一 : WannaCry勒索病毒席卷全球 为什么学校和公安系统先中招?
防患于未然。
从5月12日晚开始席卷全球的WannaCry勒索病毒席卷全球,包括英国医疗系统、快递公司FedEx、俄罗斯电信公司Megafon都成为受害者,中国校园网和多家能源企业、政府机构也中招,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失。目前至少有150个国家受到网络攻击,受害人数多达20万人,至少有10万台机器被感染,并且影响还在持续中。
那么,为什么是学校和公安系统最先中招呢?青藤云安全CEO张福认为,主要是学校在安全投入方面做的不够,另外学生的安全意识不高。通常,企业有安全规范和管理,但学校里面都是学生自己去做安全防范措施,一是想做也做不到位,二是没有急迫性或强制要求。加上这类机构使用内网,导致传播性、感染性比较强。另外,像中石油等国企机构非常庞大,系统很复杂,安全很难做好,遇到勒索病毒很难处理。而事业单位这样的体量,在安全方面的投入往往不够,安全的技术还比较落后,没有紧跟时代潮流,本身存在非常多的问题,只是这次是被勒索软件这次攻击爆出来了。
与学校、公安系统类似,这几类系统最容易被感染:一是没有安全投入、安全意识建设和相关培训的公司;二是比较大的企业,规模越大,问题越严峻;三是传统安全领域的公司,比如政府、国有企业,安全建设非常薄弱,设备比较落后,会容易被感染。
过去针对安全问题,企业的处理方式是,有病毒了就杀掉,这种事后的处理方式显然不适用勒索病毒,做不到提前拦截和监测。其实,微软三月份就出了补丁(针对的漏洞可以让黑客直接获取最高权限),但很多企业并没有去补上。张福认为,被病毒攻击不是技术类问题,而是安全管理和建设的问题,大企业的安全管理都这么糟糕(很有可能都被黑客黑个底朝天了),更何况小企业,整个国家的安全状况和形势堪忧。
他建议,企业不要只是为了应付检查而做安全工作。有些国字头或政府机构为了应付上级检查而临时做一些措施,反观很多私企,因为安全关乎到切身利益(数据机密、技术机密不可被竞争对手窃取),安全建设与企业发展、业务需求紧密相关,自然就重视起来了,反而做得更好。但政府类机构并没有生存这方面的压力,他们的压力主要来自于上级的检查,安全真正地落实到位,很难。因此,企业需要提高自身的安全意识,国家应落实问责制度,同时在黑客入侵方面进行定罪,让大家感觉到法律在实施、已经发挥作用。
二 : 小学宿舍管理安全协议书
为了维护学生宿舍的纪律安全,预防和杜绝破坏学校财产行为的发生,减少学校门了立的损失和浪费,创建安全文明的宿舍环境,特制定以下协议书:
1、严禁学生人为破坏宿舍财产,违者一经查实,根据学校有关规定,除照价赔偿外,情节严重的报学校给予纪律处分。
2、六年级学生人为破坏学校宿舍财物者,学校将扣发毕业 证书。
3、本宿舍舍财产无意按坏.由当事学生按价赔偿(也可由当事学生自行理) 。
4、宿舍用具、电源开关等损坏,要及时报告宿舍管理员,宿管及时报学校总务以免造成安全事故。
5、严禁在宿舍区内拍汀主球、踢足球或进行其它法乐活动,违者按有关规定处理。
6、严禁擅自留宿校外人员,违者按学校有关规定处理。
7、严禁在住宿区内大吼大叫,抽烟、汹酒,违者按学校有关规定处理。
8、宿管员要认真履职,发现各种违纪行为要及时进行教育和处理。
9、宿管人员要协助学校,总务对损坏的财产进行追赔反处理。
安全负责人签名:——————————
宿舍管理员签名:——————————
三 : 北信源VRVEDP内网安全管理系统手册
特 别 声 明
? 本使用手册由《北信源内网安全及补丁分发管理系统》产品安装配置指导手册、用户手册、产品维护手册三部分组成,其内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版),恕不另行通知。[www.61k.com]需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。
? 《北信源内网安全及补丁分发管理系统》产品由《北信源内网安全管理系统》及《补丁分发管理系统》两大套件构成。
? 本使用手册为《北信源内网安全及补丁分发管理系统》通用说明书。若您独立购买《北信源内网安全管理系统》或《北信源补丁分发管理系统》之一产品,本说明书的其它功能将不具备。 ? 两大套件主要区别:《北信源补丁分发管理系统》不具备违规联网监控、客户端安全管理和桌面管理功能;《北信源内网安全管理系统》不具备补丁自动分发功能。请您在使用过程中选择性阅读相应章节。
? 感谢您购买北京北信源自动化技术有限公司研制开发的内网安全管理及补丁自动分发系列软件。请在使用本软件之前认真阅读本使用手册,当您开始使用该软件时,北信源公司认为您已经阅读了本使用手册。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
快速阅读指南
1. 详细阅读本软件组件功能、组成、作用、应用构架,确切了解本软件的系统应用。[www.61k.com]
2. 安装准备软件环境:Microsoft SQL Server2000、Windows 2000 Server、Internet 服务管理器;建议将数据库管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理器所在机器的88端口不被占用(即非主域控制器);防火墙应允许打开88,2388,2399,22105,8900,8901,22106,22108,8889端口。
3. 按步骤安装各组件后,通过http://*.*.*.*/vrveis登录Web管理平台,首先对Web管理平台进行如下配置:添加区域→划分该区域IP范围→指定区域管理器→指定区域扫描器。
4.
5. 双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。 在VRVVRVEISdownload目录中,使用RegTools.exe工具修改DeviceRegist.exe文件中的本地区域管理器IP,将修改后的注册程序DeviceRegist.exe放在机构网站上进行静态网页注册,或者在机构网站上加载动态网页检测注册脚本语句,进行动态设备注册。
6. 系统升级:联系北信源公司获取最新的软件组件升级包,确保Web管理平台、区域管理器、客户端注册程序等组件的升级。
特别提示:默认管理员用户:admin,密码:123456;系统指定审计用户名:audit,密码:123456请注意修改。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
第一章.系统介绍........................................................................................................ 5 1-1 产品组成 ............................................................................................................ 5 1-2 应用构架 ............................................................................................................ 7
第二章.系统安装........................................................................................................ 8 2-1 安装环境 ............................................................................................................ 8 2-2 安装注意事项 .................................................................................................... 9
2-2-1 软件安装监控服务器部署注意事项......................................................... 9
2-2-2 软件安装和应用过程中注意事项........................................................... 10 2-3 系统组件安装 .................................................................................................. 11
2-3-1 安装SQL server数据库......................................................................... 11
2-3-2 安装WinPcap驱动模块........................................................................... 11
2-3-3 安装远程技术支持模块 ............................................................................ 11
2-3-4 初始化数据库........................................................................................... 11
2-3-5 安装Web中央管理平台........................................................................... 14
2-3-6 安装区域管理器Region Manage............................................................ 15
2-3-7 配置设备扫描器模块Region scan........................................................ 16
2-3-8 安装补丁下载服务器模块....................................................................... 17
2-3-9 安装管理器主机保护模块....................................................................... 18
2-3-10 安装报警中心模块................................................................................. 18
2-3-11 客户端注册及下载................................................................................. 18
第三章 系统应用........................................................................................................ 27
3-1配置与管理 ....................................................................................................... 27
3-1-1 区域划分................................................................................................... 27
3-1-2 区域管理器配置....................................................................................... 30
3-1-3 扫描器配置............................................................................................... 35
61阅读提醒您本文地址:
3-1-4 注册程序配置........................................................................................... 38
3-1-5 注册部门配置与管理............................................................................... 41
3-1-6 自定义组分配与管理............................................................................... 44
3-1-7 IP与MAC绑定列表.................................................................................. 45
3-2策略中心 ............................................................................................................ 46
3-2-1 阻断违规接入管理................................................................................... 46
3-2-2 策略管理中心........................................................................................... 47
3-3数据查询 ............................................................................................................ 84
3-3-1设备信息查询 ............................................................................................. 87
3-3-1-2注册设备资产查询.................................................................................. 88
3-3-1-3硬件变化设备查询.................................................................................. 91
3-3-1-4设备安装软件查询.................................................................................. 88
3-3-1-5设备首次运行进程查询.......................................................................... 89
3-3-1-6共享目录查询.......................................................................................... 90
3-3-1-7设备IP占用状况列表 ............................................................................ 91
3-3-7移动设备审计查询 ..................................................................................... 92
3-3-7安全策略违规查询 ..................................................................................... 94
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
3-3-8涉密检查查询 ............................................................................................. 95
3-3-9消息确认查询 ............................................................................................. 96
3-3-11软件分发查询 ........................................................................................... 97
3-3-12软件分发统计 ........................................................................................... 97
3-4终端控制 ........................................................................................................... 98 3-4-1终端管理:................................................................ 错误!未定义书签。(www.61k.com) 3-4-2行为控制.................................................................... 错误!未定义书签。 3-4-3 VPro 远程管理......................................................... 错误!未定义书签。 3-4-4远程协助.................................................................... 错误!未定义书签。 3-5补丁分发 ........................................................................... 错误!未定义书签。
3-6运维信息 ........................................................................................................... 98 3-6-1客户端流量排名...................................................................................... 116 3-6-2客户端流量统计...................................................................................... 117 3-6-3运维状态异常.......................................................................................... 117 3-6-4网络拓扑发现............................................................ 错误!未定义书签。 3-7报警事件 ......................................................................................................... 119 3-7-1报警数据查询.......................................................................................... 119 3-7-2图形化报警.............................................................................................. 123 3-7-3本地报警数据汇总.................................................................................. 123 3-8级联总控 ......................................................................................................... 127 3-9统计报表 ......................................................................................................... 133 3-10系统维护 ....................................................................................................... 135
第四章 补丁分发管理.............................................................................................. 142 4-1 区域管理器补丁管理设置 ............................................................................ 142 4-2 补丁自动下载分发 ........................................................................................ 143 4-3 客户端补丁检测(一) ................................................................................ 148 4-4 客户端补丁检测(二) ................................................................................ 150 4-5.本地补丁分发综合查询 .............................................................................. 150 4-6 补丁级联下载 ................................................................................................ 151
61阅读提醒您本文地址:
第五章 客户端阻断.................................................................................................. 153 5-1 扫描器组件配置 ............................................................................................ 153 5-2 阻断策略应用 ................................................................................................ 153 5-2-1 违规自动阻断策略................................................................................. 154 5-2-2 手动设置针对设备的单独阻断策略..................................................... 154 5-2-3 硬件防火墙联动阻断策略..................................................................... 155
第六章 网络接入认证管理...................................................................................... 157 6-1 策略中心->接入认证策略->补丁与杀毒软件认证 ......................................... 157 6-2、策略中心->接入认证策略->进程服务注册表认证 ....................................... 159 6-3、策略中心->接入认证策略->802.1X接入认证认证 ...................................... 163 6-4 、环境准备方法 ................................................................................................ 164
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
RADIUS安装与配置 ............................................................................................ 164 安装RADIUS ........................................................................................................ 164 6-5、各厂商交换机配置 .......................................................................................... 177
1. Cisco2950配置方法 ................................................................................... 177
2. 华为3COM 3628配置 ............................................................................... 178
3.锐捷RGS21配置 ......................................................................................... 182
第七章 系统备份及系统升级.................................................................................. 183 7-1 系统数据库数据备份及还原 ........................................................................ 183 7-2 系统组件升级 ................................................................................................ 184 7-2-1 区域管理器、扫描器模块升级............................................................. 184 7-2-2 升级网页管理平台................................................................................. 184 7-2-3 客户端注册程序升级............................................................................. 184 7-2-4 检查系统是否升级成功......................................................................... 185 7-3 级联管理模式升级及配置 ............................................................................ 185
第八章 售后服务...................................................................................................... 187
第九章 附录.............................................................................................................. 189 附录(一)微软SQLSERVER系统安装步骤 ........................................................... 189 附录(二)北信源内网管理系统名词注释 ........................................................ 195 附录(三)移动存储设备认证工具操作说明 .................................................... 196 附录(四)主机保护工具操作说明 .................................................................... 214 附录(六)组态报表管理系统操作说明 ............................................................ 221 附录(七)信息安全通告平台 ............................................................................ 230
第一章.系统介绍
1-1 产品组成
北信源内网安全及补丁分发管理系统由8部分组成:WinPcap程序、SQL Server管理信息库(安装包:环境初始化程序)、Web中央管理配置平台(安装包:网页管理平台)、区域管理器(安装包:Region Manage,原区域扫描器已作为模块集成到区域管理器)、客户端注册程序(安装包:注册程序)、补丁下载服务器、管理器主机保护模块、报警中心模块。(www.61k.com)
环境初始化程序:SQL Server管理信息库,建立北信源内网安全及补丁分发管理系统的初始化数据库。包括:网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册(未注册)机器信息、设备属性变化信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
索对比,根据规则要求在管理平台上报警。[www.61k.com]
Web管理平台:Web中央管理配置平台,本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定,网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。
Region Manage:区域管理器,系统数据处理中心。与管理信息数据库通讯,接收注册程序提供的用户信息,将用户信息(用户填写的物理信息和系统自动采集的硬件信息)并行存入数据库;接受来自控制台的命令操作,发送到客户端、扫描器执行。
对于存在多级管理要求的广域网,网络中可以存在多个区域管理器,系统数据提供逐级上报(转发)模式。
61阅读提醒您本文地址:
区域管理器内置网络扫描器,扫描器将设备最新状态信息报送至区域管理器,由区域管理器处理后,同数据库中原有信息进行遍历搜索对比,根据管理规则在管理平台上报警。
扫描器配合区域管理器进行工作,可以在分级模式下使用。扫描器只依据Web管理平台中配置的工作范围进行扫描,超越其范围,将不负责执行操作。
WinPcap程序:嗅探驱动软件,监听共享网络上传送的数据。
客户端注册程序:用户访问指定网站自动获得,用户填写本机信息,填写必要信息后上报区域管理器。注册程序自动探测系统硬件信息,连同用户填写的信息一同上报区域管理器。用户将本机注册信息发送到区域管理器后,区域管理器自动将客户端驻留程序应用策略发送给用户,并自动更新。
客户端驻留程序功能:
1. 进行本机硬件属性信息变化监视;
2. 进行本机IP、MAC地址变化审计;
3. 本机系统补丁、软件安装、运行进程状况监测;
4. 探测本机是否有违规联网行为,在内网管理中心或外网报警平台报警;
5. 接受Web管理平台的管理命令;
6. 阻断本机非法外联行为;
7. 执行Web管理平台下发的各种策略操作。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
补丁下载服务器:安装在与Internet网络连接的机器上,用于实时下载补丁厂商发布的补丁。[www.61k.com]
管理器主机保护模块:管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协议、通信IP范围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置,从而防止该计算机受到恶意的IP冲突以及各种网络、病毒攻击。
报警中心模块:安装在可与区域管理器所在服务器正常通讯的计算机上,本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、信使服务、SNMP Trap、手机短信等多种报警方式。
注:区域管理器(Region Manage)、区域扫描器模块(Region scan)、注册程序部分系统的参数配置集中体现在网页管理平台操作上,上述三部分功能参数、功能项数值统一在网页管理平台中进行配置。区域管理器(Region Manage)、扫描器模块(Region scan)部分参数在自身软件组件中配置。 1-2 应用构架
北信源内网安全及补丁分发管理系统应用于局域网、广域网构架,支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。
系统应用主要分为以下两种构架:
基本构架:对于一般网络(例如1个C类地址或若干个C类地址的局域网范围),可使用一套本系统软件,集中管理所属区域内的所有设备。
扩展构架:对于大规模的多个局域网或者跨地域广域网(包括基于国家、省、市、县等多级管理模式的网络结构),可使用本系统提供的多区域集中管理构架,即一个或多个网段各拥有一套独立北信源内网安全及补丁分发管理系统的同时,将本级所有设备信息再转发给上级管理数据库,使得上一级管理人员对整个网络的设备状况也能够完全掌握。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图1-1北信源内网安全及补丁分发管理系统应用拓扑
第二章.系统安装
2-1 安装环境
条件一:硬件环境
SQL Server数据库服务器:用于安装系统管理信息数据库。(www.61k.com]PC服务器或更高档服务器, PentiumⅣ 2.4C 以上CPU,512M以上内存。
区域管理器:用于安装区域管理器程序。百兆或千兆网卡,PC服务器或更高档服务器, PentiumⅣ 2.4C 以上CPU,512M以上内存。
扫描器模块:配置同区域管理器。如单独安装扫描器模块,比较高档的PC计算机即可。
本系统各程序可安装在同一台计算机上,也可在不同机器上安装SQL数据库、IIS服务器、区域管理器、扫描器模块等,此时推荐该计算机内存为1G以上。
建议将区域管理器、扫描器、网页管理平台安装在同一台机器上,作为监控服务器。
条件二:提供数据库、IIS服务
操作系统:Windows 2000或Windows 2003企业版操作系统。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
SQL Server2000软件:配备SQL Server数据库系统,用于北信源内网安全及补丁分发管理系统建立管理信息库数据库列表项。[www.61k.com)
IIS服务:配备IIS服务器提供Web服务,用于安装Web网页管理配置平台。如所装操作系统为Windows 2003企业版,则需要按照安装光盘中的Windows 2003的IIS配置说明进行IIS配置。
条件三:为本系统提供相应端口
北信源内网安全及补丁分发管理系统区域管理器将占用操作系统88端口,必须确保安装区域管理器的机器该端口不被占用。区域内的防火墙应打开如下端口:80,88,2388,2399,8901,8900,161,137,22105,8889,22106,22108以及ICMP协议。同时最好将DNS服务迁移至其它服务器。
2-2 安装注意事项
软件安装时,推荐将区域管理器、扫描器、数据库安装在同一台机器上(以下称为监控服务器),建议按照下面要求进行监控服务器部署、软件安装、客户端注册。
2-2-1 软件安装监控服务器部署注意事项
1、监控服务器在网络中放置位置注意点
? 确保该监控服务器能够ping通所有被管理网络中任意一台客户端机器,
同时被管理客户端可以正常连接服务器的TCP的80,88两个端口。
? 监控服务器给客户端下达策略的端口为:TCP端口22105。
? 监控服务器扫描发现客户端利用以下协议及端口:
? ICMP协议(发现IP地址存在的其中一种方式);
? NETBIOS协议,UDP端口137(为了发现机器名和MAC地址);
? SNMP协议,TCP端口161(为了发现智能设备如路由器、交换机等); ? 在本地网络中若划分了VLAN,或本地网络存在防火墙,请注意上述问题。
2、存在网中子网(如经过地址转换)的网络布置点
对于网络中存在网中网现象,如采用NAT地址转化或者代理方式在10.*. *.
