中孚安全保密套件管理系统-产品使用说明书
安装说明
免责条款
根据适用法律的许可范围,中孚安全按“原样”提供本文档而不承担任何形式的担保,包括(但不限于)任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下,中孚安全都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责,即使中孚安全明确得知这些损失或损坏,这些损坏包括(但不限于)利润损失、业务中断、信誉或数据丢失。
本文档中所有引用产品的使用及本文档均受最终用户可适用的特许协议约束。
中孚安全保密套件管理系统客户端具备违规外联监控、移动存储介质管控、主机审计(含打印刻录审计)、身份鉴别、终端接入等安全保密功能,同时具备本地状态监控、软件更新、客户端管理和本地告警等功能,具有防绕过和防卸载等安全防护能力。
客户端运行在安可通用服务器和桌面机,支持联网激活和单机激活两种管理模式,单机激活中时支持有管理中心和无管理中心两种场景。
联网激活:适用于联网管理,客户端接收管理端下发的主机策略,按照策略执行管控和审计,按配置周期上报采集信息和审计日志。
单机激活:客户端禁用网卡,管理员登录后可以进行组织机构创建、机构导出,主机策略和主机日志的本地管理。有管理中心:适用于存在管理中心的单机部署场景,注册时导入管理端中的组织机构,便于统一管理。无管理中心为纯单机本地模式。
环境准备
CPU: 龙芯3A5000/3A4000; 内存: 4G及以上; 硬盘剩余空间: 2G以上
网卡: 非强依赖; 操作系统: 银河麒麟V10 /统信
网络配置: 安装客户端的目标机器,建议拆除无线模块,并在安装前断开互联网连接。
将当前机器型号和操作系统对应的客户端安装包下载或导入到桌面,双击安装包进行安装(程序已上传管理端的可以访问下载地址:“https://lawh.fun:5001/share.cgi?ssid=dddb2e6c7f8041adbf5594d11572a9b7 密码:1qaz,参考以下过程完成安装,并重启系统。(如果使用涉密专用优盘和单导功能请优先安装对应平台的红盘驱动和单导程序,单导和红盘驱动的安装与下面介绍各平台客户端安装流程一致)
-
麒麟服务器安装过程
-
对应的安装包为 XX.rpm,桌面点击鼠标右键-->打开终端;
-
执行命令“sudo su”,切换到root用户,输入密码;
-
执行”rpm -ivh XX.rpm”安装
-
麒麟桌面机安装过程
-
桌面点击鼠标右键-->打开终端;
-
执行命令“sudo su”,切换到root用户,输入密码;
-
执行命令“dpkg -i XXX.deb”,安装软件。
联网激活
在线自动激活,适用于联网主机。
- **选择激活类型:**鼠标单击选择“联网激活”,点击“下一步”。
- **选择激活方式:**填写管理端服务器IP地址及端口号(默认8080),点击“下一步”。
填写激活信息 从下拉列表选择所属部门和用户,不允许自行创建。
说明:若下拉列表中不存在对应的部门或用户,需要使用admin账号登录管理端添加,操作流程:【admin登录】->【基础信息】->【机构管理】。添加完成先点击“上一步”再次点击“下一步”可同步更新。
激活信息确认 页面回显填写的注册信息,确认无误点击“提交”完成注册。
点击托盘客户端主页如下,右上角菜单栏点击“账号登录”可以登录管理员。
单机激活
通过管理员KEY本地激活,默认禁用网络。
- **选择激活类型:**鼠标单击选择“单机激活”,点击“下一步”。
- **选择激活方式:**点击选择后点击“下一步”。
“有管理中心”:已经部署了管理中心,下一步的“填写激活信息”页面中点击“导入文件”导入管理中心导出的.zip机构文件。(.zip机构文件:【admin登录管理端】->【系统扩展】->【信息导入导出】->“导出信息-支持平台终端套件版本”点击“执行导出”,即可导出zip文件,参考下图)
“无管理中心”:纯单机场景,选择后在下一步的“填写激活信息”中进行“组织机构创建”或“导入文件”导入从其他客户端中导出的机构文件。(机构文件:【admin登录客户端】->【基础信息】->【组织机构管理】点击导出即可,参考下图)
- **填写激活信息:**从下拉列表选择所属部门、用户、主机密级及注册地址。
- **激活信息确认:**页面回显填写的注册信息,确认无误点击“提交”完成注册。
点击托盘客户端主页如下。此时,客户端为未授权状态,需要登录管理员账号进行步骤5的授权操作,授权后客户端功能才能正常使用。
- 授权管理
- 插KEY登录管理员
终端机器插入安全管理员KEY,在客户端首页右上角菜单栏点击“账号登录”,弹出登录页面(图8),输入密码(初始密码:123ABCdef*)。
进行授权
点击客户端首页右上角菜单栏中的“授权管理”(图9),弹出授权管理页面,选中列表中的安全保密套件,点击“批量授权”,最后点击“保存”完成授权(图10)。
授权回收
单机激活时,通过此方式授权的客户端,在卸载或者注销客户端之前,需要在“授权管理页面”完成“批量回收”,客户端的点数可被回收。
升级
联网升级
仅适用于联网模式的客户端,操作流程:【admin登录】->【安装包管理】->【安装包管理】->【安装包上传】,点击“上传安装包”,上传成功后,在对应安装包的“升级”和“升级结果”操作中发起升级和查看升级结果。
本地升级
双击运行客户端程序,选择升级,升级完成后重启电脑。
卸载
联网卸载
仅适用于联网模式的客户端,操作流程:【baomi登录】->【主机管理】->【主机列表管理】,在主机列表中找到需要卸载的主机,点击主机条目中的“产品视图”,在详情页面,点击“卸载”发起卸载指令。当客户端收到卸载指令后,管理端点数回收。
本地卸载
-
登录管理员账号: 在客户端主页的右上角菜单栏,点击“账号登录”,插KEY登录或者输入管理员用户名密码登录。
-
注销
联网客户端:必须是在线状态,直接在【基础信息】页面点击“注销”即可。
单机客户端:首先在右上角菜单栏的“授权管理”中使用管理员KEY回收授权,再在【基础信息】页面点击“注销”。
(注意:即使客户端已经注销,但违规外联功能正常,请不要连接互联网。)
托盘右键菜单,点击“终端卸载”,弹出卸载窗口,点击“是”开始卸载。卸载后重启机器,主机策略被清空,网卡及设备不再被管控。
常见问题
- 无法连接管理端
联网激活过程和联网注销时,都需要保证与管理端的连接。如果注销和激活时报错,请通过命令“telnet IP地址 8080”判断连接是否正常。
网络不通原因:服务器异常,端口未开放或防火墙未关。
网络能连通,但客户端离线:查看客户端日志,请查看以下位置中的.log日志文件,“/opt/apps/net.zhongfu.kitcommon/itx/log/itxcltserver”。
- 终端软件卸载后U盘不能使用
终端软件卸载后,如果发生优盘无法正常使用的现象,可以尝试打开命令窗口,执行命令“sm -authorize -d kitclient”,执行完毕后优盘即可正常使用。
- 绑定钥匙后,身份鉴别功能未生效
请确定是否关闭selinux:影响身份鉴别功能。确定关闭后仍是无效请联系售后。
1.输入命令vi /etc/selinux/config打开config文件,
2.将SELINUX=enforcing改为SELINUX=disabled,然后保存退出。
- 客户端部分功能异常(仅限麒麟系统)
如果当前为麒麟系统,客户端出现托盘未启动、网络连接异常、文件防护功能失效、进程防护功能失效或设备管控功能失效,请先排查以下配置项是否准确。确定准确后仍有问题请联系售后。
1.使用getstatus命令查看“exectl、netctl、fpro、ppro、devctl”正常配置。
- exectl off (on时,会导致使用脚本启动的程序无法运行)
- netctl off (on时,操作系统禁用网络,影响网络连接)
- fpro on (off时,文件防护功能失效)
- ppro on (off时,进程防护功能失效)
- devctl on (off时,设备管控功能失效)
- 修改方法
麒麟系统桌面机:
setstatus enable
setstatus -f exectl off -p
setstatus -f netctl off -p
setstatus -f fpro on -p
