【文章內(nèi)容簡介】 、軍隊、公安、保密部門、科研機(jī)構(gòu)、金融、證券等企事業(yè)單位中的網(wǎng)絡(luò)都具有相當(dāng)?shù)?規(guī)模，網(wǎng)絡(luò)中大量使用計算機(jī)及其它網(wǎng)絡(luò)設(shè)備。這些設(shè)備帶來高效應(yīng)用的同時，由于自身確實(shí)存在著安全風(fēng)險隱患，應(yīng)該采用相關(guān)網(wǎng)絡(luò)安全技術(shù)手段來保障整個網(wǎng)絡(luò)運(yùn)行的安全。 目前單位自身內(nèi)部網(wǎng)絡(luò)分為以下幾種類型： 辦公網(wǎng)： 企事業(yè)單位中的普通辦公網(wǎng)絡(luò)、公司企業(yè)網(wǎng)，它們通過有限出口接入 Inter網(wǎng)絡(luò)； 內(nèi)部專網(wǎng)： 政府辦公網(wǎng)、金融運(yùn)營網(wǎng)及各系統(tǒng)重要的實(shí)時網(wǎng)絡(luò)，該種網(wǎng)絡(luò)一般為內(nèi)部專用網(wǎng)絡(luò)，此類網(wǎng)絡(luò)同外部網(wǎng)絡(luò)采取物理隔離的方式實(shí)現(xiàn)相互獨(dú)立 ； 保密網(wǎng)： 政府機(jī)關(guān)、軍隊、公安、保密部門的內(nèi)部機(jī)密安全網(wǎng)絡(luò)，一般采用專門的網(wǎng)絡(luò)通道， 要求具有絕對的內(nèi)網(wǎng)隔離度。 盡管以上大多數(shù)用戶采用了專門的網(wǎng)絡(luò)通道技術(shù)、物理隔離技術(shù)、安全網(wǎng)段劃分、安全防護(hù)設(shè)施（如防火墻、入侵檢測、漏洞掃描）等方式保證自己的網(wǎng)絡(luò)安全，但是，對類似下面的安全問題仍然無法做到真正意義上的解決： 如何發(fā)現(xiàn)終端設(shè)備的系統(tǒng)漏洞并自動分發(fā)補(bǔ)?。? 如何防范移動設(shè)備隨意接入內(nèi)網(wǎng)； 如何防范內(nèi)網(wǎng)設(shè)備違規(guī)進(jìn)入外網(wǎng)； 如何管理終端資產(chǎn)并真正控制、管理終端設(shè)備的運(yùn)行； 如何制訂整體安全策略并全網(wǎng)執(zhí)行； 如何管理控制終端設(shè)備的數(shù)據(jù)流； 平臺、安全平臺等諸多設(shè)備如何銜接并統(tǒng)一管理。 北信源 終端安全 管理 產(chǎn)品 VRV EDP（ Enterprise desk planning）能夠完全解決上述網(wǎng)絡(luò)安全管理工作中遇到的常見問題。 VRV EDP系統(tǒng)強(qiáng)化對網(wǎng)絡(luò)計算機(jī)終端的控制，管理內(nèi)容包括：資源資產(chǎn)、終端安全策略、桌面風(fēng)險審計、補(bǔ)丁檢測分發(fā)、終端運(yùn)行狀態(tài)監(jiān)控以及終端行為審計等。 北信源 終端安全 管理 產(chǎn)品 提供了防火墻、 IDS、防病毒系統(tǒng)、專業(yè)網(wǎng)管軟件所不能提供的防護(hù)功能，對它們管理的盲區(qū)進(jìn)行監(jiān)控，成為一個實(shí)時的安全監(jiān)控系統(tǒng)，并能夠同其它網(wǎng)絡(luò)安全 6 設(shè)備或網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行安全集成和報警聯(lián)動。 北信源 終端安全 管理 產(chǎn)品 針對網(wǎng)絡(luò)管 理工作中遇到的實(shí)際管理需求，進(jìn)行網(wǎng)絡(luò)安全資源規(guī)劃 ,如防止移動設(shè)備非法接入內(nèi)部網(wǎng)絡(luò)、 IP 資源分配管理、靜態(tài) IP 同 MAC地址的綁定、提供設(shè)備資源登記及硬件設(shè)備（硬盤、 CPU、內(nèi)存等）變化報警、進(jìn)行內(nèi)部網(wǎng)絡(luò)連接阻斷等功能。 