惠诚智能存储管理系统软件是根据网络及移动存储管理需求,满足网络及移动存储介质日常安全管理而设计的管理软件。惠诚智能存储管理系统软件 v1.0综合应用底层驱动、扇区加密、进程守护等多种安全防护技术,磁盘文件底层驱动技术对普通移动存储设备(主要usb类型)作唯一性标签处理, aes128位高强度算法对磁盘进行数据区划分并作加密处理,标签移动存储介质结合受控客户端主机的安全访问控制策略作匹配授权,确保标签移动存储介质使用的安全性与合法性。
惠诚智能存储管理系统软件 v1.0系统通过集中的注册管理平台对 usb存储设备作严格的设备介质身份认证、数据信息重构、数据加密等一系列安全防护操作,针对办公网内计算机usb存储设备的使用和管理建立了完整的防范解决体系,系统采用c/s和b/s混合式架构,由服务器端和客户端构成。
惠诚智能存储管理系统软件 v1.0客户端主机通过移动存储介质的产品唯一生命特征识别码和硬盘唯一码结合进行识别,当主机数据库和移动存储介质中的认证信息相同时,接受其入网使用;未经注册的移动存储设备将会自动被系统强制卸载,实现单位u盘外出使用需要到单位保密或网络管理员处登记,否则在外部无法打开。
惠诚智能存储管理系统软件 v1.0在解决安全方面的问题,同时还兼顾工作的实际,力求使用的方便、简洁与高效。
1-1 系统组成
◆ 系统服务器端:惠诚智能存储管理系统软件 v1.0系统管理中心,自动发现网络中的终端计算机,并检测终端计算机是否安装系统客户端程序,管理中心内置移动存储管理策略中心和报警中心,提供对网络终端的分组管理设置。
惠诚智能存储管理系统软件 v1.0系统服务器端由4个组件构成: sql server管理信息库(安装包:环境初始化程序)、web中央管理配置平台(安装包:网页管理平台)、区域管理器(安装包:region manage,原区域扫描器已作为模块集成到区域管理器)、winpcap程序。
环境初始化程序:server管理信息库,建立移动存储介质管理系统的初始化数据库。包括:客户端主机设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册(未注册)机器信息、设备属性变化信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比,根据审计要求在管理平台上报警。
web管理平台:web中央管理配置平台,本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定,网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。
region manage:区域管理器,系统数据处理中心。与管理信息数据库通讯,接收注册程序提供的用户信息,将用户信息(用户填写的物理信息和系统自动采集的硬件信息)并行存入数据库;接受来自控制台的命令操作,发送到客户端、扫描器执行。
对于存在多级管理要求的广域网,网络中可以存在多个区域管理器,系统数据提供逐级上报(转发)模式。
区域管理器内置网络扫描器,扫描器将设备最新状态信息报送至区域管理器。扫描器配合区域管理器进行工作,可以在分级模式下使用,扫描器只依据web管理平台中配置的工作范围进行扫描,超越其范围,将不负责执行。
winpcap程序:嗅探驱动软件,配合区域管理器工作。
◆ 专用认证工具:惠诚智能存储管理系统软件 v1.0移动存储设备认证程序,用于管理员对网络中移动存储介质进行集中注册和授权管理,对普通移动存储设备加载认证标签,同时划分数据区(交换区、保密区、启动区),将使用人、使用人部门、设备编号等信息写入移动存储设备,完成普通移动存储设备到专用移动存储设备(安全u盘、安全移动硬盘)的技术处理。
专用认证工具还用于专用专用移动存储设备密码遗忘后的密码还原操作。
认证工具程序可以在网管员主机上(或任意主机,但必须由管理员控制)使用,使用时必须能够同系统服务器连接,方可对移动存储设备进行认证管理工作。
◆ 系统客户端注册程序(agent):安装在终端计算机,接受系统管理中心分发的策略,根据接受策略实时监控接入终端计算机移动存储设备的操作行为和状态,并进行管理或者控制。
系统客户端注册程序(agent)作用:用户填写本机信息,填写必要信息后上报区域管理器。注册程序自动探测系统硬件信息,连同用户填写的信息一同上报区域管理器。用户将本机注册信息发送到区域管理器后,区域管理器自动将客户端驻留程序应用策略发送给用户,并自动更新。
客户端驻留程序功能:
1、进行本机ip/mac、资产等信息采集;
2、本机移动存储设备使用状况监测;
3、接受web管理平台的管理策略命令,并执行;
4、报送本机移动存储设备审计信息到控制台;
5、阻断本机联网行为。
注:区域管理器(region manage)、区域扫描器模块(region scan)、注册程序系统的参数配置集中体现在网页管理平台操作上,上述三部分功能参数值统一在网页管理平台中进行配置。区域管理器(region manage)、扫描器模块(region scan)部分参数在自身组件中配置。
1-2 系统构架
移动存储介质管理系统惠诚智能存储管理系统软件 v1.0应用于局域网、广域网构架,支持跨网段、跨地域的内网客户端移动存储设备介质的管理和审计,系统应用主要分为以下两种构架:
基本构架:对于一般网络(例如1个c类地址或若干个c类地址的局域网范围),可使用一套本系统软件,集中管理所属区域内的所有设备。
