廣東天海威數(shù)碼技術(shù)有限公司 藍(lán)盾內(nèi)網(wǎng)安全保密系統(tǒng)(BD-SECSYS)藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)(BD-SECSYS)操作手冊(cè)廣東天海威數(shù)碼技術(shù)有限公司2004年7月目錄第一章系統(tǒng)概述41、系統(tǒng)組成42、主機(jī)代理功能特點(diǎn)42.1、網(wǎng)絡(luò)檢測(cè)防護(hù)功能42.2、共享防護(hù)52.3、文件檢測(cè)防護(hù)52.4、注冊(cè)表檢測(cè)防護(hù)62.5、主機(jī)日志監(jiān)控62.6、設(shè)備管理和認(rèn)證72.7、主機(jī)資源審計(jì)72.8、異常檢測(cè)82.9、外聯(lián)監(jiān)控82.10、關(guān)聯(lián)安全功能82.11、文件保密工具82.12、安全透明存儲(chǔ)功能93、典型部署9第二章 系統(tǒng)安裝111、控制中心安裝111.1、安裝Mysql111.2、安裝主機(jī)監(jiān)控與審計(jì)系統(tǒng)控制中心111.2.1、安裝BD-SECSYS-C111.2.2、運(yùn)行BD-SECSYS-C131.2.3、登錄BD-SECSYS-C141.2.4、配置BD-SECSYS-C選項(xiàng)152、主機(jī)代理安裝152.1、制作主機(jī)代理端安裝程序152.2、控制中心配置和管理主機(jī)代理16第三章 控制中心基本操作181、主機(jī)代理部分操作181.1、文件菜單181.1.1、主機(jī)用戶管理191.1.2、添加主機(jī)代理201.1.3、刪除主機(jī)代理201.1.4、修改主機(jī)代理211.1.5、修改主機(jī)代理密碼211.1.6、連接主機(jī)代理211.1.7、斷開主機(jī)代理221.1.8、清除信息框221.2、配置參數(shù)菜單221.2.1、修改配置文件221.2.1.1、系統(tǒng)信息221.2.1.2、模塊信息231.2.2、上傳配置文件241.2.3、修改模塊配置文件241.2.3.1、網(wǎng)絡(luò)檢測(cè)防護(hù)241.2.3.2、共享防護(hù)261.2.3.3、文件檢測(cè)防護(hù)281.2.3.4、注冊(cè)表防護(hù)291.2.3.5、日志監(jiān)控291.2.3.6、設(shè)備管理301.2.3.7、其它301.2.4、上傳模塊配置文件311.2.5、移動(dòng)存儲(chǔ)設(shè)備管理321.2.6、上傳移動(dòng)存儲(chǔ)設(shè)備文件321.3、主機(jī)審計(jì)菜單321.3.1、主機(jī)代理版本331.3.2、主機(jī)代理時(shí)鐘341.3.3、安全透明存儲(chǔ)空間審計(jì)351.3.4、主機(jī)資源審計(jì)351.3.5、主機(jī)設(shè)備審計(jì)371.3.6、進(jìn)程資源審計(jì)381.3.7、網(wǎng)絡(luò)資源審計(jì)391.3.8、共享資源審計(jì)401.3.9、主機(jī)用戶資源審計(jì)411.3.10、服務(wù)資源審計(jì)411.3.11、驅(qū)動(dòng)資源審計(jì)421.3.12、安裝軟件資源審計(jì)431.4、系統(tǒng)菜單441.4.1、修改主機(jī)代理時(shí)鐘441.4.2、修改主機(jī)代理密碼441.4.3、執(zhí)行命令451.5、主機(jī)日志查詢471.6、實(shí)時(shí)顯示功能481.7、策略模板功能502、其它操作522.1、Mysql數(shù)據(jù)庫(kù)管理522.2、選項(xiàng)操作532.2.1、入侵警報(bào)設(shè)置532.2.2、緩沖大小/登錄管理542.2.3、自動(dòng)保存552.2.4、端口/服務(wù)562.2.5、郵件/短信設(shè)置572.3、控制中心用戶管理582.4、控制中心日志管理592.5、修改控制中心用戶密碼602.6、用戶usb密匙管理61第四章 藍(lán)盾文件保密工具基本操作624.1、文件加密624.2、文件解密634.3、文件安全刪除63第一章 系統(tǒng)概述藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)(BD-SECSYS)是由廣東天海威數(shù)碼技術(shù)有限公司自主研發(fā)的基于內(nèi)網(wǎng)安全和防信息泄漏的內(nèi)網(wǎng)安全集成系統(tǒng)。廣東天海威數(shù)碼技術(shù)有限公司基于多年來(lái)積累的安全產(chǎn)品研發(fā)和實(shí)施經(jīng)驗(yàn)，集中強(qiáng)大的研發(fā)隊(duì)伍推出具有完善功能、穩(wěn)定可靠和出色性能的內(nèi)網(wǎng)安全集成產(chǎn)品。1、系統(tǒng)組成藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)(BD-SECSYS)主要包括兩部分組件：主機(jī)代理(BD-SECSYS-H)和控制中心(BD-SECSYS-C)。主機(jī)代理以服務(wù)的方式運(yùn)行在內(nèi)網(wǎng)被保護(hù)主機(jī)上，控制中心提供顯示和管理配置功能。