移动存储介质管理解决方案 -详细版

附件电力公司安全移动存储介质管理办法（试行）第一章总则第一条为加强电力公司（以下简称“公司”）安全移动存储介质配发、使用和销毁的全过程管理，确保公司计算机内网信息与外部信息交换过程中的信息安全，依据国家和公司相关规定，制定本办法。

第二条本办法适用于公司系统各单位（以下简称“各单位”）工作人员、借调及聘用人员(以下简称“工作人员”)。

第三条安全移动存储介质是指通过专用注册工具对普通的移动存储介质（主要为移动硬盘、U盘）内数据经过高强度算法加密，并根据安全控制策略的需要进行数据区划分，使其具有较高安全性能的移动存储介质。

欧阳德创编 2021.03.07第四条安全移动存储介质的管理，遵循“统一购置、统一标识、统一备案、跟踪管理”的原则，严格控制发放范围。

第五条公司保密委员会(保密领导小组)对各单位安全移动存储介质的使用负有指导、监督、检查等管理职责。

第六条各单位应当指定专人负责移动存储介质日常管理和运行维护工作。

第七条涉及国家秘密信息的交换、保存、处理按国家有关法律、法规和制度执行。

第二章配发第八条各单位按规定确定配发范围，经审核批准配发和使用安全移动存储介质。

第九条安全移动存储介质由各单位信息管理部门（以下简称管理部门）负责统一购置、配发和管理。

第十条根据工作需要，各单位确定购置安全移动存储介质的数量及类型。

第十一条安全移动存储介质使用前应由管理部门统一标识、策略制定、编号，并登记备案。

第十二条安全移动存储介质的申请、注册、变更、清退应填写《电力公司安全移动存储介质管理业务申请单》（附件1），经使用部门负责人审核后，统欧阳德创编 2021.03.07一由管理部门办理相关手续。

第三章使用第十三条安全移动存储介质应当用于存储工作信息,不得用于其他用途。

涉及公司企业秘密的信息必须存放在保密区，不得使用普通存储介质存储涉及公司企业秘密的信息。

第十四条禁止将安全移动存储介质中涉及公司企业秘密的信息拷贝到外网计算机，禁止在外网计算机上保存、处理涉及公司企业秘密的信息。

新能源有限公司移动存储介质使用管理规定第一章总则第一条为引导新能源有限公司（以下简称公司）各场站正确、合理、有效地使用存储介质，保障信息资料的妥善保存、便于系统故障时快速恢复重建，制定本规定。