扩展构架:对于大规模的多个局域网或者跨地域广域网(包括基于国家、省、市、县等多级管理模式的网络结构),可使用本系统提供的多区域集中管理构架,即一个或多个网段各拥有一套独立移动存储介质管理系统的同时,将本级所有设备信息再转发给上级管理数据库,使得上一级管理人员对整个网络的移动存储设备使用状况也能够完全掌握。
移动存储介质管理系统惠诚智能存储管理系统软件 v1.0应用拓扑
2-1 安装环境要求
条件一:硬件环境
server数据库服务器:用于安装惠诚智能存储管理系统软件 v1.0系统管理信息数据库。pc服务器或更高档服务器, pentiumⅳ 2.4c 以上cpu,512m以上内存。
区域管理器:用于安装区域管理器程序。百兆或千兆网卡,pc服务器或更高档服务器, pentiumⅳ 2.4c 以上cpu,512m以上内存。
扫描器模块:配置同区域管理器。如单独安装扫描器模块,比较高档的pc计算机即可。
本系统各程序可安装在同一台计算机上,也可在不同机器上安装sql数据库、iis服务器、区域管理器、扫描器模块等,此时推荐该计算机内存为1g以上。
建议将区域管理器、扫描器、网页管理平台安装在同一台机器上,作为管理服务器。
条件二:提供数据库、iis服务
操作系统:windows 2000或windows 2003企业版操作系统。
数据库软件:配备sql server或oracle数据库系统,用于移动存储介质管理系统建立管理信息库数据库列表项。
iis服务:配备iis服务器提供web服务,用于安装web网页管理配置平台。如所装操作系统为windows 2003企业版,则需要按照安装光盘中的windows 2003的iis配置说明进行iis配置。
条件三:为本系统提供相应端口
移动存储介质管理系统惠诚智能存储管理系统软件 v1.0区域管理器将占用操作系统88端口,必须确保安装区域管理器的机器该端口不被占用。区域内的防火墙应打开如下端口:80,88, 161,137,22105,2388,2399以及icmp协议端口,同时本机不启用dns服务。
2-2 安装注意事项
软件安装时,推荐将区域管理器、扫描器、数据库安装在同一台机器上(以下称为管理服务器),建议按照下面要求进行移动存储介质管理系统服务器部署、软件安装、客户端注册。
2-2-1 服务器部署
1、移动存储介质管理系统服务器在网络中位置
n 确保该服务器能够ping通所有被管理网络中任意一台客户端机器,同时被管理客户端可以正常连接服务器的tcp的80,88两个端口。不
n 服务器给客户端下达策略的端口为:tcp端口22105。
n 服务器扫描发现客户端利用以下协议及端口:
n icmp协议(发现ip地址存在的其中一种方式);
u netbios协议,udp端口137(为了发现机器名和mac地址);
u snmp协议,tcp端口161(为了发现智能设备如路由器、交换机等);
n 在本地网络中若划分了vlan,或本地网络存在防火墙,请注意上述问题。
2、存在网中子网(如经过地址转换)的网络布置点
对于网络中存在网中网现象,如采用nat地址转化或者代理方式在10.*. *. *网络中接入192.*. *. *网段,这些子网用户的管理方式如下:
情况一:子网有专人管理,并且有独立机房,则应在该子网中安装一套完整的移动存储介质管理系统。
情况二:子网无专人管理,或无独立机房,可采用以下3种方式之一处理
1) 机器数量少的建议统一更改ip为10.*. *. * 网段。
2) 由管理员监督子网中所有机器进行注册并保证不得遗漏。
3) 在该网络中指定一台工作站专门安装区域管理器软件和区域扫描模块,并将区域管理器配置中sql服务器地址指向服务器。
2-2-2 安装和应用
1、必须按照软件安装步骤进行安装
1)确认本机iis服务正常;
2)确认本机sql已正常安装并能正常使用(以本地系统账户方式安装);
3)确认目标安装盘剩余空间不小于10g;
4)请务必按照指定顺序安装各个模块;
5)请在区域扫描模块所在计算机中安装snmp服务;
6)安装完所有系统模块后,请一定按照说明文档进行客户端程序的配置及分发安装。
2、移动存储介质管理系统服务器的安全性问题
服务器安装windows2000 server操作系统(带iis)、ms sql server2000或oracle数据库后,一定要确保对windows2000、sql和ie进行重要安全补丁修补,规范操作系统、数据库的口令和密码设置,保证sql、iis的正常启动运行。
确保本服务器无病毒,同时可配置本服务器网络通讯端口仅打开:80,88,22105。
3、保护机制的应用
对大多数交换机、路由器、非windows设备,需要将其设置为保护状态(避免被阻断导致网络不通),其它如有系统无法识别的重要设备,请在网页管理平台设备信息查询中手动将其设置为保护状态。
2-3 系统组件安装
惠诚智能存储管理系统软件 v1.0安装顺序依次为:
*安装 sql server数据库;
*安装winpcap驱动程序;
*安装并运行环境初始化程序,初始化数据库;
*安装网页平台并进行划分区域,配置区域ip范围、区域管理器参数、设备扫描器参数等(推荐安装在默认路径下);
*安装区域管理器(推荐安装在默认路径下);
*通知所有用户下载并运行注册客户端代理探头程序。
2-3-1 安装sql server或oracle数据库
略,见附录(一)。
2-3-2 安装winpcap驱动模块
