内网安全监控助手ISA.docx

《内网安全监控助手ISA.docx》由会员分享，可在线阅读，更多相关《内网安全监控助手ISA.docx（35页珍藏版）》请在三一办公上搜索。

1、案卷号HL-0904-001日期2009.4内网安全监控助手ISA设计说明书常州*软件技术有限公司2009.4第一版目录 1 引言11.1 背景分析11.2 设计理念12 方案概述32.1 系统架构32.2 系统逻辑组成32.2.1服务中心42.2.2控制台42.2.3终端系统62.2.4分析系统72.3 系统名词解释73 系统详细功能83.1 服务中心83.1.1软件注册83.1.2企业密钥设置83.1.3主从服务器的指定83.1.4数据库连接配置93.1.5数据备份和恢复93.1.6存储操作日志93.1.7响应终端密钥请求93.1.8提供控制台的接入93.2 控制台103.2.1授权用户的

2、强身份登录认证103.2.2入网终端管理103.2.3树形权限的管理113.2.4终端软硬件资产管理113.2.5卸载指定终端的终端系统113.2.6多级密级的管理123.2.7受控管理的图文档类型的配置123.2.8分级安全策略的配置133.2.9终端安全策略的配置133.2.10外发图文档的策略配置133.2.11离线图文档的策略配置143.2.12违规报警设定153.2.13终端外设管理163.2.14终端端口管理163.2.15终端程序运行控制163.2.16 与终端实时会话163.2.17 对终端网页浏览的监控163.2.18 对终端实时屏幕的监控173.2.19 对终端聊天行为的监

3、控173.2.20 对终端电子邮件的监控173.2.21 对终端网络流量的监控173.2.22 对终端当前程序进程的监控173.3终端系统173.3.1终端系统的登录183.3.2控制台登录183.3.3终端图文档类型的判断183.3.4在线操作行为的记录193.3.5离线时的操作行为的记录203.3.6代理授权的管理203.3.7文件外发的申请203.3.8外发请求的审批213.3.9离线申请223.3.10离线请求的审批233.3.11文件阅读权限的申请功能243.3.12阅读请求的审批243.3.13策略的导入功能253.3.14查看本机图文档加密状态263.3.15受控环境的切换功能2

4、63.3.16终端手动升级功能273.4分析系统273.4.1强身份认证方式的绑定273.4.2强身份认证方式的冻结283.4.3强身份认证方式的挂失283.4.4安全日志信息的审核283.4.5终端系统的在线发布和升级283.4.6报警统计293.4.7网页浏览的分析和统计293.4.8邮件收发的分析和统计293.4.8网络流量的分析和统计294 核心技术简介304.1 安全加密系统实现的层次304.2 密码算法简介315 开发环境要求325.1 开发语言325.2 支持平台321 引言1.1 背景分析随着计算机网络技术和数字通信技术的飞速发展，信息网络技术应用层次的不断深入，应用领域从传统

5、的小型业务系统逐渐向大型、关键业务系统扩展，大量的技术和业务机密存储在计算机和网络中，对网络安全性要求变得越来越高，需要有效地制定安全策略以保护机密数据信息。而事实上，随着企业信息化进程的加速，内部泄密已成为企业内部数据安全的最大威胁之一。据IDC报告，70%的安全损失是由企业内部原因造成的，也就是说企业中不当的资源利用及员工上网行为往往是“罪魁”，间谍软件、恶意程序、计算机病毒、端对端文档分享等不当的上网行为，导致了企业机密资料被窃，网络资源的浪费，企业运作的不畅等损失。FBI和CSI 调查显示，超过85的安全威胁来自企业内部，威胁源头包括内部未授权的存取、专利信息被窃取、内部人员的财务欺骗

6、等。当然黑客的攻击也是导致信息泄露的一大因素。在国内，诸如设计方案被窃取、关键客户名单和销售数据丢失等事件屡见不鲜，给企业造成了非常大的经济损失。针对信息泄密、企业内部员工计算机的松散管理和非法用户使用他人电脑的问题，“内网安全监控助手ISA”通过文件透明加密、远程监控、身份认证、上网行为审记等多方面监管手段来减少企业信息泄密，加强计算机系统的安全。1.2 设计理念整个系统的设计理念是：全面部署、整网防范、灵活控制、事件追踪1、 有效管理、监控企业局域网的任意一台电脑；2、 强身份认证机制，保证仅授权用户，拥有关键管理操作（如解密申请许可、外发文件许可、离线申请许可等）的权限；3、 高效加解密

