【正文】 ................................................................. 208 附錄（五）報(bào)警平臺操作說明 .......................................................................................... 217 附錄（六） WIN2020IIS服務(wù)器配置說明 ......................................................................... 223 5 前 言 目前國內(nèi)政府機(jī)關(guān)、軍隊(duì)、公安、保密部門、科研機(jī)構(gòu)、金融、證券等企事業(yè)單位中的網(wǎng)絡(luò)都具有相當(dāng)?shù)?規(guī)模，網(wǎng)絡(luò)中大量使用計(jì)算機(jī)及其它網(wǎng)絡(luò)設(shè)備。 6. 在 \VRV\VRVEIS\download 目 錄 中 ， 使 用 工 具 修 改 文 件 中 的本 地 區(qū) 域管 理 器 IP ， 將 修改 后 的 注冊 程序 放在機(jī)構(gòu)網(wǎng)站上進(jìn)行靜態(tài)網(wǎng)頁注冊，或者在機(jī)構(gòu)網(wǎng)站上加載動態(tài)網(wǎng)頁檢測注冊腳本語句，進(jìn)行動態(tài)設(shè)備注冊。 SQL安裝注意事項(xiàng)請參照第二章 231 所示。請?jiān)谑褂帽拒浖罢J(rèn)真閱讀本使用手冊，當(dāng)您開始使用該軟件時(shí)，北信源公司認(rèn)為您已經(jīng)閱讀了本使用手冊。 ? 北信源終端安全管理系列產(chǎn)品 由《北信源內(nèi)網(wǎng)安全管理系統(tǒng)》 、《北信源補(bǔ)丁及文件分發(fā)管理系統(tǒng)》、《北信源主機(jī)監(jiān)控審計(jì)系統(tǒng)》、 《 北信源移動存儲介質(zhì)使用管理系統(tǒng) 》 、《北信源網(wǎng)絡(luò)接入控制管理系統(tǒng)》及《北信源接入認(rèn)證網(wǎng)關(guān)》 6 大套件構(gòu)成。需要者請從北信源公司網(wǎng)站下載本手冊的最新電子版或者直接聯(lián)系北信源公司索取。 ? 感謝您購買北京北信源軟件股份有限公司研制開發(fā)的 北信源終端安全管理系列產(chǎn)品 。 3. 安裝準(zhǔn)備軟件環(huán)境： Microsoft SQL Server20 Windows 2020 Server、 Inter 服務(wù)管理器。 5. 雙擊屏幕右下角區(qū)域管理器、單擊主機(jī)保護(hù)進(jìn)行通訊參數(shù)配置。 特別提示：默認(rèn)管理員用戶： admin，密碼： 123456；系統(tǒng)指定審計(jì)用戶名： audit,密碼： 123456 請注意修改。 盡管以上大多數(shù)用戶采用了專門的網(wǎng)絡(luò)通道技術(shù)、物理隔離技術(shù)、安全網(wǎng)段劃分、安全防護(hù)設(shè)施（如防火墻、入侵檢測、漏洞掃描）等方式保證自己的網(wǎng)絡(luò)安全，但是，對類似下面的安全問題仍然無法做到真正意義上的解決： 如何發(fā)現(xiàn)終端設(shè)備的系統(tǒng)漏洞并自動分發(fā)補(bǔ)丁； 如何防范移動設(shè)備隨意接入內(nèi)網(wǎng)； 如何防范內(nèi)網(wǎng)設(shè)備違規(guī)進(jìn)入外網(wǎng)； 如何管理終端資產(chǎn)并真正控制、管理終端設(shè)備的運(yùn)行； 如何制訂整體安全策略并全網(wǎng)執(zhí)行； 如何管理控制終端設(shè)備的數(shù)據(jù)流； 平臺、安全平臺等諸多設(shè)備如何銜接并統(tǒng)一管理。 