第一篇:威盾內網安全管理系統方案
內網管理對醫院IT正常運行的價值 醫院內部網絡管理的現狀及碰到的問題
隨著醫院HIS,PACS等各種業務系統的投入運行,計算機軟件、硬件以及網絡日益成為醫院業務運轉中不可缺少的基礎設施。可以想象,網絡是否能正常運行,以及運行的正常與否已經成為醫院是否能正常運轉的關鍵。
所有醫院都碰到過以下問題:
網絡變慢,找不到原因; 網絡癱瘓,不知道如何處理;
雖然安裝殺毒軟件,但是因為不正當的使用,還是會導致計算機重新安裝; 使用內網管理系統是解決以上問題的解決辦法。如果說網絡管理員就象醫院的保安一樣,一個內網管理系統就是醫院網絡的監控攝像頭。光靠管理員出了問題進行補救和維護是無法完成巨大的管理維護工作的。內網管理系統可以24小時幫助管理員實施安全策略,及時更新病毒庫,出現問題及時進行維護。
讓管理員節省更多的時間進行業務系統維護學習,以及更好的進行網絡維護。根據統計數據,實施內網管理的醫院,網絡故障率減少80%。基于這個原因,衛生部才會要求三級醫院安裝內網管理軟件,配合進行網絡管理,作為提高醫院管理水平的標志之一。全國三級甲等醫院大部分都已經開始應用內網管理軟件。威盾(VIACONTROL)安全管理系統
威盾網絡安全管理(VIACONTROL)系統遵循網絡防護和端點防護并重理念,對網絡安全管理人員在網絡管理、客戶端管理過程中所面臨的種種問題提供解決方案,實現內部網絡客戶端的可控管理。具體功能如下: 模塊名稱
子功能
功能介紹
管理作用
基本策略
禁用控制面板
可以在開始菜單和我的電腦下隱藏控制面板選項
防止非管理人員隨意修改電腦設置,或添加刪除相關程序給公司網絡管理帶來麻煩。
設置屏幕屬性
可以禁止修改顯示背景和屏幕保護屬性等
有些游戲程序在啟動的時候會修改屏幕的屬性,對屏幕屬性的管理可以有效的控制員工在上班期間做一些與工作無關的事情。
打印機管理
可以禁止增加、刪除打印機
可以有效的控制打印機的使用,節約打印成本。
禁止計算機管理
可以禁止使用計算機管理里的各種系統管理功能
避免員工私意添加用戶、修改程序驅動、更改磁盤盤符及容量,給管理人員帶來不必要的麻煩。
禁止修改網絡屬性、禁止任何默認網絡共享
可以禁止修改網絡屬性
員工往往因為工作需要設置共享文件夾,然而,共享文件很容易被別有用心的員工或外來計算機竊取。避免網絡共享泄密和網絡病毒傳播。
禁用娛樂類
可以禁止使用聊天類、影音類、游戲類、FLASH類的ActiveX插件
防止上班其間聊QQ、MSN看在線電影、聽音樂等浪費公司的資源。
報警功能
可按某臺、某組或整個網絡設置硬件或軟件信息變化的報警規則
實現對違規網絡行為的及時發現,提高了網絡行規范管理的響應能力。
基本事件日志
可以詳細記錄客戶端PC開機、關機的時間,以及用戶登錄、登出時間。
讓IT管理者從多個角度來了解網絡內每臺計算機的全面的日志信息,為故障排除和網絡管理提供有力支持。
應用程序
應用程序日志
可以詳細記錄所有應用程序啟動/關閉和窗口/標題切換日志,可以按某臺、某組或整個網絡查詢,可以按時間、應用程序以及路徑/標題查詢日志
可以很容易、客觀的評估出員工使用程序的工作情況和效率,方便進行員工的網絡行為管理。
應用程序統計
可以按時間、計算機(組)/用戶(組)、應用程序明細查看并統計某個員工使用某個應用程序的時間,以及占全部工作時間的百分比
方便管理者對員工的網絡行為進行個性化統計和分析。
應用程序控制
可以按全天或指定的時間對指定的程序禁止。
對違規網絡行為在事前進行控制。
網絡流量
網絡流量統計
可以按時間、計算機(組)/用戶(組)、地址明細、端口明細、地址類別、端口類別查看并統計網絡流量大小情況
可以通多種方式查看網絡的流量,如:可以查看每一個用戶每一個端口的流量,從而可以分析出該員工做的那一類工作占的比重多。
網絡流量控制
可以限制客戶端的流量,可以指定網絡地址、端口范圍、流量方向來限制客戶端的流量
可以針對不同用戶或一個組內的用戶,進行安不同網段不同端口進行流量控制,可以有效管理非法BT或其它下載行為。
文檔操作控制
可以在指定的時間,禁止對指定文檔的操作。操作類型包含:創建、復制、移動、刪除、重命名、修改、恢復及訪問
可以防止非法從電腦硬盤等其它存儲設備中拷貝、刪除、移動、重命名、恢復等操作,可以有效的管理企業內部機密文檔。
打印控制
打印操作記錄
可以記錄和查詢員工打印文檔情況,包含打印時間、目標文檔路徑、打印頁數、打印機名稱、執行打印任務的PC機器名和登錄用戶名
可以安日期、文件名等靈活的查詢打印過的文檔記錄。
打印控制
可以在指定的時間禁止指定的打印機進行打印任務
可以控制那些用戶可以打印那些用戶不可以打印,從而節約打印成本。
屏幕快照
查看屏幕快照
可以看到網絡內員工正在操作計算機的最新畫面
方便管理者進行網絡行為的巡視,發現違規行為,及時糾正。
記錄屏幕歷史
可以按天查看網絡內員工操作過的歷史畫面、并連續播放歷史畫面
方便管理者進行網絡行為的事后追查,客觀的評估員工的網絡行為。
遠程維護
遠程信息查看
可以查看客戶端的基本信息,包含客戶端的計算機名、登錄的用戶名、操作系統、IP/MAC、開機時間、網絡共享、磁盤使用情況、計算機性能、共享的文件夾等
管理員可以很方便查詢任意一臺電腦的所有信息,從而了解每一臺電腦的現狀及工作情況。
遠程操作
可以遠程地對客戶端的進程、服務進行管理,包含結束繼承、關閉服務、啟動服務等,并可以遠程喚醒客戶端PC、清除客戶端系統
管理員可以通過控制臺來維護員工的電腦,包括軟件的安裝、修改、進程的管理等。
遠程控制
可以遠程登錄、注銷、重啟計算機,支持鍵盤輸入和登錄快捷鍵操作
方便IT管理者對網內計算機進行遠程維護,同時支持異地遠程維護,實現了跨區域分支機構的集中管理和控制。
遠程文件傳送
可以遠程打開指定客戶端文件夾,可以讓控制臺和客戶端相互傳送文件
公司如果有什么文件要下發的話,可以通過控制臺來進行單發或群發,從而節省了時間,提高了工作效率。
基本控制
可以在控制端針對網內任意計算機進行鎖定、關閉、重啟、注銷和發送即時通知信息
若發現網內計算機有非法操作,可以及時的采取行動,對非法行為進行及時控制,避免非法行為的繼續,挽回損失。方便管理者進行遠端電腦的強制性控制和系統維護管理,防止員工下班后或長時間離開辦公位置忘記關閉計算機。
設備控制
驅動類設備
可以按某臺、某組或者整個網絡禁止使用哪些存儲設備。包含:軟驅,光驅,刻錄機,磁帶機,可移動設備(U盤,移動硬盤,記憶棒,智能卡)
避免員工使用與工作不相關的計算機設備,錯誤修改網絡屬性,方便統一部署屏保程序或畫面。根據風險評估,制定事前預防策略,根據策略對相應的設備進行禁止,預防文件泄密。
通訊類設備
可以按某臺、某組或者整個網絡禁止使用哪些通訊設備。包含:串口,并口,USB 控制器和連接器(HUB),SCSI接口,1394控制器,紅外線,PCMICA卡,藍牙設備,MODEM
防止隨意通過無線、藍牙、紅外、拔號等方式上網,從而避免機密文件外泄。
USB類相關設備
可以按某臺、某組或者整個網絡禁止使用哪些USB設備。包含:USB 鍵盤,USB 鼠標,USB Modem,USB 映像設備,USB 設備。
可以對USB鍵盤、鼠標、modem、MP3、移動硬盤等分別進行控制,啟到防止文件外泄、病毒擴散等。
其它類
可以按某臺、某組或者整個網絡禁止使用哪些其他設備。包含:聲音設備,無線網卡,PnP網卡虛擬光驅
可以控制聲音設備、無線設備、虛擬設備等。
禁用任何新設備
可以按某臺、某組或者這個網絡禁止使用任何新設備
不允許增加沒有經過管理員認可的任何設備。
網絡控制
網絡端口控制
可以通過對通訊方向、IP地址范圍、網絡端口范圍的設置進行管理
有效的防止外來計算機侵入單位內部就局域網,可根據需要靈活的設置外來計算機跟網內計算機的通訊方向。
上傳下載控制
可以控制員工的上傳/下載行為
上傳下載是最消耗企業網絡資源的,對上傳下載進行合理的設置才能提高工作的效率。
IP MAC 綁定
可以將客戶端PC的IP地址與MAC地址進行綁定。
防止員工隨意修改IP地址,造成IP經常沖突,給管理人員造成很大的麻煩。
入侵檢測
可以發現網絡內是否有非法計算機接入,同時能夠阻止非法計算機接入
可以有效的防止非法的電腦入侵企業內部局域網,從而減少病毒的侵入和非法的機密文件。
即時通訊傳送文件控制
可以通過對傳送文件的名稱、文件大小來禁止員工用即時通訊工具傳遞文件。
可以對即時通訊工具傳送的文件進行控制和記錄,達到安全管理。
資產管理
資產管理
可以自定義查看硬件或軟件的資產分布情況、按組、計算機來查看某個硬件和軟件分布在哪些計算機,并統計數量。
管理者可以方便的進行員工的電腦的辦軟硬件信息進行監控,為故障排除提供依據,為軟硬件的安全管理提供支持。
補丁管理
可以查看客戶端系統補丁情況,服務器自動下載補丁,并自動下發到客戶端靜默安裝。
可以分析企業內部所有電腦的系統配置,下載相應的補丁進行補丁智能分發,提高了管理員的工作效率,降底了公司的網絡資源。
漏洞檢查
可以查看客戶端的系統漏洞信息、并可以根據建議手工解決漏洞問題
可以掃描企業內部網絡那些電腦存在安全漏洞,然后可以智能的安裝相應的補丁,減化了網絡管理人員的工作。
軟件分發
可以向客戶端自動分發和安裝軟件,或者將指定的文件或者應用程序復制到客戶端指定的位置。
實現程序的自動化部署,比如:補丁程序、應用程序,大大提高程序部署的效率,讓IT管理者不再為大量的機械性、重復性
三: 模塊及產品報價
根據目前蘇州中西醫結合醫院的規模和應用需求,目前有內外網分離和全局網絡兩種方案可供選擇,具體模塊產品型號如下: 1內外網分離
編號
模塊名稱
功能
選擇
V01
基本策略(必選)
防止用戶隨意更改計算機設置
(V02
應用程序
對用戶的應用程序進程進行監控并管理
(V09
設備控制
控制計算機能使用的設備,比如U盤,光驅,軟驅等等。
(V13
資產管理
查看補丁情況,自動下補丁。自動記錄軟件,硬件情況,進行漏洞檢查,以及自動軟件分發
(產品報價明細 項目
模塊選擇
模塊 單價
總價
其他費用
內網安全管理威盾Viacontrol
V01 基本策略 V02 應用程序 V09 設備控制 V13 資產管理
標準價格60元/模塊
按照50點計算: 50*4*60 = 12,000元
免費提供1年升級服務 包含安裝、實施費用全局網絡 編號
模塊名稱
功能
選擇
V01
基本策略(必選)
防止用戶隨意更改計算機設置
(V02
應用程序
對用戶的應用程序進程進行監控并管理
(V03
瀏覽網站
瀏覽網站記錄:詳細的紀錄出員工每天的上網情況。
(V04 網絡流量
網絡流量統計:統計出每臺或者每個部門的電腦占用的網絡流量情況,并對網絡流量按照端口和地址進行了明細和類別的分類。
(V09 設備控制
控制計算機能使用的設備,比如U盤,光驅,軟驅等等。
(V13
資產管理
查看補丁情況,自動下補丁。自動記錄軟件,硬件情況,進行漏洞檢查,以及自動軟件分發
(產品報價明細 項目
參數
單價
總價
其他費用
內網安全管理 威盾Viacontrol
V01 基本策略 V02 應用程序 V03 瀏覽網站 V04 網絡流量 V09 設備控制 V13 資產管理
標準價格60元/模塊
按照100點計算: 100*6*60 = 36,000元
免費提供1年升級服務 包含安裝、實施費用
第二篇:內網安全管理系統軟件技術要求
附件二
內網安全管理系統軟件招標技術要求
一、產品總體要求
1、公司的資質:公司成立10年以上,具有自主研發能力,有成熟穩定的研發隊伍的軟件行業企業。
2、產品資質要求:必須是自主研發,穩定銷售8年以上;擁有自主知識產權,通過公安部檢測,獲得公安部銷售許可證,至少擁有以下資質證明: 公安部《計算機信息系統安全專用產品銷售許可證》; 國家版權局頒發的《計算機軟件著作權登記證書》; 國家版權局頒發的《計算機軟件產品登記證書》;ISO9000質量管理體系認證。
