北信源内网安全管理系统用户使用手册.docx

《北信源内网安全管理系统用户使用手册.docx》由会员分享，可在线阅读，更多相关《北信源内网安全管理系统用户使用手册.docx（81页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、北信源内网安全管理系统用户使用手册北京北信源软件股份有限公司二一一年支持信息在北信源内网安全管理系统使用过程中，如您有任何疑问都可以通过访问我公司网站http：/或者致电我司客服中心获得帮助和支持！热线支持：400-8188110客户服务电话：010-62140485/86/87在您使用该产品过程中，如果有好的意见或建议的话也请联系我们的客服中心，感谢您对我公司产品的信任和支持！支持信息 I正文目录第一章概述1特别说明1产品构架1应用构架3第二章北信源内网安全管理系统5策略中心5策略管理中心5网关接入认证配置26阻断违规接入管理26补丁分发26数据查询26本地注册情况统计26本地设备资源统计2

2、7本地设备类型统计27USB标签信息查询27设备信息查询27审计数据查询29分发数据查询29非Windows操作系统设备29终端管理30终端管理30行为控制30远程协助31运维监控31报表管理32报警管理32报警数据查询33本地区域报警数据统计33本地报警数据汇总33级联总控33级联注册情况统计33级联设备资源统计33级联设备类型统计34级联管理控制34区域管理器状态查询35区域扫描器状态查询35级联上报数据36级联报警数据36系统维护36系统用户分配与管理36用户设置39数据重整39审计用户40第三章北信源补丁及文件分发管理系统42区域管理器补丁管理设置42补丁下载配置42文件分发策略配置4

3、3策略中心43补丁分发策略43软件分发策略46其他策略47补丁分发47补丁自动下载分发48补丁下载服务器48补丁库分类49补丁下载转发代理49客户端补丁检测（一）50客户端补丁检测(二）52第四章北信源主机监控审计系统53策略中心53行为管理及审计53涉密检查策略55其他策略55数据查询55第五章北信源移动存储介质使用管理系统57策略中心57可移动存储管理57其他策略57数据查询57第六章北信源网络接入控制管理系统59网关接入配置认证59策略中心60接入认证策略60其他策略64环境准备方法64安装RADIUS (windows IAS)64各厂商交换机配置83Cisco2950配置方法83华为

4、3COM 3628配置84锐捷RGS21配置87第七章北信源接入认证网关89网关接入配置认证89策略中心90第八章系统备份及系统升级92系统数据库数据备份及还原92系统组件升级92区域管理器、扫描器模块升级92升级网页管理平台93客户端注册程序升级93检查系统是否升级成功93级联管理模式升级及配置93附录95附录（一)北信源内网安全管理系统名词注释95附录(二）移动存储设备认证工具操作说明95USB标签制作95USB标签制作工具97USB标签制作历史查询108移动存储审计策略109移动存储审计数据110附录（三）主机保护工具操作说明110附录（四）组态报表管理系统操作说明111模版制定111报

5、表输出117附录(五）报警平台操作说明120设置120日志查询123窗口123更换界面124帮助124附录（六)漫游功能说明124漫游功能介绍124漫游功能配置126附录（七）IIS服务器配置说明130WIN2003-32位IIS配置说明130WIN200364位IIS配置说明132WIN200864位IIS配置说明134图目录图1- 1北信源终端安全管理应用拓扑4图2 1创建新策略5图2- 2下发策略6图2- 3策略控制6图2 4硬件设备控制8图2- 5软件安装监控策略10图2- 6进程执行监控策略11图2 7进程保护策略12图2- 8协议防火墙策略15图2- 9注册表16图2- 10IP与

6、MAC绑定策略17图2 11防违规外联策略19图2- 12违规提示19图2- 13文件备份路径设置23图2 14注册码配置25图2- 15阻断违规接入控制设置26图2 16本地注册情况信息26图2 17本地设备资源信息27图2 18本地设备类型统计27图2 19软件变化信息28图2- 20注册日志信息29图2 21交换机扫描管理配置32图2- 22设备信息统计图表33图2- 23级联设备信息34图2 24级联设备系统类型统计34图2- 25级联管理控制35图2 26下级级联区域管理器信息35图2- 27区域管理器状态信息35图2 28区域扫描器状态信息35图2- 29级联上报数据36图2 30

