《移动存储设备管理系统.docx》由会员分享,可在线阅读,更多相关《移动存储设备管理系统.docx(13页珍藏版)》请在三一办公上搜索。
1、GM-SMP-U 移动存储设备管理系统功能详解广州市图文科技有限公司 联系人:赖龙飞 广州地址: 广州市黄埔大道中144-152号海景中心西塔21A网址: ,广州公司电话: 020-13570081545,15302218188E-mail:188982708目 录第一章 GM-SMP-U系统概述11.1 GM-SMP-U平台目标11.2 GM-SMP-U平台构成11.3 GM-SMP-U平台优势2第二章 GM-SMP-U功能说明32.1 GM-SMP-U移动存储设备管理系统功能简表32.2、移动存储设备分级注册认证42.3、移动存储设备的使用权限设置42.4、主动防御U盘病毒52.5、端口设
2、备管理52.6、在线/离线策略52.7、注册U盘管理52.8 硬件资产管理 62.9 软件资产管理 62.10 IP/MAC地址管理72.11网络访问控制72.12软件分发72.13 终端状态查询82.14分级管理82.15文件操作日志82.16移动U盘使用日志审计82.17 文档打印监控日志审计92.18 管理员日志审计9第三章 GM-SMP系统配置93.1 GM-SMP安装要求9第四章 企业资质及相关产品104.1 企业资质104.2 其他相关产品11第一章 GM-SMP-U系统概述1.1 GM-SMP-U平台目标GM-SMP-U移动存储设备管理系统是针对不连接互联网的内部网络,或者已经有
3、一定安全防御措施的局域网提供的内网安全解决方案。l 实现内网的集中式网络管理l 通过不同的权限策略,达到分级别管理l 严格控制和审计U盘、移动硬盘、手机存储、数码相机、MP3/MP4、各种CF/MD/SD卡以及各类Flash Disk等移动存储设备在内部的使用l 严格控制了计算机周边端口设备的启用、禁用l 主动防御U盘病毒l 单位全网计算机的资产软硬件管理广泛应用于军工单位、科研机构、公安、政府、部队、电信运营商、知识和商业信息密集型企业等各个行业,无需改变用户原有管理制度,并根据用户的组织结构灵活地设置分级管理,可帮助用户极大地提升信息保密水平,强化信息安全管理的力度与深度。1.2 GM-S
4、MP-U平台构成系统模块功能说明Client1 Client是运行在计算机终端上的移动存储设备安全管理引擎。2 Client端负责对计算机终端的安全管理,记录计算机终端用户行为并与Server进行通信。3 Client可以采用远程分发方式进行本地安装。4 Client深入系统内核,具有任何模式下不可删除、不可停止的特点。5 Client没有任何界面,不影响终端用户的任何日常使用。Manager1 根据client计算机终端的特性,对client计算机终端进行权限分配。2 根据领用人的工作需要,对其所领用的移动存储设备进行分级注册。内部:仅限于内部使用,拿出去不可用,文件加密存储隐藏。交流:明文
5、存储,用于外出交流3 对所有日志进行审计(权限变更日志、文件操作日志等)。Server1 扫描系统中所有计算机,并将未安装client的计算机识别出来。2 保存6个月以上的日志审计数据。1.3 GM-SMP-U平台优势GM-SMP-U移动存储设备管理系统全面贴近实际的安全管理工作,从对安全事件的防范开始、到安全事件事发过程的跟踪、以及安全事件的事后追溯和查处,全程管理整个计算机内部网络,而不仅仅只关注于对安全事件的审计或监控,是真正可用、货真价实的全生命周期安全管理平台。系统优势优势特点优势说明安全强度业界超前1 安全模式2 超强监管能力3 系统自保护4 系统自修复1对安全模式也可进行监管,国
6、内领先2无论关闭进程、禁用/启用设备、停用服务、清除注册表、删除相关文件等非法操作,都无法破坏系统监管能力3系统自我加密后完全隐藏,试图对系统进行攻击的人失去攻击目标。4即使系统的模块被破坏,系统能自我修复软件兼容业界领先1、 操作系统2、 防病毒软件3、 应用工程软件1 Windows2000,WindowsXP、Windows2003的各种补丁版;支持简体中文、英文版2 Norton、Trends、Ann、Rave、etc3 工程类软件兼容性支持稳定方便业界优秀1 简单的安装2 强大的使用监管3 贴身的存储安全设计1 客户端登录之后无任何软件界面,免维护2 移动存储介质通过注册认证,授权高
