[互联网]北信源内网安全管理系统用户使用手册

[互联网]北信源内网安全管理系统用户使用手册内容摘要：

程序的名称，源文件名可以通过鼠标右键点击可执行文件找到。 填入需要监控的源文件名称后，点选【添加控制】按钮，如果想要控制更多的源文件，输入源文件名称后，继续点选【添加控制】按钮，以此类推。 可以设置更多的需监控项目。 控制状态针对具体的进程、产品、源文件，具体的控制状态有三种，包括“禁止运行”、“必须运行”和“允许运行”，这个具体选择可以根据管理员的需要自行设定。 如果想要取消对某个软件的控制，请在列表处选定具体的进程、产品、源文件的名称，然后点击【删除控制】按钮。 其他进程处理选中“允许运行”并勾中“除以上列表的进程外,不允许其他进程执行”，则表示只允许进程列表中的进程运行，其他进程均视为违规，即实现对进程运行的限制功能。 以上各种情况的违规处理指选定的对象如果违反了上述的监控策略的处理方法。 关机方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行2分钟后自动关机的处理，同时，该计算机弹出管理员设定的提示信息。 表2 4进程执行监控策略参数说明策略实例： 图2 6进程执行监控策略注意事项：1．进程名称、产品名称、源文件名之间是“或”的关系，填入其中一项或多项均可实现监控功能，其中，产品名称，主要用于监控一系列软件的使用，比如说，qq不同版本的程序名不一样，但是产品名称是相同的。 源程序名的作用，主要是为了防止可执行程序被人手动修改名称而避过安全系统的管理策略。 2．本策略设置时，建议在高级设置策略触发方式中，选中启动时触发和间隔触发，间隔时间5分钟左右。 3．启动路径为全路径或系统默认路径。 进程保护策略功能说明：设置需要保护的用户进程，防止被保护的进程被非法关闭。 策略实例：图2 7进程保护策略注意事项：1．这里的进程保护是指使用windows任务管理器和一般的应用程序无法终止该程序。 2．这里的被保护进程，仍然可以在策略中心的“进程执行监控”中进行终止，请管理员注意相关策略的设置。 主机安全策略用户密码策略功能说明：此策略可以对系统的本地密码策略、本地帐户锁定策略、系统屏保进行设置，同时可以检测系统密码弱口令，除系统自定义的弱口令外，用户可以自己添加自定义弱口令集。 参数说明：参数说明检测到系统弱口令后当系统检测到客户端采用了弱口令后可以采用“上报”、“提示”两种方式，即上报给区域管理器或者根据管理员设置的提示信息给客户端发出提示。 附加弱口令列表根据各单位名称等不同，自己添加需要探测的弱口令，每个弱口令之间用,分隔。 表2 5用户密码策略参数说明注意事项：1．在windows系统密码策略中，策略是指密码的长度。 2．“弱口令检查”与“本地账户锁定策略”不能同时设置，否则弱口令用户可能会被锁定，无法使用。 也不能对同一台计算机分配两个这样的策略。 3．检测系统弱口令，原理是使用每个列表中的弱口令来尝试登录计算机，它并不修改任何windows系统文件，本策略不会造成任何的计算机不稳定状态。 4．用户密码策略：只适用于标准版操作系统，番茄花园版不支持；系统屏保设置：重启后生效；弱口令列表需要手动添加。 用户权限策略功能说明：检查系统用户、系统用户组的权限的改变和系统用户、系统用户组的增加或减少。 当以上的某一条件符合时，则弹出相应的提示信息。 根据需要，在相应的菜单中选择上报或者在客户端提示的报警方式，还有两种报警方式同时启用的方式，如果选择中有提示信息选项，将在客户端弹出管理员设定的提示信息窗口。 注意事项：1．本策略的各项均在Windows系统控制面板中的“用户与密码”项或者控制面板中的管理工具文件夹里的计算机管理程序中的用户菜单来实现的，本策略只提供相应的监测功能，不对您的修改进行限制。 协议防火墙策略功能说明：本策略是基于各种网络协议的原理和各种网络软件对网络的实际应用，用来控制各种网络使用和计算机端口的使用，起到防火墙的作用。 参数说明端口连接控制规则协议类型计算机可以进行很多网络应用，各种应用都是基于网络上服务器提供的服务。 不同的服务是采用不同的端口提供的，通过这种端口的方式，计算机才可以与外界进行互不干扰的通信。 Tcp/udp协议，网络通信协议，基本上所有的网络服务都使用它们作为通信的标准。 系统在这里通过控制计算机的端口和相应的网络协议，对计算机用户的网络操作进行监管。 我们可以通过在windows下的dos窗口输入“netstat –a”命令来查看本机打开的端口和各种端口正在被哪种服务使用的，且这个服务使用的是哪种协议。 同时，我们也可以通过软件相关的说明文档得到这些信息。 