运维安全审计系统HAC运维用户使用手册

1、运维安全审计系系统（HACC）运维用户使用手手册广州江南科友科科技股份有限限公司2012年3月月版权声明本手册中涉及的的任何文字叙叙述、文档格格式、插图、照照片、方法、过过程等所有内内容的版权属属于广州江南南科友科技股股份有限公司司所有。未经经广州江南科科友科技股份份有限公司许许可，不得擅擅自拷贝、传传播、复制、泄泄露或复写本本文档的全部部或部分内容容。本手册中中的信息受中中国知识产权权法和国际公公约保护。版权所有，翻版版必究目 录TOC o 1-3 h z u HYPERLINK l _Toc32209850091 1.前言 PAGEREF _Toc320985091 h 3 HYPERLI

2、NK l _Toc320985092 1.1概述 PAGEREF _Toc320985092 h 3 HYPERLINK l _Toc320985093 1.2阅读说说明 PAGEREF _Toc320985093 h 3 HYPERLINK l _Toc320985094 1.3适用版版本 PAGEREF _Toc320985094 h 3 HYPERLINK l _Toc320985095 1.4使用环环境 PAGEREF _Toc320985095 h 3 HYPERLINK l _Toc320985096 2.首次登录录 PAGEREF _Toc320985096 h 4 HYPERL

3、INK l _Toc320985097 2.1首页 PAGEREF _Toc320985097 h 4 HYPERLINK l _Toc320985098 2.2浏览器器设置 PAGEREF _Toc320985098 h 5 HYPERLINK l _Toc320985099 2.3运维客客户端安装 PAGEREF _Toc320985099 h 7 HYPERLINK l _Toc320985100 2.4常用运运维设置 PAGEREF _Toc320985100 h 7 HYPERLINK l _Toc320985101 3.运维访问问过程 PAGEREF _Toc320985101 h

4、 8 HYPERLINK l _Toc320985102 4.最近访问问 PAGEREF _Toc320985102 h 10 HYPERLINK l _Toc320985103 5.基本操作作 PAGEREF _Toc320985103 h 11 HYPERLINK l _Toc320985104 5.1双人复核核 PAGEREF _Toc320985104 h 11 HYPERLINK l _Toc320985105 5.2复核事例例 PAGEREF _Toc320985105 h 12 HYPERLINK l _Toc320985106 6.运维协议议分类 PAGEREF _Toc320

5、985106 h 18 HYPERLINK l _Toc320985107 6.1全部协议议 PAGEREF _Toc320985107 h 18 HYPERLINK l _Toc3209855108 6.2文本协协议 PAGEREF _Toc320985108 h 19 HYPERLINK l _Toc320985109 6.3图形协议议 PAGEREF _Toc320985109 h 20 HYPERLINK l _Toc320985110 6.4文件传输输 PAGEREF _Toc320985110 h 20 HYPERLINK l _Toc320985111 6.5应用发布布 PAGE

6、REF _Toc320985111 h 20 HYPERLINK l _Toc320985112 7.运维事例例 PAGEREF _Toc320985112 h 22 HYPERLINK l _Toc320985113 7.1文本类运运维事例 PAGEREF _Toc320985113 h 22 HYPERLINK l _Toc320985114 7.2文件传输输类运维事例例 PAGEREF _Toc320985114 h 24 HYPERLINK l _Toc320985115 7.3图形类运运维事例 PAGEREF _Toc320985115 h 25 HYPERLINK l _Toc32

7、0985116 7.4VNC运运维事例 PAGEREF _Toc320985116 h 26 HYPERLINK l _Toc320985117 7.5应用发布布运维事例 PAGEREF _Toc320985117 h 27 HYPERLINK l _Toc3209855118 7.6变更工工单运维事件件 PAGEREF _Toc320985118 h 30 HYPERLINK l _Toc320985119 7.7其他帐户户运维 PAGEREF _Toc320985119 h 30 HYPERLINK l _Toc320985120 7.8AS4000运维事例例 PAGEREF _Toc32

8、0985120 h 32 HYPERLINK l _Toc320985121 8. 运维管理理 PAGEREF _Toc320985121 h 36 HYPERLINK l _Toc320985122 8.1参数设设置 PAGEREF _Toc320985122 h 36 HYPERLINK l _Toc320985123 8.2工具下下载 PAGEREF _Toc320985123 h 37 HYPERLINK l _Toc320985124 8.3Porrtal客户户端安装 PAGEREF _Toc320985124 h 37 HYPERLINK l _Toc320985125 9.技术支

