第一篇：威盾內(nèi)網(wǎng)安全管理系統(tǒng)方案

內(nèi)網(wǎng)管理對醫(yī)院IT正常運(yùn)行的價(jià)值 醫(yī)院內(nèi)部網(wǎng)絡(luò)管理的現(xiàn)狀及碰到的問題

隨著醫(yī)院HIS,PACS等各種業(yè)務(wù)系統(tǒng)的投入運(yùn)行，計(jì)算機(jī)軟件、硬件以及網(wǎng)絡(luò)日益成為醫(yī)院業(yè)務(wù)運(yùn)轉(zhuǎn)中不可缺少的基礎(chǔ)設(shè)施?？梢韵胂?，網(wǎng)絡(luò)是否能正常運(yùn)行，以及運(yùn)行的正常與否已經(jīng)成為醫(yī)院是否能正常運(yùn)轉(zhuǎn)的關(guān)鍵。

所有醫(yī)院都碰到過以下問題：

網(wǎng)絡(luò)變慢，找不到原因； 網(wǎng)絡(luò)癱瘓，不知道如何處理；

雖然安裝殺毒軟件，但是因?yàn)椴徽?dāng)?shù)氖褂?，還是會導(dǎo)致計(jì)算機(jī)重新安裝； 使用內(nèi)網(wǎng)管理系統(tǒng)是解決以上問題的解決辦法。如果說網(wǎng)絡(luò)管理員就象醫(yī)院的保安一樣，一個(gè)內(nèi)網(wǎng)管理系統(tǒng)就是醫(yī)院網(wǎng)絡(luò)的監(jiān)控?cái)z像頭。光靠管理員出了問題進(jìn)行補(bǔ)救和維護(hù)是無法完成巨大的管理維護(hù)工作的。內(nèi)網(wǎng)管理系統(tǒng)可以24小時(shí)幫助管理員實(shí)施安全策略，及時(shí)更新病毒庫，出現(xiàn)問題及時(shí)進(jìn)行維護(hù)。

讓管理員節(jié)省更多的時(shí)間進(jìn)行業(yè)務(wù)系統(tǒng)維護(hù)學(xué)習(xí)，以及更好的進(jìn)行網(wǎng)絡(luò)維護(hù)。根據(jù)統(tǒng)計(jì)數(shù)據(jù)，實(shí)施內(nèi)網(wǎng)管理的醫(yī)院，網(wǎng)絡(luò)故障率減少80%?；谶@個(gè)原因，衛(wèi)生部才會要求三級醫(yī)院安裝內(nèi)網(wǎng)管理軟件，配合進(jìn)行網(wǎng)絡(luò)管理，作為提高醫(yī)院管理水平的標(biāo)志之一。全國三級甲等醫(yī)院大部分都已經(jīng)開始應(yīng)用內(nèi)網(wǎng)管理軟件。威盾（VIACONTROL）安全管理系統(tǒng)

威盾網(wǎng)絡(luò)安全管理（VIACONTROL）系統(tǒng)遵循網(wǎng)絡(luò)防護(hù)和端點(diǎn)防護(hù)并重理念，對網(wǎng)絡(luò)安全管理人員在網(wǎng)絡(luò)管理、客戶端管理過程中所面臨的種種問題提供解決方案，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)客戶端的可控管理。具體功能如下： 模塊名稱

子功能

功能介紹

管理作用

基本策略

禁用控制面板

可以在開始菜單和我的電腦下隱藏控制面板選項(xiàng)

防止非管理人員隨意修改電腦設(shè)置，或添加刪除相關(guān)程序給公司網(wǎng)絡(luò)管理帶來麻煩。

設(shè)置屏幕屬性

可以禁止修改顯示背景和屏幕保護(hù)屬性等

有些游戲程序在啟動的時(shí)候會修改屏幕的屬性,對屏幕屬性的管理可以有效的控制員工在上班期間做一些與工作無關(guān)的事情。

打印機(jī)管理

可以禁止增加、刪除打印機(jī)

可以有效的控制打印機(jī)的使用，節(jié)約打印成本。

禁止計(jì)算機(jī)管理

可以禁止使用計(jì)算機(jī)管理里的各種系統(tǒng)管理功能

避免員工私意添加用戶、修改程序驅(qū)動、更改磁盤盤符及容量，給管理人員帶來不必要的麻煩。

禁止修改網(wǎng)絡(luò)屬性、禁止任何默認(rèn)網(wǎng)絡(luò)共享

可以禁止修改網(wǎng)絡(luò)屬性

員工往往因?yàn)楣ぷ餍枰O(shè)置共享文件夾，然而，共享文件很容易被別有用心的員工或外來計(jì)算機(jī)竊取。避免網(wǎng)絡(luò)共享泄密和網(wǎng)絡(luò)病毒傳播。

禁用娛樂類

可以禁止使用聊天類、影音類、游戲類、FLASH類的ActiveX插件

防止上班其間聊QQ、MSN看在線電影、聽音樂等浪費(fèi)公司的資源。

報(bào)警功能

可按某臺、某組或整個(gè)網(wǎng)絡(luò)設(shè)置硬件或軟件信息變化的報(bào)警規(guī)則

實(shí)現(xiàn)對違規(guī)網(wǎng)絡(luò)行為的及時(shí)發(fā)現(xiàn)，提高了網(wǎng)絡(luò)行規(guī)范管理的響應(yīng)能力。

基本事件日志

可以詳細(xì)記錄客戶端PC開機(jī)、關(guān)機(jī)的時(shí)間，以及用戶登錄、登出時(shí)間。

讓IT管理者從多個(gè)角度來了解網(wǎng)絡(luò)內(nèi)每臺計(jì)算機(jī)的全面的日志信息，為故障排除和網(wǎng)絡(luò)管理提供有力支持。

應(yīng)用程序

應(yīng)用程序日志

可以詳細(xì)記錄所有應(yīng)用程序啟動/關(guān)閉和窗口/標(biāo)題切換日志，可以按某臺、某組或整個(gè)網(wǎng)絡(luò)查詢，可以按時(shí)間、應(yīng)用程序以及路徑/標(biāo)題查詢?nèi)罩?/p>

可以很容易、客觀的評估出員工使用程序的工作情況和效率，方便進(jìn)行員工的網(wǎng)絡(luò)行為管理。

應(yīng)用程序統(tǒng)計(jì)

可以按時(shí)間、計(jì)算機(jī)（組）/用戶（組）、應(yīng)用程序明細(xì)查看并統(tǒng)計(jì)某個(gè)員工使用某個(gè)應(yīng)用程序的時(shí)間，以及占全部工作時(shí)間的百分比

方便管理者對員工的網(wǎng)絡(luò)行為進(jìn)行個(gè)性化統(tǒng)計(jì)和分析。

應(yīng)用程序控制

可以按全天或指定的時(shí)間對指定的程序禁止。

對違規(guī)網(wǎng)絡(luò)行為在事前進(jìn)行控制。

網(wǎng)絡(luò)流量

網(wǎng)絡(luò)流量統(tǒng)計(jì)

可以按時(shí)間、計(jì)算機(jī)（組）/用戶（組）、地址明細(xì)、端口明細(xì)、地址類別、端口類別查看并統(tǒng)計(jì)網(wǎng)絡(luò)流量大小情況

可以通多種方式查看網(wǎng)絡(luò)的流量，如：可以查看每一個(gè)用戶每一個(gè)端口的流量，從而可以分析出該員工做的那一類工作占的比重多。

網(wǎng)絡(luò)流量控制

可以限制客戶端的流量，可以指定網(wǎng)絡(luò)地址、端口范圍、流量方向來限制客戶端的流量

可以針對不同用戶或一個(gè)組內(nèi)的用戶，進(jìn)行安不同網(wǎng)段不同端口進(jìn)行流量控制，可以有效管理非法BT或其它下載行為。

文檔操作控制

可以在指定的時(shí)間，禁止對指定文檔的操作。操作類型包含：創(chuàng)建、復(fù)制、移動、刪除、重命名、修改、恢復(fù)及訪問

可以防止非法從電腦硬盤等其它存儲設(shè)備中拷貝、刪除、移動、重命名、恢復(fù)等操作，可以有效的管理企業(yè)內(nèi)部機(jī)密文檔。

打印控制

打印操作記錄

可以記錄和查詢員工打印文檔情況，包含打印時(shí)間、目標(biāo)文檔路徑、打印頁數(shù)、打印機(jī)名稱、執(zhí)行打印任務(wù)的PC機(jī)器名和登錄用戶名

可以安日期、文件名等靈活的查詢打印過的文檔記錄。

打印控制

可以在指定的時(shí)間禁止指定的打印機(jī)進(jìn)行打印任務(wù)

可以控制那些用戶可以打印那些用戶不可以打印，從而節(jié)約打印成本。

屏幕快照

查看屏幕快照

可以看到網(wǎng)絡(luò)內(nèi)員工正在操作計(jì)算機(jī)的最新畫面

方便管理者進(jìn)行網(wǎng)絡(luò)行為的巡視，發(fā)現(xiàn)違規(guī)行為，及時(shí)糾正。

記錄屏幕歷史

可以按天查看網(wǎng)絡(luò)內(nèi)員工操作過的歷史畫面、并連續(xù)播放歷史畫面

方便管理者進(jìn)行網(wǎng)絡(luò)行為的事后追查，客觀的評估員工的網(wǎng)絡(luò)行為。

遠(yuǎn)程維護(hù)

遠(yuǎn)程信息查看

可以查看客戶端的基本信息，包含客戶端的計(jì)算機(jī)名、登錄的用戶名、操作系統(tǒng)、IP/MAC、開機(jī)時(shí)間、網(wǎng)絡(luò)共享、磁盤使用情況、計(jì)算機(jī)性能、共享的文件夾等

管理員可以很方便查詢?nèi)我庖慌_電腦的所有信息，從而了解每一臺電腦的現(xiàn)狀及工作情況。

遠(yuǎn)程操作

可以遠(yuǎn)程地對客戶端的進(jìn)程、服務(wù)進(jìn)行管理，包含結(jié)束繼承、關(guān)閉服務(wù)、啟動服務(wù)等，并可以遠(yuǎn)程喚醒客戶端PC、清除客戶端系統(tǒng)

管理員可以通過控制臺來維護(hù)員工的電腦,包括軟件的安裝、修改、進(jìn)程的管理等。

遠(yuǎn)程控制

可以遠(yuǎn)程登錄、注銷、重啟計(jì)算機(jī)，支持鍵盤輸入和登錄快捷鍵操作

方便IT管理者對網(wǎng)內(nèi)計(jì)算機(jī)進(jìn)行遠(yuǎn)程維護(hù)，同時(shí)支持異地遠(yuǎn)程維護(hù)，實(shí)現(xiàn)了跨區(qū)域分支機(jī)構(gòu)的集中管理和控制。

遠(yuǎn)程文件傳送

可以遠(yuǎn)程打開指定客戶端文件夾，可以讓控制臺和客戶端相互傳送文件

公司如果有什么文件要下發(fā)的話，可以通過控制臺來進(jìn)行單發(fā)或群發(fā)，從而節(jié)省了時(shí)間，提高了工作效率。

基本控制

可以在控制端針對網(wǎng)內(nèi)任意計(jì)算機(jī)進(jìn)行鎖定、關(guān)閉、重啟、注銷和發(fā)送即時(shí)通知信息

若發(fā)現(xiàn)網(wǎng)內(nèi)計(jì)算機(jī)有非法操作，可以及時(shí)的采取行動，對非法行為進(jìn)行及時(shí)控制，避免非法行為的繼續(xù)，挽回?fù)p失。方便管理者進(jìn)行遠(yuǎn)端電腦的強(qiáng)制性控制和系統(tǒng)維護(hù)管理，防止員工下班后或長時(shí)間離開辦公位置忘記關(guān)閉計(jì)算機(jī)。

設(shè)備控制

驅(qū)動類設(shè)備

可以按某臺、某組或者整個(gè)網(wǎng)絡(luò)禁止使用哪些存儲設(shè)備。包含：軟驅(qū)，光驅(qū)，刻錄機(jī)，磁帶機(jī)，可移動設(shè)備（U盤，移動硬盤，記憶棒，智能卡）

避免員工使用與工作不相關(guān)的計(jì)算機(jī)設(shè)備，錯誤修改網(wǎng)絡(luò)屬性，方便統(tǒng)一部署屏保程序或畫面。根據(jù)風(fēng)險(xiǎn)評估，制定事前預(yù)防策略，根據(jù)策略對相應(yīng)的設(shè)備進(jìn)行禁止，預(yù)防文件泄密。

通訊類設(shè)備

可以按某臺、某組或者整個(gè)網(wǎng)絡(luò)禁止使用哪些通訊設(shè)備。包含：串口，并口，USB 控制器和連接器(HUB)，SCSI接口，1394控制器，紅外線，PCMICA卡，藍(lán)牙設(shè)備，MODEM

防止隨意通過無線、藍(lán)牙、紅外、拔號等方式上網(wǎng)，從而避免機(jī)密文件外泄。

USB類相關(guān)設(shè)備

可以按某臺、某組或者整個(gè)網(wǎng)絡(luò)禁止使用哪些USB設(shè)備。包含：USB 鍵盤，USB 鼠標(biāo)，USB Modem，USB 映像設(shè)備，USB 設(shè)備。

可以對USB鍵盤、鼠標(biāo)、modem、MP3、移動硬盤等分別進(jìn)行控制，啟到防止文件外泄、病毒擴(kuò)散等。

其它類

可以按某臺、某組或者整個(gè)網(wǎng)絡(luò)禁止使用哪些其他設(shè)備。包含：聲音設(shè)備，無線網(wǎng)卡，PnP網(wǎng)卡虛擬光驅(qū)

可以控制聲音設(shè)備、無線設(shè)備、虛擬設(shè)備等。

禁用任何新設(shè)備

可以按某臺、某組或者這個(gè)網(wǎng)絡(luò)禁止使用任何新設(shè)備

不允許增加沒有經(jīng)過管理員認(rèn)可的任何設(shè)備。

網(wǎng)絡(luò)控制

網(wǎng)絡(luò)端口控制

可以通過對通訊方向、IP地址范圍、網(wǎng)絡(luò)端口范圍的設(shè)置進(jìn)行管理

有效的防止外來計(jì)算機(jī)侵入單位內(nèi)部就局域網(wǎng)，可根據(jù)需要靈活的設(shè)置外來計(jì)算機(jī)跟網(wǎng)內(nèi)計(jì)算機(jī)的通訊方向。

上傳下載控制

可以控制員工的上傳/下載行為

上傳下載是最消耗企業(yè)網(wǎng)絡(luò)資源的，對上傳下載進(jìn)行合理的設(shè)置才能提高工作的效率。

IP MAC 綁定

可以將客戶端PC的IP地址與MAC地址進(jìn)行綁定。

防止員工隨意修改IP地址，造成IP經(jīng)常沖突，給管理人員造成很大的麻煩。

入侵檢測

可以發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)是否有非法計(jì)算機(jī)接入，同時(shí)能夠阻止非法計(jì)算機(jī)接入

可以有效的防止非法的電腦入侵企業(yè)內(nèi)部局域網(wǎng)，從而減少病毒的侵入和非法的機(jī)密文件。

即時(shí)通訊傳送文件控制

可以通過對傳送文件的名稱、文件大小來禁止員工用即時(shí)通訊工具傳遞文件。

可以對即時(shí)通訊工具傳送的文件進(jìn)行控制和記錄，達(dá)到安全管理。

資產(chǎn)管理

資產(chǎn)管理

可以自定義查看硬件或軟件的資產(chǎn)分布情況、按組、計(jì)算機(jī)來查看某個(gè)硬件和軟件分布在哪些計(jì)算機(jī)，并統(tǒng)計(jì)數(shù)量。

