【正文】 故應(yīng)急處理預(yù)案機(jī)制。移動(dòng)介質(zhì)管理安全解決方案 系統(tǒng)詳細(xì)解決方案系統(tǒng)管理概述：? 組織管理：指定專人/部門負(fù)責(zé)進(jìn)行 USB 設(shè)備載體的管理。使用審計(jì)、監(jiān)控、防抵賴等安全機(jī)制，使得攻擊者、破壞者、抵賴者“走不脫” ，并進(jìn)一步對(duì)網(wǎng)絡(luò)出現(xiàn)的安全問題提供調(diào)查依據(jù)和手段，實(shí)現(xiàn)信息安全的可審查性。 安全建設(shè)總目標(biāo)信息安全的基本需求就是滿足五個(gè)基本安全要素：機(jī)密性、完整性、可用性、可控性與可審查性，能夠有效地實(shí)現(xiàn)以下任務(wù)： 使用訪問控制機(jī)制，阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)，即“進(jìn)不來(lái)” ，從而保證系統(tǒng)的網(wǎng)絡(luò)資源被受控合法的利用。整個(gè)安全系統(tǒng)必須留有接口，以適應(yīng)未來(lái)工程規(guī)模拓展的需要。只有建立人與信息安全設(shè)備完美互動(dòng)的安全策略，方能切實(shí)有效地實(shí)現(xiàn)信息安全。? 技術(shù)先進(jìn)性方案中采用的信息安全產(chǎn)品以及響應(yīng)的管理手段、安全策略必須有足夠的先進(jìn)性。 網(wǎng)絡(luò)安全環(huán)境在網(wǎng)絡(luò)系統(tǒng)中，網(wǎng)絡(luò)環(huán)境安全整體表現(xiàn)為網(wǎng)絡(luò)鏈路的通暢和對(duì)不同的網(wǎng)絡(luò)區(qū)域?qū)崿F(xiàn)不同的移動(dòng)存儲(chǔ)管理規(guī)則，尤其注意防范內(nèi)網(wǎng)中的安全威脅。如何保證個(gè)人終端計(jì)算機(jī)正常、穩(wěn)定的對(duì)外提供服務(wù)，同時(shí)還要保證內(nèi)網(wǎng)終端數(shù)據(jù)的安全防護(hù)，移動(dòng)介質(zhì)管理成為應(yīng)用環(huán)境安全需求的重中之重。相信達(dá)到了上述的要求，不但可以輕松通過(guò)信息安全等級(jí)保護(hù)評(píng)估，還可以方便用戶的使用，更保障了網(wǎng)絡(luò)信息數(shù)據(jù)的安全。移動(dòng)存儲(chǔ)介質(zhì)在信息交流中為用戶提供極大便利的同時(shí)，也為用戶和計(jì)算機(jī)管理員帶來(lái)了很大的麻煩，80％以上的病毒都有利用USB移動(dòng)存儲(chǔ)設(shè)備進(jìn)行傳播的特點(diǎn)，眾多的泄密事件也都是由USB移動(dòng)存儲(chǔ)設(shè)備引起的。隨著網(wǎng)絡(luò)安全的建設(shè)，網(wǎng)絡(luò)和終端安全管理體系都已逐漸完善，包括常規(guī)的網(wǎng)絡(luò)物理隔離保障、操作系統(tǒng)補(bǔ)丁分發(fā)管理、終端資產(chǎn)管理、終端行為和網(wǎng)絡(luò)訪問控制等技術(shù)基本得到了普及。完備的信息安全解決方案是保障系統(tǒng)安全的基本而又重要的一部分。網(wǎng)絡(luò)安全解決方案不僅包括安全產(chǎn)品的設(shè)計(jì)，安全策略制定、安全架構(gòu)制定、安全策略架構(gòu)的實(shí)施，還包括企業(yè)系統(tǒng)風(fēng)險(xiǎn)評(píng)估、以及員工的培訓(xùn)、事后的安全審計(jì)等。