5、极地内网内控安全管理系统(内控堡垒主机)-操作手册-V311122319.docx

《5、极地内网内控安全管理系统(内控堡垒主机)-操作手册-V311122319.docx》由会员分享，可在线阅读，更多相关《5、极地内网内控安全管理系统(内控堡垒主机)-操作手册-V311122319.docx（63页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Evaluation Warning: The document was created with Spire.Doc for .NET.极地内网内内控安全全管理系系统（内控堡垒垒主机） 操操作手册册 北京市海淀淀区上地地安宁庄庄西路99号金泰泰富地大大厦8层层电话：0110-66265593336传真：0110-66257706002客服：4000-0012334-118邮编：10000885网站：wwww.jjidiisecc.coom目 录一、前言11.1 文文档目的的11.2 读读者对象象11.3 文文档组织织11.4 技技术支持持1二、系统简简介22.1 关关键字22.2 部部署结构

2、构32.3 系系统登录录4三、单点登登录（SSSO）53.1 单单点登录录（SSSO）53.1.11 界面面53.1.22 功能能说明53.1.33 操作作描述63.2 单单点登录录控件及及工具安安装63.2.11 界面面63.2.22 功能能说明63.2.33 操作作描述6四、用户管管理74.1 用用户管理理74.1.11 界面面74.1.22 功能能说明74.1.33 操作作描述74.1.44 示例例84.2 分分组管理理84.2.11 界面面84.2.22 功能能说明94.2.33 操作作描述9五、资源管管理95.1 资资源管理理95.1.11 资源源管理界界面95.1.22 功能能说明

3、95.1.33 操作作描述105.1.44 示例例12六、角色管管理146.1 角角色管理理146.1.11 界面面146.1.22 功能能说明146.1.33 操作作描述14七、审计管管理157.1 内内部审计计管理157.1.11 界面面157.1.22 功能能说明167.1.33 操作作描述167.2 行行为审计计管理167.2.11 界面面167.2.22 功能能说明167.2.33 操作作描述177.3 数数据库审审计管理理177.3.11 界面面177.3.22 功能能说明177.3.33 操作作描述17八、组态报报表188.1 报报表查询询188.1.11 界面面188.1.22

4、 功能能说明188.1.33 操作作描述188.2 报报表管理理198.2.11 界面面198.2.22 功能能说明198.2.33 操作作描述198.3 定定时报表表218.3.11 界面面218.3.22 功能能说明218.3.33 操作作描述218.4 自自定义报报表218.4.11 界面面218.4.22 功能能说明218.4.33 操作作描述22九、策略管管理229.1 指指令字对对象239.1.11 界面面239.1.22 功能能说明239.1.33 操作作描述239.2 访访问时间间对象249.2.11 界面面249.2.22 功能能说明249.2.33 操作作描述249.3 访

5、访问地址址对象259.3.11 界面面259.3.22 功能能说明259.3.33 操作作描述259.4 账账户锁定定策略269.4.11 界面面269.4.22 功能能说明269.4.33 操作作描述269.5 密密码策略略279.5.11 界面面279.5.22 功能能说明279.5.33 操作作描述279.6 允允许策略略289.6.11 界面面289.6.22 功能能说明289.6.33 操作作描述289.7 禁禁止策略略299.7.11 界面面299.7.22 功能能说明299.7.33 操作作描述29十、授权管管理3010.1 授权管管理3010.1.1 界界面3010.1.2 功

6、功能说明明3010.1.3 操操作描述述3110.1.4 规规则的锁锁定和注注销31十一、脚本本管理3111.1 脚本管管理3111.1.1 界界面3111.1.2 功功能说明明3211.1.3 操操作描述述32十二、计划划任务3212.1 资源帐帐号口令令修改计计划3212.1.1界面面3212.1.2 功功能说明明3312.1.3操作作描述3312.2 资源帐帐号同步步计划3312.2.1 界界面3312.2.2 功功能说明明3412.2.3 操操作描述述34十三、系统统设置3513.1 系统状状态3513.1.1界面面3513.1.2 功功能说明明3513.1.3 操操作描述述3513.

