中软统终端安全管理系统系统介绍样本.doc

目 录 第一章 系统概述 1 第二章 体系结构和运行环境 3 2.1系统体系结构 3 2.2 推荐硬件需求 4 2.3 推荐软件需求 4 第三章 系统功效 6 3.1 基础功效 6 3.1.3 用户身份认证 6 3.1.2 网络访问控制 7 3.1.3 非法外联控制 7 3.1.4 接口外设管理 8 3.1.5 移动存放介质管理 8 3.1.6 CDROM/CDRW/刻录机控制 8 3.1.7 辅助硬盘控制 8 3.1.8 打印机管理 8 3.2可信移动存放介质管理[*] 9 3.2终端接入管理[*] 10 3.2.1终端接入认证 10 3.2.2 终端安全检验 10 3.2.3内网安全扫描 10 3.3补丁管理和软件分发管理[*] 10 3.3.1 补丁分发管理 10 3.3.2软件分发管理 11 3.4 终端安全运维管理[*] 12 3.4.1 系统运行情况监控 12 3.4.2 软硬件资产管理 13 3.4.3 安全策略管理 13 3.4.4 防病毒软件监测 14 3.4.5网络进程管理 14 3.4.6文件安全删除 14 3.4.7 进程管理 15 3.5远程管理[*] 15 3.6 安全存放和传输管理[*] 16 3.6.1 我加密文件夹 16 3.6.2 硬盘保护区 16 3.6.3 文件安全分发 16 3.7 安全文档管理[*] 16 3.8安全文档隔离管理 [*] 17 3.9电子文档权限管理[*] 17 3.10 文档密级标识和轨迹跟踪管理[*] 17 3.11文件打印审批管理[*] 18 3.12 U盘拷贝审批管理[*] 18 3.13 光盘刻录审批管理[*] 19 3.14系统管理和审计 19 3.14.1 组织结构管理 19 3.14.2 统计审计分析 19 3.14.3分级报警管理 19 3.14.4 响应和知识库管理 20 3.14.5 服务器数据存放空间管理 20 3.14.6 系统升级管理 20 3.14.7 B/S管理功效支持 20 3.14.8系统参数设置 20 第四章 系统特点 21 4.1全方面终端防护能力 21 4.2 分权分级管理模式 21 4.3 方便灵活安全策略 21 4.4 终端安全风险量化管理 21 4.5 周全具体系统报表 22 4.6 丰富应急响应知识库 22 4.7 完善插件式系统架构 22 4.8 方便快捷安装、卸载和升级 22 4.9 多级布署支持 23 附件一：名词解释 24 第一章 系统概述 伴随信息化安全技术不停发展，多种内网安全管理问题逐步凸现出来。据IDC调查汇报显示超出85%网络安全威胁来自于内部，其危害程度更是远远超出黑客攻击所造成损失，而这些威胁绝大部分是内部多种非法和违规操作行为所造成。 内网安全问题已经引发了各级单位广泛重视，伴随安全意识不停增强，安全投入逐步增加，不过内网安全事件却不停地增多。分析其原因我们认为关键有以下多个方面： u 有章不循，有规不依，企业内网安全合规性受到挑战。 很多企业明文要求安装操作系统必需打最新补丁，不过终端用户仍然我行我素造成操作系统补丁情况不一，从而给蠕虫病毒、木马程序和黑客软件带来了可乘之机。同时有些单位购置了防病毒软件，不过终端用户没有根据单位统一布署要求安装防病毒软件，或有些终端用户即使安装了防病毒软件，不过没有立即更新病毒库，造成计算机病毒有机可乘。对于终端安全管理，企业建立了很多安全制度，不过终端用户不根据企业安全要求要求，将不安全计算机接入网络，从而引入了内网安全威胁，企业内网安全合规性受到了严峻挑战。 u 谋一时，而未谋全局，终端系统被划分为多个独立信息安全孤岛。 各单位在处理多种内网安全问题上，通常缺乏统一、全方面内网安全处理方案。根据“头痛医头，脚痛医脚”内网安全防护加强思绪，采购并布署了多款终端安全管理产品，比如：身份认证、补丁管理、软件分发、病毒防护软件等等。不过这些终端安全防护软件来自于不一样安全厂商，多种软件之间各自为政，缺乏统一管理、协调工作机制，最终造成个人桌面系统被划分为一个个独立信息安全孤岛，所以出现了终端安全管理混乱、内网安全漏洞百出，内网安全事件防不胜防。 u 百花齐放，百家争鸣，终端系统终因难堪负重，系统性能急剧下降。 为了加强终端安全管理，在个人桌面系统上同时安装了不一样厂家终端代理。