【正文】 行審計記錄； 對內網(wǎng)中使用的移動存儲設備進行加密或保護，只能由通過身份驗證的人或者在規(guī)定范圍內的計算機上使用； 為了方便內網(wǎng)中部門間或用戶間的信息交換，注冊一批移動存儲設備，限制該設備只能在內網(wǎng)計算機上使用，無法在除內網(wǎng)以外的任何網(wǎng)絡或計算機上使用； 對已經(jīng)注冊的移動存儲設備，限定其讀寫、只讀或嚴格禁止其在非授權的計算機上進行使用； 注冊一批信息交互專用存儲設備，既要方便內網(wǎng)計算機文件與外部的交互，又要保證不會因存儲介質被木馬或黑客入侵而導致涉密信息泄漏。相信達到了上述的要求，不但可以輕松通過信息安全等級保護評估，還可以方便用戶的使用，更保障了網(wǎng)絡信息數(shù)據(jù)的安全。而某內網(wǎng)安全管理系統(tǒng)在移動存儲設備的管理上可以完全滿足上述要求，為用戶和管理員提供便利的工作環(huán)境和安全的信息保障體系。 需求分析 應用環(huán)境安全需求對于網(wǎng)絡系統(tǒng)建設來說，當前面臨的一項重點內容就是移動存儲設備管理的建設。應用環(huán)境的安全主要為內部網(wǎng)絡終端的接入安全、移動存儲設備管理的安全。如何保證個人終端計算機正常、穩(wěn)定的對外提供服務，同時還要保證內網(wǎng)終端數(shù)據(jù)的安全防護，移動介質管理成為應用環(huán)境安全需求的重中之重。移動介質管理安全解決方案 終端平臺可控應用環(huán)境安全的核心是可控的終端安全管理系統(tǒng)，它是構成計算機信息網(wǎng)絡系統(tǒng)基礎元素，也是中網(wǎng)絡系統(tǒng)安全加固項目承載的主要平臺和表現(xiàn)實體，保障其安全可靠至關重要。操作系統(tǒng)是整個用戶系統(tǒng)的承載平臺，要想提高信息網(wǎng)絡系統(tǒng)的整體安全性，實現(xiàn)計算機信息網(wǎng)絡高可靠性和信息的完整性、保密性，必須依賴于操作系統(tǒng)這個承載平臺的安全性的提高，任何想象中的、脫離操作系統(tǒng)的應用軟件的高安全性，就如同幻想在沙灘上建立堅不可摧的堡壘一樣，毫無根基可言。因此，加強各個終端操作系統(tǒng)的安全的工作成為了此次系統(tǒng)安全加固中的一項重要的輔助工作。 網(wǎng)絡安全環(huán)境在網(wǎng)絡系統(tǒng)中，網(wǎng)絡環(huán)境安全整體表現(xiàn)為網(wǎng)絡鏈路的通暢和對不同的網(wǎng)絡區(qū)域實現(xiàn)不同的移動存儲管理規(guī)則，尤其注意防范內網(wǎng)中的安全威脅。 安全管理平臺在內部網(wǎng)絡的信息安全保障工作中，需要從整體的角度出發(fā)來考慮問題和解決問題。 項目總體建設方案 方案設計原則? 建立整體安全體系安全性設計必須從全方位、多層次加以考慮，即通過系統(tǒng)級、網(wǎng)絡級、應用級的安全性。? 安全可靠性方案中使用的安全產(chǎn)品必須具有良好的穩(wěn)定性，能夠持續(xù)可靠地在系統(tǒng)中移動介質管理安全解決方案運行，從而徹底的貫徹實施方案中制定的安全策略。? 技術先進性方案中采用的信息安全產(chǎn)品以及響應的管理手段、安全策略必須有足夠的先進性。? 技術成熟性方案中采用的信息安全產(chǎn)品必須是已經(jīng)經(jīng)過實際應用考驗的安全技術和產(chǎn)品。? 開放性系統(tǒng)具有開放性，支持國際標準，能夠接受和輸出標準格式的數(shù)據(jù)，提供給各種網(wǎng)絡，實現(xiàn)資源共享。? 主動式安全和被動式安全相結合主動式安全主要是從人的角度考慮，通過安全教育與培訓，提高相關技術人員的安全意識，使之主動自覺地根據(jù)既定策略利用各種工具去加強安全性；被動式安全則主要是從具體安全措施的角度考慮。只有建立人與信息安全設備完美互動的安全策略，方能切實有效地實現(xiàn)信息安全。? 切合實際實施安全性必須緊密切合要進行安全防護的實際對象來制定具體的安全策略，并根據(jù)策略選擇不同規(guī)格的安全加固設備，既要避免過于龐大冗雜的安全策略或措施導致性能下降，又要杜絕盲目選用高端設備導致的系統(tǒng)資源浪費以及無謂成本的投入，真正做到有的放矢、行之有效。? 易于實施、管理與維護整套安全工程設計必須具有良好的可實施性與可管理性，同時還要具有尚佳的易維護性。? 具有較好的可擴展性安全工程設計、系統(tǒng)安全加固設備具體規(guī)格的選型，必須具有良好的可伸縮性及兼容性。整個安全系統(tǒng)必須留有接口，以適應未來工程規(guī)模拓展的需要。? 節(jié)約系統(tǒng)投資在實現(xiàn)既定安全策略的前提下，必須充分考慮投資，將用戶的利益始終放移動介質管理安全解決方案在第一位。通過認真規(guī)劃安全性設計，有針對性的選擇適當規(guī)格的安全加固設備，既要保證安全加固設備系統(tǒng)資源的充分利用，又要盡可能的為用戶節(jié)約系統(tǒng)投資。