（企业管理手册）VRV北信源内网管理系统用户使用手册

资源描述

《（企业管理手册）VRV北信源内网管理系统用户使用手册》由会员分享，可在线阅读，更多相关《（企业管理手册）VRV北信源内网管理系统用户使用手册（142页珍藏版）》请在金锄头文库上搜索。

1、北信源内网安全管理系统北信源内网安全管理系统用户使用手册用户使用手册北京北信源软件股份有限公司北京北信源软件股份有限公司二二一一一一年年支持信息支持信息 I支持信息支持信息在北信源内网安全管理系统使用过程中，如您有任何疑问都可以通过访问我公司网站 http:/ 或者致电我司客服中心获得帮助和支持！热线支持：400-8188-110客户服务电话：010-62140485/86/87在您使用该产品过程中，如果有好的意见或建议的话也请联系我们的客服中心，感谢您对我公司产品的信任和支持！目录目录 I正文目录正文目录第一章第一章概述概述.1特别说明 .1产品构架 .1应用构架 .3第二章第二章北信源内网

2、安全管理系统北信源内网安全管理系统.5策略中心 .5策略管理中心.5网关接入认证配置.26阻断违规接入管理.26补丁分发 .26数据查询 .26本地注册情况统计.26本地设备资源统计.27本地设备类型统计.27USB标签信息查询.27设备信息查询.27审计数据查询.29分发数据查询.29非Windows操作系统设备.29终端管理 .30终端管理.30行为控制.30远程协助.31运维监控 .31报表管理 .32报警管理 .32报警数据查询.33本地区域报警数据统计.33本地报警数据汇总.33级联总控 .33级联注册情况统计.33级联设备资源统计.33级联设备类型统计.34级联管理控制.34区域管

3、理器状态查询.35区域扫描器状态查询.35级联上报数据.36级联报警数据.36系统维护 .36系统用户分配与管理.36用户设置.39数据重整.39审计用户.40第三章第三章北信源补丁及文件分发管理系统北信源补丁及文件分发管理系统.42区域管理器补丁管理设置.42补丁下载配置.42文件分发策略配置.43策略中心 .43目录目录 II补丁分发策略.43软件分发策略.46其他策略.47补丁分发 .47补丁自动下载分发.48补丁下载服务器.48补丁库分类.49补丁下载转发代理.49客户端补丁检测（一）.50客户端补丁检测（二）.52第四章第四章北信源主机监控审计系统北信源主机监控审计系统 .53策略中

4、心 .53行为管理及审计.53涉密检查策略.55其他策略.55数据查询 .55第五章第五章北信源移动存储介质使用管理系统北信源移动存储介质使用管理系统 .57策略中心 .57可移动存储管理.57其他策略.57数据查询 .57第六章第六章北信源网络接入控制管理系统北信源网络接入控制管理系统.59网关接入配置认证.59策略中心 .60接入认证策略.60其他策略.64环境准备方法.64安装RADIUS (windows IAS).64各厂商交换机配置.83Cisco2950配置方法.83华为3COM 3628配置.84锐捷 RGS21 配置.87第七章第七章北信源接入认证网关北信源接入认证网关.89

5、网关接入配置认证.89策略中心 .90第八章第八章系统备份及系统升级系统备份及系统升级.92系统数据库数据备份及还原.92系统组件升级.92区域管理器、扫描器模块升级.92升级网页管理平台.93客户端注册程序升级.93检查系统是否升级成功.93级联管理模式升级及配置.93附录附录.95附录（一）北信源内网安全管理系统名词注释.95附录（二）移动存储设备认证工具操作说明.95USB标签制作.95USB标签制作工具.97目录目录 IIIUSB标签制作历史查询.108移动存储审计策略.109移动存储审计数据.110附录（三）主机保护工具操作说明.110附录（四）组态报表管理系统操作说明.111模版制

6、定.111报表输出.117附录（五）报警平台操作说明.120设置.120日志查询.123窗口.123更换界面.124帮助.124附录（六）漫游功能说明.124漫游功能介绍.124漫游功能配置.126附录（七）IIS 服务器配置说明.130WIN2003-32位IIS配置说明.130WIN2003-64位IIS配置说明.132WIN2008-64位IIS配置说明.134目录目录 IV图目录图目录图 1- 1 北信源终端安全管理应用拓扑.4图 2- 1 创建新策略.5图 2- 2 下发策略.6图 2- 3 策略控制.6图 2- 4 硬件设备控制.8图 2- 5 软件安装监控策略.10图 2- 6

7、进程执行监控策略.11图 2- 7 进程保护策略.12图 2- 8 协议防火墙策略.15图 2- 9 注册表 .16图 2- 10IP 与 MAC 绑定策略.17图 2- 11 防违规外联策略.19图 2- 12 违规提示 .19图 2- 13 文件备份路径设置.23图 2- 14 注册码配置.25图 2- 15 阻断违规接入控制设置.26图 2- 16 本地注册情况信息.26图 2- 17 本地设备资源信息.27图 2- 18 本地设备类型统计.27图 2- 19 软件变化信息.28图 2- 20 注册日志信息.29图 2- 21 交换机扫描管理配置.32图 2- 22 设备信息统计图表.3

8、3图 2- 23 级联设备信息.34图 2- 24 级联设备系统类型统计.34图 2- 25 级联管理控制.35图 2- 26 下级级联区域管理器信息.35图 2- 27 区域管理器状态信息.35图 2- 28 区域扫描器状态信息.35图 2- 29 级联上报数据.36图 2- 30 系统用户列表.36图 2- 31 添加系统用户界面.37图 2- 32 用户管理列表.37图 2- 33 终端控制权限.38图 2- 34 屏幕监控权限.38图 2- 35 密码初始化提示框.39图 2- 36 密码初始化完成提示框.39图 2- 37 修改ADMIN用户密码 .39图 2- 38 数据重整信息表

9、.40图 2- 39 审计用户登录.40图 3- 1 区域管理器补丁管理设置.42图 3- 2 分发参数设置.43图 3- 3 补丁自动分发.45图 3- 4 补丁下载服务器界面.48图 3- 5 补丁下载服务器设置.49图 3- 6 补丁代理传发支持.50图 3- 7 补丁下载设置.50图 3- 8 登录页面.51图 3- 9 工具下载页面.51目录目录 V图 3- 10 补丁检测中心.52图 3- 11 客户端补丁漏打检测.52图 6- 1 网关接入认证.59图 6- 2 重定向配置.60图 6- 3 用户添加.60图 6- 4 补丁与杀毒软件认证策略.61图 6- 5 接入认证策略.62

10、图 6- 6 8021X认证界面 .63图 6- 7 8021X认证界面 .63图 6- 8 安全检查没有通过，802.1X不启动认证 .63图 6- 9 认证失败.63图 6- 10 添加 INTERNET验证服务组件.65图 6- 11 IAS 配置界面.65图 6- 12 新建 RADIUS 客户端 .66图 6- 13 新建 RADIUS 客户端 .66图 6- 14 新建远程访问策略.67图 6- 15 设置远程访问策略.67图 6- 16 设置远程访问策略.68图 6- 17 设置远程访问策略选择用户.68图 6- 18 设置远程访问策略使用 MD5 质询.69图 6- 19 设置

11、远程访问策略新建的策略.69图 6- 20 选择 DAY-AND-TIME-RESTRICTIONS.70图 6- 21 选择允许 .70图 6- 22 设置属性 .71图 6- 23 添加属性值VLAN.71图 6- 24 添加属性值 802.72图 6- 25 添加属性值 600.72图 6- 26 添加属性值 600.73图 6- 27 编辑拨入配置文件.73图 6- 28 新建连接请求策略.74图 6- 29 为策略取名字.74图 6- 30 策略配置 .75图 6- 31 添加远程登录用户.75图 6- 32 设置用户属性.76图 6- 33 设置TEST用户.76图 6- 34 设

12、置启用 .77图 6- 35 VRV EDP AGENT认证成功.77图 6- 36 创建用户界面.78图 6- 37 用户添加 .78图 6- 38 设置用户密码.79图 6- 39 进入 NETWORK CONFIGURATION.79图 6- 40 AAA CLIENT 配置.80图 6- 41 AAA SERVER 配置.80图 6- 42 进入 INTERFACE CONFIGURATION.81图 6- 43 进入 RADIUS(IETF).81图 6- 44 进入 GROUP SETUP.82图 6- 45 进入 EDIT SETTINGSP.82图 7- 1 网关接入认证.89

13、图 7- 2 重定向配置.90图 7- 3 用户添加.90图 7- 4 网关接入认证策略.90图 8- 1 级联管理配置.94附图- 1 修改用户 ADMIN USB 标签.96目录目录 VI附图- 2 下载 DEVICENUMBER.EXE.96附图- 3 全局参数.97附图- 4 USBTOOL登录.99附图- 5 USBTOOL界面.99附图- 6 分区格式化.100附图- 7 制作移动硬盘标签 1.100附图- 8 制作移动硬盘标签 2.101附图- 9 制作移动硬盘标签 3.101附图- 10 制作移动硬盘标签 4.101附图- 11 制作移动硬盘标签 5.102附图- 12 制作移

14、动硬盘标签 6.102附图- 13 制作移动硬盘标签 7.103附图- 14 制作移动硬盘标签 8.103附图- 15 制作移动硬盘标签 9.103附图- 16 制作移动硬盘标签 10.104附图- 17 制作移动硬盘标签 11.104附图- 18 3 个分区的优盘和移动硬盘内网登录界面 .105附图- 19 整盘加密的优盘和移动硬盘内网登录界面.105附图- 20 外网插入 3 个分区的优盘或移动硬盘盘符.105附图- 21 交换区登录界面.106附图- 22 外网插入整盘加密优盘或移动盘符.106附图- 23 信息提示.106附图- 24 USBTOOL登录.107附图- 25 USBTO

15、OL界面.107附图- 26 初始化密码.108附图- 27 标签历史查询.108附图- 28 访问控制配置说明.110附图- 29 DOS/DDOS 配置说明.111附图- 30 创建模板.112附图- 31 确定报表标题及报表尾.112附图- 32 定义报表输入项.113附图- 33 确定输出条件.113附图- 34 确定关联.114附图- 35 保存模板.115附图- 36 修改模板名称.115附图- 37 修改模版的输出标题和表尾.116附图- 38 修改输出列选项.116附图- 39 修改关联选项.117附图- 40 修改时间范围统计.117附图- 41 模板预览.118附图- 42

16、输出EXCEL报表模板信息.118附图- 43 时间定义.119附图- 44 模板导入.119附图- 45 模板导出.120附图- 46 报警平台设置.120附图- 47 高级设置.121附图- 48 报警设置上.122附图- 49 报警设置下.122附图- 50 日志查询.123附图- 51 报警中心界面.123附图- 52 漫游示意.125附图- 53 结合接入认证漫游示意图.125附图- 54 CA 服务器界面 .126目录目录 VII附图- 55 区域管理器配置界面.126附图- 56 客户端迁移策略配置界面.127附图- 57 重原管理区漫游出去的客户端.127附图- 58 漫游到

17、新管理器的客户端.128附图- 59 进去漫游组中的漫游客户端.128附图- 60 漫游回原管理器的客户端.129附图- 61 漫游查询状态选项.129附图- 62 IIS 服务管理器.130附图- 63 虚拟目录属性.131附图- 64 选择用户域组.131附图- 65 用户域组高级选项.132附图- 66 用户属性变更.132附图- 67 命令执行结果.133附图- 68 输出结果.133附图- 70 添加角色向导.134表目录表目录表 2- 1 策略的高级设置参数说明.7表 2- 2 硬件设备控制参数说明.8表 2- 3 软件安装监控策略参数说明.9表 2- 4 进程执行监控策略参数说明

18、.11表 2- 5 用户密码策略参数说明.13表 2- 6 协议防火墙策略参数说明.15表 2- 7 注册表检查策略参数说明.15表 2- 8IP 与 MAC 绑定策略参数说明.16表 2- 9 杀毒软件运行监控.17表 2- 10 防违规外联策略参数说明.19表 2- 11 运行资源监控策略参数说明.20表 2- 12 进程异常监控策略参数说明.21表 2- 13 流量采样策略参数说明.21表 2- 14 流量控制策略参数说明.22表 2- 15 消息推送策略参数说明.23表 2- 16 客户端文件备份策略参数说明.23表 2- 17 终端配置策略参数说明.24表 3- 1 区域管理器补丁管

19、理参数说明.42表 3- 2 补丁自动分发策略参数说明.44表 3- 3 人工选择补丁分发策略参数说明.46表 3- 4 普通文件分发策略参数说明.46表 3- 5 补丁下载设置参数说明.51表 4- 1 文件输出审计策略参数说明.53表 4- 2 上网访问审计策略参数说明.54表 4- 3 文件内容检查策略参数说明.55表 6- 1 补丁与杀毒软件认证策略参数说明.61表 6- 2 VIFR 接入认证策略参数说明.64附表- 1 移动存储审计策略参数说明.110概述概述错误！未找到引用源。 1第一章第一章概述概述特别说明特别说明北信源终端安全管理系列产品由北信源内网安全管理系统、北信源补

20、丁及文件分发管理系统、北信源主机监控审计系统、北信源移动存储介质使用管理系统、北信源网络接入控制管理系统及北信源接入认证网关6 大套件构成。本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版)，恕不另行通知。需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。本手册与本系统的安装配置手册中的所有图片均为示意图，请以实际产品为准。本使用手册为北信源终端安全管理系列产品通用说明书。若您独立购买北信源内网安全管理系统或北信源补丁及文件分发管理系统等其中之一产品，本说明书的其它功能将不具备。感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理系列

21、产品。请在使用本软件之前认真阅读本使用手册，当您开始使用该软件时，北信源公司认为您已经阅读了本使用手册。产品构架产品构架北信源终端安全管理产品由 8 部分组成：WinPcap 程序、SQL Server 管理信息库（安装包：环境初始化程序）、Web 中央管理配置平台（安装包：网页管理平台）、区域管理器(安装包：Region Manage，原区域扫描器已作为模块集成到区域管理器)、客户端注册程序（安装包：注册程序）、补丁下载服务器、管理器主机保护模块、报警中心模块。环境初始化程序环境初始化程序SQL Server 管理信息库，建立北信源终端安全管理产品的初始化数据库。初始化的信息包括：网络客户端

22、设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册（未注册）机器信息、设备属性变化概述概述错误！未找到引用源。 2信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比，根据规则要求在管理平台上报警。网页管理平台（网页管理平台（web 管理平台）管理平台）Web 中央管理配置平台，本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定，网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。Region Manage区域管理器，系统数据处理中心，负责与管理信息数据库通讯扫描终端设备、控制服务器、客户端

23、之间的信息、指令的下达、接受。比如：接收注册程序提供的用户信息，将用户信息（用户填写的物理信息和系统自动采集的硬件信息）并行存入数据库；接受来自控制台的命令操作，发送到客户端、扫描器执行。对于存在多级管理要求的广域网，网络中可以存在多个区域管理器，实现系统数据逐级上报（转发），对网络终端的多级管理。区域管理器内置网络扫描器，扫描器用来发现网络的终端设备。将发现的设备信息交由区域管理器处理。、设备最新状态信息报送至区域管理器，由区域管理器处理后，同数据库中原有信息进行遍历搜索对比，根据管理规则在管理平台上报警。扫描器配合区域管理器进行工作，可以在分级模式下使用。扫描器只依据Web 管理平台中配置

24、的工作范围进行扫描，如果终端 IP 超越其范围，将不负责执行操作。Winpcap 程序程序嗅探驱动软件，监听共享网络上传送的数据。客户端注册程序客户端注册程序将接收并执行服务器下发的指令。该程序可以在“工具下载-用户注册器下载”处下载。访问指定网站自动获得，用户填写必要的信息后，运行该程序，区域管理器将收到注册终端的相关信息，同时终端可以接收、执行各种下发的指令。注册程序自动探测系统硬件信息，连同用户填写的信息一同上报区域管理器。用户将本机注册信息发送到区域管理器后，区域管理器自动将客户端驻留程序应用策略发送给用户，并自动更新。客户端驻留程序功能：进行本机硬件属性信息变化监视；进行本机 IP、

25、MAC 地址变化审计；本机系统补丁、软件安装、运行进程状况监测；探测本机是否有违规联网行为，在内网管理中心或外网报警平台报警；接受 Web 管理平台的管理命令；阻断本机非法外联行为；概述概述错误！未找到引用源。 3执行 Web 管理平台下发的各种策略操作。补丁下载服务器补丁下载服务器安装在与 Internet 网络连接的机器上，用于实时下载补丁厂商发布的补丁。管理器主机保护模块管理器主机保护模块管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协议、通信 IP 范围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置，从而防止该计算机受到恶意的 IP 冲突以及各种网络、病

26、毒攻击。报警中心模块报警中心模块安装在可与区域管理器所在服务器正常通讯的计算机上，本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、信使服务、SNMP Trap、手机短信等多种报警方式。应用构架应用构架北信源终端安全管理应用于局域网、广域网构架，支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。系统应用主要分为以下两种构架：基本构架：对于一般网络（例如 1 个 C 类地址或若干个 C 类地址的局域网范围），可使用一套本系统软件，通过一个管理器集中管理所属区域内的所有设备。扩展构架：对于大规模的多个局域网或者

27、跨地域广域网（包括基于国家、省、市、县等多级管理模式的网络结构），可使用本系统提供的多区域集中管理构架，即一个或多个网段各拥有一套独立北信源终端安全管理的同时，将本级所有设备信息再转发给上级管理数据库，使得上一级管理人员对整个网络的设备状况也能够完全掌握。概述概述错误！未找到引用源。 4图 1- 1 北信源终端安全管理应用拓扑北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 5第二章第二章北信源内网安全管理系统北信源内网安全管理系统策略中心策略中心策略管理中心策略管理中心策略的使用策略的使用策略的创建和分发策略的创建和分发1.在“策略管理中心”中左侧的策略项中点击需要制定

