北信源内网安全管理系统用户使用手册

1、北信源内网安全管理系统用户使用手册北京北信源软件股份有限公司二0年支持信息在北信源内网安全管理系统使用过程中，如您有任何疑问都可以通过访问 我公司网站或者致电我司客服中心获得帮助和支持！热线支持：400-8188-110客户服务电话86/87在您使用该产品过程中，如果有好的意见或建议的话也请联系我们的客服 中心，感谢您对我公司产品的信任和支持！正文目录图目录表目录第一章概述特别说明北信源终端安全管理系列产品由北信源内网安全管理系统、北信源 补丁及文件分发管理系统、北信源主机监控审计系统、北信源移 动存储介质使用管理系统、北信源网络接入控制管理系统及北信 源接入认证网

2、关6大套件构成。本手册内容将随着北信源软件的不断升级而改变（以光盘中电子版发行时为最新版），恕不另行通知。需要者请从北信源公司网站下载本手册的最新电 子版或者直接联系北信源公司索取。本手册与本系统的安装配置手册中的所有图片均为示意图，请以实际产品 为准。本使用手册为北信源终端安全管理系列产品通用说明书。若您独立购买 北信源内网安全管理系统或北信源补丁及文件分发管理系统等其 中之一产品，本说明书的其它功能将不具备。感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理 系列产品。请在使用本软件之前认真阅读本使用手册，当您开始使用该软 件时，北信源公司认为您已经阅读了本使用手册。产品构架

3、北信源终端安全管理产品由8部分组成： WinPcap程序、SQL Server管理信息库（安装包：环境初始化程序）、Web中央管理配置平台（安装包：网页管理平台）、区域管理器（安装包：Region Man age，原区域扫描器已作为模块集成到区域管理器）、客户端注册程序（安装包：注册程序）、补丁下载服务器、管理器主机保护模块、报警中心模块。环境初始化程序SQL Server管理信息库，建立北信源终端安全管理产品的初始化数据库。 初始化的信息包括：网络客户端设备属性信息、区域管理器信息、设备扫 描器信息、区域管理范围信息、注册（未注册）机器信息、设备属性变化信息、报警信息等。扫描器将设备最新状态

4、信息同数据库中原有信息进行 遍历搜索对比，根据规则要求在管理平台上报警。网页管理平台（web管理平台）Web中央管理配置平台，本系统的管理配置中心。包括区域管理器、扫描 器、注册客户端的功能参数设定，网络设备信息发现、系统应用策略制订、 报警信息显示、定义任务功能制订、系统用户维护等配置操作。Region Manage区域管理器，系统数据处理中心，负责与管理信息数据库通讯扫描终端设 备、控制服务器、客户端之间的信息、指令的下达、接受。比如：接收注 册程序提供的用户信息，将用户信息（用户填写的物理信息和系统自动采 集的硬件信息）并行存入数据库；接受来自控制台的命令操作，发送到客 户端、扫描器执行

5、。对于存在多级管理要求的广域网，网络中可以存在多个区域管理器，实现 系统数据逐级上报（转发），对网络终端的多级管理。区域管理器内置网络扫描器，扫描器用来发现网络的终端设备。将发现的 设备信息交由区域管理器处理。、设备最新状态信息报送至区域管理器， 由区域管理器处理后，同数据库中原有信息进行遍历搜索对比，根据管理 规则在管理平台上报警。扫描器配合区域管理器进行工作，可以在分级模式下使用。扫描器只依据Web管理平台中配置的工作范围进行扫描，如果终端IP超越其范围，将不负责执行操作。Winpcap 程序嗅探驱动软件，监听共享网络上传送的数据。客户端注册程序将接收并执行服务器下发的指令。该程序可以在“

6、工具下载-> 用户注册器下载”处下载。访问指定网站自动获得，用户填写必要的信息后，运行该 程序，区域管理器将收到注册终端的相关信息，同时终端可以接收、执行 各种下发的指令。注册程序自动探测系统硬件信息，连同用户填写的信息 一同上报区域管理器。用户将本机注册信息发送到区域管理器后，区域管 理器自动将客户端驻留程序应用策略发送给用户，并自动更新。客户端驻留程序功能：进行本机硬件属性信息变化监视；进行本机IP、MAC地址变化审计；本机系统补丁、软件安装、运行进程状况监测；探测本机是否有违规联网行为，在内网管理中心或外网报警平台报警；接受Web管理平台的管理命令；阻断本机非法外联行为；执行Web

7、管理平台下发的各种策略操作补丁下载服务器安装在与In ter net网络连接的机器上，用于实时下载补丁厂商发布的补丁。管理器主机保护模块管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协 议、通信IP范围和具体的其他网络应用来定义该计算机使用的安全级较高 的网络配置，从而防止该计算机受到恶意的IP冲突以及各种网络、病毒攻击。报警中心模块安装在可与区域管理器所在服务器正常通讯的计算机上，本模块可以根据 管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、 信使服务、SNMP Trap、手机短信等多种报警方式。应用构架北信源终端安全管理应用于局域网、广域网构架，支持跨网

