【正文】 行審計(jì)記錄； 對(duì)內(nèi)網(wǎng)中使用的移動(dòng)存儲(chǔ)設(shè)備進(jìn)行加密或保護(hù)，只能由通過身份驗(yàn)證的人或者在規(guī)定范圍內(nèi)的計(jì)算機(jī)上使用； 為了方便內(nèi)網(wǎng)中部門間或用戶間的信息交換，注冊(cè)一批移動(dòng)存儲(chǔ)設(shè)備，限制該設(shè)備只能在內(nèi)網(wǎng)計(jì)算機(jī)上使用，無法在除內(nèi)網(wǎng)以外的任何網(wǎng)絡(luò)或計(jì)算機(jī)上使用； 對(duì)已經(jīng)注冊(cè)的移動(dòng)存儲(chǔ)設(shè)備，限定其讀寫、只讀或嚴(yán)格禁止其在非授權(quán)的計(jì)算機(jī)上進(jìn)行使用； 注冊(cè)一批信息交互專用存儲(chǔ)設(shè)備，既要方便內(nèi)網(wǎng)計(jì)算機(jī)文件與外部的交互，又要保證不會(huì)因存儲(chǔ)介質(zhì)被木馬或黑客入侵而導(dǎo)致涉密信息泄漏。相信達(dá)到了上述的要求，不但可以輕松通過信息安全等級(jí)保護(hù)評(píng)估，還可以方便用戶的使用，更保障了網(wǎng)絡(luò)信息數(shù)據(jù)的安全。而某內(nèi)網(wǎng)安全管理系統(tǒng)在移動(dòng)存儲(chǔ)設(shè)備的管理上可以完全滿足上述要求，為用戶和管理員提供便利的工作環(huán)境和安全的信息保障體系。 需求分析 應(yīng)用環(huán)境安全需求對(duì)于網(wǎng)絡(luò)系統(tǒng)建設(shè)來說，當(dāng)前面臨的一項(xiàng)重點(diǎn)內(nèi)容就是移動(dòng)存儲(chǔ)設(shè)備管理的建設(shè)。應(yīng)用環(huán)境的安全主要為內(nèi)部網(wǎng)絡(luò)終端的接入安全、移動(dòng)存儲(chǔ)設(shè)備管理的安全。如何保證個(gè)人終端計(jì)算機(jī)正常、穩(wěn)定的對(duì)外提供服務(wù)，同時(shí)還要保證內(nèi)網(wǎng)終端數(shù)據(jù)的安全防護(hù)，移動(dòng)介質(zhì)管理成為應(yīng)用環(huán)境安全需求的重中之重。移動(dòng)介質(zhì)管理安全解決方案 終端平臺(tái)可控應(yīng)用環(huán)境安全的核心是可控的終端安全管理系統(tǒng)，它是構(gòu)成計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)元素，也是中網(wǎng)絡(luò)系統(tǒng)安全加固項(xiàng)目承載的主要平臺(tái)和表現(xiàn)實(shí)體，保障其安全可靠至關(guān)重要。操作系統(tǒng)是整個(gè)用戶系統(tǒng)的承載平臺(tái)，要想提高信息網(wǎng)絡(luò)系統(tǒng)的整體安全性，實(shí)現(xiàn)計(jì)算機(jī)信息網(wǎng)絡(luò)高可靠性和信息的完整性、保密性，必須依賴于操作系統(tǒng)這個(gè)承載平臺(tái)的安全性的提高，任何想象中的、脫離操作系統(tǒng)的應(yīng)用軟件的高安全性，就如同幻想在沙灘上建立堅(jiān)不可摧的堡壘一樣，毫無根基可言。因此，加強(qiáng)各個(gè)終端操作系統(tǒng)的安全的工作成為了此次系統(tǒng)安全加固中的一項(xiàng)重要的輔助工作。 