移動(dòng)存儲(chǔ)設(shè)備管理解決方案

1、移動(dòng)存儲(chǔ)設(shè)備管理解決方案 前言今年全國各地由國家保密局牽頭組織的涉密單位保密大檢查中，暴露問題最多的是移動(dòng)存儲(chǔ)介質(zhì)的使用管理方面，包括移動(dòng)存儲(chǔ)導(dǎo)致信息泄漏、交叉使用、病毒木馬傳播等。多樣化的U盤、移動(dòng)硬盤、手機(jī)/MP3/MP4、CF/MD/SD卡、數(shù)碼相機(jī)以及各類Flash Disk等移動(dòng)存儲(chǔ)介質(zhì)容量越來越大，體積越來越小，攜帶使用方便，這類移動(dòng)存儲(chǔ)設(shè)備為信息傳遞帶來便捷的同時(shí)，也給信息安全帶來嚴(yán)重的威脅：1.移動(dòng)存儲(chǔ)設(shè)備的使用帶來的安全隱患：1.1威脅之一：信息泄密移動(dòng)存儲(chǔ)設(shè)備直接丟失和被竊直接導(dǎo)致信息泄密，還有內(nèi)部人員無意將存儲(chǔ)了內(nèi)部信息的U盤拿出去使用，這些數(shù)據(jù)帶出去其流向具有不確定性，

2、尤其帶來較高的安全隱患。移動(dòng)存儲(chǔ)的使用混亂、交叉使用、丟失、格式化后沒有徹底進(jìn)行數(shù)據(jù)粉碎等問題導(dǎo)致信息泄漏的隱患，也有些合法無意的使用者在內(nèi)網(wǎng)切換到外網(wǎng)時(shí)，涉密U盤無意忘了拔除也導(dǎo)致信息泄漏。1.2威脅之二: 病毒傳播通過U盤等移動(dòng)存儲(chǔ)介質(zhì)傳播的病毒木馬已呈快速蔓延之勢。據(jù)監(jiān)測，“U盤寄生蟲”病毒最近登上病毒排行榜榜首，成為互聯(lián)網(wǎng)面臨的重大威脅之一。而另一傳播較廣泛的病毒“隨機(jī)8位數(shù)”也是通過U盤傳播，病毒制造者已經(jīng)重點(diǎn)瞄準(zhǔn)U盤的傳播途徑并將之設(shè)為攻擊目標(biāo)。各單位已經(jīng)意識(shí)到問題的嚴(yán)重性，相繼出臺(tái)移動(dòng)存儲(chǔ)介質(zhì)的使用管理制度，但是由于缺乏技術(shù)手段，違規(guī)現(xiàn)象屢禁不止。如何防止移動(dòng)存儲(chǔ)介質(zhì)有意無意的違

3、規(guī)使用、非法拷貝、介質(zhì)丟失、無意連接到Internet而導(dǎo)致信息泄密，同時(shí)如何主動(dòng)防御U盤病毒的傳播，成為涉密單位計(jì)算機(jī)系統(tǒng)安全管理當(dāng)務(wù)之急。2.管理移動(dòng)存儲(chǔ)介質(zhì)使用必須解決的問題2.1非本單位的移動(dòng)存儲(chǔ)設(shè)備不經(jīng)允許不可以在單位使用；2.2本單位的移動(dòng)存儲(chǔ)設(shè)備不經(jīng)允許不可以帶出去使用；2.3涉密移動(dòng)存儲(chǔ)設(shè)備不允許上互聯(lián)網(wǎng)，上互聯(lián)網(wǎng)的U盤不允許接入涉密計(jì)算機(jī)；2.4移動(dòng)存儲(chǔ)設(shè)備遺失或被竊時(shí)數(shù)據(jù)的安全保障；2.5單位的移動(dòng)存儲(chǔ)設(shè)備使用的可審計(jì)性；2.6 控制移動(dòng)存儲(chǔ)設(shè)備的病毒傳播。3.建立移動(dòng)存儲(chǔ)介質(zhì)使用的防御體系作為內(nèi)網(wǎng)安全專業(yè)廠商國邁科技（榮獲“2007中國最受用戶歡迎的內(nèi)網(wǎng)安全品牌”，國家保

