第一章 系統概述
惠誠智能存儲管理(lǐ)系統軟件是根據網絡及移動存儲管理(lǐ)需求,滿足網絡及移動存儲介質日常安全管理(lǐ)而設計(jì)的管理(lǐ)軟件。惠誠智能存儲管理(lǐ)系統軟件 V1.0綜合應用底層驅動、扇區(qū)加密、進程守護等多(duō)種安全防護技(jì)術(shù),磁盤文件底層驅動技(jì)術(shù)對普通(tōng)移動存儲設備(主要USB類型)作(zuò)唯一性标簽處理(lǐ), AES128位高(gāo)強度算(suàn)法對磁盤進行(xíng)數(shù)據區(qū)劃分并作(zuò)加密處理(lǐ),标簽移動存儲介質結合受控客戶端主機的安全訪問控制(zhì)策略作(zuò)匹配授權,确保标簽移動存儲介質使用的安全性與合法性。
惠誠智能存儲管理(lǐ)系統軟件 V1.0系統通(tōng)過集中的注冊管理(lǐ)平台對 USB存儲設備作(zuò)嚴格的設備介質身份認證、數(shù)據信息重構、數(shù)據加密等一系列安全防護操作(zuò),針對辦公網內(nèi)計(jì)算(suàn)機USB存儲設備的使用和(hé)管理(lǐ)建立了完整的防範解決體(tǐ)系,系統采用C/S和(hé)B/S混合式架構,由服務器(qì)端和(hé)客戶端構成。
惠誠智能存儲管理(lǐ)系統軟件 V1.0客戶端主機通(tōng)過移動存儲介質的産品唯一生(shēng)命特征識别碼和(hé)硬盤唯一碼結合進行(xíng)識别,當主機數(shù)據庫和(hé)移動存儲介質中的認證信息相同時(shí),接受其入網使用;未經注冊的移動存儲設備将會(huì)自動被系統強制(zhì)卸載,實現單位U盤外出使用需要到單位保密或網絡管理(lǐ)員處登記,否則在外部無法打開(kāi)。
惠誠智能存儲管理(lǐ)系統軟件 V1.0在解決安全方面的問題,同時(shí)還(hái)兼顧工作(zuò)的實際,力求使用的方便、簡潔與高(gāo)效。
1-1 系統組成
◆ 系統服務器(qì)端:惠誠智能存儲管理(lǐ)系統軟件 V1.0系統管理(lǐ)中心,自動發現網絡中的終端計(jì)算(suàn)機,并檢測終端計(jì)算(suàn)機是否安裝系統客戶端程序,管理(lǐ)中心內(nèi)置移動存儲管理(lǐ)策略中心和(hé)報警中心,提供對網絡終端的分組管理(lǐ)設置。
惠誠智能存儲管理(lǐ)系統軟件 V1.0系統服務器(qì)端由4個(gè)組件構成: SQL Server管理(lǐ)信息庫(安裝包:環境初始化程序)、Web中央管理(lǐ)配置平台(安裝包:網頁管理(lǐ)平台)、區(qū)域管理(lǐ)器(qì)(安裝包:Region Manage,原區(qū)域掃描器(qì)已作(zuò)為(wèi)模塊集成到區(qū)域管理(lǐ)器(qì))、WinPcap程序。
環境初始化程序:Server管理(lǐ)信息庫,建立移動存儲介質管理(lǐ)系統的初始化數(shù)據庫。包括:客戶端主機設備屬性信息、區(qū)域管理(lǐ)器(qì)信息、設備掃描器(qì)信息、區(qū)域管理(lǐ)範圍信息、注冊(未注冊)機器(qì)信息、設備屬性變化信息、報警信息等。掃描器(qì)将設備最新狀态信息同數(shù)據庫中原有(yǒu)信息進行(xíng)遍曆搜索對比,根據審計(jì)要求在管理(lǐ)平台上(shàng)報警。
Web管理(lǐ)平台:Web中央管理(lǐ)配置平台,本系統的管理(lǐ)配置中心。包括區(qū)域管理(lǐ)器(qì)、掃描器(qì)、注冊客戶端的功能參數(shù)設定,網絡設備信息發現、系統應用策略制(zhì)訂、報警信息顯示、定義任務功能制(zhì)訂、系統用戶維護等配置操作(zuò)。
Region Manage:區(qū)域管理(lǐ)器(qì),系統數(shù)據處理(lǐ)中心。與管理(lǐ)信息數(shù)據庫通(tōng)訊,接收注冊程序提供的用戶信息,将用戶信息(用戶填寫的物理(lǐ)信息和(hé)系統自動采集的硬件信息)并行(xíng)存入數(shù)據庫;接受來(lái)自控制(zhì)台的命令操作(zuò),發送到客戶端、掃描器(qì)執行(xíng)。
對于存在多(duō)級管理(lǐ)要求的廣域網,網絡中可(kě)以存在多(duō)個(gè)區(qū)域管理(lǐ)器(qì),系統數(shù)據提供逐級上(shàng)報(轉發)模式。
區(qū)域管理(lǐ)器(qì)內(nèi)置網絡掃描器(qì),掃描器(qì)将設備最新狀态信息報送至區(qū)域管理(lǐ)器(qì)。掃描器(qì)配合區(qū)域管理(lǐ)器(qì)進行(xíng)工作(zuò),可(kě)以在分級模式下使用,掃描器(qì)隻依據Web管理(lǐ)平台中配置的工作(zuò)範圍進行(xíng)掃描,超越其範圍,将不負責執行(xíng)。
WinPcap程序:嗅探驅動軟件,配合區(qū)域管理(lǐ)器(qì)工作(zuò)。
◆ 專用認證工具:惠誠智能存儲管理(lǐ)系統軟件 V1.0移動存儲設備認證程序,用于管理(lǐ)員對網絡中移動存儲介質進行(xíng)集中注冊和(hé)授權管理(lǐ),對普通(tōng)移動存儲設備加載認證标簽,同時(shí)劃分數(shù)據區(qū)(交換區(qū)、保密區(qū)、啓動區(qū)),将使用人(rén)、使用人(rén)部門(mén)、設備編号等信息寫入移動存儲設備,完成普通(tōng)移動存儲設備到專用移動存儲設備(安全U盤、安全移動硬盤)的技(jì)術(shù)處理(lǐ)。
專用認證工具還(hái)用于專用專用移動存儲設備密碼遺忘後的密碼還(hái)原操作(zuò)。
認證工具程序可(kě)以在網管員主機上(shàng)(或任意主機,但(dàn)必須由管理(lǐ)員控制(zhì))使用,使用時(shí)必須能夠同系統服務器(qì)連接,方可(kě)對移動存儲設備進行(xíng)認證管理(lǐ)工作(zuò)。
◆ 系統客戶端注冊程序(Agent):安裝在終端計(jì)算(suàn)機,接受系統管理(lǐ)中心分發的策略,根據接受策略實時(shí)監控接入終端計(jì)算(suàn)機移動存儲設備的操作(zuò)行(xíng)為(wèi)和(hé)狀态,并進行(xíng)管理(lǐ)或者控制(zhì)。
系統客戶端注冊程序(Agent)作(zuò)用:用戶填寫本機信息,填寫必要信息後上(shàng)報區(qū)域管理(lǐ)器(qì)。注冊程序自動探測系統硬件信息,連同用戶填寫的信息一同上(shàng)報區(qū)域管理(lǐ)器(qì)。用戶将本機注冊信息發送到區(qū)域管理(lǐ)器(qì)後,區(qū)域管理(lǐ)器(qì)自動将客戶端駐留程序應用策略發送給用戶,并自動更新。
客戶端駐留程序功能:
1、進行(xíng)本機IP/MAC、資産等信息采集;
2、本機移動存儲設備使用狀況監測;
3、接受Web管理(lǐ)平台的管理(lǐ)策略命令,并執行(xíng);
4、報送本機移動存儲設備審計(jì)信息到控制(zhì)台;
5、阻斷本機聯網行(xíng)為(wèi)。
注:區(qū)域管理(lǐ)器(qì)(Region Manage)、區(qū)域掃描器(qì)模塊(Region scan)、注冊程序系統的參數(shù)配置集中體(tǐ)現在網頁管理(lǐ)平台操作(zuò)上(shàng),上(shàng)述三部分功能參數(shù)值統一在網頁管理(lǐ)平台中進行(xíng)配置。區(qū)域管理(lǐ)器(qì)(Region Manage)、掃描器(qì)模塊(Region scan)部分參數(shù)在自身組件中配置。
1-2 系統構架
移動存儲介質管理(lǐ)系統惠誠智能存儲管理(lǐ)系統軟件 V1.0應用于局域網、廣域網構架,支持跨網段、跨地域的內(nèi)網客戶端移動存儲設備介質的管理(lǐ)和(hé)審計(jì),系統應用主要分為(wèi)以下兩種構架:
基本構架:對于一般網絡(例如1個(gè)C類地址或若幹個(gè)C類地址的局域網範圍),可(kě)使用一套本系統軟件,集中管理(lǐ)所屬區(qū)域內(nèi)的所有(yǒu)設備。
