第一篇：內網(wǎng)邊界管理系統(tǒng)

網(wǎng)絡邊界安全

一、網(wǎng)絡邊界背景

早期的網(wǎng)絡只是為了使分布在不同區(qū)域的人們資源共享和通信而建立的。網(wǎng)絡發(fā)展到今天，全世界的計算機聯(lián)成了網(wǎng)絡。而網(wǎng)絡安全也隨之而來。信息泄密、外來攻擊、病毒木馬等等，越來越多的網(wǎng)絡安全問題讓網(wǎng)絡管理者難以應對，而如將內網(wǎng)與外網(wǎng)完全隔開，就會形成信息的“孤島”，業(yè)務無法互通，資源又重復建設，并且隨著信息化的深入，在各種網(wǎng)絡上信息共享需求也日益強烈。

二、網(wǎng)絡邊界防護手段

不同安全級別的網(wǎng)絡相連，就產生了網(wǎng)絡邊界。一般來說，防止來自網(wǎng)絡外界的入侵，就需要在網(wǎng)絡邊界上建立可靠的安全防御措施。

從防火墻技術的到多重安全網(wǎng)關技術，再到不同時連接兩個網(wǎng)絡的網(wǎng)閘技術，都是采用的關卡方式，“檢查”的技術各有不同，但對黑客的最新攻擊技術都不太好用，也沒有監(jiān)控的手段，對付“人”的攻擊行為來說，只有人才是最好的對手。

三、現(xiàn)有邊界防護技術的缺陷

面對各種各樣包含新技術的攻擊手段，現(xiàn)有的防護產品以及其附帶的防護技術是否能實現(xiàn)預定功能?，F(xiàn)有的安全管理員還不能對這些防護產品性能足夠了解，就談不上正確使用，把產品功能發(fā)揮出來。

再說網(wǎng)絡邊界防護是一個長期需要大投入的工程，一般的主管安全的領導及安全管理員根本不清楚遭受攻擊的一些細節(jié)，安全管理員根本不知道該怎么防，往哪里防。

購買最新的安全防護產品，或是花大量的時間、資金培養(yǎng)幾個資深的安全管理員，且不說兩者能不能配合，能不能防住，使邊界安全防護達到預期的目標，單單投入方面也不是現(xiàn)有的企業(yè)目前所能夠承受的。

根據(jù)我國現(xiàn)階段現(xiàn)狀，政府和企業(yè)不可能在網(wǎng)絡安全方面大量投入，而有限的資金又不能投入到最需要的地方去，造成大量的資金浪費。該防的沒建設，目前不用防的反而建設了。

對于公開的攻擊，只有防護一條路，比如對付DDOS的攻擊；但對于入侵的行為，其關鍵是對入侵的識別，識別出來后阻斷它是容易的，但怎樣區(qū)分正常的業(yè)務申請與入侵者的行為是邊界防護的重點與難點。

四、符合中國特色的邊界管理

面對上述種種問題，現(xiàn)有邊界防護技術和產品遠遠不能滿足我國機構和企業(yè)的需要。那么我們必須轉變思想，找出路！

既然我們現(xiàn)階段有資金，人員及技術各方面的限制，不可能把網(wǎng)絡邊界打造成“鋼墻鐵壁”。沒錢修“城墻”，守衛(wèi)又不合格，那么只能多裝攝像頭，對所有的邊界監(jiān)控起來，達到不留“死角”的程度。一旦發(fā)現(xiàn)有攻擊、入侵行為馬上報警，馬上處置，然后針對被攻擊或入侵的薄弱地點，修一段“城墻”，重點防御。較低的投入，把現(xiàn)階段安全問題管起來，最后達到一個可控可管，齊抓共管的局面。

網(wǎng)絡邊界安全問題主要可以分為兩個方面，一個是由于外網(wǎng)接入到內網(wǎng)中，從而帶來的網(wǎng)絡安全問題，另一個是內網(wǎng)內部產生的網(wǎng)絡安全問題。對于外網(wǎng)的接入，一般網(wǎng)絡上都增加了防火墻、VPN路由器等來保證網(wǎng)絡的安全，對于在內網(wǎng)出現(xiàn)的問題就沒有設備來保證網(wǎng)絡的安全問題了。浙江遠望電子有限公司的內網(wǎng)邊界檢查系統(tǒng)出現(xiàn)就解決這個問題，從內部網(wǎng)絡開始檢查，查找相關的問題，找到問題的源頭，進行預警，預警提示后在進行技術或人工手段來阻斷相關的問題。遠望內網(wǎng)邊界檢查系統(tǒng)也可以對外網(wǎng)的接入進行監(jiān)測，通過預警把相應的情況報告給管理員，由管理員進行手動直接斷開外來接入或通過網(wǎng)絡上技術的手段進行網(wǎng)絡斷開。并且遠望內網(wǎng)邊界檢查系統(tǒng)可以實現(xiàn)多級級聯(lián)，逐級對網(wǎng)絡進行安全管理。

五、遠望內網(wǎng)邊界檢查管理系統(tǒng)

遠望內網(wǎng)邊界檢查管理系統(tǒng)，通過對內網(wǎng)邊界安全監(jiān)測和管理，防止外來計算機、網(wǎng)絡等通過非法手段接入內網(wǎng)，防止因內網(wǎng)邊界問題而導致信息泄密，病毒木馬入侵，帶寬資源因沒有注冊的設備增加而被嚴重胡亂占用。通過違規(guī)外聯(lián)和線路邊界的發(fā)現(xiàn)和監(jiān)測技術，配置網(wǎng)絡邊界發(fā)現(xiàn)策略，全面發(fā)現(xiàn)網(wǎng)內的設備邊界和線路邊界的異常情況，實現(xiàn)對違規(guī)行為的阻斷，確保內網(wǎng)的安全。

通過技術手段對網(wǎng)內的設備邊界和線路邊界的異常情況進行實時掃描、自動檢測，及時發(fā)現(xiàn)線路邊界問題，把相關信息反映到管理員控制頁面上。同時在規(guī)定時間內對通過非法接入內網(wǎng)等邊界問題進行阻斷。

平臺通過邊界注冊建立合法邊界白名單，并依靠技術手段自動實現(xiàn)網(wǎng)絡邊界的檢查，及時發(fā)現(xiàn)存在的非法網(wǎng)絡邊界，并對違規(guī)事件進行取證，方便查找相關責任人以及后續(xù)處理。同時支持對違規(guī)外聯(lián)和非法網(wǎng)絡邊界點的自動預警，將發(fā)現(xiàn)的邊界違規(guī)情況在安全管理平臺上產生預警和通報，第一時間責令相關人員進行整改。

第二篇：內網(wǎng)安全管理系統(tǒng)軟件技術要求

附件二

內網(wǎng)安全管理系統(tǒng)軟件招標技術要求

一、產品總體要求

1、公司的資質:公司成立10年以上，具有自主研發(fā)能力，有成熟穩(wěn)定的研發(fā)隊伍的軟件行業(yè)企業(yè)。

2、產品資質要求：必須是自主研發(fā)，穩(wěn)定銷售8年以上；擁有自主知識產權，通過公安部檢測，獲得公安部銷售許可證，至少擁有以下資質證明： 公安部《計算機信息系統(tǒng)安全專用產品銷售許可證》； 國家版權局頒發(fā)的《計算機軟件著作權登記證書》； 國家版權局頒發(fā)的《計算機軟件產品登記證書》;ISO9000質量管理體系認證。

3、產品實施簡單，可操作性強，實施后必須保證網(wǎng)絡穩(wěn)定暢通，系統(tǒng)正常運行，不影響正常開展工作。

4、*至少有五家500點客戶的安裝實施經驗。

5、有豐富的行業(yè)客戶服務經驗，能提供后續(xù)技術支持和維護更新等服務。

二、技術規(guī)范要求

2.1 系統(tǒng)要求

▲客戶端操作系統(tǒng)支持包括：Windows98/Me/NT/2000/XP/2003/Vista/Win7/2008,必須同時支持32位及64位系統(tǒng)。

▲所有監(jiān)控功能都能按計算機和用戶兩種模式實現(xiàn)。

▲必須支持瘦客戶機、終端服務器、無盤工作站等的使用模式。

*監(jiān)控系統(tǒng)的部署必須支持多種安裝方式，包括web安裝、域腳本安裝、遠程安裝以及域組策略安裝等。

*必須提供分布式服務器管理功能，并且需要支持跨區(qū)域部署管理。*必須隱藏客戶端進程。

*支持與AD域的結合，可與域組織架構實時同步。管理端必須支持C/S架構登錄。

客戶端在離線情況下，控制及日志記錄功能依然生效。

附件二

2.2 功能要求

2.2.1 基本功能

能獲取計算機的基本信息，包括計算機名稱，網(wǎng)絡地址，操作系統(tǒng)，登錄用戶，當前狀態(tài)等信息，以及計算機多用戶登錄信息的查看。

▲支持增加管理員賬戶并對賬戶權限可實現(xiàn)細化，如管理范圍、功能權限。同時可對非系統(tǒng)管理員的賬戶可禁用、刪除以及修改密碼，方便權限回收。

*必須具備管理員以及審計員賬戶，且相互獨立，并且能夠提供記錄管理員操作的審計平臺，包括管理員登陸系統(tǒng)，查看日志，對內網(wǎng)計算機的控制等等。

*支持對各終端所設置策略的總覽以及對策略的應用查詢方便管理員掌握終端的策略情況，同時具有對策略的導入導出功能及復制功能。*支持郵件報警功能，可以將違規(guī)行為詳細記錄為日志形式并通過郵件發(fā)送至指定郵箱。*支持設定自動關機功能，提供在指定時間關機、注銷及重啟的功能

支持按工作時間段進行策略設置，靈活管理。

支持遠程對計算機進行鍵盤鼠標操作鎖定、關閉、重啟、注銷和發(fā)送通知信息等。支持對3g上網(wǎng)卡撥號的日志記錄。

2.2.2 基本控制功能（包括基本模塊及設備管控模塊）

能控制計算機對本機系統(tǒng)設置的操作權限，包括以下多項屬性，并且各項可以單獨控制： *IP/MAC綁定：修改網(wǎng)絡IP/MAC配置

控制面板：控制面板、設置屏幕屬性、添加打印機、刪除打印機、快速切換用戶。計算機管理：設備管理器、使用磁盤管理、本地用戶和組、系統(tǒng)服務管理、其它計算機管理。

系統(tǒng)：任務管理器、注冊表編輯器、命令提示符、運行注冊表中Run下的程序、運行注冊表中Run Once下的程序

網(wǎng)絡：修改網(wǎng)絡屬性、顯示網(wǎng)上鄰居、修改Internet選項、默認網(wǎng)絡共享、使用網(wǎng)絡共享、增加網(wǎng)絡共享

其它：使用print screen鍵復制屏幕、系統(tǒng)還原、Windows自動更新

▲可以控制內網(wǎng)計算機對常用設備的使用權限，支持對刻錄機可讀不可寫的控制

存儲設備包括：軟驅，光驅，刻錄機，磁帶機，可移動設備（U盤，移動硬盤，記憶棒，智能卡，MO，Zip）、便攜設備（智能手機）等；支持對上面各項的單獨控制。

通訊設備包括：串口、并口、USB 控制器和連接器(HUB)、SCSI接口、1394控制器紅外線、PCMICA卡、藍牙設備、MODEM、直接電纜連接、拔號連接等；支持對上面各項的單獨控制。

網(wǎng)絡接入設備：包括無線網(wǎng)卡，pnp網(wǎng)卡，虛擬網(wǎng)卡等；并且可以對它們單獨控制。其它：聲音設備，虛擬光驅，任何新設備等的使用。

▲支持USB設備的細分控制，即以下每項可單獨控制，支持3G上網(wǎng)卡的控制。USB設備：USB 鍵盤、USB 鼠標、USB Modem（3G上網(wǎng)卡）、USB 映像設備、USB CDROM、USB 存儲、USB 硬盤、USB 網(wǎng)卡、USB其他USB設備；支持對上面各項的單

附件二

獨控制。

*支持禁止增加非系統(tǒng)硬盤。

*支持對Iphone等便攜式設備的控制 *支持對任何其他外設的控制

*支持對無線網(wǎng)絡的連接控制，限制禁止連接的無線網(wǎng)絡。

對計算機的硬件變化，設備的插入拔出，存儲設備變化，通訊設備變化，軟件變化，系統(tǒng)服務變化，啟動項變化，系統(tǒng)時鐘變化，計算機名稱變化，網(wǎng)絡配置變化等能提供報警信息并作為日志記錄。

