桌面管理系统-技术方案7.doc

桌面管理系统-技术方案7 桌面管理系统

技

术

方

案

上海展亿电子科技有限公司

1

目录

1.产品概述(3)

2.需求及安全风险分析(3)

2.1.需求概述(3)

2.2.对移动存储介质的管理需求分析(4)

2.3.移动存储介质管理和监控的实现(5)

3.产品选型(6)

3.1.产品主要特点和优势(6)

3.2.系统部署架构图(7)

1.产品概述

桌面管理系统V6.5是上海展亿对网络信息系统开发的内部网络信息防泄密系统，该系统从多方面入手，解决网络中信息泄密的安全性问题，主要包括：网络用户和操作系统用户安全身份认证（内核级动态口令技术）、终端资源访问控制、安全审计和终端安全防护及管理。

在终端设备的访问控制上，实现了对移动终端存储介质（软盘、U盘、光盘等）、调试解调器、宽带ADSL、无线上网、终端设备上运行的程序、打印设备等按照已定义的策略进行控制、数据外泄途径的安全管理及审计，包括移动存储戒指、光盘及打印类的输出设备的授权管理等。

2.需求及安全风险分析

2.1.需求概述

根据国家有关标准的内网安全需求，涉密网终端安全防护应满足以下功能和要求：

1用户的安全身份鉴别、用户帐号的安全管理、计算机终端接口及外设的控制、计算机终端新增设备的接入控制、用户打印行为控制与审计、计算机网络控制、文件的存储加密和鉴别、移动存储盘介质的管理和数据的安全存储、主机存储盘管理和存储盘数据的安全、安全审计及审计日志的查询、导出、备份等功能。

2系统自身的维护管理和系统本身的安全机制与措施。

3实现涉密单机安全防护。

4系统具有比较好扩展性，可以方便地扩展一些功能，这些功能包括：将系统的用户身份鉴别扩展到业务系统的身份鉴别，实现单点登录（SSO）等功能；补丁分发等功能。

2.2.对移动存储介质的管理需求分析

功能需求

存储设备特别是移动存储设备设备低廉价格以及大量使用，对信息安全带来了巨大的安全风险。

目前几乎所有的主机审计类产品，能实现禁止使用移动存储设备或开启移动存储设备。但移动存储设备的使用非常普遍，禁止移动存储设备的使用实际上也是不现实的。

既要解决普通移动存储设备的泛滥使用，又要确保被使用的移动存储设备的安全，同时不影响正常的数据交换，则是目前内网安全需要解决课题。一个比较典型的用法如下：

1普通移动存储设备，必须通过处理以后才能在涉密网络使用

2通过处理完后的普通存储设备不能在外网使用

3在涉密网使用移动存储设备，如果要拿到外网使用，必须通过特殊处理；

4拿到外网使用的移动存储设备，不能再拿到涉密网使用。

如何将普通移动存储设备变成涉密的移动存储设备，又如何控制普通的移动存储设备在涉密网上使用，是本产品中的一个重

点问题。

控制移动存储设备在涉密网上使用，比较好的解决办法是将普通移动存储设备注册成涉密的移动存储设备。将普通移动存储设备注册成涉密的注册移动存储设备的需要解决两个方面的问题：其一：普通移动存储设备的注册；其二，移动存储设备涉密数据的安全。

目前许多主机审计类产品，可以实现将普通移动存储设备（特别是：U盘和移动USB硬盘）注册，实现对注册介质的控制。目前，采用的技术主要有：（1）向普通移动存储设备中，写入“特殊值”，系统在对设备进行控制的时候，通过读取移动存储设备中的值来判断该设备是否被注册。这种方式的最大的风险是：无论系统怎么隐藏注册在移动盘中的“特殊值”，系统难以规避盘对盘的拷贝，让非注册的移动存储设备变成注册设备的风险。采取这种方式，也难以涉密介质中的数据的安全性。

（2）将涉密介质注册成移动存储设备的另外一种比较好的办法是：读取移

动存储设备唯一特征值，并将该特征值授权给某人或某组织。只有合法的用户或组织才能在本系统内存取该设备。

将普通移动存储设备转换成涉密移动存储设备，确保在涉密网络中能使用，让该存储设备离开本网络环境不能被使用。比较好的办法是将移动存储设备按照涉密内网特征格式化，读写数据不同于普通的格式化数据盘。这样，该移动存储设备，离开某涉密内网的网络环境不能被使用。更严格一点，可以将特殊格式化的盘授权给某用户后，具有合法身份的用户才能使用该存储介

质。

将普通移动存储设备注册和将普通移动存储设备转换成涉密的移动存储设备交互使用，移动存储设备中数据的安全和与其他信息系统的数据交换。

个人目录只供个人使用，其他人不能使用。除了本人之外，任何人都不能访问该目录，包括系统管理员，也不能随意查看文件的内容。

2.3.移动存储介质管理和监控的实现

功能实现

1通过实现对涉密移动存储介质的管理，包括介质的注册、授权等

2实现对涉密移动存储介质的控制、监控和审计

3针对移动存储设备，提供四种策略管理：

（1）提供策略设置是否许用户使用普通移动存储设备；

（2）对普通的移动存储设备进行注册授权管理，注册的移动存储设备通过授权给用户以后，该移动存储设备才能被使用。没有注册授权的移动存储设备在该用户下不能使用，防止外来移动存储设备随意使用。

系统提供独特的格式化工具，将普通存储介质（包括硬盘和移动存储盘）按照SecDisk方式进行格式化处理，只有在安装了“桌面管理系统”的计算机终端，并且用户具有使用SecDisk盘

权限的用户才能使用SecDisk盘，用户没有使用SecDisk盘的权限或者离开安全管理系统,SecDisk盘不能被使用。

对SecDisk盘进行注册授权，SecDisk授权给用户以后，用户才能使用SecDisk盘。

桌面行为管理解决方案1

精技网管=上网行为管理+桌面行为管理+文档加密系统+企业系统管理+企业资产管理+员工绩效考核管理,以下便是第1页的正文：

【附2】

“精技网管”

桌面行为管理解决方案

解放您的管理

Management liberator 概述

对于现代化的企业而言，计算机、宽带、打印机等都是企业的办公资源，如何合理高效的运用这些资源，节省成本，同时创造更多利润成为每个企业必须面对和思考的问题。

如何行之有效地管理内网行为，提高资源利用率，