天玥网络安全审计系统v6 0-运维安全管控系统-管理员使用手册-357系列-v1 0-20160118更新

1、2016适用范围：内部管理员使用手册天玥网络安全审计系统 V6.0运维安全管控系统适用范围：天玥 OSM 系列精细控制合规审计北京启明星辰信息安全技术 目录 概述4 1 1.1 1.2 关于本手册4 格式约定4 2 管理员登录5 2.1 2.2 用户权限5 管理员登录6 3 系统账号管理员9 3.1 3.2 系统账号管理9 认证方式10 格尔认证10 认证方式设置12 策略13 3.2.1 3.2.2 3.3 4 系统审计员14 4.1 4.2 日志查询14 审计报表14 5 系统管理员15 5.1 用户管理15 添加用户15 用户其它操作18 用户组织机构19 资源管理19 添加资源19 主

2、机其它操作23 资源组25 资源分类25 资源系统类型26 资源 AD 域27 策略管理28 访问策略28 命令策略30 集合设定32 工单管理34 审计管理36 实时监控36 日志查询38 审计报表40 管理44 自动改密计划44 自动改密结果45 5.1.1 5.1.2 5.1.3 5.2 5.2.1 5.2.2 5.2.3 5.2.4 5.2.5 5.2.6 5.3 5.3.1 5.3.2 5.3.3 5.4 5.5 5.5.1 5.5.2 5.5.3 5.6 5.6.1 5.6.2 5.6.3 5.6.4 下载列表46 手动改密47 系统管理47 5.7 5.7.1 5.7.2 5.7

3、.3 5.7.4 5.7.5 5.7.6 业务管理员47 系统信息48 系统选项50 接口配置54 设备管理57 应用发布59 天玥网络安全审计系统 V6.0-运维安全管控系统概述11.1 关于本手册天玥网络安全审计系统 V6.0 - 统一业务访问控制系统（OSM 系列）（以下简称天玥 OSM），是启明星辰综合内控系列产品之一。 天玥 OSM 是针对业务环境下的用户运维操作进行控制和审计的合规性管控系统。它通过对自然人身份以及资源、资源账号的集中管理建立“自然人资源资源账号”对应关系，实现自然人对资源的统一授权，同时，对授权人员的运维操作进行记录、分析、展现，以帮助内控工作事前规划预防、事中实

4、时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部业务操作行为监管、避免核心资产（服务器、网络设备、安全设备等）损失、保障业务系统的正常运营。 本手册详细介绍了天玥 OSM 包括用户管理、资源管理、策略管理、审计管理管理、系统管理各功能模块的使用方法，用户可参考本手册，对天玥 OSM 进行各种运维管理和审计管理。 1.2 格式约定本文中所有图例均为实际拍摄或屏幕截取菜单名称和按钮名称的表示方法：【菜单名称】，【按钮名称】图标表示的含义：系统管理、配置的重要说明、提示信息。：相关功能配置的举例说明信息；4 / 61天玥网络安全审计系统 V6.0-运维安全管控系统2管理员登录2.1 用户权

5、限天玥 OSM V489 以前版本，各种类型账号的权限范围如下： 备注：(V331 版本的超级管理员账号是在初始化过程中创建的) 天玥OSM V489 版本，系统自带三种类型系统级管理员：sysuseradmin、sysauditor和 sysadmin，各种类型账号的权限范围如下：5 / 61账号类型 权限范围 默认账号/ 系统账号管理员 系统账号管理（系统审计员、系统管理员的创建和管理）；认证方式管理；策略 sysuseradmin/ sua_password$123 系统审计员 查询系统管理日志；查询所有用户登录日志；系统管理报表 sysaudi

6、tor/ sa_password$123 系统管理员 运维用户管理；业务管理员管理；资源管理；策略管理；工单管理；实时监控；查询运维日志、查询运维用户登录日志和查询业务管理日志；审计和业务管理sysadmin/ password$123 账号类型 权限范围 默认账号/ 超级管理员 运维用户管理；普通管理员管理；资源管理；策略管理；工单管理；实时监控；查询各种类型日志；报表管理；从账号改密；系统升级；配置数据备份；电源管理；高可用性；网络配置；时间设置；Web 运维相关设置；接口配置；应用发布管理 admin/ password$123 普通管理员 运维用户管理；普通管理员管理；资源管理；策略管

