5、极地内网内控安全管理系统(内控堡垒主机)-操作手册-V311121797.docx

《5、极地内网内控安全管理系统(内控堡垒主机)-操作手册-V311121797.docx》由会员分享，可在线阅读，更多相关《5、极地内网内控安全管理系统(内控堡垒主机)-操作手册-V311121797.docx（50页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、极地内网网内控安安全管理理系统（内控堡堡垒主机机） 操作手手册 北京市海海淀区上上地安宁宁庄西路路9号金金泰富地地大厦88层电话：0010-6266593336传真：0010-6255706602客服：4400-012234-18邮编：11000085网站：wwww.jiddiseec.ccom目 录录一、前言言11.1 文档目目的11.2 读者对对象11.3 文档组组织11.4 技术支支持1二、系统统简介22.1 关键字字22.2 部署结结构32.3 系统登登录4三、单点点登录（SSO）53.1 单点登登录（SSSO）53.1.1 界界面53.1.2 功功能说明明53.1.3 操操作描述述6

2、3.2 单点登登录控件件及工具具安装63.2.1 界界面63.2.2 功功能说明明63.2.3 操操作描述述6四、用户户管理74.1 用户管管理74.1.1 界界面74.1.2 功功能说明明74.1.3 操操作描述述74.1.4 示示例84.2 分组管管理84.2.1 界界面84.2.2 功功能说明明94.2.3 操操作描述述9五、资源源管理95.1 资源管管理95.1.1 资资源管理理界面95.1.2 功功能说明明95.1.3 操操作描述述105.1.4 示示例12六、角色色管理146.1 角色管管理146.1.1 界界面146.1.2 功功能说明明146.1.3 操操作描述述14七、审计计

3、管理157.1 内部审审计管理理157.1.1 界界面157.1.2 功功能说明明167.1.3 操操作描述述167.2 行为审审计管理理167.2.1 界界面167.2.2 功功能说明明167.2.3 操操作描述述177.3 数据库库审计管管理177.3.1 界界面177.3.2 功功能说明明177.3.3 操操作描述述17八、组态态报表188.1 报表查查询188.1.1 界界面188.1.2 功功能说明明188.1.3 操操作描述述188.2 报表管管理198.2.1 界界面198.2.2 功功能说明明198.2.3 操操作描述述198.3 定时报报表218.3.1 界界面218.3.2

4、 功功能说明明218.3.3 操操作描述述218.4 自定义义报表218.4.1 界界面218.4.2 功功能说明明218.4.3 操操作描述述22九、策略略管理229.1 指令字字对象239.1.1 界界面239.1.2 功功能说明明239.1.3 操操作描述述239.2 访问时时间对象象249.2.1 界界面249.2.2 功功能说明明249.2.3 操操作描述述249.3 访问地地址对象象259.3.1 界界面259.3.2 功功能说明明259.3.3 操操作描述述259.4 账户锁锁定策略略269.4.1 界界面269.4.2 功功能说明明269.4.3 操操作描述述269.5 密码策

5、策略279.5.1 界界面279.5.2 功功能说明明279.5.3 操操作描述述279.6 允许策策略289.6.1 界界面289.6.2 功功能说明明289.6.3 操操作描述述289.7 禁止策策略299.7.1 界界面299.7.2 功功能说明明299.7.3 操操作描述述29十、授权权管理3010.11 授权权管理3010.11.1 界面3010.11.2 功能说说明3010.11.3 操作描描述3110.11.4 规则的的锁定和和注销31十一、脚脚本管理理3111.11 脚本本管理3111.11.1 界面3111.11.2 功能说说明3211.11.3 操作描描述32十二、计计划任

6、务务3212.11 资源源帐号口口令修改改计划3212.11.1界界面3212.11.2 功能说说明3312.11.3操操作描述述3312.22 资源源帐号同同步计划划3312.22.1 界面3312.22.2 功能说说明3412.22.3 操作描描述34十三、系系统设置置3513.11 系统统状态3513.11.1界界面3513.11.2 功能说说明3513.11.3 操作描描述3513.22 网络络设置3613.22.1 界面3613.22.2 功能说说明3613.33 系统统升级3613.33.1 界面3613.33.2 功能说说明3613.44 邮箱箱设置3713.44.1 界面371

