2015管理員使用手冊天玥網絡安全審計系統V6.0運維安全管控系統密級：公開適用范圍：天玥OSM系列精細控制合規審計

版權聲明啟明星辰公司版權所有，并保留對本手冊及本聲明的最終解釋權和修改權。本文檔中出現的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特別注明外,其著作權或其他相關權利均屬于北京啟明星辰信息安全技術有限公司。未經北京啟明星辰信息技術安全有限公司書面同意，任何人不得以任何方式或形式對本手冊內的任何部分進行復制、摘錄、備份、修改、傳播、翻譯成其它語言、將其全部或部分用于商業用途。本文檔中的信息歸北京啟明星辰信息安全技術有限公司所有并受著作權法保護。免責聲明本手冊依據現有信息制作，其內容如有更改，恕不另行通知。啟明星辰公司在編寫該手冊的時候已盡最大努力保證其內容準確可靠，但啟明星辰公司不對本手冊中的遺漏、不準確或錯誤導致的損失和損害承擔責任。信息更新本文檔及其相關計算機軟件程序（以下文中稱為“文檔”）僅用于為最終用戶提供信息，并且隨時可由北京啟明星辰信息安全技術有限公司（下稱“啟明星辰”）更改或撤回。出版時間 本文檔于2014年7月由北京啟明星辰信息安全技術有限公司編寫。

客戶服務與技術支持如果您在使用產品時遇到了問題，可以通過以下方式反饋給我司的客戶服務部，我們將竭誠為您提供技術支持。啟明星辰公司客戶服務部的聯系方式如下：地址：北京市海淀區東北旺西路8號中關村軟件園21號樓啟明星辰大廈電話真/p>

網站支持：MAIL支持：support@信函支持郵編：100193或者您可以撥打800/400熱線：熱線電話：800-810-6038400-624-3900（服務時段為周一至周五的9:0017:30，包括國家法定節假日），未開通400/800電話的地區，可直接撥檔修訂記錄版本號日期修訂者修訂說明2014-07-21呂波修訂產品信息2014-07-22呂波修訂產品界面配置等信息2014-07-24文斌修訂產品截圖和說明2014-09-29李彬修訂產品截圖和說明2014-12-07李彬修訂產品截圖和說明V2015-02-12劉盛懋修訂產品界面配置等信息V2015-03-26劉盛懋修訂產品界面配置等信息V2015-05-12劉盛懋修訂產品界面配置等信息目錄TOC\o"1-4"\h\z\u1 概述 81.1 關于本手冊 81.2 格式約定 82 初始化配置 92.1 完成配置向導 9 設置密碼策略 9 設置管理員賬號和密碼 10 配置主機網絡參數 11 導入授權文件 12 確認配置信息 13 向導配置完成 142.2 管理員登錄 152.3 配置認證方式 172.4 添加管理員 182.5 系統密碼策略 193 用戶管理 203.1 添加用戶 203.2 編輯用戶屬性 223.3 用戶其它操作 243.4 用戶組織機構 254 資源管理 264.1 添加資源 264.2 編輯主機 304.3 主機其它操作 314.4 資源組 344.5 資源分類 344.6 資源系統類型 354.7 資源AD域 375 策略管理 375.1 訪問策略 385.2 命令策略 405.3 集合設定 42 時間集合 42 IP集合 43 命令集合 446 工單管理 457 審計管理 487.1 實時監控 48 會話監控 48 實時監控 487.2 日志查詢 49 管理日志 50 登錄日志 52 審計日志 54 工單日志 577.3 審計報表 59 報表模板 59 自定義報表 628 密碼管理 658.1 密碼策略 658.2 自動改密計劃 658.3 自動改密結果 678.4 下載密碼列表 678.5 手動改密 689 系統管理 699.1 系統信息 69 授權信息 69 系統升級 70 配置備份 71 數據備份 72 電源管理 739.2 系統選項 73 高可用性 73 格爾認證 74 認證源 76 網絡配置 76 時間配置 78 Web選項 79 備份自動導出 80 運維選項 819.3 接口配置 81 Syslog 81 短信 82 郵件 83 SNMP 83 資源同步接口 849.4 設備管理 84 設備管理 84 設備運行狀態 869.5 應用發布 87 應用工具 87 發布管理 889.6 權限管理 89 管理員 8910 配置實例 9310.1 添加主機 9310.2 添加用戶 9610.3 添加訪問策略 9710.4 運維用戶登錄 99概述關于本手冊天玥網絡安全審計系統V6.0-統一業務訪問控制系統（OSM系列）（以下簡稱天玥OSM），是啟明星辰綜合內控系列產品之一。天玥OSM是針對業務環境下的用戶運維操作進行控制和審計的合規性管控系統。它通過對自然人身份以及資源、資源賬號的集中管理建立“自然人—資源—資源賬號”對應關系，實現自然人對資源的統一授權，同時，對授權人員的運維操作進行記錄、分析、展現，以幫助內控工作事前規劃預防、事中實時監控、違規行為響應、事后合規報告、事故追蹤回放，加強內部業務操作行為監管、避免核心資產（服務器、網絡設備、安全設備等）損失、保障業務系統的正常運營。本手冊詳細介紹了天玥OSM包括初始化配置、用戶管理、資源管理、策略管理、審計管理、密碼管理、系統管理各功能模塊的使用方法，用戶可參考本手冊，對天玥OSM進行各種運維管理和審計管理。格式約定本文中所有圖例均為實際拍攝或屏幕截取菜單名稱和按鈕名稱的表示方法：【菜單名稱】，【按鈕名稱】圖標表示的含義：：系統管理、配置的重要說明、提示信息。：相關功能配置的舉例說明信息；初始化配置 天玥OSM系統通過Web瀏覽器登錄進行管理（默認地址為https://OSM-Server的管理IP地址），初始化時需手動設置一個超級管理員賬號、密碼（自行設定），天玥OSM目前支持的瀏覽器包括InternetExplorer8以上的版本、谷歌瀏覽器和火狐瀏覽器。