然而面對(duì)《信息安全等級(jí)保護(hù)管理辦法》 ，仍然存在很多令網(wǎng)絡(luò)管理者棘手的問題：在信息安全管理中，既要達(dá)到高強(qiáng)度安全管理標(biāo)準(zhǔn)，又要保證基于計(jì)算機(jī)和網(wǎng)絡(luò)的業(yè)務(wù)正常運(yùn)營(yíng)，其中必然存在諸多的矛盾。然而我們卻不能因此就完全禁用USB移動(dòng)存儲(chǔ)設(shè)備，尤其在雙網(wǎng)（內(nèi)外網(wǎng)）環(huán)境中，往往需要將在內(nèi)網(wǎng)撰寫的文件通過(guò)USB存儲(chǔ)設(shè)備拷貝到外網(wǎng)中，再通過(guò)互聯(lián)網(wǎng)發(fā)布出去。而某內(nèi)網(wǎng)安全管理系統(tǒng)在移動(dòng)存儲(chǔ)設(shè)備的管理上可以完全滿足上述要求，為用戶和管理員提供便利的工作環(huán)境和安全的信息保障體系。移動(dòng)介質(zhì)管理安全解決方案 終端平臺(tái)可控應(yīng)用環(huán)境安全的核心是可控的終端安全管理系統(tǒng)，它是構(gòu)成計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)元素，也是中網(wǎng)絡(luò)系統(tǒng)安全加固項(xiàng)目承載的主要平臺(tái)和表現(xiàn)實(shí)體，保障其安全可靠至關(guān)重要。 安全管理平臺(tái)在內(nèi)部網(wǎng)絡(luò)的信息安全保障工作中，需要從整體的角度出發(fā)來(lái)考慮問題和解決問題。? 技術(shù)成熟性方案中采用的信息安全產(chǎn)品必須是已經(jīng)經(jīng)過(guò)實(shí)際應(yīng)用考驗(yàn)的安全技術(shù)和產(chǎn)品。? 切合實(shí)際實(shí)施安全性必須緊密切合要進(jìn)行安全防護(hù)的實(shí)際對(duì)象來(lái)制定具體的安全策略，并根據(jù)策略選擇不同規(guī)格的安全加固設(shè)備，既要避免過(guò)于龐大冗雜的安全策略或措施導(dǎo)致性能下降，又要杜絕盲目選用高端設(shè)備導(dǎo)致的系統(tǒng)資源浪費(fèi)以及無(wú)謂成本的投入，真正做到有的放矢、行之有效。? 節(jié)約系統(tǒng)投資在實(shí)現(xiàn)既定安全策略的前提下，必須充分考慮投資，將用戶的利益始終放移動(dòng)介質(zhì)管理安全解決方案在第一位。 使用授權(quán)機(jī)制，實(shí)現(xiàn)對(duì)用戶的權(quán)限控制，即不該拿走的“拿不走” ，同時(shí)結(jié)合內(nèi)容審計(jì)機(jī)制，實(shí)現(xiàn)網(wǎng)絡(luò)資源及信息的可控性。移動(dòng)介質(zhì)管理安全解決方案2 系統(tǒng)解決方案 系統(tǒng)管理構(gòu)架S e r v e r 服 務(wù) 器C l i e n t 客 戶 端 B r o w s e r 管 理 員 訪 問 終 端數(shù) 據(jù) 庫(kù)策略文件由服務(wù)器下發(fā) ， 記載著需要客戶端程序所執(zhí)行命令的文件 。? 審計(jì)管理：安全組織之外，由保密部門負(fù)責(zé) USB 管理的檢查工作。系統(tǒng)技術(shù)概述：? 設(shè)備管理 集中注冊(cè)：專門管理員統(tǒng)一對(duì)入網(wǎng) usb 設(shè)備注冊(cè)管理。? 設(shè)備審計(jì)入網(wǎng)審計(jì)：合法、非法 USB 設(shè)備入網(wǎng)記錄，合法性校驗(yàn)。