中科新业网络哨兵网络安全审计系统（V4.0）用户手册.doc

《中科新业网络哨兵网络安全审计系统（V4.0）用户手册.doc》由会员分享，可在线阅读，更多相关《中科新业网络哨兵网络安全审计系统（V4.0）用户手册.doc（123页珍藏版）》请在三一办公上搜索。

1、中科新业网络哨兵网络安全审计系统（V4.0）用户手册2009年8月19日目 录第1章基本功能简介31.1审计功能31.2审计日志查询、统计分析功能41.3管理控制功能51.4扩展功能71.5系统启动、登录81.6系统操作界面介绍91.7系统操作模式101.7.1面向功能的操作模式101.7.2面向审计对象的操作模式131.8审计对象管理161.8.1机器组管理161.8.2机器管理251.8.3帐号管理271.9管理策略291.9.1控制策略291.9.2中心策略461.9.3系统策略471.9.4报警接收471.9.5黑白名单设置481.10过滤设置491.10.1过滤库设置491.10.2

2、站点自定义501.10.3网站类型自定义511.11审计日志查询521.11.1行为审计521.11.2现场观察641.12评估报表671.12.1统计报表671.12.2流量排名711.12.3搜索关键字排名721.12.4流量统计731.12.5协议流量分析731.12.6协议流量查询741.12.7网站排名751.12.8带宽统计751.12.9BBS访问排名761.12.10网址类型排名771.12.11上网时长统计771.13控制中心781.13.1系统资料781.13.2系统控制801.14认证管理821.14.1认证方式说明821.14.2LDAP服务器设置831.14.3Win

3、dows AD配置831.14.4上网帐号管理841.14.5认证窗口861.15系统管理871.15.1角色管理871.15.2用户管理921.15.3远程维护941.15.4系统日志941.15.5数据备份961.15.6Syslog配置981.15.7系统配置991.15.8网页下载设置1001.15.9使用者维护1011.15.10校时设置1021.15.11登录控制1031.15.12网络配置1041.15.13交换机配置1061.16在线升级1071.16.1在线升级1071.16.2升级日志1081.17个性设置1091.17.1主页面1091.17.2快捷方式1101.17.3

4、我的账号1121.18链接管理1151.18.1友情链接1151.19其他功能1151.19.1退出功能1151.19.2页面刷新功能1161.19.3找回密码功能116第2章标准问题全集与解答118第1章 基本功能简介1.1 审计功能1. 各种协议的行为记录 HTTP（WEB，POST，搜索关键词） FTP 邮件（SMTP，POP3，WEBMAIL发送审计支持、的web服务器发邮件；WEBMAIL接收审计支持、的邮件帐号； 网络聊天（QQ（支持以下版本的行为审计QQ2007beta4（7.0.371.204）、QQ2007正式版（7.0.437.400）、QQ2007II beta1（7.1

5、.518.201）、QQ2007II beta2（7.1.576.202）、QQ2007II正式版（7.1.644.400）、QQ2008 贺岁版（V8.0.723.201）、QQ2008 Beta1（V 8.0.775.201）、QQ2008 Beta2（V 8.0.836.202）、QQ2008 正式版（V 8.0.985.400）、QQ2008II Beta1（V 8.0.1252.201）、QQ2009正式版(660)、QQ2009正式版 sp1 (760)、QQ2009正式版 sp2 (860)）、TM（支持以下版本的行为审计TM2007 Beta1 (7.0.53.201)、TM2

6、008 Beta (264)、TM2009 Beta(750)）、MSN、WEBMSN、ICQ、 雅虎通、淘宝、UC、QQ聊天室、碧聊聊天室、飞信、gtalk） TELNET，支持对TELNET过程的审计； 网络游戏（联众，浩方，QQ游戏，CS游戏等） 音视频（土豆网、酷6网、56网、优酷网、迅雷看看等） 文件传输（FOXY、EDONKEY等） P2P（PPLIVE，PPSTREAM）等协议的行为记录，并根据不同的协议可以对不同机器进行详细的记录查询； 股市软件的审计：大智慧系列、同花顺系列、钱龙系列、大参考系列、核新系列、168行情系列、通达信系列、博庭系列、赢家江恩系列；2. 审计日志内容

