VRVedp北信源內(nèi)網(wǎng)管理系統(tǒng)用戶(hù)使用手冊(cè)

1、北信源內(nèi)網(wǎng)安全管理系統(tǒng)用戶(hù)使用手冊(cè)北京北信源軟件股份有限公司二0年支持信息在北信源內(nèi)網(wǎng)安全管理系統(tǒng)使用過(guò)程中，如您有任何疑問(wèn)都可以通過(guò)訪(fǎng)問(wèn)我公司網(wǎng)站或者致電我司客服中心獲得幫助和支持！熱線(xiàn)支持： 400-8188-110客戶(hù)服務(wù)電話(huà)：在您使用該產(chǎn)品過(guò)程中，如果有好的意見(jiàn)或建議的話(huà)也請(qǐng)聯(lián)系我們的客服中心，感謝您對(duì)我公司產(chǎn)品的信任和支持！正文目錄特別說(shuō)明產(chǎn)品構(gòu)架應(yīng)用構(gòu)架第二章北信源內(nèi)網(wǎng)安全管理系統(tǒng) 策略中心策略管理中心網(wǎng)關(guān)接入認(rèn)證配置阻斷違規(guī)接入管理補(bǔ)丁分發(fā)數(shù)據(jù)查詢(xún)本地注冊(cè)情況統(tǒng)計(jì)本地設(shè)備資源統(tǒng)計(jì)本地設(shè)備類(lèi)型統(tǒng)計(jì)USB標(biāo)簽信息查詢(xún)?cè)O(shè)備信息查詢(xún)審計(jì)數(shù)據(jù)查詢(xún)分發(fā)數(shù)據(jù)查詢(xún)mE Windows操作系統(tǒng)設(shè)備

2、終端管理終端管理行為控制遠(yuǎn)程協(xié)助運(yùn)維監(jiān)控報(bào)表管理報(bào)警管理報(bào)警數(shù)據(jù)查詢(xún)本地區(qū)域報(bào)警數(shù)據(jù)統(tǒng)計(jì)本地報(bào)警數(shù)據(jù)匯總級(jí)聯(lián)總控級(jí)聯(lián)注冊(cè)情況統(tǒng)計(jì)級(jí)聯(lián)設(shè)備資源統(tǒng)計(jì)級(jí)聯(lián)設(shè)備類(lèi)型統(tǒng)計(jì)級(jí)聯(lián)管理控制區(qū)域管理器狀態(tài)杳詢(xún)區(qū)域掃描器狀態(tài)查詢(xún)級(jí)聯(lián)上報(bào)數(shù)據(jù)級(jí)聯(lián)報(bào)警數(shù)據(jù)系統(tǒng)維護(hù)系統(tǒng)用戶(hù)分配與管理用戶(hù)設(shè)置數(shù)據(jù)重整審計(jì)用戶(hù)第三章北信源補(bǔ)丁及文件分發(fā)管理系統(tǒng) 區(qū)域管理器補(bǔ)丁管理設(shè)置 補(bǔ)丁下載配置文件分發(fā)策略配置策略中心補(bǔ)丁分發(fā)策略軟件分發(fā)策略其他策略補(bǔ)丁分發(fā)補(bǔ)丁自動(dòng)下載分發(fā) 補(bǔ)丁下載服務(wù)器補(bǔ)丁庫(kù)分類(lèi)補(bǔ)丁下載轉(zhuǎn)發(fā)代理客戶(hù)端補(bǔ)丁檢測(cè)（一）客戶(hù)端補(bǔ)丁檢測(cè)（二）第四章 北信源主機(jī)監(jiān)才5審計(jì)系統(tǒng) 策略中心行為管理及審計(jì)涉密檢查策略其他策略數(shù)據(jù)查詢(xún)

3、第五章北信源移動(dòng)存儲(chǔ)介質(zhì)使用管理系統(tǒng) 策略中心可移動(dòng)存儲(chǔ)管理其他策略數(shù)據(jù)查詢(xún)第六章北信源網(wǎng)絡(luò)接入才5制管理系統(tǒng) 網(wǎng)關(guān)接入配置認(rèn)證策略中心接入認(rèn)證策略其他策略環(huán)境準(zhǔn)備方法安裝 RADIUS（windowsIAS）各廠(chǎng)商交換機(jī)配置Cisco2950配置方法華為3COM3628配置銳捷RGS2配置第七章北信源接入認(rèn)證網(wǎng)關(guān)網(wǎng)關(guān)接入配置認(rèn)證策略中心第八章系統(tǒng)備份及系統(tǒng)升級(jí)系統(tǒng)數(shù)據(jù)庫(kù)數(shù)據(jù)備份及還原 系統(tǒng)組件升級(jí)區(qū)域管理器、掃描器模塊升級(jí)升級(jí)網(wǎng)頁(yè)管理平臺(tái)客戶(hù)端注冊(cè)程序升級(jí)檢查系統(tǒng)是否升級(jí)成功級(jí)聯(lián)管理模式升級(jí)及配置 附錄附錄（一）北信源內(nèi)網(wǎng)安全管理系統(tǒng)名詞注釋 附錄（二）移動(dòng)存儲(chǔ)設(shè)備認(rèn)證工具操作說(shuō)明 USB標(biāo)

4、簽制作USB標(biāo)簽制作工具USB標(biāo)簽制作歷史查詢(xún)移動(dòng)存儲(chǔ)審計(jì)策略移動(dòng)存儲(chǔ)審計(jì)數(shù)據(jù)附錄（三）主機(jī)保護(hù)工具操作說(shuō)明 附錄（四）組態(tài)報(bào)表管理系統(tǒng)操作說(shuō)明 模版制定報(bào)表輸出附錄（五）報(bào)警平臺(tái)操作說(shuō)明 設(shè)置日志查詢(xún)窗口 更換界面幫助附錄（六）漫游功能說(shuō)明 漫游功能介紹漫游功能配置附錄（七）IIS服務(wù)器配置說(shuō)明 WIN2003-32位IIS配置說(shuō)明WIN2003-64位IIS酉己詈i兌明WIN2008-64位IIS配置說(shuō)明圖目錄圖2-1創(chuàng)建新策略 圖2-2下發(fā)策略圖2-3策略控制圖2-4硬件設(shè)備控制圖2-5軟件安裝監(jiān)控策略圖2-6進(jìn)程執(zhí)行監(jiān)控策略圖2-7進(jìn)程保護(hù)策略圖2-8協(xié)議防火墻策略圖2-9注冊(cè)表圖2-

5、10IP與MAC綁定策略圖2-11防違規(guī)外聯(lián)策略圖2-12違規(guī)提示圖2-13文件備份路徑設(shè)置圖2-14注冊(cè)碼配置圖2-15阻斷違規(guī)接入控制設(shè)置 圖2-16本地注冊(cè)情況信息圖2-17本地設(shè)備資源信息圖2-18本地設(shè)備類(lèi)型統(tǒng)計(jì)圖2-19軟件變化信息圖2-20注冊(cè)日志信息圖2-21交換機(jī)掃描管理配置圖2-22設(shè)備信息統(tǒng)計(jì)圖表圖2-23級(jí)聯(lián)設(shè)備信息圖2-24級(jí)聯(lián)設(shè)備系統(tǒng)類(lèi)型統(tǒng)計(jì) 圖2-25級(jí)聯(lián)管理控制圖2-26下級(jí)級(jí)聯(lián)區(qū)域管理器信息 圖2-27區(qū)域管理器狀態(tài)信息 圖2-28區(qū)域掃描器狀態(tài)信息 圖2-29級(jí)聯(lián)上報(bào)數(shù)據(jù)圖2-30系統(tǒng)用戶(hù)列表圖2-31添加系統(tǒng)用戶(hù)界面圖2-32用戶(hù)管理列表圖2-33終端控制

6、權(quán)限圖2-34屏幕監(jiān)控權(quán)限圖2-35密碼初始化提示框圖2-36密碼初始化完成提示框 務(wù)2-37修改ADMIN用戶(hù)密碼 圖2-38數(shù)據(jù)重整信息表圖2-39審計(jì)用戶(hù)登錄 圖3-1區(qū)域管理器補(bǔ)丁管理設(shè)置 圖3-2分發(fā)參數(shù)設(shè)置二圖3-3補(bǔ)丁自動(dòng)分發(fā) 圖3-4補(bǔ)丁下載服務(wù)器界面圖3-5補(bǔ)丁下載服務(wù)器設(shè)置圖3-6補(bǔ)丁代理傳發(fā)支持圖3-7補(bǔ)丁下載設(shè)置圖3-8登錄頁(yè)面圖3-9工具下而面圖3-10補(bǔ)丁檢測(cè)中心圖3-11客戶(hù)端補(bǔ)丁漏打檢測(cè) 圖6-1網(wǎng)關(guān)接入認(rèn)證圖6-2重定向配置圖6-3用戶(hù)添加圖6-4補(bǔ)丁與殺毒軟件認(rèn)證策略 圖6-5接入認(rèn)證策略圖6-6802. 1X認(rèn)證界面 圖6-7802. 1X認(rèn)證界面 圖6-