2.2.3 移動存儲控制

支持對內網(wǎng)計算機控制其對指定移動存儲設備的讀寫權限。支持自動收集客戶端上使用過的移動存儲信息，并可以自定義添加備注信息。同時支持移動存儲分類庫，允許對移動存儲進行自定義分類，按類庫進行管理。支持可按照對移動存儲的描述進行控制。

支持所有通過USB接口方式連接計算機的存儲設備。

支持在指定計算機上使用制定移動存儲設備時，自動對復制/移動的文件進行加解密控制，加密后的文檔只允許在具有自動解密權限的客戶端計算機處才能打開，否則打開為亂碼。

支持將指定移動存儲格式化成加密盤，只能在內部裝了客戶端的計算機處正常使用，非客戶端計算機無法使用。

能夠記錄內網(wǎng)計算機使用移動存儲設備的情況；包括操作時間，操作類型（插入/拔出），計算機、用戶、移動存儲類型等。

2.2.4應用程序管控

支持通過禁止應用程序分類或禁止應用程序名稱、應用程序窗口標題的形式來禁止計算機使用非法程序。

針對應用程序更改名稱或路徑的情況，所做的控制必須依然生效。能自動收集客戶端計算機運行過的應用程序，并支持分類管理。

支持記錄所有應用程序的啟動/關閉、窗口的切換標題動作；并可以按時間范圍，計算機范圍，應用程序名稱，應用程序路徑、窗口標題這幾種查詢條件查詢。

支持通過自定義的時間范圍，對單個工作人員，部門，或整個網(wǎng)絡的計算機的應用程序使用情況進行統(tǒng)計；

統(tǒng)計結果必須有列表和圖表兩種顯示方式；

統(tǒng)計方式必須包括是：按應用程序類別統(tǒng)計、按應用程序名稱統(tǒng)計、分項統(tǒng)計（統(tǒng)計各組計算機的應用程序使用），按明細統(tǒng)計等。

2.2.5遠程維護

支持遠程查看網(wǎng)絡內的客戶端計算機當前運行的應用程序，進程，性能，設備管理，系統(tǒng)服務，磁盤管理，共享文件夾，計劃任務，用戶和組等。同時支持對應用程序，進程，附件二

設備管理，系統(tǒng)服務，共享文件夾，計劃任務的控制。支持對客戶端的遠程控制。

支持遠程文檔傳輸，提供客戶端與控制臺相互傳送文件的功能。必須支持經過客戶端允許或密碼設定才能遠程控制。支持遠程卸載客戶端計算機上軟件功能

2.2.6屏幕監(jiān)控

▲屏幕歷史記錄的數(shù)據(jù)量：平均一幀數(shù)據(jù)量少于▲支持對指定應用程序運行過程的屏幕記錄?！С謱贸绦虻淖冾l記錄。

25K 支持通過控制臺實時查看員工當前工作的計算機桌面，并可將當前屏幕保存為圖像，支持對終端用戶登錄的屏幕分屏查看。支持同時對多屏進行監(jiān)視。支持擴展顯示器的監(jiān)視。

能記錄計算機當天的屏幕歷史畫面，并可以按指定的計算機查看指定日期范圍內的屏幕歷史記錄，以播放器的方式播放某一天的屏幕歷史，并可將當前播放的屏幕歷史另存為視頻文件。

2.2.7資產管理

支持對客戶端計算機的硬件和軟件資產信息的統(tǒng)計，并支持按分組或計算機統(tǒng)計硬件和軟件的分布情況，同時支持設置自定義查詢條件。

支持自定義添加企業(yè)內的非軟硬件資產信息，并支持設置自定義查詢條件。

支持實時查看客戶端計算機補丁情況，并允許對補丁進行修補，同時不需要另外搭建wsus服務器。

支持自動掃描計算機的系統(tǒng)漏洞并提供解決漏洞問題的建議。支持通過控制臺集中向客戶端自動分發(fā)安裝程序并自動安裝，或分發(fā)各種文件到指定的目錄下，以及分發(fā)其它執(zhí)行程序到目標計算機的功能。支持對硬件資產添加自定義信息描述。

三、可靠性要求

數(shù)據(jù)庫的存儲能力及維護，為節(jié)省數(shù)據(jù)庫維護成本以及防止因部分數(shù)據(jù)庫損壞而影響所有數(shù)據(jù)，需要對日志數(shù)據(jù)采用按天存儲的功能。每天產生獨立的數(shù)據(jù)庫，數(shù)據(jù)庫出錯無法修復也只影響受損數(shù)據(jù)庫所保存的當天數(shù)據(jù)。

當操作系統(tǒng)處于正常模式和安全模式下都能正常監(jiān)控。

要求監(jiān)控系統(tǒng)有一定的自我保護能力，不會輕易遭到破壞，并且不能自行卸載，必須通過授權才能卸載。

每個服務器支持超過3000個終端在線管理。

系統(tǒng)進行局域網(wǎng)發(fā)現(xiàn)時節(jié)點占用帶寬不超過20Kbps。

附件二

系統(tǒng)進行文件分發(fā)、文件傳送等操作時占用帶寬不超過200Kbps。系統(tǒng)在局域網(wǎng)環(huán)境內進行一遍節(jié)點輪詢占用帶寬數(shù)不超過20Kbps。附注：三年免費質保，三年免費服務。產品支持570個工作站。

第三篇：內網(wǎng)安全管理系統(tǒng)7.0產品白皮書

產品白皮書

內網(wǎng)安全管理系統(tǒng)V7.0

產品白皮書

第1頁

產品白皮書

目錄

1.產品簡介.......................................................................................................................................................1 2.產品構架.......................................................................................................................................................1 3.產品功能.......................................................................................................................................................2 4.產品特點.......................................................................................................................................................2 5.產品性能.......................................................................................................................................................3 6.產品部署.......................................................................................................................................................4

第2頁

1.產品簡介

內網(wǎng)安全管理系統(tǒng)是用于政府和企業(yè)終端安全管理系統(tǒng)。系統(tǒng)通過對計算機準入控制、計算機安全加固、計算機運行維護、計算機安全審計、移動存儲介質注冊等多個方面的綜合管理，為政府和企業(yè)用戶打造一個安全、可信、規(guī)范、健康的內網(wǎng)環(huán)境。內網(wǎng)安全管理系統(tǒng)可為用戶解決如下一系列的內網(wǎng)安全管理問題：

? 確保入網(wǎng)終端符合要求 ? 全面監(jiān)測終端健康狀況 ? 保證終端信息安全可控 ? 動態(tài)監(jiān)測內網(wǎng)安全態(tài)勢 ? 快速定位解決終端故障 ? 規(guī)范企業(yè)員工網(wǎng)絡行為 ? 統(tǒng)一內網(wǎng)用戶身份管理 ? 杜絕移動存儲介質濫用 ? 提高和實現(xiàn)軟件正版化

2.產品構架

內網(wǎng)安全管理系統(tǒng)在架構設計上采用了三層管理結構：終端監(jiān)控引擎、總控中心、管理控制臺。

終端監(jiān)控引擎以服務的形式運行于終端計算機上，是終端計算機管理的核心和基礎部件，用于對被管理終端計算機的安全加固、運行維護和監(jiān)測審計等管理職能。終端監(jiān)控引擎的設計充分考慮了穩(wěn)定性、安全性和兼容性要求。終端監(jiān)控引擎可防止惡意停止，并全面兼容防病毒軟件、防火墻軟件、設計開發(fā)軟件、業(yè)務軟件、辦公軟件。

總控中心用于計算機的集中管理，為終端監(jiān)控引擎和管理控制臺提供一系列的管理服務。由策略管理服務、審計管理服務、Radius認證服務、文件備份服務、補丁與軟件分發(fā)服務、時間同步服務、網(wǎng)絡管理服務、分級管理服務、事件訂閱服務、健康狀態(tài)監(jiān)測服務等組成。視內網(wǎng)規(guī)模和性能要求，這些服務可分別部署在不同的硬件平臺上，也可部署在同一個硬件平臺上。

管理控制臺是系統(tǒng)管理人員提供系統(tǒng)管理入口。采用了B/S方式進行系統(tǒng)管理，通過管理控制臺可以完成系統(tǒng)管理的全部操作。三層管理結構大大提高了系統(tǒng)設計開發(fā)、安裝部署和運行維護的靈活性、便利性和擴展性。

圖1 LanSecS?內網(wǎng)安全管理系統(tǒng)架構

3.產品功能

安全審計：提供內網(wǎng)主機安全事件的審計功能，包括文件操作、文檔打印、共享訪問、服務與進程活動、系統(tǒng)日志、系統(tǒng)賬戶監(jiān)控等。提供終端計算機用戶行為的監(jiān)控與審計，包括信息泄密、資源濫用、即時通訊、郵件收發(fā)和網(wǎng)站訪問等。

安全服務：通過預警平臺、遠程協(xié)助、軟件及文件分發(fā)等功能實現(xiàn)遠程桌面維護以及安全動態(tài)、桌面通知、信息發(fā)布。

安全加固：提供強大的補丁自動分發(fā)機制、病毒庫自動下載機制、本地文件安全存儲以及移動存儲介質的認證與注冊管理等功能，保證終端運行環(huán)境的安全可控，保障內網(wǎng)運行的可靠性。另外，還提供主機安全策略和IE安全策略的統(tǒng)一設置，加強主機的安全性。

資產管理：提供對內網(wǎng)資產和資源的集中管理能力，包括計算機、交換機、操作系統(tǒng)、軟件、硬件，并對資產和資源的變更進行監(jiān)控和預警。

準入控制：采用可信接入技術，對于接入內網(wǎng)的計算機進行嚴格的身份認證和健康檢查，保證內網(wǎng)業(yè)務數(shù)據(jù)和系統(tǒng)環(huán)境的安全。

4.產品特點

完善的分級管理架構，“分散不分立”：通過分級管理，系統(tǒng)可實現(xiàn)跨地域分散部署和集中管理?！胺稚⒉环至ⅰ?，形成有效的和有機的內網(wǎng)安全管理架構。

靈活的分權管理機制，“集中不集權”:系統(tǒng)提供了基于安全角色的授權管理機制，根據(jù)功能模塊或行政機構的劃分自定義安全角色，一種安全角色只能執(zhí)行其所轄部門范圍內的相應安全代理的安全策略和審計事件的管理?！凹胁患瘷唷?，保證了管理的安全性。

多層次的安全措施，保證系統(tǒng)運行的安全可靠:系統(tǒng)從數(shù)據(jù)庫、網(wǎng)絡通訊、策略分發(fā)與存儲等多個層面加強了安全保護，確保系統(tǒng)運行的安全可靠。

全方位的安全審計功能，有效地防止信息泄密:系統(tǒng)提供對所有輸入/輸出設備、文件系統(tǒng)、進程、服務、注冊表、網(wǎng)絡應用、用戶身份、操作系統(tǒng)安全策略等進行綜合的監(jiān)控和審計，全方位的監(jiān)控操作系統(tǒng)的運行狀態(tài)以及用戶的操作行為，實現(xiàn)涉密信息的全程審計與跟蹤。

完善的基于數(shù)字證書的身份認證機制:系統(tǒng)內嵌身份認證服務，實現(xiàn)了與數(shù)字證書的完美結合，管理控制臺、監(jiān)控代理、總控中心以及所有系統(tǒng)管理用戶和計算機終端用戶均通過數(shù)字證書進行身份認證。

豐富、多樣的統(tǒng)計報表功能:系統(tǒng)提供列表和統(tǒng)計圖的報表輸出，報表的輸出支持HTML、EXCEL、PDF、RTF等四種格式。同時提供手動報表、自動報表等兩種運行模式。

高度模塊化設計，需求響應迅速:系統(tǒng)管理控制臺、安全代理和總控中心均采用模塊化設計，并提供用戶設計、開發(fā)接口和示例，用戶可以根據(jù)企業(yè)的安全需求定制采購，同時也可以根據(jù)需求的變化，在運行時動態(tài)改變其工作狀態(tài)，提高系統(tǒng)的運行效率。

所有組件支持自動升級，系統(tǒng)維護方便、快捷:系統(tǒng)的主機代理及其功能模塊均支持基于版本號的網(wǎng)絡自動下載更新，只需要在總控中心一次部署即可以完成全網(wǎng)的自動升級。系統(tǒng)的維護和升級非常方便。

客戶端監(jiān)控代理安裝部署方式靈活、多樣: 內網(wǎng)安全管理系統(tǒng)客戶端監(jiān)控代理同時支持域模式安裝、本地安裝、網(wǎng)絡分發(fā)安裝以及WEB安裝等多種安裝部署方式，用戶可以根據(jù)實際網(wǎng)絡環(huán)境自由選擇。

