特别声明⏹本使用手册由《北信源内网安全及补丁分发管理系统》产品安装配置指导手册、用户手册、产品维护手册三部分组成，其内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版)，恕不另行通知。

需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。

⏹《北信源内网安全及补丁分发管理系统》产品由《北信源内网安全管理系统》及《补丁分发管理系统》两大套件构成。

⏹本使用手册为《北信源内网安全及补丁分发管理系统》通用说明书。

若您独立购买《北信源内网安全管理系统》或《北信源补丁分发管理系统》之一产品，本说明书的其它功能将不具备。

⏹两大套件主要区别：《北信源补丁分发管理系统》不具备违规联网监控、客户端安全管理和桌面管理功能；《北信源内网安全管理系统》不具备补丁自动分发功能。

请您在使用过程中选择性阅读相应章节。

⏹感谢您购买北京北信源自动化技术有限公司研制开发的内网安全管理及补丁自动分发系列软件。

请在使用本软件之前认真阅读本使用手册，当您开始使用该软件时，北信源公司认为您已经阅读了本使用手册。

快速阅读指南1.详细阅读本软件组件功能、组成、作用、应用构架，确切了解本软件的系统应用。

2.安装准备软件环境：Microsoft SQL Server2000、Windows 2000 Server、Internet 服务管理器；建议将数据库管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理器所在机器的88端口不被占用（即非主域控制器）；防火墙应允许打开88，2388，2399，22105，8900，8901，22106，22108，8889端口。

3.按步骤安装各组件后，通过http://*.*.*.*/vrveis登录Web 管理平台，首先对Web管理平台进行如下配置：添加区域→划分该区域IP范围→指定区域管理器→指定区域扫描器。

4.双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。

5.在\VRV\VRVEIS\download目录中，使用RegTools.exe工具修改DeviceRegist.exe文件中的本地区域管理器IP，将修改后的注册程序DeviceRegist.exe放在机构网站上进行静态网页注册，或者在机构网站上加载动态网页检测注册脚本语句，进行动态设备注册。

6.系统升级：联系北信源公司获取最新的软件组件升级包，确保Web管理平台、区域管理器、客户端注册程序等组件的升级。

特别提示：默认管理员用户：admin，密码：123456；系统指定审计用户名：audit,密码：123456请注意修改。

第一章．系统介绍 (5)1-1产品组成 (5)1-2应用构架 (7)第二章．系统安装 (8)2-1安装环境 (8)2-2安装注意事项 (9)2-2-1 软件安装监控服务器部署注意事项 (9)2-2-2 软件安装和应用过程中注意事项 (10)2-3系统组件安装 (11)2-3-1 安装SQL server数据库 (11)2-3-2 安装WinPcap驱动模块 (11)2-3-3 安装远程技术支持模块 (11)2-3-4 初始化数据库 (11)2-3-5 安装Web中央管理平台 (14)2-3-6 安装区域管理器Region Manage (15)2-3-7 配置设备扫描器模块Region scan (16)2-3-8 安装补丁下载服务器模块 (17)2-3-9 安装管理器主机保护模块 (18)2-3-10 安装报警中心模块 (18)2-3-11 客户端注册及下载 (18)第三章系统应用 (27)3-1配置与管理 (27)3-1-1 区域划分 (27)3-1-2 区域管理器配置 (30)3-1-3 扫描器配置 (35)3-1-4 注册程序配置 (38)3-1-5 注册部门配置与管理 (41)3-1-6 自定义组分配与管理 (44)3-1-7 IP与MAC绑定列表 (45)3-2策略中心 (46)3-2-1 阻断违规接入管理 (46)3-2-2 策略管理中心 (47)3-3数据查询 (84)3-3-1设备信息查询 (87)3-3-1-2注册设备资产查询 (88)3-3-1-3硬件变化设备查询 (91)3-3-1-4设备安装软件查询 (88)3-3-1-5设备首次运行进程查询 (89)3-3-1-6共享目录查询 (90)3-3-1-7设备IP占用状况列表 (91)3-3-7移动设备审计查询 (92)3-3-7安全策略违规查询 (94)3-3-8涉密检查查询 (95)3-3-9消息确认查询 (96)3-3-11软件分发查询 (97)3-3-12软件分发统计 (97)3-4终端控制 (98)3-4-1终端管理：.................................................................. 错误!未定义书签。

3-4-2行为控制...................................................................... 错误!未定义书签。

3-4-3 VPro 远程管理........................................................... 错误!未定义书签。

3-4-4远程协助...................................................................... 错误!未定义书签。

3-5补丁分发............................................................................. 错误!未定义书签。

