個人化服務
查詢符號(半形)
查詢符號意義說明
表示為「AND」兩個查詢詞之交集
片語以雙引號標示開始及結束，而且只尋找出現順序相同的字詞，例
image process
表示一個字母切截，輸入兩個?表兩個字母，依此類推，例：輸入「Appl?」，查得結果應為appl
常用於英文字查詢
表示不限字母切截，由0~n. 例：輸入「appl*」，查得結果應為appl
常用於英文字查詢
AND、OR、NOT
布林邏輯組合關鍵字，用來擴大或縮小查詢範圍的技巧。
：縮小查詢範圍
：擴大查詢範圍 (3) NOT：排除不相關的範圍
是數位物件識別碼
為物件在網路上的唯一識別碼，可用於永久連結並引用目標物件。
使用DOI作為永久連結
每個DOI號前面加上
便成為永久網址。
如以DOI號為
10.5297/ser.
的文獻為例，此文獻的永久連結便是：
日後不論出版單位如何更動此文獻位置，永久連結所指向的位置皆會即時更新，不再錯失重要的研究。
引用含有DOI的文獻
有DOI的文獻在引用時皆應同時引用DOI。若使用APA、Chicago以外未規範DOI的引用格式，可引用DOI永久連結。
DOI可強化引用精確性、增強學術圈連結，並給予使用者跨平台的良好使用經驗，目前在全世界已有超過五千萬個物件申請DOI。
如想對DOI的使用與概念有進一步了解，請參考
數據來源：Academic Citation Index，簡稱ACI
臺灣地區最大的引用文獻資料庫，目前收錄臺灣地區所出版的人文學、社會學領域學術期刊，穩定出刊中的期刊總量約400種，若包含已收錄但後續停刊的期刊，總期刊量超過500種，每年定期公布收錄期刊的影響係數(Impact Factor)等指標給大眾，並可提供專家學者免費進行學術研究使用。
影響指數（Impact Factor）：某一期刊前兩年產出的論文，在統計年平均被引用的次數。
公式：（前兩年發表論文在統計年的被引用次數）÷（前兩年論文產出論文總篇數）
例如：2010年之影響係數（2011年呈現）
2009年A期刊產出論文15篇，2009年A期刊產出論文在2009年被引用20次
2008年A期刊產出論文16篇，2008年A期刊產出論文在2009年被引用30次
2010年的影響係數
=（20+30）÷（15+16）≒1.61
什麼是預刊文章？
為提供讀者最前線之學術資訊，於期刊文獻獲同意刊登後、紙本印製完成前，率先於網路線上發表之文章即為預刊文章。預刊文章尚未有卷期、頁次及出版日期資訊，但可藉由DOI號識別。DOI號是文獻的數位身份證字號，不論預刊或正式出版皆不會改變，讀者可點擊DOI連結，或於DOI號前面加上
連結到文獻目前最新版本。
如何引用預刊文章？
請使用預刊文章的線上發表日期及DOI號來引用該篇文獻。
引用範例(視不同引文格式規範可能有所差異)：
作者姓名。文章篇名。期刊名稱。YYYY/MM/DD線上預先發表。
P121 - 124
第二十二届全国计算机安全学术交流会
第二十二届全国计算机安全学术交流会论文集 (2008 / 04)
P121 - 124
随着电子计算机技术的不断进步,移动存储设备和介质从最初接口单一、容量小、寿命短、保存不易的软驱、软盘,发展到现在有ZIP、1394、USB、蓝牙、WiFi、红外等多种接口、多种介质、多种传输方式的各类移动存储设备和存储介质,传输速度、存储容量、易用性、便携性、数据安全性都得到了巨大的改善,尤其是近年来USB存储设备的大规模普及,极大的方便了我们的工作生活.但我们在享受着高效的数据移动给我们带来的愉悦、便捷的同时,却发现我们的内部网络安全正在不断的受到病毒、木马、非法软件和窃密者的侵蚀,变得越来越脆弱。本文论述了建立统一的用户身份管理认证体系、建立内部网络安全管理系统、建立移动存储设备的安全管理系统以及建立科学规范的管理制度。
文章公開取用時，將寄通知信至您填寫的信箱地址
購物車中已有多篇文章，請問是否要先清除，或一併加入購物車中購買 ?
客戶服務專線
服務時間：週一～五
9:00~18:00
地址：234台灣新北市永和區成功路一段80號18樓
(C) 2011airiti Inc. All rights reserved.
華藝數位股份有限公司比特客户端
您的位置：
详解大数据
详解大数据
详解大数据
详解大数据
内网计算机的十大安全防护策略详解
防护策略 教程 内网计算机
　　大多重视提高企业网的边界，暂且不提它们在这方面的投资多少，但是大多数企业的核心内网还是非常脆弱的。企业也对内部网络实施了相应保护措施，如:安装动辄数万甚至数十万的网络、检测软件等，并希望以此实现内网与Internet的安全隔离。
　　然而，情况并非如此!企业中经常会有人私自以Modem拨号方式、或网卡等方式上网，而这些机器通常又置于企业内网中，这种情况的存在给企业网络带来了巨大的潜在威胁，从某种意义来讲，企业耗费巨资配备的防火墙已失去意义。
　　这种接入方式的存在，极有可能使得绕过防火墙而在企业毫不知情的情况下侵入内部网络，从而造成敏感泄密、传播等严重后果。实践证明，很多成功防范企业网边界安全的技术对保护企业内网却没有效用。于是网络维护者开始大规模于增强内网的防卫能力。
　　下面给出了应对企业内网安全挑战的10种策略。这10种策略即是内网的防御策略，同时也是一个提高大型企业网络安全的策略。
　　1、注意内网安全与网络边界安全的不同
　　内网安全的威胁不同于网络边界的威胁。网络边界安全技术防范来自Internet上的攻击，主要是防范来自公共的如HTTP或SMTP的攻击。网络边界防范(如边界防火墙系统等)减小了资深黑客仅仅只需接入、写程序就可访问企业网的几率。
　　内网安全威胁主要源于企业内部。恶性的黑客攻击事件一般都会先控制络内部的一台Server，然后以此为基地，对Internet上其他主机发起恶性攻击。因此，应在边界展开黑客防护措施，同时建立并加强内网防范策略。
　　2、限制的访问
　　虚拟专用网(VPN)用户的访问对内网的安全造成了巨大的威胁。因为它们将弱化的桌面置于企业防火墙的防护之外。很明显VPN用户是可以访问企业内网的。
　　因此要避免给每一位VPN用户访问内网的全部权限。这样可以利用登录控制权限列表来限制VPN用户的登录权限的级别，即只需赋予他们所需要的访问权限级别即可，如访问邮件或其他可选择的网络资源的权限。
　　3、为合作企业网建立内网型的边界防护
　　合作企业网也是造成内网安全问题的一大原因。例如安全管理员虽然知道怎样利用实际技术来完固防火墙，保护MS-SQL，但是Slammer仍能侵入内网，这就是因为企业给了他们的合作伙伴进入内部资源的访问权限。由此，既然不能控制合作者的网络安全策略和活动，那么就应该为每一个合作企业创建一个DMZ，并将他们所需要访问的资源放置在相应的DMZ中，不允许他们对内网其他资源的访问。
　　4、自动跟踪的安全策略
　　智能的自动执行实时跟踪的安全策略是有效地实络安全实践的关键。它带来了商业活动中一大改革，极大的超过了手动安全策略的功效。商业活动的现状需要企业利用一种自动检测方法来探测商业活动中的各种变更，因此，安全策略也必须与相适应。例如实时跟踪企业员工的雇佣和解雇、实时跟踪网络利用情况并记录与该计算机的文件服务器。总之，要做到确保每天的所有的活动都遵循安全策略。
　　5、关掉无用的网络服务器
　　大型企业网可能同时支持四到五个服务器传送e-mail，有的企业网还会出现几十个其他服务器监视SMTP端口的情况。这些主机中很可能有潜在的邮件服务器的攻击点。因此要逐个中断网络服务器来进行审查。若一个程序(或程序中的逻辑单元)作为一个window文件服务器在运行但是又不具有文件服务器作用的，关掉该文件的共享协议。
　　6、首先保护重要资源
　　若一个内网上连了千万台(例如30000台)机子，那么要期望保持每一台主机都处于锁定状态和补丁状态是非常不现实的。大型企业网的安全考虑一般都有择优问题。这样，首先要对服务器做效益分析评估，然后对内网的每一台网络服务器进行检查、分类、修补和强化工作。必定找出重要的网络服务器(例如实时跟踪客户的服务器)并对他们进行限制管理。这样就能迅速准确地确定企业最重要的资产，并做好在内网的定位和权限限制工作。
　　7、建立可靠的无线访问
　　审查网络，为实现无线访问建立基础。排除无意义的无线访问点，确保无线网络访问的强制性和可利用性，并提供安全的无线访问接口。将访问点置于边界防火墙之外，并允许用户通过VPN技术进行访问。
　　8、建立安全过客访问
　　对于过客不必给予其公开访问内网的权限。许多安全技术人员执行的“内部无Internet访问”的策略，使得员工给客户一些非法的访问权限，导致了内网实时跟踪的困难。因此，须在边界防火墙之外建立过客访问网络块。
　　9、创建虚拟边界防护
　　主机是被攻击的主要对象。与其努力使所有主机不遭攻击(这是不可能的)，还不如在如何使攻击者无法通过受攻击的主机来攻击内网方面努力。于是必须解决企业网络的使用和在企业经营范围建立虚拟边界防护这个问题。这样，如果一个市场用户的客户机被侵入了，攻击者也不会由此而进入到公司的R&D。因此要实现公司R&D与市场之间的访问权限控制。大家都知道怎样建立互联网与内网之间的边界防火墙防护，现在也应该意识到建立网上不同商业用户群之间的边界防护。
　　10、可靠的安全决策
　　网络用户也存在着安全隐患。有的用户或许对网络安全知识非常欠缺，例如不知道RADIUS和TACACS之间的不同，或不知道和分组过滤防火墙之间的不同等等，但是他们作为公司的合作者，也是网络的使用者。因此企业网就要让这些用户也容易使用，这样才能引导他们自动的响应网络安全策略。
　　另外，在技术上，采用安全、重要数据的备份、使用代理、确保操作系统的安全、使用主机防护系统和入侵检测系统等等措施也不可缺
[ 责任编辑：孙威民 ]
去年，手机江湖里的竞争格局还是…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte您的位置： &
如何构建可信并可控的内网
优质期刊推荐当前位置： >>
北信源VRVEDP内网安全管理系统手册
