【正文】 好的可伸縮性及兼容性。? 制度管理：制定 USB 設備載體管理制度，進行日常操作約束。要求做到“非法的移動存儲設備在工作環(huán)境中不能使用”和“合法的移動存儲設備在工作環(huán)境中能夠正常使用，但在非工作環(huán)境中不能使用” ，即“非法的進不來，合法的出不去” 。? USB 設備注冊管理模塊：專用移動存儲設備授權工具模塊，將普通 U 盤作特殊格式化處理，并作標簽標記。 2）用戶登錄：驗證用戶口令，通過后用處理的口令解密文件密鑰，然后監(jiān)測對磁盤的文件讀寫操作，進行文件加解密（對稱算法） 。并將全盤指定為保密區(qū)域。(七) 移動存儲設備操作日志審計與報表對移動存儲設備從購買、使用到銷毀整個生命周期進行審計。普通標簽：寫入普通標簽后，在管理區(qū)域內(nèi)根據(jù)策略的設置，來限制移動存儲設備的讀、寫功能；如果在管理區(qū)域外使用移動存儲設備認證，則不限制移動存儲設備認證讀、寫功能。（3）對于其他 I/0 輸入輸出設備接口，同樣支持驅(qū)動級的禁用、啟用功能。上述中間機設置情況根據(jù)北調(diào)實際涉密情況確定。多種告警方式，除在用戶終端提供蜂鳴器報警外，同步在服務器進行聲音、圖形、短信報警，在本機提示消息同時，在服務器作后臺認證日志記錄。 移動介質(zhì)管理安全解決方案（ 2 ）日志類型：包括訪問區(qū)域、口令驗證結果、文件操作和時戳等。該產(chǎn)品具有以下功能及特點的同時可以配合上述的 USB 標簽策略實現(xiàn)更完善的功能： 移動介質(zhì)管理安全解決方案（ 1 ）唯一性：內(nèi)部具有唯一序列號，無法更改和復制，可實現(xiàn) U 盤失控狀態(tài)下的快速追查和定位； （ 2 ）強審計： U 盤操作均被強制記錄，用戶無法刪除和修改，通過兩層權限設置，可實現(xiàn)對單位內(nèi)部電子文檔的監(jiān)督管理； （ 3 ）防病毒：采用獨立專用文件系統(tǒng)，有效防止病毒、木馬等惡意代碼攻擊，可切斷病毒通過 U 盤感染和傳播的途徑；（ 4 ）防丟失：對數(shù)據(jù)進行高強度保護，非授權訪問時 U 盤可自動鎖死，可有效防止密碼嘗試和暴力破解； （ 5 ）無需額外安裝軟件，可實現(xiàn)對 U 盤文件的創(chuàng)建、復制、粘貼、拖放、刪除等操作，界面友好直觀。內(nèi)置強大策略中心，通過多種策略組合方式實現(xiàn)對終端移動存儲介質(zhì)的自定義訪問控制。? 授權計算機指已安裝移動存儲介質(zhì)管理系統(tǒng)客戶端，并對注冊專用存儲設備具有訪問權限的計算機。（1）對于以 USB 存儲設備、移動硬盤非法接入內(nèi)網(wǎng)的情況，我們通過對外設及端口進行啟用、禁用控制，必要時候還能夠控制只讀入、可寫出等細致操作行為。并以策略的形式分發(fā)給不同的域，實現(xiàn)對指定范圍內(nèi)的終端授權，并對寫入標簽移動存儲設備的訪問進行控制。? 系統(tǒng)內(nèi)置策略中心，管理員可以根據(jù)不同的管理需求和網(wǎng)絡環(huán)境，靈活制訂不同的移動存儲設備策略進行應用。(二) 移動存儲設備分區(qū)管理移動存儲介質(zhì)按需求可以劃分為交換區(qū)和保密區(qū)，分區(qū)容量可由管理員靈活定義。 ? AES 加解密技術 1）密鑰生成：在利用專用工具對介質(zhì)分區(qū)時即生成 文件加密密鑰，然后用處理后的初始密碼口令 xxxxyyyy 對文件加密密鑰進行加密。? )數(shù)據(jù)存儲與分析模塊：將采集完畢的數(shù)據(jù)和數(shù)據(jù)庫內(nèi)已有的數(shù)據(jù)進行比對、整理，并進行分析，然后根據(jù)情況進行數(shù)據(jù)更新或報警。能夠隨時對移動存儲設備的情況進行監(jiān)管，隨時了解某個移動存儲設備的在網(wǎng)絡中的使用情況和當前聯(lián)機所處狀態(tài)。? 審計管理：安全組織之外，由保密部門負責 USB 管理的檢查工作。? 切合實際實施安全性必須緊密切合要進行安全防護的實際對象來制定具體的安全策略，并根據(jù)策略選擇不同規(guī)格的安全加固設備，既要避免過于龐大冗雜的安全策略或措施導致性能下降，又要杜絕盲目選用高端設備導致的系統(tǒng)資源浪費以及無謂成本的投入，真正做到有的放矢、行之有效。而某內(nèi)網(wǎng)安全管理系統(tǒng)在移動存儲設備的管理上可以完全滿足上述要求，為用戶和管理員提供便利的工作環(huán)境和安全的信息保障體系。完備的信息安全解決方案是保障系統(tǒng)安全的基本而又重要的一部分。如何保證個人終端計算機正常、穩(wěn)定的對外提供服務，同時還要保證內(nèi)網(wǎng)終端數(shù)據(jù)的安全防護，移動介質(zhì)管理成為應用環(huán)境安全需求的重中之重。整個安全系統(tǒng)必須留有接口，以適應未來工程規(guī)模拓展的需要。? 