手册下载
H3C SecPath DS000-MGT数据运维管理平台
典型配置举例
Copyright © 2021 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
H3C SecPath DS2000-MGT数据运维管理平台用于集中管理H3C-SecPath系列中的数据资产管理系统、数据脱敏系统-静脱、数据安全防护系统、数据库加密系统、数据脱敏系统-动脱、数据防泄漏系统,可提供对设备实时状况的监控、报警信息的集中展现、设备“一窗式”运维管理及对设备的快速定位。为机构IT主管、信息部门领导提供及时、全面、准确的全网数据安全管理的量化分析和决策依据,同时有效提升管理员日常运维、管理效率。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解syslog特性。
· 所有平台必须网络可达。
· 推荐使用谷歌浏览器,其它浏览器可能会有不兼容问题影响使用;
· 只对数据库安全防护、数据防泄漏系统、数据库加密系统、数据脱敏系统-动脱、数据脱敏系统-静脱、数据资产管理系统进行添加设备,其它类型的设备不支持添加。
· 系统管理员admin账户仅支持用户操作首页/模块管理/设备管理/报警中心/平台管理/账号管理功能。
· 安全管理员secadmin账户仅支持用户操作模块管理和安全管理功能。
· 审计管理员audadmin账户仅支持用户操作模块管理和安全审计功能。
· 报警设置中支持接收syslog服务器中配置8个及以内的有效syslog服务器IP。
适用产品:
H3C SecPath DS2000-MGT
适用版本:
H3C i-Ware Software, Version 3.1, ESS 6701及以上
集成了最新版本公共模块的审计、加密、动态脱敏、静态脱敏、资产、防火墙 数据防泄漏系统。
如图5-1所示用户需在同一网络环境下,管理平台搜集各模块的上报数据,通过客户端访问管理平台,反馈给用户。
· 配置数据运维管理平台管理页面;
· 新建需要管理的平台应用信息,用于单点登录;
· 添加需要管理的设备信息,用于接收设备告警、也无告警;
· 配置各被管理平台syslog信息,用于给管理平台发送告警日志;
· 运维管理平台查看告警及业务报警信息;
· 配置数据运维管理平台管理页面;
· 新建需要管理的平台应用信息,用于单点登录;
· 添加需要管理的设备信息,用于接收设备告警、也无告警;
· 配置各被管理平台syslog信息,用于给管理平台发送告警日志;
· 运维管理平台查看告警及业务报警信息;
如图7-1所示,浏览器输入https://IP:8443登录数据运维管理平台登录界面,默认用户名和密码:admin/admin,点击登录。
说明:首次登录需要更改默认密码。
如图7-2所示,进入“模块管理”页面,点击“创建”按钮。进入创建应用页面,页面如 图7-3所示。填写对应的模块信息,点击创建,可在“模块管理”页面查看新增的相应的应用,如图7-3所示。
字段说明:
· 应用名:必填项,自定义应用的名称,字数长度不能超过60.
