北信源内网安全管理系统用户使用手册.docx

1、北信源内网安全管理系统用户使用手册Newly compiled on November 23, 2020北信源内网安全管理系统用户使用手册北信源内网安全管理系统用户使用手册北京北信源软件股份有限公司二一一年支持信息在北信源内网安全管理系统使用过程中，如您有任何疑问都可以通过访问我公司网站或者致电我司客服中心获得帮助和支持！热线支持：400-8188-110客户服务电话：在您使用该产品过程中，如果有好的意见或建议的话也请联系我们的客服中心，感谢您对我公司产品的信任和支持！正文目录图目录表目录第一章概述特别说明北信源终端安全管理系列产品由北信源内网安全管理系统、北信源补丁及文件分发管理系统、北信源

2、主机监控审计系统、北信源移动存储介质使用管理系统、北信源网络接入控制管理系统及北信源接入认证网关6大套件构成。本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版)，恕不另行通知。需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。本手册与本系统的安装配置手册中的所有图片均为示意图，请以实际产品为准。本使用手册为北信源终端安全管理系列产品通用说明书。若您独立购买北信源内网安全管理系统或北信源补丁及文件分发管理系统等其中之一产品，本说明书的其它功能将不具备。感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理系列产品。请在使用本软件之前认真阅

3、读本使用手册，当您开始使用该软件时，北信源公司认为您已经阅读了本使用手册。产品构架北信源终端安全管理产品由8部分组成：WinPcap程序、SQL Server管理信息库（安装包：环境初始化程序）、Web中央管理配置平台（安装包：网页管理平台）、区域管理器(安装包：Region Manage，原区域扫描器已作为模块集成到区域管理器)、客户端注册程序（安装包：注册程序）、补丁下载服务器、管理器主机保护模块、报警中心模块。环境初始化程序SQL Server管理信息库，建立北信源终端安全管理产品的初始化数据库。初始化的信息包括：网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、

4、注册（未注册）机器信息、设备属性变化信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比，根据规则要求在管理平台上报警。网页管理平台（web管理平台）Web中央管理配置平台，本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定，网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。Region Manage区域管理器，系统数据处理中心，负责与管理信息数据库通讯扫描终端设备、控制服务器、客户端之间的信息、指令的下达、接受。比如：接收注册程序提供的用户信息，将用户信息（用户填写的物理信息和系统自动采集的硬件信息）并行存

5、入数据库；接受来自控制台的命令操作，发送到客户端、扫描器执行。对于存在多级管理要求的广域网，网络中可以存在多个区域管理器，实现系统数据逐级上报（转发），对网络终端的多级管理。区域管理器内置网络扫描器，扫描器用来发现网络的终端设备。将发现的设备信息交由区域管理器处理。、设备最新状态信息报送至区域管理器，由区域管理器处理后，同数据库中原有信息进行遍历搜索对比，根据管理规则在管理平台上报警。扫描器配合区域管理器进行工作，可以在分级模式下使用。扫描器只依据Web管理平台中配置的工作范围进行扫描，如果终端IP超越其范围，将不负责执行操作。Winpcap程序嗅探驱动软件，监听共享网络上传送的数据。客户端注

6、册程序将接收并执行服务器下发的指令。该程序可以在“工具下载-用户注册器下载”处下载。访问指定网站自动获得，用户填写必要的信息后，运行该程序，区域管理器将收到注册终端的相关信息，同时终端可以接收、执行各种下发的指令。注册程序自动探测系统硬件信息，连同用户填写的信息一同上报区域管理器。用户将本机注册信息发送到区域管理器后，区域管理器自动将客户端驻留程序应用策略发送给用户，并自动更新。客户端驻留程序功能：进行本机硬件属性信息变化监视；进行本机IP、MAC地址变化审计；本机系统补丁、软件安装、运行进程状况监测；探测本机是否有违规联网行为，在内网管理中心或外网报警平台报警；接受Web管理平台的管理命令；

