终端安全保护系统南方基地.docx
《终端安全保护系统南方基地.docx》由会员分享,可在线阅读,更多相关《终端安全保护系统南方基地.docx(17页珍藏版)》请在冰豆网上搜索。
终端安全保护系统南方基地
广东南方信息安全产业基地有限公司
终端安全保护系统
终端用户使用手册
2010.10
文档信息
文档编号:
NF/QR-JS/06-06
文档信息:
文档名称:
终端安全保护系统终端用户使用手册
文档类别:
密级:
文档修订记录
版本号
简要说明(变更内容和变更范围)
日期
变更人
批准日期
批准人
B/0
创建文档
2011-3-15
李倩茹
2011-3-18
谭剑
重要声明
感谢您使用广东南方信息安全产业基地有限公司研制开发的终端安全保护系统,请在使用本系统之前认真阅读配套的使用手册。
当您开始使用终端安全保护系统时,我们认为您已经阅读了本手册。
作为计算机安全防护工具,本公司研制的各种产品将不断的升级。
无论是功能的增加、性能的提高等都关系到其实际的使用价值。
所以,在使用本产品过程中请随时保持与南方信息安全公司的联系,以及时获得更新程序或升级产品。
本手册为终端安全保护系统V2.0版,其内容将随着本软件的更新换代而改变,恕不另行通知。
公司简介
广东南方信息安全产业基地有限公司是根据广东省有关部门指示的精神设立的专业化,主要从事信息安全关键领域核心技术攻关、成果转化、应用推广的创新型高新技术企业。
南方基地公司的设立旨在打造广东信息安全产业集群创新和服务平台,带动广东信息安全产业体系的发展和完善,促进广东信息安全保障体系的建立。
公司一直秉承“专业、创新、协同、国际”的企业文化精神,强调技术领先、注重科学管理、强调规范经营。
公司先后通过了ISO9001、CMM3、商用密码产品生产定点单位资质、国家和省安全服务资质、省安全技术防范系统设计、施工、维修资格等认证。
同时,作为省市计算机信息网络安全协会及多个行业协会的常务理事、团体单位,公司积极参与推进驻地信息产业的发展,获得众多荣誉称号和社会好评。
公司坚持产学研相结合的发展道路,注重与国内著名院校以及科研机构合作,拥有一批国际水平的信息安全科学专家,包括两院院士和博士生导师构成的专家顾问团队,拥有一批优秀的安全产品研发、咨询服务和技术支持队伍。
经过多年的积累,公司在鉴别认证技术、操作系统安全和信息应用系统安全技术等方面已达到行业领先水平,申请了一批发明专利和产品著作权。
依托自主研发的IPA信息基因鉴别认证技术,公司陆续推出了双因子认证鉴别系统、基于操作系统核心技术的信息安全系列产品和安全系统全面解决方案,以及移动终端信息安全解决方案及产品,较好地满足现有各种复杂网络环境下的信息安全需求。
公司将一如既往,集技术、产品和服务等优势,以振兴民族信息安全产业为己任,为各级政府部门和企事业单位提供可靠的安全产品和安全服务。
终端安全保护系统V2.0
终端用户使用手册
1软件说明
1.1软件介绍
终端安全保护系统产品,提供终端安全保护,终端安全管理及审计功能。
本产品针对国家倡导的技术及法规进行设计,满足大多数企事业单位的终端安全功能需求。
本产品提供应用程序管控、端口控制功能,保护了终端操作系统环境的安全;提供了联网管控功能,保证了客户端的上网安全;提供文档保险柜功能,保护了用户数据安全;提供了日志事件审计及基于WEB的管理端,管理员能够方便的使用本系统。
该产品采用全新的架构设计并采用优越的安全算法,系统运行效率高,有效降低资源占用,是终端安全需求的整体解决方案。
1.2应用环境
硬件环境:
CPU主频1GHZ或以上;内存512M或以上;硬盘空间不小于100M。
软件环境:
WINDOWS7/VISTA/2003/XP/2000SP4。
1.3物件清单
产品包装盒一个;
光盘一张;
用户手册两本;
管理员UKEY三个。
1.4版本说明
本版本不承诺满足所有计算机平台运行需求,如有需要请联系我司。
我们将为您提供更优秀的产品版本。
2快速入门
2.1快速安装
2.1.1后台自动安装模式
请按照以下步骤进行操作:
1.确认机器及操作系统环境满足本产品环境要求。
