安全登录
Windows操作系统采用口令认证方式对用户身份进行鉴别,容易受到字典攻击。在意源科技终端安全防护系统中,用户登录系统需要插入带数字证书的USB Key,然后系统对用户进行密码+数字证书双因子身份认证,并且输入正确的操作系统口令+ USB Key口令,才能登录终端操作系统。
拔Key锁屏
登录成功后,如果用户需要临时外出,可以拔除USB Key,终端安全防护系统会自动保存用户的工作环境,并且锁定终端桌面。除了持有原USB Key的用户外,任何人都不能再进入终端环境。
离线登录
管理员可以分配离线策略,规定具体某台终端具有离线登录功能。
安全审计
从“三权分立”的角度来看,安全审计员主要起监督作用,监督系统中与安全相关的行为,尤其是安全管理员对安全策略的制定、修改以及授权用户违反安全策略的行为,达到非法行为“不可否认”的效果。具体包括用户对重要信息的操作甚至降级行为、对外部设备的使用行为、不可信应用的启动行为、应用的越权访问行为、安全管理员对策略的制定和修改行为、安全操作员对系统的维护行为等。
另外只有安全审计员可以修改或者删除审计日志,于是只要恶意用户试图去破坏系统的安全性,其行为就必然会被审计记录,为日后追查留下证据。终端安全防护系统的统一安全审计模块可以对用户访问操作行为进行审计,可以生成审计数据分析及报表,可以生成直观的审计事件图形分析等。
用户管理
用户管理功能用于管理终端认证所需的USB Key数字证书,只有在用户中心配置过的USB Key证书,才能用于进行终端的登录认证。终端安全防护系统按照功能需求为用户设置了四种不同的用户角色,用于管理系统的功能。审计管理员用于审计系统登录和管理信息;管理员用于添加、配置、管理安全防护终端;审计员用于审计终端管理和终端操作信息;基本角色用于验证受保护终端,必须拥有基本角色,才能在终端进行登录认证。
终端授权管理
终端授权管理可以分类为:终端用户管理、终端配置管理、终端审计管理。
终端用户管理主要实现终端用户添加、配置用户的角色、删除终端用户等功能;
终端配置管理用于对终端网络及终端密码进行管理配置,同时分配终端安全策略的配置;
终端审计管理用于实现对终端操作行为进行审计,包括谁登录了具体的终端,权限较高的角色对其他终端用户进行了怎样的修改等功能,实现对终端用户的规范,防止内部泄密。
