北信源网络接入控制系统管理系统白皮书v3.0

合集下载

产品介绍上网行为管理系统北信源

产品介绍上网行为管理系统北信源
我们与众不同
• 终端分布式功能部署，BMG集中功能处理，减少系统开销
– 敏感信息过滤功能分布式部署
– 加密内容审计分布式部署 – 安全准入分布式部署
•BMG 集中功能处理
PPT文档演模板
•EDP功能插件
•分布式处理信息上报
•EDP功能插件
•EDP功能插件
•EDP功能插件
•行为前
•安全准入控制 •二次授权认证
•行为中
•敏感信息过滤 •网页过滤
•行为后
•带宽管理 •综合信息审计
PPT文档演模板
产品介绍上网行为管理系统北信源
我们与众不同
• 组件化
可根据用户自身的需求特点，选择和启用不同的功能组件实现任意组合与扩展，保护安
。全投资，减轻系统负载，提高系统运行效率
PPT文档演模板
PPT文档演模板
产品介绍上网行为管理系统北信源
网页过滤
• 内置36大类超过100万条的中文网页过滤分类数据库，能够实现基于 URL预分类网站列表的访问控制、基于用户和访问时间段的控制管理、基于URL关键字的URL过滤、支持URL访问记录的查询，以及可以对访问内容、访问量和访问者的统计排名等功能。
精细化报表
• 中文界面，饼图、柱图、线图、列表以及区域图多元化报表，报表类型及内容支持自定义，灵活方便。
PPT文档演模板
产品介绍上网行为管理系统北信源
PPT文档演模板
内容
•需求分析 •销售技巧 •产品概述 • 产品优势 •产品简介
产品介绍上网行为管理系统北信源
我们与众不同
• 产品理念
北信源上网行为管理网关VRV BMG对于上网行为的管理更倾向于行为前的避免和行为中的阻止，而不是行为后的管理，将行为风险因素降至最低。

北信源

1公司简介北京北信源软件股份有限公司创立于1996年，注册资金5000万，是中国第一批自主品牌的信息安全产品及整体解决方案供应商，中国终端安全管理领域的市场领导者。

北信源总部位于北京，下设多个全资子公司及北京、南京两个研发中心。

拥有近500名信息安全专业研发、咨询与服务人员，构建了全国七大区、近三十个省市的营销与服务网络，为用户提供业界领先的产品与服务。

十几年来，北信源致力于信息安全技术的研究与开发，在业内屡创佳绩，成果斐然。

曾革命性推出中国首款桌面安全管理产品，开启“桌面安全管理”技术革新之先河，并迅速做到国内销量第一；前瞻性推出了面向个人用户的数据安全产品—数据装甲，引领进入“全民数据安全”新时代；证券安全监控系统在国内券商使用率中也曾排行第一。

作为公司的产品核心：面向网络空间的终端安全管理体系--VRV SpecSEC是国内第一个面向网络空间的终端安全管理体系。

体系遵循安全产品符合性开发、基于策略的终端安全配置、评估为准的终端安全管理、组件化终端安全管理四大核心理念，并首次将受控云技术运用于终端安全体系和产品中，完整覆盖准入控制、补丁分发、介质管理、数据安全、安全审计、安全检查、行为管控、桌面管理、管理平台等全方位、多层次、立体化的网络空间终端安全各个层面。

作为中国终端安全管理领域的市场领导者，北信源终端安全管理产品在中国终端安全管理市场占有率连续五年保持第一（数据来源：CCID）。

产品覆盖政府、国防、军队军工、公安、金融、能源、通信、交通、水利、教育等重要行业，用户涉及各行业数千家单位，连续多年入围中央政府采购，成功部署数千万终端。

北信源公司在业界屡获殊荣，荣获国务院颁发的国家科学技术进步二等奖、部级科技进步奖等多项荣誉。

在标准制定、重大专项等方面积极配合政府行动，同国家政府部门、国内顶级院校、国际顶级IT厂商长期保持战略合作关系，公司现已成功打造信息安全知名品牌“北信源”、“VRV”。

北信源网络接入控制管理系统白皮书v3.0

本手册没有任何形式的担保、立场倾向或其他暗示。

商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异，由此可能产生的差异为正常现象，相关问题请咨询北信源公司技术服务人员。

免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，北信源公司及其员工均不承担任何责任。

目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关（可选配） (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全，保证企业网络保护机制不被间断，使网络安全得到更有效提升。

与此同时，还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。

通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外，还能够覆盖到企业网络的每一个角落，甚至是当使用者的移动设备离开企业网络时，仍能有效的提供终端设备接入控制的执行。

VRVed北信源内网管理系统用户使用手册

对于存在多级管理要求的广域网，网络中可以存在多个区域管理器，实现系统数据逐级上报（转发），对网络终端的多级管理。
区域管理器内置网络扫描器，扫描器用来发现网络的终端设备。将发现的设备信息交由区域管理器处理。、设备最新状态信息报送至区域管理器，由区域管理器处理后，同数据库中原有信息进行遍历搜索对比，根据管理规则在管理平台上报警。
参数
说明
策略名称
此处可以修改策略名称
风险级别
分为低、中、高三个级别
停用锁定
选中【锁定对策略的停用操作】后，策略列表中的【停用】功能将不起作用，用于防止用户的误操作。
策略状态
制定策略的状态：启动/停止
策略存活时间范围
即策略以天为单位的存活时间段
策略无效工作日
即可在一星期中选中一天或多天使策略无效
策略无效时间段
正文目录
图目录
表目录
第一章概述
特别说明
北信源终端安全管理系列产品由《北信源内网安全管理系统》、《北信源补丁及文件分发管理系统》、《北信源主机监控审计系统》、《北信源移动存储介质使用管理系统》、《北信源网络接入控制管理系统》及《北信源接入认证网关》6大套件构成。
本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版)，恕不另行通知。需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。
管理器主机保护模块
管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协议、通信IP范围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置，从而防止该计算机受到恶意的IP冲突以及各种网络、病毒攻击。
报警中心模块
安装在可与区域管理器所在服务器正常通讯的计算机上，本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、信使服务、SNMP Trap、手机短信等多种报警方式。

1-北信源主机监控审计系统白皮书

本手册没有任何形式的担保、立场倾向或其他暗示。

免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，北信源公司及其员工均不承担任何责任。

1.产品概述北信源公司是一家长期专注于信息安全领域的高科技企业，是中国领先的终端安全管理产品及解决方案供应商。

北信源公司提供的安全管理产品及解决方案具有典型的行业代表性和技术领先性，多年占据市场领先地位，可有效的解决由于终端管理不善引发的各种安全问题，为用户建立可控的安全管理平台，提升用户的安全形象。

