VRVed北信源內(nèi)網(wǎng)管理系統(tǒng)用戶使用手冊

1、北信源內(nèi)網(wǎng)安全管理系統(tǒng) 用戶使用手冊 北京北信源軟件股份有限公司 o年 支持信息 在北信源內(nèi)網(wǎng)安全管理系統(tǒng)使用過程中，如您有任何疑問都可以通過訪問我公司網(wǎng)站或者致電我司客服中 心獲得幫助和支持！ 熱線支持： 400-8188-110 客戶服務電話： 在您使用該產(chǎn)品過程中，如果有好的意見或建議的話也請聯(lián)系我們的客服中心，感謝您對我公司產(chǎn)品的信 任和支持！ 正文目錄 圖目錄 表目錄 第一章 概述 特別說明 北信源終端安全管理系列產(chǎn)品由北信源內(nèi)網(wǎng)安全管理系統(tǒng)、北信源補丁及文件分發(fā)管理系統(tǒng)、 北信源主機監(jiān)控審計系統(tǒng)、北信源移動存儲介質(zhì)使用管理系統(tǒng)、北信源網(wǎng)絡接入控制管理系 統(tǒng)及北信源接入認證網(wǎng)關 6

2、大套件構(gòu)成。 本手冊內(nèi)容將隨著北信源軟件的不斷升級而改變（以光盤中電子版發(fā)行時為最新版），恕不另行通知。需要者 請從北信源公司網(wǎng)站下載本手冊的最新電子版或者直接聯(lián)系北信源公司索取。 本手冊與本系統(tǒng)的安裝配置手冊中的所有圖片均為示意圖，請以實際產(chǎn)品為準。 本使用手冊為北信源終端安全管理系列產(chǎn)品通用說明書。若您獨立購買北信源內(nèi)網(wǎng)安全管理系統(tǒng)或 北信源補丁及文件分發(fā)管理系統(tǒng)等其中之一產(chǎn)品，本說明書的其它功能將不具備。 感謝您購買北京北信源軟件股份有限公司研制開發(fā)的北信源終端安全管理系列產(chǎn)品。請在使用本軟件之前 認真閱讀本使用手冊，當您開始使用該軟件時，北信源公司認為您已經(jīng)閱讀了本使用手冊。 產(chǎn)品構(gòu)架

3、 北信源終端安全管理產(chǎn)品由 8部分組成： WinPcap 程序、 SQL Server 管理信息庫（安裝包：環(huán)境初始化程 序）、 Web 中央管理配置平臺（安裝包：網(wǎng)頁管理平臺）、區(qū)域管理器（安裝包： Region Manage ，原區(qū)域掃 描器已作為模塊集成到區(qū)域管理器 ）、客戶端注冊程序（安裝包：注冊程序）、補丁下載服務器、管理器主 機保護模塊、報警中心模塊。 環(huán)境初始化程序 SQL Server 管理信息庫，建立北信源終端安全管理產(chǎn)品的初始化數(shù)據(jù)庫。初始化的信息包括：網(wǎng)絡客戶端 設備屬性信息、區(qū)域管理器信息、設備掃描器信息、區(qū)域管理范圍信息、注冊（未注冊）機器信息、設備 屬性變化信息、報

4、警信息等。掃描器將設備最新狀態(tài)信息同數(shù)據(jù)庫中原有信息進行遍歷搜索對比，根據(jù)規(guī) 則要求在管理平臺上報警。 網(wǎng)頁管理平臺（ web 管理平臺） Web 中央管理配置平臺，本系統(tǒng)的管理配置中心。包括區(qū)域管理器、掃描器、注冊客戶端的功能參數(shù)設 定，網(wǎng)絡設備信息發(fā)現(xiàn)、系統(tǒng)應用策略制訂、報警信息顯示、定義任務功能制訂、系統(tǒng)用戶維護等配置操 作。 Region Manage 區(qū)域管理器，系統(tǒng)數(shù)據(jù)處理中心，負責與管理信息數(shù)據(jù)庫通訊掃描終端設備、控制服務器、客戶端之間的 信息、指令的下達、接受。比如：接收注冊程序提供的用戶信息，將用戶信息（用戶填寫的物理信息和系 統(tǒng)自動采集的硬件信息）并行存入數(shù)據(jù)庫；接受來自控

5、制臺的命令操作，發(fā)送到客戶端、掃描器執(zhí)行。 對于存在多級管理要求的廣域網(wǎng)，網(wǎng)絡中可以存在多個區(qū)域管理器，實現(xiàn)系統(tǒng)數(shù)據(jù)逐級上報（轉(zhuǎn)發(fā)），對 網(wǎng)絡終端的多級管理。 區(qū)域管理器內(nèi)置網(wǎng)絡掃描器，掃描器用來發(fā)現(xiàn)網(wǎng)絡的終端設備。將發(fā)現(xiàn)的設備信息交由區(qū)域管理器處 理。、設備最新狀態(tài)信息報送至區(qū)域管理器，由區(qū)域管理器處理后，同數(shù)據(jù)庫中原有信息進行遍歷搜索對 比，根據(jù)管理規(guī)則在管理平臺上報警。 掃描器配合區(qū)域管理器進行工作，可以在分級模式下使用。掃描器只依據(jù) Web 管理平臺中配置的工作范圍 進行掃描，如果終端 IP 超越其范圍，將不負責執(zhí)行操作。 Winpcap 程序 嗅探驅(qū)動軟件，監(jiān)聽共享網(wǎng)絡上傳送的數(shù)據(jù)。

6、 客戶端注冊程序 將接收并執(zhí)行服務器下發(fā)的指令。該程序可以在“工具下載- 用戶注冊器下載”處下載。訪問指定網(wǎng)站自動 獲得，用戶填寫必要的信息后，運行該程序，區(qū)域管理器將收到注冊終端的相關信息，同時終端可以接 收、執(zhí)行各種下發(fā)的指令。注冊程序自動探測系統(tǒng)硬件信息，連同用戶填寫的信息一同上報區(qū)域管理器。 用戶將本機注冊信息發(fā)送到區(qū)域管理器后，區(qū)域管理器自動將客戶端駐留程序應用策略發(fā)送給用戶，并自 動更新。 客戶端駐留程序功能： 進行本機硬件屬性信息變化監(jiān)視； 進行本機 IP、 MAC 地址變化審計； 本機系統(tǒng)補丁、軟件安裝、運行進程狀況監(jiān)測； 探測本機是否有違規(guī)聯(lián)網(wǎng)行為，在內(nèi)網(wǎng)管理中心或外網(wǎng)報警平