在安装页面中选择“安装winpcap驱动模块”按钮,单击“下一步”安装在区域管理器所在计算机上。
2-3-3 初始化数据库
初始化数据库是在sql数据库中初始化建立vrveis数据库并生成系统必需的相关数据表格,在此过程中需要利用本地数据或者调用远程sql数据库,用户需要根据实际安装情况按以下两种方式进行操作:
n 本地sql数据库服务器环境初始化
1)、环境初始化,建立初始数据库
在sql服务器地址栏中添加本地机器ip地址、sql用户名、及sql用户密码。
sql数据库服务器环境初始化
根据数据库认证方式,选择windows身份认证或者sql身份认证(建议选用后者)。
2)、检查数据库初始化是否成功:
检查数据库初始化
当有如图“初始化数据库结构成功”提示框弹出时,说明已成功创建初始化数据库。否则会出现如下图所示提示信息:
初始化数据库失败提示信息
如果出现如上图所示提示信息,用户需要检查所填入的sql数据库ip地址、用户名以及用户密码,重新初始化数据库。
n 远程sql数据库服务器环境初始化(建议非特殊情况不采用远程方式)
1)、输入远程数据库信息,配置sql客户端:安装远程数据库需要首先输入远程数据库ip地址、用户名称、用户密码,然后点击“配置sql客户端”,出现如下界面:
配置sql客户端
2)、在通用栏中,启用tcp/ip协议:在通用栏中,选用tcp/ip协议,并启用,然后单击别名,进行别名添加设置。
启用所选协议
3)、进行客户端别名的添加:单击上图中所圈中的别名,出现如下所示:
对客户端别名的添加
4)、进行网络协议的选择和服务器别名的添加:此时用户需要首先选择网络协议,选定为tcp/ip,服务器别名根据用户需要自由添加,点击确定后完成数据库初始化。
2-3-4 安装web中央管理平台
n 安装web管理平台
此部分程序要求安装在默认路径下,安装过程中请确保信息填写正确,否则,web服务器可能不能正确访问sql server数据库。
n web中央管理平台访问
web管理平台安装以后在iis目录上以虚拟目录的形式存在,虚拟目录名称为vrveis,用户在安装完成以后,用http://web服务器域名(ip)/vrveis的形式访问web管理平台37000dcm威尼斯主页面。默认用户名为admin,密码为123456。(以下的都是用admin登陆进行说明的)审计用户名为audit,默认密码为123456。
如果http://web服务器域名(ip)/vrveis访问无效,则以http://web服务器域名(ip)/vrveis/index.asp方式登录。
2-3-5 安装区域管理器region manage
在web中央管理平台中划分区域及指定区域管理器后(参见web中央管理平台配置)安装区域管理器组件。安装后进行以下两项配置:
n sql客户端配置
如果“区域管理器”没有同sql装在同一台服务器上,需要在如下图所示窗口中将默认网络库选择为“tcp/ip”,使客户端能够远程访问数据库。在“区域管理器”中选择“配置”->“系统配置”,配置sql客户端,也可以通过alt s热键,进入配置。
sql常规配置
上述配置完毕以后,需要重新启动“区域管理器”,使系统生效。
n 区域管理器系统配置
sql服务器配置:进入“系统配置”,逐步输入sql服务器ip地址、用户名称及密码、数据库名称(默认为vrveis),单击“确定”完成sql服务器配置。
区域管理器中sql配置
2-3-6 配置设备扫描器模块region scan
在配置好web防护系统区域及其区域管理器后做以下步骤:
在配置管理里,点击“扫描器配置”可以添加扫描器,配置扫描范围。
区域扫描器配置
填写相关信息之后重新启动区域管理器,程序会自动缩小到系统托盘,表示数据库连接成功,程序运行正常,此时通过上图中“扫描器配置”项来查看扫描器相关运行信息。
2-3-7 客户端注册
(一)客户端注册流程及注册程序配置
n 客户端注册流程
执行注册程序,根据要求填入指定信息,系统自动将所添加信息和系统自动采集获得的设备信息发送到区域管理器,由区域管理器将注册信息处理后存储到sql数据库,在web管理平台中设置的客户端参数策略将由区域扫描器扫描客户端后,发送给客户端驻留程序保存执行。
该客户端驻留程序驻留在系统内部,以服务和进程的方式实时运行,一旦非法移动存储设备非法接入注册计算机,客户端驻留程序立即向web管理平台发送报警数据,同时本机将显示报警信息。
n 修改客户端注册程序配置文件
在web平台中配置管理->注册程序配置。注册程序使用前需要网管人员的配置,主要是设置区域管理器ip地址(注册时客户端信息发向该ip地址所在的区域管理器),如区域管理器为10.1.32.249,配置如下图所示:
注册程序配置
在这里,可以对注册时需要填加的单位、注册密码进行编辑。如下图所示:
单位和部门添加删除
(二)客户端注册方法
客户端注册方法包括网页静态注册、网页动态注册、手动注册、网关重定向强制注册等。
网页静态注册:
静态注册比较简单,客户端只需要将配置好的注册文件上传到公共37000dcm威尼斯主页上即可,做一个链接,访问37000dcm威尼斯主页后手动下载注册。
主要讲述动态注册,这种方法适用于网络用户较多的情况,客户端只要访问网络内公共网站,网页将自动对客户端进行探测,弹出提示窗口,提示用户进行注册。
网页动态注册:
利用网络中已经构建好的内部网站,一方面网络客户端可以通过手动获得注册程序,也可以通过在主网页上加载弹出页面的方式进行提示性注册。本手册将主要介绍后一种方式。
