北信源补丁管理系统手册.doc

北信源补丁管理系统使用说明书 北京北信源自动化技术有限公司二零零五年三月特 别 声 明本使用手册为北信源补丁分发管理系统产品安装、操作配置说明文档(V6.0)，其内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版)，恕不另行通知。需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。感谢您购买北京北信源自动化技术有限公司研制开发的补丁管理系列软件。请在使用本软件之前认真阅读本使用手册，当您开始使用该软件时，北信源公司认为您已经阅读了本使用手册。快速阅读指南1、 详细阅读本软件组件功能、组成、作用、应用构架，确切了解本软件的系统应用。 2、 安装准备环境：MicrosoftSQLserver2000、Windows2000 server、IIS服务器;建议将数据库、区域管理器、扫描器、WEB管理平台安装在同一机器上,确认区域管理器所在机器88端口不被占用（即非主域控制器）。防火墙应打开2388，2399，88端口。3、 按步骤安装各组件后，通过http:/*.*.*.*/vrveis 登录web管理平台，首先对web管理平台进行如下配置：添加区域划分该区域IP范围添加区域管理器扫描器。4、 点击屏幕右下角区域管理器、扫描器进行通讯参数配置。5、 修改VRVVRVEISdownload目录中下DeviceRegist.exe中的watchclient.ini文件，改为本地区域管理器的IP，将修改后的注册程序DeviceRegist.exe投放到机构网站上进行静态网页注册，或者在机构网站上加载动态网页检测注册脚本语句，进行动态注册设备。6、 阻断功能实现：要求在扫描器安装根目录VRVRegionScan下增加一个SendArp.ini文件（安装母盘提供），在扫描器组件的系统配置中选中“扫描器阻断”功能项，完成上述工作后，系统中的各种规则阻断、单独客户端阻断才能生效。7、 系统升级：联系北信源公司获取最新的软件组件升级包，确保web、区域管理器、扫描器、客户端注册程序等组件的升级。特别提示：admin登录口令缺省为123456一定要改掉。目 录第一章系统介绍51-1产品组成51-2应用构架7第二章系统安装82-1安装环境82-2安装注意事项92-3系统组件安装11第三章补丁管理系统功能说明25第四章补丁管理系统工作方式简述30第五章北信源补丁管理软件各组件运行描述32第六章补丁管理系统操作使用356-1区域管理器补丁管理设置356-2补丁自动下载分发366-3客户端补丁检测（一）416-4客户端补丁检测（二）436-5本地补丁分发综合查询446-6补丁级联下载45第七章系统备份及系统升级477-1系统数据库数据备份及还原477-2系统组件升级477-3级联管理模式升级及配置49第八章售后服务51第一章系统介绍1-1产品组成北信源补丁分发管理软件由七部分组成：SQLserver管理信息库（安装包：环境初始化程序）、WEB中央管理配置平台（安装包：网页管理平台）、区域管理器(安装包：RegionManage)、设备扫描器(安装包：RegionScan)、客户端注册程序（安装包：注册程序）、WinPcap程序、补丁下载服务器等。环境初始化程序：SQLserver管理信息库，建立补丁分发管理软件的初始化数据库。包括：网络客户端设备属性信息，区域管理器信息、设备扫描器信息、区域管理范围信息，注册（未注册）机器信息，设备属性变化信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比，根据规则要求在管理平台上报警。网页管理平台：WEB中央管理配置平台，本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定，网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。RegionManage：区域管理器，系统数据处理中心。与管理信息数据库通讯，接收注册程序提供的用户信息，将用户信息（用户填写的物理信息和系统自动采集的硬件信息）并行存入数据库；接受来自控制台的命令操作，发送到客户端、扫描器执行。对于存在多级管理要求的广域网，网络中可以存在多个区域管理器，系统数据提供逐级上报（转发）模式。RegionScan：设备扫描器，扫描网络中主机状态。查看是否已经安装注册程序，巡检网络设备状态变化信息，及时通知客户端驻留程序更新应用参数。对客户端的违规行为的阻断也是由扫描器在接收控制台命令后执行。扫描器配合区域管理器进行工作，可以在分级模式下使用。扫描器只依据WEB管理平台中配置的工作范围进行扫描，超越其范围，将不负责执行操作。WinPcap程序：嗅探驱动软件，监听共享网络上传送的数据。