北京移动合作类行为审计系统用户操作手册.docx

1、北京移动合作类行为审计系统用户操作手册目 录第1章 概述 1-11.1 系统开发背景 1-11.2 范围 1-11.3 定义、缩写词 1-11.4 用户 1-21.5 功能概述 1-2第2章 系统运行环境 2-32.1 客户端环境说明 2-32.1.1 浏览器设置： 2-32.1.2 客户端工具的安装： 2-52.2 登录系统 2-6第3章 界面操作 3-73.1 系统首页 3-73.1.1 页面概述 3-73.1.2 系统管理员admin主要操作步骤 3-83.2 设备管理 3-83.2.1 资源组管理 3-93.2.2 添加UNIX设备 3-103.2.3 添加Win设备 3-113.2.

2、4 添加网络设备 3-113.2.5 添加帐号 3-113.2.6 主从帐号绑定 3-123.2.7 用户授权 3-143.3 策略管理 3-173.3.1 密码策略 3-173.3.2 设备访问策略 3-173.3.3 黑白名单维护 3-213.4 帐号管理 3-223.4.1 页面概述 3-223.4.2 组织机构管理 3-233.4.3 添加帐号 3-233.4.4 检索账号 3-243.4.5 修改账号 3-253.4.6 删除账号 3-253.4.7 查看账号 3-263.5 平台授权 3-263.5.1 平台授权 3-263.6 单点登录 3-303.6.1 Win主机单点登录 3

3、-303.6.2 Unix主机单点登录 3-303.6.3 网络设备单点登录 3-313.7 审计管理 3-313.7.1 平台审计操作日志审计管理 3-313.7.2 平台审计登录日志审计管理 3-323.7.3 设备审计日志审计设备日志审计 3-333.7.4 设备审计日志审计数据库日志审计 3-343.7.5 设备审计日志分析数据库日志分析 3-353.7.6 设备审计审计告警告警策略管理 3-363.7.7 设备审计审计告警告警日志查询 3-383.7.8 设备审计审计报表会话报表 3-393.7.9 设备审计审计报表事件报表 3-393.7.10 设备审计审计报表用户访问报表 3-3

4、93.7.11 设备审计审计报表导出报表 3-403.7.12 设备审计定时任务 3-413.7.13 设备审计事件管理 3-423.8 权限申请 3-433.8.1 权限模板管理 3-433.8.2 权限审批 3-453.8.3 权限申请 3-463.9 系统管理 3-473.9.1 系统监控 3-473.9.2 备份数据管理 3-483.9.3 修改密码 3-483.9.4 修改VPN密码 3-483.9.5 VPN账号管理 3-493.10 软件下载 3-493.11 退出 3-50附录VPN客户端设置 3-50一VPN连接配置： 3-50二修改注册表： 3-59第1章 概述1.1 系统

5、开发背景 依据移动集团公司下发的中国移动管理信息系统部4A技术规范，并针对北京移动公司管理信息系统各应用管控的迫切性，加强IDC运营管理系统及托管用户的安全管理。保障IDC的运营安全，为客户提供服务器行为审计增值服务和打造高品质的IDC安全服务环境。1.2 范围本手册大致可分为六个部分： 系统开发背景目的、系统相关名词概念； 系统整体功能概述、 系统运行环境等； 系统的详细功能介绍及各功能的使用步骤；1.3 定义、缩写词主账号4A系统本身的用户账号从账号4A系统外的设备账号单点登录系统管理人员通过系统直接登录到接入设备系统上告警对操作人员产生的日志进行管理处理，达到告警阀置的发送告警短信给管理

6、员，本系统对产生告警的帐号进行管理策略报表定时任务用户可以配置自动生成报表，系统定时自动生成报表访问策略对访问的接入设备进行访问限制，包括：访问时间段、IP地址等。细粒度授权对访问的接入设备时可以执行的命令和不可以执行的命令进行细粒度的授权黑名单绑定到主帐号和设备上，不允许操作人员使用命令的集合白名单绑定到主帐号和设备上，允许操作人员使用命令的集合服务协议一般指登录到设备时，使用的协议有SSH、Telnet、Ftp、sftp、rdp，对于数据则是PL/SQL会话日志用户进行一次单点登录，审计平台记录一次会话事件日志用户进行一次单点登录后的每次操作称为一个事件1.4 用户本文档针对北京移动合作类