3、產品實施簡單,可操作性強,實施后必須保證網絡穩定暢通,系統正常運行,不影響正常開展工作。
4、*至少有五家500點客戶的安裝實施經驗。
5、有豐富的行業客戶服務經驗,能提供后續技術支持和維護更新等服務。
二、技術規范要求
2.1 系統要求
▲客戶端操作系統支持包括:Windows98/Me/NT/2000/XP/2003/Vista/Win7/2008,必須同時支持32位及64位系統。
▲所有監控功能都能按計算機和用戶兩種模式實現。
▲必須支持瘦客戶機、終端服務器、無盤工作站等的使用模式。
*監控系統的部署必須支持多種安裝方式,包括web安裝、域腳本安裝、遠程安裝以及域組策略安裝等。
*必須提供分布式服務器管理功能,并且需要支持跨區域部署管理。*必須隱藏客戶端進程。
*支持與AD域的結合,可與域組織架構實時同步。管理端必須支持C/S架構登錄。
客戶端在離線情況下,控制及日志記錄功能依然生效。
附件二
2.2 功能要求
2.2.1 基本功能
能獲取計算機的基本信息,包括計算機名稱,網絡地址,操作系統,登錄用戶,當前狀態等信息,以及計算機多用戶登錄信息的查看。
▲支持增加管理員賬戶并對賬戶權限可實現細化,如管理范圍、功能權限。同時可對非系統管理員的賬戶可禁用、刪除以及修改密碼,方便權限回收。
*必須具備管理員以及審計員賬戶,且相互獨立,并且能夠提供記錄管理員操作的審計平臺,包括管理員登陸系統,查看日志,對內網計算機的控制等等。
*支持對各終端所設置策略的總覽以及對策略的應用查詢方便管理員掌握終端的策略情況,同時具有對策略的導入導出功能及復制功能。*支持郵件報警功能,可以將違規行為詳細記錄為日志形式并通過郵件發送至指定郵箱。*支持設定自動關機功能,提供在指定時間關機、注銷及重啟的功能
支持按工作時間段進行策略設置,靈活管理。
支持遠程對計算機進行鍵盤鼠標操作鎖定、關閉、重啟、注銷和發送通知信息等。支持對3g上網卡撥號的日志記錄。
2.2.2 基本控制功能(包括基本模塊及設備管控模塊)
能控制計算機對本機系統設置的操作權限,包括以下多項屬性,并且各項可以單獨控制: *IP/MAC綁定:修改網絡IP/MAC配置
控制面板:控制面板、設置屏幕屬性、添加打印機、刪除打印機、快速切換用戶。計算機管理:設備管理器、使用磁盤管理、本地用戶和組、系統服務管理、其它計算機管理。
系統:任務管理器、注冊表編輯器、命令提示符、運行注冊表中Run下的程序、運行注冊表中Run Once下的程序
網絡:修改網絡屬性、顯示網上鄰居、修改Internet選項、默認網絡共享、使用網絡共享、增加網絡共享
其它:使用print screen鍵復制屏幕、系統還原、Windows自動更新
▲可以控制內網計算機對常用設備的使用權限,支持對刻錄機可讀不可寫的控制
存儲設備包括:軟驅,光驅,刻錄機,磁帶機,可移動設備(U盤,移動硬盤,記憶棒,智能卡,MO,Zip)、便攜設備(智能手機)等;支持對上面各項的單獨控制。
通訊設備包括:串口、并口、USB 控制器和連接器(HUB)、SCSI接口、1394控制器紅外線、PCMICA卡、藍牙設備、MODEM、直接電纜連接、拔號連接等;支持對上面各項的單獨控制。
網絡接入設備:包括無線網卡,pnp網卡,虛擬網卡等;并且可以對它們單獨控制。其它:聲音設備,虛擬光驅,任何新設備等的使用。
▲支持USB設備的細分控制,即以下每項可單獨控制,支持3G上網卡的控制。USB設備:USB 鍵盤、USB 鼠標、USB Modem(3G上網卡)、USB 映像設備、USB CDROM、USB 存儲、USB 硬盤、USB 網卡、USB其他USB設備;支持對上面各項的單
附件二
獨控制。
*支持禁止增加非系統硬盤。
*支持對Iphone等便攜式設備的控制 *支持對任何其他外設的控制
*支持對無線網絡的連接控制,限制禁止連接的無線網絡。
對計算機的硬件變化,設備的插入拔出,存儲設備變化,通訊設備變化,軟件變化,系統服務變化,啟動項變化,系統時鐘變化,計算機名稱變化,網絡配置變化等能提供報警信息并作為日志記錄。
2.2.3 移動存儲控制
支持對內網計算機控制其對指定移動存儲設備的讀寫權限。支持自動收集客戶端上使用過的移動存儲信息,并可以自定義添加備注信息。同時支持移動存儲分類庫,允許對移動存儲進行自定義分類,按類庫進行管理。支持可按照對移動存儲的描述進行控制。
支持所有通過USB接口方式連接計算機的存儲設備。
支持在指定計算機上使用制定移動存儲設備時,自動對復制/移動的文件進行加解密控制,加密后的文檔只允許在具有自動解密權限的客戶端計算機處才能打開,否則打開為亂碼。
支持將指定移動存儲格式化成加密盤,只能在內部裝了客戶端的計算機處正常使用,非客戶端計算機無法使用。
能夠記錄內網計算機使用移動存儲設備的情況;包括操作時間,操作類型(插入/拔出),計算機、用戶、移動存儲類型等。
2.2.4應用程序管控
支持通過禁止應用程序分類或禁止應用程序名稱、應用程序窗口標題的形式來禁止計算機使用非法程序。
針對應用程序更改名稱或路徑的情況,所做的控制必須依然生效。能自動收集客戶端計算機運行過的應用程序,并支持分類管理。
支持記錄所有應用程序的啟動/關閉、窗口的切換標題動作;并可以按時間范圍,計算機范圍,應用程序名稱,應用程序路徑、窗口標題這幾種查詢條件查詢。
支持通過自定義的時間范圍,對單個工作人員,部門,或整個網絡的計算機的應用程序使用情況進行統計;
統計結果必須有列表和圖表兩種顯示方式;
統計方式必須包括是:按應用程序類別統計、按應用程序名稱統計、分項統計(統計各組計算機的應用程序使用),按明細統計等。
2.2.5遠程維護
支持遠程查看網絡內的客戶端計算機當前運行的應用程序,進程,性能,設備管理,系統服務,磁盤管理,共享文件夾,計劃任務,用戶和組等。同時支持對應用程序,進程,附件二
設備管理,系統服務,共享文件夾,計劃任務的控制。支持對客戶端的遠程控制。
支持遠程文檔傳輸,提供客戶端與控制臺相互傳送文件的功能。必須支持經過客戶端允許或密碼設定才能遠程控制。支持遠程卸載客戶端計算機上軟件功能
2.2.6屏幕監控
▲屏幕歷史記錄的數據量:平均一幀數據量少于▲支持對指定應用程序運行過程的屏幕記錄。▲支持對應用程序的變頻記錄。
25K 支持通過控制臺實時查看員工當前工作的計算機桌面,并可將當前屏幕保存為圖像,支持對終端用戶登錄的屏幕分屏查看。支持同時對多屏進行監視。支持擴展顯示器的監視。
能記錄計算機當天的屏幕歷史畫面,并可以按指定的計算機查看指定日期范圍內的屏幕歷史記錄,以播放器的方式播放某一天的屏幕歷史,并可將當前播放的屏幕歷史另存為視頻文件。
2.2.7資產管理
支持對客戶端計算機的硬件和軟件資產信息的統計,并支持按分組或計算機統計硬件和軟件的分布情況,同時支持設置自定義查詢條件。
支持自定義添加企業內的非軟硬件資產信息,并支持設置自定義查詢條件。
支持實時查看客戶端計算機補丁情況,并允許對補丁進行修補,同時不需要另外搭建wsus服務器。
支持自動掃描計算機的系統漏洞并提供解決漏洞問題的建議。支持通過控制臺集中向客戶端自動分發安裝程序并自動安裝,或分發各種文件到指定的目錄下,以及分發其它執行程序到目標計算機的功能。支持對硬件資產添加自定義信息描述。
三、可靠性要求
數據庫的存儲能力及維護,為節省數據庫維護成本以及防止因部分數據庫損壞而影響所有數據,需要對日志數據采用按天存儲的功能。每天產生獨立的數據庫,數據庫出錯無法修復也只影響受損數據庫所保存的當天數據。
當操作系統處于正常模式和安全模式下都能正常監控。
要求監控系統有一定的自我保護能力,不會輕易遭到破壞,并且不能自行卸載,必須通過授權才能卸載。
每個服務器支持超過3000個終端在線管理。
系統進行局域網發現時節點占用帶寬不超過20Kbps。
附件二
系統進行文件分發、文件傳送等操作時占用帶寬不超過200Kbps。系統在局域網環境內進行一遍節點輪詢占用帶寬數不超過20Kbps。附注:三年免費質保,三年免費服務。產品支持570個工作站。
第三篇:內網邊界管理系統
網絡邊界安全
一、網絡邊界背景
早期的網絡只是為了使分布在不同區域的人們資源共享和通信而建立的。網絡發展到今天,全世界的計算機聯成了網絡。而網絡安全也隨之而來。信息泄密、外來攻擊、病毒木馬等等,越來越多的網絡安全問題讓網絡管理者難以應對,而如將內網與外網完全隔開,就會形成信息的“孤島”,業務無法互通,資源又重復建設,并且隨著信息化的深入,在各種網絡上信息共享需求也日益強烈。
二、網絡邊界防護手段
不同安全級別的網絡相連,就產生了網絡邊界。一般來說,防止來自網絡外界的入侵,就需要在網絡邊界上建立可靠的安全防御措施。
從防火墻技術的到多重安全網關技術,再到不同時連接兩個網絡的網閘技術,都是采用的關卡方式,“檢查”的技術各有不同,但對黑客的最新攻擊技術都不太好用,也沒有監控的手段,對付“人”的攻擊行為來說,只有人才是最好的對手。
三、現有邊界防護技術的缺陷
面對各種各樣包含新技術的攻擊手段,現有的防護產品以及其附帶的防護技術是否能實現預定功能。現有的安全管理員還不能對這些防護產品性能足夠了解,就談不上正確使用,把產品功能發揮出來。
再說網絡邊界防護是一個長期需要大投入的工程,一般的主管安全的領導及安全管理員根本不清楚遭受攻擊的一些細節,安全管理員根本不知道該怎么防,往哪里防。
購買最新的安全防護產品,或是花大量的時間、資金培養幾個資深的安全管理員,且不說兩者能不能配合,能不能防住,使邊界安全防護達到預期的目標,單單投入方面也不是現有的企業目前所能夠承受的。
根據我國現階段現狀,政府和企業不可能在網絡安全方面大量投入,而有限的資金又不能投入到最需要的地方去,造成大量的資金浪費。該防的沒建設,目前不用防的反而建設了。
對于公開的攻擊,只有防護一條路,比如對付DDOS的攻擊;但對于入侵的行為,其關鍵是對入侵的識別,識別出來后阻斷它是容易的,但怎樣區分正常的業務申請與入侵者的行為是邊界防護的重點與難點。
四、符合中國特色的邊界管理
面對上述種種問題,現有邊界防護技術和產品遠遠不能滿足我國機構和企業的需要。那么我們必須轉變思想,找出路!
既然我們現階段有資金,人員及技術各方面的限制,不可能把網絡邊界打造成“鋼墻鐵壁”。沒錢修“城墻”,守衛又不合格,那么只能多裝攝像頭,對所有的邊界監控起來,達到不留“死角”的程度。一旦發現有攻擊、入侵行為馬上報警,馬上處置,然后針對被攻擊或入侵的薄弱地點,修一段“城墻”,重點防御。較低的投入,把現階段安全問題管起來,最后達到一個可控可管,齊抓共管的局面。
網絡邊界安全問題主要可以分為兩個方面,一個是由于外網接入到內網中,從而帶來的網絡安全問題,另一個是內網內部產生的網絡安全問題。對于外網的接入,一般網絡上都增加了防火墻、VPN路由器等來保證網絡的安全,對于在內網出現的問題就沒有設備來保證網絡的安全問題了。浙江遠望電子有限公司的內網邊界檢查系統出現就解決這個問題,從內部網絡開始檢查,查找相關的問題,找到問題的源頭,進行預警,預警提示后在進行技術或人工手段來阻斷相關的問題。遠望內網邊界檢查系統也可以對外網的接入進行監測,通過預警把相應的情況報告給管理員,由管理員進行手動直接斷開外來接入或通過網絡上技術的手段進行網絡斷開。并且遠望內網邊界檢查系統可以實現多級級聯,逐級對網絡進行安全管理。
五、遠望內網邊界檢查管理系統
遠望內網邊界檢查管理系統,通過對內網邊界安全監測和管理,防止外來計算機、網絡等通過非法手段接入內網,防止因內網邊界問題而導致信息泄密,病毒木馬入侵,帶寬資源因沒有注冊的設備增加而被嚴重胡亂占用。通過違規外聯和線路邊界的發現和監測技術,配置網絡邊界發現策略,全面發現網內的設備邊界和線路邊界的異常情況,實現對違規行為的阻斷,確保內網的安全。
通過技術手段對網內的設備邊界和線路邊界的異常情況進行實時掃描、自動檢測,及時發現線路邊界問題,把相關信息反映到管理員控制頁面上。同時在規定時間內對通過非法接入內網等邊界問題進行阻斷。