9、持 PAGEREF _Toc320985125 h 41前言概述本文档为运维安安全审计系统统的运维用户户的使用手册册，作为运维维用户的操作作指南。阅读说明本手册包含运维维用户的全部部日常操作。首首次阅读此文文档时，建议议您重点阅读读第2章节。适用版本本手册，适用于于3.6P的的发布版。使用环境HAC的运维用用户主要使用用WEB登录录方式作为用用户界面（AAS400除除外，需要使使用专用客户户端工具）。HHAC的运维维用户，可以以使用Miccrosofft Intternett Expllore或以以其为内核的的其他浏览器器，因部分控控件的兼容问问题，如果您您使用的是IIE 8浏览览器，请在兼兼

10、容模式下进进行运行。首次登录首页用IE浏览器访访问：htttps:/HAC_IIP/，访问过程中，如如果是IE77/8，会出出现证书安全全警告等信息息：选择“继续浏览览此网站”，进入登陆陆页面。用户名和密码使使用运维管理理员创建的用用户登录，如如果是令牌模模式管理员，其其他外部认证证的用户，请请不勾选“口令认证”，直接输入入用户名后“登录”。本文以口令认证证用户tesst登录过程程为例进行讲讲解，登录成成功后首页如如下：首页内容为：当当前日期、上上次登录时间间及登录IPP、最近100次运维记录录。操作记录录包含操作时时间、操作的的客户IP、运运维过的资源源名称和使用用的设备帐户户名。为了安安全

11、性考虑，首首次登录后建建议静态口令令用户，点击击页面右上角角“修改密码”，对密码进进行更新。浏览器设置因为运维过程中中，需要调用用某些控件，因因此需要对浏浏览器的安全全属性进行部部分调整。增增加对HACC地址的信任任，以及允许许ActivveX控件的的运行。按照照以下步骤：添加可信任站点点：IE浏览览器/“工具”/Inteernet选选项/ 安全全/可信站点点针对可信站点，启启用ActiiveX控件件的选项：启启用“对未标记为为可安全执行行脚本的AcctiveXX控件初始化化和脚本运行行；启用“下载未签名名的ActiiveX控件件”；启用“下载已签名名的ActiiveX控件件”；启用“运行Ac

12、ttiveX控控件和插件”。运维客户端安装装登录页面中，运运维管理/工工具下载/PPortall客户端工具具，下载后进进行安装，具具体操作参见见本文的第88.2章节。常用运维设置HAC提供了根根据用户喜好好，使用频率率高的个性化化设置，可以以方便用户进进行快速执行行。比如图形形化运维时，通通常使用的后后台服务器帐帐户，是否经经常全屏显示示或其他分辨辨率，显示的的颜色深度。具具体设置，参参见本文的88.1节。运维访问过程运维拓扑图：非自动登录访问问过程：运维用户登录运运维平台；选择需要访问的的资源；文本协议和文件件传输直接输输入设备帐户户名及密码登登录进行实际际操作；图形协议和应用用发布可对屏屏

13、幕分辨率和和RDP设置置做设置，然然后再输入设设备帐户名及及密码登录进进行实际操作作。自动登录访问过过程，与非自自动登录的区区别在于，不不用手动输入入设备帐户名名和密码，运运维管理员已已分配可用的的后台帐户，直直接选择帐户户即可自动登登录。VNC应用，比比较特殊，因因登录时不需需要用户名，不不存在托管功功能，运维过过程简单，只只需输入密码码。http（S）和和应用发布，这这两种类型应应用，HACC会自动根据据运维用户名名创建自动登登录用户，运运维管理员无无需手动创建建帐户，也省省去了运维用用户手动选择择用户登录的的过程。VDH应用发布布访问过程登录运维用户操作界面登录运维用户操作界面选择需要访

