SGCC-USB1.0移动存储介质管理系统管理员手册国网电力信息通信公司2008目录第一章系统概述国家电网公司移动存储介质管理系统SGCC-USB V1.0以下简称SGCC-USB V1.0是根据国网网络应用特点而设计的一套移动存储管理方案,目的在于满足国家电网公司内网移动存储介质日常安全管理;SGCC-USB V1.0综合应用底层驱动、扇区加密、进程守护等多种安全防护技术,磁盘文件底层驱动技术对普通移动存储设备主要USB类型作唯一性标签处理, AES128位高强度算法对磁盘进行数据区划分并作加密处理,标签移动存储介质结合受控客户端主机的安全访问控制策略作匹配授权,确保标签移动存储介质使用的安全性与合法性;SGCC-USB V1.0系统通过集中的注册管理平台对 USB存储设备作严格的设备介质身份认证、数据信息重构、数据加密等一系列安全防护操作,针对办公网内计算机USB存储设备的使用和管理建立了完整的防范解决体系,系统采用C/S和B/S混合式架构,由服务器端和客户端构成;SGCC-USB V1.0客户端主机通过移动存储介质的产品唯一生命特征识别码和硬盘唯一码结合进行识别,当主机数据库和移动存储介质中的认证信息相同时,接受其入网使用;未经注册的移动存储设备将会自动被系统强制卸载,实现单位U盘外出使用需要到单位保密或网络管理员处登记,否则在外部无法打开;SGCC-USB V1.0在解决安全方面的问题,同时还兼顾工作的实际,力求使用的方便、简洁与高效;1-1 系统组成◆系统服务器端:SGCC-USB V1.0系统管理中心,自动发现网络中的终端计算机,并检测终端计算机是否安装系统客户端程序,管理中心内置移动存储管理策略中心和报警中心,提供对网络终端的分组管理设置;SGCC-USB V1.0系统服务器端由4个组件构成: SQL Server管理信息库安装包:环境初始化程序、Web中央管理配置平台安装包:网页管理平台、区域管理器安装包:Region Manage,原区域扫描器已作为模块集成到区域管理器、WinPcap程序;环境初始化程序:SQL Server管理信息库,建立移动存储介质管理系统的初始化数据库;包括:客户端主机设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册未注册机器信息、设备属性变化信息、报警信息等;扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比,根据审计要求在管理平台上报警;Web管理平台:Web中央管理配置平台,本系统的管理配置中心;包括区域管理器、扫描器、注册客户端的功能参数设定,网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作;Region Manage:区域管理器,系统数据处理中心;与管理信息数据库通讯,接收注册程序提供的用户信息,将用户信息用户填写的物理信息和系统自动采集的硬件信息并行存入数据库;接受来自控制台的命令操作,发送到客户端、扫描器执行;对于存在多级管理要求的广域网,网络中可以存在多个区域管理器,系统数据提供逐级上报转发模式;区域管理器内置网络扫描器,扫描器将设备最新状态信息报送至区域管理器;扫描器配合区域管理器进行工作,可以在分级模式下使用,扫描器只依据Web管理平台中配置的工作范围进行扫描,超越其范围,将不负责执行;WinPcap程序:嗅探驱动软件,配合区域管理器工作;◆专用认证工具:SGCC-USB V1.0移动存储设备认证程序,用于管理员对网络中移动存储介质进行集中注册和授权管理,对普通移动存储设备加载认证标签,同时划分数据区交换区、保密区、启动区,将使用人、使用人部门、设备编号等信息写入移动存储设备,完成普通移动存储设备到专用移动存储设备安全U盘、安全移动硬盘的技术处理;专用认证工具还用于专用专用移动存储设备密码遗忘后的密码还原操作;认证工具程序可以在网管员主机上或任意主机,但必须由管理员控制使用,使用时必须能够同系统服务器连接,方可对移动存储设备进行认证管理工作;◆系统客户端注册程序Agent:安装在终端计算机,接受系统管理中心分发的策略,根据接受策略实时监控接入终端计算机移动存储设备的操作行为和状态,并进行管理或者控制;系统客户端注册程序Agent作用:用户填写本机信息,填写必要信息后上报区域管理器;注册程序自动探测系统硬件信息,连同用户填写的信息一同上报区域管理器;用户将本机注册信息发送到区域管理器后,区域管理器自动将客户端驻留程序应用策略发送给用户,并自动更新;客户端驻留程序功能:1、进行本机IP/MAC、资产等信息采集;2、本机移动存储设备使用状况监测;3、接受Web管理平台的管理策略命令,并执行;4、报送本机移动存储设备审计信息到控制台;5、阻断本机联网行为;注:区域管理器Region