第二条本规定所称移动存储介质主要指硬盘、软盘、光盘、Ｕ盘等。

第三条本规定适用于各场站移动存储介质使用管理。

第二章管理要求第四条存储介质由场站统一购置、管理，使用人需经值班负责人同意后填写使用记录簿后使用，使用完成及时归还。

第五条存储介质应指定专人负责，明确管理职责，并采取相应的安全保密措施。

未经许可不得挪作他用，不得带离办公场所。

第六条存储介质维修应尽量在内部修复。

对确有重要数据，而内部又无法修复者，可交有资质的服务商修复，但必须签订保密协议书（见附件1）。

第七条对已损坏的存储介质，不得随意丢弃，应经场站负责人批准后，统一作物理销毁处理，任何个人不得私自处理。

第八条更换设备时必须有安全员和相应管理人员在场，彻底删除存储介质中的涉密信息。

第九条送修存储介质之前，送修单位或部门应做记录介质的类型、型号、序列号、容量，有条件还应记录送修介质的图档材料(如标签内容)。

第十条返回时必须认真核对介质，确认与送修前一致方可接收，并在保密协议上双方签字。

第十一条随机软件、软件拷贝、系统运行过程中备份的历史数据、系统建设和运行过程中形成的所有相关技术文档应移交场站资料管理员进行归档管理。

第十二条存储介质的归档应科学、合理，保证数据完整和有效，便于资料的检索查阅和系统故障时快速恢复。

第十三条存储介质的借阅使用必须办理一定的借阅手续。

对于重要数据的存储介质，不得私自借阅和复制，必须经值班负责人同意。

1第三章检查与考核第十四条因违反本规定而影响电力监控系统正常运行，造成不良后果者，将对直接责任人按相关规定进行考核。

第四章附则第十五条本规定由电力生产部负责起草和修订，经公司总经理办公会审议通过后发布。

第十六条本规定由电力生产部负责解释。

SGCC-USB1.0移动存储介质管理系统管理员手册国网电力信息通信公司2008目录第一章系统概述国家电网公司移动存储介质管理系统SGCC-USB V1.0以下简称SGCC-USB V1.0是根据国网网络应用特点而设计的一套移动存储管理方案,目的在于满足国家电网公司内网移动存储介质日常安全管理;SGCC-USB V1.0综合应用底层驱动、扇区加密、进程守护等多种安全防护技术,磁盘文件底层驱动技术对普通移动存储设备主要USB类型作唯一性标签处理, AES128位高强度算法对磁盘进行数据区划分并作加密处理,标签移动存储介质结合受控客户端主机的安全访问控制策略作匹配授权,确保标签移动存储介质使用的安全性与合法性;SGCC-USB V1.0系统通过集中的注册管理平台对 USB存储设备作严格的设备介质身份认证、数据信息重构、数据加密等一系列安全防护操作,针对办公网内计算机USB存储设备的使用和管理建立了完整的防范解决体系,系统采用C/S和B/S混合式架构,由服务器端和客户端构成;SGCC-USB V1.0客户端主机通过移动存储介质的产品唯一生命特征识别码和硬盘唯一码结合进行识别,当主机数据库和移动存储介质中的认证信息相同时,接受其入网使用；未经注册的移动存储设备将会自动被系统强制卸载,实现单位U盘外出使用需要到单位保密或网络管理员处登记,否则在外部无法打开;SGCC-USB V1.0在解决安全方面的问题,同时还兼顾工作的实际,力求使用的方便、简洁与高效;1-1 系统组成◆系统服务器端：SGCC-USB V1.0系统管理中心,自动发现网络中的终端计算机,并检测终端计算机是否安装系统客户端程序,管理中心内置移动存储管理策略中心和报警中心,提供对网络终端的分组管理设置;SGCC-USB V1.0系统服务器端由4个组件构成： SQL Server管理信息库安装包：环境初始化程序、Web中央管理配置平台安装包：网页管理平台、区域管理器安装包：Region Manage,原区域扫描器已作为模块集成到区域管理器、WinPcap程序;环境初始化程序：SQL Server管理信息库,建立移动存储介质管理系统的初始化数据库;包括：客户端主机设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册未注册机器信息、设备属性变化信息、报警信息等;扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比,根据审计要求在管理平台上报警;Web管理平台：Web中央管理配置平台,本系统的管理配置中心;包括区域管理器、扫描器、注册客户端的功能参数设定,网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作;Region Manage：区域管理器,系统数据处理中心;与管理信息数据库通讯,接收注册程序提供的用户信息,将用户信息用户填写的物理信息和系统自动采集的硬件信息并行存入数据库；接受来自控制台的命令操作,发送到客户端、扫描器执行;对于存在多级管理要求的广域网,网络中可以存在多个区域管理器,系统数据提供逐级上报转发模式;区域管理器内置网络扫描器,扫描器将设备最新状态信息报送至区域管理器;扫描器配合区域管理器进行工作,可以在分级模式下使用,扫描器只依据Web管理平台中配置的工作范围进行扫描,超越其范围,将不负责执行;WinPcap程序：嗅探驱动软件,配合区域管理器工作;◆专用认证工具：SGCC-USB