28、的策略，然后在右侧的【策略名】中输入相应的策略名称，单击【创建新策略】按钮开始创建策略。图 2- 1 创建新策略注：在策略的定义中使用了一些特别的关键字符，这些特殊的字符不应该在策略内容中出现。否则可能会出现无法预料的系统错误。这些字符包括：策略下发查询(2)终端管理-终端管理-当前执行策略注：策略分发间隔默认为 1 分钟；有的策略需要重新启动生效，请看每条策略的具体说明。具有审计功能的策略，审计数据可以在“数据查询审计数据查询”中查看。黑白名单编辑黑白名单编辑进程黑白名单进程黑白名单进程黑白名单在“进程监控”策略中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。编辑进程黑白名单时

29、包括：进程名、产品名、源文件名等；如果是服务则只可以加服务名，同时可以加一些描述。软件黑白名单软件黑白名单软件黑白名单在“软件安装监控”策略中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。URL 黑白名单编辑黑白名单编辑URL 黑白名单在“上网访问审计”策略、“上网控制策略”中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。端口黑白名单编辑端口黑白名单编辑端口黑白名单在“协议防火墙策略”中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。硬件设备控制硬件设备控制硬件设备控制硬件设备控制北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 8功能说明：

30、控制各种硬件设备及接口的启用或禁用，如果只想禁止使用移动存储设备，也可以通过“可移动存储审计”策略来实现。参数说明：参数参数说明说明不处理、启用、禁用本策略中所能控制的硬件，都需要能够在windows 系统设备管理器中进行禁止和启用。例外选择【启用】时将禁用例外中的设备，选择【禁用】时将启用例外中的设备，【不处理】选项保持原来的状态无变化，提高系统管理性能，如果对某项不关心可以选择该项。例外设备添加方法：右击我的电脑属性硬件设备管理器，出现设备列表。该策略控制叠加到之前的策略基础之上选中此项时：如果有多条此类策略，终端执行效果将是多条策略设置叠加后执行的效果。如果不选择该项，终端只支持单独一条

31、策略，新下发的策略将覆盖原来的策略配置。取消对设备管理器的的拦截操作默认情况下下发该策略后将禁止用户在设备管理器里启用/禁用任何设备，如果取消则可以在设备管理器里启用/禁用设置为不处理的设备。审计结果处理上报服务器：就是将审计记录上报到服务器并进行记录。当客户端脱离网络时无法上报到服务器就记录到本地，等客户端接回网络时再上报到服务器。记录到本地文件：会在本地生成文件记录审计信息。起到在本地备份的作用。表 2- 2 硬件设备控制参数说明注意事项：1如果要对原来禁用的设备启用，最好是明确的为该设备制定一条启用策略。2禁用 u 盘、软驱、光驱等一部分功能，在行为管理与审计策略中的可移动存储审计策略中

32、也可完成，功能上没有什么区别，用户可以根据自己的习惯，自行设定。策略实例：允许使用光驱，但是禁止使用刻录光驱。比如有两个光盘驱动器，分别为：Generic DVD-ROM SCSI CdRom Device 和 MATSHITA UJDA745 DVD/CDRW。从文字显示上可以看出后面一个驱动器为刻录光驱，如果要禁止刻录光驱，则可以将光驱项设置为允许，在【例外】中输入MATSHITA UJDA745 DVD/CDRW或其中的一部分，只要能通过该标志确认是一个可刻录光驱即可。因为基本上可刻录光驱都带有CDRW字样，【例外】中可以输入CDRW。多个例外之间用分号(;)（英文半角格式）分隔，如下

33、图所示：图 2- 4 硬件设备控制北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 9进程及软件管理进程及软件管理软件安装监控软件安装监控功能说明：用于监控客户端安装的软件是否违规并对违规行为做出相应的处理。参数说明：参数参数说明说明软件名设置需要进行控制的软件名称，填入需要监控的软件名称后，点选【添加控制】按钮，如果想要控制更多的软件，输入软件名称后，继续点选【添加控制】按钮，以此类推，可以继续添加需要控制的软件。同一类软件可以使用具体的策略，包括“禁止安装软件”、“必须安装软件”、“允许安装软件”三个选项，这个具体选择可以根据管理员的需要自行设定。如果想要取消对某个软件的

34、控制，请在列表处选定软件的名称，然后点击【删除控制】按钮。还可以添加系统定义的黑名单和自定义的黑名单，并分别配置违规处理措施、高级设置项。其他软件处理当选中“允许安装软件”，再勾中“除以上列表的软件外，安装了其他任何软件都视为违规项”，表示只允许安装列表中的软件，安装其他软件均视为违规，即实现对软件安装的限制功能。当选中“控制状态”是“禁止安装软件”，同时选中【其他软件处理】复选框，那么安装任何软件都是违规的。以上软件安装违规处理指选定的对象如果违反了上述的软件安装监控策略的处理方法。不处理方式，是指不处理违反策略的对象，但是，相关的违规记录可以在 Web 管理器中查询。仅提示方式，是指当选定

35、对象的用户如果违反了策略，将在客户端弹出管理员设置的提示信息。断开网络方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行断离网络的处理，同时，该计算机弹出管理员设定的提示信息。表 2- 3 软件安装监控策略参数说明策略实例：北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 10图 2- 5 软件安装监控策略注意事项：1“软件名”要和控制面板中添加删除程序里的软件程序名一样，该功能支持模糊查询技术，例如在要检查是否安装了 QQ，可能因为各种版本不一样，在“添加删除程序”里显示的是 QQ2004 或 QQ2005，这时您可以只输入 QQ。2静默卸载

36、功能不支持模糊匹配，需要填写跟添加删除程序中的名称完全相同。3为了维护方便，建议管理员将施行安装或禁止安装的需求不同的软件，放在不同的策略中管理，如果同一软件在不同策略中的设置不同，那么，取最后一个策略设置为准。4本策略设置时，建议在高级设置，策略触发方式中，选中启动时触发和间隔触发选中，间隔时间 10 分钟左右。进程执行监控进程执行监控功能说明：用于监控客户端运行的进程，并做相应处理。先添加需要监控的进程信息，再配置违规处理措施。参数说明：参数参数说明说明进程/服务名需要进行监控的进程或服务名称，进程的名称可以从 windows 的任务管理器的进程菜单中查询。填入需要监控的进程名称后，点选【

37、添加控制】按钮，如果想要控制更多的进程，输入进程名称后，继续点选【添加控制】按钮，以此类推。进程名获取方法：右击任务栏选择“任务管理器”。“进程/服务名”处也可填写“*”，例如，进程/服务名：*，产品名称：Microsoft Office 11 Professional，控制状态：必须运行，即表示必须运行 Microsoft Office 11 Professional 产品的所有进程。北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 11产品名称需要进行监控的产品的名称，产品的名称可以从需要监控的文件，鼠标右键点击需要监控的可执行文件，从其中的产品名称中看到，填入需要监控的

38、产品名称后，点选【添加控制】按钮，如果想要控制更多的产品名称，输入产品名称后，继续点选【添加控制】按钮，以此类推。源文件名需要进行监控的具体可执行程序的名称，源文件名可以通过鼠标右键点击可执行文件找到。填入需要监控的源文件名称后，点选【添加控制】按钮，如果想要控制更多的源文件，输入源文件名称后，继续点选【添加控制】按钮，以此类推。可以设置更多的需监控项目。控制状态针对具体的进程、产品、源文件，具体的控制状态有三种，包括“禁止运行”、“必须运行”和“允许运行”，这个具体选择可以根据管理员的需要自行设定。如果想要取消对某个软件的控制，请在列表处选定具体的进程、产品、源文件的名称，然后点击【删除控制

39、】按钮。其他进程处理选中“允许运行”并勾中“除以上列表的进程外,不允许其他进程执行”，则表示只允许进程列表中的进程运行，其他进程均视为违规，即实现对进程运行的限制功能。以上各种情况的违规处理指选定的对象如果违反了上述的监控策略的处理方法。关机方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行 2 分钟后自动关机的处理，同时，该计算机弹出管理员设定的提示信息。表 2- 4 进程执行监控策略参数说明策略实例：图 2- 6 进程执行监控策略注意事项：北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 121进程名称、产品名称、源文件名之间是“或”的关系

40、，填入其中一项或多项均可实现监控功能，其中，产品名称，主要用于监控一系列软件的使用，比如说，qq 不同版本的程序名不一样，但是产品名称是相同的。源程序名的作用，主要是为了防止可执行程序被人手动修改名称而避过安全系统的管理策略。2本策略设置时，建议在高级设置-策略触发方式中，选中启动时触发和间隔触发，间隔时间 5 分钟左右。3启动路径为全路径或系统默认路径。进程保护策略进程保护策略功能说明：设置需要保护的用户进程，防止被保护的进程被非法关闭。策略实例：图 2- 7 进程保护策略注意事项：1这里的进程保护是指使用 windows 任务管理器和一般的应用程序无法终止该程序。2这里的被保护进程，仍然可

41、以在策略中心的“进程执行监控”中进行终止，请管理员注意相关策略的设置。主机安全策略主机安全策略用户密码策略用户密码策略功能说明：此策略可以对系统的本地密码策略、本地帐户锁定策略、系统屏保进行设置，同时可以检测系统密码弱口令，除系统自定义的弱口令外，用户可以自己添加自定义弱口令集。参数说明：参数参数说明说明检测到系统弱口令后当系统检测到客户端采用了弱口令后可以采北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 13用“上报”、“提示”两种方式，即上报给区域管理器或者根据管理员设置的提示信息给客户端发出提示。附加弱口令列表根据各单位名称等不同，自己添加需要探测的弱口令，每个弱口令

42、之间用,分隔。表 2- 5 用户密码策略参数说明注意事项：1在 windows 系统密码策略中，策略是指密码的长度。2“弱口令检查”与“本地账户锁定策略”不能同时设置，否则弱口令用户可能会被锁定，无法使用！也不能对同一台计算机分配两个这样的策略。3检测系统弱口令，原理是使用每个列表中的弱口令来尝试登录计算机，它并不修改任何 windows 系统文件，本策略不会造成任何的计算机不稳定状态。4用户密码策略：只适用于标准版操作系统，番茄花园版不支持；系统屏保设置：重启后生效；弱口令列表需要手动添加。用户权限策略用户权限策略功能说明：检查系统用户、系统用户组的权限的改变和系统用户、系统用户组的增加或减

43、少。当以上的某一条件符合时，则弹出相应的提示信息。根据需要，在相应的菜单中选择上报或者在客户端提示的报警方式，还有两种报警方式同时启用的方式，如果选择中有提示信息选项，将在客户端弹出管理员设定的提示信息窗口。注意事项：1本策略的各项均在 Windows 系统控制面板中的“用户与密码”项或者控制面板中的管理工具文件夹里的计算机管理程序中的用户菜单来实现的，本策略只提供相应的监测功能，不对您的修改进行限制。协议防火墙策略协议防火墙策略功能说明：本策略是基于各种网络协议的原理和各种网络软件对网络的实际应用，用来控制各种网络使用和计算机端口的使用，起到防火墙的作用。参数参数说明说明端口连接控制规则协

44、议类型计算机可以进行很多网络应用，各种应用都是基于网络上服务器提供的服务。不同的服务是采用不同的端口提供的，通过这种端口的方式，计算机才可以与外界进行互不干扰的通信。Tcp/udp 协议，网络通信协议，基本上所有的网络服务都使用它们作为通信的标准。系统在这里通过控制计算机的端口和相应的网络协议，对计算机用户的网络操作进行监管。我们可以通过在 windows 下的 dos 窗口输入“netstat 北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 14a”命令来查看本机打开的端口和各种端口正在被哪种服务使用的，且这个服务使用的是哪种协议。同时，我们也可以通过软件相关的说明文档得

45、到这些信息。我们在端口处填入我们查询到的需要控制的软件使用的端口，在协议选择下拉菜单中选择相应的 tcp/udp 协议。“本地端口”和“远程端口”两个选项，其中，本地端口是指在网络的使用中，本地计算机使用的端口，如果选择这个选项，则在本策略的对象范围内的计算机无法启动使用该端口的服务；远程端口是指在网络的使用中，本地计算机可以启动本服务，但是无法访问远程计算机提供相应服务的端口。管制方式“禁用填充项中指定端口，开放其他端口”选项是指仅禁用在上边填写的端口和其所对应的服务，同时开放其他所有的端口，使其可以使用网络服务。“禁用填充项中指定端口”选项是指仅禁用填充项中的端口和其所对应的服务，并不改变

46、其他端口目前的状态。“开放填充项中指定端口，禁用其他端口”是指，仅开放在上边填写的端口和其所对应的服务，同时关闭其他所有的关口和网络服务，“开放填充项中指定端口”是指开放在上边填写的端口和其相对应的服务，并不改变其他端口目前的状态。选定需要的选项后，点击“添加端口连接控制规则”按钮，所设定的控制将出现在页面下端的控制列表中。ICMP 协议控制规则指系统对 ICMP 协议的控制，主要是通过判断计算机间的互相通信是否正常来判断的。一般来说，只要执行 MS-DOS 窗口下的 ping 命令即可系统对 icmp 协议的控制，主要是通过判断计算机间的互相通信是否正常来判断的。一般来说，只需要执行 ms-

47、dos 窗口下的 ping 命令即可。“禁止 ping 入”是指不允许其他计算机（包括局域网计算机和远程计算机）用 ping 命令来检测本地计算机通信状态。“禁止 ping 出”是指不允许设置的对象客户机用 ping 命令来检测其他计算机（包括局域网计算机和远程计算机）的通信状态。“禁止双向”同时禁止任意两台计算机（至少有一台是本地计算机）的通信检测。设定好后，点击“添加 icmp 协议控制规则”按钮，所设定的控制将出现在页面下端的控制列表中。ip 地址输入需要限制网络使用的计算机的 ip 地址或 ip 地址范围。IP 访问控制规制管制方式“只允许填充项中 ip 地址访问自己，禁止其余 ip

48、地址访问”是指，在设定的 ip地址范围内的计算机，每台计算机能使用策略生效范围内的计算机的网络资源，其他的计算机无法访问该策略范围内的计算机。“只允许自己访问填充项中 ip 地址，禁止访问其余 ip 地址”是指，本策略生效范围内的计算机只能访问在设定的 ip地址范围内的计算机的网络服务，不能访北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 15问其他计算机提供的网络服务。设定好后，点选“添加 ip 访问控制规则”，所设定的控制将出现在页面下端的控制列表中。以上各种选项在设定后，如果需要去掉，只要在控制列表中，点选，然后点击下边的“删除规则”按钮。超级 IP指的是本 IP 不

49、受上边制定的所有策略的限制。默认内网管理服务器 IP 为超级 IP超级端口指本端口和所对应的服务不受上边制定的所有策略的限制表 2- 6 协议防火墙策略参数说明策略实例：如下图所设置的一个样例表示：只开放本地计算机的 80 端口；只允许192.168.0.11-192.168.0.120 该 IP 地址段中的 IP 访问本地计算机；禁止其他计算机 ping 入。图 2- 8 协议防火墙策略注意事项：1此策略需要管理员对网络协议和计算机端口有一定的认识，请慎重制定。通过对端口和协议对计算机用户的网络操作进行监管。注册表检查策略注册表检查策略功能说明：监测客户端的注册表内容和该内容的设定值，防止注

50、册表被病毒或其他恶意程序修改，起到对计算机的安全防护作用。参数说明：参数说明注册表项名称在【运行】项输入“regedit”然后点确定。出现注册表窗口，在左边窗口显示的就是注册表项的名称键名在注册表窗口中，右边窗口中的名称标题下的内容就是键名值类型同注册表右边窗口的值类型的三个选项 “reg_sz”、“reg_dword”、“reg_binary”键值在注册表右边窗口中的数据标题下的内容就是键值检测条件根据需要选择相应的条件适合操作系统根据对象的计算机操作系统状况进行选择具体的操作系统控制操作如果要删除注册表项请确认该项对系统的正常使用北信源内网安全管理系统北信源内网安全管理系统错误！未找到引

51、用源。 16不会造成影响。删除项会同时删除该项下的子项和键。表 2- 7 注册表检查策略参数说明图 2- 9 注册表注意事项：1本策略只提供注册表检测功能，不进行修改注册表内容的操作。IP 与与 MAC 绑定策略绑定策略功能说明：实行 IP 与 MAC 绑定。当 IP 与 MAC 绑定发生变化时，可对其实施自动恢复、弹出提示框、或断开网络并持续阻断该计算机等控制。参数说明：参数参数说明说明客户端特性设置：客户端 IP,MAC绑定点选该选项，才可以使用本策略的功能。Ip 与 mac绑定是指客户端计算机在局域网中标识身份的地址和计算机的网卡标识号码的匹配。当绑定发生变化指客户端计算机用户修改了自己

52、的 ip 地址，这时，网卡的 mac 将于新的 ip 地址相匹配，就不能与原来的 ip 地址匹配，这就是 ip、mac 绑定发生变化。系统根据这种情况给出 4 种处理方式，“不处理”、“自动恢复”、“断开网络”，并且提示管理员设定的信息、“仅提示”只提示管理员设定的信息。表 2- 8IP 与 MAC 绑定策略参数说明策略实例：北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 17图 2- 10IP 与 MAC 绑定策略注意事项：1“客户端 IP,MAC 绑定”选项绝对不能在动态 IP 的设备上使用。2一般常规性的网络应用中，只要设定自动恢复 ip 和除网络管理员的账户其他帐户