客户端注册程序：用户访问指定网站自动获得，用户填写本机信息，填写必要信息后上报区域管理器。注册程序自动探测系统硬件信息，连同用户填写的信息一同上报区域管理器。用户将本机注册信息发送到区域管理器后，区域管理器自动将客户端驻留程序应用策略发送给用户，并自动更新。客户端驻留程序功能：1. 进行本机硬件属性信息变化监视；2. 进行本机IP、MAC地址变化侦测；3. 本机系统补丁、软件安装、运行进程状况监测；4. 接受Web管理平台的管理命令；5. 阻断本机非法外联行为；6. 执行web管理平台下发的各种策略操作。补丁下载服务器：安装在与Internet网络连接的机器上，用于实时下载补丁厂商发布的补丁。注：区域管理器（RegionManage）、扫描器（Regionscan）、注册程序部分系统的参数配置集中体现在网页管理平台操作上，上述三部分功能参数、功能项数值统一在网页管理平台中进行配置。区域管理器（RegionManage）、扫描器（Regionscan）部分参数在自身软件组件中配置。1-2应用构架北信源补丁分发管理软件应用于局域网、广域网构架，支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。系统应用主要分为以下两种构架：基本构架：对于一般网络（例如1个C类地址或若干个C类地址的局域网范围），可使用一套本系统软件，集中管理所属区域内的所有设备。扩展构架：对于大规模的多个局域网或者跨地域广域网（包括基于国家、省、市、县等多级管理模式的网络结构），可使用本系统提供的多区域集中管理构架，即一个或多个网段各拥有一套独立补丁分发管理软件的同时，将本级所有设备信息再转发给上级管理数据库，使得上一级管理人员对整个网络的设备状况也能够完全掌握。图1-1补丁分发管理软件应用拓扑第二章系统安装2-1安装环境条件一：硬件环境SQLserver数据库服务器：PC服务器或更高档服务器，Windows2000操作系统，Pentium 700 以上CPU，256M以上内存；区域管理器：用于安装区域管理器程序。要求：Windows2000操作系统，百兆网卡，基本配置：Pentium 500，256M以上内存，建议配置：Windows2000操作系统，Pentium 700 CPU，256M以上内存。扫描器：配置同区域管理器。本系统不同程序可安装在同一台计算机上，也可在不同机器上安装SQL数据库、IIS服务器、区域管理器、扫描器等，此时要求该计算机内存为512M以上。建议将区域管理器、扫描器、网页管理平台安装在同一台机器上，作为监控服务器。条件二：提供数据库、IIS服务SQLserver7.0/2000软件：配备SQLserver数据库系统，用于补丁分发管理软件建立数据库列表项。IIS服务：配备IIS服务器提供WEB服务，用于安装WEB网页管理配置平台。条件三：为本系统提供相应端口补丁分发管理软件区域管理器将占用操作系统88端口，必须确保安装区域管理器的机器该端口不被占用。区域内的防火墙应打开如下端口：80，88,2388，2399，8800,8900,161,137,22105以及ICMP协议。用户也可以根据实际情况修改本系统应用端口（区域管理器、扫描器）。2-2安装注意事项软件安装时，建议将区域管理器、扫描器、数据库安装在同一台机器上（以下称为监控服务器），建议按照下面要求进行监控服务器部署、软件安装、客户端注册。2-2-1软件安装监控服务器部署注意事项1、监控服务器在网络中放置位置注意点确保该监控服务器能够ping通所有被管理网络中任意一台客户端机器，同时被管理客户端可以正常连接服务器的TCP的80,88两个端口。监控服务器给客户端下达策略的端口为：TCP端口22105；监控服务器扫描发现客户端利用以下协议及端口：ICMP协议（发现IP地址存在的其中一种方式）；NETBIOS协议,UDP端口137(为了发现机器名和MAC地址)；SNMP协议,TCP端口161（为了发现智能设备如路由器、交换机等）；在本地网络中若划分了VLAN、或本地网络存在防火墙，请注意上述问题。2、存在网中子网（如经过地址转换）的网络布置点对于网络中存在网中网现象，如采用NAT地址转化或者代理方式在10.*.* .*网络中接入192.* .* .*网段，这些子网用户的管理方式如下：情况一：子网有专人管理，并且有独立机房应在该子网中安装一套完整的监控系统。情况二：子网无专人管理，或无独立机房，可采用以下3种方式之一处理机器数量少的建议统一更改ip为10.* .* .*网段。由管理员监督子网中所有机器进行注册并保证不得遗漏。在该网络中指定一台工作站专门安装区域管理器软件和区域扫描软件，并将区域管理器配置中SQL服务器地址指向监控服务器。2-2-2软件安装和应用过程中注意事项1、必须按照软件安装步骤进行安装1）确认本机IIS服务正常；2）确认本机SQL已正常安装并能正常使用（以本地系统账户方式安装）；3）确认目标安装盘剩余空间不小于10G；4）请务必按照指定顺序安装各个模块；5）安装完所有系统模块后，请一定按照说明文挡进行客户端程序的配置及分发安装。