国迈科技USB移动存储介质使用管理系统V1.0(有非法外联告警)

1、1 / 42 文档可自由编辑打印2 / 42 文档可自由编辑打印版权声明本手册所提及的其它软硬件产品的商标与名称，所有权皆属于本公司所有。未得到广州市国迈科技有限公司的正式许可，任何个人或组织均不得以任何手段与形式对本手册内容进行复制和传播。一旦安装、复制或以其它方式使用本软件产品，即表示同意接受协议各项条件的内容约束。 如果您不同意协议的条件，则不能获得使用本软件产品的使用权。软件产品保护条款1.移动存储介质使用管理系统 V1.0 由广州市国迈科技有限公司开发，本软件产品受中华人民共和国版权法及国际版权条约、其它知识产权法及相关法规的保护。2.用户获得的本软件产品的使用权后， 不得删除本软件

2、及其它副本上一切关于版权的信息， 对于本软件进行反向工程， 如反汇编、反编译等。3.如果您未遵守本协议的任何条款，本公司有权立即终止本协议，并保留通过法律手段追究其责任。4.使用本软件产品由用户自己承担风险。在法律允许范围内，本公司在任何情况下不就因能否使用本软件产品所发生的损承担赔偿责任。即使已事先被告知该损害发生的可能性。5.使用本软件产品涉及到数据信息安全服务，可能会受到各个环节不稳定因素的影响。用户保管不当、系统不稳定、 用户所处位置、用户错误操作以及其它不可抗拒的原因而造成的信息丢失或不能满足用户要求的风险， 应由用户须承担， 本公司不作担保。对于导致用户信息丢失及泄露，本公司不承担

3、任何责任。用户须知特别提醒用户，使用计算机软件必须遵守国家有关的政策和法律，保护国家安全，保护国家利益，对因违法而引起的一切责任，由用户负全部责任。1.用户不得使用本软件来从事任何违反国家法律法规的活动，如有发现，本公司将会应公安部门要求，全力协助调查工作。2.用户应加强个人资料的保护意识，以免对企业机密、个人信息造成不必要的损失。使用本软件要注意保管好个人账号密码、USBKEY 等重要资料。3.从产品交付日起 2 个月内，在正常使用情况下，本公司保证该产品所包含的软件和 USBKEY 无质量问题。在此期间内如有上述质量问题， 本公司将负责更换， 但因事故、滥用或错误使用导致的损坏不在此列。公

4、司拥有随时修改或改变服务方式而不需通知用户的权利，用户必须在同意该条款的前提下，本公司才对用户提供服务器。广州市国迈科技有限公司拥有对以上各项条款的最终解释权。广州市国迈科技有限公司 2008 年 9 月3 / 42 文档可自由编辑打印目 录第一章产品概述-51.1系统构架-51.2核心功能-5第二章产品安装-62.1硬/软件需求 -62.2服务器安装 -72.3非法外联告警中心安装-82.4客户端安装 -8第三章操作指南-93.1主界面介绍 -93.2登录管理中心 -93.3退出管理中心 -103.4管理员配置 -103.4.1新建管理员 -103.4.2删除管理员 -113.4.3更改管理

5、员属性 -113.4.4启用/禁用管理员 -113.4.5管理员注销 -123.4.6管理员退出 -123.5安全管理员操作-123.5.1服务器配置 -123.5.2授权信息查看-143.5.3管理员配置 -153.5.4客户端升级配置 -153.5.5日志配置 -153.6终端授权分组管理 -163.7终端等级管理 -173.8基本策略配置管理 -173.9端口设备管理 -183.10 移动存储设备管理 -193.10.1 普通移动存储设备管理 -193.10.2 安全 U 盘设备管理 -223.10.3 U 盘日志管理 -243.11 网络访问控制 -243.12 共享访问控制 -253

6、.13 主机扫描-253.14 非法外联告警 -263.15 终端控制-283.15.1 IP&MAC 绑定 -284 / 42 文档可自由编辑打印3.15.2 客户端自动升级 -283.15.3 终端信息查看-283.15.4 规则时间限定-293.16 补丁分发管理 -293.17 软硬件资产管理-293.18 日志审计管理 -293.19 资源模板管理 -303.20 安全审计员操作-31第四章服务器备份/升级-314.1服务器备份/导入-314.2服务器升级 -32第五章常见问题解答 -335.1接入服务器/数据库 -335.2客户端 -345.3管理台 -345.4策略控制-

7、355.5其他 -36第六章附录 -376.1接入服务器安装-376.2客户端域分发安装 -376.3TOOLS工具包介绍 -376.3.1Manager 绿色管理台 -376.3.2MSIModify MSI 包制作工具 -386.3.3BackupMe 数据库备份 -396.3.4SecUDisk Tools 安全 U 盘配置工具-396.3.5ForceRemoveMe 强制卸载-416.3.6无 Key 卸载客户端 -416.3.7健康诊断工具-42第一章第一章 产品产品概述概述1.1 系统构架系统构架GM-SMP-U 移动存储介质使用管理系统，荣获国家保密局和公安部、军工的权威认证，

8、并广泛为军工企业、5 / 42 文档可自由编辑打印政府机构、科研机构、企事业单位提供军工安全级别的内网安全整体解决方案，做到事前主动防范，事中监控，事后审计。系统构架系统构架如下：1.2 核心功能核心功能网络访问控制设置计算机运行或拒绝访问的 IP 地址段或通讯端口段移动设备使用控制1. 对需使用的普通移动设备进行安全级别的注册认证2. 未注册的移动设备未经授权无法在内部使用3. 对需使用的安全移动 U 盘进行注册认证端口设备管理对常用的通讯设备、端口进行控制管理共享权限管理对网络共享文件夹及本地打印机共享进行管理控制安安全全控控制制管管理理在线/离线策略计算机在线或断开网络后，所设置的使用权