管理者可以方便的進(jìn)行員工的電腦的辦軟硬件信息進(jìn)行監(jiān)控，為故障排除提供依據(jù)，為軟硬件的安全管理提供支持。

補(bǔ)丁管理

可以查看客戶端系統(tǒng)補(bǔ)丁情況，服務(wù)器自動下載補(bǔ)丁，并自動下發(fā)到客戶端靜默安裝。

可以分析企業(yè)內(nèi)部所有電腦的系統(tǒng)配置，下載相應(yīng)的補(bǔ)丁進(jìn)行補(bǔ)丁智能分發(fā)，提高了管理員的工作效率，降底了公司的網(wǎng)絡(luò)資源。

漏洞檢查

可以查看客戶端的系統(tǒng)漏洞信息、并可以根據(jù)建議手工解決漏洞問題

可以掃描企業(yè)內(nèi)部網(wǎng)絡(luò)那些電腦存在安全漏洞，然后可以智能的安裝相應(yīng)的補(bǔ)丁，減化了網(wǎng)絡(luò)管理人員的工作。

軟件分發(fā)

可以向客戶端自動分發(fā)和安裝軟件，或者將指定的文件或者應(yīng)用程序復(fù)制到客戶端指定的位置。

實(shí)現(xiàn)程序的自動化部署，比如：補(bǔ)丁程序、應(yīng)用程序，大大提高程序部署的效率，讓IT管理者不再為大量的機(jī)械性、重復(fù)性

三： 模塊及產(chǎn)品報(bào)價(jià)

根據(jù)目前蘇州中西醫(yī)結(jié)合醫(yī)院的規(guī)模和應(yīng)用需求，目前有內(nèi)外網(wǎng)分離和全局網(wǎng)絡(luò)兩種方案可供選擇，具體模塊產(chǎn)品型號如下： １內(nèi)外網(wǎng)分離

編號

模塊名稱

功能

選擇

V01

基本策略（必選）

防止用戶隨意更改計(jì)算機(jī)設(shè)置

（V02

應(yīng)用程序

對用戶的應(yīng)用程序進(jìn)程進(jìn)行監(jiān)控并管理

（V09

設(shè)備控制

控制計(jì)算機(jī)能使用的設(shè)備，比如U盤，光驅(qū)，軟驅(qū)等等。

（V13

資產(chǎn)管理

查看補(bǔ)丁情況，自動下補(bǔ)丁。自動記錄軟件，硬件情況，進(jìn)行漏洞檢查，以及自動軟件分發(fā)

（產(chǎn)品報(bào)價(jià)明細(xì) 項(xiàng)目

模塊選擇

模塊 單價(jià)

總價(jià)

其他費(fèi)用

內(nèi)網(wǎng)安全管理威盾Viacontrol

V01 基本策略 V02 應(yīng)用程序 V09 設(shè)備控制 V13 資產(chǎn)管理

標(biāo)準(zhǔn)價(jià)格60元/模塊

按照50點(diǎn)計(jì)算： 50*4*60 = 12,000元

免費(fèi)提供1年升級服務(wù) 包含安裝、實(shí)施費(fèi)用全局網(wǎng)絡(luò) 編號

模塊名稱

功能

選擇

V01

基本策略（必選）

防止用戶隨意更改計(jì)算機(jī)設(shè)置

（V02

應(yīng)用程序

對用戶的應(yīng)用程序進(jìn)程進(jìn)行監(jiān)控并管理

（V03

瀏覽網(wǎng)站

瀏覽網(wǎng)站記錄：詳細(xì)的紀(jì)錄出員工每天的上網(wǎng)情況。

（V04 網(wǎng)絡(luò)流量

網(wǎng)絡(luò)流量統(tǒng)計(jì)：統(tǒng)計(jì)出每臺或者每個(gè)部門的電腦占用的網(wǎng)絡(luò)流量情況，并對網(wǎng)絡(luò)流量按照端口和地址進(jìn)行了明細(xì)和類別的分類。

（V09 設(shè)備控制

控制計(jì)算機(jī)能使用的設(shè)備，比如U盤，光驅(qū)，軟驅(qū)等等。

（V13

資產(chǎn)管理

查看補(bǔ)丁情況，自動下補(bǔ)丁。自動記錄軟件，硬件情況，進(jìn)行漏洞檢查，以及自動軟件分發(fā)

（產(chǎn)品報(bào)價(jià)明細(xì) 項(xiàng)目

參數(shù)

單價(jià)

總價(jià)

其他費(fèi)用

內(nèi)網(wǎng)安全管理 威盾Viacontrol

V01 基本策略 V02 應(yīng)用程序 V03 瀏覽網(wǎng)站 V04 網(wǎng)絡(luò)流量 V09 設(shè)備控制 V13 資產(chǎn)管理

標(biāo)準(zhǔn)價(jià)格60元/模塊

按照100點(diǎn)計(jì)算： 100*6*60 = 36,000元

免費(fèi)提供1年升級服務(wù) 包含安裝、實(shí)施費(fèi)用

第二篇：內(nèi)網(wǎng)安全管理系統(tǒng)軟件技術(shù)要求

附件二

內(nèi)網(wǎng)安全管理系統(tǒng)軟件招標(biāo)技術(shù)要求

一、產(chǎn)品總體要求

1、公司的資質(zhì):公司成立10年以上，具有自主研發(fā)能力，有成熟穩(wěn)定的研發(fā)隊(duì)伍的軟件行業(yè)企業(yè)。

2、產(chǎn)品資質(zhì)要求：必須是自主研發(fā)，穩(wěn)定銷售8年以上；擁有自主知識產(chǎn)權(quán)，通過公安部檢測，獲得公安部銷售許可證，至少擁有以下資質(zhì)證明： 公安部《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》； 國家版權(quán)局頒發(fā)的《計(jì)算機(jī)軟件著作權(quán)登記證書》； 國家版權(quán)局頒發(fā)的《計(jì)算機(jī)軟件產(chǎn)品登記證書》;ISO9000質(zhì)量管理體系認(rèn)證。

3、產(chǎn)品實(shí)施簡單，可操作性強(qiáng)，實(shí)施后必須保證網(wǎng)絡(luò)穩(wěn)定暢通，系統(tǒng)正常運(yùn)行，不影響正常開展工作。

4、*至少有五家500點(diǎn)客戶的安裝實(shí)施經(jīng)驗(yàn)。

5、有豐富的行業(yè)客戶服務(wù)經(jīng)驗(yàn)，能提供后續(xù)技術(shù)支持和維護(hù)更新等服務(wù)。

二、技術(shù)規(guī)范要求

2.1 系統(tǒng)要求

▲客戶端操作系統(tǒng)支持包括：Windows98/Me/NT/2000/XP/2003/Vista/Win7/2008,必須同時(shí)支持32位及64位系統(tǒng)。

▲所有監(jiān)控功能都能按計(jì)算機(jī)和用戶兩種模式實(shí)現(xiàn)。

▲必須支持瘦客戶機(jī)、終端服務(wù)器、無盤工作站等的使用模式。

*監(jiān)控系統(tǒng)的部署必須支持多種安裝方式，包括web安裝、域腳本安裝、遠(yuǎn)程安裝以及域組策略安裝等。

*必須提供分布式服務(wù)器管理功能，并且需要支持跨區(qū)域部署管理。*必須隱藏客戶端進(jìn)程。

*支持與AD域的結(jié)合，可與域組織架構(gòu)實(shí)時(shí)同步。管理端必須支持C/S架構(gòu)登錄。

客戶端在離線情況下，控制及日志記錄功能依然生效。

附件二

2.2 功能要求

2.2.1 基本功能

能獲取計(jì)算機(jī)的基本信息，包括計(jì)算機(jī)名稱，網(wǎng)絡(luò)地址，操作系統(tǒng)，登錄用戶，當(dāng)前狀態(tài)等信息，以及計(jì)算機(jī)多用戶登錄信息的查看。

▲支持增加管理員賬戶并對賬戶權(quán)限可實(shí)現(xiàn)細(xì)化，如管理范圍、功能權(quán)限。同時(shí)可對非系統(tǒng)管理員的賬戶可禁用、刪除以及修改密碼，方便權(quán)限回收。

*必須具備管理員以及審計(jì)員賬戶，且相互獨(dú)立，并且能夠提供記錄管理員操作的審計(jì)平臺，包括管理員登陸系統(tǒng)，查看日志，對內(nèi)網(wǎng)計(jì)算機(jī)的控制等等。

*支持對各終端所設(shè)置策略的總覽以及對策略的應(yīng)用查詢方便管理員掌握終端的策略情況，同時(shí)具有對策略的導(dǎo)入導(dǎo)出功能及復(fù)制功能。*支持郵件報(bào)警功能，可以將違規(guī)行為詳細(xì)記錄為日志形式并通過郵件發(fā)送至指定郵箱。*支持設(shè)定自動關(guān)機(jī)功能，提供在指定時(shí)間關(guān)機(jī)、注銷及重啟的功能

支持按工作時(shí)間段進(jìn)行策略設(shè)置，靈活管理。

支持遠(yuǎn)程對計(jì)算機(jī)進(jìn)行鍵盤鼠標(biāo)操作鎖定、關(guān)閉、重啟、注銷和發(fā)送通知信息等。支持對3g上網(wǎng)卡撥號的日志記錄。

2.2.2 基本控制功能（包括基本模塊及設(shè)備管控模塊）

能控制計(jì)算機(jī)對本機(jī)系統(tǒng)設(shè)置的操作權(quán)限，包括以下多項(xiàng)屬性，并且各項(xiàng)可以單獨(dú)控制： *IP/MAC綁定：修改網(wǎng)絡(luò)IP/MAC配置

控制面板：控制面板、設(shè)置屏幕屬性、添加打印機(jī)、刪除打印機(jī)、快速切換用戶。計(jì)算機(jī)管理：設(shè)備管理器、使用磁盤管理、本地用戶和組、系統(tǒng)服務(wù)管理、其它計(jì)算機(jī)管理。

系統(tǒng)：任務(wù)管理器、注冊表編輯器、命令提示符、運(yùn)行注冊表中Run下的程序、運(yùn)行注冊表中Run Once下的程序

網(wǎng)絡(luò)：修改網(wǎng)絡(luò)屬性、顯示網(wǎng)上鄰居、修改Internet選項(xiàng)、默認(rèn)網(wǎng)絡(luò)共享、使用網(wǎng)絡(luò)共享、增加網(wǎng)絡(luò)共享

其它：使用print screen鍵復(fù)制屏幕、系統(tǒng)還原、Windows自動更新

▲可以控制內(nèi)網(wǎng)計(jì)算機(jī)對常用設(shè)備的使用權(quán)限，支持對刻錄機(jī)可讀不可寫的控制

存儲設(shè)備包括：軟驅(qū)，光驅(qū)，刻錄機(jī)，磁帶機(jī)，可移動設(shè)備（U盤，移動硬盤，記憶棒，智能卡，MO，Zip）、便攜設(shè)備（智能手機(jī)）等；支持對上面各項(xiàng)的單獨(dú)控制。

通訊設(shè)備包括：串口、并口、USB 控制器和連接器(HUB)、SCSI接口、1394控制器紅外線、PCMICA卡、藍(lán)牙設(shè)備、MODEM、直接電纜連接、拔號連接等；支持對上面各項(xiàng)的單獨(dú)控制。

網(wǎng)絡(luò)接入設(shè)備：包括無線網(wǎng)卡，pnp網(wǎng)卡，虛擬網(wǎng)卡等；并且可以對它們單獨(dú)控制。其它：聲音設(shè)備，虛擬光驅(qū)，任何新設(shè)備等的使用。

▲支持USB設(shè)備的細(xì)分控制，即以下每項(xiàng)可單獨(dú)控制，支持3G上網(wǎng)卡的控制。USB設(shè)備：USB 鍵盤、USB 鼠標(biāo)、USB Modem（3G上網(wǎng)卡）、USB 映像設(shè)備、USB CDROM、USB 存儲、USB 硬盤、USB 網(wǎng)卡、USB其他USB設(shè)備；支持對上面各項(xiàng)的單

附件二

獨(dú)控制。

*支持禁止增加非系統(tǒng)硬盤。

*支持對Iphone等便攜式設(shè)備的控制 *支持對任何其他外設(shè)的控制

*支持對無線網(wǎng)絡(luò)的連接控制，限制禁止連接的無線網(wǎng)絡(luò)。

對計(jì)算機(jī)的硬件變化，設(shè)備的插入拔出，存儲設(shè)備變化，通訊設(shè)備變化，軟件變化，系統(tǒng)服務(wù)變化，啟動項(xiàng)變化，系統(tǒng)時(shí)鐘變化，計(jì)算機(jī)名稱變化，網(wǎng)絡(luò)配置變化等能提供報(bào)警信息并作為日志記錄。

2.2.3 移動存儲控制

支持對內(nèi)網(wǎng)計(jì)算機(jī)控制其對指定移動存儲設(shè)備的讀寫權(quán)限。支持自動收集客戶端上使用過的移動存儲信息，并可以自定義添加備注信息。同時(shí)支持移動存儲分類庫，允許對移動存儲進(jìn)行自定義分類，按類庫進(jìn)行管理。支持可按照對移動存儲的描述進(jìn)行控制。

支持所有通過USB接口方式連接計(jì)算機(jī)的存儲設(shè)備。

支持在指定計(jì)算機(jī)上使用制定移動存儲設(shè)備時(shí)，自動對復(fù)制/移動的文件進(jìn)行加解密控制，加密后的文檔只允許在具有自動解密權(quán)限的客戶端計(jì)算機(jī)處才能打開，否則打開為亂碼。

支持將指定移動存儲格式化成加密盤，只能在內(nèi)部裝了客戶端的計(jì)算機(jī)處正常使用，非客戶端計(jì)算機(jī)無法使用。

能夠記錄內(nèi)網(wǎng)計(jì)算機(jī)使用移動存儲設(shè)備的情況；包括操作時(shí)間，操作類型（插入/拔出），計(jì)算機(jī)、用戶、移動存儲類型等。

2.2.4應(yīng)用程序管控

支持通過禁止應(yīng)用程序分類或禁止應(yīng)用程序名稱、應(yīng)用程序窗口標(biāo)題的形式來禁止計(jì)算機(jī)使用非法程序。

針對應(yīng)用程序更改名稱或路徑的情況，所做的控制必須依然生效。能自動收集客戶端計(jì)算機(jī)運(yùn)行過的應(yīng)用程序，并支持分類管理。

支持記錄所有應(yīng)用程序的啟動/關(guān)閉、窗口的切換標(biāo)題動作；并可以按時(shí)間范圍，計(jì)算機(jī)范圍，應(yīng)用程序名稱，應(yīng)用程序路徑、窗口標(biāo)題這幾種查詢條件查詢。

支持通過自定義的時(shí)間范圍，對單個(gè)工作人員，部門，或整個(gè)網(wǎng)絡(luò)的計(jì)算機(jī)的應(yīng)用程序使用情況進(jìn)行統(tǒng)計(jì)；

統(tǒng)計(jì)結(jié)果必須有列表和圖表兩種顯示方式；

統(tǒng)計(jì)方式必須包括是：按應(yīng)用程序類別統(tǒng)計(jì)、按應(yīng)用程序名稱統(tǒng)計(jì)、分項(xiàng)統(tǒng)計(jì)（統(tǒng)計(jì)各組計(jì)算機(jī)的應(yīng)用程序使用），按明細(xì)統(tǒng)計(jì)等。

2.2.5遠(yuǎn)程維護(hù)

支持遠(yuǎn)程查看網(wǎng)絡(luò)內(nèi)的客戶端計(jì)算機(jī)當(dāng)前運(yùn)行的應(yīng)用程序，進(jìn)程，性能，設(shè)備管理，系統(tǒng)服務(wù)，磁盤管理，共享文件夾，計(jì)劃任務(wù)，用戶和組等。同時(shí)支持對應(yīng)用程序，進(jìn)程，附件二

