特別聲明

■本使用手冊由北信源終端安全管理系列產品安裝配置指導手冊、用戶

手冊、產品維護手冊三部分組成，其內容將隨著北信源軟件的不斷升

級而改變（以光盤中電子版發(fā)行時為最新版），恕不另行通知。需要者

請從北信源公司網站下載本手冊的最新電子版或者直接聯(lián)系北信源

公司索取。

■北信源終端安全管理系列產品由《北信源內網安全管理系統(tǒng)》、《北信

源補丁及文件分發(fā)管理系統(tǒng)》、《北信源主機監(jiān)控審計系統(tǒng)》、《北信源

移動存儲介質使用管理系統(tǒng)》、《北信源網絡接入控制管理系統(tǒng)》及《北

信源接入認證網關》6大套件構成。

■本使用手冊為北信源終端安全管理系列產品通用說明書。若您獨立購

買《北信源內網安全管理系統(tǒng)》或《北信源補丁及文件分發(fā)管理系統(tǒng)》

等其中之一產品，本說明書的其它功能將不具備。

■感謝您購買北京北信源軟件股份有限公司研制開發(fā)的北信源終端安

全管理系列產品。請在使用本軟件之前認真閱讀本使用手冊，當您開

始使用該軟件時，北信源公司認為您已經閱讀了本使用手冊。

快速閱讀指南

1.本使用手冊為北信源終端安全管理系列產品全功能用戶手冊，請按照所購買產品

對應相關的產品說明進行配置使用（該手冊第一、二、三章為終端安全管理產品共

有部分，凡購買任何一款終端安全管理產品都應首先詳細閱讀此三個章節(jié)）。

2.詳細閱讀本軟件組件功能、組成、作用、應用構架，確切了解本軟件的系統(tǒng)應用。

3.安裝準備軟件環(huán)境：MicrosoftSQLServer2000>Windows2000Server,Internet

服務管理器。SQL安裝注意事項請參照第二章2-3-1所示。建議將數據庫管理系統(tǒng)、

區(qū)域管理器、WEB管理平臺安裝在同一服務器上,確認區(qū)域管理器所在機器的88端

口不被占用（即非主域控制器）；防火墻應允許打開88,2388,2399,22105,8900,

8901,22106,22108,8889端口。

4.按步驟安裝各組件后，通過http:〃*.*.*.*/vrveis登錄Web管理平臺，首先對

Web管理平臺進行如下配置：添加區(qū)域一劃分該區(qū)域IP范圍-指定區(qū)域管理器一指

定區(qū)域掃描器。

5.雙擊屏幕右下角區(qū)域管理器、單擊主機保護進行通訊參數配置。

6.在\VRV\VRVEIS\download目錄中，使用RegTools.exe工具修改

DeviceRegist.exe文件中的本地區(qū)域管理器IP,將修改后的注冊程序

DeviceRegist.exe放在機構網站上進行靜態(tài)網頁注冊，或者在機構網站上加載動態(tài)

網頁檢測注冊腳本語句，進行動態(tài)設備注冊。

7.系統(tǒng)升級：聯(lián)系北信源公司獲取最新的軟件組件升級包，確保Web管理平臺、區(qū)