7、8安全檢查沒(méi)有通過(guò)，802.1X不啟動(dòng)認(rèn)證 圖6-9認(rèn)證失敗圖6-10添加Internet僉證服務(wù)組件圖6-11IAS配置界面圖6-12新建RADIUS客戶(hù)端 圖6-13新建RADIUS客戶(hù)端 圖6-14新建遠(yuǎn)程訪(fǎng)問(wèn)策略圖6-15設(shè)置遠(yuǎn)程訪(fǎng)問(wèn)策略圖6-16設(shè)置遠(yuǎn)程訪(fǎng)問(wèn)策略圖6-17設(shè)置遠(yuǎn)程訪(fǎng)問(wèn)策略選擇用戶(hù) 圖6-18設(shè)置遠(yuǎn)程訪(fǎng)問(wèn)策略使用 MD5質(zhì)詢(xún)圖6-19設(shè)置遠(yuǎn)程訪(fǎng)問(wèn)策略新建的策略 圖 6-20 選擇 DAY-AND-TIME-RESTRICTIONS圖6-21選擇允許圖6-22設(shè)置屬性圖6-23添加屬性值VLAN圖6-24添加屬性值802圖6-25添加屬性值600圖6-26添加屬性侑600

8、圖6-27編輯撥入配置文件圖6-28新建連接請(qǐng)求策略圖6-29為策略取名字圖6-30策略配置圖6-31添加遠(yuǎn)諄錄用戶(hù)圖6-32設(shè)置用戶(hù)屬性圖6-33設(shè)置test用戶(hù)圖6-34設(shè)置啟用圖6-35VRVEDP居ENT認(rèn)證成功圖6-36創(chuàng)建用戶(hù)界面圖6-37用戶(hù)添加圖6-38設(shè)置用戶(hù)密碼圖 6-39 進(jìn)入 NEtwoRKonfiguration圖 6-40AAACIENT 酉己置圖6-41AAASRVE哂己置圖 6-42 進(jìn)入 I nterfacConfiguration圖 6-43 進(jìn)入 RADIUS(IETF)圖 6-44 進(jìn)入 SouSetup圖 6-45 進(jìn)入 EditSEttingsp圖7

9、-1網(wǎng)關(guān)接入認(rèn)證圖7-2重定向配置圖7-3用戶(hù)添加圖7-4網(wǎng)關(guān)接入認(rèn)證策略 圖8-1級(jí)聯(lián)管理配置附圖-1修改用戶(hù) ADMIN USB標(biāo)簽 附圖-2 下載 DEVICNUMBEREXE附圖-3全局參數(shù)附圖-4USBTOOL登錄附圖-5USBTOOI#面附圖-6分區(qū)格式4附圖-7制作移動(dòng)硬盤(pán)標(biāo)簽1附圖-8制作移動(dòng)硬盤(pán)標(biāo)簽 2附圖-9制作移動(dòng)硬盤(pán)標(biāo)簽 3附圖-10制作移動(dòng)硬盤(pán)標(biāo)簽4附圖-11制作移動(dòng)硬盤(pán)標(biāo)簽5附圖-12制作移動(dòng)硬盤(pán)標(biāo)簽6附圖-13制作移動(dòng)硬盤(pán)標(biāo)簽7附圖-14制作移動(dòng)硬盤(pán)標(biāo)簽8附圖-15制作移動(dòng)硬盤(pán)標(biāo)簽 9附圖-16制作移動(dòng)硬盤(pán)標(biāo)簽 10附圖-17制作移動(dòng)硬盤(pán)標(biāo)簽 11附圖-183個(gè)分

10、區(qū)的優(yōu)盤(pán)和移動(dòng)硬盤(pán)內(nèi)網(wǎng)登錄界面 附圖-19整盤(pán)加密的優(yōu)盤(pán)和移動(dòng)硬盤(pán)內(nèi)網(wǎng)登錄界面 附圖-20外網(wǎng)插入3個(gè)分區(qū)的優(yōu)盤(pán)或移動(dòng)硬盤(pán)盤(pán)符 附圖-21交換區(qū)登錄界面附圖-22外網(wǎng)插入整盤(pán)加密優(yōu)盤(pán)或移動(dòng)盤(pán)符 附圖-23信息提示附圖-24USBTOOL登錄 附圖-25USBTOOL界面附圖-26初始化密碼附圖-27標(biāo)簽歷史查詢(xún)附圖-28訪(fǎng)問(wèn)控制配置說(shuō)明附圖-29DOS/DDOS配置說(shuō)明附圖-30創(chuàng)建模板附圖-31確定報(bào)表標(biāo)題及報(bào)表尾 附圖-32定義報(bào)表輸入項(xiàng)附圖-33確定輸出條件附圖-34確定關(guān)聯(lián)附圖-35保存模板附圖-36修改模板名稱(chēng) 附圖-37修改模版的輸出標(biāo)題和表尾 附圖-38修改輸出列選項(xiàng)附圖-39修

11、改關(guān)聯(lián)選項(xiàng) 附圖-40修改時(shí)間范圍統(tǒng)計(jì) 附圖-41模板預(yù)覽附圖-42輸出EXCELS表模板信息附圖-43時(shí)間定義附圖-44模板導(dǎo)入附圖-45模板導(dǎo)出附圖-46報(bào)警平臺(tái)設(shè)置 附圖-47高級(jí)設(shè)置附圖-48報(bào)警設(shè)置上附圖-49報(bào)警設(shè)置下附圖-50日志查詢(xún)附圖-51報(bào)警中心界面附圖-52漫游示意附圖-53結(jié)合接入認(rèn)證漫游示意圖 附圖-54CA服務(wù)器界面附圖-55區(qū)域管理器配置界面附圖-56客戶(hù)端遷移策略配置界面 附圖-57重原管理區(qū)漫游出去的客戶(hù)端 附圖-58漫游到新管理器的客戶(hù)端 附圖-59進(jìn)去漫游組中的漫游客戶(hù)端 附圖-60漫游回原管理器的客戶(hù)端 附圖-61漫游查詢(xún)X態(tài)選項(xiàng)附圖-62IIS服務(wù)管理

12、器附圖-63虛擬目錄屬性 附圖-64選擇用戶(hù)域組 附圖-65用戶(hù)域組高級(jí)選項(xiàng)附圖-66用戶(hù)屬性變更附圖-67命令執(zhí)彳f結(jié)果 附圖-68輸出結(jié)果附圖-70添加角色向?qū)П砟夸洷?-2硬件設(shè)備控制參數(shù)說(shuō)明 表2-3軟件安裝監(jiān)控策略參數(shù)說(shuō)明 表2-4進(jìn)程執(zhí)行監(jiān)控策略參數(shù)說(shuō)明 表2-5用戶(hù)密碼策略參數(shù)說(shuō)明 表2-6協(xié)議防火墻策略參數(shù)說(shuō)明 表2-7注冊(cè)表檢查策略參數(shù)說(shuō)明 表2-8IP與MAC綁定策略參數(shù)說(shuō)明 表2-9殺毒軟件運(yùn)行監(jiān)控 表2-10防違規(guī)外聯(lián)策略參數(shù)說(shuō)明 表2-11運(yùn)行資源監(jiān)控策略參數(shù)說(shuō)明 表2-12進(jìn)程異常監(jiān)控策略參數(shù)說(shuō)明 表2-13流量采樣策略參數(shù)說(shuō)明 表2-14流量控制策略參數(shù)說(shuō)明 表2

13、-15消息推送策略參數(shù)說(shuō)明 表2-16客戶(hù)端文件備份策略參數(shù)說(shuō)明 表2-17終端配置策略參數(shù)說(shuō)明 表3-1區(qū)域管理器補(bǔ)丁管理參數(shù)說(shuō)明 表3-2補(bǔ)丁自動(dòng)分發(fā)策略參數(shù)說(shuō)明 表3-3人工選擇補(bǔ)丁分發(fā)策略參數(shù)說(shuō)明 表3-4普通文件分發(fā)策略參數(shù)說(shuō)明 表3-5補(bǔ)丁下載設(shè)置參數(shù)說(shuō)明表4-1文件輸出審計(jì)策略參數(shù)說(shuō)明 表4-2上網(wǎng)訪(fǎng)問(wèn)審計(jì)策略參數(shù)說(shuō)明 表4-3文件內(nèi)容檢查策略參數(shù)說(shuō)明 表6-1補(bǔ)丁與殺毒軟件認(rèn)證策略參數(shù)說(shuō)明 表6-2VIFR接入認(rèn)證策略參數(shù)說(shuō)明 附表-1移動(dòng)存儲(chǔ)審計(jì)策略參數(shù)說(shuō)明第一章概述特別說(shuō)明北信源終端安全管理系列產(chǎn)品由北信源內(nèi)網(wǎng)安全管理系統(tǒng)、北信源補(bǔ)丁及文件分發(fā)管理系統(tǒng)、北信源主 機(jī)監(jiān)控審計(jì)

