北信源内网安全管理系统手册

北信源内网安全管理系统手册内容摘要：

、军队、公安、保密部门、科研机构、金融、证券等企事业单位中的网络都具有相当的 规模，网络中大量使用计算机及其它网络设备。 这些设备带来高效应用的同时，由于自身确实存在着安全风险隐患，应该采用相关网络安全技术手段来保障整个网络运行的安全。 目前单位自身内部网络分为以下几种类型： 办公网： 企事业单位中的普通办公网络、公司企业网，它们通过有限出口接入 Inter网络； 内部专网： 政府办公网、金融运营网及各系统重要的实时网络，该种网络一般为内部专用网络，此类网络同外部网络采取物理隔离的方式实现相互独立 ； 保密网： 政府机关、军队、公安、保密部门的内部机密安全网络，一般采用专门的网络通道， 要求具有绝对的内网隔离度。 尽管以上大多数用户采用了专门的网络通道技术、物理隔离技术、安全网段划分、安全防护设施（如防火墙、入侵检测、漏洞扫描）等方式保证自己的网络安全，但是，对类似下面的安全问题仍然无法做到真正意义上的解决： 如何发现终端设备的系统漏洞并自动分发补丁； 如何防范移动设备随意接入内网； 如何防范内网设备违规进入外网； 如何管理终端资产并真正控制、管理终端设备的运行； 如何制订整体安全策略并全网执行； 如何管理控制终端设备的数据流； 平台、安全平台等诸多设备如何衔接并统一管理。 北信源 终端安全 管理 产品 VRV EDP（ Enterprise desk planning）能够完全解决上述网络安全管理工作中遇到的常见问题。 VRV EDP系统强化对网络计算机终端的控制，管理内容包括：资源资产、终端安全策略、桌面风险审计、补丁检测分发、终端运行状态监控以及终端行为审计等。 北信源 终端安全 管理 产品 提供了防火墙、 IDS、防病毒系统、专业网管软件所不能提供的防护功能，对它们管理的盲区进行监控，成为一个实时的安全监控系统，并能够同其它网络安全 6 设备或网络安全系统进行安全集成和报警联动。 北信源 终端安全 管理 产品 针对网络管 理工作中遇到的实际管理需求，进行网络安全资源规划 ,如防止移动设备非法接入内部网络、 IP 资源分配管理、静态 IP 同 MAC地址的绑定、提供设备资源登记及硬件设备（硬盘、 CPU、内存等）变化报警、进行内部网络连接阻断等功能。 同时，为有效解决网络中计算机非法接入和非法外联问题， VRV EDP 系统提供实时监控的强大功能，即实时报警以及实时切断非法计算机同内网的连接。 北信源 终端安全 管理 产品 通过 Web 方式对整个系统进行应用策略配置，管理网络和查询报警数据，方便用户操作 ，有效防范不安全因素对 内部 网络 构成 的威胁 ，真正做到 内部网络的完全安全管理。 北信源 终端安全 管理 产品 支持基于局域网、广域网的国家 — 省 — 市 — 县多级级联管理模式。 第一章． 产品 介绍 11 产品 构架 北信源终端安全管理 产品 由 8部分组成： WinPcap程序、 SQL Server管理信息库（安装包：环境初始化程序）、 Web中央管理配置平台（安装包：网页管理平台）、区域管理器 (安装包： Region Manage,原区域扫描器已作为模块集成到区域管理器 )、客户端注册程序（安装包：注册程序）、补丁下载服务器、管理器主机保护模块、报警中心模块。 环境初始化程序： SQL Server管理信息库，建立 北信源终端安全管理 产品 的初始化数据库。 初始化的信息 包括：网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册（未注册）机器信息、设备属性变化信息、报警信息等。 扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比，根据规则要求在管理平台上报警。 Web管理平台： Web中央管理配置平台，本系统的管理配置中心。 包括区域管理器、扫描器、注册客户端的功能参数设定，网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。 Region Manage： 区域管理器，系统数据处理中心 ，负责 与管理信息数据库通讯 扫描终端设备、控制 服务器、客户端之间的信息、指令的下达、接受。 比如： 接收注册程序提供的用户信 7 息，将用户信息（用户填写的物理信息和系统自动采集的硬件信息）并行存入数据库；接受来自控制台的命令操作，发送到客户端、扫描器执行。 