7、，透明化操作，不影响用户原来的操作习惯；4、 树形权限，多级密级机制，即减轻了管理员的工作压力，又保证了企业信息在内部流转中的安全要求；5、 引入设备控制策略、类型安全策略和类型操作策略，防止用户通过即时通讯工具、电子邮件、软盘、U盘、移动硬盘、刻录机、打印机等主动泄密或恶意进行破坏；6、 安全密级流程策略的实施，使得企业内部跨部门图文档的阅读更加规范，访问权限更加灵活丰富；7、 全面的文件外发管理策略，管理员审批通过后允许指定终端使用指定工具在指定时效内将外发图文档以明文形式外发，并保留外发记录；或者在允许打开次数或有效期限的限制条件下外发，并保留外发记录；8、 支持离线策略及离线申请，支持

8、节假日离线计划，即可事先设定在周六周日或法定休假日等休息日的离线方案，分配给相应人员，无需重复进行离线申请，以防止相应人员忘记申请离线后无法正常工作；同时也能满足相应人员提出的临时性离线申请（如出差等）。9、 完备的日志管理，即可以记录在线终端的任何操作，又支持离线终端在接入服务器后对离线时的操作追溯；10、 强大的自我保护功能，任何恶意终止、退出或卸载终端程序的行为都将是徒劳。2 方案概述2.1 系统架构系统架构图2.2 系统逻辑组成数据库服务中心系统控制台系统SSL加密通道SSL加密通道SSL加密通道终端系统分析系统系统逻辑组成2.2.1服务中心系统名称：ISA Center功能概述：服务

9、中心提供控制台的正常接入，提供与各终端的有效连接。服务未启动，控制台无法正常运行，管理员无法通过控制台进行任何的管理操作；终端与服务中心脱节，无法从服务中心获取相应的密钥，对应的该终端受控环境内的受控图文档都无法正常操作，各类申请请求也无法向服务中心递交。服务中心启动后，控制台和各终端正常运行，此时服务中心响应各终端密钥的申请请求，数据库可与服务中心配置在同一台服务器上，也可以配置在不同的服务器上。系统特征：采用C/S架构，充分发挥服务器高性能运算、高效数据交互的能力。运行描述：开机即自动运行，其运行特征同SQL Server的服务管理器。另外，为了保证中心服务器不间断的运行，采用主从服务器的

10、方式，设定主服务器和从服务器，从服务器负责监视主服务器的运行。一旦主服务器产生故障，从服务器升级为主服务器，接替原主服务器的工作；待原主服务器完好后，当前运行的主服务器（原从服务器）降级为从服务器，由原主服务器提供功能服务。主要功能： 软件注册； 企业密钥设置； 主、从服务器指定； 数据库连接配置； 数据备份和恢复； 存储操作日志； 响应终端密钥请求； 提供控制台的接入。2.2.2控制台系统名称：ISA Console功能概述：如果说服务中心是系统的基础，控制台则是系统的灵魂。控制台用于配置各类安全策略，提供服务中心实施安全防护的方案支持；用于实时监控各终端当前的操作，用来规范各终端的使用。控

11、制台采用强身份认证机制，仅授权用户可以制定和修改安全策略。系统特征：采用C/S架构，充分发挥服务器高性能运算、高效数据交互的能力。运行描述：EXE程序，用户双击控制台图标，运行控制台程序。主要功能： 授权用户的强身份登录认证；终端管理部分 入网终端管理； 树形权限（分级控制）的管理； 终端软硬件资产管理； 卸载指定终端的终端系统；安全策略部分 多级密级的管理； 受控管理的图文档类型的配置； 分级安全策略的配置； 终端安全策略的配置； 外发图文档的策略配置； 离线图文档的策略配置； 违规报警设定；内网控制部分 终端外设管理； 终端端口管理； 终端程序运行控制； 与终端实时会话；内网监督部分 对终

12、端网页浏览的监控； 对终端实时屏幕的监控； 对终端聊天行为的监控； 对终端电子邮件的监控； 对终端网络流量的监控（上行流量/下行流量）； 对终端当前程序进程的监控。2.2.3终端系统系统名称：ISA Client功能概述：终端系统用来切实的执行控制台针对本机所制定的安全策略，是系统的最终执行机构。仅当终端系统启动并与服务中心建立有效连接或导入离线许可后，终端系统正常执行加解密机制，并对使用者来说完全透明；或者终端用户在终端系统具有停止或启动本系统加密环境的授权，用户可在原始windows环境中进行操作（操作的图文档必须是完全与受控环境完全隔离的，对于已加过密的文档，仍受加密影响）不受影响外，其