域管理器、客戶端注冊程序等組件的升級。

8.如果本手冊中的插圖與實際應用的產品有出入，以實際產品為主。

特別提示：默認管理員用戶：admin,密碼：123456;系統(tǒng)指定審計用戶名：audit,

密碼：123456請注意修改。

目錄

第一章.產品介紹6

1-1產品構架6

1-2應用構架8

第二章.產品安裝8

2-1安裝環(huán)境8

2-2安裝注意事項9

2-2-1軟件安裝監(jiān)控服務器部署注意事項9

2-2-2軟件安裝和應用過程中注意事項10

2-3產品組件安裝11

2-3-1安裝SQLserver數據庫11

2-3-2安裝WinPcap驅動模塊12

2-3-3安裝遠程技術支持模塊13

2-3-4初始化數據庫13

2-3-5安裝Web中央管理平臺16

2-3-6安裝區(qū)域管理器RegionManage16

2-3-7安裝補丁下載服務器模塊18

2-3-8安裝管理器主機保護模塊19

2-3-9安裝報警中心模塊19

2-3-10客戶端注冊及下載19

第三章產品應用26

3-1配置與管理26

3-1-1區(qū)域劃分26

3-1-2區(qū)域管理器配置29

3-1-3掃描器配置34

3-1-4注冊程序配置36

3-1-5自定義組分配與管理39

3-1-6IP與MAC綁定列表41

3-1-7系統(tǒng)運維監(jiān)控42

3-2客戶端阻斷44

3-2-1掃描器組件配置44

3-2-2阻斷策略應用44

第四章北信源內網安全管理系統(tǒng)47

4-1策略中心47

4-2數據查詢71

4-2-1設備信息查詢72

4-2-2注冊資產查詢72

4-2-3安裝軟件查詢73

4-2-4首次運行進程查詢74

4-2-5共享目錄查詢75

4-2-6設備IP占用情況列表75

4-2-7硬件變化查詢75

4-2-8違規(guī)軟件及進程76

4-2-9安全策略違規(guī)76

4-2-10消息確認查詢77

4-3終端管理78

4-3-1終端管理78

4-3-2行為控制86

4-3-3遠程協(xié)助92

4-4運維信息93

4-4-1客戶端流量排名93

4-4-2客戶端流量統(tǒng)計93

4-4-3運維狀態(tài)異常94

4-4-4交換機端口管理94

4-4-5網管幫助設置95

4-5報表管理95

4-6報警管理97

4-6-1報警數據查詢97

4-6-2本地報警數據匯總102

4-7級聯(lián)總控103

4-8系統(tǒng)維護110

第五章北信源補丁及文件分發(fā)管理系統(tǒng)116

5-1區(qū)域管理器補丁管理設置116

5-2策略中心117

5-3補丁分發(fā)126

5-4補丁自動下載分發(fā)129

5-5客戶端補丁檢測（一）133

5-6客戶端補丁檢測（二）134

5-7本地補丁分發(fā)綜合查詢135

5-8補丁級聯(lián)下載135

第六章北信源主機監(jiān)控審計系統(tǒng)136

6-1策略中心136

6-2數據查詢143

6-2-1上網訪問審計143

6-2-2文件輸出審計143

6-2-3文件保護審計144

6-2-4涉密檢查查詢144

第七章北信源移動存儲介質使用管理系統(tǒng)145

7-1策略中心145

7-2數據查詢150

7-2-1移動設備審計150

第八章北信源網絡接入控制管理系統(tǒng)150

8-1策略中心150

8-2環(huán)境準備方法158

1）安裝RADIUS（windowsIAS）158

8-3各廠商交換機配置175

8-3-1Cisco2950配置方法175

8-3-2華為3COM3628配置176

8-3-3銳捷RGS21配置179

第九章北信源接入認證網關180

9-1網關接入配置認證180

9-2策略中心182

第十章系統(tǒng)備份及系統(tǒng)升級187

10-1系統(tǒng)數據庫數據備份及還原187

10-2系統(tǒng)組件升級187

10-2-1區(qū)域管理器、掃描器模塊升級187

10-2-2升級網頁管理平臺187

10-2-3客戶端注冊程序升級188

10-2-4檢查系統(tǒng)是否升級成功188

10-3級聯(lián)管理模式升級及配置188

第十一章售后服務189

第十二章附錄191

附錄（一）北信源終端安全管理產品名詞注釋191

附錄（二）移動存儲設備認證工具操作說明191

附錄（三）主機保護工具操作說明206

附錄（四）組態(tài)報表管理系統(tǒng)操作說明208

附錄（五）報警平臺操作說明216

附錄（六）WIN2003-HS服務器配置說明222

前言

目前國內政府機關、軍隊、公安、保密部門、科研機構、金融、證券等企事業(yè)單位中的網

絡都具有相當的規(guī)模，網絡中大量使用計算機及其它網絡設備。這些設備帶來高效應用的同時,

由于自身確實存在著安全風險隱患，應該采用相關網絡安全技術手段來保障整個網絡運行的安

全。

目前單位自身內部網絡分為以下幾種類型：

1、辦公網：企事業(yè)單位中的普通辦公網絡、公司企業(yè)網，它們通過有限出口接入Internet

網絡；

2、內部專網：政府辦公網、金融運營網及各系統(tǒng)重要的實時網絡，該種網絡一般為內部專

用網絡，此類網絡同外部網絡采取物理隔離的方式實現相互獨立；

3、保密網：政府機關、軍隊、公安、保密部門的內部機密安全網絡，一般采用專門的網絡

通道，要求具有絕對的內網隔離度。

盡管以上大多數用戶采用了專門的網絡通道技術、物理隔離技術、安全網段劃分、安全防

護設施(如防火墻、入侵檢測、漏洞掃描)等方式保證自己的網絡安全，但是，對類似下面的

安全問題仍然無法做到真正意義上的解決：

1、如何發(fā)現終端設備的系統(tǒng)漏洞并自動分發(fā)補??；

2、如何防范移動設備隨意接入內網；

3.如何防范內網設備違規(guī)進入外網；

4、如何管理終端資產并真正控制、管理終端設備的運行；

5、如何制訂整體安全策略并全網執(zhí)行；

6、如何管理控制終端設備的數據流；

7、平臺、安全平臺等諸多設備如何銜接并統(tǒng)一管理.

北信源終端安全管理產品VRVEDP(Enterprisedeskplanning)能夠完全解決上述網絡安

全管理工作中遇到的常見問題。VRVEDP系統(tǒng)強化對網絡計算機終端的控制，管理內容包括：資

源資產、終端安全策略、桌面風險審計、補丁檢測分發(fā)、終端運行狀態(tài)監(jiān)控以及終端行為'審計

等。北信源終端安全管理產品提供了防火墻、IDS、防病毒系統(tǒng)、專業(yè)網管軟件所不能提供的防

護功能，對它們管理的盲區(qū)進行監(jiān)控，成為一個實時的安全監(jiān)控系統(tǒng)，并能夠同其它網絡安全

設備或網絡安全系統(tǒng)進行安全集成和報警聯(lián)動。

北信源終端安全管理產品針對網絡管理工作中遇到的實際管理需求，進行網絡安全資源規(guī)