主机监控审计系统是北信源公司在多年潜心研究终端安全管理的技术基础上，专门针对终端数据安全、行为审计、访问控制研发出的一款安全管理产品，是北信源公司全方位、立体化安全管理体系的重要组成部分。

产品遵循网络防护与端点防护并重理念，从终端状态、行为、事件三个方面来进行防御，有效防止终端通过各种途径主动、被动泄密，形成了对终端、终端应用、终端操作者、终端使用单位等多方位的管理体系，构筑了终端信息安全保密的钢铁长城。

2.产品结构北信源主机监控审计系统由7部分组成：WinPcap程序、SQL Server管理信息库、Web中央管理配置平台、区域管理器、客户端注册程序、管理器主机保护模块、报警中心模块。

1.WinPcap程序：嗅探驱动软件，监听共享网络上传送的数据。

解决方案北信源内网安全管理系统解决方案v2.0北信源.doc

解决方案_北信源内网安全管理系统解决方案v2.0_北信源1北信源内网终端安全管理系统解决方案北京北信源软件股份有限公司目录1.前言(3)1.1.概述(3)1.2.应对策略(4)2.终端安全防护理念(5)2.1.安全理念(5)2.2.安全体系(6)3.终端安全管理解决方案(7)3.1.终端安全管理建设目标(7)3.2.终端安全管理方案设计原则(7)3.3.终端安全管理方案设计思路(8)3.4.终端安全管理解决方案实现(10)3.4.1.网络接入管理设计实现(10)3.4.1.1.网络接入管理概述(10)3.4.1.2.网络接入管理方案及思路(10)3.4.2.补丁及软件自动分发管理设计实现(15) 3.4.2.1.补丁及软件自动分发管理概述(15)3.4.2.2.补丁及软件自动分发管理方案及思路(15) 3.4.3.移动存储介质管理设计实现(19)3.4.3.1.移动存储介质管理概述(19)3.4.3.2.移动存储介质管理方案及思路(20)3.4.4.桌面终端管理设计实现(23)3.4.4.1.桌面终端管理概述(23)3.4.4.2.桌面终端管理方案及思路(24)3.4.5.终端安全审计设计实现(36)3.4.5.1.终端安全审计概述(36)3.4.5.2.终端安全审计方案及思路(36)4.方案总结(42)1.前言1.1. 概述随着信息化的飞速发展，业务和应用逐渐完全依赖于计算机网络和计算机终端。

为进一步提高单位内部的安全管理与技术控制水平，必须建立一套完整的终端安全管理体系，提高终端的安全管理水平。

由于单位内部缺乏管理手段，导致网络管理人员对终端管理的难度很大，难以发现有问题的电脑，从而计算机感染病毒，计算机被安装木马，部分员工使用非法软件，非法连接互联网等情况时有发生，无法对这些电脑进行定位，这些问题一旦发生，往往故障排查的时间非常长。

如果同时有多台计算机感染网络病毒或者进行非法操作，容易导致网络拥塞，甚至业务无法正常开展。

北信源内网管理系统用户使用手册

北信源内网安全管理系统用户使用手册北京北信源软件股份有限公司二〇一一年支持信息在北信源内网安全管理系统使用过程中，如您有任何疑问都可以通过访问我公司网站或者致电我司客服中心获得帮助和支持！热线支持：400-8188-110客户服务电话：0/86/87在您使用该产品过程中，如果有好的意见或建议的话也请联系我们的客服中心，感谢您对我公司产品的信任和支持！正文目录图目录表目录第一章概述特别说明北信源终端安全管理系列产品由《北信源内网安全管理系统》、《北信源补丁及文件分发管理系统》、《北信源主机监控审计系统》、《北信源移动存储介质使用管理系统》、《北信源网络接入控制管理系统》及《北信源接入认证网关》6大套件构成。

本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版)，恕不另行通知。

需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。

本手册与本系统的安装配置手册中的所有图片均为示意图，请以实际产品为准。

本使用手册为北信源终端安全管理系列产品通用说明书。

若您独立购买《北信源内网安全管理系统》或《北信源补丁及文件分发管理系统》等其中之一产品，本说明书的其它功能将不具备。

感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理系列产品。

请在使用本软件之前认真阅读本使用手册，当您开始使用该软件时，北信源公司认为您已经阅读了本使用手册。

产品构架北信源终端安全管理产品由8部分组成：WinPcap程序、SQL Server管理信息库（安装包：环境初始化程序）、Web中央管理配置平台（安装包：网页管理平台）、区域管理器(安装包：Region Manage，原区域扫描器已作为模块集成到区域管理器)、客户端注册程序（安装包：注册程序）、补丁下载服务器、管理器主机保护模块、报警中心模块。

环境初始化程序SQL Server管理信息库，建立北信源终端安全管理产品的初始化数据库。

初始化的信息包括：网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册（未注册）机器信息、设备属性变化信息、报警信息等。

北信源电子文档安全产品技术白皮书

北信源电子文档安全管理产品技术白皮书北京北信源软件股份有限公司目录第一章产品概述........................................................................................................................ - 1 -1.1 产品背景...................................................................................................................... - 1 -1.2 产品定位...................................................................................................................... - 2 -1.3 设计理念...................................................................................................................... - 2 - 第二章产品简介........................................................................................................................ - 3 - 第三章系统架构........................................................................................................................ - 4 -3.1 系统架构概述.............................................................................................................. - 4 -3.2 系统架构...................................................................................................................... - 4 -3.2.1 企业内网构架.................................................................................................... - 4 -3.2.2 广域网构架........................................................................................................ - 5 - 第四章产品功能与特点............................................................................................................ - 6 -4.1文档生命期全程保护................................................................................................... - 6 -4.2 安全策略制定.............................................................................................................. - 7 -4.2.1 自定义密钥........................................................................................................ - 7 -4.2.2 进程指纹识别.................................................................................................... - 7 -4.2.3 可信进程策略.................................................................................................... - 8 -4.2.4 自定义的身份认证............................................................................................ - 9 -4.2.5 邮件自动解密策略.......................................................................................... - 10 -4.3 密级管理.................................................................................................................... - 11 -4.4 策略授权加密............................................................................................................. - 11 -4.5 主动授权.................................................................................................................... - 12 -4.5.1 文档授权.......................................................................................................... - 12 -4.5.2 加密文档外发（离线授权）.......................................................................... - 13 -4.6 文件集中安全保护.................................................................................................... - 14 -4.7 全程操作审计............................................................................................................ - 15 -4.5.1 文档授权审计.................................................................................................. - 15 -4.5.2 授权访问审计.................................................................................................. - 16 -4.5.3 文档操作审计.................................................................................................. - 16 -4.5.4 文档打印审计.................................................................................................. - 16 -4.5.5 文档管理用户登录审计.................................................................................. - 16 -4.5.6 权限申请审计.................................................................................................. - 17 -4.8 审批管理.................................................................................................................... - 17 -4.8.1 用户申请权限审批.......................................................................................... - 17 -4.8.2 文档解密权限审批.......................................................................................... - 17 -4.9 用户管理.................................................................................................................... - 18 -4.10 文档备份与归档...................................................................................................... - 18 -4.11 水印信息跟踪技术.................................................................................................. - 18 -4.12 软件系统安全保护技术.......................................................................................... - 18 -4.13 支持所有操作系统.................................................................................................. - 19 -4.14 与北信源内网安全系统完美结合.......................................................................... - 19 - 第五章关键技术...................................................................................................................... - 19 -5.1 驱动层透明加密........................................................................................................ - 19 -5.2 驱动层文档控制技术................................................................................................ - 21 - 第六章典型案例...................................................................................................................... - 21 -第一章产品概述1.1 产品背景随着互联网在中国的高速发展，越来越多的中国企业进入了信息化办公时代。

