金盾软件NACP10.1产品用户手册准入控制

金盾软件NACP10.1产品顾客手册山东华软金盾软件股份有限公司4月27日目录金盾软件NACP10.1产品顾客手册 -0-一、 前言 -1-(一) 介绍 -2-(二) 文档目的 -2-(三) 读者对象 -2-二、 登录系统 -2-(一) 登录管控平台 -2-(二) 管控平台配备 -5-(三) 帐户配备 -6-(四) 管理员密码修改 -9-三、 模块功效操作 -11-(一) 部门配备 -11-(二) 顾客管理 -13-1、 新顾客审核配备管理 -13-2、 新顾客入网审批 -15-3、 顾客基本信息 -18-4、 顾客方略设立 -23-(三) 方略 -24-1、 方略配备库 -24-2、 终端通信网段配备 -32-3、 安全规范库 -34-(四) 图表 -44-1、 在线状态分析 -44-2、 测评状态分析 -45-3、 入网风险分析 -46-4、 违规事件分析 -47-5、 系统运行状态分析 -48-6、 入网审批分析 -49-7、 网络使用分析 -50-(五) 系统 -51-1、 系统日志 -51-2、 系统设立 -53-前言介绍金盾NACP网络接入控制与身份认证系统—简称NACP，是集首页、视图、顾客、方略、审批、图表、系统于一身的安全管理系统。文档目的金盾NACP系统具体配备手册重要用于指导管理员如何对顾客进行方略下发，查看审计等操作。读者对象本文档合用于金盾NACP系统管理人员、赋予单独模块管理角色的管理员。登录系统登录管控平台通过打开IE浏览器，输入，会出现首页页面，以下图所示：图2.1-1首页点击NACP模块图标，打开系统登录页面，以下图所示：图2.1-2登录 内置控制台登陆帐户和密码：超级顾客：system 密码：12345678管理员：administrator 密码：12345678操作员：operator 密码：12345678审计员：auditor 密码：12345678注：强烈建议您及时定时修改密码当登录NACP系统后，进入NACP首页界面，在这个界面中包含了菜单栏、目前管理帐户等。如图所示：图2.1-3NACP首页菜单栏：终端安全系统的全部主功效菜单。主界面：位于整个页面的右侧，显示每个子功效对应的界面。目前管理帐户：位于整个页面的右上方，显示目前登录系统的账户信息。管控平台配备选择【系统】-【系统设立】-【管控平台】，打开管控平台界面，以下图所示：图2.2-1管控平台设立管控平台帐户密码复杂度：密码长度和必须包含的内容设立。允许登录控制台地址：配备范畴内的IP才干登录控制台。限制非法登录次数和锁屏时长：超出了限制的非法登录次数就会锁屏，不能进行登录；达成锁屏时长后才干进行重新登录。帐户配备点击【系统】-【系统设立】-【帐户】，打开帐户配备界面，以下图所示：图2.3-1帐户点击按钮，进入新建帐户页面，以下图所示：图2.3-2新建帐户根据实际状况填写真实姓名、帐户名称，输入帐户密码、确认密码，选择帐户权限，点击“保存”，新帐户创立成功。自定义权限：选中某个帐户点击“自定义权限”，弹出自定义权限页面，以下图所示：图2.3-3自定义权限此功效是给新建的帐户分派功效权限和部门管理权限，需要注意的是：不能对内置帐户进行自定义设立。方略读写和只读：是对帐户读写权限进行设立，需要注意的是：不能对内置帐户进行方略控制设立关联顾客：选中某个顾客，点击“关联顾客”，弹出关联顾客界面，以下图所示：图2.3-4关联顾客删除帐户：删除选中的帐户。导出/打印：把控制台帐户数据导出为Excel表格或者直接打印。