HuaTech终端安全保护系统用户手册-win管理中心.doc

节点-操作系统安全保护（服务器版）安装配置手册 HuaTech终端安全保护系统安全管理中心安装配置手册北京中软华泰信息技术有限责任公司版本：1.31 HuaTech终端安全保护系统安装配置手册 版权所有：北京中软华泰信息技术有限责任公司，本手册所有权由北京中软华泰信息技术有限责任公司独家所有。未经本公司书面许可，任何单位或个人都无权以任何形式复制、传播本手册的任何部分，否则一切后果由违者自负。销售许可：中软华泰终端安全保护系统已通过公安部认证和计算机信息系统安全专用产品的销售许可。注意：北京中软华泰信息技术有限责任公司保留以后对本手册内容及本手册所描述的产品进行修改的权利，恕不另行通知。北京中软华泰信息技术有限责任公司目 录1 前言21.1公司简介22 说明32.1适用范围32.2定义32.3注意事项42.4 联系方式43 HuaTech终端安全保护系统安装53.1安装管理中心53.1.1安装程序的启动53.1.2安装MySQL53.1.3安装Java163.1.4安装Apach Tomcat183.1.5安装KEY驱动243.1.6安装策略服务器263.1.7安装审计服务器293.1.8策略与审计服务器分开安装的配置步骤313.2系统初始化363.2.1账号管理员登陆363.2.2修改当前密码363.2.3账号管理员373.2.4系统管理员383.2.5安全管理员393.2.6安全审计员413.2.7密钥初始化423.2.8 密钥列表433.2.9退出434 HuaTech终端安全保护系统使用434.1管理中心的基本功能配置434.1.1系统管理员444.1.2安全管理员564.1.3安全审计员865 卸载安全管理中心94版权所有 北京中软华泰信息技术有限责任公司931 前言1.1公司简介北京中软华泰信息技术有限责任公司成立于2000年。公司一直把操作系统安全和信息应用系统安全作为产业方向。经过多年的技术积累与沉淀，公司在安全操作系统开发，尤其是计算机病毒木马防御、访问控制体系研究、网络攻击防御等专业领域取得重大技术突破。先后推出了防火墙、网站防护系统、终端安全保护系统、服务器安全加固等一系列产品，是国内实力雄厚的网络安全产品、主机安全产品、安全服务与解决方案的综合提供商，为国家的信息安全事业做出了重大贡献。 近年来，公司成为国家与微软公司源代码级技术合作单位，并先后参与了国家多部委的重大产业项目。2007年成为中国可信计算联盟成员之一。2009年参与了国家标准GB/T 250702010信息安全技术 信息系统等级保护安全设计技术要求的制定。公司坚持产、学、研相结合的发展方向，与北京交通大学、北京工业大学共同成立研究生培养基地，在为国家输送大批信息安全专业人才的同时也使公司具有了坚实的技术储备。 公司不断提高产品技术水平及售后服务能力，加强营销网络体系建设，经过近十年的发展，建立起完善的销售及服务网络，累计对近800多个单位的上万台服务器和终端进行了安全加固。 公司今后将致力于等级保护的方案和产品的提供。不断推出符合等级保护标准的安全产品，竭尽全力为国家的信息安全事业做出贡献。2 说明2.1适用范围本手册针对高级用户、网络管理员、网络安全管理员。2.2定义1) HuaTech终端安全保护系统安全管理中心以下简称安全管理中心。2) HuaTech终端安全保护系统客户端以下简称客户端。3) HuaTech终端安全保护系统客户端所安装的计算机以下简称客户端平台。4) 安装KEY驱动即指安装USB-Key驱动。2.3注意事项 关闭Windows自带防火墙及安全防护类软件由于HuaTech终端安全保护系统采用的是网络集中管理模式，其中必然涉及到管理中心与客户端之间的策略传输问题。为了保证管理中心与客户端之间的策略传输正常，请在安装之前关闭Windows操作系统自带防火墙及其他安全防护类软件。2.4 联系方式北京中软华泰信息技术有限责任公司 提供电话咨询及协助服务，用以解决用户在使用当中遇到的问题。我们将在最短的时间内为您排忧解难。如果您对我们的产品有任何意见或建议的话，欢迎拨打下面的电话同我们进行交流。在此，我们对您的支持与厚爱表示感谢。联系电话 ：（010）62191614、62198781、62144177传 真 ：（010）62133939网 址 : 3 HuaTech终端安全保护系统安装3.1安装管理中心3.1.1安装程序的启动将光盘放入服务器光驱中，启动安全管理中心的安装程序。如果操作系统无法自动运行光盘，请手动找到光驱，并手动运行ComSecCenter.exe程序。3.1.2安装MySQL5) 点击安装主界面的“安装MySql”按钮，开始进行MySQL数据库的安装。6) MySql安装程序的自解压过程，请稍等片刻。