北信源内网安全管理系统用户使用手册

NewlycompiledonNovember23,2020NewlycompiledonNovember23,2020北信源内网安全管理系统用户使用手册北信源内网安全管理系统用户使用手册北京北信源软件股份有限公司二〇一一年支持信息在北信源内网安全管理系统使用过程中，如您有任何疑问都可以通过访问我公司网站或者致电我司客服中心获得帮助和支持！热线支持：400-8188-110客户服务电话：在您使用该产品过程中，如果有好的意见或建议的话也请联系我们的客服中心，感谢您对我公司产品的信任和支持！正文目录图目录表目录概述特别说明北信源终端安全管理系列产品由《北信源内网安全管理系统》、《北信源补丁及文件分发管理系统》、《北信源主机监控审计系统》、《北信源移动存储介质使用管理系统》、《北信源网络接入控制管理系统》及《北信源接入认证网关》6大套件构成。本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版)，恕不另行通知。需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。本手册与本系统的安装配置手册中的所有图片均为示意图，请以实际产品为准。本使用手册为北信源终端安全管理系列产品通用说明书。若您独立购买《北信源内网安全管理系统》或《北信源补丁及文件分发管理系统》等其中之一产品，本说明书的其它功能将不具备。感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理系列产品。请在使用本软件之前认真阅读本使用手册，当您开始使用该软件时，北信源公司认为您已经阅读了本使用手册。产品构架北信源终端安全管理产品由8部分组成：WinPcap程序、SQLServer管理信息库（安装包：环境初始化程序）、Web中央管理配置平台（安装包：网页管理平台）、区域管理器(安装包：RegionManage，原区域扫描器已作为模块集成到区域管理器)、客户端注册程序（安装包：注册程序）、补丁下载服务器、管理器主机保护模块、报警中心模块。环境初始化程序SQLServer管理信息库，建立北信源终端安全管理产品的初始化数据库。初始化的信息包括：网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册（未注册）机器信息、设备属性变化信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比，根据规则要求在管理平台上报警。网页管理平台（web管理平台）Web中央管理配置平台，本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定，网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。RegionManage区域管理器，系统数据处理中心，负责与管理信息数据库通讯扫描终端设备、控制服务器、客户端之间的信息、指令的下达、接受。比如：接收注册程序提供的用户信息，将用户信息（用户填写的物理信息和系统自动采集的硬件信息）并行存入数据库；接受来自控制台的命令操作，发送到客户端、扫描器执行。对于存在多级管理要求的广域网，网络中可以存在多个区域管理器，实现系统数据逐级上报（转发），对网络终端的多级管理。区域管理器内置网络扫描器，扫描器用来发现网络的终端设备。将发现的设备信息交由区域管理器处理。、设备最新状态信息报送至区域管理器，由区域管理器处理后，同数据库中原有信息进行遍历搜索对比，根据管理规则在管理平台上报警。扫描器配合区域管理器进行工作，可以在分级模式下使用。扫描器只依据Web管理平台中配置的工作范围进行扫描，如果终端IP超越其范围，将不负责执行操作。Winpcap程序嗅探驱动软件，监听共享网络上传送的数据。客户端注册程序将接收并执行服务器下发的指令。该程序可以在“工具下载->用户注册器下载”处下载。访问指定网站自动获得，用户填写必要的信息后，运行该程序，区域管理器将收到注册终端的相关信息，同时终端可以接收、执行各种下发的指令。注册程序自动探测系统硬件信息，连同用户填写的信息一同上报区域管理器。用户将本机注册信息发送到区域管理器后，区域管理器自动将客户端驻留程序应用策略发送给用户，并自动更新。客户端驻留程序功能：进行本机硬件属性信息变化监视；进行本机IP、MAC地址变化审计；本机系统补丁、软件安装、运行进程状况监测；探测本机是否有违规联网行为，在内网管理中心或外网报警平台报警；接受Web管理平台的管理命令；阻断本机非法外联行为；执行Web管理平台下发的各种策略操作。补丁下载服务器安装在与Internet网络连接的机器上，用于实时下载补丁厂商发布的补丁。管理器主机保护模块管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协议、通信IP范围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置，从而防止该计算机受到恶意的IP冲突以及各种网络、病毒攻击。报警中心模块安装在可与区域管理器所在服务器正常通讯的计算机上，本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、信使服务、SNMPTrap、手机短信等多种报警方式。应用构架北信源终端安全管理应用于局域网、广域网构架，支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。系统应用主要分为以下两种构架：基本构架：对于一般网络（例如1个C类地址或若干个C类地址的局域网范围），可使用一套本系统软件，通过一个管理器集中管理所属区域内的所有设备。扩展构架：对于大规模的多个局域网或者跨地域广域网（包括基于国家、省、市、县等多级管理模式的网络结构），可使用本系统提供的多区域集中管理构架，即一个或多个网段各拥有一套独立北信源终端安全管理的同时，将本级所有设备信息再转发给上级管理数据库，使得上一级管理人员对整个网络的设备状况也能够完全掌握。图1-SEQ图1-\*ARABIC1北信源终端安全管理应用拓扑北信源内网安全管理系统策略中心策略管理中心策略的使用策略的创建和分发1．.在“策略管理中心”中左侧的策略项中点击需要制定的策略，然后在右侧的【策略名】中输入相应的策略名称，单击【创建新策略】按钮开始创建策略。图2-SEQ图2-\*ARABIC1创建新策略注：在策略的定义中使用了一些特别的关键字符，这些特殊的字符不应该在策略内容中出现。否则可能会出现无法预料的系统错误。这些字符包括："><'/="(大于，小于，单引号，反斜线，等于)。2．根据实际需求配置策略，单击【保存策略】完成策略的创建。（由于各个策略项的配置过程都不一样，下一节将具体介绍）3．下发策略，即指定策略的执行对象。通过单击【对象】按钮，可按界面提示完成对象的分配。如下图所示：图2-SEQ图2-\*ARABIC2下发策略4．.如果需要让某一条策略暂时不使用，可通过【停用】按钮使策略失效，需要使用的时候再单击【启用】按钮使策略生效。如果想要删除某一条策略，则直接按【删除】按钮即可。如下图所示，图2-SEQ图2-\*ARABIC3策略控制策略的高级设置策略的高级设置用于策略的执行设置，包括策略状态（启动、停止）、策略存活时间（策略执行的起止时间）、策略执行触发条件（在何种条件下开始执行策略）、策略无效时间（规定时间内不执行策略）、策略应用范围（本级区域、下级区域、所有区域）、级联策略类型等，有些策略还包括具体的触发时间设置等。参数说明策略名称此处可以修改策略名称风险级别分为低、中、高三个级别停用锁定选中【锁定对策略的停用操作】后，策略列表中的【停用】功能将不起作用，用于防止用户的误操作。