注意：天玥OSM版本為V6.0.2.xxxx時，無初始化過程，默認超級管理員賬號/密碼admin/password$123，默認試用授權可管理資源數3臺，授權截止時間2019年12月31日。完成配置向導首次登錄后，系統自動進入初始化的配置向導界面。當天玥OSM版本為V6.0.2.xxxx時，無初始化過程，默認超級管理員賬號/密碼admin/password$123，默認試用授權可管理資源數3臺，授權截止時間2019年12月31日。全過程操作說明：密碼策略的配置；超級管理員賬號及密碼的配置；主機網絡的配置；導入授權文件；確認配置信息；向導配置完成。設置密碼策略設置密碼策略，如圖2.1所示：圖2.1設置密碼策略操作說明：認證方式的選擇；設置最小密碼長度；配置密碼復雜度；配置密碼周期；配置歷史對比；配置自動鎖定；配置自動解鎖；填寫完成后點擊“下一步”。設置管理員賬號和密碼設置密碼策略后，點擊下一步，配置管理員賬號和密碼，如圖2.2所示：圖2.2配置管理員賬號和密碼操作說明：超級管理員姓名填寫；超級管理員賬號填寫（務必請牢記）；超級管理員密碼填寫（務必請牢記）；管理員確認密碼與超級管理員密碼一致；填寫完成后點擊“下一步”。配置主機網絡參數設置管理員賬號后，點擊下一步，配置主機網絡參數，如圖2.3所示：圖2.3配置管理員賬號和密碼操作說明：填寫IP地址（做好記錄）；填寫子網掩碼（做好記錄）；填寫完成后點擊“下一步”。導入授權文件配置完主機網絡后，點擊下一步進行授權文件的導入，如圖2.4-2.5所示：圖2.4導入前選擇授權文件圖2.5導入后明細顯示操作說明：點擊“導入授權文件”選擇授權文件進行導入；導入后可看到“授權文件明細”。確認配置信息導入授權文件后，點擊下一步進行配置信息確認，確認無誤后，點擊下一步完成，如圖2.6所示：圖2.6確認配置信息操作說明：詳細確認所有配置信息的準確性；牢記重要配置信息；確認無誤后，點擊下一步。向導配置完成配置信息確認無誤后，點擊完成，結束配置向導，界面提示“正在重啟網卡，請耐心等待…”，等待10秒后刷新界面即可進入登錄頁面，如圖2.7-2.8所示：圖2.7完成配置向導圖2.8完成配置重啟網卡管理員登錄的管理IP地址，如圖2.9所示：圖2.9登錄界面輸入管理員用戶名、密碼和驗證碼（當天玥OSM系統為及以上版本時，驗證碼可以在管理界面設置取消）即可登錄管理界面，登錄后可看到監控界面，如圖2.10所示：圖2.10監控界面操作說明：天玥OSM提供瀏覽器支持，用戶可以通過InternetExplorer8以上的版本和火狐瀏覽器進行登錄訪問；用戶登陸界面提供“下載工具”通道，包括環境檢測助手、JRE軟件下載、證書下載、用戶手冊和審計播放器下載，點擊將進入相應的下載界面。配置認證方式 導航條上選擇【系統管理】—>【系統選項】—>【認證源】—>【添加】，可配置認證方式，也可不用配置，系統內部默認有認證模式如圖2.11所示：圖2.11配置認證方式類型選擇：Radius、LDAP、WindowsAD域；操作說明：系統支持本地認證和其它認證方式；其它所有管理員和運維用戶均與選擇的認證方式相關聯；啟用外部認證源時，會禁用本地認證，所有登錄認證都通過外部認證源，所以必須保證外部認證源可用并且外部認證源的參數配置正確的情況下再啟用外部認證源。系統默認通過系統自身的賬號管理系統進行身份認證；Radius：通過Radius協議由第三方認證服務器對系統用戶進行身份認證；LDAP：通過輕量級目錄訪問協議由第三方認證服務器對系統用戶進行身份認證；WindowsAD域：通過WindowsAD域服務器對系統用戶進行身份認證。添加管理員重新以超級管理員的身份登錄系統，進入日常管理界面，選擇【系統管理】—>【權限管理】—>【管理員】，如圖2.12所示：詳細操作請參見8.6.1章節。圖2.12超級管理員操作界面操作說明：默認管理員權限共七種：用戶管理，資源管理，策略管理、審計管理，報表管理、密碼管理、系統管理；管理員角色可以多選，即一個用戶可以兼任多個管理角色；用戶管理：用戶、用戶組的增刪改管理；資源管理：資源、資源分類、資源類型的增刪改管理；策略管理：運維用戶、主機及相應的授權策略管理；審計管理：審計運維用戶的操作，包括實時監控、記錄檢索、審計信息等功能；報表管理：報表的生成和下載，包括會話報表、異常會話報表、異常操作報表、自定義報表等；密碼管理：主機的密碼安全管理，包括密碼策略、自動改密、手工改密以及管理密碼文件；系統管理：管理天玥OSM的基本配置，包括系統監控、管理員配置及其他基本配置信息。系統密碼策略 導航條上選擇【密碼管理】—>【密碼策略】可配置與密碼相關的安全策略，如圖2.13所示：圖2.13密碼策略配置密碼最小長度：限定所有天玥OSM賬戶的密碼最小長度密碼復雜度：勾選可設置密碼必須包含大小寫字母、數字或符號密碼周期：若啟用，可設置密碼過期時間和提醒時間，默認為90天密碼過期歷史對比：若啟用，可設置密碼對比次數，默認為3次登錄鎖定：若啟用，在規定的時間內輸入密碼錯誤超過設置的次數，則將帳號鎖定，并設置自動解鎖時間用戶管理添加用戶選擇導航條上【用戶管理】，查看當前用戶列表，并可執行【添加】操作；如圖3.1所示：圖3.1添加用戶-基礎信息導航至【用戶管理】，可在用戶列表界面查看到用戶名稱、狀態、組織機構、真實姓名、主機、郵箱等信息。