统一终端安全管理平台介绍

CHINANATIONALSOFTWARE＆SERVICECO.,LTD.中国软件与技术服务股份有限公司目录第一章系统概述....................................................................................................................................................................1第二章体系结构和运行环境................................................................................................................................................32.1系统体系结构.................................................................................................................................................................32.2推荐硬件需求................................................................................................................................................................42.3推荐软件需求................................................................................................................................................................4第三章系统功能....................................................................................................................................................................53.1终端安全管理................................................................................................................................................................73.1.1终端健康检查.......................................................................................................................................................73.1.2安全策略管理.......................................................................................................................................................73.1.3用户身份认证.......................................................................................................................................................73.1.4网络进程管理.......................................................................................................................................................83.1.5防病毒软件监测...................................................................................................................................................83.1.6补丁分发管理.......................................................................................................................................................93.1.7文件安全删除........................................................................................................................................................93.2终端运维管理..............................................................................................................................................................103.2.1软件分发管理......................................................................................................................................................103.2.2软硬件资产管理.................................................................................................................................................103.2.3系统运行状况监控.............................................................................................................................................113.2.4远程管理.............................................................................................................................................................123.3用户行为管理..............................................................................................................................................................123.3.1网络行为管理.....................................................................................................................................................123.3.2非法外联控制.....................................................................................................................................................133.3.3媒体介质管理.....................................................................................................................................................133.3.4打印机管理.........................................................................................................................................................143.3.5外设接口管理.....................................................................................................................................................143.4数据安全管理..............................................................................................................................................................143.4.1我的加密文件夹.................................................................................................................................................143.4.2硬盘保护区.........................................................................................................................................................143.4.3文件安全分发.....................................................................................................................................................143.4.4安全文档管理.....................................................................................................