策略状态制定策略的状态：启动/停止策略存活时间范围即策略以天为单位的存活时间段策略无效工作日即可在一星期中选中一天或多天使策略无效策略无效时间段即策略以分为单位的无效的时间段策略有效用户指登录操作系统的用户。当执行该策略时，先判断此用户是不是有效用户，是有效用户则执行，否则不执行。策略有效网关有效网关：客户端所在内网的网关；当执行该策略时，先判断是不是有效网管，是则执行该策略，否则不执行。策略有效网络内网：能与本服务器通讯的属于内网；外网：与本服务器不能通讯，且不能与客户端所在网关通讯的属于外网。克隆机策略克隆机：将已经注册了本系统的客户端的系统做成镜像（gost），还原到某计算机上，则该计算机称之为克隆机。只有克隆机（gost系统）执行本策略，非克隆机不执行。表2-SEQ表2-\*ARABIC1策略的高级设置参数说明策略下发结果查询可以通过以下两种方式查看策略的下发情况：(1)策略管理中心-->策略下发查询(2)终端管理-->终端管理-->当前执行策略注：策略分发间隔默认为1分钟；有的策略需要重新启动生效，请看每条策略的具体说明。具有审计功能的策略，审计数据可以在“数据查询审计数据查询”中查看。黑白名单编辑进程黑白名单进程黑白名单在“进程监控”策略中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。编辑进程黑白名单时包括：进程名、产品名、源文件名等；如果是服务则只可以加服务名，同时可以加一些描述。软件黑白名单软件黑白名单在“软件安装监控”策略中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。URL黑白名单编辑URL黑白名单在“上网访问审计”策略、“上网控制策略”中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。端口黑白名单编辑端口黑白名单在“协议防火墙策略”中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。硬件设备控制硬件设备控制功能说明：控制各种硬件设备及接口的启用或禁用，如果只想禁止使用移动存储设备，也可以通过“可移动存储审计”策略来实现。参数说明：参数说明不处理、启用、禁用本策略中所能控制的硬件，都需要能够在windows系统设备管理器中进行禁止和启用。例外选择【启用】时将禁用例外中的设备，选择【禁用】时将启用例外中的设备，【不处理】选项保持原来的状态无变化，提高系统管理性能，如果对某项不关心可以选择该项。例外设备添加方法：右击我的电脑属性硬件设备管理器，出现设备列表。该策略控制叠加到之前的策略基础之上选中此项时：如果有多条此类策略，终端执行效果将是多条策略设置叠加后执行的效果。如果不选择该项，终端只支持单独一条策略，新下发的策略将覆盖原来的策略配置。取消对设备管理器的的拦截操作默认情况下下发该策略后将禁止用户在设备管理器里启用/禁用任何设备，如果取消则可以在设备管理器里启用/禁用设置为不处理的设备。审计结果处理上报服务器：就是将审计记录上报到服务器并进行记录。当客户端脱离网络时无法上报到服务器就记录到本地，等客户端接回网络时再上报到服务器。记录到本地文件：会在本地生成文件记录审计信息。起到在本地备份的作用。表2-SEQ表2-\*ARABIC2硬件设备控制参数说明注意事项：1．如果要对原来禁用的设备启用，最好是明确的为该设备制定一条启用策略。2．禁用u盘、软驱、光驱等一部分功能，在行为管理与审计策略中的可移动存储审计策略中也可完成，功能上没有什么区别，用户可以根据自己的习惯，自行设定。策略实例：允许使用光驱，但是禁止使用刻录光驱。比如有两个光盘驱动器，分别为：GenericDVD-ROMSCSICdRomDevice和MATSHITAUJDA745DVD/CDRW。从文字显示上可以看出后面一个驱动器为刻录光驱，如果要禁止刻录光驱，则可以将光驱项设置为"允许"，在【例外】中输入"MATSHITAUJDA745DVD/CDRW"或其中的一部分，只要能通过该标志确认是一个可刻录光驱即可。因为基本上可刻录光驱都带有"CDRW"字样，【例外】中可以输入"CDRW"。多个例外之间用分号(";")（英文半角格式）分隔，如下图所示：图2-SEQ图2-\*ARABIC4硬件设备控制进程及软件管理软件安装监控功能说明：用于监控客户端安装的软件是否违规并对违规行为做出相应的处理。参数说明：参数说明软件名设置需要进行控制的软件名称，填入需要监控的软件名称后，点选【添加控制】按钮，如果想要控制更多的软件，输入软件名称后，继续点选【添加控制】按钮，以此类推，可以继续添加需要控制的软件。同一类软件可以使用具体的策略，包括“禁止安装软件”、“必须安装软件”、“允许安装软件”三个选项，这个具体选择可以根据管理员的需要自行设定。如果想要取消对某个软件的控制，请在列表处选定软件的名称，然后点击【删除控制】按钮。还可以添加系统定义的黑名单和自定义的黑名单，并分别配置违规处理措施、高级设置项。其他软件处理当选中“允许安装软件”，再勾中“除以上列表的软件外，安装了其他任何软件都视为违规项”，表示只允许安装列表中的软件，安装其他软件均视为违规，即实现对软件安装的限制功能。当选中“控制状态”是“禁止安装软件”，同时选中【其他软件处理】复选框，那么安装任何软件都是违规的。以上软件安装违规处理指选定的对象如果违反了上述的软件安装监控策略的处理方法。不处理方式，是指不处理违反策略的对象，但是，相关的违规记录可以在Web管理器中查询。仅提示方式，是指当选定对象的用户如果违反了策略，将在客户端弹出管理员设置的提示信息。断开网络方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行断离网络的处理，同时，该计算机弹出管理员设定的提示信息。表2-SEQ表2-\*ARABIC3软件安装监控策略参数说明策略实例：图2-SEQ图2-\*ARABIC5软件安装监控策略注意事项：1．“软件名”要和控制面板中添加删除程序里的软件程序名一样，该功能支持模糊查询技术，例如在要检查是否安装了QQ，可能因为各种版本不一样，在“添加删除程序”里显示的是QQ2004或QQ2005，这时您可以只输入QQ。2．静默卸载功能不支持模糊匹配，需要填写跟添加删除程序中的名称完全相同。3．为了维护方便，建议管理员将施行安装或禁止安装的需求不同的软件，放在不同的策略中管理，如果同一软件在不同策略中的设置不同，那么，取最后一个策略设置为准。4．本策略设置时，建议在高级设置，策略触发方式中，选中启动时触发和间隔触发选中，间隔时间10分钟左右。进程执行监控功能说明：用于监控客户端运行的进程，并做相应处理。先添加需要监控的进程信息，再配置违规处理措施。参数说明：参数说明进程/服务名需要进行监控的进程或服务名称，进程的名称可以从windows的任务管理器的进程菜单中查询。填入需要监控的进程名称后，点选【添加控制】按钮，如果想要控制更多的进程，输入进程名称后，继续点选【添加控制】按钮，以此类推。进程名获取方法：右击任务栏选择“任务管理器”。“进程/服务名”处也可填写“*”，例如，进程/服务名：*，产品名称：MicrosoftOffice11Professional，控制状态：必须运行，即表示必须运行MicrosoftOffice11Professional产品的所有进程。产品名称需要进行监控的产品的名称，产品的名称可以从需要监控的文件，鼠标右键点击需要监控的可执行文件，从其中的产品名称中看到，填入需要监控的产品名称后，点选【添加控制】按钮，如果想要控制更多的产品名称，输入产品名称后，继续点选【添加控制】按钮，以此类推。源文件名需要进行监控的具体可执行程序的名称，源文件名可以通过鼠标右键点击可执行文件找到。填入需要监控的源文件名称后，点选【添加控制】按钮，如果想要控制更多的源文件，输入源文件名称后，继续点选【添加控制】按钮，以此类推。可以设置更多的需监控项目。