擴展構架:對于大(dà)規模的多(duō)個(gè)局域網或者跨地域廣域網(包括基于國家(jiā)、省、市、縣等多(duō)級管理(lǐ)模式的網絡結構),可(kě)使用本系統提供的多(duō)區(qū)域集中管理(lǐ)構架,即一個(gè)或多(duō)個(gè)網段各擁有(yǒu)一套獨立移動存儲介質管理(lǐ)系統的同時(shí),将本級所有(yǒu)設備信息再轉發給上(shàng)級管理(lǐ)數(shù)據庫,使得(de)上(shàng)一級管理(lǐ)人(rén)員對整個(gè)網絡的移動存儲設備使用狀況也能夠完全掌握。
移動存儲介質管理(lǐ)系統惠誠智能存儲管理(lǐ)系統軟件 V1.0應用拓撲
第二章 系統安裝
2-1 安裝環境要求
條件一:硬件環境
Server數(shù)據庫服務器(qì):用于安裝惠誠智能存儲管理(lǐ)系統軟件 V1.0系統管理(lǐ)信息數(shù)據庫。PC服務器(qì)或更高(gāo)檔服務器(qì), PentiumⅣ 2.4C 以上(shàng)CPU,512M以上(shàng)內(nèi)存。
區(qū)域管理(lǐ)器(qì):用于安裝區(qū)域管理(lǐ)器(qì)程序。百兆或千兆網卡,PC服務器(qì)或更高(gāo)檔服務器(qì), PentiumⅣ 2.4C 以上(shàng)CPU,512M以上(shàng)內(nèi)存。
掃描器(qì)模塊:配置同區(qū)域管理(lǐ)器(qì)。如單獨安裝掃描器(qì)模塊,比較高(gāo)檔的PC計(jì)算(suàn)機即可(kě)。
本系統各程序可(kě)安裝在同一台計(jì)算(suàn)機上(shàng),也可(kě)在不同機器(qì)上(shàng)安裝SQL數(shù)據庫、IIS服務器(qì)、區(qū)域管理(lǐ)器(qì)、掃描器(qì)模塊等,此時(shí)推薦該計(jì)算(suàn)機內(nèi)存為(wèi)1G以上(shàng)。
建議将區(qū)域管理(lǐ)器(qì)、掃描器(qì)、網頁管理(lǐ)平台安裝在同一台機器(qì)上(shàng),作(zuò)為(wèi)管理(lǐ)服務器(qì)。
條件二:提供數(shù)據庫、IIS服務
操作(zuò)系統:Windows 2000或Windows 2003企業版操作(zuò)系統。
數(shù)據庫軟件:配備SQL Server或Oracle數(shù)據庫系統,用于移動存儲介質管理(lǐ)系統建立管理(lǐ)信息庫數(shù)據庫列表項。
IIS服務:配備IIS服務器(qì)提供Web服務,用于安裝Web網頁管理(lǐ)配置平台。如所裝操作(zuò)系統為(wèi)Windows 2003企業版,則需要按照安裝光盤中的Windows 2003的IIS配置說明(míng)進行(xíng)IIS配置。
條件三:為(wèi)本系統提供相應端口
移動存儲介質管理(lǐ)系統惠誠智能存儲管理(lǐ)系統軟件 V1.0區(qū)域管理(lǐ)器(qì)将占用操作(zuò)系統88端口,必須确保安裝區(qū)域管理(lǐ)器(qì)的機器(qì)該端口不被占用。區(qū)域內(nèi)的防火(huǒ)牆應打開(kāi)如下端口:80,88, 161,137,22105,2388,2399以及ICMP協議端口,同時(shí)本機不啓用DNS服務。
2-2 安裝注意事項
軟件安裝時(shí),推薦将區(qū)域管理(lǐ)器(qì)、掃描器(qì)、數(shù)據庫安裝在同一台機器(qì)上(shàng)(以下稱為(wèi)管理(lǐ)服務器(qì)),建議按照下面要求進行(xíng)移動存儲介質管理(lǐ)系統服務器(qì)部署、軟件安裝、客戶端注冊。
2-2-1 服務器(qì)部署
n 确保該服務器(qì)能夠ping通(tōng)所有(yǒu)被管理(lǐ)網絡中任意一台客戶端機器(qì),同時(shí)被管理(lǐ)客戶端可(kě)以正常連接服務器(qì)的TCP的80,88兩個(gè)端口。不
n 服務器(qì)給客戶端下達策略的端口為(wèi):TCP端口22105。
n 服務器(qì)掃描發現客戶端利用以下協議及端口:
n ICMP協議(發現IP地址存在的其中一種方式);
u NETBIOS協議,UDP端口137(為(wèi)了發現機器(qì)名和(hé)MAC地址);
u SNMP協議,TCP端口161(為(wèi)了發現智能設備如路由器(qì)、交換機等);
n 在本地網絡中若劃分了VLAN,或本地網絡存在防火(huǒ)牆,請(qǐng)注意上(shàng)述問題。
對于網絡中存在網中網現象,如采用NAT地址轉化或者代理(lǐ)方式在10.*. *. *網絡中接入192.*. *. *網段,這些(xiē)子網用戶的管理(lǐ)方式如下:
情況一:子網有(yǒu)專人(rén)管理(lǐ),并且有(yǒu)獨立機房(fáng),則應在該子網中安裝一套完整的移動存儲介質管理(lǐ)系統。
情況二:子網無專人(rén)管理(lǐ),或無獨立機房(fáng),可(kě)采用以下3種方式之一處理(lǐ)
1) 機器(qì)數(shù)量少(shǎo)的建議統一更改IP為(wèi)10.*. *. * 網段。
2) 由管理(lǐ)員監督子網中所有(yǒu)機器(qì)進行(xíng)注冊并保證不得(de)遺漏。
3) 在該網絡中指定一台工作(zuò)站(zhàn)專門(mén)安裝區(qū)域管理(lǐ)器(qì)軟件和(hé)區(qū)域掃描模塊,并将區(qū)域管理(lǐ)器(qì)配置中SQL服務器(qì)地址指向服務器(qì)。
2-2-2 安裝和(hé)應用
1、必須按照軟件安裝步驟進行(xíng)安裝
1)确認本機IIS服務正常;
2)确認本機SQL已正常安裝并能正常使用(以本地系統賬戶方式安裝);
3)确認目标安裝盤剩餘空(kōng)間(jiān)不小(xiǎo)于10G;
4)請(qǐng)務必按照指定順序安裝各個(gè)模塊;
5)請(qǐng)在區(qū)域掃描模塊所在計(jì)算(suàn)機中安裝SNMP服務;
6)安裝完所有(yǒu)系統模塊後,請(qǐng)一定按照說明(míng)文檔進行(xíng)客戶端程序的配置及分發安裝。
服務器(qì)安裝Windows2000 Server操作(zuò)系統(帶IIS)、MS SQL Server2000或Oracle數(shù)據庫後,一定要确保對Windows2000、SQL和(hé)IE進行(xíng)重要安全補丁修補,規範操作(zuò)系統、數(shù)據庫的口令和(hé)密碼設置,保證SQL、IIS的正常啓動運行(xíng)。
确保本服務器(qì)無病毒,同時(shí)可(kě)配置本服務器(qì)網絡通(tōng)訊端口僅打開(kāi):80,88,22105。
對大(dà)多(duō)數(shù)交換機、路由器(qì)、非Windows設備,需要将其設置為(wèi)保護狀态(避免被阻斷導緻網絡不通(tōng)),其它如有(yǒu)系統無法識别的重要設備,請(qǐng)在網頁管理(lǐ)平台設備信息查詢中手動将其設置為(wèi)保護狀态。
2-3 系統組件安裝
惠誠智能存儲管理(lǐ)系統軟件 V1.0安裝順序依次為(wèi):
*安裝 SQL Server數(shù)據庫;
*安裝WinPcap驅動程序;
*安裝并運行(xíng)環境初始化程序,初始化數(shù)據庫;
*安裝網頁平台并進行(xíng)劃分區(qū)域,配置區(qū)域IP範圍、區(qū)域管理(lǐ)器(qì)參數(shù)、設備掃描器(qì)參數(shù)等(推薦安裝在默認路徑下);
*安裝區(qū)域管理(lǐ)器(qì)(推薦安裝在默認路徑下);
*通(tōng)知所有(yǒu)用戶下載并運行(xíng)注冊客戶端代理(lǐ)探頭程序。
2-3-1 安裝SQL server或Oracle數(shù)據庫
略,見附錄(一)。
2-3-2 安裝WinPcap驅動模塊
在安裝頁面中選擇“安裝WinPcap驅動模塊”按鈕,單擊“下一步”安裝在區(qū)域管理(lǐ)器(qì)所在計(jì)算(suàn)機上(shàng)。
2-3-3 初始化數(shù)據庫
初始化數(shù)據庫是在SQL數(shù)據庫中初始化建立VRVEIS數(shù)據庫并生(shēng)成系統必需的相關數(shù)據表格,在此過程中需要利用本地數(shù)據或者調用遠程SQL數(shù)據庫,用戶需要根據實際安裝情況按以下兩種方式進行(xíng)操作(zuò):