2.确认服务器已经配置好自动部署的环境。
3.安装终端安全保护系统客户端。
将EPPSAutoUpdate.exe拷贝到本地硬盘,直接双击安装。
(可加命令行参数以实现静默安装:
/quiet)。
安装过程中需要配置服务器地址,如下图所示:
图2-1配置服务器地址
将红色框内的IP地址和端口改成服务器对应的IP地址和端口。
4.安装完毕,EPPSAutoUpdate.exe安装的程序会自动启动在线安装程序。
2.1.2手工安装模式
请按照以下步骤进行操作:
1、确认机器及操作系统环境满足本产品环境要求。
2、修改安装配置文件Install.ini,将里面的5个服务器IP地址和端口设置成终端安全保护系统的服务器对应的IP地址和端口;然后将其拷贝到系统盘的Windows目录下。
例如,您的操作系统安装在C:
盘,则将Install.ini文件拷贝到C:
\Windows目录下。
如下图所示:
图2-2修改Inistall.ini文件
3、安装终端安全保护系统客户端。
将客户端程序EndPointProctionSystem.exe拷贝到您的机器,双击该程序,按照向导提示完成安装。
4、安装完毕后,重新启动计算机。
2.2快速启动
请按照以下步骤进行操作:
1.管理员登录Web控制台。
2.管理员创建用户。
3.用刚刚创建的用户登录终端。
3主要功能介绍
本系统提供主机安全保护,双因子登录,数据保护等主要功能。
3.1双因子登录
在WINDOWS默认的身份验证的基础上,增加一个安全认证机制。
3.2程序管控
Ø保证用户操作系统中运行的软件程序都经过授权,未授权软件不能运行。
Ø终端用户通过可信软件安装向导,可安装合法的软件。
Ø终端用户通过软件授权,可使用合法的绿色软件。
Ø软件操作终端用户通过软件锁定,可主动阻止有害程序的运行。
3.3联网管控
确保只有系统认可的机器方可接入网络,可对用户上网的时间、流量以及网速进行控制。
3.4文档保险柜
Ø在硬盘上新建一个私密空间,存放视频、办公文档等数据资料。
Ø高强度加密算法保证数据安全存储。
3.5远程协助
通过远程协助,可以向管理员请求查看并解决电脑操作上的问题;可以控制内网中的某台计算机或查看该计算机的信息。
3.6软件管理
从服务器下载软件列表,这些软件都是管理员经过挑选的,可以放心使用;您可以自由下载、安装该列表中的软件。
4软件操作
本章节从系统管理员对客户端进行部署和管理,以及普通用户如何使用客户端进行讲述。
4.1双因子登录
传统的WINDOWS身份验证机制有其脆弱性,本功能提供了增强的安全验证机制,保护计算机使用身份的安全性。
用户安装终端安全保护系统后,可以将本次登录的WINDOWS账户设为默认账户,则以后只需要输入一次用户名和密码,即可登录系统。
请按照以下步骤进行操作:
1.启动系统后,输入终端安全登录用户名称和用户密码,然后选择WINDOWS账户并输入其登录密码,如图4.1-1。
图4.1-1终端安全登录
说明:
✧在这里,您需要插入由系统管理员创建的终端安全保护系统用户USB-KEY和输入对应的密码。
✧首次登录操作系统需要输入两次账号密码:
终端安全保护系统的账号密码和WINDOWS账号密码;首次成功登录Windows账户后,用户再次开始使用上次登录的Windows账户,可在“Windows账户”下拉框选定“使用上次登录的Windows账户”选项或通过绑定Windows账户功能,则无需再次输入Windows账户的登录密码。
✧本手册使用的是WINDOWSXP系统进行讲述,对于WINDOWS7/VISTA,用户界面稍有不同。
4.2概览
用户成功登录终端安全保护系统后,双击终端安全保护系统的托盘图标,默认进入终端安全保护系统“概览”界面,如图4.2-1。
在此界面中,用户可以查看其登陆信息,以及程序管理、联网管控、文档保险柜;可以便捷地修改系统登录口令。
图4.2-1概览
4.3程序管控
点击终端安全保护系统主程序上方的“程序管控”按钮,进入其操作界面,如图4.3-1。
系统将在此界面显示该用户是否已经开启程序管控功能以及控制级别,是否允许用户自主设置放行程序或禁行程序。