設(shè)備管理，系統(tǒng)服務(wù)，共享文件夾，計(jì)劃任務(wù)的控制。支持對客戶端的遠(yuǎn)程控制。

支持遠(yuǎn)程文檔傳輸，提供客戶端與控制臺相互傳送文件的功能。必須支持經(jīng)過客戶端允許或密碼設(shè)定才能遠(yuǎn)程控制。支持遠(yuǎn)程卸載客戶端計(jì)算機(jī)上軟件功能

2.2.6屏幕監(jiān)控

▲屏幕歷史記錄的數(shù)據(jù)量：平均一幀數(shù)據(jù)量少于▲支持對指定應(yīng)用程序運(yùn)行過程的屏幕記錄?！С謱?yīng)用程序的變頻記錄。

25K 支持通過控制臺實(shí)時(shí)查看員工當(dāng)前工作的計(jì)算機(jī)桌面，并可將當(dāng)前屏幕保存為圖像，支持對終端用戶登錄的屏幕分屏查看。支持同時(shí)對多屏進(jìn)行監(jiān)視。支持?jǐn)U展顯示器的監(jiān)視。

能記錄計(jì)算機(jī)當(dāng)天的屏幕歷史畫面，并可以按指定的計(jì)算機(jī)查看指定日期范圍內(nèi)的屏幕歷史記錄，以播放器的方式播放某一天的屏幕歷史，并可將當(dāng)前播放的屏幕歷史另存為視頻文件。

2.2.7資產(chǎn)管理

支持對客戶端計(jì)算機(jī)的硬件和軟件資產(chǎn)信息的統(tǒng)計(jì)，并支持按分組或計(jì)算機(jī)統(tǒng)計(jì)硬件和軟件的分布情況，同時(shí)支持設(shè)置自定義查詢條件。

支持自定義添加企業(yè)內(nèi)的非軟硬件資產(chǎn)信息，并支持設(shè)置自定義查詢條件。

支持實(shí)時(shí)查看客戶端計(jì)算機(jī)補(bǔ)丁情況，并允許對補(bǔ)丁進(jìn)行修補(bǔ)，同時(shí)不需要另外搭建wsus服務(wù)器。

支持自動掃描計(jì)算機(jī)的系統(tǒng)漏洞并提供解決漏洞問題的建議。支持通過控制臺集中向客戶端自動分發(fā)安裝程序并自動安裝，或分發(fā)各種文件到指定的目錄下，以及分發(fā)其它執(zhí)行程序到目標(biāo)計(jì)算機(jī)的功能。支持對硬件資產(chǎn)添加自定義信息描述。

三、可靠性要求

數(shù)據(jù)庫的存儲能力及維護(hù)，為節(jié)省數(shù)據(jù)庫維護(hù)成本以及防止因部分?jǐn)?shù)據(jù)庫損壞而影響所有數(shù)據(jù)，需要對日志數(shù)據(jù)采用按天存儲的功能。每天產(chǎn)生獨(dú)立的數(shù)據(jù)庫，數(shù)據(jù)庫出錯無法修復(fù)也只影響受損數(shù)據(jù)庫所保存的當(dāng)天數(shù)據(jù)。

當(dāng)操作系統(tǒng)處于正常模式和安全模式下都能正常監(jiān)控。

要求監(jiān)控系統(tǒng)有一定的自我保護(hù)能力，不會輕易遭到破壞，并且不能自行卸載，必須通過授權(quán)才能卸載。

每個(gè)服務(wù)器支持超過3000個(gè)終端在線管理。

系統(tǒng)進(jìn)行局域網(wǎng)發(fā)現(xiàn)時(shí)節(jié)點(diǎn)占用帶寬不超過20Kbps。

附件二

系統(tǒng)進(jìn)行文件分發(fā)、文件傳送等操作時(shí)占用帶寬不超過200Kbps。系統(tǒng)在局域網(wǎng)環(huán)境內(nèi)進(jìn)行一遍節(jié)點(diǎn)輪詢占用帶寬數(shù)不超過20Kbps。附注：三年免費(fèi)質(zhì)保，三年免費(fèi)服務(wù)。產(chǎn)品支持570個(gè)工作站。

第三篇：內(nèi)網(wǎng)邊界管理系統(tǒng)

網(wǎng)絡(luò)邊界安全

一、網(wǎng)絡(luò)邊界背景

早期的網(wǎng)絡(luò)只是為了使分布在不同區(qū)域的人們資源共享和通信而建立的。網(wǎng)絡(luò)發(fā)展到今天，全世界的計(jì)算機(jī)聯(lián)成了網(wǎng)絡(luò)。而網(wǎng)絡(luò)安全也隨之而來。信息泄密、外來攻擊、病毒木馬等等，越來越多的網(wǎng)絡(luò)安全問題讓網(wǎng)絡(luò)管理者難以應(yīng)對，而如將內(nèi)網(wǎng)與外網(wǎng)完全隔開，就會形成信息的“孤島”，業(yè)務(wù)無法互通，資源又重復(fù)建設(shè)，并且隨著信息化的深入，在各種網(wǎng)絡(luò)上信息共享需求也日益強(qiáng)烈。

二、網(wǎng)絡(luò)邊界防護(hù)手段

不同安全級別的網(wǎng)絡(luò)相連，就產(chǎn)生了網(wǎng)絡(luò)邊界。一般來說，防止來自網(wǎng)絡(luò)外界的入侵，就需要在網(wǎng)絡(luò)邊界上建立可靠的安全防御措施。

從防火墻技術(shù)的到多重安全網(wǎng)關(guān)技術(shù)，再到不同時(shí)連接兩個(gè)網(wǎng)絡(luò)的網(wǎng)閘技術(shù)，都是采用的關(guān)卡方式，“檢查”的技術(shù)各有不同，但對黑客的最新攻擊技術(shù)都不太好用，也沒有監(jiān)控的手段，對付“人”的攻擊行為來說，只有人才是最好的對手。

三、現(xiàn)有邊界防護(hù)技術(shù)的缺陷

面對各種各樣包含新技術(shù)的攻擊手段，現(xiàn)有的防護(hù)產(chǎn)品以及其附帶的防護(hù)技術(shù)是否能實(shí)現(xiàn)預(yù)定功能。現(xiàn)有的安全管理員還不能對這些防護(hù)產(chǎn)品性能足夠了解，就談不上正確使用，把產(chǎn)品功能發(fā)揮出來。

再說網(wǎng)絡(luò)邊界防護(hù)是一個(gè)長期需要大投入的工程，一般的主管安全的領(lǐng)導(dǎo)及安全管理員根本不清楚遭受攻擊的一些細(xì)節(jié)，安全管理員根本不知道該怎么防，往哪里防。

購買最新的安全防護(hù)產(chǎn)品，或是花大量的時(shí)間、資金培養(yǎng)幾個(gè)資深的安全管理員，且不說兩者能不能配合，能不能防住，使邊界安全防護(hù)達(dá)到預(yù)期的目標(biāo)，單單投入方面也不是現(xiàn)有的企業(yè)目前所能夠承受的。

根據(jù)我國現(xiàn)階段現(xiàn)狀，政府和企業(yè)不可能在網(wǎng)絡(luò)安全方面大量投入，而有限的資金又不能投入到最需要的地方去，造成大量的資金浪費(fèi)。該防的沒建設(shè)，目前不用防的反而建設(shè)了。

對于公開的攻擊，只有防護(hù)一條路，比如對付DDOS的攻擊；但對于入侵的行為，其關(guān)鍵是對入侵的識別，識別出來后阻斷它是容易的，但怎樣區(qū)分正常的業(yè)務(wù)申請與入侵者的行為是邊界防護(hù)的重點(diǎn)與難點(diǎn)。

四、符合中國特色的邊界管理

面對上述種種問題，現(xiàn)有邊界防護(hù)技術(shù)和產(chǎn)品遠(yuǎn)遠(yuǎn)不能滿足我國機(jī)構(gòu)和企業(yè)的需要。那么我們必須轉(zhuǎn)變思想，找出路！

既然我們現(xiàn)階段有資金，人員及技術(shù)各方面的限制，不可能把網(wǎng)絡(luò)邊界打造成“鋼墻鐵壁”。沒錢修“城墻”，守衛(wèi)又不合格，那么只能多裝攝像頭，對所有的邊界監(jiān)控起來，達(dá)到不留“死角”的程度。一旦發(fā)現(xiàn)有攻擊、入侵行為馬上報(bào)警，馬上處置，然后針對被攻擊或入侵的薄弱地點(diǎn)，修一段“城墻”，重點(diǎn)防御。較低的投入，把現(xiàn)階段安全問題管起來，最后達(dá)到一個(gè)可控可管，齊抓共管的局面。

網(wǎng)絡(luò)邊界安全問題主要可以分為兩個(gè)方面，一個(gè)是由于外網(wǎng)接入到內(nèi)網(wǎng)中，從而帶來的網(wǎng)絡(luò)安全問題，另一個(gè)是內(nèi)網(wǎng)內(nèi)部產(chǎn)生的網(wǎng)絡(luò)安全問題。對于外網(wǎng)的接入，一般網(wǎng)絡(luò)上都增加了防火墻、VPN路由器等來保證網(wǎng)絡(luò)的安全，對于在內(nèi)網(wǎng)出現(xiàn)的問題就沒有設(shè)備來保證網(wǎng)絡(luò)的安全問題了。浙江遠(yuǎn)望電子有限公司的內(nèi)網(wǎng)邊界檢查系統(tǒng)出現(xiàn)就解決這個(gè)問題，從內(nèi)部網(wǎng)絡(luò)開始檢查，查找相關(guān)的問題，找到問題的源頭，進(jìn)行預(yù)警，預(yù)警提示后在進(jìn)行技術(shù)或人工手段來阻斷相關(guān)的問題。遠(yuǎn)望內(nèi)網(wǎng)邊界檢查系統(tǒng)也可以對外網(wǎng)的接入進(jìn)行監(jiān)測，通過預(yù)警把相應(yīng)的情況報(bào)告給管理員，由管理員進(jìn)行手動直接斷開外來接入或通過網(wǎng)絡(luò)上技術(shù)的手段進(jìn)行網(wǎng)絡(luò)斷開。并且遠(yuǎn)望內(nèi)網(wǎng)邊界檢查系統(tǒng)可以實(shí)現(xiàn)多級級聯(lián)，逐級對網(wǎng)絡(luò)進(jìn)行安全管理。

五、遠(yuǎn)望內(nèi)網(wǎng)邊界檢查管理系統(tǒng)

遠(yuǎn)望內(nèi)網(wǎng)邊界檢查管理系統(tǒng)，通過對內(nèi)網(wǎng)邊界安全監(jiān)測和管理，防止外來計(jì)算機(jī)、網(wǎng)絡(luò)等通過非法手段接入內(nèi)網(wǎng)，防止因內(nèi)網(wǎng)邊界問題而導(dǎo)致信息泄密，病毒木馬入侵，帶寬資源因沒有注冊的設(shè)備增加而被嚴(yán)重胡亂占用。通過違規(guī)外聯(lián)和線路邊界的發(fā)現(xiàn)和監(jiān)測技術(shù)，配置網(wǎng)絡(luò)邊界發(fā)現(xiàn)策略，全面發(fā)現(xiàn)網(wǎng)內(nèi)的設(shè)備邊界和線路邊界的異常情況，實(shí)現(xiàn)對違規(guī)行為的阻斷，確保內(nèi)網(wǎng)的安全。

通過技術(shù)手段對網(wǎng)內(nèi)的設(shè)備邊界和線路邊界的異常情況進(jìn)行實(shí)時(shí)掃描、自動檢測，及時(shí)發(fā)現(xiàn)線路邊界問題，把相關(guān)信息反映到管理員控制頁面上。同時(shí)在規(guī)定時(shí)間內(nèi)對通過非法接入內(nèi)網(wǎng)等邊界問題進(jìn)行阻斷。

平臺通過邊界注冊建立合法邊界白名單，并依靠技術(shù)手段自動實(shí)現(xiàn)網(wǎng)絡(luò)邊界的檢查，及時(shí)發(fā)現(xiàn)存在的非法網(wǎng)絡(luò)邊界，并對違規(guī)事件進(jìn)行取證，方便查找相關(guān)責(zé)任人以及后續(xù)處理。同時(shí)支持對違規(guī)外聯(lián)和非法網(wǎng)絡(luò)邊界點(diǎn)的自動預(yù)警，將發(fā)現(xiàn)的邊界違規(guī)情況在安全管理平臺上產(chǎn)生預(yù)警和通報(bào)，第一時(shí)間責(zé)令相關(guān)人員進(jìn)行整改。

第四篇：內(nèi)網(wǎng)安全管理系統(tǒng)7.0產(chǎn)品白皮書

產(chǎn)品白皮書

內(nèi)網(wǎng)安全管理系統(tǒng)V7.0

產(chǎn)品白皮書

第1頁

產(chǎn)品白皮書

目錄

1.產(chǎn)品簡介.......................................................................................................................................................1 2.產(chǎn)品構(gòu)架.......................................................................................................................................................1 3.產(chǎn)品功能.......................................................................................................................................................2 4.產(chǎn)品特點(diǎn).......................................................................................................................................................2 5.產(chǎn)品性能.......................................................................................................................................................3 6.產(chǎn)品部署.......................................................................................................................................................4

第2頁

1.產(chǎn)品簡介

內(nèi)網(wǎng)安全管理系統(tǒng)是用于政府和企業(yè)終端安全管理系統(tǒng)。系統(tǒng)通過對計(jì)算機(jī)準(zhǔn)入控制、計(jì)算機(jī)安全加固、計(jì)算機(jī)運(yùn)行維護(hù)、計(jì)算機(jī)安全審計(jì)、移動存儲介質(zhì)注冊等多個(gè)方面的綜合管理，為政府和企業(yè)用戶打造一個(gè)安全、可信、規(guī)范、健康的內(nèi)網(wǎng)環(huán)境。內(nèi)網(wǎng)安全管理系統(tǒng)可為用戶解決如下一系列的內(nèi)網(wǎng)安全管理問題：

? 確保入網(wǎng)終端符合要求 ? 全面監(jiān)測終端健康狀況 ? 保證終端信息安全可控 ? 動態(tài)監(jiān)測內(nèi)網(wǎng)安全態(tài)勢 ? 快速定位解決終端故障 ? 規(guī)范企業(yè)員工網(wǎng)絡(luò)行為 ? 統(tǒng)一內(nèi)網(wǎng)用戶身份管理 ? 杜絕移動存儲介質(zhì)濫用 ? 提高和實(shí)現(xiàn)軟件正版化

2.產(chǎn)品構(gòu)架

內(nèi)網(wǎng)安全管理系統(tǒng)在架構(gòu)設(shè)計(jì)上采用了三層管理結(jié)構(gòu)：終端監(jiān)控引擎、總控中心、管理控制臺。

終端監(jiān)控引擎以服務(wù)的形式運(yùn)行于終端計(jì)算機(jī)上，是終端計(jì)算機(jī)管理的核心和基礎(chǔ)部件，用于對被管理終端計(jì)算機(jī)的安全加固、運(yùn)行維護(hù)和監(jiān)測審計(jì)等管理職能。終端監(jiān)控引擎的設(shè)計(jì)充分考慮了穩(wěn)定性、安全性和兼容性要求。終端監(jiān)控引擎可防止惡意停止，并全面兼容防病毒軟件、防火墻軟件、設(shè)計(jì)開發(fā)軟件、業(yè)務(wù)軟件、辦公軟件。