当网络中客户端计算机访问本网络内部网站时,在该37000dcm威尼斯主页代码中加入一段代码(如下)。本代码作用在于首先获得该客户端计算机的ip地址,再读取数据库里面相关ip地址的注册和其它相关信息,如果该ip地址的设备存在,系统会根据其是否完成“注册”、“信任”、“保护”三项操作进行判断,只要满足其中任意一条件,都不会提示注册,否则会弹出窗口提示注册。
网页加载弹出程序方法如下:编辑已有37000dcm威尼斯主页的源程序,在需要加载弹出窗口37000dcm威尼斯主页的源代码中放入以下代码:
注意:需要将其中的http:// 192.168.0.253/vrveis/quest.asp换成http:// 网页平台计算机ip/vrveis/quest.asp即可,此时当网络中计算机访问该内部37000dcm威尼斯主页时,会自动弹出如下提示页面:
网页动态注册
使用网页动态注册时,请管理员通知注册人,在访问本网站时,暂时关闭网页弹出拦截程序或将本网站添加到不拦截列表中。
手动注册:除了自动注册设备外,遇到需要手工注册新增设备时,也可通过web管理平台中数据查询,设备信息查询中的手动添加设备功能,将新增设备的具体信息详细登记填写至数据库中,并将其置为保护设备。
注意:
1.多级级联注册:如果系统为多级级联方式,必须在区域管理器的高级配置中的“系统配置”、“策略配置”选项中的级联选项选中,并正确添加上级管理器的ip地址,各级区域会将自己所管辖的区域管理ip段上报到上级数据库中存储。
此时,当网络中任意一台下级区域客户端计算机访问主网站的同时,会根据最上级区域数据库中存储的各级上报ip段信息,自动将该客户端注册程序文件下载路径指向为自己所处ip段的本级区域注册器上,做到各个区域的客户端计算机在访问同一网站进行注册程序下载时,所下载的客户端程序均为自己所在区域的专用注册程序。
如果网络中内部网站,网络管理员可以通知网络内计算机在本系统web管理平台的登录页面中点击下载注册程序完成系统注册,或者在此页面下按上面的步骤做好弹出提示窗口方式注册。
无论采取哪种方式,在注册成功以后,注册程序除了将主动添加的信息自动上报以外,还会自动收集其它和系统相关的信息进行上报。
客户端和区域管理器连接通讯不正常的情况下,将提示用户“缺省注册成功”,表示客户端探头已经注册完毕,但还没有与区域管理器通讯。当区域扫描器扫到该计算机的ip地址时,才会将添加的信息及系统采集信息上报到区域管理器,存储在数据库当中。
2.本系统使用初期,若要求对下属网络中的计算机信息进行统计、注册、入库,必须在web管理平台中管理器设置项内选中“允许客户端注册”,如注册时需要密码,也需要在web管理平台中进行设置,如下图所示:
允许客户端注册
3-1-1 区域划分
在网页平台安装完毕之后,访问http://web服务器域名(ip)/vrveis访问web管理平台登录界面。系统默认用户为admin,密码为123456,登录后建议管理员修改管理员密码。成功登录后,进入系统的主界面。
n 在所处的ip地址段内,进行区域划分操作
首先进行区域添加和划分操作。
区域划分:单击配置管理里的“区域划分与配置”,对网络中的客户端进行区域划分管理,按照提示依次添加区域、增加区域ip管理范围、分配区域管理器、,并完成系统组件运行参数配置。
具体步骤:
区域描述配置栏中填写好一些必要的与区域相关的信息,如区域机构代码、区域名称、负责人姓名等。其他信息可以酌情依照实际用途填写。
本区域ip划分:根据用户实际需要在下图所示的文本框中填入需要管辖的ip地址。
其中保留ip段为该网段目前没有网络设备存在的网段,如有设备存在,则会产生报警信息。
区域划分与配置
下级区域划分:在已有区域页面中点击“增加下级区域”按钮进行下级区域添加,如集团总部下属总裁办、行政部、财务部等。
3-1-2 区域管理器配置
区域管理器:区域管理器为系统策略控制及数据接收处理中心,具有控制完成系统相关的动作行为处理功能;同时与本级数据库系统连接,统一接收注册程序提供的信息,将用户信息(填写的计算机使用人姓名、联系电话、e-mail等,计算机ip、mac地址、硬盘、cpu、内存等其它硬件信息均为自动采集)存入数据库。
根据本区域客户端ip管理情况确定对ip地址的管理方式,若选择ip、mac地址绑定,需要在静态ip环境下进行设置。
允许客户端控头升级:设置本区域管理器管理范围内的客户端的升级操作。
设置vpn网络虚拟管理器ip:添加vpn虚拟服务器的ip地址。
管理器标识:管理器的标记,当服务器迁移时需要设置与之相同的管理器标识。
允许客户端注册:任意一台在区域范围内的客户端都可以在服务器上注册。
管理器配置同步:当选中“下级区域”时下级区域的配置应该和上级区域管理器的配置相同,当选中“全部区域”时是指下面的任意级联区域都要和区域管理器的配置同步。
区域管理器参数设置
区域管理器系统配置:设置完当前页面时可以配置管理器,在桌面双击“区域管理器”快捷方式弹出如下界面:
区域管理器系统配置
n 进行sql服务器配置:进入“系统配置”,逐步输入sql服务器ip地址、用户名称及密码、数据库名称(默认为vrveis),单击“确定”完成sql服务器配置。
sql服务器配置
管理器配置:本软件默认机器操作系统88端口,若其它应用程序占用该端口,将自动更改为188。
如果区域管理器应用于多级管理(每级都有独立的sql server和相应的系统)的级联构架体系,其上级还有区域管理器的情况下,当前区域管理器需要将所有信息上报到上级管理器。