7、理；工单管理；实时监控；查询各种类型日志；报表管理；从账号改密；系统升级；配置数据备份；电源管理；高可用性；网络配置；时间设置；Web 运维相关设置；接口配置；应用发布管理 由超级管理员创建， 权限由超级管理员分配 普通用户（运维账号） 运维操作 由管理员创建 天玥网络安全审计系统 V6.0-运维安全管控系统password$123 2.2 管理员登录打开浏览器，输入 https:/OSM-Server 的管理 IP 地址，如图 2.2.1 所示：日。图 2.2.1 登录界面用户登录认证分为：单因素认证登录和双因素认证登录。单因素认证包括静态账号认证、LDAP 认证、windowsAD 认证和

8、 Radius 认证；双因素认证的一级认证包括静态账号密6 / 61报表；从账号改密；系统升级；配置数据备份；电源管理；高可用性；网络配置；时间设置；Web 运维相关设置；接口配置；应用发布管理 业务管理员 运维用户管理；资源管理；策略管理；工单管理；实时监控；查询运维日志、查询运维用户登录日志和查询业务管理日志；审计和业务管理报表；从账号改密 由系统管理员创建 普通用户（运维账号） 运维操作 由系统管理员或业务管理员创建 天玥网络安全审计系统 V6.0-运维安全管控系统码认证、LDAP 认证、windowsAD 认证和 Radius 认证中的任意一种，二级认证包括动态口令卡、USB 令牌、吉

9、大正元电子证书认证、短信、LDAP 认证、windowsAD 认证和 Radius 认证中的任意一种（注意：一级和二级认证方式不能有相同的认证方式）。 系统账号管理员对认证方式进行添加并对系统管理员和系统审计的认证方式进行设置。 用户名登录：输入用户名、即可登录（包括静态账号认证、LDAP 认证、windowsAD 认证和 Radius 认证）。 USB 令牌认证登录：用户需要在运维客户机上插上管理员为用户颁发的 USB 令牌，输入用户名、后，点击“登录”，会提示进行 USB 令牌认证，输入管理员为此用户设置的令牌，即可登录运维界面，如图 2.2.2 所示 图 2.2.2 用户登录-USB 令

10、牌认证和验证码（当天玥 OSM 系统为 v972 及以上版本时，验输入管理员用户名、证码可以在管理界面设置取消）即可登录管理界面。动态口令卡认证登录：管理员为用户提供账号和对应的动态口令卡，用户在输入用户名、后，点击“登录”，会提示进行动态口令卡认证，用户输入登录账号对应的动态口令卡上获取的动态，即可登录成功，如图 2.2.3 所示： 7 / 61天玥网络安全审计系统 V6.0-运维安全管控系统图 2.2.3 用户登录-动态口令卡认证吉大正元电子证书认证登录：用户在输入用户名、后，点击“登录”，会提示进行吉大正元电子证书认证，证书认证成功后即可登录成功，如图 2.2.4 所示：

11、图 2.2.4 用户登录-吉大正元电子证书认证8 / 61操作说明：1、 天玥 OSM 支持浏览器进行访问，用户可以通过 Internet Explorer8 以上的天玥网络安全审计系统 V6.0-运维安全管控系统3系统账号管理员3.1 系统账号管理系统版本为 v489 及以后版本时，使用系统账号管理员（sysuseradmin）登录，可添加系统审计员和系统管理员（如图 3.1.1），使用系统管理员（sysadmin）可添加业务管理员。图 3.1.1 添加系统审计员和系统管理员系统版本为 v489 以前版本时，使用超级管理员登录可添加普通管理员，选择【系统管理】【权

12、限管理】【管理员】，如图 3.1.2 所示：图 3.1.2 超级管理员操作界面9 / 61版本、谷歌浏览器和火狐浏览器进行登录访问；2、 用户登陆界面提供“下载工具”通道，包括环境检测助手、JRE 软件下载、证书下载、用户手册和审计播放器下载，点击将进入相应的下载界面。天玥网络安全审计系统 V6.0-运维安全管控系统3.2 认证方式3.2.1格尔认证支持格尔安全网关传递 cookie 形式的数字证书认证（具体实现方式请参见格尔公司提供的“格尔安全认证网关的 Web 系统开发规范”）。系统版本为 v489 及以后版本时，使用系统账号管理员登录，进入【格尔认证】界面，勾选“启用”格尔

