中国移动云市场明御运维审计与风险控制产品操作手册 SAAS 平台项目组 2018/8/29

中国移动云市场明御运维审计与风险控制产品操作手册 SAAS 平台项目组 2018/8/29

目录 1. 修订目录... 3 2. 范围... 3 3. 应用介绍... 3 4. 相关术语与缩略语解释... 4 5. 产品的主要功能概述... 4 6. 功能使用说明... 4 6.1. Web 登录... 4 6.2. 快速配置步骤... 6 6.2.1. 新建部门... 6 6.2.2. 新建用户... 7 6.2.3. 新建用户组... 9 6.2.4. 新建主机... 11 6.2.5. 新建主机组... 15 6.2.6. 运维授权... 17 6.3. 运维员的 Web 运维方式... 20 6.3.1. 登录系统... 20 6.3.2. 安装单点登录器... 20 2

1. 修订目录 日期修订者版本号说明 2. 范围 本文档是明御运维审计和风险控制系统系统产品在中国移动公众服务云 SAAS 平台操作手册 3. 应用介绍 明御运维审计与风险控制系统 ( 以下简称 : 云堡垒机 ) 安恒信息在多年运维安全管理的理论和实践经验积累的基础上, 结合各类法律法规 ( 如等级保护 赛班斯法案 SOX PCI 企业内控管理 分级保护 ISO/IEC 27001 等 ) 对运维审计的要求, 采用 B/S 架构, 集统一帐户管理与单点登录于一体, 支持多种字符终端协议 文件传输协议与图形终端协议的实时监控与历史查询, 具备全方位运维风险控制能力的统一运维安全管理与审计产品 云堡垒机是一种符合 4A( 认证 Authentication 账号 Account 授权 Authorization 审计 Audit) 要求的统一安全管理平台, 部署云堡垒机, 能够保护云租户的服务器资源的安全性, 使得云租户的服务器管理合理化 专业化 3

4. 相关术语与缩略语解释 RDP: 远程桌面协议 (RDP, Remote Desktop Protocol) VNC: 虚拟网络控制台 (Virtual Network Console) 5. 产品的主要功能概述 云堡垒机具备强大的运维输入输出审计功能, 为云平台运维提供完全的审计信息, 通过账号管理 身份认证 资源授权 实时监控 操作还原 自定义策略 日志等操作增强审计信息的粒度, 广泛适用于需要统一运维安全管理与审计的政府 金融 运营商 公安 能源 税务 工商 社保 交通 卫生 教育 电子商务等云用户 6. 功能使用说明 6.1. Web 登录 步骤 1 在浏览器中输入 https://ip( 即安装云堡垒机的云主机 IP), 默认用户名 / 密码为 :admin/123456 建议使用 IE9/10/11 谷歌 火狐 浏览器 4

图 1-2 系统登录框示意图 步骤 2 单击 < 登录 > 后进入系统, 首次登录强制修改密码 5

6.2. 快速配置步骤 配置方式分两种 : (1) 集中配置模式, 它是将用户 主机 授权集中由超级管理员配置 例如 : 由 admin 管理员新建用户 主机 授权, 其他人没有创建用户 主机 授权的权限 (2) 分管配置模式 ( 即部门管理模式 ), 它是将用户 主机 授权分发给由各个部门或各个组织的负责人配置 例如 :admin 管理员新建好各个部门及部门负责人, 然后由各个部门负责人来创建各个部门内的用户 主机 授权 如果采用部门管理模式, 那各个部门之间的用户 主机 授权 审计日志都是独立的 只有上级部门的负责人可以到看到下级部门的所有数据 一旦采用部门管理模式, 请不要随意删除部门, 否则会造成用户 主机 授权丢失 6.2.1. 新建部门 步骤 1 进入 [ 用户 / 部门管理 ] 页面中 图 1-3 部门管理示意图 步骤 2 单击 用户根, 可以编辑一级部门名称 步骤 3 单击 < 新建部门 > 进入新建部门页面, 选择上级部门 填写二级部门的名称 例如 : 创建一个 信息中心 的二级部门 6