14、系統(tǒng)、北信源移動(dòng)存儲(chǔ)介質(zhì)使用管理系 統(tǒng)、北信源網(wǎng)絡(luò)接入控制管理系統(tǒng)及北信源接入 認(rèn)證網(wǎng)關(guān)6大套件構(gòu)成。本手冊(cè)內(nèi)容將隨著北信源軟件的不斷升級(jí)而改變（以光盤(pán) 中電子版發(fā)行時(shí)為最新版），恕不另行通知。需要者請(qǐng)從 北信源公司網(wǎng)站下載本手冊(cè)的最新電子版或者直接聯(lián)系北 信源公司索取。本手冊(cè)與本系統(tǒng)的安裝配置手冊(cè)中的所有圖片均為示意 圖，請(qǐng)以實(shí)際產(chǎn)品為準(zhǔn)。本使用手冊(cè)為北信源終端安全管理系列產(chǎn)品通用說(shuō)明書(shū)。若您獨(dú)立購(gòu)買(mǎi)北信源內(nèi)網(wǎng)安全管理系統(tǒng)或北信源補(bǔ) 丁及文件分發(fā)管理系統(tǒng)等其中之一產(chǎn)品，本說(shuō)明書(shū)的其 它功能將不具備 感謝您購(gòu)買(mǎi)北京北信源軟件股份有限公司研制開(kāi)發(fā)的北信 源終端安全管理系列產(chǎn)品。請(qǐng)?jiān)谑褂帽拒浖?/p>

15、認(rèn)真閱讀 本使用手冊(cè)，當(dāng)您開(kāi)始使用該軟件時(shí)，北信源公司認(rèn)為您 已經(jīng)閱讀了本使用手冊(cè)。產(chǎn)品構(gòu)架北信源終端安全管理產(chǎn)品由 8部分組成：WinPcap程序、 SQLServer管理信息庫(kù)（安裝包：環(huán)境初始化程序）、 Web中央管理配置平臺(tái)（安裝包：網(wǎng)頁(yè)管理平臺(tái)）、區(qū)域 管理器（安裝包：RegionManage,原區(qū)域掃描器已作為模 塊集成到區(qū)域管理器）、客戶(hù)端注冊(cè)程序（安裝包：注冊(cè) 程序）、補(bǔ)丁下載服務(wù)器、管理器主機(jī)保護(hù)模塊、報(bào)警中 心模塊。環(huán)境初始化程序SQLServer管理信息庫(kù)，建立北信源終端安全管理產(chǎn)品的 初始化數(shù)據(jù)庫(kù)。初始化的信息包括：網(wǎng)絡(luò)客戶(hù)端設(shè)備屬性 信息、區(qū)域管理器信息、設(shè)備掃描器信

16、息、區(qū)域管理范圍 信息、注冊(cè)（未注冊(cè)）機(jī)器信息、設(shè)備屬性變化信息、報(bào) 警信息等。掃描器將設(shè)備最新?tīng)顟B(tài)信息同數(shù)據(jù)庫(kù)中原有信 息進(jìn)行遍歷搜索對(duì)比，根據(jù)規(guī)則要求在管理平臺(tái)上報(bào)警。網(wǎng)頁(yè)管理平臺(tái)（web管理平臺(tái)）Web中央管理配置平臺(tái)，本系統(tǒng)的管理配置中心。包括區(qū)域管理器、掃描器、注冊(cè)客戶(hù)端的功能參數(shù)設(shè)定，網(wǎng)絡(luò)設(shè)備信息發(fā)現(xiàn)、系統(tǒng)應(yīng)用策略制訂、報(bào)警信息顯示、定義任務(wù)功能制訂、系統(tǒng)用戶(hù)維護(hù)等配置操作。RegionManage區(qū)域管理器，系統(tǒng)數(shù)據(jù)處理中心，負(fù)責(zé)與管理信息數(shù)據(jù)庫(kù)通訊掃描終端設(shè)備、控制服務(wù)器、客戶(hù)端之間的信息、指令的下達(dá)、接受。比如：接收注冊(cè)程序提供的用戶(hù)信息，將用戶(hù)信息（用戶(hù)填寫(xiě)的物理信息和系統(tǒng)

17、自動(dòng)采集的硬件信息）并行存入數(shù)據(jù)庫(kù)；接受來(lái)自控制臺(tái)的命令操作，發(fā)送到客戶(hù)端、掃描器執(zhí)行。對(duì)于存在多級(jí)管理要求的廣域網(wǎng)，網(wǎng)絡(luò)中可以存在多個(gè)區(qū)域管理器，實(shí)現(xiàn)系統(tǒng)數(shù)據(jù)逐級(jí)上報(bào)（轉(zhuǎn)發(fā)），對(duì)網(wǎng)絡(luò)終端的多級(jí)管理。區(qū)域管理器內(nèi)置網(wǎng)絡(luò)掃描器，掃描器用來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)的終端設(shè)備。將發(fā)現(xiàn)的設(shè)備信息交由區(qū)域管理器處理。、設(shè)備最新?tīng)顟B(tài)信息報(bào)送至區(qū)域管理器，由區(qū)域管理器處理后，同數(shù)據(jù)庫(kù)中原有信息進(jìn)行遍歷搜索對(duì)比，根據(jù)管理規(guī)則在管 理平臺(tái)上報(bào)警。掃描器配合區(qū)域管理器進(jìn)行工作，可以在分級(jí)模式下使 用。掃描器只依據(jù) Web管理平臺(tái)中配置的工作范圍進(jìn)行掃描，如果終端IP 超越其范圍，將不負(fù)責(zé)執(zhí)行操作。Winpcap 程序嗅探驅(qū)動(dòng)軟件

18、，監(jiān)聽(tīng)共享網(wǎng)絡(luò)上傳送的數(shù)據(jù)?？蛻?hù)端注冊(cè)程序?qū)⒔邮詹?zhí)行服務(wù)器下發(fā)的指令。該程序可以在“工具下載 -> 用戶(hù)注冊(cè)器下載”處下載。訪(fǎng)問(wèn)指定網(wǎng)站自動(dòng)獲得，用戶(hù)填寫(xiě)必要的信息后，運(yùn)行該程序，區(qū)域管理器將收到注冊(cè)終端的相關(guān)信息，同時(shí)終端可以接收、執(zhí)行各種下發(fā)的指令。注冊(cè)程序自動(dòng)探測(cè)系統(tǒng)硬件信息，連同用戶(hù)填寫(xiě)的信息一同上報(bào)區(qū)域管理器。用戶(hù)將本機(jī)注冊(cè)信息發(fā)送到區(qū)域管理器后，區(qū)域管理器自動(dòng)將客戶(hù)端駐留程序應(yīng)用策略發(fā)送給用戶(hù)，并自動(dòng)更新?？蛻?hù)端駐留程序功能：進(jìn)行本機(jī)硬件屬性信息變化監(jiān)視；進(jìn)行本機(jī)IP、MACM址變化審計(jì)；本機(jī)系統(tǒng)補(bǔ)丁、軟件安裝、運(yùn)行進(jìn)程狀況監(jiān)測(cè)；探測(cè)本機(jī)是否有違規(guī)聯(lián)網(wǎng)行為，在內(nèi)網(wǎng)管理中心或

19、外網(wǎng)報(bào)警平臺(tái)報(bào)警；接受Web管理平臺(tái)的管理命令；阻斷本機(jī)非法外聯(lián)行為；執(zhí)行Web管理平臺(tái)下發(fā)的各種策略操作。補(bǔ)丁下載服務(wù)器安裝在與Internet網(wǎng)絡(luò)連接的機(jī)器上，用于實(shí)時(shí)下載補(bǔ) 丁廠(chǎng)商發(fā)布的補(bǔ)丁。管理器主機(jī)保護(hù)模塊管理器主機(jī)保護(hù)模塊可根據(jù)管理器或其他服務(wù)器具體使用的端口、網(wǎng)絡(luò)協(xié)議、通信IP范圍和具體的其他網(wǎng)絡(luò)應(yīng)用來(lái)定義該計(jì)算機(jī)使用的安全級(jí)較高的網(wǎng)絡(luò)配置，從而防止 該計(jì)算機(jī)受到惡意的IP沖突以及各種網(wǎng)絡(luò)、病毒攻擊。報(bào)警中心模塊安裝在可與區(qū)域管理器所在服務(wù)器正常通訊的計(jì)算機(jī)上，本模塊可以根據(jù)管理員在系統(tǒng)中所配置的報(bào)警事件和危險(xiǎn)級(jí)別提供給管理員包括電子郵件、信使服務(wù)、SNMPTrap手機(jī)短信等多種

20、報(bào)警方式。應(yīng)用構(gòu)架北信源終端安全管理應(yīng)用于局域網(wǎng)、廣域網(wǎng)構(gòu)架，支持跨 網(wǎng)段、跨地域的內(nèi)網(wǎng)遠(yuǎn)程客戶(hù)端管理及非法移動(dòng)設(shè)備接入檢測(cè)、網(wǎng)內(nèi)計(jì)算機(jī)違規(guī)聯(lián)網(wǎng)監(jiān)視、網(wǎng)絡(luò)安全隔離度監(jiān)控 等。系統(tǒng)應(yīng)用主要分為以下兩種構(gòu)架：基本構(gòu)架：對(duì)于一般網(wǎng)絡(luò)（例如 1個(gè)C類(lèi)地址或若干個(gè)C類(lèi)地址的局域網(wǎng)范圍），可使用一套本系統(tǒng)軟件，通過(guò)一個(gè)管理器集中管理所屬區(qū)域內(nèi)的所有設(shè)備。擴(kuò)展構(gòu)架：對(duì)于大規(guī)模的多個(gè)局域網(wǎng)或者跨地域廣域網(wǎng)（包括基于國(guó)家、省、市、縣等多級(jí)管理模式的網(wǎng)絡(luò)結(jié)構(gòu)），可使用本系統(tǒng)提供的多區(qū)域集中管理構(gòu)架，即一個(gè)或多個(gè)網(wǎng)段各擁有一套獨(dú)立北信源終端安全管理的同時(shí)，將本級(jí)所有設(shè)備信息再轉(zhuǎn)發(fā)給上級(jí)管理數(shù)據(jù)庫(kù)，使得上一級(jí)管理人員

