VRVed北信源内网管理系统用户使用手册

VRVed北信源内网治理系统用户使用手册WTDstandardizationoffice【WTD5AB-WTDK08-WTD2C】北信源内网安全管理系统用户使用手册北京北信源软件股份二〇一一年支持信息致电我司客服中心获得帮助和支持！热线支持：400-8188-110客户效劳：我公司产品的信任和支持！图名目表名目第一章 特别说明治理系统》、《北信源主机监控审计系统》、《北信源移动存储介质使用治理系统》、《北信源网络接入掌握治理系统》及《北信源接入认证网关》6大套件构成。本手册内容将随着北信源软件的不断升级而转变(以光盘中电子版发行时为最版)，恕不索取。本手册与本系统的安装配置手册中的全部图片均为示意图，请以实际产品为准。将不具备。读了本使用手册。产品构架8局部组成：WinPcap程序、SQLServer治理信息库〔安装包：环境初始化程序〕、Web中心治理配置平台〔安装包：网页治理平台〕、区域治理器(安装包：RegionManage，原区域扫描器已作为模块集成到区域治理器)、客户端注册程序〕、补丁下载效劳器、治理器主机保护模块、报警中心模块。环境初始化程序SQLServer治理信息库，建立北信源终端安全治理产品的初始化数据库。初始化的信息包未注册〕机器信息、设备属性变化信息、报警信息等。扫描器将设备最状态信息同数据库中原有信息进展遍历搜寻比照，依据规章要求在治理平台上报警。网页治理平台〔web治理平台〕Web中心治理配置平台，本系统的治理配置中心。包括区域治理器、扫描器、注册客户端制订、系统用户维护等配置操作。RegionManage区域治理器，系统数据处理中心，负责与治理信息数据库通讯扫描终端设备、掌握效劳〔用户填写的物理信息和系统自动采集的硬件信息〕并行存入数据库；承受来自掌握台的命令操作，发送到客户端、扫描器执行。报〔转发〕，对网络终端的多级治理。中原有信息进展遍历搜寻比照，依据治理规章在治理平台上报警。Web治理平台中配置的工作范围进展扫描，假设终端IP超越其范围，将不负责执行操作。Winpcap程序客户端注册程序将接收并执行效劳器下发的指令。该程序可以在“工具下载->用户注册器下载”处下载。访的相关信息，同时终端可以接收、执行各种下发的指令。注册程序自动探测系统硬件信息，连同用户填写的信息一同上报区域治理器。用户将本机注册信息发送到区域治理器后，区域治理器自动将客户端驻留程序应用策略发送给用户，并自动更。客户端驻留程序功能：进展本机硬件属性信息变化监视；进展本机IP、MAC地址变化审计；本机系统补丁、软件安装、运行进程状况监测；Web治理平台的治理命令；阻断本机非法外联行为；补丁下载效劳器安装在与Internet网络连接的机器上，用于实时下载补丁厂商公布的补丁。治理器主机保护模块IP范IP冲突以及各种网络、病毒攻击。报警中心模块所配置的报警大事和危急级别供给应治理员包括电子邮件、信使效劳、SNMPTrap、手机短信等多种报警方式。应用构架治理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。系统应用主要分为以下两种构架：根本构架：对于一般网络〔1CC类地址的局域网范围〕，可使用一套本系统软件，通过一个治理器集中治理所属区域内的全部设备。〔包括基于国家、省、市、县等多〕，可使用本系统供给的多区域集中治理构架，即一个或多个网段库，使得上一级治理人员对整个网络的设备状况也能够完全把握。1-1北信源终端安全治理应用拓扑其次章

北信源内网安全治理系统策略的使用策略的创立和分发中输入相应的策略名称，单击【创立策略】按钮开头创立策略。2-1创立策略。否则可能会消灭无法预料的系统错误。这些字符包括：“><”/=“(大于，小于，单引号，反斜线，等于)。2．依据实际需求配置策略，单击【保存策略】完成策略的创立。〔由于各个策略项的配置过程都不一样，下一节将具体介绍〕3．下发策略，即指定策略的执行对象。通过单击【对象】按钮，可按界面提示完成对象的安排。如以下图所示：2-2下发策略4．.假设需要让某一条策略临时不使用，可通过【停用】按钮使策略失效，需要使用的时可。如以下图所示，图2-3策略掌握策略的高级设置〔启动、停顿〕、策略存活时间〔策〕、策略执行触发条件〔在何种条件下开头执行策略〕、策略无效时间〕、策略应用范围〔本级区域、下级区域、全部区域〕、级联策略类型等，有些策略还包括具体的触发时间设置等。参数围

说明此处可以修改策略名称用于防止用户的误操作。制定策略的状态：启动/停顿即策略以天为单位的存活时间段克隆机策略策略下发结果查询-->策略下发查询-->终端治理-->当前执行策略

无效即策略以分为单位的无效的时间段有效用户则执行，否则不执行。执行该策略时，先推断是不是有效网管，是则执行该策略，否则不执行。客户端所在网关通讯的属于外网。的系统做成镜像〔gost〕，复原到某计有克隆机〔gost系统〕执行本策略，非克隆机不执行。1分钟；有的策略需要重启动生效，请看每条策略的具体说明。具有审计功能的策略，审计数据可以在“数据查询?审计数据查询”中查看。进程黑白名单在“进程监控”策略中可以使用，这局部包含系统预定义黑名单和用户自定义以加效劳名，同时可以加一些描述。软件黑白名单定义黑白名单。URL黑白名单编辑URL黑白名单在“上网访问审计”策略、“上网掌握策略”中可以使用，这局部包含系统预定义黑名单和用户自定义黑白名单。端口黑白名单编辑义黑白名单。可以通过“可移动存储审计”策略来实现。参数说明：

参数 说明不处理、启用、禁 本策略中所能掌握的硬件，都需要能用 够在windows系统设备治理器中进展制止和启用。例外 选择【启用】时将禁用例外中的设【禁用】时将启用例外中的不处理】选项保持原来的状，提高系统治理性能，假设对某项不关心可以选择该项。例外设备添加方法：右击我的电脑属性硬件设备治理器，消灭设备列表。的策略根底之上拦截操作