7、系统用户列表36图2 31添加系统用户界面37图2- 32用户管理列表37图2- 33终端控制权限38图2 34屏幕监控权限38图2 35密码初始化提示框39图2 36密码初始化完成提示框39图2- 37修改admin用户密码39图2 38数据重整信息表40图2 39审计用户登录40图3 1区域管理器补丁管理设置42图3 2分发参数设置43图3 3补丁自动分发45图3 4补丁下载服务器界面48图3 5补丁下载服务器设置49图3- 6补丁代理传发支持50图3 7补丁下载设置50图3 8登录页面51图3- 9工具下载页面51图3 10补丁检测中心52图3- 11客户端补丁漏打检测52图6- 1网关

8、接入认证59图6 2重定向配置60图6 3用户添加60图6 4补丁与杀毒软件认证策略61图6- 5接入认证策略62图6- 6 8021x认证界面63图6- 7 8021x认证界面63图6- 8安全检查没有通过，802.1x不启动认证63图6- 9认证失败63图6 10添加Internet验证服务组件65图6 11 IAS配置界面65图6 12新建RADIUS客户端66图6 13新建RADIUS客户端66图6 14新建远程访问策略67图6- 15设置远程访问策略67图6- 16设置远程访问策略68图6 17设置远程访问策略选择用户68图6- 18设置远程访问策略使用MD5质询69图6- 19设置

9、远程访问策略新建的策略69图6- 20选择DayAndTime-Restrictions70图6 21选择允许70图6- 22设置属性71图6 23添加属性值vlan71图6 24添加属性值80272图6 25添加属性值60072图6 26添加属性值60073图6 27编辑拨入配置文件73图6 28新建连接请求策略74图6 29为策略取名字74图6- 30策略配置75图6 31添加远程登录用户75图6- 32设置用户属性76图6 33设置test用户76图6- 34设置启用77图6- 35 VRV EDP Agent认证成功77图6 36创建用户界面78图6 37用户添加78图6 38设置用户

10、密码79图6- 39进入Network Configuration79图6 40 AAA Client 配置80图6 41 AAA Server 配置80图6 42进入Interface Configuration81图6 43进入RADIUS（IETF）81图6 44进入Group Setup82图6- 45进入Edit Settingsp82图7- 1网关接入认证89图7 2重定向配置90图7- 3用户添加90图7- 4网关接入认证策略90图8 1级联管理配置94附图- 1修改用户 admin USB标签96附图 2下载DeviceNumber.exe96附图- 3全局参数97附图 4 U

11、sbTool登录99附图- 5 UsbTool界面99附图 6分区格式化100附图 7制作移动硬盘标签1100附图- 8制作移动硬盘标签2101附图- 9制作移动硬盘标签3101附图 10制作移动硬盘标签4101附图- 11制作移动硬盘标签5102附图- 12制作移动硬盘标签6102附图 13制作移动硬盘标签7103附图 14制作移动硬盘标签8103附图- 15制作移动硬盘标签9103附图 16制作移动硬盘标签10104附图- 17制作移动硬盘标签11104附图 18 3个分区的优盘和移动硬盘内网登录界面105附图 19整盘加密的优盘和移动硬盘内网登录界面105附图- 20外网插入3个分区的优

12、盘或移动硬盘盘符105附图 21交换区登录界面106附图 22外网插入整盘加密优盘或移动盘符106附图- 23信息提示106附图- 24 UsbTool登录107附图- 25 UsbTool界面107附图- 26初始化密码108附图- 27标签历史查询108附图- 28访问控制配置说明110附图 29 DOS/DDOS配置说明111附图 30创建模板112附图 31确定报表标题及报表尾112附图 32定义报表输入项113附图 33确定输出条件113附图- 34确定关联114附图- 35保存模板115附图- 36修改模板名称115附图- 37修改模版的输出标题和表尾116附图 38修改输出列选项