平臺通過邊界注冊建立合法邊界白名單,并依靠技術手段自動實現網絡邊界的檢查,及時發現存在的非法網絡邊界,并對違規事件進行取證,方便查找相關責任人以及后續處理。同時支持對違規外聯和非法網絡邊界點的自動預警,將發現的邊界違規情況在安全管理平臺上產生預警和通報,第一時間責令相關人員進行整改。
第四篇:內網安全管理系統7.0產品白皮書
產品白皮書
內網安全管理系統V7.0
產品白皮書
第1頁
產品白皮書
目錄
1.產品簡介.......................................................................................................................................................1 2.產品構架.......................................................................................................................................................1 3.產品功能.......................................................................................................................................................2 4.產品特點.......................................................................................................................................................2 5.產品性能.......................................................................................................................................................3 6.產品部署.......................................................................................................................................................4
第2頁
1.產品簡介
內網安全管理系統是用于政府和企業終端安全管理系統。系統通過對計算機準入控制、計算機安全加固、計算機運行維護、計算機安全審計、移動存儲介質注冊等多個方面的綜合管理,為政府和企業用戶打造一個安全、可信、規范、健康的內網環境。內網安全管理系統可為用戶解決如下一系列的內網安全管理問題:
? 確保入網終端符合要求 ? 全面監測終端健康狀況 ? 保證終端信息安全可控 ? 動態監測內網安全態勢 ? 快速定位解決終端故障 ? 規范企業員工網絡行為 ? 統一內網用戶身份管理 ? 杜絕移動存儲介質濫用 ? 提高和實現軟件正版化
2.產品構架
內網安全管理系統在架構設計上采用了三層管理結構:終端監控引擎、總控中心、管理控制臺。
終端監控引擎以服務的形式運行于終端計算機上,是終端計算機管理的核心和基礎部件,用于對被管理終端計算機的安全加固、運行維護和監測審計等管理職能。終端監控引擎的設計充分考慮了穩定性、安全性和兼容性要求。終端監控引擎可防止惡意停止,并全面兼容防病毒軟件、防火墻軟件、設計開發軟件、業務軟件、辦公軟件。
總控中心用于計算機的集中管理,為終端監控引擎和管理控制臺提供一系列的管理服務。由策略管理服務、審計管理服務、Radius認證服務、文件備份服務、補丁與軟件分發服務、時間同步服務、網絡管理服務、分級管理服務、事件訂閱服務、健康狀態監測服務等組成。視內網規模和性能要求,這些服務可分別部署在不同的硬件平臺上,也可部署在同一個硬件平臺上。
管理控制臺是系統管理人員提供系統管理入口。采用了B/S方式進行系統管理,通過管理控制臺可以完成系統管理的全部操作。三層管理結構大大提高了系統設計開發、安裝部署和運行維護的靈活性、便利性和擴展性。
圖1 LanSecS?內網安全管理系統架構
3.產品功能
安全審計:提供內網主機安全事件的審計功能,包括文件操作、文檔打印、共享訪問、服務與進程活動、系統日志、系統賬戶監控等。提供終端計算機用戶行為的監控與審計,包括信息泄密、資源濫用、即時通訊、郵件收發和網站訪問等。
安全服務:通過預警平臺、遠程協助、軟件及文件分發等功能實現遠程桌面維護以及安全動態、桌面通知、信息發布。
安全加固:提供強大的補丁自動分發機制、病毒庫自動下載機制、本地文件安全存儲以及移動存儲介質的認證與注冊管理等功能,保證終端運行環境的安全可控,保障內網運行的可靠性。另外,還提供主機安全策略和IE安全策略的統一設置,加強主機的安全性。
資產管理:提供對內網資產和資源的集中管理能力,包括計算機、交換機、操作系統、軟件、硬件,并對資產和資源的變更進行監控和預警。
準入控制:采用可信接入技術,對于接入內網的計算機進行嚴格的身份認證和健康檢查,保證內網業務數據和系統環境的安全。
4.產品特點
完善的分級管理架構,“分散不分立”:通過分級管理,系統可實現跨地域分散部署和集中管理。“分散不分立”,形成有效的和有機的內網安全管理架構。
靈活的分權管理機制,“集中不集權”:系統提供了基于安全角色的授權管理機制,根據功能模塊或行政機構的劃分自定義安全角色,一種安全角色只能執行其所轄部門范圍內的相應安全代理的安全策略和審計事件的管理。“集中不集權”,保證了管理的安全性。
多層次的安全措施,保證系統運行的安全可靠:系統從數據庫、網絡通訊、策略分發與存儲等多個層面加強了安全保護,確保系統運行的安全可靠。
全方位的安全審計功能,有效地防止信息泄密:系統提供對所有輸入/輸出設備、文件系統、進程、服務、注冊表、網絡應用、用戶身份、操作系統安全策略等進行綜合的監控和審計,全方位的監控操作系統的運行狀態以及用戶的操作行為,實現涉密信息的全程審計與跟蹤。
完善的基于數字證書的身份認證機制:系統內嵌身份認證服務,實現了與數字證書的完美結合,管理控制臺、監控代理、總控中心以及所有系統管理用戶和計算機終端用戶均通過數字證書進行身份認證。
豐富、多樣的統計報表功能:系統提供列表和統計圖的報表輸出,報表的輸出支持HTML、EXCEL、PDF、RTF等四種格式。同時提供手動報表、自動報表等兩種運行模式。
高度模塊化設計,需求響應迅速:系統管理控制臺、安全代理和總控中心均采用模塊化設計,并提供用戶設計、開發接口和示例,用戶可以根據企業的安全需求定制采購,同時也可以根據需求的變化,在運行時動態改變其工作狀態,提高系統的運行效率。
所有組件支持自動升級,系統維護方便、快捷:系統的主機代理及其功能模塊均支持基于版本號的網絡自動下載更新,只需要在總控中心一次部署即可以完成全網的自動升級。系統的維護和升級非常方便。
客戶端監控代理安裝部署方式靈活、多樣: 內網安全管理系統客戶端監控代理同時支持域模式安裝、本地安裝、網絡分發安裝以及WEB安裝等多種安裝部署方式,用戶可以根據實際網絡環境自由選擇。
5.產品性能
內網安全管理系統主要性能指標如下:
? 總控中心最大并發連接數:3000;
? 總控中心最大可管理注冊主機數量:20000臺; ? 總控中心網絡帶寬占用:100K/1000客戶端; ? 終端監控引擎CPU占用(靜態模式):< 1%;
? 終端監控引擎內存占用(靜態模式):8M。
6.產品部署
內網安全管理系統支持本地部署和分級部署,分級部署示意圖如下:
圖 2分級部署示意圖
第五篇:北信源VRVEDP內網安全管理系統手冊
特 別 聲 明
? 本使用手冊由《北信源內網安全及補丁分發管理系統》產品安裝配置指導手冊、用戶手冊、產品維護手冊三部分組成,其內容將隨著北信源軟件的不斷升級而改變(以光盤中電子版發行時為最新版),恕不另行通知。需要者請從北信源公司網站下載本手冊的最新電子版或者直接聯系北信源公司索取。
? 《北信源內網安全及補丁分發管理系統》產品由《北信源內網安全管理系統》及《補丁分發管理系統》兩大套件構成。? 本使用手冊為《北信源內網安全及補丁分發管理系統》通用說明書。若您獨立購買《北信源內網安全管理系統》或《北信源補丁分發管理系統》之一產品,本說明書的其它功能將不具備。? 兩大套件主要區別:《北信源補丁分發管理系統》不具備違規聯網監控、客戶端安全管理和桌面管理功能;《北信源內網安全管理系統》不具備補丁自動分發功能。請您在使用過程中選擇性閱讀相應章節。
? 感謝您購買北京北信源自動化技術有限公司研制開發的內網安全管理及補丁自動分發系列軟件。請在使用本軟件之前認真閱讀本使用手冊,當您開始使用該軟件時,北信源公司認為您已經閱讀了本使用手冊。
快速閱讀指南
1.詳細閱讀本軟件組件功能、組成、作用、應用構架,確切了解本軟件的系統應用。2.安裝準備軟件環境:Microsoft SQL Server2000、Windows 2000 Server、Internet 服務管理器;建議將數據庫管理系統、區域管理器、WEB管理平臺安裝在同一服務器上,確認區域管理器所在機器的88端口不被占用(即非主域控制器);防火墻應允許打開88,2388,2399,22105,8900,8901,22106,22108,8889端口。3.按步驟安裝各組件后,通過http://*.*.*.*/vrveis登錄Web管理平臺,首先對Web管理平臺進行如下配置:添加區域→劃分該區域IP范圍→指定區域管理器→指定區域掃描器。4.5.雙擊屏幕右下角區域管理器、單擊主機保護進行通訊參數配置。在VRVVRVEISdownload目錄中,使用RegTools.exe工具修改DeviceRegist.exe文件中的本地區域管理器IP,將修改后的注冊程序DeviceRegist.exe放在機構網站上進行靜態網頁注冊,或者在機構網站上加載動態網頁檢測注冊腳本語句,進行動態設備注冊。6.系統升級:聯系北信源公司獲取最新的軟件組件升級包,確保Web管理平臺、區域管理器、客戶端注冊程序等組件的升級。
特別提示:默認管理員用戶:admin,密碼:123456;系統指定審計用戶名:audit,密碼:123456請注意修改。