7、： 机器名 源IP 目的IP MAC地址 用户（域认证或者系统本地认证） 日期 开始时间 结束时间 时间段 源/目标端口 网络行为的协议类别 对对应网络行为关键信息的描述，如网址及对应的网址分类、EMAIL的收件人/发件人/标题/正文/附件、FTP命令/文件目录/文件名以及文件内容、音视频协议和链接、聊天工具帐号、网络游戏的游戏名称、TELNET命令及端口，P2P工具等； 网络行为的审计状态：报警，限制，正常。3. 实时观察显示审计对象当前的网络行为状态及网络流量，支持多个组或同一组内多个机器的多选择查询。1.2 审计日志查询、统计分析功能网络安全审计系统V4.0可以根据级别（机器或者机器组）

8、和审计方法为用户提供图表类型的统计分析审计报告；1. 报表类型： 任意机器的多协议、任意时间内的上网详细报表； 任意机器的多协议、任意时间内的外发数据详细报表； 现场观察报表:现场观察报表是实时显示用户的上网记录，即用户每发起一个上网请求，此报表都会滚动显示； 任意时间段、自定义数目的网址排名、网址类型排名，精确到个人； 对所有审计对象访问BBS的行为进行统计，并且可以按照BBS的访问次数进行排名； 任意机器、任意时间段、自定义数目的流量排名； 指定审计对象的流量统计分析； 任意时间段、自定义数目的搜索关键字排名； 任何时间段内认证上网帐号的上网时长统计分析；2. 图表类型： 按照上网协议划分

9、的访问量趋势图 按照上网行为状态分类的趋势图 用户上网访问量趋势图 用户上网流量趋势图 用户上网实时流量图 用户上网实时访问量图 用户上网带宽统计趋势图 机器组访问量趋势图 机器组流量趋势图 机器组实时流量趋势图 机器组实时访问量趋势图 机器组各个下级的各种统计类别统计饼图 机器组各个下级的各种上网协议统计饼图 任意时间段整个网络的带宽使用情况分析图 1.3 管理控制功能1. 系统管理功能： 系统支持多个管理员，不同的管理员有不同的权限范围。系统对不同权限的管理人员进行功能限制，进入不同的管理界面。每一个管理员都可以被分配权限范围。界面有开销户状态判断功能。发现开户情况下，允许用户登录，发现销

10、户的情况，所有用户禁止登录，并有相应提示。 自动解析所有审计对象的机器名、IP、MAC地址； 根据用户组织结构或IP的分配特点划分不同的审计对象组； 系统启动后，对应组里的审计对象将被自动分配到该组中； 系统管理员可以对审计对象信息进行手动修改； 系统管理员可以对审计对象进行添加、删除或更改机器组的操作； 系统管理员可以把审计对象添加到黑名单或白名单中； 系统管理员可以在全局、本地、审计组以及单个审计对象四个级别部署对应审计控制策略；2. 网络行为控制功能： 时间段控制策略l 在从周一到周日任意的时间段内控制每一种上网行为。在允许的时间段，对应的上网行为可以正常进行，在禁止的时间段，系统对对应

11、的上网行为采用封堵策略； IP控制策略l 对网络连接的源/目的IP进行控制，限制到指定IP/IP地址段的连接，设立外网黑/白名单，对来自黑/白名单地址的连接分别应用不同管理控制策略；针对每一种上网行为的目的IP设立对应过滤策略库进行控制； 端口控制策略l 只开放允许使用端口库里的端口；l 禁止使用禁止使用端口库里的端口； 网页浏览过滤策略l 只允许访问包含关键字的URL；l 过滤含有关键字的URL；l 是否允许通过IP访问网页；l 搜索关键字过滤；l 基于URL过滤库进行分类过滤；l 禁止网页上传过多内容或超大文件；l 限制下载文件类型； 邮件控制策略l 只允许使用指定的邮件服务器收发邮件；l

12、 禁止发送/接收超大邮件；l 定义敏感邮箱地址，禁止向敏感邮箱地址发送邮件； 网络聊天控制策略 文件传输控制策略l 只能/禁止从指定的FTP服务器上传/下载文件； 远程登录控制l 是否记录远程登录的行为；l 只能/禁止远程登录到指定服务器； BT下载控制l 禁止访问BT相关URL；l 禁止访问常见的BT服务器地址； 报警设置l 可以按照网页、邮件、聊天/游戏等关键字报警；l 可以按照邮件帐号、聊天/游戏帐号关键字报警；1.4 扩展功能1. 系统升级。 定时自动升级：在界面配置自动升级间隔时间后，系统按照设定的时间间隔到指定的升级服务器上查询是否有新的升级包可用，一旦存在需要升级的升级包，则下载