Manage、区域扫描器模块Region scan、注册程序系统的参数配置集中体现在网页管理平台操作上,上述三部分功能参数值统一在网页管理平台中进行配置;区域管理器Region Manage、扫描器模块Regionscan部分参数在自身组件中配置;1-2 系统构架移动存储介质管理系统SGCC-USB V1.0应用于局域网、广域网构架,支持跨网段、跨地域的内网客户端移动存储设备介质的管理和审计,系统应用主要分为以下两种构架:基本构架:对于一般网络例如1个C类地址或若干个C类地址的局域网范围,可使用一套本系统软件,集中管理所属区域内的所有设备;扩展构架:对于大规模的多个局域网或者跨地域广域网包括基于国家、省、市、县等多级管理模式的网络结构,可使用本系统提供的多区域集中管理构架,即一个或多个网段各拥有一套独立移动存储介质管理系统的同时,将本级所有设备信息再转发给上级管理数据库,使得上一级管理人员对整个网络的移动存储设备使用状况也能够完全掌握;移动存储介质管理系统SGCC-USB V1.0应用拓扑第二章系统安装2-1 安装环境要求条件一:硬件环境SQL Server数据库服务器:用于安装SGCC-USB V1.0系统管理信息数据库;PC 服务器或更高档服务器, PentiumⅣ 2.4C 以上CPU,512M以上内存;区域管理器:用于安装区域管理器程序;百兆或千兆网卡,PC服务器或更高档服务器, PentiumⅣ 2.4C 以上CPU,512M以上内存;扫描器模块:配置同区域管理器;如单独安装扫描器模块,比较高档的PC计算机即可;本系统各程序可安装在同一台计算机上,也可在不同机器上安装SQL数据库、IIS服务器、区域管理器、扫描器模块等,此时推荐该计算机内存为1G以上;建议将区域管理器、扫描器、网页管理平台安装在同一台机器上,作为管理服务器;条件二:提供数据库、IIS服务操作系统:Windows 2000或Windows 2003企业版操作系统;SQL Server2000软件:配备SQL Server数据库系统,用于移动存储介质管理系统建立管理信息库数据库列表项;IIS服务:配备IIS服务器提供Web服务,用于安装Web网页管理配置平台;如所装操作系统为Windows 2003企业版,则需要按照安装光盘中的Windows 2003的IIS配置说明进行IIS配置;条件三:为本系统提供相应端口移动存储介质管理系统SGCC-USB V1.0区域管理器将占用操作系统88端口,必须确保安装区域管理器的机器该端口不被占用;区域内的防火墙应打开如下端口:80,88, 161,137,22105,2388,2399以及ICMP协议端口,同时本机不启用DNS 服务;2-2 安装注意事项软件安装时,推荐将区域管理器、扫描器、数据库安装在同一台机器上以下称为管理服务器,建议按照下面要求进行移动存储介质管理系统服务器部署、软件安装、客户端注册;2-2-1 服务器部署1、移动存储介质管理系统服务器在网络中位置⏹确保该服务器能够ping通所有被管理网络中任意一台客户端机器,同时被管理客户端可以正常连接服务器的TCP的80,88两个端口;不⏹服务器给客户端下达策略的端口为:TCP端口22105;⏹服务器扫描发现客户端利用以下协议及端口:⏹ICMP协议发现IP地址存在的其中一种方式;◆NETBIOS协议,UDP端口137为了发现机器名和MAC地址;◆SNMP协议,TCP端口161为了发现智能设备如路由器、交换机等;⏹在本地网络中若划分了VLAN,或本地网络存在防火墙,请注意上述问题;2、存在网中子网如经过地址转换的网络布置点对于网络中存在网中网现象,如采用NAT地址转化或者代理方式在10.. . 网络中接入192.. . 网段,这些子网用户的管理方式如下:情况一:子网有专人管理,并且有独立机房,则应在该子网中安装一套完整的移动存储介质管理系统;情况二:子网无专人管理,或无独立机房,可采用以下3种方式之一处理1)机器数量少的建议统一更改IP为10.. . 