图 1-4 新建部门示意图 步骤 4 单击 < 创建部门 > 即可创建成功 步骤 5 返回 [ 用户 / 部门管理 ] 页面中, 可以看到已创建好的部门 图 1-5 新建部门示意图 6.2.2. 新建用户 新建用户有 2 种添加方式 : 手工新建用户和批量导入用户 以下以 手工新建用户 为例 : 步骤 1 管理员登录运维审计系统后, 进入 [ 用户 / 用户管理 ] 页面 图 1-6 用户管理页面示意图 7

步骤 2 单击 < 新建用户 >, 进入新建用户配置页面 : 编辑用户的所属部门 角色 用户名 姓名 密码等 信息 图 1-7 新建用户配置页面示意图 所属部门 : 如果没有新建任何部门, 只需选择用户根即可 角色 : 用户角色的权限范围, 请参考 角色权限说明 标红星部分, 为必填项 步骤 3 单击 < 创建用户 > 后, 页面提示 用户 xxx 已创建 8

图 1-8 创建用户成功提示示意图 步骤 4 返回 [ 用户管理 ] 页面中, 可以看到已添加的用户 图 1-9 用户管理页面示意图 6.2.3. 新建用户组 用户组用于对用户进行分组或分类管理, 用户可以属于多个用户组 步骤 1 进入 [ 用户 / 用户组管理 ] 页面中 图 1-10 用户组管理页面示意图 步骤 2 单击 < 新建用户组 > 进入新建用户组页面中 : 填写用户组名 9

图 1-11 新建用户组页面示意图 步骤 3 单击 < 创建用户组 > 即可创建成功 步骤 4 单击 用户组名称 进入用户组 图 1-12 用户组信息管理页面示意图 步骤 5 单击 < 添加成员 > 弹出 选择用户 页面 : 勾选所属当前用户组下的用户 10

图 1-13 选择用户页面示意图 步骤 6 单击 < 添加 > 后即可添加成功, 并自动返回到用户组信息页面 图 1-14 用户组信息管理页面示意图 6.2.4. 新建主机 新建主机有 2 种添加方式 : 手工新建主机和批量导入主机 以下以 手工新建主机 为例 : 步骤 1 进入 [ 资产 / 主机管理 ] 页面中 11

图 1-15 主机管理页面示意图 步骤 2 单击 < 新建主机 > 进入新建主机页面 : 选择所属部门 ( 用户根 ) 填写主机 IP 填写主机名称 图 1-16 新建主机页面示意图 所属部门 : 如果没有添加任何部门, 只需选择用户根即可 标红星部分, 为必填项 主机名称 : 如果为空, 则创建主机之后, 主机名称默认就是 IP 地址 步骤 3 单击 < 创建主机 > 后提示 主机 X.X.X.X 已创建 步骤 4 单击主机的 IP, 进入主机信息编辑页面 12

图 1-17 主机信息页面示意图 步骤 5 单击 < 主机账户 > 进入主机账户管理页面 图 1-18 主机账户页面示意图 创建好主机之后, 默认就有一个 [EMPTY] 空账户, 并且协议为 SYSDEF, 登录模式为手动 SYSDEF 协议是表示可以手工选择任何协议登录主机 [EMPTY] 空账户可以删除 也可以编辑 13

步骤 6 单击 < 添加主机账户 > 进入新建主机账户页面 : 选择协议 登录模式 账户类型, 填写账户和密码 图 1-19 新建主机账户页面示意图 步骤 7 单击 < 创建主机账户 > 即可成功 图 1-20 主机账户页面示意图 步骤 8 返回 [ 资产 / 主机管理 ] 页面, 可以看到已添加的主机和主机账户数量 14

图 1-21 主机账户页面示意图 6.2.5. 新建主机组 主机组用于对主机进行分组或分类管理, 主机可以属于多个主机组 步骤 1 进入 [ 资产 / 主机组管理 ] 页面中 图 1-22 主机组管理页面示意图 步骤 2 单击 < 新建主机组 > 进入新建主机组页面, 填写主机组名称 图 1-23 新建主机组页面示意图 步骤 3 单击 < 创建主机组 > 后, 提示 XXX 主机组名称创建成功 步骤 4 单击已创建好的主机名称, 进入主机组信息页面 15