8、段、跨地域的 内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、 网络安全隔离度监控等。系统应用主要分为以下两种构架：基本构架：对于一般网络（例如1个C类地址或若干个 C类地址的局域网范围），可使用一套本系统软件，通过一个管理器集中管理所属区域内的 所有设备。扩展构架：对于大规模的多个局域网或者跨地域广域网（包括基于国家、 省、市、县等多级管理模式的网络结构），可使用本系统提供的多区域集 中管理构架，即一个或多个网段各拥有一套独立北信源终端安全管理的同 时，将本级所有设备信息再转发给上级管理数据库，使得上一级管理人员 对整个网络的设备状况也能够完全掌握。图1-1北信源终端安全管

9、理应用拓扑第二章北信源内网安全管理系统策略中心策略管理中心策略的使用策略的创建和分发1 在“策略管理中心”中左侧的策略项中点击需要制定的策略，然后在 右侧的【策略名】中输入相应的策略名称，单击【创建新策略】按钮开始 创建策略。图2-1创建新策略注：在策略的定义中使用了一些特别的关键字符，这些特殊的字符不应该在策略内容中岀现。否则可能会岀现无法预料的系统错误。这些字符包括："><'/="（大于，小于，单引号，反斜线，等于）。2 根据实际需求配置策略，单击【保存策略】完成策略的创建。（由于各个策略项的配置过程都不一样，下一节将具体介绍）3 下发策略，即指定策

10、略的执行对象。通过单击【对象】按钮，可按界面 提示完成对象的分配。如下图所示：图2- 2下发策略4.如果需要让某一条策略暂时不使用，可通过【停用】按钮使策略失效， 需要使用的时候再单击【启用】按钮使策略生效。如果想要删除某一条策 略，则直接按【删除】按钮即可。如下图所示， 图2- 3策略控制策略的高级设置策略的高级设置用于策略的执行设置，包括策略状态（启动、停止）、策 略存活时间（策略执行的起止时间）、策略执行触发条件（在何种条件下参数说明策略名称此处可以修改策略名称开始执行策略）、策略无效时间（规定时间内不执行策略）、策略应用范 围（本级区域、下级区域、所有区域）、级联策略类型等，有些策略还

11、包 括具体的触发时间设置等。风险级别分为低、中、高三个级别停用锁定选中【锁定对策略的停用操作】后，策略列表 中的【停用】功能将不起作用，用于防止用户 的误操作。策略状态制定策略的状态：启动 /停止策略存活时间范围即策略以天为单位的存活时间段策略尢效工作日即可在一星期中选中一大或多大使策略尢效策略无效时间段即策略以分为单位的无效的时间段策略有效用户指登录操作系统的用户。当执行该策略时，先 判断此用户是不是有效用户，是有效用户则执 行，否则不执行。策略有效网关有效网关：客户端所在内网的网关；当执行该 策略时，先判断是不是有效网管，是则执行该 策略，否则不执行。策略有效网络内网：能与本服务器通讯的属

12、于内网；外网： 与本服务器不能通讯，且不能与客户端所在网 关通讯的属于外网。克隆机策略克隆机：将已经注册了本系统的客户端的系统 做成镜像(gost)，还原到某计算机上，则该计 算机称之为克隆机。只有克隆机(gost系统)执行本策略，非克隆机不执行。表2-1策略的高级设置参数说明策略下发结果查询可以通过以下两种方式查看策略的下发情况：(1) 策略管理中心-> 策略下发查询(2) 终端管理->终端管理-> 当前执行策略注：策略分发间隔默认为1分钟；有的策略需要重新启动生效，请看每条策略的具体说明。具有审计功能的策略，审计数据可以在“数据查询？审计数据查询”中查看。黑白名单编辑进程

13、黑白名单进程黑白名单在“进程监控”策略中可以使用，这部分包含系统预定义黑 名单和用户自定义黑白名单。编辑进程黑白名单时包括：进程名、产品名、 源文件名等；如果是服务则只可以加服务名，同时可以加一些描述。软件黑白名单软件黑白名单在“软件安装监控”策略中可以使用，这部分包含系统预定 义黑名单和用户自定义黑白名单。URL黑白名单编辑URL黑白名单在“上网访问审计”策略、“上网控制策略”中可以使用， 这部分包含系统预定义黑名单和用户自定义黑白名单。端口黑白名单编辑端口黑白名单在“协议防火墙策略”中可以使用，这部分包含系统预定义 黑名单和用户自定义黑白名单。硬件设备控制硬件设备控制功能说明：控制各种硬件

14、设备及接口的启用或禁用，如果只想禁止使用移 动存储设备，也可以通过“可移动存储审计”策略来实现。参数说明:参数说明不处理、启用、禁用本策略中所能控制的硬件，都需要能够在 windows系统设备管理器中进行禁止和启用。例外选择【启用】时将禁用例外中的设备，选择【禁用】时将启用例外中的设备，【不处 理】选项保持原来的状态无变化，提高系统 管理性能，如果对某项不关心可以选择该 项。例外设备添加方法：右击我的电脑属性 硬件 设备管理器，出现设备列表。该策略控制叠加到之前 的策略基础之上选中此项时：如果有多条此类策略，终端执行效果 将是多条策略设置叠加后执行的效果。如果不选择该项，终端只支持单独一条策略