7、阻断本机非法外联行为；执行Web管理平台下发的各种策略操作。补丁下载服务器安装在与Internet网络连接的机器上，用于实时下载补丁厂商发布的补丁。管理器主机保护模块管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协议、通信IP范围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置，从而防止该计算机受到恶意的IP冲突以及各种网络、病毒攻击。报警中心模块安装在可与区域管理器所在服务器正常通讯的计算机上，本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、信使服务、SNMP Trap、手机短信等多种报警方式。应用构架北信源终端安全管理应用于局域网

8、、广域网构架，支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。系统应用主要分为以下两种构架：基本构架：对于一般网络（例如1个C类地址或若干个C类地址的局域网范围），可使用一套本系统软件，通过一个管理器集中管理所属区域内的所有设备。扩展构架：对于大规模的多个局域网或者跨地域广域网（包括基于国家、省、市、县等多级管理模式的网络结构），可使用本系统提供的多区域集中管理构架，即一个或多个网段各拥有一套独立北信源终端安全管理的同时，将本级所有设备信息再转发给上级管理数据库，使得上一级管理人员对整个网络的设备状况也能够完全掌握。图1- 1北信源终

9、端安全管理应用拓扑第二章北信源内网安全管理系统策略中心策略管理中心策略的使用策略的创建和分发1.在“策略管理中心”中左侧的策略项中点击需要制定的策略，然后在右侧的【策略名】中输入相应的策略名称，单击【创建新策略】按钮开始创建策略。图2- 1创建新策略注：在策略的定义中使用了一些特别的关键字符，这些特殊的字符不应该在策略内容中出现。否则可能会出现无法预料的系统错误。 这些字符包括：策略下发查询(2)终端管理-终端管理-当前执行策略注：策略分发间隔默认为1分钟；有的策略需要重新启动生效，请看每条策略的具体说明。具有审计功能的策略，审计数据可以在“数据查询审计数据查询”中查看。黑白名单编辑进程黑白名

10、单进程黑白名单在“进程监控”策略中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。编辑进程黑白名单时包括：进程名、产品名、源文件名等；如果是服务则只可以加服务名，同时可以加一些描述。软件黑白名单软件黑白名单在“软件安装监控”策略中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。URL黑白名单编辑URL黑白名单在“上网访问审计”策略、“上网控制策略”中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。端口黑白名单编辑端口黑白名单在“协议防火墙策略”中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。硬件设备控制硬件设备控制功能说明：控制各种硬件设备及接口的启用

11、或禁用，如果只想禁止使用移动存储设备，也可以通过“可移动存储审计”策略来实现。参数说明：参数说明不处理、启用、禁用本策略中所能控制的硬件，都需要能够在windows系统设备管理器中进行禁止和启用。例外选择【启用】时将禁用例外中的设备，选择【禁用】时将启用例外中的设备，【不处理】选项保持原来的状态无变化，提高系统管理性能，如果对某项不关心可以选择该项。例外设备添加方法：右击我的电脑属性硬件设备管理器，出现设备列表。该策略控制叠加到之前的策略基础之上选中此项时：如果有多条此类策略，终端执行效果将是多条策略设置叠加后执行的效果。如果不选择该项，终端只支持单独一条策略，新下发的策略将覆盖原来的策略配置

12、。取消对设备管理器的的拦截操作默认情况下下发该策略后将禁止用户在设备管理器里启用/禁用任何设备，如果取消则可以在设备管理器里启用/禁用设置为不处理的设备。审计结果处理上报服务器：就是将审计记录上报到服务器并进行记录。当客户端脱离网络时无法上报到服务器就记录到本地，等客户端接回网络时再上报到服务器。记录到本地文件：会在本地生成文件记录审计信息。起到在本地备份的作用。表2- 2硬件设备控制参数说明注意事项：1如果要对原来禁用的设备启用，最好是明确的为该设备制定一条启用策略。2禁用u盘、软驱、光驱等一部分功能，在行为管理与审计策略中的可移动存储审计策略中也可完成，功能上没有什么区别，用户可以根据自己

