启明星辰IDS实施方案

PAGE启明星辰IDS实施方案2013年2月

文档信息文档名称启明星辰IDS实施方案(V6075)_20130308保密级别公开文档版本编号V1.1拟定人拟定日期复审人复审日期批准人批准日期更改记录日期修改章节类型*修改描述修改人2011-3-31C模板建立2013-3-8M文档编写*修改类型分为C-CREATEDM-MODIFIEDD-DELETED

目录1 项目概述 41.1 项目背景 41.2 建设目标 42 项目管理 42.1 项目组织 42.2 分工界面 52.3 实施计划 53 项目实施 63.1 基本网络架构 63.2 实施需求 73.2.1 设备需求 73.2.2 网络需求 83.2.3 人员需求 93.2.4 策略需求 93.3 系统部署示意 93.4 安装部署规划 93.4.1 IP地址规划 93.4.2 端口连接规划 93.4.3 设备物理位置规划 103.4.4 设备电源规划 104 实施步骤 104.1 确认实施环境 104.2 到货及加电验收 124.3 安装调试 134.3.1 交换机端口镜像 134.3.2 引擎设备的安装 134.3.3 管理中心的安装 204.3.4 配置IDS系统 414.4 现场培训 474.5 系统联调 474.6 项目初验 474.7 项目终验 475 项目培训 485.1 培训内容 485.2 培训方式 495.3 培训流程 495.4 培训文档 495.5 培训计划 495.6 培训考核 506 项目实施风险及常见问题 526.1 风险应对 526.2 常见问题及解决方法 52

项目概述项目背景XX银行内联网入侵检测系统（以下简称“IDS系统”）于XX年XX月建设完成，XX年初开始试运行，目前已进入正式运行阶段。自IDS系统建成并投入使用以来，在异常行为检测和防范恶意攻击方面发挥了巨大的作用，帮助XX银行各级科技工作人员清除了内联网上过去存在的大量蠕虫病毒，还发现了很多网络和系统方面的安全漏洞以及不安全的配置问题，大大改善了内联网的网络环境，提高了内联网的安全保障水平。建设目标通过本次项目实施，将XX分行、XX中心支行和辖内地市中心支行安装启明星辰的天阗IDS系统，并将其纳入到现有的内联网IDS管理体系中来，执行XXX银行统一的安全监控策略，从而进一步完善内联网IDS系统，形成基于IDS系统的统一的安全监控体系，继续发挥IDS系统在保障内联网安全方面的巨大作用，使内联网的安全保障水平进一步得到提高。项目管理项目组织本项目的实施组织工作由总行项目领导组统一领导，项目领导组由科技司牵头成立，相关单位领导作为组成成员，主要负责指导整个项目的实施工作；总行项目实施组由XX公司（以下简称“XX公司”）网络安全部具体负责，主要组织、协调项目实施工作；各分支行节点项目实施小组由各分支行科技部门牵头成立，负责各分支行节点的项目实施及协调工作；本项目中入侵检测产品的实施工作主要由各分支行的入侵检测系统管理员自行完成，其中包括入侵检测系统管理控制台和探测引擎的安装调试，安全监控策略制定等等，厂商实施小组在各分支行现场进行配合。各小组成员名单如下：总行项目领导小组：职责姓名单位职务电话组长XXX副组长XXX成员XXXXXX总行项目实施组：职责姓名单位电话手机组长XXX成员XXXXXX厂商项目实施组：厂商名称姓名职责手机北京启明星辰信息技术有限公司XXX项目指导，整体组织、协调XXX项目经理分工界面在本项目实施过程中有三方参与该项目:实施计划项目实施工作计划如下。