北京移动合作类行为审计系统用户操作手册.docx
《北京移动合作类行为审计系统用户操作手册.docx》由会员分享,可在线阅读,更多相关《北京移动合作类行为审计系统用户操作手册.docx(64页珍藏版)》请在冰豆网上搜索。
北京移动合作类行为审计系统用户操作手册
目录
第1章概述1-1
1.1系统开发背景1-1
1.2范围1-1
1.3定义、缩写词1-1
1.4用户1-2
1.5功能概述1-2
第2章系统运行环境2-3
2.1客户端环境说明2-3
2.1.1浏览器设置:
2-3
2.1.2客户端工具的安装:
2-5
2.2登录系统2-6
第3章界面操作3-7
3.1系统首页3-7
3.1.1页面概述3-7
3.1.2系统管理员admin主要操作步骤3-8
3.2设备管理3-8
3.2.1资源组管理3-9
3.2.2添加UNIX设备3-10
3.2.3添加Win设备3-11
3.2.4添加网络设备3-11
3.2.5添加帐号3-11
3.2.6主从帐号绑定3-12
3.2.7用户授权3-14
3.3策略管理3-17
3.3.1密码策略3-17
3.3.2设备访问策略3-17
3.3.3黑白名单维护3-21
3.4帐号管理3-22
3.4.1页面概述3-22
3.4.2组织机构管理3-23
3.4.3添加帐号3-23
3.4.4检索账号3-24
3.4.5修改账号3-25
3.4.6删除账号3-25
3.4.7查看账号3-26
3.5平台授权3-26
3.5.1平台授权3-26
3.6单点登录3-30
3.6.1Win主机单点登录3-30
3.6.2Unix主机单点登录3-30
3.6.3网络设备单点登录3-31
3.7审计管理3-31
3.7.1平台审计>操作日志审计管理3-31
3.7.2平台审计>登录日志审计管理3-32
3.7.3设备审计>日志审计>设备日志审计3-33
3.7.4设备审计>日志审计>数据库日志审计3-34
3.7.5设备审计>日志分析>数据库日志分析3-35
3.7.6设备审计>审计告警>告警策略管理3-36
3.7.7设备审计>审计告警>告警日志查询3-38
3.7.8设备审计>审计报表>会话报表3-39
3.7.9设备审计>审计报表>事件报表3-39
3.7.10设备审计>审计报表>用户访问报表3-39
3.7.11设备审计>审计报表>导出报表3-40
3.7.12设备审计>定时任务3-41
3.7.13设备审计>事件管理3-42
3.8权限申请3-43
3.8.1权限模板管理3-43
3.8.2权限审批3-45
3.8.3权限申请3-46
3.9系统管理3-47
3.9.1系统监控3-47
3.9.2备份数据管理3-48
3.9.3修改密码3-48
3.9.4修改VPN密码3-48
3.9.5VPN账号管理3-49
3.10软件下载3-49
3.11退出3-50
附录VPN客户端设置3-50
一.VPN连接配置:
3-50
二.修改注册表:
3-59
第1章概述
1.1系统开发背景
•依据移动集团公司下发的《中国移动管理信息系统部4A技术规范》,并针对北京移动公司管理信息系统各应用管控的迫切性,加强IDC运营管理系统及托管用户的安全管理。
保障IDC的运营安全,为客户提供服务器行为审计增值服务和打造高品质的IDC安全服务环境。
1.2范围
本手册大致可分为六个部分:
Ø系统开发背景目的、系统相关名词概念;
Ø系统整体功能概述、
Ø系统运行环境等;
Ø系统的详细功能介绍及各功能的使用步骤;
1.3定义、缩写词
主账号
4A系统本身的用户账号
从账号
4A系统外的设备账号
单点登录
系统管理人员通过系统直接登录到接入设备系统上
