藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)操作手冊(cè)

1、藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)(BD-SECSYS)操作手冊(cè)廣東天海威數(shù)碼技術(shù)有限公司2004 年 7 月廣東天海威數(shù)碼技術(shù)有限公司藍(lán)盾內(nèi)網(wǎng)安全保密系統(tǒng)(BD-SECSYS)目錄第一章 系統(tǒng)概述41系統(tǒng)組成42、主機(jī)代理功能特點(diǎn) 42.1、網(wǎng)絡(luò)檢測(cè)防護(hù)功能42.2、共享防護(hù)52.3、文件檢測(cè)防護(hù)52.4、注冊(cè)表檢測(cè)防護(hù)62.5、主機(jī)日志監(jiān)控62.6、設(shè)備管理和認(rèn)證72.7、主機(jī)資源審計(jì)72.8、異常檢測(cè)82.9、外聯(lián)監(jiān)控82.10、關(guān)聯(lián)安全功能82.11、文件保密工具 82.12、 安全透明存儲(chǔ)功能93、典型部署9第二章系統(tǒng)安裝111、控制中心安裝111.1、安裝 Mysql111.2、 安裝主機(jī)監(jiān)控

2、與審計(jì)系統(tǒng)控制中心 111.2.1、安裝BD-SECSYS-C111.2.2、運(yùn)行BD-SECSYS-C131.2.3、登錄BD-SECSYS-C141.2.4、配置BD-SECSYS-選項(xiàng)152、主機(jī)代理安裝152.1、制作主機(jī)代理端安裝程序 152.2、 控制中心配置和管理主機(jī)代理 16第三章 控制中心基本操作 181、主機(jī)代理部分操作 181.1、 文件菜單181.1.1、主機(jī)用戶管理191.1.2、添加主機(jī)代理 201.1.3、刪除主機(jī)代理 201.1.4、修改主機(jī)代理 211.1.5、 修改主機(jī)代理密碼 211.1.6、連接主機(jī)代理 211.1.7、斷開(kāi)主機(jī)代理 221.1.8、清除

3、信息框 221.2、配置參數(shù)菜單221.2.1、修改配置文件 、系統(tǒng)信息 、模塊信息23122、上傳配置文件24123、修改模塊配置文件241.231、網(wǎng)絡(luò)檢測(cè)防護(hù)241.232、共享防護(hù)2 文件檢測(cè)防護(hù) 2注冊(cè)表防護(hù)291.235日志監(jiān)控291.2.36設(shè)備管理301.237 其它301.2.4、上傳模塊配置文件311.2.5、移動(dòng)存儲(chǔ)設(shè)備管理321.2.6、 上傳移動(dòng)存儲(chǔ)設(shè)備文件321.3、 主機(jī)審計(jì)菜單321.3.1、主機(jī)代理版本 331.3.2、主機(jī)代理時(shí)鐘341.3.3、 安全透明存儲(chǔ)空間審計(jì) 351.3.4、主機(jī)資

4、源審計(jì)361.3.5、主機(jī)設(shè)備審計(jì)381.3.6、進(jìn)程資源審計(jì)391.3.7、網(wǎng)絡(luò)資源審計(jì) 401.3.8、共享資源審計(jì) 411.3.9、主機(jī)用戶資源審計(jì) 421.3.10、服務(wù)資源審計(jì) 421.3.11、驅(qū)動(dòng)資源審計(jì) 431.3.12、安裝軟件資源審計(jì) 441.4、系統(tǒng)菜單 451.4.1、修改主機(jī)代理時(shí)鐘 451.4.2、修改主機(jī)代理密碼 451.4.3、執(zhí)行命令461.5、主機(jī)日志查詢 481.6、實(shí)時(shí)顯示功能 491.7、策略模板功能512、其它操作532.1、 Mysql數(shù)據(jù)庫(kù)管理 532.2、選項(xiàng)操作542.2.1、 入侵警報(bào)設(shè)置 542.2.2、 緩沖大小/登錄管理552.2.3

5、、 自動(dòng)保存562.2.4、 端口 /服務(wù)572.2.5、 郵件/短信設(shè)置582.3、控制中心用戶管理 592.4、控制中心日志管理 602.5、修改控制中心用戶密碼 612.6、用戶usb密匙管理 62第四章藍(lán)盾文件保密工具基本操作 634.1、 文件加密634.2、 文件解密644.3、 文件安全刪除644廣東天海威數(shù)碼技術(shù)有限公司藍(lán)盾內(nèi)網(wǎng)安全保密系統(tǒng)(BD-SECSYS)第一章系統(tǒng)概述藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)(BD-SECS YS)是由廣東天海威數(shù)碼技術(shù) 有限公司自主研發(fā)的基于內(nèi)網(wǎng)安全和防信息泄漏的內(nèi)網(wǎng)安全集成系 統(tǒng)。廣東天海威數(shù)碼技術(shù)有限公司基于多年來(lái)積累的安全產(chǎn)品研發(fā)和 實(shí)施經(jīng)驗(yàn)，集中

6、強(qiáng)大的研發(fā)隊(duì)伍推出具有完善功能、 穩(wěn)定可靠和出色 性能的內(nèi)網(wǎng)安全集成產(chǎn)品。1、系統(tǒng)組成藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)(BD-SECSYS主要包括兩部分組件：主機(jī) 代理(BD-SECSYS-H和控制中心(BD-SECSYS-C。主機(jī)代理以服務(wù)的方 式運(yùn)行在內(nèi)網(wǎng)被保護(hù)主機(jī)上，控制中心提供顯示和管理配置功能。2、主機(jī)代理功能特點(diǎn)2.1、網(wǎng)絡(luò)檢測(cè)防護(hù)功能藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理(BD-SECS YS-)擁有強(qiáng)大的桌面 級(jí)防火墻功能，可以對(duì)系統(tǒng)提供的網(wǎng)絡(luò)端口和IP進(jìn)行監(jiān)控、管理，允許自定義阻斷策略，也可以定義事件對(duì)指定IP地址、協(xié)議和端口以及數(shù)據(jù)流向進(jìn)行實(shí)時(shí)防護(hù)，從而隔斷來(lái)自與網(wǎng)絡(luò)中其他主機(jī)的非法 連接請(qǐng)

