北信源补丁管理系统手册

北信源补丁管理系统手册内容摘要：

正常，此时通过上图中“弹出窗口”项来查看扫描器相关运行信息。 注意： 上图中参 数项如填写有误，就会连接数据库失败，扫描频率设定中的各项数值用户根据自己的需要做适当的调整， 系统已经设置了默认的数值供用户使用，用户一般无须做改动即可正常扫描。 扫描频率设定： 用户可以根据网络中网络带宽占用情况，灵活设置扫描频率，同样可以选择是否“穿透防火墙”、“使用 SNMP 扫描”扫描方式，如果选择“穿透防火墙”，扫描器能够针对个人安装的防火墙进行穿透，保证扫描器的正常运行；如果选择“使用 SNMP 扫描”，则系统能够自动对网络设备（例如交换机、路由器、网络打印机等）进行扫描，并自动登记到设备列表库中。 阻断选 项： 如果用户选择“扫描器阻断”，此时可采取“轻量级阻断”和“重量级阻断”两种方式。 “轻量级阻断”为系统调用扫描器直接对客户端进行阻断；“重量级阻断”为系统调用与被阻断客户端在相同网段的已注册计算机对阻断目标进行阻断。 对于“判断是否卸载”设置项的说明 ：正常情况下， 计算机启动后网络连接成功与到客户端驻留程序启动之间会有时间间隔 ，而这个间隔根据不同的系统状况可能会存在一定的差异，“判断是否卸载”就是为了解决这个问题，用户根据自己网络内计算机启动速度的实际情况来设置这一数值，从而确保设备扫描器上报数据的准确率。 探头检测：检测客户端是否注册，如下图。 图 213 客户端探头注册检查 228．客户端注册  客户端注册原理 执行注册程序，根据要求填入指定信息，系统自动将所添加信息和系统自动采集获得的设备信息发送到区域管理器（设置为转发模式的将发送到上级区域管理器），区域管理器将注册信息导入 SQL 数据库保存，在 WEB 管理平台中设置的客户端参数策略将由区域扫描器扫描客户端后，发送给客户端驻留程序保存执行。 该客户端驻留程序驻留在系统内部，以服务的方式实时运行，一旦某个客户端非法接入互联网或设备改变违规，探头就向外网报 警接收服务器或内网区域管理器发送报警数据，同时本机将显示报警信息。  客户端注册 1）修改客户端注册程序配置文件 在网页管理平台安装后的 VRVEIS根目录下的 Download目录下找到注册程序(),或者从 服务器域名（ ip） /vrveis 上点击“ 注册器下载 ”下载。 按照下面方法修改后提交。 注册程序使用前需要网管人员的配置，主要是设置区域管理器 IP 地址（注册时客户端信息发向该 IP 地址所在的区域管理器），使用 RegTools 工具将 文 件改为区域管理器所在计算机的 ip 为名称的可执行文件，如区域管理器为 ,则 改名为。 图 214 修改客户端注册程序 IP地址 先解压，输入当前区域管理器 IP 地址，后，点击“修改 IP 地址按钮”，最后打包，系统提示 ” 打包完毕 ”。 下载该注册程序后，直接运行，填写完毕注册信息后，发送即可，所填写信息即被发送到区域管理器，区域管理器处理后传递到 SQL 数据库存储。 2）注册方法有两种，网页静态注册、网页动态注册。 网页静态注册： 静态注册比较 简单，客户端只需要将配置好的注册文件上传到公共主页上即可，做一个链接，访问主页后手动下载注册。 主要讲述动态注册，这种方法适用于网络用户较多的情况，客户端只要访问网络内公共网站，网页将自动对客户端进行探测，提示用户进行注册。 网页动态注册： 利用网络中已经构建好的内部网站，一方面网络客户端可以通过手动获得注册程序，也可以通过在主网页上加载弹出页面的方式进行提示性注册。 本手册将主要介绍后一种方式。 当网络中客户端计算机访问本网络内部网站时，在该主页代码中加入一段代码（如下）。 本代码作用在于首先获得该客户端计算 机的 IP地址，再读取数据库里面相关 IP地址的注册和其它相关信息，如果该 IP 地址的设备存在，系统会根据其是否完成“注册”、“信任”、“保护”三项操作进行判断，只要满足其中任意一条件，都不会提示注册，否则会弹出窗口提示注册；同样，系统还会根据已经注册的客户端探头的版本号，对老的版本的探头提示进行注册升级。 网页加载弹出程序方法如下：编辑已有主页的源程序，在需要加载弹出窗口主页的源代码 body中放入以下代码： SCRIPT LANGUAGE=JavaScript !— (39。 n=0,directories=0,status=0,menubar=0,scrollbars=0,resizable=0,width=1,height=1,top=2,left=202039。 )。 // /SCRIPT 注意：需要将其中的 换成 安装该区域补丁分发管理网页平台计算机 IP/vrveis/ 即可，此时当网 络中计算机访问该内部主页时，会自动弹出如下提示页面： 图 215 手动注册： 除了自动注册设备外，遇到需要手工注册新增设备时，也可将新增设备的具体信息详细登记填写至数据库中。 注意：多级级联注册， 如果系统为多级级联方式，必须将区域管理器中的“系统配置”选项中的“上报给上级管理器”选中，并正确添加上级管理器的 IP 地址，各级区域会将自己所管辖的区域管理 IP段上报到上级数据库中存储。 