北信源 終端安全 管理 產(chǎn)品 針對網(wǎng)絡(luò)管 理工作中遇到的實(shí)際管理需求，進(jìn)行網(wǎng)絡(luò)安全資源規(guī)劃 ,如防止移動設(shè)備非法接入內(nèi)部網(wǎng)絡(luò)、 IP 資源分配管理、靜態(tài) IP 同 MAC地址的綁定、提供設(shè)備資源登記及硬件設(shè)備（硬盤、 CPU、內(nèi)存等）變化報(bào)警、進(jìn)行內(nèi)部網(wǎng)絡(luò)連接阻斷等功能。 第一章． 產(chǎn)品 介紹 11 產(chǎn)品 構(gòu)架 北信源終端安全管理 產(chǎn)品 由 8部分組成： WinPcap程序、 SQL Server管理信息庫（安裝包：環(huán)境初始化程序）、 Web中央管理配置平臺（安裝包：網(wǎng)頁管理平臺）、區(qū)域管理器 (安裝包： Region Manage,原區(qū)域掃描器已作為模塊集成到區(qū)域管理器 )、客戶端注冊程序（安裝包：注冊程序）、補(bǔ)丁下載服務(wù)器、管理器主機(jī)保護(hù)模塊、報(bào)警中心模塊。 Web管理平臺： Web中央管理配置平臺，本系統(tǒng)的管理配置中心。 對于存在多級管理要求的廣域網(wǎng)，網(wǎng)絡(luò)中可以存在多個(gè)區(qū)域管理器， 實(shí)現(xiàn) 系統(tǒng)數(shù)據(jù) 逐級上報(bào)（轉(zhuǎn)發(fā)） ，對網(wǎng)絡(luò)終端的多級管理 。 掃描器配合區(qū)域管理器進(jìn)行工作，可以在分級模式下使用。 該程序可以在“工具下載 用戶注冊器下載”處下載。 客戶端駐留程序功能： 1. 進(jìn)行本機(jī)硬件屬性信息變化監(jiān)視； 2. 進(jìn)行本機(jī) IP、 MAC地址變化審計(jì)； 3. 本機(jī)系統(tǒng)補(bǔ)丁、軟件安裝、運(yùn)行進(jìn)程狀況監(jiān)測； 4. 探測本機(jī)是否有違規(guī)聯(lián)網(wǎng)行為，在內(nèi)網(wǎng)管理中心或外網(wǎng)報(bào)警平臺報(bào)警； 5. 接受 Web管理平臺的管理命令； 6. 阻斷本機(jī)非法外聯(lián)行為； 7. 執(zhí)行 Web管理平臺下發(fā)的各種策略操作 。 注 ：區(qū)域管理器（ Region Manage）、區(qū)域掃描器模塊（ Region scan）、注冊程序部分系統(tǒng)的參數(shù)配置集中體現(xiàn)在網(wǎng)頁管理平臺操作上，上述三部分功能參數(shù)、功能項(xiàng)數(shù)值統(tǒng)一在網(wǎng)頁管理平臺中進(jìn)行配置。 擴(kuò)展構(gòu)架：對于大規(guī)模的多個(gè)局域網(wǎng)或者跨地域廣域網(wǎng)（包括基于國家、省、市、縣等多級管理模式的網(wǎng)絡(luò)結(jié)構(gòu)），可使用本系統(tǒng)提供的多區(qū)域集中管理構(gòu)架，即一個(gè)或多個(gè)網(wǎng)段各擁有一套獨(dú)立 北信源終端安全管理 的同時(shí)，將本級所有設(shè)備信息再轉(zhuǎn)發(fā)給上級管理數(shù)據(jù)庫，使得上一級管理人員對整個(gè)網(wǎng)絡(luò)的設(shè)備狀況也能夠完全掌握。