1)、環境初始化,建立初始數(shù)據庫
在SQL服務器(qì)地址欄中添加本地機器(qì)IP地址、SQL用戶名、及SQL用戶密碼。
SQL數(shù)據庫服務器(qì)環境初始化
根據數(shù)據庫認證方式,選擇windows身份認證或者sql身份認證(建議選用後者)。
2)、檢查數(shù)據庫初始化是否成功:
檢查數(shù)據庫初始化
當有(yǒu)如圖“初始化數(shù)據庫結構成功”提示框彈出時(shí),說明(míng)已成功創建初始化數(shù)據庫。否則會(huì)出現如下圖所示提示信息:
初始化數(shù)據庫失敗提示信息
如果出現如上(shàng)圖所示提示信息,用戶需要檢查所填入的SQL數(shù)據庫IP地址、用戶名以及用戶密碼,重新初始化數(shù)據庫。
n 遠程SQL數(shù)據庫服務器(qì)環境初始化(建議非特殊情況不采用遠程方式)
1)、輸入遠程數(shù)據庫信息,配置SQL客戶端:安裝遠程數(shù)據庫需要首先輸入遠程數(shù)據庫IP地址、用戶名稱、用戶密碼,然後點擊“配置SQL客戶端”,出現如下界面:
配置SQL客戶端
2)、在通(tōng)用欄中,啓用TCP/IP協議:在通(tōng)用欄中,選用TCP/IP協議,并啓用,然後單擊别名,進行(xíng)别名添加設置。
啓用所選協議
3)、進行(xíng)客戶端别名的添加:單擊上(shàng)圖中所圈中的别名,出現如下所示:
對客戶端别名的添加
4)、進行(xíng)網絡協議的選擇和(hé)服務器(qì)别名的添加:此時(shí)用戶需要首先選擇網絡協議,選定為(wèi)TCP/IP,服務器(qì)别名根據用戶需要自由添加,點擊确定後完成數(shù)據庫初始化。
2-3-4 安裝Web中央管理(lǐ)平台
此部分程序要求安裝在默認路徑下,安裝過程中請(qǐng)确保信息填寫正确,否則,Web服務器(qì)可(kě)能不能正确訪問SQL Server數(shù)據庫。
Web管理(lǐ)平台安裝以後在IIS目錄上(shàng)以虛拟目錄的形式存在,虛拟目錄名稱為(wèi)VRVEIS,用戶在安裝完成以後,用http://Web服務器(qì)域名(IP)/VRVEIS的形式訪問Web管理(lǐ)平台主頁面。默認用戶名為(wèi)admin,密碼為(wèi)123456。(以下的都是用admin登陸進行(xíng)說明(míng)的)審計(jì)用戶名為(wèi)audit,默認密碼為(wèi)123456。
如果http://Web服務器(qì)域名(IP)/VRVEIS訪問無效,則以http://Web服務器(qì)域名(IP)/VRVEIS/INDEX.ASP方式登錄。
2-3-5 安裝區(qū)域管理(lǐ)器(qì)Region Manage
在Web中央管理(lǐ)平台中劃分區(qū)域及指定區(qū)域管理(lǐ)器(qì)後(參見Web中央管理(lǐ)平台配置)安裝區(qū)域管理(lǐ)器(qì)組件。安裝後進行(xíng)以下兩項配置:
如果“區(qū)域管理(lǐ)器(qì)”沒有(yǒu)同SQL裝在同一台服務器(qì)上(shàng),需要在如下圖所示窗口中将默認網絡庫選擇為(wèi)“TCP/IP”,使客戶端能夠遠程訪問數(shù)據庫。在“區(qū)域管理(lǐ)器(qì)”中選擇“配置”->“系統配置”,配置SQL客戶端,也可(kě)以通(tōng)過Alt+S熱鍵,進入配置。
SQL常規配置
上(shàng)述配置完畢以後,需要重新啓動“區(qū)域管理(lǐ)器(qì)”,使系統生(shēng)效。
n 區(qū)域管理(lǐ)器(qì)系統配置
SQL服務器(qì)配置:進入“系統配置”,逐步輸入SQL服務器(qì)IP地址、用戶名稱及密碼、數(shù)據庫名稱(默認為(wèi)VRVEIS),單擊“确定”完成SQL服務器(qì)配置。
區(qū)域管理(lǐ)器(qì)中SQL配置
2-3-6 配置設備掃描器(qì)模塊Region scan
在配置好Web防護系統區(qū)域及其區(qū)域管理(lǐ)器(qì)後做(zuò)以下步驟:
在配置管理(lǐ)裏,點擊“掃描器(qì)配置”可(kě)以添加掃描器(qì),配置掃描範圍。
區(qū)域掃描器(qì)配置
填寫相關信息之後重新啓動區(qū)域管理(lǐ)器(qì),程序會(huì)自動縮小(xiǎo)到系統托盤,表示數(shù)據庫連接成功,程序運行(xíng)正常,此時(shí)通(tōng)過上(shàng)圖中“掃描器(qì)配置”項來(lái)查看掃描器(qì)相關運行(xíng)信息。
2-3-7 客戶端注冊
(一)客戶端注冊流程及注冊程序配置
執行(xíng)注冊程序,根據要求填入指定信息,系統自動将所添加信息和(hé)系統自動采集獲得(de)的設備信息發送到區(qū)域管理(lǐ)器(qì),由區(qū)域管理(lǐ)器(qì)将注冊信息處理(lǐ)後存儲到SQL數(shù)據庫,在Web管理(lǐ)平台中設置的客戶端參數(shù)策略将由區(qū)域掃描器(qì)掃描客戶端後,發送給客戶端駐留程序保存執行(xíng)。
該客戶端駐留程序駐留在系統內(nèi)部,以服務和(hé)進程的方式實時(shí)運行(xíng),一旦非法移動存儲設備非法接入注冊計(jì)算(suàn)機,客戶端駐留程序立即向web管理(lǐ)平台發送報警數(shù)據,同時(shí)本機将顯示報警信息。
在web平台中配置管理(lǐ)->注冊程序配置。注冊程序使用前需要網管人(rén)員的配置,主要是設置區(qū)域管理(lǐ)器(qì)IP地址(注冊時(shí)客戶端信息發向該IP地址所在的區(qū)域管理(lǐ)器(qì)),如區(qū)域管理(lǐ)器(qì)為(wèi)10.1.32.249,配置如下圖所示:
注冊程序配置
在這裏,可(kě)以對注冊時(shí)需要填加的單位、注冊密碼進行(xíng)編輯。如下圖所示:
單位和(hé)部門(mén)添加删除
(二)客戶端注冊方法
客戶端注冊方法包括網頁靜态注冊、網頁動态注冊、手動注冊、網關重定向強制(zhì)注冊等。
網頁靜态注冊:
靜态注冊比較簡單,客戶端隻需要将配置好的注冊文件上(shàng)傳到公共主頁上(shàng)即可(kě),做(zuò)一個(gè)鏈接,訪問主頁後手動下載注冊。
主要講述動态注冊,這種方法适用于網絡用戶較多(duō)的情況,客戶端隻要訪問網絡內(nèi)公共網站(zhàn),網頁将自動對客戶端進行(xíng)探測,彈出提示窗口,提示用戶進行(xíng)注冊。
網頁動态注冊:
利用網絡中已經構建好的內(nèi)部網站(zhàn),一方面網絡客戶端可(kě)以通(tōng)過手動獲得(de)注冊程序,也可(kě)以通(tōng)過在主網頁上(shàng)加載彈出頁面的方式進行(xíng)提示性注冊。本手冊将主要介紹後一種方式。
當網絡中客戶端計(jì)算(suàn)機訪問本網絡內(nèi)部網站(zhàn)時(shí),在該主頁代碼中加入一段代碼(如下)。本代碼作(zuò)用在于首先獲得(de)該客戶端計(jì)算(suàn)機的IP地址,再讀取數(shù)據庫裏面相關IP地址的注冊和(hé)其它相關信息,如果該IP地址的設備存在,系統會(huì)根據其是否完成“注冊”、“信任”、“保護”三項操作(zuò)進行(xíng)判斷,隻要滿足其中任意一條件,都不會(huì)提示注冊,否則會(huì)彈出窗口提示注冊。
網頁加載彈出程序方法如下:編輯已有(yǒu)主頁的源程序,在需要加載彈出窗口主頁的源代碼<body>中放入以下代碼:
<iframe src="http://192.168.0. 253/vrveis/quest.asp" frameborder="0" style="width:0px;height:0px"></iframe>
注意:需要将其中的http:// 192.168.0.253/vrveis/quest.asp換成http:// 網頁平台計(jì)算(suàn)機IP/vrveis/quest.asp即可(kě),此時(shí)當網絡中計(jì)算(suàn)機訪問該內(nèi)部主頁時(shí),會(huì)自動彈出如下提示頁面:
網頁動态注冊
