第一篇：產品白皮書_北信源內網安全管理系統白皮書v2.0_北信源_20100403

北信源內網安全管理系統

產品白皮書

北京北信源軟件股份有限公司

2010年4月

北信源內網安全管理系統產品白皮書

版權聲明

本手冊的所有內容，其版權屬于北京北信源軟件股份有限公司（以下簡稱北信源公司）所有，未經北信源許可，任何人不得仿制、拷貝、轉譯或任意引用。本手冊沒有任何形式的擔保、立場傾向或其他暗示。

商標聲明

本手冊中所談及的產品名稱僅做識別之用，而這些名稱可能屬于其他公司的注冊商標或是版權，其他提到的商標，均屬各該商標注冊人所有，恕不逐一列明。

產品聲明

本手冊中提到的產品功能或性能可能因產品具體型號、配備環境、配置方法不同而有所差異，由此可能產生的差異為正?，F象，相關問題請咨詢北信源公司技術服務人員。

免責聲明

若因本手冊或其所提到的任何信息引起的直接或間接的資料流失、利益損失，北信源公司及其員工均不承擔任何責任。

北信源內網安全管理系統產品白皮書

目錄

1.引言...........................................................................................................4 2.產品背景....................................................................................................5 3.產品架構....................................................................................................6

3.1管理構架.............................................................................................................................6

3.1.1局域網構架..............................................................................................................6 3.1.2廣域網構架..............................................................................................................8 3.2統一策略管理.....................................................................................................................8 3.3自身安全設計.....................................................................................................................9

4.產品功能..................................................................................................11

4.1終端基本管理功能...........................................................................................................11 4.2 IT資產管理功能..............................................................................................................13 4.3終端桌面管理功能...........................................................................................................15 4.4終端安全管理功能...........................................................................................................22 4.5主機運維管理功能...........................................................................................................26 4.6非法外聯管理功能...........................................................................................................30 4.7補丁分發管理（可選）...................................................................................................31 4.8文件分發管理（可選）...................................................................................................37 4.9安全監控審計功能...........................................................................................................39 4.10報表管理功能.................................................................................................................43 4.11事件報警管理.................................................................................................................45 4.12第三方接口管理.............................................................................................................46

5.產品運行配置...........................................................................................46

5.1硬件配置...........................................................................................................................46 5.2軟件配置...........................................................................................................................47

6.關于北信源...............................................................................................48

6.1.6.2.公司簡介.....................................................................................................................48 聯系方式.....................................................................................................................49

北信源內網安全管理系統產品白皮書

1.引言

終端桌面安全管理技術的興起是伴隨著網絡管理事務密集度的增加、網絡管理技術的逐步發展而衍生的，它同傳統安全防御體系的缺陷相關聯，是傳統網絡安全防范體系的補充，也是未來網絡安全防范體系重要的組成部分。因此，終端桌面安全管理技術無論在現在還是未來都應當歸入基礎體系網絡安全產品之列。

現代網絡安全管理體系的日臻完善，使得對網絡終端桌面安全管理的需求強烈凸現出來。正確、全面地認識終端管理產品的發展趨勢和技術特點，是IT研發廠商面臨的發展抉擇，同時也是企、事業IT管理人員和高層決策人員在進行終端桌面安全防護部署時必須考慮的議題。

近兩年的安全防御調查也表明，政府、企業以及金融證券等單位中超過80%的管理和安全問題來自終端，計算機終端廣泛涉及每個用戶，由于其分散、不被重視、安全手段缺乏的特點，已使得終端安全成為信息安全體系的薄弱環節。因此，網絡安全呈現出了新的發展趨勢，對于各政府企業網絡來說，安全戰場已經逐步由核心與主干的防護，轉向網絡內部的每一個終端。

北信源內網安全管理系統產品白皮書

2.產品背景

提起網絡安全，人們自然就會想到網絡邊界安全，但實際情況是網絡的大部分安全風險均來自于內部。常規安全防御理念往往局限在網關級別、網絡邊界（防火墻、IDS、漏洞掃描）等方面，重要的安全設施大致集中于機房或網絡入口處，在這些設備的嚴密監控下，來自網絡外部的安全威脅大大減小。相反，來自網絡內部計算機終端的安全威脅卻是眾多安全管理人員所普遍面臨的棘手問題。

總結起來，政府機關和企業單位的內部網絡管理大致面臨著以下一些常見問題：

? 如何發現終端設備的系統漏洞并自動分發補丁;? 如何有效解決移動存儲介質使用管理問題;? 如何有效解決終端隨意接入網絡問題;? 如何防范內網設備非法外聯;? 如何管理終端資產，保障網絡設備正常運行;? 如何在全網制訂統一的安全策略;? 如何及時發現網絡中占用帶寬最大的終端;? 如何方便地進行遠程點對點維護;? 如何防范內部敏感信息的泄露;? 如何對原有終端應用軟件進行統一監控、管理;? 如何快速有效地定位網絡中病毒、蠕蟲、黑客的引入點，及時、準確地切斷安全事件發生點和網絡;? 如何構架功能強大的統一網絡安全報警處置平臺，進行安全事件響應和事件查詢，全面管理網絡資源。

這些終端安全隱患隨時隨地都可能威脅到用戶網絡的正常運行。針對如上系列問題北信源公司提供領先業界的內網安全管理產品及解決方案。

北信源內網安全管理系統產品白皮書

3.產品架構

北信源內網安全管理系統遵循網絡防護和端點防護并重理念，對網絡安全管理人員在網絡管理、終端管理過程中所面臨的種種問題提供解決方案，實現內部網絡終端的可控管理，并能夠支持多級級聯廣域網構架，達到最佳的管理效果。

北信源內網安全管理系統強化了對網絡計算機終端狀態、行為以及事件的管理，它提供了防火墻、IDS、防病毒系統、專業網管軟件所不能提供的防護功能，對它們管理的盲區進行監控，擴展成為一個實時的可控內網管理平臺，并能夠同其它安全設備進行安全集成和報警聯動。

北信源內網安全管理系統可分為五個軟件功能包，全方位地為網絡用戶提供安全管理功能。這五個軟件包具體為：基本產品包、終端桌面管理產品包、終端安全管理產品包、網絡主機運維產品包、非法外聯管理產品包。

3.1管理構架 3.1.1局域網構架

對于一般網絡（例如1個C類地址或若干個C類地址的局域網范圍），可使用一套本系統軟件，集中管理所屬區域內的所有設備。

本系統在網絡中安裝數據庫，用于存儲網絡客戶端設備信息。當上述系統數據庫、網頁管理平臺、區域管理器安裝完畢后，即可對網絡中客戶端進行注冊。用戶在取得注冊程序，執行后添加計算機使用信息，如使用人姓名、單位、聯系方式等，注冊程序自動采集系統的硬件設備信息，經過區域管理器處理后存入數據庫，同時區域管理器將代理駐留程序發送到計算機終端，實時運行。通過探頭、區域掃描器等對計算機的網絡連接行為實施探測，根據需要發送本機缺少的相關系統補丁、安全策略、命令或文件等，在遇到數據庫中定義的非法行為時實施阻斷。

系統正常運行后，主要通過網頁WEB管理平臺來對整個計算機設備信息系統

北信源內網安全管理系統產品白皮書

進行配置管理，在網絡內設置區域管理器、掃描器IP地址。對于一般網絡(如1個C類地址或若干個C類地址的局域網范圍)適用一套本系統，集中管理所屬區域內的設備。對于大規模的多個局域網或者跨地域的廣域網，提供多區域集中管理模式，即下級管理系統可將本級所有設備信息再傳遞給上級管理數據庫，使得上一級管理人員對整個網絡的設備狀況能夠完全掌握。

設備管理信息系統的配置，要根據網絡客戶端規模、網絡管理實際情況來選擇?？梢栽诰W絡中安裝多個區域管理器，區域管理器只負責一定范圍內的客戶端，對于該范圍以外的客戶端，不予以處理；每個區域管理器下屬多個掃描器，提供對本區域網絡的分段掃描，及時檢查該網絡客戶端注冊情況。

Internet補丁下載服務器物理隔離中央管理配置平臺數據交換指令下達數據交換補丁增量導入管理信息庫補丁分析模塊指令、策略獲取狀態、數據上報補丁獲取區域掃描器指令下達數據交換區域管理器A.注冊B.驗證C.管理D.補丁獲取級聯A.掃描發現B.阻斷違規客戶端（安裝客戶端程序）系統邏輯圖

下級區域管理器7

北信源內網安全管理系統產品白皮書

3.1.2廣域網構架

對于大規模的多個局域網或者跨地域廣域網（包括基于國家、省、市、縣等多級管理模式的網絡結構），可使用本系統提供的多區域級聯集中管理構架，即一個或多個網段各擁有一套獨立的北信源內網安全管理系統的同時，將本級的統計和報警信息轉發給上級管理系統，上一級管理人員對整個網絡的狀況也能夠完全掌握。

多級級聯集中管理構架

3.2統一策略管理

北信源內網安全管理系統采用統一策略管理中心實現對內部網絡終端的統一安全管理。策略管理中心內置終端安全防護需要的所有安全管理參數，提供對計算機終端的安全規則配置、安全功能策略開啟/關閉、安全策略執行范圍/周期設定等一系列安全措施的管理。

北信源內網安全管理系統內置安全策略分為全局策略、本地策略、備份策略三種，管理員通過屬性設置決定其類型。

北信源內網安全管理系統產品白皮書

統一策略管理圖

3.3自身安全設計

1．分級管理：系統支持對管理員分級管理，實現不同管理員管理不同內容,可分為授權、管理和審計等多種角色劃分，具有安全性高、可靠性強的特點，適合集中授權、多角色參與監控的管理模式。

2．通信保護：系統的組件間通信時，數據傳輸是經過加密的，客戶端和服務器端相互通信使用雙向認證機制，防止已安裝同類客戶端的非本網絡計算機非法進入網絡，同時也防止模擬的假客戶端和服務器進行通信。

3．客戶端軟件強保護機制：系統的客戶端系統具有自我防護機制，防止用戶隨意停止、卸載。

4．服務器安全設計：服務器系統具備保護服務器功能。保證管理系統服務器端使用的安全性，保證其受到惡意修改IP地址的方式攻擊時仍可正常工作,網絡中出現惡意修改成與管理服務器相同屬性（如相同的IP地址、相同的MAC地址等）的機器時，出現IP地址或MAC地址沖突等現象時，管理服務器將不會

北信源內網安全管理系統產品白皮書

被阻斷出網（即不會出現地址沖突的現象），只有發起惡意攻擊的設備才會被自動阻斷，不會影響管理服務器的正常管理。

5．提供系統審計員、系統管理員、系統操作員三權分立的權限管理體系。6．系統日志：系統提供運行審計和操作審計機制，保證系統的穩定運行。

北信源內網安全管理系統產品白皮書

4.產品功能

4.1終端基本管理功能

1.終端注冊管理

系統采用C/S和B/S模式混合管理方式，在被管理的桌面計算機上安裝VRVEDP客戶端程序。在安裝客戶端程序需要填寫當前計算機使用人的個人相關信息，如使用人、單位、部門、聯系電話、郵件、所在地、計算機類型等，進行實名化的管理便于快速定位，無論是違規，還是網絡安全事件發生時都可以快速定位到事件源。

個人信息填寫

填寫的個人相關信息會上報到服務器，保存在后臺數據庫里，供前臺管理平臺查詢。

系統注冊信息填寫頁可以由用戶自己自由選擇設定，可以設定顯示的注冊內容項、標題項、是否啟用、是否必填、是否為選擇性填充等，并可以設定擴充選項，提供給不用需求的用戶進行選擇性注冊管理。

北信源內網安全管理系統產品白皮書

用戶填寫項自由設定頁面

2.IP和MAC綁定管理

對固定IP網絡的MAC和IP地址進行綁定管理，系統探測到IP變化后根據策略設置恢復其原有IP地址，或者阻斷其聯網，同時禁止修改網關、禁用冗余網卡。

3.禁止修改網關、禁用冗余網卡管理

系統支持禁止修改網關、禁用冗余網卡等功能。4.未注冊終端拒絕入網管理（軟阻斷技術）

系統采取對未注冊終端Arp阻斷管理：對于接入網絡未注冊終端進行Arp

北信源內網安全管理系統產品白皮書

阻斷，禁止其聯網。

4.2 IT資產管理功能

1.硬件資產管理

自動搜集包括CPU、內存、硬盤分區總和、設備標識的大小和其他詳細信息以及其他如主板、光驅、軟驅、顯卡、鍵盤、鼠標、監視器、紅外設備、鍵盤等所有的硬件信息。

網管可自主添加相關的附加信息。

2.軟件資產管理

自動發現識別客戶端安裝的所有軟件信息（名稱、版本、安裝時間、發現時間等），將相關數據入庫，檢測客戶端運行軟件信息，供管理員在Web控制臺查詢。

北信源內網安全管理系統產品白皮書

軟件資源統一監控：自動收集安裝在每臺計算機上的每種應用程序信息，包括安裝的操作系統種類、版本號以及當前補丁情況、客戶機安裝的軟件等信息和驅動程序情況，并進行匯總管理。

系統能夠及時檢測主機軟件信息變化情況。

根據條件查詢客戶機安裝的軟件或指定軟件被哪些客戶端安裝等信息。3.軟、硬件設備信息變更管理

報警未注冊設備、注冊程序卸載行為，實時檢測硬件設備變化情況（如設備硬件變化、網絡地址更改、USB設備接入等）。

北信源內網安全管理系統產品白皮書

4.3終端桌面管理功能

1.進程運行黑白名單控制

對進程執行進行黑白名單控制，即根據策略設定禁止執行的進程和必須執行的進程。對違規的客戶端進行客戶端提示和斷網處理等相應措施。

2.進程保護管理

對重要的進程進行守護，防止由于意外或人為原因造成重要進程中斷。

北信源內網安全管理系統產品白皮書

3.進程執行匯總

統一匯總和監視網絡各終端的進程，可以增量式的顯示網絡中新出現的進程，也可統計網絡中最常運行的進程，從而統計出網絡客戶端軟件的使用情況。此系統可對網絡中出現的異常進程（很可能病毒進程）進行定位和報警，在必要時可直接阻斷。