7) 进入安装界面，请直接点击“Next ”按钮，继续下一步的安装。8) 默认选择“Typical”模式，即可满足对HuaTech终端安全保护系统的支持。如果希望进行完全安装MySQL组件，请选择 “Complete” 模式。如果希望自己定制软件组件的安装或者改变程序的安装路径，请选择 “Custom” 选项。选定安装模式后，点击“Next ”按钮，继续下一步安装。9) 确认安装信息后，点击 “Install” 按钮，开始安装程序的安装。10) 安装程序开始进行文件的复制与安装，请耐心等待。安装完成后，会弹出MySQL的特性介绍，请依次点击“Next ”按钮以继续。11) 安装完成，请勾选 “Configure the MySQL Server now ”选项，点击 “Finish”按钮，程序将自动进入MySQL配置界面。12) 使用默认配置，依次点击“Next”按钮，进行相应选项的设置。13) 选择配置类型，默认即可。14) 选择配置要求，请选择“Dedicated MySQL Server Machine”进行安装，如图：15) 数据库使用设置，默认即可。16) 选择数据库路径，默认即可。17) 并发连接数设置，根据需要这里选择第三项，并将其数值设为1400。18) 网络设置，默认即可。19) 默认字符集选择，这里选择第三项，并将其类型设为utf8。20) 环境变量设置，这里第二项勾选择上，点击“Next ”按钮，继续进行下一步。21) 数据库密码默认需要设为root（如需更改请和管理中心设置的密码保持一致），两次输入正确后，点击“Next ”按钮，继续进行下一步。22) 完成所有的设定，点击“Execute”按钮，执行设置操作。23) 设置完成，点击“Finish”按钮，完成MySQL数据库的安装。3.1.3安装Java1) 点击主界面上的“安装Java”按钮，开始进行Java程序的安装。2) 使用默认安装，直接点击“接受”按钮，开始安装java安装程序。如果需要察看许可协议，点击“查看许可协议”按钮。如果需要进行高级选项的设置，请点击选中“显示高级选项面板”。3) 安装程序开始进行文件的复制与安装，此过程需要一定的时间，请耐心等待。4) 安装结束，点击“完成”按钮，完成Java程序的安装。3.1.4安装Apach Tomcat1) 点击主界面上的“安装Tomcat”按钮，开始进行Apache Tomcat的安装。2) 进入安装界面，请直接点击 Next按钮，继续下一步。3) 安装过程会弹出Apache软件的版权说明，请点击“I Agree”按钮，继续安装。4) 使用默认设置，点击“Next”按钮，继续进行下一步。5) 程序默认安装路径为 C:Program FilesApache Software FoundationTomcat 6.0。如果需要改变路径，切记只能改变安装盘符，如：D:Program FilesApache Software FoundationTomcat 6.0，这里我们使用默认路径，点击“Next”，继续安装。6) 安装过程需要正确填写提供http服务的端口及管理员账号和密码。这里我们依然使用程序默认的安装设置，点击 Next 按钮，继续进行Tomcat的安装。如果需要改变程序的设置，请联系我们，我们将根据情况进行调整。7) 安装程序开始进行文件的复制与安装，请耐心等待。8) 安装完成，如果需要直接运行“Apache”，请勾选 “Run Apache Tomcat” 按钮选项。如果需要查看说明文件，请勾选 “Show Readme” 按钮选项。设定完成后，点击“Finish”按钮完成Apache Tomcat的安装。如果选择了“Run Apache Tomcat”选项，在完成安装后Apache将自动启动，请耐心等待，服务启动后，界面将自动退出。9) 安装完成，请将Apache Tomcat服务设置为自启动。方法一：双击任务栏右下角的图标，在弹出的管理界面中选择第一项“General”选项，并在“Startup type”右侧选择“Automatic”，点击“确定”按钮完成Apache Tomcat的自启动设置，如图：方法二：打开 “控制面板” “管理工具” “服务” ，从服务列表中找到Apache Tomcat项，双击该项目，在弹出的对话框中选择 “自动启动” ，设定完成后，点击 “确定” 按钮，完成Apache Tomcat的自启动设置。3.1.5安装KEY驱动1) 点击主安装界面上的“安装KEY驱动”按钮，开始进行USB-Key驱动的安装，安装完成，安装对话框会自动关闭，如图：2) 将USB-Key插入设备的USB接口，系统屏幕右下角会弹出“新硬件已安装并可以使用了” 提示框和USBkey提示信息，并在“我的电脑”右键“管理”“设备管理器”列表中显示USB-Key名称信息，如图所示：3.1.6安装策略服务器1) 点击主界面上的“安装策略服务器”按钮，开始进行策略服务器的安装。