网段;2)由管理员监督子网中所有机器进行注册并保证不得遗漏;3)在该网络中指定一台工作站专门安装区域管理器软件和区域扫描模块,并将区域管理器配置中SQL服务器地址指向服务器;2-2-2 安装和应用1、必须按照软件安装步骤进行安装1确认本机IIS服务正常;2确认本机SQL已正常安装并能正常使用以本地系统账户方式安装;3确认目标安装盘剩余空间不小于10G;4请务必按照指定顺序安装各个模块;5请在区域扫描模块所在计算机中安装SNMP服务;6安装完所有系统模块后,请一定按照说明文档进行客户端程序的配置及分发安装;2、移动存储介质管理系统服务器的安全性问题服务器安装Windows2000 Server操作系统带IIS、MS SQL Server2000数据库后,一定要确保对Windows2000、SQL和IE进行重要安全补丁修补,规范操作系统、数据库的口令和密码设置,保证SQL、IIS的正常启动运行;确保本服务器无病毒,同时可配置本服务器网络通讯端口仅打开:80,88,22105;3、保护机制的应用对大多数交换机、路由器、非Windows设备,需要将其设置为保护状态避免被阻断导致网络不通,其它如有系统无法识别的重要设备,请在网页管理平台设备信息查询中手动将其设置为保护状态;2-3 系统组件安装SGCC-USB V1.0安装顺序依次为:安装 SQL Server数据库;安装WinPcap驱动程序;安装并运行环境初始化程序,初始化数据库;安装网页平台并进行划分区域,配置区域IP范围、区域管理器参数、设备扫描器参数等推荐安装在默认路径下;安装区域管理器推荐安装在默认路径下;通知所有用户下载并运行注册客户端代理探头程序;2-3-1 安装SQL server数据库略,见附录一;2-3-2 安装WinPcap驱动模块在安装页面中选择“安装WinPcap驱动模块”按钮,单击“下一步”安装在区域管理器所在计算机上;2-3-3 初始化数据库初始化数据库是在SQL数据库中初始化建立VRVEIS数据库并生成系统必需的相关数据表格,在此过程中需要利用本地数据或者调用远程SQL数据库,用户需要根据实际安装情况按以下两种方式进行操作:本地SQL数据库服务器环境初始化1、环境初始化,建立初始数据库在SQL服务器地址栏中添加本地机器IP地址、SQL用户名、及SQL用户密码;SQL数据库服务器环境初始化根据数据库认证方式,选择windows身份认证或者sql身份认证建议选用后者;2、检查数据库初始化是否成功:检查数据库初始化当有如图“初始化数据库结构成功”提示框弹出时,说明已成功创建初始化数据库;否则会出现如下图所示提示信息:初始化数据库失败提示信息如果出现如上图所示提示信息,用户需要检查所填入的SQL数据库IP地址、用户名以及用户密码,重新初始化数据库;⏹远程SQL数据库服务器环境初始化建议非特殊情况不采用远程方式1、输入远程数据库信息,配置SQL客户端:安装远程数据库需要首先输入远程数据库IP地址、用户名称、用户密码,然后点击“配置SQL客户端”,出现如下界面:配置SQL客户端2、在通用栏中,启用TCP/IP协议:在通用栏中,选用TCP/IP协议,并启用,然后单击别名,进行别名添加设置;启用所选协议3、进行客户端别名的添加:单击上图中所圈中的别名,出现如下所示:对客户端别名的添加4、进行网络协议的选择和服务器别名的添加:此时用户需要首先选择网络协议,选定为TCP/IP,服务器别名根据用户需要自由添加,点击确定后完成数据库初始化;2-3-4 安装Web中央管理平台⏹安装Web管理平台此部分程序要求安装在默认路径下,安装过程中请确保信息填写正确,否则,Web服务器可能不能正确访问SQL Server数据库;⏹Web中央管理平台访问Web管理平台安装以后在IIS目录上以虚拟目录的形式存在,虚拟目录名称为VRVEIS,用户在安装完成以后,用http://Web服务器域名IP/VRVEIS的形式访问Web管理平台主页面;默认用户名为admin,密码为123456;以下的都是用admin登陆进行说明的审计用户名为audit,默认密码为123456;如果http://Web服务器域名IP/VRVEIS访问无效,则以http://Web服务器域名IP/VRVEIS/INDEX.ASP方式登录;2-3-5 安装区域管理器Region