NewlycompiledonNovember23,2020NewlycompiledonNovember23,2020北信源內(nèi)網(wǎng)安全管理系統(tǒng)用戶使用手冊北信源內(nèi)網(wǎng)安全管理系統(tǒng)用戶使用手冊北京北信源軟件股份有限公司二〇一一年支持信息在北信源內(nèi)網(wǎng)安全管理系統(tǒng)使用過程中，如您有任何疑問都可以通過訪問我公司網(wǎng)站或者致電我司客服中心獲得幫助和支持！熱線支持：400-8188-110客戶服務(wù)電話：在您使用該產(chǎn)品過程中，如果有好的意見或建議的話也請聯(lián)系我們的客服中心，感謝您對我公司產(chǎn)品的信任和支持！正文目錄圖目錄表目錄概述特別說明北信源終端安全管理系列產(chǎn)品由《北信源內(nèi)網(wǎng)安全管理系統(tǒng)》、《北信源補丁及文件分發(fā)管理系統(tǒng)》、《北信源主機監(jiān)控審計系統(tǒng)》、《北信源移動存儲介質(zhì)使用管理系統(tǒng)》、《北信源網(wǎng)絡(luò)接入控制管理系統(tǒng)》及《北信源接入認(rèn)證網(wǎng)關(guān)》6大套件構(gòu)成。本手冊內(nèi)容將隨著北信源軟件的不斷升級而改變(以光盤中電子版發(fā)行時為最新版)，恕不另行通知。需要者請從北信源公司網(wǎng)站下載本手冊的最新電子版或者直接聯(lián)系北信源公司索取。本手冊與本系統(tǒng)的安裝配置手冊中的所有圖片均為示意圖，請以實際產(chǎn)品為準(zhǔn)。本使用手冊為北信源終端安全管理系列產(chǎn)品通用說明書。若您獨立購買《北信源內(nèi)網(wǎng)安全管理系統(tǒng)》或《北信源補丁及文件分發(fā)管理系統(tǒng)》等其中之一產(chǎn)品，本說明書的其它功能將不具備。感謝您購買北京北信源軟件股份有限公司研制開發(fā)的北信源終端安全管理系列產(chǎn)品。請在使用本軟件之前認(rèn)真閱讀本使用手冊，當(dāng)您開始使用該軟件時，北信源公司認(rèn)為您已經(jīng)閱讀了本使用手冊。產(chǎn)品構(gòu)架北信源終端安全管理產(chǎn)品由8部分組成：WinPcap程序、SQLServer管理信息庫（安裝包：環(huán)境初始化程序）、Web中央管理配置平臺（安裝包：網(wǎng)頁管理平臺）、區(qū)域管理器(安裝包：RegionManage，原區(qū)域掃描器已作為模塊集成到區(qū)域管理器)、客戶端注冊程序（安裝包：注冊程序）、補丁下載服務(wù)器、管理器主機保護(hù)模塊、報警中心模塊。環(huán)境初始化程序SQLServer管理信息庫，建立北信源終端安全管理產(chǎn)品的初始化數(shù)據(jù)庫。初始化的信息包括：網(wǎng)絡(luò)客戶端設(shè)備屬性信息、區(qū)域管理器信息、設(shè)備掃描器信息、區(qū)域管理范圍信息、注冊（未注冊）機器信息、設(shè)備屬性變化信息、報警信息等。掃描器將設(shè)備最新狀態(tài)信息同數(shù)據(jù)庫中原有信息進(jìn)行遍歷搜索對比，根據(jù)規(guī)則要求在管理平臺上報警。網(wǎng)頁管理平臺（web管理平臺）Web中央管理配置平臺，本系統(tǒng)的管理配置中心。包括區(qū)域管理器、掃描器、注冊客戶端的功能參數(shù)設(shè)定，網(wǎng)絡(luò)設(shè)備信息發(fā)現(xiàn)、系統(tǒng)應(yīng)用策略制訂、報警信息顯示、定義任務(wù)功能制訂、系統(tǒng)用戶維護(hù)等配置操作。RegionManage區(qū)域管理器，系統(tǒng)數(shù)據(jù)處理中心，負(fù)責(zé)與管理信息數(shù)據(jù)庫通訊掃描終端設(shè)備、控制服務(wù)器、客戶端之間的信息、指令的下達(dá)、接受。比如：接收注冊程序提供的用戶信息，將用戶信息（用戶填寫的物理信息和系統(tǒng)自動采集的硬件信息）并行存入數(shù)據(jù)庫；接受來自控制臺的命令操作，發(fā)送到客戶端、掃描器執(zhí)行。對于存在多級管理要求的廣域網(wǎng)，網(wǎng)絡(luò)中可以存在多個區(qū)域管理器，實現(xiàn)系統(tǒng)數(shù)據(jù)逐級上報（轉(zhuǎn)發(fā)），對網(wǎng)絡(luò)終端的多級管理。區(qū)域管理器內(nèi)置網(wǎng)絡(luò)掃描器，掃描器用來發(fā)現(xiàn)網(wǎng)絡(luò)的終端設(shè)備。將發(fā)現(xiàn)的設(shè)備信息交由區(qū)域管理器處理。、設(shè)備最新狀態(tài)信息報送至區(qū)域管理器，由區(qū)域管理器處理后，同數(shù)據(jù)庫中原有信息進(jìn)行遍歷搜索對比，根據(jù)管理規(guī)則在管理平臺上報警。掃描器配合區(qū)域管理器進(jìn)行工作，可以在分級模式下使用。掃描器只依據(jù)Web管理平臺中配置的工作范圍進(jìn)行掃描，如果終端IP超越其范圍，將不負(fù)責(zé)執(zhí)行操作。Winpcap程序嗅探驅(qū)動軟件，監(jiān)聽共享網(wǎng)絡(luò)上傳送的數(shù)據(jù)?？蛻舳俗猿绦?qū)⒔邮詹?zhí)行服務(wù)器下發(fā)的指令。該程序可以在“工具下載->用戶注冊器下載”處下載。訪問指定網(wǎng)站自動獲得，用戶填寫必要的信息后，運行該程序，區(qū)域管理器將收到注冊終端的相關(guān)信息，同時終端可以接收、執(zhí)行各種下發(fā)的指令。注冊程序自動探測系統(tǒng)硬件信息，連同用戶填寫的信息一同上報區(qū)域管理器。用戶將本機注冊信息發(fā)送到區(qū)域管理器后，區(qū)域管理器自動將客戶端駐留程序應(yīng)用策略發(fā)送給用戶，并自動更新?？蛻舳笋v留程序功能：進(jìn)行本機硬件屬性信息變化監(jiān)視；進(jìn)行本機IP、MAC地址變化審計；本機系統(tǒng)補丁、軟件安裝、運行進(jìn)程狀況監(jiān)測；探測本機是否有違規(guī)聯(lián)網(wǎng)行為，在內(nèi)網(wǎng)管理中心或外網(wǎng)報警平臺報警；接受Web管理平臺的管理命令；阻斷本機非法外聯(lián)行為；執(zhí)行Web管理平臺下發(fā)的各種策略操作。補丁下載服務(wù)器安裝在與Internet網(wǎng)絡(luò)連接的機器上，用于實時下載補丁廠商發(fā)布的補丁。管理器主機保護(hù)模塊管理器主機保護(hù)模塊可根據(jù)管理器或其他服務(wù)器具體使用的端口、網(wǎng)絡(luò)協(xié)議、通信IP范圍和具體的其他網(wǎng)絡(luò)應(yīng)用來定義該計算機使用的安全級較高的網(wǎng)絡(luò)配置，從而防止該計算機受到惡意的IP沖突以及各種網(wǎng)絡(luò)、病毒攻擊。報警中心模塊安裝在可與區(qū)域管理器所在服務(wù)器正常通訊的計算機上，本模塊可以根據(jù)管理員在系統(tǒng)中所配置的報警事件和危險級別提供給管理員包括電子郵件、信使服務(wù)、SNMPTrap、手機短信等多種報警方式。應(yīng)用構(gòu)架北信源終端安全管理應(yīng)用于局域網(wǎng)、廣域網(wǎng)構(gòu)架，支持跨網(wǎng)段、跨地域的內(nèi)網(wǎng)遠(yuǎn)程客戶端管理及非法移動設(shè)備接入檢測、網(wǎng)內(nèi)計算機違規(guī)聯(lián)網(wǎng)監(jiān)視、網(wǎng)絡(luò)安全隔離度監(jiān)控等。系統(tǒng)應(yīng)用主要分為以下兩種構(gòu)架：基本構(gòu)架：對于一般網(wǎng)絡(luò)（例如1個C類地址或若干個C類地址的局域網(wǎng)范圍），可使用一套本系統(tǒng)軟件，通過一個管理器集中管理所屬區(qū)域內(nèi)的所有設(shè)備。擴(kuò)展構(gòu)架：對于大規(guī)模的多個局域網(wǎng)或者跨地域廣域網(wǎng)（包括基于國家、省、市、縣等多級管理模式的網(wǎng)絡(luò)結(jié)構(gòu)），可使用本系統(tǒng)提供的多區(qū)域集中管理構(gòu)架，即一個或多個網(wǎng)段各擁有一套獨立北信源終端安全管理的同時，將本級所有設(shè)備信息再轉(zhuǎn)發(fā)給上級管理數(shù)據(jù)庫，使得上一級管理人員對整個網(wǎng)絡(luò)的設(shè)備狀況也能夠完全掌握。圖1-SEQ圖1-\*ARABIC1北信源終端安全管理應(yīng)用拓?fù)浔毙旁磧?nèi)網(wǎng)安全管理系統(tǒng)策略中心策略管理中心策略的使用策略的創(chuàng)建和分發(fā)1．.在“策略管理中心”中左側(cè)的策略項中點擊需要制定的策略，然后在右側(cè)的【策略名】中輸入相應(yīng)的策略名稱，單擊【創(chuàng)建新策略】按鈕開始創(chuàng)建策略。圖2-SEQ圖2-\*ARABIC1創(chuàng)建新策略注：在策略的定義中使用了一些特別的關(guān)鍵字符，這些特殊的字符不應(yīng)該在策略內(nèi)容中出現(xiàn)。否則可能會出現(xiàn)無法預(yù)料的系統(tǒng)錯誤。這些字符包括："><'/="(大于，小于，單引號，反斜線，等于)。2．根據(jù)實際需求配置策略，單擊【保存策略】完成策略的創(chuàng)建。（由于各個策略項的配置過程都不一樣，下一節(jié)將具體介紹）3．下發(fā)策略，即指定策略的執(zhí)行對象。通過單擊【對象】按鈕，可按界面提示完成對象的分配。如下圖所示：圖2-SEQ圖2-\*ARABIC2下發(fā)策略4．.如果需要讓某一條策略暫時不使用，可通過【停用】按鈕使策略失效，需要使用的時候再單擊【啟用】按鈕使策略生效。如果想要刪除某一條策略，則直接按【刪除】按鈕即可。如下圖所示，圖2-SEQ圖2-\*ARABIC3策略控制策略的高級設(shè)置策略的高級設(shè)置用于策略的執(zhí)行設(shè)置，包括策略狀態(tài)（啟動、停止）、策略存活時間（策略執(zhí)行的起止時間）、策略執(zhí)行觸發(fā)條件（在何種條件下開始執(zhí)行策略）、策略無效時間（規(guī)定時間內(nèi)不執(zhí)行策略）、策略應(yīng)用范圍（本級區(qū)域、下級區(qū)域、所有區(qū)域）、級聯(lián)策略類型等，有些策略還包括具體的觸發(fā)時間設(shè)置等。參數(shù)說明策略名稱此處可以修改策略名稱風(fēng)險級別分為低、中、高三個級別停用鎖定選中【鎖定對策略的停用操作】后，策略列表中的【停用】功能將不起作用，用于防止用戶的誤操作。策略狀態(tài)制定策略的狀態(tài)：啟動/停止策略存活時間范圍即策略以天為單位的存活時間段策略無效工作日即可在一星期中選中一天或多天使策略無效策略無效時間段即策略以分為單位的無效的時間段策略有效用戶指登錄操作系統(tǒng)的用戶。當(dāng)執(zhí)行該策略時，先判斷此用戶是不是有效用戶，是有效用戶則執(zhí)行，否則不執(zhí)行。