将是多条策略设置叠加后执行的效果。发的策略将掩盖原来的策略配置。里启用/禁用任何设备，假设取消则可以在设备治理器里启用/禁用设置为不处理的设备。审计结果处理审计结果处理上报效劳器：就是将审计记录上报到络时无法上报到效劳器就记录到本器。记录到本地文件：会在本地生成文件记录审计信息。起到在本地备份的作用。留意事项：假设要对原来禁用的设备启用，最好是明确的为该设备制定一条启用策略。略中也可完成，功能上没有什么区分，用户可以依据自己的习惯，自行设定。策略实例：允许使用光驱，但是制止使用刻录光驱。比方有两个光盘驱动器，分别为：GenericDVD-ROMSCSICdRomDevice和MATSHITAUJDA745DVD/CDRW。从文字显示上可以看出后面一个驱动器为刻录光驱，假设要制止刻录光驱，则可以将光驱项设置为“允许“，在【例外】中输入“MATSHITAUJDA745DVD/CDRW“上可刻录光驱都带有“CDRW“字样，【例外】中可以输入“CDRW“。多个例外之间用分号(“;“)〔英文半角格式〕分隔，如以下图所示：进程及软件治理软件安装监控参数说明软件名参数说明软件名设置需要进展掌握的软件名称，填入需要监控的软件名称后，点选【添加其他软件处理处理策略实例：留意事项：

掌握】按钮，假设想要掌握更多的软件，输入软件名称后，连续点选【添加掌握】按钮，以此类推，可以连续添加需要掌握的软件。同一类软件可件”、“必需安装软件”、“允许安装软治理员的需要自行设定。假设想要取消对某个软件的掌握，请在列表处选定软件的名称，然后点击【删除控制】按钮。施、高级设置项。中选中“允许安装软件”，再勾中“除以上列表的软件外，安装了其他任何软件都视为违规项”，表示只允许安装列表中的软件，安装其他软件均视为违规，即实现对软件安装的限制功能。同时选中【其他软件处理】复选框，那么安装任何软件都是违规的。指选定的对象假设违反了上述的软件安装监控策略的处理方法。不处理方式，是指不处理违反策略的对象，但是，相关的违规记录可以在Web治理器中查询。仅提示方式，是指中选定对象的用户假设违反了策略，将在客户端弹出治理员设置的提示信息。断开网络方式，是指当本策略启用时，选定的策略治理对象，假设违反了本策略，将对该计算机进展断离网络的处理，同时，该计算机弹出治理员设定的提示信息。1．“软件名”要和掌握面板中添加删除程序里的软件程序名一样，该功能支持模糊查询技QQ，可能由于各种版本不一样，在“添加删除程序”里显示的是QQ2004或QQ2005，这时您可以只输入QQ。2．静默卸载功能不支持模糊匹配，需要填写跟添加删除程序中的名称完全一样。略中治理，假设同一软件在不同策略中的设置不同，那么，取最终一个策略设置为准。4．本策略设置时，建议在高级设置，策略触发方式中，选中启动时触发和间隔触发选10分钟左右。进程执行监控配置违规处理措施。参数说明：

参数 说明需要进展监控的进程或效劳名称，进程的名称可以从windows的任务治理器的进程菜单中查询。填入需要监控的进程名称后，点选【添加掌握】按钮，假设想要掌握更多的进程，输入进程名称后，连续点选【添加掌握】按钮，以此类推。产品名称

务治理器”。“进程/*”，例如，进程/服务名：*，产品名称：MicrosoftOffice11Professional，掌握状态：必需运行，即表示必需运行MicrosoftOffice11Professional产品的全部进程。源文件名掌握状态其他进程处理规处理表2-4进程执行监控策略参数说明策略实例：图2-6进程执行监控策略留意事项：

】按钮，以此类推。文件名称后，点选【添加掌握】按的需监控工程。的掌握状态有三种，包括“制止运行”、“必需运行”和“允许运行”，这个掌握】按钮。进程外,不允许其他进程执行”，则表示只允许进程列表中的进程运行，其他进程均视为违规，即实现对进程运行的限制功能。本策略启用时，选定的策略治理对机进展2分钟后自动关机的处理，同时，该计算机弹出治理员设定的提示信息。进程名称、产品名称、源文件名之间是“或”的关系，填入其中一项或多项均可实现监控功能，其中，产品名称，主要用于监控一系列软件的使用，比方说，qq不同版本的程手动修改名称而避过安全系统的治理策略。本策略设置时，建议在高级设置-->策略触发方式中，选中启动时触发和间隔触发，间隔时间5分钟左右。3．启动路径为全路径或系统默认路径。进程保护策略策略实例：留意事项：这里的进程保护是指使用windows任务治理器和一般的应用程序无法终止该程序。相关策略的设置。主机安全策略用户密码策略令集。参数说明：参数参数检测到系统弱口令说明当系统检测到客户端承受了弱口令后后留意事项：

上报给区域治理器或者依据治理员设置的提示信息给客户端发出提示。“,“分隔。在windows系统密码策略中，策略是指密码的长度。法使用！也不能对同一台计算机安排两个这样的策略。3．检测系统弱口令，原理是使用每个列表中的弱口令来尝试登录计算机，它并不修改任何windows系统文件，本策略不会造成任何的计算机不稳定状态。4．用户密码策略：只适用于标准版操作系统，番茄花园版不支持；系统屏保设置：重启后生效；弱口令列表需要手动添加。用户权限策略时启用的方式，假设选择中有提示信息选项，将在客户端弹出治理员设定的提示信息窗口。留意事项：1．本策略的各项均在Windows系统掌握面板中的“用户与密码”项或者掌握面板中的治理对您的修改进展限制。协议防火墙策略各种网络使用和计算机端口的使用，起到防火墙的作用。参数 说明端口供给的，通过这种端口的方干扰的通信。Tcp/udp协议，网络windowsdos窗口输入“netstat各种端口正在被哪种效劳使用的，

