【正文】 需開放 HAC 到保護(hù)資源的 44 23 端口和 8470—8479 相關(guān)端口 （ 8470—8479 是動(dòng)態(tài) 協(xié)商的，不同主機(jī)可能用其中部分端口）。 ? 采用 XWIN 協(xié)議運(yùn)維：需開放運(yùn)維終端到 HAC 的 7000 端口和 443 端口 。 ? HAC 到日志備份 服務(wù)器， 若使用 FTP 協(xié)議備份 需開放端口： 2 1024 以上（ 采用被動(dòng)模式 ） ；若使用 SFTP 協(xié)議備份，需開放 22 端口。后面板包括： 2 個(gè)千兆 以太網(wǎng)口 和 1 個(gè)百兆網(wǎng)口 (從左向右分別為： 外網(wǎng)口、內(nèi)網(wǎng)口、熱備 口 )， 2 個(gè) USB 接口， 2 個(gè) PS/2 接口、串口 、并口 、 1 個(gè) VGA 口。 缺省空閑時(shí)間 為保證登錄 設(shè)備的安全性，系統(tǒng)設(shè)置了空閑超時(shí)。 確定用戶 即確定運(yùn)維人員的用戶名、授權(quán)信息（主要是指某運(yùn)維人員可以 通過哪些協(xié)議 訪問哪些核心服務(wù)器或 網(wǎng)絡(luò)設(shè)備 ）。 可以通過點(diǎn)擊 ―編輯 ‖來修改角色名稱、分配的權(quán)限等信息。一般情況下， ―系統(tǒng)管理 ‖配置屬于 HAC 管理員的權(quán)限范圍內(nèi)。 默認(rèn)關(guān)閉 ； 密碼復(fù)雜度： 用來控制 HAC 管理員密碼和運(yùn)維用戶密碼的復(fù)雜度 ，分為低、中、高三種 ； 低級： 復(fù)雜 度無要求 ，密碼至少 5 位 ； 中級： 需要包含字母和數(shù)字 ，密碼至少 7 位 ； 高級： 需要包含字母、數(shù)字和特殊字符 ，密碼至少 8 位 ； 密函打印申請超時(shí)時(shí)間 (小時(shí) )： 在 SSO 版本中，可將后臺服務(wù)器的帳戶密碼以密碼信封的方式打印，這里設(shè)置的是打印申請的超時(shí)時(shí)間，默認(rèn)為 24 小時(shí)。 可將已經(jīng)存在的證書文件和證書私鑰文件直接導(dǎo)入 HAC 中； ? 創(chuàng)建證書申請 。 創(chuàng)建證書申請： 填寫證書申請的各項(xiàng)參數(shù)。 完成證書申請： 運(yùn)維安全審計(jì)系統(tǒng)產(chǎn)品使用手冊 廣州江南科友科技股份有限公司 地址 (Add):廣州市天河區(qū)科韻路 16 號廣州信息港 C 棟 1003 室 電話 (Tel):(86 20)85533289 傳真 (Fax):(86 20)85530160 郵編 ():510665 29 使用創(chuàng)建的證書申請，在可信的 CA 中申請證書后，導(dǎo)入到 HAC 中。使用創(chuàng)建的證書申請，在可信的 CA 中申請證書后，導(dǎo)入到 HAC 中； ? 自簽發(fā)證書 。默認(rèn)值為 5 次，如果超過設(shè)置值， 該帳戶 將被鎖定，三分鐘后才可再次登錄。 系統(tǒng)配置 全局 配置 運(yùn)維安全審計(jì)系統(tǒng)產(chǎn)品使用手冊 廣州江南科友科技股份有限公司 地址 (Add):廣州市天河區(qū)科韻路 16 號廣州信息港 C 棟 1003 室 電話 (Tel):(86 20)85533289 傳真 (Fax):(86 20)85530160 郵編 ():510665 25 頁面 超時(shí)時(shí)間： 空閑超時(shí)，以分為單位，如果空閑時(shí)間超過了設(shè)定的時(shí)間，系統(tǒng)將退出至登錄界面。 