第一章.系統介紹........................................................................................................5 1-1 產品組成............................................................................................................5 1-2 應用構架............................................................................................................7 第二章.系統安裝........................................................................................................8 2-1 安裝環境............................................................................................................8 2-2 安裝注意事項....................................................................................................9 2-2-1 軟件安裝監控服務器部署注意事項.........................................................9 2-2-2 軟件安裝和應用過程中注意事項...........................................................10 2-3 系統組件安裝..................................................................................................11 2-3-1 安裝SQL server數據庫.........................................................................11 2-3-2 安裝WinPcap驅動模塊...........................................................................11 2-3-3 安裝遠程技術支持模塊............................................................................11 2-3-4 初始化數據庫...........................................................................................11 2-3-5 安裝Web中央管理平臺...........................................................................14 2-3-6 安裝區域管理器Region Manage............................................................15 2-3-7 配置設備掃描器模塊Region scan........................................................16 2-3-8 安裝補丁下載服務器模塊.......................................................................17 2-3-9 安裝管理器主機保護模塊.......................................................................18 2-3-10 安裝報警中心模塊.................................................................................18 2-3-11 客戶端注冊及下載.................................................................................18 第三章 系統應用........................................................................................................27 3-1配置與管理.......................................................................................................27 3-1-1 區域劃分...................................................................................................27 3-1-2 區域管理器配置.......................................................................................30 3-1-3 掃描器配置...............................................................................................35 3-1-4 注冊程序配置...........................................................................................38 3-1-5 注冊部門配置與管理...............................................................................41 3-1-6 自定義組分配與管理...............................................................................44 3-1-7 IP與MAC綁定列表..................................................................................45 3-2策略中心............................................................................................................46 3-2-1 阻斷違規接入管理...................................................................................46 3-2-2 策略管理中心...........................................................................................47 3-3數據查詢............................................................................................................84 3-3-1設備信息查詢.............................................................................................87 3-3-1-2注冊設備資產查詢..................................................................................88 3-3-1-3硬件變化設備查詢..................................................................................91 3-3-1-4設備安裝軟件查詢..................................................................................88 3-3-1-5設備首次運行進程查詢..........................................................................89 3-3-1-6共享目錄查詢..........................................................................................90 3-3-1-7設備IP占用狀況列表............................................................................91 3-3-7移動設備審計查詢.....................................................................................92 3-3-7安全策略違規查詢.....................................................................................94 3-3-8涉密檢查查詢.............................................................................................95 3-3-9消息確認查詢.............................................................................................96 3-3-11軟件分發查詢...........................................................................................97 3-3-12軟件分發統計...........................................................................................97 3-4終端控制...........................................................................................................98 3-4-1終端管理:................................................................錯誤!未定義書簽。3-4-2行為控制....................................................................錯誤!未定義書簽。3-4-3 VPro 遠程管理.........................................................錯誤!未定義書簽。3-4-4遠程協助....................................................................錯誤!未定義書簽。3-5補丁分發...........................................................................錯誤!未定義書簽。3-6運維信息...........................................................................................................98 3-6-1客戶端流量排名......................................................................................116 3-6-2客戶端流量統計......................................................................................117 3-6-3運維狀態異常..........................................................................................117 3-6-4網絡拓撲發現............................................................