区域管理器支持多级级联,如国家、省、市、县多级规模网络管理构架,下属区域管理器将其所有计算机报警信息转报到上级数据库。
注:需要把“上报给上级管理器”√上,输入上级管理器地址。
升级配置:用于配置区域管理器的自动升级,升级服务器地址为上级区域管理器ip。
区域管理器配置-高级设置
系统配置:
锁定下级策略是指下级不能够更改策略信息。
上报给上级区域管理器是指下级的策略,阻断,违规信息上报给上级区域管理器,在此处打上“√”添加上上级管理器地址,配置级联。
区域管理器
策略配置:系统支持对各种文件的分发,在web中央管理平台进行软件分发操作前,必须对本项进行配置。
默认将分发文件放在c:\vrv\regionmanage\distribute目录下,管理员可根据需要自行更改路径,同时,修改本路径后,补丁下载存放的位置也会相应改变。
策略配置
3-1-3 扫描器配置
点击增加扫描器设置扫描器扫描网络ip范围。
机构代码:一般为阿拉伯数字,由用户单位根据管理要求进行设定。
扫描间隔:根据管理ip范围大小进行设置(建议设置为10分钟)。
注:扫描器配合区域管理器进行工作,扫描器的扫描范围不可能超过它的区域管理器管理的ip范围。
扫描器除了指定扫描的ip范围外还能够指定排除不扫描的地址范围,如有某些网段不需要扫描器发现设备,为缩短扫描时间,可在扫描器设置中增加禁止扫描地址段的设置。
扫描器高级配置:
扫描器配置-系统配置
扫描器高级配置——系统配置:
扫描频率设定:用户可以根据网络中网络带宽占用情况,灵活设置扫描频率,同样可以选择是否“使用snmp扫描”扫描方式,如果选择“使用snmp扫描”,则系统能够自动对网络设备(例如交换机、路由器、网络打印机等)进行扫描,并自动登记到设备列表库中。
阻断选项:如果用户选择“扫描器阻断”,此时可采取“轻量级阻断”和“重量级阻断”两种方式。
轻量级阻断:阻断计算机向网络中广播一个arp请求报文,将被阻断计算机的ip地址及对应的假mac地址发送给网络内所有的计算机,每台计算机收到请求后便会对本地的arp缓存进行更新,将收到的请求中的ip和对应的假mac地址存储在arp缓存中。这样对于网络中的计算机看来,被阻断计算机的ip地址没有变化,而它的mac地址已经不是原来那个了。由于局域网的网络通信不是根据ip地址进行,而是按照mac地址进行传输。因此,被阻断计算机便接收不到网络中计算机(不含阻断计算机)传送过来的信息。
重量级阻断:阻断计算机冒充网络中的其他计算机(本网段1-255)给被阻断计算机发送定向arp应答报文,被阻断计算机收到请求后便会对本地的arp缓存进行更新,将收到的请求中的ip和对应的假mac地址存储在arp缓存中。这样对于被阻断计算机看来,网络中的计算机的ip地址没有变化,而它们的mac地址已经不是原来那个了。因此,被阻断计算机便不能向网络中的计算机(不含阻断计算机)传送信息。
扫描器高级配置——交换机扫描配置:
交换机扫描用于扫描发现交换机,进行拓扑发现。snmp团体名:根据拓扑管理需要输入网络中所有网络设备的snmp读团体名用“;”隔开。
交换机扫描配置
如上图,配置扫描间隔时间一般设成5-10分钟,ip范围设置需要扫描的ip段,snmp读团体名称是根据交换机口令设置的。
3-1-4 注册程序配置
控制页面如下:管理员可以通过设置来按照需求来配置客户端注册程序,让用户填入相应的信息,方便以后管理。其中的项有启用、必选、还可以对输入数据进行控制,后面的功能设置必须对每个功能模块启用。
注册单位与注册部门产生联动 当对单位和注册部门设置为必填和仅选择这时客户端注册程序,对单位和部门的填写只能按照管理员的设置来选择.不能手动填写。
使用静默注册:以上的设置都不生效这时客户端注册程序只需选择下载运行就可以。
注册程序会自己上报终端的计算机名和ip地址mac地址。
选择保存修改点击打包注册程序这时完成客户端注册程序配置。
3-1-6 自定义组分配与管理
自定义组用来对网络中特定或者有特殊用途的机器进行编组,以便采取不同的管理手段,方便管理员的管理。该组的客户端成员可以由管理员根据某查询条件而查得的计算机导入自定义组。如下图所示:
自定义组分配与管理
1. 首先创建分组,点击创建下级组:首先创建分组,点击创建下级组,添加分组名称,分组描述,保存设置。
创建分组
2. 向组中添加设备:点击添加设备,弹出如下图,可以按设备查找,按ip查找,按操作系统查找,选中一个点击添加,然后点击查询,导入组即可。同时还可以通过设备信息查询添加设备
查询设备
4-1 usb标签制作
4-1-1 usb标签添加
可初始化u盘密码的设备id指定
在分配usb标签之前,请预先指定5台计算机(或5台以内,操作系统为windows平台)作为密码还原计算机,通过专用程序获取计算机的设备id码,以便绑定设备id码信息到移动存储设备中。一旦密码遗忘,可以在上述5台计算机上恢复初始密码。
具体步骤如下:登陆系统〉〉移动存储〉〉,选择admin的“设置”,如下图,在上述5台计算机上分别运行devicenumber.exe(按照页面提示获取该程序),填写获取的可初始化u盘密码的设备id保存。
密码还原机设备id获取
4-1-2 usb标签分配
标签类型:标签有普通标签和!safe6两种。
全局参数作用:系统标签:如07099c61-3dffd160-5dc19af1
建议标签:如07099c61-3dffd160-5dc19af1