对于存在多级管理要求的广域网，网络中可以存在多个区域管理器， 实现 系统数据 逐级上报（转发） ，对网络终端的多级管理。 区域管理器内置网络扫描器，扫描器 用来发现网络的终端设备。 将发现的设备信息交由区域管理器处理。 、 设 备最新状态信息报送至区域管理器，由区域管理器处理后，同数据库中原有信息进行遍历搜索对比，根据管理规则在管理平台上报警。 扫描器配合区域管理器进行工作，可以在分级模式下使用。 扫描器只依据 Web 管理平台中配置的工作范围进行扫描， 如果终端 IP超越其范围，将不负责执行操作。 WinPcap程序： 嗅探驱动软件， 监听共享网络上传送的数据。 客户端注册程序： 将接收并执行服务器下发的指令。 该程序可以在“工具下载 用户注册器下载”处下载。 访问指定网站自动获得，用户填写 必要的信息后，运行该程序， 区域管理器将收到注册终端的相关 信息，同时终端可以接收、执行各种下发的指令。 注册程序自动探测系统硬件信息，连同用户填写的信息一同上报区域管理器。 用户将本机注册信息发送到区域管理器后，区域管理器自动将客户端驻留程序应用策略发送给用户，并自动更新。 客户端驻留程序功能： 1. 进行本机硬件属性信息变化监视； 2. 进行本机 IP、 MAC地址变化审计； 3. 本机系统补丁、软件安装、运行进程状况监测； 4. 探测本机是否有违规联网行为，在内网管理中心或外网报警平台报警； 5. 接受 Web管理平台的管理命令； 6. 阻断本机非法外联行为； 7. 执行 Web管理平台下发的各种策略操作。 补丁 下载服务器： 安装在与 Inter 网络连接的机器上，用于实时下载补丁厂商发布的补丁。 管理器主机保护模块： 管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协议、通信 IP范围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置， 8 从而防止该计算机受到恶意的 IP冲突以及各种网络、病毒攻击。 报警中心模块： 安装在可与区域管理器所在服务器正常通讯的计算机上，本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、信使服务、 SNMP Trap、手机短信等多种报警方式。 注 ：区域管理器（ Region Manage）、区域扫描器模块（ Region scan）、注册程序部分系统的参数配置集中体现在网页管理平台操作上，上述三部分功能参数、功能项数值统一在网页管理平台中进行配置。 区域管理器（ Region Manage）、扫描器模块（ Region scan）部分参数在自身 程序 组件中配置。 12 应用构架 北信源终端安全管理 应用于局域网、广域网构架，支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。 系统应用主要分为以下两种构架 ： 基本构架：对于一般网络（例如 1 个 C 类地址或若干个 C 类地址的局域网范围），可使用一套本系统软件， 通过一个 管理 器集中管理 所属区域内的所有设备。 扩展构架：对于大规模的多个局域网或者跨地域广域网（包括基于国家、省、市、县等多级管理模式的网络结构），可使用本系统提供的多区域集中管理构架，即一个或多个网段各拥有一套独立 北信源终端安全管理 的同时，将本级所有设备信息再转发给上级管理数据库，使得上一级管理人员对整个网络的设备状况也能够完全掌握。 图 11北信源终端安全管理 应用拓扑 9 第二章． 产品 安装 21 安装环境 条件一：硬件环境 SQL Server 数据库服务器： 用于安装系统管理信息数据库。 PC 服务器或更高档服务器， PentiumⅣ 以上 CPU， 512M以上内存。 区域管理器： 用于安装区域管理器程序。 百兆或千兆网卡， PC 服务器或更高档服务器， PentiumⅣ 以上 CPU， 512M以上内存。 扫描器模块： 配置同区域管理器。 如单独安装扫描器模块，比较高档的 PC计算机即可。 本系统各程序可安装在同一台计算机上，也可在不同机器上安装 SQL数据库、 IIS服务器、区域管理器、扫描器模块等，此时推荐该计 算机内存为 1G以上。 建议将区域管理器、扫描器、网页管理平台安装在同一台机器上，作为监控服务器。 