对于存在多级管理要求的广域网，网络中可以存在多个区域管理器，实现系统数据逐级上报（转发），对网络终端的多级管理。
区域管理器内置网络扫描器，扫描器用来发现网络的终端设备。将发现的设备信息交由区域管理器处理。、设备最新状态信息报送至区域管理器，由区域管理器处理后，同数据库中原有信息进行遍历搜索对比，根据管理规则在管理平台上报警。
参数
说明
策略名称
此处可以修改策略名称
风险级别
分为低、中、高三个级别
停用锁定
选中【锁定对策略的停用操作】后，策略列表中的【停用】功能将不起作用，用于防止用户的误操作。
策略状态
制定策略的状态：启动/停止
策略存活时间范围
即策略以天为单位的存活时间段
策略无效工作日
即可在一星期中选中一天或多天使策略无效
策略无效时间段
正文目录
图目录
表目录
第一章概述
特别说明
北信源终端安全管理系列产品由《北信源内网安全管理系统》、《北信源补丁及文件分发管理系统》、《北信源主机监控审计系统》、《北信源移动存储介质使用管理系统》、《北信源网络接入控制管理系统》及《北信源接入认证网关》6大套件构成。
本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版)，恕不另行通知。需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。
管理器主机保护模块
管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协议、通信IP范围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置，从而防止该计算机受到恶意的IP冲突以及各种网络、病毒攻击。
报警中心模块
安装在可与区域管理器所在服务器正常通讯的计算机上，本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、信使服务、SNMP Trap、手机短信等多种报警方式。
第二章北信源内网安全管理系统
策略中心
策略管理中心
策略的使用
策略的创建和分发
1．.在“策略管理中心”中左侧的策略项中点击需要制定的策略，然后在右侧的【策略名】中输入相应的策略名称，单击【创建新策略】按钮开始创建策略。
图2-1创建新策略
注：在策略的定义中使用了一些特别的关键字符，这些特殊的字符不应该在策略内容中出现。否则可能会出现无法预料的系统错误。这些字符包括："><'/="(大于，小于，单引号，反斜线，等于)。
软件黑白名单
软件黑白名单在“软件安装监控”策略中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。
URL黑白名单编辑
URL黑白名单在“上网访问审计”策略、“上网控制策略”中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。
端口黑白名单编辑
端口黑白名单在“协议防火墙策略”中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。
2．根据实际需求配置策略，单击【保存策略】完成策略的创建。
（由于各个策略项的配置过程都不一样，下一节将具体介绍）
3．下发策略，即指定策略的执行对象。通过单击【对象】按钮，可按界面提示完成对象的分配。如下图所示：
图2-2下发策略
4．.如果需要让某一条策略暂时不使用，可通过【停用】按钮使策略失效，需要使用的时候再单击【启用】按钮使策略生效。如果想要删除某一条策略，则直接按【删除】按钮即可。如下图所示，
还可以添加系统定义的黑名单和自定义的黑名单，并分别配置违规处理措施、高级设置项。
网页管理平台（web管理平台）
Web中央管理配置平台，本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定，网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。
Region Manage
区域管理器，系统数据处理中心，负责与管理信息数据库通讯扫描终端设备、控制服务器、客户端之间的信息、指令的下达、接受。比如：接收注册程序提供的用户信息，将用户信息（用户填写的物理信息和系统自动采集的硬件信息）并行存入数据库；接受来自控制台的命令操作，发送到客户端、扫描器执行。
环境初始化程序
SQL Server管理信息库，建立北信源终端安全管理产品的初始化数据库。初始化的信息包括：网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册（未注册）机器信息、设备属性变化信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比，根据规则要求在管理平台上报警。
例外设备添加方法：右击我的电脑属性硬件设备管理器，出现设备列表。
该策略控制叠加到之前的策略基础之上