13、到本地自动升级. 手动触发自动升级：在界面点击“立即升级”按钮，即可执行自动升级功能。 本地升级：在界面上将预先准备好的升级包上传到系统上进行升级。2. 数据自动清除。根据用户设定的数据保留时间和硬盘的利用率进行数据的自动清除。如果用户设定数据保留时间为三个月，系统将清除三个月以前的数据，如果硬盘空间使用率达到设定的最大值时，系统会进行提前清除，以保证系统正常运行。3. 数据备份功能 ： 网络安全审计系统V4.0提供多种数据备份方式，可以备份全部数据，也可以只备份管理数据或者业务数据； 数据备份的时间可以灵活设置：按日备份、按周备份、按月备份，用户可以设置备份的时间点； 数据备份可以备份到FT

14、P服务器（可以设定FTP服务器的地址）； 提供工具支持对备份数据的查看；4. 自动校时：系统每隔一定时间可自动与标准时间服务器同步时间。（前提是网络安全审计系统V4.0必须配置正确的DNS. 且可以访问外网），界面提供自动时间同步设置功能：选择对时服务器、选择系统所属时区以及同步频率（按日，周）。5. 数据导出。用户可以根据需要，在界面上导出系统策略或者查询的审计日志等。此数据的安全性由用户自行维护。6. 上网审计日志附带对方外网IP所在区域的显示；第2章 操作指南本章详细介绍系统各个功能模块的操作方法。2.1 系统启动、登录网络安全审计系统V4.0采用B/S模式进行管理，用户在网络中任何一台

15、机器都可以通过网页浏览器登录系统：第一步：打开局域网内任意机器的IE浏览器，输入HTTPS:/系统IP地址 ，出现以下安全警报界面，选择“是”进入系统登录界面：系统登录主页面；如下图2.1.1：说明：如果不知道系统IP地址，请咨询系统的安装人员。第二步：选择界面显示的语言（简体中文/繁体中文/English）、输入用户名、密码以及校验码；（系统默认用户名admin密码123456）第三步：点击“登录”按钮进入系统主界面（如下图2.1.2），或点击“重置”按钮清除当前输入框中所有数据重新录入进行登录； 注意：1. 在登录时系统主窗口采用弹出式，因此请您务必检查是否有IE插件限制了弹出窗口；2.

16、网络安全审计系统V4.0出厂时的用户名是admin,密码是123456。为了安全起见,请在首次登录时通过“个性设置-我的帐号-密码修改”功能，修改默认密码。2.2 系统操作界面介绍登录成功后，系统操作界面显示如下图2.2.1所示：图2.2.1 系统操作界面为了便于说明，本手册将系统操作界面分成四个部分（如图2.2.2所示），通常页面的上部为系统名称和快捷按钮区，页面的左侧为导航菜单区，右侧为数据显示区，其中数据显示区的上部为查询区，中间为信息显示区。除中间的数据显示区外，其它各个区都可以选择隐藏。用户可以在导航菜单栏选择不同的系统操作模式，另外，数据显示区采用OUTLOOK风格，当用户在数据显

17、示区点击数据列表中的记录，列表下方将实时显示该记录的详情，在数据显示区上方为数据查询区，用户可以通过设置具体查询条件以便在数据列表中只显示特定的记录； 图2.2.2 系统操作界面说明2.3 系统操作模式网络安全审计系统V4.0为用户提供了两种操作模式，以满足不同用户操作习惯和不同操作目的的需求：1 面向功能的操作模式2 面向审计对象的操作模式2.3.1 面向功能的操作模式点击左侧导航菜单栏的“功能列表”标签按钮进入面向功能的操作模式，在该模式下，导航菜单栏显示如下图2.3.1.1：图2.3.1.1 面向功能的操作菜单在此种操作模式下，通过点击左侧导航菜单栏的菜单列表选项进行操作；该种操作模式可

