北信源内网安全管理系统手册

资源描述

0 特别声明本使用手册由北信源终端安全管理系列产品安装配置指导手册、用户手册、产品维护手册三部分组成，其内容将随着北信源软件的不断升级而改变 (以光盘中电子版发行时为最新版 )，恕不另行通知。需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。北信源终端安全管理系列产品由北信源内网安全管理系统、北信源补丁及文件分发管理系统、北信源主机监控审计系统、北信源移动存储介质使用管理系统、北信源网络接入控制管理系统及北信源接入认证网关 6 大套件构成。本使用手册为北信源终端安全管理系列产品通用说明书。若您独立购买北信源内网安全管理系统或北信源补丁及文件分发管理系统等其中之一产品，本说明书的其它功能将不具备。感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理系列产品。请在使用本软件之前认真阅读本使用手册，当您开始使用该软件时，北信源公司认为您已经阅读了本使用手册。 1 快速阅读指南 1. 本使用手册为北信源终端安全管理系列产品全功能用户手册，请按照所购买产品对应相关的产品说明进行配置使用（该手册第一、二、三章为终端安全管理产品共有部分，凡购买任何一款终端安全管理产品都应首先详细阅读此三个章节）。 2. 详细阅读本软件组件功能、组成、作用、应用构架，确切了解本软件的系统应用。 3. 安装准备软件环境： 000 务管理器。建议将数据库管理系统、区域管理器、理平台安装在同一服务器上 ,确认区域管理器所在机器的 88 端口不被占用（即非主域控制器）；防火墙应允许打开 88， 2388， 2399， 22105， 8900，8901， 22106， 22108， 8889端口。 4. 按步骤安装各组件后，通过 *.*.*.*/录先对加区域划分该区域定区域管理器指定区域扫描器。 5. 双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。 6. 在录中，使用件中的本地区域管理器修改后的注册在机构网站上进行静态网页注册，或者在机构网站上加载动态网页检测注册脚本语句，进行动态设备注册。 7. 系统升级：联系北信源公司获取最新的软件组件升级包，确保理平台、区域管理器、客户端注册程序等组件的升级。 8. 如果本手册中的插图与实际应用的产品有出入，以实际产品为主。特别提示：默认管理员用户：码： 123456；系统指定审计用户名：码： 123456 请注意修改。 2 目录第一章产品介绍 . 6 1品构架 . 6 1用构架 . 8 第二章产品安装 . 9 2装环境 . 9 2装注意事项 . 10 2件安装监控服务器部署注意事项 . 10 2件安装和应用过程中注意事项 . 10 2品组件安装 . 11 2装 . 11 2装 . 12 2装远程技术支持模块 . 13 2始化数据库 . 13 2装 . 16 2装区域管理器 . 16 2装补丁下载服务器模块 . 18 2装管理器主机保护模块 . 19 2装报警中心模块 . 19 2户端注册及下载 . 19 第三章产品应用 . 26 3. 26 3域划分 . 26 3域管理器配置 . 29 3描器配置 . 34 3册程序配置 . 36 3定义组分配与管理 . 40 3. 41 3统运维监控 . 42 3. 44 3描器组件配置 . 44 3断策略应用 . 44 第四章北信源内网安全管理系统 . 47 4略中心 . 47 4据查询 . 71 4. 72 4. 72 4. 73 3 4. 74 4. 75 4. 75 4. 76 4. 76 4. 77 4息确认查询 . 77 4. 78 4. 78 4. 87 4. 93 4. 93 4. 93 4. 94 4. 94 4. 95 4. 95 4. 96 4. 97 4. 97 4. 102 4. 103 4. 111 第五章北信源补丁及文件分发管理系统 . 116 5域管理器补丁管理设置 . 116 5略中心 . 117 5. 126 5丁自动下载分发 . 129 5户端补丁检测（一） . 133 5户端补丁检测（二） . 134 5. 135 5丁级联下载 . 135 第六章北信源主机监控审计系统 . 136 6 略中心 . 136 6据查询 . 143 4 6. 143 6. 143 6. 144 6. 144 第七章北信源移动存储介质使用管理系统 . 145 7略中心 . 145 7据查询 . 150 7. 150 第八章北信源网络接入控制管理系统 . 150 8略中心 . 