同時，為有效解決網(wǎng)絡(luò)中計算機(jī)非法接入和非法外聯(lián)問題， VRV EDP 系統(tǒng)提供實(shí)時監(jiān)控的強(qiáng)大功能，即實(shí)時報警以及實(shí)時切斷非法計算機(jī)同內(nèi)網(wǎng)的連接。 北信源 終端安全 管理 產(chǎn)品 通過 Web 方式對整個系統(tǒng)進(jìn)行應(yīng)用策略配置，管理網(wǎng)絡(luò)和查詢報警數(shù)據(jù)，方便用戶操作 ，有效防范不安全因素對 內(nèi)部 網(wǎng)絡(luò) 構(gòu)成 的威脅 ，真正做到 內(nèi)部網(wǎng)絡(luò)的完全安全管理 。 北信源 終端安全 管理 產(chǎn)品 支持基于局域網(wǎng)、廣域網(wǎng)的國家 — 省 — 市 — 縣多級級聯(lián)管理模式。 第一章． 產(chǎn)品 介紹 11 產(chǎn)品 構(gòu)架 北信源終端安全管理 產(chǎn)品 由 8部分組成： WinPcap程序、 SQL Server管理信息庫（安裝包：環(huán)境初始化程序）、 Web中央管理配置平臺（安裝包：網(wǎng)頁管理平臺）、區(qū)域管理器 (安裝包： Region Manage,原區(qū)域掃描器已作為模塊集成到區(qū)域管理器 )、客戶端注冊程序（安裝包：注冊程序）、補(bǔ)丁下載服務(wù)器、管理器主機(jī)保護(hù)模塊、報警中心模塊。 環(huán)境初始化程序： SQL Server管理信息庫，建立 北信源終端安全管理 產(chǎn)品 的初始化數(shù)據(jù)庫。初始化的信息 包括：網(wǎng)絡(luò)客戶端設(shè)備屬性信息、區(qū)域管理器信息、設(shè)備掃描器信息、區(qū)域管理范圍信息、注冊（未注冊）機(jī)器信息、設(shè)備屬性變化信息、報警信息等。掃描器將設(shè)備最新狀態(tài)信息同數(shù)據(jù)庫中原有信息進(jìn)行遍歷搜索對比，根據(jù)規(guī)則要求在管理平臺上報警。 Web管理平臺： Web中央管理配置平臺，本系統(tǒng)的管理配置中心。包括區(qū)域管理器、掃描器、注冊客戶端的功能參數(shù)設(shè)定，網(wǎng)絡(luò)設(shè)備信息發(fā)現(xiàn)、系統(tǒng)應(yīng)用策略制訂、報警信息顯示、定義任務(wù)功能制訂、系統(tǒng)用戶維護(hù)等配置操作。 Region Manage： 區(qū)域管理器，系統(tǒng)數(shù)據(jù)處理中心 ，負(fù)責(zé) 與管理信息數(shù)據(jù)庫通訊 掃描終端設(shè)備、控制 服務(wù)器、客戶端之間的信息、指令的下達(dá)、接受 。 比如： 接收注冊程序提供的用戶信 7 息，將用戶信息（用戶填寫的物理信息和系統(tǒng)自動采集的硬件信息）并行存入數(shù)據(jù)庫；接受來自控制臺的命令操作，發(fā)送到客戶端、掃描器執(zhí)行。 對于存在多級管理要求的廣域網(wǎng)，網(wǎng)絡(luò)中可以存在多個區(qū)域管理器， 實(shí)現(xiàn) 系統(tǒng)數(shù)據(jù) 逐級上報（轉(zhuǎn)發(fā)） ，對網(wǎng)絡(luò)終端的多級管理 。 區(qū)域管理器內(nèi)置網(wǎng)絡(luò)掃描器，掃描器 用來發(fā)現(xiàn)網(wǎng)絡(luò)的終端設(shè)備。將發(fā)現(xiàn)的設(shè)備信息交由區(qū)域管理器處理。、 設(shè) 備最新狀態(tài)信息報送至區(qū)域管理器，由區(qū)域管理器處理后，同數(shù)據(jù)庫中原有信息進(jìn)行遍歷搜索對比，根據(jù)管理規(guī)則在管理平臺上報警。 掃描器配合區(qū)域管理器進(jìn)行工作，可以在分級模式下使用。