................................................153.4.5可信移动存储介质管理......................................................................................................................................153.5终端接入管理...............................................................................................................................................................163.5.1终端接入认证......................................................................................................................................................163.5.2内网安全扫描.....................................................................................................................................................163.6系统管理与审计...........................................................................................................................................................173.6.1组织结构管理.....................................................................................................................................................173.6.2统计审计.....................................................................................................................................................173.6.3分级报警管理......................................................................................................................................................173.6.4响应与知识库管理.............................................................................................................................................173.6.5系统参数设置......................................................................................................................................................18第四章系统特点....................................................................................................................................................................194.1全面的终端防护能力...................................................................................................................................................194.2分权分级的管理模式..................................................................................................................................................194.3方便灵活的安全策略..................................................................................................................................................194.4终端安全风险量化管理..............................................................................................................................................194.5周全详细的系统报表..................................................................................................................................................204.6丰富的应急响应知识库..............................................................................................................................................204.7完善的插件式系统架构..............................................................................................................................................204.8方便快捷的安装、卸载和升级..................................................................................................................................204.9多级部署支持..............................................................................................................................................................20附件一：名词解释..................................................................................................................................................................22第一章系统概述第一章系统概述随着信息化安全技术的不断发展，各种内网安全管理问题逐步凸现出来。据IDC调查报告显示超过85%的网络安全威胁来自于内部，其危害程度更是远远超过黑客攻击所造成的损失，而这些威胁绝大部分是内部各种非法和违规的操作行为所造成的。内网安全问题已经引起了各级单位的广泛重视，随着安全意识的不断增强，安全投入逐步增加，但是内网的安全事件却不断地增多。分析其原因我们认为主要有以下几个方面：‹有章不循，有规不依，企业内网安全合规性受到挑战。很多公司明文规定安装操作系统必须打最新的补丁，但是终端用户依然我行我素导致操作系统补丁状况不一，从而给蠕虫病毒、木马程序和黑客软件带来了可乘之机。同时有些单位购买了防病毒软件，但是终端用户没有按照单位统一部署的要求安装防病毒软件，或者有些终端用户虽然安装了防病毒软件，但是没有及时更新病毒库，导致计算机病毒有机可乘。对于终端安全管理，公司建立了很多安全制度，但是终端用户不按照公司安全规定要求，将不安全的计算机接入网络，从而引入了内网安全威胁，企业内网的安全合规性受到了严峻的挑战。‹谋一时，而未谋全局，终端系统被划分为多个独立的信息安全孤岛。各单位在解决各种内网安全问题上，通常缺乏统一、全面的内网安全解决。按照“头痛医头，脚痛医脚”的内网安全防护加强思路，采购并部署了多款终端安全管理的产品，比如：身份认证、补丁管理、软件分发、病毒防护软件等等。但是这些终端安全防护软件来自于不同的安全厂商，各种软件之间各自为政，缺乏统一管理、协调工作的机制，最终导致个人桌面系统被划分为一个个独立的信息安全孤岛，因此出现了终端安全管理混乱、内网安全漏洞百出，内网安全事件防不胜防。‹百花齐放，百家争鸣，终端系统终因难堪负重，系统性能急剧下降。为了加强终端安全管理，在个人桌面系统上同时安装了不同厂家的终端代理。每种代理程序都需要实现自我防护、网络通信、运行监控等程序调度机制，需要重复的占用系统有限的CPU、内存等系统资源，导致个人桌面系统运行速度变慢，系统性能急剧下降。同时，由于不同厂家的软件存在很多功能重叠的部分，而这些重叠部分往往是采用类似技术开发，从而导致不同软件之间频繁发生应用冲突。1第一章系统概述‹治标不治本，本末倒置，软件购买费用增加，系统维护成本成倍增长。通常终端管理软件大致分为三个组件，即：服务器、控制端、客户端代理。每种服务器软件都需要独立的数据库和硬件服务器支撑，无形中增加了软件的部署成本。同时，由于每种软件都有自己的控制台程序，管理员要针对每套系统生成它的控制策略，每套系统的数据审计都是分开的，管理工作非常多，管理员为每天的维护工作疲于奔命，从而导致管理疏忽。针对以上几种原因，以及中软公司在对企业内网安全管理展开全面调查的基础上，创造性地形成了一套完备的终端安全“一体化”解决方案。在过去的几年里中软公司一直致力于内网安全的研究，并在国内最早提出了一系列的内网安全管理理论体系和解决方案。内网失泄密防护软件--中软防水墙系统的推出填补了国内内网安全管理软件的空白，并获得了若干国家专利局的技术专利。防水墙系统连年获奖，其中在2006年“防水墙”被计算机杂志评为2005年度新名词。中软公司早在2001年就开始致力于内网失泄密软件的开发，先后向市场推出了中软防水墙系统7.0版本、7.0+版本和7.2版本。随着内网安全管理的复杂化，中软公司在复用防水墙系统成熟技术的基础上，引入先进的内网安全管理理念和新的内网安全管理技术重新搭建系统体系结构，自主研发了中软统一终端安全管理平台8.0（CSSUnitedEnd-PointManagementSystem,简称UEM8.0）。