告警
对操作人员产生的日志进行管理处理,达到告警阀置的发送告警短信给管理员,本系统对产生告警的帐号进行管理策略
报表定时任务
用户可以配置自动生成报表,系统定时自动生成报表
访问策略
对访问的接入设备进行访问限制,包括:
访问时间段、IP地址等。
细粒度授权
对访问的接入设备时可以执行的命令和不可以执行的命令进行细粒度的授权
黑名单
绑定到主帐号和设备上,不允许操作人员使用命令的集合
白名单
绑定到主帐号和设备上,允许操作人员使用命令的集合
服务协议
一般指登录到设备时,使用的协议有SSH、Telnet、Ftp、sftp、rdp,对于数据则是PL/SQL
会话日志
用户进行一次单点登录,审计平台记录一次会话
事件日志
用户进行一次单点登录后的每次操作称为一个事件
1.4用户
本文档针对北京移动合作类行为审计平台的最终用户。
Ø要求使用者对系统的缩略词及基本的原理有一个了解。
Ø要求用户能够熟练使用Windows系统IE功能。
1.5功能概述
系统操作人员主要分为四种角色进行系统管理,包括安全管理员、系统管理员
Ø安全管理员主要功能是日志审计,包括如下细分功能
●日志分析:
对系统采集的日志进行分析,包括会话日志、事件日志
●告警管理:
对操作人员产生的日志进行管理监控,达到告警阀置的发送告警短信给管理员
●审计报表:
根据用户灵活选择条件,本系统产生相应的报表
●报表定时任务:
用户可以配置自动生成报表,系统定时自动生成报表
Ø系统管理员主要功能是系统接入,包括如下细分功能
●设备管理:
对Unix、Wind主机和网络设备进行进行管理
●帐号管理:
对接入的设备帐号进行管理
●授权管理:
将审计平台主帐号主帐号和接入设备的从帐号进行授权
●单点登录:
系统管理人员通过4A系统直接登录到接入设备系统上
●访问策略管理:
对访问的接入设备进行访问限制,包括:
访问时间段、访问次数、IP地址段
●细粒度授权:
对访问的接入设备时可以执行的命令和不可以执行的命令进行细粒度的授权
第2章系统运行环境
2.1客户端环境说明
Ø主频1G以上CPU;
Ø1G以上内存;
ØMicrosoftWindows9X\NT\XP操作系统;
ØInternetExplorer7.0以上的浏览器,推荐使用IE8;
2.1.1浏览器设置:
Ø将系统的访问地址加入到浏览器的可信站点中
Ø在Internet选项->安全->可信站点->自定义级别中,启用“对未标记为可安全执行的ActiveX控件初始化并执行脚本”选项
Ø
请将http:
//192.168.161.177http:
//192.168.161.178http:
//192.168.161.1793个地址添加可信站点。
添加时要注意两点,1、不勾选“对该区域中的所有站点要求服务器验证(https:
)”.2、添加的地址如:
http:
//192.168.161.177协议类型是http不是https
2.1.2客户端工具的安装:
当用户登录系统后,在系统的菜单栏后面有“下载软件”连接
ØJRE1.6是其他工具运行的支持环境,如只有安装了JRE1.6后,FTP客户端和视频播放软件才可用。
Ø代填程序是用户进行单点登录操作必须安装的软件,可将用户的登录信息自动代填到登录工具中。
安装代填程序时,请先关闭浏览器。
ØSecureCRT,SSHSecureShell,Putty是用户进行设备进行命令行操作的工具。
ØFTP客户端是用户对某些开通FTP服务的设备进行FTP上传或下载操作使用的工具。
Ø视频播放工具是审计人员进行审计时,用于播放用户操作信息的视频软件。
2.2登录系统