特 别 声 明? 本使用手册由《北信源内网安全及补丁分发管理系统》产品安装 配置指导手册、用户手册、产品维护手册三部分组成，其内容将 随着北信源软件的不断升级而改变(以光盘中电子版发行时为最 新版)，恕不另行通知。需要者请从北信源公司网站下载本手册的 最新电子版或者直接联系北信源公司索取。 ? 《北信源内网安全及补丁分发管理系统》产品由《北信源内网安 全管理系统》及《补丁分发管理系统》两大套件构成。 ? 本使用手册为《北信源内网安全及补丁分发管理系统》通用说明 书。若您独立购买《北信源内网安全管理系统》或《北信源补丁 分发管理系统》之一产品，本说明书的其它功能将不具备。 ? 两大套件主要区别： 《北信源补丁分发管理系统》不具备违规联网 监控、客户端安全管理和桌面管理功能； 《北信源内网安全管理系 统》不具备补丁自动分发功能。请您在使用过程中选择性阅读相 应章节。? 感谢您购买北京北信源自动化技术有限公司研制开发的内网安全管理及补丁自动分发系列软件。请在使用本软件之前认真阅读本 使用手册，当您开始使用该软件时，北信源公司认为您已经阅读 了本使用手册。快速阅读指南1. 详细阅读本软件组件功能、组成、作用、应用构架，确切了解本软件的系统应用。 2. 安装准备软件环境：Microsoft SQL Server2000、Windows 2000Server、Internet 服务管理器；建议将数据库管理系统、区域管理 器、WEB 管理平台安装在同一服务器上,确认区域管理器所在机器的 88 端口不被占用（即非主域控制器） ；防火墙应允许打开 88，2388， ，，2，8889 端口。 3. 按步骤安装各组件后，通过 http://*.*.*.*/vrveis 登录 Web管理平台，首先对 Web 管理平台进行如下配置：添加区域→划分该区 域 IP 范围→指定区域管理器→指定区域扫描器。 4. 5. 双击屏幕右下角区域管理器、 单击主机保护进行通讯参数配置。 在\VRV\VRVEIS\download 目录中，使用 RegTools.exe 工具修改 DeviceRegist.exe 文件中的本地区域管理器 IP，将修改后的注册 程序 DeviceRegist.exe 放在机构网站上进行静态网页注册，或者在 机构网站上加载动态网页检测注册脚本语句，进行动态设备注册。 6. 系统升级：联系北信源公司获取最新的软件组件升级包，确保Web 管理平台、区域管理器、客户端注册程序等组件的升级。 特别提示：默认管理员用户：admin，密码：123456；系统指定 审计用户名：audit,密码：123456 请注意修改。第一章．系统介绍........................................................................................................ 5 1-1 产品组成 ............................................................................................................ 5 1-2 应用构架 ............................................................................................................ 7 第二章．系统安装........................................................................................................ 8 2-1 安装环境 ............................................................................................................ 8 2-2 安装注意事项 .................................................................................................... 9 2-2-1 软件安装监控服务器部署注意事项......................................................... 9 2-2-2 软件安装和应用过程中注意事项........................................................... 10 2-3 系统组件安装 .................................................................................................. 11 2-3-1 安装 SQL server 数据库......................................................................... 11 2-3-2 安装 WinPcap 驱动模块........................................................................... 11 2-3-3 安装远程技术支持模块 ............................................................................ 11 2-3-4 初始化数据库........................................................................................... 11 2-3-5 安装 Web 中央管理平台........................................................................... 14 2-3-6 安装区域管理器 Region Manage............................................................ 15 2-3-7 配置设备扫描器模块 Region scan........................................................ 16 2-3-8 安装补丁下载服务器模块....................................................................... 17 2-3-9 安装管理器主机保护模块....................................................................... 18 2-3-10 安装报警中心模块................................................................................. 18 2-3-11 客户端注册及下载................................................................................. 18 第三章 系统应用........................................................................................................ 27 3-1 配置与管理 ....................................................................................................... 27 3-1-1 区域划分................................................................................................... 27 3-1-2 区域管理器配置....................................................................................... 30 3-1-3 扫描器配置............................................................................................... 35 3-1-4 注册程序配置........................................................................................... 38 3-1-5 注册部门配置与管理............................................................................... 41 3-1-6 自定义组分配与管理............................................................................... 44 3-1-7 IP 与 MAC 绑定列表.................................................................................. 45 3-2 策略中心 ............................................................................................................ 46 3-2-1 阻断违规接入管理................................................................................... 46 3-2-2 策略管理中心........................................................................................... 47 3-3 数据查询 ............................................................................................................ 84 3-3-1 设备信息查询 ............................................................................................. 87 3-3-1-2 注册设备资产查询.................................................................................. 88 3-3-1-3 硬件变化设备查询.................................................................................. 91 3-3-1-4 设备安装软件查询.................................................................................. 88 3-3-1-5 设备首次运行进程查询.......................................................................... 89 3-3-1-6 共享目录查询.......................................................................................... 90 3-3-1-7 设备 IP 占用状况列表 ............................................................................ 91 3-3-7 移动设备审计查询 ..................................................................................... 92 3-3-7 安全策略违规查询 ..................................................................................... 943-3-8 涉密检查查询 ............................................................................................. 