一机两用基础知识

一机两用基础知识主要内容“一机两用”监控系统基础知识“一机两用”监控系统操作补丁分发系统基础知识3/28/20252“一机两用”监控系统基础知识

◆哪些行为属于“一机两用”行为

◆“一机两用”行为的危害

◆“一机两用”监控系统的管理结构3/28/20253

全国“一机两用”监测系统

什么是“一机两用”行为指公安信息网内计算机设备，同时连接公安网和互联网（所有非公安信息网）或断开公安网连接互联网（所有非公安信息网）的操作，包括存放公安涉密信息的计算机单独接入互联网（所有非公安信息网）的操作。表现方式：一贯性连接、间断间续性连接等。互联网接入方式包括：Modem拨号、ADSL拨号、双网卡、网关代理、路由、手机上网等方式。3/28/20254—什么是“一机两用”行为—连接表现互联网

双网卡同时连接内外网电话拨号接入互联网公安信息网互联网办公网一机两用离线接入互联网一机两用3/28/20255公安信息网公安网用户公安网用户一机两用互联网用户文件失泄密电子邮件泄密互联网

“一机两用”行为导致了公安网同互联网的物理连接，是造成重要机密文件泄密的可能性原因之一。“一机两用”行为的危害：文件泄密3/28/20256

公安信息网上的“一机两用”行为导致互联网上黑客攻击,使公安网络、计算机、信息遭受破坏。互联网黑客一机两用“一机两用”行为的危害：黑客攻击公安信息网互联网服务器瘫痪黑客攻击3/28/20257公安网用户公安网用户病毒制造者一机两用一机两用

公安信息网上的“一机两用”行为导致互联网病毒、蠕虫、木马直接入侵公安网。“一机两用”行为的危害：病毒感染公安信息网互联网3/28/20258各级领导和干警对“一机两用”的严重后果认识不足，管理上不重视，违规行为不断发生。没有专门的机构和人员从事日常的“一机两用”监控工作，处罚措施不得力。各地对一机两用行为的监控存在技术和管理的差异，导致公安信息网的整体防范存在漏洞。

公安信息网“一机两用”管理现状3/28/20259全国“一机两用”监测系统构架和功能

在部、省、市（地）三级信息中心建立“一机两用”监测系统，对所有联入公安信息网计算机设备的“一机两用”行为进行实时监控和阻断，强化对全国公安信息网边界的监控。公安部监控平台（国家级）公安厅监控平台（省级）公安局监控平台（市级）“一机两用”全国监测系统构架：3/28/202510公安部公安局公安厅公安厅市监控平台“一机两用”全国三级监测系统部署构架公安部公安厅公安局公安厅公安局公安局—全国“一机两用”监测系统构架和功能—构架省监控平台（省级总控）部监控平台（部级总控）3/28/202511公安部公安局公安厅公安厅部监控平台（部级总控）省监控平台（省级总控）市监控平台全国“一机两用”监测系统集中监控管理公安部公安厅公安局公安厅公安局公安局—全国“一机两用”监测系统构架和功能—构架安全信息安全信息3/28/202512“一机两用”监控“一机两用”阻断病毒检测定位设备登记注册违规联网报警“一机两用”监测—全国“一机两用”监测系统构架和功能—功能3/28/202513互联网

双网卡同时连接电话拨号接入公安信息网互联网实时监控扫描监控“一机两用”监控：实时检测公安网中存在的同互联网连接的计算机，及时发现“一机两用”行为并作详细记录。—全国“一机两用”监测系统构架和功能—功能报警数据上报3/28/202514互联网

