第一篇:20060429_天珣内网安全风险管理与审计系统招标模版
天珣内网安全风险管理与审计系统投标模版 产品必要条件
1. 产品必须通过国家公安部门、国家信息安全测评认证中心、国家保密局检测通过。2. 产品必须具备升级能力,并且产品生产厂家在未来5年能够持续提供技术支持及升级服务。
3. 产品必须为国内自主产权,产品生产厂商必须为国内资本,通过国家信息安全服务2级资质(请附上相关证明文件复印件并加盖投标人公章、原厂商公章),并在福州有正式的分支机构(请附上工商、经委等主管部门证明文件复印件并加盖投标人公章、原厂商公章),能够提供厂商级的本地化服务。系统和管理功能
1. 为了尽可能避免升级给服务带来影响,升级过程应该快速而简单,升级过程中以及升级之后不要重新启动系统。
2. 由于系统本身基于数据库,因此系统应该能够提供一个对数据库的备份和恢复功能。这样当系统重新安装的时候,只需恢复原来的数据库备份即可回到初始设置状态。
3. 对于整个系统的管理和维护要尽可能简单,要支持远程web管理。
4. 系统应该具备管理员登陆日志信息,详细记录管理员的登陆管理台的使用情况,保障系统的安全。技术要求
1. 自动收集网络中客户机与服务器硬件及配置的精确信息,包括设备的CPU型号及主频、内存型号及大小、硬盘型号及大小、设备标识、主板信息等硬件信息,并可手工添加硬件设备的描述信息。
2. 控制外设的使用,如对软驱、光驱、USB移动存储、USB全部接口、打印机、Model、串口、并口、1394控制器和红外设备进行启用或禁用等操作。
3. 自动收集安装在每台计算机上的每种应用程序信息,包括安装的操作系统和应用软件种类、版本号以及安装时间等信息。
4. 可制定软件安装和进程的黑白名单,并对安装未经许可的应用软件的问题计算机进行告警、断网等处理,对运行未经许可的进程进行查杀,同时将违规日志上报服务器,并支持按条件查询。
5. 向指定客户端(用户组)分发文件,可进行后台安装(或根据软件的运行参数执行),同时将文件分发和安装的状态上报服务器,并支持按条件查询。
6. 实时监测终端设备通过model、红外设备、无线设备或蓝牙设备等进行非法外联的行为,可对其进行实时阻断、警告等处理,同时将违规日志上报服务器,并支持按条件查询。
7. 可控制移动设备(USB存储、USB光驱或USB软驱)的读、写操作,并对拷进、拷出的文件进行审计处理,同时支持违规日志的条件查询。
8. 可审计用户访问的URL地址,同时将违规日志上报服务器,并支持违规日志的条件查询。9. 检测终端设备的CPU、硬盘(含每个硬盘分区)、内存等的资源占用情况,可自主设定阈值,以确定终端系统资源占用是否达到上限,是否应该升级。
10. 基于主机方式对客户端流入、流出流量、并发连接数进行实时监测。当流量或并发连接数超过管理员设定的阈值后可进行告警、断网等处理,同时将违规日志上报服务器,并支持违规日志的条件查询。
11. 可审计终端设备上的文件内容,对于包含管理员制定的黑名单上关键字的文件可进行警告或上报服务器,并支持违规日志的条件查询。
12. 可检查终端设备的开机密码是否为弱口令、口令强度、屏保状态、密码保留周期等安全要求,并可实时监控用户或用户组权限的变化及注册表的变化,对于不符合安全要求的行为进行警告或上报服务器,并支持违规日志的条件查询。
13. 系统内建个人防火墙,可对终端设备的本地端口、远程端口、TCP、UDP、ICMP等网络应用进行全网的统一管理,并可进行IP区域的访问控制。
14. 网络客户端出现病毒、蠕虫攻击等安全问题后,做到对安全事件源客户端(或者网络)的实时、快速、精确定位,远程阻断隔离。
15. 与主流防病毒软件进行联动,可监控防病毒软件在客户端的安装情况,上报未安装杀毒软件客户端,并可远程启动杀毒软件进行病毒查杀。
16. 可对被控终端设备和非被控终端设备进行IP-MAC绑定,并实时阻断非法篡改IP或MAC地址的非法主机,或对被控终端进行IP、MAC及网关地址的恢复,同时将违规日志上报服务器,并支持违规日志的条件查询。
17. 可对未经允许、擅自接入网络的设备进行实时的警告和阻断,防止病毒传播、黑客入侵等不安全因素。
18. 可将文件或脚本统一分发到客户端的指定目录,并可以根据管理员的设置在后台运行脚本或可执行程序,同时将文件分发的状态上报到服务器,并支持日志的条件查询。
19. 针对物理隔离的内网,使用增量式补丁自动分离技术,在外网分离出已安装、未安装补丁,分类导入,即仅对内网的补丁进行“增量式”的升级,减少拷贝工作量。
20. 支持用户自定义补丁策略自由配置分发,基于客户端网络IP范围、操作系统种类、补丁检测周期、补丁类别(系统补丁、IE补丁、应用程序补丁以及网管自定义补丁类等)等制订策略,发送至客户端后统一按策略执行应用,同时将补丁分发的状态上报到服务器,并支持日志的条件查询。
21. 系统提供补丁或文件下载的代理转发技术,提高补丁下发效率,减少网络带宽的占用率,节省网络资源。
22. 自动建立补丁库,支持补丁库信息查询。针对下载的补丁进行归类存放,按照不同操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等进行归类,帮助管理人员快速识别补丁。
23. 支持对管理策略编组,并根据客户端IP范围、操作系统种类、所属区域等条件统一下发。
24. 支持管理中心的双机热备应用。
25. 支持管理中心的多级部署,并可由一级管理中心统一配置管理策略及违规报警信息的级联上报。
26. 管理中心采用IP漂移技术,支持管理中心IP地址的无缝切换。
27. 网管可以按照报警种类选择性接收系统报警信息,并提供多种报警方式通知网管。28. 可自定义报表输出的字段,提供客户端软硬件资产信息及违规事件的报表和打印功能。
29. 采用终端代理扫描技术,支持由各个VLAN中的注册客户端来发现网络中的设备信息,并上报到服务器,减小了网络复杂性带来的部署难度,并可发现安装个人防火墙的非法接入设备。
第二篇:内网安全管理系统软件技术要求
附件二
内网安全管理系统软件招标技术要求
一、产品总体要求
1、公司的资质:公司成立10年以上,具有自主研发能力,有成熟稳定的研发队伍的软件行业企业。
2、产品资质要求:必须是自主研发,稳定销售8年以上;拥有自主知识产权,通过公安部检测,获得公安部销售许可证,至少拥有以下资质证明: 公安部《计算机信息系统安全专用产品销售许可证》; 国家版权局颁发的《计算机软件著作权登记证书》; 国家版权局颁发的《计算机软件产品登记证书》;ISO9000质量管理体系认证。
3、产品实施简单,可操作性强,实施后必须保证网络稳定畅通,系统正常运行,不影响正常开展工作。
4、*至少有五家500点客户的安装实施经验。
5、有丰富的行业客户服务经验,能提供后续技术支持和维护更新等服务。
二、技术规范要求
2.1 系统要求
▲客户端操作系统支持包括:Windows98/Me/NT/2000/XP/2003/Vista/Win7/2008,必须同时支持32位及64位系统。
▲所有监控功能都能按计算机和用户两种模式实现。
▲必须支持瘦客户机、终端服务器、无盘工作站等的使用模式。
*监控系统的部署必须支持多种安装方式,包括web安装、域脚本安装、远程安装以及域组策略安装等。
*必须提供分布式服务器管理功能,并且需要支持跨区域部署管理。*必须隐藏客户端进程。
*支持与AD域的结合,可与域组织架构实时同步。管理端必须支持C/S架构登录。
客户端在离线情况下,控制及日志记录功能依然生效。
附件二
2.2 功能要求
2.2.1 基本功能
能获取计算机的基本信息,包括计算机名称,网络地址,操作系统,登录用户,当前状态等信息,以及计算机多用户登录信息的查看。
▲支持增加管理员账户并对账户权限可实现细化,如管理范围、功能权限。同时可对非系统管理员的账户可禁用、删除以及修改密码,方便权限回收。
*必须具备管理员以及审计员账户,且相互独立,并且能够提供记录管理员操作的审计平台,包括管理员登陆系统,查看日志,对内网计算机的控制等等。
*支持对各终端所设置策略的总览以及对策略的应用查询方便管理员掌握终端的策略情况,同时具有对策略的导入导出功能及复制功能。*支持邮件报警功能,可以将违规行为详细记录为日志形式并通过邮件发送至指定邮箱。*支持设定自动关机功能,提供在指定时间关机、注销及重启的功能
支持按工作时间段进行策略设置,灵活管理。
支持远程对计算机进行键盘鼠标操作锁定、关闭、重启、注销和发送通知信息等。支持对3g上网卡拨号的日志记录。
2.2.2 基本控制功能(包括基本模块及设备管控模块)
能控制计算机对本机系统设置的操作权限,包括以下多项属性,并且各项可以单独控制: *IP/MAC绑定:修改网络IP/MAC配置
控制面板:控制面板、设置屏幕属性、添加打印机、删除打印机、快速切换用户。计算机管理:设备管理器、使用磁盘管理、本地用户和组、系统服务管理、其它计算机管理。
系统:任务管理器、注册表编辑器、命令提示符、运行注册表中Run下的程序、运行注册表中Run Once下的程序
网络:修改网络属性、显示网上邻居、修改Internet选项、默认网络共享、使用网络共享、增加网络共享
其它:使用print screen键复制屏幕、系统还原、Windows自动更新
▲可以控制内网计算机对常用设备的使用权限,支持对刻录机可读不可写的控制
存储设备包括:软驱,光驱,刻录机,磁带机,可移动设备(U盘,移动硬盘,记忆棒,智能卡,MO,Zip)、便携设备(智能手机)等;支持对上面各项的单独控制。
通讯设备包括:串口、并口、USB 控制器和连接器(HUB)、SCSI接口、1394控制器红外线、PCMICA卡、蓝牙设备、MODEM、直接电缆连接、拔号连接等;支持对上面各项的单独控制。
网络接入设备:包括无线网卡,pnp网卡,虚拟网卡等;并且可以对它们单独控制。其它:声音设备,虚拟光驱,任何新设备等的使用。
▲支持USB设备的细分控制,即以下每项可单独控制,支持3G上网卡的控制。USB设备:USB 键盘、USB 鼠标、USB Modem(3G上网卡)、USB 映像设备、USB CDROM、USB 存储、USB 硬盘、USB 网卡、USB其他USB设备;支持对上面各项的单
附件二
独控制。
*支持禁止增加非系统硬盘。
*支持对Iphone等便携式设备的控制 *支持对任何其他外设的控制
*支持对无线网络的连接控制,限制禁止连接的无线网络。
对计算机的硬件变化,设备的插入拔出,存储设备变化,通讯设备变化,软件变化,系统服务变化,启动项变化,系统时钟变化,计算机名称变化,网络配置变化等能提供报警信息并作为日志记录。
2.2.3 移动存储控制
支持对内网计算机控制其对指定移动存储设备的读写权限。支持自动收集客户端上使用过的移动存储信息,并可以自定义添加备注信息。同时支持移动存储分类库,允许对移动存储进行自定义分类,按类库进行管理。支持可按照对移动存储的描述进行控制。
支持所有通过USB接口方式连接计算机的存储设备。
支持在指定计算机上使用制定移动存储设备时,自动对复制/移动的文件进行加解密控制,加密后的文档只允许在具有自动解密权限的客户端计算机处才能打开,否则打开为乱码。
支持将指定移动存储格式化成加密盘,只能在内部装了客户端的计算机处正常使用,非客户端计算机无法使用。
能够记录内网计算机使用移动存储设备的情况;包括操作时间,操作类型(插入/拔出),计算机、用户、移动存储类型等。
2.2.4应用程序管控
支持通过禁止应用程序分类或禁止应用程序名称、应用程序窗口标题的形式来禁止计算机使用非法程序。
针对应用程序更改名称或路径的情况,所做的控制必须依然生效。能自动收集客户端计算机运行过的应用程序,并支持分类管理。
支持记录所有应用程序的启动/关闭、窗口的切换标题动作;并可以按时间范围,计算机范围,应用程序名称,应用程序路径、窗口标题这几种查询条件查询。
支持通过自定义的时间范围,对单个工作人员,部门,或整个网络的计算机的应用程序使用情况进行统计;
统计结果必须有列表和图表两种显示方式;
统计方式必须包括是:按应用程序类别统计、按应用程序名称统计、分项统计(统计各组计算机的应用程序使用),按明细统计等。
2.2.5远程维护
支持远程查看网络内的客户端计算机当前运行的应用程序,进程,性能,设备管理,系统服务,磁盘管理,共享文件夹,计划任务,用户和组等。同时支持对应用程序,进程,附件二
设备管理,系统服务,共享文件夹,计划任务的控制。支持对客户端的远程控制。
支持远程文档传输,提供客户端与控制台相互传送文件的功能。必须支持经过客户端允许或密码设定才能远程控制。支持远程卸载客户端计算机上软件功能
2.2.6屏幕监控
▲屏幕历史记录的数据量:平均一帧数据量少于▲支持对指定应用程序运行过程的屏幕记录。▲支持对应用程序的变频记录。
25K 支持通过控制台实时查看员工当前工作的计算机桌面,并可将当前屏幕保存为图像,支持对终端用户登录的屏幕分屏查看。支持同时对多屏进行监视。支持扩展显示器的监视。
能记录计算机当天的屏幕历史画面,并可以按指定的计算机查看指定日期范围内的屏幕历史记录,以播放器的方式播放某一天的屏幕历史,并可将当前播放的屏幕历史另存为视频文件。
2.2.7资产管理
支持对客户端计算机的硬件和软件资产信息的统计,并支持按分组或计算机统计硬件和软件的分布情况,同时支持设置自定义查询条件。
支持自定义添加企业内的非软硬件资产信息,并支持设置自定义查询条件。
支持实时查看客户端计算机补丁情况,并允许对补丁进行修补,同时不需要另外搭建wsus服务器。
支持自动扫描计算机的系统漏洞并提供解决漏洞问题的建议。支持通过控制台集中向客户端自动分发安装程序并自动安装,或分发各种文件到指定的目录下,以及分发其它执行程序到目标计算机的功能。支持对硬件资产添加自定义信息描述。
三、可靠性要求
数据库的存储能力及维护,为节省数据库维护成本以及防止因部分数据库损坏而影响所有数据,需要对日志数据采用按天存储的功能。每天产生独立的数据库,数据库出错无法修复也只影响受损数据库所保存的当天数据。
当操作系统处于正常模式和安全模式下都能正常监控。
要求监控系统有一定的自我保护能力,不会轻易遭到破坏,并且不能自行卸载,必须通过授权才能卸载。
每个服务器支持超过3000个终端在线管理。
系统进行局域网发现时节点占用带宽不超过20Kbps。
附件二
系统进行文件分发、文件传送等操作时占用带宽不超过200Kbps。系统在局域网环境内进行一遍节点轮询占用带宽数不超过20Kbps。附注:三年免费质保,三年免费服务。产品支持570个工作站。
第三篇:无忧在线终端与内网安全管理系统用户手册
无忧在线终端与内网安全管理系统
无忧在线内网安全管理
用户手册
汕头市龙湖区长江路8号电信实业大厦17层
邮编:515041
公司电话:0754-88177799 服务热线:400-668-0255 传 真:0754-88177038
官网:http://www.xiexiebang.com
无忧在线终端与内网安全管理系统
用户手册
目 录 前言............................................................................................................................4
1.1 文档目的........................................................................................................4 1.2 读者对象........................................................................................................5 1.3 文档组织........................................................................................................5 1.4 技术支持........................................................................................................5 2 系统简介....................................................................................................................5
2.1 系统架构........................................................................................................6 2.2 系统功能........................................................................................................7 2.3 登陆账号........................................................................................................7 2.4 系统登陆........................................................................................................7 3 系统应用....................................................................................................................8
3.1 分组管理........................................................................................................8
