安全電腦的介紹ppt課件

1、ThinkCentre M8000t平安DisclosureRelease 2021-8-3前言本資料的目的客戶為-KAB-Central technical support, -KAB-Region technical support, -KAB-Sales support, ligangm, wangyuanf；ContentThinkCentre M8000t目的客戶和主訴求TCM芯片引見聯(lián)想數(shù)據(jù)盾牌v2.0引見U盤無憂的五點(diǎn)客戶價(jià)值ThinkCentre M8000t平安機(jī)型主訴求和目的客戶產(chǎn)品名稱： ThinkCentre M8000t安全機(jī)型產(chǎn)品定位 M8000t安全機(jī)型，定位于高

2、端及特殊行業(yè)客戶，追求臺(tái)式產(chǎn)品極致安全性和主流性能的客戶群。首要賣點(diǎn) 在ThinkCentre產(chǎn)品高品質(zhì)、綠色環(huán)保、易管理三大賣點(diǎn)的基礎(chǔ)上，內(nèi)置TCM芯片，進(jìn)一步提升了整機(jī)的安全性。賣點(diǎn)支撐點(diǎn) M8000t系列安全機(jī)型標(biāo)配TCM安全芯片，并捆綁聯(lián)想“聯(lián)想數(shù)據(jù)盾牌2.0”安全解決方案。 增加重要功能-“U盤無憂” 指紋鍵盤 + 低輻射顯示器目標(biāo)客戶 高端及特殊行業(yè)客戶，如政府、軍工等對(duì)數(shù)據(jù)保密有極致需求的客戶群。Placeholder-presentation title | 6 April, 2006 Page 5 of 12ThinkCentre M8000t平安機(jī)型外觀可靠的身份及硬件維護(hù)

3、方案可以與用戶windows登錄密碼關(guān)聯(lián)，免除客戶每次登錄系統(tǒng)時(shí)都要輸入密碼的繁瑣操作；可以與ThinkCentre的指紋軟件配合運(yùn)用，用指紋來替代網(wǎng)站登錄密碼、郵箱密碼等；Thinkcentre平安系列都可以經(jīng)過CTO選配此部件。指紋鍵盤功能引見可靠的硬件維護(hù)方案經(jīng)過平安芯片TCM加密，維護(hù)用戶數(shù)據(jù)平安指紋鍵盤與平安PC配合，進(jìn)一步防護(hù)用戶數(shù)據(jù)低輻射顯示器防止屏幕信息走漏平安機(jī)型+指紋鍵盤+低輻射顯示器：自在組合三重?cái)?shù)據(jù)平安方案TCM芯片信息嚴(yán)密加密Thinkcentre M系列平安機(jī)型指紋鍵盤TCM低輻射顯示器關(guān)聯(lián)防走漏TCM芯片簡介國家規(guī)范可信計(jì)算芯片級(jí)數(shù)據(jù)維護(hù)權(quán)威政府部門認(rèn)證TCM芯片

4、嵌入國家規(guī)范可信計(jì)算ThinkCentre M8000t平安機(jī)型采用符合國家規(guī)范的可信計(jì)算密碼模塊TCMTrusted Cryptology Module);TCM平安芯片是中國政府獨(dú)一答應(yīng)在中國大陸消費(fèi)和銷售的中心密碼模塊。 推進(jìn)政府采購政策出臺(tái)國密局“含密碼技術(shù)的信息產(chǎn)品政府采購政策已于2021年3月1日出臺(tái)，為TCM創(chuàng)建了良好政策環(huán)境；推進(jìn)TCM進(jìn)入“科技部自主創(chuàng)新目錄，然后進(jìn)入“財(cái)政部首購清單在推進(jìn)國家信息系統(tǒng)平安等級(jí)維護(hù)政策中，明確規(guī)定3級(jí)以上信息系統(tǒng)的設(shè)備要求運(yùn)用TCM芯片芯片級(jí)數(shù)據(jù)維護(hù)鞏固的中心算法： 平安芯片采用國密局同意的橢圓曲線平安密碼算法，強(qiáng)行破解需求10萬年以上；獨(dú)立的

