的资源组列表指定星期：可勾选全部或其中的一天或多天，假设与当前星期不一致，运维用户则无法登录指定时间：可勾选全部或输入开场时间和完毕时间格式需输入正确，假设与当前时间不一致，运维用户无法登录成功指定地点：可勾选全部或指定IP格式为多种形式，假设客户端与指定IP不相符，运维用户则无法登录是否试运行：“是黑无效，“否黑有效黑：运维工具配置的命令在用户运维时是不可用点击【保存权限设置】按钮即可保存图619运维用户受权限限制提示界面6.5 系统管理系统管理包括：管理员管理、系统配置、网络配置、版本信息、系统状态、审批

11、管理6.5.1.1 管理员管理对GLA天玑平安运维审计系统管理员进展增、删、改的操作图620系统管理员列表管理员姓名：输入的名称不超过30个字符用户密码：根据密码复杂度的配置进展设置确认密码：与用户密码输入一致联系方式：非必填项证书认证：选择客户端已安装的证书备注：非必填项点击右下角的【增加】按钮，可增加多个系统管理员选择管理员管理列表中已创立了管理员，点击【修改】按钮，可修改其姓名、密码、联系方式、证书、备注信息选择已创立的管理员，点击【删除】按钮，即删除该管理员6.5.1.2 系统配置系统管理系统配置图621系统配置界面时间同步：可开启或关闭。选择开启，同步效劳器输入正确的IP地址，同步效

12、劳器需开启ntpd系统效劳系统时间：如果开启时间同步效劳器，系统时间输入框置灰，系统时间无法配置；如果关闭时间同步效劳器，可对系统时间进展配置系统超时时间：输入正整数数字，单位为秒s密码复杂度：分为低、中、高三个等级低：密码中至少含有一类字符；中：至少含有两类字符；高：至少含有三类字符，密码长度通过下拉菜单进展选择515，错误登录最大次数：输入15之间的数字，在登录框中输入用户名，连续输入的密码错误次数与错误登录最大次数设置次数一致，再次登录后，提示已超过错误登录最大次数，请*登录6.5.1.3 网络配置对GLA天玑平安运维审计系统效劳器网口进展配置，可修改运维区域连接地址、资源管理地址、带外

13、管理地址图622网络配置界面图623修改网络配置对话框6.5.1.4 版本信息该界面显示硬件版本、固件版本、系统版本、产品型号、产品序列号信息图624版本信息界面6.5.1.5 系统状态查看GLA天玑平安运维审计系统进程数、CPU占有率、存占有率、硬盘使用率曲线图图625 系统状态界面选择开场时间和完毕时间，可查看不同时间的进程数、CPU占有率、存占有率、硬盘使用率情况6.6 具体操作说明具体操作步骤如下：1. 创立资源组和资源，如：资源组名称为：resources资源：资源名称：resources、资源名称：resources图626资源管理列表2. 创立角色和运维人员，如：角色：运维人员运

14、维人员：test_01图627角色、运维人员管理列表3. 给角色授权图628角色授权管理界面6.6.1 ftp工具首先保证这台效劳器有ftp的效劳操作步骤：1.给资源选择工具。授权管理角色列表增加新授权，选择资源resources这个资源，选择ftp工具，保存配置即成功添加工具ftp图629给资源1配置ftp工具列表界面2.配置单点登录信息。授权管理角色列表resources资源组，点击【单点登录】，在弹出的单点登录配置信息界面中，选择需配置的资源，填写系统用户名：root，密码：root123，点击“*图630单点登录配置信息3.使用运维用户登录GLA天玑平安运维审计系统。使用角色运维人员下

15、的运维用户test_01登录，选择，点击【进入运维】，(如果资源配置需要审批，会向管理员提出审批，并填写理由，如果不需审批只需写完运维理由就可以直接运维)登录这台效劳器即可进展相关的操作，在终端上输入命令bye即可退出登录界面图630运维用户登录后的资源列表界面图631登录后的操作界面图632正常退出6.6.2 ssh工具首先保证这台机器允许远程ssh连接操作步骤：1.给资源选择工具。授权管理角色列表增加新授权，选择资源resources这个资源，选择ssh工具，保存配置即成功添加工具ssh633给资源2配置ssh工具列表界面2.配置单点登录信息。授权管理角色列表resources资源组，点击

16、【单点登录】，在弹出的单点登录配置信息界面中，选择需配置的资源，填写系统用户名：root，密码：root123，点击“*634单点登录配置信息3. 使用运维用户登录GLA天玑平安运维审计系统。使用角色运维人员下的运维用户test_01登录，选择，点击【进入运维】，(如果资源配置需要审批，会向管理员提出审批，并填写理由，如果不需审批只需写完运维理由就可以直接运维)登录这台效劳器即可进展相关的操作，在终端上输入命令e*it即可正常退出登录界面635运维用户登录后的资源列表界面636登录后的操作界面637正常退出6.6.3 rdp工具这台机器是windows 系统操作步骤：1. 给资源选择工具。授权