7、臺報警； 接受 Web 管理平臺的管理命令； 阻斷本機非法外聯(lián)行為； 執(zhí)行 Web 管理平臺下發(fā)的各種策略操作。 補丁下載服務器 安裝在與 Internet 網(wǎng)絡連接的機器上，用于實時下載補丁廠商發(fā)布的補丁。 管理器主機保護模塊 管理器主機保護模塊可根據(jù)管理器或其他服務器具體使用的端口、網(wǎng)絡協(xié)議、通信IP 范圍和具體的其他網(wǎng) 絡應用來定義該計算機使用的安全級較高的網(wǎng)絡配置，從而防止該計算機受到惡意的 IP 沖突以及各種網(wǎng) 絡、病毒攻擊。 報警中心模塊 安裝在可與區(qū)域管理器所在服務器正常通訊的計算機上，本模塊可以根據(jù)管理員在系統(tǒng)中所配置的報警事 件和危險級別提供給管理員包括電子郵件、信使服務、

8、SNMP Trap 、手機短信等多種報警方式。 應用構(gòu)架 北信源終端安全管理應用于局域網(wǎng)、廣域網(wǎng)構(gòu)架，支持跨網(wǎng)段、跨地域的內(nèi)網(wǎng)遠程客戶端管理及非法移動 設備接入檢測、網(wǎng)內(nèi)計算機違規(guī)聯(lián)網(wǎng)監(jiān)視、網(wǎng)絡安全隔離度監(jiān)控等。 系統(tǒng)應用主要分為以下兩種構(gòu)架： 基本構(gòu)架：對于一般網(wǎng)絡（例如1 個 C 類地址或若干個 C 類地址的局域網(wǎng)范圍），可使用一套本系統(tǒng)軟 件，通過一個管理器集中管理所屬區(qū)域內(nèi)的所有設備。 擴展構(gòu)架：對于大規(guī)模的多個局域網(wǎng)或者跨地域廣域網(wǎng)（包括基于國家、省、市、縣等多級管理模式的網(wǎng) 絡結(jié)構(gòu)），可使用本系統(tǒng)提供的多區(qū)域集中管理構(gòu)架，即一個或多個網(wǎng)段各擁有一套獨立北信源終端安全 管理的同時，將

9、本級所有設備信息再轉(zhuǎn)發(fā)給上級管理數(shù)據(jù)庫，使得上一級管理人員對整個網(wǎng)絡的設備狀況 也能夠完全掌握。 圖 1- 1 北信源終端安全管理應用拓撲 第二章 北信源內(nèi)網(wǎng)安全管理系統(tǒng) 策略中心 策略管理中心 策略的使用 策略的創(chuàng)建和分發(fā) 1.在“策略管理中心”中左側(cè)的策略項中點擊需要制定的策略，然后在右側(cè)的【策略名】中輸入相應的策 略名稱，單擊【創(chuàng)建新策略】按鈕開始創(chuàng)建策略。 圖 2- 1 創(chuàng)建新策略 注：在策略的定義中使用了一些特別的關鍵字符，這些特殊的字符不應該在策略內(nèi)容中出現(xiàn)。否則可能會 出現(xiàn)無法預料的系統(tǒng)錯誤。 這些字符包括： - 高級配置- 補丁下載 【補丁路徑】為北信源內(nèi)網(wǎng)安全管理平臺的安裝路

10、徑，下圖為系統(tǒng)默認的，該目錄下的 Regio nMa nageDistributePatch即為補丁下載默認的存放路徑，提供給客戶端下載。 圖3-1區(qū)域管理器補丁管理設置 參數(shù) 說明 最大連接數(shù)限制 設置客戶端同時連接區(qū)域管理器并發(fā)下載補丁數(shù) 量 下載流量限制 限制下載補丁時區(qū)域管理器的最大流量值 級聯(lián)選項 上下級區(qū)域管理器級聯(lián)情況下，設定上級區(qū)域管 理器IP和數(shù)據(jù)通訊端口 表3- 1區(qū)域管理器補丁管理參數(shù)說明 補丁級聯(lián)下載功能 主要針對在多層級聯(lián)的環(huán)境內(nèi)，各下級區(qū)域在進行系統(tǒng)補丁加固時，只需總部從外網(wǎng)上下載補丁后，使用 移動存儲設備從外網(wǎng)拷入系統(tǒng)補丁，其下級區(qū)域無須再額外的從外網(wǎng)上下載系統(tǒng)補

11、丁，其系統(tǒng)補丁均可從 總部的服務器上獲得。 使用該功能時要求在下級安裝的區(qū)域管理器的相應選項中填寫上級區(qū)域管理器的IP地址，便可方便的獲得 系統(tǒng)補丁，并實時和上級區(qū)域的補丁數(shù)量保持一致。從總部下載得到的補丁將存放在vrvRegion 目錄下保存。 文件分發(fā)策略配置 經(jīng)過以上配置后，還需要進行補丁策略分發(fā)參數(shù)設置： 圖3- 2分發(fā)參數(shù)設置 進行策略任務分發(fā)前選擇【啟動策略分發(fā)】和【啟用ping探測】。確定分發(fā)文件所在的路徑，分發(fā)時間間 隔、分發(fā)數(shù)據(jù)通訊端口、分發(fā)線程等相關參數(shù)。如需設置級聯(lián)，請在級聯(lián)選項中，指定上級區(qū)域管理器級 聯(lián)IP地址等，上述部分參數(shù)按照系統(tǒng)默認設置即可。 區(qū)域管理器在下發(fā)策

