下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、金盾软件NACP10.1产品用户手册Goldencis金质山东华软金盾软件股份有限公司2017年4月27日目录一、前百 3 3- -(一)简介-3 3-(二)文档目的-3-3- -(三)读者又 t t 象-3 3-二、登录系统- -3 3- -(一)登录管控平台-3 3-(二)管控平台配置- -5 5- -(三)帐户配置-6 6-(四)管理员密码修改-9 9-三、模块功能操作- -1010- -(一)部门配置-1010-(二)用户管理- -1212- -1 1、新用户审核配置管理- -1212- -2 2、新用户入网审批- -1414- -3 3、用户基本信息- -1717- -4 4、用户策
2、略设置- -2121- -(三)策略-2323-1 1、策略配置库- -2323- -2 2、终端通信网段配置- -2929- -3 3、安全规范库- -3131- -(四)图表-3939-1 1、在线状态分析- -3939- -2 2、测评状态分析- -3939- -3 3、入网风险分析- -4040- -4 4、违规事件分析- -4141- -5 5、系统运行状态分析- -4242- -6 6、入网审批分析- -4343- -7 7、网络使用分析- -4444- -(五)系统- -4444- -1 1、系统日志- -4444- -2 2、系统设置- -4646- -(一)简介金盾 NACN
3、AC 啊络接入控制与身份认证系统一简称 NACPNACP 是集首页、视图、用户、策略、审批、图表、系统于一身的安全管理系统。(二)文档目的金盾 NACPNACP 系统详细配置手册主要用于指导管理员如何对用户进行策略下发,查看审计等操作。(三)读者对象本文档适用于金盾 NACNAC 陈统管理人员、赋予单独模块管理角色的管理员。二、登录系统(一)登录管控平台通过打开 IEIE 浏览器,输入 /admin/admin, ,会出现首页页面,如下图所示:、 /、 .刖B图 2.1-1 首页点击 NACPNACP 真块图标,打开系统登录页
4、面,如下图所示:vjrilEni图 2.1-2 登录内置控制台登陆帐户和密码:超级用户:systemsystem密码:1234567812345678管理员:administratoradministrator密码:1234567812345678操作员:operatoroperator密码:1234567812345678-4-NACPTSMBDPMDMNACP审计员:auditorauditor密码:1234567812345678注:强烈建议您及时定期修改密码当登录 NACNAC 陈统后,进入 NACPTNACPT 页界面,在这个界面中包含了菜单栏、当前管理帐户等。如图所示:菜单栏:终端
5、安全系统的所有主功能菜单。主界面:位于整个页面的右侧,显示每个子功能对应的界面。当前管理帐户:位于整个页面的右上方,显示当前登录系统的账户信息(二)管控平台配置选择【系统】-【系统设置】-【管控平台】,打开管控平台界面,如下图所示:图 2.1-3NACP 首页M”n 史网1fl户两局W-f-saiiffH西府甲台解 SLEH-bB.EE1鼻 M量典 641 驾 HfRM*崛如 Ih*H 王朝扁 3图 2.2-1 管控平台设置管控平台帐户密码复杂度:密码长度和必须包含的内容设置。允许登录控制台地址:配置范围内的 IPIP 才能登录控制台。限制非法登录次数和锁屏时长: 超出了限制的非法登录次数就会
6、锁屏, 不能进行登录;达到锁屏时长后才能进行重新登录。(三)帐户配置点击【系统】-【系统设置】-【帐户】,打开帐户配置界面,如下图所示:*HlJL-JMfthMMJrnvJJuhcfilll9?.a&a.L.i1ZL-9216HT.I02OD.LLDFVCftAEMrilllA-f犬!图 3.2.3-3 新建用户新建用户完成后会显示到用户列表中,如下图所示:新建用户如果在客户端登录后,状态列会变为会根据入网状态显示不同的颜色,如下图所示:图 3.2.3-4 新建后用户显示图 3.2.3-5 用户状态选中需要删除用户,点击【删除用户】,删除选择用户信息;选中需要删除设备,点击【删除设备】