7、2 网络设设置3613.2.1 界界面3613.2.2 功功能说明明3613.3 系统升升级3613.3.1 界界面3613.3.2 功功能说明明3613.4 邮箱设设置3713.4.1 界界面3713.4.2 功功能说明明3713.5 安全规规则设置置3713.5.1 界界面3713.5.2 功功能说明明3713.6 Sysslogg 设置置3813.6.1 界界面3813.6.2 功功能说明明3813.7 客户端端安全检检查3813.7.1 界界面3813.7.2 功功能说明明3813.8 Raddiuss认证服服务器3913.8.1 界界面3913.8.2 功功能说明明3913.8.3

8、操操作描述述3913.9 双机热热备3913.9.1 界界面3913.9.2 功功能说明明3913.9.3 操操作描述述40一、前言欢迎使用内内控堡垒垒主机系系统，本本用户使使用手册册主要介介绍内控控堡垒主主机部署署结构、配配置、使使用和管管理。通通过阅读读本文档档，用户户可以了了解内控控堡垒主主机系统统的基本本设计思思想，配配置和使使用方法法。在安安装、使使用内控控堡垒主主机系统统之前，请请仔细阅阅读文档档内容。本章内容主主要包括括：l 本文档的用用途。l 阅读对象。l 本文档的组组织结构构。l 如何联系北北京极地地安全技技术支持持。1.1 文文档目的的本文档主要要介绍如如何配置置和使用用内

9、控堡堡垒主机机系统。通通过阅读读本文档档，用户户能够正正确地部部署和配配置内控控堡垒主主机系统统。1.2 读读者对象象本安装手册册适用于于具有基基本网络络知识的的安全管管理员、系系统管理理员阅读读，通过过阅读本本文档，他他们可以以独自完完成以下下一些工工作：l 内控堡垒主主机系统统的功能能使用。l 内控堡垒主主机系统统的策略略配置与与管理。1.3 文文档组织织本文档包括括以下章章节及其其主要内内容：l 前言，介绍绍了本手手册各章章节的基基本内容容、文档档和技术术支持信信息。l 系统简介，介介绍内控控堡垒主主机系统统的部署署结构和和登录方方法。l 系统应用，介介绍如何何配置使使用内控控堡垒主主机

10、系统统。1.4 技技术支持持北京极地公公司对于于生产的的安全产产品提供供远程的的产品咨咨询服务务，广大大用户和和合作伙伙伴可以以通过多多种方式式获取在在线文档档、疑难难解答等等全方位位的技术术支持。公司主页wwww.jiddiseec.ccom提提供交互互网络服服务，用用户及合合作伙伴伴可以在在世界的的任何地地方，任任何时候候访问 m技术支支持中心心，获取取实时的的网络安安全解决决方案、安安全服务务和各种种安全资资料。l 传真: 0010-6255706602l 客服投诉电电话：0010-6255227762l 客服经理承承接质量量问题投投诉邮箱箱：innfojiddiseec.ccom 二、

11、系统简简介内控堡垒主主机系统统是极地地安全内内控解决决方案的的重要组组成部分分，部署署在企业业的内部部网络中中，用于于保护企企业内部部核心资资源的访访问安全全。内控堡垒主主机是一一种被加加固的可可以防御御进攻的的计算机机，具备备很强安安全防范范能力。内内控堡垒垒主机扮扮演着看看门者的的工作，所所有对网网络设备备和服务务器的请请求都要要从这扇扇大门经经过。因因此内控控堡垒主主机能够够拦截非非法访问问，和恶恶意攻击击，对不不合法命命令进行行命令阻阻断，过过滤掉所所有对目目标设备备的非法法访问行行为。内控堡垒主主机具备备强大的的输入输输出审计计功能，不不仅能够够详细记记录用户户操作的的每一条条指令，

12、而而且能够够将所有有的输出出信息全全部记录录下来，也也具备图图形终端端操作的的审计功功能，能能够对多多平台的的多种图图形终端端操作做做审计，并并且内控控堡垒主主机具备备审计回回放的功功能，能能够模拟拟用户在在线操作作过程。总总之，内内控堡垒垒主机能能够极大大的保护护企业内内部网络络设备及及服务器器资源的的安全性性，使得得企业内内部网络络管理合合理化，专专业化，信信息化。2.1 关关键字用户名：也也叫主帐帐号，使使用内控控堡垒主主机的用用户统称称为用户户名。资源：内控控堡垒主主机管理理的主机机系统，数数据库，网网络设备备等统称称为资源源。例如如AIXX系统、WWinddowss20000系统统、