使用網頁動态注冊時(shí),請(qǐng)管理(lǐ)員通(tōng)知注冊人(rén),在訪問本網站(zhàn)時(shí),暫時(shí)關閉網頁彈出攔截程序或将本網站(zhàn)添加到不攔截列表中。
手動注冊:除了自動注冊設備外,遇到需要手工注冊新增設備時(shí),也可(kě)通(tōng)過WEB管理(lǐ)平台中數(shù)據查詢,設備信息查詢中的手動添加設備功能,将新增設備的具體(tǐ)信息詳細登記填寫至數(shù)據庫中,并将其置為(wèi)保護設備。
注意:
1.多(duō)級級聯注冊:如果系統為(wèi)多(duō)級級聯方式,必須在區(qū)域管理(lǐ)器(qì)的高(gāo)級配置中的“系統配置”、“策略配置”選項中的級聯選項選中,并正确添加上(shàng)級管理(lǐ)器(qì)的IP地址,各級區(qū)域會(huì)将自己所管轄的區(qū)域管理(lǐ)IP段上(shàng)報到上(shàng)級數(shù)據庫中存儲。
此時(shí),當網絡中任意一台下級區(qū)域客戶端計(jì)算(suàn)機訪問主網站(zhàn)的同時(shí),會(huì)根據最上(shàng)級區(qū)域數(shù)據庫中存儲的各級上(shàng)報IP段信息,自動将該客戶端注冊程序文件下載路徑指向為(wèi)自己所處IP段的本級區(qū)域注冊器(qì)上(shàng),做(zuò)到各個(gè)區(qū)域的客戶端計(jì)算(suàn)機在訪問同一網站(zhàn)進行(xíng)注冊程序下載時(shí),所下載的客戶端程序均為(wèi)自己所在區(qū)域的專用注冊程序。
如果網絡中內(nèi)部網站(zhàn),網絡管理(lǐ)員可(kě)以通(tōng)知網絡內(nèi)計(jì)算(suàn)機在本系統Web管理(lǐ)平台的登錄頁面中點擊下載注冊程序完成系統注冊,或者在此頁面下按上(shàng)面的步驟做(zuò)好彈出提示窗口方式注冊。
無論采取哪種方式,在注冊成功以後,注冊程序除了将主動添加的信息自動上(shàng)報以外,還(hái)會(huì)自動收集其它和(hé)系統相關的信息進行(xíng)上(shàng)報。
客戶端和(hé)區(qū)域管理(lǐ)器(qì)連接通(tōng)訊不正常的情況下,将提示用戶“缺省注冊成功”,表示客戶端探頭已經注冊完畢,但(dàn)還(hái)沒有(yǒu)與區(qū)域管理(lǐ)器(qì)通(tōng)訊。當區(qū)域掃描器(qì)掃到該計(jì)算(suàn)機的IP地址時(shí),才會(huì)将添加的信息及系統采集信息上(shàng)報到區(qū)域管理(lǐ)器(qì),存儲在數(shù)據庫當中。
2.本系統使用初期,若要求對下屬網絡中的計(jì)算(suàn)機信息進行(xíng)統計(jì)、注冊、入庫,必須在Web管理(lǐ)平台中管理(lǐ)器(qì)設置項內(nèi)選中“允許客戶端注冊”,如注冊時(shí)需要密碼,也需要在WEB管理(lǐ)平台中進行(xíng)設置,如下圖所示:
允許客戶端注冊
第三章 系統組件配置
3-1-1 區(qū)域劃分
在網頁平台安裝完畢之後,訪問http://Web服務器(qì)域名(IP)/VRVEIS訪問WEB管理(lǐ)平台登錄界面。系統默認用戶為(wèi)admin,密碼為(wèi)123456,登錄後建議管理(lǐ)員修改管理(lǐ)員密碼。成功登錄後,進入系統的主界面。
n 在所處的IP地址段內(nèi),進行(xíng)區(qū)域劃分操作(zuò)
首先進行(xíng)區(qū)域添加和(hé)劃分操作(zuò)。
區(qū)域劃分:單擊配置管理(lǐ)裏的“區(qū)域劃分與配置”,對網絡中的客戶端進行(xíng)區(qū)域劃分管理(lǐ),按照提示依次添加區(qū)域、增加區(qū)域IP管理(lǐ)範圍、分配區(qū)域管理(lǐ)器(qì)、,并完成系統組件運行(xíng)參數(shù)配置。
具體(tǐ)步驟:
區(qū)域描述配置欄中填寫好一些(xiē)必要的與區(qū)域相關的信息,如區(qū)域機構代碼、區(qū)域名稱、負責人(rén)姓名等。其他信息可(kě)以酌情依照實際用途填寫。
本區(qū)域IP劃分:根據用戶實際需要在下圖所示的文本框中填入需要管轄的IP地址。
其中保留IP段為(wèi)該網段目前沒有(yǒu)網絡設備存在的網段,如有(yǒu)設備存在,則會(huì)産生(shēng)報警信息。
區(qū)域劃分與配置
下級區(qū)域劃分:在已有(yǒu)區(qū)域頁面中點擊“增加下級區(qū)域”按鈕進行(xíng)下級區(qū)域添加,如集團總部下屬總裁辦、行(xíng)政部、财務部等。
3-1-2 區(qū)域管理(lǐ)器(qì)配置
區(qū)域管理(lǐ)器(qì):區(qū)域管理(lǐ)器(qì)為(wèi)系統策略控制(zhì)及數(shù)據接收處理(lǐ)中心,具有(yǒu)控制(zhì)完成系統相關的動作(zuò)行(xíng)為(wèi)處理(lǐ)功能;同時(shí)與本級數(shù)據庫系統連接,統一接收注冊程序提供的信息,将用戶信息(填寫的計(jì)算(suàn)機使用人(rén)姓名、聯系電(diàn)話(huà)、E-mail等,計(jì)算(suàn)機IP、MAC地址、硬盤、CPU、內(nèi)存等其它硬件信息均為(wèi)自動采集)存入數(shù)據庫。
根據本區(qū)域客戶端IP管理(lǐ)情況确定對IP地址的管理(lǐ)方式,若選擇IP、MAC地址綁定,需要在靜态IP環境下進行(xíng)設置。
允許客戶端控頭升級:設置本區(qū)域管理(lǐ)器(qì)管理(lǐ)範圍內(nèi)的客戶端的升級操作(zuò)。
設置vpn網絡虛拟管理(lǐ)器(qì)IP:添加VPN虛拟服務器(qì)的IP地址。
管理(lǐ)器(qì)标識:管理(lǐ)器(qì)的标記,當服務器(qì)遷移時(shí)需要設置與之相同的管理(lǐ)器(qì)标識。
允許客戶端注冊:任意一台在區(qū)域範圍內(nèi)的客戶端都可(kě)以在服務器(qì)上(shàng)注冊。
管理(lǐ)器(qì)配置同步:當選中“下級區(qū)域”時(shí)下級區(qū)域的配置應該和(hé)上(shàng)級區(qū)域管理(lǐ)器(qì)的配置相同,當選中“全部區(qū)域”時(shí)是指下面的任意級聯區(qū)域都要和(hé)區(qū)域管理(lǐ)器(qì)的配置同步。
區(qū)域管理(lǐ)器(qì)參數(shù)設置
區(qū)域管理(lǐ)器(qì)系統配置:設置完當前頁面時(shí)可(kě)以配置管理(lǐ)器(qì),在桌面雙擊“區(qū)域管理(lǐ)器(qì)”快捷方式彈出如下界面:
區(qū)域管理(lǐ)器(qì)系統配置
n 進行(xíng)SQL服務器(qì)配置:進入“系統配置”,逐步輸入SQL服務器(qì)IP地址、用戶名稱及密碼、數(shù)據庫名稱(默認為(wèi)VRVEIS),單擊“确定”完成SQL服務器(qì)配置。
SQL服務器(qì)配置
管理(lǐ)器(qì)配置:本軟件默認機器(qì)操作(zuò)系統88端口,若其它應用程序占用該端口,将自動更改為(wèi)188。
如果區(qū)域管理(lǐ)器(qì)應用于多(duō)級管理(lǐ)(每級都有(yǒu)獨立的SQL server和(hé)相應的系統)的級聯構架體(tǐ)系,其上(shàng)級還(hái)有(yǒu)區(qū)域管理(lǐ)器(qì)的情況下,當前區(qū)域管理(lǐ)器(qì)需要将所有(yǒu)信息上(shàng)報到上(shàng)級管理(lǐ)器(qì)。
區(qū)域管理(lǐ)器(qì)支持多(duō)級級聯,如國家(jiā)、省、市、縣多(duō)級規模網絡管理(lǐ)構架,下屬區(qū)域管理(lǐ)器(qì)将其所有(yǒu)計(jì)算(suàn)機報警信息轉報到上(shàng)級數(shù)據庫。
注:需要把“上(shàng)報給上(shàng)級管理(lǐ)器(qì)”√上(shàng),輸入上(shàng)級管理(lǐ)器(qì)地址。
升級配置:用于配置區(qū)域管理(lǐ)器(qì)的自動升級,升級服務器(qì)地址為(wèi)上(shàng)級區(qū)域管理(lǐ)器(qì)IP。
