啟明星辰IDS實施方案

PAGE啟明星辰IDS實施方案2013年2月

文檔信息文檔名稱啟明星辰IDS實施方案(V6075)_20130308保密級別公開文檔版本編號V1.1擬定人擬定日期復(fù)審人復(fù)審日期批準(zhǔn)人批準(zhǔn)日期更改記錄日期修改章節(jié)類型*修改描述修改人2011-3-31C模板建立2013-3-8M文檔編寫*修改類型分為C-CREATEDM-MODIFIEDD-DELETED

目錄1 項目概述 41.1 項目背景 41.2 建設(shè)目標(biāo) 42 項目管理 42.1 項目組織 42.2 分工界面 52.3 實施計劃 53 項目實施 63.1 基本網(wǎng)絡(luò)架構(gòu) 63.2 實施需求 73.2.1 設(shè)備需求 73.2.2 網(wǎng)絡(luò)需求 83.2.3 人員需求 93.2.4 策略需求 93.3 系統(tǒng)部署示意 93.4 安裝部署規(guī)劃 93.4.1 IP地址規(guī)劃 93.4.2 端口連接規(guī)劃 93.4.3 設(shè)備物理位置規(guī)劃 103.4.4 設(shè)備電源規(guī)劃 104 實施步驟 104.1 確認實施環(huán)境 104.2 到貨及加電驗收 124.3 安裝調(diào)試 134.3.1 交換機端口鏡像 134.3.2 引擎設(shè)備的安裝 134.3.3 管理中心的安裝 204.3.4 配置IDS系統(tǒng) 414.4 現(xiàn)場培訓(xùn) 474.5 系統(tǒng)聯(lián)調(diào) 474.6 項目初驗 474.7 項目終驗 475 項目培訓(xùn) 485.1 培訓(xùn)內(nèi)容 485.2 培訓(xùn)方式 495.3 培訓(xùn)流程 495.4 培訓(xùn)文檔 495.5 培訓(xùn)計劃 495.6 培訓(xùn)考核 506 項目實施風(fēng)險及常見問題 526.1 風(fēng)險應(yīng)對 526.2 常見問題及解決方法 52

項目概述項目背景XX銀行內(nèi)聯(lián)網(wǎng)入侵檢測系統(tǒng)（以下簡稱“IDS系統(tǒng)”）于XX年XX月建設(shè)完成，XX年初開始試運行，目前已進入正式運行階段。自IDS系統(tǒng)建成并投入使用以來，在異常行為檢測和防范惡意攻擊方面發(fā)揮了巨大的作用，幫助XX銀行各級科技工作人員清除了內(nèi)聯(lián)網(wǎng)上過去存在的大量蠕蟲病毒，還發(fā)現(xiàn)了很多網(wǎng)絡(luò)和系統(tǒng)方面的安全漏洞以及不安全的配置問題，大大改善了內(nèi)聯(lián)網(wǎng)的網(wǎng)絡(luò)環(huán)境，提高了內(nèi)聯(lián)網(wǎng)的安全保障水平。建設(shè)目標(biāo)通過本次項目實施，將XX分行、XX中心支行和轄內(nèi)地市中心支行安裝啟明星辰的天闐IDS系統(tǒng)，并將其納入到現(xiàn)有的內(nèi)聯(lián)網(wǎng)IDS管理體系中來，執(zhí)行XXX銀行統(tǒng)一的安全監(jiān)控策略，從而進一步完善內(nèi)聯(lián)網(wǎng)IDS系統(tǒng)，形成基于IDS系統(tǒng)的統(tǒng)一的安全監(jiān)控體系，繼續(xù)發(fā)揮IDS系統(tǒng)在保障內(nèi)聯(lián)網(wǎng)安全方面的巨大作用，使內(nèi)聯(lián)網(wǎng)的安全保障水平進一步得到提高。項目管理項目組織本項目的實施組織工作由總行項目領(lǐng)導(dǎo)組統(tǒng)一領(lǐng)導(dǎo)，項目領(lǐng)導(dǎo)組由科技司牽頭成立，相關(guān)單位領(lǐng)導(dǎo)作為組成成員，主要負責(zé)指導(dǎo)整個項目的實施工作；總行項目實施組由XX公司（以下簡稱“XX公司”）網(wǎng)絡(luò)安全部具體負責(zé)，主要組織、協(xié)調(diào)項目實施工作；各分支行節(jié)點項目實施小組由各分支行科技部門牽頭成立，負責(zé)各分支行節(jié)點的項目實施及協(xié)調(diào)工作；本項目中入侵檢測產(chǎn)品的實施工作主要由各分支行的入侵檢測系統(tǒng)管理員自行完成，其中包括入侵檢測系統(tǒng)管理控制臺和探測引擎的安裝調(diào)試，安全監(jiān)控策略制定等等，廠商實施小組在各分支行現(xiàn)場進行配合。各小組成員名單如下：總行項目領(lǐng)導(dǎo)小組：職責(zé)姓名單位職務(wù)電話組長XXX副組長XXX成員XXXXXX總行項目實施組：職責(zé)姓名單位電話手機組長XXX成員XXXXXX廠商項目實施組：廠商名稱姓名職責(zé)手機北京啟明星辰信息技術(shù)有限公司XXX項目指導(dǎo)，整體組織、協(xié)調(diào)XXX項目經(jīng)理分工界面在本項目實施過程中有三方參與該項目:實施計劃項目實施工作計劃如下。