4.終端服務管理

查詢當前終端運行的服務，可以遠程關閉或開啟服務。

5.軟件黑白名單控制

對軟件安裝進行黑白名單控制，即根據策略設定禁止安裝的軟件和必須安裝的軟件。違規軟件禁止安裝功能，禁止在注冊表Run項里添加自啟動項，禁止在注冊表Services項里添加自啟動項，禁止在程序啟動項中添加項，禁止在程序項中添加快捷方式限制違規軟件的安裝，所有安裝軟件均可進行審計。

北信源內網安全管理系統產品白皮書

6.軟件安裝匯總

系統能夠對所安裝的軟件進行統計匯總，并能將匯總情況統計生成報表，支持多種報表導出方式。

7.終端消息推送

可精確地對選定的對象或個人進行消息傳送，而不依賴于Windows自身的信使服務功能，系統還提供多種策略模式傳送消息。

北信源內網安全管理系統產品白皮書

8.遠程協助

當客戶端用戶以及服務器用戶在使用計算機時遇到難以解決的問題，可以通過訪問特定網頁式，主動向多個網管工作臺（可自主選擇的）進行并發協助請求呼叫，呼叫網管對其進行遠程協助。當管理員接收到客戶端的請求可以后，調用遠程客戶端的桌面，幫助客戶端用戶解決相應的問題。

呼叫中心示意圖

管理員是否接受請求示意圖

管理員接收請求后，系統將自動調用遠程計算機的桌面，就如同管理員親自到現場，進行軟件安裝、軟件調試、系統維護、打印機安裝等工作，省去管理員 來回現場和辦公室之間的時間，提高了系統維護的效率和管理員的工作效率。

北信源內網安全管理系統產品白皮書

9.外設及端口控制

系統可以設置受控主機允許或禁止使用USB設備、串口、并口、軟驅、光驅、紅外設備、藍牙設備、網絡設備（無線網卡、網卡、PCMCIA）、1394接口、打印設備。系統采用硬件設備驅動級的禁用方式實現對上述設備的禁用。

10.垃圾文件清理

管理員可在Web控制臺對終端用戶某一文件夾下或全盤某些后綴的垃圾文件或臨時文件進行集中清理。

目前的系統臨時文件眾多，而絕大部分業務用戶均不會手動清除大量的臨時文件，這樣會占用大量的硬盤資源，因此需要靠第三方系統主動的對其加以清理。

系統可協助用戶維護（指定目錄下的）臨時文件、備份文件、幫助的歷史文件、IE臨時文件、安裝臨時文件、異常臨時文件等各種應刪除的文件。

北信源內網安全管理系統產品白皮書

11.終端點對點管理

系統管理員可通過系統以點對點的方式對客戶端進行詳細的監控審計，具體包括以下內容：

（1）硬件資產清單：自動搜集包括CPU、內存、硬盤分區總和、設備標識的大小和其他詳細信息以及其他如主板、光驅、軟驅、顯卡、鍵盤、鼠標、監視器、紅外設備、鍵盤等所有的硬件信息；網管可自主添加相關的附加信息。（2）安裝軟件查詢：查詢設備所有安裝的軟件。

（3）終端進程管理：查詢當前終端所有運行的進程，并可通過系統關閉非系統進程。

（4）終端服務管理：查詢當前終端運行的服務，可以遠程關閉或開啟服務。（5）終端流量查詢：包括當前與網絡連接的進程及其流量的統計。（6）系統運行資源查看：具體包括：CPU頻率和使用率、內存大小和使用率、系統各硬盤分區大小和使用情況。

（7）補丁查詢：查看系統漏打的補丁。

（8）日志查詢：查看終端的系統日志、安全日志和應用程序日志。（9）終端安全審計：查看用戶的登錄、歷史記錄、下載信息等各種信息。（10）消息通知：向用戶發送消息，并可要求用戶進行消息回饋。（11）遠程運行進程：可遠程加載進程。（12）共享目錄檢查：檢查當前終端的共享目錄。

北信源內網安全管理系統產品白皮書

（13）修改網絡配置：可查看網絡終端的IP、MAC、子網掩碼和網關信息，并可遠程修改用戶的IP地址。（14）遠程卸載客戶端程序。

（15）遠程斷開/恢復網絡終端的網絡。（16）遠程重新啟動計算機。

12.系統自動關機管理

北信源內網安全管理系統產品白皮書

對客戶端關機時間的設定，實現自動關機，并可以在發現計算機空閑時間過長時鎖屏或關機。

13.終端時間同步管理

所有客戶端時間的同步，防止擅自修改系統時間。

4.4終端安全管理功能

1.桌面密碼權限管理

對終端的密碼管理權限變化及使用狀況（包括密碼長度、安全性、弱口令等方面）進行審計檢查及報警，同時對不符合要求的終端進行提示或強制修改等處置，達到防止病毒及黑客入侵的目的。

北信源內網安全管理系統產品白皮書

2.終端統一防火墻

管理員在Web控制臺對終端進行統一的防火墻設置，對網絡IP及協議訪問進行限制，在網絡內建立虛擬的終端隔離區。

另外對于大型網絡，網絡客戶端由于用戶使用水平的差別，會出現用戶卸載甚至退出統一安裝的防病毒軟件的情況，也會出現有個別用戶被遺漏，未安裝防病毒軟件的情況。

管理員可利用Web控制臺對終端所安裝的殺毒軟件情況進行監控和管理，并能夠對終端殺毒軟件實施遠程操作（病毒查殺、升級、軟件安裝等）。還可統一監控網絡內的防病毒軟件（國內主流廠商的均可）安裝情況和使用狀態，了解網絡中的病毒軟件安裝狀況，必要時可通過此系統強制為客戶端安裝防病毒程序，如果需要，此系統也可監控終端軟件的安裝情況，并進行相應的管理（如安裝殺毒軟件軟件，強行升級病毒庫、自動分發并自動執行病毒專殺工具等）。

北信源內網安全管理系統產品白皮書

3.終端殺毒軟件管理

可統一審計網絡內終端的防病毒軟件（主流廠商的均可）安裝和使用情況，必要時可強制為客戶端安裝防病毒程序。如果需要，也可監控終端防病毒軟件的安裝情況，并進行相應的管理（如安裝殺毒軟件軟件，強行升級病毒庫、自動分發并自動執行病毒專殺工具等）。

北信源內網安全管理系統產品白皮書

4.注冊表監控/保護

系統提供注冊表檢查功能，對于病毒行為修改的注冊表，可以通過強制注冊表策略對其進行操作，可以自動創建、刪除、修改相應的注冊表鍵值，實現注冊表安全管理。

系統可屏蔽選定用戶計算機的一些程序進程對注冊表的使用，通過該策略可以有效的防止違規進程對用戶注冊表的破壞。

北信源內網安全管理系統產品白皮書

5.終端在線/離線策略管理

系統可以針對不同的網絡接入情況，設定終端的在線、離線策略。當終端處于不同的網絡中，可以實現不同的執行策略。

4.5主機運維管理功能

1.運行資源監控

在Web控制臺對終端的CPU、內存、硬盤的資源占用率和剩余空間進行監控，設定危險等級報警閥門。

北信源內網安全管理系統產品白皮書

2.流量管理和控制

蠕蟲病毒和BT下載等行為在很多情況下會嚴重占用網絡帶寬，造成網絡的擁塞甚至癱瘓，對此可利用本系統進行流量的管理與監控。主要功能：

? 流量采樣閾值設定：用戶自主設定采樣閾值，當流量（含出、入或總流量）超過一定限度并持續一定時間后，進行有關信息上報，防止上報數據過多給網絡帶來負擔。

? 上報的當前流量進行匯總，對當前的流量進行時實排序，以便網絡管理人員進行快速分析是否是網絡安全事故。

? 對網絡客戶端的歷史流量進行統計和排序，并可生成報表。? 對并發連接數設定閾值并進行采樣。? 對網絡掃描的可疑行為進行閾值設定和報警。? 對客戶端大量發包的可疑行為進行閾值設定和報警。

? 對具備可疑行為的客戶端進行報警上報、自動阻斷、客戶端提示等管理。? 設定網絡客戶端流量上限閾值，對超過的進行報警上報、自動阻斷、客戶端提示等管理。

北信源內網安全管理系統產品白皮書

3.流量異常監控

在Web控制臺對終端的網絡流入、流出和總流量進行監控和管理。并能夠對產生總流量過大、分時段瞬時流量過大的進程進行統計，輔助分析產生流量過大的原因。

4.進程異常監控

在Web控制臺對終端未響應窗口進行監控并結束或重啟該進程，對意外退出的進程進行監控和保護。

北信源內網安全管理系統產品白皮書

5.客戶端文件備份

針對終端計算機進行數據實時備份，將本機計算機目錄文件數據實時或定時備份到數據服務器或其它計算機上存儲。針對局域網服務器數據存儲等提供安全數據同步備份解決方案。

北信源內網安全管理系統產品白皮書

4.6非法外聯管理功能

1.網絡內部終端非法外聯互聯網行為監控

終端非法外聯互聯網行為監控：對于已注冊的設備，通過不同方式（如雙網卡、代理等）連接互聯網進行的通訊，系統能夠自動阻斷其連接行為并報警。

2.網絡內部終端非法接入其它網絡行為監控

對于已注冊的設備，監控其網絡連接行為，根據接入網絡環境因素判定其是否非法接入其它網絡（同上圖）。

3.離網終端非法外聯互聯網行為監控

對于已經注冊的計算機，非法帶出到另外一個網絡的行為進行監控，發現有外聯互聯網行為時可以采取警告、阻斷、自動關機等操作（同上圖）。

4.非法外聯行為告警和網絡鎖定

如果終端非法入網，可以在報警平臺和報警查詢處獲知信息，并且可以對終端提示信息，自動關機，阻斷聯網等處理（同上圖）。

5.非法外聯行為取證

對于非法外聯行為進行實時告警功能，同時記錄該行為發生的事件、IP地址、MAC地址、使用人等相關信息上報到服務器進行記錄取證。

北信源內網安全管理系統產品白皮書

4.7補丁分發管理（可選）

系統功能概述

北信源補丁分發管理系統是北信源公司在為國家各大部委機關、各大行業網絡用戶進行病毒安全服務、總結安全運營保障經驗的基礎上，分析當前網絡客戶端實際安全管理要求研發的，系統支持推、拉兩種方式自動下載補丁。整個補丁管理運行平臺構架是：通過北信源外網補丁下載服務器及時從補丁廠商網站獲取最新補??；補丁安全測試后，通過補丁分發管理中心服務器對網絡用戶進行分發安裝；補丁安裝支持自動和手動兩種方式。

......北信源補丁管理中心(二級)級聯同步補丁增量導入北信源補丁管理中心(二級)級聯同步北信源補丁中心(一級)補丁庫分類補丁測試策略控制推拉分發控制流量控制補丁分發檢索多級級聯控制客戶補丁查詢動態下載轉發代理自動測試組(真實環境)客戶端 補丁自動識別客戶端策略報表中心補丁監控功能

系統可監控管理網絡補丁狀況，其具體功能如下： 1.補丁索引的適應和擴展性

內網安全管理系統具有良好的兼容性，支持主流操作系統，如Windows2003、Windows2000 Pro、Windows 2000 Server、Windows Pro、Windows XP home、Windows、Windwos9X等。

因為補丁索引文件為北信源自主開發，補丁索引的結構具備可擴展性和可編輯性，索引的結構和定義除了可以支持微軟補丁外，還可以支持非微軟系統補丁、各種數據庫補丁，甚至可以支持各種用戶應用程序的更新補丁。

北信源內網安全管理系統產品白皮書

補丁索引編輯界面

2.補丁下載檢測和增量式導入功能

對于物理隔離的內部網絡，其內部的補丁升級服務器中的補丁數據必須從外部導入，巨大的補丁數據庫使得每次補丁導入相當煩瑣。為此，北信源使用增量式補丁分離技術，在外網導出補丁時，可分離出內網已經安裝的補丁，只導入內網尚未安裝的系統補丁，即僅對內網的補丁進行“增量式”的升級，以提高效率。

當有新的計算機補丁公布可以下載后，北信源公司由專門的人員在第一時間內獲得，并進行相應的分析，更新補丁索引文件。

系統擁有專門的外網補丁下載服務器，能根據索引自動下載新增的計算機補丁，補丁校驗功能對所下載的補丁進行校驗，保證計算機補丁的可靠性、完整性、安全性。

補丁在導入時并具有病毒檢測功能，保證導入到補丁庫中的補丁不被病毒感染。

3.補丁安全自動測試功能

用戶的真實環境中，可能會包含特殊的應用或特殊的軟件版本，在這些環境

北信源內網安全管理系統產品白皮書

中，有時會出現打補丁后系統或應用異常的情況，所以在大規模補丁分發前需要進行真實環境的補丁測試。北信源系統獨創了真實環境閉環測試技術，具體的流程是首先由網管選定某些計算機作為測試計算機作為測試組，每次補丁導入后內網后，首先自動分發至這些選定計算機進行新補丁的安裝測試，從而自動地進行非模擬性自動測試。如果補丁安裝后對測試計算機未產生影響，被測試計算機能正常運行，網管員便可根據相應得策略對網絡內的計算機進行大面積的推送。此技術可以很好的減輕網管的測試工作量，并提高補丁安裝的安全性。

補丁自動測試圖

4.補丁庫自動分類功能

系統對存放到服務器上的計算機系統補丁能進行相應的分析，自動得出補丁屬性、類型和與之相關的補丁說明，并在網頁中進行清晰明了的顯示?？梢苑奖愎芾砣藛T根據相應的需求，高效快捷定義補丁分發策略，及時地針對不同的系統和需要分發計算機補丁。