53、均有效即可。杀毒软件运行监控策略杀毒软件运行监控策略功能说明：检查客户机是否安装杀毒软件，并做提示、断开、重启计算机等操作。参数说明：参数参数说明说明若客户端未运行病毒防火墙“不处理”、“自动重启”当系统发现客户端未安装杀毒软件时，将弹出管理员设定的提示信息，并且 2 分钟后自动重新启动、“断开网络”断开和网络的连接，并弹出管理员设定的提示信息、“仅提示”只发给客户端提示信息。杀毒软件升级设置用于自动升级杀毒软件。这此功能生效的条件是需要把杀毒软件的升级文件放到VRVRegionManageDistributeAntiVirusUpdate 目录中相应的杀毒软件升级文件夹中，目前支持的可升级的

54、杀毒软件有北信源、macfee、瑞星、诺顿等。表 2- 9 杀毒软件运行监控补丁分发策略、软件分发策略补丁分发策略、软件分发策略请参照第三章北信源补丁及文件分发管理系统北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 18接入认证策略接入认证策略请参照第六章北信源网络接入控制管理系统和第七章北信源接入认证网关。违规外联监控违规外联监控防违规外联策略防违规外联策略功能说明：监视违规网络连接（modem 拨号、双网卡、代理等），并对违规行为做出相应的处理，检测计算机的网络使用是否符合制定的原则，对不符合原则的计算机进行处理。参数说明：参数参数说明说明违规监控设置通过设置，检测策略

55、应用的对象的客户端是否能和外网通信来判断该计算机是否违反了管理员制定的规则。 “外网地址”选项，是利用系统的功能，对这两个地址，进行检测，当可以与这两个网站通信时，视为本机违反策略。“客户端所限定使用的网段”是指，如果客户端访问的 ip 地址超过了在这个选项中设置的范围，也视为本机违反策略。本选项需要填写 ip 地址范围，范围中间区域用“”来间隔。“采用探测外网方法”和 “客户端所限定使用的网段”这两种方法，是并列的，单独使用其中的一种或者两种同时使用都可以满足您的需要。禁止使用代理上网访问如果选择这个选项，则浏览器无法使用代理服务器访问网络，该选项可屏蔽浏览器使用内网或者外网的大多数代理服务

56、。探头发现设备违规后的处理方式A：若客户端同时连接内外网，本选项一般指计算机同时能够访问单位内部网络和外部网络。在处理方式中，仅提示方式，是指当选定对象的用户如果违反了策略，将在客户端弹出管理员设置的提示信息。断开网络方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行断离网络的处理，同时，该计算机弹出管理员设定的提示信息。关机方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行 2 分钟后自动关机的处理，同时，该计算机弹出管理员设定的提示信息。B：若客户端仅在外网，一般是指，客户没有在局域网中，只通过 modem 等网络设备上网的情况。

57、在处理方式中，仅提示方式，是指当选定对象的用户如果违反了策略，将在客户端弹出管理员设置的提示信息。断开网络方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行断离网络的处理，同时，该计算机弹出管理员设定的提示信息。关机方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行 2 分钟后自动关机的处理，同时，该计算机弹出管理员设定的提示信息。重新接回内北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 19网后进行安全检察，是指当计算机离开本网络，并且离开后进行了网络操作，则当计算机回到本网络的时候，提示用户进行安全检测。表

58、2- 10 防违规外联策略参数说明策略实例：图 2- 11 防违规外联策略当执行该策略的客户端有违规外联事件发生时，客户端将弹出管理员设置的提示信息，如下图所示：图 2- 12 违规提示注意事项：1当计算机离开本地网络，并进行过联网后，回到网络仅提示安全检查，本系统并不对其进行具体的安全检查。2使用本策略，必须点选“允许探头进行违规联网监控”和“采用探测外网方法”两个选项。行为管理及审计、涉密检查策略行为管理及审计、涉密检查策略请参照第四章北信源主机监控审计系统北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 20可移动储存管理可移动储存管理请参照第五章北信源移动存储介质使用

59、管理系统主机运维策略主机运维策略运行资源监控策略运行资源监控策略功能说明：本策略主要针对服务器和重要主机而设计的，网管人员十分关心服务器和重要主机的运行状况，如 CPU、内存、硬盘等关键硬件的信息就能直接反映它们的运行情况，用户可以根据管理情况定制报警策略。参数说明：参数参数说明说明cpu 信息cpu 使用率可以在 windows 系统任务管理器中的性能菜单下查询。当 cpu 使用率过高，并且持续时间比较长的话，将会影响计算机的正常使用。用户可根据计算机的硬件配置情况和使用情况自己制定限制的数值。“上报”复选框是将计算机超出设定值的时候的信息发给区域管理器；“客户端提示”在客户端计算机超出设定

60、值的时候，在其本机弹出管理员设置的信息。内存信息内存使用率可以在 windows 系统任务管理器中的性能菜单下查询。当内存使用率过高，并且持续时间比较长的话，将会影响计算机的正常使用。用户可根据计算机的硬件配置情况和使用情况自己制定限制的数值。硬盘信息当系统盘剩余空间低于设定值时报警，当点选“检测其他盘符”时，输入相应的盘符和设定的剩余空间,也会产生报警信息。表 2- 11 运行资源监控策略参数说明注意事项：1当 cpu 持续占用率达到 100%,可能会造成策略对象计算机的死机，无法处理系统发出的提示信息，造成无法提示，这属于 windows 操作系统问题。进程异常监控进程异常监控功能说明：对

61、客户端的进程状态进行监控。参数说明：参数参数说明说明未响应窗口监控在相应的“监控窗口名”处填入需要监控的进程名。进程名可以在 windows 任务管理器的进程菜单下查看。选择具体需要的操作：“上报”：将情况上报给区域管理器；“结束进程”：在客户端结束该进程；“结束并重新启动进程”：在客户端先结束进程，然后再启动该进程。意外退出进程监控在相应的“监控进程名”处填入需要监控的进程名。进程名可以在 windows 任务管理器的进程菜单下查北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 21看。意外服务监控在相应的“监控服务名”处填入需要监控的服务名。服务名可以在 windows

62、任务管理器的服务菜单下查看。表 2- 12 进程异常监控策略参数说明注意事项：1本策略的设置是针对进程的，注意不要和“进程执行监控”相冲突，引起系统的不稳定。垃圾文件清理垃圾文件清理功能说明：根据需要，在相应的文件夹菜单中选择或填入需要清理垃圾文件的文件夹；在相应的文件类别中选择需要清理的文件类型。注意事项：1FAT32 文件系统中被删除的文件放置在回收站中,NTFS 文件系统中直接删除。2请管理员设置时，注意相关的注释。正在使用的临时文件等文件，无法清除，需要清除的话，请先关闭相关的应用程序。系统自动关机系统自动关机功能说明：根据需要设定无键盘、鼠标动作时间自动关机，点选“关机前自动提示”，

63、则在关机前在客户端弹出管理员设定的提示信息。流量管理策略流量管理策略流量采样策略流量采样策略功能说明：通过设置选定用户（在本策略的对象中设定的）计算机的网络的平均流量和并发连接数，以及可疑发包等网络流量策略来审计网络的使用。参数说明：参数参数说明说明流量采样阈值设定这是按照一定时间内客户端计算机的平均网络使用流量计算的每秒平均流量数。推荐按照缺省建议设置。并发连接可疑定义这是按照客户端计算机同时进行网络访问的数量来计算的网络连接数。推荐按照缺省建议设置。发包可疑定义一般来说，推荐使用系统默认的数值，如果您有意修改以上的数据，建议您咨询网络管理员。表 2- 13 流量采样策略参数说明注意事项：1

64、此处仅对相应的流量数据进行统计，统计数据可在数据查询中进行查询。流量控制策略流量控制策略北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 22功能说明：根据系统对选定用户（在本策略的对象中设定的）网络使用的监测，协调整个网络的流量。参数说明：参数参数说明说明客户端总流量按照一定时间内的总的数据传输量求出的平均每秒流量数。管理员可以根据网络实际情况设定具体的数值流量和持续时间。并发连接数可疑违规按照客户端计算机同时进行网络访问的数量来计算的网络连接数是否过多判断用户对网络的使用是否合规。发包可疑违规一般是指计算机接到了超出了正常网络服务使用中的接到数据包的范围，还有单位时间应该

65、从网络上其他计算机上接到的 icmp 数据包数量。这里的数量值取得都是我们在流量采样策略中设定的相应的数值。违规时客户端执行“上报”，是指内网安全管理系统自动将违反上述选定了的规则的计算机上报给区域管理器。“自动阻断”：是指如果客户端计算机违反了上述规则的计算机断网处理，时间一般默认为 5 分钟左右；“永久阻断”：只要被阻断一次之后，必须通过终端控制中的恢复网络连接功能才能恢复网络连接。“客户端提示”，是指如果客户端计算机违反了上述规则，则在客户端计算机上弹出管理员设定的消息。表 2- 14 流量控制策略参数说明注意事项：1本策略是根据对网络流量异常和 icmp 收发包异常的监控来实现功能的策

66、略，本策略采用的大多数监控数据，是从流量采样策略中设定的。2收发包异常的情况一般是由一些计算机端口的扫描软件或黑客软件造成的，需要管理员多加注意。3本策略的设定要求对网络和网络协议有一定的了解，请在网络管理员的指导下设置，系统采用的默认值可以满足一般网络环境的要求。4并发连接数可疑或发包可疑的前提是客户端总流量走出设定。消息推送策略消息推送策略消息推送消息推送功能说明：向选定用户（在本策略的对象中设定的）计算机发送消息通知，请求重注册信息以及要求升级等消息。参数说明：参数参数说明说明消息功能“仅消息通知”和普通的消息分发没有什么区别，在客户端计算机弹出管理员设置的消息。“消息通知并确认回馈”是

67、指在客户端计算机弹出北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 23管理员设置的消息，同时客户端计算机显示后，要求用户确认。“重新注册”在客户端计算机弹出注册窗口，要求用户注册。“客户端升级”弹出提示要求客户端升级的信息，不进行实际操作。表 2- 15 消息推送策略参数说明消息推送扩展策略消息推送扩展策略功能说明：可以实现一段时间内持续地向选定用户（在本策略的对象中设定的）计算机发送消息。备份策略备份策略客户端文件备份客户端文件备份功能说明：对选定用户计算机进行指定文件的备份。参数说明：参数参数说明说明文件/目录(全路径)设置需要备份的文件或目录的全路径。备份过滤指定需

68、要备份的文件的后缀名，填入此项后仅备份指定后缀名文件，不填写则全部备份。备份服务器 IP可以将设定备份在指定服务器的共享目录下间隔时间默认值为 120 分钟，最小值为 3 分钟。表 2- 16 客户端文件备份策略参数说明注意事项：1该功能通过共享文件夹拷贝方式备份，配置前需要确认所输入的用户名和密码对共享目录必须有写权限，如果以 2003 系统作为备份服务器，则需要将服务器改为使用经典登录才可用。屏幕抓取策略屏幕抓取策略功能说明：在一定时间间隔内抓屏并备份到服务器上。文件备份的路径设置在备份服务器程序里进行设置，如下图所示，北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 2

69、4图 2- 13 文件备份路径设置屏幕录像策略屏幕录像策略功能说明：可以实现定时屏幕录像，并且可以设定录像时间长度。终端配置策略终端配置策略终端设置策略终端设置策略功能说明：对客户端时间、ARP 阻断以及各种信息的上报等进行设置。参数说明：参数说明同步终端时间可同步客户端时间为服务器时间。自定义探头应答 IP为了保证 Agent 不受冒充指令的干扰，Agent 只接受来自管理器服务器的指令请求，如果的确需要接受其它 IP 的指令，则可以将该处添加 IP并分配给终端设备。自定义 ARP 阻断置可设置每次发送 ARP 欺骗包的间隔时间和持续时间。备用区域管理 IP当一个区域管理器出现故障，导致无法

70、提供服务时，由此处指定的备用服务器接替原服务器继续提供服务，实现管理服务器的双机热备功能。设备离网阻断设备处于其他网络时，限制网络访问。设备内存,硬盘阻断设备内存或硬盘变化时阻断通信。绑定正确网关 MAC防止 ARP 欺骗攻击防止 ARP 病毒对网关的欺骗。启用该功能后，会提示选择正确的网关地址。默认共享可以取消系统默认共享。指定只允许启用的共享名不输入则允许任何共享名。多个共享名之间用半角分号(;)分隔。设备安装多操作系统当功能启用时，只可以启用原启用列表中默认的系统选项。注册用户与计算机名称关联强制将计算机名修改为注册时输入的使用人项指定终端自动卸载在指定指定时间点卸载。域用户登录限制限制

71、该机只允许使用域用户登录。审计日志上报间隔设置与策略对应的审计日志的上报时间间隔。补丁信息上报将终端补丁安装信息上报到服务器。进程信息上报将终端系统首次运行的进程情况上报服务器。软件信息上报将终端系统已安装的软件信息以增量式地上报到服务器，并且可以设定上报时间。表 2- 17 终端配置策略参数说明管理器策略管理器策略该功能用于在级联的情况下，设置下级服务器向上级上报的消息类别。订阅级联审计数据策略订阅级联审计数据策略功能说明：订阅下级平台设备基本信息以及各种行为的审计日志。终端升级管理策略终端升级管理策略北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 25功能说明：客户端注

72、册程序的升级。注意事项：1该策略没有策略内容和启用/停用设置，可以指定一部分特定的终端自动升级，只需要将把需要自动升级的终端配置到策略对象中即可，不在对象中的终端设备是不会自动升级的。以后每次服务器升级后只有对象中的终端会自动升级为最新版本，其余的还是以之前版本运行。2该策略适用于对新的版本进行测试，待测试完成后没有什么问题，将该策略删除或把策略分给所有的终端实现整网统一升级。3整个系统仅允许使用一条这样的策略，并且不具备级联功能。组合策略组合策略组合策略分发组合策略分发功能说明：根据需要选择几种类型的策略，再进一步选择某类策略下的某个策略，从而形成策略组。注意事项：1其中各个子策略都必须

73、为启用状态。漫游策略分发漫游策略分发功能说明：只针对漫游客户端所发送的策略。具体的漫游功能请参照附录六漫游功能说明。临时客户端分发临时客户端分发功能说明：只针对临时客户端所发送的策略。临时客户端：在“注册程序配置”中，通过配置“注册密码”项来实现指定客户端的使用限制。如下图所示，图 2- 14 注册码配置按对象分配策略按对象分配策略按设备分配按设备分配通过设备 IP、设备名或使用人查询下发给该设备的策略，能够快速查找到相应的客户端正在执行的策略，并支持模糊查询。按设备组分配按设备组分配可以为自定义的用户添加策略，并且可以显示为每一组自定义的用户下发的策略，并且可以编辑或取消该策略。北信源内网安

74、全管理系统北信源内网安全管理系统错误！未找到引用源。 26策略下发查询策略下发查询用户可以查看策略的下发情况，可以查询下载策略的设备 IP、名称和下发时间等信息。网关接入认证配置网关接入认证配置请参照第六章北信源网络接入控制管理系统阻断违规接入管理阻断违规接入管理当扫描器发现有未注册客户端的设备接入内网时，该功能可以有效地控制外来设备接入内网而带来的安全威胁，通过选中“没有注册则阻断联网”复选框便可阻断该设备。同时提供了“警告信息”功能（必须开启信使服务）、IP、MAC 绑定等功能，如下图所示：图 2- 15 阻断违规接入控制设置补丁分发补丁分发请参照第三章北信源补丁及文件分发管理系统数据查

75、询数据查询数据查询是根据内网安全及补丁分发管理系统工作的结果，向管理员提供对网络设备信息、网络划分信息、网络中相关的设备安全状态信息的综合查询。其中大多数查询是与制定的策略对应的。北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 27本地注册情况统计本地注册情况统计图 2- 16 本地注册情况信息本地设备资源统计本地设备资源统计图 2- 17 本地设备资源信息本地设备类型统计本地设备类型统计图 2- 18 本地设备类型统计USB 标签信息查询标签信息查询USB标签制作查询标签制作查询查询 USB 标签制作记录。信息显示包括 U 盘编号、唯一序号、所属部门、拥有人、 U

76、盘状态、标签和操作说明等。北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 28USB标签黑名单标签黑名单查询 USB 黑名单记录。服务器会把 USB 标签黑名单发送给客户端，当插入的 USB 时，客户端检查此 USB 标签是否在黑名单中时，如果在将被禁止使用。USB授权个数查询授权个数查询查询 USB 授权个数。显示信息包括用户名称、USB 授权个数和 USB 剩余授权个数。设备信息查询设备信息查询设备信息查询设备信息查询查询信息包括计算机所属区域、单位、部门、使用人、设备 IP、MAC、注册、重新注册、信任、保护、阻断、开机、杀毒软件、杀毒厂商、系统等信息。根

77、据符号对查询数据进行降序、升序排列列表。注册资产查询注册资产查询对已注册的客户端的设备进行设备资产查询，提供多个复合条件查询。安装软件查询安装软件查询对客户端的软件进行查询，可以根据软件类别，如必须安装的软件、禁止安装的软件等条件进行查询。首次运行进程查询首次运行进程查询依照进程名称、文件大小、版本、进程所在路径、进程所打开的端口、进程运行次数等进行查询。可以用于对病毒、木马、黑客程序等进程的查询。共享目录查询共享目录查询可以对设备的共享名称、共享路径和共享模式等信息进行查询。设备设备 IP 占用情况列表占用情况列表查询区域管理器所管辖的范围内的注册 IP、未注册 IP、空闲 IP。硬件变化查

