一． 终端安全管理

1．安全策略管理

按照企业终端计算机安全管理规定，统一配置终端计算机的Windows安全策略，实现集中的安全策略配置管理，统一提高终端计算机用户的安全策略基线。系统所能配置的安全策略有：帐户密码策略监视、帐户锁定策略监视、审核策略监视、共享策略监视、屏保策略监视。

2．终端入网认证

对接入内网的计算机进行统一的管理，未经许可的计算机不能接入内网，接入内网的计算机必须通过安全性检查才能访问内部网络资源，其主要功能为：非法用户内联控制、主机安全性检查。

3．用户身份认证

身份认证是系统应用安全的起点，通过硬件USBKey和口令认证登录Windows系统用户身份，保证进入Windows系统用户身份的合法性；对登录用户权限进行合法性检查，保证用户权限的合规性。具体功能为：基于USBKey的身份认证、登录用户权限合法性检查。

4．网络进程管理

通过对网络进程的统一管理，规范计算机用户的网络行为，实现“外面的网路连接未经许可进不来，里面的网络进程未经许可出不去”。具体功能为：管理向外发起连接的网络进程、管理接收外部连入的网络进程、实时获取网络进程信息和会话连接状态。

5．防病毒软件监测

通过策略设置输入防病毒软件特征，按照统一的策略监测防病毒软件使用状况，并进行统计分析形成统一的数据报表。具体功能为：监视防病毒软件的使用状况、防病毒软件监测特征的自定义。

6．补丁分发管理

统一配置终端计算机的补丁管理策略，实现对系统补丁状况的扫描，自动完成补丁分发。系统所支持的补丁包括：Windows操作系统补丁系列、office系列办公软件补丁、SQL Server系列补丁等微软产品的补丁，具体功能为：制定统一的补丁管理策略、实现统一的补丁更新管理。

7．临时文件删除

通过控制台设置临时文件管理策略，实现临时文件的统一删除管理，系统所能删除的文件包括有：清除IE缓存、清除IE地址栏、清除历史记录、清除COOKIE、清除系统临时目录、清除最近打开的文档、清除运行中的运行命令、清除回收站。

8．文件安全擦除

提供对存储在本地的敏感文件进行安全擦除功能，通过多次数据回填的方式实现敏感文件的安全擦除；经过安全擦除处理后的文件无法通过磁盘剩磁的方式恢复数据。管理员可以配置擦写次数实现统一的文件擦出管理。

二． 终端运维管理

按照统一的安全策略监控客户端的运行状况，通过软件自动分发和软硬件资产的统一管理大大节约了企业信息系统的维护成本，通过系统远程帮助控制实现远程维护计算机，清除系统故障。系统具体功能如下：

1．软件分发管理

规划企业统一分发的软件安装包，按照统一的软件分发策略，自动完成企业软件的部署，其主要功能为：软件包管理、软件包分发。

2．软硬件资产管理

自动发现和收集计算机上的软硬件资产信息，跟踪软硬件资产信息变化情况，对非授权的软硬件资产的变更产生报警。具体功能为：资产信息查看、软件管理策略、硬件管理策略、硬件基线设置。

3．系统运行状况监控

为管理员随时提供远程终端主机的运行状态变化信息，自动对指定的异常情况进行报警，根据管理员预定义策略及时阻断远程主机的违规行为。具体功能项为：监控信息管理、查看系统信息。

4．远程用户帮助

通过终端用户与服务器相互授权的机制建立终端与服务器之间的信任通信体系，管理员通过服务器实现对终端用户提供帮助。

三． 失泄密防护

通过控制信息外泄途径的方式保护企业敏感信息的安全，防止用户误操作或违规行为带出企业敏感信息。

1．网络失泄密管理

规范计算机用户的网络访问行为，根据业务相关性和保密的重要程度建立信任的虚拟安全局域网。网络防护有两个层面的含义：第一是防止用户误操作或蓄意泄漏企业的敏感信息；第二是防止黑客通过互联网透过防火墙非法获取客户端的敏感信息。实现了从网络层到应用层的多层次防护，具体功能为：网络层防护、应用层防护、非法外联防护。

2．媒体介质管理

根据企业对计算机用户的媒体介质的控制策略，按照计算机用户的防护等级和业务关系设置统一的媒体介质控制策略，实现企业对媒体介质的统一管理。

3．打印机管理

根据企业的打印机管理制度和计算机用户业务关系统一制定打印机的管理策略，主要功能为：监控用户打印行为、打印行为违规报警。

4．硬件接口管理

统一配置计算机外设接口的控制策略，动态的关闭与开启外设接口。所能控制的接口有：USB接口、SCSI接口、串行总线、并行总线、红外接口、PCMCIA接口、软盘控制器、火线1394接口、无线网卡接口、DVD/CD-ROM驱动器、蓝牙接口、第二块网卡接口。

四． 数据安全管理

1．我的加密文件夹

为终端用户提供了个人文件加密存储的文件服务。

2．硬盘保护区

在本地硬盘上提供一个或多个安全存放本地敏感文件的加密存储空间，用户可视为该文件保险箱为可信空间，并可通过加载或卸载操作以使该保险箱可见或不可见。

3．文件安全分发

实现了文件在小组、域范围内的自动加密或者自动解密，和安全分发过程。

4．安全文档管理

基于透明加解密技术，在客户终端上实施对客户文件的透明加密、透明解密，确保文档从创建到使用到销毁的全程安全，有效防止内部和外部窃取机密文件的行为，从根本上解决泄密防范问题。该加解密过程对用户来讲是“透明”的，不改变用户的任何操作行为。

5．可信移动存储介质管理

该功能实现了用户对移动存储介质管理的要求，对可信移动存储介质从购买到销毁的整个生命周期进行管理和控制。包括磁盘授权、磁盘文件操作控制、操作日志审计等。

五．终端接入管理

对接入内网的计算机进行统一的管理，未经许可的计算机不能接入内网。支持终端接入认证和内网安全扫描功能。

[系统特点]

全面的终端防护能力

分权分级的管理模式

方便灵活的安全策略

终端安全风险量化管理

周全详细的系统报表

丰富的应急响应知识库

完善的插件式系统架构

方便快捷的安装、卸载和升级

[体系架构]

系统分为三个组件：客户端、服务器和控制台，系统采用分布式监控，集中式管理的工作模式。组件之间采用C/S工作模式，组件的通信是采用HTTP/HTTPS加密传输方式。支持任意层级的服务器级联，上下级服务器之间采用HTTPS协议进行数据交换。

客户端：安装在受保护的终端计算机上，实时监测客户端的用户行为和安全状态，实现客户端安全策略管理。一旦发现用户的违规行为或计算机的安全状态异常，系统及时向服务器发送告警信息，并执行预定义的应急响应策略。

服务器：安装在专业的数据服务器上，需要数据库的支持。通过安全认证建立与多个客户端系统的连接，实现客户端策略的存储和下发、日志的收集和存储。上下级服务器间基于HTTPS进行通信，实现组织结构、告警、日志统计信息等数据的搜集。

控制台：人机交互界面，是管理员实现对系统管理的工具。通过安全认证建立与服务器的信任连接，实现策略的制定下发以及数据的审计和管理