图4.3-1程序管控页面
注意:
✧程序管控功能可设为“开启”和“关闭”两种状态。
在开启状态下,普通终端用户不能自主安装和运行“软件管理”列表以外的软件;在禁用状态下,普通用户可以自由安装和使用软件。
当系统允许用户设置程序白名单时,用户可以自定义放行的软件和程序。
✧推荐管理员开启程序管控功能,这样可以避免用户随意使用一些安全性较低的软件,从而增强用户操作系统的安全性。
✧针对可信的用户可为其启用“设置程序白名单”的安全项,放行新的程序文件。
4.3.1已安装软件
系统将会自动收集操作系统已经安装的软件,用户可以选择指定的软件,点击“放行”按钮,以允许该软件的使用。
4.3.2放行程序
系统向终端用户提供查看当前系统放行程序情况的功能。
在放行程序操作界面中,用户可以查看当前系统放行程序的列表。
在开启“程序管控”功能的环境下,当系统允许您设置放行程序,您还可以自由的进行设置放行程序的相关操作。
此时只有被设为放行程序的软件才能在系统中正常运行。
需要对放行程序进行相关操作,请按照以下步骤进行:
1.在“程序管控”操作界面中点击“放行程序”标签,进入其界面,如图4.3-4。
2.勾选需要进行操作的放行程序,如需全部选中所有可疑程序请勾选“全选”前的方框。
3.请点击所需进行操作的按钮,如“取消放行”或“添加放行程序”。
说明:
✧只有在系统允许您设置禁行程序时,您方可将放行程序进行“取消放行”和“添加放行程序”的操作。
✧取消放行:
在开启“程序管控”功能的环境下,对程序进行“取消放行”操作后,该程序将无法运行。
✧添加放行程序:
对程序进行“添加放行”操作后,该程序可以运行。
图4.3-4放行程序
4.4联网管控
终端安全保护系统为您提供网络接入管控,当用户需要访问网络时,需要通过拨号认证,方可接入网络。
根据管理员在控制台的设置,用户的上网时间、带宽和流量有可能受到限制。
需要进行拨号认证等相关操作,请按照以下步骤进行:
1.点击终端安全保护系统上方的“联网管控”按钮,进入其操作界面,如图4.4-1。
图4.4-1联网管控页面
2.当您的计算机接入网络后,系统将显示您的接入网络时间、网络断开时间、带宽限制和流量限制。
4.5文档保险柜
用户可以通过“文档保险柜”功能,在计算机上新建一个私密空间,用来存放文件、视频等各种格式的数据资料。
文档保险柜主界面如图4.5-1所示。
图4.5-1文档保险柜
1、创建文档保险柜。
用户第一次使用的时候,需要创建文档保险柜。
点击“创建文档保险柜”按钮,在弹出的对话框中选择文档保险柜的保存位置,设置文档保险柜的大小,输入文档保险柜密码,按照向导提示完成文档保险柜的创建,如图4.5-2所示。
图4.5-2创建保险柜
2、导入文档保险柜。
您可以导入一个以前创建的文档保险柜。
点击“导入文档保险柜”按钮,在弹出的对话框中文档保险柜的密码,选择需要导入的文档保险柜,验证成功后,文档保险柜就会成功导入。
图4.5-3打开文档保险柜
3、打开文档保险柜。
如果您已经创建或者导入了文档保险柜,则界面会如图4.5-3所示。
点击“打开文档保险柜”按钮,在弹出的对话框中输入PC的密码,验证成功后,文档保险柜即可打开。
4、关闭文档保险柜。
如果您已经打开文档保险柜,则点击“关闭文档保险柜”按钮,即可关闭文档保险柜。
4.6远程协助
使用远程协助功能,可以向管理员请求查看并解决电脑操作上的问题。
点击终端安全保护系统上方的“远程协助”按钮,进入远程协助界面,如图4.6-1。
图4.6-1远程协助
具体操作如下:
1.查看目标计算机:
可以查看内网中的某台计算机;点击“查看目标计算机”按钮,输入所查看的目标计算机的IP地址,等对方回应后,进行查看。
图4.6-2查看目标计算机
2.控制目标计算机:
可以控制内网中的某台计算机,点击“控制目标计算机”按钮,输入所查看的目标计算机的IP地址,等对方回应后,进行控制。
3.请求查看本计算机:
点击“请求查看本计算机”按钮,输入目标计算机的IP地址,等对方回应后,对方即可查看您的计算机。
4.请求控制本计算机:
点击“请求控制本计算机”按钮,输入目标计算机的IP地址,等对方回应后,对方即可控制您的计算机。