条件二：提供数据库、 IIS服务 操作系统 ： Windows 2020或 Windows 2020企业版操作系统。 Mircosoft SQL Server软件： 配备 SQL Server 2020或 SQL Server 2020数据库系统，用于 北信源终端安全管理 建立管理信息库数据库列表项。 （注：以下均以 SQL Server 2020为例） IIS服务： 配备 IIS服务器提供 Web服务，用于安装 Web网页管理配置平台。 如 所装操作系统为 Windows 2020 企业版，则需要按照 附录（三） 的 Windows 2020 的 IIS 配置说明进行 IIS配置。 条件三：为本系统提供相应端口 北信源终端安全管理 产品 区域管理器将占用操作系统 88 端口，必须确保安装区域管理器的机器该端口不被占用。 区域内的防火墙应打开如下端口： 80 ， 88,2388， 2399 ，8901,8900,161,137,22105， 8889， 22106， 22108 以及 ICMP 协议。 同时最好将 DNS 服务迁移至其它服务器。 10 22 安装注意事项 软件安装时，推荐将区域管理器、扫 描器、数据库安装在同一台机器上（以下称为监控服务器），建议按照下面要求进行监控服务器部署、软件安装、客户端注册。 221 软件安装监控服务器部署注意事项 监控服务器在网络中放置位置注意点  确保该监控服务器能够 ping通所有被管理网络中任意一台客户端机器，同时被管理客户端可以正常连接服务器的 TCP的 80,88两个端口。  监控服务器给客户端下达策略的端口为： TCP端口 22105；  监控服务器扫描发现客户端利用以下协议及端口：  ICMP协议（发现 IP地址存在的其中一种方式）；  NETBIOS协议 ,UDP端 口 137(为了发现机器名和 MAC地址 )；  SNMP协议 ,TCP端口 161（为了发现智能设备如路由器、交换机等）； 在本地网络中若划分了 VLAN，或本地网络存在防火墙，请注意上述问题。 存在网中子网（如经过地址转换）的网络布置点 对于网络中存在网中网现象，如采用 NAT 地址转化或者代理方式在 10.*. *. *网络中接入192.*. *. *网段，这些子网用户的管理方式如下： 情况一：子网有专人管理，并且有独立机房 应在该子网中安装一套完整的监控系统。 情况二：子网无专人管理，或无独立机房，可采用以下 3种方 式之一处理  机器数量少的建议统一更改 IP为 10.*. *. * 网段。  由管理员监督子网中所有机器进行注册并保证不得遗漏。  在该网络中指定一台工作站专门安装区域管理器软件和区域扫描模块，并将区域管理器配置中 SQL服务器地址指向监控服务器。 222 软件安装和应用过程中注意事项 必须按照软件安装步骤进行安装 1）确认本机 IIS服务正常； 2）确认本机 SQL已正常安装并能正常使用（以本地系统账户方式安装）； 11 3）确认目标安装盘剩余空间不小于 10G； 4）请务必按照指定顺序安装各个模块； 5）请在区域扫描 模块所在计算机中安装 SNMP服务； 6）安装完所有系统模块后，请一定按照说明文档进行客户端程序的配置及分发安装。 监控服务器的安全性问题 管理服务器安装 Windows2020 Server操作系统（带 IIS）、 MS SQL Server2020数据库后，一定要确保对 Windows20 SQL 和 IE 进行重要安全补丁修补，规范操作系统、数据库的口令和密码设置，保证 SQL、 IIS的正常启动运行。 确保本服务器无病毒，同时可配置本服务器网络通讯端口仅打开： 80， 88， 6800， 8901，8900， 22105， 2388， 2399， 8889。 保护机制的应用 对大多数交换机、路由器、非 Windows 设备，需要将其设置为保护状态（避免被阻断导致网络不通），其它如有系统无法识别的重要设备，请在网页管理平台设备信息查询中手动将其设置为保护状态。 23 产品 组件安装 安装顺序依次为： *安装 SQL Server数据库； *安装 WinPcap驱动程序； *安装并运行环境初始化程序，初始化数据库； *安装网页平台并进行划分区域，配置区域 IP范围、区域管理器参数、设备扫描器参数 等（推荐安装在默认路径下）； *安装区域 管理器（推荐安装在默认。