2、监控服务器的安全性问题管理服务器安装Windows2000 Server操作系统（带IIS）、MSSQL Server2000数据库后，一定要确保对Windows2000、SQL和IE 进行重要安全补丁修补，规范操作系统、数据库的口令和密码设置，保证SQL、IIS的正常启动运行。确保本服务器无病毒，同时可配置本服务器网络通讯端口仅打开：80，88，6800，8800，8900，22105，2388，2399。3、保护机制的应用对交换机、路由器、非Windows设备在网页配置中将其设置为保护状态。对有些机房重要服务器，若网管认为一定不会发生非法外联（物理隔离网络中）现象无需注册的，可将其进行保护。2-3系统组件安装安装顺序依次为：*安装SQLserver数据库；*安装并运行环境初始化程序，初始化数据库；*安装网页平台并进行划分区域，配置区域IP范围、区域管理器参数、设备扫描器参数等（要求必须安装在默认路径下，用于实现自动升级）；*安装区域管理器（要求必须安装在默认路径下，用于实现自动升级）；*安装WinPcap驱动程序，安装设备扫描器（要求必须安装在默认路径下，用于实现自动升级）；*通知所有客户下载并运行注册客户端代理探头程序；（若该系统需要探测涉密网络客户端是否外联，则可以选择在外网的固定IP机器上安装北信源违规联网监控外网监控服务器端，同时也可以在内网WEB管理平台上查看报警信息，此外网监控服务器端为非必选程序）。2-2-1安装SQL server数据库 略，见附录一。2-2-2初始化数据库初始化数据库是在SQL数据库中初始化建立VRVEIS数据库并生成系统必需的相关数据表格，在此过程中需要利用本地数据或者调用远程SQL数据库，用户需要根据实际安装情况按以下两种方式进行操作：n 本地SQL数据库服务器环境初始化1)环境初始化，建立初始数据库；在SQL服务器地址栏中添加本地机器IP地址、SQL用户名、以及SQL用户密码。图 2-12)检查数据库初始化是否成功； 图2-2当有如图“初始化数据库结构成功”提示框弹出时，说明已成功创建初始化数据库。否则会出现如下图所示提示信息。图2-3如果出现如上图所示提示信息，用户需要检查所填入的SQL数据库IP地址、用户名、以及用户密码，重新初始化数据库。n 远程SQL数据库服务器环境初始化（建议非特殊情况不采用远程方式）1)输入远程数据库信息，配置SQL客户端：安装远程数据库需要首先输入远程数据库IP地址、用户名称、用户密码，然后点击“配置SQL客户端”，出现如下界面。图2-42)在通用栏中，启用TCP/IP协议：在通用栏中，选用TCP/IP协议，并启用，然后单击别名，进行别名添加设置。图2-53)进行客户端别名的添加；单击上图中所圈中的别名，出现如下所示：图2-64)进行网络库的选择和服务器别名的添加；此时用户需要首先选择网络库，选定为TCP/IP，服务器别名根据用户需要自由添加，点击确定后完成数据库初始化。2-2-3安装WinPcap驱动程序在安装光盘中找到WinPcap安装文件，安装在区域扫描器所在计算机上。2-2-4安装WEB中央管理平台n 安装WEB中央管理平台此部分程序要求安装在默认路径下，安装过程中请确保信息填写正确，否则，WEB服务器将不能正确访问SQL server数据库。n WEB中央管理平台访问WEB管理平台安装以后在IIS目录上以虚拟目录的形式存在，虚拟目录名称为VRVEIS，用户在安装完成以后，用http:/web服务器域名（ip）/vrveis的形式访问WEB管理平台主页面。默认用户名为admin，密码为123456。如果http:/web服务器域名（ip）/vrveis访问无效的话以http:/web服务器域名（ip）/vrveis/index.asp方式登录。2-2-5安装配置区域管理器RegionManage在WEB中央管理平台中的划分区域及指定区域管理器后（参见WEB中央管理平台配置说明）安装区域管理器组件。安装后进行以下两项配置：n SQL客户端配置如果“区域管理器”没有同SQL装在同一台服务器上，需要在如下图所示窗口中将默认网络库选择为“TCP/IP”，使客户端能够远程访问数据库。选择菜单的第二项“配置”中的SQL客户端，也可以通过Alt+s热键，进入配置。图2-7上述配置完毕以后，需要重新启动“区域管理器”，系统生效。n 区域管理器系统配置SQL服务器配置：进入“系统配置”，逐步输入SQL服务器IP地址、SQL用户、sa名称、sa用户密码、数据库名称VRVEIS，完成“SQL服务器配置”。图2-8管理器配置：本软件默认机器操作系统88端口，若其它应用程序占用该端口，将自动更改为188，用户根据实际情况选用其它端口（同步要求对扫描器配置进行端口修改）。