3.1.1 客户端分组.........................................................................................8 3.1.2 自定义分组.......................................................................................10 3.1.3 自定义分组管理...............................................................................11 3.2 客户端维护..................................................................................................11
3.2.1 多机维护...........................................................................................11 3.2.2 单机维护...........................................................................................12 3.2.3 远程控制...........................................................................................13 3.2.4 远程维护...........................................................................................14 3.2.5 消息管理...........................................................................................14 3.3 策略配置......................................................................................................15
3.3.1 新建策略...........................................................................................15
3.3.1.1 资产策略................................................................................17 3.3.1.2 日志策略................................................................................19 3.3.1.3 通讯策略................................................................................20 3.3.1.4 外设控制................................................................................21 3.3.1.5 非法外联策略........................................................................22 3.3.1.6 服务进程管理........................................................................22 3.3.1.7 程序行为审计........................................................................23 3.3.1.8 存储控制................................................................................24 3.3.1.9 文件操作审计........................................................................26 3.3.1.10 上网行为控制......................................................................26 3.3.1.11 上网行为审计......................................................................27 3.3.1.12 ARP侦听策略........................................................................28 3.3.1.13 补丁分发..............................................................................30 3.3.1.14 屏幕控制..............................................................................32 3.3.1.15 软件分发..............................................................................33 3.3.1.16 802.1X....................................................................................34 3.3.1.17 防病毒..................................................................................35 3.3.1.18 客户端配置..........................................................................36
无忧在线终端与内网安全管理系统
用户手册
3.3.1.19 文件加密配置策略..............................................................37 3.3.1.20 流量控制与审计..................................................................39 3.3.1.21 客户端UI策略.....................................................................40 3.3.1.22 客户端漫游策略..................................................................40 3.3.2 策略管理...........................................................................................41 3.3.3 新建时间对象...................................................................................42 3.3.4 时间对象查询...................................................................................43 3.3.5 客户端策略查询...............................................................................43 3.3.6 节点策略查询...................................................................................44 3.3.7 统一认证用户配置...........................................................................44 3.3.8 自定义分组策略查询.......................................................................45 3.4 日志审计......................................................................................................45
3.4.1 网络行为审计...................................................................................45 3.4.2 程序行为审计...................................................................................46 3.4.3 文件访问审计...................................................................................46 3.4.4 报警日志...........................................................................................47 3.4.5 客户端系统日志...............................................................................48 3.4.6 服务器日志.......................................................................................48 3.4.7 补丁分发日志...................................................................................49 3.4.8 操作系统日志...................................................................................49 3.4.9 服务器级联日志...............................................................................50 3.4.10 移动存储日志.................................................................................50 3.5 数据查询......................................................................................................50
3.5.1 客户端查询.......................................................................................50 3.5.2 补丁库查询.......................................................................................55 3.5.3 补丁分组查询...................................................................................55 3.5.4 添加自定义软件...............................................................................56 3.5.5 查询自定义软件...............................................................................56 3.5.6 主机在线查询...................................................................................57 3.5.7 客户端综合查询...............................................................................57 3.5.8 客户端风险查询...............................................................................57 3.5.9 防病毒软件查询...............................................................................58 3.5.10 客户端流量查询.............................................................................58 3.6 查询统计......................................................................................................58
3.6.1 访问统计...........................................................................................58 3.6.2 操作系统统计...................................................................................58 3.6.3 补丁风险类型统计...........................................................................59 3.6.4 CPU类型统计.....................................................................................59 3.6.5 硬盘容量统计...................................................................................59 3.6.6 客户端内存统计...............................................................................59 3.7 服务器管理..................................................................................................60
3.7.1 服务器工作状态...............................................................................60 3.7.2 服务器配置.......................................................................................60 3.7.3 服务器参数配置...............................................................................61
无忧在线终端与内网安全管理系统
用户手册
3.7.4 本地升级...........................................................................................61 3.7.5 日志自动清除...................................................................................62 3.7.6 客户端卸载密码...............................................................................62 3.7.7 截屏路径设置...................................................................................63 3.8 服务器级联..................................................................................................63
