【正文】 8 系統(tǒng)管理 網御 LAOS 運維安全系統(tǒng)管理員，主要負責管理 網御 LAOS 的基本配置。 審計報表 報表模板 選擇導航條上【審計 管理】 — 【審計報表】 — 【報表模版】， 網御 LAOS 內置了大量的報表模板，可以方便的生成各種統(tǒng)計或明細報表 。 策略命令配置和執(zhí)行命令允許為白 名單，運維用戶使用命令列表中的命令，將會觸發(fā)響應，響應方式在 審計動作配置，通常設置為忽略命令。 資源系統(tǒng)類型 選擇導航條上 【 資源管理 】 — 【 資源系統(tǒng)類型 】 ，在資源系統(tǒng)類型列表中會顯示系統(tǒng)默認的和已添加的資源系統(tǒng)類型，默認資源類 型有 Linux、 Windows、 AIX、 HPUX、 Cisco 和 Huawei 六種，并且不允許刪除。 系統(tǒng) 密碼 策略 導航條上 選擇 【 密碼 管理 】 — 【 密碼策略 】 可配置與密碼相關的安全策略 ，如圖 所示： 圖 密碼 策略配置 ? 密碼最小長度 ： 限定所有 網御 LAOS 賬戶的密碼最小長度 ? 密碼復雜度 ： 勾選可設置密碼必須包含大小寫字母、數(shù)字或符號 ? 密碼周 期 ： 若啟用，可設置密碼過期時間和提醒時間，默認為 90 天密碼過期 ? 歷史對比 ：若啟用，可設置密碼對比次數(shù)，默認為 3 次 ? 登錄 鎖定 ：若啟用，在規(guī)定的時間內輸入密碼錯誤超過設置的次數(shù)，則將帳號鎖定 ，并設置自動解鎖時間 網御網絡審計系統(tǒng)（運維安全管控型） 管理員使用手冊 第 18 頁共 85 頁 3 用戶管理 添加用戶 選擇導航條上 【 用戶管理 】 ，查看當前 用戶列表，并可執(zhí)行 【 添加 】 操作；如圖 所示： 圖 添加用戶 基礎信息 導航至 【 用戶管理 】 ， 可在用戶列表界面查看到用戶 名稱、狀態(tài)、組織機構、真實姓名、主機、郵箱等信息。 網御 LAOS 是針對業(yè)務環(huán)境下的用戶運維操作進行控制和審計的合規(guī)性管控系統(tǒng)。 配置認證方式 導航條上 選擇 【 系統(tǒng)管理 】 — 【 系統(tǒng)選項 】 — 【認證源】 — 【 添加 】 ，可配置認證方式 ，也可不用配置，系統(tǒng)內部默認有認證模式 如圖 所示： 圖 配置認證方式 ? 類型 選擇： Radius、 LDAP、 WindowsAD 域； 操作說明： 系統(tǒng) 支持本地認證 和其它認證方式 ；其它所有管理員和運維用戶均與 選擇的 認證方式相關聯(lián)； 系統(tǒng)默認 通過系統(tǒng)自身的賬號管理系統(tǒng)進行身份認證； Radius： 通過 Radius 協(xié)議由 第三方認證服務器對系統(tǒng)用戶進行身份認證； LDAP： 通過 輕量級目錄訪 問協(xié)議 由第三方認證服務器對系統(tǒng)用戶進行身網御網絡審計系統(tǒng)（運維安全管控型） 管理員使用手冊 第 16 頁共 85 頁 份認證 在下拉菜單中可選擇 openldap 和 ad 域的 ldap 方式的認證 ； WindowsAD域： 通過 Windows AD 域服務器對系統(tǒng)用戶進行身份認證。 必填項，且不能重復。點擊 【添加】 ，進入訪問策略授權向導如圖 所示： 圖 添加訪問策略 ? 名稱 ： 輸入訪問策略名；資源名支持中英文、數(shù)字及字符輸入；此項為必填項 ? 高級屬性： 選擇是否啟用以下功能 ： RDP 剪切板、 RDP 磁盤映射 ? 限制 IP： 在啟用限制 IP 功能后，在 IP 設置范圍內的運維用戶能訪問堡壘機 ? 限制時間： 啟用限制時間功能后，限制運維用戶只能在指定時間范圍內能訪問堡壘機 完成基礎信息配置后， 點擊【下一步】 進入綁定用戶頁面如圖 所示： 網御網絡審計系統(tǒng)（運維安全管控型） 管理員使用手冊 第 34 頁共 85 頁 圖 綁定用戶頁 面 選擇綁定服務， 點擊【下一步】 如圖 所示 ： 圖 綁定服務 選擇綁定賬號，可點擊連接參數(shù)查看賬號參數(shù)， 點擊【確定】完成一條訪問策略配置 ， 如圖 所示： 網御網絡審計系統(tǒng)（運維安全管控型） 管理員使用手冊 第 35 頁共 85 頁 圖 綁定賬號 命令策略 選擇導航條上 【 策略管理 】 — 【 命令策略 】 ，指令操作授權主要配置運維用戶的指令黑白名單： 在命令策略界面點擊【添加】，進入命令策略配置向導如圖 所示： 圖 命令策略 基本信息 基本信息填寫名稱、匹配模式、審計動作、告警方式、命令集合、操作命令和操作對象等， 網御網絡審計系統(tǒng)（運維安全管控型） 管理員使用手冊 第 36 頁共 85 頁 ? 