應急管理：建立 USB 設備事故應急處理預案機制。(三)增設移動存儲設備的訪問機制對于合法的移動存儲設備的訪問，進一步增強訪問控制機制，根據(jù)訪問者的身份、密級、時間期限等限制僅有“正確”的用戶才能訪問。 系統(tǒng)報警處置工作流程:（1）合法設備：經(jīng)管理員認證授權設備。 3）修改密碼：驗證密碼口令，通過后，用處理后的密碼口令解密文件密鑰，然后用新的用戶口令加密文件密鑰，生成密鑰。保密區(qū)在本單位已安裝客戶端并具有訪問權限的計算機上可以讀寫，在未安裝客戶端的計算機上或者外單位安裝客戶端計算機將不被識別。借助審計功能，可以如實地看到磁盤的整個使用過程，同時可通過報表直觀、方便的得到統(tǒng)計數(shù)據(jù)， 審計功能具體如下：移動介質(zhì)管理安全解決方案? 對于移動存儲設備的資產(chǎn)入庫登記（使用人、權限等） 、授權使用（插入、拔出、文件讀寫、IP 地址） 、各種違規(guī)操作（人員、事件內(nèi)容）等，提供詳細的日志記錄。加密標簽：寫入加密標簽后將普通移動存儲設備（閃存盤、移動硬盤）分為二個區(qū)域：交換區(qū)、保密區(qū)。支持在登錄公司標簽化可移動存儲設備的交換區(qū)后，自動調(diào)用殺毒軟件對可移動存儲設備進行掃描殺毒；支持對可移動設備策略生效的時間進行高級自定義：如可設定策略生效的時間段或者策略失效的時間段，具體精確到具體工作日的幾點幾分；支持設定可移動存儲設備策略生效的用戶賬戶生效范圍：如可設定該策略只對 administrator 生效，可控制策略在公司注冊的計算機離開公司網(wǎng)絡的情況下是否生效；可移動存儲設備策略的管理對象，可以設置為單個用戶，可以是一個具體部門，還可以是自定義的組，非常靈活。內(nèi)部文件拷出(1)對外部傳輸涉密文件： U 盤拷貝到外帶專用 U 盤拷貝到外部移動介質(zhì)管理安全解決方案涉密計算機中。細粒度、多層次的訪問控制管理服務器支持對主機 IP 訪問的限定，僅允許指定的主機訪問管理服務器，防止惡意攻擊行為。 （ 3 ）日志查詢與分析：根據(jù)用戶定制的規(guī)則對日志進行安全性審查。專用區(qū)提供身份認證和數(shù)據(jù)加密轉(zhuǎn)為拷貝存儲內(nèi)網(wǎng)專用數(shù)據(jù)使用，普通區(qū)可方便在任何計算機上使用，為用戶提供信息轉(zhuǎn)儲的中間介質(zhì)。同各種防病毒軟件兼容運行，如某、瑞星、金山、江民、Norton、趨勢、卡巴斯基等主流殺毒軟件。? 中間機策略：中間機針對存在整盤加密策略的計算機和外來移動存儲設備的情況提供數(shù)據(jù)交換，通過策略內(nèi)容邏輯的組合設計來實現(xiàn)。（3） 對非公司專有移動存儲設備在非公司網(wǎng)絡內(nèi)的計算機可以由使用人根據(jù)需要使用。公司專有移動存儲設備集中標簽化管理通過對移動存儲設備寫入兩種不同權限及功能的標簽，來實現(xiàn)分級權限的控制。? 為使網(wǎng)絡管理具有一定的條理性，系統(tǒng)支持按不同部門劃分工作組，這樣管理員可以直接對不同性質(zhì)工作組進行策略分發(fā)。移動存儲設備管理系統(tǒng)與硬件接口、磁盤類型無關，可管理所有硬件接口、磁盤類型的移動存儲設備，即現(xiàn)有的移動存儲設備都可以納入管理，最大限度地減少重復投入。 在虛擬磁盤技術基礎上，采用 AES128 位加密算法，對磁盤扇區(qū)進行加密，磁盤的安全性，并附帶口令二次加密密鑰，對虛擬磁盤的數(shù)據(jù)進行雙重加密，確保無法破解。? 客戶端管理模塊：通過安裝在計算機上的客戶端程序，對本機移動存儲接口進行管理，并對接入各種移動存儲設備進行行為審計，處理后提交給后臺數(shù)據(jù)庫。具體分析，系統(tǒng)設計主要滿足用戶以下多個方面的需求：(一)提供對移動存儲設備全生命周期的管理移動存儲設備管理提供對移動存儲設備從購買、使用到銷毀整個過程的跟蹤與管理。移動介質(zhì)管理安全解決方案 系統(tǒng)詳細解決方案系統(tǒng)管理概述：? 組織管理：指定專人/部門負責進行 USB 設備載體的管理。只有建立人與信息安全設備完美互動的安全策略，方能切實有效地實現(xiàn)信息安全。相信達到了上述的要求，不但可以輕松通過信息安全等級保護評估，還可以方便用戶的使用，更保障了網(wǎng)絡信息數(shù)據(jù)的安全。網(wǎng)絡安全解決方案不僅包括安全產(chǎn)品的設計，安全策略制定、安全架構制定、安全策略架構的實施，還包括企業(yè)系統(tǒng)風險評估、以及員工的培訓、事后的安全審計等。移動介質(zhì)管理安全解決方案 終端平臺可控應用環(huán)境安全的核心是可控的終端安全管理系統(tǒng)，它是構成計算機信息網(wǎng)絡系統(tǒng)基礎元素，也是中網(wǎng)絡系統(tǒng)安全加固項目承載的主要平臺和表現(xiàn)