背景(解决之道)

产品描述

产品组成

功能介绍(优势 性能说明)

背景

由于计算机以及互联网技术的飞速发展，计算机已经在各行各业普及，成为人们生活和工作的必需工具，信息沟通变得非常容易，给我们带来极大的便利。同时，由于信息交换太容易，也增加了很多风险和隐患，各种信息很容易通过各种途径流出，泄密事件经常发生，许多单位和个人损失惨重，保护计算机信息的安全成为当务之急。

固盾计算机信息安全控制管理系统就是在背景下应运而生，它用简单的办法从根本上解决了信息的安全，做到严格防泄密的应用要求。固盾计算机信息安全控制管理系统，运用系统管理思想，综合考虑了各种风险，对存在几率较小的的意外情况也有考虑，提供足够的能力对存在风险的因素做以控制，全面保护信息安全。并对操作和内容做以记录，使行为具有不可抵赖性。

目前面临的安全威胁：

各种应用系统都使用独立的用户名和密码，员工职位变更给管理员带来很大的工作量，并容易造成安全漏洞；

计算机的使用难以控制，经常发生不同部门计算机串用的情况，需要增强对计算机的授权使用；

口令认证方式容易被攻击，尤其是领导管理人员，通常使用简单的口令，容易被员工冒充身份；

局域网内计算机和员工数量众多，对终端控制能力不强，存在大量安全隐患，无法执行一些安全规定；

涉密信息或者数字知识产权保护困难，保密文件容易被通过网络、移动存储设备或者其它方式泄密；

外设使用尤其是移动存储介质使用管理困难，容易造成病毒泛滥，并且容易造成涉密信息有意或者无意泄密；

应用程序尤其是盗版的软件安装泛滥，造成信息网络维护困难，也容易造成木马和病毒感染，并且存在受到盗版软件指控的隐患；

网络滥用情况严重，内部人员随意下载娱乐视频等造成单位有限的出口带宽被严重占用，影响正常工作的开展；并且存在通过网络发布违法国家法律的言论以及泄密单位敏感信息的潜在威胁；

网络各种信息资源授权管理体系不完善，内部文件资料或者其它资源缺乏细粒度的控制，容易造成内部人员越权访问资源、文件资料失控泄密和个人隐私受到侵犯等问题

解决之道

基于固盾可信的独立硬件安全技术，结合身份认证、授权管理和监控审计技术，构建整体一致的互联网上网安全解决方案：

提供基于硬件IC卡、UKey、数字证书等的高强度多种认证方式，支持用户注册、挂起、授权和注销等整个生命周期的集中管理；

提供基于Windows系统增强的认证，可以对计算机的使用权限进行集中授权，只有被授权的用户才能够登录指定的计算机；

可以对各种类型的计算机外设进行授权，根据不同用户和不同的计算机设置不同的权限；

提供详细的审计记录，包括用户各种行为记录、网络访问记录、应用使用记录、文件操作记录等分析内容；

产品描述

固盾计算机实名上机管理系统致力于解决计算机应用的信息安全，主要用于单位互联网上机行为的监控，系统由客户端与管理服务器以及发卡端程序组成，用户在客户端采用智能卡登录认证，每台计算机可以专人专机，也可以多人一机或多人多机，每个客户都使用自己的账户自动登录，实现实名化登陆管理。

用户个人信息个性化，拥有个性化的专用私人信息：我的文档，桌面信息，IE收藏夹文件等。

系统会记录上机者的登录日志，对上机者的各种行为，如何时打开文件，何时运行了应用程序，可是上了哪个网站，浏览了哪些内容，这些行都为将严格的记录下来，还可以控制上机者的行为，如禁止使用u盘等，当出现问题后，可以很容易追溯到某个上机者，对涉密单位的信息安全起到良好的保护作用。