12、略前，先ping 下客戶端，ping通之后再下發(fā)策略。優(yōu)點：效率高；缺點：對于設置 了禁ping的客戶端不起作用。默認方式是TCP方式，此方式效率低。 策略中心 補丁分發(fā)策略 補丁自動分發(fā) 功能說明：可以實現(xiàn)對補丁按類型、分組自動分發(fā)，并且可以設置下載前提示、運行前提示、檢測方式 等。 參數(shù)說明： 參數(shù) 說明 補丁類型 分為“ system”、“ IE”、“應用程序”三個選 項，分別是針對微軟操作系統(tǒng)、IE瀏覽器、和一 些應用程序的補丁的分類，在我們的內(nèi)網(wǎng)安全管 理系統(tǒng)中，主要是指微軟官方發(fā)布的各種補丁和 我們北信源公司發(fā)布的各種安全補丁程序?！暗?級大于等于”下拉菜單主要指微軟官方對補丁所

13、帶來的系統(tǒng)風險的評估，等級越高，相對應的風 險越咼。 補丁分組 這個模塊是內(nèi)網(wǎng)安全管理系統(tǒng)為了方便管理員對 補丁的管理而設置的分組，管理員可以根據(jù)自己 的習慣將補丁劃分為“ A組”、“ B組”“ C 組”三部分，具體的劃分，需要在主系統(tǒng)菜單中 的“補丁分發(fā)”菜單中的補丁庫分類列表中制 定。 補丁測試 這里的測試是指當補丁下載服務器根據(jù)配置從網(wǎng) 站上下載了補丁后，是否需要在選定的對象計算 機內(nèi)作小范圍測試，然后再在整個網(wǎng)絡環(huán)境中推 廣的補丁發(fā)布形式。當選中該選項時，自動分發(fā) 補丁的設置和策略不起作用，只能取消測試選項 或者在“補丁分發(fā)”菜單中的補丁庫分類列表中 選定相應補丁，然后點選頁面左上角的

14、“允許下 載補定”選項也可以達到補丁的目的。還可以采 用下面的“人工選擇補丁分發(fā)”策略來達到向全 網(wǎng)絡發(fā)布補丁的目的。 運行設定 后臺運行：是指不提示客戶端，不顯示程序界 面，直接在客戶端后臺運行的處理策略。其中的 “運行優(yōu)先級”的從低到高，是指當補丁程序在 后臺運行中，對計算機整體系統(tǒng)資源占用的比例 也是從低到高的。下載前提示，是指在客戶端下 載補丁之前，在其顯示界面上彈出管理員設定的 信息。下載兀成后提示并執(zhí)仃，是指客戶端兀成 下載指定補丁，并且在其顯示界面上彈出管理員 設定的信息，同時執(zhí)行補丁安裝程序。 檢測方式 啟動時檢測，疋指在計算機啟動時，進仃新 補丁程序信息的檢測；“停止檢測”，

15、是指不檢 測補丁服務器中的新補丁程序信息；“定時檢 測”，是指設定計算機定期定時去進行新補丁程 序信息的檢測；“間隔檢測”，是指每隔設定的 時間段進行新補丁程序信息的檢測。 岀錯處理 點選“下載失敗重試”復選框，則客戶端如果不 能從服務端成功下載策略規(guī)定的補丁，就進行重 試操作，重試的次數(shù)和重試間隔填入后邊的空白 處即可。 表3- 2補丁自動分發(fā)策略參數(shù)說明 策略實例： 圖3- 3補丁自動分發(fā) 注意事項： 1 補丁安裝使用后臺運行方式時，設定的優(yōu)先級要適當，避免影響客戶端的正常使用。 2 關于測試選項，希望大家詳細看看注釋和設置說明，以免影響補丁程序的正常升級。 人工選擇補丁分發(fā) 功能說明：通

16、過策略提供客戶端補丁的管理員手工設定的下載及安裝，可設置補丁探測時間，運行參數(shù)及 運行形式。基于分發(fā)時間、補丁檢測周期等進行策略制訂，策略發(fā)送到網(wǎng)絡客戶端后，客戶端注冊程序統(tǒng) 一執(zhí)行補丁應用策略。 參數(shù)說明： 參數(shù) 說明 命令行參數(shù) 如果需要執(zhí)行該補丁自帶的某些選項的話，比如 說，自動安裝等等，需要設置這里的命令行參 數(shù)。具體的命令行參數(shù)可以在該補丁的說明書中 找到，或者在 Ms-Dos窗口中敲入該補丁文件名 加“ / ?”參數(shù)進行查詢。 運行設置 “后臺運行”：是指不提示客戶端，不顯示程序 界面，直接在客戶端后臺運行的處理策略。其中 的“運行優(yōu)先級”的從低到高，是指當補丁程序 在后臺運行中，

17、對計算機整體系統(tǒng)資源占用的比 例也是從低到高的。“下載前提示”，是指在客 戶端下載補丁之前，在其顯示界面上彈出管理員 設定的信息。“下載完成后提示并執(zhí)行”，是指 客戶端完成下載指疋補丁，并且在其顯示界面上 彈岀管理員設定的信息，同時執(zhí)行補丁安裝程 序。 檢測方式 “停止檢測”，是指不檢測補丁服務器中的新補 丁程序信息；“啟動時檢測”，是指在計算機啟 動時，進行新補丁程序信息的檢測；“定時檢 測”，是指設定計算機定期定時去進行新補丁程 序信息的檢測；“間隔檢測”，是指每隔設定的 時間段進行新補丁程序信息的檢測。 出錯處理 點選“下載失敗重試”復選框，則客戶端如果不 能從服務端成功下載策略規(guī)定的補

18、丁，就進行重 試操作，重試的次數(shù)和重試間隔填入后邊的空白 處即可。 表3- 3人工選擇補丁分發(fā)策略參數(shù)說明 注意事項： 1 注意此處設定的策略，不要與補丁自動分發(fā)策略中的設置相沖突。 軟件分發(fā)策略 功能說明：提供服務器向客戶端分發(fā)各種文件，如可執(zhí)行文件并可以自動運行，服務器端可以選擇分發(fā)的 目標路徑、設定運行參數(shù)、是否后臺運行，同時向客戶端發(fā)送提示信息。注：上傳文件的終端需要注冊。 參數(shù)說明： 參數(shù) 說明 保存目標路徑 文件分發(fā)到客戶端后，在客戶端保存該文件的位 置，要手動輸入。 命令行參數(shù) 定分發(fā)完成后運行，如果需要該程序執(zhí)行自帶的 某些功能的話，比如說，自動安裝等等，需要設 置這里的命令行