策略有效網(wǎng)關(guān)有效網(wǎng)關(guān)：客戶端所在內(nèi)網(wǎng)的網(wǎng)關(guān)；當(dāng)執(zhí)行該策略時，先判斷是不是有效網(wǎng)管，是則執(zhí)行該策略，否則不執(zhí)行。策略有效網(wǎng)絡(luò)內(nèi)網(wǎng)：能與本服務(wù)器通訊的屬于內(nèi)網(wǎng)；外網(wǎng)：與本服務(wù)器不能通訊，且不能與客戶端所在網(wǎng)關(guān)通訊的屬于外網(wǎng)?？寺C策略克隆機：將已經(jīng)注冊了本系統(tǒng)的客戶端的系統(tǒng)做成鏡像（gost），還原到某計算機上，則該計算機稱之為克隆機。只有克隆機（gost系統(tǒng)）執(zhí)行本策略，非克隆機不執(zhí)行。表2-SEQ表2-\*ARABIC1策略的高級設(shè)置參數(shù)說明策略下發(fā)結(jié)果查詢可以通過以下兩種方式查看策略的下發(fā)情況：(1)策略管理中心-->策略下發(fā)查詢(2)終端管理-->終端管理-->當(dāng)前執(zhí)行策略注：策略分發(fā)間隔默認(rèn)為1分鐘；有的策略需要重新啟動生效，請看每條策略的具體說明。具有審計功能的策略，審計數(shù)據(jù)可以在“數(shù)據(jù)查詢審計數(shù)據(jù)查詢”中查看。黑白名單編輯進(jìn)程黑白名單進(jìn)程黑白名單在“進(jìn)程監(jiān)控”策略中可以使用，這部分包含系統(tǒng)預(yù)定義黑名單和用戶自定義黑白名單。編輯進(jìn)程黑白名單時包括：進(jìn)程名、產(chǎn)品名、源文件名等；如果是服務(wù)則只可以加服務(wù)名，同時可以加一些描述。軟件黑白名單軟件黑白名單在“軟件安裝監(jiān)控”策略中可以使用，這部分包含系統(tǒng)預(yù)定義黑名單和用戶自定義黑白名單。URL黑白名單編輯URL黑白名單在“上網(wǎng)訪問審計”策略、“上網(wǎng)控制策略”中可以使用，這部分包含系統(tǒng)預(yù)定義黑名單和用戶自定義黑白名單。端口黑白名單編輯端口黑白名單在“協(xié)議防火墻策略”中可以使用，這部分包含系統(tǒng)預(yù)定義黑名單和用戶自定義黑白名單。硬件設(shè)備控制硬件設(shè)備控制功能說明：控制各種硬件設(shè)備及接口的啟用或禁用，如果只想禁止使用移動存儲設(shè)備，也可以通過“可移動存儲審計”策略來實現(xiàn)。參數(shù)說明：參數(shù)說明不處理、啟用、禁用本策略中所能控制的硬件，都需要能夠在windows系統(tǒng)設(shè)備管理器中進(jìn)行禁止和啟用。例外選擇【啟用】時將禁用例外中的設(shè)備，選擇【禁用】時將啟用例外中的設(shè)備，【不處理】選項保持原來的狀態(tài)無變化，提高系統(tǒng)管理性能，如果對某項不關(guān)心可以選擇該項。例外設(shè)備添加方法：右擊我的電腦屬性硬件設(shè)備管理器，出現(xiàn)設(shè)備列表。該策略控制疊加到之前的策略基礎(chǔ)之上選中此項時：如果有多條此類策略，終端執(zhí)行效果將是多條策略設(shè)置疊加后執(zhí)行的效果。如果不選擇該項，終端只支持單獨一條策略，新下發(fā)的策略將覆蓋原來的策略配置。取消對設(shè)備管理器的的攔截操作默認(rèn)情況下下發(fā)該策略后將禁止用戶在設(shè)備管理器里啟用/禁用任何設(shè)備，如果取消則可以在設(shè)備管理器里啟用/禁用設(shè)置為不處理的設(shè)備。審計結(jié)果處理上報服務(wù)器：就是將審計記錄上報到服務(wù)器并進(jìn)行記錄。當(dāng)客戶端脫離網(wǎng)絡(luò)時無法上報到服務(wù)器就記錄到本地，等客戶端接回網(wǎng)絡(luò)時再上報到服務(wù)器。記錄到本地文件：會在本地生成文件記錄審計信息。起到在本地備份的作用。表2-SEQ表2-\*ARABIC2硬件設(shè)備控制參數(shù)說明注意事項：1．如果要對原來禁用的設(shè)備啟用，最好是明確的為該設(shè)備制定一條啟用策略。2．禁用u盤、軟驅(qū)、光驅(qū)等一部分功能，在行為管理與審計策略中的可移動存儲審計策略中也可完成，功能上沒有什么區(qū)別，用戶可以根據(jù)自己的習(xí)慣，自行設(shè)定。策略實例：允許使用光驅(qū)，但是禁止使用刻錄光驅(qū)。比如有兩個光盤驅(qū)動器，分別為：GenericDVD-ROMSCSICdRomDevice和MATSHITAUJDA745DVD/CDRW。從文字顯示上可以看出后面一個驅(qū)動器為刻錄光驅(qū)，如果要禁止刻錄光驅(qū)，則可以將光驅(qū)項設(shè)置為"允許"，在【例外】中輸入"MATSHITAUJDA745DVD/CDRW"或其中的一部分，只要能通過該標(biāo)志確認(rèn)是一個可刻錄光驅(qū)即可。因為基本上可刻錄光驅(qū)都帶有"CDRW"字樣，【例外】中可以輸入"CDRW"。多個例外之間用分號(";")（英文半角格式）分隔，如下圖所示：圖2-SEQ圖2-\*ARABIC4硬件設(shè)備控制進(jìn)程及軟件管理軟件安裝監(jiān)控功能說明：用于監(jiān)控客戶端安裝的軟件是否違規(guī)并對違規(guī)行為做出相應(yīng)的處理。參數(shù)說明：參數(shù)說明軟件名設(shè)置需要進(jìn)行控制的軟件名稱，填入需要監(jiān)控的軟件名稱后，點選【添加控制】按鈕，如果想要控制更多的軟件，輸入軟件名稱后，繼續(xù)點選【添加控制】按鈕，以此類推，可以繼續(xù)添加需要控制的軟件。同一類軟件可以使用具體的策略，包括“禁止安裝軟件”、“必須安裝軟件”、“允許安裝軟件”三個選項，這個具體選擇可以根據(jù)管理員的需要自行設(shè)定。如果想要取消對某個軟件的控制，請在列表處選定軟件的名稱，然后點擊【刪除控制】按鈕。還可以添加系統(tǒng)定義的黑名單和自定義的黑名單，并分別配置違規(guī)處理措施、高級設(shè)置項。其他軟件處理當(dāng)選中“允許安裝軟件”，再勾中“除以上列表的軟件外，安裝了其他任何軟件都視為違規(guī)項”，表示只允許安裝列表中的軟件，安裝其他軟件均視為違規(guī)，即實現(xiàn)對軟件安裝的限制功能。當(dāng)選中“控制狀態(tài)”是“禁止安裝軟件”，同時選中【其他軟件處理】復(fù)選框，那么安裝任何軟件都是違規(guī)的。以上軟件安裝違規(guī)處理指選定的對象如果違反了上述的軟件安裝監(jiān)控策略的處理方法。不處理方式，是指不處理違反策略的對象，但是，相關(guān)的違規(guī)記錄可以在Web管理器中查詢。僅提示方式，是指當(dāng)選定對象的用戶如果違反了策略，將在客戶端彈出管理員設(shè)置的提示信息。斷開網(wǎng)絡(luò)方式，是指當(dāng)本策略啟用時，選定的策略管理對象，如果違反了本策略，將對該計算機進(jìn)行斷離網(wǎng)絡(luò)的處理，同時，該計算機彈出管理員設(shè)定的提示信息。表2-SEQ表2-\*ARABIC3軟件安裝監(jiān)控策略參數(shù)說明策略實例：圖2-SEQ圖2-\*ARABIC5軟件安裝監(jiān)控策略注意事項：1．“軟件名”要和控制面板中添加刪除程序里的軟件程序名一樣，該功能支持模糊查詢技術(shù)，例如在要檢查是否安裝了QQ，可能因為各種版本不一樣，在“添加刪除程序”里顯示的是QQ2004或QQ2005，這時您可以只輸入QQ。2．靜默卸載功能不支持模糊匹配，需要填寫跟添加刪除程序中的名稱完全相同。3．為了維護(hù)方便，建議管理員將施行安裝或禁止安裝的需求不同的軟件，放在不同的策略中管理，如果同一軟件在不同策略中的設(shè)置不同，那么，取最后一個策略設(shè)置為準(zhǔn)。4．本策略設(shè)置時，建議在高級設(shè)置，策略觸發(fā)方式中，選中啟動時觸發(fā)和間隔觸發(fā)選中，間隔時間10分鐘左右。進(jìn)程執(zhí)行監(jiān)控功能說明：用于監(jiān)控客戶端運行的進(jìn)程，并做相應(yīng)處理。先添加需要監(jiān)控的進(jìn)程信息，再配置違規(guī)處理措施。參數(shù)說明：參數(shù)說明進(jìn)程/服務(wù)名需要進(jìn)行監(jiān)控的進(jìn)程或服務(wù)名稱，進(jìn)程的名稱可以從windows的任務(wù)管理器的進(jìn)程菜單中查詢。填入需要監(jiān)控的進(jìn)程名稱后，點選【添加控制】按鈕，如果想要控制更多的進(jìn)程，輸入進(jìn)程名稱后，繼續(xù)點選【添加控制】按鈕，以此類推。進(jìn)程名獲取方法：右擊任務(wù)欄選擇“任務(wù)管理器”?！斑M(jìn)程/服務(wù)名”處也可填寫“*”，例如，進(jìn)程/服務(wù)名：*，產(chǎn)品名稱：MicrosoftOffice11Professional，控制狀態(tài)：必須運行，即表示必須運行MicrosoftOffice11Professional產(chǎn)品的所有進(jìn)程。產(chǎn)品名稱需要進(jìn)行監(jiān)控的產(chǎn)品的名稱，產(chǎn)品的名稱可以從需要監(jiān)控的文件，鼠標(biāo)右鍵點擊需要監(jiān)控的可執(zhí)行文件，從其中的產(chǎn)品名稱中看到，填入需要監(jiān)控的產(chǎn)品名稱后，點選【添加控制】按鈕，如果想要控制更多的產(chǎn)品名稱，輸入產(chǎn)品名稱后，繼續(xù)點選【添加控制】按鈕，以此類推。源文件名需要進(jìn)行監(jiān)控的具體可執(zhí)行程序的名稱，源文件名可以通過鼠標(biāo)右鍵點擊可執(zhí)行文件找到。填入需要監(jiān)控的源文件名稱后，點選【添加控制】按鈕，如果想要控制更多的源文件，輸入源文件名稱后，繼續(xù)點選【添加控制】按鈕，以此類推?？梢栽O(shè)置更多的需監(jiān)控項目?？刂茽顟B(tài)針對具體的進(jìn)程、產(chǎn)品、源文件，具體的控制狀態(tài)有三種，包括“禁止運行”、“必須運行”和“允許運行”，這個具體選擇可以根據(jù)管理員的需要自行設(shè)定。如果想要取消對某個軟件的控制，請在列表處選定具體的進(jìn)程、產(chǎn)品、源文件的名稱，然后點擊【刪除控制】按鈕。其他進(jìn)程處理選中“允許運行”并勾中“除以上列表的進(jìn)程外,不允許其他進(jìn)程執(zhí)行”，則表示只允許進(jìn)程列表中的進(jìn)程運行，其他進(jìn)程均視為違規(guī)，即實現(xiàn)對進(jìn)程運行的限制功能。以上各種情況的違規(guī)處理指選定的對象如果違反了上述的監(jiān)控策略的處理方法。關(guān)機方式，是指當(dāng)本策略啟用時，選定的策略管理對象，如果違反了本策略，將對該計算機進(jìn)行2分鐘后自動關(guān)機的處理，同時，該計算機彈出管理員設(shè)定的提示信息。表2-SEQ表2-\*ARABIC4進(jìn)程執(zhí)行監(jiān)控策略參數(shù)說明策略實例：圖2-SEQ圖2-\*ARABIC6進(jìn)程執(zhí)行監(jiān)控策略注意事項：1．