系統同時提供管理員自定義補丁類別的補丁管理方式，如果需要也可由相關的管理人員自行設定相應的自定義補丁類別以符合其管理的需要。

5.補丁庫的級聯和同步功能

系統可以針對補丁進行級聯式的分發和管理，在級聯級數沒有任何限制并在三級的基礎上進行無縫平滑擴展。

可定期進行同步校驗，也可自主設定同步校驗周期和時間。在有新補丁導入時，也可以自動觸發與下級服務器間的同步操作。

所有的同步過程均可自動完成，上級服務器可以了解下級服務器補丁庫是否同步成功。

6.補丁安裝檢測、自動分發補丁功能

北信源內網安全管理系統產品白皮書

北信源補丁管理依據自身注冊客戶端優勢，為網絡用戶提供強大的系統補丁檢測、分發、安裝等遠程控制功能。網絡管理人員通過本模塊全面檢測網絡系統終端補丁的安裝狀況，并通過此模塊，對沒有安裝補丁的設備進行遠程補丁安裝,可將最新補丁升級包及時分發到終端計算機，并提示安裝修補，在客戶端有明顯提示，通知用戶打補丁。

系統可以對客戶端安裝的系統的版本，IE版本的補丁安裝情況進行自動探測和維護（客戶端計算機的補丁安裝情況包括Windows、Office、IE、微軟媒體播放器等），自動搜集客戶端系統資料和安裝補丁資料，以根據客戶端系統的實際狀況自動分發所需的補丁。

客戶端程序安裝檢測：網絡中的客戶端訪問本地的WEB網站進行自動注冊。注冊后客戶端檢測程序將在系統中實時運行，檢測補丁安裝狀況，并上報給補丁管理中心。用戶WEB網頁自動探測提示，支持大面積用戶快速安裝。客戶端部署：在系統內部網絡中，未注冊客戶端訪問本地網站、以及訪問上級網站均會出現提示用戶注冊窗口。

補丁推送安裝：當系統檢測到有客戶端未打補丁時，可對漏打的補丁進行推送式的安裝。同時，通過推送安裝，也可以為客戶端安裝應用軟件。

補丁推送分發可以跨網段，跨VLAN,補丁分發支持斷點續傳功能。補丁下發過程中，如遇到特殊事件造成網絡中斷，則在下次網絡連通時通過校驗得出已傳輸的數據和斷點位置，進行續傳。

系統補丁報表：監控程序將網絡客戶端補丁信息上報管理中心后寫入數據庫，在WEB管理平臺可進行補丁報表察看，統計網絡客戶端補丁安裝狀況。

7.補丁策略制定功能

包括補丁應用策略制定、補丁文件分發任務制定。

可以根據要求按照不同的區域進行劃分，可按照IP地址、部門、操作系統、用戶自定義等方式進行區域劃分。

補丁策略制定：具體可支持定時、定周期、分類、分部門、分范圍、客戶機狀態和用戶自定義等策略。

補丁策略分發：具備詳盡的補丁分發策略，補丁可以定時、定周期、分類、分范圍、分部門、分范圍、客戶機狀態和用戶自定義等進行分發。

北信源內網安全管理系統產品白皮書

補丁文件任務制定：針對特定的一個補丁或多個補丁，對指定計算機或者計算機網絡進行補丁自動分發安裝。

補丁中心將網絡客戶端分類，設置測試類客戶端，補丁在測試類機器上經過嚴格測試后，再正式對其他類網絡機器進行分發。

此外，內網安全管理系統還提供補丁下載流量控制功能，補丁管理中心區域管理模塊能夠對網絡不同網段、不同區域的終端補丁升級進行流量、數量控制，避免造成對網絡的流量影響，合理控制網絡帶寬。

8.補丁下載流量控制功能

系統可以利用多種方式進行下載流量控制：

（1）系統能夠根據網絡的負載情況自動調整分發補丁時所占的網絡帶寬和并發連接數；

（2）根據手動設置允許的帶寬或服務器并發連接數及每個連接所允許使用的帶寬；

（3）系統同時支持客戶端轉發代理補丁下載，以減少網絡帶寬流量，提高效率。

代理轉發技術說明：補丁分發時，先由部分客戶端通過補丁分發系統下載服務器補丁，其他的計算機可不通過服務器，而是通過已下載補丁的客戶端進行相應補丁下載。下載時客戶端可自動搜索臨近的IP地址，選擇擁有此補丁文件并且下載速度最快的客戶端，從此客戶端上獲取由系統服務器下發的相關的補丁，以保證網絡的利用率，同時提高補丁分發效率。

9.服務器端補丁查詢功能

客戶端軟件實時監控客戶端系統漏洞及補丁安裝情況，服務器端補丁查詢補丁可根據補丁名稱、待查詢IP范圍、操作系統、待查區域，查詢時間或其它條件對區域網絡范圍內的計算機終端進行補丁安裝狀況查詢，通過網管設定的查詢條件，能快速地獲知所查詢補丁的安裝情況（如補丁發送是否成功，補丁安裝是否成功，補丁是否已被安裝等），以保證補丁及時的安裝。

10.客戶端網頁查詢補丁安裝信息功能

因為很多用戶習慣通過訪問微軟的Update網頁，檢查自己漏打的補丁，并進行下載安裝。作為物理隔離的網絡，內網中的用戶無法訪問此網頁，因此從用

北信源內網安全管理系統產品白皮書

戶的習慣角度出發，內網中也應該有類似的網頁，以便用戶訪問和獲知本機補丁安裝情況，進行補丁下載安裝。安裝了系統客戶端的計算機可以通過訪問內網的特定網頁，對本機所缺少的計算機補丁進行查詢，查詢結果在網頁上進行顯示，計算機用戶根據需要進行安裝。

北信源內網安全管理系統產品白皮書

4.8文件分發管理（可選）

1.普通文件分發及文件自動執行

系統向指定客戶端（用戶組）分發文件或安裝軟件，分發時可提供軟件的運行參數和必要的運行控制。此功能可減輕網絡管理人員的工作負擔，軟件分發時可報告軟件安裝的狀態，無論軟件正確安裝與否，管理員均可及時了解情況。系統還提供人性化的軟件安裝過程錄制工具，可以很方便的對軟件和它的安裝過程進行錄制打包，軟件分發至終端后，系統可在終端對軟件安裝過程進行回放，方便軟件在客戶端進行自動安裝。

安裝后的客戶機端軟件包括基本部分和用戶工具，安裝在客戶機不同的目錄中。

北信源內網安全管理系統產品白皮書

2.文件分發安裝結果統計

北信源內網安全管理系統產品白皮書

4.9安全監控審計功能

1．上網訪問行為審計和控制：

系統以黑白名單的方式對用戶的網頁訪問行為進行控制；可對用戶上網訪問的網頁等進行審計和記錄。

北信源內網安全管理系統產品白皮書

2.文件保護及審計：系統提供對終端的系統、軟件和共享等目錄中的文件的保護功能，設定訪問、刪除、修改權限；支持對設定目錄文件的操作審計，包括文件創建、打印、讀寫、復制、改名、刪除、移動等的記錄，同時將信息上報管理信息庫供查詢。

3.網絡文件輸出審計：對主機通過共享文件等方式進行的網絡文件輸出行為進行審計和記錄（同下圖）。

北信源內網安全管理系統產品白皮書

4.郵件審計：根據策略對主機發送的郵件及其附件進行控制審計和記錄（同下圖）。

5.打印審計：根據策略對主機打印行為進行監控審計，從而防止打印輸出結果被非授權查看和獲取。

6.文件涉密信息檢查：根據用戶自主設定的涉密信息查詢條件，設定對指定目錄或盤符下的指定類型文件進行內容檢查，檢查其是否包含涉密內容，系統支持進行包含“或”、“與”等多種邏輯的組合監測和模糊監測。

北信源內網安全管理系統產品白皮書

7.用戶權限審計：審計用戶權限更改及操作系統內用戶增加和刪除。

8.各自獨立的權限分配體系：提供系統管理員、系統審核員（安全員）和系統審計員和一般操作員權限，分別進行不同的管理操作。

北信源內網安全管理系統產品白皮書

9.系統日志審計：不同權限管理員在Web控制臺對終端用戶的日志（系統日志、應用日志、安全日志等）進行遠程讀取查看。

4.10報表管理功能

1.系統提供完善的報表功能，能夠根據按不同部門、不同操作系統提供軟

北信源內網安全管理系統產品白皮書

硬件資產、審計信息、報警、狀態及其他情況匯總報表，提供多種報表功能。

2.具備獨有的“組態報表”查詢功能，對于有關報表，能根據不同的需要進行多種不同條件組合（組合查詢條件包括所屬區域、單位名稱、設備所在部門、設備名稱、設備IP、操作系統及版本、IE版本、防范等級、運行狀態、安裝殺毒軟件版本及廠商、CPU情況、內存情況、硬盤情況、設備使用人、設備最后使用時間等等），還可以生成多種不同的報表格式。

組態查詢實例圖

3.報表以網頁的方式呈現，提供鏈接可在各項查詢功能中跳轉。報表可以方便的調整格式，并可以以Excel格式輸出，以便打印。

4.可以根據需要輸出成柱形圖、餅圖等。

北信源內網安全管理系統產品白皮書

輸出柱狀圖實例

4.11事件報警管理

1.事件集中報警處理中心匯總所有內外安全管理事件的報警信息，并將報警按種類、級別分類，同時支持短信、聲音、郵件、圖形等報警方式。同時，報警中心自動把各種報警信息匯總成為高、中、低三個等級，顯示各類發生事件的名稱和發生事件設備名稱、IP、MAC等信息，以便第一時間發現報警源頭和類型，發現對網絡危害最大的報警信息，以最快速度妥善處理事件，從而在最大程度上提高系統管理員對網絡突發事件的快速反應能力。

2.客戶機發給管理服務器相關的報警信息可預設置級別，管理服務器把已注冊客戶機的報警信息記錄到異常情況記錄表，同時，按管理員預定義的規則將部分緊急的報警信息發送給管理員（本系統必須有與手機短信報警平臺的接口）。

3.對客戶機的不當行為，管理服務器能按照預先制定的策略自動進行警告，管理員也可以通過管理服務器對特定的客戶機發出警告信息或其它信息，這些信息的發送不會因客戶機關閉而無法完成，對離線機器發的信息在其開機后即彈出。彈出窗口以“閱畢”按鈕關閉。信息可以定義有效期，客戶機不會看到過期信息。管理員可以根據需要刪除發出的信息。

4.對客戶機的不當行為，管理服務器能按照預先制定的策略自動進行警告，管理員也可以通過管理服務器對特定的客戶機發出警告信息或其它信息，這些信息的發送不會因客戶機關閉而無法完成，對離線機器發的信息在其開機后即彈出。彈出窗口以“閱畢”按鈕關閉。信息可以定義有效期，客戶機不會看到過期信息。管理員可以根據需要刪除發出的信息。

5.系統將通過短信平臺將手機短信直接發送到下級安全管理員。

北信源內網安全管理系統產品白皮書

報警設置實例圖

4.12第三方接口管理

1.PKI/CA認證聯動接口 2.防火墻聯動接口 3.網管軟件聯動接口 4.安全管理平臺聯動接口 5.其它第三方接口

5.產品運行配置 5.1硬件配置

建議配置：雙Intel至強CPU，主頻2.8G或以上；

120G硬盤或以上； 2G內存或以上；

北信源內網安全管理系統產品白皮書

注意：

所選擇的Windows服務器須支持冗余/高可用的配置，能夠保證系統無單點故障。能夠支持7*24小時連續運行，同時具有良好的容錯能力。如需考慮未來管理計算機數量的增長，服務器還應具備一定的擴充能力。

5.2軟件配置

系統服務器所需的軟件環境：

1)操作系統：MS Windows 2000/2003 Server；

2)數據庫: MS SQL2000企業版或MS SQL2005企業版（SP4）； 3)服務器安裝IIS服務； 系統客戶端所需的軟件環境：

操作系統：Microsoft Windows 98/2000/2003/XP/win7/Vista

北信源內網安全管理系統產品白皮書

6.關于北信源

6.1.公司簡介

北京北信源軟件股份有限公司（以下簡稱“北信源公司”）創立于1996年，注冊資金5000萬人民幣，主要從事內網安全管理系列產品的研發、生產、咨詢和服務。公司總部位于中關村高新科技園區，有近400名信息安全專業研發、生產、咨詢和服務人員，下設上海分公司、華東支持中心、華南支持中心及各省市近三十個辦事處。

經CCID、中國計算機用戶協會等權威部門統計，北信源內網安全管理系統在中國終端安全管理審計及移動存儲介質管理市場占有率連續四年保持第一。榮獲“2006、2007、2008、2009年度中國終端安全管理審計及移動存儲介質管理占有率最高產品”、“2006、2007、2008、2009中國終端安全管理審計及移動存儲介質管理市場年度成功企業”、“2007-2008年度中國軟件十大領軍企業”、“2007年度十大金融科技創新企業”、“中國信息化突出貢獻單位”、“公安部科學技術獎”、“2007中國信息安全終端安全管理及審計產品值的信賴品牌獎”、“2007年度中國電子信息用戶滿意企業”、“2008中國信息安全行業影響力重大終端安全管理品牌”、“中關村十大軟件品牌”、“中關村十大IT產品最佳安全管理軟件品牌”、“Intel最佳桌面管理解決方案合作伙伴”、“2009內網安全突出貢獻獎”、“中關村TOP100”等多項殊榮。公司現已成功打造國內信息安全軟件知名品牌“北信源”、“VRV”。

作為我國民族信息安全產業的標志性企業和優秀代表，北信源公司將依靠自有的安全技術和產品本著繼往開來的創新姿態，為構筑中華民族的信息安全長城而不懈努力。

北信源內網安全管理系統產品白皮書

6.2.聯系方式

北京北信源軟件股份有限公司

地址：北京市中關村南大街34號中關村科技發展大廈C座16層 郵編：100081 電話：010-62140485/86/87

傳真：010-62140468 網址：www.tmdps.cn

第二篇：北信源VRVEDP內網安全管理系統手冊

特 別 聲 明

? 本使用手冊由《北信源內網安全及補丁分發管理系統》產品安裝配置指導手冊、用戶手冊、產品維護手冊三部分組成，其內容將隨著北信源軟件的不斷升級而改變(以光盤中電子版發行時為最新版)，恕不另行通知。需要者請從北信源公司網站下載本手冊的最新電子版或者直接聯系北信源公司索取。