2、主機(jī)代理功能特點(diǎn)2.1、網(wǎng)絡(luò)檢測(cè)防護(hù)功能藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理(BD-SECSYS-H)擁有強(qiáng)大的桌面級(jí)防火墻功能，可以對(duì)系統(tǒng)提供的網(wǎng)絡(luò)端口和IP進(jìn)行監(jiān)控、管理，允許自定義阻斷策略，也可以定義事件對(duì)指定IP地址、協(xié)議和端口以及數(shù)據(jù)流向進(jìn)行實(shí)時(shí)防護(hù)，從而隔斷來(lái)自與網(wǎng)絡(luò)中其他主機(jī)的非法連接請(qǐng)求。網(wǎng)絡(luò)檢測(cè)防護(hù)功能模塊具有以下特點(diǎn)：網(wǎng)絡(luò)檢測(cè)防護(hù)特點(diǎn)內(nèi)容描述主機(jī)網(wǎng)絡(luò)資源審計(jì)審計(jì)主機(jī)網(wǎng)絡(luò)連接狀態(tài)、路由表、ARP緩存表、IP/TCP/ICMP/UDP統(tǒng)計(jì)表、IP地址表、網(wǎng)絡(luò)連接狀態(tài)等。自定義攔截規(guī)則用戶可定義基于IP/TCP/UDP/ICMP和端口的攔截規(guī)則。ARP欺騙防護(hù)使用ARP靜態(tài)表保護(hù)技術(shù)防ARP欺騙。Modem撥號(hào)檢測(cè)可實(shí)時(shí)發(fā)現(xiàn)Modem撥號(hào)等單點(diǎn)破網(wǎng),并能按照策略進(jìn)行實(shí)時(shí)處理。2.2、共享防護(hù)在Windows操作平臺(tái)，共享交換數(shù)據(jù)非常方便，但由于共享不能控制到用戶級(jí)，同時(shí)共享更不能保證基于用戶級(jí)的訪問(wèn)安全，因此會(huì)導(dǎo)致數(shù)據(jù)丟失或破壞?；诖怂{(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理(BD-SECSYS-H)研發(fā)出實(shí)用的基于共享安全控制技術(shù)，能控制到共享名和用戶名綁定，訪問(wèn)文件夾和用戶名綁定，訪問(wèn)用戶與IP地址綁定。共享防護(hù)功能模塊具有以下特點(diǎn)：共享防護(hù)特點(diǎn)內(nèi)容描述共享名安全根據(jù)自定義策略，能控制登錄用戶與共享名綁定，即用戶只能訪問(wèn)他允許訪問(wèn)的共享名。共享文件夾安全根據(jù)自定義策略，能控制登錄用戶與共享文件夾綁定，即用戶只能訪問(wèn)他允許訪問(wèn)的共享文件夾。訪問(wèn)用戶綁定根據(jù)自定義策略，能控制登錄用戶與登錄IP綁定，或不綁定。如果綁定IP，則用戶只能在指定的IP進(jìn)行登錄訪問(wèn)，否則在任一IP可進(jìn)行登錄訪問(wèn)。安全的共享打印要使用共享打印機(jī)必須每次使用指定的用戶登錄后，方可打印，從而實(shí)現(xiàn)了安全的共享打印。2.3、文件檢測(cè)防護(hù)藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理(BD-SECSYS-H)擁有強(qiáng)大的文件檢測(cè)防護(hù)功能，無(wú)論來(lái)自本機(jī)還是網(wǎng)絡(luò)對(duì)本主機(jī)的文件、文件夾的訪問(wèn)，用戶都可設(shè)定訪問(wèn)控制策略，防止信息泄漏。文件檢測(cè)防護(hù)模塊的特點(diǎn)如下：文件檢測(cè)防護(hù)特點(diǎn)內(nèi)容描述讀文件、文件夾按照策略能記錄、禁止讀文件、文件夾。能記錄讀文件、文件夾使用的進(jìn)程等。 寫文件按照策略能記錄、禁止寫文件。記錄寫文件當(dāng)前使用的進(jìn)程。刪除文件、文件夾按照策略能記錄、禁止刪除文件、文件夾。記錄刪除文件、文件夾的當(dāng)前使用的進(jìn)程?？截愇募?、文件夾按照策略能記錄、禁止拷貝文件、文件夾。記錄拷貝文件、文件夾的當(dāng)使用的進(jìn)程。改名文件、文件夾按照策略能記錄、禁止改名文件、文件夾。記錄拷貝文件、文件夾的當(dāng)前使用的進(jìn)程。新建文件、文件夾按照策略能記錄、禁止新建文件、文件夾。記錄新建文件、文件夾的當(dāng)前使用的進(jìn)程。改變文件、文件夾屬性按照策略能記錄、禁止改變文件、文件夾屬性。記錄改變文件、文件夾屬性的當(dāng)前使用的進(jìn)程。實(shí)時(shí)獲取主機(jī)文件信息能夠獲取主機(jī)文件和文件夾信息，并能象在本機(jī)一樣可選擇文件路徑。2.4、注冊(cè)表檢測(cè)防護(hù)由于入侵者經(jīng)常修改注冊(cè)表，以及各種木馬軟件也修改注冊(cè)表，考慮到主機(jī)的安全性，藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理(BD-SECSYS-H)研發(fā)出實(shí)時(shí)的注冊(cè)表監(jiān)控能力，防止非法修改注冊(cè)表?？啥x監(jiān)控注冊(cè)表策略，以監(jiān)控讀、建立、打開、刪除、修改注冊(cè)表。2.5、主機(jī)日志監(jiān)控藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理(BD-SECSYS-H)可以實(shí)時(shí)獲取安全域內(nèi)用戶主機(jī)上的安全日志、系統(tǒng)日志、應(yīng)用程序日志，并作為數(shù)據(jù)來(lái)源，進(jìn)行入侵檢測(cè)。