13、认证，认证网关 URL 地址根据实际环境从格尔厂商处获取，如图 所示进行设置（https:/格尔 IP:端口/ops/index.php）。需要设置为通过格尔数字证书认证登录的主账号，在主账号属性中的“格尔认证标识”栏输入格尔数字证书主题 CN 项值（如图 所示）。如管理员也需要设置为格尔数字证书认证登录，那么在管理员的属性中的“格尔认证标识”栏也需要输入与登录用户对应的格尔数字证书主题 CN 项值（提供给格尔网关系统配置的天玥审计系统的 URL 地址是：http:/天玥 OSM 的 IP，端口：80，编码：UTF-8）。按照以上说明设置好后，在登录页面可以看到“

14、数字证书登录”选项（如图 所示），提前准备好需要用于登录的格尔数字证书，选择“数字证书登录”时会提示选择提前准备的证书（如图 所示），选择对应的证书，此时格尔安全网关会传递认证信息到天玥网络安全审计系统，天玥网络安全审计系统认证通过后就进入到使用界面。图 格尔认证设置 110 / 61天玥网络安全审计系统 V6.0-运维安全管控系统图 格尔认证设置 2图 格尔认证登录11 / 61天玥网络安全审计系统 V6.0-运维安全管控系统图 格尔认证-选择数字证书3.2.2认证方式设置使用系统账号管理员登录，

15、在【认证方式】选项可添加认证方式（如图 所示）：Radius、LDAP、WindowsAD 域、短信和吉大正元电子证书认证。除了账号、USB 令牌和动态口令卡外，如果需要使用其它认证方式都需要使用系统账号管理员在认证方式中添加后，才能在账号属性中进行设置。 图 配置认证方式添加吉大正元认证方式时，配置界面中 IP 地址设置为吉大正元服务器 IP，端口为吉大正元服务器端口，颁发者主题由吉大正元提供，客户端 IP 为堡垒机 IP。12 / 61天玥网络安全审计系统 V6.0-运维安全管控系统图 吉大正元认证方式3.3策略系统版本为 v48

16、9 及以上版本时，使用系统账号管理员，在策略界面可配置天玥 OSM 所有登录账号的策略，如图 3.3.1 所示。系统版本为 v489 以前版本时，使用超级管理员或具有管理权限的管理员登录系统，在【管理】【策略】中可配置与相关的安全策略。13 / 61操作说明：1、 系统支持账号认证和其它认证方式；不同的账号可在账号属性中设置不同的认证方式，支持双因素认证；2、 系统默认通过系统自身的账号进行身份认证；3、 Radius：通过 Radius 协议由第三方认证服务器对系统用户进行身份认证；4、 LDAP：通过轻量级目录访问协议由第三方认证服务器对系统用户进行身份认证；5、 Windo

17、wsAD 域：通过第三方 Windows AD 域服务器对系统用户进行身份认证。天玥网络安全审计系统 V6.0-运维安全管控系统图 3.3.1策略配置最小长度：限定所有天玥 OSM 账户的最小长度复杂度：勾选可设置必须包含大小写字母、数字或符号周期：若启用，可设置过期时间和提醒时间，默认为 90 天过期历史对比：若启用，可设置对比次数，默认为 3 次登录锁定：若启用，在规定的时间内输入错误超过设置的次数，则将帐号锁定，并设置自动解锁时间4系统审计员系统审计员具有：查询系统管理日志、查询所有账号登录日志和生成系统管理报表的功能。4.1 日志查询使用系统审计员账号登录，在日志查询界面可查询系统管理

18、日志和查询所有账号登录日志，如图 4.1.1 所示：图 4.1.1 系统审计员-日志查询4.2 审计报表使用系统审计员账号登录，在审计报表界面可生成系统日志相关的报表，如图 4.2.1所示： 14 / 61天玥网络安全审计系统 V6.0-运维安全管控系统图 4.2.1 系统审计员-报表文件5系统管理员5.1 用户管理5.1.1添加用户选择导航条上【用户管理】，查看当前用户列表，并可执行【添加】操作；如图 所示： 图 添加用户-基础信息1、 导航至【用户管理】，可在用户列表界面查看到用户名称、状态、组织机构、真实姓名、主机、邮箱等信息。2、 点击【添加】进入用户属性

19、编辑界面，输入用户基础信息用户名：用户名支持 1 至 20 位英文字母、数字、下划线、中划线、小数点输入；此项为必填项启用/禁用：更改用户账号的启停状态；新账号默认状态为启用：设置可选择手工输入或由系统随机生成；可设置不能修改、密15 / 61天玥网络安全审计系统 V6.0-运维安全管控系统码永不过期或下次登录必须更改真实姓名；输入用户真实姓名；姓名支持中英名字母输入；此项为必填项手机：输入用户手机号码；此类信息为可选择输入项邮箱：输入用户邮箱地址；此类信息为可选择输入项证件号码：启用吉大正元认证方式时，需要根据实际情况填写此项开始时间&结束时间：指定用户登录的时间范围；此类信息为可选择输入项