劃，如防止移動設備非法接入內部網絡、IP資源分配管理、靜態(tài)IP同MAC地址的綁定、提供設

備資源登記及硬件設備（硬盤、CPU、內存等）變化報警、進行內部網絡連接阻斷等功能。

同時，為有效解決網絡中計算機非法接入和非法外聯(lián)問題，VRVEDP系統(tǒng)提供實時監(jiān)控的

強大功能，即實時報警以及實時切斷非法計算機同內網的連接。

北信源終端安全管理產品通過Web方式對整個系統(tǒng)進行應用策略配置，管理網絡和查詢報

警數據，方便用戶操作，有效防范不安全因素對內部網絡構成的威脅，真正做到內部網絡的完

全安全管理。

北信源終端安全管理產品支持基于局域網、廣域網的國家一省一市一縣多級級聯(lián)管理模式。

第一章.產品介紹

1-1產品構架

北信源終端安全管理產品由8部分組成：WinPcap程序、SQLServer管理信息庫（安裝包：

環(huán)境初始化程序）、Web中央管理配置平臺（安裝包：網頁管理平臺）、區(qū)域管理器（安裝包：Region

Manage,原區(qū)域掃描器已作為模塊集成到區(qū)域管理器）、客戶端注冊程序（安裝包：注冊程序）、

補丁下載服務器、管理器主機保護模塊、報警中心模塊。

環(huán)境初始化程序：SQLServer管理信息庫，建立北信源終端安全管理產品的初始化數據庫。

初始化的信息包括：網絡客戶端設備屬性信息、區(qū)域管理器信息、設備掃描器信息、區(qū)域管理

范圍信息、注冊（未注冊）機器信息、設備屬性變化信息、報警信息等。掃描器將設備最新狀

態(tài)信息同數據庫中原有信息進行遍歷搜索對比，根據規(guī)則要求在管理平臺上報警。

Web管理平臺：Web中央管理配置平臺，本系統(tǒng)的管理配置中心。包括區(qū)域管理器、掃描器、

注冊客戶端的功能參數設定，網絡設備信息發(fā)現、系統(tǒng)應用策略制訂、報警信息顯示、定義任

務功能制訂、系統(tǒng)用戶維護等配置操作。

RegionManage:區(qū)域管理器，系統(tǒng)數據處理中心，負責與管理信息數據庫通訊掃描終端設

備、控制服務器、客戶端之間的信息、指令的下達、接受。比如：接收注冊程序提供的用戶信

息，將用戶信息（用戶填寫的物理信息和系統(tǒng)自動采集的硬件信息）并行存入數據庫；接受來

自控制臺的命令操作，發(fā)送到客戶端、掃描器執(zhí)行。

對于存在多級管理要求的廣域網，網絡中可以存在多個區(qū)域管理器，實現系統(tǒng)數據逐級上

報（轉發(fā)），對網絡終端的多級管理。

區(qū)域管理器內置網絡掃描器，掃描器用來發(fā)現網絡的終端設備。將發(fā)現的設備信息交由區(qū)

域管理器處理.、設備最新狀態(tài)信息報送至區(qū)域管理器，由區(qū)域管理器處理后，同數據庫中原有

信息進行遍歷搜索對比，根據管理規(guī)則在管理平臺上報警。

掃描器配合區(qū)域管理器進行工作，可以在分級模式下使用.掃描器只依據Web管理平臺中

配置的工作范圍進行掃描，如果終端IP超越其范圍，將不負責執(zhí)行操作。

WinPcap程序：嗅探驅動軟件，監(jiān)聽共享網絡上傳送的數據。

客戶端注冊程序：將接收并執(zhí)行服務器下發(fā)的指令。該程序可以在“工具下載-＞用戶注冊

器下載”處下載。訪問指定網站自動獲得，用戶填寫必要的信息后，運行該程序，區(qū)域管理器

將收到注冊終端的相關信息，同時終端可以接收、執(zhí)行各種下發(fā)的指令。注冊程序自動探測系

統(tǒng)硬件信息，連同用戶填寫的信息一同上報區(qū)域管理器.用戶將本機注冊信息發(fā)送到區(qū)域管理

器后，區(qū)域管理器自動將客戶端駐留程序應用策略發(fā)送給用戶，并自動更新。

客戶端駐留程序功能：

1.進行本機硬件屬性信息變化監(jiān)視；

2.進行本機IP、MAC地址變化審計；

3.本機系統(tǒng)補丁、軟件安裝、運行進程狀況監(jiān)測；

4.探測本機是否有違規(guī)聯(lián)網行為，在內網管理中心或外網報警平臺報警；

5.接受Web管理平臺的管理命令；

6.阻斷本機非法外聯(lián)行為；

7.執(zhí)行Web管理平臺下發(fā)的各種策略操作。

補丁下載服務器：安裝在與Internet網絡連接的機器上，用于實時下載補丁廠商發(fā)布的

補丁。

管理器主機保護模塊：管理器主機保護模塊可根據管理器或其他服務器具體使用的端口、

網絡協(xié)議、通信IP范圍和具體的其他網絡應用來定義該計算機使用的安全級較高的網絡配置,

從而防止該計算機受到惡意的IP沖突以及各種網絡、病毒攻擊。

報警中心模塊：安裝在可與區(qū)域管理器所在服務器正常通訊的計算機上，本模塊可以根據

管理員在系統(tǒng)中所配置的報警事件和危險級別提供給管理員包括電子郵件、信使服務、SNMP

Trap、手機短信等多種報警方式。

注：區(qū)域管理器(RegionManage)、區(qū)域掃描器模塊(Regionscan)、注冊程序部分系統(tǒng)