區(qū)域管理(lǐ)器(qì)配置-高(gāo)級設置
系統配置:
鎖定下級策略是指下級不能夠更改策略信息。
上(shàng)報給上(shàng)級區(qū)域管理(lǐ)器(qì)是指下級的策略,阻斷,違規信息上(shàng)報給上(shàng)級區(qū)域管理(lǐ)器(qì),在此處打上(shàng)“√”添加上(shàng)上(shàng)級管理(lǐ)器(qì)地址,配置級聯。
區(qū)域管理(lǐ)器(qì)
策略配置:系統支持對各種文件的分發,在Web中央管理(lǐ)平台進行(xíng)軟件分發操作(zuò)前,必須對本項進行(xíng)配置。
默認将分發文件放在C:\VRV\RegionManage\Distribute目錄下,管理(lǐ)員可(kě)根據需要自行(xíng)更改路徑,同時(shí),修改本路徑後,補丁下載存放的位置也會(huì)相應改變。
策略配置
3-1-3 掃描器(qì)配置
點擊增加掃描器(qì)設置掃描器(qì)掃描網絡IP範圍。
機構代碼:一般為(wèi)阿拉伯數(shù)字,由用戶單位根據管理(lǐ)要求進行(xíng)設定。
掃描間(jiān)隔:根據管理(lǐ)IP範圍大(dà)小(xiǎo)進行(xíng)設置(建議設置為(wèi)10分鍾)。
注:掃描器(qì)配合區(qū)域管理(lǐ)器(qì)進行(xíng)工作(zuò),掃描器(qì)的掃描範圍不可(kě)能超過它的區(qū)域管理(lǐ)器(qì)管理(lǐ)的IP範圍。
掃描器(qì)除了指定掃描的IP範圍外還(hái)能夠指定排除不掃描的地址範圍,如有(yǒu)某些(xiē)網段不需要掃描器(qì)發現設備,為(wèi)縮短(duǎn)掃描時(shí)間(jiān),可(kě)在掃描器(qì)設置中增加禁止掃描地址段的設置。
掃描器(qì)高(gāo)級配置:
掃描器(qì)配置-系統配置
掃描器(qì)高(gāo)級配置——系統配置:
掃描頻率設定:用戶可(kě)以根據網絡中網絡帶寬占用情況,靈活設置掃描頻率,同樣可(kě)以選擇是否“使用SNMP掃描”掃描方式,如果選擇“使用SNMP掃描”,則系統能夠自動對網絡設備(例如交換機、路由器(qì)、網絡打印機等)進行(xíng)掃描,并自動登記到設備列表庫中。
阻斷選項:如果用戶選擇“掃描器(qì)阻斷”,此時(shí)可(kě)采取“輕量級阻斷”和(hé)“重量級阻斷”兩種方式。
輕量級阻斷:阻斷計(jì)算(suàn)機向網絡中廣播一個(gè)ARP請(qǐng)求報文,将被阻斷計(jì)算(suàn)機的IP地址及對應的假MAC地址發送給網絡內(nèi)所有(yǒu)的計(jì)算(suàn)機,每台計(jì)算(suàn)機收到請(qǐng)求後便會(huì)對本地的ARP緩存進行(xíng)更新,将收到的請(qǐng)求中的IP和(hé)對應的假MAC地址存儲在ARP緩存中。這樣對于網絡中的計(jì)算(suàn)機看來(lái),被阻斷計(jì)算(suàn)機的IP地址沒有(yǒu)變化,而它的MAC地址已經不是原來(lái)那(nà)個(gè)了。由于局域網的網絡通(tōng)信不是根據IP地址進行(xíng),而是按照MAC地址進行(xíng)傳輸。因此,被阻斷計(jì)算(suàn)機便接收不到網絡中計(jì)算(suàn)機(不含阻斷計(jì)算(suàn)機)傳送過來(lái)的信息。
重量級阻斷:阻斷計(jì)算(suàn)機冒充網絡中的其他計(jì)算(suàn)機(本網段1-255)給被阻斷計(jì)算(suàn)機發送定向ARP應答(dá)報文,被阻斷計(jì)算(suàn)機收到請(qǐng)求後便會(huì)對本地的ARP緩存進行(xíng)更新,将收到的請(qǐng)求中的IP和(hé)對應的假MAC地址存儲在ARP緩存中。這樣對于被阻斷計(jì)算(suàn)機看來(lái),網絡中的計(jì)算(suàn)機的IP地址沒有(yǒu)變化,而它們的MAC地址已經不是原來(lái)那(nà)個(gè)了。因此,被阻斷計(jì)算(suàn)機便不能向網絡中的計(jì)算(suàn)機(不含阻斷計(jì)算(suàn)機)傳送信息。
掃描器(qì)高(gāo)級配置——交換機掃描配置:
交換機掃描用于掃描發現交換機,進行(xíng)拓撲發現。Snmp團體(tǐ)名:根據拓撲管理(lǐ)需要輸入網絡中所有(yǒu)網絡設備的snmp讀團體(tǐ)名用“;”隔開(kāi)。
交換機掃描配置
如上(shàng)圖,配置掃描間(jiān)隔時(shí)間(jiān)一般設成5-10分鍾,IP範圍設置需要掃描的ip段,snmp讀團體(tǐ)名稱是根據交換機口令設置的。
3-1-4 注冊程序配置
控制(zhì)頁面如下:管理(lǐ)員可(kě)以通(tōng)過設置來(lái)按照需求來(lái)配置客戶端注冊程序,讓用戶填入相應的信息,方便以後管理(lǐ)。其中的項有(yǒu)啓用、必選、還(hái)可(kě)以對輸入數(shù)據進行(xíng)控制(zhì),後面的功能設置必須對每個(gè)功能模塊啓用。
注冊單位與注冊部門(mén)産生(shēng)聯動 當對單位和(hé)注冊部門(mén)設置為(wèi)必填和(hé)僅選擇這時(shí)客戶端注冊程序,對單位和(hé)部門(mén)的填寫隻能按照管理(lǐ)員的設置來(lái)選擇.不能手動填寫。
使用靜默注冊:以上(shàng)的設置都不生(shēng)效這時(shí)客戶端注冊程序隻需選擇下載運行(xíng)就可(kě)以。
注冊程序會(huì)自己上(shàng)報終端的計(jì)算(suàn)機名和(hé)IP地址MAC地址。
選擇保存修改點擊打包注冊程序這時(shí)完成客戶端注冊程序配置。
3-1-6 自定義組分配與管理(lǐ)
自定義組用來(lái)對網絡中特定或者有(yǒu)特殊用途的機器(qì)進行(xíng)編組,以便采取不同的管理(lǐ)手段,方便管理(lǐ)員的管理(lǐ)。該組的客戶端成員可(kě)以由管理(lǐ)員根據某查詢條件而查得(de)的計(jì)算(suàn)機導入自定義組。如下圖所示:
自定義組分配與管理(lǐ)
1. 首先創建分組,點擊創建下級組:首先創建分組,點擊創建下級組,添加分組名稱,分組描述,保存設置。
創建分組
2. 向組中添加設備:點擊添加設備,彈出如下圖,可(kě)以按設備查找,按IP查找,按操作(zuò)系統查找,選中一個(gè)點擊添加,然後點擊查詢,導入組即可(kě)。同時(shí)還(hái)可(kě)以通(tōng)過設備信息查詢添加設備
查詢設備
第四章 系統管理(lǐ)操作(zuò)
4-1 USB标簽制(zhì)作(zuò)
4-1-1 USB标簽添加
可(kě)初始化U盤密碼的設備ID指定
在分配USB标簽之前,請(qǐng)預先指定5台計(jì)算(suàn)機(或5台以內(nèi),操作(zuò)系統為(wèi)windows平台)作(zuò)為(wèi)密碼還(hái)原計(jì)算(suàn)機,通(tōng)過專用程序獲取計(jì)算(suàn)機的設備ID碼,以便綁定設備ID碼信息到移動存儲設備中。一旦密碼遺忘,可(kě)以在上(shàng)述5台計(jì)算(suàn)機上(shàng)恢複初始密碼。
具體(tǐ)步驟如下:登陸系統〉〉移動存儲〉〉分配管理(lǐ)員USB标簽,選擇admin的“設置”,如下圖,在上(shàng)述5台計(jì)算(suàn)機上(shàng)分别運行(xíng)DeviceNumber.exe(按照頁面提示獲取該程序),填寫獲取的可(kě)初始化U盤密碼的設備ID保存。
密碼還(hái)原機設備ID獲取
4-1-2 USB标簽分配
标簽類型:标簽有(yǒu)普通(tōng)标簽和(hé)!SAFE6兩種。
全局參數(shù)作(zuò)用:系統标簽:如07099C61-3DFFD160-5DC19AF1
建議标簽:如07099C61-3DFFD160-5DC19AF1
全局參數(shù)