61阅读提醒您本文地址:
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
*网络中接入192.*. *. *网段,这些子网用户的管理方式如下:
情况一:子网有专人管理,并且有独立机房,则应在该子网中安装一套完整的监控系统。(www.61k.com]
情况二:子网无专人管理,或无独立机房,可采用以下3种方式之一处理
1) 机器数量少的建议统一更改IP为10.*. *. * 网段。
2) 由管理员监督子网中所有机器进行注册并保证不得遗漏。
3) 在该网络中指定一台工作站专门安装区域管理器软件和区域扫描模块,
并将区域管理器配置中SQL服务器地址指向监控服务器。
2-2-2 软件安装和应用过程中注意事项
1、必须按照软件安装步骤进行安装
1)确认本机IIS服务正常;
2)确认本机SQL已正常安装并能正常使用(以本地系统账户方式安装);
3)确认目标安装盘剩余空间不小于10G;
4)请务必按照指定顺序安装各个模块;
5)请在区域扫描模块所在计算机中安装SNMP服务;
6)安装完所有系统模块后,请一定按照说明文档进行客户端程序的配置及分发安装。
2、监控服务器的安全性问题
管理服务器安装Windows2000 Server操作系统(带IIS)、MS SQL Server2000数据库后,一定要确保对Windows2000、SQL和IE进行重要安全补丁修补,规范操作系统、数据库的口令和密码设置,保证SQL、IIS的正常启动运行。
确保本服务器无病毒,同时可配置本服务器网络通讯端口仅打开:80,88,6800,8901,8900,22105,2388,2399,8889。
3、保护机制的应用
对大多数交换机、路由器、非Windows设备,需要将其设置为保护状态(避免被阻断导致网络不通),其它如有系统无法识别的重要设备,请在网页管理平台设备信息查询中手动将其设置为保护状态。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
2-3 系统组件安装
安装顺序依次为:
*安装 SQL Server数据库;
*安装WinPcap驱动程序;
*安装并运行环境初始化程序,初始化数据库;
*安装网页平台并进行划分区域,配置区域IP范围、区域管理器参数、设备扫描器参数
等(推荐安装在默认路径下);
*安装区域管理器(推荐安装在默认路径下);
*通知所有用户下载并运行注册客户端代理探头程序。[www.61k.com]
2-3-1 安装SQL server数据库
略,见附录(一)。
2-3-2 安装WinPcap驱动模块
在安装页面中选择“安装WinPcap驱动模块”按钮,单击“下一步”安装在区域扫描器所在计算机上。
2-3-3 安装远程技术支持模块
该模块是一个程序附属工具(一般不需要安装)在客户端安装程序里带有该程序, 是用户远程桌面管理及控制,有便于管理员帮助终端用户解决问题。 2-3-4 初始化数据库
初始化数据库是在SQL数据库中初始化建立VRVEIS数据库并生成系统必需的相关数据表格,在此过程中需要利用本地数据或者调用远程SQL数据库,用户需要根据实际安装情况按以下两种方式进行操作:
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
? 本地SQL数据库服务器环境初始化
1)、环境初始化,建立初始数据库
在SQL服务器地址栏中添加本地机器IP地址、SQL用户名、及SQL用户密码。(www.61k.com)
图 2-3-4-1 SQL数据库服务器环境初始化
2)、检查数据库初始化是否成功:
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图2-3-4-2 检查数据库初始化
当有如图“初始化数据库结构成功”提示框弹出时,说明已成功创建初始化数据库。[www.61k.com]否则会出现如下图所示提示信息:
图2-3-4-3初始化数据库失败提示信息
如果出现如上图所示提示信息,用户需要检查所填入的SQL数据库IP地址、用户名以及用户密码,重新初始化数据库。
? 远程SQL数据库服务器环境初始化(建议非特殊情况不采用远程方式)
1)、输入远程数据库信息,配置SQL客户端:安装远程数据库需要首先输入远程数据库IP地址、用户名称、用户密码,然后点击“配置SQL客户端”,出现如下界面:
图2-3-4-4 配置SQL客户端
2)、在通用栏中,启用TCP/IP协议:在通用栏中,选用TCP/IP协议,并启用,然后单击别名,进行别名添加设置。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图2-3-4-5 启用所选协议
3)、进行客户端别名的添加:单击上图中所圈中的别名,出现如下所示:
图2-3-4-6 对客户端别名的添加
4)、进行网络协议的选择和服务器别名的添加:此时用户需要首先选择网络协议,选定为TCP/IP,服务器别名根据用户需要自由添加,点击确定后完成数据库初始化。[www.61k.com]
2-3-5 安装Web中央管理平台
? 安装Web管理平台
此部分程序要求安装在默认路径下,安装过程中请确保信息填写正确,否则,Web服务器可能不能正确访问SQL Server数据库。
? Web中央管理平台访问
Web管理平台安装以后在IIS目录上以虚拟目录的形式存在,虚拟目录名称
61阅读提醒您本文地址:
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
为VRVEIS,用户在安装完成以后,用http://Web服务器域名(IP)/VRVEIS的形式访问Web管理平台主页面。[www.61k.com]默认用户名为admin,密码为123456。(以下的都是用admin登陆进行说明的)审计用户名为audit,默认密码为123456,详见附录(六)。
如果http://Web服务器域名(IP)/VRVEIS访问无效,则以http://Web服务器域名(IP)/VRVEIS/INDEX.ASP方式登录。
Windows2003下IIS配置以及NTFS磁盘格式配置注意事项见附录(七)。 2-3-6 安装区域管理器Region Manage
在Web中央管理平台中划分区域及指定区域管理器后(参见Web中央管理平台配置)安装区域管理器组件。安装后进行以下两项配置:
? SQL客户端配置
如果“区域管理器”没有同SQL装在同一台服务器上,需要在如下图所示窗口中将默认网络库选择为“TCP/IP”,使客户端能够远程访问数据库。在“区域管理器”中选择“配置”->“系统配置”,配置SQL客户端,也可以通过Alt+S热键,进入配置。
图2-3-6-1 SQL常规配置
上述配置完毕以后,需要重新启动“区域管理器”,使系统生效。
? 区域管理器系统配置
SQL服务器配置:进入“系统配置”,逐步输入SQL服务器IP地址、用户名称及密码、数据库名称(默认为VRVEIS),单击“确定”完成SQL服务器配置。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图2-3-6-2 区域管理器中SQL配置
2-3-7 配置设备扫描器模块Region scan
在配置好Web防护系统区域及其区域管理器后做以下步骤:
在配置管理里,点击“扫描器配置”可以添加扫描器,配置扫描范围。[www.61k.com]
图2-3-7区域扫描器配置
填写相关信息之后重新启动区域管理器,程序会自动缩小到系统托盘,表示数据库连接成功,程序运行正常,此时通过上图中“扫描器配置”项来查看扫描器相关运行信息。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
2-3-8 安装补丁下载服务器模块
在安装页面中选择“补丁下载服务器安装模块”按钮,输入序列号SN,单击“下一步”、在桌面生成DownPatch.exe快捷方式,执行后如下图所示:
图2-3-8-1 补丁下载服务器主界面
点击系统配置弹出如下图:
图2-3-8-2 补丁下载索引解析界面
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
添加补丁索引:从北信源站点获取补丁索引,用以获取补丁厂商发布补丁信息,通过对补丁索引的解析,下载补丁。[www.61k.com]按照补丁索引、管理配置要求从补丁厂商站点获取补丁,补丁下载支持各种方式(下载线程、下载时间)自定义下载补丁。
图2-3-8-3 补丁下载参数设置
2-3-9 安装管理器主机保护模块
选择安装在安装页面中选择“安装管理器主机保护模块”按钮,输入序列号SN,单击“下一步”、在桌面生成 nsscenter.EXE快捷方式,执行后在系统右下角任务栏所示绿色的图标,鼠标右键点击,可以对其进行相应的设置,具体设置参见附录(四)。
2-3-10 安装报警中心模块
选择安装在安装页面中选择“安装报警中心模块”按钮,输入序列号SN,单击“下一步”、在桌面生成 nsscenter.EXE快捷方式。具体设置参见附录(五)。 2-3-11 客户端注册及下载
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
(一)客户端注册原理及注册程序配置
? 客户端注册原理
执行注册程序,根据要求填入指定信息,系统自动将所添加信息和系统自动采集获得的设备信息发送到区域管理器(设置为转发模式的将发送到上级区域管理器),区域管理器将注册信息导入SQL数据库保存,在Web管理平台中设置的客户端参数策略将由区域扫描器扫描客户端后,发送给客户端驻留程序保存执行。(www.61k.com)
该客户端驻留程序驻留在系统内部,以服务的方式实时运行,一旦某个客户端非法接入互联网或设备改变违规,客户端就向web管理平台发送报警数据,同时本机将显示报警信息。
? 修改客户端注册程序配置文件
在web平台中配置管理->注册程序配置。注册程序使用前需要网管人员的配置,主要是设置区域管理器IP地址(注册时客户端信息发向该IP地址所在的区域管理器),如区域管理器为192.168.0.244,配置如下图所示:
图2-3-11-1 注册程序配置
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
在这里,可以对注册时需要填加的单位、注册密码进行编辑。(www.61k.com]如下图所示:
图2-3-11-2 单位和部门添加删除
(二)客户端注册方法
客户端注册方法包括网页静态注册、网页动态注册、手动注册、网关重定向强制注册等。
网页静态注册:
61阅读提醒您本文地址:
静态注册比较简单,客户端只需要将配置好的注册文件上传到公共主页上即可,做一个链接,访问主页后手动下载注册。
主要讲述动态注册,这种方法适用于网络用户较多的情况,客户端只要访问网络内公共网站,网页将自动对客户端进行探测,弹出提示窗口,提示用户进行注册。
网页动态注册:
利用网络中已经构建好的内部网站,一方面网络客户端可以通过手动获得注册程序,也可以通过在主网页上加载弹出页面的方式进行提示性注册。本手册将主要介绍后一种方式。
当网络中客户端计算机访问本网络内部网站时,在该主页代码中加入一段代
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
码(如下)。(www.61k.com)本代码作用在于首先获得该客户端计算机的IP地址,再读取数据库里面相关IP地址的注册和其它相关信息,如果该IP地址的设备存在,系统会根据其是否完成“注册”、“信任”、“保护”三项操作进行判断,只要满足其中任意一条件,都不会提示注册,否则会弹出窗口提示注册。
网页加载弹出程序方法如下:编辑已有主页的源程序,在需要加载弹出窗口主页的源代码<body>中放入以下代码:
<iframe src="http://192.168.0. 253/vrveis/quest.asp"
frameborder="0" style="width:0px;height:0px"></iframe>
注意:需要将其中的http:// 192.168.0.253/vrveis/quest.asp换成http:// 安装内网安全管理网页平台计算机IP/vrveis/quest.asp即可,此时当网络中计算机访问该内部主页时,会自动弹出如下提示页面:
图2-3-11-3 网页动态注册
使用网页动态注册时,请管理员通知注册人,在访问本网站时,暂时关闭网页弹出拦截程序或将本网站添加到不拦截列表中。
手动注册:除了自动注册设备外,遇到需要手工注册新增设备时,也可通过WEB管理平台中数据查询,设备信息查询中的手动添加设备功能,将新增设备的具体信息详细登记填写至数据库中,并将其置为保护设备。
注意:
1.多级级联注册:如果系统为多级级联方式,必须在区域管理器的高级配置中的“系统配置”、“策略配置”选项中的级联选项选中,并正确添加上级管理器的IP地址,各级区域会将自己所管辖的区域管理IP段上报到上级数据库中存储。
此时,当网络中任意一台下级区域客户端计算机访问主网站的同时,会根据
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
最上级区域数据库中存储的各级上报IP段信息,自动将该客户端注册程序文件下载路径指向为自己所处IP段的本级区域注册器上,做到各个区域的客户端计算机在访问同一网站进行注册程序下载时,所下载的客户端程序均为自己所在区域的专用注册程序。(www.61k.com]
如果网络中内部网站,网络管理员可以通知网络内计算机在本系统Web管理平台的登录页面中点击下载注册程序完成系统注册,或者在此页面下按上面的步骤做好弹出提示窗口方式注册。注册程序界面如下:
图2-3-11-4 客户端注册信息
无论采取哪种方式,在注册成功以后,注册程序除了将主动添加的信息自动上报以外,还会自动收集其它和系统相关的信息进行上报。
客户端和区域管理器连接通讯不正常的情况下,将提示用户“缺省注册成功”,表示客户端探头已经注册完毕,但还没有与区域管理器通讯。当区域扫描器扫到该计算机的IP地址时,才会将添加的信息及系统采集信息上报到区域管理器,存储在数据库当中。
2.本系统使用初期,若要求对下属网络中的计算机信息进行统计、注册、入库,必须在Web管理平台中管理器设置项内选中“允许客户端注册”,如注册时需要密码,也需要在WEB管理平台中进行设置,如下图所示:
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图2-3-11-5 允许客户端注册
图2-3-11-6 注册信息编辑
网关重定向:
作用:注册信息重定向。[www.61k.com)如果没注册的客户机上网,那么他会把上网的网址重定向到指定的注册页面上。
1.正确安装运行注册认证网关
2. 启动注册认证网关进行配置
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图2-3-11-7 注册认证网关配置
3.在系统参数里选择可以监听到整个网络包的网卡(一般这台机器为网关)
图2-3-11-8 系统参数
4. 在重定向配置里,填写对未注册、保护和信任的机器的重定向网址。(www.61k.com]策略配
置为在多长时间内重定向的次数,超过这个次数,将不再重定向。
图2-3-11-9 重定向配置
5.通讯配置,填写区域管理器的IP地址,通讯端口(一般为88),同步信息间
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
隔为同步区域管理的信息(即发现是否有新注册的信息),本地配置,侦听端口为688。(www.61k.com]
61阅读提醒您本文地址:
图2-3-11-10 通讯配置
6.配置完后点确认,然后启动注册认证网关,退出重起就可以用了。(建议把这个用在网关处或总的交换机出口处,这样可以捕获所有的信息包)
(三)客户端卸载
网络客户根据情况需要卸载客户端探头程序时,运行安装程序包中的探头卸载程序UnInstallEdp.exe如图:
图2-3-11-11 客户端卸载
记录下序列号,并将序列号复制到如下图的第一个方框中:
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图2-3-11-12 查看卸载密码
点击查看将会产生一个卸载密码,将其输入卸载密码框中点击卸载即可。[www.61k.com]
图2-3-11-13 卸载密码
或通过WEB管理平台中的点—点控制中的终端卸载如图:
图2-3-11-14 终端点对点-终端卸载
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
第三章 系统应用
本平台配置主要指北信源内网安全及补丁分发管理系统的网页平台操作,网页平台是整个北信源内网安全及补丁分发管理系统的配置操作核心,整个内网安全及补丁分发管理系统功能的实现全部在Web操作中实现,Web方式有助于管理员远程维护系统,进行统一配置和统一管理。(www.61k.com]掌握对网页平台的功能操作和配置对使用本系统来提高整个网络的安全性和解决网络管理的效率有着重要作用。 菜单功能模块:系统策略中心、数据查询、终端控制、补丁分发、运维信息、报警事件、级联总控、统计报表、系统维护等模块。
3-1配置与管理
3-1-1 区域划分
在网页平台安装完毕之后,访问http://Web服务器域名(IP)/VRVEIS访问WEB管理平台登录界面。如下所示:
图3-1-1-1 Web管理登录界面
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
其中客户端工具下载菜单提供了包括用户注册器下载、补丁检测中心、多路帮助平台、普通工具下载、管理员工具下载、工具上传管理等功能,用户按照页面提示操作即可。[www.61k.com]
图3-1-1-2 客户端工具下载界面
系统默认用户为admin,密码为123456,登录后建议管理员修改管理员密码。成功登录后,进入系统的主界面。如下图所示:
图3-1-1-3 Web管理主界面
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
? 在所处的IP地址段内,进行区域划分操作
首先进行区域添加和划分操作。[www.61k.com]
区域划分:单击配置管理里的“区域划分与配置”,对网络中的客户端进行区域划分管理,按照提示依次添加区域、增加区域IP管理范围、分配区域管理器、,并完成系统组件运行参数配置。
具体步骤:
区域描述配置栏中填写好一些必要的与区域相关的信息,如区域机构代码、区域名称、负责人姓名等。其他信息可以酌情依照实际用途填写。
本区域IP划分:根据用户实际需要在下图所示的文本框中填入需要管辖的IP地址。
其中保留IP段为该网段目前没有网络设备存在的网段,如有设备存在,则会产生报警信息。
图3-1-1-4区域划分与配置
下级区域划分:在已有区域页面中点击“增加下级区域”按钮进行下级区域添加,如集团总部下属总裁办、行政部、财务部等。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-1-1-5 增加区域
3-1-2 区域管理器配置
区域管理器:区域管理器为系统策略控制及数据接收处理中心,具有控制完成系统相关的动作行为处理功能;同时与本级数据库系统连接,统一接收注册程序提供的信息,将用户信息(填写的计算机使用人姓名、联系电话、E-mail等,计算机IP、MAC地址、硬盘、CPU、内存等其它硬件信息均为自动采集)存入数据库。[www.61k.com]
根据本区域客户端IP管理情况确定对IP地址的管理方式,若选择IP、MAC地址绑定,需要在静态IP环境下进行设置。
允许客户端控头升级:设置本区域管理器管理范围内的客户端的升级操作。 设置vpn网络虚拟管理器IP:是指添加VPN虚拟服务器的IP地址。
管理器标识:是指管理器的标记,当服务器迁移时需要设置与之相同的管理器标识。
管理器可直接通信网段:在管理多个独立子网时,该配置填写区域管理器服务器可直接通信的地址。
允许客户端注册:是指任意一台在区域范围内的客户端都可以在服务器上注册。
管理器配置同步:当选中“下级区域”时下级区域的配置应该和上级区域管理器的配置相同,当选中“全部区域”时是指下面的任意级联区域都要和区域管理器的配置同步。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
61阅读提醒您本文地址:
图3-1-2-1 区域管理器参数设置
区域管理器系统配置:当设置完当前页面这时我们可以配置刚才安装好的内网安全管理管理器去桌面双击“内网安全管理管理器”快捷方式弹出如下界面:
图 3-1-2-2区域管理器系统配置
? 先进行SQL服务器配置:进入“系统配置”,逐步输入SQL服务器IP地址、用户名称及密码、数据库名称(默认为VRVEIS),单击“确定”完成SQL服务器配置。(www.61k.com)
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图 3-1-2-3 SQL服务器配置
管理器配置:本软件默认机器操作系统88端口,若其它应用程序占用该端口,将自动更改为188。[www.61k.com]
如果区域管理器应用于多级管理(每级都有独立的SQL server和相应的内网安全管理及补丁自动分发管理平台)的级联构架体系,其上级还有区域管理器的情况下,当前区域管理器需要将所有信息上报到上级管理器。
区域管理器支持多级级联,如国家、省、市、县多级规模网络管理构架,下属区域管理器将其所有计算机报警信息转报到上级数据库。
注:需要把“上报给上级管理器”√上,输入上级管理器地址。
升级配置:用于配置区域管理器的自动升级,升级服务器地址为上级区域管理器IP。
区域管理器配置-高级设置
系统配置:
锁定下级策略是指下级不能够更改策略信息。
上报给上级区域管理器是指下级的策略,阻断,违规信息上报给上级区域管理器,在此处打上“√”添加上上级管理器地址,配置级联。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-1-2-4 区域管理器
阻断配置:
图3-1-2-5阻断配置
探头阻断:目前常用的阻断方式,由扫描器调度探头完成阻断任务。(www.61k.com)只要保证一个网段(VLAN)中有一台存活的已注册计算机,就可以实现阻断。
防火墙阻断:该方式必须与防火墙结合使用,需要设置必要的防火墙规则集和安全认证,与其它厂商防火墙不兼容。
报警过滤:本软件系统提供对多种违规变化行为的报警:非法外联、设备未注册、IP绑定变化、设备变化、探头被卸载、病毒行为报警等。
本地报警种类过滤:仅对本地网络中区域管理器管理范围内的违规变化行为进行报警显示,用户根据自身管理要求进行筛选。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-1-2-6 报警种类过滤
策略配置:系统支持对各种文件的分发,在Web中央管理平台进行软件分发操作前,必须对本项进行配置。[www.61k.com)
默认将分发文件放在C:VRVRegionManageDistribute目录下,管理员可根据需要自行更改路径,同时,修改本路径后,补丁下载存放的位置也会相应改变。
图3-1-2-7策略配置
补丁下载:将待分发操作系统补丁放置在设置好的补丁路径的目录下,在Web中央管理平台中进行分发操作。
管理员通过对参数项的选择进行下载配置,级联IP提供对上一级补丁的下载获取。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-1-2-8 补丁下载
