A安全管控平台业务系统管理员使用手册

1、4A安全管控平台业务系统管理员使用手册V1.01神州泰岳软件股份有限公司UltraPower Software Co.,Ltd.目录1.1适用范围11.2读者对象11.3名词术语12使用说明32.1业务管理员主要工作32.2对资源访问进行授权3为单个用户授予访问资源的操作权限4为多个用户授权相同的资源操作权限82.3维护资源管控信息11维护资源组11维护资源11维护资源从帐号12从帐号同步任务13从帐号密码同步任务14从帐号密码检查任务16拨测任务182.4配置安全策略19维护从帐号访问控制策略19维护字符网关命令分组20维护字符网关访问控制策略22维护从帐号密码策略233编制历史251.1

2、适用范围本文详细描述了如何通过4A安全管控平台门户进行资源授权和访问授权，并介绍了相关维护操作，适用于使用4A安全管控平台的中国移动广东公司管理用户。1.2 读者对象本文档的读者对象是4A安全管控平台的管理用户或者指导最终用户使用本系统的相关人员。我们假定最终用户已经掌握如下知识：n Windows95/98/Me/NT/2000/XP等操作系统的使用；n 常用浏览器工具Microsoft Internet Explorer的操作使用；1.3 名词术语为了更便捷、高效地使用本系统，请查阅以下名词术语解释。术语解释4A系统即广东移动4A安全管控平台的缩写。对设备和应用的帐号、登录、授权和审计进行

3、集中管控的IT系统。自然人使用4A系统的人员，包括移动员工和厂商代维人员内部用户即移动员工，是属于企业内部员工，且可以使用企业应用资源的人外部用户主要指厂商代维人员，不属于企业内部员工，但使用企业内应用资源 资源4A系统管控的对象，包括系统资源和应用资源两类，有时统称为设备和应用系统。系统资源包括电信网络设备(如MSC、STP等)、计算机网络及安全设备(如以太网交换机、路由器、防火墙等)、主机(如Windows、Unix等)、数据库等应用资源指业务应用系统，如BOSS系统、网管系统、人力资源系统等主帐号自然人在4A系统中的帐号，唯一表示该自然人身份从帐号4A系统管控的设备和应用系统的帐号，如U

4、nix的root帐号等 独享帐号仅被一个自然人使用的从帐号共享帐号某个从帐号被于两个以上（含两个）自然人使用未授权帐号未被授权给自然人或程序使用的从帐号，又称孤立帐号。程序帐号指系统间程序调用使用的从帐号；安全网关包括字符网关和图形网关，使得用户访问设备或应用系统时必须通过安全网关，保证用户操作可被控制、监视和审计。2 使用说明2.1 业务系统管理员主要工作2.2 对资源访问进行授权对资源访问进行授权包括两种场景：l 为单个用户授予访问资源的操作权限常见于：为多个维护不同资源的用户授予权限，如分别为维护“网管维护中心-增值网络维护室-省级定位系统MPS”的“UNIX主机：gzgmcc01”和“

5、网管维护中心-数据网络维护室-软交换CE”的“网络设备：GDGZ_NGN_CE11_HWNE40E”用户授予权限。l 为多个用户授权相同的资源操作权限常见于：为维护同一系统的多个用户授予权限，如为维护“网管维护中心-数据网络维护室-软交换CE”的多个用户授予权限。2.2.1 为单个用户授予访问资源的操作权限设为“省公司-网管维护中心-增值网络维护室”的“苏军锋”授予维护“网管维护中心-增值网络维护室-省级定位系统MPS”的“UNIX主机：gzgmcc01”和“网管维护中心-数据网络维护室-软交换CE”的“网络设备：GDGZ_NGN_CE11_HWNE40E”的权限：1) 成功登录后台后，选择“

6、主帐号授权”菜单，定位到“苏军锋”，如下图所示：2) 如上图所示在操作栏中选择“操作授权”链接，进入操作授权界面，如下图所示：3) 如上图所示选择“操作授权向导”，进入操作授权向导界面，如下图所示：4) 如上图所示，单击弹出资源组选择对话框，定位到“网管维护中心-增值网络维护室-省级定位系统MPS”，如下图所示：5) 如上图所示，选择“网管维护中心-增值网络维护室-省级定位系统MPS”资源组后，单击“确定”后关闭选择框，单击“查询”定位到“UNIX主机：gzgmcc01”，如下图所示：6) 如上图所示，选择“下一步”按钮，进入如下界面：7) 若仅需为“苏军锋”授予维护“UNIX主机：gzgmc