13、DBB2数据据库、CCISCCO35560等等。从账号：从从账号是是资源中中的账号号，例如如AIXX中的rooot账账号，WWinddowss20000中的的Admminiistrratoor账号号。SSO单点点登录：SSOO（SinngleeSiggn-OOn）中中文为单单点登录录，就是是说在同同一个地地点完成成对不同同资源的的访问。策略：控制制用户登登录、设设置密码码、禁止止使用命命令、允允许访问问命令的的方法。2.2 部部署结构构内控堡垒主主机部署署逻辑图图：内控堡垒主主机部署署物理图图：如图，内控控堡垒主主机部署署在被管管服务器器区的访访问路径径上。内控堡垒主主机接入入用户网网络中的的

14、方式是是旁路，仅仅需要为为系统分分配一个个IP，并并确保该地地址与需要运运维的主主机IPP可达，协协议可访访问。可以通过防防火墙或或者交换换机的访访问控制制策略限限定只能能由内控控堡垒主主机直接接访问服服务器的的远程维维护端口口。维护人员维维护被管管服务器器或者网网络设备备时，首首先以WWEB方方式登录录内控堡堡垒主机机，内控堡堡垒主机机会根据据系统管管理员预预先设置置好的访访问控制制权限，展展现访问问资源列列表，提提示用户户选择可可以访问问的授权权资源，用用户选择择完成后后会自动动直接登登录到目目标操作作系统或或网络设设备。2.3 系系统登录录登录页面对对管理员员及用户户进行身身份认证证，以

15、及及策略校校验，从从而完成成登录。在地址栏上上输入系系统URRL。例例如：hhttpps:/ iip ，如图图所示，进进入系统统登录页页面。系统默认的的超级管管理员的的帐号：aadmiin，密密码：1123。内控堡垒主机启用后，应及时修改口令，以免被非法登录。根据管理员员和用户户的认证证方式，管管理员和和用户可可以用简简单的静静态用户户名，口口令进行行认证，也也可以持持证书、令令牌等强强认证方方式进行行认证。系统根据用用户相关关登录策策略，例例如：访访问时间间策略、访访问地址址策略、访访问锁定定策略等等进行校校验。如如果通过过校验，用用户可进进入系统统，否则则禁止用用户登录录系统并并给出相相应

16、提示示。三、单点登登录（SSSO）3.1 单单点登录录（SSSO）3.1.11 界面面3.1.22 功能能说明单点登录功功能是用用户访问问授权资资源的统统一入口口。通过过此功能能，用户户访问资资源时只只需要在在内控堡堡垒主机机上做一一次登录录，之后后就可以以在不输输入用户户名和密密码的情情况下使使用各种种授权资资源。3.1.33 操作作描述当用户点击击“单点点登录”时时，资源源帐号列表表中会显显示所有有授权给给此用户户的资源源。当用户点击击资源列列表后的的授权协协议方式式按钮时时，会自自动进入入目标资资源，完完成单点点登录。注意：要使使用单点点登录功功能，必必须安装装单点登登录控件件，可到到“

17、单点点登录-单单点登录录/回访控控件”中中下载单单点登录录控件程程序；就就可以使使用RDDP访问问资源，被被管资源源上要开开启远程程桌面服服务，同同时也可可以使用用SSHH或TELLNETT方式访访问资源源，并且且能够支支持回放放、实时时监控等等功能。单点登录数数据库时时，要做做好准备备工作，首首先数据据库需要要用户自自行安装装对应数数据库的的客户端端，ORRACLLE数据据库需要要安装PPLSQQL7 ,MSSSQLL20000/220055/20008，需需要安装装Sqllserrverr maanaggemeent stuudioo 20008。然后“单点点登录”界界面，找找到数据据库的

18、资资源，点点击协议议进行登登录。3.2 单单点登录录控件及及工具安安装3.2.11 界面面3.2.22 功能能说明用户通过资资源列表表单点登登录到授授权资源源时需要要安装单单点登录录控件。3.2.33 操作作描述点击-“单单点登录录”进入入单点登登录界面面，右上上方有单单点登录录控件下下载。右右键点击击-选选择目标标另存为为，下载载完毕后后关闭IIE浏览览器对控控件进行行安装。Win7用用户必须须以管理理员的身身份进行行下载安安装。四、用户管管理4.1 用用户管理理4.1.11 界面面4.1.22 功能能说明用户名是内内控堡垒垒主机管管理员在在内控堡堡垒主机机上建立立的资源源使用帐帐户，必必须