5.產品性能

內網(wǎng)安全管理系統(tǒng)主要性能指標如下：

? 總控中心最大并發(fā)連接數(shù)：3000；

? 總控中心最大可管理注冊主機數(shù)量：20000臺； ? 總控中心網(wǎng)絡帶寬占用：100K/1000客戶端； ? 終端監(jiān)控引擎CPU占用（靜態(tài)模式）：< 1%；

? 終端監(jiān)控引擎內存占用（靜態(tài)模式）：8M。

6.產品部署

內網(wǎng)安全管理系統(tǒng)支持本地部署和分級部署，分級部署示意圖如下：

圖 2分級部署示意圖

第四篇：北信源VRVEDP內網(wǎng)安全管理系統(tǒng)手冊

特 別 聲 明

? 本使用手冊由《北信源內網(wǎng)安全及補丁分發(fā)管理系統(tǒng)》產品安裝配置指導手冊、用戶手冊、產品維護手冊三部分組成，其內容將隨著北信源軟件的不斷升級而改變(以光盤中電子版發(fā)行時為最新版)，恕不另行通知。需要者請從北信源公司網(wǎng)站下載本手冊的最新電子版或者直接聯(lián)系北信源公司索取。

? 《北信源內網(wǎng)安全及補丁分發(fā)管理系統(tǒng)》產品由《北信源內網(wǎng)安全管理系統(tǒng)》及《補丁分發(fā)管理系統(tǒng)》兩大套件構成。? 本使用手冊為《北信源內網(wǎng)安全及補丁分發(fā)管理系統(tǒng)》通用說明書。若您獨立購買《北信源內網(wǎng)安全管理系統(tǒng)》或《北信源補丁分發(fā)管理系統(tǒng)》之一產品，本說明書的其它功能將不具備。? 兩大套件主要區(qū)別：《北信源補丁分發(fā)管理系統(tǒng)》不具備違規(guī)聯(lián)網(wǎng)監(jiān)控、客戶端安全管理和桌面管理功能；《北信源內網(wǎng)安全管理系統(tǒng)》不具備補丁自動分發(fā)功能。請您在使用過程中選擇性閱讀相應章節(jié)。

? 感謝您購買北京北信源自動化技術有限公司研制開發(fā)的內網(wǎng)安全管理及補丁自動分發(fā)系列軟件。請在使用本軟件之前認真閱讀本使用手冊，當您開始使用該軟件時，北信源公司認為您已經閱讀了本使用手冊。

快速閱讀指南

1.詳細閱讀本軟件組件功能、組成、作用、應用構架，確切了解本軟件的系統(tǒng)應用。2.安裝準備軟件環(huán)境：Microsoft SQL Server2000、Windows 2000 Server、Internet 服務管理器；建議將數(shù)據(jù)庫管理系統(tǒng)、區(qū)域管理器、WEB管理平臺安裝在同一服務器上,確認區(qū)域管理器所在機器的88端口不被占用（即非主域控制器）；防火墻應允許打開88，2388，2399，22105，8900，8901，22106，22108，8889端口。3.按步驟安裝各組件后，通過http://*.*.*.*/vrveis登錄Web管理平臺，首先對Web管理平臺進行如下配置：添加區(qū)域→劃分該區(qū)域IP范圍→指定區(qū)域管理器→指定區(qū)域掃描器。4.5.雙擊屏幕右下角區(qū)域管理器、單擊主機保護進行通訊參數(shù)配置。在VRVVRVEISdownload目錄中，使用RegTools.exe工具修改DeviceRegist.exe文件中的本地區(qū)域管理器IP，將修改后的注冊程序DeviceRegist.exe放在機構網(wǎng)站上進行靜態(tài)網(wǎng)頁注冊，或者在機構網(wǎng)站上加載動態(tài)網(wǎng)頁檢測注冊腳本語句，進行動態(tài)設備注冊。6.系統(tǒng)升級：聯(lián)系北信源公司獲取最新的軟件組件升級包，確保Web管理平臺、區(qū)域管理器、客戶端注冊程序等組件的升級。

特別提示：默認管理員用戶：admin，密碼：123456；系統(tǒng)指定審計用戶名：audit,密碼：123456請注意修改。

第一章．系統(tǒng)介紹........................................................................................................5 1-1 產品組成............................................................................................................5 1-2 應用構架............................................................................................................7 第二章．系統(tǒng)安裝........................................................................................................8 2-1 安裝環(huán)境............................................................................................................8 2-2 安裝注意事項....................................................................................................9 2-2-1 軟件安裝監(jiān)控服務器部署注意事項.........................................................9 2-2-2 軟件安裝和應用過程中注意事項...........................................................10 2-3 系統(tǒng)組件安裝..................................................................................................11 2-3-1 安裝SQL server數(shù)據(jù)庫.........................................................................11 2-3-2 安裝WinPcap驅動模塊...........................................................................11 2-3-3 安裝遠程技術支持模塊............................................................................11 2-3-4 初始化數(shù)據(jù)庫...........................................................................................11 2-3-5 安裝Web中央管理平臺...........................................................................14 2-3-6 安裝區(qū)域管理器Region Manage............................................................15 2-3-7 配置設備掃描器模塊Region scan........................................................16 2-3-8 安裝補丁下載服務器模塊.......................................................................17 2-3-9 安裝管理器主機保護模塊.......................................................................18 2-3-10 安裝報警中心模塊.................................................................................18 2-3-11 客戶端注冊及下載.................................................................................18 第三章 系統(tǒng)應用........................................................................................................27 3-1配置與管理.......................................................................................................27 3-1-1 區(qū)域劃分...................................................................................................27 3-1-2 區(qū)域管理器配置.......................................................................................30 3-1-3 掃描器配置...............................................................................................35 3-1-4 注冊程序配置...........................................................................................38 3-1-5 注冊部門配置與管理...............................................................................41 3-1-6 自定義組分配與管理...............................................................................44 3-1-7 IP與MAC綁定列表..................................................................................45 3-2策略中心............................................................................................................46 3-2-1 阻斷違規(guī)接入管理...................................................................................46 3-2-2 策略管理中心...........................................................................................47 3-3數(shù)據(jù)查詢............................................................................................................84 3-3-1設備信息查詢.............................................................................................87 3-3-1-2注冊設備資產查詢..................................................................................88 3-3-1-3硬件變化設備查詢..................................................................................91 3-3-1-4設備安裝軟件查詢..................................................................................88 3-3-1-5設備首次運行進程查詢..........................................................................89 3-3-1-6共享目錄查詢..........................................................................................90 3-3-1-7設備IP占用狀況列表............................................................................91 3-3-7移動設備審計查詢.....................................................................................92 3-3-7安全策略違規(guī)查詢.....................................................................................94 3-3-8涉密檢查查詢.............................................................................................95 3-3-9消息確認查詢.............................................................................................96 3-3-11軟件分發(fā)查詢...........................................................................................97 3-3-12軟件分發(fā)統(tǒng)計...........................................................................................97 3-4終端控制...........................................................................................................98 3-4-1終端管理：................................................................錯誤！未定義書簽。3-4-2行為控制....................................................................錯誤！未定義書簽。3-4-3 VPro 遠程管理.........................................................錯誤！未定義書簽。3-4-4遠程協(xié)助....................................................................錯誤！未定義書簽。3-5補丁分發(fā)...........................................................................錯誤！未定義書簽。3-6運維信息...........................................................................................................98 3-6-1客戶端流量排名......................................................................................116 3-6-2客戶端流量統(tǒng)計......................................................................................117 3-6-3運維狀態(tài)異常..........................................................................................117 3-6-4網(wǎng)絡拓撲發(fā)現(xiàn)............................................................錯誤！未定義書簽。3-7報警事件.........................................................................................................119 3-7-1報警數(shù)據(jù)查詢..........................................................................................119 3-7-2圖形化報警..............................................................................................123 3-7-3本地報警數(shù)據(jù)匯總..................................................................................123 3-8級聯(lián)總控.........................................................................................................127 3-9統(tǒng)計報表.........................................................................................................133 3-10系統(tǒng)維護.......................................................................................................135 第四章 補丁分發(fā)管理..............................................................................................142 4-1 區(qū)域管理器補丁管理設置............................................................................142 4-2 補丁自動下載分發(fā)........................................................................................143 4-3 客戶端補丁檢測

（一）................................................................................148 4-4 客戶端補丁檢測

（二）................................................................................150 4-5．本地補丁分發(fā)綜合查詢..............................................................................150 4-6 補丁級聯(lián)下載................................................................................................151 第五章 客戶端阻斷..................................................................................................153 5-1 掃描器組件配置............................................................................................153 5-2 阻斷策略應用................................................................................................153 5-2-1 違規(guī)自動阻斷策略.................................................................................154 5-2-2 手動設置針對設備的單獨阻斷策略.....................................................154 5-2-3 硬件防火墻聯(lián)動阻斷策略.....................................................................155 第六章 網(wǎng)絡接入認證管理......................................................................................157 6-1 策略中心->接入認證策略->補丁與殺毒軟件認證.........................................157 6-

2、策略中心->接入認證策略->進程服務注冊表認證.......................................159 6-

3、策略中心->接入認證策略->802.1X接入認證認證......................................163 6-4、環(huán)境準備方法................................................................................................164 RADIUS安裝與配置............................................................................................164 安裝RADIUS........................................................................................................164 6-

5、各廠商交換機配置..........................................................................................177 1.Cisco2950配置方法...................................................................................177 2.華為3COM 3628配置...............................................................................178 3．銳捷RGS21配置.........................................................................................182 第七章 系統(tǒng)備份及系統(tǒng)升級..................................................................................183 7-1 系統(tǒng)數(shù)據(jù)庫數(shù)據(jù)備份及還原........................................................................183 7-2 系統(tǒng)組件升級................................................................................................184 7-2-1 區(qū)域管理器、掃描器模塊升級.............................................................184 7-2-2 升級網(wǎng)頁管理平臺.................................................................................184 7-2-3 客戶端注冊程序升級.............................................................................184 7-2-4 檢查系統(tǒng)是否升級成功.........................................................................185 7-3 級聯(lián)管理模式升級及配置............................................................................185 第八章 售后服務......................................................................................................187 第九章 附錄..............................................................................................................189 附錄

（一）微軟SQLSERVER系統(tǒng)安裝步驟...........................................................189 附錄

（二）北信源內網(wǎng)管理系統(tǒng)名詞注釋........................................................195 附錄

（三）移動存儲設備認證工具操作說明....................................................196 附錄

（四）主機保護工具操作說明....................................................................214 附錄

（六）組態(tài)報表管理系統(tǒng)操作說明............................................................221 附錄

（七）信息安全通告平臺............................................................................230 第一章．系統(tǒng)介紹

1-1 產品組成

北信源內網(wǎng)安全及補丁分發(fā)管理系統(tǒng)由8部分組成：WinPcap程序、SQL Server管理信息庫（安裝包：環(huán)境初始化程序）、Web中央管理配置平臺（安裝包：網(wǎng)頁管理平臺）、區(qū)域管理器(安裝包：Region Manage,原區(qū)域掃描器已作為模塊集成到區(qū)域管理器)、客戶端注冊程序（安裝包：注冊程序）、補丁下載服務器、管理器主機保護模塊、報警中心模塊。

環(huán)境初始化程序：SQL Server管理信息庫，建立北信源內網(wǎng)安全及補丁分發(fā)管理系統(tǒng)的初始化數(shù)據(jù)庫。包括：網(wǎng)絡客戶端設備屬性信息、區(qū)域管理器信息、設備掃描器信息、區(qū)域管理范圍信息、注冊（未注冊）機器信息、設備屬性變化信息、報警信息等。掃描器將設備最新狀態(tài)信息同數(shù)據(jù)庫中原有信息進行遍歷搜索對比，根據(jù)規(guī)則要求在管理平臺上報警。

Web管理平臺：Web中央管理配置平臺，本系統(tǒng)的管理配置中心。包括區(qū)域管理器、掃描器、注冊客戶端的功能參數(shù)設定，網(wǎng)絡設備信息發(fā)現(xiàn)、系統(tǒng)應用策略制訂、報警信息顯示、定義任務功能制訂、系統(tǒng)用戶維護等配置操作。

Region Manage：區(qū)域管理器，系統(tǒng)數(shù)據(jù)處理中心。與管理信息數(shù)據(jù)庫通訊，接收注冊程序提供的用戶信息，將用戶信息（用戶填寫的物理信息和系統(tǒng)自動采集的硬件信息）并行存入數(shù)據(jù)庫；接受來自控制臺的命令操作，發(fā)送到客戶端、掃描器執(zhí)行。

