固信软件与飞腾 终端安全管理系统联合解决方案

终端计算机为网络的入口设备及大量重要数据存储地，同时终端用户为网络最大的使用者，终端计算机的安全性考验着整个网络安全防护体系。随着信息安全技术和国产替代不断发展，终端计算机安全管理转向精细化、便捷化扩展，不能再单纯以设备为管理单元化的粗粒度管理模式，终端管理者更加关注设备使用者操作行为及操作便捷性。

为解决终端安全管理问题，固信联合飞腾共同推出终端安全管理系统方案，采用可信计算设计理念，打造安全可信的终端计算环境。系统采用B/S架构，客户端系统运行在操作系统底层，对终端计算机网络、设备接口和系统安全配置提供一体化解决方案，同时提供高效的终端运维管理工具，从终端安全威胁源口到上应用操作进行全方位加固，从根本上解决终端计算机信息安全管理的难题，保障终端计算机整体安全性。

系统基于依托飞腾 S5000C服务器提供算力底座，对D2000、D3000终端客户端提供安全管理服务，通过控制台进行服务器操作，监控所有主机、设定安全策略。客户机作为被管设备，在其上部署终端安全管理客户端程序，接收、同步服务器上的安全策略，并根据安全策略对客户机进行监控，主要业务功能如下：

1. 移动存储管理

移动存储设备不仅存储空间越来越大，设备种类也越来越多，固信终端安全管理系统采用可信授权管理模式进行验证，能够限制电脑禁止使用、仅读取使用所有U盘，同时支持指定U盘特殊处理，在保证移动存储设备在安全的情况下提高日常办公的便捷性，最大化保障终端计算机安全环境。

图1 - 移动存储管理

2. 外设管理

终端计算机可用设备繁多，更新迭代速度远远超过应用软件，可通过各类设备向外部传输文件、接入外部网络等，固信终端安全管理系统对操作系统底层设备接口进行管控，可以禁止计算机使用USB设备、蓝牙设备、便携式设备、光驱、刻录、红外设备、串口设备、并口设备、1394设备、pcmcia设备、无线网口、USB无线网卡、USB网络共享，能够对无线网络进行管理，禁止或仅允许链接指定wifi，搭建了完备的设备管理系统。

图2 - 外设管理

3. 资产管理

终端计算机硬件型号、种类及品牌繁多，收集汇总资产报表及对计算机性能评估方面需要一整套详进的解决方案，固信终端安全管理系统采集终端计算机详细的硬件资产信息，包含Ip地址、mac地址、操作系统、出厂日期、主机厂商、主机型号、硬盘大小、盘序列号、Cpu型号、内存大小等，对资产报表及预淘汰更新计算机提供强有力的支撑方案。

4. 风险告警

软硬件资产信息配置关乎终端计算机整体安全性，为防止终端用户误操作带来的安全风险及运维压力，固信终端安全管理系统可以在软硬件资产信息发生变化时产生告警，及时通知管理员进行处置。

5. 文件分发

在日常工作中，终端计算机经常需要更新软件或配置文件，管理员需要将这些文件传输到各个终端设备上。选择要分发的文件，设置分发位置及冲突处理动作，选择接收文件的客户端，点击确定后自动向计算机分发文件。

图3 - 文件分发

6. 远程协助

终端计算机使用频率高、终端用户计算机报错率高，固信终端安全管理系统为降低管理员终端计算机运维压力提供多组管理工具，降低运维负荷。支持远程控制终端电脑，支持同时对多台电脑进行远程操作。点击“操作”列下的相关选项，可以实现对计算机的远程关机、远程重启、锁定计算机、解锁计算机、远程卸载、远程协助按钮功能。

图4 - 远程协助

7. 外联检测

终端计算机接入外部非可信网络或桥接内外网，对终端计算机自身及内网会造成不可预估的灾难性后果，固信终端安全管理系统对终端计算机网络访问权限从入口处进行阻断及实时检测验证，确保终端计算机运行在已层层加固的内网可信网络中，可以极大的降低安全风险。可以对联网的办公计算机进行准入客户端的安装，基于客户端实现违规外联检查，从主机层封堵违规外联行为。

图5 - 外联检测

8. 屏幕水印

为防止员工通过拍照、录屏、截图方式外发信息，系统支持在屏幕上添加水印，屏幕水印能够起到震慑作用，降低拍照动机，当文件被外发后，还能够根据水印来进行溯源查证。点击策略模板下的桌面管理，勾选显示屏幕水印，选择水印模板，客户端屏幕则会出现水印。

图6 - 屏幕水印

9. 文件监控

系统支持查看所有终端计算机操作文件的记录，支持文件/文件夹新建、复制、删除、重命名、打开文件和编辑文件等监控内容。

固信终端安全管理系统采用“安全可信计算“设计理念，从网络接入权限、安全配置基线、设备接口到资产性能检测为终端计算机构建完备的运行环节，提高终端计算机的安全性，保障整体网络的安全性，确保单位管理制度的有效落实，简化维护管理系统，降低单位管理维护成本，保障单位信创资产的可控可管，系统优势如下：

1. 易用性强

支持B/S、C/S双重管理模式，兼容纯信创环境及信创、Windows混合管理环境，根据用户的应用环境选择合适的管控方式。

2. 管控粒度细

基于信创办公环境下的实际管控需求，针对USB外设及蓝牙设备的管控更加精细。USB管控支持区分存储/非存储，支持分别按协议、接口来进行管控；蓝牙管控支持放行首次使用的蓝牙键鼠。

3. 反应速度快

经过特殊构造的违规外联监测模块，发现速度更快，阻断更及时，能够在外联的瞬间发现并进行阻断，支持设置合法出口， 如访问政务外网不进行告警。