北信源内网安全管理系统用户使用手册

北信源内网安全管理系统

用户使用手册

Newly compiled on November 23, 2020

北信源内网安全管理系统用户使用手册

北京北信源软件股份有限公司

二〇一一年

支持信息

在北信源内网安全管理系统使用过程中，如您有任何疑问

都可以通过访问我公司网站或者致电我司客服中心获得帮

助和支持！

热线支持：400-8188-110

客户服务电话：

在您使用该产品过程中，如果有好的意见或建议的话也请

联系我们的客服中心，感谢您对我公司产品的信任和支

持！

正文目录图目录表目录

第一章概述

特别说明

北信源终端安全管理系列产品由《北信源内网安全管理系

统》、《北信源补丁及文件分发管理系统》、《北信源主

机监控审计系统》、《北信源移动存储介质使用管理系

统》、《北信源网络接入控制管理系统》及《北信源接入

认证网关》6大套件构成。

本手册内容将随着北信源软件的不断升级而改变(以光盘

中电子版发行时为最新版)，恕不另行通知。需要者请从

北信源公司网站下载本手册的最新电子版或者直接联系北

信源公司索取。

本手册与本系统的安装配置手册中的所有图片均为示意

图，请以实际产品为准。

本使用手册为北信源终端安全管理系列产品通用说明书。

若您独立购买《北信源内网安全管理系统》或《北信源补

丁及文件分发管理系统》等其中之一产品，本说明书的其

它功能将不具备。

感谢您购买北京北信源软件股份有限公司研制开发的北信

源终端安全管理系列产品。请在使用本软件之前认真阅读

本使用手册，当您开始使用该软件时，北信源公司认为您

已经阅读了本使用手册。

产品构架

北信源终端安全管理产品由8部分组成：WinPcap程序、

SQL Server管理信息库（安装包：环境初始化程序）、

Web中央管理配置平台（安装包：网页管理平台）、区域

管理器(安装包：Region Manage，原区域扫描器已作为模

块集成到区域管理器)、客户端注册程序（安装包：注册

程序）、补丁下载服务器、管理器主机保护模块、报警中

心模块。

环境初始化程序

SQL Server管理信息库，建立北信源终端安全管理产品

的初始化数据库。初始化的信息包括：网络客户端设备属

性信息、区域管理器信息、设备扫描器信息、区域管理范

围信息、注册（未注册）机器信息、设备属性变化信息、

报警信息等。扫描器将设备最新状态信息同数据库中原有

信息进行遍历搜索对比，根据规则要求在管理平台上报

警。

网页管理平台（web管理平台）

Web中央管理配置平台，本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定，网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。

Region Manage

区域管理器，系统数据处理中心，负责与管理信息数据库通讯扫描终端设备、控制服务器、客户端之间的信息、指令的下达、接受。比如：接收注册程序提供的用户信息，将用户信息（用户填写的物理信息和系统自动采集的硬件信息）并行存入数据库；接受来自控制台的命令操作，发送到客户端、扫描器执行。

对于存在多级管理要求的广域网，网络中可以存在多个区域管理器，实现系统数据逐级上报（转发），对网络终端的多级管理。

区域管理器内置网络扫描器，扫描器用来发现网络的终端设备。将发现的设备信息交由区域管理器处理。、设备最新状态信息报送至区域管理器，由区域管理器处理后，同数据库中原有信息进行遍历搜索对比，根据管理规则在管理平台上报警。

扫描器配合区域管理器进行工作，可以在分级模式下使用。扫描器只依据Web管理平台中配置的工作范围进行扫描，如果终端IP超越其范围，将不负责执行操作。Winpcap程序

嗅探驱动软件，监听共享网络上传送的数据。

客户端注册程序

将接收并执行服务器下发的指令。该程序可以在“工具下载->用户注册器下载”处下载。访问指定网站自动获得，用户填写必要的信息后，运行该程序，区域管理器将收到注册终端的相关信息，同时终端可以接收、执行各种下发的指令。注册程序自动探测系统硬件信息，连同用户填写的信息一同上报区域管理器。用户将本机注册信息发送到区域管理器后，区域管理器自动将客户端驻留程序应用策略发送给用户，并自动更新。

