移动存储介质管理系统产品介绍

1公司简介北京北信源软件股份有限公司创立于1996年，注册资金5000万，是中国第一批自主品牌的信息安全产品及整体解决方案供应商，中国终端安全管理领域的市场领导者。

北信源总部位于北京，下设多个全资子公司及北京、南京两个研发中心。

拥有近500名信息安全专业研发、咨询与服务人员，构建了全国七大区、近三十个省市的营销与服务网络，为用户提供业界领先的产品与服务。

十几年来，北信源致力于信息安全技术的研究与开发，在业内屡创佳绩，成果斐然。

曾革命性推出中国首款桌面安全管理产品，开启“桌面安全管理”技术革新之先河，并迅速做到国内销量第一；前瞻性推出了面向个人用户的数据安全产品—数据装甲，引领进入“全民数据安全”新时代；证券安全监控系统在国内券商使用率中也曾排行第一。

作为公司的产品核心：面向网络空间的终端安全管理体系--VRV SpecSEC是国内第一个面向网络空间的终端安全管理体系。

体系遵循安全产品符合性开发、基于策略的终端安全配置、评估为准的终端安全管理、组件化终端安全管理四大核心理念，并首次将受控云技术运用于终端安全体系和产品中，完整覆盖准入控制、补丁分发、介质管理、数据安全、安全审计、安全检查、行为管控、桌面管理、管理平台等全方位、多层次、立体化的网络空间终端安全各个层面。

作为中国终端安全管理领域的市场领导者，北信源终端安全管理产品在中国终端安全管理市场占有率连续五年保持第一（数据来源：CCID）。

产品覆盖政府、国防、军队军工、公安、金融、能源、通信、交通、水利、教育等重要行业，用户涉及各行业数千家单位，连续多年入围中央政府采购，成功部署数千万终端。

北信源公司在业界屡获殊荣，荣获国务院颁发的国家科学技术进步二等奖、部级科技进步奖等多项荣誉。

在标准制定、重大专项等方面积极配合政府行动，同国家政府部门、国内顶级院校、国际顶级IT厂商长期保持战略合作关系，公司现已成功打造信息安全知名品牌“北信源”、“VRV”。

