北信源內網安全管理系統手冊

《北信源內網安全管理系統手冊》由會員分享，可在線閱讀，更多相關《北信源內網安全管理系統手冊（226頁珍藏版）》請在裝配圖網上搜索。

0 特 別 聲 明 本 使用手冊 由 北信源終端安全管理系列產品 安裝配置指導手冊、用戶手冊、產品維護手冊三部分組成， 其內容將隨著北信源軟件的不斷升級而改變 (以光盤中電子版發行時為最新版 )，恕不另行通知。需要者請從北信源公司網站下載本手冊的最新電子版或者直接聯系北信源公司索取。 北信源終端安全管理系列產品 由北信源內網安全管理系統 、北信源補丁及文件分發管理系統、北信源主機監控審計系統、 北信源移動存儲介質使用管理系統 、北信源網絡接入控制管理系統及北信源接入認證網關 6 大套件構成。 本使用手冊為 北信源 終端安全管理系列產品 通用說明書。若您獨立購買北信源內網安全管理系統或北信源補丁 及文件 分發管理系統等其中 之一產品，本說明書的其它功能將不具備。 感謝您購買北京北信源軟件股份有限公司研制開發的 北信源終端安全管理系列產品 。請在使用本軟件之前認真閱讀本使用手冊，當您開始使用該軟件時，北信源公司認為您已經閱讀了本使用手冊。 1 快速閱讀指南 1. 本使用手冊為北信源終端安全管理系列產品全功能用戶手冊，請按照所購買產品對應相關的產品說明進行配置使用 （該手冊第一、二、三章為終端安全管理產品共有部分，凡購買任何一 款終端 安全管理產品都應 首先 詳細閱讀此三個章節 ） 。 2. 詳細閱讀本軟件組件功能、組成、作用、應用構架，確切了解本軟件的系統應用。 3. 安裝準備軟件環境： 000 務管理器。 建議將數據庫管理系統、區域管理器、 理平臺安裝在同一服務器上 ,確認區域管理器所在機器的 88 端口不被占用（即非主域控制器）；防火墻應允許打開 88， 2388， 2399， 22105， 8900，8901， 22106， 22108， 8889端口。 4. 按步驟安裝各組件后，通過 *.*.*.*/錄 先對加區域劃分該區域 定區域管理器指定區域掃描器。 5. 雙擊屏幕右下角區域管理器、單擊主機保護進行通訊參數配置。 6. 在 錄 中 ， 使 用 件中的本地區域管理器 修改后的注冊 在機構網站上進行靜態網頁注冊，或者在機構網站上加載動態網頁檢測注冊腳本語句，進行動態設備注冊。 7. 系統升級：聯系北信源公司獲取最新的軟件組件升級包，確保 理平臺、區域管理器、客戶端注冊程序等組件的升級。 8. 如果本 手冊 中的插圖與實際應用的產品有出入，以實際產品為主。 特別提示：默認管理員用戶： 碼： 123456；系統指定審計用戶名： 碼： 123456 請注意修改。 2 目 錄 第一章產品介紹 . 6 1品構架 . 6 1用構架 . 8 第二章產品安 裝 . 9 2裝環境 . 9 2裝注意事項 . 10 2件安裝監控服務器部署注意事項 . 10 2件安裝和應用過程中注意事項 . 10 2品組件安裝 . 11 2裝 . 11 2裝 . 12 2裝遠程技術支持模塊 . 13 2始化數據庫 . 13 2裝 . 16 2裝區域管理器 . 16 2裝補丁下載服務器模塊 . 18 2裝管理器主機保護模塊 . 19 2裝報警中心模塊 . 19 2戶端注冊及下載 . 19 第三章 產品應用 . 26 3. 26 3域劃分 . 26 3域管理器配置 . 29 3描器配置 . 34 3冊程序配置 . 36 3定義組分配與管理 . 40 3. 41 3統運維監控 . 42 3. 44 3描器組件配置 . 44 3斷策略應用 . 44 第四章 北信源內網安全管理系統 . 47 4略中心 . 47 4據查詢 . 71 4. 72 4. 72 4. 73 3 4. 74 4. 75 4. 75 4. 76 4. 76 4. 77 4息確認查詢 . 