全局参数
全局参数根据服务器特征产生,用于区别在不同服务器上制作的移动存储设备,一般情况下,系统标签和建议标签一致,如果服务器更换(ip、服务器硬件),则系统标签为当前服务器的标签,建议标签自动转换为原来系统标签,此时建议将建议标签内容填入当前系统标签位置保存,否则,带有以前服务器上标签的移动存储设备同现有服务器标签安全策略不兼容。
普通标签作用:用于对移动存储设备作标记,在外网未注册计算机不做任何判断,可以任意使用,仅在内网注册计算机上供认证识别用,移动存储设备标签同注册计算机获取的标签授权一致,该设备方可以使用,否则根据管理员设置进行报警处理。
!safe6标签作用:用于对移动存储设备的分区标签管理,在对移动存储设备分区的同时,进行标签写入,并作扇区加密处理。!safe6设备标签同注册计算机获得的标签授权顺序匹配后,用户才能够按照设定的权限进行对!safe6设备数据区登陆访问。
标签制订:以!safe6标签为例,某公司下属10个部门,一种管理方法是每个部门可以有单独的标签(如信息中心、销售部、办公室、财务部、市场部等),另一种是全公司设置特定的几种标签(如安全策略一标签、安全策略二标签),通过对计算机注册客户端程序的标签安全策略的发送,让计算机按照预定义的安全策略来识别带有不同的标签的移动存储设备,并进行访问控制(读写、只读、禁止使用、报警等)。
先添加备用标签,再分配给网管,并保存,这样在使用usbtool.exe时,能够获得上述预分配的标签,按照不同管理需要对移动存储设备进行标签写入。
4-2
usbtool.exe存放在网页管理平台vrveis文件目录的download下,下载后可以在任何计算机上(建议在windows2000、xp等操作系统)对移动存储设备执行标签写入操作。
4-2-1 功能
1)标签写入:将管理员预定的各种安全标签写到普通移动存储设备扇区,并进行加密,确保对专用移动存储设备的认证识别。
2)数据分区:将普通移动存储设备划分为交换区和保密区,自由设置分区容量大小。
3)设备加密:对移动存储设备数据区进行aes128位加密,确保数据区内数据的安全。
4)添加启动区:根据管理员需要,对移动存储设备添加启动程序,方便对设备的访问。
4-2-2 专用移动存储设备类型
缺省三个分区、启动区与交换区二合一、整盘加密。
缺省三个分区:该类型盘具有启动区、交换区、保密区;启动区带有启动程序,在未注册计算机上通过该启动程序登陆交换区。
启动区与交换区二合一:该类型盘有两个分区,交换区中带有启动程序。
整盘加密:该类型盘只有一个数据区——保密区。
启动区的大小为10m(默认),同滑动按钮实现对交换区和保密区的分区大小的调节。
密码最大错误次数用于分别限制对两个区的访问,一旦输入的错误密码次数超过指定数值,专用移动存储设备将自动锁定。
交换区按扇区加密:对交换区按照扇区进行磁盘加密,默认只对保密区作加密。
显示格式化窗口:在进行分区划分时,显示对分区的格式化过程窗口,支持对磁盘格式(如fat、fat32、ntfs)的选择。
支持灾难恢复:支持对专用移动存储设备密码的初始化还原,如不选择,在密码遗忘情况下,该盘将作废,需要做低级格式化处理,所有数据无法还原。
初始密码强制修改:支持移动存储设备第一次使用时强制修改密码,如果不修改无法使用。
报警信息设置:该项用于整盘加密的情况,当设置该项时,一旦制作的整盘加密的移动存储设备在外网上时,该盘将告警设置的信息。
在制作专用移动存储设备时,提醒“数据信息上传至服务器成功”,作用在于,将该专用移动存储设备的标签信息传送到服务器备份,以便标签信息被人为毁坏或无意删除时可以恢复。
专用移动存储设备交换区和保密区初次登陆时密码均为:0000aaaa。
注:对160g以上大容量移动硬盘制作专用移动存储设备时,需要预先在操作系统下对该硬盘划分为2个区,然后再进行打标签操作。
4-2-3 专用移动存储设备制作过程
1、获取制作工具:登陆网页管理平台,进入“移动存储”,选择“usb标签制作工具”,下载“usbtool.exe”。
2、登陆制作工具:执行“usbtool.exe”,输入区域管理器所在计算机的ip地址,输入admin用户,输入密码登陆(usbtool同区域管理器连通)。
usbtool登陆
3、选择需要的型号:登陆后,插入普通移动存储设备,出现盘符,选择该盘符,填写部门、拥有者、设备编号(自动编号不需要填写)、标签等。
最后选择“写入标签”,如图,选择需要制作的安全盘的类型。
分区格式化
4、配置设备参数:参数作用详见“2)专用移动存储设备类型”。
5、分区格式化:按照步骤对不同分区格式化,多个分区格式化将会出现多次格式化窗口。
6、标签验证、标签清除:标签写入成功后,可以在usbtool.exe主界面中进行标签验证,并进行标签清除。
7、移动硬盘标签制作方法见附录(三)。
4-3 usb标签制作历史查询
usb标签制作历史查询用于查询已经做标签处理的usb移动存储设备信息,便于管理员对网络中使用的认证标签进行状态汇总。
查询方式支持:所属部门、拥有人、u盘标签等(u盘编号暂不支持手动编号查询)。
标签历史查询
4-4 移动存储审计策略
移动存储审计策略用于配置注册计算机的专用移动存储管理策略,管理员设定专用移动存储设备的许可标签、使用权限、报警信息等策略内容,策略下发终端后执行,注册终端根据策略对接入的移动存储设备进行条件判断控制。
功能说明:
1)普通u盘控制:不允许使用、允许只读方式使用、允许读写方式使用。