SGCC-USB1.0移动存储介质管理系统管理员手册国网电力信息通信公司2008目录第一章系统概述国家电网公司移动存储介质管理系统SGCC-USB V1.0以下简称SGCC-USB V1.0是根据国网网络应用特点而设计的一套移动存储管理方案,目的在于满足国家电网公司内网移动存储介质日常安全管理;SGCC-USB V1.0综合应用底层驱动、扇区加密、进程守护等多种安全防护技术,磁盘文件底层驱动技术对普通移动存储设备主要USB类型作唯一性标签处理, AES128位高强度算法对磁盘进行数据区划分并作加密处理,标签移动存储介质结合受控客户端主机的安全访问控制策略作匹配授权,确保标签移动存储介质使用的安全性与合法性;SGCC-USB V1.0系统通过集中的注册管理平台对 USB存储设备作严格的设备介质身份认证、数据信息重构、数据加密等一系列安全防护操作,针对办公网内计算机USB存储设备的使用和管理建立了完整的防范解决体系,系统采用C/S和B/S混合式架构,由服务器端和客户端构成;SGCC-USB V1.0客户端主机通过移动存储介质的产品唯一生命特征识别码和硬盘唯一码结合进行识别,当主机数据库和移动存储介质中的认证信息相同时,接受其入网使用；未经注册的移动存储设备将会自动被系统强制卸载,实现单位U盘外出使用需要到单位保密或网络管理员处登记,否则在外部无法打开;SGCC-USB V1.0在解决安全方面的问题,同时还兼顾工作的实际,力求使用的方便、简洁与高效;1-1 系统组成◆系统服务器端：SGCC-USB V1.0系统管理中心,自动发现网络中的终端计算机,并检测终端计算机是否安装系统客户端程序,管理中心内置移动存储管理策略中心和报警中心,提供对网络终端的分组管理设置;SGCC-USB V1.0系统服务器端由4个组件构成： SQL Server管理信息库安装包：环境初始化程序、Web中央管理配置平台安装包：网页管理平台、区域管理器安装包：Region Manage,原区域扫描器已作为模块集成到区域管理器、WinPcap程序;环境初始化程序：SQL Server管理信息库,建立移动存储介质管理系统的初始化数据库;包括：客户端主机设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册未注册机器信息、设备属性变化信息、报警信息等;扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比,根据审计要求在管理平台上报警;Web管理平台：Web中央管理配置平台,本系统的管理配置中心;包括区域管理器、扫描器、注册客户端的功能参数设定,网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作;Region Manage：区域管理器,系统数据处理中心;与管理信息数据库通讯,接收注册程序提供的用户信息,将用户信息用户填写的物理信息和系统自动采集的硬件信息并行存入数据库；接受来自控制台的命令操作,发送到客户端、扫描器执行;对于存在多级管理要求的广域网,网络中可以存在多个区域管理器,系统数据提供逐级上报转发模式;区域管理器内置网络扫描器,扫描器将设备最新状态信息报送至区域管理器;扫描器配合区域管理器进行工作,可以在分级模式下使用,扫描器只依据Web管理平台中配置的工作范围进行扫描,超越其范围,将不负责执行;WinPcap程序：嗅探驱动软件,配合区域管理器工作;◆专用认证工具：SGCC-USB V1.0移动存储设备认证程序,用于管理员对网络中移动存储介质进行集中注册和授权管理,对普通移动存储设备加载认证标签,同时划分数据区交换区、保密区、启动区,将使用人、使用人部门、设备编号等信息写入移动存储设备,完成普通移动存储设备到专用移动存储设备安全U盘、安全移动硬盘的技术处理;专用认证工具还用于专用专用移动存储设备密码遗忘后的密码还原操作;认证工具程序可以在网管员主机上或任意主机,但必须由管理员控制使用,使用时必须能够同系统服务器连接,方可对移动存储设备进行认证管理工作;◆系统客户端注册程序Agent：安装在终端计算机,接受系统管理中心分发的策略,根据接受策略实时监控接入终端计算机移动存储设备的操作行为和状态,并进行管理或者控制;系统客户端注册程序Agent作用：用户填写本机信息,填写必要信息后上报区域管理器;注册程序自动探测系统硬件信息,连同用户填写的信息一同上报区域管理器;用户将本机注册信息发送到区域管理器后,区域管理器自动将客户端驻留程序应用策略发送给用户,并自动更新;客户端驻留程序功能：1、进行本机IP/MAC、资产等信息采集；2、本机移动存储设备使用状况监测；3、接受Web管理平台的管理策略命令,并执行；4、报送本机移动存储设备审计信息到控制台；5、阻断本机联网行为;注：区域管理器Region Manage、区域扫描器模块Region scan、注册程序系统的参数配置集中体现在网页管理平台操作上,上述三部分功能参数值统一在网页管理平台中进行配置;区域管理器Region Manage、扫描器模块Regionscan部分参数在自身组件中配置;1-2 系统构架移动存储介质管理系统SGCC-USB V1.0应用于局域网、广域网构架,支持跨网段、跨地域的内网客户端移动存储设备介质的管理和审计,系统应用主要分为以下两种构架：基本构架：对于一般网络例如1个C类地址或若干个C类地址的局域网范围,可使用一套本系统软件,集中管理所属区域内的所有设备;扩展构架：对于大规模的多个局域网或者跨地域广域网包括基于国家、省、市、县等多级管理模式的网络结构,可使用本系统提供的多区域集中管理构架,即一个或多个网段各拥有一套独立移动存储介质管理系统的同时,将本级所有设备信息再转发给上级管理数据库,使得上一级管理人员对整个网络的移动存储设备使用状况也能够完全掌握;移动存储介质管理系统SGCC-USB V1.0应用拓扑第二章系统安装2-1 安装环境要求条件一：硬件环境SQL Server数据库服务器：用于安装SGCC-USB V1.0系统管理信息数据库;PC 服务器或更高档服务器, PentiumⅣ 2.4C 以上CPU,512M以上内存;区域管理器：用于安装区域管理器程序;百兆或千兆网卡,PC服务器或更高档服务器, PentiumⅣ 2.4C 以上CPU,512M以上内存;扫描器模块：配置同区域管理器;如单独安装扫描器模块,比较高档的PC计算机即可;本系统各程序可安装在同一台计算机上,也可在不同机器上安装SQL数据库、IIS服务器、区域管理器、扫描器模块等,此时推荐该计算机内存为1G以上;建议将区域管理器、扫描器、网页管理平台安装在同一台机器上,作为管理服务器;条件二：提供数据库、IIS服务操作系统：Windows 2000或Windows 2003企业版操作系统;SQL Server2000软件：配备SQL Server数据库系统,用于移动存储介质管理系统建立管理信息库数据库列表项;IIS服务：配备IIS服务器提供Web服务,用于安装Web网页管理配置平台;如所装操作系统为Windows 2003企业版,则需要按照安装光盘中的Windows 2003的IIS配置说明进行IIS配置;条件三：为本系统提供相应端口移动存储介质管理系统SGCC-USB V1.0区域管理器将占用操作系统88端口,必须确保安装区域管理器的机器该端口不被占用;区域内的防火墙应打开如下端口：80,88, 161,137,22105,2388,2399以及ICMP协议端口,同时本机不启用DNS 服务;2-2 安装注意事项软件安装时,推荐将区域管理器、扫描器、数据库安装在同一台机器上以下称为管理服务器,建议按照下面要求进行移动存储介质管理系统服务器部署、软件安装、客户端注册;2-2-1 服务器部署1、移动存储介质管理系统服务器在网络中位置⏹确保该服务器能够ping通所有被管理网络中任意一台客户端机器,同时被管理客户端可以正常连接服务器的TCP的80,88两个端口;不⏹服务器给客户端下达策略的端口为：TCP端口22105;⏹服务器扫描发现客户端利用以下协议及端口：⏹ICMP协议发现IP地址存在的其中一种方式；◆NETBIOS协议,UDP端口137为了发现机器名和MAC地址；◆SNMP协议,TCP端口161为了发现智能设备如路由器、交换机等；⏹在本地网络中若划分了VLAN,或本地网络存在防火墙,请注意上述问题;2、存在网中子网如经过地址转换的网络布置点对于网络中存在网中网现象,如采用NAT地址转化或者代理方式在10.. . 网络中接入192.. . 网段,这些子网用户的管理方式如下：情况一：子网有专人管理,并且有独立机房,则应在该子网中安装一套完整的移动存储介质管理系统;情况二：子网无专人管理,或无独立机房,可采用以下3种方式之一处理1)机器数量少的建议统一更改IP为10.. . 网段;2)由管理员监督子网中所有机器进行注册并保证不得遗漏;3)在该网络中指定一台工作站专门安装区域管理器软件和区域扫描模块,并将区域管理器配置中SQL服务器地址指向服务器;2-2-2 安装和应用1、必须按照软件安装步骤进行安装1确认本机IIS服务正常；2确认本机SQL已正常安装并能正常使用以本地系统账户方式安装；3确认目标安装盘剩余空间不小于10G；4请务必按照指定顺序安装各个模块；5请在区域扫描模块所在计算机中安装SNMP服务；6安装完所有系统模块后,请一定按照说明文档进行客户端程序的配置及分发安装;2、移动存储介质管理系统服务器的安全性问题服务器安装Windows2000 Server操作系统带IIS、MS SQL Server2000数据库后,一定要确保对Windows2000、SQL和IE进行重要安全补丁修补,规范操作系统、数据库的口令和密码设置,保证SQL、IIS的正常启动运行;确保本服务器无病毒,同时可配置本服务器网络通讯端口仅打开：80,88,22105;3、保护机制的应用对大多数交换机、路由器、非Windows设备,需要将其设置为保护状态避免被阻断导致网络不通,其它如有系统无法识别的重要设备,请在网页管理平台设备信息查询中手动将其设置为保护状态;2-3 系统组件安装SGCC-USB V1.0安装顺序依次为：安装 SQL Server数据库；安装WinPcap驱动程序；安装并运行环境初始化程序,初始化数据库；安装网页平台并进行划分区域,配置区域IP范围、区域管理器参数、设备扫描器参数等推荐安装在默认路径下；安装区域管理器推荐安装在默认路径下；通知所有用户下载并运行注册客户端代理探头程序;2-3-1 安装SQL server数据库略,见附录一;2-3-2 安装WinPcap驱动模块在安装页面中选择“安装WinPcap驱动模块”按钮,单击“下一步”安装在区域管理器所在计算机上;2-3-3 初始化数据库初始化数据库是在SQL数据库中初始化建立VRVEIS数据库并生成系统必需的相关数据表格,在此过程中需要利用本地数据或者调用远程SQL数据库,用户需要根据实际安装情况按以下两种方式进行操作：本地SQL数据库服务器环境初始化1、环境初始化,建立初始数据库在SQL服务器地址栏中添加本地机器IP地址、SQL用户名、及SQL用户密码;SQL数据库服务器环境初始化根据数据库认证方式,选择windows身份认证或者sql身份认证建议选用后者;2、检查数据库初始化是否成功：检查数据库初始化当有如图“初始化数据库结构成功”提示框弹出时,说明已成功创建初始化数据库;否则会出现如下图所示提示信息：初始化数据库失败提示信息如果出现如上图所示提示信息,用户需要检查所填入的SQL数据库IP地址、用户名以及用户密码,重新初始化数据库;⏹远程SQL数据库服务器环境初始化建议非特殊情况不采用远程方式1、输入远程数据库信息,配置SQL客户端：安装远程数据库需要首先输入远程数据库IP地址、用户名称、用户密码,然后点击“配置SQL客户端”,出现如下界面：配置SQL客户端2、在通用栏中,启用TCP/IP协议：在通用栏中,选用TCP/IP协议,并启用,然后单击别名,进行别名添加设置;启用所选协议3、进行客户端别名的添加:单击上图中所圈中的别名,出现如下所示：对客户端别名的添加4、进行网络协议的选择和服务器别名的添加：此时用户需要首先选择网络协议,选定为TCP/IP,服务器别名根据用户需要自由添加,点击确定后完成数据库初始化;2-3-4 安装Web中央管理平台⏹安装Web管理平台此部分程序要求安装在默认路径下,安装过程中请确保信息填写正确,否则,Web服务器可能不能正确访问SQL Server数据库;⏹Web中央管理平台访问Web管理平台安装以后在IIS目录上以虚拟目录的形式存在,虚拟目录名称为VRVEIS,用户在安装完成以后,用http://Web服务器域名IP/VRVEIS的形式访问Web管理平台主页面;默认用户名为admin,密码为123456;以下的都是用admin登陆进行说明的审计用户名为audit,默认密码为123456;如果http://Web服务器域名IP/VRVEIS访问无效,则以http://Web服务器域名IP/VRVEIS/INDEX.ASP方式登录;2-3-5 安装区域管理器Region Manage在Web中央管理平台中划分区域及指定区域管理器后参见Web中央管理平台配置安装区域管理器组件;安装后进行以下两项配置：⏹SQL客户端配置如果“区域管理器”没有同SQL装在同一台服务器上,需要在如下图所示窗口中将默认网络库选择为“TCP/IP”,使客户端能够远程访问数据库;在“区域管理器”中选择“配置”->“系统配置”,配置SQL客户端,也可以通过Alt+S热键,进入配置;SQL常规配置上述配置完毕以后,需要重新启动“区域管理器”,使系统生效;⏹区域管理器系统配置SQL服务器配置：进入“系统配置”,逐步输入SQL服务器IP地址、用户名称及密码、数据库名称默认为VRVEIS,单击“确定”完成SQL服务器配置;区域管理器中SQL配置2-3-6 配置设备扫描器模块Region scan在配置好Web防护系统区域及其区域管理器后做以下步骤：在配置管理里,点击“扫描器配置”可以添加扫描器,配置扫描范围;区域扫描器配置填写相关信息之后重新启动区域管理器,程序会自动缩小到系统托盘,表示数据库连接成功,程序运行正常,此时通过上图中“扫描器配置”项来查看扫描器相关运行信息;2-3-7 客户端注册一客户端注册流程及注册程序配置⏹客户端注册流程执行注册程序,根据要求填入指定信息,系统自动将所添加信息和系统自动采集获得的设备信息发送到区域管理器,由区域管理器将注册信息处理后存储到SQL数据库,在Web管理平台中设置的客户端参数策略将由区域扫描器扫描客户端后,发送给客户端驻留程序保存执行;该客户端驻留程序驻留在系统内部,以服务和进程的方式实时运行,一旦非法移动存储设备非法接入注册计算机,客户端驻留程序立即向web管理平台发送报警数据,同时本机将显示报警信息;⏹修改客户端注册程序配置文件在web平台中配置管理->注册程序配置;注册程序使用前需要网管人员的配置,主要是设置区域管理器IP地址注册时客户端信息发向该IP地址所在的区域管理器,如区域管理器为10.1.32.249,配置如下图所示：注册程序配置在这里,可以对注册时需要填加的单位、注册密码进行编辑;如下图所示:单位和部门添加删除二客户端注册方法客户端注册方法包括网页静态注册、网页动态注册、手动注册、网关重定向强制注册等;网页静态注册：静态注册比较简单,客户端只需要将配置好的注册文件上传到公共主页上即可,做一个链接,访问主页后手动下载注册;主要讲述动态注册,这种方法适用于网络用户较多的情况,客户端只要访问网络内公共网站,网页将自动对客户端进行探测,弹出提示窗口,提示用户进行注册;网页动态注册：利用网络中已经构建好的内部网站,一方面网络客户端可以通过手动获得注册程序,也可以通过在主网页上加载弹出页面的方式进行提示性注册;本手册将主要介绍后一种方式;当网络中客户端计算机访问本网络内部网站时,在该主页代码中加入一段代码如下;本代码作用在于首先获得该客户端计算机的IP地址,再读取数据库里面相关IP地址的注册和其它相关信息,如果该IP地址的设备存在,系统会根据其是否完成“注册”、“信任”、“保护”三项操作进行判断,只要满足其中任意一条件,都不会提示注册,否则会弹出窗口提示注册;网页加载弹出程序方法如下：编辑已有主页的源程序,在需要加载弹出窗口主页的源代码<body>中放入以下代码：<iframe src="http://192.168.0. 253/vrveis/quest.asp"frameborder="0" style="width:0px;height:0px"></iframe>注意：需要将其中的http:// 192.168.0.253/vrveis/quest.asp换成http:// 网页平台计算机IP/vrveis/quest.asp即可,此时当网络中计算机访问该内部主页时,会自动弹出如下提示页面：网页动态注册使用网页动态注册时,请管理员通知注册人,在访问本网站时,暂时关闭网页弹出拦截程序或将本网站添加到不拦截列表中;手动注册：除了自动注册设备外,遇到需要手工注册新增设备时,也可通过WEB管理平台中数据查询,设备信息查询中的手动添加设备功能,将新增设备的具体信息详细登记填写至数据库中,并将其置为保护设备;注意：1.多级级联注册：如果系统为多级级联方式,必须在区域管理器的高级配置中的“系统配置”、“策略配置”选项中的级联选项选中,并正确添加上级管理器的IP地址,各级区域会将自己所管辖的区域管理IP段上报到上级数据库中存储;此时,当网络中任意一台下级区域客户端计算机访问主网站的同时,会根据最上级区域数据库中存储的各级上报IP段信息,自动将该客户端注册程序文件下载路径指向为自己所处IP段的本级区域注册器上,做到各个区域的客户端计算机在访问同一网站进行注册程序下载时,所下载的客户端程序均为自己所在区域的专用注册程序;如果网络中内部网站,网络管理员可以通知网络内计算机在本系统Web管理平台的登录页面中点击下载注册程序完成系统注册,或者在此页面下按上面的步骤做好弹出提示窗口方式注册;注册程序界面如下：客户端注册信息无论采取哪种方式,在注册成功以后,注册程序除了将主动添加的信息自动上报以外,还会自动收集其它和系统相关的信息进行上报;客户端和区域管理器连接通讯不正常的情况下,将提示用户“缺省注册成功”,表示客户端探头已经注册完毕,但还没有与区域管理器通讯;当区域扫描器扫到该计算机的IP地址时,才会将添加的信息及系统采集信息上报到区域管理器,存储在数据库当中;2．本系统使用初期,若要求对下属网络中的计算机信息进行统计、注册、入库,必须在Web管理平台中管理器设置项内选中“允许客户端注册”,如注册时需要密码,也需要在WEB管理平台中进行设置,如下图所示：允许客户端注册第三章系统组件配置3-1-1 区域划分在网页平台安装完毕之后,访问http://Web服务器域名IP/VRVEIS访问WEB 管理平台登录界面;如下所示：Web管理登录界面系统默认用户为admin,密码为123456,登录后建议管理员修改管理员密码;成功登录后,进入系统的主界面;在所处的IP地址段内,进行区域划分操作首先进行区域添加和划分操作;区域划分：单击配置管理里的“区域划分与配置”,对网络中的客户端进行区域划分管理,按照提示依次添加区域、增加区域IP管理范围、分配区域管理器、,并完成系统组件运行参数配置;具体步骤：区域描述配置栏中填写好一些必要的与区域相关的信息,如区域机构代码、区域名称、负责人姓名等;其他信息可以酌情依照实际用途填写;本区域IP划分：根据用户实际需要在下图所示的文本框中填入需要管辖的IP地址;其中保留IP段为该网段目前没有网络设备存在的网段,如有设备存在,则会产生报警信息;区域划分与配置下级区域划分：在已有区域页面中点击“增加下级区域”按钮进行下级区域添加,如集团总部下属总裁办、行政部、财务部等;3-1-2 区域管理器配置区域管理器：区域管理器为系统策略控制及数据接收处理中心,具有控制完成系统相关的动作行为处理功能；同时与本级数据库系统连接,统一接收注册程序提供的信息,将用户信息填写的计算机使用人姓名、联系电话、E-mail等,计算机IP、MAC地址、硬盘、CPU、内存等其它硬件信息均为自动采集存入数据库;根据本区域客户端IP管理情况确定对IP地址的管理方式,若选择IP、MAC 地址绑定,需要在静态IP环境下进行设置;允许客户端控头升级：设置本区域管理器管理范围内的客户端的升级操作;设置vpn网络虚拟管理器IP：添加VPN虚拟服务器的IP地址;管理器标识：管理器的标记,当服务器迁移时需要设置与之相同的管理器标识;允许客户端注册：任意一台在区域范围内的客户端都可以在服务器上注册;管理器配置同步：当选中“下级区域”时下级区域的配置应该和上级区域管理器的配置相同,当选中“全部区域”时是指下面的任意级联区域都要和区域管理器的配置同步;区域管理器参数设置区域管理器系统配置：设置完当前页面时可以配置管理器,在桌面双击“区域管理器”快捷方式弹出如下界面：区域管理器系统配置进行SQL服务器配置：进入“系统配置”,逐步输入SQL服务器IP地址、用户名称及密码、数据库名称默认为VRVEIS,单击“确定”完成SQL服务器配置;SQL服务器配置管理器配置：本软件默认机器操作系统88端口,若其它应用程序占用该端口,将自动更改为188;如果区域管理器应用于多级管理每级都有独立的SQL server和相应的系统的级联构架体系,其上级还有区域管理器的情况下,当前区域管理器需要将所有信息上报到上级管理器;区域管理器支持多级级联,如国家、省、市、县多级规模网络管理构架,下属区域管理器将其所有计算机报警信息转报到上级数据库;注：需要把“上报给上级管理器”√上,输入上级管理器地址;升级配置：用于配置区域管理器的自动升级,升级服务器地址为上级区域管理器IP;区域管理器配置-高级设置系统配置：锁定下级策略是指下级不能够更改策略信息;上报给上级区域管理器是指下级的策略,阻断,违规信息上报给上级区域管。