9、限一样受控主机扫描对指定范围的所有终端进行授权扫描非法外联告警对非法接入外网的终端进行告警网络流量管理可对客户端的网络流量带宽进行有效限制软硬件资产管理采集局域网内所有计算机软硬件资产报表及移动情况IP&Mac 地址管理有效绑定 IP 和 Mac 地址，并控制防篡改网网络络运运维维管管补丁分发管理客户端软件补丁、系统补丁可采用分发形式进行安装/升级6 / 42 文档可自由编辑打印灵活分级管理超级管理员可设置分级管理员，并确定其管理权限理理终端进程查看可随时查看终端计算机的所有进程以及服务文件操作日志记录计算机文件修改、删除、复制、移动、保存等操作行为非法外联告警记录计算机何时、以何 I

10、P 非法外联，并记录该计算机所属部门、使用者移动设备使用日志记录移动设备在每台电脑上的文件操作情况打印文件日志监控记录终端用户打印文件的日志资产异动日志记录终端计算机的软硬件资产移动日志身份识别系统设置保密级别和所属负责人，方便管理以及事后审计安安全全审审计计管管理理其它应用日志用户登录日志、接入服务器、服务等日志客户端自我保护客户端软件自我加密隐藏和自我完整性分析，防跟踪，防破解，防修改数据库与管理台分离，后天隐藏，增强数据库的安全性数据库安全保护提供系统数据的冗余备份及恢复，支持全量和增量备份通信保护通信过程采用高强度加密机压缩算法安安全全自自保保护护服务器安全保护服务器支持负载均衡，支持

11、在线扩容和停机检修第二章第二章 产品安装产品安装2.1 硬硬/ /软件需求软件需求服务器配置需求服务器配置需求服务器服务器需求配置需求配置建议配置建议配置操作系统简英繁体 Windows XP/2003简英繁体 Windows XP/2003处理器4 核 2.8GHz4 核 2.8GHz内存4GB4GB硬盘剩余 80 G 以上空间剩余 160 G 以上空间告警中心服务器配置需求告警中心服务器配置需求服务器服务器需求配置需求配置建议配置建议配置操作系统简英繁体 Windows XP/2003简英繁体 Windows XP/2003处理器双核 2.8GHz双核 2.8GHz内存2GB2GB硬盘剩余

12、 80 G 以上空间剩余 160 G 以上空间管理台配置需求管理台配置需求管理中心管理中心需求配置需求配置建议配置建议配置7 / 42 文档可自由编辑打印操作系统简英繁体 Windows 2000/XP/2003简英繁体 Windows 2000/XP/2003处理器P4 2.8 GHzP4 2.8 GHz内存1GB1GB硬盘剩余 10 G 以上空间剩余 20G 以上空间客户端配置需求客户端配置需求客户端客户端需求配置需求配置建议配置建议配置操作系统简英繁体 Windows 2000/XP/2003简英繁体 Windows 2000/XP/2003处理器P4 1.7 GHzP4 2.4 GHz

13、内存512MB1 G硬盘剩余 10 G 以上空间剩余 20G 以上空间2.2 服务器安装服务器安装服务器安装文件服务器安装文件: SMPU_Service_Setup.exe。服务器的安装。主要有 6 个步骤。具体如下：1、进入安装向导进入安装向导。2、输入客户信息输入客户信息。主要包括用户名、公司名称。3、服务器安装类型的选择服务器安装类型的选择。主要有 2 种，完全安装和定制安装。完全安装完全安装：安装所有的程序。定制安装定制安装：自定义安装。适用于高级用户。4、开始进入安装开始进入安装建议将其安装到其他盘符，系统数据安全的同时，硬盘空间也比较充裕。5、程序自动安装程序自动安装6、安装完成

14、安装完成安装结束后，会在桌面创建一个管理中心的快捷方式。开始菜单里也会有相应的程序目录。自定义安装详细说明：1、管理中心安装管理中心安装服务器管理台，可在数据库服务器以外的计算机上安装。2、用户接入服务器安装用户接入服务器安装服务器与客户端中间机介质。负责客户机与服务器、服务器与服务器间的连接和通信。必须安装。3、数据库服务器安装数据库服务器安装用于存储数据的服务器。必须安装。4、维护工具安装维护工具安装数据库备份工具(BackupMe)、Msi 打包工具(MSIModify)。2.3 非法外联告警中心安装非法外联告警中心安装注意注意：非法外联告警中心不能与 SMPNS 服务器安装在同一台机器

15、上。8 / 42 文档可自由编辑打印告警中心安装包告警中心安装包：安装包目录下的 ToolsServerAC 文件夹。整个安装，有 6 个步骤。具体如下：1、数据库的安装数据库的安装。进入 ServerAC 文件夹下的 AlarmDB 目录，运行 MYSQLHelper.exe。首先首先，根据实际情况，进行一个内存配置；其次其次，直接安装服务。2、UI 服务器安装服务器安装。进入 ServerAC 文件夹下的 AlarmUI 目录，运行 XKKNSSvrHelper.exe，执行安装服务安装服务操作。3、安装安装 phpConfig.exe 程序程序。运行 ServerAC 文件夹下的 php

