安全管控平臺業(yè)務系統(tǒng)管理員使用手冊資料

1、4A安全管控平臺業(yè)務系統(tǒng)管理員使用手冊V1.01神州泰岳軟件股份有限公司UltraPower Software Co.,Ltd.目錄1.1適用范圍11.2讀者對象11.3名詞術語12使用說明32.1業(yè)務管理員主要工作32.2對資源訪問進行授權3為單個用戶授予訪問資源的操作權限4為多個用戶授權相同的資源操作權限82.3維護資源管控信息11維護資源組11維護資源11維護資源從帳號12從帳號同步任務13從帳號密碼同步任務14從帳號密碼檢查任務16撥測任務182.4配置安全策略19維護從帳號訪問控制策略19維護字符網(wǎng)關命令分組20維護字符網(wǎng)關訪問控制策略22維護從帳號密碼策略233編制歷史251.1

2、適用范圍本文詳細描述了如何通過4A安全管控平臺門戶進行資源授權和訪問授權，并介紹了相關維護操作，適用于使用4A安全管控平臺的中國移動廣東公司管理用戶。1.2 讀者對象本文檔的讀者對象是4A安全管控平臺的管理用戶或者指導最終用戶使用本系統(tǒng)的相關人員。我們假定最終用戶已經(jīng)掌握如下知識：n Windows95/98/Me/NT/2000/XP等操作系統(tǒng)的使用；n 常用瀏覽器工具Microsoft Internet Explorer的操作使用；1.3 名詞術語為了更便捷、高效地使用本系統(tǒng)，請查閱以下名詞術語解釋。術語解釋4A系統(tǒng)即廣東移動4A安全管控平臺的縮寫。對設備和應用的帳號、登錄、授權和審計進行

3、集中管控的IT系統(tǒng)。自然人使用4A系統(tǒng)的人員，包括移動員工和廠商代維人員內(nèi)部用戶即移動員工，是屬于企業(yè)內(nèi)部員工，且可以使用企業(yè)應用資源的人外部用戶主要指廠商代維人員，不屬于企業(yè)內(nèi)部員工，但使用企業(yè)內(nèi)應用資源 資源4A系統(tǒng)管控的對象，包括系統(tǒng)資源和應用資源兩類，有時統(tǒng)稱為設備和應用系統(tǒng)。系統(tǒng)資源包括電信網(wǎng)絡設備(如MSC、STP等)、計算機網(wǎng)絡及安全設備(如以太網(wǎng)交換機、路由器、防火墻等)、主機(如Windows、Unix等)、數(shù)據(jù)庫等應用資源指業(yè)務應用系統(tǒng)，如BOSS系統(tǒng)、網(wǎng)管系統(tǒng)、人力資源系統(tǒng)等主帳號自然人在4A系統(tǒng)中的帳號，唯一表示該自然人身份從帳號4A系統(tǒng)管控的設備和應用系統(tǒng)的帳號，如U

4、nix的root帳號等 獨享帳號僅被一個自然人使用的從帳號共享帳號某個從帳號被于兩個以上（含兩個）自然人使用未授權帳號未被授權給自然人或程序使用的從帳號，又稱孤立帳號。程序帳號指系統(tǒng)間程序調(diào)用使用的從帳號；安全網(wǎng)關包括字符網(wǎng)關和圖形網(wǎng)關，使得用戶訪問設備或應用系統(tǒng)時必須通過安全網(wǎng)關，保證用戶操作可被控制、監(jiān)視和審計。2 使用說明2.1 業(yè)務系統(tǒng)管理員主要工作2.2 對資源訪問進行授權對資源訪問進行授權包括兩種場景：l 為單個用戶授予訪問資源的操作權限常見于：為多個維護不同資源的用戶授予權限，如分別為維護“網(wǎng)管維護中心-增值網(wǎng)絡維護室-省級定位系統(tǒng)MPS”的“UNIX主機：gzgmcc01”和“