77 4. 78 4. 78 4. 87 4. 93 4. 93 4. 93 4. 94 4. 94 4. 95 4. 95 4. 96 4. 97 4. 97 4. 102 4. 103 4. 111 第五章 北信源補丁及文件分發管理系統 . 116 5域管理器補丁管理設置 . 116 5略中心 . 117 5. 126 5丁自動下載分發 . 129 5戶端補丁檢測（一） . 133 5戶端補丁檢測（二） . 134 5. 135 5丁級聯下載 . 135 第六章 北信源主機監控審計系統 . 136 6 略中心 . 136 6據查詢 . 143 4 6. 143 6. 143 6. 144 6. 144 第七章 北信源移動存儲介質使用管理系統 . 145 7略中心 . 145 7據查詢 . 150 7. 150 第八章 北信源網絡接入控制管理系統 . 150 8略中心 . 150 8境準備方法 . 158 1）安裝 . 158 8廠商交換機配置 . 175 8置方法 . 175 8628 配置 . 176 8捷 置 . 179 第九章 北信源接入認證網關 . 181 9關接入配置認證 . 181 9略中心 . 182 第十章 系統備份及系統升級 . 187 10統數據庫數 據備份及還原 . 187 10統組件升級 . 187 10域管理器、掃描器模塊升級 . 187 10級網頁管 理平臺 . 187 10戶端注冊程序升級 . 188 10查系統是否升級成功 . 188 10聯管理模式升級 及配置 . 188 第十一章 售后服務 . 189 第十二章 附錄 . 191 附錄（一）北信源終端安全管理產品名詞注釋 . 191 附錄（二）移動存儲設備認證工具操作說明 . 191 附錄（三）主機保護工具操作說明 . 207 附錄（四）組態報表管理系統操作說明 . 208 附錄（五）報警平臺操作說明 . 217 附錄（六） . 223 5 前 言 目前國內政府機關、軍隊、公安、保密部門、科研機構、金融、證券等企事業單位中的網絡都具有相當的 規模，網絡中大量使用計算機及其它網絡設備。這些設備帶來高效應用的同時，由于自身確實存在著安全風險隱患，應該采用相關網絡安全技術手段來保障整個網絡運行的安全。 目前單位自身內部網絡分為以下幾種類型： 1、 辦公網： 企事業單位中的普通辦公網絡、公司企業網，它們通過有限出口接入 2、 內部專網： 政府辦公網、金融運營網及各系統重要的實時網絡，該種網絡一般為內部專用網絡，此類網絡同外部網絡采取物理隔離的方式實現相互獨立 ； 3、保密網： 政府機關、軍隊、公安、保密部門的內部機密安全網絡，一般采用專門的網絡通道， 要求具有絕對的內網隔離度。 盡管以上大多數用戶采用了專門的網絡通道技術、物理隔離技術、安全網段劃分、安全防護設施（如防火墻、入侵檢測、漏洞掃描）等方式保證自己的網絡安全，但是，對類似下面的安全問題仍然無法做到真正意義上的解決： 1、 如何發現終端設備的系統漏洞并自動分發補??； 2、 如何防范移動設備隨意接入內網； 3、 如何防范內網設備違規進入外網； 4、 如何管理終端資產并真正控制、管理終端設備的運行； 5、 如何制訂整體安全策略并全網執行； 6、 如何管理控制終端設備的數據流； 7、 平臺、安全平臺等諸多設備如何銜接并統一管理。 北信源 終端安全 管理 產品 夠完全解決上述網絡安全管理工作中遇到的常見問題。 理內容包括：資源資產、終端安全策略、桌面風險審計、補丁檢測分發、終端運行狀態監控以及終端行為審計等。 北信源 終端安全 管理 產品 提供了防火墻、 病毒系統、專業網管軟件所不能提供的防護功能，對它們管理的盲區進行監控，成為一個實時的安全監控系統，并能夠同其它網絡安全 6 設備或網絡安全系統進行安全集成和報警聯動。 