對于存在多級管理要求的廣域網(wǎng)，網(wǎng)絡中可以存在多個區(qū)域管理器，系統(tǒng)數(shù)據(jù)提供逐級上報（轉發(fā)）模式。

區(qū)域管理器內置網(wǎng)絡掃描器，掃描器將設備最新狀態(tài)信息報送至區(qū)域管理器，由區(qū)域管理器處理后，同數(shù)據(jù)庫中原有信息進行遍歷搜索對比，根據(jù)管理規(guī)則在管理平臺上報警。

掃描器配合區(qū)域管理器進行工作，可以在分級模式下使用。掃描器只依據(jù)Web管理平臺中配置的工作范圍進行掃描，超越其范圍，將不負責執(zhí)行操作。

WinPcap程序：嗅探驅動軟件，監(jiān)聽共享網(wǎng)絡上傳送的數(shù)據(jù)。

客戶端注冊程序：用戶訪問指定網(wǎng)站自動獲得，用戶填寫本機信息，填寫必要信息后上報區(qū)域管理器。注冊程序自動探測系統(tǒng)硬件信息，連同用戶填寫的信息一同上報區(qū)域管理器。用戶將本機注冊信息發(fā)送到區(qū)域管理器后，區(qū)域管理器自動將客戶端駐留程序應用策略發(fā)送給用戶，并自動更新。

客戶端駐留程序功能：

1.進行本機硬件屬性信息變化監(jiān)視； 2.進行本機IP、MAC地址變化審計；

3.本機系統(tǒng)補丁、軟件安裝、運行進程狀況監(jiān)測；

4.探測本機是否有違規(guī)聯(lián)網(wǎng)行為，在內網(wǎng)管理中心或外網(wǎng)報警平臺報警； 5.接受Web管理平臺的管理命令； 6.阻斷本機非法外聯(lián)行為；

7.執(zhí)行Web管理平臺下發(fā)的各種策略操作。補丁下載服務器：安裝在與Internet網(wǎng)絡連接的機器上，用于實時下載補丁廠商發(fā)布的補丁。

管理器主機保護模塊：管理器主機保護模塊可根據(jù)管理器或其他服務器具體使用的端口、網(wǎng)絡協(xié)議、通信IP范圍和具體的其他網(wǎng)絡應用來定義該計算機使用的安全級較高的網(wǎng)絡配置，從而防止該計算機受到惡意的IP沖突以及各種網(wǎng)絡、病毒攻擊。

報警中心模塊：安裝在可與區(qū)域管理器所在服務器正常通訊的計算機上，本模塊可以根據(jù)管理員在系統(tǒng)中所配置的報警事件和危險級別提供給管理員包括電子郵件、信使服務、SNMP Trap、手機短信等多種報警方式。

注：區(qū)域管理器（Region Manage）、區(qū)域掃描器模塊（Region scan）、注冊程序部分系統(tǒng)的參數(shù)配置集中體現(xiàn)在網(wǎng)頁管理平臺操作上，上述三部分功能參數(shù)、功能項數(shù)值統(tǒng)一在網(wǎng)頁管理平臺中進行配置。區(qū)域管理器（Region Manage）、掃描器模塊（Region scan）部分參數(shù)在自身軟件組件中配置。

1-2 應用構架

北信源內網(wǎng)安全及補丁分發(fā)管理系統(tǒng)應用于局域網(wǎng)、廣域網(wǎng)構架，支持跨網(wǎng)段、跨地域的內網(wǎng)遠程客戶端管理及非法移動設備接入檢測、網(wǎng)內計算機違規(guī)聯(lián)網(wǎng)監(jiān)視、網(wǎng)絡安全隔離度監(jiān)控等。

系統(tǒng)應用主要分為以下兩種構架：

基本構架：對于一般網(wǎng)絡（例如1個C類地址或若干個C類地址的局域網(wǎng)范圍），可使用一套本系統(tǒng)軟件，集中管理所屬區(qū)域內的所有設備。

擴展構架：對于大規(guī)模的多個局域網(wǎng)或者跨地域廣域網(wǎng)（包括基于國家、省、市、縣等多級管理模式的網(wǎng)絡結構），可使用本系統(tǒng)提供的多區(qū)域集中管理構架，即一個或多個網(wǎng)段各擁有一套獨立北信源內網(wǎng)安全及補丁分發(fā)管理系統(tǒng)的同時，將本級所有設備信息再轉發(fā)給上級管理數(shù)據(jù)庫，使得上一級管理人員對整個網(wǎng)絡的設備狀況也能夠完全掌握。

圖1-1北信源內網(wǎng)安全及補丁分發(fā)管理系統(tǒng)應用拓撲

第二章．系統(tǒng)安裝

2-1 安裝環(huán)境

條件一：硬件環(huán)境

SQL Server數(shù)據(jù)庫服務器：用于安裝系統(tǒng)管理信息數(shù)據(jù)庫。PC服務器或更高檔服務器，PentiumⅣ 2.4C 以上CPU，512M以上內存。

區(qū)域管理器：用于安裝區(qū)域管理器程序。百兆或千兆網(wǎng)卡，PC服務器或更高檔服務器，PentiumⅣ 2.4C 以上CPU，512M以上內存。

掃描器模塊：配置同區(qū)域管理器。如單獨安裝掃描器模塊，比較高檔的PC計算機即可。

本系統(tǒng)各程序可安裝在同一臺計算機上，也可在不同機器上安裝SQL數(shù)據(jù)庫、IIS服務器、區(qū)域管理器、掃描器模塊等，此時推薦該計算機內存為1G以上。

建議將區(qū)域管理器、掃描器、網(wǎng)頁管理平臺安裝在同一臺機器上，作為監(jiān)控服務器。

條件二：提供數(shù)據(jù)庫、IIS服務

操作系統(tǒng)：Windows 2000或Windows 2003企業(yè)版操作系統(tǒng)。SQL Server2000軟件：配備SQL Server數(shù)據(jù)庫系統(tǒng)，用于北信源內網(wǎng)安全及補丁分發(fā)管理系統(tǒng)建立管理信息庫數(shù)據(jù)庫列表項。

IIS服務：配備IIS服務器提供Web服務，用于安裝Web網(wǎng)頁管理配置平臺。如所裝操作系統(tǒng)為Windows 2003企業(yè)版，則需要按照安裝光盤中的Windows 2003的IIS配置說明進行IIS配置。

條件三：為本系統(tǒng)提供相應端口

北信源內網(wǎng)安全及補丁分發(fā)管理系統(tǒng)區(qū)域管理器將占用操作系統(tǒng)88端口，必須確保安裝區(qū)域管理器的機器該端口不被占用。區(qū)域內的防火墻應打開如下端口：80，88,2388，2399，8901,8900,161,137,22105，8889，22106，22108以及ICMP協(xié)議。同時最好將DNS服務遷移至其它服務器。

2-2 安裝注意事項

軟件安裝時，推薦將區(qū)域管理器、掃描器、數(shù)據(jù)庫安裝在同一臺機器上（以下稱為監(jiān)控服務器），建議按照下面要求進行監(jiān)控服務器部署、軟件安裝、客戶端注冊。

2-2-1 軟件安裝監(jiān)控服務器部署注意事項

1、監(jiān)控服務器在網(wǎng)絡中放置位置注意點

? 確保該監(jiān)控服務器能夠ping通所有被管理網(wǎng)絡中任意一臺客戶端機器，同時被管理客戶端可以正常連接服務器的TCP的80,88兩個端口。? 監(jiān)控服務器給客戶端下達策略的端口為：TCP端口22105。? 監(jiān)控服務器掃描發(fā)現(xiàn)客戶端利用以下協(xié)議及端口：

? ICMP協(xié)議（發(fā)現(xiàn)IP地址存在的其中一種方式）；

? NETBIOS協(xié)議,UDP端口137(為了發(fā)現(xiàn)機器名和MAC地址)； ? SNMP協(xié)議,TCP端口161（為了發(fā)現(xiàn)智能設備如路由器、交換機等）； ? 在本地網(wǎng)絡中若劃分了VLAN，或本地網(wǎng)絡存在防火墻，請注意上述問題。

2、存在網(wǎng)中子網(wǎng)（如經過地址轉換）的網(wǎng)絡布置點

對于網(wǎng)絡中存在網(wǎng)中網(wǎng)現(xiàn)象，如采用NAT地址轉化或者代理方式在10.*.*.*網(wǎng)絡中接入192.*.*.*網(wǎng)段，這些子網(wǎng)用戶的管理方式如下：

情況一：子網(wǎng)有專人管理，并且有獨立機房,則應在該子網(wǎng)中安裝一套完整的監(jiān)控系統(tǒng)。

情況二：子網(wǎng)無專人管理，或無獨立機房，可采用以下3種方式之一處理 1)機器數(shù)量少的建議統(tǒng)一更改IP為10.*.*.* 網(wǎng)段。2)由管理員監(jiān)督子網(wǎng)中所有機器進行注冊并保證不得遺漏。

3)在該網(wǎng)絡中指定一臺工作站專門安裝區(qū)域管理器軟件和區(qū)域掃描模塊，并將區(qū)域管理器配置中SQL服務器地址指向監(jiān)控服務器。

2-2-2 軟件安裝和應用過程中注意事項

1、必須按照軟件安裝步驟進行安裝 1）確認本機IIS服務正常；

2）確認本機SQL已正常安裝并能正常使用（以本地系統(tǒng)賬戶方式安裝）； 3）確認目標安裝盤剩余空間不小于10G； 4）請務必按照指定順序安裝各個模塊；

5）請在區(qū)域掃描模塊所在計算機中安裝SNMP服務；

6）安裝完所有系統(tǒng)模塊后，請一定按照說明文檔進行客戶端程序的配置及分發(fā)安裝。

2、監(jiān)控服務器的安全性問題

管理服務器安裝Windows2000 Server操作系統(tǒng)（帶IIS）、MS SQL Server2000數(shù)據(jù)庫后，一定要確保對Windows2000、SQL和IE進行重要安全補丁修補，規(guī)范操作系統(tǒng)、數(shù)據(jù)庫的口令和密碼設置，保證SQL、IIS的正常啟動運行。

確保本服務器無病毒，同時可配置本服務器網(wǎng)絡通訊端口僅打開：80，88，6800，8901，8900，22105，2388，2399，8889。

3、保護機制的應用

對大多數(shù)交換機、路由器、非Windows設備，需要將其設置為保護狀態(tài)（避免被阻斷導致網(wǎng)絡不通），其它如有系統(tǒng)無法識別的重要設備，請在網(wǎng)頁管理平臺設備信息查詢中手動將其設置為保護狀態(tài)。2-3 系統(tǒng)組件安裝

安裝順序依次為：

*安裝 SQL Server數(shù)據(jù)庫； *安裝WinPcap驅動程序；

*安裝并運行環(huán)境初始化程序，初始化數(shù)據(jù)庫；

*安裝網(wǎng)頁平臺并進行劃分區(qū)域，配置區(qū)域IP范圍、區(qū)域管理器參數(shù)、設備掃描器參數(shù)

等（推薦安裝在默認路徑下）；

*安裝區(qū)域管理器（推薦安裝在默認路徑下）； *通知所有用戶下載并運行注冊客戶端代理探頭程序。

2-3-1 安裝SQL server數(shù)據(jù)庫

略，見附錄(一)。

2-3-2 安裝WinPcap驅動模塊

在安裝頁面中選擇“安裝WinPcap驅動模塊”按鈕，單擊“下一步”安裝在區(qū)域掃描器所在計算機上。

2-3-3 安裝遠程技術支持模塊

該模塊是一個程序附屬工具(一般不需要安裝)在客戶端安裝程序里帶有該程序, 是用戶遠程桌面管理及控制,有便于管理員幫助終端用戶解決問題。

2-3-4 初始化數(shù)據(jù)庫

初始化數(shù)據(jù)庫是在SQL數(shù)據(jù)庫中初始化建立VRVEIS數(shù)據(jù)庫并生成系統(tǒng)必需的相關數(shù)據(jù)表格，在此過程中需要利用本地數(shù)據(jù)或者調用遠程SQL數(shù)據(jù)庫，用戶需要根據(jù)實際安裝情況按以下兩種方式進行操作： ? 本地SQL數(shù)據(jù)庫服務器環(huán)境初始化 1)、環(huán)境初始化，建立初始數(shù)據(jù)庫