3.8.1 上级服务器配置...............................................................................63 3.8.2 下级服务器配置...............................................................................63 3.8.3 登陆下级服务器...............................................................................64 3.8.4 策略分发...........................................................................................64 3.8.5 下级服务器策略查询.......................................................................64 3.9 用户管理......................................................................................................65
3.9.1 添加账户...........................................................................................65 3.9.2 账户管理...........................................................................................66 3.9.3 添加角色...........................................................................................67 3.9.4 角色管理...........................................................................................67 3.9.5 修改密码...........................................................................................68 3.10 下载............................................................................................................69
3.10.1 客户端管理.....................................................................................69 3.10.2 组态报表.........................................................................................70 3.11 帮助............................................................................................................75
3.11.1 激活产品.........................................................................................75 3.11.2 关于.................................................................................................76前言
本安装手册主要介绍无忧在线内网安全管理系统架构、配置、使用和管理。通过阅读本文档,用户可以了解无忧在线内网安全管理系统的基本设计思想,并配置和使用无忧在线内网安全管理系统。
本章内容主要包括: 本文档的用途
阅读对象
本文档的组织结构 本文档的基本约定
如何联系无忧在线技术支持
1.1 文档目的
本文档主要介绍如何配置和使用无忧在线内网安全管理系统。通过阅读本文档,用户能够正确地部署和配置无忧在线内网安全管理系统。
无忧在线终端与内网安全管理系统
用户手册
1.2 读者对象
本安装手册适用于具有基本网络知识的安全管理员、系统管理员阅读,通过阅读本文档,他们
可以独自完成以下一些工作:
无忧在线内网安全管理系统的功能使用
无忧在线内网安全管理系统的策略配置下发与管理。
1.3 文档组织
本文档包括以下章节及其主要内容:
前言。介绍了本手册各章节的基本内容、文档和技术支持信息。
系统简介。介绍无忧在线内网安全管理系统 的系统组成、体系架构和一个简单的网络部署实例。
系统应用。介绍如何配置使用无忧在线内网安全管理系统。
1.4 技术支持
启越科技对于生产的安全产品提供远程的产品咨询服务,广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。
1)在线支持
官方论坛bbs.wuyouonline.com提供交互网络服务,用户及合作伙伴可以在世界的任何地方,任何时候访问 bbs.wuyouonline.com技术支持中心,获取实时的网络安全解决方案、安全服务和各种安全资料。
全国统一热线服务电话: 400-668-0255 传真: 0754-88177038 公司电话:0754-88177799 客服经理承接质量问题投诉邮箱:support@wuyouonline.com 2 系统简介
无忧在线终端与内网安全管理系统是无忧在线内网安全管理系统安全管理平台产品的重要组成部分,部署在企业的内部网络中,用于保护企业内部资源和网络的安全性。
无忧在线终端与内网安全管理系统
用户手册
无忧在线终端与内网安全管理系统可以对内部终端计算机进行集中的安全保护、监控、审计和管理,可自动向终端计算机分发系统补丁,禁止重要信息通过外设和端口泄漏,防止终端计算机非法外联,防范非法设备接入内网,有效地管理终端资产等。无忧在线终端与内网安全管理系统可以与防火墙、漏洞扫描设备进行有机联动,共同提供全网安全解决方案。
2.1 系统架构
无忧在线终端与内网安全管理系统由客户端模块、服务器模块、控制台三部分组成。客户端代理模块对终端计算机进行监控,需要部署于每台需要被管理的终端计算机上,用于收集数据信息,并执行来自服务器模块的指令。
服务器模块存储终端安全策略、终端计算机信息、漏洞补丁数据等等,并由服务器向终端计算机客户代理模块发送指令。此模块安装在具有高性能CPU和大容量内存的服务器上。
控制台采用B/S结构可以运行在网络中的任意一台计算机上,用来监控每台安装有代理模块的计算机,管理各类审计系统,制定安全策略。
系统结构如下图所示:
无忧在线内网安全管理系统子系统中各功能如下:
控制台:是对服务器进行操作的控制界面,用于监控每台安装有客户端的终端计算机,制定安全策略,下达对终端计算机的监控指令等。
无忧在线终端与内网安全管理系统
用户手册
服务器:用于管理终端计算机的资产和系统信息、漏洞补丁数据、所应用的安全策略等,并向终端计算机的客户端发送监控指令等。
客户端:安装在每台被管理的终端计算机上,用于收集终端计算机的数据信息,执行来自服务器模块的指令,完成对终端计算机的监控等。
2.2 系统功能
无忧在线内网安全管理系统桌面安全管理重点解决客户端计算机桌面安全管理和行为的审计。无忧在线终端与内网安全管理系统可以对客户端的防病毒软件的安装、运行及病毒库升级与否进行管理,可以对用户的文件、进程、上网行为等进行管理,并可以对客户端计算机上的文件、应用程序、上网行为等进行详细的审计。桌面安全管理可以分为桌面安全管理和桌面行为两个大的功能项。
2.3 登陆账号
用户使用不同的账号登陆,获得不同的用户操作权限,在用户登陆窗口输入默认的管理员账号、密码、验证码,三项输入正确无误后点击登陆进入相应的系统操作界面。
系统默认账号管理员:admin,密码:admin123; 系统默认系统操作员:operator,密码:operator123; 系统默认审计员账号:auditor,密码:auditor123; 系统默认一般用户账号:guest,密码:guest123;
2.4 系统登陆
管理员可以通过http协议以WEB访问的方式对无忧在线内网安全管理系统进行远程管理。在访问时,管理员需要在管理主机的浏览器上输入无忧在线内网安全管理系统服务器的管理URL加上端口号和路径。
http://服务器ip:8080/esms,弹出如下的登录页面:
无忧在线终端与内网安全管理系统
用户手册 系统应用
3.1 分组管理 3.1.1 客户端分组
点击“分组管理→客户端分组”会出现以下界面:
在这可以对客户端进行分组管理。选中父节点(全部分组)后,可以对组进行“新建分组”、“修改分组信息”、“删除分组”的操作。
无忧在线终端与内网安全管理系统
用户手册
选中分组时右侧会显示隶属于分组的客户端,选中右侧客户端后可以对其进行“移动”(更换到其他组)、点击“客户端自动分组”自动把“本地服务器”下的客户端分到相应ip段的新建分组里。
点击“分组管理→客户端分组→新建分组”会出现以下界面:
在“分组名称”中输入新建组的名称。
在默认分组中输入工作组所对应的起始IP到终止IP。新装的客户端会根据IP范围直接加入到指定的组中。描述中可以添加改组相应的备注。然后单击“确定”。
点击“分组管理→客户端分组→修改分组信息”会出现以下界面:
在这个界面内可以对已存在的分组信息,进行编辑、修改。
点击“分组管理→客户端分组→删除分组”(在删除前请选中要删除的分组)会出现以下对话框:
无忧在线终端与内网安全管理系统
用户手册
点击“确定”即完成删除操作。
点击“分组管理→自定义分组”会出现以下界面:
“自定义分组”中用户可以按照不用的搜索条件(如:主机名称、软件名称、操作系统类型等)对客户端进行筛选。然后对这些特殊的客户端进行查询和管理。
3.1.2 自定义分组
点击 “分组管理>>自定义分组”出现以下界面:
用户可以把用户保存不同分组,点击“保存到分组”—“选择已有分组”—“提交”,如果没有划分分组,可以先新建分组。
无忧在线终端与内网安全管理系统
用户手册
3.1.3 自定义分组管理
点击“分组管理→自定义分组管理”会出现以下界面:
用户可以在“自定义分组管理”中按照“组名”和“创建者”查询分组的情况。
3.2 客户端维护 3.2.1 多机维护
选择多个客户端点击“卸载客户端”,即可卸载安装客户端。
选择多个客户端点击“锁定”即可锁定多个客户机。
选择多个客户端点击“解锁”即可解除被锁定的多个客户机。选择多个客户端点击“断网恢复”即可使多个客户端网络恢复。
选择多个客户端点击“发送消息”。
无忧在线终端与内网安全管理系统
用户手册
发送消息时弹出如下页面:
在“主题”栏内填写要发送消息的题目,“内容”内填写要发送的内容。点击“提交”。客户端将提示:
3.2.2 单机维护
无忧在线终端与内网安全管理系统
用户手册
选择客户机点击“屏幕监视”按键即可看到客户机现在的屏幕操作。选择客户机点击“修改用户信息”,可直接对客户端的用户名进行修改。选择客户机点击“修改工作组”,可对客户端的工作组进行修改。选择客户机点击“修改主机名”
在“客户端主机名称”栏内从新给客户机命名点击“提交”按钮。
3.2.3 远程控制
选择客户机单击“远程控制”按钮即可控制客户端。
无忧在线终端与内网安全管理系统
用户手册
3.2.4 远程维护
选择客户机单击“远程维护”按钮,客户端会弹出对话框,选择允许即可控制客户端。
3.2.5 消息管理
选择,“客户端维护>>消息管理”,出现以下界面:
消息管理可以对客户端发送的消息进行查询,可以根据“客户端名称”或“消息标题”进行查询。
日志显示了,“客户端名称”、“消息标题”、“发送时间”、“状态”等。
选中要删除的消息单击“删除”按钮即可删除消息。点击消息可查看详细内容:
无忧在线终端与内网安全管理系统
用户手册
3.3 策略配置 3.3.1 新建策略
点击“策略配置→新建策略”会出现以下界面:
在“新建策略”中设置策略子项,这些子项都有一个属性的管理界面,如下图:
无忧在线终端与内网安全管理系统
用户手册
在这个属性界面中,用户可以自定义策略的名称,根据策略的具体内容做相关的描述。
策略优先级:
每条策略用户管理员都可以自定义其级别。级别越高需执行的力度越大。数字越大级别越高。默认级别为5。新建策略时必须填写策略级别。
是否启动:
这里的这个对勾是该策略的启动按钮。勾选上以后该策略才会生效。不勾选则该策略不生效。
时间对象:
用户可以根据自身的需求建立不同的时间范围。使策略在不同的时间范围内生效。可以通过“策略配置>>新建时间对象”来创建时间对象。详见1.3.3。用户场景→可启用种用户类型的管理
本地认证用户:
基于本地用户登录时所用的账号。来控制策略所执行的用户范围。本地用户系指本地计算机上开设的账户。
统一认证用户:
无忧在线终端与内网安全管理系统
用户手册
系指在网络内统一的账户服务系统,为每个用户开设一个唯一账户。例如微软的Active Directory(即常说的AD域)
本产品支持微软Active Directory和Novell的eDirectory两种LDAP账户系统。
网络场景:
设置策略在何种网络场景下生效,分为在线(和服务器联通)、离线(和服务器连接断开)、以及在线或离线的任意场景。
告警信息:
当策略被触发时可启动自动的报警与响应,管理员可以选择对客户端做如何的操作。具体的响应包括:发送消息;锁定计算机;断开网路(可设置断网时间和在断网情况下的可连接服务器IP地址);向服务器发送邮件;在客户端弹出URL地址;若802.1X认证失败后的认证恢复时间。
策略设置完成后点击“保存”保存策略。“脚本查看”是管理员用来检验判断策略是否正确。点击“重置”重新来填写属性内容。
3.3.1.1 资产策略
点击“策略配置→新建策略→资产策略”右下角的新建策略会出现以下界面:
无忧在线终端与内网安全管理系统
用户手册
并可以根据用户自己的实际环境来选择上报时间和上报内容。此策略只是负责检测客户端的软件,硬件的变化情况,不具备控制和禁止的功能,当检测到变化后会以设置的报警方式产生报警响应。
上报方式:开机上报、有变化上报、定时上报用户可以根据自己的实际情况上报方式。定时间隔:勾选定时上报,可自定义上报间隔时间,上报后保存到数据库中,以便用户实时的查询。
软件变化和硬件变化都可分别选择是否记录和报警
资产类型:可选择记录核心资产、非核心资产,此两者的内容可在自定义资产中自行选择分类。
无忧在线终端与内网安全管理系统
用户手册
选取上报自定义资产选项后,客户机将上报指定的自定义资产信息
3.3.1.2 日志策略
“日志策略”用来设定客户端记录各种日志的参数,以及日志压缩和上报。点击“策略配置→新建策略→日志策略” 的“新建策略”按钮会出现以下界面
无忧在线终端与内网安全管理系统
用户手册
用户在“日志策略”中可以选择系统需要记录的日志。包括:系统日志、调试日志、报警日志、审计日志。以及这些日志的上报间隔和日志要保存的天数。日志若选择不记录,那么上报间隔和保存时间都可以不用填写。
注意:必须开启此策略,才可查看客户机的各种日志。
3.3.1.3 通讯策略
“通信策略”用来设置客户端和服务器之间通信的间隔、通信方式等参数。点击“策略配置→新建策略→通讯策略” 的“新建策略”按钮会出现以下界面:
无忧在线终端与内网安全管理系统
用户手册
心跳间隔时间:
指客户端和服务器通行的时间间隔。超时时间是指服务器判断客户端是否掉线的时间依据。若网络连接等待超过了设置的超时时间,则系统会认为连接失败,即心跳失败。这个功能用于一些大型的网络。终端过多或者网络慢有延时的情况下,为了缓解服务器的压力,适当的可以把心跳时间调大。
注意:通信策略是基础策略,必须启用。
3.3.1.4 外设控制
“外设控制”可以控制客户端外部设备的使用许可,对客户端的违规行为做出报警响应。
点击“策略配置→新建策略→外设控制” 的“新建策略”按钮会出现以下界面:
无忧在线终端与内网安全管理系统
用户手册
可以设置控制客户端外设的使用,启用或禁用光驱、软驱、USB移动存储设备、USB全部接口、打印机、调制解调器、串、并行口、1394控制器等红外设备。
禁用后,在接受策略的客户端的设备管理器中,对应设置禁止使用的设备出现红色的小叉。
3.3.1.5 非法外联策略
“非法外联策略”对要求物理隔离的内网客户端,可以实时监控其是否能够非法连接外部网络,并产生报警响应。
点击“策略配置→新建策略→非法外联策略” 的“新建策略”按钮会出现以下界面:
用户可以选择IP探测(192.168.1.1)、IP加端口探测(如192.168.1.1:80)、域名探测(www.xiexiebang.com)来检测客户端是否非法外联。
探测周期:指服务器多长时间对客户端进行一次探测。
探测方法:可单选也可复选,三种方式都有样例,照样例输入就可以。
3.3.1.6 服务进程管理
服务进程管理”可以控制终端的应用程序进程和服务的运行状态。建立应用程序和服务的黑白名单,可以对用户的违规行为进行报警。
点击“策略配置→新建策略→服务进程管理” 的“新建策略”按钮会出现以下界面:
无忧在线终端与内网安全管理系统
用户手册
针对进程的管理:
进程名:在这填写需要控制的进程名,不需要填写进程的安装路进。例如:针对迅雷的策略就填写“thunder.exe”
是否报警:勾选上;在用户违反策略的时候客户端会报警信息。不勾选,客户端则不会弹出报警信息。
控制状态:必须运行、禁止运行、允许运行。
填写好相关信息后点击添加。在下方的列表中可以查看、删除设置。
针对服务的管理:
服务名:填写需要控制的服务名。
是否报警:勾选上;在用户违反策略的时候客户端会报警信息。不勾选,客户端则不会弹出报警信息。
填写需要控制服务的启动类型:禁止、手动、自动。
填写需要控制服务的控制状态:必须运行、禁止停止、允许运行。填写好相关信息后点击添加。在下面的列表中我们查看、删除信息。
3.3.1.7 程序行为审计
点击“策略配置→新建策略→程序行为审计”右下角的新建策略会出现以下界面:
无忧在线终端与内网安全管理系统
用户手册
审计系统进程:勾选则记录系统进程日志。不勾则不记录。
信任程序名称:系统默认记录所有进程的相关日志。在信任程序名称中填写不需要做审计的进程名。建立信任进程列表。列表内程序将不被记录。其他所有程序的运行情况将记入日志。
设置策略后,可以在软件的日志审计—程序行为中看到审计结果。
3.3.1.8 存储控制
