【正文】 圖432。圖4323行為控制（查殺病毒）：可遠(yuǎn)程修改客戶端計(jì)算機(jī)的名稱、IP和DNS等網(wǎng)絡(luò)配置。圖4321 行為控制（消息通知）：、COM、BAT等為后綴的程序，并可以服務(wù)或隱藏執(zhí)行兩種方式運(yùn)行。圖43113 當(dāng)前執(zhí)行策略：遠(yuǎn)程實(shí)時(shí)審計(jì)客戶端的訪問情況。圖43111 終端管理（硬件資產(chǎn)查看）：遠(yuǎn)程查看該客戶端所共享的資源及資源路徑。圖4319 終端管理（查看系統(tǒng)用戶）：可以獲取遠(yuǎn)程客戶端的系統(tǒng)信息、安全日志及應(yīng)用程序日志。圖4317 終端管理（查看漏打補(bǔ)?。哼h(yuǎn)程查看客戶端計(jì)算機(jī)的運(yùn)行資源情況。圖4315終端管理（終端端口管理）：可以查看客戶端計(jì)算機(jī)實(shí)時(shí)安裝的軟件信息，并可以查看軟件安裝變更記錄。圖4313終端管理（運(yùn)行進(jìn)程審計(jì)）3．終端服務(wù)管理：可以獲取該計(jì)算機(jī)遠(yuǎn)程服務(wù)啟動(dòng)情況信息。`圖431 終端控制管理`圖4311 終端控制：點(diǎn)擊設(shè)備基本信息可以直接獲取該客戶端基本注冊信息。圖429 安全策略違規(guī)查詢頁面4210消息確認(rèn)查詢用戶可以通過消息確認(rèn)查詢查看客戶端接收到消息通知后的反饋信息。圖426 IP資源使用統(tǒng)計(jì)427硬件變化查詢客戶端注冊時(shí)，已經(jīng)把其硬件信息注冊入庫，如果客戶端硬件有變化（增添或卸載），則可通過該查詢條件查到。可以用于對病毒、木馬、黑客程序等進(jìn)程的查詢。圖4231 軟件查詢界面圖4232 軟件查詢配置在“軟件查詢設(shè)置”中設(shè)定必須安裝的軟件、禁止安裝軟件、必須執(zhí)行的進(jìn)程、禁止執(zhí)行的進(jìn)程等主程序名稱的特征字符串，添加后保存。圖4212客戶端數(shù)據(jù)查詢422注冊資產(chǎn)查詢對已經(jīng)注冊的設(shè)備進(jìn)行設(shè)備資產(chǎn)查詢，提供多個(gè)復(fù)合條件查詢。421設(shè)備信息查詢查詢信息包括計(jì)算機(jī)所屬區(qū)域、部門、使用人、設(shè)備IP、MAC、注冊、重新注冊、信任、保護(hù)、阻斷、開機(jī)、殺毒軟件、殺毒廠商、系統(tǒng)等信息。圖41151 策略下載查詢42數(shù)據(jù)查詢數(shù)據(jù)查詢是根據(jù)內(nèi)網(wǎng)安全及補(bǔ)丁分發(fā)管理系統(tǒng)工作的結(jié)果，向管理員提供對網(wǎng)絡(luò)設(shè)備信息、網(wǎng)絡(luò)劃分信息、網(wǎng)絡(luò)中相關(guān)的設(shè)備安全狀態(tài)信息的綜合查詢。圖41141 按設(shè)備分配2按設(shè)備組分配：可以為自定義的用戶添加策略，并且可以顯示為每一組自定義的用戶下發(fā)的策略，并且可以編輯和或取消該策略。其中各個(gè)子策略都必須為啟用狀態(tài)。圖41112 終端代理掃描策略12）管理器策略該功能用于在級聯(lián)的情況下，設(shè)置下級服務(wù)器向上級上報(bào)的消息類別?！