天玥網(wǎng)絡安全審計系統(tǒng)運維安全管控系統(tǒng)管理員使用基礎手冊

管理員使用手冊天玥網(wǎng)絡安全審計系統(tǒng)V6.0運維安全管控系統(tǒng)密級：公開適用范圍：天玥OSM系列精細控制合規(guī)審計

版權(quán)申明啟明星辰企業(yè)版權(quán)全部，并保留對本手冊及本申明最終解釋權(quán)和修改權(quán)。本文檔中出現(xiàn)任何文字敘述、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有尤其注明外,其著作權(quán)或其它相關(guān)權(quán)利均屬于北京啟明星辰信息安全技術(shù)。未經(jīng)北京啟明星辰信息技術(shù)安全書面同意，任何人不得以任何方法或形式對本手冊內(nèi)任何部分進行復制、摘錄、備份、修改、傳輸、翻譯成其它語言、將其全部或部分用于商業(yè)用途。本文檔中信息歸北京啟明星辰信息安全技術(shù)全部并受著作權(quán)法保護。免責申明本手冊依據(jù)現(xiàn)有信息制作，其內(nèi)容如有更改，恕不另行通知。啟明星辰企業(yè)在編寫該手冊時候已盡最大努力確保其內(nèi)容正確可靠，但啟明星辰企業(yè)不對本手冊中遺漏、不正確或錯誤造成損失和損害負擔責任。信息更新本文檔及其相關(guān)計算機軟件程序（以下文中稱為“文檔”）僅用于為最終用戶提供信息，而且隨時可由北京啟明星辰信息安全技術(shù)（下稱“啟明星辰”）更改或撤回。出版時間 本文檔于7月由北京啟明星辰信息安全技術(shù)編寫。

用戶服務和技術(shù)支持假如您在使用產(chǎn)品時碰到了問題，能夠經(jīng)過以下方法反饋給本企業(yè)用戶服務部，我們將竭誠為您提供技術(shù)支持。啟明星辰企業(yè)用戶服務部聯(lián)絡方法以下：地址：北京市海淀區(qū)東北旺西路8號中關(guān)村軟件園21號樓啟明星辰大廈電話：傳真：

網(wǎng)站支持：.MAIL支持：信函支持郵編：100193或您能夠撥打800/400熱線：熱線電話：800-810-6038400-624-3900（服務時段為周一至周五9:0017:30，包含國家法定節(jié)假日），未開通400/800電話地域，可直接撥檔修訂統(tǒng)計版本號日期修訂者修訂說明v1.0.1-07-21呂波修訂產(chǎn)品信息v1.0.2-07-22呂波修訂產(chǎn)品界面配置等信息v1.0.3-07-24文斌修訂產(chǎn)品截圖和說明v1.0.4-09-29李彬修訂產(chǎn)品截圖和說明v1.0.5-12-07李彬修訂產(chǎn)品截圖和說明V1.0.6-02-12劉盛懋修訂產(chǎn)品界面配置等信息V1.0.7-03-26劉盛懋修訂產(chǎn)品界面配置等信息V1.0.8-05-12劉盛懋修訂產(chǎn)品界面配置等信息

目錄TOC\o"1-4"\h\z\u1 概述 81.1 相關(guān)本手冊 81.2 格式約定 82 初始化配置 92.1 完成配置向?qū)?92.1.1 設置密碼策略 92.1.2 設置管理員賬號和密碼 102.1.3 配置主機網(wǎng)絡參數(shù) 112.1.4 導入授權(quán)文件 122.1.5 確定配置信息 132.1.6 向?qū)渲猛瓿?142.2 管理員登錄 152.3 配置認證方法 172.4 添加管理員 182.5 系統(tǒng)密碼策略 193 用戶管理 203.1 添加用戶 203.2 編輯用戶屬性 223.3 用戶其它操作 243.4 用戶組織機構(gòu) 254 資源管理 264.1 添加資源 264.2 編輯主機 304.3 主機其它操作 314.4 資源組 344.5 資源分類 344.6 資源系統(tǒng)類型 354.7 資源AD域 375 策略管理 375.1 訪問策略 385.2 命令策略 405.3 集合設定 425.3.1 時間集合 425.3.2 IP集合 435.3.3 命令集合 446 工單管理 457 審計管理 487.1 實時監(jiān)控 487.1.1 會話監(jiān)控 487.1.2 實時監(jiān)控 487.2 日志查詢 497.2.1 管理日志 507.2.2 登錄日志 527.2.3 審計日志 547.2.4 工單日志 577.3 審計報表 597.3.1 報表模板 597.3.2 自定義報表 628 密碼管理 658.1 密碼策略 658.2 自動改密計劃 658.3 自動改密結(jié)果 678.4 下載密碼列表 678.5 手動改密 689 系統(tǒng)管理 699.1 系統(tǒng)信息 699.1.1 授權(quán)信息 699.1.2 系統(tǒng)升級 709.1.3 配置備份 719.1.4 數(shù)據(jù)備份 729.1.5 電源管理 739.2 系統(tǒng)選項 739.2.1 高可用性 739.2.2 格爾認證 749.2.3 認證源 769.2.4 網(wǎng)絡配置 769.2.5 時間配置 789.2.6 Web選項 799.2.7 備份自動導出 809.2.8 運維選項 819.3 接口配置 819.3.1 Syslog 819.3.2 短信 829.3.3 郵件 839.3.4 SNMP 839.3.5 資源同時接口 849.4 設備管理 849.4.1 設備管理 849.4.2 設備運行狀態(tài) 869.5 應用公布 879.5.1 應用工具 879.5.2 公布管理 889.6 權(quán)限管理 899.6.1 管理員 8910 配置實例 9310.1 添加主機 9310.2 添加用戶 9610.3 添加訪問策略 9710.4 運維用戶登錄 99

