【正文】 系統(tǒng)綜合應用了移動介質管理安全解決方案底層驅動、扇區(qū)加密、進程守護等多種安全防護技術，磁盤文件底層驅動技術對普通移動存儲設備（主要 USB 類型）作唯一性標簽處理，AES128 位高強度算法對磁盤進行數(shù)據(jù)區(qū)劃分并作加密處理，標簽移動存儲介質結合受控客戶端主機的安全訪問控制策略作匹配授權，確保標簽移動存儲介質使用的安全性與合法性。某廠商提供芯片級保護的安全 U 盤硬件介質，該產品采用數(shù)據(jù)防護算法和硬件驗證技術，避免了存儲數(shù)據(jù)的非法存取和意外泄漏。終端數(shù)據(jù)上報和服務器端指令、策略下發(fā)采用加密算法，防止他人旁路嗅探信息。移動介質管理安全解決方案TTDS：采用扇區(qū)映射方式進行二級抽象，完全打亂文件的存儲位置，防止結構性破解。 （如下圖） (2)對外部傳輸非涉密文件： U 盤拷貝到外帶專用 U 盤將文件拷貝到外部非涉密計算機中。由于所有注冊移動存儲設備只能在內部網絡使用，并且數(shù)據(jù)是加密的，外部普通移動存儲設備又不能在內網使用，因此導致內外數(shù)據(jù)無法進行交換，必須建立一套安全可靠的內外數(shù)據(jù)交換機制。移動介質管理安全解決方案移動存儲介質管理系統(tǒng)能夠從主機層次和傳遞介質層次對文件的讀寫進行訪問限制和事后追蹤審計，為網絡內部可能出現(xiàn)的數(shù)據(jù)拷貝泄密、移動存儲介質遺失泄密、以及 U 盤等移動介質接入病毒安全的問題提供了解決方案。非公司專有移動存儲設備管理辦法移動介質管理安全解決方案（1） 對非公司專有移動存儲設備，即未打標簽的可移動存儲設備，當這種設備接入公司網絡的已注冊計算機上的 USB 口時，可根據(jù)該計算機用戶所屬的安全級別，設置為禁止讀寫，只讀，只寫，允許讀寫。交換區(qū)和保密區(qū)啟動均需輸入獨立的密碼，數(shù)據(jù)在二個區(qū)存儲時均以加密方式存儲。同時具備靈活的策略分發(fā)模式, 可以指定某個（或某組）存儲介質只能在某臺（或某組）計算機上使用，并設定使用方式。? 支持對數(shù)據(jù)交換進行指定格式的文件審計過濾。? 系統(tǒng)對已注冊移動存儲介質的格式化不影響移動存儲介質原有的注冊信息。(三) 移動存儲設備訪問控制系統(tǒng)支持對移動存儲設備的訪問控制，通過系統(tǒng)內置的策略庫以及管理分組功能，實現(xiàn)終端訪問的靈活控制，最大限度地防止數(shù)據(jù)被濫用，保證數(shù)據(jù)的可用性。系統(tǒng)支持對非 USB 存儲設備（USB 鍵盤、鼠標、打印機、硬件 key 等）的自動識別，支持對特定 USB 存儲介質（如數(shù)據(jù)交換中間機）設置不同的訪問權限。利用磁盤驅動技術對介質分區(qū)時即對磁盤進行加密，同時生成隨機的 128 位加密密鑰防護磁盤訪問。虛擬磁盤技術涉及對總線驅動、物理磁盤驅動、磁盤過濾驅動等操作。（3）新入網設備：未注冊移動存儲設備，新入網未注冊計算機。系統(tǒng)模塊工作流程：（1）客戶端報警信息上報，控制臺指令接收（2）USB 設備注冊信息上報，密碼還原信息獲?。?）綜合數(shù)據(jù)入庫、出庫（4）系統(tǒng)數(shù)據(jù)綜合分析處理（5）系統(tǒng)設備掃描自動發(fā)現(xiàn)（主機設備）（6）報警及系統(tǒng)數(shù)據(jù)呈現(xiàn)，系統(tǒng)策略數(shù)據(jù)存儲移動介質管理安全解決方案? 網絡設備信息采集模塊：負責采集計算機中相關報警、病毒狀況等信息。(五）提供對移動存儲設備使用的詳細日志審計記錄對移動存儲設備的訪問，便于以后進行跟蹤審計。客戶端主機通過移動存儲介質的產品唯一生命特征識別碼和硬盤唯一碼（其重復概率相當于人類的指紋）二者結合進行識別，當主機數(shù)據(jù)庫和移動存儲介質中的認證信息相同時，接受其入網使用；未經注冊的移動存儲設備將會自動被系統(tǒng)強制卸載，實現(xiàn)單位 U 盤外出使用需要到單位保密或網絡管理員處登記，否則在外部無法打開。移動介質管理安全解決方案 分別授權：不同人員、不同部門分密級獲取相應授權。它最終被保存在終端計算機內系統(tǒng)管理結構圖系統(tǒng)管理采用 B/S 構架，管理員可在網絡的任何終端通過登錄內網管理服務器的管理頁面進行管理和各種信息查詢。通過認真規(guī)劃安全性設計，有針對性的選擇適當規(guī)格的安全加固設備，既要保證安全加固設備系統(tǒng)資源的充分利用，又要盡可能的為用戶節(jié)約系統(tǒng)投資。? 開放性系統(tǒng)具有開放性，支持國際標準，能夠接受和輸出標準格式的數(shù)據(jù)，提供給各種網絡，實現(xiàn)資源共享。