控制状态针对具体的进程、产品、源文件，具体的控制状态有三种，包括“禁止运行”、“必须运行”和“允许运行”，这个具体选择可以根据管理员的需要自行设定。如果想要取消对某个软件的控制，请在列表处选定具体的进程、产品、源文件的名称，然后点击【删除控制】按钮。其他进程处理选中“允许运行”并勾中“除以上列表的进程外,不允许其他进程执行”，则表示只允许进程列表中的进程运行，其他进程均视为违规，即实现对进程运行的限制功能。以上各种情况的违规处理指选定的对象如果违反了上述的监控策略的处理方法。关机方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行2分钟后自动关机的处理，同时，该计算机弹出管理员设定的提示信息。表2-SEQ表2-\*ARABIC4进程执行监控策略参数说明策略实例：图2-SEQ图2-\*ARABIC6进程执行监控策略注意事项：1．进程名称、产品名称、源文件名之间是“或”的关系，填入其中一项或多项均可实现监控功能，其中，产品名称，主要用于监控一系列软件的使用，比如说，qq不同版本的程序名不一样，但是产品名称是相同的。源程序名的作用，主要是为了防止可执行程序被人手动修改名称而避过安全系统的管理策略。2．本策略设置时，建议在高级设置-->策略触发方式中，选中启动时触发和间隔触发，间隔时间5分钟左右。3．启动路径为全路径或系统默认路径。进程保护策略功能说明：设置需要保护的用户进程，防止被保护的进程被非法关闭。策略实例：图2-SEQ图2-\*ARABIC7进程保护策略注意事项：1．这里的进程保护是指使用windows任务管理器和一般的应用程序无法终止该程序。2．这里的被保护进程，仍然可以在策略中心的“进程执行监控”中进行终止，请管理员注意相关策略的设置。主机安全策略用户密码策略功能说明：此策略可以对系统的本地密码策略、本地帐户锁定策略、系统屏保进行设置，同时可以检测系统密码弱口令，除系统自定义的弱口令外，用户可以自己添加自定义弱口令集。参数说明：参数说明检测到系统弱口令后当系统检测到客户端采用了弱口令后可以采用“上报”、“提示”两种方式，即上报给区域管理器或者根据管理员设置的提示信息给客户端发出提示。附加弱口令列表根据各单位名称等不同，自己添加需要探测的弱口令，每个弱口令之间用","分隔。表2-SEQ表2-\*ARABIC5用户密码策略参数说明注意事项：1．在windows系统密码策略中，策略是指密码的长度。2．“弱口令检查”与“本地账户锁定策略”不能同时设置，否则弱口令用户可能会被锁定，无法使用！也不能对同一台计算机分配两个这样的策略。3．检测系统弱口令，原理是使用每个列表中的弱口令来尝试登录计算机，它并不修改任何windows系统文件，本策略不会造成任何的计算机不稳定状态。4．用户密码策略：只适用于标准版操作系统，番茄花园版不支持；系统屏保设置：重启后生效；弱口令列表需要手动添加。用户权限策略功能说明：检查系统用户、系统用户组的权限的改变和系统用户、系统用户组的增加或减少。当以上的某一条件符合时，则弹出相应的提示信息。根据需要，在相应的菜单中选择上报或者在客户端提示的报警方式，还有两种报警方式同时启用的方式，如果选择中有提示信息选项，将在客户端弹出管理员设定的提示信息窗口。注意事项：1．本策略的各项均在Windows系统控制面板中的“用户与密码”项或者控制面板中的管理工具文件夹里的计算机管理程序中的用户菜单来实现的，本策略只提供相应的监测功能，不对您的修改进行限制。协议防火墙策略功能说明：本策略是基于各种网络协议的原理和各种网络软件对网络的实际应用，用来控制各种网络使用和计算机端口的使用，起到防火墙的作用。参数说明端口连接控制规则协议类型计算机可以进行很多网络应用，各种应用都是基于网络上服务器提供的服务。不同的服务是采用不同的端口提供的，通过这种端口的方式，计算机才可以与外界进行互不干扰的通信。Tcp/udp协议，网络通信协议，基本上所有的网络服务都使用它们作为通信的标准。系统在这里通过控制计算机的端口和相应的网络协议，对计算机用户的网络操作进行监管。我们可以通过在windows下的dos窗口输入“netstat–a”命令来查看本机打开的端口和各种端口正在被哪种服务使用的，且这个服务使用的是哪种协议。同时，我们也可以通过软件相关的说明文档得到这些信息。我们在端口处填入我们查询到的需要控制的软件使用的端口，在协议选择下拉菜单中选择相应的tcp/udp协议。“本地端口”和“远程端口”两个选项，其中，本地端口是指在网络的使用中，本地计算机使用的端口，如果选择这个选项，则在本策略的对象范围内的计算机无法启动使用该端口的服务；远程端口是指在网络的使用中，本地计算机可以启动本服务，但是无法访问远程计算机提供相应服务的端口。管制方式“禁用填充项中指定端口，开放其他端口”选项是指仅禁用在上边填写的端口和其所对应的服务，同时开放其他所有的端口，使其可以使用网络服务。“禁用填充项中指定端口”选项是指仅禁用填充项中的端口和其所对应的服务，并不改变其他端口目前的状态。“开放填充项中指定端口，禁用其他端口”是指，仅开放在上边填写的端口和其所对应的服务，同时关闭其他所有的关口和网络服务，“开放填充项中指定端口”是指开放在上边填写的端口和其相对应的服务，并不改变其他端口目前的状态。选定需要的选项后，点击“添加端口连接控制规则”按钮，所设定的控制将出现在页面下端的控制列表中。ICMP协议控制规则指系统对ICMP协议的控制，主要是通过判断计算机间的互相通信是否正常来判断的。一般来说，只要执行MS-DOS窗口下的ping命令即可系统对icmp协议的控制，主要是通过判断计算机间的互相通信是否正常来判断的。一般来说，只需要执行ms-dos窗口下的ping命令即可。“禁止ping入”是指不允许其他计算机（包括局域网计算机和远程计算机）用ping命令来检测本地计算机通信状态。“禁止ping出”是指不允许设置的对象客户机用ping命令来检测其他计算机（包括局域网计算机和远程计算机）的通信状态。“禁止双向”同时禁止任意两台计算机（至少有一台是本地计算机）的通信检测。设定好后，点击“添加icmp协议控制规则”按钮，，所设定的控制将出现在页面下端的控制列表中。IP访问控制规制ip地址输入需要限制网络使用的计算机的ip地址或ip地址范围。管制方式“只允许填充项中ip地址访问自己，禁止其余ip地址访问”是指，在设定的ip地址范围内的计算机，每台计算机能使用策略生效范围内的计算机的网络资源，其他的计算机无法访问该策略范围内的计算机。“只允许自己访问填充项中ip地址，禁止访问其余ip地址”是指，本策略生效范围内的计算机只能访问在设定的ip地址范围内的计算机的网络服务，不能访问其他计算机提供的网络服务。设定好后，点选“添加ip访问控制规则”，所设定的控制将出现在页面下端的控制列表中。以上各种选项在设定后，如果需要去掉，只要在控制列表中，点选，然后点击下边的“删除规则”按钮。超级IP指的是本IP不受上边制定的所有策略的限制。默认内网管理服务器IP为超级IP超级端口指本端口和所对应的服务不受上边制定的所有策略的限制表2-SEQ表2-\*ARABIC6协议防火墙策略参数说明策略实例：如下图所设置的一个样例表示：只开放本地计算机的80端口；只允许该IP地址段中的IP访问本地计算机；禁止其他计算机ping入。图2-SEQ图2-\*ARABIC8协议防火墙策略注意事项：1．此策略需要管理员对网络协议和计算机端口有一定的认识，请慎重制定。通过对端口和协议对计算机用户的网络操作进行监管。注册表检查策略功能说明：监测客户端的注册表内容和该内容的设定值，防止注册表被病毒或其他恶意程序修改，起到对计算机的安全防护作用。参数说明：参数说明注册表项名称在【运行】项输入“regedit”然后点确定。