setstatus -f ppro on -p
setstatus -f devctl on -p
麒麟系统服务器:
setstatus kysec -s enforcing
setstatus kysec -f exectl -c off
setstatus kysec -f netctl -c off
setstatus kysec -f fpro -c on
setstatus kysec -f ppro -c on
setstatus kysec -f devctl -c on
使用说明
系统功能
中孚安全保密套件管理系统是由“违规外联、移动介质管控、主机审计、终端接入控制、身份鉴别、数据采集”等功能模块组成的、适应于涉密通用机环境的新形态安全保密防护产品。根据标准规范要求,本系统首先为涉密应用系统提供有效的安全保密功能;其次,为保密监管、保密检查、涉密网络分级评测等提供统一的数据格式和服务接口;最后为涉密网络运维管理、态势感知、监测预警等提供数据来源和传输通道。
系统运行在安可通用机,在联网模式下包含管理端和客户端,单机时可将客户端注册为单机模式进行管理。
安全套件管理端具备主机管理、策略管理、日志管理、钥匙管理、涉密优盘管理和级联管理等安全保密功能,此外具备集中状态监控、软件分发、集中告警等管理功能。管理端向专用机产品、网络安全设备、应用系统等提供数据接收接口;向自监管单位、测评单位、监督检查单位提供统一的数据上报接口。
安全套件客户端具备违规外联监控、移动存储介质管控、主机审计、身份鉴别、终端接入等安全保密功能,同时具备本地状态监控、软件更新、客户端管理和本地告警等功能,并利用操作系统提供的接口实现防绕过和防卸载等自身防护。
运行环境
使用该系统管理端时,为保证更好的展示效果,建议使用1920*1080及以上分辨率,使用谷歌浏览器或者系统自带奇安信浏览器、火狐浏览器。
运行环境:安可通用计算机,平台包括龙芯、飞腾、麒麟、鲲鹏、兆芯、海光等CPU;操作系统包括麒麟,统信。
系统账户
- 管理端账户
管理端有三种角色账户:系统管理员、安全保密管理员、安全审计员。系统管理员、安全保密管理员和安全审计员内置了账号和默认密码。实际使用过程中可以根据需要创建三种角色的其他账号。
系统管理员账号(以下简称管理员):admin 密码:123ABCdef*#*
安全保密管理员账号(以下简称保密员):baomi 密码:123ABCdef*#*
安全审计员账号(以下简称审计员):shenji 密码:123ABCdef*#*
- 客户端账户
客户端仅提供一种角色账号,默认账号:baomi 密码:123ABCdef*#*
登录该角色账号提供客户端的管理功能:注销、授权、组织机构管理(单机模式)、策略管理、日志管理、涉密专用优盘管理、钥匙管理等。
系统管理员
系统管理员主要负责安全套件系统的配置、操作和维护等,包括系统基础信息管理、授权管理、安装包管理及系统配置等工作,是日常运维工作的主要人员。该账户下经常使用的功能包括组织机构管理、产品授权、安装包推送升级、单点登录、数据备份还原和日志告警设置等。系统初始化后,在该账户下需要优先完成服务器地址、模块地址等配置,并创建组织机构,确保联网客户端安装过程同步机构信息完成注册。
安全保密管理员
安全保密管理员主要负责主机管理、用户主机策略的配置分发以及系统接收数据的管理,套件客户端审计日志的统计分析,安全审计员操作日志的审查分析。该账户对应的功能模块:主机管理、策略管理、日志管理、基础信息、第三方数据、级联管理、涉密优盘管理、钥匙管理、准入控制等。
安全审计员
安全审计员主要负责系统管理员和安全保密管理员操作日志的审查分析和导出。登录该账户,显示审计日志管理、基础信息等模块菜单。
使用说明
本章节主要结合使用场景介绍产品核心业务使用流程及使用位置。系统中各功能菜单详细的使用说明参考第三章及后续章节。
操作流程
联网模式
管理端部署完成后,如果客户端是联网模式,请根据以下操作流程,完成客户端及主机策略的管理。
针对以上操作流程各个步骤操作位置及说明如下:
- 管理员登录管理中心:参考3.1章节,使用管理员登录。
- 创建或导入组织机构:参考3.2.3章,进行组织机构数据的创建,完成该过程可以用于在客户端注册时选择部门和责任人。
- 上传客户端安装包:参考3.4.1章节,客户端安装包上传完成后,在终端机器上访问下载页面即可下载安装包。
- 安装客户端并注册
在终端机器上访问下载页面“http://X.X.X.X:8888/core/install/download”其中X.X.X.X为管理中心的IP地址,如下图,在“单包下载”页面中即可下载安装包。在终端上双击运行,安装完成并重启客户端,按照6.1章节完成注册。
- **保密员登录管理中心:**参考4.1章节,使用保密员登录。
- 管理主机策略
注册完成的客户端出现在管理端的【主机管理】中。在此处可以查看主机上报的各类型数据,包括主机基本信息、主机状态信息、策略信息及查看健康状态。
-
- **单个主机的策略管理:**在【主机管理】-->【主机列表管理】中,点击某个主机的“策略信息”,弹出页面中可以修改主机策略配置,并在保存后同步到对应的客户端。
- **批量策略管理:**参考4.3章节在【策略管理】中可以创建自定义策略或修改默认策略,并选择主机下发策略,实现策略的批量管理。
- 查看日志
在【终端审计日志】页面查看客户端上报的审计日志。参考4.4.2章节。
单机模式
参照客户端部署手册,安装客户端后完成单机激活和授权。参考6.3章节登录管理员账号进行本地管理。
策略管理
- **单个主机的策略管理:**在【保密员登录管理端】-->【主机管理】-->【主机列表管理】中,点击某个主机的“策略信息”,弹出页面中可以修改主机策略配置,并在保存后同步到对应的客户端。
- **批量策略管理:**参考4.3章节在在【保密员登录管理端】-->【策略管理】中可以创建自定义策略或修改默认策略,并选择主机下发策略,实现策略的批量管理。
- **单机策略管理:**使用admin账号登录客户端,在【策略管理】中可以配置本地策略。
级联管理
用于分级管理上下级站点,前提是在上级站点和下级站点已经部署了管理端。操作流程及说明如下:
- 部署管理端A、管理端B,需求:A作为上级站点,管理下级站点B;
- 保密员登录A管理端,在【级联管理】-【站点管理】页面,点击【新增】按钮;
- 在新增站点页面中输入站点名称、认证码(取自B管理端,如下图)、协议、IP、端口(8080)点击确定完成新增。(认证码:B管理端登录admin-系统管理-服务器设置-高级别管理端token密钥值)
- 新增成功后,使用保密员访问B管理端【级联管理】-【站点管理】页面,将展示上级A站点信息。
- 使用保密员访问A管理端【级联管理】-【策略查看】页面,可以查看下级站点主机的策略信息及日志,在【策略管理】-【主机策略】页面可以对下级下发策略。
涉密专用优盘使用
涉密优盘在目标机器使用前,必须是已经注册的,否则将弹窗提示。单机时,在客户端的管理员账号下【优盘管理】页面中进行注册。联网时,在管理端保密员账号下的【涉密优盘管理】页面中注册。
使用环境准备
涉密专用优盘为T型口,在目前的通用国产机器上未集成T型口接口,使用时可以借助“单向导入装置”(单导)作为接入装置。
涉密优盘注册
- 联网版:(参考4.8.1章节)
- 请在保密套件已适配的环境中使用保密员访问管理端,根据管理端程序提示确定是否安装红盘插件;
- 在当前主机通过单导插入涉密优盘,根据管理端提示完成注册。
- 单机版
请确定已经按照部署说明安装了红盘驱动,在目标机器上使用admin账号登录保密套件客户端,点击优盘管理页面,插入涉密优盘后根据页面提示完成注册。
涉密优盘管理
- 日常使用
已注册的涉密优盘,可以插入已安装红盘驱动和保密套件客户端的机器使用,插入后弹窗提示输入密码。输入口令后即可打开文件管理页面,进行文件操作。
登录成功后打开客户端页面,点击优盘管理,出现以下功能。其中打开可以直接打开文件管理页面,弹出将涉密优盘弹出,再次点击打开时将提示输入密码。点击管理可以查看注册信息,并提供修改口令功能。
-
日常管理
- 管理端提供修改注册信息、注销等功能,以及查看涉密优盘使用记录,参考4.8章节。
- 单机客户端登录admin账号后,在优盘管理中提供修改、注销等功能。
放行外设
admin账号登录客户端后,在【策略管理】—>【设备管控】—>【其他设备策略设置】可以放行当前插入的普通优盘或其他外设。或登录管理端保密员,参考4.3.3章节放行。