协议类型

且这个效劳使用的是哪种协议。同单中选择相应的tcp/udp协议。“本地端口”和“远程端口”两个选项，相应效劳的端口。“禁用填充项中指定端口，开放其他端口”选项是指仅禁用在上边填用网络效劳。“禁用填充项中指定端口”选项是指仅禁用填充项中的掌握规章

其他端口目前的状态。“开放填充项中指定端口，禁用其他端口”是的关口和网络效劳，“开放填充项中指定端口”是指开放在上边填写的选项后，点击“添加端口连接掌握规章”按钮，所设定的掌握将消灭在页面下端的掌握列表中。指系统对ICMP协议的掌握，主要是通过推断计算机间的相互通信是否正常来推断的。一般来MS-DOSping命令即可icmp协议的掌握，主要是通过推断计算机间的相互通信是否正常来推断的。一般来说，ms-dosping命令即可。“制止ping入”是指不允许其他计算机〔包括局域网ping出”是指不允许设置的〔包括局域网计算机和远程计算机〕的通信状态。“制止双向”同时制止任意两台计算机〔至少有一台是本地计算机〕的通信检测。设定好后，点击icmp协议掌握规章”按钮，，所设定的掌握将消灭在页面下端的掌握列表中。规制

ip地址或ip地址范围。“ip地址访问自ip地址访问”是指，ip地址范围内的计算管制方式 算机。“只允许自己访问填充项中ipip地址”是ip地址范围内的计算机供给的网络效劳。设定好ip访问掌握规章”，表中，点选，然后点击下边的“删除规章”按钮。指的是本IP不受上边制定的全部策略的限制。IP超级端 指本端口和所对应的效劳不受上边制定的全部策口 略的限制策略实例：如以下图所设置的一个样例表示：只开放本地计算机的80端口；只允许该IP地址段中的IP入。2-8协议防火墙策略留意事项：和协议对计算机用户的网络操作进展监管。注册表检查策略序修改，起到对计算机的安全防护作用。参数说明：参数 说明参数 说明运行】项输入“regedit”然后点确定。出注册表项名称 现注册表窗口，在左边窗口显示的就是注册表项的名称键名 窗口中，右边窗口中的名称标题下的内容就是键名值类型 右边窗口的值类型的三个选项“reg_sz”、“reg_dword”、“reg_binary”键值 右边窗口中的数据标题下的内容就是键值检测条件 依据需要选择相应的条件检测条件 依据需要选择相应的条件适合操作系统 依据对象的计算机操作系统状况进展选择具体的操作系统假设要删除注册表项请确认该项对系统的掌握操作 正常使用不会造成影响。删除项会同时删除该项下的子项和键。2-9注册表留意事项：IPMAC绑定策略IPMAC绑定发生变化时，可对其实施自动恢复、弹出提示框、或断开网络并持续阻断该计算机等掌握。参数说明：参数置：客户端IP,MAC绑定化策略实例：留意事项：

说明点选该选项，才可以使用本策略的功能。中标识身份的地址和计算机的网卡标识号码的匹配。指客户端计算机用户修改了自己的ip地址macip地址相匹ip地址匹配，这就是ip、mac绑定发生变化。系统依据这种状况4种处理方式，“不处理”、“自动恢复”、“断开网络”，并且提示治理员设定的信息、“仅提示”只提示治理员设定的信息。“客户端IP,MAC绑定”选项确定不能在动态IP的设备上使用。ip和除网络治理员的账户其他帐户均有效即可。杀毒软件运行监控策略参数参数设置说明安装杀毒软件时，将弹出治理员设定的提2分钟后自动重启动、“断开网络”断开和网络的连接，并弹出治理员设定的提示信息、“仅提示”只发给客户端提示信息。用于自动升级杀毒软件。这此功能生效的条件是需要把杀毒软件的升级文件放到VRV\RegionManage\Distribute\AntiVirusUpdate名目中相应的杀毒软件升级文件夹中，目前支持的可升级的杀毒软件有北信、瑞星、诺顿等。2-9杀毒软件运行监控补丁分发策略、软件分发策略接入认证策略违规外联监控防违规外联策略功能说明：监视违规网络连接〔modem拨号、双网卡、代理等〕，并对违规行为做出相应的处理，检测计算机的网络使用是否符合制定的原则，对不符合原则的计算机进展处理。参数说明：参数 说明反了治理员制定的规章。“外网地址”选项，是利用系统的功能，对网站通信时，视为本机违反策略。“客户端所限定使用的网段”是指，假设客违规监控设置户端访问的ip地址超过了在这个选项中设置的范围，也视为本机违反策略。本选项ip地址范围，范围中间区域用“—”来间隔。其中的一种或者两种同时使用都可以满足您的需要。上网访问

使用内网或者外网的大多数代理效劳。A：假设客户端同时连接内外网，本选项一探头觉察设备 略治理对象，假设违反了本策略，违规后的处理 将对该计算机进展断离网络的处理，同方式 时，该计算机弹出治理员设定的提示信2分钟后自动关机的处示信息。B：假设客户端仅在外网，一般是指，客户备上网的状况。在处理方式中，仅提示方式，是指中选定对象的用户假设违反了策略，将在客户端弹出治理员设置的提示信息。断开网络方式，是指当本策略启用策略，将对该计算机进展断离网络的处示信息。关机方式，是指当本策略启用2分钟后自动关网络的时候，提示用户进展安全检测。策略实例：2-11防违规外联策略以下图所示：留意事项：1．当计算机离开本地网络，并进展过联网后，回到网络仅提示安全检查，本系统并不对其进展具体的安全检查。行为治理及审计、涉密检查策略可移动储存治理请参照第五章北信源移动存储介质使用治理系统主机运维策略运行资源监控策略CPU、内存、硬盘等关键硬件的信息就能直接反映它们的运行情参数说明：参数 说明cpuwindows系统任务治理cpu使用率过cpu信息2-11运行资源监控策略参数说明留意事项：