互联网办公网实时监控扫描监控公安信息网监控平台一机两用实时监控告警扫描阻断“一机两用”阻断：发现违规计算机后，自动阻断违规其非法联网行为，同时向管理中心上报违规记录。—全国“一机两用”监测系统构架和功能—功能3/28/202515违规联网报警：发现违规行为后在控制台报警，并逐级报送给上级管理台。公安部公安局公安厅公安局部监控平台省监控平台市监控平台一机两用注册设备违规行为告警报警数据阻断—全国“一机两用”监测系统构架和功能—功能3/28/202516公安信息网监控平台公安信息网管理信息库设备登记注册：自动扫描发现网络中存在的网络设备，支持用户手动或系统自动注册。（一）区域注册—全国“一机两用”监测系统构架和功能—功能3/28/202517公安部公安局公安厅公安厅公安局部监控平台省监控平台市监控平台设备注册公安部公安局（二）全国注册—全国“一机两用”监测系统构架和功能—功能3/28/202518公安部公安局公安厅公安局部监控平台省监控平台市监控平台未注册设备注册设备报警数据阻断—全国“一机两用”监测系统—未注册管理扫描检测未注册计算机定位：时时发现未注册设备，并对该设备进行阻断与公安信息网隔离，使其无法联入公安信息网络中。3/28/202519病毒检测定位：搜索网络注册客户端系统是否有病毒、木马等运行进程，并能够定位病毒源计算机。病毒制造者一机两用公安信息网

病毒信息定位汇总监控平台互联网病毒检测—全国“一机两用”监测系统构架和功能—功能3/28/202520全国“一机两用”监控系统民警使用操作注意事项（注：提供注释的功能项为管理员专用，其他民警需要了解）3/28/202521目录

客户端注册需填写内容说明

（以下为管理员专用）审核重新注册的设备信息处理被保护的设备系统变更介绍3/28/202522注册需填写内容说明

序号填写项说明必填项1.使用人填写计算机使用者或负责人的姓名不允许填写单位名等非姓名名称，如：值班室2.单位名称填写使用人所在单位，如：“信息通信局”要求按照CA编码规则中的要求填写3.部门名称填写使用者所属部门名称，如：“网络安全处”要求按照CA编码规则中的要求填写4.设备安装位置填写计算机所在地，包括楼号、房间号5.联系电话填写使用人的联系电话6.设备类型用户按类型从操作系统库中做统计7.警种由用户从列表中选择，分类见附表8.是否属于基层科所队由用户从列表中选择，分为是和否两种选填项9.电子邮件使用人的公安网电子邮件地址10.备注设备的其它需要说明的信息3/28/202523

设备注册根据各地一机两用服务器地址下载注册机,进行注册.http://*.*.*.*/vrveis/download/deviceregist.exe3/28/202524审核重新注册的设备信息

审核重新注册设备信息的准确性

对不准确的信息可以通过以下3种方法处理：

1）通过终端控制来强制修改在线设备的注册信息

2）通过发送重新注册的提示消息来要求用户纠正注册信息

3）现场协助用户重新注册

3/28/202525处理被保护的设备序号填写项说明必填项1单位名称填写使用人所在单位，如：“信息通信处”2部门名称填写使用者所属部门名称，如：“网络安全科”3使用人填写计算机使用者或负责人的姓名不允许填写单位名等非姓名名称，如：值班室4联系电话填写使用人的联系电话5设备类型用户按该设备的实际用途从下拉列表中选择选填项6注释可填写设备的品牌及型号等信息，设备类型选“其它”的要在此注明具体用途被保护设备需完善下列信息：3/28/202526为了降低违规外联行为对公安网络产生的安全威胁，新的违规外联行为处理办法修改为以下方式：当客户端探头检测到计算机发生违规外联行为时，就会立即锁定计算机的网络功能，并在2分钟后关闭计算机，计算机重新启动后需要由管理员为计算机解锁，才可以再接入网络。

系统变更-违规外联行为的永久阻断3/28/202527系统变更–系统定义组2

被阻断组：被管理员设置为手工阻断的设备。今天注册设备阻：显示今天从0点至当前时间

的注册设备黑名单设备：该组设备不参与条件查询长时间未使用设备：超过180天未使用的设备

IP重复设备

MAC重复设备3/28/202528IP/MAC绑定

对管理范围内的IP、MAC地址实施绑定可通过两种方式来实现。设备接入管理的IP、MAC绑定列表策略管理中心安全策略中的IP、MAC绑定策略3/28/202529IP/MAC绑定列表