其他配置:主要是硬件网关重定向配置,此功能必须配合硬件设备使用。(www.61k.com]
图3-1-2-9 其他配置
3-1-3 扫描器配置
点击增加扫描器设置扫描器扫描网络IP范围。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
机构代码:一般为阿拉伯数字,由用户单位根据管理要求进行设定。[www.61k.com]
扫描间隔:根据管理IP范围大小进行设置(建议设置为10分钟)。
图3-1-3-1 区域扫描器参数设置
注:扫描器配合区域管理器进行工作,扫描器的扫描范围不可能超过它的区域管理器管理的IP范围。
扫描器除了指定扫描的IP范围外还能够指定排除不扫描的地址范围,如有某些网段不需要扫描器发现设备,为缩短扫描时间,可在扫描器设置中增加禁止扫描地址段的设置。
扫描器高级配置:
图3-1-3-2 扫描器配置-系统配置
扫描器高级配置——系统配置:
扫描频率设定:用户可以根据网络中网络带宽占用情况,灵活设置扫描频率,同样可以选择是否“使用SNMP扫描”扫描方式,如果选择“使用SNMP扫描”,
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
则系统能够自动对网络设备(例如交换机、路由器、网络打印机等)进行扫描,并自动登记到设备列表库中。(www.61k.com]
61阅读提醒您本文地址:
阻断选项:如果用户选择“扫描器阻断”,此时可采取“轻量级阻断”和“重量级阻断”两种方式。
轻量级阻断:阻断计算机向网络中广播一个ARP请求报文,将被阻断计算机的IP地址及对应的假MAC地址发送给网络内所有的计算机,每台计算机收到请求后便会对本地的ARP缓存进行更新,将收到的请求中的IP和对应的假MAC地址存储在ARP缓存中。这样对于网络中的计算机看来,被阻断计算机的IP地址没有变化,而它的MAC地址已经不是原来那个了。由于局域网的网络通信不是根据IP地址进行,而是按照MAC地址进行传输。因此,被阻断计算机便接收不到网络中计算机(不含阻断计算机)传送过来的信息。
重量级阻断:阻断计算机冒充网络中的其他计算机(本网段1-255)给被阻断计算机发送定向ARP应答报文,被阻断计算机收到请求后便会对本地的ARP缓存进行更新,将收到的请求中的IP和对应的假MAC地址存储在ARP缓存中。这样对于被阻断计算机看来,网络中的计算机的IP地址没有变化,而它们的MAC地址已经不是原来那个了。因此,被阻断计算机便不能向网络中的计算机(不含阻断计算机)传送信息。
扫描器高级配置——交换机扫描配置:
交换机扫描用于扫描发现交换机,进行拓扑发现。Snmp团体名:根据拓扑管理需要输入网络中所有网络设备的snmp读团体名用“;”隔开。
图3-1-3-3 交换机扫描配置
如上图,配置扫描间隔时间一般设成5-10分钟,IP范围设置需要扫描的ip
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
段,snmp读团体名称是根据交换机口令设置的。[www.61k.com]
该功能的启用需要下载交换机拓扑模块,安装后进行网络拓扑发现。进入web管理平台主页面“运维监控”菜单,启用网络拓扑图,安装交换机拓扑模块后进行网络拓扑发现。
3-1-4 注册程序配置
控制页面如下.管理员可以通过设置来按照需求来配置客户端注册程序,让用户填入相应的信息 ,方便以后管理。其中的项有启用、必选、还可以对输入数据进行控制.后面的功能设置必须对每个功能模块启用。
图 3-1-4-1 注册程序配置
选择编辑单位/部门弹出如下图:
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图 3-1-4-2 编辑单位/部门
先选择修改单位弹出如下窗口:
图 3-1-4-3 修改单位
填写单位名称和单位备注消息点击添加/修改单位。[www.61k.com] 最后点击保存修改关闭窗口返回上级窗口如下图:
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图 3-1-4-4 保存修改
可以看到刚才添加的单位。[www.61k.com)
在此输入每个单位所对应的部门,部门备注信息.选择保存修改可以完成单位和部门的配置。
点击设置注册密码弹出如下窗体原注册密码为空。
设置注册密码是为了防止新接入设备非法进行注册。
图 3-1-4-5
直接添加新注册密码保存修改就可以。
注册单位与注册部门产生联动 当对单位和注册部门设置为必填和仅选择这时客户端注册程序 对单位和部门的填写只能按照管理员的设置来选择.不能手动填写。
使用静默注册:以上的设置都不生效这时客户端注册程序只需选择下载运行就可以。
注册程序会自己上报终端的计算机名和IP地址MAC地址。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
选择保存修改点击打包注册程序这时完成客户端注册程序配置。[www.61k.com) 3-1-5 注册部门配置与管理
新增单位:该功能作用基本与“从系统注册单位导入”相似,不同的是,它可以加入备注信息。
图 3-1-5-1再新增单位
具体方法:选择新增单位弹出如下窗体:
图 3-1-5-2再新增单位
从已注册的单位选择一个单位然后进行单位描述点击添加。后可以在左边看
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
到新增的单位之后选择新增的部门。(www.61k.com]选择新增的部门弹出如下图对部门进行描述点击添加完成操作。
图 3-1-5-3 单位描述
从系统注册单位导入:该功能作用是将客户端注册时输入的单位名称导入到“注册单位及部门”中。当客户端在注册时输入单位名称时,那么点击“从系统注册单位导入”就可以看到一个单位名称及相应的部门,同一个单位名称只出现一次。
选择左边单位与部门树目录点击从系统注册单位单位导入弹出如下图:
图 3-1-5-4 系统注册单位单位导入
√选要导入的注册单位点击从已注册部门导入。
61阅读提醒您本文地址:
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
之后选择刚才添加的单位点击从系统注册部门导入或者新增部门选择相应的部门添加即可。[www.61k.com)
图 3-1-5-5 添加部门
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
3-1-6 自定义组分配与管理
自定义组用来对网络中特定或者有特殊用途的机器进行编组,以便采取不同的管理手段,方便管理员的管理。[www.61k.com]该组的客户端成员可以由管理员根据某查询条件而查得的计算机导入自定义组。如下图所示:
图 3-1-6-1 自定义组分配与管理
1. 首先创建分组,点击创建下级组:首先创建分组,点击创建下级组,添加分组名称,分组描述,保存设置。
图3-1-6-2 创建分组
2. 向组中添加设备:点击添加设备,弹出如下图,可以按设备查找,按IP查找,按操作系统查找,选中一个点击添加,然后点击查询,导入组即可。同时还
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
可以通过设备信息查询,和补丁查询中来添加设备。(www.61k.com]
图3-1-6-3 查询设备
3. 如果需要将IP/MAC绑定,那么可以执行下面操作:将当添加完组设备以后点击“将组设备添加到IP/MAC绑定”,弹出如下图所示的“确定添加该组设备到IP/MAC绑定列表库吗?”点击“确定”即可将设备全部导入IP/MAC绑定列表。
图3-1-6-4 添加IP/MAC绑定
3-1-7 IP与MAC绑定列表
添加、查询系统IP与MAC绑定设备列表如下图(数据来源在自定义组里可以按IP操作系统等添加一个自定义组)。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图 3-1-7-1 添加系统IP与MAC绑定设备列表
图 3-1-7-2查询系统IP与MAC绑定设备列表
3-2策略中心
3-2-1 阻断违规接入管理
当扫描器发现有外来设备接入内网时,该功能可以有效地控制外来设备接入内网而带来的安全威胁(此功能慎用,在不能确认所有的可信客户端都注册前最好不要使用,同时也要把需要保护的设备保护起来),通过选中“没有注册则阻断
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
联网”复选框便可阻断所以未注册设备。(www.61k.com)同时提供了信使服务(windows2000以上操作系统)提醒IP、MAC绑定等功能,如下图所示:
图3-2-1 阻断违规接入管理
3-2-2 策略管理中心
? 如何进行策略创建和分发
(1)在“策略管理中心”中左边的策略项中可点击需要制定的策略,然后在右边的“新建策略名”中输入相应的策略名称后,单击“创建”按钮开始创建策略。
图3-2-2-1策略中心策略制定
(2)随后在具体的策略的配置中根据用户的实际需要配置好策略后,单击“保
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
存策略”就完成了一条策略的创建。[www.61k.com)(由于各个策略项的配置过程都不一样,这里不再用截图表示,下一节将具体介绍)
(3)接下来是下发策略,即指定策略的执行对象,可通过单击“对象”按钮后,可按界面的提示完成对象的分配。如下图所示:
图 3-2-2-2 下发策略
图3-2-2-3 策略分配对象
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
如图3-2-2-4表示创建策略成功
(4)如果需要让某一条策略暂时不使用,可按界面中对应的“停用”单选按钮使策略失效,需要使用的时候再单击“启用”按钮使策略生效。(www.61k.com]如果想要删除某一条策略,则直接按“删除”按钮即可。但在删除某策略之前最好先停用该条策略。
? 策略的高级设置
策略的高级设置用于客户端程序对策略的执行设置,包括策略状态(启动、停止)、策略存活时间(策略执行的起止时间)、策略执行触发条件(在何种条件下开始执行策略)、策略无效时间(规定时间内客户端不执行策略)、策略应用范围(本级区域、下级区域、所有区域)、级联策略类型等,有些策略还包括具体的触发时间设置等。
61阅读提醒您本文地址:
图3-2-2-5 高级策略设置
说明:策略存活时间范围:即策略以天为单位的存活时间段。
策略无效工作日:即可在一星期中选中一天或多天使策略无效。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
策略无效时间段:即策略以分为单位的无效的时间段。(www.61k.com)
强制策略:级联策略发到下级管理器时,下级管理员对策略内容不能修改,并且不能修改该策略的对象和启动、停用状态。
样板模版:级联策略发到下级管理器时,下级管理员对策略内容不能修改,但是可以修改该策略的对象和启动、停用状态。
策略有效网络:a.在所有网络均有效:该功能意思是策略在区域管理范围内、外均有效。
b.仅在该网络中有效:该功能意思是仅在区域管理范围内有效。
? 系统策略设定
1) 黑白名单编辑:
<1> 进程黑白名单:进程黑白名单在进程监控中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。编辑进程黑白名单时包括,进程名,产品名,源文件名等;如果是服务则只可以加服务名,同时可以加一些描述。
图3-2-2-6
<2> 软件黑白名单:软件黑白名单在软件安装监控中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-2-2-7 软件黑白名单
<3> URL黑白名单编辑:URL黑白名单在网络站点监控中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。[www.61k.com]
图3-2-2-8 URL黑白名单
<4> 端口黑白名单编辑:端口黑白名单在监控中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-2-2-9 端口黑白名单
2)硬件资源管理: 控制硬件外设的使用,启用或禁用光驱、软驱、USB移动存储、USB全部接口、 打印机并行口、调制解调器、串行口、并行口、1394控制器、红外设备、蓝牙设备、PCMCIA卡、冗余硬盘、磁带机、冗余SCSI设备用。[www.61k.com]
控制各种硬件设备及接口的启用或禁用,如果只想禁止使用移动存储设备,也可以通过“行为管理及审计”策略中的“可移动存储审计”策略来实现,设置后保存策略。
图3-2-2-10 硬件管理策略设置
2)进程及软件管理:包括监控与限制已经安装的软件、监控正在运行的进程、
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
限制运行的进程、保护启用的进程四个策略子项。[www.61k.com]
<1> 软件安装监控:用于监控客户机安装的软件是否违规和监控客户机安装的软件是否违规并做出相应的处理,仅允许安装指定的软件,如果安装了其它软件,那么客户端会出现提示,软件名要和控制面板中添加删除程序里的软件程序名一样,该功能支持模糊查询技术。还可以添加系统定义的黑名单和自定义的黑名单,并分别配置违规处理措施,高级策略项,最后保存策略。如下图所示:
图3-2-2-11 软件安装监控与限制策略
<2> 进程执行监控:用于监控客户机运行进程,并做相应处理。在“进程名/服务名”中输入进程/服务名称,也可以通过系统定义的黑名单和自定义的黑白名单,进行进程名的添加。然后设置好“控制状态”后,单击“添加控制”按钮即可完成禁止或必须的进程。
进程名:查找方式添加任务管理器查看到的就可以。
产品名称、(和)源文件名、查找方式找到安装源程序的快捷方式->点击右键->属性->选择版本->就可以查看到产品名称和源文件名。
服务名查找方式我的电脑右键->管理->服务与应用程序->服务->找到相应的服务点击右键->属性->即可看到服务名称。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-2-2-12进程执行监控
<3>软件安装行为限制:用于限制客户端软件安装行为,主要监控的方面有:注册表Run项里添加自启动项、注册表Services项里添加自启动项、程序启动项中添加项、程序项中添加快捷方式等四种方式。[www.61k.com]
例外进程:查找方式添加任务管理器查看到的就可以。
文件名例外:是指创建的自启动或快捷方式指向以上文件名。
图3-2-2-13进程执行监控
<4> 进程保护策略:进程名填写WINDOWS任务管理器里显示的进程,主要是保护需要运行的进程不被以外终止。把需要保护的进程名称填写到“进程名”菜单中,
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
然后点击添加,如有不需要保护的进程,选中此进程,点击“删除选项”即可删除。(www.61k.com)
61阅读提醒您本文地址:
注意:①这里的保护进程是指使用windows任务管理器和一般的应用程序无法终止该程序。
②这里的被保护进程,仍然可以在策略中心的软件及进程监控中进行终止,请管理员注意相关策略的设置。
图3-2-2-14进程执行监控
3)接入认证策略:是指对接入设备的一种认证方式,主要包括安全认证策略及802.1X认证策略。
<1> 补丁与杀毒软件认证策略:主要功能是对杀毒软件安全检测和系统补丁的安全检测,当未运行杀毒软件时则提示、指定下载地址让用户去安装或者直接限制网络访问,当漏打指定列表中补丁时则提示、指定相应的url地址去下载安装或者直接限制网络访问,当限制网络后可以添加允许安全服务器访问的地址。如下图:
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图 3-2-2-15补丁与杀毒软件认证策略
<2> 进程服务注册表认证策略:在认证之前,可以制订策略,先对接入交换机的终端进行安全检查,是否运行了指定运行的进程,是否开启了指定的服务,注册表里是否有指定的项、键值、键名。(www.61k.com)如下图:
图 3-2-2-16进程服务注册表认证策略
<3> 802.1X接入认证策略:802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。(www.61k.com]如下图:
图 3-2-2-17 802.1接入认证策略
在已经配置好交换机,当终端接入交换机中,会弹出认证界面,如图:
图 3-2-2-17-1 802.1x认证界面
输入ACS服务器中预先设置的用户名和口令,开启认证,如图:
图 3-2-2-17-2 802.1x认证界面
如果安全检查与策略中设定的项目有违规,则不允许802.1x认证,如图:
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图 3-2-2-17-3安全检查没有通过,802.1x不启动认证
即使安全检查通过,但输入的用户名和口令不符合ACS服务器中预先设订用户名和口令,则认证也失败,如图:
注意:需要802.1x认证的终端,需要修改系统的默认配置,将启用此网络的IEEE802.1x验证选上,如图:
4) 主机安全策略
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
<1> 用户密码策略:
此策略可以对系统的本地安全策略、本地帐户锁定策略、屏保进行设置,同时可以检测系统密码弱口令,除系统自定义的弱口令外,用户可以自己添加自定义弱口令集。[www.61k.com]
图3-2-2-18用户密码策略
〈2〉用户权限策略:检查系统用户、系统用户组的权限的改变和系统用户、系统用户组的增加或减少。 当以上的某一条件符合时,则弹出相应的提示信息。 注:此策略生效需要重新启动注册客户端电脑。
图3-2-2-19 用户权限策略
〈3〉防火墙策略:本策略是基于各种网络协议的原理和各种网络软件对网络
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
的实际应用,用来控制各种网络使用和计算机端口的使用,在客观上起到防火墙的作用。(www.61k.com)此策略需要管理员对网络协议和计算机端口有一定的认识,请慎重制定。通过对端口和协议对计算机用户的网络操作进行监管。
本地端口:是指在网络的使用中。本地计算机使用的端口 如果选择这个选项。则在本策略的对象范围内的计算机无法启动使用该端口的服务
远程端口:是指在网络的使用中,本地计算机可以启动本服务,但是无法访问远程计算机提供相应的服务端口
1) ICMP协议控制是系统对ICMP协议的控制,主要是通过判断计算机间的互相通信是否正常来判断的。一般来说,只要执行MS-DOS窗口下的ping命令即可。
2) “禁止ping入”是指不允许其他计算机(包括局域网计算机和远程计算机)用ping命令来探测本地计算机的通信状态。
3) “禁止ping出”是指不允许设置的对象客户端机器用ping命令来探测其他计算机(包括局域网计算机和远程计算机)的通信状态。
4) “禁止双向”指同时禁止任意两台计算机(至少有一台是本地计算机)的通信检测。超级IP指的是本IP不受上边制定的所有策略的限制。 5) 超级端口指本端口和所对应的服务不受上边制定的所有策略的限制。 如下图所设置的一个样例表示:只开放本地计算机的80端口;只允许192.168.0.11-192.168.0.120该IP地址段中的IP访问本地计算机;禁止其他计算机ping入。
61阅读提醒您本文地址:
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-2-2-20 防火墙策略设定
〈4〉注册表检查策略:监测选定用户(本策略的对象)计算机的注册表内容和该内容的设定值,防止注册表被病毒或其他恶意程序修改,起到对计算机的安全防护作用。[www.61k.com)
1) 注册表项名称:在“运行”项输入“regedit”然后点确定。出现注
册表窗口,在左边窗口显示的就是注册表项的名称,可以用鼠标右键
点击制定策略需要的注册表项,选择“复制项名称”。将其粘贴到注
册表项名称。
2)
3)
4) 键名:在注册表窗口中,右边窗口中的名称标题下的内容就是键名。 值类型:同注册表右边窗口的值类型的三个选项。 键值:在注册表右边窗口中的数据标题下的内容就是键值,可以将需
要查询的键值输入到策略平台的响应空白处。
5)
6) 检测条件:根据需要选择相应的条件。 适合操作系统:根据对象的计算机操作系统状况进行选择具体的操作
系统。
图3-2-2-21注册表检查策略
〈5〉注册表保护策略:屏蔽选定用户(在本策略的对象中设定的)计算机的一些程序进程对注册表的使用,先填入要屏蔽的进程名,再点击添加进程可以添加;选择要删除的进程名,点击删除进程,删除不需屏蔽的进程。通过该策略可以有
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
效的防止违规进程对用户注册表的破坏。(www.61k.com]
图3-2-2-22注册表保护策略
注意:如果有软件在安装和运行之前就要禁止其修改注册表的话,请查阅该软件的相关文档中有关程序和进程的说明。
〈6〉IP与MAC绑定策略:实现对接收该策略的计算机实行IP与MAC绑定,当IP与MAC绑定发生变化时,可对其自动恢复、弹出提示框、或断开网络并持续
1选中“主机IP保护”可防止其它设备使用与本机相同IP阻断该计算机等。○
2选择“同时根据802.1策略做相应处理”主要是针对地址而造成的地址冲突。○
网络中需要802.1X认证才能接入的客户端,如果下发了IP与MAC绑定策略后,IP与MAC发生变化时,则会依据802.1策略做相应处理。
注:下发IP与MAC绑定发生变化同时自动恢复时,不能在同时下发主机保护策略。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-2-2-23 IP与MAC绑定
〈7〉杀毒软件策略:检查客户机是否安装杀毒软件,并做提示、断开、重启计算机等操作。(www.61k.com)
杀毒软件升级设置:用于自动升级杀毒软件。这此功能生效的条件是需要把杀毒软件的升级文件放到Regionmanage/distribute/anthverusupdate,目前支持的可升级的杀毒软件有北信源、macfee、瑞星、诺顿。
图3-2-2-24 杀毒软件策略
5)补丁分发策略
<1>补丁自动分发:提供客户端补丁的自动下载及安装,可分类别和级别对客户
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
端下发补丁,同时提供补丁分组功能,可设置补丁探测时间,补丁安装时选择后台运行等。[www.61k.com)补丁安装完毕后,可以查看补丁安装的具体情况。基于分发时间、补丁检测周期等进行策略制订,策略发送到网络客户端后,客户端注册程序统一执行补丁应用策略。
图3-2-2-25 补丁自动分发策略
<2>人工选择补丁分发:该功能可以根据人工选择特定的补丁下发给客户端,可以设定运行参数、定时检测、运行提示以及运行方式等,如下图所示:
图3-2-2-26 人工选择补丁分发
如:在WindowsXP中运行“WindowsXP-KB825119-x86-CHS.exe”补丁为例,首先进入命令提示符窗口。接着在进入系统补丁所在目录后,按“补丁名称+/?”