總控中心用于計(jì)算機(jī)的集中管理，為終端監(jiān)控引擎和管理控制臺提供一系列的管理服務(wù)。由策略管理服務(wù)、審計(jì)管理服務(wù)、Radius認(rèn)證服務(wù)、文件備份服務(wù)、補(bǔ)丁與軟件分發(fā)服務(wù)、時(shí)間同步服務(wù)、網(wǎng)絡(luò)管理服務(wù)、分級管理服務(wù)、事件訂閱服務(wù)、健康狀態(tài)監(jiān)測服務(wù)等組成。視內(nèi)網(wǎng)規(guī)模和性能要求，這些服務(wù)可分別部署在不同的硬件平臺上，也可部署在同一個(gè)硬件平臺上。

管理控制臺是系統(tǒng)管理人員提供系統(tǒng)管理入口。采用了B/S方式進(jìn)行系統(tǒng)管理，通過管理控制臺可以完成系統(tǒng)管理的全部操作。三層管理結(jié)構(gòu)大大提高了系統(tǒng)設(shè)計(jì)開發(fā)、安裝部署和運(yùn)行維護(hù)的靈活性、便利性和擴(kuò)展性。

圖1 LanSecS?內(nèi)網(wǎng)安全管理系統(tǒng)架構(gòu)

3.產(chǎn)品功能

安全審計(jì)：提供內(nèi)網(wǎng)主機(jī)安全事件的審計(jì)功能，包括文件操作、文檔打印、共享訪問、服務(wù)與進(jìn)程活動、系統(tǒng)日志、系統(tǒng)賬戶監(jiān)控等。提供終端計(jì)算機(jī)用戶行為的監(jiān)控與審計(jì)，包括信息泄密、資源濫用、即時(shí)通訊、郵件收發(fā)和網(wǎng)站訪問等。

安全服務(wù)：通過預(yù)警平臺、遠(yuǎn)程協(xié)助、軟件及文件分發(fā)等功能實(shí)現(xiàn)遠(yuǎn)程桌面維護(hù)以及安全動態(tài)、桌面通知、信息發(fā)布。

安全加固：提供強(qiáng)大的補(bǔ)丁自動分發(fā)機(jī)制、病毒庫自動下載機(jī)制、本地文件安全存儲以及移動存儲介質(zhì)的認(rèn)證與注冊管理等功能，保證終端運(yùn)行環(huán)境的安全可控，保障內(nèi)網(wǎng)運(yùn)行的可靠性。另外，還提供主機(jī)安全策略和IE安全策略的統(tǒng)一設(shè)置，加強(qiáng)主機(jī)的安全性。

資產(chǎn)管理：提供對內(nèi)網(wǎng)資產(chǎn)和資源的集中管理能力，包括計(jì)算機(jī)、交換機(jī)、操作系統(tǒng)、軟件、硬件，并對資產(chǎn)和資源的變更進(jìn)行監(jiān)控和預(yù)警。

準(zhǔn)入控制：采用可信接入技術(shù)，對于接入內(nèi)網(wǎng)的計(jì)算機(jī)進(jìn)行嚴(yán)格的身份認(rèn)證和健康檢查，保證內(nèi)網(wǎng)業(yè)務(wù)數(shù)據(jù)和系統(tǒng)環(huán)境的安全。

4.產(chǎn)品特點(diǎn)

完善的分級管理架構(gòu)，“分散不分立”：通過分級管理，系統(tǒng)可實(shí)現(xiàn)跨地域分散部署和集中管理。“分散不分立”，形成有效的和有機(jī)的內(nèi)網(wǎng)安全管理架構(gòu)。

靈活的分權(quán)管理機(jī)制，“集中不集權(quán)”:系統(tǒng)提供了基于安全角色的授權(quán)管理機(jī)制，根據(jù)功能模塊或行政機(jī)構(gòu)的劃分自定義安全角色，一種安全角色只能執(zhí)行其所轄部門范圍內(nèi)的相應(yīng)安全代理的安全策略和審計(jì)事件的管理?！凹胁患瘷?quán)”，保證了管理的安全性。

多層次的安全措施，保證系統(tǒng)運(yùn)行的安全可靠:系統(tǒng)從數(shù)據(jù)庫、網(wǎng)絡(luò)通訊、策略分發(fā)與存儲等多個(gè)層面加強(qiáng)了安全保護(hù)，確保系統(tǒng)運(yùn)行的安全可靠。

全方位的安全審計(jì)功能，有效地防止信息泄密:系統(tǒng)提供對所有輸入/輸出設(shè)備、文件系統(tǒng)、進(jìn)程、服務(wù)、注冊表、網(wǎng)絡(luò)應(yīng)用、用戶身份、操作系統(tǒng)安全策略等進(jìn)行綜合的監(jiān)控和審計(jì)，全方位的監(jiān)控操作系統(tǒng)的運(yùn)行狀態(tài)以及用戶的操作行為，實(shí)現(xiàn)涉密信息的全程審計(jì)與跟蹤。

完善的基于數(shù)字證書的身份認(rèn)證機(jī)制:系統(tǒng)內(nèi)嵌身份認(rèn)證服務(wù)，實(shí)現(xiàn)了與數(shù)字證書的完美結(jié)合，管理控制臺、監(jiān)控代理、總控中心以及所有系統(tǒng)管理用戶和計(jì)算機(jī)終端用戶均通過數(shù)字證書進(jìn)行身份認(rèn)證。

豐富、多樣的統(tǒng)計(jì)報(bào)表功能:系統(tǒng)提供列表和統(tǒng)計(jì)圖的報(bào)表輸出，報(bào)表的輸出支持HTML、EXCEL、PDF、RTF等四種格式。同時(shí)提供手動報(bào)表、自動報(bào)表等兩種運(yùn)行模式。

高度模塊化設(shè)計(jì)，需求響應(yīng)迅速:系統(tǒng)管理控制臺、安全代理和總控中心均采用模塊化設(shè)計(jì)，并提供用戶設(shè)計(jì)、開發(fā)接口和示例，用戶可以根據(jù)企業(yè)的安全需求定制采購，同時(shí)也可以根據(jù)需求的變化，在運(yùn)行時(shí)動態(tài)改變其工作狀態(tài)，提高系統(tǒng)的運(yùn)行效率。

所有組件支持自動升級，系統(tǒng)維護(hù)方便、快捷:系統(tǒng)的主機(jī)代理及其功能模塊均支持基于版本號的網(wǎng)絡(luò)自動下載更新，只需要在總控中心一次部署即可以完成全網(wǎng)的自動升級。系統(tǒng)的維護(hù)和升級非常方便。

客戶端監(jiān)控代理安裝部署方式靈活、多樣: 內(nèi)網(wǎng)安全管理系統(tǒng)客戶端監(jiān)控代理同時(shí)支持域模式安裝、本地安裝、網(wǎng)絡(luò)分發(fā)安裝以及WEB安裝等多種安裝部署方式，用戶可以根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境自由選擇。

5.產(chǎn)品性能

內(nèi)網(wǎng)安全管理系統(tǒng)主要性能指標(biāo)如下：

? 總控中心最大并發(fā)連接數(shù)：3000；

? 總控中心最大可管理注冊主機(jī)數(shù)量：20000臺； ? 總控中心網(wǎng)絡(luò)帶寬占用：100K/1000客戶端； ? 終端監(jiān)控引擎CPU占用（靜態(tài)模式）：< 1%；

? 終端監(jiān)控引擎內(nèi)存占用（靜態(tài)模式）：8M。

6.產(chǎn)品部署

內(nèi)網(wǎng)安全管理系統(tǒng)支持本地部署和分級部署，分級部署示意圖如下：

圖 2分級部署示意圖

第五篇：北信源VRVEDP內(nèi)網(wǎng)安全管理系統(tǒng)手冊

特 別 聲 明

? 本使用手冊由《北信源內(nèi)網(wǎng)安全及補(bǔ)丁分發(fā)管理系統(tǒng)》產(chǎn)品安裝配置指導(dǎo)手冊、用戶手冊、產(chǎn)品維護(hù)手冊三部分組成，其內(nèi)容將隨著北信源軟件的不斷升級而改變(以光盤中電子版發(fā)行時(shí)為最新版)，恕不另行通知。需要者請從北信源公司網(wǎng)站下載本手冊的最新電子版或者直接聯(lián)系北信源公司索取。

? 《北信源內(nèi)網(wǎng)安全及補(bǔ)丁分發(fā)管理系統(tǒng)》產(chǎn)品由《北信源內(nèi)網(wǎng)安全管理系統(tǒng)》及《補(bǔ)丁分發(fā)管理系統(tǒng)》兩大套件構(gòu)成。? 本使用手冊為《北信源內(nèi)網(wǎng)安全及補(bǔ)丁分發(fā)管理系統(tǒng)》通用說明書。若您獨(dú)立購買《北信源內(nèi)網(wǎng)安全管理系統(tǒng)》或《北信源補(bǔ)丁分發(fā)管理系統(tǒng)》之一產(chǎn)品，本說明書的其它功能將不具備。? 兩大套件主要區(qū)別：《北信源補(bǔ)丁分發(fā)管理系統(tǒng)》不具備違規(guī)聯(lián)網(wǎng)監(jiān)控、客戶端安全管理和桌面管理功能；《北信源內(nèi)網(wǎng)安全管理系統(tǒng)》不具備補(bǔ)丁自動分發(fā)功能。請您在使用過程中選擇性閱讀相應(yīng)章節(jié)。

? 感謝您購買北京北信源自動化技術(shù)有限公司研制開發(fā)的內(nèi)網(wǎng)安全管理及補(bǔ)丁自動分發(fā)系列軟件。請?jiān)谑褂帽拒浖罢J(rèn)真閱讀本使用手冊，當(dāng)您開始使用該軟件時(shí)，北信源公司認(rèn)為您已經(jīng)閱讀了本使用手冊。

快速閱讀指南

1.詳細(xì)閱讀本軟件組件功能、組成、作用、應(yīng)用構(gòu)架，確切了解本軟件的系統(tǒng)應(yīng)用。2.安裝準(zhǔn)備軟件環(huán)境：Microsoft SQL Server2000、Windows 2000 Server、Internet 服務(wù)管理器；建議將數(shù)據(jù)庫管理系統(tǒng)、區(qū)域管理器、WEB管理平臺安裝在同一服務(wù)器上,確認(rèn)區(qū)域管理器所在機(jī)器的88端口不被占用（即非主域控制器）；防火墻應(yīng)允許打開88，2388，2399，22105，8900，8901，22106，22108，8889端口。3.按步驟安裝各組件后，通過http://*.*.*.*/vrveis登錄Web管理平臺，首先對Web管理平臺進(jìn)行如下配置：添加區(qū)域→劃分該區(qū)域IP范圍→指定區(qū)域管理器→指定區(qū)域掃描器。4.5.雙擊屏幕右下角區(qū)域管理器、單擊主機(jī)保護(hù)進(jìn)行通訊參數(shù)配置。在VRVVRVEISdownload目錄中，使用RegTools.exe工具修改DeviceRegist.exe文件中的本地區(qū)域管理器IP，將修改后的注冊程序DeviceRegist.exe放在機(jī)構(gòu)網(wǎng)站上進(jìn)行靜態(tài)網(wǎng)頁注冊，或者在機(jī)構(gòu)網(wǎng)站上加載動態(tài)網(wǎng)頁檢測注冊腳本語句，進(jìn)行動態(tài)設(shè)備注冊。6.系統(tǒng)升級：聯(lián)系北信源公司獲取最新的軟件組件升級包，確保Web管理平臺、區(qū)域管理器、客戶端注冊程序等組件的升級。

特別提示：默認(rèn)管理員用戶：admin，密碼：123456；系統(tǒng)指定審計(jì)用戶名：audit,密碼：123456請注意修改。

第一章．系統(tǒng)介紹........................................................................................................5 1-1 產(chǎn)品組成............................................................................................................5 1-2 應(yīng)用構(gòu)架............................................................................................................7 第二章．系統(tǒng)安裝........................................................................................................8 2-1 安裝環(huán)境............................................................................................................8 2-2 安裝注意事項(xiàng)....................................................................................................9 2-2-1 軟件安裝監(jiān)控服務(wù)器部署注意事項(xiàng).........................................................9 2-2-2 軟件安裝和應(yīng)用過程中注意事項(xiàng)...........................................................10 2-3 系統(tǒng)組件安裝..................................................................................................11 2-3-1 安裝SQL server數(shù)據(jù)庫.........................................................................11 2-3-2 安裝WinPcap驅(qū)動模塊...........................................................................11 2-3-3 安裝遠(yuǎn)程技術(shù)支持模塊............................................................................11 2-3-4 初始化數(shù)據(jù)庫...........................................................................................11 2-3-5 安裝Web中央管理平臺...........................................................................14 2-3-6 安裝區(qū)域管理器Region Manage............................................................15 2-3-7 配置設(shè)備掃描器模塊Region scan........................................................16 2-3-8 安裝補(bǔ)丁下載服務(wù)器模塊.......................................................................17 2-3-9 安裝管理器主機(jī)保護(hù)模塊.......................................................................18 2-3-10 安裝報(bào)警中心模塊.................................................................................18 2-3-11 客戶端注冊及下載.................................................................................18 第三章 系統(tǒng)應(yīng)用........................................................................................................27 3-1配置與管理.......................................................................................................27 3-1-1 區(qū)域劃分...................................................................................................27 3-1-2 區(qū)域管理器配置.......................................................................................30 3-1-3 掃描器配置...............................................................................................35 3-1-4 注冊程序配置...........................................................................................38 3-1-5 注冊部門配置與管理...............................................................................41 3-1-6 自定義組分配與管理...............................................................................44 3-1-7 IP與MAC綁定列表..................................................................................45 3-2策略中心............................................................................................................46 3-2-1 阻斷違規(guī)接入管理...................................................................................46 3-2-2 策略管理中心...........................................................................................47 3-3數(shù)據(jù)查詢............................................................................................................84 3-3-1設(shè)備信息查詢.............................................................................................87 3-3-1-2注冊設(shè)備資產(chǎn)查詢..................................................................................88 3-3-1-3硬件變化設(shè)備查詢..................................................................................91 3-3-1-4設(shè)備安裝軟件查詢..................................................................................88 3-3-1-5設(shè)備首次運(yùn)行進(jìn)程查詢..........................................................................89 3-3-1-6共享目錄查詢..........................................................................................90 3-3-1-7設(shè)備IP占用狀況列表............................................................................91 3-3-7移動設(shè)備審計(jì)查詢.....................................................................................92 3-3-7安全策略違規(guī)查詢.....................................................................................94 3-3-8涉密檢查查詢.............................................................................................95 3-3-9消息確認(rèn)查詢.............................................................................................96 3-3-11軟件分發(fā)查詢...........................................................................................97 3-3-12軟件分發(fā)統(tǒng)計(jì)...........................................................................................97 3-4終端控制...........................................................................................................98 3-4-1終端管理：................................................................錯誤！未定義書簽。3-4-2行為控制....................................................................錯誤！未定義書簽。3-4-3 VPro 遠(yuǎn)程管理.........................................................錯誤！未定義書簽。3-4-4遠(yuǎn)程協(xié)助....................................................................錯誤！未定義書簽。3-5補(bǔ)丁分發(fā)...........................................................................錯誤！未定義書簽。3-6運(yùn)維信息...........................................................................................................98 3-6-1客戶端流量排名......................................................................................116 3-6-2客戶端流量統(tǒng)計(jì)......................................................................................117 3-6-3運(yùn)維狀態(tài)異常..........................................................................................117 3-6-4網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)............................................................錯誤！未定義書簽。3-7報(bào)警事件.........................................................................................................119 3-7-1報(bào)警數(shù)據(jù)查詢..........................................................................................119 3-7-2圖形化報(bào)警..............................................................................................123 3-7-3本地報(bào)警數(shù)據(jù)匯總..................................................................................123 3-8級聯(lián)總控.........................................................................................................127 3-9統(tǒng)計(jì)報(bào)表.........................................................................................................133 3-10系統(tǒng)維護(hù).......................................................................................................135 第四章 補(bǔ)丁分發(fā)管理..............................................................................................142 4-1 區(qū)域管理器補(bǔ)丁管理設(shè)置............................................................................142 4-2 補(bǔ)丁自動下載分發(fā)........................................................................................143 4-3 客戶端補(bǔ)丁檢測