日志監(jiān)控模塊特點(diǎn)有：日志模塊特點(diǎn)內(nèi)容描述安全日志檢測(cè)進(jìn)行安全日志檢測(cè)系統(tǒng)日志檢測(cè)進(jìn)行系統(tǒng)日志檢測(cè)應(yīng)用程序日志檢測(cè)進(jìn)行應(yīng)用程序日志檢測(cè)定義策略可定義策略有針對(duì)性獲取日志數(shù)據(jù)。日志分析對(duì)獲取的日志數(shù)據(jù)進(jìn)行分析，并按照策略檢測(cè)入侵行為2.6、設(shè)備管理和認(rèn)證藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理(BD-SECSYS-H)能遠(yuǎn)程管理安全域內(nèi)主機(jī)上的全部硬件設(shè)備，能禁止設(shè)備的使用。當(dāng)新設(shè)備進(jìn)入系統(tǒng)時(shí)，BD-SECSYS能自動(dòng)發(fā)現(xiàn)并按照策略實(shí)施處理動(dòng)作（記錄、禁止、安全傳輸、報(bào)警、強(qiáng)制認(rèn)證）。設(shè)備檢測(cè)防護(hù)模塊特點(diǎn)有：設(shè)備檢測(cè)防護(hù)特點(diǎn)內(nèi)容描述設(shè)備基線數(shù)據(jù)庫(kù)對(duì)管理域內(nèi)的主機(jī)上的設(shè)備建立基線數(shù)據(jù)庫(kù)，以便需要時(shí)進(jìn)行核查。自動(dòng)發(fā)現(xiàn)設(shè)備功能當(dāng)新設(shè)備進(jìn)入計(jì)算機(jī)系統(tǒng)時(shí)，能自動(dòng)發(fā)現(xiàn)新設(shè)備。無(wú)論沒開機(jī)插入設(shè)備然后啟動(dòng)或計(jì)算機(jī)工作時(shí)接入新設(shè)備，都能發(fā)現(xiàn)新設(shè)備，并根據(jù)策略進(jìn)行管理(記錄、禁止、安全通訊、加密傳輸)。攔截或禁止功能根據(jù)策略可對(duì)違反規(guī)定的設(shè)備可實(shí)時(shí)攔截或禁止。移動(dòng)存儲(chǔ)設(shè)備認(rèn)證功能根據(jù)策略對(duì)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行認(rèn)證。提供移動(dòng)存儲(chǔ)設(shè)備認(rèn)證數(shù)據(jù)庫(kù)。完備的設(shè)備管理能管理的設(shè)備有：軟盤FD、 MO盤、 ZIP盤、 JAZZ盤、 Flash Device盤、CD-R、 CD-RW、 USB/1394 Storage Device、 紅外線接口、打印機(jī)、鍵盤、鼠標(biāo)等。完備的端口管理可管理的端口有：鍵盤鼠標(biāo)端口控制、USB 端口、 IDE總線、 光驅(qū)控制、 軟驅(qū)控制 、SCSI 控制 、紅外控制、 1394 火線端口控制、 并口控制 、串口控制等。2.7、主機(jī)資源審計(jì)藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理(BD-SECSYS-H)能對(duì)主機(jī)資源進(jìn)行審計(jì)，并能實(shí)時(shí)監(jiān)控主機(jī)資源狀況。主機(jī)資源審計(jì)、監(jiān)控模塊特點(diǎn)有：主機(jī)資源審計(jì)、監(jiān)控特點(diǎn)內(nèi)容描述實(shí)用的主機(jī)資源監(jiān)控可實(shí)時(shí)監(jiān)控主機(jī)CPU、內(nèi)存使用率主機(jī)進(jìn)程管理可審計(jì)主機(jī)進(jìn)程，并提供遠(yuǎn)程終止進(jìn)程的能力，并設(shè)計(jì)禁止該程序運(yùn)行策略主機(jī)系統(tǒng)信息審計(jì)審計(jì)主機(jī)系統(tǒng)信息，如CPU、內(nèi)存、操作系統(tǒng)等。安裝應(yīng)用程序管理審計(jì)已安裝的應(yīng)用程序，并實(shí)時(shí)發(fā)現(xiàn)正在安裝應(yīng)用程序，按照策略進(jìn)行禁止。能遠(yuǎn)程卸載應(yīng)用程序。服務(wù)管理能遠(yuǎn)程管理（停止、啟動(dòng)）主機(jī)上的服務(wù)用戶和組管理能審計(jì)主機(jī)用戶和組信息2.8、異常檢測(cè)藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理(BD-SECSYS-H)以計(jì)算機(jī)資源為目標(biāo)建立異常檢測(cè)模塊，在其中使用了統(tǒng)計(jì)學(xué)方法。可異常檢測(cè)的資源有CPU、內(nèi)存、IP流量、ICMP流量、TCP流量、UDP流量等。2.9、外聯(lián)監(jiān)控在內(nèi)網(wǎng)安全管理嚴(yán)格的情況下，主機(jī)用戶為了使用方便或基于某些違規(guī)行為，使用撥號(hào)等手段進(jìn)入Internet，從而導(dǎo)致單點(diǎn)破網(wǎng)，給內(nèi)網(wǎng)安全帶來(lái)極大的隱患，同時(shí)主機(jī)用戶會(huì)通過(guò)這種手段泄漏內(nèi)網(wǎng)機(jī)密信息。藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理(BD-SECSYS-H)通過(guò)外聯(lián)監(jiān)控手段有效防止信息泄漏。