18、以方便地对某一项或某几项网络应用的使用状况进行设置、查询、统计和分析。以查看当天网页访问审计数据为例：第一步：在左侧导航菜单栏中选择行为审计，在二级菜单中选择网页访问；第二步：右侧数据显示区显示网页访问审计页面，如下图2.3.1.2：图2.3.1.2 网页访问行为审计界面第三步：点击机器/组框旁的，弹出“选择单个机器或机器组”对话框，如下图2.3.1.3所示：图2.3.1.3 选择机器或机器组对话框第四步：在查询区，点击“显示高级查询区”按钮，输入网页访问记录的组合查询条件，点击“查询”按钮，查询结果显示如下图2.3.1.4，点击任何一条查询记录可在下方区域查看详情。图2.3.1.4 查询结果

19、2.3.2 面向审计对象的操作模式面向审计对象的操作模式包括两种：面向被监控机器、面向上网用户帐号。2.3.2.1 面向被监控机器该操作模式下，所有被审计对象以机器网络地址为标识。点击左侧导航菜单栏的机器列表标签即可进入面向被监控机器的操作模式，该模式下，导航菜单栏及数据显示区显示如下图2.3.2.1：图2.3.2.1 面向被监控机器的操作模式在机器列表操作模式下，系统在左侧导航栏中不提供系统升级、系统配置等功能，所有操作均以审计对象为核心。左侧导航菜单栏以树状形式显示机器组及对应的机器列表，点击某一个组或机器后，数据显示区将显示该组/机器对应的属性，如：机器/机器组名称、机器/机器组策略、状

20、态等信息。另外，数据显示区上方还提供了操作菜单栏，如下图2.3.2.2所示，选择要查看的审计类型，数据列表区将实现对应的审计记录或评估报表。图2.3.2.2 机器/机器组操作菜单在导航菜单栏，通过使用鼠标右键可对机器或机器组进行相关操作，如下图2.3.2.3所示：图2.3.2.3 机器/机器组右键操作菜单2.3.2.2 面向上网用户帐号该操作模式下，所有被审计对象以上网用户帐号为标识，与使用的机器网络地址无关。该操作模式只在配置了上网认证模式后可用。点击左侧导航菜单栏的帐号列表标签即可进入面向上网用户帐号的操作模式，该模式下，导航菜单栏及数据显示区显示如下图2.3.2.4所示。相关操作同面向被

21、监控机器的操作模式。图2.3.2.4面向上网用户帐号的操作菜单2.4 审计对象管理网络安全审计系统V4.0对所有审计对象采用“组”和“审计对象”两个级别进行管理，用户可以根据自身网络管理的需要或业务组织结构通过网络安全审计系统V4.0把所有的审计对象划分成不同的组，管理员可以为每个组制定组管理策略，也可以为每个审计对象设定只针对此机器的管理策略。2.4.1 机器组管理网络安全审计系统V4.0中，默认提供三个机器组信息：机器信息、默认组、机器回收站。所有机器组均创建在“机器信息”下面。在没有设置自动创建机器组功能，或者新发现的机器未设置自动添加到机器组的功能时，所有发现的机器均添加到“默认组”中

22、。执行删除操作的机器将被移入机器回收站。在机器列表的每个机器组名称后面会有“线机器数/该组总的机器数”显示机器组的下拉功能菜单如下图2.4.1：图2.4.1 机器组下拉功能菜单2.4.1.1 添加机器组用鼠标点击左侧导航栏机器列表,然后在机器信息上使用鼠标右键，在弹出菜单中选择添加子组，在数据显示区将显示添加机器组页面，录入相关信息后，按“确定”按钮即可添加成功。如下图2.4.1.1所示：图2.4.1.1 添加机器组2.4.1.2 更改、设置机器组属性机器组属性包括： 机器组名称：机器组名称必须唯一； 机器组策略：当前应用于该机器组生效的机器组管理策略； 是否使用私有策略：如果使用私有策略，当

23、上级组的组策略更改时，该组策略不发生变化； 是否需要认证：当采用LDAP或本地帐号上网认证时，需要选择该项； 是否默认组：在没有设置自动创建机器组功能，或者新发现的机器未设置自动添加到机器组的功能时，所有发现的机器均添加到“默认组”中，仅有一个机器组为默认组，如果某个组被设置为默认组，则原先设置的默认组会自动改为非默认组； 是否把机器自动增加到组中：设定是否开启“自动分组IP段内的新增机器发现后自动添加到该组内“的功能； 自动分组IP段设置：指定IP段，所有属于该地址段内的机器将被自动添加到机器组中（需把“是否把机器自动增加到组”设置为“是”）； 机器组描述：标识该组职能或类别，非唯一；用户可

