北信源内网安全与补丁分发系统简单功能介绍

北信源现有产品

内网安全管理系统、补丁及文件分发管理系统、主机安全监控审计系统、终端安全登录与监控审计系统、移动存储介质使用管理系统、网络接入控制管理系统、电子文档安全管理系统、存储介质信息消除系统、北信源光盘刻录与监控审计系统、北信源计算机信息系统保密检查工具、安全U盘(专利技术)、接入认证网关、北信源上网行为管理系统、Intel vPro(AMT)管理支持系统、政务终端安全护理系统、信息安全管理通告平台、网站防护系统等系列产品。这些产品都是北信源的产品模块大多数都可以互相组合，下图是常见的几个模块的介绍

安装环境

Microsoft SQL Server2000、Windows 2000 Server、Internet 服务管理器；（建议将数据库管理系统、区域管理器、WEB管理平台安装在同一服务器上）

确认区域管理器所在机器的88端口不被占用（即非主域控制器）；防火墙应允许打开88，2388，2399，22105，8900，8901，22106，22108，8889端口。

特别提示：

在VRVVRVEISdownload目录中，使用RegTools.exe工具修改DeviceRegist.exe文件中的本地区域管理器IP

默认管理员用户：admin，密码：123456；系统指定审计用户名：audit,密码：123456。

对大多数交换机、路由器、非Windows设备，需要将其设置为保护状态（避免被阻断导致网络不通），其它如有系统无法识别的重要设备，请在网页管理平台设备信息查询中手动将其设置为保护状态。

北信源内网安全及补丁分发管理系统应用于局域网、广域网构架

客户端注册方法

网页动态注册

当网络中客户端计算机访问本网络内部网站时，在该主页代码中加入一段代码（如下）。本代码作用在于首先获得该客户端计算机的IP地址，再读取数据库里面相关IP地址的注册和其它相关信息，如果该IP地址的设备存在，系统会根据其是否完成“注册”、“信任”、“保护”三项操作进行判断，只要满足其中任意一条件，都不会提示注册，否则会弹出窗口提示注册。

网页加载弹出程序方法如下：编辑已有主页的源程序，在需要加载弹出窗口主页的源代码<body>中放入以下代码：

注意：需要将其中的http:// 192.168.0.253/vrveis/quest.asp换成http:// 安装内网安全管理网页平台计算机IP/vrveis/quest.asp即可，此时当网络中计算机访问该内部主页时，会自动弹出如下提示页面：

使用网页动态注册时，请管理员通知注册人，在访问本网站时，暂时关闭网页弹出拦截程序或将本网站添加到不拦截列表中。

客户端和区域管理器连接通讯不正常的情况下，将提示用户“缺省注册成功”，表示客户端探头已经注册完毕，但还没有与区域管理器通讯。当区域扫描器扫到该计算机的IP地址时，才会将添加的信息及系统采集信息上报到区域管理器，存储在数据库当中，建议去掉此选项。

客户端卸载

两种卸载方式一种是用卸载程序卸载（需要提供密码），另一种是利用在控制端卸载（不需要密码）

系统管理配置要点

区域划分与配置中的保留IP段为该网段目前没有网络设备存在的网段，如有设备存在，则会产生报警信息。

扫描器高级配置——系统配置：

扫描频率设定：用户可以根据网络中网络带宽占用情况，灵活设置扫描频率，同样可以选择是否“使用SNMP扫描”扫描方式，如果选择“使用SNMP扫描”，则系统能够自动对网络设备（例如交换机、路由器、网络打印机等）进行扫描，并自动登记到设备列表库中。

注册单位与注册部门产生联动

当对单位和注册部门设置为必填和仅选择这时客户端注册程序对单位和部门的填写只能按照管理员的设置来选择.不能手动填写。

策略管理中心

黑白名单编辑：

<1> 进程黑白名单：进程黑白名单在进程监控中可以使用

<2> 软件黑白名单：软件黑白名单在软件安装监控中可以使用

<3> URL黑白名单编辑：URL黑白名单在网络站点监控中可以使用

<4> 端口黑白名单编辑：端口黑白名单在监控中可以使用

硬件资源管理:

控制硬件外设的使用，启用或禁用光驱、软驱、USB移动存储、USB全部接口、打印机并行口、调制解调器、串行口、并行口、1394控制器、红外设备、蓝牙设备、PCMCIA卡、冗余硬盘、磁带机、冗余SCSI设备用。