點擊【添加】進入用戶屬性編輯界面，輸入用戶基礎信息名稱；用戶名支持英文字母、數字、下劃線、小數點輸入；此項為必填項啟用/禁用：更改用戶賬號的啟停狀態；新賬號默認狀態為啟用密碼：密碼設置可選擇手工輸入或由系統自動生成密碼；此項為必填項真實姓名；輸入用戶真實姓名；姓名支持中英名字母輸入；此項為必填項手機：輸入用戶手機號碼；此類信息為可選擇輸入項郵箱：輸入用戶郵箱地址；此類信息為可選擇輸入項開始時間&結束時間：指定用戶登錄的時間范圍；此類信息為可選擇輸入項登錄限制：包括客戶端IP地址或所在網段（網段的格式例如：/24）和MAC地址（MAC地址的輸入格式例如：00-1F-16-29-F1-15）的限制高級屬性：可勾選不能修改密碼、密碼永不過期、密碼已過期備注：可在此對該用戶進行描述；此項為可選擇輸入項強認證USB令牌認證：根據需要選擇運維用戶登錄時是否使用USB令牌認證（需要插上已通過令牌重置工具初始化的USB令牌），如圖3.2所示令牌狀態：顯示令牌狀態令牌密碼：用于此運維用戶登錄進行令牌認證時下載令牌重置工具：令牌重置工具用于重新初始化已與用戶綁定的USB令牌，重新初始化后的USB令牌可以再次與需要令牌認證的用戶進行綁定圖3.2添加用戶-強認證屬性應用工具限制：用于有應用發布功能時，可選擇限制運維用戶使用運維工具的種類（如圖3.3所示）。圖3.3添加用戶-應用工具限制點擊【確定】完成用戶賬號添加。重要說明：手機輸入需符合手機號碼位長及格式要求；Email信息輸入需要符合郵件格式要求；密碼設置需要符合密碼管理>密碼策略中已定義的密碼長度及復雜度要求；啟用賬號有效期后，過期賬號將會自動鎖定；強認證根據需要選擇用戶登錄是否使用USB令牌認證。編輯用戶屬性選擇導航條上【用戶管理】，查看當前用戶列表，在對應的用戶名后，點擊【屬性】可對已經存在的用戶信息進行修改，如圖3.3所示：圖3.3編輯用戶屬性-基礎信息在強認證屬性中對用戶增加使用USB令牌認證，如圖3.4所示，對已使用USB令牌認證的用戶解除令牌綁定，如圖3.5所示：圖3.4編輯用戶屬性-強認證圖3.5編輯用戶屬性-強認證2重要說明：編輯用戶基本信息，如密碼、真實姓名、手機、郵箱、描述等；修改密碼：重新設置用戶密碼；啟用有效期：修改賬號有效期，不啟用則為永久賬號；在強認證中，配置USB令牌認證的相關信息；在應用工具限制中，對運維用戶可使用的運維工具進行限制。用戶其它操作選擇導航條上【用戶管理】，查看當前用戶列表；如圖3.6所示：圖3.6用戶列表刪除：從用戶列表中勾選需要刪除的用戶，點擊【刪除】可從系統中刪除該運維用戶啟用：從用戶列表中勾選需要禁用的用戶，點擊【禁用】可將此用戶禁用禁用：從用戶列表中勾選需要啟用的用戶，點擊【啟用】可將此用戶啟用移動：從用戶列表中勾選需要移動到其它組織機構的用戶，點擊【移動】，選擇需要移動到的組織機構名全部導出：按系統定義的格式導出全部用戶列表導出當前：按系統定義的格式導出選中的用戶列表用戶組織機構選擇導航條上【用戶管理】；查看當前用戶組織機構列表，并可執行用戶組織機構管理操作；如圖3.7所示：圖3.7用戶組織機構管理鼠標指針移動到資源組名稱，顯示操作按鈕：添加：在組織機構或已建立的組織機構名處，點擊，即成功添加相應組織機構修改：在已建立的組織機構名處，點擊，即可修改組織機構的負責人、電話和備注，名稱為不可修改項刪除：在對應的組織機構名處，點擊，即成功刪除相應組織機構導出：在資源組或已建立的組織機構名處，點擊，即可將組織機構信息導出資源管理添加資源選擇導航條上【資源管理】—>【資源】；查看當前資源列表，并可執行【添加】操作；如圖4.1所示：圖4.1添加資源資源列表查看列表查看：名稱、資源組、資源分類、資源系統類型、IP地址、操作輸入資源屬性基本信息：名稱：輸入資源名至資源屬性；資源名支持中英文、數字及字符輸入；此項為必填項狀態：在下拉菜單中選擇啟用或禁用資源；此項為必選項資源分類：在下拉菜單中選擇資源類型；此項為必選項資源系統類型：在下拉菜單中選擇資源系統類型；此項為必選項IP地址：輸入資源（設備）IP地址；此項為必填項及可填多個IP地址編號：輸入資源（設備）的編號所有者：輸入資源（設備）的所有者負責人：輸入資源（設備）的負責人備注：對該主機的功能、特性進行說明添加資源服務信息；如圖4.2所示：圖4.2添加資源服務名稱：輸入資源服務屬性；服務名支持中英文、數字及字符輸入；此項為必填項類型：在下拉菜單中選擇服務類型；此項為必選項端口：輸入該服務的端口號；此項為必填項備注：填寫添加服務的備注信息連通檢測：檢測堡壘機到資源服務器該服務是否正常開放（堡壘機V701以上版本具備該功能）添加資源系統賬號信息；如圖4.3所示：圖4.3添加資源賬號名稱：輸入資源賬號；此項為必填項，如賬號為特權賬號，需勾選特權賬號密碼及密碼確認：輸入該賬號對應密碼及密碼確認，如密碼為空則不用輸入資源AD域：如資源為windows系統，并加入了域，需要對此資源的賬號改密時，需要選擇資源所屬域（域相關的參數設置請參加本手冊4.7章節）服務授權：勾選該賬號連接本資源的服務類型，可多選參數：填寫連接登錄所需參數，如oracle可選SID或Service_Name，登錄角色可選擇normal、sysdba或sysoper；備注：填寫該資源賬號的備注信息高級選項（堡壘機為V221及以上版本才具備該功能），如下圖所示：綁定協議代理服務器：當堡壘機配置了協議代理服務器時，可以固定訪問該資源使用綁定的協議代理服務器；綁定應用發布服務器：當堡壘機配置了應用發布服務器時，可以固定訪問該資源使用綁定的應用發布服務器；點擊【確定】完成全部主機信息錄入。重要說明：通常情況下，用戶只需要配置資源IP、資源名、資源類型、服務類型及資源賬號信息即可；賬號切換命令、密碼輸入提示、所有者、負責人、編號、備注為可選擇輸入項，如無需要可不用填寫；資源分類、資源系統類型、資源AD域需要在資源管理>資源分類、資源管理>資源系統類型、資源管理>資源AD域中先行定義；用戶可以對協議默認端口號進行修改；列表中禁用資源用紅色顯示編輯主機選擇導航條上【資源管理】—>【資源】；查看當前資源列表，在對應的資源名后，點擊【屬性】、【服務】、【賬號】可分別對已經存在的主機信息進行修改，如圖4.4-4.6所示：圖4.4編輯資源屬性圖4.5編輯資源服務圖4.6編輯資源賬號編輯資源屬性基礎信息。