工作内容开始时间结束时间实施单位发货及发货确认12月24日1月4日启明星辰XX分行设备安装调试及策略配置XX分行1月7日1月18日XXX1泰安市中支1月7日1月8日2莱芜市中支1月8日1月9日1青岛市中支1月7日1月8日XXX2日照市中支1月8日1月9日1聊城市中支1月7日1月8日XXX2德州市中支1月8日1月9日XX中心支行设备安装调试及策略配置XX中心支行1月7日1月18日启明星辰河南第一实施小组（实施期间常驻）1洛阳市中支1月7日1月8日启明星辰河南第三实施小组2三门峡中支1月8日1月9日3焦作市中支11月14日11月15日4许昌市中支11月15日11月16日1新乡市中支1月7日1月8日启明星辰河南第四实施小组2鹤壁市中支1月8日1月9日3安阳市中支1月10日1月11日联调测试1月21日1月25日XX公司，启明星辰试运行1月25日7月25日XX分行、XX中心支行及辖内地市中支项目验收7月25日8月25日科技司，XX公司，XX分行，XX中心支行及辖内地市中支，启明星辰项目实施基本网络架构（网络架构及网络拓扑图。）实施需求设备需求XX分行和XX中心支行要自备用于安装入侵检测系统控制中心管理软件的设备，设备配置要求如下：【控制中心：安装在一台PC之上的硬件要求】硬件形式PC操作系统Windows2003（支持32位与64位）/WindowsServerStandard2008（支持32位与64位）处理器最低配置：Pentium（R）Dual-CoreCPUE5200@2.5GHz2.50GHz推荐配置：四核CPU内存最低配置：2G内存，推荐配置：4G内存硬盘硬盘80G以上（存放操作系统）网卡至少一个，无特殊要求其他设备N/A【数据库安装在一台PC服务器上，具体硬件要求】硬件形式PC操作系统Windows2003（支持32位与64位）/WindowsServerStandard2008（支持32位与64位）数据库系统SQLServer2005（32位/64位）/SQLServer2005Express/SQLServer2008（32位/64位）处理器最低配置：Pentium（R）Dual-CoreCPUE5200@2.5GHz2.50GHz推荐配置：四核CPU内存最低配置：2G内存，推荐配置：4G内存硬盘最低120GB数据库专用磁盘空间网卡至少一块网卡，无特殊要求其他设备光驱、键盘、鼠标、显示器【Web浏览器，具体硬件要求】硬件形式PC浏览器类型IE6.0/IE7.0/IE8.0/Firfox3.x（默认允许运行ActiveX）处理器N/A内存内存2G以上，建议4G。硬盘N/A网卡至少一块网卡，无特殊要求其他设备键盘、鼠标、显示器注意：推荐您最好专机专用，安装Datacenter的机器不要作为其他用途。网络需求XX分行和XX中心支行局域网上部署3台入侵检测引擎和安全监控中心服务器1台，需要以下的网络环境支持：IP地址分配：需要4个空闲IP地址。IP地址应用设备数量IP数量IP说明监控中心服务器11监控中心服务器IP要求与总行监控中心、本地局域网探测引擎、所辖地市中支监控平台可以互通。探测引擎33共计4交换机：与探测引擎连接的交换机具有多对一的镜像功能。与探测引擎连接的交换机预留2个空闲端口，其中同时连接监控中心和1个探测引擎的交换机预留3个空闲端口。防火墙：在监控中心服务器与总行监控中心、本地局域网探测引擎、所辖地市中支监控平台之间通信存在防火墙时，需要打开相应的通讯端口，保证通信畅通，具体端口见下表：序号源IP→目的IP端口协议用途备注1控制中心→网络引擎20001TCP引擎监听，接受控制中心管理必选2总控制中心→子控制中心50000TCP控制中心监听，接受上级控制中心连接必选3网络引擎→控制中心

控制中心→网络引擎

子控制中心→总控制中心

总控制中心→子控制中心50002TCP控制中心监听，接受web控制中心和引擎的连接。（通讯为双向）必选4控制中心或PC→网络引擎22TCP引擎监听，SSH远程管理可选5控制中心→数据库

报表系统→数据库1433TCPSQLServer监听，采用远程数据库作为控制中心、报表系统的后台