硬件配置状况和使用状况自己制定限制的数值。“上报”复选框是将计算机超出设定在其本机弹出治理员设置的信息。windows系统任务治理器中的性能菜单下查询。当内存使用率过高，并且持续时间比较长的话，将会影响计算机的正常使用。用户可依据计算机的硬件配置状况和使用状况自己制定限制的数值。点选“检测其他盘符”时，输入相应的盘符和设定的剩余空间,也会产生报警信息。100%,可能会造成策略对象计算机的死机，无法处理系统发出windows操作系统问题。进程特别监控功能说明：对客户端的进程状态进展监控。参数说明：参数 说明在相应的“监控窗口名”处填入需要监控的windows任务治理控监控意外效劳监控留意事项：

器的进程菜单下查看。选择具体需要的操作：“上报”：将状况上报给区域治理器；“完毕进程”：在客户端完毕该进程；“完毕并重启动进程”：在客户端先完毕进程，然后再启动该进程。在相应的“监控进程名”处填入需要监控的windows任务治理器的进程菜单下查看。在相应的“监控效劳名”处填入需要监控的效劳名。效劳名可以在windows任务治理器的效劳菜单下查看。1．本策略的设置是针对进程的，留意不要和“进程执行监控”相冲突，引起系统的不稳定。垃圾文件清理相应的文件类别中选择需要清理的文件类型。留意事项：FAT32文件系统中被删除的文件放置在回收站中,NTFS文件系统中直接删除。的话，请先关闭相关的应用程序。系统自动关机关机前在客户端弹出治理员设定的提示信息。〔在本策略的对象中设定的〕计算机的网络的平均流量和并发连接数，以及可疑发包等网络流量策略来审计网络的使用。参数说明：参数设定定义

说明依据缺省建议设置。省建议设置。一般来说，推举使用系统默认的数值，如发包可疑定义 果您有意修改以上的数据，建议您询问网络治理员。表2-13流量采样策略参数说明留意事项：1．此处仅对相应的流量数据进展统计，统计数据可在数据查询中进展查询。流量掌握策略〔在本策略的对象中设定的〕网络使用的监测，协调整个网络的流量。参数说明：参数 说明参数 说明时间内的总的数据传输量求出的客户端总流量 流量数。治理员可以依据网络实际状况设定具体的数值流量和持续时间。疑违规

对网络的使用是否合规。一般是指计算机接到了超出了正常网络效劳使用中的接到数据包的范围，还有单位时间应当从网络上其他计算机上接到的icmp数据包数量。这里的数量值取得都是我们在流量采样策略中设定的相应的数值。“上报”，是指内网安全治理系统自动将违反上述选定了的规章的计算机上报给区域治理器。“自动阻断”：是指假设客户端计算机违反了上述规章的计算机断网处理，时间一般5分钟左右；“永久阻断”：只要被执行 阻断一次之后，必需通过终端掌握中的恢复网络连接功能才能恢复网络连接。“客户端提示”，是指假设客户端计算机违出治理员设定的消息。表2-14流量掌握策略参数说明留意事项：1icmp收发包特别的监控来实现功能的策略，本策略采用的大多数监控数据，是从流量采样策略中设定的。2．收发包特别的状况一般是由一些计算机端口的扫描软件或黑客软件造成的，需要治理员多加留意。3．本策略的设定要求对网络和网络协议有肯定的了解，请在网络治理员的指导下设置，系统承受的默认值可以满足一般网络环境的要求。4．并发连接数可疑或发包可疑的前提是客户端总流量走出设定。消息推送〔在本策略的对象中设定的〕计算机发送消息通知，恳求重注册信息以及要求升级等消息。参数说明：参数参数消息功能说明“仅消息通知”和一般的消息分发没有什么消息。“消息通知并确认回馈”是指在客户端计算算机显示后，要求用户确认。“重注册”在客户端计算机弹出注册窗口，要求用户注册。信息，不进展实际操作。消息推送扩展策略〔在本策略的对象中设定的〕计算机发送消息。备份策略客户端文件备份参数说明：参数全路径)备份过滤IP间隔时间

说明设置需要备份的文件或名目的全路径。备份。下1203分钟。表2-16客户端文件备份策略参数说明留意事项：1．该功能通过共享文件夹拷贝方式备份，配置前需要确认所输入的用户名和密码对共享名目必需有写权限，假设以2003系统作为备份效劳器，则需要将效劳器改为使用经典登录才可用。屏幕抓取策略功能说明：在肯定时间间隔内抓屏并备份到效劳器上。2-13文件备份路径设置屏幕录像策略终端配置策略终端设置策略参数同步终端时间自定义探头应答IP自定义参数同步终端时间自定义探头应答IP自定义ARP阻断置IP说明可同步客户端时间为效劳器时间。Agent不受冒充指令的干扰，Agent只承受来自治理器效劳器的指令IPIP并安排给终端设备。可设置每次发送ARP哄骗包的间隔时间和持续时间。效劳器的双机热备功能。设备离网阻断断绑定正确网关MACARP的共享名系统机名称关联载隔补丁信息上报2-17终端配置策略参数说明治理器策略