13、他情况均处于受控状态。系统特征：采用C/S架构，充分发挥服务器高性能运算、高效数据交互的能力。运行描述：开机自启动，进程中无痕迹，以托盘的形式存在，鼠标右键单击后出现功能菜单。主要功能： 终端系统的登录； 控制台登录； 对图文档的任意操作时均执行自动判断图文档类型，根据本机的安全策略执行安全保护（如加解密，是否允许删除，是否允许打印，打印快照的存储等）； 在与服务中心建立连接的情况下，实时记录本终端的操作行为； 在离线状态下，本地记录终端的操作行为；在与服务中心建立连接后，立即上传离线时记录下的各种操作行为； 代理授权的管理； 发送外发申请、查看外发请求审批状态； 外发请求的审批； 发送离线申

14、请、查看离线请求审批状态； 离线请求的审批； 发送跨部门阅读申请、查看阅读请求审批状态； 阅读请求的审批； 导入（外发、离线、阅读）策略； 查看本机图文档明密状况； 受控环境的切换功能（仅针对授权用户）； 终端手工升级功能。2.2.4分析系统系统名称：ISA Report功能概述：分析系统用来审核服务中心、控制台系统、终端系统和分析系统的操作日志，用来对各终端的各类操作（聊天操作、上网操作、网络流量信息等）进行细致的统计和分析，用来提供终端程序的下载安装和分析终端的当前版本，提供在线升级服务。系统特征：采用B/S架构，用户可在任意电脑上在线查阅、分析和统计。运行描述：网页浏览方式。主要功能：

15、强身份认证方式的绑定、冻结和挂失； 安全日志信息的审核； 终端系统的发布和升级； 报警统计； 网页浏览的分析和统计； 邮件收发报告； 网络流量的分析和统计。2.3 系统名词解释对下文中所使用的且会产生混淆的名词，本文档在这里进行集中的解释：超级管理员：由系统预留，拥有控制台的所有权限，拥有终端系统各类申请审批的权限。授权管理员：由超级管理员注册生成，拥有控制台的部分权限，拥有终端系统各类申请审批的权限。终端用户：终端计算机的使用者。受控文件：与系统设定的密级相关联，受控文件分二种，一种是受控加密文件，一种是受控不加密文件。3 系统详细功能3.1 服务中心3.1.1软件注册功能正式名称：【系统注

16、册】本系统支持试用版和正式版两种版本，试用版通过授权序列号来实现，在【系统注册】界面中输入授权序列号，可获得本系统7天的试用时限；超过7天后，本系统停止服务中心所支持的所有功能。对于试用版，本系统允许最大接入5台终端；正式版使用加密狗进行注册，服务中心启动后自动识别到加密狗的存在，所具备的各项功能恢复正常。正式版允许接入的最大终端数量，根据用户实际的终端要求，将允许接入的终端数写入加密狗中。3.1.2企业密钥设置功能正式名称：【密钥设定】企业密钥是本系统文件加密模块的重要组成部分。本系统加密模块的密钥由三部分组成：主密钥、企业密钥和文件密钥。主密钥：自动生成，由系统分配给每个客户全球唯一的密钥

17、；企业密钥：客户可以自行设置、修改；文件密钥：每个文件加密时会随机生成一个文件密钥，以提高加密的安全性。三个密钥中，主密钥和文件密钥都是自动生成的，只有企业密钥才对用户开放。注意：试用版设置的企业密钥，一经设置，将不能修改。正式版可以修改。3.1.3主从服务器的指定功能正式名称：【双机配置】本功能用来设定主从服务器，通过设定主从服务器的IP地址及从机升级的条件（主机故障、网线故障、主机服务未启动），来实现双机热备。从机实时监控主机的运行状态，一旦主机状态异常，从机升级；发现原主机状态正常后，从机自动降级。3.1.4数据库连接配置功能正式名称：【连接配置】本功能实现服务中心与数据库的连接，并保存