概述相關(guān)本手冊天玥網(wǎng)絡安全審計系統(tǒng)V6.0-統(tǒng)一業(yè)務訪問控制系統(tǒng)（OSM系列）（以下簡稱天玥OSM），是啟明星辰綜合內(nèi)控系列產(chǎn)品之一。天玥OSM是針對業(yè)務環(huán)境下用戶運維操作進行控制和審計合規(guī)性管控系統(tǒng)。它經(jīng)過對自然人身份和資源、資源賬號集中管理建立“自然人—資源—資源賬號”對應關(guān)系，實現(xiàn)自然人對資源統(tǒng)一授權(quán)，同時，對授權(quán)人員運維操作進行統(tǒng)計、分析、展現(xiàn)，以幫助內(nèi)控工作事前計劃預防、事中實時監(jiān)控、違規(guī)行為響應、事后合規(guī)匯報、事故追蹤回放，加強內(nèi)部業(yè)務操作行為監(jiān)管、避免關(guān)鍵資產(chǎn)（服務器、網(wǎng)絡設備、安全設備等）損失、保障業(yè)務系統(tǒng)正常運行。本手冊具體介紹了天玥OSM包含初始化配置、用戶管理、資源管理、策略管理、審計管理、密碼管理、系統(tǒng)管理各功效模塊使用方法，用戶可參考本手冊，對天玥OSM進行多種運維管理和審計管理。格式約定本文中全部圖例均為實際拍攝或屏幕截取菜單名稱和按鈕名稱表示方法：【菜單名稱】，【按鈕名稱】圖標表示含義：：系統(tǒng)管理、配置關(guān)鍵說明、提醒信息。：相關(guān)功效配置舉例說明信息；初始化配置 天玥OSM系統(tǒng)經(jīng)過Web瀏覽器登錄進行管理（默認地址為https://OSM-Server管理IP地址），初始化時需手動設置一個超級管理員賬號、密碼（自行設定），天玥OSM現(xiàn)在支持瀏覽器包含InternetExplorer8以上版本、谷歌瀏覽器和火狐瀏覽器。注意：天玥OSM版本為V6.0.2.xxxx時，無初始化過程，默認超級管理員賬號/密碼admin/password$123，默認試用授權(quán)可管理資源數(shù)3臺，授權(quán)截止時間12月31日。完成配置向?qū)状蔚卿浐?，系統(tǒng)自動進入初始化配置向?qū)Ы缑?。當日玥OSM版本為V6.0.2.xxxx時，無初始化過程，默認超級管理員賬號/密碼admin/password$123，默認試用授權(quán)可管理資源數(shù)3臺，授權(quán)截止時間12月31日。全過程操作說明：密碼策略配置；超級管理員賬號及密碼配置；主機網(wǎng)絡配置；導入授權(quán)文件；確定配置信息；向?qū)渲猛瓿伞ＴO置密碼策略設置密碼策略，圖2.1所表示：圖2.1設置密碼策略操作說明：認證方法選擇；設置最小密碼長度；配置密碼復雜度；配置密碼周期；配置歷史對比；配置自動鎖定；配置自動解鎖；填寫完成后點擊“下一步”。設置管理員賬號和密碼設置密碼策略后，點擊下一步，配置管理員賬號和密碼，圖2.2所表示：圖2.2配置管理員賬號和密碼操作說明：超級管理員姓名填寫；超級管理員賬號填寫（務必請切記）；超級管理員密碼填寫（務必請切記）；管理員確定密碼和超級管理員密碼一致；填寫完成后點擊“下一步”。配置主機網(wǎng)絡參數(shù)設置管理員賬號后，點擊下一步，配置主機網(wǎng)絡參數(shù)，圖2.3所表示：圖2.3配置管理員賬號和密碼操作說明：填寫IP地址（做好統(tǒng)計）；填寫子網(wǎng)掩碼（做好統(tǒng)計）；填寫完成后點擊“下一步”。導入授權(quán)文件配置完主機網(wǎng)絡后，點擊下一步進行授權(quán)文件導入，圖2.4-2.5所表示：圖2.4導入前選擇授權(quán)文件圖2.5導入后明細顯示操作說明：點擊“導入授權(quán)文件”選擇授權(quán)文件進行導入；導入后可看到“授權(quán)文件明細”。確定配置信息導入授權(quán)文件后，點擊下一步進行配置信息確定，確定無誤后，點擊下一步完成，圖2.6所表示：圖2.6確定配置信息操作說明：具體確定全部配置信息正確性；切記關(guān)鍵配置信息；確定無誤后，點擊下一步。向?qū)渲猛瓿膳渲眯畔⒋_定無誤后，點擊完成，結(jié)束配置向?qū)?，界面提醒“正在重啟網(wǎng)卡，請耐心等候…”，等候10秒后刷新界面即可進入登錄頁面，圖2.7-2.8所表示：圖2.7完成配置向?qū)D2.8完成配置重啟網(wǎng)卡管理員登錄打開瀏覽器，輸入https://OSM-Server管理IP地址，圖2.9所表示：圖2.9登錄界面輸入管理員用戶名、密碼和驗證碼（當日玥OSM系統(tǒng)為v972及以上版本時，驗證碼能夠在管理界面設置取消）即可登錄管理界面，登錄后可看到監(jiān)控界面，圖2.10所表示：圖2.10監(jiān)控界面操作說明：天玥OSM提供瀏覽器支持，用戶能夠經(jīng)過InternetExplorer8以上版本和火狐瀏覽器進行登錄訪問；用戶登陸界面提供“下載工具”通道，包含環(huán)境檢測助手、JRE軟件下載、證書下載、用戶手冊和審計播放器下載，點擊將進入對應下載界面。配置認證方法 導航條上選擇【系統(tǒng)管理】—>【系統(tǒng)選項】—>【認證源】—>【添加】，可配置認證方法，也可不用配置，系統(tǒng)內(nèi)部默認有認證模式圖2.11所表示：圖2.11配置認證方法類型選擇：Radius、LDAP、WindowsAD域；操作說明：系統(tǒng)支持當?shù)卣J證和其它認證方法；其它全部管理員和運維用戶均和選擇認證方法相關(guān)聯(lián)；啟用外部認證源時，會禁用當?shù)卣J證，全部登錄認證全部經(jīng)過外部認證源，所以必需確保外部認證源可用而且外部認證源參數(shù)配置正確情況下再啟用外部認證源。系統(tǒng)默認經(jīng)過系統(tǒng)本身賬號管理系統(tǒng)進行身份認證；Radius：經(jīng)過Radius協(xié)議由第三方認證服務器對系統(tǒng)用戶進行身份認證；LDAP：經(jīng)過輕量級目錄訪問協(xié)議由第三方認證服務器對系統(tǒng)用戶進行身份認證；WindowsAD域：經(jīng)過WindowsAD域服務器對系統(tǒng)用戶進行身份認證。添加管理員重新以超級管理員身份登錄系統(tǒng)，進入日常管理界面，選擇【系統(tǒng)管理】—>【權(quán)限管理】—>【管理員】，圖2.12所表示：具體操作請參見8.6.1章節(jié)。圖2.12超級管理員操作界面操作說明：默認管理員權(quán)限共七種：用戶管理，資源管理，策略管理、審計管理，報表管理、密碼管理、系統(tǒng)管理；管理員角色能夠多選，即一個用戶能夠兼任多個管理角色；用戶管理：用戶、用戶組增刪改管理；資源管理：資源、資源分類、資源類型增刪改管理；策略管理：運維用戶、主機及對應授權(quán)策略管理；審計管理：審計運維用戶操作，包含實時監(jiān)控、統(tǒng)計檢索、審計信息等功效；報表管理：報表生成和下載，包含會話報表、異常會話報表、異常操作報表、自定義報表等；密碼管理：主機密碼安全管理，包含密碼策略、自動改密、手工改密和管理密碼文件；系統(tǒng)管理：管理天玥OSM基礎配置，包含系統(tǒng)監(jiān)控、管理員配置及其它基礎配置信息。系統(tǒng)密碼策略 導航條上選擇【密碼管理】—>【密碼策略】可配置和密碼相關(guān)安全策略，圖2.13所表示：圖2.13密碼策略配置密碼最小長度：限定全部天玥OSM賬戶密碼最小長度密碼復雜度：勾選可設置密碼必需包含大小寫字母、數(shù)字或符號密碼周期：若啟用，可設置密碼過期時間和提醒時間，默認為90天密碼過期歷史對比：若啟用，可設置密碼對比次數(shù)，默認為3次登錄鎖定：若啟用，在要求時間內(nèi)輸入密碼錯誤超出設置次數(shù)，則將帳號鎖定，并設置自動解鎖時間用戶管理添加用戶選擇導航條上【用戶管理】，查看目前用戶列表，并可實施【添加】操作；圖3.1所表示：圖3.1添加用戶-基礎信息導航至【用戶管理】，可在用戶列表界面查看到用戶名稱、狀態(tài)、組織機構(gòu)、真實姓名、主機、郵箱等信息。