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
的方式来查看一下该补丁支持的命令行参数,如图所示:
图3-2-2-26-1 补丁执行参数项
6)软件分发策略
普通文件分发策略:提供服务器向客户端分发各种文件、如可执行文件并可以自动运行,服务器端可以选择分发的目标路径、设定运行参数、是否后台运行,同时向客户端发送提示信息。[www.61k.com]
具体操作:点击“浏览”选择需要分发的文件后,单击“开始上传”按钮,待上传完毕后即可在“文件名”处的下拉框中选择欲分发的文件(也可以一次上传多个文件)。最后单击“保存策略”按钮,待依次指定对象和启用策略后,该策略则开始生效。文件完全分发到客户端需依照文件大小决定。分发完后根据条件进行安装文件检测,确定文件安装成功
图3-2-2-27 普通文件分发策略
内网安全管理软件 北信源VRVEDP内网安全管理系统手册 61阅读提醒您本文地址:
7)违规外联策略:监视违规网络连接(modem拨号、双网卡、代理等),并对违规行为做出相应的处理,检测计算机(在本策略的对象中设定的)的网络使用是否符合制定的原则,对不符合原则的计算机进行处理。[www.61k.com]
基本设置:
①违规监控设置:通过设置,检测策略应用的对象的客户端是否能和外网通信来判断该计算机是否违反了管理员制定的规则。如果使用本策略的话,必须点选“允许探头进行违规联网监控”选项和“采用探测外网方法”两个选项。“外网地址”选项,是利用系统的功能,对这两个地址,进行检测,当可以与这两个网站通信时,视为本机违反策略。“客户端所限定使用的网段”是指,如果客户端访问的ip地址超过了在这个选项中设置的范围,也视为本机违反策略。本选项需要填写ip地址范围,范围中间区域用“—”来间隔。“采用探测外网方法”和 “客户端所限定使用的网段”这两种方法,是并列的,单独使用其中的一种或者两种同时使用都可以满足您的需要。
②禁止使用代理上网访问:如果选择这个选项,则浏览器无法使用代理服务器访问网络,该选项可屏蔽浏览器使用内网或者外网的大多数代理服务。 如下图所示制订了一条违规外联策略:
图3-2-2-28 违规外联策略设置
当执行该策略的客户端有违规外联事件发生时,客户端将弹出管理员设置的提示信息,如下图所示:
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-2-2-28-1
涉密内部网络用户(例如重点金融涉密网络、重要政府机关涉密网络)
网络要求:此类网络具有绝对严格的隔离度,未经允许的任何移动设备(笔记本电脑等)均不能接入涉密内部网络,同时不允许内算机非法接部网络中的计入外部网络。[www.61k.com)
普通办公网络用户(例如各大证券公司等办公网络):
功能项说明:
A、“该客户端所限定使用的网段”:支持网络中客户端使用网段的限制,选定此项功能后,如果其IP不在所限定的范围内,并且可与下边设置的设备数存在数据流,系统将自动报警,并执行相应的处理手段;
B、“允许客户端探头进行违规联网监控”:此项需要选中,用来监控内部网络中计算机是否有非法外联入Internet的现象;
C、“违规联网外网地址一”、“违规联网外网地址二”:此两项中添加一个或两个用来进行违规联网监控的外网固定地址(该地址要求能够ping通),用来接收非法外联客户端的外网报警信息(此时需要安装外网监控服务器端软件),此时同样可以在Web管理平台查看非法外联报警信息,外网特征字符串为设定的监测IP的网页上的标题文字,以便对其外联行为进行确认;例如:违规外联外网地址一:www.sina.com,特征字符串可为:新浪。
D、“探头发现设备违规后的处理方式”:进行设备带入带出网络监控,规定网络中客户端无论在网内连接还是独立接入其它网络时所采取的处理措施。
不处理:对此行为不做任何处理。
断开网络:对违规的客户端进行断开网络处理,使其与本网络断开连接。 断开网络并关机(重启恢复):断开网络后并且关机,以保护网络安全,重启后恢复。
断开网络并关机(需解锁):断开网络并且关机,以保护网络安全,计算机需
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
要解锁。(www.61k.com]
仅提示:仅对违规客户端发出提示信息,不做任何操作。
8)行为管理及审计
〈1〉文件输出审计策略:该功能用来屏蔽和设置选定用户计算机的文件输出和监控。其中包括设置打印机拒绝打印的文件类型;将固定扩展名的文件拷贝到网络盘;禁止发送邮件和对审记结果的上报。这里的打印控制与审计功能包括本地打印和网络打印。
图3-2-2-29文件输出审计策略
〈2〉文件保护及审计策略:
1.保护和审计选定用户(在本策略中的对象中设定的)计算机的指定目录和网络共享文件的读取、修改、删除权限。
2.可以设置当哪些进程操作指定文件时进行保护,哪些进程操作指定文件时不实施保护。
上报服务器:就是将审计记录上报到服务器并进行记录
保存到本地:是当计算机脱离网络时无法上报到服务器就记录到本地,等计算机接回网络时再上报到服务器。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-2-2-30文件保护及审计策略
〈3〉工作目录管理:设置指定目录为工作目录,并指定进程对其进行操作,并对进程操作进行控制,达到对工作目录的管理。[www.61k.com)
1 选中“指定进程允许操作非工作目录下的文件”则设置的工作进程可以对工作目录以外的文件进行操作。但所有生成文件都保存在工作目录下。
2选中“指定进程外的其它进程允许操作工作目录下的文件”则除设置的工作进程以外的其他进程也可以对工作目录下的文件进行操作。但所有生成文件都保存在工作目录下。
3.将系统目录,Program Files,Documents and Settings目录设置成工作目录将不生效,禁止设置这些目录为工作目录。
图3-2-2-31工作目录管理策略
<4>上网访问审计:该功能用来审记对Web站点的访问,并且能够将审计结果处
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
理上报到服务器和本地文件。[www.61k.com]
61阅读提醒您本文地址:
图3-2-2-32 上网访问审计设置
<5>其他行为审计策略:对指定对象的键盘操作和打开窗口操作进行审计,并可记录到本地文件。
图3-2-2-33 其他行为审计策略
9)涉密检查策略
<1>IE访问检查:检查访问某一特定网络的历史信息,针对IE缓存、IE清单、Cookie信息,收藏夹,在检测网络地址中输入网站的域名后,单击“添加到列表”按钮,最后保存策略并指派对象,启动策略即可。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
如果待检查的计算机中留有以上待检查的信息,则显示提示信息框。(www.61k.com)
图3-2-2-34 IE访问检查
<2>文件内容检查:对指定的某一文件夹或某一类型文件,检查是否有违规的信息。添加检测文件夹的名称及检测文件的后缀名称,按逻辑条件进行检测,“or”代表两个条件中有一个成立则检测,“and”代表两个必须要多符合才检测。
图3-2-2-35 文件内容检查
10)可移动存储管理
〈1〉可移动存储设备审计:针对对移动存储设备(如: U盘、光盘、安全U盘)的连接、文件的拷贝、移动等行为进行审计处理,并记录其操作时间等相关信息。另外,也可以对本单位内的专用U盘进行打标签加密分区处理,即:可以做到本单位的计算机只可以使用本单位的专用U盘,不能对外来U盘操作。而
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
本单位的U盘也只可以在本单位内使用,不能拿到外单位用,达到了专用U盘的目的。[www.61k.com)
图3-2-2-36 移动设备审计
11) 主机运维策略:
<1>运行资源监控策略:(CPU信息、内存信息、硬盘信息等监控)、客户端流量异常监控、进程异常监控(未响应窗口监控、意外退出进程监控)。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
本策略主要针对服务器和重要主机而设计的,网管人员十分关心服务器和重要主机的运行状况,如CPU、内存、硬盘等关键硬件的信息就能直接反映它们的运行情况,用户可以根据管理情况定制报警策略。[www.61k.com]
图3-2-2-37运行资源监控策略
<2> 进程异常监控:策略作用:对选定用户计算机的进程状态进行监控。
① 未响应窗口监控在相应的“监控窗口名”处填入需要监控的进程名。
进程名可以在windows任务管理器的进程菜单下查看。选择具体需要的操作:“上报”:将情况上报给区域管理器;“结束进程”:在客户端结束该进程;“结束并重新启动进程”:在客户端先结束进程,然后再启动该进程。选择好以后,点击“添加进程”,进程名称将出现在未响应窗口监控的列表中,重复上述操作,可添加多个监控的进程。如果有进程需要取消监控,在未响应窗口监控的列表中点选该进程名,点击删除进程即可。
② 意外退出进程监控在相应的“监控窗口名”处填入需要监控的进程名。
进程名可以在windows任务管理器的进程菜单下查看。选择具体需要的操作:“上报”将情况上报给区域管理器,“重新启动进程”在客户端自动重新启动该进程。选择好以后,点击“添加进程”,进程名称将出现在意外退出进程监控的列表中,重复上述操作,可添加多个监控的进程。如果有进程需要取消监控,在意外退出进程监控的列表中点选该进程名,点击删除进程即可。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-2-2-38 进程异常监控
<3>垃圾文件清理:指定文件清理目录,再根据清理文件类型条件进行文件清理。(www.61k.com)
图3-2-2-39垃圾文件清理
<4> 系统自动关机:设置系统在多长的时间内无键盘鼠标操作后则自动关机。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图 3-2-2-40系统自动关机
<5>自定义系统设置 :设置隐藏控制面板、网络邻居、我的电脑、软盘盘符、光驱盘符、硬盘盘符
图3-2-2-41 自定义系统设置
12) 流量管理策略
<1>流量采样策略:管理员可根据所属单位的具体情况来配置流量采样阈值和并发连接数量,如有符合条件者将可以在“运维监控”中的“客户端流量统计”
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
中查询到。[www.61k.com)
图3-2-2-42 流量采样策略
61阅读提醒您本文地址:
<2>流量控制策略:实现对流量可疑、发包数可疑、并发连接数可疑的客户端进行阻断、提示、上报给上级区域管理器操作,也可以给客户端显示相应的提示信息。
图3-2-2-43流量控制策略
13) 消息推送策略:
<1>消息推送策略:向客户端发送消息通知,请求重新注册信息、消息通知并确认回馈,要求升级或同步终端数据等消息。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-2-2-44消息推送
<2>消息推送扩展策略:在输入框里输入需要发送消息的内容,可以在“持续时间”输入框中,填写需要显示提示框的时间,倒计时过后,消息框会自动消失。[www.61k.com)
图3-2-2-45消息推送
14) 备份策略
客户端文件备份:对选定用户计算机的指定文件进行备份在“文件/目录(全路径)”中输入文件/目录的全路径,单击“添加”到需备份文件/目录列表,在备
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
份过滤中输入需要备份的文件格式,输入远程备份服务器的IP,共享目录名,登陆备份服务器的用户名、密码。[www.61k.com]
间隔时间默认值为120分钟,最小值为3分钟。
注:下发此策略,要求系统模式为经典模式。
图3-2-2-46客户端文件备份
15)Intel vPro策略
Intel vPro设备检查策略:设置AMT设备的用户名和密码,向区域管理器上报一些信息。
图3-2-2-47VPro策略
16)管理器策略
订阅级联审计数据:搭建好的级联环境,可以通过下发此策略,把下级服务器的
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
级联数据上报给上级服务器。(www.61k.com)必须要选择“提取下级平台设备基本信息”设置提取时间(设置时间要于服务器的时间为准),选中需要上报的相关数据(也可以全部选择),设定上报时间,保存即可。
图3-2-2-48订阅级联审计数据策略
17)终端配置策略:
<1> 终端设置策略:对客户端时间,ARP阻断以及各种信息的上报等进行设置。
“同步终端时间”中选中单选框是,可同步客户端时间为服务器时间。 “自定义探头应答IP”中输入IP后,表示更改区域管理器为指定的IP,若要添加更多的IP,各IP间用分号分隔。
“自定义ARP阻断设置”中选中单选框是,则可设置每次发送ARP欺骗包的间隔时间和持续时间。
“审计日志上报间隔”。
“补丁信息上报”: 将终端补丁安装信息上报到服务器。(注:若已下发了自动补丁分发策略,则此功能自动开启。)
“进程信息上报”将终端系统运行进程情况上报服务器。
“软件信息上报”将终端系统软件信息定时上报到服务器。
“策略更新周期”指定客户端按设置间隔时间进行更新。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-2-2-49终端设置策略
<2> 终端代理扫描策略:利用客户端探头进行本网段扫描,并且本网段中必须有一台已注册的计算机。(www.61k.com)
图3-2-2-50终端代理扫描策略
18)组合策略
<1>组合策略分发:将以上制定的若干种策略项集合成一个策略执行,包含各个子策略的功能;
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-2-2-51 组合策略
19)管理升级策略:
终端升级管理策略:客户端需要升级时,下发此策略可以推动客户端升级。(www.61k.com)
图3-2-2-52组合策略
20) 按对象分配策略:
<1> 按设备分配:策略管理中心—>设备-->策略查询,用户通过设备IP或设备名称查询下发给该设备的策略,能够快速查找到相应的客户端正在执行的策略,并支持模糊查询。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-2-2-53 按设备分配
<2> 按用户组分配:支持为不同的用户组分配,可以根据(附图)新创建的新策略中分配策略,也可以从已有的策略中选择策略进行分发,同时对于已经编辑好的策略,还可以重新编辑或是取消该策略。(www.61k.com]
图3-2-2-54按用户组分配(一)
61阅读提醒您本文地址:
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-2-2-55按用户组分配(二)
<3> 按设备组分配:可以为自定义的用户添加策略,并且可以显示为每一组自定义的用户下发的策略,并且可以编辑和或取消该策略。(www.61k.com)
图3-2-2-56 按设备组分配
21)策略下发查询:
用户可以查看策略的下发情况,查询下载策略的设备IP及名称和下载时间等信息。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-2-2-57 策略下载查询
3-3数据查询
数据查询是根据内网安全及补丁分发管理系统工作的结果,向管理员提供对网络设备信息、网络划分信息、网络中相关的设备安全状态信息的综合查询,也包括本地注册情况统计、本地设备资源统计、本地设备类型统计等,可以帮助网管人员很形象的管理网段中所部署的客户端。(www.61k.com]
1)本地注册情况统计:可以通过表格显示或是柱状图的显示,统计区域设备总数(区域范围内的所有机器,包括有IP的路由器、交换机等,但除去黑名单内的机器)、应注册设备数(除去被划为黑名单设备、未获得MAC的设备、被保护被信任被阻断的设备、设备的累计在线时间没有超过24小时设备、在一天内没有开过机的设备)、已注册设备数(已经注册的设备总数)等。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-3-1 本地注册情况统计
2)本地设备资源统计:统计客户端设备资源的相关信息,包括(操作系统、CPU主频、设备内存等信息)。[www.61k.com]
图3-3-2本地设备资源统计
3)本地设备类型统计:统计系统区域里设备类型的总数,包括(应用服务器、网络设备、其他设备等)。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-3-3 本地设备类型统计
4)USB标签制作查询,通过标签工具为U盘制定标签后,可以通过‘U盘编号、所属部门、使用人等相关信息,查询为U盘制作的标签的相关信息。[www.61k.com)
图3-3-4 本地设备类型统计
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
3-3-1设备信息查询
查询信息包括计算机所属区域、部门、设备名称、单位名称、资产号、设备类型、联系电话、使用人、设备IP、MAC、注册、重新注册、信任、保护、阻断、开机、杀毒软件、杀毒厂商、系统等信息。[www.61k.com]
图3-3-1-1 网络设备信息查询
根据▼▲符号对查询数据进行降序、升序排列列表。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-3-1-2客户端数据查询
3-3-2注册设备资产查询
对已经注册的设备进行设备资产查询,提供多个复合条件查询。(www.61k.com)如通过设备总数、设备标识、MAC地址、CPU类型等。
图3-3-2 注册设备资产查询
3-3-3设备安装软件查询
对计算机安装的软件进行查询,根据软件类别,如必须安装的软件、禁止安装的等进行查询软件。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-3-3-1 软件查询界面
图3-3-3-2 软件查询配置
在“软件查询设置”中设定必须安装的软件、禁止安装软件、必须执行的进程、禁止执行的进程等主程序名称的特征字符串,添加后保存。(www.61k.com) 3-3-4设备首次运行进程查询
依照进程名称、文件大小、版本、进程所在路径、进程所打开的端口、进程运行次数等进行查询。可以用于对病毒、木马、黑客程序等进程的查询。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-3-4 运行VRV特征字符串的进程查询结果
3-3-5共享目录查询
对计算机的设备的共享目录进行查询,根据共享名、共享路径等进行查询。(www.61k.com) 注:需要对已经注册的客户端下发‘策略中心-终端设置策略-共享目录上报’才可以查看此信息。
61阅读提醒您本文地址:
图3-3-5共享目录查询结果
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
3-3-6设备IP占用状况列表
查询系统区域里IP占用情况统计,提供:空闲IP、注册IP、已注册IP的查询。(www.61k.com)
图3-3-6IP占用情况查询结果
3-3-7硬件变化设备查询
客户端注册时,已经把其硬件信息注册入库,如果客户端硬件有变化(增添或卸载),如:驱动程序、硬盘变化等,则可通过该查询条件查到。
图3-3-7 硬件变化设备查询
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
3-3-8移动设备审计查询
查询事件内容包括设备接入、从移动设备拷入、拷出到移动设备。(www.61k.com)
图3-3-8 移动设备使用审计
3-3-9上网访问审计
查询事件包括对上网的访问审计的记录。
图3-3-9 上网访问审计查询页面
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
3-3-10文件输出查询
查询事件包括对打印文件输出,电子邮件输出,网络共享输出的审计。[www.61k.com]
图3-3-10文件输出查询页面
3-3-11文件保护审计
查询被保护文件的操作,包括访问文件、修改文件、删除文件等。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-3-11文件保护查询页面
3-3-12违规软件及进程
提供查询计算机设备软件及进程安装和使用情况,包括安装禁用软件、未安装必用软件、运行禁用进程等,提供各种类型的查询,如:单位名称、部门名称、所属区域等。(www.61k.com]
图3-3-12违规软件及进程查询页面
3-3-13安全策略违规查询
查询事件内容包括注册表键值检测、系统弱口令、用户权限变化。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-3-13-1 安全检查策略查询组合
图3-3-13-2 查询结果
3-3-14涉密检查查询
根据策略中心中配置的策略,进行包括IE访问涉密检查(IE缓存、IE清单、cookie信息、收藏夹),文件内容涉密等方面的查询。(www.61k.com]
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-3-14 违规涉密安全检查结果
3-3-15消息确认查询
用户可以通过消息确认查询查看客户端接收到消息通知后的反馈信息。[www.61k.com]
图3-3-15 消息确认查询
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
3-3-16软件分发查询
可查询软件分发是否成功及软件运行安装情况,并查询记录的分发时间及运行时间。(www.61k.com]
图3-3-16 查询软件分发
3-3-17软件分发统计
对软件全网分发情况进行统计,并可以通过查询界面查看成功分发或失败分发的计算机信息,统计成功率。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-3-17 软件分发统
