2023年12月16日发(作者:)
XX
笔记本电脑数据安全方案
目录
1 综述
1.1
1.2
1.3
笔记本电脑安全需求
解决思路
方案概述
1
1
1
1
2
2
2
3
2
2
3
14
17
2 XX安全需求分析
2.1
2.2
2.3
用户数据防护层次划分
用户安全等级划分
用户安全预期效果
3 笔记本电脑安全方案
3.1 Utimaco Safeguard数据安全套件(企业版)
3.1.1 Safeguard Easy笔记本数据安全软件
3.1.2 Safeguard PrivateDisk个人数据安全软件
3.1.3 Safeguard Advance Security外设数据安全软件
Corporation | 2019-7-8
对本页所含数据的使用或公开必须遵守此文档最后一页上的规定。 i
1 综述
1.1
笔记本电脑安全需求
为了方便移动办公和终端管理,XX选择 Thinkpad Notepad电脑替代员工的台式机电脑。笔记本电脑带来便利性的同时,也给安全管理带来了新的挑战。
1) 数据安全和信息安全问题
从原有的台式机换代到移动笔记本电脑,员工在享受到移动办公的便利的同时,也提高了对笔记本中数据的安全担忧。在移动办公的环境中(机场、酒店、餐馆、会场等),笔记本丢失、硬盘失窃、未授权的用户访问、屏幕偷窥等安全威胁的发生概率大大上升。在笔记本失窃或被恶意访问的情况下,如何保证笔记本电脑内的数据安全和信息安全呢?
2) 上网安全问题
笔记本电脑的移动性,使得员工可以远程办公,同时也允许员工自由的访问互联网(在机场、酒店、餐馆、会场、个人住所等)。由于这些场所的网络没有像公司网络一样的安全检查和保护机制,员工的笔记本电脑常常会被感染,不仅影响了员工自身的工作使用,也会由于接入公司网络进而影响公司网络安全。如何保证笔记本电脑的上网安全呢?
1.2
解决思路
XX通过与安全服务团队的多次沟通,对笔记本电脑的安全挑战进行了分析。参照自身企业的全球笔记本电脑管理经验,从解决方案的效果、技术和市场成熟度、管理模式等多方面,深入讨论了业界几种主流的解决办法。大家认为,在近期,XX迫切需要加强以下几个方面的笔记本安全保护工作。
1) 笔记本电脑安全技术方案。从笔记本物理安全、数据安全和信息安全这3个方面对笔记本电脑实施增强的安全保护措施。
2) 笔记本电脑安全管理规范和服务流程。通过完善原有的电脑安全管理规范和服务流程,进一步适应笔记本电脑的管理和支持需求。
3) 笔记本电脑用户的安全意识教育。通过开展安全宣导和意识教育,提高员工的安全意识。
1.3
方案概述
为XX特别设计了以下产品解决方案:
1) 笔记本电脑数据安全保护方案:建议在每台笔记本电脑上安装Safeguard数据安全软件,保护笔记本电脑的全硬盘和个人文件目录,减少针对公司数据和个人数据的安全威胁。通过集中的策略配置,为不同安全等级的用户配置不同的数据保密策略。
1
2 XX安全需求分析
2.1
用户数据防护层次划分
我们依照前面安全技术解决思路分析XX的安全需求,首先是针对XX公司的终端数据安全防护进行一个层次性的划分,可细分为下列几个层次:
数据层面:
笔记本电脑将取代台式机成为XX用户的主要工作设备。尽管在物理层面已经考虑到采用指纹、笔记本锁等物理安全保护工具进行保护,但是只能保证失窃率会有所降低,而一旦失窃的事件发生后,企业的敏感资料也将一并外泄。所以,我们在方案中重点为XX设计了硬盘加密的解决办法,做到数据可以丢失,但是绝不会外泄。
信息层面
第一层次:信息是否可任意进出。
信息设备越来越方便使用,各式外围设备已可随插即用(不用安装驱动程序),但也因为如,XX的敏感数据也几乎可以运用各项外围设备任意加载/携出,从而造成信息安全灾难。
因此,外围设备可否使用,敏感信息可否加载/携出,是信息安全防护的第一层关卡。
第二层次:资料加密与保密。
有时,有些敏感资料(尤其是高阶管理人员)不想任意被他人看到,或是仅想要让某些人看到。因此对于传递给别人的数据进行加密处理,是信息防护的第二层关卡。
第三层次:群组共享资料加密防护。