150 8境准备方法 . 158 1）安装 . 158 8厂商交换机配置 . 175 8置方法 . 175 8628 配置 . 176 8捷置 . 179 第九章北信源接入认证网关 . 181 9关接入配置认证 . 181 9略中心 . 182 第十章系统备份及系统升级 . 187 10统数据库数据备份及还原 . 187 10统组件升级 . 187 10域管理器、扫描器模块升级 . 187 10级网页管理平台 . 187 10户端注册程序升级 . 188 10查系统是否升级成功 . 188 10联管理模式升级及配置 . 188 第十一章售后服务 . 189 第十二章附录 . 191 附录（一）北信源终端安全管理产品名词注释 . 191 附录（二）移动存储设备认证工具操作说明 . 191 附录（三）主机保护工具操作说明 . 207 附录（四）组态报表管理系统操作说明 . 208 附录（五）报警平台操作说明 . 217 附录（六） . 223 5 前言目前国内政府机关、军队、公安、保密部门、科研机构、金融、证券等企事业单位中的网络都具有相当的规模，网络中大量使用计算机及其它网络设备。这些设备带来高效应用的同时，由于自身确实存在着安全风险隐患，应该采用相关网络安全技术手段来保障整个网络运行的安全。目前单位自身内部网络分为以下几种类型： 1、办公网：企事业单位中的普通办公网络、公司企业网，它们通过有限出口接入 2、内部专网：政府办公网、金融运营网及各系统重要的实时网络，该种网络一般为内部专用网络，此类网络同外部网络采取物理隔离的方式实现相互独立； 3、保密网：政府机关、军队、公安、保密部门的内部机密安全网络，一般采用专门的网络通道，要求具有绝对的内网隔离度。尽管以上大多数用户采用了专门的网络通道技术、物理隔离技术、安全网段划分、安全防护设施（如防火墙、入侵检测、漏洞扫描）等方式保证自己的网络安全，但是，对类似下面的安全问题仍然无法做到真正意义上的解决： 1、如何发现终端设备的系统漏洞并自动分发补丁； 2、如何防范移动设备随意接入内网； 3、如何防范内网设备违规进入外网； 4、如何管理终端资产并真正控制、管理终端设备的运行； 5、如何制订整体安全策略并全网执行； 6、如何管理控制终端设备的数据流； 7、平台、安全平台等诸多设备如何衔接并统一管理。北信源终端安全管理产品够完全解决上述网络安全管理工作中遇到的常见问题。理内容包括：资源资产、终端安全策略、桌面风险审计、补丁检测分发、终端运行状态监控以及终端行为审计等。北信源终端安全管理产品提供了防火墙、病毒系统、专业网管软件所不能提供的防护功能，对它们管理的盲区进行监控，成为一个实时的安全监控系统，并能够同其它网络安全 6 设备或网络安全系统进行安全集成和报警联动。北信源终端安全管理产品针对网络管理工作中遇到的实际管理需求，进行网络安全资源规划 ,如防止移动设备非法接入内部网络、源分配管理、静态址的绑定、提供设备资源登记及硬件设备（硬盘、存等）变化报警、进行内部网络连接阻断等功能。同时，为有效解决网络中计算机非法接入和非法外联问题，统提供实时监控的强大功能，即实时报警以及实时切断非法计算机同内网的连接。北信源终端安全管理产品通过式对整个系统进行应用策略配置，管理网络和查询报警数据，方便用户操作，有效防范不安全因素对内部网络构成的威胁，真正做到内部网络的完全安全管理。北信源终端安全管理产品支持基于局域网、广域网的国家省市县多级级联管理模式。第一章产品介绍 1品构架北信源终端安全管理产品由 8部分组成：装包：环境初始化程序）、央管理配置平台（安装包：网页管理平台）、区域管理器 (安装包：区域扫描器已作为模块集成到区域管理器 )、客户端注册程序（安装包：注册程序）、补丁下载服务器、管理器主机保护模块、报警中心模块。环境初始化程序：立北信源终端安全管理产品的初始化数据库。初始化的信息包括：网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册（未注册）机器信息、设备属性变化信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比，根据规则要求在管理平台上报警。央管理配置平台，本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定，网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。区域管理器，系统数据处理中心，负责与管理信息数据库通讯扫描终端设备、控制服务器、客户端之间的信息、指令的下达、接受。