控制各种硬件设备及接口的启用或禁用，如果只想禁止使用移动存储设备，也可以通过“行为管理及审计”策略中的“可移动存储审计”策略来实现，设置后保存策略。

进程及软件管理：

包括监控与限制已经安装的软件、监控正在运行的进程、限制运行的进程、保护启用的进程四个策略子项。

软件名要和控制面板中添加删除程序里的软件程序名一样

进程名：查找方式添加任务管理器查看到的就可以。

产品名称、（和）源文件名、查找方式找到安装源程序的快捷方式->点击右键->属性->选择版本->就可以查看到产品名称和源文件名。

服务名查找方式我的电脑右键->管理->服务与应用程序->服务->找到相应的服务点击右键->属性->即可看到服务名称。

接入认证策略：是指对接入设备的一种认证方式，主要包括安全认证策略及802.1X认证策略。

<1> 补丁与杀毒软件认证策略

<2> 进程服务注册表认证策略

<3> 802.1X接入认证策略

主机安全策略

<1> 用户密码策略

<2>用户权限策略,此策略生效需要重新启动注册客户端电脑

<3>防火墙策略

<4>注册表检查策略

<5>注册表保护策略

<6>IP与MAC绑定策略

<7>杀毒软件策略生效的条件是需要把杀毒软件的升级文件放到Regionmanage/distribute/anthverusupdate，目前支持的可升级的杀毒软件有北信源、macfee、瑞星、诺顿。

补丁分发策略

<1>补丁自动分发

<2>人工选择补丁分发

软件分发策略

<1>普通文件分发策略

违规外联策略

行为管理及审计

<1>文件输出审计策略

<2>文件保护及审计策略

<3>工作目录管理

<4>上网访问审计

<5>其他行为审计策略

涉密检查策略

<1>IE访问检查

<2>文件内容检查

可移动存储管理

可移动存储设备审计

机运维策略：

<1>运行资源监控策略

<2> 进程异常监控

<3>垃圾文件清理

<4> 系统自动关机

<5>自定义系统设置

流量管理策略

<1>流量采样策略

<2>流量控制策略

消息推送策略：

<1>消息推送策略

<2>消息推送扩展策略

备份策略

客户端文件备份

Intel vPro策略

Intel vPro设备检查策略

管理器策略

订阅级联审计数据

终端配置策略：

<1> 终端设置策略

<2> 终端代理扫描策略

组合策略

<1>组合策略分发

管理升级策略：

终端升级管理策略

按对象分配策略：

<1> 按设备分配

<2> 按用户组分配

<3> 按设备组分配

数据查询

1）本地注册情况统计:统计区域设备总数（区域范围内的所有机器）已注册设备数等。

2）本地设备资源统计：统计客户端设备资源的相关信息，包括（操作系统、CPU主频、设备内存等信息）。

3）本地设备类型统计：统计系统区域里设备类型的总数，包括（应用服务器、网络设备、其他设备等）。

4）USB标签制作查询：通过标签工具为U盘制定标签后，可以通过‘U盘编号、所属部门、使用人等相关信息，查询为U盘制作的标签的相关信息。

5)设备信息查询

6)注册设备资产查询

7)设备安装软件查询

8)设备首次运行进程查询

9)共享目录查询:需要对已经注册的客户端下发‘策略中心-终端设置策略-共享目录上报’才可以查看此信息。

10)设备IP占用状况列表

11)硬件变化设备查询:客户端注册时，已经把其硬件信息注册入库，如果客户端硬件有变化（增添或卸载），如：驱动程序、硬盘变化等，则可通过该查询条件查到

12)移动设备审计查询:查询事件内容包括设备接入、从移动设备拷入、拷出到移动设备。

13)上网访问审计:查询事件包括对上网的访问审计的记录。

14)文件输出查询:查询事件包括对打印文件输出，电子邮件输出，网络共享输出的审计。

15)文件保护审计:查询被保护文件的操作，包括访问文件、修改文件、删除文件等。

16)违规软件及进程:提供查询计算机设备软件及进程安装和使用情况，包括安装禁用软件、未安装必用软件、运行禁用进程等，提供各种类型的查询，如：单位名称、部门名称、所属区域等。

