- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath ISG-G工控主机安全卫士
软件安装指导
Copyright © 2025 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
工控主机安全卫士是一款自主研发的针对工业控制系统工程师站、操作员站、服务器等主机系统进行外设管理、应用程序管理、注册表防护、文件保护等功能的工控安全产品。
工控主机安全卫士由管理端和客户端组成。
· 管理端:作为系统的UI层,包含终端管理、策略管理、模板关联、系统管理四大核心模块负责展示下发管理策略及系统自身功能设定等。
· 客户端:独立的软件,需要根据不同系统平台提供单独的软件安装包。安装在操作员站、工程师站、服务器上,对工业主机进行安全防护,主要包含应用程序管控、移动介质管控、日志监控等功能;此外客户端与管理端进行联动,接收管理端下发安全策略。
表2-1 工控主机安全卫士管理端硬件配置要求(仅支持VMware虚拟平台、CAS服务器和硬件)
|
产品型号 性能指标 |
推荐配置1 |
推荐配置2 |
|
CPU |
12核 |
16核 |
|
内存 |
32G |
128G |
|
硬盘 |
4T |
4T*2 |
|
最大支持的客户端数(工控主机安全卫士) |
500 |
1000 |
|
推荐硬件设备 |
X3020-G(标配:CPU 12核、内存32G、硬盘480G),加配4T硬盘 |
X3100-G(标配:CPU 16核、内存128G、硬盘960G),加配8T硬盘 |
注意:硬盘大小涉及影响软件日志存储。
(1) 首次部署工控主机安全卫士管理端时,需要管理员在自己PC上已经安装好Java环境,具体安装Java过程略。
(2) 将待部署的工控主机安全卫士管理端的IP地址添加到Java中的例外站点。
(3) U盘刻盘前,请检验版本MD5值是否正确。U盘刻录后,请校验刻录后U盘中.tar.gz文件MD5值,检查刻录后文件是否完整。刻录完后,可以点击电脑右下角的弹出 U 盘,确保 U 盘文件都保存上。
|
|
ISO版本文件MD5值 |
U盘刻录后校验文件路径 |
.tar.gz文件MD5 |
|
非国产化 SecPathISG-IMW310-E6503.iso |
A31C879A86FB2F1032BCDAC7615AD403 |
preseed/in-sec_35112_250711.1131.tar.gz |
B5017E75DB1D602501CA192A71DE58A9 |
|
国产化 SecPathISG-IMW310-E6503_HG.iso |
29D4DEAF6609B5764EC97DBEFC9C02D0 |
in-sec_27576_250711.1214.tar.gz |
BFCEC9C13D521120A7308CE1C1DEB1E6 |
(4) X3100-G、X3020、X2080服务器安装刻盘工具。若以下附件下载失败,可上网自行下载refus4.6工具,rufus-4.6.exe工具MD5值:8FE64DA09AF371B02A31828415ECE8F3
将系统安装到VMware虚拟平台上。(目前仅支持VMware版本6.7.0update3以上)
首次部署工控主机安全卫士需要在VMware上创建虚拟机。
(1) 打开浏览器访问VMware,输入用户名/密码。
图2-1 VMware登录页面
(2) 登录后,在左侧栏选择主机,右键选择“新建虚拟机”。
图2-2 选择“新建虚拟机”
(3) 在“新建虚拟机”对话框选择“创建新虚拟机”,点击<NEXT>。
图2-3 “新建虚拟机”对话框
(4) 设置虚拟机名称和位置。
图2-4 设置名称和文件夹
(5) 选择计算资源。
图2-5 选择计算资源
(6) 设置用于配置文件和磁盘文件的存储。
图2-6 选择存储
(7) 根据环境中的主机为虚拟机选择兼容性。
图2-7 选择兼容性
(8) 设置客户机操作系统。
操作系统选择“Linux”,操作系统版本选择“Ubuntu Linux”。
图2-8 选择客户机操作系统
(9) 配置虚拟机硬件。
设置CPU、内存和硬盘。(根据表2-1设置)
图2-9 自定义硬件-1
在“新的CD/DVD驱动器”项选择“数据存储ISO文件”后,弹出“选择文件”对话框,选择相应的ISO文件。