（一）................................................................................148 4-4 客戶端補(bǔ)丁檢測

（二）................................................................................150 4-5．本地補(bǔ)丁分發(fā)綜合查詢..............................................................................150 4-6 補(bǔ)丁級聯(lián)下載................................................................................................151 第五章 客戶端阻斷..................................................................................................153 5-1 掃描器組件配置............................................................................................153 5-2 阻斷策略應(yīng)用................................................................................................153 5-2-1 違規(guī)自動阻斷策略.................................................................................154 5-2-2 手動設(shè)置針對設(shè)備的單獨(dú)阻斷策略.....................................................154 5-2-3 硬件防火墻聯(lián)動阻斷策略.....................................................................155 第六章 網(wǎng)絡(luò)接入認(rèn)證管理......................................................................................157 6-1 策略中心->接入認(rèn)證策略->補(bǔ)丁與殺毒軟件認(rèn)證.........................................157 6-

2、策略中心->接入認(rèn)證策略->進(jìn)程服務(wù)注冊表認(rèn)證.......................................159 6-

3、策略中心->接入認(rèn)證策略->802.1X接入認(rèn)證認(rèn)證......................................163 6-4、環(huán)境準(zhǔn)備方法................................................................................................164 RADIUS安裝與配置............................................................................................164 安裝RADIUS........................................................................................................164 6-

5、各廠商交換機(jī)配置..........................................................................................177 1.Cisco2950配置方法...................................................................................177 2.華為3COM 3628配置...............................................................................178 3．銳捷RGS21配置.........................................................................................182 第七章 系統(tǒng)備份及系統(tǒng)升級..................................................................................183 7-1 系統(tǒng)數(shù)據(jù)庫數(shù)據(jù)備份及還原........................................................................183 7-2 系統(tǒng)組件升級................................................................................................184 7-2-1 區(qū)域管理器、掃描器模塊升級.............................................................184 7-2-2 升級網(wǎng)頁管理平臺.................................................................................184 7-2-3 客戶端注冊程序升級.............................................................................184 7-2-4 檢查系統(tǒng)是否升級成功.........................................................................185 7-3 級聯(lián)管理模式升級及配置............................................................................185 第八章 售后服務(wù)......................................................................................................187 第九章 附錄..............................................................................................................189 附錄

（一）微軟SQLSERVER系統(tǒng)安裝步驟...........................................................189 附錄

（二）北信源內(nèi)網(wǎng)管理系統(tǒng)名詞注釋........................................................195 附錄

（三）移動存儲設(shè)備認(rèn)證工具操作說明....................................................196 附錄

（四）主機(jī)保護(hù)工具操作說明....................................................................214 附錄

（六）組態(tài)報(bào)表管理系統(tǒng)操作說明............................................................221 附錄

（七）信息安全通告平臺............................................................................230 第一章．系統(tǒng)介紹

1-1 產(chǎn)品組成

北信源內(nèi)網(wǎng)安全及補(bǔ)丁分發(fā)管理系統(tǒng)由8部分組成：WinPcap程序、SQL Server管理信息庫（安裝包：環(huán)境初始化程序）、Web中央管理配置平臺（安裝包：網(wǎng)頁管理平臺）、區(qū)域管理器(安裝包：Region Manage,原區(qū)域掃描器已作為模塊集成到區(qū)域管理器)、客戶端注冊程序（安裝包：注冊程序）、補(bǔ)丁下載服務(wù)器、管理器主機(jī)保護(hù)模塊、報(bào)警中心模塊。

環(huán)境初始化程序：SQL Server管理信息庫，建立北信源內(nèi)網(wǎng)安全及補(bǔ)丁分發(fā)管理系統(tǒng)的初始化數(shù)據(jù)庫。包括：網(wǎng)絡(luò)客戶端設(shè)備屬性信息、區(qū)域管理器信息、設(shè)備掃描器信息、區(qū)域管理范圍信息、注冊（未注冊）機(jī)器信息、設(shè)備屬性變化信息、報(bào)警信息等。掃描器將設(shè)備最新狀態(tài)信息同數(shù)據(jù)庫中原有信息進(jìn)行遍歷搜索對比，根據(jù)規(guī)則要求在管理平臺上報(bào)警。

Web管理平臺：Web中央管理配置平臺，本系統(tǒng)的管理配置中心。包括區(qū)域管理器、掃描器、注冊客戶端的功能參數(shù)設(shè)定，網(wǎng)絡(luò)設(shè)備信息發(fā)現(xiàn)、系統(tǒng)應(yīng)用策略制訂、報(bào)警信息顯示、定義任務(wù)功能制訂、系統(tǒng)用戶維護(hù)等配置操作。

Region Manage：區(qū)域管理器，系統(tǒng)數(shù)據(jù)處理中心。與管理信息數(shù)據(jù)庫通訊，接收注冊程序提供的用戶信息，將用戶信息（用戶填寫的物理信息和系統(tǒng)自動采集的硬件信息）并行存入數(shù)據(jù)庫；接受來自控制臺的命令操作，發(fā)送到客戶端、掃描器執(zhí)行。

對于存在多級管理要求的廣域網(wǎng)，網(wǎng)絡(luò)中可以存在多個(gè)區(qū)域管理器，系統(tǒng)數(shù)據(jù)提供逐級上報(bào)（轉(zhuǎn)發(fā)）模式。

區(qū)域管理器內(nèi)置網(wǎng)絡(luò)掃描器，掃描器將設(shè)備最新狀態(tài)信息報(bào)送至區(qū)域管理器，由區(qū)域管理器處理后，同數(shù)據(jù)庫中原有信息進(jìn)行遍歷搜索對比，根據(jù)管理規(guī)則在管理平臺上報(bào)警。

掃描器配合區(qū)域管理器進(jìn)行工作，可以在分級模式下使用。掃描器只依據(jù)Web管理平臺中配置的工作范圍進(jìn)行掃描，超越其范圍，將不負(fù)責(zé)執(zhí)行操作。

WinPcap程序：嗅探驅(qū)動軟件，監(jiān)聽共享網(wǎng)絡(luò)上傳送的數(shù)據(jù)。

客戶端注冊程序：用戶訪問指定網(wǎng)站自動獲得，用戶填寫本機(jī)信息，填寫必要信息后上報(bào)區(qū)域管理器。注冊程序自動探測系統(tǒng)硬件信息，連同用戶填寫的信息一同上報(bào)區(qū)域管理器。用戶將本機(jī)注冊信息發(fā)送到區(qū)域管理器后，區(qū)域管理器自動將客戶端駐留程序應(yīng)用策略發(fā)送給用戶，并自動更新。

客戶端駐留程序功能：

1.進(jìn)行本機(jī)硬件屬性信息變化監(jiān)視； 2.進(jìn)行本機(jī)IP、MAC地址變化審計(jì)；

3.本機(jī)系統(tǒng)補(bǔ)丁、軟件安裝、運(yùn)行進(jìn)程狀況監(jiān)測；

4.探測本機(jī)是否有違規(guī)聯(lián)網(wǎng)行為，在內(nèi)網(wǎng)管理中心或外網(wǎng)報(bào)警平臺報(bào)警； 5.接受Web管理平臺的管理命令； 6.阻斷本機(jī)非法外聯(lián)行為；

7.執(zhí)行Web管理平臺下發(fā)的各種策略操作。補(bǔ)丁下載服務(wù)器：安裝在與Internet網(wǎng)絡(luò)連接的機(jī)器上，用于實(shí)時(shí)下載補(bǔ)丁廠商發(fā)布的補(bǔ)丁。

管理器主機(jī)保護(hù)模塊：管理器主機(jī)保護(hù)模塊可根據(jù)管理器或其他服務(wù)器具體使用的端口、網(wǎng)絡(luò)協(xié)議、通信IP范圍和具體的其他網(wǎng)絡(luò)應(yīng)用來定義該計(jì)算機(jī)使用的安全級較高的網(wǎng)絡(luò)配置，從而防止該計(jì)算機(jī)受到惡意的IP沖突以及各種網(wǎng)絡(luò)、病毒攻擊。

報(bào)警中心模塊：安裝在可與區(qū)域管理器所在服務(wù)器正常通訊的計(jì)算機(jī)上，本模塊可以根據(jù)管理員在系統(tǒng)中所配置的報(bào)警事件和危險(xiǎn)級別提供給管理員包括電子郵件、信使服務(wù)、SNMP Trap、手機(jī)短信等多種報(bào)警方式。

注：區(qū)域管理器（Region Manage）、區(qū)域掃描器模塊（Region scan）、注冊程序部分系統(tǒng)的參數(shù)配置集中體現(xiàn)在網(wǎng)頁管理平臺操作上，上述三部分功能參數(shù)、功能項(xiàng)數(shù)值統(tǒng)一在網(wǎng)頁管理平臺中進(jìn)行配置。區(qū)域管理器（Region Manage）、掃描器模塊（Region scan）部分參數(shù)在自身軟件組件中配置。

1-2 應(yīng)用構(gòu)架

北信源內(nèi)網(wǎng)安全及補(bǔ)丁分發(fā)管理系統(tǒng)應(yīng)用于局域網(wǎng)、廣域網(wǎng)構(gòu)架，支持跨網(wǎng)段、跨地域的內(nèi)網(wǎng)遠(yuǎn)程客戶端管理及非法移動設(shè)備接入檢測、網(wǎng)內(nèi)計(jì)算機(jī)違規(guī)聯(lián)網(wǎng)監(jiān)視、網(wǎng)絡(luò)安全隔離度監(jiān)控等。

系統(tǒng)應(yīng)用主要分為以下兩種構(gòu)架：

基本構(gòu)架：對于一般網(wǎng)絡(luò)（例如1個(gè)C類地址或若干個(gè)C類地址的局域網(wǎng)范圍），可使用一套本系統(tǒng)軟件，集中管理所屬區(qū)域內(nèi)的所有設(shè)備。

擴(kuò)展構(gòu)架：對于大規(guī)模的多個(gè)局域網(wǎng)或者跨地域廣域網(wǎng)（包括基于國家、省、市、縣等多級管理模式的網(wǎng)絡(luò)結(jié)構(gòu)），可使用本系統(tǒng)提供的多區(qū)域集中管理構(gòu)架，即一個(gè)或多個(gè)網(wǎng)段各擁有一套獨(dú)立北信源內(nèi)網(wǎng)安全及補(bǔ)丁分發(fā)管理系統(tǒng)的同時(shí)，將本級所有設(shè)備信息再轉(zhuǎn)發(fā)給上級管理數(shù)據(jù)庫，使得上一級管理人員對整個(gè)網(wǎng)絡(luò)的設(shè)備狀況也能夠完全掌握。

圖1-1北信源內(nèi)網(wǎng)安全及補(bǔ)丁分發(fā)管理系統(tǒng)應(yīng)用拓?fù)?/p>

第二章．系統(tǒng)安裝

2-1 安裝環(huán)境

條件一：硬件環(huán)境

SQL Server數(shù)據(jù)庫服務(wù)器：用于安裝系統(tǒng)管理信息數(shù)據(jù)庫。PC服務(wù)器或更高檔服務(wù)器，PentiumⅣ 2.4C 以上CPU，512M以上內(nèi)存。

區(qū)域管理器：用于安裝區(qū)域管理器程序。百兆或千兆網(wǎng)卡，PC服務(wù)器或更高檔服務(wù)器，PentiumⅣ 2.4C 以上CPU，512M以上內(nèi)存。

掃描器模塊：配置同區(qū)域管理器。如單獨(dú)安裝掃描器模塊，比較高檔的PC計(jì)算機(jī)即可。

本系統(tǒng)各程序可安裝在同一臺計(jì)算機(jī)上，也可在不同機(jī)器上安裝SQL數(shù)據(jù)庫、IIS服務(wù)器、區(qū)域管理器、掃描器模塊等，此時(shí)推薦該計(jì)算機(jī)內(nèi)存為1G以上。

建議將區(qū)域管理器、掃描器、網(wǎng)頁管理平臺安裝在同一臺機(jī)器上，作為監(jiān)控服務(wù)器。

條件二：提供數(shù)據(jù)庫、IIS服務(wù)

操作系統(tǒng)：Windows 2000或Windows 2003企業(yè)版操作系統(tǒng)。SQL Server2000軟件：配備SQL Server數(shù)據(jù)庫系統(tǒng)，用于北信源內(nèi)網(wǎng)安全及補(bǔ)丁分發(fā)管理系統(tǒng)建立管理信息庫數(shù)據(jù)庫列表項(xiàng)。

IIS服務(wù)：配備IIS服務(wù)器提供Web服務(wù)，用于安裝Web網(wǎng)頁管理配置平臺。如所裝操作系統(tǒng)為Windows 2003企業(yè)版，則需要按照安裝光盤中的Windows 2003的IIS配置說明進(jìn)行IIS配置。

條件三：為本系統(tǒng)提供相應(yīng)端口

北信源內(nèi)網(wǎng)安全及補(bǔ)丁分發(fā)管理系統(tǒng)區(qū)域管理器將占用操作系統(tǒng)88端口，必須確保安裝區(qū)域管理器的機(jī)器該端口不被占用。區(qū)域內(nèi)的防火墻應(yīng)打開如下端口：80，88,2388，2399，8901,8900,161,137,22105，8889，22106，22108以及ICMP協(xié)議。同時(shí)最好將DNS服務(wù)遷移至其它服務(wù)器。

2-2 安裝注意事項(xiàng)

軟件安裝時(shí)，推薦將區(qū)域管理器、掃描器、數(shù)據(jù)庫安裝在同一臺機(jī)器上（以下稱為監(jiān)控服務(wù)器），建議按照下面要求進(jìn)行監(jiān)控服務(wù)器部署、軟件安裝、客戶端注冊。

2-2-1 軟件安裝監(jiān)控服務(wù)器部署注意事項(xiàng)

1、監(jiān)控服務(wù)器在網(wǎng)絡(luò)中放置位置注意點(diǎn)

? 確保該監(jiān)控服務(wù)器能夠ping通所有被管理網(wǎng)絡(luò)中任意一臺客戶端機(jī)器，同時(shí)被管理客戶端可以正常連接服務(wù)器的TCP的80,88兩個(gè)端口。? 監(jiān)控服務(wù)器給客戶端下達(dá)策略的端口為：TCP端口22105。? 監(jiān)控服務(wù)器掃描發(fā)現(xiàn)客戶端利用以下協(xié)議及端口：

? ICMP協(xié)議（發(fā)現(xiàn)IP地址存在的其中一種方式）；

? NETBIOS協(xié)議,UDP端口137(為了發(fā)現(xiàn)機(jī)器名和MAC地址)； ? SNMP協(xié)議,TCP端口161（為了發(fā)現(xiàn)智能設(shè)備如路由器、交換機(jī)等）； ? 在本地網(wǎng)絡(luò)中若劃分了VLAN，或本地網(wǎng)絡(luò)存在防火墻，請注意上述問題。

2、存在網(wǎng)中子網(wǎng)（如經(jīng)過地址轉(zhuǎn)換）的網(wǎng)絡(luò)布置點(diǎn)