7、求。網(wǎng)絡(luò)檢測(cè)防護(hù)功能模塊具有以下特點(diǎn)：網(wǎng)絡(luò)檢測(cè)防護(hù)特點(diǎn)內(nèi)容描述主機(jī)網(wǎng)絡(luò)資源審計(jì)審計(jì)主機(jī)網(wǎng)絡(luò)連接狀態(tài)、路由表、ARP緩存表、IP/TCP/ICMP/UDP統(tǒng)計(jì)表、IP地址表、網(wǎng)絡(luò)連接狀態(tài)等。自定義攔截規(guī)則:用戶可定義基于IP/TCP/UDP/ICMP和端口的攔截規(guī)則。ARP欺騙防護(hù)使用ARP靜態(tài)表保護(hù)技術(shù)防 ARP欺騙。Modem撥號(hào)檢測(cè)可實(shí)時(shí)發(fā)現(xiàn)Modem撥號(hào)等單點(diǎn)破網(wǎng)，并能按照策略進(jìn)行實(shí)時(shí)處理。2.2、共享防護(hù)在Windows操作平臺(tái)，共享交換數(shù)據(jù)非常方便，但由于共享不能控制到用戶級(jí)，同時(shí)共享更不能保證基于用戶級(jí)的訪問(wèn)安全，因此會(huì)導(dǎo)致數(shù)據(jù)丟失或破壞?；诖怂{(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理(BD

8、-SECS YS-H開(kāi)發(fā)出實(shí)用的基于共享安全控制技術(shù)，能控制到共享名 和用戶名綁定，訪問(wèn)文件夾和用戶名綁定，訪問(wèn)用戶與 IP地址綁定' 共享防護(hù)功能模塊具有以下特點(diǎn)：共享防護(hù)特點(diǎn)內(nèi)容描述共享名安全根據(jù)自定義策略，能控制登錄用戶與共享名綁定，即用戶只能訪問(wèn)他允許訪問(wèn)的共享名。共享文件夾安全根據(jù)自定義策略，能控制登錄用戶與共享文件夾綁定，即用戶只能訪冋他允許訪冋的共享文件夾。訪問(wèn)用戶綁定根據(jù)自定義策略，能控制登錄用戶與登錄IP綁定，或不綁定。如果綁定IP，則用戶只能在指定的IP進(jìn)行登錄訪問(wèn)，否則在任一IP可進(jìn)行登錄訪問(wèn)。安全的共享打印要使用共享打印機(jī)必須每次使用指定的用戶登錄后，方可打印，

9、從而實(shí)現(xiàn)了安全的共享打印。2.3、文件檢測(cè)防護(hù)藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理(BD-SECS YS-)擁有強(qiáng)大的文件檢測(cè)防護(hù)功能，無(wú)論來(lái)自本機(jī)還是網(wǎng)絡(luò)對(duì)本主機(jī)的文件、 文件夾的訪 問(wèn)，用戶都可設(shè)定訪問(wèn)控制策略，防止信息泄漏。文件檢測(cè)防護(hù)模塊 的特點(diǎn)如下：文件檢測(cè)防護(hù)特點(diǎn)內(nèi)容描述讀文件、文件夾按照策略能記錄、禁止讀文件、文件夾。能記錄讀文件、文件夾使用 的進(jìn)程等。寫文件按照策略能記錄、禁止寫文件。記錄寫文件當(dāng)前使用的進(jìn)程。刪除文件、文件夾按照策略能記錄、禁止刪除文件、文件夾。記錄刪除文件、文件夾的 當(dāng)前使用的進(jìn)程?？截愇募?、文件夾按照策略能記錄、禁止拷貝文件、文件夾。記錄拷貝文件、文件夾的 當(dāng)使

10、用的進(jìn)程。改名文件、文件夾按照策略能記錄、禁止改名文件、文件夾。記錄拷貝文件、文件夾的 當(dāng)前使用的進(jìn)程。新建文件、文件夾按照策略能記錄、禁止新建文件、文件夾。記錄新建文件、文件夾的 當(dāng)前使用的進(jìn)程。改變文件、文件夾屬 性按照策略能記錄、禁止改變文件、文件夾屬性。記錄改變文件、文件 夾屬性的當(dāng)前使用的進(jìn)程。實(shí)時(shí)獲取主機(jī)文件 信息能夠獲取主機(jī)文件和文件夾信息，并能象在本機(jī)一樣可選擇文件路 徑。2.4、注冊(cè)表檢測(cè)防護(hù)由于入侵者經(jīng)常修改注冊(cè)表，以及各種木馬軟件也修改注冊(cè)表，考慮到主機(jī)的安全性，藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理 (BD-SECS YS-H開(kāi)發(fā)出實(shí)時(shí)的注冊(cè)表監(jiān)控能力，防止非法修改注冊(cè)表。 可

11、定義監(jiān)控注冊(cè)表策略，以監(jiān)控讀、建立、打開(kāi)、刪除、修改注冊(cè)表。2.5、主機(jī)日志監(jiān)控藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理(BD-SECS YS-)可以實(shí)時(shí)獲取安全域內(nèi)用戶主機(jī)上的安全日志、 系統(tǒng)日志、應(yīng)用程序日志，并作為數(shù)據(jù)來(lái)源，進(jìn)行入侵檢測(cè)。日志監(jiān)控模塊特點(diǎn)有：日志模塊特點(diǎn)內(nèi)容描述安全日志檢測(cè)r進(jìn)行安全日志檢測(cè)系統(tǒng)日志檢測(cè)進(jìn)行系統(tǒng)日志檢測(cè)應(yīng)用程序日志檢測(cè)進(jìn)行應(yīng)用程序日志檢測(cè)定義策略:可定義策略有針對(duì)性獲取日志數(shù)據(jù)。日志分析對(duì)獲取的日志數(shù)據(jù)進(jìn)行分析，并按照策略檢測(cè)入侵行為2.6、設(shè)備管理和認(rèn)證藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理（BD-SECS YS-HE遠(yuǎn)程管理安全域內(nèi)主機(jī)上的全部硬件設(shè)備，能禁止設(shè)備的使用