進(jìn)程名稱、產(chǎn)品名稱、源文件名之間是“或”的關(guān)系，填入其中一項或多項均可實現(xiàn)監(jiān)控功能，其中，產(chǎn)品名稱，主要用于監(jiān)控一系列軟件的使用，比如說，qq不同版本的程序名不一樣，但是產(chǎn)品名稱是相同的。源程序名的作用，主要是為了防止可執(zhí)行程序被人手動修改名稱而避過安全系統(tǒng)的管理策略。2．本策略設(shè)置時，建議在高級設(shè)置-->策略觸發(fā)方式中，選中啟動時觸發(fā)和間隔觸發(fā)，間隔時間5分鐘左右。3．啟動路徑為全路徑或系統(tǒng)默認(rèn)路徑。進(jìn)程保護(hù)策略功能說明：設(shè)置需要保護(hù)的用戶進(jìn)程，防止被保護(hù)的進(jìn)程被非法關(guān)閉。策略實例：圖2-SEQ圖2-\*ARABIC7進(jìn)程保護(hù)策略注意事項：1．這里的進(jìn)程保護(hù)是指使用windows任務(wù)管理器和一般的應(yīng)用程序無法終止該程序。2．這里的被保護(hù)進(jìn)程，仍然可以在策略中心的“進(jìn)程執(zhí)行監(jiān)控”中進(jìn)行終止，請管理員注意相關(guān)策略的設(shè)置。主機安全策略用戶密碼策略功能說明：此策略可以對系統(tǒng)的本地密碼策略、本地帳戶鎖定策略、系統(tǒng)屏保進(jìn)行設(shè)置，同時可以檢測系統(tǒng)密碼弱口令，除系統(tǒng)自定義的弱口令外，用戶可以自己添加自定義弱口令集。參數(shù)說明：參數(shù)說明檢測到系統(tǒng)弱口令后當(dāng)系統(tǒng)檢測到客戶端采用了弱口令后可以采用“上報”、“提示”兩種方式，即上報給區(qū)域管理器或者根據(jù)管理員設(shè)置的提示信息給客戶端發(fā)出提示。附加弱口令列表根據(jù)各單位名稱等不同，自己添加需要探測的弱口令，每個弱口令之間用","分隔。表2-SEQ表2-\*ARABIC5用戶密碼策略參數(shù)說明注意事項：1．在windows系統(tǒng)密碼策略中，策略是指密碼的長度。2．“弱口令檢查”與“本地賬戶鎖定策略”不能同時設(shè)置，否則弱口令用戶可能會被鎖定，無法使用！也不能對同一臺計算機分配兩個這樣的策略。3．檢測系統(tǒng)弱口令，原理是使用每個列表中的弱口令來嘗試登錄計算機，它并不修改任何windows系統(tǒng)文件，本策略不會造成任何的計算機不穩(wěn)定狀態(tài)。4．用戶密碼策略：只適用于標(biāo)準(zhǔn)版操作系統(tǒng)，番茄花園版不支持；系統(tǒng)屏保設(shè)置：重啟后生效；弱口令列表需要手動添加。用戶權(quán)限策略功能說明：檢查系統(tǒng)用戶、系統(tǒng)用戶組的權(quán)限的改變和系統(tǒng)用戶、系統(tǒng)用戶組的增加或減少。當(dāng)以上的某一條件符合時，則彈出相應(yīng)的提示信息。根據(jù)需要，在相應(yīng)的菜單中選擇上報或者在客戶端提示的報警方式，還有兩種報警方式同時啟用的方式，如果選擇中有提示信息選項，將在客戶端彈出管理員設(shè)定的提示信息窗口。注意事項：1．本策略的各項均在Windows系統(tǒng)控制面板中的“用戶與密碼”項或者控制面板中的管理工具文件夾里的計算機管理程序中的用戶菜單來實現(xiàn)的，本策略只提供相應(yīng)的監(jiān)測功能，不對您的修改進(jìn)行限制。協(xié)議防火墻策略功能說明：本策略是基于各種網(wǎng)絡(luò)協(xié)議的原理和各種網(wǎng)絡(luò)軟件對網(wǎng)絡(luò)的實際應(yīng)用，用來控制各種網(wǎng)絡(luò)使用和計算機端口的使用，起到防火墻的作用。參數(shù)說明端口連接控制規(guī)則協(xié)議類型計算機可以進(jìn)行很多網(wǎng)絡(luò)應(yīng)用，各種應(yīng)用都是基于網(wǎng)絡(luò)上服務(wù)器提供的服務(wù)。不同的服務(wù)是采用不同的端口提供的，通過這種端口的方式，計算機才可以與外界進(jìn)行互不干擾的通信。Tcp/udp協(xié)議，網(wǎng)絡(luò)通信協(xié)議，基本上所有的網(wǎng)絡(luò)服務(wù)都使用它們作為通信的標(biāo)準(zhǔn)。系統(tǒng)在這里通過控制計算機的端口和相應(yīng)的網(wǎng)絡(luò)協(xié)議，對計算機用戶的網(wǎng)絡(luò)操作進(jìn)行監(jiān)管。我們可以通過在windows下的dos窗口輸入“netstat–a”命令來查看本機打開的端口和各種端口正在被哪種服務(wù)使用的，且這個服務(wù)使用的是哪種協(xié)議。同時，我們也可以通過軟件相關(guān)的說明文檔得到這些信息。我們在端口處填入我們查詢到的需要控制的軟件使用的端口，在協(xié)議選擇下拉菜單中選擇相應(yīng)的tcp/udp協(xié)議。“本地端口”和“遠(yuǎn)程端口”兩個選項，其中，本地端口是指在網(wǎng)絡(luò)的使用中，本地計算機使用的端口，如果選擇這個選項，則在本策略的對象范圍內(nèi)的計算機無法啟動使用該端口的服務(wù)；遠(yuǎn)程端口是指在網(wǎng)絡(luò)的使用中，本地計算機可以啟動本服務(wù)，但是無法訪問遠(yuǎn)程計算機提供相應(yīng)服務(wù)的端口。管制方式“禁用填充項中指定端口，開放其他端口”選項是指僅禁用在上邊填寫的端口和其所對應(yīng)的服務(wù)，同時開放其他所有的端口，使其可以使用網(wǎng)絡(luò)服務(wù)?！敖锰畛漤椫兄付ǘ丝凇边x項是指僅禁用填充項中的端口和其所對應(yīng)的服務(wù)，并不改變其他端口目前的狀態(tài)?！伴_放填充項中指定端口，禁用其他端口”是指，僅開放在上邊填寫的端口和其所對應(yīng)的服務(wù)，同時關(guān)閉其他所有的關(guān)口和網(wǎng)絡(luò)服務(wù)，“開放填充項中指定端口”是指開放在上邊填寫的端口和其相對應(yīng)的服務(wù)，并不改變其他端口目前的狀態(tài)。選定需要的選項后，點擊“添加端口連接控制規(guī)則”按鈕，所設(shè)定的控制將出現(xiàn)在頁面下端的控制列表中。ICMP協(xié)議控制規(guī)則指系統(tǒng)對ICMP協(xié)議的控制，主要是通過判斷計算機間的互相通信是否正常來判斷的。一般來說，只要執(zhí)行MS-DOS窗口下的ping命令即可系統(tǒng)對icmp協(xié)議的控制，主要是通過判斷計算機間的互相通信是否正常來判斷的。一般來說，只需要執(zhí)行ms-dos窗口下的ping命令即可。“禁止ping入”是指不允許其他計算機（包括局域網(wǎng)計算機和遠(yuǎn)程計算機）用ping命令來檢測本地計算機通信狀態(tài)。“禁止ping出”是指不允許設(shè)置的對象客戶機用ping命令來檢測其他計算機（包括局域網(wǎng)計算機和遠(yuǎn)程計算機）的通信狀態(tài)?！敖闺p向”同時禁止任意兩臺計算機（至少有一臺是本地計算機）的通信檢測。設(shè)定好后，點擊“添加icmp協(xié)議控制規(guī)則”按鈕，，所設(shè)定的控制將出現(xiàn)在頁面下端的控制列表中。IP訪問控制規(guī)制ip地址輸入需要限制網(wǎng)絡(luò)使用的計算機的ip地址或ip地址范圍。管制方式“只允許填充項中ip地址訪問自己，禁止其余ip地址訪問”是指，在設(shè)定的ip地址范圍內(nèi)的計算機，每臺計算機能使用策略生效范圍內(nèi)的計算機的網(wǎng)絡(luò)資源，其他的計算機無法訪問該策略范圍內(nèi)的計算機?！爸辉试S自己訪問填充項中ip地址，禁止訪問其余ip地址”是指，本策略生效范圍內(nèi)的計算機只能訪問在設(shè)定的ip地址范圍內(nèi)的計算機的網(wǎng)絡(luò)服務(wù)，不能訪問其他計算機提供的網(wǎng)絡(luò)服務(wù)。設(shè)定好后，點選“添加ip訪問控制規(guī)則”，所設(shè)定的控制將出現(xiàn)在頁面下端的控制列表中。以上各種選項在設(shè)定后，如果需要去掉，只要在控制列表中，點選，然后點擊下邊的“刪除規(guī)則”按鈕。超級IP指的是本IP不受上邊制定的所有策略的限制。默認(rèn)內(nèi)網(wǎng)管理服務(wù)器IP為超級IP超級端口指本端口和所對應(yīng)的服務(wù)不受上邊制定的所有策略的限制表2-SEQ表2-\*ARABIC6協(xié)議防火墻策略參數(shù)說明策略實例：如下圖所設(shè)置的一個樣例表示：只開放本地計算機的80端口；只允許該IP地址段中的IP訪問本地計算機；禁止其他計算機ping入。圖2-SEQ圖2-\*ARABIC8協(xié)議防火墻策略注意事項：1．此策略需要管理員對網(wǎng)絡(luò)協(xié)議和計算機端口有一定的認(rèn)識，請慎重制定。通過對端口和協(xié)議對計算機用戶的網(wǎng)絡(luò)操作進(jìn)行監(jiān)管。注冊表檢查策略功能說明：監(jiān)測客戶端的注冊表內(nèi)容和該內(nèi)容的設(shè)定值，防止注冊表被病毒或其他惡意程序修改，起到對計算機的安全防護(hù)作用。參數(shù)說明：參數(shù)說明注冊表項名稱在【運行】項輸入“regedit”然后點確定。出現(xiàn)注冊表窗口，在左邊窗口顯示的就是注冊表項的名稱鍵名在注冊表窗口中，右邊窗口中的名稱標(biāo)題下的內(nèi)容就是鍵名值類型同注冊表右邊窗口的值類型的三個選項“reg_sz”、“reg_dword”、“reg_binary”鍵值在注冊表右邊窗口中的數(shù)據(jù)標(biāo)題下的內(nèi)容就是鍵值檢測條件根據(jù)需要選擇相應(yīng)的條件適合操作系統(tǒng)根據(jù)對象的計算機操作系統(tǒng)狀況進(jìn)行選擇具體的操作系統(tǒng)控制操作如果要刪除注冊表項請確認(rèn)該項對系統(tǒng)的正常使用不會造成影響。刪除項會同時刪除該項下的子項和鍵。表2-SEQ表2-\*ARABIC7注冊表檢查策略參數(shù)說明圖2-SEQ圖2-\*ARABIC9注冊表注意事項：1．本策略只提供注冊表檢測功能，不進(jìn)行修改注冊表內(nèi)容的操作。IP與MAC綁定策略功能說明：實行IP與MAC綁定。當(dāng)IP與MAC綁定發(fā)生變化時，可對其實施自動恢復(fù)、彈出提示框、或斷開網(wǎng)絡(luò)并持續(xù)阻斷該計算機等控制。參數(shù)說明：參數(shù)說明客戶端特性設(shè)置：客戶端IP,MAC綁定點選該選項，才可以使用本策略的功能。Ip與mac綁定是指客戶端計算機在局域網(wǎng)中標(biāo)識身份的地址和計算機的網(wǎng)卡標(biāo)識號碼的匹配。當(dāng)綁定發(fā)生變化指客戶端計算機用戶修改了自己的ip地址，這時，網(wǎng)卡的mac將于新的ip地址相匹配，就不能與原來的ip地址匹配，這就是ip、mac綁定發(fā)生變化。系統(tǒng)根據(jù)這種情況給出4種處理方式，“不處理”、“自動恢復(fù)”、“斷開網(wǎng)絡(luò)”，并且提示管理員設(shè)定的信息、“僅提示”只提示管理員設(shè)定的信息。