出现注册表窗口，在左边窗口显示的就是注册表项的名称键名在注册表窗口中，右边窗口中的名称标题下的内容就是键名值类型同注册表右边窗口的值类型的三个选项“reg_sz”、“reg_dword”、“reg_binary”键值在注册表右边窗口中的数据标题下的内容就是键值检测条件根据需要选择相应的条件适合操作系统根据对象的计算机操作系统状况进行选择具体的操作系统控制操作如果要删除注册表项请确认该项对系统的正常使用不会造成影响。删除项会同时删除该项下的子项和键。表2-SEQ表2-\*ARABIC7注册表检查策略参数说明图2-SEQ图2-\*ARABIC9注册表注意事项：1．本策略只提供注册表检测功能，不进行修改注册表内容的操作。IP与MAC绑定策略功能说明：实行IP与MAC绑定。当IP与MAC绑定发生变化时，可对其实施自动恢复、弹出提示框、或断开网络并持续阻断该计算机等控制。参数说明：参数说明客户端特性设置：客户端IP,MAC绑定点选该选项，才可以使用本策略的功能。Ip与mac绑定是指客户端计算机在局域网中标识身份的地址和计算机的网卡标识号码的匹配。当绑定发生变化指客户端计算机用户修改了自己的ip地址，这时，网卡的mac将于新的ip地址相匹配，就不能与原来的ip地址匹配，这就是ip、mac绑定发生变化。系统根据这种情况给出4种处理方式，“不处理”、“自动恢复”、“断开网络”，并且提示管理员设定的信息、“仅提示”只提示管理员设定的信息。表2-SEQ表2-\*ARABIC8IP与MAC绑定策略参数说明策略实例：图2-SEQ图2-\*ARABIC10IP与MAC绑定策略注意事项：1．“客户端IP,MAC绑定”选项绝对不能在动态IP的设备上使用。2．一般常规性的网络应用中，只要设定自动恢复ip和除网络管理员的账户其他帐户均有效即可。杀毒软件运行监控策略功能说明：检查客户机是否安装杀毒软件，并做提示、断开、重启计算机等操作。参数说明：参数说明若客户端未运行病毒防火墙“不处理”、“自动重启”当系统发现客户端未安装杀毒软件时，将弹出管理员设定的提示信息，并且2分钟后自动重新启动、“断开网络”断开和网络的连接，并弹出管理员设定的提示信息、“仅提示”只发给客户端提示信息。杀毒软件升级设置用于自动升级杀毒软件。这此功能生效的条件是需要把杀毒软件的升级文件放到VRV\RegionManage\Distribute\AntiVirusUpdate目录中相应的杀毒软件升级文件夹中，目前支持的可升级的杀毒软件有北信源、macfee、瑞星、诺顿等。表2-SEQ表2-\*ARABIC9杀毒软件运行监控补丁分发策略、软件分发策略请参照第三章北信源补丁及文件分发管理系统接入认证策略请参照第六章北信源网络接入控制管理系统和第七章北信源接入认证网关。违规外联监控防违规外联策略功能说明：监视违规网络连接（modem拨号、双网卡、代理等），并对违规行为做出相应的处理，检测计算机的网络使用是否符合制定的原则，对不符合原则的计算机进行处理。参数说明：参数说明违规监控设置通过设置，检测策略应用的对象的客户端是否能和外网通信来判断该计算机是否违反了管理员制定的规则。“外网地址”选项，是利用系统的功能，对这两个地址，进行检测，当可以与这两个网站通信时，视为本机违反策略。“客户端所限定使用的网段”是指，如果客户端访问的ip地址超过了在这个选项中设置的范围，也视为本机违反策略。本选项需要填写ip地址范围，范围中间区域用“—”来间隔。“采用探测外网方法”和“客户端所限定使用的网段”这两种方法，是并列的，单独使用其中的一种或者两种同时使用都可以满足您的需要。禁止使用代理上网访问如果选择这个选项，则浏览器无法使用代理服务器访问网络，该选项可屏蔽浏览器使用内网或者外网的大多数代理服务。探头发现设备违规后的处理方式A：若客户端同时连接内外网，本选项一般指计算机同时能够访问单位内部网络和外部网络。在处理方式中，仅提示方式，是指当选定对象的用户如果违反了策略，将在客户端弹出管理员设置的提示信息。断开网络方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行断离网络的处理，同时，该计算机弹出管理员设定的提示信息。关机方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行2分钟后自动关机的处理，同时，该计算机弹出管理员设定的提示信息。B：若客户端仅在外网，一般是指，客户没有在局域网中，只通过modem等网络设备上网的情况。在处理方式中，仅提示方式，是指当选定对象的用户如果违反了策略，将在客户端弹出管理员设置的提示信息。断开网络方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行断离网络的处理，同时，该计算机弹出管理员设定的提示信息。关机方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行2分钟后自动关机的处理，同时，该计算机弹出管理员设定的提示信息。重新接回内网后进行安全检察，是指当计算机离开本网络，并且离开后进行了网络操作，则当计算机回到本网络的时候，提示用户进行安全检测。表2-SEQ表2-\*ARABIC10防违规外联策略参数说明策略实例：图2-SEQ图2-\*ARABIC11防违规外联策略当执行该策略的客户端有违规外联事件发生时，客户端将弹出管理员设置的提示信息，如下图所示：图2-SEQ图2-\*ARABIC12违规提示注意事项：1．当计算机离开本地网络，并进行过联网后，回到网络仅提示安全检查，本系统并不对其进行具体的安全检查。2．使用本策略，必须点选“允许探头进行违规联网监控”和“采用探测外网方法”两个选项。行为管理及审计、涉密检查策略请参照第四章北信源主机监控审计系统可移动储存管理请参照第五章北信源移动存储介质使用管理系统主机运维策略运行资源监控策略功能说明：本策略主要针对服务器和重要主机而设计的，网管人员十分关心服务器和重要主机的运行状况，如CPU、内存、硬盘等关键硬件的信息就能直接反映它们的运行情况，用户可以根据管理情况定制报警策略。参数说明：参数说明cpu信息cpu使用率可以在windows系统任务管理器中的性能菜单下查询。当cpu使用率过高，并且持续时间比较长的话，将会影响计算机的正常使用。用户可根据计算机的硬件配置情况和使用情况自己制定限制的数值。“上报”复选框是将计算机超出设定值的时候的信息发给区域管理器；“客户端提示”在客户端计算机超出设定值的时候，在其本机弹出管理员设置的信息。内存信息内存使用率可以在windows系统任务管理器中的性能菜单下查询。当内存使用率过高，并且持续时间比较长的话，将会影响计算机的正常使用。用户可根据计算机的硬件配置情况和使用情况自己制定限制的数值。硬盘信息当系统盘剩余空间低于设定值时报警，当点选“检测其他盘符”时，输入相应的盘符和设定的剩余空间,也会产生报警信息。表2-SEQ表2-\*ARABIC11运行资源监控策略参数说明注意事项：1．当cpu持续占用率达到100%,可能会造成策略对象计算机的死机，无法处理系统发出的提示信息，造成无法提示，这属于windows操作系统问题。进程异常监控功能说明：对客户端的进程状态进行监控。参数说明：参数说明未响应窗口监控在相应的“监控窗口名”处填入需要监控的进程名。进程名可以在windows任务管理器的进程菜单下查看。选择具体需要的操作：“上报”：将情况上报给区域管理器；“结束进程”：在客户端结束该进程；“结束并重新启动进程”：在客户端先结束进程，然后再启动该进程。意外退出进程监控在相应的“监控进程名”处填入需要监控的进程名。进程名可以在windows任务管理器的进程菜单下查看。意外服务监控在相应的“监控服务名”处填入需要监控的服务名。服务名可以在windows任务管理器的服务菜单下查看。表2-SEQ表2-\*ARABIC12进程异常监控策略参数说明注意事项：1．本策略的设置是针对进程的，注意不要和“进程执行监控”相冲突，引起系统的不稳定。垃圾文件清理功能说明：根据需要，在相应的文件夹菜单中选择或填入需要清理垃圾文件的文件夹；在相应的文件类别中选择需要清理的文件类型。注意事项：1．