身份鉴别钥匙绑定
仅能在管理端的保密员或者登录客户端管理员后,点击钥匙管理进行绑定。未登录管理员时,客户端仅提供当前登录钥匙的修改PIN码功能。
管理端_管理员
登录管理端
浏览器中输入URL(http://IP地址:8888/core)后回车,打开登录界面,如下图:
使用admin账号并输入密码,验证通过后登录管理端页面如下:
图:系统管理员界面
基础信息
实现组织机构、全局参数、admin角色及账号等系统基础信息的管理与维护,主要包括“角色管理”、“账号管理”、“组织机构管理”、“全局参数”等四个主要模块。
角色管理
角色管理用于当前用户角色查看与角色再分配操作,对应使用场景:安全管理员可以创建具有部分权限或管理范围的角色,如给下级单位创建对应范围的子管理员账号。主要的操作包括添加、编辑、删除、批量删除和权限分配/查看的功能。
**添加角色:**点击时,弹出角色添加对话框。默认添加的角色类型都是安全管理员。编辑好角色名和备注信息后,点击“保存”按钮完成角色添加。
**批量删除:**选中列表中的多个角色后,点击此处,弹出是否确定删除的对话框。选择“确定”,所选角色被删除;选择“取消”,放弃删除操作。
**复制:**将当前角色快速复制为具有同权限的新角色名。
**编辑:**可以对添加的角色进行角色名和备注信息的修改。修改后点击“保存”按钮完成编辑操作。
**删除:**点击后,弹出是否确定删除的对话框。选择“确定”,角色被删除;选择“取消”,放弃删除操作。
**权限分配/查看:**新添加的子角色默认权限为空,需要根据实际情况分配管理权限和组织机构权限。点击此处,转到权限分配页面。通过账号登录后只能查看对应角色所分配的菜单,范围权限仅限于所设置的组织机构人员。
**备注:**如果想给角色分配组织机构权限,需在“基础信息>全局参数>基础平台”配置编辑页面中将“开启组织机构权限”设为开启状态。
账号管理
账号管理用于管理系统中使用的管理端和客户端的登录账号。管理账号管理对象为管理端使用账号,普通账号页面对应的客户端登录账号,页面中以左侧为组织机构树,右侧为账号列表的形式对账号进行管理。组织机构树点击时可对列表中数据进行筛选,列表中显示账号、对应的角色、所属部门、所属用户、创建时间、状态(启用或禁用)、备注和操作等信息。
- 添加账号
**管理账号:**用于登录管理中心的自定义账号,创建时需要指定角色。页面提供功能操作如下。
添加账号:输入账号(必填项)、密码、确认密码、对应的角色(管理账号必填项)、所属的用户(必填项)、状态(启用或禁用)和备注信息后,点击“保存”按钮进行管理账号的添加。若点击“返回”则放弃账号添加,然后回到账号管理页面。
**普通账号:**普通帐号通过2种方式来添加:批量添加普通帐号或手动添加普通帐号。
- 批量添加普通帐号:可以根据用户名生成全部的帐号或根据某一用户名生成普通帐号;账号名称默认使用用户名拼音全拼,并首字母大写。
- 手动添加普通帐号:输入帐号名(必填项)、密码、确认密码、选择用户名、状态默认为禁用(需要到保密员中为普通帐号分配角色权限、启用帐号)、备注信息后,点击“保存”按钮进行管理账号的添加。
- 编辑账号
点击页面中的编辑菜单,弹出账号编辑页面,可以对账号、密码、确认密码、对应的角色(管理账号)、所属的用户、状态(启用或禁用)和备注信息进行编辑,点击“保存”按钮结束编辑。若点击“返回”则放弃账号编辑,然后回到账号管理页面。
- 删除账号
在管理账号或普通账号管理页面,点击账号列表最后一列账号对应的“删除”菜单,弹出删除确认对话框,点击“确定”按钮完成删除操作;也可以选中多个账号前的复选框,点击“批量删除”菜单,对多个账号同时进行删除。(注:系统默认账号无法删除。)
- 账号查询
在管理账号或普通账号管理页面,支持对账号名、用户名的查询。输入查询关键字后点击“查询”按钮进行账号查询。点击“重置”按钮实现对查询框的清空操作并显示完整账号列表。
- 导出账号信息
在管理账号页面,点击“导出账号信息”按钮,将所有管理账号的信息以部门为单位分文件存放,导出为多个xls文件压缩在一起的一个zip包。表格中内容包括:账号名称、账号备注、所属用户。(备注:如果部门下不存在账号,则不导出,仅导出存在账号的部门)。
机构管理
机构管理模块包括组织机构树的管理和用户管理两部分。
组织机构树
对组织机构树可以进行添加节点、修改节点、删除节点、导入模板下载、导入组织结构、导出组织机构等操作。
添加:点击时弹出组织机构新建窗口,选择组织机构的类型:单位或部门。若选择的类型是“部门”,填写名称、上级单位、排序信息(默认为1,数值越大,排列越靠前)以及备注信息后,点击“保存”按钮就可以进行部门的添加,也可以使用“保存并继续”按钮对多个部门进行快速连续添加;在状态一栏中选择“启用”或“禁用”(默认是启用状态),若设置父节点为“禁用”时,子节点自动被禁用,设置父节点为“启用”时,子节点的启用禁用状态可单独设置。备注:如果想快速在某个组织机构下面添加下级组织机构,可以先点击该组织机构,再点击“添加”按钮,那么弹出的新建窗口中“上级单位”一项就默认为该组织机构。
修改:选中非根组织机构,点击“修改”菜单,弹出组织机构的编辑窗口。可以对组织机构各信息进行编辑修改操作,点击“保存”按钮结束编辑。注:部门中,组织机构类型不可修改;单位中,组织机构类型和上级单位均不可以修改。
删除:选中非根组织机构,点击“删除”按钮,弹出确认删除对话框,点击“确定”后完成删除操作。
注:根组织机构、初始化的子单位和有主机的组织机构均不可以删除。
导入模版下载:点击“导入模版下载”按钮,下载组织机构导入的模版,按要求进行填写后,可以用来进行导入操作。
导入组织机构:点击“导入组织机构”按钮,选择需要导入的文件,点击“上传”后进行组织机构的导入。如果提示导入失败,请根据失败提示信息修改导入文件。
导出组织机构:点击时,将整个单位的组织机构导出为xls格式文件,内容包括:用户名称(必填)、所属部门(必填,部门以“\”区分上下级,单位以[某单位]标注、联系方式、备注、职务、行政区码、机构编码、部门状态、密级(绝密,机密,秘密,内部,公开);该文件可用于组织机构的导入。
导出站点机构:点击时,当组织机构中下级站点的组织机构信息导出。
用户管理
在组织机构管理页面中,右侧以列表的形式展示了用户的用户名、联系方式、所属部门、创建时间、职务、联系方式、备注和操作等信息。可以对该表中的用户进行查询、添加、编辑、删除等操作。
添加用户:点击时弹出新建用户窗口。输入用户名(必填项)、所属部门(必填项)、联系方式和备注信息后,点击“保存”按钮进行用户的添加。也可以使用“保存并继续”按钮对多个用户进行快速连续添加。
编辑用户:点击操作列中的“编辑”菜单,打开“编辑用户”窗口,可以对用户名、所属部门、联系方式和备注信息进行编辑,点击“保存”保存用户信息。
删除用户:点击操作列中的“删除”按钮,弹出删除确认对话框,点击“确定”完成删除操作;也可以选中多个用户前的勾选框,点击“批量删除”菜单,对多个用户同时进行删除。
备注:如果存在用户已经安装主机或者用户已经关联账号,那么该用户不允许删除。会给出如下提示信息,此时根据信息提示,删除对应的信息后再操作。
用户查询:支持对用户名的查询。输入用户名后点击“查询”按钮进行用户查询。
全局参数
- 基础平台
配置页面中主要包含基础参数配置、客户端参数配置和扩展配置。基础参数配置是对系统内一些公共业务的配置功能,主要包括以下内容。
基础参数配置
备用web服务器地址:用于设置web服务器的备用地址,用户更换web服务器地址时使用。
备用通信服务器地址:用于设置通信服务器的备用地址,用户更换通信服务器地址时使用。
是否单位下创建用户:选择“是”就可以直接在单位下创建用户,选择“否”只能在部门下创建用户,单位下不能直接创建。
创建组织机构必须选择行政区域:选择“是”,则创建组织机构时,行政区域必填。
是否允许创建帐号时生成简单密码:选择“是”,则创建账号时随机生成4位简单密码。
帐号登录时绑定主机:设置为“是”,则只能激活终端的用户可以登录终端,其他用户不能登录。
安装包升级时使用镜像下载:开启镜像下载后,终端下载文件的地址由平台地址更改为准入地址。
上传控件优先使用:默认为flash控件,可设置成HTML原生控件
是否启用软件分发:该参数关闭后,不再执行软件分发任务