15、，新下 发的策略将覆盖原来的策略配置。取消对设备管理器的的 拦截操作默认情况下下发该策略后将禁止用户在设备管理器 里启用/禁用任何设备，如果取消则可以在设备管 理器里启用/禁用设置为不处理的设备。审计结果处理上报服务器：就是将审计记录上报到服务器 并进行记录。当客户端脱离网络时无法上报 到服务器就记录到本地，等客户端接回网络 时再上报到服务器。记录到本地文件：会在本地生成文件记录审计 信息。起到在本地备份的作用。表2- 2硬件设备控制参数说明注意事项：1 如果要对原来禁用的设备启用，最好是明确的为该设备制定一条启用策 略。2 禁用u盘、软驱、光驱等一部分功能，在行为管理与审计策略中的可移 动存

16、储审计策略中也可完成，功能上没有什么区别，用户可以根据自己的 习惯，自行设定。策略实例：允许使用光驱，但是禁止使用刻录光驱。比如有两个光盘驱动器，分别为：Ge neric DVD-ROM SCSI CdRom Device和MATSHITA UJDA745 DVD/CDRW。从文字显示上可以看岀后面一个驱动器为刻录光驱，如果要禁止刻录光驱，则可以将光驱项设置为"允许“，在【例外】中输入 "MATSHITA UJDA745 DVD/CDRW"或其中的一部分，只要能通过该标志确认是一个可刻录光驱即可。因为基本上可刻录光驱都带有"CDRW"字样，【例

17、外】中可以输入 "CDRW"。多个例外之间用分号 （"；"）（英文半角格式）分隔，如下图所示: 图2- 4硬件设备控制进程及软件管理软件安装监控功能说明：用于监控客户端安装的软件是否违规并对违规行为做岀相应的 处理。参数说明:参数说明软件名设置需要进行控制的软件名称，填入需要监 控的软件名称后，点选【添加控制】按钮， 如果想要控制更多的软件，输入软件名称 后，继续点选【 添加控制】按钮，以此类 推，可以继续添加需要控制的软件。同一类 软件可以使用具体的策略，包括“禁止安装 软件”、“必须安装软件”、“允许安装软 件”三个选项，这个具体选择可以根据管理 员

18、的需要自行设定。如果想要取消对某个软 件的控制，请在列表处选定软件的名称，然 后点击【删除控制】按钮。还可以添加系统定义的黑名单和自定义的黑 名单，并分别配置违规处理措施、高级设置 项。其他软件处理当选中“允许安装软件”，再勾中“除以上 列表的软件外，安装了其他任何软件都视为 违规项”，表示只允许安装列表中的软件， 安装其他软件均视为违规，即实现对软件安 装的限制功能。当选中“控制状态”是“禁止安装软件”， 同时选中【其他软件处理】复选框，那么安 装任何软件都是违规的。以上软件安装违规处理指选定的对象如果违反了上述的软件安装监 控策略的处理方法。不处理方式，是指不处 理违反策略的对象，但是，相

19、关的违规记录 可以在 Web管理器中查询。仅提示方式，是 指当选定对象的用户如果违反了策略，将在 客户端弹出管理员设置的提示信息。断开网 络方式，是指当本策略启用时，选定的策略 管理对象，如果违反了本策略，将对该计算 机进行断离网络的处理，同时，该计算机弹 出管理员设定的提示信息。表2- 3软件安装监控策略参数说明策略实例：图2- 5软件安装监控策略注意事项:1 “软件名”要和控制面板中添加删除程序里的软件程序名一样，该功能 支持模糊查询技术，例如在要检查是否安装了QQ，可能因为各种版本不一样，在“添加删除程序”里显示的是QQ2004或QQ2005，这时您可以只输入QQ o2静默卸载功能不支持

20、模糊匹配，需要填写跟添加删除程序中的名称完全 相同。3 为了维护方便，建议管理员将施行安装或禁止安装的需求不同的软件， 放在不同的策略中管理，如果同一软件在不同策略中的设置不同，那么， 取最后一个策略设置为准。4 本策略设置时，建议在高级设置，策略触发方式中，选中启动时触发和间隔触发选中，间隔时间10分钟左右。进程执行监控功能说明：用于监控客户端运行的进程，并做相应处理。先添加需要监控 的进程信息，再配置违规处理措施。参数说明:参数说明进程/服务名需要进行监控的进程或服务名称，进程的名 称可以从 windows的任务管理器的进程菜单 中查询。填入需要监控的进程名称后，点选【添加控制】按钮，如果

21、想要控制更多的进程，输入进程名称后，继续点选【添加控制】按钮，以此类推。进程名获取方法：右击任务栏选择“任务管 理器”。“进程/服务名”处也可填写“* ”，例如，进程/服务名：*，产品名称：Microsoft Office 11Professional，控制状态：必须运行，即表示 必须运行 Microsoft Office 11 Professional 产品 的所有进程。产品名称需要进行监控的产品的名称，产品的名称可 以从需要监控的文件，鼠标右键点击需要监 控的可执行文件，从其中的产品名称中看 至叽填入需要监控的产品名称后，点选【添 加控制】按钮，如果想要控制更多的产品名 称，输入产品名称后