95 3-3-9 消息确认查询 ............................................................................................. 96 3-3-11 软件分发查询 ........................................................................................... 97 3-3-12 软件分发统计 ........................................................................................... 97 3-4 终端控制 ........................................................................................................... 98 3-4-1 终端管理：................................................................ 错误！未定义书签。 3-4-2 行为控制....................................................................错误！未定义书签。 3-4-3 VPro 远程管理......................................................... 错误！未定义书签。 3-4-4 远程协助....................................................................错误！未定义书签。 3-5 补丁分发 ........................................................................... 错误！未定义书签。 3-6 运维信息 ........................................................................................................... 98 3-6-1 客户端流量排名...................................................................................... 116 3-6-2 客户端流量统计...................................................................................... 117 3-6-3 运维状态异常.......................................................................................... 117 3-6-4 网络拓扑发现............................................................ 错误！未定义书签。 3-7 报警事件 ......................................................................................................... 119 3-7-1 报警数据查询.......................................................................................... 119 3-7-2 图形化报警.............................................................................................. 123 3-7-3 本地报警数据汇总.................................................................................. 123 3-8 级联总控 ......................................................................................................... 127 3-9 统计报表 ......................................................................................................... 133 3-10 系统维护 ....................................................................................................... 135 第四章 补丁分发管理.............................................................................................. 142 4-1 区域管理器补丁管理设置 ............................................................................ 142 4-2 补丁自动下载分发 ........................................................................................ 143 4-3 客户端补丁检测（一） ................................................................................ 148 4-4 客户端补丁检测（二） ................................................................................ 150 4-5．本地补丁分发综合查询 .............................................................................. 150 4-6 补丁级联下载 ................................................................................................ 151 第五章 客户端阻断.................................................................................................. 153 5-1 扫描器组件配置 ............................................................................................ 153 5-2 阻断策略应用 ................................................................................................ 153 5-2-1 违规自动阻断策略................................................................................. 154 5-2-2 手动设置针对设备的单独阻断策略..................................................... 154 5-2-3 硬件防火墙联动阻断策略..................................................................... 155 第六章 网络接入认证管理...................................................................................... 157 6-1 策略中心-&接入认证策略-&补丁与杀毒软件认证 ......................................... 157 6-2、策略中心-&接入认证策略-&进程服务注册表认证 ....................................... 159 6-3、策略中心-&接入认证策略-&802.1X 接入认证认证 ...................................... 163 6-4 、环境准备方法 ................................................................................................ 164RADIUS 安装与配置 ............................................................................................ 164 安装 RADIUS ........................................................................................................ 164 6-5、各厂商交换机配置 .......................................................................................... 177 1. Cisco2950 配置方法 ................................................................................... 177 2. 华为 3COM 3628 配置 ............................................................................... 178 3．锐捷 RGS21 配置 ......................................................................................... 182 第七章 系统备份及系统升级.................................................................................. 183 7-1 系统数据库数据备份及还原 ........................................................................ 183 7-2 系统组件升级 ................................................................................................ 