? 《北信源內網安全及補丁分發管理系統》產品由《北信源內網安全管理系統》及《補丁分發管理系統》兩大套件構成。? 本使用手冊為《北信源內網安全及補丁分發管理系統》通用說明書。若您獨立購買《北信源內網安全管理系統》或《北信源補丁分發管理系統》之一產品，本說明書的其它功能將不具備。? 兩大套件主要區別：《北信源補丁分發管理系統》不具備違規聯網監控、客戶端安全管理和桌面管理功能；《北信源內網安全管理系統》不具備補丁自動分發功能。請您在使用過程中選擇性閱讀相應章節。

? 感謝您購買北京北信源自動化技術有限公司研制開發的內網安全管理及補丁自動分發系列軟件。請在使用本軟件之前認真閱讀本使用手冊，當您開始使用該軟件時，北信源公司認為您已經閱讀了本使用手冊。

快速閱讀指南

1.詳細閱讀本軟件組件功能、組成、作用、應用構架，確切了解本軟件的系統應用。2.安裝準備軟件環境：Microsoft SQL Server2000、Windows 2000 Server、Internet 服務管理器；建議將數據庫管理系統、區域管理器、WEB管理平臺安裝在同一服務器上,確認區域管理器所在機器的88端口不被占用（即非主域控制器）；防火墻應允許打開88，2388，2399，22105，8900，8901，22106，22108，8889端口。3.按步驟安裝各組件后，通過http://*.*.*.*/vrveis登錄Web管理平臺，首先對Web管理平臺進行如下配置：添加區域→劃分該區域IP范圍→指定區域管理器→指定區域掃描器。4.5.雙擊屏幕右下角區域管理器、單擊主機保護進行通訊參數配置。在VRVVRVEISdownload目錄中，使用RegTools.exe工具修改DeviceRegist.exe文件中的本地區域管理器IP，將修改后的注冊程序DeviceRegist.exe放在機構網站上進行靜態網頁注冊，或者在機構網站上加載動態網頁檢測注冊腳本語句，進行動態設備注冊。6.系統升級：聯系北信源公司獲取最新的軟件組件升級包，確保Web管理平臺、區域管理器、客戶端注冊程序等組件的升級。

特別提示：默認管理員用戶：admin，密碼：123456；系統指定審計用戶名：audit,密碼：123456請注意修改。

第一章．系統介紹........................................................................................................5 1-1 產品組成............................................................................................................5 1-2 應用構架............................................................................................................7 第二章．系統安裝........................................................................................................8 2-1 安裝環境............................................................................................................8 2-2 安裝注意事項....................................................................................................9 2-2-1 軟件安裝監控服務器部署注意事項.........................................................9 2-2-2 軟件安裝和應用過程中注意事項...........................................................10 2-3 系統組件安裝..................................................................................................11 2-3-1 安裝SQL server數據庫.........................................................................11 2-3-2 安裝WinPcap驅動模塊...........................................................................11 2-3-3 安裝遠程技術支持模塊............................................................................11 2-3-4 初始化數據庫...........................................................................................11 2-3-5 安裝Web中央管理平臺...........................................................................14 2-3-6 安裝區域管理器Region Manage............................................................15 2-3-7 配置設備掃描器模塊Region scan........................................................16 2-3-8 安裝補丁下載服務器模塊.......................................................................17 2-3-9 安裝管理器主機保護模塊.......................................................................18 2-3-10 安裝報警中心模塊.................................................................................18 2-3-11 客戶端注冊及下載.................................................................................18 第三章 系統應用........................................................................................................27 3-1配置與管理.......................................................................................................27 3-1-1 區域劃分...................................................................................................27 3-1-2 區域管理器配置.......................................................................................30 3-1-3 掃描器配置...............................................................................................35 3-1-4 注冊程序配置...........................................................................................38 3-1-5 注冊部門配置與管理...............................................................................41 3-1-6 自定義組分配與管理...............................................................................44 3-1-7 IP與MAC綁定列表..................................................................................45 3-2策略中心............................................................................................................46 3-2-1 阻斷違規接入管理...................................................................................46 3-2-2 策略管理中心...........................................................................................47 3-3數據查詢............................................................................................................84 3-3-1設備信息查詢.............................................................................................87 3-3-1-2注冊設備資產查詢..................................................................................88 3-3-1-3硬件變化設備查詢..................................................................................91 3-3-1-4設備安裝軟件查詢..................................................................................88 3-3-1-5設備首次運行進程查詢..........................................................................89 3-3-1-6共享目錄查詢..........................................................................................90 3-3-1-7設備IP占用狀況列表............................................................................91 3-3-7移動設備審計查詢.....................................................................................92 3-3-7安全策略違規查詢.....................................................................................94 3-3-8涉密檢查查詢.............................................................................................95 3-3-9消息確認查詢.............................................................................................96 3-3-11軟件分發查詢...........................................................................................97 3-3-12軟件分發統計...........................................................................................97 3-4終端控制...........................................................................................................98 3-4-1終端管理：................................................................錯誤！未定義書簽。3-4-2行為控制....................................................................錯誤！未定義書簽。3-4-3 VPro 遠程管理.........................................................錯誤！未定義書簽。3-4-4遠程協助....................................................................錯誤！未定義書簽。3-5補丁分發...........................................................................錯誤！未定義書簽。3-6運維信息...........................................................................................................98 3-6-1客戶端流量排名......................................................................................116 3-6-2客戶端流量統計......................................................................................117 3-6-3運維狀態異常..........................................................................................117 3-6-4網絡拓撲發現............................................................錯誤！未定義書簽。3-7報警事件.........................................................................................................119 3-7-1報警數據查詢..........................................................................................119 3-7-2圖形化報警..............................................................................................123 3-7-3本地報警數據匯總..................................................................................123 3-8級聯總控.........................................................................................................127 3-9統計報表.........................................................................................................133 3-10系統維護.......................................................................................................135 第四章 補丁分發管理..............................................................................................142 4-1 區域管理器補丁管理設置............................................................................142 4-2 補丁自動下載分發........................................................................................143 4-3 客戶端補丁檢測

（一）................................................................................148 4-4 客戶端補丁檢測

（二）................................................................................150 4-5．本地補丁分發綜合查詢..............................................................................150 4-6 補丁級聯下載................................................................................................151 第五章 客戶端阻斷..................................................................................................153 5-1 掃描器組件配置............................................................................................153 5-2 阻斷策略應用................................................................................................153 5-2-1 違規自動阻斷策略.................................................................................154 5-2-2 手動設置針對設備的單獨阻斷策略.....................................................154 5-2-3 硬件防火墻聯動阻斷策略.....................................................................155 第六章 網絡接入認證管理......................................................................................157 6-1 策略中心->接入認證策略->補丁與殺毒軟件認證.........................................157 6-

2、策略中心->接入認證策略->進程服務注冊表認證.......................................159 6-

3、策略中心->接入認證策略->802.1X接入認證認證......................................163 6-4、環境準備方法................................................................................................164 RADIUS安裝與配置............................................................................................164 安裝RADIUS........................................................................................................164 6-

5、各廠商交換機配置..........................................................................................177 1.Cisco2950配置方法...................................................................................177 2.華為3COM 3628配置...............................................................................178 3．銳捷RGS21配置.........................................................................................182 第七章 系統備份及系統升級..................................................................................183 7-1 系統數據庫數據備份及還原........................................................................183 7-2 系統組件升級................................................................................................184 7-2-1 區域管理器、掃描器模塊升級.............................................................184 7-2-2 升級網頁管理平臺.................................................................................184 7-2-3 客戶端注冊程序升級.............................................................................184 7-2-4 檢查系統是否升級成功.........................................................................185 7-3 級聯管理模式升級及配置............................................................................185 第八章 售后服務......................................................................................................187 第九章 附錄..............................................................................................................189 附錄

（一）微軟SQLSERVER系統安裝步驟...........................................................189 附錄

（二）北信源內網管理系統名詞注釋........................................................195 附錄

（三）移動存儲設備認證工具操作說明....................................................196 附錄

（四）主機保護工具操作說明....................................................................214 附錄

（六）組態報表管理系統操作說明............................................................221 附錄

（七）信息安全通告平臺............................................................................230 第一章．系統介紹

1-1 產品組成

北信源內網安全及補丁分發管理系統由8部分組成：WinPcap程序、SQL Server管理信息庫（安裝包：環境初始化程序）、Web中央管理配置平臺（安裝包：網頁管理平臺）、區域管理器(安裝包：Region Manage,原區域掃描器已作為模塊集成到區域管理器)、客戶端注冊程序（安裝包：注冊程序）、補丁下載服務器、管理器主機保護模塊、報警中心模塊。

環境初始化程序：SQL Server管理信息庫，建立北信源內網安全及補丁分發管理系統的初始化數據庫。包括：網絡客戶端設備屬性信息、區域管理器信息、設備掃描器信息、區域管理范圍信息、注冊（未注冊）機器信息、設備屬性變化信息、報警信息等。掃描器將設備最新狀態信息同數據庫中原有信息進行遍歷搜索對比，根據規則要求在管理平臺上報警。

Web管理平臺：Web中央管理配置平臺，本系統的管理配置中心。包括區域管理器、掃描器、注冊客戶端的功能參數設定，網絡設備信息發現、系統應用策略制訂、報警信息顯示、定義任務功能制訂、系統用戶維護等配置操作。

Region Manage：區域管理器，系統數據處理中心。與管理信息數據庫通訊，接收注冊程序提供的用戶信息，將用戶信息（用戶填寫的物理信息和系統自動采集的硬件信息）并行存入數據庫；接受來自控制臺的命令操作，發送到客戶端、掃描器執行。

對于存在多級管理要求的廣域網，網絡中可以存在多個區域管理器，系統數據提供逐級上報（轉發）模式。

區域管理器內置網絡掃描器，掃描器將設備最新狀態信息報送至區域管理器，由區域管理器處理后，同數據庫中原有信息進行遍歷搜索對比，根據管理規則在管理平臺上報警。

掃描器配合區域管理器進行工作，可以在分級模式下使用。掃描器只依據Web管理平臺中配置的工作范圍進行掃描，超越其范圍，將不負責執行操作。

WinPcap程序：嗅探驅動軟件，監聽共享網絡上傳送的數據。

客戶端注冊程序：用戶訪問指定網站自動獲得，用戶填寫本機信息，填寫必要信息后上報區域管理器。注冊程序自動探測系統硬件信息，連同用戶填寫的信息一同上報區域管理器。用戶將本機注冊信息發送到區域管理器后，區域管理器自動將客戶端駐留程序應用策略發送給用戶，并自動更新。

客戶端駐留程序功能：

1.進行本機硬件屬性信息變化監視； 2.進行本機IP、MAC地址變化審計；

3.本機系統補丁、軟件安裝、運行進程狀況監測；

4.探測本機是否有違規聯網行為，在內網管理中心或外網報警平臺報警； 5.接受Web管理平臺的管理命令； 6.阻斷本機非法外聯行為；

7.執行Web管理平臺下發的各種策略操作。補丁下載服務器：安裝在與Internet網絡連接的機器上，用于實時下載補丁廠商發布的補丁。

管理器主機保護模塊：管理器主機保護模塊可根據管理器或其他服務器具體使用的端口、網絡協議、通信IP范圍和具體的其他網絡應用來定義該計算機使用的安全級較高的網絡配置，從而防止該計算機受到惡意的IP沖突以及各種網絡、病毒攻擊。

報警中心模塊：安裝在可與區域管理器所在服務器正常通訊的計算機上，本模塊可以根據管理員在系統中所配置的報警事件和危險級別提供給管理員包括電子郵件、信使服務、SNMP Trap、手機短信等多種報警方式。

注：區域管理器（Region Manage）、區域掃描器模塊（Region scan）、注冊程序部分系統的參數配置集中體現在網頁管理平臺操作上，上述三部分功能參數、功能項數值統一在網頁管理平臺中進行配置。區域管理器（Region Manage）、掃描器模塊（Region scan）部分參數在自身軟件組件中配置。

1-2 應用構架

北信源內網安全及補丁分發管理系統應用于局域網、廣域網構架，支持跨網段、跨地域的內網遠程客戶端管理及非法移動設備接入檢測、網內計算機違規聯網監視、網絡安全隔離度監控等。

系統應用主要分為以下兩種構架：

基本構架：對于一般網絡（例如1個C類地址或若干個C類地址的局域網范圍），可使用一套本系統軟件，集中管理所屬區域內的所有設備。

擴展構架：對于大規模的多個局域網或者跨地域廣域網（包括基于國家、省、市、縣等多級管理模式的網絡結構），可使用本系統提供的多區域集中管理構架，即一個或多個網段各擁有一套獨立北信源內網安全及補丁分發管理系統的同時，將本級所有設備信息再轉發給上級管理數據庫，使得上一級管理人員對整個網絡的設備狀況也能夠完全掌握。

圖1-1北信源內網安全及補丁分發管理系統應用拓撲

第二章．系統安裝

2-1 安裝環境

條件一：硬件環境

SQL Server數據庫服務器：用于安裝系統管理信息數據庫。PC服務器或更高檔服務器，PentiumⅣ 2.4C 以上CPU，512M以上內存。

區域管理器：用于安裝區域管理器程序。百兆或千兆網卡，PC服務器或更高檔服務器，PentiumⅣ 2.4C 以上CPU，512M以上內存。

掃描器模塊：配置同區域管理器。如單獨安裝掃描器模塊，比較高檔的PC計算機即可。

本系統各程序可安裝在同一臺計算機上，也可在不同機器上安裝SQL數據庫、IIS服務器、區域管理器、掃描器模塊等，此時推薦該計算機內存為1G以上。

建議將區域管理器、掃描器、網頁管理平臺安裝在同一臺機器上，作為監控服務器。

條件二：提供數據庫、IIS服務

操作系統：Windows 2000或Windows 2003企業版操作系統。SQL Server2000軟件：配備SQL Server數據庫系統，用于北信源內網安全及補丁分發管理系統建立管理信息庫數據庫列表項。

