需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。
《北信源内网安全及补丁分发管理系统》产品由《北信源内网安全管理系统》及《补丁分发管理系统》两大套件构成。
本使用手册为《北信源内网安全及补丁分发管理系统》通用说明书。
若您独立购买《北信源内网安全管理系统》或《北信源补丁分发管理系统》之一产品,本说明书的其它功能将不具备。
两大套件主要区别:《北信源补丁分发管理系统》不具备违规联网监控、客户端安全管理和桌面管理功能;《北信源内网安全管理系统》不具备补丁自动分发功能。
请您在使用过程中选择性阅读相应章节。
感谢您购买北京北信源自动化技术有限公司研制开发的内网安全管理及补丁自动分发系列软件。
请在使用本软件之前认真阅读本使用手册,当您开始使用该软件时,北信源公司认为您已经阅读了本使用手册。
快速阅读指南1.详细阅读本软件组件功能、组成、作用、应用构架,确切了解本软件的系统应用。
2.安装准备软件环境:MicrosoftSQLServer2000、Windows2000Server、Internet服务管理器;建议将数据库管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理器所在机器的88端口不被占用(即非主域控制器);防火墙应允许打开88,2388,2399,22105,8900,8901,22106,22108,8889端口。
3.按步骤安装各组件后,通过,首先对Web管理平台进行如下配置:添加区域→划分该区域IP范围→指定区域管理器→指定区域扫描器。
4.双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。
本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版),恕不另行通知。
本手册与本系统的安装配置手册中的所有图片均为示意图,请以实际产品为准。
本使用手册为北信源终端安全管理系列产品通用说明书。
若您独立购买《北信源内网安全管理系统》或《北信源补丁及文件分发管理系统》等其中之一产品,本说明书的其它功能将不具备。
感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理系列产品。
产品构架北信源终端安全管理产品由8部分组成:WinPcap程序、SQLServer管理信息库(安装包:环境初始化程序)、Web中央管理配置平台(安装包:网页管理平台)、区域管理器(安装包:RegionManage,原区域扫描器已作为模块集成到区域管理器)、客户端注册程序(安装包:注册程序)、补丁下载服务器、管理器主机保护模块、报警中心模块。
环境初始化程序SQLServer管理信息库,建立北信源终端安全管理产品的初始化数据库。
未经北京北信源软件股份有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。
免责条款本文档依据现有信息制作,其内容如有更改,恕不另行通知。
北京北信源软件股份有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京北信源软件股份有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。
vrv。
com。
2.详细阅读本软件组件功能、组成、作用、应用构架,确切了解本软件的系统应用。
3.安装准备软件环境:MicrosoftSQLServer2000、Windows2000Server、Internet服务管理器。
SQL安装注意事项请参照第二章2-3-1所示。
建议将数据库管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理器所在机器的88端口不被占用(即非主域控制器);防火墙应允许打开88,2388,2399,22105,8900,8901,22106,22108,8889端口。
5.双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。