该项用来控制普通u盘的操作使用,带标签的本系统移动存储设备属于普通u盘的一种,因此,普通标签和!safe6标签移动存储设备的使用均需要开启“允许读写方式使用”权限。
2)启用u盘标签认证:网络中存在标签移动存储设备,需要开启该项。未经过标签制作工具分区的u盘以及安全u盘,做为普通盘处理,默认为一个“交换区”(相对于!safe6标签的交换区和保密区)。
3)认证标签列表(添加标签):选择设定的移动存储标签类型,例如标签1、标签2、标签3三种标签,分别对应于信息中心、销售部、办公室的标签移动存储设备。
针对信息中心的所有客户端制订一条策略,设置本部门的标签设备在本部门计算机上的使用权限,设置销售部的标签设备在信息中心计算机上的使用权限,设置办公室的标签设备在信息中心计算机上的使用权限,控制级别到数据区(交换区、保密区)。策略制订好以后,发送到信息中心所有ip计算机执行。
4)本单位标签认证失败:本单位标签,是指在同一套管理服务器系统(全局标签)上制作的不同类型标签移动存储设备,如各部门使用不同标签,这些标签属于本单位标签,用于识别对不同部门的设备使用权限管理。
5)外单位标签认证失败:外单位标签,是指不在同一套管理服务器系统(全局标签)上制作的不同类型标签的移动存储设备,即使标签一样,由于全局标签不同,也无法使用。
6)软盘使用控制、光盘使用控制:针对usb类型的移动存储设备进行读写控制,usb软盘、usb光盘刻录机等均可以将数据拷出。
7)审计过滤:针对特定类型的文件进行审计,不填写默认为全部审计。
8)登陆交换区后自动杀毒:针对!safe6标签设备插入计算机后自动调用操作系统的杀毒软件对交换区进行病毒查杀,杀毒软件支持动态添加(基本如瑞星、kill)。
9)例外判断:针对特定移动存储设备如公章系统盘,不进行访问控制判断,其他类似,只需要填写特征文件名即可。
10)中间机策略:中间机针对存在整盘加密策略的计算机和外来移动存储设备的情况提供数据交换,通过策略内容逻辑的组合设计来实现。
4-5 移动存储审计数据
默认当前页面显示“今日数据”,如果需要查找所有数据请选择“以往数据”。在数据查询时:选择需要查询的数据类型,如“移动设备接入”,“读取移动设备”,“写入移动设备”,分别显示查询项。
审计数据查询
审计描述:基于盘号(手动编号)、基于拷贝内容进行设备追踪查询。
基于编号的查询:输入审计描述的盘号1287661855,选择查询。
基于编号查询
基于内容查询:输入审计描述的内容,如“日报”。
基于内容的查询
其他查询:按照需要查询的条件填写。
4-6 其它通用策略管理
消息推送策略:向客户端发送消息通知,请求重新注册信息、消息通知并确认回馈,要求升级或同步终端数据等消息。
消息推送
终端设置策略:设置终端计算机agent工作特性。
终端特性设置:
同步终端时间:设置客户端时间同服务器时间同步。
终端右下角图标显示:将ico格式图标放在指定目录下,重新启动后将在右下角托盘显示。
移动到图标显示文字:鼠标移动到右下角ico格式图标显示提示信息。
客户端提示信息标题:双击右下角ico图标时显示消息框的标题。
终端数据采集:
策略更新周期:客户端获取的策略同数据库最新的策略比较更新周期。
审计日志上报间隔:客户端审计日志上报到服务器的时间间隔。
终端管理设置
管理升级策略:控制网络中注册客户端agent文件升级,获得该策略的计算机可以升级,主要用于升级测试或者全网渐缓式升级的管理。
:用户可以查看策略的下发情况,查询下载策略的设备ip及名称和下载时间等信息。
5-1系统用户分配与管理
(1)用户权限分配:“用户管理”操作功能为不同级区域网络管理员提供权限设定,具有可靠性、管理性强,支持统一、多级监控模式。提供超级用户和普通用户两种权限,分配对不同区域的管理权限。如下图所示:可在其左侧的网页框中实现增加用户的操作。
用户权限分配
用户包括超级用户、普通用户和审计用户三种权限,普通用户由超级用户开设并分配用户及权限。
超级用户权限:添加用户、删除用户、修改密码、给普通用户分配权限、进行控制管理等。
普通用户权限:由超级用户开设并分配用户及权限。设定权限时根据工作需要,规定该用户所能操作的策略、管理的区域及查看的信息。设定权限时还可以根据工作需要设定用户是否是只读用户(只能看数据,不能改数据),还是有读写权限。
审计用户:提供对系统管理用户的操作行为记录,记录管理员操作执行的策略详细内容。
5-2用户设置
ip访问控制列表:添加仅允许来自以下ip列表的访问登陆(空白为允许所有ip访问)。
用户访问权限设置
5-3数据重整
类似于刷新功能,每隔一段时间对本系统数据库进行重新整理,可针对重复、冗余或无效的数据进行重整,包括ip和mac重复、ip不在区域范围内、长时间未使用、区域ip范围改变等情况(数据整理操作建议二周一次)。如下图所示:
数据重整
5-4客户端卸载
需要卸载客户端探头程序时,运行安装程序包中的探头卸载程序uninstalledp.exe如图:
客户端卸载
记录下序列号,并将序列号复制到如下图的第一个方框中:
查看卸载密码
点击查看将会产生一个卸载密码,将其输入卸载密码框中点击卸载即可。
5-5安全盘密码还原
一旦专用移动存储设备密码遗忘,及时联系管理员,由管理员在指定的5台计算机上运行usbtool.exe,执行密码初始化操作(初始密码0000aaaa)。
5-6客户端阻断
5-6-1 扫描器配置
