西科分布式网络信息安全系统

1、西西科科分分布布式式网网络络信信息息安安全全系系统统(XKI distributed network information security system)管理端用户手册管理端用户手册南京智码信息技术有限公司2010 年 8 月目录目录第一章第一章 产品简介产品简介.41.1 西科简介.41.2 西科分布式网络安全防护系统产品简介.41.2.1 系统框架.51.2.2 系统特点.6第二章第二章 服务器服务器.72.1 服务器的安装.72.1.1 安装服务器.72.1.2 安装 SQL SERVER2000 .102.1.3 创建 SafeSys 数据库.222.2 启动停止服务.232.3

2、数据库维护.242.3.1 备份数据库.242.2.2 恢复数据库.25第三章第三章 管理控制台管理控制台.273.1 控制台安装.273.1.1 安装.273.1.2 进入管理控制台.293.1.3 修改密码.313.1.4 用户解锁.323.1.5 系统注册.333.2 机构配置.333.3 部门管理人员的配置.373.4 基本策略的操作.383.4.1 基本策略.393.4.2 分组策略.393.4.3 基本安全策略.403.5 端口策略的操作.413.6 网络控制策略的操作.433.7 接入控制策略的操作.523.8 资源控制.543.8.1 资源控制策略的操作.543.8.2 资源监

3、控控制台.56第四章第四章 移动盘注册控制台移动盘注册控制台.594.1 移动盘注册控制台安装.594.1.1 安装.594.1.2 修改密码.614.1.3U 盘管理人员配置.624.2 启用 SAFESTOR策略.634.3 使用移动盘注册.634.3.1U 盘策略配置.634.3.2 注册 U 盘.65第五章第五章 审计控制台审计控制台.675.1 审计控制台安装.675.1.1 安装.675.1.2 修改密码.675.2 下发审计策略.685.3 针对系统管理员的审计.695.3.1 审计人员配置.695.3.2 审计管理员操作.715.4.针对客户端的审计.715.4.1 端口审计.

4、715.4.2 网络审计.725.4.3 客户事件审计.735.4.4 账户审计.745.5 单机版客户端的打包与审计.74单机版审计信息的收集.75第一章第一章 产品简介产品简介1.1 西科简介西科简介南京智码信息技术有限公司位于国家级高新技术产业开发区内，注册资本 1100 万元人民币，是由数位国内重点院校和科研院所在信息安全领域内的学科和项目带头人为核心发起成立的一家专业从事计算机网络信息安全技术研究、软硬件产品开发、生产、销售、系统集成与咨询服务于一体的高新技术企业。西科自创立起就秉承“安全、责任、事业”的使命，形成了由业内资深专家、教授等组成的技术团队，先后承接了多项前瞻性的课题研究

5、项目，如：动态密码技术、Windows内核嵌入与数据融合技术、DLM 数据生命周期管理技术、分布式网络访问控制技术、端口加密控制技术、透明加密技术、安全存储控制技术、黑洞技术、蜜网技术、流量分析技术、软件安全漏洞挖掘技术等，为西科积累了深厚的技术资源。同时，西科与国内外多家网络信息安全研究领域的权威机构建立了长期稳定的战略合作伙伴关系，时刻走在网络信息安全技术的最前沿。西科依托雄厚的技术力量和对网络信息安全市场的深刻理解，整合了多年来积累的技术资源，从保护整个数据生命周期过程以及运行环境安全出发，开发出集身份认证管理、文档保护、文件保护、磁盘保护、数据安全备份、数据传输保护、数据销毁、端口控制

6、管理、分布式防火墙、补丁及文件分发管理、移动存储设备管理、单机安全保护与管理、资源与运行管理、监控审计管理等功能于一体的XKI 西科分布式网络信息安全系统 。经过不断的发展和完善，已拥有了完整的信息安全产品体系以及广泛涉及航空、航天、国防、军工、政府、机械、能源、化工、教育以及食品安全等各行业的成功客户，并受到国家权威检测机构及用户的一致好评。面向未来，西科人将充分利用已形成的研发、技术、产品、品牌、市场及人才优势，继续深入“以市场需求为导向，以技术创新为动力，以客户服务为中心” 经营理念，与合作伙伴共同成长，立志将 XKI 西科打造成国际信息安全产业领域内的一流品牌。1.2 西科分布式网络安

7、全防护系统产品简介西科分布式网络安全防护系统产品简介西科分布式网络信息安全系统 （XKI distributed network information security system） ，简称西科信息安全系统，是一套基于西科分布式网络信息安全平台和融合了最新信息技术及安全管理理念于一体的信息安全产品。系统采用了高度模块化设计，包含了身份认证管理、文档保护、文件保护、磁盘保护、数据安全备份、数据传输保护、敏感数据检查、数据销毁、端口控制管理、分布式防火墙、移动存储设备管理、单机安全保护与管理、资源与运行管理、监控审计管理十四个子系统组成，构建了全面的内网信息安全体系，使得用户的网络行为管理更规