V1.0移动存储设备认证程序,用于管理员对网络中移动存储介质进行集中注册和授权管理,对普通移动存储设备加载认证标签,同时划分数据区交换区、保密区、启动区,将使用人、使用人部门、设备编号等信息写入移动存储设备,完成普通移动存储设备到专用移动存储设备安全U盘、安全移动硬盘的技术处理;专用认证工具还用于专用专用移动存储设备密码遗忘后的密码还原操作;认证工具程序可以在网管员主机上或任意主机,但必须由管理员控制使用,使用时必须能够同系统服务器连接,方可对移动存储设备进行认证管理工作;◆系统客户端注册程序Agent：安装在终端计算机,接受系统管理中心分发的策略,根据接受策略实时监控接入终端计算机移动存储设备的操作行为和状态,并进行管理或者控制;系统客户端注册程序Agent作用：用户填写本机信息,填写必要信息后上报区域管理器;注册程序自动探测系统硬件信息,连同用户填写的信息一同上报区域管理器;用户将本机注册信息发送到区域管理器后,区域管理器自动将客户端驻留程序应用策略发送给用户,并自动更新;客户端驻留程序功能：1、进行本机IP/MAC、资产等信息采集；2、本机移动存储设备使用状况监测；3、接受Web管理平台的管理策略命令,并执行；4、报送本机移动存储设备审计信息到控制台；5、阻断本机联网行为;注：区域管理器Region Manage、区域扫描器模块Region scan、注册程序系统的参数配置集中体现在网页管理平台操作上,上述三部分功能参数值统一在网页管理平台中进行配置;区域管理器Region Manage、扫描器模块Regionscan部分参数在自身组件中配置;1-2 系统构架移动存储介质管理系统SGCC-USB V1.0应用于局域网、广域网构架,支持跨网段、跨地域的内网客户端移动存储设备介质的管理和审计,系统应用主要分为以下两种构架：基本构架：对于一般网络例如1个C类地址或若干个C类地址的局域网范围,可使用一套本系统软件,集中管理所属区域内的所有设备;扩展构架：对于大规模的多个局域网或者跨地域广域网包括基于国家、省、市、县等多级管理模式的网络结构,可使用本系统提供的多区域集中管理构架,即一个或多个网段各拥有一套独立移动存储介质管理系统的同时,将本级所有设备信息再转发给上级管理数据库,使得上一级管理人员对整个网络的移动存储设备使用状况也能够完全掌握;移动存储介质管理系统SGCC-USB V1.0应用拓扑第二章系统安装2-1 安装环境要求条件一：硬件环境SQL Server数据库服务器：用于安装SGCC-USB V1.0系统管理信息数据库;PC 服务器或更高档服务器, PentiumⅣ 2.4C 以上CPU,512M以上内存;区域管理器：用于安装区域管理器程序;百兆或千兆网卡,PC服务器或更高档服务器, PentiumⅣ 2.4C 以上CPU,512M以上内存;扫描器模块：配置同区域管理器;如单独安装扫描器模块,比较高档的PC计算机即可;本系统各程序可安装在同一台计算机上,也可在不同机器上安装SQL数据库、IIS服务器、区域管理器、扫描器模块等,此时推荐该计算机内存为1G以上;建议将区域管理器、扫描器、网页管理平台安装在同一台机器上,作为管理服务器;条件二：提供数据库、IIS服务操作系统：Windows 2000或Windows 2003企业版操作系统;SQL Server2000软件：配备SQL Server数据库系统,用于移动存储介质管理系统建立管理信息库数据库列表项;IIS服务：配备IIS服务器提供Web服务,用于安装Web网页管理配置平台;如所装操作系统为Windows 2003企业版,则需要按照安装光盘中的Windows 2003的IIS配置说明进行IIS配置;条件三：为本系统提供相应端口移动存储介质管理系统SGCC-USB V1.0区域管理器将占用操作系统88端口,必须确保安装区域管理器的机器该端口不被占用;区域内的防火墙应打开如下端口：80,88, 161,137,22105,2388,2399以及ICMP协议端口,同时本机不启用DNS 服务;2-2 安装注意事项软件安装时,推荐将区域管理器、扫描器、数据库安装在同一台机器上以下称为管理服务器,建议按照下面要求进行移动存储介质管理系统服务器部署、软件安装、客户端注册;2-2-1 服务器部署1、移动存储介质管理系统服务器在网络中位置⏹确保该服务器能够ping通所有被管理网络中任意一台客户端机器,同时被管理客户端可以正常连接服务器的TCP的80,88两个端口;不⏹服务器给客户端下达策略的端口为：TCP端口22105;⏹服务器扫描发现客户端利用以下协议及端口：⏹ICMP协议发现IP地址存在的其中一种方式；◆NETBIOS协议,UDP端口137为了发现机器名和MAC地址；◆SNMP协议,TCP端口161为了发现智能设备如路由器、交换机等；⏹在本地网络中若划分了VLAN,或本地网络存在防火墙,请注意上述问题;2、存在网中子网如经过地址转换的网络布置点对于网络中存在网中网现象,如采用NAT地址转化或者代理方式在10.. . 网络中接入192.. . 网段,这些子网用户的管理方式如下：情况一：子网有专人管理,并且有独立机房,则应在该子网中安装一套完整的移动存储介质管理系统;情况二：子网无专人管理,或无独立机房,可采用以下3种方式之一处理1)机器数量少的建议统一更改IP为10.. . 网段;2)由管理员监督子网中所有机器进行注册并保证不得遗漏;3)在该网络中指定一台工作站专门安装区域管理器软件和区域扫描模块,并将区域管理器配置中SQL服务器地址指向服务器;2-2-2 安装和应用1、必须按照软件安装步骤进行安装1确认本机IIS服务正常；2确认本机SQL已正常安装并能正常使用以本地系统账户方式安装；3确认目标安装盘剩余空间不小于10G；4请务必按照指定顺序安装各个模块；5请在区域扫描模块所在计算机中安装SNMP服务；6安装完所有系统模块后,请一定按照说明文档进行客户端程序的配置及分发安装;2、移动存储介质管理系统服务器的安全性问题服务器安装Windows2000 Server操作系统带IIS、MS SQL Server2000数据库后,一定要确保对Windows2000、SQL和IE进行重要安全补丁修补,规范操作系统、数据库的口令和密码设置,保证SQL、IIS的正常启动运行;确保本服务器无病毒,同时可配置本服务器网络通讯端口仅打开：80,88,22105;3、保护机制的应用对大多数交换机、路由器、非Windows设备,需要将其设置为保护状态避免被阻断导致网络不通,其它如有系统无法识别的重要设备,请在网页管理平台设备信息查询中手动将其设置为保护状态;2-3 