FAT32文件系统中被删除的文件放置在回收站中,NTFS文件系统中直接删除。2．请管理员设置时，注意相关的注释。正在使用的临时文件等文件，无法清除，需要清除的话，请先关闭相关的应用程序。系统自动关机功能说明：根据需要设定无键盘、鼠标动作时间自动关机，点选“关机前自动提示”，则在关机前在客户端弹出管理员设定的提示信息。流量管理策略流量采样策略功能说明：通过设置选定用户（在本策略的对象中设定的）计算机的网络的平均流量和并发连接数，以及可疑发包等网络流量策略来审计网络的使用。参数说明：参数说明流量采样阈值设定这是按照一定时间内客户端计算机的平均网络使用流量计算的每秒平均流量数。推荐按照缺省建议设置。并发连接可疑定义这是按照客户端计算机同时进行网络访问的数量来计算的网络连接数。推荐按照缺省建议设置。发包可疑定义一般来说，推荐使用系统默认的数值，如果您有意修改以上的数据，建议您咨询网络管理员。表2-SEQ表2-\*ARABIC13流量采样策略参数说明注意事项：1．此处仅对相应的流量数据进行统计，统计数据可在数据查询中进行查询。流量控制策略功能说明：根据系统对选定用户（在本策略的对象中设定的）网络使用的监测，协调整个网络的流量。参数说明：参数说明客户端总流量按照一定时间内的总的数据传输量求出的平均每秒流量数。管理员可以根据网络实际情况设定具体的数值流量和持续时间。并发连接数可疑违规按照客户端计算机同时进行网络访问的数量来计算的网络连接数是否过多判断用户对网络的使用是否合规。发包可疑违规一般是指计算机接到了超出了正常网络服务使用中的接到数据包的范围，还有单位时间应该从网络上其他计算机上接到的icmp数据包数量。这里的数量值取得都是我们在流量采样策略中设定的相应的数值。违规时客户端执行“上报”，是指内网安全管理系统自动将违反上述选定了的规则的计算机上报给区域管理器。“自动阻断”：是指如果客户端计算机违反了上述规则的计算机断网处理，时间一般默认为5分钟左右；“永久阻断”：只要被阻断一次之后，必须通过终端控制中的恢复网络连接功能才能恢复网络连接。“客户端提示”，是指如果客户端计算机违反了上述规则，，则在客户端计算机上弹出管理员设定的消息。表2-SEQ表2-\*ARABIC14流量控制策略参数说明注意事项：1．本策略是根据对网络流量异常和icmp收发包异常的监控来实现功能的策略，本策略采用的大多数监控数据，是从流量采样策略中设定的。2．收发包异常的情况一般是由一些计算机端口的扫描软件或黑客软件造成的，需要管理员多加注意。3．本策略的设定要求对网络和网络协议有一定的了解，请在网络管理员的指导下设置，系统采用的默认值可以满足一般网络环境的要求。4．并发连接数可疑或发包可疑的前提是客户端总流量走出设定。消息推送策略消息推送功能说明：向选定用户（在本策略的对象中设定的）计算机发送消息通知，请求重注册信息以及要求升级等消息。参数说明：参数说明消息功能“仅消息通知”和普通的消息分发没有什么区别，在客户端计算机弹出管理员设置的消息。“消息通知并确认回馈”是指在客户端计算机弹出管理员设置的消息，同时客户端计算机显示后，要求用户确认。“重新注册”在客户端计算机弹出注册窗口，要求用户注册。“客户端升级”弹出提示要求客户端升级的信息，不进行实际操作。表2-SEQ表2-\*ARABIC15消息推送策略参数说明消息推送扩展策略功能说明：可以实现一段时间内持续地向选定用户（在本策略的对象中设定的）计算机发送消息。备份策略客户端文件备份功能说明：对选定用户计算机进行指定文件的备份。参数说明：参数说明文件/目录(全路径)设置需要备份的文件或目录的全路径。备份过滤指定需要备份的文件的后缀名，填入此项后仅备份指定后缀名文件，不填写则全部备份。备份服务器IP可以将设定备份在指定服务器的共享目录下间隔时间默认值为120分钟，最小值为3分钟。表2-SEQ表2-\*ARABIC16客户端文件备份策略参数说明注意事项：1．该功能通过共享文件夹拷贝方式备份，配置前需要确认所输入的用户名和密码对共享目录必须有写权限，如果以2003系统作为备份服务器，则需要将服务器改为使用经典登录才可用。屏幕抓取策略功能说明：在一定时间间隔内抓屏并备份到服务器上。文件备份的路径设置在备份服务器程序里进行设置，如下图所示，图2-SEQ图2-\*ARABIC13文件备份路径设置屏幕录像策略功能说明：可以实现定时屏幕录像，并且可以设定录像时间长度。终端配置策略终端设置策略功能说明：对客户端时间、ARP阻断以及各种信息的上报等进行设置。参数说明：参数说明同步终端时间可同步客户端时间为服务器时间。自定义探头应答IP为了保证Agent不受冒充指令的干扰，Agent只接受来自管理器服务器的指令请求，如果的确需要接受其它IP的指令，则可以将该处添加IP并分配给终端设备。自定义ARP阻断置可设置每次发送ARP欺骗包的间隔时间和持续时间。备用区域管理IP当一个区域管理器出现故障，导致无法提供服务时，由此处指定的备用服务器接替原服务器继续提供服务，实现管理服务器的双机热备功能。设备离网阻断设备处于其他网络时，限制网络访问。设备内存,硬盘阻断设备内存或硬盘变化时阻断通信。绑定正确网关MAC防止ARP欺骗攻击防止ARP病毒对网关的欺骗。启用该功能后，会提示选择正确的网关地址。默认共享可以取消系统默认共享。指定只允许启用的共享名不输入则允许任何共享名。多个共享名之间用半角分号(;)分隔。设备安装多操作系统当功能启用时，只可以启用原启用列表中默认的系统选项。注册用户与计算机名称关联强制将计算机名修改为注册时输入的使用人项指定终端自动卸载在指定指定时间点卸载。域用户登录限制限制该机只允许使用域用户登录。审计日志上报间隔设置与策略对应的审计日志的上报时间间隔。补丁信息上报将终端补丁安装信息上报到服务器。进程信息上报将终端系统首次运行的进程情况上报服务器。软件信息上报将终端系统已安装的软件信息以增量式地上报到服务器，并且可以设定上报时间。表2-SEQ表2-\*ARABIC17终端配置策略参数说明管理器策略该功能用于在级联的情况下，设置下级服务器向上级上报的消息类别。订阅级联审计数据策略功能说明：订阅下级平台设备基本信息以及各种行为的审计日志。终端升级管理策略功能说明：客户端注册程序的升级。注意事项：1．该策略没有策略内容和启用/停用设置，可以指定一部分特定的终端自动升级，只需要将把需要自动升级的终端配置到策略对象中即可，不在对象中的终端设备是不会自动升级的。以后每次服务器升级后只有对象中的终端会自动升级为最新版本，其余的还是以之前版本运行。2．该策略适用于对新的版本进行测试，待测试完成后没有什么问题，将该策略删除或把策略分给所有的终端实现整网统一升级。3．整个系统仅允许使用一条这样的策略，并且不具备级联功能。组合策略组合策略分发功能说明：根据需要选择几种类型的策略，再进一步选择某类策略下的某个策略，从而形成策略组。注意事项：1．其中各个子策略都必须为启用状态。漫游策略分发功能说明：只针对漫游客户端所发送的策略。具体的漫游功能请参照附录六漫游功能说明。临时客户端分发功能说明：只针对临时客户端所发送的策略。临时客户端：在“注册程序配置”中，通过配置“注册密码”项来实现指定客户端的使用限制。如下图所示，图2-SEQ图2-\*ARABIC14注册码配置按对象分配策略按设备分配通过设备IP、设备名或使用人查询下发给该设备的策略，能够快速查找到相应的客户端正在执行的策略，并支持模糊查询。按设备组分配可以为自定义的用户添加策略，并且可以显示为每一组自定义的用户下发的策略，并且可以编辑或取消该策略。策略下发查询用户可以查看策略的下发情况，可以查询下载策略的设备IP、名称和下发时间等信息。网关接入认证配置请参照第六章北信源网络接入控制管理系统阻断违规接入管理当扫描器发现有未注册客户端的设备接入内网时，该功能可以有效地控制外来设备接入内网而带来的安全威胁，通过选中“没有注册则阻断联网”复选框便可阻断该设备。