点击“策略配置→新建策略→存储设备管理”
点击“增加新的移动设备”出现以下界面:
无忧在线终端与内网安全管理系统
用户手册
客户端接受服务器发来的经过认证的U盘列表。移动存储首先要把服务器的ip地址设置为信任站点,然后点表格中的“添加新的移动存储”,在弹出的页面中点“注册码”,在出现如下页面后再插入U盘,读取出U盘的注册码拷贝到前一个页面的注册码中,然后点提交。
点击“策略配置→新建策略→存储控制策略”右下角的新建策略会出现以下界面:
禁止的固定盘符:可直接禁止指定的盘符。
无忧在线终端与内网安全管理系统
用户手册
仅允许使用授权设备:被下发策略的客户端只允许使用授权设备,其他移动存储设备不允许使用。
移动存储设备只读:被下发策略的客户端在使用注册的存储设备时,只有只读权限。在限制使用的同时,还可以对存储设备进行审计: 审计授权设备:对指定授权的存储设备进行审计;
审计非授权设备:对非授权设备进行日志审计,在列表中可设置免于审计的设备。将策略保存后下发给相应客户端即可。
3.3.1.9 文件操作审计
点击“策略配置→新建策略→文件操作审计”右下角的新建策略会出现以下界面:
对预先指定的文件或者指定后缀的文件的复制、打开、读取、写入、删除、移动、共享、打印等事件进行监控当事件发生时,进行报警。
可以填写指定的文件名,填写的文件的全称加文件的后缀,并写入文件的绝对地址。例如:C:文档.doc;也可以用通配符*.面加要审计的文件的后缀.例如:*.doc 操作:选上是指当对文件执行选中的操作时,服务器将报警。
3.3.1.10 上网行为控制
点击“策略配置→新建策略→上网行为控制”右下角的新建策略会出现以下界面:
无忧在线终端与内网安全管理系统
用户手册
控制客户端的上网行为,可以对网站、IP地址、本地端口、远程端口做控制。并且在客户端产生报警。
标志类型:用户根据实际情况选择对终端的域名、IP地址、本地端口、远程端口做出控制。在下面的内容中填写相应的信息。在控制类型选择允许访问或者禁止访问。可在一个输入框中填写多条记录,以分号分隔。
是否报警:勾选上;在用户违反策略的时候客户端会报警信息。不勾选,客户端则不会弹出报警信息。
注意:客户端对域名进行解析后得到的IP可能不相同,如有可能,在客户端上禁止此URL的解析。例如,在hosts文件中强行写入此域名,并不得更改。支持通配符。
网页:指定网页URL。不含域名或IP地址,只包含访问路径。支持通配符。网络访问模式:指定目标IP地址、端口。以上均可定义多组。
3.3.1.11 上网行为审计
点击“策略配置→新建策略→上网行为审计”右下角的新建策略会出现以下界面:
无忧在线终端与内网安全管理系统
用户手册
该功能界面可以对终端的上网行为做审计。记录对网站和网页的访问记录。还可以自定义终端上网行为的黑白名单。1.客户端不下发本策略,则不记录上网行为;2.客户端下发列表为空的策略,则记录在案所有上网行为(仅审计HTTP协议);3.下发有列表的策略列表客户端,则记录除列表之外的其它上网操作。
标识类型:单选框,用户可以自定义域名和IP。
内容:根据选择的标识类型进行相匹配的设置。选择域名 例如:www.xiexiebang.com;选择IP 例如:202.130.196.116;
添加完的内容要点增加按钮添加到列表中。该列表为终端上网行为的白名单,即不做审计的上网行为。
策略应用成功后,可以在日志审计→程序行为中直接看到结果。
3.3.1.12 ARP侦听策略
点击“策略配置→新建策略→ARP侦听策略”会出现以下界面:
无忧在线终端与内网安全管理系统
用户手册
使用者须先了解以下概念“合法主机”、“非法主机”、“信任主机”、“超级主机”。 “合法主机”是指安装过客户端且客户端处于运行状态的终端。 “非法主机”是指客户端未运行或没有安装过客户端的终端。
“信任主机”是对于没有安装客户端或者没有执行安全策略的主机,如想不被干扰,则可以将该主机在阻断组中设置为信任主机。
IP地址和掩码配置正确的情况下,添加信任主机才有效。信任主机可以和同一子网内的合法主机相互通信,但是不能和非法主机互相通信。
“超级主机”是可以和任意的主机互相通信(包括非法主机)。
安全接入服务器自动成为超级主机。如果设置网关为信任主机,则非法主机不能连接内网,也不能和合法主机通信。如果这时网关为超级主机,则非法主机虽然不能和合法主机通信,但是可以通过网关连接外网。选项说明:
在“工作时间”处填入一个时间段,用来指定阻断生效的时间范围;
设置“干扰服务器每次发包个数”、“干扰时间”、“持续干扰时间”,可以指定
无忧在线终端与内网安全管理系统
用户手册
干扰强度,发包数越大、干扰时间越短、持续时间越长,则干扰效果越明显,但占用资源也随之增大;
只扫描:只进行对在线主机的扫描,通过扫描可以查看主机的合法性,但不进行干扰。
是否启用全网络干扰:启用全网络干扰后,非法用户将无法与合法用户进行通信,即使在干扰后安装了客户端也会永远被干扰下去。(此设置非常严格,请慎用) “主机上线不干扰时间”是指刚开机的计算机在未安装客户端程序的情况下,留出一个缓冲时间,供其到服务器上下载安装客户端,成为合法主机。超过此时间而未完成客户端程序安装的即视为非法主机予以阻断;
设置好“合法主机”、“非法主机”、“信任主机”、“超级主机”,这些主机不予阻断;
干扰未安装防病软件配置是指开启阻断后如果不安装用户指定的杀毒软件则对其进行阻断。
点击“保存”就完成该策略的新建。重要说明:
此策略使用ARP协议进行阻断,与网络环境密切相关。如果交换机上开启MAC地址与IP地址绑定或其他非MAC地址自学习方式,或者网络内部署了ARP防火墙,则此策略无法生效。
详情请向厂商工程师咨询。
3.3.1.13 补丁分发
根据客户端的补丁安装情况。用户可以自定义给客户端进行补丁的下发。还可以根据补丁的风险级别,自定义补丁的下发时间、补丁安装时间以及补丁的处理时间。
点击“策略配置→新建策略→补丁分发”会出现以下界面:
无忧在线终端与内网安全管理系统
用户手册
启用微软自动更新选项,如果选用则不用设置其他选项,因为您已经选择了使用微软的自动更新进行补丁的下载和安装。
推荐:建议不启用微软自动更新,设置以下选项,具体含义:
补丁分析频率:客户端分析服务器补丁更新的时间,已决定是否更新。 补丁下载时间:发现客户端如果需要更新的话,补丁什么时间下载。 补丁安装时间:是指补丁下载后具体的安装时间。
安装方式:对于不同风险级别的补丁,有四种安装方式可以选择:A强制 B通知 C不操作 D 静默安装。
下载方式:针对您的实际情况,我们提供三种下载方式: HTTP,FTP,FTP。 过滤选项:可设定过滤组,组内的补丁将不安装客户机上。
补丁回退分组:设定回退分组,可将已安装在客户机上的补丁进行回退(须补丁支持);
无忧在线终端与内网安全管理系统
用户手册
允许从微软下载:本产品支持从服务器上下载补丁,也可从微软网站上下载补丁。 报警风险值设定:可根据客户机上缺少补丁的风险级别决定采用什么措施。例如可设定紧急风险补丁的权重值为80%、高风险为40%、中风险为20%、低风险为10%,每种补丁的个数乘以权重值并累加,即可得知客户机的漏洞与补丁的风险总值。本策略可在输入框内输入一个风险阈值,当超出此阈值时可触发自动报警,帮助管理掌握客户机上的漏洞与补丁风险。
3.3.1.14 屏幕控制
点击“策略配置→新建策略→屏幕监控”会出现以下界面:
用户可以在“屏幕监控”中开启屏幕监控策略。可以根据实际情况来设置上报屏幕的抓图。
具体内容:
记录方式:我们提供两种:有变化记录屏幕和定时记录屏幕两种。 记录间隔:我们以秒进行设定。
上报时间:是只客户端多长时间上传一次保存图象。
图象压缩比: 结合客户端的硬盘空间和上述设置可以选择不同三种方式:高,中,低三种。
无忧在线终端与内网安全管理系统
用户手册
磁盘空间超过30MB后:在客户端上的屏幕截图存储超过30MB后,可选择删除部分最早期的图片文件或者不保存新的图片两种模式。
3.3.1.15 软件分发
点击“策略配置→新建策略→软件分发”会出现以下界面:
用来给客户端下发用户自定义软件类型、软件的分发时间以及软件的安装时间和目标存储路径。点击“保存”即完成了该策略的建立。
选择软件:所选择的软件必须是先添加到自定义软件中的,添加过程可从数据查询->添加自定义软件。具体详看相应操作。
软件下载时间:指软件具体的下发时间。
软件安装时间:指软件下发后安装的时间。
目标存放路径:如果选择默认目录或者桌面,您就不用进行其他的路径选择,如果您选择的是用户自定义的路径,则您需要手动输入路径。
软件安装方式:提供强制和通知两种,强制是不需要用户干预的(须软件本身支持)。下载方式:提供四种:HTTP,P2P,FTP,共享服务器。
无忧在线终端与内网安全管理系统
用户手册
共享目录:当下载方式选择“共享服务器”时,在这里输入共享服务器的共享目录的绝对路径地址,客户机收到软件分发策略时,可自动去指定地址寻找并下载软件,并在客户机上安装。
3.3.1.16 802.1X 点击“策略配置→新建策略→802.1X”会出现以下界面:
这个功能界面能实现,已经安装客户端程序的主机(受控主机、受信主机)允许接入网络,否则交换机将其阻断在网络之外。网络中的交换机和终端与内网安全管理系统联动,在交换级上设置好802.1X的认证服务端,账号密码,客户端通过交换机传输数据来访问网络。
交换机型号:软件支持交换机的型号。
用户名、口令:是交换机登陆时使用的用户名和口令。检测连接间隔:交换机检测客户端在线的时间间隔。
认证失败后提示:当交换机和客户端尝试建立连接失败以后,客户端会提示连接失败。重复认证次数:是指客户端与交换机断开连接之后。客户端主动和交换机进行建立连接的次数。
重复认证间隔:是指客户端交换机间隔多时间后和客户端进行连接。
无忧在线终端与内网安全管理系统
用户手册
3.3.1.17 防病毒
点击“策略配置→新建策略→防病毒软件” 的“新建策略”按钮会出现以下界面:
客户端应该安装杀毒软件来防止病毒。用户可以在这个功能界面设置相应的策略来检测客户端防毒软件的安装情况,以实现强制使用杀病毒软件来保护内网不受病毒侵袭。
检测间隔:隔多长时间服务器会对客户端的防病毒软件安装情况进行检测。
报警类型:选择“未安装——任意”客户端没有安装任何杀毒软件就会报警;“未启动”客户端没有启动任何杀毒软件
病毒库不是最新就会报警:是只要程序检测到客户端装的不是最新的防病毒软件的版本就会报警。
检测内容:.1.“检测内容”当中的“任意”,表示只要安装一种防病毒软件即可.;2.“检测内容”当中的“指定列表”,表示必须至少安装指定列表当中的一种防病毒软件。最小版本可是制定软件的具体版本号。
上报防病毒软件信息:可选择启动上报和有变化上报两种。
无忧在线终端与内网安全管理系统
用户手册
3.3.1.18 客户端配置
在“禁止修改主机ip”和“禁止修改主机名”对话框打勾,即可禁止用户本机IP地址以及主机名的修改;
启动“禁止修改主机名”,客户端将无法自行修改自己的主机名; 启用“禁止网络连接”可阻止所有网络通讯(服务器除外); 启用“禁止IE选项”可禁止用户自行修改IE属性; 启用“锁定设备管理器”可禁止用户使用设备管理器; 启用“关闭默认共享”可以关闭系统开启的网络共享; 启用“禁止发送到”可禁止在桌面菜单上使用“发送到”功能; 启用“禁用网上邻居”可禁止网上邻居的访问; 启用“禁用打开控制面板”可禁止控制面板的访问;
无忧在线终端与内网安全管理系统
用户手册
启用“禁用运行”可禁止开始菜单中的“运行”菜单;
启动“禁止非与服务器通信网卡”可禁止除与服务器通信的网卡以外的所有网卡驱动; 启用“IE设置代理服务器”可禁止客户端在IE浏览器的选项中设置代理服务器; 启动“认证失败账户锁定”,客户端进行安全接入认证失败后将被锁定,(可设置账户锁定时间、阀值和账户复位时间);
启动“同步客户端时间”,客户端的时间强制与服务器的时间同步;
防范ARP病毒,选择“绑定指定ip和mac” 和“绑定所有客户端IP和MAC”即可防止ARP病毒的干扰。前者绑定指定的主机,后者绑定网内所有合法机的IP与MAC。
3.3.1.19 文件加密配置策略
点击“策略配置—新建策略—文件加密配置策略”会出现以下界面:
用户可以根据需要设定加密密钥的方式,有以下选项“密码加密”,“硬盘特征加密”,“密码及硬盘特征加密”。
密码加密:用户设定的加密口令进行加密,只要有解密密码在任何机器都可以解开加密文件。 硬盘特征加密:根据用户硬盘特征值进行加密,此文件只能在本机解密,拿到其他机器不能解密文件。
无忧在线终端与内网安全管理系统
用户手册
密码及硬盘特征加密:前两种方式的结合,只能在本机解密,并需要密码。管理员设定用户密码加密的长度,最小长度8-30.客户端操作:
策略下发到已安装客户端机器后,根据管理员设置不同加密方式进行加密,下图使用口令加密操作方式。
用户在文件点击右键,选择加密文件,打开加密界面,用户设置加密密码,输入两次,加密长度根据管理员设定。
小提示:密码长度至少8位,请妥善保管您的密码,遗失密码可能导致改文件无法恢复,请用户设定密码时一定要记住使用的密码。
加密后的文件后缀默认为JDE。
用户根据需求一次可以选择多个文件,点击右键进行加密。
在已经加密后的文件上点击右键,在弹出的菜单上点击解密菜单项,如果该文件在加密时使用了密码,那么就弹出一个要求用户输入密码的窗口,在密码校验正确后,开始还原流程。
无忧在线终端与内网安全管理系统
用户手册
3.3.1.20 流量控制与审计
点击“策略配置→新建策略→流量控制与审计”打开配置页面。
1.用户选择“启动流量审计”,勾选后开启终端的流量审计功能。
检测间隔:终端每隔多少时间对流量进行一次审计,以每分钟做计量单位。上报间隔:终端每隔多少时间对审计过的流量对服务器上报一次。2.用户选择“启动流量控制”,勾选后开启终端的流量控制功能。
检测间隔:终端每隔多少时间对流量进行一次审计,以每分钟做计量单位。统计间隔:终端多少时间内对流量进行一次统计,如果在一定统计周期内流量超过预设的阀值,则会对终端发送告警消息,或锁屏,中断网络等行为。
流量类型:可选择上行、下行和总量。流量峰值:设置达到流量的上限。
说明:1.流量控制中的统计间隔最好为检测间隔的倍数。
4.告警消息可在“属性”中,其中有以下功能选项“弹出消息”,“锁定计算机”,“断开网络”,“服务器发送邮件”
无忧在线终端与内网安全管理系统
用户手册
3.3.1.21 客户端UI策略
点击“策略配置→新建策略→客户端UI策略”打开配置页面。
启动“主动上报自定义资产”,客户端会自动弹出收集自定义资产对话框,客户端用户根据要求输入即可; 启动“消息自动弹出”,消息下发给客户端后会在屏幕中间自动弹出,时效性高。
3.3.1.22 客户端漫游策略
点击“策略配置→新建策略→客户端漫游策略”打开配置页面。
无忧在线终端与内网安全管理系统
用户手册
IP地址:这里输入多个服务器IP地址A、B、C,将策略下发给指定客户端,当客户端在A服务器管理范围内的时候,将受到A的管理;当客户端脱离A服务器进入B服务器管理范围内时,受到B的管理。
3.3.2 策略管理
点击“策略配置→策略管理”,会出现以下界面:
用户在点击“策略管理”可以查看策略名称、创建者、策略类型、描述、最后修改时间,用户还可以在这对策略进行删除、修改和分发的操作。
点击“删除策略”即删除该条策略。
无忧在线终端与内网安全管理系统
用户手册
点击“修改策略”可以对已经建立的策略进行重新的编辑修改。点击“分发策略”会出现以下的对话框:
可指定此策略下发到哪些客户机上和哪些计算机分组上。
用户在这个界面可以再次审查策略的内容。选择要执行该策略的客户端点击“提交”即完成了该条策略的下发。
3.3.3 新建时间对象
点击“策略配置→新建时间对象”会出现以下的界面:
用户在“策略对象管理”添加时间的场景,设置“时间场景”的具体名称、描述、包含的时间段,然后点击“增加”完成“时间场景”的添加。
“增加”完成后,会直接跳转到“时间对象查询”。用户可以通过点击“对象名”对建立好的时间场景进行编辑、修改、删除。
无忧在线终端与内网安全管理系统
用户手册
3.3.4 时间对象查询
点击“策略配置→时间对象查询”会出现以下界面:
用户可以按照“对象名”、“ 创建者”、“创建时间”来查询用户已经建立的时间对象。
3.3.5 客户端策略查询
点击“策略配置→客户端策略查询”会出现以下界面:
管理员可以在“客户端策略查询”处查看每个客户端的执行策略。点击客户端名称可进入如下页面,对已经建立好的策略进行修改、删除的操作。
每个客户端所执行的策略是其组以及其组所属的根组加上客户端本身的策略。如果客户端本身和上级组的策略级别一致,则按照上级组的策略执行。
无忧在线终端与内网安全管理系统
用户手册
如果上级组的策略优先等级低于客户端本身的策略优先等级则执行最小授权。
3.3.6 节点策略查询
点击“策略配置→节点策略管理”会出现以下界面:
用户在“节点策略查询”处查看客户端组的执行策略。点击自定义的节点名称还可以对已经建立好的策略进行修改、删除的操作。
3.3.7 统一认证用户配置
如启用统一认证用户管理,须在本菜单设置统一用户服务器的相关信息。
“同步间隔”输入间隔时间如“1”小时。
“统一用户认证类型”选择novell 或者windows 域模式。 “统一用户认证服务器ip”填写域服务器的ip地址。
“统一用户认证服务器端口”题写默认的与服务器端口如:“389”。 “服务器登陆用户名”填写登陆域用户名。 “服务器登陆密码”填写登陆域用户密码。
无忧在线终端与内网安全管理系统
用户手册
3.3.8 自定义分组策略查询
点击“策略配置→自定义分组策略查询”会出现以下界面:
点击自定义分组,即可看到分组被下发的策略。
3.4 日志审计
日志审计使用“日志审计账户“登陆,用户名auditor 密码:auditor 123.3.4.1 网络行为审计
点击“日志审计→网络行为审计”会出现以下界面:
无忧在线终端与内网安全管理系统
用户手册
当用户设置并开启关于“网络规则”的策略后,系统会实时记录客户端登录网站地址、登录网站的具体时间等一些相关信息。用户管理员可以在“网络行为”中进行查询。
用户还可以根据时间情况进行有条件搜索,点击“重置”用户可以重新输入新的查询条件。可直接将结果导入导出,支持EXCEL、TXT等报表格式。
3.4.2 程序行为审计
点击“日志审计→程序行为审计”会出现以下界面:
当用户设置并开启关于程序的策略后,系统会实时记录客户端使用应用程序的相关信息。用户管理员可以在“程序行为”中做相关查询。
用户还可以根据时间情况进行有条件搜索,点击“重置”用户可以重新输入新的查询条件。可直接将结果导入导出,支持EXCEL、TXT等报表格式。
3.4.3 文件访问审计
点击“日志访问→文件访问审计”,会出现以下的界面:
无忧在线终端与内网安全管理系统
用户手册
用户对于指定文件进行修改、复制、移动、访问、恢复、创建、删除、打印、改名、共享操作的记录。可直接将结果导入导出,支持EXCEL、TXT等报表格式。
3.4.4 报警日志
点击“日志审计→报警日志”会出现以下界面:
当用户设置了“报警策略”后,系统会实时的记录客户端的每次触发报警策略时的日志。用户管理员可以在“报警日志”中查询客户端具体触发了什么报警策略,以及触发报警策略的时间等。
用户还可以根据时间情况进行有条件搜索,点击“重置”用户可以重新输入新的查询条件。可直接将结果导入导出,支持EXCEL、TXT等报表格式。
无忧在线终端与内网安全管理系统
用户手册
3.4.5 客户端系统日志
点击“日志审计→客户端系统日志”会出现以下界面:
“系统日志”记录了每个客户端登录无忧在线内网安全管理系统的时间以及客户端实时的操作日志。用户管理员可以根据不同的需要按照客户端名称、时间、日志的内容来进行有条件的查看。
点击“重置”用户可以重新输入新的查询条件。可直接将结果导入导出,支持EXCEL、TXT等报表格式。
3.4.6 服务器日志
无忧在线终端与内网安全管理系统
用户手册
“服务器日志”记录了对控制台的操作记录、消息记录例如:新建用户,建立用户时间日期,登陆、登出时间日期等。可直接将结果导入导出,支持EXCEL、TXT等报表格式。
3.4.7 补丁分发日志
记录了对客户机补丁安装的结果。可直接将结果导入导出,支持EXCEL、TXT等报表格式。
3.4.8 操作系统日志
操作系统系统日志、安全日志的详细记录。可直接将结果导入导出,支持EXCEL、TXT等报表格式。
无忧在线终端与内网安全管理系统
用户手册
3.4.9 服务器级联日志
在服务器级联配置完成后,这里就会显示服务器的级联日志。可直接将结果导入导出,支持EXCEL、TXT等报表格式。
3.4.10 移动存储日志
给客户端下发了移动存储策略后,在这里可以查看客户端使用存储日志的情况,可根据条件查询。可直接将结果导入导出,支持EXCEL、TXT等报表格式。
3.5 数据查询 3.5.1 客户端查询
点击“数据查询→客户端查询”会出现以下界面:
第四篇:内网安全管理系统7.0产品白皮书
产品白皮书
内网安全管理系统V7.0
产品白皮书
第1页
产品白皮书
目录
1.产品简介.......................................................................................................................................................1 2.产品构架.......................................................................................................................................................1 3.产品功能.......................................................................................................................................................2 4.产品特点.......................................................................................................................................................2 5.产品性能.......................................................................................................................................................3 6.产品部署.......................................................................................................................................................4
第2页
1.产品简介
内网安全管理系统是用于政府和企业终端安全管理系统。系统通过对计算机准入控制、计算机安全加固、计算机运行维护、计算机安全审计、移动存储介质注册等多个方面的综合管理,为政府和企业用户打造一个安全、可信、规范、健康的内网环境。内网安全管理系统可为用户解决如下一系列的内网安全管理问题:
确保入网终端符合要求 全面监测终端健康状况 保证终端信息安全可控 动态监测内网安全态势 快速定位解决终端故障 规范企业员工网络行为 统一内网用户身份管理 杜绝移动存储介质滥用 提高和实现软件正版化
2.产品构架
内网安全管理系统在架构设计上采用了三层管理结构:终端监控引擎、总控中心、管理控制台。
终端监控引擎以服务的形式运行于终端计算机上,是终端计算机管理的核心和基础部件,用于对被管理终端计算机的安全加固、运行维护和监测审计等管理职能。终端监控引擎的设计充分考虑了稳定性、安全性和兼容性要求。终端监控引擎可防止恶意停止,并全面兼容防病毒软件、防火墙软件、设计开发软件、业务软件、办公软件。
总控中心用于计算机的集中管理,为终端监控引擎和管理控制台提供一系列的管理服务。由策略管理服务、审计管理服务、Radius认证服务、文件备份服务、补丁与软件分发服务、时间同步服务、网络管理服务、分级管理服务、事件订阅服务、健康状态监测服务等组成。视内网规模和性能要求,这些服务可分别部署在不同的硬件平台上,也可部署在同一个硬件平台上。
管理控制台是系统管理人员提供系统管理入口。采用了B/S方式进行系统管理,通过管理控制台可以完成系统管理的全部操作。三层管理结构大大提高了系统设计开发、安装部署和运行维护的灵活性、便利性和扩展性。
图1 LanSecS®内网安全管理系统架构
3.产品功能
安全审计:提供内网主机安全事件的审计功能,包括文件操作、文档打印、共享访问、服务与进程活动、系统日志、系统账户监控等。提供终端计算机用户行为的监控与审计,包括信息泄密、资源滥用、即时通讯、邮件收发和网站访问等。
安全服务:通过预警平台、远程协助、软件及文件分发等功能实现远程桌面维护以及安全动态、桌面通知、信息发布。
安全加固:提供强大的补丁自动分发机制、病毒库自动下载机制、本地文件安全存储以及移动存储介质的认证与注册管理等功能,保证终端运行环境的安全可控,保障内网运行的可靠性。另外,还提供主机安全策略和IE安全策略的统一设置,加强主机的安全性。
资产管理:提供对内网资产和资源的集中管理能力,包括计算机、交换机、操作系统、软件、硬件,并对资产和资源的变更进行监控和预警。
准入控制:采用可信接入技术,对于接入内网的计算机进行严格的身份认证和健康检查,保证内网业务数据和系统环境的安全。
4.产品特点
完善的分级管理架构,“分散不分立”:通过分级管理,系统可实现跨地域分散部署和集中管理。“分散不分立”,形成有效的和有机的内网安全管理架构。
灵活的分权管理机制,“集中不集权”:系统提供了基于安全角色的授权管理机制,根据功能模块或行政机构的划分自定义安全角色,一种安全角色只能执行其所辖部门范围内的相应安全代理的安全策略和审计事件的管理。“集中不集权”,保证了管理的安全性。
多层次的安全措施,保证系统运行的安全可靠:系统从数据库、网络通讯、策略分发与存储等多个层面加强了安全保护,确保系统运行的安全可靠。
全方位的安全审计功能,有效地防止信息泄密:系统提供对所有输入/输出设备、文件系统、进程、服务、注册表、网络应用、用户身份、操作系统安全策略等进行综合的监控和审计,全方位的监控操作系统的运行状态以及用户的操作行为,实现涉密信息的全程审计与跟踪。
完善的基于数字证书的身份认证机制:系统内嵌身份认证服务,实现了与数字证书的完美结合,管理控制台、监控代理、总控中心以及所有系统管理用户和计算机终端用户均通过数字证书进行身份认证。
丰富、多样的统计报表功能:系统提供列表和统计图的报表输出,报表的输出支持HTML、EXCEL、PDF、RTF等四种格式。同时提供手动报表、自动报表等两种运行模式。
高度模块化设计,需求响应迅速:系统管理控制台、安全代理和总控中心均采用模块化设计,并提供用户设计、开发接口和示例,用户可以根据企业的安全需求定制采购,同时也可以根据需求的变化,在运行时动态改变其工作状态,提高系统的运行效率。
所有组件支持自动升级,系统维护方便、快捷:系统的主机代理及其功能模块均支持基于版本号的网络自动下载更新,只需要在总控中心一次部署即可以完成全网的自动升级。系统的维护和升级非常方便。
客户端监控代理安装部署方式灵活、多样: 内网安全管理系统客户端监控代理同时支持域模式安装、本地安装、网络分发安装以及WEB安装等多种安装部署方式,用户可以根据实际网络环境自由选择。
5.产品性能
内网安全管理系统主要性能指标如下:
总控中心最大并发连接数:3000;
总控中心最大可管理注册主机数量:20000台; 总控中心网络带宽占用:100K/1000客户端; 终端监控引擎CPU占用(静态模式):< 1%;
终端监控引擎内存占用(静态模式):8M。
6.产品部署
内网安全管理系统支持本地部署和分级部署,分级部署示意图如下:
图 2分级部署示意图
第五篇:北信源VRVEDP内网安全管理系统手册
特 别 声 明
本使用手册由《北信源内网安全及补丁分发管理系统》产品安装配置指导手册、用户手册、产品维护手册三部分组成,其内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版),恕不另行通知。需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。
《北信源内网安全及补丁分发管理系统》产品由《北信源内网安全管理系统》及《补丁分发管理系统》两大套件构成。 本使用手册为《北信源内网安全及补丁分发管理系统》通用说明书。若您独立购买《北信源内网安全管理系统》或《北信源补丁分发管理系统》之一产品,本说明书的其它功能将不具备。 两大套件主要区别:《北信源补丁分发管理系统》不具备违规联网监控、客户端安全管理和桌面管理功能;《北信源内网安全管理系统》不具备补丁自动分发功能。请您在使用过程中选择性阅读相应章节。
感谢您购买北京北信源自动化技术有限公司研制开发的内网安全管理及补丁自动分发系列软件。请在使用本软件之前认真阅读本使用手册,当您开始使用该软件时,北信源公司认为您已经阅读了本使用手册。
快速阅读指南
1.详细阅读本软件组件功能、组成、作用、应用构架,确切了解本软件的系统应用。2.安装准备软件环境:Microsoft SQL Server2000、Windows 2000 Server、Internet 服务管理器;建议将数据库管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理器所在机器的88端口不被占用(即非主域控制器);防火墙应允许打开88,2388,2399,22105,8900,8901,22106,22108,8889端口。3.按步骤安装各组件后,通过http://*.*.*.*/vrveis登录Web管理平台,首先对Web管理平台进行如下配置:添加区域→划分该区域IP范围→指定区域管理器→指定区域扫描器。4.5.双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。在VRVVRVEISdownload目录中,使用RegTools.exe工具修改DeviceRegist.exe文件中的本地区域管理器IP,将修改后的注册程序DeviceRegist.exe放在机构网站上进行静态网页注册,或者在机构网站上加载动态网页检测注册脚本语句,进行动态设备注册。6.系统升级:联系北信源公司获取最新的软件组件升级包,确保Web管理平台、区域管理器、客户端注册程序等组件的升级。
特别提示:默认管理员用户:admin,密码:123456;系统指定审计用户名:audit,密码:123456请注意修改。
第一章.系统介绍........................................................................................................5 1-1 产品组成............................................................................................................5 1-2 应用构架............................................................................................................7 第二章.系统安装........................................................................................................8 2-1 安装环境............................................................................................................8 2-2 安装注意事项....................................................................................................9 2-2-1 软件安装监控服务器部署注意事项.........................................................9 2-2-2 软件安装和应用过程中注意事项...........................................................10 2-3 系统组件安装..................................................................................................11 2-3-1 安装SQL server数据库.........................................................................11 2-3-2 安装WinPcap驱动模块...........................................................................11 2-3-3 安装远程技术支持模块............................................................................11 2-3-4 初始化数据库...........................................................................................11 2-3-5 安装Web中央管理平台...........................................................................14 2-3-6 安装区域管理器Region Manage............................................................15 2-3-7 配置设备扫描器模块Region scan........................................................16 2-3-8 安装补丁下载服务器模块.......................................................................17 2-3-9 安装管理器主机保护模块.......................................................................18 2-3-10 安装报警中心模块.................................................................................18 2-3-11 客户端注册及下载.................................................................................18 第三章 系统应用........................................................................................................27 3-1配置与管理.......................................................................................................27 3-1-1 区域划分...................................................................................................27 