點擊【添加】進入用戶屬性編輯界面，輸入用戶基礎信息名稱；用戶名支持英文字母、數(shù)字、下劃線、小數(shù)點輸入；此項為必填項啟用/禁用：更改用戶賬號啟停狀態(tài)；新賬號默認狀態(tài)為啟用密碼：密碼設置可選擇手工輸入或由系統(tǒng)自動生成密碼；此項為必填項真實姓名；輸入用戶真實姓名；姓名支持中英名字母輸入；此項為必填項手機：輸入用戶手機號碼；這類信息為可選擇輸入項郵箱：輸入用戶郵箱地址；這類信息為可選擇輸入項開始時間&結(jié)束時間：指定用戶登錄時間范圍；這類信息為可選擇輸入項登錄限制：包含用戶端IP地址或所在網(wǎng)段（網(wǎng)段格式比如：/24）和MAC地址（MAC地址輸入格式比如：00-1F-16-29-F1-15）限制高級屬性：可勾選不能修改密碼、密碼永不過期、密碼已過期備注：可在此對該用戶進行描述；此項為可選擇輸入項強認證USB令牌認證：依據(jù)需要選擇運維用戶登錄時是否使用USB令牌認證（需要插上已經(jīng)過令牌重置工具初始化USB令牌），圖3.2所表示令牌狀態(tài)：顯示令牌狀態(tài)令牌密碼：用于此運維用戶登錄進行令牌認證時下載令牌重置工具：令牌重置工具用于重新初始化已和用戶綁定USB令牌，重新初始化后USB令牌能夠再次和需要令牌認證用戶進行綁定圖3.2添加用戶-強認證屬性應用工具限制：用于有應用公布功效時，可選擇限制運維用戶使用運維工具種類（圖3.3所表示）。圖3.3添加用戶-應用工具限制點擊【確定】完成用戶賬號添加。關(guān)鍵說明：手機輸入需符合手機號碼位長及格式要求；Email信息輸入需要符合郵件格式要求；密碼設置需要符合密碼管理>密碼策略中已定義密碼長度及復雜度要求；啟用賬號使用期后，過期賬號將會自動鎖定；強認證依據(jù)需要選擇用戶登錄是否使用USB令牌認證。編輯用戶屬性選擇導航條上【用戶管理】，查看目前用戶列表，在對應用戶名后，點擊【屬性】可對已經(jīng)存在用戶信息進行修改，圖3.3所表示：圖3.3編輯用戶屬性-基礎信息在強認證屬性中對用戶增加使用USB令牌認證，圖3.4所表示，對已使用USB令牌認證用戶解除令牌綁定，圖3.5所表示：圖3.4編輯用戶屬性-強認證圖3.5編輯用戶屬性-強認證2關(guān)鍵說明：編輯用戶基礎信息，如密碼、真實姓名、手機、郵箱、描述等；修改密碼：重新設置用戶密碼；啟用使用期：修改賬號使用期，不啟用則為永久賬號；在強認證中，配置USB令牌認證相關(guān)信息；在應用工具限制中，對運維用戶可使用運維工具進行限制。用戶其它操作選擇導航條上【用戶管理】，查看目前用戶列表；圖3.6所表示：圖3.6用戶列表刪除：從用戶列表中勾選需要刪除用戶，點擊【刪除】可從系統(tǒng)中刪除該運維用戶啟用：從用戶列表中勾選需要禁用用戶，點擊【禁用】可將此用戶禁用禁用：從用戶列表中勾選需要啟用用戶，點擊【啟用】可將此用戶啟用移動：從用戶列表中勾選需要移動到其它組織機構(gòu)用戶，點擊【移動】，選擇需要移動到組織機構(gòu)名全部導出：按系統(tǒng)定義格式導出全部用戶列表導出目前：按系統(tǒng)定義格式導出選中用戶列表用戶組織機構(gòu)選擇導航條上【用戶管理】；查看目前用戶組織機構(gòu)列表，并可實施用戶組織機構(gòu)管理操作；圖3.7所表示：圖3.7用戶組織機構(gòu)管理鼠標指針移動到資源組名稱，顯示操作按鈕：添加：在組織機構(gòu)或已建立組織機構(gòu)名處，點擊，即成功添加對應組織機構(gòu)修改：在已建立組織機構(gòu)名處，點擊，即可修改組織機構(gòu)責任人、電話和備注，名稱為不可修改項刪除：在對應組織機構(gòu)名處，點擊，即成功刪除對應組織機構(gòu)導出：在資源組或已建立組織機構(gòu)名處，點擊，即可將組織機構(gòu)信息導出資源管理添加資源選擇導航條上【資源管理】—>【資源】；查看目前資源列表，并可實施【添加】操作；圖4.1所表示：圖4.1添加資源資源列表查看列表查看：名稱、資源組、資源分類、資源系統(tǒng)類型、IP地址、操作輸入資源屬性基礎信息：名稱：輸入資源名至資源屬性；資源名支持中英文、數(shù)字及字符輸入；此項為必填項狀態(tài)：在下拉菜單中選擇啟用或禁用資源；此項為必選項資源分類：在下拉菜單中選擇資源類型；此項為必選項資源系統(tǒng)類型：在下拉菜單中選擇資源系統(tǒng)類型；此項為必選項IP地址：輸入資源（設備）IP地址；此項為必填項及可填多個IP地址編號：輸入資源（設備）編號全部者：輸入資源（設備）全部者責任人：輸入資源（設備）責任人備注：對該主機功效、特征進行說明添加資源服務信息；圖4.2所表示：圖4.2添加資源服務名稱：輸入資源服務屬性；服務名支持中英文、數(shù)字及字符輸入；此項為必填項類型：在下拉菜單中選擇服務類型；此項為必選項端口：輸入該服務端口號；此項為必填項備注：填寫添加服務備注信息連通檢測：檢測堡壘機到資源服務器該服務是否正常開放（堡壘機V701以上版本含有該功效）添加資源系統(tǒng)賬號信息；圖4.3所表示：圖4.3添加資源賬號名稱：輸入資源賬號；此項為必填項，如賬號為特權(quán)賬號，需勾選特權(quán)賬號密碼及密碼確定：輸入該賬號對應密碼及密碼確定，如密碼為空則不用輸入資源AD域：如資源為windows系統(tǒng)，并加入了域，需要對此資源賬號改密時，需要選擇資源所屬域（域相關(guān)參數(shù)設置請參與本手冊4.7章節(jié)）服務授權(quán)：勾選該賬號連接本資源服務類型，可多選參數(shù)：填寫連接登錄所需參數(shù)，如oracle可選SID或Service_Name，登錄角色可選擇normal、sysdba或sysoper；備注：填寫該資源賬號備注信息高級選項（堡壘機為V221及以上版本才含有該功效），以下圖所表示：綁定協(xié)議代理服務器：當堡壘機配置了協(xié)議代理服務器時，能夠固定訪問該資源使用綁定協(xié)議代理服務器；綁定應用公布服務器：當堡壘機配置了應用公布服務器時，能夠固定訪問該資源使用綁定應用公布服務器；點擊【確定】完成全部主機信息錄入。