北信源网络接入控制系统工作原理与功能对比.

北信源网络接入控制系统工作原理与功能北京北信源软件股份有限公司1目录1.整体说明 (3)2.核心技术 (3)2.1.重定向技术 (3)2.2.策略路由准入控制技术 (4)2.3.旁路干扰准入控制技术 (6)2.4.透明网桥准入控制技术 (7)2.5.虚拟网关准入控制技术 (7)2.6.局域网控制技术 (8)2.7.身份认证技术 (8)2.8.安检修复技术 (9)2.9.桌面系统联动 (9)3.产品功能对比 (10)21.整体说明准入网关对接入设备进行访问控制，对于未注册用户进行WEB重定向进行注册；注册后的用户进行认证或安检后可以访问网络；管理员可以配置采取何种准入控制方式，如策略路由，旁路监听，透明网桥，虚拟网关等；同时可以选择使用不同的认证类型，如本地认证，Radius认证，AD域认证等，而认证途径采取网关强制重定向；准入网关整体上对准入的控制可分为两类，一类是网关自己控制数据的流通，另一类则是通过配置交换机，让交换机来控制数据包的流通。

目前准入网关实现的策略路由和旁路监听，透明网桥等准入控制均属于前者，也就是网关自己通过放行或丢弃、阻断数据包，来达到准入控制，对于数据包的阻断是基于tcp 实现的；而虚拟网关则是通过控制交换机VLAN来达到准入控制；2.核心技术为了适应不同业务环境下的统一入网控制，北信源网络接入控制系统采用多种核心技术设计，支持多种准入控制模式，实现从多角度多维度的终端入网安全控制。

2.1. 重定向技术接入控制的目的是为了阻止不可信终端随意接入网络，对于不可信终端的判定需要一个过程，如何在判定过程中进行良好的提示,这就对产品的人机界面设计提出了较高的要求。

业界通常的做法是针对http性质的业务访问进行重定向，以往针对http的业务区分主要基于业务端口（主要为80端口），对于非80业务端口的http业务不能有效区分。

针对以上情况，北信源网络接入控制系统对http业务进行了深度识别，除80端口的http业务可以进行有效重定向之外，3针对非80端口的http业务也能进行有效的识别和重定向。

VRVedp北信源内网管理系统用户使用手册

V R V e d p北信源内网管理系统用户使用手册 Document number【980KGB-6898YT-769T8CB-246UT-18GG08】北信源内网安全管理系统用户使用手册北京北信源软件股份有限公司二〇一一年支持信息在北信源内网安全管理系统使用过程中，如您有任何疑问都可以通过访问我公司网站或者致电我司客服中心获得帮助和支持！热线支持：400-8188-110客户服务电话：0/86/87在您使用该产品过程中，如果有好的意见或建议的话也请联系我们的客服中心，感谢您对我公司产品的信任和支持！正文目录图目录表目录第一章概述特别说明北信源终端安全管理系列产品由《北信源内网安全管理系统》、《北信源补丁及文件分发管理系统》、《北信源主机监控审计系统》、《北信源移动存储介质使用管理系统》、《北信源网络接入控制管理系统》及《北信源接入认证网关》6大套件构成。

本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版)，恕不另行通知。

需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。

本手册与本系统的安装配置手册中的所有图片均为示意图，请以实际产品为准。

本使用手册为北信源终端安全管理系列产品通用说明书。

若您独立购买《北信源内网安全管理系统》或《北信源补丁及文件分发管理系统》等其中之一产品，本说明书的其它功能将不具备。

感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理系列产品。

请在使用本软件之前认真阅读本使用手册，当您开始使用该软件时，北信源公司认为您已经阅读了本使用手册。

北信源产品体系

产品简介一、准入控制系列产品1、北信源网络接入控制管理系统●产品背景北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全，确保企业网络保护机制的连续性，实现企业网络安全从质到量的提升。

同时，通过与北信源接入控制网关的联动，还可以实现对远程接入企业内部网络的终端进行身份唯一性及安全性认证。

通过北信源网络接入控制管理系统可以满足企业对终端接入网络的安全性要求，将终端接入控制覆盖到企业网络的每一个角落。

同时，使得终端接入控制不再依赖于具体的网络或通信设备，甚至是当使用者拿着他们的移动设备离开企业网络时，仍能有效执行对终端下发的接入控制策略。

北信源网络接入控制管理系统不需要对现有网络结构进行改造便可进行部署，具备简单、方便、安全、易扩展的特性。

●系统功能描述1)基于802.1X的终端接入认证管理;2)外部终端接入访问限制；3)外部终端接入身份认证；4)杀毒软件检测及访问限制；5)补丁自动检测及访问限制；6)进程、服务、注册表信息检测及访问限制；7)未达到预定义安全级别接入访问限制。

●系统功能特点1)全面支持市场主流交换机；2)可以实现无线802.1X接入认证；3)可以与用户现有AD域或LDAP进行联动认证；4)可以实现终端异地漫游的自动接管认证；5)可以实现终端认证数据检测，防止虚假第三方认证。

●系统管理构架北信源网络接入控制管理系统由以下几部分组成：1)策略服务器：系统策略管理中心，提供系统的参数配置和安全策略管理。

2）认证客户端：安装在终端计算机，通过用户名和密码向认证服务器发起认证，实现正常工作区、访客隔离区、安全修复区的自动切换。

3）Radius认证服务器：接收客户端认证请求信息数据包并进行验证。

4）Radius认证系统 (交换机) ：可网管支持802.1x的网络设备（交换机），接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。

5）可选配强制注册网关（硬件）：在不完全支持802.1x的网络中可选装强制注册网关，完成未注册终端访问网页时进行DNS重定向或HTTP重定向，以达到强制注册目的。