客户端提交的主机信息是否自动审核:开启自动审核后,用户端提交的主机信息不需要系统管理员审核。
客户端提交的主机信息是否快速激活:开启快速激活的前提条件为开启自动审核;用户想通过快速激活的方式激活,在添加主机时需要输入IP、mac、硬盘序列号其中一项,终端在激活时与添加的主机信息正确匹配后才可以实现快速激活。
客户端激活时是否自动匹配硬件信息:开启自动匹配硬件信息后,主机重做操作系统后,再安装平台终端时,如果选中快速激活,终端激活后则会使用之前的主机信息,如果未选中快速激活,终端激活后会将之前的主机信息覆盖。
开启用户短连模式:提供给特殊项目使用。
开启客户端主机自动授权:新激活的主机授权模式默认为自动授权,手动授权主机可调整为自动授权。
开启组织机构权限:开启组织机构权限后,为角色分配权限时可以分配组织机构权限。
开启验证码登录:开启验证码登录后,使用帐号登录系统时需要输入密码和验证码才可以登录。
开启管理登录IP限制:开启管理登录IP限制后,已添加的ip可以访问管理端,没添加的无权登录管理端。
允许登录时间范围:设置后仅允许该时间段登录管理端。
开启产品授权信息提醒:用于授权点数不足时是否进行提醒。
校验用户密级和机器密级是否一致:开启后终端激活,校验用户和主机密级是否一致,若不一致不允许激活。
用户姓名唯一:开启后,用户在新建时不同部门下不允许存在相同名称的用户。
**客户端参数配置:**主要是定义客户端托盘名称、客户端是否后台运行、客户端是否显示托盘、客户端是否显示消息框、客户端是否显示基础信息类消息框、客户端是否允许单机激活、客户端中是否允许自定义托盘。客户端同步配置主要是定义主机配置、主机策略、主机信息、健康状态、主机硬件的同步周期(系统默认为10分钟,最大值为360分钟)。
客户端单点登录是否锁定账号:配合安全登录使用,单点登录后,账号不允许退出。
客户端加密算法:为部分产品定制功能。
**扩展配置:**扩展配置主要是设置组织机构是否显示单位类别、行政归属,编码是否必填;设置终端激活时注册项(工作证号、职务、房间号、机器类型、主机编码)的显示状态,客户端是否开启升级,开启后在系统运维--产品安装统计中新增客户端状态展示列,可查看当前安装版本和下发升级操作。
- 接入控制
此页面用于配置接入控制功能的管理端服务器地址和端口号,配置后,自动同步到装有接入控制功能的客户端,作为客户端与管理端的通讯地址。
授权管理
授权管理中可以对钥匙进行分配、回收点数,进行“管理钥匙授权初始化”以及“钥匙信息同步”操作;统计各模块的点数授权情况,同时可以通过导入授权文件的方式更改模块的授权点数,动态增加产品模块。
授权管理
系统初始化时授权点数会自动同步系统管理员KEY中的授权信息,如果想再次修改系统的整体授权信息,可以使用授权文件导入的方式。授权管理中主要包括了授权文件导入及授权钥匙的点数同步或分配等管理功能。此处的“钥匙”是专指用于单机授权场景的授权KEY,用于单机客户端的授权激活。出厂的授权KEY是空白不含点的,需要在此处进行点数分配。
导入授权:点击此处弹窗用于导入授权点数文件,可以实现更改各功能模块的授权点数或增减功能模块的作用,授权文件是通过正常的产品生产发货得到。
管理钥匙授权初始化:用于对3.X版本时的老KEY作为补丁补充KEY功能使用的,当前作为一个兼容功能,新版本授权钥匙不必使用。
钥匙信息同步:可以同步管理钥匙、激活钥匙里的授权信息,在对钥匙分配、回收点数前,均需操作同步信息;另当钥匙在终端授权操作达到30次时,必须在管理端同步钥匙信息后,才可进行后续操作,以防点数丢失。
分配钥匙点数:插入授权钥匙KEY后,根据管理端可分配点数,可对KEY分配相应模块的授权点数。
回收钥匙点数:插入KEY后,根据当前钥匙的剩余点数,可向管理中心回收KEY中的授权点数。
钥匙授权
该模块用于显示用于单机授权的授权KEY信息,包含“生成激活码”、“钥匙信息同步”两个功能,操作均需插入KEY后进行。
生成激活码:点击生成激活码后,在弹出对话框中输入请求码,选择想要授权的产品类型,点击生成;将获取到的激活码输入终端,可授权相应的产品。
钥匙信息同步:可以同步管理钥匙、激活钥匙里的授权信息,将钥匙编码、钥匙类型、(授权)产品名称、主机标识、激活码以表格的形式展现出来。在对钥匙分配、回收点数前,需要进行信息同步;当钥匙在终端授权操作达到30次时,必须在管理端同步钥匙信息后,才可进行后续操作。
查询:可以按照钥匙编码、产品名称、钥匙类型等查询授权信息。
安装包管理
用于管理系统运行过程中使用到的安装包或控件包,也支持第三方软件分发,可以制定分发策略和运维策略,查看分发任务。
安装包管理
安装包管理主要包括安装包上传、控件包上传等功能。
- 安装包上传
已上传的安装包在页面中以列表的形式管理,包括安装包名称、操作系统类型、系统架构、版本、厂商和操作。左侧为系统类型,点击可以根据类型对列表中的安装包进行筛选。提供按照厂商和版本号进行查询的功能。
上传安装包:在安装包上传页面,点击“上传安装包”,找到安装包的存储目录,选择要上传的安装包,填写自定义的安装包名称和版本号,选择厂商、系统类型和系统架构。点击确定完成上传。
删除:点击并确定后,将删除当前安装包。
下载:点击自动下载安装包文件。
升级:点击时,弹出组织机构列表,支持按照主机或部门选择升级范围,并自动筛选与当前安装包架构一致的主机。
- 控件包上传
上传控件包:点击是弹出上传页面,找到控件包的存储目录,可以选择单个或多个控件包(仅支持上传exe,run,bin格式的文件),同时上传。
删除:点击并确定后,将删除当前控件包。
下载:点击自动下载控件包文件。
运维策略
运维策略用于安装、升级、卸载各集成产品模块。添加策略:手动添加策略的方式来动态安装产品。输入策略名、主机名和主机安装码进行查询,点击分布主机数,可以查看当前策略应用的主机列表。
软件分发
软件分发可以实现对指定的主机实时或在指定的时间分发软件,可以手动创建分发任务(指定分发时间、分发软件)。
软件分发:此功能模块主要用于添加软件分类、上传分发的软件、向下分发软件。如下图所示:
添加新分类:点击后,输入软件的类别名称,点击“保存”即可新建分类。添加完分类后,可以上传需要分发的软件,点击“上传软件”,输入文件名,选择软件类型,选择需要上传的文件,如下图所示:
分发:软件上传后,出现软件列表中,在“操作”列的“分发”菜单,可以对指定的主机分发软件。点击后,选择执行终端,设置分发配置,生成分发任务。
查看/编辑:用于修改软件信息,点击高级设定中可以设置软件下载完成后事件、运行方式、安装成功判定标准,备注信息。
执行历史记录:点击查看软件执行的历史记录。
删除:点击删除软件记录。
分发任务
此功能主要是实现在指定的时间分发指定的软件,以及分发任务的执行情况,下图为创建分发任务页面:
输入任务名称后,选择分发时间和分发软件(包括自定义上传的软件安装包、生成的终端复合包、各集成产品上传的终端安装包),选择执行的终端,生成分发任务,任务创建完成后,可以在下图的分发统计中查看任务的执行结果。
分发统计结果见下图:
系统管理
系统部署服务器参数及数据库数据的管理及配置。
服务器设置
- 日志参数配置
日志参数配置:审计日志存储空间上限、审计日志剩余存储空间告警值、审计日志存储空间到达上限后自动覆盖最后多少天的日志数据。
根据系统实际所处的硬盘大小进行“日志存储空间上限”的设置,一般应设置为远低于磁盘剩余空间大小的值;审计日志剩余存储空间的阈值必须低于审计日志存储空间上限,系统管理员根据实际情况进行设置。点击“保存”按钮对设置进行保存。
当审计日志剩余存储空间大于审计日志空间上限,点“保存”时,会弹出如下提示信息:
审计日志实际剩余空间达到或超过设定的剩余空间告警值时,会在登录首页日志空间使用图表下方显示如下所示的告警信息:
审计日志保存周期可以由安全保密管理员配置,能够配置为3个月、6个月、12个月等。审计日志存储空间到达上限后会自动覆盖周期之前的历史数据。如果审计日志存储空间已满,则自动转存审计日志、覆盖三个月之前存储的审计日志等,并发出告警。
- 服务器设置
设置服务器配置信息,包括主备服务器地址设置、kafka日志设置、配置管理服务器地址、syslog服务器地址、服务器策略版本接口查询周期、健康状态接口上报周期、客户端是否开启消息弹框等功能的设置功能,以及自动生成各类token密钥值(监管、监管检查、测评、综合管理中心、高级别管理端)等。
- 专用机产品服务器设置