2) 此时需要将加密狗(已授权)插入到计算机中（如不插入加密狗，将不能正常进行安装）3) 安装过程中，程序会弹出版权保护确认说明，点击“下一步”继续进行。注:如果之前没有插入加密狗会提示如下错误，点击确定之后，插入加密狗后重新进行安装策略服务器即可。4) 安装路径的选择，默认即可。5) 程序开始进行文件的复制与安装，请耐心等待。6) 安装结束，点击“完成”按钮，退出安装程序。3.1.7安装审计服务器根据客户需求，如果需要将策略服务器与审计服务器分别安装到两台不同的服务器上，具体安装步骤详见3.1.8；1) 点击主界面上的“安装审计服务器”按钮，开始进行审计服务器的安装。2) 安装过程中，程序会弹出版权保护确认说明，点击“下一步”继续进行。3) 安装路径的选择，默认即可。4) 程序开始进行文件的复制与安装，请耐心等待。5) 安装结束，点击“完成”按钮，退出安装程序。6) 安装完成，程序会弹出计算机重新启动提示框，点击“确定”按钮重新启动计算机，点击“取消”按钮返回系统，根据需要自行选择。3.1.8策略与审计服务器分开安装的配置步骤到3.1.6节为止，策略服务器已安装完成，须将Tomcat服务重新启动。以下为安装及配置审计服务器步骤。安装审计服务器在保障策略服务器与审计服务器网络连接畅通的基础上，将光盘放入审计服务器光驱中，启动安全管理中心的安装程序，由于审计服务器的正常启用依然需要MySQL，Java，Tomcat服务的支持，故此审计服务器的前期安装配置与安装管理中心的前期步骤相同，依次为：安装程序的启用、安装MySQL、安装Java、安装Tomcat、安装KEY驱动。而后跳过安装策略服务器的安装选项，直接点击安装审计服务器即可。安装完成后重新启动服务器。策略服务器与审计服务器的连接配置在地址框中输入：http:/策略服务器ip：8080/ComSecCenter/modifyXML.jsp并转到此地址。登 陆 名：root（默认）。密 码：root（默认）。IP 地 址：审计服务器的IP地址。 端 口 号：3306（默认）。选择数据库：审计库选择数据库配置文件：单击浏览具体路径如下C:Program FilesApache SoftwareFoundationTomcat 6.0confCatalinalocalhost ComSecCenter.xml正确填写后，单击修改。如图：登陆审计服务器并使用Navicat打开数据库。如图：单击“管理用户”，打开管理用户对话框并单击“添加用户”。如图：添加用户信息填写如下：用户名：root（默认）主机：策略服务器IP密码：root确认密码：root设置新建用户的全局许可权及审计数据库的特殊许可权。单击新建的用户，在右侧选项框中点击“全选”并保存。单击新建用户下的子选项“audit”，在右侧选项框中点击“全选”并保存。此时策略服务器与审计服务器连接成功。3.2系统初始化3.2.1账号管理员登陆打开web页面，在地址栏内输入http:/管理中心IP:8080/ComSecCenter，(注意大小写形式)登录到安全管理中心主界面；在“管理员”一栏输入初始账户“supadmin”；在“密码”一栏输入初始密码“12345678”；在“角色”一栏选择“账号管理员”；在“权限”一栏选择“终端管理”，如图所示：3.2.2修改当前密码首次登陆系统后，建议立即修改管理员账户密码。点击左侧操作菜单栏“账号管理员”下的“修改密码”；在“新密码”一栏输入新密码；在“确认新密码”一栏再次输入新密码，点击“修改”按钮完成修改操作，如图：3.2.3账号管理员添加账号管理员账号选择左侧操作菜单栏“权限管理”下的“账号管理员”，点击右上方的“添加”按钮，进入到管理员账号添加主界面；在“登陆账号”一栏输入将要添加的管理员账号；在“登录密码”一栏输入将要添加的管理员账号的管理密码；在“确认登陆密码”一栏再次输入将要添加的管理员账号的管理密码，点击“添加”按钮完成添加操作，如图所示：删除账号管理员账号选择左侧操作菜单栏“权限管理”下的“账号管理员”，点击将要删除账号一栏右侧的“删除”选项，开始进行当前管理员账号的删除操作；删除之前，系统会弹出删除确认对话框，点击“确定”按钮，即可完成删除操作，如图所示： 