如果区域管理器应用于多级管理（每级都有独立的SQL server和相应的补丁分发管理平台）的级联构架体系，其上级还有区域管理器的情况下，当前区域管理器需要将所有信息上报到上级管理器。区域管理器支持多级关联，如国家、省、市、县多级规模网络管理构架，下属区域管理器将其所有计算机报警信息转报到上级数据库。阻断配置：略，见第五章：客户端阻断。报警过滤：本软件系统提供对多种违规变化行为的报警：非法外联、设备未登记、ip绑定变化、设备变化、探头被卸载、病毒行为报警等。本地报警种类过滤：仅对本地网络补丁分发管理软件管理范围内的违规变化行为进行报警显示，用户根据自身管理要求进行筛选。软件分发：系统支持对各种应用软件的分发，在web中央管理平台进行软件分发操作前，必须对本项进行配置。默认将分发文件放在C:VRVRegionManageDistribute目录下，分发参数建议使用默认值。补丁下载：将待分发操作系统补丁放置在C:VRVRegionManageDistributePatch目录下，在web中央管理平台中进行分发操作。管理员通过对参数项的选择进行下载配置，级联ip提供对上一级补丁的下载获取。2-2-6安装补丁下载服务器在安装页面中选择补丁下载服务器安装按钮，输入序列号SN，在桌面生成DownPatch.exe文件，执行后出现下面页面：图2-9 补丁下载服务器主界面图2-10 补丁下载索引解析界面 添加补丁索引：从北信源站点获取补丁索引，用以获取补丁厂商发布补丁信息，通过对补丁索引的解析，下载补丁。按照补丁索引、管理配置要求从补丁厂商站点获取补丁，补丁下载支持各种方式（下载线程、下载时间）自定义下载补丁。图2-11 补丁下载参数设置2-2-7安装配置设备扫描器Regionscan在配置好WEB管理系统的区域及其区域管理器后做以下步骤：在系统默认安装路径下，直接安装设备扫描器之后，自动弹出“系统配置”窗口，在如下图所示“区域管理器地址”栏目中添加区域管理器所在的IP地址，系统桌面右下角有红色方形图标，用右键单击后，在出现的菜单中选择“系统配置”出现如下对话框：图2-12 区域扫描器配置填写相关信息之后重新启动扫描器，程序会自动缩小到系统托盘，表示数据库连接成功，程序运行正常，此时通过上图中“弹出窗口”项来查看扫描器相关运行信息。注意：上图中参数项如填写有误，就会连接数据库失败，扫描频率设定中的各项数值用户根据自己的需要做适当的调整，系统已经设置了默认的数值供用户使用，用户一般无须做改动即可正常扫描。扫描频率设定：用户可以根据网络中网络带宽占用情况，灵活设置扫描频率，同样可以选择是否“穿透防火墙”、“使用SNMP扫描”扫描方式，如果选择“穿透防火墙”，扫描器能够针对个人安装的防火墙进行穿透，保证扫描器的正常运行；如果选择“使用SNMP扫描”，则系统能够自动对网络设备（例如交换机、路由器、网络打印机等）进行扫描，并自动登记到设备列表库中。阻断选项：如果用户选择“扫描器阻断”，此时可采取“轻量级阻断”和“重量级阻断”两种方式。“轻量级阻断”为系统调用扫描器直接对客户端进行阻断；“重量级阻断”为系统调用与被阻断客户端在相同网段的已注册计算机对阻断目标进行阻断。对于“判断是否卸载”设置项的说明：正常情况下，计算机启动后网络连接成功与到客户端驻留程序启动之间会有时间间隔，而这个间隔根据不同的系统状况可能会存在一定的差异，“判断是否卸载”就是为了解决这个问题，用户根据自己网络内计算机启动速度的实际情况来设置这一数值，从而确保设备扫描器上报数据的准确率。探头检测：检测客户端是否注册，如下图。图2-13 客户端探头注册检查2-2-8客户端注册n 客户端注册原理执行注册程序，根据要求填入指定信息，系统自动将所添加信息和系统自动采集获得的设备信息发送到区域管理器（设置为转发模式的将发送到上级区域管理器），区域管理器将注册信息导入SQL数据库保存，在WEB管理平台中设置的客户端参数策略将由区域扫描器扫描客户端后，发送给客户端驻留程序保存执行。该客户端驻留程序驻留在系统内部，以服务的方式实时运行，一旦某个客户端非法接入互联网或设备改变违规，探头就向外网报警接收服务器或内网区域管理器发送报警数据，同时本机将显示报警信息。n 客户端注册1）修改客户端注册程序配置文件在网页管理平台安装后的VRVEIS根目录下的Download目录下找到注册程序(DeviceRegist.exe),或者从http:/web服务器域名（ip）/vrveis上点击“注册器下载”下载。按照下面方法修改后提交。注册程序使用前需要网管人员的配置，主要是设置区域管理器IP地址（注册时客户端信息发向该IP地址所在的区域管理器），使用RegTools工具将DeviceRegist.exe文件改为区域管理器所在计算机的ip为名称的可执行文件，如区域管理器为19,则DeviceRegist.exe改名为19.exe。