6.在\VRV\VRVEIS\download目录中,使用RegTools.exe工具修改DeviceRegist.exe文件中的本地区域管理器IP,将修改后的注册程序DeviceRegist.exe放在机构网站上进行静态网页注册,或者在机构网站上加载动态网页检测注册脚本语句,进行动态设备注册。
7.系统升级:联系北信源公司获取最新的软件组件升级包,确保Web管理平台、区域管理器、客户端注册程序等组件的升级。
8.如果本说明书中的插图与实际应用的产品有出入,以实际产品为主。
特别提示:默认管理员用户:admin,密码:123456;系统指定审计用户名:audit,密码:123456请注意修改。
前言目前国内政府机关、军队、公安、保密部门、科研机构、金融、证券等企事业单位中的网络都具有相当的规模,网络中大量使用计算机及其它网络设备。
初始化的信息包括:网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册(未注册)机器信息、设备属性变化信息、报警信息等。
因此,终端桌面安全管理技术无论在现在还是未来都应当归入基础体系网络安全产品之列。
现代网络安全管理体系的日臻完善,使得对网络终端桌面安全管理的需求强烈凸现出来。
正确、全面地认识终端管理产品的发展趋势和技术特点,是IT研发厂商面临的发展抉择,同时也是企、事业IT管理人员和高层决策人员在进行终端桌面安全防护部署时必须考虑的议题。
近两年的安全防御调查也表明,政府、企业以及金融证券等单位中超过80%的管理和安全问题来自终端,计算机终端广泛涉及每个用户,由于其分散、不被重视、安全手段缺乏的特点,已使得终端安全成为信息安全体系的薄弱环节。
北信源内网安全管理系统北信源内网安全管理系统北信源内网安全管理系统可分为五个软件包组合销售,全方位地为网络用户提供安全管理功能。
这五个软件包具体为:基本产品包、终端桌面管理产品包、终端安全管理产品包、网络主机运维产品包、非法外联管理产品包。
基本产品包基本产品包主要包含终端基本管理、IT资产管理、事件报表及报警处置、第三方接口联动(可扩展)等功能。
行为网关以串联方式接入核心网行为网关以并联方式接入核心网【功能启用步骤】展开以网关为参照物,指对从外网经网关流入内网的用户流量进行分析,指对从内网经网关流出外网的用户流量进行分析。
当改变流量查询方向后,点按钮即可显示相应的图表。
点击其中的某个用户,即可对该用户的带宽应用进行深度钻取分析。
如下图:【功能启用步骤】展开选项;通过上图可以看到用户组总速率占用带宽排名前10的情况;通过上图表可以显示出用户组下载占用带宽排前十名的情况;以网关为参照物,行分析,当改变流量查询方向后,点通过以上图表可以显示出用户组上传占用带宽排前十名的情况。
勾选后,进行应用自动刷新,每10秒实时刷新一次应用数据。
北信源内网安全管理系统方案1XX单位内网安全管理系统解决方案北京北信源自动化技术有限公司2008年04月2目录目录(2)一、系统需求分析(3)1.1网络管理中面临的问题(3)1.1.1终端安全管理问题(3)1.1.2IP地址管理问题(4)1.1.3非法外联问题(4)1.1.4IT资产管理问题(4)二、内网安全解决方案(5)2.1系统部署和管理构架(5)2.2系统部署时的硬件配置(6)2.3终端节点加固(7)2.3.1可统一配置的主机防火墙(网管控制包过滤)(7)2.3.2弱口令监控(8)2.3.3用户权限变化监控(8)2.3.4关键进程加固(9)2.3.5注册表加固(9)2.4终端全面管理(10)2.4.1IP地址管理(10)2.4.2IP、MAC地址绑定(12)2.4.3禁止修改网关、禁用冗余网卡(12)2.4.4IT资产管理(13)2.4.5终端桌面管理(17)2.4.6终端安全管理(25)2.4.7网络主机运维监控(27)2.4.8非法外联行为监控(28)2.4.9普通文件分发(28)三、预计可达到的效果(29)3一、系统需求分析网络管理中面临的问题随着信息技术的发展,网络安全问题已不再只是外部攻击和简单的病毒防护。
当企业花费大量资金和精力构建起庞大的网络架构和安全防护体系时,殊不知,威胁企业生存和发展的是来自内部网络的安全隐患,而且其危害远大于一次黑客攻击或一次病毒骚扰。
据FBI和CSI曾对484家公司进行的网络安全调查结果显示:超过85%的安全威胁来自公司内部,由于内部人员泄密所导致的资产损失高达6000多万美元,它是黑客所造成损失的16倍、病毒所造成损失的12倍。