表2-SEQ表2-\*ARABIC8IP與MAC綁定策略參數(shù)說明策略實例：圖2-SEQ圖2-\*ARABIC10IP與MAC綁定策略注意事項：1．“客戶端IP,MAC綁定”選項絕對不能在動態(tài)IP的設(shè)備上使用。2．一般常規(guī)性的網(wǎng)絡(luò)應(yīng)用中，只要設(shè)定自動恢復(fù)ip和除網(wǎng)絡(luò)管理員的賬戶其他帳戶均有效即可。殺毒軟件運行監(jiān)控策略功能說明：檢查客戶機是否安裝殺毒軟件，并做提示、斷開、重啟計算機等操作。參數(shù)說明：參數(shù)說明若客戶端未運行病毒防火墻“不處理”、“自動重啟”當(dāng)系統(tǒng)發(fā)現(xiàn)客戶端未安裝殺毒軟件時，將彈出管理員設(shè)定的提示信息，并且2分鐘后自動重新啟動、“斷開網(wǎng)絡(luò)”斷開和網(wǎng)絡(luò)的連接，并彈出管理員設(shè)定的提示信息、“僅提示”只發(fā)給客戶端提示信息。殺毒軟件升級設(shè)置用于自動升級殺毒軟件。這此功能生效的條件是需要把殺毒軟件的升級文件放到VRV\RegionManage\Distribute\AntiVirusUpdate目錄中相應(yīng)的殺毒軟件升級文件夾中，目前支持的可升級的殺毒軟件有北信源、macfee、瑞星、諾頓等。表2-SEQ表2-\*ARABIC9殺毒軟件運行監(jiān)控補丁分發(fā)策略、軟件分發(fā)策略請參照第三章北信源補丁及文件分發(fā)管理系統(tǒng)接入認(rèn)證策略請參照第六章北信源網(wǎng)絡(luò)接入控制管理系統(tǒng)和第七章北信源接入認(rèn)證網(wǎng)關(guān)。違規(guī)外聯(lián)監(jiān)控防違規(guī)外聯(lián)策略功能說明：監(jiān)視違規(guī)網(wǎng)絡(luò)連接（modem撥號、雙網(wǎng)卡、代理等），并對違規(guī)行為做出相應(yīng)的處理，檢測計算機的網(wǎng)絡(luò)使用是否符合制定的原則，對不符合原則的計算機進(jìn)行處理。參數(shù)說明：參數(shù)說明違規(guī)監(jiān)控設(shè)置通過設(shè)置，檢測策略應(yīng)用的對象的客戶端是否能和外網(wǎng)通信來判斷該計算機是否違反了管理員制定的規(guī)則?！巴饩W(wǎng)地址”選項，是利用系統(tǒng)的功能，對這兩個地址，進(jìn)行檢測，當(dāng)可以與這兩個網(wǎng)站通信時，視為本機違反策略?！翱蛻舳怂薅ㄊ褂玫木W(wǎng)段”是指，如果客戶端訪問的ip地址超過了在這個選項中設(shè)置的范圍，也視為本機違反策略。本選項需要填寫ip地址范圍，范圍中間區(qū)域用“—”來間隔?！安捎锰綔y外網(wǎng)方法”和“客戶端所限定使用的網(wǎng)段”這兩種方法，是并列的，單獨使用其中的一種或者兩種同時使用都可以滿足您的需要。禁止使用代理上網(wǎng)訪問如果選擇這個選項，則瀏覽器無法使用代理服務(wù)器訪問網(wǎng)絡(luò)，該選項可屏蔽瀏覽器使用內(nèi)網(wǎng)或者外網(wǎng)的大多數(shù)代理服務(wù)。探頭發(fā)現(xiàn)設(shè)備違規(guī)后的處理方式A：若客戶端同時連接內(nèi)外網(wǎng)，本選項一般指計算機同時能夠訪問單位內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)。在處理方式中，僅提示方式，是指當(dāng)選定對象的用戶如果違反了策略，將在客戶端彈出管理員設(shè)置的提示信息。斷開網(wǎng)絡(luò)方式，是指當(dāng)本策略啟用時，選定的策略管理對象，如果違反了本策略，將對該計算機進(jìn)行斷離網(wǎng)絡(luò)的處理，同時，該計算機彈出管理員設(shè)定的提示信息。關(guān)機方式，是指當(dāng)本策略啟用時，選定的策略管理對象，如果違反了本策略，將對該計算機進(jìn)行2分鐘后自動關(guān)機的處理，同時，該計算機彈出管理員設(shè)定的提示信息。B：若客戶端僅在外網(wǎng)，一般是指，客戶沒有在局域網(wǎng)中，只通過modem等網(wǎng)絡(luò)設(shè)備上網(wǎng)的情況。在處理方式中，僅提示方式，是指當(dāng)選定對象的用戶如果違反了策略，將在客戶端彈出管理員設(shè)置的提示信息。斷開網(wǎng)絡(luò)方式，是指當(dāng)本策略啟用時，選定的策略管理對象，如果違反了本策略，將對該計算機進(jìn)行斷離網(wǎng)絡(luò)的處理，同時，該計算機彈出管理員設(shè)定的提示信息。關(guān)機方式，是指當(dāng)本策略啟用時，選定的策略管理對象，如果違反了本策略，將對該計算機進(jìn)行2分鐘后自動關(guān)機的處理，同時，該計算機彈出管理員設(shè)定的提示信息。重新接回內(nèi)網(wǎng)后進(jìn)行安全檢察，是指當(dāng)計算機離開本網(wǎng)絡(luò)，并且離開后進(jìn)行了網(wǎng)絡(luò)操作，則當(dāng)計算機回到本網(wǎng)絡(luò)的時候，提示用戶進(jìn)行安全檢測。表2-SEQ表2-\*ARABIC10防違規(guī)外聯(lián)策略參數(shù)說明策略實例：圖2-SEQ圖2-\*ARABIC11防違規(guī)外聯(lián)策略當(dāng)執(zhí)行該策略的客戶端有違規(guī)外聯(lián)事件發(fā)生時，客戶端將彈出管理員設(shè)置的提示信息，如下圖所示：圖2-SEQ圖2-\*ARABIC12違規(guī)提示注意事項：1．當(dāng)計算機離開本地網(wǎng)絡(luò)，并進(jìn)行過聯(lián)網(wǎng)后，回到網(wǎng)絡(luò)僅提示安全檢查，本系統(tǒng)并不對其進(jìn)行具體的安全檢查。2．使用本策略，必須點選“允許探頭進(jìn)行違規(guī)聯(lián)網(wǎng)監(jiān)控”和“采用探測外網(wǎng)方法”兩個選項。行為管理及審計、涉密檢查策略請參照第四章北信源主機監(jiān)控審計系統(tǒng)可移動儲存管理請參照第五章北信源移動存儲介質(zhì)使用管理系統(tǒng)主機運維策略運行資源監(jiān)控策略功能說明：本策略主要針對服務(wù)器和重要主機而設(shè)計的，網(wǎng)管人員十分關(guān)心服務(wù)器和重要主機的運行狀況，如CPU、內(nèi)存、硬盤等關(guān)鍵硬件的信息就能直接反映它們的運行情況，用戶可以根據(jù)管理情況定制報警策略。參數(shù)說明：參數(shù)說明cpu信息cpu使用率可以在windows系統(tǒng)任務(wù)管理器中的性能菜單下查詢。當(dāng)cpu使用率過高，并且持續(xù)時間比較長的話，將會影響計算機的正常使用。用戶可根據(jù)計算機的硬件配置情況和使用情況自己制定限制的數(shù)值。“上報”復(fù)選框是將計算機超出設(shè)定值的時候的信息發(fā)給區(qū)域管理器；“客戶端提示”在客戶端計算機超出設(shè)定值的時候，在其本機彈出管理員設(shè)置的信息。內(nèi)存信息內(nèi)存使用率可以在windows系統(tǒng)任務(wù)管理器中的性能菜單下查詢。當(dāng)內(nèi)存使用率過高，并且持續(xù)時間比較長的話，將會影響計算機的正常使用。用戶可根據(jù)計算機的硬件配置情況和使用情況自己制定限制的數(shù)值。硬盤信息當(dāng)系統(tǒng)盤剩余空間低于設(shè)定值時報警，當(dāng)點選“檢測其他盤符”時，輸入相應(yīng)的盤符和設(shè)定的剩余空間,也會產(chǎn)生報警信息。表2-SEQ表2-\*ARABIC11運行資源監(jiān)控策略參數(shù)說明注意事項：1．當(dāng)cpu持續(xù)占用率達(dá)到100%,可能會造成策略對象計算機的死機，無法處理系統(tǒng)發(fā)出的提示信息，造成無法提示，這屬于windows操作系統(tǒng)問題。進(jìn)程異常監(jiān)控功能說明：對客戶端的進(jìn)程狀態(tài)進(jìn)行監(jiān)控。參數(shù)說明：參數(shù)說明未響應(yīng)窗口監(jiān)控在相應(yīng)的“監(jiān)控窗口名”處填入需要監(jiān)控的進(jìn)程名。進(jìn)程名可以在windows任務(wù)管理器的進(jìn)程菜單下查看。選擇具體需要的操作：“上報”：將情況上報給區(qū)域管理器；“結(jié)束進(jìn)程”：在客戶端結(jié)束該進(jìn)程；“結(jié)束并重新啟動進(jìn)程”：在客戶端先結(jié)束進(jìn)程，然后再啟動該進(jìn)程。意外退出進(jìn)程監(jiān)控在相應(yīng)的“監(jiān)控進(jìn)程名”處填入需要監(jiān)控的進(jìn)程名。進(jìn)程名可以在windows任務(wù)管理器的進(jìn)程菜單下查看。意外服務(wù)監(jiān)控在相應(yīng)的“監(jiān)控服務(wù)名”處填入需要監(jiān)控的服務(wù)名。服務(wù)名可以在windows任務(wù)管理器的服務(wù)菜單下查看。表2-SEQ表2-\*ARABIC12進(jìn)程異常監(jiān)控策略參數(shù)說明注意事項：1．本策略的設(shè)置是針對進(jìn)程的，注意不要和“進(jìn)程執(zhí)行監(jiān)控”相沖突，引起系統(tǒng)的不穩(wěn)定。垃圾文件清理功能說明：根據(jù)需要，在相應(yīng)的文件夾菜單中選擇或填入需要清理垃圾文件的文件夾；在相應(yīng)的文件類別中選擇需要清理的文件類型。注意事項：1．FAT32文件系統(tǒng)中被刪除的文件放置在回收站中,NTFS文件系統(tǒng)中直接刪除。2．請管理員設(shè)置時，注意相關(guān)的注釋。正在使用的臨時文件等文件，無法清除，需要清除的話，請先關(guān)閉相關(guān)的應(yīng)用程序。系統(tǒng)自動關(guān)機功能說明：根據(jù)需要設(shè)定無鍵盤、鼠標(biāo)動作時間自動關(guān)機，點選“關(guān)機前自動提示”，則在關(guān)機前在客戶端彈出管理員設(shè)定的提示信息。流量管理策略流量采樣策略功能說明：通過設(shè)置選定用戶（在本策略的對象中設(shè)定的）計算機的網(wǎng)絡(luò)的平均流量和并發(fā)連接數(shù)，以及可疑發(fā)包等網(wǎng)絡(luò)流量策略來審計網(wǎng)絡(luò)的使用。參數(shù)說明：參數(shù)說明流量采樣閾值設(shè)定這是按照一定時間內(nèi)客戶端計算機的平均網(wǎng)絡(luò)使用流量計算的每秒平均流量數(shù)。推薦按照缺省建議設(shè)置。并發(fā)連接可疑定義這是按照客戶端計算機同時進(jìn)行網(wǎng)絡(luò)訪問的數(shù)量來計算的網(wǎng)絡(luò)連接數(shù)。推薦按照缺省建議設(shè)置。發(fā)包可疑定義一般來說，推薦使用系統(tǒng)默認(rèn)的數(shù)值，如果您有意修改以上的數(shù)據(jù)，建議您咨詢網(wǎng)絡(luò)管理員。