目录完整安全提升价值推进效益 (6)●内部网络面临的安全问题 (6)终端安全管理系列产品架构 (8)●产品系列 (9)●产品部署和管理构架 (10)●系列产品统一策略管理中心 (11)●系统自身安全 (11)●系统所需软硬件配置 (12)产品简介 (13)产品一北信源内网安全管理系统...................... . (14)●基本产品包 (14)●终端桌面管理产品包 (15)●终端安全管理产品包 (15)●网络主机运维产品包 (16)●非法外联管理产品包 (16)产品二北信源补丁及文件分发管理系统 (17)●产品背景 (17)●系统功能概述 (17)●系统功能描述 (18)●网络应用 (18)●系统组件 (18)●系统构架 (19)产品三北信源主机监控审计系统 (20)●产品背景 (20)●系统功能描述 (20)●管理功能描述 (21)产品四北信源终端安全登录与监控审计系统 (22)●功能概述 (22)●系统功能概述 (22)产品五北信源移动存储介质使用管理系统 (23)●移动存储介质数据交换引发的安全问题 (23)●技术特点及应用 (23)●系统功能描述 (24)●系统管理构架 (25)产品六北信源网络接入控制管理系统 (26)●产品背景 (26)●系统功能描述 (26)●系统管理构架 (26)产品七北信源移动存储介质信息消除系统 (28)●产品背景 (28)●功能概述 (28)●系统功能描述 (28)●系统管理构架 (29)产品八北信源安全U盘系统（专利技术） (30)●系统功能描述 (30)●加密 (30)产品九接入认证网关 (31)●功能概述 (31)●系统管理构架 (31)●系统功能描述 (31)●功能特点 (32)产品十北信源Intel vPro (AMT)管理支持系统 (33)●功能概述 (33)●系统功能描述 (33)产品十一北信源信息安全管理通告平台系统 (34)产品十二北信源网站防护系统 (36)●产品背景 (36)●产品概述 (36)●系统功能概述 (36)●系统部署 (37)产品资质 (38)公安部认证证书（内网安全管理及补丁分发系统） (39)公安部认证证书（移动存储管理系统） (39)公安部认证证书（网络接入管理系统）....................................................... .39 公安部认证证书（非法外联及客户端安全监控系统）....................................... .39 公安部认证证书（终端安全登陆与监控审计系统） ......................................... .40 公安部认证证书（网站防护系统） . (40)中国信息安全产品测评认证中心认证 (40)涉密信息系统产品检测证书（移动存储介质使用管理系统） (40)涉密信息系统产品检测证书（主机监控审计与补丁分发系统） (41)涉密信息系统产品检测证书（存储介质信息消除工具） (41)军用信息安全产品认证证书 (41)质量管理体系认证证书 (41)全国人大、全国政协现场工作保障证 (42)2008年奥运会、残奥会现场信息安保服务奖牌 (43)荣誉用户 (44)完整安全提升价值推进效益——构筑坚强有力的终端安全管理平台●内部网络面临的安全问题提起网络安全，人们自然就会想到网络边界安全，但实际情况是网络的大部分安全风险均来自于内部。