每种代理程序全部需要实现自我防护、网络通信、运行监控等程序调度机制，需要反复占用系统有限CPU、内存等系统资源，造成个人桌面系统运行速度变慢，系统性能急剧下降。同时，因为不一样厂家软件存在很多功效重合部分，而这些重合部分往往是采取类似技术开发，从而造成不一样软件之间频繁发生应用冲突。 u 治标不治本，本末倒置，软件购置费用增加，系统维护成本成倍增加。 通常终端管理软件大致分为三个组件，即：服务器、控制端、用户端代理。每种服务器软件全部需要独立数据库和硬件服务器支撑，无形中增加了软件布署成本。同时，因为每种软件全部有自己控制台程序，管理员要针对每套系统生成它控制策略，每套系统数据审计全部是分开，管理工作很多，管理员为天天维护工作疲于奔命，从而造成管理疏忽。 针对以上多个原因，和中软企业在对企业内网安全管理展开全方面调查基础上，发明性地形成了一套完备终端安全“一体化”处理方案。在过去几年里中软企业一直致力于内网安全研究，并在中国最早提出了一系列内网安全管理理论体系和处理方案。内网失泄密防护软件--中软防水墙系统推出填补了中国内网安全管理软件空白，并取得了若干国家专利局技术专利。防水墙系统连年获奖，其中在“防水墙”被计算机杂志评为新名词。 中软企业早在就开始致力于内网失泄密软件开发，前后向市场推出了中软防水墙系统7.0版本、7.0+版本和7.2版本。伴随内网安全管理复杂化，中软企业在复用防水墙系统成熟技术基础上，引入优异内网安全管理理念和新内网安全管理技术重新搭建系统体系结构，自主研发了中软统一终端安全管理系统8.0（CSS United End-Point Management System,简称UEM8.0）。 该系统是以“木桶原理”为理论依据，以安全策略为驱动，根据PDR安全模型“保护-检测-响应”工作步骤循环检测，同时结合保密要求“等级防护”指导方针，采取多个安全技术实现了对终端主机全方位、多层次安全防护。根据“保护-检测-响应”工作步骤逐步完善终端安全防护策略，并将事件处理方；式和处理步骤登录到用户知识库，逐步形成内网事故应急响应步骤和共享安全处理方案知识库。 第二章 体系结构和运行环境 2.1系统体系结构 系统分为三个组件：用户端、服务器和控制台，系统采取分布式监控，集中式管理工作模式。组件之间采取C/S工作模式，组件通信是采取HTTP/HTTPS加密传输方法。支持任意层级服务器级联，上下级服务器之间采取HTTPS协议进行数据交换。体系结构图 1 所表示。 图 2 系统体系结构图 n 用户端：安装在受保护终端计算机上，实时监测用户端用户行为和安全状态，实现用户端安全策略管理。一旦发觉用户违规行为或计算机安全状态异常，系统立即向服务器发送告警信息，并实施预定义应急响应策略。 n 服务器：安装在专业数据服务器上，需要数据库支持。经过安全认证建立和多个用户端系统连接，实现用户端策略存放和下发、日志搜集和存放。上下级服务器间基于HTTPS进行通信，实现组织结构、告警、日志统计信息等数据搜集。 n 控制台：人机交互界面，是管理员实现对系统管理工具。经过安全认证建立和服务器信任连接，实现策略制订下发和数据审计和管理。 2.2 推荐硬件需求 用户端个数 <200 200-500 500-1000 >1000 服务器主机个数 1 1 1 1+ 服务器 CPU P4 3.0 RAM 1GB HDisk 120GB CPU P4 3.0 AT RAM 2GB HDisk 240GB CPU P4 3.0 AT RAM 4GB HDisk 480GB CPU Xeon 1G*4 RAM 4GB SCSI Disk 240GB RAID 5 控制台 CPU P4 2.0 RAM 512MB HDisk 40GB CPU P4 2.0 RAM 1GB HDisk 40GB CPU P4 3.0 RAM 1GB HDisk 40GB CPU P4 3.0 RAM 1GB HDisk 80GB 用户端 CPU P4 2.0/ RAM 512MB/ HDisk 40GB 审计平台 CPU P4 2.0/ RAM 512MB/ HDisk 40GB 表格1 系统推荐硬件需求 2.3 推荐软件需求 操作系统 所需其它软件支持 服务器 Microsoft Windows Server / Advanced Server（32/64位） SQL Server +SP4 SQL Server SQL Server或达梦数据库。