網(wǎng)絡(luò)安全環(huán)境在網(wǎng)絡(luò)系統(tǒng)中，網(wǎng)絡(luò)環(huán)境安全整體表現(xiàn)為網(wǎng)絡(luò)鏈路的通暢和對(duì)不同的網(wǎng)絡(luò)區(qū)域?qū)崿F(xiàn)不同的移動(dòng)存儲(chǔ)管理規(guī)則，尤其注意防范內(nèi)網(wǎng)中的安全威脅。 安全管理平臺(tái)在內(nèi)部網(wǎng)絡(luò)的信息安全保障工作中，需要從整體的角度出發(fā)來考慮問題和解決問題。 項(xiàng)目總體建設(shè)方案 方案設(shè)計(jì)原則? 建立整體安全體系安全性設(shè)計(jì)必須從全方位、多層次加以考慮，即通過系統(tǒng)級(jí)、網(wǎng)絡(luò)級(jí)、應(yīng)用級(jí)的安全性。? 安全可靠性方案中使用的安全產(chǎn)品必須具有良好的穩(wěn)定性，能夠持續(xù)可靠地在系統(tǒng)中移動(dòng)介質(zhì)管理安全解決方案運(yùn)行，從而徹底的貫徹實(shí)施方案中制定的安全策略。? 技術(shù)先進(jìn)性方案中采用的信息安全產(chǎn)品以及響應(yīng)的管理手段、安全策略必須有足夠的先進(jìn)性。? 技術(shù)成熟性方案中采用的信息安全產(chǎn)品必須是已經(jīng)經(jīng)過實(shí)際應(yīng)用考驗(yàn)的安全技術(shù)和產(chǎn)品。? 開放性系統(tǒng)具有開放性，支持國際標(biāo)準(zhǔn)，能夠接受和輸出標(biāo)準(zhǔn)格式的數(shù)據(jù)，提供給各種網(wǎng)絡(luò)，實(shí)現(xiàn)資源共享。? 主動(dòng)式安全和被動(dòng)式安全相結(jié)合主動(dòng)式安全主要是從人的角度考慮，通過安全教育與培訓(xùn)，提高相關(guān)技術(shù)人員的安全意識(shí)，使之主動(dòng)自覺地根據(jù)既定策略利用各種工具去加強(qiáng)安全性；被動(dòng)式安全則主要是從具體安全措施的角度考慮。只有建立人與信息安全設(shè)備完美互動(dòng)的安全策略，方能切實(shí)有效地實(shí)現(xiàn)信息安全。? 切合實(shí)際實(shí)施安全性必須緊密切合要進(jìn)行安全防護(hù)的實(shí)際對(duì)象來制定具體的安全策略，并根據(jù)策略選擇不同規(guī)格的安全加固設(shè)備，既要避免過于龐大冗雜的安全策略或措施導(dǎo)致性能下降，又要杜絕盲目選用高端設(shè)備導(dǎo)致的系統(tǒng)資源浪費(fèi)以及無謂成本的投入，真正做到有的放矢、行之有效。? 易于實(shí)施、管理與維護(hù)整套安全工程設(shè)計(jì)必須具有良好的可實(shí)施性與可管理性，同時(shí)還要具有尚佳的易維護(hù)性。? 具有較好的可擴(kuò)展性安全工程設(shè)計(jì)、系統(tǒng)安全加固設(shè)備具體規(guī)格的選型，必須具有良好的可伸縮性及兼容性。整個(gè)安全系統(tǒng)必須留有接口，以適應(yīng)未來工程規(guī)模拓展的需要。? 節(jié)約系統(tǒng)投資在實(shí)現(xiàn)既定安全策略的前提下，必須充分考慮投資，將用戶的利益始終放移動(dòng)介質(zhì)管理安全解決方案在第一位。通過認(rèn)真規(guī)劃安全性設(shè)計(jì)，有針對(duì)性的選擇適當(dāng)規(guī)格的安全加固設(shè)備，既要保證安全加固設(shè)備系統(tǒng)資源的充分利用，又要盡可能的為用戶節(jié)約系統(tǒng)投資。此外，本次項(xiàng)目建設(shè)中所使用的安全產(chǎn)品、制定的安全策略以及涉及到的工程標(biāo)準(zhǔn)等環(huán)節(jié)必須符合或滿足國家相關(guān)法律法規(guī)、相關(guān)國家標(biāo)準(zhǔn)的規(guī)定。 