百兆或千兆網(wǎng)卡， PC 服務(wù)器或更高檔服務(wù)器， PentiumⅣ 以上 CPU， 512M以上內(nèi)存 。 建議將區(qū)域管理器、掃描器、網(wǎng)頁管理平臺安裝在同一臺機(jī)器上，作為監(jiān)控服務(wù)器。如 所裝操作系統(tǒng)為 Windows 2020 企業(yè)版，則需要按照 附錄（三） 的 Windows 2020 的 IIS 配置說明進(jìn)行 IIS配置。 10 22 安裝注意事項(xiàng) 軟件安裝時(shí)，推薦將區(qū)域管理器、掃 描器、數(shù)據(jù)庫安裝在同一臺機(jī)器上（以下稱為監(jiān)控服務(wù)器），建議按照下面要求進(jìn)行監(jiān)控服務(wù)器部署、軟件安裝、客戶端注冊。 情況二：子網(wǎng)無專人管理，或無獨(dú)立機(jī)房，可采用以下 3種方 式之一處理 ? 機(jī)器數(shù)量少的建議統(tǒng)一更改 IP為 10.*. *. * 網(wǎng)段。 監(jiān)控服務(wù)器的安全性問題 管理服務(wù)器安裝 Windows2020 Server操作系統(tǒng)（帶 IIS）、 MS SQL Server2020數(shù)據(jù)庫后，一定要確保對 Windows20 SQL 和 IE 進(jìn)行重要安全補(bǔ)丁修補(bǔ)，規(guī)范操作系統(tǒng)、數(shù)據(jù)庫的口令和密碼設(shè)置，保證 SQL、 IIS的正常啟動運(yùn)行。 231 安裝 SQL server 數(shù)據(jù)庫 只需要在安裝過程中注意選擇“使用本地系統(tǒng)帳戶”和“混合模式” 12 圖 231數(shù)據(jù)庫服務(wù)器安裝向?qū)? 圖 232數(shù)據(jù)庫服務(wù)器安裝向?qū)? 232 安裝 WinPcap驅(qū)動模塊 在安裝頁面中選擇“ 安裝 WinPcap 驅(qū)動模塊 ”按鈕，單擊“下一步”安裝在區(qū)域掃描器所在計(jì)算機(jī)上。否則會出現(xiàn)如下圖所示提示信息 ： 圖 2343初始化數(shù)據(jù)庫失敗提示信息 如果出現(xiàn)如上圖所示提示信息，用戶需要檢查所填入的 SQL數(shù)據(jù)庫 IP地址、用戶名以及用戶密碼，重新初始化數(shù)據(jù)庫。 ? Web中央管理平臺訪問 Web 管理平臺安裝以后在 IIS 目錄上以虛擬目錄的形式存在，虛擬目錄名稱為 VRVEIS，用戶在安裝完成以后，用 IP） /VRVEIS的形式訪問 Web管理平臺主頁面。 如果 IP） /VRVEIS訪問無效，則以 IP）/VRVEIS/。在“區(qū)域管理器”中選擇“配置” “系統(tǒng)配置”，配置 SQL客戶端，也可以 通過 Alt+S熱鍵，進(jìn)入配置。 圖 237區(qū)域掃描器配置 填寫相關(guān)信息之后重新啟動區(qū)域管理器，程序會自動縮小到系統(tǒng)托盤，表示數(shù)據(jù)庫連接成 18 功，程序運(yùn)行正常，此時(shí)通過上圖中“掃描器配置”項(xiàng)來查看掃描器相關(guān)運(yùn)行信息。 239 安裝報(bào)警中心模塊 選擇安裝在安裝頁面中選擇“安裝報(bào)警中心模塊”按鈕，輸入序列號 SN，單擊“下一步”、在桌面生成 。 ? 修改客戶端注冊程序配置文件 在 web 平臺中配置管理 注冊程序配置。 主要講述動態(tài)注冊，這種方法適用于網(wǎng)絡(luò)用戶較多的情況，客戶端只要訪問網(wǎng)絡(luò)內(nèi)公共網(wǎng)站，網(wǎng)頁將自動對客戶端進(jìn)行探測， 彈出提示窗口，提示用戶進(jìn)行注冊。