12思福迪LogBase SOM运维安全管理系统-快速使用指南_20140130

思福迪运维安全管理系统快速使用指南

思福迪信息技术有限公司

2013.12

版权声明

思福迪公司版权所有，并保留对本手册及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其著作权或其他相关权利均属于杭州思福迪信息安全技术有限公司。未经杭州思福迪信息技术安全有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。本文档中的信息归杭州思福迪信息安全技术有限公司所有并受著作权法保护。

免责声明

本手册依据现有信息制作，其内容如有更改，恕不另行通知。思福迪公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但思福迪公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。

信息更新

本文档及其相关计算机软件程序（以下文中称为“文档”）仅用于为最终用户提供信息，并且随时可由杭州思福迪信息技术有限公司（下称“思福迪”）更改或撤回。

出版时间

本文档于2013年12月由杭州思福迪信息技术有限公司编写。

客户服务与技术支持

如果您在使用思福迪产品时遇到了问题，可以通过以下方式反馈给我司的客户服务部，我们将竭诚为您提供技术支持。

思福迪公司客户服务部的联系方式如下：

地址：杭州市西湖区文一西路75号数字娱乐产业园3号楼6楼思福迪

电话：0571-********

传真：0571-********

接收者：服务支持部

网站支持： https://www.sodocs.net/doc/113839489.html,

MAIL 支持：super@https://www.sodocs.net/doc/113839489.html,

信函支持邮编：310012

目录

1系统概述 (5)

1.1系统概述 (5)

1.2系统组成 (5)

2第一步全局配置 (6)

2.1证书安装 (6)

2.2配置认证方式 (9)

2.3创建系统管理员 (10)

3第二步系统配置 (10)

3.1时间配置 (11)

3.2网络配置 (11)

3.3超时设置 (12)

3.4全局策略 (13)

3.5模块/应用配置 (14)

3.6应用发布管理 (14)

4第三步添加运维用户 (15)

5第四步添加主机设备 (16)

6第五步添加访问策略 (17)

7第六步运维访问 (19)

8第七步运维审计 (21)

1系统概述

1.1系统概述

思福迪LogBase SOM运维安全管理系统（以下简称思福迪SOM），是思福迪综合内控系列产品之一。

思福迪SOM是针对业务环境下的用户运维操作进行控制和审计的合规性管控系统。它通过对自然人身份以及资源、资源账号的集中管理建立“自然人—资源—资源账号”对应关系，实现自然人对资源的统一授权，同时，对授权人员的运维操作进行记录、分析、展现，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部业务操作行为监管、避免核心资产（服务器、网络设备、安全设备等）损失、保障业务系统的正常运营。

1.2系统组成

思福迪SOM由WEB模块、协议代理模块、行为审计模块和应用发布模块和存储模块组成。

●WEB模块

为用户提供web方式访问系统的界面。管理员用户在界面中进行运维用户管理、设备及帐号管理、用户授权管理和运维审计管理等管理功能；运维用户在界面中进行资源单点登录等操作。

●协议代理模块

实现对主机、数据库、网络设备维护过程中的协议数据包代理转发、行为还原及记录、高危/违规行为阻断等功能。

●行为审计模块

实现对行为操作的审计功能，包括实时高危/违规行为的告警、实时监控、历史数据检索及报表统计等功能。

●应用发布模块（可选）

安装在Windows服务器上，用于发布非标准协议或应用客户端，如IE、plsql、sqlplus、pcanywhere等。可实现对应用客户端工具的自动调出、密码代填和操

作审计功能。

2第一步全局配置

超级管理员配置向导：思福迪SOM超级管理员是负责其它运维管理员角色（如配置管理员、密码管理员、审计管理员等）的账号及授权的管理者。

设备许可导入后，初次使用系统，使用admin超级管理员登录，系统进入超级管理员的配置向导，如图下图所示：（注意：建议配置完成后立刻修改admin 的密码，并妥善保管修改后的密码）