安全建設(shè)總目標(biāo)信息安全的基本需求就是滿足五個(gè)基本安全要素：機(jī)密性、完整性、可用性、可控性與可審查性，能夠有效地實(shí)現(xiàn)以下任務(wù)： 使用訪問控制機(jī)制，阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)，即“進(jìn)不來” ，從而保證系統(tǒng)的網(wǎng)絡(luò)資源被受控合法的利用。 使用授權(quán)機(jī)制，實(shí)現(xiàn)對(duì)用戶的權(quán)限控制，即不該拿走的“拿不走” ，同時(shí)結(jié)合內(nèi)容審計(jì)機(jī)制，實(shí)現(xiàn)網(wǎng)絡(luò)資源及信息的可控性。 使用加密機(jī)制，確保機(jī)密信息不暴露給未授權(quán)的實(shí)體或進(jìn)程，即“看不懂” ，從而實(shí)現(xiàn)信息的保密性。 使用數(shù)據(jù)完整性鑒別機(jī)制，保證只有得到允許的合法用戶才能修改數(shù)據(jù)，而其它人“改不了” ，從而確保信息的完整性與真實(shí)性。使用審計(jì)、監(jiān)控、防抵賴等安全機(jī)制，使得攻擊者、破壞者、抵賴者“走不脫” ，并進(jìn)一步對(duì)網(wǎng)絡(luò)出現(xiàn)的安全問題提供調(diào)查依據(jù)和手段，實(shí)現(xiàn)信息安全的可審查性。移動(dòng)介質(zhì)管理安全解決方案2 系統(tǒng)解決方案 系統(tǒng)管理構(gòu)架S e r v e r 服 務(wù) 器C l i e n t 客 戶 端 B r o w s e r 管 理 員 訪 問 終 端數(shù) 據(jù) 庫策略文件由服務(wù)器下發(fā) ， 記載著需要客戶端程序所執(zhí)行命令的文件 。它最終被保存在終端計(jì)算機(jī)內(nèi)系統(tǒng)管理結(jié)構(gòu)圖系統(tǒng)管理采用 B/S 構(gòu)架，管理員可在網(wǎng)絡(luò)的任何終端通過登錄內(nèi)網(wǎng)管理服務(wù)器的管理頁面進(jìn)行管理和各種信息查詢。根據(jù)用戶的實(shí)際情況需要可以將內(nèi)網(wǎng)安全管理系統(tǒng)部署為多級(jí)級(jí)聯(lián)的方式，在用戶及下屬單位的范圍建立起內(nèi)網(wǎng)安全管理系統(tǒng)的管理架構(gòu)；或采用集中部署的方式對(duì)所有終端進(jìn)行統(tǒng)一監(jiān)控和管理。移動(dòng)介質(zhì)管理安全解決方案 系統(tǒng)詳細(xì)解決方案系統(tǒng)管理概述：? 組織管理：指定專人/部門負(fù)責(zé)進(jìn)行 USB 設(shè)備載體的管理。? 審計(jì)管理：安全組織之外，由保密部門負(fù)責(zé) USB 管理的檢查工作。? 技術(shù)控制：采用各種技術(shù)支撐設(shè)施（方法）對(duì) USB 設(shè)備載體進(jìn)行管控。? 制度管理：制定 USB 設(shè)備載體管理制度，進(jìn)行日常操作約束。? 應(yīng)急管理：建立 USB 設(shè)備事故應(yīng)急處理預(yù)案機(jī)制。系統(tǒng)技術(shù)概述：? 設(shè)備管理 集中注冊(cè)：專門管理員統(tǒng)一對(duì)入網(wǎng) usb 設(shè)備注冊(cè)管理。移動(dòng)介質(zhì)管理安全解決方案 分別授權(quán)：不同人員、不同部門分密級(jí)獲取相應(yīng)授權(quán)。? 