2.10、關(guān)聯(lián)安全功能藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理(BD-SECSYS-H)與防火墻、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)在安全架構(gòu)內(nèi)能按照策略進(jìn)行聯(lián)動(dòng)或知識(shí)共享，從而形成整體、多層次的安全態(tài)勢(shì)，產(chǎn)生關(guān)聯(lián)安全效應(yīng)。藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)提供了開源的接口標(biāo)準(zhǔn)，以與其它安全設(shè)備進(jìn)行有效聯(lián)動(dòng)。2.11、文件保密工具藍(lán)盾文件加密工具提供文件數(shù)據(jù)加密、解密、安全刪除、安全導(dǎo)入導(dǎo)出等幾大功能，加密解密保證只有持有文件加密狗以及密碼的文件主人才能對(duì)加密數(shù)據(jù)進(jìn)行查看，修改。安全刪除功能可以安全的將文件刪除，避免被文件恢復(fù)工具所恢復(fù)。文件安全導(dǎo)入導(dǎo)出功能強(qiáng)制規(guī)定只有經(jīng)過(guò)藍(lán)盾文件保密工具加密過(guò)的的文件方可輸出到usb閃存盤等移動(dòng)存儲(chǔ)設(shè)備上，以防止主機(jī)代理用戶由于usb閃存盤等移動(dòng)存儲(chǔ)設(shè)備遺失等原因造成信息泄漏。2.12、安全透明存儲(chǔ)功能通過(guò)控制中心管理主機(jī)上安全透明存儲(chǔ)磁盤。在主機(jī)上注冊(cè)安全透明磁盤，用戶將該安全透明磁盤當(dāng)作普通磁盤使用，實(shí)際上存儲(chǔ)在該盤中的數(shù)據(jù)是高強(qiáng)度加密的。用戶只有通過(guò)認(rèn)證鎖認(rèn)證后才能使用該盤。3、典型部署藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)典型應(yīng)用如下圖。通過(guò)在內(nèi)網(wǎng)安裝BD-SECSYS，能從縱深的角度防御入侵和誤用，同時(shí)能成功防止保密信息泄漏，并能采取集中管理的手段實(shí)施桌面級(jí)安全。第二章 系統(tǒng)安裝1、控制中心安裝1.1、安裝Mysql安裝Mysql數(shù)據(jù)庫(kù)，并運(yùn)行Mysql數(shù)庫(kù)?？蓤?zhí)行Mysql的winmysqladmin程序運(yùn)行Mysql。注意：在安裝控制中心后，要使用BD-SECSYS的Mysql數(shù)據(jù)庫(kù)管理工具使用Mysql更安全。1.2、安裝主機(jī)監(jiān)控與審計(jì)系統(tǒng)控制中心1.2.1、安裝BD-SECSYS-C安裝過(guò)程界面如下：1.2.2、運(yùn)行BD-SECSYS-C第一次運(yùn)行BD-SECSYS-C時(shí)應(yīng)運(yùn)行藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)控制中心，注意運(yùn)行BD-SECSYS-C要經(jīng)過(guò)USB KEY才可運(yùn)行。界面過(guò)程如下：在登錄Mysql服務(wù)器配置中配置Mysql，服務(wù)器地址是運(yùn)行Mysql服務(wù)器的計(jì)算機(jī)IP地址，如果是本機(jī)，選擇“本地”選擇框。在用戶名使用root，密碼不要填，數(shù)據(jù)庫(kù)名應(yīng)輸入當(dāng)前BD-SECSYS-C存儲(chǔ)各種信息的數(shù)據(jù)庫(kù)名，Mysql目錄選擇Mysql命令目錄，僅限本地服務(wù)器有用。運(yùn)行后在任務(wù)欄出現(xiàn)，如下：1.2.3、登錄BD-SECSYS-C在任務(wù)欄中選擇登錄BD-SECSYS-C菜單出線如下界面：缺省用戶名和密碼都是：secsysadm。注意登錄后應(yīng)建立新用戶，刪除舊用戶。1.2.4、配置BD-SECSYS-C選項(xiàng)登錄后選擇BD-SECSYS-C的“選項(xiàng)”菜單，進(jìn)行系統(tǒng)配置，具體操作見操作手冊(cè)。2、主機(jī)代理安裝2.1、制作主機(jī)代理端安裝程序在控制中心所在主機(jī)上運(yùn)行主機(jī)代理端安裝程序制作工具，界面如下圖所示：填入輸出IP和控制中心IP后點(diǎn)“制作”按鈕，完成之后將在安裝程序制作工具目錄下出現(xiàn)“setup.exe”和“setup.conf”兩個(gè)文件。在控制中心安裝目錄下新建一個(gè)名為“tmp”的目錄，將這兩個(gè)文件拷貝到該目錄下即可注冊(cè)主機(jī)代理時(shí)首先請(qǐng)打開主機(jī)代理注冊(cè)工具目錄下面的“config.txt”文件，一般情況下里面內(nèi)容只有一個(gè)ip地址（如192.168.0.144），將其改為控制中心的ip地址。然后啟動(dòng)主機(jī)代理注冊(cè)工具，界面如下圖所示：輸入所需信息之后點(diǎn)擊“注冊(cè)”按鈕，稍等一段時(shí)間，出現(xiàn)“注冊(cè)成功”時(shí)即說(shuō)明已經(jīng)安裝注冊(cè)成功。2.2、控制中心配置和管理主機(jī)代理為了管理主機(jī)代理應(yīng)在控制中心進(jìn)行遠(yuǎn)程配置主機(jī)代理，配置主要界面如下，具體基本操作部分。