根据基准列表中的IP、MAC地址对来判断IP或MAC地址是否发生绑定改变，一旦发现绑定改变即可对目标计算机执行阻断。通过修改或删除IP、MAC绑定列表中的记录来达到变更或取消绑定的目的。

特点：可对IP、MAC地址进行一对一、一对多的绑定；可对网络中所有IP或MAC进行绑定，不论目标设备是注册或者未注册；发现改变即会产生报警，便于管理员发现和解决网络地址配置不当引起的问题。

3/28/202530目前系统存在的问题1、技术方面：新入网设备的监测和控制策略不够严格；数据的核查操作不够方便；注册进程的稳定性不够。2、管理方面：监控系统管理员配备不到位，日常运行工作缺位；系统中大量的不明设备不能及时核实；系统中大量的无效数据不能及时清理。3/28/202531补丁分发系统基础知识3/28/202532什么是操作系统漏洞？

漏洞即某个程序(包括操作系统)在设计时未考虑周全，当程序遇到一个看似合理，但实际无法处理的问题时，引发的不可预见的错误。补丁相关知识介绍3/28/202533系统漏洞的产生原因？

编程人员的人为因素，在程序编写过程中，为实现不可告人的目的，在程序代码的隐蔽处保留后门；受编程人员的能力、经验和当时安全技术所限，在程序中难免会有不足之处，轻则影响程序效率，重则导致非授权用户的权限提升；由于硬件原因，使编程人员无法弥补硬件的漏洞，从而使硬件的问题通过软件表现。3/28/202534系统漏洞的危害？

漏洞可能会导致网内计算机被轻易入侵，造成重要机密文件泄密。漏洞可能会导致网络攻击型病毒在内网迅速传播等不安全因素的存在。漏洞可能会导致部分应用无法正常运行。3/28/202535什么是补丁？

补丁，顾名思义就是用来修补漏洞的程序，针对特定软件上存在的漏洞和缺陷而对该软件进行加强或升级的附属文件。3/28/202536微软补丁分类

Hotfix：是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序，通常称为修补程序。SP：ServicePack的缩写，意即补丁包。Hotfix是针对某一个问题的单一补丁，SP包含SP发布日期前的所有Hotfix补丁。3/28/202537微软补丁命名

补丁程序文件名有严格的规定，一般格式如下：“产品名-KBXXXXXX-处理器平台-语言版本.exe”。如微软针对震荡波病毒而发布的补丁：“Win2K-KB835732-X86-CHS.exe”。3/28/202538建立部、省、市三级补丁分发管理系统，将补丁管理系统和补丁库部署到部级、省级和地、市级的补丁管理服务器，在全国公安信息网上实现统一的微软操作系统补丁库维护、更新、管理和自动分发机制，为各级信息系统和联网计算机提供补丁自动分发服务，以利于各级信息中心准确、及时地掌握最新的漏洞信息并进行修补。补丁系统简介3/28/202539公安信息网补丁源统一；避免各地公安信息网自行下载、测试补丁所带来的大量重复工作；避免部分用户安装可能带来危害的补丁（包括“假”补丁）进入公安信息网；避免部分用户在外网打补丁的现象。多级级联补丁系统的特点3/28/202540二、补丁分发管理系统构架3/28/202541补丁系统级联管理构架2.1系统结构图3/28/202542使用端口客户端：22105（TCP/UDP）服务器端：88（备用188，TCP）上下级级联端口：使用80转换的情况下：80（TCP）未使用80转换的情况下：2388、2399（TCP）Vrvanywhere：8800，8900（TCP）3/28/202543客户端驻留程序Watchclient.exe