比如：接收注册程序提供的用户信 7 息，将用户信息（用户填写的物理信息和系统自动采集的硬件信息）并行存入数据库；接受来自控制台的命令操作，发送到客户端、扫描器执行。对于存在多级管理要求的广域网，网络中可以存在多个区域管理器，实现系统数据逐级上报（转发），对网络终端的多级管理。区域管理器内置网络扫描器，扫描器用来发现网络的终端设备。将发现的设备信息交由区域管理器处理。、设备最新状态信息报送至区域管理器，由区域管理器处理后，同数据库中原有信息进行遍历搜索对比，根据管理规则在管理平台上报警。扫描器配合区域管理器进行工作，可以在分级模式下使用。扫描器只依据理平台中配置的工作范围进行扫描，如果终端不负责执行操作。序：嗅探驱动软件，监听共享网络上传送的数据。客户端注册程序：将接收并执行服务器下发的指令。该程序可以在“工具下载 -用户注册器下载”处下载。访问指定网站自动获得，用户填写必要的信息后，运行该程序，区域管理器将收到注册终端的相关信息，同时终端可以接收、执行各种下发的指令。注册程序自动探测系统硬件信息，连同用户填写的信息一同上报区域管理器。用户将本机注册信息发送到区域管理器后，区域管理器自动将客户端驻留程序应用策略发送给用户，并自动更新。客户端驻留程序功能： 1. 进行本机硬件属性信息变化监视； 2. 进行本机 3. 本机系统补丁、软件安装、运行进程状况监测； 4. 探测本机是否有违规联网行为，在内网管理中心或外网报警平台报警； 5. 接受 6. 阻断本机非法外联行为； 7. 执行补丁下载服务器：安装在与络连接的机器上，用于实时下载补丁厂商发布的补丁。管理器主机保护模块：管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协议、通信围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置， 8 从而防止该计算机受到恶意的突以及各种网络、病毒攻击。报警中心模块：安装在可与区域管理器所在服务器正常通讯的计算机上，本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、信使服务、机短信等多种报警方式。注：区域管理器（区域扫描器模块（注册程序部分系统的参数配置集中体现在网页管理平台操作上，上述三部分功能参数、功能项数值统一在网页管理平台中进行配置。区域管理器（扫描器模块（分参数在自身程序组件中配置。 1用构架北信源终端安全管理应用于局域网、广域网构架，支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。系统应用主要分为以下两种构架：基本构架：对于一般网络（例如 1 个 C 类地址或若干个 C 类地址的局域网范围），可使用一套本系统软件，通过一个管理器集中管理所属区域内的所有设备。扩展构架：对于大规模的多个局域网或者跨地域广域网（包括基于国家、省、市、县等多级管理模式的网络结构），可使用本系统提供的多区域集中管理构架，即一个或多个网段各拥有一套独立北信源终端安全管理的同时，将本级所有设备信息再转发给上级管理数据库，使得上一级管理人员对整个网络的设备状况也能够完全掌握。图 1用拓扑 9 第二章产品安装 2装环境条件一：硬件环境据库服务器：用于安装系统管理信息数据库。务器或更高档服务器，上 512 区域管理器：用于安装区域管理器程序。百兆或千兆网卡，务器或更高档服务器，上 512 扫描器模块：配置同区域管理器。如单独安装扫描器模块，比较高档的本系统各程序可安装在同一台计算机上，也可在不同机器上安装域管理器、扫描器模块等，此时推荐该计算机内存为 1G 以上。建议将区域管理器、扫描器、网页管理平台安装在同一台机器上，作为监控服务器。条件二：提供数据库、操作系统： 000或 003企业版操作系统。件：配备 000或 005 数据库系统，用于北信源终端安全管理建立管理信息库数据库列表项。（注：以下均以 000 为例）配备务器提供于安装所装操作系统为 003 企业版，则需要按照附录（三）的 003 的置说明进行条件三：为本系统提供相应端口北信源终端安全管理产品区域管理器将占用操作系统 88 端口，必须确保安装区域管理器的机器该端口不被占用。区域内的防火墙应打开如下端口： 80 ， 88,2388 ， 2399 ，8901,8900,161,137,22105， 8889， 22106， 22108 以及议。同时最好将务迁移至其它服务器。 10 2装注意事项软件安装时，推荐将区域管理器、扫描器、数据库安装在同一台机器上（以下称为监控服务器），建议按照下面要求进行监控服务器部署、软件安装、客户端注册。 