硬件“加密锁”驱动程序 控制台 Microsoft Windows Server , Microsoft Windows Professional / Server / Advanced Server, Microsoft Windows XP 用户端 Microsoft Windows Professional / Server / Advanced Server, Microsoft Windows XP Professional，Microsoft Windows Server ，Microsoft Windows Vista (Ultimate / Business)，Microsoft Windows7（Ultimate / Enterprise / Business）（32/64位） 审计系统 Microsoft Windows Professional / Server / Advanced Server, Microsoft Windows XP, Microsoft Windows Server SQL Server +SP4 SQL Server SQL Server或达梦数据库 表格 2 系统软件需求 提醒： n 安全管理系统服务器，包含服务器软件和后台支持数据库。提议在专用主机上安装安全管理系统服务器，而且关闭全部和安全管理系统无关无须要服务。支持操作系统为MS Windows 系列，推荐Advanced Server版本。 n 以上操作系统，没有尤其说明，仅指32位操作系统。 n 安全管理系统用户端不支持Linux系统，不能在windows双系统下同时安装UEM用户端。 n 为确保用户正常使用安全管理系统，最好将安全管理系统服务器、控制台和用户端分别运行于独立系统之上，同时用户安装前应将Windows版本进行升级，安装各自版本最高补丁。 第三章 系统功效 伴随内网终端安全地位合理化，终端安全管理将深入沿着整合化、平台化、统一化、基础化方向发展。内网终端安全一体化需求越来越强烈，终端安全产品形态将逐步发生改变，最终发展为兼顾安全防御和安全管理。终端安全发展历史使命终将经过一款“大、一、统”终端安全产品来实现。所谓“大”就是该产品功效所涵盖范围大，它不仅要包含网络接入认证、系统身份认证、资产管理、补丁管理、软件分发，还要包涵系统运行监控、用户行为监控等终端软件全部功效。所谓“一”就是一个终端代理、一台服务器就能够实现上述全部功效， 一个网络管理员就能够全局控制整个内网安全。所谓“统”就是指对全部桌面系统应用统一安全策略，对全部终端用户采取统一终端管理策略，对终端产生日志进行统一日志分析，为全部管理员提供统一应急响应知识库。各功效部件之间协调工作，统一管理，形成一个高效有机安全代理。经过统一桌面管理平台降低系统复杂度，提升了个人桌面系统工作性能，降低了用户维护管理成本。 针对以上终端计算机用户安全需求，中软企业对政府、军工和高新技术企业终端计算机管理问题展开了全方面调查，借鉴中软防水墙系统开发经验，以等级防护和国家相关涉密计算机管理相关要求为蓝本，发明性地形成了一款终端安全管理系统，该系统从终端安全管理、终端运维管理、用户行为管理、数据安全管理、系统身份认证管理，同时辅助这些功效系统提供了监控日志统计和分析功效和系统运行管理功效。 尤其说明：UEM默认情况只提供基础功效，带有[*]标识功效为可选功效，见3.X章节所述。可选功效由产品License控制。 3.1 基础功效 3.1.3 用户身份认证 身份认证是系统应用安全起点，经过硬件USBKey和口令认证登录Windows系统用户身份，确保进入Windows系统用户身份正当性；对登录用户权限进行正当性检验，确保用户权限合规性。具体功效以下： u 基于USBKey身份认证，将用户信息和证书内置于USBKey硬件中，经过读取USBKey中用户信息实现登录用户身份认证，实现双因子认证，提升了主机身份认证安全强度。同时为了增强系统灵活性，对于USBKey用户，系统管理员可要求该用户进行USBKey和Windows双因子认证登录系统，也可许可该用户无需输入Windows口令，只使用USBKey完成登录认证。 