Chinasec安元可信网络安全平台V.安装手册

1、Chi nasec（安元）可信网络安全平台 安装手册 北京明朝万达科技有限公司 2015 年 02 月 版权声明 非常感谢您查看本手册： 本手册详细介绍Chinasec（安元）可信网络安全平台安装手册 Copyright ? 2005-2014 by Won dersqft北京明朝万达科技有限公司版权所有。 未经书面许可，用户不得使用任何形式或任何途径，包括使用影印、录制在内的 电子或机械手段以及其他信息储存和恢复系统等对本手册任何部分进行复制或传播。 警告和承诺： 本手册用于提供关于“ Chinasec（安元）可信网络安全平台”系统的安装手册。 尽管我们做了大量的努力使本手册尽可能的完备和准

2、确，但疏漏和缺陷之处在所难免 任何人或实体由于本手册提供的信息造成的任何损失或损害，北京明朝万达科技 有限公司不承担任何义务或责任。 系统版权： 中文名称：Chi nasec（安元）可信网络安全平台 开发单位：北京明朝万达科技有限公司 系统版权单位： 北京明朝万达科技有限公司 地址：北京市海淀区知春路太月园 3号楼 6层 电话： 0 传真：0 Chinase（c 安元）可信网络安全平台是北京明朝万达科技有限公司自主研发的受法 律保护的商业软件。遵守法律是共同的责任，任何人未经授权人许可，不得以任何形 式或方法及出于任何目的复制或传播本软件，否则权利人将追究侵权者责任并保留要 求赔偿的权利。 反

3、馈信息： 如果您对本手册有任何疑问、意见或建议，请与我们联系。感谢您对我们的支持 和帮助。 目录 1. 系统概要 Chin asec（安元）可信网络安全平台是基于网络安全和可信计算理论研发的网 络安全系列管理产品，产品以密码技术为支撑，以身份认证为基础，以数据安全为 核心，以监控审计为辅助，可灵活全面的定制并实施各种安全策略，主要解决用户 在传统PC架构下的数据安全问题，针对网络的用户身份和计算机终端管理数据信 息保密 .数字知识产权保护 .应用系统保护 .文档安全保密以及网络状况监控维护等安 全问题，提出了整体的解决方案。 Chi nasec（安元）可信网络安全平台由多个系统组成，分别是 C

4、hi nasec（安元） 终端数据防泄密系统、Chi nasec（安元）文档安全管理系统、Ch in asec（安元）应用 保护系统、Chi nasec（安元）文件审批系统、Chi nasec（安元）身份认证系统、安全 网关等。 Chin asec（安元）可信网络安全平台系列产品注重从信息的源头开始抓安全， 对信息的存储、交换和使用等环节实现全面保护，通过主动加密、事前控制、事中 监视、事后审计等四种手段相结合，可以达到外部入侵进不来 .非法外接出不去 .内 外勾结拿不走 .拿走东西看不懂的效果， 有效防止机密敏感信息的泄露， 为企事业单 位构建了一个可信可控的内网环境。 Chi nasec（

5、安元）可信网络安全平台已经通过 国家保密局，公安部等权威机构的评审认定，并已在中国海关总署、奇瑞汽车、南 车时代、中国银行、广东电力设计院、第二炮兵部队和中国石油等数千家单位成功 应用，得到用户高度肯定。 Chinasec（安元）可信网络安全平台系统采用 C/S与B/S架构结合的模式。新 版本的设计目的是使软件具有更好的兼容性、可扩展性和高可靠性的同时，为用户 提供友好，人性化的图形交互界面；软件的安装，配置过程相比之前的版本更加快 捷.简便，从而简化后期的管理以及维护。 2. 系统架构图 Chinase（c 安元）可信网络安全平台系统由服务器，客户端以及WEB 管理平台 三部分组成，各部分彼