查询：根据真实姓名、帐户名称等进行快速查询。管理员密码修改点击右上角背面的，选择打开修改密码窗口，在此输入原密码，然后输入新密码，输入确认密码，点击即可修改管理员帐户密码。以下图所示：图2.4-1修改密码菜单图2.4-2修改密码模块功效操作部门配备点击【系统】-【系统设立】，在右侧点击就会进入部门配备窗口，以下图所示：图3.1-1部门列表点击“新建”按钮，弹出添加新部门页面，根据实际状况输入部门名称，选择上级部门，输入所属IP段、部门负责人、部门电话等信息，点击“保存”，以下图所示：图3.1-2添加部门点击“编辑”，进入修改部门页面，能够修改部门名称、上级部门、所属IP段、部门负责人、部门电话等信息，以下图所示：图3.1-3编辑部门删除部门：删除一种已有的部门。导出/打印：把部门数据导出为Excel表格或者直接打印。顾客管理新顾客审核配备管理点击【系统】-【审批设立】，打开对应界面，以下图所示：图3.2.1-1审批设立新顾客默认方略配备：新顾客默认方略：新接入网络的计算机默认的方略。生命周期：设立顾客生命周期，过期后严禁顾客登录系统。新终端顾客注册审核配备：自动审批通过终端顾客注册申请：申请后自动通过注册申请。自动回绝终端顾客注册申请：申请后自动回绝注册申请。操作员手动审批：可设立时间限制，超出时间限制后自动审批。点击保存，确认设立的方略生效。移动顾客注册审核配备：自动审批通过终端顾客注册申请：申请后自动通过注册申请。自动回绝终端顾客注册申请：申请后自动回绝注册申请。操作员手动审批：可设立时间限制，超出时间限制后自动审批。点击保存，确认设立的方略生效。新来宾顾客注册审核配备：启动手机短信验证功效自动审批通过终端顾客注册申请：申请后自动通过注册申请。自动回绝终端顾客注册申请：申请后自动回绝注册申请。操作员手动审批：可设立时间限制，超出时间限制后自动审批。点击保存，确认设立的方略生效新顾客入网审批浏览器地址栏输入服务器地址加上user（例如192.168.0.2/user），进入顾客注册页面。以下图所示：图3.2.2-1顾客注册输入顾客名称、真实姓名、顾客密码、选用部门名称，点击【立刻注册】按钮，跳转到以下页面：图3.2.2-2提交注册成功提交的信息会显示到控制台上，点击【审批】，显示内部顾客入网审批页面。以下图所示：图3.2.2-3新顾客入网审批同意：选中某条顾客注册申请统计，点击同意，以下图所示：图3.2.2-4新顾客入网审批选择顾客身份、安全方略后，点击“保存”，顾客注册审批通过，审批通过的顾客信息显示在顾客列表中。回绝：选中某条顾客注册申请统计，点击回绝，弹出回绝页面，以下图所示：图3.2.2-5新顾客入网审批回绝输入回绝因素，点击“保存”，该新顾客入网审批不通过。删除：删除新顾客入网审批页面存在的数据。导出/打印：把新顾客入网审批页面的数据导出为Excel表格或者直接打印。查询：根据顾客名、部门名称、IP地址进行快速查询。显示全部：去除筛选条件，显示新顾客入网审批里面的全部未解决数据。高级查询：根据顾客在高级查询页面输入的具体条件筛选、显示新顾客入网审批数据。