从任一台满足客户端环境说明并接入审计系统网络的计算机上均可访问系统。
打开IE浏览器,输入行为审计平台服务器网址,系统显示审计平台登录界面,如下图:
步骤1:
北京移动合作类行为审计平台部署完成后,打开浏览器输入访问地址,http:
//192.168.161.179:
8080/audit进入图1-1所示登录页面。
步骤2:
在帐号和密码输入框中分别输入帐号和密码。
步骤3:
单击【获取】按钮,等待系统发送的短信验证码,然后填入动态短信码框中。
步骤4:
点击【确定】按钮,等待进入系统。
第3章界面操作
3.1系统首页
3.1.1页面概述
1.首页面为主机管理页面,用户可以登录到相应的设备上。
2.左上角为本系统名称与logo图片。
3.系统菜单区,点击菜单项可以打开菜单,点击子菜单,可以进入需要操作的页面。
4.中间为系统主页面区,用于展示各功能页面。
系统LOGO与信息
系统主页面
系统菜单
图1-2系统首页
3.1.2系统管理员admin主要操作步骤
1.首先使用系统管理员账号登录到系统,在设备管理页面添加设备资源组和添加相关设备
2.系统管理员在账号管理页面创建用户所属的组织机构,组织机构与资源组对应。
3.通过平台授权功能,创建系统角色,角色中可以包括用户可以管理的角色和用户可以使用的审计系统功能。
4.在账号管理功能中创建属于某组织账号,系统管理员主要创建各应用系统的应用管理员账号,各应用下的账号可以由应用管理员来创建维护,账号创建后可以为创建的账号分配在“系统授权”中创建的角色。
系统管理员为各应用管理员授权后,应用管理员只能为其所管理的用户分配自身所有的角色信息。
3.2设备管理
Ø该页面可以对设备进行统一的管理,如资源组管理、UNIX设备管理、Win设备管理、网络设备管理
Ø该页面可以对设备额进行绑定,可以绑定该设备可以访问的账号、设备的登录方式、限制设备上可使用的帐号、细粒度授权包括黑名单和白名单
3.2.1资源组管理
3.2.1.1添加资源组
1.在设备管理页面的左侧资源组,鼠标右键单击页面左侧资源组,页面弹出菜单,选择添加资源组,弹出如下图
2.输入新建资源组的名称,选择确定则添加到资源组下面;选择取消则放弃资源组添加回到设备管理页面
3.2.1.2修改资源组
1.在设备管理页面的左侧资源组,鼠标右键单击页面左侧资源组下面需要修改的资源名称,页面弹出菜单,选择资源组重命名弹出如下图
2.输入修改资源组的名称,选择确定则修改现有资源组名称;选择取消则放弃修改资源组回到设备管理页面
3.2.1.3删除资源组
1.鼠标右键单击页面左侧资源组下面需要删除的资源组名称,页面弹出菜单,选择资源组删除
2.选择确定则删除现有的资源组;选择取消则放弃删除资源组回到设备管理页面
3.2.2添加UNIX设备
3.2.2.1添加UNIX设备
1.首先选择一个资源组,然后在其资源组里面添加设备,弹出如下窗口
2.输入相应的设备信息,选择添加则保存到北京审计系统;选择返回则放弃添加设备
3.2.2.2查询UNIX设备
1.输入查询条件,单击【搜索】
2.系统将返回查询出符合条件的设备
3.2.2.3删除UNIX设备
1.首先选择资源组
2.选择要删除的设备
3.单击【删除设备】,选择确认则删除设备;选择取消则放弃删除设备
3.2.3添加Win设备
请参照【1.2.2】添加UNIX设备
3.2.4添加网络设备
请参照【1.2.2】添加UNIX设备
3.2.5添加帐号
1.选择一个设备,单击【帐号】连接弹出添加从账号页面
2.单击【添加帐号】按钮,弹出添加帐号页面,输入该设备已存在的帐号,单击【添加】按钮完成从账号添加;单击【返回】按钮则放弃添加从账号