第三章 控制中心基本操作1、主機(jī)代理部分操作1.1、文件菜單“文件”菜單共有如下操作：主機(jī)用戶管理、添加主機(jī)代理、刪除主機(jī)代理、修改主機(jī)代理、修改主機(jī)代理密碼、連接主機(jī)代理、斷開主機(jī)代理、清除信息框。見圖1.1。圖1.11.1.1、主機(jī)用戶管理通過(guò)“主機(jī)用戶管理”操作，可錄入內(nèi)網(wǎng)主機(jī)用戶信息，如姓名、電話、單位/部門、職責(zé)等。1.1.2、添加主機(jī)代理為了管理主機(jī)代理，必須增加主機(jī)代理有關(guān)信息，內(nèi)容有：主機(jī)代理IP、MAC地址、主機(jī)用途、用戶信息。注意主機(jī)代理IP是必須要。1.1.3、刪除主機(jī)代理在主機(jī)代理管理中可刪除主機(jī)代理的信息，但不能卸載主機(jī)代理軟件。1.1.4、修改主機(jī)代理修改主機(jī)代理管理中的主機(jī)代理信息。不能修改主機(jī)代理軟件配置。1.1.5、修改主機(jī)代理密碼修改主機(jī)代理管理中的主機(jī)代理控制中心密碼，缺省密碼：1234567890?？刂浦行墓芾碇鳈C(jī)代理必須與主機(jī)進(jìn)行密碼和身份確認(rèn)。1.1.6、連接主機(jī)代理要管理主機(jī)代理，必須通過(guò)“連接主機(jī)代理”操作與主機(jī)代理連接，才能進(jìn)行后續(xù)操作。1.1.7、斷開主機(jī)代理對(duì)主機(jī)代理操作完后，應(yīng)選擇 “斷開主機(jī)代理”操作安全斷開與主機(jī)代理的連接。1.1.8、清除信息框進(jìn)行“清除信息框”操作，可清除信息框內(nèi)容1.2、配置參數(shù)菜單1.2.1、修改配置文件1.2.1.1、系統(tǒng)信息主機(jī)代理獲取主機(jī)信息情況，并進(jìn)行分析后，可根據(jù)策略與防火墻、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)等安全設(shè)備進(jìn)行聯(lián)動(dòng)，有效攔截入侵者、誤用行為、違規(guī)操作。聯(lián)動(dòng)IP和端口指的是防火墻、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)用來(lái)聯(lián)動(dòng)的IP和端口。密鑰是用于聯(lián)動(dòng)信息的加密傳輸。根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)，決定主機(jī)代理是否通過(guò)控制中心與防火墻、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)。信息輸出IP地址指的是主機(jī)代理各種日志信息輸出到何處，控制中心IP地址決定主機(jī)代理能接受管理的控制中心IP地址。1.2.1.2、模塊信息該功能是為了功能模塊擴(kuò)展需要，現(xiàn)在暫時(shí)沒有擴(kuò)展模塊。1.2.2、上傳配置文件修改配置文件后，應(yīng)上傳到主機(jī)代理并激活修改，具體操作見“執(zhí)行命令”操作。1.2.3、修改模塊配置文件1.2.3.1、網(wǎng)絡(luò)檢測(cè)防護(hù)藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理模塊擁有桌面級(jí)防火墻功能。通過(guò)集中管理的方式實(shí)施內(nèi)網(wǎng)主機(jī)安全，增加規(guī)則見下圖，增加規(guī)則后應(yīng)選擇，并激活修改。為了防Arp欺騙，藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理能將IP和MAC地址靜態(tài)綁定，綁定后應(yīng)上傳到主機(jī)代理并激活。綁定操作如下圖：1.2.3.2、共享防護(hù)藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)提供了安全的共享防護(hù)能力。在下圖示例操作中，如這條規(guī)則上傳到192.168.0.145，同時(shí)192.168.0.145上有共享名testshare和用戶名testuser，那么要訪問(wèn)192.168.0.145的testshare共享目錄，則只能在192.168.0.144使用testuser用戶名共享登錄訪問(wèn)192.168.0.145的共享目錄testshare。提示：1、上傳規(guī)則，應(yīng)激活后才能應(yīng)用。2、用戶和IP地址可綁定，也通過(guò)不填I(lǐng)P地址實(shí)施不綁定。在下圖示例操作中，如這條規(guī)則上傳到192.168.0.145，同時(shí)192.168.0.145上有共享名testshare和用戶名testuser，那么要訪問(wèn)192.168.0.145的testshare共享目錄下的testdir，則只能在192.168.0.144使用testuser用戶名共享登錄訪問(wèn)192.168.0.145的共享目錄testshare下的testdir，從下圖規(guī)則，該訪問(wèn)操作被拒絕。提示：1、上傳規(guī)則，應(yīng)激活后才能應(yīng)用。2、用戶和IP地址可綁定，也通過(guò)不填I(lǐng)P地址實(shí)施不綁定。