關(guān)鍵說明：通常情況下，用戶只需要配置資源IP、資源名、資源類型、服務類型及資源賬號信息即可；賬號切換命令、密碼輸入提醒、全部者、責任人、編號、備注為可選擇輸入項，如無需要可不用填寫；資源分類、資源系統(tǒng)類型、資源AD域需要在資源管理>資源分類、資源管理>資源系統(tǒng)類型、資源管理>資源AD域中先行定義；用戶能夠?qū)f(xié)議默認端口號進行修改；列表中禁用資源用紅色顯示編輯主機選擇導航條上【資源管理】—>【資源】；查看目前資源列表，在對應資源名后，點擊【屬性】、【服務】、【賬號】可分別對已經(jīng)存在主機信息進行修改，圖4.4-4.6所表示：圖4.4編輯資源屬性圖4.5編輯資源服務圖4.6編輯資源賬號編輯資源屬性基礎信息。如名稱、資源分類、資源系統(tǒng)類型、IP地址、賬號切換命令&密碼輸入提醒等編輯資源服務信息，可對此資源服務進行添加、編輯、刪除等操作編輯資源賬號信息，能夠?qū)Ρ緳C賬號進行添加、編輯、刪除等操作主機其它操作選擇導航條上【資源管理】—>【資源】；查看目前資源列表，勾選資源并可實施【刪除】操作；圖4.7所表示：圖4.7資源刪除刪除：在勾選對應資源名后，點擊【刪除】可從系統(tǒng)中刪除該資源；可進行多個資源勾選，進行批量刪除啟用\禁用：在勾選對應資源名后，點擊【禁用】可將此資源停止使用，點擊【啟用】可將此資源啟用，默認資源是啟用狀態(tài)移動：在勾選對應資源名后，點擊【移動】可將此資源移動到其它資源組內(nèi)導入/導出：資源主機信息能夠以csv格式批量導入導出，管理員能夠?qū)sv格式資源主機列表進行增刪改注意：經(jīng)過在資源管理頁面導出資源主機csv格式文件，能夠看到資源主機具體信息，根據(jù)默認格式能夠?qū)Y源主機進行增刪改操作。在csv文件中，帳號名稱后方有密文密碼、明文密碼，而導出資源列表中只有密文密碼，在導入資源列表時，只需填寫明文密碼，假如現(xiàn)有密文密碼又有明文密碼，堡壘機在識別時會以明文密碼優(yōu)先。在修改資源主機CSV文件時，需要根據(jù)導出格式進行配置，其中關(guān)鍵參數(shù)配置以下表所表示：資源名稱IP地址服務名稱(類型,端口,狀態(tài)),服務名稱存在'('必需使用'\'轉(zhuǎn)義帳號名稱明文密碼服務授權(quán),多個用';'拆分,服務名稱存在'('必需使用'\'轉(zhuǎn)義,參數(shù)存在'=,|'必需使用'\'轉(zhuǎn)義服務器A資源主機開放服務寫在同一單元格，服務之間使用分號分隔SSH(SSH,22,啟用);telnet(TELNET,23,啟用);RDP(RDP,3389,啟用)資源主機開放服務寫在同一單元格，服務之間使用分號分隔root123456當一個服務有多個帳號時，分行寫SSH當一個服務有多個帳號時，分行寫admin123456SSHadministrator123456當一個帳號同時綁定多個服務時，不一樣服務用分號分隔TELNET;RDP當一個帳號同時綁定多個服務時，不一樣服務用分號分隔user1123456FTP服務器BOTHER(OTHER,0,啟用);FTP(FTP,21,啟用);……(此次省略)sa123456FTP在上一個資源主機最終一個帳號下一行開始配置新資源主機在上一個資源主機最終一個帳號下一行開始配置新資源主機sa123456TELNETsa123456MSSQLsa123456ORACLE(loginas=normal,SERVICE_NAME=nmdb)參數(shù)說明：loginas為數(shù)據(jù)庫登錄角色（可選：normal、sysdba、sysoper）;選配數(shù)據(jù)庫Server_Name或SID參數(shù)。sa123456SYBASE(servername=sim,dbname=sim)參數(shù)說明：servername為節(jié)點名；dbname為實例名。sa123456INFORMIX(servername=sim,dbname=sim)參數(shù)說明：servvername為節(jié)點名；dbname為實例名。sa123456DB2(db2instance=sim,dbname=sim)參數(shù)說明：db2instance為實例名；dbname為數(shù)據(jù)庫名。sa123456MYSQLsa123456HTTP(submit=login,stype=id,password=password,ptype=id,username=user,utype=id,url=)參數(shù)說明：url為web登錄地址；stype為節(jié)點類型（包含：id、name、xpath）；submit為該節(jié)點參數(shù)。sa123456RLOGINsa123456TERADTA(dbname=sim)參數(shù)說明：dbname為實例名。sa123456RDPsa123456SSH[空賬號]123456VNCsa123456POSTGRESQL(dbname=sim)參數(shù)說明：dbname為實例名sa123456OTHER資源組選擇導航條上【資源管理】—>【資源】；查看目前資源列表，在資源列表左邊，可查看目前資源組，并可實施資源組管理操作；圖4.8所表示：圖4.8管理資源組 鼠標指針移動到資源組名稱，顯示操作按鈕：添加：在資源處，點擊，即彈出添加資源組信息框，輸入需要新增資源組信息修改：在已建立資源組名處，點擊，即可修改資源組名稱和備注刪除：在對應資源組名處，點擊，即成功刪除對應資源組清空：在已建立資源組名處，點擊，即可清空該資源組下全部資源主機（堡壘機V701以上版本含有該功效）資源分類選擇導航條上【資源管理】—>【資源分類】，在資源分類列表中會顯示系統(tǒng)默認和已添加資源分類。默認資源分類為主機、數(shù)據(jù)庫、安全設備和網(wǎng)絡設備四種，而且不許可刪除。另外可經(jīng)過勾選資源分類名稱，對自定義資源分類進行刪除操作，點擊資源分類屬性，可對資源分類進行編輯。資源分類列表以下圖4.9所表示：圖4.9資源分類列表在資源分類界面點擊【添加】，進入添加資源分類頁面，以下圖4.10所表示：圖4.10添加資源分類名稱：添加名稱。必填項，且不能反復。僅支持英文字母、數(shù)字、下劃線、小數(shù)點。備注：該資源分類描述說明。資源系統(tǒng)類型選擇導航條上【資源管理】—>【資源系統(tǒng)類型】，在資源系統(tǒng)類型列表中會顯示系統(tǒng)默認和已添加資源系統(tǒng)類型，默認資源類型有Linux、Windows、AIX、HP-UX、Cisco和Huawei六種，而且不許可刪除。另外經(jīng)過勾選資源類型名稱，可對自定義資源系統(tǒng)類型進行刪除操作，點擊資源系統(tǒng)屬性，可對資源系統(tǒng)進行編輯。資源系統(tǒng)列表以下圖4.11所表示：圖4.11資源系統(tǒng)列表在資源系統(tǒng)類型界面點擊【添加】，進入添加資源系統(tǒng)頁面，以下圖4.12所表示：圖4.12添加資源系統(tǒng)類型名稱：資源系統(tǒng)名稱。