在SQL服務器地址欄中添加本地機器IP地址、SQL用戶名、及SQL用戶密碼。

圖 2-3-4-1 SQL數(shù)據(jù)庫服務器環(huán)境初始化

2)、檢查數(shù)據(jù)庫初始化是否成功：

圖2-3-4-2 檢查數(shù)據(jù)庫初始化

當有如圖“初始化數(shù)據(jù)庫結構成功”提示框彈出時，說明已成功創(chuàng)建初始化數(shù)據(jù)庫。否則會出現(xiàn)如下圖所示提示信息：

圖2-3-4-3初始化數(shù)據(jù)庫失敗提示信息

如果出現(xiàn)如上圖所示提示信息，用戶需要檢查所填入的SQL數(shù)據(jù)庫IP地址、用戶名以及用戶密碼，重新初始化數(shù)據(jù)庫。

? 遠程SQL數(shù)據(jù)庫服務器環(huán)境初始化（建議非特殊情況不采用遠程方式）1)、輸入遠程數(shù)據(jù)庫信息，配置SQL客戶端：安裝遠程數(shù)據(jù)庫需要首先輸入遠程數(shù)據(jù)庫IP地址、用戶名稱、用戶密碼，然后點擊“配置SQL客戶端”，出現(xiàn)如下界面：

圖2-3-4-4 配置SQL客戶端

2)、在通用欄中，啟用TCP/IP協(xié)議：在通用欄中，選用TCP/IP協(xié)議，并啟用，然后單擊別名，進行別名添加設置。

圖2-3-4-5 啟用所選協(xié)議

3)、進行客戶端別名的添加:單擊上圖中所圈中的別名，出現(xiàn)如下所示：

圖2-3-4-6 對客戶端別名的添加

4)、進行網(wǎng)絡協(xié)議的選擇和服務器別名的添加：此時用戶需要首先選擇網(wǎng)絡協(xié)議，選定為TCP/IP，服務器別名根據(jù)用戶需要自由添加，點擊確定后完成數(shù)據(jù)庫初始化。

2-3-5 安裝Web中央管理平臺

? 安裝Web管理平臺

此部分程序要求安裝在默認路徑下，安裝過程中請確保信息填寫正確，否則，Web服務器可能不能正確訪問SQL Server數(shù)據(jù)庫。

? Web中央管理平臺訪問

Web管理平臺安裝以后在IIS目錄上以虛擬目錄的形式存在，虛擬目錄名稱為VRVEIS，用戶在安裝完成以后，用http://Web服務器域名（IP）/VRVEIS的形式訪問Web管理平臺主頁面。默認用戶名為admin，密碼為123456。（以下的都是用admin登陸進行說明的）審計用戶名為audit,默認密碼為123456，詳見附錄

（六）。

如果http://Web服務器域名（IP）/VRVEIS訪問無效，則以http://Web服務器域名（IP）/VRVEIS/INDEX.ASP方式登錄。

Windows2003下IIS配置以及NTFS磁盤格式配置注意事項見附錄

（七）。

2-3-6 安裝區(qū)域管理器Region Manage 在Web中央管理平臺中劃分區(qū)域及指定區(qū)域管理器后（參見Web中央管理平臺配置）安裝區(qū)域管理器組件。安裝后進行以下兩項配置：

? SQL客戶端配置

如果“區(qū)域管理器”沒有同SQL裝在同一臺服務器上，需要在如下圖所示窗口中將默認網(wǎng)絡庫選擇為“TCP/IP”，使客戶端能夠遠程訪問數(shù)據(jù)庫。在“區(qū)域管理器”中選擇“配置”->“系統(tǒng)配置”，配置SQL客戶端，也可以通過Alt+S熱鍵，進入配置。

圖2-3-6-1 SQL常規(guī)配置

上述配置完畢以后，需要重新啟動“區(qū)域管理器”，使系統(tǒng)生效。? 區(qū)域管理器系統(tǒng)配置

SQL服務器配置：進入“系統(tǒng)配置”，逐步輸入SQL服務器IP地址、用戶名稱及密碼、數(shù)據(jù)庫名稱（默認為VRVEIS），單擊“確定”完成SQL服務器配置。

圖2-3-6-2 區(qū)域管理器中SQL配置

2-3-7 配置設備掃描器模塊Region scan 在配置好Web防護系統(tǒng)區(qū)域及其區(qū)域管理器后做以下步驟：

在配置管理里，點擊“掃描器配置”可以添加掃描器，配置掃描范圍。

圖2-3-7區(qū)域掃描器配置

填寫相關信息之后重新啟動區(qū)域管理器，程序會自動縮小到系統(tǒng)托盤，表示數(shù)據(jù)庫連接成功，程序運行正常，此時通過上圖中“掃描器配置”項來查看掃描器相關運行信息。2-3-8 安裝補丁下載服務器模塊

在安裝頁面中選擇“補丁下載服務器安裝模塊”按鈕，輸入序列號SN，單擊“下一步”、在桌面生成DownPatch.exe快捷方式，執(zhí)行后如下圖所示：

圖2-3-8-1 補丁下載服務器主界面

點擊系統(tǒng)配置彈出如下圖：

圖2-3-8-2 補丁下載索引解析界面 添加補丁索引：從北信源站點獲取補丁索引，用以獲取補丁廠商發(fā)布補丁信息，通過對補丁索引的解析，下載補丁。按照補丁索引、管理配置要求從補丁廠商站點獲取補丁，補丁下載支持各種方式（下載線程、下載時間）自定義下載補丁。

圖2-3-8-3 補丁下載參數(shù)設置

2-3-9 安裝管理器主機保護模塊

選擇安裝在安裝頁面中選擇“安裝管理器主機保護模塊”按鈕，輸入序列號SN，單擊“下一步”、在桌面生成 nsscenter.EXE快捷方式，執(zhí)行后在系統(tǒng)右下角任務欄所示

綠色的圖標，鼠標右鍵點擊，可以對其進行相應的設置，具體設置參見附錄(四)。

2-3-10 安裝報警中心模塊

選擇安裝在安裝頁面中選擇“安裝報警中心模塊”按鈕，輸入序列號SN，單擊“下一步”、在桌面生成 nsscenter.EXE快捷方式。具體設置參見附錄(五)。

2-3-11 客戶端注冊及下載

（一）客戶端注冊原理及注冊程序配置

? 客戶端注冊原理

執(zhí)行注冊程序，根據(jù)要求填入指定信息，系統(tǒng)自動將所添加信息和系統(tǒng)自動采集獲得的設備信息發(fā)送到區(qū)域管理器（設置為轉發(fā)模式的將發(fā)送到上級區(qū)域管理器），區(qū)域管理器將注冊信息導入SQL數(shù)據(jù)庫保存，在Web管理平臺中設置的客戶端參數(shù)策略將由區(qū)域掃描器掃描客戶端后，發(fā)送給客戶端駐留程序保存執(zhí)行。

該客戶端駐留程序駐留在系統(tǒng)內部，以服務的方式實時運行，一旦某個客戶端非法接入互聯(lián)網(wǎng)或設備改變違規(guī)，客戶端就向web管理平臺發(fā)送報警數(shù)據(jù)，同時本機將顯示報警信息。

? 修改客戶端注冊程序配置文件

在web平臺中配置管理->注冊程序配置。注冊程序使用前需要網(wǎng)管人員的配置，主要是設置區(qū)域管理器IP地址（注冊時客戶端信息發(fā)向該IP地址所在的區(qū)域管理器），如區(qū)域管理器為192.168.0.244,配置如下圖所示：

圖2-3-11-1 注冊程序配置

在這里，可以對注冊時需要填加的單位、注冊密碼進行編輯。如下圖所示:

圖2-3-11-2 單位和部門添加刪除

（二）客戶端注冊方法

客戶端注冊方法包括網(wǎng)頁靜態(tài)注冊、網(wǎng)頁動態(tài)注冊、手動注冊、網(wǎng)關重定向強制注冊等。

網(wǎng)頁靜態(tài)注冊：

靜態(tài)注冊比較簡單，客戶端只需要將配置好的注冊文件上傳到公共主頁上即可，做一個鏈接，訪問主頁后手動下載注冊。

主要講述動態(tài)注冊，這種方法適用于網(wǎng)絡用戶較多的情況，客戶端只要訪問網(wǎng)絡內公共網(wǎng)站，網(wǎng)頁將自動對客戶端進行探測，彈出提示窗口，提示用戶進行注冊。

網(wǎng)頁動態(tài)注冊：

利用網(wǎng)絡中已經構建好的內部網(wǎng)站，一方面網(wǎng)絡客戶端可以通過手動獲得注冊程序，也可以通過在主網(wǎng)頁上加載彈出頁面的方式進行提示性注冊。本手冊將主要介紹后一種方式。

當網(wǎng)絡中客戶端計算機訪問本網(wǎng)絡內部網(wǎng)站時，在該主頁代碼中加入一段代碼（如下）。本代碼作用在于首先獲得該客戶端計算機的IP地址，再讀取數(shù)據(jù)庫里面相關IP地址的注冊和其它相關信息，如果該IP地址的設備存在，系統(tǒng)會根據(jù)其是否完成“注冊”、“信任”、“保護”三項操作進行判斷，只要滿足其中任意一條件，都不會提示注冊，否則會彈出窗口提示注冊。

網(wǎng)頁加載彈出程序方法如下：編輯已有主頁的源程序，在需要加載彈出窗口主頁的源代碼中放入以下代碼：

注意：需要將其中的http:// 192.168.0.253/vrveis/quest.asp換成http:// 安裝內網(wǎng)安全管理網(wǎng)頁平臺計算機IP/vrveis/quest.asp即可，此時當網(wǎng)絡中計算機訪問該內部主頁時，會自動彈出如下提示頁面：

圖2-3-11-3 網(wǎng)頁動態(tài)注冊

使用網(wǎng)頁動態(tài)注冊時，請管理員通知注冊人，在訪問本網(wǎng)站時，暫時關閉網(wǎng)頁彈出攔截程序或將本網(wǎng)站添加到不攔截列表中。

手動注冊：除了自動注冊設備外，遇到需要手工注冊新增設備時，也可通過WEB管理平臺中數(shù)據(jù)查詢，設備信息查詢中的手動添加設備功能，將新增設備的具體信息詳細登記填寫至數(shù)據(jù)庫中，并將其置為保護設備。

注意：

1.多級級聯(lián)注冊：如果系統(tǒng)為多級級聯(lián)方式，必須在區(qū)域管理器的高級配置中的“系統(tǒng)配置”、“策略配置”選項中的級聯(lián)選項選中，并正確添加上級管理器的IP地址，各級區(qū)域會將自己所管轄的區(qū)域管理IP段上報到上級數(shù)據(jù)庫中存儲。

此時，當網(wǎng)絡中任意一臺下級區(qū)域客戶端計算機訪問主網(wǎng)站的同時，會根據(jù)最上級區(qū)域數(shù)據(jù)庫中存儲的各級上報IP段信息，自動將該客戶端注冊程序文件下載路徑指向為自己所處IP段的本級區(qū)域注冊器上，做到各個區(qū)域的客戶端計算機在訪問同一網(wǎng)站進行注冊程序下載時，所下載的客戶端程序均為自己所在區(qū)域的專用注冊程序。

如果網(wǎng)絡中內部網(wǎng)站，網(wǎng)絡管理員可以通知網(wǎng)絡內計算機在本系統(tǒng)Web管理平臺的登錄頁面中點擊下載注冊程序完成系統(tǒng)注冊，或者在此頁面下按上面的步驟做好彈出提示窗口方式注冊。注冊程序界面如下：

圖2-3-11-4 客戶端注冊信息

無論采取哪種方式，在注冊成功以后，注冊程序除了將主動添加的信息自動上報以外，還會自動收集其它和系統(tǒng)相關的信息進行上報。

客戶端和區(qū)域管理器連接通訊不正常的情況下，將提示用戶“缺省注冊成功”，表示客戶端探頭已經注冊完畢，但還沒有與區(qū)域管理器通訊。當區(qū)域掃描器掃到該計算機的IP地址時，才會將添加的信息及系統(tǒng)采集信息上報到區(qū)域管理器，存儲在數(shù)據(jù)庫當中。

2．本系統(tǒng)使用初期，若要求對下屬網(wǎng)絡中的計算機信息進行統(tǒng)計、注冊、入庫，必須在Web管理平臺中管理器設置項內選中“允許客戶端注冊”，如注冊時需要密碼，也需要在WEB管理平臺中進行設置，如下圖所示：

圖2-3-11-5 允許客戶端注冊

圖2-3-11-6 注冊信息編輯

網(wǎng)關重定向：

作用：注冊信息重定向。如果沒注冊的客戶機上網(wǎng)，那么他會把上網(wǎng)的網(wǎng)址重定向到指定的注冊頁面上。1．正確安裝運行注冊認證網(wǎng)關