北信源 終端安全 管理 產品 針對網絡管 理工作中遇到的實際管理需求，進行網絡安全資源規劃 ,如防止移動設備非法接入內部網絡、 源分配管理、靜態 址的綁定、提供設備資源登記及硬件設備（硬盤、 存等）變化報警、進行內部網絡連接阻斷等功能。 同時，為有效解決網絡中計算機非法接入和非法外聯問題， 統提供實時監控的強大功能，即實時報警以及實時切斷非法計算機同內網的連接。 北信源 終端安全 管理 產品 通過 式對整個系統進行應用策略配置，管理網絡和查詢報警數據，方便用戶操作 ，有效防范不安全因素對 內部 網絡 構成 的威脅 ，真正做到 內部網絡的完全安全管理 。 北信源 終端安全 管理 產品 支持基于局域網、廣域網的國家 省 市 縣多級級聯管理模式。 第一章 產品 介紹 1品 構架 北信源終端安全管理 產品 由 8部分組成： 裝包：環境初始化程序）、 央管理配置平臺（安裝包：網頁管理平臺）、區域管理器 (安裝包： 區域掃描器已作為模塊集成到區域管理器 )、客戶端注冊程序（安裝包：注冊程序）、補丁下載服務器、管理器主機保護模塊、報警中心模塊。 環境初始化程序： 立 北信源終端安全管理 產品 的初始化數據庫。初始化的信息 包括：網絡客戶端設備屬性信息、區域管理器信息、設備掃描器信息、區域管理范圍信息、注冊（未注冊）機器信息、設備屬性變化信息、報警信息等。掃描器將設備最新狀態信息同數據庫中原有信息進行遍歷搜索對比，根據規則要求在管理平臺上報警。 央管理配置平臺，本系統的管理配置中心。包括區域管理器、掃描器、注冊客戶端的功能參數設定，網絡設備信息發現、系統應用策略制訂、報警信息顯示、定義任務功能制訂、系統用戶維護等配置操作。 區域管理器，系統數據處理中心 ，負責 與管理信息數據庫通訊 掃描終端設備、控制 服務器、客戶端之間的信息、指令的下達、接受 。 比如： 接收注冊程序提供的用戶信 7 息，將用戶信息（用戶填寫的物理信息和系統自動采集的硬件信息）并行存入數據庫；接受來自控制臺的命令操作，發送到客戶端、掃描器執行。 對于存在多級管理要求的廣域網，網絡中可以存在多個區域管理器， 實現 系統數據 逐級上報（轉發） ，對網絡終端的多級管理 。 區域管理器內置網絡掃描器，掃描器 用來發現網絡的終端設備。將發現的設備信息交由區域管理器處理。、 設 備最新狀態信息報送至區域管理器，由區域管理器處理后，同數據庫中原有信息進行遍歷搜索對比，根據管理規則在管理平臺上報警。 掃描器配合區域管理器進行工作，可以在分級模式下使用。掃描器只依據 理平臺中配置的工作范圍進行掃描， 如果終端 不負責執行操作。 序： 嗅探驅動軟件， 監聽共享網絡上傳送的數據 。 客戶端注冊程序： 將接收并執行服務器下發的指令。 該程序可以在“工具下載 -用戶注冊器下載”處下載。 訪問指定網站自動獲得，用戶填寫 必要的信息后，運行該程序， 區域管理器將收到注冊終端的相關 信息，同時終端可以接收、執行各種下發的指令 。注冊程序自動探測系統硬件信息，連同用戶填寫的信息一同上報區域管理器。用戶將本機注冊信息發送到區域管理器后，區域管理器自動將客戶端駐留程序應用策略發送給用戶，并自動更新。 客戶端駐留程序功能： 1. 進行本機硬件屬性信息變化監視； 2. 進行本機 3. 本機系統補丁、軟件安裝、運行進程狀況監測； 4. 探測本機是否有違規聯網行為，在內網管理中心或外網報警平臺報警； 5. 接受 6. 阻斷本機非法外聯行為； 7. 執行 補丁 下載服務器： 安裝在與 絡連接的機器上，用于實時下載補丁廠商發布的補丁。 管理器主機保護模塊： 管理器主機保護模塊可根據管理器或其他服務器具體使用的端口、網絡協議、通信 圍和具體的其他網絡應用來定義該計算機使用的安全級較高的網絡配置， 8 從而防止該計算機受到惡意的 突以及各種網絡、病毒攻擊。 