图2-10 选择相应的ISO文件-以“SecPathISG-IMW310-E6503.iso”为例
图2-11 硬件设置完成后的界面
(10) 点击<NEXT>后进入“即将完成”页面,检查设置是否符合要求,点击<FINISH>,完成设置。
图2-12 完成设置界面
(11) 完成之后,点击“编辑设置”
,进入“编辑设置”对话框。
“虚拟硬件”中的“CD/DVD驱动器”勾选“已连接”;“虚拟机选项”中,勾选“下次引导期间强制进入BIOS设置屏幕”,点击<确定>。
图2-13 勾选“已连接”
图2-14 勾选“下次引导期间强制进入BIOS设置屏幕”
(12) 选择主机,点击
,打开电源;点击“启动web控制台”,进入到BIOS界面,选择BOOT,使用键盘的上下键将“CD-ROM Drive”移动到第一行,设置CD/DVD为第一启动项。
图2-15 打开电源和启动web控制台
图2-16 进入BIOS界面,选择Boot
图2-17 将“CD-ROM Drive”移动到第一行
图2-18 选择“yes”
(1) 开启虚拟机,打开控制台,开始安装工控主机安全卫士管理端。
进入安装界面,进入下图所示界面,选择“Install in monitor with one-click”;
(2) 选择安装方式后,进入以下界面开始安装。
安装进程显示如下:
图2-20 安装进程
若出现下图界面选择“yes”。
图2-21 选择yes
图2-22 安装过程
(3) 安装完成。系统安装过程中将自动重启,随后进入软件配置过程(Configuring System);配置完成后系统将自动再次重启,待出现登录页面,此时所有软件安装完毕。
图2-23 安装完成
(1) 打开浏览器访问CAS,输入用户名/密码:默认admin/ Cloud@1234。
图2-24 CAS登录页面
(2) 登录后,在主机存储中上传版本ISO文件,点击上传文件。
图2-25 上传版本ISO文件
图2-26 上传版本ISO文件-以“SecPathISG-IMW310-E6503.iso”为例
(3) 点击<增加虚拟机>,创建虚拟机。
图2-27 增加虚拟机
(4) 设置基本信息。
操作系统选择Linux系统,版本选择Ubuntu。
图2-28 新建虚拟机
(5) 配置硬件信息。
图2-29 配置硬件信息
(6) 在“增加虚拟机>硬件信息”页面点击“光驱”框,选择之前上传的版本ISO。
图2-30 选择ISO文件
(7) 返回到“增加虚拟机>硬件信息”页面,点击<完成>,虚拟机创建成功。
(1) 点击<启动>,开启电源。
图2-31 开启电源
(2) 进入“控制台”页面,点击<网页>,进入安装界面。
图2-32 进入“控制台”页面
(1) 进入安装界面,先进入下图所示界面,开始安装。
如下图所示,选择“Install in monitor with one-click”。
图2-33 安装中
若出现下图界面选择“yes”。
图2-34 选择yes
(2) 待出现登录页面,安装完成
图2-35 安装完成图
(1) 打开浏览器访问CAS,输入用户名/密码。
图2-36 CAS登录页面
(2) 登录后,在主机存储中上传版本ISO文件,点击上传文件。
图2-37 上传版本ISO文件
图2-38 上传版本ISO文件-以“SecPath-MGT-E6503_HG.iso”为例
(3) 点击<增加虚拟机>,创建虚拟机。
图2-39 增加虚拟机
(4) 设置基本信息。
操作系统选择Linux系统,版本选择“银河麒麟桌面版V10(64位)”。
图2-40 新建虚拟机
(5) 配置硬件信息(请根据实际情况选择配置)。
图2-41 配置硬件信息
(6) 在“增加虚拟机>硬件信息”页面点击“光驱”框,选择之前上传的国产化版本ISO。
图2-42 选择ISO文件
(7) 返回到“增加虚拟机>硬件信息”页面,点击<完成>,虚拟机创建成功。
(1) 点击<启动>,开启电源。
图2-43 开启电源
(2) 进入“控制台”页面,点击<网页>,进入安装界面。
图2-44 进入“控制台”页面
(1) 进入安装界面,选择“安装银河麒麟操作系统(I)”。
图2-45 安装界面
(2) 开始安装。
(3) 安装完成。
图2-46 安装完成图
(1) 使用SHA1等工具校验提供的ISO文件,确保文件未被篡改或损坏。
(2) PC上推荐安装Rufus磁盘工具,用来快速制作启动U盘。