錯誤!未定義書簽。3-7報警事件.........................................................................................................119 3-7-1報警數據查詢..........................................................................................119 3-7-2圖形化報警..............................................................................................123 3-7-3本地報警數據匯總..................................................................................123 3-8級聯總控.........................................................................................................127 3-9統計報表.........................................................................................................133 3-10系統維護.......................................................................................................135 第四章 補丁分發管理..............................................................................................142 4-1 區域管理器補丁管理設置............................................................................142 4-2 補丁自動下載分發........................................................................................143 4-3 客戶端補丁檢測
(一)................................................................................148 4-4 客戶端補丁檢測
(二)................................................................................150 4-5.本地補丁分發綜合查詢..............................................................................150 4-6 補丁級聯下載................................................................................................151 第五章 客戶端阻斷..................................................................................................153 5-1 掃描器組件配置............................................................................................153 5-2 阻斷策略應用................................................................................................153 5-2-1 違規自動阻斷策略.................................................................................154 5-2-2 手動設置針對設備的單獨阻斷策略.....................................................154 5-2-3 硬件防火墻聯動阻斷策略.....................................................................155 第六章 網絡接入認證管理......................................................................................157 6-1 策略中心->接入認證策略->補丁與殺毒軟件認證.........................................157 6-
2、策略中心->接入認證策略->進程服務注冊表認證.......................................159 6-
3、策略中心->接入認證策略->802.1X接入認證認證......................................163 6-4、環境準備方法................................................................................................164 RADIUS安裝與配置............................................................................................164 安裝RADIUS........................................................................................................164 6-
5、各廠商交換機配置..........................................................................................177 1.Cisco2950配置方法...................................................................................177 2.華為3COM 3628配置...............................................................................178 3.銳捷RGS21配置.........................................................................................182 第七章 系統備份及系統升級..................................................................................183 7-1 系統數據庫數據備份及還原........................................................................183 7-2 系統組件升級................................................................................................184 7-2-1 區域管理器、掃描器模塊升級.............................................................184 7-2-2 升級網頁管理平臺.................................................................................184 7-2-3 客戶端注冊程序升級.............................................................................184 7-2-4 檢查系統是否升級成功.........................................................................185 7-3 級聯管理模式升級及配置............................................................................185 第八章 售后服務......................................................................................................187 第九章 附錄..............................................................................................................189 附錄
(一)微軟SQLSERVER系統安裝步驟...........................................................189 附錄
(二)北信源內網管理系統名詞注釋........................................................195 附錄
(三)移動存儲設備認證工具操作說明....................................................196 附錄
(四)主機保護工具操作說明....................................................................214 附錄
(六)組態報表管理系統操作說明............................................................221 附錄
(七)信息安全通告平臺............................................................................230 第一章.系統介紹
1-1 產品組成
北信源內網安全及補丁分發管理系統由8部分組成:WinPcap程序、SQL Server管理信息庫(安裝包:環境初始化程序)、Web中央管理配置平臺(安裝包:網頁管理平臺)、區域管理器(安裝包:Region Manage,原區域掃描器已作為模塊集成到區域管理器)、客戶端注冊程序(安裝包:注冊程序)、補丁下載服務器、管理器主機保護模塊、報警中心模塊。
