一机两用基础知识课件

技术交流技术交流“一机两用”监控及补丁分发系统5/16/20241主要内容主要内容“一机两用一机两用”监控系统基础知识监控系统基础知识“一机两用一机两用”监控系统操作监控系统操作补丁分发系统基础知识补丁分发系统基础知识5/16/20242“一机两用一机两用”监控系统基础知识监控系统基础知识 哪些行为属于哪些行为属于“一机两用一机两用”行为行为 “一机两用一机两用”行为的危害行为的危害 “一机两用一机两用”监控系统的管理结构监控系统的管理结构5/16/20243 全国全国全国全国“一机两用一机两用一机两用一机两用”监测系统监测系统监测系统监测系统 什么是什么是什么是什么是“一机两用一机两用一机两用一机两用”行为行为行为行为 指公安信息网内计算机设备，同时连接公安网和互指公安信息网内计算机设备，同时连接公安网和互指公安信息网内计算机设备，同时连接公安网和互指公安信息网内计算机设备，同时连接公安网和互联网（所有非公安联网（所有非公安联网（所有非公安联网（所有非公安信息网信息网信息网信息网）或断开公安网连接互联网）或断开公安网连接互联网）或断开公安网连接互联网）或断开公安网连接互联网（所有非公安信息网）（所有非公安信息网）（所有非公安信息网）（所有非公安信息网）的操作，包括存放公安涉密信息的操作，包括存放公安涉密信息的操作，包括存放公安涉密信息的操作，包括存放公安涉密信息的计算机单独接入互联网的计算机单独接入互联网的计算机单独接入互联网的计算机单独接入互联网（所有非公安信息网）（所有非公安信息网）（所有非公安信息网）（所有非公安信息网）的操作。的操作。的操作。的操作。表现方式：一贯性连接、间断间续性连接等表现方式：一贯性连接、间断间续性连接等表现方式：一贯性连接、间断间续性连接等表现方式：一贯性连接、间断间续性连接等。互互互互联联联联网网网网接接接接入入入入方方方方式式式式包包包包括括括括：ModemModemModemModem拨拨拨拨号号号号、ADSLADSLADSLADSL拨拨拨拨号号号号、双双双双网网网网卡、网关代理、路由、手机上网等方式。卡、网关代理、路由、手机上网等方式。卡、网关代理、路由、手机上网等方式。卡、网关代理、路由、手机上网等方式。5/16/20244什么是什么是什么是什么是“一机两用一机两用一机两用一机两用”行为行为行为行为连接表现连接表现连接表现连接表现互联网互联网互联网互联网 双网卡同时连接内外网双网卡同时连接内外网电话拨号接入互联网电话拨号接入互联网公安信息网公安信息网互联网办公网互联网办公网一机两用一机两用离线接入互联网离线接入互联网一机两用一机两用5/16/20245公安信息网公安信息网公安信息网公安信息网公安网用户公安网用户公安网用户公安网用户一机两用一机两用互联网用户互联网用户文件失泄密文件失泄密电子邮件泄密电子邮件泄密互联网互联网互联网互联网 “一机两用一机两用一机两用一机两用”行为导致了公安网行为导致了公安网行为导致了公安网行为导致了公安网同互联网的物理连接，同互联网的物理连接，同互联网的物理连接，同互联网的物理连接，是造成重要机密文件泄密是造成重要机密文件泄密是造成重要机密文件泄密是造成重要机密文件泄密的可能性原因之一。的可能性原因之一。的可能性原因之一。的可能性原因之一。“一机两用一机两用一机两用一机两用”行为的危害：文件泄密行为的危害：文件泄密行为的危害：文件泄密行为的危害：文件泄密5/16/20246 公安信息网上的公安信息网上的公安信息网上的公安信息网上的“一机两用一机两用一机两用一机两用”行为导致行为导致行为导致行为导致互联网上黑客攻击互联网上黑客攻击互联网上黑客攻击互联网上黑客攻击,使公安网络、计算机、信息遭受破坏使公安网络、计算机、信息遭受破坏使公安网络、计算机、信息遭受破坏使公安网络、计算机、信息遭受破坏。