184 7-2-1 区域管理器、扫描器模块升级............................................................. 184 7-2-2 升级网页管理平台................................................................................. 184 7-2-3 客户端注册程序升级............................................................................. 184 7-2-4 检查系统是否升级成功......................................................................... 185 7-3 级联管理模式升级及配置 ............................................................................ 185 第八章 售后服务...................................................................................................... 187 第九章 附录.............................................................................................................. 189 附录（一）微软 SQLSERVER 系统安装步骤 ........................................................... 189 附录（二）北信源内网管理系统名词注释 ........................................................ 195 附录（三）移动存储设备认证工具操作说明 .................................................... 196 附录（四）主机保护工具操作说明 .................................................................... 214 附录（六）组态报表管理系统操作说明 ............................................................ 221 附录（七）信息安全通告平台 ............................................................................ 230第一章．系统介绍1-1 产品组成北信源内网安全及补丁分发管理系统由 8 部分组成：WinPcap 程序、SQL Server 管理信息库（安装包：环境初始化程序） 、Web 中央管理配置平台（安装 包：网页管理平台） 、区域管理器(安装包：Region Manage,原区域扫描器已作为 模块集成到区域管理器)、客户端注册程序（安装包：注册程序） 、补丁下载服务 器、管理器主机保护模块、报警中心模块。 环境初始化程序：SQL Server 管理信息库，建立北信源内网安全及补丁分 发管理系统的初始化数据库。 包括： 网络客户端设备属性信息、 区域管理器信息、 设备扫描器信息、区域管理范围信息、注册（未注册）机器信息、设备属性变化 信息、 报警信息等。 扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比，根据规则要求在管理平台上报警。 Web 管理平台：Web 中央管理配置平台，本系统的管理配置中心。包括区域 管理器、扫描器、注册客户端的功能参数设定，网络设备信息发现、系统应用策 略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。 Region Manage：区域管理器，系统数据处理中心。与管理信息数据库通讯， 接收注册程序提供的用户信息， 将用户信息（用户填写的物理信息和系统自动采 集的硬件信息）并行存入数据库；接受来自控制台的命令操作，发送到客户端、 扫描器执行。 对于存在多级管理要求的广域网，网络中可以存在多个区域管理器，系统数 据提供逐级上报（转发）模式。 区域管理器内置网络扫描器，扫描器将设备最新状态信息报送至区域管理 器，由区域管理器处理后，同数据库中原有信息进行遍历搜索对比，根据管理规 则在管理平台上报警。 扫描器配合区域管理器进行工作，可以在分级模式下使用。扫描器只依据 Web 管理平台中配置的工作范围进行扫描，超越其范围，将不负责执行操作。 WinPcap 程序：嗅探驱动软件，监听共享网络上传送的数据。 客户端注册程序：用户访问指定网站自动获得，用户填写本机信息，填写必 要信息后上报区域管理器。 注册程序自动探测系统硬件信息，连同用户填写的信 息一同上报区域管理器。 用户将本机注册信息发送到区域管理器后，区域管理器 自动将客户端驻留程序应用策略发送给用户，并自动更新。 客户端驻留程序功能： 1. 进行本机硬件属性信息变化监视； 2. 进行本机 IP、MAC 地址变化审计； 3. 本机系统补丁、软件安装、运行进程状况监测； 4. 探测本机是否有违规联网行为，在内网管理中心或外网报警平台报警； 5. 接受 Web 管理平台的管理命令； 6. 阻断本机非法外联行为； 7. 执行 Web 管理平台下发的各种策略操作。补丁下载服务器：安装在与 Internet 网络连接的机器上，用于实时下载补 丁厂商发布的补丁。 管理器主机保护模块：管理器主机保护模块可根据管理器或其他服务器具 体使用的端口、网络协议、通信 IP 范围和具体的其他网络应用来定义该计算机 使用的安全级较高的网络配置， 从而防止该计算机受到恶意的 IP 冲突以及各种 网络、病毒攻击。 报警中心模块：安装在可与区域管理器所在服务器正常通讯的计算机上， 本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包 括电子邮件、信使服务、SNMP Trap、手机短信等多种报警方式。 注：区域管理器（Region Manage） 、区域扫描器模块（Region scan） 、注 册程序部分系统的参数配置集中体现在网页管理平台操作上，上述三部分功能 参数、功能项数值统一在网页管理平台中进行配置。区域管理器（ Region Manage） 、扫描器模块（Region scan）部分参数在自身软件组件中配置。1-2 应用构架北信源内网安全及补丁分发管理系统应用于局域网、广域网构架，支持跨 网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违 规联网监视、网络安全隔离度监控等。 系统应用主要分为以下两种构架： 基本构架：对于一般网络（例如 1 个 C 类地址或若干个 C 类地址的局域网 范围） ，可使用一套本系统软件，集中管理所属区域内的所有设备。 扩展构架：对于大规模的多个局域网或者跨地域广域网（包括基于国家、 省、市、县等多级管理模式的网络结构） ，可使用本系统提供的多区域集中管理 构架，即一个或多个网段各拥有一套独立北信源内网安全及补丁分发管理系统 的同时，将本级所有设备信息再转发给上级管理数据库，使得上一级管理人员 对整个网络的设备状况也能够完全掌握。图 1-1 北信源内网安全及补丁分发管理系统应用拓扑第二章．系统安装2-1 安装环境条件一：硬件环境 SQL Server 数据库服务器：用于安装系统管理信息数据库。PC 服务器或更 高档服务器， PentiumⅣ 2.4C 以上 CPU，512M 以上内存。 区域管理器：用于安装区域管理器程序。百兆或千兆网卡，PC 服务器或更 高档服务器， PentiumⅣ 2.4C 以上 CPU，512M 以上内存。 扫描器模块：配置同区域管理器。如单独安装扫描器模块，比较高档的 PC 计算机即可。 本系统各程序可安装在同一台计算机上，也可在不同机器上安装 SQL 数据 库、IIS 服务器、区域管理器、扫描器模块等，此时推荐该计算机内存为 1G 以 上。 建议将区域管理器、扫描器、网页管理平台安装在同一台机器上，作为监控 服务器。 条件二：提供数据库、IIS 服务 操作系统：Windows 2000 或 Windows 2003 企业版操作系统。SQL Server2000 软件：配备 SQL Server 数据库系统，用于北信源内网安全 及补丁分发管理系统建立管理信息库数据库列表项。 IIS 服务： 配备 IIS 服务器提供 Web 服务， 用于安装 Web 网页管理配置平台。 如所装操作系统为 Windows 2003 企业版， 则需要按照安装光盘中的 Windows 2003 的 IIS 配置说明进行 IIS 配置。 条件三：为本系统提供相应端口 北信源内网安全及补丁分发管理系统区域管理器将占用操作系统 88 端口， 必须确保安装区域管理器的机器该端口不被占用。 区域内的防火墙应打开如下端 口：80，88,，1,137,2，2 以 及 ICMP 协议。同时最好将 DNS 服务迁移至其它服务器。2-2 安装注意事项软件安装时，推荐将区域管理器、扫描器、数据库安装在同一台机器上（以 下称为监控服务器） ，建议按照下面要求进行监控服务器部署、软件安装、客户 端注册。2-2-1 软件安装监控服务器部署注意事项1、监控服务器在网络中放置位置注意点 ? 确保该监控服务器能够 ping 通所有被管理网络中任意一台客户端机器， 同时被管理客户端可以正常连接服务器的 TCP 的 80,88 两个端口。 ? ? 监控服务器给客户端下达策略的端口为：TCP 端口 22105。 监控服务器扫描发现客户端利用以下协议及端口： ? ICMP 协议（发现 IP 地址存在的其中一种方式） ； ? NETBIOS 协议,UDP 端口 137(为了发现机器名和 MAC 地址)； ? SNMP 协议,TCP 端口 161（为了发现智能设备如路由器、交换机等） ； ? 在本地网络中若划分了 VLAN， 或本地网络存在防火墙， 请注意上述问题。2、存在网中子网（如经过地址转换）的网络布置点 对于网络中存在网中网现象， 如采用 NAT 地址转化或者代理方式在 10.*. *.*网络中接入 192.*. *. *网段，这些子网用户的管理方式如下： 情况一：子网有专人管理，并且有独立机房,则应在该子网中安装一套完整 的监控系统。 情况二：子网无专人管理，或无独立机房，可采用以下 3 种方式之一处理 1) 机器数量少的建议统一更改 IP 为 10.*. *. * 网段。 2) 由管理员监督子网中所有机器进行注册并保证不得遗漏。3) 在该网络中指定一台工作站专门安装区域管理器软件和区域扫描模块，并将区域管理器配置中 SQL 服务器地址指向监控服务器。2-2-2 软件安装和应用过程中注意事项1、必须按照软件安装步骤进行安装 1）确认本机 IIS 服务正常； 2）确认本机 SQL 已正常安装并能正常使用（以本地系统账户方式安装） ； 3）确认目标安装盘剩余空间不小于 10G； 4）请务必按照指定顺序安装各个模块； 5）请在区域扫描模块所在计算机中安装 SNMP 服务； 6）安装完所有系统模块后，请一定按照说明文档进行客户端程序的配置及 分发安装。 