全局參數(shù)根據服務器(qì)特征産生(shēng),用于區(qū)别在不同服務器(qì)上(shàng)制(zhì)作(zuò)的移動存儲設備,一般情況下,系統标簽和(hé)建議标簽一緻,如果服務器(qì)更換(ip、服務器(qì)硬件),則系統标簽為(wèi)當前服務器(qì)的标簽,建議标簽自動轉換為(wèi)原來(lái)系統标簽,此時(shí)建議将建議标簽內(nèi)容填入當前系統标簽位置保存,否則,帶有(yǒu)以前服務器(qì)上(shàng)标簽的移動存儲設備同現有(yǒu)服務器(qì)标簽安全策略不兼容。
普通(tōng)标簽作(zuò)用:用于對移動存儲設備作(zuò)标記,在外網未注冊計(jì)算(suàn)機不做(zuò)任何判斷,可(kě)以任意使用,僅在內(nèi)網注冊計(jì)算(suàn)機上(shàng)供認證識别用,移動存儲設備标簽同注冊計(jì)算(suàn)機獲取的标簽授權一緻,該設備方可(kě)以使用,否則根據管理(lǐ)員設置進行(xíng)報警處理(lǐ)。
!SAFE6标簽作(zuò)用:用于對移動存儲設備的分區(qū)标簽管理(lǐ),在對移動存儲設備分區(qū)的同時(shí),進行(xíng)标簽寫入,并作(zuò)扇區(qū)加密處理(lǐ)。!SAFE6設備标簽同注冊計(jì)算(suàn)機獲得(de)的标簽授權順序匹配後,用戶才能夠按照設定的權限進行(xíng)對!SAFE6設備數(shù)據區(qū)登陸訪問。
标簽制(zhì)訂:以!SAFE6标簽為(wèi)例,某公司下屬10個(gè)部門(mén),一種管理(lǐ)方法是每個(gè)部門(mén)可(kě)以有(yǒu)單獨的标簽(如信息中心、銷售部、辦公室、财務部、市場(chǎng)部等),另一種是全公司設置特定的幾種标簽(如安全策略一标簽、安全策略二标簽),通(tōng)過對計(jì)算(suàn)機注冊客戶端程序的标簽安全策略的發送,讓計(jì)算(suàn)機按照預定義的安全策略來(lái)識别帶有(yǒu)不同的标簽的移動存儲設備,并進行(xíng)訪問控制(zhì)(讀寫、隻讀、禁止使用、報警等)。
先添加備用标簽,再分配給網管,并保存,這樣在使用UsbTool.exe時(shí),能夠獲得(de)上(shàng)述預分配的标簽,按照不同管理(lǐ)需要對移動存儲設備進行(xíng)标簽寫入。
4-2 USB标簽制(zhì)作(zuò)工具
USB标簽制(zhì)作(zuò)工具UsbTool.exe存放在網頁管理(lǐ)平台VRVEIS文件目錄的download下,下載後可(kě)以在任何計(jì)算(suàn)機上(shàng)(建議在Windows2000、xp等操作(zuò)系統)對移動存儲設備執行(xíng)标簽寫入操作(zuò)。
4-2-1 USB标簽制(zhì)作(zuò)工具功能
1)标簽寫入:将管理(lǐ)員預定的各種安全标簽寫到普通(tōng)移動存儲設備扇區(qū),并進行(xíng)加密,确保對專用移動存儲設備的認證識别。
2)數(shù)據分區(qū):将普通(tōng)移動存儲設備劃分為(wèi)交換區(qū)和(hé)保密區(qū),自由設置分區(qū)容量大(dà)小(xiǎo)。
3)設備加密:對移動存儲設備數(shù)據區(qū)進行(xíng)AES128位加密,确保數(shù)據區(qū)內(nèi)數(shù)據的安全。
4)添加啓動區(qū):根據管理(lǐ)員需要,對移動存儲設備添加啓動程序,方便對設備的訪問。
4-2-2 專用移動存儲設備類型
缺省三個(gè)分區(qū)、啓動區(qū)與交換區(qū)二合一、整盤加密。
缺省三個(gè)分區(qū):該類型盤具有(yǒu)啓動區(qū)、交換區(qū)、保密區(qū);啓動區(qū)帶有(yǒu)啓動程序,在未注冊計(jì)算(suàn)機上(shàng)通(tōng)過該啓動程序登陸交換區(qū)。
啓動區(qū)與交換區(qū)二合一:該類型盤有(yǒu)兩個(gè)分區(qū),交換區(qū)中帶有(yǒu)啓動程序。
整盤加密:該類型盤隻有(yǒu)一個(gè)數(shù)據區(qū)——保密區(qū)。
啓動區(qū)的大(dà)小(xiǎo)為(wèi)10M(默認),同滑動按鈕實現對交換區(qū)和(hé)保密區(qū)的分區(qū)大(dà)小(xiǎo)的調節。
密碼最大(dà)錯誤次數(shù)用于分别限制(zhì)對兩個(gè)區(qū)的訪問,一旦輸入的錯誤密碼次數(shù)超過指定數(shù)值,專用移動存儲設備将自動鎖定。
交換區(qū)按扇區(qū)加密:對交換區(qū)按照扇區(qū)進行(xíng)磁盤加密,默認隻對保密區(qū)作(zuò)加密。
顯示格式化窗口:在進行(xíng)分區(qū)劃分時(shí),顯示對分區(qū)的格式化過程窗口,支持對磁盤格式(如FAT、FAT32、NTFS)的選擇。
支持災難恢複:支持對專用移動存儲設備密碼的初始化還(hái)原,如不選擇,在密碼遺忘情況下,該盤将作(zuò)廢,需要做(zuò)低(dī)級格式化處理(lǐ),所有(yǒu)數(shù)據無法還(hái)原。
初始密碼強制(zhì)修改:支持移動存儲設備第一次使用時(shí)強制(zhì)修改密碼,如果不修改無法使用。
報警信息設置:該項用于整盤加密的情況,當設置該項時(shí),一旦制(zhì)作(zuò)的整盤加密的移動存儲設備在外網上(shàng)時(shí),該盤将告警設置的信息。
在制(zhì)作(zuò)專用移動存儲設備時(shí),提醒“數(shù)據信息上(shàng)傳至服務器(qì)成功”,作(zuò)用在于,将該專用移動存儲設備的标簽信息傳送到服務器(qì)備份,以便标簽信息被人(rén)為(wèi)毀壞或無意删除時(shí)可(kě)以恢複。
專用移動存儲設備交換區(qū)和(hé)保密區(qū)初次登陸時(shí)密碼均為(wèi):0000aaaa。
注:對160G以上(shàng)大(dà)容量移動硬盤制(zhì)作(zuò)專用移動存儲設備時(shí),需要預先在操作(zuò)系統下對該硬盤劃分為(wèi)2個(gè)區(qū),然後再進行(xíng)打标簽操作(zuò)。
4-2-3 專用移動存儲設備制(zhì)作(zuò)過程
1、獲取制(zhì)作(zuò)工具:登陸網頁管理(lǐ)平台,進入“移動存儲”,選擇“USB标簽制(zhì)作(zuò)工具”,下載“UsbTool.exe”。
2、登陸制(zhì)作(zuò)工具:執行(xíng)“UsbTool.exe”,輸入區(qū)域管理(lǐ)器(qì)所在計(jì)算(suàn)機的ip地址,輸入admin用戶,輸入密碼登陸(UsbTool同區(qū)域管理(lǐ)器(qì)連通(tōng))。
UsbTool登陸
3、選擇需要的型号:登陸後,插入普通(tōng)移動存儲設備,出現盤符,選擇該盤符,填寫部門(mén)、擁有(yǒu)者、設備編号(自動編号不需要填寫)、标簽等。
最後選擇“寫入标簽”,如圖,選擇需要制(zhì)作(zuò)的安全盤的類型。
分區(qū)格式化
4、配置設備參數(shù):參數(shù)作(zuò)用詳見“2)專用移動存儲設備類型”。
5、分區(qū)格式化:按照步驟對不同分區(qū)格式化,多(duō)個(gè)分區(qū)格式化将會(huì)出現多(duō)次格式化窗口。
6、标簽驗證、标簽清除:标簽寫入成功後,可(kě)以在UsbTool.exe主界面中進行(xíng)标簽驗證,并進行(xíng)标簽清除。
7、移動硬盤标簽制(zhì)作(zuò)方法見附錄(三)。
4-3 USB标簽制(zhì)作(zuò)曆史查詢
USB标簽制(zhì)作(zuò)曆史查詢用于查詢已經做(zuò)标簽處理(lǐ)的USB移動存儲設備信息,便于管理(lǐ)員對網絡中使用的認證标簽進行(xíng)狀态彙總。
查詢方式支持:所屬部門(mén)、擁有(yǒu)人(rén)、U盤标簽等(U盤編号暫不支持手動編号查詢)。
标簽曆史查詢
4-4 移動存儲審計(jì)策略
移動存儲審計(jì)策略用于配置注冊計(jì)算(suàn)機的專用移動存儲管理(lǐ)策略,管理(lǐ)員設定專用移動存儲設備的許可(kě)标簽、使用權限、報警信息等策略內(nèi)容,策略下發終端後執行(xíng),注冊終端根據策略對接入的移動存儲設備進行(xíng)條件判斷控制(zhì)。
功能說明(míng):
1)普通(tōng)U盤控制(zhì):不允許使用、允許隻讀方式使用、允許讀寫方式使用。