7、3.44.2 功能说说明3713.55 安全全规则设设置3713.55.1 界面3713.55.2 功能说说明3713.66 Syysloog 设设置3813.66.1 界面3813.66.2 功能说说明3813.77 客户户端安全全检查3813.77.1 界面3813.77.2 功能说说明3813.88 Raadiuus认证证服务器器3913.88.1 界面3913.88.2 功能说说明3913.88.3 操作描描述3913.99 双机机热备3913.99.1 界面3913.99.2 功能说说明3913.99.3 操作描描述40一、前言言欢迎使用用内控堡堡垒主机机系统，本本用户使使用手册册主

8、要介介绍内控控堡垒主主机部署署结构、配置、使用和和管理。通过阅阅读本文文档，用用户可以以了解内内控堡垒垒主机系系统的基基本设计计思想，配配置和使使用方法法。在安安装、使使用内控控堡垒主主机系统统之前，请请仔细阅阅读文档档内容。本章内容容主要包包括：l 本文档的的用途。l 阅读对象象。l 本文档的的组织结结构。l 如何联系系北京极极地安全全技术支支持。1.1 文档目目的本文档主主要介绍绍如何配配置和使使用内控控堡垒主主机系统统。通过过阅读本本文档，用用户能够够正确地地部署和和配置内内控堡垒垒主机系系统。1.2 读者对对象本安装手手册适用用于具有有基本网网络知识识的安全全管理员员、系统统管理员员阅

9、读，通通过阅读读本文档档，他们们可以独独自完成成以下一一些工作作：l 内控堡垒垒主机系系统的功功能使用用。l 内控堡垒垒主机系系统的策策略配置置与管理理。1.3 文档组组织本文档包包括以下下章节及及其主要要内容：l 前言，介介绍了本本手册各各章节的的基本内内容、文文档和技技术支持持信息。l 系统简介介，介绍绍内控堡堡垒主机机系统的的部署结结构和登登录方法法。l 系统应用用，介绍绍如何配配置使用用内控堡堡垒主机机系统。1.4 技术支支持北京极地地公司对对于生产产的安全全产品提提供远程程的产品品咨询服服务，广广大用户户和合作作伙伴可可以通过过多种方方式获取取在线文文档、疑疑难解答答等全方方位的技技

10、术支持持。公司主页页m提供交交互网络络服务，用用户及合合作伙伴伴可以在在世界的的任何地地方，任任何时候候访问 m技术支支持中心心，获取取实时的的网络安安全解决决方案、安全服服务和各各种安全全资料。l 传真: 0100-62257006022l 客服投诉诉电话：0100-62252227622l 客服经理理承接质质量问题题投诉邮邮箱：iinfoom 二、系统统简介内控堡垒垒主机系系统是极极地安全全内控解解决方案案的重要要组成部部分，部部署在企企业的内内部网络络中，用用于保护护企业内内部核心心资源的的访问安安全。内控堡垒垒主机是是一种被被加固的的可以防防御进攻攻的计算算机，具具备很强强安全防防范能

11、力力。内控控堡垒主主机扮演演着看门门者的工工作，所所有对网网络设备备和服务务器的请请求都要要从这扇扇大门经经过。因因此内控控堡垒主主机能够够拦截非非法访问问，和恶恶意攻击击，对不不合法命命令进行行命令阻阻断，过过滤掉所所有对目目标设备备的非法法访问行行为。内控堡垒垒主机具具备强大大的输入入输出审审计功能能，不仅仅能够详详细记录录用户操操作的每每一条指指令，而而且能够够将所有有的输出出信息全全部记录录下来，也也具备图图形终端端操作的的审计功功能，能能够对多多平台的的多种图图形终端端操作做做审计，并并且内控控堡垒主主机具备备审计回回放的功功能，能能够模拟拟用户在在线操作作过程。总之，内内控堡垒垒主

12、机能能够极大大的保护护企业内内部网络络设备及及服务器器资源的的安全性性，使得得企业内内部网络络管理合合理化，专专业化，信信息化。2.1 关键字字用户名：也叫主主帐号，使使用内控控堡垒主主机的用用户统称称为用户户名。资源：内内控堡垒垒主机管管理的主主机系统统，数据据库，网网络设备备等统称称为资源源。例如如AIXX系统、Winndowws20000系系统、DDB2数数据库、CISSCO335600等。从账号：从账号号是资源源中的账账号，例例如AIIX中的的rooot账号号，Wiindoows220000中的Addminnisttrattor账账号。SSO单单点登录录：SSSO（SinngleeSi