数据库时，需要防火墙开放本端口可选6控制中心→SNMP接收工具162UDPSNMPTrap响应，向SNMP接收工具发送报警信息可选7SNMP客户端→控制中心161UDP控制中心监听SNMP查询可选8引擎IP→日志服务器514UDP发syslog信息可选9客户端→控制中心443TCPhttps访问web控制中心必选10客户端→控制中心80TCPhttp访问web控制中心可选机架：为3台探测引擎提供足够的机架位置。人员需求在实施过程中，XXX分行和XXX中心支行至少需要两名技术人员配合完成工程实施。一名为负责项目实施的主管处长，一名为技术骨干，分别负责项目实施的管理、控制，并及时协商解决所辖实施节点在项目实施中的各种问题。策略需求在项目实施前，实施人员应会同用户方相关人员对IDS要启用的策略进行调研。系统部署示意安装部署规划IP地址规划地址范围使用对象备注端口连接规划设备名称本端接口对端接口对端设备名称备注设备物理位置规划项目实施前，实施人员需要根据设备的尺寸、类型及用户方机房内机架的实际使用情况规划设备的物理位置。设备名称设备类型设备尺寸机架位置备注设备电源规划项目实施前，实施人员需要根据设备的电源数及功率，以及用户方机房内每个机架内的电源功率使用情况进行规划。实施步骤确认实施环境在项目开始实施之前，需要XXX分行、XXX中心支行和辖内地市中支的技术人员配合启明星辰的实施人员对实施的环境进行检查，确认是否具备项目实施条件。序号安装条件条件参数是否符合条件备注机房的相对湿度和温度标准相对湿度：5%至95%温度：0至+55摄氏度是□否□机架空间占机架空间为2U430×390×88是□否□电源参数220V/50HZ,3.0A(最大),250W(最大)，国标电源插座。是□否□安装控制中心软件PC机硬件要求：CPU：最低配置：Pentium（R）Dual-CoreCPUE5200@2.5GHz2.50GHz推荐配置：四核CPURAM：2G硬盘：120G以上的剩余空间网卡：百兆或千兆电口网卡辅件：光驱、键盘、鼠标软件要求：操作系统：Windows2003（支持32位与64位）/WindowsServerStandard2008（支持32位与64位）是□否□IP地址分配管理控制中心和探测引擎各分配一个IP地址，确保两个IP地址可以互相通讯。是□否□交换机端口分配建议分配3个端口给天阗IDS系统，探测引擎抓包口、探测引擎报警口和安装管理控制中心的PC机的网口各一个端口；如果交换机端口不够用，最少要保证有一个端口，用于做交换机镜像口，连接探测引擎抓包口，而探测引擎报警口和管理控制中心PC机的网口可以连接在其他交换机上，或者可以通过交叉网线直连。是□否□交换机镜像交换机必须支持多对一镜像，就是同时把多个端口的数据镜像到某一个端口。在IDS实施前交换机镜像必须设置完成。是□否□端口开放天阗威胁检测与智能分析系统管理控制中心与网络引擎可处于不同网段或网络，但是必须处于连通状态。例如：当跨网段连接时，管理控制中心主机的IP地址需要配置上相应的网关；当管理控制中心所在网络与网络引擎所在网络之间存在防火墙时，需要开放相应端口，以保证管理控制中心和引擎可以正常连接。是□否□到货及加电验收根据合同要求，需要对送达现场的产品进行到货验收，保证送达产品符合合同要求。产品在各地接收后，保持外包装的完整性。在厂商的工程师到达现场后，共同进行产品的到货验收。设备到货验收标准如下：开箱前，检查产品外包装是否良好;开箱检查产品外观是否良好;产品型号是否正确;产品数量是否正确;产品配件是否齐全;产品版本是否正确。到货验收完成后，按照产品安装要求，将产品安装至机架，并连接电源进行设备加电验收。加电验收标准如下：设备加电是否运行正常；设备指示灯是否正常；设备配置是否达到说明书要求。安装调试在本项目实施过程中，安装调试工作的主要内容包括：交换机端口镜像由于XXX分行、XXX中心支行及辖内地市中支以前部署过IDS系统，内联网主备核心交换机和其他需要监控的交换机上的端口镜像可能已经完成，这种情况下此步骤可以省略；个别没有完成端口镜像的单位，需要网络管理人员配合在内联网主备核心交换机或是其他需要监控的交换机上做端口镜像。引擎设备的安装在这部分里主要介绍的是硬件引擎的安装、设置、如何接入到网络中以及必要的配置操作。