系统组件安装SGCC-USB V1.0安装顺序依次为：安装 SQL Server数据库；安装WinPcap驱动程序；安装并运行环境初始化程序,初始化数据库；安装网页平台并进行划分区域,配置区域IP范围、区域管理器参数、设备扫描器参数等推荐安装在默认路径下；安装区域管理器推荐安装在默认路径下；通知所有用户下载并运行注册客户端代理探头程序;2-3-1 安装SQL server数据库略,见附录一;2-3-2 安装WinPcap驱动模块在安装页面中选择“安装WinPcap驱动模块”按钮,单击“下一步”安装在区域管理器所在计算机上;2-3-3 初始化数据库初始化数据库是在SQL数据库中初始化建立VRVEIS数据库并生成系统必需的相关数据表格,在此过程中需要利用本地数据或者调用远程SQL数据库,用户需要根据实际安装情况按以下两种方式进行操作：本地SQL数据库服务器环境初始化1、环境初始化,建立初始数据库在SQL服务器地址栏中添加本地机器IP地址、SQL用户名、及SQL用户密码;SQL数据库服务器环境初始化根据数据库认证方式,选择windows身份认证或者sql身份认证建议选用后者;2、检查数据库初始化是否成功：检查数据库初始化当有如图“初始化数据库结构成功”提示框弹出时,说明已成功创建初始化数据库;否则会出现如下图所示提示信息：初始化数据库失败提示信息如果出现如上图所示提示信息,用户需要检查所填入的SQL数据库IP地址、用户名以及用户密码,重新初始化数据库;⏹远程SQL数据库服务器环境初始化建议非特殊情况不采用远程方式1、输入远程数据库信息,配置SQL客户端：安装远程数据库需要首先输入远程数据库IP地址、用户名称、用户密码,然后点击“配置SQL客户端”,出现如下界面：配置SQL客户端2、在通用栏中,启用TCP/IP协议：在通用栏中,选用TCP/IP协议,并启用,然后单击别名,进行别名添加设置;启用所选协议3、进行客户端别名的添加:单击上图中所圈中的别名,出现如下所示：对客户端别名的添加4、进行网络协议的选择和服务器别名的添加：此时用户需要首先选择网络协议,选定为TCP/IP,服务器别名根据用户需要自由添加,点击确定后完成数据库初始化;2-3-4 安装Web中央管理平台⏹安装Web管理平台此部分程序要求安装在默认路径下,安装过程中请确保信息填写正确,否则,Web服务器可能不能正确访问SQL Server数据库;⏹Web中央管理平台访问Web管理平台安装以后在IIS目录上以虚拟目录的形式存在,虚拟目录名称为VRVEIS,用户在安装完成以后,用http://Web服务器域名IP/VRVEIS的形式访问Web管理平台主页面;默认用户名为admin,密码为123456;以下的都是用admin登陆进行说明的审计用户名为audit,默认密码为123456;如果http://Web服务器域名IP/VRVEIS访问无效,则以http://Web服务器域名IP/VRVEIS/INDEX.ASP方式登录;2-3-5 安装区域管理器Region Manage在Web中央管理平台中划分区域及指定区域管理器后参见Web中央管理平台配置安装区域管理器组件;安装后进行以下两项配置：⏹SQL客户端配置如果“区域管理器”没有同SQL装在同一台服务器上,需要在如下图所示窗口中将默认网络库选择为“TCP/IP”,使客户端能够远程访问数据库;在“区域管理器”中选择“配置”->“系统配置”,配置SQL客户端,也可以通过Alt+S热键,进入配置;SQL常规配置上述配置完毕以后,需要重新启动“区域管理器”,使系统生效;⏹区域管理器系统配置SQL服务器配置：进入“系统配置”,逐步输入SQL服务器IP地址、用户名称及密码、数据库名称默认为VRVEIS,单击“确定”完成SQL服务器配置;区域管理器中SQL配置2-3-6 配置设备扫描器模块Region scan在配置好Web防护系统区域及其区域管理器后做以下步骤：在配置管理里,点击“扫描器配置”可以添加扫描器,配置扫描范围;区域扫描器配置填写相关信息之后重新启动区域管理器,程序会自动缩小到系统托盘,表示数据库连接成功,程序运行正常,此时通过上图中“扫描器配置”项来查看扫描器相关运行信息;2-3-7 客户端注册一客户端注册流程及注册程序配置⏹客户端注册流程执行注册程序,根据要求填入指定信息,系统自动将所添加信息和系统自动采集获得的设备信息发送到区域管理器,由区域管理器将注册信息处理后存储到SQL数据库,在Web管理平台中设置的客户端参数策略将由区域扫描器扫描客户端后,发送给客户端驻留程序保存执行;该客户端驻留程序驻留在系统内部,以服务和进程的方式实时运行,一旦非法移动存储设备非法接入注册计算机,客户端驻留程序立即向web管理平台发送报警数据,同时本机将显示报警信息;⏹修改客户端注册程序配置文件在web平台中配置管理->注册程序配置;注册程序使用前需要网管人员的配置,主要是设置区域管理器IP地址注册时客户端信息发向该IP地址所在的区域管理器,如区域管理器为10.1.32.249,配置如下图所示：注册程序配置在这里,可以对注册时需要填加的单位、注册密码进行编辑;如下图所示:单位和部门添加删除二客户端注册方法客户端注册方法包括网页静态注册、网页动态注册、手动注册、网关重定向强制注册等;网页静态注册：静态注册比较简单,客户端只需要将配置好的注册文件上传到公共主页上即可,做一个链接,访问主页后手动下载注册;主要讲述动态注册,这种方法适用于网络用户较多的情况,客户端只要访问网络内公共网站,网页将自动对客户端进行探测,弹出提示窗口,提示用户进行注册;网页动态注册：利用网络中已经构建好的内部网站,一方面网络客户端可以通过手动获得注册程序,也可以通过在主网页上加载弹出页面的方式进行提示性注册;本手册将主要介绍后一种方式;当网络中客户端计算机访问本网络内部网站时,在该主页代码中加入一段代码如下;本代码作用在于首先获得该客户端计算机的IP地址,再读取数据库里面相关IP地址的注册和其它相关信息,如果该IP地址的设备存在,系统会根据其是否完成“注册”、“信任”、“保护”三项操作进行判断,只要满足其中任意一条件,都不会提示注册,否则会弹出窗口提示注册;网页加载弹出程序方法如下：编辑已有主页的源程序,在需要加载弹出窗口主页的源代码<body>中放入以下代码：<iframe src="http://192.168.0. 