该系统是以“木桶原理”为理论依据，以安全策略为驱动，按照PDR安全模型的“保护-检测-响应”工作流程循环检测，同时结合保密规定的“等级防护”指导方针，采用多种安全技术实现了对终端主机全方位、多层次的安全防护。按照“保护-检测-响应”的工作流程逐步完善终端安全防护策略，并将事件处理方式和处理流程登录到用户知识库，逐步形成内网事故应急响应流程和共享安全解决方案的知识库。2第二章体系结构和运行环境第二章体系结构和运行环境2.1系统体系结构系统分为三个组件：客户端、服务器和控制台，系统采用分布式监控，集中式管理的工作模式。组件之间采用C/S工作模式，组件的通信是采用HTTP/HTTPS加密传输方式。支持任意层级的服务器级联，上下级服务器之间采用HTTPS协议进行数据交换。体系结构如图1所示。图1系统体系结构图„客户端：安装在受保护的终端计算机上，实时监测客户端的用户行为和安全状态，实现客户端安全策略管理。一旦发现用户的违规行为或计算机的安全状态异常，系统及时向服务器发送告警信息，并执行预定义的应急响应策略。„服务器：安装在专业的数据服务器上，需要数据库的支持。通过安全认证建立与多个客户端系统的连接，实现客户端策略的存储和下发、日志的收集和存储。上下级服务器间基于HTTPS进行通信，实现组织结构、告警、日志统计信息等数据的搜集。3第二章体系结构和运行环境„控制台：人机交互界面，是管理员实现对系统管理的工具。通过安全认证建立与服务器的信任连接，实现策略的制定下发以及数据的审计和管理。2.2推荐硬件需求客户端个数<200200-500500-1000>1000服务器主机个数1111+服务器CPUP43.0RAM1GBHDisk120GBCPUP43.0ATRAM2GBHDisk240GBCPUP43.0ATRAM4GBHDisk480GBCPUXeon1G*4RAM4GBSCSIDisk240GBRAID5控制台CPUP42.0RAM512MBHDisk40GBCPUP42.0RAM1GBHDisk40GBCPUP43.0RAM1GBHDisk40GBCPUP43.0RAM1GBHDisk80GB客户端CPUP42.0/RAM512MB/HDisk40GB审计平台CPUP42.0/RAM512MB/HDisk40GB表格1系统推荐硬件需求2.3推荐软件需求操作系统所需其他软件支持服务器MicrosoftWindows2003Server/AdvancedServerMicrosoftSQLServer2000+SP4或SQLServer2005；硬件“加密锁”驱动程序控制台MicrosoftWindows2003Server,MicrosoftWindows2000Professional/Server/AdvancedServer,MicrosoftWindowsXP客户端MicrosoftWindows2000Professional/Server/AdvancedServer,MicrosoftWindowsXP/MicrosoftWindows2003Server/MicrosoftWindowsVista审计平台MicrosoftWindows2000Server/AdvancedServer,MicrosoftWindowsXP，MicrosoftWindows2003ServerMicrosoftSQLServer2000+SP4或SQLServer2005表格2系统软件需求提示：„安全管理平台服务器，包括服务器软件和后台支持数据库。建议在专用主机上安装安全管理平台服务器，并且关闭所有与安全管理平台无关的不必要的服务。支持操作系统为MSWindows2003系列，推荐AdvancedServer版本。„安全管理平台客户端不支持Linux系统。„为保证用户正常使用安全管理平台，最好将安全管理平台服务器、控制台和客户端分别运行于独立的平台之上,同时用户安装前应将Windows版本进行升级,安装各自版本最高补丁。4第三章系统功能第三章系统功能随着内网终端安全地位的合理化，终端安全管理将进一步沿着整合化、平台化、统一化、基础化的方向发展。内网终端安全一体化的需求越来越强烈，终端安全产品的形态将逐步发生变化，最后发展为兼顾安全防御与安全管理。终端安全发展的历史使命终将通过一款“大、一、统”的终端安全产品来实现。所谓“大”就是该产品功能所涵盖的范围大，它不但要包含网络接入认证、系统身份认证、资产管理、补丁管理、软件分发，还要包涵系统运行监控、用户行为监控等终端软件的所有功能。所谓“一”就是一个终端代理、一台服务器就可以实现上述所有功能，一个网络管理员就可以全局控制整个内网安全。所谓“统”就是指对所有的桌面系统应用统一的安全策略，对所有的终端用户采用统一的终端管理策略，对终端产生的日志进行统一的日志分析，为所有管理员提供统一的应急响应知识库。各功能部件之间协调工作，统一管理，形成一个高效有机的安全代理。通过统一的桌面管理平台降低系统的复杂度，提高了个人桌面系统的工作性能，降低了用户的维护管理成本。针对以上终端计算机用户的安全需求，中软公司对政府、军工和高新技术企业的终端计算机管理问题展开了全面的调查，借鉴中软防水墙系统的开发经验，以等级防护和国家关于涉密计算机管理的相关规定为蓝本，创造性地形成了一款终端安全管理系统，该系统从防护功能方面分为五大部分：终端安全管理、终端运维管理、用户行为管理、数据安全管理、系统身份认证管理，同时辅助这些功能系统提供了监控日志的统计与分析功能和系统运行管理功能。5第三章系统功能中软统一终端安全管理系统功能体系图具体每项功能特点简要描述如下：终端安全管理：保证安全策略的合规性，保障终端的安全运行环境。它包括有安全策略管理、终端接入检查、终端出网许可、用户登录计算机的身份认证、网络进程访问控制、防病毒软件监测、系统补丁管理、安全操作管理等涉及主机安全管理、策略合规性管理的功能体系。