1、超级终端安装及设置1）超级终端安装“超级终端”是Windows9x、WindowsNT及Win2k下的程序，是Microsoft操作系统中的一个常用组件。它能够通过串行或并行端口接受或发送ASCII码信息。“超级终端”具有反卷功能，此功能使用户能够看到已经滚动出屏幕的已接收文本。超级终端安装有两种方式：在安装Windows95/98/2000/NT/XP操作系统时，选中“通讯”选项中“超级终端”选项。在安装Windows95/98/2000/NT/XP操作系统时没有安装“超级终端”，可以通过Windows95/98/2000/NT/XP的“控制面板”的“添加/删除程序”项安装“超级终端”。2）超级终端启动启动超级终端程序，(以windows2000advancedserver为例)。如下图所示：然后需输入新建连接名称—输入相应名称。如下图所示：选择COM1口还是选择COM2口，应根据通讯线所连接到控制中心PC的COM口号来确定。建议连到COM1口。端口设置每秒位数（B）项选择“9600”，其它速率无效；数据位（D）项选择“8”；奇偶校验（P）项选择“无”；停止位“S”项选择“1”；数据流控制（F）项选择“硬件”。如下图所示：图5-6超级终端设置选择“文件”菜单中的“属性”选项，显示如下图所示画面。如果你不想看滚动出屏幕的信息，请把“反卷缓冲区行数（B）”设为“0”。按“设置”按纽，显示屏幕如下图所示：按“ASCII码设置（A）...”按纽，使用默认设置即可，显示屏幕如下图所示：2、引擎配置天阗引擎利用超级终端进行基本设置，配置好超级终端以后，回车进入引擎启动画面。如下图所示：输入用户名：adm，回车后再输入正确的密码(出厂密码设置为venus70)后进入如下图所示：基本功能介绍及对应命令配置选项：【功能1】：显示当前设置显示当前配置信息。包括产品ID号、设备序列号、授权信息、通讯网口的IP地址、子网掩码、路由配置等信息；“IDS#”模式下命令:showconfig；【功能2】：更改IP地址/子网掩码更改通讯网口的IP地址及子网掩码。引擎的IP地址及子网掩码请向网络管理员申请。“IDS(config)#”模式下应命令:ipaddress；【功能3】：重置引擎认证密钥可以重置控制中心与引擎认证密钥，当引擎与不同于原控制中心的另外控制中心相连时必须重置密钥。“IDS(config)#”模式下命令:resetvcecommkey；【功能4】：更改路由配置可以添加和更改原有路由配置，输入路由总条数(如输入0则表示删除当前所有路由)，如果设置错误可以直接按“q”退出原来的路由信息不会改变）。“IDS(config)#”模式下命令:routeadd|del；举例：添加路由输入目的子网网络地址：如果想要与192.168.5.网段的主机进行通讯则输入。输入目的子网掩码地址:。输入网关IP地址：与要设定路由的网口地址在同一个网段内。IDS(config)#routeadd/24删除路由：IDS(config)#routedel；【功能5】：更改串口登录口令可更改网络引擎密码。网络引擎密码数为7位任意数字或字符。新密码输入多于7位时，取前7位作为新密码；新密码输入少于7位时，新密码无效，旧密码仍然有效。步骤如下：①先输入旧密码②输入新密码③确认新密码注：（1）新网络引擎出厂时密码统一为“venus70”，请注意更改。（2）密码设置不要过于简单，以免被盗用。“IDS(config)#”模式下命令:adm-set-new-password；【功能6】：打开和关闭SSH登录用于打开是否支持通过SSH登录本配置界面，缺省为打开。“IDS(config)#”模式下命令:allowaccesssshenable/disable；【功能7】：允许和禁止Ping入打开后可以使设备管理口被ping通。“IDS(config)#”模式下命令:allowaccesspingenable/disable；【功能8】：用户自定义通讯端口用户自定义通讯端口可以修改引擎的通讯端口，缺省为20001，当20001端口被占用时可以修改成其他的数值。