表2-SEQ表2-\*ARABIC13流量采樣策略參數(shù)說明注意事項：1．此處僅對相應(yīng)的流量數(shù)據(jù)進(jìn)行統(tǒng)計，統(tǒng)計數(shù)據(jù)可在數(shù)據(jù)查詢中進(jìn)行查詢。流量控制策略功能說明：根據(jù)系統(tǒng)對選定用戶（在本策略的對象中設(shè)定的）網(wǎng)絡(luò)使用的監(jiān)測，協(xié)調(diào)整個網(wǎng)絡(luò)的流量。參數(shù)說明：參數(shù)說明客戶端總流量按照一定時間內(nèi)的總的數(shù)據(jù)傳輸量求出的平均每秒流量數(shù)。管理員可以根據(jù)網(wǎng)絡(luò)實際情況設(shè)定具體的數(shù)值流量和持續(xù)時間。并發(fā)連接數(shù)可疑違規(guī)按照客戶端計算機同時進(jìn)行網(wǎng)絡(luò)訪問的數(shù)量來計算的網(wǎng)絡(luò)連接數(shù)是否過多判斷用戶對網(wǎng)絡(luò)的使用是否合規(guī)。發(fā)包可疑違規(guī)一般是指計算機接到了超出了正常網(wǎng)絡(luò)服務(wù)使用中的接到數(shù)據(jù)包的范圍，還有單位時間應(yīng)該從網(wǎng)絡(luò)上其他計算機上接到的icmp數(shù)據(jù)包數(shù)量。這里的數(shù)量值取得都是我們在流量采樣策略中設(shè)定的相應(yīng)的數(shù)值。違規(guī)時客戶端執(zhí)行“上報”，是指內(nèi)網(wǎng)安全管理系統(tǒng)自動將違反上述選定了的規(guī)則的計算機上報給區(qū)域管理器?！白詣幼钄唷保菏侵溉绻蛻舳擞嬎銠C違反了上述規(guī)則的計算機斷網(wǎng)處理，時間一般默認(rèn)為5分鐘左右；“永久阻斷”：只要被阻斷一次之后，必須通過終端控制中的恢復(fù)網(wǎng)絡(luò)連接功能才能恢復(fù)網(wǎng)絡(luò)連接?！翱蛻舳颂崾尽?，是指如果客戶端計算機違反了上述規(guī)則，，則在客戶端計算機上彈出管理員設(shè)定的消息。表2-SEQ表2-\*ARABIC14流量控制策略參數(shù)說明注意事項：1．本策略是根據(jù)對網(wǎng)絡(luò)流量異常和icmp收發(fā)包異常的監(jiān)控來實現(xiàn)功能的策略，本策略采用的大多數(shù)監(jiān)控數(shù)據(jù)，是從流量采樣策略中設(shè)定的。2．收發(fā)包異常的情況一般是由一些計算機端口的掃描軟件或黑客軟件造成的，需要管理員多加注意。3．本策略的設(shè)定要求對網(wǎng)絡(luò)和網(wǎng)絡(luò)協(xié)議有一定的了解，請在網(wǎng)絡(luò)管理員的指導(dǎo)下設(shè)置，系統(tǒng)采用的默認(rèn)值可以滿足一般網(wǎng)絡(luò)環(huán)境的要求。4．并發(fā)連接數(shù)可疑或發(fā)包可疑的前提是客戶端總流量走出設(shè)定。消息推送策略消息推送功能說明：向選定用戶（在本策略的對象中設(shè)定的）計算機發(fā)送消息通知，請求重注冊信息以及要求升級等消息。參數(shù)說明：參數(shù)說明消息功能“僅消息通知”和普通的消息分發(fā)沒有什么區(qū)別，在客戶端計算機彈出管理員設(shè)置的消息?！跋⑼ㄖ⒋_認(rèn)回饋”是指在客戶端計算機彈出管理員設(shè)置的消息，同時客戶端計算機顯示后，要求用戶確認(rèn)?！爸匦伦浴痹诳蛻舳擞嬎銠C彈出注冊窗口，要求用戶注冊?！翱蛻舳松墶睆棾鎏崾疽罂蛻舳松壍男畔?，不進(jìn)行實際操作。表2-SEQ表2-\*ARABIC15消息推送策略參數(shù)說明消息推送擴(kuò)展策略功能說明：可以實現(xiàn)一段時間內(nèi)持續(xù)地向選定用戶（在本策略的對象中設(shè)定的）計算機發(fā)送消息。備份策略客戶端文件備份功能說明：對選定用戶計算機進(jìn)行指定文件的備份。參數(shù)說明：參數(shù)說明文件/目錄(全路徑)設(shè)置需要備份的文件或目錄的全路徑。備份過濾指定需要備份的文件的后綴名，填入此項后僅備份指定后綴名文件，不填寫則全部備份。備份服務(wù)器IP可以將設(shè)定備份在指定服務(wù)器的共享目錄下間隔時間默認(rèn)值為120分鐘，最小值為3分鐘。表2-SEQ表2-\*ARABIC16客戶端文件備份策略參數(shù)說明注意事項：1．該功能通過共享文件夾拷貝方式備份，配置前需要確認(rèn)所輸入的用戶名和密碼對共享目錄必須有寫權(quán)限，如果以2003系統(tǒng)作為備份服務(wù)器，則需要將服務(wù)器改為使用經(jīng)典登錄才可用。屏幕抓取策略功能說明：在一定時間間隔內(nèi)抓屏并備份到服務(wù)器上。文件備份的路徑設(shè)置在備份服務(wù)器程序里進(jìn)行設(shè)置，如下圖所示，圖2-SEQ圖2-\*ARABIC13文件備份路徑設(shè)置屏幕錄像策略功能說明：可以實現(xiàn)定時屏幕錄像，并且可以設(shè)定錄像時間長度。終端配置策略終端設(shè)置策略功能說明：對客戶端時間、ARP阻斷以及各種信息的上報等進(jìn)行設(shè)置。參數(shù)說明：參數(shù)說明同步終端時間可同步客戶端時間為服務(wù)器時間。自定義探頭應(yīng)答IP為了保證Agent不受冒充指令的干擾，Agent只接受來自管理器服務(wù)器的指令請求，如果的確需要接受其它IP的指令，則可以將該處添加IP并分配給終端設(shè)備。自定義ARP阻斷置可設(shè)置每次發(fā)送ARP欺騙包的間隔時間和持續(xù)時間。備用區(qū)域管理IP當(dāng)一個區(qū)域管理器出現(xiàn)故障，導(dǎo)致無法提供服務(wù)時，由此處指定的備用服務(wù)器接替原服務(wù)器繼續(xù)提供服務(wù)，實現(xiàn)管理服務(wù)器的雙機熱備功能。設(shè)備離網(wǎng)阻斷設(shè)備處于其他網(wǎng)絡(luò)時，限制網(wǎng)絡(luò)訪問。設(shè)備內(nèi)存,硬盤阻斷設(shè)備內(nèi)存或硬盤變化時阻斷通信。綁定正確網(wǎng)關(guān)MAC防止ARP欺騙攻擊防止ARP病毒對網(wǎng)關(guān)的欺騙。啟用該功能后，會提示選擇正確的網(wǎng)關(guān)地址。默認(rèn)共享可以取消系統(tǒng)默認(rèn)共享。指定只允許啟用的共享名不輸入則允許任何共享名。多個共享名之間用半角分號(;)分隔。設(shè)備安裝多操作系統(tǒng)當(dāng)功能啟用時，只可以啟用原啟用列表中默認(rèn)的系統(tǒng)選項。注冊用戶與計算機名稱關(guān)聯(lián)強制將計算機名修改為注冊時輸入的使用人項指定終端自動卸載在指定指定時間點卸載。域用戶登錄限制限制該機只允許使用域用戶登錄。審計日志上報間隔設(shè)置與策略對應(yīng)的審計日志的上報時間間隔。補丁信息上報將終端補丁安裝信息上報到服務(wù)器。進(jìn)程信息上報將終端系統(tǒng)首次運行的進(jìn)程情況上報服務(wù)器。軟件信息上報將終端系統(tǒng)已安裝的軟件信息以增量式地上報到服務(wù)器，并且可以設(shè)定上報時間。表2-SEQ表2-\*ARABIC17終端配置策略參數(shù)說明管理器策略該功能用于在級聯(lián)的情況下，設(shè)置下級服務(wù)器向上級上報的消息類別。訂閱級聯(lián)審計數(shù)據(jù)策略功能說明：訂閱下級平臺設(shè)備基本信息以及各種行為的審計日志。終端升級管理策略功能說明：客戶端注冊程序的升級。注意事項：1．該策略沒有策略內(nèi)容和啟用/停用設(shè)置，可以指定一部分特定的終端自動升級，只需要將把需要自動升級的終端配置到策略對象中即可，不在對象中的終端設(shè)備是不會自動升級的。以后每次服務(wù)器升級后只有對象中的終端會自動升級為最新版本，其余的還是以之前版本運行。2．該策略適用于對新的版本進(jìn)行測試，待測試完成后沒有什么問題，將該策略刪除或把策略分給所有的終端實現(xiàn)整網(wǎng)統(tǒng)一升級。3．整個系統(tǒng)僅允許使用一條這樣的策略，并且不具備級聯(lián)功能。組合策略組合策略分發(fā)功能說明：根據(jù)需要選擇幾種類型的策略，再進(jìn)一步選擇某類策略下的某個策略，從而形成策略組。注意事項：1．其中各個子策略都必須為啟用狀態(tài)。漫游策略分發(fā)功能說明：只針對漫游客戶端所發(fā)送的策略。具體的漫游功能請參照附錄六漫游功能說明。臨時客戶端分發(fā)功能說明：只針對臨時客戶端所發(fā)送的策略。臨時客戶端：在“注冊程序配置”中，通過配置“注冊密碼”項來實現(xiàn)指定客戶端的使用限制。如下圖所示，圖2-SEQ圖2-\*ARABIC14注冊碼配置按對象分配策略按設(shè)備分配通過設(shè)備IP、設(shè)備名或使用人查詢下發(fā)給該設(shè)備的策略，能夠快速查找到相應(yīng)的客戶端正在執(zhí)行的策略，并支持模糊查詢。按設(shè)備組分配可以為自定義的用戶添加策略，并且可以顯示為每一組自定義的用戶下發(fā)的策略，并且可以編輯或取消該策略。策略下發(fā)查詢用戶可以查看策略的下發(fā)情況，可以查詢下載策略的設(shè)備IP、名稱和下發(fā)時間等信息。網(wǎng)關(guān)接入認(rèn)證配置請參照第六章北信源網(wǎng)絡(luò)接入控制管理系統(tǒng)阻斷違規(guī)接入管理當(dāng)掃描器發(fā)現(xiàn)有未注冊客戶端的設(shè)備接入內(nèi)網(wǎng)時，該功能可以有效地控制外來設(shè)備接入內(nèi)網(wǎng)而帶來的安全威脅，通過選中“沒有注冊則阻斷聯(lián)網(wǎng)”復(fù)選框便可阻斷該設(shè)備。同時提供了“警告信息”功能（必須開啟信使服務(wù)）、IP、MAC綁定等功能，如下圖所示：圖2-SEQ圖2-\*ARABIC15阻斷違規(guī)接入控制設(shè)置補丁分發(fā)請參照第三章北信源補丁及文件分發(fā)管理系統(tǒng)數(shù)據(jù)查詢數(shù)據(jù)查詢是根據(jù)內(nèi)網(wǎng)安全及補丁分發(fā)管理系統(tǒng)工作的結(jié)果，向管理員提供對網(wǎng)絡(luò)設(shè)備信息、網(wǎng)絡(luò)劃分信息、網(wǎng)絡(luò)中相關(guān)的設(shè)備安全狀態(tài)信息的綜合查詢。其中大多數(shù)查詢是與制定的策略對應(yīng)的。本地注冊情況統(tǒng)計圖2-SEQ圖2-\*ARABIC16本地注冊情況信息本地設(shè)備資源統(tǒng)計圖2-SEQ圖2-\*ARABIC17本地設(shè)備資源信息本地設(shè)備類型統(tǒng)計圖2-SEQ圖2-\*ARABIC18本地設(shè)備類型統(tǒng)計USB標(biāo)簽信息查詢USB標(biāo)簽制作查詢查詢USB標(biāo)簽制作記錄。信息顯示包括U盤編號、唯一序號、所屬部門、擁有人、U盤狀態(tài)、標(biāo)簽和操作說明等。