16、Config.exe。注意事项如下：安装时需要选择 PHP 程序存放目录(默认为D:WWW)安装完后，需将 ServerAC 文件夹下的文件夹里的所有文件全部拷贝至该存放至php 程序的存放目录。默认为 D:WWW 下。选择安装组件时，不选择安装 MySQL5。4、确认安装是否成功确认安装是否成功。打开浏览器，访问告警中心服务器，即本机。(如: )。出现登陆界面，说明安装成功。默认用户名：admin，默认密码：123456。2.4 客户端安装客户端安装客户端安装包客户端安装包:自解压安装包(SMPU_ClientZ_Setup.exe)、域分发安装包(SMPU_ClientM_Setup.ms

17、i)。这里的安装介绍以自解压包安装为例，MSI 安装过程类似。附录有涉及到域分发的详细过程说明。客户端安装步骤说明：1、进入安装向导进入安装向导。运行 SMPU_ClientZ_Setup.exe。2、输入接入服务器信息输入接入服务器信息。 此处填写的是接入的 UI 服务器的 IP 地址、通信端口号(默认为 59977)。3、输入客户端注册信息输入客户端注册信息。此处填写计算机名、备注信息。4、程序自动安装程序自动安装。5、安装结束安装结束。需要重启机器。安装结束，机器重启后，可在控制面板处看到客户端的维护工具。9 / 42 文档可自由编辑打印第三章第三章 操作指南操作指南3.1 主界面介绍主

18、界面介绍此界面是安全操员的管理界面，管理所有终端的配置项。所有操作员的工作面板均类似。3.2 登录管理中心登录管理中心GM-SMP-U 移动存储介质使用管理系统安装完后，系统会自动在用户的桌面创建一个快捷方式，用户双击运行，即可进入管理台登录界面。首次使用，请使用默认的安全管理员安全管理员密码登录(用户名用户名:admin ；密码密码: admin)。登录后，界面如下。10 / 42 文档可自由编辑打印3.3退出管理中心退出管理中心退出管理中心，有 2 种正确方式。直接关闭窗口单击主界面右上角的关闭关闭按钮。从“文件”菜单中关闭单击“文件”菜单，选择“退出” 。3.4管理员配置管理员配置3.4

19、.1 新建管理员新建管理员以安全管理员身份登录管理中心后，进入“管理员列表”功能项。然后在对应的右边主窗体的空白处右键单击，选择“新建”菜单。弹出的界面如下图所示。管理员类型有三类：安全管理员安全管理员负责系统资源、管理员、授权信息的配置维护。安全操作员安全操作员负责接入终端策略配置、授权及部分日志审计的查看。安全审计员安全审计员负责所有审计信息的查看，包括管理员操作日志。11 / 42 文档可自由编辑打印3.4.2 删除管理员删除管理员进入管理员列表后，在对应的右边主窗体的管理员列表中，选中需要删除的管理员，右键单击，选择“移除”即可。3.4.3 更改管理员属性更改管理员属性更改属性的方式有

20、 2 种。双击双击双击目标管理员，进入属性编辑窗口。用户直接更改配置项确认即可。右键快捷菜单右键快捷菜单选中目标管理员，右键单击选择“属性” ，进入属性编辑窗口，操作同上。更改属性属性项主要有：用户状态用户状态有效/无效用户信息用户信息名称、密码、所属类型用户权限用户权限具体操作权限。3.4.4 启用启用/禁用管理员禁用管理员若用户需求某个管理员当前无效或者说暂时取消他的管理员权限，可以使用该功能实现。进入目标管理员的属性，更改配置项“启用” 。选中选中，代表该管理员有效。不选中不选中，代表该管理员无效，即当前该管理员所有操作权限暂时被取消，直到下次被启用。启用启用: 选中代表该管理员有效。否

21、则禁用。名称名称：填写新建管理员的名称。密码密码：必须使用 3 种或 3 种以上的字符组成，且长度须在 8 个位以上。类型类型: 决定了新建管理员的类型及相应的权限。计算机群组计算机群组：显示当前系统已有的计算机群组。用于配置管理员的管辖范围。其它其它: 此处对应显示各类型管理员的管理权限、操作权限。12 / 42 文档可自由编辑打印3.4.5 管理员注销管理员注销如果用户在不关闭管理台的基础上，直接切换管理员登录，可以使用该功能实现。进入“文件”菜单，选择“注销” 。此时，当前登录管理台的用户自动退出，但管理台不关闭。若用户想使用其它用户登录，直接进入“文件”菜单的“登录” 。3.4.6 管

22、理员退出管理员退出管理员退出有 3 种方式：注销注销使用“文件”菜单里的“注销”功能。关闭管理台关闭管理台使用主界面的右上角“关闭”按钮。退出菜单退出菜单使用“文件”菜单里的“退出”功能。3.5安全管理员操作安全管理员操作3.5.1 服务器配置服务器配置接入服务器配置接入服务器配置移除接入服务器移除接入服务器只允许对处于非活动状态的接入服务器进行移除操作，避免造成数据丢失。合法移除接入服务器操作步骤：1. 控制面板卸载程序控制面板卸载程序在目标接入服务器终端上，进入控制面板，删除“国迈科技 USB 移动存储介质使用管理系统V1.0” 。卸载后，可以在管理台中看到该接入服务器处于离线状态。2.