“IDS(config)#”模式下命令:setvcecommxxx（xxx表示端口号）；【功能9】：设置网口协商模式“IDS(config)#”模式下命令:setif-parametersxxx（xxx表示网卡名）；举例：设置网卡ge1/2的协商模式为自协商设置网卡ge1/2的协商模式为非自协商，1000，全双工【功能10】：授权管理显示授权类型，激活时间，过期时间，授权结果，流量检测是否授权，虚拟引擎是否授权，专业WEB服务器攻击检测是否授权，抓包口总数。“IDS#”模式下命令:showlicense；【功能11】：用户自定义抓包口：根据用户需要调整网口的抓包口，管理口和备用管理口不能调整为抓包口。“IDS(config)#”模式下命令:setcapcomm；【功能12】：重启引擎操作系统“IDS#”模式下命令:reboot；辅助选项：【功能13】：PING测试PING测试，用于测试指定IP地址是否存在活动主机，提示信息为“连接正常”或者“连接异常”。“IDS#”模式下命令:pingA.B.C.D(A.B.C.D表示IP地址)；【功能14】：TRACEROUTE测试TRACEROUTE测试，用于测试引擎能否成功路由到指定IP。“IDS#”模式下命令:tracerouteA.B.C.D(A.B.C.D表示IP地址)；【功能15】：显示引擎版本显示当前引擎的版本信息。“IDS#”模式下命令:showversionpacket；恢复选项：【功能16】：显示控制中心IP地址“IDS#”模式下命令:showconnect；退出选项：【功能17】：退出串口配置程序退出串口配置程序；如果不退出，用户可以通过串口无需登录而直接操作串口配置“IDS#”模式下命令:exit；注：超级终端不能用窗口右上脚的关闭按钮直接关闭，因为这样只关闭了“超级终端”的界面，而超级终端与探测引擎的通讯并未关闭。因此，每次更改探测引擎的基本参数后，必须用从命令行正常退出。初始应用第一次安装应该配置引擎通讯IP地址，出厂缺省地址为：00；如果控制中心和引擎是跨网段控制，需要设置相关路由信息。当重新安装了控制中心或更改了控制中心的主机地址，需要使用“重置引擎认证密钥”的命令来清除原来的认证信息，保证和新的控制中心建立认证关系。3、引擎抓包口接入位置1)检测引擎在实际网络中通常通过镜像方式接入的位置：a)网络边界处交换机；b)重点服务器区域出口的交换机；c)核心交换机。2)检测引擎接入网络的原则：a)保证实际网络流量小于或接近检测引擎的处理能力；b)接入点能够覆盖到被保护的机器。管理中心的安装1、天阗控制中心安装打开天阗入侵检测与管理系统控制中心的安装光盘，您会看到一个Autosetup程序，启动程序后，出现如下界面点击“安装天阗入侵检测与管理系统”出现如下页面：安装光盘分为两部分：SQLServer2005Expressedition数据库：这是微软提供的桌面版的小容量数据库，用来进行存放天阗入侵检测与管理系统V6.0控制中心所需的数据结构和产生的相关事件日志信息，最大存储容量为4G。如需要更大的存储空间或更高效的数据库管理能力，建议采用独立的企业级数据库天阗入侵检测与管理系统V6.0：这部分包含天阗入侵检测与管理系统相关的控制中心，可以安装在一台高性能的计算机上。下面分别介绍这几部分具体安装过程。SQLServer2005Expressedition数据库如果机器上没有安装过SQLServer2005Expressedition数据库的客户端软件，天阗入侵检测与管理系统V6.0在安装到导库步骤时将无法正常运行，您可以找到SQLServer2005Expressedition这一项来安装数据库。安装步骤分为两步，第一步安装数据库系统，第二步安装数据库管理系统。