XX是一个大的企业,通常存在多个团队合作某个项目,但敏感性数据亦是团队成员(Intranet team, Extranet partner team)可以共同存取如何防范非合法人员数据窃取,而合法人员适当存取。这是一个非常重要的议题。对于共享数据加密防护 ,并合法存取,即为数据防护的第三层关卡。
2.2
用户安全等级划分
我们划分出的数据层次是适合XX公司的所有人员的,而每个人员由于其工作性质和所处位置的不同需要执行不同的安全策略。
我们根据XX用户的工作实际情况,将用户安全等级划分成为三类:基层员工、中层管理者和高层管理者。然后通过安全等级划分继而为各层人员指定详细的安全策略。
2
这种用户安全等级划分是通过比较合理的角度,来保护XX日常工作中信息资产,通过使用加密技术以保护敏感或重要机密信息,避免组织间交换数据时遭遗失、窜改、或误用。
这三个用户安全等级层面应存在于一个共同的最基本的安全需求之上,即:
储存在文件服务器端的共享数据必须要有加密
储存在PC端的数据必须要有加密
必须管控到PC端的移动介质,避免数据随意被拷贝出去
被拷贝与传送的文件必须要有加密,避免被任意散播
员工行为必须有Audit Log
尽量不影响用户的正常操作
对于基层员工(包括外包员工和临时员工),应强调对于员工个人相关工作产生的文档进行必要的加密保护,同时应严格控制移动介质的使用和访问共享文件服务器的权限问题。
对于中层管理者(包括项目成员、特殊权限的员工),在保护自己工作文件的基础上,应该对整个硬盘进行完整加密,以确保笔记本一旦丢失后,数据无法被未授权用户读取,不可能泄漏出去。建议采用如下的安全策略及要求:
对于高层管理者来说,安全策略的主要目的就是保护数据安全,所以要求对文件和硬盘进行完整加密。建议采用如下的安全策略及要求:
2.3
用户安全预期效果
通过对安全策略的执行,XX用户在基础安全上可以达到以下安全目标:
所有员工的笔记本有物理保护措施,减少失窃的概率
所有员工计算机的a: ~ z: 磁盘驱动器的可受到加密保护
可控制存入磁盘驱动器的数据必须加密,有权限的User/ Group Users需透过PKI认证才可以解密存取
所有加密密钥的管理与数据紧急复原机制可由公司安全主管完全掌控,同时安全主管和系统主管权限分离,避免被一个人完全掌控的可能。
网络传输过程,及备份的数据都是保持加密状态
违规使用禁用装置的行为会同步于Audit Server保留一份纪录
不会改变使用者作业环境与使用习惯
3
下表是根据安全级别对用户分别定义后,对相对应的策略效果进行了比对。 4
分类 安全措施
安全效果 解决方案 性能影响 系统支持要求
普通员工
包括:
基层员工
外包员工
临时员工
个人虚拟目录管理
个人文件/文件夹加密
Utimaco
SafeGuard
PrivateDisk
无
PC、笔记本、PDA或手机(采用ARM或Xscale处理器)Windows
2000/XP/Vista
Pocket PC
2002/2002 Phone
Windows Mobile
2003/2003 Phone
/
PC、笔记本Windows
2000/2003/XP/Vista内存>=256M
全硬盘加密
/ / /
移动外设控制
移动介质/储存媒体,全部禁止。如果需要开启,需要提出申请。
Utimaco
SafeGuard
PortProtector
无
中层领导
三级经理
个人虚拟目录管理
个人文件/文件夹加密
Utimaco
SafeGuard
PrivateDisk
无
PC、笔记本、PDA或手机(采用ARM或Xscale处理器)Windows
2000/XP/Vista
Pocket PC
2002/2002 Phone
Windows Mobile
2003/2003 Phone
全硬盘加密
针对本机磁盘做加密,同时也支持磁盘片,USB等移动式设备之加密处理,防止设备遗失时数据外泄。
Utimaco
SafeGuard
Enterprise
初始化加密占用3%的CPU利用率,加密速度是1.27min/GB。加密完成后的操作影响微小(见附图).
