天玥网络安全审计系统V6.0运维安全管控系统-实施培训指南-357系列-v1.0-20150111更新.doc

2015 密级：公开 实施培训指南 天玥网络安全审计系统V6.0 运维安全管控系统 精细控制合规审计 适用范围：天玥OSM系列 概述 启明星辰天玥网络安全审计系统V6.0-运维安全管控系统（以下简称天玥OSM），是启明星辰综合内控系列产品之一。 天玥OSM是针对业务环境下的用户运维操作进行控制和审计的合规性管控系统。它通过对自然人身份以及资源、资源账号的集中管理建立“自然人—资源—资源账号”对应关系，实现自然人对资源的统一授权，同时，对授权人员的运维操作进行记录、分析、展现，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部业务操作行为监管、避免核心资产（服务器、网络设备、安全设备等）损失、保障业务系统的正常运营。 本文档适用范围：天玥OSM系列产品。 本文档主要目的：帮助快速掌握天玥OSM系统的实施安装配置方法。 目 录 1 准备工作 2 1.1 授权文件准备 2 1.2 确认部署方式 2 1.2.1 单机部署 3 1.2.2 双机部署 4 1.2.3 分布式部署 5 1.3 实施环境准备 5 1.3.1 物理位置 6 1.3.2 逻辑位置 6 1.3.3 传输介质 6 1.3.4 发布服务器 6 1.4 信息收集 6 2 物理安装 7 2.1 安装前检查 7 2.2 安装位置 7 2.3 加电前检查 7 2.4 设备连接 8 2.4.1 电源线连接 8 2.4.2 以太网线、光纤连接 8 2.4.3 串口线连接 8 3 安装配置 9 3.1 准备工作 9 3.1.1 操作终端 9 3.1.2 网络策略 9 3.2 网络配置 9 3.2.1 网口方式 10 3.2.2 串口方式 10 3.2.3 SSH登录 12 3.3 系统初始化 13 3.3.1 设置密码策略 13 3.3.2 设置管理员账号和密码 13 3.3.3 配置主机网络参数 14 3.3.4 导入授权文件 14 3.3.5 确认配置信息 15 3.3.6 向导配置完成 16 3.4 系统登录 17 3.4.1 软件环境安装 17 3.4.2 WEB登录 24 3.4.3 创建证书 26 3.5 应用发布服务器 27 3.5.1 安装应用发布服务器 27 3.5.2 配置应用发布服务 42 3.5.3 检查及删除应用发布服务 45 3.5.4 http/https代填登录 50 3.5.5 注意事项 55 3.6 双机热备 56 3.7 分布式部署 57 3.8 恢复出厂设置 58 4 典型配置实例 60 4.1.1 添加主机 60 4.1.2 添加用户 61 4.1.3 添加访问策略 62 4.1.4 运维用户登录 64  准备工作 授权文件准备 试用授权 天玥OSM（OSM3300、OSM5200、OSM7200）系列堡垒机试用授权无需申请，电信产品事业部将3个月更新一次统一试用授权在测试或演示时，只需导入的试用授权即可，文件可到电信产品事业部群2130832）共享中下载，也可到内网FTP服务器：0目录中进行下载 正式销售授权 关于天玥OSM（OSM3300、OSM5200、OSM7200）系列堡垒机正式销售授权，供应链发货，2个工作日内上传至EC系统，销售和实施人员可根据合同号进行查询，提授权申请表发现有漏传或查询不到的情况请直接联系供应链授权负责人：蒋旭，告知合同号进行沟通 注意：授权文件名不含有任何后缀扩展名，如在网络传送过程中被自动添加上后缀扩展名，请去掉，不然会影响授权文件的导入。 确认部署方式 天玥OSM采用物理旁路方式部署，不需改变现有网络结构，同时不需要在被管理设备上安装任何程序 根据用户业务需要，部署方式可分为单机、双机部署和分布式部署三种方式。 单机部署 如图所示，天玥OSM在部署时只需要为其分配一个独立IP地址即可，无需对网络拓扑结构进行任何调整。一般而言，天玥OSM部署在服务器所在网段，同时天玥OSM的IP地址通过网络设备发布到外部网络中供运维人员访问。 部署天玥OSM后，内部服务器的维护端口只需开放给运维审计系统，无需再让运维人员直接访问。对运维人员，只需开放天玥OSM的访问端口，从而进一步加强内部服务器的安全性。 双机部署 如图所示，天玥OSM支持HA双机热备部署，以避免单点故障隐患，最大程度满足运维的可靠性和连续性。HA双机热备部署由两个节点组成，分为主机节点和备机节点，主备之间通过业务管理端口线进行主备状态监测和策略实时同步，主机节点一旦断开，备机节点会立刻启动，无需人工干预，从而实现业务的不间断运行。 分布式部署 如图所示，天玥OSM支持分布式部署，把天玥网络安全审计系统切换至协议代理服务器模式部署在各个合适