7、行为审计平台的最终用户。 要求使用者对系统的缩略词及基本的原理有一个了解。 要求用户能够熟练使用Windows系统IE功能。1.5 功能概述系统操作人员主要分为四种角色进行系统管理，包括安全管理员、系统管理员 安全管理员主要功能是日志审计，包括如下细分功能 日志分析：对系统采集的日志进行分析，包括会话日志、事件日志 告警管理：对操作人员产生的日志进行管理监控，达到告警阀置的发送告警短信给管理员 审计报表：根据用户灵活选择条件，本系统产生相应的报表 报表定时任务：用户可以配置自动生成报表，系统定时自动生成报表 系统管理员主要功能是系统接入，包括如下细分功能 设备管理 ：对Unix、Wind主机和

8、网络设备进行进行管理 帐号管理：对接入的设备帐号进行管理 授权管理：将审计平台主帐号主帐号和接入设备的从帐号进行授权 单点登录：系统管理人员通过4A系统直接登录到接入设备系统上 访问策略管理：对访问的接入设备进行访问限制，包括：访问时间段、访问次数、IP地址段 细粒度授权：对访问的接入设备时可以执行的命令和不可以执行的命令进行细粒度的授权第2章 系统运行环境2.1 客户端环境说明 主频1G以上CPU； 1G以上内存； Microsoft Windows 9XNTXP操作系统； Internet Explorer7.0以上的浏览器，推荐使用IE8；2.1.1 浏览器设置： 将系统的访问地址加入到

9、浏览器的可信站点中 在Internet选项-安全-可信站点-自定义级别中，启用“对未标记为可安全执行的ActiveX控件初始化并执行脚本”选项 请将http:/192.168.161.177 http:/192.168.161.178 http:/192.168.161.179 3个地址添加可信站点。添加时要注意两点，1、不勾选“对该区域中的所有站点要求服务器验证（https:）”.2、添加的地址如：http:/192.168.161.177 协议类型是http不是https2.1.2 客户端工具的安装：当用户登录系统后，在系统的菜单栏后面有“下载软件”连接 JRE1.6是其他工具运行的支持环

10、境，如只有安装了JRE1.6后，FTP客户端和视频播放软件才可用。 代填程序是用户进行单点登录操作必须安装的软件，可将用户的登录信息自动代填到登录工具中。安装代填程序时，请先关闭浏览器。 SecureCRT，SSHSecureShell，Putty是用户进行设备进行命令行操作的工具。 FTP客户端是用户对某些开通FTP服务的设备进行FTP上传或下载操作使用的工具。 视频播放工具是审计人员进行审计时，用于播放用户操作信息的视频软件。2.2 登录系统从任一台满足客户端环境说明并接入审计系统网络的计算机上均可访问系统。打开IE浏览器，输入行为审计平台服务器网址，系统显示审计平台登录界面，如下图：步骤

11、1： 北京移动合作类行为审计平台部署完成后，打开浏览器输入访问地址，http:/192.168.161.179:8080/audit进入图1-1所示登录页面。步骤2： 在帐号和密码输入框中分别输入帐号和密码。步骤3： 单击【获取】按钮，等待系统发送的短信验证码，然后填入动态短信码框中。步骤4： 点击【确定】按钮，等待进入系统。第3章 界面操作3.1 系统首页3.1.1 页面概述1. 首页面为主机管理页面，用户可以登录到相应的设备上。 2. 左上角为本系统名称与logo图片。 3. 系统菜单区，点击菜单项可以打开菜单，点击子菜单，可以进入需要操作的页面。4. 中间为系统主页面区，用于展示各功能页

12、面。 系统LOGO与信息系统主页面系统菜单图1-2 系统首页3.1.2 系统管理员admin主要操作步骤 1. 首先使用系统管理员账号登录到系统，在设备管理页面添加设备资源组和添加相关设备2. 系统管理员在账号管理页面创建用户所属的组织机构，组织机构与资源组对应。3. 通过平台授权功能，创建系统角色，角色中可以包括用户可以管理的角色和用户可以使用的审计系统功能。4. 在账号管理功能中创建属于某组织账号，系统管理员主要创建各应用系统的应用管理员账号，各应用下的账号可以由应用管理员来创建维护，账号创建后可以为创建的账号分配在“系统授权”中创建的角色。系统管理员为各应用管理员授权后，应用管理员只能为

13、其所管理的用户分配自身所有的角色信息。3.2 设备管理 该页面可以对设备进行统一的管理，如资源组管理、UNIX设备管理、Win设备管理、网络设备管理 该页面可以对设备额进行绑定，可以绑定该设备可以访问的账号、设备的登录方式、限制设备上可使用的帐号、细粒度授权包括黑名单和白名单3.2.1 资源组管理3.2.1.1添加资源组1. 在设备管理页面的左侧资源组，鼠标右键单击页面左侧资源组，页面弹出菜单，选择添加资源组，弹出如下图2. 输入新建资源组的名称，选择确定则添加到资源组下面；选择取消则放弃资源组添加回到设备管理页面3.2.1.2修改资源组1. 在设备管理页面的左侧资源组，鼠标右键单击页面左侧资