图2-14 修改客户端注册程序IP地址先解压，输入当前区域管理器IP地址，后，点击“修改IP地址按钮”，最后打包，系统提示”打包完毕”。下载该注册程序后，直接运行，填写完毕注册信息后，发送即可，所填写信息即被发送到区域管理器，区域管理器处理后传递到SQL数据库存储。2）注册方法有两种，网页静态注册、网页动态注册。网页静态注册：静态注册比较简单，客户端只需要将配置好的注册文件上传到公共主页上即可，做一个链接，访问主页后手动下载注册。主要讲述动态注册，这种方法适用于网络用户较多的情况，客户端只要访问网络内公共网站，网页将自动对客户端进行探测，提示用户进行注册。网页动态注册：利用网络中已经构建好的内部网站，一方面网络客户端可以通过手动获得注册程序，也可以通过在主网页上加载弹出页面的方式进行提示性注册。本手册将主要介绍后一种方式。当网络中客户端计算机访问本网络内部网站时，在该主页代码中加入一段代码（如下）。本代码作用在于首先获得该客户端计算机的IP地址，再读取数据库里面相关IP地址的注册和其它相关信息，如果该IP地址的设备存在，系统会根据其是否完成“注册”、“信任”、“保护”三项操作进行判断，只要满足其中任意一条件，都不会提示注册，否则会弹出窗口提示注册；同样，系统还会根据已经注册的客户端探头的版本号，对老的版本的探头提示进行注册升级。网页加载弹出程序方法如下：编辑已有主页的源程序，在需要加载弹出窗口主页的源代码中放入以下代码：注意：需要将其中的16/v/quest.asp换成http:/ 安装该区域补丁分发管理网页平台计算机IP/vrveis/quest.asp即可，此时当网络中计算机访问该内部主页时，会自动弹出如下提示页面：图2-15手动注册：除了自动注册设备外，遇到需要手工注册新增设备时，也可将新增设备的具体信息详细登记填写至数据库中。注意：多级级联注册，如果系统为多级级联方式，必须将区域管理器中的“系统配置”选项中的“上报给上级管理器”选中，并正确添加上级管理器的IP地址，各级区域会将自己所管辖的区域管理IP段上报到上级数据库中存储。此时，当网络中任意一台下级区域客户端计算机访问主网站的同时，会根据最上级区域数据库中存储的各级上报IP段信息，自动将该客户端注册程序文件下载路径指向为自己所处IP段的本级区域注册器上，做到各个区域的客户端计算机在访问同一网站进行注册程序下载时，所下载的客户端程序均为自己所在区域的专用注册程序。如果网络中内部网站，网络管理员可以通知网络内计算机在本系统WEB管理平台的登录页面中点击下载注册程序完成系统注册，或者在此页面下按上面的步骤做好弹出提示窗口方式注册。注册程序界面如下：图2-16无论采取哪种注册方式，当注册成功以后，注册程序除了将主动添加的信息自动上报以外，还会自动收集其它和系统相关的信息进行上报，下图为成功注册后的显示界面：图2-17客户端和区域管理器连接通讯不正常的情况下，将提示用户“系统缺省注册成功”，表示客户端探头已经注册完毕，但还没有同区域管理器通讯。当区域扫描器扫到该计算机的IP地址时，才会将添加的信息及系统采集信息上报到区域管理器，存储在数据库当中。注意：本系统使用初期，若要求对下属网络中的计算机信息进行统计、注册、入库，必须在WEB管理平台中管理器设置项内选中允许注册，如图所示：图2-18n 客户端卸载网络客户根据情况需要卸载客户端探头程序时，执行程序包中的探头卸载程序LogoutWatch即可。第三章补丁管理系统功能说明补丁管理系统功能逻辑图 图1-1补丁自动分发系统基于B/S结构设计，通过在客户端设备中植入驻留程序实现补丁检测、分发功能。系统前台使用Web浏览器方式对进行操作配置管理和客户端注册，后台通过SQL数据库对用户数据加以统计和存储。此系统主要由以下几个组件组成。1.补丁下载器安装在能与Internet网络连接的机器上，用于实时下载补丁，支持补丁导出前病毒过滤。补丁下载服务器下载补丁导入时，分离出新下载的补丁和原有补丁，只导入新下载的补丁，即仅进行“增量式”的补丁升级，以提高效率。模块组成：补丁索引下载和解析模块、补丁下载模块、补丁增量导出分离模块。 补丁索引下载和解析：从北信源站点获取补丁索引，用以获取补丁厂商发布补丁信息，通过对补丁索引的解析，下载补丁。 补丁下载：按照补丁索引、管理配置要求从补丁厂商站点获取补丁，补丁下载支持各种方式（下载线程、下载时间）自定义下载补丁。 补丁增量导出分离：补丁增量分离模块分离出系统已下载、未下载补丁，即仅对未下载的补丁进行“增量式”的导入本单位网络，以提高效率。2.补丁分析器补丁分析器将导入的补丁进行归类分析（按照操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等），并在管理信息库中添加已归类好的补丁库。补丁分析器由补丁索引解析、补丁索引导入模块组成，上述模块根据解析的补丁索引建立补丁库，针对下载的补丁进行归类存放，帮助管理人员快速识别补丁。3.