5、網(wǎng)管維護中心-數(shù)據(jù)網(wǎng)絡維護室-軟交換CE”的“網(wǎng)絡設備：GDGZ_NGN_CE11_HWNE40E”用戶授予權限。l 為多個用戶授權相同的資源操作權限常見于：為維護同一系統(tǒng)的多個用戶授予權限，如為維護“網(wǎng)管維護中心-數(shù)據(jù)網(wǎng)絡維護室-軟交換CE”的多個用戶授予權限。2.2.1 為單個用戶授予訪問資源的操作權限設為“省公司-網(wǎng)管維護中心-增值網(wǎng)絡維護室”的“蘇軍鋒”授予維護“網(wǎng)管維護中心-增值網(wǎng)絡維護室-省級定位系統(tǒng)MPS”的“UNIX主機：gzgmcc01”和“網(wǎng)管維護中心-數(shù)據(jù)網(wǎng)絡維護室-軟交換CE”的“網(wǎng)絡設備：GDGZ_NGN_CE11_HWNE40E”的權限：1) 成功登錄后臺后，選擇“

6、主帳號授權”菜單，定位到“蘇軍鋒”，如下圖所示：2) 如上圖所示在操作欄中選擇“操作授權”鏈接，進入操作授權界面，如下圖所示：3) 如上圖所示選擇“操作授權向?qū)А?，進入操作授權向?qū)Ы缑?，如下圖所示：4) 如上圖所示，單擊彈出資源組選擇對話框，定位到“網(wǎng)管維護中心-增值網(wǎng)絡維護室-省級定位系統(tǒng)MPS”，如下圖所示：5) 如上圖所示，選擇“網(wǎng)管維護中心-增值網(wǎng)絡維護室-省級定位系統(tǒng)MPS”資源組后，單擊“確定”后關閉選擇框，單擊“查詢”定位到“UNIX主機：gzgmcc01”，如下圖所示：6) 如上圖所示，選擇“下一步”按鈕，進入如下界面：7) 若僅需為“蘇軍鋒”授予維護“UNIX主機：gzgmc

7、c01”的操作權限，但不明確授予相應的資源從帳號，如上圖所示選擇“完成資源授權”，進入如下界面：8) 如上圖所示，選擇“確定”按鈕即可完成資源授權，授權成功后界面如下：9) 若僅需為“蘇軍鋒”授予維護“網(wǎng)絡設備：GDGZ_NGN_CE11_HWNE40E”的操作權限，且需要授予相應的資源從帳號，如下圖所示選擇“下一步：從帳號授權”。10) 在如下圖所示界面中選擇“網(wǎng)絡設備：GDGZ_NGN_CE11_HWNE40E”中選擇需要授予的資源從帳號，選擇“完成資源授權”，進入如下界面：11) 如上圖所示，選擇“確定”按鈕即可完成資源授權，授權成功后界面如下：2.2.2 為多個用戶授權相同的資源操作權

8、限設為“省公司-網(wǎng)管維護中心-數(shù)據(jù)網(wǎng)絡維護室”的“陳勇”和“李家信”授予維護 “網(wǎng)管維護中心-數(shù)據(jù)網(wǎng)絡維護室-軟交換CE”的所有“網(wǎng)絡設備”的權限：1) 成功登錄后臺后，選擇“資源角色管理”菜單，如下圖所示：2) 如上圖所示，選擇“添加按鈕”，出現(xiàn)添加角色界面，設角色名稱為“軟交換CE資源維護”，將“網(wǎng)管維護中心-數(shù)據(jù)網(wǎng)絡維護室-軟交換CE”的所有“網(wǎng)絡設備”添加到該角色資源列表，保存后即可完成角色添加。3) 選擇“主帳號授權”菜單，定位到“陳勇”，如下圖所示：4) 如上圖所示在操作欄中選擇“操作授權”鏈接，進入操作授權界面，選擇“角色授權”選項卡，如下圖所示：5) 如上圖所示選擇“添加”按鈕

9、，進入資源角色授權界面，選擇資源角色“軟交換CE資源維護”：6) 如上圖所示，選擇“授權”按鈕即可完成對“陳勇”的授權，授權成功后界面如下：7) 選擇“主帳號授權”菜單，定位到“李家信”，如下圖所示，重復4到6，即可完成對“李家信”的授權：2.3 維護資源的管控信息維護資源管控信息主要包括以下兩類操作：l 對資源、從帳號的日常維護操作，包括：Ø 維護資源組，如維護“網(wǎng)管維護中心-數(shù)據(jù)網(wǎng)絡維護室-軟交換CE”資源組；Ø 維護資源，如維護 “網(wǎng)管維護中心-增值網(wǎng)絡維護室-省級定位系統(tǒng)MPS”的“UNIX主機：gzgmcc01”資源；Ø 維護資源從帳號，如維護 “網(wǎng)管維