13、的习惯，自行设定。策略实例：允许使用光驱，但是禁止使用刻录光驱。比如有两个光盘驱动器，分别为：Generic DVD-ROM SCSI CdRom Device 和 MATSHITA UJDA745 DVD/CDRW。从文字显示上可以看出后面一个驱动器为刻录光驱，如果要禁止刻录光驱，则可以将光驱项设置为允许，在【例外】中输入MATSHITA UJDA745 DVD/CDRW或其中的一部分，只要能通过该标志确认是一个可刻录光驱即可。 因为基本上可刻录光驱都带有CDRW字样，【例外】中可以输入CDRW。多个例外之间用分号(;)（英文半角格式）分隔，如下图所示：图2- 4硬件设备控制进程及软件管理软

14、件安装监控功能说明：用于监控客户端安装的软件是否违规并对违规行为做出相应的处理。参数说明：参数说明软件名设置需要进行控制的软件名称，填入需要监控的软件名称后，点选【添加控制】按钮，如果想要控制更多的软件，输入软件名称后，继续点选【添加控制】按钮，以此类推，可以继续添加需要控制的软件。同一类软件可以使用具体的策略，包括“禁止安装软件”、“必须安装软件”、“允许安装软件”三个选项，这个具体选择可以根据管理员的需要自行设定。如果想要取消对某个软件的控制，请在列表处选定软件的名称，然后点击【删除控制】按钮。还可以添加系统定义的黑名单和自定义的黑名单，并分别配置违规处理措施、高级设置项。其他软件处理当选

15、中“允许安装软件”，再勾中“除以上列表的软件外，安装了其他任何软件都视为违规项”，表示只允许安装列表中的软件，安装其他软件均视为违规，即实现对软件安装的限制功能。当选中“控制状态”是“禁止安装软件”，同时选中【其他软件处理】复选框，那么安装任何软件都是违规的。以上软件安装违规处理指选定的对象如果违反了上述的软件安装监控策略的处理方法。不处理方式，是指不处理违反策略的对象，但是，相关的违规记录可以在Web管理器中查询。仅提示方式，是指当选定对象的用户如果违反了策略，将在客户端弹出管理员设置的提示信息。断开网络方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行断离网络

16、的处理，同时，该计算机弹出管理员设定的提示信息。表2- 3软件安装监控策略参数说明策略实例： 图2- 5软件安装监控策略注意事项：1“软件名”要和控制面板中添加删除程序里的软件程序名一样，该功能支持模糊查询技术，例如在要检查是否安装了QQ，可能因为各种版本不一样，在“添加删除程序”里显示的是QQ2004或QQ2005，这时您可以只输入QQ。2静默卸载功能不支持模糊匹配，需要填写跟添加删除程序中的名称完全相同。3为了维护方便，建议管理员将施行安装或禁止安装的需求不同的软件，放在不同的策略中管理，如果同一软件在不同策略中的设置不同，那么，取最后一个策略设置为准。4本策略设置时，建议在高级设置，策略

17、触发方式中，选中启动时触发和间隔触发选中，间隔时间10分钟左右。进程执行监控功能说明：用于监控客户端运行的进程，并做相应处理。先添加需要监控的进程信息，再配置违规处理措施。参数说明：参数说明进程/服务名需要进行监控的进程或服务名称，进程的名称可以从windows的任务管理器的进程菜单中查询。填入需要监控的进程名称后，点选【添加控制】按钮，如果想要控制更多的进程，输入进程名称后，继续点选【添加控制】按钮，以此类推。进程名获取方法：右击任务栏选择“任务管理器”。“进程/服务名”处也可填写“*”，例如，进程/服务名：*，产品名称：Microsoft Office 11 Professional，控制

18、状态：必须运行，即表示必须运行Microsoft Office 11 Professional产品的所有进程。产品名称需要进行监控的产品的名称，产品的名称可以从需要监控的文件，鼠标右键点击需要监控的可执行文件，从其中的产品名称中看到，填入需要监控的产品名称后，点选【添加控制】按钮，如果想要控制更多的产品名称，输入产品名称后，继续点选【添加控制】按钮，以此类推。源文件名需要进行监控的具体可执行程序的名称，源文件名可以通过鼠标右键点击可执行文件找到。填入需要监控的源文件名称后，点选【添加控制】按钮，如果想要控制更多的源文件，输入源文件名称后，继续点选【添加控制】按钮，以此类推。可以设置更多的需监控