13、ggn-OOn）中中文为单单点登录录，就是是说在同同一个地地点完成成对不同同资源的的访问。策略：控控制用户户登录、设置密密码、禁禁止使用用命令、允许访访问命令令的方法法。2.2 部署结结构内控堡垒垒主机部部署逻辑辑图：内控堡垒垒主机部部署物理理图：如图，内内控堡垒垒主机部部署在被被管服务务器区的的访问路路径上。内控堡垒垒主机接接入用户户网络中中的方式式是旁路路，仅需需要为系系统分配配一个IIP，并并确保该地地址与需要运运维的主主机IPP可达，协协议可访访问。可以通过过防火墙墙或者交交换机的的访问控控制策略略限定只只能由内内控堡垒垒主机直直接访问问服务器器的远程程维护端端口。维护人员员维护被被管

14、服务务器或者者网络设设备时，首首先以WWEB方方式登录录内控堡堡垒主机机，内控堡堡垒主机机会根据据系统管管理员预预先设置置好的访访问控制制权限，展展现访问问资源列列表，提提示用户户选择可可以访问问的授权权资源，用用户选择择完成后后会自动动直接登登录到目目标操作作系统或或网络设设备。2.3 系统登登录登录页面面对管理理员及用用户进行行身份认认证，以以及策略略校验，从从而完成成登录。在地址栏栏上输入入系统UURL。例如：htttps:/ ip ，如图图所示，进进入系统统登录页页面。系统默认认的超级级管理员员的帐号号：addminn，密码码：1223。内内控堡垒垒主机启启用后，应应及时修修改口令令，

15、以免免被非法法登录。根据管理理员和用用户的认认证方式式，管理理员和用用户可以以用简单单的静态态用户名名，口令令进行认认证，也也可以持持证书、令牌等等强认证证方式进进行认证证。系统根据据用户相相关登录录策略，例例如：访访问时间间策略、访问地地址策略略、访问问锁定策策略等进进行校验验。如果果通过校校验，用用户可进进入系统统，否则则禁止用用户登录录系统并并给出相相应提示示。三、单点点登录（SSO）3.1 单点登登录（SSSO）3.1.1 界界面3.1.2 功功能说明明单点登录录功能是是用户访访问授权权资源的的统一入入口。通通过此功功能，用用户访问问资源时时只需要要在内控控堡垒主主机上做做一次登登录，

16、之之后就可可以在不不输入用用户名和和密码的的情况下下使用各各种授权权资源。3.1.3 操操作描述述当用户点点击“单单点登录录”时，资资源帐号号列表中中会显示示所有授授权给此此用户的的资源。当用户点点击资源源列表后后的授权权协议方方式按钮钮时，会会自动进进入目标标资源，完完成单点点登录。注意：要要使用单单点登录录功能，必必须安装装单点登登录控件件，可到到“单点点登录-单单点登录录/回访控控件”中中下载单单点登录录控件程程序；就就可以使使用RDDP访问问资源，被被管资源源上要开开启远程程桌面服服务，同同时也可可以使用用SSHH或TELLNETT方式访访问资源源，并且且能够支支持回放放、实时时监控等

17、等功能。单点登录录数据库库时，要要做好准准备工作作，首先先数据库库需要用用户自行行安装对对应数据据库的客客户端，OORACCLE数数据库需需要安装装PLSSQL77 ,MMSSQQL20000/20005/220088，需要要安装SSqlsservver mannageemennt sstuddio 20008。然后“单单点登录录”界面面，找到到数据库库的资源源，点击击协议进进行登录录。3.2 单点登登录控件件及工具具安装3.2.1 界界面3.2.2 功功能说明明用户通过过资源列列表单点点登录到到授权资资源时需需要安装装单点登登录控件件。3.2.3 操操作描述述点击-“单点点登录”进进入单点点