工作內(nèi)容開始時間結(jié)束時間實施單位發(fā)貨及發(fā)貨確認12月24日1月4日啟明星辰XX分行設(shè)備安裝調(diào)試及策略配置XX分行1月7日1月18日XXX1泰安市中支1月7日1月8日2萊蕪市中支1月8日1月9日1青島市中支1月7日1月8日XXX2日照市中支1月8日1月9日1聊城市中支1月7日1月8日XXX2德州市中支1月8日1月9日XX中心支行設(shè)備安裝調(diào)試及策略配置XX中心支行1月7日1月18日啟明星辰河南第一實施小組（實施期間常駐）1洛陽市中支1月7日1月8日啟明星辰河南第三實施小組2三門峽中支1月8日1月9日3焦作市中支11月14日11月15日4許昌市中支11月15日11月16日1新鄉(xiāng)市中支1月7日1月8日啟明星辰河南第四實施小組2鶴壁市中支1月8日1月9日3安陽市中支1月10日1月11日聯(lián)調(diào)測試1月21日1月25日XX公司，啟明星辰試運行1月25日7月25日XX分行、XX中心支行及轄內(nèi)地市中支項目驗收7月25日8月25日科技司，XX公司，XX分行，XX中心支行及轄內(nèi)地市中支，啟明星辰項目實施基本網(wǎng)絡(luò)架構(gòu)（網(wǎng)絡(luò)架構(gòu)及網(wǎng)絡(luò)拓撲圖。）實施需求設(shè)備需求XX分行和XX中心支行要自備用于安裝入侵檢測系統(tǒng)控制中心管理軟件的設(shè)備，設(shè)備配置要求如下：【控制中心：安裝在一臺PC之上的硬件要求】硬件形式PC操作系統(tǒng)Windows2003（支持32位與64位）/WindowsServerStandard2008（支持32位與64位）處理器最低配置：Pentium（R）Dual-CoreCPUE5200@2.5GHz2.50GHz推薦配置：四核CPU內(nèi)存最低配置：2G內(nèi)存，推薦配置：4G內(nèi)存硬盤硬盤80G以上（存放操作系統(tǒng)）網(wǎng)卡至少一個，無特殊要求其他設(shè)備N/A【數(shù)據(jù)庫安裝在一臺PC服務(wù)器上，具體硬件要求】硬件形式PC操作系統(tǒng)Windows2003（支持32位與64位）/WindowsServerStandard2008（支持32位與64位）數(shù)據(jù)庫系統(tǒng)SQLServer2005（32位/64位）/SQLServer2005Express/SQLServer2008（32位/64位）處理器最低配置：Pentium（R）Dual-CoreCPUE5200@2.5GHz2.50GHz推薦配置：四核CPU內(nèi)存最低配置：2G內(nèi)存，推薦配置：4G內(nèi)存硬盤最低120GB數(shù)據(jù)庫專用磁盤空間網(wǎng)卡至少一塊網(wǎng)卡，無特殊要求其他設(shè)備光驅(qū)、鍵盤、鼠標(biāo)、顯示器【W(wǎng)eb瀏覽器，具體硬件要求】硬件形式PC瀏覽器類型IE6.0/IE7.0/IE8.0/Firfox3.x（默認允許運行ActiveX）處理器N/A內(nèi)存內(nèi)存2G以上，建議4G。硬盤N/A網(wǎng)卡至少一塊網(wǎng)卡，無特殊要求其他設(shè)備鍵盤、鼠標(biāo)、顯示器注意：推薦您最好專機專用，安裝Datacenter的機器不要作為其他用途。網(wǎng)絡(luò)需求XX分行和XX中心支行局域網(wǎng)上部署3臺入侵檢測引擎和安全監(jiān)控中心服務(wù)器1臺，需要以下的網(wǎng)絡(luò)環(huán)境支持：IP地址分配：需要4個空閑IP地址。IP地址應(yīng)用設(shè)備數(shù)量IP數(shù)量IP說明監(jiān)控中心服務(wù)器11監(jiān)控中心服務(wù)器IP要求與總行監(jiān)控中心、本地局域網(wǎng)探測引擎、所轄地市中支監(jiān)控平臺可以互通。探測引擎33共計4交換機：與探測引擎連接的交換機具有多對一的鏡像功能。與探測引擎連接的交換機預(yù)留2個空閑端口，其中同時連接監(jiān)控中心和1個探測引擎的交換機預(yù)留3個空閑端口。防火墻：在監(jiān)控中心服務(wù)器與總行監(jiān)控中心、本地局域網(wǎng)探測引擎、所轄地市中支監(jiān)控平臺之間通信存在防火墻時，需要打開相應(yīng)的通訊端口，保證通信暢通，具體端口見下表：序號源IP→目的IP端口協(xié)議用途備注1控制中心→網(wǎng)絡(luò)引擎20001TCP引擎監(jiān)聽，接受控制中心管理必選2總控制中心→子控制中心50000TCP控制中心監(jiān)聽，接受上級控制中心連接必選3網(wǎng)絡(luò)引擎→控制中心

控制中心→網(wǎng)絡(luò)引擎

子控制中心→總控制中心

總控制中心→子控制中心50002TCP控制中心監(jiān)聽，接受web控制中心和引擎的連接。（通訊為雙向）必選4控制中心或PC→網(wǎng)絡(luò)引擎22TCP引擎監(jiān)聽，SSH遠程管理可選5控制中心→數(shù)據(jù)庫

報表系統(tǒng)→數(shù)據(jù)庫1433TCPSQLServer監(jiān)聽，采用遠程數(shù)據(jù)庫作為控制中心、報表系統(tǒng)的后臺

