北信源内网安全管理系统用户使用手册北京北信源软件股份有限公司二〇一一年支持信息在北信源内网安全管理系统使用过程中，如您有任何疑问都可以通过访问我公司网站或者致电我司客服中心获得帮助和支持！热线支持：400-8188-110客户服务电话：0/86/87在您使用该产品过程中，如果有好的意见或建议的话也请联系我们的客服中心，感谢您对我公司产品的信任和支持！正文目录图目录表目录第一章概述特别说明北信源终端安全管理系列产品由《北信源内网安全管理系统》、《北信源补丁及文件分发管理系统》、《北信源主机监控审计系统》、《北信源移动存储介质使用管理系统》、《北信源网络接入控制管理系统》及《北信源接入认证网关》6大套件构成。

本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版)，恕不另行通知。

需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。

本手册与本系统的安装配置手册中的所有图片均为示意图，请以实际产品为准。

本使用手册为北信源终端安全管理系列产品通用说明书。

若您独立购买《北信源内网安全管理系统》或《北信源补丁及文件分发管理系统》等其中之一产品，本说明书的其它功能将不具备。

感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理系列产品。

请在使用本软件之前认真阅读本使用手册，当您开始使用该软件时，北信源公司认为您已经阅读了本使用手册。

产品构架北信源终端安全管理产品由8部分组成：WinPcap程序、SQL Server管理信息库（安装包：环境初始化程序）、Web中央管理配置平台（安装包：网页管理平台）、区域管理器(安装包：Region Manage，原区域扫描器已作为模块集成到区域管理器)、客户端注册程序（安装包：注册程序）、补丁下载服务器、管理器主机保护模块、报警中心模块。

环境初始化程序SQL Server管理信息库，建立北信源终端安全管理产品的初始化数据库。

初始化的信息包括：网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册（未注册）机器信息、设备属性变化信息、报警信息等。

扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比，根据规则要求在管理平台上报警。

网页管理平台（web管理平台）Web中央管理配置平台，本系统的管理配置中心。

包括区域管理器、扫描器、注册客户端的功能参数设定，网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。

Region Manage区域管理器，系统数据处理中心，负责与管理信息数据库通讯扫描终端设备、控制服务器、客户端之间的信息、指令的下达、接受。

比如：接收注册程序提供的用户信息，将用户信息（用户填写的物理信息和系统自动采集的硬件信息）并行存入数据库；接受来自控制台的命令操作，发送到客户端、扫描器执行。

对于存在多级管理要求的广域网，网络中可以存在多个区域管理器，实现系统数据逐级上报（转发），对网络终端的多级管理。

区域管理器内置网络扫描器，扫描器用来发现网络的终端设备。

将发现的设备信息交由区域管理器处理。

、设备最新状态信息报送至区域管理器，由区域管理器处理后，同数据库中原有信息进行遍历搜索对比，根据管理规则在管理平台上报警。

扫描器配合区域管理器进行工作，可以在分级模式下使用。

扫描器只依据Web管理平台中配置的工作范围进行扫描，如果终端IP超越其范围，将不负责执行操作。

Winpcap程序嗅探驱动软件，监听共享网络上传送的数据。

客户端注册程序将接收并执行服务器下发的指令。

该程序可以在“工具下载->用户注册器下载”处下载。

访问指定网站自动获得，用户填写必要的信息后，运行该程序，区域管理器将收到注册终端的相关信息，同时终端可以接收、执行各种下发的指令。

注册程序自动探测系统硬件信息，连同用户填写的信息一同上报区域管理器。

用户将本机注册信息发送到区域管理器后，区域管理器自动将客户端驻留程序应用策略发送给用户，并自动更新。

客户端驻留程序功能：进行本机硬件属性信息变化监视；进行本机IP、MAC地址变化审计；本机系统补丁、软件安装、运行进程状况监测；探测本机是否有违规联网行为，在内网管理中心或外网报警平台报警；接受Web管理平台的管理命令；阻断本机非法外联行为；执行Web管理平台下发的各种策略操作。

补丁下载服务器安装在与Internet网络连接的机器上，用于实时下载补丁厂商发布的补丁。

管理器主机保护模块管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协议、通信IP范围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置，从而防止该计算机受到恶意的IP冲突以及各种网络、病毒攻击。

报警中心模块安装在可与区域管理器所在服务器正常通讯的计算机上，本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、信使服务、SNMP Trap、手机短信等多种报警方式。

应用构架北信源终端安全管理应用于局域网、广域网构架，支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。

系统应用主要分为以下两种构架：基本构架：对于一般网络（例如1个C类地址或若干个C类地址的局域网范围），可使用一套本系统软件，通过一个管理器集中管理所属区域内的所有设备。

扩展构架：对于大规模的多个局域网或者跨地域广域网（包括基于国家、省、市、县等多级管理模式的网络结构），可使用本系统提供的多区域集中管理构架，即一个或多个网段各拥有一套独立北信源终端安全管理的同时，将本级所有设备信息再转发给上级管理数据库，使得上一级管理人员对整个网络的设备状况也能够完全掌握。