圣博润全面管理USB移动存储介质近几年，USB移动存储介质的使用越来越广泛，而如何安全管理USB移动存储介质的问题也同样凸显出来。

一方面部分企业的安全意识还存在一个持续提高的过程，如何在寻求安全管理和方便办公中寻求一个平衡点，是众多企业网络管理者急需解决的问题。

同时作为厂家提供的各种相关产品的品质差别参差不齐，导致目前USB移动存储介质的安全管理仍旧持续不断的出现问题。

如何在保证不影响正常使用的前提下，用较少的投入实现全面的USB移动存储介质的管理?笔者近日了解到国内资深信息安全企业北京圣博润高新技术股份有限公司(以下简称：圣博润)在该领域有所突破，成功实现了新一代软件形态USB移动存储介质使用管理系统的投产商用，这一产品的出现将大大缓解政府和企业非特殊网络环境的移动存储介质安全管理需求。

软件产品形态实现高性价比的解决方案当前，针对USB移动存储介质的安全性问题，主要有三种技术解决方案。

第一种是对计算机的USB物理端口进行人工上锁，使其无法接入任何USB设备。

这是一种最早使用的技术方案，由于该方案将导致所有USB设备都无法在计算机上使用，已逐渐被用户所淘汰。

第二种采用专用的加密USB 移动存储介质，属于硬件方案，配合软件使得普通USB移动存储介质无法识别，只能使用专门配发的加密存储设备。

第三种是采用完备的移动存储介质管理系统，利用软件解决方案的形式，在针对非特殊性用户的时候具有较高的性价比。

目前，封闭USB物理端口的方法已经较少采用，而专用硬件移动存储介质解决方案由于其成本过高、针对性过强，国内目前仅在政府和大型企业的特殊网络内有所应用。

而广大非特殊网络用户虽然同样面临USB移动存储介质管理和信息防泄密的问题，但基于总体成本和工作方便性的整体考虑，此类方案并不适用。

圣博润LartSecSUSB移动存储介质使用管理系统正是在这样的背景下应运而生，针对非特殊性政府、企业网络用户信息保密、信息防护和病毒防护的要求，提供完整的移动存储介质安全管理和信息保密的解决方案。