18、连接成功所必需的配置信息（包括服务中心自身的IP信息）。该配置信息，将随着控制台的启用及各终端的启用，随着控制台或终端保存到各系统（控制台系统或终端系统）所安装的机器设备上。3.1.5数据备份和恢复功能正式名称：【数据安全】本功能实现数据库数据的实时数据备份和数据恢复功能。建议数据库和服务中心同时安装在一台服务器上，以保证数据备份和数据恢复工作的安全和高效。3.1.6存储操作日志本功能实现对服务中心的启动、停止、连接配置、备份、恢复、控制台接入请求、终端密钥申请、终端程序卸载等具体操作的实时记录。服务中心的日志信息可通过控制台进行查询和审阅。3.1.7响应终端密钥请求本功能为服务中心主功能，对

19、终端受控图文档的解密请求，服务中心响应终端发送公钥，终端在收到公钥后，结合终端自身的私钥解密受控图文档，以供后续的操作。该功能界面不可见。3.1.8提供控制台的接入服务中心启动后，控制台可正常运行，否则，管理员试图登录控制台，将被禁止进入。本功能类似于SQL Server的企业管理器，在服务管理器停止运行的情况下，企业管理器无法正常操作。该功能界面不可见。3.2 控制台控制台功能超级管理员授权管理员控制台登录终端管理分级授权资产管理终端卸载密级信息类型定义分级策略终端策略外发策略离线策略报警规则外设管理端口管理程序控制实时会话网页监控屏幕监控聊天监控邮件监控流量监控进程监控拥有功能权限；无功能

20、权限。表一3.2.1授权用户的强身份登录认证功能正式名称：【控制台登录】授权用户包括：超级管理员和授权管理员。授权用户可通过在IE浏览器输入控制台IP地址的方式打开控制台程序，然后登录系统（强身份认证）；或者通过鼠标右键单击终端托盘显示托盘菜单，选择【控制台登录】命令打开控制台程序，然后登录系统（强身份认证）。通过身份认证后，进入控制台程序，根据拥有的权限可使用控制台所提供的各项功能命令。3.2.2入网终端管理功能正式名称：【终端管理】本系统的管控采用C/S结构，即一台服务中心可支持多台终端的运行。本系统允许接入终端的最大数量，决定了企业内部可纳入系统管控的终端的数量。因此，对企业而言，会出现

21、对内部终端有选择性的管控的情况发生，本功能用以记录所需管控终端的IP地址、机器名，并允许控制台向这些IP发放终端系统安装的许可。这些IP在安装终端并启动之后，服务中心与之建立起连接，并显示当前连接状态。3.2.3树形权限的管理功能正式名称：【分级授权】本功能用于超级管理员根据企业实际的组织架构，设置不同的部门，并且定义该部门中出现的所有允许入网的设备，使该种分级机制形成一个小型的控制分站，确定该部门的管理人员，并给予其一定权限（可用权限列表参见表一），使之拥有该小型分站的控制权限。并可确定该管理员所在的终端系统是否允许使用受控环境切换功能。例：企业分为生产部、研发部、销售部、财务部、行政部五个

22、部门，可在系统中定义五个小型分站，使得每个部门形成一个独立的控制分站。所有在生产部使用的电脑设备，作为受控终端纳入生产部门控制分站中管理，生产部部长拥有该控制分站的所有权限。可以为本部门制定部门级的安全管理策略，也可为分站内受控中的各个终端定制不同的安全管理策略；对于部门内的各类请求，其他部门向本部门所作的跨部门请求，根据密级策略的不同，由生产部长或者超级管理员进行审批。生产部长的申请请求，由超级管理员进行审批。这样做的好处，一是权限责职清晰，二是可有效减轻超级管理员的工作压力。3.2.4终端软硬件资产管理功能正式名称：【资产管理】本功能用于管理终端计算机上安装的所有软件和所有硬件配置。3.2

23、.5卸载指定终端的终端系统功能正式名称：【终端卸载】由于终端系统在终端的运行无痕迹，所以终端的卸载无法通过控制面板的添加/删除程序来正常执行，因此，本功能提供卸载指定客户端终端程序的命令。3.2.6多级密级的管理功能正式名称：【密级信息】本功能用于设定受控图文档的安全等级，以规范图文档跨部门阅读制度，增强图文档访问授权的灵活性。系统预留7种安全密级：“绝密”、“机密”、“保密”、“秘密”、“普通”、“公开”（默认密级）、“一般”。企业用户可根据需要新建其他密级，企业用户使用到的每种图文档都必须设定安全密级，如不专门设置，系统默认设置为“公开”这一安全密级。3.2.7受控管理的图文档类型的配置功