掃描器只依據(jù) Web 管理平臺中配置的工作范圍進(jìn)行掃描， 如果終端 IP超越其范圍，將不負(fù)責(zé)執(zhí)行操作。 WinPcap程序： 嗅探驅(qū)動軟件， 監(jiān)聽共享網(wǎng)絡(luò)上傳送的數(shù)據(jù) 。 客戶端注冊程序： 將接收并執(zhí)行服務(wù)器下發(fā)的指令。 該程序可以在“工具下載 用戶注冊器下載”處下載。 訪問指定網(wǎng)站自動獲得，用戶填寫 必要的信息后，運(yùn)行該程序， 區(qū)域管理器將收到注冊終端的相關(guān) 信息，同時終端可以接收、執(zhí)行各種下發(fā)的指令 。注冊程序自動探測系統(tǒng)硬件信息，連同用戶填寫的信息一同上報區(qū)域管理器。用戶將本機(jī)注冊信息發(fā)送到區(qū)域管理器后，區(qū)域管理器自動將客戶端駐留程序應(yīng)用策略發(fā)送給用戶，并自動更新。 客戶端駐留程序功能： 1. 進(jìn)行本機(jī)硬件屬性信息變化監(jiān)視； 2. 進(jìn)行本機(jī) IP、 MAC地址變化審計； 3. 本機(jī)系統(tǒng)補(bǔ)丁、軟件安裝、運(yùn)行進(jìn)程狀況監(jiān)測； 4. 探測本機(jī)是否有違規(guī)聯(lián)網(wǎng)行為，在內(nèi)網(wǎng)管理中心或外網(wǎng)報警平臺報警； 5. 接受 Web管理平臺的管理命令； 6. 阻斷本機(jī)非法外聯(lián)行為； 7. 執(zhí)行 Web管理平臺下發(fā)的各種策略操作 。 補(bǔ)丁 下載服務(wù)器： 安裝在與 Inter 網(wǎng)絡(luò)連接的機(jī)器上，用于實(shí)時下載補(bǔ)丁廠商發(fā)布的補(bǔ)丁。 管理器主機(jī)保護(hù)模塊： 管理器主機(jī)保護(hù)模塊可根據(jù)管理器或其他服務(wù)器具體使用的端口、網(wǎng)絡(luò)協(xié)議、通信 IP范圍和具體的其他網(wǎng)絡(luò)應(yīng)用來定義該計算機(jī)使用的安全級較高的網(wǎng)絡(luò)配置， 8 從而防止該計算機(jī)受到惡意的 IP沖突以及各種網(wǎng)絡(luò)、病毒攻擊。 報警中心模塊： 安裝在可與區(qū)域管理器所在服務(wù)器正常通訊的計算機(jī)上，本模塊可以根據(jù)管理員在系統(tǒng)中所配置的報警事件和危險級別提供給管理員包括電子郵件、信使服務(wù)、 SNMP Trap、手機(jī)短信等多種報警方式。 注 ：區(qū)域管理器（ Region Manage）、區(qū)域掃描器模塊（ Region scan）、注冊程序部分系統(tǒng)的參數(shù)配置集中體現(xiàn)在網(wǎng)頁管理平臺操作上，上述三部分功能參數(shù)、功能項數(shù)值統(tǒng)一在網(wǎng)頁管理平臺中進(jìn)行配置。區(qū)域管理器（ Region Manage）、掃描器模塊（ Region scan）部分參數(shù)在自身 程序 組件中配置。 12 應(yīng)用構(gòu)架 北信源終端安全管理 應(yīng)用于局域網(wǎng)、廣域網(wǎng)構(gòu)架，支持跨網(wǎng)段、跨地域的內(nèi)網(wǎng)遠(yuǎn)程客戶端管理及非法移動設(shè)備接入檢測、網(wǎng)內(nèi)計算機(jī)違規(guī)聯(lián)網(wǎng)監(jiān)視、網(wǎng)絡(luò)安全隔離度監(jiān)控等。 系統(tǒng)應(yīng)用主要分為以下兩種構(gòu)架 ： 基本構(gòu)架：對于一般網(wǎng)絡(luò)（例如 1 個 C 類地址或若干個 C 類地址的局域網(wǎng)范圍），可使用一套本系統(tǒng)軟件， 通過一個 管理 器集中管理 所屬區(qū)域內(nèi)的所有設(shè)備。 