19、參數(shù)。具體的命令行參數(shù)可以在 該軟件的軟件說明書中找到，或者在Ms-Dos窗 口中敲入該命令加“ /?”參數(shù)進行查詢。 “運行前提示”，是指在客戶端下載完成后，通 過內(nèi)網(wǎng)管理系統(tǒng)使其自動運行時，管理員設置的 在客戶端彈岀的消息窗口內(nèi)容。“重復執(zhí)行”， 是指在客戶端每次開機執(zhí)行一次發(fā)布的文件，一 般用于一些程序的升級。“后臺運行”，是指不 提示客戶端，不顯示程序界面，直接在客戶端后 臺運行的處理策略。 表3- 4普通文件分發(fā)策略參數(shù)說明 具體操作：點擊【瀏覽】選擇需要分發(fā)的文件后，單擊【開始上傳】按鈕，待上傳完畢后即可在【文件 名】處的下拉框中選擇預分發(fā)的文件（也可以一次上傳多個文件）。最后單擊

20、【保存策略】按鈕，待依次 指定對象和啟用策略后，該策略則開始生效。文件完全分發(fā)到客戶端需依照文件大小決定。分發(fā)完后根據(jù) 條件進行安裝文件檢測，確定文件安裝成功。 注意事項： 1上傳文件時注意：必須是已注冊本服務器的客戶端；不上傳桌面上的文件，上傳不會成功； IE7 等瀏覽 器的安全級別調(diào)至中或者中低； 2如果誤上傳了需要分發(fā)的文件，管理員可以到Web 管理平臺安裝的計算機上進入 目錄下手動刪除該文件即可。 其他策略 終端配置策略、管理器策略、按對象分配策略、策略下發(fā)查詢請參照第二章北信源內(nèi)網(wǎng)安全管理系統(tǒng)的策 略中心中的對應項。 補丁分發(fā) 補丁的來源可使用北信源補丁下載服務器從軟件廠商網(wǎng)站獲取補

21、丁索引及補丁，直接或通過移動存儲設 備，導入內(nèi)網(wǎng)區(qū)域管理器的補丁分發(fā)目錄進行客戶端補丁自動分發(fā)，客戶端將獲取的補丁放在本 地 %windir%system32distribute 目錄下，下載后可自動安裝，安裝后會自動刪除安裝文件。 補丁庫分類列表：對補丁進行分類顯示，設置補丁檢測頁面的運行參數(shù)；支持多種方式對補丁分發(fā)結(jié)果信 息進行查詢。 補丁下載設置：當客戶端訪問補丁檢測中心時，檢測客戶端是否安裝了探頭，未安裝時設置響應的提示信 息。 本地補丁分發(fā)查詢：可按系統(tǒng)提供的多個查詢條件例如所屬區(qū)域、操作系統(tǒng)等對指定區(qū)域的網(wǎng)絡終端進行 補丁安裝狀況查詢。 本地補丁分發(fā)統(tǒng)計：可以對某個補丁、某個區(qū)域、

22、某個組、某個時間段的分發(fā)情況進行統(tǒng)計。 本地已安裝補丁統(tǒng)計：對本地已安裝補丁數(shù)進行全面的統(tǒng)計，對每個級別的補丁數(shù)做出統(tǒng)計。 本地未安裝補丁統(tǒng)計：對本地未安裝補丁數(shù)進行全面的統(tǒng)計，對每個級別的補丁數(shù)做出統(tǒng)計。 本地漏洞計算機統(tǒng)計：對選定的區(qū)域中的客戶端進行漏洞統(tǒng)計，統(tǒng)計出存在高風險漏洞、中風險漏洞、低 風險漏洞的終端數(shù)。 級聯(lián)補丁分發(fā)查詢：可以按 IP 地址、補丁號和下載補丁時間查詢級聯(lián)補丁的分發(fā)情況。 級聯(lián)已安裝補丁統(tǒng)計：統(tǒng)計級聯(lián)已安裝補丁，信息包括每個級別補丁數(shù)，未安裝設備總數(shù)和下載補丁數(shù)量 級聯(lián)未安裝補丁統(tǒng)計：統(tǒng)計級聯(lián)未安裝補丁，信息包括每個級別補丁數(shù)，未安裝設備總數(shù)和下載補丁數(shù)量 等。

23、補丁自動下載分發(fā) 北信源終端安全管理支持對微軟操作系統(tǒng)發(fā)布補丁的統(tǒng)一分發(fā)，并且用戶可使用此系統(tǒng)進行級聯(lián)方式的補 丁自動分發(fā)安裝和監(jiān)控。 統(tǒng)一補丁分發(fā)通過北信源補丁下載服務器（互聯(lián)網(wǎng)）從互聯(lián)網(wǎng)下載所有補丁。 對于物理隔離的內(nèi)部網(wǎng)絡，其補丁升級服務器中的補丁數(shù)據(jù)必須從外部獲得，因此，要求在 Internet 上進行 補丁下載，巨大的補丁庫使得每次補丁導入工作非常煩瑣。北信源針對此類物理隔離的內(nèi)網(wǎng)，使用增量式 補丁分離技術(shù)，在外網(wǎng)補丁下載服務器分離出內(nèi)網(wǎng)已安裝、未安裝補丁，分類導入系統(tǒng)補丁，即僅對內(nèi)網(wǎng) 的補丁進行“增量式”的升級，以提高效率。通過增量補丁分離器，在每次導入導出補丁時，可減少拷貝 工作

24、量（系統(tǒng)菜單中的補丁策略定義、補丁庫分類、補丁安裝查詢、補丁下載查詢主要基于此種方式工 作）。 補丁下載服務器 圖 3- 4 補丁下載服務器界面 北信源終端安全管理中包括了補丁下載服務器模塊軟件，直接運行文件進行下載補丁文件。 補丁下載服務器默認配置為從微軟公司網(wǎng)站下載微軟所有補丁，下載后移植到北信源終端安全管理的系統(tǒng) 目錄下保存。 指定下載補丁類型包括： 1）中文補丁、英文補丁。 2） 微軟公布的級別補?。?級、1級、2級、3級、4級。 3）系統(tǒng)類別：、 WIN NT、Windows 2000、Windows XP、Windows7 和其他（包括 Windows 2003）。 補丁下載設置