3.2.4系统管理员添加系统管理员账号选择左侧操作菜单栏“权限管理”下的“系统管理员”，点击右上方的“添加”按钮，进入到系统管理员账号添加主界面；在“登陆账号”一栏输入将要添加的系统管理员账号；在“登录密码”一栏输入将要添加的系统管理员账号的管理密码；在“确认登陆密码”一栏再次输入将要添加的系统管理员账号的管理密码，点击“添加”按钮完成添加操作，如图所示：删除系统管理员账号选择左侧操作菜单栏“权限管理”下的“系统管理员”，点击将要删除账号一栏右侧的“删除”选项，开始进行系统管理员的删除操作；删除之前，系统会弹出删除确认对话框，点击“确定”按钮，完成删除操作，如图所示：3.2.5安全管理员添加安全管理员账号选择左侧操作菜单栏“权限管理”下的“安全管理员”，点击右上方的“添加”按钮，进入到安全管理员账号添加主界面；在“登陆账号”一栏输入将要添加的安全管理员账号；在“登录密码”一栏输入将要添加的安全管理员账号的管理密码；在“确认登陆密码”一栏再次输入将要添加的安全管理员账号的管理密码，点击“添加”按钮完成添加操作，如图所示：删除安全管理员账号选择左侧操作菜单栏“权限管理”下的“安全管理员”，点击将要删除账号一栏右侧的“删除”选项，开始进行安全管理员的删除操作；删除之前，系统会弹出删除确认对话框，点击“确定”按钮，完成删除操作，如图所示：3.2.6安全审计员添加安全审计员账号选择左侧操作菜单栏“权限管理”下的“安全审计员”，点击右上方的“添加”按钮，进入到安全审计员账号添加主界面；在“登陆账号”一栏输入将要添加的安全审计员账号；在“登录密码”一栏输入将要添加的安全审计员账号的管理密码；在“确认登陆密码”一栏再次输入将要添加的安全审计员账号的管理密码，点击“添加”按钮完成添加操作，如图所示：删除安全审计员账号选择左侧操作菜单栏“权限管理”下的“安全审计员”，点击将要删除账号一栏右侧的“删除”选项，开始进行安全审计员账号的删除操作；删除之前，系统会弹出删除确认对话框，点击“确定”按钮，完成删除操作，如图所示：3.2.7密钥初始化登录帐号管理员页面，点击左侧操作菜单栏“密钥管理”下的“密钥初始化”，正确输入如下信息；用户名：输入将要发行的密钥名称（根据实际情况自定义填写）；组 织：输入将要发行的密钥所在组织的名称（根据实际情况自定义填写）；选择密钥文件：浏览选择先前已经建好的一个文本文件（名称自定义）；点击“写入”按钮，开始密钥初始化操作；注：密钥初始化必须在策略服务器上进行操作。3.2.8 密钥列表3.2.9退出管理员操作完成，点击系统主界面右上角的“退出”按钮，退出当前管理用户，如图：4 HuaTech终端安全保护系统使用4.1管理中心的基本功能配置安全管理中心每次策略配置完成之后，都需要点击“策略更新”按钮，从而使策略可以即时下发到客户端平台。4.1.1系统管理员系统管理员主要负责收集全系统的用户身份和平台资源等信息，并根据策略需要将相关信息上批给安全管理员，作为安全管理员制定安全策略的基本依据。修改当前密码点击左侧操作菜单栏“系统管理”下的“修改密码”；在“新密码”一栏输入新密码；在“确认新密码”一栏再次输入新密码，点击“修改”按钮完成修改操作，如图所示：用户身份信息列表用户身份信息列表中会显示所有发行的USB-Key的用户信息；点击左侧操作菜单栏“身份管理”下的“用户身份信息列表”，即可。1）删除USB-Key用户如果需要删除USB-Key用户，请在需要删除的USB-Key用户名前方勾选此用户，然后点击“删除”按钮，完成删除操作，如图所示：2）重发KEY因令牌丢失或其他情况，需要重新发行USB-Key，在要重发USB-Key的用户名前方勾选此用户，然后点击“重发KEY”按钮（重发前请确认已插入需重发的USB-Key），完成USB-Key的重发操作，如图所示：3）读KEY如果USB-Key用户混淆，可通过此项功能进行识别。在管理中心插入需要识别的USB-Key输入该USB-Key的PIN码，点击“查看”按钮，完成当前KEY用户的读取操作，如图所示：移动存储设备信息列表在此列表中将会显示所有客户端平台注册上报的移动设备信息，在移动存储设备信息列表中可以根据相应平台的使用需求对其进行授权管理。授权给相应的平台后，移动存储设备将作为某一平台或某一平台组上的客体，需要使用安全管理员登录安全管理中心，进行强制访问和自主访问等策略的配置。1）移动存储设备授权批准第一步：在管理操作一栏浏览选择将要授权的平台或平台组；第二步：在移动存储设备信息列表中勾选将要授权的移动设备选项；第三步：点击“批准”按钮即可完成批准操作，如图所示：2）查看移动存储设备信息在“快速搜索”一栏选择查询条件，填写相应信息后点击“”按钮，完成搜索查看操作，如图所示：平台身份信息列表在客户端安装过程中所搜集到的平台身份信息，将在平台信息注册的同时上报到安全管理中心，并在此列表逐一显示。1）查看平台身份信息在“快速搜索”一栏可根据需要选择平台名、平台ip、操作系统版本和软件采集权限进行相关情况的查询，如图所示：2）批准平台采集策略在平台身份信息列表中，可以勾选需要批准采集功能的平台，点击右上方的“允许采集”按钮完成平台采集功能操作。