該項用來(lái)控制(zhì)普通(tōng)U盤的操作(zuò)使用,帶标簽的本系統移動存儲設備屬于普通(tōng)U盤的一種,因此,普通(tōng)标簽和(hé)!SAFE6标簽移動存儲設備的使用均需要開(kāi)啓“允許讀寫方式使用”權限。
2)啓用U盤标簽認證:網絡中存在标簽移動存儲設備,需要開(kāi)啓該項。未經過标簽制(zhì)作(zuò)工具分區(qū)的U盤以及安全U盤,做(zuò)為(wèi)普通(tōng)盤處理(lǐ),默認為(wèi)一個(gè)“交換區(qū)”(相對于!SAFE6标簽的交換區(qū)和(hé)保密區(qū))。
3)認證标簽列表(添加标簽):選擇設定的移動存儲标簽類型,例如标簽1、标簽2、标簽3三種标簽,分别對應于信息中心、銷售部、辦公室的标簽移動存儲設備。
針對信息中心的所有(yǒu)客戶端制(zhì)訂一條策略,設置本部門(mén)的标簽設備在本部門(mén)計(jì)算(suàn)機上(shàng)的使用權限,設置銷售部的标簽設備在信息中心計(jì)算(suàn)機上(shàng)的使用權限,設置辦公室的标簽設備在信息中心計(jì)算(suàn)機上(shàng)的使用權限,控制(zhì)級别到數(shù)據區(qū)(交換區(qū)、保密區(qū))。策略制(zhì)訂好以後,發送到信息中心所有(yǒu)ip計(jì)算(suàn)機執行(xíng)。
4)本單位标簽認證失敗:本單位标簽,是指在同一套管理(lǐ)服務器(qì)系統(全局标簽)上(shàng)制(zhì)作(zuò)的不同類型标簽移動存儲設備,如各部門(mén)使用不同标簽,這些(xiē)标簽屬于本單位标簽,用于識别對不同部門(mén)的設備使用權限管理(lǐ)。
5)外單位标簽認證失敗:外單位标簽,是指不在同一套管理(lǐ)服務器(qì)系統(全局标簽)上(shàng)制(zhì)作(zuò)的不同類型标簽的移動存儲設備,即使标簽一樣,由于全局标簽不同,也無法使用。
6)軟盤使用控制(zhì)、光盤使用控制(zhì):針對USB類型的移動存儲設備進行(xíng)讀寫控制(zhì),USB軟盤、USB光盤刻錄機等均可(kě)以将數(shù)據拷出。
7)審計(jì)過濾:針對特定類型的文件進行(xíng)審計(jì),不填寫默認為(wèi)全部審計(jì)。
8)登陸交換區(qū)後自動殺毒:針對!SAFE6标簽設備插入計(jì)算(suàn)機後自動調用操作(zuò)系統的殺毒軟件對交換區(qū)進行(xíng)病毒查殺,殺毒軟件支持動态添加(基本如瑞星、kill)。
9)例外判斷:針對特定移動存儲設備如公章系統盤,不進行(xíng)訪問控制(zhì)判斷,其他類似,隻需要填寫特征文件名即可(kě)。
10)中間(jiān)機策略:中間(jiān)機針對存在整盤加密策略的計(jì)算(suàn)機和(hé)外來(lái)移動存儲設備的情況提供數(shù)據交換,通(tōng)過策略內(nèi)容邏輯的組合設計(jì)來(lái)實現。
4-5 移動存儲審計(jì)數(shù)據
默認當前頁面顯示“今日數(shù)據”,如果需要查找所有(yǒu)數(shù)據請(qǐng)選擇“以往數(shù)據”。在數(shù)據查詢時(shí):選擇需要查詢的數(shù)據類型,如“移動設備接入”,“讀取移動設備”,“寫入移動設備”,分别顯示查詢項。
審計(jì)數(shù)據查詢
審計(jì)描述:基于盤号(手動編号)、基于拷貝內(nèi)容進行(xíng)設備追蹤查詢。
基于編号的查詢:輸入審計(jì)描述的盤号1287661855,選擇查詢。
基于編号查詢
基于內(nèi)容查詢:輸入審計(jì)描述的內(nèi)容,如“日報”。
基于內(nèi)容的查詢
其他查詢:按照需要查詢的條件填寫。
4-6 其它通(tōng)用策略管理(lǐ)
消息推送策略:向客戶端發送消息通(tōng)知,請(qǐng)求重新注冊信息、消息通(tōng)知并确認回饋,要求升級或同步終端數(shù)據等消息。
消息推送
終端設置策略:設置終端計(jì)算(suàn)機Agent工作(zuò)特性。
終端特性設置:
同步終端時(shí)間(jiān):設置客戶端時(shí)間(jiān)同服務器(qì)時(shí)間(jiān)同步。
終端右下角圖标顯示:将ico格式圖标放在指定目錄下,重新啓動後将在右下角托盤顯示。
移動到圖标顯示文字:鼠标移動到右下角ico格式圖标顯示提示信息。
客戶端提示信息标題:雙擊右下角ico圖标時(shí)顯示消息框的标題。
終端數(shù)據采集:
策略更新周期:客戶端獲取的策略同數(shù)據庫最新的策略比較更新周期。
審計(jì)日志(zhì)上(shàng)報間(jiān)隔:客戶端審計(jì)日志(zhì)上(shàng)報到服務器(qì)的時(shí)間(jiān)間(jiān)隔。
終端管理(lǐ)設置
管理(lǐ)升級策略:控制(zhì)網絡中注冊客戶端Agent文件升級,獲得(de)該策略的計(jì)算(suàn)機可(kě)以升級,主要用于升級測試或者全網漸緩式升級的管理(lǐ)。
策略下發查詢:用戶可(kě)以查看策略的下發情況,查詢下載策略的設備IP及名稱和(hé)下載時(shí)間(jiān)等信息。
第五章 系統維護管理(lǐ)
5-1系統用戶分配與管理(lǐ)
(1)用戶權限分配:“用戶管理(lǐ)”操作(zuò)功能為(wèi)不同級區(qū)域網絡管理(lǐ)員提供權限設定,具有(yǒu)可(kě)靠性、管理(lǐ)性強,支持統一、多(duō)級監控模式。提供超級用戶和(hé)普通(tōng)用戶兩種權限,分配對不同區(qū)域的管理(lǐ)權限。如下圖所示:可(kě)在其左側的網頁框中實現增加用戶的操作(zuò)。
用戶權限分配
用戶包括超級用戶、普通(tōng)用戶和(hé)審計(jì)用戶三種權限,普通(tōng)用戶由超級用戶開(kāi)設并分配用戶及權限。
超級用戶權限:添加用戶、删除用戶、修改密碼、給普通(tōng)用戶分配權限、進行(xíng)控制(zhì)管理(lǐ)等。
普通(tōng)用戶權限:由超級用戶開(kāi)設并分配用戶及權限。設定權限時(shí)根據工作(zuò)需要,規定該用戶所能操作(zuò)的策略、管理(lǐ)的區(qū)域及查看的信息。設定權限時(shí)還(hái)可(kě)以根據工作(zuò)需要設定用戶是否是隻讀用戶(隻能看數(shù)據,不能改數(shù)據),還(hái)是有(yǒu)讀寫權限。
審計(jì)用戶:提供對系統管理(lǐ)用戶的操作(zuò)行(xíng)為(wèi)記錄,記錄管理(lǐ)員操作(zuò)執行(xíng)的策略詳細內(nèi)容。
5-2用戶設置
IP訪問控制(zhì)列表:添加僅允許來(lái)自以下IP列表的訪問登陸(空(kōng)白為(wèi)允許所有(yǒu)IP訪問)。
用戶訪問權限設置
5-3數(shù)據重整
類似于刷新功能,每隔一段時(shí)間(jiān)對本系統數(shù)據庫進行(xíng)重新整理(lǐ),可(kě)針對重複、冗餘或無效的數(shù)據進行(xíng)重整,包括IP和(hé)MAC重複、IP不在區(qū)域範圍內(nèi)、長時(shí)間(jiān)未使用、區(qū)域IP範圍改變等情況(數(shù)據整理(lǐ)操作(zuò)建議二周一次)。如下圖所示:
數(shù)據重整
5-4客戶端卸載
需要卸載客戶端探頭程序時(shí),運行(xíng)安裝程序包中的探頭卸載程序UnInstallEdp.exe如圖:
客戶端卸載
記錄下序列号,并将序列号複制(zhì)到如下圖的第一個(gè)方框中:
查看卸載密碼
點擊查看将會(huì)産生(shēng)一個(gè)卸載密碼,将其輸入卸載密碼框中點擊卸載即可(kě)。
5-5安全盤密碼還(hái)原
一旦專用移動存儲設備密碼遺忘,及時(shí)聯系管理(lǐ)員,由管理(lǐ)員在指定的5台計(jì)算(suàn)機上(shàng)運行(xíng)UsbTool.exe,執行(xíng)密碼初始化操作(zuò)(初始密碼0000aaaa)。
5-6客戶端阻斷
5-6-1 掃描器(qì)配置