3、訪問(wèn)目錄表示方式：共享名目錄藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)實(shí)施可控性的共享打印。如192.168.0.144使用192.168.0.145提供testuser用戶名訪問(wèn)該機(jī)的共享打印機(jī)，打印共享名是HPLaserJ，圖示操作如下。提示：1、上傳規(guī)則，應(yīng)激活后才能應(yīng)用。2、用戶和IP地址可綁定，也通過(guò)不填I(lǐng)P地址實(shí)施不綁定。3、共享打印目錄通過(guò)共享審計(jì)獲取。1.2.3.3、文件檢測(cè)防護(hù)藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)提供實(shí)用的本地文件檢測(cè)防護(hù)功能。下圖是獲取192.168.0.144文件信息。這樣可象本地一樣選擇文件或目錄。下圖示例表示對(duì)e:sample文件夾下的目錄和文件實(shí)施拒絕寫操作。提示：1、上傳規(guī)則，應(yīng)激活后才能應(yīng)用。1.2.3.4、注冊(cè)表防護(hù)藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)提供實(shí)用的本地注冊(cè)表檢測(cè)防護(hù)功能。下圖示例表示對(duì)根鍵HKEY_CURRENT_USER下的testregdir子鍵實(shí)施拒絕新建操作。提示：1、上傳規(guī)則，應(yīng)激活后才能應(yīng)用。1.2.3.5、日志監(jiān)控藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)提供實(shí)用的日志監(jiān)控功能。能將安裝主機(jī)代理上的主機(jī)日志按照要求實(shí)時(shí)傳送到控制中心備份。策略設(shè)計(jì)如下圖。提示：1、上傳規(guī)則，應(yīng)激活后才能應(yīng)用。1.2.3.6、設(shè)備管理藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)提供強(qiáng)大的設(shè)備管理能力。操作如下圖。提示：1、上傳規(guī)則，應(yīng)激活后才能應(yīng)用。1.2.3.7、其它藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)提供異常檢測(cè)能力，可異常檢測(cè)CPU、內(nèi)存、IP、ICMP、UDP、TCP等。CPU、內(nèi)存的閥值是0-100，表示占用資源百分值只，IP、TCP、UDP的閥值是每秒發(fā)送和接收字節(jié)數(shù)。不能通訊處理方式是指人為斷開主機(jī)代理和控制中心的聯(lián)系，主機(jī)代理會(huì)根據(jù)策略禁止鍵盤和鼠標(biāo)，在這種情況下，可使用藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)USB-KEY解鎖。1.2.4、上傳模塊配置文件修改模塊配置文件后，應(yīng)上傳到主機(jī)代理并激活修改，具體操作見“執(zhí)行命令”操作。1.2.5、移動(dòng)存儲(chǔ)設(shè)備管理藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理強(qiáng)制移動(dòng)存儲(chǔ)設(shè)備認(rèn)證。當(dāng)移動(dòng)存儲(chǔ)設(shè)備進(jìn)入主機(jī)代理所在的主機(jī)，主機(jī)代理能實(shí)時(shí)獲取設(shè)備描述和該設(shè)備在主機(jī)中的邏輯盤符，然后在本地認(rèn)證，如果本地認(rèn)證沒有，到控制中心認(rèn)證，如果能找到認(rèn)證結(jié)果，便將結(jié)果返回到主機(jī)代理，對(duì)該移動(dòng)存儲(chǔ)設(shè)備進(jìn)行相應(yīng)的策略處理，如果沒有認(rèn)證結(jié)果，便返回只讀認(rèn)證結(jié)果到主機(jī)代理，同時(shí)等代理控制中心的認(rèn)證。下圖操作說(shuō)明：如果選擇主機(jī)型，該設(shè)備只能在指定的主機(jī)有效，否則該設(shè)備不綁定到指定的主機(jī)；如果選擇禁止寫，該設(shè)備不能寫，否則該設(shè)備能寫。1.2.6、上傳移動(dòng)存儲(chǔ)設(shè)備文件為了實(shí)施主機(jī)代理所在主機(jī)的移動(dòng)存儲(chǔ)設(shè)備能進(jìn)行本地認(rèn)證，應(yīng)將該主機(jī)能認(rèn)證的移動(dòng)存儲(chǔ)設(shè)備信息上傳到該主機(jī)。1.3、主機(jī)審計(jì)菜單“主機(jī)審計(jì)”菜單共有如下操作：主機(jī)代理版本、主機(jī)代理時(shí)鐘、主機(jī)資源審計(jì)、主機(jī)設(shè)備審計(jì)、進(jìn)程資源審計(jì)、網(wǎng)絡(luò)資源審計(jì)、共享資源審計(jì)、主機(jī)用戶資源審計(jì)、服務(wù)資源審計(jì)、驅(qū)動(dòng)資源審計(jì)。1.3.1、主機(jī)代理版本通過(guò)此操作能獲取主機(jī)代理的版本號(hào)。1.3.2、主機(jī)代理時(shí)鐘通過(guò)此操作能獲取主機(jī)代理的所在主機(jī)時(shí)鐘。1.3.3、安全透明存儲(chǔ)空間審計(jì)通過(guò)該審計(jì)操作可管理主機(jī)上的安全透明存儲(chǔ)空間。