的參數配置集中體現在網頁管理平臺操作上，上述三部分功能參數、功能項數值統(tǒng)一在網頁管

理平臺中進行配置。區(qū)域管理器(RegionManage),掃描器模塊(Regionscan)部分參數在

自身程序組件中配置。

1-2應用構架

北信源終端安全管理應用于局域網、廣域網構架，支持跨網段、跨地域的內網遠程客戶端

管理及非法移動設備接入檢測、網內計算機違規(guī)聯(lián)網監(jiān)視、網絡安全隔離度監(jiān)控等。

系統(tǒng)應用主要分為以下兩種構架：

基本構架：對于一般網絡(例如I個C類地址或若干個C類地址的局域網范圍)，可使用

一套本系統(tǒng)軟件，通過一個管理器集中管理所屬區(qū)域內的所有設備。

擴展構架：對于大規(guī)模的多個局域網或者跨地域廣域網(包括基于國家、省、市、縣等多

級管理模式的網絡結構)，可使用本系統(tǒng)提供的多區(qū)域集中管理構架，即一個或多個網段各擁

有一套獨立北信源終端安全管理的同時，將本級所有設備信息再轉發(fā)給上級管理數據庫，使得

上一級管理人員對整個網絡的設備狀況也能夠完全掌握。

第二章.產品安裝

2-1安裝環(huán)境

條件一：硬件環(huán)境

SQLServer數據庫服務器：用于安裝系統(tǒng)管理信息數據庫。PC服務器或更高檔服務器,

PentiumlV2.4C以上CPU,512M以上內存.

區(qū)域管理器：用于安裝區(qū)域管理器程序。百兆或千兆網卡，PC服務器或更高檔服務器，

PentiumlV2.4C以上CPU,512M以上內存.

掃描器模塊：配置同區(qū)域管理器。如單獨安裝掃描器模塊，比較高檔的PC計算機即可。

本系統(tǒng)各程序可安裝在同一臺計算機上，也可在不同機器上安裝SQL數據庫、IIS服務器、

區(qū)域管理器、掃描器模塊等，此時推薦該計算機內存為1G以上.

建議將區(qū)域管理器、掃描器、網頁管理平臺安裝在同一臺機器上，作為監(jiān)控服務器.

條件二：提供數據庫、HS服務

操作系統(tǒng)：Windows2000或Windows2003企業(yè)版操作系統(tǒng)。

MircosoftSQLServer軟件：配備SQLServer2000或SQLServer2005數據庫系統(tǒng),用

于北信源終端安全管理建立管理信息庫數據庫列表項。（注：以下均以SQLServer2000為例）

HS服務：配備IIS服務器提供Web服務，用于安裝Web網頁管理配置平臺。如所裝操作系

統(tǒng)為Windows2003企業(yè)版，則需要按照附錄（三）的Windows2003的IIS配置說明進行IIS

配置。

條件三：為本系統(tǒng)提供相應端口

北信源終端安全管理產品區(qū)域管理器將占用操作系統(tǒng)88端口，必須確保安裝區(qū)域管理器的

機器該端口不被占用。區(qū)域內的防火墻應打開如下端口：80,88,2388,2399,

8901,8900,161,137,22105,8889,22106,22108以及ICMP協(xié)議。同時最好將DNS服務遷移至

其它服務器。

2-2安裝注意事項

軟件安裝時，推薦將區(qū)域管理器、掃描器、數據庫安裝在同一臺機器上（以下稱為監(jiān)控服

務器），建議按照下面要求進行監(jiān)控服務器部署、軟件安裝、客戶端注冊。

2-2-1軟件安裝監(jiān)控服務器部署注意事項

1、監(jiān)控服務器在網絡中放置位置注意點

■確保該監(jiān)控服務器能夠Ping通所有被管理網絡中任意一臺客戶端機器，同時被管理客

戶端可以正常連接服務器的TCP的80,88兩個端口。

■監(jiān)控服務器給客戶端下達策略的端口為：TCP端口22105;

■監(jiān)控服務器掃描發(fā)現客戶端利用以下協(xié)議及端口：

■ICMP協(xié)議（發(fā)現IP地址存在的其中一種方式）；

■NETBIOS協(xié)議,UDP端口137（為了發(fā)現機器名和MAC地址）；

■SNMP協(xié)議,TCP端口161（為了發(fā)現智能設備如路由器、交換機等）；

在本地網絡中若劃分了VLAN,或本地網絡存在防火墻，請注意上述問題。

2、存在網中子網（如經過地址轉換）的網絡布置點

對于網絡中存在網中網現象，如采用NAT地址轉化或者代理方式在10.*.*.*網絡中接入

192.*.*.*網段，這些子網用戶的管理方式如下：

情況一：子網有專人管理，并且有獨立機房

應在該子網中安裝一套完整的監(jiān)控系統(tǒng)。

情況二：子網無專人管理，或無獨立機房，可采用以下3種方式之一處理

■機器數量少的建議統(tǒng)一更改1P為10.*.*.*網段。

■由管理員監(jiān)督子網中所有機器進行注冊并保證不得遺漏。

■在該網絡中指定一臺工作站專門安裝區(qū)域管理器軟件和區(qū)域掃描模塊，并將區(qū)域

管理器配置中SQL服務器地址指向監(jiān)控服務器。

2-2-2軟件安裝和應用過程中注意事項

1、必須按照軟件安裝步驟進行安裝

1）確認本機ns服務正常；

2）確認本機SQL已正常安裝并能正常使用（以本地系統(tǒng)賬戶方式安裝）；

3）確認目標安裝盤剩余空間不小于10G;