2、监控服务器的安全性问题 管理服务器安装 Windows2000 Server 操作系统 （带 IIS） MS SQL Server2000 、 数据库后，一定要确保对 Windows2000、SQL 和 IE 进行重要安全补丁修补，规范 操作系统、数据库的口令和密码设置，保证 SQL、IIS 的正常启动运行。 确保本服务器无病毒，同时可配置本服务器网络通讯端口仅打开：80，88， ，，，8889。 3、保护机制的应用 对大多数交换机、路由器、非 Windows 设备，需要将其设置为保护状态（避 免被阻断导致网络不通） ，其它如有系统无法识别的重要设备，请在网页管理平 台设备信息查询中手动将其设置为保护状态。2-3 系统组件安装安装顺序依次为： *安装 SQL Server 数据库； *安装 WinPcap 驱动程序； *安装并运行环境初始化程序，初始化数据库； *安装网页平台并进行划分区域，配置区域 IP 范围、区域管理器参数、设备 扫描器参数 等（推荐安装在默认路径下） ； *安装区域管理器（推荐安装在默认路径下） ； *通知所有用户下载并运行注册客户端代理探头程序。2-3-1 安装 SQL server 数据库略，见附录(一)。2-3-2 安装 WinPcap 驱动模块在安装页面中选择“安装 WinPcap 驱动模块”按钮，单击“下一步”安装 在区域扫描器所在计算机上。2-3-3 安装远程技术支持模块该模块是一个程序附属工具(一般不需要安装)在客户端安装程序里带有该 程序, 是用户远程桌面管理及控制,有便于管理员帮助终端用户解决问题。2-3-4 初始化数据库初始化数据库是在 SQL 数据库中初始化建立 VRVEIS 数据库并生成系统必需 的相关数据表格， 在此过程中需要利用本地数据或者调用远程 SQL 数据库，用户 需要根据实际安装情况按以下两种方式进行操作：?本地 SQL 数据库服务器环境初始化1)、环境初始化，建立初始数据库 在 SQL 服务器地址栏中添加本地机器 IP 地址、SQL 用户名、及 SQL 用户 密码。图 2-3-4-1 SQL 数据库服务器环境初始化 2)、检查数据库初始化是否成功：图 2-3-4-2 检查数据库初始化 当有如图“初始化数据库结构成功”提示框弹出时， 说明已成功创建初始 化数据库。否则会出现如下图所示提示信息：图 2-3-4-3 初始化数据库失败提示信息 如果出现如上图所示提示信息，用户需要检查所填入的 SQL 数据库 IP 地 址、用户名以及用户密码，重新初始化数据库。 ? 远程 SQL 数据库服务器环境初始化（建议非特殊情况不采用远程方式）1)、输入远程数据库信息，配置 SQL 客户端：安装远程数据库需要首先输入远 程数据库 IP 地址、用户名称、用户密码，然后点击“配置 SQL 客户端”，出现 如下界面：图 2-3-4-4 配置 SQL 客户端 2)、在通用栏中，启用 TCP/IP 协议：在通用栏中，选用 TCP/IP 协议，并启 用，然后单击别名，进行别名添加设置。图 2-3-4-5 启用所选协议 3)、进行客户端别名的添加:单击上图中所圈中的别名，出现如下所示：图 2-3-4-6 对客户端别名的添加 4)、进行网络协议的选择和服务器别名的添加：此时用户需要首先选择网络 协议，选定为 TCP/IP，服务器别名根据用户需要自由添加，点击确定后完成数 据库初始化。2-3-5 安装 Web 中央管理平台? 安装 Web 管理平台此部分程序要求安装在默认路径下， 安装过程中请确保信息填写正确， 否则， Web 服务器可能不能正确访问 SQL Server 数据库。 ? Web 中央管理平台访问Web 管理平台安装以后在 IIS 目录上以虚拟目录的形式存在，虚拟目录名称为 VRVEIS，用户在安装完成以后，用 http://Web 服务器域名（IP）/VRVEIS 的 形式访问 Web 管理平台主页面。默认用户名为 admin，密码为 123456。 （以下的 都是用 admin 登陆进行说明的）审计用户名为 audit,默认密码为 123456，详见 附录（六） 。 如果 http://Web 服务器域名（IP）/VRVEIS 访问无效，则以 http://Web 服 务器域名（IP）/VRVEIS/INDEX.ASP 方式登录。 Windows2003 下 IIS 配置以及 NTFS 磁盘格式配置注意事项见附录（七） 。2-3-6 安装区域管理器 Region Manage在 Web 中央管理平台中划分区域及指定区域管理器后 （参见 Web 中央管理平 台配置）安装区域管理器组件。安装后进行以下两项配置： ? SQL 客户端配置如果“区域管理器”没有同 SQL 装在同一台服务器上，需要在如下图所示窗 口中将默认网络库选择为“TCP/IP” ，使客户端能够远程访问数据库。在“区域 管理器”中选择“配置”-&“系统配置” ，配置 SQL 客户端，也可以通过 Alt+S 热键，进入配置。图 2-3-6-1 SQL 常规配置 上述配置完毕以后，需要重新启动“区域管理器” ，使系统生效。 ? 区域管理器系统配置SQL 服务器配置：进入“系统配置” ，逐步输入 SQL 服务器 IP 地址、用户名 称及密码、数据库名称（默认为 VRVEIS） ，单击“确定”完成 SQL 服务器配置。图 2-3-6-2 区域管理器中 SQL 配置2-3-7 配置设备扫描器模块 Region scan在配置好 Web 防护系统区域及其区域管理器后做以下步骤： 在配置管理里，点击“扫描器配置”可以添加扫描器，配置扫描范围。图 2-3-7 区域扫描器配置 填写相关信息之后重新启动区域管理器，程序会自动缩小到系统托盘，表示 数据库连接成功，程序运行正常，此时通过上图中“扫描器配置”项来查看扫描 器相关运行信息。2-3-8 安装补丁下载服务器模块在安装页面中选择“补丁下载服务器安装模块”按钮，输入序列号 SN，单 击“下一步” 、在桌面生成 DownPatch.exe 快捷方式，执行后如下图所示：图 2-3-8-1 补丁下载服务器主界面 点击系统配置弹出如下图：图 2-3-8-2 补丁下载索引解析界面添加补丁索引： 从北信源站点获取补丁索引，用以获取补丁厂商发布补丁信 息，通过对补丁索引的解析，下载补丁。按照补丁索引、管理配置要求从补丁厂 商站点获取补丁，补丁下载支持各种方式（下载线程、下载时间）自定义下载补 丁。图 2-3-8-3 补丁下载参数设置2-3-9 安装管理器主机保护模块选择安装在安装页面中选择“安装管理器主机保护模块”按钮，输入序列号 SN，单击“下一步” 、在桌面生成 nsscenter.EXE 快捷方式，执行后在系统右下 角任务栏所示 绿色的图标，鼠标右键点击，可以对其进行相应的设置，具体设置参见附录(四)。2-3-10 安装报警中心模块选择安装在安装页面中选择“安装报警中心模块”按钮，输入序列号 SN， 单击 “下一步” 在桌面生成 nsscenter.EXE 快捷方式。 、 具体设置参见附录(五)。2-3-11 客户端注册及下载（一）客户端注册原理及注册程序配置? 客户端注册原理执行注册程序， 根据要求填入指定信息，系统自动将所添加信息和系统自动 采集获得的设备信息发送到区域管理器 （设置为转发模式的将发送到上级区域管 理器） ，区域管理器将注册信息导入 SQL 数据库保存，在 Web 管理平台中设置的 客户端参数策略将由区域扫描器扫描客户端后，发送给客户端驻留程序保存执 行。 该客户端驻留程序驻留在系统内部，以服务的方式实时运行，一旦某个客户 端非法接入互联网或设备改变违规，客户端就向 web 管理平台发送报警数据，同 时本机将显示报警信息。 ? 修改客户端注册程序配置文件在 web 平台中配置管理-&注册程序配置。 注册程序使用前需要网管人员的配 置， 主要是设置区域管理器 IP 地址（注册时客户端信息发向该 IP 地址所在的区 域管理器） ，如区域管理器为 192.168.0.244,配置如下图所示：图 2-3-11-1 注册程序配置在这里，可以对注册时需要填加的单位、注册密码进行编辑。如下图所示:图 2-3-11-2 单位和部门添加删除（二）客户端注册方法客户端注册方法包括网页静态注册、网页动态注册、手动注册、网关重定向 强制注册等。 网页静态注册： 静态注册比较简单， 客户端只需要将配置好的注册文件上传到公共主页上即 可，做一个链接，访问主页后手动下载注册。 主要讲述动态注册， 这种方法适用于网络用户较多的情况，客户端只要访问 网络内公共网站，网页将自动对客户端进行探测，弹出提示窗口，提示用户进行 注册。 网页动态注册： 利用网络中已经构建好的内部网站， 一方面网络客户端可以通过手动获得注 册程序， 也可以通过在主网页上加载弹出页面的方式进行提示性注册。本手册将 主要介绍后一种方式。 当网络中客户端计算机访问本网络内部网站时， 在该主页代码中加入一段代码（如下） 。本代码作用在于首先获得该客户端计算机的 IP 地址，再读取数据库 里面相关 IP 地址的注册和其它相关信息，如果该 IP 地址的设备存在，系统会根 据其是否完成“注册”“信任”“保护”三项操作进行判断，只要满足其中任意 、 、 一条件，都不会提示注册，否则会弹出窗口提示注册。 网页加载弹出程序方法如下：编辑已有主页的源程序，在需要加载弹出窗口 主页的源代码&body&中放入以下代码： &iframe src=&http://192.168.0. 253/vrveis/quest.asp& frameborder=&0& style=&width:0height:0px&&&/iframe& 注 意 ： 需 要 将 其 中 的 http:// 192.168.0.253/vrveis/quest.asp 换 成 http:// 安装内网安全管理网页平台计算机 IP/vrveis/quest.asp 即可， 此时当 网络中计算机访问该内部主页时，会自动弹出如下提示页面：图 2-3-11-3 网页动态注册 使用网页动态注册时，请管理员通知注册人，在访问本网站时，暂时关闭网 页弹出拦截程序或将本网站添加到不拦截列表中。 手动注册：除了自动注册设备外，遇到需要手工注册新增设备时，也可通过 WEB 管理平台中数据查询，设备信息查询中的手动添加设备功能，将新增设备的 具体信息详细登记填写至数据库中，并将其置为保护设备。 注意： 1.多级级联注册： 如果系统为多级级联方式，必须在区域管理器的高级配置 中的“系统配置”“策略配置”选项中的级联选项选中，并正确添加上级管理器 、 的 IP 地址， 各级区域会将自己所管辖的区域管理 IP 段上报到上级数据库中存储。 此时， 当网络中任意一台下级区域客户端计算机访问主网站的同时，会根据最上级区域数据库中存储的各级上报 IP 段信息，自动将该客户端注册程序文件 下载路径指向为自己所处 IP 段的本级区域注册器上，做到各个区域的客户端计 算机在访问同一网站进行注册程序下载时， 所下载的客户端程序均为自己所在区 域的专用注册程序。 如果网络中内部网站， 网络管理员可以通知网络内计算机在本系统 Web 管理 平台的登录页面中点击下载注册程序完成系统注册， 或者在此页面下按上面的步 骤做好弹出提示窗口方式注册。注册程序界面如下：图 2-3-11-4 客户端注册信息 无论采取哪种方式，在注册成功以后，注册程序除了将主动添加的信息自动 上报以外，还会自动收集其它和系统相关的信息进行上报。 客户端和区域管理器连接通讯不正常的情况下，将提示用户“缺省注册成 功” ，表示客户端探头已经注册完毕，但还没有与区域管理器通讯。当区域扫描 器扫到该计算机的 IP 地址时，才会将添加的信息及系统采集信息上报到区域管 理器，存储在数据库当中。 