USB標(biāo)簽黑名單查詢USB黑名單記錄。服務(wù)器會把USB標(biāo)簽黑名單發(fā)送給客戶端，當(dāng)插入的USB時，客戶端檢查此USB標(biāo)簽是否在黑名單中時，如果在將被禁止使用。USB授權(quán)個數(shù)查詢查詢USB授權(quán)個數(shù)。顯示信息包括用戶名稱、USB授權(quán)個數(shù)和USB剩余授權(quán)個數(shù)。設(shè)備信息查詢設(shè)備信息查詢查詢信息包括計算機所屬區(qū)域、單位、部門、使用人、設(shè)備IP、MAC、注冊、重新注冊、信任、保護(hù)、阻斷、開機、殺毒軟件、殺毒廠商、系統(tǒng)等信息。根據(jù)▼▲符號對查詢數(shù)據(jù)進(jìn)行降序、升序排列列表。注冊資產(chǎn)查詢對已注冊的客戶端的設(shè)備進(jìn)行設(shè)備資產(chǎn)查詢，提供多個復(fù)合條件查詢。安裝軟件查詢對客戶端的軟件進(jìn)行查詢，可以根據(jù)軟件類別，如必須安裝的軟件、禁止安裝的軟件等條件進(jìn)行查詢。首次運行進(jìn)程查詢依照進(jìn)程名稱、文件大小、版本、進(jìn)程所在路徑、進(jìn)程所打開的端口、進(jìn)程運行次數(shù)等進(jìn)行查詢?？梢杂糜趯Σ《尽⒛抉R、黑客程序等進(jìn)程的查詢。共享目錄查詢可以對設(shè)備的共享名稱、共享路徑和共享模式等信息進(jìn)行查詢。設(shè)備IP占用情況列表查詢區(qū)域管理器所管轄的范圍內(nèi)的注冊IP、未注冊IP、空閑IP。硬件變化查詢客戶端注冊時，已經(jīng)把其硬件信息注冊入庫，如果客戶端硬件有變化（增添或卸載），則可通過該查詢條件查到。軟件變化查詢當(dāng)客戶端安裝注冊程序時，會收集客戶端安裝軟件的信息上報到服務(wù)器。服務(wù)器會比較當(dāng)前安裝軟件和數(shù)據(jù)庫保存的信息，來顯示軟件的變化。如下圖所示，圖2-SEQ圖2-\*ARABIC19軟件變化信息注冊日志查詢顯示客戶端注冊狀態(tài)信息，如下圖所示，圖2-SEQ圖2-\*ARABIC20注冊日志信息操作系統(tǒng)安裝查詢查看設(shè)備操作系統(tǒng)信息，包括操作系統(tǒng)UUID、操作系統(tǒng)名稱和操作系統(tǒng)安裝系統(tǒng)等信息。計算機開關(guān)機查詢查看設(shè)備的開關(guān)機信息。在“終端策略”中選中“允許上報開關(guān)機時間”時，才可以查詢到數(shù)據(jù)。離線設(shè)備查詢可以查詢離線設(shè)備的信息，包括所屬區(qū)域、最后登錄時間、已關(guān)機天數(shù)、使用人、聯(lián)系電話和ip地址等信息。審計數(shù)據(jù)查詢可以對以下審計進(jìn)行查詢：移動設(shè)備審計、上網(wǎng)訪問審計、上網(wǎng)訪問統(tǒng)計、文件輸出審計、文檔打印記錄、文件保護(hù)審計、違規(guī)軟件及進(jìn)程、安全策略違規(guī)、涉密檢查查詢、區(qū)域管理器工作日志和終端代理審計。分發(fā)數(shù)據(jù)查詢可以對以下三種分發(fā)數(shù)據(jù)進(jìn)行查詢：消息確認(rèn)查詢、普通文件分發(fā)查詢和普通文件分發(fā)統(tǒng)計。非Windows操作系統(tǒng)設(shè)備對非windows操作系統(tǒng)設(shè)備的硬件資產(chǎn)和軟件資產(chǎn)查詢。終端管理終端管理提供對網(wǎng)絡(luò)計算機終端的行為控制、狀態(tài)監(jiān)測等方面進(jìn)行查看、控制、管理。設(shè)備基本信息：可以獲取該客戶端基本注冊信息。終端進(jìn)程管理：可以獲取該客戶端當(dāng)前運行進(jìn)程。終端服務(wù)管理：可以獲取該計算機遠(yuǎn)程服務(wù)啟動情況信息。終端端口管理：可以查看遠(yuǎn)程計算機連接協(xié)議類型、IP地址、端口號。查看安裝軟件：可以查看客戶端計算機實時安裝的軟件信息，并可以查看軟件安裝變更記錄。查看漏打補丁：實時查看客戶端存在的系統(tǒng)漏洞及危險級別。查看運行資源：遠(yuǎn)程查看客戶端計算機的運行資源情況。查看系統(tǒng)用戶：遠(yuǎn)程查看客戶端計算機的系統(tǒng)用戶情況。終端事件查看：可以獲取遠(yuǎn)程客戶端的系統(tǒng)信息、安全日志及應(yīng)用程序日志。硬件資產(chǎn)查看：遠(yuǎn)程查看客戶端的實時硬件信息。共享目錄列表：遠(yuǎn)程查看該客戶端所共享的資源及資源路徑。當(dāng)前執(zhí)行策略：查看該客戶端當(dāng)前執(zhí)行策略。終端訪問審計：遠(yuǎn)程實時審計客戶端的訪問情況。其他審計記錄：開關(guān)機記錄、磁盤變化記錄和進(jìn)程策略執(zhí)行結(jié)果行為控制消息通知：對選定客戶端計算機實時發(fā)送消息，并可以設(shè)定客戶端是否做消息回饋操作。運行程序：可以在服務(wù)器端強行指定客戶端運行以.EXE、.COM、.BAT等為后綴的可執(zhí)行程序，并可以以服務(wù)或隱藏執(zhí)行兩種方式運行。查殺病毒：提供全盤殺毒或制定某一目錄殺毒，根據(jù)需要可以在殺毒前提示。修改網(wǎng)絡(luò)配置：可遠(yuǎn)程修改客戶端計算機的名稱、IP和DNS等網(wǎng)絡(luò)配置。斷開網(wǎng)絡(luò)連接：可以遠(yuǎn)程阻斷客戶端聯(lián)網(wǎng)，并可自定義提示信息。恢復(fù)網(wǎng)絡(luò)連接：可以遠(yuǎn)程恢復(fù)客戶端聯(lián)網(wǎng)，并可自定義提示信息?！斑`規(guī)外規(guī)策略”中“需要解鎖”功能，管理員就是在這里進(jìn)行解鎖的。同步客戶端數(shù)據(jù)：通過同步客戶端數(shù)據(jù)使客戶端注冊數(shù)據(jù)同服務(wù)器保持一致。鎖定鍵盤鼠標(biāo)：可以給客戶端發(fā)送重新注冊窗口，同時自定義提示信息，并可以同步終端注冊信息。重新注冊：可以給客戶端發(fā)送重新注冊窗口，同時自定義提示信息，并可以同步終端注冊信息?？蛻舳松墸狐c擊后可以發(fā)送要求客戶端升級的命令，并進(jìn)行遠(yuǎn)程對客戶端探頭進(jìn)行升級。客戶端卸載：點擊后可以遠(yuǎn)程對客戶端探頭進(jìn)行卸載。關(guān)閉計算機：點擊“提交處理”按鈕后可以遠(yuǎn)程關(guān)閉、重啟客戶端計算機，并可在關(guān)閉、重啟前進(jìn)行提示。遠(yuǎn)程協(xié)助數(shù)據(jù)包分析支持：可啟動數(shù)據(jù)包分析工具，對客戶端進(jìn)行全程數(shù)據(jù)包分析。遠(yuǎn)程支持注：使用該功能必須在當(dāng)前區(qū)域管理器注冊客戶端才能使用。運維監(jiān)控客戶端流量排名：監(jiān)測網(wǎng)絡(luò)中客戶端流量信息并進(jìn)行排名，報警異常網(wǎng)絡(luò)流量，能夠?qū)蛻舳诉M(jìn)行流量報警?？蛻舳肆髁拷y(tǒng)計：根據(jù)流量統(tǒng)計滿足各種條件（如：30分鐘內(nèi)最大值、當(dāng)天最大值、本周最大值等）的計算機的IP、名稱以及所屬的區(qū)域名稱等信息。流量綜合排名：對所有終端的流量進(jìn)行排名，管理員可以清楚地看到流量排名?？梢岳塾嬃髁?、累計連接數(shù)和累計連接時間進(jìn)行排序。運維異常監(jiān)控查詢：根據(jù)運行資源異常、網(wǎng)絡(luò)流量異常、運行進(jìn)程異常等條件查詢異常狀態(tài)的客戶端。運維異常監(jiān)控統(tǒng)計：可以統(tǒng)計某個區(qū)域，某段時間內(nèi)CPU信息報警、內(nèi)存信息報警、硬盤信息報警、未響應(yīng)進(jìn)程和意外退出進(jìn)程及服務(wù)的異常信息。交換機端口管理：北信源終端安全管理交換機掃描模塊能主動發(fā)現(xiàn)網(wǎng)絡(luò)中存在的可網(wǎng)管交換設(shè)備，并自動將交換機連接的計算機設(shè)備納入該交換機管理范圍列表。圖2-SEQ圖2-\*ARABIC21交換機掃描管理配置注意：此功能的實現(xiàn)必須開啟SNMP協(xié)議。網(wǎng)管幫助設(shè)置：記錄網(wǎng)管的基本信息，包括網(wǎng)管姓名和電話等信息，在需要聯(lián)系時可以及時聯(lián)系到網(wǎng)管。報表管理可以統(tǒng)計網(wǎng)絡(luò)中設(shè)備硬件信息、系統(tǒng)信息、注冊狀態(tài)，以及級聯(lián)系統(tǒng)數(shù)據(jù)信息。具體包括：本地設(shè)備注冊情況統(tǒng)計、本地設(shè)備系統(tǒng)信息統(tǒng)計、本地設(shè)備硬件信息統(tǒng)計、級聯(lián)設(shè)備注冊情況統(tǒng)計、級聯(lián)設(shè)備系統(tǒng)信息統(tǒng)計、級聯(lián)設(shè)備硬件信息統(tǒng)計。提供對網(wǎng)絡(luò)中所有設(shè)備信息的統(tǒng)計：設(shè)備數(shù)量：路由器、交換機、服務(wù)器、客戶端；在線設(shè)備：當(dāng)前網(wǎng)絡(luò)中開機運行的設(shè)備；注冊設(shè)備：已經(jīng)注冊的計算機設(shè)備；Unix/Linux、路由器、交換機設(shè)備通過手動添加寫入數(shù)據(jù)庫；殺毒軟件：目前支持北信源、瑞星、江民、金山、諾頓、趨勢、NAI等殺毒軟件。報警管理提供網(wǎng)絡(luò)設(shè)備信息非法外聯(lián)、IP綁定等事件性安全信息進(jìn)行報警統(tǒng)計，并支持級聯(lián)方式下的報警數(shù)據(jù)查詢。北信源終端安全管理支持對于VIFR報警、阻斷報警、IP綁定變化、違規(guī)外聯(lián)、設(shè)備變化、流量異常、探頭卸載、病毒行為等事件的報警。報警數(shù)據(jù)查詢策略中心各種報警策略的報警信息查詢，報警信息包括VIFR報警、阻斷報警、IP綁定變化、違規(guī)外聯(lián)、設(shè)備變化、流量異常、探頭卸載、病毒行為、其他報警和違規(guī)上網(wǎng)統(tǒng)計。本地區(qū)域報警數(shù)據(jù)統(tǒng)計統(tǒng)計本地區(qū)域報警數(shù)據(jù)，信息包括非法外聯(lián)、設(shè)備變化、IP綁定變化、探頭被卸載、流量異常和阻斷報警?？梢园磪^(qū)域和時間查詢。本地報警數(shù)據(jù)匯總匯總顯示本級區(qū)域管理器各種報警的次數(shù)等信息。級聯(lián)總控實現(xiàn)多級補丁管理級聯(lián)，上級管理系統(tǒng)能夠查詢下級補丁管理信息。級聯(lián)注冊情況統(tǒng)計查詢由下屬區(qū)域管理器劃分的不同機構(gòu)的客戶端的注冊情況。如設(shè)備總數(shù)、應(yīng)注冊計算機、已注冊計算機、注冊率、在線設(shè)備、安裝殺毒軟件、未打重要補丁等。