10、護中心-增值網(wǎng)絡維護室-省級定位系統(tǒng)MPS”的“UNIX主機：gzgmcc01”的從帳號。l 資源從帳號相關的例行任務，包括：Ø 從帳號同步任務：用于將“系統(tǒng)維護”類資源從帳號獲取到安全管控平臺，或者將安全管控平臺修改后的從帳號同步到“系統(tǒng)維護”類的資源；Ø 從帳號密碼同步任務：用于將“系統(tǒng)維護”類資源從帳號密碼獲取到安全管控平臺，或者將安全管控平臺修改后的從帳號密碼同步到“系統(tǒng)維護”類的資源；Ø 從帳號密碼檢查任務：用于檢查“系統(tǒng)維護”類資源從帳號密碼策略是否符合要求；Ø 撥測任務：用于檢查訪問“系統(tǒng)維護”類資源從帳號或者密碼的通路是否有效；2.3.1

11、 維護資源組選擇“資源從帳號管理”菜單，選擇“資源組”選項，進入如下界面：l 選擇“添加”即可添加資源組；l 選擇需要刪除的“資源組”后，選擇“刪除”，即可刪除選擇的資源組：2.3.2 維護資源選擇“資源從帳號管理”菜單，進入如下界面，定位到相應的資源組：l 選擇“添加”即可添加資源；l 選擇需要刪除的“資源”后，選擇“刪除”，即可刪除選擇的資源；l 選擇“模板下載”，即可下載批量導入系統(tǒng)資源所需的“excel模板”；l 選擇“導入”，即可批量導入系統(tǒng)資源。2.3.3 維護資源從帳號選擇“資源從帳號管理”菜單，定位到相應的資源組及相應的資源，選擇“從帳號管理”，進入如下界面l 選擇“添加”即可

12、添加從帳號；l 選擇需要刪除的“從帳號”后，選擇“刪除”，即從安全管控平臺刪除非“系統(tǒng)維護類資源”的從帳號，資源側(cè)從帳號保持不變；l 選擇“僅刪除本地存儲”，選擇需要刪除的“從帳號”后，選擇“刪除”，即從安全管控平臺側(cè)刪除 “系統(tǒng)維護類資源”的從帳號，資源側(cè)從帳號保持不變；l 選擇“獲取從帳號”，即可獲取“系統(tǒng)維護類資源”的從帳號；l 選擇“自動修改密碼”，即可將“系統(tǒng)維護類資源”的從帳號密碼修改成安全管控平臺側(cè)從帳號密碼；。2.3.4 從帳號同步任務選擇“配置管理”菜單，選擇“從帳號同步任務”選項，進入如下界面：l 選擇“添加”即可添加從帳號同步任務；l 選擇需要刪除的“從帳號同步任務”后，

13、選擇“刪除”，即可刪除選擇的從帳號同步任務：l 添加界面及說明：1) 輸入的從帳號同步任務信息中，紅色*號標識部分為必填項；2) 任務狀態(tài)：默認初始化；3) 執(zhí)行時刻：是任務被執(zhí)行的時間；4) 執(zhí)行方式：有一次和定期兩種類型；5) 間隔時間：選擇執(zhí)行方式為定期時該項顯示；6) 同步方式：可以選擇同步到設備，也即將IAM系統(tǒng)中的從帳號推送到資源設備上；可以選擇獲取從帳號，也即從資源設備上獲取從帳號到IAM系統(tǒng)；可以兩個方式都選擇，即先比較資源設備和IAM系統(tǒng)數(shù)據(jù)庫中的從帳號，如果IAM系統(tǒng)數(shù)據(jù)庫中沒有而資源設備上有的從帳號，則先執(zhí)行“獲取從帳號”到IAM系統(tǒng)，然后再將從帳號“同步到設備”，如果有