如名稱、資源分類、資源系統類型、IP地址、賬號切換命令&密碼輸入提示等編輯資源服務信息，可對此資源的服務進行添加、編輯、刪除等操作編輯資源賬號信息，可以對本機賬號進行添加、編輯、刪除等操作主機其它操作選擇導航條上【資源管理】—>【資源】；查看當前資源列表，勾選資源并可執行【刪除】操作；如圖4.7所示：圖4.7資源刪除刪除：在勾選對應的資源名后，點擊【刪除】可從系統中刪除該資源；可進行多個資源勾選，進行批量刪除啟用\禁用：在勾選對應的資源名后，點擊【禁用】可將此資源停止使用，點擊【啟用】可將此資源啟用，默認資源是啟用狀態移動：在勾選對應的資源名后，點擊【移動】可將此資源移動到其他資源組內導入/導出：資源主機信息可以以csv格式批量導入導出，管理員可以對csv格式的資源主機列表進行增刪改注意：通過在資源管理頁面導出的資源主機csv格式文件，可以看到資源主機的詳細信息，按照默認的格式可以對資源主機進行增刪改操作。在csv文件中，帳號名稱后方有密文密碼、明文密碼，而導出的資源列表中只有密文密碼，在導入資源列表時，只需填寫明文密碼，如果既有密文密碼又有明文密碼，堡壘機在識別時會以明文密碼優先。在修改資源主機的CSV文件時，需要按照導出的格式進行配置，其中重要參數配置如下表所示：資源名稱IP地址服務名稱(類型,端口,狀態),服務名稱存在'('必須使用'\'轉義帳號名稱明文密碼服務授權,多個用';'拆分,服務名稱存在'('必須使用'\'轉義,參數存在'=,|'必須使用'\'轉義服務器A資源主機開放服務寫在同一單元格，服務之間使用分號分隔SSH(SSH,22,啟用);telnet(TELNET,23,啟用);RDP(RDP,3389,啟用)資源主機開放服務寫在同一單元格，服務之間使用分號分隔root123456當一個服務有多個帳號時，分行寫SSH當一個服務有多個帳號時，分行寫admin123456SSHadministrator123456當一個帳號同時綁定多個服務時，不同的服務用分號分隔TELNET;RDP當一個帳號同時綁定多個服務時，不同的服務用分號分隔user1123456FTP服務器BOTHER(OTHER,0,啟用);FTP(FTP,21,啟用);……(此次省略)sa123456FTP在上一個資源主機最后一個帳號的下一行開始配置新的資源主機在上一個資源主機最后一個帳號的下一行開始配置新的資源主機sa123456TELNETsa123456MSSQLsa123456ORACLE(loginas=normal,SERVICE_NAME=nmdb)參數說明：loginas為數據庫登錄角色（可選：normal、sysdba、sysoper）;選配數據庫Server_Name或SID參數。sa123456SYBASE(servername=sim,dbname=sim)參數說明：servername為節點名；dbname為實例名。sa123456INFORMIX(servername=sim,dbname=sim)參數說明：servvername為節點名；dbname為實例名。sa123456DB2(db2instance=sim,dbname=sim)參數說明：db2instance為實例名；dbname為數據庫名。sa123456MYSQLsa123456HTTP(submit=login,stype=id,password=password,ptype=id,username=user,utype=id,url=)參數說明：url為web登錄地址；stype為節點類型（包括：id、name、xpath）；submit為該節點參數。sa123456RLOGINsa123456TERADTA(dbname=sim)參數說明：dbname為實例名。sa123456RDPsa123456SSH[空賬號]123456VNCsa123456POSTGRESQL(dbname=sim)參數說明：dbname為實例名sa123456OTHER資源組選擇導航條上【資源管理】—>【資源】；查看當前資源列表，在資源列表左邊，可查看當前資源組，并可執行資源組管理操作；如圖4.8所示：圖4.8管理資源組 鼠標指針移動到資源組名稱，顯示操作按鈕：添加：在資源處，點擊，即彈出添加資源組信息框，輸入需要新增的資源組信息修改：在已建立的資源組名處，點擊，即可修改資源組名稱和備注刪除：在對應的資源組名處，點擊，即成功刪除相應資源組清空：在已建立的資源組名處，點擊，即可清空該資源組下所有資源主機（堡壘機V701以上版本具備該功能）資源分類選擇導航條上【資源管理】—>【資源分類】，在資源分類列表中會顯示系統默認的和已添加的資源分類。默認資源分類為主機、數據庫、安全設備和網絡設備四種，并且不允許刪除。另外可通過勾選資源分類名稱，對自定義資源分類進行刪除操作，點擊資源分類屬性，可對資源分類進行編輯。資源分類列表如下圖4.9所示：圖4.9資源分類列表在資源分類界面點擊【添加】，進入添加資源分類頁面，如下圖4.10所示：圖4.10添加資源分類名稱：添加名稱。必填項，且不能重復。僅支持英文字母、數字、下劃線、小數點。備注：該資源分類的描述說明。資源系統類型選擇導航條上【資源管理】—>【資源系統類型】，在資源系統類型列表中會顯示系統默認的和已添加的資源系統類型，默認資源類型有Linux、Windows、AIX、HP-UX、Cisco和Huawei六種，并且不允許刪除。