5、平安計(jì)算與存儲(chǔ)： 獨(dú)立于主機(jī)操作系統(tǒng)，免受非法攻擊；一切對(duì)加密數(shù)據(jù)的訪問必需經(jīng)過TCM芯片授權(quán)；經(jīng)過授權(quán)和認(rèn)證后才可以讀出或?qū)懭霐?shù)據(jù)；TCM芯片作為平安存儲(chǔ)區(qū)，保管客戶重要數(shù)據(jù)口令、密鑰、指紋模版等，并且保證這些數(shù)據(jù)不出芯片。注：TCM平安芯片必需初始化之后方可運(yùn)用。權(quán)威政府部門認(rèn)證權(quán)威認(rèn)證： 獲得國家公安部的信息平安產(chǎn)品檢測證書，確保平安性。 ThinkCentre M8000t權(quán)威政府部門認(rèn)證權(quán)威認(rèn)證： 獲得國家嚴(yán)密局的涉密信息系統(tǒng)產(chǎn)品檢測證書，確保平安性。 ThinkCentre M8000t權(quán)威政府部門認(rèn)證權(quán)威認(rèn)證： 獲得國家密碼管理局的技術(shù)鑒定和測試認(rèn)證的產(chǎn)品，確保平安性。 平安芯片

6、權(quán)威政府部門認(rèn)證權(quán)威認(rèn)證： 獲得國家密碼管理局的技術(shù)鑒定和測試認(rèn)證的產(chǎn)品，確保平安性。 可信計(jì)算密碼支撐平臺(tái)權(quán)威政府部門認(rèn)證權(quán)威認(rèn)證： 獲得國家信息平安中心的信息技術(shù)產(chǎn)品平安評(píng)測證書認(rèn)證的產(chǎn)品，確保平安性。 ThinkCentre M8000t數(shù)據(jù)盾牌運(yùn)用1.0 晉級(jí)到 2.01Q 20092Q 20093Q 20094Q 20091Q 20102Q 20103Q 2010數(shù)據(jù)盾牌1.0ThinkCentre M4000t (G31)數(shù)據(jù)盾牌2.0 “U盤無憂ThinkCentre M4000t (G31)ThinkCentre M8000t (Q45)Page 16Page 17聯(lián)想數(shù)據(jù)盾牌

7、2.0 功能總集運(yùn)用功能+管理功能FeaturesFunctionsBenefitsU盤無憂格式化成安全U盤，才可能在授權(quán)域內(nèi)安全使用，支持在可控范圍內(nèi)共享使用U盤無憂，高可靠和實(shí)用的安全USB管理方案文件個(gè)人加/解密私密信息數(shù)據(jù)安全保護(hù)采用TCM安全芯片作為密鑰存儲(chǔ)和管理的硬件設(shè)備，保證了數(shù)據(jù)防丟失、防盜竊、防破壞.高強(qiáng)度本地?cái)?shù)據(jù)安全文件多人共享加/解密共享私密數(shù)據(jù)安全保護(hù)，采用TCM安全芯片實(shí)現(xiàn)授權(quán)用戶共享加密，保證文件在授權(quán)主機(jī)間合法傳遞多人共享數(shù)據(jù)安全，合法用戶共享安全數(shù)據(jù)、非合法用戶禁用文件保險(xiǎn)箱硬盤上創(chuàng)建的私人保密空間，將文件放入保險(xiǎn)箱的同時(shí)，完成數(shù)據(jù)加密，保險(xiǎn)箱關(guān)閉后，包括Win

8、dows也無法查看到保險(xiǎn)箱內(nèi)的文件提供虛擬磁盤鏡像級(jí)數(shù)據(jù)安全、批量保護(hù)文件，及文件存儲(chǔ)位置密鑰備份/恢復(fù)支持終端和IT管理端對(duì)于安全芯片密鑰等關(guān)鍵數(shù)據(jù)的備份/恢復(fù)機(jī)制，保證整個(gè)系統(tǒng)容災(zāi)和可維護(hù)獲取系統(tǒng)容災(zāi)和可維護(hù)能力，通過數(shù)據(jù)轉(zhuǎn)移和密鑰備份/恢復(fù)機(jī)制，保證加密數(shù)據(jù)容災(zāi)能力日志和審計(jì)提供終端行為日志和審計(jì)，方便IT管理員對(duì)終端計(jì)算機(jī)使用人的行為審計(jì).保證行為的有跡可查、無法抵賴密鑰保護(hù)基于TCM密鑰保護(hù)，即使操作系統(tǒng)崩潰，密鑰仍然不會(huì)受到損壞基于TCM安全芯片的密鑰保護(hù)，不依賴操作系統(tǒng)，即使操作系統(tǒng)損壞或崩潰，密鑰仍然不會(huì)受到損壞，保證加密數(shù)據(jù)可恢復(fù)終端策略控制集中管理終端策略，普通USB設(shè)備策