北信源网络接入控制系统用户使用手册

若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，北信源公司及其员工均不承担任何责任。
2
北...................................................................................................................... 6 2 产品特性 ........................................................................................................................... 7
4.1.1 全网接入状况 ...................................................................................................... 11 4.1.2 网关接口状态信息和联动、认证信息 .............................................................. 15 4.1.3 在线设备趋势图（最近一小时） ...................................................................... 17 4.2 在线设备 ------------------------------------------------------------------------------------------------- 17 4.2.1 在线设备 .............................................................................................................. 17 5 注册管理 ......................................................................................................................... 19 5.1 参数配置 ------------------------------------------------------------------------------------------------- 19 5.2 设备注册列表 ------------------------------------------------------------------------------------------ 19 5.2.1 注册设备 .............................................................................................................. 19 5.2.2 设备注册列表 ...................................................................................................... 21 5.3 设备注册日志 ------------------------------------------------------------------------------------------ 22 6 认证管理 ......................................................................................................................... 24 6.1 参数配置 ------------------------------------------------------------------------------------------------- 24

北信源杀毒软件V2.0-技术白皮书

北信源杀毒软件V2.0 技术白皮书北京北信源软件股份有限公司二〇一三年目录目录 (2)图目录 (3)一、引言 (4)二、背景 (5)三、产品总体设计 (5)四、产品详细设计 (6)4.1.网络构架 (6)4.2.统一配置管理 (7)4.3.病毒查杀功能 (8)4.4.实时监控功能 (9)4.5.U盘防护功能 (9)4.6.主动防御体系结构 (10)4.7.隔离恢复功能 (12)五、产品安全体系结构 (14)5.1.系统自身安全设计 (14)六、产品价值 (14)6.1雪狼引擎 (14)6.2百度私有云查杀引擎 (15)6.3极光引擎V2.0 (15)6.4智能修复引擎 (15)七、系统所需软、硬件配置要求 (15)图目录图 1 北信源杀毒软件V2.0系统架构图 (5)图 2 北信源杀毒软件V2.0功能结构图 (6)图3主动防御体系结构设计 ................................................................................. 错误！未定义书签。

图 4 系统逻辑图.. (7)图5北信源杀毒软件V2.0产品配置下发界面 (8)图 6 U盘防护 (10)图7 急速弹出 (10)图8 自动防御体系结构 (11)图9 异常文件恢复区 (13)图10 主防文件恢复区 (13)一、引言近期，微软公司宣布将于2014年4月8日起停止对Windows XP系统（以下简称XP）的支持。

其官方资料表明，由于XP系统采用的体系架构和安全技术已不足以面对日益增长的安全威胁，一旦停止支持和更新，将难以对零日漏洞和APT攻击等网络威胁进行有效防护，安全风险骤增。

基于安全考虑，微软建议XP用户尽快向Win7/8系统迁移。

据不完全统计，目前我国个人电脑市场上XP用户数高达1.5亿。

在关键信息基础设施和重要信息系统中，XP占桌面操作系统的比例约为70%，有的行业甚至高达90%以上。

北信源内网安全管理系统用户使用手册

北信源内网安全管理系统用户使用手册北京北信源软件股份有限公司二〇一一年支持信息在北信源内网安全管理系统使用过程中，如您有任何疑问都可以通过访问我公司网站或者致电我司客服中心获得帮助和支持！热线支持：400-8188-110客户服务电话：在您使用该产品过程中，如果有好的意见或建议的话也请联系我们的客服中心，感谢您对我公司产品的信任和支持！正文目录图目录表目录第一章概述特别说明北信源终端安全管理系列产品由《北信源内网安全管理系统》、《北信源补丁及文件分发管理系统》、《北信源主机监控审计系统》、《北信源移动存储介质使用管理系统》、《北信源网络接入控制管理系统》及《北信源接入认证网关》6大套件构成。