如果需要批准所有平台的采集功能，可以勾选全部，然后再点击“允许采集”按钮，来完成所有平台的采集策略批准，如图所示：3）撤销平台采集策略在平台身份信息列表中，如果需要撤销平台的采集功能，可以勾选相应平台，并点击右上方的“撤销采集”按钮完成操作。如果需要撤销所有平台的采集功能，可以勾选全部，然后再点击“撤销采集”按钮，来完成所有平台的采集策略撤销，如图所示：4）删除平台身份信息如果需要删除平台身份信息，请在需要删除的平台身份信息列表中，勾选将要删除的平台，点击右上方的“删除”按钮完成删除操作。也可以采取勾选全部平台的方式来删除所有平台身份信息，如图所示：平台终端升级状态当管理中心导入客户端平台升级程序后，可对将要升级的客户端平台进行勾选并进行选择性升级，灰色已勾选状态即为升级完成状态。如图：白名单程序信息列表点击左侧操作菜单栏“配置管理”下的“白名单程序信息列表”；审查采集上报程序()及未知程序列表()中完成批准后的程序将上报到白名单程序信息列表。1）批准白名单程序第一步：在“快速搜索”一栏选择白名单程序将要批准到的所属平台或平台组；第二步：在白名单程序列表的批准下方将显示程序是否已经被批准；第三步：如果程序列表未被批准，可以勾选将要批准的可信程序组选项； 第四步：点击白名单程序列表右上方的“批准”按钮完成批准操作，也可以采取勾选全部，批准的方式批准所选平台下的所有程序组，如图所示：2）撤销批准白名单程序第一步：在“快速搜索”一栏选择白名单程序已批准的所属平台或平台组；第二步：在白名单程序列表的批准下方将显示程序是否已经被批准；第三步：如果程序列表已经批准，需要撤销批准，可以勾选将要撤销的可信程序组选项；第四步：点击“撤销批准”按钮完成撤销操作，也可以采取勾选全部，撤销批准的方式撤销所选平台下的所有程序组，如图所示：3）删除白名单程序第一步：在“快速搜索”一栏选择将要删除的可信程序所对应的平台或平台组；第二步：勾选需要删除的程序组，点击右上方的“删除”按钮完成删除操作，也可以采用勾选全部删除的方式删除所选平台下的所有程序组；第三步：如果需要有选择性的删除某个程序组下的某些进程，那么请在白名单程序信息的“程序组名称”一栏点击该程序组名，此时该程序组中的所有进程都将在白名单进程信息逐一显示。只要勾选需要删除的进程，然后点击白名单进程信息右侧的“删除”按钮即可。也可以采取勾选程序组以删除该程序组的全部进程，如图所示：审查采集上报程序点击左侧操作菜单栏“配置管理”下的“审查采集上报程序”。凡是经管理中心模板导入功能上传的程序组，都将在审查采集上报程序列表逐一显示；1）查看审查采集上报程序组如果需要查看审查采集上报程序组中的某一个程序组所包含详细信息，请在“快速搜索”右侧“选择程序组”一栏选择想要查看的程序组名，点击“”按钮即可。此时该程序组所包含的详细进程等信息都将在审查采集上报程序列表逐一显示，如图所示：2）查看平台组中的平台如果需要查看某一平台组中包含哪些平台，请在“管理操作”右侧“选择批准平台”一栏选择需要查看的平台组名称，点选右侧的“查询平台组中的平台”选项即可，如图所示：3）批准审查采集上报程序第一步：在“管理操作”右侧“选择批准平台”一栏选择上报程序将要批准到的平台或平台组；第二步：勾选将要批准的程序组名称选项；第三步：点击“查询组中的平台”选项右侧的“批准”按钮，完成批准操作。也可以采取勾选全部，批准的方式将当前所有上报程序组批准给某一个平台或平台组，批准的程序组会上报到白名单程序信息列表，如图所示：4）删除审查采集上报程序第一步：勾选将要删除的程序组选项；第二步：点击列表右上方的“删除”按钮，完成删除操作。也可以采取勾选全部删除的方式删除当前页面下的所有上报程序组；第三步：如果需要有选择性的删除某个上报程序组中的某些进程，那么请在“审查采集上报程序组”列表的“程序组名称”一栏点击该程序组名，此时该程序组中的所有进程都将在审查采集上报程序列表逐一显示。只需勾选需要删除的进程，点击“审查采集上报程序组”右侧“删除”按钮即可，如图所示：未知程序列表客户端平台在运行服务状态下，对于未在白名单中而又尝试执行的可执行程序采取的是禁止执行策略。一旦其尝试执行，客户端软件会将其完全路径上报到安全管理中心，这时可以根据策略需要对其进行批准和删除。点击左侧操作菜单栏“配置管理”下的“未知程序列表”。1）批准未知执行程序第一步：在“管理操作”右侧“选择批准平台”一栏选择未知程序将要批准到的所属平台或平台组；第二步：在“选择程序组”一栏选择未知程序将要批准到的所属程序组；第三步：在未知执行程序列表中，勾选将要批准的未知程序选项；第四步：点击列表下方的“批准”按钮，完成批准操作。也可以采取勾选全部，批准该平台下的所有未知程序，如图所示：2）删除未知执行程序第一步：在“管理操作”右侧选择批准平台一栏选择将要删除的未知程序所属平台或平台组；第二步：在未知程序列表中，勾选将要删除的未知程序选项；第三步：点击列表右上方的“删除”按钮完成未知程序的删除操作，也可以采取勾选全部，删除的方式删除所选平台下的所有未知程序，如图所示：导入采集上报程序具有采集功能的客户端平台所采集的应用程序模板，系统管理员可以通过数据导入的方式上传到安全管理中心，并在审查采集上报程序列表逐一罗列显示。