互联网黑客互联网黑客一机两用一机两用“一机两用一机两用一机两用一机两用”行为的危害：黑客攻击行为的危害：黑客攻击行为的危害：黑客攻击行为的危害：黑客攻击公安信息网公安信息网公安信息网公安信息网互联网互联网互联网互联网服务器瘫痪服务器瘫痪服务器瘫痪服务器瘫痪黑客攻击黑客攻击5/16/20247公安网用户公安网用户公安网用户公安网用户病毒制造者病毒制造者一机两用一机两用一机两用一机两用 公安信息网上的公安信息网上的公安信息网上的公安信息网上的“一机两用一机两用一机两用一机两用”行为导致行为导致行为导致行为导致互联网病毒、蠕虫、互联网病毒、蠕虫、互联网病毒、蠕虫、互联网病毒、蠕虫、木马直接入侵公安网木马直接入侵公安网木马直接入侵公安网木马直接入侵公安网。“一机两用一机两用一机两用一机两用”行为的危害：病毒感染行为的危害：病毒感染行为的危害：病毒感染行为的危害：病毒感染公安信息网公安信息网公安信息网公安信息网互联网互联网互联网互联网5/16/20248各级领导和干警对“一机两用”的严重后果认识不足，管理上不重视，违规行为不断发生。没有专门的机构和人员从事日常的“一机两用”监控工作，处罚措施不得力。各地对一机两用行为的监控存在技术和管理的差异，导致公安信息网的整体防范存在漏洞。公安信息网公安信息网“一机两用一机两用”管理现状管理现状5/16/20249全国全国“一机两用一机两用”监测系统构架和功能监测系统构架和功能 在在在在部、省、市（地）三级信息中心部、省、市（地）三级信息中心部、省、市（地）三级信息中心部、省、市（地）三级信息中心建立建立建立建立“一机两用一机两用一机两用一机两用”监测系统，对所有联入公安信息网计算机设备的监测系统，对所有联入公安信息网计算机设备的监测系统，对所有联入公安信息网计算机设备的监测系统，对所有联入公安信息网计算机设备的“一机两一机两一机两一机两用用用用”行为进行实时监控和阻断，强化对全国公安信息网边行为进行实时监控和阻断，强化对全国公安信息网边行为进行实时监控和阻断，强化对全国公安信息网边行为进行实时监控和阻断，强化对全国公安信息网边界的监控。界的监控。界的监控。界的监控。公安部监控平台（国家级）公安部监控平台（国家级）公安部监控平台（国家级）公安部监控平台（国家级）公安厅监控平台（省级）公安厅监控平台（省级）公安厅监控平台（省级）公安厅监控平台（省级）公安局监控平台（市级）公安局监控平台（市级）公安局监控平台（市级）公安局监控平台（市级）“一机两用一机两用一机两用一机两用”全国监测系统构架：全国监测系统构架：全国监测系统构架：全国监测系统构架：5/16/202410公安部公安部公安局公安局公安厅公安厅公安厅公安厅市监控平台市监控平台“一机两用一机两用一机两用一机两用”全国三级监测系统部署构架全国三级监测系统部署构架全国三级监测系统部署构架全国三级监测系统部署构架公安部公安部公安厅公安厅公安局公安局公安厅公安厅公安局公安局公安局公安局全国全国全国全国“一机两用一机两用一机两用一机两用”监测系统构架和功能监测系统构架和功能监测系统构架和功能监测系统构架和功能构架构架构架构架省监控平台省监控平台（省级总控）（省级总控）部监控平台部监控平台（部级总控）（部级总控）5/16/202411公安部公安部公安局公安局公安厅公安厅公安厅公安厅部监控平台部监控平台（部级总控）（部级总控）省监控平台省监控平台（省级总控）（省级总控）市监控平台市监控平台全国全国全国全国“一机两用一机两用一机两用一机两用”监测系统集中监控管监测系统集中监控管监测系统集中监控管监测系统集中监控管理理理理公安部公安部公安厅公安厅公安局公安局公安厅公安厅公安局公安局公安局公安局全国全国全国全国“一机两用一机两用一机两用一机两用”监测系统构架和功能监测系统构架和功能监测系统构架和功能监测系统构架和功能构架构架构架构架安全信息安全信息安全信息安全信息安全信息安全信息安全信息安全信息5/16/202412“一机两用一机两用一机两用一机两用”监控监控监控监控 “一机两用一机两用一机两用一机两用”阻断阻断阻断阻断病毒检测病毒检测病毒检测病毒检测定位定位定位定位设备登记设备登记设备登记设备登记注册注册注册注册违规联网违规联网违规联网违规联网报警报警报警报警“一机两用一机两用一机两用一机两用”监测监测监测监测全国全国全国全国“一机两用一机两用一机两用一机两用”监测系统构架和功能监测系统构架和功能监测系统构架和功能监测系统构架和功能功能功能功能功能5/16/202413互联网互联网互联网互联网 双网卡同时连接双网卡同时连接电话拨号接入电话拨号接入公安信息网公安信息网互联网互联网实时监控实时监控实时监控实时监控扫描监控扫描监控扫描监控扫描监控“一机两用一机两用一机两用一机两用”监控：监控：监控：监控：实时检测公安网中存在的同互联网连实时检测公安网中存在的同互联网连接的计算机，及时发现接的计算机，及时发现“一机两用一机两用”行为并作详细记录。行为并作详细记录。全国全国全国全国“一机两用一机两用一机两用一机两用”监测系统构架和功能监测系统构架和功能监测系统构架和功能监测系统构架和功能功能功能功能功能报警数据上报报警数据上报5/16/202414互联网互联网互联网互联网 互联网办公网互联网办公网实时监控实时监控实时监控实时监控扫描监控扫描监控扫描监控扫描监控公安信息网公安信息网监控平台监控平台监控平台监控平台一机两用一机两用一机两用一机两用实时监控实时监控告警告警扫描阻断扫描阻断“一机两用一机两用一机两用一机两用”阻断：阻断：阻断：阻断：发现违规计算机后，自动阻断违发现违规计算机后，自动阻断违规其非法联网行为，同时向管理中心上报违规记录。规其非法联网行为，同时向管理中心上报违规记录。全国全国全国全国“一机两用一机两用一机两用一机两用”监测系统构架和功能监测系统构架和功能监测系统构架和功能监测系统构架和功能功能功能功能功能5/16/202415违规联网报警：违规联网报警：违规联网报警：违规联网报警：发现违规行为后在控制台报警，并逐级报送给上级管理台。公安部公安部公安局公安局公安厅公安厅公安局公安局部监控平台部监控平台省监控平台省监控平台市监控平台市监控平台一机两用一机两用一机两用一机两用注册设备注册设备注册设备注册设备违规行为违规行为告警告警报报警警数数据据阻断阻断全国全国全国全国“一机两用一机两用一机两用一机两用”监测系统构架和功能监测系统构架和功能监测系统构架和功能监测系统构架和功能功能功能功能功能5/16/202416公安信息网公安信息网监控平台监控平台公安信息网公安信息网管理信息库管理信息库管理信息库管理信息库设备登记注册：设备登记注册：设备登记注册：设备登记注册：自动扫描发现网络中存在的网络设备，自动扫描发现网络中存在的网络设备，支持用户手动或系统自动注册。支持用户手动或系统自动注册。（一）区域注册（一）区域注册（一）区域注册（一）区域注册全国全国全国全国“一机两用一机两用一机两用一机两用”监测系统构架和功能监测系统构架和功能监测系统构架和功能监测系统构架和功能功能功能功能功能5/16/202417公安部公安部公安局公安局公安厅公安厅公安厅公安厅公安局公安局部监控平台部监控平台省监控平台省监控平台市监控平台市监控平台设备注册设备注册设备注册设备注册公安部公安部公安局公安局（二）全国注册（二）全国注册（二）全国注册（二）全国注册全国全国全国全国“一机两用一机两用一机两用一机两用”监测系统构架和功能监测系统构架和功能监测系统构架和功能监测系统构架和功能功能功能功能功能5/16/202418公安部公安部公安局公安局公安厅公安厅公安局公安局部监控平台部监控平台省监控平台省监控平台市监控平台市监控平台未注册设备未注册设备未注册设备未注册设备注册设备注册设备注册设备注册设备报警数据报警数据阻断阻断全国全国全国全国“一机两用一机两用一机两用一机两用”监测系统监测系统监测系统监测系统未注册管理未注册管理未注册管理未注册管理扫描检测扫描检测未注册计算机定位：时时未注册计算机定位：时时未注册计算机定位：时时未注册计算机定位：时时发现未注册设备，并对该设发现未注册设备，并对该设备进行阻断与公安信息网隔离，使其无法联入公安信备进行阻断与公安信息网隔离，使其无法联入公安信息网络中。