24、以在建立机器组时设置机器组属性，也可以在弹出菜单栏中选择“修改本组”项，更改机器组原有属性；2.4.1.3 删除机器组用鼠标右键点击机器列表中所要删除的机器组，在弹出菜单中选择“删除本组”即可删除选定的机器组；被删除的机器组内的机器将被自动移入“recycle”内。2.4.1.4 向指定机器组添加机器用鼠标右键点击机器组，弹出机器组管理菜单(如下图2.4.1.4.1所示),在菜单栏中选择“添加机器”项，右侧数据显示区显示添加机器页面，如下图2.4.1.4.1：图2.4.1.4.1 添加机器界面网络安全审计系统V4.0提供了两种向机器组中添加机器的操作方式： 手动添加单台机器；录入必要的机器属性

25、信息：机器名称、IP、MAC地址（打*号的为必填项）；其它非必要信息用户可以在添加操作完成后通过修改机器属性进行更改；点击“确定”完成添加； 批量添加机器；在IP段内指定需要批量添加的机器的IP范围，点击“添加”按钮，用户可以一次添加多个IP段，已添加的IP段将依次显示在下方信息框内，用户可以选择某一个IP段，通过点击“删除选中”按钮对已添加的IP段进行删除操作，用户对已添加的IP段确定无误后点击“确定”按钮，所添加IP段内的机器将被自动添加到当前机器组内；说明：批量添加机器功能只用于将已发现的机器从别的机器组移入当前机器组，而不是批量创建新的机器名。2.4.1.5 添加子组在任意机器组上使用

26、鼠标右键，在弹出菜单栏中选择“添加子组”项，右侧数据显示区显示添加机器组页面，如下图2.4.1.5所示，输入机器组名称，点击“确定”按钮保存添加机器组设置；图2.4.1.5 添加子组说明： 子组可以使用与父组一样的机器组策略，也可以使用自己的机器组策略，当设置为“使用私有策略”时，父组的机器组策略发生变化时，子组仍使用当前策略，反之，子组的策略会自动变更为父组策略。 如果需要使用认证功能时，需将“是否需要认证”设置为“是”。2.4.1.6 快速查找机器当用户网络内机器数量较多的时候，如果需要在当前组内定位某台机器可以通过快速查找机器功能定位目标机器，鼠标右键点击当前组，在菜单栏中选择“快速查找

27、机器”项，页面弹出快速查找机器对话框，如下图2.4.1.6所示，在对话框中输入目标机器的IP，点击“确定”即可立即定位到目标机器；图2.4.1.6 查找机器2.4.1.7 树形目录的展开和收缩在“机器信息”上使用鼠标右键将弹出功能菜单，选择“全部展开”或者“全部收缩”菜单子项，可展开或者收缩机器组的树形目录，如下图2.4.1.7： 图2.4.1.7 全部展开树型目录2.4.1.8 删除机器在任意机器组/机器上使用鼠标右键将弹出功能菜单，选择“移入机器回收站”菜单子项，将弹出“移入机器回收站？”的问询框。在回收站中删除机器只有在该机器不存在任何审计日志情况下才可删除，否则弹出“存在审计日志不能删

28、除”提示框。图2.4.1.8删除机器询问框2.4.1.9 移动本组机器组在自动创建时，默认按照从小到大的顺序进行排列。机器组创建后，用户可以根据需要，使用“移动本组”的功能，将该机器组移动到其它的组下面。方法如下：在要移动的机器组上使用鼠标右键，在弹出的功能列表中选择“移动本组”，并在弹出框（如图2.4.1.9）中，选择要移动到的位置，点击“确认”按钮后，要移动的机器组移动到选择的机器组下面作为它的子组。图2.4.1.9移动本组设置框2.4.1.10 解析机器名及解析未解析机器名在某些情况下，机器列表中显示的机器可能无法显示出机器名（如被监控机器装有防火墙），此时，可以使用“解析机器名”功能，