客户端服务Vrvrf_c.exe

策略解析、程序调度Vrvedp_m.exe

违规外联、补丁检测Vrvsafec.exe

客户端保护3/28/202544设备扫描发现：扫描器扫描发现（一个管理器对应多个扫描器）：

ICMP探测

TCP连接探测（Ping有回馈时执行）

SNMP探测客户端扫描发现

UDP探测

ARP探测3.注册状态判断：22105通讯是否正常3/28/202545设备注册相关：注册成功：服务器和客户端均保留用户填写的注册信息，客户端开机时可自动上报。缺省注册成功：注册时与管理器未成功建立通讯连接，当客户端与管理器通讯成功后会自动将信息上报到服务器，同时在本地保存副本。3/28/202546被阻断设备的处理方法：未注册阻断：由扫描器调度被阻断设备邻近的注册计算机向被阻断设备发出ARP干扰，导致其无法进行网络通讯。已注册阻断：由扫描器调度被阻断设备上的客户端程序执行自我阻断。锁定模式：由客户端调度访问控制模块完成计算机的网络锁定。3/28/202547补丁管理功能：补丁自动分发到各省、市的补丁管理服务器；补丁可根据管理员需要分发到各客户端；可定时进行补丁检测和分发；管理员可查询本地补丁修补的相关完成情况；用户可访问专门的（内网）页面，下载、安装当前未安装的补丁；补丁下载可进行客户端转发，以减少网络负载。3/28/202548用户补丁下载查询用户可通过访问指定页面查询、下载安装未安装的补丁3/28/202549

补丁下载地址为http://*.*.*.*/Patchweb3/28/2025503/28/2025513/28/202552系统定义组以下各功能组说明：

新发现组：在前24小时发现的未注册设备。脱缰组：曾经注册过，但由于卸载探头或者注册设备网络原因无法与“一机

两用”服务器正常通讯，扫描4个周期。受保护组：被设置为保护的设备。信任组：被信任的设备；被勾选保护或信任的设备都相当于注册设备，保护

设备违规不会被阻断，信任设备违规会被阻断，但都会报警。应注册未注册设备组:应注册未注册设备；MAC地址不为0的都为应注册设

备。空MAC地址组：无法取得MAC地址的设备。被阻断组：当前被管理员手动勾选阻断的设备。今天注册设备组：当日24小时内注册的设备。无效设备组：管理员勾选无效的设备；该组设备不算统计数据，在组外也无

法查询该设备，并且可以通过系统的阻断配置来阻断该设备。长时间未使用组：超过90天未使用的设备。IP重复组：IP重复的设备。MAC重复组：MAC重复的设备。3/28/202553二、系统新升级后增加移动存储管理功能情况说明3/28/202554安全控制策略Ⅰ（安全策略Ⅰ专用存储设备）保密区内网计算机中间机外网计算机普通U盘/安全策略2存储设备注册后的专用存储设备只有一个“保密区”，仅能在授权计算机上使用，在非授权计算机上不可用。选择安全策略Ⅰ专用存储设备的用户，其计算机对非注册的移动存储设备为“完全禁止”。用户将通过”中间机”完成内外网之间的数据交互工作。安全策略1存储设备专用存储设备功能3/28/202555保密区内部计算机交换区安全控制策略Ⅱ（安全策略Ⅱ专用存储设备）外部计算机注册后的专用存储设备分为保密区、交换区、启动区。保密区仅能在授权计算机上使用，在非授权计算机上不可用。交换区通过用户密码认证后在内外网计算机均可使用。启动区在授权计算机上不显示。在非授权计算机上显示工具。

选择安全策略Ⅱ专用存储设备的用户，其计算机对非注册移动存储设备为“只读”。用户将通过“交换区”完成内外网之间的数据交互工作。安全策略2存储设备启动区专用存储设备功能3/28/202556专用存储设备功能1、双数据区交互使用专用存储设备支持交互区和保密区划分。