设备内存或硬盘变化时阻断通信。ARP病毒对网关的哄骗。启用该功能后，会提示选择正确的网关地址。可以取消系统默认共享。之间用半角分号(;)分隔。中默认的系统选项。用人项在指定指定时间点卸载。限制该机只允许使用域用户登录。间隔。将终端补丁安装信息上报到效劳器。器。间。订阅级联审计数据策略终端升级治理策略留意事项：该策略没有策略内容和启用/停用设置，可以指定一局部特定的终端自动升级，只需要前版本运行。策略分给全部的终端实现整网统一升级。3．整个系统仅允许使用一条这样的策略，并且不具备级联功能。组合策略组合策略分发成策略组。留意事项：1．其中各个子策略都必需为启用状态。漫游策略分发临时客户端分发功能说明：只针对临时客户端所发送的策略。制。如以下图所示，图2-14注册码配置按对象安排策略按设备安排IP、设备名或使用人查询下发给该设备的策略，能够快速查找到相应的客户端正在执行的策略，并支持模糊查询。按设备组安排以编辑或取消该策略。策略下发查询IP、名称和下发时间等信息。网关接入认证配置阻断违规接入治理网而带来的安全威逼，通过选中“没有注册则阻断联网”复选框便可阻断该设备。同时供给了“警告信息”功能〔必需开启信使效劳〕、IP、MAC绑定等功能，如以下图所示：图2-15阻断违规接入掌握设置补丁分发数据查询数据查询是依据内网安全及补丁分发治理系统工作的结果，向治理员供给对网络设备信定的策略对应的。本地注册状况统计图2-16本地注册状况信息本地设备资源统计图2-17本地设备资源信息本地设备类型统计2-18本地设备类型统计USB标签信息查询USB标签制作查询查询USB标签制作记录。信息显示包括U盘编号、唯一序号、所属部门、拥有人、U盘USB标签黑名单查询USB黑名单记录。效劳器会把USB标签黑名单发送给客户端，当插入的USB时，USB标签是否在黑名单中时，假设在将被制止使用。USB授权个数查询查询USB授权个数。显示信息包括用户名称、USB授权个数和USB剩余授权个数。设备信息查询设备信息查询查询信息包括计算机所属区域、单位、部门、使用人、设备IP、MAC、注册、重注册、信任、保护、阻断、开机、杀毒软件、杀毒厂商、系统等信息。注册资产查询安装软件查询件进展查询。首次运行进程查询查询。可以用于对病毒、木马、黑客程序等进程的查询。共享名目查询IP占用状况列表IPIPIP。硬件变化查询〔增加或卸载〕，则可通过该查询条件查到。软件变化查询前安装软件和数据库保存的信息，来显示软件的变化。如以下图所示，注册日志查询2-20注册日志信息操作系统安装查询UUID、操作系统名称和操作系统安装系统等信息。计算机开关机查询据。离线设备查询ip地址等信息。审计数据查询可以对以下审计进展查询：移动设备审计、上网访问审计、上网访问统计、文件输出审域治理器工作日志和终端代理审计。分发数据查询计。Windows操作系统设备对非windows操作系统设备的硬件资产和软件资产查询。终端治理终端治理设备根本信息：可以猎取该客户端根本注册信息。终端进程治理：可以猎取该客户端当前运行进程。终端效劳治理：可以猎取该计算机远程效劳启动状况信息。终端端口治理：可以查看远程计算机连接协议类型、IP地址、端口号。录。查看运行资源：远程查看客户端计算机的运行资源状况。查看系统用户：远程查看客户端计算机的系统用户状况。硬件资产查看：远程查看客户端的实时硬件信息。当前执行策略：查看该客户端当前执行策略。终端访问审计：远程实时审计客户端的访问状况。行为掌握运行程序：可以在效劳器端强行指定客户端运行以.EXE、、.BAT等为后缀的可执行程序，并可以以效劳或隐蔽执行两种方式运行。修改网络配置：可远程修改客户端计算机的名称、IP和DNS等网络配置。断开网络连接：可以远程阻断客户端联网，并可自定义提示信息。解锁”功能，治理员就是在这里进展解锁的。同步客户端数据：通过同步客户端数据使客户端注册数据同效劳器保持全都。注册信息。信息。级。客户端卸载：点击后可以远程对客户端探头进展卸载。启前进展提示。远程帮助远程支持注：使用该功能必需在当前区域治理器注册客户端才能使用。运维监控户端进展流量报警。〔如：30分钟内最大值、当天最大值、本周最大值等〕IP、名称以及所属的区域名称等信息。流量、累计连接数和累计连接时间进展排序。态的客户端。CPU信息报警、内存信息报警、硬盘信息报警、未响应进程和意外退出进程及效劳的特别信息。换设备，并自动将交换机连接的计算机设备纳入该交换机治理范围列表。2-21交换机扫描治理配置SNMP协议。联系到网管。报表治理可以统计网络中设备硬件信息、系统信息、注册状态，以及级联系统数据信息。具体包注册状况统计、级联设备系统信息统计、级联设备硬件信息统计。供给对网络中全部设备信息的统计：在线设备：当前网络中开机运行的设备；注册设备：已经注册的计算机设备；Unix/Linux、路由器、交换机设备通过手动添加写入数据库；NAI等杀毒软件。报警治理IP绑定等大事性安全信息进展报警统计，并支持级联方式下的报警数据查询。VIFR报警、阻断报警、IP绑定变化、违规外联、设备变化、流量特别、探头卸载、病毒行为等大事的报警。报警数据查询策略中心各种报警策略的报警信息查询，报警信息包括VIFR报警、阻断报警、IP绑定变本地区域报警数据统计IP绑定变化、探头被卸载、流量特别和阻断报警。可以按区域和时间查询。本地报警数据汇总级联总控级联注册状况统计2-22设备信息统计图表级联设备资源统计CPU、系统内存、未打补丁和硬盘存储量，如以下图所示级联设备类型统计用于级联设备系统类型统计。如以下图所示级联治理掌握2-25级联治理掌握IP，治理器名称，机构名称，运行状态信息会自动显示出来如以下图所示，2-26下级级联区域治理器信息台。区域治理器状态查询是否正常运行以及运行的状态。区域扫描器状态查询2-28区域扫描器状态信息级联上报数据2-29级联上报数据级联报警数据系统维护修改治理员的密码等操作。用户列表列表中的和代表用户名称的排列挨次，是实行升序还是降序的方式排列。2-30系统用户列表列表中的和代表用户名称的排列挨次，是实行升序还是降序的方式排列。添加用户治理员可通过导航菜单的“系统用户安排与治理” 添加不同角色的下级系统用户。系统用户的类型为一般用户，而admin为超级用户。2-31添加系统用户界面注：用户名长度必需为3-15个长度的字母、数字或者中文；密码长度必需包括字母和数20位。用户治理限及其治理操作。图2-32用户治理列表权限安排安排的用户默认没有任何治理权限分组权限权限(admin用户除外)任何用户均只能治理与安排上级用户为其安排的用户权限区域治理权限审计数据等。可以通过勾选“允许掌握”项来实现对区域的治理。组织构造与自定义组权限。策略掌握权限系统用户的操作权限〔只读/读写〕以及删除权限。也可以通过上面的【全部设为只终端掌握权限2-33终端掌握权限屏幕监控权限ipip段的终端的屏幕掌握权限，设置如以下图所示：2-34屏幕监控权限其他掌握权限员给自己安排的权限实现对效劳器端的治理。密码初始化弹出提示框：2-35密码初始化提示框2-36密码初始化完成提示框单击【确定】，该系统用户登录密码变为初始密码：123456。用户设置修改治理员密码该处密码修改功能只能对治理员〔admin〕的密码进展修改操作。其他用户的密码修改操作在该处不适用。密码长度有数字和字母组成，最大长度为20位2-37admin用户密码IP访问掌握掌握指定IP对web平台的登录访问。数据重整进展重整。2-38数据重整信息表数据重整状况处理分为四种情形：IP和MAC重复：当消灭设备的IP地址和其MAC地址重复时，则进展删除处理。IPIP地址不在区域治理器设置的区域范围内时，则对其进展删除处理。长时间未使用：当该设备未使用天数超过设置的天数时，则对其做数据重整。IPIP范围发生转变时，则需要重对数据进展整理。审计用户audit123456，如以下图：图2-39审计用户登录系统日志USB标签制作查询：查询USB标签制作记录，包括U盘编号，U盘状态、标签和全部人等信息。USB授权个数查询：查询USB授权信息，包括USB授权个数和USB剩余授权个数等信息。用户操作日志：查询用户操作日志，包括操作内容和操作时间等信息。IP地址、登录用户名称等，以备进展事后审计。策略操作日志：针对治理员对系统策略的修改、增删等各种操作进展具体记录。第三章 及文件分发治理系统区域治理器补丁治理设置补丁下载配置进展补丁分发治理前，首先需要对区域治理器的补丁下载治理模块进展设置：配置治理--高级配置-->补丁下载C:\VRV\，该名目下的\RegionManage\Distribute\Patch即为补丁下载默认的存放路径，供给应客户端下载。3-1区域治理器补丁治理设置参数下载流量限制级联选项补丁级联下载功能