23、管理台移除接入服务器管理台移除接入服务器以安全管理员身份登录管理中心，进入系统系统 - 接入服务器接入服务器。选中目标接入服务器，右键单击选择“移除” ，执行移除操作。接入服务器属性配置接入服务器属性配置接入服务器支持配置的属性项目有：接入服务器名称、备注信息。更改配置方式有 2 种：1. 双击双击双击目标接入服务器，弹出属性编辑窗口。2. 快捷菜单快捷菜单选中目标接入服务器，右键单击属性属性，弹出属性编辑窗口。服务器信息查看服务器信息查看1. 接入服务器信息接入服务器信息支持查看当前所有在线/离线的接入服务器信息列表。2. 当前接入终端数当前接入终端数支持查看该接入服务器当前接入的终端数目。

24、终端数包含：管理台登录数、13 / 42 文档可自由编辑打印实际在线授权/未授权的客户端。3. 接入服务器状态接入服务器状态支持查看接入服务器在线/离线，上线时长、在线时长总计。4. 通信端口号通信端口号支持查看接入服务器与数据服务器通信的端口号。默认为 59977。5. 接入服务器负载接入服务器负载支持查看当前接入服务器的最大负载数(即可负载接入的最大终端数)。服务器信息导出服务器信息导出支持导出当前所显示的所有接入服务器信息。1. 导出方式导出方式右键单击，选择报表或复制。报表：所有数据均导出。复制：只将当前选中的接入服务器信息全部复制，然后供用户粘贴。2. 导出格式导出格式支持 txt、

25、htm、xls。数据库服务器配置数据库服务器配置维护维护/优化优化使用数据库自带的数据库维护工具对数据库进行智能优化，整个过程无须过多复杂用户交互，只需执行即可。服务器信息导出服务器信息导出支持导出当前所显示的所有数据库服务器信息。1. 导出方式导出方式右键单击，选择报表或复制。报表：所有数据均导出。复制：只将当前选中的接入服务器信息全部复制，然后供用户粘贴。2. 导出格式导出格式支持 txt、htm、xls。其它系统资源配置其它系统资源配置GM-SMP-U 系统中，还有其它周边应用的服务器如：软件分发服务器、非法外联告警中心服务器等，这些服务器的一个配置也是由安全管理员去进行配置。当前，安全

26、管理员对系统资源配置的清单如下：序号序号配置项配置项说明说明1软件分发服务器配置配置服务器的地址、分发间隔时间。14 / 42 文档可自由编辑打印2客户端规则策略更新时间设定客户端策略自动更新时间。如：每 30 秒更新所有的规则文件信息。3移动存储设备注册模式为了能有效标识注册的移动存储设备，GM-SMP-U 系统提供2 种注册模式：硬序列号注册、软序列号注册。只启用硬只启用硬 ID 模式模式：只允许有硬件 ID 的设备进行注册。只启用软只启用软 ID 模式模式：所有设备均可以注册，系统自动分配一串序列号用于标识。2 种模式均不启用种模式均不启用: 以设备特性为准，有硬件序列号，则以硬序列号注

27、册；反之以软序列号模式注册。同时启用同时启用 2 种模式种模式:只允许有硬件序列好的设备注册，但注册模式是软件序列号。4非法外联告警中心配置配置服务器地址3.5.2 授权信息查看授权信息查看GM-SMP-U 移动存储介质使用管理系统默认只允许免费接入 3 台客户端，若超过，则需要在接入服务器上接入授权 UsbKey，系统才可以正常工作。查看步骤：1. 在任意接入服务器主机上，插入授权 UsbKey；2. 以安全管理员身份登录管理中心。进入系统系统 - 授权信息；授权信息；3. 单击工具栏的“刷新”按钮。(或在右窗体的空白处右键单击，选择“刷新”)授权信息的查看主要包括：序号序号属性项属性项说明

28、说明1授权用户 ID 号客户 ID，用于 Key 的唯一标识。2授权用户名称当前 USBKey 授权的用户名称。3用户信息类似备注，一些关于用户的属性信息。4授权客户端总数授权 GM-SMP-U 系统客户端安装总数。15 / 42 文档可自由编辑打印5授权客户端使用当前已经授权的客户端总数6授权客户剩余剩余授权客户端数7授权认证 Key 绑定次数剩余GM-SMP-U 系统接入服务器绑定次数。如：此处值为 2，说明只允许在 2 台终端上安装 GM-SMP-U 接入服务器。8授权认证 Key 过期时间显示当前插入的授权 USBKey 有效的使用截至日期。9授权认证 Key 过期状态显示当前插入的授

29、权 USBKey 是否过期。3.5.3 管理员配置管理员配置详细内容见 3.4 章节内容介绍。3.5.4 客户端升级配置客户端升级配置GM-SMP-U 移动存储介质使用管理系统提供客户端自动升级功能。安全管理员只需要将客户端升级包上传至服务器，合法授权终端客户端程序会自主向服务器接收升级信息，然后自动升级。上传步骤：1. 进入客户端维护客户端维护；2. 在对应的又窗体空白处右键单击，选择“上传” ；3. 找到客户端的升级包路径，并选中升级包文件；4. 确定即可。上传升级包注意事项：1. 不支持同一个版本重复上传。如：上传了一个 2.7.53 的客户端升级包后，不允许再上传 2.7.53 升级包

30、。2. 升级包文件只支持 cab 后缀的。3. 只支持合法的 GM-SMP-U 移动存储介质使用管理系统的升级包。客户端自动升级条件：1. 该终端是合法授权的 GM-SMP-U 移动存储介质使用管理系统的客户单。2. 允许客户端自动升级。(安全操作员可以控制终端是否允许自动升级。)3.5.5 日志配置日志配置GM-SMP-U 系统为安全管理员提供以下日志配置项：支持删除系统中 1 个月前、3 个月前、6 个月前的日志。进入日志状态报表模块，在对应的右窗体空白处右键单击，即可执行删除操作。支持查看接入服务器日志、内网所有日志的状态。日志清单如下：16 / 42 文档可自由编辑打印序号序号所属报表