3-1-2 区域管理器配置.......................................................................................30 3-1-3 扫描器配置...............................................................................................35 3-1-4 注册程序配置...........................................................................................38 3-1-5 注册部门配置与管理...............................................................................41 3-1-6 自定义组分配与管理...............................................................................44 3-1-7 IP与MAC绑定列表..................................................................................45 3-2策略中心............................................................................................................46 3-2-1 阻断违规接入管理...................................................................................46 3-2-2 策略管理中心...........................................................................................47 3-3数据查询............................................................................................................84 3-3-1设备信息查询.............................................................................................87 3-3-1-2注册设备资产查询..................................................................................88 3-3-1-3硬件变化设备查询..................................................................................91 3-3-1-4设备安装软件查询..................................................................................88 3-3-1-5设备首次运行进程查询..........................................................................89 3-3-1-6共享目录查询..........................................................................................90 3-3-1-7设备IP占用状况列表............................................................................91 3-3-7移动设备审计查询.....................................................................................92 3-3-7安全策略违规查询.....................................................................................94 3-3-8涉密检查查询.............................................................................................95 3-3-9消息确认查询.............................................................................................96 3-3-11软件分发查询...........................................................................................97 3-3-12软件分发统计...........................................................................................97 3-4终端控制...........................................................................................................98 3-4-1终端管理:................................................................错误!未定义书签。3-4-2行为控制....................................................................错误!未定义书签。3-4-3 VPro 远程管理.........................................................错误!未定义书签。3-4-4远程协助....................................................................错误!未定义书签。3-5补丁分发...........................................................................错误!未定义书签。3-6运维信息...........................................................................................................98 3-6-1客户端流量排名......................................................................................116 3-6-2客户端流量统计......................................................................................117 3-6-3运维状态异常..........................................................................................117 3-6-4网络拓扑发现............................................................错误!未定义书签。3-7报警事件.........................................................................................................119 3-7-1报警数据查询..........................................................................................119 3-7-2图形化报警..............................................................................................123 3-7-3本地报警数据汇总..................................................................................123 3-8级联总控.........................................................................................................127 3-9统计报表.........................................................................................................133 3-10系统维护.......................................................................................................135 第四章 补丁分发管理..............................................................................................142 4-1 区域管理器补丁管理设置............................................................................142 4-2 补丁自动下载分发........................................................................................143 4-3 客户端补丁检测
(一)................................................................................148 4-4 客户端补丁检测
(二)................................................................................150 4-5.本地补丁分发综合查询..............................................................................150 4-6 补丁级联下载................................................................................................151 第五章 客户端阻断..................................................................................................153 5-1 扫描器组件配置............................................................................................153 5-2 阻断策略应用................................................................................................153 5-2-1 违规自动阻断策略.................................................................................154 5-2-2 手动设置针对设备的单独阻断策略.....................................................154 5-2-3 硬件防火墙联动阻断策略.....................................................................155 第六章 网络接入认证管理......................................................................................157 6-1 策略中心->接入认证策略->补丁与杀毒软件认证.........................................157 6-
2、策略中心->接入认证策略->进程服务注册表认证.......................................159 6-
3、策略中心->接入认证策略->802.1X接入认证认证......................................163 6-4、环境准备方法................................................................................................164 RADIUS安装与配置............................................................................................164 安装RADIUS........................................................................................................164 6-
5、各厂商交换机配置..........................................................................................177 1.Cisco2950配置方法...................................................................................177 2.华为3COM 3628配置...............................................................................178 3.锐捷RGS21配置.........................................................................................182 第七章 系统备份及系统升级..................................................................................183 7-1 系统数据库数据备份及还原........................................................................183 7-2 系统组件升级................................................................................................184 7-2-1 区域管理器、扫描器模块升级.............................................................184 7-2-2 升级网页管理平台.................................................................................184 7-2-3 客户端注册程序升级.............................................................................184 7-2-4 检查系统是否升级成功.........................................................................185 7-3 级联管理模式升级及配置............................................................................185 第八章 售后服务......................................................................................................187 第九章 附录..............................................................................................................189 附录
(一)微软SQLSERVER系统安装步骤...........................................................189 附录
(二)北信源内网管理系统名词注释........................................................195 附录
(三)移动存储设备认证工具操作说明....................................................196 附录