報警中心模塊： 安裝在可與區域管理器所在服務器正常通訊的計算機上，本模塊可以根據管理員在系統中所配置的報警事件和危險級別提供給管理員包括電子郵件、信使服務、 機短信等多種報警方式。 注 ：區域管理器（ 區域掃描器模塊（ 注冊程序部分系統的參數配置集中體現在網頁管理平臺操作上，上述三部分功能參數、功能項數值統一在網頁管理平臺中進行配置。區域管理器（ 掃描器模塊（ 分參數在自身 程序 組件中配置。 1用構架 北信源終端安全管理 應用于局域網、廣域網構架，支持跨網段、跨地域的內網遠程客戶端管理及非法移動設備接入檢測、網內計算機違規聯網監視、網絡安全隔離度監控等。 系統應用主要分為以下兩種構架 ： 基本構架：對于一般網絡（例如 1 個 C 類地址或若干個 C 類地址的局域網范圍），可使用一套本系統軟件， 通過一個 管理 器集中管理 所屬區域內的所有設備。 擴展構架：對于大規模的多個局域網或者跨地域廣域網（包括基于國家、省、市、縣等多級管理模式的網絡結構），可使用本系統提供的多區域集中管理構架，即一個或多個網段各擁有一套獨立 北信源終端安全管理 的同時，將本級所有設備信息再轉發給上級管理數據庫，使得上一級管理人員對整個網絡的設備狀況也能夠完全掌握。 圖 1用拓撲 9 第二章 產品 安裝 2裝環境 條件一：硬件環境 據庫服務器： 用于安裝系統管理信息數據庫。 務器或更高檔服務器， 上 512 區域管理器： 用于安裝區域管理器程序。百兆或千兆網卡， 務器或更高檔服務器， 上 512 掃描器模塊： 配置同區域管理器。如單獨安裝掃描器模塊，比較高檔的 本系統各程序可安裝在同一臺計算機上，也可在不同機器上安裝 域管理器、掃描器模塊等，此時推薦該計 算機內存為 1G 以上。 建議將區域管理器、掃描器、網頁管理平臺安裝在同一臺機器上，作為監控服務器。 條件二：提供數據庫、 操作系統 ： 000或 003企業版操作系統 。 件： 配備 000或 005 數據庫系統，用于 北信源終端安全管理 建立管理信息庫數據庫列表項。 （注：以下均以 000 為例） 配備 務器提供 于安裝 所裝操作系統為 003 企業版，則需要按照 附錄（三） 的 003 的 置說明進行 條件三：為本系統提供相應端口 北信源終端安全管理 產品 區域管理器將占用操作系統 88 端口，必須確保安裝區域管理器的機器該端口不被占用。區域內的防火墻應打開如下端口： 80 ， 88,2388 ， 2399 ，8901,8900,161,137,22105， 8889， 22106， 22108 以及 議。同時最好將 務遷移至其它服務器。 10 2裝注意事項 軟件安裝時，推薦將區域管理器、掃 描器、數據庫安裝在同一臺機器上（以下稱為監控服務器），建議按照下面要求進行監控服務器部署、軟件安裝、客戶端注冊。 2件安裝監控服務器部署注意事項 1、監控服務器在網絡中放置位置注意點 確保該監控服務器能夠 時被管理客戶端可以正常連接服務器的 0,88兩個端口。 監控服務器給客戶端下達策略的端口為： 2105； 監控服務器掃描發現客戶端利用以下協議及端口： 現 議 , 137(為了發現機器名和 ； 61（為了發現智能設備如路由器、交換機等）； 在本地網絡中若劃分了 本地網絡存在防火墻，請注意上述問題。 2、存在網中子網（如經過地址轉換）的網絡布置點 對于網絡中存在網中網現象，如采用 址轉化或者代理方式在 10.*. *. *網絡中接入192.*. *. *網段，這些子網用戶的管理方式如下： 情況一：子網有專人管理，并且有獨立機房 應在該子網中安裝一套完整的監控系統。 情況二：子網無專人管理，或無獨立機房，可采用以下 3種方 式之一處理 機器數量少的建議統一更改 0.*. *. * 網段。 由管理員監督子網中所有機器進行注冊并保證不得遺漏。 