必填項，且不能反復。僅支持英文字母、數(shù)字、下劃線、小數(shù)點賬號切換命令：選填項密碼輸入提醒：選填項備注：該資源系統(tǒng)類型描述說明資源AD域 選擇導航條上【資源管理】—>【資源AD域】，如資源為windows系統(tǒng)，并加入了域，需要對此資源登錄賬號改密時，可在此提前設置好資源AD域相關(guān)信息，在添加資源服務賬號時，可直接選擇此處設置域名。在主機AD域列表中會顯示已添加AD域清單，列表顯示AD域域名?？蓮牧斜碇苯觿h除AD域。圖4.13所表示：圖4.13資源AD域列表添加AD域：點擊【添加資源AD域】，在彈出窗口輸入域名、域管理員名、密碼和域控制器IP地址，點擊【確定】，即可完成AD域添加編輯AD域：在清單中單擊已經(jīng)有域名屬性，可進行修改，修改完成以后點擊【確定】，即可完成AD域編輯刪除AD域：在清單中勾選已經(jīng)有域名，再點擊【刪除資源AD域】，即可完成AD域刪除策略管理 策略管理關(guān)鍵配置運維用戶訪問授權(quán)及指令授權(quán)。訪問策略授權(quán)和指令操作授權(quán)均可配置黑白名單。授權(quán)中使用到指令集合、IP集合和時間集合需要預先定義。訪問策略選擇導航條上【策略管理】—>【訪問策略】，授權(quán)運維用戶訪問運維主機，需要配置對應授權(quán)。訪問策略授權(quán)配置方法采取向?qū)?。訪問授權(quán)策略頁面圖5.1所表示：圖5.1訪問授權(quán)策略列表 在訪問授權(quán)策略列表中顯示了已配置策略。點擊【添加】，進入訪問策略授權(quán)向?qū)D5.2所表示：圖5.2添加訪問策略名稱：輸入訪問策略名；資源名支持中英文、數(shù)字及字符輸入；此項為必填項高級屬性：選擇是否啟用以下功效：RDP剪切板、RDP磁盤映射限制IP：在啟用限制IP功效后，在IP設置范圍內(nèi)運維用戶能訪問堡壘機限制時間：啟用限制時間功效后，限制運維用戶只能在指定時間范圍內(nèi)能訪問堡壘機完成基礎信息配置后，點擊【下一步】進入綁定用戶頁面圖5.3所表示：圖5.3綁定用戶頁面選擇綁定服務，點擊【下一步】圖5.4所表示：圖5.4綁定服務選擇綁定賬號，可點擊連接參數(shù)查看賬號參數(shù)，點擊【確定】完成一條訪問策略配置，圖5.5所表示：圖5.5綁定賬號命令策略選擇導航條上【策略管理】—>【命令策略】，指令操作授權(quán)關(guān)鍵配置運維用戶指令黑白名單：在命令策略界面點擊【添加】，進入命令策略配置向?qū)D5.6所表示：圖5.6命令策略-基礎信息基礎信息填寫名稱、匹配模式、審計動作、告警方法、命令集合、操作命令和操作對象等，名稱：輸入審計策略名；資源名支持中英文、數(shù)字及字符輸入；此項為必填項匹配模式：在下拉菜單選擇包含或不包含；此項為必選項審計動作：在下拉菜單選擇許可實施、忽略命令、阻斷會話或二次審批；此項為必選項告警方法：包含Syslog、短信、郵件、SNMP，相關(guān)設置需由系統(tǒng)管理員配置，參見8.2.6和8.3章節(jié)命令集合：選擇在命令集合中設置命令集操作&對象：輸入需要匹配運維操作命令和對象填寫完基礎信息后，點擊【下一步】圖5.7所表示：圖5.7命令策略綁定用戶綁定用戶，勾選上用戶名稱將這條審計策略授權(quán)到指定用戶，點擊【下一步】圖5.8所表示：圖5.8命令策略綁定服務 綁定服務，勾選上運維服務名稱將審計策略授權(quán)到指定服務，關(guān)聯(lián)從賬號，點擊【確定】完成一條審計策略配置。操作說明：1、策略命令配置和實施命令拒絕為黑名單，一旦運維用戶使用命令列表中命令，將會觸發(fā)響應，響應方法在審計動作配置，通常設置為阻斷命令。2、策略命令配置和實施命令許可為白名單，運維用戶使用命令列表中命令，將會觸發(fā)響應，響應方法在審計動作配置，通常設置為忽略命令。3、輸入多個命令時。每一行只能輸入一個命令。集合設定時間集合選擇導航條上【策略管理】—>【集合設定】—>【時間集合】，查看目前時間集合列表，點擊【添加時間集合】圖5.9所表示：圖5.9添加時間集合名稱：該時間集合名稱，能夠使用字母、數(shù)字和漢字區(qū)間&開始時間&結(jié)束時間：配置時間范圍，可輸入多個時間范圍，每行一個備注：該時間集合說明文字關(guān)鍵說明：使用【添加】能夠配置多個時間范圍。時間范圍數(shù)量無限制設置了時間集合，在添加訪問策略時，如需限制訪問時間時就能夠直接選擇提前設置時間集合IP集合選擇導航條上【策略管理】—>【集合設定】—>【IP集合】，查看目前命令集合列表，點擊【添加IP集合】圖5.10所表示：圖5.10添加IP集合名稱：該IP集合名稱，能夠使用字母、數(shù)字和漢字起始IP&終止IP&顯示信息：該IP集合IP地址段，可輸入多個IP地址段，每行一個備注：該IP集合說明文字關(guān)鍵說明：設置了IP集合，在添加訪問策略時，如需限制訪問源IP地址范圍時就能夠直接選擇提前設置IP集合命令集合選擇導航條上【策略管理】—>【集合設定】—>【命令集合】，查看目前命令集合列表，點擊【添加命令集合】圖5.11所表示：圖5.11添加命令集合名稱：該指令集合名稱，能夠使用字母、數(shù)字和漢字操作&對象：指令集合內(nèi)容，能夠輸入多個指令，每行一個，對象可為空備注：該指令集合說明文字從文件導入：命令集合支持導入功效，可提前在文檔中根據(jù)要求格式設置好需要導入命令，每行經(jīng)過#分隔關(guān)鍵說明：設置了命令集合，在添加命令策略時，可直接選擇提前設置命令集合工單管理工單管理關(guān)鍵是管理員為運維用戶下發(fā)臨時訪問授權(quán)，能夠限制特定運維用戶在特定時間范圍內(nèi)才能訪問授權(quán)運維資源。工單管理頁面，圖6.1所表示：圖6.1工單管理點擊【添加】，管理員能夠新建工單，圖6.2所表示圖6.2添加工單-基礎信息圖6.3添加工單-綁定服務圖6.4添加工單-綁定帳號審計管理實時監(jiān)控會話監(jiān)控選擇導航條上【審計管理】—>【實時監(jiān)控】—>【會話監(jiān)控】，圖7.1所表示：圖7.1會話監(jiān)控會話監(jiān)控：對已建立會話進行實時監(jiān)控，可查看到用戶名、資源、服務、賬號、開始時間等信息。實時監(jiān)控選擇導航條上【運維管理】—>【實時監(jiān)控】—>【會話監(jiān)控】，圖7.2所表示：圖7.2會話監(jiān)控實時監(jiān)控：對會話監(jiān)控列表中會話條目選擇實時監(jiān)控，可對正在進行會話以圖形方法實時監(jiān)控，圖7.2所表示。