（在安装数据库前，请用户确定是否安装Mframework2.0以上版本、windowsInstaller3.1(KB893803)补丁，没有安装请用户安装Mframework2.0、windowsInstaller3.1(KB893803)补丁成功后才能开始安装SQLServer2005Expressedition数据库。）安装SQLServer2005Expressedition步骤如下：点击“SqlServer2005Express”，勾选“我接受许可条款和条件（A）”，如下图所示：点击“下一步”按钮，进入安装必备组件界面，如下图所示：点击上图中“安装”按钮，进入必备组件安装界面，如下图所示：必备组件安装完成后，界面变成如下图所示点击上图的“下一步”按钮，进入数据库安装向导界面。如下图所示。点击上图界面中的“下一步”按钮，进入系统配置检查界面，如下图：点上图界面中的“下一步”按钮，进行继续安装。安装程序准备程序完成后点击“下一步”按钮，进入注册信息界面，如下图。注：上图中把“隐藏高级配置选项”默认为选中修改为不选中“隐藏高级配置选项”。点击上图中的“下一步”按钮，进入选择安装程序功能，如下图所示。点击上图中的“下一步”按钮，进入安装默认实例界面，如下图所示。注：上图中选择默认实例点击上图中的“下一步”进入服务账户配置界面，如下图所示。注：图中使用内置系统帐户：本地系统。点上图中的“下一步”按钮，进入身份验证模式配置界面，如下图：注：混合模式中输入密码在安装天阗V6.0控制中心到导库步骤时需要输入用户名为sa对应的密码，该密码请牢记。点击上图中的“下一步”按钮，进入排序规则设置界面，如下图。点击“下一步”按钮，进入配置选项界面，如下图点击“下一步”按钮，进入错误和使用情况报告设置界面，如下图：点击“下一步”按钮，进入准备安装界面，如下图：图4-17点击“安装”按钮，进行安装。点击“下一步”按钮，进入安装完成界面，如下图：点击界面中的“完成”按钮，数据库安装成功。安装MicrosoftSQLServerManagementStudioExpress数据库管理系统步骤如下：点击“MicrosoftSQLServerManagementStudioExpress”管理软件进入安装界面。点击“下一步”按钮，进入许可协议配置界面，如下图：图4-21选择“我同意许可协议中的条款（A）”项后，点击界面中的“下一步”按钮，如下图：点“下一步”按钮，进入功能选择配置界面，如下图：进行路径的选择后，点击“下一步”按钮，进入准备安装界面，如下图：点击“安装”按钮，进入安装。点击“下一步”按钮，进入安装完成确认界面，点击“完成”按钮后，数据库管理软件安装成功。注：1、数据库管理软件安装完成后打开程序MicrosoftSQLServer2005—>配置工具SqlServer配置管理器SQLServerConfigurationManagerSQLServer2005网络配置SQLEXPRESS的协议中的TCP/IP状态为已启用，如果是禁用状态，请将该状态改为已启用，在SQLServer2005服务选择SQLServer(MSSQLSERVER)右键选择重新启动。2、数据库安装完成并重启服务后查看打开控制面板性能维护管理工具服务，查看SQLServer(MSSQLSERVER)服务，点击到登陆页面查看登陆身份是否为本地系统如果不是请调整到本地服务，请看下图所示天阗入侵检测与管理系统安装安装天阗入侵检测与管理系统V6.0控制中心之前保证数据库正确安装完成。注：使用SQLSERVER数据库时，如果用户准备使用网络数据库服务器本机可以不装数据库，但需要注意的是本机必须有SQLSERVER的客户端工具，能支持建立SQLserver类型的ODBC数据源，否则在后面建立数据库的时候将无法完成。在安装完数据库或数据库客户端后将进入天阗入侵检测与管理系统V6.0控制中心的主安装界面。如下图所示：点击“下一步”按钮，选择接受许可证协议。点击“下一步”按钮，输入用户名和公司名称后，点击“下一步”后进行安装。点击“下一步”按钮，进入到选择安装程序的路径，可以根据用户的需要选择安装路径，如下图：注：路径名称最好按照公司规定的名称，这样有利于跟踪和分析，如果用户需要更改名称请用英文命名。