31、所属报表说明说明1接入服务器报表主要描述当前的所有接入服务器的各相关参数信息。2日志状态报表描述当前 GM-SMP-U 系统的所有应用日志容量。描述 GM-SMP-U 系统 1 个月前、3 个月前、6 个月前的日志容量。3.6终端授权分组管理终端授权分组管理GM-SMP-U 移动存储介质使用管理系统对客户端的划分，主要分为：已授权终端，未授权终端。 已授权终端已授权终端所有的策略保护只对这些终端有效。 待授权终端待授权终端仅仅只是安装了客户端程序，但未授权，不受 GM-SMP-U 系统的监控。终端的架构划分，分计算机群组计算机群组、计算机组计算机组、计算机计算机。用户可以根据实际情况，创建/删

32、除多个计算机群组、计算机组，还可配置相应的属性。操作说明如下：创建计算机群组：创建计算机群组：单击计算机群组计算机群组，在右边的主操作界面空白处，右键单击，弹出的快捷菜单如左图所示。选中新建后即可创建计算机群组。属性编辑属性编辑：选中目标群组右键单击，选择“属性”即可。群组移除群组移除：选中目标群组右键单击，选择“移除”。群组规则配置群组规则配置：选中目标群组右键单击，选择“设置群组规则” 。17 / 42 文档可自由编辑打印3.7终端等级管理终端等级管理GM-SMP-U 系统对授权终端的标识主要有一下项：基本信息基本信息主要包括终端名称、批注信息、所属分组/群组。权限信息权限信息主要包括:

33、涉密等级、所属部门、所属负责人。涉密等级项有：绝密、机密、秘密、内部、普通。权限依次降低。说明：权限信息的标识，需要进入资源模板资源模板模块中创建。详细操作见 3.18 章节描述。3.8基本策略配置管理基本策略配置管理GM-SMP-U 系统支持对某个终端、计算机组、计算群群组统一进行规则策略配置。若要对任何对象进行规则策略配置，或者说需要进行相关操作的日志审计，首先需要启用这些策略的监控。且，启用监控后，启用监控后，若不配置任何具体的策略规则，则默认是禁用。如：启用网络数据访问监控，则客户端无法访问任何终端。若不配置任何具体的策略规则，则默认是禁用。如：启用网络数据访问监控，则客户端无法访问任

34、何终端。操作说明如下：创建计算机组：创建计算机组：单击计算机组计算机组(Team01)，在右边的主操作界面空白处，右键单击，弹出的快捷菜单如左图所示。选中新建后即可创建计算机组。计算机组的规则设置规则设置、属性配置属性配置、移除移除操作方式和计算机群组一致。18 / 42 文档可自由编辑打印3.9端口设备管理端口设备管理3.10 移动存储设备管理移动存储设备管理移动存储设备的管理，主要分三部分。分别是：普通 U 盘管理、安全 U 盘管理、U 盘日志管理。计算机组操作：计算机组操作：选中任意计算机组(如：GroupA)如左图所示：每个选项前都有一个复选框。选中，代表启用监控、审计、控制。不选中，

35、代表不做监控、审计、控制。单击即可选中。单击即可选中。默认的授权终端，所有的监控设备都是处于禁用状态。启用设备启用设备：只需单击对应复现框选中即可。凡是处于选中状态的设备，可用，反之不可用。全部选中全部选中/全部禁用全部禁用：空白处右键单击，选中“全部选中”或“全部撤选中”即可。19 / 42 文档可自由编辑打印3.10.1 普通移动存储设备管理普通移动存储设备管理GM-SMP-U 系统主要对日常使用的移动存储设备(主要包括：U 盘、USB 移动硬盘、1394 移动存储设备、CF/MS/SD/MD/MMC/RS/XD 等各类存储卡、PCMCIA 存储卡)进行监控管理。管理对象有 2 个，一个是

36、未注册 U 盘，一个是注册 U 盘。未注册的移动存储设备管理，只需要启用监控，配置策略即可。注册的移动存储设备管理，对于未注册设备，还需要进行一个注册环节。移动存储设备授权管理授权管理分以下 4 个环节：启用监控启用监控为防止终端非法使用移动存储设备，首先对终端启用移动 U 盘使用的监控，做到提前防范。同时，只有启用了 U 盘监控，GM-SMP-U 才提供对应的 U 盘日志审计。操作方式操作方式：进入计算机群组规则策略配置配置界面，启用移动移动 U 盘使用盘使用(见见 3.8 操作说明操作说明)。此后，该组的所有计算机终端都无法使用任何移动存储设备。注册设备注册设备普通 U 盘的注册有 3 个

37、级别：低级、中级、高级。注册过程分 5 步：第一步第一步： 插入需注册的移动存储设备插入需注册的移动存储设备。以安全操作员身份登录管理中心 普通 U 盘 注册向导 空白处刷新界面。选中任意一条记录，右键单击，效果如下图所示。第二步第二步： 进入注册向导进入注册向导。在第一步基础之上，选择“注册” ，自动进入注册向导界面。第三步第三步： 填写注册信息填写注册信息。确定注册设备名称(必填项必填项)及设备所属部门、所属负责人、涉密等级。第四步第四步： 注册级别选择注册级别选择。 低级低级：注册成低级后，内网、外网均可用。 中级中级：注册成中级后，外网使用需要通过密码认证。20 / 42 文档可自由编

38、辑打印 高级高级：注册成高级后，只允许在内网使用。第五步第五步： 开始注册开始注册。整个注册过程全自动化。第六步第六步： 注册完成注册完成。直接确定注册信息后，结束当前的注册。最后显示如下：授权设备授权设备完成上述几个环节后，现在可以对这些注册的设备进行指派分配，最后，终端即可使用这些注册设备。授权设备分 2 个步骤：第一步第一步：添加授权设备添加授权设备。这里的授权设备，支持已注册和未注册设备。操作如下：第二步第二步：策略设置策略设置。设备分配后，可以进行 U 盘的文件读写权限控制、病毒感染保护。所有设置处理完后，指定设备即可在授权的终端上进行使用。进入群组规则设置群组规则设置界面 普通普通