14、一個過程失敗，則該任務狀態(tài)為失敗，如果兩個過程都成功，則任務狀態(tài)為完成。說明：具體到哪個過程失敗或成功的操作信息會在系統(tǒng)日志中詳細記錄。7) 選擇系統(tǒng)資源：點擊添加按鈕，彈出系統(tǒng)資源列表，勾選需要同步的系統(tǒng)資源，點擊確定，或者在查詢框中輸入需要同步的系統(tǒng)資源名稱進行查詢；8) 選擇應用資源：點擊添加按鈕，彈出應用資源列表，勾選需要同步的應用資源，點擊確定，或者在查詢框中輸入需要同步的應用資源名稱進行查詢；9) 點擊保存，返回到查詢頁面，此時該任務的狀態(tài)為“初始化”，點擊該任務操作部分的“編輯”進入編輯頁面，點擊“啟動”，返回到查詢頁面，此時該任務的狀態(tài)更新為“準備”。此時該任務已準備就緒，可以

15、在執(zhí)行時刻到達時被同步。2.3.5 從帳號密碼同步任務選擇“配置管理”菜單，選擇“從帳號密碼同步任務”選項，進入如下界面：l 選擇“添加”即可添加從帳號密碼同步任務；l 選擇需要刪除的“從帳號密碼同步任務”后，選擇“刪除”，即可刪除選擇的從帳號密碼同步任務：l 添加界面及說明：1) 輸入的從帳號密碼同步任務信息中，紅色*號標識部分為必填項；2) 任務狀態(tài)：默認初始化；3) 執(zhí)行時刻：是任務被執(zhí)行的時間；4) 執(zhí)行方式：有一次和定期兩種類型；5) 間隔時間：選擇執(zhí)行方式為定期時該項顯示；6) 選擇系統(tǒng)從帳號：點擊添加按鈕，彈出系統(tǒng)從帳號列表，勾選需要同步的系統(tǒng)從帳號，點擊確定，或者在查詢框中輸入

16、需要同步的從帳號名稱、從帳號所屬資源組名稱進行查詢；7) 選擇應用從帳號：點擊添加按鈕，彈出應用從帳號列表，勾選需要同步的應用從帳號，點擊確定，或者在查詢框中輸入需要同步的應用從帳號名稱、從帳號所屬資源組名稱進行查詢；8) 點擊保存，返回到查詢頁面，此時該任務的狀態(tài)為“初始化”，點擊該任務操作部分的“編輯”進入編輯頁面，點擊“啟動”，返回到查詢頁面，此時該任務的狀態(tài)更新為“準備”。此時該任務已準備就緒，可以在執(zhí)行時刻到達時被同步。在任務被執(zhí)行之前也可以停止該任務，點擊該任務操作部分的“編輯”進入編輯頁面，點擊“停止”，將任務狀態(tài)恢復到“初始化”。2.3.6 從帳號密碼檢查任務選擇“配置管理”菜

17、單，選擇“從帳號密碼檢查任務”選項，進入如下界面：l 選擇“添加”即可添加從帳號密碼檢查任務；l 選擇需要刪除的“從帳號密碼檢查任務”后，選擇“刪除”，即可刪除選擇的從帳號密碼檢查任務：l 添加界面及說明：1) 輸入的從帳號密碼檢查任務信息中，紅色*號標識部分為必填項；2) 任務狀態(tài)：默認初始化；3) 帳號密碼策略：是以下選擇的從帳號所遵循的密碼策略；4) 執(zhí)行時刻：是任務被執(zhí)行的時間；5) 執(zhí)行方式：有一次和定期兩種類型；6) 間隔時間：選擇執(zhí)行方式為定期時該項顯示；7) 選擇系統(tǒng)從帳號：點擊添加按鈕，彈出系統(tǒng)從帳號列表，勾選需要檢查密碼的系統(tǒng)從帳號，點擊確定，或者在查詢框中輸入需要檢查密碼

18、的從帳號名稱、從帳號所屬資源組名稱進行查詢；8) 選擇應用從帳號：點擊添加按鈕，彈出應用從帳號列表，勾選需要檢查密碼的應用從帳號，點擊確定，或者在查詢框中輸入需要檢查密碼的應用從帳號名稱、從帳號所屬資源組名稱進行查詢；9) 點擊保存，返回到查詢頁面，此時該任務的狀態(tài)為“初始化”，點擊該任務操作部分的“編輯”進入編輯頁面，點擊“啟動”，返回到查詢頁面，此時該任務的狀態(tài)更新為“準備”。此時該任務已準備就緒，可以在執(zhí)行時刻到達時被同步。在任務被執(zhí)行之前也可以停止該任務，點擊該任務操作部分的“編輯”進入編輯頁面，點擊“停止”，將任務狀態(tài)恢復至“初始化”。2.3.7 撥測任務選擇“配置管理”菜單，選擇“