數(shù)據(jù)庫時，需要防火墻開放本端口可選6控制中心→SNMP接收工具162UDPSNMPTrap響應(yīng)，向SNMP接收工具發(fā)送報警信息可選7SNMP客戶端→控制中心161UDP控制中心監(jiān)聽SNMP查詢可選8引擎IP→日志服務(wù)器514UDP發(fā)syslog信息可選9客戶端→控制中心443TCPhttps訪問web控制中心必選10客戶端→控制中心80TCPhttp訪問web控制中心可選機架：為3臺探測引擎提供足夠的機架位置。人員需求在實施過程中，XXX分行和XXX中心支行至少需要兩名技術(shù)人員配合完成工程實施。一名為負責(zé)項目實施的主管處長，一名為技術(shù)骨干，分別負責(zé)項目實施的管理、控制，并及時協(xié)商解決所轄實施節(jié)點在項目實施中的各種問題。策略需求在項目實施前，實施人員應(yīng)會同用戶方相關(guān)人員對IDS要啟用的策略進行調(diào)研。系統(tǒng)部署示意安裝部署規(guī)劃IP地址規(guī)劃地址范圍使用對象備注端口連接規(guī)劃設(shè)備名稱本端接口對端接口對端設(shè)備名稱備注設(shè)備物理位置規(guī)劃項目實施前，實施人員需要根據(jù)設(shè)備的尺寸、類型及用戶方機房內(nèi)機架的實際使用情況規(guī)劃設(shè)備的物理位置。設(shè)備名稱設(shè)備類型設(shè)備尺寸機架位置備注設(shè)備電源規(guī)劃項目實施前，實施人員需要根據(jù)設(shè)備的電源數(shù)及功率，以及用戶方機房內(nèi)每個機架內(nèi)的電源功率使用情況進行規(guī)劃。實施步驟確認實施環(huán)境在項目開始實施之前，需要XXX分行、XXX中心支行和轄內(nèi)地市中支的技術(shù)人員配合啟明星辰的實施人員對實施的環(huán)境進行檢查，確認是否具備項目實施條件。序號安裝條件條件參數(shù)是否符合條件備注機房的相對濕度和溫度標(biāo)準(zhǔn)相對濕度：5%至95%溫度：0至+55攝氏度是□否□機架空間占機架空間為2U430×390×88是□否□電源參數(shù)220V/50HZ,3.0A(最大),250W(最大)，國標(biāo)電源插座。是□否□安裝控制中心軟件PC機硬件要求：CPU：最低配置：Pentium（R）Dual-CoreCPUE5200@2.5GHz2.50GHz推薦配置：四核CPURAM：2G硬盤：120G以上的剩余空間網(wǎng)卡：百兆或千兆電口網(wǎng)卡輔件：光驅(qū)、鍵盤、鼠標(biāo)軟件要求：操作系統(tǒng)：Windows2003（支持32位與64位）/WindowsServerStandard2008（支持32位與64位）是□否□IP地址分配管理控制中心和探測引擎各分配一個IP地址，確保兩個IP地址可以互相通訊。是□否□交換機端口分配建議分配3個端口給天闐IDS系統(tǒng)，探測引擎抓包口、探測引擎報警口和安裝管理控制中心的PC機的網(wǎng)口各一個端口；如果交換機端口不夠用，最少要保證有一個端口，用于做交換機鏡像口，連接探測引擎抓包口，而探測引擎報警口和管理控制中心PC機的網(wǎng)口可以連接在其他交換機上，或者可以通過交叉網(wǎng)線直連。是□否□交換機鏡像交換機必須支持多對一鏡像，就是同時把多個端口的數(shù)據(jù)鏡像到某一個端口。在IDS實施前交換機鏡像必須設(shè)置完成。是□否□端口開放天闐威脅檢測與智能分析系統(tǒng)管理控制中心與網(wǎng)絡(luò)引擎可處于不同網(wǎng)段或網(wǎng)絡(luò)，但是必須處于連通狀態(tài)。例如：當(dāng)跨網(wǎng)段連接時，管理控制中心主機的IP地址需要配置上相應(yīng)的網(wǎng)關(guān)；當(dāng)管理控制中心所在網(wǎng)絡(luò)與網(wǎng)絡(luò)引擎所在網(wǎng)絡(luò)之間存在防火墻時，需要開放相應(yīng)端口，以保證管理控制中心和引擎可以正常連接。是□否□到貨及加電驗收根據(jù)合同要求，需要對送達現(xiàn)場的產(chǎn)品進行到貨驗收，保證送達產(chǎn)品符合合同要求。產(chǎn)品在各地接收后，保持外包裝的完整性。在廠商的工程師到達現(xiàn)場后，共同進行產(chǎn)品的到貨驗收。設(shè)備到貨驗收標(biāo)準(zhǔn)如下：開箱前，檢查產(chǎn)品外包裝是否良好;開箱檢查產(chǎn)品外觀是否良好;產(chǎn)品型號是否正確;產(chǎn)品數(shù)量是否正確;產(chǎn)品配件是否齊全;產(chǎn)品版本是否正確。到貨驗收完成后，按照產(chǎn)品安裝要求，將產(chǎn)品安裝至機架，并連接電源進行設(shè)備加電驗收。加電驗收標(biāo)準(zhǔn)如下：設(shè)備加電是否運行正常；設(shè)備指示燈是否正常；設(shè)備配置是否達到說明書要求。安裝調(diào)試在本項目實施過程中，安裝調(diào)試工作的主要內(nèi)容包括：交換機端口鏡像由于XXX分行、XXX中心支行及轄內(nèi)地市中支以前部署過IDS系統(tǒng)，內(nèi)聯(lián)網(wǎng)主備核心交換機和其他需要監(jiān)控的交換機上的端口鏡像可能已經(jīng)完成，這種情況下此步驟可以省略；個別沒有完成端口鏡像的單位，需要網(wǎng)絡(luò)管理人員配合在內(nèi)聯(lián)網(wǎng)主備核心交換機或是其他需要監(jiān)控的交換機上做端口鏡像。