18、登录界界面，右右上方有有单点登登录控件件下载。右键点点击-选择目目标另存存为，下下载完毕毕后关闭闭IE浏浏览器对对控件进进行安装装。Win77用户必必须以管管理员的的身份进进行下载载安装。四、用户户管理4.1 用户管管理4.1.1 界界面4.1.2 功功能说明明用户名是是内控堡堡垒主机机管理员员在内控控堡垒主主机上建建立的资资源使用用帐户，必必须由管管理员在在内控堡堡垒主机机上添加加并且授授权相应应的角色色后的用用户名才才能使用用。用户户管理，实实现用户户名生命命周期管管理的全全部过程程，包括括用创建建用户，用用户授权权，用户户变更，锁锁定用户户，注销销用户。4.1.3 操操作描述述用户管理理

19、：当管管理员点点击目录录中的用用户管理理时，目目录下侧侧显示区区域会显显示用户户列表。用户创建建：管理理员点击击账号管管理中的的添加用用户按钮钮，会进进入用户户基本信信息页面面，管理理员在此此添加新新用户信信息。用户授权权：用户户授权用用于授予予用户访访问被管管资源和和内控堡堡垒主机机管理的的权限。用户变更更：管理理员在用用户管理理页面中中点击用用户名，会会进入用用户变更更页面，用用以变更更用户信信息。用户锁定定：管理理员可以以在用户户变更页页面中点点击锁定定按钮用用以锁定定用户，同同时会锁锁定授权权资源的的访问权权限，并并可以通通过用户户管理下下的操作作下拉列列表直接接锁定激激活用户户。用户

20、注销销：管理理员可以以在用户户列表中中选择所所要注销销的用户户选项，并并选择操操作下拉拉列表中中的注销销用户，按按执行按按钮注销销用户。4.1.4 示示例登录系统统后，点点击用户户管理，进进入用户户管理页页面，点点击添加加用户按按钮，进进入添加加用户信信息页面面。填写用户户的用户户名、姓姓名等信信息，在在这里可可以选择择密码认认证方式式，用户户访问系系统资源源的授权权，用户户分组等等。信息息填写完完毕后，点点击提交交，完成成用户的的添加。下次登录录修改密密码：选选中此复复选框，则则下次登登录则会会提示修修改密码码。管理理员授权权用户的的初始密密码比较较简单，则则需要登登录时修修改密码码。状态：

21、锁锁定则当当前用户户不可登登陆，解解锁则用用户可以以正常登登陆，注注销则删删除当前前账户。4.2 分组管管理4.2.1 界界面4.2.2 功功能说明明分组管理理是管理理员在堡堡垒机上上建立的的各个部部门等的的目录树树，便于于管理员员快速找找到相应应的用户户。4.2.3 操操作描述述点击用户户管理下下树形目目录上方方的管理理，进入入分组管管理页面面，先选选中相应应的节点点，然后后点击增增加同级级或者增增加下级级就可以以进行增增加分组组，选中中相应的的节点点点击删除除则删除除该分组组。在用用户的修修改界面面可以把把相应的的用户移移动到相相应的分分组。五、资源源管理5.1 资源管管理5.1.1 资资

22、源管理理界面5.1.2 功功能说明明资源就是是要通过过内控堡堡垒主机机管理的的各种设设备资源源，内控控堡垒主主机上将将资源类类型划分分为：WWinddowss主机、Winndowws域控控、Wiindoows域域内主机机、Liinuxx主机、Uniix、数数据库（独独立）、数据库库（系统统）、网网络设备备（Raadiuus）、网络设设备（LLocaal）等等。资源源管理实实现被管管资源的的管理和和被管资资源的帐帐号管理理。给用用户授予予操作某某资源的的权限，实实际是将将资源上上的帐号号（也叫叫从帐号号）授权权给用户户使用，因因此管理理员给用用户授权权，要做做如下两两个步骤骤：建立立资源，将将资

23、源授授权给主主账号。5.1.3 操操作描述述资源管理理模块，点点击添加加资源，就就可以进进到资源源编辑页页面。如如果要删删除或者者锁定资资源，先先选中要要进行操操作的资资源，然然后在操操作后面面的下拉拉列表框框选择相相应的操操作，点点击执行行即可。5.1.3.11 添加加Winndowws、UUnixx、Liinuxx、网络络设备资资源1、首先先点击资资源添加加按钮，进进入编辑辑页面。2、填写写资源名名称，以以便识别别。3、选择择资源的的类型（比比如Wiindoows主主机、LLinuux主机机等）。4、填写写资源IIP和连连接IPP，这两两个IPP皆为被被管资源源IP。5、在所所属组，给给资

