主機安全及管理系統(tǒng)ifc-ets v5產(chǎn)品方案v1

1、本文檔切權(quán)利。所有資料進行歸上訊所有（簡稱上訊信息），并保留一，任何公司和個人不得將此文檔中的包括其中所含的。否則，本公司將、公開、?；蛞云渌绞健⑸l(fā)給第必將其本文檔僅提供階段性信息，因市場情況變化迅速，所含內(nèi)容可根據(jù)產(chǎn)品的實際情況隨時更新、修改，恕不另行通知。所以，本文檔參考使用，不提供的擔(dān)保，如因文檔使用不當(dāng)造成的直接或間接損失，本公司不承擔(dān)任何責(zé)任。地址：市浦東新區(qū)科技園區(qū)路 號 號樓： ： 郵箱：YN傳真： 本文檔切權(quán)利。所有資料進行歸上訊所有（簡稱上訊信息），并保留一，任何公司和個人不得將此文檔中的包括其中所含的。否則，本公司將、公開、?；蛞云渌绞?、散發(fā)給第必將其本文檔僅提供階段

2、性信息，因市場情況變化迅速，所含內(nèi)容可根據(jù)產(chǎn)品的實際情況隨時更新、修改，恕不另行通知。所以，本文檔參考使用，不提供的擔(dān)保，如因文檔使用不當(dāng)造成的直接或間接損失，本公司不承擔(dān)任何責(zé)任。地址：市浦東新區(qū)科技園區(qū)路 號 號樓： ： 郵箱：YN傳真： 目錄1方案概2需求分 現(xiàn)狀分 目錄1方案概2需求分 現(xiàn)狀分 設(shè)計原3解決方方案介部署模技術(shù)特 =KH 6UXZGR準(zhǔn)入控制技 .技術(shù)高可靠 認(rèn) 功能介 . 3.4.5 3.4.5 4預(yù)期目1 方案概述、IPS、IDS 等常規(guī)安全，但在系，的的和IT1 方案概述、IPS、IDS 等常規(guī)安全，但在系，的的和IT 辦公終端安全需求 時，終端的外設(shè)端口，比如：

3、盤、9* 卡、紅外、藍牙IUS 局域網(wǎng)網(wǎng)絡(luò)共享、,:6、6、網(wǎng)盤等， 辦公終端安全需求 時，終端的外設(shè)端口，比如： 盤、9* 卡、紅外、藍牙IUS 局域網(wǎng)網(wǎng)絡(luò)共享、,:6、6、網(wǎng)盤等， 終端上通過數(shù)據(jù)管理類需求 +:9為4Z4)Z*3 稱.26及管。2.1.1合通過廣域網(wǎng)連接多個分支機構(gòu)的大型分布式網(wǎng)絡(luò)，同時可以與 InforCube 其他終端安全。2.1.2InforCbue IPC、筆記本電腦、移動設(shè)備、云端數(shù)據(jù)中心、2.1.1合通過廣域網(wǎng)連接多個分支機構(gòu)的大型分布式網(wǎng)絡(luò)，同時可以與 InforCube 其他終端安全。2.1.2InforCbue IPC、筆記本電腦、移動設(shè)備、云端數(shù)據(jù)中心

4、、2.1.3InforCube 網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)（NAC）、2.1.3InforCube 網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)（NAC）、95法案內(nèi)控體 及 方案設(shè)計始終考慮數(shù)據(jù)保護的安全需求；建議的方案設(shè)施后不會影響現(xiàn)有計算機網(wǎng)絡(luò)的安全性，不會降低現(xiàn)有系統(tǒng)的可靠性和可用性，不影響現(xiàn)有系統(tǒng)和網(wǎng)絡(luò)的性能；數(shù)據(jù)泄漏防護方案的自身安全性；可靠性：確保網(wǎng)絡(luò)不會因為數(shù)據(jù)保護設(shè)備故障而造成中斷；安全產(chǎn)品部署后，不會因此出現(xiàn)性能瓶頸； 在不增加現(xiàn)有工作量的基礎(chǔ)上，通過實現(xiàn)作的效率。95法案內(nèi)控體 及 方案設(shè)計始終考慮數(shù)據(jù)保護的安全需求；建議的方案設(shè)施后不會影響現(xiàn)有計算機網(wǎng)絡(luò)的安全性，不會降低現(xiàn)有系統(tǒng)的可靠性和可用性，不影響現(xiàn)有