25、實時、定時兩種方式探測補丁廠商網(wǎng)站補丁更新狀況。 圖3- 5補丁下載服務器設置 補丁庫分類 補丁分析器功能模塊，針對下載的補丁，由補丁分析器進行歸類存放，按照不同操作系統(tǒng)類別、補丁編 號、補丁發(fā)布時間、補丁風險等級、補丁公告進行歸類，幫助管理人員快速識別補丁重要程度。 補丁廠商如微軟，其補丁發(fā)布時就指定補丁號、補丁類型、補丁危害程度、操作系統(tǒng)支持等補丁屬性，北 信源終端安全管理自動識別補丁的不同屬性并歸類。 補丁庫分類包括：A類、B類、C類、T類。將所有補丁自由組合為不同的類，A類、B類、C類、T類為 用戶自定義類型補?。?T類建議為測試類型補丁，用于一些特殊補丁的測試，指定用于特定的測試組機

26、 器）。 補丁下載轉(zhuǎn)發(fā)代理 可以在區(qū)域管理器中選擇【支持下載轉(zhuǎn)發(fā)代理】選項，選中此項功能后，當網(wǎng)絡內(nèi)有數(shù)量較多的計算機下 載補丁或者文件時，計算機可以搜索臨近IP范圍內(nèi)狀態(tài)最好的計算機，從這臺狀態(tài)最好的計算機上下載相 應的補丁或者文件。這樣就可以大大減少網(wǎng)絡內(nèi)的服務器的數(shù)量，減少網(wǎng)絡的帶寬的占有率，保證工作的 正常進行。 圖3- 6補丁代理傳發(fā)支持 客戶端補丁檢測（一） 本功能主要用于計算機用戶自行進行補丁檢測，使用本功能前需要做兩項工作： 將補丁下載服務器下載的補丁和補丁索引拷入?yún)^(qū)域管理器系統(tǒng)：Region Ma nageDistributePatch目錄下。 在單位網(wǎng)站主頁安全欄目或其它專

27、門欄目建立一個補丁安全監(jiān)測提示或者通知，該提示或通知鏈接到系統(tǒng) Web管理平臺的IIS的patch Web虛擬目錄（），提供客戶端訪問補丁自動探測功能。 客戶端訪問本機構(gòu)網(wǎng)站的時候，選擇主頁補丁安全探測提示自動鏈接到北信源補丁分發(fā)管理系統(tǒng)Web管理 平臺的客戶端補丁探測主頁上，該主頁自動探測客戶端是否注冊，如果已經(jīng)注冊，將顯示該系統(tǒng)補丁安裝 情況，根據(jù)提示信息選擇性手動下載補丁安裝。 圖3- 7補丁下載設置 參數(shù) 說明 未安裝客戶端探頭 時提示 若客戶端未曾注冊，網(wǎng)頁探測后給岀提示 未安裝探頭時顯示 補丁類型 管理員自行設置顯示補丁類型（操作系統(tǒng)補 丁、IE補丁、應用程序補丁等） 是否提示下載

28、探頭 對于沒有注冊的用戶，提示進行注冊 探頭下載地址 指向網(wǎng)頁管理平臺ip/vrveis/dow nload/ 表3- 5補丁下載設置參數(shù)說明 補丁檢測中心 在web登錄頁面點擊【工具下載】，進入工具下載頁面，如下圖所示: 圖3- 8登錄頁面 圖3- 9工具下載頁面 點擊【補丁檢測中心】進入補丁檢測中心頁面，如下圖所示： 圖3- 10補丁檢測中心 客戶端補丁檢測（二） 本功能主要用于網(wǎng)絡管理員對客戶端計算機進行補丁檢測，通過Web管理平臺中的終端控制功能對客戶端 進行漏打補丁檢測，詳細列岀客戶端當前補丁安裝狀況，通過終端管理功能對客戶端機器進行補丁管理。 具體操作：終端管理終端點-點控制 查看

29、漏打補丁 圖3- 11客戶端補丁漏打檢測 第四章北信源主機監(jiān)控審計系統(tǒng) 策略中心 行為管理及審計 文件輸出審計策略 功能說明：該功能用來屏蔽和設置選定客戶端的文件輸岀和監(jiān)控。其中包括設置打印機拒絕打印的文件類 型、將固定擴展名的文件拷貝到網(wǎng)絡盤、禁止發(fā)送郵件和對審計結(jié)果的上報。這里的打印控制與審計功能 包括本地打印和網(wǎng)絡打印。 參數(shù)說明： 參數(shù) 說明 打印輸岀控制 選定“禁止打印文件”復選框，設置不允許目標 對象打印的文件擴展名即可，如果保持空白，則 所有文件均可打印，如果選定“審計打印文件” 復選框，所有打印的文件都要經(jīng)過內(nèi)網(wǎng)安全管理 系統(tǒng)的審計備案。 網(wǎng)絡共享輸岀控制 選定“禁止將文件拷貝

30、到網(wǎng)絡盤”復選框，可在 “禁止拷貝文件擴展名”的空格處填入相應的文 件擴展名。如果選定“審計網(wǎng)絡拷貝文件”復選 框，所有網(wǎng)絡拷貝的文件都要經(jīng)過內(nèi)網(wǎng)安全管理 系統(tǒng)的審計備案。 郵件輸岀控制 選定“禁止發(fā)送郵件”復選框，即可禁止發(fā)送郵 件。如果選定“審計發(fā)送郵件”復選框，所有發(fā) 送的郵件都要經(jīng)過內(nèi)網(wǎng)安全管理系統(tǒng)的審計備 案。 表4-1文件輸岀審計策略參數(shù)說明 注意事項： 1 本策略涉及到網(wǎng)絡辦公的一些功能，請在設置前規(guī)劃好需求。 文件保護及審計策略 功能說明： 1 保護和審計客戶端的指定目錄和網(wǎng)絡共享文件的讀取、修改、刪除權(quán)限。 2 可以設置當哪些進程操作指定文件時進行保護，哪些進程操作指定文件時

