简明测试手册V241环境准备

北京明朝万达科技有限公司快速测试手册V2.4(3)Chinasec可信网络保密系统(VCN)简明测试手册V2.4（3）可信网络保密系统(VCN)1.环境准备PC3台其中：1台安装服务器和控制台，简称Host-S(erver)，另2台安装客户端,简称Host-C1和Host-C2。Windows2000\XP\2003操作系统。40G以上硬盘。Host-S至少两个空闲的USB端口，关闭所有的防火墙。当控制台能连接服务器时，使用管理员令牌登录控制台，以下所有的测试过程都在控制台端执行，实现策略下发。每次更改策略完毕需要在控制台根节点上右键，选择“应用全部系统数据”。¾策略下发步骤（举例）:右键点击某策略规则Æ新增策略Æ连续2次点击”下一步”Æ默认选择”计算机组跟节点”或者是选择客户端计算机Æ”下一步”Æ完成(策略下发完成)最后策略生效:在”综合控制台”右键选择”应用全部数据系统”Æ确定,点击”是”北京明朝万达科技有限公司快速测试手册V2.4(3)Chinasec可信网络保密系统(VCN)¾若以下功能策略下发后发现策略是冲突的，则按默认策略处理(除特殊说明外)；2.网络管理控制网络管理功能主要是针对数据的网络访问范围进行控制，并可对网络通道进行加密。2.1.划分安全域和网络访问控制本功能是逻辑划分内网所有终端成多个虚拟安全域，设置不同域间的访问信任关系。2.1.1.安全域的划分和设置在“虚拟安全域设置”上点击鼠标右键，选择“新建规则”，重新命名规则为“vcn1”如此操作,再建立个命名为“vcn2”，如图1-1：图1-1在计算机组跟节点下,找到计算机1和计算机2两个客户端机器,分别把VCN1和VCN2两个域策略对应下发到计算机1和计算机2两个机器上,如图1-2图1-2操作方法:北京明朝万达科技有限公司快速测试手册V2.4(3)Chinasec可信网络保密系统(VCN)1)右键点击”计算机1”,在’计算机1”上新增策略VCN1,如图:1-3图1-3(同理:将“计算机2”划分到VCN2中)2)策略下发后,如图:1-4图1-43)策略下发完毕,在综合控制台右键”应用系统全部数据”,如图:1-5图1-5这样,计算机1和计算机2就已经分别划分到安全域VCN1和VCN2中;域间信任关系设置:北京明朝万达科技有限公司快速测试手册V2.4(3)Chinasec可信网络保密系统(VCN)1)在新建的VCN1域节点上点击鼠标右键选择“属性”，在属性对话框中选择“高级属性”页，则出现图1-6所示的对话框。图1-6在“高级属性”页中可进行安全域的“信任域”、“非信任域”的设置。2)设置域间的信任关系：选中“非信任域列表”中的需要设置信任关系的域，点击对话框中间的“”左移按钮，目标域将会出现在“信任域列表”中，点击“确定”按钮，完成设置。如图1-7：图1-7由信任到非信任关系的设置：在“信任域列表”中要取消信任关系的域，点击“”右移按钮，目标域将会出现在“非信任域列表”中，点击“确定”完成。如图1-8：北京明朝万达科技有限公司快速测试手册V2.4(3)Chinasec可信网络保密系统(VCN)图1-8—注意：a)各域之间的信任关系，只需在其中一个域的高级属性中进行设置即可，其它域按当前操作自动划分。b)转发网关、“外部网络”、“开放服务器地址”和“安全代理服务器设置”等的定义请参看《用户手册-Chinasec可信系统基础平台》系统网络设置对应章节。2.1.2.网络数据控制控制客户端网络数据的使用。网络数据控制分为“在线”和“离线”，策略制定下发两者完全相同，注：（在线：客户端能连通服务器；离线：客户端不能连通服务器）。操作方法:设置如图1-9所示。本功能默认存在三条规则：不控制、加密控制、仅控制，系统缺省值是不控制。图1-9北京明朝万达科技有限公司快速测试手册V2.4(3)Chinasec可信网络保密系统(VCN)不控制：禁用对网络数据的控制功能，对客户端网络数据不进行控制,跟平常一样。