本代碼作用在于首先獲得該客戶端計(jì)算機(jī)的 IP 地址，再讀取數(shù)據(jù)庫里面相關(guān) IP 地址的注冊和其它相關(guān)信息，如果該 IP地址的設(shè)備存在，系統(tǒng)會根據(jù)其是否完成“注冊”、“信任”、“保護(hù)”三項(xiàng)操作進(jìn)行判斷，只要滿足其中任意一條件，都不會提示注 冊，否則會彈出窗口提示注冊。 注意： ：如果系統(tǒng)為多級級聯(lián)方式，必須在區(qū)域管理器的 高級 配置中 的“系統(tǒng)配置”、“策略配置”選項(xiàng)中的級聯(lián)選項(xiàng)選中，并正確添加上級管理器的 IP地址，各級區(qū)域會將自己所管轄的區(qū)域管理 IP段上報(bào)到上級數(shù)據(jù)庫中存儲。 客戶端和區(qū)域管理器連接通訊不正常的情況下，將提示用戶“缺省注冊成功”，表示客戶端探頭已經(jīng)注冊完畢，但還沒有與區(qū)域管理器通訊。掌握對網(wǎng)頁平臺的功能操作和配置對使用本系統(tǒng)來提高整個(gè)網(wǎng)絡(luò)的安全性和解決網(wǎng)絡(luò)管理的效率有著重要作用。 27 圖 3112 客戶端工具下載界面 系統(tǒng)默認(rèn)用戶為 admin，密碼為 123456，登錄后建議管理員修改管理員密碼。 具體步驟： 區(qū)域描述配置欄中填寫好一些必要的與區(qū)域相關(guān)的信息，如區(qū)域機(jī)構(gòu)代碼、區(qū)域名稱、負(fù)責(zé)人姓名等。 圖 3114區(qū)域劃分與配置 下級區(qū)域劃分： 在已有區(qū)域頁面中點(diǎn)擊“ 增加下級區(qū)域 ”按鈕進(jìn)行下級區(qū)域添加，如集團(tuán)總部下屬總裁辦、行政部、財(cái)務(wù)部等。 設(shè)置 vpn網(wǎng)絡(luò)虛擬管理器 IP：是指添加 VPN虛 擬服務(wù)器的 IP地址 。 管理器配置同步 ：當(dāng)選中“下級區(qū)域”時(shí)下級區(qū)域的配置應(yīng)該和上級區(qū)域管理器的配置相同，當(dāng)選中“全部區(qū)域”時(shí)是指下面的任意級聯(lián)區(qū)域都要和區(qū)域管理器的配置同步。 區(qū)域管理器支持多級級聯(lián)，如國家、省、市、縣多級規(guī)模網(wǎng)絡(luò)管理構(gòu)架，下屬區(qū)域管理器將其所有計(jì)算機(jī)報(bào)警信息轉(zhuǎn)報(bào)到上級數(shù)據(jù)庫。 32 圖 3124 區(qū)域管理器 阻斷配置： 圖 3125阻斷配置 探頭阻斷：目前常用的阻斷方式，由掃描器調(diào)度探頭完成阻斷任務(wù)。 本地報(bào)警種類過濾：僅對本地網(wǎng)絡(luò)中區(qū)域管理器管理范圍內(nèi)的違規(guī)變化行為進(jìn)行報(bào)警顯示，用戶根據(jù)自身管理要求進(jìn)行篩選。 34 管理員通過對參數(shù)項(xiàng)的選擇進(jìn)行下載配置，級聯(lián) IP 提供對上一級補(bǔ)丁的下載獲取。 圖 3131 區(qū)域掃描器參數(shù)設(shè)置 35 注 :掃描器配合區(qū)域管理器進(jìn)行工作，掃描器的掃描范圍不可能超過它的區(qū)域管理器管理的IP范圍。 輕量級阻斷： 阻斷計(jì)算機(jī)向網(wǎng)絡(luò)中廣播一個(gè) ARP 請求報(bào)文，將被阻斷計(jì)算機(jī)的 IP 地址及對應(yīng)的假 MAC 地址發(fā)送給網(wǎng)絡(luò)內(nèi)所有的計(jì)算機(jī)，每臺計(jì)算機(jī)收到請求后便會 對本地的 ARP 緩存進(jìn)行更新 ， 將 收到的請求 中的 IP 和 對應(yīng)的假 MAC 地址存儲在 ARP 緩存中 。 