中软统一终端安全管理平台

目录第一章系统概述 (1)第二章体系结构和运行环境 (3)2.1系统体系结构 (3)2.2推荐硬件需求 (4)2.3推荐软件需求 (4)第三章系统功能 (6)3.1终端安全管理 (8)3.1.1 终端健康检查 (8)3.1.2 安全策略管理 (8)3.1.3 用户身份认证 (8)3.1.4 网络进程管理 (9)3.1.5 防病毒软件监测 (9)3.1.6 补丁分发管理 (10)3.1.7文件安全删除 (10)3.2终端运维管理 (11)3.2.1软件分发管理 (11)3.2.2 软硬件资产管理 (11)3.2.3 系统运行状况监控 (12)3.2.4 远程管理 (13)3.3用户行为管理 (14)3.3.1 网络行为管理 (14)3.3.2 非法外联控制 (14)3.3.3 存储介质管理 (14)3.3.4 打印机管理 (15)3.3.5 外设接口管理 (15)3.4数据安全管理 (16)3.4.1 我的加密文件夹 (16)3.4.2 硬盘保护区 (16)3.4.3 文件安全分发 (16)3.4.4 安全文档管理 (16)3.4.5可信移动存储介质管理 (17)3.4.6 基于密级标识的文档安全管理 (18)3.5终端接入管理 (19)3.5.1终端接入认证 (19)3.5.2 内网安全扫描 (19)3.6系统管理与审计 (19)3.6.1 组织结构管理 (19)3.6.2 统计审计分析 (20)3.6.3分级报警管理 (20)3.6.4 响应与知识库管理 (20)3.6.5 服务器数据存储空间管理 (20)3.6.6 系统升级管理 (20)3.6.7 B/S管理功能支持 (21)3.6.7系统参数设置 (21)3.7文档外发管理 (21)3.7.1外发包的制作方式 (21)3.7.2 外发包的使用方式 (22)3.7.3 外发包的权限控制 (22)3.7.4日志信息的查看 (23)第四章系统特点 (24)4.1全面的终端防护能力 (24)4.2分权分级的管理模式 (24)4.3方便灵活的安全策略 (24)4.4终端安全风险量化管理 (24)4.5周全详细的系统报表 (25)4.6丰富的应急响应知识库 (25)4.7完善的插件式系统架构 (25)4.8方便快捷的安装、卸载和升级 (25)4.9多级部署支持 (26)附件一：名词解释 (27)第一章系统概述随着信息化安全技术的不断发展，各种内网安全管理问题逐步凸现出来。

“中软统一终端安全管理系统(United Endpoint Management, 简称UEM）”，以其全新的安全理念、强大的功能体系、完善的技术架构，改变了传统的内网安全管理模式，实现了主机监控与审计的完美统一。

该系统采用了终端安全“一体化"的安全防护技术，整合了病毒防护监测、网络接入认证、终端健康性检查、系统身份认证、资产管理、补丁管理、运行监控和失泄密防护等等终端软件的安全功能,是终端安全的完整解决方案。

【系统功能】该系统的主要从以下几个方面保障内部安全:一．终端安全管理1．安全策略管理按照企业终端计算机安全管理规定,统一配置终端计算机的Windows安全策略，实现集中的安全策略配置管理,统一提高终端计算机用户的安全策略基线。

系统所能配置的安全策略有：帐户密码策略监视、帐户锁定策略监视、审核策略监视、共享策略监视、屏保策略监视。

2．终端入网认证对接入内网的计算机进行统一的管理,未经许可的计算机不能接入内网,接入内网的计算机必须通过安全性检查才能访问内部网络资源，其主要功能为：非法用户内联控制、主机安全性检查。

3．用户身份认证身份认证是系统应用安全的起点，通过硬件USBKey和口令认证登录Windows系统用户身份，保证进入Windows系统用户身份的合法性;对登录用户权限进行合法性检查,保证用户权限的合规性。

具体功能为：基于USBKey的身份认证、登录用户权限合法性检查.4．网络进程管理通过对网络进程的统一管理,规范计算机用户的网络行为，实现“外面的网路连接未经许可进不来，里面的网络进程未经许可出不去"。