7、、中、低安全级别使用,方便管理第二章 GM-SMP-U功能说明2.1 GM-SMP-U移动存储设备管理系统功能简表系统功能功能描述网络管理硬件资产管理采集所有受控计算机硬件的资产报表及异动情况。软件资产管理采集所有受控计算机软件的安装报表及异动情况。网络流量控制可设置其在某时间段内发送流量超标的阀值。客户端自动升级系统可通过客户端软件升级包, 强制客户端自动升级,并可选择升级范围。软件分发其他软件的分发,可选择建议安装或强制安装。灵活分级管理设置安全管理员,安全操作员,安全审计员。权责分明。安全控制移动存储介质使用管理1. 完全控制U盘、移动硬盘、手机/MP3/MP4、CF/D/SD卡、以及各
8、类FlashDisk等移动存储设备的使用;2. 对移动存储设备进行注册认证:纯内部使用(高级) 、外部授权使用(中级) 、内外正常使用(低级),并控制其只读/只写;3.有硬件ID的U盘注册,重复注册后保证U盘的唯一性。端口设备控制对软盘驱动器、光盘驱动器、本地打印机、数码图形仪、调制调解器、串行通讯口、并行通讯口、1394、红外通讯口、wifi无线网卡、无线蓝牙等进行启用和禁用。网络访问控制设置计算机拒绝或允许访问的IP地址或通讯端口段。在线/离线 策略计算机在线或者断开网络后, 所设置的使用权限一样有效。安全审计文件操作日志记录计算机文件修改、删除、复制、异动等操作行为。U盘使用日志记录U盘
9、在每台电脑上的文件操作情况。软硬件资产日志记录实时资产的情况。资产异动日志记录终端计算机的CPU/硬盘/内存等硬件发生变化日志。文档打印操作日志记录计算机文档打印操作日志。管理员日志记录管理员的操作日志。安全保护客户端自我保护完全隐藏, 防破解, 防修改; 进入安全模式, 同样被监管。管理端登陆保护通信过程采用高强度加密及压缩算法。服务器安全保护服务器支持多台负载均衡, 支持在线扩容和停机检修。数据库安全保护1. 数据库与管理台分离, 后台隐藏, 增强数据库的安全性。2. 提供系统数据的备份及恢复, 支持全量和增量备份。2.2、移动存储设备分级注册认证 注册U盘的身份识别本系统能对U盘、移动硬
10、盘、手机存储、数码相机、MP3/MP4、各种CF/MD/SD卡以及各类FlashDisk等移动存储设备(以下简称U盘)进行身份认证。根据实际的安全管理需要,每个U盘在注册认证时,系统首先会给其定义一个唯一的名称,以便不同U盘在使用过程当中具备身份的识别。同时支持分级高/中/低三种不同密级注册: U盘注册分级通过对日常U盘使用的情况,结合信息安全需求,本系统将U盘的注册分为三个级别:高密级、中密级、低密级。A、高密级 :高密级的U盘在局域网内部可以正常使用,当拿去外部使用时,所有的数据是无法看到,更无法读取。B、中密级:中密级的U盘在局域网内可以正常使用,当拿去外部使用时,需要凭密码打开密区,读
11、取数据。C、低密级:低密级的U盘在内部外部都可以如常使用。2.3、移动存储设备的使用权限设置 由于信息的重要程度不同、行政级别的不同、处理涉密信息的密级不同以及涉密信息量不同等情况,决定了局域网内计算机对U盘的使用权限也有所不同。本U盘管理系统根据实际应用情况,设计了U盘使用策略。在U盘的使用策略中,可以分别对高密级、中密级、低密级、未注册对四种模式的U盘进行使用控制。 U盘的使用策略:A、完全禁止控制计算机无法使用任何U盘 B、使用授权设置计算机是否允许使用高、中、低密级的U盘或未注 册的U盘C、读写控制可分别控制可使用的U盘的可读可写 D、完全开放允许指定计算机使用所有已注册及未注册的U盘
12、 U盘读写控制根据安全的需要,控制每台计算机可用U盘级别的读写权限:A、只读:只允许该级别的U盘将资料拷入计算机,不允许将计算机的资料拷入盘,避免泄密;B、只写:只允许该级别的U盘将计算机的资料拷入U盘,不允许访问U盘内的文件内容,避免计算机感染U盘内的病毒;C、可读可写:该级别的U盘可以完全读写。2.4、主动防御U盘病毒 病毒对我们计算机网络的危害性已经是有目共睹的, GM-SMP-U系统充分的考虑到了这一问题,对于没有INTERNET连接的网络,U盘成为病毒入侵的最大途径了,因此为了进一步保障网络的安全,本公司科技对U盘的病毒传播特点作了深入的研究,提取了U盘病毒传播的共性,彻底杜绝了已经
