主机安全及管理系统ifc-ets v5产品方案v1

1、本文档切权利。所有资料进行归上讯所有（简称上讯信息），并保留一，任何公司和个人不得将此文档中的包括其中所含的。否则，本公司将、公开、。或以其他方式、散发给第必将其本文档仅提供阶段性信息，因市场情况变化迅速，所含内容可根据产品的实际情况随时更新、修改，恕不另行通知。所以，本文档参考使用，不提供的担保，如因文档使用不当造成的直接或间接损失，本公司不承担任何责任。地址：市浦东新区科技园区路 号 号楼： ： 邮箱：YN传真： 本文档切权利。所有资料进行归上讯所有（简称上讯信息），并保留一，任何公司和个人不得将此文档中的包括其中所含的。否则，本公司将、公开、。或以其他方式、散发给第必将其本文档仅提供阶段

2、性信息，因市场情况变化迅速，所含内容可根据产品的实际情况随时更新、修改，恕不另行通知。所以，本文档参考使用，不提供的担保，如因文档使用不当造成的直接或间接损失，本公司不承担任何责任。地址：市浦东新区科技园区路 号 号楼： ： 邮箱：YN传真： 目录1方案概2需求分 现状分 目录1方案概2需求分 现状分 设计原3解决方方案介部署模技术特 =KH 6UXZGR准入控制技 .技术高可靠 认 功能介 . 3.4.5 3.4.5 4预期目1 方案概述、IPS、IDS 等常规安全，但在系，的的和IT1 方案概述、IPS、IDS 等常规安全，但在系，的的和IT 办公终端安全需求 时，终端的外设端口，比如：

3、盘、9* 卡、红外、蓝牙IUS 局域网网络共享、,:6、6、网盘等， 办公终端安全需求 时，终端的外设端口，比如： 盘、9* 卡、红外、蓝牙IUS 局域网网络共享、,:6、6、网盘等， 终端上通过数据管理类需求 +:9为4Z4)Z*3 称.26及管。2.1.1合通过广域网连接多个分支机构的大型分布式网络，同时可以与 InforCube 其他终端安全。2.1.2InforCbue IPC、笔记本电脑、移动设备、云端数据中心、2.1.1合通过广域网连接多个分支机构的大型分布式网络，同时可以与 InforCube 其他终端安全。2.1.2InforCbue IPC、笔记本电脑、移动设备、云端数据中心

4、、2.1.3InforCube 网络准入控制系统（NAC）、2.1.3InforCube 网络准入控制系统（NAC）、95法案内控体 及 方案设计始终考虑数据保护的安全需求；建议的方案设施后不会影响现有计算机网络的安全性，不会降低现有系统的可靠性和可用性，不影响现有系统和网络的性能；数据泄漏防护方案的自身安全性；可靠性：确保网络不会因为数据保护设备故障而造成中断；安全产品部署后，不会因此出现性能瓶颈； 在不增加现有工作量的基础上，通过实现作的效率。95法案内控体 及 方案设计始终考虑数据保护的安全需求；建议的方案设施后不会影响现有计算机网络的安全性，不会降低现有系统的可靠性和可用性，不影响现有

5、系统和网络的性能；数据泄漏防护方案的自身安全性；可靠性：确保网络不会因为数据保护设备故障而造成中断；安全产品部署后，不会因此出现性能瓶颈； 在不增加现有工作量的基础上，通过实现作的效率。管理，能够全面安全管理工 化的防护措施严格细粒度的控制灵活稳定的加密转中，安全是为业务正常运转而服务的，所以随着 BYOD灵活稳定的加密转中，安全是为业务正常运转而服务的，所以随着 BYOD。的案用户全生命周期管理用户全生命周期包含了用户从入网： 数据创建：创建在技术层面包含新建以及重命名两种动作，是作为文件的起始；数据使用：数据的使用包括作；、内容、另存为、截屏、打印、保存等操 数据传输：通过任何途径传输数据

6、都属于数据传输；数据销毁：将数据删除属于数据销毁；针对审计体系，可以对数据全周期进行审计操作。针对控制体系，主要是对数据使用以及销毁进行权限控制，并自动销毁超时的数据。针对加密体系，主要是对数据的创建、保存以及传输进行加3.1 。/TL用户全生命周期管理用户全生命周期包含了用户从入网： 数据创建：创建在技术层面包含新建以及重命名两种动作，是作为文件的起始；数据使用：数据的使用包括作；、内容、另存为、截屏、打印、保存等操 数据传输：通过任何途径传输数据都属于数据传输；数据销毁：将数据删除属于数据销毁；针对审计体系，可以对数据全周期进行审计操作。针对控制体系，主要是对数据使用以及销毁进行权限控制，