253/vrveis/quest.asp"frameborder="0" style="width:0px;height:0px"></iframe>注意：需要将其中的http:// 192.168.0.253/vrveis/quest.asp换成http:// 网页平台计算机IP/vrveis/quest.asp即可,此时当网络中计算机访问该内部主页时,会自动弹出如下提示页面：网页动态注册使用网页动态注册时,请管理员通知注册人,在访问本网站时,暂时关闭网页弹出拦截程序或将本网站添加到不拦截列表中;手动注册：除了自动注册设备外,遇到需要手工注册新增设备时,也可通过WEB管理平台中数据查询,设备信息查询中的手动添加设备功能,将新增设备的具体信息详细登记填写至数据库中,并将其置为保护设备;注意：1.多级级联注册：如果系统为多级级联方式,必须在区域管理器的高级配置中的“系统配置”、“策略配置”选项中的级联选项选中,并正确添加上级管理器的IP地址,各级区域会将自己所管辖的区域管理IP段上报到上级数据库中存储;此时,当网络中任意一台下级区域客户端计算机访问主网站的同时,会根据最上级区域数据库中存储的各级上报IP段信息,自动将该客户端注册程序文件下载路径指向为自己所处IP段的本级区域注册器上,做到各个区域的客户端计算机在访问同一网站进行注册程序下载时,所下载的客户端程序均为自己所在区域的专用注册程序;如果网络中内部网站,网络管理员可以通知网络内计算机在本系统Web管理平台的登录页面中点击下载注册程序完成系统注册,或者在此页面下按上面的步骤做好弹出提示窗口方式注册;注册程序界面如下：客户端注册信息无论采取哪种方式,在注册成功以后,注册程序除了将主动添加的信息自动上报以外,还会自动收集其它和系统相关的信息进行上报;客户端和区域管理器连接通讯不正常的情况下,将提示用户“缺省注册成功”,表示客户端探头已经注册完毕,但还没有与区域管理器通讯;当区域扫描器扫到该计算机的IP地址时,才会将添加的信息及系统采集信息上报到区域管理器,存储在数据库当中;2．本系统使用初期,若要求对下属网络中的计算机信息进行统计、注册、入库,必须在Web管理平台中管理器设置项内选中“允许客户端注册”,如注册时需要密码,也需要在WEB管理平台中进行设置,如下图所示：允许客户端注册第三章系统组件配置3-1-1 区域划分在网页平台安装完毕之后,访问http://Web服务器域名IP/VRVEIS访问WEB 管理平台登录界面;如下所示：Web管理登录界面系统默认用户为admin,密码为123456,登录后建议管理员修改管理员密码;成功登录后,进入系统的主界面;在所处的IP地址段内,进行区域划分操作首先进行区域添加和划分操作;区域划分：单击配置管理里的“区域划分与配置”,对网络中的客户端进行区域划分管理,按照提示依次添加区域、增加区域IP管理范围、分配区域管理器、,并完成系统组件运行参数配置;具体步骤：区域描述配置栏中填写好一些必要的与区域相关的信息,如区域机构代码、区域名称、负责人姓名等;其他信息可以酌情依照实际用途填写;本区域IP划分：根据用户实际需要在下图所示的文本框中填入需要管辖的IP地址;其中保留IP段为该网段目前没有网络设备存在的网段,如有设备存在,则会产生报警信息;区域划分与配置下级区域划分：在已有区域页面中点击“增加下级区域”按钮进行下级区域添加,如集团总部下属总裁办、行政部、财务部等;3-1-2 区域管理器配置区域管理器：区域管理器为系统策略控制及数据接收处理中心,具有控制完成系统相关的动作行为处理功能；同时与本级数据库系统连接,统一接收注册程序提供的信息,将用户信息填写的计算机使用人姓名、联系电话、E-mail等,计算机IP、MAC地址、硬盘、CPU、内存等其它硬件信息均为自动采集存入数据库;根据本区域客户端IP管理情况确定对IP地址的管理方式,若选择IP、MAC 地址绑定,需要在静态IP环境下进行设置;允许客户端控头升级：设置本区域管理器管理范围内的客户端的升级操作;设置vpn网络虚拟管理器IP：添加VPN虚拟服务器的IP地址;管理器标识：管理器的标记,当服务器迁移时需要设置与之相同的管理器标识;允许客户端注册：任意一台在区域范围内的客户端都可以在服务器上注册;管理器配置同步：当选中“下级区域”时下级区域的配置应该和上级区域管理器的配置相同,当选中“全部区域”时是指下面的任意级联区域都要和区域管理器的配置同步;区域管理器参数设置区域管理器系统配置：设置完当前页面时可以配置管理器,在桌面双击“区域管理器”快捷方式弹出如下界面：区域管理器系统配置进行SQL服务器配置：进入“系统配置”,逐步输入SQL服务器IP地址、用户名称及密码、数据库名称默认为VRVEIS,单击“确定”完成SQL服务器配置;SQL服务器配置管理器配置：本软件默认机器操作系统88端口,若其它应用程序占用该端口,将自动更改为188;如果区域管理器应用于多级管理每级都有独立的SQL server和相应的系统的级联构架体系,其上级还有区域管理器的情况下,当前区域管理器需要将所有信息上报到上级管理器;区域管理器支持多级级联,如国家、省、市、县多级规模网络管理构架,下属区域管理器将其所有计算机报警信息转报到上级数据库;注：需要把“上报给上级管理器”√上,输入上级管理器地址;升级配置：用于配置区域管理器的自动升级,升级服务器地址为上级区域管理器IP;区域管理器配置-高级设置系统配置：锁定下级策略是指下级不能够更改策略信息;上报给上级区域管理器是指下级的策略,阻断,违规信息上报给上级区域管。