對于網(wǎng)絡(luò)中存在網(wǎng)中網(wǎng)現(xiàn)象，如采用NAT地址轉(zhuǎn)化或者代理方式在10.*.*.*網(wǎng)絡(luò)中接入192.*.*.*網(wǎng)段，這些子網(wǎng)用戶的管理方式如下：

情況一：子網(wǎng)有專人管理，并且有獨(dú)立機(jī)房,則應(yīng)在該子網(wǎng)中安裝一套完整的監(jiān)控系統(tǒng)。

情況二：子網(wǎng)無專人管理，或無獨(dú)立機(jī)房，可采用以下3種方式之一處理 1)機(jī)器數(shù)量少的建議統(tǒng)一更改IP為10.*.*.* 網(wǎng)段。2)由管理員監(jiān)督子網(wǎng)中所有機(jī)器進(jìn)行注冊并保證不得遺漏。

3)在該網(wǎng)絡(luò)中指定一臺工作站專門安裝區(qū)域管理器軟件和區(qū)域掃描模塊，并將區(qū)域管理器配置中SQL服務(wù)器地址指向監(jiān)控服務(wù)器。

2-2-2 軟件安裝和應(yīng)用過程中注意事項(xiàng)

1、必須按照軟件安裝步驟進(jìn)行安裝 1）確認(rèn)本機(jī)IIS服務(wù)正常；

2）確認(rèn)本機(jī)SQL已正常安裝并能正常使用（以本地系統(tǒng)賬戶方式安裝）； 3）確認(rèn)目標(biāo)安裝盤剩余空間不小于10G； 4）請務(wù)必按照指定順序安裝各個(gè)模塊；

5）請?jiān)趨^(qū)域掃描模塊所在計(jì)算機(jī)中安裝SNMP服務(wù)；

6）安裝完所有系統(tǒng)模塊后，請一定按照說明文檔進(jìn)行客戶端程序的配置及分發(fā)安裝。

2、監(jiān)控服務(wù)器的安全性問題

管理服務(wù)器安裝Windows2000 Server操作系統(tǒng)（帶IIS）、MS SQL Server2000數(shù)據(jù)庫后，一定要確保對Windows2000、SQL和IE進(jìn)行重要安全補(bǔ)丁修補(bǔ)，規(guī)范操作系統(tǒng)、數(shù)據(jù)庫的口令和密碼設(shè)置，保證SQL、IIS的正常啟動運(yùn)行。

確保本服務(wù)器無病毒，同時(shí)可配置本服務(wù)器網(wǎng)絡(luò)通訊端口僅打開：80，88，6800，8901，8900，22105，2388，2399，8889。

3、保護(hù)機(jī)制的應(yīng)用

對大多數(shù)交換機(jī)、路由器、非Windows設(shè)備，需要將其設(shè)置為保護(hù)狀態(tài)（避免被阻斷導(dǎo)致網(wǎng)絡(luò)不通），其它如有系統(tǒng)無法識別的重要設(shè)備，請?jiān)诰W(wǎng)頁管理平臺設(shè)備信息查詢中手動將其設(shè)置為保護(hù)狀態(tài)。2-3 系統(tǒng)組件安裝

安裝順序依次為：

*安裝 SQL Server數(shù)據(jù)庫； *安裝WinPcap驅(qū)動程序；

*安裝并運(yùn)行環(huán)境初始化程序，初始化數(shù)據(jù)庫；

*安裝網(wǎng)頁平臺并進(jìn)行劃分區(qū)域，配置區(qū)域IP范圍、區(qū)域管理器參數(shù)、設(shè)備掃描器參數(shù)

等（推薦安裝在默認(rèn)路徑下）；

*安裝區(qū)域管理器（推薦安裝在默認(rèn)路徑下）； *通知所有用戶下載并運(yùn)行注冊客戶端代理探頭程序。

2-3-1 安裝SQL server數(shù)據(jù)庫

略，見附錄(一)。

2-3-2 安裝WinPcap驅(qū)動模塊

在安裝頁面中選擇“安裝WinPcap驅(qū)動模塊”按鈕，單擊“下一步”安裝在區(qū)域掃描器所在計(jì)算機(jī)上。

2-3-3 安裝遠(yuǎn)程技術(shù)支持模塊

該模塊是一個(gè)程序附屬工具(一般不需要安裝)在客戶端安裝程序里帶有該程序, 是用戶遠(yuǎn)程桌面管理及控制,有便于管理員幫助終端用戶解決問題。

2-3-4 初始化數(shù)據(jù)庫

初始化數(shù)據(jù)庫是在SQL數(shù)據(jù)庫中初始化建立VRVEIS數(shù)據(jù)庫并生成系統(tǒng)必需的相關(guān)數(shù)據(jù)表格，在此過程中需要利用本地?cái)?shù)據(jù)或者調(diào)用遠(yuǎn)程SQL數(shù)據(jù)庫，用戶需要根據(jù)實(shí)際安裝情況按以下兩種方式進(jìn)行操作： ? 本地SQL數(shù)據(jù)庫服務(wù)器環(huán)境初始化 1)、環(huán)境初始化，建立初始數(shù)據(jù)庫

在SQL服務(wù)器地址欄中添加本地機(jī)器IP地址、SQL用戶名、及SQL用戶密碼。

圖 2-3-4-1 SQL數(shù)據(jù)庫服務(wù)器環(huán)境初始化

2)、檢查數(shù)據(jù)庫初始化是否成功：

圖2-3-4-2 檢查數(shù)據(jù)庫初始化

當(dāng)有如圖“初始化數(shù)據(jù)庫結(jié)構(gòu)成功”提示框彈出時(shí)，說明已成功創(chuàng)建初始化數(shù)據(jù)庫。否則會出現(xiàn)如下圖所示提示信息：

圖2-3-4-3初始化數(shù)據(jù)庫失敗提示信息

如果出現(xiàn)如上圖所示提示信息，用戶需要檢查所填入的SQL數(shù)據(jù)庫IP地址、用戶名以及用戶密碼，重新初始化數(shù)據(jù)庫。

? 遠(yuǎn)程SQL數(shù)據(jù)庫服務(wù)器環(huán)境初始化（建議非特殊情況不采用遠(yuǎn)程方式）1)、輸入遠(yuǎn)程數(shù)據(jù)庫信息，配置SQL客戶端：安裝遠(yuǎn)程數(shù)據(jù)庫需要首先輸入遠(yuǎn)程數(shù)據(jù)庫IP地址、用戶名稱、用戶密碼，然后點(diǎn)擊“配置SQL客戶端”，出現(xiàn)如下界面：

圖2-3-4-4 配置SQL客戶端

2)、在通用欄中，啟用TCP/IP協(xié)議：在通用欄中，選用TCP/IP協(xié)議，并啟用，然后單擊別名，進(jìn)行別名添加設(shè)置。

圖2-3-4-5 啟用所選協(xié)議

3)、進(jìn)行客戶端別名的添加:單擊上圖中所圈中的別名，出現(xiàn)如下所示：

圖2-3-4-6 對客戶端別名的添加

4)、進(jìn)行網(wǎng)絡(luò)協(xié)議的選擇和服務(wù)器別名的添加：此時(shí)用戶需要首先選擇網(wǎng)絡(luò)協(xié)議，選定為TCP/IP，服務(wù)器別名根據(jù)用戶需要自由添加，點(diǎn)擊確定后完成數(shù)據(jù)庫初始化。

2-3-5 安裝Web中央管理平臺

? 安裝Web管理平臺

此部分程序要求安裝在默認(rèn)路徑下，安裝過程中請確保信息填寫正確，否則，Web服務(wù)器可能不能正確訪問SQL Server數(shù)據(jù)庫。

? Web中央管理平臺訪問

Web管理平臺安裝以后在IIS目錄上以虛擬目錄的形式存在，虛擬目錄名稱為VRVEIS，用戶在安裝完成以后，用http://Web服務(wù)器域名（IP）/VRVEIS的形式訪問Web管理平臺主頁面。默認(rèn)用戶名為admin，密碼為123456。（以下的都是用admin登陸進(jìn)行說明的）審計(jì)用戶名為audit,默認(rèn)密碼為123456，詳見附錄

（六）。

如果http://Web服務(wù)器域名（IP）/VRVEIS訪問無效，則以http://Web服務(wù)器域名（IP）/VRVEIS/INDEX.ASP方式登錄。

Windows2003下IIS配置以及NTFS磁盤格式配置注意事項(xiàng)見附錄

（七）。

2-3-6 安裝區(qū)域管理器Region Manage 在Web中央管理平臺中劃分區(qū)域及指定區(qū)域管理器后（參見Web中央管理平臺配置）安裝區(qū)域管理器組件。安裝后進(jìn)行以下兩項(xiàng)配置：

? SQL客戶端配置

如果“區(qū)域管理器”沒有同SQL裝在同一臺服務(wù)器上，需要在如下圖所示窗口中將默認(rèn)網(wǎng)絡(luò)庫選擇為“TCP/IP”，使客戶端能夠遠(yuǎn)程訪問數(shù)據(jù)庫。在“區(qū)域管理器”中選擇“配置”->“系統(tǒng)配置”，配置SQL客戶端，也可以通過Alt+S熱鍵，進(jìn)入配置。

圖2-3-6-1 SQL常規(guī)配置

上述配置完畢以后，需要重新啟動“區(qū)域管理器”，使系統(tǒng)生效。? 區(qū)域管理器系統(tǒng)配置

SQL服務(wù)器配置：進(jìn)入“系統(tǒng)配置”，逐步輸入SQL服務(wù)器IP地址、用戶名稱及密碼、數(shù)據(jù)庫名稱（默認(rèn)為VRVEIS），單擊“確定”完成SQL服務(wù)器配置。

圖2-3-6-2 區(qū)域管理器中SQL配置

2-3-7 配置設(shè)備掃描器模塊Region scan 在配置好Web防護(hù)系統(tǒng)區(qū)域及其區(qū)域管理器后做以下步驟：

在配置管理里，點(diǎn)擊“掃描器配置”可以添加掃描器，配置掃描范圍。

圖2-3-7區(qū)域掃描器配置

填寫相關(guān)信息之后重新啟動區(qū)域管理器，程序會自動縮小到系統(tǒng)托盤，表示數(shù)據(jù)庫連接成功，程序運(yùn)行正常，此時(shí)通過上圖中“掃描器配置”項(xiàng)來查看掃描器相關(guān)運(yùn)行信息。2-3-8 安裝補(bǔ)丁下載服務(wù)器模塊

在安裝頁面中選擇“補(bǔ)丁下載服務(wù)器安裝模塊”按鈕，輸入序列號SN，單擊“下一步”、在桌面生成DownPatch.exe快捷方式，執(zhí)行后如下圖所示：

圖2-3-8-1 補(bǔ)丁下載服務(wù)器主界面

點(diǎn)擊系統(tǒng)配置彈出如下圖：

圖2-3-8-2 補(bǔ)丁下載索引解析界面 添加補(bǔ)丁索引：從北信源站點(diǎn)獲取補(bǔ)丁索引，用以獲取補(bǔ)丁廠商發(fā)布補(bǔ)丁信息，通過對補(bǔ)丁索引的解析，下載補(bǔ)丁。按照補(bǔ)丁索引、管理配置要求從補(bǔ)丁廠商站點(diǎn)獲取補(bǔ)丁，補(bǔ)丁下載支持各種方式（下載線程、下載時(shí)間）自定義下載補(bǔ)丁。

圖2-3-8-3 補(bǔ)丁下載參數(shù)設(shè)置

2-3-9 安裝管理器主機(jī)保護(hù)模塊

選擇安裝在安裝頁面中選擇“安裝管理器主機(jī)保護(hù)模塊”按鈕，輸入序列號SN，單擊“下一步”、在桌面生成 nsscenter.EXE快捷方式，執(zhí)行后在系統(tǒng)右下角任務(wù)欄所示

綠色的圖標(biāo)，鼠標(biāo)右鍵點(diǎn)擊，可以對其進(jìn)行相應(yīng)的設(shè)置，具體設(shè)置參見附錄(四)。

2-3-10 安裝報(bào)警中心模塊

選擇安裝在安裝頁面中選擇“安裝報(bào)警中心模塊”按鈕，輸入序列號SN，單擊“下一步”、在桌面生成 nsscenter.EXE快捷方式。具體設(shè)置參見附錄(五)。

2-3-11 客戶端注冊及下載

（一）客戶端注冊原理及注冊程序配置

? 客戶端注冊原理

執(zhí)行注冊程序，根據(jù)要求填入指定信息，系統(tǒng)自動將所添加信息和系統(tǒng)自動采集獲得的設(shè)備信息發(fā)送到區(qū)域管理器（設(shè)置為轉(zhuǎn)發(fā)模式的將發(fā)送到上級區(qū)域管理器），區(qū)域管理器將注冊信息導(dǎo)入SQL數(shù)據(jù)庫保存，在Web管理平臺中設(shè)置的客戶端參數(shù)策略將由區(qū)域掃描器掃描客戶端后，發(fā)送給客戶端駐留程序保存執(zhí)行。

該客戶端駐留程序駐留在系統(tǒng)內(nèi)部，以服務(wù)的方式實(shí)時(shí)運(yùn)行，一旦某個(gè)客戶端非法接入互聯(lián)網(wǎng)或設(shè)備改變違規(guī)，客戶端就向web管理平臺發(fā)送報(bào)警數(shù)據(jù)，同時(shí)本機(jī)將顯示報(bào)警信息。

? 修改客戶端注冊程序配置文件

在web平臺中配置管理->注冊程序配置。注冊程序使用前需要網(wǎng)管人員的配置，主要是設(shè)置區(qū)域管理器IP地址（注冊時(shí)客戶端信息發(fā)向該IP地址所在的區(qū)域管理器），如區(qū)域管理器為192.168.0.244,配置如下圖所示：

圖2-3-11-1 注冊程序配置

在這里，可以對注冊時(shí)需要填加的單位、注冊密碼進(jìn)行編輯。如下圖所示:

圖2-3-11-2 單位和部門添加刪除

（二）客戶端注冊方法

客戶端注冊方法包括網(wǎng)頁靜態(tài)注冊、網(wǎng)頁動態(tài)注冊、手動注冊、網(wǎng)關(guān)重定向強(qiáng)制注冊等。

網(wǎng)頁靜態(tài)注冊：

靜態(tài)注冊比較簡單，客戶端只需要將配置好的注冊文件上傳到公共主頁上即可，做一個(gè)鏈接，訪問主頁后手動下載注冊。

主要講述動態(tài)注冊，這種方法適用于網(wǎng)絡(luò)用戶較多的情況，客戶端只要訪問網(wǎng)絡(luò)內(nèi)公共網(wǎng)站，網(wǎng)頁將自動對客戶端進(jìn)行探測，彈出提示窗口，提示用戶進(jìn)行注冊。

網(wǎng)頁動態(tài)注冊：

利用網(wǎng)絡(luò)中已經(jīng)構(gòu)建好的內(nèi)部網(wǎng)站，一方面網(wǎng)絡(luò)客戶端可以通過手動獲得注冊程序，也可以通過在主網(wǎng)頁上加載彈出頁面的方式進(jìn)行提示性注冊。本手冊將主要介紹后一種方式。

當(dāng)網(wǎng)絡(luò)中客戶端計(jì)算機(jī)訪問本網(wǎng)絡(luò)內(nèi)部網(wǎng)站時(shí)，在該主頁代碼中加入一段代碼（如下）。本代碼作用在于首先獲得該客戶端計(jì)算機(jī)的IP地址，再讀取數(shù)據(jù)庫里面相關(guān)IP地址的注冊和其它相關(guān)信息，如果該IP地址的設(shè)備存在，系統(tǒng)會根據(jù)其是否完成“注冊”、“信任”、“保護(hù)”三項(xiàng)操作進(jìn)行判斷，只要滿足其中任意一條件，都不會提示注冊，否則會彈出窗口提示注冊。