7、并自动销毁超时的数据。针对加密体系，主要是对数据的创建、保存以及传输进行加3.1 。/TLUX)HK/TUXK和可以随时响应用户的需求，提供全年 客户需要的技术支持级别通常取决于在 /TUXK关系的级别。很多客户使用 /TUXK/TUXK/TUXK 技术服务解决方案涵盖了 / 的所有产品并覆盖。3.2 3.3 =KH 6UXZGR准入控制技+:9 系统采3.2 3.3 =KH 6UXZGR准入控制技+:9 系统采用 6UXZGR 强制认证，当侦测到网络动作时，强制要求接入用户进行认证，认证通过后，才会被允许网络。 +:9 系统提供了策略路由技术来实现网络准入。这种技术架构会依据匹配条件、控制列

8、表来过滤不符合条件的路由信息。部署方式灵活高效，工作简易。 技术高可靠上讯信息研发的 +:9 系统采机热备，具有高可靠性。双机同时运行，当其中一个运行设备出现故障时可立刻切换到热备机保证业务的正常运行还提供了完整的恢复机制，使得发生故障后能以最快的速度进行恢复，保证系统的稳定运行。 针采用将加密结构作为文件格式自身的一部分，规避了之前加密结构与数据加文件结构脱离，加密之前的文件大小与加密后的文件保持一致，同时在底层数据加文件操作的加，一旦发生断电等事件，将不会发生文件损坏问题。技术采用分段加技术，将加密内容划分为更小的区段，经过实际测试，该数值可以定义为底层操作的原子操作，不会发生明文密文混杂

9、问题产生，从而避免了文件损坏问题的发生。数据加 览明文，同时也 生。使用了目前先进轻巧的双缓存技术，一明一密两个缓存，合法应用浏用户浏览密文，在保证用户体验的前提下，将性能影响降到最低，了驱动与应用的兼容性，避免因程序造成文件损坏事件的发 技术应用在系统空间内，兼容 、金山、3I不能删除及破坏系统自身表以及文件，保护了系统的正常运转 用户必须采用 ;9(1K_ ;9(1K_ 和输令才能进入操作系统，而没有 ;9(1K_ 或者不知道口令都不能进入系统。当其中一个运行设备出现故障时可立刻切换到热备机保证业务的正常运行还提供了完整的恢复机制，使得发生故障后能以最快的速度进行恢复，保证系统的稳定运行。

10、 针采用将加密结构作为文件格式自身的一部分，规避了之前加密结构与数据加文件结构脱离，加密之前的文件大小与加密后的文件保持一致，同时在底层数据加文件操作的加，一旦发生断电等事件，将不会发生文件损坏问题。技术采用分段加技术，将加密内容划分为更小的区段，经过实际测试，该数值可以定义为底层操作的原子操作，不会发生明文密文混杂问题产生，从而避免了文件损坏问题的发生。数据加 览明文，同时也 生。使用了目前先进轻巧的双缓存技术，一明一密两个缓存，合法应用浏用户浏览密文，在保证用户体验的前提下，将性能影响降到最低，了驱动与应用的兼容性，避免因程序造成文件损坏事件的发 技术应用在系统空间内，兼容 、金山、3I不

11、能删除及破坏系统自身表以及文件，保护了系统的正常运转 用户必须采用 ;9(1K_ ;9(1K_ 和输令才能进入操作系统，而没有 ;9(1K_ 或者不知道口令都不能进入系统。;9(1K_ 使用硬件加密技术将口令加密无法通过操作系统获得口令的内容。在 ;9(1K_ 中，任何设备以及都自动设置口令的尝试次数，当用户输入错误超过了设置的次数，认证将被拒绝，需要联系管理员进行重新激活，防止口令的。口令长度是由明确规定的，要求用户至少设置 位口令。 来满足文件管理需求由于文件管理的第一个特性性数据权限管理技术构建在透加限列表、使用范围以及使用时效，3.4 支持新建、重命名、等操作进行加配置， 适应多种应用

12、场景支持文件夹、文件以及进程等多种方式组合定义支持自动上传到业务服务器的文件是明文文件 自动设置口令的尝试次数，当用户输入错误超过了设置的次数，认证将被拒绝，需要联系管理员进行重新激活，防止口令的。口令长度是由明确规定的，要求用户至少设置 位口令。 来满足文件管理需求由于文件管理的第一个特性性数据权限管理技术构建在透加限列表、使用范围以及使用时效，3.4 支持新建、重命名、等操作进行加配置， 适应多种应用场景支持文件夹、文件以及进程等多种方式组合定义支持自动上传到业务服务器的文件是明文文件 支持将任意加密文件制作为受管控的权限文件，权限文件不改变后缀；支持对单个文件单个用户进行权限分配；限制文