IDS6075版本使用SQLSERVER数据库，请在SqlServer界面上配置好数据库服务器名称、数据库名称、数据库文件存储目录、数据库模板文件的目录（ACCESS模板，一般在安装天阗系统的目录下）、ODBC数据源名称，点击“确定”即可。如下图：界面各部分的作用：服务器：填写要创建的数据库所在的机器名称或ip地址。可以是本机服务器也可以是网络数据库服务器。注：默认情况下，用户机器上只有一个实例，如果用户的机器上有多个SQL实例，你只需要将数据库导入到一个实例中，请在服务器这里填写“IP地址\\实例名称”。数据库名：填写你要创建的数据库名称。用户ID：SQL数据库的用户名（默认是sa），必须输入具有sa权限的用户名。密码：用光盘自带的SqlServer2005Expressedition数据库，创建数据库时填写的数据库用户的密码为安装SqlServer2005Expressedition时设置的密码。注：数据库sa用户的密码不能包含;'"\/特殊字符，否则会出现修改为包含特殊字符密码后，无法连接数据库。文件目录：数据库文件存放的位置，需要确保数据库文件所在的分区中有足够的磁盘空间（不小于100M，为确保用户的系统能长时间正常运行，最好选择剩余磁盘空间较大的分区，建议4G以上）。数据源→ACCESS文件：系统提供的原始数据库模型文件（一个ACCESS数据库），一般在天阗控制中心的安装目录下，名称是CenterDB.mdb。数据源名称：ODBC数据源名称，这个数据源指向要创建的SQLServer数据库，天阗系统通过这个数据源访问数据库。数据库导入成功后会给出成功的提示，如下图所示：在数据库导入成功后安装将继续进行。点击点击“是”按钮，进行配置首先进行数据库配置，服务器的实例名称修改为安装数据库PC的IP地址，如下图：然后进行服务与端口的配置，在本机IP中填入本机的IP地址，如下图：点击“确定”按钮后，弹出“配置修改成功”对话框。点击软件卸载在控制面板中选择“添加或删除程序”，找到“CybervisionThreatDetestionSystem”，点击“删除”。如下图。选择“删除”，按照删除向导完成即可。具体需要卸载的软件如下图所示。如果界面提示需要重启，请用户重启操作系统。重启完成后请到安装目录下把Venustech文件夹删除，以便于完全卸载。注：卸载时如下组件将不会随着天阗系统一并卸载：snmp、数据库，需单独对其进行卸载。配置IDS系统用户管理在浏览器中输入IDS控制中心地址：https://xxx.xxx.xx.xxx/利用用户管理员admin登录（缺省口令为：venus70），然后为天阗系统添加一个配置管理员用户,并设置可以登录。点击界面上的【新建】显示如下图所示：填入用户名如“yangl”，选择所在组为“配置管理员”，其他的信息根据实际情况填写，然后点击“确定”，一个新用户就添加成功了。控制中心和网络引擎联调网络引擎完成安装调试后，进行控制中心调试。调试方法为：添加网络引擎：【常用配置】→【组件管理】→【引擎设置】，点击【新建】。如下图；引擎IP输入省局引擎IP，引擎名称输入省局引擎名称。命名规则：省局+引擎。例如：北京市XX局，命名为北京市XX局引擎。点击本地引擎列表上方的“新建”按钮，弹出新建本地引擎对话框。可通过首页的【组件状态】，查看网络引擎的状态；如果连接状态显示断开，请检查网络通讯是否正常。如果网络通讯正常，请通过串口登录到网路引擎上重置一下密钥即可。策略下发【常用配置】→【组件管理】→【引擎设置】，点击下发策略。如图所示：选择一个事件集，点击【提交】。验证测试在镜像交换机上做ping测试，然后查看【实时事件查询】是否有相应的事件。级联配置【高级配置】【系统配置】【级联控制】，选中允许升级连接、接受并应用上级控制中心下发的策略等选项。授权文件导入【常用配置】【组件管理】【引擎配置】，点击授权设置。点击浏览，然后选择授权文件。