霸O(shè)備安裝多操作系統(tǒng)”：當(dāng)功能啟用時(shí)，只可以啟用原啟用列表中默認(rèn)的系統(tǒng)選項(xiàng)?！敖壎ㄕ_網(wǎng)關(guān)防止ARP欺騙攻擊”：防止ARP病毒對網(wǎng)關(guān)的欺騙?！安呗愿轮芷凇敝付蛻舳税丛O(shè)置間隔時(shí)間進(jìn)行更新。）“進(jìn)程信息上報(bào)”將終端系統(tǒng)運(yùn)行進(jìn)程情況上報(bào)服務(wù)器?！把a(bǔ)丁信息上報(bào)”： 將終端補(bǔ)丁安裝信息上報(bào)到服務(wù)器?！白远xARP阻斷設(shè)置”中選中單選框是，則可設(shè)置每次發(fā)送ARP欺騙包的間隔時(shí)間和持續(xù)時(shí)間。“同步終端時(shí)間”中選中單選框是，可同步客戶端時(shí)間為服務(wù)器時(shí)間。間隔時(shí)間默認(rèn)值為120分鐘，最小值為3分鐘。圖4191 消息推送10）備份策略客戶端文件備份：對選定用戶計(jì)算機(jī)的指定文件進(jìn)行備份在“文件/目錄(全路徑)”中輸入文件/目錄的全路徑。并發(fā)連接可疑或發(fā)包可疑的前提是客戶端總流量走出設(shè)定。圖4174 系統(tǒng)自動(dòng)關(guān)機(jī)8）流量管理策略1流量采樣策略：管理員可根據(jù)所屬單位的具體情況來配置流量采樣閾值和并發(fā)連接數(shù)量，如有符合條件者將可以在“運(yùn)維監(jiān)控”中的“客戶端流量統(tǒng)計(jì)”中查詢到。圖4172 進(jìn)程異常監(jiān)控3 垃圾文件清理：指定文件清理目錄，再根據(jù)清理文件類型條件進(jìn)行文件清理。選擇好以后；點(diǎn)擊“添加進(jìn)程”，進(jìn)程名稱將出現(xiàn)在意外退出進(jìn)程監(jiān)控的列表中，重復(fù)上述操作，可添加多個(gè)監(jiān)控的進(jìn)程。進(jìn)程名可以在windows任務(wù)管理器的進(jìn)程菜單下查看。如果有進(jìn)程需要取消監(jiān)控，在未響應(yīng)窗口監(jiān)控的列表中點(diǎn)選該進(jìn)程名，點(diǎn)擊刪除進(jìn)程即可。選擇具體需要的操作：“上報(bào)”：將情況上報(bào)給區(qū)域管理器；“結(jié)束進(jìn)程”：在客戶端結(jié)束該進(jìn)程；“結(jié)束并重新啟動(dòng)進(jìn)程”：在客戶端先結(jié)束進(jìn)程，然后再啟動(dòng)該進(jìn)程。① 未響應(yīng)窗口監(jiān)控在相應(yīng)的“監(jiān)控窗口名”處填入需要監(jiān)控的進(jìn)程名。本策略主要針對服務(wù)器和重要主機(jī)而設(shè)計(jì)的，網(wǎng)管人員十分關(guān)心服務(wù)器和重要主機(jī)的運(yùn)行狀況,如CPU、內(nèi)存、硬盤等關(guān)鍵硬件的信息就能直接反映它們的運(yùn)行情況，用戶可以根據(jù)管理情況定制報(bào)警策略。圖416 上網(wǎng)控制策略注意：這種限制上網(wǎng)的方式只能限制通過域名訪問站點(diǎn)的上網(wǎng)方式，對直接用IP訪問的對象沒有效果。6）行為管理及審計(jì)1上網(wǎng)控制策略：對指定用戶訪問的網(wǎng)站進(jìn)行限制，在站點(diǎn)名處填入需要控制的網(wǎng)址域名，點(diǎn)擊添加站點(diǎn)。