在該網絡中指定一臺工作站專門安裝區域管理器軟件和區域掃描模塊，并將區域管理器配置中 2件安裝和應用過程中注意事項 1、必須按照軟件安裝步驟進行安裝 1）確認本機 務正常； 2）確認本機 正常安裝并能正常使用（以本地系統賬戶方式安裝）； 11 3）確認目標安裝盤剩余空間不小于 10G； 4）請務必按照指定順序安裝各個模塊； 5）請在區域掃描 模塊所在計算機中安裝 6）安裝完所有系統模塊后，請一定按照說明文檔進行客戶端程序的配置及分發安裝。 2、監控服務器的安全性問題 管理服務器安裝 據庫后，一定要確保對 行重要安全補丁修補，規范操作系統、數據庫的口令和密碼設置，保證 確保本服務器無病毒，同時可配置本服務器網絡通訊端口僅打開： 80， 88， 6800， 8901，8900， 22105， 2388， 2399， 8889。 3、保護機制的應用 對大多數交換機、路由器、非 備，需要將其設置為保護狀態（避免被阻斷導致網絡不通），其它如有系統無法識別的重要設備，請在網頁管理平臺設備信息查詢中手動將其設置為保護狀態。 2品 組件安裝 安裝順序依次為： *安裝 *安裝 *安裝并運行環境初始化程序，初始化數據庫； *安裝網頁平臺并進行劃分區域，配置區域 域管理器參數、設備掃描器參數 等（推薦安裝在默認路徑下）； *安裝區域 管理器（推薦安裝在默認路徑下）； *通知所有用戶下載并運行注冊客戶端代理探頭程序 。 2裝 據庫 只需要在安裝過程中注意選擇“使用本地系統帳戶”和“混合模式” 12 圖 2圖 22裝 動模塊 在安裝頁面中選擇“ 安裝 動模塊 ”按鈕，單擊“下一步”安裝在區域掃描器所在計算機上。 13 2裝遠程技術支持模塊 該模塊是一個程序附屬工具 (一般不需要安裝 )在客戶端安裝程序里帶有 該程序 , 是用戶遠程桌面管理及控制 ,便于管理員幫助終端用戶解決問題 。 2始化數據庫 初始化數據庫是在 據庫中初始化建立 據庫并生成系統必需的相關數據表格，在此過程中需要利用本地數據或者調用遠程 據庫，用戶需要根據實際安裝情況按以下兩種方式進行操作： 本地 1)、環境初始化，建立初始數據庫 在 及 戶密碼。 圖 2據庫服務器環境初始化 14 2)、檢查數據庫初始化是否成功 ： 圖 2查數據庫初始化 當有如圖 “ 初始化數據庫結構成功 ” 提示框彈出時，說明已成功創建初始化數據庫。否則會出現如下圖所示提示信息 ： 圖 2如果出現如上圖所示提示信息，用戶需要檢查所填入的 戶名以及用戶密碼，重新初始化數據庫。 遠程 議非特殊情況不采用遠程方式） 1)、輸入遠程數據庫信息，配置 裝遠程數據庫需要首先輸入遠程數據 庫 戶名稱、用戶密碼，然后點擊 “ 配置 ，出現如下界面 ： 15 圖 2置 2)、在通用欄中， 啟用 在通用欄中，選用 啟用，然后單擊別名，進行別名添加設置。 圖 2用所選協議 3)、進行客戶端別名的添加 :單擊上圖中所圈中的別名，出現如下所示： 圖 2客戶端別名的添加 4)、進行網絡 協議 的選擇和服務器別名的添加 ： 此時用戶需要首先選擇網絡 協議 ，選定為P，點擊確定后完成數據庫初始化。 16 2裝 安裝 此部分程序要求安裝在默認路徑下，安裝過程中請確保信息填寫正確，否則， 據庫。 央管理平臺訪問 理平臺安裝以后在 錄上以虛擬目錄的形式存在，虛擬目錄名稱為 戶在安裝完成以后，用 （ 。默認用戶名為 碼為 123456。 （以下的都是用 陸進行說明的）。審計用戶名為認密 碼為 123456。 如果 （ ，則以 （ 式登錄。 見附錄六） 。 2裝區域管理器 央管理平臺中劃分區域及指定區域管理器后（參見 央管理平臺配置）安裝區域管理器組件。安裝后進行以下兩項配置： 戶端配置 如果“區域管理器”沒有同 在同一臺服務器上，需要在如 下圖所示窗口中將默認網絡庫選擇為“ P”，使客戶端能夠遠程訪問數據庫。在“區域管理器”中選擇“