涉密计算机及移动存储介质保密管理系统1.概况：违规外联与移动存储介质交叉使用是造成网络失泄密案件的最主要原因.近年来,我国发生的一些网络泄密窃密案件追踪溯源,均与违规外联和移动存储介质交叉使用密切相关.涉密计算机及移动存储介质保密管理系统是为切实消除涉密计算机违规外联及移动存储介质在涉密计算机与非涉密计算机之间交叉使用而带来的泄密隐患和漏洞而开发的.涉密计算机及移动存储介质保密管理系统是在深入研究网络互联阻断技术、移动存储介质读写控制技术和光单向传输技术的基础上研制而成的.系统包括用户软件、管理软件、多功能导入装置和涉密U盘.用户软件安装在内部的涉密计算机上,具有对涉密计算机违规外联实施阻断并报警、涉密U 盘读写控制和非涉密移动存储介质禁止接入等功能.管理软件安装在保密管理人员使用的计算机上,具有对内部涉密网计算机违规外联报警信息的自动采集和对涉密U盘的注册、认证和管理等功能.多功能导入装置用于涉密人员向涉密计算机导入外部信息,同时负责涉密U盘的接入使用,既能在物理上切断涉密信息向外传输的渠道,又能实现外部信息安全完整地单向导入,满足涉密网内正常的信息交换需求.涉密U盘是具有统一外观、统一标识、专用接插件和一系列安全保密防护措施的专用移动存储介质,用于存储涉密信息并在涉密计算机之间实现信息交换.2.功能特点：涉密计算机及移动存储介质保密管理系统是一款功能强大的管理系统.2.1.违规外联监控涉密计算机违规外联报警系统能够及时发现涉密计算机试图违规连接互联网的行为,同时阻断该行为,并向监控中心报警.系统由服务端软件和客户端软件两部分组成.1.涉密计算机违规外联报警系统客户端软件客户端软件部署在所有涉密计算机中,缺省状态就能够禁止MODEM/ISDN/ADSL拨号和WLAN/GPRS/CDMA无线上网等功能.对试图发生外联的行为,进行如下处理：●完全阻断.本系统考虑外联途径多样性和操作系统的复杂性,采取多种阻断方式,确保行为阻断的可靠性；●及时告警.发现违规连接互联网的行为,立即向服务端监控中心告警,并记录日志,日志内容包括违规外联涉密计算机的配置信息、使用人、所属单位等.2.涉密计算机违规外联报警系统服务端软件根据需求,服务端软件将在互联网上部署.当监控到涉密计算机违规外联行为时,进行如下处理：●服务端软件收到报警信息,可采用声、光等多种形式通知管理员；●接收报警信息的服务端软件能够与客户端软件可靠通信,保证报警信息可靠上传.3.违规外联监控系统系统特点●安全性保证.采用系统内核技术保证用户端程序不可删除、不可篡改、不可停止.当被监控计算机的网络连接异常中断后,能够将报警信息暂存在本地,待下次与服务端连接成功后,再上传到服务端.系统通信要做到安全可靠.●可视化管理.系统可根据涉密计算机注册的地域及单位信息,形成可视化图形,对全国涉密计算机的违规外联行为进行可视化报警显示,全国的违规外联报警信息展现在一张全国地图上,管理人员可以非常直观地看出全国各地的违规外联情况,并可以通过点击轻松获取关心的详细信息.2.2.移动存储介质保密管理通过使用操作系统内核技术,禁止使用所有普通U盘、移动硬盘、手机存储卡、MP3、MP4等USB移动存储介质涉密计算机上使用.移动存储介质保密管理系统由管理端软件和客户端软件两部分组成：1.管理端软件功能●对涉密U盘进行唯一性标记,确保无法仿冒；●对涉密U盘进行统一注册授权,并对发放、领用情况进行统一管理.能够根据涉密U盘的标识确定其领用单位、领用人,对违规使用涉密U盘的行为能够提供有效的事后追查线索；●系统软件本身采取身份认证和权限管理措施,确保涉密专用U盘的注册信息、违规使用报警信息不被非授权访问、修改和删除；●支持分级管理,有效减轻管理员负担；●提供专用工具,用于对涉密计算机中客户端软件的卸载、维护等操作管理;●充分考虑适用性和扩展性,采取统一注册方式,确保经过注册的涉密专用U盘能够在涉密计算机上互通使用.2.客户端软件功能●介质识别功能,只识别已注册的涉密U盘,普通U盘、MP3、数码相机存储卡、移动硬盘等通用USB移动存储介质在涉密计算机的正常模式和安全模式都无法被识别和格式化；●客户端软件安装后,所有控制功能缺省为禁用状态,必须由管理员使用专用身份钥匙激活才能启用,有效规避因客户端软件被扩散所引起的保密安全风险;●能够根据策略实现涉密U盘的分域管理,既可以限制优盘只能在指定范围内使用,也可以通过授权使得涉密U盘能够跨域使用,实现内部不同单位与部门之间的涉密U盘互通.●客户端软件安装后,不影响使用鼠标、键盘等非存储类USB设备；●涉密U盘认证失败达到一定次数后,能够自动锁定；●支持用户修改U盘打开口令.2.3.多功能导入装置多功能导入装置布置在非涉密移动存储介质和涉密计算机之间.1.采用光单向传输技术,涉密人员可以通过普通USB移动储存介质导入外部信息到涉密计算机,实现外部信息向涉密计算机安全完整的单向导入.2.多功能导入装置提供涉密移动存储介质专用接入接口,实现涉密移动存储介质与涉密计算机之间的信息交互.2.4.涉密优盘涉密U盘运用安全控制芯片对存储区域加强保密性.涉密U盘接入计算机时,首先会验证该计算机是否为涉密计算机,验证通过后,才根据访问权限开放自己的存储区域,并通过专用驱动读取盘中的内容,防止涉密U盘在非涉密环境中使用.涉密U盘有以下功能特点：1.按统一规范生产,包括规格、颜色、标识均统一;2.按照统一规范进行编号,能够通过编号绑定责任人；3.特殊形式的专用设备接插件,不同于普通USB接头,无法插入电脑的普通USB接口,有效的防止误操作；4.具有计算机环境识别功能,在没有安装涉密计算机及移动存储介质保密管理系统客户端软件的涉密计算机或其他非涉密计算机环境下不能进行读取和格式化等操作；5.涉密U盘采用专有的文件存储格式、专有参数区、专有接口函数、专有文件格式解析控制,保证只有专用的驱动程序才能解析存储的内容；6.经过注册的涉密专用U盘在涉密计算机中的使用方法和使用普通U盘一样,对盘中所存储的各种格式的文件均可以直接打开、编辑和存储,完全符合用户使用习惯；7.支持口令认证保护,使用时需要输入正确口令才能使用涉密专用U盘,用户自行修改口令；8.涉密U盘对存储区域内容进行散乱处理,完全打乱文件的存储位置,因此,即便涉密U盘出现丢失或失控时,其中存储的内容也很难被破解.。

移动存储介质保密管理解决方案项目背景当前，移动存储介质以其存储容量大、体积小、携带方便、功能多样化等特点，被广泛应用于计算机信息系统中，成为人们日常工作中不可缺少的信息资料存储设备.但与此同时,用于存储涉密信息和内部信息的移动存储介质，在自身安全性上，在管理使用上，都存在严重的失泄密隐患和漏洞.涉密移动存储介质的管理是控制国家秘密知悉范围的重要环节，一些单位涉密移动存储介质管理混乱，不标注密级、明密不分、随意存放，维修、销毁缺乏监督，随意拷贝、携带外出等问题十分突出。