另外通過勾選資源類型名稱，可對自定義資源系統類型進行刪除操作，點擊資源系統屬性，可對資源系統進行編輯。資源系統列表如下圖4.11所示：圖4.11資源系統列表在資源系統類型界面點擊【添加】，進入添加資源系統頁面，如下圖4.12所示：圖4.12添加資源系統類型名稱：資源系統名稱。必填項，且不能重復。僅支持英文字母、數字、下劃線、小數點賬號切換命令：選填項密碼輸入提示：選填項備注：該資源系統類型的描述說明資源AD域 選擇導航條上【資源管理】—>【資源AD域】，如資源為windows系統，并加入了域，需要對此資源的登錄賬號改密時，可在此提前設置好資源AD域相關信息，在添加資源的服務賬號時，可直接選擇此處設置的域名。在主機AD域列表中會顯示已添加的AD域清單，列表顯示AD域的域名。可從列表直接刪除AD域。如圖4.13所示：圖4.13資源AD域列表添加AD域：點擊【添加資源AD域】，在彈出窗口輸入域名、域管理員名、密碼和域控制器IP地址，點擊【確定】，即可完成AD域的添加編輯AD域：在清單中單擊已有的域名的屬性，可進行修改，修改完成之后點擊【確定】，即可完成AD域的編輯刪除AD域：在清單中勾選已有的域名，再點擊【刪除資源AD域】，即可完成AD域的刪除策略管理 策略管理主要配置運維用戶的訪問授權及指令授權。訪問策略授權和指令操作授權均可配置黑白名單。授權中使用到的指令集合、IP集合和時間集合需要預先定義。訪問策略選擇導航條上【策略管理】—>【訪問策略】，授權運維用戶訪問運維主機，需要配置相應授權。訪問策略授權的配置方式采用向導式。訪問授權策略頁面如圖5.1所示：圖5.1訪問授權策略列表 在訪問授權策略列表中顯示了已配置的策略。點擊【添加】，進入訪問策略授權向導如圖5.2所示：圖5.2添加訪問策略名稱：輸入訪問策略名；資源名支持中英文、數字及字符輸入；此項為必填項高級屬性：選擇是否啟用以下功能：RDP剪切板、RDP磁盤映射限制IP：在啟用限制IP功能后，在IP設置范圍內的運維用戶能訪問堡壘機限制時間：啟用限制時間功能后，限制運維用戶只能在指定時間范圍內能訪問堡壘機完成基礎信息配置后，點擊【下一步】進入綁定用戶頁面如圖5.3所示：圖5.3綁定用戶頁面選擇綁定服務，點擊【下一步】如圖5.4所示：圖5.4綁定服務選擇綁定賬號，可點擊連接參數查看賬號參數，點擊【確定】完成一條訪問策略配置，如圖5.5所示：圖5.5綁定賬號命令策略選擇導航條上【策略管理】—>【命令策略】，指令操作授權主要配置運維用戶的指令黑白名單：在命令策略界面點擊【添加】，進入命令策略配置向導如圖5.6所示：圖5.6命令策略-基本信息基本信息填寫名稱、匹配模式、審計動作、告警方式、命令集合、操作命令和操作對象等，名稱：輸入審計策略名；資源名支持中英文、數字及字符輸入；此項為必填項匹配模式：在下拉菜單選擇包含或不包含；此項為必選項審計動作：在下拉菜單選擇允許執行、忽略命令、阻斷會話或二次審批；此項為必選項告警方式：包括Syslog、短信、郵件、SNMP，相關設置需由系統管理員配置，參見8.2.6和8.3章節命令集合：選擇在命令集合中設置的命令集操作&對象：輸入需要匹配的運維操作命令和對象填寫完基礎信息后，點擊【下一步】如圖5.7所示：圖5.7命令策略綁定用戶綁定用戶，勾選上用戶名稱將這條審計策略授權到指定用戶，點擊【下一步】如圖5.8所示：圖5.8命令策略綁定服務 綁定服務，勾選上運維服務名稱將審計策略授權到指定服務，關聯從賬號，點擊【確定】完成一條審計策略的配置。操作說明：1、策略命令配置和執行命令拒絕為黑名單，一旦運維用戶使用命令列表中的命令，將會觸發響應，響應方式在審計動作配置，通常設置為阻斷命令。2、策略命令配置和執行命令允許為白名單，運維用戶使用命令列表中的命令，將會觸發響應，響應方式在審計動作配置，通常設置為忽略命令。3、輸入多個命令時。每一行只能輸入一個命令。集合設定時間集合選擇導航條上【策略管理】—>【集合設定】—>【時間集合】，查看當前時間集合列表，點擊【添加時間集合】如圖5.9所示：圖5.9添加時間集合名稱：該時間集合的名稱，可以使用字母、數字和中文區間&開始時間&結束時間：配置時間范圍，可輸入多個時間范圍，每行一個備注：該時間集合的說明文字重要說明：使用【添加】可以配置多個時間范圍。時間范圍的數量無限制設置了時間集合，在添加訪問策略時，如需限制訪問時間時就可以直接選擇提前設置的時間集合IP集合選擇導航條上【策略管理】—>【集合設定】—>【IP集合】，查看當前命令集合列表，點擊【添加IP集合】如圖5.10所示：圖5.10添加IP集合名稱：該IP集合的名稱，可以使用字母、數字和中文起始IP&終止IP&顯示信息：該IP集合的IP地址段，可輸入多個IP地址段，每行一個備注：該IP集合的說明文字重要說明：設置了IP集合，在添加訪問策略時，如需限制訪問的源IP的地址范圍時就可以直接選擇提前設置的IP集合命令集合選擇導航條上【策略管理】—>【集合設定】—>【命令集合】，查看當前命令集合列表，點擊【添加命令集合】如圖5.11所示：圖5.11添加命令集合名稱：該指令集合的名稱，可以使用字母、數字和中文操作&對象：指令集合的內容，可以輸入多個指令，每行一個，對象可為空備注：該指令集合的說明文字從文件導入：命令集合支持導入功能，可提前在文檔中按照要求的格式設置好需要導入的命令，每行通過#分隔重要說明：設置了命令集合，在添加命令策略時，可直接選擇提前設置的命令集合工單管理工單管理主要是管理員為運維用戶下發臨時訪問授權，可以限制特定的運維用戶在特定時間范圍內才能訪問授權的運維資源。工單管理頁面，如圖6.1所示：圖6.1工單管理點擊【添加】，管理員可以新建工單，如圖6.2所示圖6.2添加工單-基礎信息圖6.3添加工單-綁定服務圖6.4添加工單-綁定帳號審計管理實時監控會話監控選擇導航條上【審計管理】—>【實時監控】—>【會話監控】，如圖7.1所示：圖7.1會話監控會話監控：對已建立的會話進行實時監控，可查看到用戶名、資源、服務、賬號、開始時間等信息。