圖7.3強制結(jié)束會話強制結(jié)束會話：在會話監(jiān)控列表選擇需要斷開會話，再點擊【強制結(jié)束會話】，可斷開正在進行會話，圖7.3所表示。日志查詢 天玥OSM擁有強大日志查詢功效，同時自帶了大量審計報表模板，讓用戶方便制作各類報表。管理日志 管理日志關(guān)鍵對管理員在天玥網(wǎng)絡安全審計系統(tǒng)上所做操作進行審計，選擇導航條上【審計管理】—>【日志查詢】—>【管理日志】—>【設置查詢條件】，頁面圖7.4-7.6所表示：圖7.4管理日志查詢-基礎限制圖7.5管理日志查詢-運維用戶限制圖7.6管理日志查詢-管理員限制管理日志查詢結(jié)果圖7.7所表示：圖7.7管理日志查詢結(jié)果關(guān)鍵說明：設置查詢條件中可依據(jù)操作時間、操作狀態(tài)、日志類型、操作名稱和指定用戶來設定查詢；管理日志查詢結(jié)果可導出為CSV格式文件。登錄日志登錄日志關(guān)鍵是對用戶登錄或注銷登錄天玥網(wǎng)絡安全審計系統(tǒng)行為進行統(tǒng)計，選擇導航條上【審計管理】—>【日志查詢】—>【審計日志】—>【設置查詢條件】，圖7.7-7.9所表示：圖7.7登錄日志查詢-基礎限制圖7.8登錄日志查詢-運維用戶限制圖7.9登錄日志查詢-管理員限制登錄日志查詢結(jié)果圖7.10所表示：圖7.10登錄日志查詢結(jié)果關(guān)鍵說明：設置查詢條件中可依據(jù)操作時間、操作狀態(tài)、操作名稱和指定用戶來設定查詢；登錄日志查詢結(jié)果可導出為CSV格式文件。審計日志 審計日志關(guān)鍵是對用戶操作目標設備進行操作審計，選擇導航條上【審計管理】—>【日志查詢】—>【審計日志】—>【設置查詢條件】，圖7.11-7.14所表示：圖7.11審計日志查詢-基礎限制圖7.12審計日志查詢-服務限制圖7.13審計日志查詢-用戶限制圖7.14審計日志查詢-命令策略限制審計日志查詢結(jié)果，圖7.15,7.16所表示：圖7.15審計日志查詢結(jié)果圖7.16審計日志-命令詳情和回放關(guān)鍵說明：審計日志查詢可依據(jù)時間限制、審計動作、服務IP地址、用戶IP地址、賬號限制、關(guān)鍵字限制等基礎查詢條件設置查詢；審計日志查詢還可選定用戶及主機服務等設置查詢；查詢結(jié)果可先試詳情，點擊一條日志前+號或選擇上方“顯示詳情”即可展開該會話具體信息；日志結(jié)果可導出為CSV格式文件；將鼠標移動到日志統(tǒng)計上，在該條日志右手邊出現(xiàn)選擇框，能夠查看命令詳情和會話回放（圖6.16所表示）。工單日志 堡壘機為V221及以上版本時才含有該功效，工單日志關(guān)鍵是管理員下發(fā)工單審計日志，選擇導航條上【審計管理】—>【日志查詢】—>【工單日志】—>【設置查詢條件】，圖7.17-7.19所表示：圖7.17工單日志-基礎限制圖7.18工單日志-服務限制圖7.19工單日志-用戶限制工單日志查詢結(jié)果圖7.20，7.21所表示：圖7.20工單日志-查詢結(jié)果圖7.21工單日志-工單具體統(tǒng)計審計報表報表模板選擇導航條上【審計管理】—>【審計報表】—>【報表模版】，天玥OSM內(nèi)置了大量報表模板，能夠方便生成多種統(tǒng)計或明細報表。內(nèi)置報表模板分為：默認會話報表模版、默認操作報表模版、默認異常會話報表模版和默認異常操作報表模版，用戶僅需在對應報表模板點擊“生成報表”就可根據(jù)需要時間自動生成報表，圖6.22所表示：圖6.22報表模版在【審計管理】—>【審計報表】—>【報表模板】列表界面，點擊【生成報表】即可設置創(chuàng)建報表，圖6.23-6.24所表示：圖6.23創(chuàng)建報表-基礎信息圖6.24創(chuàng)建報表-具體配置 在【審計管理】—>【審計報表】—>【報表文件】界面中可看見已生成報表和計劃任務，計劃任務是指周期性地生成報表，圖6.25-6.26所表示：圖6.25已生成報表列表圖6.26計劃任務報表關(guān)鍵說明：報表生成步驟選擇導航條上【審計管理】—>【審計報表】—>【報表模版】在報表模板分類列表里選擇需要操作分類在對應報表模板項，點擊“生成報表”，彈出“創(chuàng)建報表”向?qū)г趧?chuàng)建報表界面填寫基礎信息和具體配置后，點擊“生成報表”在【審計管理】—>【審計報表】—>【報表文件】—>【已生成報表】里，可查看到剛才生成報表自定義報表 選擇導航條上【審計管理】—>【審計報表】—>【報表模板】，用戶也能夠自定義報表模板，圖6.27所表示：圖6.27自定義報表新增模板，圖6.28-6.31所表示：圖6.28新建模版-基礎信息圖6.29新建模版-報表條件圖6.30新建模版-基礎報表圖6.31新建模版-完成設置關(guān)鍵說明：天玥OSM選擇在天天空閑時間制作自動報表。如選擇【天天】，則在天天凌晨00：00以后開始制作上一天自動報表；如選擇【每七天】，則在每七天一凌晨00：00以后開始制作上一周自動報表；如選擇【每個月】，則在每個月1日凌晨00：00以后開始制作上一月自動報表。密碼管理密碼策略 選擇導航條上【密碼管理】—>【密碼策略】，可配置和密碼相關(guān)安全策略，具體說明參見2.5章節(jié)。頁面圖8.1所表示：圖8.1密碼策略自動改密計劃 選擇導航條上【密碼管理】—>【自動改密計劃】，點擊【添加】可配置定時自動修改運維主機用戶密碼。圖8.2所表示：圖8.2自動改密計劃計劃名稱：必填項，不能使用特殊字符，能夠使用大小寫字母、數(shù)字。首次實施時間：第一次自動改密時間。實施周期：配置定時修改密碼時間。密碼策略：生成新密碼復雜度要求。能夠使用隨機密碼，也能夠手動指定。填寫密碼名稱、選擇首次實施時間、實施周期、密碼策略，點擊改密對象配置中配置主機，選擇改密計劃發(fā)送對象，圖7.3所表示:圖8.3改密對象勾選改密對象，點擊【確定】完成。如需要對特權(quán)賬號改密，請勾選“許可修改特權(quán)賬號密碼”。關(guān)鍵說明：使用改密功效時，必需配置一個超級管理員賬號為特權(quán)賬號，支持對一般賬號進行改密；假如主機為windows，首先要求windows主機必需開啟telnet服務，其次必需在天玥OSM管理界面中，對該windows主機配置telnet服務并綁定超級管理員賬號和需要進行改密一般用戶賬號，超級管理員賬號設置為特權(quán)賬號；主機類型為linux、unix只支持telnet、ssh、rlogin協(xié)議帳號修改，root帳號必需勾選為特權(quán)帳號；自動改密結(jié)果 選擇導航條上【密碼管理】—>【自動改密結(jié)果】，查看自動改密結(jié)果，圖8.4所表示：圖8.4自動改密結(jié)果關(guān)鍵說明：自動改密結(jié)果會經(jīng)過郵件方法發(fā)送到創(chuàng)建該自動改密計劃管理員，前提條件是該管理員基礎信息中已配置了郵箱地址。