14、问的资源，登录VDH服务器：在VDH服务器上运行发布的应用登录应用主机，进行实际操作AS400协议议的特殊性，一一般使用IBBM专用的客客户端工具，本本文也对运维维过程进行了了说明。最近访问运维协议/“最最近访问”页面，显示示最近访问的的20个资源源，按照访问问时间的先后后顺序倒序排排列。您可以以从此页面快快速的找到常常用的资源，进进行运维，页页面如下：基本操作5.1双人复核核双人复核是指运运维用户在做做一条会话时时，若需要放放行告警阻断断命令，必须须要求其他运运维用户进行行审核。复核核员实时监控控活动会话，控控制阻断命令令最终是否被被执行。仅sssh和teelnet协协议的Porrtal运维

15、维支持双人复复核功能。运维平台/基本本操作/双人人复核，进入入双人复核页页面：检索方式：有有标准和定制制两种，对活活动中的会话话进行检索。标准检索，以sssh协议为为例，协议下下拉列表选择择ssh，检检索结果如下下：定制检索：支持持资源名、IIP地址、运运维人员和姓姓名模糊检索索，也可以组组合查询，下下面以IP地地址“3”模糊检索为为例：5.2复核事例例以下以ssh为为例，介绍双双人复核相关关操作。运维用户登录运运维平台，选选择“全部协议/文本协议”：点击“执行”，具具体页面如下下：复核员的下拉列列表中包括全全部复核员和和其他运维用用户全部复核员：所所有运维用户户如果复核员选择择“全部复核员员

16、”，所有的运运维用户登录录运维平台后后均能看到复复核申请，若若其中一个用用户执行复核核操作，其他他用户不用再再复核。复核员：指定复复核员登录运运维平台后可可看到此复核核申请点击“继续”进进行运维操作作，如图所示示：注：若点击“快速执行”，默认的复复核员为全部部复核员。下面以运维会话话指定复核员员为111用用户为例，介介绍复核相关关操作。5.2.1未复复核会话执行运维会话，指指定的复核员员未执行复核核会话。当运运维会话输入入阻断命令时时（注：若协协议配置了告告警，则会按按照配置的黑黑白名单规则则执行阻断或或放行命令），会会直接阻断命命令，具体如如下图所示：创建阻断告警会会话，输入阻阻断命令时，指

17、指定复核员未未复核该会话话，命令被阻阻断。如下：回车后可以继继续会话操作作。5.2.2复核核会话基本操作/双人人复核，显示示该复核员可可以复核的活活动会话，具具体页面如下下：点击“复核”，进进入复核窗口口，当运维会会话输入阻断断命令，如：ls，则提提示等待复核核员的批准，如如图所示：图表 SEQ 图表 * ARABIC 1会话终终端同时，复核员会会收到是否允允许运维人员员执行当前命命令的提示，图表 SEQ 图表 * ARABIC 2复核终终端若复核员输入“y”，则表示允允许执行该命命令，运维会会话端显示复复核结果并执执行命令，同同时复核端显显示命令执行行结果；若复核员输入“n”，则表示阻阻断命

18、令，运运维会话端显显示复核结果果，并告警阻阻断。同时复复核端显示阻阻断结果；若复核员在超过过120秒的的时间内仍未未做出复核操操作，则运维维会话端阻断断当前命令，同同时复核端显显示阻断结果果。具体页面可参见见下图所示：图表 SEQ 图表 * ARABIC 3复核终终端图表 SEQ 图表 * ARABIC 4会话终终端5.2.3多次次复核 当运维会会话结束时，复复核也结束。复复核员结束复复核会话不会会影响运维操操作，复核员员可对会话进进行多次复核核操作，但所所有复核操作作只能是同一一复核员。运维协议分类6.1全部协议议运维协议/“全全部协议”页面显示所所有用户可以以运维的资源源。可检索您您要运维

19、的资资源，可运维维资源，页面面如下：检索方式：标标准检索和定定制检索；默默认标准检索索。1）标准检检索，以sssh协议为例例，在“协议”下拉框选择择ssh，检检索的结果如如下：2）定制检检索，检索方方式选择“定制”之后，页面面如下：输入要搜索索的资源名或或IP，支持持迷糊搜索和和组合搜索，以以模糊匹配IIP“172.116”为点击“搜索”搜索如下：执行：点击“执执行”后，可可设置登录参参数，并进行行登录。快速执行：点击击“快速执行行”，可按照照“参数设置”中的参数，直直接进行登录录。参数设置详详见8.1节节。6.2文本协议议运维协议/文本本协议包含：TELNEET、SSHH协议类型的的资源6.

