【正文】 ） 對(duì)非公司專有移動(dòng)存儲(chǔ)設(shè)備接入公司網(wǎng)絡(luò)內(nèi)的注冊(cè)計(jì)算機(jī)，在服務(wù)器上會(huì)產(chǎn)生相應(yīng)的詳細(xì)報(bào)警記錄。 主機(jī)數(shù)據(jù)介質(zhì)拷貝標(biāo)簽認(rèn)證訪問控制； 專用移動(dòng)存儲(chǔ)介質(zhì)數(shù)據(jù)加解密存儲(chǔ)；專用移動(dòng)存儲(chǔ)介質(zhì)內(nèi)嵌主動(dòng)式病毒安全防御；雙數(shù)據(jù)區(qū)交互使用：專用 U 盤支持交互區(qū)和保密區(qū)劃分。因此，在外部文件拷入內(nèi)部網(wǎng)絡(luò)，內(nèi)部文件拷出內(nèi)網(wǎng)時(shí)，都要經(jīng)過專門的中間機(jī)進(jìn)行數(shù)據(jù)交換，具體情況和流程如下：中間機(jī)指在授權(quán)計(jì)算機(jī)和非授權(quán)計(jì)算機(jī)之間傳遞信息的專用計(jì)算機(jī)，其對(duì)注冊(cè)專用存儲(chǔ)設(shè)備和其他存儲(chǔ)設(shè)備均具有訪問權(quán)限。 （如下圖） U 盤將文件拷貝到外部未授權(quán)Ｕ盤中，在由外部U 盤拷貝到外部非涉密計(jì)算機(jī)中?？蛻舳舜沓绦蚓哂谐瑥?qiáng)自保護(hù)能力，即使在安全模式也無法刪除停止，同時(shí)在文件受到損壞后，能夠及時(shí)自我修復(fù)。終端和服務(wù)器端相互通信使用雙向認(rèn)證機(jī)制，防止已安裝同類終端的非本網(wǎng)絡(luò)計(jì)算機(jī)非法進(jìn)入網(wǎng)絡(luò)，同時(shí)也防止模擬的假終端和服務(wù)器進(jìn)行通信。該介質(zhì)中自帶操作系統(tǒng)，并可分配為專用分區(qū)和普通分區(qū)兩個(gè)區(qū)域。因此，移動(dòng)存儲(chǔ)介質(zhì)管理系統(tǒng)作為用戶核心商業(yè)機(jī)密和敏感信息的載體，實(shí)現(xiàn)對(duì)它們安全、有效的管理是保證企業(yè)信息安全的重要手段。3 方案總結(jié)移動(dòng)存儲(chǔ)介質(zhì)管理系統(tǒng)是根據(jù)移動(dòng)存儲(chǔ)介質(zhì)應(yīng)用特點(diǎn)設(shè)計(jì)的一套移動(dòng)存儲(chǔ)管理方案，目的在于滿足內(nèi)網(wǎng)移動(dòng)存儲(chǔ)介質(zhì)的日常安全管理。1）加密算法：標(biāo)準(zhǔn)版本采用 AES(256bit)高強(qiáng)度對(duì)稱加密算法，根據(jù)需要也可支持用戶定制的加密算法和芯片，支持多種加密模式；2）TTDS：采用扇區(qū)映射方式進(jìn)行二級(jí)抽象，完全打亂文件的存儲(chǔ)位置，防止結(jié)構(gòu)性破解。組件通訊加密 組件間通信時(shí)，數(shù)據(jù)傳輸是經(jīng)過加密的。安全強(qiáng)度高加密方式：按扇區(qū)進(jìn)行加密，每次一密鑰。 （如下圖） U 盤拷貝到外部未授權(quán) U 盤中，再由外部的外帶專用 U 盤拷貝到外部涉密計(jì)算機(jī)中。? 在二次擴(kuò)展功能中能夠提供對(duì)計(jì)算機(jī)其它數(shù)據(jù)輸入輸出通道的審計(jì)管理，如郵件傳輸、FTP 傳輸、網(wǎng)絡(luò)共享傳輸、刻錄機(jī)復(fù)制等（非介質(zhì)）途徑的控制和審計(jì)，彌補(bǔ)移動(dòng)存儲(chǔ)介質(zhì)管理系統(tǒng)對(duì)通道管理的缺陷。對(duì)可移動(dòng)存儲(chǔ)設(shè)備做到不同細(xì)粒度的管理和控制。