IIS服務：配備IIS服務器提供Web服務，用于安裝Web網頁管理配置平臺。如所裝操作系統為Windows 2003企業版，則需要按照安裝光盤中的Windows 2003的IIS配置說明進行IIS配置。

條件三：為本系統提供相應端口

北信源內網安全及補丁分發管理系統區域管理器將占用操作系統88端口，必須確保安裝區域管理器的機器該端口不被占用。區域內的防火墻應打開如下端口：80，88,2388，2399，8901,8900,161,137,22105，8889，22106，22108以及ICMP協議。同時最好將DNS服務遷移至其它服務器。

2-2 安裝注意事項

軟件安裝時，推薦將區域管理器、掃描器、數據庫安裝在同一臺機器上（以下稱為監控服務器），建議按照下面要求進行監控服務器部署、軟件安裝、客戶端注冊。

2-2-1 軟件安裝監控服務器部署注意事項

1、監控服務器在網絡中放置位置注意點

? 確保該監控服務器能夠ping通所有被管理網絡中任意一臺客戶端機器，同時被管理客戶端可以正常連接服務器的TCP的80,88兩個端口。? 監控服務器給客戶端下達策略的端口為：TCP端口22105。? 監控服務器掃描發現客戶端利用以下協議及端口：

? ICMP協議（發現IP地址存在的其中一種方式）；

? NETBIOS協議,UDP端口137(為了發現機器名和MAC地址)； ? SNMP協議,TCP端口161（為了發現智能設備如路由器、交換機等）； ? 在本地網絡中若劃分了VLAN，或本地網絡存在防火墻，請注意上述問題。

2、存在網中子網（如經過地址轉換）的網絡布置點

對于網絡中存在網中網現象，如采用NAT地址轉化或者代理方式在10.*.*.*網絡中接入192.*.*.*網段，這些子網用戶的管理方式如下：

情況一：子網有專人管理，并且有獨立機房,則應在該子網中安裝一套完整的監控系統。

情況二：子網無專人管理，或無獨立機房，可采用以下3種方式之一處理 1)機器數量少的建議統一更改IP為10.*.*.* 網段。2)由管理員監督子網中所有機器進行注冊并保證不得遺漏。

3)在該網絡中指定一臺工作站專門安裝區域管理器軟件和區域掃描模塊，并將區域管理器配置中SQL服務器地址指向監控服務器。

2-2-2 軟件安裝和應用過程中注意事項

1、必須按照軟件安裝步驟進行安裝 1）確認本機IIS服務正常；

2）確認本機SQL已正常安裝并能正常使用（以本地系統賬戶方式安裝）； 3）確認目標安裝盤剩余空間不小于10G； 4）請務必按照指定順序安裝各個模塊；

5）請在區域掃描模塊所在計算機中安裝SNMP服務；

6）安裝完所有系統模塊后，請一定按照說明文檔進行客戶端程序的配置及分發安裝。

2、監控服務器的安全性問題

管理服務器安裝Windows2000 Server操作系統（帶IIS）、MS SQL Server2000數據庫后，一定要確保對Windows2000、SQL和IE進行重要安全補丁修補，規范操作系統、數據庫的口令和密碼設置，保證SQL、IIS的正常啟動運行。

確保本服務器無病毒，同時可配置本服務器網絡通訊端口僅打開：80，88，6800，8901，8900，22105，2388，2399，8889。

3、保護機制的應用

對大多數交換機、路由器、非Windows設備，需要將其設置為保護狀態（避免被阻斷導致網絡不通），其它如有系統無法識別的重要設備，請在網頁管理平臺設備信息查詢中手動將其設置為保護狀態。2-3 系統組件安裝

安裝順序依次為：

*安裝 SQL Server數據庫； *安裝WinPcap驅動程序；

*安裝并運行環境初始化程序，初始化數據庫；

*安裝網頁平臺并進行劃分區域，配置區域IP范圍、區域管理器參數、設備掃描器參數

等（推薦安裝在默認路徑下）；

*安裝區域管理器（推薦安裝在默認路徑下）； *通知所有用戶下載并運行注冊客戶端代理探頭程序。

2-3-1 安裝SQL server數據庫

略，見附錄(一)。

2-3-2 安裝WinPcap驅動模塊

在安裝頁面中選擇“安裝WinPcap驅動模塊”按鈕，單擊“下一步”安裝在區域掃描器所在計算機上。

2-3-3 安裝遠程技術支持模塊

該模塊是一個程序附屬工具(一般不需要安裝)在客戶端安裝程序里帶有該程序, 是用戶遠程桌面管理及控制,有便于管理員幫助終端用戶解決問題。

2-3-4 初始化數據庫

初始化數據庫是在SQL數據庫中初始化建立VRVEIS數據庫并生成系統必需的相關數據表格，在此過程中需要利用本地數據或者調用遠程SQL數據庫，用戶需要根據實際安裝情況按以下兩種方式進行操作： ? 本地SQL數據庫服務器環境初始化 1)、環境初始化，建立初始數據庫

在SQL服務器地址欄中添加本地機器IP地址、SQL用戶名、及SQL用戶密碼。

圖 2-3-4-1 SQL數據庫服務器環境初始化

2)、檢查數據庫初始化是否成功：

圖2-3-4-2 檢查數據庫初始化

當有如圖“初始化數據庫結構成功”提示框彈出時，說明已成功創建初始化數據庫。否則會出現如下圖所示提示信息：

圖2-3-4-3初始化數據庫失敗提示信息

如果出現如上圖所示提示信息，用戶需要檢查所填入的SQL數據庫IP地址、用戶名以及用戶密碼，重新初始化數據庫。

? 遠程SQL數據庫服務器環境初始化（建議非特殊情況不采用遠程方式）1)、輸入遠程數據庫信息，配置SQL客戶端：安裝遠程數據庫需要首先輸入遠程數據庫IP地址、用戶名稱、用戶密碼，然后點擊“配置SQL客戶端”，出現如下界面：

圖2-3-4-4 配置SQL客戶端

2)、在通用欄中，啟用TCP/IP協議：在通用欄中，選用TCP/IP協議，并啟用，然后單擊別名，進行別名添加設置。

圖2-3-4-5 啟用所選協議

3)、進行客戶端別名的添加:單擊上圖中所圈中的別名，出現如下所示：

圖2-3-4-6 對客戶端別名的添加

4)、進行網絡協議的選擇和服務器別名的添加：此時用戶需要首先選擇網絡協議，選定為TCP/IP，服務器別名根據用戶需要自由添加，點擊確定后完成數據庫初始化。

2-3-5 安裝Web中央管理平臺

? 安裝Web管理平臺

此部分程序要求安裝在默認路徑下，安裝過程中請確保信息填寫正確，否則，Web服務器可能不能正確訪問SQL Server數據庫。

? Web中央管理平臺訪問

Web管理平臺安裝以后在IIS目錄上以虛擬目錄的形式存在，虛擬目錄名稱為VRVEIS，用戶在安裝完成以后，用http://Web服務器域名（IP）/VRVEIS的形式訪問Web管理平臺主頁面。默認用戶名為admin，密碼為123456。（以下的都是用admin登陸進行說明的）審計用戶名為audit,默認密碼為123456，詳見附錄

（六）。

如果http://Web服務器域名（IP）/VRVEIS訪問無效，則以http://Web服務器域名（IP）/VRVEIS/INDEX.ASP方式登錄。

Windows2003下IIS配置以及NTFS磁盤格式配置注意事項見附錄

（七）。

2-3-6 安裝區域管理器Region Manage 在Web中央管理平臺中劃分區域及指定區域管理器后（參見Web中央管理平臺配置）安裝區域管理器組件。安裝后進行以下兩項配置：

? SQL客戶端配置

如果“區域管理器”沒有同SQL裝在同一臺服務器上，需要在如下圖所示窗口中將默認網絡庫選擇為“TCP/IP”，使客戶端能夠遠程訪問數據庫。在“區域管理器”中選擇“配置”->“系統配置”，配置SQL客戶端，也可以通過Alt+S熱鍵，進入配置。

圖2-3-6-1 SQL常規配置

上述配置完畢以后，需要重新啟動“區域管理器”，使系統生效。? 區域管理器系統配置

SQL服務器配置：進入“系統配置”，逐步輸入SQL服務器IP地址、用戶名稱及密碼、數據庫名稱（默認為VRVEIS），單擊“確定”完成SQL服務器配置。

圖2-3-6-2 區域管理器中SQL配置

2-3-7 配置設備掃描器模塊Region scan 在配置好Web防護系統區域及其區域管理器后做以下步驟：

在配置管理里，點擊“掃描器配置”可以添加掃描器，配置掃描范圍。

圖2-3-7區域掃描器配置

填寫相關信息之后重新啟動區域管理器，程序會自動縮小到系統托盤，表示數據庫連接成功，程序運行正常，此時通過上圖中“掃描器配置”項來查看掃描器相關運行信息。2-3-8 安裝補丁下載服務器模塊

在安裝頁面中選擇“補丁下載服務器安裝模塊”按鈕，輸入序列號SN，單擊“下一步”、在桌面生成DownPatch.exe快捷方式，執行后如下圖所示：

圖2-3-8-1 補丁下載服務器主界面

點擊系統配置彈出如下圖：

圖2-3-8-2 補丁下載索引解析界面 添加補丁索引：從北信源站點獲取補丁索引，用以獲取補丁廠商發布補丁信息，通過對補丁索引的解析，下載補丁。按照補丁索引、管理配置要求從補丁廠商站點獲取補丁，補丁下載支持各種方式（下載線程、下載時間）自定義下載補丁。

圖2-3-8-3 補丁下載參數設置

2-3-9 安裝管理器主機保護模塊

選擇安裝在安裝頁面中選擇“安裝管理器主機保護模塊”按鈕，輸入序列號SN，單擊“下一步”、在桌面生成 nsscenter.EXE快捷方式，執行后在系統右下角任務欄所示

綠色的圖標，鼠標右鍵點擊，可以對其進行相應的設置，具體設置參見附錄(四)。

2-3-10 安裝報警中心模塊

選擇安裝在安裝頁面中選擇“安裝報警中心模塊”按鈕，輸入序列號SN，單擊“下一步”、在桌面生成 nsscenter.EXE快捷方式。具體設置參見附錄(五)。

2-3-11 客戶端注冊及下載

（一）客戶端注冊原理及注冊程序配置

? 客戶端注冊原理

執行注冊程序，根據要求填入指定信息，系統自動將所添加信息和系統自動采集獲得的設備信息發送到區域管理器（設置為轉發模式的將發送到上級區域管理器），區域管理器將注冊信息導入SQL數據庫保存，在Web管理平臺中設置的客戶端參數策略將由區域掃描器掃描客戶端后，發送給客戶端駐留程序保存執行。

該客戶端駐留程序駐留在系統內部，以服務的方式實時運行，一旦某個客戶端非法接入互聯網或設備改變違規，客戶端就向web管理平臺發送報警數據，同時本機將顯示報警信息。

? 修改客戶端注冊程序配置文件

在web平臺中配置管理->注冊程序配置。注冊程序使用前需要網管人員的配置，主要是設置區域管理器IP地址（注冊時客戶端信息發向該IP地址所在的區域管理器），如區域管理器為192.168.0.244,配置如下圖所示：

圖2-3-11-1 注冊程序配置

在這里，可以對注冊時需要填加的單位、注冊密碼進行編輯。如下圖所示:

圖2-3-11-2 單位和部門添加刪除

（二）客戶端注冊方法

客戶端注冊方法包括網頁靜態注冊、網頁動態注冊、手動注冊、網關重定向強制注冊等。

網頁靜態注冊：

靜態注冊比較簡單，客戶端只需要將配置好的注冊文件上傳到公共主頁上即可，做一個鏈接，訪問主頁后手動下載注冊。

主要講述動態注冊，這種方法適用于網絡用戶較多的情況，客戶端只要訪問網絡內公共網站，網頁將自動對客戶端進行探測，彈出提示窗口，提示用戶進行注冊。

網頁動態注冊：

利用網絡中已經構建好的內部網站，一方面網絡客戶端可以通過手動獲得注冊程序，也可以通過在主網頁上加載彈出頁面的方式進行提示性注冊。本手冊將主要介紹后一種方式。

當網絡中客戶端計算機訪問本網絡內部網站時，在該主頁代碼中加入一段代碼（如下）。本代碼作用在于首先獲得該客戶端計算機的IP地址，再讀取數據庫里面相關IP地址的注冊和其它相關信息，如果該IP地址的設備存在，系統會根據其是否完成“注冊”、“信任”、“保護”三項操作進行判斷，只要滿足其中任意一條件，都不會提示注冊，否則會彈出窗口提示注冊。

網頁加載彈出程序方法如下：編輯已有主頁的源程序，在需要加載彈出窗口主頁的源代碼中放入以下代碼：

注意：需要將其中的http:// 192.168.0.253/vrveis/quest.asp換成http:// 安裝內網安全管理網頁平臺計算機IP/vrveis/quest.asp即可，此時當網絡中計算機訪問該內部主頁時，會自動彈出如下提示頁面：

圖2-3-11-3 網頁動態注冊

使用網頁動態注冊時，請管理員通知注冊人，在訪問本網站時，暫時關閉網頁彈出攔截程序或將本網站添加到不攔截列表中。

手動注冊：除了自動注冊設備外，遇到需要手工注冊新增設備時，也可通過WEB管理平臺中數據查詢，設備信息查詢中的手動添加設備功能，將新增設備的具體信息詳細登記填寫至數據庫中，并將其置為保護設備。