3-4终端控制
3-4-1终端管理:
提供对网络计算机终端的行为控制、状态监测等方面桌面控制管理。[www.61k.com)
`图3-4-1 终端控制管理
`图3-4-1-1 终端控制
1.设备基本信息:点击设备基本信息可以直接获取该客户端的基本注册信息。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-4-1-2 终端管理(设备基本信息)
2.终端进程管理:可以获取该客户端当前运行进程,并可以远程结束非系统进程。[www.61k.com]
61阅读提醒您本文地址:
图3-4-1-3终端管理(终端进程管理)
3.终端服务管理:可以获取该计算机远程服务启动情况的信息,并可以对其服务启动方式进行远程设置。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-4-1-4 终端管理(终端服务管理)
4.终端端口管理:可以查看远程计算机连接协议类型、IP地址、端口号,并可以远程切断连接端口。[www.61k.com]
图3-4-1-5终端管理(终端端口管理)
5.查看安装软件:可以查看客户端计算机实时安装的软件信息,并可以查看软件
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
安装变更记录。(www.61k.com]
图3-4-1-6终端管理(查看安装软件)
6.查看漏打补丁:实时查看客户端存在的系统漏洞及危险级别。
图3-4-1-7 终端管理(查看漏打补丁)
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
7.查看运行资源:远程查看客户端计算机的运行资源情况。(www.61k.com)
图3-4-1-8 终端管理(查看运行资源)
8.查看系统用户:可以查看远程客户端当前登陆用户和系统用户情况。
图3-4-1-9 终端管理(查看系统用户)
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
9.终端事件查看:可以获取远程客户端的系统信息、安全日志及应用程序日志。[www.61k.com)
图3-4-1-10 终端管理(终端事件查看)
10.硬件资产查看:远程查看客户端的实时硬件信息。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-4-1-11 终端管理(硬件资产查看)
11.共享目录列表:远程查看该客户端所共享的资源及资源路径。[www.61k.com)
图3-4-1-12终端管理(共享目录列表)
12.当前执行策略:可以远程查看客户端策略执行情况,并且可以重新同步客户端策略。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-4-1-13终端管理(当前执行策略)
13.终端访问审计:远程实时审计客户端的访问情况。(www.61k.com]
图3-4-1-14终端管理(终端访问审计)
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
3-4-2行为控制
1.消息通知:对选定客户端计算机实时发送消息,并可以设定客户端是否做消息回馈操作。(www.61k.com]
图3-4-2-1 行为控制(消息通知)
2.运行程序:可以在服务器端强行指定客户端运行.EXE、COM、BAT等为后缀的程序,并可以设置成以服务或隐藏两种方式运行。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-4-2-2 行为控制(运行程序)
3.查杀病毒:提供全盘杀毒或制定某一目录杀毒,根据需要可以在杀毒前提示。(www.61k.com)
图3-4-2-3行为控制(查杀病毒)
4.修改网络配置:可远程修改客户端计算机的名称、IP和DNS等网络配置。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-4-2-4行为控制(修改网络配置)
5.断开网络连接:可以远程阻断客户端联网,并可自定义提示信息。[www.61k.com)
图3-4-2-5 行为控制(断开网络连接)
内网安全管理软件 北信源VRVEDP内网安全管理系统手册 61阅读提醒您本文地址:
6.恢复网络连接:可以远程恢复客户端联网,并可自定义提示信息。[www.61k.com)
图3-4-2-6 行为控制(恢复网络连接)
7.同步终端数据:通过同步客户端数据使客户端注册数据同服务器保持一致。
图3-4-2-7 行为控制(同步客户端数据)
8.锁定键盘鼠标:远程锁定或解锁客户端键盘或鼠标的锁定状态,可以自定
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
义提示信息。[www.61k.com)
图3-4-2-8 行为控制(锁定键盘鼠标)
9.重新注册:可以给客户端发送重新注册窗口,同时自定义提示信息,并可以同步终端注册信息。
图3-4-2-9行为控制(重新注册)
10.终端升级:点击后可以发送要求客户端升级的命令,并进行远程对客户
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
端探头进行升级。(www.61k.com]
11.终端卸载:点击后可以远程对客户端探头进行卸载。
12.关闭计算机:点击“提交处理”按钮后可以远程重新启动或关闭客户端计算机,可以设定计算机重启或关闭倒计时,并可在操作执行前进行提示。
图3-4-2-10行为控制(关闭计算机)
3-4-3 VPro 远程管理
1. VPro 远程管理用户设置:设置AMT远程登陆管理的用户名和密码。
图3-4-3-1 VPor远程登陆管理
2. 开关机操作:可以远程对AMT机器进行开关机;设置开机引导模式从光盘,
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
硬盘,安全模式等启动;以及在开关机时索定键盘,鼠标等外设。[www.61k.com]
图3-4-3-2
3. 查看硬件资产:查看AMT机器的BIOS、操作系统、主板、内存、外设、多
媒体设备的详细信息。
图3-4-3-3查看硬件资产
4. VPro远程设置:可以远程通过WEB页面来控制AMT机器。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
3-4-4远程协助
1.数据包分析支持:可启动数据包分析工具,对客户端进行全程数据包分析。[www.61k.com]
2.屏幕支持:可远程监控客户端屏幕。
3-5补丁分发
对补丁进行分类显示,设置补丁检测页面的运行参数;支持多种方式对补丁分发结果信息进行查询。
图3-5-1 补丁库分类列表
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-5-2补丁下载设置
图3-5-3 本地补丁分发查询
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-5-4 本地补丁分发统计
图3-5-5 本地补丁安装统计
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-5-6 级联补丁分发查询
图3-5-7 级联补丁安装统计
3-6运维信息
3-6-1客户端流量排名
监测网络中客户端流量信息并进行排名,报警异常网络流量,能够对客户端进行流量报警。[www.61k.com)
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-6-1 客户端流量排名
3-6-2客户端流量统计
根据流量统计满足各种条件(如:30分钟内最大值、当天最大值、本周最大值等)的计算机的IP、名称以及所属的区域名称等信息。(www.61k.com)
图3-6-2 客户端流量统计
3-6-3运维状态异常
61阅读提醒您本文地址:
根据运行资源异常、网络流量异常、运行进程异常等条件查询异常状态的客户端。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-6-3运维状态异常
3-6-4交换机端口管理
交换机端口管理模块可以对网络中可管理的交换机进行发现和管理,发现的信息包括交换机的IP地址、交换机名称、各端口的连接状态、每个端口下所连接的计算机和端口当前流量,管理方式包括对交换机端口进行开启或者关闭,发现和管理的方式都是通过SNMP协议来完成的,需要可管理交换机开启相应的管理协议,以图形加数字的形式直观的显示交换机的状态,方便管理员管理
图3-6-4交换机端口管理
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
3-6-5网管帮助设置
通过网管帮助设置,填写姓名、IP地址、电话等相关信息,保存后选择“可用”即可在“呼叫帮助中心”请求网管员的帮助。(www.61k.com)
图3-6-5网管帮助设置
3-7报警事件
提供网络设备信息非法外联、IP绑定等事件性安全信息进行报警统计,并支持级联方式下的报警数据查询。
北信源内网安全及补丁分发管理系统支持对于非法外联、设备变化、IP绑定变化、探头被卸载、流量异常、主机运维异常、网络异常、病毒行为等八种事件的报警。对于不同的事件,就查询数据库不同的字段,所以前台网页除了在“报警类型”上不同外,其他都相同。如下图:(除红色区域内各种报警类型都不同,其他都相同)
3-7-1报警数据查询
策略中心各种报警策略的报警信息查询。
1)阻断报警查询:设置“未注册阻断功能”后,被阻断的设备即可在此查询到,同时策略里的阻断功能,如IP、MAC绑定策略的阻断记录,也可以在此
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
查询。[www.61k.com)
图3-7-1-1阻断报警
2)IP与MAC绑定变化报警:根据策略中- IP与MAC绑定策略的设置,当IP、MAC绑定发生变化上报报警信息到服务器,在此支持查询。
图3-7-1-2 IP与MAC绑定变化报警
3)违规外联违规报警:根据策略中心-违规外联策略的设置,客户端有报警信息时,在此即可查询。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-7-1-3 违规外联违规报警
4)设备变化报警:当设备发生变化时,如:计算机名称、CPU等设备变化时,则可在此查询。(www.61k.com)
图3-7-1-4 设备变化报警
5)流量异常报警:根据策略中心-流量管理策略设置,如客户端流量情况超出了定义值,则会有报警信息在服务器端。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-7-1-5 流量异常报警
6)探头卸载报警:主要是为了查看客户端注册程序情况的查询,若客户端有探头程序被卸载(正常情况的卸载),则可以通过服务器在此查看结果。(www.61k.com)
图3-7-1-6探头卸载报警
7)其他报警查询:主要上报客户端探头的存活信息,以及除以上没有报警的信息。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-7-1-7 其他报警查询
8)违规上网报警:检查客户端违规上网情况报警统计。[www.61k.com]
图3-7-1-8 违规上网报警
3-7-2图形化报警
以图形的形式来表现提示报警信息,该策略分为:图形化报警配置、报警灯级别配置、图形报警显示
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-7-2-1 报警管理
1. 图形化报警配置
图3-7-2-2图形化报警配置
定义小球:每个小球表示不同区域,这些区域可以是所属区域、IP范围、设备分组、所属部门。[www.61k.com)当小球表示的区域有报警时,小球就会变色。在“添加报警设置”后,点击“添加”,即可建立小球。将小球放到所需的位置
2. 图形化级别设置
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
61阅读提醒您本文地址:
图3-7-2-3 图形化级别设置
报警分四态:安全状态、轻级状态、中级状态、重级状态。(www.61k.com)四种状态的转变是通过在该页面设置实现的。
3. 图形化报警
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-7-2-4 图形化报警
经过以上配置,当有报警时就会在“图形化报警”中显示出来。(www.61k.com]点击小球,可以看到是什么警种产生的报警。
图3-7-2-5图形化报警警种
3-7-3本地报警数据汇总
记录本地的报警次数,在这里可以看到那些报警已经被看过,那些报警还没
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
人查看过。[www.61k.com]汇总显示各种报警的次数等信息。
图3-7-3本地报警汇总信息
3-8级联总控
实现多级补丁管理级联,上级管理系统能够查询下级补丁管理信息。
(1)总控管理器状态查询:用于多级级联方式构建的系统环境,在此页面查看所有下属管理器运行状态,监控管理器是否正常运行以及运行的状态。如下图:
图3-8-1区域管理器状态查询
(2)总控扫描器状态查询:主要用于多级级联方式构建的系统环境,查看
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
所有区域扫描器的运行状态。(www.61k.com)如下图所示:
图3-8-2总控扫描器状态查询
(3)级联设备注册情况统计:查询由下属区域管理器划分的不同机构的客户端的注册情况。如设备总数、应注册计算机、已注册计算机、注册率、在线设备、安装杀毒软件、未打重要补丁等。
图3-8-3级联设备注册情况统计
(4)级联设备系统信息统计:查询下属区域管理器所管辖的客户端所安装的操作系统类型、以及各个操作系统所安装的设备台数、和其占有的百分比。根
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
据各种CPU类型和主频范围查询本区域管理器所管辖的客户端所分别占有的数量和百分比。(www.61k.com]
图3-8-4级联设备系统信息统计
(5)级联管理
可以做多级级联,方便管理员管理,现以三级级联为例。在做完级联配置以后,进入策略管理中心可见下图:
图3-8-5 级联管理
点击级联管理出现下级联区域管理器,如下图所示:
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-8-6 级联区域管理器
显示当前级联,鼠标点击红框内所示图标,在页面右边管理器IP,管理器名称,机构名称,运行状态信息会自动显示出来,如图红框所示:
图3-8-7
点击下图红框所圈选项“进入策略管理中心”,就可以进入下级级联设备的
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
策略管理中心,如下图所示:
图3-8-8 级联策略管理中心
上级级联 :在存在级联强制策略和样板策略时,允许创建该策略类型的新策略)打√选择,下级才可以建新的策略,如下图:(没有级联信息打不开页面)
图3-8-9 上级级联
强制策略级联设置:系统提供了制策略和样板模版两个选项。(www.61k.com)
强制策略:级联策略下发以后,下级区域无法对策略进行任何操作。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
样板策略:样板策略下发以后,下级区域可以对策略的对象分配和启用与否进行分配。(www.61k.com]
图3-8-10强制策略级联设置
(6)级联报警数据:
1.非法外联事件:
图3-8-11非法外联事件
2.其他报警事件:
内网安全管理软件 北信源VRVEDP内网安全管理系统手册 61阅读提醒您本文地址:
图3-8-12其他报警事件
3.违规上网统计
图3-8-13违规上网统计
3-9统计报表
统计网络中设备硬件信息、系统信息、注册状态,以及级联系统数据信息。(www.61k.com)
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
具体包括:本地设备注册情况统计、本地设备系统信息统计、本地设备硬件信息统计、级联设备注册情况统计、级联设备系统信息统计、级联设备硬件信息统计。[www.61k.com] 提供对网络中所有设备信息的统计:
1)设备数量:路由器、交换机、服务器、客户端;
2)在线设备:当前网络中开机运行的设备;
3)注册设备:已经注册的计算机设备;Unix/Linux、路由器、交换机设备通过手动添加写入数据库;
4)杀毒软件:目前支持北信源、瑞星、江民、金山、诺顿、趋势、NAI等杀毒软件。
(1)本地设备注册情况统计:查询本区域管理器所划分的区域及其拥有的客户端的总数、注册情况、注册率、在线设备、安装杀毒软件的数量。
图3-9-1设备统计图
(2)本地设备资源统计:查询本区域管理器所管辖的客户端所安装的操作系统类型、以及各个操作系统所安装的设备台数和其占有的百分比。如下图所示:
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-9-2本地设备资源统计
3)组态报表管理系统操作说明:见附录6
3-10系统维护
系统维护主要功能项包括:系统用户分配与管理、用户设置、数据重整、普通工具下载、管理员工具下载 工具上传管理。(www.61k.com)
(1)用户权限分配:“用户管理”操作功能为不同级区域网络管理员提供权限设定,具有可靠性、管理性强,支持统一、多级监控模式。提供超级用户和普通用户两种权限,分配对不同区域的管理权限。如下图所示:可在其左侧的网页框中实现增加用户的操作。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-10-1用户权限分配
用户分为超级用户、普通用户和审计用户。(www.61k.com]
由超级用户开设并分配用户及权限。设定权限时根据工作需要,规定该用户所能操作的策略、管理的区域及查看的信息。设定权限时还可以根据工作需要设定用户是否是只读用户(只能看数据,不能改数据)还是有读写权限。
超级用户权限:添加用户、删除用户、修改密码、给普通用户分配权限、进行控制管理等。
普通用户权限:由超级用户开设并分配用户及权限。设定权限时根据工作需要,规定该用户所能操作的策略、管理的区域及查看的信息。设定权限时还可以根据工作需要设定用户是否是只读用户(只能看数据,不能改数据),还是有读写权限。
图3-10-2管理用户权限分配
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-10-3 管理用户区域分配
图3-10-4屏幕监控设置
(2)用户设置:修改用户密码,添加仅允许来自以下IP列表的访问登陆(空允许所有IP访问)。[www.61k.com]
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-10-5用户设置
(3)数据重整:类似于刷新功能,每隔一段时间对本系统数据库进行重新整理,可针对重复、冗余或无效的数据进行重整。[www.61k.com)IP和MAC重复、IP不在区域范围内、长时间未使用、区域IP范围改变(建议为一周一次)。如下图所示:
图3-10-6数据重整
(4)普通工具下载:提供管理员上传的普通工具下载。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-10-7普通工具下载
(5)管理员工具下载:提供管理员上传的管理员工具下载。[www.61k.com)
图3-10-8管理员工具下载
(6)工具上传管理:可自行定义管理员工具或者普通工具上传。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-10-9工具上传管理
审计用户:提供对系统管理用户的操作行为记录,记录管理员操作执行的策略详细内容,用审计帐户audit登录,密码123456如下图:
61阅读提醒您本文地址:
(1)用户操作日志:
图3-10-10 用户操作日志
(2)用户登录日志:详细记录登录用户登录时间、IP地址、登录用户名称等,以备进行事后审计。[www.61k.com)
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3-10-11 用户登录日志
(3)策略操作日志:针对管理员对系统策略的修改、增删等各种操作进行详细记录。[www.61k.com]
图3-10-12策略操作日志审计
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
第四章 补丁分发管理
补丁的来源可使用北信源补丁下载服务器从软件厂商网站获取补丁索引及补丁,直接或通过移动存储设备,导入内网区域管理器的补丁分发目录进行客户端补丁自动分发,客户端将获取的补丁放在本地%windir%system32distribute目录下,下载后可自动安装,安装后会自动删除安装文件。(www.61k.com]
4-1 区域管理器补丁管理设置
(1)补丁下载配置
进行补丁分发管理前,首先需要对区域管理器的补丁下载管理模块进行设置: 补丁路径为北信源内网安全管理平台的安装路径,下图为系统默认的C:VRV,该目录下的RegionManageDistributePatch即为补丁下载默认的存放路径,提供给客户端下载。
图4-1-1 区域管理器补丁管理设置
本级补丁下载管理控制:
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
最大连接数限制:设置客户端同时连接区域管理器并发下载补丁数量。(www.61k.com) 流量限制:限制下载补丁时区域管理器最大流量值。
级联选项:上下级区域管理器级联情况下,设定上级区域管理器IP和数据通讯端口。
(2)文件分发策略配置
经过以上配置后,还需要进行补丁策略分发参数设置:
图4-1-2 分发参数设置
进行策略任务分发前必须选择启动策略分发任务,启用ping探测,确定分发文件所在的路径,分发时间间隔、分发数据通讯端口、分发线程等相关参数,如需设置级联,请在级联选项中,指定上级区域管理器级联IP地址等,上述部分参数按照系统默认设置即可。