13、116附图- 39修改关联选项117附图 40修改时间范围统计117附图 41模板预览118附图 42输出excel报表模板信息118附图 43时间定义119附图 44模板导入119附图 45模板导出120附图- 46报警平台设置120附图- 47高级设置121附图 48报警设置上122附图- 49报警设置下122附图- 50日志查询123附图 51报警中心界面123附图 52漫游示意125附图 53结合接入认证漫游示意图125附图- 54 CA服务器界面126附图- 55区域管理器配置界面126附图 56客户端迁移策略配置界面127附图- 57重原管理区漫游出去的客户端127附图- 58漫游

14、到新管理器的客户端128附图 59进去漫游组中的漫游客户端128附图 60漫游回原管理器的客户端129附图- 61漫游查询状态选项129附图- 62 IIS服务管理器130附图- 63虚拟目录属性131附图- 64选择用户域组131附图 65用户域组高级选项132附图 66 用户属性变更132附图 67命令执行结果133附图- 68输出结果133附图- 70添加角色向导134表目录表2 1策略的高级设置参数说明7表2- 2硬件设备控制参数说明8表2- 3软件安装监控策略参数说明9表2- 4进程执行监控策略参数说明11表2 5用户密码策略参数说明13表2- 6协议防火墙策略参数说明15表2 7注

15、册表检查策略参数说明15表2- 8IP与MAC绑定策略参数说明16表2 9杀毒软件运行监控17表2- 10防违规外联策略参数说明19表2 11运行资源监控策略参数说明20表2- 12进程异常监控策略参数说明21表2- 13流量采样策略参数说明21表2- 14流量控制策略参数说明22表2 15消息推送策略参数说明23表2 16客户端文件备份策略参数说明23表2 17终端配置策略参数说明24表3 1区域管理器补丁管理参数说明42表3- 2补丁自动分发策略参数说明44表3- 3人工选择补丁分发策略参数说明46表3- 4普通文件分发策略参数说明46表3 5补丁下载设置参数说明51表4- 1文件输出审计

16、策略参数说明53表4 2上网访问审计策略参数说明54表4 3文件内容检查策略参数说明55表6 1补丁与杀毒软件认证策略参数说明61表6 2 VIFR接入认证策略参数说明64附表- 1移动存储审计策略参数说明110目录 VII第一章 概述特别说明北信源终端安全管理系列产品由北信源内网安全管理系统、北信源补丁及文件分发管理系统、北信源主机监控审计系统、北信源移动存储介质使用管理系统、北信源网络接入控制管理系统及北信源接入认证网关6大套件构成。本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版），恕不另行通知。需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司

17、索取。本手册与本系统的安装配置手册中的所有图片均为示意图，请以实际产品为准.本使用手册为北信源终端安全管理系列产品通用说明书.若您独立购买北信源内网安全管理系统或北信源补丁及文件分发管理系统等其中之一产品，本说明书的其它功能将不具备。感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理系列产品。请在使用本软件之前认真阅读本使用手册，当您开始使用该软件时,北信源公司认为您已经阅读了本使用手册。产品构架北信源终端安全管理产品由8部分组成：WinPcap程序、SQL Server管理信息库(安装包：环境初始化程序）、Web中央管理配置平台（安装包：网页管理平台）、区域管理器（安装包：Re

18、gion Manage，原区域扫描器已作为模块集成到区域管理器）、客户端注册程序(安装包：注册程序）、补丁下载服务器、管理器主机保护模块、报警中心模块。环境初始化程序SQL Server管理信息库，建立北信源终端安全管理产品的初始化数据库。初始化的信息包括：网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册（未注册）机器信息、设备属性变化信息、报警信息等.扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比，根据规则要求在管理平台上报警。网页管理平台（web管理平台）Web中央管理配置平台,本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定

19、，网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。Region Manage区域管理器,系统数据处理中心,负责与管理信息数据库通讯扫描终端设备、控制服务器、客户端之间的信息、指令的下达、接受。比如：接收注册程序提供的用户信息，将用户信息（用户填写的物理信息和系统自动采集的硬件信息）并行存入数据库；接受来自控制台的命令操作，发送到客户端、扫描器执行.对于存在多级管理要求的广域网，网络中可以存在多个区域管理器，实现系统数据逐级上报(转发)，对网络终端的多级管理.区域管理器内置网络扫描器，扫描器用来发现网络的终端设备.将发现的设备信息交由区域管理器处理.、

