跳转到主要内容

[旧世界] 商业软件下载

中孚安全套件

中孚安全套件:安全套件下载 提取密码:1qaz

五千平台麒麟系统无需打入补丁。统信系统安装前需打入补丁(四千平台同上)。

Ps:管理员Ukey默认密码 123ABCdef* 123ABCdef*# 123ABCdef*#*

用户ukey默认密码:12345678第一次绑定激活会强制修改密码;建议将密码修改为11111111a!(一期专用)

使用说明

北信源安全套件资料

免责条款

根据适用法律的许可范围,中孚安全按“原样”提供本文档而不承担任何形式的担保,包括(但不限于)任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下,中孚安全都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责,即使中孚安全明确得知这些损失或损坏,这些损坏包括(但不限于)利润损失、业务中断、【附件】北誉或数据丢失。

本文档中所有引用产品的使用及本文档均受最终用户可适用的特许协议约束。

中孚安全保密套件管理系统客户端具备违规外联监控、移动存储介质管控、主机审计(含打印刻录审计)、身份鉴别、终端接入等安全保密功能,同时具备本地状态监控、软件更新、客户端管理和本地告警等功能,具有防绕过和防卸载等安全防护能力。

客户端运行在安可通用服务器和桌面机,支持联网激活和单机激活两种管理模式,单机激活中时支持有管理中心和无管理中心两种场景。

联网激活:适用于联网管理,客户端接收管理端下发的主机策略,按照策略执行管控和审计,按配置周期上报采集信息和审计日志。

单机激活:客户端禁用网卡,管理员登录后可以进行组织机构创建、机构导出,主机策略和主机日志的本地管理。有管理中心:适用于存在管理中心的单机V3.0.2212-快速部署场景,注册时导入管理端中的组织机构,便于统一管理。无管理中心为纯单机本地模式。

指南.pdf

环境准备

CPU: 龙芯3A5000/3A4000; 内存: 4G及以上; 硬盘剩余空间: 2G以上

网卡: 非强依赖; 操作系统: 银河麒麟V10 /统【附件】北

网络配置: 安装客户端的目标机器,建议拆除无线模块,并在安装前断开互联网连接。

将当前机器型号和操作系统对应的客户端安装包下载或导入到桌面,双击安装包进行安装(程序已上传管理端的可以访问下载地址:“https://lawh.fun:5001/share.cgi?ssid=dddb2e6c7f8041adbf5594d11572a9b7 密码:1qaz,参考以下过程完成安装,并重启系统。(如果使用涉密专用优盘和单导功能请优先安装对应平台的红盘驱动和单导程序,单导和红盘驱动的安装与下面介绍各平台客户端安装流程一致)

  1. 麒麟服务器安装过程

  2. 对应的安装包为 XX.rpm,桌面点击鼠标右键-->打开终端;

  3. 执行命令“sudo su”,切换到root用户,输入密码;

  4. 执行”rpm -ivh XX.rpm”安装

  5. 麒麟桌面机安装过程

  6. 桌面点击鼠标右键-->打开终端;

  7. 执行命令“sudo su”,切换到root用户,输入密码;

  8. 执行命令“dpkg -i XXX.deb”,安装软件。

联网激活

在线自动激活,适用于联网主机。

  1. **选择激活类型:**鼠标单击选择“联网激活”,点击“下一步”。
  2. **选择激活方式:**填写管理端服务器IP地址及端口号(默认8080),点击“下一步”。

填写激活信息 从下拉列表选择所属部门和用户,不允许自行创建。

说明:若下拉列表中不存在对应的部门或用户,需要使用admin账号登录管理端添加,操作流程:【admin登录】->【基础信息】->【机构管理】。添加完成先点击“上一步”再次点击“下一步”可同步更新。

激活信息确认 页面回显填写的注册信息,确认无误点击“提交”完成注册。

点击托盘客户端主页如下,右上角菜单栏点击“账号登录”可以登录管理员。

单机激活

通过管理员KEY本地激活,默认禁用网络。

  1. **选择激活类型:**鼠标单击选择“单机激活”,点击“下一步”。
  2. **选择激活方式:**点击选择后点击“下一步”。

“有管理中心”:已经部署了管理中心,下一步的“填写激活信息”页面中点击“导入文件”导入管理中心导出的.zip机构文件。(.zip机构文件:【admin登录管理端】->【系统扩展】->【信息导入导出】->“导出信息-支持平台终端套件版本”点击“执行导出”,即可导出zip文件,参考下图)

“无管理中心”:纯单机场景,选择后在下一步的“填写激活信息”中进行“组织机构创建”或“导入文件”导入从其他客户端中导出的机构文件。(机构文件:【admin登录客户端】->【基础信息】->【组织机构管理】点击导出即可,参考下图)