PC、笔记本
Windows
2000/2003/XP/Vista
内存>=256M
开机保护
开机时病毒检测. 独立于操作系统之外的认证机制,要开启计算机必须经过密码验证,且攻击操作系统无效。
无。Utimaco替换原先的Bios密码和Windows密码
移动外设控制
/ / / /
高层领导
包括:
基层中心个人虚拟目录管理
个人文件/文件夹加密
Utimaco
SafeGuard
PrivateDisk
无
PC、笔记本、PDA或手机(采用ARM或Xscale处理器Windows
2000/XP/Vista
1
Pocket PC
2002/2002 Phone
Windows Mobile
2003/2003 Phone
针对本机磁盘做加密,防止设备遗失时数据外泄。
移动硬盘,U盘等移动式设备之加密处理,防止设备遗失时数据外泄。
开机时病毒检测. 独立于操作系统之外的认证机制,要开启计算机必须经过密码验证,且攻击操作系统无效。
/ /
初始化加密占用3%的CPU利用率,加密速度是1.27min/GB。加密完成后的操作影响微小(见附图).
领导
公司领导
特殊岗位员工
全硬盘加密
移动介质加密
PC、笔记本
Windows
2000/2003/XP/Vista
内存>=256M
Utimaco
SafeGuard
Enterprise
开机保护
无。Utimaco替换原先的Bios密码和Windows密码
移动外设控制
/ /
2
附图:采用Utimaco Safeguard对硬盘加密后的性能对比表
1
3 笔记本电脑安全方案
3.1
Utimaco Safeguard数据安全套件(企业版)
数据安全保护需求,可细分下列三个层次:
第一层次:移动存储外设的数据安全保护
信息设备越来越方便使用,各式外围设备已可随插即用(不用安装驱动程序),但也因为如,企业敏感数据也几乎可以运用各项外围设备(数字相机亦可以储存资料)任意加载/携出。
外围设备可否使用,敏感数据(或软件)可否加载/携出,是数据安全的第一层关卡。
第二层次:笔记本电脑内资料保密。
笔记型电脑已经正逐步替代PC成为XX员工的主要工作平台,几乎每台设备内都有企业的敏感数据在内。笔记本电脑带来了移动办公的便利性,也成为偷窃者或商业间谍的主要偷窃目标,笔记本电脑的失窃率几乎逐年高升,企业敏感资料也一并外泄。
笔记本电脑加密处理,是数据安全的第二层关卡。
第三层次:个人资料加密。
有些敏感资料(尤其是高阶管理人员)不想任意被他人看到,或是仅想要让某些人看到。
移动式设备内数据加密处理,是数据安全的第三层关卡。
针对以上3个层次的数据安全保护需求,提出了完整的解决方案。
第一层次:外围设备数据安全管理系统。
建议采用SafeGuard Advanced Security外设数据安全保护软件。
第二层次:笔记本电脑内数据加密系统。
建议针对笔记本电脑采用SafeGuard Easy数据加密软件,保护笔记本电脑内的所有数据。针对PDA设备采用SafeGuard PDA数据加密软件。
第三层次:个人资料加密。
建议采用SafeGuard PrivateDisk,为个人文件目录提供额外保护。
2
3.1.1 Safeguard Easy笔记本数据安全软件
SafeGuard Easy提供PC或 Notebook之全硬盘加密防护措施,不论您在何处(在办公室、路上、家中…)使用计算机设备,或是此设备被移至何处(遗失、被窃取),计算机中之数据始终保持在加密状态下,非经合法认证,无法得到其中之数据。
Utimaco SafeGuard Easy已行销全球超过一百七十万套,通过Common
Criteria EAL3之认证,非常容易安装和使用,几乎没有售后服务的需求,适合快速大量之部署,是您保护计算机资产(e-assets)的最佳选择。
SafeGuard Easy主要有以下四个功能:
全硬盘加密
开机前认证