口令認(rèn)證 ： 使用用戶自定義的密碼方式認(rèn) 證 ； 令牌認(rèn)證 ：使用動(dòng)態(tài)口令認(rèn)證方式 （具體參見《 HAC 動(dòng)態(tài)令牌使用 手冊》） ； 證書認(rèn)證 ：使用 usb_key 證書認(rèn)證方式（具體參見《 HAC usb_key 使用手冊》）； 手機(jī)號碼： 即管理員的手機(jī)號碼； [可選項(xiàng) ] 郵箱地址： 即管理員的郵箱地址； [可選項(xiàng) ] 運(yùn)維安全審計(jì)系統(tǒng)產(chǎn)品使用手冊 廣州江南科友科技股份有限公司 地址 (Add):廣州市天河區(qū)科韻路 16 號廣州信息港 C 棟 1003 室 電話 (Tel):(86 20)85533289 傳真 (Fax):(86 20)85530160 郵編 ():510665 21 當(dāng)管理員的配置信息有變更時(shí)，系統(tǒng)會通過短信或郵件的方式通知管理員 信息 1/信息 2：主要是作為描述該用戶的附加注釋信息； [可選項(xiàng) ] 可選擇的角色列表 ：將定義的用戶分配一個(gè)角色； [必選項(xiàng) ] 點(diǎn)擊右下方 ―添加 ‖即可完成。 運(yùn)維安全審計(jì)系統(tǒng)產(chǎn)品使用手冊 廣州江南科友科技股份有限公司 地址 (Add):廣州市天河區(qū)科韻路 16 號廣州信息港 C 棟 1003 室 電話 (Tel):(86 20)85533289 傳真 (Fax):(86 20)85530160 郵編 ():510665 17 具體配置 設(shè)備初始化配置 設(shè)備初始化配置可以采用兩種方式： 1) 采用 WebUI 方式：這是最常用的管理方式來 初始化配置 HAC； 2) 采用 Console 方式：這是在緊急情況下采用初始化配置的方式。 管理方式 HAC 支持 WebUI、 Console 管理方式。 Reset可使用該鍵重新啟動(dòng)系統(tǒng)。 ? 使用 RDP 、 XWIN 、 VNC 協(xié) 議 運(yùn) 維 時(shí) ， 客 戶 端 操 作 系 統(tǒng) 支 持 Windows 2020/XP/2020/Vista，瀏覽器支持 IE IE IE Maxthon。 ? 采用 AS400 專用客戶端運(yùn)維 AS400 主機(jī)：需開放運(yùn)維終端到 HAC 的 44 23 端口和 8470—8479 相關(guān)端口 （ 8470—8479 是動(dòng)態(tài)協(xié)商的，不同主機(jī)可能用其中部分端口）。如果運(yùn)維人員和 HAC 之間設(shè)置安全策略，需根據(jù)所用協(xié)議端口開 放 相關(guān)端口。開放端口根據(jù)運(yùn)維協(xié)議和保護(hù)資源服務(wù)端口而定，具體情況如下： 運(yùn)維安全審計(jì)系統(tǒng)產(chǎn)品使用手冊 廣州江南科友科技股份有限公司 地址 (Add):廣州市天河區(qū)科韻路 16 號廣州信息港 C 棟 1003 室 電話 (Tel):(86 20)85533289 傳真 (Fax):(86 20)85530160 郵編 ():510665 10 ? 采用 Tel 協(xié)議運(yùn)維：需開放 HAC 到保護(hù)資源的 23 端口（ 23 端口為保護(hù)資源Tel 服務(wù)端口，如果修改請根據(jù)實(shí)際進(jìn)行修改，下同）。 HAC 管理員是對 HAC 進(jìn)行操作，以實(shí)現(xiàn)對 HAC 管理、配置及完成審計(jì)功能的人員。 ? 其他功能 系統(tǒng)提供雙機(jī)熱備、日志手工和自動(dòng)備份、網(wǎng)絡(luò)維護(hù)和性能監(jiān)控、系統(tǒng)日志重定向、 NTP、SNMP、變更工單號、雙人符合、密函打印等功能 支持 。 ? 提供用戶可配置的告警規(guī)則，告警規(guī)則支持告警級別 、告警分類和與后臺資源綁定； ? 在具有自動(dòng)登錄功能的 HAC 上，可實(shí)現(xiàn)告警規(guī)則與后臺資源的帳戶級別進(jìn)行綁定，針對不同用戶實(shí)施不同的規(guī)則，從而提供更細(xì)粒度的操作控制； ? 告警動(dòng)作支持會話阻斷、審計(jì)平臺告警和郵件告警等。 ? 提供基于用戶到資源的授權(quán) ? 提供基于用戶組到資源的授權(quán) ? 提供基于用戶到資源組的授權(quán) ? 提供基于用戶組到資源組的授權(quán) ? 后臺資源自動(dòng)登陸 后臺資源自動(dòng)登陸功能是運(yùn)維人員通過 HAC 認(rèn)證和授權(quán)后， HAC 根據(jù)配置策略實(shí)現(xiàn)后臺資源的自動(dòng)登錄。 