29、再次尝试解析机器的机器名，也可以使用“解析未解析机器名”功能。 说明：由于防火墙等原因，部分机器可能无法解析出机器名。2.4.1.11 机器组策略在面向审计对象的操作中，用户可以方便的针对机器组进行审计策略的修改，步骤如下：第一步：点击要修改审计策略的机器组。 第二步：点击数据显示区上方的“查看策略”按钮，系统显示当前机器组策略如下图2.4.1.11所示，用户可在当前页面修改当前机器组策略，点击“确定”按钮保存该策略设置（也可在管理策略策略配置中选择该组使用的策略进行设置，具体策略修改操作请参考策略配置一章）。图2.4.1.11 机器组策略2.4.1.12 批量更改机器组成员属性为了操作方便，

30、在机器组属性界面中提供了批量更改该机器组下所有成员的监控属性的操作，步骤如下：第一步：点击要修改的机器组，此时数据显示区将显示该机器组的属性界面。第二步：点击数据显示区上方的“机器列表”按钮。系统将在数据显示区显示当前机器组内所有审计对象的机器属性。第三步：通过点击机器名称前的选择框选择全部或多台机器，然后在操作项下拉框选择对应的操作，如下图2.4.1.12。图2.4.1.12 操作项下拉菜单部分操作项说明： 更改属组：将当前选择的机器移入到其他机器组内。2.4.1.13 批量添加黑白名单同2.4.1.12节介绍，进入如上图2.4.1.12的机器列表界面后，在要设置为黑白名或者白名单的机器名称

31、前打勾，再选择“操作项”列表中的“黑名单”或者“白名单”即可。说明： 白名单：白名单中的机器不受审计管理策略限制，系统不记录，也不限制白名单内的机器的上网行为； 黑名单：黑名单中的机器所有的网络行为将全部被封堵；2.4.1.14 评估报表在面向审计对象的操作中，用户可以方便的针对机器组进行各种报表的统计和显示，操作界面如下图2.4.1.14，具体功能的操作同功能列表-评估报表。图2.4.1.14 评估报表在面向审计对象的操作中，还为用户提供了现场观察、审计的操作界面，具体功能的操作同功能列表中的相关章节描述。2.4.2 机器管理下面介绍针对单个审计对象的管理功能：机器属性、机器策略，其它的评估

32、报表、现场观察、审计等功能与机器组管理中的功能相似的操作，可参见2.4.1章节。2.4.2.1 机器属性点击机器列表内任意一台机器，数据显示区将显示该机器的机器属性，如下图2.4.2.1： 图2.4.2.1 机器属性机器属性说明如下： 机器名称： 即机器在网络上的标识名，正常状态下无须用户手动输入，网络安全审计系统V4.0可以通过对网络内所有机器进行扫描自动解析所有机器的机器名称，如果目标机器安装了防火墙等软件，系统有可能无法正确解析出目标主机的机器名称而采用IP代替； 使用者：网络管理者在系统中用来唯一确认/绑定每台目标主机的标识； IP 地址：同机器名称，无须用户手动输入，系统可自动解析获

33、得； MAC 地址：同机器名称，无须用户手动输入，系统可自动解析获得； 是否使用私有策略：如果使用私有策略，当其组策略更改时，该机器策略不发生变化； 是否需要认证：对机器进行上网认证时，需开启该设置项； 机器策略：显示当前机器应用的策略，用户可以通过下拉列表选择其它管理策略； 监控系统：在分布式环境下，用户可以选择其所属的监控系统，单机版该项不可更改； 状态：用户可以通过状态下拉列表更改当前审计对象的受控状态，也可以在机器列表的右键弹出菜单栏中选择对应的选项更改其受控状态；l 正常受控：属于正常审计对象范围，根据审计管理策略对所属范围内的所有审计行为进行审计记录和管理；l 白名单：白名单中的机

34、器不受审计管理策略限制，系统不记录，也不限制管理白名单内的机器的上网行为；l 黑名单：黑名单中的机器所有的上网行为将全部被封堵；更改机器属性完毕，点击“确定”按钮保存设置； 2.4.2.2 机器策略跟机器组策略类似，系统提供针对单个机器进行策略修改的功能。操作步骤如下：第一步：在机器列表中点击要修改策略的机器名称。第二步：点击数据显示区上方的“查看策略”按钮，系统显示当前机器组策略如下图2.4.2.2，用户可在当前页面修改当前机器组策略，点击“确定”按钮保存该策略设置（也可在管理策略策略配置中选择该机器使用的策略进行设置，具体策略修改操作请参考策略配置一章）。图2.4.2.2 机器属性界面2.