斷開網(wǎng)絡(luò)并關(guān)機(jī)(需解鎖)：斷開網(wǎng)絡(luò)并且關(guān)機(jī)，以保護(hù)網(wǎng)絡(luò)安全，計(jì)算機(jī)需要解鎖。斷開網(wǎng)絡(luò)：對違規(guī)的客戶端進(jìn)行斷開網(wǎng)絡(luò)處理，使其與本網(wǎng)絡(luò)斷開連接。D、“探頭發(fā)現(xiàn)設(shè)備違規(guī)后的處理方式”：進(jìn)行設(shè)備帶入帶出網(wǎng)絡(luò)監(jiān)控，規(guī)定網(wǎng)絡(luò)中客戶端無論在網(wǎng)內(nèi)連接還是獨(dú)立接入其它網(wǎng)絡(luò)時(shí)所采取的處理措施。 如下圖所示制訂了一條違規(guī)外聯(lián)策略：圖4151違規(guī)外聯(lián)策略設(shè)置 當(dāng)執(zhí)行該策略的客戶端有違規(guī)外聯(lián)事件發(fā)生時(shí)，客戶端將彈出管理員設(shè)置的提示信息，如下圖所示：圖4152 違規(guī)提示涉密內(nèi)部網(wǎng)絡(luò)用戶（例如重點(diǎn)金融涉密網(wǎng)絡(luò)、重要政府機(jī)關(guān)涉密網(wǎng)絡(luò)）網(wǎng)絡(luò)要求：此類網(wǎng)絡(luò)具有絕對嚴(yán)格的隔離度，未經(jīng)允許的任何移動(dòng)設(shè)備（筆記本電腦等）均不能接入涉密內(nèi)部網(wǎng)絡(luò)，同時(shí)不允許內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)非法接入外部網(wǎng)絡(luò)?！安捎锰綔y外網(wǎng)方法”和 “客戶端所限定使用的網(wǎng)段”這兩種方法，是并列的，單獨(dú)使用其中的一種或者兩種同時(shí)使用都可以滿足您的需要?！翱蛻舳怂薅ㄊ褂玫木W(wǎng)段”是指，設(shè)定一個(gè)IP范圍，如果客戶端訪問的ip地址超過了在這個(gè)范圍，也視為本機(jī)違反策略。如果使用本策略的話，必須點(diǎn)選“允許探頭進(jìn)行違規(guī)聯(lián)網(wǎng)監(jiān)控”選項(xiàng)和“采用探測外網(wǎng)方法”兩個(gè)選項(xiàng)。圖4147 殺毒軟件策略5）違規(guī)外聯(lián)監(jiān)控1防違規(guī)外聯(lián)策略：監(jiān)視違規(guī)網(wǎng)絡(luò)連接（modem撥號、雙網(wǎng)卡、代理等），并對違規(guī)行為做出相應(yīng)的處理，檢測計(jì)算機(jī)（在本策略的對象中設(shè)定的）的網(wǎng)絡(luò)使用是否符合制定的原則，對不符合原則的計(jì)算機(jī)進(jìn)行處理。殺毒軟件升級設(shè)置：用于自動(dòng)升級殺毒軟件。選中“主機(jī)IP保護(hù)”可防止其它設(shè)備使用與本機(jī)相同IP地址而造成的地址沖突。6） 適合操作系統(tǒng)：根據(jù)對象的計(jì)算機(jī)操作系統(tǒng)狀況進(jìn)行選擇具體的操作系統(tǒng)。4） 鍵值：在注冊表右邊窗口中的數(shù)據(jù)標(biāo)題下的內(nèi)容就是鍵值，可以將需要查詢的鍵值輸入到策略平臺的響應(yīng)空白處。