6、此依存，为企业级用户构建安全.可靠的网络环境。 Chi nasec（安元）可信网络安全平台的系统架构图如下图所示： 图 2.1 3. 系统组件介绍 3.1. 服务器 3.1.1. 服务器简介 服务器用来提供系统的所有数据支持(客户端日志，重要文件等) ，是整个系 统的核心。服务器通过在计算机硬件中，安装服务器程序的方式实现。 3.1.2. 服务器兼容性 服务器端程序支持 Windows Server 2003 / 2008 ( 32 / 64bit)操作系统。 3.1.3. 服务器特点 1. 服务器端程序采用软件形式提供； 2. 服务器端的安装程序安装过程快速、简洁，无需配置过多的参数； 3.

7、 系统内置MySql数据库，同时也可以支持Oracle数据库； 4. 单服务器负载量大，单台服务器可支持上千个用户，并支持服务器负载和 多级管理； 5. 支持服务器群部署，服务器可独立成日志服务器.策略服务器.升级服务器和 数据库服务器等以满足大规模用户的部署； 6. 程序占用较少的硬件空间和系统资源; 7. 系统支持软件以及硬件形式的授权，软授权一般用于测试授权。 32 WEB管理平台 321. WEB管理平台功能 WEB管理平台用来集中管理整个网络。通过 WEB管理控制台，您可以完成用 户组织体系的管理，客户端策略的管理，服务器相关参数的配置以及终端日志管理 等工作。 3.2.2. WEB

8、管理平台特点 1. WEB管理界面采用标准的管理界面，操作简便、符合绝大多数用户的习惯。 操作界面美观，友好； 2. WEB管理平台采取管理员三权分立的管理方式，增强系统的安全性； 3. 管理方便，用户只要拥有 WEB管理平台的IP地址，即可以实现平台管理; 4. 采用软件形式提供，随服务器端程序一起安装，无需单独安装。 3.2.3. WEB管理平台兼容性 WEB管理平台可兼容的浏览器以及相应版本如下表所示: IE 8、9、10 GOOGLE 15、16、17 表3.1 33客户端 331.客户端功能 客户端是成功安装客户端程序的计算机。客户端是受控制的对象，执行管理员 在WEB管理平台设置的

9、安全策略，从而使客户端计算机达到安全认证、数据防泄 漏、行为监控.文档加解密等功能。客户端的相关操作以及日志均可被系统审计。 3.3.2. 客户端兼容性 客户端程序支持 Windows XP / Windows 7（ 32位和64位）操作系统。 3.3.3. 客户端特点 1. 客户端程序一旦安装后，用户无法自行卸载，需要管理员才能卸载； 2. 成功安装客户端程序的计算机，策略的相关操作（更改、下发、删除、停 用、启用）对于客户端用户几乎透明； 3. 客户端分为在线（与服务器通讯正常）和离线（无法与服务器通讯）两种 状态，可以针对不同状态的计算机进行不同的控制； 4. 客户端程序占用资源小，不会

10、明显影响计算机终端的运行速度; 5. 操作过程中的提示人性化，用户操作容易; 6. 操作简单，基本不会改变用户的使用习惯 4. 服务器使用指南 4.1. 服务器安装 4.1.1. 服务器安装环境 1. 服务器硬件环境要求 1）服务器最低配置如下表所示： CPU 内存 2G 硬盘 可用的存储空间大于80G 网卡 100 M/1000 M USB 接口 至少具有一个空闲的USB端口 光驱 具有一台可用的光盘驱动器 表4.1 2）服务器建议配置如下表所示: CPU 双核或以上 内存 4G或以上 硬盘 磁盘可用存储空间大于500G 网卡 100 M/1000 M USB 接口 至少具有一个空闲的 US