實時監控選擇導航條上【運維管理】—>【實時監控】—>【會話監控】，如圖7.2所示：圖7.2會話監控實時監控：對會話監控列表中的會話條目選擇實時監控，可對正在進行的會話以圖形的方式實時監控，如圖7.2所示。圖7.3強制結束會話強制結束會話：在會話監控列表選擇需要斷開的會話，再點擊【強制結束會話】，可斷開正在進行的會話，如圖7.3所示。日志查詢 天玥OSM擁有強大的日志查詢功能，同時自帶了大量的審計報表模板，讓用戶方便的制作各類報表。管理日志 管理日志主要對管理員在天玥網絡安全審計系統上所做的操作進行審計，選擇導航條上【審計管理】—>【日志查詢】—>【管理日志】—>【設置查詢條件】，頁面如圖7.4-7.6所示：圖7.4管理日志查詢-基礎限制圖7.5管理日志查詢-運維用戶限制圖7.6管理日志查詢-管理員限制管理日志查詢結果如圖7.7所示：圖7.7管理日志查詢結果重要說明：設置查詢條件中可根據操作時間、操作狀態、日志類型、操作名稱以及指定用戶來設定查詢；管理日志查詢結果可導出為CSV格式文件。登錄日志登錄日志主要是對用戶登錄或注銷登錄天玥網絡安全審計系統的行為進行記錄，選擇導航條上【審計管理】—>【日志查詢】—>【審計日志】—>【設置查詢條件】，如圖7.7-7.9所示：圖7.7登錄日志查詢-基礎限制圖7.8登錄日志查詢-運維用戶限制圖7.9登錄日志查詢-管理員限制登錄日志查詢結果如圖7.10所示：圖7.10登錄日志查詢結果重要說明：設置查詢條件中可根據操作時間、操作狀態、操作名稱以及指定用戶來設定查詢；登錄日志查詢結果可導出為CSV格式文件。審計日志 審計日志主要是對用戶操作目標設備進行操作的審計，選擇導航條上【審計管理】—>【日志查詢】—>【審計日志】—>【設置查詢條件】，如圖7.11-7.14所示：圖7.11審計日志查詢-基礎限制圖7.12審計日志查詢-服務限制圖7.13審計日志查詢-用戶限制圖7.14審計日志查詢-命令策略限制審計日志查詢結果，如圖7.15,7.16所示：圖7.15審計日志查詢結果圖7.16審計日志-命令詳情和回放重要說明：審計日志查詢可根據時間限制、審計動作、服務IP地址、用戶IP地址、賬號限制、關鍵字限制等基礎查詢條件設置查詢；審計日志查詢還可選定用戶及主機服務等設置查詢；查詢結果可先試詳情，點擊一條日志前的+號或者選擇上方的“顯示詳情”即可展開該會話的詳細信息；日志結果可導出為CSV格式文件；將鼠標移動到日志記錄上，在該條日志的右手邊浮現選擇框，可以查看命令詳情和會話回放（如圖6.16所示）。工單日志 堡壘機為V221及以上版本時才具備該功能，工單日志主要是管理員下發的工單的審計日志，選擇導航條上【審計管理】—>【日志查詢】—>【工單日志】—>【設置查詢條件】，如圖7.17-7.19所示：圖7.17工單日志-基礎限制圖7.18工單日志-服務限制圖7.19工單日志-用戶限制工單日志查詢結果如圖7.20，7.21所示：圖7.20工單日志-查詢結果圖7.21工單日志-工單詳細記錄審計報表報表模板選擇導航條上【審計管理】—>【審計報表】—>【報表模版】，天玥OSM內置了大量的報表模板，可以方便的生成各種統計或明細報表。內置的報表模板分為：默認會話報表模版、默認操作報表模版、默認異常會話報表模版和默認異常操作報表模版，用戶僅需在對應的報表模板點擊“生成報表”就可按照需要的時間自動生成報表，如圖6.22所示：圖6.22報表模版在【審計管理】—>【審計報表】—>【報表模板】列表界面，點擊【生成報表】即可設置創建報表，如圖6.23-6.24所示：圖6.23創建報表-基本信息圖6.24創建報表-詳細配置 在【審計管理】—>【審計報表】—>【報表文件】界面中可看見已生成的報表和計劃任務，計劃任務是指周期性地生成報表，如圖6.25-6.26所示：圖6.25已生成報表列表圖6.26計劃任務報表重要說明：報表生成流程選擇導航條上【審計管理】—>【審計報表】—>【報表模版】在報表模板分類列表里選擇需要操作的分類在對應的報表模板項，點擊“生成報表”，彈出“創建報表”向導在創建報表界面填寫基本信息和詳細配置后，點擊“生成報表”在【審計管理】—>【審計報表】—>【報表文件】—>【已生成報表】里，可查看到剛才生成的報表自定義報表 選擇導航條上【審計管理】—>【審計報表】—>【報表模板】，用戶也可以自定義報表模板，如圖6.27所示：圖6.27自定義報表新增模板，如圖6.28-6.31所示：圖6.28新建模版-基本信息圖6.29新建模版-報表條件圖6.30新建模版-基礎報表圖6.31新建模版-完成設置重要說明：天玥OSM選擇在每天的空閑時間制作自動報表。如選擇【每天】，則在每天凌晨00：00之后開始制作上一天的自動報表；如選擇【每周】，則在每周一的凌晨00：00之后開始制作上一周的自動報表；如選擇【每月】，則在每月1日的凌晨00：00之后開始制作上一月的自動報表。密碼管理密碼策略 選擇導航條上【密碼管理】—>【密碼策略】，可配置與密碼相關的安全策略，詳細說明參見2.5章節。頁面如圖8.1所示：圖8.1密碼策略自動改密計劃 選擇導航條上【密碼管理】—>【自動改密計劃】，點擊【添加】可配置定期自動修改運維主機的用戶密碼。如圖8.2所示：圖8.2自動改密計劃計劃名稱：必填項，不能使用特殊字符，可以使用大小寫字母、數字。首次執行時間：第一次自動改密的時間。執行周期：配置定期修改密碼的時間。密碼策略：生成新密碼的復雜度要求。可以使用隨機密碼，也可以手動指定。