24、能正式名称：【类型定义】本功能用于定义本系统可控图文档的所有类型，授权用户可根据自身需要，确定本企业所需可控可加密的图文档类型及安全密级，可控不加密的图文档类型及安全密级，未选择的图文档类型为不受控的图文档。本系统支持的图文档类型包括：计算机辅助设计系统： AutoCAD、MDT、Inventor等Autodesk系列软件； Pro/E、UG、CATIA、I-DEAS、SolidWorks、SolidEdge等国外三维软件； GS-iCAD（大天）、CAXA（北航）、PI-CAD（凯思）、ZW-CAD（中望）、KM-CAD（开目）、 OpenCAD（英泰）等国产二维软件； PC-CAD（天河）

25、、HM-CAD（大恒）、XT-CAD（艾克斯特）、YS-CAD（宇思）、InteCAD（天喻）等二次开发软件； Protel等电路板设计系统。计算机文字/图片处理系统： 微软Office系列：Word、Excel、Powerpoint； 金山WPS系列：文本文档、工作表文档、演示文稿； Photoshop、CorelDraw、3D max等图片、模型软件。注：如企业用户所需控制的图文档类型不在本系统定义的类型范围之内，需通过系统供应商另行为该用户定制配置。3.2.8分级安全策略的配置功能正式名称：【分级策略】本功能用于配置超级管理员分级后形成的小型控制分站的整体安全策略（部门级策略），配置完成

26、后，该小型控制分站内的所有受控终端继承该安全策略。同时，也可在【终端策略】中进行修改，为某终端重新制定新的安全策略。安全策略包括：类型安全策略、类型操作策略和密级流程策略。类型安全策略包括：在【类型定义】中选定的企业所需受控的图文档类型中，再选择本部门需要使用到的受控文档类型和安全密级；是否需要穿透RAR、ZIP，直接对内部受控类型图文档进行加密。注：类型选择仅可在【类型定义】中已选定的那些类型中选取。类型操作策略包括：受控类型的图文档是否允许OLE插入，是否允许截屏，是否允许删除，允许删除的状态下在执行删除操作时是否对被删除的图文档在服务器端进行备份。是否允许使用SMTP、FTP、HTTP、

27、P2P等方式传送文件。密级流程策略包括：允许其他部门访问本部门受控文档的安全密级。例如针对生产部，其制定的安全策略包括：生产部受控加密的文档类型有AutoCAD（安全密级：机密）、Word（安全密级：秘密）；受控不加密的文档类型包括：PowerPoint（安全密级：秘密）、Visio（安全密级：保密）、Excel（安全密级：公开）。受控图文档不允许删除。生产部允许市场部访问本部门标志为“公开”和“秘密”两种安全等级的图文档类型（即Word、PowerPoint、Excel），其他安全密级的图文档类型市场部无权访问。对于生产部门不管控的图文档类型，其他部门也有权阅读。3.2.9终端安全策略的配置

28、功能正式名称：【终端策略】本功能用于配置各个终端的安全策略，配置仅对此终端有效，具体的配置内容同3.2.8所示。3.2.10外发图文档的策略配置功能正式名称：【外发策略】企业活动不仅仅局限于企业内部之间，有不少的活动需要企业与企业之间进行交互，图文档文件的外发也是这些活动的具体表现之一。本系统提供外发策略配置功能，即【外发策略】和临时外发功能，即终端的【外发申请】来实现外发文件活动。外发策略的配置，主要由超级管理员用来指定可以经常对外发送受控加密图文档的授权用户，配置的内容包括：外发终端的设定：可以外发文件的终端选择，有二种选择方式，一种是直接选中控制分站（部门级的选择，可多选），选中后该分站

29、旗下所有终端均拥有外发文件的权限；一种是指定终端（可多选），选中后该终端拥有外发文件的权限。这些终端仅需要使用【外发申请】功能，填入相应的内容后申请，无需审批，服务中心将主动回复终端，发送外发许可策略文件，终端在导入策略文件后，就可对外发送文件。详细内容参见终端【外发申请】的描述。解密策略的设定：系统提供三种解密策略供用户选择，一是明文发送，不控制；二是明文发送，控制打开次数；三是明文发送，控制有效期限。超级管理员可勾选上述策略（允许多选），在授权允许外发的终端执行【外发申请】的功能时，超级管理员设定的解密策略可供终端选用，终端根据待发送文件的内容，来确定选择何种解密策略，并根据选择填入相应的