5、系統(tǒng)和網(wǎng)絡(luò)的性能；數(shù)據(jù)泄漏防護方案的自身安全性；可靠性：確保網(wǎng)絡(luò)不會因為數(shù)據(jù)保護設(shè)備故障而造成中斷；安全產(chǎn)品部署后，不會因此出現(xiàn)性能瓶頸； 在不增加現(xiàn)有工作量的基礎(chǔ)上，通過實現(xiàn)作的效率。管理，能夠全面安全管理工 化的防護措施嚴(yán)格細粒度的控制靈活穩(wěn)定的加密轉(zhuǎn)中，安全是為業(yè)務(wù)正常運轉(zhuǎn)而服務(wù)的，所以隨著 BYOD靈活穩(wěn)定的加密轉(zhuǎn)中，安全是為業(yè)務(wù)正常運轉(zhuǎn)而服務(wù)的，所以隨著 BYOD。的案用戶全生命周期管理用戶全生命周期包含了用戶從入網(wǎng)： 數(shù)據(jù)創(chuàng)建：創(chuàng)建在技術(shù)層面包含新建以及重命名兩種動作，是作為文件的起始；數(shù)據(jù)使用：數(shù)據(jù)的使用包括作；、內(nèi)容、另存為、截屏、打印、保存等操 數(shù)據(jù)傳輸：通過任何途徑傳輸數(shù)據(jù)

6、都屬于數(shù)據(jù)傳輸；數(shù)據(jù)銷毀：將數(shù)據(jù)刪除屬于數(shù)據(jù)銷毀；針對審計體系，可以對數(shù)據(jù)全周期進行審計操作。針對控制體系，主要是對數(shù)據(jù)使用以及銷毀進行權(quán)限控制，并自動銷毀超時的數(shù)據(jù)。針對加密體系，主要是對數(shù)據(jù)的創(chuàng)建、保存以及傳輸進行加3.1 。/TL用戶全生命周期管理用戶全生命周期包含了用戶從入網(wǎng)： 數(shù)據(jù)創(chuàng)建：創(chuàng)建在技術(shù)層面包含新建以及重命名兩種動作，是作為文件的起始；數(shù)據(jù)使用：數(shù)據(jù)的使用包括作；、內(nèi)容、另存為、截屏、打印、保存等操 數(shù)據(jù)傳輸：通過任何途徑傳輸數(shù)據(jù)都屬于數(shù)據(jù)傳輸；數(shù)據(jù)銷毀：將數(shù)據(jù)刪除屬于數(shù)據(jù)銷毀；針對審計體系，可以對數(shù)據(jù)全周期進行審計操作。針對控制體系，主要是對數(shù)據(jù)使用以及銷毀進行權(quán)限控制，

7、并自動銷毀超時的數(shù)據(jù)。針對加密體系，主要是對數(shù)據(jù)的創(chuàng)建、保存以及傳輸進行加3.1 。/TLUX)HK/TUXK和可以隨時響應(yīng)用戶的需求，提供全年 客戶需要的技術(shù)支持級別通常取決于在 /TUXK關(guān)系的級別。很多客戶使用 /TUXK/TUXK/TUXK 技術(shù)服務(wù)解決方案涵蓋了 / 的所有產(chǎn)品并覆蓋。3.2 3.3 =KH 6UXZGR準(zhǔn)入控制技+:9 系統(tǒng)采3.2 3.3 =KH 6UXZGR準(zhǔn)入控制技+:9 系統(tǒng)采用 6UXZGR 強制認(rèn)證，當(dāng)偵測到網(wǎng)絡(luò)動作時，強制要求接入用戶進行認(rèn)證，認(rèn)證通過后，才會被允許網(wǎng)絡(luò)。 +:9 系統(tǒng)提供了策略路由技術(shù)來實現(xiàn)網(wǎng)絡(luò)準(zhǔn)入。這種技術(shù)架構(gòu)會依據(jù)匹配條件、控制列