7、,删除与用户绑定在一起的设备信息;选中需要修改策略用户,点击【批量修改策略】,批量修改用户使用策略;点击【导入】,选择提前准备好的用户信息文档,导入用户信息;点击【导出/打印】,把用户基本信息里面的用户数据导出为 ExcelExcel 表格或者直接打印;查询:根据真实姓名、用户名称和登录 IPIP 进行快速查询高级查询:根据用户在高级查询页面输入的具体条件筛选、显示用户数据鼠标放到操作列的设置按钮上,会出现操作菜单,如下图所示:图 3.2.3-6 操作菜单编辑:修改用户的基本信息,真实姓名、用户密码、所属部门、安全策略和备注信息个性化策略:用于配置只给该用户设置和使用的策略测评详情:查看某个用
8、户安全测评时的测评结果卸载插件:卸载对应计算机上的客户端插件设备信息:显示计算机的基本信息,包括计算机昵称、计算机名称、IPIP 地址、MACMAC 地址、活动状态、开机时间、最后登录用户、最后活动时间 4 4、用户策略设置点击【用户】,进入用户信息页面,选择一个用户,点击图 3.3.3-63.3.3-6 所示的菜单中的个性化策略,弹出个性化策略继承自界面,选择继承自的策略,点击按钮,如下图所示:个性化策略个性化策略awMkW力tiH-F9T!.me该用户尚未个性化策略,请首先为其创建策略该用户尚未个性化策略,请首先为其创建策略策略运承自取消取消图 3.2.4-1 个性化策略也可以对多个用户进
9、行批量修改,选择多个用户,点击后批量修改策略,点击已经建立好的策略,最后保存就可以了,如下图所示:批量修改策略安全策略:取消图 3.2.4-2 批量修改策略修改保存后,选择的用户的安全策略会显示为修改后的策略(三)策略1 1、策略配置库(1)(1)ARPARP 欺骗点击【系统】- -【策略配置库】,输入 ARPARP 名称,绑定网关 IPIP 和 MAC,MAC,点击【保存】,如下图所示:图 -1 添加应用程序点击保存后新建的应用程序就会在列表中显示,如下图所示:UWVKJI.44J1PHP-Pit图 -2 应用程序列表编辑:可以编辑已经存在的已经存在 ARPARP
10、 欺骗记录。删除:可以手动删除 ARPARP 记录。查询:可以根据 ARPARP 名称、IPIP 地址、MACMAC 地址、备注,查询已经添加的应用程序。显示所有:去掉查询筛选结果,显示所有的应用程序(2)(2)合法进程点击【系统】-【策略配置库】,点击【合法进程】,点击【分类配置】,首先建立合法进程的分类。如下图所示:醺 P 星#FW43921-MI19.1HLrewS 爸Q*心场a:安限序卷 IMi”史丐*01 过*限里护丁.止申中与代 SSET1aHAB*/M:IH!n-T*M|图 -1 分类配置点击【合法进程】,点击【添加】,输入进程名称,以及名称的安装路径,描述。最后点
11、击保存。如下图所示:图 -2 添加点击【保存】,新添加的 USBUSB 存储介质就会在列表中显示,如下图所示:M10*ft口*二*4 时 1 序等 IMI 也工HI:呼 5 当 11 理加*里林丁:止9ME的雷书国塞科 40.力0fW聆 E41 时,军.三,fFTfli品,日日力装工.事.4十喇 1 万 1肝的 hlrd.irHawrq 季 MmEa!,女户更 I 率之.4bvdtuc4mmn-,HIRHIL*E9F 丁鼻干 Htm/niL 四白请虹中SMEWDkwr9 串 Miff 电事中时哂山蹿辛flR3*1CjrtemtJI时中bvw曲由|研:开1WL5nm01dFTN0外
12、文切ttVL 士津匕兄下,电的电口如火药 HaWEX 掘让 BIWRariu.*比 11SLT355廿 kjfncA;XJ 疝 Cui.iairiE.*5,眯 4WWUFSKAITAKMcicuHhiMriL WHvWiinaMdfnAixqnirtcfitWS,iKawit 证 TM3g.单 lERftfl4 腰鼻肱舟曲 tMV 网IJK 加的 MffiL 百 UHiTEEMk婚的也信*不*1 重.#*卓EN.匠jWfUMfK,flja.i1 若童谢 I.w*Rwi*:二无吸工土FS;r:*犯;士工一,flktareim 再寓哥 Esrr勺不*.仙年学 ii国界国电动孑*,USBKeyBgU