如下圖所示圖2-SEQ圖2-\*ARABIC22設(shè)備信息統(tǒng)計圖表級聯(lián)設(shè)備資源統(tǒng)計統(tǒng)計級聯(lián)設(shè)備信息，包括操作系統(tǒng)、CPU、系統(tǒng)內(nèi)存、未打補丁和硬盤存儲量，如下圖所示圖2-SEQ圖2-\*ARABIC23級聯(lián)設(shè)備信息級聯(lián)設(shè)備類型統(tǒng)計用于級聯(lián)設(shè)備系統(tǒng)類型統(tǒng)計。如下圖所示圖2-SEQ圖2-\*ARABIC24級聯(lián)設(shè)備系統(tǒng)類型統(tǒng)計級聯(lián)管理控制可以做多級級聯(lián)，方便管理員管理。圖2-SEQ圖2-\*ARABIC25級聯(lián)管理控制點擊下級級聯(lián)管理器，會顯示此管理器的信息，例如管理器IP，管理器名稱，機構(gòu)名稱，運行狀態(tài)信息會自動顯示出來如下圖所示，圖2-SEQ圖2-\*ARABIC26下級級聯(lián)區(qū)域管理器信息點擊“進(jìn)入下級管理平臺”將直接進(jìn)入該管理器的管理平臺。用戶可以之際操作此管理平臺。區(qū)域管理器狀態(tài)查詢用于多級級聯(lián)方式構(gòu)建的系統(tǒng)環(huán)境，在此頁面查看所有下屬管理器運行狀態(tài)，監(jiān)控管理器是否正常運行以及運行的狀態(tài)。圖2-SEQ圖2-\*ARABIC27區(qū)域管理器狀態(tài)信息區(qū)域掃描器狀態(tài)查詢主要用于多級級聯(lián)方式構(gòu)建的系統(tǒng)環(huán)境，查看所有區(qū)域掃描器的運行狀態(tài)。圖2-SEQ圖2-\*ARABIC28區(qū)域掃描器狀態(tài)信息級聯(lián)上報數(shù)據(jù)當(dāng)對下級服務(wù)器下發(fā)了“訂閱級聯(lián)審計數(shù)據(jù)”策略，這里可以查看相應(yīng)的數(shù)據(jù)。圖2-SEQ圖2-\*ARABIC29級聯(lián)上報數(shù)據(jù)級聯(lián)報警數(shù)據(jù)可以查看違規(guī)外聯(lián)事件、其他報警事件和違規(guī)上網(wǎng)統(tǒng)計的數(shù)據(jù)信息。系統(tǒng)維護(hù)系統(tǒng)維護(hù)是用來創(chuàng)建和管理登錄本系統(tǒng)網(wǎng)頁平臺的賬號信息。可以通過系統(tǒng)維護(hù)來添加不同的系統(tǒng)用戶、給系統(tǒng)用戶分配權(quán)限、對系統(tǒng)用戶的密碼進(jìn)行初始化操作；通過它還可以修改管理員的密碼等操作。系統(tǒng)用戶分配與管理用戶列表在系統(tǒng)用戶列表里可以查看到系統(tǒng)用戶的名稱、創(chuàng)建者、用戶類型以及相關(guān)的備注信息。圖2-SEQ圖2-\*ARABIC30系統(tǒng)用戶列表列表中的和代表用戶名稱的排列順序，是采取升序還是降序的方式排列。添加用戶管理員可通過導(dǎo)航菜單的“系統(tǒng)用戶分配與管理”“用戶添加”可以添加不同角色的下級系統(tǒng)用戶。系統(tǒng)用戶的類型為普通用戶，而admin為超級用戶。圖2-SEQ圖2-\*ARABIC31添加系統(tǒng)用戶界面注：用戶名長度必須為3-15個長度的字母、數(shù)字或者中文；密碼長度必須包括字母和數(shù)字，最大長度為20位。用戶管理系統(tǒng)用戶管理區(qū)域列舉了系統(tǒng)用戶的名稱、類型、權(quán)限分配情況、是否有創(chuàng)建子用戶的權(quán)限及其管理操作。圖2-SEQ圖2-\*ARABIC32用戶管理列表權(quán)限分配新分配的用戶默認(rèn)沒有任何管理權(quán)限任何權(quán)限均基于區(qū)域及自定義分組權(quán)限，分配其它權(quán)限前請先為該用戶分配區(qū)域及自定義分組權(quán)限屏幕監(jiān)控權(quán)限基于終端控制權(quán)限的“屏幕監(jiān)控”權(quán)限，分配屏幕監(jiān)控權(quán)限時請先分配該用戶終端控制權(quán)限中的“屏幕監(jiān)控”權(quán)限(admin用戶除外)任何用戶均只能管理與分配上級用戶為其分配的用戶權(quán)限區(qū)域管理權(quán)限系統(tǒng)普通用戶擁有的區(qū)域管理權(quán)限。僅限于該區(qū)域內(nèi)的上報數(shù)據(jù)，包括設(shè)備信息，報警及審計數(shù)據(jù)等?？梢酝ㄟ^勾選“允許控制”項來實現(xiàn)對區(qū)域的管理。組織結(jié)構(gòu)與自定義組權(quán)限系統(tǒng)普通用戶擁有的自定義組管理權(quán)限。可以通過勾選“允許控制”項來實現(xiàn)對區(qū)域的管理。策略控制權(quán)限系統(tǒng)用戶擁有的策略權(quán)限。系統(tǒng)管理員可以通過選擇左側(cè)策略名稱，然后單擊下方【添加策略控制權(quán)限】按鈕實現(xiàn)給其他系統(tǒng)用戶分配其策略權(quán)限。同時可以在策略權(quán)限列表里分配系統(tǒng)用戶的操作權(quán)限（只讀/讀寫）以及刪除權(quán)限。也可以通過上面的【全部設(shè)為只讀】、【全部設(shè)為讀寫】和【全部刪除】三個按鈕對系統(tǒng)用戶進(jìn)行批量權(quán)限控制。終端控制權(quán)限擁有的終端控制權(quán)限，根據(jù)需求分配用戶擁有的權(quán)限，權(quán)限如下圖所示：圖2-SEQ圖2-\*ARABIC33終端控制權(quán)限屏幕監(jiān)控權(quán)限對指定ip或者ip段的終端的屏幕控制權(quán)限，設(shè)置如下圖所示：圖2-SEQ圖2-\*ARABIC34屏幕監(jiān)控權(quán)限其他控制權(quán)限除了區(qū)域管理權(quán)限和策略控制權(quán)限之外，管理員還可以為系統(tǒng)用戶分配其他的控制權(quán)限。如區(qū)域控制權(quán)限、注冊程序打包權(quán)限、用戶組織結(jié)構(gòu)管理等權(quán)限。系統(tǒng)用戶可以根據(jù)管理員給自己分配的權(quán)限實現(xiàn)對服務(wù)器端的管理。密碼初始化在用戶管理頁面，找到要刪除的用戶列表信息，單擊右側(cè)的“密碼初始化”按鈕：彈出提示框：圖2-SEQ圖2-\*ARABIC35密碼初始化提示框單擊【確定】，彈出密碼初始化完成提示框：圖2-SEQ圖2-\*ARABIC36密碼初始化完成提示框單擊【確定】，該系統(tǒng)用戶登錄密碼變?yōu)槌跏济艽a：123456。用戶設(shè)置修改管理員密碼該處密碼修改功能只能對管理員（admin）的密碼進(jìn)行修改操作。其他用戶的密碼修改操作在該處不適用。密碼長度有數(shù)字和字母組成，最大長度為20位圖2-SEQ圖2-\*ARABIC37修改admin用戶密碼IP訪問控制控制指定IP對web平臺的登錄訪問。數(shù)據(jù)重整數(shù)據(jù)重整類似于刷新功能，提供對數(shù)據(jù)庫中數(shù)據(jù)的重新整理，每隔一段時間對系統(tǒng)數(shù)據(jù)庫進(jìn)行重整。圖2-SEQ圖2-\*ARABIC38數(shù)據(jù)重整信息表數(shù)據(jù)重整情況處理分為四種情形：IP和MAC重復(fù)：當(dāng)出現(xiàn)設(shè)備的IP地址和其MAC地址重復(fù)時，則進(jìn)行刪除處理。IP不在區(qū)域范圍內(nèi)：當(dāng)設(shè)備的IP地址不在區(qū)域管理器設(shè)置的區(qū)域范圍內(nèi)時，則對其進(jìn)行刪除處理。長時間未使用：當(dāng)該設(shè)備未使用天數(shù)超過設(shè)置的天數(shù)時，則對其做數(shù)據(jù)重整。區(qū)域IP范圍改變：當(dāng)區(qū)域管理器設(shè)置的區(qū)域IP范圍發(fā)生改變時，則需要重新對數(shù)據(jù)進(jìn)行整理。審計用戶提供對系統(tǒng)管理用戶的操作行為記錄，記錄管理員操作執(zhí)行的策略詳細(xì)內(nèi)容，用審計帳戶audit登錄，密碼123456，如下圖：圖2-SEQ圖2-\*ARABIC39審計用戶登錄系統(tǒng)日志USB標(biāo)簽制作查詢：查詢USB標(biāo)簽制作記錄，包括U盤編號，U盤狀態(tài)、標(biāo)簽和所有人等信息。USB授權(quán)個數(shù)查詢：查詢USB授權(quán)信息，包括USB授權(quán)個數(shù)和USB剩余授權(quán)個數(shù)等信息。用戶操作日志：查詢用戶操作日志，包括操作內(nèi)容和操作時間等信息。用戶登錄日志：詳細(xì)記錄登錄用戶登錄時間、IP地址、登錄用戶名稱等，以備進(jìn)行事后審計。策略操作日志：針對管理員對系統(tǒng)策略的修改、增刪等各種操作進(jìn)行詳細(xì)記錄。

北信源補丁及文件分發(fā)管理系統(tǒng)區(qū)域管理器補丁管理設(shè)置補丁下載配置進(jìn)行補丁分發(fā)管理前，首先需要對區(qū)域管理器的補丁下載管理模塊進(jìn)行設(shè)置：配置管理-->-->高級配置-->補丁下載【補丁路徑】為北信源內(nèi)網(wǎng)安全管理平臺的安裝路徑，下圖為系統(tǒng)默認(rèn)的C:\VRV\，該目錄下的\RegionManage\Distribute\Patch即為補丁下載默認(rèn)的存放路徑，提供給客戶端下載。圖3-SEQ圖3-\*ARABIC1區(qū)域管理器補丁管理設(shè)置參數(shù)說明最大連接數(shù)限制設(shè)置客戶端同時連接區(qū)域管理器并發(fā)下載補丁數(shù)量下載流量限制限制下載補丁時區(qū)域管理器的最大流量值級聯(lián)選項上下級區(qū)域管理器級聯(lián)情況下，設(shè)定上級區(qū)域管理器IP和數(shù)據(jù)通訊端口表3-SEQ表3-\*ARABIC1區(qū)域管理器補丁管理參數(shù)說明補丁級聯(lián)下載功能主要針對在多層級聯(lián)的環(huán)境內(nèi)，各下級區(qū)域在進(jìn)行系統(tǒng)補丁加固時，只需總部從外網(wǎng)上下載補丁后，使用移動存儲設(shè)備從外網(wǎng)拷入系統(tǒng)補丁，其下級區(qū)域無須再額外的從外網(wǎng)上下載系統(tǒng)補丁，其系統(tǒng)補丁均可從總部的服務(wù)器上獲得。使用該功能時要求在下級安裝的區(qū)域管理器的相應(yīng)選項中填寫上級區(qū)域管理器的IP地址，便可方便的獲得系統(tǒng)補丁，并實時和上級區(qū)域的補丁數(shù)量保持一致。從總部下載得到的補丁將存放在\vrv\RegionManage\Distribute\Patch\目錄下保存。文件分發(fā)策略配置經(jīng)過以上配置后，還需要進(jìn)行補丁策略分發(fā)參數(shù)設(shè)置：圖3-SEQ圖3-\*ARABIC2分發(fā)參數(shù)設(shè)置進(jìn)行策略任務(wù)分發(fā)前選擇【啟動策略分發(fā)】和【啟用ping探測】。