8、表來過濾不符合條件的路由信息。部署方式靈活高效，工作簡易。 技術(shù)高可靠上訊信息研發(fā)的 +:9 系統(tǒng)采機熱備，具有高可靠性。雙機同時運行，當(dāng)其中一個運行設(shè)備出現(xiàn)故障時可立刻切換到熱備機保證業(yè)務(wù)的正常運行還提供了完整的恢復(fù)機制，使得發(fā)生故障后能以最快的速度進行恢復(fù)，保證系統(tǒng)的穩(wěn)定運行。 針采用將加密結(jié)構(gòu)作為文件格式自身的一部分，規(guī)避了之前加密結(jié)構(gòu)與數(shù)據(jù)加文件結(jié)構(gòu)脫離，加密之前的文件大小與加密后的文件保持一致，同時在底層數(shù)據(jù)加文件操作的加，一旦發(fā)生斷電等事件，將不會發(fā)生文件損壞問題。技術(shù)采用分段加技術(shù)，將加密內(nèi)容劃分為更小的區(qū)段，經(jīng)過實際測試，該數(shù)值可以定義為底層操作的原子操作，不會發(fā)生明文密文混雜

9、問題產(chǎn)生，從而避免了文件損壞問題的發(fā)生。數(shù)據(jù)加 覽明文，同時也 生。使用了目前先進輕巧的雙緩存技術(shù)，一明一密兩個緩存，合法應(yīng)用瀏用戶瀏覽密文，在保證用戶體驗的前提下，將性能影響降到最低，了驅(qū)動與應(yīng)用的兼容性，避免因程序造成文件損壞事件的發(fā) 技術(shù)應(yīng)用在系統(tǒng)空間內(nèi)，兼容 、金山、3I不能刪除及破壞系統(tǒng)自身表以及文件，保護了系統(tǒng)的正常運轉(zhuǎn) 用戶必須采用 ;9(1K_ ;9(1K_ 和輸令才能進入操作系統(tǒng)，而沒有 ;9(1K_ 或者不知道口令都不能進入系統(tǒng)。當(dāng)其中一個運行設(shè)備出現(xiàn)故障時可立刻切換到熱備機保證業(yè)務(wù)的正常運行還提供了完整的恢復(fù)機制，使得發(fā)生故障后能以最快的速度進行恢復(fù)，保證系統(tǒng)的穩(wěn)定運行。

10、 針采用將加密結(jié)構(gòu)作為文件格式自身的一部分，規(guī)避了之前加密結(jié)構(gòu)與數(shù)據(jù)加文件結(jié)構(gòu)脫離，加密之前的文件大小與加密后的文件保持一致，同時在底層數(shù)據(jù)加文件操作的加，一旦發(fā)生斷電等事件，將不會發(fā)生文件損壞問題。技術(shù)采用分段加技術(shù)，將加密內(nèi)容劃分為更小的區(qū)段，經(jīng)過實際測試，該數(shù)值可以定義為底層操作的原子操作，不會發(fā)生明文密文混雜問題產(chǎn)生，從而避免了文件損壞問題的發(fā)生。數(shù)據(jù)加 覽明文，同時也 生。使用了目前先進輕巧的雙緩存技術(shù)，一明一密兩個緩存，合法應(yīng)用瀏用戶瀏覽密文，在保證用戶體驗的前提下，將性能影響降到最低，了驅(qū)動與應(yīng)用的兼容性，避免因程序造成文件損壞事件的發(fā) 技術(shù)應(yīng)用在系統(tǒng)空間內(nèi)，兼容 、金山、3I不