擴(kuò)展構(gòu)架：對于大規(guī)模的多個局域網(wǎng)或者跨地域廣域網(wǎng)（包括基于國家、省、市、縣等多級管理模式的網(wǎng)絡(luò)結(jié)構(gòu)），可使用本系統(tǒng)提供的多區(qū)域集中管理構(gòu)架，即一個或多個網(wǎng)段各擁有一套獨(dú)立 北信源終端安全管理 的同時，將本級所有設(shè)備信息再轉(zhuǎn)發(fā)給上級管理數(shù)據(jù)庫，使得上一級管理人員對整個網(wǎng)絡(luò)的設(shè)備狀況也能夠完全掌握。 圖 11北信源終端安全管理 應(yīng)用拓?fù)? 9 第二章． 產(chǎn)品 安裝 21 安裝環(huán)境 條件一：硬件環(huán)境 SQL Server 數(shù)據(jù)庫服務(wù)器： 用于安裝系統(tǒng)管理信息數(shù)據(jù)庫。 PC 服務(wù)器或更高檔服務(wù)器， PentiumⅣ 以上 CPU， 512M以上內(nèi)存 。 區(qū)域管理器： 用于安裝區(qū)域管理器程序。百兆或千兆網(wǎng)卡， PC 服務(wù)器或更高檔服務(wù)器， PentiumⅣ 以上 CPU， 512M以上內(nèi)存 。 掃描器模塊： 配置同區(qū)域管理器。如單獨(dú)安裝掃描器模塊，比較高檔的 PC計算機(jī)即可。 本系統(tǒng)各程序可安裝在同一臺計算機(jī)上，也可在不同機(jī)器上安裝 SQL數(shù)據(jù)庫、 IIS服務(wù)器、區(qū)域管理器、掃描器模塊等，此時推薦該計 算機(jī)內(nèi)存為 1G以上。 建議將區(qū)域管理器、掃描器、網(wǎng)頁管理平臺安裝在同一臺機(jī)器上，作為監(jiān)控服務(wù)器。 條件二：提供數(shù)據(jù)庫、 IIS服務(wù) 操作系統(tǒng) ： Windows 2020或 Windows 2020企業(yè)版操作系統(tǒng) 。 Mircosoft SQL Server軟件： 配備 SQL Server 2020或 SQL Server 2020數(shù)據(jù)庫系統(tǒng)，用于 北信源終端安全管理 建立管理信息庫數(shù)據(jù)庫列表項。 （注：以下均以 SQL Server 2020為例） IIS服務(wù)： 配備 IIS服務(wù)器提供 Web服務(wù)，用于安裝 Web網(wǎng)頁管理配置平臺。如 所裝操作系統(tǒng)為 Windows 2020 企業(yè)版，則需要按照 附錄（三） 的 Windows 2020 的 IIS 配置說明進(jìn)行 IIS配置。 條件三：為本系統(tǒng)提供相應(yīng)端口 北信源終端安全管理 產(chǎn)品 區(qū)域管理器將占用操作系統(tǒng) 88 端口，必須確保安裝區(qū)域管理器的機(jī)器該端口不被占用。區(qū)域內(nèi)的防火墻應(yīng)打開如下端口： 80 ， 88,2388， 2399 ，8901,8900,161,137,22105， 8889， 22106， 22108 以及 ICMP 協(xié)議。同時最好將 DNS 服務(wù)遷移至其它服務(wù)器。 10 22 安裝注意事項 軟件安裝時，推薦將區(qū)域管理器、掃 描器、數(shù)據(jù)庫安裝在同一臺機(jī)器上（以下稱為監(jiān)控服務(wù)器），建議按照下面要求進(jìn)行監(jiān)控服務(wù)器部署、軟件安裝、客戶端注冊。 221 軟件安裝監(jiān)控服務(wù)器部署注意事項 監(jiān)控服務(wù)器在網(wǎng)絡(luò)中放置位置注意點(diǎn) ? 確保該監(jiān)控服務(wù)器能夠 ping通所有被管理網(wǎng)絡(luò)中任意一臺客戶端機(jī)器，同時被管理客戶端可以正常連接服務(wù)器的 TCP的 80,88兩個端口。 ? 監(jiān)控服務(wù)器給客戶端下達(dá)策略的端口為： TCP端口 22105； ? 