终端运维管理：监控远程终端的运行状况，管理内网的信息资产，为管理员的终端维护提供方便快捷的帮助。它包括有软件分发、资产管理、运行监控、远程管理、远程帮助等终端运行维护管理方面的功能体系。用户行为管理：终端用户信息带出行为，防止企业敏感信息泄露。它包括有网络失泄密防护、存储介质泄密防护、打印机泄密防护、外设接口泄密防护等敏感信息失泄密防护方面的功能体系。数据安全管理：从多个方面和多个层次实现对用户数据的安全管理。它包括：用户桌面安全保险箱，实现了终端用户对个人、小组等需要防护的数据的主动加密要求；安全文档管理，该功能利用透明加解密技术从底层实现了企业对某类型的敏感数据的强制加密要求，实现文档的透明加密和透明解密，不影响用户的操作习惯；可信移动存储介质管理，该功能帮助企业实现了移动介质数据的防护，实现了“外部的U盘进来使不了，里面的U盘出去不可用”。终端接入管理：通过终端接入认证和非法主机扫描实现对接入网络的客户端进行认证，认证通过的可以连接网络，对通过其他非法途径进入网络的非法主机，通过扫描工具发现并告警。系统管理与审计：集中统计、显示和分析各种受监控的用户行为日志、报警日志、主机状态日志、6第三章系统功能以及响应知识库的管理、系统角色和权限、用户的管理，同时为系统正常运行提供了相关参数设置。3.1终端安全管理3.1.1终端健康检查对接入内网的计算机必须通过安全性检查才能访问内部网络资源，主要功能如下：对通过接入认证的计算机进行安全性检查，检查的策略包括两个方面：防病毒软件安装与否和操作系统补丁安装与否。如果没有达到安全检查的基准，则系统只能访问内部修复服务器，不能访问内部网络资源。当系统执行自我修复操作后（如：安装操作系统补丁或安装防病毒软件），如果安全状态达到相应的那么该计算机即可正常访问内部网络资源。3.1.2安全策略管理按照企业终端计算机安全管理规定，统一配置终端计算机的Windows安全策略，实现集中的安全策略配置管理，统一提高终端计算机用户的安全策略基线。系统所能配置的安全策略如下：‹帐户密码策略监视，统一监视Windows密码策略的启用情况和策略参数，对不符合安全策略的状态进行报警。‹帐户锁定策略监视，统一监视Windows帐户锁定策略的启用情况和策略参数，对不符合安全策略的状态进行报警。‹审核策略监视，统一监视Windows审核策略的启用情况和策略参数，对不符合安全策略的状态进行报警。‹共享策略监视，统一监视Windows共享（包含默认共享）情况，对不符合安全策略的状态进行报警。‹屏保策略监视，统一监视屏幕保护策略的启用情况和策略参数，对不符合安全策略的状态进行报警。3.1.3用户身份认证身份认证是系统应用安全的起点，通过硬件USBKey和口令认证登录Windows系统用户身份，保证进入Windows系统用户身份的合法性；对登录用户权限进行合法性检查，保证用户权限的合规性。7第三章系统功能具体功能如下：‹基于USBKey的身份认证，将用户信息和证书内置于USBKey硬件中，通过读取USBKey中的用户信息实现登录用户身份认证，实现双因子认证，提高了主机身份认证的安全强度。同时为了增强系统的灵活性，对于USBKey用户，系统管理员可要求该用户进行USBKey和Windows双因子认证登录系统，也可允许该用户无需输入Windows口令，只使用USBKey完成登录认证。‹登录用户权限合法性检查，检查登录Windows系统的用户权限，当发现登录用户权限与策略设置的登录用户权限不一致时，系统及时阻止非法用户登录，并向服务器发送告警信息。该项功能主要是防止用户通过非法途径提升自身用户权限而达到某种非法目的，例如：策略设置只能是USER权限用户登录计算机，如果登录计算机的用户拥有Administrator或PowerUser权限则系统自动阻止该用户登录。3.1.4网络进程管理通过对网络进程的统一管理，规范计算机用户的网络行为，实现“外面的网路连接未经许可进不来，里面的网络进程未经许可出不去”。具体功能描述如下：管理向外发起连接的网络进程，通过设置网络访问进程的黑、白名单，实现对计算机用户访问网络的控制；管理接收外部连入的网络进程，通过网络进程与本地监听端口绑定，规范计算机用户所提供的网络服务程序，例如“SUFTP.EXE授权监听端口为21，如果将SUFTP.EXE的监听端口改为1133，则进程不能对外提供服务”。实时获取网络进程信息和会话连接状态，当管理员通过控制台获取网络进程信息时，客户端以快照的方式上传当前的网络信息和会话状态。3.1.5防病毒软件监测通过策略设置防病毒软件特征，按照统一的策略监测防病毒软件使用状况，并进行统计分析形成统一的数据报表。具体功能如下：‹监视防病毒软件的使用状况，通过防病毒软件的特征监视防病毒软件的安装情况、运行状态和病毒库版本，对不符合安全策略的状态进行报警。8第三章系统功能‹防病毒软件监测特征的自定义，通过对未知防病毒软件的特征自定义实现对未知防病毒软件的监测，其特征包括杀毒程序名称、病毒库版本标识的注册表项等。3.1.6补丁分发管理统一配置终端计算机的补丁管理策略，实现对系统补丁状况的扫描，自动完成补丁分发。系统所支持的补丁包括：Windows操作系统补丁系列、office系列办公软件补丁、SQLServer系列补丁等微软产品的补丁，具体功能如下：‹制定统一的补丁管理策略，通过设置补丁来源确定补丁服务器WSUS的地址和WSUS统计地址，按照补丁检测周期定期检测客户端补丁安装状况。‹实现统一的补丁更新管理，通过设置终端策略实现系统补丁更新，更新模式有两种：手动更新补丁和自动更新补丁。†手动更新补丁模式，通过策略设定对特定补丁的检测，如果客户端没有安装这类的补丁，则根据事先设定的下载优先级从补丁服务器下载补丁并安装补丁。