配置已有专用机产品的系统服务器地址:三合一、主机审计、身份鉴别。配置后可以实现系统数据的接收。
数据库备份还原
备份数据库:点击实现数据库的实时人工备份,并在列表中记录此次备份记录的备份时间,提供详情查看和还原功能。
还原:点击还原时,确认后可以实现数据库的还原。
数据库自动备份配置
对系统数据设置自动备份周期,支持每天或每周,支持自定义时间及备份文件路径的设置。设置后,系统按照配置时间执行自动备份,并在数据库备份还原中显示备份记录。
模块管理
导入模块包并进行模块管理,支持对模块地址进行配置。导入模块包:点击时,选择导入的文件(zip格式),完成导入。导入补丁包:点击时,选择导入的文件(zip格式),完成导入。导入后的模块包以列表形式管理,支持模块配置和移除。
系统扩展
信息导入导出
在信息导入导出页面可以导出管理端的组织机构信息、配置信息及主机信息,用于备份数据或再次导入。
其中“导出信息-支持平台终端套件版本”,点击“执行导出”可以导出zip格式的组织机构信息,该文件可用于单机有管理中心的注册过程。
同步配置信息
可配置平台组织机构同步方式,本地数据源:在安保平台组织机构页面维护组织机构,不同步外系统数据;AD域数据源:启用了AD域数据源后,平台定时从该数据源中同步组织机构和责任人信息,不再使用本地维护的组织机构。
默认本地数据源:默认为启用状态;
AD域数据源:根据页面提示进行AD域配置,实现AD数据源启用。
信任IP来源设置
信任IP包括终端信任IP和管理中心登录信任IP。
终端信任IP页面可以添加、删除终端信任IP,添加上的IP可以用于接收来自该终端的告警信息。
管理中心登录信任IP页面中可以对IP进行添加、删除,在系统参数配置中开启“开启管理登录IP限制”参数,只有添加上的IP能登录管理端,其他IP无法登录。
管理端_保密员
系统登录
浏览器中输入URL(http://IP地址:8888/core)后回车,打开登录界面,使用baomi账号并输入密码,验证通过后登录管理端页面如下。
图:安全保密管理员界面
主机管理
列表形式管理主机列表,可以查看主机台账、主机状态信息、策略信息及健康状态,提供查询和编辑主机信息功能,支持主机分组管理。
主机列表管理
统一管理连接到套件系统的主机,对接的主机类型可以是安装了套件客户端的国产机,也可以是安装中孚主机防护产品(包括三合一、主机审计、安全登录)的windows主机或专用机。展示主机基本信息、主机状态信息、策略信息及查看健康状态。主机列表页面,左侧为组织机构树,点击部门节点可筛选本部门的主机。支持按照关键字搜索部门名称。
- 主机列表
采用列表样式展示主机记录,主机信息包括:主机名称、部门、责任人、密级、终端类型、联网类型、主机IP、mac地址、操作系统、授权信息、主机状态及操作(编辑/产品视图/策略信息/健康状态)。
责任人:当前主机绑定的责任人,在编辑页面可再次修改。
密级:为客户端注册时,填写的主机密级,在编辑页面中支持再次修改。
终端类型:当前系统定义的终端类型包括专用机、通用机、Windows、虚拟化服务器、非专用机的过程系统/linux、安可通用机(桌面)、安可通用机(服务器);客户端程序根据系统配置自动匹配。不允许再次修改。
联网类型:联网或单机,取决于客户端注册过程中的选择。
授权信息:当终端类型为windows或专用机时,字段内容显示为已授权和未授权的产品数量,鼠标悬浮显示授权详细信息(如下图所示)。
主机状态:在线、离线、已注销或已卸载,根据当前客户端实际情况显示状态值。
- 查询
提供查询条件:终端类型、主机状态、密级、高级查询(主机IP、责任人、MAC、操作系统、主机名称),选择对应的筛选内容或输入检索关键字,点击查询对数据进行筛选过滤。点击重置,清空当前查询内容。
高级查询:
- 导出
点击“导出”,用于导出当前查询列表中的主机列表,为xls格式文件。文件中主机内容包括主机名称、部门、责任人、密级、主机类型、主机IP、mac地址、操作系统、主机状态。
- 编辑
点击编辑,弹出编辑页面(如下图),页面中支持对用户、密级和备注信息进行修改保存。修改后,信息可在心跳周期后同步到客户端。
- 产品视图
点击“产品视图”,弹出该主机的终端信息页面(如下图),左侧为终端信息类别包括主机详情(提供卸载功能)、系统资源、硬件、端口、登录账号、软件、流量信息、进程信息、浏览器信息、系统日志等。点击某个类别查看详细信息,也支持鼠标滚动显示。详情页面提供主机卸载功能,点击并确认后,发起卸载消息至该主机,实现客户端的联网卸载。
- **健康状态:**用于查看客户端模块运行状态信息,包括进程名称、CPU占用率、物理内存、进程状态、异常原因等。(备注:仅限于安装套件客户端的主机支持健康状态的查看)
策略信息
主机列表中,点击策略信息弹窗显示主机当前执行的全部策略模块。页面内对主机策略项提供修改保存功能,适用于单个主机的策略维护管理。修改后同步到对应客户端。以下列出的为套件客户端的策略项功能说明,安装其他产品的策略功能与对应产品一致。
- 端口设备控制:设备端口管控策略、USB白名单策略。
**设备端口管控策略,**用于管控主机设备端口,控制设备的启用禁用,根据需要设置为启用或禁用。光驱可以设置为只读、读写或禁用。根据规范标准要求系统中默认禁用的设备为:普通USB存储介质、1394设备、无线网卡、调制解调器、红外、SD卡、通信类、磁带机、软驱控制器、软盘驱动器、蓝牙、USB端口、网卡、USB外置光驱。可以进行设置的设备:打印机、PCMCIA、61883设备、图像设备、智能卡阅读器、位置USB设备、SCSI和RAID控制器、卷影设备、外单位优盘、串口、并口、多功能导入装置通用口、多功能导入装置涉密口。
USB白名单策略,在设备管控策略下,USB设备是不允许使用的。在该策略中,根据工作需要可以使用USB放行白名单的方式,放行部分USB设备。在页面中设置USB Class、VID、PID、USB隐藏标识及设备描述即可。
- 主机审计功能
策略项
功能描述
登录审计策略
启用审计项:登录、注销、开机、关机;开启后对系统的登录、注销、开机、关机、重启、远程登录、远程注销、远程关机等事件产生审计日志。
打印审计策略
启用/不启用;开启后,对打印输出设备的行为和结果进行审计,包括打印是否取消。产生审计日志,日志内容包括文件名、打印时间、打印页数及份数、打印机名称、计算机账户、打印是否成功等。
刻录审计策略
启用/不启用;开启后对光盘刻录的行为和结果进行审计,审计内容包括刻录机型号、光盘属性、刻录文件名称及大小、文件类型、所在路径、用户、刻录时间及结果。
端口审计策略
启用后可以设置:黑名单、白名单、黑名单端口范围、白名单端口范围;设置黑白名单后,客户端仅对名单内的端口连接行为产生审计日志,并阻断黑名单端口连接行为。
服务审计策略
启用后,需要设置审计服务列表,填写服务名即可;对主机上的服务列表内的服务启动和终止进行审计,审计日志包括服务名称、服务描述、用户、IP地址、MAC地址、服务启动或终止时间。
进程审计策略
启用后,进程审计列表增加审计的进程名;对进程审计列表中的进程启动和终止进行审计,审计日志包括进程名、公司名、源文件名、内存占用、时间、用户、IP、MAC等信息。
文件监控审计策略
启用后,需要设置需要审计的文件路径;对设置路径内的文件操作进行审计,包括文件创建、文件复制、文件删除、修改、重命名、移动等。
端口扫描审计策略
启用后,添加需要审计的端口号、扫描次数阈值及扫描周期
进程流量审计策略
启用后设置需要审计的进程名及流量方向
网络配置审计策略
启用后可选择审计:IP、网络掩码、网关及DNS的变化
网络流量审计策略
启用后,设置需要审计的源IP、源Port、目的IP、目的Port及协议、流向、是否阻断及上传日志
系统性能审计策略
启用后,需要设置CPU和内存的占用率、上报间隔、报警阈值,硬盘的剩余空间和上报间隔
硬件变更审计策略
审计硬件的变化,启用/不启用
软件变更审计策略
审计软件的变化,启用/不启用
审计日志查询策略
主机状态查询的周期设置,包含系统资源、端口、进程、软件、硬件、账户、系统日志、浏览记录、流量
共享监控策略
启用后需要设置需要监控的文件路径,当共享行为发生时产生审计日志
系统账户监控策略
启用后审计系统账户变化
HTTP审计策略
启用后,设置信任访问域名和非信任访问域名,可以选择配置为审计或阻断。
多操作系统识别和监控审计策略
启用后对多操作系统情况进行审计
