等级保护指南

# 版本变更说明

本手册根据产品实际更新情况同步更新，最新版本将会包括历史版本内容或作出对应的修改说明。

日期	手册版本	适用产品	更新说明
2024年2月	V9E02F01	AAS V9.0	更新三员说明

# 前言

本文档是金蝶Apusic应用服务器V9的等级保护指南，详细介绍等级保护相关配置使用说明。

# 面向对象

本手册主要面向对象为使用金蝶Apusic应用服务器进行应用开发的开发人员，生成环境的系统管理员，应用发布人员，技术运维人员等。具备以下技能可能会更好理解和使用金蝶Apusic应用服务器等级保护指南内容：

熟悉Linux常用命令
基本的系统管理任务
安装和管理软件
基本信息安全管理知识

# 等级保护

等保的全称是信息安全等级保护，是我国网络安全领域的基本国策、基本制度。等级保护不仅仅是针对信息系统程序安全，还包括物理安全、应用安全、通信安全、边界安全、环境安全、管理安全等方面。

金蝶Apusic应用服务器提供满足等保要求的功能。

# 三员分立

金蝶Apusic应用服务器支持三员分立功能，提供安全保密管理员、安全审计员、系统管理员三个角色。其中安全保密管理员主要管理角色管理、用户管理、密码策略等信息；安全审计员主要管理日志、操作审计信息；系统管理员主要管理应用部署、资源管理、配置管理等功能。

金蝶Apusic应用服务器默认带有管理员用户角色，安全保密管理员（security）默认用户为security；安全审计员（audit）默认用户为auditor；角色为系统管理员（system）默认用户为sysadmin。应用服务器中至少需要保留三员角色，每个角色至少需要有一个可用的用户。默认管理员用户的默认密码为1qazXSW@。初次登录需要更改密码。

角色为安全保密管理员（security）的用户访问,如使用默认安全保密管理员用户 security登录，进入到系统界面如下:

角色为安全审计员（audit）的用户访问，如使用默认安全审计员用户auditor登录，进入到系统界面如下:

角色为系统管理员（system）的用户访问，如使用默认系统管理员用户sysadmin登录，进入到系统界面如下:

# 角色管理

安全管理员登录管控平台，可管理角色信息。

创建并管理角色，金蝶Apusic应用服务器自带角色包括 system,security,audit。

角色名: 角色的名称。
角色用户: 当前角色下的用户，角色 system,security,audit必须有一个以上的用户，且用户只能为一个角色，【用户管理】中设置"系统角色"将实时更新。
普通角色: 当前角色是否为普通角色；非普通角色非必要，不要删除。

# 新建角色

点击"新建"，进入新建系统角色页面。

角色名: 角色的名称，只能包含字母数字,下划线,短横线或点字符，需要唯一。
角色描述: 对角色进行说明。
用户列表: 设置当前角色的用户，可以选择多选。

# 编辑角色

点击角色列表中的“操作”-“编辑角色”，将进入修改角色页面，可对角色信息进行编辑。修改后，用户需要重新登录管控平台才能生效。

# 角色授权

点击角色列表中的“操作”-“角色授权”，将进入角色授权页面，可为角色添加资源，建议选择“编号”101。修改后，用户需要重新登录管控平台才能生效。

需注意，非必要，不要修改默认角色的资源列表。

# 删除角色

点击角色列表中的“操作”-“删除”，确认删除后将会删除该角色信息。需注意，AAS 自带角色包括 system,security,audit，非必要不能删除。

# 用户管理

角色为安全保密员（security）的用户登录管控平台，可以对用户进行新增、修改删除等管理操作，还可以对用户进行安全属性的设置，如对用户进行锁定、禁用、IP 访问限制以及访问时间段限制等操作。

使用角色为安全保密管理员的用户登录管控，切换到用户管理界面。

在用户管理界面可以对用户进行添加、编辑和删除操作。

用户名: 应用服务器的用户名称，需要唯一，需要使用用户名登录管控平台。
姓名: 该用户的名字。
用户状态: 显示用户的状态。NORMAL为正常状态；LOCK为锁定，锁定时间默认为15分钟；DISABLED为禁用，此时无法访问。
系统角色: 该用户为系统角色，每个默认系统角色最少需要一个用户。
普通角色列表: 该用户为普通角色。
密码失效时间: 显示密码的失效时间，默认为初始化用户后 30 天，在【系统管理】中修改"密码失效时间"，该处的时间将会同步修改。
允许访问开始时间（HH: MM）: 用户允许访问管控台的开始时间，格式为 HH: MM。
允许访问结束时间（HH: MM）: 用户允许访问管控台的结束时间，格式为 HH: MM。
允许访问 IP: 用户允许访问的 IP，即为浏览器所在的 IP。
密级: 用户所属的密级。

# 新建用户

可点击"添加"，进入新建用户页面。

用户名: 应用服务器的用户名称，名称最多可以包含 255 个字符, 并且只能包含字母数字,下划线,短横线或点字符，需要唯一。
角色名: 选择用户的角色，不同角色有不同的权限。分别有 security、sysadmin、auditor、publish_role（表示新建、编辑等操作受限制的用户）。
新口令: 设置用户的口令，【系统管理】中，"密码复杂度"设置完为"普通"时，密码必须包含字母、数字和特殊符号中的至少两种组合;"复杂"时，密码必须包含字母、数字和特殊符号。
确认新口令: 需要输入与"新口令"一致。

# 编辑用户信息

点击"用户管理"列表中的"操作"-“编辑用户”，进入对应用户的编辑页面。

用户名: 该用户的名称，不能编辑。
姓名: 该用户的姓名。
用户状态: 设置用户的状态，NORMAL 表示正常；LOCKED 表示锁定，默认为锁定 15 分钟；DISABLED 表示禁用。
系统角色: 设置用户的角色。
修改密码: 点击可以修改密码。
旧密码: 修改密码时需要输入用户的旧密码。
新密码: 设置用户的密码，【系统管理】中，"密码复杂度"设置完为"普通"时，密码必须包含字母、数字和特殊符号中的至少两种组合;"复杂"时，密码必须包含字母、数字和特殊符号。修改密码 5 次內不能重复。
确认新密码: 需要输入与"新密码"一致。
允许访问开始时间（HH: MM）: 用户允许访问管控台的开始时间，格式为 HH: MM。
允许访问结束时间（HH: MM）: 用户允许访问管控台的结束时间，格式为 HH: MM。
允许访问 IP: 对用户访问管控的 IP 进允许限制,即为浏览器所在的 IP 可以用精确的 IP 地址，[10-60]及*格式，多个 IP 使用英文逗号分隔。
密级: 用户所属的密级，该用户只能访问同一等级或低等级的应用或资源。当前有秘密、机密、绝密三个等级，权限等级：秘密<机密<绝密。