点击左侧操作菜单栏“配置管理”下的“导入采集上报程序”按钮，第一步：浏览选择需要导入的应用程序模板，点击“打开”按钮，完成模板路径的添加操作；第二步：点击文件路径下方的“导入”按钮，完成应用程序模板的导入操作。导入完成，系统会在数据导入列表的标题右侧显示红色字体提示信息，如图所示：0终端升级选择“升级服务”下的“终端升级”，浏览添加升级程序，点击“上传”按钮即可完成管理中心部分配置操作。4.1.2安全管理员安全管理员依据系统管理员上报的基本信息进行安全策略的制定、调整、维护和更新。修改当前密码点击左侧操作菜单栏“安全管理员”下的“修改密码”按钮；在“新密码”一栏输入新密码；在“确认新密码”一栏再次输入新密码，点击“修改”按钮完成修改操作，如图所示：主体标记列表主体标记列表中所记录的主体即为系统管理员所下发USB-Key用户，在系统管理员下发USB-Key用户的同时，主体标记列表就会生成一条与之相对应的主体标记记录。1）查看主体范畴选择左侧操作菜单栏“标记管理”下的“主体标记列表”，点击想要查看的主体名范畴下方的“查看”按钮，查看完毕，点击“返回”按钮返回前一页，如图所示：2）修改主体标记信息选择左侧操作菜单栏“标记管理”下的“主体标记列表”，勾选需要修改的主体名，点击右上方的“修改”按钮，根据策略需要修改其敏感度、可信度及范畴，点击“修改”按钮完成修改操作，如图所示：客体标记列表客体标记列表所记录的客体是由系统管理员根据用户需求所添加的客户端资源（例如：客户端平台上的目录或文件等），也可以是客户端平台主动上报的内容（例如：在客户端平台上注册的U盘等）；1）添加客体标记信息第一步：选择左侧操作菜单栏“标记管理”下的“客体标记列表”，点击客体标记列表右上方的“添加”按钮；第二步：正确填写如下信息；客 体 名：输入客户端平台上将要添加为客体标记的目录或文件所在全路径(支持*号通配符)；平 台 名：选择将要添加为客体标记的目录或文件所在客户端平台的平台名称；敏 感 度：根据策略要求由安全管理员自定义填写；(注意：0255)可 信 度：根据策略要求由安全管理员自定义填写；(注意：0255)范 畴：根据策略要求由安全管理员进行选择；客体类型：根据实际情况由安全管理员选择确定；第三步：点击“添加”按钮，完成客体标记信息的添加操作，如图所示：2）查看客体标记范畴第一步：选择左侧操作菜单栏“标记管理”下的“客体标记列表”，点击平台名列表中想要查看的客体标记所在平台名称；第二步：在“客体标记列表”中，点击想要查看的客体名范畴下方的“查看”按钮，查看完毕，点击“返回”按钮返回前一页，如图所示：3）修改客体标记信息选择左侧操作菜单栏“标记管理”下的“客体标记列表”，勾选想要修改的客体标记所在平台名称，点击客体标记右上方的“修改”按钮；根据策略需要修改其敏感度、可信度及范畴，点击“修改”按钮完成修改操作，如图所示：4）删除客体标记信息选择左侧操作菜单栏“标记管理”下的客体标记列表，勾选想要删除的客体标记所在平台名称，点击右上方的“删除”按钮，删除之前系统会弹出删除确认对话框，点击“确认”按钮完成客体标记信息的删除操作，如图所示：用户登录终端权限由于HuaTech终端安全保护系统采用的是双因子身份认证机制，硬件USB-Key与平台之间采取的是默认安装时的一一对应绑定关系，（即：每个USB-Key只能够登陆一个默认安装的客户端平台）。如果需要交叉访问（即：一个USB-Key可以登陆多个平台或一个平台允许有多个USB-Key可以登陆），则需要安全管理中心的授权批准；1）添加用户登陆终端权限第一步：将需要添加用户登陆终端权限的用户添加到一个用户组中(详见8)；第二步：将需要添加用户登陆终端权限的终端(即：客户端平台)添加到一个平台组中(详见9)。第三步：选择左侧操作菜单栏“授权管理”下的用户登陆终端权限列表，点击列表右上方的“添加”按钮；第四步：点击“用户/用户组列表”，选择需要添加用户登陆终端权限的用户或用户组；第五步：点击“平台/平台组列表”，选择需要添加用户登陆终端权限的平台或平台组；第六步：点击“添加”按钮，完成用户登陆终端权限的添加操作，如图所示：2）删除用户登陆终端权限选择左侧操作菜单栏“授权管理”下的“用户登陆终端权限”列表，勾选需要删除的登录授权信息，点击列表右上方的“删除”按钮完成删除操作，如图所示：3）查看用户登陆终端权限选择左侧操作菜单栏“授权管理”下的“用户登陆终端权限”列表，在快速搜索处可根据用户组、用户名、平台组或平台名进行相关授权信息的查询，如图所示：用户自主访问文件权限1）添加用户自主访问文件权限第一步：选择左侧操作菜单栏“授权管理”下的“用户自主访问文件权限”列表，点击用户自主访问文件权限列表右上方的“添加”按钮；第二步：正确输入如下信息；平 