（2）提供移動(dòng)存儲(chǔ)介質(zhì)的插入和拔出動(dòng)作的詳細(xì)記錄具體包括事件類型、移動(dòng)存儲(chǔ)介質(zhì)的名稱、用戶、計(jì)算機(jī) IP 地址、事件時(shí)間等。涉密網(wǎng)絡(luò)可只生成保密區(qū)。支持對(duì)移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行分級(jí)安全注冊(cè)認(rèn)證，支持遠(yuǎn)程注冊(cè)授權(quán),通過打標(biāo)簽的方式對(duì)移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行管理,從而保證內(nèi)部的移動(dòng)存儲(chǔ)介質(zhì)未經(jīng)授權(quán)，無法在外部使用,外部的移動(dòng)存儲(chǔ)介質(zhì)未經(jīng)許可，無法在內(nèi)部使用。? 基于以上數(shù)據(jù)，具備強(qiáng)大的日志審計(jì)功能。? 數(shù)據(jù)安全擦除：通過對(duì)數(shù)據(jù)進(jìn)行逐扇區(qū)的多次重寫，實(shí)現(xiàn)磁盤數(shù)據(jù)的徹底粉碎、擦除，通過任何技術(shù)手段均無法恢復(fù)數(shù)據(jù)。交換區(qū)憑密碼認(rèn)證可在所有計(jì)算機(jī)上使用，交換密碼可以靈活修改。唯有授權(quán)后的移動(dòng)存儲(chǔ)設(shè)備才能發(fā)放給個(gè)人使用，注冊(cè)與授權(quán)通過系統(tǒng)專用認(rèn)證工具實(shí)現(xiàn)，不同的網(wǎng)絡(luò)環(huán)境具有不同的唯一性標(biāo)志符。4）128 位加密算法：在虛擬磁盤技術(shù)基礎(chǔ)上，采用 AES128 位加密算法，對(duì)扇區(qū)進(jìn)行加密，同時(shí)加帶一個(gè)隨機(jī)加密密鑰，使得虛擬磁盤的數(shù)據(jù)獲得雙重加密，確保無法破解。? 虛擬磁盤技術(shù) 將文件虛擬成磁盤，把所有直接對(duì)磁盤訪問定向到文件，采用創(chuàng)建文件方式對(duì)磁盤進(jìn)行扇區(qū)分割，分區(qū)大小可以自由劃分。（2）非法設(shè)備：外來設(shè)備，無授權(quán)設(shè)備。若管理人員要求強(qiáng)制卸載客戶端時(shí)，需要輸入管理員的密碼方可執(zhí)行卸載操作。(四)移動(dòng)存儲(chǔ)設(shè)備中的數(shù)據(jù)提供加密保護(hù)為了防止移動(dòng)存儲(chǔ)設(shè)備丟失造成泄密，存儲(chǔ)在移動(dòng)介質(zhì)中的數(shù)據(jù)是加密的，而且是磁盤級(jí)的透明加密，避免被不法分子躲避或惡意行為留下安全隱患。系統(tǒng)通過集中的注冊(cè)管理平臺(tái)對(duì) USB 存儲(chǔ)設(shè)備作嚴(yán)格的設(shè)備介質(zhì)身份認(rèn)證、數(shù)據(jù)信息重構(gòu)、數(shù)據(jù)加密等一系列安全防護(hù)操作，針對(duì)辦公網(wǎng)內(nèi)計(jì)算機(jī) USB 存移動(dòng)介質(zhì)管理安全解決方案儲(chǔ)設(shè)備的使用和管理建立了完整的防范解決體系，系統(tǒng)采用 C/S 和 B/S 混合式架構(gòu)，由服務(wù)器端和客戶端構(gòu)成。系統(tǒng)技術(shù)概述：? 設(shè)備管理 集中注冊(cè)：專門管理員統(tǒng)一對(duì)入網(wǎng) usb 設(shè)備注冊(cè)管理。