30、内容。如终端选择解密策略一，明文发送，不控制，则终端无需输入任何内容；如终端选择解密策略二，明文发送，控制打开次数，则终端需要输入该外发文件允许打开的最大次数；如终端选择解密策略三，明文发送，控制有限期限，则终端需要输入该外发文件在XX年XX月XX日至XX年XX月XX日有效。外发工具的设定：指定授权终端可以用来外发文件的工具。工具有U盘、移动硬盘、软驱、刻录机、打印机、SMTP、P2P、FTP、HTTP。超级管理员可设定一个或多个工具，来允许终端在外发过程中使用。注意：如果该终端在【分级策略】或【终端策略】、【外设管理】中已设置了对上述某些工具的禁用，在外发工具设定中，这些工具必须灰显，超级管

31、理员仅可在终端允许使用的工具中进行选择。3.2.11离线图文档的策略配置功能正式名称：【离线策略】对于公司的移动便捷设备，经常会由使用者带离公司，在出差过程中使用，休假日在家使用等，由于与公司服务中心脱机，所以必须要有一个周详的离线策略，来保证在脱机情况下的正常使用。本系统提供离线策略配置功能，即【离线策略】和临时离线功能，即终端的【离线申请】来实现脱机后的正常工作。离线策略的配置，主要由超级管理员用来指定可以经常脱机使用受控图文档的授权用户，配置的内容包括：离线终端的设定：可以离线的终端选择，有二种选择方式，一种是直接选中控制分站（部门级的选择，可多选），选中后该分站旗下所有终端均拥有离线使

32、用的权限；一种是指定终端（可多选），选中后该终端拥有离线使用的权限。这些终端仅需要使用【离线申请】功能，填入相应的内容后申请，无需审批，服务中心将主动回复终端，发送离线许可策略文件，终端在导入策略文件后，就可离线正常使用。详细内容参见终端【离线申请】的描述。离线策略的设定：系统提供三种离线策略供用户选择，一是周末离线策略，需要超级管理员设定单休还是双休，单休是周几休息，双休是一周中哪二天休息；二是假日离线策略，需要超级管理员设定假日名称，与假日起止日期，如国庆节，10月1日至10月3日，元旦，1月1日至1月3日；三是临时离线策略。在授权允许离线的终端执行【离线申请】的功能时，超级管理员设定的离

33、线策略可供终端选用，终端根据实际离线的需要，来确定选择何种离线策略，并根据选择填入相应的内容。如选择离线策略一周末离线策略和离线策略二假日离线策略，终端无需输入任何内容；如终端选择离线策略三临时离线策略，则需要输入离线使用的起止日期，超过该时间段，终端仍未与服务中心连接，则受控加密的文档不可正常使用。3.2.12违规报警设定功能正式名称：【报警规则】本功能用来设定引发报警功能的条件，超级管理员可在系统定义的选项中选择哪些违规操作可以引发报警。系统定义的选项包括： 非法修改企业密钥； 非法登录他人的终端系统或控制台系统； 修改机器名； 修改IP地址； 修改MAC地址； 非法使用被禁止的外设； 非

34、法浏览被禁止的网站（系统提供列为非法网站的网站名称的列表）； 非法打开被禁止的程序（系统提供列为非法程序的可执行文件的列表）。报警可采用短信报警和终端系统弹出信息屏报警（针对超级管理员和授权管理员）。3.2.13终端外设管理功能正式名称：【外设管理】本功能用来允许或禁止U盘、移动硬盘、软驱、扫描仪、刻录机、打印机、网络虚拟打印机的使用。以及如果允许使用打印机，确定是否进行打印快照的存储。3.2.14终端端口管理功能正式名称：【端口管理】本功能用来封堵或开放终端的上网端口，聊天端口，游戏端口等，可根据需要规范员工的上网行为，并可降低非法用户从端口中入侵的安全威胁。3.2.15终端程序运行控制功能

35、正式名称：【程序控制】本功能可设定禁用员工计算机的指定的程序，规范员工使用计算机。3.2.16 与终端实时会话功能正式名称：【实时会话】本功能可用来和指定的终端进行点对点的通话。3.2.17 对终端网页浏览的监控功能正式名称：【网页监控】能监控终端所上的网站及内容，以方便超级管理员和授权管理员对终端上网行为进行监控和管理。3.2.18 对终端实时屏幕的监控功能正式名称：【屏幕监控】实时监视指定终端当前的屏幕信息，可以设置屏幕追踪的时间间隔，默认为3秒，最快可以设置到1秒。3.2.19 对终端聊天行为的监控功能正式名称：【聊天监控】能监控终端使用即时通讯工具聊天的内容，方便超级管理员和授权管理员