本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版)，恕不另行通知。

需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。

本手册与本系统的安装配置手册中的所有图片均为示意图，请以实际产品为准。

本使用手册为北信源终端安全管理系列产品通用说明书。

若您独立购买《北信源内网安全管理系统》或《北信源补丁及文件分发管理系统》等其中之一产品，本说明书的其它功能将不具备。

感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理系列产品。

请在使用本软件之前认真阅读本使用手册，当您开始使用该软件时，北信源公司认为您已经阅读了本使用手册。

环境初始化程序SQL Server管理信息库，建立北信源终端安全管理产品的初始化数据库。

VRVedp北信源内网管理系统用户使用手册

北信源内网安全管理系统用户使用手册北京北信源软件股份有限公司二〇一一年支持信息在北信源内网安全管理系统使用过程中，如您有任何疑问都可以通过访问我公司网站或者致电我司客服中心获得帮助和支持！热线支持：400-8188-110客户服务电话：在您使用该产品过程中，如果有好的意见或建议的话也请联系我们的客服中心，感谢您对我公司产品的信任和支持！正文目录特别说明 ............................................................................................................................ 产品构架 ............................................................................................................................ 应用构架 ............................................................................................................................第二章北信源内网安全管理系统 ..............................................................................策略中心 ............................................................................................................................策略管理中心 .................................................................................................................网关接入认证配置 .........................................................................................................阻断违规接入管理 ......................................................................................................... 补丁分发 ............................................................................................................................ 数据查询 ............................................................................................................................本地注册情况统计 .........................................................................................................本地设备资源统计 .........................................................................................................本地设备类型统计 .........................................................................................................USB标签信息查询 .........................................................................................................设备信息查询 .................................................................................................................审计数据查询 .................................................................................................................分发数据查询 .................................................................................................................非Windows操作系统设备............................................................................................ 终端管理 ............................................................................................................................终端管理 .........................................................................................................................行为控制 .........................................................................................................................远程协助 ......................................................................................................................... 运维监控 ............................................................................................................................ 报表管理 ............................................................................................................................ 报警管理 ............................................................................................................................报警数据查询 .................................................................................................................本地区域报警数据统计 .................................................................................................本地报警数据汇总 ......................................................................................................... 级联总控 ............................................................................................................................级联注册情况统计 .........................................................................................................级联设备资源统计 .........................................................................................................级联设备类型统计 .........................................................................................................级联管理控制 .................................................................................................................区域管理器状态查询 .....................................................................................................区域扫描器状态查询 .....................................................................................................级联上报数据 .................................................................................................................级联报警数据 .................................................................................................................系统用户分配与管理 .....................................................................................................用户设置 .........................................................................................................................数据重整 .........................................................................................................................审计用户 .........................................................................................................................第三章北信源补丁及文件分发管理系统 ...................................................................区域管理器补丁管理设置 ................................................................................................补丁下载配置 .................................................................................................................文件分发策略配置 ......................................................................................................... 策略中心 ............................................................................................................................补丁分发策略 .................................................................................................................软件分发策略 .................................................................................................................其他策略 ......................................................................................................................... 补丁分发 ............................................................................................................................ 补丁自动下载分发 ............................................................................................................补丁下载服务器 .............................................................................................................补丁库分类 .....................................................................................................................补丁下载转发代理 ......................................................................................................... 客户端补丁检测（一） .................................................................................................... 客户端补丁检测（二） ....................................................................................................第四章北信源主机监控审计系统 ..............................................................................策略中心 ............................................................................................................................行为管理及审计 .............................................................................................................涉密检查策略 .................................................................................................................其他策略 ......................................................................................................................... 数据查询 ............................................................................................................................第五章北信源移动存储介质使用管理系统 ...............................................................策略中心 ............................................................................................................................可移动存储管理 .............................................................................................................其他策略 ......................................................................................................................... 数据查询 ............................................................................................................................第六章北信源网络接入控制管理系统.......................................................................网关接入配置认证 ............................................................................................................ 策略中心 ............................................................................................................................接入认证策略 .................................................................................................................其他策略 ......................................................................................................................... 环境准备方法 ....................................................................................................................安装RADIUS(windowsIAS)..............................................................................................Cisco2950配置方法........................................................................................................华为3COM3628配置.....................................................................................................锐捷RGS21配置 .............................................................................................................第七章北信源接入认证网关......................................................................................网关接入配置认证 ............................................................................................................ 策略中心 ............................................................................................................................第八章系统备份及系统升级......................................................................................系统数据库数据备份及还原 ............................................................................................ 系统组件升级 ....................................................................................................................区域管理器、扫描器模块升级 .....................................................................................升级网页管理平台 .........................................................................................................客户端注册程序升级 .....................................................................................................检查系统是否升级成功 ................................................................................................. 级联管理模式升级及配置 ................................................................................................附录 ..............................................................................................................................附录（一）北信源内网安全管理系统名词注释 ............................................................ 附录（二）移动存储设备认证工具操作说明 ................................................................USB标签制作 .................................................................................................................USB标签制作工具 .........................................................................................................USB标签制作历史查询 .................................................................................................移动存储审计策略 .........................................................................................................移动存储审计数据 ......................................................................................................... 附录（三）主机保护工具操作说明 ................................................................................ 附录（四）组态报表管理系统操作说明 ........................................................................模版制定 .........................................................................................................................报表输出 ......................................................................................................................... 附录（五）报警平台操作说明 ........................................................................................设置 .................................................................................................................................日志查询 .........................................................................................................................窗口 .................................................................................................................................更换界面 .........................................................................................................................帮助 ................................................................................................................................. 附录（六）漫游功能说明 ................................................................................................漫游功能介绍 .................................................................................................................漫游功能配置 ................................................................................................................. 附录（七）IIS服务器配置说明 .......................................................................................WIN2003-32位IIS配置说明..........................................................................................WIN2003-64位IIS配置说明..........................................................................................WIN2008-64位IIS配置说明..........................................................................................图目录图2-1创建新策略................................................................................................................ 图2-2下发策略.................................................................................................................... 图2-3策略控制.................................................................................................................... 图2-4硬件设备控制............................................................................................................ 图2-5软件安装监控策略.................................................................................................... 图2-6进程执行监控策略.................................................................................................... 图2-7进程保护策略............................................................................................................ 图2-8协议防火墙策略........................................................................................................ 图2-9注册表........................................................................................................................ 图2-10IP与MAC绑定策略................................................................................................. 图2-11防违规外联策略...................................................................................................... 图2-12违规提示.................................................................................................................. 图2-13文件备份路径设置.................................................................................................. 图2-14注册码配置.............................................................................................................. 图2-15阻断违规接入控制设置.......................................................................................... 图2-16本地注册情况信息.................................................................................................. 图2-17本地设备资源信息.................................................................................................. 图2-18本地设备类型统计.................................................................................................. 图2-19软件变化信息.......................................................................................................... 图2-20注册日志信息.......................................................................................................... 图2-21交换机扫描管理配置.............................................................................................. 图2-22设备信息统计图表.................................................................................................. 图2-23级联设备信息.......................................................................................................... 图2-24级联设备系统类型统计....................................................................................... 图2-25级联管理控制.......................................................................................................... 图2-26下级级联区域管理器信息...................................................................................... 图2-27区域管理器状态信息.............................................................................................. 图2-28区域扫描器状态信息.............................................................................................. 图2-29级联上报数据.......................................................................................................... 图2-30系统用户列表.......................................................................................................... 图2-31添加系统用户界面.................................................................................................. 图2-32用户管理列表.......................................................................................................... 图2-33终端控制权限.......................................................................................................... 图2-34屏幕监控权限.......................................................................................................... 图2-35密码初始化提示框.................................................................................................. 图2-36密码初始化完成提示框.......................................................................................... 图2-37修改ADMIN用户密码 ..............................................................................................图2-39审计用户登录.......................................................................................................... 图3-1区域管理器补丁管理设置........................................................................................ 图3-2分发参数设置............................................................................................................ 图3-3补丁自动分发............................................................................................................ 图3-4补丁下载服务器界面................................................................................................ 图3-5补丁下载服务器设置................................................................................................ 图3-6补丁代理传发支持.................................................................................................... 图3-7补丁下载设置............................................................................................................ 图3-8登录页面.................................................................................................................... 图3-9工具下载页面............................................................................................................ 图3-10补丁检测中心.......................................................................................................... 图3-11客户端补丁漏打检测.............................................................................................. 图6-1网关接入认证............................................................................................................ 图6-2重定向配置................................................................................................................ 图6-3用户添加.................................................................................................................... 图6-4补丁与杀毒软件认证策略........................................................................................ 图6-5接入认证策略............................................................................................................ 图6-6802．1X认证界面 ...................................................................................................... 图6-7802．1X认证界面 ...................................................................................................... 图6-8安全检查没有通过，802.1X不启动认证 ................................................................ 图6-9认证失败.................................................................................................................... 图6-10添加I NTERNET验证服务组件................................................................................... 图6-11IAS配置界面............................................................................................................. 图6-12新建RADIUS客户端 ............................................................................................... 图6-13新建RADIUS客户端 ............................................................................................... 图6-14新建远程访问策略.................................................................................................. 图6-15设置远程访问策略.................................................................................................. 图6-16设置远程访问策略.................................................................................................. 图6-17设置远程访问策略选择用户.................................................................................. 图6-18设置远程访问策略使用MD5质询........................................................................ 图6-19设置远程访问策略新建的策略.............................................................................. 图6-20选择D AY-A ND-T IME-R ESTRICTIONS .............................................................................. 图6-21选择允许.................................................................................................................. 图6-22设置属性.................................................................................................................. 图6-23添加属性值VLAN...................................................................................................... 图6-24添加属性值802....................................................................................................... 图6-25添加属性值600....................................................................................................... 图6-26添加属性值600....................................................................................................... 图6-27编辑拨入配置文件.................................................................................................. 图6-28新建连接请求策略..................................................................................................图6-30策略配置.................................................................................................................. 图6-31添加远程登录用户.................................................................................................. 图6-32设置用户属性.......................................................................................................... 图6-33设置TEST用户.......................................................................................................... 图6-34设置启用.................................................................................................................. 图6-35VRVEDPA GENT认证成功 ........................................................................................... 图6-36创建用户界面.......................................................................................................... 图6-37用户添加.................................................................................................................. 图6-38设置用户密码.......................................................................................................... 图6-39进入N ETWORK C ONFIGURATION........................................................................................ 图6-40AAAC LIENT配置 .......................................................................................................... 图6-41AAAS ERVER配置 .......................................................................................................... 图6-42进入I NTERFACE C ONFIGURATION .................................................................................... 图6-43进入RADIUS(IETF)................................................................................................. 图6-44进入G ROUP S ETUP........................................................................................................ 图6-45进入E DIT S ETTINGSP ................................................................................................... 图7-1网关接入认证............................................................................................................ 图7-2重定向配置................................................................................................................ 图7-3用户添加.................................................................................................................... 图7-4网关接入认证策略.................................................................................................... 图8-1级联管理配置............................................................................................................ 附图-1修改用户ADMIN USB标签 ...................................................................................... 附图-2下载D EVICE N UMBER.EXE.............................................................................................. 附图-3全局参数................................................................................................................... 附图-4U SB T OOL登录.............................................................................................................. 附图-5U SB T OOL界面 ............................................................................................................... 附图-6分区格式化............................................................................................................... 附图-7制作移动硬盘标签1................................................................................................ 附图-8制作移动硬盘标签2................................................................................................ 附图-9制作移动硬盘标签3................................................................................................ 附图-10制作移动硬盘标签4.............................................................................................. 附图-11制作移动硬盘标签5.............................................................................................. 附图-12制作移动硬盘标签6.............................................................................................. 附图-13制作移动硬盘标签7.............................................................................................. 附图-14制作移动硬盘标签8.............................................................................................. 附图-15制作移动硬盘标签9.............................................................................................. 附图-16制作移动硬盘标签10............................................................................................ 附图-17制作移动硬盘标签11............................................................................................ 附图-183个分区的优盘和移动硬盘内网登录界面........................................................... 附图-19整盘加密的优盘和移动硬盘内网登录界面.........................................................附图-20外网插入3个分区的优盘或移动硬盘盘符......................................................... 附图-21交换区登录界面..................................................................................................... 附图-22外网插入整盘加密优盘或移动盘符..................................................................... 附图-23信息提示................................................................................................................. 附图-24U SB T OOL登录 ............................................................................................................. 附图-25U SB T OOL界面............................................................................................................ 附图-26初始化密码............................................................................................................. 附图-27标签历史查询......................................................................................................... 附图-28访问控制配置说明................................................................................................. 附图-29DOS/DDOS配置说明............................................................................................... 附图-30创建模板................................................................................................................. 附图-31确定报表标题及报表尾......................................................................................... 附图-32定义报表输入项..................................................................................................... 附图-33确定输出条件......................................................................................................... 附图-34确定关联................................................................................................................. 附图-35保存模板................................................................................................................. 附图-36修改模板名称......................................................................................................... 附图-37修改模版的输出标题和表尾................................................................................. 附图-38修改输出列选项..................................................................................................... 附图-39修改关联选项......................................................................................................... 附图-40修改时间范围统计................................................................................................. 附图-41模板预览................................................................................................................. 附图-42输出EXCEL报表模板信息 ....................................................................................... 附图-43时间定义................................................................................................................. 附图-44模板导入................................................................................................................. 附图-45模板导出................................................................................................................. 附图-46报警平台设置......................................................................................................... 附图-47高级设置................................................................................................................. 附图-48报警设置上............................................................................................................. 附图-49报警设置下............................................................................................................. 附图-50日志查询................................................................................................................. 附图-51报警中心界面......................................................................................................... 附图-52漫游示意................................................................................................................. 附图-53结合接入认证漫游示意图..................................................................................... 附图-54CA服务器界面 ........................................................................................................ 附图-55区域管理器配置界面............................................................................................. 附图-56客户端迁移策略配置界面..................................................................................... 附图-57重原管理区漫游出去的客户端............................................................................. 附图-58漫游到新管理器的客户端..................................................................................... 附图-59进去漫游组中的漫游客户端................................................................................. 附图-60漫游回原管理器的客户端.....................................................................................。

