第一篇:江苏国骏IPD内网安全管理系统联通成功案例
江苏国骏IPD内网安全管理系统联通成功案例
江苏国骏信息科技有限公司是徐州地区专业的网络安全服务机构,我们代理的IPD内网安全管理系统有以下成功案例:
应用背景
联通公司虽然采取了远程维护、内网补丁升级、防病毒系统布署,内部维护网站等手段,但因为缺乏有效的管理系统,仍然无法保证终端系统的资产管理、接入管理、补丁分发及应用软件分发、使用人员的行为管理等功能,给公司的内部信息安全及资产管理和系统维护管理上带来了一定程度上的困难。
系统建设目标:
1、精细的资产管理
2、灵活的策略布署
3、及时的补丁分发
4、安全的准入控制。
5、有效的行为管理。
6、方便的远程管理。
项目实施及效果:
济南市联通经过长时间的考察、调研、分析、测试最终采购了IPD系统管理套件,从而实现了对全市终端各方面的运维管理,对全市4500多个终端实现管控,实现统一集中管理所有终端,减少运维成本,提高企业的工作效率。
目前济南联通项目实施已经完成,其购买IPD整套内网安全管理产品,即:资产管理、进程管理、补丁管理、远程桌面管理、网络访问管理、接入安全控制、桌面设置管理、外设管理、预警管理、互联网访问日志、外设访问日志等等功能模块。
具体建设目标:
1、以市公司为中心,采取集中分级建设的方式,在全市范围内部署终端安全管理平台,实现对全市桌面终端安全的集中监控及管理;包括
桌面软件安装情况、硬件配置、防病毒、补丁安装、外设使用等的监控审计,并集中对涉密文档进行监控审计,实现了对代理设置、上网行为
审计和流量监控及控制等等功能。
2、以市公司为中心,建立内网准入和安全检查机制,对外来终端随意接入网络及内部终端不满足安全条件的事件起到了很好的控制效果。
徐州地区最专业的网络管理、信息安全公司—江苏国骏
第二篇:内网安全管理系统软件技术要求
附件二
内网安全管理系统软件招标技术要求
一、产品总体要求
1、公司的资质:公司成立10年以上,具有自主研发能力,有成熟稳定的研发队伍的软件行业企业。
2、产品资质要求:必须是自主研发,稳定销售8年以上;拥有自主知识产权,通过公安部检测,获得公安部销售许可证,至少拥有以下资质证明: 公安部《计算机信息系统安全专用产品销售许可证》; 国家版权局颁发的《计算机软件著作权登记证书》; 国家版权局颁发的《计算机软件产品登记证书》;ISO9000质量管理体系认证。
3、产品实施简单,可操作性强,实施后必须保证网络稳定畅通,系统正常运行,不影响正常开展工作。
4、*至少有五家500点客户的安装实施经验。
5、有丰富的行业客户服务经验,能提供后续技术支持和维护更新等服务。
二、技术规范要求
2.1 系统要求
▲客户端操作系统支持包括:Windows98/Me/NT/2000/XP/2003/Vista/Win7/2008,必须同时支持32位及64位系统。
▲所有监控功能都能按计算机和用户两种模式实现。
▲必须支持瘦客户机、终端服务器、无盘工作站等的使用模式。
*监控系统的部署必须支持多种安装方式,包括web安装、域脚本安装、远程安装以及域组策略安装等。
*必须提供分布式服务器管理功能,并且需要支持跨区域部署管理。*必须隐藏客户端进程。
*支持与AD域的结合,可与域组织架构实时同步。管理端必须支持C/S架构登录。
客户端在离线情况下,控制及日志记录功能依然生效。
附件二
2.2 功能要求
2.2.1 基本功能
能获取计算机的基本信息,包括计算机名称,网络地址,操作系统,登录用户,当前状态等信息,以及计算机多用户登录信息的查看。
▲支持增加管理员账户并对账户权限可实现细化,如管理范围、功能权限。同时可对非系统管理员的账户可禁用、删除以及修改密码,方便权限回收。
*必须具备管理员以及审计员账户,且相互独立,并且能够提供记录管理员操作的审计平台,包括管理员登陆系统,查看日志,对内网计算机的控制等等。
*支持对各终端所设置策略的总览以及对策略的应用查询方便管理员掌握终端的策略情况,同时具有对策略的导入导出功能及复制功能。*支持邮件报警功能,可以将违规行为详细记录为日志形式并通过邮件发送至指定邮箱。*支持设定自动关机功能,提供在指定时间关机、注销及重启的功能
支持按工作时间段进行策略设置,灵活管理。
支持远程对计算机进行键盘鼠标操作锁定、关闭、重启、注销和发送通知信息等。支持对3g上网卡拨号的日志记录。
2.2.2 基本控制功能(包括基本模块及设备管控模块)
能控制计算机对本机系统设置的操作权限,包括以下多项属性,并且各项可以单独控制: *IP/MAC绑定:修改网络IP/MAC配置
控制面板:控制面板、设置屏幕属性、添加打印机、删除打印机、快速切换用户。计算机管理:设备管理器、使用磁盘管理、本地用户和组、系统服务管理、其它计算机管理。
系统:任务管理器、注册表编辑器、命令提示符、运行注册表中Run下的程序、运行注册表中Run Once下的程序
网络:修改网络属性、显示网上邻居、修改Internet选项、默认网络共享、使用网络共享、增加网络共享
其它:使用print screen键复制屏幕、系统还原、Windows自动更新
▲可以控制内网计算机对常用设备的使用权限,支持对刻录机可读不可写的控制
存储设备包括:软驱,光驱,刻录机,磁带机,可移动设备(U盘,移动硬盘,记忆棒,智能卡,MO,Zip)、便携设备(智能手机)等;支持对上面各项的单独控制。
通讯设备包括:串口、并口、USB 控制器和连接器(HUB)、SCSI接口、1394控制器红外线、PCMICA卡、蓝牙设备、MODEM、直接电缆连接、拔号连接等;支持对上面各项的单独控制。
网络接入设备:包括无线网卡,pnp网卡,虚拟网卡等;并且可以对它们单独控制。其它:声音设备,虚拟光驱,任何新设备等的使用。
▲支持USB设备的细分控制,即以下每项可单独控制,支持3G上网卡的控制。USB设备:USB 键盘、USB 鼠标、USB Modem(3G上网卡)、USB 映像设备、USB CDROM、USB 存储、USB 硬盘、USB 网卡、USB其他USB设备;支持对上面各项的单
附件二
独控制。
*支持禁止增加非系统硬盘。
*支持对Iphone等便携式设备的控制 *支持对任何其他外设的控制
*支持对无线网络的连接控制,限制禁止连接的无线网络。
对计算机的硬件变化,设备的插入拔出,存储设备变化,通讯设备变化,软件变化,系统服务变化,启动项变化,系统时钟变化,计算机名称变化,网络配置变化等能提供报警信息并作为日志记录。
2.2.3 移动存储控制
支持对内网计算机控制其对指定移动存储设备的读写权限。支持自动收集客户端上使用过的移动存储信息,并可以自定义添加备注信息。同时支持移动存储分类库,允许对移动存储进行自定义分类,按类库进行管理。支持可按照对移动存储的描述进行控制。
支持所有通过USB接口方式连接计算机的存储设备。
支持在指定计算机上使用制定移动存储设备时,自动对复制/移动的文件进行加解密控制,加密后的文档只允许在具有自动解密权限的客户端计算机处才能打开,否则打开为乱码。
支持将指定移动存储格式化成加密盘,只能在内部装了客户端的计算机处正常使用,非客户端计算机无法使用。
能够记录内网计算机使用移动存储设备的情况;包括操作时间,操作类型(插入/拔出),计算机、用户、移动存储类型等。
2.2.4应用程序管控
支持通过禁止应用程序分类或禁止应用程序名称、应用程序窗口标题的形式来禁止计算机使用非法程序。
针对应用程序更改名称或路径的情况,所做的控制必须依然生效。能自动收集客户端计算机运行过的应用程序,并支持分类管理。
支持记录所有应用程序的启动/关闭、窗口的切换标题动作;并可以按时间范围,计算机范围,应用程序名称,应用程序路径、窗口标题这几种查询条件查询。
支持通过自定义的时间范围,对单个工作人员,部门,或整个网络的计算机的应用程序使用情况进行统计;
统计结果必须有列表和图表两种显示方式;
统计方式必须包括是:按应用程序类别统计、按应用程序名称统计、分项统计(统计各组计算机的应用程序使用),按明细统计等。
2.2.5远程维护
支持远程查看网络内的客户端计算机当前运行的应用程序,进程,性能,设备管理,系统服务,磁盘管理,共享文件夹,计划任务,用户和组等。同时支持对应用程序,进程,附件二
设备管理,系统服务,共享文件夹,计划任务的控制。支持对客户端的远程控制。
支持远程文档传输,提供客户端与控制台相互传送文件的功能。必须支持经过客户端允许或密码设定才能远程控制。支持远程卸载客户端计算机上软件功能
2.2.6屏幕监控
▲屏幕历史记录的数据量:平均一帧数据量少于▲支持对指定应用程序运行过程的屏幕记录。▲支持对应用程序的变频记录。
25K 支持通过控制台实时查看员工当前工作的计算机桌面,并可将当前屏幕保存为图像,支持对终端用户登录的屏幕分屏查看。支持同时对多屏进行监视。支持扩展显示器的监视。
能记录计算机当天的屏幕历史画面,并可以按指定的计算机查看指定日期范围内的屏幕历史记录,以播放器的方式播放某一天的屏幕历史,并可将当前播放的屏幕历史另存为视频文件。
2.2.7资产管理
支持对客户端计算机的硬件和软件资产信息的统计,并支持按分组或计算机统计硬件和软件的分布情况,同时支持设置自定义查询条件。
支持自定义添加企业内的非软硬件资产信息,并支持设置自定义查询条件。
支持实时查看客户端计算机补丁情况,并允许对补丁进行修补,同时不需要另外搭建wsus服务器。
支持自动扫描计算机的系统漏洞并提供解决漏洞问题的建议。支持通过控制台集中向客户端自动分发安装程序并自动安装,或分发各种文件到指定的目录下,以及分发其它执行程序到目标计算机的功能。支持对硬件资产添加自定义信息描述。
三、可靠性要求
数据库的存储能力及维护,为节省数据库维护成本以及防止因部分数据库损坏而影响所有数据,需要对日志数据采用按天存储的功能。每天产生独立的数据库,数据库出错无法修复也只影响受损数据库所保存的当天数据。
当操作系统处于正常模式和安全模式下都能正常监控。
要求监控系统有一定的自我保护能力,不会轻易遭到破坏,并且不能自行卸载,必须通过授权才能卸载。
每个服务器支持超过3000个终端在线管理。
系统进行局域网发现时节点占用带宽不超过20Kbps。
附件二
系统进行文件分发、文件传送等操作时占用带宽不超过200Kbps。系统在局域网环境内进行一遍节点轮询占用带宽数不超过20Kbps。附注:三年免费质保,三年免费服务。产品支持570个工作站。
第三篇:内网安全管理系统7.0产品白皮书
产品白皮书
内网安全管理系统V7.0
产品白皮书
第1页
产品白皮书
目录