涉密和非涉密移动存储介质管理制度1. 背景随着大量移动存储设备的使用，如U盘、移动硬盘、SD卡等，大量涉密和非涉密的数据被存储在这些设备中。

同时，这些设备的便携性也增加了数据泄露和灾难恢复的风险。

因此，涉密和非涉密移动存储介质管理制度的建立和实施成为必要。

2. 目的该制度的目的是规范和管理涉密和非涉密移动存储介质，有效保障数据安全，并防范数据泄露和灾难恢复风险。

3. 内容3.1 划分级别所有的移动存储介质根据其存储的数据涉密等级分为涉密和非涉密两个级别。

涉密级别分为秘密和机密等级。

3.2 管理措施3.2.1 借用流程所有使用移动存储介质的人员必须经过授权并按照规定的借用流程进行操作。

在借用流程中，应当涵盖以下几个环节：•申请流程：在需要使用移动存储介质时，必须在系统中确认身份并提交申请。

申请审批需要获得授权单位的同意。

•验证流程：在获取移动存储介质之前，必须进行身份验证和设备检查。

仅在验证无误后才允许使用。

•使用流程：移动存储介质的使用和传输必须遵循管理制度和信息安全标准，不得将其用于泄露和传播敏感数据。

3.2.2 入库管理所有移动存储介质必须进行入库管理，并如实记录设备信息、责任人和使用情况，至少包括以下内容：•移动存储介质名称•存储容量•制造商和型号•使用人员及责任人信息•入库日期和状态•使用状态和记录此外，本系統将使用錯誤計数器來防止對恢復密鑰的機械攻擊。