19、由管管理员在在内控堡堡垒主机机上添加加并且授授权相应应的角色色后的用用户名才才能使用用。用户户管理，实实现用户户名生命命周期管管理的全全部过程程，包括括用创建建用户，用用户授权权，用户户变更，锁锁定用户户，注销销用户。4.1.33 操作作描述用户管理：当管理理员点击击目录中中的用户户管理时时，目录录下侧显显示区域域会显示示用户列列表。用户创建：管理员员点击账账号管理理中的添添加用户户按钮，会会进入用用户基本本信息页页面，管管理员在在此添加加新用户户信息。用户授权：用户授授权用于于授予用用户访问问被管资资源和内内控堡垒垒主机管管理的权权限。用户变更：管理员员在用户户管理页页面中点点击用户户名，会

20、会进入用用户变更更页面，用用以变更更用户信信息。用户锁定：管理员员可以在在用户变变更页面面中点击击锁定按按钮用以以锁定用用户，同同时会锁锁定授权权资源的的访问权权限，并并可以通通过用户户管理下下的操作作下拉列列表直接接锁定激激活用户户。用户注销：管理员员可以在在用户列列表中选选择所要要注销的的用户选选项，并并选择操操作下拉拉列表中中的注销销用户，按按执行按按钮注销销用户。4.1.44 示例例登录系统后后，点击击用户管管理，进进入用户户管理页页面，点点击添加加用户按按钮，进进入添加加用户信信息页面面。填写用户的的用户名名、姓名名等信息息，在这这里可以以选择密密码认证证方式，用用户访问问系统资资源

21、的授授权，用用户分组组等。信信息填写写完毕后后，点击击提交，完完成用户户的添加加。下次登录修修改密码码：选中中此复选选框，则则下次登登录则会会提示修修改密码码。管理理员授权权用户的的初始密密码比较较简单，则则需要登登录时修修改密码码。状态：锁定定则当前前用户不不可登陆陆，解锁锁则用户户可以正正常登陆陆，注销销则删除除当前账账户。4.2 分分组管理理4.2.11 界面面4.2.22 功能能说明分组管理是是管理员员在堡垒垒机上建建立的各各个部门门等的目目录树，便便于管理理员快速速找到相相应的用用户。4.2.33 操作作描述点击用户管管理下树树形目录录上方的的管理，进进入分组组管理页页面，先先选中相

22、相应的节节点，然然后点击击增加同同级或者者增加下下级就可可以进行行增加分分组，选选中相应应的节点点点击删删除则删删除该分分组。在在用户的的修改界界面可以以把相应应的用户户移动到到相应的的分组。五、资源管管理5.1 资资源管理理5.1.11 资源源管理界界面5.1.22 功能能说明资源就是要要通过内内控堡垒垒主机管管理的各各种设备备资源，内控堡垒主机上将资源类型划分为：Windows主机、Windows域控、Windows域内主机、Linux主机、Unix、数据库（独立）、数据库（系统）、网络设备（Radius）、网络设备（Local）等。资源管理实现被管资源的管理和被管资源的帐号管理。给用户授

23、予操作某资源的权限，实际是将资源上的帐号（也叫从帐号）授权给用户使用，因此管理员给用户授权，要做如下两个步骤：建立资源，将资源授权给主账号。5.1.33 操作作描述资源管理模模块，点点击添加加资源，就就可以进进到资源源编辑页页面。如如果要删删除或者者锁定资资源，先先选中要要进行操操作的资资源，然然后在操操作后面面的下拉拉列表框框选择相相应的操操作，点点击执行行即可。5.1.33.1 添加WWinddowss、Unnix、LLinuux、网网络设备备资源1、首先点点击资源源添加按按钮，进进入编辑辑页面。2、填写资资源名称称，以便便识别。3、选择资资源的类类型（比比如Wiindoows主主机、LL