2件安装监控服务器部署注意事项 1、监控服务器在网络中放置位置注意点确保该监控服务器能够时被管理客户端可以正常连接服务器的 0,88两个端口。监控服务器给客户端下达策略的端口为： 2105；监控服务器扫描发现客户端利用以下协议及端口：现议 , 137(为了发现机器名和； 61（为了发现智能设备如路由器、交换机等）；在本地网络中若划分了本地网络存在防火墙，请注意上述问题。 2、存在网中子网（如经过地址转换）的网络布置点对于网络中存在网中网现象，如采用址转化或者代理方式在 10.*. *. *网络中接入192.*. *. *网段，这些子网用户的管理方式如下：情况一：子网有专人管理，并且有独立机房应在该子网中安装一套完整的监控系统。情况二：子网无专人管理，或无独立机房，可采用以下 3种方式之一处理机器数量少的建议统一更改 0.*. *. * 网段。由管理员监督子网中所有机器进行注册并保证不得遗漏。在该网络中指定一台工作站专门安装区域管理器软件和区域扫描模块，并将区域管理器配置中 2件安装和应用过程中注意事项 1、必须按照软件安装步骤进行安装 1）确认本机务正常； 2）确认本机正常安装并能正常使用（以本地系统账户方式安装）； 11 3）确认目标安装盘剩余空间不小于 10G； 4）请务必按照指定顺序安装各个模块； 5）请在区域扫描模块所在计算机中安装 6）安装完所有系统模块后，请一定按照说明文档进行客户端程序的配置及分发安装。 2、监控服务器的安全性问题管理服务器安装据库后，一定要确保对行重要安全补丁修补，规范操作系统、数据库的口令和密码设置，保证确保本服务器无病毒，同时可配置本服务器网络通讯端口仅打开： 80， 88， 6800， 8901，8900， 22105， 2388， 2399， 8889。 3、保护机制的应用对大多数交换机、路由器、非备，需要将其设置为保护状态（避免被阻断导致网络不通），其它如有系统无法识别的重要设备，请在网页管理平台设备信息查询中手动将其设置为保护状态。 2品组件安装安装顺序依次为： *安装 *安装 *安装并运行环境初始化程序，初始化数据库； *安装网页平台并进行划分区域，配置区域域管理器参数、设备扫描器参数等（推荐安装在默认路径下）； *安装区域管理器（推荐安装在默认路径下）； *通知所有用户下载并运行注册客户端代理探头程序。 2装据库只需要在安装过程中注意选择“使用本地系统帐户”和“混合模式” 12 图 2图 22装动模块在安装页面中选择“ 安装动模块 ”按钮，单击“下一步”安装在区域扫描器所在计算机上。 13 2装远程技术支持模块该模块是一个程序附属工具 (一般不需要安装 )在客户端安装程序里带有该程序 , 是用户远程桌面管理及控制 ,便于管理员帮助终端用户解决问题。 2始化数据库初始化数据库是在据库中初始化建立据库并生成系统必需的相关数据表格，在此过程中需要利用本地数据或者调用远程据库，用户需要根据实际安装情况按以下两种方式进行操作：本地 1)、环境初始化，建立初始数据库在及户密码。图 2据库服务器环境初始化 14 2)、检查数据库初始化是否成功：图 2查数据库初始化当有如图 “ 初始化数据库结构成功 ” 提示框弹出时，说明已成功创建初始化数据库。否则会出现如下图所示提示信息：图 2如果出现如上图所示提示信息，用户需要检查所填入的户名以及用户密码，重新初始化数据库。远程议非特殊情况不采用远程方式） 1)、输入远程数据库信息，配置装远程数据库需要首先输入远程数据库户名称、用户密码，然后点击 “ 配置，出现如下界面： 15 图 2置 2)、在通用栏中，启用在通用栏中，选用启用，然后单击别名，进行别名添加设置。图 2用所选协议 3)、进行客户端别名的添加 :单击上图中所圈中的别名，出现如下所示：图 2客户端别名的添加 4)、进行网络协议的选择和服务器别名的添加：此时用户需要首先选择网络协议，选定为P，点击确定后完成数据库初始化。 16 2装安装此部分程序要求安装在默认路径下，安装过程中请确保信息填写正确，否则，据库。央管理平台访问理平台安装以后在录上以虚拟目录的形式存在，虚拟目录名称为户在安装完成以后，用（。默认用户名为码为 123456。（以下的都是用陆进行说明的）。审计用户名为认密码为 123456。如果（，则以（式登录。见附录六）。 2装区域管理器央管理平台中划分区域及指定区域管理器后（参见央管理平台配置）安装区域管理器组件。安装后进行以下两项配置：户端配置如果“区域管理器”没有同在同一台服务器上，需要在如下图所示窗口中将默认网络库选择为“ P”，使客户端能够远程访问数据库。在“区域管理器”中选择“

展开阅读全文