20、登录限制：包括客户端 IP 地址或所在网段（网段的格式例如：/24）和MAC 地址（MAC 地址的输入格式例如：00-1F-16-29-F1-15）的限制备注：可在此对该用户进行描述；此项为可选择输入项3、 认证方式认证方式包括一级认证和二级认证，一级认证包括静态账号认证、LDAP 认证、windowsAD 认证和 Radius 认证中的任意一种，二级认证包括动态口令卡、USB 令牌、吉大正元电子证书认证、短信、LDAP 认证、windowsAD 认证和 Radius 认证中的任意一种。USB 令牌认证：根据需要选择运维用户登录时是否使用 USB 令牌认证（需要插上已通过

21、令牌重置工具初始化的 USB 令牌），如图 3.2 所示令牌状态：显示令牌状态令牌：用于此运维用户登录进行令牌认证时下载令牌重置工具：令牌重置工具用于重新初始化已与用户绑定的 USB 令牌，重新初始化后的 USB 令牌可以再次与需要令牌认证的用户进行绑定图 添加用户-USB 令牌认证动态口令卡认证：需要配置动态口令卡密钥（每个动态口令卡出厂就对应有一个唯16 / 61天玥网络安全审计系统 V6.0-运维安全管控系统一的密钥，可通过动态口令卡背面的 13 位数字的条形码去查询对应的密钥，如有购买动态口令卡，设备出厂时也会一并提供动态口令卡对应的密钥信息）。图 添加

22、用户-动态口令卡认证吉大正元认证：需要在账号的基础信息中根据实际情况配置证件号码图 吉大正元认证-配置证件号码4、 应用工具限制用于有应用发布功能时，可选择限制运维用户使用运维工具的种类，被限制使用的应用工具在对应账号的运维界面不会显示（如图 所示）。17 / 61天玥网络安全审计系统 V6.0-运维安全管控系统图 添加用户-应用工具限制5、 点击【确定】完成用户账号添加。5.1.2用户其它操作选择导航条上【用户管理】，查看当前用户列表；如图 所示：图 用户列表删除：从用户列表中勾选需要删除的用户，点击【删除】可从

23、系统中删除该运维用户启用：从用户列表中勾选需要禁用的用户，点击【禁用】可将此用户禁用18 / 61重要说明：1、 手机输入需符合手机号码位长及格式要求；Email 信息输入需要符合邮件格式要求；2、设置需要符合管理策略中已定义的长度及复杂度要求；3、 启用账号有效期后，过期账号将会自动锁定。天玥网络安全审计系统 V6.0-运维安全管控系统禁用：从用户列表中勾选需要启用的用户，点击【启用】可将此用户启用移动：从用户列表中勾选需要移动到其它组织机构的用户，点击【移动】，选择需要移动到的组织机构名全部导出：按系统定义的格式导出全部用户列表导出当前：按系统定义的格式导出选中的用户列表5.1.3用户组织

24、机构选择导航条上【用户管理】；查看当前用户组织机构列表，并可执行用户组织机构管理操作；如图 所示：图 用户组织机构管理鼠标指针移动到资源组名称，显示操作按钮：添加：在组织机构或已建立的组织机构名处，点击，即成功添加相应组织机构修改：在已建立的组织机构名处，点击，即可修改组织机构的负责人、电话和备注，名称为不可修改项删除：在对应的组织机构名处，点击，即成功删除相应组织机构导出：在资源组或已建立的组织机构名处，点击，即可将组织机构信息导出5.2 资源管理5.2.1添加资源选择导航条上【资源管理】【资源】；查看当前资源列表，并可执行【添加】操作；如图

25、所示：19 / 61天玥网络安全审计系统 V6.0-运维安全管控系统 图 添加资源1、 资源列表查看列表查看：名称、资源组、资源分类、资源系统类型、IP 地址、操作2、 输入资源属性基本信息：名称：输入资源名至资源属性；资源名支持中英文、数字及字符输入；此项为必填项状态：在下拉菜单中选择启用或禁用资源；此项为必选项资源分类：在下拉菜单中选择资源类型；此项为必选项资源系统类型：在下拉菜单中选择资源系统类型；此项为必选项IP 地址：输入资源（设备）IP 地址；此项为必填项及可填多个 IP 地址编号：输入资源（设备）的编号所有者：输入资源（设备）的所有者负责人：输入资源（设备）的负责