息网络中。5/16/202419病毒检测定位：病毒检测定位：病毒检测定位：病毒检测定位：搜索网络注册客户端系统是否有病毒、搜索网络注册客户端系统是否有病毒、木马等运行进程，并能够定位病毒源计算机。木马等运行进程，并能够定位病毒源计算机。病毒制造者病毒制造者一机两用一机两用公安信息网公安信息网公安信息网公安信息网 病毒信息病毒信息病毒信息病毒信息定位汇总定位汇总定位汇总定位汇总监控平台监控平台监控平台监控平台互联网互联网互联网互联网病毒检测病毒检测病毒检测病毒检测全国全国全国全国“一机两用一机两用一机两用一机两用”监测系统构架和功能监测系统构架和功能监测系统构架和功能监测系统构架和功能功能功能功能功能5/16/202420全国全国“一机两用一机两用”监控系统监控系统民警使用操作注意事项民警使用操作注意事项（注：提供注释的功能项为管理员专用，其他民警需要了解）（注：提供注释的功能项为管理员专用，其他民警需要了解）5/16/202421目目 录录 q 客户端注册需填写内容说明客户端注册需填写内容说明q q（以下为管理员专用）（以下为管理员专用）q 审核重新注册的设备信息审核重新注册的设备信息q 处理被保护的设备处理被保护的设备q 系统变更介绍系统变更介绍5/16/202422注册需填写内容说明注册需填写内容说明 序号填写项说明必填项1.使用人填写计算机使用者或负责人的姓名不允许填写单位名等非姓名名称，如：值班室2.单位名称填写使用人所在单位，如：“信息通信局”要求按照CA编码规则中的要求填写3.部门名称填写使用者所属部门名称，如：“网络安全处”要求按照CA编码规则中的要求填写4.设备安装位置填写计算机所在地，包括楼号、房间号5.联系电话填写使用人的联系电话6.设备类型用户按类型从操作系统库中做统计7.警种由用户从列表中选择，分类见附表8.是否属于基层科所队由用户从列表中选择，分为是和否两种选填项9.电子邮件使用人的公安网电子邮件地址10.备注设备的其它需要说明的信息5/16/202423 设备注册设备注册根据各地一机两用服务器地址下载注册机根据各地一机两用服务器地址下载注册机,进行注册进行注册.http:/*.*.*.*/vrveis/download/deviceregist.exe5/16/202424审核重新注册的设备信息审核重新注册的设备信息q 审核重新注册设备信息的准确性审核重新注册设备信息的准确性 对不准确的信息可以通过以下对不准确的信息可以通过以下3 3种方法处理：种方法处理：1 1）通过终端控制来强制修改在线设备的注册信息）通过终端控制来强制修改在线设备的注册信息 2 2）通过发送重新注册的提示消息来要求用户纠正）通过发送重新注册的提示消息来要求用户纠正注册信息注册信息 3 3）现场协助用户重新注册）现场协助用户重新注册5/16/202425处理被保护的设备处理被保护的设备序号填写项说明必填项1单位名称填写使用人所在单位，如：“信息通信处”2部门名称填写使用者所属部门名称，如：“网络安全科”3使用人填写计算机使用者或负责人的姓名不允许填写单位名等非姓名名称，如：值班室4联系电话填写使用人的联系电话5设备类型用户按该设备的实际用途从下拉列表中选择选填项6注释可填写设备的品牌及型号等信息，设备类型选“其它”的要在此注明具体用途被保护设备需完善下列信息：5/16/202426 为了降低违规外联行为对公安网络产生的安全威胁，新的违规外联行为处理办法修改为以下方式：当客户端探头检测到计算机发生违规外联行为时，就会立即锁定计算机的网络功能，并在2分钟后关闭计算机，计算机重新启动后需要由管理员为计算机解锁，才可以再接入网络。