24、inuux主机机等）。4、填写资资源IPP和连接接IP，这这两个IIP皆为为被管资资源IPP。5、在所属属组，给给资源选选择相应应的组，以以便管理理（此为为可选项项）。6、在授权权端口，选选择运维维改资源源所采用用的协议议：RDP协议议：远程程桌面，必须该资源开启3389端口，此协议只适用于Windows系统。SSH协议议：SSSH协议议是一种种远程命命令行运运维的方方式，该该协议采采用的加加密方式式，采用用SSHH协议进进行运维维比Teelneet更具具安全性性。（资源源必须开开启了SSSH协协议，默默认端口口22）Telneet协议议：SSSH协议议是一种种远程命命令行运运维方式式，一般般

25、交换机机、路由由器设备备采用TTelnnet协协议进行行运维。（资资源必须须开启TTelnnet协协议，默默认端口口23）FTP协议议：传统统的文件件传输协协议，可可以与服服务器之之间进行行上传和和下载文文件。（必必须在服服务器上上建立了了FTPP服务器器，默认认端口221）SFTP协协议：安安全文件件传送协协议，可以为为传输文文件提供供一种安安全的加加密方法法。sfftp 与 fftp 有着几几乎一样样的语法法和功能能。（默默认端口口22）X11协议议：Xwwinddowss协议，此此协议是是用于连连接Liinuxx、Unnix等等系统的的图像化化界面的的。（资源源必须要要装有图图形化界界面

26、才能能使用该该协议，运运维计算算机必须须装有XXmannageer，默默认端口口22）VNC协议议：VNNC也是是一种图图形化界界面的协协议，要要使用此此协议服服务器端端必须要要装有VVNC服服务器端端，在配配置账号号的时候候账号拦拦随便起起名字，而而密码则则是服务务器端的的VNCC密码。（服服务器端端默认端端口59900，运运维端默默认端口口56000）7、账号收收集信息息，这个个功能是是用于收收集该资资源的所所有账号号的，包包括数据据库账号号，系统统登陆账账号等等等，需要要填写的的是超级级管理员员的账号号和密码码。账号号收集需需要保存存退出后后，通过过修改模模式进入入资源编编辑页面面才能够

27、够显示出出账号收收集按钮钮。（不不推荐使使用,收收集出来来的账号号太多）8、资源从从账号，在在这个地地方填写写该资源源的登陆陆系统账账号和密密码。9、保存，完完成资源源的添加加。5.1.33.2 添加数数据库资资源添加数据库库资源其其他配置置都和上上面一样样，需要要注意的的是授权权端口变变成了数数据库信信息，数数据库信信息必须须要填写写数据库库名称，数数据库服服务，数数据库类类型，还还有数据据可占用用的窗口口，另外外在运维维机必须须装有MMYSQQL7.0版本本和数据据库客户户端。5.1.33.3 添加wweb应应用1、首先进进入到添添加资源源页面。2、资源类类型选择择webb资源，其其他照旧

28、旧。3、端口按按照实际际情况填填写。4、账号按按实际情情况填写写。5、根据账账号的多多少选择择参数个个数。6、登陆uurl去去该系统统的登陆陆页面查查找填写写用户名名和密码码的那个个forrm表单单上的.acttionn，然后后就是访访问的iip地址址加上那那个.aactiion这这个。比比如htttpss:/1922.1668.11.1110/ffortt/looginn/chheckk.acctioon。7、登陆名名表单就就是填写写代码里里的用户户名输入入框的nnamee，登陆陆密码就就是填写写密码框框的naame，参参数名称称对应账账号和密密码，然然后保存存。(注意：WWEB系系统单点点

29、登录需需要使用用者分析析对应WWEB系系统登录录模块脚脚本，找找到相关关验证参参数，包包括：登登录验证证URLL地址、 用户名名表单名名称，密密码表单单名称等等，再建建立从帐帐号即可可WEBB单点登登录。由由于配置置WEBB单点登登录需要要有网络络管理基基础，请请使用者者寻找企企业网络络管理员员配合下下进行配配置。)5.1.33.4 各种资资源类型型配置特特别说明明l Unix主主机，代代表所有有类Unnix系系统，例例如：HHP UUnixx、AIIX、SSun Sollariis、FFreeeBSDD等。l Linuxx主机，代代表所有有的Liinxuu系统，例例如：RRedHHat、De

