【文章內(nèi)容簡介】 分合法與非法的移動(dòng)存儲(chǔ)設(shè)備合法的移動(dòng)存儲(chǔ)設(shè)備，指單位內(nèi)部并被準(zhǔn)許在內(nèi)部使用的移動(dòng)存儲(chǔ)設(shè)備；非法的移動(dòng)存儲(chǔ)設(shè)備，指來源不明未被準(zhǔn)許在內(nèi)部使用的，或者是外來單位帶入的移動(dòng)存儲(chǔ)設(shè)備。要求做到“非法的移動(dòng)存儲(chǔ)設(shè)備在工作環(huán)境中不能使用”和“合法的移動(dòng)存儲(chǔ)設(shè)備在工作環(huán)境中能夠正常使用，但在非工作環(huán)境中不能使用” ，即“非法的進(jìn)不來，合法的出不去” 。(三)增設(shè)移動(dòng)存儲(chǔ)設(shè)備的訪問機(jī)制對(duì)于合法的移動(dòng)存儲(chǔ)設(shè)備的訪問，進(jìn)一步增強(qiáng)訪問控制機(jī)制，根據(jù)訪問者的身份、密級(jí)、時(shí)間期限等限制僅有“正確”的用戶才能訪問。(四)移動(dòng)存儲(chǔ)設(shè)備中的數(shù)據(jù)提供加密保護(hù)為了防止移動(dòng)存儲(chǔ)設(shè)備丟失造成泄密，存儲(chǔ)在移動(dòng)介質(zhì)中的數(shù)據(jù)是加密的，而且是磁盤級(jí)的透明加密，避免被不法分子躲避或惡意行為留下安全隱患。(五）提供對(duì)移動(dòng)存儲(chǔ)設(shè)備使用的詳細(xì)日志審計(jì)記錄對(duì)移動(dòng)存儲(chǔ)設(shè)備的訪問，便于以后進(jìn)行跟蹤審計(jì)。(六)分權(quán)限管理 系統(tǒng)管理權(quán)限和使用權(quán)限分開，具有安全性高、可靠性強(qiáng)，適合集中授權(quán)、移動(dòng)介質(zhì)管理安全解決方案多角色參與監(jiān)控的管理模式。普通用戶權(quán)限在沒有管理員許可的情況下，為被限制對(duì)象，對(duì)自身的數(shù)據(jù)日志等均無管理權(quán)限。(七)通信及日志文件加密服務(wù)器端與客戶端使用 TCP 協(xié)議通信，端口可以自行靈活修改，同時(shí)客戶端數(shù)據(jù)上報(bào)和服務(wù)器端指令、策略下發(fā)采用加密算法，防止他人旁路刺探信息?？蛻舳巳罩疚募用艽鎯?chǔ)，防止用戶修改或刪除，服務(wù)器端自動(dòng)接收客戶端日志數(shù)據(jù)。(八)客戶端保護(hù)機(jī)制系統(tǒng)的客戶端系統(tǒng)具有自我防護(hù)機(jī)制，防止用戶隨意停止、卸載。系統(tǒng)具備很強(qiáng)的自我保護(hù)功能，在正常模式和安全模式下均提供主機(jī)安全代理自身防護(hù)功能，并可防止用戶停止代理進(jìn)程、破壞代理運(yùn)行目錄和相關(guān)文件、停止代理等相關(guān)服務(wù)。若管理人員要求強(qiáng)制卸載客戶端時(shí)，需要輸入管理員的密碼方可執(zhí)行卸載操作。系統(tǒng)模塊工作流程：（1）客戶端報(bào)警信息上報(bào)，控制臺(tái)指令接收（2）USB 設(shè)備注冊(cè)信息上報(bào)，密碼還原信息獲取（3）綜合數(shù)據(jù)入庫、出庫（4）系統(tǒng)數(shù)據(jù)綜合分析處理（5）系統(tǒng)設(shè)備掃描自動(dòng)發(fā)現(xiàn)（主機(jī)設(shè)備）（6）報(bào)警及系統(tǒng)數(shù)據(jù)呈現(xiàn)，系統(tǒng)策略數(shù)據(jù)存儲(chǔ)移動(dòng)介質(zhì)管理安全解決方案? 