图1- 1北信源终端安全管理应用拓扑第二章北信源内网安全管理系统策略中心策略管理中心策略的使用策略的创建和分发1．.在“策略管理中心”中左侧的策略项中点击需要制定的策略，然后在右侧的【策略名】中输入相应的策略名称，单击【创建新策略】按钮开始创建策略。

图2- 1创建新策略注：在策略的定义中使用了一些特别的关键字符，这些特殊的字符不应该在策略内容中出现。

否则可能会出现无法预料的系统错误。

这些字符包括："><'/="(大于，小于，单引号，反斜线，等于)。

2．根据实际需求配置策略，单击【保存策略】完成策略的创建。

（由于各个策略项的配置过程都不一样，下一节将具体介绍）3．下发策略，即指定策略的执行对象。

通过单击【对象】按钮，可按界面提示完成对象的分配。

如下图所示：图2- 2下发策略4．.如果需要让某一条策略暂时不使用，可通过【停用】按钮使策略失效，需要使用的时候再单击【启用】按钮使策略生效。

如果想要删除某一条策略，则直接按【删除】按钮即可。

如下图所示，图2- 3策略控制策略的高级设置策略的高级设置用于策略的执行设置，包括策略状态（启动、停止）、策略存活时间（策略执行的起止时间）、策略执行触发条件（在何种条件下开始执行策略）、策略无效时间（规定时间内不执行策略）、策略应用范围（本级区域、下级区域、所有区域）、级联策略类型等，有些策略还包括具体的触发时间设置等。

该策略时，先判断是不是有效网管，是则执行该策略，否则不执行。

策略有效网络内网：能与本服务器通讯的属于内网；外网：与本服务器不能通讯，且不能与客户端所在网关通讯的属于外网。

克隆机策略克隆机：将已经注册了本系统的客户端的系统做成镜像（gost），还原到某计算机上，则该计算机称之为克隆机。

只有克隆机（gost系统）执行本策略，非克隆机不执行。

策略下发结果查询可以通过以下两种方式查看策略的下发情况：(1)策略管理中心-->策略下发查询(2)终端管理-->终端管理-->当前执行策略注：策略分发间隔默认为1分钟；有的策略需要重新启动生效，请看每条策略的具体说明。

具有审计功能的策略，审计数据可以在“数据查询审计数据查询”中查看。

黑白名单编辑进程黑白名单进程黑白名单在“进程监控”策略中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。

编辑进程黑白名单时包括：进程名、产品名、源文件名等；如果是服务则只可以加服务名，同时可以加一些描述。

软件黑白名单软件黑白名单在“软件安装监控”策略中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。

URL黑白名单编辑URL黑白名单在“上网访问审计”策略、“上网控制策略”中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。

端口黑白名单编辑端口黑白名单在“协议防火墙策略”中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。

硬件设备控制硬件设备控制功能说明：控制各种硬件设备及接口的启用或禁用，如果只想禁止使用移动存储设备，也可以通过“可移动存储审计”策略来实现。

参数说明：注意事项：1．如果要对原来禁用的设备启用，最好是明确的为该设备制定一条启用策略。

2．禁用u盘、软驱、光驱等一部分功能，在行为管理与审计策略中的可移动存储审计策略中也可完成，功能上没有什么区别，用户可以根据自己的习惯，自行设定。

策略实例：允许使用光驱，但是禁止使用刻录光驱。

比如有两个光盘驱动器，分别为：Generic DVD-ROM SCSI CdRom Device 和 MATSHITA UJDA745 DVD/CDRW。

从文字显示上可以看出后面一个驱动器为刻录光驱，如果要禁止刻录光驱，则可以将光驱项设置为"允许"，在【例外】中输入"MATSHITA UJDA745DVD/CDRW"或其中的一部分，只要能通过该标志确认是一个可刻录光驱即可。

因为基本上可刻录光驱都带有"CDRW"字样，【例外】中可以输入"CDRW"。

多个例外之间用分号(";")（英文半角格式）分隔，如下图所示：图2- 4硬件设备控制进程及软件管理软件安装监控功能说明：用于监控客户端安装的软件是否违规并对违规行为做出相应的处理。

参数说明：策略实例：图2- 5软件安装监控策略注意事项：1．“软件名”要和控制面板中添加删除程序里的软件程序名一样，该功能支持模糊查询技术，例如在要检查是否安装了QQ，可能因为各种版本不一样，在“添加删除程序”里显示的是QQ2004或QQ2005，这时您可以只输入QQ。

2．静默卸载功能不支持模糊匹配，需要填写跟添加删除程序中的名称完全相同。

3．为了维护方便，建议管理员将施行安装或禁止安装的需求不同的软件，放在不同的策略中管理，如果同一软件在不同策略中的设置不同，那么，取最后一个策略设置为准。

4．本策略设置时，建议在高级设置，策略触发方式中，选中启动时触发和间隔触发选中，间隔时间10分钟左右。