9、略、安全USB設(shè)備策略、客戶端卸載策略可控最簡便的基于服務(wù)器-客戶端結(jié)構(gòu)可管理方案集中管理基于服務(wù)器-客戶端方式實(shí)現(xiàn)集中管理，終端身份及密鑰信息集中管理，同時(shí)支持策略集中管理最簡便的基于服務(wù)器-客戶端結(jié)構(gòu)可管理方案，最低管理員學(xué)習(xí)成本，實(shí)現(xiàn)集中管理功能優(yōu)質(zhì)可用性設(shè)計(jì)簡單易用，容易上手，用戶部署學(xué)習(xí)成本降到最低最低的IT管理成本，最佳用戶可用性低本錢、高平安的高效USB內(nèi)網(wǎng)防走漏方案處理USB盤在“平安域中平安合法運(yùn)用問題基于TCM可信芯片維護(hù)，硬件級(jí)高強(qiáng)度支持基于通用USB設(shè)備，無需額外硬件本錢低本錢高效實(shí)現(xiàn)方案“U盤無憂的客戶價(jià)值1 處理“公司數(shù)據(jù)經(jīng)過U盤泄密的問題平安U盤合法的計(jì)算機(jī)之間自

10、動(dòng)進(jìn)展密鑰和戰(zhàn)略的傳送非法的計(jì)算機(jī)公司內(nèi)網(wǎng)公司外網(wǎng)平安U盤Page 18用戶需求場景描畫： 公司范圍內(nèi)，希望可以自在運(yùn)用U盤拷貝交換文件 U盤內(nèi)容只能在公司范圍內(nèi)查看及修正 分開公司范圍內(nèi)，不能查看該U盤的內(nèi)容“U盤無憂實(shí)現(xiàn)方案： 平安U盤中的文件經(jīng)過公司主機(jī)TCM進(jìn)展加密維護(hù) 只需公司范圍內(nèi)的機(jī)器才干解密公司范圍外的機(jī)器無法解密查看 寫入平安U盤的數(shù)據(jù)文件被自動(dòng)加密，用戶無需干涉合法的計(jì)算機(jī)低本錢、高平安的高效USB內(nèi)網(wǎng)防走漏方案處理USB盤在“平安域中平安合法運(yùn)用問題基于TCM可信芯片維護(hù)，硬件級(jí)高強(qiáng)度支持基于通用USB設(shè)備，無需額外硬件本錢低本錢高效實(shí)現(xiàn)方案“U盤無憂的客戶價(jià)值2 滿足“

11、限制內(nèi)網(wǎng)數(shù)據(jù)傳播范圍的用戶需求用戶需求場景描畫： 在公司范圍中，希望限制文件的傳播范圍 無權(quán)限用戶不能查看其內(nèi)容“U盤無憂實(shí)現(xiàn)方案： 平安U盤一切者可以指定“平安U盤運(yùn)用人 “在平安U盤運(yùn)用人范圍內(nèi)的用戶機(jī)器可以掛載該U盤，并正常運(yùn)用 不在“平安U盤運(yùn)用人范圍內(nèi)的用戶機(jī)器，無法掛載改U盤給出用戶提示平安U盤一切者可以修正“平安U盤運(yùn)用人，更改其運(yùn)用范圍合法的計(jì)算機(jī)之間自動(dòng)進(jìn)展密鑰和戰(zhàn)略的傳送公司內(nèi)網(wǎng)平安U盤低本錢、高平安的高效USB內(nèi)網(wǎng)防走漏方案處理USB盤在“平安域中平安合法運(yùn)用問題基于TCM可信芯片維護(hù)，硬件級(jí)高強(qiáng)度支持基于通用USB設(shè)備，無需額外硬件本錢低本錢高效實(shí)現(xiàn)方案“U盤無憂的客戶

12、價(jià)值3滿足“制止外來U盤在公司范圍內(nèi)運(yùn)用的需求用戶需求場景描畫： 在公司范圍中，希望限制外來U盤不能運(yùn)用 限制外來U盤數(shù)據(jù)拷貝/交換，呵斥泄密 防止外來U盤帶來惡意程序或病毒“U盤無憂實(shí)現(xiàn)方案： 外來U盤不能掛載 非平安U盤插入主機(jī)后，給出提示告知用戶不能掛載 該功能需求管理員軟件設(shè)置“客戶端戰(zhàn)略為“制止運(yùn)用普通U盤合法的計(jì)算機(jī)之間自動(dòng)進(jìn)展密鑰和戰(zhàn)略的傳送公司內(nèi)網(wǎng)平安U盤非平安USB盤低本錢、高平安的高效USB內(nèi)網(wǎng)防走漏方案處理USB盤在“平安域中平安合法運(yùn)用問題基于TCM可信芯片維護(hù)，硬件級(jí)高強(qiáng)度支持基于通用USB設(shè)備，無需額外硬件本錢低本錢高效實(shí)現(xiàn)方案“U盤無憂的客戶價(jià)值4 滿足“U盤行為