u 登录用户权限正当性检验，检验登录Windows系统用户权限，当发觉登录用户权限和策略设置登录用户权限不一致时，系统立即阻止非法用户登录，并向服务器发送告警信息。该项功效关键是预防用户经过非法路径提升本身用户权限而达成某种非法目标，比如：策略设置只能是USER权限用户登录计算机，假如登录计算机用户拥有Administrator或PowerUser权限则系统自动阻止该用户登录。 3.1.2 网络访问控制 规范计算机用户网络访问行为，依据业务相关性和保密关键程度建立信任虚拟安全局域网。网络防护有两个层面含义：第一是预防用户误操作或蓄意泄漏企业敏感信息；第二是预防黑客经过互联网透过防火墙非法获取用户端敏感信息。实现了从网络层到应用层多层次防护，具体功效以下： u 网络层防护：IP地址访问控制、TCP/UDP/ICMP协议控制； u 应用层防护：HTTP/FTP/TELNET/SMTP/WEBMAIL/BBS/NETBIOS控制； 控制策略有：严禁访问、自由访问。严禁访问时提供仅开放白名单功效，实现只开放白名单地址，其它地址全部严禁；自由访问时提供黑名单功效，实现只严禁黑名单地址，其它地址全部开放；同时提供三种日志统计模式：统计被严禁访问、统计未知访问和统计信任访问，对FTP、SMTP访问控制和文件打印，能够统计文件内容。 3.1.3 非法外联控制 经过对Modem控制实现非法外联监控。 控制策略有：严禁访问、自由访问和条件访问。严禁访问时提供仅开放白名单功效，实现只开放白名单地址，其它地址全部严禁；自由访问时提供黑名单功效，实现只严禁黑名单地址，其它地址全部开放；同时提供三种层次统计：统计被严禁访问、统计未知访问和统计信任访问，同时对FTP、SMTP、和打印能够提供文件备份功效。 3.1.4 接口外设管理 统一配置计算机外设接口控制策略，动态关闭和开启外设接口。所能控制接口有：USB接口、SCSI接口、串行总线、并行总线、红外接口、PCMCIA接口、软盘控制器、火线1394接口、无线网卡接口、DVD/CD-ROM驱动器、蓝牙接口、第二块网卡接口。 接口访问控制策略分为：许可和严禁两种，在严禁策略下尝试访问向安全管理系统服务器报警。同时提供了接口设备白名单和黑名单定义功效，实现在接口严禁或接口开放情况下一些设备放开或严禁使用。 3.1.5 移动存放介质管理 对移动存放介质访问进行统一控制，控制模式能够分为：自由使用、严禁使用、设置为只读、拷贝文件加密、拷贝文件统计日志并备份文件内容等五种控制策略。其中拷贝文件加密为个人加密加密方法，个人加密只能在目前主机目前个人用户下才能解密。 3.1.6 CDROM/CDRW/刻录机控制 对光盘介质访问进行统一控制，控制模式能够分为：自由使用、严禁使用。刻录机控制支持：严禁使用、自用使用、只读使用等三种。 3.1.7 辅助硬盘控制 对计算机上挂接第二块硬盘访问进行统一控制，控制模式能够分为：自由使用辅助硬盘和严禁使用辅助硬盘。 3.1.8 打印机管理 依据企业打印机管理制度和计算机用户业务关系统一制订打印机管理策略，具体功效控制项以下： u 监控用户打印行为：统一制订计算机用户打印管理策略，控制模式能够分为：自由使用打印机、严禁使用打印机和许可使用打印机并统计打印文件名称（可选项为备份文件内容）。使用打印机能够基于打印机名称、打印进程和虚实打印机进行控制。 u 打印行为违规报警：在严禁打印机策略时假如用户实施打印操作，系统立即向服务器发送违规打印操作信息。 3.2可信移动存放介质管理[*] 该功效实现了用户对移动存放介质管理要求，对可信移动存放介质从购置到销毁整个生命周期进行管理和控制。 可信移动存放介质管理经过授权认证、身份验证、密级识别、锁定自毁、扇区级加解密、日志审计等六个路径对可移动存放设备数据进行安全防护，使得未经过身份验证用户或密级不够主机，不可访问存放在可信移动存放介质上文件。 u 授权认证：管理员对移动存放介质进行注册授权，写入授权信息。 u 身份验证：用户端使用可信移动存放介质时，对用户身份信息进行验证。 u 密级识别：用户端使用可信移动存放介质时，需对用户端主机密级进行验证。 u 锁定自毁：用户违规使用可信移动存放介质时，对磁盘进行锁定或自毁，确保数据安全性。 u 扇区级加解密：文件数据加解密由系统底层驱动自动进行，对用户是透明。 u 日志审计：对用户使用可信移动存放介质所产生日志进行审计和查看。 