台 组：选择将要添加用户自主访问文件权限的平台或平台组；主 体 名：选择将要添加用户自主访问文件权限的主体用户名称；客 体 名：输入客户端平台上将要添加用户自主访问文件权限的目录或文件的全路径（支持*号通配符）；操作类型：根据策略需要勾选相应的操作权限；第三步：点击“添加”按钮，完成用户自主访问文件权限的添加操作，如图所示：2）修改用户自主访问文件权限选择左侧操作菜单栏“授权管理”下的“用户自主访问文件权限”列表，勾选列表中需要进行修改的信息，点击列表右上方的“修改”按钮，根据策略需要更改其操作类型，点击“修改”按钮完成修改操作，如图所示：3）删除用户自主访问文件权限选择左侧操作菜单栏“授权管理”下的用户自主访问文件权限列表，勾选列表中需要删除信息，点击列表右上方的“删除”按钮完成删除操作，也可以采取勾选全部，删除的方式删除当前页下的所有用户自主访问文件权限策略，如图所示：4）查看用户自主访问文件权限选择左侧操作菜单栏“授权管理”下的“用户自主访问文件权限”列表，在“快速搜索”一栏选择查询条件，正确输入查询信息后，点击“”按钮完成查看操作，如图所示：用户特权访问文件权限用户特权访问文件权限与用户自主访问文件权限在功能上和操作步骤上基本是一致的，唯一不同的是用户特权访问文件权限增加了一项授权者用户。此用户仅作为文件访问权限转移的一个标记，对于用户特权访问文件权限的功能并无任何影响，如图所示：平台访问网络权限安装了HuaTech终端安全保护系统的客户端平台，在默认状态下是不允许和外部网络进行通信的。如果某个客户端平台想要和外部网络进行通信，就需要在安全管理中心添加平台访问网络策略(该策略主要适用于局域网)；1）添加平台访问网络权限第一步：选择左侧操作菜单栏“授权管理”下的“平台访问网络权限”列表，点击列表右上方的“添加”按钮；第二步：正确填写如下信息；平 台 名：选择将要添加平台访问网络权限的平台名称；访 问 IP：输入将要添加平台访问网络权限的平台所要访问的IP地址/地址段；子网掩码：输入将要访问目的地址/地址段的子网掩码；(注意：当目的地址是单个IP地址的情况下，子网掩码需设为55，当目的地址是一个网段的情况下，子网掩码需要设为实际网络划分的子网掩码。)第三步：点击“添加”按钮，完成添加操作，如图所示：2）删除平台访问网络权限选择左侧操作菜单栏“授权管理”下的“平台访问网络权限”列表，勾选将要删除的信息，点击右上方的“删除”按钮完成删除操作，也可以采取勾选全部，删除的方式删除当前页下的所有平台访问网络策略，如图所示：3）查看平台访问网络权限选择左侧操作菜单栏“授权管理”下的“平台访问网络权限”列表，在“快速搜索”一栏选择查询信息，正确输入查询信息后，点击“”按钮完成查看操作，如图所示：平台浏览网页权限安装了HuaTech终端安全保护系统的客户端平台，在默认状态下不允许访问互联网。如果某个客户端平台需要访问互联网上的某个网站，就需要在安全管理中心添加平台浏览网页策略；1）添加平台浏览网页权限第一步：选择左侧操作菜单栏“授权管理”下的“平台浏览网页权限”列表，点击列表右上方的“添加”按钮；第二步：正确填写如下信息；平台：选择将要添加平台浏览网页权限的平台名称；域名：输入将要添加平台浏览网页权限的平台所要访问的域名（如：）；第三步：点击“添加”按钮，完成添加操作，如图所示：2）删除平台浏览网页权限选择左侧操作菜单栏“授权管理”下的“平台浏览网页权限”列表，勾选将要删除的信息，点击右上方的“删除”按钮完成删除操作，也可以采取勾选全部，删除的方式删除当前页下的所有平台浏览网页策略，如图所示：进程访问网络权限安装了HuaTech终端安全保护系统的客户端平台，默认状态下，该客户端平台上的进程是不允许访问外部网络。如果客户端平台上的某个应用程序需要访问外部网络，就需要在安全管理中心添加进程访问网络策略；1）添加进程访问网络权限第一步：选择左侧操作菜单栏“授权管理”下的“进程访问网络权限”列表，点击列表右上方的“添加”按钮；第二步：正确填写如下信息；平台名：选择将要添加进程访问网络权限的平台名称；程 