設(shè)備控制 授權(quán)訪問：非注冊(cè)授權(quán)設(shè)備不能在本網(wǎng)絡(luò)使用。 權(quán)限控制：禁止、只讀、讀寫、外來報(bào)警等自定義控制。? 設(shè)備審計(jì)入網(wǎng)審計(jì)：合法、非法 USB 設(shè)備入網(wǎng)記錄，合法性校驗(yàn)。 使用審計(jì)：日常數(shù)據(jù)讀寫、拷貝行為審計(jì)，外來設(shè)備操作記錄。移動(dòng)存儲(chǔ)介質(zhì)管理系統(tǒng)是根據(jù)網(wǎng)絡(luò)應(yīng)用特點(diǎn)而設(shè)計(jì)的一套移動(dòng)存儲(chǔ)管理方案，目的在于滿足內(nèi)網(wǎng)移動(dòng)存儲(chǔ)介質(zhì)日常安全管理。系統(tǒng)綜合應(yīng)用底層驅(qū)動(dòng)、扇區(qū)加密、進(jìn)程守護(hù)等多種安全防護(hù)技術(shù)，磁盤文件底層驅(qū)動(dòng)技術(shù)對(duì)普通移動(dòng)存儲(chǔ)設(shè)備（主要 USB 類型）作唯一性標(biāo)簽處理， AES128 位高強(qiáng)度算法對(duì)磁盤進(jìn)行數(shù)據(jù)區(qū)劃分并作加密處理，標(biāo)簽移動(dòng)存儲(chǔ)介質(zhì)結(jié)合受控客戶端主機(jī)的安全訪問控制策略作匹配授權(quán)，確保標(biāo)簽移動(dòng)存儲(chǔ)介質(zhì)使用的安全性與合法性。系統(tǒng)通過集中的注冊(cè)管理平臺(tái)對(duì) USB 存儲(chǔ)設(shè)備作嚴(yán)格的設(shè)備介質(zhì)身份認(rèn)證、數(shù)據(jù)信息重構(gòu)、數(shù)據(jù)加密等一系列安全防護(hù)操作，針對(duì)辦公網(wǎng)內(nèi)計(jì)算機(jī) USB 存移動(dòng)介質(zhì)管理安全解決方案儲(chǔ)設(shè)備的使用和管理建立了完整的防范解決體系，系統(tǒng)采用 C/S 和 B/S 混合式架構(gòu)，由服務(wù)器端和客戶端構(gòu)成?？蛻舳酥鳈C(jī)通過移動(dòng)存儲(chǔ)介質(zhì)的產(chǎn)品唯一生命特征識(shí)別碼和硬盤唯一碼（其重復(fù)概率相當(dāng)于人類的指紋）二者結(jié)合進(jìn)行識(shí)別，當(dāng)主機(jī)數(shù)據(jù)庫和移動(dòng)存儲(chǔ)介質(zhì)中的認(rèn)證信息相同時(shí)，接受其入網(wǎng)使用；未經(jīng)注冊(cè)的移動(dòng)存儲(chǔ)設(shè)備將會(huì)自動(dòng)被系統(tǒng)強(qiáng)制卸載，實(shí)現(xiàn)單位 U 盤外出使用需要到單位保密或網(wǎng)絡(luò)管理員處登記，否則在外部無法打開。系統(tǒng)在解決安全方面的問題，同時(shí)還兼顧工作的實(shí)際，力求使用的方便、簡潔與高效。具體分析，系統(tǒng)設(shè)計(jì)主要滿足用戶以下多個(gè)方面的需求：(一)提供對(duì)移動(dòng)存儲(chǔ)設(shè)備全生命周期的管理移動(dòng)存儲(chǔ)設(shè)備管理提供對(duì)移動(dòng)存儲(chǔ)設(shè)備從購買、使用到銷毀整個(gè)過程的跟蹤與管理。能夠隨時(shí)對(duì)移動(dòng)存儲(chǔ)設(shè)備的情況進(jìn)行監(jiān)管，隨時(shí)了解某個(gè)移動(dòng)存儲(chǔ)設(shè)備的在網(wǎng)絡(luò)中的使用情況和當(dāng)前聯(lián)機(jī)所處狀態(tài)。(二)能夠區(qū)