XX单位已经建立了比较完善的网络管理行政制度,但是以往在网络管理工作因为缺少相对应的技术手段,网络管理制度无法得以落实,致使管理员的日常维护工作繁琐,同时还有信息泄密的风险。
一个成熟的网络安全管理理念应该是全方面的主动防御,而不是事后责任追查。
目前单位自身内部网络分为以下几种类型:1、办公网:企事业单位中的普通办公网络、公司企业网,它们通过有限出口接入Internet网络;2、内部专网:政府办公网、金融运营网及各系统重要的实时网络,该种网络一般为内部专用网络,此类网络同外部网络采取物理隔离的方式实现相互独立;3、保密网:政府机关、军队、公安、保密部门的内部机密安全网络,一般采用专门的网络通道,要求具有绝对的内网隔离度。
尽管以上大多数用户采用了专门的网络通道技术、物理隔离技术、安全网段划分、安全防护设施(如防火墙、入侵检测、漏洞扫描)等方式保证自己的网络安全,但是,对类似下面的安全问题仍然无法做到真正意义上的解决:1、如何发现终端设备的系统漏洞并自动分发补丁;2、如何防范移动设备随意接入内网;3、如何防范内网设备违规进入外网;4、如何管理终端资产并真正控制、管理终端设备的运行;5、如何制订整体安全策略并全网执行;6、如何管理控制终端设备的数据流;7、平台、安全平台等诸多设备如何衔接并统一管理。
北信源终端安全管理产品VRVEDP(Enterprisedeskplanning)能够完全解决上述网络安全管理工作中遇到的常见问题。
VRVEDP系统强化对网络计算机终端的控制,管理内容包括:资源资产、终端安全策略、桌面风险审计、补丁检测分发、终端运行状态监控以及终端行为审计等。
北信源终端安全管理产品提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能,对它们管理的盲区进行监控,成为一个实时的安全监控系统,并能够同其它网络安全设备或网络安全系统进行安全集成和报警联动。
北信源终端安全管理产品针对网络管理工作中遇到的实际管理需求,进行网络安全资源规划,如防止移动设备非法接入内部网络、IP资源分配管理、静态IP同MAC地址的绑定、提供设备资源登记及硬件设备(硬盘、CPU、内存等)变化报警、进行内部网络连接阻断等功能。
同时,为有效解决网络中计算机非法接入和非法外联问题,VRVEDP系统提供实时监控的强大功能,即实时报警以及实时切断非法计算机同内网的连接。
北信源终端安全管理产品通过Web方式对整个系统进行应用策略配置,管理网络和查询报警数据,方便用户操作,有效防范不安全因素对内部网络构成的威胁,真正做到内部网络的完全安全管理。
北信源终端安全管理产品支持基于局域网、广域网的国家—省—市—县多级级联管理模式。
第一章.产品介绍1-1产品构架北信源终端安全管理产品由8部分组成:WinPcap程序、SQLServer管理信息库(安装包:环境初始化程序)、Web中央管理配置平台(安装包:网页管理平台)、区域管理器(安装包:RegionManage,原区域扫描器已作为模块集成到区域管理器)、客户端注册程序(安装包:注册程序)、补丁下载服务器、管理器主机保护模块、报警中心模块。
环境初始化程序:SQLServer管理信息库,建立北信源终端安全管理产品的初始化数据库。
扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比,根据规则要求在管理平台上报警。
Web管理平台:Web中央管理配置平台,本系统的管理配置中心。
包括区域管理器、扫描器、注册客户端的功能参数设定,网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。
RegionManage:区域管理器,系统数据处理中心,负责与管理信息数据库通讯扫描终端设备、控制服务器、客户端之间的信息、指令的下达、接受。
比如:接收注册程序提供的用户信息,将用户信息(用户填写的物理信息和系统自动采集的硬件信息)并行存入数据库;接受来自控制台的命令操作,发送到客户端、扫描器执行。
对于存在多级管理要求的广域网,网络中可以存在多个区域管理器,实现系统数据逐级上报(转发),对网络终端的多级管理。
区域管理器内置网络扫描器,扫描器用来发现网络的终端设备。
将发现的设备信息交由区域管理器处理。