31、不實施保護。 注意事項： 1 本策略涉及到網(wǎng)絡辦公的一些功能，請在設置前規(guī)劃好需求。 2 建議修改本策略者在管理員或?qū)I(yè)技術(shù)人員的幫助下修改本項策略，以免影響計算機的正常使用。 上網(wǎng)訪問審計 功能說明：該功能用來審計對Web站點的訪問，并且能夠?qū)徲嫿Y(jié)果處理上報到服務器或者記錄到本地文 件。 參數(shù)說明： 參數(shù) 說明 站點名 設置需要或不需審計的 web站點的名稱。 限制方式 指選擇是否對列表中的 web站點的訪問進行審計 的處理方法?！皟H審計對以下Web站點訪問”的 方式，是指對列表中的 web站點的訪問進行審 計?！皟H不審計對以下 Web站點訪問”的方式， 是指對列表中的 web站點的訪問不

32、進行審計。 對審計結(jié)果處理 對web站點進行審計后的結(jié)果有兩種處理方式： 上報到服務器、記錄到本地文件。 表4- 2上網(wǎng)訪問審計策略參數(shù)說明 上網(wǎng)控制策略 功能說明：屏蔽選定用戶（在本策略的對象中設定的）計算機的一些指定網(wǎng)站的屏蔽。 注意事項： 1 這種限制上網(wǎng)的方式只能限制通過域名訪問站點的上網(wǎng)方式，對直接用ip訪問的客戶機沒有什么效果。 IM即時通訊記錄審計 功能說明：對即時通訊軟件的通訊記錄通過設置關鍵字進行審計，審計結(jié)果可以保存在本地也可以上報到 服務器。 注意事項： 1目前支持QQ和MSN兩款軟件。 安全刻錄審計 功能說明：對客戶端的刻錄操作進行控制與審計，包括是否允許刻錄、允許刻錄

33、的文件類型、不允許刻錄 的文件類型等。 涉密檢查策略 上網(wǎng)訪問痕跡檢查 功能說明：檢查訪問某一特定網(wǎng)絡的歷史信息，針對IE緩存、IE清單、Cookie信息、收藏夾，在檢測網(wǎng)絡 地址中輸入網(wǎng)站的域名后，單擊【添加到列表】按鈕，最后保存策略并指派對象，啟動策略即可。如果待 檢查的計算機中留有以列表中列舉的信息，則顯示提示信息框。 文件內(nèi)容檢查 功能說明：對指定的某一文件夾或某一類型文件，檢查是否有違規(guī)的信息。添加檢測文件夾的名稱及檢測 文件的后綴名稱，按邏輯條件進行檢測，“or ”代表兩個條件中有一個成立則檢測，“and”代表兩個必須 要都符合才檢測。 參數(shù)說明： 參數(shù) 說明 檢測文件夾 設置需要

34、進行檢測的文件夾。保持為空則全盤檢 測,否則請輸入盤符或路徑。 檢測文件后綴名 輸入要檢測的文件的后綴名。選中“僅檢測符合 的文件名選項只檢測文件名字，不檢測文件內(nèi) 容。文件名（不帶擴展名）在檢測內(nèi)容中輸入，最 多可同時檢測 3個文件。 邏輯條件匹配方式 設置檢測條件為“與”或“或”的關系，即 “AND 、“ OR”。 檢測內(nèi)容 三個檢測內(nèi)容項分別填寫三個需要檢測的文件。 表4- 3文件內(nèi)容檢查策略參數(shù)說明 終端涉密檢查配置 功能說明：創(chuàng)建涉密檢查工具的桌面快捷方式，用戶可以直接使用。 終端文件粉碎配置 功能說明：創(chuàng)建終端文件粉碎工具的桌面快捷方式，用戶可以直接使用。 其他策略 終端配置策略、

35、管理器策略、按對象分配策略、策略下發(fā)查詢請參照第二章北信源內(nèi)網(wǎng)安全管理系統(tǒng)的策 略中心中的對應項。 數(shù)據(jù)查詢 上網(wǎng)訪問審計 審計指定范圍內(nèi)的客戶端在指定時間段的上網(wǎng)訪問記錄。 上網(wǎng)訪問統(tǒng)計 統(tǒng)計指定范圍內(nèi)的客戶端在指定時間段內(nèi)訪問指定網(wǎng)站的上網(wǎng)記錄，包括訪問的網(wǎng)站信息以及訪問次數(shù)等 信息。 IM 即時通訊審計 審計指定范圍內(nèi)的客戶端在指定時間段的 IM 即時通訊記錄，包括 QQ、 MSN 兩種通訊軟件的通訊記錄。 文件輸出審計 審計指定范圍內(nèi)的客戶端在指定時間段的文件輸出，包括對打印文件輸出，電子郵件輸出，網(wǎng)絡共享輸出 三種文件輸出方式的審計。 文檔打印記錄 查詢指定范圍內(nèi)的客戶端在某個時間段

36、的打印記錄，包括文檔名 稱、打印份數(shù)、頁數(shù)、文件大小和打印進程等信息。 文件保護審計 審計指定范圍內(nèi)的客戶端在指定時間段的對被保護文件的操作，包括訪問文件、修改文件和刪除文件。 涉密檢查查詢 根據(jù)策略中心中配置的策略，進行包括 IE 訪問涉密檢查（ IE 緩存、 IE 清單、 cookie 信息、收藏夾），文件 內(nèi)容涉密等方面的查詢。 第五章 北信源移動存儲介質(zhì)使用管理系統(tǒng) 策略中心 可移動存儲管理 可移動存儲審計 功能說明： 對移動存儲設備接入做控制，對非本單位的移動設備自動識別（需要對本單位的移動設備添加 標簽）。 通過對移動設備的讀寫控制及審計操作，來管理移動設備的行為操作，在本單位的移