36、对终端互联网聊天行为进行管理，避免上班时间做与工作无关的事件。3.2.20 对终端电子邮件的监控功能正式名称：【邮件监控】能实时记录终端所有收发的邮件，并详细监控与记录到终端发送的全部邮件的全部内容，无论是通过FOXMAIL，OUTLOOK还是任何其它邮件收发工具。3.2.21 对终端网络流量的监控功能正式名称：【流量监控】可实时记录终端当前的网络流量（上行流量/下行流量）。3.2.22 对终端当前程序进程的监控功能正式名称：【进程监控】实现对终端当前正常运行的所有程序进程的监控，并可以强制关闭终端的非法进程。3.3终端系统终端功能通过鼠标右键单击托盘后，弹出功能菜单。3.3.1终端系统的登录

37、功能正式名称：【终端登录】本系统采用双因素认证方式，来实现终端的登录。如果是离线用户，必须选中离线登录方式，如果已经导入过离线策略，则直接输入认证密码就可进入；否则，需要选择适当的离线许可文件，加载后方可进入终端系统。注意，不登录终端系统，则加密受控的文件无法正常使用。3.3.2控制台登录功能正式名称：【控制台登录】超级管理员和授权管理员可通过鼠标右击终端软件的系统托盘选择【控制台登录】菜单进行控制台的登录，此项功能对终端用户灰显。超级管理员和授权管理员采用强身份认证机制进行控制台的登录，身份验证通过以后可根据不同用户的权限来操作控制台的各项功能。3.3.3终端图文档类型的判断此功能对用户来说

38、是不可见的。当用户在操作本机的图文档时，系统需要判断当前操作的图文档类型是不是受控的类型，假如是受控类型的图文档将根据管理员分配给本终端的安全策略来操作文档（图文档是否需要加解密，是否允许OLE插入，是否允许截屏，是否允许删除，是否可以打印，是否需要对打印快照的存储等）。注，复制、剪切、粘贴、拖拽等的操作（以下简称操作）遵循如下规则： 可控可加密类型的图文档允许相互间的操作； 可控可加密类型的图文档的内容不允许向可控非加密类型的图文档进行操作； 可控可加密类型的图文档的内容不允许向非受控类型的图文档进行操作； 可控非加密类型的图文档允许相互间的操作； 可控非加密类型的图文档的内容允许向可控可加

39、密类型的图文档进行操作； 可控非加密类型的图文档的内容不允许向非受控类型的图文档进行操作； 非受控类型的图文档的内容允许向受控类型（可控可加密，可控非加密）的图文档进行操作。加密和解密的流程如下图所示：加密流程示意图解密流程示意图3.3.4在线操作行为的记录此功能对用户来说也是不可见的。管理员可通过控制台来查看这些操作日志记录。当用户在操作本机时对在受控范围内的一些操作行为将进行记录并上传到数据库进行保存，受控的操作行为包括： 用户对文档的创建、打开、复制、剪切、粘贴、拖拽、保存、删除的操作； 用户对文件的打印操作； 终端每一条接收、发送的请求，按收发送的请求包括：外发请求、离线请求、阅读请求

40、； 策略文件的导入操作。这样就能更好的管理员工，对一些非法的操作做到有据可查。3.3.5离线时的操作行为的记录此功能也是不可见的。当用户申请离线得到同意并导入离线策略后，用户在离线状态下的一些操作行为都将有所记录，待等到用户接入公司内部网后与服务中心重新建立连接，可将用户在离线状态下的所有操作行为上传到服务器进行存储，这样就能保证对员工计算机在公司内外的统一管理。包括的操作行为包括： 策略文件的导入操作； 用户对文档的创建、打开、复制、剪切、粘贴、拖拽、保存、删除的操作； 用户对文件的打印操作。3.3.6代理授权的管理功能正式名称：【代理授权】根据树形权限的配置，超级管理员和分站管理员由企业高