13、件的浏览、编辑、打印、截屏、另存为、再等功能；限制文件与天数，定期销毁超时文档； 支持明文以及密文两种外发方式，图形化自定义外发申请流程，可以针对单个加密文件通过支持 KK 格式的外流程申请为明文后外发。件，合作伙伴无需安装客户端也可以合规使用文档。支持、机器码（ 只能在指定机器上使用）、;9(1K_ 硬件（需要持有特殊硬件才能使用）等认证方式。限制文档的只读、编辑、另存为、截屏、打印等权限；限制文档以及天数，定期销毁外档； 。 支持文件的创建、修改、重命名、内容、另存为、打印、移。动、删除等文件操作，对文件操作详细内容进行根据配置的文件类型及动作进行，保证功能与性能得到更好的平衡。 ; 盘及

14、移动硬盘的接入支持明文以及密文两种外发方式，图形化自定义外发申请流程，可以针对单个加密文件通过支持 KK 格式的外流程申请为明文后外发。件，合作伙伴无需安装客户端也可以合规使用文档。支持、机器码（ 只能在指定机器上使用）、;9(1K_ 硬件（需要持有特殊硬件才能使用）等认证方式。限制文档的只读、编辑、另存为、截屏、打印等权限；限制文档以及天数，定期销毁外档； 。 支持文件的创建、修改、重命名、内容、另存为、打印、移。动、删除等文件操作，对文件操作详细内容进行根据配置的文件类型及动作进行，保证功能与性能得到更好的平衡。 ; 盘及移动硬盘的接入， 并通过文件移动以及动作，关联审计文件传输的目的地址

15、， 准确识别通过外部设备传输的文件。文件的打印操作，打印情况，打印设备的名称以及网络的 /6 地址，并持续打印数量和纸张 耗材使用量， 全面打印情况。文件被件也可以被审计的应用、邮箱、网盘等网络应用传输文 应用的名称、进程以及版本号， 通过应用审计列表快速了解终端用户一天的工作行为。支持对上网行为进行详细，可以的名称、;82 地址、主机地址等信息，用户上网行为情况，分析常去的类型和名称，可根据要求初始截图，并提供离线功能，即使用户离开公司网路环境，用户上网行为也会被审计。根据条件支持桌面录屏审计，员工终端操作一切行为， 当企业与员工发生各类纠纷甚至时，为企业提供基础。终端登录用户、/6 等基础

16、信息开机、登录、注销、关机等信息。 随着5*， 打印情况。文件被件也可以被审计的应用、邮箱、网盘等网络应用传输文 应用的名称、进程以及版本号， 通过应用审计列表快速了解终端用户一天的工作行为。支持对上网行为进行详细，可以的名称、;82 地址、主机地址等信息，用户上网行为情况，分析常去的类型和名称，可根据要求初始截图，并提供离线功能，即使用户离开公司网路环境，用户上网行为也会被审计。根据条件支持桌面录屏审计，员工终端操作一切行为， 当企业与员工发生各类纠纷甚至时，为企业提供基础。终端登录用户、/6 等基础信息开机、登录、注销、关机等信息。 随着5*， 支持自定义打印水印，打印或者打印时自动添加水

17、印；支持程不能进程之间互相进程允许到进程，进到非进，既不能影响正常工作，也能进行安全控制；第及常规按键对文件截屏； 用户频发使用移动硬盘以及 ; 盘来传输文件，不仅会造成数据泄漏风险，也会造成木外设管控：对蓝牙、串口、并口、 、;9等外部设备进行控制，可以对以上外设接口进行启用 禁用等控制；移动介质管理：该功能可以对 ; 盘移动硬盘等 ;设备进行管理，管理员可以对已的盘进行，设置 ; 盘可以使用的计算机范围，规范企业对 ; 盘的合理使用；管控：指定网络黑白， 无法使用。 6路由设备，杜绝私接路由等网络设备。同时动态显示 分配情况，并支持快速分配/6，帮助支持自定义打印水印，打印或者打印时自动添加水印；支持程不能进程之间互相进程允许到进程，进到非进，既不能影响正常工作，也能进行安全控制；第及常规按键对文件截屏； 用户频发使用移动硬盘以及 ; 盘来传输文件，不仅会造成数据泄漏风险，也会造成木外设管控：对蓝牙、串口、并口、 、;9等外部设备进行控制，可以对以上外设接口进行启用 禁用等控制；移动介质管理：该功能可以对 ; 盘移动硬盘等 ;设备进行管理，管理员可以对已的盘进行，设置 ; 盘可以使用的计算机范围，规范企业