37、動設備中添加標簽的 操作需要使用移動存儲設備認證工具完成。具體配置，見附錄（二 ）。 注意事項： 1禁用 u 盤、軟盤、光盤的一部分功能，也可以在硬件設備控制策略中完成，功能上沒有什么區(qū)別，用戶 可以根據(jù)自己的習慣和用途，自行設定。 2審計只審查文件名，不對文件內(nèi)容進行檢索。 其他策略 終端配置策略、管理器策略、按對象分配策略、策略下發(fā)查詢請參照第二章北信源內(nèi)網(wǎng)安全管理系統(tǒng)的策 略中心中的對應項。 數(shù)據(jù)查詢 移動設備審計 審計指定范圍內(nèi)的客戶端在指定時間段的移動設備操作，包括移動設備接入、讀取移動設備、寫入移動設 備和 SAFE6 登錄審計。 第六章 北信源網(wǎng)絡接入控制管理系統(tǒng) 網(wǎng)關接入配置認

38、證 配合硬件網(wǎng)關，進行網(wǎng)關重定向配置。 圖 6- 1 網(wǎng)關接入認證 圖 6- 2 重定向配置 點擊“接入用戶管理”，添加接入的用戶。 圖 6- 3 用戶添加 策略中心 接入認證策略 指對接入網(wǎng)絡中的設備的一種認證方式，主要包括以下策略： 補丁與殺毒軟件認證策略 功能說明：對殺毒軟件運行狀態(tài)及病毒庫版本安全檢測和系統(tǒng)補丁安裝情況的安全檢測。當終端未運行殺 毒軟件時可以依據(jù)策略提示用戶、指定下載地址讓用戶去安裝、甚至直接限制網(wǎng)絡訪問、進行Vian隔離, 當漏打指定列表中補丁時則提示、指定相應的url地址去下載安裝或者直接限制網(wǎng)絡訪問，當限制網(wǎng)絡后可 以添加允許安全服務器訪問的地址。 參數(shù)說明： 參

39、數(shù) 說明 未運行殺毒軟件執(zhí)行 （URL地址） 可以把殺毒軟件的安裝包放在指定的URL頁面 中，當客戶端沒有運行殺毒軟件軟件時，就直接 打開這個網(wǎng)址或直接運行安裝包。 未運行殺毒軟件時 根據(jù)策略做相應處理：會根據(jù)策略中的接入認證配 置”的配置做相應處理。 限制網(wǎng)絡訪問后，允 許安全服務器連通列 表 客戶端被限制網(wǎng)絡訪問后，允許其連通的服務器。安全 服務器的作用是修復客戶端。 表6-1補丁與殺毒軟件認證策略參數(shù)說明 策略實例： 圖6- 4補丁與殺毒軟件認證策略 注意事項： 1 .“系統(tǒng)補丁安全檢測”僅設備啟動時檢測一次。 2. 被限制訪問后下次重新啟動才會恢復。 進程服務注冊表認證策略 功能說明：

40、在身份認證之前依據(jù)事先制訂的策略，先對接入的客戶端進行安全檢查，檢查是否運行了指定 運行的進程，是否開啟了指定的服務，注冊表里是否有指定的項、鍵值、鍵名。 接入認證策略 功能說明：協(xié)議是基于Client/Server的訪問控制和認證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設備通過接入端 口訪問網(wǎng)絡。在獲得交換機或LAN提供的各種業(yè)務之前，對連接到交換機端口上的用戶/設備進行認證。在 認證通過之前，只允許EAPoL （基于局域網(wǎng)的擴展認證協(xié)議）數(shù)據(jù)通過設備連接的交換機端口；認證通過 以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。如下圖所示： 圖6- 5接入認證策略 根據(jù)配置，可以做到兩種方式聯(lián)網(wǎng)；a.當策略

41、檢測符合要求后認證成功會自動聯(lián)網(wǎng)；b.也可以在已經(jīng)配置好 交換機，當終端接入交換機中，會彈岀認證界面。下面我們以第二種為例： 圖6- 6 802 . 1x認證界面 輸入Radius服務器中預先設置的用戶名和口令，開啟認證，如圖： 圖6- 7 802 . 1x認證界面 如果安全檢查與策略中設定的策略有違規(guī)，認證客戶端則不允許進行認證，如圖： 圖6- 8安全檢查沒有通過，不啟動認證 安全檢查通過后，如果輸入的用戶名和口令不符合Radius服務器中預先設訂用戶名和口令，則認證也失 敗，如圖： 圖6- 9認證失敗 注意事項： 1 認證狀態(tài)有三種顏色，紅色：認證失敗。黃色：未進行認證。綠色：認證成功。

42、2. 密碼驗證類型：客戶端與服務端類型一致才可以通過。 3. 證書認證，需要 相應證書的 USBkey與密鑰支持。 網(wǎng)關接入認證 功能說明：配合硬件網(wǎng)關，進行網(wǎng)關重定向配置。 注意事項： 1 選擇可添加網(wǎng)關：需要先配置“網(wǎng)關接入認證” VIFR接入認證 功能說明：虛擬隔離強制注冊。 參數(shù)說明： 參數(shù) 說明 多重控制 非主控服務器可以處理一些主控服務器執(zhí)行的任 務。 在子網(wǎng)區(qū)域規(guī)模較大的情況下使用，減輕主控服 務器的壓力。 終端校驗 正常情況下，未注冊和注冊的機器可以互相訪 問。勾選本選項后，未注冊終端就不能訪問已注 冊終端，但是已注冊終端依舊可以訪問未注冊終 端。 限制非法接入終端訪 問的重要

43、服務器 用來保護重要的服務器。 默認情況下，未注冊的終端是不可以訪問不在同 一個網(wǎng)段的重要服務器，但是可以訪問在冋一個 網(wǎng)段的重要服務器的。 表6- 2 VIFR接入認證策略參數(shù)說明 其他策略 終端配置策略、管理器策略、按對象分配策略、策略下發(fā)查詢請參照第二章北信源內(nèi)網(wǎng)安全管理系統(tǒng)的策 略中心中的對應項。 環(huán)境準備方法 安裝 RADIUS (windows IAS) 安裝RADIUS 1 .進入添加/刪除程序中添加/刪除Win dows組件，選擇網(wǎng)絡服務中的In ter net驗證服務 圖6- 10添加In ternet驗證服務組件 2安裝IAS后，進入IAS配置界面 圖6- 11 IAS配置