1.产品简介.......................................................................................................................................................1 2.产品构架.......................................................................................................................................................1 3.产品功能.......................................................................................................................................................2 4.产品特点.......................................................................................................................................................2 5.产品性能.......................................................................................................................................................3 6.产品部署.......................................................................................................................................................4
第2页
1.产品简介
内网安全管理系统是用于政府和企业终端安全管理系统。系统通过对计算机准入控制、计算机安全加固、计算机运行维护、计算机安全审计、移动存储介质注册等多个方面的综合管理,为政府和企业用户打造一个安全、可信、规范、健康的内网环境。内网安全管理系统可为用户解决如下一系列的内网安全管理问题:
确保入网终端符合要求 全面监测终端健康状况 保证终端信息安全可控 动态监测内网安全态势 快速定位解决终端故障 规范企业员工网络行为 统一内网用户身份管理 杜绝移动存储介质滥用 提高和实现软件正版化
2.产品构架
内网安全管理系统在架构设计上采用了三层管理结构:终端监控引擎、总控中心、管理控制台。
终端监控引擎以服务的形式运行于终端计算机上,是终端计算机管理的核心和基础部件,用于对被管理终端计算机的安全加固、运行维护和监测审计等管理职能。终端监控引擎的设计充分考虑了稳定性、安全性和兼容性要求。终端监控引擎可防止恶意停止,并全面兼容防病毒软件、防火墙软件、设计开发软件、业务软件、办公软件。
总控中心用于计算机的集中管理,为终端监控引擎和管理控制台提供一系列的管理服务。由策略管理服务、审计管理服务、Radius认证服务、文件备份服务、补丁与软件分发服务、时间同步服务、网络管理服务、分级管理服务、事件订阅服务、健康状态监测服务等组成。视内网规模和性能要求,这些服务可分别部署在不同的硬件平台上,也可部署在同一个硬件平台上。
管理控制台是系统管理人员提供系统管理入口。采用了B/S方式进行系统管理,通过管理控制台可以完成系统管理的全部操作。三层管理结构大大提高了系统设计开发、安装部署和运行维护的灵活性、便利性和扩展性。
图1 LanSecS®内网安全管理系统架构
3.产品功能
安全审计:提供内网主机安全事件的审计功能,包括文件操作、文档打印、共享访问、服务与进程活动、系统日志、系统账户监控等。提供终端计算机用户行为的监控与审计,包括信息泄密、资源滥用、即时通讯、邮件收发和网站访问等。
安全服务:通过预警平台、远程协助、软件及文件分发等功能实现远程桌面维护以及安全动态、桌面通知、信息发布。
安全加固:提供强大的补丁自动分发机制、病毒库自动下载机制、本地文件安全存储以及移动存储介质的认证与注册管理等功能,保证终端运行环境的安全可控,保障内网运行的可靠性。另外,还提供主机安全策略和IE安全策略的统一设置,加强主机的安全性。
资产管理:提供对内网资产和资源的集中管理能力,包括计算机、交换机、操作系统、软件、硬件,并对资产和资源的变更进行监控和预警。
准入控制:采用可信接入技术,对于接入内网的计算机进行严格的身份认证和健康检查,保证内网业务数据和系统环境的安全。
4.产品特点
完善的分级管理架构,“分散不分立”:通过分级管理,系统可实现跨地域分散部署和集中管理。“分散不分立”,形成有效的和有机的内网安全管理架构。
灵活的分权管理机制,“集中不集权”:系统提供了基于安全角色的授权管理机制,根据功能模块或行政机构的划分自定义安全角色,一种安全角色只能执行其所辖部门范围内的相应安全代理的安全策略和审计事件的管理。“集中不集权”,保证了管理的安全性。
多层次的安全措施,保证系统运行的安全可靠:系统从数据库、网络通讯、策略分发与存储等多个层面加强了安全保护,确保系统运行的安全可靠。
全方位的安全审计功能,有效地防止信息泄密:系统提供对所有输入/输出设备、文件系统、进程、服务、注册表、网络应用、用户身份、操作系统安全策略等进行综合的监控和审计,全方位的监控操作系统的运行状态以及用户的操作行为,实现涉密信息的全程审计与跟踪。
完善的基于数字证书的身份认证机制:系统内嵌身份认证服务,实现了与数字证书的完美结合,管理控制台、监控代理、总控中心以及所有系统管理用户和计算机终端用户均通过数字证书进行身份认证。
丰富、多样的统计报表功能:系统提供列表和统计图的报表输出,报表的输出支持HTML、EXCEL、PDF、RTF等四种格式。同时提供手动报表、自动报表等两种运行模式。
高度模块化设计,需求响应迅速:系统管理控制台、安全代理和总控中心均采用模块化设计,并提供用户设计、开发接口和示例,用户可以根据企业的安全需求定制采购,同时也可以根据需求的变化,在运行时动态改变其工作状态,提高系统的运行效率。
所有组件支持自动升级,系统维护方便、快捷:系统的主机代理及其功能模块均支持基于版本号的网络自动下载更新,只需要在总控中心一次部署即可以完成全网的自动升级。系统的维护和升级非常方便。
客户端监控代理安装部署方式灵活、多样: 内网安全管理系统客户端监控代理同时支持域模式安装、本地安装、网络分发安装以及WEB安装等多种安装部署方式,用户可以根据实际网络环境自由选择。
5.产品性能
内网安全管理系统主要性能指标如下:
总控中心最大并发连接数:3000;
总控中心最大可管理注册主机数量:20000台; 总控中心网络带宽占用:100K/1000客户端; 终端监控引擎CPU占用(静态模式):< 1%;
终端监控引擎内存占用(静态模式):8M。
6.产品部署
内网安全管理系统支持本地部署和分级部署,分级部署示意图如下:
图 2分级部署示意图
第四篇:北信源VRVEDP内网安全管理系统手册
特 别 声 明
本使用手册由《北信源内网安全及补丁分发管理系统》产品安装配置指导手册、用户手册、产品维护手册三部分组成,其内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版),恕不另行通知。需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。
《北信源内网安全及补丁分发管理系统》产品由《北信源内网安全管理系统》及《补丁分发管理系统》两大套件构成。 本使用手册为《北信源内网安全及补丁分发管理系统》通用说明书。若您独立购买《北信源内网安全管理系统》或《北信源补丁分发管理系统》之一产品,本说明书的其它功能将不具备。 两大套件主要区别:《北信源补丁分发管理系统》不具备违规联网监控、客户端安全管理和桌面管理功能;《北信源内网安全管理系统》不具备补丁自动分发功能。请您在使用过程中选择性阅读相应章节。
感谢您购买北京北信源自动化技术有限公司研制开发的内网安全管理及补丁自动分发系列软件。请在使用本软件之前认真阅读本使用手册,当您开始使用该软件时,北信源公司认为您已经阅读了本使用手册。
快速阅读指南
1.详细阅读本软件组件功能、组成、作用、应用构架,确切了解本软件的系统应用。2.安装准备软件环境:Microsoft SQL Server2000、Windows 2000 Server、Internet 服务管理器;建议将数据库管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理器所在机器的88端口不被占用(即非主域控制器);防火墙应允许打开88,2388,2399,22105,8900,8901,22106,22108,8889端口。3.按步骤安装各组件后,通过http://*.*.*.*/vrveis登录Web管理平台,首先对Web管理平台进行如下配置:添加区域→划分该区域IP范围→指定区域管理器→指定区域扫描器。4.5.双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。在VRVVRVEISdownload目录中,使用RegTools.exe工具修改DeviceRegist.exe文件中的本地区域管理器IP,将修改后的注册程序DeviceRegist.exe放在机构网站上进行静态网页注册,或者在机构网站上加载动态网页检测注册脚本语句,进行动态设备注册。6.系统升级:联系北信源公司获取最新的软件组件升级包,确保Web管理平台、区域管理器、客户端注册程序等组件的升级。
特别提示:默认管理员用户:admin,密码:123456;系统指定审计用户名:audit,密码:123456请注意修改。
第一章.系统介绍........................................................................................................5 1-1 产品组成............................................................................................................5 1-2 应用构架............................................................................................................7 第二章.