2） 鍵名：在注冊表窗口中，右邊窗口中的名稱標(biāo)題下的內(nèi)容就是鍵名。出現(xiàn)注冊表窗口，在左邊窗口顯示的就是注冊表項(xiàng)的名稱，可以用鼠標(biāo)右鍵點(diǎn)擊制定策略需要的注冊表項(xiàng)，選擇“復(fù)制項(xiàng)名稱”。圖4144 注冊表監(jiān)控策略注意：如果有軟件在安裝和運(yùn)行之前就要禁止其修改注冊表的話，請查閱該軟件的相關(guān)文檔中有關(guān)程序和進(jìn)程的說明〈5〉注冊表檢查策略：監(jiān)測選定用戶（本策略的對象）計(jì)算機(jī)的注冊表內(nèi)容和該內(nèi)容的設(shè)定值，防止注冊表被病毒或其他惡意程序修改，起到對計(jì)算機(jī)的安全防護(hù)作用。通過該策略可以有效的防止違規(guī)進(jìn)程對用戶注冊表的破壞。監(jiān)控計(jì)算機(jī)的一些程序進(jìn)程對注冊表的修改。如下圖所設(shè)置的一個(gè)樣例表示：只開放本地計(jì)算機(jī)的80端口；；禁止其他計(jì)算機(jī)ping入。超級IP指的是本IP不受上邊制定的所有策略的限制。3) “禁止ping出”是指不允許設(shè)置的對象客戶端機(jī)器用ping命令來探測其他計(jì) 算機(jī)（包括局域網(wǎng)計(jì)算機(jī)和遠(yuǎn)程計(jì)算機(jī)）的通信狀態(tài)。一般來說，只要執(zhí)行MSDOS窗口下的ping命令即可。本地計(jì)算機(jī)使用的端口 如果選擇這個(gè)選項(xiàng)。通過對端口和協(xié)議對計(jì)算機(jī)用戶的網(wǎng)絡(luò)操作進(jìn)行監(jiān)管。圖4142 用戶權(quán)限策略〈3〉協(xié)議防火墻策略：本策略是基于各種網(wǎng)絡(luò)協(xié)議的原理和各種網(wǎng)絡(luò)軟件對網(wǎng)絡(luò)的實(shí)際應(yīng)用，用來控制各種網(wǎng)絡(luò)使用和計(jì)算機(jī)端口的使用，起到防火墻的作用。圖4141 用戶密碼策略 〈2〉用戶權(quán)限策略：檢查系統(tǒng)用戶、系統(tǒng)用戶組的權(quán)限的改變和系統(tǒng)用戶、系統(tǒng)用戶組的增加或減少。②這里的被保護(hù)進(jìn)程，仍然可以在策略中心的軟件及進(jìn)程監(jiān)控中進(jìn)行終止，請管理員注意相關(guān)策略的設(shè)置。圖4133 進(jìn)程執(zhí)行監(jiān)控4 進(jìn)程保護(hù)：根據(jù)需要，設(shè)置需要保護(hù)的用戶進(jìn)程，防止被保護(hù)的進(jìn)程被非法關(guān)閉，先填入要屏蔽的進(jìn)程名，再點(diǎn)擊添加進(jìn)程可以添加；選擇要?jiǎng)h除的進(jìn)程名，點(diǎn)擊刪除進(jìn)程，刪除不需屏蔽的進(jìn)程，保證正常進(jìn)程的運(yùn)行。產(chǎn)品名稱、（和）源文件名、查找方式找到安裝源程序的快捷方式點(diǎn)擊右鍵屬性選擇版本就可以查看到產(chǎn)品名稱和源文件名。然后設(shè)置好“控制狀態(tài)”后，單擊“添加控制”按鈕即可完成禁止或必須的進(jìn)程。 3 進(jìn)程執(zhí)行監(jiān)控：用于監(jiān)控客戶機(jī)運(yùn)行進(jìn)程，并做相應(yīng)處理。