44、界面 為RADIUS服務器添加客戶端 1 右擊“ RADIUS客戶端”，選擇“新建 RADIUS客戶端?？蛻舳说刂窞轵炞C交換機的管理地址，點擊 【下一步】。 圖6- 12新建RADIUS客戶端 2. 選擇“ RADIUS Standard ，共享機密為交換機中所配置的key。點擊【完成】。 圖6-13新建RADIUS客戶端 3. 右擊“遠程訪問策略，單擊“新建遠程訪問策略”。 圖6- 14新建遠程訪問策略 設置遠程訪問策略 1 為策略取一個名字，點擊【下一步】 圖6- 15設置遠程訪問策略 2 選擇以太網(wǎng)，點擊【下一步】 圖6- 16設置遠程訪問策略 3 選擇用戶，點擊【下一步】 圖6- 17

45、設置遠程訪問策略選擇用戶 4使用 MD5 質(zhì)詢，點擊【下一步】，并完成。 圖 6- 18 設置遠程訪問策略使用 MD5 質(zhì)詢 5在右面板中右擊所新建的策略，選擇“屬性”。 圖 6- 19 設置遠程訪問策略新建的策略 6點擊【添加】，選擇“Day-And-Time-Restrictions ” 圖 6- 20 選擇 Day-And-Time-Restrictions 7選擇【添加】，選擇【允許】，單擊【確定】。 圖 6- 21 選擇允許 8. 刪除NAS-Port-Type匹配” Ether net,并選擇授予訪問權(quán)限 圖 6- 22 設置屬性 9. 單擊編輯配置文件,選擇高級 【添加】 選擇【

46、添加】 64 Tunnel-Type ： VLAN 65 Tunnel-Medium-Type ： 802 81Tunnel-Pvt-Group-ID ： VLAN ID 圖 6- 23 添加屬性值 vlan 圖 6- 24 添加屬性值 802 圖 6- 25 添加屬性值 600 圖 6- 26 添加屬性值 600 10. 單擊【確定】 圖 6- 27 編輯撥入配置文件 設置連接請求策略 1. 右擊連接請求策略,選擇新建連接請求策略 圖 6- 28 新建連接請求策略 2. 選擇自定義策略,并為該策略取個名字 圖 6- 29 為策略取名字 3. 策略狀況選擇添加Day-And-Time-Rest

47、rictions ,配置方法同上。然后一直【下一步】并完成。 圖 6- 30 策略配置 添加認證用戶 1. 添加遠程登錄用戶。在本地用戶和組中新建一個用戶。 圖 6- 31 添加遠程登錄用戶 2. 右擊新建的用戶,進入屬性,選擇隸屬于,刪除默認的USERS 組 圖 6- 32 設置用戶屬性 3. 點擊撥入,設置為允許訪問 圖6- 33設置test用戶 4. 打開組策略計算機配置 windows 設置 安全設置 帳戶策略 用可還原的加密來存儲密碼啟用 圖 6- 34 設置啟用 5. IAS 配置完成。 6. VRV EDP Agent 認證成功。 圖 6- 35 VRV EDP Agent 認證

48、成功 7. Radius Server:Cisco 注：安裝 Cisco ACS 前,需要先安裝 JDK 環(huán)境 （1 ）進入 Cisco ACS 配置頁面 點擊User Setup，進入創(chuàng)建用戶界面 圖 6- 36 創(chuàng)建用戶界面 （2 ）輸入用戶名并選擇Add/Edit 進行用戶的添加 圖 6- 37 用戶添加 （3）為該用戶設置密碼 圖 6- 38 設置用戶密碼 （4 ）進入 Network Configuration 圖 6- 39 進入 Network Configuration AAA Clients 為交換機， IP 地址是交換機的管理 IP AAA Servers 為 Radius

49、 服務器的地址 AAA Client 配置 圖 6- 40 AAA Client 配置 （5） AAA Server 配置 圖 6- 41 AAA Server 配置 （6 ）進入 Interface Configuration 圖 6- 42 進入 Interface Configuration （7）進入 RADIUS（IETF） ，勾選第 64，65，81 項，保存 圖 6- 43 進入 RADIUS（IETF） （8 ）進入 Group Setup 圖 6- 44 進入 Group Setup （9）選擇 Edit Settings ，勾選第 64，65，81 項 64Tag1 選擇

50、VLAN 65Tag1 選擇 802 81Tag1 選擇需要跳轉(zhuǎn)的 VLAN ID 號。 即管理員可給屬于不同 VLAN 的客戶端分發(fā)用戶名和密碼，讓他們在輸入用戶名和密碼進行驗證后跳轉(zhuǎn)至 屬于自己的 VLAN 當中。 圖 6- 45 進入 Edit Settingsp 各廠商交換機配置 Cisco2950 配置方法 Enable /* 進入特權(quán)模式 */ config t /* 進入全局配置模式 */ aaa new-model /* 啟用 aaa認證 */ aaa authentication dot1x default group radius /* 配置認證使用 radius 服務器數(shù)

51、據(jù)庫 */ aaa authorization network default group radius/*VLAN 分配必須 */ 指定 radius 服務器地址為，通信密鑰為 vrv ，端口不用制定，默認 1812 和 1813*/ radius-server vsa send authentication /* 配置 VLAN 分配必須使用 IETF 所規(guī)定的 VSA 值 */ int vlan 1 no shut /*為交換機配置管理地址，以便和radius 服務器通信 */ int range f0/1 - 11 dot1x port-control auto switchport

52、mode access /*為 1到 11端口配置 dot1x，12 端口不配 */ dot1x guest-vlan ID （ VLAN 跳轉(zhuǎn)命令） exit /* 退回全局配置模式 */ dot1x system-auth-control /* 全局啟動 dot1x*/ aaa authentication login default line enable local /*開啟 telnet 遠程登錄 */ exit /* 退出全局模式 */ 2950 交換機上 VLAN 的配置 vlan database vlan ID enable config t int range fO/1 -

53、20 switchport access vlan ID switchport mode access spanning-tree portfast 華為 3COM 3628 配置 dis cu # sysname H3C # domain default enable test # dot1x dot1x timer tx-period 10 dot1x retry 4 # radius scheme system radius scheme test server-type standard key authentication vrv key accounting vrv user-name-format without-domain # domain system domain test scheme radius-scheme test vlan-assignment-mode str