管理信息库管理信息库中用来存放和管理各种策略、系统组件运行参数配置、网络客户端设备信息、补丁及相关信息、报警、日志等各种信息。具体包括：网络客户端设备属性信息，区域管理器以及设备扫描器配置信息、网络区域管理范围信息，补丁安装状况信息、设备属性变化信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比，根据规则要求在管理平台上报警。4.中央管理配置平台本系统的操作管理中心，基于web浏览器方式工作，用于系统应用策略制订，配置系统组件运行参数，维护系统等操作，并显示网络设备和本系统组件状态信息、报警信息和各种日志记录等。在中央管理配置平台进行的所有操作过程和结果数据均存储在管理信息库中。5.区域管理器本系统数据处理中心，从管理信息库获取来自控制台的各种策略和命令操作，发送到客户端和扫描器后执行。区域管理器接收扫描器的信息和客户端程序提供的各类状态和报警信息，发送至管理信息库，管理人员通过中央管理配置平台查阅这些数据。补丁策略和补丁数据通过管理器下达给客户端，客户端的补丁结果通过管理器上报并存储在管理信息库中。上级区域和下级区域之间的命令和数据均通过上下级区域管理器传达。具体模块组成： 系统配置:区域管理器数据库连结配置、工作模式选择、软件升级路 径设置等基本配置项的管理。 中央策略解析：在中央管理配置平台中设置的各种策略，如区域管理器对客户端的管理控制策略、扫描器扫描策略、客户端注册程序的管理策略等的执行，均需经区域管理中央策略解析模块的策略解析后由各模块执行。 通讯模块：本系统的运行是多个组件间的配合完成所有功能的执行，需要不同组件间进行通讯。需要通讯的组件包括：数据库、区域管理器、扫描器、客户端程序、网页管理平台（中央管理配置台）。A 数据库通讯：系统中所有数据的调用除中央管理配置外，所有数据均通过区域管理器处理后由各个功能组件执行，如客户端信息上报数据库，管理配置信息发送到客户端、扫描器。B 扫描器通讯：扫描器组件部分运行参数、全部工作任务参数，均通过区域管理的从数据库中获取，若不同管理器通讯，将无法工作。C 客户端通讯：管理人员对区域客户端管理参数的配置，客户端对本机行为、状态信息的上报，均通过区域管理器处理后由客户端执行或者上报数据库存储。 中央综合功能处理模块，提供补丁管理系统的各种功能性操作，包括以下若干模块：系统通讯端口配置、代理转发配置、升级策略参数配置、远程管理阻断配置、补丁下载功能设置、其他各组件相关策略配置等。 报警接口：同区域管理器通讯，支持第三方报警信息传送。 数据级联：对于存在多级级联管理的网络中，下级区域管理器需要在本系统中设置上级区域管理器的IP地址以及数据传输端口等，将本级数据上报到上级数据库中。6.设备扫描器设备扫描器，扫描网络中主机状态。查看是否已经安装注册程序，巡检网络设备状态变化信息，及时通知客户端驻留程序更新应用参数。对客户端的违规行为的阻断也是由扫描器在接收控制台命令后执行。扫描器配合区域管理器进行工作，可以在分级模式下使用。扫描器只依据WEB管理平台中配置的工作范围进行扫描，超越其范围，将不负责执行操作。7.客户端程序该程序模块按策略自动探测系统软硬件相关信息和状态并上报给区域管理器，然后将这些数据存储到数据库；通过区域管理器接收管理员制定的策略，根据策略进行补丁下载，同时，可以提供扩展安全管理功能。 基本控制中心模块 数据通讯模块：同区域管理器、扫描器的通讯通过相应的端口来实现，上报客户端各种状态以及行为信息。客户端策略解析执行：在中央管理控制台中针对客户端设定的各种管理的策略，通过客户端解析后，由客户端执行。点对点采样：在中央控制台对客户端进行管理，如屏幕控制、消息通知、终端注册管理、终端升级以及安全等级设置等。补丁检测控制：参照读取的数据库中补丁信息，检测本机补丁安装状况，将获取的已安装、未安装补丁信息。 扩展控制中心：本模块支持不同应用安全模块的加载。目前包括以下子模块：本系统应用连接：同基本控制中心模块进行功能应用连结，通过基本控制中心中的模块功能进行管理操作。安全审计模块：审计移动设备使用权限,允许/不允许使用本单位移动设备;根据文件名后缀名审计从移动设备拷入文件，审计拷出到移动设备的文件 客户端防火墙模块：对客户端系统进行端口访问控制，基于协议端口、IP地址管理范围等计算机的访问进行控制。其它安全策略：各种客户端安全应用策略模块（见中央管理配置平台策略中心）。第三方接口：提供第三方应用功能接入。第四章补丁管理系统工作方式简述补丁管理系统工作流程 图2-11.补丁导入过程(1) 在外网，由补丁下载服务器从北信源网站自动获得并更新补丁索 引列表。(2) 通过补丁索引列表获取需要下载的补丁及其下载地址，并进行补丁下载。(3) 通过补丁下载服务器的增量式补丁自动分离技术，将补丁导入内网。(4) 补丁导入内网后，补丁分析器自动将补丁分类存入内网补丁库。2.补丁分发过程（1） 管理人员通过中央管理控制平台设定补丁安装策略。