序：输入客户端平台上需要访问外部网络的应用程序名称（如：QQ.exe）；第三步：点击“添加”按钮，完成添加操作，如图所示：2）删除进程访问网络权限选择左侧操作菜单栏“授权管理”下的进程访问网络权限列表，勾选将要删除的信息，点击右上方的“删除”按钮完成删除操作，也可以采取勾选全部，删除的方式删除当前页下的所有进程访问网络策略，如图所示：0白名单程序信息在系统管理员“白名单程序信息列表”中的所有程序，经由系统管理员批准以后，都将上报到安全管理员“白名单程序信息”列表中，只有经过安全管理员的再次批准，这些程序才可以在客户端平台上正常运行；1）批准白名单程序信息第一步：在“快速搜索”一栏选择白名单程序组将要批准到的所属平台或平台组；第二步：勾选将要批准的程序组；第三步：点击右上方的“批准”按钮完成批准操作，也可以采取勾选全部，批准的方式批准当前页下的所有程序组，如图所示：2）撤销批准白名单程序信息第一步：在“快速搜索”一栏选择将要撤销的白名单程序组所对应的平台或平台组名称；第二步：勾选需要撤销的程序组，点击右上方的“撤销批准”按钮完成撤销操作，也可以采用勾选全部，撤销批准的方式撤销批准所选平台下的所有程序组；1升级程序列表客户端平台所添加的升级程序都会上报到安全管理中心“升级程序列表”中，只有经过安全管理员的批准才能够生效；1）批准升级程序第一步：选择左侧操作菜单栏“授权管理”下的“升级程序列表”列表，在“管理操作”右侧选择升级程序将要批准到的平台或平台组名称；第二步：勾选将要批准的信息第三步：点击列表下方的“批准”按钮完成批准操作，也可以采取勾选全部，批准的方式批准当前页下的所有升级程序，如图所示：2）删除升级程序第一步：选择左侧操作菜单栏“授权管理”下的升级程序列表，在“管理操作”右侧选择将要删除的升级程序所属的平台或平台组名称；第二步：勾选将要删除的信息第三步：点击列表右上方的“删除”按钮完成删除操作，也可以采取勾选全部，删除的方式删除当前页下的所有升级程序，如图所示：2目标隔离保护策略此策略是专门为Linux系统设置的。1）添加隔离保护策略第一步：选择左侧操作菜单栏“授权管理”下的“目录隔离保护策略”，点击“目录隔离保护策略”列表右上方的“添加”按钮，如图所示：第二步：正确输入如下信息；平 台：选择将要添加目录隔离保护策略的平台或平台组；目 录 路 径：选择将要添加目录隔离保护策略的全路径；进 程 名：输入终端平台上将要添加的可以对隔离的目录执行的进程的全路径；操 作 类 型：根据策略需要选中相应的操作权限第三步：点击“添加”按钮，完成用户自主访问文件权限的添加操作，如图所示：2）修改隔离保护策略选择左侧操作菜单栏“授权管理”下的“目录隔离保护策略”，选中“目录隔离保护策略”列表中需要修改的信息，点击右上方的“修改”按钮，根据策略需要更改其操作类型，完成修改操作，如图所示：3）搜索目录隔离保护策略选择左侧操作菜单栏“授权管理”下的“目录隔离保护策略”，在“目录隔离保护策略”列表“快速搜索”一栏右侧选择平台名，点击“放大镜搜索”按钮，进行搜索，如图所示：4）删除隔离保护策略选择左侧操作菜单栏“授权管理”下的用“目录隔离保护策略”，选中“目录隔离保护策略”列表中需要删除信息右上方的“删除”选择项，点击“删除”按钮完成删除操作，也可以采取“全选”再删除的方式删除当前页下的所有目录隔离保护策略；删除之前，系统会弹出删除确认对话框，点击“确定”按钮，完成删除操作，如图所示：3文件访问策略申请由于客户端平台在系统调试状态下，主体用户对客体资源的访问策略是不生效的。所以，凡是具有登陆终端权限的用户，均可对该平台上配有访问策略的客体进行任意操作。此时，其操作过程会被客户端软件所记录，并上报到安全管理中心“文件访问策略申请”列表；1）查看文件访问策略申请信息选择左侧操作菜单栏“策略管理”下的“文件访问策略申请”列表，在“管理操作”右侧选择想要查看平台的平台名，点击“查看”按钮完成查看操作，如图所示：2）删除文件访问策略申请信息选择左侧操作菜单栏“策略管理”下的“文件访问策略申请”列表，勾选将要删除的信息，点击右上方的“删除”按钮完成删除操作，也可以采取勾选全部，删除的方式删除当前页下的所有文件访问策略申请信息，如图所示：4网络访问策略申请由于客户端平台在默认状态下是不允许访问外部网络的，如果该平台上的某些应用程序试图连接到外部网络，那么它将被客户端软件所拦截，并上报到安全管理中心的“网络访问策略申请”列表中，由安全管理员依据策略需要批准后，将自动添加到“进程访问网络策略申请”列表；1）批准网络访问策略申请第一步：在管理操作右侧“平台名”一栏选择网络访问策略申请将要批准到的平台或平台组名称；第二步：勾选将要批准的信息；第三步：点击“批准”按钮完成批准操作，也可以采取勾选全部，批准的方式批准当前页下的所有网络访问策略申请，如图所示：2）删除网络访问策略申请第一步：在管理操作右侧“平台名”一栏选择将要删除的信息所属平台或平台组名称；第二步：勾选将要删除的信息；第三步：点击右上方的“删除”按钮完成批准操作，也可以采取勾选全部，删除的方式删除当前页下的所有网络访问策略申请，如图所示：5策略更新安全管理中心在每次策略配置完成之后，都需要点击一次“策略更新”，从而使策略可以即时下发到客户端平台，选择“确定”备份策略库（详见0），否则选择“取消”按钮，完成策略更新。如图所示：