2．本系统使用初期，若要求对下属网络中的计算机信息进行统计、注册、 入库，必须在 Web 管理平台中管理器设置项内选中“允许客户端注册” ，如注册 时需要密码，也需要在 WEB 管理平台中进行设置，如下图所示：图 2-3-11-5 允许客户端注册图 2-3-11-6 注册信息编辑 网关重定向： 作用：注册信息重定向。如果没注册的客户机上网，那么他会把上网的网址重 定向到指定的注册页面上。 1．正确安装运行注册认证网关2． 启动注册认证网关进行配置图 2-3-11-7 注册认证网关配置 3．在系统参数里选择可以监听到整个网络包的网卡（一般这台机器为网关）图 2-3-11-8 系统参数4． 在重定向配置里，填写对未注册、保护和信任的机器的重定向网址。策略配置为在多长时间内重定向的次数，超过这个次数，将不再重定向。图 2-3-11-9 重定向配置 5．通讯配置，填写区域管理器的 IP 地址，通讯端口（一般为 88） ，同步信息间隔为同步区域管理的信息（即发现是否有新注册的信息） ，本地配置，侦听端 口为 688。图 2-3-11-10 通讯配置 6．配置完后点确认，然后启动注册认证网关，退出重起就可以用了。 （建议把这 个用在网关处或总的交换机出口处，这样可以捕获所有的信息包）（三）客户端卸载网络客户根据情况需要卸载客户端探头程序时， 运行安装程序包中的探头卸 载程序 UnInstallEdp.exe 如图：图 2-3-11-11 客户端卸载记录下序列号，并将序列号复制到如下图的第一个方框中：图 2-3-11-12 查看卸载密码 点击查看将会产生一个卸载密码，将其输入卸载密码框中点击卸载即可。图 2-3-11-13 卸载密码 或通过 WEB 管理平台中的点―点控制中的终端卸载如图：图 2-3-11-14 终端点对点-终端卸载第三章 系统应用本平台配置主要指北信源内网安全及补丁分发管理系统的网页平台操作， 网 页平台是整个北信源内网安全及补丁分发管理系统的配置操作核心， 整个内网安 全及补丁分发管理系统功能的实现全部在 Web 操作中实现，Web 方式有助于管理 员远程维护系统， 进行统一配置和统一管理。掌握对网页平台的功能操作和配置 对使用本系统来提高整个网络的安全性和解决网络管理的效率有着重要作用。 菜单功能模块:系统策略中心、数据查询、终端控制、补丁分发、运维信息、 报警事件、级联总控、统计报表、系统维护等模块。3-1 配置与管理3-1-1 区域划分在网页平台安装完毕之后，访问 http://Web 服务器域名（IP）/VRVEIS 访 问 WEB 管理平台登录界面。如下所示：图 3-1-1-1 Web 管理登录界面其中客户端工具下载菜单提供了包括用户注册器下载、 补丁检测中心、 多路 帮助平台、普通工具下载、管理员工具下载、工具上传管理等功能，用户按照页 面提示操作即可。图 3-1-1-2 客户端工具下载界面 系统默认用户为 admin， 密码为 123456， 登录后建议管理员修改管理员密码。 成功登录后，进入系统的主界面。如下图所示：图 3-1-1-3 Web 管理主界面?在所处的 IP 地址段内，进行区域划分操作 首先进行区域添加和划分操作。区域划分：单击配置管理里的“区域划分与配置” ，对网络中的客户端 进行区域划分管理，按照提示依次添加区域、增加区域 IP 管理范围、分配 区域管理器、 ，并完成系统组件运行参数配置。 具体步骤： 区域描述配置栏中填写好一些必要的与区域相关的信息，如区域机构代码、 区域名称、负责人姓名等。其他信息可以酌情依照实际用途填写。 本区域 IP 划分：根据用户实际需要在下图所示的文本框中填入需要管辖的 IP 地址。 其中保留 IP 段为该网段目前没有网络设备存在的网段，如有设备存在，则 会产生报警信息。图 3-1-1-4 区域划分与配置 下级区域划分：在已有区域页面中点击“增加下级区域”按钮进行下级区域 添加，如集团总部下属总裁办、行政部、财务部等。图 3-1-1-5 增加区域3-1-2 区域管理器配置区域管理器：区域管理器为系统策略控制及数据接收处理中心， 具有控制完 成系统相关的动作行为处理功能；同时与本级数据库系统连接，统一接收注册程 序提供的信息，将用户信息（填写的计算机使用人姓名、联系电话、E-mail 等， 计算机 IP、MAC 地址、硬盘、CPU、内存等其它硬件信息均为自动采集）存入数 据库。根据本区域客户端 IP 管理情况确定对 IP 地址的管理方式，若选择 IP、MAC 地址绑定， 需要在静态 IP 环境下进行设置。允许客户端控头升级：设置本区域管理器管理范围内的客户端的升级操作。 设置 vpn 网络虚拟管理器 IP：是指添加 VPN 虚拟服务器的 IP 地址。 管理器标识：是指管理器的标记，当服务器迁移时需要设置与之相同的管理 器标识。 管理器可直接通信网段：在管理多个独立子网时,该配置填写区域管理器服 务器可直接通信的地址。 允许客户端注册： 是指任意一台在区域范围内的客户端都可以在服务器上注 册。 管理器配置同步：当选中“下级区域”时下级区域的配置应该和上级区域管 理器的配置相同，当选中“全部区域”时是指下面的任意级联区域都要和区域管 理器的配置同步。图 3-1-2-1 区域管理器参数设置 区域管理器系统配置： 当设置完当前页面这时我们可以配置刚才安装好的内 网安全管理管理器去桌面双击“内网安全管理管理器”快捷方式弹出如下界面：图 3-1-2-2 区域管理器系统配置 ? 先进行 SQL 服务器配置：进入“系统配置” ，逐步输入 SQL 服务器 IP 地址、用户名称及密码、数据库名称（默认为 VRVEIS） ，单击“确定”完成 SQL 服务器配置。图 3-1-2-3 SQL 服务器配置 管理器配置：本软件默认机器操作系统 88 端口，若其它应用程序占用该端 口，将自动更改为 188。 如果区域管理器应用于多级管理（每级都有独立的 SQL server 和相应的内 网安全管理及补丁自动分发管理平台）的级联构架体系，其上级还有区域管理器 的情况下，当前区域管理器需要将所有信息上报到上级管理器。 区域管理器支持多级级联，如国家、省、市、县多级规模网络管理构架，下 属区域管理器将其所有计算机报警信息转报到上级数据库。 注：需要把“上报给上级管理器”√上，输入上级管理器地址。 升级配置： 用于配置区域管理器的自动升级，升级服务器地址为上级区域管 理器 IP。 区域管理器配置-高级设置 系统配置： 锁定下级策略是指下级不能够更改策略信息。 上报给上级区域管理器是指下级的策略，阻断，违规信息上报给上级区域 管理器，在此处打上“√”添加上上级管理器地址，配置级联。图 3-1-2-4 区域管理器 阻断配置：图 3-1-2-5 阻断配置 探头阻断：目前常用的阻断方式，由扫描器调度探头完成阻断任务。只要保 证一个网段（VLAN）中有一台存活的已注册计算机，就可以实现阻断。 防火墙阻断： 该方式必须与防火墙结合使用，需要设置必要的防火墙规则集 和安全认证，与其它厂商防火墙不兼容。 报警过滤：本软件系统提供对多种违规变化行为的报警：非法外联、设备未 注册、IP 绑定变化、设备变化、探头被卸载、病毒行为报警等。 本地报警种类过滤： 仅对本地网络中区域管理器管理范围内的违规变化行为 进行报警显示，用户根据自身管理要求进行筛选。图 3-1-2-6 报警种类过滤 策略配置：系统支持对各种文件的分发， Web 中央管理平台进行软件分发 在 操作前，必须对本项进行配置。 默认将分发文件放在 C:\VRV\RegionManage\Distribute 目录下，管理员可 根据需要自行更改路径，同时，修改本路径后，补丁下载存放的位置也会相应改 变。图 3-1-2-7 策略配置 补丁下载：将待分发操作系统补丁放置在设置好的补丁路径的目录下，在 Web 中央管理平台中进行分发操作。 管理员通过对参数项的选择进行下载配置，级联 IP 提供对上一级补丁的下 载获取。图 3-1-2-8 补丁下载 其他配置：主要是硬件网关重定向配置，此功能必须配合硬件设备使用。图 3-1-2-9 其他配置3-1-3 扫描器配置点击增加扫描器设置扫描器扫描网络 IP 范围。机构代码：一般为阿拉伯数字，由用户单位根据管理要求进行设定。 扫描间隔：根据管理 IP 范围大小进行设置（建议设置为 10 分钟） 。图 3-1-3-1 区域扫描器参数设置 注:扫描器配合区域管理器进行工作，扫描器的扫描范围不可能超过它的区 域管理器管理的 IP 范围。 扫描器除了指定扫描的 IP 范围外还能够指定排除不扫描的地址范围，如有 某些网段不需要扫描器发现设备，为缩短扫描时间，可在扫描器设置中增加禁止 扫描地址段的设置。 扫描器高级配置：图 3-1-3-2 扫描器配置-系统配置 扫描器高级配置――系统配置： 扫描频率设定： 用户可以根据网络中网络带宽占用情况， 灵活设置扫描频率， 同样可以选择是否“使用 SNMP 扫描”扫描方式，如果选择“使用 SNMP 扫描” ，则系统能够自动对网络设备（例如交换机、路由器、网络打印机等）进行扫描， 并自动登记到设备列表库中。 阻断选项：如果用户选择“扫描器阻断” ，此时可采取“轻量级阻断”和“重 量级阻断”两种方式。 轻量级阻断：阻断计算机向网络中广播一个 ARP 请求报文，将被阻断计算 机的 IP 地址及对应的假 MAC 地址发送给网络内所有的计算机，每台计算机收 到请求后便会对本地的 ARP 缓存进行更新，将收到的请求中的 IP 和对应的假 MAC 地址存储在 ARP 缓存中。这样对于网络中的计算机看来，被阻断计算机的 IP 地址没有变化，而它的 MAC 地址已经不是原来那个了。由于局域网的网络通 信不是根据 IP 地址进行，而是按照 MAC 地址进行传输。因此，被阻断计算机 便接收不到网络中计算机（不含阻断计算机）传送过来的信息。 重量级阻断：阻断计算机冒充网络中的其他计算机（本网段 1-255）给被阻 断计算机发送定向 ARP 应答报文，被阻断计算机收到请求后便会对本地的 ARP 缓存进行更新， 将收到的请求中的 IP 和对应的假 MAC 地址存储在 ARP 缓存中。 这样对于被阻断计算机看来， 网络中的计算机的 IP 地址没有变化， 而它们的 MAC 地址已经不是原来那个了。因此，被阻断计算机便不能向网络中的计算机（不含 阻断计算机）传送信息。 扫描器高级配置――交换机扫描配置： 交换机扫描用于扫描发现交换机，进行拓扑发现。Snmp 团体名：根据拓扑 管理需要输入网络中所有网络设备的 snmp 读团体名用“;”隔开。图 3-1-3-3 交换机扫描配置 如上图，配置扫描间隔时间一般设成 5-10 分钟，IP 范围设置需要扫描的 ip段，snmp 读团体名称是根据交换机口令设置的。 该功能的启用需要下载交换机拓扑模块，安装后进行网络拓扑发现。进入 web 管理平台主页面“运维监控”菜单，启用网络拓扑图，安装交换机拓扑模块 后进行网络拓扑发现。3-1-4 注册程序配置控制页面如下.管理员可以通过设置来按照需求来配置客户端注册程序,让用 户填入相应的信息 ,方便以后管理。其中的项有启用、必选、还可以对输入数据 进行控制.后面的功能设置必须对每个功能模块启用。图 3-1-4-1 注册程序配置 选择编辑单位/部门弹出如下图：图 3-1-4-2 编辑单位/部门 先选择修改单位弹出如下窗口：图 3-1-4-3 修改单位 填写单位名称和单位备注消息点击添加/修改单位。 最后点击保存修改关闭窗口返回上级窗口如下图：图 3-1-4-4 保存修改 可以看到刚才添加的单位。 在此输入每个单位所对应的部门,部门备注信息.选择保存修改可以完成单位 和部门的配置。 点击设置注册密码弹出如下窗体原注册密码为空。 