19、撥測任務”選項，進入如下界面：l 選擇“添加”即可添加撥測任務；l 選擇需要刪除的“撥測任務”后，選擇“刪除”，即可刪除選擇的撥測任務：l 添加界面及說明：1) 輸入的撥測任務信息中，紅色*號標識部分為必填項；2) 任務狀態(tài)：默認初始化；3) 執(zhí)行時刻：是任務被執(zhí)行的時間；4) 執(zhí)行方式：有一次和定期兩種類型；5) 間隔時間：選擇執(zhí)行方式為定期時該項顯示；6) 選擇系統(tǒng)從帳號：點擊添加按鈕，彈出系統(tǒng)從帳號列表，勾選需要撥測的系統(tǒng)從帳號，點擊確定，或者在查詢框中輸入需要撥測的從帳號名稱、從帳號所屬資源組名稱進行查詢；7) 選擇應用從帳號：點擊添加按鈕，彈出應用從帳號列表，勾選需要撥測的應用從帳號

20、，點擊確定，或者在查詢框中輸入需要撥測的應用從帳號名稱、從帳號所屬資源組名稱進行查詢；8) 點擊保存，返回到查詢頁面，此時該任務的狀態(tài)為“初始化”，點擊該任務操作部分的“編輯”進入編輯頁面，點擊“啟動”，返回到查詢頁面，此時該任務的狀態(tài)更新為“準備”。此時該任務已準備就緒，可以在執(zhí)行時刻到達時被同步。在任務被執(zhí)行之前也可以停止該任務，點擊該任務操作部分的“編輯”進入編輯頁面，點擊“停止”，將任務狀態(tài)恢復至“初始化”。2.4 配置安全策略配置安全策略主要包括以下操作：l 維護從帳號訪問控制策略，如設定 “網(wǎng)管維護中心-增值網(wǎng)絡維護室-省級定位系統(tǒng)MPS”的“UNIX主機：gzgmcc01”資源的

21、從帳號何時可以訪問？；l 維護字符網(wǎng)關命令分組；l 維護字符網(wǎng)關訪問控制策略；l 維護從帳號密碼策略。2.4.1 維護從帳號訪問控制策略選擇“配置管理”菜單，選擇“從帳號訪問控制策略”選項，進入如下界面：l 選擇“添加”即可添加從帳號訪問控制策略；l 選擇需要刪除的“從帳號訪問控制策略”后，選擇“刪除”，即可刪除選擇的從帳號訪問控制策略：l 添加界面及說明：1) 輸入策略名稱；2) 策略頻率：是該從帳號一天內(nèi)允許訪問的次數(shù)；3) 客戶端IP：是允許使用該從帳號訪問資源的主機IP段。2.4.2 維護字符網(wǎng)關命令分組選擇“配置管理”菜單，選擇“字符網(wǎng)關命令分組”選項，進入如下界面：l 選擇“添加”

22、即可添加從帳號訪問控制策略；l 選擇需要刪除的“字符網(wǎng)關命令分組”后，選擇“刪除”，即可刪除選擇的字符網(wǎng)關命令分組：l 添加界面及說明：1) 輸入分組命令名稱；2) 選擇模式，輸入需要添加的命令，點擊添加按鈕添加到命令集合；也可以在命令集合中選中已存在的命令，點擊刪除按鈕進行刪除；3) 點擊保存。2.4.3 維護字符網(wǎng)關訪問控制策略選擇“配置管理”菜單，選擇“字符網(wǎng)關訪問控制策略”選項，進入如下界面：l 選擇“添加”即可添加字符網(wǎng)關訪問控制策略；l 選擇需要刪除的“字符網(wǎng)關訪問控制策略”后，選擇“刪除”，即可刪除選擇的字符網(wǎng)關訪問控制策略：l 添加界面及說明：1) 輸入策略名稱；2) 服務器地址：是該字符網(wǎng)關管控的資源的IP段；勾選“非”，表明是字符網(wǎng)關不進行管控的IP段；3) 遠程帳