移動(dòng)介質(zhì)管理安全解決方案2 系統(tǒng)解決方案 系統(tǒng)管理構(gòu)架S e r v e r 服 務(wù) 器C l i e n t 客 戶 端 B r o w s e r 管 理 員 訪 問 終 端數(shù) 據(jù) 庫策略文件由服務(wù)器下發(fā) ， 記載著需要客戶端程序所執(zhí)行命令的文件 。? 節(jié)約系統(tǒng)投資在實(shí)現(xiàn)既定安全策略的前提下，必須充分考慮投資，將用戶的利益始終放移動(dòng)介質(zhì)管理安全解決方案在第一位。? 技術(shù)成熟性方案中采用的信息安全產(chǎn)品必須是已經(jīng)經(jīng)過實(shí)際應(yīng)用考驗(yàn)的安全技術(shù)和產(chǎn)品。移動(dòng)介質(zhì)管理安全解決方案 終端平臺(tái)可控應(yīng)用環(huán)境安全的核心是可控的終端安全管理系統(tǒng)，它是構(gòu)成計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)元素，也是中網(wǎng)絡(luò)系統(tǒng)安全加固項(xiàng)目承載的主要平臺(tái)和表現(xiàn)實(shí)體，保障其安全可靠至關(guān)重要。然而我們卻不能因此就完全禁用USB移動(dòng)存儲(chǔ)設(shè)備，尤其在雙網(wǎng)（內(nèi)外網(wǎng)）環(huán)境中，往往需要將在內(nèi)網(wǎng)撰寫的文件通過USB存儲(chǔ)設(shè)備拷貝到外網(wǎng)中，再通過互聯(lián)網(wǎng)發(fā)布出去。網(wǎng)絡(luò)安全解決方案不僅包括安全產(chǎn)品的設(shè)計(jì)，安全策略制定、安全架構(gòu)制定、安全策略架構(gòu)的實(shí)施，還包括企業(yè)系統(tǒng)風(fēng)險(xiǎn)評(píng)估、以及員工的培訓(xùn)、事后的安全審計(jì)等。隨著網(wǎng)絡(luò)安全的建設(shè)，網(wǎng)絡(luò)和終端安全管理體系都已逐漸完善，包括常規(guī)的網(wǎng)絡(luò)物理隔離保障、操作系統(tǒng)補(bǔ)丁分發(fā)管理、終端資產(chǎn)管理、終端行為和網(wǎng)絡(luò)訪問控制等技術(shù)基本得到了普及。相信達(dá)到了上述的要求，不但可以輕松通過信息安全等級(jí)保護(hù)評(píng)估，還可以方便用戶的使用，更保障了網(wǎng)絡(luò)信息數(shù)據(jù)的安全。 網(wǎng)絡(luò)安全環(huán)境在網(wǎng)絡(luò)系統(tǒng)中，網(wǎng)絡(luò)環(huán)境安全整體表現(xiàn)為網(wǎng)絡(luò)鏈路的通暢和對(duì)不同的網(wǎng)絡(luò)區(qū)域?qū)崿F(xiàn)不同的移動(dòng)存儲(chǔ)管理規(guī)則，尤其注意防范內(nèi)網(wǎng)中的安全威脅。只有建立人與信息安全設(shè)備完美互動(dòng)的安全策略，方能切實(shí)有效地實(shí)現(xiàn)信息安全。 安全建設(shè)總目標(biāo)信息安全的基本需求就是滿足五個(gè)基本安全要素：機(jī)密性、完整性、可用性、可控性與可審查性，能夠有效地實(shí)現(xiàn)以下任務(wù)： 使用訪問控制機(jī)制，阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)，即“進(jìn)不來” ，從而保證系統(tǒng)的網(wǎng)絡(luò)資源被受控合法的利用。移動(dòng)介質(zhì)管理安全解決方案 系統(tǒng)詳細(xì)解決方案系統(tǒng)管理概述：? 組織管理：指定專人/部門負(fù)責(zé)進(jìn)行 USB 設(shè)備載體的管理。 權(quán)限控制：禁止、只讀、讀寫、外來報(bào)警等自定義控制。