網(wǎng)絡(luò)設(shè)備信息采集模塊：負(fù)責(zé)采集計(jì)算機(jī)中相關(guān)報(bào)警、病毒狀況等信息。包含二個(gè)子模塊：客戶端模塊、網(wǎng)絡(luò)設(shè)備信息自動(dòng)發(fā)現(xiàn)模塊。? 客戶端管理模塊：通過安裝在計(jì)算機(jī)上的客戶端程序，對(duì)本機(jī)移動(dòng)存儲(chǔ)接口進(jìn)行管理，并對(duì)接入各種移動(dòng)存儲(chǔ)設(shè)備進(jìn)行行為審計(jì)，處理后提交給后臺(tái)數(shù)據(jù)庫。? )數(shù)據(jù)存儲(chǔ)與分析模塊：將采集完畢的數(shù)據(jù)和數(shù)據(jù)庫內(nèi)已有的數(shù)據(jù)進(jìn)行比對(duì)、整理，并進(jìn)行分析，然后根據(jù)情況進(jìn)行數(shù)據(jù)更新或報(bào)警。 ? 中央控制管理、報(bào)警模塊：該模塊為本系統(tǒng)的核心模塊，作用在于統(tǒng)一調(diào)度其他模塊工作，包括各模塊參數(shù)配置、網(wǎng)絡(luò)通訊管理配置、模塊連接、信息匯總顯示、報(bào)警顯示等。? USB 設(shè)備注冊(cè)管理模塊：專用移動(dòng)存儲(chǔ)設(shè)備授權(quán)工具模塊，將普通 U 盤作特殊格式化處理，并作標(biāo)簽標(biāo)記。 系統(tǒng)報(bào)警處置工作流程:（1）合法設(shè)備：經(jīng)管理員認(rèn)證授權(quán)設(shè)備。（2）非法設(shè)備：外來設(shè)備，無授權(quán)設(shè)備。（3）新入網(wǎng)設(shè)備：未注冊(cè)移動(dòng)存儲(chǔ)設(shè)備，新入網(wǎng)未注冊(cè)計(jì)算機(jī)。移動(dòng)介質(zhì)管理安全解決方案? 基于定時(shí)掃描機(jī)制，自動(dòng)掃描檢測管理網(wǎng)段內(nèi)的計(jì)算機(jī)是否已經(jīng)安裝移動(dòng)存儲(chǔ)管理客戶端軟件情況，將設(shè)備信息數(shù)據(jù)同數(shù)據(jù)庫中原始數(shù)據(jù)進(jìn)行比較，如發(fā)現(xiàn)異常則報(bào)警，并阻斷非法設(shè)備的入網(wǎng)。? 基于實(shí)時(shí)檢測機(jī)制，由客戶端代理程序自動(dòng)發(fā)現(xiàn)接入主機(jī)的移動(dòng)存儲(chǔ)設(shè)備，對(duì)其進(jìn)行合法性驗(yàn)證，并作行為記錄和審計(jì)。? 標(biāo)簽認(rèn)證技術(shù) 通過專用工具程序?yàn)?USB 移動(dòng)存儲(chǔ)設(shè)備作唯一性認(rèn)證標(biāo)記，該程序從服務(wù)器中讀取本系統(tǒng)的唯一性屬性信息數(shù)據(jù)，經(jīng)過二次處理，將處理后的信息會(huì)同預(yù)定義屬性標(biāo)簽寫入磁盤。 專用工具程序把數(shù)據(jù)寫到系統(tǒng)分區(qū)時(shí)，采用特定算法對(duì)寫入的數(shù)據(jù)進(jìn)行加密，普通的 format 方式無法刪除這些數(shù)據(jù)。該程序?qū)σ苿?dòng)存儲(chǔ)設(shè)備所打標(biāo)簽擁有特殊信息（移動(dòng)存儲(chǔ)設(shè)備硬件屬性信息、服務(wù)器系統(tǒng)唯一性標(biāo)簽號(hào)），經(jīng)過隨機(jī)密鑰加密后，具有唯一性標(biāo)識(shí)（防止將標(biāo)簽信息復(fù)制到其它客戶移動(dòng)介質(zhì)管理安全解決方案端設(shè)備上，進(jìn)行偽裝接入使用） 。 