开机防护
集中式管理
3.1.1.1 全硬盘加密
全硬盘式加密处理是SafeGuard Easy 的基本功能,以计算机拥有人设定的加密密钥(encryption key)和加密方式(如:AES 128bit or 256bit,3DES)将数据做加密防护,存取数据时必须有加密密钥能解开数据内容。
SafeGuard Easy不仅可针对本机磁盘做加密,同时也支持磁盘片,ZIP或USB等移动式设备之加密处理,防止设备遗失时数据外泄。
3
3.1.1.2 开机前认证
SafeGuard Easy建立一独立于操作系统之外的认证机制,要开启计算机必须经过密码验证,且攻击操作系统无效。SafeGuard Easy另一项功能是可设定密码输入之间隔时间(例如:十分钟),当密码输入错误超过数次限制时,必须等待此间隔时间,才接受密码的再次输入,这样可以避免 “字典攻击法”或 “暴力入侵”之发生。
SafeGuard Easy也支持双因子是认证方式,如Smartcard or Token Card,或者是指纹辨识系统或者是储存有使用者凭证(Certificate)之令牌,强化认证之机制。
3.1.1.3 开机防护
在一般状况下,开机时、操作系统未启动前,其保护程序也就尚未启动。这时,最常遭到开机病毒(磁盘开机)之入侵,尤其是针对Master Boot
Record(MBR),而造成档案或驱动程序被删除、禁止执行。
因此,SafeGuard Easy提供下列二项功能:
1) 强迫以硬盘开机-禁止以磁盘或CD-ROM开机,如此,非法者不能以有问题的开机方式取得管理者的权限,存取所有的数据。
2) MBR防护-SafeGuard Easy安装后,会先留一份正常MBR的备份,一旦开机时,MBR被更动过,会以此备份之MBR来开机,避免开机病毒之入侵。
3.1.1.3.1 集中式管理
SafeGuard Easy支持企业大量部署时之安全策略集中管理功能,达到快速且方便管理的目的。
4
SafeGuard Easy可将使用者权限分成下列5个等级:
SYSTEM:最高权限管理者。拥有管理SafeGuard Easy 的最高权限,通常是为企业的安全主管(Security Officer)或安全管理员(Security
ADM),共可以建立并产生政策设定数据文件加以执行。在发生状况时(软件或硬件毁损),有能力可以将数据复原。通常建议其密码储存在Token中,比较安全。
SGADMIN:本地管理者。在大型企业运用时,可将政策管理权限分给几个本地管理者,各自进行其相关部门的管理工作,但是他们不能更改加密的参数(如:加密方法和加密密钥)。
5
NWADMIN:网站或操作系统管理者。日常作业,在处理被SafeGuard
Easy保护的计算机时,有此权限的管理员,可以使用Challenge/Response方式,以“one-time password”方式认证可登入client端,进行日常维护作业,但不能是长期的使用者。
6
HELPDESK:信息服务人员。拥有此权限的人,可以用Challenge/Response方式执行密码重置以协助忘记密码的使用者或产生NWADMIN要用的“one time password”。此功能可协助减轻系统管理者的负担。
7
USER:没有管理者权限。此为一般使用者的预设权限。
3.1.1.4 安装部署方式
SafeGuard Easy可作预先设定(pre-configured)非常容易自动安装和部署,即使是当初使用者,都不需系统管理员的协助。
在Microsoft Windows的环境下,SafeGuard Easy支持Microsoft Installer,在使用者不知情可轻易的完成安装工作。通常是用以下两种方式进行:
1) 产生Microsoft Installer file,不作其它特殊的设定。
8
2) 进入Specific Setting中作调整,可操作手动方式或以Microsoft
