可信移动存储介质管理系统v9.0使用手册

第一章系统概 第二章可信介质管 磁盘管 信息管 第三章可信介质策略配 文件操作........................................................................................................................................ 第四章可信介质的使用管 第五章可信介质制 5.1可信 第六章可信介质日志审 附件一：常见问题解 第一章系统概移动介质由于具有灵活性、方便性的特点，在企业信息化过程中迅速得到普及应用。但越来越多的敏感信息、数据和资料存贮在移动介质里，给企业信息资源带来了相当大的可信移动介质管理系统通过认证、验证、密级识别、锁定自毁、扇区级加、日志审计等六个途径对可移动设备的数据进行安全防护，使得未通过验证的用户或密级不够的主机，不可在可信移动介质上的文件。该功能实现了用户对移动介质管理的 管理员对移动介质进行，写入信息，即完成可信磁盘的制作、、回收、 盘文件操作日志、跨服务器使用日志、可信磁盘锁定与自毁日志、可信磁盘日志、商旅磁盘激第二章可信介质管磁盘管可信分区：可信磁盘的可信分区只能在可信终端下使用，也就是只能在安装UEM系统客户端的主机上使用，在普通终端下无法使用。范围受范围、计算机安全等级的限制。根据能读也能写，在普通终端下不能。激活状态，在可信终端下只读不能写，在普通终端下能读也如果对客户端下发“使用移动设备”策略后，普通的移动介质或可信盘的普通分区将不能使用，只有可信盘通过客户端正常加载后，才能够使用。制作可信盘就是对普通移动动介质插入到控制台主机，点击“刷新”按钮，在磁盘设备列表中显示接入当前主机的移动盘图2-1磁盘管 图2-2可信磁盘—常规选模糊查询，如果输入“123”，系统会自动搜索出“123123451237A”、”等相关要选择，系统默认为无级别。高安全等级磁盘在低安全等级的主机上使用；如果策略允许，低安全等级磁盘可以在高安全等级的机器上数据；同安全等级的主机和磁盘可以读写。案。一个设备可以选择三种不同性质的分区：普通区，可信区和商旅区，也可以是这三种分区提示：对于每一个节点，其名称前面的显示了该节点的选中状态：完全选中（、部分选中（）

2-3可信磁盘高级选项—使用范2-4可信磁盘高级选项—-基本信将 将2-5可信磁盘高级选项—-口令设 58次。2-6条可信移动管理系统提供了两种磁盘使用限制条件：使用次数和使用日期。后的可信磁10次提示：高级选项中除磁盘口令外，都具有功能，能记录上次用户选择项，作为用户下次使用时的默认值。如果不退出可信界面继续的话，磁盘口令默认为上次口令，不再是。2-72-7可信磁盘高级选项—-分区方图2-8所示。2-8导出可信磁盘配置信图2-9成图2-10所示。2-10可信盘各分区、状态2-11可信盘右键菜单功2-12可信盘制作失2-132-13可信磁盘免激活状单击“关闭免激活”按钮，将免激活的可信盘转变到未激活状态，如图2-14所示。2-14可信磁盘关闭免激2-15可信盘的未激活状选中可信磁盘，而不是商旅分区，单击“激活”按钮，系统将弹出磁盘激活确认框，标。2-16激活可信盘带出使注意：2-17可信盘反激收”按钮，弹出提示框，如图2-18所示。确定后，稍等，可信盘将回收变成普通磁盘。图2-18磁盘回时清除记录；对于有商旅分区的可信磁盘，该操作会提取于该磁盘中的日志信息，清除授可信磁盘可能会因为各种操作：如口令尝试过多、超过了使用次数、超过了使用期限等，如果因为达到了限制使用次数而锁定，则在时将允许管理员增加磁盘的使用次数，以保证用户能继续使用磁盘，如图2-19所示：2-19增加使用次如果因为超过了使用截止日期而导致磁盘锁定，则在时将允许管理员设置新的截止日期，以保证用户能继续使用磁盘，新的截止日期不能早于当天，如图2-20所示：2-20延长使用日能使用。如果启用跨服务器后，只要服务器的用户编号一样，那么在A服务器上的可B服务器管理的客户端上使用（注：B服务器管理的客户端上需下发“允许在本客服务器用户编号一样，可以在控制台信息中查看。另外，可信磁盘跨服务器在客户端使用时，框，如图2-21所示。确定后，该可信盘就可实现跨服务器。2-21启用跨服务能在服务器管理的主机上使用。

2-22关闭跨服务器操图2-23所示。2-23重置口启用记录和关闭记录操作，如图2-24所示。2-24可信盘启用记信息管理图2-25磁盘信息管理界权人员页面显示了磁盘被授予给哪些人员使用；计算机机页面显示了该磁盘可以在哪些计算机