30、bbiann等。l Windoows主主机，此此资源有有两种连连接方式式，分别别是Teelneet和代代理程序序。Wiindoows的的Tellnett不稳定定，所以以建议使使用代理理程序连连接。如如果采用用Tellnett连接，需需要将WWinddowss操作系系统的TTelnnet服服务打开开。如果果使用代代理程序序连接，则则不必配配置管理理员和管管理员密密码即可可做帐号号收集和和同步。l Windoows主主机（域域控制器器），此此资源有有两种连连接方式式，分别别是Teelneet和代代理程序序。建议议采用代代理程序序连接。WWinddowss域控服服务器的的帐号收集集会收集集所有域域帐

31、号。l Windoows主主机（域域内），此资源没有依赖于Windows域控服务器中的帐号，添加时除了名称和IP，要配置所属域控服务器。l 数据库（独独立），此此处的独独立数据据库指帐帐号和操操作系统统不共用用的数据据库，例例如Orraclle、SSql Serrverr、Myysqll、Syybasse等。l 数据库（系系统），此此处的系系统数据据库指帐帐号和操操作系统统共用的的数据库库，例如如DB22、Innforrmixx等。l 网络设备（RRadiius），指指3A指向向内控堡堡垒主机机的网络络设备（内控堡垒主机内含Radius服务器，可以作为网络设备的认证服务器）。此种资源不用定义从

32、帐号即可授权。l 网络设备（LLocaal），没没有配置置3A或者者3A没有有指向内内控堡垒垒主机的的网络设设备。此此种资源源需要定定义从帐帐号才能能做授权权。l Web应应用，通通过IEE访问的的软件（BB/S架架构，登登陆无验验证码）。5.1.44 示例例登录系统后后，点击击资源管管理，进进入资源源管理页页面，在在图中上上方点击击添加资资源按钮钮进入资资源的编编辑页面面：配置项含义义如下：l 资源名称：资源的的名称。l 资源IP ：资源源的IPP地址。l 资源类型：资源属属于什么么类型的的系统。l 连接方式：连接资资源进行行资源收收集管理理使用的的协议。l 连接IP： 用用于收集集资源账账

33、号的IIP地址址。l 端口 ：协协议使用用的端口口。l 超时：当连连接资源源时如果果超出此此时间就就提示连连接超时时。l 管理员： 用于收收集资源源账号的的管理员员账号。要要求拥有有添加删删除账号号权限。l 策略 ：指指定资源源账号的的密码限限制策略略。如果果资源有有密码策策略，则则密码修修改计划划会按照照此密码码策略中中的要求求生成随随机密码码。l 管理员密码码 ：管管理员账账号的密密码。l 备注 ：资资源的描描述信息息。l 授权端口：授权相相应协议议端口。l 状态：资源源状态，激激活可用用/锁定定不可用用。如果要进行行资源帐帐号的收收集和管管理，则则协议、管管理员、密密码、提提示符这这几项

34、是是必须配配置项。这这几项配配置完毕毕后可以以点击下下面的收收集帐号号按键进进行帐号号收集，点点击收集集帐号后后会有成成功失败败的提示示。帐号号收集功功能只能能收集到到帐号名名称，需需要配置置密码后后才能用用于授权权。如果不进行行资源从从帐号的的收集，也也可以手手工定义义。点击击资源后后面的帐帐号按键键进入资资源从帐帐号列表表界面，然然后点击击添加按按键进行行从帐号号的添加加。六、角色管管理6.1 角角色管理理6.1.11 界面面6.1.22 功能能说明角色管理是是系统管管理员定定制系统统角色的的模块，可可以对不不同角色色分配相相应权限限。如：可以定定义资源源管理角角色，该该角色拥拥有资源源管

35、理的的权限，则则把此角角色授权权给自然然人后，该该自然人人就可以以进行资资源管理理了。还可以查看看最近新新增角色色和最近近修改角角色，所所有的角角色是按按时间来来排序的的！6.1.33 操作作描述用户认证成成功登录录系统后后，点击击导航目目录中的的角色管管理进入入角色管管理页面面 。添加角色：点击添添加角色色按钮，进进入角色色信息编编辑页面面。如图图用户/组：在此处处给把该该角色给给相应的的组或者者给单个个用户进进行授权权，让该该组或者者该用户户拥有相相应的资资源授权权和管理理权限。资源/组：给该角角色授权权相应的的资源访访问权限限。管理权限：给该用用户或者者用户组组授权相相应的管管理权限限。