2． 啟動注冊認證網(wǎng)關進行配置

圖2-3-11-7 注冊認證網(wǎng)關配置

3．在系統(tǒng)參數(shù)里選擇可以監(jiān)聽到整個網(wǎng)絡包的網(wǎng)卡（一般這臺機器為網(wǎng)關）

圖2-3-11-8 系統(tǒng)參數(shù)

4． 在重定向配置里，填寫對未注冊、保護和信任的機器的重定向網(wǎng)址。策略配置為在多長時間內重定向的次數(shù)，超過這個次數(shù)，將不再重定向。

圖2-3-11-9 重定向配置

5．通訊配置，填寫區(qū)域管理器的IP地址，通訊端口（一般為88），同步信息間隔為同步區(qū)域管理的信息（即發(fā)現(xiàn)是否有新注冊的信息），本地配置，偵聽端口為688。

圖2-3-11-10 通訊配置

6．配置完后點確認，然后啟動注冊認證網(wǎng)關，退出重起就可以用了。（建議把這個用在網(wǎng)關處或總的交換機出口處，這樣可以捕獲所有的信息包）

（三）客戶端卸載

網(wǎng)絡客戶根據(jù)情況需要卸載客戶端探頭程序時，運行安裝程序包中的探頭卸載程序UnInstallEdp.exe如圖：

圖2-3-11-11 客戶端卸載

記錄下序列號，并將序列號復制到如下圖的第一個方框中：

圖2-3-11-12 查看卸載密碼

點擊查看將會產生一個卸載密碼，將其輸入卸載密碼框中點擊卸載即可。

圖2-3-11-13 卸載密碼

或通過WEB管理平臺中的點—點控制中的終端卸載如圖：

圖2-3-11-14 終端點對點-終端卸載 第三章 系統(tǒng)應用

本平臺配置主要指北信源內網(wǎng)安全及補丁分發(fā)管理系統(tǒng)的網(wǎng)頁平臺操作，網(wǎng)頁平臺是整個北信源內網(wǎng)安全及補丁分發(fā)管理系統(tǒng)的配置操作核心，整個內網(wǎng)安全及補丁分發(fā)管理系統(tǒng)功能的實現(xiàn)全部在Web操作中實現(xiàn)，Web方式有助于管理員遠程維護系統(tǒng)，進行統(tǒng)一配置和統(tǒng)一管理。掌握對網(wǎng)頁平臺的功能操作和配置對使用本系統(tǒng)來提高整個網(wǎng)絡的安全性和解決網(wǎng)絡管理的效率有著重要作用。

菜單功能模塊:系統(tǒng)策略中心、數(shù)據(jù)查詢、終端控制、補丁分發(fā)、運維信息、報警事件、級聯(lián)總控、統(tǒng)計報表、系統(tǒng)維護等模塊。

3-1配置與管理

3-1-1 區(qū)域劃分

在網(wǎng)頁平臺安裝完畢之后，訪問http://Web服務器域名（IP）/VRVEIS訪問WEB管理平臺登錄界面。如下所示：

圖3-1-1-1 Web管理登錄界面

其中客戶端工具下載菜單提供了包括用戶注冊器下載、補丁檢測中心、多路幫助平臺、普通工具下載、管理員工具下載、工具上傳管理等功能，用戶按照頁面提示操作即可。

圖3-1-1-2 客戶端工具下載界面

系統(tǒng)默認用戶為admin，密碼為123456，登錄后建議管理員修改管理員密碼。成功登錄后，進入系統(tǒng)的主界面。如下圖所示：

圖3-1-1-3 Web管理主界面 ? 在所處的IP地址段內，進行區(qū)域劃分操作

首先進行區(qū)域添加和劃分操作。

區(qū)域劃分：單擊配置管理里的“區(qū)域劃分與配置”，對網(wǎng)絡中的客戶端進行區(qū)域劃分管理，按照提示依次添加區(qū)域、增加區(qū)域IP管理范圍、分配區(qū)域管理器、，并完成系統(tǒng)組件運行參數(shù)配置。

具體步驟：

區(qū)域描述配置欄中填寫好一些必要的與區(qū)域相關的信息，如區(qū)域機構代碼、區(qū)域名稱、負責人姓名等。其他信息可以酌情依照實際用途填寫。本區(qū)域IP劃分：根據(jù)用戶實際需要在下圖所示的文本框中填入需要管轄的IP地址。

其中保留IP段為該網(wǎng)段目前沒有網(wǎng)絡設備存在的網(wǎng)段，如有設備存在，則會產生報警信息。

圖3-1-1-4區(qū)域劃分與配置

下級區(qū)域劃分：在已有區(qū)域頁面中點擊“增加下級區(qū)域”按鈕進行下級區(qū)域添加，如集團總部下屬總裁辦、行政部、財務部等。

圖3-1-1-5 增加區(qū)域

3-1-2 區(qū)域管理器配置

區(qū)域管理器：區(qū)域管理器為系統(tǒng)策略控制及數(shù)據(jù)接收處理中心，具有控制完成系統(tǒng)相關的動作行為處理功能；同時與本級數(shù)據(jù)庫系統(tǒng)連接，統(tǒng)一接收注冊程序提供的信息，將用戶信息（填寫的計算機使用人姓名、聯(lián)系電話、E-mail等，計算機IP、MAC地址、硬盤、CPU、內存等其它硬件信息均為自動采集）存入數(shù)據(jù)庫。

根據(jù)本區(qū)域客戶端IP管理情況確定對IP地址的管理方式，若選擇IP、MAC地址綁定，需要在靜態(tài)IP環(huán)境下進行設置。

允許客戶端控頭升級：設置本區(qū)域管理器管理范圍內的客戶端的升級操作。設置vpn網(wǎng)絡虛擬管理器IP：是指添加VPN虛擬服務器的IP地址。管理器標識：是指管理器的標記，當服務器遷移時需要設置與之相同的管理器標識。

管理器可直接通信網(wǎng)段：在管理多個獨立子網(wǎng)時,該配置填寫區(qū)域管理器服務器可直接通信的地址。

允許客戶端注冊：是指任意一臺在區(qū)域范圍內的客戶端都可以在服務器上注冊。

管理器配置同步：當選中“下級區(qū)域”時下級區(qū)域的配置應該和上級區(qū)域管理器的配置相同，當選中“全部區(qū)域”時是指下面的任意級聯(lián)區(qū)域都要和區(qū)域管理器的配置同步。

圖3-1-2-1 區(qū)域管理器參數(shù)設置

區(qū)域管理器系統(tǒng)配置：當設置完當前頁面這時我們可以配置剛才安裝好的內網(wǎng)安全管理管理器去桌面雙擊“內網(wǎng)安全管理管理器”快捷方式彈出如下界面：

圖 3-1-2-2區(qū)域管理器系統(tǒng)配置

? 先進行SQL服務器配置：進入“系統(tǒng)配置”，逐步輸入SQL服務器IP地址、用戶名稱及密碼、數(shù)據(jù)庫名稱（默認為VRVEIS），單擊“確定”完成SQL服務器配置。

圖 3-1-2-3 SQL服務器配置

管理器配置：本軟件默認機器操作系統(tǒng)88端口，若其它應用程序占用該端口，將自動更改為188。

如果區(qū)域管理器應用于多級管理（每級都有獨立的SQL server和相應的內網(wǎng)安全管理及補丁自動分發(fā)管理平臺）的級聯(lián)構架體系，其上級還有區(qū)域管理器的情況下，當前區(qū)域管理器需要將所有信息上報到上級管理器。

區(qū)域管理器支持多級級聯(lián)，如國家、省、市、縣多級規(guī)模網(wǎng)絡管理構架，下屬區(qū)域管理器將其所有計算機報警信息轉報到上級數(shù)據(jù)庫。注：需要把“上報給上級管理器”√上，輸入上級管理器地址。

升級配置：用于配置區(qū)域管理器的自動升級，升級服務器地址為上級區(qū)域管理器IP。

區(qū)域管理器配置-高級設置 系統(tǒng)配置：

鎖定下級策略是指下級不能夠更改策略信息。

上報給上級區(qū)域管理器是指下級的策略，阻斷，違規(guī)信息上報給上級區(qū)域管理器，在此處打上“√”添加上上級管理器地址，配置級聯(lián)。

圖3-1-2-4 區(qū)域管理器

阻斷配置：

圖3-1-2-5阻斷配置

探頭阻斷：目前常用的阻斷方式，由掃描器調度探頭完成阻斷任務。只要保證一個網(wǎng)段（VLAN）中有一臺存活的已注冊計算機，就可以實現(xiàn)阻斷。

防火墻阻斷：該方式必須與防火墻結合使用，需要設置必要的防火墻規(guī)則集和安全認證，與其它廠商防火墻不兼容。

報警過濾：本軟件系統(tǒng)提供對多種違規(guī)變化行為的報警：非法外聯(lián)、設備未注冊、IP綁定變化、設備變化、探頭被卸載、病毒行為報警等。

本地報警種類過濾：僅對本地網(wǎng)絡中區(qū)域管理器管理范圍內的違規(guī)變化行為進行報警顯示，用戶根據(jù)自身管理要求進行篩選。

圖3-1-2-6 報警種類過濾

策略配置：系統(tǒng)支持對各種文件的分發(fā)，在Web中央管理平臺進行軟件分發(fā)操作前，必須對本項進行配置。

默認將分發(fā)文件放在C:VRVRegionManageDistribute目錄下，管理員可根據(jù)需要自行更改路徑，同時，修改本路徑后，補丁下載存放的位置也會相應改變。

圖3-1-2-7策略配置

補丁下載：將待分發(fā)操作系統(tǒng)補丁放置在設置好的補丁路徑的目錄下，在Web中央管理平臺中進行分發(fā)操作。

管理員通過對參數(shù)項的選擇進行下載配置，級聯(lián)IP提供對上一級補丁的下載獲取。

圖3-1-2-8 補丁下載

其他配置：主要是硬件網(wǎng)關重定向配置，此功能必須配合硬件設備使用。

圖3-1-2-9 其他配置

3-1-3 掃描器配置

點擊增加掃描器設置掃描器掃描網(wǎng)絡IP范圍。機構代碼：一般為阿拉伯數(shù)字，由用戶單位根據(jù)管理要求進行設定。掃描間隔：根據(jù)管理IP范圍大小進行設置（建議設置為10分鐘）。

圖3-1-3-1 區(qū)域掃描器參數(shù)設置

注:掃描器配合區(qū)域管理器進行工作，掃描器的掃描范圍不可能超過它的區(qū)域管理器管理的IP范圍。

掃描器除了指定掃描的IP范圍外還能夠指定排除不掃描的地址范圍，如有某些網(wǎng)段不需要掃描器發(fā)現(xiàn)設備，為縮短掃描時間，可在掃描器設置中增加禁止掃描地址段的設置。

掃描器高級配置：

圖3-1-3-2 掃描器配置-系統(tǒng)配置

掃描器高級配置——系統(tǒng)配置：

掃描頻率設定：用戶可以根據(jù)網(wǎng)絡中網(wǎng)絡帶寬占用情況，靈活設置掃描頻率，同樣可以選擇是否“使用SNMP掃描”掃描方式，如果選擇“使用SNMP掃描”，則系統(tǒng)能夠自動對網(wǎng)絡設備（例如交換機、路由器、網(wǎng)絡打印機等）進行掃描，并自動登記到設備列表庫中。

阻斷選項：如果用戶選擇“掃描器阻斷”，此時可采取“輕量級阻斷”和“重量級阻斷”兩種方式。

輕量級阻斷：阻斷計算機向網(wǎng)絡中廣播一個ARP請求報文，將被阻斷計算機的IP地址及對應的假MAC地址發(fā)送給網(wǎng)絡內所有的計算機，每臺計算機收到請求后便會對本地的ARP緩存進行更新，將收到的請求中的IP和對應的假MAC地址存儲在ARP緩存中。這樣對于網(wǎng)絡中的計算機看來，被阻斷計算機的IP地址沒有變化，而它的MAC地址已經不是原來那個了。由于局域網(wǎng)的網(wǎng)絡通信不是根據(jù)IP地址進行，而是按照MAC地址進行傳輸。因此，被阻斷計算機便接收不到網(wǎng)絡中計算機（不含阻斷計算機）傳送過來的信息。