22、，继续点选【添加控制】按钮，以此类推。源文件名需要进行监控的具体可执行程序的名称，源 文件名可以通过鼠标右键点击可执行文件找 至叽填入需要监控的源文件名称后，点选【添加控制】按钮，如果想要控制更多的源 文件，输入源文件名称后，继续点选【添加 控制】按钮，以此类推。可以设置更多的需 监控项目。控制状态针对具体的进程、产品、源文件，具体的控 制状态有三种，包括“禁止运行”、“必须 运行”和“允许运行”，这个具体选择可以 根据管理员的需要自行设定。如果想要取消 对某个软件的控制，请在列表处选定具体的 进程、产品、源文件的名称，然后点击【删 除控制】按钮。其他进程处理选中“允许运行”并勾中“除以上列表

23、的进 程外,不允许其他进程执行”，则表示只允许 进程列表中的进程运行，其他进程均视为违 规，即实现对进程运行的限制功能。以上各种情况的违规处理指选定的对象如果违反了上述的监控策略的 处理方法。关机方式，是指当本策略启用 时，选定的策略管理对象，如果违反了本策 略，将对该计算机进行2分钟后自动关机的处理，同时，该计算机弹出管理员设定的提 示信息。表2- 4进程执行监控策略参数说明策略实例：图2- 6进程执行监控策略注意事项：1 进程名称、产品名称、源文件名之间是“或”的关系，填入其中一项或 多项均可实现监控功能，其中，产品名称，主要用于监控一系列软件的使 用，比如说，qq不同版本的程序名不一样，

24、但是产品名称是相同的。源程 序名的作用，主要是为了防止可执行程序被人手动修改名称而避过安全系 统的管理策略。2 本策略设置时，建议在高级设置-> 策略触发方式中，选中启动时触发和间隔触发，间隔时间 5分钟左右。3 启动路径为全路径或系统默认路径。进程保护策略功能说明：设置需要保护的用户进程，防止被保护的进程被非法关闭。策略实例：图2- 7进程保护策略注意事项：1 这里的进程保护是指使用windows任务管理器和一般的应用程序无法终止该程序。2 这里的被保护进程，仍然可以在策略中心的“进程执行监控”中进行终 止，请管理员注意相关策略的设置。主机安全策略用户密码策略 功能说明：此策略可以对系

25、统的本地密码策略、本地帐户锁定策略、系统 屏保进行设置，同时可以检测系统密码弱口令，除系统自定义的弱口令外, 用户可以自己添加自定义弱口令集。参数说明:参数说明检测到系统弱口令后当系统检测到客户端采用了弱口令后可以采 用“上报”、“提示”两种方式，即上报给 区域管理器或者根据管理员设置的提示信息 给客户端发出提示。附加弱口令列表根据各单位名称等不同，自己添加需要探测 的弱口令，每个弱口令之间用","分隔。表2- 5用户密码策略参数说明注意事项：1. 在windows系统密码策略中，策略是指密码的长度。2. “弱口令检查”与“本地账户锁定策略”不能同时设置，否则弱口令用 户可

26、能会被锁定，无法使用！也不能对同一台计算机分配两个这样的策略。3检测系统弱口令，原理是使用每个列表中的弱口令来尝试登录计算机， 它并不修改任何 windows系统文件，本策略不会造成任何的计算机不稳定 状态。4用户密码策略：只适用于标准版操作系统，番茄花园版不支持；系统屏 保设置：重启后生效；弱口令列表需要手动添加。用户权限策略功能说明：检查系统用户、系统用户组的权限的改变和系统用户、系统用 户组的增加或减少。当以上的某一条件符合时，则弹出相应的提示信息。根据需要，在相应的菜单中选择上报或者在客户端提示的报警方式，还有 两种报警方式同时启用的方式，如果选择中有提示信息选项，将在客户端 弹出管理

27、员设定的提示信息窗口。注意事项：1本策略的各项均在 Windows系统控制面板中的“用户与密码”项或者 控制面板中的管理工具文件夹里的计算机管理程序中的用户菜单来实现的， 本策略只提供相应的监测功能，不对您的修改进行限制。协议防火墙策略功能说明：本策略是基于各种网络协议的原理和各种网络软件对网络的实 际应用，用来控制各种网络使用和计算机端口的使用，起到防火墙的作用参数说明端口连接 控制规则协议类型计算机可以进行很多网络应用，各种应用 都是基于网络上服务器提供的服务。不同 的服务是采用不同的端口提供的，通过这 种端口的方式，计算机才可以与外界进行 互不干扰的通信。Tcp/udp协议，网络通信协议

28、，基本上所有的网络服务都使用它 们作为通信的标准。系统在这里通过控制 计算机的端口和相应的网络协议，对计算 机用户的网络操作进行监管。我们可以通 过在 windows下的dos窗口输入“ netstat -a"命令来查看本机打开的端口和各种 端口正在被哪种服务使用的，且这个服务 使用的是哪种协议。同时，我们也可以通 过软件相关的说明文档得到这些信息。我 们在端口处填入我们查询到的需要控制的 软件使用的端口，在协议选择下拉菜单中 选择相应的tcp/udp协议。“本地端口” 和“远程端口"两个选项，其中，本地端 口是指在网络的使用中，本地计算机使用 的端口，如果选择这个选项，则