36 重量級阻斷： 阻斷計(jì)算機(jī)冒充網(wǎng)絡(luò) 中的其他計(jì)算機(jī)（本網(wǎng)段 1255）給被阻斷計(jì)算機(jī)發(fā)送定向 ARP 應(yīng)答報(bào)文，被阻斷計(jì)算機(jī)收到請求后便會 對本地的 ARP 緩存進(jìn)行更新 ， 將 收到的請求中的 IP 和 對應(yīng)的假 MAC 地址存儲在 ARP 緩存中 。 Snmp讀 /寫 團(tuán)體名 ：根據(jù)拓?fù)涔芾硇枰斎刖W(wǎng)絡(luò)中所有網(wǎng)絡(luò)設(shè)備的 snmp讀團(tuán)體名 用“ 。進(jìn)入 web 管理平臺主頁面“運(yùn)維監(jiān)控”菜單，啟用網(wǎng)絡(luò)拓?fù)鋱D，安裝交換機(jī)拓?fù)淠K后進(jìn)行網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)。 最后點(diǎn)擊 保存修改 關(guān)閉窗口返回上級窗口如下圖 ： 圖 3144 保存修改 可以看到剛才添加的單位 。 圖 3145 直接添加新注冊密碼 保存修改 就可以 。 選擇 保存修改 點(diǎn)擊 打包注冊程序 這時(shí)完成客戶端注冊程序配置 。 圖 3152 創(chuàng)建分組 41 2． 向組中添加設(shè)備：點(diǎn)擊添加設(shè)備，彈出如下圖，可以按設(shè)備查找，按 IP 查找，按操作系統(tǒng)查找，選中一個(gè)點(diǎn)擊添加，然后點(diǎn)擊查詢，導(dǎo)入組即可。 圖 3161 添加系統(tǒng) IP 與 MAC 綁定設(shè)備列 表 圖 3162查詢系統(tǒng) IP 與 MAC 綁定設(shè)備列表 317 系統(tǒng)運(yùn)維監(jiān)控 系統(tǒng)運(yùn)維監(jiān)控 是用來設(shè)定系統(tǒng)用戶登錄失敗，用戶鎖定問題以及存儲空間匱乏告警。 如果存儲空間小于設(shè)定的值，每次登陸管理界面時(shí)，都會出現(xiàn) 圖 3172 資源匱乏提示 44 32 客戶 端阻斷 321 掃描器組件配置 掃描器配置是在 web管理平臺界面下完成。 322 阻斷策略應(yīng)用 系統(tǒng)管理員通過阻斷功能實(shí)現(xiàn)針對網(wǎng)絡(luò)中的任意一臺計(jì)算機(jī)進(jìn)行內(nèi)部網(wǎng)絡(luò)的阻斷，從 而能夠保證網(wǎng)絡(luò)的運(yùn)行安全，可選擇通過以下三種方式配置阻斷策略： 3221 違規(guī)自動阻斷策略 系統(tǒng)各區(qū)域“區(qū)域信息描述”中阻斷實(shí)現(xiàn)： 選擇要進(jìn)行阻斷的系統(tǒng)區(qū)域名稱，點(diǎn)擊“區(qū)域描述”菜單進(jìn)入到“區(qū)域詳細(xì)描述及修改”頁面中，可針對“發(fā)現(xiàn)電腦設(shè)備異常后執(zhí)行的動作”進(jìn)行如圖所示的幾種阻斷策略的選擇： 45 圖 3221 區(qū)域劃分中的阻斷設(shè)定 注意：此時(shí)如果選中的執(zhí)行動作為“默認(rèn)”，則此區(qū)域的阻斷策略，采用和本區(qū)域的區(qū)域管理器已經(jīng)設(shè)置好的相同策略；如果系統(tǒng)管理員進(jìn)行了其它選擇，則系統(tǒng)將會執(zhí)行其所選中的策略進(jìn)