†自动更新补丁模式，通过设定自动更新方式，实现三种方式的安装和下载：通知下载和通知安装、自动下载和通知安装、自动下载和自动安装三种方式，通过设定自动更新时间点和更新完成是否重启计算机等参数实现客户端补丁的自动安装。3.1.7文件安全删除通过控制台设置临时文件管理策略，实现临时文件的统一删除管理，系统所能删除的文件包括有：‹清除IE缓存，按照策略定期删除IE所产生的临时文件；‹清除IE地址栏，按照策略定期删除IE地址栏中的临时信息；‹清除历史记录，按照策略定期删除历史记录文件；‹清除COOKIE，按照策略定期删除系统访问所产生的COOKIE文件；‹清除系统临时目录，按照策略定期删除系统工作的临时目录；‹清除最近打开的文档，按照策略定期删除系统最近打开文件的记录；‹清除运行中的运行命令，按照策略定期删除系统运行中记录的用户运行命令；‹清除回收站，按照策略定期清空回收站中的被删除信息。9第三章系统功能同时提供文件安全擦除功能，实现对存储在本地的敏感文件进行安全擦除功能，通过多次数据回填的方式实现敏感文件的安全擦除，经过安全擦除处理后的文件无法通过磁盘剩磁的方式恢复数据。管理员可以配置擦写次数实现统一的文件擦除管理。3.2终端运维管理按照统一的安全策略监控客户端的运行状况，通过软件自动分发和软硬件资产的统一管理大大节约了企业信息系统的维护成本，通过系统远程帮助控制实现远程维护计算机，清除系统故障。系统具体功能如下：3.2.1软件分发管理规划企业统一分发的软件安装包，按照统一的软件分发策略，自动完成企业软件的部署，其主要功能如下：‹软件包管理，按照软件包信息和安装环境创建需要分发的软件包，它包含软件位置、安装环境等相关信息。可支持MSI、可执行文件、批处理文件三种形式的软件包。‹软件包分发，选择分发软件包的类型，根据统一设定的分发策略可实现多种类型的软件分发，具体类型如下：†软件下载优先级，根据程序运行的优先级可以设置为：前台、高、中、低四种优先级；†软件下载类型，根据下载的紧迫性要求可以分为：立即下载、时间点下载和分时段下载三种下载模式。而时间点下载有可以设置立即下载的起始时间；分时段下载可以分为多个时段下载，每个时段需要设置起始和终止时间。†安装类型，可以分为静默安装和交互安装两种方式。†安装时间类型，可以分为立即安装、时间点安装和等待N分钟后安装。同时系统对标准格式的安装包在终端主机上安装结果（成功/失败）进行跟踪反馈，管理员可以根据反馈结果形成统计报表。3.2.2软硬件资产管理自动发现和收集计算机上的软硬件资产信息，跟踪软硬件资产信息变化情况，对非授权的软硬件资产的变更产生报警。具体功能相如下：10第三章系统功能‹资产信息查看，自动收集计算机用户的软硬件资产信息。其中硬件信息包括处理器、硬盘、内存、BIOS、光驱、显卡、声卡、网卡、显示器、输入设备、接口控制器、调制解调器、系统端口和插槽共计14种类型的硬件资产；软件资产包括系统软件、应用软件两种类型；还包括有操作系统信息和客户端信息。‹软件管理策略，规范用户使用软件的范围，通过设置安装程序黑白名单的方式保证用户启动进程的合法性。获取计算机用户的软件安装情况，并能对全网的软件安装情况进行统计。‹硬件管理策略，定义非法硬件名单，可定义的非法硬件包括：调制解调器、无线网卡、打印机、采集卡、刻录机、软驱、移动存储器、键盘和鼠标。系统一旦识别出非法硬件后立即向服务器发送告警信息。‹硬件基线设置，定义硬件设备的运行基线，当发现硬件设备与运行基线不一致时，系统立即向服务器发送告警信息。能定义为基线的硬件设备有CPU、BIOS、硬盘、网卡、显卡、光驱、内存和声卡。3.2.3系统运行状况监控为管理员随时提供远程终端主机的运行状态变化信息，自动对指定的异常情况进行报警，根据管理员预定义策略及时阻断远程主机的违规行为。具体功能项如下：‹监控信息管理，实时监测计算机的资源使用情况，当发现系统资源超过管理员设定的监测阀值时，根据管理员预定义的响应策略阻止用户行为或向服务器发送告警，具体所能监控的信息如下：†计算机名称监控，禁止计算机用户修改计算机名称的行为。†系统资源监测，监测CPU、内存的使用情况，当CPU、内存超过管理员设置的监测阀值时，系统向服务器发送告警信息；监测硬盘的使用情况，当硬盘空闲空间小于管理员设置的阀值时，系统向服务器发送告警信息。†网络流量监测，监测计算机网络的实时流量和总流量，当网络流量超过阀值时系统向服务器发送告警信息。†文件共享监测，监测共享文件夹的添加、删除，当系统共享文件夹发生变化时，系统向服务器发送告警信息。†文件操作监测，监测用户创建文件、读写文件、重命名文件和删除文件的操作行为，可以设置所监测的文件名、文件后缀和文件路径。11第三章系统功能†用户和组操作监测，监测用户和组的添加、删除和属性改变的用户操作行为。†系统服务监测，监测系统服务的启动和停止的变化情况，并记录日志。†网络配置，监控系统网络配置的变化情况，禁止用户修改IP地址。†系统进程，监测主机进程变化，可以监测所有进程的创建和关闭，也可以通过设置黑白名单的方式设置系统的监控进程列表。†系统日志，设置获取远程计算机的系统日志上传周期。‹查看系统信息，及时获取远程主机的资源信息，包括：进程、网络、帐户和组、服务、共享、活动窗口、驱动、硬件、内存、会话信息、系统信息和系统日志。3.2.4远程管理通过终端用户与服务器相互授权的机制建立终端与服务器之间的信任通信体系，管理员通过服务器实现对终端用户提供帮助，具体功能如下：‹实时获取客户端主机信息，通过UEM控制台远程实时获取客户端主机的相关的信息：如：驱动信息、硬件信息、进程信息、内存信息、网络连接、活动窗口、服务信息、共享信息、系统信息、用户信息、组信息、会话信息、系统日志等。‹远程关机、远程注销、远程重启，通过控制台对远程的客户端主机下发远程关机、远程注销、远程重启等命令，实现远程对客户端主机的基本管理控制。