、设备最新状态信息报送至区域管理器,由区域管理器处理后,同数据库中原有信息进行遍历搜索对比,根据管理规则在管理平台上报警。
扫描器配合区域管理器进行工作,可以在分级模式下使用。
扫描器只依据Web管理平台中配置的工作范围进行扫描,如果终端IP超越其范围,将不负责执行操作。
WinPcap程序:嗅探驱动软件,监听共享网络上传送的数据。
客户端注册程序:将接收并执行服务器下发的指令。
该程序可以在“工具下载->用户注册器下载”处下载。
注册程序自动探测系统硬件信息,连同用户填写的信息一同上报区域管理器。
用户将本机注册信息发送到区域管理器后,区域管理器自动将客户端驻留程序应用策略发送给用户,并自动更新。
客户端驻留程序功能:1.进行本机硬件属性信息变化监视;2.进行本机IP、MAC地址变化审计;3.本机系统补丁、软件安装、运行进程状况监测;4.探测本机是否有违规联网行为,在内网管理中心或外网报警平台报警;5.接受Web管理平台的管理命令;6.阻断本机非法外联行为;7.执行Web管理平台下发的各种策略操作。
补丁下载服务器:安装在与Internet网络连接的机器上,用于实时下载补丁厂商发布的补丁。
管理器主机保护模块:管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协议、通信IP范围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置,从而防止该计算机受到恶意的IP冲突以及各种网络、病毒攻击。
报警中心模块:安装在可与区域管理器所在服务器正常通讯的计算机上,本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、信使服务、SNMPTrap、手机短信等多种报警方式。
注:区域管理器(RegionManage)、区域扫描器模块(Regionscan)、注册程序部分系统的参数配置集中体现在网页管理平台操作上,上述三部分功能参数、功能项数值统一在网页管理平台中进行配置。
区域管理器(RegionManage)、扫描器模块(Regionscan)部分参数在自身程序组件中配置。
1-2应用构架北信源终端安全管理应用于局域网、广域网构架,支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。
系统应用主要分为以下两种构架:基本构架:对于一般网络(例如1个C类地址或若干个C类地址的局域网范围),可使用一套本系统软件,通过一个管理器集中管理所属区域内的所有设备。
扩展构架:对于大规模的多个局域网或者跨地域广域网(包括基于国家、省、市、县等多级管理模式的网络结构),可使用本系统提供的多区域集中管理构架,即一个或多个网段各拥有一套独立北信源终端安全管理的同时,将本级所有设备信息再转发给上级管理数据库,使得上一级管理人员对整个网络的设备状况也能够完全掌握。
图1-1北信源终端安全管理应用拓扑第二章.产品安装2-1安装环境条件一:硬件环境SQLServer数据库服务器:用于安装系统管理信息数据库。
PC服务器或更高档服务器,PentiumⅣ2.4C以上CPU,512M以上内存。
区域管理器:用于安装区域管理器程序。
百兆或千兆网卡,PC服务器或更高档服务器,PentiumⅣ2.4C以上CPU,512M以上内存。
扫描器模块:配置同区域管理器。
如单独安装扫描器模块,比较高档的PC计算机即可。
本系统各程序可安装在同一台计算机上,也可在不同机器上安装SQL数据库、IIS服务器、区域管理器、扫描器模块等,此时推荐该计算机内存为1G以上。
建议将区域管理器、扫描器、网页管理平台安装在同一台机器上,作为监控服务器。
条件二:提供数据库、IIS服务操作系统:Windows2000或Windows2003企业版操作系统。
MircosoftSQLServer软件:配备SQLServer2000或SQLServer2005数据库系统,用于北信源终端安全管理建立管理信息库数据库列表项。
(注:以下均以SQLServer2000为例)IIS服务:配备IIS服务器提供Web服务,用于安装Web网页管理配置平台。
如所装操作系统为Windows2003企业版,则需要按照附录(三)的Windows2003的IIS配置说明进行IIS配置。