14、源组下面需要修改的资源名称，页面弹出菜单，选择资源组重命名弹出如下图2. 输入修改资源组的名称，选择确定则修改现有资源组名称；选择取消则放弃修改资源组回到设备管理页面3.2.1.3删除资源组1. 鼠标右键单击页面左侧资源组下面需要删除的资源组名称，页面弹出菜单，选择资源组删除2. 选择确定则删除现有的资源组；选择取消则放弃删除资源组回到设备管理页面3.2.2 添加UNIX设备3.2.2.1添加UNIX设备1. 首先选择一个资源组，然后在其资源组里面添加设备，弹出如下窗口2. 输入相应的设备信息，选择添加则保存到北京审计系统；选择返回则放弃添加设备3.2.2.2查询UNIX设备1. 输入查询条件

15、，单击【搜索】2. 系统将返回查询出符合条件的设备3.2.2.3删除UNIX设备1. 首先选择资源组2. 选择要删除的设备3. 单击【删除设备】，选择确认则删除设备；选择取消则放弃删除设备3.2.3 添加Win设备请参照【1.2.2】添加UNIX设备3.2.4 添加网络设备请参照【1.2.2】添加UNIX设备3.2.5 添加帐号1. 选择一个设备，单击【帐号】连接弹出添加从账号页面2. 单击【添加帐号】按钮，弹出添加帐号页面，输入该设备已存在的帐号，单击【添加】按钮完成从账号添加；单击【返回】按钮则放弃添加从账号3.2.6 主从帐号绑定1. 选择一个设备，单击【绑定】连接弹出如下图2. 在主从

16、帐号绑定页面的选择用户【查询】按钮 在页面左侧选择设备资源组，页面右侧显示该资源组下面的主帐号 点选相应的主帐号绑定到该设备，单击【添加】按钮提交到系统进行绑定；单击【返回】则放弃主帐号绑定3. 在主从帐号绑定页面的选择登录方式【查询】按钮 用户可以选择登录到当前设备使用协议 单击【添加】按钮提交到系统，单击【返回】则放弃访问方式选择4. 在主从帐号绑定页面的主机用户下拉列表框中选择当前设备上添加的从账号信息5. 单击【保存并继续添加】按钮，将选择的主帐号、设备访问方式和从账号进行绑定；单击【返回】则放弃主从帐号绑定返回设备管理页面6. 单击主从帐号绑定页面的【已绑定从账号信息】按钮，查看该设

17、备上已经绑定主从帐号关系7. 在授权主从帐号页面单击授权主从帐号维护页面的【绑定】按钮，可以查看当前设备上还有那些没有绑定的从账号信息 可以根据主机用户查询指定的从账号 也可以绑定从账号到主帐号上，首先选择从账号，然后单击【选择】按钮，选择登录方式，最后单击【添加】按钮，则绑定该主帐号、从账号和登陆访问方式3.2.7 用户授权1. 选择一个设备，单击【授权】连接弹出如下图2. 在授权页面单击用户【查选】按钮 选择页面左侧资源组织，页面右侧显示该组织下面的主帐号 选择要绑定到该设备上的主帐号，单击【添加】按钮3. 在授权页面单击名单【查询】按钮 可以搜索需要细粒度授权的黑白名单 一个主帐号和一个

18、从账号之间可以绑定多个黑名单或者多个白名单，不可以绑定黑名单和白名单 单击【添加】按钮完成黑白名单选择，单击【返回】按钮取消黑白名单选择4. 根据选择主帐号和黑白名单，单击【保存并继续添加】按钮完成细粒度授权，单击【返回】按钮取消细粒度授权5. 单击【已授权细粒度】按钮，可以查看但前设备上绑定主从帐号和黑白名单关系 单击某个主帐号【绑定】连接，可以添加细粒度授权 单击【删除映射】按钮，可以删除当前主帐号已经绑定的细粒度授权3.3 策略管理3.3.1 密码策略1. 单击菜单【策略管理】【密码策略】 可以修改密码的策略，单击【修改】连接完成密码策略的修改 单击【默认值】连接，系统将密码策略回复到出