- 身份鉴别功能
PIN码复杂度:选择密码中含有的字符类型:数字、字母、特殊符号;
PIN码最小长度:数值;
PIN码最大长度:数值;
PIN码过期时间(天):过期时长设置;
拔Key策略:锁屏或注销;
客户端超时锁定(秒):客户端超过该时间不操作时锁定。
- 接入控制功能:用于配置客户端认证方式。在开启用户名+密码标注认证时,客户端需要登录后才能入网。
主机分组
该模块提供一种自定义管理主机的方式。通过自定义建立不同的主机组将主机加以区分。点击“新建分组”菜单,填写组名,在分组列表的操作字段点击“编辑组员”,弹出页面按照提示进行组内管理主机的添加。鼠标点击相应的操作,可以进行主机组的编辑、删除和编辑组员的操作。
支持按照组名进行检索。
策略管理
用于创建、分发、修改被管理主机的主机策略,以及进行全局策略和USB常用设备的管理,包括主机策略、全局策略及USB常用设备三个模块。与主机管理中策略信息修改对比,主机策略模块提供同一策略在多台主机上的集中分发和集中修改功能。
主机策略
主机策略用于实现策略的统一配置和分发,不仅支持套件系统策略,也支持对已有的专用机产品及windows产品策略进行统一管理。
新增策略:点击弹出页面,用于创建新策略,必填策略组名称,及策略组类型(专用机/套件/windows)选填描述。点击下一步,进行对应类别的策略设置。选择专用机类型策略可以配置原有专用机产品的设备管控功能、主机审计功能及身份鉴别功能(策略项参考对应的专用机产品);选择套件类型则对套件客户端策略进行配置,策略项参考2.2.2中的策略信息。
全局策略
用于配置和管理系统的全局策略:外联探测地址、外联告警地址、省级告警地址、采集频率设置。
- 外联探测地址:设置外联探测地址,IP、端口。
- 外联告警地址:设置外联告警地址,IP、端口。
- 省级告警地址:设置升级告警地址,省份、IP、端口。
探测地址及告警地址设置后,下发到客户端,客户端探测到违规外联将告警信息发送至告警地址处的报警平台。
- 采集频率设置:设置终端各类信息数据的采集频率。
数据:静态信息、动态信息、处理器、内存、文件系统、网络接口、进程、公用数据;并设置客户端端口及服务端端口的协议及端口号。数据采集后查看位置:3.4章节“第三方数据”中的“数据采集信息”。
USB常用设备
USB常用设备的管理功能:新增、启用、禁用或删除。
- 列表样式管理当前系统的USB常用设备;
列表字段:序号、VID、PID、终端类型、USB Class、设备描述、是否为默认USB、USB隐藏标识、分发终端数、创建时间、操作(编辑/启用/禁用/删除)。
- 查询条件:VID、PID、终端类型(套件/非套件)、高级查询;
高级查询:USB Class(01h/02h/06h/07h/08h/0Ah/0Bh/0Eh/0Fh/FFh)、默认USB(是/否);支持重置。
- 新增:点击弹窗,用于新增常用USB设备;
填写VID、PID、选择终端类型、USB Class、输入设备描述及序列号。并这是是否为默认USB及USB是否隐藏。
- 启用、禁用
支持批量启用或禁用,点击后弹窗页面中选择启用或禁用USB的主机列表。点击分发终端数用于查看usb应用的主机分布情况。
日志管理
日志系统概览
作为日志中心模块的首页面,用于展示告警及日志的数量分布、月增长趋势、今日最新告警信息和主机告警TOP10。
今日新增告警信息:实时展示今日新增告警,红色数字部分点击可跳转到告警列表页面,进行更多记录的查看。点击详情,可以查看对应告警记录的详细内容。
主机告警TOP10:展示截止目前为止告警数量最多的10台终端。点击更多可以跳转至告警统计中的按主机查看页面。
终端审计日志
以列表形式查看系统接收到的审计日志和告警信息,支持条件查询和按类型筛选,支持客户端日志导入,和导出xlsx格式管理端日志。
- 筛选及导出
事件类型:下拉选择当前事件记录为日志或告警;
支持按照描述、发生时间、终端IP、责任人、部门等字段进行查询,点击查询按钮筛选记录,点击导出将日志记录生成xlsx格式文档打开或保存下载。(备注:因数据量过大时消耗资源严重,导出功能暂时支持条数在50000条以内。)
终端IP、责任人暂不支持模糊查询,需要输入精确的地址和名称。
点击发生时间弹出时间范围选择框,可精确到天,点击清空时不填充时间,表示时间不限。
- 日志来源及类型
列表左侧区域为日志来源和日志类型的树状筛选区域,可折叠,支持树内关键字查询。根据需要勾选记录类型,与筛选条件组合使用。
在事件类型中日志和告警切换时,该区域会更新。
- 详情:点击记录中的详情菜单,弹出页面表单用于查看日志记录的详细内容。如下图所示:表单名称以日志来源-日志类型进行区分。
管理端操作日志
管理端登录用户的操作行为日志,支持按照用户、内容及时间进行查询。支持当前查询记录的导出,单机客户端导出的操作日志,可在此页面点击“导入”实现客户端操作日志的导入。
日志统计
日志统计,对指定时间范围内的各产品的审计日志,按照日志类型、发生次数、发生趋势进行统计和导出,包含按主机查看和按时间查看两个选项卡页面。
按主机查看
柱状图展示日志数量最多的10台主机,并以列表形式展示所有主机的日志统计信息(按照日志总数降序)。在统计表格中点击某台主机时,可查看近一个月日志趋势,以及该主机关联的所有日志记录。
- 点击“发生时间”,可进行指定时间范围内的日志统计,鼠标点击输入框末尾的“”清空时间值,表示时间不限。
- 日志统计TOP10柱状图,点击“收起”或“展开”。
- 点击统计列表中的任一主机名称或任一统计数值,可跳转至该主机的日志统计二级页面(如下图)。
页面左上角为主机名称,页面内容有三部分组成:日志趋势,关联事件、关联日志;点击左上角的“返回”菜单返回上级页面。
- 日志趋势
默认为该主机近一个月的日志总量趋势图,与时间和日志类型无关。趋势图点击下方“收起”菜单可折叠区域,点击“展开”可展开。
- 关联事件
时间轴方式展示该主机的关联事件,输入关键字(部门/描述)筛选记录,点击来源选择来源类型筛选,点击发生时间进行时间筛选。
- 关联日志
列表形式展示该主机的不同类型日志的统计数量,并按照发生次数降序排列。输入关键字进行日志类型、日志来源的筛选,选择发生时间后刷新统计结果为选定时间内的。
按时间查看
以趋势图形式,展示各产品日志在指定时间段内的发生趋势,点击发生时间可以选择时间范围,点击图标下方的产品名称,取消或者开启该产品的趋势。
统计导出
点击日志统计页面右上角的“导出”菜单,用于导出当前选择时间范围内的统计结果:日志统计主机TOP10、产品每日数据趋势、产品日志总量及日志统计列表主机TOP10。点击后跳转至日志统计导出预览页面,右上角点击“导出”,生成与预览内容一致的PDF报表文件。
告警统计
告警统计,对指定时间范围内的告警事件,按照事件类型、主机分布进行统计和导出。包含按事件查看和按主机查看两个选项卡页面。
按事件查看
柱状图展示数量最多的告警类型TOP10,并以列表形式,展示所有告警事件的发生次数和关联主机数量。点击任一事件可查看该事件近一个月的发生趋势,及关联的主机分布。
- 点击“发生时间”,可进行指定时间范围内的告警统计,鼠标点击输入框末尾的“”清空时间值,表示时间不限。
- 告警事件TOP10柱状图,点击“收起”或“展开”。
- 统计表格点击以下字段的表头部分进行全局排序:告警级别、告警来源、发生次数、关联主机。
- 点击统计列表中的任一事件名称或任一关联主机数量,跳转至该事件的二级统计页面(如下图)。
页面左上角为事件名称,页面内容有三部分组成:发生趋势,关联事件、关联主机;点击左上角的“返回”菜单返回上级页面。
- 发生趋势
默认为该事件近一个月的发生趋势图,与时间和日志类型无关。趋势图点击下方“收起”菜单可折叠区域,点击“展开”可展开。
- 关联事件
时间轴方式展示该事件的发生主机和详情,输入关键字(部门/描述)筛选、点击发生时间进行时间筛选。
- 关联主机
列表形式展示该事件在不同主机上的发生次数,并按照发生次数降序排列。输入关键字筛选主机名称或责任人部门,选择发生时间后刷新统计结果为选定时间内的。
按主机查看
柱状图展示数量最多的告警主机TOP10,并以列表形式,展示所有主机的告警数量统计结果。点击任一主机名称可查看该主机近一个月的告警发生趋势,及关联的事件统计情况。
- 点击“发生时间”,可进行指定时间范围内的告警统计,鼠标点击输入框末尾的“”清空时间值,表示时间不限。