29、在本策略 的对象范围内的计算机无法启动使用该端 口的服务；远程端口是指在网络的使用 中，本地计算机可以启动本服务，但是无 法访问远程计算机提供相应服务的端口。管制方式“禁用填充项中指定端口，开放其他端 口”选项是指仅禁用在上边填写的端口和 其所对应的服务，同时开放其他所有的端 口，使其可以使用网络服务。“禁用填充 项中指定端口”选项是指仅禁用填充项中 的端口和其所对应的服务，并不改变其他 端口目前的状态。“开放填充项中指定端 口，禁用其他端口”是指，仅开放在上边 填写的端口和其所对应的服务，同时关闭 其他所有的关口和网络服务，“开放填充 项中指定端口”是指开放在上边填写的端 口和其相对应的服务

30、，并不改变其他端口 目前的状态。选定需要的选项后，点击“添加端口连接控制规则”按钮，所设定 的控制将出现在页面下端的控制列表中。ICMP协议 控制规则指系统对ICMP协议的控制，主要是通过判断计算机间的 互相通信是否正常来判断的。一般来说，只要执行MS-DOS窗口下的ping命令即可系统对icmp协议的控制，主要是通过判断计算机间的互相 通信是否正常来判断的。一般来说，只需要执行ms-dos窗口下的ping命令即可。"禁止 ping入"是指不允许其他计 算机（包括局域网计算机和远程计算机）用ping命令来检测本地计算机通信状态。“禁止ping岀”是指不允许设置的对象客户机用

31、 ping命令来检测其他计算机（包括局域网 计算机和远程计算机）的通信状态。“禁止双向”同时禁 止任意两台计算机（至少有一台是本地计算机）的通信检 测。设疋好后，点击 添加icmp协议控制规则 按钮，所设定的控制将出现在页面下端的控制列表中。IP访问控 制规制ip地址输入需要限制网络使用的计算机的ip地址或ip地址范围。管制方式“只允许填充项中ip地址访问自己，禁 止其余ip地址访问”是指，在设定的ip地址范围内的计算机，每台计算机能使用 策略生效范围内的计算机的网络资源，其他的计算机无法访冋该策略范围内的计算 机。"只允许自己访问填充项中ip地址，禁止访问其余ip地址”是指，本策

32、略生效范围内的计算机只能访问在设定的 ip地址范围内的计算机的网络服务，不能 访问其他计算机提供的网络服务。设定好 后，点选“添加ip访问控制规则”，所 设定的控制将出现在页面下端的控制列表 中。以上各种选项在设定后，如果需要去 掉，只要在控制列表中，点选，然后点击 下边的“删除规则”按钮。超级IP指的是本IP不受上边制定的所有策略的限制。默认内网管 理服务器IP为超级IP超级端口指本端口和所对应的服务不受上边制定的所有策略的限制表2- 6协议防火墙策略参数说明策略实例：如下图所设置的一个样例表示：只开放本地计算机的80端口；只允许192.168.0.11-192.168.0.120该IP地址

33、段中的IP访问本地计算机；禁止其他 计算机ping入。图2- 8协议防火墙策略注意事项：1 此策略需要管理员对网络协议和计算机端口有一定的认识，请慎重制定。 通过对端口和协议对计算机用户的网络操作进行监管。注册表检查策略功能说明：监测客户端的注册表内容和该内容的设定值，防止注册表被病 毒或其他恶意程序修改，起到对计算机的安全防护作用。参数说明:参数说明注册表项名称在【运行】项输入“ regedit "然后点确定。岀现注 册表窗口，在左边窗口显示的就是注册表项的名称键名在注册表窗口中，右边窗口中的名称标题下的内容 就是键名值类型同注册表右边窗口的值类型的三个选项“vaI va. -vr

34、eg sz 、reg dword 、reg b inary键值在注册表右边窗口中的数据标题下的内容就是键值检测条件根据需要选择相应的条件适合操作系统根据对象的计算机操作系统状况进行选择具体的操 作系统控制操作如果要删除注册表项请确认该项对系统的正常使用 不会造成影响。删除项会同时删除该项下的子项和 键。表2- 7注册表检查策略参数说明图2- 9注册表注意事项:1 本策略只提供注册表检测功能，不进行修改注册表内容的操作。IP与MAC绑定策略功能说明：实行IP与MAC绑定。当IP与MAC绑定发生变化时，可对其 实施自动恢复、弹出提示框、或断开网络并持续阻断该计算机等控制。参数说明:参数说明客户端特

35、性设 置：客户端IP,MAC绑定点选该选项，才可以使用本策略的功能。Ip与mac绑定是指客户端计算机在局域网中标识身份的地址 和计算机的网卡标识号码的匹配。当绑定发生变化指客户端计算机用户修改了自己的ip地址，这时，网卡的mac将于新的ip地址相匹配，就不能与原 来的ip地址匹配，这就是 ip、mac绑定发生变化。 系统根据这种情况给出4种处理方式，“不处理”、“自动恢复”、“断开网络”，并且提示管 理员设定的信息、“仅提示”只提示管理员设定的 信息。表2- 8IP与MAC绑定策略参数说明策略实例：图2- 10IP与MAC绑定策略注意事项：1“客户端IP,MAC绑定”选项绝对不能在动态IP的设

