移动存储设备管理软件PSM培训资料.pptVIP

移动存储设备管理解决思路 PSM系统架构图 Page * Thank you! * * 今天的介绍分为三个部分：首先是内网安全挑战分析，第二部分详细介绍Secoway的内网安全方案，最后是成功故事。 * * 下面详细解释一下PSM的工作原理和流程： 管理员将收集到的移动存储设备进行注册，设置注册信息，设置控制授权和启用免疫功能 当终端用户接入移动存储设备时，客户端马上获取接入存储设备的标识，发给服务器获取权限和审计策略 服务器根据终端对应的计算机和认证用户授权获取最小权限 终端接收到服务器下发的权限后进行本地保存，同时对接入设备进行控制 其他流程说明： 若网络不通，则接入介质时使用最近一次的策略；若接入的存储设备为临时注册介质，则必须从服务器获取授权才能 若为启用认证，则3）步骤仅采用计算机维度的授权 PSM采用非常灵活的控制方式： 1）提供基于计算机的控制：此时需要对设备进行分组，适用于设备不多的场景 2）提供基于用户的控制：此时建议对计算机分组，启用集成根节点策略，根节点设置放行所有，包括已注册未授权设备。但是此时存在员工随意到别的机器上使用自身账号认证非法拷贝数据的风险 3）提供基于计算机和用户的控制，此时需要对计算机和用户分别设置权限，建议采用此方式进行管理 PSM提供灵活的三方认证功能：计算机、用户、介质的相互认证，按照介质授权到计算机、介质授权到用户的思路，采用最小权限进行控制。解决员工交叉使用介质的问题。 下面我们看看例子：见表格所述 * PSM提供策略继承的功能，直接继承上级节点的策略，可以按照用户、计算机及其分组进行授权。 1、完全共享模式：参见右边给外网定义共享模式的策略，阻止外来介质，允许企业内部所有介质可以交叉使用 2、部门隔离模式：参见左边给内网定义隔离模式的策略，外来介质只读，只允许使用使用本部门的介质 由于策略授权主要是进行标识授权，涉及到大量标识选择的操作，为了支持快速授权，提供策略粘贴拷贝、策略导入导出的功能，实现计算机和用户维度的快速授权，如直接将用户维度的策略拷贝到相应的计算机维度，直接将用户维度的授权导出后导入到计算机维度。 区分控制：企业内外、不同部门、多合一设备 * 对于部门隔离的使用场景，往往需要进行部门间介质共享。如下说明描述一下信息部员工A需要去财务部员工B的机器上使用他自己的介质。 操作步骤如下： 1、员工A向信息部管理员申请外出使用 2、信息部管理员设置该介质共享 3、财务部B员工向财务部管理员申请使用部门外介质 4、财务部管理员设置该介质允许在B员工的机器上只读，当然也可以设置只写、放行 5、员工A在员工B的电脑上使用完成后，信息部和财务部管理员可以根据需要取消该介质跨部门使用的权限 PSM同样部门共享和完全共享模式，长期交流介质可以在所有部门使用，部门间临时交流介质只能在指定部门间使用。 * PSM通过只读、只写的授权控制，可以在无需任何专用介质实现专用硬件设备的安全数据交换功能。具体如下： 场景一：涉密单机（使用3G上网卡）只能从指定内网终端拷贝数据。设置步骤如下： 1、设置涉密单机介质A在相应涉密单机上放行 2、设置涉密单机介质A在内网的业务1终端上放行 3、可以实现介质A在内网业务1终端业务1涉密单机上使用，并且启用审计 4、其他终端如业务2未授权使用介质A，不存在泄密风险 场景二：只允许从外网单向拷贝数据到外网，不允许从内网带走机密信息。设置步骤如下： 1、 设置外网介质B在外网放行 2、 设置介质B在内网业务4终端上只读 3、 可以实现只能从外围拷贝数据到内网 4、 介质B不能从内网带走数据，确保内网数据安全 * PSM可以设置多级管理员，超级管理员可以设置下级管理员，具有权限的下级管理员可以管理所辖终端、所辖部门或用户、注册所辖范围内的移动存储设备，并且提供设备注册、授权等日常管理功能。 * 客户端采用入网和不入网两种运行模式，对入网和不入网终端进行全面防护 不入网模式针对涉密单机一般适用于安全要求非常高的单位，需要管理员将授权使用的注册信息手工导入后才能使用，以满足涉密单机的特殊防护要求；入网模式针对接入网络的终端，可以由管理员使用控制台进行策略控制，集中远程管理。PSM通过客户端支持两种运行模式，解决不同环境终端的防护要求。 终端类型和使用方法如图所示： PSM系统提供基于计算机和用户两个维度的管理，若需要对不同的计算机或用户采用不同的管理策略，则需要对计算机或用户进行分组管理，另外分组管理还有利于日志查询和终端管理。具体分为用户、计算机、介质分组，具体如下： 一、用户分组 手工创建：通过管理员手工创建部门及其用户的方法来创建企业组织信息 文件导入：通过管理员批量导入CSV格式文件的方法来创建企业组织信息 外部数据源同步：系统支持手工