19、项目。控制状态针对具体的进程、产品、源文件，具体的控制状态有三种，包括“禁止运行”、“必须运行”和“允许运行”，这个具体选择可以根据管理员的需要自行设定。如果想要取消对某个软件的控制，请在列表处选定具体的进程、产品、源文件的名称，然后点击【删除控制】按钮。其他进程处理选中“允许运行”并勾中“除以上列表的进程外,不允许其他进程执行”，则表示只允许进程列表中的进程运行，其他进程均视为违规，即实现对进程运行的限制功能。以上各种情况的违规处理指选定的对象如果违反了上述的监控策略的处理方法。关机方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行2分钟后自动关机的处理，同时，

20、该计算机弹出管理员设定的提示信息。表2- 4进程执行监控策略参数说明策略实例： 图2- 6进程执行监控策略注意事项：1进程名称、产品名称、源文件名之间是“或”的关系，填入其中一项或多项均可实现监控功能，其中，产品名称，主要用于监控一系列软件的使用，比如说，qq不同版本的程序名不一样，但是产品名称是相同的。源程序名的作用，主要是为了防止可执行程序被人手动修改名称而避过安全系统的管理策略。2本策略设置时，建议在高级设置-策略触发方式中，选中启动时触发和间隔触发，间隔时间5分钟左右。3启动路径为全路径或系统默认路径。进程保护策略功能说明：设置需要保护的用户进程，防止被保护的进程被非法关闭。策略实例：

21、图2- 7进程保护策略注意事项：1这里的进程保护是指使用windows任务管理器和一般的应用程序无法终止该程序。2这里的被保护进程，仍然可以在策略中心的“进程执行监控”中进行终止，请管理员注意相关策略的设置。主机安全策略用户密码策略功能说明：此策略可以对系统的本地密码策略、本地帐户锁定策略、系统屏保进行设置，同时可以检测系统密码弱口令，除系统自定义的弱口令外，用户可以自己添加自定义弱口令集。参数说明：参数说明检测到系统弱口令后当系统检测到客户端采用了弱口令后可以采用“上报”、“提示”两种方式，即上报给区域管理器或者根据管理员设置的提示信息给客户端发出提示。附加弱口令列表根据各单位名称等不同，自

22、己添加需要探测的弱口令，每个弱口令之间用,分隔。表2- 5用户密码策略参数说明注意事项：1在windows系统密码策略中，策略是指密码的长度。2“弱口令检查”与“本地账户锁定策略”不能同时设置，否则弱口令用户可能会被锁定，无法使用！也不能对同一台计算机分配两个这样的策略。3检测系统弱口令，原理是使用每个列表中的弱口令来尝试登录计算机，它并不修改任何windows系统文件，本策略不会造成任何的计算机不稳定状态。4用户密码策略：只适用于标准版操作系统，番茄花园版不支持；系统屏保设置：重启后生效；弱口令列表需要手动添加。用户权限策略功能说明：检查系统用户、系统用户组的权限的改变和系统用户、系统用户组

23、的增加或减少。 当以上的某一条件符合时，则弹出相应的提示信息。根据需要，在相应的菜单中选择上报或者在客户端提示的报警方式，还有两种报警方式同时启用的方式，如果选择中有提示信息选项，将在客户端弹出管理员设定的提示信息窗口。注意事项：1本策略的各项均在Windows系统控制面板中的“用户与密码”项或者控制面板中的管理工具文件夹里的计算机管理程序中的用户菜单来实现的，本策略只提供相应的监测功能，不对您的修改进行限制。协议防火墙策略功能说明：本策略是基于各种网络协议的原理和各种网络软件对网络的实际应用，用来控制各种网络使用和计算机端口的使用，起到防火墙的作用。参数说明端口连接控制规则协议类型计算机可以