注意：

1.多級級聯注冊：如果系統為多級級聯方式，必須在區域管理器的高級配置中的“系統配置”、“策略配置”選項中的級聯選項選中，并正確添加上級管理器的IP地址，各級區域會將自己所管轄的區域管理IP段上報到上級數據庫中存儲。

此時，當網絡中任意一臺下級區域客戶端計算機訪問主網站的同時，會根據最上級區域數據庫中存儲的各級上報IP段信息，自動將該客戶端注冊程序文件下載路徑指向為自己所處IP段的本級區域注冊器上，做到各個區域的客戶端計算機在訪問同一網站進行注冊程序下載時，所下載的客戶端程序均為自己所在區域的專用注冊程序。

如果網絡中內部網站，網絡管理員可以通知網絡內計算機在本系統Web管理平臺的登錄頁面中點擊下載注冊程序完成系統注冊，或者在此頁面下按上面的步驟做好彈出提示窗口方式注冊。注冊程序界面如下：

圖2-3-11-4 客戶端注冊信息

無論采取哪種方式，在注冊成功以后，注冊程序除了將主動添加的信息自動上報以外，還會自動收集其它和系統相關的信息進行上報。

客戶端和區域管理器連接通訊不正常的情況下，將提示用戶“缺省注冊成功”，表示客戶端探頭已經注冊完畢，但還沒有與區域管理器通訊。當區域掃描器掃到該計算機的IP地址時，才會將添加的信息及系統采集信息上報到區域管理器，存儲在數據庫當中。

2．本系統使用初期，若要求對下屬網絡中的計算機信息進行統計、注冊、入庫，必須在Web管理平臺中管理器設置項內選中“允許客戶端注冊”，如注冊時需要密碼，也需要在WEB管理平臺中進行設置，如下圖所示：

圖2-3-11-5 允許客戶端注冊

圖2-3-11-6 注冊信息編輯

網關重定向：

作用：注冊信息重定向。如果沒注冊的客戶機上網，那么他會把上網的網址重定向到指定的注冊頁面上。1．正確安裝運行注冊認證網關

2． 啟動注冊認證網關進行配置

圖2-3-11-7 注冊認證網關配置

3．在系統參數里選擇可以監聽到整個網絡包的網卡（一般這臺機器為網關）

圖2-3-11-8 系統參數

4． 在重定向配置里，填寫對未注冊、保護和信任的機器的重定向網址。策略配置為在多長時間內重定向的次數，超過這個次數，將不再重定向。

圖2-3-11-9 重定向配置

5．通訊配置，填寫區域管理器的IP地址，通訊端口（一般為88），同步信息間隔為同步區域管理的信息（即發現是否有新注冊的信息），本地配置，偵聽端口為688。

圖2-3-11-10 通訊配置

6．配置完后點確認，然后啟動注冊認證網關，退出重起就可以用了。（建議把這個用在網關處或總的交換機出口處，這樣可以捕獲所有的信息包）

（三）客戶端卸載

網絡客戶根據情況需要卸載客戶端探頭程序時，運行安裝程序包中的探頭卸載程序UnInstallEdp.exe如圖：

圖2-3-11-11 客戶端卸載

記錄下序列號，并將序列號復制到如下圖的第一個方框中：

圖2-3-11-12 查看卸載密碼

點擊查看將會產生一個卸載密碼，將其輸入卸載密碼框中點擊卸載即可。

圖2-3-11-13 卸載密碼

或通過WEB管理平臺中的點—點控制中的終端卸載如圖：

圖2-3-11-14 終端點對點-終端卸載 第三章 系統應用

本平臺配置主要指北信源內網安全及補丁分發管理系統的網頁平臺操作，網頁平臺是整個北信源內網安全及補丁分發管理系統的配置操作核心，整個內網安全及補丁分發管理系統功能的實現全部在Web操作中實現，Web方式有助于管理員遠程維護系統，進行統一配置和統一管理。掌握對網頁平臺的功能操作和配置對使用本系統來提高整個網絡的安全性和解決網絡管理的效率有著重要作用。

菜單功能模塊:系統策略中心、數據查詢、終端控制、補丁分發、運維信息、報警事件、級聯總控、統計報表、系統維護等模塊。

3-1配置與管理

3-1-1 區域劃分

在網頁平臺安裝完畢之后，訪問http://Web服務器域名（IP）/VRVEIS訪問WEB管理平臺登錄界面。如下所示：

圖3-1-1-1 Web管理登錄界面

其中客戶端工具下載菜單提供了包括用戶注冊器下載、補丁檢測中心、多路幫助平臺、普通工具下載、管理員工具下載、工具上傳管理等功能，用戶按照頁面提示操作即可。

圖3-1-1-2 客戶端工具下載界面

系統默認用戶為admin，密碼為123456，登錄后建議管理員修改管理員密碼。成功登錄后，進入系統的主界面。如下圖所示：

圖3-1-1-3 Web管理主界面 ? 在所處的IP地址段內，進行區域劃分操作

首先進行區域添加和劃分操作。

區域劃分：單擊配置管理里的“區域劃分與配置”，對網絡中的客戶端進行區域劃分管理，按照提示依次添加區域、增加區域IP管理范圍、分配區域管理器、，并完成系統組件運行參數配置。

具體步驟：

區域描述配置欄中填寫好一些必要的與區域相關的信息，如區域機構代碼、區域名稱、負責人姓名等。其他信息可以酌情依照實際用途填寫。本區域IP劃分：根據用戶實際需要在下圖所示的文本框中填入需要管轄的IP地址。

其中保留IP段為該網段目前沒有網絡設備存在的網段，如有設備存在，則會產生報警信息。

圖3-1-1-4區域劃分與配置

下級區域劃分：在已有區域頁面中點擊“增加下級區域”按鈕進行下級區域添加，如集團總部下屬總裁辦、行政部、財務部等。

圖3-1-1-5 增加區域

3-1-2 區域管理器配置

區域管理器：區域管理器為系統策略控制及數據接收處理中心，具有控制完成系統相關的動作行為處理功能；同時與本級數據庫系統連接，統一接收注冊程序提供的信息，將用戶信息（填寫的計算機使用人姓名、聯系電話、E-mail等，計算機IP、MAC地址、硬盤、CPU、內存等其它硬件信息均為自動采集）存入數據庫。

根據本區域客戶端IP管理情況確定對IP地址的管理方式，若選擇IP、MAC地址綁定，需要在靜態IP環境下進行設置。

允許客戶端控頭升級：設置本區域管理器管理范圍內的客戶端的升級操作。設置vpn網絡虛擬管理器IP：是指添加VPN虛擬服務器的IP地址。管理器標識：是指管理器的標記，當服務器遷移時需要設置與之相同的管理器標識。

管理器可直接通信網段：在管理多個獨立子網時,該配置填寫區域管理器服務器可直接通信的地址。

允許客戶端注冊：是指任意一臺在區域范圍內的客戶端都可以在服務器上注冊。

管理器配置同步：當選中“下級區域”時下級區域的配置應該和上級區域管理器的配置相同，當選中“全部區域”時是指下面的任意級聯區域都要和區域管理器的配置同步。

圖3-1-2-1 區域管理器參數設置

區域管理器系統配置：當設置完當前頁面這時我們可以配置剛才安裝好的內網安全管理管理器去桌面雙擊“內網安全管理管理器”快捷方式彈出如下界面：

圖 3-1-2-2區域管理器系統配置

? 先進行SQL服務器配置：進入“系統配置”，逐步輸入SQL服務器IP地址、用戶名稱及密碼、數據庫名稱（默認為VRVEIS），單擊“確定”完成SQL服務器配置。

圖 3-1-2-3 SQL服務器配置

管理器配置：本軟件默認機器操作系統88端口，若其它應用程序占用該端口，將自動更改為188。

如果區域管理器應用于多級管理（每級都有獨立的SQL server和相應的內網安全管理及補丁自動分發管理平臺）的級聯構架體系，其上級還有區域管理器的情況下，當前區域管理器需要將所有信息上報到上級管理器。

區域管理器支持多級級聯，如國家、省、市、縣多級規模網絡管理構架，下屬區域管理器將其所有計算機報警信息轉報到上級數據庫。注：需要把“上報給上級管理器”√上，輸入上級管理器地址。

升級配置：用于配置區域管理器的自動升級，升級服務器地址為上級區域管理器IP。

區域管理器配置-高級設置 系統配置：

鎖定下級策略是指下級不能夠更改策略信息。

上報給上級區域管理器是指下級的策略，阻斷，違規信息上報給上級區域管理器，在此處打上“√”添加上上級管理器地址，配置級聯。

圖3-1-2-4 區域管理器

阻斷配置：

圖3-1-2-5阻斷配置

探頭阻斷：目前常用的阻斷方式，由掃描器調度探頭完成阻斷任務。只要保證一個網段（VLAN）中有一臺存活的已注冊計算機，就可以實現阻斷。

防火墻阻斷：該方式必須與防火墻結合使用，需要設置必要的防火墻規則集和安全認證，與其它廠商防火墻不兼容。

報警過濾：本軟件系統提供對多種違規變化行為的報警：非法外聯、設備未注冊、IP綁定變化、設備變化、探頭被卸載、病毒行為報警等。

本地報警種類過濾：僅對本地網絡中區域管理器管理范圍內的違規變化行為進行報警顯示，用戶根據自身管理要求進行篩選。

圖3-1-2-6 報警種類過濾

策略配置：系統支持對各種文件的分發，在Web中央管理平臺進行軟件分發操作前，必須對本項進行配置。

默認將分發文件放在C:VRVRegionManageDistribute目錄下，管理員可根據需要自行更改路徑，同時，修改本路徑后，補丁下載存放的位置也會相應改變。

圖3-1-2-7策略配置

補丁下載：將待分發操作系統補丁放置在設置好的補丁路徑的目錄下，在Web中央管理平臺中進行分發操作。

管理員通過對參數項的選擇進行下載配置，級聯IP提供對上一級補丁的下載獲取。

圖3-1-2-8 補丁下載

其他配置：主要是硬件網關重定向配置，此功能必須配合硬件設備使用。

圖3-1-2-9 其他配置

3-1-3 掃描器配置

點擊增加掃描器設置掃描器掃描網絡IP范圍。機構代碼：一般為阿拉伯數字，由用戶單位根據管理要求進行設定。掃描間隔：根據管理IP范圍大小進行設置（建議設置為10分鐘）。

圖3-1-3-1 區域掃描器參數設置

注:掃描器配合區域管理器進行工作，掃描器的掃描范圍不可能超過它的區域管理器管理的IP范圍。

掃描器除了指定掃描的IP范圍外還能夠指定排除不掃描的地址范圍，如有某些網段不需要掃描器發現設備，為縮短掃描時間，可在掃描器設置中增加禁止掃描地址段的設置。

掃描器高級配置：

圖3-1-3-2 掃描器配置-系統配置

掃描器高級配置——系統配置：

掃描頻率設定：用戶可以根據網絡中網絡帶寬占用情況，靈活設置掃描頻率，同樣可以選擇是否“使用SNMP掃描”掃描方式，如果選擇“使用SNMP掃描”，則系統能夠自動對網絡設備（例如交換機、路由器、網絡打印機等）進行掃描，并自動登記到設備列表庫中。

阻斷選項：如果用戶選擇“掃描器阻斷”，此時可采取“輕量級阻斷”和“重量級阻斷”兩種方式。

輕量級阻斷：阻斷計算機向網絡中廣播一個ARP請求報文，將被阻斷計算機的IP地址及對應的假MAC地址發送給網絡內所有的計算機，每臺計算機收到請求后便會對本地的ARP緩存進行更新，將收到的請求中的IP和對應的假MAC地址存儲在ARP緩存中。這樣對于網絡中的計算機看來，被阻斷計算機的IP地址沒有變化，而它的MAC地址已經不是原來那個了。由于局域網的網絡通信不是根據IP地址進行，而是按照MAC地址進行傳輸。因此，被阻斷計算機便接收不到網絡中計算機（不含阻斷計算機）傳送過來的信息。

重量級阻斷：阻斷計算機冒充網絡中的其他計算機（本網段1-255）給被阻斷計算機發送定向ARP應答報文，被阻斷計算機收到請求后便會對本地的ARP緩存進行更新，將收到的請求中的IP和對應的假MAC地址存儲在ARP緩存中。這樣對于被阻斷計算機看來，網絡中的計算機的IP地址沒有變化，而它們的MAC地址已經不是原來那個了。因此，被阻斷計算機便不能向網絡中的計算機（不含阻斷計算機）傳送信息。

掃描器高級配置——交換機掃描配置：

交換機掃描用于掃描發現交換機，進行拓撲發現。Snmp團體名：根據拓撲管理需要輸入網絡中所有網絡設備的snmp讀團體名用“;”隔開。

圖3-1-3-3 交換機掃描配置

如上圖，配置掃描間隔時間一般設成5-10分鐘，IP范圍設置需要掃描的ip段，snmp讀團體名稱是根據交換機口令設置的。

該功能的啟用需要下載交換機拓撲模塊，安裝后進行網絡拓撲發現。進入web管理平臺主頁面“運維監控”菜單，啟用網絡拓撲圖，安裝交換機拓撲模塊后進行網絡拓撲發現。

3-1-4 注冊程序配置

控制頁面如下.管理員可以通過設置來按照需求來配置客戶端注冊程序,讓用戶填入相應的信息 ,方便以后管理。其中的項有啟用、必選、還可以對輸入數據進行控制.后面的功能設置必須對每個功能模塊啟用。