12、。當(dāng)新設(shè)備進(jìn)入系統(tǒng) 時(shí)，BD-SECSYS能自動(dòng)發(fā)現(xiàn)并按照策略實(shí)施處理動(dòng)作 （記錄、禁止、 安全傳輸、報(bào)警、強(qiáng)制認(rèn)證）。設(shè)備檢測(cè)防護(hù)模塊特點(diǎn)有：設(shè)備檢測(cè)防護(hù)特點(diǎn)內(nèi)容描述設(shè)備基線數(shù)據(jù)庫(kù)對(duì)管理域內(nèi)的主機(jī)上的設(shè)備建立基線數(shù)據(jù)庫(kù)，以便需要時(shí)進(jìn)行核 查。自動(dòng)發(fā)現(xiàn)設(shè)備功能當(dāng)新設(shè)備進(jìn)入計(jì)算機(jī)系統(tǒng)時(shí)，能自動(dòng)發(fā)現(xiàn)新設(shè)備。 無(wú)論沒(méi)開(kāi)機(jī)插入設(shè)備然后啟動(dòng)或計(jì)算機(jī)工作時(shí)接入新設(shè)備，都能發(fā)現(xiàn)新設(shè)備，并根據(jù)策略進(jìn)行管理（記錄、禁止、安全通訊、加密傳輸 ）。攔截或禁止功能根據(jù)策略可對(duì)違反規(guī)定的設(shè)備可實(shí)時(shí)攔截或禁止。移動(dòng)存儲(chǔ)設(shè)備認(rèn)證功 能根據(jù)策略對(duì)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行認(rèn)證。提供移動(dòng)存儲(chǔ)設(shè)備認(rèn)證數(shù)據(jù) 庫(kù)。完備的設(shè)備管理能管理的設(shè)備有

13、：軟盤 FD、 MO盤、ZIP盤、JAZZ盤、Flash Device 盤、CD-R、 CD-RW、USB/1394 Storage Device、 紅外線接口、打印機(jī)、鍵盤、鼠標(biāo)等。完備的端口管理可管理的端口有：鍵盤鼠標(biāo)端口控制、USB端口、 IDE總線、光 驅(qū)控制、 軟驅(qū)控制、SCSI控制、紅外控制、1394火線端口控 制、并口控制、串口控制等。2.7、主機(jī)資源審計(jì)藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理（BD-SECS YS-HE對(duì)主機(jī)資源進(jìn) 行審計(jì)，并能實(shí)時(shí)監(jiān)控主機(jī)資源狀況。主機(jī)資源審計(jì)、監(jiān)控模塊特點(diǎn) 有：主機(jī)資源審計(jì)、監(jiān)控特點(diǎn)內(nèi)容描述實(shí)用的主機(jī)資源監(jiān)控:可實(shí)時(shí)監(jiān)控主機(jī)CPU、內(nèi)存使用率主機(jī)進(jìn)程

14、管理可審計(jì)主機(jī)進(jìn)程，并提供遠(yuǎn)程終止進(jìn)程的能力，并設(shè)計(jì)禁止該程 序運(yùn)行策略主機(jī)系統(tǒng)信息審計(jì):審計(jì)主機(jī)系統(tǒng)信息，如 CPU、內(nèi)存、操作系統(tǒng)等。安裝應(yīng)用程序管理審計(jì)已安裝的應(yīng)用程序，并實(shí)時(shí)發(fā)現(xiàn)正在安裝應(yīng)用程序，按照策 略進(jìn)行禁止。能遠(yuǎn)程卸載應(yīng)用程序。服務(wù)管理能遠(yuǎn)程管理(停止、啟動(dòng))主機(jī)上的服務(wù)用戶和組管理能審計(jì)主機(jī)用戶和組信息2.8、異常檢測(cè)藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理(BD-SECS YS-)以計(jì)算機(jī)資源為 目標(biāo)建立異常檢測(cè)模塊，在其中使用了統(tǒng)計(jì)學(xué)方法?？僧惓z測(cè)的資 源有CPU、內(nèi)存、IP流量、ICMP流量、TCP流量、UDP流量等。2.9、外聯(lián)監(jiān)控在內(nèi)網(wǎng)安全管理嚴(yán)格的情況下，主機(jī)用戶為了使用

15、方便或基于某 些違規(guī)行為，使用撥號(hào)等手段進(jìn)入In ter net,從而導(dǎo)致單點(diǎn)破網(wǎng)，給內(nèi)網(wǎng)安全帶來(lái)極大的隱患，同時(shí)主機(jī)用戶會(huì)通過(guò)這種手段泄漏內(nèi)網(wǎng)機(jī) 密信息。藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理(BD-SECSYS-H!過(guò)外聯(lián)監(jiān) 控手段有效防止信息泄漏。2.10、關(guān)聯(lián)安全功能藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理(BD-SECS YS-)與防火墻、網(wǎng)絡(luò) 入侵檢測(cè)系統(tǒng)在安全架構(gòu)內(nèi)能按照策略進(jìn)行聯(lián)動(dòng)或知識(shí)共享，從而形成整體、多層次的安全態(tài)勢(shì)，產(chǎn)生關(guān)聯(lián)安全效應(yīng)。藍(lán)盾主機(jī)監(jiān)控與審 計(jì)系統(tǒng)提供了開(kāi)源的接口標(biāo)準(zhǔn)，以與其它安全設(shè)備進(jìn)行有效聯(lián)動(dòng)。2.11、文件保密工具藍(lán)盾文件加密工具提供文件數(shù)據(jù)加密、解密、安全刪除、安全導(dǎo)