填寫密碼名稱、選擇首次執行時間、執行周期、密碼策略，點擊改密對象配置中的配置主機，選擇改密計劃發送的對象，如圖7.3所示:圖8.3改密對象勾選改密對象，點擊【確定】完成。如需要對特權賬號改密，請勾選“允許修改特權賬號密碼”。重要說明：使用改密功能時，必須配置一個超級管理員賬號為特權賬號，支持對普通賬號進行改密；如果主機為windows，首先要求windows主機必須開啟telnet服務，其次必須在天玥OSM管理界面中，對該windows主機配置telnet服務并綁定超級管理員賬號和需要進行改密的普通用戶賬號，超級管理員賬號設置為特權賬號；主機類型為linux、unix只支持telnet、ssh、rlogin協議的帳號修改，root帳號必須勾選為特權帳號；自動改密結果 選擇導航條上【密碼管理】—>【自動改密結果】，查看自動改密的結果，如圖8.4所示：圖8.4自動改密結果重要說明：自動改密結果會通過郵件的方式發送到創建該自動改密計劃的管理員，前提條件是該管理員基礎信息中已配置了郵箱地址。下載密碼列表選擇導航條上【密碼管理】—>【下載密碼列表】，天玥OSM提供了下載運維主機當前密碼的功能。經過自動改密后，管理員可能需要一份新的賬號密碼列表，可從這里直接下載，如圖8.5所示：圖8.5下載密碼列表重要說明：密碼文件需要具有密碼管理權限的管理員使用天玥OSM的密碼查看工具查看，密碼查看工具的下載界面在【密碼管理】—>【下載密碼列表】界面，如圖7.5所示。手動改密 選擇導航條上【密碼管理】—>【手動改密】，假如運維主機的密碼經過手工修改，并且忘記了密碼的情況下，可以使用手工改密功能，如圖8.6所示：圖8.6手動改密重要說明：手工改密不需要原密碼。使用改密功能時，必須配置一個超級管理員賬號為特權賬號，支持對普通賬號進行改密；如果主機為windows，首先要求windows主機必須開啟telnet服務，其次必須在天玥OSM管理界面中，對該windows主機配置telnet服務并綁定超級管理員賬號和需要進行改密的普通用戶賬號，超級管理員賬號設置為特權賬號。系統管理 天玥OSM運維安全系統管理員，主要負責管理天玥OSM的基本配置。包括網絡及全局策略配置、系統時間管理、配置備份管理、管理員配置等。 天玥OSM超級管理員在完成配置向導時，會添加一個系統管理員用戶。通過該用戶登錄天玥OSM實施系統基本配置。系統信息授權信息 導航條上選擇【系統管理】—>【系統信息】—>【授權信息】可查看天玥OSM系統的授權信息，如圖9.1所示：圖9.1授權信息點擊更新授權文件可對授權信息進行更新獲取一次授權。系統升級導航條上選擇【系統管理】—>【系統信息】—>【系統升級】可對天玥OSM進行升級，如圖9.2-9.3所示：圖9.2系統升級圖9.3安裝升級包操作說明：升級包獲取請聯系廠商人員進行獲取；管理員上傳升級包后，請按描述選擇恰當的時段進行升級，如升級包描述需要升級后重啟設備，則請管理員選擇用戶使用率較少的時段進行升級。配置備份導航條上選擇【系統管理】—>【系統信息】—>【配置備份】可對系統配置進行備份或恢復，如圖9.4所示：圖9.4配置備份數據備份導航條上選擇【系統管理】—>【系統信息】—>【數據備份】可對系統的所有數據（包括配置信息和日志信息）進行備份，如圖9.5所示：圖9.5數據備份電源管理導航條上選擇【系統管理】—>【系統信息】—>【電源管理】可對系統進行重啟和關機操作，如圖9.6所示：圖9.6電源管理系統選項高可用性導航條上選擇【系統管理】—>【系統選項】—>【高可用性】可對熱備及浮動地址進行配置，如圖9.7所示：圖9.7高可用性操作說明：事先定義好熱備的主機和備機，確定熱備功能所需的浮動IP地址；在主機的高可用性配置界面，選擇“啟用”熱備功能；選擇熱備角色為“主機”；配置浮動IP地址（注意子網掩碼格式：例如03/16），選擇浮動IP相關聯的網卡；輸入配對號（配對號的范圍為：1-254，必須保持主備機配對號一致）；輸入備機IP地址，點“確定”保存；在備機的高可用性配置界面，選擇“啟用”熱備功能；選擇熱備角色為“備機”；輸入浮動IP地址（注意子網掩碼格式：例如03/16）；選擇浮動IP相關聯的網卡；輸入主機IP地址，根據需要勾選“同步配置”（勾選后點擊“確定”就立即同步主機配置），點“確定”保存；熱備功能默認備機去同步主機的配置，同步周期默認為每個小時同步一次。地址（例如：03）。格爾認證支持格爾安全網關傳遞cookie形式的數字證書認證（具體實現方式請參見格爾公司提供的“格爾安全認證網關的Web系統開發規范”）。導航條上選擇【系統管理】—>【系統選項】—>【格爾認證】，勾選“啟用”格爾認證，認證網關URL地址根據實際環境從格爾廠商處獲取，如圖9.8所示進行設置。需要設置為通過格爾數字證書認證登錄的主賬號，在主賬號屬性中的“格爾認證標識”欄輸入格爾數字證書主題CN項值（如圖9.9所示）。如管理員也需要設置為格爾數字證書認證登錄，則在管理員的屬性中的“格爾認證標識”欄也需要輸入與登錄用戶對應的格爾數字證書主題CN項值。按照以上說明設置好后，在登錄頁面可以看到“數字證書登錄”選項（如圖9.10所示），提前準備好需要用于登錄的格爾數字證書，選擇“數字證書登錄”時會提示選擇提前準備的證書（如圖9.11所示），選擇對應的證書，此時格爾安全網關會傳遞認證信息到天玥網絡安全審計系統，天玥網絡安全審計系統認證通過后就進入到使用界面。圖9.8格爾認證設置1圖9.9格爾認證設置2圖9.10格爾認證登錄圖9.11格爾認證-選擇數字證書認證源詳細操作請參見2.3章節網絡配置選擇導航條上【系統管理】—>【系統選項】—>【網絡配置】，如圖9.12所示：圖9.12網絡配置1圖9.13網絡配置2網絡配置：設定或更改網卡的IP地址，配置接口聚合；路由配置：設定或更改路由信息；DNS配置：配置DNS服務器地址；證書配置：及以后版本，在更新網絡配置后，點擊應用，堡壘機會自動生成相應證書（如圖9.12）。