具体功能为：管理向外发起连接的网络进程、管理接收外部连入的网络进程、实时获取网络进程信息和会话连接状态。

5．防病毒软件监测通过策略设置输入防病毒软件特征,按照统一的策略监测防病毒软件使用状况，并进行统计分析形成统一的数据报表。

具体功能为：监视防病毒软件的使用状况、防病毒软件监测特征的自定义。

数据交换审计
出差模式
带出审批
禁止使用
文件操作审计
· 三项国家创新与利 · 驱劢级加密，防欺骗，防破觋 · 独有的磁盘结构格式和加密体系 灵活高效 · 支持全域、部门、丧人、出差、跨服务器使用 等多种场景，方便灵活 · 支持管理员集丨授权管理和终端用户分布式授权 两种方式，管理高敁 · 支持2TB大容量移劢硬盘
数据安全网关
数据安全网关通过对流经设备的数据文件 进行智能分析，根据设定的策略自劢进行 访问控制和文件加/觋密处理，幵详细记彔 访问日志。该产品将终端加觋密系统不现 有OA、PDM、PLM、ERP等业务系统完 美结合，有敁地保障了业务系统的连续性 和服务器数据的安全性。
安全隐患 • 文件服务器上集丨存储大量明文文件，如无防护客 户端直接拿到明文，存在泄漏风险 功能效果 • 当文件通过安全网关时，文件自劢加密乊后存储到 本地，保障本地丌留明文 • 当文件上传服务器时，文件自劢觋密保障服务正常 对文件处理和数据流转
微端口过滤技术
基亍微软稳定高敁的Minifilter框架开发，最大程度避免 系统蓝屏死机，大幅度提高加密敁率
敏感内容感知技术
自劢识别敂感内容，快速扫描企业海量数据，精确定义
核心文件，自劢标识密级幵加以保护，大幅减少人工识别
工作量
应用智能识别技术
智能识别从业务服务器下载的核心数据幵加密保护，对非 核心数据自劢放开，觋决过量加密问题
文档外发管理
文档外发管理是针对客户重要信息戒核心资 料外发安全需求而设计的功能模块，当客户 需要将涉密文档外发给合作伙伴时，通过文 档外发管理授权生成外发文件可以限定使用 者的阅读次数、使用时间、打印不否等细颗 粒度权限，从而有敁防止客户重要信息被非 法扩散、恶意篡改、越权访问等。

终端安全配置管理系统技术白皮书国家信息中心目录第一章终端安全配置管理系统简介 (1)1.1 为什么要做终端安全配置 (1)1.2 机构如何实现机构高效的终端安全配置管理 (2)1.3 终端安全配置管理系统技术优势 (3)第二章终端安全配置管理系统逻辑结构 (5)第三章终端安全配置管理系统功能 (7)第四章终端安全配置基线介绍 (9)4.1 基线概述 (9)4.2 终端硬件安全配置 (9)4.3 终端软件安全配置 (10)4.4 终端核心安全配置 (11)第五章系统应用方案 (14)5.1 应用架构 (14)5.2 实施流程 (16)5.3 运行环境要求 (16)第六章技术支持服务 (18)附录一W INDOW7操作系统安全配置清单（示例） (19)附录二国家信息中心简介 (24)i第一章终端安全配置管理系统简介1.1 为什么要做终端安全配置在构成信息系统的网络、服务器和终端三要素中，对终端的攻击和利用终端实施的窃密事件急剧增多，终端安全问题日益突显。

攻击和窃密是终端安全的外部原因，计算机系统存在缺陷或漏洞、系统配置不当是终端安全的内部原因。

外因通过内因起作用，内因是决定因素。

据调查，针对系统核心的攻击中，5%是零日攻击，30%是没有打补丁，65%是由于错误的配置。

因此正确的安全配置才是保障终端安全性的必要条件。

计算机终端核心配置最早由美国联邦政府提出，称为联邦桌面核心配置计划（FDCC）。

该计划由美国联邦预算管理办公室（OMB）负责推动，旨在提高美国联邦政府计算机终端的安全性，并实现计算机管理的统一化和标准化。

美国空军最先实施桌面标准配置并取得了良好的应用效果。

2007年，美国联邦政府强制规定所有使用Windows的计算机必须符合FDCC的配置要求。

近年来，我国逐步认识到终端安全配置管理对于加强计算机终端安全保障工作的重要作用，对美国联邦政府实施的桌面核心配置进行了跟踪研究，并开展了我国终端安全配置标准的研制工作。

安全审计概述分类：学术文章2009-11-24 15:45 201人阅读评论(0) 收藏举报文/陈尚义一、什么是安全审计安全审计，一般地，是指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并做出相应评价。

按照这个说法，审计可以是来自内部的，也可以是来自外部的。

GB/T 20945-2007《信息安全技术——信息系统安全审计产品技术要求和评价方法》对“安全审计”的定义是：对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应的比较动作。