图 1-24 主机组信息页面示意图 步骤 5 单击 < 添加主机 > 进入选择主机页面 : 勾选已需要添加的主机 图 1-25 选择主机页面示意图 步骤 6 单击 < 添加 > 后即可成功 图 1-26 主机组信息页面示意图 16

6.2.6. 运维授权 运维授权是梳理用户与主机之间的关系 以下以 基于用户授权主机账户 为例 : 步骤 1 进入 [ 授权 / 运维授权 ] 页面中 图 1-27 运维授权页面示意图 步骤 2 单击 < 新建运维授权 > 进入新建运维授权页面 图 1-28 新建运维授权页面示意图 步骤 3 单击 < 选择用户 / 选择用户 > 进入选择用户页面 : 勾选需要授权的用户 17

图 1-29 选择用户页面示意图 步骤 4 单击 < 添加 > 后自动返回新建运维授权页面 图 1-30 新建运维授权页面示意图 步骤 5 单击 < 选择资产 / 选择主机账户 > 进入选择主机账户页面 : 勾选需要授权的主机账户 18

图 1-31 选择主机账户页面示意图 步骤 6 单击 < 添加 > 即可并自动返回新建运维授权页面 图 1-32 新建运维授权页面示意图 步骤 7 单击 < 创建运维授权 > 后, 提示已创建 X 条运维授权 步骤 8 返回 [ 授权 / 运维授权 ] 页面中, 可以看到已经授权好的用户和主机账户的关系 19

图 1-33 运维授权页面示意图 6.3. 运维员的 Web 运维方式 管理员给运维员授权了主机之后, 运维员就能通过运维审计系统的 web 页面登录主机进行运维 运维员运维有 2 种运维方式 :Web 运维方式和客户端运维方式 以下以 Web 运维方式 为例 : 6.3.1. 登录系统 步骤 1 使用浏览器登录运维审计系统, 输入用户名 密码和验证码 步骤 2 单击 < 登录 > 后进入系统, 首次登录需要修改密码 6.3.2. 安装单点登录器 步骤 3 在页面右上角中, 进入工具下载页面 图 1-34 工具下载页面示意图 步骤 4 下载并安装好 单点登录器 20

单点登录器是用于 web 方式调用本地运维客户端工具时, 须安装的登录工具 注意 : 不要被杀毒软件拦截! 6.3.2.1. 指定运维工具 以 指定 putty 工具 为例 : 步骤 5 单击 <SSH>, 进入配置页面 : 选择客户端程序 终端类型 编码格式 图 1-35 Web 运维配置示意图 步骤 6 单击 < 应用 > 后弹出窗口 : 指定本地的应用程序 21

图 1-36 单击登录配置示意图 步骤 7 单击 < 确定 > 后, 提示配置成功 图 1-37 配置成功提示示意图 步骤 8 单击 < 确定 > 后即可生效 步骤 9 配置完成之后, 关闭页面即可 6.3.2.2. 主机运维 以下以 RDP 和 SSH 协议的主机运维 为例 : 6.3.2.2.1. SSH 协议的主机运维 步骤 10 进入 [ 运维 / 主机运维 ] 页面 : 找到 SSH 协议的主机 22

图 1-38 主机运维页面示意图 步骤 11 单击 < 登录 > 后提示运维登录页面 : 输入主机账户名和密码 图 1-39 运维登录页面示意图 步骤 12 单击 < 确定 > 后即可登录到目标主机中, 并且可以进行运维操作 23

图 1-40 主机运维操作示意图 6.3.2.2.2. RDP 协议的主机运维 步骤 13 进入 [ 运维 / 主机运维 ] 页面 : 找到 RDP 协议的主机 图 1-41 主机运维页面示意图 步骤 14 单击 < 登录 > 后提示运维登录页面 : 输入主机账户名和密码 24

图 1-42 运维登录示意图 步骤 15 单击 < 确定 > 后即可启动远程桌面连接工具 步骤 16 单击 < 连接 > 后即可登录到目标主机中, 可进行运维操作 图 1-43 主机运维操作示意图 25