26、人备注：对该主机的功能、特性进行说明3、 添加资源服务信息；如图 所示：20 / 61天玥网络安全审计系统 V6.0-运维安全管控系统图 添加资源服务名称：输入资源服务属性；服务名支持中英文、数字及字符输入，在运维界面的资源下对应的服务显示的就是此名称；此项为必填项类型：在下拉菜单中选择服务类型；此项为必选项端口：输入该服务的端；此项为必填项备注：填写添加服务的备注信息连通检测：检测堡垒机到资源服务器该服务是否正常开放（堡垒机V701 以上版本具备该功能）4、 添加资源系统账号信息；如图 所示：图 添加资源账号名称：

27、输入资源账号；此项为必填项，如需要使用从账号改密功能才勾选账号（账号是指在资源系统内具体改密等高权限的账号）21 / 61天玥网络安全审计系统 V6.0-运维安全管控系统及确认：输入该账号对应及确认，如为空则不用输入资源 AD 域：如资源为 windows 系统，并加入了域，需要对此资源的账号改密时，需要选择资源所属域（域相关的参数设置请参靠本手册 5.2.7 章节）服务授权：勾选该账号连接本资源的服务类型，可多选参数：填写连接登录所需参数，如 oracle 可选 SID 或 Service_Name，登录角色可选择 normal、sysdba 或 sysoper；备注：填写该资源账号的备注信

28、息5、 高级选项（堡垒机为 V221 及以上版本才具备该功能），如下图所示：绑定协议服务器：当堡垒机配置了协议服务器时，可以固定访问该资源使用绑定的协议服务器；绑定应用发布服务器：当堡垒机配置了应用发布服务器时，可以固定访问该资源使用绑定的应用发布服务器；6、 点击【确定】完成全部主机信息录入。22 / 61重要说明：1、 通常情况下，用户只需要配置资源 IP、资源名、资源类型、服务类型及资源账号信息即可；2、 账号切换命令、输入提示、所有者、负责人、编号、备注为可选择输入项，如无需要可不用填写；3、 资源分类、资源系统类型、资源 AD 域需要在资源管理资源分类、资天玥网络安全审

29、计系统 V6.0-运维安全管控系统5.2.2主机其它操作选择导航条上【资源管理】【资源】；查看当前资源列表，勾选资源并可执行【删除】操作；如图 所示：图 资源删除删除：在勾选对应的资源名后，点击【删除】可从系统中删除该资源；可进行多个资源勾选，进行批量删除启用禁用：在勾选对应的资源名后，点击【禁用】可将此资源停止使用，点击【启用】可将此资源启用，默认资源是启用状态移动：在勾选对应的资源名后，点击【移动】可将此资源移动到其他资源组内导入/导出： 资源主机信息可以以 csv 格式批量导入导出，管理员可以对 csv 格式的资源主机列表进行增删改注意：通过在资源管理页面

30、导出的资源主机 csv 格式文件，可以看到资源主机的详细信息，按照默认的格式可以对资源主机进行增删改操作。在 csv 文件中，帐号名称后方有密文、明文，而导出的资源列表中只有密文，在导入资源列表时，只需填写明文，如果既有密文又有明文，堡垒机在识别时会以明文优先。在修改资源主机的 CSV 文件时，需要按照导出的格式进行配置，其中重要参数配置如下表所示：23 / 61源管理资源系统类型、资源管理资源 AD 域中先行定义；4、 用户可以对协议默认端进行修改；5、 列表中禁用资源用红色显示天玥网络安全审计系统 V6.0-运维安全管控系统24 / 61资源名称IP 地址服务名称(类型,端口,状态),服务

31、名称存在(必须使用转义帐号名称服务授权,多个用;拆分,服务名称存在(必须使用转义,参数存在=,|必须使用转义服务器ASSH(SSH,22, 启用);telnet(TELNET,23, 启用);RDP(RDP,3389,启用)root123456SSH当一个服务有多个帐号时，分行写资源主机开放服务admin123456SSH写在同一单元格，服务之间使用分号分adminis trator123456TELNET;RDP当一个帐号同时绑user1123456FTP定多个服务时，不同服务器BOTHER(OTHER,0, 启用);FTP(FTP,21, 启用);(此次省略)s