條款 則要求信息系統(tǒng)經(jīng)理必須確保所有 負(fù)責(zé)的安全過程都在正確執(zhí)行，符合安全策略和標(biāo)準(zhǔn)的要求。 再次，針對許多外包服務(wù)商、廠商技術(shù)支持人員等在對企業(yè)核心服務(wù)器、網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行現(xiàn)場或遠(yuǎn)程技術(shù)維護(hù)時(shí)，無法有效的記錄其操作過程、維護(hù)內(nèi)容，極容易泄露核心機(jī)密數(shù)據(jù)或遭到潛在的惡意的破壞。但是這兩個(gè)版本是完全兼容的。本手冊中的信息受中國知識產(chǎn)權(quán)法和國際公約保護(hù)。通過閱讀本文檔，讀者能夠正確地安裝和配 置安全運(yùn)維審計(jì)系統(tǒng)，并利用該設(shè)備提供的認(rèn)證、授權(quán)、審計(jì)等諸多功能來強(qiáng)化現(xiàn)有的安全管理制度，規(guī)范安全管理流程，達(dá)到運(yùn)維安全審計(jì)的目的。 運(yùn)維安全審計(jì)系統(tǒng)產(chǎn)品使用手冊 廣州江南科友科技股份有限公司 地址 (Add):廣州市天河區(qū)科韻路 16 號廣州信息港 C 棟 1003 室 電話 (Tel):(86 20)85533289 傳真 (Fax):(86 20)85530160 郵編 ():510665 2 SSO: Signle SignOn，單點(diǎn)登錄功能實(shí)現(xiàn)用戶登錄一次 HAC，再次訪問所需資源時(shí)無需再次輸入系統(tǒng)本身的用戶與密碼。各級機(jī)構(gòu)應(yīng)當(dāng)配備計(jì)算機(jī)安全管理人員，明確計(jì)算機(jī)安全管理人員的職責(zé)。它能夠?qū)?Unix和 Windows 服務(wù)器、網(wǎng)絡(luò)與安全設(shè)備上的數(shù)據(jù)訪問進(jìn)行安全、有效的操作審計(jì)，支持實(shí)時(shí)監(jiān)控、實(shí)時(shí)告警和事后全程回放審計(jì)。 托管方式實(shí)現(xiàn)自動(dòng)登錄后臺資源 ? HAC 自動(dòng)獲取后臺資源帳戶信息； ? 根據(jù)口令安全策略， HAC 定期自動(dòng)修改后臺資源帳戶口令； ? 根據(jù)管理員配置，實(shí)現(xiàn)運(yùn)維用戶與后臺資源帳戶對應(yīng)，限制帳戶的越權(quán)使用； ? 運(yùn)維用戶通過 HAC 認(rèn)證和授權(quán)后， HAC 根據(jù)分配的帳戶實(shí)現(xiàn)自動(dòng)登錄后臺資源。 ? 詳盡的會話審計(jì)與回放 ? 運(yùn)維操作審計(jì)以會話為單位，提供當(dāng)日和條件查詢定位。 ? 分權(quán)管理機(jī)制 系統(tǒng)提供設(shè)備管理員、運(yùn)維管理員和審計(jì)員三種管理角色，并支持靈 活地配置更細(xì)的角 運(yùn)維安全審計(jì)系統(tǒng)產(chǎn)品使用手冊 廣州江南科友科技股份有限公司 地址 (Add):廣州市天河區(qū)科韻路 16 號廣州信息港 C 棟 1003 室 電話 (Tel):(86 20)85533289 傳真 (Fax):(86 20)85530160 郵編 ():510665 8 色，從技術(shù)上保證系統(tǒng)管理安全。 系統(tǒng)管理員和運(yùn)維管理員通過 HTTPS 方式訪問 HAC 進(jìn)行操作和配置。 ? 采用 RDP 協(xié)議運(yùn)維：需開放 HAC 到保護(hù)資源的 3389 端口。 ? 采用 SSH、 SFTP 協(xié)議運(yùn)維：需開放運(yùn)維終端到 HAC 的 22 端口。 ? 審計(jì)員終端訪問日志備份服務(wù)器，進(jìn)行日志的離線回放，若日志是使用 FTP 協(xié)議備份的，需開放 2 1024 以上端口；若是使用 SFTP 協(xié)議備份的，需開放 22 端口。 