78、询硬件变化查询客户端注册时，已经把其硬件信息注册入库，如果客户端硬件有变化（增添或卸载），则可通过该查询条件查到。软件变化查询软件变化查询当客户端安装注册程序时，会收集客户端安装软件的信息上报到服务器。服务器会比较当前安装软件和数据库保存的信息，来显示软件的变化。如下图所示，北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 29图 2- 19 软件变化信息注册日志查询注册日志查询显示客户端注册状态信息，如下图所示，图 2- 20 注册日志信息操作系统安装查询操作系统安装查询查看设备操作系统信息，包括操作系统 UUID、操作系统名称和操作系统安装系统等信息。计算机开关机查询计算

79、机开关机查询查看设备的开关机信息。在“终端策略”中选中“允许上报开关机时间”时，才可以查询到数据。离线设备查询离线设备查询可以查询离线设备的信息，包括所属区域、最后登录时间、已关机天数、使用人、联系电话和 ip 地址等信息。审计数据查询审计数据查询可以对以下审计进行查询：移动设备审计、上网访问审计、上网访问统计、文件输出审计、文档打印记录、文件保护审计、违规软件及进程、安全策略违规、涉密检查查询、区域管理器工作日志和终端代理审计。分发数据查询分发数据查询可以对以下三种分发数据进行查询：消息确认查询、普通文件分发查询和普通文件分发统计。北信源内网安全管理系统北信源内网安全管理系统错误！未找到引

80、用源。 30非非 Windows 操作系统设备操作系统设备对非 windows 操作系统设备的硬件资产和软件资产查询。终端管理终端管理终端管理终端管理提供对网络计算机终端的行为控制、状态监测等方面进行查看、控制、管理。设备基本信息：可以获取该客户端基本注册信息。终端进程管理：可以获取该客户端当前运行进程。终端服务管理：可以获取该计算机远程服务启动情况信息。终端端口管理：可以查看远程计算机连接协议类型、IP 地址、端口号。查看安装软件：可以查看客户端计算机实时安装的软件信息，并可以查看软件安装变更记录。查看漏打补丁：实时查看客户端存在的系统漏洞及危险级别。查看运行资源：远程查看客户端计算机的运

81、行资源情况。查看系统用户：远程查看客户端计算机的系统用户情况。终端事件查看：可以获取远程客户端的系统信息、安全日志及应用程序日志。硬件资产查看：远程查看客户端的实时硬件信息。共享目录列表：远程查看该客户端所共享的资源及资源路径。当前执行策略：查看该客户端当前执行策略。终端访问审计：远程实时审计客户端的访问情况。其他审计记录：开关机记录、磁盘变化记录和进程策略执行结果行为控制行为控制消息通知：对选定客户端计算机实时发送消息，并可以设定客户端是否做消息回馈操作。运行程序：可以在服务器端强行指定客户端运行以.EXE、.COM、.BAT 等为后缀的可执行程序，并可以以服务或隐藏执行两种方式运行。查杀病

82、毒：提供全盘杀毒或制定某一目录杀毒，根据需要可以在杀毒前提示。北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 31修改网络配置：可远程修改客户端计算机的名称、IP 和 DNS 等网络配置。断开网络连接：可以远程阻断客户端联网，并可自定义提示信息。恢复网络连接：可以远程恢复客户端联网，并可自定义提示信息。“违规外规策略”中“需要解锁”功能，管理员就是在这里进行解锁的。同步客户端数据：通过同步客户端数据使客户端注册数据同服务器保持一致。锁定键盘鼠标：可以给客户端发送重新注册窗口，同时自定义提示信息，并可以同步终端注册信息。重新注册：可以给客户端发送重新注册窗口，同时自定义提示信

83、息，并可以同步终端注册信息。客户端升级：点击后可以发送要求客户端升级的命令，并进行远程对客户端探头进行升级。客户端卸载：点击后可以远程对客户端探头进行卸载。关闭计算机：点击“提交处理”按钮后可以远程关闭、重启客户端计算机，并可在关闭、重启前进行提示。远程协助远程协助数据包分析支持：可启动数据包分析工具，对客户端进行全程数据包分析。远程支持注：使用该功能必须在当前区域管理器注册客户端才能使用。运维监控运维监控客户端流量排名：监测网络中客户端流量信息并进行排名，报警异常网络流量，能够对客户端进行流量报警。客户端流量统计：根据流量统计满足各种条件（如：30 分钟内最大值、当天最大值、本周最大值等

84、）的计算机的 IP、名称以及所属的区域名称等信息。流量综合排名：对所有终端的流量进行排名，管理员可以清楚地看到流量排名。可以累计流量、累计连接数和累计连接时间进行排序。运维异常监控查询：根据运行资源异常、网络流量异常、运行进程异常等条件查询异常状态的客户端。运维异常监控统计：可以统计某个区域，某段时间内 CPU 信息报警、内存信息报警、硬盘信息报警、未响应进程和意外退出进程及服务的异常信息。北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 32交换机端口管理：北信源终端安全管理交换机扫描模块能主动发现网络中存在的可网管交换设备，并自动将交换机连接的计算机设备纳入该交换机管理范

85、围列表。图 2- 21 交换机扫描管理配置注意：此功能的实现必须开启 SNMP 协议。网管帮助设置：记录网管的基本信息，包括网管姓名和电话等信息，在需要联系时可以及时联系到网管。报表管理报表管理可以统计网络中设备硬件信息、系统信息、注册状态，以及级联系统数据信息。具体包括：本地设备注册情况统计、本地设备系统信息统计、本地设备硬件信息统计、级联设备注册情况统计、级联设备系统信息统计、级联设备硬件信息统计。提供对网络中所有设备信息的统计：设备数量：路由器、交换机、服务器、客户端；在线设备：当前网络中开机运行的设备；注册设备：已经注册的计算机设备；Unix/Linux、路由器、交换机设备通过手动添

86、加写入数据库；杀毒软件：目前支持北信源、瑞星、江民、金山、诺顿、趋势、NAI 等杀毒软件。报警管理报警管理提供网络设备信息非法外联、IP 绑定等事件性安全信息进行报警统计，并支持级联方式下的报警数据查询。北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 33北信源终端安全管理支持对于 VIFR 报警、阻断报警、IP 绑定变化、违规外联、设备变化、流量异常、探头卸载、病毒行为等事件的报警。报警数据查询报警数据查询策略中心各种报警策略的报警信息查询，报警信息包括 VIFR 报警、阻断报警、IP 绑定变化、违规外联、设备变化、流量异常、探头卸载、病毒行为、其他报警和违规上网统计。

87、本地区域报警数据统计本地区域报警数据统计统计本地区域报警数据，信息包括非法外联、设备变化、IP 绑定变化、探头被卸载、流量异常和阻断报警。可以按区域和时间查询。本地报警数据汇总本地报警数据汇总汇总显示本级区域管理器各种报警的次数等信息。级联总控级联总控实现多级补丁管理级联，上级管理系统能够查询下级补丁管理信息。级联注册情况统计级联注册情况统计查询由下属区域管理器划分的不同机构的客户端的注册情况。如设备总数、应注册计算机、已注册计算机、注册率、在线设备、安装杀毒软件、未打重要补丁等。如下图所示图 2- 22 设备信息统计图表北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 3

88、4级联设备资源统计级联设备资源统计统计级联设备信息，包括操作系统、CPU、系统内存、未打补丁和硬盘存储量，如下图所示图 2- 23 级联设备信息级联设备类型统计级联设备类型统计用于级联设备系统类型统计。如下图所示图 2- 24 级联设备系统类型统计级联管理控制级联管理控制可以做多级级联，方便管理员管理。北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 35图 2- 25 级联管理控制点击下级级联管理器，会显示此管理器的信息，例如管理器 IP，管理器名称，机构名称，运行状态信息会自动显示出来如下图所示，图 2- 26 下级级联区域管理器信息点击“进入下级管理平台”将直接进入该管

89、理器的管理平台。用户可以之际操作此管理平台。区域管理器状态查询区域管理器状态查询用于多级级联方式构建的系统环境，在此页面查看所有下属管理器运行状态，监控管理器是否正常运行以及运行的状态。图 2- 27 区域管理器状态信息北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 36区域扫描器状态查询区域扫描器状态查询主要用于多级级联方式构建的系统环境，查看所有区域扫描器的运行状态。图 2- 28 区域扫描器状态信息级联上报数据级联上报数据当对下级服务器下发了“订阅级联审计数据”策略，这里可以查看相应的数据。图 2- 29 级联上报数据级联报警数据级联报警数据可以查看违规外联事件、其他

90、报警事件和违规上网统计的数据信息。系统维护系统维护系统维护是用来创建和管理登录本系统网页平台的账号信息。可以通过系统维护来添加不同的系统用户、给系统用户分配权限、对系统用户的密码进行初始化操作；通过它还可以修改管理员的密码等操作。北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 37系统用户分配与管理系统用户分配与管理用户列表用户列表在系统用户列表里可以查看到系统用户的名称、创建者、用户类型以及相关的备注信息。图 2- 30 系统用户列表列表中的和代表用户名称的排列顺序，是采取升序还是降序的方式排列。添加用户添加用户管理员可通过导航菜单的“系统用户分配与管理”“用户添加”

91、可以添加不同角色的下级系统用户。系统用户的类型为普通用户，而 admin 为超级用户。图 2- 31 添加系统用户界面注：用户名长度必须为 3-15 个长度的字母、数字或者中文；密码长度必须包括字母和数字，最大长度为 20 位。用户管理用户管理系统用户管理区域列举了系统用户的名称、类型、权限分配情况、是否有创建子用户的权限及其管理操作。图 2- 32 用户管理列表权限分配权限分配新分配的用户默认没有任何管理权限任何权限均基于区域及自定义分组权限，分配其它权限前请先为该用户分配区域及自定义分组权限北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 38 屏幕监控权限基于终端控制

92、权限的“屏幕监控”权限，分配屏幕监控权限时请先分配该用户终端控制权限中的“屏幕监控”权限(admin 用户除外) 任何用户均只能管理与分配上级用户为其分配的用户权限区域管理权限区域管理权限系统普通用户拥有的区域管理权限。仅限于该区域内的上报数据，包括设备信息，报警及审计数据等。可以通过勾选“允许控制”项来实现对区域的管理。组织结构与自定义组权限组织结构与自定义组权限系统普通用户拥有的自定义组管理权限。可以通过勾选“允许控制”项来实现对区域的管理。策略控制权限策略控制权限系统用户拥有的策略权限。系统管理员可以通过选择左侧策略名称，然后单击下方【添加策略控制权限】按钮实现给其他系统用户分配其策略权

93、限。同时可以在策略权限列表里分配系统用户的操作权限（只读/读写）以及删除权限。也可以通过上面的【全部设为只读】、【全部设为读写】和【全部删除】三个按钮对系统用户进行批量权限控制。终端控制权限终端控制权限拥有的终端控制权限，根据需求分配用户拥有的权限，权限如下图所示：图 2- 33 终端控制权限屏幕监控权限屏幕监控权限对指定 ip 或者 ip 段的终端的屏幕控制权限，设置如下图所示：图 2- 34 屏幕监控权限北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 39其他控制权限其他控制权限除了区域管理权限和策略控制权限之外，管理员还可以为系统用户分配其他的控制权限。如区域控制权限

94、、注册程序打包权限、用户组织结构管理等权限。系统用户可以根据管理员给自己分配的权限实现对服务器端的管理。密码初始化密码初始化在用户管理页面，找到要删除的用户列表信息，单击右侧的“密码初始化”按钮：弹出提示框：图 2- 35 密码初始化提示框单击【确定】，弹出密码初始化完成提示框：图 2- 36 密码初始化完成提示框单击【确定】，该系统用户登录密码变为初始密码：123456。用户设置用户设置修改管理员密码修改管理员密码该处密码修改功能只能对管理员（admin）的密码进行修改操作。其他用户的密码修改操作在该处不适用。密码长度有数字和字母组成，最大长度为 20 位图 2- 37 修改 admin

95、用户密码北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 40IP 访问控制访问控制控制指定 IP 对 web 平台的登录访问。数据重整数据重整数据重整类似于刷新功能，提供对数据库中数据的重新整理，每隔一段时间对系统数据库进行重整。图 2- 38 数据重整信息表数据重整情况处理分为四种情形：IP 和 MAC 重复：当出现设备的 IP 地址和其 MAC 地址重复时，则进行删除处理。IP 不在区域范围内：当设备的 IP 地址不在区域管理器设置的区域范围内时，则对其进行删除处理。长时间未使用：当该设备未使用天数超过设置的天数时，则对其做数据重整。区域 IP 范围改变：当区域管理器

96、设置的区域 IP 范围发生改变时，则需要重新对数据进行整理。审计用户审计用户提供对系统管理用户的操作行为记录，记录管理员操作执行的策略详细内容，用审计帐户 audit 登录，密码 123456，如下图：北信源内网安全管理系统北信源内网安全管理系统错误！未找到引用源。 41图 2- 39 审计用户登录系统日志系统日志USB 标签制作查询：查询 USB 标签制作记录，包括 U 盘编号，U 盘状态、标签和所有人等信息。USB 授权个数查询：查询 USB 授权信息，包括 USB 授权个数和 USB 剩余授权个数等信息。用户操作日志：查询用户操作日志，包括操作内容和操作时间等信息。用户登录日志：详细记

97、录登录用户登录时间、IP 地址、登录用户名称等，以备进行事后审计。策略操作日志：针对管理员对系统策略的修改、增删等各种操作进行详细记录。北信源补丁及文件分发管理系统北信源补丁及文件分发管理系统错误！未找到引用源。 42第三章第三章北信源补丁及文件分发管理北信源补丁及文件分发管理系统系统区域管理器补丁管理设置区域管理器补丁管理设置补丁下载配置补丁下载配置进行补丁分发管理前，首先需要对区域管理器的补丁下载管理模块进行设置：配置管理-区域管理器配置-高级配置-补丁下载【补丁路径】为北信源内网安全管理平台的安装路径，下图为系统默认的C:VRV，该目录下的RegionManageDistribute

98、Patch 即为补丁下载默认的存放路径，提供给客户端下载。图 3- 1 区域管理器补丁管理设置参数参数说明说明最大连接数限制设置客户端同时连接区域管理器并发下载补丁数量下载流量限制限制下载补丁时区域管理器的最大流量值级联选项上下级区域管理器级联情况下，设定上级区域管北信源补丁及文件分发管理系统北信源补丁及文件分发管理系统错误！未找到引用源。 43理器 IP 和数据通讯端口表 3- 1 区域管理器补丁管理参数说明补丁级联下载功能补丁级联下载功能主要针对在多层级联的环境内，各下级区域在进行系统补丁加固时，只需总部从外网上下载补丁后，使用移动存储设备从外网拷入系统补丁，其下级区域无须再额外的从外网

99、上下载系统补丁，其系统补丁均可从总部的服务器上获得。使用该功能时要求在下级安装的区域管理器的相应选项中填写上级区域管理器的 IP 地址，便可方便的获得系统补丁，并实时和上级区域的补丁数量保持一致。从总部下载得到的补丁将存放在vrvRegion ManageDistributePatch目录下保存。文件分发策略配置文件分发策略配置经过以上配置后，还需要进行补丁策略分发参数设置：图 3- 2 分发参数设置进行策略任务分发前选择【启动策略分发】和【启用 ping 探测】。确定分发文件所在的路径，分发时间间隔、分发数据通讯端口、分发线程等相关参数。如需设置级联，请在级联选项中，指定上级区域管理器级联

100、IP 地址等，上述部分参数按照系统默认设置即可。区域管理器在下发策略前，先 ping 一下客户端，ping 通之后再下发策略。优点：效率高；缺点：对于设置了禁 ping 的客户端不起作用。默认方式是TCP 方式，此方式效率低。策略中心策略中心补丁分发策略补丁分发策略补丁自动分发补丁自动分发北信源补丁及文件分发管理系统北信源补丁及文件分发管理系统错误！未找到引用源。 44功能说明：可以实现对补丁按类型、分组自动分发，并且可以设置下载前提示、运行前提示、检测方式等。参数说明：参数参数说明说明补丁类型分为“system”、“IE”、“应用程序”三个选项，分别是针对微软操作系统、IE 浏览器、和一些

101、应用程序的补丁的分类，在我们的内网安全管理系统中，主要是指微软官方发布的各种补丁和我们北信源公司发布的各种安全补丁程序。“等级大于等于”下拉菜单主要指微软官方对补丁所带来的系统风险的评估，等级越高，相对应的风险越高。补丁分组这个模块是内网安全管理系统为了方便管理员对补丁的管理而设置的分组，管理员可以根据自己的习惯将补丁划分为“A 组”、“B 组”“C 组”三部分，具体的划分，需要在主系统菜单中的“补丁分发”菜单中的补丁库分类列表中制定。补丁测试这里的测试是指当补丁下载服务器根据配置从网站上下载了补丁后，是否需要在选定的对象计算机内作小范围测试，然后再在整个网络环境中推广的补丁发布形式。当选中该

102、选项时，自动分发补丁的设置和策略不起作用，只能取消测试选项或者在“补丁分发”菜单中的补丁库分类列表中选定相应补丁，然后点选页面左上角的“允许下载补定”选项也可以达到补丁的目的。还可以采用下面的“人工选择补丁分发”策略来达到向全网络发布补丁的目的。运行设定后台运行：是指不提示客户端，不显示程序界面，直接在客户端后台运行的处理策略。其中的“运行优先级”的从低到高，是指当补丁程序在后台运行中，对计算机整体系统资源占用的比例也是从低到高的。下载前提示，是指在客户端下载补丁之前，在其显示界面上弹出管理员设定的信息。下载完成后提示并执行，是指客户端完成下载指定补丁，并且在其显示界面上弹出管理员设定的信息，