32、a 123456的服务用分号分隔FTPsa 123456TELNET在上一个资源主机最后sa 123456MSSQL一 个 配置新帐号的下一行开始的资源主机sa 123456ORACLE(loginas=normal,SERVIC E_NAME=nmdb)参数说明：loginas 为数据库登录角色（ 可选： normal 、 sysdba 、sysoper ） ; 选 配 数 据 库Server_Name 或 SID 参数。sa 123456SYBASE(servername=sim,dbna me=sim)参数说明：servername 为节点名；dbname 为实例名。sa 123456I

33、NFORMIX(servername=sim,db name=sim)参数说明：servvername 为节点名；dbname 为实例名。sa 123456DB2(db2instance=sim,dbname= sim)参数说明：db2instance 为实例名；dbname 为数据库名。sa 123456MYSQLsa 123456HTTP(submit=login,stype=id,pa ssword=password,ptype=id,use rname=user,utype=id,url=)参数说明：url 为 web 登录地址； stype 为节点类型（包

34、括：id、name、 xpath）；submit 为该节点参数。sa 123456RLOGINsa 123456TERADTA(dbname=sim)参数说明：dbname 为实例名。天玥网络安全审计系统 V6.0-运维安全管控系统5.2.3资源组选择导航条上【资源管理】【资源】；查看当前资源列表，在资源列表左边，可查看当前资源组，并可执行资源组管理操作；如图 所示：图 管理资源组鼠标指针移动到资源组名称，显示操作按钮：添加：在资源处，点击，即弹出添加资源组信息框，输入需要新增的资源组信息修改：在已建立的资源组名处，点击，即可修改资源组名称和备注删除：在对应的资

35、源组名处，点击，即成功删除相应资源组清空：在已建立的资源组名处，点击，即可清空该资源组下所有资源主机（堡垒机 V701 以上版本具备该功能）5.2.4资源分类25 / 61sa 123456RDPsa 123456SSH 空账 号 123456VNCsa 123456POSTGRESQL(dbname=sim)参数说明：dbname 为实例名sa 123456OTHER天玥网络安全审计系统 V6.0-运维安全管控系统选择导航条上【资源管理】【资源分类】，在资源分类列表中会显示系统默认的和已添加的资源分类。默认资源分类为主机、数据库、安全设备和网络设备四种，并且不允许删除。另外可通

36、过勾选资源分类名称，对自定义资源分类进行删除操作，点击资源分类属性，可对资源分类进行编辑。资源分类列表如下图 所示： 图 资源分类列表在资源分类界面点击【添加】，进入添加资源分类页面，如下图 所示：图 添加资源分类名称：添加名称。必填项，且不能重复。仅支持英文字母、数字、下划线、小数点。 备注：该资源分类的描述说明。 5.2.5资源系统类型选择导航条上【资源管理】【资源系统类型】，在资源系统类型列表中会显示系统默认的和已添加的资源系统类型，默认资源类型有 Linux、Windows、AIX、HP-UX、Cisco 和Huawei

37、六种，并且不允许删除。另外通过勾选资源类型名称，可对自定义资源系统类型进行删除操作，点击资源系统属性，可对资源系统进行编辑。资源系统列表如下图 所26 / 61天玥网络安全审计系统 V6.0-运维安全管控系统示： 图 资源系统列表在资源系统类型界面点击【添加】，进入添加资源系统页面，如下图 所示： 图 添加资源系统类型名称：资源系统名称。必填项，且不能重复。仅支持英文字母、数字、下划线、小数点 账号切换命令：选填项 输入提示：选填项 备注：该资源系统类型的描述说明 5.2.6资源 AD 域选择导航条上【资源管理】【资源 AD 域】

38、，如资源为 windows 系统，并加入了域， 需要对此资源的登录账号改密时，可在此提前设置好资源 AD 域相关信息，在添加资源的服务账号时，可直接选择此处设置的域名。在主机 AD 域列表中会显示已添加的 AD 域，列表显示 AD 域的域名。可从列表直接删除 AD 域。如图 所示：27 / 61天玥网络安全审计系统 V6.0-运维安全管控系统图 资源 AD 域列表添加 AD 域：点击【添加资源 AD 域】，在弹出窗口输入域名、域管理员名、和域控制器 IP 地址，点击【确定】，即可完成 AD 域的添加编辑 AD 域：在中单击已有的域名的属性，可进行修改，修改完成之