16、入導(dǎo)出等幾大功能，加密解密保證只有持有文件加密狗以及密碼的文件主人才能對(duì)加密數(shù)據(jù)進(jìn)行查看，修改。安全刪除功能可以安全的將 文件刪除，避免被文件恢復(fù)工具所恢復(fù)。文件安全導(dǎo)入導(dǎo)出功能強(qiáng)制 規(guī)定只有經(jīng)過(guò)藍(lán)盾文件保密工具加密過(guò)的的文件方可輸出到usb閃存盤等移動(dòng)存儲(chǔ)設(shè)備上，以防止主機(jī)代理用戶由于usb閃存盤等移動(dòng)存 儲(chǔ)設(shè)備遺失等原因造成信息泄漏。2.12、安全透明存儲(chǔ)功能通過(guò)控制中心管理主機(jī)上安全透明存儲(chǔ)磁盤。在主機(jī)上注冊(cè)安全 透明磁盤，用戶將該安全透明磁盤當(dāng)作普通磁盤使用，實(shí)際上存儲(chǔ)在該盤中的數(shù)據(jù)是高強(qiáng)度加密的。用戶只有通過(guò)認(rèn)證鎖認(rèn)證后才能使用 該盤。3、典型部署藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)典型應(yīng)用如下圖

17、。通過(guò)在內(nèi)網(wǎng)安裝BD-SECSYS,能從縱深的角度防御入侵和誤用，同時(shí)能成功防止保 密信息泄漏，并能采取集中管理的手段實(shí)施桌面級(jí)安全。11廣東天海威數(shù)碼技術(shù)有限公司藍(lán)盾內(nèi)網(wǎng)安全保密系統(tǒng)(BD-SECSYS)12廣東天海威數(shù)碼技術(shù)有限公司藍(lán)盾內(nèi)網(wǎng)安全保密系統(tǒng)(BD-SECSYS)BD-SECSYS典型部暑拓?fù)鋱DBD-SECSYS-NBD-SECSYS-HBD-SECSYS-C#廣東天海威數(shù)碼技術(shù)有限公司藍(lán)盾內(nèi)網(wǎng)安全保密系統(tǒng)(BD-SECSYS)第二章系統(tǒng)安裝1、控制中心安裝1.1、安裝 Mysql安裝 Mysql數(shù)據(jù)庫(kù)，并運(yùn)行Mysql數(shù)庫(kù)?？蓤?zhí)行 Mysql的winmysqladmin程序運(yùn)行

18、Mysql。注意：在安裝控制中心后，要使用BD-SECSY的Mysql數(shù)據(jù)庫(kù)管理工具使用 Mysql更安全。1.2、安裝主機(jī)監(jiān)控與審計(jì)系統(tǒng)控制中心1.2.1、安裝 BD-SECSYS-C安裝過(guò)程界面如下:InstallShieid Wizard閔麟g緲向?qū)V東天海威數(shù)碼技術(shù)有限公司藍(lán)盾內(nèi)網(wǎng)安全保密系統(tǒng)(BD-SECSYS)InstallShieid WizardIn51aJLlShi el d Vi兀安裝程序已完成在計(jì)算機(jī)中安裝藍(lán)盾內(nèi)網(wǎng)安全保密系埼 v£.0»上若門|匸二完範(fàn)二須取消 |1.2.2、運(yùn)行 BD-SECSYS-C第一次運(yùn)行BD-SECSYS-(時(shí)應(yīng)運(yùn)行藍(lán)盾主機(jī)

19、監(jiān)控與審計(jì)系統(tǒng)控制中心，注意運(yùn)行BD-SECSYS-要經(jīng)過(guò)USBKEY才可運(yùn)行。界面過(guò)程如下:在登錄Mysql服務(wù)器配置中配置Mysql，服務(wù)器地址是運(yùn)行 Mysql 服務(wù)器的計(jì)算機(jī)IP地址，如果是本機(jī)，選擇“本地”選擇框。在用戶名使用root，密碼不要填，數(shù)據(jù)庫(kù)名應(yīng)輸入當(dāng)前BD-SECSYS-存儲(chǔ)各種信息的數(shù)據(jù)庫(kù)名,Mysql目錄選擇Mysql命令目錄，僅限本地14廣東天海威數(shù)碼技術(shù)有限公司藍(lán)盾內(nèi)網(wǎng)安全保密系統(tǒng)(BD-SECSYS)#廣東天海威數(shù)碼技術(shù)有限公司藍(lán)盾內(nèi)網(wǎng)安全保密系統(tǒng)(BD-SECSYS)服務(wù)器有用運(yùn)行后在任務(wù)欄出現(xiàn)，如下:LH1.2.3、登錄 BD-SECSYS-C在任務(wù)欄中選

20、擇登錄BD-SECS YS-菜單出線如下界面:缺省用戶名和密碼都是：secsysadm。注意登錄后應(yīng)建立新用戶, 刪除舊用戶1.2.4、配置 BD-SECSYS-C選項(xiàng)2d登錄后選擇BD-SECSYS-C的“選項(xiàng)”菜單，進(jìn)行系統(tǒng)配置，具體操作見(jiàn)操作手冊(cè)。藍(lán)盾內(nèi)網(wǎng)安全蹊窪系竦系竦配置入侵誓報(bào)I遙沖犬小/登錄管理自動(dòng)保存喘口/服務(wù)I郵件丿涼信設(shè)詈I 填入輸出IP和控制中心IP后點(diǎn)“制作”按鈕，完成之后將在安裝程 序制作工具目錄下出現(xiàn)“ setup.exe ”和“ setup.conf ”兩個(gè)文件。 在控制中心安裝目錄下新建一個(gè)名為“ tmp”的目錄，將這兩個(gè)文件 拷貝到該目錄下即可序號(hào)警報(bào)級(jí)別I