36、七、审计管管理7.1 内内部审计计管理7.1.11 界面面7.1.22 功能能说明内部审计实实现内控控堡垒主主机自身身日志的的审计，可可以点击击查询查查找符合合条件的的审计记记录。审审计内容容包括，帐帐号登入入登出情情况，资资源变更更，用户户变更等等情况。7.1.33 操作作描述内控堡垒主主机内部部审计模模块，当当管理员员点击内内部审计计时，内内部审计计列表会会显示审审计结果果列表。管理员在内内部审计计列表中中点击查查询按钮钮进入查查询条件件选择页页面，输输入查询询条件点点击查询询按钮，可可以查找找满足条条件的日日志信息息。7.2 行行为审计计管理7.2.11 界面面7.2.22 功能能说明行

37、为审计实实现操作作日志的的审计，可可以点击击查询查查找符合合条件的的审计记记录。对对于字符符型的资资源，有有三种审审计展现现形式：内容、命命令、回回放。内内容是资资源操作作的所有有指令和和对应结结果的一一次性展展现；命命令是资资源操作作的所有有指令执执行情况况；回放放是资源源操作过过程的录录像回放放。对于于图形的的资源访访问方式式有一种种展现方方式：回回放，是是图形资资源操作作过程的的录像回回放。审计分为两两种，一一种是事事后审计计，一种种是实时时审计。上上面说的的基本上上是事后后审计，如如果操作作人员对对资源的的操作还还没有结结束，则则审计记记录上会会多出一一种监视视的展现现方式，点点击监视

38、视可以实实时查看看资源使使用者对对资源的的操作过过程。7.2.33 操作作描述内控堡垒主主机行为为审计模模块，当当管理员员点击行行为审计计时，行行为审计计列表会会显示审审计结果果列表。点点击会话话中的“内内容”、“命命令”、“回回放”、“监监视”可可以相应应的显示示审计到到的内容容。对于于录像的的回放，可可以通过过播放工工具条调调整播放放状态、速速度、进进度等。管理员在行行为审计计列表中中点击查查询按钮钮进入查查询条件件选择页页面，输输入查询询条件点点击查询询按钮，可可以查找找满足条条件的日日志信息息。7.3 数数据库审审计管理理7.3.11 界面面7.3.22 功能说说明通过数据库库审计可可

39、以看到到管理员员对数据据库的操操作内容容，并且且能够显显示数据据库的类类型、IIP地址址。在操操作者方方面可以以看到操操作者的的IP、操操作时间间。最后后也能看看到审计计级别！ 7.3.33 操作描描述内控堡垒主主机数据据库审计计模块，当当管理员员点击数数据库审审计时，数数据库审审计列表表会显示示审计结结果列表表。管理员在数数据库审审计列表表中点击击查询按按钮进入入查询条条件选择择页面，输输入查询询条件点点击查询询按钮，可可以查找找满足条条件的日日志信息息。并能能导出EEXCEEL文件件。八、组态报报表8.1 报报表查询询8.1.11 界面面8.1.22 功能能说明组态报表模模块提供供报表查查

40、询、报报表管理理、定时时报表的的功能。管管理员可可以通过过报表名名称，报报表类型型和创建建时间来来查询并并且管理理报表。组组态报表表模块最最主要的的是提供供了组态态报表模模版，组组态报表表模版的的类型可可以分为为静态模模版和动动态模版版。比如如属于动动态模版版的访问问协议统统计报表表，属于于静态模模版的WWinddowss用户访访问统计计报表、UUnixx访问协协议统计计报表和和Raddiuss用户访访问统计计报表。在在报表的的管理中中有查询询统计功功能，统统计结果果支持图图形显示示。定时时报表是是让报表表在不同同的时间间段内起起到不同同的功能能。8.1.33 操作作描述以Unixx主机用用户