7、c01”的操作权限，但不明确授予相应的资源从帐号，如上图所示选择“完成资源授权”，进入如下界面：8) 如上图所示，选择“确定”按钮即可完成资源授权，授权成功后界面如下：9) 若仅需为“苏军锋”授予维护“网络设备：GDGZ_NGN_CE11_HWNE40E”的操作权限，且需要授予相应的资源从帐号，如下图所示选择“下一步：从帐号授权”。10) 在如下图所示界面中选择“网络设备：GDGZ_NGN_CE11_HWNE40E”中选择需要授予的资源从帐号，选择“完成资源授权”，进入如下界面：11) 如上图所示，选择“确定”按钮即可完成资源授权，授权成功后界面如下：2.2.2 为多个用户授权相同的资源操作权

8、限设为“省公司-网管维护中心-数据网络维护室”的“陈勇”和“李家信”授予维护 “网管维护中心-数据网络维护室-软交换CE”的所有“网络设备”的权限：1) 成功登录后台后，选择“资源角色管理”菜单，如下图所示：2) 如上图所示，选择“添加按钮”，出现添加角色界面，设角色名称为“软交换CE资源维护”，将“网管维护中心-数据网络维护室-软交换CE”的所有“网络设备”添加到该角色资源列表，保存后即可完成角色添加。3) 选择“主帐号授权”菜单，定位到“陈勇”，如下图所示：4) 如上图所示在操作栏中选择“操作授权”链接，进入操作授权界面，选择“角色授权”选项卡，如下图所示：5) 如上图所示选择“添加”按钮

9、，进入资源角色授权界面，选择资源角色“软交换CE资源维护”：6) 如上图所示，选择“授权”按钮即可完成对“陈勇”的授权，授权成功后界面如下：7) 选择“主帐号授权”菜单，定位到“李家信”，如下图所示，重复4到6，即可完成对“李家信”的授权：2.3 维护资源的管控信息维护资源管控信息主要包括以下两类操作：l 对资源、从帐号的日常维护操作，包括：Ø 维护资源组，如维护“网管维护中心-数据网络维护室-软交换CE”资源组；Ø 维护资源，如维护 “网管维护中心-增值网络维护室-省级定位系统MPS”的“UNIX主机：gzgmcc01”资源；Ø 维护资源从帐号，如维护 “网管维

10、护中心-增值网络维护室-省级定位系统MPS”的“UNIX主机：gzgmcc01”的从帐号。l 资源从帐号相关的例行任务，包括：Ø 从帐号同步任务：用于将“系统维护”类资源从帐号获取到安全管控平台，或者将安全管控平台修改后的从帐号同步到“系统维护”类的资源；Ø 从帐号密码同步任务：用于将“系统维护”类资源从帐号密码获取到安全管控平台，或者将安全管控平台修改后的从帐号密码同步到“系统维护”类的资源；Ø 从帐号密码检查任务：用于检查“系统维护”类资源从帐号密码策略是否符合要求；Ø 拨测任务：用于检查访问“系统维护”类资源从帐号或者密码的通路是否有效；2.3.1

11、 维护资源组选择“资源从帐号管理”菜单，选择“资源组”选项，进入如下界面：l 选择“添加”即可添加资源组；l 选择需要删除的“资源组”后，选择“删除”，即可删除选择的资源组：2.3.2 维护资源选择“资源从帐号管理”菜单，进入如下界面，定位到相应的资源组：l 选择“添加”即可添加资源；l 选择需要删除的“资源”后，选择“删除”，即可删除选择的资源；l 选择“模板下载”，即可下载批量导入系统资源所需的“excel模板”；l 选择“导入”，即可批量导入系统资源。2.3.3 维护资源从帐号选择“资源从帐号管理”菜单，定位到相应的资源组及相应的资源，选择“从帐号管理”，进入如下界面l 选择“添加”即可