環境初始化程序:SQL Server管理信息庫,建立北信源內網安全及補丁分發管理系統的初始化數據庫。包括:網絡客戶端設備屬性信息、區域管理器信息、設備掃描器信息、區域管理范圍信息、注冊(未注冊)機器信息、設備屬性變化信息、報警信息等。掃描器將設備最新狀態信息同數據庫中原有信息進行遍歷搜索對比,根據規則要求在管理平臺上報警。
Web管理平臺:Web中央管理配置平臺,本系統的管理配置中心。包括區域管理器、掃描器、注冊客戶端的功能參數設定,網絡設備信息發現、系統應用策略制訂、報警信息顯示、定義任務功能制訂、系統用戶維護等配置操作。
Region Manage:區域管理器,系統數據處理中心。與管理信息數據庫通訊,接收注冊程序提供的用戶信息,將用戶信息(用戶填寫的物理信息和系統自動采集的硬件信息)并行存入數據庫;接受來自控制臺的命令操作,發送到客戶端、掃描器執行。
對于存在多級管理要求的廣域網,網絡中可以存在多個區域管理器,系統數據提供逐級上報(轉發)模式。
區域管理器內置網絡掃描器,掃描器將設備最新狀態信息報送至區域管理器,由區域管理器處理后,同數據庫中原有信息進行遍歷搜索對比,根據管理規則在管理平臺上報警。
掃描器配合區域管理器進行工作,可以在分級模式下使用。掃描器只依據Web管理平臺中配置的工作范圍進行掃描,超越其范圍,將不負責執行操作。
WinPcap程序:嗅探驅動軟件,監聽共享網絡上傳送的數據。
客戶端注冊程序:用戶訪問指定網站自動獲得,用戶填寫本機信息,填寫必要信息后上報區域管理器。注冊程序自動探測系統硬件信息,連同用戶填寫的信息一同上報區域管理器。用戶將本機注冊信息發送到區域管理器后,區域管理器自動將客戶端駐留程序應用策略發送給用戶,并自動更新。
客戶端駐留程序功能:
1.進行本機硬件屬性信息變化監視; 2.進行本機IP、MAC地址變化審計;
3.本機系統補丁、軟件安裝、運行進程狀況監測;
4.探測本機是否有違規聯網行為,在內網管理中心或外網報警平臺報警; 5.接受Web管理平臺的管理命令; 6.阻斷本機非法外聯行為;
7.執行Web管理平臺下發的各種策略操作。補丁下載服務器:安裝在與Internet網絡連接的機器上,用于實時下載補丁廠商發布的補丁。
管理器主機保護模塊:管理器主機保護模塊可根據管理器或其他服務器具體使用的端口、網絡協議、通信IP范圍和具體的其他網絡應用來定義該計算機使用的安全級較高的網絡配置,從而防止該計算機受到惡意的IP沖突以及各種網絡、病毒攻擊。
報警中心模塊:安裝在可與區域管理器所在服務器正常通訊的計算機上,本模塊可以根據管理員在系統中所配置的報警事件和危險級別提供給管理員包括電子郵件、信使服務、SNMP Trap、手機短信等多種報警方式。
注:區域管理器(Region Manage)、區域掃描器模塊(Region scan)、注冊程序部分系統的參數配置集中體現在網頁管理平臺操作上,上述三部分功能參數、功能項數值統一在網頁管理平臺中進行配置。區域管理器(Region Manage)、掃描器模塊(Region scan)部分參數在自身軟件組件中配置。
1-2 應用構架
北信源內網安全及補丁分發管理系統應用于局域網、廣域網構架,支持跨網段、跨地域的內網遠程客戶端管理及非法移動設備接入檢測、網內計算機違規聯網監視、網絡安全隔離度監控等。
系統應用主要分為以下兩種構架:
基本構架:對于一般網絡(例如1個C類地址或若干個C類地址的局域網范圍),可使用一套本系統軟件,集中管理所屬區域內的所有設備。
擴展構架:對于大規模的多個局域網或者跨地域廣域網(包括基于國家、省、市、縣等多級管理模式的網絡結構),可使用本系統提供的多區域集中管理構架,即一個或多個網段各擁有一套獨立北信源內網安全及補丁分發管理系統的同時,將本級所有設備信息再轉發給上級管理數據庫,使得上一級管理人員對整個網絡的設備狀況也能夠完全掌握。
圖1-1北信源內網安全及補丁分發管理系統應用拓撲
第二章.系統安裝
2-1 安裝環境
條件一:硬件環境
SQL Server數據庫服務器:用于安裝系統管理信息數據庫。PC服務器或更高檔服務器,PentiumⅣ 2.4C 以上CPU,512M以上內存。
區域管理器:用于安裝區域管理器程序。百兆或千兆網卡,PC服務器或更高檔服務器,PentiumⅣ 2.4C 以上CPU,512M以上內存。
掃描器模塊:配置同區域管理器。如單獨安裝掃描器模塊,比較高檔的PC計算機即可。
本系統各程序可安裝在同一臺計算機上,也可在不同機器上安裝SQL數據庫、IIS服務器、區域管理器、掃描器模塊等,此時推薦該計算機內存為1G以上。
建議將區域管理器、掃描器、網頁管理平臺安裝在同一臺機器上,作為監控服務器。
條件二:提供數據庫、IIS服務
操作系統:Windows 2000或Windows 2003企業版操作系統。SQL Server2000軟件:配備SQL Server數據庫系統,用于北信源內網安全及補丁分發管理系統建立管理信息庫數據庫列表項。
IIS服務:配備IIS服務器提供Web服務,用于安裝Web網頁管理配置平臺。如所裝操作系統為Windows 2003企業版,則需要按照安裝光盤中的Windows 2003的IIS配置說明進行IIS配置。
條件三:為本系統提供相應端口
北信源內網安全及補丁分發管理系統區域管理器將占用操作系統88端口,必須確保安裝區域管理器的機器該端口不被占用。區域內的防火墻應打開如下端口:80,88,2388,2399,8901,8900,161,137,22105,8889,22106,22108以及ICMP協議。同時最好將DNS服務遷移至其它服務器。
2-2 安裝注意事項
軟件安裝時,推薦將區域管理器、掃描器、數據庫安裝在同一臺機器上(以下稱為監控服務器),建議按照下面要求進行監控服務器部署、軟件安裝、客戶端注冊。
2-2-1 軟件安裝監控服務器部署注意事項
1、監控服務器在網絡中放置位置注意點
? 確保該監控服務器能夠ping通所有被管理網絡中任意一臺客戶端機器,同時被管理客戶端可以正常連接服務器的TCP的80,88兩個端口。? 監控服務器給客戶端下達策略的端口為:TCP端口22105。? 監控服務器掃描發現客戶端利用以下協議及端口:
? ICMP協議(發現IP地址存在的其中一種方式);
? NETBIOS協議,UDP端口137(為了發現機器名和MAC地址); ? SNMP協議,TCP端口161(為了發現智能設備如路由器、交換機等); ? 在本地網絡中若劃分了VLAN,或本地網絡存在防火墻,請注意上述問題。
2、存在網中子網(如經過地址轉換)的網絡布置點
對于網絡中存在網中網現象,如采用NAT地址轉化或者代理方式在10.*.*.*網絡中接入192.*.*.*網段,這些子網用戶的管理方式如下:
情況一:子網有專人管理,并且有獨立機房,則應在該子網中安裝一套完整的監控系統。
情況二:子網無專人管理,或無獨立機房,可采用以下3種方式之一處理 1)機器數量少的建議統一更改IP為10.*.*.* 網段。2)由管理員監督子網中所有機器進行注冊并保證不得遺漏。
3)在該網絡中指定一臺工作站專門安裝區域管理器軟件和區域掃描模塊,并將區域管理器配置中SQL服務器地址指向監控服務器。
2-2-2 軟件安裝和應用過程中注意事項
1、必須按照軟件安裝步驟進行安裝 1)確認本機IIS服務正常;
2)確認本機SQL已正常安裝并能正常使用(以本地系統賬戶方式安裝); 3)確認目標安裝盤剩余空間不小于10G; 4)請務必按照指定順序安裝各個模塊;
5)請在區域掃描模塊所在計算機中安裝SNMP服務;
6)安裝完所有系統模塊后,請一定按照說明文檔進行客戶端程序的配置及分發安裝。
2、監控服務器的安全性問題
管理服務器安裝Windows2000 Server操作系統(帶IIS)、MS SQL Server2000數據庫后,一定要確保對Windows2000、SQL和IE進行重要安全補丁修補,規范操作系統、數據庫的口令和密碼設置,保證SQL、IIS的正常啟動運行。
確保本服務器無病毒,同時可配置本服務器網絡通訊端口僅打開:80,88,6800,8901,8900,22105,2388,2399,8889。
3、保護機制的應用
對大多數交換機、路由器、非Windows設備,需要將其設置為保護狀態(避免被阻斷導致網絡不通),其它如有系統無法識別的重要設備,請在網頁管理平臺設備信息查詢中手動將其設置為保護狀態。2-3 系統組件安裝
安裝順序依次為:
*安裝 SQL Server數據庫; *安裝WinPcap驅動程序;
*安裝并運行環境初始化程序,初始化數據庫;
*安裝網頁平臺并進行劃分區域,配置區域IP范圍、區域管理器參數、設備掃描器參數
等(推薦安裝在默認路徑下);
*安裝區域管理器(推薦安裝在默認路徑下); *通知所有用戶下載并運行注冊客戶端代理探頭程序。
2-3-1 安裝SQL server數據庫
略,見附錄(一)。
2-3-2 安裝WinPcap驅動模塊
在安裝頁面中選擇“安裝WinPcap驅動模塊”按鈕,單擊“下一步”安裝在區域掃描器所在計算機上。
2-3-3 安裝遠程技術支持模塊
該模塊是一個程序附屬工具(一般不需要安裝)在客戶端安裝程序里帶有該程序, 是用戶遠程桌面管理及控制,有便于管理員幫助終端用戶解決問題。
2-3-4 初始化數據庫
初始化數據庫是在SQL數據庫中初始化建立VRVEIS數據庫并生成系統必需的相關數據表格,在此過程中需要利用本地數據或者調用遠程SQL數據庫,用戶需要根據實際安裝情況按以下兩種方式進行操作: ? 本地SQL數據庫服務器環境初始化 1)、環境初始化,建立初始數據庫
在SQL服務器地址欄中添加本地機器IP地址、SQL用戶名、及SQL用戶密碼。
圖 2-3-4-1 SQL數據庫服務器環境初始化
2)、檢查數據庫初始化是否成功:
圖2-3-4-2 檢查數據庫初始化
當有如圖“初始化數據庫結構成功”提示框彈出時,說明已成功創建初始化數據庫。否則會出現如下圖所示提示信息:
圖2-3-4-3初始化數據庫失敗提示信息
如果出現如上圖所示提示信息,用戶需要檢查所填入的SQL數據庫IP地址、用戶名以及用戶密碼,重新初始化數據庫。
? 遠程SQL數據庫服務器環境初始化(建議非特殊情況不采用遠程方式)1)、輸入遠程數據庫信息,配置SQL客戶端:安裝遠程數據庫需要首先輸入遠程數據庫IP地址、用戶名稱、用戶密碼,然后點擊“配置SQL客戶端”,出現如下界面:
圖2-3-4-4 配置SQL客戶端
2)、在通用欄中,啟用TCP/IP協議:在通用欄中,選用TCP/IP協議,并啟用,然后單擊別名,進行別名添加設置。
圖2-3-4-5 啟用所選協議
3)、進行客戶端別名的添加:單擊上圖中所圈中的別名,出現如下所示:
圖2-3-4-6 對客戶端別名的添加
4)、進行網絡協議的選擇和服務器別名的添加:此時用戶需要首先選擇網絡協議,選定為TCP/IP,服務器別名根據用戶需要自由添加,點擊確定后完成數據庫初始化。
2-3-5 安裝Web中央管理平臺
? 安裝Web管理平臺
此部分程序要求安裝在默認路徑下,安裝過程中請確保信息填寫正確,否則,Web服務器可能不能正確訪問SQL Server數據庫。
? Web中央管理平臺訪問
Web管理平臺安裝以后在IIS目錄上以虛擬目錄的形式存在,虛擬目錄名稱為VRVEIS,用戶在安裝完成以后,用http://Web服務器域名(IP)/VRVEIS的形式訪問Web管理平臺主頁面。默認用戶名為admin,密碼為123456。(以下的都是用admin登陸進行說明的)審計用戶名為audit,默認密碼為123456,詳見附錄
(六)。
如果http://Web服務器域名(IP)/VRVEIS訪問無效,則以http://Web服務器域名(IP)/VRVEIS/INDEX.ASP方式登錄。