说明补丁数量区域治理器IP和数据通讯端口载系统补丁，其系统补丁均可从总部的效劳器上获得。使用该功能时要求在下级安装的区域治理器的相应选项中填写上级区域治理器的IP地的补丁将存放在\vrv\RegionManage\Distribute\Patch\名目下保存。文件分发策略配置3-2分发参数设置ping探测】。确定分发文件所在的联选项中，指定上级区域治理器级联IP地址等，上述局部参数依据系统默认设置即可。区ping一下客户端，ping通之后再下发策略。优点：效率TCP方式，此方式效率低。策略中心功能说明：可以实现对补丁按类型、分组自动分发，并且可以设置下载前提示、运行前提示、检测方式等。参数说明：参数说明分为“system”、“IE”、“应用程序”三个选IE扫瞄器、和一些应用程序的补丁的分类，在我们的内网安全治理系统中，主要是指微软补丁类型官方公布的各种补丁和我们北信源公司发布的各种安全补丁程序。“等级大于等于”下拉菜单主要指微软官方对补丁所带来的系统风险的评估，等级越高，相对应的风险越高。这个模块是内网安全治理系统为了便利管理员对补丁的治理而设置的分组，治理员补丁分组可以依据自己的习惯将补丁划分为“A组”、“B组”“C组”三局部，具体的划分，需要在主系统菜单中的“补丁分发”菜单中补丁测试运行设定检测方式出错处理表3-2补丁自动分发策略参数说明策略实例：图3-3补丁自动分发留意事项：

的补丁库分类列表中制定。“补丁分发”菜单中的补丁库分类列表中选定相应补丁，然后点选页面左上角的“允许下载补定”选项也可以到达补丁的目发”策略来到达向全网络公布补丁的目的。略。其中的“运行优先级”的从低到高，是下载前提示，是指在客户端下载补丁之装程序。“启动时检测”，是指在计算机启动时，进展补丁程序信息的检测；“停顿检测”，息；“定时检测”，是指设定计算机定期定时去进展补丁程序信息的检测；“间隔检测”，是指每隔设定的时间段进展补丁程序信息的检测。点选“下载失败重试”复选框，则客户端假设不能从效劳端成功下载策略规定的补间隔填入后边的空白处即可。补丁安装使用后台运行方式时，设定的优先级要适当，避开影响客户端的正常使用。人工选择补丁分发功能说明：通过策略供给客户端补丁的治理员手工设定的下载及安装，可设置补丁探测时络客户端后，客户端注册程序统一执行补丁应用策略。参数说明：参数 说明假设需要执行该补丁自带的某些选项的运行设置检测方式出错处理

在该补丁的说明书中找到，或者在Ms-Dos窗口中敲入该补丁文件名加“/？”参数进展查询。“后台运行”：是指不提示客户端，不显示策略。其中的“运行优先级”的从低到高，整体系统资源占用的比例也是从低到高的。“下载前提示”，是指在客户端下载补的信息。“下载完成后提示并执行”，是指补丁安装程序。“停顿检测”，是指不检测补丁效劳器中的补丁程序信息；“启动时检测”，是指在测；“定时检测”，是指设定计算机定期定时去进展补丁程序信息的检测；“间隔检测”，是指每隔设定的时间段进展补丁程序信息的检测。点选“下载失败重试”复选框，则客户端假设不能从效劳端成功下载策略规定的补间隔填入后边的空白处即可。间隔填入后边的空白处即可。留意事项：1．留意此处设定的策略，不要与补丁自动分发策略中的设置相冲突。软件分发策略注：上传文件的终端需要注册。参数说明：参数命令行参数3-4一般文件分发策略参数说明