3.2.6主从帐号绑定
1.选择一个设备,单击【绑定】连接弹出如下图
2.在主从帐号绑定页面的选择用户【查询】按钮
Ø在页面左侧选择设备资源组,页面右侧显示该资源组下面的主帐号
Ø点选相应的主帐号绑定到该设备,单击【添加】按钮提交到系统进行绑定;单击【返回】则放弃主帐号绑定
3.在主从帐号绑定页面的选择登录方式【查询】按钮
Ø用户可以选择登录到当前设备使用协议
Ø单击【添加】按钮提交到系统,单击【返回】则放弃访问方式选择
4.在主从帐号绑定页面的主机用户下拉列表框中选择当前设备上添加的从账号信息
5.单击【保存并继续添加】按钮,将选择的主帐号、设备访问方式和从账号进行绑定;单击【返回】则放弃主从帐号绑定返回设备管理页面
6.单击主从帐号绑定页面的【已绑定从账号信息】按钮,查看该设备上已经绑定主从帐号关系
7.在授权主从帐号页面单击授权主从帐号维护页面的【绑定】按钮,可以查看当前设备上还有那些没有绑定的从账号信息
Ø可以根据主机用户查询指定的从账号
Ø也可以绑定从账号到主帐号上,首先选择从账号,然后单击【选择】按钮,选择登录方式,最后单击【添加】按钮,则绑定该主帐号、从账号和登陆访问方式
3.2.7用户授权
1.选择一个设备,单击【授权】连接弹出如下图
2.在授权页面单击用户【查选】按钮
Ø选择页面左侧资源组织,页面右侧显示该组织下面的主帐号
Ø选择要绑定到该设备上的主帐号,单击【添加】按钮
3.在授权页面单击名单【查询】按钮
Ø可以搜索需要细粒度授权的黑白名单
Ø一个主帐号和一个从账号之间可以绑定多个黑名单或者多个白名单,不可以绑定黑名单和白名单
Ø单击【添加】按钮完成黑白名单选择,单击【返回】按钮取消黑白名单选择
4.根据选择主帐号和黑白名单,单击【保存并继续添加】按钮完成细粒度授权,单击【返回】按钮取消细粒度授权
5.单击【已授权细粒度】按钮,可以查看但前设备上绑定主从帐号和黑白名单关系
Ø单击某个主帐号【绑定】连接,可以添加细粒度授权
Ø单击【删除映射】按钮,可以删除当前主帐号已经绑定的细粒度授权
3.3策略管理
3.3.1密码策略
1.单击菜单【策略管理】【密码策略】
Ø可以修改密码的策略,单击【修改】连接完成密码策略的修改
Ø单击【默认值】连接,系统将密码策略回复到出厂设置
3.3.2设备访问策略
1.单击菜单【密码策略】【设备策略】【访问策略】
Ø可以通过检索条件检索已经添加的访问策略
2.单击【添加策略】连接,弹出添加访问策略页面
Ø在基本信息设备页面,可以设置访问策略名称和描述信息
Ø可以设置固定访问时间段
Ø可以设置临时访问时间段,单击【添加】按钮手动输入临时访问时间段的开始时间和结束时间
注意:
固定访问时间段和临时访问时间段设置,只对所选择的设置项起作用。
Ø设置可以访问的IP地址段的设备或者不可以访问的IP地址段这些设备
Ø当选择允许访问时,单击【添加】按钮添加的IP地址是可以访问的,IP地址之外的是不可以访问的
Ø当选择不允许访问是,单击【添加】按钮添加的IP地址是不可以访问的,IP地址之内的是不可以访问的
Ø可以添加多个IP地址段
Ø可以设置允许访问的设备或者不允许访问的设备
Ø当选择允许访问时,单击【添加】按钮,添加允许访问的设备
Ø当选择不允许访问时,单击【添加】按钮,添加的是不允许访问的设备
Ø添加访问策略页面,单击【添加】按钮
⏹选择页面左侧资源组
⏹选择页面右侧设备,单击【添加设备】连接,完成设备添加
3.3.3黑白名单维护
1.单击菜单【策略管理】【黑白名单维护】
2.添加黑白名单
Ø单击【添加】连接,弹出添加页面
Ø输入名单名称,选择名单类型是黑名单还是白名单