監(jiān)控服務(wù)器掃描發(fā)現(xiàn)客戶端利用以下協(xié)議及端口： ? ICMP協(xié)議（發(fā)現(xiàn) IP地址存在的其中一種方式）； ? NETBIOS協(xié)議 ,UDP端 口 137(為了發(fā)現(xiàn)機(jī)器名和 MAC地址 )； ? SNMP協(xié)議 ,TCP端口 161（為了發(fā)現(xiàn)智能設(shè)備如路由器、交換機(jī)等）； 在本地網(wǎng)絡(luò)中若劃分了 VLAN，或本地網(wǎng)絡(luò)存在防火墻，請注意上述問題。 存在網(wǎng)中子網(wǎng)（如經(jīng)過地址轉(zhuǎn)換）的網(wǎng)絡(luò)布置點(diǎn) 對于網(wǎng)絡(luò)中存在網(wǎng)中網(wǎng)現(xiàn)象，如采用 NAT 地址轉(zhuǎn)化或者代理方式在 10.*. *. *網(wǎng)絡(luò)中接入192.*. *. *網(wǎng)段，這些子網(wǎng)用戶的管理方式如下： 情況一：子網(wǎng)有專人管理，并且有獨(dú)立機(jī)房 應(yīng)在該子網(wǎng)中安裝一套完整的監(jiān)控系統(tǒng)。 情況二：子網(wǎng)無專人管理，或無獨(dú)立機(jī)房，可采用以下 3種方 式之一處理 ? 機(jī)器數(shù)量少的建議統(tǒng)一更改 IP為 10.*. *. * 網(wǎng)段。 ? 由管理員監(jiān)督子網(wǎng)中所有機(jī)器進(jìn)行注冊并保證不得遺漏。 ? 在該網(wǎng)絡(luò)中指定一臺工作站專門安裝區(qū)域管理器軟件和區(qū)域掃描模塊，并將區(qū)域管理器配置中 SQL服務(wù)器地址指向監(jiān)控服務(wù)器。 222 軟件安裝和應(yīng)用過程中注意事項 必須按照軟件安裝步驟進(jìn)行安裝 1）確認(rèn)本機(jī) IIS服務(wù)正常； 2）確認(rèn)本機(jī) SQL已正常安裝并能正常使用（以本地系統(tǒng)賬戶方式安裝）； 11 3）確認(rèn)目標(biāo)安裝盤剩余空間不小于 10G； 4）請務(wù)必按照指定順序安裝各個模塊； 5）請在區(qū)域掃描 模塊所在計算機(jī)中安裝 SNMP服務(wù)； 6）安裝完所有系統(tǒng)模塊后，請一定按照說明文檔進(jìn)行客戶端程序的配置及分發(fā)安裝。 監(jiān)控服務(wù)器的安全性問題 管理服務(wù)器安裝 Windows2020 Server操作系統(tǒng)（帶 IIS）、 MS SQL Server2020數(shù)據(jù)庫后，一定要確保對 Windows20 SQL 和 IE 進(jìn)行重要安全補(bǔ)丁修補(bǔ)，規(guī)范操作系統(tǒng)、數(shù)據(jù)庫的口令和密碼設(shè)置，保證 SQL、 IIS的正常啟動運(yùn)行。 確保本服務(wù)器無病毒，同時可配置本服務(wù)器網(wǎng)絡(luò)通訊端口僅打開： 80， 88， 6800， 8901，8900， 22105， 2388， 2399， 8889。 保護(hù)機(jī)制的應(yīng)用 對大多數(shù)交換機(jī)、路由器、非 Windows 設(shè)備，需要將其設(shè)置為保護(hù)狀態(tài)（避免被阻斷導(dǎo)致網(wǎng)絡(luò)不通），其它如有系統(tǒng)無法識別的重要設(shè)備，請在網(wǎng)頁管理平臺設(shè)備信息查詢中手動將其設(shè)置為保護(hù)狀態(tài)。 23 產(chǎn)品 組件安裝 安裝順序依次為： *安裝 SQL Server數(shù)據(jù)庫； *安裝 WinPcap驅(qū)動程序； *安裝并運(yùn)行環(huán)境初始化程序，初始化數(shù)據(jù)庫； *安裝網(wǎng)頁平臺并進(jìn)行劃分區(qū)域，配置區(qū)域 IP范圍、區(qū)域管理器參數(shù)、設(shè)備掃描器參數(shù) 等（推薦安裝在默認(rèn)路徑下）； *安裝區(qū)域 管理器（推薦安裝在默認(rèn)