产品组成

系统结构图：

客户端部分包括如下模块：

各个模块说明：

1、 身份认证模块：采用IC卡技术，采用硬件登录认证，安全简洁可靠，管理方便

2、 私有文件夹管理：自动创建用户的私有文件夹,建立桌面快捷方式

3、 登录控制模块：确定哪些计算机允许哪些用户登录

4、 行为日志模块：记录用户的登录日志、互联网访问日志、文件操作日志

服务器部分包含如下模块：

1、 用户管理：登记管理用户，登记IC卡

2、 计算机管理：登记管理计算机

3、 部门管理：对本单位各个部门进行管理

4、 计算机监视：对上机的用户进行监视，可以截取屏幕、发送通知、甚至关闭计算机

5、 登录控制策略：各种安全策略管理

6、 日志管理：用户行为日志以及管理员操作日志

功能介绍

一、登陆安全控制

1、 实名制上机管理

单位用户使用受控微机，采用实名制登记管理，个人数字信息登录IC卡（Ukey）管理。做到1人1卡，持卡上机，实名登陆受控计算机。

对所有计算机（IP/MAC/计算机名）建立单位、部门、使用人等信息的人机对应表，能够把用户信息（单位、部门、使用人）和计算机信息（IP、MAC、机器名）进行人机对应，实现“人机绑定”的户籍式管理，以单位、部门、使用人等信息标示形式记录各种计算机违规事件，提高管理效率。

2、 软硬件安全控制登陆

硬件IC 卡控制器控制计算机安全登陆，单位用户上机必须插卡验证身份密码登录受控计算机。控制、验证由硬件实现，安全高效。

3、 硬件控制，灵活的离线控制策略

所有的登陆控制安全集成的IC卡控制器与IC卡中，可实现紧急状态下的离线安全控制（服务器损坏等可能的原因）

二、用户个性化设置

共用计算机用户，可实现各自私人不同的个性化信息与空间管理。

个性化设置

1、 我的文档：完全私有的个人文件夹，完全独立的个性化图片、音乐、文档存储空间

2、 我的桌面：完全私有的个人个性化桌面设计，个性的桌面背景、个性的快捷方式

3、 我的收藏夹：完全私有的个人收藏夹个性化的收藏内容。

4、 我最近的文档：完全私有的个人历史文档信息记录。

三、安全控制策略

单位受控计算机，可按部门与IC信息相互绑定，进行控制策略管理。所有控制策略直接在IC卡控制器与IC卡上直接绑定。

1、 部门微机：可设定微机使用部门，并设定可使用本部门微机的IC卡范围。

2、 专人专机：可设定归属专人使用的专用微机。

3、 限时上机：可对不同IC卡实现在规定的时间内上机管理

4、 操作权限：可设定不同的微机、不同的IC卡，实现不同的对计算机的操作权限。

四、上机行为记录

系统自动记录所有受控机的上机人的行为内容

1、 实时记录网内所有人的上下机时间与所上微机。

2、 实时记录所有上机用户浏览过的网页。

3、 实时记录所有上机用户的文件级操作。

4、 系统提供实时的上机使用者的屏幕快照。

五、网络监控管理

可通过网络实现对客户端的监控管理

1、 可想所有的或部分用户发布通知信息

2、 可远程实现对客户端强制关机或注销

3、 可远程实现对客户端的实时屏幕监视

4、 可远程实现对客户端的升级

优势

1、 硬件登录认证：安全可靠。

2、 采用智能IC卡，安全可靠。

3、 系统永远不会全部瘫痪：客户端可以脱机认证。

4、 部署简单：只需一台管理服务器，且操作简单，不需要安装域控制器，更不需要域控制器的各种繁琐管理，无需投入很专业的技术人员进行维护管理。

性能说明

1、 登录时间：与服务器连接时间<1S

2、 互联网访问延迟时间：<10ms，几乎不受影响

3、 文件访问延迟时间：<10ms，几乎不受影响

4、 日志上传时间<500ms

5、 拔卡注销响应时间<500ms

6、 服务器支持客户端数量：>500台

7、 客户端控制器通讯波特率：57600BPS