19、厂设置3.3.2 设备访问策略1. 单击菜单【密码策略】【设备策略】【访问策略】 可以通过检索条件检索已经添加的访问策略2. 单击【添加策略】连接，弹出添加访问策略页面 在基本信息设备页面，可以设置访问策略名称和描述信息 可以设置固定访问时间段 可以设置临时访问时间段，单击【添加】按钮手动输入临时访问时间段的开始时间和结束时间注意：固定访问时间段和临时访问时间段设置，只对所选择的设置项起作用。 设置可以访问的IP地址段的设备或者不可以访问的IP地址段这些设备 当选择允许访问时，单击【添加】按钮添加的IP地址是可以访问的，IP地址之外的是不可以访问的 当选择不允许访问是，单击【添加】按钮添加的I

20、P地址是不可以访问的，IP地址之内的是不可以访问的 可以添加多个IP地址段 可以设置允许访问的设备或者不允许访问的设备 当选择允许访问时，单击【添加】按钮，添加允许访问的设备 当选择不允许访问时，单击【添加】按钮，添加的是不允许访问的设备 添加访问策略页面，单击【添加】按钮 选择页面左侧资源组 选择页面右侧设备，单击【添加设备】连接，完成设备添加3.3.3 黑白名单维护1. 单击菜单【策略管理】【黑白名单维护】2. 添加黑白名单 单击【添加】连接，弹出添加页面 输入名单名称，选择名单类型是黑名单还是白名单 在命令内容里面写操作命令集，然后单击【添加】按钮，添加一个操作命令 单击【删除】连接，则

21、删除添加的命令3.4 帐号管理3.4.1 页面概述图1-3 账号管理页面功能描述：使用账号管理功能，创建北京审计平台的登录主账号，操作步骤为首先是先添加若干组织机构，然后在组织机构里面创建审计平台登录主账号。页面概述：1. 页面左侧系统组织资源树2. 页面右侧主工作区3. 功能有添加帐号、添加组织机构、修改组织结构、删除组织机构、查询用户帐号3.4.2 组织机构管理3.4.2.1添加组织机构1. 在页面左侧选择跟节点，然后单击【添加组织机构】 输入相应组织机构信息，单击【保存】按钮则添加一个新的组织机构；单击【取消】则放弃添加组织机构3.4.2.2修改组织机构1. 在页面左侧选择需要修改的组织

22、机构，然后单击【修改组织机构】 在弹出页面可以修改当前组织机构的信息，单击【保存】按钮提交修改后的组织机构，单击【取消】按钮放弃组织机构的修改3.4.2.3删除组织机构1. 在页面左侧选择需要删除的组织机构，然后单击【删除组织机构】 在弹出确认对话框中，单击【确认】按钮则删除该组织机构，单击【取消】按钮则返回3.4.3 添加帐号1. 首先选择添加帐隶属于的组织机构，假设选择行为审计平台组织机构。2. 单击【添加帐号】按钮，弹出如下窗口3. 根据页面提示信息填写帐号信息4. 单击【提交】按钮，添加该帐号信息，单击【关闭】按钮则关闭当前页面；当成功添加帐号后页面显示如下3.4.4 检索账号1. 可

23、以根据用户的ID、姓名和状态进行检索3.4.5 修改账号1. 根据1.4.4检索账号查询出的账号信息，进行修改2. 单击【修改】连接进入修改用户帐号信息页面3. 修改账号信息 带星号是必填项 单击【提交】按钮，完成账号修改提交给系统 单击【关闭】按钮，取消账号修改，关闭当前页面3.4.6 删除账号1. 根据1.4.4检索账号查询出的账号信息，选择账号进行删除操作2. 单击【确认】按钮则删除该帐号，单击【取消】则返回3.4.7 查看账号1. 根据1.4.4检索账号查询出的账号信息，选择账号进行查看2. 单击【返回】则回到上一级页面3.5 平台授权3.5.1 平台授权3.5.1.1添加授权1. 单

24、击【添加】连接，弹出添加角色窗口2. 输入相应的角色名称、描述；选择角色状态3. 在页面的左侧选择需要管理的组织4. 在页面的右侧是具体的角色权限，首先选择某个管理权限，然后单击【选择】连接弹出该管理权限下的细分权限5. 单击【确定】按钮，则提交选择的细分权限；单击【返回】按钮，则返回添加角色页面6. 选择好相应的角色权限后，在添加角色页面单击【提交】按钮，则创建一个角色信息；单击【取消】按钮，则放弃该角色的添加3.5.1.2修改角色1. 输入角色名称则模糊查询匹配角色信息，选择相应的角色状态，单击【搜索】连接，则系统查询满足条件的角色信息2. 在摸个需要修改的角色上，单击【修改】连接弹出修改