(四)主机保护工具操作说明....................................................................214 附录
(六)组态报表管理系统操作说明............................................................221 附录
(七)信息安全通告平台............................................................................230 第一章.系统介绍
1-1 产品组成
北信源内网安全及补丁分发管理系统由8部分组成:WinPcap程序、SQL Server管理信息库(安装包:环境初始化程序)、Web中央管理配置平台(安装包:网页管理平台)、区域管理器(安装包:Region Manage,原区域扫描器已作为模块集成到区域管理器)、客户端注册程序(安装包:注册程序)、补丁下载服务器、管理器主机保护模块、报警中心模块。
环境初始化程序:SQL Server管理信息库,建立北信源内网安全及补丁分发管理系统的初始化数据库。包括:网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册(未注册)机器信息、设备属性变化信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比,根据规则要求在管理平台上报警。
Web管理平台:Web中央管理配置平台,本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定,网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。
Region Manage:区域管理器,系统数据处理中心。与管理信息数据库通讯,接收注册程序提供的用户信息,将用户信息(用户填写的物理信息和系统自动采集的硬件信息)并行存入数据库;接受来自控制台的命令操作,发送到客户端、扫描器执行。
对于存在多级管理要求的广域网,网络中可以存在多个区域管理器,系统数据提供逐级上报(转发)模式。
区域管理器内置网络扫描器,扫描器将设备最新状态信息报送至区域管理器,由区域管理器处理后,同数据库中原有信息进行遍历搜索对比,根据管理规则在管理平台上报警。
扫描器配合区域管理器进行工作,可以在分级模式下使用。扫描器只依据Web管理平台中配置的工作范围进行扫描,超越其范围,将不负责执行操作。
WinPcap程序:嗅探驱动软件,监听共享网络上传送的数据。
客户端注册程序:用户访问指定网站自动获得,用户填写本机信息,填写必要信息后上报区域管理器。注册程序自动探测系统硬件信息,连同用户填写的信息一同上报区域管理器。用户将本机注册信息发送到区域管理器后,区域管理器自动将客户端驻留程序应用策略发送给用户,并自动更新。
客户端驻留程序功能:
1.进行本机硬件属性信息变化监视; 2.进行本机IP、MAC地址变化审计;
3.本机系统补丁、软件安装、运行进程状况监测;
4.探测本机是否有违规联网行为,在内网管理中心或外网报警平台报警; 5.接受Web管理平台的管理命令; 6.阻断本机非法外联行为;
7.执行Web管理平台下发的各种策略操作。补丁下载服务器:安装在与Internet网络连接的机器上,用于实时下载补丁厂商发布的补丁。
管理器主机保护模块:管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协议、通信IP范围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置,从而防止该计算机受到恶意的IP冲突以及各种网络、病毒攻击。
报警中心模块:安装在可与区域管理器所在服务器正常通讯的计算机上,本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、信使服务、SNMP Trap、手机短信等多种报警方式。
注:区域管理器(Region Manage)、区域扫描器模块(Region scan)、注册程序部分系统的参数配置集中体现在网页管理平台操作上,上述三部分功能参数、功能项数值统一在网页管理平台中进行配置。区域管理器(Region Manage)、扫描器模块(Region scan)部分参数在自身软件组件中配置。
1-2 应用构架
北信源内网安全及补丁分发管理系统应用于局域网、广域网构架,支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。
系统应用主要分为以下两种构架:
基本构架:对于一般网络(例如1个C类地址或若干个C类地址的局域网范围),可使用一套本系统软件,集中管理所属区域内的所有设备。
扩展构架:对于大规模的多个局域网或者跨地域广域网(包括基于国家、省、市、县等多级管理模式的网络结构),可使用本系统提供的多区域集中管理构架,即一个或多个网段各拥有一套独立北信源内网安全及补丁分发管理系统的同时,将本级所有设备信息再转发给上级管理数据库,使得上一级管理人员对整个网络的设备状况也能够完全掌握。
图1-1北信源内网安全及补丁分发管理系统应用拓扑
第二章.系统安装
2-1 安装环境
条件一:硬件环境
SQL Server数据库服务器:用于安装系统管理信息数据库。PC服务器或更高档服务器,PentiumⅣ 2.4C 以上CPU,512M以上内存。
区域管理器:用于安装区域管理器程序。百兆或千兆网卡,PC服务器或更高档服务器,PentiumⅣ 2.4C 以上CPU,512M以上内存。
扫描器模块:配置同区域管理器。如单独安装扫描器模块,比较高档的PC计算机即可。
本系统各程序可安装在同一台计算机上,也可在不同机器上安装SQL数据库、IIS服务器、区域管理器、扫描器模块等,此时推荐该计算机内存为1G以上。
建议将区域管理器、扫描器、网页管理平台安装在同一台机器上,作为监控服务器。
条件二:提供数据库、IIS服务
操作系统:Windows 2000或Windows 2003企业版操作系统。SQL Server2000软件:配备SQL Server数据库系统,用于北信源内网安全及补丁分发管理系统建立管理信息库数据库列表项。
IIS服务:配备IIS服务器提供Web服务,用于安装Web网页管理配置平台。如所装操作系统为Windows 2003企业版,则需要按照安装光盘中的Windows 2003的IIS配置说明进行IIS配置。
条件三:为本系统提供相应端口
北信源内网安全及补丁分发管理系统区域管理器将占用操作系统88端口,必须确保安装区域管理器的机器该端口不被占用。区域内的防火墙应打开如下端口:80,88,2388,2399,8901,8900,161,137,22105,8889,22106,22108以及ICMP协议。同时最好将DNS服务迁移至其它服务器。
2-2 安装注意事项
软件安装时,推荐将区域管理器、扫描器、数据库安装在同一台机器上(以下称为监控服务器),建议按照下面要求进行监控服务器部署、软件安装、客户端注册。
2-2-1 软件安装监控服务器部署注意事项
1、监控服务器在网络中放置位置注意点
确保该监控服务器能够ping通所有被管理网络中任意一台客户端机器,同时被管理客户端可以正常连接服务器的TCP的80,88两个端口。 监控服务器给客户端下达策略的端口为:TCP端口22105。 监控服务器扫描发现客户端利用以下协议及端口:
ICMP协议(发现IP地址存在的其中一种方式);
NETBIOS协议,UDP端口137(为了发现机器名和MAC地址); SNMP协议,TCP端口161(为了发现智能设备如路由器、交换机等); 在本地网络中若划分了VLAN,或本地网络存在防火墙,请注意上述问题。
2、存在网中子网(如经过地址转换)的网络布置点
对于网络中存在网中网现象,如采用NAT地址转化或者代理方式在10.*.*.*网络中接入192.*.*.*网段,这些子网用户的管理方式如下:
情况一:子网有专人管理,并且有独立机房,则应在该子网中安装一套完整的监控系统。
情况二:子网无专人管理,或无独立机房,可采用以下3种方式之一处理 1)机器数量少的建议统一更改IP为10.*.*.* 网段。2)由管理员监督子网中所有机器进行注册并保证不得遗漏。
3)在该网络中指定一台工作站专门安装区域管理器软件和区域扫描模块,并将区域管理器配置中SQL服务器地址指向监控服务器。
2-2-2 软件安装和应用过程中注意事项
1、必须按照软件安装步骤进行安装 1)确认本机IIS服务正常;
2)确认本机SQL已正常安装并能正常使用(以本地系统账户方式安装); 3)确认目标安装盘剩余空间不小于10G; 4)请务必按照指定顺序安装各个模块;
5)请在区域扫描模块所在计算机中安装SNMP服务;
6)安装完所有系统模块后,请一定按照说明文档进行客户端程序的配置及分发安装。
2、监控服务器的安全性问题
管理服务器安装Windows2000 Server操作系统(带IIS)、MS SQL Server2000数据库后,一定要确保对Windows2000、SQL和IE进行重要安全补丁修补,规范操作系统、数据库的口令和密码设置,保证SQL、IIS的正常启动运行。
确保本服务器无病毒,同时可配置本服务器网络通讯端口仅打开:80,88,6800,8901,8900,22105,2388,2399,8889。
3、保护机制的应用
对大多数交换机、路由器、非Windows设备,需要将其设置为保护状态(避免被阻断导致网络不通),其它如有系统无法识别的重要设备,请在网页管理平台设备信息查询中手动将其设置为保护状态。2-3 系统组件安装
安装顺序依次为:
*安装 SQL Server数据库; *安装WinPcap驱动程序;
*安装并运行环境初始化程序,初始化数据库;
*安装网页平台并进行划分区域,配置区域IP范围、区域管理器参数、设备扫描器参数
等(推荐安装在默认路径下);
*安装区域管理器(推荐安装在默认路径下); *通知所有用户下载并运行注册客户端代理探头程序。
2-3-1 安装SQL server数据库
略,见附录(一)。
2-3-2 安装WinPcap驱动模块
在安装页面中选择“安装WinPcap驱动模块”按钮,单击“下一步”安装在区域扫描器所在计算机上。
2-3-3 安装远程技术支持模块
该模块是一个程序附属工具(一般不需要安装)在客户端安装程序里带有该程序, 是用户远程桌面管理及控制,有便于管理员帮助终端用户解决问题。
2-3-4 初始化数据库
初始化数据库是在SQL数据库中初始化建立VRVEIS数据库并生成系统必需的相关数据表格,在此过程中需要利用本地数据或者调用远程SQL数据库,用户需要根据实际安装情况按以下两种方式进行操作: 本地SQL数据库服务器环境初始化 1)、环境初始化,建立初始数据库
在SQL服务器地址栏中添加本地机器IP地址、SQL用户名、及SQL用户密码。
图 2-3-4-1 SQL数据库服务器环境初始化
2)、检查数据库初始化是否成功:
图2-3-4-2 检查数据库初始化
当有如图“初始化数据库结构成功”提示框弹出时,说明已成功创建初始化数据库。否则会出现如下图所示提示信息:
图2-3-4-3初始化数据库失败提示信息
如果出现如上图所示提示信息,用户需要检查所填入的SQL数据库IP地址、用户名以及用户密码,重新初始化数据库。
远程SQL数据库服务器环境初始化(建议非特殊情况不采用远程方式)1)、输入远程数据库信息,配置SQL客户端:安装远程数据库需要首先输入远程数据库IP地址、用户名称、用户密码,然后点击“配置SQL客户端”,出现如下界面:
图2-3-4-4 配置SQL客户端
2)、在通用栏中,启用TCP/IP协议:在通用栏中,选用TCP/IP协议,并启用,然后单击别名,进行别名添加设置。
图2-3-4-5 启用所选协议
3)、进行客户端别名的添加:单击上图中所圈中的别名,出现如下所示:
图2-3-4-6 对客户端别名的添加
4)、进行网络协议的选择和服务器别名的添加:此时用户需要首先选择网络协议,选定为TCP/IP,服务器别名根据用户需要自由添加,点击确定后完成数据库初始化。
2-3-5 安装Web中央管理平台
安装Web管理平台
此部分程序要求安装在默认路径下,安装过程中请确保信息填写正确,否则,Web服务器可能不能正确访问SQL Server数据库。
Web中央管理平台访问
Web管理平台安装以后在IIS目录上以虚拟目录的形式存在,虚拟目录名称为VRVEIS,用户在安装完成以后,用http://Web服务器域名(IP)/VRVEIS的形式访问Web管理平台主页面。默认用户名为admin,密码为123456。(以下的都是用admin登陆进行说明的)审计用户名为audit,默认密码为123456,详见附录
(六)。
如果http://Web服务器域名(IP)/VRVEIS访问无效,则以http://Web服务器域名(IP)/VRVEIS/INDEX.ASP方式登录。
Windows2003下IIS配置以及NTFS磁盘格式配置注意事项见附录
(七)。
2-3-6 安装区域管理器Region Manage 在Web中央管理平台中划分区域及指定区域管理器后(参见Web中央管理平台配置)安装区域管理器组件。安装后进行以下两项配置:
SQL客户端配置
如果“区域管理器”没有同SQL装在同一台服务器上,需要在如下图所示窗口中将默认网络库选择为“TCP/IP”,使客户端能够远程访问数据库。在“区域管理器”中选择“配置”->“系统配置”,配置SQL客户端,也可以通过Alt+S热键,进入配置。
图2-3-6-1 SQL常规配置
上述配置完毕以后,需要重新启动“区域管理器”,使系统生效。 区域管理器系统配置
SQL服务器配置:进入“系统配置”,逐步输入SQL服务器IP地址、用户名称及密码、数据库名称(默认为VRVEIS),单击“确定”完成SQL服务器配置。
图2-3-6-2 区域管理器中SQL配置
2-3-7 配置设备扫描器模块Region scan 在配置好Web防护系统区域及其区域管理器后做以下步骤:
在配置管理里,点击“扫描器配置”可以添加扫描器,配置扫描范围。
图2-3-7区域扫描器配置
填写相关信息之后重新启动区域管理器,程序会自动缩小到系统托盘,表示数据库连接成功,程序运行正常,此时通过上图中“扫描器配置”项来查看扫描器相关运行信息。2-3-8 安装补丁下载服务器模块
在安装页面中选择“补丁下载服务器安装模块”按钮,输入序列号SN,单击“下一步”、在桌面生成DownPatch.exe快捷方式,执行后如下图所示:
图2-3-8-1 补丁下载服务器主界面
点击系统配置弹出如下图:
图2-3-8-2 补丁下载索引解析界面 添加补丁索引:从北信源站点获取补丁索引,用以获取补丁厂商发布补丁信息,通过对补丁索引的解析,下载补丁。按照补丁索引、管理配置要求从补丁厂商站点获取补丁,补丁下载支持各种方式(下载线程、下载时间)自定义下载补丁。
图2-3-8-3 补丁下载参数设置
2-3-9 安装管理器主机保护模块
选择安装在安装页面中选择“安装管理器主机保护模块”按钮,输入序列号SN,单击“下一步”、在桌面生成 nsscenter.EXE快捷方式,执行后在系统右下角任务栏所示
绿色的图标,鼠标右键点击,可以对其进行相应的设置,具体设置参见附录(四)。
2-3-10 安装报警中心模块
选择安装在安装页面中选择“安装报警中心模块”按钮,输入序列号SN,单击“下一步”、在桌面生成 nsscenter.EXE快捷方式。具体设置参见附录(五)。
2-3-11 客户端注册及下载
(一)客户端注册原理及注册程序配置
客户端注册原理
执行注册程序,根据要求填入指定信息,系统自动将所添加信息和系统自动采集获得的设备信息发送到区域管理器(设置为转发模式的将发送到上级区域管理器),区域管理器将注册信息导入SQL数据库保存,在Web管理平台中设置的客户端参数策略将由区域扫描器扫描客户端后,发送给客户端驻留程序保存执行。
该客户端驻留程序驻留在系统内部,以服务的方式实时运行,一旦某个客户端非法接入互联网或设备改变违规,客户端就向web管理平台发送报警数据,同时本机将显示报警信息。
修改客户端注册程序配置文件
在web平台中配置管理->注册程序配置。注册程序使用前需要网管人员的配置,主要是设置区域管理器IP地址(注册时客户端信息发向该IP地址所在的区域管理器),如区域管理器为192.168.0.244,配置如下图所示:
图2-3-11-1 注册程序配置
在这里,可以对注册时需要填加的单位、注册密码进行编辑。如下图所示:
图2-3-11-2 单位和部门添加删除
(二)客户端注册方法
客户端注册方法包括网页静态注册、网页动态注册、手动注册、网关重定向强制注册等。
网页静态注册:
静态注册比较简单,客户端只需要将配置好的注册文件上传到公共主页上即可,做一个链接,访问主页后手动下载注册。
主要讲述动态注册,这种方法适用于网络用户较多的情况,客户端只要访问网络内公共网站,网页将自动对客户端进行探测,弹出提示窗口,提示用户进行注册。
网页动态注册:
利用网络中已经构建好的内部网站,一方面网络客户端可以通过手动获得注册程序,也可以通过在主网页上加载弹出页面的方式进行提示性注册。本手册将主要介绍后一种方式。
当网络中客户端计算机访问本网络内部网站时,在该主页代码中加入一段代码(如下)。本代码作用在于首先获得该客户端计算机的IP地址,再读取数据库里面相关IP地址的注册和其它相关信息,如果该IP地址的设备存在,系统会根据其是否完成“注册”、“信任”、“保护”三项操作进行判断,只要满足其中任意一条件,都不会提示注册,否则会弹出窗口提示注册。
网页加载弹出程序方法如下:编辑已有主页的源程序,在需要加载弹出窗口主页的源代码
中放入以下代码:注意:需要将其中的http:// 192.168.0.253/vrveis/quest.asp换成http:// 安装内网安全管理网页平台计算机IP/vrveis/quest.asp即可,此时当网络中计算机访问该内部主页时,会自动弹出如下提示页面:
图2-3-11-3 网页动态注册
使用网页动态注册时,请管理员通知注册人,在访问本网站时,暂时关闭网页弹出拦截程序或将本网站添加到不拦截列表中。