· 应用类别:必选项,应用的产品类别;
· 应用软件版本:必填项,应用的版本信息,可自定义填写,用于标识作用;
· 创建人:必填项,应用负责人信息,可自定义填写;
· 应用图标:选填项,建议尺寸60×60;
· 应用URL:完整的应用URL地址,例如:https://172.16.11.93:8282
· 备注说明:选填项,备注信息;
新增应用完成后,鼠标单击应用名称,即可完成设备单点登录,如下图所示:
图7-5 单点登录
图7-6 跳转界面
说明:除数据防泄漏系统外,其它五款产品(数据库安全防护系统、数据库加密系统、数据脱敏系统-静脱、数据脱敏系统-动脱、数据资产管理系统)的新建应用均可参考上述配置完成;数据防泄漏系统按上述步骤完成配置后,还需要登录数据防泄漏平台,添加其它配置,配置参考如下:
使用admin账号登录数据防泄漏平台,在系统管理—系统参数—数据中心—管理中心,勾选启用单点登录,并配置相关选项,配置参考如下图:
图7-7 新增的应用
字段说明:
· 管理中心:勾选启用单点登录;
· 服务器地址:数据运维管理平台管理IP;
· 用户名映射: 默认配置,无需修改;
点击确定后,可登录数据运维管理平台,在模块管理模块,点击对应资产名,即可完成数据防泄漏平台单点登录,如下图所示:
图7-8 单点登录
进入“设备管理”页面,点击“添加设备”按钮。进入添加设备页面。填对应的设备信息,点击“保存”按钮,可在“设备管理”页面查看新增的相应的设备,如图7-9所示。
图7-10 添加设备页面
字段说明:
· 设备名称:自定义的设备名称
· 设备模式:可选择单机或是双机,根据设备实际组网类型选择。
· 设备型号:自定义填写,用于标识设备型号。
· 设备类别:选择对应的设备类别,分别为:数据库安全防护系统、数据库加密系统、数据脱敏系统-静脱、数据脱敏系统-动脱、数据防泄漏系统、数据资产管理系统。
· IP地址:设备所对应的管理口地址。
· 扩展IP:为数据防泄漏系统定制的扩展IP,可从网络数据防泄漏系统所在服务器中通过ifconfig命令查看ip获取(填写除127.0.0.1和当前访问IP外的其它IP),其它产品设备无需填写
· 责任人:自定义填写,用于标识设备所属责任人。
· E-mail:邮箱地址。
· 序列号、资产编号、设备位置、备注说明:选填项,可自定义填写。
图7-11 新增的设备
运维管理平台与其它被管理设备之间,均是通过在被管理平台配置syslog,将各自告警信息通过syslog发送至管理平台,管理平台添加设备完成后,还需要进入各被管理产品完成syslog相关配置,各产品syslog配置如下:
使用admin账号登录数据运维管理平台,在模块管理—模块列表中,鼠标单击数据资产管理系统应用名,单点登录数据资产管理系统系统WEB登录页面,如下图所示:
图7-12 单点登录数据资产管理系统
在“平台管理->平台运维->服务器配置->SYSLOG服务器“,配置syslog信息,如下图所示:
图7-13 Syslog配置
字段说明:
· IP地址:数据运维管理平台管理地址;
· 端口号:默认交互端口为5144;
· 编码:可选择UTF-8、GBK、GB2312编码模式;
· 状态:保存或停用;
上传告警类型包含:
· 设备告警:触发条件为cpu使用达到80%或内存占用达到80%;
· 业务告警:触发条件为达到自定义的告警条件或达到内置风险模型的条件;如下图所示:
图7-14 数据资产管理系统业务告警
图7-15 数据资产管理系统设备告警
使用admin账号登录数据运维管理平台,在模块管理—模块列表中,鼠标单击数据资产管理系统应用名,单点登录数据资产管理系统系统WEB登录页面,
进入“系统配置->平台运维->服务器配置”中(各平台略有不同,视具体情况选择),填写管理平台的IP地址和端口号5144
上传告警类型包含:
设备告警:触发条件为cpu使用达到80%或内存占用达到80%,如图7-16
图7-16 平台管理-服务器配置页面
图7-17 数据脱敏系统-静脱设备告警
注:数据库安全防护系统syslog配置有两处,步骤1用于发送心跳信息,步骤2用于发送告警信息。
(1) 使用secadmin账户登录运维管理平台,在模块管理—模块列表中,单击已添加的数据库安全防护系统应用,单点跳转至数据库安全防护系统的secadmin登录界面,在” 设备管理—平台运维—服务器配置”中,填写syslog服务器信息, 点击保存,参考配置如下图:
图7-18 平台运维-服务器配置页面
字段说明:
· IP地址:数据运维管理平台管理地址;
· 端口号:默认交互端口为5144;
· 编码:可选择UTF-8编码模式;
· 状态:启用或停用;
(2) 使用admin账户登录运维管理平台,在模块管理—模块列表中,单击已添加的数据库安全防护系统应用,单点跳转至数据库安全防护系统的admin登录界面,在“风险管控-风险发生”,点击syslog配置,保存配置,如下图所示;
图7-19 Syslog配置1
图7-20 Syslog配置2
字段说明:
· IP地址:数据运维管理平台管理地址;
· 端口号:默认交互端口为5144;
· 发送者标识:可自定义填写,作为日志标识信息;
· 状态:启用或停用;
(3) 点击添加按钮,新增告警配置,点击确定,完成syslog配置。
图7-21 新增告警配置
上传告警类型包含:
· 设备告警:触发条件为cpu使用达到80%或内存占用达到80%;
· 业务告警:配置的数据源被访问则会触发告警;
图7-22 数据安全防护系统设备告警
图7-23 数据安全防护系统业务告警
· 设备告警:触发条件为cpu使用达到80%或内存占用达到80%;
· 业务告警:不支持;
(1) 使用secadmin账户登录运维管理平台,在模块管理—模块列表中,单击已添加的数据库加密系统应用,单点跳转至数据库加密系统的secadmin登录界面,在” 平台管理-平台维护—服务器配置—syslog服务器“,填写syslog信息,点击保存。参考配置如下图:
图7-24 平台管理-服务器配置页面
图7-25 数据库加密系统设备告警
· 设备告警:触发条件为cpu使用达到80%或内存占用达到80%;
· 业务告警:不支持;
(1) 使用secadmin账户登录运维管理平台,在模块管理—模块列表中,单击已添加的动态数据脱敏系统应用,单点跳转至动态数据脱敏系统的secadmin登录界面,在” 安全管理-平台维护—服务器配置—syslog服务器“,填写syslog信息,点击保存。参考配置如下图
图7-26 平台维护-服务器配置页面
图7-27 数据脱敏系统-动脱设备告警
(1) 使用admin账号登录数据运维管理平台,在模块管理—模块列表中,鼠标单击数据资产管理系统应用名,单点登录数据资产管理系统系统WEB登录页面,在系统管理—系统设置—系统参数—日志中心,启用syslog并配置syslog信息,如下图所示:
图7-28 Syslog配置
字段说明:
· 服务器地址:数据运维管理平台管理地址;
· 协议类型:tcp和udp,选择udp;
· 端口号:默认交互端口为5144;
· 上报方式:可勾选及时上报或周期上报;
· 上报信息:根据实际需求配置需上报信息;
(2) 在“系统管理->系统设置->告警设置”页面,点击“编辑告警”,输入相应的告警条件
图7-29 数据防泄漏系统告警配置页面
图7-30 数据防泄漏系统配置告警条件
图7-31 数据防泄漏系统设备告警
(1) 在模块管理中,点击模块名,可以直接进入登入模块则配置成功。
(2) 进入设备管理,检查设备状态,进入报警中心,检查设备告警(需提前触发告警),进入安全审计,检查操作日志,如显示类似下图,则表示配置成功。
图7-32 设备管理
图7-33 报警中心
图7-34 安全审计
使用admin账号登录,进入“报警中心->系统参数->数据中心”页面,如图7-35所示,在报警邮件配置中填写邮件服务器、账号、密码后点击保存。
admin账户登录管理平台,进入报警中心、报警设置页面,选择Syslog转发的报警级别,报警级别分别有紧急、重要、警告、提醒,配置接收Syslog地址,Syslog地址格式支持IP和IP:端口两种格式,多个地址用英文逗号隔开,如图7-36所示。
图7-36 配置syslog告警转发
使用admin账号登录,进入平台管理->平台运维->系统日志页面,如图7-37所示,选择备份和清除周期,并填写备份ftp地址,点击保存。
(1) 在模块管理中,点击模块名,可以直接进入登入模块则配置成功。
(2) 进入设备管理,检查设备状态,进入报警中心,检查设备告警(需提前触发告警),进入安全审计,检查操作日志,如显示类似下图,则表示配置成功。
图8-1 设备管理
图8-2 报警中心
图8-3 安全审计