17)安全策略违规查询:查询事件内容包括注册表键值检测、系统弱口令、用户权限变化。

18)涉密检查查询:根据策略中心中配置的策略，进行包括IE访问涉密检查（IE缓存、IE清单、cookie信息、收藏夹），文件内容涉密等方面的查询。

19)消息确认查询:用户可以通过消息确认查询查看客户端接收到消息通知后的反馈信息。

20)软件分发查询:可查询软件分发是否成功及软件运行安装情况，并查询记录的分发时间及运行时间。

21)软件分发统计:对软件全网分发情况进行统计，并可以通过查询界面查看成功分发或失败分发的计算机信息，统计成功率。

终端控制

1.设备基本信息：点击设备基本信息可以直接获取该客户端的基本注册信息

2.终端进程管理：可以获取该客户端当前运行进程，并可以远程结束非系统进程。

3.终端服务管理：可以获取该计算机远程服务启动情况的信息，并可以对其服务启动方式进行远程设置。

4.终端端口管理：可以查看远程计算机连接协议类型、IP地址、端口号，并可以远程切断连接端口。

5.查看安装软件：可以查看客户端计算机实时安装的软件信息，并可以查看软件安装变更记录。

6.查看漏打补丁：实时查看客户端存在的系统漏洞及危险级别。

7.查看运行资源：远程查看客户端计算机的运行资源情况。

8.查看系统用户：可以查看远程客户端当前登陆用户和系统用户情况。

9.终端事件查看：可以获取远程客户端的系统信息、安全日志及应用程序日志。

10.硬件资产查看：远程查看客户端的实时硬件信息。

11.共享目录列表：远程查看该客户端所共享的资源及资源路径。

12.当前执行策略：可以远程查看客户端策略执行情况，并且可以重新同步客户端策略。

13.终端访问审计：远程实时审计客户端的访问情况。

行为控制

1.消息通知：对选定客户端计算机实时发送消息，并可以设定客户端是否做消息回馈操作。

2.运行程序：可以在服务器端强行指定客户端运行.EXE、COM、BAT等为后缀的程序，并可以设置成以服务或隐藏两种方式运行。

3.查杀病毒：提供全盘杀毒或制定某一目录杀毒，根据需要可以在杀毒前提示。

4.修改网络配置：可远程修改客户端计算机的名称、IP和DNS等网络配置。

5.断开网络连接：可以远程阻断客户端联网，并可自定义提示信息。

6.恢复网络连接：可以远程恢复客户端联网，并可自定义提示信息。

7.同步终端数据：通过同步客户端数据使客户端注册数据同服务器保持一致。

8.锁定键盘鼠标：远程锁定或解锁客户端键盘或鼠标的锁定状态，可以自定义提示信息。

9.重新注册：可以给客户端发送重新注册窗口，同时自定义提示信息，并可以同步终端注册信息。

10.终端升级：点击后可以发送要求客户端升级的命令，并进行远程对客户端探头进行升级。

11.终端卸载：点击后可以远程对客户端探头进行卸载。

12.关闭计算机：点击“提交处理”按钮后可以远程重新启动或关闭客户端计算机，可以设定计算机重启或关闭倒计时，并可在操作执行前进行提示。

VPro 远程管理

1. VPro 远程管理用户设置:设置AMT远程登陆管理的用户名和密码。

2. 开关机操作：可以远程对AMT机器进行开关机;设置开机引导模式从光盘,硬盘,安全模式等启动;以及在开关机时索定键盘,鼠标等外设。

3. 查看硬件资产：查看AMT机器的BIOS、操作系统、主板、内存、外设、多媒体设备的详细信息。

4. VPro远程设置：可以远程通过WEB页面来控制AMT机器。

远程协助

1.数据包分析支持：可启动数据包分析工具，对客户端进行全程数据包分析。

2.屏幕支持：可远程监控客户端屏幕。

运维信息

1.客户端流量排名：监测网络中客户端流量信息并进行排名，报警异常网络流量，能够对客户端进行流量报警。

2.客户端流量统计：根据流量统计满足各种条件（如：30分钟内最大值、当天最大值、本周最大值等）的计算机的IP、名称以及所属的区域名称等信息。

3.运维状态异常：根据运行资源异常、网络流量异常、运行进程异常等条件查询异常状态的客户端。

4.交换机端口管理：交换机端口管理模块可以对网络中可管理的交换机进行发现和管理，发现的信息包括交换机的IP地址、交换机名称、各端口的连接状态、每个端口下所连接的计算机和端口当前流量，管理方式包括对交换机端口进行开启或者关闭，发现和管理的方式都是通过SNMP协议来完成的，需要可管理交换机开启相应的管理协议，以图形加数字的形式直观的显示交换机的状态，方便管理员管理

5.网管帮助设置：通过网管帮助设置，填写姓名、IP地址、电话等相关信息，保存后选择“可用”即可在“呼叫帮助中心”请求网管员的帮助。

报警事件

北信源内网安全及补丁分发管理系统支持对于非法外联、设备变化、IP绑定变化、探头被卸载、流量异常、主机运维异常、网络异常、病毒行为等八种事件的报警。

1）阻断报警查询

2）IP与MAC绑定变化报警:根据策略中- IP与MAC绑定策略的设置，当IP、MAC绑定发生变化上报报警信息到服务器，在此支持查询。设置“未注册阻断功能”后，被阻断的设备即可在此查询到，同时策略里的阻断功能，如IP、MAC绑定策略的阻断记录，也可以在此查询。

3）违规外联违规报警：根据策略中心-违规外联策略的设置，客户端有报警信息时，在此即可查询。

4）设备变化报警：当设备发生变化时，如：计算机名称、CPU等设备变化时，则可在此查询。

5）流量异常报警：根据策略中心-流量管理策略设置，如客户端流量情况超出了定义值，则会有报警信息在服务器端。

6）探头卸载报警：主要是为了查看客户端注册程序情况的查询，若客户端有探头程序被卸载（正常情况的卸载），则可以通过服务器在此查看结果。

7）其他报警查询：主要上报客户端探头的存活信息，以及除以上没有报警的信息。

8）违规上网报警：检查客户端违规上网情况报警统计。

系统维护