可信盘制作和管理关键由系统管理员完成： n 磁盘库存管理 系统管理员完成对一般磁盘入库登记，以备制作可信盘，或对入库磁盘进行信息销毁等。 n 磁盘授权管理 管理员对移动存放介质进行注册授权，写入授权信息，即完成可信磁盘制作、解锁、回收、和商旅盘使用激活和反激活等操作管理，同时当可信磁盘需要跨服务器使用时，可启用该功效。另外，用户端也可经过在线审批方法进行可信磁盘授权。 n 授权信息管理 系统管理员可查询可信磁盘信息、撤销可信盘授权等。 n 可信磁盘文件操作策略定义 包含定义可信磁盘文件读、写操作监控策略，和设置是否许可在可信磁盘上直接运行可实施文件等，以预防病毒运行和传输。 n 可信磁盘日志审计 不管是一般可信磁盘，还是商旅磁盘，在磁盘使用过程中所产生日志全部需要上传到服务器中，所要求统计日志包含： 可信磁盘使用台帐、磁盘锁定和自毁日志、磁盘违规使用日志、磁盘使用口令更改日志、磁盘文件操作日志、可信磁盘跨服务器使用功效启用和关闭日志、和跨服务器使用过程日志统计。 3.2终端接入管理[*] 对接入内网计算机进行统一管理，未经许可计算机不能接入内网，其关键功效以下： 3.2.1终端接入认证 经过登录用户用户名和口令检验接入用户正当性，阻止外来主机在没有得到管理员许可情况下非法接入内部网络。 3.2.2 终端安全检验 对接入内网计算机必需经过安全性检验才能访问内部网络资源，关键功效以下： 对经过接入认证计算机进行安全性检验，检验策略包含两个方面：防病毒软件检验、操作系统补丁检验和必备软件安装运行检验。假如没有达成安全检验基准，则系统只能访问内部修复服务器，不能访问内部网络资源。当系统实施自我修复操作后（如：安装操作系统补丁或安装防病毒软件），假如安全状态达成对应标准那么该计算机即可正常访问内部网络资源。 3.2.3内网安全扫描 内网安全扫描是终端安全管理系统一个组件，它关键功效是扫描局域网内部存活计算机信息，并对这些计算机进行正当性分析。经过子网配置和参数设置后，各个网段代理向本网段发送探测数据，并搜集数据提取存活主机信息，然后各网段代理分别将本网段数据信息发送至服务器。服务器在分析数据以后，经过控制台显示被探测到主机相关信息。这些信息包含主机IP地址、Mac地址、是否安装UEM用户端、正当性、一致性、是否例外主机等。该组件能够经过交换机阻断功效或ARP欺骗阻断功效来阻断不正当主机，并统计扫描产生日志信息。 3.3补丁管理和软件分发管理[*] 3.3.1 补丁分发管理 统一配置终端计算机补丁管理策略，实现对系统补丁情况扫描，自动完成补丁分发。系统所支持补丁包含：Windows操作系统补丁系列、office系列办公软件补丁、SQL Server系列补丁等微软产品补丁，具体功效以下： u 制订统一补丁管理策略，经过设置补丁起源确定补丁服务器WSUS地址和WSUS统计地址，根据补丁检测周期定时检测用户端补丁安装情况。 u 实现统一补丁更新管理，经过设置终端策略实现系统补丁更新，更新模式有两种：手动更新补丁和自动更新补丁。 o 手动更新补丁模式，经过策略设定对特定补丁检测，假如用户端没有安装这类补丁，则依据事先设定下载优先级从补丁服务器下载补丁并安装补丁。 o 自动更新补丁模式，经过设定自动更新方法，实现三种方法安装和下载：通知下载和通知安装、自动下载和通知安装、自动下载和自动安装三种方法，经过设定自动更新时间点和更新完成是否重启计算机等参数实现用户端补丁自动安装。 3.3.2软件分发管理 计划企业统一分发软件安装包，根据统一软件分发策略，自动完成企业软件布署，其关键功效以下： u 软件包管理，根据软件包信息和安装环境创建需要分发软件包，它包含软件位置、安装环境等相关信息。可支持MSI、可实施文件、批处理文件三种形式软件包。 u 软件包分发，选择分发软件包类型，依据统一设定分发策略可实现多个类型软件分发，具体类型以下： o 软件下载优先级，依据程序运行优先级能够设置为：前台、高、中、低四种优先级； o 软件下载类型，依据下载紧迫性要求能够分为：立即下载、时间点下载和分时段下载三种下载模式。而时间点下载有能够设置立即下载起始时间；分时段下载能够分为多个时段下载，每个时段需要设置起始和终止时间。 o 安装类型，能够分为静默安装和交互安装两种方法。 o 安装时间类型，能够分为立即安装、时间点安装和等候N分钟后安装。 