21、對(duì)整個(gè)網(wǎng)絡(luò)的設(shè)備狀況也能夠完全掌握。圖 1-北信源終端安全管理應(yīng)用拓?fù)涞诙卤毙旁磧?nèi)網(wǎng)安全管理系統(tǒng)策略中心策略管理中心策略的使用策略的創(chuàng)建和分發(fā)1.在“策略管理中心”中左側(cè)的策略項(xiàng)中點(diǎn)擊需要制定 的策略，然后在右側(cè)的【策略名】中輸入相應(yīng)的策略名 稱(chēng)，單擊【創(chuàng)建新策略】按鈕開(kāi)始創(chuàng)建策略。圖2-創(chuàng)建新策略血 注：在策略的定義中使用了一些特別的關(guān)鍵字符，這些特殊的字符不應(yīng)該在策略?xún)?nèi)容中出現(xiàn)。否則可能會(huì)出 現(xiàn)無(wú)法預(yù)料的系統(tǒng)錯(cuò)誤。這些字符包括："><'/="（大于,小于，單引號(hào)，反斜線(xiàn)，等于）。2.根據(jù)實(shí)際需求配置策略，單擊【保存策略】完成策略的創(chuàng)建。（由于各個(gè)策

22、略項(xiàng)的配置過(guò)程都不一樣，下一節(jié)將具體介紹）3.下發(fā)策略，即指定策略的執(zhí)行對(duì)象。通過(guò)單擊【對(duì) 象】按鈕，可按界面提示完成對(duì)象的分配。如下圖所示： 圖2-下發(fā)策略4.如果需要讓某一條策略暫時(shí)不使用，可通過(guò)【停用】 按鈕使策略失效，需要使用的時(shí)候再單擊【啟用】按鈕使 策略生效。如果想要?jiǎng)h除某一條策略，則直接按【刪除】 按鈕即可。如下圖所示，圖2-策略控制策略的高級(jí)設(shè)置策略的高級(jí)設(shè)置用于策略的執(zhí)行設(shè)置，包括策略狀態(tài)（啟 動(dòng)、停止）、策略存活時(shí)間（策略執(zhí)行的起止時(shí)間）、策 略執(zhí)行觸發(fā)條件（在何種條件下開(kāi)始執(zhí)行策略）、策略無(wú) 效時(shí)間（規(guī)定時(shí)間內(nèi)不執(zhí)行策略）、策略應(yīng)用范圍（本級(jí) 區(qū)域、下級(jí)區(qū)域、所有區(qū)域）、

23、級(jí)聯(lián)策略類(lèi)型等，有些策 略還包括具體的觸發(fā)時(shí)間設(shè)置等。參數(shù)說(shuō)明策略名稱(chēng):此處可以修改策略名稱(chēng)風(fēng)險(xiǎn)級(jí)別分為低、中、高三個(gè)級(jí)別停用鎖定選中【鎖定對(duì)策略的停用操作】后， 策略列表中的【停用】功能將不起作 用，用于防止用戶(hù)的誤操作。策略狀態(tài)制定策略的狀態(tài)：?jiǎn)?dòng)/停止策略存活時(shí)間 范圍即策略以天為單位的存活時(shí)間段策略無(wú)效工作 日即可在星期中選中一天或多天使策 略無(wú)效策略無(wú)效時(shí)間 段即策略以分為單位的無(wú)效的時(shí)間段策略有效用戶(hù)指登錄操作系統(tǒng)的用戶(hù)。當(dāng)執(zhí)行該策 略時(shí)，先判斷此用戶(hù)是不是有效用 戶(hù)，是有效用戶(hù)則執(zhí)行，否則不執(zhí) 行。策略后效網(wǎng)關(guān)有效網(wǎng)關(guān)：客戶(hù)端所在內(nèi)網(wǎng)的網(wǎng)關(guān)； 當(dāng)執(zhí)行該策略時(shí)，先判斷是不是有效 網(wǎng)

24、管，是則執(zhí)行該策略，否則不執(zhí) 行。策略后效網(wǎng)絡(luò)內(nèi)網(wǎng)：能與本服務(wù)器通訊的屬于內(nèi) 網(wǎng)；外網(wǎng)：與本服務(wù)器不能通訊，且 不能與客戶(hù)端所在網(wǎng)關(guān)通訊的屬于外 網(wǎng)?？寺C(jī)策略克隆機(jī)：將已經(jīng)注冊(cè)了本系統(tǒng)的客戶(hù) 端的系統(tǒng)做成鏡像(gost),還原到 某計(jì)算機(jī)上，則該計(jì)算機(jī)稱(chēng)之為克隆 機(jī)。只有克隆機(jī)(gost系統(tǒng))執(zhí)行 本策略，非克隆機(jī)不執(zhí)行。表2-策略的高級(jí)設(shè)置參數(shù)說(shuō)明策略下發(fā)結(jié)果查詢(xún)可以通過(guò)以下兩種方式查看策略的下發(fā)情況：(1)策略管理中心-> 策略下發(fā)查詢(xún)(2)終端管理-> 終端管理-> 當(dāng)前執(zhí)行策略血 注：策略分發(fā)間隔默認(rèn)為1分鐘；有的策略需要重新啟動(dòng)生效，請(qǐng)看每條策略的具體說(shuō)明。具有審

25、計(jì)功能的策略，審計(jì)數(shù)據(jù)可以在“數(shù)據(jù)查詢(xún)審計(jì)數(shù)據(jù)查詢(xún)”中查黑白名單編輯進(jìn)程黑白名單進(jìn)程黑白名單在“進(jìn)程監(jiān)控”策略中可以使用，這部分包含系統(tǒng)預(yù)定義黑名單和用戶(hù)自定義黑白名單。編輯進(jìn)程黑 白名單時(shí)包括：進(jìn)程名、產(chǎn)品名、源文件名等；如果是服 務(wù)則只可以加服務(wù)名，同時(shí)可以加一些描述。軟件黑白名單軟件黑白名單在“軟件安裝監(jiān)控”策略中可以使用，這部 分包含系統(tǒng)預(yù)定義黑名單和用戶(hù)自定義黑白名單。URL黑白名單編輯URL黑白名單在“上網(wǎng)訪(fǎng)問(wèn)審計(jì)”策略、“上網(wǎng)控制策 略”中可以使用，這部分包含系統(tǒng)預(yù)定義黑名單和用戶(hù)自 定義黑白名單。端口黑白名單編輯端口黑白名單在“協(xié)議防火墻策略”中可以使用，這部分 包含系統(tǒng)預(yù)定義

26、黑名單和用戶(hù)自定義黑白名單。硬件設(shè)備控制硬件設(shè)備控制功能說(shuō)明：控制各種硬件設(shè)備及接口的啟用或禁用，如果 只想禁止使用移動(dòng)存儲(chǔ)設(shè)備，也可以通過(guò)“可移動(dòng)存儲(chǔ)審 計(jì)”策略來(lái)實(shí)現(xiàn)。參數(shù)說(shuō)明：參數(shù)說(shuō)明不處理、啟用、 禁用本策略中所能控制的硬件，都需要 能夠在windows系統(tǒng)設(shè)備管理器中 進(jìn)行禁止和啟用。例外選擇【啟用】時(shí)將禁用例外中的設(shè) 備，選擇【禁用】時(shí)將啟用例外中 的設(shè)備，【不處理】選項(xiàng)保持原來(lái) 的狀態(tài)無(wú)變化，提高系統(tǒng)管理性 能，如果對(duì)某項(xiàng)不關(guān)心可以選擇該 項(xiàng)。例外設(shè)備添加方法：右擊我的電腦 屬性硬件設(shè)備管理器，出現(xiàn)設(shè)備列 表。該策略控制疊加到之前 的策略基礎(chǔ)之上選中此項(xiàng)時(shí)：如果有多條此類(lèi)策略，終