Manage在Web中央管理平台中划分区域及指定区域管理器后参见Web中央管理平台配置安装区域管理器组件;安装后进行以下两项配置:⏹SQL客户端配置如果“区域管理器”没有同SQL装在同一台服务器上,需要在如下图所示窗口中将默认网络库选择为“TCP/IP”,使客户端能够远程访问数据库;在“区域管理器”中选择“配置”->“系统配置”,配置SQL客户端,也可以通过Alt+S热键,进入配置;SQL常规配置上述配置完毕以后,需要重新启动“区域管理器”,使系统生效;⏹区域管理器系统配置SQL服务器配置:进入“系统配置”,逐步输入SQL服务器IP地址、用户名称及密码、数据库名称默认为VRVEIS,单击“确定”完成SQL服务器配置;区域管理器中SQL配置2-3-6 配置设备扫描器模块Region scan在配置好Web防护系统区域及其区域管理器后做以下步骤:在配置管理里,点击“扫描器配置”可以添加扫描器,配置扫描范围;区域扫描器配置填写相关信息之后重新启动区域管理器,程序会自动缩小到系统托盘,表示数据库连接成功,程序运行正常,此时通过上图中“扫描器配置”项来查看扫描器相关运行信息;2-3-7 客户端注册一客户端注册流程及注册程序配置⏹客户端注册流程执行注册程序,根据要求填入指定信息,系统自动将所添加信息和系统自动采集获得的设备信息发送到区域管理器,由区域管理器将注册信息处理后存储到SQL数据库,在Web管理平台中设置的客户端参数策略将由区域扫描器扫描客户端后,发送给客户端驻留程序保存执行;该客户端驻留程序驻留在系统内部,以服务和进程的方式实时运行,一旦非法移动存储设备非法接入注册计算机,客户端驻留程序立即向web管理平台发送报警数据,同时本机将显示报警信息;⏹修改客户端注册程序配置文件在web平台中配置管理->注册程序配置;注册程序使用前需要网管人员的配置,主要是设置区域管理器IP地址注册时客户端信息发向该IP地址所在的区域管理器,如区域管理器为10.1.32.249,配置如下图所示:注册程序配置在这里,可以对注册时需要填加的单位、注册密码进行编辑;如下图所示:单位和部门添加删除二客户端注册方法客户端注册方法包括网页静态注册、网页动态注册、手动注册、网关重定向强制注册等;网页静态注册:静态注册比较简单,客户端只需要将配置好的注册文件上传到公共主页上即可,做一个链接,访问主页后手动下载注册;主要讲述动态注册,这种方法适用于网络用户较多的情况,客户端只要访问网络内公共网站,网页将自动对客户端进行探测,弹出提示窗口,提示用户进行注册;网页动态注册:利用网络中已经构建好的内部网站,一方面网络客户端可以通过手动获得注册程序,也可以通过在主网页上加载弹出页面的方式进行提示性注册;本手册将主要介绍后一种方式;当网络中客户端计算机访问本网络内部网站时,在该主页代码中加入一段代码如下;本代码作用在于首先获得该客户端计算机的IP地址,再读取数据库里面相关IP地址的注册和其它相关信息,如果该IP地址的设备存在,系统会根据其是否完成“注册”、“信任”、“保护”三项操作进行判断,只要满足其中任意一条件,都不会提示注册,否则会弹出窗口提示注册;网页加载弹出程序方法如下:编辑已有主页的源程序,在需要加载弹出窗口主页的源代码<body>中放入以下代码:<iframe src="http://192.168.0. 253/vrveis/quest.asp"frameborder="0" style="width:0px;height:0px"></iframe>注意:需要将其中的http:// 192.168.0.253/vrveis/quest.asp换成http:// 网页平台计算机IP/vrveis/quest.asp即可,此时当网络中计算机访问该内部主页时,会自动弹出如下提示页面:网页动态注册使用网页动态注册时,请管理员通知注册人,在访问本网站时,暂时关闭网页弹出拦截程序或将本网站添加到不拦截列表中;手动注册:除了自动注册设备外,遇到需要手工注册新增设备时,也可通过WEB管理平台中数据查询,设备信息查询中的手动添加设备功能,将新增设备的具体信息详细登记填写至数据库中,并将其置为保护设备;注意:1.