103、同时执行补丁安装程序。检测方式“启动时检测”，是指在计算机启动时，进行新补丁程序信息的检测；“停止检测”，是指不检测补丁服务器中的新补丁程序信息；“定时检测”，是指设定计算机定期定时去进行新补丁程序信息的检测；“间隔检测”，是指每隔设定的时间段进行新补丁程序信息的检测。出错处理点选“下载失败重试”复选框，则客户端如果不能从服务端成功下载策略规定的补丁，就进行重试操作，重试的次数和重试间隔填入后边的空白处即可。表 3- 2 补丁自动分发策略参数说明策略实例：北信源补丁及文件分发管理系统北信源补丁及文件分发管理系统错误！未找到引用源。 45图 3- 3 补丁自动分发注意事项：1补丁安装使用后台运

104、行方式时，设定的优先级要适当，避免影响客户端的正常使用。2关于测试选项，希望大家详细看看注释和设置说明，以免影响补丁程序的正常升级。人工选择补丁分发人工选择补丁分发功能说明：通过策略提供客户端补丁的管理员手工设定的下载及安装，可设置补丁探测时间，运行参数及运行形式。基于分发时间、补丁检测周期等进行策略制订，策略发送到网络客户端后，客户端注册程序统一执行补丁应用策略。参数说明：参数参数说明说明命令行参数如果需要执行该补丁自带的某些选项的话，比如说，自动安装等等，需要设置这里的命令行参数。具体的命令行参数可以在该补丁的说明书中找到，或者在 Ms-Dos 窗口中敲入该补丁文件名加“/？”参数进行查询

105、。运行设置“后台运行”：是指不提示客户端，不显示程序界面，直接在客户端后台运行的处理策略。其中的“运行优先级”的从低到高，是指当补丁程序在后台运行中，对计算机整体系统资源占用的比例也是从低到高的。“下载前提示”，是指在客户端下载补丁之前，在其显示界面上弹出管理员设定的信息。“下载完成后提示并执行”，是指客户端完成下载指定补丁，并且在其显示界面上弹出管理员设定的信息，同时执行补丁安装程序。检测方式“停止检测”，是指不检测补丁服务器中的新补丁程序信息；“启动时检测”，是指在计算机启北信源补丁及文件分发管理系统北信源补丁及文件分发管理系统错误！未找到引用源。 46动时，进行新补丁程序信息的检测；“

106、定时检测”，是指设定计算机定期定时去进行新补丁程序信息的检测；“间隔检测”，是指每隔设定的时间段进行新补丁程序信息的检测。出错处理点选“下载失败重试”复选框，则客户端如果不能从服务端成功下载策略规定的补丁，就进行重试操作，重试的次数和重试间隔填入后边的空白处即可。表 3- 3 人工选择补丁分发策略参数说明注意事项：1注意此处设定的策略，不要与补丁自动分发策略中的设置相冲突。软件分发策略软件分发策略普通文件分发普通文件分发功能说明：提供服务器向客户端分发各种文件，如可执行文件并可以自动运行，服务器端可以选择分发的目标路径、设定运行参数、是否后台运行，同时向客户端发送提示信息。注：上传文件的终端需

107、要注册。参数说明：参数参数说明说明保存目标路径文件分发到客户端后，在客户端保存该文件的位置，要手动输入。命令行参数定分发完成后运行，如果需要该程序执行自带的某些功能的话，比如说，自动安装等等，需要设置这里的命令行参数。具体的命令行参数可以在该软件的软件说明书中找到，或者在 Ms-Dos 窗口中敲入该命令加“/？”参数进行查询。“运行前提示”，是指在客户端下载完成后，通过内网管理系统使其自动运行时，管理员设置的在客户端弹出的消息窗口内容。“重复执行”，是指在客户端每次开机执行一次发布的文件，一般用于一些程序的升级。“后台运行”，是指不提示客户端，不显示程序界面，直接在客户端后台运行的处理策略。表

108、 3- 4 普通文件分发策略参数说明具体操作：点击【浏览】选择需要分发的文件后，单击【开始上传】按钮，待上传完毕后即可在【文件名】处的下拉框中选择预分发的文件（也可以一次上传多个文件）。最后单击【保存策略】按钮，待依次指定对象和启用策略后，该策略则开始生效。文件完全分发到客户端需依照文件大小决定。分发完后根据条件进行安装文件检测，确定文件安装成功。注意事项：1上传文件时注意：必须是已注册本服务器的客户端；不上传桌面上的文件，上传不会成功；IE7 等浏览器的安全级别调至中或者中低；北信源补丁及文件分发管理系统北信源补丁及文件分发管理系统错误！未找到引用源。 472如果误上传了需要分发的文件，

109、管理员可以到 Web 管理平台安装的计算机上进入vrvregionmanagedistributesoftware目录下手动删除该文件即可。其他策略其他策略终端配置策略、管理器策略、按对象分配策略、策略下发查询请参照第二章北信源内网安全管理系统的策略中心中的对应项。补丁分发补丁分发补丁的来源可使用北信源补丁下载服务器从软件厂商网站获取补丁索引及补丁，直接或通过移动存储设备，导入内网区域管理器的补丁分发目录进行客户端补丁自动分发，客户端将获取的补丁放在本地%windir%system32distribute 目录下，下载后可自动安装，安装后会自动删除安装文件。补丁库分类列表：对补丁进行分类显示，

110、设置补丁检测页面的运行参数；支持多种方式对补丁分发结果信息进行查询。补丁下载设置：当客户端访问补丁检测中心时，检测客户端是否安装了探头，未安装时设置响应的提示信息。本地补丁分发查询：可按系统提供的多个查询条件例如所属区域、操作系统等对指定区域的网络终端进行补丁安装状况查询。本地补丁分发统计：可以对某个补丁、某个区域、某个组、某个时间段的分发情况进行统计。本地已安装补丁统计：对本地已安装补丁数进行全面的统计，对每个级别的补丁数做出统计。本地未安装补丁统计：对本地未安装补丁数进行全面的统计，对每个级别的补丁数做出统计。本地漏洞计算机统计：对选定的区域中的客户端进行漏洞统计，统计出存在高风险漏洞、中

111、风险漏洞、低风险漏洞的终端数。级联补丁分发查询：可以按 IP 地址、补丁号和下载补丁时间查询级联补丁的分发情况。级联已安装补丁统计：统计级联已安装补丁，信息包括每个级别补丁数，未安装设备总数和下载补丁数量等。级联未安装补丁统计：统计级联未安装补丁，信息包括每个级别补丁数，未安装设备总数和下载补丁数量等。北信源补丁及文件分发管理系统北信源补丁及文件分发管理系统错误！未找到引用源。 48补丁自动下载分发补丁自动下载分发北信源终端安全管理支持对微软操作系统发布补丁的统一分发，并且用户可使用此系统进行级联方式的补丁自动分发安装和监控。统一补丁分发通过北信源补丁下载服务器（互联网）从互联网下载所有补丁

112、。对于物理隔离的内部网络，其补丁升级服务器中的补丁数据必须从外部获得，因此，要求在 Internet 上进行补丁下载，巨大的补丁库使得每次补丁导入工作非常烦琐。北信源针对此类物理隔离的内网，使用增量式补丁分离技术，在外网补丁下载服务器分离出内网已安装、未安装补丁，分类导入系统补丁，即仅对内网的补丁进行“增量式”的升级，以提高效率。通过增量补丁分离器，在每次导入导出补丁时，可减少拷贝工作量（系统菜单中的补丁策略定义、补丁库分类、补丁安装查询、补丁下载查询主要基于此种方式工作）。补丁下载服务器补丁下载服务器图 3- 4 补丁下载服务器界面北信源终端安全管理中包括了补丁下载服务器模块软件，直接运行D

113、ownPatch.exe 文件进行下载补丁文件。补丁下载服务器默认配置为从微软公司网站下载微软所有补丁，下载后移植到北信源终端安全管理的系统vrvRegion ManageDistributePatch目录下保存。指定下载补丁类型包括：1）中文补丁、英文补丁。北信源补丁及文件分发管理系统北信源补丁及文件分发管理系统错误！未找到引用源。 492）微软公布的级别补丁：0 级、1 级、2 级、3 级、4 级。3）系统类别：IE5.0、IE5.5、IE6.0、WIN NT、Windows 2000、Windows XP、Windows7 和其他(包括 Windows 2003)。补丁下载设置实时、定

114、时两种方式探测补丁厂商网站补丁更新状况。图 3- 5 补丁下载服务器设置补丁库分类补丁库分类补丁分析器功能模块，针对下载的补丁，由补丁分析器进行归类存放，按照不同操作系统类别、补丁编号、补丁发布时间、补丁风险等级、补丁公告进行归类，帮助管理人员快速识别补丁重要程度。补丁厂商如微软，其补丁发布时就指定补丁号、补丁类型、补丁危害程度、操作系统支持等补丁属性，北信源终端安全管理自动识别补丁的不同属性并归类。补丁库分类包括：A 类、B 类、C 类、T 类。将所有补丁自由组合为不同的类，A 类、B 类、C 类、T 类为用户自定义类型补丁（T 类建议为测试类型补丁，用于一些特殊补丁的测试，指定用于特定的测

115、试组机器）。补丁下载转发代理补丁下载转发代理可以在区域管理器中选择【支持下载转发代理】选项，选中此项功能后，当网络内有数量较多的计算机下载补丁或者文件时，计算机可以搜索临近北信源补丁及文件分发管理系统北信源补丁及文件分发管理系统错误！未找到引用源。 50IP 范围内状态最好的计算机，从这台状态最好的计算机上下载相应的补丁或者文件。这样就可以大大减少网络内的服务器的数量，减少网络的带宽的占有率，保证工作的正常进行。图 3- 6 补丁代理传发支持客户端补丁检测（一）客户端补丁检测（一）本功能主要用于计算机用户自行进行补丁检测，使用本功能前需要做两项工作：将补丁下载服务器下载的补丁和补丁索引拷入区

116、域管理器系统：Region ManageDistributePatch 目录下。在单位网站主页安全栏目或其它专门栏目建立一个补丁安全监测提示或者通知，该提示或通知链接到系统 Web 管理平台的 IIS 的 patch Web 虚拟目录（http:/*.*.*.*/vrveis/PatchWeb），提供客户端访问补丁自动探测功能。客户端访问本机构网站的时候，选择主页补丁安全探测提示自动链接到北信源补丁分发管理系统 Web 管理平台的客户端补丁探测主页上，该主页自动探测客户端是否注册，如果已经注册，将显示该系统补丁安装情况，根据提示信息选择性手动下载补丁安装。图 3- 7 补丁下载设置北信源补丁及

117、文件分发管理系统北信源补丁及文件分发管理系统错误！未找到引用源。 51参数参数说明说明未安装客户端探头时提示若客户端未曾注册，网页探测后给出提示未安装探头时显示补丁类型管理员自行设置显示补丁类型（操作系统补丁、IE 补丁、应用程序补丁等）是否提示下载探头对于没有注册的用户，提示进行注册探头下载地址指向 http:/网页管理平台ip/vrveis/download/DeviceRegist.exe表 3- 5 补丁下载设置参数说明补丁检测中心补丁检测中心在 web 登录页面点击【工具下载】，进入工具下载页面，如下图所示：图 3- 8 登录页面图 3- 9 工具下载页面点击【补丁检测中心】进入补

118、丁检测中心页面，如下图所示：北信源补丁及文件分发管理系统北信源补丁及文件分发管理系统错误！未找到引用源。 52图 3- 10 补丁检测中心客户端补丁检测（二）客户端补丁检测（二）本功能主要用于网络管理员对客户端计算机进行补丁检测，通过 Web 管理平台中的终端控制功能对客户端进行漏打补丁检测，详细列出客户端当前补丁安装状况，通过终端管理功能对客户端机器进行补丁管理。具体操作：终端管理终端点-点控制查看漏打补丁图 3- 11 客户端补丁漏打检测北信源主机监控审计系统北信源主机监控审计系统错误！未找到引用源。 53第四章第四章北信源主机监控审计系统北信源主机监控审计系统策略中心策略中心行为管

119、理及审计行为管理及审计文件输出审计策略文件输出审计策略功能说明：该功能用来屏蔽和设置选定客户端的文件输出和监控。其中包括设置打印机拒绝打印的文件类型、将固定扩展名的文件拷贝到网络盘、禁止发送邮件和对审计结果的上报。这里的打印控制与审计功能包括本地打印和网络打印。参数说明：参数参数说明说明打印输出控制选定“禁止打印文件”复选框，设置不允许目标对象打印的文件扩展名即可，如果保持空白，则所有文件均可打印，如果选定“审计打印文件”复选框，所有打印的文件都要经过内网安全管理系统的审计备案。网络共享输出控制选定“禁止将文件拷贝到网络盘”复选框，可在“禁止拷贝文件扩展名”的空格处填入相应的文件扩展名。如果选

120、定“审计网络拷贝文件”复选框，所有网络拷贝的文件都要经过内网安全管理系统的审计备案。邮件输出控制选定“禁止发送邮件”复选框，即可禁止发送邮件。如果选定“审计发送邮件”复选框，所有发送的邮件都要经过内网安全管理系统的审计备案。表 4- 1 文件输出审计策略参数说明注意事项：1本策略涉及到网络办公的一些功能，请在设置前规划好需求。北信源主机监控审计系统北信源主机监控审计系统错误！未找到引用源。 54文件保护及审计策略文件保护及审计策略功能说明：1保护和审计客户端的指定目录和网络共享文件的读取、修改、删除权限。2可以设置当哪些进程操作指定文件时进行保护，哪些进程操作指定文件时不实施保护。注意事项：

121、1本策略涉及到网络办公的一些功能，请在设置前规划好需求。2建议修改本策略者在管理员或专业技术人员的帮助下修改本项策略，以免影响计算机的正常使用。上网访问审计上网访问审计功能说明：该功能用来审计对 Web 站点的访问，并且能够将审计结果处理上报到服务器或者记录到本地文件。参数说明：参数参数说明说明站点名设置需要或不需审计的 web 站点的名称。限制方式指选择是否对列表中的 web 站点的访问进行审计的处理方法。“仅审计对以下 Web 站点访问”的方式，是指对列表中的 web 站点的访问进行审计。“仅不审计对以下 Web 站点访问”的方式，是指对列表中的 web 站点的访问不进行审计。对审计结果处

122、理对 web 站点进行审计后的结果有两种处理方式：上报到服务器、记录到本地文件。表 4- 2 上网访问审计策略参数说明上网控制策略上网控制策略功能说明：屏蔽选定用户（在本策略的对象中设定的）计算机的一些指定网站的屏蔽。注意事项：1这种限制上网的方式只能限制通过域名访问站点的上网方式，对直接用ip 访问的客户机没有什么效果。IM 即时通讯记录审计即时通讯记录审计功能说明：对即时通讯软件的通讯记录通过设置关键字进行审计，审计结果可以保存在本地也可以上报到服务器。注意事项：1目前支持 QQ 和 MSN 两款软件。安全刻录审计安全刻录审计功能说明：对客户端的刻录操作进行控制与审计，包括是否允许刻录、

123、允许刻录的文件类型、不允许刻录的文件类型等。北信源主机监控审计系统北信源主机监控审计系统错误！未找到引用源。 55涉密检查策略涉密检查策略上网访问痕迹检查上网访问痕迹检查功能说明：检查访问某一特定网络的历史信息，针对 IE 缓存、IE 清单、Cookie 信息、收藏夹，在检测网络地址中输入网站的域名后，单击【添加到列表】按钮，最后保存策略并指派对象，启动策略即可。如果待检查的计算机中留有以列表中列举的信息，则显示提示信息框。文件内容检查文件内容检查功能说明：对指定的某一文件夹或某一类型文件，检查是否有违规的信息。添加检测文件夹的名称及检测文件的后缀名称，按逻辑条件进行检测，“or”代表两个条

124、件中有一个成立则检测，“and”代表两个必须要都符合才检测。参数说明：参数参数说明说明检测文件夹设置需要进行检测的文件夹。保持为空则全盘检测,否则请输入盘符或路径。检测文件后缀名输入要检测的文件的后缀名。选中“仅检测符合的文件名”选项只检测文件名字，不检测文件内容。文件名(不带扩展名)在检测内容中输入，最多可同时检测 3 个文件。逻辑条件匹配方式设置检测条件为“与”或“或”的关系，即“AND”、“OR”。检测内容三个检测内容项分别填写三个需要检测的文件。表 4- 3 文件内容检查策略参数说明终端涉密检查配置终端涉密检查配置功能说明：创建涉密检查工具的桌面快捷方式，用户可以直接使用。终端文件粉

125、碎配置终端文件粉碎配置功能说明：创建终端文件粉碎工具的桌面快捷方式，用户可以直接使用。其他策略其他策略终端配置策略、管理器策略、按对象分配策略、策略下发查询请参照第二章北信源内网安全管理系统的策略中心中的对应项。数据查询数据查询上网访问审计上网访问审计审计指定范围内的客户端在指定时间段的上网访问记录。上网访问统计上网访问统计北信源主机监控审计系统北信源主机监控审计系统错误！未找到引用源。 56统计指定范围内的客户端在指定时间段内访问指定网站的上网记录，包括访问的网站信息以及访问次数等信息。 IM 即时通讯审计即时通讯审计审计指定范围内的客户端在指定时间段的 IM 即时通讯记录，包括QQ、