27、端執(zhí)行效果 將是多條策略設(shè)置疊加后執(zhí)行的效果。如果不選擇該項(xiàng)，終端只支持單獨(dú)一條策略，新下 發(fā)的策略將覆蓋原來(lái)的策略配置。取消對(duì)設(shè)備管理器的的 攔截操作默認(rèn)情況下下發(fā)該策略后將禁止用戶(hù)在設(shè)備管理器 里啟用/禁用任何設(shè)備，如果取消則可以在設(shè)備管 理器里啟用/禁用設(shè)置為不處理的設(shè)備。審計(jì)結(jié)果處理上報(bào)服務(wù)器：就是將審計(jì)記錄上報(bào) 到服務(wù)器并進(jìn)行記錄。當(dāng)客戶(hù)端脫 離網(wǎng)絡(luò)時(shí)無(wú)法上報(bào)到服務(wù)器就記錄 到本地，等客戶(hù)端接回網(wǎng)絡(luò)時(shí)再上 報(bào)到服務(wù)器。記錄到本地文件：會(huì)在本地生成文件記 錄審計(jì)信息。起到在本地備份的作 用。表2-硬件設(shè)備控制參數(shù)說(shuō)明注意事項(xiàng):1 .如果要對(duì)原來(lái)禁用的設(shè)備啟用，最好是明確的為該設(shè) 備制定

28、一條啟用策略。2 .禁用u盤(pán)、軟驅(qū)、光驅(qū)等一部分功能，在行為管理與 審計(jì)策略中的可移動(dòng)存儲(chǔ)審計(jì)策略中也可完成，功能上沒(méi)有什么區(qū)別，用戶(hù)可以根據(jù)自己的習(xí)慣，自行設(shè)定。策略實(shí)例：允許使用光驅(qū)，但是禁止使用刻錄光驅(qū)。比如有兩個(gè)光盤(pán)驅(qū)動(dòng)器，分別為：GenericDVD-ROMSCSICdRomDeviCe MATSHITAUJDA745DVD/CDRWt 字顯示上可以看出后面一個(gè)驅(qū)動(dòng)器為刻錄光驅(qū)，如果要禁 止刻錄光驅(qū)，則可以將光驅(qū)項(xiàng)設(shè)置為 "允許"，在【例外】 中輸入"MATSHITAUJDA745DVD/CDRW1中的一部分，只 要能通過(guò)該標(biāo)志確認(rèn)是一個(gè)可刻錄光驅(qū)即可。

29、因?yàn)榛旧?可刻錄光驅(qū)都帶有"CDRW字樣，【例外】中可以輸入 “CDRW"多個(gè)例外之間用分號(hào)（"；"）（英文半角格式）分 隔，如下圖所示： 圖2-硬件設(shè)備控制進(jìn)程及軟件管理軟件安裝監(jiān)控功能說(shuō)明：用于監(jiān)控客戶(hù)端安裝的軟件是否違規(guī)并對(duì)違規(guī) 行為做出相應(yīng)的處理。參數(shù)說(shuō)明:參數(shù)說(shuō)明軟件名設(shè)置需要進(jìn)行控制的軟件名稱(chēng)，填 入需要監(jiān)控的軟件名稱(chēng)后，點(diǎn)選【添加控制】按鈕，如果想要控制 更多的軟件，輸入軟件名稱(chēng)后，繼 續(xù)點(diǎn)選【添加控制】按鈕，以此類(lèi) 推，可以繼續(xù)添加需要控制的軟 件。同一類(lèi)軟件可以使用具體的策 略，包括“禁止安裝軟件”、“必 須安裝軟件”、“允許安裝軟件

30、”三個(gè)選項(xiàng)，這個(gè)具體選擇可以根據(jù) 管理員的需要自行設(shè)定。如果想要 取消對(duì)某個(gè)軟件的控制，請(qǐng)?jiān)诹斜?處選定軟件的名稱(chēng)，然后點(diǎn)擊【刪 除控制】按鈕。還可以添加系統(tǒng)定義的黑名單和自 定義的黑名單，并分別配置違規(guī)處 理措施、高級(jí)設(shè)置項(xiàng)。其他軟件處理當(dāng)選中“允許安裝軟件”，再勾中 “除以上列表的軟件外，安裝了其 他任何軟件都視為違規(guī)項(xiàng)”，表示 只允許安裝列表中的軟件，安裝其 他軟件均視為違規(guī)，即實(shí)現(xiàn)對(duì)軟件 安裝的限制功能。當(dāng)選中“控制狀態(tài)”是“禁止安裝 軟件”，同時(shí)選中【其他軟件處 理】復(fù)選框，那么安裝任何軟件都 是違規(guī)的。以上軟件安裝違 規(guī)處理指選定的對(duì)象如果違反了上述的軟 件安裝監(jiān)控策略的處理方法。

31、不處 理方式，是指不處理違反策略的對(duì) 象，但是，相關(guān)的違規(guī)記錄可以在 Web管理器中查詢(xún)。僅提示方式， 是指當(dāng)選定對(duì)象的用戶(hù)如果違反了 策略，將在客戶(hù)端彈出管理員設(shè)置 的提示信息。斷開(kāi)網(wǎng)絡(luò)方式，是指 當(dāng)本策略啟用時(shí)，選定的策略管理 對(duì)象，如果違反了本策略，將對(duì)該 計(jì)算機(jī)進(jìn)行斷離網(wǎng)絡(luò)的處理，同 時(shí)，該計(jì)算機(jī)彈出管理員設(shè)定的提 示信息。表2-軟件安裝監(jiān)控策略參數(shù)說(shuō)明策略實(shí)例：圖2-軟件安裝監(jiān)控策略注意事項(xiàng):1 . “軟件名”要和控制面板中添加刪除程序里的軟件程 序名一樣，該功能支持模糊查詢(xún)技術(shù)，例如在要檢查是否 安裝了 QQ可能因?yàn)楦鞣N版本不一樣，在“添加刪除程 序”里顯示的是 QQ200做QQ2

32、005這時(shí)您可以只輸入 QQ2 .靜默卸載功能不支持模糊匹配，需要填寫(xiě)跟添加刪除 程序中的名稱(chēng)完全相同。3 .為了維護(hù)方便，建議管理員將施行安裝或禁止安裝的 需求不同的軟件，放在不同的策略中管理，如果同一軟件 在不同策略中的設(shè)置不同，那么，取最后一個(gè)策略設(shè)置為 準(zhǔn)。4 .本策略設(shè)置時(shí)，建議在高級(jí)設(shè)置，策略觸發(fā)方式中， 選中啟動(dòng)時(shí)觸發(fā)和間隔觸發(fā)選中，間隔時(shí)間10分鐘左右。進(jìn)程執(zhí)行監(jiān)控功能說(shuō)明：用于監(jiān)控客戶(hù)端運(yùn)行的進(jìn)程，并做相應(yīng)處理。 先添加需要監(jiān)控的進(jìn)程信息，再配置違規(guī)處理措施。參數(shù)說(shuō)明：參數(shù)說(shuō)明進(jìn)程/服務(wù)名需要進(jìn)行監(jiān)控的進(jìn)程或服務(wù)名稱(chēng)，進(jìn)程的名稱(chēng)可以從 windows的任務(wù) 管理器的進(jìn)程菜單中

33、查詢(xún)。填入需 要監(jiān)控的進(jìn)程名稱(chēng)后，點(diǎn)選【添加控制】按鈕，如果想要控制更多的 進(jìn)程，輸入進(jìn)程名稱(chēng)后，繼續(xù)點(diǎn)選 【添加控制】按鈕，以此類(lèi)推。進(jìn)程名認(rèn)取方法：右擊任務(wù)欄選擇 “任務(wù)管理器”?！斑M(jìn)程/服務(wù)名”處也可填寫(xiě) 例如，進(jìn)程/服務(wù)名：*,產(chǎn) 品名稱(chēng)：MicrosoftOfficellProfessional,控制狀態(tài)：必須運(yùn)行，即表示必須 運(yùn)行MicrosoftOfficellProfessional 產(chǎn)品的所有進(jìn)程。產(chǎn)品名稱(chēng)需要進(jìn)行監(jiān)控的產(chǎn)品的名稱(chēng)，產(chǎn)品 的名稱(chēng)可以從需要監(jiān)控的文件，鼠 標(biāo)右鍵點(diǎn)擊需要監(jiān)控的可執(zhí)行文 件，從其中的產(chǎn)品名稱(chēng)中看到，填 入需要監(jiān)控的產(chǎn)品名稱(chēng)后，點(diǎn)選【添加控制】按鈕，

34、如果想要控制 更多的產(chǎn)品名稱(chēng)，輸入產(chǎn)品名稱(chēng) 后，繼續(xù)點(diǎn)選【添加控制】按鈕， 以此類(lèi)推。源文件名需要進(jìn)行監(jiān)控的具體可執(zhí)行程序的 名稱(chēng)，源文件名可以通過(guò)鼠標(biāo)右鍵 點(diǎn)擊可執(zhí)行文件找到。填入需要監(jiān) 控的源文件名稱(chēng)后，點(diǎn)選【添加控 制】按鈕，如果想要控制更多的源 文件，輸入源文件名稱(chēng)后，繼續(xù)點(diǎn) 選【添加控制】按鈕，以此類(lèi)推。 可以設(shè)置更多的需監(jiān)控項(xiàng)目?？刂茽顟B(tài)針對(duì)具體的進(jìn)程、產(chǎn)品、源文件， 具體的控制狀態(tài)有三種，包括“禁 止運(yùn)行”、“必須運(yùn)行”和“允許 運(yùn)行”，這個(gè)具體選擇可以根據(jù)管 理員的需要自行設(shè)定。如果想要取 消對(duì)某個(gè)軟件的控制，請(qǐng)?jiān)诹斜硖?選定具體的進(jìn)程、產(chǎn)品、源文件的 名稱(chēng)，然后點(diǎn)擊【刪除控制