Installer辅助工作ORCA进行。 例如:如图12在“property”字段中设定SafeGuard Easy设定文件的路径,下图13中,将“Feature”字段设为“will be installed ”系统就会自动执行安装程序 。
9
3.1.1.5 中央控制台
SafeGuard Easy一旦安装妥善几乎不需要管理和维护,如果需要,也可透过中央控制台连接至SafeGuard Easy数据库(可置于同一主机上,也可与中控台分开,置于不同的机器),作各项的管理工作。
3.1.1.6 紧急事件处理方式
紧急情况一:用户忘记密码
一旦忘记密码,就无法开启计算机,SafeGuard Easy提供Response Code
Wizard,通过三个自我检测的步骤(图15-图19),系统管理员可将产生的Response Code,电话通知或以短信方式传给使用者,使用者即可取得新的密码。
10
11
紧急情况二:SafeGuard Easy软件损坏
SafeGuard Easy采取PBA(Pre-Boot Authentication)保护方式,一旦存于SafeGuard Easy软件的磁盘区域毁损,SafeGuard Easy无法正常运作,计算机即无法启动,为预防此事发生,您必须先准备好SafeGuard Easy Kernel的备份文件(大约60KB~300KB,如图21~图22或是图23),以此备份将系统回复。但须注意,此备份文件是针对指定的计算机(如:PC“WKS-0815”)才有作用,无法用在别的计算机上。
3.1.1.7 产品优点
在安全和成本的评估下,运用SafeGuard Easy保护企业重要的信息资产是最佳的选择。以下就不同的层面来分析其优点:
→ 对于用户而言
几乎不用教育训练。使用者几乎没有感觉其存在。
12
SafeGuard Easy认证与操作系统认证已作成Single Sign On,不用输入第二次。
整个硬盘都已加密,使用者不必再为何种数据该加密而考虑。
不影响效能:高效能加密方式,使用者不会感觉效能降低。
安全性:很多时候,使用者计算机会处于“冬眠”状态,(Suspend to
Disk),因为技术非常复杂,大多数的磁盘加密软件不支持此功能。SafeGuard Easy是唯一支持此功能的产品,随时都将数据保持在加密状态。
→ 对于IT经理而言
安全性:防护企业信息遗失。
集中式安全策略管理,管理容易。
知名度:SafeGuard Easy荣获各大安全杂志评选为“五星级”最佳产品,不论是在User Friendly、效能、文件、技术支持和价格效能等评比都是最高得分。
低维护成本。SafeGuard Easy是针对企业大量部署的完善设计。
教育训练,不需要使用者教育训练。
SafeGuard Easy通过Common Criteria EAL3的认证,证实其软件设计的安全性。
可与其它硬件式安全产品结合。SafeGuard Easy可结合Token认证或是与 ESS芯片,TPM模块结合。更加强其安全性。
与使用者分担硬件成本。例如:保险业业务员通常要负担部份的硬件成本,管理者想随时保有管理权限,而使用者也想自行运用其设备。SafeGuard Easy有提供双开机“Twinboot”功能,可适合此一应用。
→ 对于系统管理者而言
运用pre-configuration将安全策略作好定义后,以自动部署方式,可以很轻易的完成client端计算机的硬盘加密作业,在节省建置成本方面,SafeGuard Easy绝对比其它竞争对手要强很多。
几乎是作到“deploy & forget”,SafeGuard Easy部署完成后,几乎不用维护,即使修改密码或是更改加密部分(部份加密,非全硬盘加密)也很容易,可以说是做到所谓的“deploy & forget”。