17、管理角色列表增加新授权，选择资源resources这个资源，选择rdp工具，保存配置即成功添加工具rdp638给资源3配置rdp工具列表界面2. 配置单点登录信息。授权管理角色列表resources资源组，点击【单点登录】，在弹出的单点登录配置信息界面中，选择需配置的资源，填写系统用户名：root，密码：root123，点击“*639单点登录配置信息3.使用运维用户登录GLA天玑平安运维审计系统。使用角色运维人员下的运维用户user登录，选择资源3，点击【进入运维】，(如果资源配置需要审批，会向管理员提出审批，并填写理由，如果不需审批只需写完运维理由就可以直接运维)登录这台效劳器即可进展相关的

18、操作，点击断开，中断连接后即可退出登录界面640运维用户登录后的资源列表界面641登录后的操作界面642正常退出6.6.4 telnet工具首先保证这台机器启动了telnet效劳操作步骤：1. 给资源选择工具。授权管理角色列表增加新授权，选择资源resources这个资源，选择telnet工具，保存配置即成功添加工具telnet643给资源4配置telnet工具列表界面2. 配置单点登录信息。授权管理角色列表resources资源组，点击【单点登录】，在弹出的单点登录配置信息界面中，选择需配置的资源，填写系统用户名：root，密码：root123，点击“*644单点登录配置信息3. 使用运维用

19、户登录GLA天玑平安运维审计系统。使用角色运维人员下的运维用户test_01登录，选择，点击【进入运维】，(如果资源配置需要审批，会向管理员提出审批，并填写理由，如果不需审批只需写完运维理由就可以直接运维)登录这台效劳器即可进展相关的操作，在终端上输入命令e*it即可正常退出登录界面645运维用户登录后的资源列表界面646登录后的操作界面647正常退出6.6.5 rlogin工具首先保证这台机器允许rlogin连接操作步骤：1. 给资源选择工具。授权管理角色列表增加新授权，选择资源resources这个资源，选择rlogin工具，保存配置即成功添加工具rlogin 648给资源5配置rlogi

20、n工具列表界面2. 配置单点登录信息。授权管理角色列表resources资源组，点击【单点登录】，在弹出的单点登录配置信息界面中，选择需配置的资源，填写系统用户名：root，密码：root123，点击“*649 图3. 使用运维用户登录GLA天玑平安运维审计系统。使用角色运维人员下的运维用户test_01登录，选择，点击【进入运维】，(如果资源配置需要审批，会向管理员提出审批，并填写理由，如果不需审批只需写完运维理由就可以直接运维)登录这台效劳器即可进展相关的操作，在终端上输入命令e*it即可正常退出登录界面650运维用户登录后的资源列表界面651登录后的操作界面652正常退出6.6.6 Fi

21、refo*工具首先保证这台机器有8080端口的应用操作步骤：1. 给资源选择工具。授权管理角色列表增加新授权，选择资源resources这个资源，选择Firefo*工具，保存配置即成功添加工具Firefo* 653给资源5配置rlogin工具列表界面2. 配置单点登录信息。授权管理角色列表resources资源组，点击【单点登录】，Firefo*不需要配置单点登录3. 使用运维用户登录GLA天玑平安运维审计系统。使用角色运维人员下的运维用户test_01登录，选择，点击【进入运维】，(如果资源配置需要审批，会向管理员提出审批，并填写理由，如果不需审批只需写完运维理由就可以直接运维)登录这台效劳

22、器即可进展相关的操作，在右上角点击“*关闭Firefo*应用654运维用户登录后的资源列表界面655登录后的操作界面656正常退出7 审计管理员操作说明7.1 用户管理7.1.1 用户状态管理查看审计管理员和审计员的登录次数、登录状态、有效期开场日、有效期完毕日、登录时间、上次登录时间图71审计用户状态管理界面7.1.2 审计用户管理对审计管理员和审计员进展增、删、改等操作图72审计用户管理界面审计员姓名：输入的字符长度不超过30个字符用户密码：根据密码复杂度进展设置密码确认：与上面的用户密码输入一致联系方式：非必填项审计员类型：通过下拉菜单进展选择，有审计员和审计管理员认证认证：选择客户端已

23、安装了的证书备注：非必填项点击备注后的【增加】按钮即可增加成功选择已创立的审计管理员或审计员，点击右下角的【修改】按钮，可修改该用户的姓名、密码、联系方式、审计员类型、认证证书、备注等信息选择已创立的审计管理员或审计员，点击右下角的【删除】按钮，即可删除该用户7.2 审计管理7.2.1 状态管理审计管理-审计状态管理硬盘写进的数据超过报警阈值设置的数据，数据处理方式有提示警告和覆盖写入图73审计状态管理界面写进日志的硬盘容量超过设置的报警阈值超过设置的值，提示信息如下：图74报警提示7.2.2 运维回放备份审计管理运维回放备份图75数据备份界面处理条件：选择全部或按时间，点击【备份】按钮，则将