創建證書：系統為6.0.2以前版本，首次登陸系統，需創建證書，將天玥OSM系統IP地址與證書綁定（如圖9.13）。操作說明：該網絡配置頁面與串口網絡配置菜單相一致；若設備為單機部署，網卡配置地址即是真實IP；時間配置選擇導航條上【系統管理】—>【系統選項】—>【時間配置】：當前系統時間：可以手動修正當前系統時間，如圖9.14所示；圖9.14手動配置當前時間時間同步配置：啟用時間同步服務器，進行時間同步配置，如圖9.15所示：圖9.15時間服務器配置服務器地址：可手工修改并保存時間同步地址；Web選項選擇導航條上【系統管理】—>【系統選項】—>【Web選項】，如下圖所示圖9.16Web選項設置超時時間設置：默認為1800秒，最小超時時間為300秒，最大超時時間為86400秒；驗證碼設置：選擇登錄堡壘機是否使用驗證碼，或3次密碼連續輸入錯誤再開啟驗證碼；登錄限制設置：選擇能否在同一時刻相同的運維賬號在不同位置登錄；（堡壘機V701以上版本具備該功能）操作說明：頁面超時設置對所有管理員和運維用戶均有效；超時時間即指頁面無任何操作的連續空閑時間，原理上是頁面與系統后臺程序沒有任何交互的時間；登錄限制是對運維賬號能否進行單點登錄的控制；備份自動導出 選擇導航條上【系統管理】—>【系統選項】—>【備份自動導出】，如圖9.17所示：圖9.17FTP方式備份備份自動導出設置：開啟備份數據上傳外置FTP服務器；操作說明：系統每天定時在零時進行前一日的數據備份,啟用后會將數據備份推送至客戶的ftp服務端；推送至FTP服務器的備份數據包括：堡壘機的配置備份和數據備份；運維選項堡壘機為V221及以上版本才具備此功能。在選擇導航條上【系統管理】—>【系統選項】—>【運維選項】，如下圖所示：圖9.18運維選項設置自定義帳號：允許運維用戶連接運維資源時使用自定義帳號；保存自定義帳號：允許運維用戶連接運維資源時保存自定義帳號；接口配置Syslog選擇導航條上【系統管理】—>【接口配置】—>【Syslog】，如圖所示：選擇“啟用”Syslog接口，配置接收告警信息的syslog服務器IP地址和端口。圖9.19Syslog接口配置短信選擇導航條上【系統管理】—>【接口配置】—>【短信】，如圖9.20所示：配置短信告警方式的相關參數：數據庫類型、數據庫服務器IP、端口、數據庫登錄賬號、數據庫登錄密碼、數據庫名、短信SQL語句。圖9.20短信接口配置操作說明：選擇短信接口操作中間數據庫的類型；輸入短信接口操作的數據庫服務器IP地址，端口；輸入短信接口操作的數據庫的登陸賬號和密碼；根據短信sql語句模板，結合實際情況，填寫短信接口的sql語句。郵件選擇導航條上【系統管理】—>【接口配置】—>【郵件】，如圖9.21所示：配置郵件接口信息：SMTP服務器、端口、是否匿名用戶、賬號、密碼、是否啟用SSL；可填入測試郵箱，測試下郵件接口環境是否正常。圖9.21郵件接口配置操作說明：當選擇郵件方式時，需要在郵件收件人地址欄輸入告警信息收件人的郵箱地址，每行一個地址；SNMP選擇導航條上【系統管理】—>【接口配置】—>【SNMP】，如圖9.22所示：配置SNMP接口信息：服務器IP、端口、trapOID、hostOID。圖9.22SNMP接口配置資源同步接口選擇導航條上【系統管理】—>【接口配置】—>【資源同步接口】（如圖9.23所示），如需和外部系統做資源同步，請參見“外部系統資源同步接口”文檔。圖9.23資源同步接口配置設備管理設備管理選擇導航條上【系統管理】—>【設備管理】，如圖9.24所示：圖9.24設備管理界面添加應用發布服務器：運維堡壘機的版本為857及以后版本，添加應用發布服務器時，會生成應用發布服務器的密鑰，如圖9.25所示。在有效時間之內，在應用發布服務器上使用該密鑰注冊，系統會自動讓提前按照要求設置好的應用發布服務器加入域并重啟，當看到添加的應用發布服務器顯示“在線”時，表示已添加成功；（詳細步驟參考實施培訓指南）添加協議發布服務器：運維堡壘機的版本為857及以后版本，添加協議擬代理服務器時，會生成協議代理服務器的密鑰，如圖9.26所示，在協議代理服務器后臺手動讓其角色發生轉變，并使用該密鑰注冊，當看到添加的協議代理服務器顯示“在線”時，表示已添加成功；（協議代理服務器可分擔天玥網絡安全審計系統核心主機的審計壓力）；（詳細步驟參考實施培訓指南）刪除：刪除不需要管理的設備；啟用：選擇需要啟用的設備進行啟用；禁用：選擇需要禁用的設備進行禁用；刷新：刷新設備狀態；重新選擇：重新選擇要操作的設備。圖9.25設備管理界面-添加應用發布服務器圖9.26設備管理界面-添加協議代理服務器設備運行狀態選擇導航條上【系統管理】—>【設備管理】，在設備管理界面，點擊設備的圖標查看詳細的設備運行狀態（如圖9.27所示），內容包括：CPU使用情況、物理內存使用情況和磁盤空間使用情況。圖9.27設備運行狀態應用發布應用工具選擇導航條上【系統管理】—>【應用發布】—>【應用工具】，可對應用工具進行添加、刪除操作。執行【添加】操作，輸入應用程序名稱，輸入應用發布服務器上應用程序的路徑，選擇應用工具啟用、禁用狀態，如圖9.28所示。圖9.28添加應用工具選擇應用工具使用的圖標。如果自定義圖標，圖片的格式為png、gif、jpg，圖片的像素為32×32，如圖9.29。圖9.29應用工具圖標選擇應用工具綁定對應的服務類型，如需要發布的工具，使用的服務不包括在標準協議內，請選擇OTHER服務類型，注意在添加資源時配置服務時，對應選擇OTHER服務類型，如圖9.30。圖9.30應用工具綁定服務類型發布管理選擇導航條上【系統管理】—>【應用發布】—>【發布管理】，