- 告警主机TOP10柱状图,点击“收起”或“展开”。
- 统计表格点击以下字段的表头部分进行全局排序:IP地址、告警数量、责任人、部门名称。
- 点击统计列表中的任一主机名称,跳转至该主机的二级统计页面(如下图)。
页面左上角为主机名称,页面内容有三部分组成:告警发生趋势,关联事件、关联告警;点击左上角的“返回”菜单返回上级页面。
- 发生趋势
默认为该主机近一个月的发生趋势图,与时间和告警类型无关。趋势图点击下方“收起”菜单可折叠区域,点击“展开”可展开。
- 关联事件
时间轴方式展示该主机的告警记录,输入关键字进行部门、描述筛选,点击发生时间进行时间筛选。
- 关联主机
列表形式展示该主机不同告警事件的发生次数,并按照发生次数降序排列。输入关键字筛选事件名称、级别和来源,选择发生时间后刷新统计结果为选定时间内的。
统计导出
点击告警统计一级页面右上角的“导出”菜单,用于导出当前选择时间范围内的告警统计结果:告警事件TOP10、告警事件列表TOP10、告警主机TOP10及告警主机列表TOP10。点击后跳转至告警统计导出预览(如下图),右上角点击“导出”,生成与预览内容一致的PDF报表文件。
基础信息
角色管理
角色管理是安全保密员针对实际工作情况,可创建子安全保密员角色和普通帐号角色类型,同时对该类型角色所辖范围和功能进行授权和管理。角色列表主要显示角色的角色名、是否普通帐号角色、创建时间、备注和操作等信息。
添加角色:弹出角色添加对话框。默认添加的角色类型都是安全保密员,如果新建角色时选中普通帐号角色,则添加的角色为普通帐号的角色。编辑好角色名和备注信息后,点击“保存”按钮完成角色添加。
编辑:可以对添加的角色进行角色名、角色类型和备注信息的修改。修改后点击“保存”按钮完成编辑操作。
删除:弹出是否确定删除的对话框。选择“确定”,角色被删除;选择“取消”,放弃删除操作。
批量删除:选中多个角色后,点击后弹出是否确定删除的对话框。选择“确定”,所选角色被删除;选择“取消”,放弃删除操作。
权限分配/查看:新添加的子角色默认权限为空,需要根据实际情况分配范围权限和管理权限,点击后转到权限分配页面。
账号管理
账号管理模块以账号列表的形式对管理账号和普通账号进行管理。账号列表中显示账号、对应的角色、所属部门、所属用户、创建时间、状态(启用或禁用)、备注和操作等信息。可以为系统管理员下创建的普通账号授权角色、启用或禁用普通账号。
添加账号:输入账号(必填项)、密码、确认密码、对应的角色(必填项)、所属的用户(必填项)、状态(启用或禁用)和备注信息后,点击“保存”按钮进行账号的添加。
编辑账号:可以对账号、密码、确认密码、对应的角色、所属的用户、状态(启用或禁用)和备注信息进行编辑,点击“保存”按钮结束编辑。若点击“返回”则放弃账号编辑,然后回到账号管理页面。
删除账号:弹出删除确认对话框,点击“确定”按钮完成删除操作;也可以选中多个账号前的勾选框,点击“批量删除”,对多个账号同时进行删除。注:系统默认账号无法删除。
账号查询:左侧组织机构树点击部门筛选,同时支持对账号名、用户名和角色名的关键字查询。输入查询关键字后点击“查询”按钮进行账号查询。点击“重置”按钮实现对查询框的清空操作并显示完整账号列表。
普通账号:对普通账号授权角色,批量启用、禁用普通账号,全部启用、禁用普通帐号,按账号名称、部门查询等。
导出账号信息:导出系统中创建的所有账号信息,为压缩包格式。
第三方数据
套件管理端具有强大的日志对接功能,根据接口规范可以对接各类型数据或日志,该模块是对南向接口接收到的各类型的日志和数据信息进程集中查看和查询。
数据采集信息
展示和管理从安装套件客户端的主机采集到的各类型数据信息。列表样式管理,字段内容包括序号、主机名称、主机编码、主机IP、MAC、责任人、部门、操作;支持部门名称、责任人、主机IP、MAC及主机编码查询。
查看详情:点击后,弹出页面展示当前主机采集到的各类型数据。
终端-静态信息:设备管理、设备硬件、设备软件及设备账号。
终端-动态信息:通用、设备硬件、设备软件、系统类信息、外设类信息、安全类信息、账号动态信息、网络端口动态信息、文件处理信息。
终端-主机保密防护情况:安全保密产品安装情况、审计策略、监控策略配置情况、防病毒情况。
终端-运维类数据:静态信息、动态信息、处理器信息、内存信息、网络信息、文件系统分区信息、磁盘IO信息、进程信息。
运维类数据
运维类数据对从涉密专用运维管理系统对接到的日志数据进行查看和查询。列表样式管理,表中数据包括:序号、唯一标识、主机名称、主机型号、IP、制造商、处理器信息、硬盘序列号、BIOS版本描述、操作系统名称、处理器架构、处理器位数、操作系统版本、内核版本、业务网口数量、CPU数量、SOC卡版本、三合一版本、操作(详情)。
查询条件:主机名称、主机IP、设备类别(涉密专用服务器/涉密专用计算机);点击重置清空查询内容。
点击详情:跳转页面显示该主机的日志详情,包括专用计算机动态日志、专用计算机CPU日志、专用计算机内存日志、专用计算机文件系统日志、专用计算机网络接口日志。
审计类数据
审计类数据是指接收到的主机审计或服务器审计系统的审计日志。内容包括终端编码、终端IP、硬盘序列号、终端类型、责任人、所属部门、密级、处理器、操作系统、操作(详情)。
查询条件:终端IP、终端类型(服务器/桌面机);支持重置。
详情:点击后弹出页面查看当前主机上报的日志详情。
日志类数据
该页面展示的为融合一、身份鉴别专用产品的管理端日志数据。页面展示布局:左侧为日志来源及类型树。
融合一下不同的日志类型可以勾选复选框进行筛选。日志字段包括:序号、责任人名称、主机名称、主机IP、硬盘序列号、主机编号、MAC、部门路径、描述、操作(详情)。点击详情,弹窗显示日志详情。查询条件:责任人、主机IP、主机名称、部门路径、描述、发生时间,支持重置。
身份鉴别字段内容包括终端IP、名称、产品版本、厂家、主体对象、客体对象、产生时间、描述、操作(详情);点击详情弹窗显示日志详情。查询条件:主机IP、描述、发生时间;支持重置。
网络安全设备日志
页面用于展示从网络安全设备对接到的数据,数据字段包括唯一标识符、名称、型号、制造商、设备类型、责任人、操作(查看详情);点击查看详情弹窗显示当前设备详情,包括运维类数据和审计管理类数据。查询条件:唯一标识、名称;支持重置。
应用系统日志
用于展示从应用系统对接的数据日志。列表字段包含应用系统名称、应用系统密级、中间件名称、服务器IP地址、数据库IP地址、数据库类型、操作(查看详情)。查询条件:应用系统名称、密级;支持重置。
查看详情:点击时弹窗显示日志详情,包括基本信息、密级标志、账户信息、身份鉴别、前台访问信息、后台交互信息、安全审计、备份与恢复。
数据库/大数据平台日志
用于展示和查询来自数据库及大数据平台数据日志。字段包含数据库服务器IP地址、品牌(名称)、数据库版本、访问方式、鉴别方式、操作(查看详情)。查询条件:数据库服务器IP地址、数据库品牌;支持重置。
查看详情:点击时弹窗显示日志详情,包括基本信息、身份鉴别策略、权限划分策略、点击弹窗显示日志详情、数据库/大数据平台安全策略。
级联管理
级联管理主要用于管理不同的平台服务器的级别关系,来体现上下从属关系。主要包括站点管理和策略查看。
站点管理
站点管理:用于显示当前平台的上级站点,和管理下级站点列表。点击“新增”可以添加下级站点,页面中的认证码需要在下级站点的管理中心获得(获得位置:admin-->系统管理-->服务器设置-->服务器设置-->“高级别管理端token密钥值”)。
备注:如果上级更换协议类型,下级需要重新绑定到上级;如果下级更换协议类型,下级需要重新绑定到上级。
策略查看
子站点新增成功后,在此处可以查看下级站点的组织机构树及主机列表,在右侧的主机列表,操作字段中点击“策略信息”和“日志信息”可以弹窗查看下级主机的策略和日志信息。
涉密优盘管理
管理涉密优盘,提供优盘注册、注销、编辑、解锁和查询功能。
优盘管理
选择导航菜单“优盘管理”,若打开出现以下界面,请先下载组件安装。如图:
优盘管理界面需要对应的组件,组件参考下载界面的备注说明:
优盘管理提供涉密优盘的注册、注销、修改、解锁等业务功能。将需要注册的涉密优盘插入主机,页面中回显优盘序列号、生产厂家、型号、VID、PID等优盘只读信息,填写的内容及说明如下(备注:注册时会清空优盘数据区的数据)。