13、SB3 遇黄宸动T具星日式股班31图 -1 新建 USBKey保存成功后,新 添 加 的USBKeyUSBKey 信息显示至IUSBKeyIUSBKey歹表中,如下图所示:Q函三士冏S;WHL+铅 IPMM湿理府聒才值 3加*旧朴丁止#电西口王酒善彳SU5B 岗图 -2USBKey 列表(6)(6)其它库其它的策略配置库和以上 5 5 个类似,不再赘述2 2、终端通信网段配置(1)(1)终端访问控制网段配置终端用户访问控制网段, 添加到此网段的计算机终端通信管理中的策略才会生效,支持添加网段,编辑网段,删除网段功能。依次点击【系统】-【系统设置】-【客户端】,下拉找
14、到“终端访问控制网段”,进入终端访问控制网段设置界面,如下图所示:SUCH15JIW.JJQj 上宝丽中 rXHH7 问”正盟 RMT图 -1 终端访问控制网段点击“新建”,弹出新建窗口,输入开始 IPIP 和结束 IP,IP,点击保存,如下图所示:图 -2 新建网段选择一个网段,点击“编辑”按钮,编辑窗口,可以修改开始 IPIP、结束 IPIP和备注信息,点击“保存”按钮即可。(2)(2)非法报警控制网段配置终端用户非法外联报警控制网段,添加到此网段的计算机终端通信管理中的策略才会生效,支持添加网段,编辑网段,删除网段功能。依次点击【系统】-【系统设置】-【客户端
15、】,下拉找到“非法报警控制网段”,进入非法报警控制网段设置界面,如下图所示:图 -1 非法报警配置网段点击“新建”,弹出新建窗口,输入开始 IPIP 和结束 IP,IP,点击保存,如下图所示:图 -2 新建网段选择一个网段,点击“编辑”按钮,弹出编辑网段窗口,可以修改开始 IPIP、结束 IPIP 和备注信息,点击“保存”按钮即可。3 3、安全规范库(1)(1)安全规范级别要求点击【系统】-【安全级别】,页面显示三个国家信息安全等级保护技术要求配置及三个国家信息安全分级保护技术要求配置。如下图所示:图 -1 安全级别(2)(2)策略管理点击【策略】,页
16、面显示已经存在的策略,如下图所示:41 道 EQUKAAD4M.SUWgl0 MWH?诵鼻 EMAJUH4.12vik 丐ui 二 iA哥 fWW-liEFK舶*早11 资-g*mHf.nadumQ口e 日,*nQfr,pfcHjEl口鲁”iiE国雷生录击十并段*配置Mi9Vrfik=aVQi图 -1 安全规范策略管理新建安全规范策略:管理员可以手动建立需要的安全规范策略规则;的导入安全规范策略:管理员可以导入之前备份的安全规范策略。编辑安全规范策略:点击策略名称,页面右侧会展示出相应策略的详细信息,管理员可以根据需要自定义配置安全规范策略。+餐an国 hn面 KEBMt出立帆电
17、翎脚方式 riaifl4Plm 更支w41mle-1.A.aiWF.UWIHt-J.SsrJ*utriEH.h/q加工 44 山 14UEA1口 Wd 式wtter.开2:1HK!IK血自病 U!通 kEq 串 R 图 -2 安全规范1)身份鉴别方式管理员根据管理需要,选择终端用户任意鉴别方式、终端用户组合鉴别方式及高级配置中的任意一项或多项ADj+醴严二 09 手Q 值物啮咒由 11MflF*打或Mli1rL“工一UU-UK/加.口如 1 匪 J 可“让曜 EMAJLX.1量 31 比才国1i*十口 I1C3G,y*谨名期 H0 团 31*.f-jm+HJ-.natRiflA口
18、 7 叼万百4口 3WRUe 同。古辛本“!0,lUEilE图 .1-1 身份鉴别方式2)安全技术测评管理员根据管理需要,添加或删除测评项;点击【添加测评项】图标对策略进行配置;勾选的测评项为关键项,测评不通过为安全隐患项,影响终端的准入权限;不勾选的测评项为非关键项,测评不通过为建议优化项,不影响终端的准入权限。如下图所示:网络监听端口检测: 检查终端指定端口的监听和连接情况, 防止黑客恶意程序的攻击。IPMACIPMAC 绑定检测:检查终端用户是否修改了 IPIP 地址。ARPARP 欺骗检测:检查终端是否有 ARPARP 欺骗。ADAD 域环境检测:检查终端操作系统是否登录