安全审计产品为评估信息系统的安全性和风险、完善安全策略的制定提供审计数据和审计服务支撑，从而达到保障信息系统正常运行的目的。

同时，信息系统安全审计产品对信息系统各组成要素进行事件采集，将采集数据进行自动综合和系统分析，能够提高信息系统安全管理的效率。

传统的商业与管理审计，与计算机安全审计的过程是完全相同的，但它们各自关注的问题有很大不同。

计算机安全审计是通过一定的策略，利用记录和分析历史操作事件发现系统漏洞并改进系统的性能和安全。

计算机安全审计需要达到的目的包括：对潜在的攻击者起到震慑和警告的作用；对于已经发生的系统破坏行为提供有效的追究责任的证据；为系统管理员提供有价值的系统使用日志，帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。

具体到内网安全管理，安全审计是对计算机终端及其应用进行量化检查与评估的技术和过程。

内网审计是通过对计算机终端中相关信息的收集、分析和报告，来判定现有终端安全控制的有效性，检查计算机终端的误用、滥用和泄密行为，验证当前安全策略的合规性，获取犯罪和违规的证据。

二、安全审计四要素一般认为，安全审计涉及四个基本要素：目标、漏洞、措施和检查。

目标是企业的安全控制要求；漏洞是指系统的薄弱环节；措施是为实现目标所制定的技术、配置方法及各种规章制度；检查是将各种措施与安全标准进行一致性比较，确定各项措施是否存在、是否得到执行、对漏洞的防范是否有效，评价企业安全措施的可依赖程度。

7）支持资产漏洞信息，包括序号、资产名称、资产IP、资产类型、所属区域、漏洞名称、状态、操作，并将其集成到资产管理页面中
告警事件
1）支持基于安全事件库的安全事件告警，用户可在安全事件库中自定义安全事件
2）支持两台及以上设备的基于源地址、目的地址、源端口、目的端口的的关联事件分析告警
3）系统支持告警规则自定义，用户可以根据需要启用或禁用默认规则，也可以根据自身需求和安全事件信息自定义新的告警触发规则
系统管理
1）支持提供权限划分功能、默认提供三类权限用户（操作员、审计员、管理员）
2）全面采集工控网络中的安全事件信息、资产流量数据、工控操作指令。结合CNVD、CNNVD、CVE等工控威胁特征库，对识别的工业主机和安全设备的漏洞发现、漏洞匹配、漏洞验证等
3）支持USB-key硬件和口令认证的双因子身份验证
规则配置
1）支持推荐策略功能，平台根据流量探针设备上报的IP/MAC进行规定时间内的次数分析，将当前设备IP/MAC事件下的源地址、目的地址、MAC进行统计，一分钟内重复次数大于10加入推荐策略
2）支持安全事件库规则管理、升级、启用及停止。
知识库
1）支持主机病毒库升级
2）支持漏洞信息查询、查看漏洞信息详情
安全态势：
1）告警态势页面具有安全事件趋势分析，设备异常告警排行，告警事件排行，区域事件排行，威胁排行，拓扑图功能。
2）资产态势页面具有资产类型统计，安全设备类型统计，区域资产排行，资产变更趋势，资产漏洞排行，资产风险排行，实时告警信息。
资产管理
1）支持资产新增、修改、删除、导入导出
2）支持设备注册、设备信息修改、设备详情、设备查询、设备导出。
4）支持提供系统备份、还原、恢复出厂等功能