11、B端口 光驱 具有一台可用的光盘驱动器 表4.2 2. 服务器软件环境要求 1）未安装过本产品其他版本的服务器安装程序; 2）服务器硬件使用兼容列表中的操作系统； 3）服务器安装程序可正常运行； 4）服务器端的防火墙已关闭50050-50099端口 4.1.2. 服务器安装步骤 1. 在安装服务器程序的计算机上，运行服务器安装文件，成功运行后将弹出 准备安装提示窗口，如下图所示： 图 4.1 2. 安装准备窗口自动消失后， 将显示安装向导窗口， 请用户点击窗口中的 【下 一步】按钮，如下图所示： 图 4.2 3. 点击【下一步】按钮后，将弹出安装路径提示窗口，用户可根据实际需要， 将服务器程序

12、安装在指定的路径 （为方便后期维护 .建议安装在硬盘空间比较大的位 置），如下图所示： 图 4.3 4. 用户选定服务器程序安装文件夹并点击【下一步】按钮后，将弹出数据库 配置界面，默认内置 MySql 数据库，点击【下一步】按钮即可开始安装，如下图所 示： 图 4.4 5. 用户选择数据库配置并点击【下一步】 按钮后，将弹出安装界面， 点击【安 装】继续安装服务器，如下图所示： 图 4.5 6. 系统默认勾选“配置 Chinase（c 安元）可信网络安全平台 服务器”，并点击 【完成】按钮继续安装服务器，如下图所示： 图 4.6 7. 系统将完成证书添加 .注册表添加 .安装数据库和服务后，

13、请选择安装服务器 类型，系统默认为主服务器，如配置为负载服务器，请选择负载服务器，并输入主 服务器的 IP 地址。完成相关配置后，请选择【下一步】继续安装。如图和下图所 示： 图 4.7 图 4.8 1）主服务器：Chinase（可信网络安全平台核心服务器，可单独部署为独立服务 器运行，也可以对其他负载服务器进行统一的调度和管理。 2）负载服务器：用于解决当单台服务器负载能力不够时，分担主服务器负载 压力的服务器，作为从服务器接受主服务器的统一调度和管理。 3）热备服务器：用于解决当主服务宕机，或出现异常不能够访问，进行备份 服务切换的服务器。 8. 安装完成后，将自动弹出授权激活窗口，您需要

14、将窗口中的机器码信息复 制后发送至厂家，厂家收到机器码后，将制作出对应的授权文件。当您得到授权文 件后，请进行产品的授权。如下图所示： 图 4.9 注意：机器码为一连串(长度 74 位)的字符，如 1=OS=S-=4A34390B62AAD675A1B2AF57F21A 4.2. 服务器授权 4.2.1. 功能介绍 1. 生产系统 1) 在现有生产系统上增加生产系统功能，与 生产系统同时运行，两者集成到 一起，生产时可以选择生产什么版本的授权，两者不能同时选择； 2) 在基础上进行新生产系统修改，的授权权限管理等保留，不进行修改。 2. V3 服务器 1) 新版授权系统需兼容老版授权系统：老的

15、 V3 系统授权，正常运行的服务器 及客户端，在升级到 3057及以后版本的客户端及服务器软件后， 无需重新导入新授 权即可正常运行； 2) 3057之前的客户端及服务器，在需要增加新的授权功能时，需要升级客户 端及服务器，才能导入新的授权文件，并工作正常； 3) 3057及之后的 V3 系统，在新上线时， 采用新版生产系统进行授权， 系统运 作正常； 4）新版生产系统 不支持产生旧的授权 如果是之前在运行的系统， 需要增加 功能或者只是增加点数，且不希望升级客户端和服务器，则使用旧版的生产系统重 做授权。（旧版生产系统保留现状不变） -本期无需修改，只是列在处在出现类似 需求的时候的对应处理

16、方案。导入服务器授权有两种方式：软授权导入授权文件与 硬授权导入授权文件。 4.2.2. 软授权导入 1. 服务器程序安装结束后，将弹出服务器授权界面，请您点击【下一步】按 钮以导入相应的授权文件，如下图所示： 图 4.10 2. 用户点击窗口中的【导入授权】按钮，将授权文件导入至服务器，如下图 所示： 图 4.11 3. 用户选定授权文件的正确路径后，点击【打开】按钮，如下图所示： 图 4.12 4. 如果授权文件正确，将显示授权成功窗口，请用户点击【下一步】按钮以 进行管理员配置，如下图所示： 图 4.13 5. 用户可通过实际需要，勾选系统中需要的操作员，并为操作员设置密码， 设定完成后