24、源选选择相应应的组，以以便管理理（此为为可选项项）。6、在授授权端口口，选择择运维改改资源所所采用的的协议：RDP协协议：远远程桌面面，必须须该资源源开启333899端口，此此协议只只适用于于Winndowws系统统。SSH协协议：SSSH协协议是一一种远程程命令行行运维的的方式，该该协议采采用的加加密方式式，采用用SSHH协议进进行运维维比Teelneet更具具安全性性。（资源源必须开开启了SSSH协协议，默默认端口口22）Telnnet协协议：SSSH协协议是一一种远程程命令行行运维方方式，一一般交换换机、路路由器设设备采用用Tellnett协议进进行运维维。（资资源必须须开启TTelnn

25、et协协议，默默认端口口23）FTP协协议：传传统的文文件传输输协议，可可以与服服务器之之间进行行上传和和下载文文件。（必必须在服服务器上上建立了了FTPP服务器器，默认认端口221）SFTPP协议：安全文件件传送协协议，可以为为传输文文件提供供一种安安全的加加密方法法。sfftp 与 fftp 有着几几乎一样样的语法法和功能能。（默默认端口口22）X11协协议：XXwinndowws协议议，此协协议是用用于连接接Linnux、Uniix等系系统的图图像化界界面的。（资源源必须要要装有图图形化界界面才能能使用该该协议，运运维计算算机必须须装有XXmannageer，默默认端口口22）VNC协协

26、议：VVNC也也是一种种图形化化界面的的协议，要要使用此此协议服服务器端端必须要要装有VVNC服服务器端端，在配配置账号号的时候候账号拦拦随便起起名字，而而密码则则是服务务器端的的VNCC密码。（服务务器端默默认端口口59000，运运维端默默认端口口56000）7、账号号收集信信息，这这个功能能是用于于收集该该资源的的所有账账号的，包包括数据据库账号号，系统统登陆账账号等等等，需要要填写的的是超级级管理员员的账号号和密码码。账号号收集需需要保存存退出后后，通过过修改模模式进入入资源编编辑页面面才能够够显示出出账号收收集按钮钮。（不不推荐使使用,收收集出来来的账号号太多）8、资源源从账号号，在这

27、这个地方方填写该该资源的的登陆系系统账号号和密码码。9、保存存，完成成资源的的添加。5.1.3.22 添加加数据库库资源添加数据据库资源源其他配配置都和和上面一一样，需需要注意意的是授授权端口口变成了了数据库库信息，数数据库信信息必须须要填写写数据库库名称，数数据库服服务，数数据库类类型，还还有数据据可占用用的窗口口，另外外在运维维机必须须装有MMYSQQL7.0版本本和数据据库客户户端。5.1.3.33 添加加webb应用1、首先先进入到到添加资资源页面面。2、资源源类型选选择weeb资源源，其他他照旧。3、端口口按照实实际情况况填写。4、账号号按实际际情况填填写。5、根据据账号的的多少选选

28、择参数数个数。6、登陆陆urll去该系系统的登登陆页面面查找填填写用户户名和密密码的那那个foorm表表单上的的.acctioon，然然后就是是访问的的ip地址址加上那那个.aactiion这这个。比比如htttpss:/1922.1668.11.1110/ffortt/looginn/chheckk.acctioon。7、登陆陆名表单单就是填填写代码码里的用用户名输输入框的的namme，登登陆密码码就是填填写密码码框的nnamee，参数数名称对对应账号号和密码码，然后后保存。(注意：WEBB系统单单点登录录需要使使用者分分析对应应WEBB系统登登录模块块脚本，找找到相关关验证参参数，包包括：