36、备上使用。2.一般常规性的网络应用中，只要设定自动恢复ip和除网络管理员的账户其他帐户均有效即可。杀毒软件运行监控策略功能说明：检查客户机是否安装杀毒软件，并做提示、断开、重启计算机 等操作。参数说明:参数说明若客户端未运行 病毒防火墙“不处理”、“自动重启”当系统发现客户端未安 装杀毒软件时，将弹出管理员设定的提示信息，并 且2分钟后自动重新启动、“断开网络”断开和网 络的连接，并弹出管理员设定的提示信息、“仅提 示"只发给客户端提示信息。杀毒软件升级设置用于自动升级杀毒软件。这此功能生效的条件是需要把杀毒软件的升级文件放到VRV'Regio nMan ageDistrib

37、uteA ntiVirusUpdate目录中相应的杀毒软件升级文件夹中，目前支持的可升 级的杀毒软件有北信源、macfee、瑞星、诺顿等。表2- 9杀毒软件运行监控补丁分发策略、软件分发策略请参照第三章北信源补丁及文件分发管理系统接入认证策略请参照第六章北信源网络接入控制管理系统和第七章北信源接入认证网关。违规外联监控防违规外联策略功能说明：监视违规网络连接（modem拨号、双网卡、代理等），并对违规行为做岀相应的处理，检测计算机的网络使用是否符合制定的原则，对 不符合原则的计算机进行处理。参数说明:参数说明违规监控设置通过设置，检测策略应用的对象的客户端是否能和 夕卜网通信来判断该计算机是否

38、违反了管理员制定的 规则。“外网地址”选项，是利用系统的功能，对这两个 地址，进行检测，当可以与这两个网站通信时，视 为本机违反策略。“客户端所限定使用的网段”是指，如果客户端访 冋的ip地址超过了在这个选项中设置的范围，也视 为本机违反策略。本选项需要填写ip地址范围，范围中间区域用“一”来间隔。“采用探测外网方法”和“客户端所限定使用的网段”这两种方法，是并列的，单独使用其中的一种 或者两种同时使用都可以满足您的需要。禁止使用代理上 网访问如果选择这个选项，则浏览器无法使用代理服务器 访问网络，该选项可屏蔽浏览器使用内网或者外网 的大多数代理服务。探头发现设备违 规后的处理方式A :若客户

39、端同时连接内外网，本选项一般指计算 机同时能够访问单位内部网络和外部网络。在处理 方式中，仅提示方式，是指当选定对象的用户如果 违反了策略，将在客户端弹出管理员设置的提示信 息。断开网络方式，是指当本策略启用时，选定的 策略管理对象，如果违反了本策略，将对该计算机 进行断离网络的处理，同时，该计算机弹出管理员 设定的提示信息。关机方式，是指当本策略启用 时，选定的策略管理对象，如果违反了本策略，将 对该计算机进行 2分钟后自动关机的处理，同时， 该计算机弹出管理员设定的提示信息。B :若客户端仅在外网，一般是指，客户没有在局 域网中，只通过 modem等网络设备上网的情况。 在处理方式中，仅提

40、示方式，是指当选定对象的用 户如果违反了策略，将在客户端弹出管理员设置的 提示信息。断开网络方式，是指当本策略启用时， 选定的策略管理对象，如果违反了本策略，将对该 计算机进行断离网络的处理，同时，该计算机弹岀 管理员设定的提示信息。关机方式，是指当本策略 启用时，选定的策略管理对象，如果违反了本策 略，将对该计算机进行 2分钟后自动关机的处理， 冋时，该计算机弹岀管理员设定的提示信息。重新 接回内网后进行安全检察，是指当计算机离开本网络，并且离开后进行了网络操作，则当计算机回到 本网络的时候，提示用户进行安全检测。表2-10防违规外联策略参数说明策略实例：图2-11防违规外联策略当执行该策略

41、的客户端有违规外联事件发生时，客户端将弹出管理员设置 的提示信息，如下图所示：图2-12违规提示注意事项：1 当计算机离开本地网络，并进行过联网后，回到网络仅提示安全检查， 本系统并不对其进行具体的安全检查。2 使用本策略，必须点选“允许探头进行违规联网监控”和“采用探测外 网方法”两个选项。行为管理及审计、涉密检查策略请参照第四章北信源主机监控审计系统可移动储存管理请参照第五章北信源移动存储介质使用管理系统主机运维策略运行资源监控策略功能说明：本策略主要针对服务器和重要主机而设计的，网管人员十分关 心服务器和重要主机的运行状况，如CPU、内存、硬盘等关键硬件的信息就能直接反映它们的运行情况，