20、3图形协议议运维协议/“图图形协议”包含：RDDP、XWIIN、VNCC、HTTPP、HTTPPS等协议类类型的资源6.4文件传输输运维协议/ “文件传输”包括：FTTP、SFTTP两个协议议类型的资源源 6.5应用发布布运维协议/ “文件传输”包括由运维维管理员定义义，由VDHH设备支持的的应用发布程程序。如pccanywhhere，pplsql应应用。运维事例因统一使用Poortal进进行运维，各各协议运维的的过程大致相相同，所以会会介绍比较典典型的几个例例子。7.1文本类运运维事例 登录运维平台，选选择“协议运维/文本协议”，以tellnet运维维为例，sssh运维类似似： 点击“执行”

21、：选择可选的设备备帐户rooot，点击“继续”：这样，就进入了了运维界面。 如果需要支支持telnnet中文输输入，登录以以上界面后，鼠鼠标右键该工工具的标题栏栏，在弹出的的以下窗口中中，将字符集集更改为GBB2312，aapply后后即可生效。如如果还不能支支持，请联系系运维管理员员确认此teelnet资资源为“支持中文”。7.2文件传输输类运维事例例运维用户登录运运维平台，选择“协议运维/图形协议”以ftp为为例：点击“执行”：点击“继续”，验证通过，进进入真实主机机可以进行实实际操作：7.3图形类运运维事例RDP的访问过过程与XWIIN运维类似似，登录时，选择服务务器帐户。选择RDP资源

22、源：点击“执行”：设置相关参数数后，点击“继续”进入真实服服务器进行操操作：7.4VNC运运维事例登录运维平台后后，选择VNNC资源：点击“执行”：点击“继续”登录到服务务器进行操作作：7.5应用发布布运维事例应用发布主要是是VDH上添添加的应用。以以下以PL/SQL的应应用为示例：访问过程拓扑图图：运维用户登录运运维平台，选择“协议运维/应用发布”，如下图：点击“执行”进进行运维，如如下图：设置登录参数，点点击“继续”登录，如下下图：成功登陆，可以以通过PLSSQl对Orracle数数据库进行操操作，输入资资源数据库的的用户名密码码，以及数据据源，如下图图：7.6变更工单单运维事件 HAC支

23、持变变更工单与运运维事件结合合，也即运维维用户在进行行运维操作前前，要输入变变更工单和变变更事由后方方可进行运维维。由运维管管理员进行全全局设置。运运维界面类似似下图：输入变更工单号号、变更事由由之后可进入入运维界面：7.7其他帐户户运维 运维用户可以以使用“其他帐户”进行运维，有有两种情况：运维管理员开启启了“托管登录开开关”，允许用户户使用其他帐帐户运维；HAC授权为非非自动登录版版本，运维用用户必须自行行输入核心后后台服务器的的用户名和密密码。非自动登录版本本，登录运维维页面，选择择资源执行：继续：输入设备用用户名、密码码，通过验证证后进入服务务器进行操作作：7.8AS4000运维事例例

24、AS400协议议比较特殊，所所以单独对访访问过程图进进行讲解，IIBM CAA客户端的使使用方法在此此不再赘述。其其具体的访问问过程如下：AS400虚拟网卡IP地址AS400虚拟网卡IP地址AS400用户标识、AS400密码CA客户端：具体过程如下：启动CA客户端端，系统名称称为HAC虚拟网网卡的IP地址，确确定。输入AS4000真实服务器器的用户标识识和密码，点点击“确定”：再次输入用户标标识和密码，EEnter键键确认：真实主机认证通通过后，就可可以进行操作作：如果使用Winndows自自带的cmdd终端访问，则则需在cmdd中直接运行行“telnnet 虚拟拟网卡IP”即即可。8. 运维管理理“运维管理”模模块提供设置置快速执行参参数以及相关关软件下载等等功能。参数设置设置快速执行时时运维的参数数。资源帐户：设设备帐户名，只只在帐户已经经分配给对应应的资源和运运维用户的前前提下，快速速执行时不用用再选择帐户户，直接运维维。颜色深度：设设置屏幕颜色色深度，可选选增强色（116位）（默默认）、2556色、增强强色（15位位）、真彩色色（24位）；见下图：（仅对图形