17、点击【下一步】按钮，如下图所示： 图 4.14 注意：每种管理员具有不同的权限以及管理范围。 6. 显示授权信息和管理权限账户，并安装 web 控制台服务，当 Web 控制台服 务安装完成后，请点击【完成】按钮后，即可完成服务器安装，如下图所示： 图 4.15 4.2.3. 硬授权导入 1. 在已成功安装服务器程序的计算机终端上插入认证 USBKEY ，并在授权管 理页面中选择硬授权方式，如下图所示： 图 4.16 2. 用户点击窗口中的【导入授权】按钮，将授权文件导入至服务器，如下图 所示： 图 4.17 3. 用户选定授权文件的正确路径后，点击【打开】按钮，如下图所示： 图 4.18 4.

18、 如果授权文件正确，将弹出授权成功窗口，请用户点击【下一步】按钮以 进行操作员配置，如下图所示： 图 4.19 5. 用户可通过实际需要，勾选系统中需要的操作员，并为操作员设置密码， 设定完成后点击【下一步】按钮，如下图所示： 图 4.20 注意：每种管理员具有不同的权限以及管理范围 . 6. 显示授权信息和管理权限账户，并安装 web 控制台服务，当 Web 控制台服 务安装完成后，请点击【完成】按钮后，即可完成服务器安装，如下图所示： 图 4.21 4.3. 服务器升级 4.3.1. 功能介绍 对客户端程序进行升级操作，用户可以在 WEB 管理平台中上传升级包程序， 并设置相关的参数，从而

19、实现系统的自动升级。 管理员可以指定升级任务，并且对升级的任务进行查询，停用等相关操作。 4.3.2. 升级任务 1. 升级任务查询 1) 用户登录可信网络安全平台后，进入【系统升级】【升级管理】【升 级任务】功能项后，将在右侧显示【升级任务】列表，列表中将显示升级任务的相 关信息，如下图所示： 图 4.22 2）用户可以在【升级任务】列表上方的蓝色搜索框中，输入搜索关键字，并 点击【搜索】按钮。将显示查询信息。符合条件的升级任务将以列表的形式显示在 WEB界面中。显示的内容包括：版本号（从升级包中获取）.升级执行时间.升级原版 本号（从升级对象获取 ）.升级计算机 .升级成功（数量）.升级失

20、败（数量）.升级状态.操作 等。其中升级状态有三种，分别是已过期 .已停用.正在升级。 3）升级任务查看 a）用户登录可信网络安全平台后，进入【系统升级】【升级管理】【升 级任务】功能项后，将在右侧显示【升级任务】列表，列表中显示了升级任务的相 关信息，如下图所示： 图 4.23 b）用户点击欲查看详情升级任务【操作】列中的【查看详情】功能项，将弹 出任务详情窗口，如下图所示： 图 4.24 4）上传升级包 用户可以通过上传升级包程序，对服务器进行自动升级，系统自动识别升级包 类型 上传升级包操作步骤： a) 用户登录可信网络安全平台后，进入【系统升级】【升级管理】【上 传升级包】功能项后，在

21、上传升级包页面(或在升级任务页面右上角点击【上传升 级包】按钮)点击【浏览】按钮，如下图所示： 图 4.25 b) 选择正确的服务器升级包程序并上传后，将弹出提示窗口，如下图所示： 图 4.26 c) 上传成功后，将进入确认升级界面，如下图所示： 图 4.27 摘要非必填项，一般会填上升级的老版本号 图 4.28 注意：只要升级版本号和原版本号不同，升级操作即可生效。 4.4. 服务器卸载 1. 运行服务器计算机控制面板中的【添加 / 删除程序】工具，如下图所示： 图 4.29 2. 选中【安元可信网络安全平台服务器】 ，右击将弹出卸载窗口， 如下图所示： 图 4.30 3点击【卸载】功能项。