42、用户可以根据管理情况定制报警策略。参数说明:参数说明cpu信息cpu使用率可以在windows系统任务管理器中的性 能菜单下查询。当 cpu使用率过高，并且持续时间 比较长的话，将会影响计算机的正常使用。用户可 根据计算机的硬件配置情况和使用情况自己制定限 制的数值。“上报”复选框是将计算机超出设定值 的时候的信息发给区域管理器；“客户端提示”在 客户端计算机超出设定值的时候，在其本机弹出管 理员设置的信息。内存信息内存使用率可以在 windows系统任务管理器中的性 能菜单下查询。当内存使用率过高，并且持续时间 比较长的话，将会影响计算机的正常使用。用户可 根据计算机的硬件配置情况和使用情况

43、自己制定限 制的数值。硬盘信息当系统盘剩余空间低于设定值时报警，当点选“检 测其他盘符”时，输入相应的盘符和设定的剩余空 间,也会产生报警信息。表2-11运行资源监控策略参数说明注意事项：1 当cpu持续占用率达到100%，可能会造成策略对象计算机的死机，无法 处理系统发岀的提示信息，造成无法提示，这属于windows操作系统问题。进程异常监控功能说明：对客户端的进程状态进行监控。参数说明:参数说明未响应窗口监控在相应的“监控窗口名”处填入需要监控的进程 名。进程名可以在 windows任务管理器的进程菜单 下查看。选择具体需要的操作：“上报”：将情况上报给区 域管理器；“结束进程”：在客户端

44、结束该进程；“结束并重新启动进程”：在客户端先结束进程， 然后再启动该进程。意外退出进程监控在相应的“监控进程名”处填入需要监控的进程 名。进程名可以在 windows任务管理器的进程菜单 下查看。意外服务监控在相应的“监控服务名”处填入需要监控的 服务名。 服务名可以在windows任务管理器的服务菜单下查 看。表2-12进程异常监控策略参数说明注意事项：1 本策略的设置是针对进程的，注意不要和“进程执行监控”相冲突，引 起系统的不稳定。垃圾文件清理功能说明：根据需要，在相应的文件夹菜单中选择或填入需要清理垃圾文件的文件夹；在相应的文件类别中选择需要清理的文件类型。注意事项：1 FAT32文

45、件系统中被删除的文件放置在回收站中，NTFS文件系统中直接删除。2 请管理员设置时，注意相关的注释。正在使用的临时文件等文件，无法 清除，需要清除的话，请先关闭相关的应用程序。系统自动关机功能说明：根据需要设定无键盘、鼠标动作时间自动关机，点选“关机前 自动提示”，则在关机前在客户端弹出管理员设定的提示信息。流量管理策略流量米样策略功能说明：通过设置选定用户（在本策略的对象中设定的）计算机的网络 的平均流量和并发连接数，以及可疑发包等网络流量策略来审计网络的使 用。参数说明:参数说明流量采样阈值设疋这是按照一定时间内客户端计算机的平均网络使用 流量计算的每秒平均流量数。推荐按照缺省建议设 置。

46、并发连接可疑定义这是按照客户端计算机同时进行网络访问的数量来 计算的网络连接数。推荐按照缺省建议设置。发包可疑定义一般来说，推荐使用系统默认的数值，如果您有意 修改以上的数据，建议您咨询网络管理员。表2-13流量采样策略参数说明注意事项：1 此处仅对相应的流量数据进行统计，统计数据可在数据查询中进行查询 流量控制策略功能说明：根据系统对选定用户（在本策略的对象中设定的）网络使用的 监测，协调整个网络的流量。参数说明:参数说明客户端总流量按照一定时间内的总的数据传输量求出的平均每秒 流量数。管理员可以根据网络实际情况设定具体的 数值流量和持续时间。并发连接数可疑 违规按照客户端计算机同时进行网络

47、访问的数量来计算 的网络连接数是否过多判断用户对网络的使用是否 合规。发包可疑违规一般是指计算机接到了超岀了正常网络服务使用中 的接到数据包的范围，还有单位时间应该从网络上 其他计算机上接到的icmp数据包数量。这里的数量值取得都是我们在流量采样策略中设定的相应的 数值。违规时客户端执 行“上报”，是指内网安全管理系统自动将违反上述选定了的规则的计算机上报给区域管理器。“自动阻断”：是指如果客户端计算机违反了上述规则的计算机断网处理，时间一般默认为5分钟左右；“永久阻断”：只要被阻断一次之后，必须通 过终端控制中的恢复网络连接功能才能恢复网络连 接。“客户端提示"，是指如果客户端计算

48、机违反了上 述规则，则在客户端计算机上弹出管理员设定的 消息。表2- 14流量控制策略参数说明注意事项：1 本策略是根据对网络流量异常和icmp收发包异常的监控来实现功能的策略，本策略采用的大多数监控数据，是从流量采样策略中设定的。2 收发包异常的情况一般是由一些计算机端口的扫描软件或黑客软件造成 的，需要管理员多加注意。3 本策略的设定要求对网络和网络协议有一定的了解，请在网络管理员的 指导下设置，系统采用的默认值可以满足一般网络环境的要求。4 并发连接数可疑或发包可疑的前提是客户端总流量走岀设定。消息推送策略消息推送功能说明：向选定用户（在本策略的对象中设定的）计算机发送消息通知, 请求重