3-6运维信息.. (98)3-6-1客户端流量排名 (116)3-6-2客户端流量统计 (117)3-6-3运维状态异常 (117)3-6-4网络拓扑发现.............................................................. 错误!未定义书签。

3-7报警事件 (119)3-7-1报警数据查询 (119)3-7-2图形化报警 (123)3-7-3本地报警数据汇总 (123)3-8级联总控 (127)3-9统计报表 (133)3-10系统维护 (135)第四章补丁分发管理 (142)4-1区域管理器补丁管理设置 (142)4-2补丁自动下载分发 (143)4-3客户端补丁检测（一） (148)4-4客户端补丁检测（二） (150)4-5．本地补丁分发综合查询 (150)4-6补丁级联下载 (151)第五章客户端阻断 (153)5-1扫描器组件配置 (153)5-2阻断策略应用 (153)5-2-1 违规自动阻断策略 (154)5-2-2 手动设置针对设备的单独阻断策略 (154)5-2-3 硬件防火墙联动阻断策略 (155)第六章网络接入认证管理 (157)6-1 策略中心->接入认证策略->补丁与杀毒软件认证 (157)6-2、策略中心->接入认证策略->进程服务注册表认证 (159)6-3、策略中心->接入认证策略->802.1X接入认证认证 (163)6-4 、环境准备方法 (164)RADIUS安装与配置 (164)安装RADIUS (164)6-5、各厂商交换机配置 (177)1. Cisco2950配置方法 (177)2. 华为3COM 3628配置 (178)3．锐捷RGS21配置 (182)第七章系统备份及系统升级 (183)7-1系统数据库数据备份及还原 (183)7-2系统组件升级 (184)7-2-1 区域管理器、扫描器模块升级 (184)7-2-2 升级网页管理平台 (184)7-2-3 客户端注册程序升级 (184)7-2-4 检查系统是否升级成功 (185)7-3级联管理模式升级及配置 (185)第八章售后服务 (187)第九章附录 (189)附录（一）微软SQL SERVER系统安装步骤 (189)附录（二）北信源内网管理系统名词注释 (195)附录（三）移动存储设备认证工具操作说明 (196)附录（四）主机保护工具操作说明 (214)附录（六）组态报表管理系统操作说明 (221)附录（七）信息安全通告平台 (230)第一章．系统介绍1-1 产品组成北信源内网安全及补丁分发管理系统由8部分组成：WinPcap程序、SQL Server管理信息库（安装包：环境初始化程序）、Web中央管理配置平台（安装包：网页管理平台）、区域管理器(安装包：Region Manage,原区域扫描器已作为模块集成到区域管理器)、客户端注册程序（安装包：注册程序）、补丁下载服务器、管理器主机保护模块、报警中心模块。

环境初始化程序：SQL Server管理信息库，建立北信源内网安全及补丁分发管理系统的初始化数据库。

包括：网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册（未注册）机器信息、设备属性变化信息、报警信息等。

扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比，根据规则要求在管理平台上报警。

Web管理平台：Web中央管理配置平台，本系统的管理配置中心。

包括区域管理器、扫描器、注册客户端的功能参数设定，网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。

Region Manage：区域管理器，系统数据处理中心。

与管理信息数据库通讯，接收注册程序提供的用户信息，将用户信息（用户填写的物理信息和系统自动采集的硬件信息）并行存入数据库；接受来自控制台的命令操作，发送到客户端、扫描器执行。

对于存在多级管理要求的广域网，网络中可以存在多个区域管理器，系统数据提供逐级上报（转发）模式。

区域管理器内置网络扫描器，扫描器将设备最新状态信息报送至区域管理器，由区域管理器处理后，同数据库中原有信息进行遍历搜索对比，根据管理规则在管理平台上报警。

扫描器配合区域管理器进行工作，可以在分级模式下使用。

扫描器只依据Web管理平台中配置的工作范围进行扫描，超越其范围，将不负责执行操作。

WinPcap程序：嗅探驱动软件，监听共享网络上传送的数据。

客户端注册程序：用户访问指定网站自动获得，用户填写本机信息，填写必要信息后上报区域管理器。

注册程序自动探测系统硬件信息，连同用户填写的信息一同上报区域管理器。

用户将本机注册信息发送到区域管理器后，区域管理器自动将客户端驻留程序应用策略发送给用户，并自动更新。

客户端驻留程序功能：1.进行本机硬件属性信息变化监视；2.进行本机IP、MAC地址变化审计；3.本机系统补丁、软件安装、运行进程状况监测；4.探测本机是否有违规联网行为，在内网管理中心或外网报警平台报警；5.接受Web管理平台的管理命令；6.阻断本机非法外联行为；7.执行Web管理平台下发的各种策略操作。