Ø在命令内容里面写操作命令集,然后单击【添加】按钮,添加一个操作命令
Ø单击【删除】连接,则删除添加的命令
3.4帐号管理
3.4.1页面概述
图1-3账号管理页面
功能描述:
使用账号管理功能,创建北京审计平台的登录主账号,操作步骤为首先是先添加若干组织机构,然后在组织机构里面创建审计平台登录主账号。
页面概述:
1.页面左侧系统组织资源树
2.页面右侧主工作区
3.功能有添加帐号、添加组织机构、修改组织结构、删除组织机构、查询用户帐号
3.4.2组织机构管理
3.4.2.1添加组织机构
1.在页面左侧选择跟节点,然后单击【添加组织机构】
Ø输入相应组织机构信息,单击【保存】按钮则添加一个新的组织机构;单击【取消】则放弃添加组织机构
3.4.2.2修改组织机构
1.在页面左侧选择需要修改的组织机构,然后单击【修改组织机构】
Ø在弹出页面可以修改当前组织机构的信息,单击【保存】按钮提交修改后的组织机构,单击【取消】按钮放弃组织机构的修改
3.4.2.3删除组织机构
1.在页面左侧选择需要删除的组织机构,然后单击【删除组织机构】
Ø在弹出确认对话框中,单击【确认】按钮则删除该组织机构,单击【取消】按钮则返回
3.4.3添加帐号
1.首先选择添加帐隶属于的组织机构,假设选择行为审计平台组织机构。
2.单击【添加帐号】按钮,弹出如下窗口
3.根据页面提示信息填写帐号信息
4.单击【提交】按钮,添加该帐号信息,单击【关闭】按钮则关闭当前页面;当成功添加帐号后页面显示如下
3.4.4检索账号
1.可以根据用户的ID、姓名和状态进行检索
3.4.5修改账号
1.根据[1.4.4检索账号]查询出的账号信息,进行修改
2.单击【修改】连接进入修改用户帐号信息页面
3.修改账号信息
Ø带星号是必填项
Ø单击【提交】按钮,完成账号修改提交给系统
Ø单击【关闭】按钮,取消账号修改,关闭当前页面
3.4.6删除账号
1.根据[1.4.4检索账号]查询出的账号信息,选择账号进行删除操作
2.单击【确认】按钮则删除该帐号,单击【取消】则返回
3.4.7查看账号
1.根据[1.4.4检索账号]查询出的账号信息,选择账号进行查看
2.单击【返回】则回到上一级页面
3.5平台授权
3.5.1平台授权
3.5.1.1添加授权
1.单击【添加】连接,弹出添加角色窗口
2.输入相应的角色名称、描述;选择角色状态
3.在页面的左侧选择需要管理的组织
4.在页面的右侧是具体的角色权限,首先选择某个管理权限,然后单击【选择】连接弹出该管理权限下的细分权限
5.单击【确定】按钮,则提交选择的细分权限;单击【返回】按钮,则返回添加角色页面
6.选择好相应的角色权限后,在添加角色页面单击【提交】按钮,则创建一个角色信息;单击【取消】按钮,则放弃该角色的添加
3.5.1.2修改角色
1.输入角色名称则模糊查询匹配角色信息,选择相应的角色状态,单击【搜索】连接,则系统查询满足条件的角色信息
2.在摸个需要修改的角色上,单击【修改】连接弹出修改角色信息窗口
3.可以修改角色的名称、描述和角色状态
4.可以修改角色的管理组织,并且修改相应的权限,
3.5.1.3查看角色
1.输入角色名称则模糊查询匹配角色信息,选择相应的角色状态,单击【搜索】连接,则系统查询满足条件的角色信息
2.在摸个需要修改的角色上,单击【查看】连接弹出修改角色信息窗口
3.单击【关闭】按钮,返回平台授权页面
3.5.1.4删除角色
1.输入角色名称则模糊查询匹配角色信息,选择相应的角色状态,单击【搜索】连接,则系统查询满足条件的角色信息
2.在摸个需要修改的角色上,单击【删除】连接弹出删除确认对话框
3.单击【Yes】按钮,则确认删除该角色;单击【No】按钮,则返回平台授权页面