2.1证书安装

证书下载成功后，超级管理员可以进行证书的安装工作。双击下载的证书文件，进入证书导入步骤，如下图所示：

点击【安装证书】，进入使用【证书导入向导】，如图下图所示：

点击【下一步】，进入【证书存储】向导，选择【将所有的证书放入下列存储】，如下图所示：

点击【浏览】，将证书选择放入【受信任的根证书颁发机构】，如图3-5所示：

点击【确定】后，返回【证书导入向导】，点击【下一步】，至最终完成证书导入，弹出证书导入成功提示，完成证书安装。如下图所示：

注：

1、VenusTech发布的证书与系统功能的启用密切相关，请务必安装；证书安

装成功后，需要重启浏览器后生效。

2、首次使用，如果出现证书未生成的情况，可以跳过此部。后续在管理员

界面可以生成证书，并在工具下载界面可以再次下载。

2.2配置认证方式

单击【证书下载】后，向导会自动跳转至第二步：配置认证方式，如下图所示：

通常选择本地认证方式，其他默认配置即可。

注：认证方式说明详见《思福迪网络安全审计系统-运维安全管控系统-管理员使用手册》。

2.3创建系统管理员

配置完成认证方式，单击【保存】后，向导会自动跳转至第三步：创建第一个系统管理员，如下图所示：

基本信息配置说明：

1.用户账号&姓名：此两项内容为必填项，请按照格式要求输入；

2.Email：如系统管理员需要以邮件的方式接收告警信息，必须填写正确的邮箱

地址；

3.管理角色：配置运维管理员的身份，默认的系统管理员角色不可更改，可同

时授予多个管理员角色；

4.接收系统告警：选择该管理员是否接收告警信息；

5.管理范围：可以IP区间的模式限制配置管理员、密码管理员、审计管理员的

管理区域；

6.客户端IP范围：可以IP区间的模式对所有管理员登陆的IP范围进行限制。

一般情况下可将所有管理员角色勾选上，配置完成单击【保存】后，完成超级管理员配置向导，系统自动退出登录状态，超级管理员配置向导必须沿着步骤配置完成，不允许跳过或取消，。

3第二步系统配置

系统管理员配置向导：系统管理员，主要进行思福迪SOM的基本配置。包

括网络及全局策略配置、系统许可证及证书管理、应用发布管理、系统时间管理、数据备份管理、告警接口配置等。

系统管理员首次登录成功后，会自动进入系统配置向导，引导系统管理员完成必要的系统配置项目，如下图所示：

3.1时间配置

系统管理员的第一个配置步骤：时间配置，如下图所示：

时间配置说明：

1.当前系统时间：可以手动修正当前系统时间；

2.时间同步配置：启用时间同步服务器，进行时间同步配置。

时间同步配置说明：

1.服务器地址：默认为互联网时间服务器地址，若有内部时间服务器，可以手

工输入；

2.服务器端口：默认端口为123，可更改；

3.时间间隔：设定时间同步的周期；

4.DNS：默认DNS地址为：8.8.8.8，可更改。

3.2网络配置

保存时间配置后，单击【立即同步】，向导自动跳转至第二步：网络设置，

如下图所示：

网络配置说明：

1.网卡配置：设定或更改网卡的IP地址；

2.路由配置：设定或更改路由信息。

补充说明：

该网络配置页面与串口网络配置菜单相一致，一般无需修改，默认点击保存即可。在下拉菜单中如果没有需要配置的网口供选择，需要在串口菜单中激活相应网口。

3.3超时设置

单击【保存】网络配置后，向导自动跳转至第三步：超时配置，如下图所示：

超时配置说明：

1.超时时间设置：默认为600秒，设定页面超时退出机制。

补充说明：

页面超时设置对所有管理员和运维用户均有效，超时时间即指页面无任何操作的连续空闲时间，原理上是页面与系统后台程序没有任何交互的时间，实时监控等页面会自动刷新图表数据，因此，没有任何人为操作，也不会造成页面超时退出。