在主機(jī)上出現(xiàn)如下盤：1.3.4、主機(jī)資源審計(jì)通過(guò)此操作能獲取主機(jī)代理的所在主機(jī)的主機(jī)資源，并可按照條件刷新資源和圖形顯示CPU和內(nèi)存資源。1.3.5、主機(jī)設(shè)備審計(jì)通過(guò)此操作能獲取主機(jī)代理的所在主機(jī)的設(shè)備資源，并可遠(yuǎn)程禁止或取消禁止設(shè)備。1.3.6、進(jìn)程資源審計(jì)通過(guò)此操作能獲取主機(jī)代理的所在主機(jī)的進(jìn)程資源，并可按照條件進(jìn)程資源，可遠(yuǎn)程終止進(jìn)程。1.3.7、網(wǎng)絡(luò)資源審計(jì)通過(guò)此操作能獲取主機(jī)代理的所在主機(jī)的網(wǎng)絡(luò)資源，如網(wǎng)絡(luò)連接狀態(tài)、IP地址、MAC地址、路由信息、流量統(tǒng)計(jì)信息等。1.3.8、共享資源審計(jì)通過(guò)此操作能獲取主機(jī)代理的所在主機(jī)的共享資源信息、共享會(huì)話信息、共享訪問(wèn)文件信息。1.3.9、主機(jī)用戶資源審計(jì)通過(guò)此操作能獲取主機(jī)代理的所在主機(jī)的用戶信息、本地組信息。1.3.10、服務(wù)資源審計(jì)通過(guò)此操作能獲取主機(jī)代理的所在主機(jī)的服務(wù)資源，并能啟動(dòng)、停止、暫停、刪除服務(wù)。1.3.11、驅(qū)動(dòng)資源審計(jì)通過(guò)此操作能獲取主機(jī)代理的所在主機(jī)的驅(qū)動(dòng)資源，并能停止、刪除驅(qū)動(dòng)。1.3.12、安裝軟件資源審計(jì)通過(guò)此操作能獲取主機(jī)代理的所在主機(jī)的安裝程序列表，并能輸出成報(bào)表，審計(jì)入庫(kù)，和對(duì)不符合安全策略的程序進(jìn)行卸載操作。1.4、系統(tǒng)菜單“系統(tǒng)”菜單功能有：設(shè)計(jì)主機(jī)代理所在主機(jī)時(shí)鐘、主機(jī)代理密碼、執(zhí)行命令。1.4.1、修改主機(jī)代理時(shí)鐘通過(guò)此操作遠(yuǎn)程更改主機(jī)代理所在主機(jī)時(shí)鐘。1.4.2、修改主機(jī)代理密碼通過(guò)此操作遠(yuǎn)程更改主機(jī)代理密碼，這個(gè)密碼用來(lái)判斷控制中心連接主機(jī)代理時(shí)使用的密碼是否正確。1.4.3、執(zhí)行命令藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理部分提供了對(duì)主機(jī)代理操作如下命令： 應(yīng)用網(wǎng)絡(luò)規(guī)則使主機(jī)代理基于網(wǎng)絡(luò)檢測(cè)防護(hù)的規(guī)則生效。 啟動(dòng)網(wǎng)絡(luò)規(guī)則模塊啟動(dòng)主機(jī)代理基于網(wǎng)絡(luò)檢測(cè)防護(hù)模塊。 停止網(wǎng)絡(luò)規(guī)則模塊停用主機(jī)代理基于網(wǎng)絡(luò)檢測(cè)防護(hù)模塊。 應(yīng)用IP和MAC綁定應(yīng)用IP和MAC綁定規(guī)則，防ARP欺騙。 清除IP和MAC綁定清除IP和MAC綁定規(guī)則。 應(yīng)用共享信息應(yīng)用共享信息，即用戶名和共享名綁定。 清除共享信息清除共享信息，即清除用戶名和共享名綁定。 應(yīng)用共享防護(hù)規(guī)則信息應(yīng)用共享防護(hù)規(guī)則信息，即用戶名和共享名下目錄綁定。 清除共享防護(hù)規(guī)則信息清除共享防護(hù)規(guī)則信息，即清除用戶名和共享名下目錄綁定。 啟動(dòng)文件監(jiān)控模塊啟動(dòng)文件檢測(cè)防護(hù)模塊。 停止文件監(jiān)控模塊停用文件檢測(cè)防護(hù)模塊。 應(yīng)用文件監(jiān)控規(guī)則信息應(yīng)用文件檢測(cè)防護(hù)的文件監(jiān)控規(guī)則。 清除文件監(jiān)控規(guī)則信息清除文件檢測(cè)防護(hù)的文件監(jiān)控規(guī)則。 啟動(dòng)注冊(cè)表監(jiān)控模塊啟用注冊(cè)表檢測(cè)防護(hù)模塊。 停止注冊(cè)表監(jiān)控模塊停用注冊(cè)表檢測(cè)防護(hù)模塊。 應(yīng)用注冊(cè)表監(jiān)控規(guī)則信息應(yīng)用注冊(cè)表檢測(cè)防護(hù)模塊的監(jiān)控規(guī)則。 清除注冊(cè)表監(jiān)控規(guī)則信息清除注冊(cè)表檢測(cè)防護(hù)模塊的監(jiān)控規(guī)則。 啟動(dòng)日志監(jiān)控模塊啟動(dòng)日志監(jiān)控模塊，對(duì)主機(jī)代理端主機(jī)日志進(jìn)行實(shí)時(shí)監(jiān)控并獲取。 停止日志監(jiān)控模塊停用日志監(jiān)控模塊。 應(yīng)用日志監(jiān)控規(guī)則信息應(yīng)用日志監(jiān)控模塊的監(jiān)控規(guī)則。 清除日志監(jiān)控規(guī)則信息停用日志監(jiān)控模塊的監(jiān)控規(guī)則。 應(yīng)用設(shè)備管理規(guī)則信息應(yīng)用設(shè)備管理模塊的管理規(guī)則。 