我们在端口处填入我们查询到的需要控制的软件使用的端口，在协议选择下拉菜单中选择相应的tcp/udp协议。 “本地端口”和“远程端口”两个选项，其中，本地端口是指在网络的使用中，本地计算机使用的端口，如果选择这个选项，则在本策略的对象范围内的计算机无法启动使用该端口的服务；远程端口是指在网络的使用中，本地计算机可以启动本服务，但是无法访问远程计算机提供相应服务的端口。 管制方式“禁用填充项中指定端口，开放其他端口”选项是指仅禁用在上边填写的端口和其所对应的服务，同时开放其他所有的端口，使其可以使用网络服务。 “禁用填充项中指定端口”选项是指仅禁用填充项中的端口和其所对应的服务，并不改变其他端口目前的状态。 “开放填充项中指定端口，禁用其他端口”是指，仅开放在上边填写的端口和其所对应的服务，同时关闭其他所有的关口和网络服务，“开放填充项中指定端口”是指开放在上边填写的端口和其相对应的服务，并不改变其他端口目前的状态。 选定需要的选项后，点击“添加端口连接控制规则”按钮，所设定的控制将出现在页面下端的控制列表中。 ICMP协议控制规则指系统对ICMP协议的控制，主要是通过判断计算机间的互相通信是否正常来判断的。 一般来说，只要执行MSDOS窗口下的ping命令即可系统对icmp协议的控制，主要是通过判断计算机间的互相通信是否正常来判断的。 一般来说，只需要执行msdos 窗口下的ping命令即可。 “禁止ping入”是指不允许其他计算机（包括局域网计算机和远程计算机）用ping命令来检测本地计算机通信状态。 “禁止ping出”是指不允许设置的对象客户机用ping命令来检测其他计算机（包括局域网计算机和远程计算机）的通信状态。 “禁止双向”同时禁止任意两台计算机（至少有一台是本地计算机）的通信检测。 设定好后，点击“添加icmp协议控制规则”按钮，所设定的控制将出现在页面下端的控制列表中。 IP访问控制规制ip地址输入需要限制网络使用的计算机的ip地址或ip地址范围。 管制方式“只允许填充项中ip地址访问自己，禁止其余ip地址访问”是指，在设定的ip地址范围内的计算机，每台计算机能使用策略生效范围内的计算机的网络资源，其他的计算机无法访问该策略范围内的计算机。 “只允许自己访问填充项中ip地址，禁止访问其余ip地址”是指，本策略生效范围内的计算机只能访问在设定的ip地址范围内的计算机的网络服务，不能访问其他计算机提供的网络服务。 设定好后，点选“添加ip访问控制规则”，所设定的控制将出现在页面下端的控制列表中。 以上各种选项在设定后，如果需要去掉，只要在控制列表中，点选，然后点击下边的“删除规则”按钮。 超级IP指的是本IP不受上边制定的所有策略的限制。 默认内网管理服务器IP为超级IP超级端口指本端口和所对应的服务不受上边制定的所有策略的限制表2 6协议防火墙策略参数说明策略实例：如下图所设置的一个样例表示：只开放本地计算机的80端口；；禁止其他计算机ping入。 图2 8协议防火墙策略注意事项：1．此策略需要管理员对网络协议和计算机端口有一定的认识，请慎重制定。 通过对端口和协议对计算机用户的网络操作进行监管。 注册表检查策略功能说明：监测客户端的注册表内容和该内容的设定值，防止注册表被病毒或其他恶意程序修改，起到对计算机的安全防护作用。 参数说明：参数说明注册表项名称在【运行】项输入“regedit”然后点确定。 出现注册表窗口，在左边窗口显示的就是注册表项的名称键名在注册表窗口中，右边窗口中的名称标题下的内容就是键名值类型同注册表右边窗口的值类型的三个选项 “reg_sz”、“reg_dword”、“reg_binary”键值在注册表右边窗口中的数据标题下的内容就是键值检测条件根据需要选择相应的条件适合操作系统根据对象的计算机操作系统状况进行选择具体的操作系统控制操作如果要删除注册表项请确认该项对系统的正常使用不会造成影响。 删除项会同时删除该项下的子项和键。 表2 7注册表检查策略参数说明图2 9注册表注意事项：1．本策略只提供注册表检测功能，不进行修改注册表内容的操作。 IP与MAC绑定策略功能说明：实行IP与MAC绑定。 当IP与MAC绑定发生变化时，可对其实施自动恢复、弹出提示框、或断开网络并持续阻断该计算机等控制。 参数说明：参数说明客户端特性设置：客户端IP,MAC绑定点选该选项，才可以使用本策略的功能。 Ip与mac绑定是指客户端计算机在局域网中标识身份的地址和计算机的网卡标识号码的匹配。 当绑定发生变化指客户端计算机用户修改了自己的ip地址，这时，网卡的mac将于新的ip地址相匹配，就不能与原来的ip地址匹配，这就是ip、mac绑定发生变化。 