以“木桶原理”为理论依据，以安全策略为驱动，按照PDR安全模型的“保护-检测-响应”工作流程循环检测，同时结合保密规定的“等级防护”指导方针，采用多种安全技术实现了对终端主机全方位、多层次的安全防护。按照“保护-检测-响应”的工作流程逐步完善终端安全防护策略，并将事件处理方式和处理流程登录到用户知识库，逐步形成内网事故应急响应流程和共享安全解决方案的知识库。

 

服务器：安装在专业的数据服务器上，需要数据库的支持。通过安全认证建立与多个客户端系统的连接，实现客户端策略的存储和下发、日志的收集和存储。上下级服务器间基于HTTPS进行通信，实现组织结构、告警、日志统计信息等数据的收集。

控制台：人机交互界面，是管理员实现对系统管理的工具。通过安全认证建立与服务器的信任连接，实现策略的制定下发以及数据的审计和管理。 

客户端：安装在受保护的终端计算机上，实时监测客户端的用户行为和安全状态，实现客户端安全策略管理。一旦发现用户的违规行为或计算机的安全状态异常，系统及时向服务器发送告警信息，并执行预定义的应急响应策略。

用户身份认证功能：用户身份认证是系统应用安全的起点，通过硬件USBKey和口令认证登录Windows系统用户身份，保证进入Windows系统用户身份的合法性；对登录用户权限进行合法性检查，保证用户权限的合规性。 

基于USBKey的身份认证：将用户信息和证书内置于USBKey硬件中，通过读取USBKey中的用户信息实现登录用户身份认证，实现双因子认证，提高了主机身份认证的安全强度。同时为了增强系统的灵活性，对于USBKey用户，系统管理员可要求该用户进行USBKey和Windows双因子认证登录系统。 

登录用户权限合法性检查：检查登录Windows系统的用户权限，当发现登录用户权限与策略设置的登录用户权限不一致时，系统及时阻止非法用户登录，并向服务器发送告警信息。该项功能主要是防止用户通过非法途径提升自身用户权限而达到某种非法目的，例如：策略设置只能是USER权限用户登录计算机，如果登录计算机的用户拥有Administrator或PowerUser权限则系统自动阻止该用户登录。

硬盘保护区功能：硬盘保护区是在本地硬盘上提供一个或多个安全存放本地敏感文件的加密存储空间，用户可视为该文件保险箱为可信空间，并可通过加载或卸载操作以使该保险箱可见或不可见。所有放入保险箱的文件都是自动加密存储的，正常加载以后呈现给用户的是明文，用户感觉不到加解密过程。

 

分权分级的管理模式：避免因集中权限而增加系统管理威胁，我们采用分权的管理员管理模式。管理员可以划分为：系统管理员、系统操作员、系统审计员和安全官，每种管理员的管理权限可根据用户的实际需要进行自定义。同时为了增强系统数据的安全性，我们对管理员的管理范围进行划分，即：一个系统可以有多个系统操作员，每个操作员的管理范围都不一样的。基于角色的分级分权管理使不同角色的管理员权限分离，各司其职，加强了系统的安全性。 

终端安全风险量化管理：按照保密规定的“等级防护”指导方针，将终端系统的告警事件划分为不同级别的风险等级，目前支持五个等级的风险自定义，根据告警事件的统计结果，生成不同等级风险的数据报表，实现了风险的量化管理。 

周全详细的系统报表：根据计算机用户所产生的日志信息，形成多种类型的统计报表。按照多个事件类型的查询条件形成交叉的统计报表。支持日志信息的关联查询，形成数据的关联报表，根据数据关联的查询结果可以查找出关键数据的变化轨迹。支持多样化的日志查询条件和过滤条件，便于管理人员进行详细的日志分析。支持策略统计分析。提供灵活详细的统计报表，可输出为EXCEL、WORD、HTML等多种格式的分析报表以及根据统计数据生成柱状图和饼图。 

丰富的应急响应知识库：按照“保护—监测—响应”循环的工作模式，动态调整安全防护策略、更新应急响应知识库，为管理员应急响应提供完备的技术参考方案。