系统变更系统变更 -违规外联行为的永久阻断违规外联行为的永久阻断5/16/202427系统变更系统变更 系统定义组系统定义组2 2 q 被阻断组：被阻断组：被管理员设置为手工阻断的设备。q 今今天天注注册册设设备备阻阻：显示今天从0点至当前时间 的注册设备q 黑名单设备：黑名单设备：该组设备不参与条件查询q 长时间未使用设备：长时间未使用设备：超过180天未使用的设备q IPIP重复设备重复设备q MACMAC重复设备重复设备5/16/202428IP/MAC IP/MAC 绑定绑定 对管理范围内的IP、MAC地址实施绑定可通过两种方式来实现。q设备接入管理的IP、MAC绑定列表q策略管理中心安全策略中的IP、MAC绑定策略5/16/202429IP/MAC IP/MAC 绑定列表绑定列表 根据基准列表中的IP、MAC地址对来判断IP或MAC地址是否发生绑定改变，一旦发现绑定改变即可对目标计算机执行阻断。通过修改或删除IP、MAC绑定列表中的记录来达到变更或取消绑定的目的。特点特点：可对IP、MAC地址进行一对一、一对多的绑定；可对网络中所有IP或MAC进行绑定，不论目标设备是注册或者未注册；发现改变即会产生报警，便于管理员发现和解决网络地址配置不当引起的问题。5/16/202430目前系统存在的问题目前系统存在的问题1 1、技术方面：、技术方面：新入网设备的监测和控制策略不够严格；新入网设备的监测和控制策略不够严格；数据的核查操作不够方便；数据的核查操作不够方便；注册进程的稳定性不够注册进程的稳定性不够 。2 2、管理方面：、管理方面：监控系统管理员配备不到位，日常运行工作缺位；监控系统管理员配备不到位，日常运行工作缺位；系统中大量的不明设备不能及时核实；系统中大量的不明设备不能及时核实；系统中大量的无效数据不能及时清理。系统中大量的无效数据不能及时清理。5/16/202431补丁分发系统基础知识补丁分发系统基础知识5/16/202432什么是操作系统漏洞？什么是操作系统漏洞？漏洞即某个程序(包括操作系统)在设计时未考虑周全，当程序遇到一个看似合理，但实际无法处理的问题时，引发的不可预见的错误。补丁相关知识介绍5/16/202433系统漏洞的产生原因？系统漏洞的产生原因？1.编程人员的人为因素，在程序编写过程中，为实现不可告人的目的，在程序代码的隐蔽处保留后门；2.受编程人员的能力、经验和当时安全技术所限，在程序中难免会有不足之处，轻则影响程序效率，重则导致非授权用户的权限提升；3.由于硬件原因，使编程人员无法弥补硬件的漏洞，从而使硬件的问题通过软件表现。5/16/202434系统漏洞的危害？系统漏洞的危害？1.漏洞可能会导致网内计算机被轻易入侵，造成重要机密文件泄密。2.漏洞可能会导致网络攻击型病毒在内网迅速传播等不安全因素的存在。3.漏洞可能会导致部分应用无法正常运行。5/16/202435什么是补丁？什么是补丁？补丁，顾名思义就是用来修补漏洞的程序，针对特定软件上存在的漏洞和缺陷而对该软件进行加强或升级的附属文件。5/16/202436微软补丁分类微软补丁分类 1.Hotfix：是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序，通常称为修补程序。2.SP：Service Pack的缩写，意即补丁包。Hotfix是针对某一个问题的单一补丁，SP包含SP发布日期前的所有Hotfix补丁。5/16/202437微软补丁命名微软补丁命名 补丁程序文件名有严格的规定，一般格式如下：“产品名-KBXXXXXX-处理器平台-语言版本.exe”。如微软针对震荡波病毒而发布的补丁：“Win2K-KB835732-X86-CHS.exe”。