8、范，实现了对内网安全的全面管理、控制、监督、决策。1.2.1 系统框架系统框架本系统在设计上从信息安全理论和系统论出发，遵循信息安全的“木桶理论”原则（不能有漏洞） 、 “人本理论”原则（易用好管） ， “防护为本”原则（事前防范重于事后追踪） ，利用现代密码学技术、PKI 技术、Windows 内核技术、BlOS 调用技术、截获技术、访问控制技术、审计跟踪等技术手段等独特的核心技术，针对计算机信息安全系统，从网络层管理到数据产生、存储、流转（传输） 、销毁直至系统末梢端口控制等各个环节可能发生的窃密和泄密途径，采取了完整缜密的技术安全防范措施，最大限度保证计算机及其网络重要信息的安全。本系统

9、以“外面攻不进，内部发不出，内外皆防”的设计理念为出发点，使各子系统有机协作，层层落实，环环相扣，以此实现整个网络系统信息安全的桶状保护。没有相应的授权，无法通过本机、网络或其它途径进入系统； 没有相应的口令，他人无法看到计算机中的敏感数据； 没有相应的准许，别人无法通过软盘、盘或网络等途径拷走文件； 没有相应的许可，拷走的文件是受保护的，无法打开与使用。西科分布式网络信息安全系统采用 C/S 模式，为满足各方面用户需求，本产品分为网络版和单机版产品，其在性能上保持一致。本产品系统由以下三部分组成：服务器、控制台和受控客户端。服务器：包括服务器端软件和支持数据库，是本系统的核心部分，建立多个客

10、户端（受控制的个人计算机）与系统的连接，实现对多个客户端的管理与策略分发，以此完成整个系统的信息交互；控制台：是管理员对系统进行配置操作的平台。实现客户端管理、参数配置、策略制定与分发。控制台采用分权分级的授权模式，严格限制对 U 盘、移动硬盘等存储介质的管理与使用，以提高敏感数据的安全性；客户端：是安装于受控主机上的监测软件，强制执行来自管理员从服务器下发的安全策略和管理命令。客户端模块会根据策略设置对移动介质运行状态进行检查与管理。受控客户端软件完全透明，本地用户不可卸载、不可绕过以及非法关闭监控程序。非法进不去非法进不去进去看不见进去看不见看见拿不走看见拿不走拿走打不开拿走打不开1.2.

11、2 系统系统特点特点系统安装后看不见，摸不着，用户不可破解。在内核中实现，不能卸载、不可绕过。从端口拷贝数据自动保护，写数据正常导入。软硬结合的一体化实现。内外皆防的设计理念。集中式的管理、分布式的防火。稳定的大数据加解密处理能力。可控制网络连接及无线上网，或通或断。在笔记本上使用本系统，可防止因丢失造成信息泄漏。 图 1.1 工作原理图 本系统安装后透明使用，用户没有任何感知与不便。强制安装与统一维护的管理模式。从工作原理图可以看出， 当计算机安装了本系统之后，该计算机的端口、磁盘、内部储存的静态信息、流入/流出的动态信息，都处于本系统严密实时的安全保护之中。第二章第二章 服务器服务器2.1

12、 服务器的安装服务器的安装2.1.1 安装服务器安装服务器1.进入安装光盘 XKIServer 目录下，双击“Setup.exe”执行安装程序，本系统会自动检测您的电脑上是否安装了.NET Framework2.0(x86)环境，如果没有安装，会自动弹出安装窗口（图 2.1 所示）图 2.12.点击 【接受 】 。 （图 2.2 所示）图 2.23.NET Framework2.0(x86)环境安装完成后，会自动进行 XKI_Server 的安装。 （图 2.3所示）图 2.34.点击【下一步】 。 （图 2.4 所示）图 2.45.选择安装目录和使用者，点击【下一步】 。 （图 2.5 所示

13、）图 2.56.点击【下一步】 ，完成安装。 （图 2.6 所示）图 安装安装 SQL Server20001.1.进入 SQL Server2000 安装光盘。 （图 2.7 所示）图 2.72.2.选择安装 SQL Server2000 简体中文企业版。 （图 2.8 所示）图 2.83.3.点击【安装 SQL Server2000 组件】 ，进入图 2.9 所示安装界面：图 2.94.4.点击【安装数据库服务器】 ，进入图 2.10 所示安装界面：图 2.105.5.点击【下一步】 ，进入图 2.11 所示安装界面：图 2.116.6.选择本地计算机，点击【下一步】 。

14、 （图 2.12 所示）图 2.127.7.选择【创建新的 SQL Server 实例，】点击【下一步】 。 （图 2.13 所示） 注意：如果出现错误提示：“以前的某个程序安装已在安装计算机上创建挂起的文件操作。运行安装程序之前必须重新启动计算机” ，请运行 Regedit，打开注册表，定位到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager”中，将键值“PendingFileRenameOperations 删除。图 2.138.8.点击【下一步】 。 （图 2.14 所示）图 2.149.9.点击【是】 ，接受