確定分發(fā)文件所在的路徑，分發(fā)時間間隔、分發(fā)數(shù)據(jù)通訊端口、分發(fā)線程等相關(guān)參數(shù)。如需設(shè)置級聯(lián)，請在級聯(lián)選項中，指定上級區(qū)域管理器級聯(lián)IP地址等，上述部分參數(shù)按照系統(tǒng)默認(rèn)設(shè)置即可。區(qū)域管理器在下發(fā)策略前，先ping一下客戶端，ping通之后再下發(fā)策略。優(yōu)點：效率高；缺點：對于設(shè)置了禁ping的客戶端不起作用。默認(rèn)方式是TCP方式，此方式效率低。策略中心補丁分發(fā)策略補丁自動分發(fā)功能說明：可以實現(xiàn)對補丁按類型、分組自動分發(fā)，并且可以設(shè)置下載前提示、運行前提示、檢測方式等。參數(shù)說明：參數(shù)說明補丁類型分為“system”、“IE”、“應(yīng)用程序”三個選項，分別是針對微軟操作系統(tǒng)、IE瀏覽器、和一些應(yīng)用程序的補丁的分類，在我們的內(nèi)網(wǎng)安全管理系統(tǒng)中，主要是指微軟官方發(fā)布的各種補丁和我們北信源公司發(fā)布的各種安全補丁程序?！暗燃壌笥诘扔凇毕吕藛沃饕肝④浌俜綄ρa丁所帶來的系統(tǒng)風(fēng)險的評估，等級越高，相對應(yīng)的風(fēng)險越高。補丁分組這個模塊是內(nèi)網(wǎng)安全管理系統(tǒng)為了方便管理員對補丁的管理而設(shè)置的分組，管理員可以根據(jù)自己的習(xí)慣將補丁劃分為“A組”、“B組”“C組”三部分，具體的劃分，需要在主系統(tǒng)菜單中的“補丁分發(fā)”菜單中的補丁庫分類列表中制定。補丁測試這里的測試是指當(dāng)補丁下載服務(wù)器根據(jù)配置從網(wǎng)站上下載了補丁后，是否需要在選定的對象計算機內(nèi)作小范圍測試，然后再在整個網(wǎng)絡(luò)環(huán)境中推廣的補丁發(fā)布形式。當(dāng)選中該選項時，自動分發(fā)補丁的設(shè)置和策略不起作用，只能取消測試選項或者在“補丁分發(fā)”菜單中的補丁庫分類列表中選定相應(yīng)補丁，然后點選頁面左上角的“允許下載補定”選項也可以達(dá)到補丁的目的。還可以采用下面的“人工選擇補丁分發(fā)”策略來達(dá)到向全網(wǎng)絡(luò)發(fā)布補丁的目的。運行設(shè)定后臺運行：是指不提示客戶端，不顯示程序界面，直接在客戶端后臺運行的處理策略。其中的“運行優(yōu)先級”的從低到高，是指當(dāng)補丁程序在后臺運行中，對計算機整體系統(tǒng)資源占用的比例也是從低到高的。下載前提示，是指在客戶端下載補丁之前，在其顯示界面上彈出管理員設(shè)定的信息。下載完成后提示并執(zhí)行，是指客戶端完成下載指定補丁，并且在其顯示界面上彈出管理員設(shè)定的信息，同時執(zhí)行補丁安裝程序。檢測方式“啟動時檢測”，是指在計算機啟動時，進(jìn)行新補丁程序信息的檢測；“停止檢測”，是指不檢測補丁服務(wù)器中的新補丁程序信息；“定時檢測”，是指設(shè)定計算機定期定時去進(jìn)行新補丁程序信息的檢測；“間隔檢測”，是指每隔設(shè)定的時間段進(jìn)行新補丁程序信息的檢測。出錯處理點選“下載失敗重試”復(fù)選框，則客戶端如果不能從服務(wù)端成功下載策略規(guī)定的補丁，就進(jìn)行重試操作，重試的次數(shù)和重試間隔填入后邊的空白處即可。表3-SEQ表3-\*ARABIC2補丁自動分發(fā)策略參數(shù)說明策略實例：圖3-SEQ圖3-\*ARABIC3補丁自動分發(fā)注意事項：1．補丁安裝使用后臺運行方式時，設(shè)定的優(yōu)先級要適當(dāng)，避免影響客戶端的正常使用。2．關(guān)于測試選項，希望大家詳細(xì)看看注釋和設(shè)置說明，以免影響補丁程序的正常升級。人工選擇補丁分發(fā)功能說明：通過策略提供客戶端補丁的管理員手工設(shè)定的下載及安裝，可設(shè)置補丁探測時間，運行參數(shù)及運行形式。基于分發(fā)時間、補丁檢測周期等進(jìn)行策略制訂，策略發(fā)送到網(wǎng)絡(luò)客戶端后，客戶端注冊程序統(tǒng)一執(zhí)行補丁應(yīng)用策略。參數(shù)說明：參數(shù)說明命令行參數(shù)如果需要執(zhí)行該補丁自帶的某些選項的話，比如說，自動安裝等等，需要設(shè)置這里的命令行參數(shù)。具體的命令行參數(shù)可以在該補丁的說明書中找到，或者在Ms-Dos窗口中敲入該補丁文件名加“/”參數(shù)進(jìn)行查詢。運行設(shè)置“后臺運行”：是指不提示客戶端，不顯示程序界面，直接在客戶端后臺運行的處理策略。其中的“運行優(yōu)先級”的從低到高，是指當(dāng)補丁程序在后臺運行中，對計算機整體系統(tǒng)資源占用的比例也是從低到高的?！跋螺d前提示”，是指在客戶端下載補丁之前，在其顯示界面上彈出管理員設(shè)定的信息?！跋螺d完成后提示并執(zhí)行”，是指客戶端完成下載指定補丁，并且在其顯示界面上彈出管理員設(shè)定的信息，同時執(zhí)行補丁安裝程序。檢測方式“停止檢測”，是指不檢測補丁服務(wù)器中的新補丁程序信息；“啟動時檢測”，是指在計算機啟動時，進(jìn)行新補丁程序信息的檢測；“定時檢測”，是指設(shè)定計算機定期定時去進(jìn)行新補丁程序信息的檢測；“間隔檢測”，是指每隔設(shè)定的時間段進(jìn)行新補丁程序信息的檢測。出錯處理點選“下載失敗重試”復(fù)選框，則客戶端如果不能從服務(wù)端成功下載策略規(guī)定的補丁，就進(jìn)行重試操作，重試的次數(shù)和重試間隔填入后邊的空白處即可。表3-SEQ表3-\*ARABIC3人工選擇補丁分發(fā)策略參數(shù)說明注意事項：1．注意此處設(shè)定的策略，不要與補丁自動分發(fā)策略中的設(shè)置相沖突。軟件分發(fā)策略功能說明：提供服務(wù)器向客戶端分發(fā)各種文件，如可執(zhí)行文件并可以自動運行，服務(wù)器端可以選擇分發(fā)的目標(biāo)路徑、設(shè)定運行參數(shù)、是否后臺運行，同時向客戶端發(fā)送提示信息。注：上傳文件的終端需要注冊。參數(shù)說明：參數(shù)說明保存目標(biāo)路徑文件分發(fā)到客戶端后，在客戶端保存該文件的位置，要手動輸入。命令行參數(shù)定分發(fā)完成后運行，如果需要該程序執(zhí)行自帶的某些功能的話，比如說，自動安裝等等，需要設(shè)置這里的命令行參數(shù)。具體的命令行參數(shù)可以在該軟件的軟件說明書中找到，或者在Ms-Dos窗口中敲入該命令加“/”參數(shù)進(jìn)行查詢?！斑\行前提示”，是指在客戶端下載完成后，通過內(nèi)網(wǎng)管理系統(tǒng)使其自動運行時，管理員設(shè)置的在客戶端彈出的消息窗口內(nèi)容?！爸貜?fù)執(zhí)行”，是指在客戶端每次開機執(zhí)行一次發(fā)布的文件，一般用于一些程序的升級。“后臺運行”，是指不提示客戶端，不顯示程序界面，直接在客戶端后臺運行的處理策略。表3-SEQ表3-\*ARABIC4普通文件分發(fā)策略參數(shù)說明具體操作：點擊【瀏覽】選擇需要分發(fā)的文件后，單擊【開始上傳】按鈕，待上傳完畢后即可在【文件名】處的下拉框中選擇預(yù)分發(fā)的文件（也可以一次上傳多個文件）。最后單擊【保存策略】按鈕，待依次指定對象和啟用策略后，該策略則開始生效。文件完全分發(fā)到客戶端需依照文件大小決定。分發(fā)完后根據(jù)條件進(jìn)行安裝文件檢測，確定文件安裝成功。注意事項：1．上傳文件時注意：必須是已注冊本服務(wù)器的客戶端；不上傳桌面上的文件，上傳不會成功；IE7等瀏覽器的安全級別調(diào)至中或者中低；2．如果誤上傳了需要分發(fā)的文件，管理員可以到Web管理平臺安裝的計算機上進(jìn)入\vrv\regionmanage\distribute\software\目錄下手動刪除該文件即可。其他策略終端配置策略、管理器策略、按對象分配策略、策略下發(fā)查詢請參照第二章北信源內(nèi)網(wǎng)安全管理系統(tǒng)的策略中心中的對應(yīng)項。補丁分發(fā)補丁的來源可使用北信源補丁下載服務(wù)器從軟件廠商網(wǎng)站獲取補丁索引及補丁，直接或通過移動存儲設(shè)備，導(dǎo)入內(nèi)網(wǎng)區(qū)域管理器的補丁分發(fā)目錄進(jìn)行客戶端補丁自動分發(fā)，客戶端將獲取的補丁放在本地%windir%\system32\distribute目錄下，下載后可自動安裝，安裝后會自動刪除安裝文件。補丁庫分類列表：對補丁進(jìn)行分類顯示，設(shè)置補丁檢測頁面的運行參數(shù)；支持多種方式對補丁分發(fā)結(jié)果信息進(jìn)行查詢。補丁下載設(shè)置：當(dāng)客戶端訪問補丁檢測中心時，檢測客戶端是否安裝了探頭，未安裝時設(shè)置響應(yīng)的提示信息。本地補丁分發(fā)查詢：可按系統(tǒng)提供的多個查詢條件例如所屬區(qū)域、操作系統(tǒng)等對指定區(qū)域的網(wǎng)絡(luò)終端進(jìn)行補丁安裝狀況查詢。本地補丁分發(fā)統(tǒng)計：可以對某個補丁、某個區(qū)域、某個組、某個時間段的分發(fā)情況進(jìn)行統(tǒng)計。本地已安裝補丁統(tǒng)計：對本地已安裝補丁數(shù)進(jìn)行全面的統(tǒng)計，對每個級別的補丁數(shù)做出統(tǒng)計。本地未安裝補丁統(tǒng)計：對本地未安裝補丁數(shù)進(jìn)行全面的統(tǒng)計，對每個級別的補丁數(shù)做出統(tǒng)計。本地漏洞計算機統(tǒng)計：對選定的區(qū)域中的客戶端進(jìn)行漏洞統(tǒng)計，統(tǒng)計出存在高風(fēng)險漏洞、中風(fēng)險漏洞、低風(fēng)險漏洞的終端數(shù)。級聯(lián)補丁分發(fā)查詢：可以按IP地址、補丁號和下載補丁時間查詢級聯(lián)補丁的分發(fā)情況。級聯(lián)已安裝補丁統(tǒng)計：統(tǒng)計級聯(lián)已安裝補丁，信息包括每個級別補丁數(shù)，未安裝設(shè)備總數(shù)和下載補丁數(shù)量等。級聯(lián)未安裝補丁統(tǒng)計：統(tǒng)計級聯(lián)未安裝補丁，信息包括每個級別補丁數(shù)，未安裝設(shè)備總數(shù)和下載補丁數(shù)量等。補丁自動下載分發(fā)北信源終端安全管理支持對微軟操作系統(tǒng)發(fā)布補丁的統(tǒng)一分發(fā)，并且用戶可使用此系統(tǒng)進(jìn)行級聯(lián)方式的補丁自動分發(fā)安裝和監(jiān)控。統(tǒng)一補丁分發(fā)通過北信源補丁下載服務(wù)器（互聯(lián)網(wǎng)）從互聯(lián)網(wǎng)下載所有補丁。對于物理隔離的內(nèi)部網(wǎng)絡(luò)，其補丁升級服務(wù)器中的補丁數(shù)據(jù)必須從外部獲得，因此，要求在Internet上進(jìn)行補丁下載