25、角色信息窗口3. 可以修改角色的名称、描述和角色状态4. 可以修改角色的管理组织，并且修改相应的权限，3.5.1.3查看角色1. 输入角色名称则模糊查询匹配角色信息，选择相应的角色状态，单击【搜索】连接，则系统查询满足条件的角色信息2. 在摸个需要修改的角色上，单击【查看】连接弹出修改角色信息窗口3. 单击【关闭】按钮，返回平台授权页面3.5.1.4删除角色1. 输入角色名称则模糊查询匹配角色信息，选择相应的角色状态，单击【搜索】连接，则系统查询满足条件的角色信息2. 在摸个需要修改的角色上，单击【删除】连接弹出删除确认对话框3. 单击【Yes】按钮，则确认删除该角色；单击【No】按钮，则返回

26、平台授权页面3.5.1.5批量删除角色4. 输入角色名称则模糊查询匹配角色信息，选择相应的角色状态，单击【搜索】连接，则系统查询满足条件的角色信息5. 需要删除的角色，鼠标单击角色信息前面的单击框。6. 单击【批量删除】连接弹出删除确认对话框7. 单击【Yes】按钮，则确认删除所有选择的角色；单击【No】按钮，则返回平台授权页面3.6 单点登录3.6.1 Win主机单点登录1. 在单点登录页面，选择Win主机单点登录，单击【进入】连接，弹出单点登录窗口2. 选择相应的从账号、通信协议、工具、端口号3. 单击【登录】按钮，系统提示输入相应的密码，单击【确定】按钮，则系统开始单点登录到目标设备上4

27、. 单击【返回】按钮，系统则返回单点登录页面3.6.2 Unix主机单点登录1. 参照【3.6.1】Win主机单点登录3.6.3 网络设备单点登录1. 参照【3.6.1】Win主机单点登录3.7 审计管理3.7.1 平台审计操作日志审计管理1. 在平台审计操作日志审计管理页面，输入相应的查询条件，单击【搜索】按钮，系统返回满足条件的记录在页面上显示 主帐号ID，表示登录到审计平台的帐号，如果不填则查询所有主帐号 组织，用户所属的组织 开始时间和结束时间，用户操作的时间范围，默认当前日期、 操作者IP为用户单点登录的客户端IP地址 操作模块，用户操作的功能模块 操作对象，用户操作的功能模块下的具

28、体功能 动作结果，操作的结果，成功或者失败2. 单击【导出】按钮，弹出文件保存对话框，选择【保存】按钮，则保存日志文件到本地系统；选择【取消】按钮，则放弃保存日志文件，返回操作日志审计管理页面3. 单击每条记录后面的【查看】连接，可以查看详细的日志内容3.7.2 平台审计登录日志审计管理1. 在平台审计登录日志审计管理页面，输入相应的查询条件，单击【搜索】按钮，系统返回满足条件的记录在页面上显示 主帐号ID，表示登录到审计平台的帐号，如果不填则查询所有主帐号 组织，用户所属的组织 从账号，用户单点登录时使用的从账号 开始时间和结束时间，用户单点登录的时间范围，默认当前日期、 操作者IP为用户单

29、点登录的客户端IP地址 设备名称，用户单点登录的设备名称2. 单击【导出】按钮，弹出文件保存对话框，选择【保存】按钮，则保存日志文件到本地系统；选择【取消】按钮，则放弃保存日志文件，返回登录日志审计管理页面3. 单击每条记录后面的【查看】连接，可以查看详细的日志内容3.7.3 设备审计日志审计设备日志审计1. 在设备审计日志审计设备日志审计页面，输入相应的查询条件，单击【搜索】按钮，系统返回满足条件的记录在页面上显示 主帐号ID，表示登录到审计平台的帐号，如果不填则查询所有主帐号 所属资源组，参见【3.2.1】资源组管理 源地址为用户单点登录的客户端IP地址 目标地址为用户单点登录主机的IP地址 设备类型，有UNIX主机、Win主机、网络设备 开始时间和结束时间，审计产生日志文件的时间范围，默认当前日期 输出记录条数，生成报表最大输出的记录条数，默认1000条 事件是过滤当前用户操作中包含那些指令，事件的详细信息请参见【3.7.10】事件管理 服务协议是审计用户使用了哪些访问协议操作目标设备2. 单击【导出】按钮，弹出导出日志审计文件保存对话框，选择【保存】按钮，则保存日志审计文件到本地系统；选择【取消】按钮，则放弃保存日志审计文件，返回操作日志审计窗口3. 单击每条记录后面的【详细】连接，可以查看在此次会话中操作的命令4. 单击每条记录后面的【文件】连接，可以查看在此次会