網(wǎng)頁加載彈出程序方法如下：編輯已有主頁的源程序，在需要加載彈出窗口主頁的源代碼中放入以下代碼：

注意：需要將其中的http:// 192.168.0.253/vrveis/quest.asp換成http:// 安裝內(nèi)網(wǎng)安全管理網(wǎng)頁平臺計(jì)算機(jī)IP/vrveis/quest.asp即可，此時(shí)當(dāng)網(wǎng)絡(luò)中計(jì)算機(jī)訪問該內(nèi)部主頁時(shí)，會自動彈出如下提示頁面：

圖2-3-11-3 網(wǎng)頁動態(tài)注冊

使用網(wǎng)頁動態(tài)注冊時(shí)，請管理員通知注冊人，在訪問本網(wǎng)站時(shí)，暫時(shí)關(guān)閉網(wǎng)頁彈出攔截程序或?qū)⒈揪W(wǎng)站添加到不攔截列表中。

手動注冊：除了自動注冊設(shè)備外，遇到需要手工注冊新增設(shè)備時(shí)，也可通過WEB管理平臺中數(shù)據(jù)查詢，設(shè)備信息查詢中的手動添加設(shè)備功能，將新增設(shè)備的具體信息詳細(xì)登記填寫至數(shù)據(jù)庫中，并將其置為保護(hù)設(shè)備。

注意：

1.多級級聯(lián)注冊：如果系統(tǒng)為多級級聯(lián)方式，必須在區(qū)域管理器的高級配置中的“系統(tǒng)配置”、“策略配置”選項(xiàng)中的級聯(lián)選項(xiàng)選中，并正確添加上級管理器的IP地址，各級區(qū)域會將自己所管轄的區(qū)域管理IP段上報(bào)到上級數(shù)據(jù)庫中存儲。

此時(shí)，當(dāng)網(wǎng)絡(luò)中任意一臺下級區(qū)域客戶端計(jì)算機(jī)訪問主網(wǎng)站的同時(shí)，會根據(jù)最上級區(qū)域數(shù)據(jù)庫中存儲的各級上報(bào)IP段信息，自動將該客戶端注冊程序文件下載路徑指向?yàn)樽约核嶪P段的本級區(qū)域注冊器上，做到各個(gè)區(qū)域的客戶端計(jì)算機(jī)在訪問同一網(wǎng)站進(jìn)行注冊程序下載時(shí)，所下載的客戶端程序均為自己所在區(qū)域的專用注冊程序。

如果網(wǎng)絡(luò)中內(nèi)部網(wǎng)站，網(wǎng)絡(luò)管理員可以通知網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)在本系統(tǒng)Web管理平臺的登錄頁面中點(diǎn)擊下載注冊程序完成系統(tǒng)注冊，或者在此頁面下按上面的步驟做好彈出提示窗口方式注冊。注冊程序界面如下：

圖2-3-11-4 客戶端注冊信息

無論采取哪種方式，在注冊成功以后，注冊程序除了將主動添加的信息自動上報(bào)以外，還會自動收集其它和系統(tǒng)相關(guān)的信息進(jìn)行上報(bào)。

客戶端和區(qū)域管理器連接通訊不正常的情況下，將提示用戶“缺省注冊成功”，表示客戶端探頭已經(jīng)注冊完畢，但還沒有與區(qū)域管理器通訊。當(dāng)區(qū)域掃描器掃到該計(jì)算機(jī)的IP地址時(shí)，才會將添加的信息及系統(tǒng)采集信息上報(bào)到區(qū)域管理器，存儲在數(shù)據(jù)庫當(dāng)中。

2．本系統(tǒng)使用初期，若要求對下屬網(wǎng)絡(luò)中的計(jì)算機(jī)信息進(jìn)行統(tǒng)計(jì)、注冊、入庫，必須在Web管理平臺中管理器設(shè)置項(xiàng)內(nèi)選中“允許客戶端注冊”，如注冊時(shí)需要密碼，也需要在WEB管理平臺中進(jìn)行設(shè)置，如下圖所示：

圖2-3-11-5 允許客戶端注冊

圖2-3-11-6 注冊信息編輯

網(wǎng)關(guān)重定向：

作用：注冊信息重定向。如果沒注冊的客戶機(jī)上網(wǎng)，那么他會把上網(wǎng)的網(wǎng)址重定向到指定的注冊頁面上。1．正確安裝運(yùn)行注冊認(rèn)證網(wǎng)關(guān)

2． 啟動注冊認(rèn)證網(wǎng)關(guān)進(jìn)行配置

圖2-3-11-7 注冊認(rèn)證網(wǎng)關(guān)配置

3．在系統(tǒng)參數(shù)里選擇可以監(jiān)聽到整個(gè)網(wǎng)絡(luò)包的網(wǎng)卡（一般這臺機(jī)器為網(wǎng)關(guān)）

圖2-3-11-8 系統(tǒng)參數(shù)

4． 在重定向配置里，填寫對未注冊、保護(hù)和信任的機(jī)器的重定向網(wǎng)址。策略配置為在多長時(shí)間內(nèi)重定向的次數(shù)，超過這個(gè)次數(shù)，將不再重定向。

圖2-3-11-9 重定向配置

5．通訊配置，填寫區(qū)域管理器的IP地址，通訊端口（一般為88），同步信息間隔為同步區(qū)域管理的信息（即發(fā)現(xiàn)是否有新注冊的信息），本地配置，偵聽端口為688。

圖2-3-11-10 通訊配置

6．配置完后點(diǎn)確認(rèn)，然后啟動注冊認(rèn)證網(wǎng)關(guān)，退出重起就可以用了。（建議把這個(gè)用在網(wǎng)關(guān)處或總的交換機(jī)出口處，這樣可以捕獲所有的信息包）

（三）客戶端卸載

網(wǎng)絡(luò)客戶根據(jù)情況需要卸載客戶端探頭程序時(shí)，運(yùn)行安裝程序包中的探頭卸載程序UnInstallEdp.exe如圖：

圖2-3-11-11 客戶端卸載

記錄下序列號，并將序列號復(fù)制到如下圖的第一個(gè)方框中：

圖2-3-11-12 查看卸載密碼

點(diǎn)擊查看將會產(chǎn)生一個(gè)卸載密碼，將其輸入卸載密碼框中點(diǎn)擊卸載即可。

圖2-3-11-13 卸載密碼

或通過WEB管理平臺中的點(diǎn)—點(diǎn)控制中的終端卸載如圖：

圖2-3-11-14 終端點(diǎn)對點(diǎn)-終端卸載 第三章 系統(tǒng)應(yīng)用

本平臺配置主要指北信源內(nèi)網(wǎng)安全及補(bǔ)丁分發(fā)管理系統(tǒng)的網(wǎng)頁平臺操作，網(wǎng)頁平臺是整個(gè)北信源內(nèi)網(wǎng)安全及補(bǔ)丁分發(fā)管理系統(tǒng)的配置操作核心，整個(gè)內(nèi)網(wǎng)安全及補(bǔ)丁分發(fā)管理系統(tǒng)功能的實(shí)現(xiàn)全部在Web操作中實(shí)現(xiàn)，Web方式有助于管理員遠(yuǎn)程維護(hù)系統(tǒng)，進(jìn)行統(tǒng)一配置和統(tǒng)一管理。掌握對網(wǎng)頁平臺的功能操作和配置對使用本系統(tǒng)來提高整個(gè)網(wǎng)絡(luò)的安全性和解決網(wǎng)絡(luò)管理的效率有著重要作用。

菜單功能模塊:系統(tǒng)策略中心、數(shù)據(jù)查詢、終端控制、補(bǔ)丁分發(fā)、運(yùn)維信息、報(bào)警事件、級聯(lián)總控、統(tǒng)計(jì)報(bào)表、系統(tǒng)維護(hù)等模塊。

3-1配置與管理

3-1-1 區(qū)域劃分

在網(wǎng)頁平臺安裝完畢之后，訪問http://Web服務(wù)器域名（IP）/VRVEIS訪問WEB管理平臺登錄界面。如下所示：

圖3-1-1-1 Web管理登錄界面

其中客戶端工具下載菜單提供了包括用戶注冊器下載、補(bǔ)丁檢測中心、多路幫助平臺、普通工具下載、管理員工具下載、工具上傳管理等功能，用戶按照頁面提示操作即可。

圖3-1-1-2 客戶端工具下載界面

系統(tǒng)默認(rèn)用戶為admin，密碼為123456，登錄后建議管理員修改管理員密碼。成功登錄后，進(jìn)入系統(tǒng)的主界面。如下圖所示：

圖3-1-1-3 Web管理主界面 ? 在所處的IP地址段內(nèi)，進(jìn)行區(qū)域劃分操作

首先進(jìn)行區(qū)域添加和劃分操作。

區(qū)域劃分：單擊配置管理里的“區(qū)域劃分與配置”，對網(wǎng)絡(luò)中的客戶端進(jìn)行區(qū)域劃分管理，按照提示依次添加區(qū)域、增加區(qū)域IP管理范圍、分配區(qū)域管理器、，并完成系統(tǒng)組件運(yùn)行參數(shù)配置。

具體步驟：

區(qū)域描述配置欄中填寫好一些必要的與區(qū)域相關(guān)的信息，如區(qū)域機(jī)構(gòu)代碼、區(qū)域名稱、負(fù)責(zé)人姓名等。其他信息可以酌情依照實(shí)際用途填寫。本區(qū)域IP劃分：根據(jù)用戶實(shí)際需要在下圖所示的文本框中填入需要管轄的IP地址。

其中保留IP段為該網(wǎng)段目前沒有網(wǎng)絡(luò)設(shè)備存在的網(wǎng)段，如有設(shè)備存在，則會產(chǎn)生報(bào)警信息。

圖3-1-1-4區(qū)域劃分與配置

下級區(qū)域劃分：在已有區(qū)域頁面中點(diǎn)擊“增加下級區(qū)域”按鈕進(jìn)行下級區(qū)域添加，如集團(tuán)總部下屬總裁辦、行政部、財(cái)務(wù)部等。

圖3-1-1-5 增加區(qū)域

3-1-2 區(qū)域管理器配置

區(qū)域管理器：區(qū)域管理器為系統(tǒng)策略控制及數(shù)據(jù)接收處理中心，具有控制完成系統(tǒng)相關(guān)的動作行為處理功能；同時(shí)與本級數(shù)據(jù)庫系統(tǒng)連接，統(tǒng)一接收注冊程序提供的信息，將用戶信息（填寫的計(jì)算機(jī)使用人姓名、聯(lián)系電話、E-mail等，計(jì)算機(jī)IP、MAC地址、硬盤、CPU、內(nèi)存等其它硬件信息均為自動采集）存入數(shù)據(jù)庫。

根據(jù)本區(qū)域客戶端IP管理情況確定對IP地址的管理方式，若選擇IP、MAC地址綁定，需要在靜態(tài)IP環(huán)境下進(jìn)行設(shè)置。

允許客戶端控頭升級：設(shè)置本區(qū)域管理器管理范圍內(nèi)的客戶端的升級操作。設(shè)置vpn網(wǎng)絡(luò)虛擬管理器IP：是指添加VPN虛擬服務(wù)器的IP地址。管理器標(biāo)識：是指管理器的標(biāo)記，當(dāng)服務(wù)器遷移時(shí)需要設(shè)置與之相同的管理器標(biāo)識。

管理器可直接通信網(wǎng)段：在管理多個(gè)獨(dú)立子網(wǎng)時(shí),該配置填寫區(qū)域管理器服務(wù)器可直接通信的地址。

允許客戶端注冊：是指任意一臺在區(qū)域范圍內(nèi)的客戶端都可以在服務(wù)器上注冊。

管理器配置同步：當(dāng)選中“下級區(qū)域”時(shí)下級區(qū)域的配置應(yīng)該和上級區(qū)域管理器的配置相同，當(dāng)選中“全部區(qū)域”時(shí)是指下面的任意級聯(lián)區(qū)域都要和區(qū)域管理器的配置同步。

圖3-1-2-1 區(qū)域管理器參數(shù)設(shè)置

區(qū)域管理器系統(tǒng)配置：當(dāng)設(shè)置完當(dāng)前頁面這時(shí)我們可以配置剛才安裝好的內(nèi)網(wǎng)安全管理管理器去桌面雙擊“內(nèi)網(wǎng)安全管理管理器”快捷方式彈出如下界面：

圖 3-1-2-2區(qū)域管理器系統(tǒng)配置

? 先進(jìn)行SQL服務(wù)器配置：進(jìn)入“系統(tǒng)配置”，逐步輸入SQL服務(wù)器IP地址、用戶名稱及密碼、數(shù)據(jù)庫名稱（默認(rèn)為VRVEIS），單擊“確定”完成SQL服務(wù)器配置。

圖 3-1-2-3 SQL服務(wù)器配置

管理器配置：本軟件默認(rèn)機(jī)器操作系統(tǒng)88端口，若其它應(yīng)用程序占用該端口，將自動更改為188。

如果區(qū)域管理器應(yīng)用于多級管理（每級都有獨(dú)立的SQL server和相應(yīng)的內(nèi)網(wǎng)安全管理及補(bǔ)丁自動分發(fā)管理平臺）的級聯(lián)構(gòu)架體系，其上級還有區(qū)域管理器的情況下，當(dāng)前區(qū)域管理器需要將所有信息上報(bào)到上級管理器。

區(qū)域管理器支持多級級聯(lián)，如國家、省、市、縣多級規(guī)模網(wǎng)絡(luò)管理構(gòu)架，下屬區(qū)域管理器將其所有計(jì)算機(jī)報(bào)警信息轉(zhuǎn)報(bào)到上級數(shù)據(jù)庫。注：需要把“上報(bào)給上級管理器”√上，輸入上級管理器地址。

升級配置：用于配置區(qū)域管理器的自動升級，升級服務(wù)器地址為上級區(qū)域管理器IP。

區(qū)域管理器配置-高級設(shè)置 系統(tǒng)配置：

鎖定下級策略是指下級不能夠更改策略信息。

上報(bào)給上級區(qū)域管理器是指下級的策略，阻斷，違規(guī)信息上報(bào)給上級區(qū)域管理器，在此處打上“√”添加上上級管理器地址，配置級聯(lián)。

圖3-1-2-4 區(qū)域管理器

阻斷配置：

圖3-1-2-5阻斷配置

探頭阻斷：目前常用的阻斷方式，由掃描器調(diào)度探頭完成阻斷任務(wù)。只要保證一個(gè)網(wǎng)段（VLAN）中有一臺存活的已注冊計(jì)算機(jī)，就可以實(shí)現(xiàn)阻斷。

防火墻阻斷：該方式必須與防火墻結(jié)合使用，需要設(shè)置必要的防火墻規(guī)則集和安全認(rèn)證，與其它廠商防火墻不兼容。

報(bào)警過濾：本軟件系統(tǒng)提供對多種違規(guī)變化行為的報(bào)警：非法外聯(lián)、設(shè)備未注冊、IP綁定變化、設(shè)備變化、探頭被卸載、病毒行為報(bào)警等。

本地報(bào)警種類過濾：僅對本地網(wǎng)絡(luò)中區(qū)域管理器管理范圍內(nèi)的違規(guī)變化行為進(jìn)行報(bào)警顯示，用戶根據(jù)自身管理要求進(jìn)行篩選。

圖3-1-2-6 報(bào)警種類過濾

策略配置：系統(tǒng)支持對各種文件的分發(fā)，在Web中央管理平臺進(jìn)行軟件分發(fā)操作前，必須對本項(xiàng)進(jìn)行配置。

默認(rèn)將分發(fā)文件放在C:VRVRegionManageDistribute目錄下，管理員可根據(jù)需要自行更改路徑，同時(shí)，修改本路徑后，補(bǔ)丁下載存放的位置也會相應(yīng)改變。

