《移动存储介质管理系统使用手册》由会员分享,可在线阅读,更多相关《移动存储介质管理系统使用手册(64页珍藏版)》请在金锄头文库上搜索。
1、国网电力信息通信公司SGCC-USB1.0移动存储介质管理系统管理员手册国网电力信息通信公司2008目 录第一章 系统概述31-1 系统组成41-2 系统构架5第二章 系统安装72-1 安装环境要求72-2 安装注意事项82-2-1 服务器部署82-2-2 安装和应用92-3 系统组件安装92-3-1 安装SQL server数据库102-3-2 安装WinPcap驱动模块102-3-3 初始化数据库102-3-4 安装Web中央管理平台132-3-5 安装区域管理器Region Manage132-3-6 配置设备扫描器模块Region scan152-3-7 客户端注册15第三章 系统组件
2、配置203-1-1 区域划分203-1-2 区域管理器配置223-1-3 扫描器配置253-1-4 注册程序配置273-1-6 自定义组分配与管理27第四章 系统管理操作294-1 USB标签制作294-1-1 USB标签添加294-1-2 USB标签分配304-2 USB标签制作工具314-2-1 USB标签制作工具功能314-2-2 专用移动存储设备类型324-2-3 专用移动存储设备制作过程334-3 USB标签制作历史查询344-4 移动存储审计策略354-5 移动存储审计数据374-6 其它通用策略管理39第五章 系统维护管理415-1系统用户分配与管理415-2用户设置425-3数
3、据重整435-4客户端卸载445-5安全盘密码还原445-6客户端阻断455-6-1 扫描器配置455-6-2 自动阻断455-6-3 手动阻断46第七章 系统备份及系统升级477-1 数据库数据备份及还原477-2 系统组件升级477-2-1 区域管理器、扫描器模块升级487-2-2网页管理平台升级487-2-3 客户端注册程序升级487-2-4 检查系统是否升级成功487-3 级联管理模式升级及配置49第八章 售后服务50第九章 附录50附录(一)SQLserver安装50附录(二)系统名词注释56附录(三)移动硬盘标签制作57第一章 系统概述国家电网公司移动存储介质管理系统SGCC-US
4、B V1.0(以下简称SGCC-USB V1.0)是根据国网网络应用特点而设计的一套移动存储管理方案,目的在于满足国家电网公司内网移动存储介质日常安全管理。SGCC-USB V1.0综合应用底层驱动、扇区加密、进程守护等多种安全防护技术,磁盘文件底层驱动技术对普通移动存储设备(主要USB类型)作唯一性标签处理, AES128位高强度算法对磁盘进行数据区划分并作加密处理,标签移动存储介质结合受控客户端主机的安全访问控制策略作匹配授权,确保标签移动存储介质使用的安全性与合法性。SGCC-USB V1.0系统通过集中的注册管理平台对 USB存储设备作严格的设备介质身份认证、数据信息重构、数据加密等一
5、系列安全防护操作,针对办公网内计算机USB存储设备的使用和管理建立了完整的防范解决体系,系统采用C/S和B/S混合式架构,由服务器端和客户端构成。SGCC-USB V1.0客户端主机通过移动存储介质的产品唯一生命特征识别码和硬盘唯一码结合进行识别,当主机数据库和移动存储介质中的认证信息相同时,接受其入网使用;未经注册的移动存储设备将会自动被系统强制卸载,实现单位U盘外出使用需要到单位保密或网络管理员处登记,否则在外部无法打开。SGCC-USB V1.0在解决安全方面的问题,同时还兼顾工作的实际,力求使用的方便、简洁与高效。1-1 系统组成 系统服务器端:SGCC-USB V1.0系统管理中心,
6、自动发现网络中的终端计算机,并检测终端计算机是否安装系统客户端程序,管理中心内置移动存储管理策略中心和报警中心,提供对网络终端的分组管理设置。SGCC-USB V1.0系统服务器端由4个组件构成: SQL Server管理信息库(安装包:环境初始化程序)、Web中央管理配置平台(安装包:网页管理平台)、区域管理器(安装包:Region Manage,原区域扫描器已作为模块集成到区域管理器)、WinPcap程序。环境初始化程序:SQL Server管理信息库,建立移动存储介质管理系统的初始化数据库。包括:客户端主机设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册(未注册)机器
7、信息、设备属性变化信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比,根据审计要求在管理平台上报警。Web管理平台:Web中央管理配置平台,本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定,网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。Region Manage:区域管理器,系统数据处理中心。与管理信息数据库通讯,接收注册程序提供的用户信息,将用户信息(用户填写的物理信息和系统自动采集的硬件信息)并行存入数据库;接受来自控制台的命令操作,发送到客户端、扫描器执行。对于存在多级管理要求的广域网,网络中可
8、以存在多个区域管理器,系统数据提供逐级上报(转发)模式。区域管理器内置网络扫描器,扫描器将设备最新状态信息报送至区域管理器。扫描器配合区域管理器进行工作,可以在分级模式下使用,扫描器只依据Web管理平台中配置的工作范围进行扫描,超越其范围,将不负责执行。WinPcap程序:嗅探驱动软件,配合区域管理器工作。 专用认证工具:SGCC-USB V1.0移动存储设备认证程序,用于管理员对网络中移动存储介质进行集中注册和授权管理,对普通移动存储设备加载认证标签,同时划分数据区(交换区、保密区、启动区),将使用人、使用人部门、设备编号等信息写入移动存储设备,完成普通移动存储设备到专用移动存储设备(安全U