同时提供了“警告信息”功能（必须开启信使服务）、IP、MAC绑定等功能，如下图所示：图2-SEQ图2-\*ARABIC15阻断违规接入控制设置补丁分发请参照第三章北信源补丁及文件分发管理系统数据查询数据查询是根据内网安全及补丁分发管理系统工作的结果，向管理员提供对网络设备信息、网络划分信息、网络中相关的设备安全状态信息的综合查询。其中大多数查询是与制定的策略对应的。本地注册情况统计图2-SEQ图2-\*ARABIC16本地注册情况信息本地设备资源统计图2-SEQ图2-\*ARABIC17本地设备资源信息本地设备类型统计图2-SEQ图2-\*ARABIC18本地设备类型统计USB标签信息查询USB标签制作查询查询USB标签制作记录。信息显示包括U盘编号、唯一序号、所属部门、拥有人、U盘状态、标签和操作说明等。USB标签黑名单查询USB黑名单记录。服务器会把USB标签黑名单发送给客户端，当插入的USB时，客户端检查此USB标签是否在黑名单中时，如果在将被禁止使用。USB授权个数查询查询USB授权个数。显示信息包括用户名称、USB授权个数和USB剩余授权个数。设备信息查询设备信息查询查询信息包括计算机所属区域、单位、部门、使用人、设备IP、MAC、注册、重新注册、信任、保护、阻断、开机、杀毒软件、杀毒厂商、系统等信息。根据▼▲符号对查询数据进行降序、升序排列列表。注册资产查询对已注册的客户端的设备进行设备资产查询，提供多个复合条件查询。安装软件查询对客户端的软件进行查询，可以根据软件类别，如必须安装的软件、禁止安装的软件等条件进行查询。首次运行进程查询依照进程名称、文件大小、版本、进程所在路径、进程所打开的端口、进程运行次数等进行查询。可以用于对病毒、木马、黑客程序等进程的查询。共享目录查询可以对设备的共享名称、共享路径和共享模式等信息进行查询。设备IP占用情况列表查询区域管理器所管辖的范围内的注册IP、未注册IP、空闲IP。硬件变化查询客户端注册时，已经把其硬件信息注册入库，如果客户端硬件有变化（增添或卸载），则可通过该查询条件查到。软件变化查询当客户端安装注册程序时，会收集客户端安装软件的信息上报到服务器。服务器会比较当前安装软件和数据库保存的信息，来显示软件的变化。如下图所示，图2-SEQ图2-\*ARABIC19软件变化信息注册日志查询显示客户端注册状态信息，如下图所示，图2-SEQ图2-\*ARABIC20注册日志信息操作系统安装查询查看设备操作系统信息，包括操作系统UUID、操作系统名称和操作系统安装系统等信息。计算机开关机查询查看设备的开关机信息。在“终端策略”中选中“允许上报开关机时间”时，才可以查询到数据。离线设备查询可以查询离线设备的信息，包括所属区域、最后登录时间、已关机天数、使用人、联系电话和ip地址等信息。审计数据查询可以对以下审计进行查询：移动设备审计、上网访问审计、上网访问统计、文件输出审计、文档打印记录、文件保护审计、违规软件及进程、安全策略违规、涉密检查查询、区域管理器工作日志和终端代理审计。分发数据查询可以对以下三种分发数据进行查询：消息确认查询、普通文件分发查询和普通文件分发统计。非Windows操作系统设备对非windows操作系统设备的硬件资产和软件资产查询。终端管理终端管理提供对网络计算机终端的行为控制、状态监测等方面进行查看、控制、管理。设备基本信息：可以获取该客户端基本注册信息。终端进程管理：可以获取该客户端当前运行进程。终端服务管理：可以获取该计算机远程服务启动情况信息。终端端口管理：可以查看远程计算机连接协议类型、IP地址、端口号。查看安装软件：可以查看客户端计算机实时安装的软件信息，并可以查看软件安装变更记录。查看漏打补丁：实时查看客户端存在的系统漏洞及危险级别。查看运行资源：远程查看客户端计算机的运行资源情况。查看系统用户：远程查看客户端计算机的系统用户情况。终端事件查看：可以获取远程客户端的系统信息、安全日志及应用程序日志。硬件资产查看：远程查看客户端的实时硬件信息。共享目录列表：远程查看该客户端所共享的资源及资源路径。当前执行策略：查看该客户端当前执行策略。终端访问审计：远程实时审计客户端的访问情况。其他审计记录：开关机记录、磁盘变化记录和进程策略执行结果行为控制消息通知：对选定客户端计算机实时发送消息，并可以设定客户端是否做消息回馈操作。运行程序：可以在服务器端强行指定客户端运行以.EXE、.COM、.BAT等为后缀的可执行程序，并可以以服务或隐藏执行两种方式运行。查杀病毒：提供全盘杀毒或制定某一目录杀毒，根据需要可以在杀毒前提示。修改网络配置：可远程修改客户端计算机的名称、IP和DNS等网络配置。断开网络连接：可以远程阻断客户端联网，并可自定义提示信息。恢复网络连接：可以远程恢复客户端联网，并可自定义提示信息。“违规外规策略”中“需要解锁”功能，管理员就是在这里进行解锁的。同步客户端数据：通过同步客户端数据使客户端注册数据同服务器保持一致。锁定键盘鼠标：可以给客户端发送重新注册窗口，同时自定义提示信息，并可以同步终端注册信息。重新注册：可以给客户端发送重新注册窗口，同时自定义提示信息，并可以同步终端注册信息。客户端升级：点击后可以发送要求客户端升级的命令，并进行远程对客户端探头进行升级。客户端卸载：点击后可以远程对客户端探头进行卸载。关闭计算机：点击“提交处理”按钮后可以远程关闭、重启客户端计算机，并可在关闭、重启前进行提示。远程协助数据包分析支持：可启动数据包分析工具，对客户端进行全程数据包分析。远程支持注：使用该功能必须在当前区域管理器注册客户端才能使用。运维监控客户端流量排名：监测网络中客户端流量信息并进行排名，报警异常网络流量，能够对客户端进行流量报警。客户端流量统计：根据流量统计满足各种条件（如：30分钟内最大值、当天最大值、本周最大值等）的计算机的IP、名称以及所属的区域名称等信息。流量综合排名：对所有终端的流量进行排名，管理员可以清楚地看到流量排名。可以累计流量、累计连接数和累计连接时间进行排序。运维异常监控查询：根据运行资源异常、网络流量异常、运行进程异常等条件查询异常状态的客户端。运维异常监控统计：可以统计某个区域，某段时间内CPU信息报警、内存信息报警、硬盘信息报警、未响应进程和意外退出进程及服务的异常信息。交换机端口管理：北信源终端安全管理交换机扫描模块能主动发现网络中存在的可网管交换设备，并自动将交换机连接的计算机设备纳入该交换机管理范围列表。图2-SEQ图2-\*ARABIC21交换机扫描管理配置注意：此功能的实现必须开启SNMP协议。网管帮助设置：记录网管的基本信息，包括网管姓名和电话等信息，在需要联系时可以及时联系到网管。报表管理可以统计网络中设备硬件信息、系统信息、注册状态，以及级联系统数据信息。具体包括：本地设备注册情况统计、本地设备系统信息统计、本地设备硬件信息统计、级联设备注册情况统计、级联设备系统信息统计、级联设备硬件信息统计。提供对网络中所有设备信息的统计：设备数量：路由器、交换机、服务器、客户端；在线设备：当前网络中开机运行的设备；注册设备：已经注册的计算机设备；Unix/Linux、路由器、交换机设备通过手动添加写入数据库；杀毒软件：目前支持北信源、瑞星、江民、金山、诺顿、趋势、NAI等杀毒软件。报警管理提供网络设备信息非法外联、IP绑定等事件性安全信息进行报警统计，并支持级联方式下的报警数据查询。北信源终端安全管理支持对于VIFR报警、阻断报警、IP绑定变化、违规外联、设备变化、流量异常、探头卸载、病毒行为等事件的报警。报警数据查询策略中心各种报警策略的报警信息查询，报警信息包括VIFR报警、阻断报警、IP绑定变化、违规外联、设备变化、流量异常、探头卸载、病毒行为、其他报警和违规上网统计。本地区域报警数据统计统计本地区域报警数据，信息包括非法外联、设备变化、IP绑定变化、探头被卸载、流量异常和阻断报警。可以按区域和时间查询。本地报警数据汇总汇总显示本级区域管理器各种报警的次数等信息。级联总控实现多级补丁管理级联，上级管理系统能够查询下级补丁管理信息。