可信移動存儲介質(zhì)管理系統(tǒng)v9.0使用手冊

第一章系統(tǒng)概 第二章可信介質(zhì)管 磁盤管 信息管 第三章可信介質(zhì)策略配 文件操作........................................................................................................................................ 第四章可信介質(zhì)的使用管 第五章可信介質(zhì)制 5.1可信 第六章可信介質(zhì)日志審 附件一：常見問題解 第一章系統(tǒng)概移動介質(zhì)由于具有靈活性、方便性的特點，在企業(yè)信息化過程中迅速得到普及應(yīng)用。但越來越多的敏感信息、數(shù)據(jù)和資料存貯在移動介質(zhì)里，給企業(yè)信息資源帶來了相當大的可信移動介質(zhì)管理系統(tǒng)通過認證、驗證、密級識別、鎖定自毀、扇區(qū)級加、日志審計等六個途徑對可移動設(shè)備的數(shù)據(jù)進行安全防護，使得未通過驗證的用戶或密級不夠的主機，不可在可信移動介質(zhì)上的文件。該功能實現(xiàn)了用戶對移動介質(zhì)管理的 管理員對移動介質(zhì)進行，寫入信息，即完成可信磁盤的制作、、回收、 盤文件操作日志、跨服務(wù)器使用日志、可信磁盤鎖定與自毀日志、可信磁盤日志、商旅磁盤激第二章可信介質(zhì)管磁盤管可信分區(qū)：可信磁盤的可信分區(qū)只能在可信終端下使用，也就是只能在安裝UEM系統(tǒng)客戶端的主機上使用，在普通終端下無法使用。范圍受范圍、計算機安全等級的限制。根據(jù)能讀也能寫，在普通終端下不能。激活狀態(tài)，在可信終端下只讀不能寫，在普通終端下能讀也如果對客戶端下發(fā)“使用移動設(shè)備”策略后，普通的移動介質(zhì)或可信盤的普通分區(qū)將不能使用，只有可信盤通過客戶端正常加載后，才能夠使用。制作可信盤就是對普通移動動介質(zhì)插入到控制臺主機，點擊“刷新”按鈕，在磁盤設(shè)備列表中顯示接入當前主機的移動盤圖2-1磁盤管 圖2-2可信磁盤—常規(guī)選模糊查詢，如果輸入“123”，系統(tǒng)會自動搜索出“123123451237A”、”等相關(guān)要選擇，系統(tǒng)默認為無級別。高安全等級磁盤在低安全等級的主機上使用；如果策略允許，低安全等級磁盤可以在高安全等級的機器上數(shù)據(jù)；同安全等級的主機和磁盤可以讀寫。案。一個設(shè)備可以選擇三種不同性質(zhì)的分區(qū)：普通區(qū)，可信區(qū)和商旅區(qū)，也可以是這三種分區(qū)提示：對于每一個節(jié)點，其名稱前面的顯示了該節(jié)點的選中狀態(tài)：完全選中（、部分選中（）

2-3可信磁盤高級選項—使用范2-4可信磁盤高級選項—-基本信將 將2-5可信磁盤高級選項—-口令設(shè) 58次。2-6條可信移動管理系統(tǒng)提供了兩種磁盤使用限制條件：使用次數(shù)和使用日期。后的可信磁10次提示：高級選項中除磁盤口令外，都具有功能，能記錄上次用戶選擇項，作為用戶下次使用時的默認值。如果不退出可信界面繼續(xù)的話，磁盤口令默認為上次口令，不再是。2-72-7可信磁盤高級選項—-分區(qū)方圖2-8所示。2-8導(dǎo)出可信磁盤配置信圖2-9成圖2-10所示。2-10可信盤各分區(qū)、狀態(tài)2-11可信盤右鍵菜單功2-12可信盤制作失2-132-13可信磁盤免激活狀單擊“關(guān)閉免激活”按鈕，將免激活的可信盤轉(zhuǎn)變到未激活狀態(tài)，如圖2-14所示。2-14可信磁盤關(guān)閉免激2-15可信盤的未激活狀選中可信磁盤，而不是商旅分區(qū)，單擊“激活”按鈕，系統(tǒng)將彈出磁盤激活確認框，標。2-16激活可信盤帶出使注意：2-17可信盤反激收”按鈕，彈出提示框，如圖2-18所示。