5/16/202438 建立部、省、市三级补丁分发管理系统，将补丁管理系统和补丁库部署到部级、省级和地、市级的补丁管理服务器，在全国公安信息网上实现统一的微软操作系统补丁库维护、更新、管理和自动分发机制，为各级信息系统和联网计算机提供补丁自动分发服务，以利于各级信息中心准确、及时地掌握最新的漏洞信息并进行修补。补丁系统简介5/16/2024391.公安信息网补丁源统一；2.避免各地公安信息网自行下载、测试补丁所带来的大量重复工作；3.避免部分用户安装可能带来危害的补丁（包括“假”补丁）进入公安信息网；4.避免部分用户在外网打补丁的现象。多级级联补丁系统的特点5/16/202440二、补丁分发管理系统构架二、补丁分发管理系统构架5/16/202441补丁系统级联管理构架2.1系统结构图5/16/202442使用端口1.客户端：22105（TCP/UDP）2.服务器端：88（备用188，TCP）3.上下级级联端口：4.使用80转换的情况下：80（TCP）5.未使用80转换的情况下：2388、2399（TCP）6.Vrvanywhere：8800，8900（TCP）5/16/202443客户端驻留程序1.Watchclient.exe 客户端服务2.Vrvrf_c.exe 策略解析、程序调度3.Vrvedp_m.exe 违规外联、补丁检测4.Vrvsafec.exe 客户端保护5/16/202444设备扫描发现：1.扫描器扫描发现（一个管理器对应多个扫描器）：2.ICMP探测3.TCP连接探测（Ping有回馈时执行）4.SNMP探测2.客户端扫描发现3.UDP探测 4.ARP探测5.3.注册状态判断：22105通讯是否正常5/16/202445设备注册相关：1.注册成功：服务器和客户端均保留用户填写的注册信息，客户端开机时可自动上报。2.缺省注册成功：注册时与管理器未成功建立通讯连接，当客户端与管理器通讯成功后会自动将信息上报到服务器，同时在本地保存副本。5/16/202446被阻断设备的处理方法：1.未注册阻断：由扫描器调度被阻断设备邻近的注册计算机向被阻断设备发出ARP干扰，导致其无法进行网络通讯。2.已注册阻断：由扫描器调度被阻断设备上的客户端程序执行自我阻断。3.锁定模式：由客户端调度访问控制模块完成计算机的网络锁定。5/16/202447补丁管理功能：补丁管理功能：1.补丁自动分发到各省、市的补丁管理服务器；2.补丁可根据管理员需要分发到各客户端；3.可定时进行补丁检测和分发；4.管理员可查询本地补丁修补的相关完成情况；5.用户可访问专门的（内网）页面，下载、安装当前未安装的补丁；6.补丁下载可进行客户端转发，以减少网络负载。5/16/202448用户补丁下载查询用户可通过访问指定页面查询、下载安装未安装的补丁5/16/202449 补丁下载地址为补丁下载地址为http:/*.*.*.*/Patchweb5/16/2024505/16/2024515/16/202452系统定义组以下各功能组说明：系统定义组以下各功能组说明：新发现组：新发现组：在前在前24小时发现的未注册设备。小时发现的未注册设备。脱缰组：脱缰组：曾经注册过，但由于卸载探头或者注册设备网络原因无法与曾经注册过，但由于卸载探头或者注册设备网络原因无法与“一机一机 两用两用”服务器正常通讯，扫描服务器正常通讯，扫描4个周期。个周期。受保护组：受保护组：被设置为保护的设备。被设置为保护的设备。信任组：信任组：被信任的设备；被勾选保护或信任的设备都相当于注册设备，保护被信任的设备；被勾选保护或信任的设备都相当于注册设备，保护 设备违规不会被阻断，信任设备违规会被阻断，但都会报警。设备违规不会被阻断，信任设备违规会被阻断，但都会报警。应注册未注册设备组应注册未注册设备组:应注册未注册设备；应注册未注册设备；MAC地址不为地址不为0的都为应注册设的都为应注册设 备。备。空空MAC地址组：地址组：无法取得无法取得MAC地址的设备。