4-2 补丁自动下载分发
北信源内网安全及补丁分发管理系统支持对微软操作系统发布补丁的统一分发,并且用户可使用此系统进行级联方式的补丁自动分发安装和监控。
统一补丁分发通过北信源补丁下载服务器(互联网)从互联网下载所有补丁。 对于物理隔离的内部网络,其补丁升级服务器中的补丁数据必须从外部获
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
得,因此,要求在Internet上进行补丁下载,巨大的补丁库使得每次补丁导入工作非常烦琐。(www.61k.com]北信源针对此类物理隔离的内网,使用增量式补丁分离技术,在外网补丁下载服务器分离出内网已安装、未安装补丁,分类导入系统补丁,即仅对内网的补丁进行“增量式”的升级,以提高效率。通过增量补丁分离器,在每次导入导出补丁时,可减少拷贝工作量(系统菜单中的补丁策略定义、补丁库分类、补丁安装查询、补丁下载查询主要基于此种方式工作)。
(1)补丁下载服务器
图4-2-1补丁下载服务器界面
北信源内网安全及补丁分发管理系统中包括了补丁下载服务器模块软件,直接运行DownPatch.exe文件进行下载补丁文件。
补丁下载服务器默认配置为从微软公司网站下载微软所有补丁,下载后移植到北信源内网安全及补丁分发管理系统的系统vrvRegion ManageDistributePatch目录下保存。
指定下载补丁类型包括:
1)中文补丁、英文补丁。
2)微软公布的级别补丁:0级、1级、2级、3级、4级。
3)系统类别:IE5.0、IE5.5、IE6.0、WIN NT、Windows 2000、Windows XP和其他(包括Windows 2003)。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
补丁下载设置:实时、定时两种方式探测补丁厂商网站补丁更新状况。(www.61k.com)
图4-2-2补丁下载服务器设置
(2)补丁库分类
补丁分析器功能模块,针对下载的补丁,由补丁分析器进行归类存放,按照不同操作系统类别、补丁编号、补丁发布时间、补丁风险等级、补丁公告进行归类,帮助管理人员快速识别补丁重要程度。
补丁厂商如微软,其补丁发布时就指定补丁号、补丁类型、补丁危害程度、操作系统支持等补丁属性,北信源内网安全及补丁分发管理系统自动识别补丁的不同属性并归类。 补丁库分类包括:A类、B类、C类、T类。将所有补丁自由组合为不同的类,A类、B类、C类、T类为用户自定义类型补丁(T类建议为测试类型补丁,用于一些特殊补丁的测试,指定用于特定的测试组机器)。
(3)补丁策略定义及补丁分发
参见Web管理页面策略中心——>系统控制中心——>自动补丁分发,其中补丁分发策略分为:补丁自动分发、人工选择补丁分发。
a.补丁自动分发:制定对补丁库中所有补丁的自动分发策略,自动分发到不同操作系统。
61阅读提醒您本文地址:
补丁策略分发器功能模块,基于分发时间、补丁检测周期,特定补丁等多种定义项进行制订策略,策略发送到网络客户端后,由客户端注册程序统一执行补丁应用策略。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图4-2-3 补丁分发策略制订
注意:本策略的执行由驻留在客户端的程序进行。(www.61k.com]
策略制订完毕后,按区域、按设备进行分发。对特定的若干个补丁文件进行分发,将指定补丁文件放在C:VRVRegionManageDistributePatch 相应语言目录下,添加执行文件名称参数。
参数的选择如:在WindowsXP中运行“WindowsXP-KB825119-x86-CHS.exe”补丁为例
我们应首先进入命令提示符窗口。接着在进入系统补丁所在目录后,按“补丁名称+/?”的方式来查看一下该补丁支持的命令行参数,如图所示。
图4-2-4 补丁命令参数项
把需要指定的参数以上图的格式输入到4-6图的参数项中如:-u则表示无人职守安装。多个参数之间需要空格分开。
b.人工选择补丁分发:由管理员选择特定的补丁进行单独分发至全部网络或者某一区域网络。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图4-2-5手动补丁分发选择
对指定的补丁进行ID选择,并添加,填写相关补丁分发参数后进行分发。(www.61k.com)
? 补丁下载转发代理
可以在区域管理器中选择“支持下载转发代理”选项,选中此项功能后,当网络内有数量较多的计算机下载补丁或者文件时,计算机可以搜索临近IP范围内状态最好的计算机,从这台状态最好的计算机上下载相应的补丁或者文件。这样就可以大大减少网络内的服务器的数量,减少网络的带宽的占有率,保证工作的正常进行。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图4-2-6补丁代理传发支持
4-3 客户端补丁检测(一)
本功能主要用于计算机用户自行进行补丁检测,使用本功能前需要做2项工作:
? 将补丁下载服务器下载的补丁和补丁索引拷入区域管理器系统:
Region ManageDistributePatch目录下。(www.61k.com)
? 在单位网站主页安全栏目或其它专门栏目建立一个补丁安全监测提示或者通知,该提示或通知链接到系统Web管理平台的IIS的patch Web虚拟目录(http://*.*.*.*/vrveis/PatchWeb),提供客户端访问补丁自动探测功能。
客户端访问本机构网站的时候,选择主页补丁安全探测提示自动链接到北信源补丁分发管理系统Web管理平台的客户端补丁探测主页上,该主页自动探测客户端是否注册,如果已经注册,将显示该系统补丁安装情况,根据提示信息选择性手动下载补丁安装。
人工补丁下载设置:进入Web管理页面,依次进入“补丁分发”---“补丁网页下载设置”项。进行配置客户端浏览网页查看补丁时所该下载的补丁。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图4-3-1客户端补丁自动检测参数设置
未安装客户端探头时提示:若客户端未曾注册,网页探测后给出提示;未安装探头时显示补丁类型:管理员自行设置显示补丁类型(操作系统补丁、IE补丁、应用程序补丁等);是否提示下载探头:对于没有注册的用户,提示进行注册。[www.61k.com]
探头下载地址:指向http://网页管理平台ip/vrveis/download/DeviceRegist.exe
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图4-3-2 补丁手动下载提示
4-4 客户端补丁检测(二)
本功能主要用于网络管理员对客户端计算机进行补丁检测,通过Web管理平台中的终端控制功能对客户端进行漏打补丁检测,详细列出客户端当前补丁安装状况,通过终端管理功能对客户端机器进行补丁管理。[www.61k.com)
图4-4客户端补丁漏打检测
4-5.本地补丁分发综合查询
本补丁下载查询模块基于补丁名称、补丁下载时间、设备名称、设备IP的关键字对指定区域的网络终端进行补丁安装状况查询。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图4-5客户端补丁查询
4-6 补丁级联下载
图4-6 补丁下载级联方式的区域管理器设置
补丁级联下载功能,北信源内网安全及补丁分发管理系统支持系统管理器补丁级联下载功能,主要针对在多层级联的环境内,各下级区域在进行系统补丁加固时,只需总部从外网上下载补丁后,使用移动存储设备从外网拷入系统补丁,其下级区域无须再额外的从外网上下载系统补丁,其系统补丁均可从总部的服务器上获得。[www.61k.com]
内网安全管理软件 北信源VRVEDP内网安全管理系统手册 61阅读提醒您本文地址:
使用该功能时要求在下级安装的区域管理器的相应选项中填写上级区域管理器的IP地址,便可方便的获得系统补丁,并实时和上级区域的补丁数量保持一致。(www.61k.com]从总部下载得到的补丁将存放在vrvRegion ManageDistributePatch目录下保存。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
第五章 客户端阻断
5-1 扫描器组件配置
扫描器配置是在web管理平台界面下完成。[www.61k.com]步骤如下:配置管理->扫描器配置->配置。
如下图:设置区域扫描器系统配置
图5-1 扫描器阻断选择
注意:“使用SNMP扫描”中。设备默认口令为public,在配置时依实际情况而定,如果有多个SNMP口令存在与网络中,那么把口令全部写到输入框中,口令间用‘;’分隔;选择“SNMP重新生效”可以立刻重新进行一次SNMP扫描。 5-2 阻断策略应用
系统管理员通过阻断功能实现针对网络中的任意一台计算机进行内部网络的阻断,从而能够保证网络的运行安全,可选择通过以下三种方式配置阻断策略:
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
5-2-1 违规自动阻断策略
系统各区域“区域信息描述”中阻断实现:
选择要进行阻断的系统区域名称,点击“区域描述”菜单进入到“区域详细描述及修改”页面中,可针对“发现电脑设备异常后执行的动作”进行如图所示的几种阻断策略的选择:
图5-2-1 区域划分中的阻断设定
注意:此时如果选中的执行动作为“默认”,则此区域的阻断策略,采用和本区域的区域管理器已经设置好的相同策略;如果系统管理员进行了其它选择,则系统将会执行其所选中的策略进行阻断操作。(www.61k.com]
区域管理器阻断配置:没有注册则阻断,网络中大部分计算机注册完毕后,可以开启本功能。同时,也可以通过策略中心的阻断违规接入管理的未注册则阻断联网功能实现。
5-2-2 手动设置针对设备的单独阻断策略
系统除整体区域应用阻断策略以外,系统管理员还可通过手动设置对网络中的任意一台计算机采取单独阻断策略,其方法为进入数据查询里面的设备列表页面中,查看其是否被设为阻断的状态,或者单击其设备信息,进入到下一级页面
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
中对其阻断状态的进行更改,实现策略的应用。(www.61k.com)
图5-2-2客户端数据查询中的阻断设定
5-2-3 硬件防火墙联动阻断策略
北信源公司目前已经同部分防火墙厂商进行了硬件防火墙联动合作,通过对区域管理器的系统配置,利用硬件防火墙阻断功能,切断防火墙内部计算机同外部网络通讯连接。在Web中央管理平台中进行阻断操作前,必须在这里进行设置,否则无效。
探头阻断:依靠用户注册后驻留在操作系统中的代理程序执行阻断操作。 防火墙阻断:利用同防火墙的通讯功能,由防火墙对网络中客户端进行阻断,禁止防火墙内部的客户端同防火墙外部的客户端的通讯,包括协议阻断、端口阻断(0表示全部端口)、方向阻断(单向:防火墙内客户端访问不了防火墙外客户端;双向:防火墙内外网客户端同时不能访问)。该项阻断必要能够读取防火墙的两个系统文件:配置文件、密钥文件。
详细配置方法如下:
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图5-2-3 区域管理器中的阻断设定
打开web管理平台中的“系统配置”界面,选择“阻断配置”选项,选中如图所示的“防火墙阻断”,然后进行防火墙阻断选项的配置:
阻断协议:通过选择阻断协议,进行有针对的对“TCP”、“UDP”、“ICMP”或所有数据包进行阻断,选中为防止防火墙内部用户通过该协议同外部网络进行通讯。[www.61k.com]
阻断端口:系统默认端口为“0”,此时为将所有端口同外界通讯全部切断,通过手动添加,选择阻断端口,方法为直接添加端口号即可,多个端口可用空格或逗号将端口分隔开进行填写。
阻断方向:分为“单向阻断”和“双向阻断”两种方式,选择默认“双向阻断”进行配置即可。
阻断时间:系统默认是“4294967295”秒,即为十六进制0xffffffff,代表的意义为永久阻断,根据实际需要自行添加阻断时间,阻断时间为0时即为取消阻断。
配置文件和密钥文件:需要登录到防火墙并获取配置文件和密钥文件。 防火墙阻断要求用户防火墙能够同北信源内网安全及补丁分发管理系统进行联
动。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
第六章 网络接入认证管理
内网安全管理系统中的配置步骤:
6-1 策略中心->接入认证策略->补丁与杀毒软件认证
设置说明:
1、 杀毒软件安全检测
1)启用“杀毒软件安全检测”:对接入网络的计算机进行杀毒软件的安全检测,检查其健康度是否符合网络要求标准,检测内容包括计算机是否安装开启了杀毒软件。[www.61k.com]。
2)“未运行杀毒软件时提示”:当检测到计算机没有运行杀毒软件的时候给计算机一个提示信息。
3)“未运行杀毒软件执行(URL地址)”:当检测到计算机没有运行杀毒软件的时候给计算机定向到指定的URL地址,例如某个可以下载或者运行杀毒软件的地址。
4)“对上述URL执行”
61阅读提醒您本文地址:
a、 选择“打开/下载URL地址”:当检测到计算机没有运行杀毒软件的时
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
候直接打开或者下载上边填写的URL地址。(www.61k.com]
b、 选择“下载URL地址指定文件并安装”:当检测到计算机没有运行杀
毒软件的时候下载URL地址指定文件并安装,一般为杀毒软件。
5)“未运行杀毒软件时”:当检测到计算机没有运行杀毒软件的时候执行以下操作
a、 “限制网络访问”:计算机在网内只能与安全服务器列表中的IP地址
通讯,禁止与其他计算机通讯。
b、 “根据802.1策略做想要处理”:当未运行杀毒软件时,客户端将根据
802.1认证策略处理方式处理。
2、 系统补丁安全检测
1) 启用“系统补丁安全检测”:对接入网络的计算机进行系统补丁的安全检
测,检查其健康度是否符合网络要求标准,检测内容包括计算机是否安装了指定系统补丁。
2) “漏安装列表中指定的补丁时提示”:当检测到计算机没有安装列表中指
定的补丁的时候给计算机一个提示信息。
3) “漏安装列表中指定的补丁是打开(URL地址)”:当检测到计算机没有
安装列别中指定的补丁的时候给计算机定向到指定的URL地址,例如某个可以下载到指定补丁的地址。
4) “漏安装列表中补丁时”:当检测到计算机没有安装列表中的补丁时执行
以下操作:
a、 “限制网络访问”:计算机在网内只能与安全服务器列表中的IP地址通
讯,禁止与其他计算机通讯
c、 “根据802.1策略做想要处理”:当未运行杀毒软件时,客户端将根据
802.1认证策略处理方式处理。
b、 “检测补丁列表”:通过补丁号添加补丁检测列表,当计算机接入网络
的时候会检测计算机是否安装了此列表中列出的补丁
3、 “限制网络访问后,允许安全服务器连通列表”:填写EDPserver、补丁服务器等安全服 务器,当计算机被限制网络访问后只能与这个列表中的IP地址通讯
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
6-2、策略中心->接入认证策略->进程服务注册表认证
1、 添加认证模块
1.1文件存在认证
1) 选择“编辑认证模块”进入编辑认证模块页面
2) 填写一个新的认证模块名字,单击“新建模板”,例如新建认证模块
名为“ceshi”
3) 在“文件名”处填写要认证的文件名和路径例如:C:vrvclientvrv.exe,
表示当计算机接入网络后要对此计算机进行安全检测,监测计算机是否存在“文件存在认证列表”中的文件
4) 选择“认证内容”
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
a、“仅认证文件存在”:接入网络的计算机当进行文件存在认证时仅检
测计算机是否存在列表中的文件
b、“认证文件版本号”:计算机接入网络后对计算机的检测要检测文件的版本号
5) “认证比较”三种检测比较的方式,指定接入网络的计算机当进行文
件存在认证时将计算机中的文件与列表中的文件检测比较的方式是等于/小于等于/大于等于,“比较值”指定标准值
6) 点击“添加认证条目”将以上设置好的文件和文件的比较内容通过此
按钮添加到“文件存在认证列表中”
7) 点击“删除认证条目”将“文件存在认证列表中”不需要的文件从列
表中删除
8) “多条文件认证关系”:当列表中添加多个认证文件的时候选择采取
多个文件判断的关系
a、“并且关系”,需要以上列表的认证都通过才算文件认证通过
b、“或关系”,以上列表中的认证只要一条通过就算文件认证通过
1.2进程运行认证
1) 在“进程名”中填写要认证的进程名字
2) 选择“认证内容”
a、“仅认证进程是否存在”:接入网络的计算机当进行进程运行认证时仅
检测计算机中是否存在列表中的进程
b、“认证进程源文件名” 接入网络的计算机当进行进程运行认证时要检
测计算机中进程的源文件
3) “认证比较”:指定接入网络的计算机当进行进程运行认证时将计算机中的进程与列表中的进程检测比较的方式是等于/小于等于/大于等于,“比
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
较值”指定标准值
4) 点击“添加认证条目”将以上设置好的进程和进程的比较内容通过此按钮添加到“进程运行认证列表中”
5) 点击“删除认证条目”将“文件存在认证列表中”不需要的进程从列表中删除
6) “多条进程认证关系”:当列表中添加多个认证进程的时候选择采取多个进程判断的关系
a、“并且关系”,需要以上列表的进程都通过才算进程运行认证通过 b、“或关系”,以上列表中的进程只要一条通过就算进程运行认证通过
1.3注册表键值认证
1) 在“注册表项路径”中填写要认证的注册表项路径,不包含键名
2) “键名”:指定上边注册表项中需要作为认证的键名
3) 选择“认证内容”
a、“仅认证键是否存在”:接入网络的计算机当进行注册表键值认证时仅
检测计算机中是否存在列表中的注册表键
b、“认证键值” 接入网络的计算机当进行注册表键值认证时要检测计算
机中注册表键的键值的源文件
4) “认证比较”:指定接入网络的计算机当进行注册表键值认证时将计算机中的进程与列表中的进程检测比较的方式是等于/小于等于/大于等于,“比较值”指定标准值
61阅读提醒您本文地址:
5) 点击“添加认证条目”将以上设置好的注册表项和键名比较内容通过此按钮添加到“注册表键值认证列表中”
6) 点击“删除认证条目”将“注册表键值认证列表中”不需要的条目从
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
列表中删除
7) “多条注册表认证关系”:当列表中添加多个注册表项的时候选择采取多个注册表项判断的关系
a、“并且关系”,需要以上列表的注册表键值通过才算注册表键值认证通过
b、“或关系”,以上列表中的注册表键值只要一条通过就算注册表键值认证通过
1.4服务运行认证
1) 在“服务名”中填写要认证的服务名字
2) 点击“添加认证条目”将以上填写好的服务名通过此按钮添加到“服
务运行认证列表中
3) 点击“删除认证条目”将“服务运行认证列表中”不需要的服务名从
列表中删除
4) “多条服务认证关系”:当列表中添加多个认证服务的时候选择采取多
个服务判断的关系
a、“并且关系”,需要以上列表中的服务名都通过才算服务运行认证通过 b、“或关系”,以上列表中的服务名只要一条通过就算服务运行认证通过 编辑完毕点击“保存认证模板配置”按钮,将上述配置保存,完成了“ceshi”认证模块的编辑
2、 “以上列表认证模块认证失败时提示”:当接入网络的计算机在进行认证时,认证失败则在计算机显示此信息
3、 “以上列表认证模块认证失败时打开(URL地址)”:当接入网络的计算机在进行认证时,认证失败则将计算机定向到此URL地址
4、 “对上述URL执行”
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
a 选择“打开/下载URL地址”:当检测到计算机认证失败的时候直接打开或者下载上边填写的URL地址
b 选择“下载URL地址指定文件并安装”:当检测到计算机认证失败的时候下载上边URL地址指定文件并安装
5、 “以上列表认证模块认证失败时”:当认证失败时执行以下操作
a、“限制网络访问”:计算机在网内只能与安全服务器列表中的IP地址通讯,
禁止与其他计算机通讯
b、“注销802.1认证”:注销本次认证,使计算机重新进行认证
6、 “限制网络访问后,允许安全服务器连通列表”:填写EDPserver、补丁服务器等安全服 务器,当计算机被限制网络访问后只能与这个列表中的IP地址通讯”
6-3、策略中心->接入认证策略->802.1X接入认证认证
密码认证方式:
1、“单用户名密码认证”:所接入的客户端会以该策略中指定的用户名和密码认证,不需要用户手工输入用户名和密码
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
2、 “多用户密码认证”:所接入的客户端需要手工输入在Radius中建立的认证用户名和密码进行认证
3、指定连续认证失败几次后进入Guest Vlan
4、指定“当安检失败时的处理方式”;
5、选择“支持华为认证服务器的IP绑定功能”,则认证过程支持了华为认证服务器的IP绑定功能
6、选择802.1X接入认证的认证模式
7、选择802.1X接入认证的数据传输模式和是否过滤第三方软件
8、填写超级用户(认证通过后一直在正常VLAN)及黑名单用户(永远不能认证通过)
附录:Radius服务器的配置和交换机的配置
6-4 、环境准备方法
RADIUS安装与配置
安装RADIUS
1. 安装RADIUS
进入添加/删除程序中添加/删除Windows组件,选择网络服务中的Internet验证服务
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
2. 安装IAS后,进入IAS配置界面
为RADIUS服务器添加客户端
1.右键点击RADIUS客户端,选择新建RADIUS客户端。[www.61k.com]客户端地址为验证交换机的管理地址,点击下一步。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