下載密碼列表選擇導航條上【密碼管理】—>【下載密碼列表】，天玥OSM提供了下載運維主機目前密碼功效。經(jīng)過自動改密后，管理員可能需要一份新賬號密碼列表，可從這里直接下載，圖8.5所表示：圖8.5下載密碼列表關(guān)鍵說明：密碼文件需要含有密碼管理權(quán)限管理員使用天玥OSM密碼查看工具查看，密碼查看工具下載界面在【密碼管理】—>【下載密碼列表】界面，圖7.5所表示。手動改密 選擇導航條上【密碼管理】—>【手動改密】，假如運維主機密碼經(jīng)過手工修改，而且忘記了密碼情況下，能夠使用手工改密功效，圖8.6所表示：圖8.6手動改密關(guān)鍵說明：手工改密不需要原密碼。使用改密功效時，必需配置一個超級管理員賬號為特權(quán)賬號，支持對一般賬號進行改密；假如主機為windows，首先要求windows主機必需開啟telnet服務，其次必需在天玥OSM管理界面中，對該windows主機配置telnet服務并綁定超級管理員賬號和需要進行改密一般用戶賬號，超級管理員賬號設置為特權(quán)賬號。系統(tǒng)管理 天玥OSM運維安全系統(tǒng)管理員，關(guān)鍵負責管理天玥OSM基礎配置。包含網(wǎng)絡及全局策略配置、系統(tǒng)時間管理、配置備份管理、管理員配置等。 天玥OSM超級管理員在完成配置向?qū)r，會添加一個系統(tǒng)管理員用戶。經(jīng)過該用戶登錄天玥OSM實施系統(tǒng)基礎配置。系統(tǒng)信息授權(quán)信息 導航條上選擇【系統(tǒng)管理】—>【系統(tǒng)信息】—>【授權(quán)信息】可查看天玥OSM系統(tǒng)授權(quán)信息，圖9.1所表示：圖9.1授權(quán)信息點擊更新授權(quán)文件可對授權(quán)信息進行更新獲取一次授權(quán)。系統(tǒng)升級導航條上選擇【系統(tǒng)管理】—>【系統(tǒng)信息】—>【系統(tǒng)升級】可對天玥OSM進行升級，圖9.2-9.3所表示：圖9.2系統(tǒng)升級圖9.3安裝升級包操作說明：升級包獲取請聯(lián)絡廠商人員進行獲??；管理員上傳升級包后，請按描述選擇合適時段進行升級，如升級包描述需要升級后重啟設備，那么請管理員選擇用戶使用率較少時段進行升級。配置備份導航條上選擇【系統(tǒng)管理】—>【系統(tǒng)信息】—>【配置備份】可對系統(tǒng)配置進行備份或恢復，圖9.4所表示：圖9.4配置備份數(shù)據(jù)備份導航條上選擇【系統(tǒng)管理】—>【系統(tǒng)信息】—>【數(shù)據(jù)備份】可對系統(tǒng)全部數(shù)據(jù)（包含配置信息和日志信息）進行備份，圖9.5所表示：圖9.5數(shù)據(jù)備份電源管理導航條上選擇【系統(tǒng)管理】—>【系統(tǒng)信息】—>【電源管理】可對系統(tǒng)進行重啟和關(guān)機操作，圖9.6所表示：圖9.6電源管理系統(tǒng)選項高可用性導航條上選擇【系統(tǒng)管理】—>【系統(tǒng)選項】—>【高可用性】可對熱備及浮動地址進行配置，圖9.7所表示：圖9.7高可用性操作說明：事先定義好熱備主機和備機，確定熱備功效所需浮動IP地址；在主機高可用性配置界面，選擇“啟用”熱備功效；選擇熱備角色為“主機”；配置浮動IP地址（注意子網(wǎng)掩碼格式：比如03/16），選擇浮動IP相關(guān)聯(lián)網(wǎng)卡；輸入配對號（配對號范圍為：1-254，必需保持主備機配對號一致）；輸入備機IP地址，點“確定”保留；在備機高可用性配置界面，選擇“啟用”熱備功效；選擇熱備角色為“備機”；輸入浮動IP地址（注意子網(wǎng)掩碼格式：比如03/16）；選擇浮動IP相關(guān)聯(lián)網(wǎng)卡；輸入主機IP地址，依據(jù)需要勾選“同時配置”（勾選后點擊“確定”就立即同時主機配置），點“確定”保留；熱備功效默認備機去同時主機配置，同時周期默認為每個小時同時一次。熱備配置成功后，就能經(jīng)過浮動IP訪問系統(tǒng)：https://浮動IP地址（比如：03）。格爾認證支持格爾安全網(wǎng)關(guān)傳輸cookie形式數(shù)字證書認證（具體實現(xiàn)方法請參見格爾企業(yè)提供“格爾安全認證網(wǎng)關(guān)Web系統(tǒng)開發(fā)規(guī)范”）。導航條上選擇【系統(tǒng)管理】—>【系統(tǒng)選項】—>【格爾認證】，勾選“啟用”格爾認證，認證網(wǎng)關(guān)URL地址依據(jù)實際環(huán)境從格爾廠商處獲取，圖9.8所表示進行設置。需要設置為經(jīng)過格爾數(shù)字證書認證登錄主賬號，在主賬號屬性中“格爾認證標識”欄輸入格爾數(shù)字證書專題CN項值（圖9.9所表示）。如管理員也需要設置為格爾數(shù)字證書認證登錄，那么在管理員屬性中“格爾認證標識”欄也需要輸入和登錄用戶對應格爾數(shù)字證書專題CN項值。根據(jù)以上說明設置好后，在登錄頁面能夠看到“數(shù)字證書登錄”選項（圖9.10所表示），提前準備好需要用于登錄格爾數(shù)字證書，選擇“數(shù)字證書登錄”時會提醒選擇提前準備證書（圖9.11所表示），選擇對應證書，此時格爾安全網(wǎng)關(guān)會傳輸認證信息到天玥網(wǎng)絡安全審計系統(tǒng)，天玥網(wǎng)絡安全審計系統(tǒng)認證經(jīng)過后就進入到使用界面。圖9.8格爾認證設置1圖9.9格爾認證設置2圖9.10格爾認證登錄圖9.11格爾認證-選擇數(shù)字證書認證源具體操作請參見2.3章節(jié)網(wǎng)絡配置選擇導航條上【系統(tǒng)管理】—>【系統(tǒng)選項】—>【網(wǎng)絡配置】，圖9.12所表示：圖9.12網(wǎng)絡配置1圖9.13網(wǎng)絡配置2網(wǎng)絡配置：設定或更改網(wǎng)卡IP地址，配置接口聚合；路由配置：設定或更改路由信息；DNS配置：配置DNS服務器地址；證書配置：系統(tǒng)為6.0.2及以后版本，在更新網(wǎng)絡配置后，點擊應用，堡壘機會自動生成對應證書（圖9.12）。創(chuàng)建證書：系統(tǒng)為6.0.2以前版本，首次登陸系統(tǒng)，需創(chuàng)建證書，將天玥OSM系統(tǒng)IP地址和證書綁定（圖9.13）。