24、进行很多网络应用，各种应用都是基于网络上服务器提供的服务。不同的服务是采用不同的端口提供的，通过这种端口的方式，计算机才可以与外界进行互不干扰的通信。Tcp/udp协议，网络通信协议，基本上所有的网络服务都使用它们作为通信的标准。系统在这里通过控制计算机的端口和相应的网络协议，对计算机用户的网络操作进行监管。我们可以通过在windows下的dos窗口输入“netstat a”命令来查看本机打开的端口和各种端口正在被哪种服务使用的，且这个服务使用的是哪种协议。同时，我们也可以通过软件相关的说明文档得到这些信息。我们在端口处填入我们查询到的需要控制的软件使用的端口，在协议选择下拉菜单中选择相应的t

25、cp/udp协议。“本地端口”和“远程端口”两个选项，其中，本地端口是指在网络的使用中，本地计算机使用的端口，如果选择这个选项，则在本策略的对象范围内的计算机无法启动使用该端口的服务；远程端口是指在网络的使用中，本地计算机可以启动本服务，但是无法访问远程计算机提供相应服务的端口。管制方式“禁用填充项中指定端口，开放其他端口”选项是指仅禁用在上边填写的端口和其所对应的服务，同时开放其他所有的端口，使其可以使用网络服务。“禁用填充项中指定端口”选项是指仅禁用填充项中的端口和其所对应的服务，并不改变其他端口目前的状态。“开放填充项中指定端口，禁用其他端口”是指，仅开放在上边填写的端口和其所对应的服务

26、，同时关闭其他所有的关口和网络服务，“开放填充项中指定端口”是指开放在上边填写的端口和其相对应的服务，并不改变其他端口目前的状态。选定需要的选项后，点击“添加端口连接控制规则”按钮，所设定的控制将出现在页面下端的控制列表中。ICMP协议控制规则指系统对ICMP协议的控制，主要是通过判断计算机间的互相通信是否正常来判断的。一般来说，只要执行MS-DOS窗口下的ping命令即可系统对icmp协议的控制，主要是通过判断计算机间的互相通信是否正常来判断的。一般来说，只需要执行ms-dos 窗口下的ping命令即可。“禁止ping入”是指不允许其他计算机（包括局域网计算机和远程计算机）用ping命令来检

27、测本地计算机通信状态。“禁止ping出”是指不允许设置的对象客户机用ping命令来检测其他计算机（包括局域网计算机和远程计算机）的通信状态。“禁止双向”同时禁止任意两台计算机（至少有一台是本地计算机）的通信检测。设定好后，点击“添加icmp协议控制规则”按钮，所设定的控制将出现在页面下端的控制列表中。IP访问控制规制ip地址输入需要限制网络使用的计算机的ip地址或ip地址范围。管制方式“只允许填充项中ip地址访问自己，禁止其余ip地址访问”是指，在设定的ip地址范围内的计算机，每台计算机能使用策略生效范围内的计算机的网络资源，其他的计算机无法访问该策略范围内的计算机。“只允许自己访问填充项中i

28、p地址，禁止访问其余ip地址”是指，本策略生效范围内的计算机只能访问在设定的ip地址范围内的计算机的网络服务，不能访问其他计算机提供的网络服务。设定好后，点选“添加ip访问控制规则”，所设定的控制将出现在页面下端的控制列表中。以上各种选项在设定后，如果需要去掉，只要在控制列表中，点选，然后点击下边的“删除规则”按钮。超级IP指的是本IP不受上边制定的所有策略的限制。默认内网管理服务器IP为超级IP超级端口指本端口和所对应的服务不受上边制定的所有策略的限制表2- 6协议防火墙策略参数说明策略实例：如下图所设置的一个样例表示：只开放本地计算机的80端口；只允许该IP地址段中的IP访问本地计算机；禁止其他计算机ping入。图2- 8协议防火墙策略注意事项：1此策略需要管理员对网络协议和计算机端口有一定的认识，请慎重制定。通过对端口和协议对计算机用户的网络操作进行监管。注册表检查策略功能说明：监测客户端的注册表内容和该内容的设定值，防止注册表被病毒或其他恶意程序修改，起到对计算机的安全防护作用。参数说明：参数说明注册