13、事后審計(jì)的需求用戶需求場景描畫： 一切的U盤拷貝/交換行為，均可以事后審計(jì)查詢 提供公司級(jí)平安審計(jì)監(jiān)管 發(fā)生泄密事件，可以回溯審計(jì)查詢“U盤無憂實(shí)現(xiàn)方案： 提供終端U盤行為日志和審計(jì)功能 具備本地日志記錄查詢及管理員審計(jì)查詢功能 日志記錄集中上傳到管理員端，管理員集中管理審計(jì) 行為審計(jì)采用TCM簽名，保證有跡可查、無法抵賴低本錢、高平安的高效USB內(nèi)網(wǎng)防走漏方案處理USB盤在“平安域中平安合法運(yùn)用問題基于TCM可信芯片維護(hù)，硬件級(jí)高強(qiáng)度支持基于通用USB設(shè)備，無需額外硬件本錢低本錢高效實(shí)現(xiàn)方案“U盤無憂的客戶價(jià)值5 滿足“低本錢、高易用性需求用戶需求場景描畫： 需求：低硬件本錢 不希望購買昂貴

14、的公用U盤硬件 需求：低管理本錢 實(shí)現(xiàn)簡單易用的管理，管理員不希望破費(fèi)過多的管理時(shí)間 需求：低學(xué)習(xí)培訓(xùn)本錢 希望“客戶端和管理員軟件均容易上手，不用專門的培訓(xùn)和學(xué)習(xí)“U盤無憂實(shí)現(xiàn)方案： 基于TCM實(shí)現(xiàn)硬件級(jí)平安維護(hù)，無需公用U盤 將普通U盤格式化成“受TCM維護(hù)的平安U盤 插入該U盤時(shí)，必需需求TCM平安驗(yàn)證經(jīng)過才干掛載運(yùn)用 TCM驗(yàn)證未經(jīng)過，制止掛載 基于CS架構(gòu)，采用最簡便管理員集中管理方案 多人加密功能，需求參與到效力器組才干支持，并接受管理員管理 精簡集中管理，將管理員管理任務(wù)降到最低，實(shí)現(xiàn)最低IT管理本錢 支持“孤島PC和離線管理設(shè)計(jì) 軟件整體簡單易用，符合用戶運(yùn)用習(xí)慣，無需專門的學(xué)

15、習(xí)和培訓(xùn)過程BACK UPPage 25產(chǎn)品概要 Executive SummaryU盤無憂全面維護(hù)企業(yè)USB挪動(dòng)存儲(chǔ)平安國家規(guī)范，可信計(jì)算芯片級(jí)的數(shù)據(jù)維護(hù)權(quán)威的政府部門認(rèn)證簡單易用的功能設(shè)計(jì)處理“企業(yè)USB挪動(dòng)存儲(chǔ)設(shè)備呵斥信息泄露的處理方案中國區(qū)政府、軍工、大企業(yè)客戶零價(jià)錢，隨機(jī)軟件U盤無憂 “30s話述“U盤無憂是一款處理“運(yùn)用USB挪動(dòng)存儲(chǔ)設(shè)備呵斥信息泄露問題的處理方案它適用于“政府、軍工、大企業(yè)客戶，可以為目的用戶處理普通性USB數(shù)據(jù)走漏問題該產(chǎn)品采用符合國家規(guī)范的可信計(jì)算密碼模塊TCM實(shí)現(xiàn)高平安硬件數(shù)據(jù)維護(hù)“U盤無憂經(jīng)過完善的可用性設(shè)計(jì)及測試，是一款“簡單、易用高平安處理方案Page

16、 27“U盤無憂主要功能制造受TCM維護(hù)的平安U盤個(gè)人公用平安U盤共享平安U盤C/S管理架構(gòu)審計(jì)及日志終端戰(zhàn)略管理分發(fā)和制造管理孤島終端管理TCM認(rèn)證綁定 制造受TCM維護(hù)的平安U盤：將普通U盤經(jīng)過TCM平安算法“平安格式化成“受TCM維護(hù)的平安U盤， 無需依賴特殊USB設(shè)備，本錢低、平安性高 個(gè)人平安公用USB： U盤綁定本機(jī)運(yùn)用，其他人不得查看其內(nèi)容共享平安USB： U盤在授權(quán)域內(nèi)平安運(yùn)用，非授權(quán)機(jī)器不能查看其內(nèi)容 C/S管理架構(gòu) :基于效力器-客戶端架構(gòu)管理平安U盤，采用最簡便管理員集中管理方案 TCM認(rèn)證綁定：經(jīng)過TCM硬件認(rèn)證維護(hù)，保證高平安級(jí)別的“U盤無憂功能 終端戰(zhàn)略管理：能否允