北信源内网安全管理及补丁分发系统技术白皮书

Ｗｅｂ中央管理台：本系统的管理配置中心，基于ＩＥ浏览器模式提供对系统的控制管理，中央管理台由三个部分构成：系统配置与信息查询模块、策略中心制订模块、补丁检测中心模块。
Ｗｅｂ中央管理台管理内容包括：①配置管理：区域管理器（扫描器）、注册
6
终端程序、系统策略中心等的运行配置参数设定；②信息查询：查看网络设备信息、报警信息等；③策略制订：制订终端系统应用安全策略，分发至各网终端对象执行；④补丁检测：进行终端对象的操作系统漏洞检测提示，并提供补丁下载。
现代网络安全管理体系的日臻完善，使得对网络终端桌面安全管理的需求强烈显现出来。正确、全面的认识终端管理产品的发展趋势和技术特点，是ＩＴ研发厂商面临的发展抉择，同时也是企、事业ＩＴ管理人员和高层决策人员在进行终端桌面安全防护部署时必须考虑的议题。
近两年的安全防御调查也表明，政府、企业以及金融证券等单位中超过８０％的管理和安全问题来自终端，计算机终端广泛涉及每个用户，由于其分散性、不被重视、安全手段缺乏的特点，已成为信息安全体系的薄弱环节。因此，网络安全呈现出了新的发展趋势，对于各政府企业网络来说，安全战场已经逐步由核心与主干的防护，转向网络内部的每一个终端。
３．１ＶＲＶＥＤＰ系统组成．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．６３．２ＶＲＶＥＤＰ系统管理构架．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．７３．３信息安全管理通告平台．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．８四、ＶＲＶＥＤＰ统一策略管理中心．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１０五、ＶＲＶＥＤＰ系统功能描述．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１２５．１基本产品包．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１２５．２安全监控强审计产品包．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１８５．３补丁及文件分发管理产品包．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１９５．４移动存储管理产品包．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．２１５．５网络接入控制管理产品包．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．２１５．６接入认证网关（硬件）．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．２２５．７安全Ｕ盘（专利技术）．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．２２六、系统安全．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．２４七、系统所需软硬件配置．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．２６八、北信源产品技术优势．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．２６