22、将弹出配置窗口，如下图所示： 图 4.31 4. 配置完成后，将弹出删除确认窗口，请您点击【是】按钮，如下图所示: 图 4.32 5. 服务器端程序将被自动卸载，如下图所示： 图 4.33 5. 客户端使用指南 5.1. PC 5.1.1. 客户端安装 客户端安装环境 1. 客户端硬件环境要求 1）客户端硬件最低配置要求 nDi 1 内存 1G 石硬盘 硬盘可用六间大于5G/系统盘的可用容量大于 硬盘 -网 硬盘可丿1空1间大5G/系、统盘的J可丿用容量大 100M/1000M且可以连通服务器 表5.1 2）客户端硬件推荐配置要求 CPU 内 1存 2G以上 硬盘 可用空间大于50G 网 卡

23、J 八L. r J y* v J1 100M/1000M且可以连通服务器 表5.2 2. 客户端软件环境要求 1）未安装过本产品其他版本的客户端安装程序; 2）客户端计算机使用兼容列表中的操作系统； 3）安装程序运行正常。 客户端安装步骤 1. 找到客户端安装程序。双击客户端安装程序后，将弹出准备安装界面，如 下图所示： 图5.1 2. 准备安装界面过后，将弹出安装向导界面，请您点击【下一步】按钮，如 下图所示: 3. 用户确认后， 将弹出安装路径选择界面， 用户选择完安装路径后， 点击【下 一步】按钮，如下图所示： 图 5.3 注意：计算机系统盘的可用容量需大于 2G,否则无法成功安装。 4

24、. 确认客户端程序安装路径后，将弹出服务器地址输入界面，请用户在输入 框中输入服务器端计算机的 IP 地址或计算机名,确认后点击【下一步】按钮,如 下图所示： 图 5.4 5. 用户确认后,将转入安装确认界面,用户确认上述步骤中填入的参数无误 后,点击【安装】按钮,如下图所示： 图 5.5 6. 用户确认后,将转入安装状态界面,安装的状态与进度将显示在窗口中, 如下图所示： 图 5.6 7. 安装完毕后,将弹出安装成功提示界面,用户点击【完成】按钮,即可完 成安装操作,如下图所示： 图 5.7 8. 安装完成后点击图完成按钮，则会弹出如下图所示提示框，点击确定重启 电脑此时则客户端安装完毕。

25、5.12 客户端登录 1. 安装完毕后，将在右下角显示客户端图标（蓝色盾牌状图标$），用户鼠标 右击盾牌状图标时，将显示登录窗口，如下图所示： 图5.8 2. 点击【口令登录】功能项后，将弹出登录窗口，如下图所示： 图5.9 3. 用户输入正确的账号和密码信息后，点击【登录】按钮，系统将验证用户 的输入信息，如下图所示： 图 5.10 4. 账号和密码信息经过验证后，登录窗口将消失，客户端图标将变为登录状 态：5 5.1.3. 客户端修改密码 1. 用户登录成功后，鼠标右击客户端图标，将弹出功能窗口，如下图所示： 图 5.11 2. 用户点击功能窗口中的【修改密码】功能项后，将弹出修改密码窗口

26、，用 户可以根据个人习惯，填写登录的新密码，如下图所示： 图 5.12 3. 操作成功后，将弹出修改密码成功提示窗口，如下图所示： 图 5.13 5.1.4. 客户端注销 1. 用户登录成功后，鼠标右击任务栏右下角的客户端图标，将弹出功能窗口， 如下图所示： 图 5.14 2. 用户点击功能窗口中的【注销】功能项，将弹出注销成功提示窗口，如下 图所示： 图 5.15 5.1.5. 客户端卸载 1. 远程卸载 1) 用户登录可信网络安全平台后，进入【对象管理】标签页中的【计算机管 理】子功能项，找到欲删除客户端程序的计算机终端，点击对应行后的【卸载】功 能项，如下图所示： 图 5.16 2) 用