同时系统对标准格式安装包在终端主机上安装结果（成功/失败）进行跟踪反馈，管理员能够依据反馈结果形成统计报表。 3.4 终端安全运维管理[*] 根据统一安全策略监控用户端运行情况，经过软件自动分发和软硬件资产统一管理大大节省了企业信息系统维护成本，经过系统远程帮助控制实现远程维护计算机，清除系统故障。系统具体功效以下： 3.4.1 系统运行情况监控 为管理员随时提供远程终端主机运行状态改变信息，自动对指定异常情况进行报警，依据管理员预定义策略立即阻断远程主机违规行为。具体功效项以下： u 监控信息管理，实时监测计算机资源使用情况，当发觉系统资源超出管理员设定监测阀值时，依据管理员预定义响应策略阻止用户行为或向服务器发送告警，具体所能监控信息以下： o 计算机名称监控，严禁计算机用户修改计算机名称行为。 o 系统资源监测，监测CPU、内存使用情况，当CPU、内存超出管理员设置监测阀值时，系统向服务器发送告警信息；监测硬盘使用情况，当硬盘空闲空间小于管理员设置阀值时，系统向服务器发送告警信息。 o 网络流量监测，监测计算机网络实时流量和总流量，当网络流量超出阀值时系统向服务器发送告警信息。 o 文件共享监测，监测共享文件夹添加、删除，当系统共享文件夹发生改变时，系统向服务器发送告警信息。 o 文件操作监测，监测用户创建文件、读写文件、重命名文件和删除文件操作行为，能够设置所监测文件名、文件后缀和文件路径。 o 用户和组操作监测，监测用户和组添加、删除和属性改变用户操作行为。 o 系统服务监测，监测系统服务开启和停止改变情况，并统计日志。 o 网络配置，监控系统网络配置改变情况，严禁用户修改IP地址。 o 系统日志，设置获取远程计算机系统日志上传周期。 u 查看系统信息，立即获取远程主机资源信息，包含：进程、网络、帐户和组、服务、共享、活动窗口、驱动、硬件、内存、会话信息、系统信息和系统日志。 3.4.2 软硬件资产管理 自动发觉和搜集计算机上软硬件资产信息，跟踪软硬件资产信息改变情况，对非授权软硬件资产变更产生报警。具体功效相以下： u 资产信息查看，自动搜集计算机用户软硬件资产信息。其中硬件信息包含处理器、硬盘、内存、BIOS、光驱、显卡、声卡、网卡、显示器、输入设备、接口控制器、调制解调器、系统端口和插槽累计14种类型硬件资产；软件资产包含系统软件、应用软件两种类型；还包含有操作系统信息和用户端信息。 u 软件管理策略，规范用户使用软件范围，经过设置安装程序黑白名单或基线方法确保用户开启进程正当性。获取计算机用户软件安装情况，并能对全网软件安装情况进行统计。 u 硬件管理策略，定义非法硬件名单，可定义非法硬件包含：调制解调器、无线网卡、打印机、采集卡、刻录机、软驱、移动存放器、键盘和鼠标。系统一旦识别出非法硬件后立即向服务器发送告警信息。 u 硬件基线设置，定义硬件设备运行基线，当发觉硬件设备和运行基线不一致时，系统立即向服务器发送告警信息。能定义为基线硬件设备有CPU、BIOS、硬盘、网卡、显卡、光驱、内存和声卡。 3.4.3 安全策略管理 根据企业终端计算机安全管理要求，统一配置终端计算机Windows安全策略，实现集中安全策略配置管理，统一提升终端计算机用户安全策略基线。系统所能配置安全策略以下： u 帐户密码策略监视，统一监视Windows密码策略启用情况和策略参数，对不符合安全策略状态进行报警。 u 帐户锁定策略监视，统一监视Windows帐户锁定策略启用情况和策略参数，对不符合安全策略状态进行报警。 u 审核策略监视，统一监视Windows审核策略启用情况和策略参数，对不符合安全策略状态进行报警。 u 共享策略监视，统一监视Windows共享（包含默认共享）情况，对不符合安全策略状态进行报警。 u 屏保策略监视，统一监视屏幕保护策略启用情况和策略参数，对不符合安全策略状态进行报警。 3.4.4 防病毒软件监测 经过策略设置防病毒软件特征，根据统一策略监测防病毒软件使用情况，并进行统计分析形成统一数据报表。具体功效以下： u 监视防病毒软件使用情况，经过防病毒软件特征监视防病毒软件安装情况、运行状态和病毒库版本，对不符合安全策略状态进行报警。 u 防病毒软件监测特征自定义，经过对未知防病毒软件特征自定义实现对未知防病毒软件监测，其特征包含杀毒程序名称、病毒库版本标识注册表项等。 