17、許運(yùn)用普通U盤，能否允許卸載客戶端不接受效力器管理 分發(fā)和制造管理 : 限制“分發(fā)和制造平安U盤的主機(jī)孤島終端管理：支持企業(yè)環(huán)境內(nèi)“孤島型終端機(jī)器參與“U盤無憂方案，滿足平安共享要求審計(jì)及日志：一切經(jīng)平安TCM認(rèn)證及加密的操作均進(jìn)展日志審計(jì)記錄，并上傳到效力器，提供事后審計(jì)和監(jiān)管才干功能詳細(xì)引見參考附錄頁“U盤無憂 交互界面Page 28U盤無憂平安U盤只能在其一切者指定的計(jì)算機(jī)上可以運(yùn)用，其它計(jì)算機(jī)無法運(yùn)用普通U盤根據(jù)戰(zhàn)略決議能否可以運(yùn)用文件加密本地加密共享加密文件保險(xiǎn)箱文件希望存儲(chǔ)在磁盤平安位置，并可以隱藏起來該磁盤平安位置必需經(jīng)過平安芯片口令認(rèn)證經(jīng)過后才干正常運(yùn)用制造受TCM維護(hù)的平安U

18、盤-低本錢，高平安的高效USB方案將普通U盤經(jīng)過TCM平安算法“平安格式化成“受TCM維護(hù)的平安U盤， 無需依賴特殊USB設(shè)備，本錢低、平安性高格式化普通U盤為“特殊文件格式的平安U盤主時(shí)機(jī)自動(dòng)識(shí)別“平安U盤和“普通U盤“平安U盤，需求TCM認(rèn)證經(jīng)過才干翻開“普通U盤，根據(jù)戰(zhàn)略可以制止運(yùn)用寫入平安U盤中的文件將“自動(dòng)加密，不用用戶干涉，簡單高效Page 29平安格式化普通USB設(shè)備平安USB設(shè)備經(jīng)過將平安U盤“格式化為普通U盤，可以把平安U盤降級(jí)為普通U盤重新運(yùn)用，最大限制重用資產(chǎn)平安USB盤格式闡明 平安U盤被格式化為“平安鏡像文件，翻開該鏡像文件需求TCM認(rèn)證經(jīng)過 USB盤根本信息包括：O

19、wner、標(biāo)識(shí)、容量、卷標(biāo)將被寫入鏡像文件 該平安USB盤的“可運(yùn)用人列表記入鏡像文件根本信息中 每個(gè)USB盤只能被制形成一個(gè)平安USB盤，不支持多分區(qū)方式 寫入平安USB盤中的文件將遭到TCM平安維護(hù)，無權(quán)限主機(jī)無法翻開查看共享平安U盤共享平安U盤，實(shí)現(xiàn)公司范圍內(nèi)文件的平安共享，防止經(jīng)過USB設(shè)備泄露文件經(jīng)過“平安USB設(shè)備傳送外來普通USB設(shè)備經(jīng)過戰(zhàn)略可以禁用“平安USB設(shè)備在授權(quán)域內(nèi)平安運(yùn)用，非授權(quán)機(jī)器不能查看其內(nèi)容平安USB設(shè)備，可以在平安內(nèi)網(wǎng)中運(yùn)用不能在平安內(nèi)網(wǎng)外運(yùn)用，看不到其文件格式平安USB設(shè)備的“一切人Owner，可以在平安內(nèi)網(wǎng)中指定該USB設(shè)備的運(yùn)用范圍哪些機(jī)器可以運(yùn)用平安內(nèi)

20、網(wǎng)中，指定范圍內(nèi)的機(jī)器，可以共享該USB設(shè)備，正常運(yùn)用平安內(nèi)網(wǎng)中， 非指定范圍內(nèi)的機(jī)器，可以掛載該設(shè)備，但是無權(quán)查看其內(nèi)容外來普通USB設(shè)備，經(jīng)過戰(zhàn)略設(shè)定，不能在平安內(nèi)網(wǎng)中運(yùn)用Page 30只需該平安USB盤的一切人，可以經(jīng)過“修正平安USB盤運(yùn)用人功能，修正該USB設(shè)備的運(yùn)用范圍可運(yùn)用人范圍是：參與到同一個(gè)效力器組內(nèi)的用戶機(jī)器個(gè)人公用平安U盤將個(gè)人重要數(shù)據(jù)文件用“個(gè)人公用平安U盤進(jìn)展備份存儲(chǔ)，實(shí)現(xiàn)個(gè)人數(shù)據(jù)平安備份功能格式化USB設(shè)備為“個(gè)人獨(dú)享平安USB設(shè)備此USB設(shè)備綁定本機(jī)運(yùn)用，其他人不得查看其內(nèi)容Page 31平安備份個(gè)人獨(dú)享的平安USB“U盤無憂的效力器-客戶端管理架構(gòu)Page 32