29、登登录验证证URLL地址、 用户户名表单单名称，密密码表单单名称等等，再建建立从帐帐号即可可WEBB单点登登录。由由于配置置WEBB单点登登录需要要有网络络管理基基础，请请使用者者寻找企企业网络络管理员员配合下下进行配配置。)5.1.3.44 各种种资源类类型配置置特别说说明l Unixx主机，代代表所有有类Unnix系系统，例例如：HHP UUnixx、AIIX、SSun Sollariis、FFreeeBSDD等。l Linuux主机机，代表表所有的的Linnxu系系统，例例如：RRedHHat、Debbiann等。l Winddowss主机，此资源有两种连接方式，分别是Telnet和代理

30、程序。Windows的Telnet不稳定，所以建议使用代理程序连接。如果采用Telnet连接，需要将Windows操作系统的Telnet服务打开。如果使用代理程序连接，则不必配置管理员和管理员密码即可做帐号收集和同步。l Winddowss主机（域域控制器器），此此资源有有两种连连接方式式，分别别是Teelneet和代代理程序序。建议议采用代代理程序序连接。Winndowws域控控服务器器的帐号收集集会收集集所有域域帐号。l Winddowss主机（域域内），此资源没有依赖于Windows域控服务器中的帐号，添加时除了名称和IP，要配置所属域控服务器。l 数据库（独独立），此此处的独独立数据据

31、库指帐帐号和操操作系统统不共用用的数据据库，例例如Orraclle、SSql Serrverr、Myysqll、Syybasse等。l 数据库（系系统），此此处的系系统数据据库指帐帐号和操操作系统统共用的的数据库库，例如如DB22、Innforrmixx等。l 网络设备备（Raadiuus），指指3A指向向内控堡堡垒主机机的网络络设备（内控堡垒主机内含Radius服务器，可以作为网络设备的认证服务器）。此种资源不用定义从帐号即可授权。l 网络设备备（Loocall），没没有配置置3A或者者3A没有有指向内内控堡垒垒主机的的网络设设备。此此种资源源需要定定义从帐帐号才能能做授权权。l Webb应

32、用，通通过IEE访问的的软件（BB/S架架构，登登陆无验验证码）。5.1.4 示示例登录系统统后，点点击资源源管理，进进入资源源管理页页面，在在图中上上方点击击添加资资源按钮钮进入资资源的编编辑页面面：配置项含含义如下下：l 资源名称称：资源源的名称称。l 资源IPP ：资资源的IIP地址址。l 资源类型型：资源源属于什什么类型型的系统统。l 连接方式式：连接接资源进进行资源源收集管管理使用用的协议议。l 连接IPP： 用于收收集资源源账号的的IP地地址。l 端口 ：协议使使用的端端口。l 超时：当当连接资资源时如如果超出出此时间间就提示示连接超超时。l 管理员： 用于于收集资资源账号号的管理

33、理员账号号。要求求拥有添添加删除除账号权权限。l 策略 ：指定资资源账号号的密码码限制策策略。如如果资源源有密码码策略，则则密码修修改计划划会按照照此密码码策略中中的要求求生成随随机密码码。l 管理员密密码 ：管理员员账号的的密码。l 备注 ：资源的的描述信信息。l 授权端口口：授权权相应协协议端口口。l 状态：资资源状态态，激活活可用/锁定不不可用。如果要进进行资源源帐号的的收集和和管理，则则协议、管理员员、密码码、提示示符这几几项是必必须配置置项。这这几项配配置完毕毕后可以以点击下下面的收收集帐号号按键进进行帐号号收集，点点击收集集帐号后后会有成成功失败败的提示示。帐号号收集功功能只能能收

34、集到到帐号名名称，需需要配置置密码后后才能用用于授权权。如果不进进行资源源从帐号号的收集集，也可可以手工工定义。点击资资源后面面的帐号号按键进进入资源源从帐号号列表界界面，然然后点击击添加按按键进行行从帐号号的添加加。六、角色色管理6.1 角色管管理6.1.1 界界面6.1.2 功功能说明明角色管理理是系统统管理员员定制系系统角色色的模块块，可以以对不同同角色分分配相应应权限。如：可可以定义义资源管管理角色色，该角角色拥有有资源管管理的权权限，则则把此角角色授权权给自然然人后，该该自然人人就可以以进行资资源管理理了。还可以查查看最近近新增角角色和最最近修改改角色，所所有的角角色是按按时间来来排