3.2.3 使用控制所有移动存储介质都必须使用电脑防盗锁进行疏散，并不能随意带外出。

3.2.4 传输和备份移动存储介质在传输和备份过程中，必须采取加密和验证等安全措施，以确保数据安全。

3.3 风险管理3.3.1 风险评估针对涉密和非涉密移动存储介质的管理，必须开展风险评估，评估隐患和漏洞。

在评估的基础上，制定详细的风险管理方案。

3.3.2 安全通报在管理过程中，应当建立完善的安全通报机制，及时向管理和使用人员通报和解决发生的安全事件和问题。

移动存储介质管理制度1. 引言为了有效管理企业的移动存储介质，确保数据的安全性和机密性，提高信息管理的效率和准确性，特订立本规章制度。

2. 适用范围本规章制度适用于全部企业职能部门涉及使用、管理和归还移动存储介质的工作人员。

3. 定义•移动存储介质：包含但不限于U盘、移动硬盘、光盘等可用于存储和传输数据的物理设备。

•责任人：指被指派为移动存储介质管理的工作人员。

4. 管理标准4.1. 移动存储介质的使用4.1.1. 全部使用移动存储介质的工作人员必需在规定的系统账号中注册，并获得授权。

4.1.2. 移动存储介质仅限于存储和传输工作相关的文件和数据。

4.1.3. 禁止将从非官方或不行靠来源获得的软件或数据存储到移动存储介质中，并禁止通过移动存储介质传输此类软件或数据。

4.1.4. 禁止使用移动存储介质存储和传输涉及国家机密、商业机密或个人隐私信息的文件和数据。

4.2. 移动存储介质的保管4.2.1. 移动存储介质需由责任人进行登记管理，并将相关信息录入企业存储介质管理系统。

4.2.2. 移动存储介质需进行分类和标记，标记应包含责任人姓名、存储介质所属部门、存储介质用途和存储介质领用日期等信息。

4.2.3. 在办公时间结束前，责任人必需将未使用的存储介质安全存放在指定的存储柜或抽屉中，并保证存储介质处于关闭状态。

4.2.4. 禁止私自将存储介质外借或随身携带离开企业办公场合，除非经过书面授权并备案。

4.2.5. 涉及商业机密或个人隐私信息的存储介质需进行加密，并存放在加锁的保险柜或保险箱中。

4.3. 移动存储介质的维护4.3.1. 责任人应定期检查存储介质的完整性和功能性，并及时更换有损坏或失效的存储介质。

4.3.2. 责任人应定期清理存储介质中无用或过时的文件和数据，确保管储介质的有效使用空间。

4.3.3. 在不使用存储介质时，责任人应将存储介质与电脑或其他设备正常断开连接，并保持存储介质的干燥和无尘环境。

公司移动存储介质保密管理制度1. 前言随着信息化的不断发展，各种存储介质不断涌现，移动存储介质作为高效的移动数据处理工具，被越来越多的企业广泛应用。

但同时，移动存储介质也带来了数据泄漏、安全风险等问题。

为了加强公司的信息安全管理，规范移动存储介质的使用，特制定本管理制度。

2. 适用范围和对象本制度适用于公司所有的移动存储介质的管理和使用，包含但不限于U盘、移动硬盘、SD卡等。

本制度的适用对象为公司全体员工。

3. 基本原则•移动存储介质的使用需要遵循最小化原则，即只有必须保存在移动存储介质中的文件才可以被存储。

•移动存储介质必须根据不同级别的机密性进行分类和处理，并按照不同的级别进行存储和管理。

•移动存储介质的使用需遵循信息安全管理规定，确保存储文件的完整性、可靠性和可读性。

•移动存储介质必须采用加密技术进行保护，确保数据的安全性和可防篡改性。

4. 移动存储介质分类根据不同的数据机密性要求，将移动存储介质分为三个级别：•非密级：不涉及公司机密或敏感信息的文件，可存储在一般存储介质中，无需进行特殊保护。

•一般机密级：涉及公司重要机密或敏感信息，需要采用加密等措施对数据进行保护，仅在经过授权的情况下进行利用。

•特别机密级：涉及公司高度机密或敏感信息，必须进行严格的加密保护，并经过需要权限的人员授权方可进行使用。

5. 移动存储介质管理5.1 采购所有的移动存储介质的采购需经过公司采购部门，采购申请中需注明存储介质的级别、数量、规格型号、用途和经费来源等信息。

在采购过程中，应优选可信赖的厂家和品牌，保证其质量和安全性。

5.2 发放移动存储介质的发放须经过授权的人员，符合公司信息安全管理规定的员工可经过身份认证后领取，领取时需要填写用途、存储介质的编号、级别等相关信息，并签署保密协议。

