USB安全管理典型解決方案

1、J 押 A 骨 典型方案易泰通軟件科技有限公司典型方案內外網(wǎng)物理隔離網(wǎng)絡的安全方案*網(wǎng)絡現(xiàn)狀與安全隱患目前，政府機關及金融等行業(yè)都有兩個網(wǎng)絡：內網(wǎng)和外網(wǎng)，內網(wǎng)用作內部 的辦公自動化，外網(wǎng)用來對外發(fā)布信息、獲得因特網(wǎng)上的即時消息，以及用電 子郵件進行信息交流。為了數(shù)據(jù)的安全性，內網(wǎng)和外網(wǎng)都通過隔離卡或網(wǎng)閘等 方式實現(xiàn)內外網(wǎng)的物理隔離，從一定程度上杜絕了內外網(wǎng)的混合使用造成的信 息外泄。如下圖所示：政府吐子政等物理您居網(wǎng)絡佑任河津然而，對于內網(wǎng)中移動存儲介質的隨意使用以及外部終端非法接入內網(wǎng)來 泄露內部信息的安全隱患，仍然得不到解決。存在的安全隱患主要有：1 .移動存儲介質泄密 外來移動存儲介質拷

2、去內網(wǎng)信息； 內網(wǎng)移動存儲介質相互混用，造成泄密； 涉密介質丟失造成泄密2 .終端造成泄密 計算機終端各種端口的隨意使用，造成泄密； 外部終端非法接入內網(wǎng)泄密； 內網(wǎng)終端非法外聯(lián)外部網(wǎng)絡泄密 捍衛(wèi)者解決方案針對隱患1,捍衛(wèi)者US毆全管理系統(tǒng)可以完全解決。此系統(tǒng)功能為：1 .管理US端口，對其設定禁用、只讀、開放三種狀態(tài)；2 .對軟驅、光驅、紅外、藍牙等各種終端設備端口進行統(tǒng)一管理，設置開 放、禁用等模式，同時可設定刻錄機只讀；3 .實現(xiàn)移動存儲介質的授權分區(qū)使用，存儲介質與計算機終端可以實現(xiàn)一 對一，一對多的綁定使用；4 .通過特殊分區(qū)、加密，實現(xiàn)移動存儲介質內部使用或外部通過密碼使用，使得移

3、動介質丟失不泄密;5 .完整的日志記錄、審計功能，實現(xiàn)整個移動存儲介質使用流程的跟蹤可 控;6 .支持vista操作系統(tǒng)；在內網(wǎng)中部署捍衛(wèi)者US改全管理系統(tǒng)后，可以有效地防止移動存儲介質泄密，解決移動存儲介質的泄密隱患。如下圖所示正常使用正常使用鼾授權為A 部門的 計算機X正常使用依端口狀態(tài)OA （授權為OA1 （授權為OB （授權為C （授權為OA部門的授權盤）A部門的內部加密盤）B部門的盤）A和B部門的通用盤）3正常使用外部計算機通過密碼（未安裝k捍衛(wèi)者軟件）、使用而定D （外來普通盤禁用：不能使用只讀：只能導出盤內數(shù)據(jù) 開放：盤正常使用）oA （授權為A部門的授權盤）QA1 （授權為A部

4、門的內部加密盤）OA2 （授權為A部門的內外兼容加密盤）捍衛(wèi)者US全管理系統(tǒng)示意圖針對隱患2,捍衛(wèi)者終端安全及訪問審計控制系統(tǒng)可以消除此隱患，主要用 q 0 典型方案易泰通軟件科技有限公司功能為：1）終端接入驗證管理（所有驗證終端組成內網(wǎng)）；2）未驗證終端限制接入內網(wǎng)；3）驗證終端域內相互訪問行為監(jiān)控；4）驗證終端非法其他網(wǎng)絡行為監(jiān)控；5）管理US端口及紅外、藍牙、光驅等各種端口和外設，對其設定禁用 開放狀態(tài)，同時US端口及光驅可設定只讀；6）日志備份定時提醒；7）客戶端異常或被破解，服務器端顯示其相關信息，報警提示。口合法終端合法終端非法終端捍衛(wèi)者終端安全及訪問審計控制系統(tǒng)示意圖內網(wǎng)授信網(wǎng)絡