重量級阻斷：阻斷計算機冒充網(wǎng)絡中的其他計算機（本網(wǎng)段1-255）給被阻斷計算機發(fā)送定向ARP應答報文，被阻斷計算機收到請求后便會對本地的ARP緩存進行更新，將收到的請求中的IP和對應的假MAC地址存儲在ARP緩存中。這樣對于被阻斷計算機看來，網(wǎng)絡中的計算機的IP地址沒有變化，而它們的MAC地址已經不是原來那個了。因此，被阻斷計算機便不能向網(wǎng)絡中的計算機（不含阻斷計算機）傳送信息。

掃描器高級配置——交換機掃描配置：

交換機掃描用于掃描發(fā)現(xiàn)交換機，進行拓撲發(fā)現(xiàn)。Snmp團體名：根據(jù)拓撲管理需要輸入網(wǎng)絡中所有網(wǎng)絡設備的snmp讀團體名用“;”隔開。

圖3-1-3-3 交換機掃描配置

如上圖，配置掃描間隔時間一般設成5-10分鐘，IP范圍設置需要掃描的ip段，snmp讀團體名稱是根據(jù)交換機口令設置的。

該功能的啟用需要下載交換機拓撲模塊，安裝后進行網(wǎng)絡拓撲發(fā)現(xiàn)。進入web管理平臺主頁面“運維監(jiān)控”菜單，啟用網(wǎng)絡拓撲圖，安裝交換機拓撲模塊后進行網(wǎng)絡拓撲發(fā)現(xiàn)。

3-1-4 注冊程序配置

控制頁面如下.管理員可以通過設置來按照需求來配置客戶端注冊程序,讓用戶填入相應的信息 ,方便以后管理。其中的項有啟用、必選、還可以對輸入數(shù)據(jù)進行控制.后面的功能設置必須對每個功能模塊啟用。

圖 3-1-4-1 注冊程序配置

選擇編輯單位/部門彈出如下圖：

圖 3-1-4-2 編輯單位/部門

先選擇修改單位彈出如下窗口：

圖 3-1-4-3 修改單位

填寫單位名稱和單位備注消息點擊添加/修改單位。最后點擊保存修改關閉窗口返回上級窗口如下圖：

圖 3-1-4-4 保存修改

可以看到剛才添加的單位。

在此輸入每個單位所對應的部門,部門備注信息.選擇保存修改可以完成單位和部門的配置。

點擊設置注冊密碼彈出如下窗體原注冊密碼為空。

設置注冊密碼是為了防止新接入設備非法進行注冊。

圖 3-1-4-5 直接添加新注冊密碼保存修改就可以。

注冊單位與注冊部門產生聯(lián)動

當對單位和注冊部門設置為必填和僅選擇這時客戶端注冊程序 對單位和部門的填寫只能按照管理員的設置來選擇.不能手動填寫。

使用靜默注冊：以上的設置都不生效這時客戶端注冊程序只需選擇下載運行就可以。

注冊程序會自己上報終端的計算機名和IP地址MAC地址。選擇保存修改點擊打包注冊程序這時完成客戶端注冊程序配置。

3-1-5 注冊部門配置與管理

新增單位：該功能作用基本與“從系統(tǒng)注冊單位導入”相似，不同的是，它可以加入備注信息。

圖 3-1-5-1再新增單位

具體方法：選擇新增單位彈出如下窗體：

圖 3-1-5-2再新增單位

從已注冊的單位選擇一個單位然后進行單位描述點擊添加。后可以在左邊看到新增的單位之后選擇新增的部門。選擇新增的部門彈出如下圖對部門進行描述點擊添加完成操作。

圖 3-1-5-3 單位描述

從系統(tǒng)注冊單位導入：該功能作用是將客戶端注冊時輸入的單位名稱導入到“注冊單位及部門”中。當客戶端在注冊時輸入單位名稱時，那么點擊“從系統(tǒng)注冊單位導入”就可以看到一個單位名稱及相應的部門，同一個單位名稱只出現(xiàn)一次。

選擇左邊單位與部門樹目錄點擊從系統(tǒng)注冊單位單位導入彈出如下圖：

圖 3-1-5-4 系統(tǒng)注冊單位單位導入

√選要導入的注冊單位點擊從已注冊部門導入。之后選擇剛才添加的單位點擊從系統(tǒng)注冊部門導入或者新增部門選擇相應的部門添加即可。

圖 3-1-5-5 添加部門 3-1-6 自定義組分配與管理

自定義組用來對網(wǎng)絡中特定或者有特殊用途的機器進行編組，以便采取不同的管理手段，方便管理員的管理。該組的客戶端成員可以由管理員根據(jù)某查詢條件而查得的計算機導入自定義組。如下圖所示：

圖 3-1-6-1 自定義組分配與管理

1． 首先創(chuàng)建分組，點擊創(chuàng)建下級組：首先創(chuàng)建分組，點擊創(chuàng)建下級組，添加分組名稱，分組描述，保存設置。

圖3-1-6-2 創(chuàng)建分組

2． 向組中添加設備：點擊添加設備，彈出如下圖，可以按設備查找，按IP查找，按操作系統(tǒng)查找，選中一個點擊添加，然后點擊查詢，導入組即可。同時還可以通過設備信息查詢，和補丁查詢中來添加設備。

圖3-1-6-3 查詢設備

3． 如果需要將IP/MAC綁定，那么可以執(zhí)行下面操作：將當添加完組設備以后點擊“將組設備添加到IP/MAC綁定”，彈出如下圖所示的“確定添加該組設備到IP/MAC綁定列表庫嗎？”點擊“確定”即可將設備全部導入IP/MAC綁定列表。

圖3-1-6-4 添加IP/MAC綁定

3-1-7 IP與MAC綁定列表

添加、查詢系統(tǒng)IP與MAC綁定設備列表如下圖（數(shù)據(jù)來源在自定義組里可以按IP操作系統(tǒng)等添加一個自定義組）。

圖 3-1-7-1 添加系統(tǒng)IP與MAC綁定設備列表

圖 3-1-7-2查詢系統(tǒng)IP與MAC綁定設備列表

3-2策略中心

3-2-1 阻斷違規(guī)接入管理

當掃描器發(fā)現(xiàn)有外來設備接入內網(wǎng)時，該功能可以有效地控制外來設備接入內網(wǎng)而帶來的安全威脅（此功能慎用，在不能確認所有的可信客戶端都注冊前最好不要使用,同時也要把需要保護的設備保護起來），通過選中“沒有注冊則阻斷聯(lián)網(wǎng)”復選框便可阻斷所以未注冊設備。同時提供了信使服務（windows2000以上操作系統(tǒng)）提醒IP、MAC綁定等功能，如下圖所示：

圖3-2-1 阻斷違規(guī)接入管理

3-2-2 策略管理中心

? 如何進行策略創(chuàng)建和分發(fā)

（1）在“策略管理中心”中左邊的策略項中可點擊需要制定的策略，然后在右邊的“新建策略名”中輸入相應的策略名稱后，單擊“創(chuàng)建”按鈕開始創(chuàng)建策略。

圖3-2-2-1策略中心策略制定

（2）隨后在具體的策略的配置中根據(jù)用戶的實際需要配置好策略后，單擊“保存策略”就完成了一條策略的創(chuàng)建。（由于各個策略項的配置過程都不一樣，這里不再用截圖表示，下一節(jié)將具體介紹）

（3）接下來是下發(fā)策略，即指定策略的執(zhí)行對象，可通過單擊“對象”按鈕后，可按界面的提示完成對象的分配。如下圖所示：

圖 3-2-2-2 下發(fā)策略

圖3-2-2-3 策略分配對象

如圖3-2-2-4表示創(chuàng)建策略成功

（4）如果需要讓某一條策略暫時不使用，可按界面中對應的“停用”單選按鈕使策略失效，需要使用的時候再單擊“啟用”按鈕使策略生效。如果想要刪除某一條策略，則直接按“刪除”按鈕即可。但在刪除某策略之前最好先停用該條策略。? 策略的高級設置

策略的高級設置用于客戶端程序對策略的執(zhí)行設置，包括策略狀態(tài)（啟動、停止）、策略存活時間（策略執(zhí)行的起止時間）、策略執(zhí)行觸發(fā)條件（在何種條件下開始執(zhí)行策略）、策略無效時間（規(guī)定時間內客戶端不執(zhí)行策略）、策略應用范圍（本級區(qū)域、下級區(qū)域、所有區(qū)域）、級聯(lián)策略類型等，有些策略還包括具體的觸發(fā)時間設置等。

圖3-2-2-5 高級策略設置

說明：策略存活時間范圍：即策略以天為單位的存活時間段。

策略無效工作日：即可在一星期中選中一天或多天使策略無效。策略無效時間段：即策略以分為單位的無效的時間段。

強制策略：級聯(lián)策略發(fā)到下級管理器時，下級管理員對策略內容不能修改，并且不能修改該策略的對象和啟動、停用狀態(tài)。

樣板模版：級聯(lián)策略發(fā)到下級管理器時，下級管理員對策略內容不能修改，但是可以修改該策略的對象和啟動、停用狀態(tài)。

策略有效網(wǎng)絡：a.在所有網(wǎng)絡均有效:該功能意思是策略在區(qū)域管理范圍內、外均有效。

b.僅在該網(wǎng)絡中有效：該功能意思是僅在區(qū)域管理范圍內有效。? 系統(tǒng)策略設定 1)黑白名單編輯：

<1> 進程黑白名單：進程黑白名單在進程監(jiān)控中可以使用,這部分包含系統(tǒng)預定義黑名單和用戶自定義黑白名單。編輯進程黑白名單時包括，進程名，產品名，源文件名等；如果是服務則只可以加服務名，同時可以加一些描述。

圖3-2-2-6

<2> 軟件黑白名單：軟件黑白名單在軟件安裝監(jiān)控中可以使用,這部分包含系統(tǒng)預定義黑名單和用戶自定義黑白名單。

第五篇：威盾內網(wǎng)安全管理系統(tǒng)方案

內網(wǎng)管理對醫(yī)院IT正常運行的價值 醫(yī)院內部網(wǎng)絡管理的現(xiàn)狀及碰到的問題

隨著醫(yī)院HIS,PACS等各種業(yè)務系統(tǒng)的投入運行，計算機軟件、硬件以及網(wǎng)絡日益成為醫(yī)院業(yè)務運轉中不可缺少的基礎設施?？梢韵胂?，網(wǎng)絡是否能正常運行，以及運行的正常與否已經成為醫(yī)院是否能正常運轉的關鍵。

所有醫(yī)院都碰到過以下問題：

網(wǎng)絡變慢，找不到原因； 網(wǎng)絡癱瘓，不知道如何處理；

雖然安裝殺毒軟件，但是因為不正當?shù)氖褂?，還是會導致計算機重新安裝； 使用內網(wǎng)管理系統(tǒng)是解決以上問題的解決辦法。如果說網(wǎng)絡管理員就象醫(yī)院的保安一樣，一個內網(wǎng)管理系統(tǒng)就是醫(yī)院網(wǎng)絡的監(jiān)控攝像頭。光靠管理員出了問題進行補救和維護是無法完成巨大的管理維護工作的。內網(wǎng)管理系統(tǒng)可以24小時幫助管理員實施安全策略，及時更新病毒庫，出現(xiàn)問題及時進行維護。

讓管理員節(jié)省更多的時間進行業(yè)務系統(tǒng)維護學習，以及更好的進行網(wǎng)絡維護。根據(jù)統(tǒng)計數(shù)據(jù)，實施內網(wǎng)管理的醫(yī)院，網(wǎng)絡故障率減少80%。基于這個原因，衛(wèi)生部才會要求三級醫(yī)院安裝內網(wǎng)管理軟件，配合進行網(wǎng)絡管理，作為提高醫(yī)院管理水平的標志之一。全國三級甲等醫(yī)院大部分都已經開始應用內網(wǎng)管理軟件。威盾（VIACONTROL）安全管理系統(tǒng)

威盾網(wǎng)絡安全管理（VIACONTROL）系統(tǒng)遵循網(wǎng)絡防護和端點防護并重理念，對網(wǎng)絡安全管理人員在網(wǎng)絡管理、客戶端管理過程中所面臨的種種問題提供解決方案，實現(xiàn)內部網(wǎng)絡客戶端的可控管理。具體功能如下： 模塊名稱