41、访问问统计报报表为例例，认证证成功登登录系统统后，点点击“组组态报表表”，所所有的报报表会以以列表的的形式显显示在组组态报表表的界面面中，然然后按照照查询条条件输入入“Unnix主主机用户户访问统统计报表表”，点点击“查查询”就就会找到到相应的的报表。并并且对相相应的报报表进行行导出！如果想更详详细的管管理查询询报表可可以点击击“报表表管理”，再再报表管管理界面面中支持持模糊查查询、支支持图形形显示。看看查询结结果会更更加的直直观！定定时报表表会按照照所选的的日期形形成所需需要的报报表！8.2 报报表管理理8.2.11 界面面8.2.22 功能能说明报表管理是是对所有有的报表表进行管管理，包包

42、括查询询条件设设置、分分页和报报表模版版的选择择等。报报表的查查询管理理还支持持图形显显示，在在图形显显示中可可选图的的横轴、纵纵轴和TTOP值值等。在在上面所所说过的的报表模模版分为为静态模模版和动动态模版版，其中中静态模模版没有有查询条条件的选选择。8.2.33 操作作描述点击-“组组态报表表”-“报表表管理”会会出现以以上的界界面，在在“切换换模版”的的下拉菜菜单中选选择要查查询统计计的报表表，然后后选择“分分页”来来显示页页数。如如果是动动态模版版还可以以选择“查查询条件件设置”。在右侧的“图图形显示示”中选选择图形形的TOOP值、横横轴、纵纵轴。选择好后点点击“查查询”按按钮，会会出

43、现各各种图形形显示，如如下图:8.2.33.1 列表形形式显示示上图是以列列表的形形显示报报表，它它可以以以各种格格式的导导出报表表，包括括：TXXT、EEXCLLE、CCSV、HHTMLL、WOORD、PPDF等等六种格格式。8.2.33.2 饼图形形式显示示8.2.33.3 雷达图图形式显显示还有柱状图图、折线线图等显显示方式式，只要要点击上上方的显显示名称称即可。8.3 定定时报表表8.3.11 界面面8.3.22 功能能说明定时报表更更加人性性化的对对报表进进行管理理。在选选中报表表的前提提下可以以定时的的执行选选中的报报表，省省去了人人工定时时的操作作。可以以对报表表进行时时间设置置

44、，其中中按周设设置即周周一到周周日。还还可以按按日控制制，即一一个月内内的300天。8.3.33 操作作描述点击-“组组态报表表”-“定时时报表”会会出现以以上的界界面，在在“模版版类型选选择”的的下拉菜菜单中选选择报表表类型，然然后选择择“模版版选择”窗窗口中选选择报表表。时间设置里里选择“按按周”、“按按日”来来让选择择好的报报表进行行操作。最后“保存存”设置置。8.4 自自定义报报表8.4.11 界面面8.4.22 功能能说明自定义报表表是方便便管理查查询想要要的数据据，所设设定的自自定义模模版，如如上图所所示，可可以对某某个表进进行人员员筛选。8.4.33 操作作描述点击-“组组态报表

45、表”-“自定定义报表表”会出出现以下下的界面面在这里可以以选择“模模版名称称”，在在“自定定义sqql”的的框中写写上查询询语句，点点击“查查询”，就就会显示示出所选选报表要要查询的的内容。也可以点击击“添加加按钮”，在在出现的的界面中中填写好好“报表表名称”、“sql语句”和“描述”，点击“保存”，转入上面的界面。选中建好的报表，点击“执行”，就会出现查询结果，如下图所示：如果想继续续执行别别的报表表，点击击“返回回”按钮钮，继续续执行即即可。九、策略管管理策略是针对对主帐号号和从帐帐号的，因因此策略略建立后后，必须须在主帐帐号和从从帐号中中应用策策略，策策略才能能生效。9.1 指指令字对对象9.1.11 界面面添加指令对对象界面面：9.1.22 功能能说明指令字对象象是一个个添加指指令的集集合对象象，通过过结合时时间对象象、地址址对象组组合成为为不同的的策略。主主要包括括允许策策略、禁禁止策略略两种。9.1.33 操作作描述指令字对象象：在策策略管路路目录下下的指令令字对象象点击添添加指令令字对象象，进入入指令字字对象添添加页面面，输入入相关指指令字集集合。信信息包括括：对象象名称、对对象描述述、对象象状态、指指令字。填填写完成成后点击击保存完完成指令令字对象象的添加加。9.2 访访