(3) 将空白U盘插入PC的USB接口,然后运行Rufus。
(4) Rufus识别出U盘后,在“引导类型选择”处选择正确的ISO安装包。
(5) 分区类型选择“GPT”,目标系统类型选择“UEFI(非CSM)”
图2-47 rufus选择分区类型
(6) 点击【开始】,开始制作启动U盘。从状态栏中可以查看当前的制作进度。若刻盘出现图2-48的提示,选择“是”。
图2-49 刻录进度
(1) 将制作好的启动U盘插入到设备中,开启设备电源。
(2) 在启动过程中按“ESC”,进入BISO设置界面
(3) 引导模式选UEFI,更改启动顺序为“硬盘”,选择刻录的U盘(使用”+”、”-”移动硬盘启动顺序)。
(4) 按F4保存并退出
(5) 启动过程中按F7从U盘启动后,进入安装界面。
图2-50 引导项
(6) 开始安装后,安装进程会自动进行,可能会占用较长时间,请耐心等候。
(7) 当页面弹出“请拔除安装介质并按enter键”的提示时。拔出U盘,敲击回车,系统开始重启,等待开机即可。
(8) 当系统进入下图界面处于等待状态一段时间或在Console口上看到登录提示表示安装完成。安装过程中可能会出现黑屏,请耐心等待直至出现登录页面
图2-51 安装完成
适配H3C X3100(自带4电口板卡,支持3个扩展槽),默认管理口GE3/0,IP地址:192.168.0.1。如图2-52
支持2种2万兆光口扩展卡和1种4千兆电扩展卡在solt4、solt6两个扩展槽上任意组合安装。solt16口支持扩展OCP 3.0卡。
系统中对应接口名称按<GE/XGE><接口位置编号>/<接口顺序号>格式命名,其中:
接口名称按设备标识显示,分别是GE3、GE16、<GE/XGE>4、<GE/XGE>6;
借口顺序从左至右为0-3
例如:板载第一个千兆电口为 GE3/0,板载第二个千兆电口为 GE3/1,扩展槽slot4上第一个万兆光口为XGE4/0。
(1) 使用SHA1等工具校验提供的ISO文件,确保文件未被篡改或损坏。
(2) PC上推荐安装Rufus磁盘工具,用来快速制作启动U盘。
(3) 将空白U盘插入PC的USB接口,然后运行Rufus。
(4) Rufus识别出U盘后,在“引导类型选择”处选择正确的ISO安装包。
(5) 分区类型选择“GPT”,目标系统类型选择“UEFI”
图2-53 rufus选择分区类型
(6) 点击【开始】,开始制作启动U盘。从状态栏中可以查看当前的制作进度。若刻盘出现图2-54的提示,选择“是”。
图2-55 刻录进度
(7) 耐心等待一段时间,启动U盘制作完毕。
(1) 将制作好的启动U盘插入到设备中,开启设备电源。
(2) 在启动过程中按“ESC”,进入BISO设置界面
(3) 启动配置-选择启动模式“UEFI”;固定的优先启动顺序-启动选项#1 “硬盘”;UEFI硬盘驱动BBS优先顺序-启动选项#1,选择刻录的U盘。
(4) 点击到退出页面,点击“保存并退出”按钮
(5) 系统重新进入引导页,按F7进入选择启动设备页面,选择刻录的U盘,进入安装界面。
如图2-56所示,选择“Install in-sec-soc”。
(6) 开始安装。安装过程若出现以下界面需要手动选一下,其他界面均自动配置无需人工参与。
图2-57 安装中
若出现下图界面选择“yes”。
图2-58 选择yes
若出现下图界面,选择“Guided - use entire disk and set up LVM”
若出现以下界面,选择“硬盘sda”(以实际磁盘显示名称为准)
(7) 安装过程中会自动重启设备,当系统进入下图界面表示安装完成。自动安装过程中会出现黑屏和自动重启现象,属于正常现象。请耐心等待一会,直至设备提示进入登录界面。使用U盘安装大概需要40min-1h,根据网络情况,可能有所不同。
图2-59 安装完成图
(8) 安装完成后,拔出U盘。
(9) 安装完成后检验。后台使用admin/admin账号登录设备,执行display version查看版本是否显示正确,执行ipshow命令查看默认管理口IP地址是否为192.168.0.1。X3020服务器默认管理口为GE2/0,X2080服务器默认管理口为GE0/0。
适配H3C X3020服务器(自带4电口板卡,支持两个扩展槽),默认管理口GE2/0,ip地址192.168.0.1。如图2-60