设置注册密码是为了防止新接入设备非法进行注册。图 3-1-4-5 直接添加新注册密码保存修改就可以。 注册单位与注册部门产生联动 当对单位和注册部门设置为必填和仅选择这时客户端注册程序 对单位和部门的填写只能按照管理员的设置来选择.不能 手动填写。 使用静默注册： 以上的设置都不生效这时客户端注册程序只需选择下载运行 就可以。 注册程序会自己上报终端的计算机名和 IP 地址 MAC 地址。选择保存修改点击打包注册程序这时完成客户端注册程序配置。3-1-5 注册部门配置与管理新增单位：该功能作用基本与“从系统注册单位导入”相似，不同的是，它 可以加入备注信息。图 3-1-5-1 再新增单位 具体方法：选择新增单位弹出如下窗体：图 3-1-5-2 再新增单位 从已注册的单位选择一个单位然后进行单位描述点击添加。 后可以在左边看到新增的单位之后选择新增的部门。 选择新增的部门弹出如下图对部门进行描述 点击添加完成操作。图 3-1-5-3 单位描述 从系统注册单位导入： 该功能作用是将客户端注册时输入的单位名称导入到 “注册单位及部门”中。当客户端在注册时输入单位名称时，那么点击“从系统 注册单位导入” 就可以看到一个单位名称及相应的部门，同一个单位名称只出现 一次。 选择左边单位与部门树目录点击从系统注册单位单位导入弹出如下图：图 3-1-5-4 系统注册单位单位导入 √选要导入的注册单位点击从已注册部门导入。之后选择刚才添加的单位点击从系统注册部门导入或者新增部门选择相应的 部门添加即可。图 3-1-5-5 添加部门3-1-6 自定义组分配与管理自定义组用来对网络中特定或者有特殊用途的机器进行编组， 以便采取不同 的管理手段， 方便管理员的管理。该组的客户端成员可以由管理员根据某查询条 件而查得的计算机导入自定义组。如下图所示：图 3-1-6-1 自定义组分配与管理1． 首先创建分组，点击创建下级组：首先创建分组，点击创建下级组，添加分组名称，分组描述，保存设置。图 3-1-6-2 创建分组2． 向组中添加设备： 点击添加设备，弹出如下图，可以按设备查找，按 IP 查找，按操作系统查找，选中一个点击添加，然后点击查询，导入组即可。同时还可以通过设备信息查询，和补丁查询中来添加设备。图 3-1-6-3 查询设备3． 如果需要将 IP/MAC 绑定，那么可以执行下面操作：将当添加完组设备以后点击“将组设备添加到 IP/MAC 绑定” ，弹出如下图所示的“确定添加该组设 备到 IP/MAC 绑定列表库吗？”点击“确定”即可将设备全部导入 IP/MAC 绑定列表。图 3-1-6-4 添加 IP/MAC 绑定3-1-7 IP 与 MAC 绑定列表添加、查询系统 IP 与 MAC 绑定设备列表如下图（数据来源在自定义组里 可以按 IP 操作系统等添加一个自定义组） 。图 3-1-7-1 添加系统 IP 与 MAC 绑定设备列表图 3-1-7-2 查询系统 IP 与 MAC 绑定设备列表3-2 策略中心3-2-1 阻断违规接入管理当扫描器发现有外来设备接入内网时， 该功能可以有效地控制外来设备接入 内网而带来的安全威胁 （此功能慎用，在不能确认所有的可信客户端都注册前最 好不要使用,同时也要把需要保护的设备保护起来） ，通过选中“没有注册则阻断联网”复选框便可阻断所以未注册设备。同时提供了信使服务（windows2000 以 上操作系统）提醒 IP、MAC 绑定等功能，如下图所示：图 3-2-1 阻断违规接入管理3-2-2 策略管理中心? 如何进行策略创建和分发 （1）在“策略管理中心”中左边的策略项中可点击需要制定的策略，然后在 右边的“新建策略名”中输入相应的策略名称后，单击“创建”按钮开始创建 策略。图 3-2-2-1 策略中心策略制定 （2） 随后在具体的策略的配置中根据用户的实际需要配置好策略后， “保 单击存策略”就完成了一条策略的创建。 （由于各个策略项的配置过程都不一样， 这里不再用截图表示，下一节将具体介绍） （3）接下来是下发策略，即指定策略的执行对象，可通过单击“对象”按钮 后，可按界面的提示完成对象的分配。如下图所示：图 3-2-2-2 下发策略图 3-2-2-3 策略分配对象如图 3-2-2-4 表示创建策略成功 （4）如果需要让某一条策略暂时不使用，可按界面中对应的“停用”单选按 钮使策略失效，需要使用的时候再单击“启用”按钮使策略生效。如果想要删 除某一条策略，则直接按“删除”按钮即可。但在删除某策略之前最好先停用 该条策略。 ? 策略的高级设置 策略的高级设置用于客户端程序对策略的执行设置，包括策略状态（启动、 停止） 、策略存活时间（策略执行的起止时间） 、策略执行触发条件（在何种 条件下开始执行策略） 、策略无效时间（规定时间内客户端不执行策略） 、策 略应用范围（本级区域、下级区域、所有区域） 、级联策略类型等，有些策 略还包括具体的触发时间设置等。图 3-2-2-5 高级策略设置 说明：策略存活时间范围：即策略以天为单位的存活时间段。 策略无效工作日：即可在一星期中选中一天或多天使策略无效。策略无效时间段：即策略以分为单位的无效的时间段。 强制策略： 级联策略发到下级管理器时， 下级管理员对策略内容不能修改， 并且不能修改该策略的对象和启动、停用状态。 样板模版： 级联策略发到下级管理器时， 下级管理员对策略内容不能修改， 但是可以修改该策略的对象和启动、停用状态。 策略有效网络：a.在所有网络均有效:该功能意思是策略在区域管理范围 内、外均有效。 b.仅在该网络中有效：该功能意思是仅在区域管理范围内有效。 ? 系统策略设定1) 黑白名单编辑： &1& 进程黑白名单：进程黑白名单在进程监控中可以使用,这部分包含系统 预定义黑名单和用户自定义黑白名单。编辑进程黑白名单时包括，进程名，产品 名，源文件名等；如果是服务则只可以加服务名，同时可以加一些描述。图 3-2-2-6 &2& 软件黑白名单：软件黑白名单在软件安装监控中可以使用,这部分包含系统 预定义黑名单和用户自定义黑白名单。图 3-2-2-7 软件黑白名单 &3& URL 黑白名单编辑：URL 黑白名单在网络站点监控中可以使用,这部分包含系 统预定义黑名单和用户自定义黑白名单。图 3-2-2-8 URL 黑白名单 &4& 端口黑白名单编辑：端口黑白名单在监控中可以使用,这部分包含系统预定 义黑名单和用户自定义黑白名单。图 3-2-2-9 端口黑白名单 2）硬件资源管理: 控制硬件外设的使用，启用或禁用光驱、软驱、USB 移动存储、USB 全部接口、 打印机并行口、调制解调器、串行口、并行口、1394 控制器、红外设备、蓝牙设备、PCMCIA 卡、冗余硬盘、磁带机、冗余 SCSI 设备 用。 控制各种硬件设备及接口的启用或禁用， 如果只想禁止使用移动存储设备， 也可以通过“行为管理及审计”策略中的“可移动存储审计”策略来实现，设置 后保存策略。图 3-2-2-10 硬件管理策略设置 2） 进程及软件管理： 包括监控与限制已经安装的软件、 监控正在运行的进程、限制运行的进程、保护启用的进程四个策略子项。 &1& 软件安装监控： 用于监控客户机安装的软件是否违规和监控客户机安装 的软件是否违规并做出相应的处理，仅允许安装指定的软件，如果安装了其它软 件， 那么客户端会出现提示， 软件名要和控制面板中添加删除程序里的软件程序 名一样， 该功能支持模糊查询技术。还可以添加系统定义的黑名单和自定义的黑 名单，并分别配置违规处理措施，高级策略项，最后保存策略。如下图所示：图 3-2-2-11 软件安装监控与限制策略 &2& 进程执行监控：用于监控客户机运行进程，并做相应处理。在“进程名/服务名”中输入进程/服务名称，也可以通过系统定义的黑名单和自定义的黑白 名单，进行进程名的添加。然后设置好“控制状态”后，单击“添加控制”按钮 即可完成禁止或必须的进程。 进程名：查找方式添加任务管理器查看到的就可以。 产品名称、 （和）源文件名、查找方式找到安装源程序的快捷方式-&点击右 键-&属性-&选择版本-&就可以查看到产品名称和源文件名。 服务名查找方式我的电脑右键-&管理-&服务与应用程序-&服务-&找到相应 的服务点击右键-&属性-&即可看到服务名称。图 3-2-2-12 进程执行监控 &3&软件安装行为限制:用于限制客户端软件安装行为， 主要监控的方面有： 注册 表 Run 项里添加自启动项、注册表 Services 项里添加自启动项、程序启动项中 添加项、程序项中添加快捷方式等四种方式。 例外进程：查找方式添加任务管理器查看到的就可以。 文件名例外：是指创建的自启动或快捷方式指向以上文件名。图 3-2-2-13 进程执行监控 &4& 进程保护策略： 进程名填写 WINDOWS 任务管理器里显示的进程， 主要是保护 需要运行的进程不被以外终止。 把需要保护的进程名称填写到 “进程名” 菜单中，然后点击添加，如有不需要保护的进程，选中此进程，点击“删除选项”即可删 除。注意：①这里的保护进程是指使用 windows 任务管理器和一般的应用程序无法 终止该程序。 ②这里的被保护进程， 仍然可以在策略中心的软件及进程监控中进行终止，请管 理员注意相关策略的设置。 图 3-2-2-14 进程执行监控 3）接入认证策略：是指对接入设备的一种认证方式，主要包括安全认证策略 及 802.1X 认证策略。 &1& 补丁与杀毒软件认证策略：主要功能是对杀毒软件安全检测和系统补丁的安全检测， 当未运行杀毒软件时则提示、 指定下载地址让用户去安装或者直接限 制网络访问， 当漏打指定列表中补丁时则提示、 指定相应的 url 地址去下载安装 或者直接限制网络访问， 当限制网络后可以添加允许安全服务器访问的地址。 如 下图：图 3-2-2-15 补丁与杀毒软件认证策略 &2& 进程服务注册表认证策略：在认证之前，可以制订策略，先对接入交换机的终端进行安全检查，是否运行了指定运行的进程，是否开启了指定的服务，注 册表里是否有指定的项、键值、键名。如下图：图 3-2-2-16 进程服务注册表认证策略 &3& 802.1X 接入认证策略：802.1x 协议是基于 Client/Server 的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问 LAN/MAN。在获 得交换机或 LAN 提供的各种业务之前，802.1x 对连接到交换机端口上的用户/设 备进行认证。在认证通过之前，802.1x 只允许 EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通 过以太网端口。如下图：图 3-2-2-17 802.1 接入认证策略 在已经配置好交换机，当终端接入交换机中，会弹出认证界面，如图：图 3-2-2-17-1 802．1x 认证界面 输入 ACS 服务器中预先设置的用户名和口令，开启认证，如图：图 3-2-2-17-2 802．1x 认证界面 如果安全检查与策略中设定的项目有违规，则不允许 802.1x 认证，如图：图 3-2-2-17-3 安全检查没有通过，802.1x 不启动认证 即使安全检查通过，但输入的用户名和口令不符合 ACS 服务器中预先设订用户 名和口令，则认证也失败，如图：注意：需要 802.1x 认证的终端，需要修改系统的默认配置，将启用此网络 的 IEEE802.1x 验证选上，如图：4） 主机安全策略&1& 用户密码策略： 此策略可以对系统的本地安全策略、本地帐户锁定策略、屏保进行设置，同 时可以检测系统密码弱口令， 除系统自定义的弱口令外，用户可以自己添加自定 义弱口令集。