15、条款，进入图 2.15 所示安装界面：图 2.1510.10. 选择【服务器和客户端工具】 ，点击【下一步】 ，进入图 2.16 所示安装界面：图 2.1611.11. 选择【默认】 ，点击【下一步】 ，弹出图 2.17 所示安装界面：图 2.1712.12. 选择【典型】 ，选择安装目录（推荐选择非系统分区，方便以后进行数据库的备份，还原操作） ，点击【下一步】 ，弹出图 2.18 所示的安装界面：图 2.1813.13. 在【服务设置】中选择【使用本地系统账户】 ，点击【下一步】 ，进入图 2.19 所示安装界面：图 2.1914. 选择【混合模式】 ，输入密码，点击【下一步】 。 （图

16、2.20 所示）注意：必须选择混合模式，否则 XKIServer 程序无法访问 SQL Server。图 2.2015.15. 点击【下一步】 ，弹出图 2.21 所示安装界面：图 2.2116.16. 选择【每客户】 ，输入设备数（推荐为 5） ，点击【继续】 。 （图 2.22）图 2.2217.17. 点击【完成】 ，SQL Server2000 安装完毕。18.18. 重启计算机后，安装 SQL Server 2000 Service Pack 4。 （图 2.23）图 2.2319. 点击【下一步】 。 （图 2.24）图 2.2420. 点击【是】 。 （图 2.25）（图 2.2

17、5）21. 点击【下一步】 。 （图 2.26）图 2.2622. 选择【Windows 身份验证】 ，点击【下一步】 。 （图 2.27）图 2.2723. 选择【升级 Microsoft Search 并应用 SQL Server 2000 SP4】 ，点击【继续】 。 （图2.28）图 2.2824. 点击【确定】 。 （图 2.29）图 2.2925. 点击【下一步】 。 （图 2.30）图 2.3026. 点击【确定】 。 （图 2.31）图 2.3127. 点击【完成】 。.3 创建创建 SafeSysSafeSys 数据库数据库运行 SQL Server 2000

18、，点击“查询分析器” ，如图 2.32 所示：图 2.32选择任意验证方式，点击【确定】 ，进入“查询分析器” ，在查询分析器中打开C:Program FilesXKIXKI_ServerDatassafesys 脚本文件。如图 2.33 所示：图 2.33点击【查询执行】或者直接按【F5】 ，等待，完成数据库的创建。 （图 2.34）图 2.342.2 启动停止服务启动停止服务当 SafeSys 数据库安装完成后，需要重启计算机。本系统默认开机自动启动，在windows 桌面的右下角有一个 图标，右键点击，可以启动或者关闭服务，还可以查看启动信息，如图 2.35 所示。这里如果没有启动服务，

19、在就不能登录管理器。图 2.352.3 数据库维护数据库维护当本系统正常运行后，会添加公司中很多客户端的信息，而这些信息都保存在 SafeSys数据库中，一旦进行了错误的操作或者他人有意破坏了数据库，将会造成不可估量的损失。因此需要对数据库定期进行备份，以便被破坏之后进行还原。2.3.1 备份数据库备份数据库在安装了“XKI 西科分布式网络信息安全系统管理控制台” （见第三章）之后，会在【开始】-【程序】-【XKI 分布式网络信息安全系统】目录下生成“XKI数据库备份与还原工具” ，单击进入该工具使用界面，选择备份数据表， （如图 2.36 所示）图 2.36选择需要备份的数据表，点击右上角“

20、首选项” 。 （图 2.37 所示）图 2.37在“数据库服务器”中填写安装 SafeSys 数据库的计算机 IP 地址，单击【测试】 ，查看是否能够连接到数据库服务器，点击【应用】 。 （“缺省备份文件夹”是存储数据库备份文件的文件夹，默认是 XKI_Manager 目录下的 Backup 文件夹中,建议备份到非系统分区）在进行数据库备份时，请先停止 XKIServer 服务器和 SQL Server2000 数据库服务器，否则会丢失数据，甚至造成备份后的数据库无法被恢复。在图 2.36 所示界面中选择需要备份的数据库表。选择完成之后，单击【备份】将选定数据表进行备份操作，最下面的进度条提示

21、备份进度。备份完成之后，单击【退出】 。 SafeSys 数据库记录了本系统运行过程中得到的或者所需的大部分数据，建议系统管理员定期进行备份操作。2.2.2 恢复数据库恢复数据库一旦 SafeSys 数据库遭到破坏，就需要将数据库恢复到之前的某一个时候的状态。由【开始】-【程序】-【XKI 分布式网络信息安全系统】-【XKI数据库备份与还原工具】 ，单击【恢复数据库表】标签，显示图 2.38 所示操作界面：图 2.38单击【选择备份文件】 ，进入数据表选择框，如图 2.39 所示：图 2.39按住“Ctrl”键同时选择多个数据表，完成之后，单击【打开】选中的条目添加在图2.38 所示的目录中，