顾客基本信息点击【顾客】，然后点击顾客信息，进入顾客页面，可查看目前系统中全部部门基本信息和人员基本信息，以下图所示：图3.2.3-1顾客列表点击左侧部门列表中的某个部门，右侧对应显示对应部门的顾客信息，以下图所示：图3.2.3-2部门对应顾客列表点击【新建】，用于新建顾客信息，填写对应信息，点击【保存】，以下图所示：图3.2.3-3新建顾客新建顾客完毕后会显示到顾客列表中，以下图所示：图3.2.3-4新建后顾客显示新建顾客如果在客户端登录后，状态列会变为会根据入网状态显示不同的颜色，以下图所示：图3.2.3-5顾客状态选中需要删除顾客，点击【删除顾客】，删除选择顾客信息；选中需要删除设备，点击【删除设备】，删除与顾客绑定在一起的设备信息；选中需要修改方略顾客，点击【批量修改方略】，批量修改顾客使用方略；点击【导入】，选择提前准备好的顾客信息文档，导入顾客信息；点击【导出/打印】，把顾客基本信息里面的顾客数据导出为Excel表格或者直接打印；查询：根据真实姓名、顾客名称和登录IP进行快速查询高级查询：根据顾客在高级查询页面输入的具体条件筛选、显示顾客数据鼠标放到操作列的设立按钮上，会出现操作菜单，以下图所示：图3.2.3-6操作菜单编辑：修改顾客的基本信息，真实姓名、顾客密码、所属部门、安全方略和备注信息个性化方略：用于配备只给该顾客设立和使用的方略测评详情：查看某个顾客安全测评时的测评成果卸载插件：卸载对应计算机上的客户端插件设备信息：显示计算机的基本信息，涉及计算机昵称、计算机名称、IP地址、MAC地址、活动状态、开机时间、最后登录顾客、最后活动时间顾客方略设立点击【顾客】，进入顾客信息页面，选择一种顾客，点击图3.3.3-6所示的菜单中的个性化方略，弹出个性化方略继承自界面，选择继承自的方略，点击按钮，以下图所示：图3.2.4-1个性化方略也能够对多个顾客进行批量修改，选择多个顾客，点击，点击已经建立好的方略，最后保存就能够了，以下图所示：图3.2.4-2批量修改方略修改保存后，选择的顾客的安全方略会显示为修改后的方略。方略方略配备库ARP欺骗点击【系统】-【方略配备库】，输入ARP名称，绑定网关IP和MAC，点击【保存】，以下图所示：图3.3.1.1-1添加应用程序点击保存后新建的应用程序就会在列表中显示，以下图所示：图3.3.1.1-2应用程序列表编辑：能够编辑已经存在的已经存在ARP欺骗统计。删除：能够手动删除ARP统计。查询：能够根据ARP名称、IP地址、MAC地址、备注，查询已经添加的应用程序。显示全部：去掉查询筛选成果，显示全部的应用程序正当进程点击【系统】-【方略配备库】，点击【正当进程】，点击【分类配备】，首先建立正当进程的分类。以下图所示：图3.3.1.2-1分类配备点击【正当进程】，点击【添加】，输入进程名称，以及名称的安装途径，描述。最后点击保存。以下图所示：图3.3.1.2-2添加点击【保存】，新添加的USB存储介质就会在列表中显示，以下图所示：图3.3.1.2-3创立成功新建：能够添加新的正当进程。编辑：能够编辑已经存在的正当进程。显示全部：去掉查询筛选成果，显示全部的USB存储介质。安装程序点击【系统】-【方略配备库】，点击【安装程序】，【新建】，输入程序名称，以及程序安装包途径，描述，点击保存进行上传到服务器，以下图所示：图3.3.1.3-1新建点击保存后，会在右边显示已经建立的规则，以下图所示：图3.3.1.3-2新建成功操作系统补丁安装一体化工具后，点击启动补丁打包工具，弹出补丁打包工具的对话框，打包补丁库，上传补丁库后，以下图所示：图3.3.1.4-1补丁打包工具生成补丁包后，点击【上传补丁】，点击【显示全部】，就会显示所需要检查的补丁库，以下图所示：图3.3.1.4-2上传成功USBKey列表点击【系统】-【方略配备库】，点击“USBKey列表”，右侧界面中点击【新建】，在弹出的界面中输入USBKey昵称，点击“启开工具”然后点击“检索UK”，USBKey设备序列号会自动获取到，并显示到对应的文本框中，点击【保存】按钮，以下图所示：图3.3.1.5-1新建USBKey保存成功后，新添加的USBKey信息显示到USBKey列表中，以下图所示：图3.3.1.5-2USBKey列表其它库其它的方略配备库和以上5个类似，不再赘述。