手动注册:除了自动注册设备外,遇到需要手工注册新增设备时,也可通过WEB管理平台中数据查询,设备信息查询中的手动添加设备功能,将新增设备的具体信息详细登记填写至数据库中,并将其置为保护设备。
注意:
1.多级级联注册:如果系统为多级级联方式,必须在区域管理器的高级配置中的“系统配置”、“策略配置”选项中的级联选项选中,并正确添加上级管理器的IP地址,各级区域会将自己所管辖的区域管理IP段上报到上级数据库中存储。
此时,当网络中任意一台下级区域客户端计算机访问主网站的同时,会根据最上级区域数据库中存储的各级上报IP段信息,自动将该客户端注册程序文件下载路径指向为自己所处IP段的本级区域注册器上,做到各个区域的客户端计算机在访问同一网站进行注册程序下载时,所下载的客户端程序均为自己所在区域的专用注册程序。
如果网络中内部网站,网络管理员可以通知网络内计算机在本系统Web管理平台的登录页面中点击下载注册程序完成系统注册,或者在此页面下按上面的步骤做好弹出提示窗口方式注册。注册程序界面如下:
图2-3-11-4 客户端注册信息
无论采取哪种方式,在注册成功以后,注册程序除了将主动添加的信息自动上报以外,还会自动收集其它和系统相关的信息进行上报。
客户端和区域管理器连接通讯不正常的情况下,将提示用户“缺省注册成功”,表示客户端探头已经注册完毕,但还没有与区域管理器通讯。当区域扫描器扫到该计算机的IP地址时,才会将添加的信息及系统采集信息上报到区域管理器,存储在数据库当中。
2.本系统使用初期,若要求对下属网络中的计算机信息进行统计、注册、入库,必须在Web管理平台中管理器设置项内选中“允许客户端注册”,如注册时需要密码,也需要在WEB管理平台中进行设置,如下图所示:
图2-3-11-5 允许客户端注册
图2-3-11-6 注册信息编辑
网关重定向:
作用:注册信息重定向。如果没注册的客户机上网,那么他会把上网的网址重定向到指定的注册页面上。1.正确安装运行注册认证网关
2. 启动注册认证网关进行配置
图2-3-11-7 注册认证网关配置
3.在系统参数里选择可以监听到整个网络包的网卡(一般这台机器为网关)
图2-3-11-8 系统参数
4. 在重定向配置里,填写对未注册、保护和信任的机器的重定向网址。策略配置为在多长时间内重定向的次数,超过这个次数,将不再重定向。
图2-3-11-9 重定向配置
5.通讯配置,填写区域管理器的IP地址,通讯端口(一般为88),同步信息间隔为同步区域管理的信息(即发现是否有新注册的信息),本地配置,侦听端口为688。
图2-3-11-10 通讯配置
6.配置完后点确认,然后启动注册认证网关,退出重起就可以用了。(建议把这个用在网关处或总的交换机出口处,这样可以捕获所有的信息包)
(三)客户端卸载
网络客户根据情况需要卸载客户端探头程序时,运行安装程序包中的探头卸载程序UnInstallEdp.exe如图:
图2-3-11-11 客户端卸载
记录下序列号,并将序列号复制到如下图的第一个方框中:
图2-3-11-12 查看卸载密码
点击查看将会产生一个卸载密码,将其输入卸载密码框中点击卸载即可。
图2-3-11-13 卸载密码
或通过WEB管理平台中的点—点控制中的终端卸载如图:
图2-3-11-14 终端点对点-终端卸载 第三章 系统应用
本平台配置主要指北信源内网安全及补丁分发管理系统的网页平台操作,网页平台是整个北信源内网安全及补丁分发管理系统的配置操作核心,整个内网安全及补丁分发管理系统功能的实现全部在Web操作中实现,Web方式有助于管理员远程维护系统,进行统一配置和统一管理。掌握对网页平台的功能操作和配置对使用本系统来提高整个网络的安全性和解决网络管理的效率有着重要作用。
菜单功能模块:系统策略中心、数据查询、终端控制、补丁分发、运维信息、报警事件、级联总控、统计报表、系统维护等模块。
3-1配置与管理
3-1-1 区域划分
在网页平台安装完毕之后,访问http://Web服务器域名(IP)/VRVEIS访问WEB管理平台登录界面。如下所示:
图3-1-1-1 Web管理登录界面
其中客户端工具下载菜单提供了包括用户注册器下载、补丁检测中心、多路帮助平台、普通工具下载、管理员工具下载、工具上传管理等功能,用户按照页面提示操作即可。
图3-1-1-2 客户端工具下载界面
系统默认用户为admin,密码为123456,登录后建议管理员修改管理员密码。成功登录后,进入系统的主界面。如下图所示:
图3-1-1-3 Web管理主界面 在所处的IP地址段内,进行区域划分操作
首先进行区域添加和划分操作。
区域划分:单击配置管理里的“区域划分与配置”,对网络中的客户端进行区域划分管理,按照提示依次添加区域、增加区域IP管理范围、分配区域管理器、,并完成系统组件运行参数配置。
具体步骤:
区域描述配置栏中填写好一些必要的与区域相关的信息,如区域机构代码、区域名称、负责人姓名等。其他信息可以酌情依照实际用途填写。本区域IP划分:根据用户实际需要在下图所示的文本框中填入需要管辖的IP地址。
其中保留IP段为该网段目前没有网络设备存在的网段,如有设备存在,则会产生报警信息。
图3-1-1-4区域划分与配置
下级区域划分:在已有区域页面中点击“增加下级区域”按钮进行下级区域添加,如集团总部下属总裁办、行政部、财务部等。
图3-1-1-5 增加区域
3-1-2 区域管理器配置
区域管理器:区域管理器为系统策略控制及数据接收处理中心,具有控制完成系统相关的动作行为处理功能;同时与本级数据库系统连接,统一接收注册程序提供的信息,将用户信息(填写的计算机使用人姓名、联系电话、E-mail等,计算机IP、MAC地址、硬盘、CPU、内存等其它硬件信息均为自动采集)存入数据库。
根据本区域客户端IP管理情况确定对IP地址的管理方式,若选择IP、MAC地址绑定,需要在静态IP环境下进行设置。
允许客户端控头升级:设置本区域管理器管理范围内的客户端的升级操作。设置vpn网络虚拟管理器IP:是指添加VPN虚拟服务器的IP地址。管理器标识:是指管理器的标记,当服务器迁移时需要设置与之相同的管理器标识。
管理器可直接通信网段:在管理多个独立子网时,该配置填写区域管理器服务器可直接通信的地址。
允许客户端注册:是指任意一台在区域范围内的客户端都可以在服务器上注册。
管理器配置同步:当选中“下级区域”时下级区域的配置应该和上级区域管理器的配置相同,当选中“全部区域”时是指下面的任意级联区域都要和区域管理器的配置同步。
图3-1-2-1 区域管理器参数设置
区域管理器系统配置:当设置完当前页面这时我们可以配置刚才安装好的内网安全管理管理器去桌面双击“内网安全管理管理器”快捷方式弹出如下界面:
图 3-1-2-2区域管理器系统配置
先进行SQL服务器配置:进入“系统配置”,逐步输入SQL服务器IP地址、用户名称及密码、数据库名称(默认为VRVEIS),单击“确定”完成SQL服务器配置。
图 3-1-2-3 SQL服务器配置
管理器配置:本软件默认机器操作系统88端口,若其它应用程序占用该端口,将自动更改为188。
如果区域管理器应用于多级管理(每级都有独立的SQL server和相应的内网安全管理及补丁自动分发管理平台)的级联构架体系,其上级还有区域管理器的情况下,当前区域管理器需要将所有信息上报到上级管理器。
区域管理器支持多级级联,如国家、省、市、县多级规模网络管理构架,下属区域管理器将其所有计算机报警信息转报到上级数据库。注:需要把“上报给上级管理器”√上,输入上级管理器地址。
升级配置:用于配置区域管理器的自动升级,升级服务器地址为上级区域管理器IP。
区域管理器配置-高级设置 系统配置:
锁定下级策略是指下级不能够更改策略信息。
上报给上级区域管理器是指下级的策略,阻断,违规信息上报给上级区域管理器,在此处打上“√”添加上上级管理器地址,配置级联。
图3-1-2-4 区域管理器
阻断配置:
图3-1-2-5阻断配置
探头阻断:目前常用的阻断方式,由扫描器调度探头完成阻断任务。只要保证一个网段(VLAN)中有一台存活的已注册计算机,就可以实现阻断。
防火墙阻断:该方式必须与防火墙结合使用,需要设置必要的防火墙规则集和安全认证,与其它厂商防火墙不兼容。
报警过滤:本软件系统提供对多种违规变化行为的报警:非法外联、设备未注册、IP绑定变化、设备变化、探头被卸载、病毒行为报警等。
本地报警种类过滤:仅对本地网络中区域管理器管理范围内的违规变化行为进行报警显示,用户根据自身管理要求进行筛选。
图3-1-2-6 报警种类过滤
策略配置:系统支持对各种文件的分发,在Web中央管理平台进行软件分发操作前,必须对本项进行配置。
默认将分发文件放在C:VRVRegionManageDistribute目录下,管理员可根据需要自行更改路径,同时,修改本路径后,补丁下载存放的位置也会相应改变。
图3-1-2-7策略配置
补丁下载:将待分发操作系统补丁放置在设置好的补丁路径的目录下,在Web中央管理平台中进行分发操作。
管理员通过对参数项的选择进行下载配置,级联IP提供对上一级补丁的下载获取。
图3-1-2-8 补丁下载
其他配置:主要是硬件网关重定向配置,此功能必须配合硬件设备使用。
图3-1-2-9 其他配置
3-1-3 扫描器配置
点击增加扫描器设置扫描器扫描网络IP范围。机构代码:一般为阿拉伯数字,由用户单位根据管理要求进行设定。扫描间隔:根据管理IP范围大小进行设置(建议设置为10分钟)。
图3-1-3-1 区域扫描器参数设置
注:扫描器配合区域管理器进行工作,扫描器的扫描范围不可能超过它的区域管理器管理的IP范围。
扫描器除了指定扫描的IP范围外还能够指定排除不扫描的地址范围,如有某些网段不需要扫描器发现设备,为缩短扫描时间,可在扫描器设置中增加禁止扫描地址段的设置。
扫描器高级配置:
图3-1-3-2 扫描器配置-系统配置
扫描器高级配置——系统配置:
扫描频率设定:用户可以根据网络中网络带宽占用情况,灵活设置扫描频率,同样可以选择是否“使用SNMP扫描”扫描方式,如果选择“使用SNMP扫描”,则系统能够自动对网络设备(例如交换机、路由器、网络打印机等)进行扫描,并自动登记到设备列表库中。
阻断选项:如果用户选择“扫描器阻断”,此时可采取“轻量级阻断”和“重量级阻断”两种方式。
轻量级阻断:阻断计算机向网络中广播一个ARP请求报文,将被阻断计算机的IP地址及对应的假MAC地址发送给网络内所有的计算机,每台计算机收到请求后便会对本地的ARP缓存进行更新,将收到的请求中的IP和对应的假MAC地址存储在ARP缓存中。这样对于网络中的计算机看来,被阻断计算机的IP地址没有变化,而它的MAC地址已经不是原来那个了。由于局域网的网络通信不是根据IP地址进行,而是按照MAC地址进行传输。因此,被阻断计算机便接收不到网络中计算机(不含阻断计算机)传送过来的信息。
重量级阻断:阻断计算机冒充网络中的其他计算机(本网段1-255)给被阻断计算机发送定向ARP应答报文,被阻断计算机收到请求后便会对本地的ARP缓存进行更新,将收到的请求中的IP和对应的假MAC地址存储在ARP缓存中。这样对于被阻断计算机看来,网络中的计算机的IP地址没有变化,而它们的MAC地址已经不是原来那个了。因此,被阻断计算机便不能向网络中的计算机(不含阻断计算机)传送信息。
扫描器高级配置——交换机扫描配置:
交换机扫描用于扫描发现交换机,进行拓扑发现。Snmp团体名:根据拓扑管理需要输入网络中所有网络设备的snmp读团体名用“;”隔开。
图3-1-3-3 交换机扫描配置
如上图,配置扫描间隔时间一般设成5-10分钟,IP范围设置需要扫描的ip段,snmp读团体名称是根据交换机口令设置的。
该功能的启用需要下载交换机拓扑模块,安装后进行网络拓扑发现。进入web管理平台主页面“运维监控”菜单,启用网络拓扑图,安装交换机拓扑模块后进行网络拓扑发现。
3-1-4 注册程序配置
控制页面如下.管理员可以通过设置来按照需求来配置客户端注册程序,让用户填入相应的信息 ,方便以后管理。其中的项有启用、必选、还可以对输入数据进行控制.后面的功能设置必须对每个功能模块启用。
图 3-1-4-1 注册程序配置
选择编辑单位/部门弹出如下图:
图 3-1-4-2 编辑单位/部门
先选择修改单位弹出如下窗口:
图 3-1-4-3 修改单位
填写单位名称和单位备注消息点击添加/修改单位。最后点击保存修改关闭窗口返回上级窗口如下图:
图 3-1-4-4 保存修改
可以看到刚才添加的单位。
在此输入每个单位所对应的部门,部门备注信息.选择保存修改可以完成单位和部门的配置。
点击设置注册密码弹出如下窗体原注册密码为空。
设置注册密码是为了防止新接入设备非法进行注册。
图 3-1-4-5 直接添加新注册密码保存修改就可以。
注册单位与注册部门产生联动
当对单位和注册部门设置为必填和仅选择这时客户端注册程序 对单位和部门的填写只能按照管理员的设置来选择.不能手动填写。
使用静默注册:以上的设置都不生效这时客户端注册程序只需选择下载运行就可以。
注册程序会自己上报终端的计算机名和IP地址MAC地址。选择保存修改点击打包注册程序这时完成客户端注册程序配置。
3-1-5 注册部门配置与管理
新增单位:该功能作用基本与“从系统注册单位导入”相似,不同的是,它可以加入备注信息。
图 3-1-5-1再新增单位
具体方法:选择新增单位弹出如下窗体:
图 3-1-5-2再新增单位
从已注册的单位选择一个单位然后进行单位描述点击添加。后可以在左边看到新增的单位之后选择新增的部门。选择新增的部门弹出如下图对部门进行描述点击添加完成操作。
图 3-1-5-3 单位描述
从系统注册单位导入:该功能作用是将客户端注册时输入的单位名称导入到“注册单位及部门”中。当客户端在注册时输入单位名称时,那么点击“从系统注册单位导入”就可以看到一个单位名称及相应的部门,同一个单位名称只出现一次。
选择左边单位与部门树目录点击从系统注册单位单位导入弹出如下图:
图 3-1-5-4 系统注册单位单位导入
√选要导入的注册单位点击从已注册部门导入。之后选择刚才添加的单位点击从系统注册部门导入或者新增部门选择相应的部门添加即可。
图 3-1-5-5 添加部门 3-1-6 自定义组分配与管理
自定义组用来对网络中特定或者有特殊用途的机器进行编组,以便采取不同的管理手段,方便管理员的管理。该组的客户端成员可以由管理员根据某查询条件而查得的计算机导入自定义组。如下图所示:
图 3-1-6-1 自定义组分配与管理
1. 首先创建分组,点击创建下级组:首先创建分组,点击创建下级组,添加分组名称,分组描述,保存设置。
图3-1-6-2 创建分组
2. 向组中添加设备:点击添加设备,弹出如下图,可以按设备查找,按IP查找,按操作系统查找,选中一个点击添加,然后点击查询,导入组即可。同时还可以通过设备信息查询,和补丁查询中来添加设备。
图3-1-6-3 查询设备
3. 如果需要将IP/MAC绑定,那么可以执行下面操作:将当添加完组设备以后点击“将组设备添加到IP/MAC绑定”,弹出如下图所示的“确定添加该组设备到IP/MAC绑定列表库吗?”点击“确定”即可将设备全部导入IP/MAC绑定列表。
图3-1-6-4 添加IP/MAC绑定
3-1-7 IP与MAC绑定列表
添加、查询系统IP与MAC绑定设备列表如下图(数据来源在自定义组里可以按IP操作系统等添加一个自定义组)。
图 3-1-7-1 添加系统IP与MAC绑定设备列表
图 3-1-7-2查询系统IP与MAC绑定设备列表
3-2策略中心
3-2-1 阻断违规接入管理
当扫描器发现有外来设备接入内网时,该功能可以有效地控制外来设备接入内网而带来的安全威胁(此功能慎用,在不能确认所有的可信客户端都注册前最好不要使用,同时也要把需要保护的设备保护起来),通过选中“没有注册则阻断联网”复选框便可阻断所以未注册设备。同时提供了信使服务(windows2000以上操作系统)提醒IP、MAC绑定等功能,如下图所示:
图3-2-1 阻断违规接入管理
3-2-2 策略管理中心
如何进行策略创建和分发
(1)在“策略管理中心”中左边的策略项中可点击需要制定的策略,然后在右边的“新建策略名”中输入相应的策略名称后,单击“创建”按钮开始创建策略。
图3-2-2-1策略中心策略制定
(2)随后在具体的策略的配置中根据用户的实际需要配置好策略后,单击“保存策略”就完成了一条策略的创建。(由于各个策略项的配置过程都不一样,这里不再用截图表示,下一节将具体介绍)
(3)接下来是下发策略,即指定策略的执行对象,可通过单击“对象”按钮后,可按界面的提示完成对象的分配。如下图所示:
图 3-2-2-2 下发策略
图3-2-2-3 策略分配对象
如图3-2-2-4表示创建策略成功
(4)如果需要让某一条策略暂时不使用,可按界面中对应的“停用”单选按钮使策略失效,需要使用的时候再单击“启用”按钮使策略生效。如果想要删除某一条策略,则直接按“删除”按钮即可。但在删除某策略之前最好先停用该条策略。 策略的高级设置
策略的高级设置用于客户端程序对策略的执行设置,包括策略状态(启动、停止)、策略存活时间(策略执行的起止时间)、策略执行触发条件(在何种条件下开始执行策略)、策略无效时间(规定时间内客户端不执行策略)、策略应用范围(本级区域、下级区域、所有区域)、级联策略类型等,有些策略还包括具体的触发时间设置等。
图3-2-2-5 高级策略设置
说明:策略存活时间范围:即策略以天为单位的存活时间段。
策略无效工作日:即可在一星期中选中一天或多天使策略无效。策略无效时间段:即策略以分为单位的无效的时间段。
强制策略:级联策略发到下级管理器时,下级管理员对策略内容不能修改,并且不能修改该策略的对象和启动、停用状态。
样板模版:级联策略发到下级管理器时,下级管理员对策略内容不能修改,但是可以修改该策略的对象和启动、停用状态。
策略有效网络:a.在所有网络均有效:该功能意思是策略在区域管理范围内、外均有效。
b.仅在该网络中有效:该功能意思是仅在区域管理范围内有效。 系统策略设定 1)黑白名单编辑:
<1> 进程黑白名单:进程黑白名单在进程监控中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。编辑进程黑白名单时包括,进程名,产品名,源文件名等;如果是服务则只可以加服务名,同时可以加一些描述。
图3-2-2-6
<2> 软件黑白名单:软件黑白名单在软件安装监控中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。