加密控制：开启对网络数据的控制功能，对网络数据进行加密，需要用转发网关来进行解密数据。仅控制：控制各域间/外的数据不能互通，但是数据不做加密处理。2.1.3.测试效果1)分别对”计算机1”和”计算机2”(也就是域VCN1和VCN2)域下发仅控制策略，但是不设定信任关系，这样”计算机1”和”计算机2”之间不能通讯(即:VCN1和VCN2域之间的计算机不能通讯)；策略下发如图1-10,分别在计算机1和计算机2上右键新增策略,下发网络数据控制模式中的仅控制策略，应用策略；图1-102)分别对计算机1和计算机2(也就是域VCN1和VCN2)下发仅控制策略，设定两域的信任关系，这样”计算机1”和”计算机2”之间能通讯(即:VCN1和VCN2域之间的计算机能通讯)；—注：VCN1和VCN2间如果用加密控制下发，实现效果和下发仅控制相同，只不过数据传输时是加密的;3.存储控制客户端存储控制功能包括“移动设备缺省模式”、“本地磁盘加密方式”、“移动存储设备使用规则”等功能。北京明朝万达科技有限公司快速测试手册V2.4(3)Chinasec可信网络保密系统(VCN)3.1.本地磁盘加密方式本功能设置指定客户端计算机上的本地磁盘（非系统盘和非启动盘）在写入数据时，是否进行数据加密。加密后的磁盘不能在其他计算机系统中使用。3.1.1.规则与策略说明本功能默认存在三条规则：禁用加密、启用加密、强制加密，系统缺省值是禁用加密，如图1-11所示。策略的应用条件可以指定为计算机或者计算机组，与用户无关。图1-11规则说明：启用加密或强制启用加密：客户端计算机可以手动设置加密磁盘。磁盘加密格式转换之前，本地磁盘仍然可以正常使用；磁盘格式转换后，本地磁盘只能在当前的操作系统下可用，在其他系统下不可用。禁用加密：取消本地磁盘加密功能。可以将加密过的磁盘加密格式转换为正常格式，格式转换后的磁盘可以正常使用。客户端磁盘加密转换设置1)加密磁盘设置（快速加密磁盘）在盘符上点击鼠标右键，选择“快速加密磁盘”进行磁盘格式的转换，如图1-12所示。磁盘格式转换后，该分区中关键位置的数据都被加密。加密的数据在有客户端的情况下，会被自动透明解密。只有把该磁盘挂接到没有装客户端的机器上或者进入另外操作系统下，才会发现磁盘上的数据被加密了。北京明朝万达科技有限公司快速测试手册V2.4(3)Chinasec可信网络保密系统(VCN)图1-12a)FAT32格式磁盘对于FAT32格式磁盘，需要手动进行分区转换，单击“确定”，出现分区转换界面，点击“开始”后进行转换，如图1-13所示：图1-13b)NTFS格式磁盘对于NTFS格式磁盘，直接转换成功。如图1-14所示：图1-14北京明朝万达科技有限公司快速测试手册V2.4(3)Chinasec可信网络保密系统(VCN)2)解密磁盘设置——快速解密磁盘（针对“快速加密磁盘”进行解密）在磁盘上点击鼠标右键，选择“快速解密磁盘”，将加密磁盘格式转换成正常格式，转化成功后可以正常使用，在加密状态下的文件也可被正常解密出来。操作如图1-17所示：图1-17a)FAT32格式磁盘对于FAT32格式磁盘，需要手动进行分区转换，单击“确定”，出现分区转换界面，点击“开始”后进行转换，如图1-18所示：图1-18b)NTFS格式磁盘对于NTFS格式磁盘，直接转换成功。操作如图1-19所示：北京明朝万达科技有限公司快速测试手册V2.4(3)Chinasec可信网络保密系统(VCN)图1-193.1.2.测试效果下发“本地磁盘加密”中的“启用加密”策略到客户端，应用策略后，在本地磁盘（非系统盘）上进行的数据操作，只有在本系统下才能看到，登录其他系统或者把该客户端磁盘外接到其他计算机中，都不能识别磁盘中数据。3.1.3.注意事项1)客户端计算机的本地磁盘指客户端计算机磁盘上除系统盘、启动盘以外的所有本机磁盘。2)客户端计算机数据加密使用的本机操作系统的特征，因此对于同时使用两个操作系统的计算机，请慎重使用此策略，否则可能导致其他操作系统文件损坏。