22、点击【恢复】按钮即可进行恢复操作，界面最下部分会显示恢复的进度，完成之后会进行提示。第三章第三章 管理控制台管理控制台3.1 控制台安装控制台安装3.1.1 安装安装1.1.进入安装光盘 XKIManager 目录下，双击“Setup.exe”执行安装程序，弹出如图 3.1所示的安装界面：图 3.12.2.点击【下一步】 ，进入图 3.2 所示安装界面：图 3.23.3.选择安装文件夹和使用权限，点击【下一步】 ，进入图 3.3 所示的安装界面：图 3.34.4.点击【下一步】完成安装，如图 3.4 所示：图 3.45.5.点击【关闭】 ，管理控制台安装完成。3.1.2 进入管理控制台进入管理

23、控制台在开始菜单的程序目录中，选择 XKI分布式网络信息安全系统，如图 3.5 所示：图 3.5运行“XKI分布式网络信息安全系统管理器” ，弹出（如图 3.6 所示）登录界面：图 3.6系统默认初次登陆控制台的用户名和密码都是：“adminadmin” 。填写主机服务器所在的 IP地址，如：12，单击【确定】 ，进入系统（如不能登陆请确认服务器是否启动） 。首次登陆成功后，需要立即更改密码，如图 3.7 所示：图 3.7本系统对管理员的密码设置较为严格， （需要至少 10 个字符，其中包括数字和特殊字符） 。输入符合要求的密码，单击【确定】按钮，会进入图 3.8 所示的

24、控制台界面，否则需要继续输入合适的密码。图 修改密码修改密码初次登陆密码被设定以后，如果在使用过程中，发现密码出现某些异常情况，可在管理控制台界面上工具栏中单击【文件】标签，选择修改密码，新密码的要求如 3.1.2 节中所述。3.1.4 用户解锁用户解锁当登陆控制台，密码输入错误超过 5 次（系统默认 5 次）后，系统就会锁定此用户。 （图3.9 所示）（当控制台用户被锁定时，可以登陆其他控制台来进行解锁）图 3.9此时可登陆“移动盘注册控制台”或“审计控制台”进行解锁。 （如图 3.10 所示）图 系统注册系统注册在本系统未被注册之前，只能支持 5 个客

25、户端，需要被注册，才能支持更多客户端。点击管理控制台界面上的工具栏中的【帮助】标签，输入正确的验证码方可注册成功。 （图3.11）图 3.113.2 机构配置机构配置点击控制台左侧【运行监控】 ，进入公司部门构架界面。 （如图 3.12 所示）图 3.12【增加部门】：选择左侧的上级部门，点击右键选择增加子部门，输入正确的相关信息，如图 3.13 所示：图 3.13【修改部门】选择部门，右键选择【修改部门】 ，重新输入正确的相关信息，点击保存。【删除部门】选择部门，右键选择【删除部门】 。【清空硬件标识】：将生成的客户端硬件信息清空。【同步策略】：同步某一部门客户端的策略信息。【增加人员】：选

26、择部门，点击右键选择增加用户，弹出如图 3.14 所示的界面图 3.14图示中的 MAC 地址和硬件信息是系统在正常连接到客户端之后自动添加的，无需管理人员填写。【扫描】：针对较大的公司，需要一次性将很多已安装客户端的计算机同时添加进入系统，使用扫描，让系统自动侦测位于某两个 ip 之间的所有已安装客户端的计算机，点击之后，弹出如图 3.15 所示的界面：图 3.15用户界面操作用户界面操作图 3.16【刷新刷新】:刷新用户信息【导出导出】：以文本的形式导出用户信息【用户状态用户状态】:正常运行中，用户的状态有：正常、待机、缺失等三种情况正常运行中，用户的状态有：正常、待机、缺失等三种情况正常

27、：正常：客户端运行的模块和服务器分配给它的模块一样，并且网络都畅通；缺失：缺失：策略正在下发中待机：待机：客户端计算机处于关机状态或和服务器的网络断开（如果是手动添加的客户端，请确认客户端是否安装或安装正确）其他状态其他状态单机单机：导出的单机客户端的信息版本错误版本错误：客户端的版本错误卸载卸载：从服务器卸载的客户端【查找用户查找用户】：输入用户的姓名，按 F3 可进行查找【显示显示】：选择显示客户端的信息(图 3.16)图 3.17选择用户点击右键。 （图 3.17）【显示详细信息】：显示用户和策略应用信息【修改】:修改用户和策略应用信息【卸载】：卸载客户端（当用户状态正常时，可以通过控制

28、台来卸载客户端）【恢复】：恢复用户删除的用户【删除】：删除用户【转移部门】：把用户转移到其它部门【导出安装程序】：导出单机客户端的安装程序3.3 部门管理人员的配置部门管理人员的配置点击位于控制台左侧的【系统管理】标签，选择【人员设置】 ，弹出如图 3.18 所示的界面：图 3.18 当公司机构设置较为复杂的时候，一个控制台管理员很难有效管理所有部门与人员，因此设置某一个部门的管理员是很有必要的，部门管理员只能管理超级管理员赋予它的所辖部门的子部门和人员。超级管理员可以增加，修改和删除子部门管理员，没有管理审计员和 U 盘管理员的权限。超级管理员新添加的部门管理员可以使用设定好的用户名和密码登