5、合法終端以上兩種解決方案可以作為模塊組合為一個系統(tǒng)，這樣既解決了信息安全 隱患，同時節(jié)約了成本，方便了安裝與維護，除此之外，服務器支持多級級聯(lián), 方便了管理，也可以適用大規(guī)模網(wǎng)絡。也適用范圍本方案可廣泛適用于政府、證券、金融、大型企業(yè)等單位，具有極低的投 和極高的安全性，并且維護方便、升級簡單。5典型方案易泰通軟件科技有限公司中間機連接內外網(wǎng)的安全方案*網(wǎng)絡現(xiàn)狀與安全隱患一些企業(yè)禁止內網(wǎng)計算機上公網(wǎng)，大部分計算機也不允許與外界溝通, 只是通過一個中間機來實現(xiàn)內網(wǎng)信息與外部信息的流通。1）如果中間機在內網(wǎng)中，網(wǎng)絡結構如下圖示:內網(wǎng)計算機2）如果中間機不在內網(wǎng)中，網(wǎng)絡結構如下圖所示:內網(wǎng)計算機外網(wǎng)

6、計算機然而此中網(wǎng)絡方式，移動存儲介質的隨意使用以及外部終端非法接入內網(wǎng) 來泄露內部信息的安全隱患，仍然得不到解決。存在的安全隱患主要有：1 .移動存儲介質泄密 外來移動存儲介質拷去內網(wǎng)信息； 內網(wǎng)移動存儲介質相互混用，造成泄密； 涉密介質丟失造成泄密2 .終端造成泄密#J 碼 40 典型方案易泰通軟件科技有限公司 計算機終端各種端口的隨意使用，造成泄密； 外部終端非法接入內網(wǎng)泄密； 內網(wǎng)終端非法外聯(lián)外部網(wǎng)絡泄密*捍衛(wèi)者解決方案針對隱患1,捍衛(wèi)者US毆全管理系統(tǒng)可以完全解決。此系統(tǒng)功能為：1 .管理US端口，對其設定禁用、只讀、開放三種狀態(tài)；2 .對軟驅、光驅、紅外、藍牙等各種終端設備端口進行統(tǒng)

7、一管理，設置開 放禁用等模式，同時可設定刻錄機只讀；3 .實現(xiàn)移動存儲介質的授權分區(qū)使用，存儲介質與計算機終端可以實現(xiàn)一 對，一對多的綁定使用；4 .通過特殊分區(qū)、加密，實現(xiàn)移動存儲介質內部使用或外部通過密碼使用， 使得移動介質丟失不泄密；5 .完整的日志記錄、審計功能，實現(xiàn)整個移動存儲介質使用流程的跟蹤可 控；6 .支持vista操作系統(tǒng)；對于中間機在內網(wǎng)的網(wǎng)絡：將捍衛(wèi)者US眩全管理系統(tǒng)網(wǎng)絡增強版安裝在內網(wǎng)中，設定所有計算機端 口為禁用狀態(tài)，禁止外來移動設備的使用；然后將中間機與其他內網(wǎng)計算機設 定不同的組織單元，這樣需要流通到外部的信息，可以通過網(wǎng)絡傳送到中間機 上，再通過只有中間機才能識

8、別的移動設備將信息拷貝到外部；同樣，需要流 入內網(wǎng)的信息，也是先通過此移動設備拷入到中間機，再通過網(wǎng)絡使全內網(wǎng)共 享。如下圖示：7押A0典型方案易泰通軟件科技有限公司外聯(lián)部內外兼容內網(wǎng)外聯(lián)部計算機加密u盤內網(wǎng)行政部計算機外網(wǎng)計算機對于中間機不在內網(wǎng)的網(wǎng)絡：內網(wǎng)計算機安裝捍衛(wèi)者USB安全管理系統(tǒng)網(wǎng)絡增強版，中間機安裝單機增 強版，將中間機與內網(wǎng)計算機設定不同的組織單元，如中間機設定外聯(lián)部，內 網(wǎng)計算機設定行政部，則需要流出到外網(wǎng)的信息通過被設定為外聯(lián)部與行政部 同時可以使用的內部加密盤拷貝到中間機上，然后通過只能在中間機上使用的 內外兼容加密盤拷貝到外部使用，同樣外部信息需要拷貝到內網(wǎng)使用，反之