名稱 ： 輸入審計策略名；資源名支持中英文、數(shù)字 及字符輸入；此項為必填項 ? 匹配模式 ： 在下拉菜單選擇包含或不包含；此項為必選項 ? 審計動作 ： 在下拉菜單選擇允許執(zhí)行、忽略命令、阻斷會話或二次審批；此項為必選項 ? 告警方式： 包括 Syslog、短信、郵件、 SNMP，相關設置需由系統(tǒng)管理員配置，參見 和 章節(jié) ? 命令集合： 選擇在命令集合中設置的命令集 ? 操作 amp。 網御網絡審計系統(tǒng)（運維安全管控型） 管理員使用手冊 第 42 頁共 85 頁 管理日志 管理日志主要對管理 員在 網御網絡審計系統(tǒng) 上所做的操作進行審計， 選擇導航條上 【 運維管理 】 — 【 日志查詢 】 — 【 管理日志 】 — 【 設置查詢條件 】 ，頁面如圖 所示： 圖 管理日志查詢 基礎限制 圖 管理日志查詢 運維用戶限制 網御網絡審計系統(tǒng)（運維安全管控型） 管理員使用手冊 第 43 頁共 85 頁 圖 管理日志查詢 管理員限制 管理日志查詢結果如圖 所示： 圖 管理日志查詢結果 重要說 明： 設置查詢條件中可根據(jù)操作時間、操作狀態(tài)、日志類型、操作名稱以及指定用戶來設定查詢； 管理日志查詢結果可導出為 CSV格式文件。經過自動改密后，管理員可能需要一份新的賬號密碼列表，可從這里直接下載，如圖 所示： 網御網絡審計系統(tǒng)（運維安全管控型） 管理員使用手冊 第 56 頁共 85 頁 圖 下載密碼列表 重要說 明： 密碼文件需要 具有 密碼 管理權限的 管理員使用 網御 LAOS的密碼查看工具查看，密碼查看工具的下載界面在 【密碼管理】 — 【下載密碼列表】界面 ，如圖 所示。通過該用戶登錄 網御 LAOS 實施系統(tǒng)基本配置。 網御網絡審計系統(tǒng)（運維安全管控型） 管理員使用手冊 第 53 頁共 85 頁 7 密碼管理 密碼策略 選擇導航條上 【 密碼管理 】 — 【 密碼 策略 】 ，可配置與密碼相關的安全策略，詳細說明參見 章節(jié)。 集合設定 時間集合 選擇導航條上 【 策略管理 】 — 【 集合設 定 】 — 【 時間集合 】 ，查看當前時間集合列表， 點擊【 添加時間集合】 如圖 所示： 網御網絡審計系統(tǒng)（運維安全管控型） 管理員使用手冊 第 38 頁共 85 頁 圖 添加時間集合 ? 名稱： 該時間集合的名稱，可以使用字母、數(shù)字和中文 ? 區(qū)間 amp。 必填項，且不能重復。 網御網絡審計系統(tǒng)（運維安全管控型） 管理員使用手冊 第 20 頁共 85 頁 圖 添加用戶 應用工具限制 點擊 【確定】 完成用戶 賬號 添加。 格式約定 ? 本文中所有圖例均為實際拍攝或屏幕 截取 ? 菜單名稱和按鈕名稱的表示方法： 【菜單名稱】，【按鈕名稱】 ? 圖標表示的含義： ： 系統(tǒng) 管理 、配置的重要說明、提示信息 。 導入授權文件 配置完主機網絡后，點擊下一步進行授權文件的導入，如圖 所示： 網御網絡審計系統(tǒng)（運維安全管控型） 管理員使用手冊 第 11 頁共 85 頁 圖 導入前選擇授權文件 圖 導 入后明細顯示 操作說明： 1. 點擊“導入授權文件”選擇 授權文件進行 導入 ； 2. 導入后可看到“授權文件明細”。默認資源分類為主機、數(shù)據(jù)庫、安全設備和網絡設備四種， 并且不允許刪除。 訪問策略 選擇導航條上 【 策略管理 】 — 【 訪問策略 】 ，授權運維用戶訪問運維主機，需要配置相應授權。 實時 監(jiān)控 選擇導航條上 【 運維管理 】 — 【 實時監(jiān)控 】 — 【 會話監(jiān)控 】 ，如圖 所示： 網御網絡審計系統(tǒng)（運維安全管控型） 管理員使用手冊 第 41 頁共 85 頁 圖 會話監(jiān)控 ? 實時監(jiān)控： 對會話監(jiān)控 列表 中的會話條目選擇實時監(jiān)控 ，可對正在進行的會話以圖形的方式實時 監(jiān)控 ，如圖 。 