说明件的位置，要手动输入。Ms-Dos窗口中敲入该命令加“/？”参数进展查询。“运行前提示”，是指在客户端下载完成容。“重复执行”，是指在客户端每次开机的升级。“后台运行”，是指不提示客户运行的处理策略。〔也可以一次上传多个文件〕。最终单。留意事项：1成功；IE7等扫瞄器的安全级别调至中或者中低；2Web治理平台安装的计算机上进入名目下手动删除该文件即可。其他策略终端配置策略、治理器策略、按对象安排策略、策略下发查询请参照其次章北信源内网安补丁分发将猎取的补丁放在本地%windir%\system32\distribute名目下，下载后可自动安装，安装后会自动删除安装文件。补丁分发结果信息进展查询。置响应的提示信息。的网络终端进展补丁安装状况查询。计。计。计。中风险漏洞、低风险漏洞的终端数。级联补丁分发查询：可以按IP地址、补丁号和下载补丁时间查询级联补丁的分发状况。下载补丁数量等。和下载补丁数量等。补丁自动下载分发级联方式的补丁自动分发安装和监控。统一补丁分发通过北信源补丁下载效劳器〔互联网〕从互联网下载全部补丁。Internet上进展补丁下载，巨大的补丁库使得每次补丁导入工作格外烦琐。北信源针对装、未安装补丁，分类导入系统补丁，即仅对内网的补丁进展“增量式”的升级，以提高效〔系统菜单中的补丁策略定义、补丁库分类、补丁安装查询、补丁下载查询主要基于此种方式工作〕。补丁下载效劳器3-4补丁下载效劳器界面件。安全治理的系统\vrv\RegionManage\Distribute\Patch\名目下保存。指定下载补丁类型包括：中文补丁、英文补丁。微软公布的级别补丁：0级、1级、2级、3级、4级。NT、Windows2000、WindowsXP、Windows7和其他(包括Windows2003)。补丁下载设置3-5补丁下载效劳器设置补丁库分类识别补丁重要程度。等补丁属性，北信源终端安全治理自动识别补丁的不同属性并归类。补丁库分类包括：A类、B类、C类、T类。将全部补丁自由组合为不同的类，A类、BC类、T类为用户自定义类型补丁〔T类建议为测试类型补丁，用于一些特别补丁的测试，指定用于特定的测试组机器〕。补丁下载转发代理较多的计算机下载补丁或者文件时，计算机可以搜寻接近IP范围内状态最好的计算机，器的数量，削减网络的带宽的占有率，保证工作的正常进展。客户端补丁检测〔一〕将补丁下载效劳器下载的补丁和补丁索引拷入区域治理器系统：RegionManage\Distribute\Patch名目下。WebIISpatchWeb虚拟名目〔〕，供给客户端访问补丁自动探测功能。Web治理平台的客户端补丁探测主页上，该主页自动探测客户端是否注册，假设已经注册，将显示该系统补丁安装状况，依据提示信息选择性手动下载补丁安装。3-7补丁下载设置参数参数头时提示说明示示补丁类型头探头下载地址补丁检测中心

〔操作系统补丁、IE补丁、应用程序补丁等〕对于没有注册的用户，提示进展注册ip/vrveis/download/3-8登录页面3-9工具下载页面3-10补丁检测中心客户端补丁检测〔二〕Web治理平台中的终端功能对客户端机器进展补丁治理。终端点-点掌握查看漏打补丁3-11客户端补丁漏打检测第四章

北信源主机监控审计系统行为治理及审计文件输出审计策略报。这里的打印掌握与审计功能包括本地打印和网络打印。参数说明：参数 说明选定“制止打印文件”复选框，设置不允许打印输出掌握邮件输出掌握表4-1文件输出审计策略参数说明留意事项：

“审计打印文件”复选框，全部打印的文件选定“制止将文件拷贝到网络盘”复选框，可在“制止拷贝文件扩展名”的空格处填入相应的文件扩展名。假设选定“审计网络拷贝文件”复选框，全部网络拷贝的文件选定“制止发送邮件”复选框，即可制止发送邮件。假设选定“审计发送邮件”复选框，全部发送的邮件都要经过内网安全管理系统的审计备案。1．本策略涉及到网络办公的一些功能，请在设置前规划好需求。功能说明：保护和审计客户端的指定名目和网络共享文件的读取、修改、删除权限。。留意事项：本策略涉及到网络办公的一些功能，请在设置前规划好需求。的正常使用。上网访问审计Web站点的访问，并且能够将审计结果处理上报到效劳器或者记录到本地文件。参数说明：参数站点名限制方式理上网掌握策略

说明称。web站点的访问进展审计的处理方法。“仅审计对以下Web站点访问”的方式，是指对列表中的web站点的访问进展审计。“仅不审计对web站点的访问不进展审计。理方式：上报到效劳器、记录到本地文件。〔在本策略的对象中设定的〕计算机的一些指定网站的屏蔽。留意事项：1ip访问的客户机没有什么效果。IM即时通讯记录审计地也可以上报到效劳器。留意事项：QQMSN两款软件。安全刻录审计功能说明：对客户端的刻录操作进展掌握与审计，包括是否允许刻录、允许刻录的文件类涉密检查策略上网访问痕迹检查IE缓存、IE清单、Cookie信息、保藏信息框。文件内容检查夹的名称及检测文件的后缀名称，按规律条件进展检测，“or”代表两个条件中有一个成立则检测，“and”代表两个必需要都符合才检测。参数说明：参数检测文件夹检测文件后缀名方式检测内容