圖3-1-2-7策略配置

補(bǔ)丁下載：將待分發(fā)操作系統(tǒng)補(bǔ)丁放置在設(shè)置好的補(bǔ)丁路徑的目錄下，在Web中央管理平臺中進(jìn)行分發(fā)操作。

管理員通過對參數(shù)項(xiàng)的選擇進(jìn)行下載配置，級聯(lián)IP提供對上一級補(bǔ)丁的下載獲取。

圖3-1-2-8 補(bǔ)丁下載

其他配置：主要是硬件網(wǎng)關(guān)重定向配置，此功能必須配合硬件設(shè)備使用。

圖3-1-2-9 其他配置

3-1-3 掃描器配置

點(diǎn)擊增加掃描器設(shè)置掃描器掃描網(wǎng)絡(luò)IP范圍。機(jī)構(gòu)代碼：一般為阿拉伯?dāng)?shù)字，由用戶單位根據(jù)管理要求進(jìn)行設(shè)定。掃描間隔：根據(jù)管理IP范圍大小進(jìn)行設(shè)置（建議設(shè)置為10分鐘）。

圖3-1-3-1 區(qū)域掃描器參數(shù)設(shè)置

注:掃描器配合區(qū)域管理器進(jìn)行工作，掃描器的掃描范圍不可能超過它的區(qū)域管理器管理的IP范圍。

掃描器除了指定掃描的IP范圍外還能夠指定排除不掃描的地址范圍，如有某些網(wǎng)段不需要掃描器發(fā)現(xiàn)設(shè)備，為縮短掃描時(shí)間，可在掃描器設(shè)置中增加禁止掃描地址段的設(shè)置。

掃描器高級配置：

圖3-1-3-2 掃描器配置-系統(tǒng)配置

掃描器高級配置——系統(tǒng)配置：

掃描頻率設(shè)定：用戶可以根據(jù)網(wǎng)絡(luò)中網(wǎng)絡(luò)帶寬占用情況，靈活設(shè)置掃描頻率，同樣可以選擇是否“使用SNMP掃描”掃描方式，如果選擇“使用SNMP掃描”，則系統(tǒng)能夠自動對網(wǎng)絡(luò)設(shè)備（例如交換機(jī)、路由器、網(wǎng)絡(luò)打印機(jī)等）進(jìn)行掃描，并自動登記到設(shè)備列表庫中。

阻斷選項(xiàng)：如果用戶選擇“掃描器阻斷”，此時(shí)可采取“輕量級阻斷”和“重量級阻斷”兩種方式。

輕量級阻斷：阻斷計(jì)算機(jī)向網(wǎng)絡(luò)中廣播一個(gè)ARP請求報(bào)文，將被阻斷計(jì)算機(jī)的IP地址及對應(yīng)的假M(fèi)AC地址發(fā)送給網(wǎng)絡(luò)內(nèi)所有的計(jì)算機(jī)，每臺計(jì)算機(jī)收到請求后便會對本地的ARP緩存進(jìn)行更新，將收到的請求中的IP和對應(yīng)的假M(fèi)AC地址存儲在ARP緩存中。這樣對于網(wǎng)絡(luò)中的計(jì)算機(jī)看來，被阻斷計(jì)算機(jī)的IP地址沒有變化，而它的MAC地址已經(jīng)不是原來那個(gè)了。由于局域網(wǎng)的網(wǎng)絡(luò)通信不是根據(jù)IP地址進(jìn)行，而是按照MAC地址進(jìn)行傳輸。因此，被阻斷計(jì)算機(jī)便接收不到網(wǎng)絡(luò)中計(jì)算機(jī)（不含阻斷計(jì)算機(jī)）傳送過來的信息。

重量級阻斷：阻斷計(jì)算機(jī)冒充網(wǎng)絡(luò)中的其他計(jì)算機(jī)（本網(wǎng)段1-255）給被阻斷計(jì)算機(jī)發(fā)送定向ARP應(yīng)答報(bào)文，被阻斷計(jì)算機(jī)收到請求后便會對本地的ARP緩存進(jìn)行更新，將收到的請求中的IP和對應(yīng)的假M(fèi)AC地址存儲在ARP緩存中。這樣對于被阻斷計(jì)算機(jī)看來，網(wǎng)絡(luò)中的計(jì)算機(jī)的IP地址沒有變化，而它們的MAC地址已經(jīng)不是原來那個(gè)了。因此，被阻斷計(jì)算機(jī)便不能向網(wǎng)絡(luò)中的計(jì)算機(jī)（不含阻斷計(jì)算機(jī)）傳送信息。

掃描器高級配置——交換機(jī)掃描配置：

交換機(jī)掃描用于掃描發(fā)現(xiàn)交換機(jī)，進(jìn)行拓?fù)浒l(fā)現(xiàn)。Snmp團(tuán)體名：根據(jù)拓?fù)涔芾硇枰斎刖W(wǎng)絡(luò)中所有網(wǎng)絡(luò)設(shè)備的snmp讀團(tuán)體名用“;”隔開。

圖3-1-3-3 交換機(jī)掃描配置

如上圖，配置掃描間隔時(shí)間一般設(shè)成5-10分鐘，IP范圍設(shè)置需要掃描的ip段，snmp讀團(tuán)體名稱是根據(jù)交換機(jī)口令設(shè)置的。

該功能的啟用需要下載交換機(jī)拓?fù)淠K，安裝后進(jìn)行網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)。進(jìn)入web管理平臺主頁面“運(yùn)維監(jiān)控”菜單，啟用網(wǎng)絡(luò)拓?fù)鋱D，安裝交換機(jī)拓?fù)淠K后進(jìn)行網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)。

3-1-4 注冊程序配置

控制頁面如下.管理員可以通過設(shè)置來按照需求來配置客戶端注冊程序,讓用戶填入相應(yīng)的信息 ,方便以后管理。其中的項(xiàng)有啟用、必選、還可以對輸入數(shù)據(jù)進(jìn)行控制.后面的功能設(shè)置必須對每個(gè)功能模塊啟用。

圖 3-1-4-1 注冊程序配置

選擇編輯單位/部門彈出如下圖：

圖 3-1-4-2 編輯單位/部門

先選擇修改單位彈出如下窗口：

圖 3-1-4-3 修改單位

填寫單位名稱和單位備注消息點(diǎn)擊添加/修改單位。最后點(diǎn)擊保存修改關(guān)閉窗口返回上級窗口如下圖：

圖 3-1-4-4 保存修改

可以看到剛才添加的單位。

在此輸入每個(gè)單位所對應(yīng)的部門,部門備注信息.選擇保存修改可以完成單位和部門的配置。

點(diǎn)擊設(shè)置注冊密碼彈出如下窗體原注冊密碼為空。

設(shè)置注冊密碼是為了防止新接入設(shè)備非法進(jìn)行注冊。

圖 3-1-4-5 直接添加新注冊密碼保存修改就可以。

注冊單位與注冊部門產(chǎn)生聯(lián)動

當(dāng)對單位和注冊部門設(shè)置為必填和僅選擇這時(shí)客戶端注冊程序 對單位和部門的填寫只能按照管理員的設(shè)置來選擇.不能手動填寫。

使用靜默注冊：以上的設(shè)置都不生效這時(shí)客戶端注冊程序只需選擇下載運(yùn)行就可以。

注冊程序會自己上報(bào)終端的計(jì)算機(jī)名和IP地址MAC地址。選擇保存修改點(diǎn)擊打包注冊程序這時(shí)完成客戶端注冊程序配置。

3-1-5 注冊部門配置與管理

新增單位：該功能作用基本與“從系統(tǒng)注冊單位導(dǎo)入”相似，不同的是，它可以加入備注信息。

圖 3-1-5-1再新增單位

具體方法：選擇新增單位彈出如下窗體：

圖 3-1-5-2再新增單位

從已注冊的單位選擇一個(gè)單位然后進(jìn)行單位描述點(diǎn)擊添加。后可以在左邊看到新增的單位之后選擇新增的部門。選擇新增的部門彈出如下圖對部門進(jìn)行描述點(diǎn)擊添加完成操作。

圖 3-1-5-3 單位描述

從系統(tǒng)注冊單位導(dǎo)入：該功能作用是將客戶端注冊時(shí)輸入的單位名稱導(dǎo)入到“注冊單位及部門”中。當(dāng)客戶端在注冊時(shí)輸入單位名稱時(shí)，那么點(diǎn)擊“從系統(tǒng)注冊單位導(dǎo)入”就可以看到一個(gè)單位名稱及相應(yīng)的部門，同一個(gè)單位名稱只出現(xiàn)一次。

選擇左邊單位與部門樹目錄點(diǎn)擊從系統(tǒng)注冊單位單位導(dǎo)入彈出如下圖：

圖 3-1-5-4 系統(tǒng)注冊單位單位導(dǎo)入

√選要導(dǎo)入的注冊單位點(diǎn)擊從已注冊部門導(dǎo)入。之后選擇剛才添加的單位點(diǎn)擊從系統(tǒng)注冊部門導(dǎo)入或者新增部門選擇相應(yīng)的部門添加即可。

圖 3-1-5-5 添加部門 3-1-6 自定義組分配與管理

自定義組用來對網(wǎng)絡(luò)中特定或者有特殊用途的機(jī)器進(jìn)行編組，以便采取不同的管理手段，方便管理員的管理。該組的客戶端成員可以由管理員根據(jù)某查詢條件而查得的計(jì)算機(jī)導(dǎo)入自定義組。如下圖所示：

圖 3-1-6-1 自定義組分配與管理

1． 首先創(chuàng)建分組，點(diǎn)擊創(chuàng)建下級組：首先創(chuàng)建分組，點(diǎn)擊創(chuàng)建下級組，添加分組名稱，分組描述，保存設(shè)置。

圖3-1-6-2 創(chuàng)建分組

2． 向組中添加設(shè)備：點(diǎn)擊添加設(shè)備，彈出如下圖，可以按設(shè)備查找，按IP查找，按操作系統(tǒng)查找，選中一個(gè)點(diǎn)擊添加，然后點(diǎn)擊查詢，導(dǎo)入組即可。同時(shí)還可以通過設(shè)備信息查詢，和補(bǔ)丁查詢中來添加設(shè)備。

圖3-1-6-3 查詢設(shè)備

3． 如果需要將IP/MAC綁定，那么可以執(zhí)行下面操作：將當(dāng)添加完組設(shè)備以后點(diǎn)擊“將組設(shè)備添加到IP/MAC綁定”，彈出如下圖所示的“確定添加該組設(shè)備到IP/MAC綁定列表庫嗎？”點(diǎn)擊“確定”即可將設(shè)備全部導(dǎo)入IP/MAC綁定列表。

圖3-1-6-4 添加IP/MAC綁定

3-1-7 IP與MAC綁定列表

添加、查詢系統(tǒng)IP與MAC綁定設(shè)備列表如下圖（數(shù)據(jù)來源在自定義組里可以按IP操作系統(tǒng)等添加一個(gè)自定義組）。

圖 3-1-7-1 添加系統(tǒng)IP與MAC綁定設(shè)備列表

圖 3-1-7-2查詢系統(tǒng)IP與MAC綁定設(shè)備列表

3-2策略中心

3-2-1 阻斷違規(guī)接入管理

當(dāng)掃描器發(fā)現(xiàn)有外來設(shè)備接入內(nèi)網(wǎng)時(shí)，該功能可以有效地控制外來設(shè)備接入內(nèi)網(wǎng)而帶來的安全威脅（此功能慎用，在不能確認(rèn)所有的可信客戶端都注冊前最好不要使用,同時(shí)也要把需要保護(hù)的設(shè)備保護(hù)起來），通過選中“沒有注冊則阻斷聯(lián)網(wǎng)”復(fù)選框便可阻斷所以未注冊設(shè)備。同時(shí)提供了信使服務(wù)（windows2000以上操作系統(tǒng)）提醒IP、MAC綁定等功能，如下圖所示：

圖3-2-1 阻斷違規(guī)接入管理

3-2-2 策略管理中心

? 如何進(jìn)行策略創(chuàng)建和分發(fā)

（1）在“策略管理中心”中左邊的策略項(xiàng)中可點(diǎn)擊需要制定的策略，然后在右邊的“新建策略名”中輸入相應(yīng)的策略名稱后，單擊“創(chuàng)建”按鈕開始創(chuàng)建策略。

圖3-2-2-1策略中心策略制定

（2）隨后在具體的策略的配置中根據(jù)用戶的實(shí)際需要配置好策略后，單擊“保存策略”就完成了一條策略的創(chuàng)建。（由于各個(gè)策略項(xiàng)的配置過程都不一樣，這里不再用截圖表示，下一節(jié)將具體介紹）

（3）接下來是下發(fā)策略，即指定策略的執(zhí)行對象，可通過單擊“對象”按鈕后，可按界面的提示完成對象的分配。如下圖所示：

圖 3-2-2-2 下發(fā)策略

圖3-2-2-3 策略分配對象

如圖3-2-2-4表示創(chuàng)建策略成功

（4）如果需要讓某一條策略暫時(shí)不使用，可按界面中對應(yīng)的“停用”單選按鈕使策略失效，需要使用的時(shí)候再單擊“啟用”按鈕使策略生效。如果想要刪除某一條策略，則直接按“刪除”按鈕即可。但在刪除某策略之前最好先停用該條策略。? 策略的高級設(shè)置

策略的高級設(shè)置用于客戶端程序?qū)Σ呗缘膱?zhí)行設(shè)置，包括策略狀態(tài)（啟動、停止）、策略存活時(shí)間（策略執(zhí)行的起止時(shí)間）、策略執(zhí)行觸發(fā)條件（在何種條件下開始執(zhí)行策略）、策略無效時(shí)間（規(guī)定時(shí)間內(nèi)客戶端不執(zhí)行策略）、策略應(yīng)用范圍（本級區(qū)域、下級區(qū)域、所有區(qū)域）、級聯(lián)策略類型等，有些策略還包括具體的觸發(fā)時(shí)間設(shè)置等。

圖3-2-2-5 高級策略設(shè)置

說明：策略存活時(shí)間范圍：即策略以天為單位的存活時(shí)間段。

策略無效工作日：即可在一星期中選中一天或多天使策略無效。策略無效時(shí)間段：即策略以分為單位的無效的時(shí)間段。

強(qiáng)制策略：級聯(lián)策略發(fā)到下級管理器時(shí)，下級管理員對策略內(nèi)容不能修改，并且不能修改該策略的對象和啟動、停用狀態(tài)。

樣板模版：級聯(lián)策略發(fā)到下級管理器時(shí)，下級管理員對策略內(nèi)容不能修改，但是可以修改該策略的對象和啟動、停用狀態(tài)。

策略有效網(wǎng)絡(luò)：a.在所有網(wǎng)絡(luò)均有效:該功能意思是策略在區(qū)域管理范圍內(nèi)、外均有效。

b.僅在該網(wǎng)絡(luò)中有效：該功能意思是僅在區(qū)域管理范圍內(nèi)有效。? 系統(tǒng)策略設(shè)定 1)黑白名單編輯：

<1> 進(jìn)程黑白名單：進(jìn)程黑白名單在進(jìn)程監(jiān)控中可以使用,這部分包含系統(tǒng)預(yù)定義黑名單和用戶自定義黑白名單。編輯進(jìn)程黑白名單時(shí)包括，進(jìn)程名，產(chǎn)品名，源文件名等；如果是服務(wù)則只可以加服務(wù)名，同時(shí)可以加一些描述。

圖3-2-2-6

<2> 軟件黑白名單：軟件黑白名單在軟件安裝監(jiān)控中可以使用,這部分包含系統(tǒng)預(yù)定義黑名單和用戶自定義黑白名單。