126、MSN 两种通讯软件的通讯记录。文件输出审计文件输出审计审计指定范围内的客户端在指定时间段的文件输出，包括对打印文件输出，电子邮件输出，网络共享输出三种文件输出方式的审计。文档打印记录查询指定范围内的客户端在某个时间段的打印记录，包括文档名称、打印份数、页数、文件大小和打印进程等信息。文件保护审计文件保护审计审计指定范围内的客户端在指定时间段的对被保护文件的操作，包括访问文件、修改文件和删除文件。涉密检查查询涉密检查查询根据策略中心中配置的策略，进行包括 IE 访问涉密检查（IE 缓存、IE 清单、cookie 信息、收藏夹），文件内容涉密等方面的查询。北信源移动存储介质使用管

127、理系统北信源移动存储介质使用管理系统错误！未找到引用源。 57第五章第五章北信源移动存储介质使用管北信源移动存储介质使用管理系统理系统策略中心策略中心可移动存储管理可移动存储管理可移动存储审计可移动存储审计功能说明：对移动存储设备接入做控制，对非本单位的移动设备自动识别（需要对本单位的移动设备添加标签）。通过对移动设备的读写控制及审计操作，来管理移动设备的行为操作，在本单位的移动设备中添加标签的操作需要使用移动存储设备认证工具完成。具体配置，见附录(二)。注意事项：1禁用 u 盘、软盘、光盘的一部分功能，也可以在硬件设备控制策略中完成，功能上没有什么区别，用户可以根据自己的习惯和用途，自

128、行设定。2审计只审查文件名，不对文件内容进行检索。其他策略其他策略终端配置策略、管理器策略、按对象分配策略、策略下发查询请参照第二章北信源内网安全管理系统的策略中心中的对应项。数据查询数据查询移动设备审计移动设备审计北信源移动存储介质使用管理系统北信源移动存储介质使用管理系统错误！未找到引用源。 58审计指定范围内的客户端在指定时间段的移动设备操作，包括移动设备接入、读取移动设备、写入移动设备和 SAFE6 登录审计。北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 59第六章第六章北信源网络接入控制管理系北信源网络接入控制管理系统统网关接入配置认证网关接入配置认

129、证配合硬件网关，进行网关重定向配置。图 6- 1 网关接入认证北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 60图 6- 2 重定向配置点击“接入用户管理”，添加接入的用户。图 6- 3 用户添加策略中心策略中心接入认证策略接入认证策略指对接入网络中的设备的一种认证方式，主要包括以下策略：补丁与杀毒软件认证策略补丁与杀毒软件认证策略功能说明：对杀毒软件运行状态及病毒库版本安全检测和系统补丁安装情况的安全检测。当终端未运行杀毒软件时可以依据策略提示用户、指定下载地址让用户去安装、甚至直接限制网络访问、进行 Vlan 隔离，当漏打指北信源网络接入控制管理系统北信源网络

130、接入控制管理系统错误！未找到引用源。 61定列表中补丁时则提示、指定相应的 url 地址去下载安装或者直接限制网络访问，当限制网络后可以添加允许安全服务器访问的地址。参数说明：参数参数说明说明未运行杀毒软件执行(URL 地址)可以把杀毒软件的安装包放在指定的 URL 页面中，当客户端没有运行杀毒软件软件时，就直接打开这个网址或直接运行安装包。未运行杀毒软件时根据 802.1 策略做相应处理：会根据 802.1 策略中的“接入认证配置”的配置做相应处理。限制网络访问后，允许安全服务器连通列表客户端被限制网络访问后，允许其连通的服务器。安全服务器的作用是修复客户端。表 6- 1 补丁与杀毒软件认

131、证策略参数说明策略实例：图 6- 4 补丁与杀毒软件认证策略注意事项：1“系统补丁安全检测”仅设备启动时检测一次。2被限制访问后下次重新启动才会恢复。进程服务注册表认证策略进程服务注册表认证策略功能说明：在身份认证之前依据事先制订的策略，先对接入的客户端进行安全检查，检查是否运行了指定运行的进程，是否开启了指定的服务，注册表里是否有指定的项、键值、键名。802.1X 接入认证策略接入认证策略功能说明：802.1x 协议是基于 Client/Server 的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问网络。在获得交换机或北信源网络接入控制管理系统北信源网络接入控制管理系统

132、错误！未找到引用源。 62LAN 提供的各种业务之前，802.1x 对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x 只允许 EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。如下图所示：图 6- 5 接入认证策略根据配置，可以做到两种方式联网；a.当策略检测符合要求后认证成功会自动联网；b. 也可以在已经配置好交换机，当终端接入交换机中，会弹出认证界面。下面我们以第二种为例：北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 63图 6- 6 8021x 认证界面输入 Radiu

133、s 服务器中预先设置的用户名和口令，开启认证，如图：图 6- 7 8021x 认证界面如果安全检查与策略中设定的策略有违规，认证客户端则不允许进行802.1x 认证，如图：图 6- 8 安全检查没有通过，802.1x 不启动认证安全检查通过后，如果输入的用户名和口令不符合 Radius 服务器中预先设订用户名和口令，则认证也失败，如图：图 6- 9 认证失败北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 64注意事项：1认证状态有三种颜色，红色：认证失败。黄色：未进行认证。绿色：认证成功。2密码验证类型：客户端与服务端类型一致才可以通过。3证书认证，需要相应证书的

134、USBkey 与密钥支持。网关接入认证网关接入认证功能说明：配合硬件网关，进行网关重定向配置。注意事项：1选择可添加网关：需要先配置“网关接入认证”。VIFR 接入认证接入认证功能说明：虚拟隔离强制注册。参数说明：参数参数说明说明多重控制非主控服务器可以处理一些主控服务器执行的任务。在子网区域规模较大的情况下使用，减轻主控服务器的压力。终端校验正常情况下，未注册和注册的机器可以互相访问。勾选本选项后，未注册终端就不能访问已注册终端，但是已注册终端依旧可以访问未注册终端。限制非法接入终端访问的重要服务器用来保护重要的服务器。默认情况下，未注册的终端是不可以访问不在同一个网段的重要服务器，但是可以

135、访问在同一个网段的重要服务器的。表 6- 2 VIFR 接入认证策略参数说明其他策略其他策略终端配置策略、管理器策略、按对象分配策略、策略下发查询请参照第二章北信源内网安全管理系统的策略中心中的对应项。环境准备方法环境准备方法安装安装 RADIUS (windows IAS)安装安装 RADIUS1进入添加/删除程序中添加/删除 Windows 组件，选择网络服务中的Internet 验证服务北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 65图 6- 10 添加 Internet 验证服务组件2安装 IAS 后，进入 IAS 配置界面图 6- 11 IAS 配置界

136、面为为 RADIUS 服务器添加客户端服务器添加客户端1右击“RADIUS 客户端”，选择“新建 RADIUS 客户端”。客户端地址为验证交换机的管理地址，点击【下一步】。北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 66图 6- 12 新建 RADIUS 客户端2. 选择“RADIUS Standard”，共享机密为交换机中所配置的 key。点击【完成】。图 6- 13 新建 RADIUS 客户端3. 右击“远程访问策略”，单击“新建远程访问策略”。北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 67图 6- 14 新建远程访问策略设

137、置远程访问策略设置远程访问策略1为策略取一个名字，点击【下一步】图 6- 15 设置远程访问策略2选择以太网，点击【下一步】北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 68图 6- 16 设置远程访问策略3选择用户，点击【下一步】图 6- 17 设置远程访问策略选择用户4使用 MD5 质询，点击【下一步】，并完成。北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 69图 6- 18 设置远程访问策略使用 MD5 质询5在右面板中右击所新建的策略，选择“属性”。图 6- 19 设置远程访问策略新建的策略6点击【添加】，选择“Day-And

138、-Time-Restrictions”北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 70图 6- 20 选择 Day-And-Time-Restrictions7选择【添加】，选择【允许】，单击【确定】。图 6- 21 选择允许8删除 NAS-Port-Type 匹配”Ethernet”，并选择授予访问权限北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 71图 6- 22 设置属性9单击编辑配置文件，选择高级-【添加】选择【添加】64Tunnel-Type：VLAN65Tunnel-Medium-Type：80281Tunnel-Pvt

139、-Group-ID：VLAN ID图 6- 23 添加属性值 vlan北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 72图 6- 24 添加属性值 802图 6- 25 添加属性值 600北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 73图 6- 26 添加属性值 60010单击【确定】图 6- 27 编辑拨入配置文件设置连接请求策略设置连接请求策略1右击连接请求策略，选择新建连接请求策略北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 74图 6- 28 新建连接请求策略2选择自定义策略，并为该策略取个名字

140、图 6- 29 为策略取名字3策略状况选择添加 Day-And-Time-Restrictions，配置方法同上。然后一直【下一步】并完成。北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 75图 6- 30 策略配置添加认证用户添加认证用户1添加远程登录用户。在本地用户和组中新建一个用户。图 6- 31 添加远程登录用户2右击新建的用户，进入属性，选择隶属于，删除默认的 USERS 组北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 76图 6- 32 设置用户属性3点击拨入，设置为允许访问图 6- 33 设置 test 用户4打开组策略计

141、算机配置windows 设置安全设置帐户策略用可还原的加密来存储密码启用北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 77图 6- 34 设置启用5IAS 配置完成。6VRV EDP Agent 认证成功。图 6- 35 VRV EDP Agent 认证成功7Radius Server:Cisco ACS4.1注：安装 Cisco ACS 4.1 前，需要先安装 JDK 环境（1）进入 Cisco ACS 4.1 配置页面点击 User Setup，进入创建用户界面北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 78图 6- 36 创建

142、用户界面（2）输入用户名并选择 Add/Edit 进行用户的添加图 6- 37 用户添加（3）为该用户设置密码北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 79图 6- 38 设置用户密码（4）进入 Network Configuration图 6- 39 进入 Network ConfigurationAAA Clients 为交换机，IP 地址是交换机的管理 IPAAA Servers 为 Radius 服务器的地址AAA Client 配置北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 80图 6- 40 AAA Client 配

143、置（5）AAA Server 配置图 6- 41 AAA Server 配置（6）进入 Interface Configuration北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 81图 6- 42 进入 Interface Configuration（7）进入 RADIUS(IETF)，勾选第 64，65，81 项，保存图 6- 43 进入 RADIUS(IETF)（8）进入 Group Setup北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 82图 6- 44 进入 Group Setup（9）选择 Edit Settings，勾

144、选第 64，65，81 项64Tag1 选择 VLAN65Tag1 选择 80281Tag1 选择需要跳转的 VLAN ID 号。即管理员可给属于不同 VLAN 的客户端分发用户名和密码，让他们在输入用户名和密码进行验证后跳转至属于自己的 VLAN 当中。图 6- 45 进入 Edit Settingsp北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 83各厂商交换机配置各厂商交换机配置Cisco2950 配置方法配置方法Enable /*进入特权模式*/config t /*进入全局配置模式*/aaa new-model /*启用 aaa 认证*/aaa auth

145、entication dot1x default group radius /*配置 802.1x 认证使用 radius 服务器数据库*/aaa authorization network default group radius/*VLAN 分配必须*/radius-server host 192.168.1.132 key vrv /*指定 radius 服务器地址为192.168.1.132，通信密钥为 vrv，端口不用制定，默认 1812 和 1813*/radius-server vsa send authentication /*配置 VLAN 分配必须使用 IETF 所规定的

146、VSA 值*/int vlan 1 ip add 192.168.1.133 255.255.255.0no shut/*为交换机配置管理地址，以便和 radius 服务器通信*/int range f0/1 - 11dot1x port-control auto switchport mode access /*为 1 到 11 端口配置 dot1x，12 端口不配*/dot1x guest-vlan ID （VLAN 跳转命令）exit/*退回全局配置模式*/dot1x system-auth-control/*全局启动 dot1x*/aaa authentication login de

147、fault line enable local /*开启 telnet 远程登录*/exit /*退出全局模式*/2950 交换机上 VLAN 的配置vlan databasevlan IDenableconfig t北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 84int range f0/1 20switchport access vlan IDswitchport mode accessspanning-tree portfast华为华为 3COM 3628 配置配置dis cu # sysname H3C # domain default enable t

148、est # dot1x dot1x timer tx-period 10 dot1x retry 4 # radius scheme system radius scheme test server-type standard primary authentication 54.1.44.55 primary accounting 54.1.44.55 key authentication vrv key accounting vrv user-name-format without-domain # domain system domain test scheme radius-scheme

149、 test vlan-assignment-mode string # vlan 1 # 北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 85vlan 46 # vlan 600 description guest # vlan 601 to 602 # interface Vlan-interface46 ip address 54.1.46.250 255.255.255.0 # interface Aux1/0/0 # interface Ethernet1/0/1 port access vlan 600 dot1x port-method portbase

150、d dot1x guest-vlan 601 dot1x # interface Ethernet1/0/2 # interface Ethernet1/0/3 # interface Ethernet1/0/4 # interface Ethernet1/0/5 # interface Ethernet1/0/6 # interface Ethernet1/0/7 # interface Ethernet1/0/8 # interface Ethernet1/0/9 北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 86# interface Ethernet1/0

151、/10 # interface Ethernet1/0/11 # interface Ethernet1/0/12 # interface Ethernet1/0/13 # interface Ethernet1/0/14 # interface Ethernet1/0/15 # interface Ethernet1/0/16 # interface Ethernet1/0/17 # interface Ethernet1/0/18 # interface Ethernet1/0/19 # interface Ethernet1/0/20 # interface Ethernet1/0/21

152、 # interface Ethernet1/0/22 port access vlan 601 # interface Ethernet1/0/23 # interface Ethernet1/0/24 # interface GigabitEthernet1/1/1 北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 87# interface GigabitEthernet1/1/2 # interface GigabitEthernet1/1/3 # interface GigabitEthernet1/1/4 port link-type trunk port

153、 trunk permit vlan 1 46 600 to 602 # undo irf-fabric authentication-mode # interface NULL0 # voice vlan mac-address 0001-e300-0000 mask ffff-ff00-0000 # ip route-static 0.0.0.0 0.0.0.0 54.1.46.1 preference 60 # user-interface aux 0 7 user-interface vty 0 4 # return 锐捷锐捷 RGS21RGS21 配置配置hostname Switc

154、hvlan 1!vlan 600 name 600 /要跳转的 VLAN 必须以 VLAN 号来命名!北信源网络接入控制管理系统北信源网络接入控制管理系统错误！未找到引用源。 88ip access-list extended UNAUTH/安全通道的 ACL permit ip any host 54.1.44.56 /未认证之前开放服务器!radius-server host 54.1.44.55 /指定 radius 服务器的地址aaa authentication dot1x /开启认证aaa accounting server 54.1.44.55 /指定记帐服务器的地址aaa a

155、ccounting /开启记帐enable secret level 1 5 !.tj9=Gq+/7R:HE,1u_;C,&-8U0D+enable secret level 15 5 !fjo+/7RqgkE,1u_dhl&-8U0ein.tj9interface fastEthernet 0/45 dot1x port-control auto /开启 1X 认证 dot1x dynamic-vlan enable /开启动态 VLAN!interface fastEthernet 0/48 dot1x port-control auto dot1x dynamic-vlan enable

156、!interface vlan 1 no shutdown ip address 54.1.44.53 255.255.255.0 !no dot1x filter-nonRG-su enable/允许非锐捷的客户端通过dot1x accout-update-interval 600 radius-server key vrvip default-gateway 54.1.46.1 snmp-server community 123 rw security global access-group UNAUTH/开启安全通道end北信源接入认证网关北信源接入认证网关错误！未找到引用源。 89第

157、七章第七章北信源接入认证网关北信源接入认证网关网关接入配置认证网关接入配置认证配合硬件网关，进行网关重定向配置图 7- 1 网关接入认证点击【创建新建规则】，进行相关设置北信源接入认证网关北信源接入认证网关错误！未找到引用源。 90图 7- 2 重定向配置点击【接入用户管理】，添加接入的用户。图 7- 3 用户添加策略中心策略中心网关接入认证策略网关接入认证策略图 7- 4 网关接入认证策略北信源接入认证网关北信源接入认证网关错误！未找到引用源。 91其他策略其他策略终端配置策略、管理器策略、按对象分配策略、策略下发查询请参照第二章北信源内网安全管理系统的策略中心中的对应项。系统备份及系

158、统升级系统备份及系统升级错误！未找到引用源。 92第八章第八章系统备份及系统升级系统备份及系统升级系统数据库数据备份及还原系统数据库数据备份及还原点击任务栏上右下脚的 SQL Server 服务管理器，将正在运行的数据库服务停止；确认安装 SQL Server 的路径，默认安装路径为：C:ProgramFilesMicrosoftSQLServerMSSQLData 中，找到此目录下VRVEIS.ldf 和 VRVEIS.mdf 两个文件，将此两个文件拷贝到另外的路径下完成数据备份；如果系统升级不成功，造成数据损坏，请按照以上步骤进行相反操作，将VRVEIS.ldf 和 VRVEIS.md

159、f 两个文件拷贝到 SQL SERVER 安装路径下，例如：C:Program FilesMicrosoft SQL ServerMSSQLData 中即可。如VRVEIS.1df 过大，可通过正常运行中的区域管理器中的清空数据库事物日志进行处理。系统组件升级系统组件升级访问北信源公司网站获取升级组件：upWeb、upregmange 二个组件，或者在级联区域管理系统配置中设置自动探测升级文件下在路径为c:vrvvrveisupdate，正常升级一般最好使区域管理器、区域扫描器、WEB网页管理平台都使用默认安装路径。区域管理器、扫描器模块升级区域管理器、扫描器模块升级双击升级文件 upmana