41、管担任的可能性相当大，这样难以保证终端的各类申请及时由超级管理员或分站管理员来审批。引入代理授权的概念，可以保证在管理员离开企业的这段时间内，由管理员授权给相应的代理人，代理人负责各类请求的审批，到期系统自动回收代理权限。本功能仅对超级管理员和授权管理员有效。3.3.7文件外发的申请功能正式名称：【外发申请】本功能用于各终端向企业外部发送图文档的申请。对于外发授权用户，启动外发申请后，先选择所要外发的加密文件，然后确定解密策略，完善策略条件，并指定一种外发工具（该工具必须是超级管理员许可该终端可以使用的工具）后，点击完成申请键，服务中心在接到申请后，下发外发许可策略文件，用户在导入策略文件后，

42、就可通过指定的工具外发该文件；对于非授权用户，用户选择需要外发的加密文件，写明外发原因和外发大致时间，选择一种合适的外发工具（对于非授权用户，终端策略中被禁止使用的该外发工具，在审批允许的时限下，可以解禁供终端使用，但一过允许的时限，解禁的工具仍恢复到禁止状态），并递交授权管理员（默认为该终端所处分站的管理员，也可选择向超级管理员申请），等待审批。授权用户收到申请后，分配外发策略，完成申请的审批，并通过服务中心向请求用户发送外发许可策略文件。3.3.8外发请求的审批功能正式名称：【外发审批】本功能用来处理非外发终端的临时外发请求，终端（无外发授权的终端）在发布外发请求后，系统通过服务中心，向超

43、级管理员或终端上级管理员（或代理授权用户）或者发送申请短信（需要添加短信猫，并在服务中心添加管理短信中心号码的功能），或者通过终端程序弹出提醒信息框，来提醒超级管理员或终端上级管理员及时审批请求内容。管理员根据请求内容，为请求选择解密策略，并设定请求的终端可在指定的时限内（按日期指定，可指定具体的日期；按时间指定，可指定本日最迟几点钟）通过使用哪种工具来外发文件，超过时限未发，解密策略失效，同时，外发工具恢复到终端策略中的原始设定。例如非授权终端A需要在今天通过电子邮件外发一份设计书，向管理员提出外发申请，管理员根据申请信息，同意终端A在今天17：00之前通过电子邮件完成发送任务，发送的设计书

44、，允许对方可以5次打开阅读。这些外发策略将在管理员点击完成审批键后，通过服务中心，包含在外发许可策略文件中，及时发放给发出请求的终端。本功能仅对超级管理员和授权管理员有效。收发申请和审批的流程如下图所示：3.3.9离线申请功能正式名称：【离线申请】本功能的作用是：当终端用户需要将公司内部的计算机带离企业环境时的脱机使用的申请。对于离线授权用户，启动离线申请后，选择离线策略，完善策略条件后，点击完成申请键，服务中心在接到申请后，下发离线许可策略文件，用户在导入策略文件后，就可脱机正常使用；对于非授权用户，用户需要向授权管理员进行申请，写明离线的原因和时间，并递交授权管理员（默认为该终端所处分站的

45、管理员，也可选择向超级管理员申请），等待审批。授权用户收到申请后，分配离线策略，完成申请的审批，并通过服务中心向请求离线的用户发送离线许可策略文件。3.3.10离线请求的审批功能正式名称：【离线审批】本功能用来处理非离线终端的临时离线请求，终端（无离线授权的终端）在发布离线请求后，系统通过服务中心，向超级管理员或终端上级管理员（或代理授权用户）或者发送申请短信（需要添加短信猫，并在服务中心添加管理短信中心号码的功能），或者通过终端程序弹出提醒信息框，来提醒超级管理员或终端上级管理员及时审批请求内容。管理员根据请求内容，为请求制订离线使用的起止日期，这些离线策略将在管理员点击完成审批键后，通过服务中心，包含在离线许可策略文件中，及时发放给发出请求的终端。离线申请和审批的流程如下图所示：3.3.11文件阅读权限的申请功能功能正式名称：【阅读申请】此功能作用是：当用户需要阅读其他部门的受控文档且不具备相同的密级等级时，终端用户向授权管理员进行申请，并写明需要阅读的原因和时间，并递交相应部门的授权管理员，授权用户收到申请后，根据申请条件分配阅读策略，完成申请的审批，并通过服务中心向请求阅读的用户发送策略文件。3.3.12阅读请求的审批功能正式名称：【阅读审批】本功能用来处理跨部门的文件阅读申请，由于引入全面的密级管理，使得各部门图文档存在不同的安全密级，见【