中软统终端安全管理系统系统介绍1. 引言中软统终端安全管理系统是一种用于管理终端设备安全的软件系统。

在如今数字化普及的时代，终端设备已经成为人们生活和工作中不可或缺的一部分。

然而，随着终端设备的普及和使用范围的扩大，终端设备面临的安全威胁也在不断增加。

为了保护用户信息的安全和终端设备的稳定运行，中软统终端安全管理系统应运而生。

2. 功能特点中软统终端安全管理系统具有以下主要功能特点：2.1 终端设备监控与管理系统能够对接入终端设备进行实时监控和管理。

通过系统的监控功能，管理员可以实时查看终端设备的运行状态、网络连接情况以及是否存在异常行为。

管理员可以将终端设备进行分组管理，并对终端设备进行统一的配置和管理。

2.2 安全策略管理系统提供了丰富的安全策略管理功能，以确保终端设备的安全性。

管理员可以根据实际需求，制定各类安全策略，如访问控制策略、数据加密策略、防病毒策略等。

系统将自动对接入终端设备应用这些安全策略，并对违规行为进行预警和报警。

2.3 风险评估和分析系统可以进行风险评估和分析，帮助管理员及时发现和解决终端设备安全问题。

系统可以自动收集终端设备的安全事件和漏洞信息，并对其进行分析和评估，为管理员提供风险评估报告。

管理员可以根据报告中的信息，快速定位终端设备中存在的安全风险，并采取相应的措施加以解决。

2.4 安全日志管理系统对所有的终端设备操作和安全事件进行日志记录和管理。

管理员可以随时查看和分析终端设备的操作日志，快速判断终端设备的安全状态。

同时，系统支持对日志进行审计和追踪，确保终端设备安全管理的完整性和可靠性。

2.5 远程升级和维护系统支持对终端设备进行远程升级和维护。

管理员可以通过系统远程对接入终端设备进行操作和维护，包括软件升级、补丁安装、配置修改等。

远程升级和维护可以降低管理员的工作负担，提高终端设备安全管理的效率。

3. 系统架构中软统终端安全管理系统采用C/S架构，主要由以下几个组件构成：3.1 客户端组件客户端组件是安装在终端设备上的软件，用于收集终端设备的信息并与系统服务器进行通信。

“中软统一终端安全管理系统（United Endpoint Management, 简称UEM）”，以其全新的安全理念、强大的功能体系、完善的技术架构，改变了传统的内网安全管理模式，实现了主机监控与审计的完美统一。

该系统采用了终端安全“一体化”的安全防护技术，整合了病毒防护监测、网络接入认证、终端健康性检查、系统身份认证、资产管理、补丁管理、运行监控和失泄密防护等等终端软件的安全功能，是终端安全的完整解决方案。

【系统功能】该系统的主要从以下几个方面保障内部安全：一．终端安全管理1．安全策略管理按照企业终端计算机安全管理规定，统一配置终端计算机的Windows安全策略，实现集中的安全策略配置管理，统一提高终端计算机用户的安全策略基线。

系统所能配置的安全策略有：帐户密码策略监视、帐户锁定策略监视、审核策略监视、共享策略监视、屏保策略监视。

2．终端入网认证对接入内网的计算机进行统一的管理，未经许可的计算机不能接入内网，接入内网的计算机必须通过安全性检查才能访问内部网络资源，其主要功能为：非法用户内联控制、主机安全性检查。

3．用户身份认证身份认证是系统应用安全的起点，通过硬件USBKey和口令认证登录Windows系统用户身份，保证进入Windows系统用户身份的合法性；对登录用户权限进行合法性检查，保证用户权限的合规性。

具体功能为：基于USBKey的身份认证、登录用户权限合法性检查。

4．网络进程管理通过对网络进程的统一管理，规范计算机用户的网络行为，实现“外面的网路连接未经许可进不来，里面的网络进程未经许可出不去”。

具体功能为：管理向外发起连接的网络进程、管理接收外部连入的网络进程、实时获取网络进程信息和会话连接状态。

5．防病毒软件监测通过策略设置输入防病毒软件特征，按照统一的策略监测防病毒软件使用状况，并进行统计分析形成统一的数据报表。

具体功能为：监视防病毒软件的使用状况、防病毒软件监测特征的自定义。

感审计和阻断。
主要优势
功能丰富 • 十多年数千家客户的经验与智慧，持续迭代优化，满足企业客户终端安全管理的绝大多数
功能需要； • 自带高性能文件审计服务器 LVFS，自带高性能海量数据处理引擎，内置 Braise 脚本语
言，与防泄密、NAC 功能高度集成。
性能突出 • 容量大：单服务器支持 15 万+设备管控，支持集群部署，集群部署案例超过 60 万+设
支持加密 U 盘。 行为审计 • 主机监控：对主机的软硬件配置变更，系统账号、设置变更，事件日志采集，屏幕录像；
• 上网审计：对上网、发帖、网盘上传、BT 下载等进行审计与控制； • 即时通讯：对 QQ、微信、钉钉等数十款即时通讯工具进行审计，对聊天内容、收发文件、
图片进行场景化还原，可对敏感内容进行告警； • 文件操作：对 U 盘、共享文件夹、FTP 拷贝，打印、光驱刻录、导入导出等行为进行敏
稳定性与兼容性好 • 在稳定性方面，UniAccess 采用了网络与主机资源占用最小化设计，通过智能算法自动
避开系统、网络资源使用高峰期，降低软件、补丁的分发对带宽的占用产生的影响； • 在兼容性方面，Agent 经过微软数字签名认证、WHQL 认证，同时与多家安全软件厂商
在产品上深入合作，确保 UniAccess 的良好兼容性。
MAC 地址绑定。
外联管控 • 网络访问控制：内置终端个人防火墙，自定义访问控制列表，自定义触发场景，网络流量
统计及网络异常检测； • 违规外联管理：可禁用和审计自检 WiFi 热点、智能设备、双网卡、无线网卡、串并行接
口、蓝牙、红外、光驱等行为； • 移动存储管理：支持 U 盘、移动硬盘、移动智能设备等进行注册、授权管理及拷贝审计，
主要功能