系统安装........................................................................................................8 2-1 安装环境............................................................................................................8 2-2 安装注意事项....................................................................................................9 2-2-1 软件安装监控服务器部署注意事项.........................................................9 2-2-2 软件安装和应用过程中注意事项...........................................................10 2-3 系统组件安装..................................................................................................11 2-3-1 安装SQL server数据库.........................................................................11 2-3-2 安装WinPcap驱动模块...........................................................................11 2-3-3 安装远程技术支持模块............................................................................11 2-3-4 初始化数据库...........................................................................................11 2-3-5 安装Web中央管理平台...........................................................................14 2-3-6 安装区域管理器Region Manage............................................................15 2-3-7 配置设备扫描器模块Region scan........................................................16 2-3-8 安装补丁下载服务器模块.......................................................................17 2-3-9 安装管理器主机保护模块.......................................................................18 2-3-10 安装报警中心模块.................................................................................18 2-3-11 客户端注册及下载.................................................................................18 第三章 系统应用........................................................................................................27 3-1配置与管理.......................................................................................................27 3-1-1 区域划分...................................................................................................27 3-1-2 区域管理器配置.......................................................................................30 3-1-3 扫描器配置...............................................................................................35 3-1-4 注册程序配置...........................................................................................38 3-1-5 注册部门配置与管理...............................................................................41 3-1-6 自定义组分配与管理...............................................................................44 3-1-7 IP与MAC绑定列表..................................................................................45 3-2策略中心............................................................................................................46 3-2-1 阻断违规接入管理...................................................................................46 3-2-2 策略管理中心...........................................................................................47 3-3数据查询............................................................................................................84 3-3-1设备信息查询.............................................................................................87 3-3-1-2注册设备资产查询..................................................................................88 3-3-1-3硬件变化设备查询..................................................................................91 3-3-1-4设备安装软件查询..................................................................................88 3-3-1-5设备首次运行进程查询..........................................................................89 3-3-1-6共享目录查询..........................................................................................90 3-3-1-7设备IP占用状况列表............................................................................91 3-3-7移动设备审计查询.....................................................................................92 3-3-7安全策略违规查询.....................................................................................94 3-3-8涉密检查查询.............................................................................................95 3-3-9消息确认查询.............................................................................................96 3-3-11软件分发查询...........................................................................................97 3-3-12软件分发统计...........................................................................................97 3-4终端控制...........................................................................................................98 3-4-1终端管理:................................................................错误!未定义书签。3-4-2行为控制....................................................................错误!未定义书签。3-4-3 VPro 远程管理.........................................................错误!未定义书签。3-4-4远程协助....................................................................错误!未定义书签。3-5补丁分发...........................................................................错误!未定义书签。3-6运维信息...........................................................................................................98 3-6-1客户端流量排名......................................................................................116 3-6-2客户端流量统计......................................................................................117 3-6-3运维状态异常..........................................................................................117 3-6-4网络拓扑发现............................................................错误!未定义书签。