圖 3-1-4-1 注冊程序配置

選擇編輯單位/部門彈出如下圖：

圖 3-1-4-2 編輯單位/部門

先選擇修改單位彈出如下窗口：

圖 3-1-4-3 修改單位

填寫單位名稱和單位備注消息點擊添加/修改單位。最后點擊保存修改關閉窗口返回上級窗口如下圖：

圖 3-1-4-4 保存修改

可以看到剛才添加的單位。

在此輸入每個單位所對應的部門,部門備注信息.選擇保存修改可以完成單位和部門的配置。

點擊設置注冊密碼彈出如下窗體原注冊密碼為空。

設置注冊密碼是為了防止新接入設備非法進行注冊。

圖 3-1-4-5 直接添加新注冊密碼保存修改就可以。

注冊單位與注冊部門產生聯動

當對單位和注冊部門設置為必填和僅選擇這時客戶端注冊程序 對單位和部門的填寫只能按照管理員的設置來選擇.不能手動填寫。

使用靜默注冊：以上的設置都不生效這時客戶端注冊程序只需選擇下載運行就可以。

注冊程序會自己上報終端的計算機名和IP地址MAC地址。選擇保存修改點擊打包注冊程序這時完成客戶端注冊程序配置。

3-1-5 注冊部門配置與管理

新增單位：該功能作用基本與“從系統注冊單位導入”相似，不同的是，它可以加入備注信息。

圖 3-1-5-1再新增單位

具體方法：選擇新增單位彈出如下窗體：

圖 3-1-5-2再新增單位

從已注冊的單位選擇一個單位然后進行單位描述點擊添加。后可以在左邊看到新增的單位之后選擇新增的部門。選擇新增的部門彈出如下圖對部門進行描述點擊添加完成操作。

圖 3-1-5-3 單位描述

從系統注冊單位導入：該功能作用是將客戶端注冊時輸入的單位名稱導入到“注冊單位及部門”中。當客戶端在注冊時輸入單位名稱時，那么點擊“從系統注冊單位導入”就可以看到一個單位名稱及相應的部門，同一個單位名稱只出現一次。

選擇左邊單位與部門樹目錄點擊從系統注冊單位單位導入彈出如下圖：

圖 3-1-5-4 系統注冊單位單位導入

√選要導入的注冊單位點擊從已注冊部門導入。之后選擇剛才添加的單位點擊從系統注冊部門導入或者新增部門選擇相應的部門添加即可。

圖 3-1-5-5 添加部門 3-1-6 自定義組分配與管理

自定義組用來對網絡中特定或者有特殊用途的機器進行編組，以便采取不同的管理手段，方便管理員的管理。該組的客戶端成員可以由管理員根據某查詢條件而查得的計算機導入自定義組。如下圖所示：

圖 3-1-6-1 自定義組分配與管理

1． 首先創建分組，點擊創建下級組：首先創建分組，點擊創建下級組，添加分組名稱，分組描述，保存設置。

圖3-1-6-2 創建分組

2． 向組中添加設備：點擊添加設備，彈出如下圖，可以按設備查找，按IP查找，按操作系統查找，選中一個點擊添加，然后點擊查詢，導入組即可。同時還可以通過設備信息查詢，和補丁查詢中來添加設備。

圖3-1-6-3 查詢設備

3． 如果需要將IP/MAC綁定，那么可以執行下面操作：將當添加完組設備以后點擊“將組設備添加到IP/MAC綁定”，彈出如下圖所示的“確定添加該組設備到IP/MAC綁定列表庫嗎？”點擊“確定”即可將設備全部導入IP/MAC綁定列表。

圖3-1-6-4 添加IP/MAC綁定

3-1-7 IP與MAC綁定列表

添加、查詢系統IP與MAC綁定設備列表如下圖（數據來源在自定義組里可以按IP操作系統等添加一個自定義組）。

圖 3-1-7-1 添加系統IP與MAC綁定設備列表

圖 3-1-7-2查詢系統IP與MAC綁定設備列表

3-2策略中心

3-2-1 阻斷違規接入管理

當掃描器發現有外來設備接入內網時，該功能可以有效地控制外來設備接入內網而帶來的安全威脅（此功能慎用，在不能確認所有的可信客戶端都注冊前最好不要使用,同時也要把需要保護的設備保護起來），通過選中“沒有注冊則阻斷聯網”復選框便可阻斷所以未注冊設備。同時提供了信使服務（windows2000以上操作系統）提醒IP、MAC綁定等功能，如下圖所示：

圖3-2-1 阻斷違規接入管理

3-2-2 策略管理中心

? 如何進行策略創建和分發

（1）在“策略管理中心”中左邊的策略項中可點擊需要制定的策略，然后在右邊的“新建策略名”中輸入相應的策略名稱后，單擊“創建”按鈕開始創建策略。

圖3-2-2-1策略中心策略制定

（2）隨后在具體的策略的配置中根據用戶的實際需要配置好策略后，單擊“保存策略”就完成了一條策略的創建。（由于各個策略項的配置過程都不一樣，這里不再用截圖表示，下一節將具體介紹）

（3）接下來是下發策略，即指定策略的執行對象，可通過單擊“對象”按鈕后，可按界面的提示完成對象的分配。如下圖所示：

圖 3-2-2-2 下發策略

圖3-2-2-3 策略分配對象

如圖3-2-2-4表示創建策略成功

（4）如果需要讓某一條策略暫時不使用，可按界面中對應的“停用”單選按鈕使策略失效，需要使用的時候再單擊“啟用”按鈕使策略生效。如果想要刪除某一條策略，則直接按“刪除”按鈕即可。但在刪除某策略之前最好先停用該條策略。? 策略的高級設置

策略的高級設置用于客戶端程序對策略的執行設置，包括策略狀態（啟動、停止）、策略存活時間（策略執行的起止時間）、策略執行觸發條件（在何種條件下開始執行策略）、策略無效時間（規定時間內客戶端不執行策略）、策略應用范圍（本級區域、下級區域、所有區域）、級聯策略類型等，有些策略還包括具體的觸發時間設置等。

圖3-2-2-5 高級策略設置

說明：策略存活時間范圍：即策略以天為單位的存活時間段。

策略無效工作日：即可在一星期中選中一天或多天使策略無效。策略無效時間段：即策略以分為單位的無效的時間段。

強制策略：級聯策略發到下級管理器時，下級管理員對策略內容不能修改，并且不能修改該策略的對象和啟動、停用狀態。

樣板模版：級聯策略發到下級管理器時，下級管理員對策略內容不能修改，但是可以修改該策略的對象和啟動、停用狀態。

策略有效網絡：a.在所有網絡均有效:該功能意思是策略在區域管理范圍內、外均有效。

b.僅在該網絡中有效：該功能意思是僅在區域管理范圍內有效。? 系統策略設定 1)黑白名單編輯：

<1> 進程黑白名單：進程黑白名單在進程監控中可以使用,這部分包含系統預定義黑名單和用戶自定義黑白名單。編輯進程黑白名單時包括，進程名，產品名，源文件名等；如果是服務則只可以加服務名，同時可以加一些描述。

圖3-2-2-6

<2> 軟件黑白名單：軟件黑白名單在軟件安裝監控中可以使用,這部分包含系統預定義黑名單和用戶自定義黑白名單。

第三篇：內網安全管理系統7.0產品白皮書

產品白皮書

內網安全管理系統V7.0

產品白皮書

第1頁

產品白皮書

目錄

1.產品簡介.......................................................................................................................................................1 2.產品構架.......................................................................................................................................................1 3.產品功能.......................................................................................................................................................2 4.產品特點.......................................................................................................................................................2 5.產品性能.......................................................................................................................................................3 6.產品部署.......................................................................................................................................................4

第2頁

1.產品簡介

內網安全管理系統是用于政府和企業終端安全管理系統。系統通過對計算機準入控制、計算機安全加固、計算機運行維護、計算機安全審計、移動存儲介質注冊等多個方面的綜合管理，為政府和企業用戶打造一個安全、可信、規范、健康的內網環境。內網安全管理系統可為用戶解決如下一系列的內網安全管理問題：

? 確保入網終端符合要求 ? 全面監測終端健康狀況 ? 保證終端信息安全可控 ? 動態監測內網安全態勢 ? 快速定位解決終端故障 ? 規范企業員工網絡行為 ? 統一內網用戶身份管理 ? 杜絕移動存儲介質濫用 ? 提高和實現軟件正版化

2.產品構架

內網安全管理系統在架構設計上采用了三層管理結構：終端監控引擎、總控中心、管理控制臺。

終端監控引擎以服務的形式運行于終端計算機上，是終端計算機管理的核心和基礎部件，用于對被管理終端計算機的安全加固、運行維護和監測審計等管理職能。終端監控引擎的設計充分考慮了穩定性、安全性和兼容性要求。終端監控引擎可防止惡意停止，并全面兼容防病毒軟件、防火墻軟件、設計開發軟件、業務軟件、辦公軟件。

總控中心用于計算機的集中管理，為終端監控引擎和管理控制臺提供一系列的管理服務。由策略管理服務、審計管理服務、Radius認證服務、文件備份服務、補丁與軟件分發服務、時間同步服務、網絡管理服務、分級管理服務、事件訂閱服務、健康狀態監測服務等組成。視內網規模和性能要求，這些服務可分別部署在不同的硬件平臺上，也可部署在同一個硬件平臺上。

管理控制臺是系統管理人員提供系統管理入口。采用了B/S方式進行系統管理，通過管理控制臺可以完成系統管理的全部操作。三層管理結構大大提高了系統設計開發、安裝部署和運行維護的靈活性、便利性和擴展性。

圖1 LanSecS?內網安全管理系統架構

3.產品功能

安全審計：提供內網主機安全事件的審計功能，包括文件操作、文檔打印、共享訪問、服務與進程活動、系統日志、系統賬戶監控等。提供終端計算機用戶行為的監控與審計，包括信息泄密、資源濫用、即時通訊、郵件收發和網站訪問等。

安全服務：通過預警平臺、遠程協助、軟件及文件分發等功能實現遠程桌面維護以及安全動態、桌面通知、信息發布。

安全加固：提供強大的補丁自動分發機制、病毒庫自動下載機制、本地文件安全存儲以及移動存儲介質的認證與注冊管理等功能，保證終端運行環境的安全可控，保障內網運行的可靠性。另外，還提供主機安全策略和IE安全策略的統一設置，加強主機的安全性。

資產管理：提供對內網資產和資源的集中管理能力，包括計算機、交換機、操作系統、軟件、硬件，并對資產和資源的變更進行監控和預警。

準入控制：采用可信接入技術，對于接入內網的計算機進行嚴格的身份認證和健康檢查，保證內網業務數據和系統環境的安全。

4.產品特點

完善的分級管理架構，“分散不分立”：通過分級管理，系統可實現跨地域分散部署和集中管理?！胺稚⒉环至ⅰ?，形成有效的和有機的內網安全管理架構。

靈活的分權管理機制，“集中不集權”:系統提供了基于安全角色的授權管理機制，根據功能模塊或行政機構的劃分自定義安全角色，一種安全角色只能執行其所轄部門范圍內的相應安全代理的安全策略和審計事件的管理?！凹胁患瘷唷?，保證了管理的安全性。

多層次的安全措施，保證系統運行的安全可靠:系統從數據庫、網絡通訊、策略分發與存儲等多個層面加強了安全保護，確保系統運行的安全可靠。

全方位的安全審計功能，有效地防止信息泄密:系統提供對所有輸入/輸出設備、文件系統、進程、服務、注冊表、網絡應用、用戶身份、操作系統安全策略等進行綜合的監控和審計，全方位的監控操作系統的運行狀態以及用戶的操作行為，實現涉密信息的全程審計與跟蹤。

完善的基于數字證書的身份認證機制:系統內嵌身份認證服務，實現了與數字證書的完美結合，管理控制臺、監控代理、總控中心以及所有系統管理用戶和計算機終端用戶均通過數字證書進行身份認證。

豐富、多樣的統計報表功能:系統提供列表和統計圖的報表輸出，報表的輸出支持HTML、EXCEL、PDF、RTF等四種格式。同時提供手動報表、自動報表等兩種運行模式。

高度模塊化設計，需求響應迅速:系統管理控制臺、安全代理和總控中心均采用模塊化設計，并提供用戶設計、開發接口和示例，用戶可以根據企業的安全需求定制采購，同時也可以根據需求的變化，在運行時動態改變其工作狀態，提高系統的運行效率。

所有組件支持自動升級，系統維護方便、快捷:系統的主機代理及其功能模塊均支持基于版本號的網絡自動下載更新，只需要在總控中心一次部署即可以完成全網的自動升級。系統的維護和升級非常方便。

客戶端監控代理安裝部署方式靈活、多樣: 內網安全管理系統客戶端監控代理同時支持域模式安裝、本地安裝、網絡分發安裝以及WEB安裝等多種安裝部署方式，用戶可以根據實際網絡環境自由選擇。

5.產品性能

內網安全管理系統主要性能指標如下：

? 總控中心最大并發連接數：3000；

? 總控中心最大可管理注冊主機數量：20000臺； ? 總控中心網絡帶寬占用：100K/1000客戶端； ? 終端監控引擎CPU占用（靜態模式）：< 1%；

? 終端監控引擎內存占用（靜態模式）：8M。

6.產品部署

內網安全管理系統支持本地部署和分級部署，分級部署示意圖如下：

圖 2分級部署示意圖

第四篇：加油IC卡系統產品白皮書

加油IC卡系統產品白皮書

一、前言

加油IC卡系統是西安賽思通公司專為成品油零售企業開發的一套信息管理系統，至今已有2年多的歷史。在中國石油天然氣集團公司有上千家加油站在使用本系統，系統目前已為中國石油天然氣集團公司的近萬家客戶提供了快速便捷的服務，獲得了用戶的高度認可。為了方便用戶全面了解系統的情況，本公司編寫了此產品白皮書。

二、產品概述

1、市場背景

? 零售市場發展迅速

國內石油公司近年來持續在終端銷售網絡建設上加大投入，新建、收購、合資、聯營、加盟等多種手段并舉，加油站數量快速擴張，零售銷量比重日益提高并超過批發量，成為石油銷售公司經營管理的重點關注領域。

? 市場競爭日益激烈

除國內傳統的競爭對手外，還日益受到國際（如：殼牌、BP和艾克森美孚）石化企業的沖擊。目前零售市場已全面開放，下游市場基于服務和品牌的競爭，將隨著零售市場開放以及在2006年成品油批發市場開放后會進一步加劇。

? 客戶要求不斷增加

隨著中國石化加油IC卡的全國聯網和推廣，以及國際石油公司成熟的多元化服務模式的引入，客戶對石油公司的要求增加，忠誠度降低，維持老客戶和吸引新客戶的成本會越來越高。