4、密局副局長聞榮友和國家保密技術(shù)研究所所長杜虹親自為國邁科技頒發(fā)獎(jiǎng)狀），根據(jù)國保發(fā)200713號(hào)文（國家保密局和國務(wù)院信息化工作辦公室頒發(fā)文件）關(guān)于加強(qiáng)黨政機(jī)關(guān)計(jì)算機(jī)信息系統(tǒng)安全和保密管理的若干規(guī)定，以及國家保密局涉密信息系統(tǒng)安全保密測評(píng)中心于2008年2月底出臺(tái)移動(dòng)存儲(chǔ)介質(zhì)管理新技術(shù)標(biāo)準(zhǔn)，結(jié)合國邁科技多年從事軍工保密技術(shù)研究開發(fā)的專業(yè)經(jīng)驗(yàn)，憑借對(duì)Windows系統(tǒng)驅(qū)動(dòng)、網(wǎng)絡(luò)通信、數(shù)據(jù)庫、Windows底層開發(fā)、加密、嵌入式軟硬件系統(tǒng)開發(fā)具備的強(qiáng)大研發(fā)實(shí)力，向各單位推薦業(yè)界領(lǐng)先的GM-SMP-U國邁移動(dòng)存儲(chǔ)設(shè)備管理系統(tǒng)，該系統(tǒng)是第一家通過國家保密局新技術(shù)標(biāo)準(zhǔn)認(rèn)證，根據(jù)國家保密局涉密信息系統(tǒng)安全保

5、密測評(píng)中心要求，對(duì)2008年2月底以前頒發(fā)的移動(dòng)存儲(chǔ)設(shè)備管理系統(tǒng)認(rèn)證證書全部宣布失效，需要強(qiáng)制重新檢測，符合新技術(shù)標(biāo)準(zhǔn)的再重新頒發(fā)證書（原因：由于原來沒有制定完善的技術(shù)標(biāo)準(zhǔn)，一些廠家設(shè)計(jì)上存在安全漏洞）。SMP-U移動(dòng)存儲(chǔ)介質(zhì)管理系統(tǒng)核心目標(biāo)：防止信息泄密，減少病毒傳播，專業(yè)為涉密單位信息安全和保密管理保駕護(hù)航。SMP-U系統(tǒng)在性能方面不僅有高強(qiáng)度的安全性，同時(shí)將技術(shù)與實(shí)際的應(yīng)用充分結(jié)合在一起，實(shí)現(xiàn)了通過技術(shù)手段將管理制度落到實(shí)處，實(shí)現(xiàn)了對(duì)移動(dòng)存儲(chǔ)設(shè)備的使用統(tǒng)一管理、統(tǒng)一控制、全面審計(jì)：3.1 外面的移動(dòng)存儲(chǔ)介質(zhì)進(jìn)不了：非本單位的移動(dòng)存儲(chǔ)介質(zhì)插入本單位計(jì)算機(jī)內(nèi)網(wǎng)，無法使用。3.2 單位內(nèi)部的移

6、動(dòng)存儲(chǔ)介質(zhì)不經(jīng)授權(quán)出不去：本單位需要使用的移動(dòng)存儲(chǔ)設(shè)備，必須通過SMP-U系統(tǒng)的注冊(cè)認(rèn)證，通過認(rèn)證，首先確定U盤的身份，即每個(gè)U盤在注冊(cè)時(shí)，都需要定義一個(gè)唯一的使用名稱，以確保U盤使用時(shí)日志的可審計(jì)性。SMP-U系統(tǒng)對(duì)移動(dòng)存儲(chǔ)設(shè)備按涉密等級(jí)分別進(jìn)行高、中、低三級(jí)的安全注冊(cè)認(rèn)證，嚴(yán)格控制U盤（包括U盤、移動(dòng)硬盤、手機(jī)存儲(chǔ)、數(shù)碼相機(jī)、MP3/MP4、各種CF/MD/SD卡以及各類FlashDisk）等移動(dòng)存儲(chǔ)設(shè)備在局域網(wǎng)內(nèi)部的使用，以確保內(nèi)部的U盤不經(jīng)授權(quán)，無法在外部讀取，而外部的U盤不經(jīng)注冊(cè)認(rèn)證，無法在內(nèi)部使用。三個(gè)級(jí)別認(rèn)證如下：高密級(jí)：經(jīng)認(rèn)證的U盤在單位內(nèi)部計(jì)算機(jī)正常使用，拿出去內(nèi)容看不見打不