3-7报警事件.........................................................................................................119 3-7-1报警数据查询..........................................................................................119 3-7-2图形化报警..............................................................................................123 3-7-3本地报警数据汇总..................................................................................123 3-8级联总控.........................................................................................................127 3-9统计报表.........................................................................................................133 3-10系统维护.......................................................................................................135 第四章 补丁分发管理..............................................................................................142 4-1 区域管理器补丁管理设置............................................................................142 4-2 补丁自动下载分发........................................................................................143 4-3 客户端补丁检测
(一)................................................................................148 4-4 客户端补丁检测
(二)................................................................................150 4-5.本地补丁分发综合查询..............................................................................150 4-6 补丁级联下载................................................................................................151 第五章 客户端阻断..................................................................................................153 5-1 扫描器组件配置............................................................................................153 5-2 阻断策略应用................................................................................................153 5-2-1 违规自动阻断策略.................................................................................154 5-2-2 手动设置针对设备的单独阻断策略.....................................................154 5-2-3 硬件防火墙联动阻断策略.....................................................................155 第六章 网络接入认证管理......................................................................................157 6-1 策略中心->接入认证策略->补丁与杀毒软件认证.........................................157 6-
2、策略中心->接入认证策略->进程服务注册表认证.......................................159 6-
3、策略中心->接入认证策略->802.1X接入认证认证......................................163 6-4、环境准备方法................................................................................................164 RADIUS安装与配置............................................................................................164 安装RADIUS........................................................................................................164 6-
5、各厂商交换机配置..........................................................................................177 1.Cisco2950配置方法...................................................................................177 2.华为3COM 3628配置...............................................................................178 3.锐捷RGS21配置.........................................................................................182 第七章 系统备份及系统升级..................................................................................183 7-1 系统数据库数据备份及还原........................................................................183 7-2 系统组件升级................................................................................................184 7-2-1 区域管理器、扫描器模块升级.............................................................184 7-2-2 升级网页管理平台.................................................................................184 7-2-3 客户端注册程序升级.............................................................................184 7-2-4 检查系统是否升级成功.........................................................................185 7-3 级联管理模式升级及配置............................................................................185 第八章 售后服务......................................................................................................187 第九章 附录..............................................................................................................189 附录
(一)微软SQLSERVER系统安装步骤...........................................................189 附录
(二)北信源内网管理系统名词注释........................................................195 附录
(三)移动存储设备认证工具操作说明....................................................196 附录
(四)主机保护工具操作说明....................................................................214 附录
(六)组态报表管理系统操作说明............................................................221 附录
(七)信息安全通告平台............................................................................230 第一章.系统介绍
1-1 产品组成
北信源内网安全及补丁分发管理系统由8部分组成:WinPcap程序、SQL Server管理信息库(安装包:环境初始化程序)、Web中央管理配置平台(安装包:网页管理平台)、区域管理器(安装包:Region Manage,原区域扫描器已作为模块集成到区域管理器)、客户端注册程序(安装包:注册程序)、补丁下载服务器、管理器主机保护模块、报警中心模块。
环境初始化程序:SQL Server管理信息库,建立北信源内网安全及补丁分发管理系统的初始化数据库。包括:网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册(未注册)机器信息、设备属性变化信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比,根据规则要求在管理平台上报警。
Web管理平台:Web中央管理配置平台,本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定,网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。