19、到指定 ADAD 域。TELNETTELNET 检测:检测终端系统是否开启了 TELNETTELNET 服务。恶意代码防范:检查终端用户操作系统安装的恶意代码防护程序是否符合管理员制定的规则。落NACP曲妹IdiW国下AMDBWIA.?中工0用W7TH;口dBUfUOe园OHE口出*事情置国移动存储介质检测:检测终端系统是否接入了移动存储介质,如 U U 盘,移动硬盘等,如果接入则认为不符合规范。3G3G 上网卡检测:检测终端系统是否接入了 3G3G 上网卡,如果接入则认为不符合规范。光驱介质检测:检测终端系统是否接入了光驱,如果接入则认为不符合规范。硬盘系统分区检测:检测终端系统分区剩余空间
20、大小与百分比,其中一项低于限制值则认为不符合规范。打印设备检测:检测终端系统是否接入了打印设备,如果没有接入则认为不符合规范GbrZ由414图 .2-1 安全技术测评操作系统补丁检测:检查终端系统是否存在漏洞,确保系统安全。WindowsWindows 防火墙检测:检测终端系统是否开启了 windowswindows 防火墙。超时锁屏检测:检查终端用户屏幕保护程序等待时长和恢复时是否需要密码保护。计算机名检测:检查终端计算机名称是否符合要求。系统服务检测:检查终端计算机是否有未许可的系统服务启动。远程桌面检测:检测终端系统是否开启了远程桌面系统时间检测:检查终端操作系统时间与 C
21、ISCIS 服务器时间是否超过最大误差。共享资源检测:当终端共享资源时,其安全性与未共享时相比会有所下降,可以远程访问终端或者网络的人能够读取、复制或者更改共享资源中的文件。剩余信息保护:检查终端计算机存在的临时文件,如果临时文件超过管理员设置的界限,对其进行清理。注册表完整性检测:检查终端计算机注册表文件是否被修改。来宾账户检测:检查终端系统用户是否启用了来宾用户。口令安全检测:检查终端用户操作系统帐户密码是否满足要求,以保证操作系统的安全性。黑名单口令检测:黑名单口令即容易被破译的密码,像简单的数字组合(如1234567812345678), ,或者与帐户名称相同的密码等,都属于黑名单口令
22、范围,拥有黑名单口令帐户的终端会给黑客提供极大的便利,进而影响系统的安全。合法进程检测:检查终端系统的进程是否符合管理员制定的规则。非法进程检测:检查终端系统的进程是否符合管理员制定的规则。安装程序检测:检查终端系统安装的软件是否符合管理员制定的规则。禁止安装程序检测:检查终端系统安装的软件是否符合管理员制定的规则3)违规报警配置管理员根据管理需要添加报警策略,并配置报警响应措施。报警响应措施包括将终端用户放置隔离区,锁定终端计算机屏幕,关闭终端用户计算机,发送报警邮件,发送报警提示,发送报警短信,如下图所示:图 .3-1 违规报警配置硬件变化报警:当终端用户对计算机硬件进行非法
23、安装、卸载和更换后触发警报。接入移动存储介质报警:当终端用户计算机接入 USBUSB 移动存储类设备后触发报警。接入光驱介质报警:当终端用户计算机接入光驱设备后触发报警。接入 3G3G 上网卡报警:当终端用户计算机接入 3G3G 无线上网卡设备后触发报恶意代码防范报警: 恶意代码标准以“终端安全技术测评-恶意代码防范”功能配置为依据。当终端用户计算机没有安装或运行恶意代码防范程序时触发报警。操作系统漏洞报警:操作系统补丁标准以“终端安全技术测评-操作系统补丁检测”功能配置为依据。当终端用户计算机有漏洞时触发报警。非法外联报警: 允许终端用户连接的网络范围列表以“系统配置-网段配置”功能配置为依
24、据。当终端用户计算机连接范围列表之外的网络触发报警。终端通信异常报警:当终端计算机最大允许通信 IPIP 数的个数后触发报警。ARPARP 攻击报警:操作系统补丁标准以“终端安全技术测评-ARP-ARP 欺骗检测”功能配置为依据。当终端用户计算机遭受 ARPARP 攻击操作后触发报警。终端流量报警:当终端计算机流量报警阈值超过设置的流量值时触发报警。4)网络通信域管理员根据管理需要,配置相应的策略,勾选相应的选项,如下图所示:图 .4-1 网络通信域13iBB4MISn=债 M国 St 优H 明示KU.府喇闻 ffm 户.的?沪 1 也 H 町.VimtltIEIUJH-X( (
