背景
由於計算機以及網際網路技術的飛速發展,計算機已經在各行各業普及,成為人們生活和工作的必需工具,信息溝通變得非常容易,給我們帶來極大的便利。同時,由於信息交換太容易,也增加了很多風險和隱患,各種信息很容易通過各種途徑流出,泄密事件經常發生,許多單位和個人損失慘重,保護計算機信息的安全成為當務之急。
固盾計算機信息安全控制管理系統就是在背景下應運而生,它用簡單的辦法從根本上解決了信息的安全,做到嚴格防泄密的套用要求。固盾計算機信息安全控制管理系統,運用系統管理思想,綜合考慮了各種風險,對存在幾率較小的的意外情況也有考慮,提供足夠的能力對存在風險的因素做以控制,全面保護信息安全。並對操作和內容做以記錄,使行為具有不可抵賴性。
目前面臨的安全威脅:
各種套用系統都使用獨立的用戶名和密碼,員工職位變更給管理員帶來很大的工作量,並容易造成安全漏洞;
計算機的使用難以控制,經常發生不同部門計算機串用的情況,需要增強對計算機的授權使用;
口令認證方式容易被攻擊,尤其是領導管理人員,通常使用簡單的口令,容易被員工冒充身份;
區域網路內計算機和員工數量眾多,對終端控制能力不強,存在大量安全隱患,無法執行一些安全規定;
涉密信息或者數字智慧財產權保護困難,保密檔案容易被通過網路、移動存儲設備或者其它方式泄密;
外設使用尤其是移動存儲介質使用管理困難,容易造成病毒泛濫,並且容易造成涉密信息有意或者無意泄密;
應用程式尤其是盜版的軟體安裝泛濫,造成信息網路維護困難,也容易造成木馬和病毒感染,並且存在受到盜版軟體指控的隱患;
網路濫用情況嚴重,內部人員隨意下載娛樂視頻等造成單位有限的出口頻寬被嚴重占用,影響正常工作的開展;並且存在通過網路發布違法國家法律的言論以及泄密單位敏感信息的潛在威脅;
網路各種信息資源授權管理體系不完善,內部檔案資料或者其它資源缺乏細粒度的控制,容易造成內部人員越權訪問資源、檔案資料失控泄密和個人隱私受到侵犯等問題
基於固盾可信的獨立硬體安全技術,結合身份認證、授權管理和監控審計技術,構建整體一致的網際網路上網安全解決方案:
提供基於硬體IC卡、UKey、數字證書等的高強度多種認證方式,支持用戶註冊、掛起、授權和註銷等整個生命周期的集中管理;
提供基於Windows系統增強的認證,可以對計算機的使用許可權進行集中授權,只有被授權的用戶才能夠登錄指定的計算機;
可以對各種類型的計算機外設進行授權,根據不同用戶和不同的計算機設定不同的許可權;
提供詳細的審計記錄,包括用戶各種行為記錄、網路訪問記錄、套用使用記錄、檔案操作記錄等分析內容;
產品描述
固盾計算機實名上機管理系統致力於解決計算機套用的信息安全,主要用於單位網際網路上機行為的監控,系統由客戶端與管理伺服器以及發卡端程式組成,用戶在客戶端採用智慧卡登錄認證,每台計算機可以專人專機,也可以多人一機或多人多機,每個客戶都使用自己的賬戶自動登錄,實現實名化登入管理。
用戶個人信息個性化,擁有個性化的專用私人信息:我的文檔,桌面信息,IE收藏夾檔案等。
系統會記錄上機者的登錄日誌,對上機者的各種行為,如何時打開檔案,何時運行了應用程式,可是上了哪個網站,瀏覽了哪些內容,這些行都為將嚴格的記錄下來,還可以控制上機者的行為,如禁止使用u盤等,當出現問題後,可以很容易追溯到某個上機者,對涉密單位的信息安全起到良好的保護作用。
產品組成
系統結構圖:
客戶端部分包括如下模組:
各個模組說明:
1、 身份認證模組:採用IC卡技術,採用硬體登錄認證,安全簡潔可靠,管理方便