终端通信网段配备终端访问控制网段配备终端顾客访问控制网段，添加到此网段的计算机终端通信管理中的方略才会生效，支持添加网段，编辑网段，删除网段功效。依次点击【系统】-【系统设立】-【客户端】，下拉找到“终端访问控制网段”，进入终端访问控制网段设立界面，以下图所示：图3.3.2.1-1终端访问控制网段点击“新建”，弹出新建窗口，输入开始IP和结束IP，点击保存，以下图所示：图3.3.2.1-2新建网段选择一种网段，点击“编辑”按钮，编辑窗口，能够修改开始IP、结束IP和备注信息，点击“保存”按钮即可。非法报警控制网段配备终端顾客非法外联报警控制网段，添加到此网段的计算机终端通信管理中的方略才会生效，支持添加网段，编辑网段，删除网段功效。依次点击【系统】-【系统设立】-【客户端】，下拉找到“非法报警控制网段”，进入非法报警控制网段设立界面，以下图所示：图3.3.2.2-1非法报警配备网段点击“新建”，弹出新建窗口，输入开始IP和结束IP，点击保存，以下图所示：图3.3.2.2-2新建网段选择一种网段，点击“编辑”按钮，弹出编辑网段窗口，能够修改开始IP、结束IP和备注信息，点击“保存”按钮即可。安全规范库安全规范级别规定点击【系统】-【安全级别】，页面显示三个国家信息安全等级保护技术规定配备及三个国家信息安全分级保护技术规定配备。以下图所示：图3.3.3.1-1安全级别方略管理点击【方略】，页面显示已经存在的方略，以下图所示：、图3.3.3.2-1安全规范方略管理新建安全规范方略：管理员能够手动建立需要的安全规范方略规则；导入安全规范方略：管理员能够导入之前备份的安全规范方略。编辑安全规范方略：点击方略名称，页面右侧会展示出对应方略的具体信息，管理员能够根据需要自定义配备安全规范方略。图3.3.3.2-2安全规范身份鉴别方式管理员根据管理需要，选择终端顾客任意鉴别方式、终端顾客组合鉴别方式及高级配备中的任意一项或多项。图3.3.3.2.1-1身份鉴别方式安全技术测评管理员根据管理需要，添加或删除测评项；点击【添加测评项】图标对方略进行配备；勾选的测评项为核心项，测评不通过为安全隐患项，影响终端的准入权限；不勾选的测评项为非核心项，测评不通过为建议优化项，不影响终端的准入权限。以下图所示：图3.3.3.2.2-1安全技术测评移动存储介质检测：检测终端系统与否接入了移动存储介质，如U盘，移动硬盘等，如果接入则认为不符合规范。3G上网卡检测：检测终端系统与否接入了3G上网卡，如果接入则认为不符合规范。光驱介质检测：检测终端系统与否接入了光驱，如果接入则认为不符合规范。硬盘系统分区检测：检测终端系统分区剩余空间大小与比例，其中一项低于限制值则认为不符合规范。打印设备检测：检测终端系统与否接入了打印设备，如果没有接入则认为不符合规范。网络监听端口检测：检查终端指定端口的监听和连接状况，避免黑客恶意程序的攻击。IPMAC绑定检测：检查终端顾客与否修改了IP地址。ARP欺骗检测：检查终端与否有ARP欺骗。AD域环境检测：检查终端操作系统与否登录到指定AD域。TELNET检测：检测终端系统与否启动了TELNET服务。恶意代码防备：检查终端顾客操作系统安装的恶意代码防护程序与否符合管理员制订的规则。操作系统补丁检测：检查终端系统与否存在漏洞，确保系统安全。Windows防火墙检测：检测终端系统与否启动了windows防火墙。