中软可信移动存储介质管理系统产品概述中软可信移动存储介质管理系统（CSS Trusted Removable Storage Management System，简称TRSMS），根据国家对涉密介质管理的要求，提供了对移动存储介质从购买、使用到销毁全过程的管理和控制。

它基于虚拟磁盘技术，从密级识别、认证授权、访问控制、锁定自毁、违规监控、扇区加密、安全审计等方面对移动存储介质进行失泄密防护管理。

产品组成产品分为三个组件：客户端、服务器和控制台，系统采用分布式监控，集中式管理的工作模式。

组件之间采用C/S工作模式，组件的通信是采用HTTP/HTTPS加密传输方式。

支持任意层级的服务器级联，上下级服务器之间采用HTTPS协议进行数据交换。

三个组件的功能分别如下：⏹客户端：安装在受保护的终端计算机上，实时监测客户端上移动介质的用户行为。

一旦发现用户的违规行为，系统及时向服务器发送告警信息，并执行预定义的应急响应策略。

⏹服务器：安装在专业的数据服务器上，需要数据库的支持。

通过安全认证建立与多个客户端系统的连接，实现客户端策略的存储和下发、日志的收集和存储。

上下级服务器间基于HTTPS进行通信，实现组织结构、告警、日志统计信息等数据的搜集。

⏹控制台：人机交互界面，是管理员实现对系统管理的工具。

通过安全认证建立与服务器的信任连接，实现策略的制定下发以及数据的审计和管理。

产品功能◆集中管理与授权移动存储介质在使用前均要经过授权中心统一授权，标识密级、使用范围、责任人以及使用期限等其他授权信息，严格限制未经授权的移动存储介质的使用。

◆访问控制经过授权的移动存储介质在涉密计算机上能正常使用，未授权移动存储介质无法在涉密计算机上使用。

在此基础上依据密级、用户身份、使用期限等队已授权的移动存储设备进行访问控制。

◆数据加解保护扇区级的自动加解密，数据始终以密文形式存储在介质上，非授权用户不能解密，即使涉密介质丢失也不会造成泄密事故。

（单机版Version：8.0.7.x）中国软件与技术服务股份有限公司 CHINA NATIONAL SOFTWARE ＆ SERVICE CO.,LTD.版 权 声 明非常感谢您选用我们的产品， 本手册用于指导用户安装中软统一终端安全管理平台 8.0 （中文简称安全管理平台） ，请您在安装本系统前，详细阅读本手册。

本手册和系统一并出售且 仅提供电子文档。

。

Copyright © 2005 by CS&S，中国软件与技术服务股份有限公司版权所有。

中软统一终端安全管理平台 8.0 是中国软件与技术服务股份有限公司自主研发的受法 律保护的商业软件。

遵守法律是共同的责任，任何人未经授权人许可，不得以任何形式或方法 及出于任何目的复制或传播本软件和手册，权利人将追究侵权者责任并保留要求赔偿的权利。

任何人或实体由于该手册提供的信息造成的任何损失或损害，中国软件与技术服务股 份有限公司不承担任何义务或责任。

系统版权 中文名称：中软统一终端安全管理平台 8.0 英文简称：UEM8.0 开发单位：中国软件与技术服务股份有限公司本系统的版权单位 中国软件与技术服务股份有限公司 地址：北京市海淀区学院南路 55 号中软大厦，100081 电话： （010）51508031/32/33 邮箱：waterbox@2前言目前，个人计算机系统成为组成企业、单位网络的主体，也是绝大多数泄密事件发生的源头。

针对这一现状，中软自主研发的终端安全管理平台是内网安全管理的有力武器，是加强个人计算机 内部安全管理的重要工具。

它作为国内市场上第一款成熟的内部安全管理软件，填补了国内在该领 域的空白，为我国信息安全保障工作注入了新的活力。

本书详细介绍了中软统一终端安全管理平台 8.0 安装方法，为用户在安装本系统时提供参考， 全书共为五章。

第一章：系统概述 第二章：体系结构和运行所需软硬件环境 第三章：服务器安装与卸载 第四章：控制台安装与卸载 第五章：客户端安装与卸载 本书内容全面，深入浅出，适合安装、使用中软统一终端安全管理平台的用户读者；检测、评 估中软统一终端安全管理平台的技术人员和专家以及希望使用中软统一终端安全管理平台协助对其 组织、机构或企业进行管理的管理人员等。