21、聲音開(kāi)關(guān)圉標(biāo)開(kāi)關(guān)1234567£6101112可疑的邇訊未知的通訊有潛在碾壞性的逋訊信息泄漏嘗試信烏泄漏嚴(yán)重信息泄漏拒絕服務(wù)嘗試拒纜服務(wù)蕊取用尸權(quán)限嘗試威功菽取用口枳跟菽取超級(jí)用戶權(quán)限嘗誦成功枝取超級(jí)用戶權(quán)限2J 開(kāi)開(kāi)開(kāi)開(kāi)開(kāi)開(kāi)開(kāi)開(kāi)開(kāi)開(kāi)開(kāi)開(kāi)2、主機(jī)代理安裝2.1、制作主機(jī)代理端安裝程序在控制中心所在主機(jī)上運(yùn)行主機(jī)代理端安裝程序制作工具，界面如下圖所示:注冊(cè)主機(jī)代理時(shí)首先請(qǐng)打開(kāi)主機(jī)代理注冊(cè)工具目錄下面的“ config.txt”文件，一般情況下里面內(nèi)容只有一個(gè)ip地址(如4，將其改為控制中心的ip地址。然后啟動(dòng)主機(jī)代理注冊(cè)工具，界面如下圖所示：輸入所需信息之后點(diǎn)擊“

22、注冊(cè)”按鈕，稍等一段時(shí)間，出現(xiàn)“注 冊(cè)成功”時(shí)即說(shuō)明已經(jīng)安裝注冊(cè)成功。2.2、控制中心配置和管理主機(jī)代理為了管理主機(jī)代理應(yīng)在控制中心進(jìn)行遠(yuǎn)程配置主機(jī)代理，配置主要界面如下，具體基本操作部分。19廣東天海威數(shù)碼技術(shù)有限公司藍(lán)盾內(nèi)網(wǎng)安全保密系統(tǒng)(BD-SECSYS)第三章控制中心基本操作1、主機(jī)代理部分操作1.1、文件菜單“文件”菜單共有如下操作：主機(jī)用戶管理、添加主機(jī)代理、刪 除主機(jī)代理、修改主機(jī)代理、修改主機(jī)代理密碼、連接主機(jī)代理、斷 開(kāi)主機(jī)代理、清除信息框。見(jiàn)圖1.1。圖、主機(jī)用戶管理通過(guò)“主機(jī)用戶管理”操作，可錄入內(nèi)網(wǎng)主機(jī)用戶信息，如姓名、 電話、單位/部門、職責(zé)等。1.1

23、.2、添加主機(jī)代理為了管理主機(jī)代理，必須增加主機(jī)代理有關(guān)信息，內(nèi)容有：主機(jī) 代理IP、MAC地址、主機(jī)用途、用戶信息。注意主機(jī)代理 IP是必須要。1.1.3、刪除主機(jī)代理在主機(jī)代理管理中可刪除主機(jī)代理的信息，但不能卸載主機(jī)代理軟件1.1.4、修改主機(jī)代理修改主機(jī)代理管理中的主機(jī)代理信息。不能修改主機(jī)代理軟件配置O1.1.5、修改主機(jī)代理密碼修改主機(jī)代理管理中的主機(jī)代理控制中心密碼，缺省密碼：123456789(?？刂浦行墓芾碇鳈C(jī)代理必須與主機(jī)進(jìn)行密碼和身份確 認(rèn)。1.1.6、連接主機(jī)代理要管理主機(jī)代理，必須通過(guò)“連接主機(jī)代理”操作與主機(jī)代理連接，才能進(jìn)行后續(xù)操作1.1.7、斷開(kāi)主機(jī)代理對(duì)主機(jī)代

24、理操作完后，應(yīng)選擇“斷開(kāi)主機(jī)代理”操作安全斷開(kāi)與 主機(jī)代理的連接。1.1.8、清除信息框進(jìn)行“清除信息框”操作，可清除信息框內(nèi)容1.2、配置參數(shù)菜單1.2.1、修改配置文件121.1、系統(tǒng)信息主機(jī)代理獲取主機(jī)信息情況，并進(jìn)行分析后，可根據(jù)策略與防火墻、 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)等安全設(shè)備進(jìn)行聯(lián)動(dòng)，有效攔截入侵者、誤用行為、 違規(guī)操作。聯(lián)動(dòng)IP和端口指的是防火墻、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)用來(lái)聯(lián) 動(dòng)的IP和端口。密鑰是用于聯(lián)動(dòng)信息的加密傳輸。根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)， 決定主機(jī)代理是否通過(guò)控制中心與防火墻、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)。 信息輸出IP地址指的是主機(jī)代理各種日志信息輸出到何處，控制中 心IP地址決定主機(jī)代理能接受管理的

25、控制中心IP地址。121.2、模塊信息該功能是為了功能模塊擴(kuò)展需要，現(xiàn)在暫時(shí)沒(méi)有擴(kuò)展模塊。122、上傳配置文件修改配置文件后，應(yīng)上傳到主機(jī)代理并激活修改，具體操作見(jiàn)“執(zhí)行 命令”操作。1.2.3、修改模塊配置文件123.1、網(wǎng)絡(luò)檢測(cè)防護(hù)藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理模塊擁有桌面級(jí)防火墻功能。 通過(guò) 集中管理的方式實(shí)施內(nèi)網(wǎng)主機(jī)安全， 增加規(guī)則見(jiàn)下圖，增加規(guī)則后應(yīng) 選擇，并激活修改。27廣東天海威數(shù)碼技術(shù)有限公司藍(lán)盾內(nèi)網(wǎng)安全保密系統(tǒng)(BD-SECSYS)28廣東天海威數(shù)碼技術(shù)有限公司藍(lán)盾內(nèi)網(wǎng)安全保密系統(tǒng)(BD-SECSYS)為了防Arp欺騙，藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理能將IP和MAC地址靜態(tài)綁