图 3-2-2-18 用户密码策略 〈2〉用户权限策略：检查系统用户、系统用户组的权限的改变和系统用户、系 统用户组的增加或减少。 当以上的某一条件符合时，则弹出相应的提示信息。 注：此策略生效需要重新启动注册客户端电脑。图 3-2-2-19 用户权限策略 〈3〉 防火墙策略：本策略是基于各种网络协议的原理和各种网络软件对网络的实际应用， 用来控制各种网络使用和计算机端口的使用，在客观上起到防火墙 的作用。 此策略需要管理员对网络协议和计算机端口有一定的认识， 请慎重制定。 通过对端口和协议对计算机用户的网络操作进行监管。 本地端口：是指在网络的使用中。本地计算机使用的端口 如果选择这个选 项。则在本策略的对象范围内的计算机无法启动使用该端口的服务 远程端口：是指在网络的使用中，本地计算机可以启动本服务，但是无法访 问远程计算机提供相应的服务端口 1) ICMP 协议控制是系统对 ICMP 协议的控制， 主要是通过判断计算机间的互 相通信是否正常来判断的。一般来说，只要执行 MS-DOS 窗口下的 ping 命令即可。 2) “禁止 ping 入”是指不允许其他计算机（包括局域网计算机和远程计算 机）用 ping 命令来探测本地计算机的通信状态。 3) “禁止 ping 出”是指不允许设置的对象客户端机器用 ping 命令来探 测其他计算机（包括局域网计算机和远程计算机）的通信状态。 4) “禁止双向”指同时禁止任意两台计算机（至少有一台是本地计算机） 的通信检测。超级 IP 指的是本 IP 不受上边制定的所有策略的限制。5) 超级端口指本端口和所对应的服务不受上边制定的所有策略的限制。如下图所设置的一个样例表示：只开放本地计算机的 80 端口；只允许 192.168.0.11-192.168.0.120 该 IP 地址段中的 IP 访问本地计算机；禁止其他 计算机 ping 入。图 3-2-2-20 防火墙策略设定 〈4〉注册表检查策略：监测选定用户（本策略的对象）计算机的注册表内容和 该内容的设定值， 防止注册表被病毒或其他恶意程序修改，起到对计算机的安全 防护作用。 1） 注册表项名称：在“运行”项输入“regedit”然后点确定。出现注 册表窗口，在左边窗口显示的就是注册表项的名称，可以用鼠标右键 点击制定策略需要的注册表项，选择“复制项名称” 。将其粘贴到注 册表项名称。 2） 3） 4） 键名：在注册表窗口中，右边窗口中的名称标题下的内容就是键名。 值类型：同注册表右边窗口的值类型的三个选项。 键值：在注册表右边窗口中的数据标题下的内容就是键值，可以将需 要查询的键值输入到策略平台的响应空白处。 5）6）检测条件：根据需要选择相应的条件。 适合操作系统： 根据对象的计算机操作系统状况进行选择具体的操作 系统。图 3-2-2-21 注册表检查策略 〈5〉注册表保护策略：屏蔽选定用户(在本策略的对象中设定的)计算机的一些 程序进程对注册表的使用，先填入要屏蔽的进程名，再点击添加进程可以添加； 选择要删除的进程名，点击删除进程，删除不需屏蔽的进程。通过该策略可以有效的防止违规进程对用户注册表的破坏。图 3-2-2-22 注册表保护策略 注意： 如果有软件在安装和运行之前就要禁止其修改注册表的话，请查阅该 软件的相关文档中有关程序和进程的说明。 〈6〉IP 与 MAC 绑定策略：实现对接收该策略的计算机实行 IP 与 MAC 绑定，当 IP 与 MAC 绑定发生变化时，可对其自动恢复、弹出提示框、或断开网络并持续1 阻断该计算机等。○选中“主机 IP 保护”可防止其它设备使用与本机相同 IP 2 地址而造成的地址冲突。○选择“同时根据 802.1 策略做相应处理”主要是针对网络中需要 802.1X 认证才能接入的客户端，如果下发了 IP 与 MAC 绑定策略后， IP 与 MAC 发生变化时，则会依据 802.1 策略做相应处理。 注：下发 IP 与 MAC 绑定发生变化同时自动恢复时，不能在同时下发主机保护策 略。图 3-2-2-23 IP 与 MAC 绑定 〈7〉杀毒软件策略：检查客户机是否安装杀毒软件，并做提示、断开、重启计 算机等操作。 杀毒软件升级设置：用于自动升级杀毒软件。这此功能生效的条件是需要把 杀毒软件的升级文件放到 Regionmanage/distribute/anthverusupdate，目前支 持的可升级的杀毒软件有北信源、macfee、瑞星、诺顿。图 3-2-2-24 杀毒软件策略 5）补丁分发策略 &1&补丁自动分发：提供客户端补丁的自动下载及安装，可分类别和级别对客户端下发补丁，同时提供补丁分组功能，可设置补丁探测时间，补丁安装时选择后 台运行等。补丁安装完毕后，可以查看补丁安装的具体情况。基于分发时间、补 丁检测周期等进行策略制订， 策略发送到网络客户端后，客户端注册程序统一执 行补丁应用策略。图 3-2-2-25 补丁自动分发策略 &2&人工选择补丁分发：该功能可以根据人工选择特定的补丁下发给客户端，可 以设定运行参数、定时检测、运行提示以及运行方式等，如下图所示：图 3-2-2-26 人工选择补丁分发 如：在 WindowsXP 中运行“WindowsXP-KB-CHS.exe”补丁为例， 首先进入命令提示符窗口。 接着在进入系统补丁所在目录后， “补丁名称+/？” 按的方式来查看一下该补丁支持的命令行参数，如图所示：图 3-2-2-26-1 补丁执行参数项6）软件分发策略 普通文件分发策略：提供服务器向客户端分发各种文件、如可执行文件并可 以自动运行，服务器端可以选择分发的目标路径、设定运行参数、是否后台 运行，同时向客户端发送提示信息。 具体操作：点击“浏览”选择需要分发的文件后，单击“开始上传”按钮， 待上传完毕后即可在“文件名”处的下拉框中选择欲分发的文件（也可以一次上 传多个文件） 。最后单击“保存策略”按钮，待依次指定对象和启用策略后，该 策略则开始生效。 文件完全分发到客户端需依照文件大小决定。分发完后根据条 件进行安装文件检测，确定文件安装成功图 3-2-2-27 普通文件分发策略7）违规外联策略：监视违规网络连接（modem 拨号、双网卡、代理等） ， 并对违规行为做出相应的处理，检测计算机（在本策略的对象中设定的）的网 络使用是否符合制定的原则，对不符合原则的计算机进行处理。 基本设置： ①违规监控设置：通过设置，检测策略应用的对象的客户端是否能和外网 通信来判断该计算机是否违反了管理员制定的规则。如果使用本策略的话，必 须点选“允许探头进行违规联网监控”选项和“采用探测外网方法”两个选项。 “外网地址”选项，是利用系统的功能，对这两个地址，进行检测，当可以与 这两个网站通信时，视为本机违反策略。 “客户端所限定使用的网段”是指，如 果客户端访问的 ip 地址超过了在这个选项中设置的范围，也视为本机违反策 略。本选项需要填写 ip 地址范围，范围中间区域用“―”来间隔。 “采用探测 外网方法”和 “客户端所限定使用的网段”这两种方法，是并列的，单独使用 其中的一种或者两种同时使用都可以满足您的需要。 ②禁止使用代理上网访问：如果选择这个选项，则浏览器无法使用代理服 务器访问网络，该选项可屏蔽浏览器使用内网或者外网的大多数代理服务。 如下图所示制订了一条违规外联策略：图 3-2-2-28 违规外联策略设置 当执行该策略的客户端有违规外联事件发生时，客户端将弹出管理员设置的 提示信息，如下图所示：图 3-2-2-28-1 涉密内部网络用户（例如重点金融涉密网络、重要政府机关涉密网络） 网络要求：此类网络具有绝对严格的隔离度，未经允许的任何移动设备（笔 记本电脑等） 均不能接入涉密内部网络，同时不允许内算机非法接部网络中的计 入外部网络。 普通办公网络用户（例如各大证券公司等办公网络） ： 功能项说明： A、 “该客户端所限定使用的网段” ：支持网络中客户端使用网段的限制，选 定此项功能后，如果其 IP 不在所限定的范围内，并且可与下边设置的设备数存 在数据流，系统将自动报警，并执行相应的处理手段； B、 “允许客户端探头进行违规联网监控” ：此项需要选中，用来监控内部网 络中计算机是否有非法外联入 Internet 的现象； C、 “违规联网外网地址一”“违规联网外网地址二” 、 ：此两项中添加一个或 两个用来进行违规联网监控的外网固定地址（该地址要求能够 ping 通） ，用来接 收非法外联客户端的外网报警信息（此时需要安装外网监控服务器端软件） ，此 时同样可以在 Web 管理平台查看非法外联报警信息， 外网特征字符串为设定的监 测 IP 的网页上的标题文字，以便对其外联行为进行确认；例如：违规外联外网 地址一：www.sina.com,特征字符串可为：新浪。 D、 “探头发现设备违规后的处理方式” ：进行设备带入带出网络监控，规定 网络中客户端无论在网内连接还是独立接入其它网络时所采取的处理措施。 不处理：对此行为不做任何处理。 断开网络：对违规的客户端进行断开网络处理，使其与本网络断开连接。 断开网络并关机（重启恢复） ：断开网络后并且关机，以保护网络安全，重 启后恢复。 断开网络并关机(需解锁)：断开网络并且关机，以保护网络安全，计算机需要解锁。 仅提示：仅对违规客户端发出提示信息，不做任何操作。 8）行为管理及审计 〈1〉文件输出审计策略：该功能用来屏蔽和设置选定用户计算机的文件输出 和监控。 其中包括设置打印机拒绝打印的文件类型；将固定扩展名的文件拷贝到 网络盘； 禁止发送邮件和对审记结果的上报。这里的打印控制与审计功能包括本 地打印和网络打印。图 3-2-2-29 文件输出审计策略 〈2〉文件保护及审计策略: 1．保护和审计选定用户（在本策略中的对象中设定的）计算机的指定目录 和网络共享文件的读取、修改、删除权限。 2．可以设置当哪些进程操作指定文件时进行保护，哪些进程操作指定文件 时不实施保护。 上报服务器：就是将审计记录上报到服务器并进行记录 保存到本地：是当计算机脱离网络时无法上报到服务器就记录到本地，等计 算机接回网络时再上报到服务器。图 3-2-2-30 文件保护及审计策略 〈3〉工作目录管理：设置指定目录为工作目录，并指定进程对其进行操作，并 对进程操作进行控制，达到对工作目录的管理。 1 选中 “指定进程允许操作非工作目录下的文件”则设置的工作进程可以对 工作目录以外的文件进行操作。但所有生成文件都保存在工作目录下。 2 选中“指定进程外的其它进程允许操作工作目录下的文件”则除设置的工 作进程以外的其他进程也可以对工作目录下的文件进行操作。 但所有生成文件都 保存在工作目录下。 3．将系统目录,Program Files,Documents and Settings 目录设置成工作目 录将不生效,禁止设置这些目录为工作目录。图 3-2-2-31 工作目录管理策略 &4&上网访问审计：该功能用来审记对 Web 站点的访问，并且能够将审计结果处理上报到服务器和本地文件。图 3-2-2-32 上网访问审计设置 &5&其他行为审计策略:对指定对象的键盘操作和打开窗口操作进行审计， 并可记 录到本地文件。图 3-2-2-33 其他行为审计策略 9）涉密检查策略 &1&IE 访问检查：检查访问某一特定网络的历史信息，针对 IE 缓存、IE 清单、 Cookie 信息，收藏夹，在检测网络地址中输入网站的域名后，单击“添加到列 表”按钮，最后保存策略并指派对象，启动策略即可。如果待检查的计算机中留有以上待检查的信息，则显示提示信息框。图 3-2-2-34 IE 访问检查 &2&文件内容检查：对指定的某一文件夹或某一类型文件，检查是否有违规的 信息。 添加检测文件夹的名称及检测文件的后缀名称， 按逻辑条件进行检测， or” “ 代表两个