25、JFH1FB-,科 PT-I 中 Hl 七 W1用;fF 户白;附1.但IMfinHl*tiMra4M 普明幽云 IW14的 TH口 EkJBM口协如g|A-w|5)安全审核配置管理员根据管理需要,制订相应的安全审核配置策略,勾选某一项即可,如下图所示:#fr-rvcvufliktf国 M2iWjfiKiKQi 畸KUr 开量 mIl!I1 咖 kTHFltiTVJB1M!-口、的求 4+T=ti:UTS4-NIt*太彳中曰Mrt!-第 U.U1f:日*Icfl-Kl:7WI0-EBTSL-Ml;图 .5-1 安全审核配置%嗝增位 ET13UHIBWH:qadMHVn:e 田口*
26、ansg 皆*MM*设匕*“6)外联途径管理管理员根据管理需要,制定相应的规范策略即可,如下图所示:#+HImMj-3fl4$图 .1-1 系统登录日志导出/打印:把系统帐户登录日志数据导出为 ExcelExcel 表格或者直接打印。查询:根据帐户名称、时间、登录 IPIP 等进行快速查询。高级查询:根据用户在高级查询页面输入的具体条件筛选、显示系统帐户登录日志系统操作日志点击【系统】-【系统日志】-【系统操作日志】,在右边就会显示出各个系统帐户的详细操作记录,如下图所示:图 .2-1 系统操作日志导出/打印:把系统帐户操作日志数据导出为 ExcelExcel 表格
27、或者直接打印。查询:根据帐户名称、时间、登录 IPIP 等进行快速查询。高级查询: 根据用户在高级查询页面输入的具体条件筛选、 显示系统帐户操作日志 2 2、系统设置点击【系统】-【系统设置】,在右边就会显示出系统设置页面。(3)(3)访问区域设置开启准入控制后终端用户、移动用户、高级用户、来宾用户的访问权限访问指定的网络区域,包括安全用户访问区域、隔离用户访问区域、来宾用户访问区域。如下图所示:HTenfiVHeuE虹 G 国界卮 EliUJDLT-ftZW435:lwmciaBFfiBimau/回 N嗜 aIEPTmcwjq2DL7-O21434 为奥H 拉 MMd 闹 HTiuHfOXGXL2UL0.ll4iHlmU20LT4UWMLriW 河 EurfOOOQXHl16uO.bl41fflFHfclL*L73 以 341533MknilrmKLT421以修必idiTnJOLT-A2-L4-075441SlFHI量 mMllowKB前NIEU中司 nE*i!HoiMAwrifm七.LW 用meKK二臼 BtHWa抽 1.1 通口弥 l:,:,7MB*wlirriTiHfa-rra.rrr411tMIQ1同 44#UMUiHXsn 二内闻:境限口户I,户 wwaFFtsf
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 构建完善的财务控制体系计划
- 人工被动免疫:人免疫球蛋白制剂相关行业投资规划报告范本
- 实习基地建设与合作方案计划
- 课堂讨论与辩论活动安排计划
- 灭火器材维护保养培训
- 2024-2025学年六年级上册数学期末全真模拟培优卷(苏教版)【解析版】-A4
- 《设备培训》课件
- 《信号基础设备绪论》课件
- 《邮件系统培训》课件
- 2024-2025学年年八年级数学人教版下册专题整合复习卷18.2 勾股定理的逆定理同步测试(含答案)
- 技能人才评价新职业考评员培训在线考试四川省
- 铁道基础知识考试题库(参考500题)
- 课堂观察量表
- (现行版)江苏省建筑与装饰工程计价定额说明及计算规则
- 音乐鉴赏智慧树知到答案章节测试2023年山东科技大学
- 浅谈企业创新经营模式之供应链融资在纸张贸易中的运用
- 《学前儿童语言教育与活动实施》第十章 图画书在学前儿童语言教育中的运用
- 双管同沟敷设管道施工工法
- 小学语文整本书阅读推进课研究-以《中国神话故事》为例
- JJG 8-1991水准标尺
- GB/T 4658-2006学历代码
评论
0/150
提交评论