3.4.5网络进程管理 经过对网络进程统一管理，规范计算机用户网络行为，实现“外面网路连接未经许可进不来，里面网络进程未经许可出不去”。具体功效描述以下： 管理向外提议连接网络进程，经过设置网络访问进程黑、白名单，实现对计算机用户访问网络控制； 管理接收外部连入网络进程，经过网络进程和当地监听端口绑定，规范计算机用户所提供网络服务程序，比如“SUFTP.EXE授权监听端口为21，假如将SUFTP.EXE监听端口改为1133，则进程不能对外提供服务”。 实时获取网络进程信息和会话连接状态，当管理员经过控制台获取网络进程信息时，用户端以快照方法上传目前网络信息和会话状态。 3.4.6文件安全删除 经过控制台设置临时文件管理策略，实现临时文件统一删除管理，系统所能删除文件包含有： u 清除IE缓存，根据策略定时删除IE所产生临时文件； u 清除IE地址栏，根据策略定时删除IE地址栏中临时信息； u 清除历史统计，根据策略定时删除历史统计文件； u 清除COOKIE，根据策略定时删除系统访问所产生COOKIE文件； u 清除系统临时目录，根据策略定时删除系统工作临时目录； u 清除最近打开文档，根据策略定时删除系统最近打开文件统计； u 清除运行中运行命令，根据策略定时删除系统运行中统计用户运行命令； u 清除回收站，根据策略定时清空回收站中被删除信息。 同时提供文件安全擦除功效，实现对存放在当地敏感文件进行安全擦除功效，经过数次数据回填方法实现敏感文件安全擦除，经过安全擦除处理后文件无法经过磁盘剩磁方法恢复数据。管理员能够配置擦写次数实现统一文件擦除管理。 3.4.7 进程管理 UEM系统能够自动搜集受控终端运行进程信息，并对搜集进程信息实施分类管理。经过可信计算策略控制，防范关键进程重命名行为；另外，UEM系统对操作系统文件进行完整性校验，并实现强制访问控制，确保操作系统关键系统文件安全，确保操作系统免被病毒或木马侵袭，实现操作系统可信。 u 可信计算管理，经过添加、删除、导入、导出和批量更改分类等操作，对“应用程序库”和“关键文件库”中搜集到进程信息和关键文件信息进行统一管理。 u 可信计算策略，经过下发“程序控制策略”，监控程序实施改变情况，阻止非法程序运行，并统计日志；经过下发“关键文件策略”，监控关键文件正常运行，预防被非法程序篡改。假如关键文件有改变，系统将会报警，并经过消息方法通知用户。 3.5远程管理[*] 经过终端用户和服务器相互授权机制建立终端和服务器之间信任通信体系，管理员经过服务器实现对终端用户提供帮助，具体功效以下： u 实时获取用户端主机信息，经过UEM控制台远程实时获取用户端主机相关信息：如：驱动信息、硬件信息、进程信息、内存信息、网络连接、活动窗口、服务信息、共享信息、系统信息、用户信息、组信息、会话信息、系统日志等。 u 远程关机、远程注销、远程重启，经过控制台对远程用户端主机下发远程关机、远程注销、远程重启等命令，实现远程对用户端主机基础管理控制。 u 服务器-用户端远程消息管理，经过控制台向用户端发送消息通告。支持用户端经过消息传输方法实现用户端和服务器一对一消息交流。 u 远程帮助支持,能经过控制台连接用户端主机远程帮助功效，实现管理员远程帮助用户端主机进行故障排除。 3.6 安全存放和传输管理[*] 3.6.1 我加密文件夹 我加密文件夹为终端用户提供了个人文件加密存放文件服务，拖进该文件夹文件自动生成以.wsd为后缀加密文件。当本人访问加密文件夹中加密文件时，系统会自动解密。 3.6.2 硬盘保护区 硬盘保护区是在当地硬盘上提供一个或多个安全存放当地敏感文件加密存放空间，用户可视为该文件保险箱为可信空间，并可经过加载或卸载操作以使该保险箱可见或不可见。全部放入保险箱文件全部是自动加密存放，正常加载以后展现给用户是明文，用户感觉不到加解密过程。 3.6.3 文件安全分发 文件安全分发实现了文件在指定范围内（个人、小组、公共用户和指定用户）自动加密或自动解密，在指定范围外用户不能共享这些加密文件。 3.7 安全文档管理[*] 基于透明加解密技术，在用户终端上实施对用户文件透明加密、透明解密，有效预防内部和外部窃取机密行为，从根本上处理泄密防范问题。运行在用户桌面电脑中程序，接收服务器安全策略，依据策略判定什么样文件需要加密，什么样文件不加密；用户实施打开、编辑、存盘等文件操作中，强制实施这些策略。