引擎設(shè)備的安裝在這部分里主要介紹的是硬件引擎的安裝、設(shè)置、如何接入到網(wǎng)絡(luò)中以及必要的配置操作。1、超級終端安裝及設(shè)置1）超級終端安裝“超級終端”是Windows9x、WindowsNT及Win2k下的程序，是Microsoft操作系統(tǒng)中的一個常用組件。它能夠通過串行或并行端口接受或發(fā)送ASCII碼信息?！俺壗K端”具有反卷功能，此功能使用戶能夠看到已經(jīng)滾動出屏幕的已接收文本。超級終端安裝有兩種方式：在安裝Windows95/98/2000/NT/XP操作系統(tǒng)時，選中“通訊”選項中“超級終端”選項。在安裝Windows95/98/2000/NT/XP操作系統(tǒng)時沒有安裝“超級終端”，可以通過Windows95/98/2000/NT/XP的“控制面板”的“添加/刪除程序”項安裝“超級終端”。2）超級終端啟動啟動超級終端程序，(以windows2000advancedserver為例)。如下圖所示：然后需輸入新建連接名稱—輸入相應(yīng)名稱。如下圖所示：選擇COM1口還是選擇COM2口，應(yīng)根據(jù)通訊線所連接到控制中心PC的COM口號來確定。建議連到COM1口。端口設(shè)置每秒位數(shù)（B）項選擇“9600”，其它速率無效；數(shù)據(jù)位（D）項選擇“8”；奇偶校驗（P）項選擇“無”；停止位“S”項選擇“1”；數(shù)據(jù)流控制（F）項選擇“硬件”。如下圖所示：圖5-6超級終端設(shè)置選擇“文件”菜單中的“屬性”選項，顯示如下圖所示畫面。如果你不想看滾動出屏幕的信息，請把“反卷緩沖區(qū)行數(shù)（B）”設(shè)為“0”。按“設(shè)置”按紐，顯示屏幕如下圖所示：按“ASCII碼設(shè)置（A）...”按紐，使用默認設(shè)置即可，顯示屏幕如下圖所示：2、引擎配置天闐引擎利用超級終端進行基本設(shè)置，配置好超級終端以后，回車進入引擎啟動畫面。如下圖所示：輸入用戶名：adm，回車后再輸入正確的密碼(出廠密碼設(shè)置為venus70)后進入如下圖所示：基本功能介紹及對應(yīng)命令配置選項：【功能1】：顯示當(dāng)前設(shè)置顯示當(dāng)前配置信息。包括產(chǎn)品ID號、設(shè)備序列號、授權(quán)信息、通訊網(wǎng)口的IP地址、子網(wǎng)掩碼、路由配置等信息；“IDS#”模式下命令:showconfig；【功能2】：更改IP地址/子網(wǎng)掩碼更改通訊網(wǎng)口的IP地址及子網(wǎng)掩碼。引擎的IP地址及子網(wǎng)掩碼請向網(wǎng)絡(luò)管理員申請?！癐DS(config)#”模式下應(yīng)命令:ipaddress；【功能3】：重置引擎認證密鑰可以重置控制中心與引擎認證密鑰，當(dāng)引擎與不同于原控制中心的另外控制中心相連時必須重置密鑰?！癐DS(config)#”模式下命令:resetvcecommkey；【功能4】：更改路由配置可以添加和更改原有路由配置，輸入路由總條數(shù)(如輸入0則表示刪除當(dāng)前所有路由)，如果設(shè)置錯誤可以直接按“q”退出原來的路由信息不會改變）。“IDS(config)#”模式下命令:routeadd|del；舉例：添加路由輸入目的子網(wǎng)網(wǎng)絡(luò)地址：如果想要與192.168.5.網(wǎng)段的主機進行通訊則輸入。輸入目的子網(wǎng)掩碼地址:。輸入網(wǎng)關(guān)IP地址：與要設(shè)定路由的網(wǎng)口地址在同一個網(wǎng)段內(nèi)。IDS(config)#routeadd/24刪除路由：IDS(config)#routedel；【功能5】：更改串口登錄口令可更改網(wǎng)絡(luò)引擎密碼。網(wǎng)絡(luò)引擎密碼數(shù)為7位任意數(shù)字或字符。新密碼輸入多于7位時，取前7位作為新密碼；新密碼輸入少于7位時，新密碼無效，舊密碼仍然有效。步驟如下：①先輸入舊密碼②輸入新密碼③確認新密碼注：（1）新網(wǎng)絡(luò)引擎出廠時密碼統(tǒng)一為“venus70”，請注意更改。（2）密碼設(shè)置不要過于簡單，以免被盜用。“IDS(config)#”模式下命令:adm-set-new-password；【功能6】：打開和關(guān)閉SSH登錄用于打開是否支持通過SSH登錄本配置界面，缺省為打開?！癐DS(config)#”模式下命令:allowaccesssshenable/disable；【功能7】：允許和禁止Ping入打開后可以使設(shè)備管理口被ping通?！癐DS(config)#”模式下命令:allowaccesspingenable/disable；【功能8】：用戶自定義通訊端口用戶自定義通訊端口可以修改引擎的通訊端口，缺省為20001，當(dāng)20001端口被占用時可以修改成其他的數(shù)值。