2、 私有資料夾管理:自動創建用戶的私有資料夾,建立桌面捷徑
3、 登錄控制模組:確定哪些計算機允許哪些用戶登錄
4、 行為日誌模組:記錄用戶的登錄日誌、網際網路訪問日誌、檔案操作日誌
伺服器部分包含如下模組:
1、 用戶管理:登記管理用戶,登記IC卡
2、 計算機管理:登記管理計算機
3、 部門管理:對本單位各個部門進行管理
4、 計算機監視:對上機的用戶進行監視,可以截取螢幕、傳送通知、甚至關閉計算機
5、 登錄控制策略:各種安全策略管理
6、 日誌管理:用戶行為日誌以及管理員操作日誌
功能介紹
一、登入安全控制
1、 實名制上機管理
單位用戶使用受控微機,採用實名制登記管理,個人數字信息登錄IC卡(Ukey)管理。做到1人1卡,持卡上機,實名登入受控計算機。
對所有計算機(IP/MAC/計算機名)建立單位、部門、使用人等信息的人機對應表,能夠把用戶信息(單位、部門、使用人)和計算機信息(IP、MAC、機器名)進行人機對應,實現“人機綁定”的戶籍式管理,以單位、部門、使用人等信息標示形式記錄各種計算機違規事件,提高管理效率。
2、 軟硬體安全控制登入
硬體IC 卡控制器控制計算機安全登入,單位用戶上機必須插卡驗證身份密碼登錄受控計算機。控制、驗證由硬體實現,安全高效。
3、 硬體控制,靈活的離線控制策略
所有的登入控制安全集成的IC卡控制器與IC卡中,可實現緊急狀態下的離線安全控制(伺服器損壞等可能的原因)
二、用戶個性化設定
共用計算機用戶,可實現各自私人不同的個性化信息與空間管理。
個性化設定
1、 我的文檔:完全私有的個人資料夾,完全獨立的個性化圖片、音樂、文檔存儲空間
2、 我的桌面:完全私有的個人個性化桌面設計,個性的桌面背景、個性的捷徑
3、 我的收藏夾:完全私有的個人收藏夾個性化的收藏內容。
4、 我最近的文檔:完全私有的個人歷史文檔信息記錄。
三、安全控制策略
單位受控計算機,可按部門與IC信息相互綁定,進行控制策略管理。所有控制策略直接在IC卡控制器與IC卡上直接綁定。
1、 部門微機:可設定微機使用部門,並設定可使用本部門微機的IC卡範圍。
2、 專人專機:可設定歸屬專人使用的專用微機。
3、 限時上機:可對不同IC卡實現在規定的時間內上機管理
4、 操作許可權:可設定不同的微機、不同的IC卡,實現不同的對計算機的操作許可權。
四、上機行為記錄
系統自動記錄所有受控機的上機人的行為內容
1、 實時記錄網內所有人的上下機時間與所上微機。
2、 實時記錄所有上機用戶瀏覽過的網頁。
3、 實時記錄所有上機用戶的檔案級操作。
4、 系統提供實時的上機使用者的螢幕快照。
五、網路監控管理
可通過網路實現對客戶端的監控管理
1、 可想所有的或部分用戶發布通知信息
2、 可遠程實現對客戶端強制關機或註銷
3、 可遠程實現對客戶端的實時螢幕監視
4、 可遠程實現對客戶端的升級
1、 硬體登錄認證:安全可靠。
2、 採用智慧型IC卡,安全可靠。
3、 系統永遠不會全部癱瘓:客戶端可以脫機認證。
4、 部署簡單:只需一台管理伺服器,且操作簡單,不需要安裝域控制器,更不需要域控制器的各種繁瑣管理,無需投入很專業的技術人員進行維護管理。
1、 登錄時間:與伺服器連線時間<1S
2、 網際網路訪問延遲時間:<10ms,幾乎不受影響
3、 檔案訪問延遲時間:<10ms,幾乎不受影響
4、 日誌上傳時間<500ms
5、 拔卡註銷回響時間<500ms
6、 伺服器支持客戶端數量:>500台
7、 客戶端控制器通訊波特率:57600BPS