级联注册情况统计查询由下属区域管理器划分的不同机构的客户端的注册情况。如设备总数、应注册计算机、已注册计算机、注册率、在线设备、安装杀毒软件、未打重要补丁等。如下图所示图2-SEQ图2-\*ARABIC22设备信息统计图表级联设备资源统计统计级联设备信息，包括操作系统、CPU、系统内存、未打补丁和硬盘存储量，如下图所示图2-SEQ图2-\*ARABIC23级联设备信息级联设备类型统计用于级联设备系统类型统计。如下图所示图2-SEQ图2-\*ARABIC24级联设备系统类型统计级联管理控制可以做多级级联，方便管理员管理。图2-SEQ图2-\*ARABIC25级联管理控制点击下级级联管理器，会显示此管理器的信息，例如管理器IP，管理器名称，机构名称，运行状态信息会自动显示出来如下图所示，图2-SEQ图2-\*ARABIC26下级级联区域管理器信息点击“进入下级管理平台”将直接进入该管理器的管理平台。用户可以之际操作此管理平台。区域管理器状态查询用于多级级联方式构建的系统环境，在此页面查看所有下属管理器运行状态，监控管理器是否正常运行以及运行的状态。图2-SEQ图2-\*ARABIC27区域管理器状态信息区域扫描器状态查询主要用于多级级联方式构建的系统环境，查看所有区域扫描器的运行状态。图2-SEQ图2-\*ARABIC28区域扫描器状态信息级联上报数据当对下级服务器下发了“订阅级联审计数据”策略，这里可以查看相应的数据。图2-SEQ图2-\*ARABIC29级联上报数据级联报警数据可以查看违规外联事件、其他报警事件和违规上网统计的数据信息。系统维护系统维护是用来创建和管理登录本系统网页平台的账号信息。可以通过系统维护来添加不同的系统用户、给系统用户分配权限、对系统用户的密码进行初始化操作；通过它还可以修改管理员的密码等操作。系统用户分配与管理用户列表在系统用户列表里可以查看到系统用户的名称、创建者、用户类型以及相关的备注信息。图2-SEQ图2-\*ARABIC30系统用户列表列表中的和代表用户名称的排列顺序，是采取升序还是降序的方式排列。添加用户管理员可通过导航菜单的“系统用户分配与管理”“用户添加”可以添加不同角色的下级系统用户。系统用户的类型为普通用户，而admin为超级用户。图2-SEQ图2-\*ARABIC31添加系统用户界面注：用户名长度必须为3-15个长度的字母、数字或者中文；密码长度必须包括字母和数字，最大长度为20位。用户管理系统用户管理区域列举了系统用户的名称、类型、权限分配情况、是否有创建子用户的权限及其管理操作。图2-SEQ图2-\*ARABIC32用户管理列表权限分配新分配的用户默认没有任何管理权限任何权限均基于区域及自定义分组权限，分配其它权限前请先为该用户分配区域及自定义分组权限屏幕监控权限基于终端控制权限的“屏幕监控”权限，分配屏幕监控权限时请先分配该用户终端控制权限中的“屏幕监控”权限(admin用户除外)任何用户均只能管理与分配上级用户为其分配的用户权限区域管理权限系统普通用户拥有的区域管理权限。仅限于该区域内的上报数据，包括设备信息，报警及审计数据等。可以通过勾选“允许控制”项来实现对区域的管理。组织结构与自定义组权限系统普通用户拥有的自定义组管理权限。可以通过勾选“允许控制”项来实现对区域的管理。策略控制权限系统用户拥有的策略权限。系统管理员可以通过选择左侧策略名称，然后单击下方【添加策略控制权限】按钮实现给其他系统用户分配其策略权限。同时可以在策略权限列表里分配系统用户的操作权限（只读/读写）以及删除权限。也可以通过上面的【全部设为只读】、【全部设为读写】和【全部删除】三个按钮对系统用户进行批量权限控制。终端控制权限拥有的终端控制权限，根据需求分配用户拥有的权限，权限如下图所示：图2-SEQ图2-\*ARABIC33终端控制权限屏幕监控权限对指定ip或者ip段的终端的屏幕控制权限，设置如下图所示：图2-SEQ图2-\*ARABIC34屏幕监控权限其他控制权限除了区域管理权限和策略控制权限之外，管理员还可以为系统用户分配其他的控制权限。如区域控制权限、注册程序打包权限、用户组织结构管理等权限。系统用户可以根据管理员给自己分配的权限实现对服务器端的管理。密码初始化在用户管理页面，找到要删除的用户列表信息，单击右侧的“密码初始化”按钮：弹出提示框：图2-SEQ图2-\*ARABIC35密码初始化提示框单击【确定】，弹出密码初始化完成提示框：图2-SEQ图2-\*ARABIC36密码初始化完成提示框单击【确定】，该系统用户登录密码变为初始密码：123456。用户设置修改管理员密码该处密码修改功能只能对管理员（admin）的密码进行修改操作。其他用户的密码修改操作在该处不适用。密码长度有数字和字母组成，最大长度为20位图2-SEQ图2-\*ARABIC37修改admin用户密码IP访问控制控制指定IP对web平台的登录访问。数据重整数据重整类似于刷新功能，提供对数据库中数据的重新整理，每隔一段时间对系统数据库进行重整。图2-SEQ图2-\*ARABIC38数据重整信息表数据重整情况处理分为四种情形：IP和MAC重复：当出现设备的IP地址和其MAC地址重复时，则进行删除处理。IP不在区域范围内：当设备的IP地址不在区域管理器设置的区域范围内时，则对其进行删除处理。长时间未使用：当该设备未使用天数超过设置的天数时，则对其做数据重整。区域IP范围改变：当区域管理器设置的区域IP范围发生改变时，则需要重新对数据进行整理。审计用户提供对系统管理用户的操作行为记录，记录管理员操作执行的策略详细内容，用审计帐户audit登录，密码123456，如下图：图2-SEQ图2-\*ARABIC39审计用户登录系统日志USB标签制作查询：查询USB标签制作记录，包括U盘编号，U盘状态、标签和所有人等信息。USB授权个数查询：查询USB授权信息，包括USB授权个数和USB剩余授权个数等信息。用户操作日志：查询用户操作日志，包括操作内容和操作时间等信息。用户登录日志：详细记录登录用户登录时间、IP地址、登录用户名称等，以备进行事后审计。策略操作日志：针对管理员对系统策略的修改、增删等各种操作进行详细记录。

北信源补丁及文件分发管理系统区域管理器补丁管理设置补丁下载配置进行补丁分发管理前，首先需要对区域管理器的补丁下载管理模块进行设置：配置管理-->-->高级配置-->补丁下载【补丁路径】为北信源内网安全管理平台的安装路径，下图为系统默认的C:\VRV\，该目录下的\RegionManage\Distribute\Patch即为补丁下载默认的存放路径，提供给客户端下载。图3-SEQ图3-\*ARABIC1区域管理器补丁管理设置参数说明最大连接数限制设置客户端同时连接区域管理器并发下载补丁数量下载流量限制限制下载补丁时区域管理器的最大流量值级联选项上下级区域管理器级联情况下，设定上级区域管理器IP和数据通讯端口表3-SEQ表3-\*ARABIC1区域管理器补丁管理参数说明补丁级联下载功能主要针对在多层级联的环境内，各下级区域在进行系统补丁加固时，只需总部从外网上下载补丁后，使用移动存储设备从外网拷入系统补丁，其下级区域无须再额外的从外网上下载系统补丁，其系统补丁均可从总部的服务器上获得。使用该功能时要求在下级安装的区域管理器的相应选项中填写上级区域管理器的IP地址，便可方便的获得系统补丁，并实时和上级区域的补丁数量保持一致。从总部下载得到的补丁将存放在\vrv\RegionManage\Distribute\Patch\目录下保存。文件分发策略配置经过以上配置后，还需要进行补丁策略分发参数设置：图3-SEQ图3-\*ARABIC2分发参数设置进行策略任务分发前选择【启动策略分发】和【启用ping探测】。确定分发文件所在的路径，分发时间间隔、分发数据通讯端口、分发线程等相关参数。如需设置级联，请在级联选项中，指定上级区域管理器级联IP地址等，上述部分参数按照系统默认设置即可。