2. 选择RADIUS Standard,共享机密为交换机中所配置的key。(www.61k.com]点击完成。
3. 右键点击远程访问策略,单击新建远程访问策略。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
设置远程访问策略
1. 为策略取一个名字,点击下一步
2. 选择以太网,点击下一步
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
3. 选择用户,点击下一步
61阅读提醒您本文地址:
4. 使用MD5质询,点击下一步,并完成。(www.61k.com)
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
5. 在右面板中右键点击所新建的策略,选择属性。(www.61k.com]
6. 点击添加,选择Day-And-Time-Restrictions
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
7. 选择添加,选择允许,单击确定。(www.61k.com]
8. 删除NAS-Port-Type匹配”Ethernet”,并选择授予访问权限
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
9. 单击编辑配置文件,选择高级-------添加 选择添加
[64]Tunnel-Type:VLAN
[65]Tunnel-Medium-Type:802
[81]Tunnel-Pvt-Group-ID:VLAN ID
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
10. 单击确定
设置连接请求策略
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
1. 右键点击连接请求策略,选择新建连接请求策略
2. 选择自定义策略,并为该策略取个名字
3. 策略状况选择添加Day-And-Time-Restrictions,配置方法同上。(www.61k.com)然后一直下一
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
步并完成。(www.61k.com)
添加认证用户
1.添加远程登录用户。在本地用户和组中新建一个用户。
2. 右键点击新建的用户,进入属性,选择隶属于,删除默认的USERS组
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
3. 点击拨入,设置为允许访问
4. IAS配置完成。[www.61k.com)
5. VRV EDP Agent认证成功。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
6-5、各厂商交换机配置
1. Cisco2950配置方法
Enable /*进入特权模式*/
config t /*进入全局配置模式*/
aaa new-model /*启用aaa认证*/
aaa authentication dot1x default group radius /*配置802.1x认证使用radius服务器数据库*/
aaa authorization network default group radius/*VLAN分配必须*/ radius-server host 192.168.1.132 key vrv /*指定radius服务器地址为192.168.1.132,通信密钥为vrv,端口不用制定,默认1812和1813*/ radius-server vsa send authentication /*配置VLAN分配必须使用IETF所规定的VSA值*/
int vlan 1
ip add 192.168.1.133 255.255.255.0
no shut
/*为交换机配置管理地址,以便和radius服务器通信*/
int range f0/1 - 11
dot1x port-control auto
switchport mode access
/*为1到11端口配置dot1x,12端口不配*/
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
dot1x guest-vlan ID (VLAN跳转命令)
exit
/*退回全局配置模式*/
dot1x system-auth-control
/*全局启动dot1x*/
2950交换机上VLAN的配置
vlan database
vlan ID
enable
config t
int range f0/1 – 20
switchport access vlan ID
switchport mode access
spanning-tree portfast
2. 华为3COM 3628配置
dis cu # sysname H3C # domain default enable test
61阅读提醒您本文地址:
# dot1x dot1x timer tx-period 10 dot1x retry 4 # radius scheme system radius scheme test server-type standard
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
primary authentication 54.1.44.55 primary accounting 54.1.44.55 key authentication vrv key accounting vrv user-name-format without-domain # domain system domain test scheme radius-scheme test vlan-assignment-mode string # vlan 1 # vlan 46 # vlan 600 description guest # vlan 601 to 602 # interface Vlan-interface46 ip address 54.1.46.250 255.255.255.0
# interface Aux1/0/0 # interface Ethernet1/0/1 port access vlan 600 dot1x port-method portbased dot1x guest-vlan 601 dot1x
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
# interface Ethernet1/0/2
# interface Ethernet1/0/3
# interface Ethernet1/0/4
# interface Ethernet1/0/5
# interface Ethernet1/0/6
# interface Ethernet1/0/7
# interface Ethernet1/0/8
# interface Ethernet1/0/9
# interface Ethernet1/0/10
# interface Ethernet1/0/11
# interface Ethernet1/0/12
# interface Ethernet1/0/13
# interface Ethernet1/0/14
# interface Ethernet1/0/15
# interface Ethernet1/0/16
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
# interface Ethernet1/0/17
# interface Ethernet1/0/18
61阅读提醒您本文地址:
# interface Ethernet1/0/19
# interface Ethernet1/0/20
# interface Ethernet1/0/21
# interface Ethernet1/0/22 port access vlan 601 # interface Ethernet1/0/23
# interface Ethernet1/0/24
# interface GigabitEthernet1/1/1
# interface GigabitEthernet1/1/2
# interface GigabitEthernet1/1/3
# interface GigabitEthernet1/1/4
port link-type trunk port trunk permit vlan 1 46 600 to 602
# undo irf-fabric authentication-mode
#
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
interface NULL0 # voice vlan mac-address 0001-e300-0000 mask ffff-ff00-0000
# ip route-static 0.0.0.0 0.0.0.0 54.1.46.1 preference 60
# user-interface aux 0 7 user-interface vty 0 4
# return <H3C> <H3C> <H3C>
3.锐捷RGS21配置
hostname Switch
vlan 1
!
vlan 600
name 600 //要跳转的VLAN必须以VLAN号来命名
!
ip access-list extended UNAUTH //安全通道的ACL
permit ip any host 54.1.44.56 //未认证之前开放服务器
!
radius-server host 54.1.44.55 //指定radius服务器的地址
aaa authentication dot1x //开启认证
aaa accounting server 54.1.44.55 //指定记帐服务器的地址
aaa accounting //开启记帐
enable secret level 1 5 !'.tj9=Gq+/7R:>HE,1u_;C,&-8U0<D+
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
enable secret level 15 5 !fjo+/7RqgkE,1u_dhl&-8U0ein'.tj9
interface fastEthernet 0/45
dot1x port-control auto //开启1X认证
dot1x dynamic-vlan enable //开启动态VLAN
!
interface fastEthernet 0/48
dot1x port-control auto
dot1x dynamic-vlan enable
!
interface vlan 1
no shutdown
ip address 54.1.44.53 255.255.255.0
!
no dot1x filter-nonRG-su enable //允许非锐捷的客户端通过 dot1x accout-update-interval 600
radius-server key vrv
ip default-gateway 54.1.46.1
snmp-server community 123 rw
security global access-group UNAUTH //开启安全通道
end
第七章 系统备份及系统升级
7-1 系统数据库数据备份及还原
1)点击任务栏上右下脚的SQL Server服务管理器,将正在运行的数据库服务停止;
2)确认安装SQL Server的路径,默认安装路径为:C:ProgramFilesMicrosoftSQLServerMSSQLData中,找到此目录下VRVEIS.ldf和VRVEIS.mdf两个文件,将此两个文件拷贝到另外的路径下完成数据备份;
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
3)如果系统升级不成功,造成数据损坏,请按照以上步骤进行相反操作,将VRVEIS.ldf和 VRVEIS.mdf两个文件拷贝到SQL SERVER 安装路径下,例如:C:Program FilesMicrosoft SQL ServerMSSQLData 中即可。[www.61k.com]如VRVEIS.1df过大,可通过正常运行中的区域管理器中的清空数据库事物日志进行处理。 7-2 系统组件升级
访问北信源公司网站获取升级组件:upWeb、upregmange二个组件,或者在级联区域管理系统配置中设置自动探测升级文件下在路径为c:vrvvrveisupdate,正常升级一般最好使区域管理器、区域扫描器、WEB网页管理平台都使用默认安装路径。
7-2-1 区域管理器、扫描器模块升级
双击升级文件upmanage.exe,此时升级文件会将区域管理器自动退出,并在升级完成后自动启动区域管理器与扫描器模块。
7-2-2 升级网页管理平台
点击升级文件upweb.exe,此时能够把网页平台自动升级更新为最新版本;必要时候,可能会发布fullupWeb.exe升级文件,主要由于中间多次没有升级,进行完全升级。
61阅读提醒您本文地址:
完成上述工作后,必须访问安装目录,进入download目录,确认devieceregist.exe文件中RegClient.ini文件的Regip地址为区域管理器所在IP地址。 7-2-3 客户端注册程序升级
网络管理员在完成网页管理平台的升级工作后,需要在网页管理平台上“区域管理器”详细配置中将“允许客户端升级”选项选中即可。
此时客户端探头通过以下两种方式升级:
A、扫描器扫描到客户端机器的同时对探头进行自动探测升级;
B、客户端计算机每次重新启动后,会在第5分钟时主动进行探头自动升级,
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
否则会在持续开机的过程中每24小时自动升级一次。(www.61k.com)
7-2-4 检查系统是否升级成功
1)区域管理器和区域扫描器模块的升级检查:找到安装路径下的可执行文件RegionManage.exe,右键单击后察看其属性,在选项卡上选择“版本”,此时文件版本号应该显示为最新版本号码,否则说明升级没有成功;
2)网页管理平台升级检查:打开并进入到网页管理平台,察看系统帮助菜单中“关于”选项,弹出的窗口会显示出当前的网页平台的版本号码;
3)客户端注册程序升级检查:网络管理员通过Web页面中的查询功能对版本号进行查询统计,完成客户端注册程序的升级检查。
注:在此过程中必须注意对SQL数据库的备份,如果升级失败,请进行数据的备份还原工作,保证原始数据不能丢失。
7-3 级联管理模式升级及配置
在级联管理方式中,其上级区域升级方法同单一区域管理模式升级方法,其它各级区域均不需要进行手动升级。在上级手动升级完毕以后,需要系统管理员将3个升级文件手动放在C:VRVVRVEISupdate目录下,为下级区域的自动升级提供链接文件。
下级区域网络管理人员在系统安装成功完成后,需要进入到web管理平台,点击“系统配置”按钮,在弹出的系统配置界面中将“上报给上级管理器”前的复选框选中,在“上级管理器”地址一栏中添加多级管理模式上级区域管理器的IP地址,其它选项均选择为默认即可,此时下面的“升级配置”窗口中的“升级服务器地址”会同时自动发生改变,同时系统会每间隔一段时间对上级区域管理器进行一次探测,自动完成对系统升级即可。此时,升级服务器地址会改变如下图所示:
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图7-3 级联管理模式升级
下级区域会根据图中所示的路径自动链接到最上一级区域管理完成自动升级操作。(www.61k.com] 注:系统软件必须默认安装在C盘中,才能实现自动升级,此时只需将升级路径设置正确,其它升级工作为自动执行。
内网安全管理系统中的配置步骤:
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
第八章 售后服务
北京北信源自动化技术有限公司
地址:北京市海淀区中关村南大街34号中关村科技发展大厦C座16层 邮编:100081
电话:010-62140485、62140486、62140487
传真:010-62140468
EMAIL:license@vrv.com.cn
北信源公司上海分公司
地址:上海市北京西路1399号建京大厦18楼 E2座
邮编:200040
电话:021-62894111
华东支持中心: 南京市定淮门大街11号商会大厦D座1004 电话:025-86228796 81784256
华南技术支持中心:020-87502893
北信源公司网址 http://www.vrv.com.cn http://www.linhao.com.cn
北信源公司提供升级服务,同时跟踪客户动态,及时提供技术支持服务,解答用户疑难问题。(www.61k.com]
坏盘更换:北信源所有的产品均使用高质量盘片,但由于使用不当,或其它原因造成的磁盘损伤或出错,北信源公司可以为用户修复或更换盘片。用户可将出错或损坏的盘片送至北信源公司,公司将根据情况给予解决,如需换盘,用户仅需付盘片费即可。
即时响应服务
北信源公司设有技术服务热线,即时响应用户突发事件。
即时响应热线电话:010-62140485,62140486,62140487转7000/7001/7002 邮件技术支持服务
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
用户遇到技术问题时,北信源公司在得到通知后尽快提供邮件技术支持。[www.61k.com) 介质损坏免费更换服务(购买本软件半年内)
北信源公司免费更换用户损坏的安装介质,北信源公司会在用户通知后尽快免费向用户提供最新版本的安装介质。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
第九章 附录
附录(一)微软SQLserver系统安装步骤
在指定IP服务器上安装SQLserver数据库平台SQL2000;安装主要过程如下(以SQL2000为例):
1. 选择SQL2000安装程序的“安装数据库服务器”部分,进入SQL2000安装界面,如图8-1。[www.61k.com]
图9-1安装界面
2.选择“安装SQL Server 2000组件”,到图8-2所示界面。
图9-2 SQL Server安装界面
2. 如图8-2所示,选择“安装数据库服务器”,进入“安装向导”,见图8-3。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图9-3 数据库服务器安装向导(一)
3. 如图8-3所示,选择下一步,到图8-4所示界面。(www.61k.com)
61阅读提醒您本文地址:
图9-4数据库服务器安装向导(二)
4. 如图8-4所示,选择“本地计算机”,然后“下一步”,到图8-5所示界面。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图9-5数据库服务器安装向导(三)
5. 如图8-5所示,选择“创建新的SQL Server实例,或安装‘客户端工具’”,
然后“下一步”,到图8-6所示界面。[www.61k.com]
图9-6数据库服务器安装向导(四)
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图9-7数据库服务器安装向导(五)
6.如图8-6所示,一般“姓名”、“公司”设置为默认值即可,然后“下一步”,到图8-7所示界面,阅读许可协议后,根据要求选择“是”或“否”,选择“否”则退出安装,这里选择“是”,继续安装,到图8-8所示界面。(www.61k.com)
图9-8数据库服务器安装向导(六)
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
7.如图8-8所示,选择“服务器和客户端工具’”,然后“下一步”,到图8-9所示界面。(www.61k.com]
图9-9数据库服务器安装向导(七)
8.如图8-9所示,选择“典型“安装,指定“目的文件夹“保存路径,一般设置为默认值即可,然后“下一步”,到图8-10所示界面。
图9-10数据库服务器安装向导(八)
9.如图8-10所示,选择“对每个服务使用同一帐户。启动SQL Server服务”,
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
然后选择“使用本地系统账户”,接着“下一步”,到图8-11所示界面。(www.61k.com]
图9-11数据库服务器安装向导(九)
10. 如图8-11所示,选择“混合模式”,输入密码后,接着“下一步”,到图8-12所示界面。
9-12数据库服务器安装向导(十)
11.如图8-12所示,选择 “下一步”,进行复制、安装文件,这样SQL2000就安装完成了。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
注:安装完成SOL SERVER后,需打上SP3补丁。(www.61k.com]
附录(二)北信源内网管理系统名词注释
系统中常见词语含义解释:
信任:系统管理员通过整体策略进行“信任”操作,也可通过单击选择此项进行设备信任操作,被信任机器无论是否注册,未阻断操作对信任的计算机为无效状态。
保护:系统管理员通过“保护”操作对客户端机器进行设置,将交换机、路由器等不需要注册IP地址单独划分出来,并对MAC以及IP地址不进行绑定;建议将重要的服务器和其它网络相关设备不进行注册,并设置为保护状态,用来保证其运行的稳定性。
阻断:系统管理员在应用整体“阻断”策略操作外,可对其中任意一台客户端机器通过此项操作进行单独内部网络阻断。(该网段需有已注册且工作正常的客户端)
机构代码:标志机构代码编号的数字,用于多级级联构架网络中上级和各下级之间的机构编号。
自定义组:为进行内网主机监控审计与补丁分发管理任务规则应用、任务执行而设置的网络客户端编组,可自行组合,适用不同管理策略。