確定后，稍等，可信盤將回收變成普通磁盤。圖2-18磁盤回時清除記錄；對于有商旅分區(qū)的可信磁盤，該操作會提取于該磁盤中的日志信息，清除授可信磁盤可能會因為各種操作：如口令嘗試過多、超過了使用次數(shù)、超過了使用期限等，如果因為達到了限制使用次數(shù)而鎖定，則在時將允許管理員增加磁盤的使用次數(shù)，以保證用戶能繼續(xù)使用磁盤，如圖2-19所示：2-19增加使用次如果因為超過了使用截止日期而導(dǎo)致磁盤鎖定，則在時將允許管理員設(shè)置新的截止日期，以保證用戶能繼續(xù)使用磁盤，新的截止日期不能早于當天，如圖2-20所示：2-20延長使用日能使用。如果啟用跨服務(wù)器后，只要服務(wù)器的用戶編號一樣，那么在A服務(wù)器上的可B服務(wù)器管理的客戶端上使用（注：B服務(wù)器管理的客戶端上需下發(fā)“允許在本客服務(wù)器用戶編號一樣，可以在控制臺信息中查看。另外，可信磁盤跨服務(wù)器在客戶端使用時，框，如圖2-21所示。確定后，該可信盤就可實現(xiàn)跨服務(wù)器。2-21啟用跨服務(wù)能在服務(wù)器管理的主機上使用。

2-22關(guān)閉跨服務(wù)器操圖2-23所示。2-23重置口啟用記錄和關(guān)閉記錄操作，如圖2-24所示。2-24可信盤啟用記信息管理圖2-25磁盤信息管理界權(quán)人員頁面顯示了磁盤被授予給哪些人員使用；計算機機頁面顯示了該磁盤可以在哪些計算機

圖2- 在某些情況下，比如物理磁盤丟失了、被損壞了或者因為誤操作導(dǎo)致磁盤上的信息被破壞了，這時，該磁盤的記錄將無法被回收。為了清除這類信息，可以選擇撤銷操作。選擇準圖2-27撤 圖2-28查詢磁盤記磁盤庫存管理圖2-29所示。這里顯示自動時自動入庫的磁盤記錄。2-29磁盤庫存管2-30銷毀提示回2-31銷毀清除磁盤記符合條件的記錄列表顯示出來，如圖2-32所示。2-32查詢結(jié)使用狀態(tài)查看圖2-33所示。輸入查詢條件，顯示符合條件的磁盤。2-33可信盤使用狀態(tài)查2-34查看使用歷2-35可信盤狀態(tài)統(tǒng)磁盤升級配置2-36磁盤升級配第三章可信介質(zhì)可信磁盤策略是針對可信移動介質(zhì)制定的策略，它可以在可信盤上商旅區(qū)和可信區(qū)的文件操作，包括文件拷出、拷入、創(chuàng)建、重命名、刪除、和寫入等，對于在可信盤上普通分區(qū)文件操作3-1文件操作如果在設(shè)定的路徑下，有不需要的文件，可以單擊“添加”按鈕，在例外列表中輸入例外文件名，如圖3-2所示。3-2編輯要監(jiān)測的文3-3 提示：可信盤文件拷入和拷出過程中，只記錄拷貝成功的文件操作日志，便于審計。對于 可執(zhí)行文件控 提示：此功能針對的是可執(zhí)行文件，而不是批處理文件。如果是批處理文件，那么批處理普通磁盤控制試使用普通移動設(shè)備，或者嘗試加載外單位可信磁盤時，就會生成告警信息和日志記錄，可以 提示：如果這兩個策略項相遇發(fā)生時，系統(tǒng)將按照嚴格策略項執(zhí)行。也就是說，如果一個策略項設(shè)置客戶端商旅激允許在客戶端激活/反激活商旅分區(qū)，如圖3-7所示。 戶端便可使用“激活”/“反激活”按鈕，如圖3-8所示。 客戶端加載可信盤 第四章可信介質(zhì)的使用可信介質(zhì)在客戶端的使用成功加載，并提示是否打開加載后的盤符，如圖4-1所示。4-1加載可信4-2成功加載（Y 時用戶可放心拔出可信盤，如圖4-4所示。提示：windows 如果用戶同時插入多個可信盤，執(zhí)行“全部卸載”操作后，將卸載所有接入的可信盤，如圖4-6所示。 令”按鈕，當系統(tǒng)彈出“更改”界面時，輸入新、舊，單擊“確定”按鈕，即可更改該可信盤，如圖4-7所示。4-7更改可信盤在可信介質(zhì)管理中，未激活的商旅可信盤在未加載4-8示。選中可信磁盤，單擊“激活”按鈕，彈出輸入框。