‹服务器-客户端远程消息管理，通过控制台向客户端发送消息通告。支持客户端通过消息传递方式实现客户端和服务器一对一的消息交流。‹远程协助支持,能通过控制台连接客户端主机远程协助功能，实现管理员远程协助客户端主机进行故障排除。3.3用户行为管理通过控制信息外泄途径的方式保护企业敏感信息的安全，防止用户误操作或违规行为带出企业敏感信息。3.3.1网络行为管理规范计算机用户的网络访问行为，根据业务相关性和保密的重要程度建立信任的虚拟安全局域网。网络防护有两个层面的含义：第一是防止用户误操作或蓄意泄漏企业的敏感信息；第二是防止12第三章系统功能黑客通过互联网透过防火墙非法获取客户端的敏感信息。实现了从网络层到应用层的多层次防护，具体功能如下：‹网络层防护：IP地址访问控制、TCP/UDP/ICMP协议控制；‹应用层防护：HTTP/FTP/TELNET/SMTP/WEBMAIL/BBS/NETBIOS控制；控制策略有：禁止访问、自由访问。禁止访问时提供仅开放白名单功能，实现只开放白名单地址，其它地址全部禁止；自由访问时提供黑名单功能，实现只禁止黑名单地址，其它地址全部开放；同时提供三种日志记录模式：记录被禁止的访问、记录未知的访问和记录信任的访问，对FTP、SMTP访问控制和文件打印，可以记录文件内容。3.3.2非法外联控制通过对Modem的控制实现非法外联的监控。控制策略有：禁止访问、自由访问和条件访问。禁止访问时提供仅开放白名单功能，实现只开放白名单地址，其它地址全部禁止；自由访问时提供黑名单功能，实现只禁止黑名单地址，其它地址全部开放；同时提供三种层次的记录：记录被禁止的访问、记录未知的访问和记录信任的访问，同时对FTP、SMTP、和打印可以提供文件备份功能。3.3.3存储介质管理根据企业对计算机用户的媒体介质的控制策略，按照计算机用户的防护等级和业务关系设置统一的媒体介质控制策略，实现企业对媒体介质的统一管理。具体的功能控制项如下：‹移动存储介质的控制，对移动存储介质的访问进行统一的控制，控制模式可以分为：自由使用、禁止使用、设置为只读、拷贝文件加密、拷贝文件记录日志并备份文件内容等五种控制策略。其中拷贝文件加密为个人加密的加密方式，个人加密只能在当前主机的当前个人用户下才能解密。‹CDROM/CDRW的控制：对光盘介质的访问进行统一的控制，控制模式可以分为：自由使用、禁止使用。‹辅助硬盘的控制：对计算机上挂接第二块硬盘的访问进行统一的控制，控制模式可以分为：自由使用辅助硬盘和禁止使用辅助硬盘。13第三章系统功能3.3.4打印机管理根据企业的打印机和计算机用户业务关系统一制定打印机的管理策略，具体的功能控制项如下：‹监控用户打印行为：统一制定计算机用户的打印管理策略，控制模式可以分为：自由使用打印机、禁止使用打印机和允许使用打印机并记录打印文件名称（可选项为备份文件内容）。‹打印行为违规报警：在禁止打印机策略时如果用户执行打印操作，系统立即向服务器发送违规打印操作信息。3.3.5外设接口管理统一配置计算机外设接口的控制策略，动态的关闭与开启外设接口。所能控制的接口有：USB接口、SCSI接口、串行总线、并行总线、红外接口、PCMCIA接口、软盘控制器、火线1394接口、无线网卡接口、DVD/CD-ROM驱动器、蓝牙接口、第二块网卡接口。接口访问控制的策略分为：允许和禁止两种，在禁止策略下的尝试访问向安全管理平台服务器报警。3.4数据安全管理3.4.1我的加密文件夹我的加密文件夹为终端用户提供了个人文件加密存储的文件服务，拖进该文件夹的文件自动生成以.wsd为后缀的加密文件。当本人访问加密文件夹中的加密文件时，系统会自动解密。3.4.2硬盘保护区硬盘保护区是在本地硬盘上提供一个或多个安全存放本地敏感文件的加密存储空间，用户可视为该文件保险箱为可信空间，并可通过加载或卸载操作以使该保险箱可见或不可见。所有放入保险箱的文件都是自动加密存储的，正常加载以后呈现给用户的是明文，用户感觉不到加解密过程。3.4.3文件安全分发文件安全分发实现了文件在小组、域范围内的自动加密或者自动解密，实现了在小组或域内的安全分发过程，在小组或域外文件为加密文件。14第三章系统功能3.4.4安全文档管理基于透明加解密技术，在客户终端上实施对客户文件的透明加密、透明解密，有效防止内部和外部窃取机密的行为，从根本上解决泄密防范问题。运行在用户桌面电脑中的程序，接受服务器的安全策略，根据策略判断什么样的文件需要加密，什么样的文件不加密；用户执行打开、编辑、存盘等文件操作中，强制执行这些策略。所有这些过程是不改变用户行为习惯，文件的操作者感觉不出以上这些过程的，所以对用户来讲是“透明”的。通过该模块对以下对象进行相应策略设置和日志审计：‹加密进程控制：设置是否对某进程产生的文档执行强制加解密策略；‹全盘扫描控制：是否允许执行全盘扫描。‹工作模式控制：是否允许用户对工作模式的切换设置，在普通模式下不执行文档加密策略，在工作模式下强制执行加密策略。‹文档带出审批功能：支持自解密，审批带出设置，且记录申请和带出的日志。方便了加密文件在特殊情况下的使用。3.4.5可信移动存储介质管理该功能实现了用户对移动存储介质管理的要求，对可信移动存储介质从购买到销毁的整个生命周期进行管理和控制。可信移动存储介质管理通过授权认证、身份验证、密级识别、锁定自毁、扇区级加解密、日志审计等六个途径对可移动存储设备的数据进行安全防护，使得存储在可信移动存储介质上的文件对于未通过身份验证的用户或密级不够的主机是不可访问的，对已通过身份验证的用户来说是透明的，且不改变用户对可移动存储设备的使用习惯。‹授权认证：管理员对移动存储介质进行注册授权，写入授权信息。‹身份验证：客户端使用可信移动存储介质的时候，对用户的身份信息进行验证。‹密级识别：客户端使用可信移动存储介质的时候，需对客户端主机密级进行验证。‹锁定自毁：客户违规使用可信移动存储介质的时候，对磁盘进