全部这些过程是不改变用户行为习惯，文件操作者感觉不出以上这些过程，所以对用户来讲是“透明”。经过该模块对以下对象进行对应策略设置和日志审计： u 加密进程控制：设置是否对某进程产生文档实施强制加解密策略； u 扫描实施管理：启用扫描加密命令，对指定扩展名文件进行全盘扫描加密。管理员能够查看目前扫描加密实施状态，开启、暂停、继续或终止任一次扫描加密任务，并对扫描统计进行审计。 u 工作模式控制：是否许可用户对工作模式切换设置，在一般模式下不实施文档加密策略，在工作模式下强制实施加密策略。 u 安全文档自解密功效：在策略许可情况下，支持用户自解密加密文档，且统计申请和带出日志。 u 安全文档在线审批功效：依据审批规则设置，将需要带出安全文档，经过审批员网上审批，转化为自解密文件使用。整个申请、审批过程统计日志。 u 安全文档备份和恢复：支持安全文档统一备份策略设置，许可用户端用户自行设置备份策略，实现安全文档自动备份，预防文档意外破坏。 u 灾难恢复工具：预防系统出现意外或用户端卸载后，原来加密文档无法解密。 3.8安全文档隔离管理 [*] 隔离管理分为“个人隔离”和“部门隔离”。“个人隔离”是对用户下发个人隔离策略，该用户产生指定类型文件为隔离文件（个人隔离），这类文件用户自己能够自由访问，其它用户不能访问。“部门隔离”是将一个或多个部门添加到一个隔离范围中，这一隔离范围内用户产生指定类型文件为隔离文件（部门隔离文件），这类文件能够被范围内用户自由访问，范围之外用户严禁访问。 3.9电子文档权限管理[*] 主动授权管理是控制用户端是否许可经过右键菜单离线制作主动授权文件。主动授权文件是用户主动制作生成一个加密文件，这类文件本身带有部分制作者主动设置使用权限，用户访问该文件时受文件中设置使用权限控制。“主动授权文件”能够经过在线审批方法制作，而对于下发了离线制作主动授权文件策略用户，也能够经过离线方法自主制作“主动授权文件”。 3.10 文档密级标识和轨迹跟踪管理[*] 该功效利用透明加解密技术实现对电子文件加密保护，从电子文件本身数据安全，到文件处理环境，到文件传输路径，到文件运动轨迹追踪，实现层层保护，形成严密、立体电子文件防护体系。 u 设定电子文件密级 经过在线审批机制，用户能够申请设定指定电子文件密级，将密级设置为“一般”、“秘密”、“机密”、“绝密”，依据电子文件密级不一样，采取不一样文件保护方法和控制方法。 u 基于密级文件密级访问控制 制订电子文件密级访问控制策略，当用户密级低于文件密级时，用户对密级文件访问控制将被严禁，并能够设置对此非法访问产生报警。符合电子文件密级访问控制用户，能够自由访问对应已经定密电子文件。 u 基于密级文件使用范围访问控制 指定密级文件时能够指定密级文件使用范围。经过设置电子文件使用范围控制策略。能够控制不一样组织用户对文件访问。当用户在有权限访问密级文件组织内，用户能够自由访问密级文件。 当用户不在有对应权限组织内，用户将被严禁打开密级文件，而且会产生非法使用文件报警。 u 密级文件在线审批管理 设置在线审批规则后，对密级文件创建、修改、销毁、带出操作全部能够经过系统在线审批步骤完成。用户只需要经过此管理界面发出申请，密级文件和审批请求会自动发送到审批员所在机器。审批员经过管理界面，实施审批操作，简化对密级文件管理步骤。 u 密级文件轨迹追踪 系统能够全程跟踪密级文件使用轨迹，能够查询文件在不一样计算机间使用和流转情况。经过轨迹追踪，能够跟踪到密级文件起源于哪台计算机，也能够追踪到密级文件流转到其它哪些计算机上。 3.11文件打印审批管理[*] 假如用户端被严禁使用打印机，当用户必需打印文件时，就需要根据审批规则向审批员提交自己打印申请，待审批员同意后才能够打印。审批员能够查看打印文件，决定是否同意打印。用户端用户无法自行打印文件。 3.12 U盘拷贝审批管理[*] 假如用户端被严禁使用移动存放设备，当用户必需经过移动存放设备带入带出文件时，就需要根据审批规则向审批员提交自己复制申请，待审批员同意后才能够进行复制操作。复制操作包含带入和带出，带入是指将移动存放设备汉字件拷贝到用户端过程，带出是指将用户端汉字件拷贝到移动存放设备过程。 3.13 光盘刻录审批管理[*] 假如用户端被严禁使用光