12、添加从帐号；l 选择需要删除的“从帐号”后，选择“删除”，即从安全管控平台删除非“系统维护类资源”的从帐号，资源侧从帐号保持不变；l 选择“仅删除本地存储”，选择需要删除的“从帐号”后，选择“删除”，即从安全管控平台侧删除 “系统维护类资源”的从帐号，资源侧从帐号保持不变；l 选择“获取从帐号”，即可获取“系统维护类资源”的从帐号；l 选择“自动修改密码”，即可将“系统维护类资源”的从帐号密码修改成安全管控平台侧从帐号密码；。2.3.4 从帐号同步任务选择“配置管理”菜单，选择“从帐号同步任务”选项，进入如下界面：l 选择“添加”即可添加从帐号同步任务；l 选择需要删除的“从帐号同步任务”后，

13、选择“删除”，即可删除选择的从帐号同步任务：l 添加界面及说明：1) 输入的从帐号同步任务信息中，红色*号标识部分为必填项；2) 任务状态：默认初始化；3) 执行时刻：是任务被执行的时间；4) 执行方式：有一次和定期两种类型；5) 间隔时间：选择执行方式为定期时该项显示；6) 同步方式：可以选择同步到设备，也即将IAM系统中的从帐号推送到资源设备上；可以选择获取从帐号，也即从资源设备上获取从帐号到IAM系统；可以两个方式都选择，即先比较资源设备和IAM系统数据库中的从帐号，如果IAM系统数据库中没有而资源设备上有的从帐号，则先执行“获取从帐号”到IAM系统，然后再将从帐号“同步到设备”，如果有

14、一个过程失败，则该任务状态为失败，如果两个过程都成功，则任务状态为完成。说明：具体到哪个过程失败或成功的操作信息会在系统日志中详细记录。7) 选择系统资源：点击添加按钮，弹出系统资源列表，勾选需要同步的系统资源，点击确定，或者在查询框中输入需要同步的系统资源名称进行查询；8) 选择应用资源：点击添加按钮，弹出应用资源列表，勾选需要同步的应用资源，点击确定，或者在查询框中输入需要同步的应用资源名称进行查询；9) 点击保存，返回到查询页面，此时该任务的状态为“初始化”，点击该任务操作部分的“编辑”进入编辑页面，点击“启动”，返回到查询页面，此时该任务的状态更新为“准备”。此时该任务已准备就绪，可以

15、在执行时刻到达时被同步。2.3.5 从帐号密码同步任务选择“配置管理”菜单，选择“从帐号密码同步任务”选项，进入如下界面：l 选择“添加”即可添加从帐号密码同步任务；l 选择需要删除的“从帐号密码同步任务”后，选择“删除”，即可删除选择的从帐号密码同步任务：l 添加界面及说明：1) 输入的从帐号密码同步任务信息中，红色*号标识部分为必填项；2) 任务状态：默认初始化；3) 执行时刻：是任务被执行的时间；4) 执行方式：有一次和定期两种类型；5) 间隔时间：选择执行方式为定期时该项显示；6) 选择系统从帐号：点击添加按钮，弹出系统从帐号列表，勾选需要同步的系统从帐号，点击确定，或者在查询框中输入

16、需要同步的从帐号名称、从帐号所属资源组名称进行查询；7) 选择应用从帐号：点击添加按钮，弹出应用从帐号列表，勾选需要同步的应用从帐号，点击确定，或者在查询框中输入需要同步的应用从帐号名称、从帐号所属资源组名称进行查询；8) 点击保存，返回到查询页面，此时该任务的状态为“初始化”，点击该任务操作部分的“编辑”进入编辑页面，点击“启动”，返回到查询页面，此时该任务的状态更新为“准备”。此时该任务已准备就绪，可以在执行时刻到达时被同步。在任务被执行之前也可以停止该任务，点击该任务操作部分的“编辑”进入编辑页面，点击“停止”，将任务状态恢复到“初始化”。2.3.6 从帐号密码检查任务选择“配置管理”菜

17、单，选择“从帐号密码检查任务”选项，进入如下界面：l 选择“添加”即可添加从帐号密码检查任务；l 选择需要删除的“从帐号密码检查任务”后，选择“删除”，即可删除选择的从帐号密码检查任务：l 添加界面及说明：1) 输入的从帐号密码检查任务信息中，红色*号标识部分为必填项；2) 任务状态：默认初始化；3) 帐号密码策略：是以下选择的从帐号所遵循的密码策略；4) 执行时刻：是任务被执行的时间；5) 执行方式：有一次和定期两种类型；6) 间隔时间：选择执行方式为定期时该项显示；7) 选择系统从帐号：点击添加按钮，弹出系统从帐号列表，勾选需要检查密码的系统从帐号，点击确定，或者在查询框中输入需要检查密码