操作系統(tǒng)是整個用戶系統(tǒng)的承載平臺，要想提高信息網絡系統(tǒng)的整體安全性，實現(xiàn)計算機信息網絡高可靠性和信息的完整性、保密性，必須依賴于操作系統(tǒng)這個承載平臺的安全性的提高，任何想象中的、脫離操作系統(tǒng)的應用軟件的高安全性，就如同幻想在沙灘上建立堅不可摧的堡壘一樣，毫無根基可言。也移動介質管理安全解決方案就是說雖然內網是物理隔離的，但內網中的一些文件是需要交互處理的。只有將硬件軟件結合起來統(tǒng)籌規(guī)劃，才能發(fā)揮最大的效力，保障用戶網絡系統(tǒng)，杜絕一切安全隱患。信息系統(tǒng)網絡的網絡安全、服務器安全、用戶安全、應用程序和服務安全、數(shù)據(jù)安全各個環(huán)節(jié)，均采取了切實有效的管理方法和技術手段，在每個部分都有領先的產品和服務以確保系統(tǒng)的整體安全。這就對網絡管理者提出了一些極高的要求： 限制移動存儲設備在內網中的使用，禁止非本單位或本部門的移動存儲設備在本單位計算機上使用； 對內網中移動存儲設備的讀取、拷入、拷出、等行為進行審計記錄； 對內網中使用的移動存儲設備進行加密或保護，只能由通過身份驗證的人或者在規(guī)定范圍內的計算機上使用； 為了方便內網中部門間或用戶間的信息交換，注冊一批移動存儲設備，限制該設備只能在內網計算機上使用，無法在除內網以外的任何網絡或計算機上使用； 對已經注冊的移動存儲設備，限定其讀寫、只讀或嚴格禁止其在非授權的計算機上進行使用； 注冊一批信息交互專用存儲設備，既要方便內網計算機文件與外部的交互，又要保證不會因存儲介質被木馬或黑客入侵而導致涉密信息泄漏。因此，加強各個終端操作系統(tǒng)的安全的工作成為了此次系統(tǒng)安全加固中的一項重要的輔助工作。? 主動式安全和被動式安全相結合主動式安全主要是從人的角度考慮，通過安全教育與培訓，提高相關技術人員的安全意識，使之主動自覺地根據(jù)既定策略利用各種工具去加強安全性；被動式安全則主要是從具體安全措施的角度考慮。此外，本次項目建設中所使用的安全產品、制定的安全策略以及涉及到的工程標準等環(huán)節(jié)必須符合或滿足國家相關法律法規(guī)、相關國家標準的規(guī)定。根據(jù)用戶的實際情況需要可以將內網安全管理系統(tǒng)部署為多級級聯(lián)的方式，在用戶及下屬單位的范圍建立起內網安全管理系統(tǒng)的管理架構；或采用集中部署的方式對所有終端進行統(tǒng)一監(jiān)控和管理。? 設備控制 授權訪問：非注冊授權設備不能在本網絡使用。系統(tǒng)在解決安全方面的問題，同時還兼顧工作的實際，力求使用的方便、簡潔與高效。(六)分權限管理 系統(tǒng)管理權限和使用權限分開，具有安全性高、可靠性強，適合集中授權、移動介質管理安全解決方案多角色參與監(jiān)控的管理模式。包含二個子模塊：客戶端模塊、網絡設備信息自動發(fā)現(xiàn)模塊。移動介質管理安全解決方案? 基于定時掃描機制，自動掃描檢測管理網段內的計算機是否已經安裝移動存儲管理客戶端軟件情況，將設備信息數(shù)據(jù)同數(shù)據(jù)庫中原始數(shù)據(jù)進行比較，如發(fā)現(xiàn)異常則報警，并阻斷非法設備的入網。 虛擬加密磁盤技術主要由磁盤應用程序、虛擬加密磁盤驅動程序、加密驅動程序等軟件模塊實現(xiàn)，對機密文件信息的安全保護、加密存儲。5）二次加密技術：密鑰隨機產生，同登錄口令進行 CRC32 校驗，生成校驗碼，系統(tǒng)將密鑰隨機值同校驗碼一同加密，保存在 U 盤中，加密程序在操作系統(tǒng)對扇區(qū)格式化時進行加密，并對對數(shù)據(jù)文件的讀寫進行加解密，算法是經過變化處理（密鑰+偏移位）的 AES128 位算法。針對實際工作的特點，還考慮到分權分級管理、設備兼容性等。具體功能通過標簽認證方式實現(xiàn)：? 未統(tǒng)一授權的移動存儲設備，可設置為“不允許使用” 、 “允許只讀方式使用” 、 “允許讀寫方式”使用等安全標識。(六)分組管理與策略定義一般的網絡都作相應的功能區(qū)劃分，如辦公系統(tǒng)、業(yè)務系統(tǒng)、管理決策系統(tǒng)等，便于信息交流與保密。? ，必要時產生包括餅圖、線圖和表等各種形式的定制報告，可根據(jù)用戶需要定制報告模板和內容。系統(tǒng)具備在操作系統(tǒng)安全模式下和離開局域網時同樣具有對移動存儲介質移動介質管理安全解決方案的監(jiān)管控制能力；具備自身安全能力，無法卸載、修改、破解等，并具有自身修復能力。（1）在涉密網絡中或高要求的辦公網絡中，可只生成保密區(qū)一個區(qū)，該保密區(qū)只能在有對應安全策略的主機上通過認證標簽后、同時輸入正確密碼才能訪問，同時有安全策略的主機可以根據(jù)策略控制未經標簽認證的移動存儲設備的使用。（2