3.5.1.5批量删除角色
4.输入角色名称则模糊查询匹配角色信息,选择相应的角色状态,单击【搜索】连接,则系统查询满足条件的角色信息
5.需要删除的角色,鼠标单击角色信息前面的单击框。
6.单击【批量删除】连接弹出删除确认对话框
7.单击【Yes】按钮,则确认删除所有选择的角色;单击【No】按钮,则返回平台授权页面
3.6单点登录
3.6.1Win主机单点登录
1.在单点登录页面,选择Win主机单点登录,单击【进入】连接,弹出单点登录窗口
2.选择相应的从账号、通信协议、工具、端口号
3.单击【登录】按钮,系统提示输入相应的密码,单击【确定】按钮,则系统开始单点登录到目标设备上
4.单击【返回】按钮,系统则返回单点登录页面
3.6.2Unix主机单点登录
1.参照【3.6.1】Win主机单点登录
3.6.3网络设备单点登录
1.参照【3.6.1】Win主机单点登录
3.7审计管理
3.7.1平台审计>操作日志审计管理
1.在平台审计>操作日志审计管理页面,输入相应的查询条件,单击【搜索】按钮,系统返回满足条件的记录在页面上显示
Ø主帐号ID,表示登录到审计平台的帐号,如果不填则查询所有主帐号
Ø组织,用户所属的组织
Ø开始时间和结束时间,用户操作的时间范围,默认当前日期、
Ø操作者IP为用户单点登录的客户端IP地址
Ø操作模块,用户操作的功能模块
Ø操作对象,用户操作的功能模块下的具体功能
Ø动作结果,操作的结果,成功或者失败
2.单击【导出】按钮,弹出文件保存对话框,选择【保存】按钮,则保存日志文件到本地系统;选择【取消】按钮,则放弃保存日志文件,返回操作日志审计管理页面
3.单击每条记录后面的【查看】连接,可以查看详细的日志内容
3.7.2平台审计>登录日志审计管理
1.在平台审计>登录日志审计管理页面,输入相应的查询条件,单击【搜索】按钮,系统返回满足条件的记录在页面上显示
Ø主帐号ID,表示登录到审计平台的帐号,如果不填则查询所有主帐号
Ø组织,用户所属的组织
Ø从账号,用户单点登录时使用的从账号
Ø开始时间和结束时间,用户单点登录的时间范围,默认当前日期、
Ø操作者IP为用户单点登录的客户端IP地址
Ø设备名称,用户单点登录的设备名称
2.单击【导出】按钮,弹出文件保存对话框,选择【保存】按钮,则保存日志文件到本地系统;选择【取消】按钮,则放弃保存日志文件,返回登录日志审计管理页面
3.单击每条记录后面的【查看】连接,可以查看详细的日志内容
3.7.3设备审计>日志审计>设备日志审计
1.在设备审计>日志审计>设备日志审计页面,输入相应的查询条件,单击【搜索】按钮,系统返回满足条件的记录在页面上显示
Ø主帐号ID,表示登录到审计平台的帐号,如果不填则查询所有主帐号
Ø所属资源组,参见【3.2.1】资源组管理
Ø源地址为用户单点登录的客户端IP地址
Ø目标地址为用户单点登录主机的IP地址
Ø设备类型,有UNIX主机、Win主机、网络设备
Ø开始时间和结束时间,审计产生日志文件的时间范围,默认当前日期
Ø输出记录条数,生成报表最大输出的记录条数,默认1000条
Ø事件是过滤当前用户操作中包含那些指令,事件的详细信息请参见【3.7.10】事件管理
Ø服务协议是审计用户使用了哪些访问协议操作目标设备
2.单击【导出】按钮,弹出导出日志审计文件保存对话框,选择【保存】按钮,则保存日志审计文件到本地系统;选择【取消】按钮,则放弃保存日志审计文件,返回操作日志审计窗口
3.单击每条记录后面的【详细】连接,可以查看在此次会话中操作的命令
4.单击每条记录后面的【文件】连接,可以查看在此次会
升级会员 