24、所有数据备份成一个文件，点击【删除】按钮，则删除该备份文件，点击【下载】按钮，则将备份下载到本地。7.2.3 运维回放回复审计管理运维回放回复图76备份恢复界面点击【浏览】按钮，确认上传后，可恢复已删除视频文件7.2.4 数据导入审计管理数据导入图77数据导入界面选择以前导出的数据表如：用户访控信息表，选择导入的数据表的名称tb_log_res7.2.5 数据导出审计管理数据导出图78数据导出界面选择需要导出的数据表、选择e*cel格式导出8 审计员操作说明8.1 审计管理8.1.1 系统操作日志审计管理系统操作日志图81用户操作审计管理信息界面可对用户操作审计日志的操作名称可模糊查询、操作者

25、可模糊查询、用户类型、时间、操作状态进展查询，并可将日志导出到E*cel表，保存在本地8.1.2 运维操作日志审计管理-运维操作日志图82运维操作日志界面可对运维操作审计管理信息的操作名称可模糊查询、操作者可模糊查询、用户类型、时间、操作状态进展查询，并可将日志导出到E*cel表，保存在本地8.1.3 运维页面配置审计管理-运维页面配置功能：配置系统操作日志和运维操作日志显示列表例如配置运维操作日志页面的列表：“用户操作审计管理页面-更改配置图83用户操作审计管理页面设置只显示操作者，点击“保存图84显示列名只有“操作者图85系统操作日志页面显示只有“操作者图868.1.4 运维统计报表审计管

26、理-运维审计报表报表类型选择会话概要数量时间默认点击“查询已有3次ftp运维2次telnet运维1次SSH运维登录1次rlogin运维登录图87运维审计报表报表类型还可以选择“主时机话数量、“用户会话数量、“用户登陆次数图88选择：主时机话数量图89主时机话数量选择：用户会话数量图810用户会话数量选择：用户登陆次数图811用户登陆次数8.2 运维回放8.2.1 回话审计审计管理回话审计可对运维操作审人员的用户名可模糊查询、资源IP、操作时间查询图812运维操作日志界面点击查看指令会显示运维用户所使用的运维指令图8138.2.2 视频回放视频回放只是针对rdp和Firefo*工具的视屏录制选择

27、需播放视屏所在行点击【播放】按钮，弹出视频播放窗口，可查看运维人员进展的具体操作图814点击“查看显示键盘的输入图8159 故障判断9.1 安装完效劳器后客户端所需操作、 安装国路安公司发布的证书、 将效劳器地址参加可信站点图 9-1可信站点图 9-2可信站点图 9-3可信站点、 更新、 如果浏览器是，访问时会首先提示：图 9-4选择证书然后出现日下提示，点击继续浏览此图 9-5平安提示之后会提示再次选择证书，选择安装的证书后点击确定图 9-6 选择证书9.2 运维不成功或报错可能原因：、 应用和效劳器不在同一个网段，保证应用和效劳器在同一网络中。、 配好应用以后，运维不成功出现白屏嵌在网页中

28、可能是没有添加可信任站点导致如下列图：图 9-7 运维不成功或者是系统管理的网络配置中运维区域地址配置不正确解决方法：添加可信站点，检查网络配置、 Rdp加载项有些客户端不能使用RDP协议，该情况下，将mstsca*.dll和两个文件覆盖本地C:WINDOWSsystem32对应的两个文件，在【运行】里注册该插件，命令为： regsvr32 C:WINDOWSsystem32mstsca*.dll，重启浏览器。、 出现以下报错flash版本低图 9-8 flsh错误提示解决方法：更新flash、 运维用户没有视频记录，可能是用户没有正常退出、 运维用户没有操作日志，可能没有正常退出、 更新IP

29、无法操作，系统重启，稍等、 用户录制的视频在播放时突然中断或退出，可能是录制的视屏质量问题，如果出现花屏，可能是用户长时间离开没有操作，用户客户端系统启动保护程序黑屏、 黑当前版本只作提醒未作限制、 导入已存在或重复导入数据表会出现以下错误图 9-9 错误提示提示“导入异常，请检查您导入的数据，与数据库字段是否冲突点击确定查看运维人员查看运维回放的回话审计容是否已存在刚刚导入的数据图 9-10回话审计如果用户防控信息表被导出，回话审计将不会查询到记录、 运维单点登录密码配置错误会有重新输入密码的提示：如下列图图 9-11单点登录配置密码错误用户可以直接输入正确密码登录或请求管理员重新配置正确密码、 出现如下列图的错误提示NO route to host，可能是后台的应用效劳器没有启动或平安运维系统的网络和后台效劳器的网络不通解决方法检查后台应用效劳器是否启动；检查网络是否通畅。. z.