29、陆，管理权限是超级管理员所设定的，不能更改。3.4 基本策略的操作基本策略的操作本系统中，服务器需要给客户端使用一些基本的策略去控制客户端的运行情况和配置服务器与客户端之间的信息交互情况。在增加和修改部门以及人员的时候，需要应用这些基本策略，如图图 3.19 中被蓝色椭圆标注的这一块所示：图 3.19【可以启动安全模式】 、 【可以改 IP 地址】 、 【可以改 IP 地址】默人情况下是不允许的【单击运行】用于生成单机客户端的安装程序。 如果【自动安装和升级应用模块】不选的话，那么在版本升级的时候客户端不会自动升级的。策略介绍策略介绍【SafePort】:端口策略【SafeNet】:网络控制策

30、略【SafeLink】:接入控制策略【SafeRes】:资源控制策略【SafeStor】:移动盘注册使用策略【SafeDisk】:磁盘保护策略【SafeFile】:文件保护策略全局在线策略全局在线策略: :当前在线使用的策略部门在线策略：部门在线策略：优先权大于全局在线策略离线策略：离线策略：客户端和服务器断开网络连接或客户端关机后自动应用的策略3.4.1 基本策略基本策略单击管理控制台【系统管理】标签下面的【基本策略】选项，弹出如图 3.20 所示的配置基本策略页面：图 3.20客户卸载密码：是客户端卸载时所用的密码。客户连接周期：根据客户端的数量而定。 （建议设置为 180 秒）服务器连接

31、测试周期：根据客户端的数量而定。 （建议设置时间为 30 秒）客户端连接时自动增加用户：选上后，安装客户端的计算机自动添加进来，用于部署时。全部客户端正常运行后，建议去除此选项，因为选择此项时，无法完全卸载客户端程序。管理员密码最少长度：是规范管理员设置密码的长度。测试次数：用户输入密码错误超过 5 后就会锁定此用户。3.4.2 分组策略分组策略分组策略用于端口输出加密时，加密后的文件拷贝至同一分组策略下的计算机，自动解密。单击管理控制台【系统管理】标签下面的【分组策略】选项，弹出如图 3.21 所示页面：图 3.21增加策略：在窗口中点击【增加分组】 ，输入正确的信息，点【保存】 。修改策略

32、：可以修改任何已存在的分组策略。删除策略：可以删除未在被使用的分组策略，否则无法删除。注意：1、为了安全起见，建议随机生成密码，密码将有 40 位。2、整个系统正常运行后，切忌随意更改【分组策略】 ，防止拷贝至移动存储介质中的加密数据无法还原。3.4.3 基本安全策略基本安全策略单击管理控制台【系统管理】标签下面的【基本安全策略】选项，弹出如图 3. 22 所示页面：图 3.22【强制客户端同步服务器时间】：当审计客户端操作的时候，需要看到正确的时间，点击这个选项可保证客户端，服务器的时间同步。【基本安全策略】：强制客户端密码的设置情况，是否可自主安装卸载软件等。【基本审计策略】：对客户端审计

33、的选项，包括是否进行上网审计，文件操作审计等。需要注意的是，文件操作审计只能针对磁盘中的某一个分区，例如 d:。【程序黑名单】：禁止客户端运行的程序（需填程序源文件名，回车键隔开）注册表：将整个注册表项写入该编辑器内即可。如：禁止修改 IP 地址；添加可信任站点；允许自动安装控件；允许 IE 弹出窗口等。组策略：将整个组策略信息写入该编辑器内配置相应的“本地计算机”策略。3.5 端口策略的操作端口策略的操作单击管理控制台【系统管理】标签下面的【端口控制策略】选项，进入端口策略设置界面，如图 3.23 所示：图 3.23增加端口策略单击【增加策略】 ，配置相关策略，输入策略名并设置好启用项目，单

34、击【保存】保存新注册的策略。如图 3.24 所示：图 3.24A, 基本配置：【启用移动盘注册使用机制】：选择此项后，外来非注册 U 盘（或 USB 储存介质）将无法在内部环境使用。【与服务器网络不通时，关闭其全部端口】：当客户端与服务器网络不通时，系统会自动禁止全部端口【不检查设备端口配置】：不检查客户端的端口配置B, 存储设备配置：每种存储设备有（禁止、只读、加密、正常读写）4 种状态【禁止】：不启用【只读】：只能读取，不能写入【保护】：输出时自动透明加密，拷贝回硬盘后自动解密。【正常读写】：正常读写C, 网络共享配置：禁用文件共享打印机共享等等D, 端口设备配置：禁用串口、并口、打印机、