Region Manage:区域管理器,系统数据处理中心。与管理信息数据库通讯,接收注册程序提供的用户信息,将用户信息(用户填写的物理信息和系统自动采集的硬件信息)并行存入数据库;接受来自控制台的命令操作,发送到客户端、扫描器执行。
对于存在多级管理要求的广域网,网络中可以存在多个区域管理器,系统数据提供逐级上报(转发)模式。
区域管理器内置网络扫描器,扫描器将设备最新状态信息报送至区域管理器,由区域管理器处理后,同数据库中原有信息进行遍历搜索对比,根据管理规则在管理平台上报警。
扫描器配合区域管理器进行工作,可以在分级模式下使用。扫描器只依据Web管理平台中配置的工作范围进行扫描,超越其范围,将不负责执行操作。
WinPcap程序:嗅探驱动软件,监听共享网络上传送的数据。
客户端注册程序:用户访问指定网站自动获得,用户填写本机信息,填写必要信息后上报区域管理器。注册程序自动探测系统硬件信息,连同用户填写的信息一同上报区域管理器。用户将本机注册信息发送到区域管理器后,区域管理器自动将客户端驻留程序应用策略发送给用户,并自动更新。
客户端驻留程序功能:
1.进行本机硬件属性信息变化监视; 2.进行本机IP、MAC地址变化审计;
3.本机系统补丁、软件安装、运行进程状况监测;
4.探测本机是否有违规联网行为,在内网管理中心或外网报警平台报警; 5.接受Web管理平台的管理命令; 6.阻断本机非法外联行为;
7.执行Web管理平台下发的各种策略操作。补丁下载服务器:安装在与Internet网络连接的机器上,用于实时下载补丁厂商发布的补丁。
管理器主机保护模块:管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协议、通信IP范围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置,从而防止该计算机受到恶意的IP冲突以及各种网络、病毒攻击。
报警中心模块:安装在可与区域管理器所在服务器正常通讯的计算机上,本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、信使服务、SNMP Trap、手机短信等多种报警方式。
注:区域管理器(Region Manage)、区域扫描器模块(Region scan)、注册程序部分系统的参数配置集中体现在网页管理平台操作上,上述三部分功能参数、功能项数值统一在网页管理平台中进行配置。区域管理器(Region Manage)、扫描器模块(Region scan)部分参数在自身软件组件中配置。
1-2 应用构架
北信源内网安全及补丁分发管理系统应用于局域网、广域网构架,支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。
系统应用主要分为以下两种构架:
基本构架:对于一般网络(例如1个C类地址或若干个C类地址的局域网范围),可使用一套本系统软件,集中管理所属区域内的所有设备。
扩展构架:对于大规模的多个局域网或者跨地域广域网(包括基于国家、省、市、县等多级管理模式的网络结构),可使用本系统提供的多区域集中管理构架,即一个或多个网段各拥有一套独立北信源内网安全及补丁分发管理系统的同时,将本级所有设备信息再转发给上级管理数据库,使得上一级管理人员对整个网络的设备状况也能够完全掌握。
图1-1北信源内网安全及补丁分发管理系统应用拓扑
第二章.系统安装
2-1 安装环境
条件一:硬件环境
SQL Server数据库服务器:用于安装系统管理信息数据库。PC服务器或更高档服务器,PentiumⅣ 2.4C 以上CPU,512M以上内存。
区域管理器:用于安装区域管理器程序。百兆或千兆网卡,PC服务器或更高档服务器,PentiumⅣ 2.4C 以上CPU,512M以上内存。
扫描器模块:配置同区域管理器。如单独安装扫描器模块,比较高档的PC计算机即可。
本系统各程序可安装在同一台计算机上,也可在不同机器上安装SQL数据库、IIS服务器、区域管理器、扫描器模块等,此时推荐该计算机内存为1G以上。
建议将区域管理器、扫描器、网页管理平台安装在同一台机器上,作为监控服务器。
条件二:提供数据库、IIS服务
操作系统:Windows 2000或Windows 2003企业版操作系统。SQL Server2000软件:配备SQL Server数据库系统,用于北信源内网安全及补丁分发管理系统建立管理信息库数据库列表项。
IIS服务:配备IIS服务器提供Web服务,用于安装Web网页管理配置平台。如所装操作系统为Windows 2003企业版,则需要按照安装光盘中的Windows 2003的IIS配置说明进行IIS配置。
条件三:为本系统提供相应端口
北信源内网安全及补丁分发管理系统区域管理器将占用操作系统88端口,必须确保安装区域管理器的机器该端口不被占用。区域内的防火墙应打开如下端口:80,88,2388,2399,8901,8900,161,137,22105,8889,22106,22108以及ICMP协议。同时最好将DNS服务迁移至其它服务器。
2-2 安装注意事项
软件安装时,推荐将区域管理器、扫描器、数据库安装在同一台机器上(以下称为监控服务器),建议按照下面要求进行监控服务器部署、软件安装、客户端注册。
2-2-1 软件安装监控服务器部署注意事项
1、监控服务器在网络中放置位置注意点
确保该监控服务器能够ping通所有被管理网络中任意一台客户端机器,同时被管理客户端可以正常连接服务器的TCP的80,88两个端口。 监控服务器给客户端下达策略的端口为:TCP端口22105。 监控服务器扫描发现客户端利用以下协议及端口:
ICMP协议(发现IP地址存在的其中一种方式);
NETBIOS协议,UDP端口137(为了发现机器名和MAC地址); SNMP协议,TCP端口161(为了发现智能设备如路由器、交换机等); 在本地网络中若划分了VLAN,或本地网络存在防火墙,请注意上述问题。
2、存在网中子网(如经过地址转换)的网络布置点
对于网络中存在网中网现象,如采用NAT地址转化或者代理方式在10.*.*.*网络中接入192.*.*.*网段,这些子网用户的管理方式如下:
情况一:子网有专人管理,并且有独立机房,则应在该子网中安装一套完整的监控系统。
情况二:子网无专人管理,或无独立机房,可采用以下3种方式之一处理 1)机器数量少的建议统一更改IP为10.*.*.* 网段。2)由管理员监督子网中所有机器进行注册并保证不得遗漏。
3)在该网络中指定一台工作站专门安装区域管理器软件和区域扫描模块,并将区域管理器配置中SQL服务器地址指向监控服务器。
2-2-2 软件安装和应用过程中注意事项
1、必须按照软件安装步骤进行安装 1)确认本机IIS服务正常;
2)确认本机SQL已正常安装并能正常使用(以本地系统账户方式安装); 3)确认目标安装盘剩余空间不小于10G; 4)请务必按照指定顺序安装各个模块;
5)请在区域扫描模块所在计算机中安装SNMP服务;
6)安装完所有系统模块后,请一定按照说明文档进行客户端程序的配置及分发安装。
2、监控服务器的安全性问题
管理服务器安装Windows2000 Server操作系统(带IIS)、MS SQL Server2000数据库后,一定要确保对Windows2000、SQL和IE进行重要安全补丁修补,规范操作系统、数据库的口令和密码设置,保证SQL、IIS的正常启动运行。
确保本服务器无病毒,同时可配置本服务器网络通讯端口仅打开:80,88,6800,8901,8900,22105,2388,2399,8889。
3、保护机制的应用
对大多数交换机、路由器、非Windows设备,需要将其设置为保护状态(避免被阻断导致网络不通),其它如有系统无法识别的重要设备,请在网页管理平台设备信息查询中手动将其设置为保护状态。2-3 系统组件安装
安装顺序依次为:
*安装 SQL Server数据库; *安装WinPcap驱动程序;
*安装并运行环境初始化程序,初始化数据库;
*安装网页平台并进行划分区域,配置区域IP范围、区域管理器参数、设备扫描器参数
等(推荐安装在默认路径下);
*安装区域管理器(推荐安装在默认路径下); *通知所有用户下载并运行注册客户端代理探头程序。
2-3-1 安装SQL server数据库
略,见附录(一)。
2-3-2 安装WinPcap驱动模块
在安装页面中选择“安装WinPcap驱动模块”按钮,单击“下一步”安装在区域扫描器所在计算机上。
2-3-3 安装远程技术支持模块
该模块是一个程序附属工具(一般不需要安装)在客户端安装程序里带有该程序, 是用户远程桌面管理及控制,有便于管理员帮助终端用户解决问题。
2-3-4 初始化数据库
初始化数据库是在SQL数据库中初始化建立VRVEIS数据库并生成系统必需的相关数据表格,在此过程中需要利用本地数据或者调用远程SQL数据库,用户需要根据实际安装情况按以下两种方式进行操作: 本地SQL数据库服务器环境初始化 1)、环境初始化,建立初始数据库
在SQL服务器地址栏中添加本地机器IP地址、SQL用户名、及SQL用户密码。
图 2-3-4-1 SQL数据库服务器环境初始化
2)、检查数据库初始化是否成功:
图2-3-4-2 检查数据库初始化
当有如图“初始化数据库结构成功”提示框弹出时,说明已成功创建初始化数据库。否则会出现如下图所示提示信息:
图2-3-4-3初始化数据库失败提示信息
如果出现如上图所示提示信息,用户需要检查所填入的SQL数据库IP地址、用户名以及用户密码,重新初始化数据库。
远程SQL数据库服务器环境初始化(建议非特殊情况不采用远程方式)1)、输入远程数据库信息,配置SQL客户端:安装远程数据库需要首先输入远程数据库IP地址、用户名称、用户密码,然后点击“配置SQL客户端”,出现如下界面:
图2-3-4-4 配置SQL客户端
2)、在通用栏中,启用TCP/IP协议:在通用栏中,选用TCP/IP协议,并启用,然后单击别名,进行别名添加设置。
图2-3-4-5 启用所选协议
3)、进行客户端别名的添加:单击上图中所圈中的别名,出现如下所示:
图2-3-4-6 对客户端别名的添加
4)、进行网络协议的选择和服务器别名的添加:此时用户需要首先选择网络协议,选定为TCP/IP,服务器别名根据用户需要自由添加,点击确定后完成数据库初始化。
2-3-5 安装Web中央管理平台
安装Web管理平台
此部分程序要求安装在默认路径下,安装过程中请确保信息填写正确,否则,Web服务器可能不能正确访问SQL Server数据库。
Web中央管理平台访问
Web管理平台安装以后在IIS目录上以虚拟目录的形式存在,虚拟目录名称为VRVEIS,用户在安装完成以后,用http://Web服务器域名(IP)/VRVEIS的形式访问Web管理平台主页面。默认用户名为admin,密码为123456。(以下的都是用admin登陆进行说明的)审计用户名为audit,默认密码为123456,详见附录
(六)。
如果http://Web服务器域名(IP)/VRVEIS访问无效,则以http://Web服务器域名(IP)/VRVEIS/INDEX.ASP方式登录。
Windows2003下IIS配置以及NTFS磁盘格式配置注意事项见附录
(七)。
2-3-6 安装区域管理器Region Manage 在Web中央管理平台中划分区域及指定区域管理器后(参见Web中央管理平台配置)安装区域管理器组件。安装后进行以下两项配置:
SQL客户端配置
如果“区域管理器”没有同SQL装在同一台服务器上,需要在如下图所示窗口中将默认网络库选择为“TCP/IP”,使客户端能够远程访问数据库。在“区域管理器”中选择“配置”->“系统配置”,配置SQL客户端,也可以通过Alt+S热键,进入配置。
图2-3-6-1 SQL常规配置
上述配置完毕以后,需要重新启动“区域管理器”,使系统生效。 区域管理器系统配置
SQL服务器配置:进入“系统配置”,逐步输入SQL服务器IP地址、用户名称及密码、数据库名称(默认为VRVEIS),单击“确定”完成SQL服务器配置。
图2-3-6-2 区域管理器中SQL配置
2-3-7 配置设备扫描器模块Region scan 在配置好Web防护系统区域及其区域管理器后做以下步骤:
在配置管理里,点击“扫描器配置”可以添加扫描器,配置扫描范围。
图2-3-7区域扫描器配置
填写相关信息之后重新启动区域管理器,程序会自动缩小到系统托盘,表示数据库连接成功,程序运行正常,此时通过上图中“扫描器配置”项来查看扫描器相关运行信息。2-3-8 安装补丁下载服务器模块
在安装页面中选择“补丁下载服务器安装模块”按钮,输入序列号SN,单击“下一步”、在桌面生成DownPatch.exe快捷方式,执行后如下图所示:
图2-3-8-1 补丁下载服务器主界面
点击系统配置弹出如下图:
图2-3-8-2 补丁下载索引解析界面 添加补丁索引:从北信源站点获取补丁索引,用以获取补丁厂商发布补丁信息,通过对补丁索引的解析,下载补丁。按照补丁索引、管理配置要求从补丁厂商站点获取补丁,补丁下载支持各种方式(下载线程、下载时间)自定义下载补丁。
图2-3-8-3 补丁下载参数设置
2-3-9 安装管理器主机保护模块
选择安装在安装页面中选择“安装管理器主机保护模块”按钮,输入序列号SN,单击“下一步”、在桌面生成 nsscenter.EXE快捷方式,执行后在系统右下角任务栏所示
绿色的图标,鼠标右键点击,可以对其进行相应的设置,具体设置参见附录(四)。
2-3-10 安装报警中心模块
选择安装在安装页面中选择“安装报警中心模块”按钮,输入序列号SN,单击“下一步”、在桌面生成 nsscenter.EXE快捷方式。具体设置参见附录(五)。
2-3-11 客户端注册及下载
(一)客户端注册原理及注册程序配置
客户端注册原理
执行注册程序,根据要求填入指定信息,系统自动将所添加信息和系统自动采集获得的设备信息发送到区域管理器(设置为转发模式的将发送到上级区域管理器),区域管理器将注册信息导入SQL数据库保存,在Web管理平台中设置的客户端参数策略将由区域扫描器扫描客户端后,发送给客户端驻留程序保存执行。
该客户端驻留程序驻留在系统内部,以服务的方式实时运行,一旦某个客户端非法接入互联网或设备改变违规,客户端就向web管理平台发送报警数据,同时本机将显示报警信息。
修改客户端注册程序配置文件
在web平台中配置管理->注册程序配置。注册程序使用前需要网管人员的配置,主要是设置区域管理器IP地址(注册时客户端信息发向该IP地址所在的区域管理器),如区域管理器为192.168.0.244,配置如下图所示:
图2-3-11-1 注册程序配置
在这里,可以对注册时需要填加的单位、注册密码进行编辑。如下图所示:
图2-3-11-2 单位和部门添加删除
(二)客户端注册方法
客户端注册方法包括网页静态注册、网页动态注册、手动注册、网关重定向强制注册等。
网页静态注册:
静态注册比较简单,客户端只需要将配置好的注册文件上传到公共主页上即可,做一个链接,访问主页后手动下载注册。
主要讲述动态注册,这种方法适用于网络用户较多的情况,客户端只要访问网络内公共网站,网页将自动对客户端进行探测,弹出提示窗口,提示用户进行注册。
网页动态注册:
利用网络中已经构建好的内部网站,一方面网络客户端可以通过手动获得注册程序,也可以通过在主网页上加载弹出页面的方式进行提示性注册。本手册将主要介绍后一种方式。
当网络中客户端计算机访问本网络内部网站时,在该主页代码中加入一段代码(如下)。本代码作用在于首先获得该客户端计算机的IP地址,再读取数据库里面相关IP地址的注册和其它相关信息,如果该IP地址的设备存在,系统会根据其是否完成“注册”、“信任”、“保护”三项操作进行判断,只要满足其中任意一条件,都不会提示注册,否则会弹出窗口提示注册。
网页加载弹出程序方法如下:编辑已有主页的源程序,在需要加载弹出窗口主页的源代码
中放入以下代码:注意:需要将其中的http:// 192.168.0.253/vrveis/quest.asp换成http:// 安装内网安全管理网页平台计算机IP/vrveis/quest.asp即可,此时当网络中计算机访问该内部主页时,会自动弹出如下提示页面:
图2-3-11-3 网页动态注册
使用网页动态注册时,请管理员通知注册人,在访问本网站时,暂时关闭网页弹出拦截程序或将本网站添加到不拦截列表中。
手动注册:除了自动注册设备外,遇到需要手工注册新增设备时,也可通过WEB管理平台中数据查询,设备信息查询中的手动添加设备功能,将新增设备的具体信息详细登记填写至数据库中,并将其置为保护设备。
注意:
1.多级级联注册:如果系统为多级级联方式,必须在区域管理器的高级配置中的“系统配置”、“策略配置”选项中的级联选项选中,并正确添加上级管理器的IP地址,各级区域会将自己所管辖的区域管理IP段上报到上级数据库中存储。
此时,当网络中任意一台下级区域客户端计算机访问主网站的同时,会根据最上级区域数据库中存储的各级上报IP段信息,自动将该客户端注册程序文件下载路径指向为自己所处IP段的本级区域注册器上,做到各个区域的客户端计算机在访问同一网站进行注册程序下载时,所下载的客户端程序均为自己所在区域的专用注册程序。
如果网络中内部网站,网络管理员可以通知网络内计算机在本系统Web管理平台的登录页面中点击下载注册程序完成系统注册,或者在此页面下按上面的步骤做好弹出提示窗口方式注册。注册程序界面如下:
图2-3-11-4 客户端注册信息
无论采取哪种方式,在注册成功以后,注册程序除了将主动添加的信息自动上报以外,还会自动收集其它和系统相关的信息进行上报。
客户端和区域管理器连接通讯不正常的情况下,将提示用户“缺省注册成功”,表示客户端探头已经注册完毕,但还没有与区域管理器通讯。当区域扫描器扫到该计算机的IP地址时,才会将添加的信息及系统采集信息上报到区域管理器,存储在数据库当中。
2.本系统使用初期,若要求对下属网络中的计算机信息进行统计、注册、入库,必须在Web管理平台中管理器设置项内选中“允许客户端注册”,如注册时需要密码,也需要在WEB管理平台中进行设置,如下图所示:
图2-3-11-5 允许客户端注册
图2-3-11-6 注册信息编辑
网关重定向:
作用:注册信息重定向。如果没注册的客户机上网,那么他会把上网的网址重定向到指定的注册页面上。1.正确安装运行注册认证网关
2. 启动注册认证网关进行配置
图2-3-11-7 注册认证网关配置
3.在系统参数里选择可以监听到整个网络包的网卡(一般这台机器为网关)
图2-3-11-8 系统参数
4. 在重定向配置里,填写对未注册、保护和信任的机器的重定向网址。策略配置为在多长时间内重定向的次数,超过这个次数,将不再重定向。
图2-3-11-9 重定向配置
5.通讯配置,填写区域管理器的IP地址,通讯端口(一般为88),同步信息间隔为同步区域管理的信息(即发现是否有新注册的信息),本地配置,侦听端口为688。
图2-3-11-10 通讯配置
6.配置完后点确认,然后启动注册认证网关,退出重起就可以用了。(建议把这个用在网关处或总的交换机出口处,这样可以捕获所有的信息包)
(三)客户端卸载
网络客户根据情况需要卸载客户端探头程序时,运行安装程序包中的探头卸载程序UnInstallEdp.exe如图:
图2-3-11-11 客户端卸载
记录下序列号,并将序列号复制到如下图的第一个方框中:
图2-3-11-12 查看卸载密码
点击查看将会产生一个卸载密码,将其输入卸载密码框中点击卸载即可。
图2-3-11-13 卸载密码
或通过WEB管理平台中的点—点控制中的终端卸载如图:
图2-3-11-14 终端点对点-终端卸载 第三章 系统应用
本平台配置主要指北信源内网安全及补丁分发管理系统的网页平台操作,网页平台是整个北信源内网安全及补丁分发管理系统的配置操作核心,整个内网安全及补丁分发管理系统功能的实现全部在Web操作中实现,Web方式有助于管理员远程维护系统,进行统一配置和统一管理。掌握对网页平台的功能操作和配置对使用本系统来提高整个网络的安全性和解决网络管理的效率有着重要作用。
菜单功能模块:系统策略中心、数据查询、终端控制、补丁分发、运维信息、报警事件、级联总控、统计报表、系统维护等模块。
3-1配置与管理
3-1-1 区域划分
在网页平台安装完毕之后,访问http://Web服务器域名(IP)/VRVEIS访问WEB管理平台登录界面。如下所示:
图3-1-1-1 Web管理登录界面
其中客户端工具下载菜单提供了包括用户注册器下载、补丁检测中心、多路帮助平台、普通工具下载、管理员工具下载、工具上传管理等功能,用户按照页面提示操作即可。
图3-1-1-2 客户端工具下载界面
系统默认用户为admin,密码为123456,登录后建议管理员修改管理员密码。成功登录后,进入系统的主界面。如下图所示:
图3-1-1-3 Web管理主界面 在所处的IP地址段内,进行区域划分操作
首先进行区域添加和划分操作。
区域划分:单击配置管理里的“区域划分与配置”,对网络中的客户端进行区域划分管理,按照提示依次添加区域、增加区域IP管理范围、分配区域管理器、,并完成系统组件运行参数配置。
具体步骤:
区域描述配置栏中填写好一些必要的与区域相关的信息,如区域机构代码、区域名称、负责人姓名等。其他信息可以酌情依照实际用途填写。本区域IP划分:根据用户实际需要在下图所示的文本框中填入需要管辖的IP地址。
其中保留IP段为该网段目前没有网络设备存在的网段,如有设备存在,则会产生报警信息。
图3-1-1-4区域划分与配置
下级区域划分:在已有区域页面中点击“增加下级区域”按钮进行下级区域添加,如集团总部下属总裁办、行政部、财务部等。
图3-1-1-5 增加区域
3-1-2 区域管理器配置
区域管理器:区域管理器为系统策略控制及数据接收处理中心,具有控制完成系统相关的动作行为处理功能;同时与本级数据库系统连接,统一接收注册程序提供的信息,将用户信息(填写的计算机使用人姓名、联系电话、E-mail等,计算机IP、MAC地址、硬盘、CPU、内存等其它硬件信息均为自动采集)存入数据库。
根据本区域客户端IP管理情况确定对IP地址的管理方式,若选择IP、MAC地址绑定,需要在静态IP环境下进行设置。
允许客户端控头升级:设置本区域管理器管理范围内的客户端的升级操作。设置vpn网络虚拟管理器IP:是指添加VPN虚拟服务器的IP地址。管理器标识:是指管理器的标记,当服务器迁移时需要设置与之相同的管理器标识。
管理器可直接通信网段:在管理多个独立子网时,该配置填写区域管理器服务器可直接通信的地址。
允许客户端注册:是指任意一台在区域范围内的客户端都可以在服务器上注册。
管理器配置同步:当选中“下级区域”时下级区域的配置应该和上级区域管理器的配置相同,当选中“全部区域”时是指下面的任意级联区域都要和区域管理器的配置同步。
图3-1-2-1 区域管理器参数设置
区域管理器系统配置:当设置完当前页面这时我们可以配置刚才安装好的内网安全管理管理器去桌面双击“内网安全管理管理器”快捷方式弹出如下界面:
图 3-1-2-2区域管理器系统配置
先进行SQL服务器配置:进入“系统配置”,逐步输入SQL服务器IP地址、用户名称及密码、数据库名称(默认为VRVEIS),单击“确定”完成SQL服务器配置。
图 3-1-2-3 SQL服务器配置
管理器配置:本软件默认机器操作系统88端口,若其它应用程序占用该端口,将自动更改为188。
如果区域管理器应用于多级管理(每级都有独立的SQL server和相应的内网安全管理及补丁自动分发管理平台)的级联构架体系,其上级还有区域管理器的情况下,当前区域管理器需要将所有信息上报到上级管理器。
区域管理器支持多级级联,如国家、省、市、县多级规模网络管理构架,下属区域管理器将其所有计算机报警信息转报到上级数据库。注:需要把“上报给上级管理器”√上,输入上级管理器地址。
升级配置:用于配置区域管理器的自动升级,升级服务器地址为上级区域管理器IP。
区域管理器配置-高级设置 系统配置:
锁定下级策略是指下级不能够更改策略信息。
上报给上级区域管理器是指下级的策略,阻断,违规信息上报给上级区域管理器,在此处打上“√”添加上上级管理器地址,配置级联。
图3-1-2-4 区域管理器
阻断配置:
图3-1-2-5阻断配置
探头阻断:目前常用的阻断方式,由扫描器调度探头完成阻断任务。只要保证一个网段(VLAN)中有一台存活的已注册计算机,就可以实现阻断。
防火墙阻断:该方式必须与防火墙结合使用,需要设置必要的防火墙规则集和安全认证,与其它厂商防火墙不兼容。
报警过滤:本软件系统提供对多种违规变化行为的报警:非法外联、设备未注册、IP绑定变化、设备变化、探头被卸载、病毒行为报警等。
本地报警种类过滤:仅对本地网络中区域管理器管理范围内的违规变化行为进行报警显示,用户根据自身管理要求进行筛选。
图3-1-2-6 报警种类过滤
策略配置:系统支持对各种文件的分发,在Web中央管理平台进行软件分发操作前,必须对本项进行配置。
默认将分发文件放在C:VRVRegionManageDistribute目录下,管理员可根据需要自行更改路径,同时,修改本路径后,补丁下载存放的位置也会相应改变。
图3-1-2-7策略配置
补丁下载:将待分发操作系统补丁放置在设置好的补丁路径的目录下,在Web中央管理平台中进行分发操作。
管理员通过对参数项的选择进行下载配置,级联IP提供对上一级补丁的下载获取。
图3-1-2-8 补丁下载
其他配置:主要是硬件网关重定向配置,此功能必须配合硬件设备使用。
图3-1-2-9 其他配置
3-1-3 扫描器配置
点击增加扫描器设置扫描器扫描网络IP范围。机构代码:一般为阿拉伯数字,由用户单位根据管理要求进行设定。扫描间隔:根据管理IP范围大小进行设置(建议设置为10分钟)。
图3-1-3-1 区域扫描器参数设置
注:扫描器配合区域管理器进行工作,扫描器的扫描范围不可能超过它的区域管理器管理的IP范围。
扫描器除了指定扫描的IP范围外还能够指定排除不扫描的地址范围,如有某些网段不需要扫描器发现设备,为缩短扫描时间,可在扫描器设置中增加禁止扫描地址段的设置。
扫描器高级配置:
图3-1-3-2 扫描器配置-系统配置
扫描器高级配置——系统配置:
扫描频率设定:用户可以根据网络中网络带宽占用情况,灵活设置扫描频率,同样可以选择是否“使用SNMP扫描”扫描方式,如果选择“使用SNMP扫描”,则系统能够自动对网络设备(例如交换机、路由器、网络打印机等)进行扫描,并自动登记到设备列表库中。
阻断选项:如果用户选择“扫描器阻断”,此时可采取“轻量级阻断”和“重量级阻断”两种方式。
轻量级阻断:阻断计算机向网络中广播一个ARP请求报文,将被阻断计算机的IP地址及对应的假MAC地址发送给网络内所有的计算机,每台计算机收到请求后便会对本地的ARP缓存进行更新,将收到的请求中的IP和对应的假MAC地址存储在ARP缓存中。这样对于网络中的计算机看来,被阻断计算机的IP地址没有变化,而它的MAC地址已经不是原来那个了。由于局域网的网络通信不是根据IP地址进行,而是按照MAC地址进行传输。因此,被阻断计算机便接收不到网络中计算机(不含阻断计算机)传送过来的信息。
重量级阻断:阻断计算机冒充网络中的其他计算机(本网段1-255)给被阻断计算机发送定向ARP应答报文,被阻断计算机收到请求后便会对本地的ARP缓存进行更新,将收到的请求中的IP和对应的假MAC地址存储在ARP缓存中。这样对于被阻断计算机看来,网络中的计算机的IP地址没有变化,而它们的MAC地址已经不是原来那个了。因此,被阻断计算机便不能向网络中的计算机(不含阻断计算机)传送信息。
扫描器高级配置——交换机扫描配置:
交换机扫描用于扫描发现交换机,进行拓扑发现。Snmp团体名:根据拓扑管理需要输入网络中所有网络设备的snmp读团体名用“;”隔开。
图3-1-3-3 交换机扫描配置
如上图,配置扫描间隔时间一般设成5-10分钟,IP范围设置需要扫描的ip段,snmp读团体名称是根据交换机口令设置的。
该功能的启用需要下载交换机拓扑模块,安装后进行网络拓扑发现。进入web管理平台主页面“运维监控”菜单,启用网络拓扑图,安装交换机拓扑模块后进行网络拓扑发现。
3-1-4 注册程序配置
控制页面如下.管理员可以通过设置来按照需求来配置客户端注册程序,让用户填入相应的信息 ,方便以后管理。其中的项有启用、必选、还可以对输入数据进行控制.后面的功能设置必须对每个功能模块启用。
图 3-1-4-1 注册程序配置
选择编辑单位/部门弹出如下图:
图 3-1-4-2 编辑单位/部门
先选择修改单位弹出如下窗口:
图 3-1-4-3 修改单位
填写单位名称和单位备注消息点击添加/修改单位。最后点击保存修改关闭窗口返回上级窗口如下图:
图 3-1-4-4 保存修改
可以看到刚才添加的单位。
在此输入每个单位所对应的部门,部门备注信息.选择保存修改可以完成单位和部门的配置。
点击设置注册密码弹出如下窗体原注册密码为空。
设置注册密码是为了防止新接入设备非法进行注册。
图 3-1-4-5 直接添加新注册密码保存修改就可以。
注册单位与注册部门产生联动
当对单位和注册部门设置为必填和仅选择这时客户端注册程序 对单位和部门的填写只能按照管理员的设置来选择.不能手动填写。
使用静默注册:以上的设置都不生效这时客户端注册程序只需选择下载运行就可以。
注册程序会自己上报终端的计算机名和IP地址MAC地址。选择保存修改点击打包注册程序这时完成客户端注册程序配置。
3-1-5 注册部门配置与管理
新增单位:该功能作用基本与“从系统注册单位导入”相似,不同的是,它可以加入备注信息。
图 3-1-5-1再新增单位
具体方法:选择新增单位弹出如下窗体:
图 3-1-5-2再新增单位
从已注册的单位选择一个单位然后进行单位描述点击添加。后可以在左边看到新增的单位之后选择新增的部门。选择新增的部门弹出如下图对部门进行描述点击添加完成操作。
图 3-1-5-3 单位描述
从系统注册单位导入:该功能作用是将客户端注册时输入的单位名称导入到“注册单位及部门”中。当客户端在注册时输入单位名称时,那么点击“从系统注册单位导入”就可以看到一个单位名称及相应的部门,同一个单位名称只出现一次。
选择左边单位与部门树目录点击从系统注册单位单位导入弹出如下图:
图 3-1-5-4 系统注册单位单位导入
√选要导入的注册单位点击从已注册部门导入。之后选择刚才添加的单位点击从系统注册部门导入或者新增部门选择相应的部门添加即可。
图 3-1-5-5 添加部门 3-1-6 自定义组分配与管理
自定义组用来对网络中特定或者有特殊用途的机器进行编组,以便采取不同的管理手段,方便管理员的管理。该组的客户端成员可以由管理员根据某查询条件而查得的计算机导入自定义组。如下图所示:
图 3-1-6-1 自定义组分配与管理
1. 首先创建分组,点击创建下级组:首先创建分组,点击创建下级组,添加分组名称,分组描述,保存设置。
图3-1-6-2 创建分组
2. 向组中添加设备:点击添加设备,弹出如下图,可以按设备查找,按IP查找,按操作系统查找,选中一个点击添加,然后点击查询,导入组即可。同时还可以通过设备信息查询,和补丁查询中来添加设备。
图3-1-6-3 查询设备
3. 如果需要将IP/MAC绑定,那么可以执行下面操作:将当添加完组设备以后点击“将组设备添加到IP/MAC绑定”,弹出如下图所示的“确定添加该组设备到IP/MAC绑定列表库吗?”点击“确定”即可将设备全部导入IP/MAC绑定列表。
图3-1-6-4 添加IP/MAC绑定
3-1-7 IP与MAC绑定列表
添加、查询系统IP与MAC绑定设备列表如下图(数据来源在自定义组里可以按IP操作系统等添加一个自定义组)。
图 3-1-7-1 添加系统IP与MAC绑定设备列表
图 3-1-7-2查询系统IP与MAC绑定设备列表
3-2策略中心
3-2-1 阻断违规接入管理
当扫描器发现有外来设备接入内网时,该功能可以有效地控制外来设备接入内网而带来的安全威胁(此功能慎用,在不能确认所有的可信客户端都注册前最好不要使用,同时也要把需要保护的设备保护起来),通过选中“没有注册则阻断联网”复选框便可阻断所以未注册设备。同时提供了信使服务(windows2000以上操作系统)提醒IP、MAC绑定等功能,如下图所示:
图3-2-1 阻断违规接入管理
3-2-2 策略管理中心
如何进行策略创建和分发
(1)在“策略管理中心”中左边的策略项中可点击需要制定的策略,然后在右边的“新建策略名”中输入相应的策略名称后,单击“创建”按钮开始创建策略。
图3-2-2-1策略中心策略制定
(2)随后在具体的策略的配置中根据用户的实际需要配置好策略后,单击“保存策略”就完成了一条策略的创建。(由于各个策略项的配置过程都不一样,这里不再用截图表示,下一节将具体介绍)
(3)接下来是下发策略,即指定策略的执行对象,可通过单击“对象”按钮后,可按界面的提示完成对象的分配。如下图所示:
图 3-2-2-2 下发策略
图3-2-2-3 策略分配对象
如图3-2-2-4表示创建策略成功
(4)如果需要让某一条策略暂时不使用,可按界面中对应的“停用”单选按钮使策略失效,需要使用的时候再单击“启用”按钮使策略生效。如果想要删除某一条策略,则直接按“删除”按钮即可。但在删除某策略之前最好先停用该条策略。 策略的高级设置
策略的高级设置用于客户端程序对策略的执行设置,包括策略状态(启动、停止)、策略存活时间(策略执行的起止时间)、策略执行触发条件(在何种条件下开始执行策略)、策略无效时间(规定时间内客户端不执行策略)、策略应用范围(本级区域、下级区域、所有区域)、级联策略类型等,有些策略还包括具体的触发时间设置等。
图3-2-2-5 高级策略设置
说明:策略存活时间范围:即策略以天为单位的存活时间段。
策略无效工作日:即可在一星期中选中一天或多天使策略无效。策略无效时间段:即策略以分为单位的无效的时间段。
强制策略:级联策略发到下级管理器时,下级管理员对策略内容不能修改,并且不能修改该策略的对象和启动、停用状态。
样板模版:级联策略发到下级管理器时,下级管理员对策略内容不能修改,但是可以修改该策略的对象和启动、停用状态。
策略有效网络:a.在所有网络均有效:该功能意思是策略在区域管理范围内、外均有效。
b.仅在该网络中有效:该功能意思是仅在区域管理范围内有效。 系统策略设定 1)黑白名单编辑:
<1> 进程黑白名单:进程黑白名单在进程监控中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。编辑进程黑白名单时包括,进程名,产品名,源文件名等;如果是服务则只可以加服务名,同时可以加一些描述。