26、定，綁定后應(yīng)上傳到主機(jī)代理并激活。綁定操作如下圖:29廣東天海威數(shù)碼技術(shù)有限公司藍(lán)盾內(nèi)網(wǎng)安全保密系統(tǒng)(BD-SECSYS)30廣東天海威數(shù)碼技術(shù)有限公司藍(lán)盾內(nèi)網(wǎng)安全保密系統(tǒng)(BD-SECSYS)IF. 162 168 0.144|確定於棄業(yè)陽(yáng)內(nèi)冋災(zāi)全惺烹系垃増加IPSJMAC. E3MAC：Fl AC 地址格式：00- aa- bb- c c- dd- e e123.2、共享防護(hù)藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)提供了安全的共享防護(hù)能力。在下圖示例操作中，如這條規(guī)則上傳到45同時(shí)45上有共享名 testshare和用戶名 testuse，那么要訪問(wèn) 192.16

27、8.0.145的 testshare 共享目錄，則只能在44使用testuser用戶名共享登錄訪問(wèn) 45的共享目錄testshare提示：1、上傳規(guī)則，應(yīng)激活后 才能應(yīng)用。2、用戶和IP地址可綁定，也通過(guò)不填I(lǐng)P地址實(shí)施不綁在下圖示例操作中，如這條規(guī)則上傳到45,同時(shí)45上有共享名testshare和用戶名testuse，那么要訪問(wèn)45的 testshare共享目錄下的 testdir，則只能在 44 使用testuser用戶名共享登錄訪問(wèn)

28、45的共享目錄testshare 下的testdir，從下圖規(guī)則，該訪問(wèn)操作被拒絕。提示：1、上傳規(guī)則，應(yīng)激活后才能應(yīng)用。2、用戶和IP地址可綁定，也通過(guò)不填I(lǐng)P地址 實(shí)施不綁定。3、訪問(wèn)目錄表示方式：共享名目錄藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)實(shí)施可控性的共享打印。如 44使用45提供testuser用戶名訪問(wèn)該機(jī)的共享 打印機(jī)，打印共享名是 HPLaserJ,圖示操作如下。提示：1、上傳規(guī) 則，應(yīng)激活后才能應(yīng)用。2、用戶和IP地址可綁定，也通過(guò)不填I(lǐng)P 地址實(shí)施不綁定。3、共享打印目錄通過(guò)共享審計(jì)獲取。123.3、文件檢測(cè)防護(hù)藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)提供實(shí)用的

29、本地文件檢測(cè)防護(hù)功能。下圖是獲取44文件信息。這樣可象本地一樣選擇文件或目錄。下圖示例表示對(duì) e:sample文件夾下的目錄和文件實(shí)施拒絕寫操作。提示：1、上傳規(guī)則，應(yīng)激活后才能應(yīng)用。123.4、注冊(cè)表防護(hù)藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)提供實(shí)用的本地注冊(cè)表檢測(cè)防護(hù)功能。下圖示例表示對(duì)根鍵 HKEY_CURRENT_USER下的testregdir子鍵實(shí)施拒絕新建操作。提示：1、上傳規(guī)則，應(yīng)激活后才能應(yīng)用。123.5、日志監(jiān)控藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)提供實(shí)用的日志監(jiān)控功能。能將安裝主機(jī)代理上的主機(jī)日志按照要求實(shí)時(shí)傳送到控制中心備份。策略設(shè)計(jì)如下圖。提示：1、上傳規(guī)則，應(yīng)激活后才能應(yīng)用

30、。123.6、設(shè)備管理藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)提供強(qiáng)大的設(shè)備管理能力。操作如下圖提示：1、上傳規(guī)則，應(yīng)激活后才能應(yīng)用、其它藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)提供異常檢測(cè)能力，可異常檢測(cè)CPU、內(nèi)存、IP、ICMP、UDP、TCP等。CPU、內(nèi)存的閥值是 0-100,表示占用資源百分值只，IP、TCP、UDP的閥值是每秒發(fā)送和接收字節(jié)數(shù)。 不能通訊處理方式是指人為斷開(kāi)主機(jī)代理和控制中心的聯(lián)系，主機(jī)代理會(huì)根據(jù)策略禁止鍵盤和鼠標(biāo)， 在這種情況下，可使用藍(lán)盾主機(jī)監(jiān)控 與審計(jì)系統(tǒng)USB-KEY解鎖。124、上傳模塊配置文件修改模塊配置文件后，應(yīng)上傳到主機(jī)代理并激活修改，具體操作見(jiàn)“執(zhí)行命令”操作。125

31、、移動(dòng)存儲(chǔ)設(shè)備管理藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理強(qiáng)制移動(dòng)存儲(chǔ)設(shè)備認(rèn)證。當(dāng)移動(dòng)存儲(chǔ)設(shè)備進(jìn)入主機(jī)代理所在的主機(jī)，主機(jī)代理能實(shí)時(shí)獲取設(shè)備描述和該 設(shè)備在主機(jī)中的邏輯盤符，然后在本地認(rèn)證，如果本地認(rèn)證沒(méi)有，到控制中心認(rèn)證，如果能找到認(rèn)證結(jié)果，便將結(jié)果返回到主機(jī)代理，對(duì) 該移動(dòng)存儲(chǔ)設(shè)備進(jìn)行相應(yīng)的策略處理， 如果沒(méi)有認(rèn)證結(jié)果，便返回只 讀認(rèn)證結(jié)果到主機(jī)代理，同時(shí)等代理控制中心的認(rèn)證。下圖操作說(shuō)明： 如果選擇主機(jī)型，該設(shè)備只能在指定的主機(jī)有效， 否則該設(shè)備不綁定 到指定的主機(jī)；如果選擇禁止寫，該設(shè)備不能寫，否則該設(shè)備能寫。126、上傳移動(dòng)存儲(chǔ)設(shè)備文件為了實(shí)施主機(jī)代理所在主機(jī)的移動(dòng)存儲(chǔ)設(shè)備能進(jìn)行本地認(rèn)證，應(yīng)將