北信源-内网安全管理系统产品组合及技术参数

分组（域）管理
系统支持终端电脑的分组（域）管理，可对一个分组（域）内的被管理对象实施统一管理。
单独的权限分配体系
提供系统管理员、系统审核员（安全员）和系统审计员和一般操作员权限，分别进行不同的管理操作。
灵活的策略对象
可根据时间段和时间点定制策略使用或禁止使用的触发条件；并可根据创建区域、自定义组、操作系统、IP范围、用户名、注册部门和按照条件搜索的设备进行策略分组分发管理。
打印信息审计
系统支持对主机打印行为进行监控审计，防止非授权的信息被打印。
文件涉密信息检查
系统支持对设定目录或盘符下的指定类型文件进行内容检查，检查其是否包含涉密内容。
用户权限审计
能够对用户权限更改及用户增加和删除的行为审计。
操作系统日志审计
系统支持管理员远程读取终端电脑的日志（系统日志、应用日志、安全日志等）。
软件资产管理
自动收集网络中所有注册终端的安装软件信息，并可以以WORD、EXCEL表导出软件资产信息。
软、硬件资产信息变更报警管理
软硬件资产信息发生变化时，系统自动上报报警信息到服务器。
事件报表及报警管理
终端审计信息数据统计分类管理
系统将收集上来的终端信息按不同类别分类存储，管理员可以按不同类别检索信息。
补丁库建立和分类
系统根据补丁索引文件自动生成补丁库，并根据索引信息，将补丁类型进行分类。
终端漏洞自动检测
受控终端能够自动检测本身需要安装哪些补丁。
补丁策略制定分类和自动分发
补丁策略分补丁自动分发策略和人工选择补丁分发策略，根据不同需要制定不同策略实现全网补丁的自动分发。
终端补丁流量控制及代理转发技术
安全信息审计
文档授权审计
系统支持授权文档的名称、文档作者、授权时间、授权权限、授权方式和认证方式进行审计和查询。

北信源网络接入控制系统工作基本知识与功能对比

北信源网络接入控制系统工作原理与功能北京北信源软件股份有限公司目录1.整体说明 (3)2.核心技术 (3)2.1. 重定向技术 (3)2.2. 策略路由准入控制技术 (5)2.3. 旁路干扰准入控制技术 (7)2.4. 透明网桥准入控制技术 (8)2.5. 虚拟网关准入控制技术 (9)2.6. 局域网控制技术 (9)2.7. 身份认证技术 (10)2.8. 安检修复技术 (10)2.9. 桌面系统联动 (11)3.产品功能对比 (11)1.整体说明准入网关对接入设备进行访问控制，对于未注册用户进行WEB重定向进行注册；注册后的用户进行认证或安检后可以访问网络；管理员可以配置采取何种准入控制方式，如策略路由，旁路监听，透明网桥，虚拟网关等；同时可以选择使用不同的认证类型，如本地认证，Radius认证，AD域认证等，而认证途径采取网关强制重定向；准入网关整体上对准入的控制可分为两类，一类是网关自己控制数据的流通，另一类则是通过配置交换机，让交换机来控制数据包的流通。

2.1.重定向技术接入控制的目的是为了阻止不可信终端随意接入网络，对于不可信终端的判定需要一个过程，如何在判定过程中进行良好的提示,这就对产品的人机界面设计提出了较高的要求。

针对以上情况，北信源网络接入控制系统对http业务进行了深度识别，除80端口的http业务可以进行有效重定向之外，针对非80端口的http业务也能进行有效的识别和重定向。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

北信源网络接入控制管理系统产品白皮书北信源软件股份声明本手册的所有容，其属于北信源软件股份（以下简称北信源公司）所有，未经北信源许可，任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形式的担保、立场倾向或其他暗示。

商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，北信源公司及其员工均不承担任何责任。

与此同时，还可以对于远程接入企业部网络的计算机进行身份、唯一性及安全认证。

北信源网络接入控制管理系统可以保护整个企业部网络，包括可管理的（企业台式机、手提电脑、服务器）以及不可管理的（外部访客、合作伙伴、客户）终端安全接入部网络，保护网络接入的安全性。

2.系统架构网络准入控制能够勾勒企业终端接入的安全基线，屏蔽一切不安全的设备和人员接入网络，规用户接入网络的行为。

对于未安装终端代理软件或已安装终端代理软件但不符合安全策略要求(防病毒软件、病毒特征库升级、补丁、系统安全设置、违规软件等)的终端设备，能够禁止其访问网络，或进行网络VLAN隔离，并主动对其安全修复。

北信源网络准入控制管理系统策略架构由安全检查、接入认证和安全修复三个方面实现。

其模型如下图：网络接入控制安全访问模型安全检查根据系统进程、文件、注册表等设置的检查结果来判断：➢用户身份是否合法➢主机防火墙是否安装并运行➢防病毒软件是否安装并运行，病毒特征库是否及时更新➢操作系统关键安全补丁是否安装➢操作系统安全配置是否妥当➢是否感染特定病毒实体➢是否安装违规软件接入认证根据上述检查结果，通过服务器和网络设备以及终端PC联动来决定：➢拒绝终端/用户接入➢容许终端/用户接入➢隔离终端/用户（单机隔离， VLAN隔离）➢限制终端/用户访问权限安全修复在隔离或限制接入的情况下，还可以通过自动修复来恢复正常的网络访问权限。

修复的容包括：➢自动开启IE，连接部安全上相关的提示页面➢自动分发病毒专杀工具➢自动升级病毒特征库➢自动分发操作系统关键补丁➢自动纠正错误的系统配置3.系统组成北信源网络接入控制管理系统由策略服务器、认证客户端、Radius认证服务器、Radius认证系统，以及硬件接入网关（可选）几部分组成。

3.1.策略服务器策略服务器是本系统的策略管理中心，提供系统的参数配置和安全策略管理。

安全策略管理包括802.1x协议接入认证、安全检查策略定义的配置、策略制订分发、网络分组、认证客户端配置、数据报表输出等任务。

3.2.认证客户端认证客户端安装在终端计算机，根据用户名和密码向认证服务器发起认证，能够根据策略服务器分发的安全策略对终端主机进行安全检查，依据获取的主机的安全状态，配合认证系统，实现工作区、隔离区、修复区的自动切换。