系统根据这种情况给出4种处理方式，“不处理”、“自动恢复”、“断开网络”，并且提示管理员设定的信息、“仅提示”只提示管理员设定的信息。 表2 8IP与MAC绑定策略参数说明策略实例：图2 10IP与MAC绑定策略注意事项：1．“客户端IP,MAC绑定”选项绝对不能在动态IP的设备上使用。 2．一般常规性的网络应用中，只要设定自动恢复ip和除网络管理员的账户其他帐户均有效即可。 杀毒软件运行监控策略功能说明：检查客户机是否安装杀毒软件，并做提示、断开、重启计算机等操作。 参数说明：参数说明若客户端未运行病毒防火墙“不处理”、“自动重启”当系统发现客户端未安装杀毒软件时，将弹出管理员设定的提示信息，并且2分钟后自动重新启动、“断开网络”断开和网络的连接，并弹出管理员设定的提示信息、“仅提示”只发给客户端提示信息。 杀毒软件升级设置用于自动升级杀毒软件。 这此功能生效的条件是需要把杀毒软件的升级文件放到VRV\RegionManage\Distribute\AntiVirusUpdate目录中相应的杀毒软件升级文件夹中，目前支持的可升级的杀毒软件有北信源、macfee、瑞星、诺顿等。 表2 9杀毒软件运行监控补丁分发策略、软件分发策略请参照第三章北信源补丁及文件分发管理系统接入认证策略请参照第六章北信源网络接入控制管理系统和第七章北信源接入认证网关。 违规外联监控防违规外联策略功能说明：监视违规网络连接（modem拨号、双网卡、代理等），并对违规行为做出相应的处理，检测计算机的网络使用是否符合制定的原则，对不符合原则的计算机进行处理。 参数说明：参数说明违规监控设置通过设置，检测策略应用的对象的客户端是否能和外网通信来判断该计算机是否违反了管理员制定的规则。 “外网地址”选项，是利用系统的功能，对这两个地址，进行检测，当可以与这两个网站通信时，视为本机违反策略。 “客户端所限定使用的网段”是指，如果客户端访问的ip地址超过了在这个选项中设置的范围，也视为本机违反策略。 本选项需要填写ip地址范围，范围中间区域用“—”来间隔。 “采用探测外网方法”和 “客户端所限定使用的网段”这两种方法，是并列的，单独使用其中的一种或者两种同时使用都可以满足您的需要。 禁止使用代理上网访问如果选择这个选项，则浏览器无法使用代理服务器访问网络，该选项可屏蔽浏览器使用内网或者外网的大多数代理服务。 探头发现设备违规后的处理方式A：若客户端同时连接内外网，本选项一般指计算机同时能够访问单位内部网络和外部网络。 在处理方式中，仅提示方式，是指当选定对象的用户如果违反了策略，将在客户端弹出管理员设置的提示信息。 断开网络方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行断离网络的处理，同时，该计算机弹出管理员设定的提示信息。 关机方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行2分钟后自动关机的处理，同时，该计算机弹出管理员设定的提示信息。 B：若客户端仅在外网，一般是指，客户没有在局域网中，只通过modem等网络设备上网的情况。 在处理方式中，仅提示方式，是指当选定对象的用户如果违反了策略，将在客户端弹出管理员设置的提示信息。 断开网络方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行断离网络的处理，同时，该计算机弹出管理员设定的提示信息。 关机方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行2分钟后自动关机的处理，同时，该计算机弹出管理员设定的提示信息。 重新接回内网后进行安全检察，是指当计算机离开本网络，并且离开后进行了网络操作，则当计算机回到本网络的时候，提示用户进行安全检测。 表2 10防违规外联策略参数说明策略实例：图2 11防违规外联策略当执行该策略的客户端有违规外联事件发生时，客户端将弹出管理员设置的提示信息，如下图所示：图2 12违规提示注意事项：1．当计算机离开本地网络，并进行过联网后，回到网络仅提示安全检查，本系统并不对其进行具体的安全检查。 2．使用本策略，必须点选“允许探头进行违规联网监控”和“采用探测外网方法”两个选项。 行为管理及审计、涉密检查策略请参照第四章北信源主机监控审计系统可移动储存管理请参照第五章北信源移动存储介质使用管理系统主机运维策略运行资源监控策略功能说明：本策略主要针对服务器和重要主机而设计的，网管人员十分关心服务器和重要主机的运行状况，如CPU、内存、硬盘等关键硬件的信息就。