11、能刪除及破壞系統(tǒng)自身表以及文件，保護了系統(tǒng)的正常運轉(zhuǎn) 用戶必須采用 ;9(1K_ ;9(1K_ 和輸令才能進入操作系統(tǒng)，而沒有 ;9(1K_ 或者不知道口令都不能進入系統(tǒng)。;9(1K_ 使用硬件加密技術(shù)將口令加密無法通過操作系統(tǒng)獲得口令的內(nèi)容。在 ;9(1K_ 中，任何設(shè)備以及都自動設(shè)置口令的嘗試次數(shù)，當(dāng)用戶輸入錯誤超過了設(shè)置的次數(shù)，認(rèn)證將被拒絕，需要聯(lián)系管理員進行重新激活，防止口令的?？诹铋L度是由明確規(guī)定的，要求用戶至少設(shè)置 位口令。 來滿足文件管理需求由于文件管理的第一個特性性數(shù)據(jù)權(quán)限管理技術(shù)構(gòu)建在透加限列表、使用范圍以及使用時效，3.4 支持新建、重命名、等操作進行加配置， 適應(yīng)多種應(yīng)用

12、場景支持文件夾、文件以及進程等多種方式組合定義支持自動上傳到業(yè)務(wù)服務(wù)器的文件是明文文件 自動設(shè)置口令的嘗試次數(shù)，當(dāng)用戶輸入錯誤超過了設(shè)置的次數(shù)，認(rèn)證將被拒絕，需要聯(lián)系管理員進行重新激活，防止口令的?？诹铋L度是由明確規(guī)定的，要求用戶至少設(shè)置 位口令。 來滿足文件管理需求由于文件管理的第一個特性性數(shù)據(jù)權(quán)限管理技術(shù)構(gòu)建在透加限列表、使用范圍以及使用時效，3.4 支持新建、重命名、等操作進行加配置， 適應(yīng)多種應(yīng)用場景支持文件夾、文件以及進程等多種方式組合定義支持自動上傳到業(yè)務(wù)服務(wù)器的文件是明文文件 支持將任意加密文件制作為受管控的權(quán)限文件，權(quán)限文件不改變后綴；支持對單個文件單個用戶進行權(quán)限分配；限制文

13、件的瀏覽、編輯、打印、截屏、另存為、再等功能；限制文件與天數(shù)，定期銷毀超時文檔； 支持明文以及密文兩種外發(fā)方式，圖形化自定義外發(fā)申請流程，可以針對單個加密文件通過支持 KK 格式的外流程申請為明文后外發(fā)。件，合作伙伴無需安裝客戶端也可以合規(guī)使用文檔。支持、機器碼（ 只能在指定機器上使用）、;9(1K_ 硬件（需要持有特殊硬件才能使用）等認(rèn)證方式。限制文檔的只讀、編輯、另存為、截屏、打印等權(quán)限；限制文檔以及天數(shù)，定期銷毀外檔； 。 支持文件的創(chuàng)建、修改、重命名、內(nèi)容、另存為、打印、移。動、刪除等文件操作，對文件操作詳細內(nèi)容進行根據(jù)配置的文件類型及動作進行，保證功能與性能得到更好的平衡。 ; 盤及

14、移動硬盤的接入支持明文以及密文兩種外發(fā)方式，圖形化自定義外發(fā)申請流程，可以針對單個加密文件通過支持 KK 格式的外流程申請為明文后外發(fā)。件，合作伙伴無需安裝客戶端也可以合規(guī)使用文檔。支持、機器碼（ 只能在指定機器上使用）、;9(1K_ 硬件（需要持有特殊硬件才能使用）等認(rèn)證方式。限制文檔的只讀、編輯、另存為、截屏、打印等權(quán)限；限制文檔以及天數(shù)，定期銷毀外檔； 。 支持文件的創(chuàng)建、修改、重命名、內(nèi)容、另存為、打印、移。動、刪除等文件操作，對文件操作詳細內(nèi)容進行根據(jù)配置的文件類型及動作進行，保證功能與性能得到更好的平衡。 ; 盤及移動硬盤的接入， 并通過文件移動以及動作，關(guān)聯(lián)審計文件傳輸?shù)哪康牡刂?/p>