3.4全局策略

单击【保存】超时配置，向导自动跳转至第四步：全局策略，如下图所示：

全局策略配置说明：

?登录限制：是否允许一个运维账号同时从多个IP地址登录系统；

?超时设置：配置正在连接的会话，超时自动退出机制；

?备注管理：若启用，所有运维用户连接主机前，必须输入操作的原因；

?是否启用sftp/ftp记录功能：勾选后将通过sftp/ftp传输的文件保存在堡垒机中，并可

设定sftp/ftp传送文件的本地磁盘限额；

?是否开启回放预览：若启用，回放时将会有图片预览效果，但图像协议访问速度会变慢，

回放文件也会变大；

?是否隐藏主机IP：在运维用户页面上隐藏主机IP地址；

?所有访问是否需要审批：若启用，针对所有的运维会话，将启用二次审批功能；

?是否开启OTHER协议的访问控制：若启用，通过应用发布调用客户端访问时，如访问

地址与主机资源IP地址不一致将会无法连接；

?是否开启运维日志syslog发送：若启用，所有运维日志将通过syslog的形式将日志推送

至指定的syslog服务器，需要在【输出设置】中设定接收的syslog服务器；

?登录异常告警配置：针对所有的因访问策略导致的会话登录失败，配置告警；

注：全局策略配置说明详见《思福迪网络安全审计系统-运维安全管控系统-管理员使用手册》。

3.5模块/应用配置

单击【保存】全局配置，向导自动跳转至第四步：模块/应用配置，如下图所示：

模块/应用配置说明：

1.使用模式：直接连接&认证两种模式供选择，具体区别详见补充说明；建议

选用认证模式；

2.端口：各类远程协议模块连接思福迪SOM的指定端口（默认端口可修改）；

此端口与目标主机开放的远程维护端口无关，仅作为思福迪SOM代理相关协议的数据转发接口；

3.是否启用：启用后即对相应模块使用模式及端口号的确认，停止则表示不启

用该模块。

注：模块/应用配置说明详见《思福迪网络安全审计系统-运维安全管控系统-管理员使用手册》。

3.6应用发布管理

单击【保存】模块/应用配置，向导自动跳转至第五步：ACC管理，如下图所示：

配置说明：

1.ACC客户端管理：添加/修改/删除在应用发布上的客户端工具名称、路径等；

2.ACC配置管理：配置关联应用发布的IP地址。

如果不需要配置应用发布地址，配置一个默认IP即可，如10.10.10.10，保存后会自动退至登陆界面，至此系统管理员配置向导完成。

4第三步添加运维用户

添加运维用户：运维用户可以访问操作配置管理员分配授权的主机。

配置向导完成后，再次通过超级管理创建的运维管理员进行登陆，登陆后的界面如下图所示：

在上方的菜单栏中选择用户管理，如下图所示：

点击添加，添加运维用户，如下图所示：

“*”标识的为必填项，密码默认策略长度为8位，勾选有效期可以设置这个账号的过期时间，一般为临时账号所设置，保存后运维用户创建完成。

5第四步添加主机设备

添加主机资源：添加主机资源可以同过堡垒机对此资源进行访问操作。

添加运维用户完成后，在上方的菜单栏中选择主机管理，点击添加进行添加主机资源，如下图所示：

“*”标识为必填项，主机IP添加后不能进行修改，主机名为目标资源的备注

名，不一定需要填写目标资源的hostname，选择与目标资源对应的主机类型，选择一个访问目标资源的访问协议方式，再添加目标资源相应的主机账号信息，和主机账号相对应的访问方式，账号或密码可以选择代填，或者也可在运维用户登录自行填写账号信息，如果想在运维用户登录自行填写账号信息，那么必须添加一个所有账号，所有账号以“*”表示，添加所有账号时，需要将所有选项去除，只选择相应的访问方式，如下图所示：

添加完成后选择保存完成主机资源的添加。

6第五步添加访问策略

配置策略：配置策略将运维用户和主机资源进行关联，配置哪些运维用户可以访问哪些目标资源。

主机资源添加完成后，在上方菜单栏选择策略管理，点击添加策略，进入策略配置界面，如下图所示：

配置策略可以通过三种方式授权，详情请参考管理员使用手册，一般情况下使用第二个按目标主机授权比较简单灵活，选择按目标主机授权，进入下一步配置策略名和选择运维用户，如下图所示：

策略名为必填填写，然后选择已创建的运维用户，点击下一步，选择主机资源如下图所示：

选择运维用户需要访问的主机资源，可以根据组、主机、主机账号进行选择，如果勾选整个组，即此运维用户可以访问这个组内的所有主机以及主机下的所有账号，如果只勾选主机下的账号，那此运维用户只能通过此账号对此主机进行访问，选择完成点击下一步进入高级设置，如下图所示：

高级设置中可以启用停用一些功能和对运维用户访问的时间以及IP地址进行限制，详情请参考管理员使用手册，一般默认即可，点击完成保存配置的策略信息。

7第六步运维访问

策略配置完成后，再使用运维用户登录，进入运维人员界面，如下图所示：

登录后在所有主机中搜索需要登录的目标资源，并选择相应的访问方式和主机账号，如下图所示：

连接前确保已安装java 6版本以上，java可以在相关下载中下载，如果版本过低，可以将低版本卸载重启后重新安装，如果需要手动填写账号可以在选择用户栏中下拉选择用户填写，连接前也可选择开启RDP剪贴板和磁盘映射与windows远程桌面连接同理，点击连接即可通过堡垒机连接目标资源，如下图所示：