多级级联注册:如果系统为多级级联方式,必须在区域管理器的高级配置中的“系统配置”、“策略配置”选项中的级联选项选中,并正确添加上级管理器的IP地址,各级区域会将自己所管辖的区域管理IP段上报到上级数据库中存储;此时,当网络中任意一台下级区域客户端计算机访问主网站的同时,会根据最上级区域数据库中存储的各级上报IP段信息,自动将该客户端注册程序文件下载路径指向为自己所处IP段的本级区域注册器上,做到各个区域的客户端计算机在访问同一网站进行注册程序下载时,所下载的客户端程序均为自己所在区域的专用注册程序;如果网络中内部网站,网络管理员可以通知网络内计算机在本系统Web管理平台的登录页面中点击下载注册程序完成系统注册,或者在此页面下按上面的步骤做好弹出提示窗口方式注册;注册程序界面如下:客户端注册信息无论采取哪种方式,在注册成功以后,注册程序除了将主动添加的信息自动上报以外,还会自动收集其它和系统相关的信息进行上报;客户端和区域管理器连接通讯不正常的情况下,将提示用户“缺省注册成功”,表示客户端探头已经注册完毕,但还没有与区域管理器通讯;当区域扫描器扫到该计算机的IP地址时,才会将添加的信息及系统采集信息上报到区域管理器,存储在数据库当中;2.本系统使用初期,若要求对下属网络中的计算机信息进行统计、注册、入库,必须在Web管理平台中管理器设置项内选中“允许客户端注册”,如注册时需要密码,也需要在WEB管理平台中进行设置,如下图所示:允许客户端注册第三章系统组件配置3-1-1 区域划分在网页平台安装完毕之后,访问http://Web服务器域名IP/VRVEIS访问WEB 管理平台登录界面;如下所示:Web管理登录界面系统默认用户为admin,密码为123456,登录后建议管理员修改管理员密码;成功登录后,进入系统的主界面;在所处的IP地址段内,进行区域划分操作首先进行区域添加和划分操作;区域划分:单击配置管理里的“区域划分与配置”,对网络中的客户端进行区域划分管理,按照提示依次添加区域、增加区域IP管理范围、分配区域管理器、,并完成系统组件运行参数配置;具体步骤:区域描述配置栏中填写好一些必要的与区域相关的信息,如区域机构代码、区域名称、负责人姓名等;其他信息可以酌情依照实际用途填写;本区域IP划分:根据用户实际需要在下图所示的文本框中填入需要管辖的IP地址;其中保留IP段为该网段目前没有网络设备存在的网段,如有设备存在,则会产生报警信息;区域划分与配置下级区域划分:在已有区域页面中点击“增加下级区域”按钮进行下级区域添加,如集团总部下属总裁办、行政部、财务部等;3-1-2 区域管理器配置区域管理器:区域管理器为系统策略控制及数据接收处理中心,具有控制完成系统相关的动作行为处理功能;同时与本级数据库系统连接,统一接收注册程序提供的信息,将用户信息填写的计算机使用人姓名、联系电话、E-mail等,计算机IP、MAC地址、硬盘、CPU、内存等其它硬件信息均为自动采集存入数据库;根据本区域客户端IP管理情况确定对IP地址的管理方式,若选择IP、MAC 地址绑定,需要在静态IP环境下进行设置;允许客户端控头升级:设置本区域管理器管理范围内的客户端的升级操作;设置vpn网络虚拟管理器IP:添加VPN虚拟服务器的IP地址;管理器标识:管理器的标记,当服务器迁移时需要设置与之相同的管理器标识;允许客户端注册:任意一台在区域范围内的客户端都可以在服务器上注册;管理器配置同步:当选中“下级区域”时下级区域的配置应该和上级区域管理器的配置相同,当选中“全部区域”时是指下面的任意级联区域都要和区域管理器的配置同步;区域管理器参数设置区域管理器系统配置:设置完当前页面时可以配置管理器,在桌面双击“区域管理器”快捷方式弹出如下界面:区域管理器系统配置进行SQL服务器配置:进入“系统配置”,逐步输入SQL服务器IP地址、用户名称及密码、数据库名称默认为VRVEIS,单击“确定”完成SQL服务器配置;SQL服务器配置管理器配置:本软件默认机器操作系统88端口,若其它应用程序占用该端口,将自动更改为188;如果区域管理器应用于多级管理每级都有独立的SQL server和相应的系统的级联构架体系,其上级还有区域管理器的情况下,当前区域管理器需要将所有信息上报到上级管理器;区域管理器支持多级级联,如国家、省、市、县多级规模网络管理构架,下属区域管理器将其所有计算机报警信息转报到上级数据库;注:需要把“上报给上级管理器”√上,输入上级管理器地址;升级配置:用于配置区域管理器的自动升级,升级服务器地址为上级区域管理器IP;区域管理器配置-高级设置系统配置:锁定下级策略是指下级不能够更改策略信息;上报给上级区域管理器是指下级的策略,阻断,违规信息上报给上级区域管。