160、ge.exe，此时升级文件会将区域管理器自动退出，并在升级完成后自动启动区域管理器与扫描器模块。系统备份及系统升级系统备份及系统升级错误！未找到引用源。 93升级网页管理平台升级网页管理平台点击升级文件 upweb.exe，此时能够把网页平台自动升级更新为最新版本；必要时候，可能会发布 fullupWeb.exe 升级文件，主要由于中间多次没有升级，进行完全升级。完成上述工作后，必须访问安装目录，进入 download 目录，确认devieceregist.exe 文件中 RegClient.ini 文件的 Regip 地址为区域管理器所在IP 地址。客户端注册程序升级客户端注册程序升级网络

161、管理员在完成网页管理平台的升级工作后，需要在网页管理平台上“区域管理器”详细配置中将“允许客户端升级”选项选中即可。此时客户端探头通过以下两种方式升级：扫描器扫描到客户端机器的同时对探头进行自动探测升级；客户端计算机每次重新启动后，会在第 5 分钟时主动进行探头自动升级，否则会在持续开机的过程中每 24 小时自动升级一次。检查系统是否升级成功检查系统是否升级成功区域管理器和区域扫描器模块的升级检查：找到安装路径下的可执行文件RegionManage.exe，右键单击后察看其属性，在选项卡上选择“版本”，此时文件版本号应该显示为最新版本号码，否则说明升级没有成功；网页管理平台升级检查：打开并进入

162、到网页管理平台，察看系统帮助菜单中“关于”选项，弹出的窗口会显示出当前的网页平台的版本号码；客户端注册程序升级检查：网络管理员通过 Web 页面中的查询功能对版本号进行查询统计，完成客户端注册程序的升级检查。注：在此过程中必须注意对 SQL 数据库的备份，如果升级失败，请进行数据的备份还原工作，保证原始数据不能丢失。级联管理模式升级及配置级联管理模式升级及配置在级联管理方式中，其上级区域升级方法同单一区域管理模式升级方法，其它各级区域均不需要进行手动升级。在上级手动升级完毕以后，需要系统管理员将 3 个升级文件手动放在 C:VRVVRVEISupdate 目录下，为下级区域的自动升级提供链接文

163、件。下级区域网络管理人员在系统安装成功完成后，需要进入到 web 管理平台，点击“系统配置”按钮，在弹出的系统配置界面中将“上报给上级管理器”前的复选框选中，在“上级管理器”地址一栏中添加多级管理模式上级区系统备份及系统升级系统备份及系统升级错误！未找到引用源。 94域管理器的 IP 地址，其它选项均选择为默认即可，此时下面的“升级配置”窗口中的“升级服务器地址”会同时自动发生改变，同时系统会每间隔一段时间对上级区域管理器进行一次探测，自动完成对系统升级即可。此时，升级服务器地址会改变如下图所示：图 8- 1 级联管理配置下级区域会根据图中所示的路径自动链接到最上一级区域管理完成自动升级操作

164、。注：系统软件必须默认安装在 C 盘中，才能实现自动升级，此时只需将升级路径设置正确，其它升级工作为自动执行。附录附录错误！未找到引用源。 95附录附录附录（一）北信源内网安全管理系统名词注释附录（一）北信源内网安全管理系统名词注释系统中常见词语含义解释：【信任】：系统管理员通过整体策略进行“信任”操作，也可通过单击选择此项进行设备信任操作，被信任机器无论是否注册，未阻断操作对信任的计算机为无效状态。【保护】：系统管理员通过“保护”操作对客户端机器进行设置，将交换机、路由器等不需要注册 IP 地址单独划分出来，并对 MAC 以及 IP 地址不进行绑定；建议将重要的服务器和其它网络相关设备不进

165、行注册，并设置为保护状态，用来保证其运行的稳定性。【阻断】：系统管理员在应用整体“阻断”策略操作外，可对其中任意一台客户端机器通过此项操作进行单独内部网络阻断。（该网段需有已注册且工作正常的客户端）【机构代码】：标志机构代码编号的数字，用于多级级联构架网络中上级和各下级之间的机构编号。【自定义组】：为进行内网主机监控审计与补丁分发管理任务规则应用、任务执行而设置的网络客户端编组，可自行组合，适用不同管理策略。【数据重整】：类似于刷新功能，提供对数据库中数据的重新整理，每隔一段时间对系统数据库进行重整。附录（二）移动存储设备认证工具操作说明附录（二）移动存储设备认证工具操作说明USB 标签制作标

166、签制作可初始化可初始化 U 盘密码设备指定盘密码设备指定在分配 USB 标签之前，请预先指定 5 台计算机（或 5 台以内，操作系统为windows 平台）作为密码还原计算机，通过专用程序获取计算机的设备 ID附录附录错误！未找到引用源。 96码，以便绑定设备 ID 码信息到移动存储设备中。一旦密码遗忘，可以在上述 5 台计算机上恢复初始密码，否则无法还原。具体步骤如下：登录系统系统维护系统用户分配与管理用户管理分配可用 USB 标签，选择 admin 的【设置】，如下图，附图- 1 修改用户 admin USB 标签点击“设备可初始化设备 ID”按钮，在红色标记处，按提示下载Device

167、Number.exe。如下图所示，附图- 2 下载 DeviceNumber.exe在上述 5 台计算机上分别运行 DeviceNumber.exe，填写获取的可初始化 U盘密码的设备 ID，并在每个 ID 号之后添加英文状态下的“;”，保存设置。分配用户标签分配用户标签附录附录错误！未找到引用源。 97标签类型：标签有普通标签和!SAFE6 两种。全局参数系统标签，如 07099C61-3DFFD160-5DC19AF1；建议标签，如 07099C61-3DFFD160-5DC19AF1。附图- 3 全局参数全局参数根据服务器特征产生，用于区别在不同服务器上制作的移动存储设备，一般情况下，

168、系统标签和建议标签一致，如果服务器更换（ip、本系统数据库），建议标签为当前服务器的标签，此时，建议使用最新的建议标签。同时，带有以前服务器上标签的移动存储设备同现有服务器安全策略不兼容。普通标签作用：用于对移动存储设备作标记，在外网未注册计算机不做任何判断，可以任意使用，仅在内网注册计算机上供认证识别用，移动存储设备标签同注册计算机获取的标签授权一致，该设备方可以使用，否则根据管理员设置进行报警处理。!SAFE6 标签作用：用于对移动存储设备的分区标签管理，在对移动存储设备分区的同时，进行标签写入，!SAFE6 设备标签同注册计算机获得的标签授权顺序匹配后，用户才能够按照设定的权限进行对!S

169、AFE6 设备数据区登录访问。标签制订：以!SAFE6 标签为例，某公司下属 10 个部门，一种管理方法是每个部门可以有单独的标签（如信息中心、销售部、办公室、财务部、市场部等），另一种是全公司设置特定的几种标签（如安全策略一标签、安全策略二标签），通过对计算机注册客户端程序的标签安全策略的发送，让计算机按照预定义的安全策略来识别带有不同的标签的移动存储设备，并进行访问控制（读写、只读、禁止使用、报警等）。先添加备用标签，再分配给网管，并保存，这样在使用 UsbTool.exe 时，能够获得上述预分配的标签，按照不同管理需要对移动存储设备进行标签写入。USB 标签制作工具标签制作工具USB 标

170、签制作工具功能标签制作工具功能USB 标签制作工具 UsbTool.exe 存放在网页管理平台 VRVEIS 文件目录的download 下，下载后可以在任何计算机上（建议在 Windows2000、xp 等操作系统）对移动存储设备执行标签写入操作。附录附录错误！未找到引用源。 98标签写入：将管理员预定的各种安全标签写到普通移动存储设备扇区，并进行加密，确保对专用移动存储设备的认证识别。数据分区：将普通移动存储设备划分为交换区和保密区，自由设置分区容量大小。设备加密：对移动存储设备数据区进行 AES128 位加密，确保数据区内数据的安全。添加启动区：根据管理员需要，对移动存储设备添加启动程

171、序，方便对设备的访问。初始化密码：根据管理员需要，对移动存储设备进行密码初始化。专用移动存储设备类型专用移动存储设备类型缺省三个分区、启动区与交换区二合一、整盘加密。缺省三个分区：该类型盘具有启动区、交换区、保密区；启动区带有启动程序，在未注册计算机上通过该启动程序登录交换区。启动区与交换区二合一：该类型盘有两个分区，启动区中带有启动程序。整盘加密：该类型盘只有一个数据区保密区。启动区的大小为 10M（默认），同滑动按钮实现对交换区和保密区的分区大小的调节。密码最大错误次数用于分别限制对两个区的访问，一旦输入的错误密码次数超过指定数值，专用移动存储设备将自动锁定。交换区按扇区加密：对交换区按照

172、扇区进行磁盘加密，默认只对保密区作加密。显示格式化窗口：在进行分区划分的时候，显示对分区的格式化过程窗口，支持对磁盘格式（如 FAT、FAT32、NTFS）的选择。支持灾难恢复：支持对专用移动存储设备密码的初始化还原，如不选择，在密码遗忘情况下，该盘将作废，需要做低级格式化处理，所有数据无法还原。初始密码强制修改：支持移动存储设备第一次使用时候强制修改密码，如果不修改无法使用。报警信息设置：该项用于整盘加密的情况，当设置该项时，一旦制作的整盘加密的移动存储设备在外网上时候的时候，该盘将告警设置的信息。在制作专用移动存储设备时，提醒“数据信息上传至服务器成功”，作用在于，将该专用移动存储设备的标

173、签信息传送到服务器备份，以便标签信息被人为毁坏或无意删除时可以恢复。专用移动存储设备交换区和保密区初次登录时候密码均为：0000aaaa。注：对 160G 以上大容量移动硬盘制作专用移动存储设备的时候，需要预先在操作系统下对该硬盘划分为 2 个区，然后再进行制作操作。专用移动存储设备制作过程专用移动存储设备制作过程附录附录错误！未找到引用源。 991、获取制作工具：登录网页管理平台，进入“移动存储”，选择“USB标签制作工具”，下载“UsbTool.exe”。2、登录制作工具：执行“UsbTool.exe”，输入区域管理器所在计算机的ip 地址，输入 admin 用户，输入密码登录（UsbT

174、ool 同区域管理器连通）。附图- 4 UsbTool 登录3、选择需要的型号：登录后，插入普通移动存储设备，出现盘符，选择该盘符，填写部门、拥有者、设备编号（自动编号不需要填写）、标签等。附图- 5 UsbTool 界面最后选择【写入标签】，如图，选择需要制作的安全盘的类型。附录附录错误！未找到引用源。 100附图- 6 分区格式化4、配置设备参数：参数作用详见“专用移动存储设备类型”。5、分区格式化：按照步骤对不同分区格式化，多个分区格式化将会出现多次格式化窗口。6、标签验证、标签清除：标签写入成功后，可以在 UsbTool.exe 主界面中进行标签验证，并进行标签清除。7、移动硬盘标签

175、制作方法：制作三个分区的移动硬盘标签制作三个分区的移动硬盘标签步骤 1：插入移动硬盘之后，右击我的电脑管理磁盘管理。附图- 7 制作移动硬盘标签 1步骤 2：在上面的分区上点鼠标右键，删除分区，多分区相同。附录附录错误！未找到引用源。 101附图- 8 制作移动硬盘标签 2步骤 3：删除分区 H，然后点【确定】按钮。附图- 9 制作移动硬盘标签 3步骤 4：然后所有分区，使之变成未指派盘符。附图- 10 制作移动硬盘标签 4步骤 5：在未指派盘符上，单击鼠标右键选创建磁盘分区。附录附录错误！未找到引用源。 102附图- 11 制作移动硬盘标签 5步骤 6：点【下一步】。附图- 12 制作移

176、动硬盘标签 6步骤 7：选择主磁盘分区，点击【下一步】。附图- 13 制作移动硬盘标签 7附录附录错误！未找到引用源。 103步骤 8：设置分区大小为 2000MB，之后点【下一步】。附图- 14 制作移动硬盘标签 8步骤 9：给主分区指定一个盘符。附图- 15 制作移动硬盘标签 9步骤 10：主分区必须是 FAT32 格式的，点击【下一步】。附图- 16 制作移动硬盘标签 10附录附录错误！未找到引用源。 104步骤 11：之后点【完成】。附图- 17 制作移动硬盘标签 11步骤 12：之后的步骤和三分区的优盘的步骤 1 到步骤 6 一样，就是容量大小和注册信息不同。（需要注意一下）制作

177、整盘加密的移动硬盘标签制作整盘加密的移动硬盘标签步骤 1 到步骤 12 和制作 3 个分区的移动硬盘方法一样。步骤 13 之后步骤和制作整盘加密的步骤 1 到步骤 6 的方法一样。3 个分区的优盘和移动硬盘在内网会出现下面界面。附图- 18 3 个分区的优盘和移动硬盘内网登录界面整盘加密的优盘和移动硬盘在内网会出现下面的界面。附录附录错误！未找到引用源。 105附图- 19 整盘加密的优盘和移动硬盘内网登录界面3 个分区的优盘和移动硬盘在外网会出现下面界面。步骤 1：插入 3 个分区的优盘或移动硬盘。附图- 20 外网插入 3 个分区的优盘或移动硬盘盘符步骤 2：进入启动区后，双击执行 ED

178、PEdisk.exe 会弹出交换区登录。附图- 21 交换区登录界面整盘加密的优盘和移动硬盘在外网会出现下面的界面。步骤 1：插入整盘加密优盘或移动。附录附录错误！未找到引用源。 106附图- 22 外网插入整盘加密优盘或移动盘符步骤 2：双击可移动磁盘 F，出现下图信息。（整盘加密在外网进不去）附图- 23 信息提示两个分区和三个分区的制作一样，把启动区和交换区放到一起，启动区，大小可以调节，登录的时候启动区不需要密码，(可以和普通 U 盘一样)。专用移动存储设备初始化密码过程专用移动存储设备初始化密码过程1、获取制作工具：登录网页管理平台，进入“移动存储”，选择“USB标签制作工具”，下

179、载“UsbTool.exe”。2、登录制作工具：执行“UsbTool.exe”，输入区域管理器所在计算机的ip 地址，输入 admin 用户，输入密码登录（UsbTool 同区域管理器连通）。附图- 24 UsbTool 登录3、选择需要初始化密码的移动存储器。附录附录错误！未找到引用源。 107附图- 25 UsbTool 界面最后选择【初始化密码】，如图，选择进行初始化密码的操作。附图- 26 初始化密码注：在进行初始化密码的时候，需要将桌面右下角的程序退出；密码初始化操作只可以在授权的主机上进行。USB 标签制作历史查询标签制作历史查询USB 标签制作历史查询用于查询已经做标签处理的

180、USB 移动存储设备信息，便于管理员对网络中使用的认证标签进行状态汇总。附录附录错误！未找到引用源。 108查询方式支持：U 盘编号、U 盘状态、所属部门、拥有人、U 盘标签（U盘编号暂不支持手动编号查询）、写入标签时间、空标签时间等条件。附图- 27 标签历史查询移动存储审计策略移动存储审计策略移动存储审计策略用于配置注册计算机的专用移动存储管理策略，管理员设定专用移动存储设备的许可标签、使用权限、报警信息等策略内容，策略下发注册终端后执行，注册终端根据策略对接入的移动存储设备进行条件判断控制。参数参数说明说明普通 U 盘控制不允许使用、允许只读方式使用、允许读写方式使用。该项用来控制普通

181、 U 盘的操作使用，带标签的本系统移动存储设备属于普通 U 盘的一种，因此，普通标签和!SAFE6 标签移动存储设备的使用均需要开启“允许读写方式使用”权限启用 U 盘标签认证网络中存在标签移动存储设备，需要开启该项。注：未经过标签制作工具分区的 U 盘以及安全U 盘，其权限由交换区权限控制。认证标签列表（添加标签）择设定的移动存储标签类型，例如标签 1、标签 2、标签 3 三种标签，分别对应于信息中心、销售部、办公室的标签移动存储设备针对信息中心的所有客户端制订一条策略，设置本部门的标签设备在本部门计算机上的使用权限，设置销售部的标签设备在信息中心计算机上的使用权限，设置办公室的标签设备在信

182、息中心计算机上的使用权限，控制级别到数据区（交换区、保密区）。策略制订好以后，发送到信息中心所有 ip 计算机执行本单位标签认证失败本单位标签，是指在同一套管理服务器系统（全局标签）上制作的不同类型标签的的移动存储设备，如各部门使用不同标签，这些标签属于本单位标签，用于识别对不同部门的设备附录附录错误！未找到引用源。 109使用权限管理外单位标签认证失败外单位标签，是指不在同一套管理服务器系统（全局标签）上制作的不同类型标签的的移动存储设备。用户对这些设备的使用权限会受到“外单位标签认证失败”策略和标签的离网策略限制软盘使用控制、光盘使用控制针对 USB 类型的移动存储设备进行读写控制，US

183、B 软盘、USB 光盘刻录机等均可以将数据拷出审计过滤针对特定类型的文件进行审计，不填写默认为全部审计登录交换区后自动杀毒针对!SAFE6 标签设备插入计算机后自动调用操作系统的杀毒软件对交换区进行病毒查杀，杀毒软件支持动态添加（基本如瑞星、kill）例外判断针对特定移动存储设备如公章系统盘，不进行访问控制判断，其他类似，只需要填写特征文件名即可中间机策略中间机针对存在整盘加密策略的计算机和外来移动存储设备的情况提供数据交换，通过策略内容逻辑的组合设计来实现附表- 1 移动存储审计策略参数说明移动存储审计数据移动存储审计数据在数据查询审计数据查询移动设备审计中查看审计数据。默认当前页面显示“今