“IDS(config)#”模式下命令:setvcecommxxx（xxx表示端口號）；【功能9】：設(shè)置網(wǎng)口協(xié)商模式“IDS(config)#”模式下命令:setif-parametersxxx（xxx表示網(wǎng)卡名）；舉例：設(shè)置網(wǎng)卡ge1/2的協(xié)商模式為自協(xié)商設(shè)置網(wǎng)卡ge1/2的協(xié)商模式為非自協(xié)商，1000，全雙工【功能10】：授權(quán)管理顯示授權(quán)類型，激活時間，過期時間，授權(quán)結(jié)果，流量檢測是否授權(quán)，虛擬引擎是否授權(quán)，專業(yè)WEB服務(wù)器攻擊檢測是否授權(quán)，抓包口總數(shù)。“IDS#”模式下命令:showlicense；【功能11】：用戶自定義抓包口：根據(jù)用戶需要調(diào)整網(wǎng)口的抓包口，管理口和備用管理口不能調(diào)整為抓包口。“IDS(config)#”模式下命令:setcapcomm；【功能12】：重啟引擎操作系統(tǒng)“IDS#”模式下命令:reboot；輔助選項：【功能13】：PING測試PING測試，用于測試指定IP地址是否存在活動主機，提示信息為“連接正常”或者“連接異?！薄！癐DS#”模式下命令:pingA.B.C.D(A.B.C.D表示IP地址)；【功能14】：TRACEROUTE測試TRACEROUTE測試，用于測試引擎能否成功路由到指定IP。“IDS#”模式下命令:tracerouteA.B.C.D(A.B.C.D表示IP地址)；【功能15】：顯示引擎版本顯示當(dāng)前引擎的版本信息。“IDS#”模式下命令:showversionpacket；恢復(fù)選項：【功能16】：顯示控制中心IP地址“IDS#”模式下命令:showconnect；退出選項：【功能17】：退出串口配置程序退出串口配置程序；如果不退出，用戶可以通過串口無需登錄而直接操作串口配置“IDS#”模式下命令:exit；注：超級終端不能用窗口右上腳的關(guān)閉按鈕直接關(guān)閉，因為這樣只關(guān)閉了“超級終端”的界面，而超級終端與探測引擎的通訊并未關(guān)閉。因此，每次更改探測引擎的基本參數(shù)后，必須用從命令行正常退出。初始應(yīng)用第一次安裝應(yīng)該配置引擎通訊IP地址，出廠缺省地址為：00；如果控制中心和引擎是跨網(wǎng)段控制，需要設(shè)置相關(guān)路由信息。當(dāng)重新安裝了控制中心或更改了控制中心的主機地址，需要使用“重置引擎認證密鑰”的命令來清除原來的認證信息，保證和新的控制中心建立認證關(guān)系。3、引擎抓包口接入位置1)檢測引擎在實際網(wǎng)絡(luò)中通常通過鏡像方式接入的位置：a)網(wǎng)絡(luò)邊界處交換機；b)重點服務(wù)器區(qū)域出口的交換機；c)核心交換機。2)檢測引擎接入網(wǎng)絡(luò)的原則：a)保證實際網(wǎng)絡(luò)流量小于或接近檢測引擎的處理能力；b)接入點能夠覆蓋到被保護的機器。管理中心的安裝1、天闐控制中心安裝打開天闐入侵檢測與管理系統(tǒng)控制中心的安裝光盤，您會看到一個Autosetup程序，啟動程序后，出現(xiàn)如下界面點擊“安裝天闐入侵檢測與管理系統(tǒng)”出現(xiàn)如下頁面：安裝光盤分為兩部分：SQLServer2005Expressedition數(shù)據(jù)庫：這是微軟提供的桌面版的小容量數(shù)據(jù)庫，用來進行存放天闐入侵檢測與管理系統(tǒng)V6.0控制中心所需的數(shù)據(jù)結(jié)構(gòu)和產(chǎn)生的相關(guān)事件日志信息，最大存儲容量為4G。如需要更大的存儲空間或更高效的數(shù)據(jù)庫管理能力，建議采用獨立的企業(yè)級數(shù)據(jù)庫天闐入侵檢測與管理系統(tǒng)V6.0：這部分包含天闐入侵檢測與管理系統(tǒng)相關(guān)的控制中心，可以安裝在一臺高性能的計算機上。下面分別介紹這幾部分具體安裝過程。SQLServer2005Expressedition數(shù)據(jù)庫如果機器上沒有安裝過SQLServer2005Expressedition數(shù)據(jù)庫的客戶端軟件，天闐入侵檢測與管理系統(tǒng)V6.0在安裝到導(dǎo)庫步驟時將無法正常運行，您可以找到SQLServer2005Expressedition這一項來安裝數(shù)據(jù)庫。安裝步驟分為兩步，第一步安裝數(shù)據(jù)庫系統(tǒng)，第二步安裝數(shù)據(jù)庫管理系統(tǒng)。（在安裝數(shù)據(jù)庫前，請用戶確定是否安裝Mframework2.0以上版本、windowsInstaller3.1(KB893803)補丁，沒有安裝請用戶安裝Mframework2.0、windowsInstaller3.1(KB893803)補丁成功后才能開始安裝SQLServer2005Expressedition數(shù)據(jù)庫。）