远程更改设定非常容易。SafeGuard Easy的管理者可以改善使用者设定档存成一个被保护的档案,传送给使用者(可透过e-mail方式)或置于中控台,管理者甚至都不需要联机到使用者的计算机上即可完成。
解密时也不用联机至使用者计算机。如果使用者遗忘密码时,他可与管理者用电话连络,进行Challenge/Response程序后,管理者可直接 13
告知密码后即可解密还原,不须受到一定要计算机连接上网络的限制。
HELPDESK节省管理成本。SafeGuard Easy有很容易使用的Helpdesk机制,使用者可自行解决问题,不用麻烦管理员。
支持多种使用者设定档。SafeGuard Easy可支持达15个不同的user
profile给不同的使用者,同一台计算机可依很多不同的使用者使用,数据加密防护功能依旧完善。
安全地Wake on LAN(WOL)。大量部署时可能会受到使用者不在计算机旁,无法输入PBA密码的限制而中断。SafeGuard Easy支持集中式管理的软件部署功能,遇到WOL状况时,仍能轻易的完成其管理工作。
与 RnR (Rescue & Recovery)整合。SafeGuard Easy 是第一个通过认证与其RnR和Think Vantage技术整合的硬盘加密产品。加密过的数据在备份和回复的作业中始终保持其完整性。
3.1.2 Safeguard PrivateDisk个人数据安全软件
在网络发展盛行的今日,您的个人计算机是与网络世界联机在一起的,很容易地会被病毒、间碟程序等得知您的私密数据。因此个人数据的安全防护需求也愈来愈大。根据FBI和CSI(Computer Security Institute)2002年的统计分析,各企业第二大安全问题是笔记型计算机的失窃,并造成US$89,000的平均损失。
因此,Utimaco以其超过20年的加密技术,提出PrivateDisk解决方案,满足客户这方面的需求。SafeGuard PrivateDisk是融合了虚拟磁盘和磁盘加密技术的产品
3.1.2.1 虚拟磁盘
虚拟磁盘对使用者而言,好像是一个外加的磁盘区块,但它不是实体的磁盘,而是一个大的独立的档案(“Volume file”)一般,虚拟成一个磁盘方式呈现。例如:要产生一个10MB的虚拟磁盘,您的计算机硬盘中就被占用了10MB的档案空间。
虚拟磁盘不一定要在本机磁盘上,也可以是在移动式的媒体(Disks, CD-ROM, DVD, USB…etc.)或是网络硬盘上。如下图所示,实体硬盘空间是A到G,而H和I就是虚拟磁盘了。
14
SafeGuard PrivateDisk安装后,如下图所示,就可产生加密的虚拟磁盘区块,保护个人数据,如:客户数据、人事数据、产品数据、企业合并数据…等等。
3.1.2.2
应用举例
应用范例 1:如下图所示,本机磁盘和CD-ROM之被加密,必须是授权的人,才能读取其中的内容。
15
应用范例 2:本机虚拟磁盘和网络虚拟磁盘
特性说明:
本地磁盘和网络磁盘数据传输时,为加密状态,不会被Sniffer截取到数据。
整个虚拟磁盘的内容可安全地传送到别处(也可透过email,不过,通常受到档案大小)。
透过管理精灵,可以轻易的管理多个虚拟磁盘。
集中式管理,企业运用时,提供紧急复原机制,当遗忘密码时,通过认证程序,可以快速打开虚拟磁盘。
应用范例 3 : 群组应用
特性说明:
多人共享档案服务器上的虚拟磁盘。
16
档案下载至前端计算机时才解密,同时不影响Server的效能。
档案服务器管理者也没有权限看到其中数据。
虚拟磁盘备份时,仍为加密状态。
应用范例 4 :移动式虚拟磁盘
特性说明:
SGPD可支持于各式移动式储存媒体产生虚拟磁盘。
移动式设备遗失,数据不外泄。
SafeGuard PrivateDisk是SG Easy的最佳辅助工具。
应用范例 5 : 支持Terminal Service应用