21、基于效力器-客戶端架構(gòu)，采用最簡便管理員集中管理方案效力器集中管理一切客戶端懇求和注銷懇求效力器集中管理一切客戶端的授權(quán)信息客戶端懇求參與效力器，將上傳本人的授權(quán)信息當(dāng)組內(nèi)授權(quán)信息發(fā)生變化時(shí)，效力器自動(dòng)下傳授權(quán)更新信息列表到每個(gè)客戶端客戶端及效力器端均保管一份“授權(quán)信息列表，并定時(shí)更新，堅(jiān)持一致運(yùn)用“共享平安U盤的用戶必需參與同一效力器，接受集中管理效力器可以控制客戶端機(jī)器的USB端口管理戰(zhàn)略能否可以運(yùn)用普通USB設(shè)備禁用/只讀/讀寫能否可以制造平安USB設(shè)備數(shù)據(jù)盾牌效力器參與效力器并接受集中管理平安共享U盤安裝了數(shù)據(jù)盾牌效力器端軟件“U盤無憂客戶端終端戰(zhàn)略管理效力器控制終端戰(zhàn)略，集中管理終端

22、設(shè)備平安機(jī)制，包括：普通USB設(shè)備接入戰(zhàn)略能否允許某終端接入普通USB設(shè)備非平安USB設(shè)備平安USB設(shè)備戰(zhàn)略能否允許某終端將普通U盤制形成“平安USB設(shè)備客戶端卸載戰(zhàn)略能否允許某終端卸載平安TCM運(yùn)用軟件，不接受平安管理Page 33允許運(yùn)用普通USB設(shè)備？只讀/讀寫/禁用允許制造平安USB設(shè)備？允許卸載TCM 平安運(yùn)用？“U盤無憂孤島終端管理支持企業(yè)環(huán)境內(nèi)“孤島型終端機(jī)器參與平安方案，滿足平安共享要求滿足以文件方式注冊/注銷效力器的功能，并接受效力器以文件方式為“孤島終端制定的平安戰(zhàn)略支持孤島終端經(jīng)過文件方式注冊效力器支持“制造注銷答應(yīng)證的方式注銷效力器Page 34“U盤無憂對(duì)離線客戶端的

23、支持允許客戶端暫時(shí)離線，客戶端在線后，會(huì)自動(dòng)接受效力器管理并更新權(quán)限列表及戰(zhàn)略，滿足企業(yè)環(huán)境內(nèi)客戶端/效力器暫時(shí)離線的管理要求不要求客戶端或效力器實(shí)時(shí)在線，離線時(shí)客戶端依然可以獨(dú)立完成加解密及共享功能權(quán)限列表及戰(zhàn)略存儲(chǔ)在本地，發(fā)生變化時(shí)即時(shí)下發(fā)更新短暫離線后，一旦連線效力器，自動(dòng)更新權(quán)限列表及戰(zhàn)略長時(shí)間離線情況，可以經(jīng)過“孤島終端方式獲得效力器權(quán)限列表及戰(zhàn)略更新Page 35“U盤無憂分發(fā)和制造管理效力器可以限制“分發(fā)和制造平安U盤的主機(jī)，限制管理功能集中實(shí)現(xiàn)Page 36用戶需求場景描畫： 用戶希望控制公司內(nèi)平安U盤的流通及運(yùn)用，防止濫用U盤呵斥數(shù)據(jù)走漏 制止隨意制造平安U盤，及擴(kuò)展平安U盤