27、户点击对应行后的【卸载】功能项后，将弹出卸载提示窗口，如下图所 示： 图 5.17 注意：远程卸载只能卸载在线客户端 3) 用户点击卸载提示窗口的【确认】按钮后，将操作成功提示窗口，如下图 所示： 图 5.18 4) 用户终端卸载成功后将弹出点击卸载提示窗口的【确认】按钮后，将操作 成功提示窗口，如下图所示： 图 5.19 2. 算码方式卸载客户端 1) 用户点击开始菜单点击运行输入 cmd 后点击确定，如下图所示： 图 5.20 2) 在 cmd 命令中进入 TPMClientV3 的 x86 目录中输入 corecmd clientuninsta, 如下图所示： 图 5.21 注意：算法方

28、客户端卸载只能卸载没有被磁盘加密硬盘(磁盘加密包括：系统 盘和数据盘，主引导分区没有恢复)客户端 3) 用户登录可信网络安全平台后，进入【系统配置】标签页中的【工具箱容 器】子功能项， 将申请码写入申请码输入框中， 点击【生成授权码】后获取授权码， 如下图所示： 图 5.22 4) 将获取的授权码输入到 cmd 命令中请输入授权码中卸载客户端，如下图所 示： 图 5.23 5) 用户终端卸载成功后将弹出点击卸载提示窗口的【确认】按钮后，将操作 成功提示窗口，如下图所示 图 5.24 6) 出现客户端卸载成功，请重启计算机！的提示后，点击【确认】按钮后完 成卸载，如下图所示 图 5.25 5.1

29、.6. 客户端升级 5.1.6.1. 功能介绍 对客户端程序进行升级操作，用户可以在 WEB 管理平台中上传升级包程序， 并设置相关的参数，从而实现系统的自动升级。 管理员可以指定升级任务，并且对升级的任务进行查询，停用等相关操作。 5.1.6.2. 升级任务 1. 升级任务查询 1） 用户登录可信网络安全平台后，进入【系统升级】【升级管理】【升级任 务】功能项后，将在右侧显示【升级任务】列表，列表中将显示升级任务的相 关信息，如下图所示： 图 5.26 2） 用户可以在【升级任务】列表上方的蓝色搜索框中，输入搜索关键字，并点击 【搜索】按钮。将显示查询信息。符合条件的升级任务将以列表的形式显

30、示在 WEB 界面中。显示的内容包括：版本号 （从升级包中获取 ）、升级执行时间、升 级原版本号 （从升级对象获取 ）、升级计算机、升级成功 （数量 ）、升级失败 （数量）、 升级状态、操作等。其中升级状态有三种，分别是已过期 .已停用 .正在升级。 2. 升级任务查看。 1） 用户登录可信网络安全平台后，进入【系统升级】【升级管理】【升级任 务】功能项后，将在右侧显示【升级任务】列表，列表中显示了升级任务的相 关信息，如下图所示： 图 5.27 2) 用户点击欲查看详情升级任务【操作】列中的【查看详情】功能项，将弹出任 务详情窗口，如下图所示： 图 5.28 3. 上传升级包 用户可以通过上传升级包程序，对客户端进行自动升级，系统自动识别升级包 类型。 上传升级包操作步骤： 1) 用户登录可信网络安全平台后，进入【系统升级】【升级管理】【上传升 级包】功能项后，在上传升级包页面(或在升级任务页面右上角点击【上传升 级包】按钮)点击【浏览】按钮，如下图所示： 图 5.29 2) 选择正确的客户端升级包程序并上传后，将弹出提示窗口，如下图所示： 图 5.3