13、染毒的U盘插入网络后,无法将病毒感染入内网。 2.5、端口设备管理 系统实时对软盘驱动器、光盘驱动器、本地打印机、数码图形仪、调制解调器、串行通讯口、并行通讯口、1394、红外通讯口、wifi无线网卡、无线蓝牙等进行启用和禁用。2.6、在线/离线策略 无论计算机在线还是离线,管理员所设置的使用权限策略同样生效,并可以审计。2.7、注册U盘管理 系统应能集中维护注册U盘的清单,包括注册人员、使用人员、注册时间、注册密级、容量、ID等各类信息。 管理员应能随时对已注册U盘的清单进行维护,如果注册U盘丢失,或者停用,可删除该U盘注册信息。2.8 硬件资产管理 硬件资产管理:GM-SMP-U利用先进的
14、自动捕获技术,及时收集所有硬件信息。管理员通过硬件资产管理功能,实时、便捷的查看全网终端硬件配置情况。这一功能为终端的资产管理带来极大的便利。硬件资产报表极大的方便了资产统计人员,避免了过去做资产统计必须拆机箱的做法,为了充分实现这一功能的实用性,在GM-SMP管理员设置功能里,可以将资产管理模块单独列出来专开一个管理账号,协助单位资产管理部门做好计算机资产管理工作。GM-SMP-U可捕获的信息包括:主板型号、CPU型号、CPU主频、内存大小、硬盘序列号、硬盘容量、光驱类型、光驱型号、网卡型号、显卡型号、声卡型号、软驱型号等,涵盖了日常终端资产统计的所有内容,可以按全单位、部门、甚至单台计算机
15、索引资产情况,并以WEB页面、txt文本、xls报表形式提供给使用者。 硬件资产异动管理:GM-SMP-U会实时记录硬件资产变化的情况,并提供详细的报表。例如A计算机1G的内存被更换成512M,这一动作GM-SMP系统会详细记录。2.9 软件资产管理 软件资产管理:GM-SMP-U利用交叉搜索判定方式,及时收集所有软件安装信息并提供相应的版本号。并在服务器端汇集成全网统计信息。通过软件资产管理,网络管理员可以快速获知已安装软件的种类和名称,以及这些软件在网络终端中的分布情况。同时可以通过模糊查找,在全网或部门索引软件安装情况,是否有终端还未安装必需的软件,是否有终端安装有不符合规定的软件等信息
16、,并以WEB页面、txt文本、xls报表形式导出报表。 软件资产异动管理:GM-SMP会实时记录全网软件安装变化情况,并提供详细的报表。2.10 IP/MAC地址管理目前,虽然交换机可以进行端口和MAC绑定,但是需要管理员一条一条输入命令来实现,操作繁琐又浪费人力,同时也难以彻底解决IP冲突事件发生。GM-SMP的IP/MAC地址绑定功能,使IT管理员可以更加严格的规划和分配网络中的IP地址、防止用户自行改变IP地址。 IP控制初始默认IP与MAC是未绑定的,此时客户端的计算机可以自行修改IP,但是如果修改的IP与当前网络使用IP有冲突,系统会拒绝IP的修改。 启用了IP/MAC地址绑定策略,
17、可以选择通过DHCP的分配,也可以选择通过手动分配。2.11网络访问控制GM-SMP-U的网络访问控制功能包含两方面:网段访问的权限策略和端口访问的权限策略。通过网段的控制,可以实现对某固定网段(包括一个网段内的一小段)的访问权限。现在假设:技术部的ip段为(192.168.0.10-192.168.0.50),财务部的ip段为(192.168.0.51-192.168.0.100),就可以通过网段访问的权限策略来控制部门间的访问权限。在TCP/IP协议的上两层,属于端到端的访问,GM-SMP的端口访问权限策略可以实现对某个特定端口的管理,比如:通过禁用23端口来禁止Telnet服务,通过禁用
18、3389端口来禁用远程桌面服务。同一般的应用程序一样,病毒木马也有它自己的端口,这样,也可以通过禁用端口来防止病毒木马。2.12软件分发GM-SMP-U提供了软件分发的工具,可设置被分发的软件是强制性安装,还是建议性安装。若为强制性安装,系统会不断提示安装,直到客户端实现安装为止。建议性安装,系统会提示是否安装,如果选择不安装,那么系统将不再提示安装该软件。2.13 终端状态查询GM-SMP管理员可通过系统以点对点的方式对客户端进行详细的监控审计,具体包括以下内容:硬件资产、软件资产、进程、服务。2.14分级管理 GM-SMP-U系统采用分级的管理授权模式。可以容纳多个拥有不同管理授权的管理员