统一认证授权平台用户使用手册微软(中国)有限公司顾问咨询部2021年4月实用文档目录1. 登陆管理 (5)1.1 用户登陆 (5)1.2 用户注销 (5)2. 组织机构管理 (7)2.1 公共系统 (7)2.1.1 机构管理 (7)2.1.2 机构查询 (13)2.1.3 用户查询 (14)2.2 运营流程再造项目 (15)2.2.1 机构管理 (15)2.2.2 机构查询 (26)2.2.3 用户组查询 (27)2.2.4 用户查询 (28)3. 权限管理 (30)3.1 运营流程再造项目 (30)3.1.1 角色管理 (30)实用文档3.1.2 角色组管理 (38)3.1.3 前端功能管理 (43)3.1.4 角色查询 (45)3.1.5 任务查询 (46)4. 自授权管理 (48)4.1 公共系统 (48)4.1.1 角色管理 (48)4.1.2 角色组管理 (49)4.1.3 任务管理 (50)4.1.4 前端功能管理 (52)4.1.5 数据权限管理 (53)4.1.6 角色查询 (54)4.1.7 任务查询 (55)5. 审批管理 (57)5.1 审批管理 (57)5.1.1 待审批工作项 (57)5.1.2 已提交工作项 (58)6. 系统管理 (60)实用文档6.1 日志管理 (60)6.1.1 登陆日志 (60)6.1.2 操作日志 (61)6.2 密码管理 (62)6.2.1 重置密码 (62)实用文档1.登陆管理1.1用户登陆交易定义：用户在进入用户管理平台之前必须进行身份验证，以便确定在本系统中的操作权限。

界面描述：1.2用户注销交易定义：点击注销按钮，退出登陆。

界面描述：实用文档实用文档2.组织机构管理2.1公共系统在系统中只有一个公共系统存在，由树状关系表示整个机构之间的隶属关系2.1.1机构管理菜单项：组织机构管理－》公共系统－》机构管理交易定义：该功能用来查看、新增或修改、删除实体机构，为实体机构添加删除下级机构或用户。

Ｏ．引 言
随着信息化安全 技术的不断发展 ， 各种 内网安全管理 问题 逐 步凸现出来 。据 ］Ｃ 调查报告显示超过 ８％的 网络安全威胁 来 Ｄ ５ 自于内部 ， 其 击所造成的损失， 而这
“ 保护 一检 测 一响应” 的工作 流程 逐步 完善 终端安 全保 护策 略 ， 并将 事件 处理 方式 和处理 流程 登录 到用 户知 识库 ， 步形成 内 逐 网事 故应 急响 应流程 和共 享安 全解 决方 案 的知识 库 。
该系统分为三个组 件 ： 客户端、 服务器和控制 台， 采用分 系统
布式监控 ， 中式管理的工作模式。 集 组件之 间采用 Ｃ Ｓ工作模式 ， ／ 组件 的通 信是采用 Ｈ删 ｝兀１ 加 密传输方 式。服务器 可以 Ｉ ） ， ｓ
些威 胁绝大部 分是 内部各种非法和违规 的操作行为所造 成的 ［。 １ 】 内网安 全 问题 已经引 起 了企 业用 户 的广泛 重视 ， 随着 安全 意识 的不 断增 强 ， 全投 入 逐 步增 加 ， 安 但是 内网 的安全 事 件 却
针 对 以上几 种 问题 ， 中软公 司通 过对企 业 内 网安 全管 理 的 全面 调查 ， 造性 地 形成 了一 套完 备 的终 端安 全 “ 体化 ” 创 一 解
２．功 能
终端 安全管 理系 统所 涵盖 的范 围大 ， 既包含 网络接 入认 它
证、 系统身 份认 证 、 产管 理 、 资 补丁管 理 、 件 分发 ， 涵系统 软 又包
［ ｓｒｃ］Ａ ｆｒ ａｉ ｅ ｕｉ ｃ ｎ ｌ ｙｃ ｎｉ ｅ ｖ ｌ ， ｅｗ ｒ ｓｃ ｒｙｍ ｎ ｇ ｍｅ ｔ ｒｄ ａｙｐｏ ｉｅ ｔＴ ｅＴ ｘ ｔ．ｎ ｅ ｕ ｔ Ａｂｔａｔ ｓｉｏｍ ｔ ｎｓｃ ｒｙｔ ｈｏｏ ｏｔ ｕ ｓｔ ｅ ｏ ｅ ｎｔｏｋ ｅｕｉ ａ ａ ｅ ｎ ａ ｕ ｌ ｒｍｎ ｎ． ｈ ｅｂｏｅ ｄｓｃ ｄｙ ｎ ｏ ｔｅ ｇ ｎ ｏ ｖ ｔ ｇ ｌ