  1. **填写激活信息:**从下拉列表选择所属部门、用户、主机密级及注册地址。
  2. **激活信息确认:**页面回显填写的注册信息,确认无误点击“提交”完成注册。

点击托盘客户端主页如下。此时,客户端为未授权状态,需要登录管理员账号进行步骤5的授权操作,授权后客户端功能才能正常使用。

  1. 授权管理
  2. 插KEY登录管理员

终端机器插入安全管理员KEY,在客户端首页右上角菜单栏点击“账号登录”,弹出登录页面(图8),输入密码(初始密码:123ABCdef*)。

进行授权

点击客户端首页右上角菜单栏中的“授权管理”(图9),弹出授权管理页面,选中列表中的安全保密套件,点击“批量授权”,最管理系统V3.0.2212-用户使用手册-单机版.pdf 【附件】北信源安全保密套件管理系统V3.0.2212-用户使用手册-网络版.pdf 【附件】07-北信源安全保密套件管理系统-V3.0.2212-售点击“保存”完成授权(图10)。培训.pdf

授权回收

单机激活时,通过此方式授权的客户端,在卸载或者注销客户端之前,需要在“授权管理页面”完成“批量回收”,客户端的点数可被回收。

升级

联网升级

仅适用于联网模式的客户端,操作流程:【admin登录】->【安装包管理】->【安装包管理】->【安装包上传】,点击“上传安装包”,上传成功后,在对应安装包的“升级”和“升级结果”操作中发起升级和查看升级结果。

本地升级

双击运行客户端程序,选择升级,升级完成后重启电脑。

卸载

联网卸载

仅适用于联网模式的客户端,操作流程:【baomi登录】->【主机管理】->【主机列表管理】,在主机列表中找到需要卸载的主机,点击主机条目中的“产品视图”,在详情页面,点击“卸载”发起卸载指令。当客户端收到卸载指令后,管理端点数回收。

本地卸载

  1. 登录管理员账号: 在客户端主页的右上角菜单栏,点击“账号登录”,插KEY登录或者输入管理员用户名密码登录。

  2. 注销

联网客户端:必须是在线状态,直接在【基础信息】页面点击“注销”即可。

单机客户端:首先在右上角菜单栏的“授权管理”中使用管理员KEY回收授权,再在【基础信息】页面点击“注销”。

(注意:即使客户端已经注销,但违规外联功能正常,请不要连接互联网。)

托盘右键菜单,点击“终端卸载”,弹出卸载窗口,点击“是”开始卸载。卸载后重启机器,主机策略被清空,网卡及设备不再被管控。

常见问题

  1. 无法连接管理端

联网激活过程和联网注销时,都需要保证与管理端的连接。如果注销和激活时报错,请通过命令“telnet IP地址 8080”判断连接是否正常。

网络不通原因:服务器异常,端口未开放或防火墙未关。

网络能连通,但客户端离线:查看客户端日志,请查看以下位置中的.log日志文件,“/opt/apps/net.zhongfu.kitcommon/itx/log/itxcltserver”。

  1. 终端软件卸载后U盘不能使用

终端软件卸载后,如果发生优盘无法正常使用的现象,可以尝试打开命令窗口,执行命令“sm -authorize -d kitclient”,执行完毕后优盘即可正常使用。

  1. 绑定钥匙后,身份鉴别功能未生效

请确定是否关闭selinux:影响身份鉴别功能。确定关闭后仍是无效请联系售后。

1.输入命令vi /etc/selinux/config打开config文件,

2.将SELINUX=enforcing改为SELINUX=disabled,然后保存退出。

  1. 客户端部分功能异常(仅限麒麟系统)

如果当前为麒麟系统,客户端出现托盘未启动、网络连接异常、文件防护功能失效、进程防护功能失效或设备管控功能失效,请先排查以下配置项是否准确。确定准确后仍有问题请联系售后。

1.使用getstatus命令查看“exectl、netctl、fpro、ppro、devctl”正常配置。

  • exectl off (on时,会导致使用脚本启动的程序无法运行)
  • netctl off (on时,操作系统禁用网络,影响网络连接)
  • fpro on (off时,文件防护功能失效)
  • ppro on (off时,进程防护功能失效)
  • devctl on (off时,设备管控功能失效)
  1. 修改方法

麒麟系统桌面机:

setstatus enable
setstatus -f exectl off -p
setstatus -f netctl off -p
setstatus -f fpro on -p
setstatus -f ppro on -p 
setstatus -f devctl on -p

麒麟系统服务器:

setstatus kysec -s enforcing
setstatus kysec -f exectl -c off
setstatus kysec -f netctl -c off
setstatus kysec -f fpro -c on
setstatus kysec -f ppro -c on
setstatus kysec -f devctl -c on