39、后点击【确定】，即可完成 AD 域的编辑删除 AD 域：在中勾选已有的域名，再点击【删除资源 AD 域】，即可完成 AD 域的删除5.3 策略管理5.3.1访问策略选择导航条上【策略管理】【访问策略】，授权运维用户访问运维主机，需要配置相应授权。访问策略授权的配置方式采用向导式。访问授权策略页面如图 所示：图 访问授权策略列表在访问授权策略列表中显示了已配置的策略。点击【添加】，进入访问策略授权向导如28 / 61天玥网络安全审计系统 V6.0-运维安全管控系统图 所示：图 添加访问策略名称：输入访问策略名；资源名支持中英文、数字及

40、字符输入；此项为必填项高级属性：选择是否启用以下功能：RDP 剪切板、RDP 磁盘映射限制 IP：在启用限制 IP 功能后，在 IP 设置范围内的运维用户能访问堡垒机限制时间：启用限制时间功能后，限制运维用户只能在指定时间范围内能访问堡垒机完成基础信息配置后，点击【下一步】进入绑定用户页面如图 所示：图 绑定用户页面选择绑定服务，点击【下一步】如图 所示：29 / 61天玥网络安全审计系统 V6.0-运维安全管控系统图 绑定服务选择绑定账号，可点击连接参数查看账号参数，点击【确定】完成一条访问策略配置，如图 所示：

41、图 绑定账号5.3.2命令策略选择导航条上【策略管理】【命令策略】，指令操作授权主要配置运维用户的指令黑白：在命令策略界面点击【添加】，进入命令策略配置向导如图 所示：30 / 61天玥网络安全审计系统 V6.0-运维安全管控系统 图 命令策略-基本信息基本信息填写名称、匹配模式、审计动作、告式、命令集合、操作命令和操作对象等，名称：输入审计策略名；资源名支持中英文、数字及字符输入；此项为必填项匹配模式：在下拉菜单选择包含或不包含；此项为必选项审计动作：在下拉菜单选择允许执行、忽略命令、阻断会话或二次审批；此项为必选项告式：包括 Syslog、短

42、信、邮件、SNMP，相关设置需由系统管理员配置，参见 5.9 章节命令集合：选择在命令集合中设置的命令集操作&对象：输入需要匹配的运维操作命令和对象填写完基础信息后，点击【下一步】如图 所示：31 / 61天玥网络安全审计系统 V6.0-运维安全管控系统图 命令策略绑定用户绑定用户，勾选上用户名称将这条审计策略授权到指定用户，点击【下一步】如图 所示：图 命令策略绑定服务绑定服务，勾选上运维服务名称将审计策略授权到指定服务，关联从账号，点击【确定】完成一条审计策略的配置。5.3.3集合设定.时间集合选择导航条上【策略管

43、理】【集合设定】【时间集合】，查看当前时间集合列表，点击【添加时间集合】如图 所示：32 / 61操作说明：1、策略命令配置和执行命令拒绝为黑，一旦运维用户使用命令列表中的命令，将会触发响应，响应方式在审计动作配置，通常设置为阻断命令。2、策略命令配置和执行命令允许为白，运维用户使用命令列表中的命令，将会触发响应，响应方式在审计动作配置，通常设置为忽略命令。3、输入多个命令时。每一行只能输入一个命令。天玥网络安全审计系统 V6.0-运维安全管控系统图 添加时间集合名称：该时间集合的名称，可以使用字母、数字和中文区间&开始时间&结束时间：配置时间范围，可输入多个时

44、间范围，每行一个备注：该时间集合的说明文字.IP 集合选择导航条上【策略管理】【集合设定】【IP 集合】，查看当前命令集合列表，点击【添加 IP 集合】如图 所示： 图 添加 IP 集合名称：该 IP 集合的名称，可以使用字母、数字和中文33 / 61重要说明： 1、 使用【添加】可以配置多个时间范围。时间范围的数量无限制2、 设置了时间集合，在添加访问策略时，如需限制访问时间时就可以直接选择提前设置的时间集合天玥网络安全审计系统 V6.0-运维安全管控系统起始 IP&终止 IP&显示信息：该 IP 集合的 IP 地址段，可输入多个 IP 地址段，

45、每行一个，显示信息无特殊意义可为空备注：该 IP 集合的说明文字.命令集合选择导航条上【策略管理】【集合设定】【命令集合】，查看当前命令集合列表，点击【添加命令集合】如图 所示： 图 添加命令集合名称：该指令集合的名称，可以使用字母、数字和中文操作&对象：指令集合的内容，可以输入多个指令，每行一个，对象可为空备注：该指令集合的说明文字从文件导入：命令集合支持导入功能，可提前在文档中按照要求的格式设置好需要导入的命令，每行通过#分隔5.4 工单管理工单管理主要是管理员为运维用户下发临时访问授权，可以限制特定的运维用户在特定34 / 61重要说明： 1