4）請務必按照指定順序安裝各個模塊；

5）請在區(qū)域掃描模塊所在計算機中安裝SNMP服務；

6）安裝完所有系統(tǒng)模塊后，請一定按照說明文檔進行客戶端程序的配置及分發(fā)安裝。

2、監(jiān)控服務器的安全性問題

管理服務器安裝Windows2000Server操作系統(tǒng)（帶IIS）、MSSQLServer2000數據庫后，

一定要確保對Windows2000、SQL和IE進行重要安全補丁修補，規(guī)范操作系統(tǒng)、數據庫的口令

和密碼設置，保證SQL、IIS的正常啟動運行。

確保本服務器無病毒，同時可配置本服務器網絡通訊端口僅打開：80,88,6800,8901,

8900,22105,2388,2399,8889。

3、保護機制的應用

對大多數交換機、路由器、非Windows設備，需要將其設置為保護狀態(tài)（避免被阻斷導致

網絡不通），其它如有系統(tǒng)無法識別的重要設備，請在網頁管理平臺設備信息查詢中手動將其設

置為保護狀態(tài)。

2-3產品組件安裝

安裝順序依次為：

*安裝SQLServer數據庫；

*安裝WinPcap驅動程序；

*安裝并運行環(huán)境初始化程序，初始化數據庫；

*安裝網頁平臺并進行劃分區(qū)域，配置區(qū)域IP范圍、區(qū)域管理器參數、設備掃描器參數

等（推薦安裝在默認路徑下）；

*安裝區(qū)域管理器（推薦安裝在默認路徑下）；

*通知所有用戶下載并運行注冊客戶端代理探頭程序。

2-3-1安裝SQLserver數據庫

只需要在安裝過程中注意選擇“使用本地系統(tǒng)帳戶”和“混合模式”

圖2-3-1數據庫服務器安裝向導

圖2-3-2數據庫服務器安裝向導

2-3-2安裝WinPcap驅動模塊

在安裝頁面中選擇“安裝WinPcap驅動模塊”按鈕，單擊“下一步”安裝在區(qū)域掃描器所

在計算機上。

2-3-3安裝遠程技術支持模塊

該模塊是一個程序附屬工具（一般不需要安裝）在客戶端安裝程序里帶有該程序，是用戶遠

程桌面管理及控制，便于管理員幫助終端用戶解決問題。

2-3-4初始化數據庫

初始化數據庫是在SQL數據庫中初始化建立VRVEIS數據庫并生成系統(tǒng)必需的相關數據表

格，在此過程中需要利用本地數據或者調用遠程SQL數據庫，用戶需要根據實際安裝情況按以

下兩種方式進行操作：

■本地SQL數據庫服務器環(huán)境初始化

1）、環(huán)境初始化，建立初始數據庫

在SQL服務器地址欄中添加本地機器IP地址、SQL用戶名、以及SQL用戶密碼。

圖2-3-4-1SQL數據庫服務器環(huán)境初始化

2）、檢查數據庫初始化是否成功:

圖2-3-4-2檢查數據庫初始化

當有如圖“初始化數據庫結構成功”提示框彈出時，說明已成功創(chuàng)建初始化數據庫。否

則會出現如下圖所示提示信息:

圖2-3-4-3初始化數據庫失敗提示信息

如果出現如上圖所示提示信息，用戶需要檢查所填入的SQL數據庫IP地址、用戶名以及

用戶密碼，重新初始化數據庫。

■遠程SQL數據庫服務器環(huán)境初始化（建議非特殊情況不采用遠程方式）

1）、輸入遠程數據庫信息，配置SQL客戶端：安裝遠程數據庫需要首先輸入遠程數據庫IP地

址、用戶名稱、用戶密碼，然后點擊“配置SQL客戶端”，出現如下界面:

圖2-3-4-4配置SQL客戶端

2）、在通用欄中，啟用TCP/IP協(xié)議：在通用欄中，選用TCP/IP協(xié)議，并啟用，然后單擊

別名，進行別名添加設置。

圖2-3-4-5啟用所選協(xié)議

3）、進行客戶端別名的添加:單擊上圖中所圈中的別名，出現如下所示:

圖2-3-4-6對客戶端別名的添加

4）、進行網絡協(xié)議的選擇和服務器別名的添加：此時用戶需要首先選擇網絡協(xié)議，選定為

TCP/IP,點擊確定后完成數據庫初始化。

2-3-5安裝Web中央管理平臺

■安裝Web管理平臺

此部分程序要求安裝在默認路徑下，安裝過程中請確保信息填寫正確，否則，Web服務器可

能不能正確訪問SQLServer數據庫。

■Web中央管理平臺訪問

Web管理平臺安裝以后在HS目錄上以虛擬目錄的形式存在，虛擬目錄名稱為VRVEIS,用

戶在安裝完成以后，用hltp://Web服務器域名（IP）/VRVEIS的形式訪問Web管理平臺主頁面。

默認用戶名為admin,密碼為123456。（以下的都是用admin登陸進行說明的）。審計用戶名為

audit,默認密碼為123456。

如果http://Web服務器域名（IP）/VRVEIS訪問無效，則以http:〃Web服務器域名（IP）

/VRVEIS/INDEX.ASP方式登錄。

Windows2003下IIS配置以及町FS磁盤格式配置注意事項（見附錄六）。

2-3-6安裝區(qū)域管理器RegionManage

在Web中央管理平臺中劃分區(qū)域及指定區(qū)域管理器后（參見Web中央管理平臺配置）安裝

區(qū)域管理器組件。安裝后進行以下兩項配置：

■SQL客戶端配置

如果“區(qū)域管理器”沒有同SQL裝在同一臺服務器上，需要在如下圖所示窗口中將默認網

絡庫選擇為“TCP/IP”,使客戶端能夠遠程訪問數據庫。在“區(qū)域管理器”中選擇“配置”->“系

統(tǒng)配置”，配置SQL客戶端，也可以通過Alt+S熱鍵，進入配置。

圖2-3-6-1SQL常規(guī)配置

上述配置完畢以后，需要重新啟動“區(qū)域管理器”，使系統(tǒng)生效。

■區(qū)域管理器系統(tǒng)配置

SQL服務器配置：進入“系統(tǒng)配置”，逐步輸入SQL服務器IP地址、用戶名稱及密碼、數據

庫名稱（默認為VRVEIS）,單擊“確定”完成SQL服務器配置。

圖2-3-6-2區(qū)域管理器中SQL配置

在配置好Web中央管理平臺的系統(tǒng)區(qū)域及其區(qū)域管理器后做以下步驟:

在配置管理里，點擊“掃描器配置”可以添加掃描器，配置掃描范圍。

圖2-3-7區(qū)域掃描器配置

填寫相關信息之后重新啟動區(qū)域管理器，程序會自動縮小到系統(tǒng)托盤，表示數據庫連接成

功，程序運行正常，此時通過上圖中“掃描器配置”項來查看掃描器相關運行信息。

2-3-7安裝補丁下載服務器模塊

在安裝頁面中選擇“補丁下載服務器安裝模塊”按鈕，輸入序列號SN,單擊“下一步”、在

桌面生成DownPatch.exe快捷方式，執(zhí)行后如下圖所示:

圖2-3-8-1補丁下載服務器主界面

點擊系統(tǒng)配置彈出如下圖:

圖27-8-2補丁下載索引解析界面

添加補丁索引：從北信源站點獲取補丁索引，用以獲取補丁廠商發(fā)布補丁信息，通過對補

丁索引的解析，下載補丁。按照補丁索引、管理配置要求從補丁廠商站點獲取補丁，補丁下載

支持各種方式（下載線程、下載時間）自定義下載補丁。

圖2-3-8-3補丁下載參數設置

2-3-8安裝管理器主機保護模塊

選擇安裝在安裝頁面中選擇“安裝管理器主機保護模塊”按鈕，輸入序列號SN,單擊“下

一步”、在桌面生成nsscenter.EXE快捷方式，執(zhí)行后在系統(tǒng)右下角任務欄所示厘綠色的圖標,

鼠標右鍵點擊，可以對其進行相應的設置，具體設置參見附錄（三）。

2-3-9安裝報警中心模塊

選擇安裝在安裝頁面中選擇“安裝報警中心模塊”按鈕，輸入序列號SN,單擊“下一步”、

在桌面生成nsscenter.EXE快捷方式。具體設置參見附錄（五）。

2-3-10客戶端注冊及下載

（一）客戶端注冊原理及注冊程序配置

■客戶端注冊原理

執(zhí)行注冊程序，根據要求填入指定信息，系統(tǒng)自動將所添加信息和系統(tǒng)自動采集獲得的設

備信息發(fā)送到區(qū)域管理器（設置為轉發(fā)模式的將發(fā)送到上級區(qū)域管理器），區(qū)域管理器將注冊信

息導入SQL數據庫保存，在Web管理平臺中設置的客戶端參數策略將由區(qū)域掃描器掃描客戶端

后，發(fā)送給客戶端駐留程序保存執(zhí)行。

該客戶端駐留程序駐留在系統(tǒng)內部，以服務的方式實時運行，一旦某個客戶端非法接入互

聯(lián)網或設備改變違規(guī)，客戶端就向web管理平臺發(fā)送報警數據，同時本機將顯示報警信息。

■修改客戶端注冊程序配置文件

在web平臺中配置管理-＞注冊程序配置。注冊程序使用前需要網管人員的配置，主要是設

置區(qū)域管理器IP地址(注冊時客戶端信息發(fā)向該IP地址所在的區(qū)域管理器)，如區(qū)域管理器為

44,配置如下圖所示:

圖2-3-11-1注冊程序配置

在這里，可以對注冊時需要填加的單位、注冊密碼進行編輯。如下圖所示:

圖2-3-11-2單位和部門添加刪除

(-)客戶端注冊方法

客戶端注冊方法包括網頁靜態(tài)注冊、網頁動態(tài)注冊、手動注冊等。

網頁靜態(tài)注冊：

靜態(tài)注冊比較簡單，客戶端只需要將配置好的注冊文件上傳到公共主頁上即可，做一個鏈

接，訪問主頁后手動下載注冊。

主要講述動態(tài)注冊，這種方法適用于網絡用戶較多的情況，客戶端只要訪問網絡內公共網

站，網頁將自動對客戶端進行探測，彈出提示窗口，提示用戶進行注冊。

網頁動態(tài)注冊：

利用網絡中已經構建好的內部網站，一方面網絡客戶端可以通過手動獲得注冊程序，也可

以通過在主網頁上加載彈出頁面的方式進行提示性注冊。本手冊將主要介紹后一種方式。

當網絡中客戶端計算機訪問本網絡內部網站時，在該主頁代碼中加入一段代碼（如下）。本

代碼作用在于首先獲得該客戶端計算機的IP地址，再讀取數據庫里面相關IP地址的注冊和其

它相關信息，如果該IP地址的設備存在，系統(tǒng)會根據其是否完成“注冊”、“信任”、“保護”三

項操作進行判斷，只要滿足其中任意一條件，都不會提示注冊，否則會彈出窗口提示注冊.

網頁加載彈出程序方法如下：編輯已有主頁的源程序，在需要加載彈出窗口主頁的源代碼

〈body>中放入以下代碼：

<iframesrc="53/vrveis/quest.asp"frameborder="0"

style="width:Opx;height:Opx"X/iframe>

注意：需要將其中的53/vrveis/quest.asp換成http://安裝內網安

全管理網頁平臺計算機IP/vrveis/quest.asp即可，此時當網絡中計算機訪問該內部主頁時，

會自動彈出如下提示頁面：

圖2-3-11-3網頁動態(tài)注冊

使用網頁動態(tài)注冊時，請管理員通知注冊人，在訪問本網站時，暫時關閉網頁彈出攔截程

序或將本網站添加到不攔截列表中。

手動注冊：除了自動注冊設備外，遇到需要手工注冊新增設備時，也可通過WEB管理平臺

中數據查詢，設備信息查詢中的手動添加設備功能，將新增設備的具體信息詳細登記填寫至數

據庫中，并將其置為保護設備.

注意：

1.多級級聯(lián)注冊：如果系統(tǒng)為多級級聯(lián)方式，必須在區(qū)域管理器的高級配置中的“系統(tǒng)配

置”、“策略配置”選項中的級聯(lián)選項選中，并正確添加上級管理器的IP地址，各級區(qū)域會將自

己所管轄的區(qū)域管理IP段上報到上級數據庫中存儲。

此時，當網絡中任意一臺下級區(qū)域客戶端計算機訪問主網站的同時，會根據最上級區(qū)域數

據庫中存儲的各級上報IP段信息，自動將該客戶端注冊程序文件下載路徑指向為自己所處IP

段的本級區(qū)域注冊器上，做到各個區(qū)域的客戶端計算機在訪問同一網站進行注冊程序下載時，

所下載的客戶端程序均為自己所在區(qū)域的專用注冊程序。

如果網絡中內部網站，網絡管理員可以通知網絡內計算機在本系統(tǒng)Web管理平臺的登錄頁

面中點擊下載注冊程序完成系統(tǒng)注冊，或者在此頁面下按上面的步驟做好彈出提示窗口方式注

冊。注冊程序界面如下：

圖2-3-11-4終端注冊信息

無論采取哪種方式，在注冊成功以后，注冊程序除了將主動添加的信息自動上報以外，還

會自動收集其它和系統(tǒng)相關的信息進行上報.

客戶端和區(qū)域管理器連接通訊不正常的情況下，將提示用戶“缺省注冊成功”，表示客戶端

探頭已經注冊完畢，但還沒有與區(qū)域管理器通訊。當區(qū)域掃描器掃到該計算機的IP地址時，才

會將添加的信息及系統(tǒng)采集信息上報到區(qū)域管理器，存儲在數據庫當中。

2.本系統(tǒng)使用初期，若要求對下屬網絡中的計算機信息進行統(tǒng)計、注冊、入庫，必須在Web

管理平臺中管理器設置項內選中“允許客戶端注冊”，如注冊時需要密碼，也需要在WEB管理平

臺中進行設置，如下圖所示：

圖2-3-11-5允許客戶端注冊

圖2-3-11-6注冊信息編輯

（三）客戶端卸載

網絡客戶根據情況需要卸載客戶端探頭程序時，在終端桌面上，點擊“開始”，“運行”，輸

入"UnInstallEdp.exe”,如圖:

圖2-3-11-7客戶端卸載

記錄下序列號，并將序列號復制到如下圖的第一個方框中:

當前用戶。如，&^錄奈戰(zhàn)竊停2008-1-110<3:43查看卻象下照；r1款堂片。關于I卷安全退出

VRVEDP

客戶?安全物區(qū)電理配置（潸*的力殳恚手6D

名稱：vrv?mttt：[1921681221?

"響珞金瞥竊網8:口8用.虛拉部胃口：ivm頷埴寫見垓言理an?不在*-釀內的V?1做務需電才：）

*flc#^5機構代馬：

臺改

區(qū)域財分馬碗

允許客戶

（Z城管腰需配置

允rW舞

后圖,

豫胞性序配盤

?9?K

IF,?.eW5W?

系統(tǒng)面tis軟

兩

黑咯中I

地

Y補丁分發(fā)

BSSi?