35、红外/蓝牙、IEEE1394 口、PCMCIA 口、Modem/Wireless 等修改端口策略可以修改任何已存在的端口策略。删除端口策略可以删除未正在使用的端口策略，否则无法删除。3.6 网络控制策略的操作网络控制策略的操作单击管理控制台【系统管理】标签下面的【网络控制策略】选项，进入网络策略设置界面，如图 3.25 所示：图 3.25增加策略增加策略单击【增加策略】 ，弹出图 3.26 所示界面，包括【常规】 ， 【访问】 ， 【服务】 ， 【自定义】 ，【高级】 ， 【web 策略】选项。图 3.26A.【常规】网络策略的基本设置，如图 3.26 所示。策略名：策略名：所要增加策略的标识

36、名。客户端配置：客户端配置：与服务器网络不通时，禁止其网络连接当客户端与服务器网络不通的时候，客户端自动断开网络连接。缺省访问策略：缺省访问策略：禁止网络数据包通过不满足访问，服务，自定义，高级策略的数据包，将禁止通过；允许网络数据包通过不满足访问，服务，自定义，高级策略的数据包，将允许通过。网络策略顺序：网络策略顺序：通过【上移】 ， 【下移】可以设定访问策略，服务策略，自定义策略，自定义命令的先后执行次序。显示策略命令：显示策略命令：对设计好的策略命令以 DOS 命令行的形式显示，以便掌握全局策略设置情况。B. 【访问】允许客户端可以访问的对象，如图 3.27 所示：图 3.27【增加】单

37、击【增加】出现访问策略配置窗口，如图 3.28 所示：图 3.28服务类型：服务类型：预定义服务系统内置的定义，包括常见的 CVS,HTTP,FTP 等服务。自定义服务用户自己定义的服务，提供常见的 TCP,IP,UDP,TCP/UDP。服务名称用户自己定义的服务名称。通讯协议用户自己定义服务所使用的通讯协议。启用状态检测是否启用后面的本地最大连接数。本地最大连接数本地计算机可以使用向外最大的连接数。本地端口：本地端口：任意端口不限制。自定义端口对端口进行限制，如： 1900：本次服务只能通过此端口向外发送。 1920-1922：本此服务可以使用 1920 到 1922 之间的端口发送。目标地

38、址：目标地址：（指本次服务要访问的目的地址）本计算机对自身进行访问，一般做测试用。任意计算机不对其进行限制。自定义列表1：单个计算机；02/：这台计算机所在的网段。目标端口：目标端口：（服务所能访问的外地计算机端口号）任意端口不限制。自定义端口对端口进行限制，如： 1900：本次服务只能接受此端口发送来的信息。 1920-1922：本次服务可以接收 1920 到 1922 之间的端口发送来的信息。【修改】对策略内容进行修改【删除】删除选定的策略，正在使用的策略无法删除。【显示命令】对设定好的策略以 DOS 命令的形式显示

39、。【上移】 ， 【下移】设置命令的先后执行次序C.【服务】本机对外提供的服务，设置同【访问】 。D.【自定义】对【访问】或者【服务】中无法设置的策略进行设置。其界面与图 3.27 相同，点击【增加】按钮，弹出图 3.29 所示的界面：图 3.29协议类型协议类型动作选项：动作选项：设置计算机阻止或者接受某网络数据包。通讯协议：通讯协议： 服务名称设置自定义服务的名称。 通讯协议设置本次服务所使用的通讯协议。 通讯方向设置通信的传输方向，包括【传入】 ， 【传出】 ， 【双向】 。协议选项：协议选项：IP 选项，ICMP 选项，TCP 选项，TCP 标志可以对通过网络端口的数据包进行具体的限制。

40、如：可以限制包含具体字符的数据包不能通过。附加选项：附加选项：对是否“启用状态检测” ， “匹配过渡数据包” ， “匹配片断数据包” ， “匹配已经建立连接的数据包”和“匹配建立连接数据包”的检测控制。端口地址：端口地址：设置同【访问】 。 注意：【反选】指除本地址以外的所有地址。E.【高级】使用 DOS 命令对网络策略进行设置。【增加】：输入设定的DOS 命令。其它选项设置同【访问】 。F.【Web 策略】禁止WEB上传策略。目标地址有“起始地址”和“结束地址”。目标端口有“任意端口”和“自定义端口”。是否启用“反向选择此策略”选项。策略配置实例：策略配置实例：A.A.只允许客户端访问只允许

41、客户端访问: :图3.301. 增加策略，填写策略名，在【缺省访问策略】下选【禁止数据包通过】。（图3.30）2. 在【访问界面】点击【增加】，【弹出访问策略配置窗口】图 3.31自定义服务：自定义服务名称通讯协议：选 IP本地端口：选任意端口，也可以自定义端口（如 80）目标地址：填写要访问的目标 IP 地址，也可以直接填写域名，填写域名时需加上客户端的网关，否则无法进行域名解析。目标端口：选任意端口，也可以自定义端口（如 80）B. 增加访问策略增加访问策略(允许客户端上允许客户端上 QQ)在【访问界面】点击【增加】。图 3.32图 3.32图 3.33C.只禁止客户端访问只禁止客户端访问