39、 U 盘盘页面 添加添加按钮 进入移动 U 盘设备列表。该列表显示当前所有已注册设备。允许终端使用未注册设备允许终端使用未注册设备：添加 All of UnRegeister ，确定即可。允许注册设备可用允许注册设备可用：直接选中目标设备即可。添加设备后，在普通普通 U 盘盘页面中，会出现对应的记录。如左图所示。双击任意一条策略或，即可进入策略设置界面。读保护读保护：启用后，指定终端无法对 U盘里的内容进行读操作。写保护写保护：启用后，指定终端无法对 U盘里的内容进行写操作。病毒保护病毒保护：启用后，不允许在 U 盘上对指定后缀文件名文件进行任何操作(包括执行)。病毒也无法运行。21 / 42

40、 文档可自由编辑打印维护注册信息维护注册信息GM-SMP-U 的移动存储设备管理，处理移动存储设备进行分配授权使用，还可以对这些注册设备进行维护管理。进入普通 U 盘的已注册列表已注册列表，如下图所示：主要功能介绍如下：1. 移除注册记录移除注册记录通过此功能，即使注册的 U 盘也无法在内网的指定终端机器上使用。2. 查看注册属性查看注册属性通过此功能，可以配置 U 盘可用/不可用，同时看到它对应的所属信息。3. 查找注册对象查找注册对象通过此功能，可以方便用户快速找到目标信息。4. 注册信息提取注册信息提取若无意删除注册信息，导致设备无法使用，可使用“注册信息提取功能”再次获取注册信息，即可

41、正常使用。(注册向导中提供此功能，见下选中任意注册记录，右键单击，效果如左图所示。22 / 42 文档可自由编辑打印图)5. 快速授权快速授权 U 盘盘3.10.2 安全安全 U 盘设备管理盘设备管理安全 U 盘管理过程和普通 U 盘管理类似，只是注册环节上有些不同。安全 U 盘的注册，无任何注册级别之分，只是进行一个信息的注册认证。安全 U 盘的注册、授权分组方式和普通 U 盘操作方式一致。注册后直接分配注册后直接分配：注册结束后，可直接选中对应的注册记录，右键单击。效果如左图所示。选择分配分配即可。已注册列表已注册列表中分配：凡是已注册设备，均会在已注册列表中显示。如右图所示。双击任意一条

42、注册记录，选择“分配分配”即可。23 / 42 文档可自由编辑打印安全 U 盘的使用，需要注意以下几点：使用前提使用前提：授权必须正确授权必须正确。安全 U 盘授权用户名须与 SMP-NS 授权用户名一致，否则无法使用。启用启用 U 盘监控盘监控情况下使用安全 U 盘。安全 U 盘必须经过注册、授权分组才可以在内网使用。未启用未启用 U 盘监控盘监控情况下使用安全 U 盘。只要授权信息一致，即可在授权 GM-SMP-U 终端上使用。不需日志审计使用方式不需日志审计使用方式。不需日志审计，只需要确保授权信息一致，不启用 U 盘监控，即可在授权 GM-SMP-U 终端上使用。需日志审计的使用方式需

43、日志审计的使用方式。需审计安全 U 盘操作日志，须启用 U 盘监控，同时指派已注册的设备。(操作方式与普通 U 盘操作方式一致)。安全 U 盘硬件特性硬件特性如下：各类安全 U 盘，均有密码强度保护密码强度保护。约定密码长度不低于 8 位，且有数字、字符(区分大小写)、标点符号组成。密码认证错误次数操过限定值，内部增强型 U 盘硬件自毁，其它类型均自动锁定(解锁后可再使用)。涉密机进行非授权联网并使用任意安全 U 盘，则 U 盘无法继续使用，且自动向 Internet 告警中安全安全 U 盘注册盘注册：插入安全 U 盘后，进入安全安全 U 盘盘 注册向导注册向导，选中任一记录，右键单击，选择“

44、注册注册” ，效果如左图所示。安全 U 盘注册，只需要填写注册信息即可。24 / 42 文档可自由编辑打印心告警。各类安全 U 盘均有唯一的 ID 号，出厂时已设定。该 ID 号长度最大支持 64 位。3.10.3 U 盘日志管理盘日志管理U 盘日志审计管理，分计算机计算机 U 盘日志盘日志、移动移动 U 盘日志盘日志、外部日志外部日志审计管理。启用 U 盘日志审计方式：以安全操作员安全操作员身份登录管理台，启用“桌面文件操作”日志即可。计算机计算机 U 盘日志盘日志以计算机为对象，查询该终端上曾经使用过哪些移动存储设备，及用户在这些设备做了哪些文件操作。移动移动 U 盘日志盘日志以移动存储设

45、备为对象，查询该设备什么时候，在哪些终端上使用，谁使用了，做了哪些操作。外部日志外部日志此日志只针对安全 U 盘而言，普通 U 盘无。日志的读取需要使用绿色工具进行读取。操作方式见附录之安全 U 盘绿色工具使用介绍。3.11 网络访问控制网络访问控制网络问控制，有 3 方面的监控：一是 IP 地址段、端口段访问的控制，二是网络数据传输速率控制。进行控制时，需要先启用对应的监控项。策略配置说明如下：策略配置举例说明：进入配置页面进入配置页面：以安全操作员身份登录管理台，选中任一计算机群组，右键单击，选择“设置规则设置规则” ，然后选择“应用程序应用程序”配置页。添加策略添加策略：进入配置页面后，