24、的運(yùn)用范圍。典型需求如： 只需管理員才干制造平安U盤 只需管理員才干指定平安U盤的運(yùn)用人 普通員工只能接受分發(fā)U盤，并接受該U盤的運(yùn)用范圍“U盤無憂 實(shí)現(xiàn)方案： 效力器軟件設(shè)置：客戶端終端管理戰(zhàn)略“允許制造平安USB設(shè)備為“制止制造 普通員工的客戶端主機(jī)不能制造平安U盤 普通員工的客戶端主機(jī)不能修正U盤運(yùn)用人 只能接受管理員分發(fā)“U盤無憂審計(jì)及日志一切經(jīng)平安TCM認(rèn)證及加密的操作均進(jìn)展日志審計(jì)記錄，并上傳到效力器，提供事后審計(jì)和監(jiān)管才干提供終端行為日志和審計(jì)，方便IT管理員對(duì)終端計(jì)算機(jī)運(yùn)用人的行為審計(jì)采用TCM簽名，保證行為的有跡可查、無法抵賴管理員可集中一切客戶端日志審計(jì)信息，可管理性更強(qiáng)本

25、機(jī)審計(jì)效力器審計(jì)定期上傳效力器，供管理員審計(jì)Page 37TCM認(rèn)證綁定-TCM芯片登錄口令管理“U盤無憂的一切平安功能均遭到“TCM芯片口令維護(hù)，一切平安功能均需求平安芯片口令驗(yàn)證經(jīng)過才干運(yùn)用第一次運(yùn)用平安軟件時(shí)，會(huì)彈出“初次運(yùn)用的窗口，用戶可以創(chuàng)建口令，設(shè)置口令提示問題和答案用戶提示問題用于用戶忘記口令時(shí)，重置口令時(shí)運(yùn)用該口令和答案將在芯片和本地配置文件加密保管中同時(shí)備份，作為容災(zāi)時(shí)數(shù)據(jù)恢復(fù)運(yùn)用為保證系統(tǒng)容災(zāi)能夠性，初始化過程中，強(qiáng)迫要求用戶備份口令；用戶可選擇“記住口令功能，但是在系統(tǒng)“屏保/休眠/注銷/鎖定/重啟后，記住口令功能自動(dòng)失效Page 38TCM認(rèn)證綁定-加密密鑰的封裝自動(dòng)傳

26、送為多人加密，多人密鑰將隨文件頭自動(dòng)封裝傳送，無需交換密鑰，減少握手交換次數(shù) 為多人加密密鑰封裝機(jī)制根本原理如下： TCM產(chǎn)生隨鑰 用授權(quán)用戶密鑰加密隨鑰，并封裝在文件頭內(nèi) 多人加密授權(quán)用戶獲得文件后，直接拆解文件頭，驗(yàn)證本鑰能否封裝在文件頭內(nèi)，匹配驗(yàn)證經(jīng)過后，獲得隨鑰解密Page 39封裝的加密文件“為多人加密、“平安USB功能均基于該機(jī)制實(shí)現(xiàn)TCM認(rèn)證綁定-不依賴于操作系統(tǒng)的密鑰維護(hù)密鑰維護(hù)不依賴于操作系統(tǒng)，即使操作系統(tǒng)損壞、解體、或者重裝，依然可以恢復(fù)加密的數(shù)據(jù)文件 當(dāng)OS被修復(fù)或重裝后，數(shù)據(jù)文件可正常加解密，不會(huì)喪失Page 40HWTCM操作系統(tǒng)TCM認(rèn)證綁定-兼容指紋識(shí)別功能對(duì)于有

27、指紋識(shí)別的主機(jī)，可以用指紋驗(yàn)證替代“平安芯片口令驗(yàn)證，提高平安性和易用性兼容Zhaoyang K43a默許運(yùn)用“指紋驗(yàn)證替代“平安芯片驗(yàn)證，且用戶可以根據(jù)個(gè)人喜好設(shè)置Page 41系統(tǒng)容災(zāi)- 密鑰備份/恢復(fù)系統(tǒng)容災(zāi)才干經(jīng)過密鑰備份/恢復(fù)機(jī)制和數(shù)據(jù)轉(zhuǎn)移，保證加密數(shù)據(jù)容災(zāi)才干加密文件轉(zhuǎn)移到新計(jì)算機(jī)上經(jīng)過密鑰恢復(fù)機(jī)制，初始化TCM芯片為“備份密鑰即可解密嚴(yán)密文件，保證“加密數(shù)據(jù)文件異地可恢復(fù)Page 42災(zāi)難恢復(fù)可維護(hù)才干 - 密鑰備份/恢復(fù)續(xù)硬件缺點(diǎn)可維護(hù)才干當(dāng)TCM等硬件缺點(diǎn)時(shí)，可以經(jīng)過“密鑰備份/恢復(fù)機(jī)制和硬件改換，保證加密數(shù)據(jù)可恢復(fù)改換或修復(fù)TCM硬件經(jīng)過密鑰恢復(fù)機(jī)制，初始化TCM芯片為“備