19、帐号(帐号数量没有限制),达到多管理员、分权定责、共同管理的目的。GM-SMP管理员分为: 安全管理员:只能制定操作员和审计员的帐号,及帐号的管理权限。 安全操作员:只能根据帐号的规定,对管理指定的部门进行具体的操作策略管理及日志报表或软硬件资产。 安全审计员:审计管理员的日志2.15文件操作日志文件操作日志管理,是审计类管理需求的重要组成部分,其管理目标之一就是确保数据的安全性,对PC使用者在使用PC过程中的文件访问有历史记录,当发生数据流失等问题的时候,通过关键字的模糊查找,可以追溯到该文件一系列访问事件。2.16移动U盘使用日志审计 记录内网计算机对U盘上的文件进行删除、复制、移动、剪切
20、、重命名的操作行为。2.17 文档打印监控日志审计 文档的打印日志,也是审计类管理需求的重要组成部分,GM-SMP系统记录打印文件的计算机名、文档打印的时间、文件名。 审计何时、何计算机、何U盘、插入/拔出,操作何文件。客户端进入安全模式,同样被监管2.18 管理员日志审计 审计管理员登录操作的所有日志。第三章 GM-SMP系统配置3.1 GM-SMP安装要求服务器配置需求:服务器需求配置建议配置操作系统简英繁版本下的windowsXP / 2003简英繁版本下的windows 2000 / XP / 2003处理器P4 - 1.7GBHzP4 - 2.8GBHz内存512MB1G硬盘剩余20
21、G以上空间剩余40G以上空间管理平台配置需求:管理中心需求配置建议配置操作系统简英繁版本下的windowsXP / 2003简英繁版本下的windowsXP / 2003处理器P4 - 1.7GBHzP4 - 2.4GBHz内存256MB512MB硬盘剩余10G以上空间剩余20G以上空间客户端配置需求:客户端需求配置建议配置操作系统简英繁版本下的windows2000 / XP / 2003简英繁版本下的windows 2000 / XP / 2003处理器P4 - 1.7GBHzP4 - 1.7GBHz内存256MB512MB硬盘剩余10G以上空间剩余20G以上空间1. 第四章 企业资质及相
22、关产品4.1 企业资质拥有多项国家权威认证证书:高新技术企业 发证机关:广州市科学技术局 统一编号:XB-05181软件企业认定证书 发证机关:广东省信息产业厅 证书编号:粤R-2007-0028GM-SMP-U移动存储设备管理系统军用信息安全产品认证证书军密认字第0587号GM-SMP-U移动存储设备管理系统涉密信息系统产品检测证书ISSTEC2008YT0618 发证单位:国家保密局涉密信息系统安全保密测评中心GM-SMP主机监控与审计系统涉密信息系统产品检测证书涉密信息系统产品检测证书(编号:ISSTEC2005YT0264)发证机关:国家保密局涉密信息系统安全保密测评中心 计算机信息系
23、统安全专用产品销售许可证(证书编号XKC30651)发证机关:公安部公共信息网络安全监察局计算机软件著作权登记证书 :软件名称:晴窗小筑信息安全软件 (简称:晴窗小筑)编号:软著登字第09286号,登记号:2004SR00885 发证机关:中华人民共和国国家版权局软件名称:晴窗中文大侠(简称:中文大侠) 编号:软著登字第008358号,登记号:2003SR3267 发证机关:中华人民共和国国家版权局 软件名称:GM-SMP主机监控与审计系统V1.0 编号:软著登字第056994号,登记号:2006SR09328 发证机关:中华人民共和国国家版权局 软件名称:GM-SMP-D涉密计算机存储介质保
24、密系统V1.0(简称:绝密空间) 编号:软著登字第056993号,登记号:2006SR09327 发证机关:中华人民共和国国家版权局软件名称:GM-SMP-U移动存储设备管理系统v1.0(简称:U盘管理系统) 编号:软著登字第069455号,登记号:2007SR03460 发证机关:中华人民共和国国家版权局4.2 其他相关产品 GM-SMP-U移动存储设备管理(单机版) GM-SMP主动防信息泄密综合管理平台 GM-SMP-I 上网行为监控系统 GM-SMP-K 身份认证系统 GM-SMP-P 涉密单机保密系统 GM-SMP-A 准接入和IP管理系统 GM-SMP-S Securefile文档保护系统 GM-SMP-F Foxfile文档外发控制系统