安裝SQLServer2005Expressedition步驟如下：點擊“SqlServer2005Express”，勾選“我接受許可條款和條件（A）”，如下圖所示：點擊“下一步”按鈕，進入安裝必備組件界面，如下圖所示：點擊上圖中“安裝”按鈕，進入必備組件安裝界面，如下圖所示：必備組件安裝完成后，界面變成如下圖所示點擊上圖的“下一步”按鈕，進入數(shù)據(jù)庫安裝向?qū)Ы缑?。如下圖所示。點擊上圖界面中的“下一步”按鈕，進入系統(tǒng)配置檢查界面，如下圖：點上圖界面中的“下一步”按鈕，進行繼續(xù)安裝。安裝程序準(zhǔn)備程序完成后點擊“下一步”按鈕，進入注冊信息界面，如下圖。注：上圖中把“隱藏高級配置選項”默認為選中修改為不選中“隱藏高級配置選項”。點擊上圖中的“下一步”按鈕，進入選擇安裝程序功能，如下圖所示。點擊上圖中的“下一步”按鈕，進入安裝默認實例界面，如下圖所示。注：上圖中選擇默認實例點擊上圖中的“下一步”進入服務(wù)賬戶配置界面，如下圖所示。注：圖中使用內(nèi)置系統(tǒng)帳戶：本地系統(tǒng)。點上圖中的“下一步”按鈕，進入身份驗證模式配置界面，如下圖：注：混合模式中輸入密碼在安裝天闐V6.0控制中心到導(dǎo)庫步驟時需要輸入用戶名為sa對應(yīng)的密碼，該密碼請牢記。點擊上圖中的“下一步”按鈕，進入排序規(guī)則設(shè)置界面，如下圖。點擊“下一步”按鈕，進入配置選項界面，如下圖點擊“下一步”按鈕，進入錯誤和使用情況報告設(shè)置界面，如下圖：點擊“下一步”按鈕，進入準(zhǔn)備安裝界面，如下圖：圖4-17點擊“安裝”按鈕，進行安裝。點擊“下一步”按鈕，進入安裝完成界面，如下圖：點擊界面中的“完成”按鈕，數(shù)據(jù)庫安裝成功。安裝MicrosoftSQLServerManagementStudioExpress數(shù)據(jù)庫管理系統(tǒng)步驟如下：點擊“MicrosoftSQLServerManagementStudioExpress”管理軟件進入安裝界面。點擊“下一步”按鈕，進入許可協(xié)議配置界面，如下圖：圖4-21選擇“我同意許可協(xié)議中的條款（A）”項后，點擊界面中的“下一步”按鈕，如下圖：點“下一步”按鈕，進入功能選擇配置界面，如下圖：進行路徑的選擇后，點擊“下一步”按鈕，進入準(zhǔn)備安裝界面，如下圖：點擊“安裝”按鈕，進入安裝。點擊“下一步”按鈕，進入安裝完成確認界面，點擊“完成”按鈕后，數(shù)據(jù)庫管理軟件安裝成功。注：1、數(shù)據(jù)庫管理軟件安裝完成后打開程序MicrosoftSQLServer2005—>配置工具SqlServer配置管理器SQLServerConfigurationManagerSQLServer2005網(wǎng)絡(luò)配置SQLEXPRESS的協(xié)議中的TCP/IP狀態(tài)為已啟用，如果是禁用狀態(tài)，請將該狀態(tài)改為已啟用，在SQLServer2005服務(wù)選擇SQLServer(MSSQLSERVER)右鍵選擇重新啟動。2、數(shù)據(jù)庫安裝完成并重啟服務(wù)后查看打開控制面板性能維護管理工具服務(wù)，查看SQLServer(MSSQLSERVER)服務(wù)，點擊到登陸頁面查看登陸身份是否為本地系統(tǒng)如果不是請調(diào)整到本地服務(wù)，請看下圖所示天闐入侵檢測與管理系統(tǒng)安裝安裝天闐入侵檢測與管理系統(tǒng)V6.0控制中心之前保證數(shù)據(jù)庫正確安裝完成。注：使用SQLSERVER數(shù)據(jù)庫時，如果用戶準(zhǔn)備使用網(wǎng)絡(luò)數(shù)據(jù)庫服務(wù)器本機可以不裝數(shù)據(jù)庫，但需要注意的是本機必須有SQLSERVER的客戶端工具，能支持建立SQLserver類型的ODBC數(shù)據(jù)源，否則在后面建立數(shù)據(jù)庫的時候?qū)o法完成。在安裝完數(shù)據(jù)庫或數(shù)據(jù)庫客戶端后將進入天闐入侵檢測與管理系統(tǒng)V6.0控制中心的主安裝界面。如下圖所示：點擊“下一步”按鈕，選擇接受許可證協(xié)議。點擊“下一步”按鈕，輸入用戶名和公司名稱后，點擊“下一步”后進行安裝。點擊“下一步”按鈕，進入到選擇安裝程序的路徑，可以根據(jù)用戶的需要選擇安裝路徑，如下圖：注：路徑名稱最好按照公司規(guī)定的名稱，這樣有利于跟蹤和分析，如果用戶需要更改名稱請用英文命名。IDS6075版本使用SQLSERVER數(shù)據(jù)庫，請在SqlServer界面上配置好數(shù)據(jù)庫服務(wù)器名稱、數(shù)據(jù)庫名稱、數(shù)據(jù)庫文件存儲目錄、數(shù)據(jù)庫模板文件的目錄（ACCESS模板，一般在安裝天闐系統(tǒng)的目錄下）、ODBC數(shù)據(jù)源名稱，點擊“確定”即可。如下圖：界面各部分的作用：服務(wù)器：填寫要創(chuàng)建的數(shù)據(jù)庫所在的機器名稱或ip地址?？梢允潜緳C服務(wù)器也可以是網(wǎng)絡(luò)數(shù)據(jù)庫服務(wù)器。注：默認情況下，用戶機器上只有一個實例，如果用戶的機器上有多個SQL實例，你只需要將數(shù)據(jù)庫導(dǎo)入到一個實例中，請在服務(wù)器這里填寫“IP地址\\實例名稱”。