3)若客户端计算机出现问题需要重新安装操作系统，请注意先将加密的文件拷贝到非加密区域，否则重新安装操作系统后将导致数据丢失。4)进行“加密格式化”和“还原格式化”之前都要做数据迁移，否则一旦格式化数据将丢失。5)客户端用户不要使用任何系统分区软件处理加密的分区，否则会造成数据丢失。6)如果客户端有多个操作系统，客户端用户不要在其他系统下对加密分区进行操作，否则会造成数据丢失。7)对客户端实施本规则后，客户端计算机上转换为加密磁盘的本地磁盘上新建和修改的数据将被加密，只有本机可以解密。8)实施本规则后，修改本机的域不会导致本地磁盘操作出现任何异常；如果把本机磁盘拆卸下来，挂接到其他机器上无法对该磁盘读写。北京明朝万达科技有限公司快速测试手册V2.4(3)Chinasec可信网络保密系统(VCN)3.2.移动设备缺省模式3.2.1.规则与策略说明本规则默认存在四条规则：缺省本域加密、缺省禁用、缺省正常读写和缺省只读，如图1-22所示。策略的应用条件可以指定为计算机或者计算机组，与用户无关。图1-22规则说明：缺省本域加密：未注册的移动存储设备在客户端计算机写入文件是加密的，只有同域计算机能够解密。缺省禁用：未注册的移动存储设备在客户端是禁止使用的。缺省正常读写：移动存储设备在客户端可以正常读写文件，不受任何限制。缺省只读：移动存储设备在客户端只能进行读取文件操作，不能写入。3.2.2.测试效果1)由于“移动设备缺省模式”的缺省策略是“缺省禁用”，则客户端计算机在插入移动存储设备后不能使用；2)下发“移动设备缺省模式”中的“缺省正常读写”策略到客户端，并应用策略后，插入U盘和未装客户端前一样正常使用；3.2.3.注意事项若此策略与虚拟安全域的本域磁盘注册方式相冲突，则客户端执行后者的策略。北京明朝万达科技有限公司快速测试手册V2.4(3)Chinasec可信网络保密系统(VCN)3.3.可信系统内移动存储介质管理移动存储设备管理用于解决可信计算平台内移动存储介质使用的精细管理，使可信计算平台内移动存储设备的使用可以进行细化控制.3.3.1.注册域磁盘操作方法:在某个域节点上点击右键，在右键菜单中选择“注册本域磁盘”，如图1-23所示：图1-231)注册本域磁盘操作步骤，如图1-24所示：北京明朝万达科技有限公司快速测试手册V2.4(3)Chinasec可信网络保密系统(VCN)图1-24操作步骤：选择需要注册的磁盘—→参数设置—→点击“注册”—→提示成功后，点击“下一步”即完成本域磁盘注册。注册参数的含义如下：①只读：表示该磁盘在本域中只允许进行读取操作。②加密：表示该磁盘在本域中存储数据时将会进行加密，读取时自动解密。③正常读写：若在注册参数中不选择任何选项，则该磁盘在本域中权限为正常读写。④允许信任域读取/写入：表示该磁盘在与此域有信任关系的域中使用时，允许读取/写入数据；如果不选中，该磁盘在与此域有信任关系的域中使用时，不允许读取/写入数据。2)取消注册本域磁盘操作步骤，如图1-25所示：北京明朝万达科技有限公司快速测试手册V2.4(3)Chinasec可信网络保密系统(VCN)图1-25操作步骤：选中需要取消注册的磁盘—→点击“取消注册”—→提示成功后，点击“下一步”完成取消注册操作。3.3.2.测试效果1)选择加密操作和不允许信任域读写，注册后，该测试U盘只能在VCN1域中的机器中使用，在VCN2域中的计算机中不能对该U盘数据进行识别；2)选择加密操作和允许信任域写入，注册后，取该U盘去VCN2域的计算机中，就可以对U盘进行写入操作了。3.3.3.注意事项1)一个磁盘只能注册到一个特定的信任域，如果某个磁盘已注册到某个域，如想再注册到其他的域，是不允许的，必须先把原来的注册取消后，才能再注册。2)如果一个磁盘曾被注册为某个域的加密磁盘，则在该磁盘写入或者修改的文件都会被加密处理。如果再把这个磁盘注册为其他域的磁盘，则之前的加密文件都无法正常读