（2） 设定补丁安装策略的分配对象。（3） 客户端通过管理器获取并刷新补丁策略。（4） 客户端通过补丁策略决定是否下载并安装新的补丁。（5） 客户端通过管理器从管理信息库获得要下载的补丁索引和补丁数据，并下载安装补丁（在下载过程中支持流量限制及代理转发技术）。（6） 客户端将补丁下载及安装情况上报给管理器并汇总至数据库。（7） 网管通过网页管理平台查询所有打补丁信息。第五章北信源补丁管理软件各组件运行描述1关于设备扫描发现的过程1） 管理人员设定扫描器扫描范围和策略。2） 区域管理器通过管理信息库获取管理员设定的扫描范围和策略并发送给区域扫描器。3） 区域扫描器根据管理器的命令进行地址扫描。4） 区域扫描器扫描得到的客户端信息数据通过管理器写入管理信息库。5） 管理人员通过管理信息库获取相关的客户端安全、设备等状态以及行为信息。2关于客户端程序对计算机终端各种属性信息的采集过程1） 客户端程序从区域管理器获取采集信息的相关策略。2） 客户端程序进行客户端的信息采集。3） 客户端程序将采集的结果上报至区域管理器。4） 区域管理器将有关信息写入管理信息库。5） 管理人员通过管理信息库获取相关的客户端信息。3关于终端管理和控制的过程1） 管理员制定策略和策略的分配对象。2） 区域管理器通过管理信息库获取策略及其分配对象。3） 区域管理器进行策略下发。（该过程支持管理器向下推送和客户端通过拉的方式获取新的策略）。4） 客户端收到策略后执行相应的动作。5） 客户端将策略执行情况上报给管理器并汇总至数据库。6） 网管通过网页管理平台查询所有的策略执行信息。4.关于数据级联的过程所有的数据级联均是通过上下级区域管理器进行数据交换，数据包含命令、策略、报警及状态回馈、包含统计数据、包含补丁及其他相关数据。5.用户权限管理过程用户分为超级用户、普通用户和审计用户。由超级用户开设并分配用户及权限。设定权限时可工作需要，规定该用户所能操作的策略、管理的区域及查看的信息。设定权限时还可以根据工作需要设定用户是否是只读用户（只能看数据，不能改数据）还是有读写权限。超级用户权限：添加用户、删除用户、修改密码、给普通用户分配权限、进行控制管理等。普通用户权限：由超级用户开设并分配用户及权限。设定权限时可工作需要，规定该用户所能操作的策略、管理的区域及查看的信息。设定权限时还可以根据工作需要设定用户是否是只读用户（只能看数据，不能改数据）还是有读写权限。审计用户：提供对系统管理用户的操作行为记录，记录管理员操作执行的策略详细内容。6.大型网络部署说明对于存在多级管理要求的广域网，网络中可以存在多个区域管理器和多个区域扫描器，系统数据提供逐级上报（转发）模式，上级区域管理器可将策略配置下发（锁定）给下级区域管理器。图3-1第六章补丁管理系统操作使用使用北信源补丁下载服务器从软件厂商网站获取补丁，导入内网区域管理器的补丁分发目录进行客户端补丁自动分发，客户端将获取的补丁放在本地系统文件system32 distribute目录下，并自动安装。6-1区域管理器补丁管理设置n 进行补丁分发管理前，需要对区域管理器的补丁下载管理模块进行设置：图6-1 区域管理器补丁管理设置本级补丁下载管理控制：最大连结数限制：设置客户端同时连接区域管理器并发下载补丁数量。流量限制：限制下载补丁时区域管理器最大流量值。级联管理设置：上下级区域管理器级联情况下的设定上级区域管理器IP和数据通讯端口。n 进行补丁分发管理前，还需要进行补丁策略分发参数设置：图6-2 分发参数设置进行策略任务分发前必须选择启动策略分发任务，启用PING探测，确定需要分发文件所在的路径，分发时间间隔、分发数据通讯端口、分发线程等相关参数，以及级联的下级区域管理器IP地址等，上述部分参数选择系统默认值即可。6-2补丁自动下载分发北信源补丁分发管理软件支持对微软操作系统发布补丁的统一分发，并且用户可使用此系统进行级联方式的补丁自动分发安装和监控。统一补丁分发通过北信源补丁下载服务器（互联网）从互联网下载所有补丁。对于物理隔离的内部网络，其补丁升级服务器中的补丁数据必须从外部获得，因此，要求在Internet上进行补丁下载，巨大的补丁库使得每次补丁导入工作非常烦琐。北信源针对此类物理隔离的内网，使用增量式补丁分离技术，在外网补丁下载服务器分离出内网已安装、未安装补丁，分类导入系统补丁，即仅对内网的补丁进行“增量式”的升级，以提高效率。通过增量补丁分离器，在每次导入导出补丁时，可减少拷贝工作量（系统菜单中的补丁策略定义、补丁库分类、补丁安装查询、补丁下载查询主要基于此种方式工作）。n 补丁下载服务器图6-3 补丁下载服务器界面北信源补丁分发管理软件中包括了补丁下载服务器模块软件，直接运行DownPatch.exe文件进行下载补丁文件。补丁下载服务器默认配置为从微软公司网站下载微软所有补丁，下载后移植到补丁分发管理软件的系统vrvRegionManageDistributePatch目录下保存。