具體分析，系統(tǒng)設(shè)計(jì)主要滿足用戶以下多個(gè)方面的需求：(一)提供對(duì)移動(dòng)存儲(chǔ)設(shè)備全生命周期的管理移動(dòng)存儲(chǔ)設(shè)備管理提供對(duì)移動(dòng)存儲(chǔ)設(shè)備從購買、使用到銷毀整個(gè)過程的跟蹤與管理。普通用戶權(quán)限在沒有管理員許可的情況下，為被限制對(duì)象，對(duì)自身的數(shù)據(jù)日志等均無管理權(quán)限。? 客戶端管理模塊：通過安裝在計(jì)算機(jī)上的客戶端程序，對(duì)本機(jī)移動(dòng)存儲(chǔ)接口進(jìn)行管理，并對(duì)接入各種移動(dòng)存儲(chǔ)設(shè)備進(jìn)行行為審計(jì)，處理后提交給后臺(tái)數(shù)據(jù)庫。? 基于實(shí)時(shí)檢測(cè)機(jī)制，由客戶端代理程序自動(dòng)發(fā)現(xiàn)接入主機(jī)的移動(dòng)存儲(chǔ)設(shè)備，對(duì)其進(jìn)行合法性驗(yàn)證，并作行為記錄和審計(jì)。 在虛擬磁盤技術(shù)基礎(chǔ)上，采用 AES128 位加密算法，對(duì)磁盤扇區(qū)進(jìn)行加密，磁盤的安全性，并附帶口令二次加密密鑰，對(duì)虛擬磁盤的數(shù)據(jù)進(jìn)行雙重加密，確保無法破解。移動(dòng)介質(zhì)管理安全解決方案? 多進(jìn)程互控技術(shù)多進(jìn)程監(jiān)控守護(hù)技術(shù)，防止用戶非法自行關(guān)閉客戶端主程序的運(yùn)行；系統(tǒng)使用中，可能會(huì)出現(xiàn)個(gè)別用戶故意關(guān)閉中間件的情況，也可能出現(xiàn)由于操作系統(tǒng)錯(cuò)誤導(dǎo)致中間件進(jìn)程關(guān)閉的情況，因此需要系統(tǒng)守護(hù)模塊，保證中間件在使用時(shí)不會(huì)被意外關(guān)閉，即使在中間件在系統(tǒng)發(fā)生意外錯(cuò)誤關(guān)閉時(shí)，守護(hù)模塊也可重新啟動(dòng)中間件，以保證系統(tǒng)的有效性和可靠性。移動(dòng)存儲(chǔ)設(shè)備管理系統(tǒng)與硬件接口、磁盤類型無關(guān)，可管理所有硬件接口、磁盤類型的移動(dòng)存儲(chǔ)設(shè)備，即現(xiàn)有的移動(dòng)存儲(chǔ)設(shè)備都可以納入管理，最大限度地減少重復(fù)投入。? 經(jīng)授權(quán)的移動(dòng)存儲(chǔ)設(shè)備，在系統(tǒng)內(nèi)依據(jù)其授權(quán)信息進(jìn)行多層次的訪問控制，具體包括：基于用戶身份的訪問控制、基于密級(jí)的訪問控制、基于口令的保護(hù)及對(duì)使用次數(shù)的限制。? 為使網(wǎng)絡(luò)管理具有一定的條理性，系統(tǒng)支持按不同部門劃分工作組，這樣管理員可以直接對(duì)不同性質(zhì)工作組進(jìn)行策略分發(fā)。(八)違規(guī)保護(hù)與報(bào)警處置針對(duì)可能受到的違規(guī)操作行為，系統(tǒng)提供違規(guī)保護(hù)與報(bào)警處置功能。公司專有移動(dòng)存儲(chǔ)設(shè)備集中標(biāo)簽化管理通過對(duì)移動(dòng)存儲(chǔ)設(shè)備寫入兩種不同權(quán)限及功能的標(biāo)簽，來實(shí)現(xiàn)分級(jí)權(quán)限的控制。保密區(qū)在外網(wǎng)或未授權(quán)計(jì)算機(jī)上不可見。（3） 對(duì)非公司專有移動(dòng)存儲(chǔ)設(shè)備在非公司網(wǎng)絡(luò)內(nèi)