系統(tǒng)通過(guò)集中的注冊(cè)管理平臺(tái)對(duì) USB 存儲(chǔ)設(shè)備作嚴(yán)格的設(shè)備介質(zhì)身份認(rèn)證、數(shù)據(jù)信息重構(gòu)、數(shù)據(jù)加密等一系列安全防護(hù)操作，針對(duì)辦公網(wǎng)內(nèi)計(jì)算機(jī) USB 存移動(dòng)介質(zhì)管理安全解決方案儲(chǔ)設(shè)備的使用和管理建立了完整的防范解決體系，系統(tǒng)采用 C/S 和 B/S 混合式架構(gòu)，由服務(wù)器端和客戶端構(gòu)成。能夠隨時(shí)對(duì)移動(dòng)存儲(chǔ)設(shè)備的情況進(jìn)行監(jiān)管，隨時(shí)了解某個(gè)移動(dòng)存儲(chǔ)設(shè)備的在網(wǎng)絡(luò)中的使用情況和當(dāng)前聯(lián)機(jī)所處狀態(tài)。(四)移動(dòng)存儲(chǔ)設(shè)備中的數(shù)據(jù)提供加密保護(hù)為了防止移動(dòng)存儲(chǔ)設(shè)備丟失造成泄密，存儲(chǔ)在移動(dòng)介質(zhì)中的數(shù)據(jù)是加密的，而且是磁盤級(jí)的透明加密，避免被不法分子躲避或惡意行為留下安全隱患。(七)通信及日志文件加密服務(wù)器端與客戶端使用 TCP 協(xié)議通信，端口可以自行靈活修改，同時(shí)客戶端數(shù)據(jù)上報(bào)和服務(wù)器端指令、策略下發(fā)采用加密算法，防止他人旁路刺探信息。若管理人員要求強(qiáng)制卸載客戶端時(shí)，需要輸入管理員的密碼方可執(zhí)行卸載操作。? )數(shù)據(jù)存儲(chǔ)與分析模塊：將采集完畢的數(shù)據(jù)和數(shù)據(jù)庫(kù)內(nèi)已有的數(shù)據(jù)進(jìn)行比對(duì)、整理，并進(jìn)行分析，然后根據(jù)情況進(jìn)行數(shù)據(jù)更新或報(bào)警。（2）非法設(shè)備：外來(lái)設(shè)備，無(wú)授權(quán)設(shè)備。? 標(biāo)簽認(rèn)證技術(shù) 通過(guò)專用工具程序?yàn)?USB 移動(dòng)存儲(chǔ)設(shè)備作唯一性認(rèn)證標(biāo)記，該程序從服務(wù)器中讀取本系統(tǒng)的唯一性屬性信息數(shù)據(jù)，經(jīng)過(guò)二次處理，將處理后的信息會(huì)同預(yù)定義屬性標(biāo)簽寫入磁盤。? 虛擬磁盤技術(shù) 將文件虛擬成磁盤，把所有直接對(duì)磁盤訪問定向到文件，采用創(chuàng)建文件方式對(duì)磁盤進(jìn)行扇區(qū)分割，分區(qū)大小可以自由劃分。 ? AES 加解密技術(shù) 1）密鑰生成：在利用專用工具對(duì)介質(zhì)分區(qū)時(shí)即生成 文件加密密鑰，然后用處理后的初始密碼口令 xxxxyyyy 對(duì)文件加密密鑰進(jìn)行加密。4）128 位加密算法：在虛擬磁盤技術(shù)基礎(chǔ)上，采用 AES128 位加密算法，對(duì)扇區(qū)進(jìn)行加密，同時(shí)加帶一個(gè)隨機(jī)加密密鑰，使得虛擬磁盤的數(shù)據(jù)獲得雙重加密，確保無(wú)法破解。? 雙因子認(rèn)證技術(shù)系統(tǒng)采用的任何硬件識(shí)別，均采用對(duì)唯一標(biāo)識(shí)經(jīng)過(guò)特殊算法得出的唯一賦值對(duì)照后作出判斷，防止客戶端計(jì)算機(jī)設(shè)備變更而引起的安全隱患。唯有授權(quán)后的移動(dòng)存儲(chǔ)設(shè)備才能發(fā)放給個(gè)人使用，注冊(cè)與授權(quán)通過(guò)系統(tǒng)專用認(rèn)證工具實(shí)現(xiàn)，不同的網(wǎng)絡(luò)環(huán)境具有不同的唯一性標(biāo)志符。(二) 移動(dòng)存儲(chǔ)設(shè)備分區(qū)管理移動(dòng)存儲(chǔ)介質(zhì)按需求可以劃分為交換區(qū)和保密區(qū)，分區(qū)容量可由管理員靈活定義。