掃描器(qì)配置是在web管理(lǐ)平台界面下完成。步驟如下:配置管理(lǐ)->掃描器(qì)配置->配置。如下圖:設置區(qū)域掃描器(qì)系統配置。
掃描器(qì)阻斷選擇
注意:“使用SNMP掃描”中。設備默認口令為(wèi)public,在配置時(shí)依實際情況而定,如果有(yǒu)多(duō)個(gè)SNMP口令存在與網絡中,那(nà)麽把口令全部寫到輸入框中,口令間(jiān)用“;”分隔;選擇“SNMP重新生(shēng)效”可(kě)以立刻重新進行(xíng)一次SNMP掃描。
系統管理(lǐ)員通(tōng)過阻斷功能實現針對網絡中的任意一台計(jì)算(suàn)機進行(xíng)內(nèi)部網絡的阻斷,從而能夠保證網絡的運行(xíng)安全,可(kě)選擇通(tōng)過配置阻斷策略實現。
5-6-2 自動阻斷
選擇要進行(xíng)阻斷的系統區(qū)域名稱,點擊“區(qū)域描述”菜單進入到“區(qū)域詳細描述及修改”頁面中,可(kě)針對“發現電(diàn)腦(nǎo)設備異常後執行(xíng)的動作(zuò)”進行(xíng)如圖所示的幾種阻斷策略的選擇:
區(qū)域劃分中的阻斷設定
注意:此時(shí)如果選中的執行(xíng)動作(zuò)為(wèi)“默認”,則此區(qū)域的阻斷策略,采用和(hé)本區(qū)域的區(qū)域管理(lǐ)器(qì)已經設置好的相同策略;如果系統管理(lǐ)員進行(xíng)了其它選擇,則系統将會(huì)執行(xíng)其所選中的策略進行(xíng)阻斷操作(zuò)。
區(qū)域管理(lǐ)器(qì)阻斷配置:沒有(yǒu)注冊則阻斷,網絡中大(dà)部分計(jì)算(suàn)機注冊完畢後,可(kě)以開(kāi)啓本功能。
5-6-3 手動阻斷
系統除整體(tǐ)區(qū)域應用阻斷策略以外,系統管理(lǐ)員還(hái)可(kě)通(tōng)過手動設置對網絡中的任意一台計(jì)算(suàn)機采取單獨阻斷策略,其方法為(wèi)進入數(shù)據查詢裏面的設備列表頁面中,查看其是否被設為(wèi)阻斷的狀态,或者單擊其設備信息,進入到下一級頁面中對其阻斷狀态的進行(xíng)更改,實現策略的應用。
客戶端數(shù)據查詢中的阻斷設定
第七章 系統備份及系統升級
7-1 數(shù)據庫數(shù)據備份及還(hái)原
1)點擊任務欄上(shàng)右下腳的SQL Server服務管理(lǐ)器(qì),将正在運行(xíng)的數(shù)據庫服務停止;
2)确認安裝SQL Server的路徑,默認安裝路徑為(wèi):C:\ProgramFiles\MicrosoftSQLServer\MSSQL\Data中,找到此目錄下VRVEIS.ldf和(hé)VRVEIS.mdf兩個(gè)文件,将此兩個(gè)文件拷貝到另外的路徑下完成數(shù)據備份;
3)如果系統升級不成功,造成數(shù)據損壞,請(qǐng)按照以上(shàng)步驟進行(xíng)相反操作(zuò),将VRVEIS.ldf和(hé) VRVEIS.mdf兩個(gè)文件拷貝到SQL SERVER 安裝路徑下,例如:C:\Program Files\Microsoft SQL Server\MSSQL\Data 中即可(kě)。如VRVEIS.1df過大(dà),可(kě)通(tōng)過正常運行(xíng)中的區(qū)域管理(lǐ)器(qì)中的清空(kōng)數(shù)據庫事務日志(zhì)進行(xíng)處理(lǐ)。
7-2 系統組件升級
獲取升級組件:upWeb、upmanage二個(gè)組件,或者在級聯區(qū)域管理(lǐ)系統配置中設置自動探測升級文件下在路徑為(wèi)c:\vrv\vrveis\update,正常升級一般最好使區(qū)域管理(lǐ)器(qì)、區(qū)域掃描器(qì)、WEB網頁管理(lǐ)平台都使用默認安裝路徑。
7-2-1 區(qū)域管理(lǐ)器(qì)、掃描器(qì)模塊升級
雙擊升級文件upmanage.exe,此時(shí)升級文件會(huì)将區(qū)域管理(lǐ)器(qì)自動退出,并在升級完成後自動啓動區(qū)域管理(lǐ)器(qì)與掃描器(qì)模塊。
7-2-2 升級網頁管理(lǐ)平台
點擊升級文件upweb.exe,此時(shí)能夠把網頁平台自動升級更新為(wèi)最新版本;必要時(shí),可(kě)能會(huì)發布fullupWeb.exe升級文件,主要由于中間(jiān)多(duō)次沒有(yǒu)升級,進行(xíng)完全升級。
完成上(shàng)述工作(zuò)後,必須訪問安裝目錄,進入download目錄,确認devieceregist.exe文件中RegClient.ini文件的Regip地址為(wèi)區(qū)域管理(lǐ)器(qì)所在IP地址。
7-2-3 客戶端注冊程序升級
網絡管理(lǐ)員在完成網頁管理(lǐ)平台的升級工作(zuò)後,需要在網頁管理(lǐ)平台上(shàng)“區(qū)域管理(lǐ)器(qì)”詳細配置中将“允許客戶端升級”選項選中即可(kě)。
此時(shí)客戶端探頭通(tōng)過以下兩種方式升級:
A、掃描器(qì)掃描到客戶端機器(qì)的同時(shí)對探頭進行(xíng)自動探測升級;
B、客戶端計(jì)算(suàn)機每次重新啓動後,會(huì)在第5分鍾時(shí)主動進行(xíng)探頭自動升級,否則會(huì)在持續開(kāi)機的過程中每24小(xiǎo)時(shí)自動升級一次。
7-2-4 檢查系統是否升級成功
1)區(qū)域管理(lǐ)器(qì)和(hé)區(qū)域掃描器(qì)模塊的升級檢查:找到安裝路徑下的可(kě)執行(xíng)文件RegionManage.exe,右鍵單擊後察看其屬性,在選項卡上(shàng)選擇“版本”,此時(shí)文件版本号應該顯示為(wèi)最新版本号碼,否則說明(míng)升級沒有(yǒu)成功;
2)網頁管理(lǐ)平台升級檢查:打開(kāi)并進入到網頁管理(lǐ)平台,察看系統幫助菜單中“關于”選項,彈出的窗口會(huì)顯示出當前的網頁平台的版本号碼;
3)客戶端注冊程序升級檢查:網絡管理(lǐ)員通(tōng)過Web頁面中的查詢功能對版本号進行(xíng)查詢統計(jì),完成客戶端注冊程序的升級檢查。
注:在此過程中必須注意對SQL數(shù)據庫的備份,如果升級失敗,請(qǐng)進行(xíng)數(shù)據的備份還(hái)原工作(zuò),保證原始數(shù)據不能丢失。
7-3 級聯管理(lǐ)模式升級及配置
在級聯管理(lǐ)方式中,其上(shàng)級區(qū)域升級方法同單一區(qū)域管理(lǐ)模式升級方法,其它各級區(qū)域均不需要進行(xíng)手動升級。在上(shàng)級手動升級完畢以後,需要系統管理(lǐ)員将3個(gè)升級文件手動放在C:\VRV\VRVEIS\update目錄下,為(wèi)下級區(qū)域的自動升級提供鏈接文件。
下級區(qū)域網絡管理(lǐ)人(rén)員在系統安裝成功完成後,需要進入到web管理(lǐ)平台,點擊“系統配置”按鈕,在彈出的系統配置界面中将“上(shàng)報給上(shàng)級管理(lǐ)器(qì)”前的複選框選中,在“上(shàng)級管理(lǐ)器(qì)”地址一欄中添加多(duō)級管理(lǐ)模式上(shàng)級區(qū)域管理(lǐ)器(qì)的IP地址,其它選項均選擇為(wèi)默認即可(kě),此時(shí)下面的“升級配置”窗口中的“升級服務器(qì)地址”會(huì)同時(shí)自動發生(shēng)改變,同時(shí)系統會(huì)每間(jiān)隔一段時(shí)間(jiān)對上(shàng)級區(qū)域管理(lǐ)器(qì)進行(xíng)一次探測,自動完成對系統升級即可(kě)。此時(shí),升級服務器(qì)地址會(huì)改變如下圖所示:
級聯管理(lǐ)模式升級
下級區(qū)域會(huì)根據圖中所示的路徑自動連接到上(shàng)一級區(qū)域管理(lǐ)器(qì)完成自動升級操作(zuò)。
注:系統軟件必須默認安裝在C盤中,才能實現自動升級,此時(shí)隻需将升級路徑設置正确,其它升級工作(zuò)自動執行(xíng)。