9、即 可。如下圖所示:授權為外聯(lián)部外聯(lián)部內外兼容和行政部的外聯(lián)部加密u盤內網(wǎng)行政部計算機外網(wǎng)計算機針對隱患2,捍衛(wèi)者終端安全及訪問審計控制系統(tǒng)可以消除此隱患，主要 功能為：#. 捏 A , 典型方案易泰通軟件科技有限公司L11）終端接入驗證管理（所有驗證終端組成內網(wǎng)）；2）未驗證終端限制接入內網(wǎng)；3）驗證終端域內相互訪問行為監(jiān)控；4）驗證終端非法其他網(wǎng)絡行為監(jiān)控；5）管理US端口及紅外、藍牙、光驅等各種端口和外設，對其設定禁用 開放狀態(tài)，同時US端口及光驅可設定只讀；6）日志備份定時提醒；7）客戶端異?；虮黄平猓掌鞫孙@示其相關信息，報警提示。非法終端捍衛(wèi)者終端安全及訪問審計控制系統(tǒng)示意圖以上

10、捍衛(wèi)者US弦全管理系統(tǒng)與終端安全訪問審計控制系統(tǒng)可以作為模塊 組合為一個系統(tǒng)部署使用。也適用范圍本方案可廣泛適用于醫(yī)療、機械制造業(yè)、政府等單位。公安邊防安全解決方案*網(wǎng)絡現(xiàn)狀及安全隱患1）公安邊防系統(tǒng)已經安裝公安部統(tǒng)一推廣的“一機兩用”軟件，在一定程 度上實現(xiàn)了內外網(wǎng)隔離使用，見下面示意圖，內網(wǎng)機器安裝了一機兩用 軟件后一旦連接公網(wǎng)進行告警。如下圖所示：9, J 捏 A , 典型方案易泰通軟件科技有限公司公安網(wǎng)“一機兩用”示意圖雖然已經采取這種防范措施，但公安網(wǎng)絡在使用中仍然存在諸多安全隱患, 歸納起來主要有以下兩類：1 .終端安全造成的信息外泄：內外網(wǎng)分開使用使信息通過網(wǎng)絡外泄在一定程度上得

11、到控制，但是終端本身的外泄沒有得到良好控制，仍然存在兩方 面泄密隱患：通過終端的各種外設和端口泄漏信息；移動存儲介質泄露內部信息；2 .內部終端容易意外連接公網(wǎng)：一機兩用不是硬性隔離，只是采取內部機 器連接外部網(wǎng)絡時報警的形式，內部終端容易誤連接，造成很多不便。*捍衛(wèi)者解決方案針對隱患1,我們建議使用捍衛(wèi)者us酸全管理系統(tǒng)，該系統(tǒng)對不常使 用的外設可以根據(jù)具體情況設置為禁用或只讀（刻錄機，US端口），并且對移動存儲介質（u盤、移動硬盤等各種移動存儲設備）可以分域授權使用， 可以限定移動存儲介質的使用范圍一對一或一對多的和終端綁定使用，加 密后的移動存儲還可以做到流出到安全環(huán)境外無法識別，保證內部信息安 全。針對隱患2,本節(jié)解決方案可以作為防止意外連接公網(wǎng)的解決方案使用， 提供軟硬兩種解決方案，如防止意外非法連接外網(wǎng)示意圖所示：1）軟件方案：在外網(wǎng)計算機（允許上公網(wǎng)的計算機）網(wǎng)絡和路由器間增加一個控制服務 器，該服務器安裝捍衛(wèi)者終端