46、单击“添加” 。效果如左图所示。编辑策略编辑策略：选中任意策略，再点击“编辑”即可。删除策略删除策略：选中任意策略，再点击“删除”即可。拒绝规则拒绝规则：不允许用户执行或访问所属此类规则的应用程序。允许规则允许规则：允许用户执行或访问所属此类规则的应用程序。除拒绝外，全部允许除拒绝外，全部允许：允许用户访问拒绝规则列表以外的应用程序。25 / 42 文档可自由编辑打印除除 192.168.10 网段以外网段以外，其它网段访问不限制其它网段访问不限制。不允许访问不允许访问 192.168.10 网段、网段、192.168.20 网段的网段的 80 端口端口，且且 192.168.30 网段的网络

47、数据传输速度网段的网络数据传输速度限制在限制在 10KB/s，其它访问无限制其它访问无限制。启用“启用监控网络数据传输和缺省网络流量” ，并设置大小为 10kb/s。不允许访问任何不允许访问任何 IP、端口、端口，但不限制网络数据传输速度但不限制网络数据传输速度。只需启用“启用监控网络数据传输和缺省网络流量”监控即可，不需进行其它配置。大小为0KB/S，代表不作网络传输速度限制。允许终端访问所有的允许终端访问所有的 IP 段、端口号段、端口号，但网络数据传输速度限制在但网络数据传输速度限制在 10KB/s，且需进行日志审计且需进行日志审计。启用“启用监控网络数据传输和缺省网络流量” ，并设置大

48、小为 10kb/s。3.12 共享访问控制共享访问控制GM-SMP-U 系统为终端提供两个方面的共享访问控制。本地目录/文件的网络共享本地打印机的网络共享禁用共享后，即使客户端设置了共享属性，也无效。3.13 主机扫描主机扫描为了方便网络管理员高效统一管理终端，GM-SMP-U 系统提供主机扫描模块。使用该功能，可以实现对指定的 IP 段内的所有终端进行扫描，检测出哪些安装了客户端程序，哪些未安装。操作说明介绍如下：26 / 42 文档可自由编辑打印1. 接入服务器配置接入服务器配置进入管理台后，点击工具栏中的“主机扫描”按钮，进入主机扫描界面。如上图所示。点击“操作”菜单，选中“接入服务器设

49、置” ，然后输入接入服务器的 IP 地址，通信端口号默认为59977。2. 指定扫描指定扫描 IP 段范围段范围在上图中，在“IP 从” 、 “IP 至”对应的输入框中，输入起始 IP 地址、结束 IP 地址。填写结束后，单击绿色十字架按钮，添加该 IP 段。若需要对多 IP 段进行扫描，只需要填写对应好的 IP 段再添加即可。3. 开始扫描开始扫描点击“开始”按钮，系统自动对用户指定的 IP 段范围(IP 段列表)进行扫描。扫描的结果，如上图所示效果。4. 终止扫描终止扫描点击“停止”按钮即可。3.14 非法外联告警非法外联告警为防止授权终端非法接入网络，进行数据泄密操作，GM-SMP-U

50、提供非法外联告警。只要授权终端非法外联，GM-SMP-U 告警中心立即做侦测审计，以便管理员实时查询。非法外联告警配置操作如下：27 / 42 文档可自由编辑打印1. 配置非法外联告警服务器地址配置非法外联告警服务器地址以安全管理员身份安全管理员身份登录管理中心，进入“系统资源” “告警中心配置” ，效果如下图所示。2. 启用非法外联告警监控启用非法外联告警监控以安全操作员安全操作员身份登录管理中心，选中需要进行监控的计算机群组，进入规则设置界面，启用“非授权外联访问” 。3. 登录非法外联告警中心登录非法外联告警中心在 IE 地址栏中输入告警中心 IP 即可。首次登录，使用默认账户信息登录(

51、用户名、密码均为admin)。登录后，效果如下图所示：4. 告警中心管理员配置告警中心管理员配置告警中心的管理员，不是 GM-SMP-U 管理员，需要新建立。管理员的配置主要包括以下几点：密码修改密码修改点击“修改密码”即可。密码长度至少是 6 位，且只允许普通用户更改自己的密码，admin用户可以更改任意用户密码。admin 更改其它用户密码需要在“管理员管理”模块中更改。新建新建/删除管理员删除管理员IP 地址地址：填写告警服务器的 IP 地址。轮询时间轮询时间：指客户端程序每间隔一个时间，自动往告警中心服务器发包。若告警中心服务器收到包，说明该终端已经接入互联网，GM-SMP-U 自动记

52、录该终端的相关信息，供管理员查看。28 / 42 文档可自由编辑打印以 admin 身份登录告警中心，点击“管理员管理” ，即可进行新建/删除管理员操作。5. 告警中心日志查看告警中心日志查看任意合法管理员登录告警中心后，即可查看日志信息。日志信息支持以下对象查询：日期查询日期查询支持以时间段为对象进行日志查询。计算机名查询计算机名查询支持以终端计算机名为对象进行日志查询。用户名查询用户名查询支持以计算机登录用户名为对象进行日志查询。3.15 终端控制终端控制3.15.1IP&MAC 绑定绑定为有效管理 IP 地址，防止用户任意篡改，执行非法操作，滥用 IP 资源，GM-SMP-U 系