15、， 準(zhǔn)確識別通過外部設(shè)備傳輸?shù)奈募Ｎ募拇蛴〔僮?，打印情況，打印設(shè)備的名稱以及網(wǎng)絡(luò)的 /6 地址，并持續(xù)打印數(shù)量和紙張 耗材使用量， 全面打印情況。文件被件也可以被審計的應(yīng)用、郵箱、網(wǎng)盤等網(wǎng)絡(luò)應(yīng)用傳輸文 應(yīng)用的名稱、進程以及版本號， 通過應(yīng)用審計列表快速了解終端用戶一天的工作行為。支持對上網(wǎng)行為進行詳細，可以的名稱、;82 地址、主機地址等信息，用戶上網(wǎng)行為情況，分析常去的類型和名稱，可根據(jù)要求初始截圖，并提供離線功能，即使用戶離開公司網(wǎng)路環(huán)境，用戶上網(wǎng)行為也會被審計。根據(jù)條件支持桌面錄屏審計，員工終端操作一切行為， 當(dāng)企業(yè)與員工發(fā)生各類糾紛甚至?xí)r，為企業(yè)提供基礎(chǔ)。終端登錄用戶、/6 等基礎(chǔ)

16、信息開機、登錄、注銷、關(guān)機等信息。 隨著5*， 打印情況。文件被件也可以被審計的應(yīng)用、郵箱、網(wǎng)盤等網(wǎng)絡(luò)應(yīng)用傳輸文 應(yīng)用的名稱、進程以及版本號， 通過應(yīng)用審計列表快速了解終端用戶一天的工作行為。支持對上網(wǎng)行為進行詳細，可以的名稱、;82 地址、主機地址等信息，用戶上網(wǎng)行為情況，分析常去的類型和名稱，可根據(jù)要求初始截圖，并提供離線功能，即使用戶離開公司網(wǎng)路環(huán)境，用戶上網(wǎng)行為也會被審計。根據(jù)條件支持桌面錄屏審計，員工終端操作一切行為， 當(dāng)企業(yè)與員工發(fā)生各類糾紛甚至?xí)r，為企業(yè)提供基礎(chǔ)。終端登錄用戶、/6 等基礎(chǔ)信息開機、登錄、注銷、關(guān)機等信息。 隨著5*， 支持自定義打印水印，打印或者打印時自動添加水

17、?。恢С殖滩荒苓M程之間互相進程允許到進程，進到非進，既不能影響正常工作，也能進行安全控制；第及常規(guī)按鍵對文件截屏； 用戶頻發(fā)使用移動硬盤以及 ; 盤來傳輸文件，不僅會造成數(shù)據(jù)泄漏風(fēng)險，也會造成木外設(shè)管控：對藍牙、串口、并口、 、;9等外部設(shè)備進行控制，可以對以上外設(shè)接口進行啟用 禁用等控制；移動介質(zhì)管理：該功能可以對 ; 盤移動硬盤等 ;設(shè)備進行管理，管理員可以對已的盤進行，設(shè)置 ; 盤可以使用的計算機范圍，規(guī)范企業(yè)對 ; 盤的合理使用；管控：指定網(wǎng)絡(luò)黑白， 無法使用。 6路由設(shè)備，杜絕私接路由等網(wǎng)絡(luò)設(shè)備。同時動態(tài)顯示 分配情況，并支持快速分配/6，幫助支持自定義打印水印，打印或者打印時自動添加水??；支持程不能進程之間互相進程允許到進程，進到非進，既不能影響正常工作，也能進行安全控制；第及常規(guī)按鍵對文件截屏； 用戶頻發(fā)使用移動硬盤以及 ; 盤來傳輸文件，不僅會造成數(shù)據(jù)泄漏風(fēng)險，也會造成木外設(shè)管控：對藍牙、串口、并口、 、;9等外部設(shè)備進行控制，可以對以上外設(shè)接口進行啟用 禁用等控制；移動介質(zhì)管理：該功能可以對 ; 盤移動硬盤等 ;設(shè)備進行管理，管理員可以對已的盤進行，設(shè)置 ; 盤可以使用的計算機范圍，規(guī)范企業(yè)