42、 1.增加策略，填写策略名，在【缺省访问策略】下选【允许数据包通过】。（图3.34）图 3.342.2.在【自定义】界面点击【增加】，【弹出自定义策略配置窗口】。（图3.35）图 3.35协议类型协议类型动作选项：允许通讯协议：服务名称（自定义），通讯方向（双向）通讯协议：IP图 3.36端口地址端口地址源地址:本计算机源端口：任意端口（也可以自定义）目标地址：填写目标 IP 地址，（如“”的 IP 地址是“41”）注意：这里不支持域名目标端口：任意端口（也可以自定义）3.点击确定，策略配置完成。（图 3.36）3.7 接入控制策略的操作接入控制策略的操作点击“接入控制

43、策略”下的“网络接入策略” ，进行网络接入策略配置。如图 3.37 所示。图 3.37增加策略增加策略：单击“增加”选项，弹出图 3.37 界面，在此界面可以对配置的策略进行修改和删除操作，在“策略名称”中填写策略名，点“增加” 按钮出现图 3.38 界面，进行策略配置。图 3.38A.A.通讯协议通讯协议 认证名称：自定义 通讯协议：IP、ICMP、TCP、UDP（在局域网选 IP 协议） 网络类型：全部、局域网、远程访问。B.B.动作选项动作选项：允许：允许连接拒绝：禁止连接认证:通过系统认证，未装客户端的计算机无法连接到内部网络认证并保护：网络数据加密。C.C.安全模式：安全模式：系统内

44、部认证和 Kerboros 认证（一般用系统内部认证）D.D.源地址源地址E.E.目标地址目标地址本计算机：系统给下发策略的计算机任意计算机：任意计算机自定义列表：10（单个计算机）0/（这台计算机所在的网段）自定义列表中网段地址可以简写为*，如 0/ 可以简写为 192.168.11.* ，不支持区间地址，如 -0。修改策略修改策略可以修改任何已存在的接入策略删除策略删除策略可以删除当前未被使用的接入策略3.8 资源控制资源控制3.

45、8.1 资源控制策略的操作资源控制策略的操作 资源控制策略主要用于控制系统中某些应用程序的运行，管理员可以设定非法程序名单，客户端将不能再次运行这些应用程序。单击管理控制台【系统管理】标签下面的【资源控制策略】选项，进入资源控制策略设置界面，如图 3.39 所示：图 3.39【增加策略】：用于增加管理员认定的客户端非法程序名单。单击【增加策略】弹出图 3.40 所示控制界面：图 3.40程序黑名单中所有表项可以使用“,”或者回车键隔开，程序名不分大小写，有些程序的源程序名和 Windows 任务管理器中所展示出来的并不一样，需要通过查看属性得到真正的源程序名。【修改】：修改已选定的资源控制策略

46、。【删除】：删除已选定的资源控制策略，如果该策略已被下发正在使用中，则不能够被删除。【刷新】刷新策略3.8.2 资源监控控制台资源监控控制台资源监控控制台可以实时对客户端计算机软硬件资源进行扫描、监控和备案，轻松实现计算机资源的有效管理；单击管理控制台【系统管理】下面的【资源监控控制台】选项，进入资源监控控制台查看界面，如图 3.41 所示：图 3.41A.选择左侧【单位结构】部门下的计算机，点击【系统属性】 ，显示出计算机的基本信息。系统属性界面可以看到两个按钮【删除计算机】和【保存为基准】 。【删除计算机】：删除计算机信息。【保存为基准】：将所选定计算机的信息状态保存为基准上传到服务器，如

47、果它的软硬件情况发生了变化，都会以红色字体在系统属性和设备属性中显示出来，以便管理员查看。B.点击【设备属性】 ，显示出计算机的设备属性， （包括外围设备、安装软件、进程、系统服务、网络端口等）双击查看详细信息。 （图 3.42）图 3.42C.【导出】：负责将导航栏中已选定的部门或者客户端计算机信息导出，生成 Excel 文件。单击【导出】 ，弹出两个选项“导出为简明报表”和“导出为详细报表” ，前者生成一个“.xls”文件，后者将生成一个文件夹，文件夹目录根据已设定的单位结构而定。D.【查询】：当系统中包含客户端较多，网络结构较复杂的时候，要找到特定客户端比较困难，使用【查询】工具，可以提

48、高检索速度和准确率。单击【查询】 ，弹出框如图3.43 所示：图 3.43可以根据自己的需要点击相关选项进入特定查询模式，进行查询。E.【退出】：退出资源监控控制台。F.【网络结构】：以工作组或域的形式显示单位结构G.【设备列表】：显示客户端所有计算机设备的详细信息第四章第四章 移动盘注册控制台移动盘注册控制台以 U 盘为代表的移动存储介质的广泛普及，极大方便了数据交换和存储的同时，也带来了数据移动通道安全风险，给文件和信息的安全管理带来了很大的困难。西科分布式网络信息安全系统成功的引入了 U 盘管理系统，根据 U 盘管理员对不同U 盘的使用情况设定，使您对 U 盘拥有不同的使用模式，成功解决