/終卻短

5而饗根E

3界寰悌I

%他暫f

wes

。

樂擲眇

latM-Mt

圖2-3-11-8查看卸載密碼

點擊查看將會產生一個卸載密碼，將其輸入卸載密碼框中點擊卸載即可。

圖2-3-11-9卸載密碼

或通過WEB管理平臺中的點一點控制中的終端卸載如圖:

圖2-3-11-10終端點對點-終端卸載

第三章產品應用

本平臺配置主要指北信源終端安全管理的網頁平臺操作，網頁平臺是整個北信源終端安全

管理的配置操作核心，整個內網安全及補丁分發(fā)管理系統(tǒng)功能的實現全部在Web操作中實現，

Web方式有助于管理員遠程維護系統(tǒng)，進行統(tǒng)一配置和統(tǒng)一管理。掌握對網頁平臺的功能操作和

配置對使用本系統(tǒng)來提高整個網絡的安全性和解決網絡管理的效率有著重要作用。

菜單功能模塊:系統(tǒng)策略中心、數據查詢、終端控制、補丁分發(fā)、運維信息、報警事件、級

聯(lián)總控、統(tǒng)計報表、系統(tǒng)維護等模塊。

3-1配置與管理

3-1-1區(qū)域劃分

在網頁平臺安裝完畢之后，訪問http:〃Web服務器域名(IP)/VRVE平訪問WEB管理平臺

登錄界面。如下所示：

VRVEDP

內網安全管理及補丁分發(fā)系統(tǒng)

O工具下菽

o使用說明

北信源VRV說明，苜次登陪用戶名tadnin至碼:123456

當前版本:6.6.08.4序^號:試用(Q6090106)ES

圖3-1-1-1Web管理登錄界面

其中客戶端工具下載菜單提供了包括用戶注冊器下載、補丁檢測中心、多路幫助平臺、普

通工具下載、管理員工具下載、工具上傳管理等功能，用戶按照頁面提示操作即可。

2夫用戶注■案下或

》用尸注翻下餐

ffiPSBB

撲丁尊身中匕

苑書研臺

吉舟號

點擊這里下或

孰5工?下款

工具上朽哲理用戶加寫本磯信且，填務必復信顯后上演區(qū)域巖理矗.運田卷停自詡?浜事故睜信息，泛同用戶埴寫的信8一同上搭區(qū)域巖

S?.用戶缸機注冊信息蚯蠣》?理事后，區(qū)城貨值自泯斯儡駐2坦月員用6s蚊結用戶，棄自幼更隊

客戶餐展臺程序功能：

?迸行切硬件累性信@變化密網；

＞進行本機IP、蜘地址支化畝計；

?本機員（“卜丁.找怦安裝.運行迸"狀況齒樹；

?探剛的是否有違現聯(lián)廂力，在內夠過中心新麗肝臺制?；

?展受*2詈廢不（J的首亶03；

?圈3T機違祝外款行為；

執(zhí)行1A替理平臺下左的各MWM?作.

圖3-1-1-2客戶端工具下載界面

系統(tǒng)默認用戶為admin,密碼為123456,登錄后建議管理員修改管理員密碼。成功登錄后,

進入系統(tǒng)的主界面。如下圖所示:

圖3-1-1-3Web管理主界面

■在所處的IP地址段內，進行區(qū)域劃分操作

首先進行區(qū)域添加和劃分操作。

區(qū)域劃分：單擊配置管理里的“區(qū)域劃分與配置”，對網絡中的客戶端進行區(qū)域劃分管理，

按照提示依次添加區(qū)域、增加區(qū)域IP管理范圍、分配區(qū)域管理器、，并完成系統(tǒng)組件運行參數

配置。

具體步驟：

區(qū)域描述配置欄中填寫好一些必要的與區(qū)域相關的信息，如區(qū)域機構代碼、區(qū)域名稱、負

責人姓名等。其他信息可以酌情依照實際用途填寫。

本區(qū)域IP劃分：根據用戶實際需要在下圖所示的文本框中填入需要管轄的IP地址。

其中保留IP段為不需要注冊的設備。

圖3-1-1-4區(qū)域劃分與配置

下級區(qū)域劃分：在已有區(qū)域頁面中點擊“增加下級區(qū)域”按鈕進行下級區(qū)域添加，如集團

總部下屬總裁辦、行政部、財務部等。

?當前用戶■斷“贊豪系線時滔.2002-8?2510431＞查號豺豫名碼?重事務陡?關于翎安全退出

M區(qū)域男目術

vnvEDP二y

客戶H安全M，￥圾及

VWV￡O^

配置皆8

區(qū)域麗et

區(qū)城管理鑿MB

例mei

快而腳E胃

自定義蛆分儂管理

ms騰

晶嫵運卷&覆

燃

聲，中C

冷

v撲丁分發(fā)

m

s格，昔雪

J運覆蓋長

g據芒翻

推

秀

領?忠我

圖3-1-1-5增加區(qū)域

3-1-2區(qū)域管理器配置

區(qū)域管理器：區(qū)域管理器為系統(tǒng)策略控制及數據接收處理中心，具有控制完成系統(tǒng)相關的

動作行為處理功能；同時與本級數據庫系統(tǒng)連接，統(tǒng)一接收注冊程序提供的信息，將用戶信息

（填寫的計算機使用人姓名、聯(lián)系電話、E-mail等，計