子功能

功能介紹

管理作用

基本策略

禁用控制面板

可以在開始菜單和我的電腦下隱藏控制面板選項

防止非管理人員隨意修改電腦設置，或添加刪除相關程序給公司網(wǎng)絡管理帶來麻煩。

設置屏幕屬性

可以禁止修改顯示背景和屏幕保護屬性等

有些游戲程序在啟動的時候會修改屏幕的屬性,對屏幕屬性的管理可以有效的控制員工在上班期間做一些與工作無關的事情。

打印機管理

可以禁止增加、刪除打印機

可以有效的控制打印機的使用，節(jié)約打印成本。

禁止計算機管理

可以禁止使用計算機管理里的各種系統(tǒng)管理功能

避免員工私意添加用戶、修改程序驅動、更改磁盤盤符及容量，給管理人員帶來不必要的麻煩。

禁止修改網(wǎng)絡屬性、禁止任何默認網(wǎng)絡共享

可以禁止修改網(wǎng)絡屬性

員工往往因為工作需要設置共享文件夾，然而，共享文件很容易被別有用心的員工或外來計算機竊取。避免網(wǎng)絡共享泄密和網(wǎng)絡病毒傳播。

禁用娛樂類

可以禁止使用聊天類、影音類、游戲類、FLASH類的ActiveX插件

防止上班其間聊QQ、MSN看在線電影、聽音樂等浪費公司的資源。

報警功能

可按某臺、某組或整個網(wǎng)絡設置硬件或軟件信息變化的報警規(guī)則

實現(xiàn)對違規(guī)網(wǎng)絡行為的及時發(fā)現(xiàn)，提高了網(wǎng)絡行規(guī)范管理的響應能力。

基本事件日志

可以詳細記錄客戶端PC開機、關機的時間，以及用戶登錄、登出時間。

讓IT管理者從多個角度來了解網(wǎng)絡內每臺計算機的全面的日志信息，為故障排除和網(wǎng)絡管理提供有力支持。

應用程序

應用程序日志

可以詳細記錄所有應用程序啟動/關閉和窗口/標題切換日志，可以按某臺、某組或整個網(wǎng)絡查詢，可以按時間、應用程序以及路徑/標題查詢日志

可以很容易、客觀的評估出員工使用程序的工作情況和效率，方便進行員工的網(wǎng)絡行為管理。

應用程序統(tǒng)計

可以按時間、計算機（組）/用戶（組）、應用程序明細查看并統(tǒng)計某個員工使用某個應用程序的時間，以及占全部工作時間的百分比

方便管理者對員工的網(wǎng)絡行為進行個性化統(tǒng)計和分析。

應用程序控制

可以按全天或指定的時間對指定的程序禁止。

對違規(guī)網(wǎng)絡行為在事前進行控制。

網(wǎng)絡流量

網(wǎng)絡流量統(tǒng)計

可以按時間、計算機（組）/用戶（組）、地址明細、端口明細、地址類別、端口類別查看并統(tǒng)計網(wǎng)絡流量大小情況

可以通多種方式查看網(wǎng)絡的流量，如：可以查看每一個用戶每一個端口的流量，從而可以分析出該員工做的那一類工作占的比重多。

網(wǎng)絡流量控制

可以限制客戶端的流量，可以指定網(wǎng)絡地址、端口范圍、流量方向來限制客戶端的流量

可以針對不同用戶或一個組內的用戶，進行安不同網(wǎng)段不同端口進行流量控制，可以有效管理非法BT或其它下載行為。

文檔操作控制

可以在指定的時間，禁止對指定文檔的操作。操作類型包含：創(chuàng)建、復制、移動、刪除、重命名、修改、恢復及訪問

可以防止非法從電腦硬盤等其它存儲設備中拷貝、刪除、移動、重命名、恢復等操作，可以有效的管理企業(yè)內部機密文檔。

打印控制

打印操作記錄

可以記錄和查詢員工打印文檔情況，包含打印時間、目標文檔路徑、打印頁數(shù)、打印機名稱、執(zhí)行打印任務的PC機器名和登錄用戶名

可以安日期、文件名等靈活的查詢打印過的文檔記錄。

打印控制

可以在指定的時間禁止指定的打印機進行打印任務

可以控制那些用戶可以打印那些用戶不可以打印，從而節(jié)約打印成本。

屏幕快照

查看屏幕快照

可以看到網(wǎng)絡內員工正在操作計算機的最新畫面

方便管理者進行網(wǎng)絡行為的巡視，發(fā)現(xiàn)違規(guī)行為，及時糾正。

記錄屏幕歷史

可以按天查看網(wǎng)絡內員工操作過的歷史畫面、并連續(xù)播放歷史畫面

方便管理者進行網(wǎng)絡行為的事后追查，客觀的評估員工的網(wǎng)絡行為。

遠程維護

遠程信息查看

可以查看客戶端的基本信息，包含客戶端的計算機名、登錄的用戶名、操作系統(tǒng)、IP/MAC、開機時間、網(wǎng)絡共享、磁盤使用情況、計算機性能、共享的文件夾等

管理員可以很方便查詢任意一臺電腦的所有信息，從而了解每一臺電腦的現(xiàn)狀及工作情況。

遠程操作

可以遠程地對客戶端的進程、服務進行管理，包含結束繼承、關閉服務、啟動服務等，并可以遠程喚醒客戶端PC、清除客戶端系統(tǒng)

管理員可以通過控制臺來維護員工的電腦,包括軟件的安裝、修改、進程的管理等。

遠程控制

可以遠程登錄、注銷、重啟計算機，支持鍵盤輸入和登錄快捷鍵操作

方便IT管理者對網(wǎng)內計算機進行遠程維護，同時支持異地遠程維護，實現(xiàn)了跨區(qū)域分支機構的集中管理和控制。

遠程文件傳送

可以遠程打開指定客戶端文件夾，可以讓控制臺和客戶端相互傳送文件

公司如果有什么文件要下發(fā)的話，可以通過控制臺來進行單發(fā)或群發(fā)，從而節(jié)省了時間，提高了工作效率。

基本控制

可以在控制端針對網(wǎng)內任意計算機進行鎖定、關閉、重啟、注銷和發(fā)送即時通知信息

若發(fā)現(xiàn)網(wǎng)內計算機有非法操作，可以及時的采取行動，對非法行為進行及時控制，避免非法行為的繼續(xù)，挽回損失。方便管理者進行遠端電腦的強制性控制和系統(tǒng)維護管理，防止員工下班后或長時間離開辦公位置忘記關閉計算機。

設備控制

驅動類設備

可以按某臺、某組或者整個網(wǎng)絡禁止使用哪些存儲設備。包含：軟驅，光驅，刻錄機，磁帶機，可移動設備（U盤，移動硬盤，記憶棒，智能卡）

避免員工使用與工作不相關的計算機設備，錯誤修改網(wǎng)絡屬性，方便統(tǒng)一部署屏保程序或畫面。根據(jù)風險評估，制定事前預防策略，根據(jù)策略對相應的設備進行禁止，預防文件泄密。

通訊類設備

可以按某臺、某組或者整個網(wǎng)絡禁止使用哪些通訊設備。包含：串口，并口，USB 控制器和連接器(HUB)，SCSI接口，1394控制器，紅外線，PCMICA卡，藍牙設備，MODEM

防止隨意通過無線、藍牙、紅外、拔號等方式上網(wǎng)，從而避免機密文件外泄。

USB類相關設備

可以按某臺、某組或者整個網(wǎng)絡禁止使用哪些USB設備。包含：USB 鍵盤，USB 鼠標，USB Modem，USB 映像設備，USB 設備。

可以對USB鍵盤、鼠標、modem、MP3、移動硬盤等分別進行控制，啟到防止文件外泄、病毒擴散等。

其它類

可以按某臺、某組或者整個網(wǎng)絡禁止使用哪些其他設備。包含：聲音設備，無線網(wǎng)卡，PnP網(wǎng)卡虛擬光驅

可以控制聲音設備、無線設備、虛擬設備等。

禁用任何新設備

可以按某臺、某組或者這個網(wǎng)絡禁止使用任何新設備

不允許增加沒有經過管理員認可的任何設備。

網(wǎng)絡控制

網(wǎng)絡端口控制

可以通過對通訊方向、IP地址范圍、網(wǎng)絡端口范圍的設置進行管理

有效的防止外來計算機侵入單位內部就局域網(wǎng)，可根據(jù)需要靈活的設置外來計算機跟網(wǎng)內計算機的通訊方向。

上傳下載控制

可以控制員工的上傳/下載行為

上傳下載是最消耗企業(yè)網(wǎng)絡資源的，對上傳下載進行合理的設置才能提高工作的效率。

IP MAC 綁定

可以將客戶端PC的IP地址與MAC地址進行綁定。

防止員工隨意修改IP地址，造成IP經常沖突，給管理人員造成很大的麻煩。

入侵檢測

可以發(fā)現(xiàn)網(wǎng)絡內是否有非法計算機接入，同時能夠阻止非法計算機接入

可以有效的防止非法的電腦入侵企業(yè)內部局域網(wǎng)，從而減少病毒的侵入和非法的機密文件。

即時通訊傳送文件控制

可以通過對傳送文件的名稱、文件大小來禁止員工用即時通訊工具傳遞文件。

可以對即時通訊工具傳送的文件進行控制和記錄，達到安全管理。

資產管理

資產管理

可以自定義查看硬件或軟件的資產分布情況、按組、計算機來查看某個硬件和軟件分布在哪些計算機，并統(tǒng)計數(shù)量。

管理者可以方便的進行員工的電腦的辦軟硬件信息進行監(jiān)控，為故障排除提供依據(jù)，為軟硬件的安全管理提供支持。

補丁管理

可以查看客戶端系統(tǒng)補丁情況，服務器自動下載補丁，并自動下發(fā)到客戶端靜默安裝。

可以分析企業(yè)內部所有電腦的系統(tǒng)配置，下載相應的補丁進行補丁智能分發(fā)，提高了管理員的工作效率，降底了公司的網(wǎng)絡資源。

漏洞檢查

可以查看客戶端的系統(tǒng)漏洞信息、并可以根據(jù)建議手工解決漏洞問題

可以掃描企業(yè)內部網(wǎng)絡那些電腦存在安全漏洞，然后可以智能的安裝相應的補丁，減化了網(wǎng)絡管理人員的工作。

軟件分發(fā)

可以向客戶端自動分發(fā)和安裝軟件，或者將指定的文件或者應用程序復制到客戶端指定的位置。

實現(xiàn)程序的自動化部署，比如：補丁程序、應用程序，大大提高程序部署的效率，讓IT管理者不再為大量的機械性、重復性

三： 模塊及產品報價

根據(jù)目前蘇州中西醫(yī)結合醫(yī)院的規(guī)模和應用需求，目前有內外網(wǎng)分離和全局網(wǎng)絡兩種方案可供選擇，具體模塊產品型號如下： １內外網(wǎng)分離

編號

模塊名稱

功能

選擇

V01

基本策略（必選）

防止用戶隨意更改計算機設置

（V02

應用程序

對用戶的應用程序進程進行監(jiān)控并管理

（V09

設備控制

控制計算機能使用的設備，比如U盤，光驅，軟驅等等。

（V13

資產管理

查看補丁情況，自動下補丁。自動記錄軟件，硬件情況，進行漏洞檢查，以及自動軟件分發(fā)

（產品報價明細 項目

模塊選擇

模塊 單價

總價

其他費用

內網(wǎng)安全管理威盾Viacontrol

V01 基本策略 V02 應用程序 V09 設備控制 V13 資產管理

標準價格60元/模塊

按照50點計算： 50*4*60 = 12,000元

免費提供1年升級服務 包含安裝、實施費用全局網(wǎng)絡 編號

模塊名稱

功能

選擇

V01

基本策略（必選）

防止用戶隨意更改計算機設置

（V02

應用程序

對用戶的應用程序進程進行監(jiān)控并管理

（V03

瀏覽網(wǎng)站

瀏覽網(wǎng)站記錄：詳細的紀錄出員工每天的上網(wǎng)情況。

（V04 網(wǎng)絡流量

網(wǎng)絡流量統(tǒng)計：統(tǒng)計出每臺或者每個部門的電腦占用的網(wǎng)絡流量情況，并對網(wǎng)絡流量按照端口和地址進行了明細和類別的分類。

（V09 設備控制

控制計算機能使用的設備，比如U盤，光驅，軟驅等等。

（V13

資產管理

查看補丁情況，自動下補丁。自動記錄軟件，硬件情況，進行漏洞檢查，以及自動軟件分發(fā)

（產品報價明細 項目

參數(shù)

單價

總價

其他費用

內網(wǎng)安全管理 威盾Viacontrol

V01 基本策略 V02 應用程序 V03 瀏覽網(wǎng)站 V04 網(wǎng)絡流量 V09 設備控制 V13 資產管理

標準價格60元/模塊

按照100點計算： 100*6*60 = 36,000元

免費提供1年升級服務 包含安裝、實施費用