同時(shí)可以設(shè)置對哪些進(jìn)程和文件名例外。屏蔽選定用戶(在本策略的對象中設(shè)定的)計(jì)算機(jī)的一些需要控制的軟件安裝行為。還可以添加系統(tǒng)定義的黑名單和自定義的黑名單，并分別配置違規(guī)處理措施，高級策略項(xiàng)，最后保存策略。圖4121 硬件設(shè)備控制策略3）進(jìn)程及軟件管理包括監(jiān)控已經(jīng)安裝的軟件、限制即將安裝的軟件、監(jiān)控正在運(yùn)行的進(jìn)程、保護(hù)運(yùn)行的進(jìn)程四個(gè)策略子項(xiàng)1 軟件安裝監(jiān)控：用于監(jiān)控客戶機(jī)安裝的軟件是否違規(guī)并對違規(guī)行為做出相應(yīng)的處理。圖4114 設(shè)置端口黑白名單2）硬件設(shè)備控制：1硬件設(shè)備控制：控制硬件外設(shè)的使用，啟用或禁用光驅(qū)、軟驅(qū)、USB移動(dòng)存儲、USB全部接口、 打印機(jī)并行口、串行口、并行口、1394控制器、紅外設(shè)備、藍(lán)牙設(shè)備、PCMCIA卡、冗余硬盤、磁帶機(jī)、冗余SCSI設(shè)備、PCI無線網(wǎng)卡、普通網(wǎng)卡。圖4112 設(shè)置軟件黑白名單3 URL黑白名單編輯：URL黑白名單在網(wǎng)絡(luò)站點(diǎn)監(jiān)控中可以使用,這部分包含系統(tǒng)預(yù)定義黑名單和用戶自定義黑白名單。編輯進(jìn)程黑白名單時(shí)包括，進(jìn)程名，產(chǎn)品名，源文件名等；如果是服務(wù)則只可以加服務(wù)名，同時(shí)可以加一些描述。：該功能意思是僅在區(qū)域管理范圍內(nèi)有效。樣板模版：級聯(lián)策略發(fā)到下級管理器時(shí)，下級管理員對策略內(nèi)容不能修改，但是可以修改該策略的對象和啟動(dòng)、停用狀態(tài)。策略無效時(shí)間段：即策略以分為單位的無效的時(shí)間段。策略存活時(shí)間范圍：即策略以天為單位的存活時(shí)間段。 策略狀態(tài)：制定策略的風(fēng)險(xiǎn)系數(shù)。n 策略的高級設(shè)置策略的高級設(shè)置用于客戶端程序?qū)Σ呗缘膱?zhí)行設(shè)置，包括策略狀態(tài)（啟動(dòng)、停止）、策略存活時(shí)間（策略執(zhí)行的起止時(shí)間）、策略執(zhí)行觸發(fā)條件（在何種條件下開始執(zhí)行策略）、策略無效時(shí)間（規(guī)定時(shí)間內(nèi)客戶端不執(zhí)行策略）、策略應(yīng)用范圍（本級區(qū)域、下級區(qū)域、所有區(qū)域）、級聯(lián)策略類型等，有些策略還包括具體的觸發(fā)時(shí)間設(shè)置等。如果想要?jiǎng)h除某一條策略，則直接按“刪除”按鈕即可。（由于各個(gè)策略項(xiàng)的配置過程都不一樣，這里不再用截圖表示，下一節(jié)將具體介紹）（3）接下來是下發(fā)策略，即指定策略的執(zhí)行對象，可通過單擊“對象”按鈕后，可按界面的提示完成對象的分配。第四章 北信源內(nèi)網(wǎng)安全管理系統(tǒng)41策略中心n 如何進(jìn)行策略創(chuàng)建和分發(fā)（1）在“策略管理中心”中左邊的策略項(xiàng)中可點(diǎn)擊需要制定的策略，然后在右邊的“新建策略名”中輸入相應(yīng)的策略名稱后，單擊“創(chuàng)建”按鈕開始創(chuàng)建策略。