此外，本次項目建設中所使用的安全產(chǎn)品、制定的安全策略以及涉及到的工程標準等環(huán)節(jié)必須符合或滿足國家相關法律法規(guī)、相關國家標準的規(guī)定。 安全建設總目標信息安全的基本需求就是滿足五個基本安全要素：機密性、完整性、可用性、可控性與可審查性，能夠有效地實現(xiàn)以下任務： 使用訪問控制機制，阻止非授權用戶進入網(wǎng)絡，即“進不來” ，從而保證系統(tǒng)的網(wǎng)絡資源被受控合法的利用。 使用授權機制，實現(xiàn)對用戶的權限控制，即不該拿走的“拿不走” ，同時結合內容審計機制，實現(xiàn)網(wǎng)絡資源及信息的可控性。 使用加密機制，確保機密信息不暴露給未授權的實體或進程，即“看不懂” ，從而實現(xiàn)信息的保密性。 使用數(shù)據(jù)完整性鑒別機制，保證只有得到允許的合法用戶才能修改數(shù)據(jù)，而其它人“改不了” ，從而確保信息的完整性與真實性。使用審計、監(jiān)控、防抵賴等安全機制，使得攻擊者、破壞者、抵賴者“走不脫” ，并進一步對網(wǎng)絡出現(xiàn)的安全問題提供調查依據(jù)和手段，實現(xiàn)信息安全的可審查性。移動介質管理安全解決方案2 系統(tǒng)解決方案 系統(tǒng)管理構架S e r v e r 服 務 器C l i e n t 客 戶 端 B r o w s e r 管 理 員 訪 問 終 端數(shù) 據(jù) 庫策略文件由服務器下發(fā) ， 記載著需要客戶端程序所執(zhí)行命令的文件 。它最終被保存在終端計算機內系統(tǒng)管理結構圖系統(tǒng)管理采用 B/S 構架，管理員可在網(wǎng)絡的任何終端通過登錄內網(wǎng)管理服務器的管理頁面進行管理和各種信息查詢。根據(jù)用戶的實際情況需要可以將內網(wǎng)安全管理系統(tǒng)部署為多級級聯(lián)的方式，在用戶及下屬單位的范圍建立起內網(wǎng)安全管理系統(tǒng)的管理架構；或采用集中部署的方式對所有終端進行統(tǒng)一監(jiān)控和管理。移動介質管理安全解決方案 系統(tǒng)詳細解決方案系統(tǒng)管理概述：? 組織管理：指定專人/部門負責進行 USB 設備載體的管理。? 審計管理：安全組織之外，由保密部門負責 USB 管理的檢查工作。? 技術控制：采用各種技術支撐設施（方法）對 USB 設備載體進行管控。? 制度管理：制定 USB 設備載體管理制度，進行日常操作約束。? 應急管理：建立 USB 設備事故應急處理預案機制。系統(tǒng)技術概述：? 設備管理 集中注冊：專門管理員統(tǒng)一對入網(wǎng) usb 設備注冊管理。移動介質管理安全解決方案 分別授權：不同人員、不同部門分密級獲取相應授權。? 設備控制 授權訪問：非注冊授權設備不能在本網(wǎng)絡使用。 權限控制：禁止、只讀、讀寫、外來報警等自定義控制。? 設備審計入網(wǎng)審計：合法、非法 USB 設備入網(wǎng)記錄，合法性校驗。 使用審計：日常數(shù)據(jù)讀寫、拷貝行為審計，外來設備操作記錄。移動存儲介質管理系統(tǒng)是根據(jù)網(wǎng)絡應用特點而設計的一套移動存儲管理方案，目的在于滿足內網(wǎng)移動存儲介質日常安全管理。系統(tǒng)綜合應用底層驅動、扇區(qū)加密、進程守護等多種安全防護技術，磁盤文件底層驅動技術對普通移動存儲設備（主要 USB 類型）作唯一性標簽處理， AES128 位高強度算法對磁盤進行數(shù)據(jù)區(qū)劃分并作加密處理，標簽移動存儲介質結合受控客戶端主機的安全訪問控制策略作匹配授權，確保標簽移動存儲介質使用的安全性與合法性。系統(tǒng)通過集中的注冊管理平臺對 USB 存儲設備作嚴格的設備介質身份認證、數(shù)據(jù)信息重構、數(shù)據(jù)加密等一系列安全防護操作，針對辦公網(wǎng)內計算機 USB 存移動介質管理安全解決方案儲設備的使用和管理建立了完整的防范解決體系，系統(tǒng)采用 C/S 和 B/S 混合式架構，由服務器端和客戶端構成。客戶端主機通過移動存儲介質的產(chǎn)品唯一生命特征識別碼和硬盤唯一碼（其重復概率相當于人類的指紋）二者結合進行識別，當主機數(shù)據(jù)庫和移動存儲介質中的認證信息相同時，接受其入網(wǎng)使用；未經(jīng)注冊的移動存儲設備將會自動被系統(tǒng)強制卸載，實現(xiàn)單位 U 盤外出使用需要到單位保密或網(wǎng)絡管理員處登記，否則在外部無法打開。系統(tǒng)在解決安全方面的問題，同時還兼顧工作的實際，力求使用的方便、簡潔與高效。具體分析，系統(tǒng)設計主要滿足用戶以下多個方面的需求：(一)提供對移動存儲設備全生命周期的管理移動存儲設備管理提供對移動存儲設備從購買、使用到銷毀整個過程的跟蹤與管理。能夠隨時對移動存儲設備的情況進行監(jiān)管，隨時了解某個移動存儲設備的在網(wǎng)絡中的使用情況和當前聯(lián)機所處狀態(tài)。(二)能夠區(qū)