35、序的的！6.1.3 操操作描述述用户认证证成功登登录系统统后，点点击导航航目录中中的角色色管理进进入角色色管理页页面 。添加角色色：点击击添加角角色按钮钮，进入入角色信信息编辑辑页面。如图用户/组组：在此此处给把把该角色色给相应应的组或或者给单单个用户户进行授授权，让让该组或或者该用用户拥有有相应的的资源授授权和管管理权限限。资源/组组：给该该角色授授权相应应的资源源访问权权限。管理权限限：给该该用户或或者用户户组授权权相应的的管理权权限。七、审计计管理7.1 内部审审计管理理7.1.1 界界面7.1.2 功功能说明明内部审计计实现内内控堡垒垒主机自自身日志志的审计计，可以以点击查查询查找找符

36、合条条件的审审计记录录。审计计内容包包括，帐帐号登入入登出情情况，资资源变更更，用户户变更等等情况。7.1.3 操操作描述述内控堡垒垒主机内内部审计计模块，当当管理员员点击内内部审计计时，内内部审计计列表会会显示审审计结果果列表。管理员在在内部审审计列表表中点击击查询按按钮进入入查询条条件选择择页面，输输入查询询条件点点击查询询按钮，可可以查找找满足条条件的日日志信息息。7.2 行为审审计管理理7.2.1 界界面7.2.2 功功能说明明行为审计计实现操操作日志志的审计计，可以以点击查查询查找找符合条条件的审审计记录录。对于于字符型型的资源源，有三三种审计计展现形形式：内内容、命命令、回回放。内

37、内容是资资源操作作的所有有指令和和对应结结果的一一次性展展现；命命令是资资源操作作的所有有指令执执行情况况；回放放是资源源操作过过程的录录像回放放。对于于图形的的资源访访问方式式有一种种展现方方式：回回放，是是图形资资源操作作过程的的录像回回放。审计分为为两种，一一种是事事后审计计，一种种是实时时审计。上面说说的基本本上是事事后审计计，如果果操作人人员对资资源的操操作还没没有结束束，则审审计记录录上会多多出一种种监视的的展现方方式，点点击监视视可以实实时查看看资源使使用者对对资源的的操作过过程。7.2.3 操操作描述述内控堡垒垒主机行行为审计计模块，当当管理员员点击行行为审计计时，行行为审计计

38、列表会会显示审审计结果果列表。点击会会话中的的“内容容”、“命命令”、“回放放”、“监监视”可可以相应应的显示示审计到到的内容容。对于于录像的的回放，可可以通过过播放工工具条调调整播放放状态、速度、进度等等。管理员在在行为审审计列表表中点击击查询按按钮进入入查询条条件选择择页面，输输入查询询条件点点击查询询按钮，可可以查找找满足条条件的日日志信息息。7.3 数据库库审计管管理7.3.1 界界面7.3.2 功能说说明通过数据据库审计计可以看看到管理理员对数数据库的的操作内内容，并并且能够够显示数数据库的的类型、IP地地址。在在操作者者方面可可以看到到操作者者的IPP、操作作时间。最后也也能看到到

39、审计级级别！ 7.3.3 操作描描述内控堡垒垒主机数数据库审审计模块块，当管管理员点点击数据据库审计计时，数数据库审审计列表表会显示示审计结结果列表表。管理员在在数据库库审计列列表中点点击查询询按钮进进入查询询条件选选择页面面，输入入查询条条件点击击查询按按钮，可可以查找找满足条条件的日日志信息息。并能能导出EEXCEEL文件件。八、组态态报表8.1 报表查查询8.1.1 界界面8.1.2 功功能说明明组态报表表模块提提供报表表查询、报表管管理、定定时报表表的功能能。管理理员可以以通过报报表名称称，报表表类型和和创建时时间来查查询并且且管理报报表。组组态报表表模块最最主要的的是提供供了组态态报

40、表模模版，组组态报表表模版的的类型可可以分为为静态模模版和动动态模版版。比如如属于动动态模版版的访问问协议统统计报表表，属于于静态模模版的WWinddowss用户访访问统计计报表、Uniix访问问协议统统计报表表和Raadiuus用户户访问统统计报表表。在报报表的管管理中有有查询统统计功能能，统计计结果支支持图形形显示。定时报报表是让让报表在在不同的的时间段段内起到到不同的的功能。8.1.3 操操作描述述以Uniix主机机用户访访问统计计报表为为例，认认证成功功登录系系统后，点点击“组组态报表表”，所所有的报报表会以以列表的的形式显显示在组组态报表表的界面面中，然然后按照照查询条条件输入入“U