同时，相关授权部门需确定合适的加密算法和密码，并加密存储介质，确保数据的安全性。

5.3 使用在使用过程中，严格遵守机密文件的存储、传递和处理的规定。

移动存储介质管理制度范文第一章总则第一条为规范和管理公司内部移动存储介质的使用，保障公司信息的安全，促进工作效率，特制定本规定。

第二条移动存储介质包括但不限于：U盘、移动硬盘、光盘等。

第三条全公司员工都应遵守本制度。

第四条公司IT部门负责本制度的执行和监督。

第五条本制度的解释权归公司所有。

第六条本制度自发布之日起执行。

第二章移动存储介质的使用规定第七条移动存储介质仅供员工在工作中使用，禁止私人使用。

第八条员工在使用移动存储介质时应确保其安全，防止丢失、损坏或被盗等情况的发生。

第九条移动存储介质只能存放公司工作相关的文件和数据，不得存储任何违反法律法规的内容。

第十条员工不得删除、修改或复制他人移动存储介质内的文件和数据，未经许可不得向外部人员提供移动存储介质中的文件和数据。

第十一条在公司内部传输文件和数据时，应使用公司内部网络，不得使用移动存储介质。

第十二条移动存储介质不得连接未经公司批准的设备，如个人电脑、打印机等。

第十三条移动存储介质不得插入公司外部的机器，如外部电脑、复印机等。

第三章移动存储介质的保管和管理第十四条移动存储介质应当单独标注使用者姓名，并妥善保管，离开工作岗位时应随身携带或归还给负责人。

第十五条移动存储介质应放在指定的存放位置，且定期进行清点，确保不丢失。

第十六条对于发现遗失、损坏或被盗的移动存储介质，应立即向负责人或IT部门报告。

第十七条出差、休假等离开工作岗位期间，应交还移动存储介质或上交给负责人。

第十八条离职或调岗时，应交还所有移动存储介质，确认无遗漏后方可离职或调岗。

第四章违规行为处罚第十九条对于违反本制度的行为，应根据实际情况，进行相应的处罚，并记入个人档案。

第二十条轻微违规行为，如未随身携带移动存储介质，超期未还等，一般情况下口头警告或书面警告。

第二十一条较严重违规行为，如私自拷贝文件、外传公司机密信息等，一般情况下停职检查并接受相应处罚。

第二十二条严重违规行为，如删除或篡改他人文件，泄露公司重要信息等，一般情况下停职检查、罚款、降级或开除等。

预付费卡系统移动存储介质管理制度目录第一条 (4)第二条 (4)第三条 (4)第四条 (4)第五条 (5)第六条 (5)移动存储介质管理制度为进一步加强我公司保密移动存储介质的管理，确保公司秘密安全，根据《中华人民共和国保守国家秘密法》等法律法规，结合我公司实际情况，制定本管理制度。

本制度所称移动存储介质，是指用于存储国家、企业秘密信息的硬盘、软盘、U盘、光盘、磁带、存储卡等存储介质。

第一条本单位移动存储设备要进行编号，不得借于他人使用，若需借于他人的，必须征得单位领导同意，并进行借还时间、借用人、审批人等详细登记。

第二条新购计算机、移动存储等设备，要先进行保密标识和登记，再发放使用。

第三条涉密移动存储介质不得在高于其标识密级的涉密设备上使用；禁止在非涉密设备上使用。

第四条使用光盘备份的保密数据要登记编号，分类存放。

数据备份：每天进行数据备份，刻录到光盘上。

数据恢复：定期（一个月）实施数据恢复测试，检测光盘备份数据是否可用。

第五条非本单位的移动存储设备一律不得和涉密计算机连接。

第六条单位的涉密移动存储设备处理办法如下：移动储存介质按涉密级别可以份为机密级、秘密级等。

机密级、秘密级信息应存储在对应密级的移动存储介质内，其中高密级的移动存储介质可存储低密级信息。

涉密移动存储介质只能在本单位涉密计算机和涉密信息系统内使用，高密级的存储介质不得在低等密级系统中使用；严禁在与互联网连接的计算机和个人计算机上使用；严禁借给外单位使用。

涉密移动存储介质在单位内部部门之间相互借用或复制时，秘密级的由涉密移动存储介质管理部门主要负责人批准，机密级的须经单位主管领导批准，对借用或复制介质的密级、编号和使用的内容要履行严格的登记手续。

涉密移动存储介质只能在本单位办公场所使用，确因工作需要带出办公场所的，秘密级的经本部门主管领导批准，机密级的须经本单位主管领导批准，并履行相关手续和采取严格的保密措施。

机关工作人员严禁将个人具有存储功能的电磁存储介质和电子设备带入核心和重要涉密场所。