46、、 设置了命令集合，在添加命令策略时，可直接选择提前设置的命令集合重要说明： 1、 设置了 IP 集合，在添加访问策略时，如需限制访问的源 IP 的地址范围时就可以直接选择提前设置的 IP 集合天玥网络安全审计系统 V6.0-运维安全管控系统时间范围内才能访问授权的运维资源。工单管理页面，如图 5.4.1 所示：图 5.4.1 工单管理点击【添加】，管理员可以新建工单，如图 5.4.2 所示图 5.4.2 添加工单-基础信息35 / 61天玥网络安全审计系统 V6.0-运维安全管控系统图 5.4.3 添加工单-绑定服务图 5.5.4 添加工单-绑定帐号5.5 审计管理5.5.1实时监控5.5.

47、1.1.会话监控选择导航条上【审计管理】【实时监控】【会话监控】，如图 所示：36 / 61天玥网络安全审计系统 V6.0-运维安全管控系统图 会话监控会话监控：对已建立的会话进行实时监控，可查看到用户名、资源、服务、账号、开始时间等信息。.实时监控选择导航条上【运维管理】【实时监控】【会话监控】，如图 所示：图 会话监控实时监控：对会话监控列表中的会话条目选择实时监控，可对正在进行的会话以图形的方式实时监控，如图所示。图 强制结束会话强制结束会话：在会话监控列表选择需要断开的会话，再点

48、击【强制结束会话】，可断开正在进行的会话，如图所示。37 / 61天玥网络安全审计系统 V6.0-运维安全管控系统5.5.2日志查询天玥 OSM 拥有强大的日志查询功能，同时自带了大量的审计报表模板，让用户方便的制作各类报表。.运维日志审计日志主要是对用户操作目标设备过程的审计，选择导航条上【审计管理】【日志查询】【运维日志】【设置查询条件】，如图 所示：图 运维日志查询.运维工单堡垒机为 V221 及以上版本时才具备该功能，工单日志主要是管理员下发的工单的审计日志，选择导航条上【审计管理】【日志查询】【运维工单】【设置

49、查询条件】，如图 所示：38 / 61重要说明： 1、 运维日志查询可根据时间限制、审计动作、服务 IP 地址、用户 IP 地址、账号限制、关键字限制等基础查询条件设置查询；2、 运维日志查询还可选定用户及主机服务等设置查询；3、 查询结果可先试详情，点击一条日志前的+号或者选择上方的“显示详情”即可展开该会话的详细信息；4、 日志结果可导出为 CSV 格式文件； 5、 将鼠标移动到日志记录上，在该条日志的右手边浮现选择框，可以查看命令详情和会话回放。 天玥网络安全审计系统 V6.0-运维安全管控系统图 运维日志查询.登录日志登录日志主要是对系统管

50、理员、业务管理员和运维用户登录或注销登录天玥网络安全审计系统的行为进行记录，选择导航条上【审计管理】【日志查询】【登录日志】【设置查询条件】，如图 所示：图 登录日志查询.业务管理日志39 / 61重要说明： 1、 设置查询条件中可根据操作时间、操作状态、操作名称以及指定用户来设定查询；2、 登录日志查询结果可导出为 CSV 格式文件。 天玥网络安全审计系统 V6.0-运维安全管控系统管理日志主要对系统管理员和业务管理员在天玥网络安全审计系统上所做的操作进行审计，选择导航条上【审计管理】【日志查询】【业务管理日志】【设置查询条件】，页面如图 所示：图 管理日志查询5.5.3审计报表.报表模板选择导航条上【审计管理】【审计报表】【报表模版】，天玥 OSM 内置了大量的报表模板，可以方便的生成各种统计或明细报表。内置的报表模板分为：默认会话报表模版、默认操作报表模版、默认异常会话报表模版和默认异常操作报表模版，用户仅需在对应的报表模板点击“生成报表”就可按照需要的时间自动生成报表，如图 .1 所示：40 / 61重要说明： 1、 设置查询条件中可根据操作时间、操作状态、日志类型、操作名称以及指定用户来设定查询；2、 管理日志查询结果可导出为 CSV 格式文件。 天玥网络安