9、盘、安全移动硬盘)的技术处理。专用认证工具还用于专用专用移动存储设备密码遗忘后的密码还原操作。认证工具程序可以在网管员主机上(或任意主机,但必须由管理员控制)使用,使用时必须能够同系统服务器连接,方可对移动存储设备进行认证管理工作。 系统客户端注册程序(Agent):安装在终端计算机,接受系统管理中心分发的策略,根据接受策略实时监控接入终端计算机移动存储设备的操作行为和状态,并进行管理或者控制。系统客户端注册程序(Agent)作用:用户填写本机信息,填写必要信息后上报区域管理器。注册程序自动探测系统硬件信息,连同用户填写的信息一同上报区域管理器。用户将本机注册信息发送到区域管理器后,区域管理器
10、自动将客户端驻留程序应用策略发送给用户,并自动更新。客户端驻留程序功能:1、进行本机IP/MAC、资产等信息采集;2、本机移动存储设备使用状况监测;3、接受Web管理平台的管理策略命令,并执行;4、报送本机移动存储设备审计信息到控制台;5、阻断本机联网行为。注:区域管理器(Region Manage)、区域扫描器模块(Region scan)、注册程序系统的参数配置集中体现在网页管理平台操作上,上述三部分功能参数值统一在网页管理平台中进行配置。区域管理器(Region Manage)、扫描器模块(Region scan)部分参数在自身组件中配置。1-2 系统构架移动存储介质管理系统SGCC-U
11、SB V1.0应用于局域网、广域网构架,支持跨网段、跨地域的内网客户端移动存储设备介质的管理和审计,系统应用主要分为以下两种构架:基本构架:对于一般网络(例如1个C类地址或若干个C类地址的局域网范围),可使用一套本系统软件,集中管理所属区域内的所有设备。扩展构架:对于大规模的多个局域网或者跨地域广域网(包括基于国家、省、市、县等多级管理模式的网络结构),可使用本系统提供的多区域集中管理构架,即一个或多个网段各拥有一套独立移动存储介质管理系统的同时,将本级所有设备信息再转发给上级管理数据库,使得上一级管理人员对整个网络的移动存储设备使用状况也能够完全掌握。移动存储介质管理系统SGCC-USB V
12、1.0应用拓扑第二章 系统安装2-1 安装环境要求条件一:硬件环境SQL Server数据库服务器:用于安装SGCC-USB V1.0系统管理信息数据库。PC服务器或更高档服务器, Pentium 2.4C 以上CPU,512M以上内存。区域管理器:用于安装区域管理器程序。百兆或千兆网卡,PC服务器或更高档服务器, Pentium 2.4C 以上CPU,512M以上内存。扫描器模块:配置同区域管理器。如单独安装扫描器模块,比较高档的PC计算机即可。本系统各程序可安装在同一台计算机上,也可在不同机器上安装SQL数据库、IIS服务器、区域管理器、扫描器模块等,此时推荐该计算机内存为1G以上。建议将
13、区域管理器、扫描器、网页管理平台安装在同一台机器上,作为管理服务器。条件二:提供数据库、IIS服务操作系统:Windows 2000或Windows 2003企业版操作系统。SQL Server2000软件:配备SQL Server数据库系统,用于移动存储介质管理系统建立管理信息库数据库列表项。IIS服务:配备IIS服务器提供Web服务,用于安装Web网页管理配置平台。如所装操作系统为Windows 2003企业版,则需要按照安装光盘中的Windows 2003的IIS配置说明进行IIS配置。条件三:为本系统提供相应端口移动存储介质管理系统SGCC-USB V1.0区域管理器将占用操作系统88
14、端口,必须确保安装区域管理器的机器该端口不被占用。区域内的防火墙应打开如下端口:80,88, 161,137,22105,2388,2399以及ICMP协议端口,同时本机不启用DNS服务。2-2 安装注意事项软件安装时,推荐将区域管理器、扫描器、数据库安装在同一台机器上(以下称为管理服务器),建议按照下面要求进行移动存储介质管理系统服务器部署、软件安装、客户端注册。2-2-1 服务器部署1、移动存储介质管理系统服务器在网络中位置n 确保该服务器能够ping通所有被管理网络中任意一台客户端机器,同时被管理客户端可以正常连接服务器的TCP的80,88两个端口。不n 服务器给客户端下达策略的端口为:
15、TCP端口22105。n 服务器扫描发现客户端利用以下协议及端口:n ICMP协议(发现IP地址存在的其中一种方式);u NETBIOS协议,UDP端口137(为了发现机器名和MAC地址);u SNMP协议,TCP端口161(为了发现智能设备如路由器、交换机等);n 在本地网络中若划分了VLAN,或本地网络存在防火墙,请注意上述问题。2、存在网中子网(如经过地址转换)的网络布置点对于网络中存在网中网现象,如采用NAT地址转化或者代理方式在10.*. *. *网络中接入192.*. *. *网段,这些子网用户的管理方式如下:情况一:子网有专人管理,并且有独立机房,则应在该子网中安装一套完整的移动存储介质管理系统。情况二:子网无专人管理,或无独立机房,可采用以下3种方式之一处理1) 机器数量少的建议统一更改IP为10.*. *. * 网段。2) 由管理员监督子网中所有机器进行注册并保证不得遗漏。3) 在该网络中指定一台工作站专门安装区域管理器软件和区域扫描模块,并将区域管理器配置中SQL服务器地址指