輸入后，單擊“確定”按鈕，即可 注意：激活后的可信盤在可信終端上將變成只讀模式，請確定所需數(shù)據(jù)已拷貝完全后再執(zhí)行擊“反激活”按鈕，彈出輸入框。輸入后，單擊“確定”按鈕，既可將可信盤變?yōu)槲醇せ钐崾荆悍醇せ畈僮魇菍⒑搪梅謪^(qū)恢復(fù)到未激活狀態(tài)。反激活成功后，可信盤只能在可信 提示：（1）只有用戶插入老版本的可信盤后，格式轉(zhuǎn)換按鈕才會出現(xiàn)在界面上，否則界面跨服加載的8.0可信盤不支持格式轉(zhuǎn)換操作。 可信盤在外部環(huán)境的使用對于已激活的可信盤，或者免激活的可信盤，以管理員權(quán)限用戶運行文件4-11可信盤在外加正常啟動WbtsTravel.exe后，將在操作系統(tǒng)的托盤區(qū)新添一個圖標，在我的電腦中新添加一個可信盤符，如圖4-12所示。打開此可信盤，能進行正常讀、寫操作。4-12可信盤在外加載成示，如圖4-13所示。4-13普通用戶加載可信盤 服務(wù)，這樣普通用戶以后便可正常加載可信盤，如圖4-14所示。圖4-14“常駐“菜WBTSTravel.exe后，自動進入激活界提示：通過方式激活的可信盤，狀態(tài)已變?yōu)椤耙鸭せ睢睜顟B(tài)，下次在普通終端加載4-15商旅可信盤激4-16生成可信盤激活第五章可信介質(zhì)制可信介質(zhì)除了在控制臺制作外，客戶端也可通過方式自行制作可信盤。過程需要有一定的規(guī)則，我們在管理中設(shè)置規(guī)則，指定待的組織、員和內(nèi)容。參見《中軟統(tǒng)一終端安全管理系統(tǒng)9.0使用手冊》的管理章節(jié)。可信盤區(qū)單擊“申請”，如圖5-1所示。5-1申請 圖5-2提 申用途（分區(qū)方案批任務(wù)，如圖5-3所示提示：可信支持多級，每級員都可查看和修改前面員的參數(shù)設(shè)置， 圖5-3任務(wù)列如果員同意申請人制作可信磁盤，單擊“同意”按鈕后，彈出“可信配置”簡單配置界面，方便快捷制作可信盤。如果單擊下面“高級”選項，將展示所有配置項，請一一選擇，如圖5-4所示。最后，單擊“確認”按鈕，將結(jié)果上傳。圖5-4可 配有設(shè)置，選擇的是員指定，這時由員單擊后面的瀏覽按鈕，設(shè)置組織范圍，組織范圍內(nèi)分區(qū)方案：分區(qū)方案包括內(nèi)外混用、外部使用、，若申請者已指定，這里毋須指定。如果申請者沒有設(shè)置，選擇讓員指定，這時由員單擊后面的瀏覽按鈕，設(shè)置分區(qū)方案。一個磁盤可以包含三種不同性質(zhì)的分區(qū)：普通區(qū)，可信區(qū)和商旅區(qū)，也可以是這三種分區(qū)的任意盤的百分比，若不需要某個分區(qū)，則該分區(qū)大小設(shè)為0。使用條件限制：可信移動管理系統(tǒng)提供了兩種磁盤使用限制條件：使用次數(shù)和使用日期。 絕理由，單擊“”按鈕，將結(jié)果上傳，如圖5-6所示。圖5-6輸 理圖5-7查看 的申請第六章可信介質(zhì)使用可信移動介質(zhì)時，系統(tǒng)能夠記錄用戶的使用臺帳、鎖定與自毀日志、文件操日志記錄內(nèi)容備注了什么操作，操作人是誰，凡是文件操作的多條記錄默認以藍色字時間、控制臺人、客戶端用戶、磁盤編號、磁盤描述、容量、責任人、主管部門、安全等級、使用范圍、用途、保護、IP、磁盤描述、容量、廠商編號、產(chǎn)品編號、申請理由、使用范圍、用途、通過、員、時間、狀態(tài)。操作時間、使用人、所屬組織、計算機名、計算機IP、操作類型、磁計算機ID。操作時間、使用人、所屬組織、計算機名、計算IP、操作類型、文件名、進程名、磁盤編號、磁盤責任人、編號、分區(qū)名稱、是否跨服務(wù)器、服務(wù)器ID、備份文件路徑。失敗的拷入和拷出操作時間、使用人、所屬組織、計算機名、計算IP、類型、原因、磁盤編號、編號、是否跨服、服務(wù)器ID、中心ID、計算機所屬組織、計算機ID。時間、磁盤編號、中 ID人計算機操作類型、磁盤編號、編