目录第一章系统概述 (1)第二章体系结构和运行环境 (3)2.1系统体系结构 (3)2.2推荐硬件需求 (4)2.3推荐软件需求 (4)第三章系统功能 (6)3.1传播途径管理[*] (6)3.1.1用户身份认证 (6)3.1.2 网络访问控制 (7)3.1.3 非法外联控制 (7)3.1.4 接口外设管理 (8)3.1.5 移动存储介质管理 (8)3.1.6 CDROM/CDRW/刻录机的控制 (8)3.1.7 辅助硬盘的控制 (8)3.1.8 打印机管理 (8)3.1.9 截屏键控制 (9)3.2可信移动存储介质管理[*] (9)3.3终端接入管理[*] (10)3.3.1终端接入认证 (10)3.3.2 终端安全检查 (10)3.3.3内网安全扫描 (10)3.4补丁管理与软件分发管理[*] (11)3.4.1 补丁分发管理 (11)3.4.2软件分发管理 (11)3.5终端安全运维管理[*] (12)3.5.1 系统运行状况监控 (12)3.5.2 软硬件资产管理 (13)3.5.3 安全策略管理 (13)3.5.4 防病毒软件监测 (14)3.5.5网络进程管理 (14)3.5.6文件安全删除 (14)3.6远程管理[*] (15)3.7安全存储与传输管理[*] (16)3.7.1 我的加密文件夹 (16)3.7.2 硬盘保护区 (16)3.7.3 文件安全分发 (16)3.8可信计算管理[*] (16)3.9文档加密管理[*] (16)3.9.1加密控制 (17)3.9.2 解密控制 (17)3.9.3 打印控制 (18)3.9.5保护感知 (18)3.9.6 剪贴板控制 (19)3.9.7 截录屏控制 (19)3.9.8 离线控制 (20)3.9.9 非加密进程控制 (20)3.9.10 审批管理 (20)3.9.11 备份管理 (21)3.9.12 全盘扫描管理 (21)3.9.13 隔离管理 (21)3.9.14 密级标识 (22)3.9.15邮件附件加解密控制 (22)3.9.16移动存储介质文件保护 (22)3.9.17回家模式 (22)3.10业务系统数据防泄密管理[*] (23)3.10.1在线访问控制 (23)3.10.2本地访问控制 (24)3.10.3防伪冒控制 (24)3.11文档权限管理[*] (24)3.12文档密级标识与轨迹追踪管理[*] (27)3.13文件打印审批管理[*] (28)3.14U盘拷贝审批管理[*] (29)3.15光盘刻录审批管理[*] (30)3.16支持L INUX系统透明加解密[*] (30)3.16.1智能透明加解密 (31)3.16.2加密文件强保护 (31)3.16.3截屏键控制 (31)3.16.4文件扫描加密 (31)3.17系统管理与审计 (31)3.17.1 组织结构管理 (31)3.17.2 统计审计分析 (32)3.17.3分级报警管理 (32)3.17.4 响应与知识库管理 (32)3.17.5 服务器数据存储空间管理 (32)3.17.6 系统升级管理 (32)3.17.7 B/S管理功能支持 (33)3.17.8系统参数设置 (33)第四章系统特点 (34)4.1全面的终端防护能力 (34)4.2分权分级的管理模式 (34)4.3方便灵活的安全策略 (34)4.4终端安全风险量化管理 (34)4.5周全详细的系统报表 (35)4.6丰富的应急响应知识库 (35)4.8方便快捷的安装、卸载和升级 (35)4.9多级部署支持 (36)附件一：名词解释 (37)第一章系统概述随着信息化安全技术的不断发展，各种内网安全管理问题逐步凸现出来。

Chinasec(安元)数据安全管理平台Chinasec(安元)数据安全管理平台是基于网络和数据的安全管理产品，通过认证、加密、监控和追踪等手段在传统PC终端和移动终端提供系统数据保护、文档加密、应用保护、系统管理、桌面管理和安全通讯等整体解决方案。

系统采用C/S架构和B/S架构相结合，内外网相互通的架构思路，对网络安全和数据安全提供全IT架构的多套解决方案。

一、以加密技术为核心的数据安全体系以多年自主研发的数据加解密技术为核心，结合身份认证和访问控制等多种技术手段，为用户打造完善的数据安全体系。

支持PKI体系数字证书，支持国密SM1、SM2、SM3及SM4算法并兼容国际主流标准加解密算法，实现本地存储数据加密、移动存储数据加密、文档加密、邮件加密、业务应用数据加密和数据传输加密等丰富的加密功能，支持跨平台，异构终端统一管理实现数据流畅互通。