超时锁屏检测：检查终端顾客屏幕保护程序等待时长和恢复时与否需要密码保护。计算机名检测：检查终端计算机名称与否符合规定。系统服务检测：检查终端计算机与否有未许可的系统服务启动。远程桌面检测：检测终端系统与否启动了远程桌面系统时间检测：检查终端操作系统时间与CIS服务器时间与否超出最大误差。共享资源检测：当终端共享资源时，其安全性与未共享时相比会有所下降，能够远程访问终端或者网络的人能够读取、复制或者更改共享资源中的文献。剩余信息保护：检查终端计算机存在的临时文献，如果临时文献超出管理员设立的界限，对其进行清理。注册表完整性检测：检查终端计算机注册表文献与否被修改。来宾账户检测：检查终端系统顾客与否启用了来宾顾客。口令安全检测：检查终端顾客操作系统帐户密码与否满足规定，以确保操作系统的安全性。黑名单口令检测：黑名单口令即容易被破译的密码，像简朴的数字组合（如12345678），或者与帐户名称相似的密码等，都属于黑名单口令范畴，拥有黑名单口令帐户的终端会给黑客提供极大的便利，进而影响系统的安全。正当进程检测：检查终端系统的进程与否符合管理员制订的规则。非法进程检测：：检查终端系统的进程与否符合管理员制订的规则。安装程序检测：检查终端系统安装的软件与否符合管理员制订的规则。严禁安装程序检测：检查终端系统安装的软件与否符合管理员制订的规则违规报警配备管理员根据管理需要添加报警方略，并配备报警响应方法。报警响应方法涉及将终端顾客放置隔离区，锁定终端计算机屏幕，关闭终端顾客计算机，发送报警邮件，发送报警提示，发送报警短信，以下图所示：图3.3.3.2.3-1违规报警配备硬件变化报警：当终端顾客对计算机硬件进行非法安装、卸载和更换后触发警报。接入移动存储介质报警：当终端顾客计算机接入USB移动存储类设备后触发报警。接入光驱介质报警：当终端顾客计算机接入光驱设备后触发报警。接入3G上网卡报警：当终端顾客计算机接入3G无线上网卡设备后触发报警。恶意代码防备报警：恶意代码原则以“终端安全技术测评-恶意代码防备”功效配备为根据。当终端顾客计算机没有安装或运行恶意代码防备程序时触发报警。操作系统漏洞报警：操作系统补丁原则以“终端安全技术测评-操作系统补丁检测”功效配备为根据。当终端顾客计算机有漏洞时触发报警。非法外联报警：允许终端顾客连接的网络范畴列表以“系统配备-网段配备”功效配备为根据。当终端顾客计算机连接范畴列表之外的网络触发报警。终端通信异常报警：当终端计算机最大允许通信IP数的个数后触发报警。ARP攻击报警：操作系统补丁原则以“终端安全技术测评-ARP欺骗检测”功效配备为根据。当终端顾客计算机遭受ARP攻击操作后触发报警。终端流量报警：当终端计算机流量报警阈值超出设立的流量值时触发报警。网络通信域管理员根据管理需要，配备对应的方略，勾选对应的选项，以下图所示：图3.3.3.2.4-1网络通信域安全审核配备管理员根据管理需要，制订对应的安全审核配备方略，勾选某一项即可，以下图所示：图3.3.3.2.5-1安全审核配备外联途径管理管理员根据管理需要，制订对应的规范方略即可，以下图所示：图3.3.3.2.6-1外联途径管理图表在线状态分析点击【图表】—【在线状态分析】，展示出以下图界面：图3.3.4.1-1在线状态分析查询：管理员根据个人需要选择查询条件，点击查询即可分布图：展示时段内在线、离线、长久离线顾客数量占比状况趋势图：展示时段内，在线、离线、长久离线数量的走势图详情图：展示今天时段内顾客与否在线的具体列表导出/打印：导出或打印已经查询出的列表信息测评状态分析点击【图表】—【测评状态分析】，展示出