数据重整:类似于刷新功能,提供对数据库中数据的重新整理,每隔一段时间对系统数据库进行重整。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
附录(三)移动存储设备认证工具操作说明
移动存储设备认证工具作用是为移动存储设备配置认证信息,并将认证信息写入到该存储设备中,并与策略中的配置信息相验证,以达到对移动设备的审计处理。(www.61k.com]
(一)移动存储设备认证操作说明
移动存储设备认证工具作用是为移动存储设备配置认证信息,并将认证信息写入到该存储设备中,并与策略中的配置信息相验证,以达到对移动设备的审计处理。
一、 创建标签
1.标签介绍
1)普通标签:将该标签写入移动存储设备认证,在管理区域内,根据策略的设置,来限制移动存储设备的读、写功能;如果在管理区域外使用移动存储设备认证,则不限制移动存储设备认证读、写功能。
2)SAFE6标签:用于对移动存储设备的分区标签管理,在对移动存储设备分区的同时,进行标签写入,!SAFE6设备标签同注册计算机获得的标签授权顺序匹配后,用户才能够按照设定的权限进行对!SAFE6设备数据区登陆访问。
3)移动存储设备认证程序,用于管理员对网络中移动存储介质进行集中注册和授权管理,对普通移动存储设备加载认证标签,同时划分数据区(交换区、保密区、启动区),将使用人、使用人部门、设备编号等信息写入移动存储设备,完成普通移动存储设备到专用移动存储设备(安全U盘、安全移动硬盘)的技术处理。
4)使用专用认证工具(打过SAFE6标签的U盘或是移动硬盘),需要用户(客户端)安装注册程序,安装在终端计算机,接受系统管理中心分发的策略,根据接受策略实时监控接入终端计算机移动存储设备的操作行为和状态,并进行管理或者控制。
61阅读提醒您本文地址:
5)根据用户的需要,可以在策略中心—可移动存储审计,为终端用户设置不通的策略,下发给终端用户,以此对专用认证工具进行有效控制。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
6) 专用认证工具还用于专用专用移动存储设备密码遗忘后的密码还原操
作。[www.61k.com)认证工具程序可以在网管员主机上(或任意主机,但必须由管理员控制)使用,使用时必须能够同系统服务器连接,方可对移动存储设备进行认证管理工作。
2.创建和分配标签
步骤如下 系统维护->系统用户分配与管理->用户管理->分配可用USB标签->配置。
创建标签:如下图:
1)填写标签名称。标签可分为普通标签和SAFE6标签两种。
2)选择认证标签级别,可制定普通标签和SAFE6标签。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
3)点击“添加备用标签”选项,生成标签,将标签填入“待分配标签”组。(www.61k.com)
4)选择需要进行标签分配的用户。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
5)将选定的标签分配给指定用户。[www.61k.com]
6)保存配置。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
7)点击确定标签分配完成。(www.61k.com]
8)USB标签(SAFE6标签)制作工具功能简介及具体制作。(以SAFE6为例) SAFE6标签的具体分类:
SAFE6标签的分类:缺省三个分区、启动区与交换区二合一、整盘加密。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
A:缺省三个分区:该类型盘具有启动区、交换区、保密区;启动区带有启动程序,在未注册计算机上通过该启动程序登陆交换区。[www.61k.com]
B:启动区与交换区二合一:该类型盘有两个分区,交换区中带有启动程序。 C:整盘加密:该类型盘只有一个数据区——保密区。
a启动区的大小为10M(默认),同滑动按钮实现对交换区和保密区的分区大小的调节。
b密码最大错误次数用于分别限制对两个区的访问,一旦输入的错误密码次数超过指定数值,专用移动存储设备将自动锁定。
c交换区按扇区加密:对交换区按照扇区进行磁盘加密,默认只对保密区作加密。 d显示格式化窗口:在进行分区划分的时候,显示对分区的格式化过程窗口,支持对磁盘格式(如FAT、FAT32、NTFS)的选择。
e支持灾难恢复:支持对专用移动存储设备密码的初始化还原,如不选择,在密码遗忘情况下,该盘将作废,需要做低级格式化处理,所有数据无法还原。 f初始密码强制修改:支持移动存储设备第一次使用时候强制修改密码,如果不修改无法使用。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
g报警信息设置:该项用于整盘加密的情况,当设置该项时,一旦制作的整盘加密的移动存储设备在外网上时候的时候,该盘将告警设置的信息。(www.61k.com]
h在制作专用移动存储设备时,提醒“数据信息上传至服务器成功”,作用在于,将该专用移动存储设备的标签信息传送到服务器备份,以便标签信息被人为毁坏或无意删除时可以恢复。
i专用移动存储设备交换区和保密区初次登陆时候密码均为:0000aaaa。
注:对160G以上大容量移动硬盘制作专用移动存储设备的时候,需要预先在操作系统下对该硬盘划分为2个区,然后再进行制作操作。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
二、建立“可移动存储审计”策略
1.进入策略中心-创建可移动存储策略。[www.61k.com)
2.移动存储审计策略用于配置注册计算机的专用移动存储管理策略,管理员设定专用移动存储设备的许可标签、使用权限、报警信息等策略内容,策略下发注册终端后执行,注册终端根据策略对接入的移动存储设备进行条件判断控制。选择启用认证标签选项。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
3.选择需要添加到标签集合里的标签
61阅读提醒您本文地址:
4.将标签添加到标签集合同时输入认证失败后的提示信息。(www.61k.com)
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
5.保存策略设置
6.分配策略执行的区域
注:用不同的用户登录,会显示相应用户所拥有的的标签。(www.61k.com]
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
三 、制作U盘
1.插入U盘。(www.61k.com)
2.获取制作工具:登陆网页管理平台,进入“移动存储”,选择“USB标签制作工具”,下载“UsbTool.exe”。
3、登陆制作工具:执行“UsbTool.exe”,输入区域管理器所在计算机的ip地址,输入admin用户,输入密码登陆(UsbTool同区域管理器连通)。
UsbTool登陆
4、选择需要的型号:登陆后,插入普通移动存储设备,出现盘符,选择该盘符,填写部门、拥有者、设备编号(自动编号不需要填写)、标签等。
UsbTool界面
最后选择“写入标签”,如图,选择需要制作的安全盘的类型。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
分区格式化
5、配置设备参数:参数作用详见“2)专用移动存储设备类型”。(www.61k.com]
6、分区格式化:按照步骤对不同分区格式化,多个分区格式化将会出现多次格式化窗口。
7、标签验证、标签清除:标签写入成功后,可以在UsbTool.exe主界面中进行标签验证,并进行标签清除。
8、 可初始化U盘密码的设备ID指定
在分配USB标签之前,请预先指定5台计算机(或5台以内,操作系统为windows平台)作为密码还原计算机,通过专用程序获取计算机的设备ID码,以便绑定设备ID码信息到移动存储设备中。一旦密码遗忘,可以在上述5台计算机上恢复初始密码,否则无法还原。
具体步骤如下:登陆系统〉〉移动存储〉〉分配管理员USB标签,选择admin的“设置”,如下图,在上述5台计算机上分别运行DeviceNumber.exe(按照页面提示获取该程序),填写获取的可初始化U盘密码的设备ID保存。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
设备ID获取
四、实际应用
已经授权的计算机(注册了北信源的客户端)上,根据用户需要,管理员可以设置不同的策略,可以选择整盘加密、两个分区、默认三个分区。[www.61k.com)对于未授权的计算机(未注册北信源的客户端)使用专用认证工具则可以固定分区使用,具体操作如下:
1、选择整盘加密:注册后的专用存储设备只有一个保密区,仅能在授权计算机上使用,在非授权计算机上不可用。输入密码后,打开“我的电脑”,将看到新盘符:“保密区”。登录后,单击“隐藏”按钮,登录窗口最小化到右下角托盘
。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
注:同时也可以根据策略设置,对于外来可移动存储进行限制。[www.61k.com)
2、选择默认三个分区:注册后的专用存储设备分为启动区、交换区、保密区。启动区在授权计算机上不显示。在非授权计算机上将单独显示盘符,直接执行该区中的Edpedisk.exe程序,即可进入交换区登录页面。交换区通过用户密码认证后在内外网计算机均可使用。保密区仅能在授权计算机上使用,在非授权计算机上不可用。
(1)在授权计算机上,插入专用存储设备,将自动弹出登录窗口:
用户选择“交换区”,输入密码后单击“登录”按钮;打开“我的电脑”,将看到新盘符:“交换区”。选择“保密区”,输入密码后登录保密区。登录后,单击“隐藏”按钮,登录窗口最小化到右下角托盘。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
通过登录界面,用户可以看到目前已经登录的分区。[www.61k.com)
61阅读提醒您本文地址:
(2)在非授权的机器上登录,专用存储设备在非授权计算机上只能凭密码使用交换区,无法使用保密区。在未授权计算机上将不会自动弹出登录窗口,需要进入“我的电脑”的“启动区”,执行EdpEDisk.exe程序即可出现登录窗口。
3、启动区与交换区二合一:该类型盘有两个分区,交换区中带有启动程序。
(1)在授权的机器上登录,
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
附录(四)主机保护工具操作说明
主机保护工具主要是为了保护服务器端不受客户端和来历不明的终端设备的恶意访问和攻击。(www.61k.com]主机保护工具可以限制访问自己设备的IP地址和端口。如果服务器端受到客户端或不明设备的DOS/DDOS行为攻击,主机保护工具能阻断客户端或不明设备和服务器之间的连接,很好的起到保护主机的作用。
一、 访问控制配置说明
1.设定可以访问自己的IP地址,设定好后添加。
2.设定不可以访问自己的IP地址,设定好后添加。
3.设定不让任何地址访问自己。
4.指定只能访问本地的协议端口,设定好后添加。可以有针对性的设定TCP或UDP。
5.控制ICMP协议PING入和PING出,设定好后点击应用。
6.启用IP地址保护可以防止其它机器抢占本地IP地址,保证本机IP在网段内的唯一性,不出现IP冲突、断网现象。(设定信息可以有配置表中看到)
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
二、DOS/DDOS配置说明
1.设定标值在一定时间内TCP连接数或ICMP请求超过设定数值那么就认为本机受到了DOS拒绝服务攻击。(www.61k.com]设定后点击应用。
2.根据DDOS拒绝服务攻击特性设定。设定后点击应用
3.如果触发了上面的设定,主机保护工具就会认为发生了攻击行为加以阻断,显示攻击信息选上后,有事件发生会有提示出现。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
附录(五)报警平台操作说明
报警平台的作用是当网络中出现违规行为并有报警信息产生时,可以通过SNMP trap或者syslog方式及时通过声音、邮件、手机短信等方式通知网络管理人员。[www.61k.com)
报警平台设置步骤:
一、 设置
1.设置报警平台前,先进行区域管理器的“配置”中“报警过滤”页,配置报警平台内容;
操作设置方法见下图
2.在安装完成报警平台后(图1),点击“设置”(图2),进入高级设置。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图1
图2
3
.本机配置
(1)本机配置:“报警接受端口”默认8889端口;
(2)数据库配置:用来对报警平台使用的数据库机设置;设置时选中复选框“应
用数据库相应配置”。[www.61k.com]该平台支持ACCESS,MS_SQLSERVER两种数据库;配置ACCESS库,先选中单选框“MS_ACCEXX”,然后通过“浏览”获得C:VRVRegionManagenssrVrv_Police.mdb文件,;配置SQL库,需先“环境初始化”数据库,初始化文件为C:VRVRegionManagenssr InitEvn.exe,先选中单选框“MS_SQLSERVER”,然后进行其他设置。
(3)上级总控配置:用来设置级联报警。输入IP前先选中复选框“应用上级
设备配置”。
4.报警设置
在“报警设置”可以选择适合自己的报警通知方式,其中包括有声音、信使、SNMP Trap、手机短消息、电子邮件五种。在设置报警方式时,应先选中“报警方式”前的复选框。例如,以“声音”作为报警方式,则先在“声音”前的复选项框打√。
61阅读提醒您本文地址:
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图3
(1)声音(图3)
在级别设置中,“低、中、高”是与区域管理器的配置中“报警过滤”危险级别相对应,例如,“报警过滤”配置项中把“违规联网”报警“高”,这里将“声音”报警的级别调为“高”,则当有违规联网报警时,报警平台就会发出“高”级别所对应的声音。[www.61k.com]
(2)信使(图3)
级别的设置与(1)相同,“IP1、IP2、IP3”填写希望收到报警信息信使服务的计算机IP。
(3)SNMP Trap
用于第三方软件的SNMP Trap报警,级别的设置与(1)相同,“IP1、IP2、IP3”填写希望收到报警信息信使服务的计算机IP;端口为默认值。
(4)手机短消息
级别的设置与(1)相同,设置见图4,注:用此方式时,必须有发短信的设备。
(5)邮件设置
级别的设置与(1)相同,设置见图4。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
图4
二、 日志查询
1
日志查询 ;作用是可以根据时间、报警器IP、事件源IP和事件类型对报警消息进行查询。[www.61k.com)如下图所示:
图5
三、 窗口
用来显示/关闭工具栏、状态栏、事件栏、信息栏。见图6
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
四、更换界面
此菜单栏可以改变报警界面,让用户选择适合自己的界面。(www.61k.com)
五、帮助
显示报警中心的相关信息。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
附录(六)组态报表管理系统操作说明
报表管理系统的作用是使管理员能够方便的设计报表的格式、输出内容、查询条件,方便的将web平台的设备信息、报警信息等各种数据以报表的形式进行输出。(www.61k.com)
一. 模版制定
(一)定义模版
1. 确定模板名称
第一项:填写模板的名称,例如:要查询ip与mac的对应关系,为了区分于其他的模板,我们可以填写IP_MAC对应信息查询。
第二项:模板的描述:提醒用户这个模板是做什么用的。
2. 确定报表标题及报表尾
(1)填写主标题,如果查询ip与mac的对应关系,就可以填写ip、mac对应关系。
(2)最后一行输出制表人的,有三个选项可供模板定义者自由选择,例如当前用户、不输出或者用户自定义。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
3. 定义报表输出项
设置说明:
(1) 列名:即报表所显示的列名称,如单位名称,为必添项,例如,查询IP
地址,或者是MAC地址。[www.61k.com]
(2) 长度:即报表显示列的长度,如:100px,为必添项,px是像素。
(3) 描述:即报表显示列的详细说明,如:统计该项纪录的单位名称,可不填。
(4) 排版:即以上下移动的方式,调整列输出顺序。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
4.
(1) 选择一项已设定的列名称。[www.61k.com)
(2) 确定输出方式:简单输出即只输出当前显示名称,求和只针对整形数,即符合条件下该列的数字总和,求纪录数即符合条件的纪录条数。
(3) 选择输出该列在数据库中列所在的表,确定数据库中的列选项。
(4) 列限制条件:即列显示针对数据库中的该列满足添加条件下的纪录,可以添加多条限制条件。
(5) 约束条件:指选定数据库中列的约束条件,第一选项为该列与其他约束列之间的关系,分为并且与或这两种关系,第二选项为该列与约束条件的关系。
(6) 自定义Sql:即用户自己确定Sql,注意Sql格式。
注:用户设定的输出列要与数据库中列逐一对应。
61阅读提醒您本文地址:
5.
(1).在定义报表已涉及的表选项中选择一项为主表选项。
(2).选择一项输出列,在该列所在表的所有列中选择一列作为该列的关联字段,
选择主表列选项中的一列作为主表的关联字段。
(3).保存关联条件。 (4).逐一选择输出列,重复2,3步骤。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
6.
(1).统计时间范围只针对主表输出项。[www.61k.com)
(2).点击完成即完成模版的设计。
(二) 模版修改
1.修改模版名称
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
2 .修改模版的输出标题和表尾
3.修改输出列选项
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
4.修改关联选项
5.修改时间范围统计
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
二.报表输出
(一) 已定义模板
预览:弹出一个模板信息的网页界面,这个功能主要是对已定义模板的预览。[www.61k.com)
兼容,我们开发了这项功能。 输出:输出excel报表模板信息,为了使用户能直接和自己单位的其他信息
时间定义:可以进行模板输出时间重定位。为了让用户按时间段查询所设计模板。这样可以过滤掉很多无用信息。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
(二)模板导入:
我们的组态报表管理系统提供了许多的默认模版,用户可以通过模版导入功能将系统默认的多种模版导入到自定义模版中,直接使用,简化了用户的操作。[www.61k.com)
我们在模版导入的systemup文件夹下提供了丰富的系统自定义模版供用户直接使用操作说明:选择要导入的模版,然后点击“导入到模版”,选择的模版就被导入到已定义模版中,这样用户就可以直接使用了。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
(三)、模板导出:
将用户已定义模版生成脚本文件导出到指定的文件夹中,方便用户保存自定义模版和将已定义模版移植到其他系统使用。(www.61k.com]
操作说明:选择要导出的模版,在弹出的窗口中填入要保存到的路径和保存文件的文件名,然后点击确认导出,就将用户已定义模版导出成指定的文件。
系统定义:输入文件名,模板自动导入到“模板导入”目录下文件夹里 用户自定义:输入文件名,用户自定义文件名文件扩展名,把模板导入到“模板导入”目录下文件夹里。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册
附录(七)信息安全通告平台
北信源内网安全及补丁分发管理还可以扩展建立信息安全管理通告模块(量身定制),提供统一的内部网络安全信息公布平台。[www.61k.com)
信息安全管理通告平台
安全总控管理平台是专门为全国性的或其他类的大型网络安全管理所设计的,利用该平台可以对整个网络的注册设备进行统一的管理控制及监测。其主要功能有:
1) 安全预警功能:对整个网络内的安全预警状况进行统一查询,可以
对整个网络内的设备信息进行统计,也可以对各个局域网内的信息进行统计分析。
2) 安全监测功能:对网络内部的各项安全指标进行全面的监测,主要
监测内容包括:网络安全方面,包含流量排名、流量统计、流量报警、信息报警、本地报警等项目;信息安全方面,包含安全检测、IP绑定变化、设备变化、探头卸载、主机运维异常等项目;运行安全方面,包含未安装杀毒软件、未运行杀毒软件、漏打严重补丁、违规软件、违规进程等违规项目的监控。
内网安全管理软件 北信源VRVEDP内网安全管理系统手册 61阅读提醒您本文地址:
3) 安全管理功能:将管理中心的相关安全管理规范、安全组织体系、
安全宣传资料以及最新安全动态等安全信息进行统一的发布。[www.61k.com]
4) 设备信息功能:针对整个网络中违规的客户端进行全网通报,并下
发整改通知。
5) 安全服务功能:提供补丁下载、病毒库下载以及一些常用的工具下
载。
6) 设备注册信息管理:对整个网络内部设备的注册状况进行统一统计
公布。
注: 在首次使用安全管理平台时,管理员需要进入后台管理界面,选择数据导入,创建数据库,并进行数据导入。若不进行导入,前台查询页面中非法外联页面将会出现错误。
61阅读提醒您本文地址:
本文标题:全国中小学校舍安全信息管理系统-WannaCry勒索病毒席卷全球 为什么学校和公安系统先中招?61阅读| 精彩专题| 最新文章| 热门文章| 苏ICP备13036349号-1