填寫密碼名稱、選擇首次執(zhí)行時間、執(zhí)行周期 、密碼策略，點擊改密對象配置中的配置主機，選擇改密計劃發(fā)送的對象，如圖 所示 : 圖 改密對象 勾選改密對象，點擊【確定】完成。 配置備份 導航條上選擇【系統(tǒng)管理】 — 【系統(tǒng)信息】 — 【配置備份】可對系統(tǒng)配置進行備份或恢復，如圖 所示： 圖 配置備份 網御網絡審計系統(tǒng)（運維安全管控型） 管理員使用手冊 第 60 頁共 85 頁 數(shù)據(jù)備份 導航條上選擇【系統(tǒng)管理】 — 【系統(tǒng)信息】 — 【數(shù)據(jù)備份】可對系統(tǒng)的所有數(shù)據(jù)（包括配置信息和日志信息）進行備份，如圖 所示： 圖 數(shù)據(jù)備份 電源管理 導航條上選擇【系統(tǒng)管理】 — 【系統(tǒng)信息】 — 【電源管理】可對系統(tǒng)進行重啟和關機操作，如圖 所示： 圖 電源管理 網御網絡審計系統(tǒng)（運維安全管控型） 管理員使用手冊 第 61 頁共 85 頁 系統(tǒng)選項 高可用性 導航條上選擇【系統(tǒng)管理】 — 【系統(tǒng)選項】 — 【高可用性】可對熱備及浮動地址進行配置，如圖 所示： 圖 高可用性 操作說明： 事先定義好熱備的主機和備機，確定熱備功能所需的浮動 IP 地址； 在主機的高可用性配置界面，選擇“啟用”熱備功能；選擇熱備角色為“主機”；配置 浮動 IP 地址（注意子網掩碼格式：例如 ），選 擇浮動 IP 相關聯(lián)的網卡；輸入配對號（配對號的范圍為： 1254，必須保持主備機配對號一致）； 輸入備 機 IP 地址，點“確定”保存； 在備機的高可用性配置界面，選擇“啟用”熱備功能；選擇熱備角色為“備機”；輸入浮動 IP 地址（注意子網掩碼格式：例如 ）；選擇浮動 IP 相關聯(lián)的網卡；輸入主機 IP 地址，根據(jù)需要勾選“同步配置”（勾選后點擊“確定”就立即同步主機配置），點“確定”保存； 熱備功能默認備機去同步主機的配置，同步周期默認為每個小時同步一次。 ? 首次執(zhí)行時間： 第一次自動改密的時間。時間范圍的數(shù)量無限制 設置了時間集合，在添加訪問策略時，如需限制訪問時間時就可以直接選擇提前設置的時間集合 IP 集合 選擇導航條上 【 策略管理 】 — 【 集合設定 】 — 【 IP 集合 】 ，查看當前命令集合列表， 點 擊【 添加 IP 集合】 如圖 所示： 網御網絡審計系統(tǒng)（運維安全管控型） 管理員使用手冊 第 39 頁共 85 頁 圖 添加 IP 集合 ? 名稱： 該 IP 集合的名稱，可以使用字母、數(shù)字和中文 ? 起始 IPamp。可從列表直接刪除 AD 域。 用戶 其它操作 選擇導航條上 【 用戶管理 】 ，查看當前用戶列表；如圖 所示： 圖 用戶列表 網御網絡審計系統(tǒng)（運維安全管控型） 管理員使用手冊 第 23 頁共 85 頁 ? 刪除： 從用戶列表中勾選需要刪除的用戶，點擊 【刪除】 可 從系統(tǒng)中刪除該運維用戶 ? 啟用 ： 從用戶列表中勾選需 要禁用的用戶，點擊【禁用】可將此用戶禁用 ? 禁用： 從用戶列表中勾選需要啟用的用戶，點擊【啟用】可將此用戶啟用 ? 移動： 從用戶列表中勾選需要移動到其它組織機構的用戶，點擊【移動】，選擇需要移動到的組織機構名 ? 全部導出 ： 按 系統(tǒng) 定義的格式導出全部用戶列表 ? 導出當前 ： 按 系統(tǒng)定義 的格式導出選中的用戶列表 用戶組織機構 選擇導航條上 【 用戶管理 】 ；查看當前用戶組織機構列表，并可執(zhí)行用戶組織機構管理操作；如圖 所示： 圖 用戶組織機構管理 鼠標指針移動到資源組名稱，顯示操作按鈕： ? 添加： 在 組織機構或已建立的組織機構 名處，點擊 ，即成功添加相應組織機構 ? 修改： 在已建立的 組織機構名處，點擊 ，即可修改組織機構的負責人、電話和備注，名稱為不可修改項 ? 刪除： 在對應的 組織機構名處，點擊 ，即成功刪除相應 組織機構 ? 導出： 在資源組或已建立的組織機構名處，點擊 ，即可將組織機構信息導出 網御網絡審計系統(tǒng)（運維安全管控型） 管理員使用手冊 第 24 頁共 85 頁 4 資源 管理 添加資源 選擇導航條上 【 資源管理 】 — 【 資源 】 ；查看當前資源列表，并可執(zhí)行 【 添加 】 操作；如圖