有的在连入国际互联网的计算机中使用涉密软盘、U盘或移动硬盘;有的工作人员调动或离岗，私自带走涉密U盘和移动硬盘；有的单位未对涉密存储介质中的文件进行清除,就将设备挪用、捐赠或作废品处理;涉密软盘、移动硬盘、U盘的数量、流向、拷贝、保管到销毁，管理制度不健全或不落实的问题大量存在。

涉密移动存储介质应由单位统一发放，并建立严格的登记、使用、销毁等技术措施和管理制度;与非密载体严格区分，不能既处理涉密信息,又用来上互联网；要严格控制携带移动存储介质外出，带出工作区要经过单位批准;移动存储介质要定期回收，在挪用、捐赠或不再使用时要统一对介质内的数据进行彻底销毁;对日常使用,应进行监督检查。

项目依据➢《全国保密科学技术“十一五”发展规划》（中保委发[2006］5号）➢国家保密标准BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》➢国家保密指南《涉及国家秘密的计算机信息系统保密技术要求》（BMZ1—2000）。

➢国家保密指南《涉及国家秘密的计算机信息系统安全保密方案设计指南》（BMZ2-2001）。

➢国家保密局中保办发［1998］6号《涉及国家秘密的通信、办公自动化和计算机系统审批暂行办法》。

➢国家保密局文件《计算机信息系统保密管理暂行规定》（国保发[1998]1号）。

产品名称USB移动存储介质使用管理系统V2.0产品意义解决涉密计算机与非涉密计算机间移动存储介质的混用问题，防止涉密信息的泄漏，同时，增强涉密计算机的保护.设计目标与思想➢涉密移动介质从购买、登记、使用到销毁整个过程必须是可控制；➢数据交换前必须通过正确的身份认证，包括USBKEY或指纹等授权硬件的身份认证;➢通过移动介质交换的数据必须是密文，保证数据离开应用环境后不可用；➢未经授权的移动介质,在工作环境中不可用，只有经过授权的移动介质才能进入计算机系统;➢记录数据交换过程的工作日志，便于以后进行跟踪审计。

公司本部各部门：为规范公司本部移动存储介质（优盘）的安全管理，按照国家电网公司统一要求，经过测试运行，现正式在公司本部信息内网统一部署“移动存储介质管理系统”，并统一配发专用移动存储设备（加密优盘）。

关于“移动存储介质管理系统”简要介绍、实施原则、专用存储设备的使用、配发工作安排情况如下。

一、概述国家电网公司移动存储介质管理系统（简称SGCC-USB V1.0）是根据公司实际需求而设计的移动存储介质管理方案。

系统采用C/S和B/S混合式架构，由服务器端和客户端构成。

其综合应用底层驱动、扇区加密、进程守护等多种安全技术对普通USB移动存储设备进行唯一性标签处理，并与客户端的安全访问控制策略进行匹配授权，确保USB移动存储介质使用的安全性与合法性。

项目由国网信息通信有限公司牵头，在国家电网公司系统内对移动存储介质管理系统软件进行统一设计、开发和推广。

在项目参与各方的共同努力下，移动存储介质管理项目历经需求调研、设计开发、测试等阶段，并于 2008 年 1 月至 3 月在公司总部进行了试点实施，得到成功验证，具备全面推广应用的条件。

为规范有序地在各网省公司组织项目推广工作，提高效率，保证质量，对项目推广实施全过程管理。

公司本部“移动存储介质管理系统”已经部署安装、调试，并完成测试（交易、房改、离退、信息等部门的部分微机）工作。

二、实施原则1、授权计算机已安装移动存储介质管理系统客户端（以下简称“客户端”），并对注册专用存储设备具有访问权限的计算机（办公内网计算机）。

2、非授权计算机指未安装客户端的计算机（办公外网和互联网计算机）。

3、安全策略注册后的专用存储设备分为启动区、交换区、保密区。

启动区在授权计算机上不显示。

在非授权计算机上将单独显示盘符，直接执行该区中的Edpedisk.exe程序，即可进入交换区登录页面。

交换区通过用户密码认证后在内、外网计算机均可使用。

保密区仅能在授权计算机上使用，在非授权计算机上不可用，也不显示盘符。

中软可信移动存储介质管理系统产品概述中软可信移动存储介质管理系统（CSS Trusted Removable Storage Management System，简称TRSMS），根据国家对涉密介质管理的要求，提供了对移动存储介质从购买、使用到销毁全过程的管理和控制。

它基于虚拟磁盘技术，从密级识别、认证授权、访问控制、锁定自毁、违规监控、扇区加密、安全审计等方面对移动存储介质进行失泄密防护管理。

产品组成产品分为三个组件：客户端、服务器和控制台，系统采用分布式监控，集中式管理的工作模式。

组件之间采用C/S工作模式，组件的通信是采用HTTP/HTTPS加密传输方式。

支持任意层级的服务器级联，上下级服务器之间采用HTTPS协议进行数据交换。

三个组件的功能分别如下：⏹客户端：安装在受保护的终端计算机上，实时监测客户端上移动介质的用户行为。

一旦发现用户的违规行为，系统及时向服务器发送告警信息，并执行预定义的应急响应策略。

⏹服务器：安装在专业的数据服务器上，需要数据库的支持。

通过安全认证建立与多个客户端系统的连接，实现客户端策略的存储和下发、日志的收集和存储。

上下级服务器间基于HTTPS进行通信，实现组织结构、告警、日志统计信息等数据的搜集。

⏹控制台：人机交互界面，是管理员实现对系统管理的工具。

通过安全认证建立与服务器的信任连接，实现策略的制定下发以及数据的审计和管理。

产品功能◆集中管理与授权移动存储介质在使用前均要经过授权中心统一授权，标识密级、使用范围、责任人以及使用期限等其他授权信息，严格限制未经授权的移动存储介质的使用。

◆访问控制经过授权的移动存储介质在涉密计算机上能正常使用，未授权移动存储介质无法在涉密计算机上使用。

在此基础上依据密级、用户身份、使用期限等队已授权的移动存储设备进行访问控制。

◆数据加解保护扇区级的自动加解密，数据始终以密文形式存储在介质上，非授权用户不能解密，即使涉密介质丢失也不会造成泄密事故。

产品简介一、准入控制系列产品1、北信源网络接入控制管理系统●产品背景北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全，确保企业网络保护机制的连续性，实现企业网络安全从质到量的提升。

同时，通过与北信源接入控制网关的联动，还可以实现对远程接入企业内部网络的终端进行身份唯一性及安全性认证。

通过北信源网络接入控制管理系统可以满足企业对终端接入网络的安全性要求，将终端接入控制覆盖到企业网络的每一个角落。

同时，使得终端接入控制不再依赖于具体的网络或通信设备，甚至是当使用者拿着他们的移动设备离开企业网络时，仍能有效执行对终端下发的接入控制策略。

北信源网络接入控制管理系统不需要对现有网络结构进行改造便可进行部署，具备简单、方便、安全、易扩展的特性。

●系统功能描述1)基于802.1X的终端接入认证管理;2)外部终端接入访问限制；3)外部终端接入身份认证；4)杀毒软件检测及访问限制；5)补丁自动检测及访问限制；6)进程、服务、注册表信息检测及访问限制；7)未达到预定义安全级别接入访问限制。

●系统功能特点1)全面支持市场主流交换机；2)可以实现无线802.1X接入认证；3)可以与用户现有AD域或LDAP进行联动认证；4)可以实现终端异地漫游的自动接管认证；5)可以实现终端认证数据检测，防止虚假第三方认证。