18、的从帐号名称、从帐号所属资源组名称进行查询；8) 选择应用从帐号：点击添加按钮，弹出应用从帐号列表，勾选需要检查密码的应用从帐号，点击确定，或者在查询框中输入需要检查密码的应用从帐号名称、从帐号所属资源组名称进行查询；9) 点击保存，返回到查询页面，此时该任务的状态为“初始化”，点击该任务操作部分的“编辑”进入编辑页面，点击“启动”，返回到查询页面，此时该任务的状态更新为“准备”。此时该任务已准备就绪，可以在执行时刻到达时被同步。在任务被执行之前也可以停止该任务，点击该任务操作部分的“编辑”进入编辑页面，点击“停止”，将任务状态恢复至“初始化”。2.3.7 拨测任务选择“配置管理”菜单，选择“

19、拨测任务”选项，进入如下界面：l 选择“添加”即可添加拨测任务；l 选择需要删除的“拨测任务”后，选择“删除”，即可删除选择的拨测任务：l 添加界面及说明：1) 输入的拨测任务信息中，红色*号标识部分为必填项；2) 任务状态：默认初始化；3) 执行时刻：是任务被执行的时间；4) 执行方式：有一次和定期两种类型；5) 间隔时间：选择执行方式为定期时该项显示；6) 选择系统从帐号：点击添加按钮，弹出系统从帐号列表，勾选需要拨测的系统从帐号，点击确定，或者在查询框中输入需要拨测的从帐号名称、从帐号所属资源组名称进行查询；7) 选择应用从帐号：点击添加按钮，弹出应用从帐号列表，勾选需要拨测的应用从帐号

20、，点击确定，或者在查询框中输入需要拨测的应用从帐号名称、从帐号所属资源组名称进行查询；8) 点击保存，返回到查询页面，此时该任务的状态为“初始化”，点击该任务操作部分的“编辑”进入编辑页面，点击“启动”，返回到查询页面，此时该任务的状态更新为“准备”。此时该任务已准备就绪，可以在执行时刻到达时被同步。在任务被执行之前也可以停止该任务，点击该任务操作部分的“编辑”进入编辑页面，点击“停止”，将任务状态恢复至“初始化”。2.4 配置安全策略配置安全策略主要包括以下操作：l 维护从帐号访问控制策略，如设定 “网管维护中心-增值网络维护室-省级定位系统MPS”的“UNIX主机：gzgmcc01”资源的

21、从帐号何时可以访问？；l 维护字符网关命令分组；l 维护字符网关访问控制策略；l 维护从帐号密码策略。2.4.1 维护从帐号访问控制策略选择“配置管理”菜单，选择“从帐号访问控制策略”选项，进入如下界面：l 选择“添加”即可添加从帐号访问控制策略；l 选择需要删除的“从帐号访问控制策略”后，选择“删除”，即可删除选择的从帐号访问控制策略：l 添加界面及说明：1) 输入策略名称；2) 策略频率：是该从帐号一天内允许访问的次数；3) 客户端IP：是允许使用该从帐号访问资源的主机IP段。2.4.2 维护字符网关命令分组选择“配置管理”菜单，选择“字符网关命令分组”选项，进入如下界面：l 选择“添加”

22、即可添加从帐号访问控制策略；l 选择需要删除的“字符网关命令分组”后，选择“删除”，即可删除选择的字符网关命令分组：l 添加界面及说明：1) 输入分组命令名称；2) 选择模式，输入需要添加的命令，点击添加按钮添加到命令集合；也可以在命令集合中选中已存在的命令，点击删除按钮进行删除；3) 点击保存。2.4.3 维护字符网关访问控制策略选择“配置管理”菜单，选择“字符网关访问控制策略”选项，进入如下界面：l 选择“添加”即可添加字符网关访问控制策略；l 选择需要删除的“字符网关访问控制策略”后，选择“删除”，即可删除选择的字符网关访问控制策略：l 添加界面及说明：1) 输入策略名称；2) 服务器地址：是该字符网关管控的资源的IP段；勾选“非”，表明是字符网关不进行管控的IP段；3) 远程帐