53、统提供IP&MAC 地址绑定功能，绑定后，用户即使更改了这些信息，数秒后，系统又自动恢复绑定前的信息。功能使用说明介绍如下：3.15.2 客户端自动升级客户端自动升级以安全操作员身份登录管理中心，选中目标终端所在的计算机组，进入计算机组规则设置界面，选中“禁用客户端自动升级” ，即可实现禁止该计算机组内的所有终端自动升级(即无法享受 GM-SMP-U 提供的客户端维护功能)。3.15.3 终端信息查看终端信息查看GM-SMP-U 支持对终端的硬件、软件、进程、服务信息进行查看。操作说明：以安全操作员身份登录进入绑定功能设置页面进入绑定功能设置页面：以安全操作员身份登录管理中心，选中目标

54、计算机，右键单击，选择“控制” “IP/MAC绑定” ，效果如左图所示。启用绑定操作启用绑定操作：选中“启用绑定”即可。指定指定 IP 地址绑定地址绑定：首先选中 IP 分配类型，然后再输入指定的 IP 即可。MAC 地址绑定地址绑定：选定需要绑定的网卡即可。说明：绑定 MAC 地址后，用户更改 MAC 地址，需要重启计算机才恢复绑定前的状态。绑定 IP 地址后，用户更改 IP 地址，默认 30 秒内自动恢复。29 / 42 文档可自由编辑打印管理中心，选中目标终端(终端需在线)，右键单击，选择“查询状态”后，即可看到查询信息。3.15.4 规则时间限定规则时间限定结合实际情况，管理员可以配置

55、对终端的各种监控，只在某个时间段内有效。时间控制的颗粒度有：周、天、小时。时间设置，在每个规则设置页面里均有提供。3.16 补丁分发管理补丁分发管理GM-SMP-U 提供 WSUS 服务器接口，方便网络管理员统一维护。3.17 软硬件资产管理软硬件资产管理以安全操作员身份登录管理中心后，在 “软/硬件资产报表”中，可以查看所有的终端当前软/硬件信息，以及软/硬件资产移动信息。3.18 日志审计管理日志审计管理GM-SMP-U 系统的所有审计日志，均支持以下特性：所有日志的查询，支持简报、统计、明细报表输出。支持日志报表复制、导出。格式为：txt、xls、htm。支持关键字搜索。支持时间段查询。

56、支持以群组、分组、计算机为对象的独立查询。WSUS 配置配置：以安全操作员身份登录管理中心，选中目标计算机组，进入组规则设置页面，进入“Windows 更新” 。若左图所示。启用启用 Windows 更新功能更新功能：选中“启用Windows 更新，从 WSUS 服务器” 。同时在后面的文本框里输入 WSUS 的服务器地址。更新模式设置更新模式设置：GM-SMP-U 提供 4 种更新模式，用户可以自定义选择。30 / 42 文档可自由编辑打印客户端离线后，日志照常审计。在线后，日志自动上传服务器。日志的删除，只支持删除 1 个月、3 个月、6 个月的日志，且只有安全管理员才有权限。3.19 资

57、源模板管理资源模板管理通过使用 GM-SMP-U 提供的资源模板管理功能，用户可以很方便的配置策略，且反复使用。该功能介绍如下：模板的使用模板的使用：涉密等级、部门：主要是在客户端属性配置里使用。其它的模板均是在对应的策略设置页面里，通过“从资源模板添加”功能使用模板。GM-SMP-U 还提供策略的导入/导出，实现另一个资源的有效管理使用。这里以网络数据访问策略的导入/导出为例，其它模块的操作方式也是如此。进入模块管理界面进入模块管理界面：以安全操作员身份登录管理中心，进入“资源模板” 。创建模板创建模板：选中目标项，在右窗体的空白区域右键单击，选择“新建”即可。如左图所示，空白处右键单击，选

58、择“导出”或“导入”即可实现规则文件的导入/导出。31 / 42 文档可自由编辑打印3.20 安全审计员操作安全审计员操作安全审计员的职责与权限就是查看所有的审计日志。安全审计员登录管理台即可直接进行查询操作。第四章第四章 服务器备份服务器备份/ /升级升级4.1服务器备份服务器备份/导入导入整个备份/导入共分 2 个步骤，操作说明如下：1. 停止停止 UI 服务器服务器在 GM-SMP-U 服务器终端上，进入“开始菜单” “SMPU Service Center” “Server UI”“停止” 。2. 停止停止 DB 服务器服务器在 GM-SMP-U 服务器终端上，进入“开始菜单” “SM

59、PU Service Center ” “Server DB”“停止” 。3. 备份数据备份数据进入服务器程序的运行目录，备份数据文件夹。(默认运行目录路径为“主分区:Program FilesKinkooWareSMPU”)。操作：进入 SMPUServerDB，备份 data 文件夹。4. 导入数据导入数据进入服务器程序的运行目录，备份数据文件夹。(默认运行目录路径为“主分区:Program FilesKinkooWareSMPU”)。操作：进入 SMPUServerDB，使用备份的 data 文件夹覆盖当前的。4.2服务器升级服务器升级服务器的升级共分 3 个步骤，操作说明如下：1. G

60、M-SMP-U 系统数据备份系统数据备份操作方式见 4.1 章节说明。2. 卸载服务器程序卸载服务器程序进入控制面板，删除“国迈科技 USB 移动存储介质使用管理系统V1.0” 。32 / 42 文档可自由编辑打印3.安装新版本安装新版本详细操作见 2.2 章节的描述。4.备份新数据结构备份新数据结构 运行绿色备份工具运行绿色备份工具在“开始菜单”“程序”“SMPU Service Center” “Tools ” ，运行 BackupMe。 开始备份表结构开始备份表结构Host: 填写 GM-SMP-U 数据库 IP 地址。Port: 53306。User: KinkooWare。Password: KinkooGoGo