32、該主機(jī)能認(rèn)證的移動(dòng)存儲(chǔ)設(shè)備信息上傳到該主機(jī)。1.3、主機(jī)審計(jì)菜單“主機(jī)審計(jì)”菜單共有如下操作：主機(jī)代理版本、主機(jī)代理時(shí)鐘、 主機(jī)資源審計(jì)、主機(jī)設(shè)備審計(jì)、進(jìn)程資源審計(jì)、網(wǎng)絡(luò)資源審計(jì)、共享 資源審計(jì)、主機(jī)用戶資源審計(jì)、服務(wù)資源審計(jì)、驅(qū)動(dòng)資源審計(jì)。1.3.1、主機(jī)代理版本通過(guò)此操作能獲取主機(jī)代理的版本號(hào)。38廣東天海威數(shù)碼技術(shù)有限公司藍(lán)盾內(nèi)網(wǎng)安全保密系統(tǒng)(BD-SECSYS)39廣東天海威數(shù)碼技術(shù)有限公司藍(lán)盾內(nèi)網(wǎng)安全保密系統(tǒng)(BD-SECSYS)1.3.2、主機(jī)代理時(shí)鐘通過(guò)此操作能獲取主機(jī)代理的所在主機(jī)時(shí)鐘。#廣東天海威數(shù)碼技術(shù)有限公司藍(lán)盾內(nèi)網(wǎng)安全保密系統(tǒng)(BD-SECSYS)40廣東天海威數(shù)碼技術(shù)

33、有限公司藍(lán)盾內(nèi)網(wǎng)安全保密系統(tǒng)(BD-SECSYS)1.3.3、安全透明存儲(chǔ)空間審計(jì)通過(guò)該審計(jì)操作可管理主機(jī)上的安全透明存儲(chǔ)空間41廣東天海威數(shù)碼技術(shù)有限公司藍(lán)盾內(nèi)網(wǎng)安全保密系統(tǒng)(BD-SECSYS)在主機(jī)上出現(xiàn)如下盤:"程的電序Pfn x-!宜件酈國(guó)吏石®收i®工且© 幫助如©后退”霑z 艘索丈樣興匡”說(shuō)1)咄珈電胞網(wǎng)上瞬 檔有可移動(dòng)吞fit的可用空間125 HB 總丈4 L曲和，込"(D：)3. 5歎盎仇)*IL)H fta本地冊(cè)鹽tE:)蚩全班盤(Z )丈井杲穌：PAI3E 可用空間：125 ME 總?cè)?25 ME1.3.4、

34、主機(jī)資源審計(jì)通過(guò)此操作能獲取主機(jī)代理的所在主機(jī)的主機(jī)資源，并可按照條 件刷新資源和圖形顯示 CPU和內(nèi)存資源。譽(yù)盾內(nèi)網(wǎng)安全保巒系堆一主機(jī)舊£168J44主杭資逶審其它資偉|層計(jì)計(jì)計(jì)計(jì)計(jì) 1.0口共共共共共 njTB327盤蠱益盤盤 撚94定定定定定 UW固固固固固 1=.冊(cè) .ZT型型型型型 鄭類類類類類:3 T3 GE 剩余：492 7T ME :19 00 GE 劇余：1.北 GE:4.65 GB 剩余:145.03 IB :5. SB GB 剩余：327.42 ME :5.09 GB 舸余:433 06 MBLd退出 | 刷新 I1.3.5、主機(jī)設(shè)備審計(jì)通過(guò)此操作能獲取主機(jī)代理

35、的所在主機(jī)的設(shè)備資源，并可遠(yuǎn)程禁止或取消禁止設(shè)備。1.3.6、進(jìn)程資源審計(jì)通過(guò)此操作能獲取主機(jī)代理的所在主機(jī)的進(jìn)程資源，并可按照條件進(jìn)程資源，可遠(yuǎn)程終止進(jìn)程。1.3.7、網(wǎng)絡(luò)資源審計(jì)通過(guò)此操作能獲取主機(jī)代理的所在主機(jī)的網(wǎng)絡(luò)資源，如網(wǎng)絡(luò)連接狀態(tài)、IP地址、MAC地址、路由信息、流量統(tǒng)計(jì)信息等。1.3.8、共享資源審計(jì)通過(guò)此操作能獲取主機(jī)代理的所在主機(jī)的共享資源信息、共享會(huì)話信息、共享訪問(wèn)文件信息。48廣東天海威數(shù)碼技術(shù)有限公司藍(lán)盾內(nèi)網(wǎng)安全保密系統(tǒng)(BD-SECSYS)輩馬內(nèi)網(wǎng)安全保窸系竦共享宿且審計(jì)-共享資遞信息序號(hào)共亭文件夾共享路徑5HPLaserJHF LaserJet 6L6D;teild

36、tvic«4T7 IF并至訪問(wèn)文 WM =e$ IPCSDS pr i ntjGSEA未知DAC：WINNTSyitem32ipooldri v*riG：一菇享會(huì)話信啟序號(hào)說(shuō)明默認(rèn)共享 遠(yuǎn)程T兀 默認(rèn)拱車 晉通曲享 默認(rèn)共享 打EfflU列 晉通共拿 ELlk、I | | 亠打開(kāi)文件訪問(wèn)者49廣東天海威數(shù)碼技術(shù)有限公司藍(lán)盾內(nèi)網(wǎng)安全保密系統(tǒng)(BD-SECSYS)#廣東天海威數(shù)碼技術(shù)有限公司藍(lán)盾內(nèi)網(wǎng)安全保密系統(tǒng)(BD-SECSYS)1.3.9、主機(jī)用戶資源審計(jì)通過(guò)此操作能獲取主機(jī)代理的所在主機(jī)的用戶信息、本地組信息1.3.10、服務(wù)資源審計(jì)通過(guò)此操作能獲取主機(jī)代理的所在主機(jī)的服務(wù)資源，并