●系统管理构架北信源网络接入控制管理系统由以下几部分组成：1)策略服务器：系统策略管理中心，提供系统的参数配置和安全策略管理。

2）认证客户端：安装在终端计算机，通过用户名和密码向认证服务器发起认证，实现正常工作区、访客隔离区、安全修复区的自动切换。

3）Radius认证服务器：接收客户端认证请求信息数据包并进行验证。

4）Radius认证系统 (交换机) ：可网管支持802.1x的网络设备（交换机），接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。

5）可选配强制注册网关（硬件）：在不完全支持802.1x的网络中可选装强制注册网关，完成未注册终端访问网页时进行DNS重定向或HTTP重定向，以达到强制注册目的。

“三合一”保密安全管理系统近年来，大量的失泄密事件源于计算机与网络系统的非法外联与USB移动存储介质使用的失控。

因此，在强化安全管理制度的基础上，必须针对性采取保密安全技术控制措施，化解当前计算机与网络系统所面临的失泄密风险，实现非法外联监控与USB移动存储介质安全使用，堵住计算机与网络系统的失泄密渠道，保障涉密信息的安全，”三合一”保密安全控制系统正是在此需求背景下研制开发生成的新一代保密安全管理产品。

“三合一”保密安全管理系统由软、硬件两大部分组成，通过在受控主机上安装代理程序与部署控制器（硬件），对受控主机的USB移动存储介质进行授权认证管理与审计，对受控主机可能的信息外泄渠道进行封堵，对信息通过USB 移动存储设备向涉密计算机传输进行物理层的单向控制，有效防止涉密信息在信息传输过程中反向地流入USB移动存储设备，从根本上解决了“摆渡****”等间谍软件对涉密信息的威胁。

一、主要功能1、移动存储介质管理通过对USB移动存储介质认证与控制，USB移动存储介质只有在被授权的情况下才能在指定的涉密计算机上使用，未经授权的USB移动存储介质不能在涉密计算机上使用。

另一方面，涉密计算机上使用的经授权的涉密U盘无法在非涉密计算机上使用。

防止USB移动存储介质在涉密计算机与非涉密计算机间的交叉使用，防范“摆渡****”等间谍软件的威胁。

同时结合系统标配的涉密专用U 盘，实现用户、涉密专用U盘、涉密计算机间的绑定与认证使用。

2、数据单向导入“三合一”保密安全管理系统控制器（硬件）结合客户端软件，对非涉密U盘中数据单向、安全地向涉密计算机中导入，在单向控制方式上，采用光单向发送和接收模块，对U盘数据信号进行单向物理隔离，保证数据传输的单向性以及信息传递没有反馈信号。

3、非法外联监控通过外联监控策略配置，对涉密计算机的网络连接行为进行监控，一旦发现涉密计算机有连接Internet的网络连接，立即报警并阻止，同时禁用计算机的所有外联设备，由管理人员按照相关要求进行处置。

LanSecS USB移动存储介质使用管理系统（版本：7.0）用户手册北京圣博润高新技术股份有限公司Beijing SBR Information Technology Co., LTD特别声明本手册为《LanSecS USB移动存储介质使用管理系统7.0》产品用户手册，其内容将随着圣博润LanSecS软件的不断升级而改变(以光盘中电子版发行时为最新版)，恕不另行通知。

需要者请从圣博润公司网站下载本手册的最新电子版或者直接联系圣博润公司索取。

本操作手册为《LanSecS USB移动存储介质使用管理系统7.0》通用说明书。

若您独立购买《LanSecS USB移动存储介质使用管理系统7.0》其他特殊版本或者特殊功能模块，请您在使用过程中选择性阅读相应章节。

感谢您购买北京圣博润高新技术股份有限公司研制开发的内网安全管理系列软件。

请在使用本软件之前认真阅读本操作手册，当您开始使用该软件时，圣博润公司认为您已经阅读了本操作手册。

目录目录 (3)一、产品概述 (1)1、系统概述 (1)1.1产品简介 (1)1.2产品标准 (1)1.3产品架构 (1)1.4产品功能 (2)二、安装手册 (3)2、软件安装环境 (3)3、数据库安装 (5)3.1MYSQL数据库安装 (5)3.2SQL S ERVER数据库安装 (9)4、产品安装 (11)4.1总控中心安装 (11)4.2管理控制台安装 (14)4.3代理程序安装 (15)三、控制台操作手册 (17)5、系统基础设置 (17)5.1基础信息设置 (17)5.2单位管理 (17)5.3部门管理 (18)5.4用户管理 (20)5.5员工管理 (22)5.6主机管理 (23)5.7部署管理 (27)5.8帐户管理 (35)5.9运维管理 (36)6、策略管理 (39)6.1策略分类 (40)6.2策略安全性 (40)6.3策略设置 (41)7、移动存储介质管理 (45)7.1注册查询 (45)7.2注册统计 (45)7.3维修管理 (45)8、审计管理 (46)8.1信息查询 (46)8.2信息统计 (48)8.3事件管理 (51)8.4态势分析 (53)8.5安全评估 (56)8.6操作日志 (56)8.7审计报表 (56)8.8备份管理 (57)四、代理托盘操作手册 (60)9、托盘模块 (60)9.1设置 (60)9.2系统诊断 (60)9.3系统摘要 (61)9.4资产管理 (62)9.5安全代理状态 (63)五、产品工具软件手册 (68)10、工具软件概述 (68)11、实时报警管理工具 (69)11.1过滤设置 (69)11.2系统 (69)12、移动存储介质管理工具 (71)12.1注册管理工具 (71)12.2多分区U盘日志查询工具 (73)一、产品概述1、系统概述LanSecS USB移动存储介质使用管理系统是一款定位于为政府和企业用户提供集中的USB 移动存储介质使用管理及终端综合安全管理的桌面管理产品。

涉密计算机及移动存储介质保密管理系统
1.加密保护：对涉密计算机和移动存储介质进行加密，确保敏感信息
在传输和存储过程中得到保护。

可以通过使用加密算法对数据进行加密，
同时控制密钥的生成和分发，确保密钥的安全性。

2.访问控制：对涉密计算机和移动存储介质的访问进行权限控制，只
允许经过授权的用户进行访问。

可以通过身份认证、访问权限设置和访问
审计等手段，控制用户对系统的访问权限，并记录用户的操作情况，以便
进行追溯和审计。

3.审计追溯：对涉密计算机和移动存储介质的操作进行记录和审计，
及时掌握用户的操作情况，并能够追溯操作过程，以便发现异常行为和及
时进行处置。

可以通过日志记录、操作审计和报警机制等手段，实现对系
统操作行为的监控和控制。

4.安全管理：对涉密计算机和移动存储介质进行全面管理，包括设备
监控、安全漏洞修补和系统更新等。

可以通过实施设备监控，及时发现并
处理设备故障或异常情况；同时，保证系统的安全性，及时修补系统漏洞，更新系统版本，防止安全威胁。

5.灾备管理：建立涉密计算机和移动存储介质的灾备机制，确保系统
在发生灾害事故时能够快速恢复。

可以通过定期备份数据，建立冗余系统，实现数据灾备，确保涉密信息的长期保存和安全性。

6.安全培训：对涉密计算机及移动存储介质保密管理系统的使用人员
进行安全培训，提高其安全意识和操作能力。

能够提供相应的培训资料和
培训课程，加强对涉密信息保护的理解和认识，保证系统的有效运行。

涉密计算机及移动存储介质保密管理系统天津光电久远科技有限公司产品概述：本产品拥有国家发明专利，集“违规外联监控”、“涉密移动存储介质使用管控”和“非涉密信息单向导入”功能于一身，是国内首家取得国家保密局授权的产品。