清除設(shè)備管理規(guī)則信息清除設(shè)備管理模塊的管理規(guī)則。 應(yīng)用新的輸出信息地址修改主機(jī)代理的信息輸出地址。 記錄移動(dòng)存儲(chǔ)設(shè)備從主機(jī)寫數(shù)據(jù)到移動(dòng)存儲(chǔ)設(shè)備，將進(jìn)行記錄。 清除移動(dòng)存儲(chǔ)設(shè)備管理信息清除移動(dòng)存儲(chǔ)設(shè)備管理信息，這樣，應(yīng)用在設(shè)備上的規(guī)則無(wú)效。 禁止移動(dòng)存儲(chǔ)設(shè)備禁止使用移動(dòng)存儲(chǔ)設(shè)備。 讀取安全日志文件由于一些原因?qū)е轮鳈C(jī)代理端日志不能送到控制中心，那么日志將存儲(chǔ)主機(jī)代理端，通過(guò)這個(gè)操作能將日志讀出并送到控制中心。 讀取安全日志記錄數(shù)由于一些原因?qū)е轮鳈C(jī)代理端日志不能送到控制中心，那么日志將存儲(chǔ)主機(jī)代理端，通過(guò)這個(gè)操作能將日志數(shù)。 禁止CD-RW禁止主機(jī)代理端使用CD-RW。 允許使用CD-RW允許主機(jī)代理端使用CD-RW。 禁止撥號(hào)禁止主機(jī)代理端使用Modem進(jìn)行撥號(hào)。 允許撥號(hào)允許主機(jī)代理端使用Modem進(jìn)行撥號(hào)。 禁止使用打印機(jī)禁止主機(jī)代理端使用打印機(jī)。 允許使用打印機(jī)允許主機(jī)代理端使用打印機(jī)。1.5、主機(jī)日志查詢藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)控制中心能將主機(jī)代理端送來(lái)的日志存儲(chǔ)在Mysql數(shù)據(jù)庫(kù)中，事后為了分析方便，可使用主機(jī)日志查詢功能，進(jìn)行必要而有效的分析。提供的功能有：查詢、刪除單前記錄、條件刪除記錄、生成報(bào)表。通過(guò)“查詢” 操作能從Mysql查詢到符合條件的記錄。通過(guò)“刪除單前記錄” 操作能從Mysql中刪除當(dāng)前選中的記錄。通過(guò)“條件刪除”操作能從Mysql中刪除符合條件的記錄。通過(guò)“生成報(bào)表” 操作能將列表框中的記錄以TXT格式記錄，方便打印。下圖是主機(jī)信息查詢條件對(duì)話框。條件有：時(shí)間、主機(jī)代理IP、信息類型，這三個(gè)條件是“與”關(guān)系。下圖是主機(jī)信息刪除條件對(duì)話框。條件有：時(shí)間、主機(jī)代理IP、信息類型，這三個(gè)條件是“與”關(guān)系。通過(guò)條件刪除能從Mysql數(shù)據(jù)庫(kù)中刪除符合條件的記錄。1.6、實(shí)時(shí)顯示功能藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)控制中心能實(shí)時(shí)顯示主機(jī)代理送來(lái)的信息，并且能選中任一記錄，了解詳細(xì)信息。能夠按照條件顯示主機(jī)信息，也可清除緩沖中的記錄。下圖是主機(jī)代理信息顯示條件，如果IP地址框中有IP地址，則僅能顯示這些IP地址的信息，否則全部IP地址的信息。其它選擇框如果選中表示符合該條件的就顯示。1.7、策略模板功能藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)策略模板功能提供成批增加規(guī)則的功能，方便了系統(tǒng)管理員進(jìn)行統(tǒng)一管理。要使用策略模板功能，首先需定義策略模板。點(diǎn)擊“配置參數(shù)”中的“策略模板管理”選項(xiàng)，出現(xiàn)如下圖所示的窗口在窗口左邊的“策略模板”樹中，在需要設(shè)置的內(nèi)容上點(diǎn)擊鼠標(biāo)右鍵，選擇“新建策略模板”輸入模板名和說(shuō)明信息，點(diǎn)擊確定，則新建模板出現(xiàn)在模板樹中，如下圖所示此時(shí)在策略模板管理對(duì)話框右邊點(diǎn)擊鼠標(biāo)右鍵可進(jìn)行相應(yīng)的模板詳細(xì)設(shè)置，內(nèi)容依據(jù)模板類型而定。設(shè)置完模板后下一步是設(shè)置組。點(diǎn)擊“文件”菜單中的“組管理”選項(xiàng)。出現(xiàn)如下窗口：在各個(gè)小框中點(diǎn)擊鼠標(biāo)右鍵，進(jìn)行添加組，添加組成員，添加組策略的操作。設(shè)置完成組策略之后，在主機(jī)代理列表中選種主機(jī)代理，選擇菜單中的“上傳配置文件”和“上傳模塊配置文件”，將設(shè)置好的配置選項(xiàng)打上勾，點(diǎn)擊“確定”統(tǒng)一上傳，如下圖所示2、其它操作2.1、Mysql數(shù)據(jù)庫(kù)管理該工具用于管理Mysql數(shù)據(jù)庫(kù)。登錄后刪除數(shù)據(jù)庫(kù)、配置主機(jī)監(jiān)控與審計(jì)系統(tǒng)參數(shù)、修改Mysql中的用戶名密碼、安全初始化Mysql等。2.2、選項(xiàng)操作2.2.1、入侵警報(bào)設(shè)置管理用戶可以修改系統(tǒng)中某一級(jí)別入侵的入侵警報(bào)，并選擇報(bào)警開關(guān)，如圖所示：圖66若選擇聲音報(bào)警，當(dāng)系統(tǒng)捕獲到入侵信息時(shí)，系統(tǒng)將產(chǎn)生報(bào)警聲音。若選擇圖標(biāo)報(bào)警，當(dāng)系統(tǒng)捕獲到入侵