选中此项时：如果有多条此类策略，终端执行效果将是多条策略设置叠加后执行的效果。
如果不选择该项，终端只支持单独一条策略，新下发的策略将覆盖原来的策略配置。
取消对设备管理Байду номын сангаас的的拦截操作
默认情况下下发该策略后将禁止用户在设备管理器里启用/禁用任何设备，如果取消则可以在设备管理器里启用/禁用设置为不处理的设备。
图2-4硬件设备控制
进程及软件管理
软件安装监控
功能说明：用于监控客户端安装的软件是否违规并对违规行为做出相应的处理。
参数说明：
参数
说明
软件名
设置需要进行控制的软件名称，填入需要监控的软件名称后，点选【添加控制】按钮，如果想要控制更多的软件，输入软件名称后，继续点选【添加控制】按钮，以此类推，可以继续添加需要控制的软件。同一类软件可以使用具体的策略，包括“禁止安装软件”、“必须安装软件”、“允许安装软件”三个选项，这个具体选择可以根据管理员的需要自行设定。如果想要取消对某个软件的控制，请在列表处选定软件的名称，然后点击【删除控制】按钮。
图2-3策略控制
策略的高级设置
策略的高级设置用于策略的执行设置，包括策略状态（启动、停止）、策略存活时间（策略执行的起止时间）、策略执行触发条件（在何种条件下开始执行策略）、策略无效时间（规定时间内不执行策略）、策略应用范围（本级区域、下级区域、所有区域）、级联策略类型等，有些策略还包括具体的触发时间设置等。
扫描器配合区域管理器进行工作，可以在分级模式下使用。扫描器只依据Web管理平台中配置的工作范围进行扫描，如果终端IP超越其范围，将不负责执行操作。
Winpcap程序
嗅探驱动软件，监听共享网络上传送的数据。
客户端注册程序
将接收并执行服务器下发的指令。该程序可以在“工具下载->用户注册器下载”处下载。访问指定网站自动获得，用户填写必要的信息后，运行该程序，区域管理器将收到注册终端的相关信息，同时终端可以接收、执行各种下发的指令。注册程序自动探测系统硬件信息，连同用户填写的信息一同上报区域管理器。用户将本机注册信息发送到区域管理器后，区域管理器自动将客户端驻留程序应用策略发送给用户，并自动更新。
产品构架
北信源终端安全管理产品由8部分组成：WinPcap程序、SQL Server管理信息库（安装包：环境初始化程序）、Web中央管理配置平台（安装包：网页管理平台）、区域管理器(安装包：Region Manage，原区域扫描器已作为模块集成到区域管理器)、客户端注册程序（安装包：注册程序）、补丁下载服务器、管理器主机保护模块、报警中心模块。
克隆机策略
克隆机：将已经注册了本系统的客户端的系统做成镜像（gost），还原到某计算机上，则该计算机称之为克隆机。只有克隆机（gost系统）执行本策略，非克隆机不执行。
表2-1策略的高级设置参数说明
策略下发结果查询
可以通过以下两种方式查看策略的下发情况：
(1)策略管理中心-->策略下发查询
(2)终端管理-->终端管理-->当前执行策略
北信源内网安全管理系统
用户使用手册
北京北信源软件股份有限公司
二〇一一年
支持信息
在北信源内网安全管理系统使用过程中，如您有任何疑问都可以通过访问我公司网站或者致电我司客服中心获得帮助和支持！
热线支持：400-8188-110
客户服务电话：
在您使用该产品过程中，如果有好的意见或建议的话也请联系我们的客服中心，感谢您对我公司产品的信任和支持！
注：策略分发间隔默认为1分钟；有的策略需要重新启动生效，请看每条策略的具体说明。具有审计功能的策略，审计数据可以在“数据查询?审计数据查询”中查看。
黑白名单编辑
进程黑白名单
进程黑白名单在“进程监控”策略中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。编辑进程黑白名单时包括：进程名、产品名、源文件名等；如果是服务则只可以加服务名，同时可以加一些描述。
应用构架
北信源终端安全管理应用于局域网、广域网构架，支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。
系统应用主要分为以下两种构架：
基本构架：对于一般网络（例如1个C类地址或若干个C类地址的局域网范围），可使用一套本系统软件，通过一个管理器集中管理所属区域内的所有设备。
硬件设备控制
硬件设备控制
功能说明：控制各种硬件设备及接口的启用或禁用，如果只想禁止使用移动存储设备，也可以通过“可移动存储审计”策略来实现。
参数说明：
参数
说明
不处理、启用、禁用
本策略中所能控制的硬件，都需要能够在windows系统设备管理器中进行禁止和启用。
例外
选择【启用】时将禁用例外中的设备，选择【禁用】时将启用例外中的设备，【不处理】选项保持原来的状态无变化，提高系统管理性能，如果对某项不关心可以选择该项。
审计结果处理
上报服务器：就是将审计记录上报到服务器并进行记录。当客户端脱离网络时无法上报到服务器就记录到本地，等客户端接回网络时再上报到服务器。
记录到本地文件：会在本地生成文件记录审计信息。起到在本地备份的作用。