單臂模式 單臂模式下的部署事例圖如下： 運(yùn)維安全審計(jì)系統(tǒng)產(chǎn)品使用手冊 廣州江南科友科技股份有限公司 地址 (Add):廣州市天河區(qū)科韻路 16 號廣州信息港 C 棟 1003 室 電話 (Tel):(86 20)85533289 傳真 (Fax):(86 20)85530160 郵編 ():510665 12 分 支 機(jī) 構(gòu)核 心 服 務(wù) 器 區(qū) 網(wǎng) 絡(luò) 區(qū) （ 組 網(wǎng) ）操 作 及 網(wǎng) 管 區(qū)H A CI n t e r n e tI n t r a n e t廠 商 技 術(shù) 支 持 或外 包 人 員遠(yuǎn) 程 運(yùn) 維 產(chǎn)品部署說明： ? HAC 部署為單臂模式，將其部署在網(wǎng)絡(luò)中任何一個(gè)路由可達(dá)的位置； ? 所有內(nèi)部操作人員、廠商及外包人員需要經(jīng)過 HAC 嚴(yán)格的認(rèn)證、授權(quán)，才可以操作、維護(hù)各核心服務(wù)器及網(wǎng)絡(luò)設(shè)備； ? 廠商或外包人員需要進(jìn)行遠(yuǎn)程維護(hù)時(shí)，通過互聯(lián)網(wǎng)安全接入后，然后經(jīng)過 HAC 嚴(yán)格的認(rèn)證、授權(quán)，才可以操作、維護(hù)各核心服務(wù)器及網(wǎng)絡(luò)設(shè)備； ? 所有基于標(biāo)準(zhǔn)的 Tel、 FTP、 SFTP、 SSH、 RDP（ Windows Terminal） 、 XWIN 和 VNC協(xié)議的操作被全部記錄下來，達(dá)到安全審計(jì)的目的。 （ HAC 串聯(lián)模式時(shí)需要使用該網(wǎng)口） 熱備口 綠色（閃爍）或熄滅 兩臺 HAC HA 口接通且有數(shù)據(jù)通信后，該燈為綠色閃爍狀態(tài)，無通信流量時(shí)處于 熄滅狀態(tài)。 這一工作決定了 HAC 在網(wǎng)絡(luò)中的工作位置，同時(shí)決定了 HAC 部署是否影響網(wǎng)絡(luò)結(jié)構(gòu)的變化等。 [必選項(xiàng) ] 運(yùn)維安全審計(jì)系統(tǒng)產(chǎn)品使用手冊 廣州江南科友科技股份有限公司 地址 (Add):廣州市天河區(qū)科韻路 16 號廣州信息港 C 棟 1003 室 電話 (Tel):(86 20)85533289 傳真 (Fax):(86 20)85530160 郵編 ():510665 20 角色描述 ：可以輸入描述該角色的注釋等。 注意：使用 Console 口恢復(fù)出廠和定義接口 IP 地址后，一定要重啟 HAC，否則設(shè)置不會生效或者影響其他功能。如： 20200114 12:51:35； 時(shí)間同步配置 ： 不勾選此選項(xiàng)，則系統(tǒng)時(shí)間可以手動(dòng)設(shè)置；勾選此選項(xiàng)后，將在同一行的右側(cè)出現(xiàn)文本輸入框，輸入 NTP 地址，保存后則 以 NTP 服務(wù)器的時(shí)間為準(zhǔn)，系統(tǒng)時(shí)間一項(xiàng)則置為灰色，不允 許手動(dòng)修改 ； 混合認(rèn)證： 勾選此項(xiàng)后，使用動(dòng)態(tài)令牌認(rèn)證 的運(yùn)維用戶，在連續(xù)輸入錯(cuò)誤密碼達(dá)到指定次數(shù)后，可使用靜態(tài)密碼的方式進(jìn)行認(rèn)證。 MAC 綁定 針對目 前日趨嚴(yán)重的 ARP 病毒問題， HAC 提供 IP、 MAC 綁定功能，防止由于 APR 欺騙導(dǎo)致 HAC 無法訪問 網(wǎng)關(guān)、真 實(shí)服務(wù)器 甚至運(yùn)維客戶端，具體配置內(nèi)容為： IP 地址： 設(shè)置需要被綁定的 IP 地址 ，如 MAC 地址： 設(shè)置上述 IP 地址對應(yīng)的真實(shí) MAC 地址，格式注意，需要以 ―:‖作為分割符，例如： 00:14:f6:41:b9:a0； MAC 綁定： 該區(qū)域是顯示綁定好的 IP、 MAC 地址對； 點(diǎn)擊 ―MAC 綁定 ‖按鈕，將輸入的 IP 地址和 MAC 地址進(jìn)行綁定，并立即生效。 證書私鑰文件 ： 點(diǎn)擊 ―瀏覽 ‖按鈕，將彈 出文件選擇對話框，用來導(dǎo)入證書私鑰文件。 系統(tǒng)日志外發(fā) 日志類型：操作系統(tǒng)日志