图2- 在某些情况下，比如物理磁盘丢失了、被损坏了或者因为误操作导致磁盘上的信息被破坏了，这时，该磁盘的记录将无法被回收。为了清除这类信息，可以选择撤销操作。选择准图2-27撤 图2-28查询磁盘记磁盘库存管理图2-29所示。这里显示自动时自动入库的磁盘记录。2-29磁盘库存管2-30销毁提示回2-31销毁清除磁盘记符合条件的记录列表显示出来，如图2-32所示。2-32查询结使用状态查看图2-33所示。输入查询条件，显示符合条件的磁盘。2-33可信盘使用状态查2-34查看使用历2-35可信盘状态统磁盘升级配置2-36磁盘升级配第三章可信介质可信磁盘策略是针对可信移动介质制定的策略，它可以在可信盘上商旅区和可信区的文件操作，包括文件拷出、拷入、创建、重命名、删除、和写入等，对于在可信盘上普通分区文件操作3-1文件操作如果在设定的路径下，有不需要的文件，可以单击“添加”按钮，在例外列表中输入例外文件名，如图3-2所示。3-2编辑要监测的文3-3 提示：可信盘文件拷入和拷出过程中，只记录拷贝成功的文件操作日志，便于审计。对于 可执行文件控 提示：此功能针对的是可执行文件，而不是批处理文件。如果是批处理文件，那么批处理普通磁盘控制试使用普通移动设备，或者尝试加载外单位可信磁盘时，就会生成告警信息和日志记录，可以 提示：如果这两个策略项相遇发生时，系统将按照严格策略项执行。也就是说，如果一个策略项设置客户端商旅激允许在客户端激活/反激活商旅分区，如图3-7所示。 户端便可使用“激活”/“反激活”按钮，如图3-8所示。 客户端加载可信盘 第四章可信介质的使用可信介质在客户端的使用成功加载，并提示是否打开加载后的盘符，如图4-1所示。4-1加载可信4-2成功加载（Y 时用户可放心拔出可信盘，如图4-4所示。提示：windows 如果用户同时插入多个可信盘，执行“全部卸载”操作后，将卸载所有接入的可信盘，如图4-6所示。 令”按钮，当系统弹出“更改”界面时，输入新、旧，单击“确定”按钮，即可更改该可信盘，如图4-7所示。4-7更改可信盘在可信介质管理中，未激活的商旅可信盘在未加载4-8示。选中可信磁盘，单击“激活”按钮，弹出输入框。输入后，单击“确定”按钮，即可 注意：激活后的可信盘在可信终端上将变成只读模式，请确定所需数据已拷贝完全后再执行击“反激活”按钮，弹出输入框。输入后，单击“确定”按钮，既可将可信盘变为未激活提示：反激活操作是将含商旅分区恢复到未激活状态。反激活成功后，可信盘只能在可信 提示：（1）只有用户插入老版本的可信盘后，格式转换按钮才会出现在界面上，否则界面跨服加载的8.0可信盘不支持格式转换操作。 可信盘在外部环境的使用对于已激活的可信盘，或者免激活的可信盘，以管理员权限用户运行文件4-11可信盘在外加正常启动WbtsTravel.exe后，将在操作系统的托盘区新添一个图标，在我的电脑中新添加一个可信盘符，如图4-12所示。打开此可信盘，能进行正常读、写操作。4-12可信盘在外加载成示，如图4-13所示。4-13普通用户加载可信盘 服务，这样普通用户以后便可正常加载可信盘，如图4-14所示。图4-14“常驻“菜WBTSTravel.exe后，自动进入激活界提示：通过方式激活的可信盘，状态已变为“已激活”状态，下次在普通终端加载4-15商旅可信盘激4-16生成可信盘激活第五章可信介质制可信介质除了在控制台制作外，客户端也可通过方式自行制作可信盘。过程需要有一定的规则，我们在管理中设置规则，指定待的组织、员和内容。参见《中软统一终端安全管理系统9.0使用手册》的管理章节。可信盘区单击“申请”，如图5-1所示。5-1申请 图5-2提 申用途（分区方案批任务，如图5-3所示提示：可信支持多级，每级员都可查看和修改前面员的参数设置， 图5-3任务列如果员同意申请人制作可信磁盘，单击“同意”按钮后，弹出“可信配置”简单配置界面，方便快捷制作可信盘。如果单击下面“高级”选项，将展示所有配置项，请一一选择，如图5-4所示。最后，单击“确认”按钮，将结果上传。图5-4可 配有设置，选择的是员指定，这时由员单击后面的浏览按钮，设置组织范围，组织范围内分区方案：分区方案包括内外混用、外部使用、，若申请者已指定，这里毋须指定。如果申请者没有设置，选择让员指定，这时由员单击后面的浏览按钮，设置分区方案。一个磁盘可以包含三种不同性质的分区：普通区，可信区和商旅区，也可以是这三种分区的任意盘的百分比，若不需要某个分区，则该分区大小设为0。使用条件限制：可信移动管理系统提供了两种磁盘使用限制条件：使用次数和使用日期。 绝理由，单击“”按钮，将结果上传，如图5-6所示。图5-6输 理图5-7查看 的申请第六章可信介质使用可信移动介质时，系统能够记录用户的使用台帐、锁定与自毁日志、文件操日志记录内容备注了什么操作，操作人是谁，凡是文件操作的多条记录默认以蓝色字时间、控制台人、客户端用户、磁盘编号、磁盘描述、容量、责任人、主管部门、安全等级、使用范围、用途、保护、IP、磁盘描述、容量、厂商编号、产品编号、申请理由、使用范围、用途、通过、员、时间、状态。操作时间、使用人、所属组织、计算机名、计算机IP、操作类型、磁计算机ID。操作时间、使用人、所属组织、计算机名、计算IP、操作类型、文件名、进程名、磁盘编号、磁盘责任人、编号、分区名称、是否跨服务器、服务器ID、备份文件路径。失败的拷入和拷出操作时间、使用人、所属组织、计算机名、计算IP、类型、原因、磁盘编号、编号、是否跨服、服务器ID、中心ID、计算机所属组织、计算机ID。时间、磁盘编号、中 ID人计算机操作类型、磁盘编号、编