地址的设备。被阻断组：被阻断组：当前被管理员手动勾选阻断的设备。当前被管理员手动勾选阻断的设备。今天注册设备组：今天注册设备组：当日当日24小时内注册的设备。小时内注册的设备。无效设备组：无效设备组：管理员勾选无效的设备；该组设备不算统计数据，在组外也无管理员勾选无效的设备；该组设备不算统计数据，在组外也无 法查询该设备，并且可以通过系统的阻断配置来阻断该设备。法查询该设备，并且可以通过系统的阻断配置来阻断该设备。长时间未使用组：长时间未使用组：超过超过90天未使用的设备。天未使用的设备。IP重复组：重复组：IP重复的设备。重复的设备。MAC重复组：重复组：MAC重复的设备。重复的设备。5/16/202453二、二、系统新升级后增加移动存储管理系统新升级后增加移动存储管理功能情况说明功能情况说明5/16/202454安全控制策略安全控制策略（安全策略（安全策略专用存储设备）专用存储设备）内网计算机内网计算机中间机中间机外网计算机外网计算机普通U盘/安全策略2 2存储设备 n注册后的专用存储设备只有一个“保密区”，仅能在授权计算机上使用，在非授权计算机上不可用。n选择安全策略专用存储设备的用户，其计算机对非注册的移动存储设备为“完全禁止”。n用户将通过”中间机”完成内外网之间的数据交互工作。安全策略1 1存储设备专用存储设备功能专用存储设备功能5/16/202455内部计算机内部计算机安全控制策略安全控制策略（安全策略（安全策略专用存储设备）专用存储设备）外部计算机外部计算机注册后的专用存储设备分为保密区、交换区、启动区。n保密区仅能在授权计算机上使用，在非授权计算机上不可用。n交换区通过用户密码认证后在内外网计算机均可使用。n启动区在授权计算机上不显示。在非授权计算机上显示工具。选择安全策略专用存储设备的用户，其计算机对非注册移动存储设备为“只读”。用户将通过“交换区”完成内外网之间的数据交互工作。安全策略2 2存储设备专用存储设备功能专用存储设备功能5/16/202456专用存储设备功能专用存储设备功能1、双数据区交互使用双数据区交互使用专用存储设备支持交互区和保密区划分。交互区在授权计算机上透明使用，在外网或非授权计算机上支持口令登录使用；保密区在授权计算机上受控使用，在外网或非授权计算机上不可见。5/16/202457专用存储设备功能专用存储设备功能2 2、全盘数据加密、全盘数据加密采用AES128位高强度算法对磁盘全面加密；在没有登录口令的情况下，使用任何第三方磁盘管理工具都无法获取内部加密数据。在AES高强度加密基础上，采用8位以上字母、数字组合口令保护专用U盘的登录。5/16/2024583 3、授权访问控制、授权访问控制 专用存储设备配合终端计算机注册程序的安全策略，灵活控制不同数据区的访问权限；2个数据区的专用存储设备，其交换区和保密区在不同的部门、不同的计算机上用户使用权限不同（如禁止使用、只读使用、完全使用）；整盘加密（仅有保密区）的专用存储设备只能在授权计算机上使用，在外网或非授权计算机上不可用。专用存储设备功能专用存储设备功能5/16/202459专用存储设备功能专用存储设备功能专用存储设备应用部署专用存储设备应用部署控制台控制台5/16/202460安装客户端软件安装客户端软件专用存储设备使用演示专用存储设备使用演示第一：了解使用步骤流程第一：了解使用步骤流程安全策略安全策略管理员管理员用用 户户注册授权获取注册盘获取注册盘使用使用（U盘盘/移动硬盘）移动硬盘）5/16/202461第三：客户端安全策略接收第三：客户端安全策略接收上述策略包括：对认证安全盘的读写控制；对部门之间的认证安全盘使用控制；对外来普通的盘的读写控制。同时在用户计算机桌面提供管理告警信息。专用存储设备使用演示专用存储设备使用演示5/16/2024625/16/202463谢谢 谢！谢！5/16/202464