图3-2-2-6
<2> 软件黑白名单:软件黑白名单在软件安装监控中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。
第五篇:威盾内网安全管理系统方案
内网管理对医院IT正常运行的价值 医院内部网络管理的现状及碰到的问题
随着医院HIS,PACS等各种业务系统的投入运行,计算机软件、硬件以及网络日益成为医院业务运转中不可缺少的基础设施。可以想象,网络是否能正常运行,以及运行的正常与否已经成为医院是否能正常运转的关键。
所有医院都碰到过以下问题:
网络变慢,找不到原因; 网络瘫痪,不知道如何处理;
虽然安装杀毒软件,但是因为不正当的使用,还是会导致计算机重新安装; 使用内网管理系统是解决以上问题的解决办法。如果说网络管理员就象医院的保安一样,一个内网管理系统就是医院网络的监控摄像头。光靠管理员出了问题进行补救和维护是无法完成巨大的管理维护工作的。内网管理系统可以24小时帮助管理员实施安全策略,及时更新病毒库,出现问题及时进行维护。
让管理员节省更多的时间进行业务系统维护学习,以及更好的进行网络维护。根据统计数据,实施内网管理的医院,网络故障率减少80%。基于这个原因,卫生部才会要求三级医院安装内网管理软件,配合进行网络管理,作为提高医院管理水平的标志之一。全国三级甲等医院大部分都已经开始应用内网管理软件。威盾(VIACONTROL)安全管理系统
威盾网络安全管理(VIACONTROL)系统遵循网络防护和端点防护并重理念,对网络安全管理人员在网络管理、客户端管理过程中所面临的种种问题提供解决方案,实现内部网络客户端的可控管理。具体功能如下: 模块名称
子功能
功能介绍
管理作用
基本策略
禁用控制面板
可以在开始菜单和我的电脑下隐藏控制面板选项
防止非管理人员随意修改电脑设置,或添加删除相关程序给公司网络管理带来麻烦。
设置屏幕属性
可以禁止修改显示背景和屏幕保护属性等
有些游戏程序在启动的时候会修改屏幕的属性,对屏幕属性的管理可以有效的控制员工在上班期间做一些与工作无关的事情。
打印机管理
可以禁止增加、删除打印机
可以有效的控制打印机的使用,节约打印成本。
禁止计算机管理
可以禁止使用计算机管理里的各种系统管理功能
避免员工私意添加用户、修改程序驱动、更改磁盘盘符及容量,给管理人员带来不必要的麻烦。
禁止修改网络属性、禁止任何默认网络共享
可以禁止修改网络属性
员工往往因为工作需要设置共享文件夹,然而,共享文件很容易被别有用心的员工或外来计算机窃取。避免网络共享泄密和网络病毒传播。
禁用娱乐类
可以禁止使用聊天类、影音类、游戏类、FLASH类的ActiveX插件
防止上班其间聊QQ、MSN看在线电影、听音乐等浪费公司的资源。
报警功能
可按某台、某组或整个网络设置硬件或软件信息变化的报警规则
实现对违规网络行为的及时发现,提高了网络行规范管理的响应能力。
基本事件日志
可以详细记录客户端PC开机、关机的时间,以及用户登录、登出时间。
让IT管理者从多个角度来了解网络内每台计算机的全面的日志信息,为故障排除和网络管理提供有力支持。
应用程序
应用程序日志
可以详细记录所有应用程序启动/关闭和窗口/标题切换日志,可以按某台、某组或整个网络查询,可以按时间、应用程序以及路径/标题查询日志
可以很容易、客观的评估出员工使用程序的工作情况和效率,方便进行员工的网络行为管理。
应用程序统计
可以按时间、计算机(组)/用户(组)、应用程序明细查看并统计某个员工使用某个应用程序的时间,以及占全部工作时间的百分比
方便管理者对员工的网络行为进行个性化统计和分析。
应用程序控制
可以按全天或指定的时间对指定的程序禁止。
对违规网络行为在事前进行控制。
网络流量
网络流量统计
可以按时间、计算机(组)/用户(组)、地址明细、端口明细、地址类别、端口类别查看并统计网络流量大小情况
可以通多种方式查看网络的流量,如:可以查看每一个用户每一个端口的流量,从而可以分析出该员工做的那一类工作占的比重多。
网络流量控制
可以限制客户端的流量,可以指定网络地址、端口范围、流量方向来限制客户端的流量
可以针对不同用户或一个组内的用户,进行安不同网段不同端口进行流量控制,可以有效管理非法BT或其它下载行为。
文档操作控制
可以在指定的时间,禁止对指定文档的操作。操作类型包含:创建、复制、移动、删除、重命名、修改、恢复及访问
可以防止非法从电脑硬盘等其它存储设备中拷贝、删除、移动、重命名、恢复等操作,可以有效的管理企业内部机密文档。
打印控制
打印操作记录
可以记录和查询员工打印文档情况,包含打印时间、目标文档路径、打印页数、打印机名称、执行打印任务的PC机器名和登录用户名
可以安日期、文件名等灵活的查询打印过的文档记录。
打印控制
可以在指定的时间禁止指定的打印机进行打印任务
可以控制那些用户可以打印那些用户不可以打印,从而节约打印成本。
屏幕快照
查看屏幕快照
可以看到网络内员工正在操作计算机的最新画面
方便管理者进行网络行为的巡视,发现违规行为,及时纠正。
记录屏幕历史
可以按天查看网络内员工操作过的历史画面、并连续播放历史画面
方便管理者进行网络行为的事后追查,客观的评估员工的网络行为。
远程维护
远程信息查看
可以查看客户端的基本信息,包含客户端的计算机名、登录的用户名、操作系统、IP/MAC、开机时间、网络共享、磁盘使用情况、计算机性能、共享的文件夹等
管理员可以很方便查询任意一台电脑的所有信息,从而了解每一台电脑的现状及工作情况。
远程操作
可以远程地对客户端的进程、服务进行管理,包含结束继承、关闭服务、启动服务等,并可以远程唤醒客户端PC、清除客户端系统
管理员可以通过控制台来维护员工的电脑,包括软件的安装、修改、进程的管理等。
远程控制
可以远程登录、注销、重启计算机,支持键盘输入和登录快捷键操作
方便IT管理者对网内计算机进行远程维护,同时支持异地远程维护,实现了跨区域分支机构的集中管理和控制。
远程文件传送
可以远程打开指定客户端文件夹,可以让控制台和客户端相互传送文件
公司如果有什么文件要下发的话,可以通过控制台来进行单发或群发,从而节省了时间,提高了工作效率。
基本控制
可以在控制端针对网内任意计算机进行锁定、关闭、重启、注销和发送即时通知信息
若发现网内计算机有非法操作,可以及时的采取行动,对非法行为进行及时控制,避免非法行为的继续,挽回损失。方便管理者进行远端电脑的强制性控制和系统维护管理,防止员工下班后或长时间离开办公位置忘记关闭计算机。
设备控制
驱动类设备
可以按某台、某组或者整个网络禁止使用哪些存储设备。包含:软驱,光驱,刻录机,磁带机,可移动设备(U盘,移动硬盘,记忆棒,智能卡)
避免员工使用与工作不相关的计算机设备,错误修改网络属性,方便统一部署屏保程序或画面。根据风险评估,制定事前预防策略,根据策略对相应的设备进行禁止,预防文件泄密。
通讯类设备
可以按某台、某组或者整个网络禁止使用哪些通讯设备。包含:串口,并口,USB 控制器和连接器(HUB),SCSI接口,1394控制器,红外线,PCMICA卡,蓝牙设备,MODEM
防止随意通过无线、蓝牙、红外、拔号等方式上网,从而避免机密文件外泄。
USB类相关设备
可以按某台、某组或者整个网络禁止使用哪些USB设备。包含:USB 键盘,USB 鼠标,USB Modem,USB 映像设备,USB 设备。
可以对USB键盘、鼠标、modem、MP3、移动硬盘等分别进行控制,启到防止文件外泄、病毒扩散等。
其它类
可以按某台、某组或者整个网络禁止使用哪些其他设备。包含:声音设备,无线网卡,PnP网卡虚拟光驱
可以控制声音设备、无线设备、虚拟设备等。
禁用任何新设备
可以按某台、某组或者这个网络禁止使用任何新设备
不允许增加没有经过管理员认可的任何设备。
网络控制
网络端口控制
可以通过对通讯方向、IP地址范围、网络端口范围的设置进行管理
有效的防止外来计算机侵入单位内部就局域网,可根据需要灵活的设置外来计算机跟网内计算机的通讯方向。
上传下载控制
可以控制员工的上传/下载行为
上传下载是最消耗企业网络资源的,对上传下载进行合理的设置才能提高工作的效率。
IP MAC 绑定
可以将客户端PC的IP地址与MAC地址进行绑定。
防止员工随意修改IP地址,造成IP经常冲突,给管理人员造成很大的麻烦。
入侵检测
可以发现网络内是否有非法计算机接入,同时能够阻止非法计算机接入
可以有效的防止非法的电脑入侵企业内部局域网,从而减少病毒的侵入和非法的机密文件。
即时通讯传送文件控制
可以通过对传送文件的名称、文件大小来禁止员工用即时通讯工具传递文件。
可以对即时通讯工具传送的文件进行控制和记录,达到安全管理。
资产管理
资产管理
可以自定义查看硬件或软件的资产分布情况、按组、计算机来查看某个硬件和软件分布在哪些计算机,并统计数量。
管理者可以方便的进行员工的电脑的办软硬件信息进行监控,为故障排除提供依据,为软硬件的安全管理提供支持。
补丁管理
可以查看客户端系统补丁情况,服务器自动下载补丁,并自动下发到客户端静默安装。
可以分析企业内部所有电脑的系统配置,下载相应的补丁进行补丁智能分发,提高了管理员的工作效率,降底了公司的网络资源。
漏洞检查
可以查看客户端的系统漏洞信息、并可以根据建议手工解决漏洞问题
可以扫描企业内部网络那些电脑存在安全漏洞,然后可以智能的安装相应的补丁,减化了网络管理人员的工作。
软件分发
可以向客户端自动分发和安装软件,或者将指定的文件或者应用程序复制到客户端指定的位置。
实现程序的自动化部署,比如:补丁程序、应用程序,大大提高程序部署的效率,让IT管理者不再为大量的机械性、重复性
三: 模块及产品报价
根据目前苏州中西医结合医院的规模和应用需求,目前有内外网分离和全局网络两种方案可供选择,具体模块产品型号如下: 1内外网分离
编号
模块名称
功能
选择
V01
基本策略(必选)
防止用户随意更改计算机设置
(V02
应用程序
对用户的应用程序进程进行监控并管理
(V09
设备控制
控制计算机能使用的设备,比如U盘,光驱,软驱等等。
(V13
资产管理
查看补丁情况,自动下补丁。自动记录软件,硬件情况,进行漏洞检查,以及自动软件分发
(产品报价明细 项目
模块选择
模块 单价
总价
其他费用
内网安全管理威盾Viacontrol
V01 基本策略 V02 应用程序 V09 设备控制 V13 资产管理
标准价格60元/模块
按照50点计算: 50*4*60 = 12,000元
免费提供1年升级服务 包含安装、实施费用全局网络 编号
模块名称
功能
选择
V01
基本策略(必选)
防止用户随意更改计算机设置
(V02
应用程序
对用户的应用程序进程进行监控并管理
(V03
浏览网站
浏览网站记录:详细的纪录出员工每天的上网情况。
(V04 网络流量
网络流量统计:统计出每台或者每个部门的电脑占用的网络流量情况,并对网络流量按照端口和地址进行了明细和类别的分类。
(V09 设备控制
控制计算机能使用的设备,比如U盘,光驱,软驱等等。
(V13
资产管理
查看补丁情况,自动下补丁。自动记录软件,硬件情况,进行漏洞检查,以及自动软件分发
(产品报价明细 项目
参数
单价
总价
其他费用
内网安全管理 威盾Viacontrol
V01 基本策略 V02 应用程序 V03 浏览网站 V04 网络流量 V09 设备控制 V13 资产管理
标准价格60元/模块
按照100点计算: 100*6*60 = 36,000元
免费提供1年升级服务 包含安装、实施费用
点击咨询 