20、设备最新状态信息报送至区域管理器，由区域管理器处理后，同数据库中原有信息进行遍历搜索对比，根据管理规则在管理平台上报警。扫描器配合区域管理器进行工作，可以在分级模式下使用。扫描器只依据Web管理平台中配置的工作范围进行扫描,如果终端IP超越其范围，将不负责执行操作。Winpcap程序嗅探驱动软件，监听共享网络上传送的数据。客户端注册程序将接收并执行服务器下发的指令。该程序可以在“工具下载用户注册器下载”处下载。访问指定网站自动获得，用户填写必要的信息后，运行该程序，区域管理器将收到注册终端的相关信息，同时终端可以接收、执行各种下发的指令。注册程序自动探测系统硬件信息，连同用户填写的信息一同上报

21、区域管理器。用户将本机注册信息发送到区域管理器后，区域管理器自动将客户端驻留程序应用策略发送给用户,并自动更新。客户端驻留程序功能：进行本机硬件属性信息变化监视；进行本机IP、MAC地址变化审计；本机系统补丁、软件安装、运行进程状况监测;探测本机是否有违规联网行为，在内网管理中心或外网报警平台报警；接受Web管理平台的管理命令；阻断本机非法外联行为;执行Web管理平台下发的各种策略操作。补丁下载服务器安装在与Internet网络连接的机器上，用于实时下载补丁厂商发布的补丁.管理器主机保护模块管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协议、通信IP范围和具体的其他网络应用来定

22、义该计算机使用的安全级较高的网络配置，从而防止该计算机受到恶意的IP冲突以及各种网络、病毒攻击.报警中心模块安装在可与区域管理器所在服务器正常通讯的计算机上,本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、信使服务、SNMP Trap、手机短信等多种报警方式。应用构架北信源终端安全管理应用于局域网、广域网构架，支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。系统应用主要分为以下两种构架:基本构架：对于一般网络(例如1个C类地址或若干个C类地址的局域网范围)，可使用一套本系统软件，通过一个管理器集中管理所

23、属区域内的所有设备。扩展构架：对于大规模的多个局域网或者跨地域广域网（包括基于国家、省、市、县等多级管理模式的网络结构），可使用本系统提供的多区域集中管理构架，即一个或多个网段各拥有一套独立北信源终端安全管理的同时，将本级所有设备信息再转发给上级管理数据库，使得上一级管理人员对整个网络的设备状况也能够完全掌握。图1 1北信源终端安全管理应用拓扑第二章 北信源内网安全管理系统策略中心策略管理中心策略的使用策略的创建和分发1。在“策略管理中心”中左侧的策略项中点击需要制定的策略，然后在右侧的【策略名】中输入相应的策略名称，单击【创建新策略】按钮开始创建策略.图2- Error! Bookmark

24、not defined.创建新策略 注：在策略的定义中使用了一些特别的关键字符，这些特殊的字符不应该在策略内容中出现。否则可能会出现无法预料的系统错误。 这些字符包括：”策略触发方式中,选中启动时触发和间隔触发，间隔时间5分钟左右。3启动路径为全路径或系统默认路径.进程保护策略功能说明：设置需要保护的用户进程,防止被保护的进程被非法关闭.策略实例：图2 Error! Bookmark not defined.进程保护策略注意事项：1这里的进程保护是指使用windows任务管理器和一般的应用程序无法终止该程序。2这里的被保护进程，仍然可以在策略中心的“进程执行监控”中进行终止，请管理员注意相关策

25、略的设置。主机安全策略用户密码策略功能说明：此策略可以对系统的本地密码策略、本地帐户锁定策略、系统屏保进行设置,同时可以检测系统密码弱口令，除系统自定义的弱口令外，用户可以自己添加自定义弱口令集。参数说明：参数说明检测到系统弱口令后当系统检测到客户端采用了弱口令后可以采用“上报、“提示两种方式，即上报给区域管理器或者根据管理员设置的提示信息给客户端发出提示。附加弱口令列表根据各单位名称等不同，自己添加需要探测的弱口令，每个弱口令之间用”，”分隔.表2 1用户密码策略参数说明注意事项：1在windows系统密码策略中，策略是指密码的长度。2“弱口令检查”与“本地账户锁定策略”不能同时设置，否则弱