指定下载补丁类型包括：1）补丁、英文补丁；2）微软公布的级别补丁：0级、1级、2级、3级、4级；3）系统类别：IE5.0、IE5.5、IE6.0、Ntserver、windows 2000、windows xp。补丁下载设置：实时、定时两种方式探测补丁厂商网站补丁更新状况。图6-4 补丁下载服务器设置n 补丁库分类补丁分析器功能模块，针对下载的补丁，由补丁分析器进行归类存放，按照不同操作系统类别、补丁编号、补丁发布时间、补丁风险等级、补丁公告进行归类，帮助管理人员快速识别补丁重要程度。补丁厂商如微软，其发布补丁发布时候就指定补丁号、补丁类型、补丁危害程度、操作系统支持等补丁属性，北信源补丁分发管理软件自动识别补丁的不同属性并归类。补丁库分类包括：A类、B类、C类、T类。将所有补丁自由组合为不同的类，A类、B类、C类、T类为用户自定义类型补丁（T类建议为测试类型补丁，用于一些特殊补丁的测试，指定用于特定的测试组机器）。n 补丁策略定义及补丁分发参见web管理页面策略中心系统控制中心自动补丁分发中的补丁分发策略：补丁自动分发、人工选择补丁分发。补丁自动分发：制定对补丁库中所有补丁的自动分发策略，自动分发到不同操作系统。补丁策略分发器功能模块，基于分发时间、补丁检测周期，特定补丁等多种定义项进行制订策略，策略发送到网络客户端后，由客户端注册程序统一执行补丁应用策略。图6-5 补丁分发策略制订注意：本策略的执行由驻留在客户端的程序进行。策略制订完毕后，按区域、按设备进行分发。对特定的若干个补丁文件进行分发，将指定补丁文件放在C:VRVRegionManageDistributePatch 相应语言目录下，添加执行文件名称参数。参数的选择如：在Windows XP中运行“Windows XP-KB825119-x86-CHS.exe”补丁为例，我们应首先进入命令提示符窗口。接着在进入系统补丁所在目录后，按“补丁名称+/？”的方式来查看一下该补丁支持的命令行参数，如图所示。图6-6 补丁命令参数项把需要指定的参数以上图的格式输入到4-4图的参数项中 如：-u 则表示无人职守安装。多个参数之间需要空格分开。人工选择补丁分发：由管理员选择特定的补丁进行单独分发至全部网络或者某一区域网络。图6-7 手动补丁分发选择对指定的补丁进行ID选择，并添加，填写相关补丁分发参数后进行分发。n 补丁下载转发代理可以在区域管理器中选择“支持下载转发代理”选项，选中此项功能后，当网络内有数量较多的计算机下载补丁或者文件时，计算机可以搜索临近IP范围内状态最好的计算机，从这台状态最好的计算机上下载相应的补丁或者文件。这样就可以大大减少网络内的服务器的数量，减少网络的带宽的占有率，保证工作的正常进行。图6-8 补丁代理传发支持6-3客户端补丁检测（一）本功能主要用于计算机用户自行进行补丁检测，使用本功能前需要做2项工作： 将补丁下载服务器下载的补丁拷入区域管理器系统RegionManageDistributePatch目录下。 在单位网站主页安全栏目或其它专门栏目建立一个补丁安全监测提示或者通知，该提示或通知链接到系统web管理平台的IIS的patchweb虚拟目录（http:/*.*.*.*/PatchWeb），提供客户端访问补丁自动探测功能。客户端访问本机构网站的时候，选择主页补丁安全探测提示自动链接到北信源补丁管理分发系统web管理平台的客户端补丁探测主页上，该主页自动探测客户端是否注册，如果已经注册，将显示该系统补丁安装情况，根据提示信息选择性手动下载补丁安装。人工补丁下载设置：进入web管理页面，在补丁分发菜单中，设置人工补丁下载设置项。图6-9 客户端补丁自动检测参数设置未安装客户端探头时提示：若客户端未曾注册，网页探测后给出提示；未安装探头时显示补丁类型：管理员自行设置显示补丁类型（操作系统补丁、ie补丁、应用程序补丁等）；是否提示下载探头：对于没有注册的用户，提示进行注册；探头下载地址：指向http:/网页管理平台ip/vrveis/download/DeviceRegist.exe。图6-10 补丁手动下载提示图6-11 补丁漏打提示6-4客户端补丁检测（二）本功能主要用于网络管理员对客户端计算机进行补丁检测，通过web管理平台中的终端控制功能对客户端进行漏打补丁检测，详细列表客户端当前补丁安装状况，通过终端管理功能对客户端机器进行补丁管理。图6-12 客户端补丁漏打检测6-5本地补丁分发综合查询本补丁下载查询模块基于补丁名称、补丁下载时间、设备名称、设备ip的关键字对指定区域的网络终端进行补丁安装状况查询。图6-13 客户端补丁查询（一）图6-14 客户端补丁查询（二）图6-15 客户端补丁查询（三）6-6补丁级联下载图6-16 补丁下载级联方式的区域管理器设置补丁级联下载功能，北信源补丁分发管理系统支持系统补丁级联下载功能，主要针对在多层级联的环境内，各