操作說明：該網(wǎng)絡配置頁面和串口網(wǎng)絡配置菜單相一致；若設備為單機布署，網(wǎng)卡配置地址即是真實IP；時間配置選擇導航條上【系統(tǒng)管理】—>【系統(tǒng)選項】—>【時間配置】：目前系統(tǒng)時間：能夠手動修正目前系統(tǒng)時間，圖9.14所表示；圖9.14手動配置目前時間時間同時配置：啟用時間同時服務器，進行時間同時配置，圖9.15所表示：圖9.15時間服務器配置服務器地址：可手工修改并保留時間同時地址；Web選項選擇導航條上【系統(tǒng)管理】—>【系統(tǒng)選項】—>【W(wǎng)eb選項】，以下圖所表示圖9.16Web選項設置超時時間設置：默認為1800秒，最小超時時間為300秒，最大超時時間為86400秒；驗證碼設置：選擇登錄堡壘機是否使用驗證碼，或3次密碼連續(xù)輸入錯誤再開啟驗證碼；登錄限制設置：選擇能否在同一時刻相同運維賬號在不一樣位置登錄；（堡壘機V701以上版本含有該功效）操作說明：頁面超時設置對全部管理員和運維用戶全部有效；超時時間即指頁面無任何操作連續(xù)空閑時間，原理上是頁面和系統(tǒng)后臺程序沒有任何交互時間；登錄限制是對運維賬號能否進行單點登錄控制；備份自動導出 選擇導航條上【系統(tǒng)管理】—>【系統(tǒng)選項】—>【備份自動導出】，圖9.17所表示：圖9.17FTP方法備份備份自動導出設置：開啟備份數(shù)據(jù)上傳外置FTP服務器；操作說明：系統(tǒng)天天定時在零時進行前一日數(shù)據(jù)備份,啟用后會將數(shù)據(jù)備份推送至用戶ftp服務端；推送至FTP服務器備份數(shù)據(jù)包含：堡壘機配置備份和數(shù)據(jù)備份；運維選項堡壘機為V221及以上版本才含有此功效。在選擇導航條上【系統(tǒng)管理】—>【系統(tǒng)選項】—>【運維選項】，以下圖所表示：圖9.18運維選項設置自定義帳號：許可運維用戶連接運維資源時使用自定義帳號；保留自定義帳號：許可運維用戶連接運維資源時保留自定義帳號；接口配置Syslog選擇導航條上【系統(tǒng)管理】—>【接口配置】—>【Syslog】，圖所表示：選擇“啟用”Syslog接口，配置接收告警信息syslog服務器IP地址和端口。圖9.19Syslog接口配置短信選擇導航條上【系統(tǒng)管理】—>【接口配置】—>【短信】，圖9.20所表示：配置短信告警方法相關(guān)參數(shù)：數(shù)據(jù)庫類型、數(shù)據(jù)庫服務器IP、端口、數(shù)據(jù)庫登錄賬號、數(shù)據(jù)庫登錄密碼、數(shù)據(jù)庫名、短信SQL語句。圖9.20短信接口配置操作說明：選擇短信接口操作中間數(shù)據(jù)庫類型；輸入短信接口操作數(shù)據(jù)庫服務器IP地址，端口；輸入短信接口操作數(shù)據(jù)庫登陸賬號和密碼；依據(jù)短信sql語句模板，結(jié)合實際情況，填寫短信接口sql語句。郵件選擇導航條上【系統(tǒng)管理】—>【接口配置】—>【郵件】，圖9.21所表示：配置郵件接口信息：SMTP服務器、端口、是否匿名用戶、賬號、密碼、是否啟用SSL；可填入測試郵箱，測試下郵件接口環(huán)境是否正常。圖9.21郵件接口配置操作說明：當選擇郵件方法時，需要在郵件收件人地址欄輸入告警信息收件人郵箱地址，每行一個地址；SNMP選擇導航條上【系統(tǒng)管理】—>【接口配置】—>【SNMP】，圖9.22所表示：配置SNMP接口信息：服務器IP、端口、trapOID、hostOID。圖9.22SNMP接口配置資源同時接口選擇導航條上【系統(tǒng)管理】—>【接口配置】—>【資源同時接口】（圖9.23所表示），如需和外部系統(tǒng)做資源同時，請參見“外部系統(tǒng)資源同時接口”文檔。圖9.23資源同時接口配置設備管理設備管理選擇導航條上【系統(tǒng)管理】—>【設備管理】，圖9.24所表示：圖9.24設備管理界面添加應用公布服務器：運維堡壘機版本為857及以后版本，添加應用公布服務器時，會生成應用公布服務器密鑰，圖9.25所表示。在有效時間之內(nèi)，在應用公布服務器上使用該密鑰注冊，系統(tǒng)會自動讓提前根據(jù)要求設置好應用公布服務器加入域并重啟，當看到添加應用公布服務器顯示“在線”時，表示已添加成功；（具體步驟參考實施培訓指南）添加協(xié)議公布服務器：運維堡壘機版本為857及以后版本，添加協(xié)議擬代理服務器時，會生成協(xié)議代理服務器密鑰，圖9.26所表示，在協(xié)議代理服務器后臺手動讓其角色發(fā)生轉(zhuǎn)變，并使用該密鑰注冊，當看到添加協(xié)議代理服務器顯示“在線”時，表示已添加成功；（協(xié)議代理服務器可分擔天玥網(wǎng)絡安全審計系統(tǒng)關(guān)鍵主機審計壓力）；（具體步驟參考實施培訓指南）刪除：刪除不需要管理設備；啟用：選擇需要啟用設備進行啟用；禁用：選擇需要禁用設備進行禁用；刷新：刷新設備狀態(tài)；重新選擇：重新選擇要操作設備。圖9.25設備管理界面-添加應用公布服務器圖9.26設備管理界面-添加協(xié)議代理服務器設備運行狀態(tài)選擇導航條上【系統(tǒng)管理】—>【設備管理】，在設備管理界面，點擊設備圖標查看具體設備運行狀態(tài)（圖9.27所表示），內(nèi)容包含：CPU使用情況、物理內(nèi)存使用情況和磁盤空間使用情況。圖9.27設備運行狀態(tài)應用公布應用工具選擇導航條上【系統(tǒng)管理】—>【應用公布】—>【應用工具】，可對應用工具進行添加、刪除操作。實施【添加】操作，輸入應用程序名稱，輸入應用公布服務器上應用程序路徑，選擇應用工具啟用、禁用狀態(tài)，圖9.28所表示。圖9.28添加應用工具選擇應用工具使用圖標。假如自定義圖標，圖片格式為png、gif、jpg，圖片像素為32×32，圖9.29。圖9.29應用工具圖標選擇應用工具綁定對應服務類型，如需要公布工具，使用服務不包含在標準協(xié)議內(nèi)，請選擇OTHER服務類型，注意在添加資源時配置服務時，對應選擇OTHER服務類型，圖9.30。圖9.30應用工具綁定服務類型公布管理選擇導航條上【系統(tǒng)管理】—>【應用公布】—>【公布管理】，可對應用進行公布、刪除操作。公布應用程序添加界面圖9.31所表示。圖9.31公布應用程序操作說明：公布管理應用程序配置【系統(tǒng)管理】—>【應用公布】—>【公布管理】—>【公布】，選擇需要公布應用程序；路徑自動選擇為9.5.1章節(jié)中配置應用程序?qū)窂?；選擇啟用或禁用狀態(tài)；將應用程序和應用公布服務器綁定。權(quán)限管理管理員選擇導航條上【系統(tǒng)管理】—>【權(quán)限管理】—>【