26、口令用户可能会被锁定，无法使用！也不能对同一台计算机分配两个这样的策略。3检测系统弱口令，原理是使用每个列表中的弱口令来尝试登录计算机,它并不修改任何windows系统文件，本策略不会造成任何的计算机不稳定状态。4用户密码策略：只适用于标准版操作系统，番茄花园版不支持；系统屏保设置：重启后生效;弱口令列表需要手动添加。用户权限策略功能说明：检查系统用户、系统用户组的权限的改变和系统用户、系统用户组的增加或减少。 当以上的某一条件符合时，则弹出相应的提示信息。根据需要，在相应的菜单中选择上报或者在客户端提示的报警方式，还有两种报警方式同时启用的方式,如果选择中有提示信息选项，将在客户端弹出管理员

27、设定的提示信息窗口。注意事项：1本策略的各项均在Windows系统控制面板中的“用户与密码”项或者控制面板中的管理工具文件夹里的计算机管理程序中的用户菜单来实现的，本策略只提供相应的监测功能,不对您的修改进行限制。协议防火墙策略功能说明：本策略是基于各种网络协议的原理和各种网络软件对网络的实际应用，用来控制各种网络使用和计算机端口的使用，起到防火墙的作用。参数说明端口连接控制规则协议类型计算机可以进行很多网络应用，各种应用都是基于网络上服务器提供的服务。不同的服务是采用不同的端口提供的，通过这种端口的方式，计算机才可以与外界进行互不干扰的通信。Tcp/udp协议，网络通信协议,基本上所有的网络

28、服务都使用它们作为通信的标准.系统在这里通过控制计算机的端口和相应的网络协议，对计算机用户的网络操作进行监管。我们可以通过在windows下的dos窗口输入“netstat a”命令来查看本机打开的端口和各种端口正在被哪种服务使用的，且这个服务使用的是哪种协议。同时，我们也可以通过软件相关的说明文档得到这些信息。我们在端口处填入我们查询到的需要控制的软件使用的端口，在协议选择下拉菜单中选择相应的tcp/udp协议.“本地端口”和“远程端口”两个选项,其中，本地端口是指在网络的使用中，本地计算机使用的端口，如果选择这个选项,则在本策略的对象范围内的计算机无法启动使用该端口的服务；远程端口是指在网

29、络的使用中,本地计算机可以启动本服务，但是无法访问远程计算机提供相应服务的端口.管制方式“禁用填充项中指定端口，开放其他端口选项是指仅禁用在上边填写的端口和其所对应的服务,同时开放其他所有的端口，使其可以使用网络服务。“禁用填充项中指定端口”选项是指仅禁用填充项中的端口和其所对应的服务，并不改变其他端口目前的状态。“开放填充项中指定端口，禁用其他端口”是指,仅开放在上边填写的端口和其所对应的服务，同时关闭其他所有的关口和网络服务，“开放填充项中指定端口是指开放在上边填写的端口和其相对应的服务，并不改变其他端口目前的状态。选定需要的选项后，点击“添加端口连接控制规则”按钮,所设定的控制将出现在页

30、面下端的控制列表中。ICMP协议控制规则指系统对ICMP协议的控制，主要是通过判断计算机间的互相通信是否正常来判断的。一般来说,只要执行MSDOS窗口下的ping命令即可系统对icmp协议的控制,主要是通过判断计算机间的互相通信是否正常来判断的.一般来说，只需要执行ms-dos 窗口下的ping命令即可.“禁止ping入是指不允许其他计算机（包括局域网计算机和远程计算机）用ping命令来检测本地计算机通信状态。“禁止ping出”是指不允许设置的对象客户机用ping命令来检测其他计算机（包括局域网计算机和远程计算机）的通信状态。“禁止双向”同时禁止任意两台计算机（至少有一台是本地计算机)的通信检测.设定好后，点击“添加icmp协议控制规则”按钮，所设定的控制将出现在页面下端的控制列表中。IP访问控制规制ip地址输入需要限制网络使用的计算机的ip地址或ip地址范围。管制方式“只允许填