说明全盘检测,否则请输入盘符或路径。输入要检测的文件的后缀名。选中“仅检测符合的文件名”选项只检测文件名字，不检测文件内容。文件名(不带扩展名)在3个文件。“AND”、“OR”。三个检测内容项分别填写三个需要检测的文件。文件。终端涉密检查配置终端文件粉碎配置其他策略全治理系统的策略中心中的对应项。数据查询上网访问审计上网访问统计以及访问次数等信息。IM即时通讯审计审计指定范围内的客户端在指定时间段的IM即时通讯记录，包括QQ、MSN两种通讯软件的通讯记录。文件输出审计审计指定范围内的客户端在指定时间段的文件输出，包括对打印文件输出，电子邮件输文件保护审计和删除文件。涉密检查查询IE访问涉密检查〔IE缓存、IE清单、cookie信息、保藏夹〕，文件内容涉密等方面的查询。第五章

北信源移动存储介质使用治理系统〔需要对本单位的移动设备添加标签〕。备中添加标签的操作需要使用移动存储设备认证工具完成。具体配置，见附录(二)。留意事项：有什么区分，用户可以依据自己的习惯和用途，自行设定。2．审计只审查文件名，不对文件内容进展检索。其他策略全治理系统的策略中心中的对应项。数据查询移动设备审计SAFE6登录审计。第六章 接入掌握治理系统网关接入配置认证6-1网关接入认证6-2重定向配置6-3用户添加策略中心接入认证策略补丁与杀毒软件认证策略Vlanurl地址去下载安装或者直接限制网络访问，当限制网络后可以添加允许安全效劳器访问的地址。参数说明：参数(URL地址)未运行杀毒软件时

说明可以把杀毒软件的安装包放在指定的URL页面中，当客户端没有运行杀毒软行安装包。的配置做相应处理。客户端被限制网络访问后，允许其连通的效劳器。安全许安全效劳器连通列 效劳器的作用是修复客户端。表许安全效劳器连通列 效劳器的作用是修复客户端。表策略实例：留意事项：“系统补丁安全检测”仅设备启动时检测一次。被限制访问后下次重启动才会恢复。进程效劳注册表认证策略键名。接入认证策略功能说明：协议是基于Client/Server的访问掌握和认证协议。它可以限制未经授权的用户/设备通过接入端口访问网络。在获得交换机或LAN供给的各种业务之前，对连接到交换机端口上的用户/EAPoL〔基于局域网的扩展认证协议〕数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺当地通过以太网端口。如以下图所示：6-5接入认证策略依据配置，可以做到两种方式联网；a.当策略检测符合要求后认证成功会自动联网；b.也例：6-6802．1x认证界面效劳器中预先设置的用户名和口令，开启认证，如图：6-7802．1x认证界面6-8安全检查没有通过，不启动认证Radius效劳器中预先设订用户名和口令，则认证也失败，如图：留意事项：认证状态有三种颜色，红色：认证失败。黄色：未进展认证。绿色：认证成功。密码验证类型：客户端与效劳端类型全都才可以通过。与密钥支持。网关接入认证功能说明：协作硬件网关，进展网关重定向配置。留意事项：VIFR接入认证虚拟隔离强制注册。参数说明：

参数 说明非主控效劳器可以处理一些主控效劳器执终端校验

行的任务。主控效劳器的压力。问的重要效劳器表6-2VIFR接入认证策略参数说明其他策略

可以访问未注册终端。访问在同一个网段的重要效劳器的。全治理系统的策略中心中的对应项。环境预备方法RADIUS(windowsIAS)RADIUSWindowsInternet验证效劳6-10Internet验证效劳组件IASIAS配置界面6-11IAS配置界面RADIUS效劳器添加客户端RADIUS客户端”。客户端地址为验证交换机的治理地址，点击【下一步】。6-12RADIUS客户端选择“RADIUSStandardkey。点击【完成】。6-13RADIUS客户端右击“远程访问策略”，单击“建远程访问策略”。6-14建远程访问策略设置远程访问策略图6-15设置远程访问策略2．选择以太网，点击【下一步】图6-16设置远程访问策略6-17设置远程访问策略选择用户MD5质询，点击【下一步】，并完成。图6-18设置远程访问策略使用MD5质询6-19设置远程访问策略建的策略6．点击【添加】，选择“Day-And-Time-Restrictions”图6-20选择Day-And-Time-Restrictions6-21选择允许8NAS-Port-Type匹配”Ethernt并选择授予访问权限图6-22设置属性9．单击编辑配置文件，选择高级 选择【添加】[64]Tunnel-Type：VLAN[81]Tunnel-Pvt-Group-ID：VLANID6-23vlan6-248026-2560026添加属性值60010．单击【确定】设置连接恳求策略1．右击连接恳求策略，选择建连接恳求策略图6-28建连接恳求策略6-29为策略取名字3Day-And-Time-Restrictions，配置方法同上。然后始终【下一步】并完成。添加认证用户1．添加远程登录用户。在本地用户和组中建一个用户。图6-31添加远程登录用户USERS组图6-32设置用户属性点击拨入，设置为允许访问6-33test用户windows设置安全设置帐户策略用可复原的加密来存储密码启用6-34设置启用IAS配置完成。VRVEDPAgent认证成功。图6-35VRVEDPAgent认证成功7．RadiusServer:CiscoCiscoACS前，需要先安装JDK环境CiscoACS配置页面UserSetup，进入创立用户界面6-36创立用户界面Add/Edit进展用户的添加6-37用户添加6-38设置用户密码NetworkConfiguration6-39NetworkConfigurationIP地址是交换机的治理IPAAAServersRadius效劳器的地址AAAClient配置6-40AAAClient配置AAAServer配置6-41AAAServer配置InterfaceConfiguration6-42InterfaceConfigurationRADIUS(IETF)64，65，81项，保存6-43RADIUS(IETF)GroupSetup6-44GroupSetupEditSettings64，65，81项64Tag1VLAN65Tag180281Tag1选择需要跳转的VLANID号。VLAN当中。6-45EditSettingsp各厂商交换机配置Cisco2950配置方法Enable/*进入特权模式*/configt/*进入全局配置模式*/aaanew-model/*aaa认证*/aaaauthenti