4.7软件管理
在软件管理界面,可以管理员添加的软件,点击终端安全保护系统上方的“软件管理”按钮,进入软件管理界面,如图4.7-1。
图4.7-1软件管理页面
4.7.1软件搜索
在列表中显示服务器当前已经添加的软件,您可以点击右上角的刷新按钮,重新从服务器下载软件列表。
4.7.2软件下载与安装
要下载和安装软件,请按如下步骤禁行:
1、在列表中选择一款软件;
2、点击右侧的“安装”按钮,系统将会自动从服务器下载软件,软件下载完毕,将自动执行安装程序,用户根据安装向导完成软件的安装;
3、软件安装完毕,系统会分析刚刚安装的软件,并放行它,使其能够在您的机器上运行。
4.8设置
终端安全保护系统位用户提供便捷的设置操作,包括基本设置、文档保险柜设置、事件通知设置。
需要进行系统设置,请点击终端安全保护系统上方的“设置”按钮,进入其操作界面,如图4.8-1。
图4.8-1设置页面
4.8.1基本设置
需要进行基本设置,请按照以下步骤进行:
1.若勾选“随系统启动自动接入网络”项,那么系统将在启动后自动接入安全网络连接。
2.如需修改系统登录密码,请点击“修改系统登录密码”按钮,进入其操作界面如图4.8-2;分别输入“当前密码”、“新密码”和“确认密码”,并点击“确定”按钮。
这里所设置的登陆口令是用于系统启动时终端认证所需的登录口令。
图4.8-2修改登录密码
4.8.2文档保险柜设置
需要进行文档保险柜设置,请按照以下步骤进行:
1.您可以点击“文档保险柜实际目录”右方的“···”按钮,修改文档保险柜的实际目录。
2.修改文档保险柜的密码:
如需修改文档保险柜密码,请点击“修改文档保险柜密码”按钮,进入其操作界面如图4.8-3;分别输入“当前密码”、“新密码”和“确认密码”,并点击“确定”按钮。
图4.8-3修改文档保险柜密码
4.8.3事件通知设置
终端安全保护系统为用户提供全方位的事件通知功能。
用户可以按照实际需要设置事件通知的模式:
默认模式:
是指按照系统默认的方式,接收事件通知。
免打扰模式:
是指不接收任何事件通知。
全交互模式:
是指接收所有事件通知。
自定义模式:
是用户可以根据自己勾选的事件类型,接收指定的事件通知。
发送通知的事件类型:
策略更新:
是指安全管理员在控制台对包括程序管控、联网管控等功能进行策略更新的事件。
联网时长告警:
是指系统即将断开网络连接时的警告事件。
上下行带宽告警:
超上下行带宽限制时报警的事件。
5常见问题处理方法(FAQ)
Q:
什么叫双因子登录?
A:
所谓的双因子登录,是使用两种或多种安全认证机制,保证WINDOWS系统登录安全的技术。
使用了双因子登录,您的计算机在使用上可以大大增强安全性。
Q:
双因子登录过程支持域身份认证吗,远程登录呢?
A:
双因子登录功能暂不支持域登录和远程登录。
Q:
为什么登录过程这么奇怪?
A:
有时候您需要输入两次用户名称或密码以登录系统,或者需要插入UKEY(视产品版本而定)。
正常的流程应该是,您必须先通过第一重验证技术的认证,然后再通过WINDOWS系统的认证。
但本产品为了使您更容易使用,特意安排了记忆功能,所以有时候您只需要输入系统用户的账号和密码,但如果您的计算机不止您一个用户使用,本功能将失效,您需要输入两次用户名和密码。
Q:
为什么无法登录我的计算机?
A:
通常,管理员在您的机器上创建用户后,您才可以使用该用户登录您的计算机。
Q:
我可以相信文档保险柜功能吗?
A:
您绝对可以依赖我们的文档保险柜功能,只要您的文档保险柜口令没有泄露和足够健壮,现代计算机技术理论上无法破解我们的文档保险柜。
Q:
什么是程序管控功能?
如果启用了该功能,我的机器还会感染病毒吗?
A:
程序管控功能,保证用户系统中,运行的软件程序都是合法的,未知软件不能运行。
当管理员为您设置了启用程序管控功能,您可能不能随便安装其他软件,除非管理员同时为您开启“放行程序”。
当然如果启用程序管控功能,您的机器感染病毒的机会将极大减少,从而增强了系统的安全性。
6附录
参考《终端安全保护系统管理员使用手册》。
升级会员 