28、份密鑰即可解密嚴(yán)密文件，保證“加密數(shù)據(jù)文件硬件缺點(diǎn)可恢復(fù)Page 43效力器端災(zāi)難恢復(fù)當(dāng)效力器解體或重裝OS時(shí)，應(yīng)該對(duì)本地授權(quán)列表做備份并且可以及時(shí)恢復(fù)，以實(shí)現(xiàn)效力器重建或恢復(fù)功能手動(dòng)備份：管理員手動(dòng)備份到文件。手動(dòng)恢復(fù)：管理員從備份文件恢復(fù)到效力器。從客戶端恢復(fù)：管理員可以從客戶端導(dǎo)出授權(quán)文件并恢復(fù)到效力期。Page 44其它功能-個(gè)人加/解密將本機(jī)保管的文件，經(jīng)過TCM進(jìn)展加解密，以密文方式保管在本地采用TCM芯片內(nèi)獨(dú)有的密鑰進(jìn)展數(shù)據(jù)維護(hù)，被加密的數(shù)據(jù)文件只需運(yùn)用這個(gè)芯片的密鑰才干正常解密本地加密后，原明文文件將自動(dòng)刪除，并用隨機(jī)數(shù)覆蓋存儲(chǔ)地址，只保管加密后的密文選定文件夾加密后，該文件夾

29、中一切文件都被加密Page 45限制條件：本地加密的文件主要對(duì)用戶數(shù)據(jù)進(jìn)展維護(hù)，對(duì)于Windows/Program Files等操作系統(tǒng)目錄下的文件不提供維護(hù)功能，防止用戶誤操作導(dǎo)致操作系統(tǒng)無法正常運(yùn)轉(zhuǎn)。標(biāo)志有“系統(tǒng)或“隱藏屬性的文件，以及“聯(lián)想數(shù)據(jù)盾牌安裝目錄下的文件不提供文件維護(hù)功能。本地加密對(duì)于當(dāng)前無法操作的文件無法進(jìn)展加密，例如：文件正在翻開形狀、沒有訪問權(quán)限、文件曾經(jīng)被破壞、隱藏文件等。加密功能加密文件快捷方式時(shí)加密的實(shí)踐是源文件，不是加密快捷方式。曾經(jīng)是聯(lián)想數(shù)據(jù)盾牌加密后的文件，不能再次加密。其它功能-為多人加/解密Page 46將文件進(jìn)展共享加密，文件以密文方式保管，并可以在指定

30、范圍內(nèi)的機(jī)器上解密 加密文件時(shí)，選擇“可解密人 選擇“可解密人的過程是向加密文件中添加授權(quán)信息，添加一個(gè)授權(quán)信息闡明該授權(quán)信息所屬的計(jì)算機(jī)可以解密該文件 之后被加密的文件可以在指定“可解密人機(jī)器范圍內(nèi)被解密不限定用戶采用何種方式將“為多人加密的文件轉(zhuǎn)移到其它機(jī)器上具有解密權(quán)限的運(yùn)用人，可以經(jīng)過“修正可解密人功能，修正該文件的可解密人范圍可解密人范圍是：參與到同一個(gè)效力器組內(nèi)的用戶機(jī)器其它功能-文件保險(xiǎn)箱Page 47文件保險(xiǎn)箱是用來維護(hù)用戶數(shù)據(jù)防止被偷漏、惡意刪除、以及木馬病毒攻擊的有效方式， 初次運(yùn)用本功能時(shí)，需求格式化一塊硬盤空間為“文件保險(xiǎn)箱空間 放入文件保險(xiǎn)箱中文件，得到TCM平安維護(hù) 翻開保險(xiǎn)箱時(shí)，需求TCM驗(yàn)證經(jīng)過 封鎖文件保險(xiǎn)箱后，看不到保險(xiǎn)箱中的文件及目錄內(nèi)容 文件保險(xiǎn)箱可以被刪除，但是會(huì)提示用戶“需求先刪除其中的內(nèi)容，且要求TCM驗(yàn)證經(jīng)過文件保險(xiǎn)箱是保管在D盤的虛擬磁盤文件映射出來的虛擬磁盤文件保險(xiǎn)箱必需經(jīng)過平安芯片口令認(rèn)證經(jīng)過后才干正常運(yùn)用數(shù)據(jù)盾牌2.0系統(tǒng)構(gòu)造圖Page 48數(shù)據(jù)盾牌2.0客戶端軟件組成及功能模塊名功能描述1TCM管理該模塊負(fù)責(zé)對(duì)TCM的Owner、TCM的密鑰、TCM NV的管理。包括：