7、開U盤內(nèi)容，偷不走！中密級(jí)：經(jīng)認(rèn)證的U盤在單位內(nèi)部計(jì)算機(jī)正常使用，拿出去必須憑密碼才能打開外出U盤，授權(quán)用！低密級(jí)：經(jīng)認(rèn)證的U盤在單位內(nèi)部和非單位的計(jì)算機(jī)都可以正常使用，無需憑密碼特權(quán)U盤，方便用！根據(jù)單位的保密要求，建議涉密單位需要在內(nèi)部使用的U盤，全部注冊(cè)成高密級(jí)的U盤，從技術(shù)手段徹底杜絕移動(dòng)存儲(chǔ)介質(zhì)帶來的泄密事件。3.3 計(jì)算機(jī)使用移動(dòng)存儲(chǔ)設(shè)備的權(quán)限控制由于單位信息的重要程度不同、信息使用者的行政級(jí)別的不同、處理涉密信息的密級(jí)不同以及涉密信息量不同等情況，決定了有些計(jì)算機(jī)不能使用任何U盤，而有些計(jì)算機(jī)需要選擇性的使用U盤。因此，必須控制單位內(nèi)部的計(jì)算機(jī)對(duì)U盤的使用權(quán)限也有所不同。國邁U盤

8、管理系統(tǒng)根據(jù)實(shí)際應(yīng)用情況，設(shè)計(jì)了計(jì)算機(jī)使用U盤的策略：完全禁止設(shè)置指定的計(jì)算機(jī)無法使用任何U盤使用授權(quán)設(shè)置指定的計(jì)算機(jī)是否允許使用高、中、低密級(jí)的U盤或未注冊(cè)的U盤；讀寫控制設(shè)置指定的計(jì)算機(jī)允許使用的U盤為可讀還是可寫；完全開放設(shè)置特定的計(jì)算可機(jī)使用所有已注冊(cè)及未注冊(cè)的U盤；交叉控制根據(jù)注冊(cè)后U盤的使用身份設(shè)置它能在哪臺(tái)計(jì)算機(jī)或哪組計(jì)算機(jī)上可以使用。根據(jù)單位的計(jì)算機(jī)涉密等級(jí)，以及實(shí)際應(yīng)用需要，通過該策略嚴(yán)格控制每臺(tái)計(jì)算機(jī)使用U盤的權(quán)限，確保了不該使用U盤的計(jì)算機(jī)不能使用U盤，需要使用U盤的計(jì)算機(jī)又可根據(jù)涉密程度，既合理保障了實(shí)際的使用要求，又可以嚴(yán)格控制U盤的使用。3.3上網(wǎng)自動(dòng)閉用根據(jù)保密要