- 使用范围:下拉选项选择对应使用范围,通用、本单位、本部门、本人。
- 责任人:点击弹出组织树,选择对应的责任人,同时部门回显。
- 密级:下拉选择优盘的使用密级,该选项选择后会关联密级策略。
- 备注:设置优盘的备注信息,输入文本。
- 口令:初始口令、确认初始口令,用于设置优盘在使用时的密码,最低8位。根据输入的字符串中字符复杂度显示口令的“强(3种)、中(2种)、弱(单一字符)”程度。
- 口令重试次数:输入数字,作为终端登录重试次数的约束。
- 点击注册,将格式化优盘。
注册菜单:当前优盘未注册时,为注册菜单,如果是已注册的优盘则提供修改注册信息和注销功能。
优盘查询
查看在本系统注册过的所有优盘。查询条件支持部门(下拉选择)、优盘状态(不限\正常\已注销)、使用范围(不限\通用\本单位\本部门\本人)、密级(下拉选择)、责任人(下拉选择)、生产厂家、型号、序列号、单位、注册账户。点击重置,可以清空查询内容。
钥匙管理
身份鉴别钥匙
客户端用户的身份鉴别钥匙的管理功能。页面右侧为列表形式展示当前系统管理的身份鉴别钥匙,左侧为组织机构部门树。选择不同的部门右侧筛选当前部门下的钥匙列表。
- 注册:当主机中插入钥匙后,点击该菜单实现钥匙注册到责任人。
点击后,弹出当前插入主机的所有钥匙序列号;选择需要注册的钥匙,确定后,切换到选择责任人的页面,选择后点击保存完成注册过程。
- 无KEY注册:点击后弹窗,页面中可输入钥匙序列号,并选择责任人,点击保存完成无KEY注册。
- 解锁:插入钥匙,点击解锁,对PIN码被锁定的钥匙进行解锁。
- PIN码重置:插入钥匙,点击密码重置按钮,密码将被重置,可以重置为默认的密码12345678,也可以输入要重置的密码。
6、操作菜单
- 编辑:点击弹出页面,用于修改该钥匙的绑定责任人。页面中回显钥匙序列号和当前责任人及部门。
- 注销:点击后,弹窗询问“确认注销该钥匙吗?”,点击“确定”注销,该钥匙记录不再显示。
- 补发:钥匙丢失,可使用补发功能,用新钥匙一键替换丢失的钥匙,插入新钥匙,点击补发,弹出的窗口中点确定即可。替换后,新钥匙可在已丢钥匙授权的主机上使用,已丢钥匙的授权会被取消。
- 钥匙分发:点击弹出页面,页面中为组织机构树及主机列表,列表可以查询主机(终端IP/责任人/系统用户),选中需要分发的主机及系统用户名,点击确定执行分发。
- 钥匙回收:点击弹出页面,页面中为组织机构树及主机列表,列表可以查询主机(终端IP/责任人/系统用户),列表为该钥匙已绑定的主机,选择要回收的主机,点击确定回收。
- 冻结:点击弹窗询问“您确定要冻结该钥匙吗?”,点击确定冻结成功;对应钥匙变为冻结状态,无法登录操作系统。
- 解冻:如果当前钥匙为冻结状态,则操作中有解冻菜单,可以将钥匙解冻。
根证书上传
上传身份鉴别模块中使用到的根证书。
准入控制
入网申请
客户端计算机首次入网,提交审核,管理端以列表形式显示所有申请信息。
审核通过:选择设备记录,点击“审核通过”按钮,审核通过后设备进入下一步入网流程。
拒绝申请:选择设备记录,点击“拒绝申请”按钮,申请被拒绝,需重新提交申请,审核通过后才能继续走入网流程。
设备管理
设备管理可以看到系统所有的网络设备信息,并提供MAC白名单、802.1X认证设置、拓扑交换机等管理功能。
- 组件设备管理
支持按照设备MAC、设备IPV4地址和接口绑定状态(全部/已绑定/未绑定)、交换机IP等查询,以列表形式显示所有网络设备的基本信息。
列表字段:设备MAC、设备IPV4地址、设备IPV6地址、设备类型、设备名称、交换机IP、网口位置、接口绑定状态、radius账号设备绑定状态、接入时段绑定状态、IP-MAC绑定状态、操作(查看/删除)。
查看:点击弹窗显示登录账号及时间段。
批量设置时间段:选择设备记录,批量设置时间段(开始时间、过期时间)。
接入时段开启:开启时段或关闭时段,开启后,列表中接入时段绑定状态变为开启。
接口绑定:绑定接口或接触绑定,绑定后,接口绑定状态变化。
IP-MAC绑定:IP-MAC绑定或IP-MAC解绑,对应字段IP-MAC绑定状态。
Radius账号绑定:Radius账号绑定/解绑,对应radius账号设备绑定状态。
批量删除:对选中的设备记录执行批量删除。
- MAC白名单
管理系统中添加的MAC白名单。支持按照MAC内容查询,点击添加进行MAC添加。
- 802.1X认证设置
用于维护设备并进行802.1X认证策略设置,进行添加设备、删除设备、初始化Radius服务、查询等功能。
802.1X认证人工审核:开启状态下802.1X认证需要进行审核,审核通过之后方可入网,关闭状态下802.1X认证自动入网。
802.1X认证账号设备绑定:开启状态下账号与MAC地址进行绑定,绑定之后,当MAC地址与账号不对应时,无法入网。
IP-MAC绑定策略:开启状态下IP与MAC地址进行绑定,绑定之后,当IP与MAC地址不对应时,无法入网。
接入位置绑定策略:开启状态下网口位置与MAC地址进行绑定,绑定之后,当MAC地址与网口位置不对应时,无法入网。
接入时段绑定策略:开启后设备入网与入网时段绑定,绑定之后,不在入网时段,无法入网。
添加交换机:输入交换机IP、交换机名称、通讯密钥和位置。
初始化Radius服务:点击用于完成 Radius 接入控制的服务初始化。
- 拓扑交换机
管理添加的拓扑交换机,支持添加,拓扑配置以及按照交换机IP查询。
账号管理
准入模块的账号管理功能:添加账号、修改、启用、禁用、删除。页面右侧为列表形式展示当前系统账号,左侧为组织机构部门树。选择不同的部门右侧筛选当前部门下的账号列表。
编辑:点击编辑可以修改当前账号的责任人、角色及密码。
添加账号:在弹出的对话框中输入账号名称,输入账号密码(默认为123ABCdef*#),选择责任人及角色,点击保存。
批量删除:选择要删除的账号,点击支持批量删除。
批量启用:选择要启用的账号,点击批量启用。
批量禁用:选择要禁用的账号,点击批量禁用。
拓扑管理
列表样式管理当前系统增加拓扑,拓扑列表中包括名称、绘制时间、更新时间、操作(查看/编辑/删除)。
查看:点击弹窗展示绘制的拓扑,并可以进行修改和保存;保存时,更新时间变更。
编辑:修改当前拓扑记录的名称;
删除:删除当前拓扑记录。
新增:弹出页面进行拓扑绘制,并输入名称进行保存。
批量删除:对选中的节点执行批量删除。
管理端_审计员
系统登录
浏览器中输入URL(http://IP地址:8888/core)后回车,打开登录界面,使用shenji账号并输入密码,验证通过后登录管理端页面如下。
图:安全审计员界面
基础信息
管理shenji角色的角色和账号,角色管理用于创建自定义shenji角色,可以分配权限。账号管理创建shenji子账号,指定对应的角色。
日志管理
管理客户端和管理端用户操作日志,提供查询和导出功能。管理端操作日志:记录和管理管理端账号的操作行为日志。字段内容包括时间、操作角色、操作用户、操作IP、操作描述;支持按照用户、内容时间查询,对查询筛选的记录数据提供导出功能。
客户端
注册
客户端安装后,客户端弹出终端激活向导页面,根据提示进行注册流程,将主机注册到某个责任人下,才能正常使用。
终端激活向导分为4步,根据页面提示完成注册过程。
- 选择激活类型:联网激活、单机激活;支持点击选中,选中后点击下一步。
- 选择激活方式
- 单机模式:支持有管理中心和无管理中心两种场景。(客户端禁用网卡)
- 联网模式:选择联网手动激活,填写服务器地址及端口号,端口号默认为8080。
- 填写激活信息
- 单机模式:
提供创建组织机构和导入文件(组织机构的zip文件)的方式创建部门和用户。所属部门和用户需要下拉选择,不允许自行创建;选择主机密级(公开/内部/秘密/机密/绝密)和是否运维终端,并选择注册地,输入备注信息。
- 联网模式
组织机构同步管理端,不需要自行创建和导入;所属部门和用户需要下拉选择,不允许自行创建;选择主机密级(公开/内部/秘密/机密/绝密)和是否运维终端,并选择注册地,输入备注信息。
- 激活信息确认
页面回显填写的注册信息:用户、部门、密级、注册地址、运维终端、备注。页面提供上一步、提交及取消等操作。点击提交完成注册。
未登录管理员
主页右上角菜单栏提供关于、登录、接入控制等功能。
登录:点击显示用户登录窗口,支持admin账号登录。
接入控制:联网激活时显示,点击显示接入控制登录窗口(单机模式时该菜单隐藏)。管理端接入