网络接入认证控制示意图3.3.R adius认证服务器Radius认证服务器用于接收客户端认证请求信息数据包并进行验证，根据网络环境可使用微软的IAS，CISCO ACS或LINUX FREE RADIUS等系统。

3.4.R adius认证系统Radius认证系统为可网管支持802.1x的网络设备（交换机），由该认证系统接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。

802.1x利用了交换LAN架构的物理特性，实现了LAN端口上的设备认证。

在认证过程中，LAN端口作为请求者，LAN端口则负责向认证服务器提交接入服务申请。

基于端口的锁定只允许信任的MAC地址向网络中发送数据，而来自任何“不信任”的设备的数据流会被自动丢弃，从而确保最大限度的安全性。

在不支持802.1x协议的网络中，看选配专用硬件设备为强制注册网关。

3.5.硬件接入网关（可选配）在不完全支持802.1x的网络中可选装硬件接入网关，完成未注册终端访问网页时进行DNS重定向或HTTP重定向，以达到强制注册目的。

基于HTTP重定向、DNS重定向等技术，用于强制网络中每台计算机终端必须安装认证客户端程序的服务器，该服务器根据网络环境不同，部署在不同的位置，确保网络中每台终端能够安全认证客户端程序。

4.系统特性4.1.全面的安全检查全面支持对客户端主机的各种安全检查，除基本的安全检查项外（补丁、杀毒软件、注册表、进程等），可以有管理员自定义制订检查安全检测任务。

4.2.技术的先进性系统基于国际化的工业标准，结合北信源网安全管理技术，在构架上从管理、安全、运维等多个方面进行全方位的网络安全保障，功能先进、完善、细致，其中流量分析、统一主机防火墙、统一杀毒软件监控、进程和注册表监控保护等多项桌面安全管理技术均领先业界，部分技术代表了行业的发展方向。

4.3.功能的可扩展性准入安全检查技术上除了满足客户端安全监控、客户端安全加固、客户端管理等要求之外，还提供多种数据接口和二次开发接口。

由于策略结构采用的是XML解释性语言，功能扩展十分迅速方便，可根据实际需要快速进行功能定制，也可根据需要与相关的系统（如网管系统、安全管理平台SOC等）进行联动和数据交换。

4.4.系统可整合性尤其是对于本系统，类似在终端计算机安装Agent的软件非常多，如防病毒软件、桌面管理软件、远程维护软件、主机审计软件等，如何使这些软件在一台计算机上充分发挥效用，不是简单的功能叠加问题，而是一个软件二次代码扩展开发的问题，必须选择在国具有强大的本地化研发实力的安全软件厂商。

4.5.无缝扩展与升级北信源网络接入控制管理系统采用C/S与B/S混合模式设计，支持集中式和分布式部署，确保部署构架的通用性，并具有模块化软件定制的特点，支持标准API，具有无缝功能扩展与平滑稳定升级等优点。

同时，系统具有良好的兼容性，能够同现有各种防病毒等终端主机类软件兼容运行。

5.系统功能5.1.准入身份认证●支持802.1X协议接入认证：通过对支持此协议的交换机进行管理，配合RADIUS服务器和认证客户端，利用交换LAN架构的物理特性，实现LAN端口的设备认证。

●结合北信源接入认证网关，可以支持非网管交换机、集线器等不支持802.1X协议的网络设备接入的终端，支持设备入网认证。

●系统认证方式支持单用户、多用户、域用户等模式：单用户模式可以保证终端设备必须安装认证客户端才能接入网络；多用户模式除了保证终端设备必须安装认证客户端外，还要求用户拥有正确的用户名及口令方可以接入网络；域用户模式支持系统自动采用域登陆用户密码进行身份认证，将网络接入认证同域认证有效结成一体。

●系统认证协议支持：支持MD5等多种标准加密认证方式，并可使用自定义扩展的通讯协议，提供对第三方终端发起的非法认证过滤。

●绑定认证控制：Radius认证支持交换机端口同计算机MAC/IP、用户名绑定接入控制，可以指定人员及计算机只能在指定交换机的特定端口登陆接入网络。

●802.1X协议接入认证支持无线网络设备认证，支持远程VPN接入身份认证，用户通过VPN或者RAS拨号方式远程拨入网络时，必须经过身份认证方可以接入网络。

●支持DHCP动态IP环境及静态IP网络环境认证。

5.2.完整性检查功能●支持操作系统（操作系统、IE、应用程序、反病毒升级库等）补丁完整性检测。

●支持防病毒软件/主机防火墙（业界主流厂家）的安全检测，并能进行新软件动态增加，必要时可以远程开关/管理主机安全软件。

●支持自定义安全项检测（如进程、服务、软件、文件等）。

●支持安全状态检测（如口令强度、权限、注册表安全等）。

●支持多种安检失败处理方式，如直接进入正常工作区，或者进入正常工作区后间隔提示用户安全失败。

支持当安检失败时直接进入修复VLAN，或者安全失败后隔离出网络。

●支持自定义周期完整性安全检查，确保工作区域终端的实时安全性。

5.3.安全修复功能●VLAN隔离修复:系统对于未通过安全检查的终端，自动将其隔离到修复VLAN，进行安全修复，修复完成后自动进入正常工作VLAN。

●在线隔离修复:系统对于未通过安全检查的终端，可在正常工作VLAN中进行安全修复，修复过程中只能与特定服务器通讯，访问资源受限。

●修复容支持操作系统补丁安装、杀毒软件安装/运行、病毒库定义/升级、安全状态修复（如口令强度、权限、注册表安全、流量异常等）。

●当终端安全检查未通过时，管理员可以自定义提示信息或者打开指定URL地址进行安全修复。

5.4.管理与报表●安全策略配置管理：完整性安全策略由管理员统一制订，自动分发至认证客户端执行，策略分发可以灵活设置，根据网络环境和管理进行制订/执行。

●网络分组管理：支持网络终端主机IP自定义分组，按部门、区域、业务类型等方式进行划分管理围，为策略分发和客户端管理提供依据。

●认证客户端配置管理：认证客户端运行参数配置可以在策略服务器配置，管理员可控制认证客户端注册密码、注册人、注册部门等信息填写。

●系统维护管理：支持对系统管理员的分权管理（超级用户、普通用户和审计用户），为不同级别管理员提供角色权限定义，具有安全性高、可靠性强，适合集中授权、多角色参与监控的特点。

●报表管理：支持各类数据(认证信息、安全策略、设备状态等)统计，并能生成多种分析报表，提供丰富的报表模板，按不同部门、不同操作系统提供报表；报表输出支持以网页的方式展现，提供可在各项查询功能中跳转，报表输出支持.txt/.htm/.doc等格式，同时可根据需要输出柱形图、饼图等。