产品能够监管并阻断涉密机通过调解器、ADSL拨号、无线网卡等方式进行的违规外联行为，并可解决移动存储介质在涉密机与非涉密机间交叉使用的问题，较好地处理数据应用和信息保密间的矛盾。

功能特点：【系统功能】违规外联管理控制能够监测并阻断涉密计算机通过多种方式接入互联网或者其他网络的违规行为，并能够向管理端发送报警信息。

移动存储介质使用管理控制系统内全部使用专用物理接口设计的涉密专用优盘，不能在涉密计算机上直接使用，经过注册登记的涉密专用优盘只能在系统设定的范围内配合多功能导入装置使用，在外部计算机上无法使用；普通优盘只能通过多功能导入装置将信息单向导入到涉密计算机中。

非涉密信息单向导入存储非涉密信息的普通优盘只能通过多功能导入装置将信息单向导入到涉密计算机中，保证普通优盘中的信息在导入涉密计算机过程中无任何反馈，防止信息被恶意程序窃取。

【系统组成】用户端实时监控涉密计算机的外联行为；对USB存储介质的使用进行安全接入控制和身份鉴别；与内网通讯服务器通讯，汇报在线状态，发送审计信息，接收并执行安全策略。

涉密专用优盘具有国家保密局相关标准规定的外形、接口、内部数据格式、唯一ID和认证方式。

用于和多功能导入装置配合使用完成优盘与计算机的双向涉密数据交互。

多功能导入装置在本系统涉密终端上通用，专用接口连接涉密专用优盘，实现涉密专用优盘的数据存取。

通用接口连接普通优盘，可以将非涉密通用优盘内的非涉密数据单向导入到涉密计算机。

保密管理中心对组织结构、责任人信息，涉密计算机和涉密专用优盘进行统一管理，对涉密计算机违规外联日志、设备使用日志进行查询、统计，对联网主机提供即时的设备策略控制，信息修改、信息同步、客户端程序升级等功能。

移动存储介质管理系统使用手册一、引言随着信息技术的快速发展，数据量不断增加，移动存储介质已成为数据存储和传输的重要工具。

然而，在方便快捷的同时，移动存储介质也带来了数据安全和管理的问题。

为了解决这些问题，我们推出了移动存储介质管理系统。

本手册将详细介绍该系统的使用方法、功能及注意事项。

二、系统概述移动存储介质管理系统是一套集数据加密、权限管理、安全审计于一体的综合性解决方案。

该系统采用软硬件结合的方式，对移动存储介质进行全面管理，确保数据的安全性和可追溯性。

三、功能特点1、数据加密：系统采用先进的加密算法，对数据进行加密存储，确保数据在传输过程中不被窃取或篡改。

2、权限管理：系统可以对移动存储介质进行细粒度的权限管理，设置不同用户的访问权限，防止数据泄露。

3、安全审计：系统具备完整的安全审计功能，可以记录用户的操作行为，为事后追溯提供依据。

4、集中管理：系统支持对多台移动存储介质进行集中管理，方便管理员进行统一配置和维护。

5、易于使用：系统界面友好，操作简便，即使是非专业用户也能轻松上手。

四、使用步骤1、设备安装：将移动存储介质插入计算机的USB接口，安装相应的驱动程序。

2、系统配置：打开移动存储介质管理系统，进行必要的系统配置。

3、数据传输：在系统中选择需要传输的数据，点击“传输”按钮，数据将自动加密并传输到移动存储介质。

4、数据读取：在目标计算机上插入移动存储介质，系统将自动解密并读取数据。

5、权限管理：在系统中对不同的用户设置不同的权限，确保数据的安全性。

6、安全审计：在系统中查看用户的操作记录，以便于事后追溯和分析。

7、集中管理：在系统中对多台移动存储介质进行集中管理，方便统一配置和维护。

五、注意事项1、请确保移动存储介质插入到安全的计算机上，避免病毒或恶意软件的入侵。

2、在进行数据传输前，请确认数据的真实性和完整性，避免传输过程中出现错误。

3、在进行权限管理时，请根据不同用户的需求设置合理的权限，确保数据的安全性。

信息安全技术usb移动存储介质管理系统安全技术要求随着信息化发展，移动存储介质已经成为了我们日常生活、工作中不可或缺的设备之一。

然而，随之而来的是各种安全问题的增加。

而USB移动存储介质管理系统的推出，为我们提供了一种解决方案。

本文将从以下几个方面介绍这个系统的安全技术要求。

一、密码安全密码安全是USB移动存储介质管理系统的一个基本功能。

首先，系统要求所有用户需要设置密码，以确保其数据安全。

而后，系统要求密码强度必须高，至少包含大小写字母和数字，同时不能使用简单的密码，如“123456”等，以避免被破解。

二、数据加密除了密码安全外，另一个重要的安全要求是数据加密。

USB移动存储介质管理系统要求在存储介质上的所有数据都需要进行加密处理。

这样可以确保即使存储介质被盗或丢失，数据也不会被他人轻易获取。

三、访问权限控制访问权限控制是USB移动存储介质管理系统中的一个重要功能。

系统要求管理员可以对不同的用户设置不同的访问权限，以确保员工只能访问其需要的资料。

此外，管理员还可以将系统设置为只允许授权的设备访问，防止未授权设备接入从而造成数据泄露。

四、病毒防护在USB移动存储介质中的病毒问题经常会引起人们的注意。

因此，USB移动存储介质管理系统需要具备病毒防护功能。

此项功能要求系统具备实时监测、自动隔离和杀毒的能力，让用户在使用存储介质时不必担心受到病毒攻击导致数据损失。

五、日志监控USB移动存储介质管理系统还要求具备日志监控功能。

日志监控功能可以记录未经授权或访问违规的事件，系统要求将所有该类事件相关的信息详细记录在日志中，以方便管理人员随时查看，并及时进行处理。

总之，USB移动存储介质管理系统的安全技术要求十分严格。

只有具备这些安全功能的系统才能达到确保数据的安全、保密和完整的目的。

企业和组织应该选用符合国际安全认证标准的存储介质，并对所有工作人员进行安全教育和训练，既增加了员工的实践能力，也提高了USB存储介质的使用率和数据安全保障。

移动存储介质管理系统技术参数
产品名称：北信源移动存储管理系统
服务期限：三年
购买要求：500点，三年售后服务，免除服务器端费用
技术参数：
1、系统必须同北信源桌面安全防护系统无缝结合；
2、系统支持U盘等移动存储介质实名制标签认证，未认证U盘接入报警并禁止使用；
3、支持对U盘等移动存储介质划分交换区和保密区，访问均需密码认证，用户可进行密码设置，其中保密区必须在授权环境中访问；
4、支持认证后的移动存储介质依据授权信息数据交换控制功能，并支持移动存储设备（分区域、网段等）接入管理，对指定区域内支持禁用、只读、读写等访问控制形式；
5、支持U盘等移动存储介质密码找回；
6、移动存储介质数据交换行为审计管理，审计可针对文件后缀名等条件进行，并提供详细的文件操作详细审计记录：包括文件的创建、复制、删除、修改和重命名等操作，（包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息）；同时提供详细的移动存储设备的插入和拔出动作的详细记录。