此时，当网络中任意一台下级区域客户端计算机访问主网站的同时，会根据最上级区域数据库中存储的各级上报 IP 段信息，自动将该客户端注册 程序文件下载路径指向为自己所处 IP 段的本级区域注册器上，做到各个区域的客户端计算机在访问同一网站进行注册程序下载时，所下载的客户端程序均为自己所在区域的专用注册程序。 如果网络中内部网站，网络管理员可以通知网络内计算机在本系统 WEB 管理平台的登录页面中点击下载注册程序完成系统注册，或者在此页面下按上面的步骤做好弹出提示窗口方式注册。 注册程序界面如下： 图 216 无论采取哪种注册方式，当注册成功以后，注册程序除了将主动添加的信息自动上报以外，还会自动收集其它和系统相关的信息进行上报，下图为成功注册后的显 示界面： 图 217 客户端和区域管理器连接通讯不正常的情况下，将提示用户“ 系统缺省注册成功 ”，表示客户端探头已经注册完毕，但还没有同区域管理器通讯。 当区域扫描器扫到该计算机的 IP 地址时，才会将添加的信息及系统采集信息上报到区域管理器，存储在数据库当中。 注意： 本系统使用初期，若要求对下属网络中的计算机信息进行统计、注册、入库，必须在 WEB 管理平台中管理器设置项内选中允许注册，如图所示： 图 218  客户端卸载 网络客户根据情况需要卸载客户端探头程序时，执行程序包中的探头卸载程序 LogoutWatch即可。 第三章． 补丁管理系统功能说明 区 域 管 理 器中 央 管 理配 置 平 台级 联管 理 信 息 库区 域扫 描 器客 户 端 （ 安 装 客 户 端 程 序 ）指 令 下 达A . 扫 描 发 现B . 阻 断 违 规指 令 、 策 略 获 取状 态 、 数 据 上 报数 据 交 换指 令 下 达数 据 交 换A . 注 册B . 验 证C . 管 理D . 补 丁 获 取下 级区 域 管 理 器数 据 交 换补 丁 获 取补 丁 下 载 服 务 器补 丁 增量 导 入物 理 隔 离I n t e r n e t补 丁 分析 模 块 补丁管理系统功能逻辑图 图 11 补丁自动分发系统基于 B/S 结构设计，通过在客户端设备中植入驻留程序实现补丁检测、分发功能。 系统前台使用 Web 浏览器方式对进行操作配置管理和客户端注册，后台通过 SQL 数据库对用户数据加以统计和存储。 此系统主要由以下几个组件组成。 安装在能与 Inter 网络连接的机器上，用于实时下载补丁，支持补丁导出前病毒过滤。 补丁下载服务器下载补丁导入时，分离出新下载 的补丁和原有补丁，只导入新下载的补丁，即仅进行“增量式”的补丁升级，以提高效率。 模块组成：补丁索引下载和解析模块、补丁下载模块、补丁增量导出分离模块。 ① 补丁索引下载和解析：从北信源站点获取补丁索引，用以获取补丁厂商发布补丁信息，通过对补丁索引的解析，下载补丁。 ② 补丁下载：按照补丁索引、管理配置要求从补丁厂商站点获取补丁，补丁下载支持各种方式（下载线程、下载时间）自定义下载补丁。 ③ 补丁增量导出分离：补丁增量分离模块分离出系统已下载、未下载补丁，即仅对未下载的补丁进行“增量式”的导入本单位网络，以提高效率。 补丁分析器将导入的补丁进行归类分析（按照操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等），并在管理信息库中添加已归类好的补丁库。 补丁分析器由补丁索引解析、补丁索引导入模块组成，上述模块根据解析的补丁索引建立补丁库，针对下载的补丁进行归类存放，帮助管理人员快速识别补丁。 管理信息库中用来存放和管理各种策略、系统组件运行参数配置、网络客户端设备信息、补丁及相关信息、报警、日志等各种信息。 具体包括：网络客户端设备属性信息，区域管理器以及设备扫描器配置信息、网络区域管理范 围信息，补丁安装状况信息、设备属性变化信息、报警信息等。 扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比，根据规则要求在管理平台上报警。 本系统的操作管理中心，基于 web 浏览器方式工作，用于系统应用策略制订，配置系统组件运行参数，维护系统等操作，并显示网络设备和本系统组件状态信息、报警信息和各种日志记录等。 在中央管理配置平台进行的所有操作过程和结果数据均存储在管理信息库中。 本系统数据处理中心，从管理信息库获取来自控制台的各种策略和命令操作，发送到客户端和扫描 器后执行。 区域管理器接收扫描器的信息和客户端程序提供的各类状态和报警信息，发送至管理信息库，管理人员通过中央管理配置平台查阅这些数据。 补丁策略和补丁数据通过管理器下达给客户端，客户端的补丁结果通过管理器上报并存储在管理信息库中。 上级区域和下级区域之间的命令和数据均通过上下级区域管理器传达。 具体模块组成： ① 系统配置 :区域管理器数据库连结配置、工作模式选择、软件升级路 径设置等基本配置项的管理。 ② 中央策略解析：在中央管理配置平台中设置的各种策略，如区域管理器对客户端的管理控制策略、扫描器扫描策略、客户端注 册程序的管理策略等的执行，均需经区域管理中央策略解析模块的策略解析后由各模块执行。 ③ 通讯模块：本系统的运行是多个组件间的配合完成所有功能的执行，需要不同组件。