184、日数据”，如果需要查找其他时间的数据，可以通过选择“时间范围”查询。在数据查询时：选择需要查询的数据类型，如“移动设备接入”，“读取移动设备”，“写入移动设备”，分别显示查询项。附录（三）主机保护工具操作说明附录（三）主机保护工具操作说明主机保护工具主要是为了保护服务器端不受客户端和来历不明的终端设备的恶意访问和攻击。主机保护工具可以限制访问自己设备的 IP 地址和端口。如果服务器端受到客户端或不明设备的 DOS/DDOS 行为攻击，主机保护工具能阻断客户端或不明设备和服务器之间的连接，很好的起到保护主机的作用。访问控制配置说明附录附录错误！未找到引用源。 110附图- 28 访问控制配置说

185、明 (1)设定可以访问自己的 IP 地址，设定好后添加。(2)设定不可以访问自己的 IP 地址，设定好后添加。(3)设定不让任何地址访问自己。(4)指定只能访问本地的协议端口，设定好后添加。可以有针对性的设定TCP 或 UDP。(5)控制 ICMP 协议 PING 入和 PING 出，设定好后点击应用。(6)启用 IP 地址保护可以防止其它机器抢占本地 IP 地址，保证本机 IP 在网段内的唯一性，不出现 IP 冲突、断网现象。（设定信息可以有配置表中看到）DOS/DDOS 配置说明配置说明附图- 29 DOS/DDOS 配置说明 (1)设定标值在一定时间内 TCP 连接数或 ICMP 请求超

186、过设定数值那么就认为本机受到了 DOS 拒绝服务攻击。设定后点击应用。(2)根据 DDOS 拒绝服务攻击特性设定。设定后点击应用附录附录错误！未找到引用源。 111(3)如果触发了上面的设定，主机保护工具就会认为发生了攻击行为加以阻断，显示攻击信息选上后，有事件发生会有提示出现。附录（四）组态报表管理系统操作说明附录（四）组态报表管理系统操作说明报表管理系统的作用是使管理员能够方便的设计报表的格式、输出内容、查询条件，方便的将 web 平台的设备信息、报警信息等各种数据以报表的形式进行输出。模版制定模版制定定义模版定义模版1、确定模板名称附图- 30 创建模板模板的名称：例如，要查询 ip

187、与 mac 的对应关系，为了区分于其他的模板，我们可以填写 IP_MAC 对应信息查询。模板的描述：提醒用户这个模板是做什么用的。2、确定报表标题及报表尾附录附录错误！未找到引用源。 112附图- 31 确定报表标题及报表尾第一行输出主标题：如果查询 ip 与 mac 的对应关系，就可以填写 ip、mac对应关系。最后一行输出制表人：有三个选项可供模板定义者自由选择，例如当前用户、不输出或者用户自定义。3、定义报表输出项附图- 32 定义报表输入项列名：即报表所显示的列名称，如单位名称，为必添项，例如，查询 IP 地址，或者是 MAC 地址。长度：即报表显示列的长度，如：100px，为必添项

188、，px 是像素。描述：即报表显示列的详细说明，如：统计该项纪录的单位名称，可不填。附录附录错误！未找到引用源。 113排版：即以上下移动的方式，调整列输出顺序。4、确定列输出条件附图- 33 确定输出条件（1）列选项：选择一项已设定的列名称（2）确定输出方式：简单输出即只输出当前显示名称，求和只针对整形数，即符合条件下该列的数字总和，求纪录数即符合条件的纪录条数。（3）选择表：选择输出该列在数据库中列所在的表，确定数据库中的列选项。（4）列限制条件：即列显示针对数据库中的该列满足添加条件下的纪录，可以添加多条限制条件。（5）约束条件：指选定数据库中列的约束条件，第一选项为该列与其他约束列之间

189、的关系，分为并且与或这两种关系，第二选项为该列与约束条件的关系。（6）自定义 Sql：即用户自己确定 Sql，注意 Sql 格式。注：用户设定的输出列要与数据库中列逐一对应。5、确定表关联附录附录错误！未找到引用源。 114附图- 34 确定关联 (1)在定义报表已涉及的表选项中选择一项为主表选项。(2)选择一项输出列，在该列所在表的所有列中选择一列作为该列的关联字段，选择主表列选项中的一列作为主表的关联字段。 (3)保存关联条件。 (4)逐一选择输出列，重复(2)，(3)步骤。6、保存模板附图- 35 保存模板统计时间范围：只针对主表输出项。点击【完成】即完成模版的设计。模版修改模版修改1

190、、修改模版名称附录附录错误！未找到引用源。 115附图- 36 修改模板名称2、修改模版的输出标题和表尾附图- 37 修改模版的输出标题和表尾3、修改输出列选项附录附录错误！未找到引用源。 116附图- 38 修改输出列选项4、修改关联选项附图- 39 修改关联选项5、修改时间范围统计附录附录错误！未找到引用源。 117附图- 40 修改时间范围统计报表输出报表输出已定义模板已定义模板预览：弹出一个模板信息的网页界面，这个功能主要是对已定义模板的预览。附图- 41 模板预览输出：输出 excel 报表模板信息，为了使用户能直接和自己单位的其他信息兼容，我们开发了这项功能。附录附录错误！

191、未找到引用源。 118附图- 42 输出 excel 报表模板信息时间定义：可以进行模板输出时间重定位。为了让用户按时间段查询所设计模板。这样可以过滤掉很多无用信息。附图- 43 时间定义模板导入模板导入我们的组态报表管理系统提供了许多的默认模版，用户可以通过模版导入功能将系统默认的多种模版导入到自定义模版中，直接使用，简化了用户的操作。我们在模版导入的 systemup 文件夹下提供了丰富的系统自定义模版供用户直接使用操作说明：选择要导入的模版，然后点击“导入到模版”，选择的模版就被导入到已定义模版中，这样用户就可以直接使用了。附图- 44 模板导入附录附录错误！未找到引用源。 119模板

192、导出模板导出将用户已定义模版生成脚本文件导出到指定的文件夹中，方便用户保存自定义模版和将已定义模版移植到其他系统使用。操作说明：选择要导出的模版，在弹出的窗口中填入要保存到的路径和保存文件的文件名，然后点击确认导出，就将用户已定义模版导出成指定的文件。系统定义：输入文件名，模板自动导入到“模板导入”目录下文件夹里用户自定义：输入文件名，用户自定义文件名文件扩展名，把模板导入到“模板导入”目录下文件夹里。附图- 45 模板导出附录（五）报警平台操作说明附录（五）报警平台操作说明报警平台的作用是当网络中出现违规行为并有报警信息产生时，可以通过SNMP trap 或者 syslog 方式及时通过声音

193、、邮件、手机短信等方式通知网络管理人员。设置设置配置报警平台区域配置区域管理器配置高级配置报警过滤，配置报警平台内容。操作设置方法见下图附录附录错误！未找到引用源。 120附图- 46 报警平台设置配置报警系统双击进入报警系统，点击【设置】，进入高级设置。附图- 47 高级设置本机配置本机端口及名称：“报警接受端口”默认 8889 端口；数据库配置：用来对报警平台使用的数据库机设置；设置时选中复选框【应用数据库相应配置】。该平台支持 ACCESS，MS_SQLSERVER 两种数据库；配置 ACCESS 库，先选中单选框“MS_ACCEXX”，然后通过【浏览】获得 C:VRVRegionMa

194、nagenssrVrv_Police.mdb 文件，；配置SQL 库，需先“环境初始化”数据库，初始化文件为C:VRVRegionManagenssr InitEvn.exe，先选中单选框“MS_SQLSERVER”，然后进行其他设置。上级总控配置：用来设置级联报警。输入 IP 前先选中复选框“应用上级设备配置”。附录附录错误！未找到引用源。 121报警设置在“报警设置”可以选择适合自己的报警通知方式，其中包括有声音、信使、SNMP Trap、手机短消息、电子邮件五种。在设置报警方式时，应先选中“报警方式”前的复选框。例如，以“声音”作为报警方式，则先在“声音”前的复选项框打。附图- 48

195、报警设置上声音：在级别设置中，“低、中、高”是与区域管理器的配置中“报警过滤”危险级别相对应，例如，“报警过滤”配置项中把“违规联网”报警“高”，这里将“声音”报警的级别调为“高”，则当有违规联网报警时，报警平台就会发出“高”级别所对应的声音。信使：级别的设置与（1）相同，“IP1、IP2、IP3”填写希望收到报警信息信使服务的计算机 IP。SNMP Trap：用于第三方软件的 SNMP Trap 报警，级别的设置与（1）相同，“IP1、IP2、IP3”填写希望收到报警信息信使服务的计算机 IP；端口为默认值。附录附录错误！未找到引用源。 122附图- 49 报警设置下手机短消息：级别的设置

196、与声音设置相同。注：用此方式时，必须有发短信的设备。邮件设置：级别的设置与声音设置相同。日志查询日志查询选择方法：文件日志查询。作用是可以根据时间、报警器 IP、事件源 IP和事件类型对报警消息进行查询。如下图所示：附图- 50 日志查询窗口窗口用来显示/关闭工具栏、状态栏、事件栏、信息栏。附录附录错误！未找到引用源。 123附图- 51 报警中心界面更换界面更换界面此菜单栏可以改变报警界面，让用户选择适合自己的界面。帮助帮助显示报警中心的相关信息。如果结合接入认证环境，就需要将交换机的 GUEST VLAN 配置 ACL，使其能够与 CA 认证服务器与 EDP 服务器正常通信。如下图所示：

197、附录（六）漫游功能说明附录（六）漫游功能说明漫游功能介绍漫游功能介绍为了实现客户端在相同公司不同地域的情况下可以正常接入网络并且被所在区域 EDP 服务器漫游组接管，同时漫游客户端会执行所在区域 EDP 服务器的漫游组策略。从而实现漫游客户端在异地管理的目的。当漫游客户端回到所在地时会恢复到漫游之前的工作组中，执行工作组中策略。在客户端漫游的过程中，两地服务器和 CA 认证服务器上都能查询其状态。漫游示意如下图所示：附录附录错误！未找到引用源。 124CA认证服务器3、询问是否有漫游终端，下发漫游终端相关身份信息0、上报相关信息0、上报相关信息0、上报相关信息5、修改终端自身的管理器地址，刷

198、新策略，并执行4、有漫游终端，并确认终端身份3、询问是否有漫游终端，下发漫游终端相关身份信息发送所在区域管理器的地址以及相关信息漫漫游游终终端端漫游终端根据漫游触发机制触发漫游。2、CA认证服务器收到终端信息，根据自己的库中进行查询，并和类似信息的区域管理器联系，北京区域管理器广广州州区区域域管管理理器器1、发送所在环境的网络信息漫游之前所属管理器上上海海区区域域管管理理器器附图- 52 漫游示意如果结合接入认证环境，就需要将交换机的 GUEST VLAN 配置 ACL，使其能够与 CA 认证服务器与 EDP 服务器正常通信。如下图所示：附图- 53 结合接入认证漫游示意图附录附录错误！未找

199、到引用源。 125漫游功能配置漫游功能配置配置配置CA认证服务器认证服务器VRVEDP服务器服务器CA 认证服务器程序的安装认证服务器程序的安装安装程序是 CA 认证服务器，主程序为 Vrv_Certificate.exe附图- 54 CA 服务器界面EDP 服务器服务器如实现漫游，VRVEDP 服务器需要配置 CA 认证服务器的地址以及端口，具体配置在配置管理区域管理器配置高级配置，启用其中的服务器迁移功能选项，并填入 CA 认证服务器的地址和端口号。附图- 55 区域管理器配置界面客户端需要下发终端设置策略，策略中要配置“客户端迁移功能”选项，填入 CA 认证服务器的地址和端口号。附录附录

200、错误！未找到引用源。 126附图- 56 客户端迁移策略配置界面漫游客户端的审计功能漫游客户端的审计功能当客户端成功过漫游到新管理器下后，客户端会通过 CA 向原管理器发送自己漫游状态，告诉原管理器自己已经漫游到新管理器，并把新管理器的IP 地址和管理器名称告诉给原管理器。此时原管理器会显示漫游客户端的漫游状态，如下图所示：附图- 57 重原管理区漫游出去的客户端同时，客户端也会通过 CA 将自己是信息上报给新管理器，漫游客户端将进去漫游组中。漫游组指的是管理器为漫游客户端特别设置的组，漫游客户端将被分配到这个组中，此组和本地注册客户端区分开，策略分发时也会区别开来。附录附录错误！未找到引

201、用源。 127附图- 58 漫游到新管理器的客户端附图- 59 进去漫游组中的漫游客户端当客户端从新管理器漫游回原管理器时，客户端同样会通过 CA 向新管理器发送漫游状态，告诉新管理器它漫游回去了。附录附录错误！未找到引用源。 128附图- 60 漫游回原管理器的客户端EDP 服务器提供漫游查询功能，由此可以查看客户端漫游状态，这样原管理器就可以知道注册的客户端漫游到何处、何时返回、何时返回等客户端的漫游相关信息。附图- 61 漫游查询状态选项附录附录错误！未找到引用源。 129附录（七）附录（七）IIS 服务器配置说明服务器配置说明此附录说明了在不同操作系统版本下 IIS 的配置。WIN

202、2003-32 位位 IIS 配置说明配置说明对于 Win2003 系统安装 vrv 内网安全管理系统后出现服务器和终端无法登陆 WEB 页面的现象，现做出以下服务器端的 IIS 配置说明：步骤一：点击开始菜单-管理工具-IIS 服务管理器，打开，会出现如下界面：附图- 62 IIS 服务管理器点击左边列表中的 Web 服务扩展，会出现右边红色标记的几个选项，默认情况下这几个选项都是禁止的，分别选中将它们设置为允许；几个选项分别为：Active Server Pages、Internet 数据连接器、在服务器端的包含文件；步骤二：如下图红色标记所示的 IIS 界面双击网站-默认网站，在这下面会

203、出现 VRVEIS 虚拟目录，右键单击 VRVEIS属性，点击虚拟目录选项，再单击配置按钮出现，即应用程序配置，此时点击选项，将红色标记的启用父路径选项勾上即可；在”虚拟目录”选项界面钩中脚本资源访问,读取,写入等属性,这在图中没有画出,”注意”。附录附录错误！未找到引用源。 130附图- 63 虚拟目录属性配置到这一步，如果你安装内网安全系统的系统盘是 FAT32 分区，那么现在你的本机及终端都可以成功登陆 Web 界面了；如果你的系统是 NTFS 分区的那么你还得做如下操作才可以成功登陆 Web界面；步骤三：打开安装内网安全管理系统的系统盘符，在根目录下找到 VRV目录打开，找到 VRV

204、EIS 目录，右键单击-属性，点击安全选项，直接点击添加按钮，会出现如下界面；附图- 64 选择用户域组此时点击红色标记的高级按钮，会出现如下界面：附录附录错误！未找到引用源。 131附图- 65 用户域组高级选项如上图所示，点击立即查找按钮搜索用户，找到下面有着红色标记的用户，该用户为：IUSR_TEST3,（其格式一般为 IUSR_机器名；）找到该用户后选中，用同样方法添加用户 IWAM_机器名点击确定按钮即可，此时会出现下图界面：附图- 66 用户属性变更选中刚才添加的用户将权限设置为全部允许，到这一步，所有设置都以完成，此时分区为 NTFS 分区的服务器和其他终端都可以登陆 Web

205、界面了。WIN2003-64 位位 IIS 配置说明配置说明对 Windows 2003 64 位操作系统安装北信源内网安全管理系统后出现无法登陆 WEB 页面的现象，现做出以下服务器端的 IIS 配置说明：附录附录错误！未找到引用源。 132步骤一：按照正常方式安装内网安全管理系统，并做相应权限设置。步骤二：登录 Web 平台尝试访问，若报错或无法登录则执行以下步骤。步骤三：查看当前系统 A 的版本号，A v2.0.50727 是当前系统的版本号 IISWeb 扩展（Web Service Extensions）-A v2.0.50727。步骤四：单击“开始”，“运行”，键入 cmd，确

206、定。步骤五：键入以下命令，启用 iis6.0 的 32 位模式Cscript %SYSTEMDRIVE%inetpubadminscriptsadsutil.vbs SET W3SVC/AppPools/Enable32bitAppOnWin64 1命令执行结果为附图- 67 命令执行结果步骤六：以上命令执行成功以后执行第二个命令，安装 ASP.NET 2.0(32 位)版本并在 IIS 根目录下安装脚本映射，注意标红处版本号要与当前 ASP.NET版本号一致%SYSTEMROOT%Microsoft.NETFramework v2.0.50727aspnet_regiis.exe i执行正确

207、的话输出结果如下附图- 68 输出结果步骤七：以上命令正确执行以后重启 IIS，键入命令 iisreset步骤八：重启完毕以后回到 web 扩展，会发现多出一项 A v2.0.50727（32-bit），设置为允许附图- 69web 扩展属性变更步骤九：尝试浏览并登陆页面，成功附录附录错误！未找到引用源。 133WIN2008-64 位位 IIS 配置说明配置说明Windows 2008 64 位操作系统使用 IIS7.0，它的管理工具是用.NET 和Windows Forms 编写，所以需要新的配置方式，现做出以下服务器端的 IIS配置说明：步骤一：计算机（右键）-选择“管理”,打开“服务器管理器”-“角色”-（右键）添加角色-下一步-选择需要安装的服务器角色，这里选择“WEB服务器(IIS)”，由于这里已经安装，所以显示（已安装），提示这里在安装 IIS7.0 时，在里面包含 IIS6.0 及 WEB 服务扩展选项，为了兼容性更稳定需勾选！然后，点击“安装”，直到安装结束，重新启动计算机。附图- 70 添加角色向导

展开阅读全文