35、4.3 帐号管理网络安全审计系统V4.0提供按“认证帐号”进行审计的功能，有效的保证了审计记录可以正确的追溯到上网人员。点击帐号列表标签页可进入以“认证帐号”为审计对象的操作模式。2.4.3.1 帐号组网络安全审计系统V4.0支持多种认证模式（详见2.10认证管理），在帐号列表标签页中，用户可以完全基于“认证帐号”进行上网行为审计及上网行为管理。对每一种认证模式，系统认为其为一个帐号组，如Windows域认证帐号组。点击“帐号组”后，数据显示区将显示“帐号组属性”页面，如下图2.4.3.1。 图2.4.3.1帐号组属性页面帐号组属性页面说明： 用户组名称：当前帐号组的唯一标识，不可更改； 用户

36、组策略：显示当前帐号组应用的策略，可以通过下拉列表选择其它管理策略； 是否使用私有策略：如果使用私有策略，上级帐号组策略发生变化时，该帐号组策略不变化； 帐号组属性：点击该功能按钮时，显示如上图2.4.3.1的帐号组属性页面； 查看策略：点击该功能按钮时，显示当前帐号组使用的策略详情，用户可进行修改，参见2.4.1.11小节。 帐号列表：点击该功能按钮时，显示当前帐号组内所有用户帐号。 评估报表：点击该功能按钮时，显示评估报表查询界面，参见2.8.1小节。 行为审计：在该下拉功能菜单中，可以查看当前帐号组的行为审计记录。2.4.3.2 帐号点击“帐号组”名称后，帐号列表导航栏将显示帐号组下的所

37、有用户帐号，选择任意用户帐号后，数据显示区将显示用户帐号属性页面，如下图2.4.3.2。图2.4.3.2用户帐号属性页面用户帐号属性页面说明： 用户帐号：当前上网认证用户的唯一标识，不可更改； 在“认证管理-上网帐号管理”的列表中添加“绑定IP”用于显示该“上网帐号”与哪个IP地址绑定 用户名称：使用该用户帐号的人员真实姓名； 用户密码：当前用户帐号对应的密码。说明：只有本地认证的用户帐号才显示用户名称和用户密码这两个编辑项。勾选“修改密码”后，可直接修改当前用户帐号的密码。用户认证时，如果帐号不存在或密码错误导致失败，提示“账号不存在或密码错误”。用户认证时，如果认证帐号已经登录导致认证失败

38、，提示“该用户已经在某某机器上登录” 用户策略：显示当前用户帐号应用的策略，可以通过下拉列表选择其它管理策略； 是否使用私有策略：如果使用私有策略，上级帐号组策略发生变化时，该用户帐号策略不变化； 有效期设置：可设置认证帐号的有效期、提醒帐号过期的时间，点击后面的时间显示框，系统会弹出时、分、秒的输入框，填入后点确定按钮保存设置。 其他控制按钮的功能参见2.4.3.1小节。2.5 管理策略系统管理员通过网络安全审计系统V4.0的管理策略配置功能，可以对审计对象的上网行为管理和审计的措施进行配置组合；策略可以被应用于机器组和机器中,点击功能列表中的管理策略进入各项策略配置页面。2.5.1 控制策

39、略控制策略又称用户策略，管理员可以创建多条控制策略并把它们运用到不同的机器或者机器组。控制策略配置界面如图2.5.1所示：图2.5.1 控制策略设置主界面2.5.1.1 策略管理对策略的管理功能主要有新增、修改、删除、设置默认策略、导出、导入、策略查询、策略应用到具体机器和账号的查询，初始安装系统带有default策略，并被设置为默认策略，默认策略不允许被删除。1. 新增策略点击控制按钮区的新增按钮进入增加控制策略页面，如下图2.5.1.1.1所示：图2.5.1.1.1新增策略配置策略完毕后，点“确定”按钮保存策略配置（相关设置项的说明见2.5.1.2节）。添加策略操作成功后，用户可在操作栏下