扫描器配置是在web管理平台界面下完成。步骤如下:配置管理->扫描器配置->配置。如下图:设置区域扫描器系统配置。
扫描器阻断选择
注意:“使用snmp扫描”中。设备默认口令为public,在配置时依实际情况而定,如果有多个snmp口令存在与网络中,那么把口令全部写到输入框中,口令间用“;”分隔;选择“snmp重新生效”可以立刻重新进行一次snmp扫描。
系统管理员通过阻断功能实现针对网络中的任意一台计算机进行内部网络的阻断,从而能够保证网络的运行安全,可选择通过配置阻断策略实现。
5-6-2 自动阻断
系统各区域“区域信息描述”中阻断实现:
选择要进行阻断的系统区域名称,点击“区域描述”菜单进入到“区域详细描述及修改”页面中,可针对“发现电脑设备异常后执行的动作”进行如图所示的几种阻断策略的选择:
区域划分中的阻断设定
注意:此时如果选中的执行动作为“默认”,则此区域的阻断策略,采用和本区域的区域管理器已经设置好的相同策略;如果系统管理员进行了其它选择,则系统将会执行其所选中的策略进行阻断操作。
区域管理器阻断配置:没有注册则阻断,网络中大部分计算机注册完毕后,可以开启本功能。
5-6-3 手动阻断
系统除整体区域应用阻断策略以外,系统管理员还可通过手动设置对网络中的任意一台计算机采取单独阻断策略,其方法为进入数据查询里面的设备列表页面中,查看其是否被设为阻断的状态,或者单击其设备信息,进入到下一级页面中对其阻断状态的进行更改,实现策略的应用。
客户端数据查询中的阻断设定
7-1 数据库数据备份及还原
1)点击任务栏上右下脚的sql server服务管理器,将正在运行的数据库服务停止;
2)确认安装sql server的路径,默认安装路径为:c:\programfiles\microsoftsqlserver\mssql\data中,找到此目录下vrveis.ldf和vrveis.mdf两个文件,将此两个文件拷贝到另外的路径下完成数据备份;
3)如果系统升级不成功,造成数据损坏,请按照以上步骤进行相反操作,将vrveis.ldf和 vrveis.mdf两个文件拷贝到sql server 安装路径下,例如:c:\program files\microsoft sql server\mssql\data 中即可。如vrveis.1df过大,可通过正常运行中的区域管理器中的清空数据库事务日志进行处理。
7-2 系统组件升级
获取升级组件:upweb、upmanage二个组件,或者在级联区域管理系统配置中设置自动探测升级文件下在路径为c:\vrv\vrveis\update,正常升级一般最好使区域管理器、区域扫描器、web网页管理平台都使用默认安装路径。
7-2-1 区域管理器、扫描器模块升级
双击升级文件upmanage.exe,此时升级文件会将区域管理器自动退出,并在升级完成后自动启动区域管理器与扫描器模块。
7-2-2 升级网页管理平台
点击升级文件upweb.exe,此时能够把网页平台自动升级更新为最新版本;必要时,可能会发布fullupweb.exe升级文件,主要由于中间多次没有升级,进行完全升级。
完成上述工作后,必须访问安装目录,进入download目录,确认devieceregist.exe文件中regclient.ini文件的regip地址为区域管理器所在ip地址。
7-2-3 客户端注册程序升级
网络管理员在完成网页管理平台的升级工作后,需要在网页管理平台上“区域管理器”详细配置中将“允许客户端升级”选项选中即可。
此时客户端探头通过以下两种方式升级:
a、扫描器扫描到客户端机器的同时对探头进行自动探测升级;
b、客户端计算机每次重新启动后,会在第5分钟时主动进行探头自动升级,否则会在持续开机的过程中每24小时自动升级一次。
7-2-4 检查系统是否升级成功
1)区域管理器和区域扫描器模块的升级检查:找到安装路径下的可执行文件regionmanage.exe,右键单击后察看其属性,在选项卡上选择“版本”,此时文件版本号应该显示为最新版本号码,否则说明升级没有成功;
2)网页管理平台升级检查:打开并进入到网页管理平台,察看系统帮助菜单中“关于”选项,弹出的窗口会显示出当前的网页平台的版本号码;
3)客户端注册程序升级检查:网络管理员通过web页面中的查询功能对版本号进行查询统计,完成客户端注册程序的升级检查。
注:在此过程中必须注意对sql数据库的备份,如果升级失败,请进行数据的备份还原工作,保证原始数据不能丢失。
7-3 级联管理模式升级及配置
在级联管理方式中,其上级区域升级方法同单一区域管理模式升级方法,其它各级区域均不需要进行手动升级。在上级手动升级完毕以后,需要系统管理员将3个升级文件手动放在c:\vrv\vrveis\update目录下,为下级区域的自动升级提供链接文件。
下级区域网络管理人员在系统安装成功完成后,需要进入到web管理平台,点击“系统配置”按钮,在弹出的系统配置界面中将“上报给上级管理器”前的复选框选中,在“上级管理器”地址一栏中添加多级管理模式上级区域管理器的ip地址,其它选项均选择为默认即可,此时下面的“升级配置”窗口中的“升级服务器地址”会同时自动发生改变,同时系统会每间隔一段时间对上级区域管理器进行一次探测,自动完成对系统升级即可。此时,升级服务器地址会改变如下图所示:
级联管理模式升级
下级区域会根据图中所示的路径自动连接到上一级区域管理器完成自动升级操作。
注:系统软件必须默认安装在c盘中,才能实现自动升级,此时只需将升级路径设置正确,其它升级工作自动执行。