以下图所示：图3.3.4.2-1测评状态分析查询：管理员根据个人需要选择查询条件，点击查询即可分布图：展示时段内未测评、合格数、不合格数顾客数量占比状况趋势图：展示时段内未测评、合格数、不合格数数量的走势图详情图：展示全部顾客测评信息的具体列表导出/打印：导出或打印已经查询出的列表信息入网风险分析点击【图表】—【入网风险分析】，展示出以下图所示：图3.3.4.3-1入网风险分析查询：管理员根据个人需要选择查询条件，点击查询即可分布图：展示时段内顾客入网分析、来宾入网分析占比状况趋势图：展示时段内终端顾客和来宾顾客入网风险的走势图详情图：展示终端顾客和来宾顾客全部入网风险的具体列表导出/打印：导出或打印已经查询出的列表信息违规事件分析点击【图表】—【违规事件分析】，展示出以下图界面：图3.3.4.4-1违规事件分析查询：管理员根据个人需要选择查询条件，点击查询即可分布图：展示时段内硬件变化、移动存储、光驱、3G上网卡、恶意代码、操作系统漏洞、非法外联、终端通信异常、ARP攻击、终端流量异常违规报警的占比状况趋势图：展示时段内硬件变化、移动存储、光驱、3G上网卡、恶意代码、操作系统漏洞、非法外联、终端通信异常、ARP攻击、终端流量异常违规报警的走势图详情图：展示时间段内硬件变化、移动存储、光驱、3G上网卡、恶意代码、操作系统漏洞、非法外联、终端通信异常、ARP攻击、终端流量异常违规报警的具体列表导出/打印：导出或打印已经查询出的列表信息系统运行状态分析点击【图表】-【系统运行状态分析】，展示出以下图界面：图3.3.4.5-1系统运行状态分析入网审批分析点击【图表】-【入网审批分析】，展示出以下图界面：图图3.3.4.6-1入网审批分析查询：管理员根据个人需要选择查询条件，点击查询即可分布图：展示时段内各类型审批的占比状况趋势图：展示各类审批的走势图详情图：展示时段内各类型审批的具体列表导出/打印：导出或打印已经查询出的列表信息网络使用分析点击【图表】-【网络使用分析】，展示出以下图所示：图3.3.4.7-1网络使用分析查询：管理员根据个人需要选择查询条件，点击查询即可分布图：展示时段内正当IP、非法IP、空闲IP数的占比状况趋势图：展示时段内正当IP、非法IP、空闲IP数的走势图详情图：展示时段内网络使用状况的的具体列表导出/打印：导出或打印已经查询出的列表信息系统系统日志系统登录日志点击【系统】-【系统日志】-【系统登录日志】，在右边就会显示出各个系统帐户的具体登录统计，以下图所示：图3.3.5.1.1-1系统登录日志导出/打印：把系统帐户登录日志数据导出为Excel表格或者直接打印。查询：根据帐户名称、时间、登录IP等进行快速查询。高级查询：根据顾客在高级查询页面输入的具体条件筛选、显示系统帐户登录日志系统操作日志点击【系统】-【系统日志】-【系统操作日志】，在右边就会显示出各个系统帐户的具体操作统计，以下图所示：图3.3.5.1.2-1系统操作日志导出/打印：把系统帐户操作日志数据导出为Excel表格或者直接打印。查询：根据帐户名称、时间、登录IP等进行快速查询。高级查询：根据顾客在高级查询页面输入的具体条件筛选、显示系统帐户操作日志系统设立点击【系统】-【系统设立】，在右边就会显示出系统设立页面。访问区域设立启动准入控制后终端顾客、移动顾客、高级顾客、来宾顾客的访问权限访问指定的网络区域，涉及安全顾客访问区域、隔离顾客访问区域、来宾顾客访问区域。以下图所示：图3.3.5.2.1-1访问区域准入模式设立有两种方式：计算机模式和顾客模式网络点击【网络】，可设立服务器接口的I