信果终端安全登录系统（国产版）V3.0

（1）安全登录机制通过后，才能登录系统。

用户登录 Windows 操作系统时，需要“windows 登录用户名与密码”+ “硬件 USB-KEY”双因子认证统的安全性依赖于硬件 USB-KEY，而不仅仅是 windows 用户口令，从而更大程度上确保了用户的合法性。

（2）权限控制

系统具有相互独立、相互制约的系统管理员、安全保密管理员、安全审计员三个管理员角色。管理员登录管理端需插入单独的USB-KEY并输入正确的PIN码。

（3）锁定系统

拔下用户 USB-KEY，系统进入强制性屏保状态，终端主机不可被操作，只有再插入该用户 USB-KEY 并输入正确 PIN 码，系统锁定才能被解除，系统锁定状态下，用户的工作环境被完整保存。

（4）锁定 USB-KEY

用户登录计算机时输入的 USB-KEY 码错误次数超过管理员规定的次数后，自动锁定 USB-KEY，被锁定的 USB-KEY 不能正常使用，需要管理员激活后方可正常使用，达到涉密计算机不能随意登录，涉密信息不被泄漏的目的。

（5）日志备份与恢复

对管理员、用户操作产生的日志进行备份与恢复。

（6）对用户行为阻断和访问控制

对修改网络设置、进入安全模式进行控制。

（7）文件保险箱功能

软件自带文件保险箱功能，使用文件保险箱可以有效的防止磁盘数据外泄，对磁盘进行加密，对每个使用电脑的用户进行控制，每个用户只能用自己的磁盘，来进行限制。

（8）程序防止绕过登录

软件禁用安全模式，防止绕过安全登录软件登录系统。

（9）算法复杂性

产品使用了国家规定的算法来进行加密，使得产品的安全性得到了进一步的提高。

（10）PIN码的不可读性

由于USB-KEY自身嵌入处理器，用户单向输入的PIN码会经过微处理器编译，以验证用户合法性。同时，在PIN码多次输入错误的情况下，USB-KEY会被自动锁定，导致USB-KEY的无法识别，只能交付供应商处理。

（11）序列号的唯一性

每个USB-KEY自身都具备世界上唯一的序列号，这可以有效地阻止USB-KEY在非法状态的复制。

（12）非法卸载管控

系统为防止非法卸载本软件，采用多重验证，卸载需验证系统管理员和用户USB-KEY及PIN码。

1.网络版系统架构：管理方式采用B/S，采用HTTPS加密访问方式；客户端采用C/S架构。管理端支持终端信息查看终端唯一标识码、IP地址、绑定状态、在线状态功能。支持三员KEY、用户绑定、解绑、挂失、恢复功能。客户端支持显示客户端与服务器网络通信状态，客户端能自动识别计算机产品唯一标识码（网络版可以将唯一标识上报管理平台），自动识别系统已有用户账户，并对用户注册、注销操作进行管理。

2.三员KEY支持以组织机构节点进行授权绑定，支持上级节点三员KEY对下级组织终端进行登录管理,满足不用户场景使用，实现客户终端灵活管理。单机版能使用控制端三员KEY登录用户端三员账号，用户端不能进行三员绑定，可以对客户端普通用户绑定。

3.控制端可以对三员用户KEY进行绑定解绑操作，三员用户KEY一一对应，仅能使用绑定的KEY登录三员用户，杜绝未绑定三员KEY交叉使用的隐患。三员Key可以进行补发操作，进行补发操作后，取消绑定的三员KEY将不能再登录系统三员。

4.单机版绑定安全管理员KEY后才能进行用户绑定和解绑操作。安全保密管理员可以对普通KEY进行PIN码解锁操作。客户端绑定后，需插key登录验证PIN码后才进行登录，KEY拔出后，计算机立即进行锁屏状态，需要再次插KEY验证PIN码登录。