SG PD支持Windows 2003/2000之“Fast User Switching”功能,运用Terminal Service技术,可多人同时联机至同一台计算机主机使用虚拟磁盘。
特性说明:
虚拟磁盘只有有权限的人看得到。
在Terminal Server环境下,多人针对虚拟磁盘可同时拥有存取权限。
3.1.3 Safeguard Advance Security外设数据安全软件
信息设备之设计考虑到使用之方便性,因此随插即用(plug & play)的概念盛行,但往往操作系统并未考虑到安全性的问题,也无法掌控各式各样品牌之外围设备之合法使用。因此造成现今系统管理者非常头痛的数据安全防护地问题。
现在,使用者可以很容易地加入一个新的信息设备(鼠标、打印机或内存设备
- USB、外接式硬盘),但同时也可能将一些不安全地软件(病毒、游戏软件、间谍软件)带入企业,或将企业敏感数据携出,造成企业经营之危机。
17
3.1.3.1 主要功能
基本模块(Base Module)
支持各项较高安全等级之认证机制(如:Smartcard、Token、指纹辨识),提升传统密码之防护。
在多人共享一台计算机时,依不同Smartcard显示其个人之计算机桌面,不用重复开/关机。
记录各项安全事件,供稽核管理。
Windows Installer (MSI)方式安装,亦支持Login Script方式。
与Microsoft Management Cosole (MMC)或Novell管理工具整合,所有设定一目了然。
单一签入模块(Single Sign On Module)
透通性地自动签入各项密码管制应用系统。(client/server, web, Terminal
emulation, )
功能强大的Scripting接口(visual basic)
drag & drop方式,自动产生登入程序。
自动密码更换。
产生动态密码。
18
移动式外围设备管控模块(Plug and Play Module)
管控各项移动式设备(Floppy, DVD, ),连接阜(USB, 红外线,
COM, LPT, )之合法使用。
设备ID强制对应,与ASAR模块整合,管制数据之进出。
应用程序授权管制模块(Application Specific Access Right-ASAR Module)
以Users、Data、Application之三重式设定方式,管控数据之合法加载/携出,同时作稽核记录处理。
3.1.3.2
加强安全管理
轻松地强制管理企业异质环境之安全政策(不同操作系统,各项设备 ─
PC, Notebooks, Terminal Servers)。
防制非法存取或误用。
管制外围设备(plug & play devices)非法使用。
三重式设定,防制未授权数据加载/汇出。
支持cache policy功能,即使client desktop离线使用仍受管制。
管理简便
管理画面与MMC, Active Directory或Novell管理工具完全整合。
Windows Installer(MSI)方式安装/反安装,轻易完成。
模块化架构,设定管理一目了然。
稽核记录完整,即使是在离线使用时之所有状况,待联机后,相关事件会自动回报至中控台。
使用容易
透通式布署,管理者几乎不用训练即可上手。
运用单一签入模块,各项密码,立即简化。
管制及稽核档案之进出。
Plug & Play设备授权合法使用。
产品优点
19
3.1.3.3 部署方式
SafeGuard Advanced Security各模块是与Windows Active Directory紧密结合的(若在没有AP的环境下,可与Domain Controller整合),因此不需要为SGAS准备一台独立的计算机主机作为其伺服主机,只要透过 Microsoft Management
Consol(MMC)即可完成所有的安装、设定、部署等管理工作。
20
发布评论