配置文件和密鑰文件：需要登錄到防火墻并獲取配置文件和密鑰文件。阻斷方向：分為“單向阻斷”和“雙向阻斷”兩種方式，選擇默認(rèn)“雙向阻斷”進(jìn)行配置即可。詳細(xì)配置方法如下：圖3223 區(qū)域管理器中的阻斷設(shè)定打開web管理平臺中的“系統(tǒng)配置”界面，選擇“阻斷配置”選項(xiàng)，選中如圖所示的“防火墻阻斷”，然后進(jìn)行防火墻阻斷選項(xiàng)的配置：阻斷協(xié)議：通過選擇阻斷協(xié)議，進(jìn)行有針對的對“TCP”、“UDP”、“ICMP”或所有數(shù)據(jù)包進(jìn)行阻斷，選中為防止防火墻內(nèi)部用戶通過該協(xié)議同外部網(wǎng)絡(luò)進(jìn)行通訊。防火墻阻斷：利用同防火墻的通訊功能，由防火墻對網(wǎng)絡(luò)中客戶端進(jìn)行阻斷，禁止防火墻內(nèi)部的客戶端同防火墻外部的客戶端的通訊，包括協(xié)議阻斷、端口阻斷（0表示全部端口）、方向阻斷（單向：防火墻內(nèi)客戶端訪問不了防火墻外客戶端；雙向：防火墻內(nèi)外網(wǎng)客戶端同時(shí)不能訪問）。在Web中央管理平臺中進(jìn)行阻斷操作前，必須在這里進(jìn)行設(shè)置，否則無效。3222 手動(dòng)設(shè)置針對設(shè)備的單獨(dú)阻斷策略系統(tǒng)除整體區(qū)域應(yīng)用阻斷策略以外，系統(tǒng)管理員還可通過手動(dòng)設(shè)置對網(wǎng)絡(luò)中的任意一臺計(jì)算機(jī)采取單獨(dú)阻斷策略，其方法為進(jìn)入數(shù)據(jù)查詢里面的設(shè)備列表頁面中，查看其是否被設(shè)為阻斷的狀態(tài)，或者單擊其設(shè)備信息，進(jìn)入到下一級頁面中對其阻斷狀態(tài)的進(jìn)行更改，實(shí)現(xiàn)策略的應(yīng)用。區(qū)域管理器阻斷配置：沒有注冊則阻斷，網(wǎng)絡(luò)中大部分計(jì)算機(jī)注冊完畢后，可以開啟本功能。設(shè)備默認(rèn)口令為public，在配置時(shí)依實(shí)際情況而定，如果有多個(gè)SNMP口令存在與網(wǎng)絡(luò)中，那么把口令全部寫到輸入框中，口令間用‘；’分隔；選擇“SNMP重新生效”可以立刻重新進(jìn)行一次SNMP掃描。步驟如下：配置管理掃描器配置配置。存儲空間匱乏報(bào)警：系統(tǒng)會(huì)根據(jù)服務(wù)器上數(shù)據(jù)庫的所在盤符會(huì)自動(dòng)生成，管理員如要設(shè)置該盤小于多少時(shí)報(bào)警。圖3171系統(tǒng)監(jiān)控設(shè)置界面用戶登錄鎖定：用來設(shè)定在多少時(shí)間內(nèi)登陸，連續(xù)登錄失敗的次數(shù)，鎖定時(shí)間。圖3154 添加IP/MAC綁定316 IP與MAC綁定列表添加、查詢系統(tǒng)IP與MAC綁定設(shè)備列表如下圖（數(shù)據(jù)來源在自定義組里可以按IP操作系統(tǒng)等添加一個(gè)自定義組）。同時(shí)還可以通過設(shè)備信息查詢，和補(bǔ)丁查詢中來添加設(shè)備。如下圖所示：圖 3151 自定義組分配與管理