49、了 U 盘使用中的难题。4.1 移动盘注册控制台安装移动盘注册控制台安装4.1.1 安装安装1.1.进入安装光盘 XKIUDisk 目录下，双击“Setup.exe”执行安装程序，如图 4.1 所示：图 4.12.2.单击【下一步】 ，进入图 4.2 所示界面：图 4.23.3.选择安装文件夹和使用权限，单击【下一步】 ，如图 4.3 所示：如图 4.34.4.安装完成。 （图 4.4）图 修改密码修改密码在移动盘管理控制台安装完成之后，点击开始菜单程序XKI分布式网络信息安全系统XKIU 盘管理系统，进入 U 盘管理控制台。初次登陆界面如图 4.5 所示：图 4.5系统默认

50、初次登陆的用户名和密码都是“adusb”,输入 服务器计算机 IP 地址，点击【确定】登陆，登陆后需要立即修改密码。 （图 4.6）4.1.3U 盘管理人员配置盘管理人员配置U 盘超级管理员（adusb）可以配置部门的 U 盘管理员进入 U 盘注册控制台如图 4.7 所示：图 4.7在菜单栏中依次选择【文件】-【U 盘管理人员配置】进行部门 U 盘管理人员的配置，如图 4.8 所示：图 4.8U 盘管理员没有对审计员和系统管理员配置的权力，只能配置属于自己管辖范围的 U盘管理人员。超级管理员新添加的部门 U 盘管理员可以使用设定好的用户名和密码登陆进行管理操作，管理权限是超级 U 盘管理员所设

51、定的，不能更改。4.2 启用启用 SafeStor 策略策略移动盘注册使用机制需启用端口策略 SafePort 和 SafeStorSafeStor 策略，系统管理员可以在添加部门时候给所添加的部门使用此策略，也可以修改已添加的部门，向该部门使用此策略，如图 4.9 所示：图 4.9启用策略成功之后，客户端会自动在 windows 桌面托盘位置显示：。4.3 使用移动盘注册使用移动盘注册4.3.1 U 盘策略配置盘策略配置每个公司对 U 盘的使用要求都不一样，本系统设定每一种 U 盘都有自己的使用模式，U 盘管理员可以设定适合自己部门使用的 U 盘使用模式。在菜单栏中依次单击【文件】-【U 盘

52、策略配置】 ，进入图 4.10 所示的界面：图 4.10系统默认配置了（内部、秘密、绝密、机密）使用策略，U 盘管理员也可以根据其网络环境配置其它模式的 U 盘，如图 4.11 所示：图 4.11策略名策略名：设定策略的名称。使用模式使用模式只读：U 盘是只读状态，不可写入。保护：U 盘中的内容被加密，在没有装客户端的电脑上不能正常显示。正常读写：使用者拥有读写 U 盘中内容的权利。继承端口模式：继承【端口策略】中的移动盘使用机制。U 盘策略中的使用模式优先权大于端口策略。盘策略中的使用模式优先权大于端口策略。保护方法保护方法启用盘保护：该模式下注册的 U 盘在客户端需要安装才能使用。自定义密

53、码：注册 U 盘时将要输入密码，客户端使用此 U 盘也必须输入密码。4.3.2 注册注册 U 盘盘将要注册的 U 盘插入 U 盘管理员控制台计算机，在用户列表中选定使用该 U 盘的用户，单击【注册 U 盘】 ，弹出图 4.12 所示的注册界面：图 4.12编号：用户标识（请注意每个编号都是唯一的）型号：U 盘的型号容量：所注册 U 盘的容量。备注：U 盘注册时候可以添加一条备注信息。磁盘密级：单位配发 U 盘所标注的密级。 （仅做标注用）磁盘分区：正在注册的 U 盘的盘符。使用模式：选择 U 盘的使用模式，使用模式的设定见 4.3.1 节。限定人员/限定部门：选择该注册 U 盘的使用范围。填写

54、完毕之后，单击【新建】开始注册 U 盘，系统会弹出警告框，U 盘将被格式化，点击确定，完成 U 盘的注册。 （如果正在注册 U 盘的使用策略中选定了“自定义密码”一项，则会弹出密码设定框，U 盘管理员需要认真填写）【导出】：导出注册 U 盘文本信息【改变用户】:改变 U 盘的使用用户【修改】：插入需要重新注册的 U 盘，在图 4.7 所示的菜单栏中点击【修改】 ，可以对该 U 盘重新注册。【删除】：删除注册 U 盘信息【刷新】：刷新注册 U 盘信息第五章第五章 审计控制台审计控制台本系统审计控制台包含两大模块：针对系统管理的操作审计和针对客户端的操作审计，前者可以查看系统管理员的操作情况，包括策略的下发，添加删除客户端等，但是无权设置，更改系统配置，实现的双方管理员的相互监督与协作，提升了系统的防护效果与安全等级；后者可以实时的查看，分析，跟踪整个系统中客户端数据的流向，参数的变化，端口的输入输出情况，一方面可以查看各个客户端的运行情况