49、注册信息以及要求升级等消息。参数说明:参数说明消息功能“仅消息通知”和普通的消息分发没有什么区别， 在客户端计算机弹出管理员设置的消息。“消息通知并确认回馈”是指在客户端计算机弹岀 管理员设置的消息，同时客户端计算机显示后，要 求用户确认。“重新注册”在客户端计算机弹岀注册窗口，要求 用户注册。“客户端升级”弹岀提示要求客户端升级的信息， 不进行实际操作。表2-15消息推送策略参数说明消息推送扩展策略功能说明：可以实现一段时间内持续地向选定用户（在本策略的对象中设 定的）计算机发送消息。备份策略客户端文件备份功能说明：对选定用户计算机进行指定文件的备份。参数说明:参数说明文件/目录（全路径）设

50、置需要备份的文件或目录的全路径。备份过滤指定需要备份的文件的后缀名，填入此项后仅备 份指定后缀名文件，不填写则全部备份。备份服务器IP可以将设定备份在指定服务器的共享目录下间隔时间默认值为120分钟，最小值为 3分钟。表2- 16客户端文件备份策略参数说明注意事项：1 该功能通过共享文件夹拷贝方式备份，配置前需要确认所输入的用户名 和密码对共享目录必须有写权限，如果以2003系统作为备份服务器，则需要将服务器改为使用经典登录才可用。屏幕抓取策略 功能说明：在一定时间间隔内抓屏并备份到服务器上。文件备份的路径设置在备份服务器程序里进行设置，如下图所示, 图2-13文件备份路径设置屏幕录像策略功能

51、说明：可以实现定时屏幕录像，并且可以设定录像时间长度。终端配置策略终端设置策略功能说明：对客户端时间、ARP阻断以及各种信息的上报等进行设置。参数说明:参数说明同步终端时间可同步客户端时间为服务器时间。自定义探头应答IP为了保证Age nt不受冒充指令的干扰，Age nt只 接受来自管理器服务器的指令请求，如果的确 需要接受其它IP的指令，则可以将该处添加IP并分配给终端设备。自定义ARP阻断置可设置每次发送 ARP欺骗包的间隔时间和持续 时间。备用区域管理IP当一个区域管理器出现故障，导致无法提供服 务时，由此处指定的备用服务器接替原服务器 继续提供服务，实现管理服务器的双机热备功 能。设备

52、离网阻断设备处于其他网络时，限制网络访问。设备内存，硬盘阻断设备内存或硬盘变化时阻断通信。绑定正确网关 MAC 防止ARP欺骗攻击防止ARP病毒对网关的欺骗。启用该功能后， 会提示选择正确的网关地址。默认共享可以取消系统默认共享。指定只允许启用的 共享名不输入则允许任何共享名。多个共享名之间用 半角分号（；）分隔。设备安装多操作系 统当功能启用时，只可以启用原启用列表中默认 的系统选项。注册用户与计算机 名称关联强制将计算机名修改为注册时输入的使用人项指定终端自动卸载在指定指定时间点卸载。域用户登录限制限制该机只允许使用域用户登录。审计日志上报间隔设置与策略对应的审计日志的上报时间间隔。补丁信

53、息上报将终端补丁安装信息上报到服务器。进程信息上报将终端系统首次运行的进程情况上报服务器。软件信息上报将终端系统已安装的软件信息以增量式地上报 到服务器，并且可以设定上报时间。表2- 17终端配置策略参数说明管理器策略该功能用于在级联的情况下，设置下级服务器向上级上报的消息类别订阅级联审计数据策略功能说明：订阅下级平台设备基本信息以及各种行为的审计日志。终端升级管理策略功能说明：客户端注册程序的升级。注意事项：1 该策略没有策略内容和启用 /停用设置，可以指定一部分特定的终端自 动升级，只需要将把需要自动升级的终端配置到策略对象中即可，不在对象中的终端设备是不会自动升级的。以后每次服务器升级后

54、只有对象中的终端会自动升级为最新版本，其余的还是以之前版本运行。2 该策略适用于对新的版本进行测试，待测试完成后没有什么问题，将该策略删除或把策略分给所有的终端实现整网统一升级。3 整个系统仅允许使用一条这样的策略，并且不具备级联功能。组合策略组合策略分发功能说明：根据需要选择几种类型的策略，再进一步选择某类策略下的某 个策略，从而形成策略组。注意事项：1 其中各个子策略都必须为启用状态。漫游策略分发功能说明：只针对漫游客户端所发送的策略。具体的漫游功能请参照附录六漫游功能说明。临时客户端分发功能说明：只针对临时客户端所发送的策略。临时客户端：在“注册程序配置”中，通过配置“注册密码”项来实现指 定客户端的使用限制。如下图所示，按对象分配策略图2-14注册码配置按设备分配通过设备IP、设备名或使用人查询下发给该设备的策略，能够快速查找到 相应的客户端正在执行的策略，并支持模糊查询。按设备组分配策略下发查询可以为自定义的用户添加策略，并且可以显示为每一组自定义的用户下发 的策略，并且可以编辑或取消该策略。用户可以查看策略的下发情况，可以查询下载策略的设备IP、名