客户端驻留程序功能：

进行本机硬件属性信息变化监视；

进行本机IP、MAC地址变化审计；

本机系统补丁、软件安装、运行进程状况监测；

探测本机是否有违规联网行为，在内网管理中心或外网报警平台报警；

接受Web管理平台的管理命令；

阻断本机非法外联行为；

执行Web管理平台下发的各种策略操作。

补丁下载服务器

安装在与Internet网络连接的机器上，用于实时下载补

丁厂商发布的补丁。

管理器主机保护模块

管理器主机保护模块可根据管理器或其他服务器具体使用

的端口、网络协议、通信IP范围和具体的其他网络应用

来定义该计算机使用的安全级较高的网络配置，从而防止

该计算机受到恶意的IP冲突以及各种网络、病毒攻击。

报警中心模块

安装在可与区域管理器所在服务器正常通讯的计算机上，

本模块可以根据管理员在系统中所配置的报警事件和危险

级别提供给管理员包括电子邮件、信使服务、SNMP

Trap、手机短信等多种报警方式。

应用构架

北信源终端安全管理应用于局域网、广域网构架，支持跨

网段、跨地域的内网远程客户端管理及非法移动设备接入

检测、网内计算机违规联网监视、网络安全隔离度监控等。

系统应用主要分为以下两种构架：

基本构架：对于一般网络（例如1个C类地址或若干个C 类地址的局域网范围），可使用一套本系统软件，通过一个管理器集中管理所属区域内的所有设备。

扩展构架：对于大规模的多个局域网或者跨地域广域网（包括基于国家、省、市、县等多级管理模式的网络结构），可使用本系统提供的多区域集中管理构架，即一个或多个网段各拥有一套独立北信源终端安全管理的同时，将本级所有设备信息再转发给上级管理数据库，使得上一级管理人员对整个网络的设备状况也能够完全掌握。

图1- 1北信源终端安全管理应用拓扑

第二章北信源内网安全管理系统

策略中心

策略管理中心

策略的使用

策略的创建和分发

1．.在“策略管理中心”中左侧的策略项中点击需要制定

的策略，然后在右侧的【策略名】中输入相应的策略名

称，单击【创建新策略】按钮开始创建策略。

图2- 1创建新策略

注：在策略的定义中使用了一些特别的关键字符，这些特殊的字符不应该在策略内容中出现。否则可能会出现无法预料的系统错误。

这些字符包括："><'/="(大于，小于，单引号，反斜线，等于)。

2．根据实际需求配置策略，单击【保存策略】完成策略

的创建。

（由于各个策略项的配置过程都不一样，下一节将具体介

绍）

3．下发策略，即指定策略的执行对象。通过单击【对

象】按钮，可按界面提示完成对象的分配。如下图所示：

图2- 2下发策略

4．.如果需要让某一条策略暂时不使用，可通过【停用】按钮使策略失效，需要使用的时候再单击【启用】按钮使策略生效。如果想要删除某一条策略，则直接按【删除】按钮即可。如下图所示，

图2- 3策略控制

策略的高级设置

策略的高级设置用于策略的执行设置，包括策略状态（启动、停止）、策略存活时间（策略执行的起止时间）、策略执行触发条件（在何种条件下开始执行策略）、策略无效时间（规定时间内不执行策略）、策略应用范围（本级区域、下级区域、所有区域）、级联策略类型等，有些策略还包括具体的触发时间设置等。

策略有效网络内网：能与本服务器通讯的属于内网；外网：与本服务器不能通讯，且不能与客户端所在网关通讯的属于外网。

克隆机策略克隆机：将已经注册了本系统的客户端的系统做成镜像（gost），还原到某计算机上，则该计算机称之为克隆机。只有克隆机（gost系统）执行本策略，非克隆机不执行。