40、方策略列表中找到新增的策略项；2. 修改策略在策略列表中点击需要修改的策略名称，该策略对应配置将显示在策略列表下方，修改完毕，点击“确认”按钮保存设置；如下图2.5.1.1.2所示:图2.5.1.1.2修改策略3. 删除策略方法1：点击策略列表中所要删除的策略后面对应的按钮，在确认删除对话框中选择确认，系统提示删除成功；方法2：通过点击策略列表所要删除的策略名称前的选择框，选择单个或多个需要删除的策略，然后点击控制按钮区的“删除”按钮，在确认删除对话框中选择确认，系统提示删除成功；说明：默认策略和正在使用的策略不能被删除。4. 设置默认策略点击策略列表所要设为默认策略的策略名称前的选择框，只能

41、选一条策略，点击操作栏“设置默认”按钮，系统提示设置默认策略成功；说明： 默认策略不能对其进行删除； 新发现的机器将默认使用“默认策略”；5. 导出策略选择需要导出的策略，然后点击控制按钮区的“导出”按钮，在弹出对话框中点击“保存”，选择策略保存的位置后即可。6. 导入策略点击控制按钮区的 “导入”按钮，系统显示导入策略页面，如下图2.5.1.1.3所示：图2.5.1.1.3 导入策略点击“浏览”按钮选择需要导入的策略文件（如：机器策略.BIN），然后点击应用对象栏的按钮，选择策略所要应用的机器或机器组即可。7. 查询策略系统提供按策略名称、策略描述、策略状态进行查询的功能，如下图2.5.1.

42、1.4所示。可以使用一种或全部查询条件进行组合查询，以便只显示符合条件的策略列表。图2.5.1.1.4 查询策略2.5.1.2 策略基本信息在基本信息配置项中用户可以配置：策略名称：当前策略的策略名称；策略描述：在策略描述中对策略的用途予以说明；是否公开：设定此策略的状态属性，如果选择“是”即设为公共策略，则其他用户登录后也能看到并使用该策略，反之选择“否”即设为私有策略，其他用户登录后将看不到这个策略。只有公开策略才能被设置为默认策略。图2.5.1.2.1 策略基本信息策略关联机器和账号的查看：点击“关联机器”，就可以查看该条策略具体应用到了那些机器； 图2.5.1.2.2点击“关联账号”，

43、就可以查看该条策略具体应用到了那些账号；图2.5.1.2.32.5.1.3 时间段设置管理员可以在时间段设置页面通过“全局”选项控制所有上网行为的时间段，也可以单独针对某一种上网行为进行设置。新增策略的时间段设置缺省为空，即所有上网行为在任何时间都被禁止。用户可通过鼠标拖动设置时间段，也可以通过下方的“全部上班时间、全部下班时间、全部时间、全部全清” 快捷按钮设置时间段，或在具体协议上使用鼠标右键，使用弹出的下拉菜单来设置时间段。如图2.5.1.3.1:图2.5.1.3.1 时间段设置说明： 时间段设置界面，蓝色显示块表示允许上网，白色表示禁止上网。 工作时间需要在“系统管理-系统配置”中进行

44、设置。 时间段设置的最小单位是0.5小时。 通过标签页可以对星期一到星期天进行不同的时间段设置。 通过“应用于”功能按钮，可以将当前星期几的时间段设置快捷地应用到其他日。2.5.1.4 端口控制端口控制用于设置开放或关闭网络中的某些端口，端口是网络服务协议及应用的重要标识，管理员可以通过网络安全审计系统V4.0指定开放和禁止的端口，实现对各种上网行为的有效控制；图2.5.1.4.1 端口控制操作说明: 添加允许使用的端口点击“只能使用指定端口”操作栏的更改设置，弹出添加端口对话框，如上图2.5.1.4.1所示。在端口输入框中录入所要添加的端口，点击“添加”按钮，列表中将显示您添加的端口。点击“保存”按钮保存所添加的端口并且返回端口控制主页面； 添加禁止使用的端口点击“禁止使用指定端口”操作栏的更改设置，弹出禁止端口设置对话框，在端口输入框中录入所要禁止的端口，点击“添加”按钮，列表中将显示您添加的端口。点击“保存”按钮保存所添加的端口并且返回端口控制主页面；在端口控制主页面的状态栏选择框选择需要在当前策略中生效的端口控制设置。（说明：只能使用指定端口与禁止使用指定端口两项为互斥关系，不可同时选择）。 采用“只能使用指定端口”进行控制时：网络行为使用的端口号