交換區(qū)憑密碼認(rèn)證可在所有計(jì)算機(jī)上使用，交換密碼可以靈活修改。移動(dòng)介質(zhì)管理安全解決方案(四) 移動(dòng)存儲(chǔ)設(shè)備磁盤級(jí)的數(shù)據(jù)加密加密是移動(dòng)存儲(chǔ)設(shè)備數(shù)據(jù)保護(hù)的重要技術(shù)手段，數(shù)據(jù)加密功能要兼顧安全性和易用性，系統(tǒng)支持對(duì)交換區(qū)和保密區(qū)的自動(dòng)加解密：? 磁盤級(jí)的透明加解密：加解密過(guò)程對(duì)用戶透明，用戶感覺不到加解密的存在，但是數(shù)據(jù)始終以密文形式存儲(chǔ)在移動(dòng)存儲(chǔ)設(shè)備上。? 數(shù)據(jù)安全擦除：通過(guò)對(duì)數(shù)據(jù)進(jìn)行逐扇區(qū)的多次重寫，實(shí)現(xiàn)磁盤數(shù)據(jù)的徹底粉碎、擦除，通過(guò)任何技術(shù)手段均無(wú)法恢復(fù)數(shù)據(jù)。? 系統(tǒng)內(nèi)置策略中心，管理員可以根據(jù)不同的管理需求和網(wǎng)絡(luò)環(huán)境，靈活制訂不同的移動(dòng)存儲(chǔ)設(shè)備策略進(jìn)行應(yīng)用。? 基于以上數(shù)據(jù)，具備強(qiáng)大的日志審計(jì)功能。具體如下：? 系統(tǒng)可按照要求設(shè)定違規(guī)操作，并在這些違規(guī)操作達(dá)到閥值時(shí)啟動(dòng)自我防護(hù)功能。支持對(duì)移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行分級(jí)安全注冊(cè)認(rèn)證，支持遠(yuǎn)程注冊(cè)授權(quán),通過(guò)打標(biāo)簽的方式對(duì)移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行管理,從而保證內(nèi)部的移動(dòng)存儲(chǔ)介質(zhì)未經(jīng)授權(quán)，無(wú)法在外部使用,外部的移動(dòng)存儲(chǔ)介質(zhì)未經(jīng)許可，無(wú)法在內(nèi)部使用。并以策略的形式分發(fā)給不同的域，實(shí)現(xiàn)對(duì)指定范圍內(nèi)的終端授權(quán)，并對(duì)寫入標(biāo)簽移動(dòng)存儲(chǔ)設(shè)備的訪問進(jìn)行控制。涉密網(wǎng)絡(luò)可只生成保密區(qū)。（2）在普通辦公網(wǎng)絡(luò)中，可生成交換區(qū)、保密區(qū)二個(gè)區(qū)。（2）提供移動(dòng)存儲(chǔ)介質(zhì)的插入和拔出動(dòng)作的詳細(xì)記錄具體包括事件類型、移動(dòng)存儲(chǔ)介質(zhì)的名稱、用戶、計(jì)算機(jī) IP 地址、事件時(shí)間等。（1）對(duì)于以 USB 存儲(chǔ)設(shè)備、移動(dòng)硬盤非法接入內(nèi)網(wǎng)的情況，我們通過(guò)對(duì)外設(shè)及端口進(jìn)行啟用、禁用控制，必要時(shí)候還能夠控制只讀入、可寫出等細(xì)致操作行為。對(duì)可移動(dòng)存儲(chǔ)設(shè)備做到不同細(xì)粒度的管理和控制。對(duì)于網(wǎng)絡(luò)中存在不聯(lián)網(wǎng)的單機(jī)服務(wù)器或者工作站，可以安裝單機(jī)版移動(dòng)存儲(chǔ)管理軟件，單機(jī)版移動(dòng)存儲(chǔ)管理系統(tǒng)在各服務(wù)器上獨(dú)立安裝，普通操作人員