35、】按 鈕。其他進(jìn)程處理選中“允許運(yùn)行”并勾中“除以上 列表的進(jìn)程外，不允許其他進(jìn)程執(zhí) 行”，則表示只允許進(jìn)程列表中的 進(jìn)程運(yùn)行，其他進(jìn)程均視為違規(guī)， 即實(shí)現(xiàn)對(duì)進(jìn)程運(yùn)行的限制功能。以上各種情況的 違規(guī)處理指選定的對(duì)象如果違反了上述的監(jiān) 控策略的處理方法。關(guān)機(jī)方式，是 指當(dāng)本策略啟用時(shí)，選定的策略管 理對(duì)象，如果違反了本策略，將對(duì) 該計(jì)算機(jī)進(jìn)行2分鐘后自動(dòng)關(guān)機(jī)的 處理，同時(shí)，該計(jì)算機(jī)彈出管理員 設(shè)定的提示信息。表2-進(jìn)程執(zhí)行監(jiān)控策略參數(shù)說(shuō)明策略實(shí)例：圖2-進(jìn)程執(zhí)行監(jiān)控策略注意事項(xiàng)：1 .進(jìn)程名稱(chēng)、產(chǎn)品名稱(chēng)、源文件名之間是“或”的關(guān)系，填入其中一項(xiàng)或多項(xiàng)均可實(shí)現(xiàn)監(jiān)控功能，其中，產(chǎn)品 名稱(chēng)，主要用于監(jiān)

36、控一系列軟件的使用，比如說(shuō)，qq不同版本的程序名不一樣，但是產(chǎn)品名稱(chēng)是相同的。源程序 名的作用，主要是為了防止可執(zhí)行程序被人手動(dòng)修改名稱(chēng) 而避過(guò)安全系統(tǒng)的管理策略。2 .本策略設(shè)置時(shí)，建議在高級(jí)設(shè)置 -> 策略觸發(fā)方式中，選中啟動(dòng)時(shí)觸發(fā)和間隔觸發(fā)，間隔時(shí)間5分鐘左右。3 .啟動(dòng)路徑為全路徑或系統(tǒng)默認(rèn)路徑 進(jìn)程保護(hù)策略功能說(shuō)明：設(shè)置需要保護(hù)的用戶(hù)進(jìn)程，防止被保護(hù)的進(jìn)程 被非法關(guān)閉。策略實(shí)例：圖2-進(jìn)程保護(hù)策略注意事項(xiàng)：1 .這里的進(jìn)程保護(hù)是指使用 windows任務(wù)管理器和一般的應(yīng)用程序無(wú)法終止該程序。2 .這里的被保護(hù)進(jìn)程，仍然可以在策略中心的“進(jìn)程執(zhí)行監(jiān)控”中進(jìn)行終止，請(qǐng)管理員注意相關(guān)

37、策略的設(shè)置。主機(jī)安全策略 用戶(hù)密碼策略 功能說(shuō)明：此策略可以對(duì)系統(tǒng)的本地密碼策略、本地帳戶(hù) 鎖定策略、系統(tǒng)屏保進(jìn)行設(shè)置，同時(shí)可以檢測(cè)系統(tǒng)密碼弱 口令，除系統(tǒng)自定義的弱口令外，用戶(hù)可以自己添加自定 義弱口令集。參數(shù)說(shuō)明:參數(shù)說(shuō)明檢測(cè)到系統(tǒng)弱口 令后當(dāng)系統(tǒng)檢測(cè)到客戶(hù)端采用了弱口令 后可以采用“上報(bào)”、“提示”兩 種方式，即上報(bào)給區(qū)域管理器或者 根據(jù)管理員設(shè)置的提示信息給客戶(hù) 端發(fā)出提示。附加弱口令列表根據(jù)各單位名稱(chēng)等不同，自己添加 需要探測(cè)的弱口令，每個(gè)弱口令之 間用”,"分隔。表 2- 用戶(hù)密碼策略參數(shù)說(shuō)明注意事項(xiàng)：1 在 windows 系統(tǒng)密碼策略中，策略是指密碼的長(zhǎng)度。2“弱口令

38、檢查”與“本地賬戶(hù)鎖定策略”不能同時(shí)設(shè)置，否則弱口令用戶(hù)可能會(huì)被鎖定，無(wú)法使用！也不能對(duì)同一臺(tái)計(jì)算機(jī)分配兩個(gè)這樣的策略。3檢測(cè)系統(tǒng)弱口令，原理是使用每個(gè)列表中的弱口令來(lái)嘗試登錄計(jì)算機(jī)，它并不修改任何 windows 系統(tǒng)文件，本策略不會(huì)造成任何的計(jì)算機(jī)不穩(wěn)定狀態(tài)。4用戶(hù)密碼策略：只適用于標(biāo)準(zhǔn)版操作系統(tǒng)，番茄花園版不支持；系統(tǒng)屏保設(shè)置：重啟后生效；弱口令列表需要手動(dòng)添加。用戶(hù)權(quán)限策略功能說(shuō)明：檢查系統(tǒng)用戶(hù)、系統(tǒng)用戶(hù)組的權(quán)限的改變和系統(tǒng)用戶(hù)、系統(tǒng)用戶(hù)組的增加或減少。當(dāng)以上的某一條件符合時(shí)，則彈出相應(yīng)的提示信息。根據(jù)需要，在相應(yīng)的菜單中選擇上報(bào)或者在客戶(hù)端提示的報(bào)警方式，還有兩種報(bào)警方式同時(shí)啟用的方

39、式，如果選擇中有提示信息選項(xiàng)，將在客戶(hù)端彈出管理員設(shè)定的提示信息窗口。注意事項(xiàng)：1.本策略的各項(xiàng)均在 Windows系統(tǒng)控制面板中的“用戶(hù) 與密碼”項(xiàng)或者控制面板中的管理工具文件夾里的計(jì)算機(jī) 管理程序中的用戶(hù)菜單來(lái)實(shí)現(xiàn)的，本策略只提供相應(yīng)的監(jiān) 測(cè)功能，不對(duì)您的修改進(jìn)行限制。協(xié)議防火墻策略功能說(shuō)明：本策略是基于各種網(wǎng)絡(luò)協(xié)議的原理和各種網(wǎng)絡(luò) 軟件對(duì)網(wǎng)絡(luò)的實(shí)際應(yīng)用，用來(lái)控制各種網(wǎng)絡(luò)使用和計(jì)算機(jī) 端口的使用，起到防火墻的作用。參數(shù)說(shuō)明端口連接 控制規(guī)則協(xié)議類(lèi)型計(jì)算機(jī)可以進(jìn)行很多網(wǎng)絡(luò)應(yīng) 用，各種應(yīng)用都是基于網(wǎng)絡(luò)上 服務(wù)器提供的服務(wù)。不同的服 務(wù)是采用不同的端口提供的， 通過(guò)這種端口的方式，計(jì)算機(jī) 才可以

40、與外界進(jìn)行互不干擾的 通信。Tcp/udp協(xié)議，網(wǎng)絡(luò)通信 協(xié)議，基本上所有的網(wǎng)絡(luò)服務(wù) 都使用它們作為通信的標(biāo)準(zhǔn)。 系統(tǒng)在這里通過(guò)控制計(jì)算機(jī)的 端口和相應(yīng)的網(wǎng)絡(luò)協(xié)議，對(duì)計(jì) 算機(jī)用戶(hù)的網(wǎng)絡(luò)操作進(jìn)行監(jiān) 管。我們可以通過(guò)在 windows 下的dos窗口輸入“ netstat - a”命令來(lái)查看本機(jī)打開(kāi)的端口 和各種端口正在被哪種服務(wù)使 用的，且這個(gè)服務(wù)使用的是哪 種協(xié)議。同時(shí)，我們也可以通 過(guò)軟件相關(guān)的說(shuō)明文檔得到這 些信息。我們?cè)诙丝谔幪钊胛?們查詢(xún)到的需要控制的軟件使 用的端口，在協(xié)議選擇下拉菜 單中選擇相應(yīng)的tcp/udp協(xié) 議?！氨镜囟丝凇焙汀斑h(yuǎn)程端口”兩個(gè)選項(xiàng)，其中，本地端 口是指在網(wǎng)絡(luò)的