37、能啟動(dòng)、停止、暫停、刪除服務(wù)輩唐內(nèi)屆安全図密系筋一屋勞瓷越審計(jì)0AlerterAl er t er1AppMgjnApplication Mtntcemtnt2BDFILEM0NIT0E2BDFILEM0ITIT0R23BDFlEE»0nT0R3BDFILEM0NIT0R34rDFTLEM0BIT0E5DDFILEMOFTTORS5BDHIDSDBDHIDSD8BITSBackground Intelligent IrariEfer 生電rvice7I Br wserItSci svc啟動(dòng)rTict9ClipSrv10CSW2Bl£rv1 評(píng)怙系統(tǒng)V311DefV&

38、tch12Pfs刪除Filt Systen13DhcpIjj VLrlLrj. 1 t!XL L14DHCPS erverDHCP S«rv*r15dmadminLogical Pisk Manager Admiiti §-,16dm serverLogi cal Di sk Manager1TDNSDBS Strv»r18DnscacheDNS Cli ent19Eveixtlo,®：Evnt Log20Even.tSyst««CQi+ Event System21fax.Fax Service99*1已已已已已已已已已已已已已1L

39、止止止止止疔止E止止止行止止止止行止嚴(yán)仃行行止疔 停停停停停運(yùn)停£91停停國(guó)停停停停運(yùn)停運(yùn)國(guó)運(yùn)停遠(yuǎn) 已已已已已'退出1.3.11、驅(qū)動(dòng)資源審計(jì)通過(guò)此操作能獲取主機(jī)代理的所在主機(jī)的驅(qū)動(dòng)資源，并能停止、刪除驅(qū)動(dòng)。50廣東天海威數(shù)碼技術(shù)有限公司藍(lán)盾內(nèi)網(wǎng)安全保密系統(tǒng)(BD-SECSYS)藍(lán)睛內(nèi)網(wǎng)安全保密系費(fèi)一輩動(dòng)費(fèi)邂審計(jì)序號(hào)丨名稱I描述狀崔I類型0Abicsds1abp460rJ52ACPI3AjCPIEC4adpulGOii5AFD6山1*MiLUKAbiosdskaJbp480n5Micrcsoft ACPI Driver ACPIEC adpulEOmATD網(wǎng)絡(luò)支持環(huán)境Ahal

40、W核右核右1011&i cll6x aic7Su2&i cTBxx ami Ont停止ai c78mx ami Ont13AppleT£Lk14asc15ascSSSOp16asc355017AsyRcNcISatapi19At di wk20At mar pc21aditub12amsintAppleTalk Frctoc&l ue a?c3350p asc35B0RAS Aynckronous Media DrivtrStandard IDE/ESDI Hari Dik ControllerAtdi ricATM ART Client ProtocolAu

41、dio Stub Driver止行止止止止行止止石一止止止止51廣東天海威數(shù)碼技術(shù)有限公司藍(lán)盾內(nèi)網(wǎng)安全保密系統(tǒng)(BD-SECSYS)#廣東天海威數(shù)碼技術(shù)有限公司藍(lán)盾內(nèi)網(wǎng)安全保密系統(tǒng)(BD-SECSYS)1.3.12、安裝軟件資源審計(jì)通過(guò)此操作能獲取主機(jī)代理的所在主機(jī)的安裝程序列表，并能輸出成報(bào)表，審計(jì)入庫(kù)，和對(duì)不符合安全策略的程序進(jìn)行卸載操作內(nèi)網(wǎng)安全保密系統(tǒng)-安裝軟杵資海審計(jì)安裝軟件序號(hào)軟件名版本危險(xiǎn)性1gWindflE XP 修補(bǔ)程序包-KB87.200411 IT.10Windows XP 修補(bǔ)程序包 - KBS8.20041027.hWindwvs XP修補(bǔ)糧序包-KB882004102

42、8.12Windows XF 俺補(bǔ)程京包-KB8& ,.2004092413Vindas XP 播補(bǔ)程帛包-KB88.20041021.14Hlaxthon Browser (remoie only)15Microsoft .NET Framework 1.1i&Micrsoft rHET Framework (ErtITMSI工具欄13MySQL Server s and Cli ents 3.19NavMelper20NVIDIA Drivers21NVi di a Refresh Rate Fix22PCI Audi d Irivsr23FrtmiumSoft MySQL

43、 Studic24IntelPEC Wetwork Connect -< |JUI退出<l1.4、系統(tǒng)菜單“系統(tǒng)”菜單功能有：設(shè)計(jì)主機(jī)代理所在主機(jī)時(shí)鐘、主機(jī)代理密碼、執(zhí)行命令1.4.1、修改主機(jī)代理時(shí)鐘通過(guò)此操作遠(yuǎn)程更改主機(jī)代理所在主機(jī)時(shí)鐘1.4.2、修改主機(jī)代理密碼通過(guò)此操作遠(yuǎn)程更改主機(jī)代理密碼，這個(gè)密碼用來(lái)判斷控制中心連接主機(jī)代理時(shí)使用的密碼是否正確。1.4.3、執(zhí)行命令藍(lán)盾主機(jī)監(jiān)控與審計(jì)系統(tǒng)主機(jī)代理部分提供了對(duì)主機(jī)代理操作如 下命令：應(yīng)用網(wǎng)絡(luò)規(guī)則使主機(jī)代理基于網(wǎng)絡(luò)檢測(cè)防護(hù)的規(guī)則生效。啟動(dòng)網(wǎng)絡(luò)規(guī)則模塊啟動(dòng)主機(jī)代理基于網(wǎng)絡(luò)檢測(cè)防護(hù)模塊。停止網(wǎng)絡(luò)規(guī)則模塊停用主機(jī)代理基于網(wǎng)絡(luò)檢測(cè)防護(hù)模塊。應(yīng)用I