磐石终端安全系统是在正元内网安全理念的基础上,综合利用身份认证、文件系统加密核心技术开发的系统。
磐石终端安全系统根据提供安全服务的不同,划分为三个安全组件:安全登录、安全文件、安全审计。这三个服务组件有机结合,依靠统一的安全管理中心共同完成全方位的安全防护,组件化的产品架构可最大限度地满足内网的精细安全管理,从而使得磐石终端安全系统不仅适用于单个独立网络中的安全管理,更适用于大型广域网络的分级安全管理(级数无限制)。各安全组件提供的服务内容如下:
安全登录:提供基于PKI的安全登录机制,使用数字证书标识用户在终端计算机或域环境下的角色身份,结合硬件USB Key实现内网终端或域环境的安全登录,使用数字证书作为身份认证的凭据,可以有效安全的解决身份确认和行为抵赖的基本问题;
安全文件:基于PKI机制提供文件的加解密存储手段,仅限定合法用户才可以访问专属的文件,提供文件的加解密交换机制,很方便的实现加密文件脱密交换,安全可靠;
安全审计:提供终端安全事件的审计功能,包括系统登录、文件访问等,提供终端计算机用户安全操作行为的监控与审计。
磐石终端安全系统体系结构图
磐石终端安全系统由磐石服务端,磐石安全代理和身份认证设备三个部分组成:
磐石服务器端:磐石终端安全系统管理入口,管理和维护总控中心服务器的运行状态,负责总控中心的策略配置、审计信息浏览,负责安全代理的运行策略设置;
磐石客户端:以服务的形式运行于终端计算机,负责功能模块管理、策略管理、审计事件报告等基本功能,安全登录、文件处理以及部分网管功能均以模块的方式由安全代理加载、维护和管理,安全代理的设计充分考虑了稳定性、安全性和兼容性要求;
身份认证设备:用于存储受控计算机终端用户以及管理员登录认证的数字证书,其中管理员证书用于磐石终端安全系统后台管理页面的登录认证,用户证书用于操作系统或者域环境的证书登录认证。