区域管理器在下发策略前，先ping一下客户端，ping通之后再下发策略。优点：效率高；缺点：对于设置了禁ping的客户端不起作用。默认方式是TCP方式，此方式效率低。策略中心补丁分发策略补丁自动分发功能说明：可以实现对补丁按类型、分组自动分发，并且可以设置下载前提示、运行前提示、检测方式等。参数说明：参数说明补丁类型分为“system”、“IE”、“应用程序”三个选项，分别是针对微软操作系统、IE浏览器、和一些应用程序的补丁的分类，在我们的内网安全管理系统中，主要是指微软官方发布的各种补丁和我们北信源公司发布的各种安全补丁程序。“等级大于等于”下拉菜单主要指微软官方对补丁所带来的系统风险的评估，等级越高，相对应的风险越高。补丁分组这个模块是内网安全管理系统为了方便管理员对补丁的管理而设置的分组，管理员可以根据自己的习惯将补丁划分为“A组”、“B组”“C组”三部分，具体的划分，需要在主系统菜单中的“补丁分发”菜单中的补丁库分类列表中制定。补丁测试这里的测试是指当补丁下载服务器根据配置从网站上下载了补丁后，是否需要在选定的对象计算机内作小范围测试，然后再在整个网络环境中推广的补丁发布形式。当选中该选项时，自动分发补丁的设置和策略不起作用，只能取消测试选项或者在“补丁分发”菜单中的补丁库分类列表中选定相应补丁，然后点选页面左上角的“允许下载补定”选项也可以达到补丁的目的。还可以采用下面的“人工选择补丁分发”策略来达到向全网络发布补丁的目的。运行设定后台运行：是指不提示客户端，不显示程序界面，直接在客户端后台运行的处理策略。其中的“运行优先级”的从低到高，是指当补丁程序在后台运行中，对计算机整体系统资源占用的比例也是从低到高的。下载前提示，是指在客户端下载补丁之前，在其显示界面上弹出管理员设定的信息。下载完成后提示并执行，是指客户端完成下载指定补丁，并且在其显示界面上弹出管理员设定的信息，同时执行补丁安装程序。检测方式“启动时检测”，是指在计算机启动时，进行新补丁程序信息的检测；“停止检测”，是指不检测补丁服务器中的新补丁程序信息；“定时检测”，是指设定计算机定期定时去进行新补丁程序信息的检测；“间隔检测”，是指每隔设定的时间段进行新补丁程序信息的检测。出错处理点选“下载失败重试”复选框，则客户端如果不能从服务端成功下载策略规定的补丁，就进行重试操作，重试的次数和重试间隔填入后边的空白处即可。表3-SEQ表3-\*ARABIC2补丁自动分发策略参数说明策略实例：图3-SEQ图3-\*ARABIC3补丁自动分发注意事项：1．补丁安装使用后台运行方式时，设定的优先级要适当，避免影响客户端的正常使用。2．关于测试选项，希望大家详细看看注释和设置说明，以免影响补丁程序的正常升级。人工选择补丁分发功能说明：通过策略提供客户端补丁的管理员手工设定的下载及安装，可设置补丁探测时间，运行参数及运行形式。基于分发时间、补丁检测周期等进行策略制订，策略发送到网络客户端后，客户端注册程序统一执行补丁应用策略。参数说明：参数说明命令行参数如果需要执行该补丁自带的某些选项的话，比如说，自动安装等等，需要设置这里的命令行参数。具体的命令行参数可以在该补丁的说明书中找到，或者在Ms-Dos窗口中敲入该补丁文件名加“/”参数进行查询。运行设置“后台运行”：是指不提示客户端，不显示程序界面，直接在客户端后台运行的处理策略。其中的“运行优先级”的从低到高，是指当补丁程序在后台运行中，对计算机整体系统资源占用的比例也是从低到高的。“下载前提示”，是指在客户端下载补丁之前，在其显示界面上弹出管理员设定的信息。“下载完成后提示并执行”，是指客户端完成下载指定补丁，并且在其显示界面上弹出管理员设定的信息，同时执行补丁安装程序。检测方式“停止检测”，是指不检测补丁服务器中的新补丁程序信息；“启动时检测”，是指在计算机启动时，进行新补丁程序信息的检测；“定时检测”，是指设定计算机定期定时去进行新补丁程序信息的检测；“间隔检测”，是指每隔设定的时间段进行新补丁程序信息的检测。出错处理点选“下载失败重试”复选框，则客户端如果不能从服务端成功下载策略规定的补丁，就进行重试操作，重试的次数和重试间隔填入后边的空白处即可。表3-SEQ表3-\*ARABIC3人工选择补丁分发策略参数说明注意事项：1．注意此处设定的策略，不要与补丁自动分发策略中的设置相冲突。软件分发策略功能说明：提供服务器向客户端分发各种文件，如可执行文件并可以自动运行，服务器端可以选择分发的目标路径、设定运行参数、是否后台运行，同时向客户端发送提示信息。注：上传文件的终端需要注册。参数说明：参数说明保存目标路径文件分发到客户端后，在客户端保存该文件的位置，要手动输入。命令行参数定分发完成后运行，如果需要该程序执行自带的某些功能的话，比如说，自动安装等等，需要设置这里的命令行参数。具体的命令行参数可以在该软件的软件说明书中找到，或者在Ms-Dos窗口中敲入该命令加“/”参数进行查询。“运行前提示”，是指在客户端下载完成后，通过内网管理系统使其自动运行时，管理员设置的在客户端弹出的消息窗口内容。“重复执行”，是指在客户端每次开机执行一次发布的文件，一般用于一些程序的升级。“后台运行”，是指不提示客户端，不显示程序界面，直接在客户端后台运行的处理策略。表3-SEQ表3-\*ARABIC4普通文件分发策略参数说明具体操作：点击【浏览】选择需要分发的文件后，单击【开始上传】按钮，待上传完毕后即可在【文件名】处的下拉框中选择预分发的文件（也可以一次上传多个文件）。最后单击【保存策略】按钮，待依次指定对象和启用策略后，该策略则开始生效。文件完全分发到客户端需依照文件大小决定。分发完后根据条件进行安装文件检测，确定文件安装成功。注意事项：1．上传文件时注意：必须是已注册本服务器的客户端；不上传桌面上的文件，上传不会成功；IE7等浏览器的安全级别调至中或者中低；2．如果误上传了需要分发的文件，管理员可以到Web管理平台安装的计算机上进入\vrv\regionmanage\distribute\software\目录下手动删除该文件即可。其他策略终端配置策略、管理器策略、按对象分配策略、策略下发查询请参照第二章北信源内网安全管理系统的策略中心中的对应项。补丁分发补丁的来源可使用北信源补丁下载服务器从软件厂商网站获取补丁索引及补丁，直接或通过移动存储设备，导入内网区域管理器的补丁分发目录进行客户端补丁自动分发，客户端将获取的补丁放在本地%windir%\system32\distribute目录下，下载后可自动安装，安装后会自动删除安装文件。补丁库分类列表：对补丁进行分类显示，设置补丁检测页面的运行参数；支持多种方式对补丁分发结果信息进行查询。补丁下载设置：当客户端访问补丁检测中心时，检测客户端是否安装了探头，未安装时设置响应的提示信息。本地补丁分发查询：可按系统提供的多个查询条件例如所属区域、操作系统等对指定区域的网络终端进行补丁安装状况查询。本地补丁分发统计：可以对某个补丁、某个区域、某个组、某个时间段的分发情况进行统计。本地已安装补丁统计：对本地已安装补丁数进行全面的统计，对每个级别的补丁数做出统计。本地未安装补丁统计：对本地未安装补丁数进行全面的统计，对每个级别的补丁数做出统计。本地漏洞计算机统计：对选定的区域中的客户端进行漏洞统计，统计出存在高风险漏洞、中风险漏洞、低风险漏洞的终端数。级联补丁分发查询：可以按IP地址、补丁号和下载补丁时间查询级联补丁的分发情况。级联已安装补丁统计：统计级联已安装补丁，信息包括每个级别补丁数，未安装设备总数和下载补丁数量等。级联未安装补丁统计：统计级联未安装补丁，信息包括每个级别补丁数，未安装设备总数和下载补丁数量等。补丁自动下载分发北信源终端安全管理支持对微软操作系统发布补丁的统一分发，并且用户可使用此系统进行级联方式的补丁自动分发安装和监控。统一补丁分发通过北信源补丁下载服务器（互联网）从互联网下载所有补丁。对于物理隔离的内部网络，其补丁升级服务器中的补丁数据必须从外部获得，因此，要求在Internet上进行补丁下载