点击导入。查看[授权抓口数量]，为授权的数量。事件库升级设置自动升级方式（建议此方式）【常用配置】【升级管理】【事件库自动升级】。在设置好事件库自动升级的相关配置后，点击“提交”按钮进行保存。手动升级方式【常用配置】【升级管理】【事件库手动升级】事件库手动升级有两种方式：立即升级至最新版本和导入事件库升级包。点击“立即升级至最新版本”，则事件库会升级到目前最新的事件库版本。手动导入事件库，点击“浏览”按钮，选择事件库所在的路径，导入事件库升级文件必须是dat格式的。点击“升级”，则会升级到导入事件库的版本，下方会显示出相应的运行状态。数据库自动维护设置数据库维护工具可实现数据库日志的自动删除，自动备份，手动删除和手动备份的工作。选择开始菜单【程序】【启明星辰】【天阗6-Web】点击数据库维护，出现如下图设置界面，可以执行数据库维护工具进行自动维护设置或进行手动维护。注：自动维护可以防止数据库过度膨胀，确保天阗工作正常。选中“使用自动维护”，选择“自动备份”，备份时间设置统一设为每月1日01：00进行备份，在D盘根目录下建立目录：\IDSdb_bak；选中“自动收缩日志”，点击“保存”。配置完成后，点击“保存”才可退出。自动维护程序会在在满足所配置的条件时自动进行数据库维护工作。现场培训安装调试结束后，启明星辰的工程师为XX分行，XX中心支行及辖内地市中支的技术人员培训本次项目中涉及的IDS产品的原理、功能、日常维护。通过培训让各分支行IDS系统管理员了解IDS系统的相关知识，更好的与实施工程师共同制定合理的安全策略。系统联调IDS设备安装完成后，总控制中心与各子控制中心之间要进行系统联调，确保整个系统运行正常。项目初验先由XX分行、XX中心支行及辖内地市中心支行各实施节点进行工程初验的前期工作，主要工作内容有：产品功能验收、文档签署。验收标准：产品功能测试是否正常；系统运行是否正常。项目终验在初验完成后，XX分行、XX中心支行及辖内地市中心支行各实施节点根据《XX银行内联网入侵检测系统运行管理办法》进行入侵检测系统的日常管理维护，在试运行结束提交各节点试运行记录报告。以省为单位对试运行记录进行汇总，并由济XX分行和XX中心支行根据全省的试运行情况进行总结，形成终验报告，经由与启明星辰公司共同签署确认后，上报总行，由总行科技司出具项目终验报告。验收标准：试运行期间系统运行是否正常；是否发挥安全防御作用。项目培训（根据项目具体情况修改！）培训内容启明星辰公司提供如下安全培训的内容，并列举了安全培训的培训目标，供项目选择：漏洞扫描技术培训理解漏洞扫描原理，明确操作系统漏洞和网络协议漏洞产生原因，能处理UNIX.NT系统漏洞带来的安全威胁应急响应与灾难恢复培训了解应急响应的背景，掌握保持业务持续的实施方法，了解应急响应体系的建立及执行流程和相关案例。掌握灾难恢复的方法及等级划分黑客攻击与渗透测试培训了解如何模拟黑客使用的攻击技术和漏洞发现技术，对目标系统的安全作深入的探测，发现系统最脆弱的环节；了解网络中所面临的问题。Web应用安全培训了解WEB安全漏洞；了解典型的针对WEB安全漏洞的攻击，例如SQL注入攻击、跨站脚本攻击（XSS）等。信息安全管理培训严格来讲，完整的“信息安全”概念应包括信息的保密性、完整性、可用性三大内容.对一个机构、一个企业而言,要达到这三大要求，先进的信息安全技术是必须的,但要保障信息安全，仅仅依靠技术上的优势是远远不够的。只有建立一套科学的信息安全管理体系，才能从管理上、程序上确保信息的安全。通过一个科学的信息安全管理体系的运转，使风险的发生概率和结果降低到可接受的水平，并采取措施保证业务不会以风险的发生而中断。为了使用户相关人员能够掌握信息安全管理体系的建立方法，我们将结合我们长期的安全工程经验来讲述如何建立一套行之有效的信息安全管理体系。培训方式启明星辰将根据客户的需求，指定安全服务实践经验丰富安全专家为客户提供安全培训服务。特别注重在项目“交钥匙”前的一对一培训，实现项目知识的顺利转移与平滑过渡。