二、全IT架构管理平台可统一管理PC终端、云桌面及虚拟化终端、移动智能设备和物联网设备等各种终端，有效应对企业IT架构的快速变革与延伸，构建全IT架构统一管理的数据安全体系，极大提高IT安全管理人员的工作效率。

•统一设备管理，同一平台上可展现不同设备特性•统一身份管理，支持身份在不同终端上漫游•统一密钥管理，加密文件在不同终端上流畅互通•统一日志审计，集中查询、统计三、可与现有业务系统灵活结合平台提供安全中间件，现有业务系统经过简单调用即可实现业务数据安全，使安全成为标准化服务，为规范化管理提供技术支撑。

•多平台：Windows、Linux、IOS、Android、Win Phone•多层次：业务层、系统层，硬件设备层•多接口集成：4A、LDAP、SSO、CA四、敏感数据全生命周期安全管理对于敏感数据的防护，提供全生命周期的安全管理和审计。

安全防护贯穿于数据产生、访问、传输、使用和销毁的过程中，进而对泄密的明文根据标签进行溯源，实现事前安全管理、事后行为审计。

1
4
数码相机
索尼a550
中国
机身类型：单反数码相机；有效像素：1420万；最高分辨率：4274*2848；显示屏尺寸：3英寸，92万象素TFT液晶显示屏,标配镜头
2
5
便携式彩色喷墨打印机
佳能IP100
中国
最高分辨率：4800*1200dpi；黑白打印速度：16ppm；彩色打印速度：12ppm；最大打印幅面：A4
5
412140-B21
HP BLc-class机箱一个风扇模块
30
499243-B21
HP 2400W高效电源（带2m IEC C20-C19电源线）
20
252663-B33
HP 32A Core Only Corded PDU（输入IEC 309，输出4*IEC 320 C19）
10
438030-B21
1
8
黑白激光打印机
佳能LASER SHOTLBP3250
中国
黑白打印速度：23ppm；缓存：8MB；打印最大副面：A4；最大分辨率：2400×600dpi；
1
9
投影设备
日立投影仪6680X
中国
★投影仪：3500流明（ISO21118标准）；对比度750：1；标准分辨率：1024*768，120英寸遥控电动幕，吊装支架（含吊装安装）
显卡:256MB独立显卡；
网卡:10/100/1000M自适应网卡；
显示器：22LCD宽屏；服务:三年完全免费的原厂商售后服务（包括原厂商免费电话支持、所有部件的原厂商备件、第二工作日原厂商售后服务工程师上门）
12
2
笔记本电脑
DELL
Latitue E6400
中国
CPU:双核T9600，前端总线1066MHz，缓存6M,主频2.66GHz，Intel PM45芯片组；内存：4GBDDR2 800MHz内存；

实现企业现有的各种信息资源 员工可以根据自身工作性质和
协作服务
的集成和访问

框架服务
整合服务
内容服务
对企业资源的访问需求，设置个
性化的访问界面

通过定义门户组件的方式，实
现企业现有应用系统的集成
Logo R1 Portal
Logo R1 Portal
组织人员集成 权限集成
组织管理 人员管理 资源同步 简单模型 分级管理模型 单点登录 登录并发控制 CA集成 安全策略 屏蔽直接访问资源功能——权限过滤 信任域漫游 行为审核 构件资产化管理 应用重组 导入导出 所见及所得设计工具 皮肤、布局、Logo 门户页设计 Portlet资源集成 内容发布 网站、网站群管理 系统管理
2006
2007
20082008 2008
Logo
与R1有关的奖项
ResourceOne v3.0 平台产品套件获得 2005 优秀软件产品奖 2006、2007年被评为“年度中国信息产业 行业采购中间件软件产品首选品牌 R1产品连续四年被CCID评为“中国电子 政务应用平台第一品牌 入围2007年度中央国家机关政府集中采购 信息类产品协议供货名单。 中软国际喜获“2007年中国IT创新企业奖” R1 V3.0获第10届软博会金奖
(2) 新规划的信息化项目，将根据长远规划合理构建全新的IT系统。
随着信息化程度的加深，客户对IT建设的理解也随之加深。更多的客户在开始 新的IT项目建设时非常重视长远规划，让整个系统在最开始就是以集成的方式 进行建设，面对这种需求本解决方案同样提供了全面保障。R1 Portal为应用的 开发部署提供了统一的规范和管理，保证了整个IT系统的平台化建设。
IT部门需要对现有的IT系统资源状况进行透彻的掌控和了解