产品名称

信果终端安全登录系统（国产版）

产品型号

V3.0

技术规范

及

功能参数

1、系统功能

（1）安全登录机制通过后，才能登录系统。

用户登录 Linux 操作系统时，需要“Linux 登录用户名与密码”+ “硬件 USB-KEY”双因子认证统的安全性依赖于硬件 USB-KEY，而不仅仅是 Linux 用户口令，从而更大程度上确保了用户的合法性。

（2）权限控制

系统具有相互独立、相互制约的系统管理员、安全保密管理员、安全审计员三个管理员角色。管理员登录管理端需插入单独的USB-KEY并输入正确的PIN码。

（3）锁定系统

拔下用户 USB-KEY，系统进入强制性屏保状态，终端主机不可被操作，只有再插入该用户 USB-KEY 并输入正确 PIN 码，系统锁定才能被解除，系统锁定状态下，用户的工作环境被完整保存。

（4）锁定 USB-KEY

用户登录计算机时输入的 USB-KEY 码错误次数超过管理员规定的次数后，自动锁定 USB-KEY，被锁定的 USB-KEY 不能正常使用，需要管理员激活后方可正常使用，达到涉密计算机不能随意登录，涉密信息不被泄漏的目的。

（5）日志备份与恢复

对管理员、用户操作产生的日志进行备份与恢复。

（6）程序防止绕过登录

软件禁用安全模式，防止绕过安全登录软件登录系统。

（7）算法复杂性

产品使用了国家规定的算法来进行加密，使得产品的安全性得到了进一步的提高。

技术规范

及

功能参数

2、管理特点

（1）网络版系统架构：管理方式采用B/S，采用HTTPS加密访问方式；客户端采用C/S架构。

（2）管理端支持终端信息查看终端唯一标识码、IP地址、绑定状态、在线状态功能。支持三员KEY、用户绑定、解绑、挂失、恢复功能。

（3）客户端人机交互信息友好，支持显示客户端与服务器网络通信状态，客户端能自动识别计算机产品唯一标识码，网络版可以将唯一标识上报管理平台。

（4）客户端用户注册注销管理，客户端端自动识别系统已有用户账户，可以进行用户注册、注销操作

（5）三员KEY支持以组织机构节点进行授权绑定，支持上级节点三员KEY对下级组织终端进行登录管理,满足不用户场景使用，实现客户终端灵活管理。

（6）单机版能使用控制端三员KEY登录用户端三员账号，用户端不能进行三员绑定，可以对客户端普通用户绑定。

（7）控制端可以对三员用户KEY进行绑定解绑操作，三员用户KEY一一对应，仅能使用绑定的KEY登录三员用户，杜绝未绑定三员KEY交叉使用的隐患。

三员Key可以进行补发操作，进行补发操作后，取消绑定的三员KEY将不能再登录系统三员。

（8）单机版绑定安全管理员KEY后才能进行用户绑定和解绑操作。

（9）安全保密管理员可以对普通KEY进行PIN码解锁操作。

（10）客户端绑定后，需插key登录验证PIN码后才进行登录，KEY拔出后，计算机立即进行锁屏状态，需要再次插KEY验证PIN码登录。

3、安全特点

1.三员管理

系统管理端和客户端分别支持安全保密管理员、系统管理员和安全审计员三权分离管理，在专用机上也支持不同权限下用户使用管理。

2.Key认证

强制用户登录使用硬件USB-Key协同登录，用户登录时需验证登录USB-Key与操作系统绑定信息，确认登录USB-Key状态。

3.Key管理

支持通过安全保密管理员对登录USB-Key进行管理，其中包括修改USB-Key绑定信息，清除key用户信息，USB-Key的PIN 码，解锁USB-Key登录失败次数等操作。

4.登录审计

终端用户绑定后，支持对操作系统用户登录行为进行审计，记录用户登录名、时间、登录失败等信息。

5.用户绑定

通过安全管理员绑定用户后，USB-Key与终端操作系统用户进行绑定，登录时需插USB-Key登录，取代原有账户密码登录，绑定后再登录需插入USB-Key，输入正确PIN码登录。

技术规范

及

功能参数

6.统一认证

终端安装并绑定用户后，软件接管系统登录统接口，完成系统登录与锁屏统一认证操作。

7.安全审计

审计日志集中存储，所有的日志记录都能够被存储在中心日志数据库中，保证日志记录不被非法删除和篡改。

管理端和用户端分别能对终端登录及操作日志进行审计，并在本地进行展示，网络版日志既能在本地展示，也可上报服务器集中展示。

3、安装环境

（1）软件环境

操作系统（中科方德、中标麒麟、银河麒麟）

web应用（java环境jdk组件1.6.0以上tomcat）

（2）硬件环境

内存（4G以上）、硬盘（500G以上）、CPU（龙芯、兆芯、飞腾）