Windows2003下IIS配置以及NTFS磁盤格式配置注意事項見附錄
(七)。
2-3-6 安裝區域管理器Region Manage 在Web中央管理平臺中劃分區域及指定區域管理器后(參見Web中央管理平臺配置)安裝區域管理器組件。安裝后進行以下兩項配置:
? SQL客戶端配置
如果“區域管理器”沒有同SQL裝在同一臺服務器上,需要在如下圖所示窗口中將默認網絡庫選擇為“TCP/IP”,使客戶端能夠遠程訪問數據庫。在“區域管理器”中選擇“配置”->“系統配置”,配置SQL客戶端,也可以通過Alt+S熱鍵,進入配置。
圖2-3-6-1 SQL常規配置
上述配置完畢以后,需要重新啟動“區域管理器”,使系統生效。? 區域管理器系統配置
SQL服務器配置:進入“系統配置”,逐步輸入SQL服務器IP地址、用戶名稱及密碼、數據庫名稱(默認為VRVEIS),單擊“確定”完成SQL服務器配置。
圖2-3-6-2 區域管理器中SQL配置
2-3-7 配置設備掃描器模塊Region scan 在配置好Web防護系統區域及其區域管理器后做以下步驟:
在配置管理里,點擊“掃描器配置”可以添加掃描器,配置掃描范圍。
圖2-3-7區域掃描器配置
填寫相關信息之后重新啟動區域管理器,程序會自動縮小到系統托盤,表示數據庫連接成功,程序運行正常,此時通過上圖中“掃描器配置”項來查看掃描器相關運行信息。2-3-8 安裝補丁下載服務器模塊
在安裝頁面中選擇“補丁下載服務器安裝模塊”按鈕,輸入序列號SN,單擊“下一步”、在桌面生成DownPatch.exe快捷方式,執行后如下圖所示:
圖2-3-8-1 補丁下載服務器主界面
點擊系統配置彈出如下圖:
圖2-3-8-2 補丁下載索引解析界面 添加補丁索引:從北信源站點獲取補丁索引,用以獲取補丁廠商發布補丁信息,通過對補丁索引的解析,下載補丁。按照補丁索引、管理配置要求從補丁廠商站點獲取補丁,補丁下載支持各種方式(下載線程、下載時間)自定義下載補丁。
圖2-3-8-3 補丁下載參數設置
2-3-9 安裝管理器主機保護模塊
選擇安裝在安裝頁面中選擇“安裝管理器主機保護模塊”按鈕,輸入序列號SN,單擊“下一步”、在桌面生成 nsscenter.EXE快捷方式,執行后在系統右下角任務欄所示
綠色的圖標,鼠標右鍵點擊,可以對其進行相應的設置,具體設置參見附錄(四)。
2-3-10 安裝報警中心模塊
選擇安裝在安裝頁面中選擇“安裝報警中心模塊”按鈕,輸入序列號SN,單擊“下一步”、在桌面生成 nsscenter.EXE快捷方式。具體設置參見附錄(五)。
2-3-11 客戶端注冊及下載
(一)客戶端注冊原理及注冊程序配置
? 客戶端注冊原理
執行注冊程序,根據要求填入指定信息,系統自動將所添加信息和系統自動采集獲得的設備信息發送到區域管理器(設置為轉發模式的將發送到上級區域管理器),區域管理器將注冊信息導入SQL數據庫保存,在Web管理平臺中設置的客戶端參數策略將由區域掃描器掃描客戶端后,發送給客戶端駐留程序保存執行。
該客戶端駐留程序駐留在系統內部,以服務的方式實時運行,一旦某個客戶端非法接入互聯網或設備改變違規,客戶端就向web管理平臺發送報警數據,同時本機將顯示報警信息。
? 修改客戶端注冊程序配置文件
在web平臺中配置管理->注冊程序配置。注冊程序使用前需要網管人員的配置,主要是設置區域管理器IP地址(注冊時客戶端信息發向該IP地址所在的區域管理器),如區域管理器為192.168.0.244,配置如下圖所示:
圖2-3-11-1 注冊程序配置
在這里,可以對注冊時需要填加的單位、注冊密碼進行編輯。如下圖所示:
圖2-3-11-2 單位和部門添加刪除
(二)客戶端注冊方法
客戶端注冊方法包括網頁靜態注冊、網頁動態注冊、手動注冊、網關重定向強制注冊等。
網頁靜態注冊:
靜態注冊比較簡單,客戶端只需要將配置好的注冊文件上傳到公共主頁上即可,做一個鏈接,訪問主頁后手動下載注冊。
主要講述動態注冊,這種方法適用于網絡用戶較多的情況,客戶端只要訪問網絡內公共網站,網頁將自動對客戶端進行探測,彈出提示窗口,提示用戶進行注冊。
網頁動態注冊:
利用網絡中已經構建好的內部網站,一方面網絡客戶端可以通過手動獲得注冊程序,也可以通過在主網頁上加載彈出頁面的方式進行提示性注冊。本手冊將主要介紹后一種方式。
當網絡中客戶端計算機訪問本網絡內部網站時,在該主頁代碼中加入一段代碼(如下)。本代碼作用在于首先獲得該客戶端計算機的IP地址,再讀取數據庫里面相關IP地址的注冊和其它相關信息,如果該IP地址的設備存在,系統會根據其是否完成“注冊”、“信任”、“保護”三項操作進行判斷,只要滿足其中任意一條件,都不會提示注冊,否則會彈出窗口提示注冊。
網頁加載彈出程序方法如下:編輯已有主頁的源程序,在需要加載彈出窗口主頁的源代碼
中放入以下代碼:注意:需要將其中的http:// 192.168.0.253/vrveis/quest.asp換成http:// 安裝內網安全管理網頁平臺計算機IP/vrveis/quest.asp即可,此時當網絡中計算機訪問該內部主頁時,會自動彈出如下提示頁面:
圖2-3-11-3 網頁動態注冊
使用網頁動態注冊時,請管理員通知注冊人,在訪問本網站時,暫時關閉網頁彈出攔截程序或將本網站添加到不攔截列表中。
手動注冊:除了自動注冊設備外,遇到需要手工注冊新增設備時,也可通過WEB管理平臺中數據查詢,設備信息查詢中的手動添加設備功能,將新增設備的具體信息詳細登記填寫至數據庫中,并將其置為保護設備。
注意:
1.多級級聯注冊:如果系統為多級級聯方式,必須在區域管理器的高級配置中的“系統配置”、“策略配置”選項中的級聯選項選中,并正確添加上級管理器的IP地址,各級區域會將自己所管轄的區域管理IP段上報到上級數據庫中存儲。
此時,當網絡中任意一臺下級區域客戶端計算機訪問主網站的同時,會根據最上級區域數據庫中存儲的各級上報IP段信息,自動將該客戶端注冊程序文件下載路徑指向為自己所處IP段的本級區域注冊器上,做到各個區域的客戶端計算機在訪問同一網站進行注冊程序下載時,所下載的客戶端程序均為自己所在區域的專用注冊程序。
如果網絡中內部網站,網絡管理員可以通知網絡內計算機在本系統Web管理平臺的登錄頁面中點擊下載注冊程序完成系統注冊,或者在此頁面下按上面的步驟做好彈出提示窗口方式注冊。注冊程序界面如下:
圖2-3-11-4 客戶端注冊信息
無論采取哪種方式,在注冊成功以后,注冊程序除了將主動添加的信息自動上報以外,還會自動收集其它和系統相關的信息進行上報。
客戶端和區域管理器連接通訊不正常的情況下,將提示用戶“缺省注冊成功”,表示客戶端探頭已經注冊完畢,但還沒有與區域管理器通訊。當區域掃描器掃到該計算機的IP地址時,才會將添加的信息及系統采集信息上報到區域管理器,存儲在數據庫當中。
2.本系統使用初期,若要求對下屬網絡中的計算機信息進行統計、注冊、入庫,必須在Web管理平臺中管理器設置項內選中“允許客戶端注冊”,如注冊時需要密碼,也需要在WEB管理平臺中進行設置,如下圖所示:
圖2-3-11-5 允許客戶端注冊
圖2-3-11-6 注冊信息編輯
網關重定向:
作用:注冊信息重定向。如果沒注冊的客戶機上網,那么他會把上網的網址重定向到指定的注冊頁面上。1.正確安裝運行注冊認證網關
2. 啟動注冊認證網關進行配置
圖2-3-11-7 注冊認證網關配置
3.在系統參數里選擇可以監聽到整個網絡包的網卡(一般這臺機器為網關)
圖2-3-11-8 系統參數
4. 在重定向配置里,填寫對未注冊、保護和信任的機器的重定向網址。策略配置為在多長時間內重定向的次數,超過這個次數,將不再重定向。
圖2-3-11-9 重定向配置
5.通訊配置,填寫區域管理器的IP地址,通訊端口(一般為88),同步信息間隔為同步區域管理的信息(即發現是否有新注冊的信息),本地配置,偵聽端口為688。
圖2-3-11-10 通訊配置
6.配置完后點確認,然后啟動注冊認證網關,退出重起就可以用了。(建議把這個用在網關處或總的交換機出口處,這樣可以捕獲所有的信息包)
(三)客戶端卸載
網絡客戶根據情況需要卸載客戶端探頭程序時,運行安裝程序包中的探頭卸載程序UnInstallEdp.exe如圖:
圖2-3-11-11 客戶端卸載
記錄下序列號,并將序列號復制到如下圖的第一個方框中:
圖2-3-11-12 查看卸載密碼
點擊查看將會產生一個卸載密碼,將其輸入卸載密碼框中點擊卸載即可。
圖2-3-11-13 卸載密碼
或通過WEB管理平臺中的點—點控制中的終端卸載如圖:
圖2-3-11-14 終端點對點-終端卸載 第三章 系統應用
本平臺配置主要指北信源內網安全及補丁分發管理系統的網頁平臺操作,網頁平臺是整個北信源內網安全及補丁分發管理系統的配置操作核心,整個內網安全及補丁分發管理系統功能的實現全部在Web操作中實現,Web方式有助于管理員遠程維護系統,進行統一配置和統一管理。掌握對網頁平臺的功能操作和配置對使用本系統來提高整個網絡的安全性和解決網絡管理的效率有著重要作用。
菜單功能模塊:系統策略中心、數據查詢、終端控制、補丁分發、運維信息、報警事件、級聯總控、統計報表、系統維護等模塊。
3-1配置與管理
3-1-1 區域劃分
在網頁平臺安裝完畢之后,訪問http://Web服務器域名(IP)/VRVEIS訪問WEB管理平臺登錄界面。如下所示:
圖3-1-1-1 Web管理登錄界面
其中客戶端工具下載菜單提供了包括用戶注冊器下載、補丁檢測中心、多路幫助平臺、普通工具下載、管理員工具下載、工具上傳管理等功能,用戶按照頁面提示操作即可。
圖3-1-1-2 客戶端工具下載界面
系統默認用戶為admin,密碼為123456,登錄后建議管理員修改管理員密碼。成功登錄后,進入系統的主界面。如下圖所示:
圖3-1-1-3 Web管理主界面 ? 在所處的IP地址段內,進行區域劃分操作
首先進行區域添加和劃分操作。
區域劃分:單擊配置管理里的“區域劃分與配置”,對網絡中的客戶端進行區域劃分管理,按照提示依次添加區域、增加區域IP管理范圍、分配區域管理器、,并完成系統組件運行參數配置。
具體步驟:
區域描述配置欄中填寫好一些必要的與區域相關的信息,如區域機構代碼、區域名稱、負責人姓名等。其他信息可以酌情依照實際用途填寫。本區域IP劃分:根據用戶實際需要在下圖所示的文本框中填入需要管轄的IP地址。
其中保留IP段為該網段目前沒有網絡設備存在的網段,如有設備存在,則會產生報警信息。
圖3-1-1-4區域劃分與配置
下級區域劃分:在已有區域頁面中點擊“增加下級區域”按鈕進行下級區域添加,如集團總部下屬總裁辦、行政部、財務部等。
圖3-1-1-5 增加區域
3-1-2 區域管理器配置
區域管理器:區域管理器為系統策略控制及數據接收處理中心,具有控制完成系統相關的動作行為處理功能;同時與本級數據庫系統連接,統一接收注冊程序提供的信息,將用戶信息(填寫的計算機使用人姓名、聯系電話、E-mail等,計算機IP、MAC地址、硬盤、CPU、內存等其它硬件信息均為自動采集)存入數據庫。
根據本區域客戶端IP管理情況確定對IP地址的管理方式,若選擇IP、MAC地址綁定,需要在靜態IP環境下進行設置。
允許客戶端控頭升級:設置本區域管理器管理范圍內的客戶端的升級操作。設置vpn網絡虛擬管理器IP:是指添加VPN虛擬服務器的IP地址。管理器標識:是指管理器的標記,當服務器遷移時需要設置與之相同的管理器標識。
管理器可直接通信網段:在管理多個獨立子網時,該配置填寫區域管理器服務器可直接通信的地址。
允許客戶端注冊:是指任意一臺在區域范圍內的客戶端都可以在服務器上注冊。
管理器配置同步:當選中“下級區域”時下級區域的配置應該和上級區域管理器的配置相同,當選中“全部區域”時是指下面的任意級聯區域都要和區域管理器的配置同步。
圖3-1-2-1 區域管理器參數設置
區域管理器系統配置:當設置完當前頁面這時我們可以配置剛才安裝好的內網安全管理管理器去桌面雙擊“內網安全管理管理器”快捷方式彈出如下界面:
圖 3-1-2-2區域管理器系統配置
? 先進行SQL服務器配置:進入“系統配置”,逐步輸入SQL服務器IP地址、用戶名稱及密碼、數據庫名稱(默認為VRVEIS),單擊“確定”完成SQL服務器配置。
圖 3-1-2-3 SQL服務器配置
管理器配置:本軟件默認機器操作系統88端口,若其它應用程序占用該端口,將自動更改為188。
如果區域管理器應用于多級管理(每級都有獨立的SQL server和相應的內網安全管理及補丁自動分發管理平臺)的級聯構架體系,其上級還有區域管理器的情況下,當前區域管理器需要將所有信息上報到上級管理器。
區域管理器支持多級級聯,如國家、省、市、縣多級規模網絡管理構架,下屬區域管理器將其所有計算機報警信息轉報到上級數據庫。注:需要把“上報給上級管理器”√上,輸入上級管理器地址。
升級配置:用于配置區域管理器的自動升級,升級服務器地址為上級區域管理器IP。
區域管理器配置-高級設置 系統配置:
鎖定下級策略是指下級不能夠更改策略信息。
上報給上級區域管理器是指下級的策略,阻斷,違規信息上報給上級區域管理器,在此處打上“√”添加上上級管理器地址,配置級聯。
圖3-1-2-4 區域管理器
阻斷配置:
圖3-1-2-5阻斷配置
探頭阻斷:目前常用的阻斷方式,由掃描器調度探頭完成阻斷任務。只要保證一個網段(VLAN)中有一臺存活的已注冊計算機,就可以實現阻斷。
防火墻阻斷:該方式必須與防火墻結合使用,需要設置必要的防火墻規則集和安全認證,與其它廠商防火墻不兼容。
報警過濾:本軟件系統提供對多種違規變化行為的報警:非法外聯、設備未注冊、IP綁定變化、設備變化、探頭被卸載、病毒行為報警等。
本地報警種類過濾:僅對本地網絡中區域管理器管理范圍內的違規變化行為進行報警顯示,用戶根據自身管理要求進行篩選。
圖3-1-2-6 報警種類過濾
策略配置:系統支持對各種文件的分發,在Web中央管理平臺進行軟件分發操作前,必須對本項進行配置。
默認將分發文件放在C:VRVRegionManageDistribute目錄下,管理員可根據需要自行更改路徑,同時,修改本路徑后,補丁下載存放的位置也會相應改變。
圖3-1-2-7策略配置
補丁下載:將待分發操作系統補丁放置在設置好的補丁路徑的目錄下,在Web中央管理平臺中進行分發操作。
管理員通過對參數項的選擇進行下載配置,級聯IP提供對上一級補丁的下載獲取。
圖3-1-2-8 補丁下載
其他配置:主要是硬件網關重定向配置,此功能必須配合硬件設備使用。
圖3-1-2-9 其他配置
3-1-3 掃描器配置
點擊增加掃描器設置掃描器掃描網絡IP范圍。機構代碼:一般為阿拉伯數字,由用戶單位根據管理要求進行設定。掃描間隔:根據管理IP范圍大小進行設置(建議設置為10分鐘)。
圖3-1-3-1 區域掃描器參數設置
注:掃描器配合區域管理器進行工作,掃描器的掃描范圍不可能超過它的區域管理器管理的IP范圍。
掃描器除了指定掃描的IP范圍外還能夠指定排除不掃描的地址范圍,如有某些網段不需要掃描器發現設備,為縮短掃描時間,可在掃描器設置中增加禁止掃描地址段的設置。
掃描器高級配置:
圖3-1-3-2 掃描器配置-系統配置
掃描器高級配置——系統配置:
掃描頻率設定:用戶可以根據網絡中網絡帶寬占用情況,靈活設置掃描頻率,同樣可以選擇是否“使用SNMP掃描”掃描方式,如果選擇“使用SNMP掃描”,則系統能夠自動對網絡設備(例如交換機、路由器、網絡打印機等)進行掃描,并自動登記到設備列表庫中。
阻斷選項:如果用戶選擇“掃描器阻斷”,此時可采取“輕量級阻斷”和“重量級阻斷”兩種方式。
輕量級阻斷:阻斷計算機向網絡中廣播一個ARP請求報文,將被阻斷計算機的IP地址及對應的假MAC地址發送給網絡內所有的計算機,每臺計算機收到請求后便會對本地的ARP緩存進行更新,將收到的請求中的IP和對應的假MAC地址存儲在ARP緩存中。這樣對于網絡中的計算機看來,被阻斷計算機的IP地址沒有變化,而它的MAC地址已經不是原來那個了。由于局域網的網絡通信不是根據IP地址進行,而是按照MAC地址進行傳輸。因此,被阻斷計算機便接收不到網絡中計算機(不含阻斷計算機)傳送過來的信息。
重量級阻斷:阻斷計算機冒充網絡中的其他計算機(本網段1-255)給被阻斷計算機發送定向ARP應答報文,被阻斷計算機收到請求后便會對本地的ARP緩存進行更新,將收到的請求中的IP和對應的假MAC地址存儲在ARP緩存中。這樣對于被阻斷計算機看來,網絡中的計算機的IP地址沒有變化,而它們的MAC地址已經不是原來那個了。因此,被阻斷計算機便不能向網絡中的計算機(不含阻斷計算機)傳送信息。
掃描器高級配置——交換機掃描配置:
交換機掃描用于掃描發現交換機,進行拓撲發現。Snmp團體名:根據拓撲管理需要輸入網絡中所有網絡設備的snmp讀團體名用“;”隔開。
圖3-1-3-3 交換機掃描配置
如上圖,配置掃描間隔時間一般設成5-10分鐘,IP范圍設置需要掃描的ip段,snmp讀團體名稱是根據交換機口令設置的。
該功能的啟用需要下載交換機拓撲模塊,安裝后進行網絡拓撲發現。進入web管理平臺主頁面“運維監控”菜單,啟用網絡拓撲圖,安裝交換機拓撲模塊后進行網絡拓撲發現。
3-1-4 注冊程序配置
控制頁面如下.管理員可以通過設置來按照需求來配置客戶端注冊程序,讓用戶填入相應的信息 ,方便以后管理。其中的項有啟用、必選、還可以對輸入數據進行控制.后面的功能設置必須對每個功能模塊啟用。
圖 3-1-4-1 注冊程序配置
選擇編輯單位/部門彈出如下圖:
圖 3-1-4-2 編輯單位/部門
先選擇修改單位彈出如下窗口:
圖 3-1-4-3 修改單位
填寫單位名稱和單位備注消息點擊添加/修改單位。最后點擊保存修改關閉窗口返回上級窗口如下圖:
圖 3-1-4-4 保存修改
可以看到剛才添加的單位。
在此輸入每個單位所對應的部門,部門備注信息.選擇保存修改可以完成單位和部門的配置。
點擊設置注冊密碼彈出如下窗體原注冊密碼為空。
設置注冊密碼是為了防止新接入設備非法進行注冊。
圖 3-1-4-5 直接添加新注冊密碼保存修改就可以。
注冊單位與注冊部門產生聯動
當對單位和注冊部門設置為必填和僅選擇這時客戶端注冊程序 對單位和部門的填寫只能按照管理員的設置來選擇.不能手動填寫。
使用靜默注冊:以上的設置都不生效這時客戶端注冊程序只需選擇下載運行就可以。
注冊程序會自己上報終端的計算機名和IP地址MAC地址。選擇保存修改點擊打包注冊程序這時完成客戶端注冊程序配置。
3-1-5 注冊部門配置與管理
新增單位:該功能作用基本與“從系統注冊單位導入”相似,不同的是,它可以加入備注信息。
圖 3-1-5-1再新增單位
具體方法:選擇新增單位彈出如下窗體:
圖 3-1-5-2再新增單位
從已注冊的單位選擇一個單位然后進行單位描述點擊添加。后可以在左邊看到新增的單位之后選擇新增的部門。選擇新增的部門彈出如下圖對部門進行描述點擊添加完成操作。
圖 3-1-5-3 單位描述
從系統注冊單位導入:該功能作用是將客戶端注冊時輸入的單位名稱導入到“注冊單位及部門”中。當客戶端在注冊時輸入單位名稱時,那么點擊“從系統注冊單位導入”就可以看到一個單位名稱及相應的部門,同一個單位名稱只出現一次。
選擇左邊單位與部門樹目錄點擊從系統注冊單位單位導入彈出如下圖:
圖 3-1-5-4 系統注冊單位單位導入
√選要導入的注冊單位點擊從已注冊部門導入。之后選擇剛才添加的單位點擊從系統注冊部門導入或者新增部門選擇相應的部門添加即可。
圖 3-1-5-5 添加部門 3-1-6 自定義組分配與管理
自定義組用來對網絡中特定或者有特殊用途的機器進行編組,以便采取不同的管理手段,方便管理員的管理。該組的客戶端成員可以由管理員根據某查詢條件而查得的計算機導入自定義組。如下圖所示:
圖 3-1-6-1 自定義組分配與管理
1. 首先創建分組,點擊創建下級組:首先創建分組,點擊創建下級組,添加分組名稱,分組描述,保存設置。
圖3-1-6-2 創建分組
2. 向組中添加設備:點擊添加設備,彈出如下圖,可以按設備查找,按IP查找,按操作系統查找,選中一個點擊添加,然后點擊查詢,導入組即可。同時還可以通過設備信息查詢,和補丁查詢中來添加設備。
圖3-1-6-3 查詢設備
3. 如果需要將IP/MAC綁定,那么可以執行下面操作:將當添加完組設備以后點擊“將組設備添加到IP/MAC綁定”,彈出如下圖所示的“確定添加該組設備到IP/MAC綁定列表庫嗎?”點擊“確定”即可將設備全部導入IP/MAC綁定列表。
圖3-1-6-4 添加IP/MAC綁定
3-1-7 IP與MAC綁定列表
添加、查詢系統IP與MAC綁定設備列表如下圖(數據來源在自定義組里可以按IP操作系統等添加一個自定義組)。
圖 3-1-7-1 添加系統IP與MAC綁定設備列表
圖 3-1-7-2查詢系統IP與MAC綁定設備列表
3-2策略中心
3-2-1 阻斷違規接入管理
當掃描器發現有外來設備接入內網時,該功能可以有效地控制外來設備接入內網而帶來的安全威脅(此功能慎用,在不能確認所有的可信客戶端都注冊前最好不要使用,同時也要把需要保護的設備保護起來),通過選中“沒有注冊則阻斷聯網”復選框便可阻斷所以未注冊設備。同時提供了信使服務(windows2000以上操作系統)提醒IP、MAC綁定等功能,如下圖所示:
圖3-2-1 阻斷違規接入管理
3-2-2 策略管理中心
? 如何進行策略創建和分發
(1)在“策略管理中心”中左邊的策略項中可點擊需要制定的策略,然后在右邊的“新建策略名”中輸入相應的策略名稱后,單擊“創建”按鈕開始創建策略。
圖3-2-2-1策略中心策略制定
(2)隨后在具體的策略的配置中根據用戶的實際需要配置好策略后,單擊“保存策略”就完成了一條策略的創建。(由于各個策略項的配置過程都不一樣,這里不再用截圖表示,下一節將具體介紹)
(3)接下來是下發策略,即指定策略的執行對象,可通過單擊“對象”按鈕后,可按界面的提示完成對象的分配。如下圖所示:
圖 3-2-2-2 下發策略
圖3-2-2-3 策略分配對象
如圖3-2-2-4表示創建策略成功
(4)如果需要讓某一條策略暫時不使用,可按界面中對應的“停用”單選按鈕使策略失效,需要使用的時候再單擊“啟用”按鈕使策略生效。如果想要刪除某一條策略,則直接按“刪除”按鈕即可。但在刪除某策略之前最好先停用該條策略。? 策略的高級設置
策略的高級設置用于客戶端程序對策略的執行設置,包括策略狀態(啟動、停止)、策略存活時間(策略執行的起止時間)、策略執行觸發條件(在何種條件下開始執行策略)、策略無效時間(規定時間內客戶端不執行策略)、策略應用范圍(本級區域、下級區域、所有區域)、級聯策略類型等,有些策略還包括具體的觸發時間設置等。
圖3-2-2-5 高級策略設置
說明:策略存活時間范圍:即策略以天為單位的存活時間段。
策略無效工作日:即可在一星期中選中一天或多天使策略無效。策略無效時間段:即策略以分為單位的無效的時間段。
強制策略:級聯策略發到下級管理器時,下級管理員對策略內容不能修改,并且不能修改該策略的對象和啟動、停用狀態。
樣板模版:級聯策略發到下級管理器時,下級管理員對策略內容不能修改,但是可以修改該策略的對象和啟動、停用狀態。
策略有效網絡:a.在所有網絡均有效:該功能意思是策略在區域管理范圍內、外均有效。
b.僅在該網絡中有效:該功能意思是僅在區域管理范圍內有效。? 系統策略設定 1)黑白名單編輯:
<1> 進程黑白名單:進程黑白名單在進程監控中可以使用,這部分包含系統預定義黑名單和用戶自定義黑白名單。編輯進程黑白名單時包括,進程名,產品名,源文件名等;如果是服務則只可以加服務名,同時可以加一些描述。
圖3-2-2-6
<2> 軟件黑白名單:軟件黑白名單在軟件安裝監控中可以使用,這部分包含系統預定義黑名單和用戶自定義黑白名單。
點擊咨詢 