solt2口支持2种2万兆光口扩展卡和1种4千兆电扩展卡。solt16口支持扩展OCP 3.0卡。
系统中对应接口名称按<GE/XGE><接口位置编号>/<接口顺序号>格式命名,其中:
接口名称按设备标识显示,分别是GE2、<GE/XGE>3、GE16;
借口顺序从左至右为0-3
例如:板载第一个千兆电口为 GE2/0,板载第二个千兆电口为 GE2/1,扩展槽slot3上第一个万兆光口为XGE3/0。
(1) 安装完成后检验。后台使用admin/admin账号登录设备,执行display version查看版本是否显示正确,执行ipshow命令查看默认管理口IP地址是否为192.168.0.1。
(2) 若安装完,display version 出现如下界面,说明U盘刻录不完整,安装失败。请重新刻盘安装并检验MD5,参考2.2 (3)。若MD5也对,但安装还是失败,请更换U盘重新刻录。
(1) 登录管理端IP:https://192.168.0.1。
用户名/密码:operator / operator
(2) 进入“网络设置>接口设置”页面,点击网卡所在行的“修改”图标,弹出“网卡设置”对话框,修改IP地址(如将192.168.0.1改为172.16.3.1)后点击<确定>。
图4-1 修改接口
(3) 点击<点击生效>,设置生效。
(4) 添加路由。修改完IP后需要添加相应的路由。
进入“系统管理>网络设置>路由设置”页面,新建路由。新建路由后,重启系统生效。
图4-2 添加路由
后台使用admin/admin账号登录。当web端页面无法连接时请根据此操作在后台修改IP,后台添加的IP和路由,为临时配置,重启会失效,永久IP和路由请在web可以登录后,在web页面中添加。
如图4-3所示,登录到后台后输入命令:ip ip地址/掩码 修改管理口地址,使用ipshow查看地址。
图4-4 查看IP地址
如图4-5所示,添加临时路由:route add -net 0.0.0.0/0 gw 172.16.3.1。
在管理端安装完成后,使用operator账号登录设备,在系统设置>系统工具处下载对应客户端版本。
下载对应的客户端安装程序到终端计算机上,进⾏客户端的安装。
具体支持的操作系统,请参考开局指导手册。
(1) 使用operator账号登录管理端设备,在系统设置>系统工具处下载对应客户端版本
(2) 下载适用于Windows环境的系统安装程序。如:SecPathISG-IMW310-E6503.exe。
进程信息提取工具.exe和移动存储设备注册工具.exe分别是获取进程指纹和usb存储设备识别码的小工具,可直接拖拽到命令行窗口里面执行。
图5-1 客户端下载界面
(3) 下载完成后,双击安装程序后,根据操作提示执行安装,输入服务端IP,安装完成。
(1) 使用operator账号登录管理端设备,在系统设置>系统工具处下载对应客户端版本
(2) 下载适用于Linux环境的系统安装包。
进程信息提取工具.exe和移动存储设备注册工具.exe分别是获取进程指纹和usb存储设备识别码的小工具,可直接拖拽到命令行窗口里面执行。
图5-2 客户端下载界面
(3) 如果下载的安装包不是可执行权限,请执行以下命令:chmod +x xxxx (xxxx是安装包的名字)。
图5-3 开启可执行权限
(4) Root权限下,在命令行窗口执行“./安装程序名称”或“bash 安装程序名称”命令进行安装。如:./SecPathISG-IMW310-arm64-E6503.run。
(5) 输入服务端IP地址。
(6) 程序安装完成后,重启系统。
进入Windows操作系统的控制面板,进入“程序>卸载程序”,找到安装的工控主机安全卫士客户端,卸载即可。卸载时需要输入卸载码gameOver$0
进入到“/opt/SafeProxyLinux”目录下,执行命令“./SafeProxyUninstall”,并输入卸载码gameOver$0完成卸载操作:
图5-4 Linux环境卸载(注意卸载码没有空格)
如果您希望在管理端(Web端)管理终端计算机,通过web端进行统一数据分析和策略下发管理,您需要在客户端执行注册终端计算机操作。
工控主机安全卫士agent打开控制台cmd,执行以下命令即可注册成功(其中,ip是工控主机安全卫士管理端所在机器ip):
spc --add-server-address "192.168.0.1"
支持