? 加油站客戶管理及服務手段亟待提高

零售業務主體面向終端用戶從事油品銷售及服務業務，加油站作為面向客戶的窗口，零售客戶尤其是集團客戶的開發、管理與服務始終是其營銷工作的重中之重。借助先進的信息化等技術手段提供方便、高效的客戶管理與服務，是目前零售業務經營管理中亟待解決的問題。

2、產品目標 加油IC卡系統利用現代化網絡技術、IC卡技術，以IC卡為載體，以加油站后臺電腦為操作平臺，支持客戶持卡在全公司范圍內進行加油結算，并通過該系統提供客戶IC卡賬務管理、集團客戶加油管理與服務、個人客戶加油積分營銷、自用油管理，以及內部結算、清算管理，實現整體營銷，提升客戶管理手段。最終達到一卡在手，全公司加油。

本系統的主要目標是為客戶建立一個基于ＩＣ卡的銷售網絡，它是一個基于互聯網的在線銷售管理系統。這個系統一天２４小時，一年３６５天隨時在線，保證用戶隨時隨地的使用。它可以實現公司總部、營業網點、加油站銷售數據的即時管理，方便用戶對ＩＣ卡加油業務的管理。

3、產品說明

加油IC卡系統基于SOA的思想，采用多層架構。充分體現了系統的易擴展性、易維護性，為用戶今后在系統維護和功能擴展方面留下了充分的余地。多層架構在用戶數據量增加時，可以直接通過增加硬件進行性能提升，不需要進行軟件修改，保護了用戶的初始投資。

基于用戶使用分布面較廣的情況，系統基于Internet進行工作。為了保證數據的一致性，采用集中式數據庫。整個系統是一個分布式的C/S架構。

本系統主要包括以下幾個子系統： ? IC卡制卡系統 ? IC卡業務管理系統 ? 加油站管理系統 ? 客戶自助IC卡查詢系統 ? 系統管理系統 ? 應用服務管理系統

4、客戶價值

使用ＩＣ卡系統進行加油管理，對客戶將帶來以下幾項收益：

１.在卡內沉淀大量資金，給客戶提供了一份無息長期貸款。隨著用戶數的增加，一部分資金將可永久使用。

２.提高用戶使用滿意度，穩定用戶群。

３．本系統采用SOA架構，以后客戶可以方便的擴展功能或與其它系統集成。最大限度的保護了用戶投資。避免了因業務增長，需要修改軟件而無法進行，只好重新開發新系統的情況。

5、使用環境

? 系統軟件環境

數據庫服務器：Win2003 server或以上；SQL SERVER2000中文版或以上。應用服務器：Win2003 server或以上?？蛻魴C：WinXP/Vista。

以上操作系統應安裝有DotNet Framework2.0。? 硬件環境

數據庫服務器和應用服務器：

Intel 至強雙核或四核CPU、最小內存4G、硬盤最小剩余空間2G、100M/1000M網卡。

客戶端PC機：

Intel P4及以上、最小內存512M、硬盤最小剩余空間500M、100M/1000M網卡、17寸顯示器、支持32位真彩色的顯卡。? 網絡環境

應用服務器和數據庫服務器位于公司總部，布署在同一局域網內，使用1000M網絡帶寬互聯。應用服務器應保證公網IP、端口以及域名，并以最小10M帶寬接入互聯網，保證遠程客戶端的訪問?？偛績炔靠蛻魴C使用局域網接入系統應用服務器；分公司、營業網點和加油站采用1M帶寬ADSL接入互聯網，通過域名或IP地址訪問應用服務器。

6、名詞解釋

個人客戶

個人客戶主要包括加油地點較隨意、以現金方式為主、注重品牌與服務等，通過積分IC卡會員制、定額IC卡一次性購買優惠等手段，實現優質服務、精細管理，達到鎖定客戶、促進消費，提高忠誠度的目標。集團客戶 集團客戶（或稱為單位客戶）主要包括招投標簽訂合同、車輛管理、定期結算、優惠定價等等，可采用的解決途徑包括統一客戶資源、區域內跨站加油、主副卡車輛管理、靈活優惠策略等，通過記賬IC卡、預付費IC卡方式實現對集團客戶的管理與營銷。預付費卡

預付費卡主要面向集團客戶及個人客戶。在開戶完畢后，需預先存入現金，才能持卡到加油站加油。在余額不足時，需進行充值和結算操作。它的主要特點如下：

1、需辦理完整的開戶手續；

2、僅限于加油使用，不可提取現金、不能透支、不計利息；

3、有單用戶卡和多用戶卡兩種形式；

4、多用戶卡包括一張主卡和若干張副卡，主卡對副卡具有管理功能，副卡只能用于加油，所有的副卡共享使用主卡的賬戶金額，若需要限定副卡的使用額度，可由主卡對其設定。主卡只具有管理功能，不可用于加油；

5、可享受積分優惠。記賬卡

記賬卡主要面向集團客戶。在開戶時，需評定客戶的授信額度，設定結算周期，客戶才能持卡到加油站加油。記賬卡可用額度的初始值與其授信額度相等，持卡加油后，其可用額度逐步減少，在可用額度不足或到結算周期時，需到相關網點進行結算，回滾可用額度才能允許繼續加油。它的主要特點如下：

1、需辦理完整的開戶手續，評定授信額度；

2、有單用戶卡和多用戶卡兩種形式；

3、多用戶卡包括一張主卡和若干張副卡，主卡對副卡具有管理功能，副卡只能用于加油，所有的副卡共享使用主卡的賬戶可用金額，若需要限定副卡的使用額度，可由主卡對其設定。主卡只具有管理功能，不可用于加油；

4、可享受積分優惠。定額卡

定額卡在辦理時無需提供用戶資料，充值金額由客戶確定。定額卡不能享受積分、不能辦理掛失及清戶手續。自用油卡

自用油卡是主要面向內部使用的IC卡，只做統計使用，不進行帳務核算。

三、產品架構

1、業務架構

2、程序架構：

本系統采用三層架構，方案如下：

3、部署架構

四、產品安全

1、基礎安全設計

系統的基礎安全主要包含四個方面的內容：身份驗證、授權訪問、安全審核、數據安全。整個系統安全采用RBAC模型，也就是基于角色的訪問控制。下面來分別對每一部分進行說明。

1、身份驗證

所有系統資源必須在用戶身份得到驗證以后才可訪問，訪問權限由訪問身份決定。所有未經授權的用戶，均無法訪問系統。身份驗證采用用戶名加密碼的方式來實現，用戶名不能重復使用。在用戶忘記密碼時，系統管理員可以將密碼置為初始密碼，但無法查獲用戶原來使用密碼。用戶密碼使用單向加密碼算法進行加密，程序員不可能利用算法推算出用戶密碼。在對用戶密碼進行加密時采用帳號做為Salt進行加密，保證不同用戶在密碼相同時，在數據庫中存儲也不相同。這樣將無法采用數據庫復制密碼的方式來破解系統。用戶密碼在數據庫采用加密方式存儲。

2、授權訪問

授權訪問主要是通過RBAC模型來實現的。系統的所有權限授予角色，用戶通過加入不同角色來獲取相應權限。RBAC模型已很成熟，在此不再詳述。

3、安全審核

系統對所有涉及安全的訪問均進行日志記錄，這樣即使系統安全被攻破，也能留下各種相關記錄，以便事后查詢。

4、數據安全

本系統的數據安全實現以下兩點：一是不同的平級部門的用戶不能互相查看任何業務數據。二是上級部門可以查看下級部門的任何業務數據。數據權限不能通過授權的方式來獲得。

2、通訊安全設計

本系統是一個基于互聯網的分布式系統，大量的關鍵業務數據在互聯網上傳送，通訊安全非常重要。本系統采用VPN+.Remoting的方式來實現互聯網上的通訊。VPN來保證傳輸的安全性，.Remoting采用二進制方式進行傳輸，以此來保證系統的高效性。

3、IC卡系統的安全設計

1、生成密鑰

首先，由領導輸入初始密碼（8位），然后由系統根據該密碼進行運算，計算出系統的A密碼和B密碼，最后將A密碼保存至數據庫，將B密碼保存至IC卡中。

系統中的A密碼用于控制對加油卡讀取數據，B密碼用于控制對加油卡寫數據，只有驗證B密碼正確，才能進行密碼的更改及數據的寫入。

2、制卡

在進行制卡時，讀取系統的A、B密碼，將A、B兩套密鑰裝載至卡中，然后將卡號寫入加油卡中。同時將卡的序列號讀出，系統將卡序列號，卡號及A密碼（該信息需加密存儲）記錄在數據庫中，防止卡被復制。

3、讀卡 需要讀數據時，先從卡中讀出卡序列號，然后在數據庫中查找該序列號對應的卡號及A密碼，將該卡號和A密碼與卡中的相關信息進行比對，若相同則認為是合法卡，否則，給出錯誤提示，該卡不能使用。

4、其它安全設計

本系統是一個管理錢的系統，數據的準確性與不可篡改性非常重要。系統內部所有涉及錢的業務部分均采用標準財務記帳的方式來進行處理。所有涉及錢的單據均不能刪除，只能采取紅字沖帳的方式進行處理。系統設計有帳務自動審核系統，在夜間自動記帳時對帳務進行審核。一旦出現非法修改系統數據現象，將會自動記錄日志報警。并對非法客戶或卡進行封鎖。

五、產品主要功能

5.1業務管理子系統

5.1.1系統操作

1.登錄 2.修改密碼 3.系統初始化

5.1.2業務流程處理

1、發多用戶卡

2、發單用戶卡

3、發定額卡

4、多卡授信

5、客戶充值

6、充值撤單

7、定額卡銷售撤單

8、卡掛失

9、卡解掛

10、卡注銷

11、換卡

12、黑名單管理

13、優惠管理

14、卡限制信息

15、票據管理

16、積分管理

5.1.3查詢操作

1、客戶分類統計

1）分卡類型統計 2）分客戶統計

2、客戶積分查詢

3、卡銷售統計

4、定額卡銷售查詢

5、特殊業務查詢

6、業務報表

1）銷售明細查詢(營業網點)2）定額卡銷售日報(營業網點)3）定額卡銷售日報 4）定額卡銷售月報 5）加油IC卡充值日報 6）加油IC卡充值月報 7）加油IC卡銷售日報 8）加油IC卡銷售月報 9）加油流水查詢

7、客戶往來查詢 1）客戶往來明細查詢 2）客戶往來日帳查詢 3）客戶往來月帳查詢 4）客戶IC卡加油查詢

8、加油站報表查詢

1）加油站日明細報表查詢 2）加油站日報表查詢 3）加油站月報表查詢

9、分公司報表查詢

10、定額卡賬務查詢 1）定額卡明細賬查詢 2）定額卡日賬查詢 3）定額卡月賬查詢

11、客戶消費信息查詢 1）客戶累計消費查詢 2）客戶消費明細查詢

5.1.4自用油操作

1、自用油客戶管理

2、自用油報表查詢

1）加油站自用油明細查詢 2）加油站自用油日報 3）部門自用油月統計查詢

5.1.5清分清算

1.清分清算

2.清分清算明細查詢 5.2加油管理子系統

5.2.1系統操作

4.登錄 5.修改密碼 6.系統初始化

5.2.2業務處理

1.查看卡片基本信息 2.加油支付 3.錯單處理 4.打印單據

5.2.3報表

1.加油站班報 2.加油站日明細報表 3.加油站日報表查詢 4.加油站月報表查詢

5.3 IC卡管理子系統

5.3.1系統操作

1.登錄 2.修改密碼 3.系統初始化

5.3.1業務處理

1.管理卡制作 2.IC卡制卡 3.卡復位 5.4系統管理子系統

5.4.1系統操作

1.登錄 2.系統初始化 3.修改密碼

5.4.2基礎資料管理

1.內部單位管理 2.地區管理 3.地區單位管理 4.油品資料管理 5.方式類別管理 6.零售價格錄入 7.記賬期間設置

5.4.3安全管理

1.角色管理 2.操作員管理 3.系統功能維護 4.角色功能授權 5.操作員授權管理 6.日志瀏覽

六、產品性能安全指標

1、性能指標

在給定的硬件環境下，用戶的界面響應靈敏度小于1秒，響應時間小于5秒。系統可支持１００個同時在線用戶。

2、網絡安全

1.提供通訊保護，通過觀察通信數據而不可能推斷出其中的機密信息。2.在網絡突然中斷時，不能發生數據錯誤。3.網絡用戶不能采用非法方式進入系統。

3、系統安全

1.、身份驗證。要求為所有進入系統的用戶必須經過身份驗證。

2、系統功能采取授權方式訪問。

3、對關鍵數據訪問有審核，并記錄日志。

4、可以實現數據安全認證。

七、結束語

加油IC卡系統作為一種以卡代幣的零售方式管理軟件，全面實現了IC卡的制作、發放、使用、管理、統計等各方面的功能。它對成品油零售企業提升管理水平，增強客戶忠誠度方面起到了積極的作用。系統在設計過程中，充分考慮了當前各種IC卡、磁卡的使用模式，幾乎兼容現有各種模式。對方便最終用戶使用，方便客戶管理業務，提供了一個強大的管理工具。我們相信，通過使用本系統，一定會給客戶帶來意想不到的各種好處。如果您想要更深入的了解本系統，賽思通公司隨時歡迎您的垂詢。

第五篇：邦永EBS工程管理系統白皮書

Goodview International 邦永科技(中國)

http: // www.tmdps.cn

邦永廣州

地址 廣州市寺右一馬路18號泰恒大廈17樓1718 電話 8620-37570514 37570534 87361247 87361946 傳真 8620-87361242 郵編 510600 E-mail gvgz@pm2.com.cn

邦永上海

地址 上海市斜土路1223號之俊大廈1804室

電話 8621—51702122 51702123

傳真 8621-51702124

郵編 200032

E-mail gvsh@pm2.com.cn

邦永（中國）科技