數(shù)據(jù)庫名：填寫你要創(chuàng)建的數(shù)據(jù)庫名稱。用戶ID：SQL數(shù)據(jù)庫的用戶名（默認是sa），必須輸入具有sa權(quán)限的用戶名。密碼：用光盤自帶的SqlServer2005Expressedition數(shù)據(jù)庫，創(chuàng)建數(shù)據(jù)庫時填寫的數(shù)據(jù)庫用戶的密碼為安裝SqlServer2005Expressedition時設(shè)置的密碼。注：數(shù)據(jù)庫sa用戶的密碼不能包含;'"\/特殊字符，否則會出現(xiàn)修改為包含特殊字符密碼后，無法連接數(shù)據(jù)庫。文件目錄：數(shù)據(jù)庫文件存放的位置，需要確保數(shù)據(jù)庫文件所在的分區(qū)中有足夠的磁盤空間（不小于100M，為確保用戶的系統(tǒng)能長時間正常運行，最好選擇剩余磁盤空間較大的分區(qū)，建議4G以上）。數(shù)據(jù)源→ACCESS文件：系統(tǒng)提供的原始數(shù)據(jù)庫模型文件（一個ACCESS數(shù)據(jù)庫），一般在天闐控制中心的安裝目錄下，名稱是CenterDB.mdb。數(shù)據(jù)源名稱：ODBC數(shù)據(jù)源名稱，這個數(shù)據(jù)源指向要創(chuàng)建的SQLServer數(shù)據(jù)庫，天闐系統(tǒng)通過這個數(shù)據(jù)源訪問數(shù)據(jù)庫。數(shù)據(jù)庫導(dǎo)入成功后會給出成功的提示，如下圖所示：在數(shù)據(jù)庫導(dǎo)入成功后安裝將繼續(xù)進行。點擊點擊“是”按鈕，進行配置首先進行數(shù)據(jù)庫配置，服務(wù)器的實例名稱修改為安裝數(shù)據(jù)庫PC的IP地址，如下圖：然后進行服務(wù)與端口的配置，在本機IP中填入本機的IP地址，如下圖：點擊“確定”按鈕后，彈出“配置修改成功”對話框。點擊軟件卸載在控制面板中選擇“添加或刪除程序”，找到“CybervisionThreatDetestionSystem”，點擊“刪除”。如下圖。選擇“刪除”，按照刪除向?qū)瓿杉纯?。具體需要卸載的軟件如下圖所示。如果界面提示需要重啟，請用戶重啟操作系統(tǒng)。重啟完成后請到安裝目錄下把Venustech文件夾刪除，以便于完全卸載。注：卸載時如下組件將不會隨著天闐系統(tǒng)一并卸載：snmp、數(shù)據(jù)庫，需單獨對其進行卸載。配置IDS系統(tǒng)用戶管理在瀏覽器中輸入IDS控制中心地址：https://xxx.xxx.xx.xxx/利用用戶管理員admin登錄（缺省口令為：venus70），然后為天闐系統(tǒng)添加一個配置管理員用戶,并設(shè)置可以登錄。點擊界面上的【新建】顯示如下圖所示：填入用戶名如“yangl”，選擇所在組為“配置管理員”，其他的信息根據(jù)實際情況填寫，然后點擊“確定”，一個新用戶就添加成功了。控制中心和網(wǎng)絡(luò)引擎聯(lián)調(diào)網(wǎng)絡(luò)引擎完成安裝調(diào)試后，進行控制中心調(diào)試。調(diào)試方法為：添加網(wǎng)絡(luò)引擎：【常用配置】→【組件管理】→【引擎設(shè)置】，點擊【新建】。如下圖；引擎IP輸入省局引擎IP，引擎名稱輸入省局引擎名稱。命名規(guī)則：省局+引擎。例如：北京市XX局，命名為北京市XX局引擎。點擊本地引擎列表上方的“新建”按鈕，彈出新建本地引擎對話框?？赏ㄟ^首頁的【組件狀態(tài)】，查看網(wǎng)絡(luò)引擎的狀態(tài)；如果連接狀態(tài)顯示斷開，請檢查網(wǎng)絡(luò)通訊是否正常。如果網(wǎng)絡(luò)通訊正常，請通過串口登錄到網(wǎng)路引擎上重置一下密鑰即可。策略下發(fā)【常用配置】→【組件管理】→【引擎設(shè)置】，點擊下發(fā)策略。如圖所示：選擇一個事件集，點擊【提交】。驗證測試在鏡像交換機上做ping測試，然后查看【實時事件查詢】是否有相應(yīng)的事件。級聯(lián)配置【高級配置】【系統(tǒng)配置】【級聯(lián)控制】，選中允許升級連接、接受并應(yīng)用上級控制中心下發(fā)的策略等選項。授權(quán)文件導(dǎo)入【常用配置】【組件管理】【引擎配置】，點擊授權(quán)設(shè)置。點擊瀏覽，然后選擇授權(quán)文件。點擊導(dǎo)入。查看[授權(quán)抓口數(shù)量]，為授權(quán)的數(shù)量。事件庫升級設(shè)置自動升級方式（建議此方式）【常用配置】【升級管理】【事件庫自動升級】。在設(shè)置好事件庫自動升級的相關(guān)配置后，點擊“提交”按鈕進行保存。手動升級方式【常用配置】【升級管理】【事件庫手動升級】事件庫手動升級有兩種方式：立即升級至最新版本和導(dǎo)入事件庫升級包。點擊“立即升級至最新版本”，則事件庫會升級到目前最新的事件庫版本。手動導(dǎo)入事件庫，點擊“瀏覽”按鈕，選擇事件庫所在的路徑，導(dǎo)入事件庫升級文件必須是dat格式的。