41、使用中，本地 計(jì)算機(jī)使用的端口，如果選擇 這個(gè)選項(xiàng)，則在本策略的對(duì)象 范圍內(nèi)的計(jì)算機(jī)無(wú)法啟動(dòng)使用該端口的服務(wù)；遠(yuǎn)程端口是指 在網(wǎng)絡(luò)的使用中，本地計(jì)算機(jī) 可以啟動(dòng)本服務(wù)，但是無(wú)法訪(fǎng) 問(wèn)遠(yuǎn)程計(jì)算機(jī)提供相應(yīng)服務(wù)的 端口?！敖锰畛漤?xiàng)中指定端口，開(kāi) 放其他端口”選項(xiàng)是指僅禁用 在上邊填寫(xiě)的端口和其所對(duì)應(yīng) 的服務(wù)，同時(shí)開(kāi)放其他所有的 端口，使其可以使用網(wǎng)絡(luò)服 務(wù)。“禁用填充項(xiàng)中指定端 口”選項(xiàng)是指僅禁用填充項(xiàng)中 的端口和其所對(duì)應(yīng)的服務(wù)，并 不改變其他端口目前的狀態(tài)。管制方式“開(kāi)放填充項(xiàng)中指定端口，禁 用其他端口”是指，僅開(kāi)放在 上邊填寫(xiě)的端口和其所對(duì)應(yīng)的 服務(wù)，同時(shí)關(guān)閉其他所有的關(guān) 口和網(wǎng)絡(luò)服務(wù)，”開(kāi)放

42、填充項(xiàng) 中指定端口”是指開(kāi)放在上邊 填寫(xiě)的端口和其相對(duì)應(yīng)的服 務(wù)，并不改變其他端口目前的 狀態(tài)。選定需要的選項(xiàng)后，點(diǎn) 擊“添加端口連接控制規(guī)則” 按鈕，所設(shè)定的控制將出現(xiàn)在 頁(yè)面下端的控制列表中。指系統(tǒng)對(duì)ICMP協(xié)議的控制，主要是通過(guò)判斷 計(jì)算機(jī)間的互相通信是否正常來(lái)判斷的。一 般來(lái)說(shuō)，只要執(zhí)行 MS-DO窗口下的ping命 令即可ICMP協(xié)議 控制規(guī)則系統(tǒng)對(duì)icmp協(xié)議的控制，主要是通過(guò)判斷計(jì) 算機(jī)間的互相通信是否正常來(lái)判斷的。一般 來(lái)說(shuō)，只需要執(zhí)行 ms-dos窗口下的ping命 令即可。"禁止ping入”是指不允許其他計(jì) 算機(jī)（包括局域網(wǎng)計(jì)算機(jī)和遠(yuǎn)程計(jì)算機(jī)）用 ping命令來(lái)檢

43、測(cè)本地計(jì)算機(jī)通信狀態(tài)。“禁止ping出”是指不允許設(shè)置的對(duì)象客戶(hù)機(jī)用 ping命令來(lái)檢測(cè)其他計(jì)算機(jī)（包括局域網(wǎng)計(jì) 算機(jī)和遠(yuǎn)程計(jì)算機(jī)）的通信狀態(tài)。“禁止雙 向”同時(shí)禁止任意兩臺(tái)計(jì)算機(jī)（至少有一臺(tái) 是本地計(jì)算機(jī)）的通信檢測(cè)。設(shè)定好后，點(diǎn) 擊“添加icmp協(xié)議控制規(guī)則”按鈕，所設(shè) 定的控制將出現(xiàn)在頁(yè)面卜端的控制列表中。IP訪(fǎng)問(wèn)控 制規(guī)制ip地址輸入需要限制網(wǎng)絡(luò)使用的計(jì)算 機(jī)的ip地址或ip地址范圍。管制方式“只允許填充項(xiàng)中ip地址訪(fǎng)問(wèn) 自己，禁止其余ip地址訪(fǎng)問(wèn)” 是指，在設(shè)定的ip地址范圍內(nèi) 的計(jì)算機(jī)，每臺(tái)計(jì)算機(jī)能使用 策略生效范圍內(nèi)的計(jì)算機(jī)的網(wǎng) 絡(luò)資源，其他的計(jì)算機(jī)無(wú)法訪(fǎng) 問(wèn)該策略范圍內(nèi)的計(jì)算機(jī)

44、?！爸辉试S自己訪(fǎng)問(wèn)填充項(xiàng)中ip 地址，禁止訪(fǎng)問(wèn)其余ip地址” 是指，本策略生效范圍內(nèi)的計(jì) 算機(jī)只能訪(fǎng)問(wèn)在設(shè)定的ip地址 范圍內(nèi)的計(jì)算機(jī)的網(wǎng)絡(luò)服務(wù)， 不能訪(fǎng)問(wèn)其他計(jì)算機(jī)提供的網(wǎng) 絡(luò)服務(wù)。設(shè)定好后，點(diǎn)選“添 加ip訪(fǎng)問(wèn)控制規(guī)則”，所設(shè)定 的控制將出現(xiàn)在頁(yè)面卜端的控 制列表中。以上各種選項(xiàng)在設(shè) 定后，如果需要去掉，只要在 控制列表中，點(diǎn)選，然后點(diǎn)擊 下邊的“刪除規(guī)則”按鈕。超級(jí)IP指的是本ip不受上邊制定的所有策略的限 制。默認(rèn)內(nèi)網(wǎng)管理服務(wù)器IP為超級(jí)IP超級(jí)端 口指本端口和所對(duì)應(yīng)的服務(wù)不受上邊制定的所 有策略的限制表2-協(xié)議防火墻策略參數(shù)說(shuō)明策略實(shí)例: 如下圖所設(shè)置的一個(gè)樣例表示：只開(kāi)放本地計(jì)算機(jī)

45、的 80 端口；只允許該IP地址段中的IP訪(fǎng)問(wèn)本地計(jì)算機(jī)；禁止 其他計(jì)算機(jī)ping入。圖2-協(xié)議防火墻策略注意事項(xiàng)：1.此策略需要管理員對(duì)網(wǎng)絡(luò)協(xié)議和計(jì)算機(jī)端口有一定的 認(rèn)識(shí)，請(qǐng)慎重制定。通過(guò)對(duì)端口和協(xié)議對(duì)計(jì)算機(jī)用戶(hù)的網(wǎng) 絡(luò)操作進(jìn)行監(jiān)管。注冊(cè)表檢查策略功能說(shuō)明：監(jiān)測(cè)客戶(hù)端的注冊(cè)表內(nèi)容和該內(nèi)容的設(shè)定值， 防止注冊(cè)表被病毒或其他惡意程序修改，起到對(duì)計(jì)算機(jī)的 安全防護(hù)作用。參數(shù)說(shuō)明:參數(shù)說(shuō)明注冊(cè)表項(xiàng)名 稱(chēng)在【運(yùn)行】項(xiàng)輸入“ regedit ”然后點(diǎn) 確定。出現(xiàn)注冊(cè)表窗口，在左邊窗口顯 示的就是注冊(cè)表項(xiàng)的名稱(chēng)鍵名在注冊(cè)表窗口中，右邊窗口中的名稱(chēng)標(biāo) 題卜的內(nèi)容就是鍵名值類(lèi)型同注冊(cè)表右邊窗口的值類(lèi)型的二個(gè)選

46、項(xiàng)“ _”“ _|1 力reg_sz 、 reg_dword 、“ ”reg_binary鍵值在注冊(cè)表右邊窗口中的數(shù)據(jù)標(biāo)題下的內(nèi) 容就是鍵值檢測(cè)條件根據(jù)需要選擇相應(yīng)的條件適合操作系 統(tǒng)根據(jù)對(duì)象的計(jì)算機(jī)操作系統(tǒng)狀況進(jìn)行選 擇具體的操作系統(tǒng)控制操作如果要?jiǎng)h除注冊(cè)表項(xiàng)請(qǐng)確認(rèn)該項(xiàng)對(duì)系統(tǒng)的正常使用不會(huì)造成影響。刪除項(xiàng)會(huì)同1時(shí)刪除該項(xiàng)下的子項(xiàng)和鍵。表2-注冊(cè)表檢查策略參數(shù)說(shuō)明 圖2-注冊(cè)表注意事項(xiàng)：1.本策略只提供注冊(cè)表檢測(cè)功能，不進(jìn)行修改注冊(cè)表內(nèi)容的操作。IP與MAC?定策略功能說(shuō)明：實(shí)行IP與MAC?定。當(dāng)IP與MAC?定發(fā)生變 化時(shí)，可對(duì)其實(shí)施自動(dòng)恢復(fù)、彈出提示框、或斷開(kāi)網(wǎng)絡(luò)并 持續(xù)阻斷該計(jì)算機(jī)等控

47、制。參數(shù)說(shuō)明:參數(shù)說(shuō)明客戶(hù)端特性 設(shè)置：客戶(hù) 端IP,MAC綁 士點(diǎn)選該選項(xiàng)，才可以使用本策略的功 能。Ip與mac綁定是指客戶(hù)端計(jì)算機(jī) 在局域網(wǎng)中標(biāo)識(shí)身份的地址和計(jì)算機(jī)的 網(wǎng)卡標(biāo)識(shí)號(hào)碼的匹配。當(dāng)綁定發(fā)生 變化指客戶(hù)端計(jì)算機(jī)用戶(hù)修改了自己的 ip 地址，這時(shí)，網(wǎng)卡的 mac將丁新的ip 地址相匹配，就不能與原來(lái)的 ip地址 匹配，這就是ip、mac綁定發(fā)生變化。 系統(tǒng)根據(jù)這種情況給出4種處理方式，“不處理”、“自動(dòng)恢復(fù)”、“斷開(kāi)網(wǎng) 絡(luò)”，并且提示管理員設(shè)定的信息、“僅提示”只提示管理員設(shè)定的信息。表2-IP與MAO定策略參數(shù)說(shuō)明策略實(shí)例：圖2-IP與MAO定策略注意事項(xiàng)：1. “客戶(hù)端IP,M