41、nnix主主机用户户访问统统计报表表”，点点击“查查询”就就会找到到相应的的报表。并且对对相应的的报表进进行导出出！如果想更更详细的的管理查查询报表表可以点点击“报报表管理理”，再再报表管管理界面面中支持持模糊查查询、支支持图形形显示。看查询询结果会会更加的的直观！定时报报表会按按照所选选的日期期形成所所需要的的报表！8.2 报表管管理8.2.1 界界面8.2.2 功功能说明明报表管理理是对所所有的报报表进行行管理，包包括查询询条件设设置、分分页和报报表模版版的选择择等。报报表的查查询管理理还支持持图形显显示，在在图形显显示中可可选图的的横轴、纵轴和和TOPP值等。在上面面所说过过的报表表模版

42、分分为静态态模版和和动态模模版，其其中静态态模版没没有查询询条件的的选择。8.2.3 操操作描述述点击-“组态态报表”-“报报表管理理”会出出现以上上的界面面，在“切切换模版版”的下下拉菜单单中选择择要查询询统计的的报表，然然后选择择“分页页”来显显示页数数。如果果是动态态模版还还可以选选择“查查询条件件设置”。在右侧的的“图形形显示”中中选择图图形的TTOP值值、横轴轴、纵轴轴。选择好后后点击“查查询”按按钮，会会出现各各种图形形显示，如如下图:8.2.3.11 列表表形式显显示上图是以以列表的的形显示示报表，它它可以以以各种格格式的导导出报表表，包括括：TXXT、EEXCLLE、CCSV、

43、HTMML、WWORDD、PDDF等六六种格式式。8.2.3.22 饼图图形式显显示8.2.3.33 雷达达图形式式显示还有柱状状图、折折线图等等显示方方式，只只要点击击上方的的显示名名称即可可。8.3 定时报报表8.3.1 界界面8.3.2 功功能说明明定时报表表更加人人性化的的对报表表进行管管理。在在选中报报表的前前提下可可以定时时的执行行选中的的报表，省省去了人人工定时时的操作作。可以以对报表表进行时时间设置置，其中中按周设设置即周周一到周周日。还还可以按按日控制制，即一一个月内内的300天。8.3.3 操操作描述述点击-“组态态报表”-“定定时报表表”会出出现以上上的界面面，在“模模版

44、类型型选择”的的下拉菜菜单中选选择报表表类型，然然后选择择“模版版选择”窗窗口中选选择报表表。时间设置置里选择择“按周周”、“按按日”来来让选择择好的报报表进行行操作。最后“保保存”设设置。8.4 自定义义报表8.4.1 界界面8.4.2 功功能说明明自定义报报表是方方便管理理查询想想要的数数据，所所设定的的自定义义模版，如如上图所所示，可可以对某某个表进进行人员员筛选。8.4.3 操操作描述述点击-“组态态报表”-“自自定义报报表”会会出现以以下的界界面在这里可可以选择择“模版版名称”，在在“自定定义sqql”的的框中写写上查询询语句，点点击“查查询”，就就会显示示出所选选报表要要查询的的内

45、容。也可以点点击“添添加按钮钮”，在在出现的的界面中中填写好好“报表表名称”、“sqql语句句”和“描描述”，点点击“保保存”，转转入上面面的界面面。选中中建好的的报表，点点击“执执行”，就就会出现现查询结结果，如如下图所所示：如果想继继续执行行别的报报表，点点击“返返回”按按钮，继继续执行行即可。九、策略略管理策略是针针对主帐帐号和从从帐号的的，因此此策略建建立后，必必须在主主帐号和和从帐号号中应用用策略，策策略才能能生效。9.1 指令字字对象9.1.1 界界面添加指令令对象界界面：9.1.2 功功能说明明指令字对对象是一一个添加加指令的的集合对对象，通通过结合合时间对对象、地地址对象象组合成成为不同同的策略略。主要要包括允允许策略略、禁止止策略两两