點擊“升級”，則會升級到導(dǎo)入事件庫的版本，下方會顯示出相應(yīng)的運行狀態(tài)。數(shù)據(jù)庫自動維護設(shè)置數(shù)據(jù)庫維護工具可實現(xiàn)數(shù)據(jù)庫日志的自動刪除，自動備份，手動刪除和手動備份的工作。選擇開始菜單【程序】【啟明星辰】【天闐6-Web】點擊數(shù)據(jù)庫維護，出現(xiàn)如下圖設(shè)置界面，可以執(zhí)行數(shù)據(jù)庫維護工具進行自動維護設(shè)置或進行手動維護。注：自動維護可以防止數(shù)據(jù)庫過度膨脹，確保天闐工作正常。選中“使用自動維護”，選擇“自動備份”，備份時間設(shè)置統(tǒng)一設(shè)為每月1日01：00進行備份，在D盤根目錄下建立目錄：\IDSdb_bak；選中“自動收縮日志”，點擊“保存”。配置完成后，點擊“保存”才可退出。自動維護程序會在在滿足所配置的條件時自動進行數(shù)據(jù)庫維護工作。現(xiàn)場培訓(xùn)安裝調(diào)試結(jié)束后，啟明星辰的工程師為XX分行，XX中心支行及轄內(nèi)地市中支的技術(shù)人員培訓(xùn)本次項目中涉及的IDS產(chǎn)品的原理、功能、日常維護。通過培訓(xùn)讓各分支行IDS系統(tǒng)管理員了解IDS系統(tǒng)的相關(guān)知識，更好的與實施工程師共同制定合理的安全策略。系統(tǒng)聯(lián)調(diào)IDS設(shè)備安裝完成后，總控制中心與各子控制中心之間要進行系統(tǒng)聯(lián)調(diào)，確保整個系統(tǒng)運行正常。項目初驗先由XX分行、XX中心支行及轄內(nèi)地市中心支行各實施節(jié)點進行工程初驗的前期工作，主要工作內(nèi)容有：產(chǎn)品功能驗收、文檔簽署。驗收標(biāo)準(zhǔn)：產(chǎn)品功能測試是否正常；系統(tǒng)運行是否正常。項目終驗在初驗完成后，XX分行、XX中心支行及轄內(nèi)地市中心支行各實施節(jié)點根據(jù)《XX銀行內(nèi)聯(lián)網(wǎng)入侵檢測系統(tǒng)運行管理辦法》進行入侵檢測系統(tǒng)的日常管理維護，在試運行結(jié)束提交各節(jié)點試運行記錄報告。以省為單位對試運行記錄進行匯總，并由濟XX分行和XX中心支行根據(jù)全省的試運行情況進行總結(jié)，形成終驗報告，經(jīng)由與啟明星辰公司共同簽署確認后，上報總行，由總行科技司出具項目終驗報告。驗收標(biāo)準(zhǔn)：試運行期間系統(tǒng)運行是否正常；是否發(fā)揮安全防御作用。項目培訓(xùn)（根據(jù)項目具體情況修改?。┡嘤?xùn)內(nèi)容啟明星辰公司提供如下安全培訓(xùn)的內(nèi)容，并列舉了安全培訓(xùn)的培訓(xùn)目標(biāo)，供項目選擇：漏洞掃描技術(shù)培訓(xùn)理解漏洞掃描原理，明確操作系統(tǒng)漏洞和網(wǎng)絡(luò)協(xié)議漏洞產(chǎn)生原因，能處理UNIX.NT系統(tǒng)漏洞帶來的安全威脅應(yīng)急響應(yīng)與災(zāi)難恢復(fù)培訓(xùn)了解應(yīng)急響應(yīng)的背景，掌握保持業(yè)務(wù)持續(xù)的實施方法，了解應(yīng)急響應(yīng)體系的建立及執(zhí)行流程和相關(guān)案例。掌握災(zāi)難恢復(fù)的方法及等級劃分黑客攻擊與滲透測試培訓(xùn)了解如何模擬黑客使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對目標(biāo)系統(tǒng)的安全作深入的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)；了解網(wǎng)絡(luò)中所面臨的問題。Web應(yīng)用安全培訓(xùn)了解WEB安全漏洞；了解典型的針對WEB安全漏洞的攻擊，例如SQL注入攻擊、跨站腳本攻擊（XSS）等。信息安全管理培訓(xùn)嚴(yán)格來講，完整的“信息安全”概念應(yīng)包括信息的保密性、完整性、可用性三大內(nèi)容.對一個機構(gòu)、一個企業(yè)而言,要達到這三大要求，先進的信息安全技術(shù)是必須的,但要保障信息安全，僅僅依靠技術(shù)上的優(yōu)勢是遠遠不夠的。只有建立一套科學(xué)的信息安全管理體系，才能從管理上、程序上確保信息的安全。通過一個科學(xué)的信息安全管理體系的運轉(zhuǎn)，使風(fēng)險的發(fā)生概率和結(jié)果降低到可接受的水平，并采取措施保證業(yè)務(wù)不會以風(fēng)險的發(fā)生而中斷。為了使用戶相關(guān)人員能夠掌握信息安全管理體系的建立方法，我們將結(jié)合我們長期的安全工程經(jīng)驗來講述如何建立一套行之有效的信息安全管理體系。培訓(xùn)方式啟明星辰將根據(jù)客戶的需求，指定安全服務(wù)實踐經(jīng)驗豐富安全專家為客戶提供安全培訓(xùn)服務(wù)。特別注重在項目“交鑰匙”前的一對一培訓(xùn)，實現(xiàn)項目知識的順利轉(zhuǎn)移與平滑過渡。