48、AC綁定”選項(xiàng)絕對(duì)不能在動(dòng)態(tài) IP的設(shè)備上使用。2. 一般常規(guī)性的網(wǎng)絡(luò)應(yīng)用中，只要設(shè)定自動(dòng)恢復(fù)ip和除網(wǎng)絡(luò)管理員的賬戶(hù)其他帳戶(hù)均有效即可。殺毒軟件運(yùn)行監(jiān)控策略功能說(shuō)明：檢查客戶(hù)機(jī)是否安裝殺毒軟件，并做提示、斷開(kāi)、重啟計(jì)算機(jī)等操作。參數(shù)說(shuō)明:參數(shù)說(shuō)明若客戶(hù)端未 運(yùn)行病毒防 火墻“不處理”、“自動(dòng)重啟”當(dāng)系統(tǒng)發(fā)現(xiàn) 客戶(hù)端未安裝殺毒軟件時(shí)，將彈出管理 員設(shè)定的提示信息，并且 2分鐘后自動(dòng) 重新啟動(dòng)、“斷開(kāi)網(wǎng)絡(luò)”斷開(kāi)和網(wǎng)絡(luò)的 連接，并彈出管理員設(shè)定的提示信息、“僅提示”只發(fā)給客戶(hù)端提示信息。殺毒軟件升 級(jí)設(shè)置用于自動(dòng)升級(jí)殺毒軟件。這此功能生效 的條件是需要把殺毒軟件的升級(jí)文件放 到VRVRegionM

49、anageDistributeAntiVi rusUpdate目錄中相應(yīng)的殺毒軟件升級(jí) 文件夾中，目前支持的可升級(jí)的殺毒軟 件有北信源、macfee、瑞星、諾頓等。表2-殺毒軟件運(yùn)行監(jiān)控補(bǔ)丁分發(fā)策略、軟件分發(fā)策略請(qǐng)參照第三章北信源補(bǔ)丁及文件分發(fā)管理系統(tǒng)接入認(rèn)證策略請(qǐng)參照第六章北信源網(wǎng)絡(luò)接入控制管理系統(tǒng)和第七章北信源接入認(rèn)證網(wǎng)關(guān)。違規(guī)外聯(lián)監(jiān)控 防違規(guī)外聯(lián)策略 功能說(shuō)明：監(jiān)視違規(guī)網(wǎng)絡(luò)連接（modern號(hào)、雙網(wǎng)卡、代 理等），并對(duì)違規(guī)行為做出相應(yīng)的處理，檢測(cè)計(jì)算機(jī)的網(wǎng) 絡(luò)使用是否符合制定的原則，對(duì)不符合原則的計(jì)算機(jī)進(jìn)行 處理。參數(shù)說(shuō)明:參數(shù)說(shuō)明違規(guī)監(jiān)控設(shè) 置通過(guò)設(shè)置，檢測(cè)策略應(yīng)用的對(duì)象的客戶(hù) 端是否

50、能和外網(wǎng)通信來(lái)判斷該計(jì)算機(jī)是 否違反了管理員制定的規(guī)則?！巴饩W(wǎng)地址”選項(xiàng)，是利用系統(tǒng)的功 能，對(duì)這兩個(gè)地址，進(jìn)行檢測(cè)，當(dāng)可以 與這兩個(gè)網(wǎng)站通信時(shí)，視為本機(jī)違反策 略?！翱蛻?hù)端所限定使用的網(wǎng)段”是指，如 果客戶(hù)端訪(fǎng)問(wèn)的ip地址超過(guò)了在這個(gè) 選項(xiàng)中設(shè)置的范圍，也視為本機(jī)違反策 略。本選項(xiàng)需要填寫(xiě)ip地址范圍，范 圍中間區(qū)域用“一”來(lái)間隔。“采用探測(cè)外網(wǎng)方法”和“客戶(hù)端所限 定使用的網(wǎng)段”這兩種方法，是并列 的，單獨(dú)使用其中的一種或者兩種同時(shí) 使用都可以滿(mǎn)足您的需要。禁止使用代 理上網(wǎng)訪(fǎng)問(wèn)如果選擇這個(gè)選項(xiàng)，則瀏覽器無(wú)法使用 代理服務(wù)器訪(fǎng)問(wèn)網(wǎng)絡(luò)，該選項(xiàng)可屏蔽瀏 覽器使用內(nèi)網(wǎng)或者外網(wǎng)的大多數(shù)代理服 務(wù)。

51、探頭發(fā)現(xiàn)設(shè) 備違規(guī)后的 處理方式A:若客戶(hù)端同時(shí)連接內(nèi)外網(wǎng)，本選項(xiàng) 一般指計(jì)算機(jī)同時(shí)能夠訪(fǎng)問(wèn)單位內(nèi)部網(wǎng) 絡(luò)和外部網(wǎng)絡(luò)。在處理方式中，僅提示 方式，是指當(dāng)選定對(duì)象的用戶(hù)如果違反 了策略，將在客戶(hù)端彈出管理員設(shè)置的 提示信息。斷開(kāi)網(wǎng)絡(luò)方式，是指當(dāng)本策略啟用時(shí)，選定的策略管理對(duì)象，如果 違反了本策略，將對(duì)該計(jì)算機(jī)進(jìn)行斷離 網(wǎng)絡(luò)的處理，同時(shí)，該計(jì)算機(jī)彈出管理 員設(shè)定的提示信息。關(guān)機(jī)方式，是指當(dāng) 本策略啟用時(shí)，選定的策略管理對(duì)象， 如果違反了本策略，將對(duì)該計(jì)算機(jī)進(jìn)行 2分鐘后自動(dòng)關(guān)機(jī)的處理，同時(shí)，該計(jì) 算機(jī)彈出管理員設(shè)定的提示信息。B:若客戶(hù)端僅在外網(wǎng)，一般是指，客 戶(hù)沒(méi)有在局域網(wǎng)中，只通過(guò) modem

52、#網(wǎng) 絡(luò)設(shè)備上網(wǎng)的情況。在處理方式中，僅 提示方式，是指當(dāng)選定對(duì)象的用戶(hù)如果 違反了策略，將在客戶(hù)端彈出管理員設(shè) 置的提示信息。斷開(kāi)網(wǎng)絡(luò)方式，是指當(dāng) 本策略啟用時(shí)，選定的策略管理對(duì)象， 如果違反了本策略，將對(duì)該計(jì)算機(jī)進(jìn)行 斷離網(wǎng)絡(luò)的處理，同時(shí)，該計(jì)算機(jī)彈出 管理員設(shè)定的提示信息。關(guān)機(jī)方式，是 指當(dāng)本策略啟用時(shí)，選定的策略管理對(duì) 象，如果違反了本策略，將對(duì)該計(jì)算機(jī) 進(jìn)行2分鐘后自動(dòng)關(guān)機(jī)的處理，同時(shí)， 該計(jì)算機(jī)彈出管理員設(shè)定的提示信息。 重新接回內(nèi)網(wǎng)后進(jìn)行安全檢察，是指當(dāng) 計(jì)算機(jī)離開(kāi)本網(wǎng)絡(luò)，并且離開(kāi)后進(jìn)行了 網(wǎng)絡(luò)操作，則當(dāng)計(jì)算機(jī)回到本網(wǎng)絡(luò)的時(shí) 候，提示用戶(hù)進(jìn)行安全檢測(cè)。表2-防違規(guī)外聯(lián)策略參數(shù)說(shuō)明策略實(shí)例:圖2-防違規(guī)外聯(lián)策略當(dāng)執(zhí)行該策略的客戶(hù)端有違規(guī)外聯(lián)事件發(fā)生時(shí)，客戶(hù)端將彈出管理員設(shè)置的提示信息，如下圖所示：圖2-違規(guī)提示注意事項(xiàng)：1.當(dāng)計(jì)算機(jī)離開(kāi)本地網(wǎng)絡(luò)，并進(jìn)行過(guò)聯(lián)網(wǎng)后，回到網(wǎng)絡(luò) 僅提示安全檢查，本系統(tǒng)并不對(duì)其進(jìn)行具體的安全檢查。2.使用本策略，必須點(diǎn)選“允許探頭進(jìn)行違規(guī)聯(lián)網(wǎng)監(jiān)控”和“采用探測(cè)外網(wǎng)方法”兩個(gè)選項(xiàng)行為管理及審計(jì)、涉密檢查策略請(qǐng)參照第四章北信源主機(jī)監(jiān)控審計(jì)系統(tǒng)可移動(dòng)儲(chǔ)存管理請(qǐng)參照第五章北信源移動(dòng)存儲(chǔ)介質(zhì)使用管理系統(tǒng)主機(jī)運(yùn)維策略運(yùn)行資源監(jiān)控策略功能說(shuō)明：本策略主要針對(duì)服務(wù)器和重要主機(jī)而設(shè)計(jì)的， 網(wǎng)管人員十分關(guān)心服務(wù)器和重要主機(jī)的運(yùn)行狀況，如