9、求的涉密不上網(wǎng)，上網(wǎng)不涉密的原則，SMP-U系統(tǒng)可以監(jiān)管如果計(jì)算機(jī)有意無意地連接到Internet，系統(tǒng)將自動(dòng)關(guān)閉U盤的使用，防止黑客入侵竊取機(jī)要信息。3.4 U盤病毒防御對(duì)于不連接互聯(lián)網(wǎng)的網(wǎng)絡(luò)，病毒的主要來源是移動(dòng)存儲(chǔ)設(shè)備及光盤的使用，病毒木馬對(duì)我們計(jì)算機(jī)網(wǎng)絡(luò)的危害性已經(jīng)是有目共睹的，因此為了進(jìn)一步保障網(wǎng)絡(luò)的安全，SMP-U系統(tǒng)針對(duì)病毒的傳播特點(diǎn)作了深入的研究，提取了U盤病毒傳播的共性，實(shí)施了相應(yīng)的解決辦法，主動(dòng)杜絕U盤中的病毒木馬感染到裝有國邁移動(dòng)存儲(chǔ)介質(zhì)管理系統(tǒng)的計(jì)算機(jī)。3.5外設(shè)端口控制國邁U盤管理系統(tǒng)具備高強(qiáng)度的端口控制，不僅控制了有線的端口，也控制了無線的端口。系統(tǒng)可以安全控制的端

10、口包括有：軟盤驅(qū)動(dòng)器、光盤驅(qū)動(dòng)器、本地打印機(jī)、數(shù)碼圖形儀、調(diào)制解調(diào)器、串行通訊口、并行通訊口、1394、紅外通訊口、wifi無線網(wǎng)卡、無線藍(lán)牙等。所有的這些控制，都是基于Windows 系統(tǒng)驅(qū)動(dòng)層來實(shí)現(xiàn)，無法通過修改注冊(cè)表等方式來進(jìn)行破解。3.6格式化后防數(shù)據(jù)恢復(fù)對(duì)于涉密移動(dòng)存儲(chǔ)，普通的移動(dòng)存儲(chǔ)被刪除或格式化后，利用專業(yè)的恢復(fù)工具仍然可以恢復(fù)出數(shù)據(jù)，采用國邁移動(dòng)存儲(chǔ)介質(zhì)管理系統(tǒng)，經(jīng)注冊(cè)的移動(dòng)存儲(chǔ)介質(zhì)如果被格式化后，采用專業(yè)的恢復(fù)工具仍然無法恢復(fù)出數(shù)據(jù)，有效防止信息的泄漏。3.7日志記錄審計(jì)3.7.1U盤使用日志：由于每個(gè)移動(dòng)存儲(chǔ)介質(zhì)在注冊(cè)時(shí)，必須定義一個(gè)使用身份，因此我們采用U盤使用實(shí)名制，實(shí)

11、現(xiàn)了U盤在內(nèi)部計(jì)算機(jī)的使用情況和使用者掛鉤，使U盤的使用日志具備了可審計(jì)性?？蓪徲?jì)何時(shí)、何計(jì)算機(jī)、何U盤、插入/拔出、操作何文件。3.7.2中級(jí)U盤在外部計(jì)算機(jī)的使用情況：由于應(yīng)用必要性，我們注冊(cè)了很少量的中級(jí)U盤，它可以通過密碼在非單位范圍內(nèi)使用。為了提高中級(jí)U盤在外使用情況的可審計(jì)性，SMP-U系統(tǒng)可審計(jì)中級(jí)U盤在外部計(jì)算機(jī)的使用情況：何時(shí)、插過的計(jì)算機(jī)的機(jī)器名、硬件ID號(hào)、U盤的文件操作日志等。3.7.3打印監(jiān)控審計(jì)：由于工作的需要，有些計(jì)算機(jī)必須開放使用打印機(jī)，但是通過SMP-U系統(tǒng)可審計(jì)客戶端的打印日志進(jìn)行詳細(xì)記錄。包括打印的計(jì)算機(jī)名稱、打印的文檔名、打印機(jī)名稱以及打印的時(shí)間等。3.7.4管理日志審計(jì)：同時(shí)SMP-U系統(tǒng)還提供了對(duì)管理員的審計(jì)，更進(jìn)一步提高了整個(gè)防御體系的安全型?？蓪徲?jì)管理員的登錄、退出、創(chuàng)建管理員賬號(hào)、配置修改策略等日志。3.8系統(tǒng)構(gòu)成根據(jù)涉密單位的實(shí)際應(yīng)用需要，GM-S