表2- 1策略的高级设置参数说明

策略下发结果查询

可以通过以下两种方式查看策略的下发情况：

(1)策略管理中心-->策略下发查询

(2)终端管理-->终端管理-->当前执行策略

注：策略分发间隔默认为1分钟；有的策略需要重新启动生效，请看每条策略的具体说明。具有审计功能的策略，审计数据可以在“数据查询审计数据查询”中查看。

黑白名单编辑

进程黑白名单

进程黑白名单在“进程监控”策略中可以使用，这部分包

含系统预定义黑名单和用户自定义黑白名单。编辑进程黑

白名单时包括：进程名、产品名、源文件名等；如果是服

务则只可以加服务名，同时可以加一些描述。

软件黑白名单

软件黑白名单在“软件安装监控”策略中可以使用，这部

分包含系统预定义黑名单和用户自定义黑白名单。

URL黑白名单编辑

URL黑白名单在“上网访问审计”策略、“上网控制策

略”中可以使用，这部分包含系统预定义黑名单和用户自

定义黑白名单。

端口黑白名单编辑

端口黑白名单在“协议防火墙策略”中可以使用，这部分

包含系统预定义黑名单和用户自定义黑白名单。

硬件设备控制

硬件设备控制

功能说明：控制各种硬件设备及接口的启用或禁用，如果

只想禁止使用移动存储设备，也可以通过“可移动存储审

计”策略来实现。

参数说明：

表2- 2硬件设备控制参数说明

注意事项：

1．如果要对原来禁用的设备启用，最好是明确的为该设备制定一条启用策略。

2．禁用u盘、软驱、光驱等一部分功能，在行为管理与审计策略中的可移动存储审计策略中也可完成，功能上没有什么区别，用户可以根据自己的习惯，自行设定。

策略实例：允许使用光驱，但是禁止使用刻录光驱。

比如有两个光盘驱动器，分别为：Generic DVD-ROM SCSI CdRom Device 和 MATSHITA UJDA745 DVD/CDRW。从文字显示上可以看出后面一个驱动器为刻录光驱，如果要禁止刻录光驱，则可以将光驱项设置为"允许"，在【例外】中输入"MATSHITA UJDA745 DVD/CDRW"或其中的一部分，只要能通过该标志确认是一个可刻录光驱即可。因为基本

上可刻录光驱都带有"CDRW"字样，【例外】中可以输入

"CDRW"。多个例外之间用分号(";")（英文半角格式）分

隔，如下图所示：

图2- 4硬件设备控制

进程及软件管理

软件安装监控

功能说明：用于监控客户端安装的软件是否违规并对违规

行为做出相应的处理。

参数说明：

表2- 3软件安装监控策略参数说明

策略实例：

图2- 5软件安装监控策略

注意事项：

1．“软件名”要和控制面板中添加删除程序里的软件程序名一样，该功能支持模糊查询技术，例如在要检查是否安装了QQ，可能因为各种版本不一样，在“添加删除程序”里显示的是QQ2004或QQ2005，这时您可以只输入QQ。

2．静默卸载功能不支持模糊匹配，需要填写跟添加删除程序中的名称完全相同。

3．为了维护方便，建议管理员将施行安装或禁止安装的需求不同的软件，放在不同的策略中管理，如果同一软件在不同策略中的设置不同，那么，取最后一个策略设置为准。

4．本策略设置时，建议在高级设置，策略触发方式中，选中启动时触发和间隔触发选中，间隔时间10分钟左右。

进程执行监控

功能说明：用于监控客户端运行的进程，并做相应处理。先添加需要监控的进程信息，再配置违规处理措施。

参数说明：

表2- 4进程执行监控策略参数说明

策略实例：

图2- 6进程执行监控策略

注意事项：

1．进程名称、产品名称、源文件名之间是“或”的关系，填入其中一项或多项均可实现监控功能，其中，产品名称，主要用于监控一系列软件的使用，比如说，qq不同版本的程序名不一样，但是产品名称是相同的。源程序名的作用，主要是为了防止可执行程序被人手动修改名称而避过安全系统的管理策略。

2．本策略设置时，建议在高级设置-->策略触发方式中，选中启动时触发和间隔触发，间隔时间5分钟左右。3．启动路径为全路径或系统默认路径。

进程保护策略

功能说明：设置需要保护的用户进程，防止被保护的进程被非法关闭。

策略实例：

图2- 7进程保护策略

注意事项：

1．这里的进程保护是指使用windows任务管理器和一般的应用程序无法终止该程序。

2．这里的被保护进程，仍然可以在策略中心的“进程执

行监控”中进行终止，请管理员注意相关策略的设置。主机安全策略

用户密码策略

功能说明：此策略可以对系统的本地密码策略、本地帐户

锁定策略、系统屏保进行设置，同时可以检测系统密码弱

口令，除系统自定义的弱口令外，用户可以自己添加自定

义弱口令集。

参数说明：

表2- 5用户密码策略参数说明

注意事项：

1．在windows系统密码策略中，策略是指密码的长度。

2．“弱口令检查”与“本地账户锁定策略”不能同时设

置，否则弱口令用户可能会被锁定，无法使用！也不能对

同一台计算机分配两个这样的策略。

本文来源：https://www.bwwdw.com/article/xhse.html