USB 移動(dòng)存儲(chǔ)設(shè)備內(nèi)置標(biāo)簽，同客戶端代理程序的策略對(duì)應(yīng)， USB 標(biāo)簽符合策略許可才可以使用。? 虛擬磁盤技術(shù) 將文件虛擬成磁盤，把所有直接對(duì)磁盤訪問定向到文件，采用創(chuàng)建文件方式對(duì)磁盤進(jìn)行扇區(qū)分割，分區(qū)大小可以自由劃分。虛擬磁盤技術(shù)涉及對(duì)總線驅(qū)動(dòng)、物理磁盤驅(qū)動(dòng)、磁盤過濾驅(qū)動(dòng)等操作。 虛擬加密磁盤技術(shù)主要由磁盤應(yīng)用程序、虛擬加密磁盤驅(qū)動(dòng)程序、加密驅(qū)動(dòng)程序等軟件模塊實(shí)現(xiàn)，對(duì)機(jī)密文件信息的安全保護(hù)、加密存儲(chǔ)。 在虛擬磁盤技術(shù)基礎(chǔ)上，采用 AES128 位加密算法，對(duì)磁盤扇區(qū)進(jìn)行加密，磁盤的安全性，并附帶口令二次加密密鑰，對(duì)虛擬磁盤的數(shù)據(jù)進(jìn)行雙重加密，確保無法破解。 ? AES 加解密技術(shù) 1）密鑰生成：在利用專用工具對(duì)介質(zhì)分區(qū)時(shí)即生成 文件加密密鑰，然后用處理后的初始密碼口令 xxxxyyyy 對(duì)文件加密密鑰進(jìn)行加密。此后加密原始口令，連同加密后的文件密鑰及其它 hash 信息作二次加密存放在磁盤。 2）用戶登錄：驗(yàn)證用戶口令，通過后用處理的口令解密文件密鑰，然后監(jiān)測對(duì)磁盤的文件讀寫操作，進(jìn)行文件加解密（對(duì)稱算法） 。 3）修改密碼：驗(yàn)證密碼口令，通過后，用處理后的密碼口令解密文件密鑰，然后用新的用戶口令加密文件密鑰，生成密鑰。4）128 位加密算法：在虛擬磁盤技術(shù)基礎(chǔ)上，采用 AES128 位加密算法，對(duì)扇區(qū)進(jìn)行加密，同時(shí)加帶一個(gè)隨機(jī)加密密鑰，使得虛擬磁盤的數(shù)據(jù)獲得雙重加密，確保無法破解。利用磁盤驅(qū)動(dòng)技術(shù)對(duì)介質(zhì)分區(qū)時(shí)即對(duì)磁盤進(jìn)行加密，同時(shí)生成隨機(jī)的 128 位加密密鑰防護(hù)磁盤訪問。5）二次加密技術(shù)：密鑰隨機(jī)產(chǎn)生，同登錄口令進(jìn)行 CRC32 校驗(yàn)，生成校驗(yàn)碼，系統(tǒng)將密鑰隨機(jī)值同校驗(yàn)碼一同加密，保存在 U 盤中，加密程序在操作系統(tǒng)對(duì)扇區(qū)格式化時(shí)進(jìn)行加密，并對(duì)對(duì)數(shù)據(jù)文件的讀寫進(jìn)行加解密，算法是經(jīng)過變化處理（密鑰+偏移位）的 AES128 位算法。移動(dòng)介質(zhì)管理安全解決方案? 多進(jìn)程互控技術(shù)多進(jìn)程監(jiān)控守護(hù)技術(shù)，防止用戶非法自行關(guān)閉客戶端主程序的運(yùn)行；系統(tǒng)使用中，可能會(huì)出現(xiàn)個(gè)別用戶故意關(guān)閉中間件的情況，也可能出現(xiàn)由于操作系統(tǒng)錯(cuò)誤導(dǎo)致中間件進(jìn)程關(guān)閉的情況，因此需要系統(tǒng)守護(hù)模塊，保證中間件在使用時(shí)不會(huì)被意外關(guān)閉，即使在中間件在系統(tǒng)發(fā)生意外錯(cuò)誤關(guān)閉時(shí)，守護(hù)模塊也可重新啟動(dòng)中間件，以保證系統(tǒng)的有效性和可靠性。? 雙因子認(rèn)證技術(shù)系統(tǒng)采用的任何硬件識(shí)別，均采用對(duì)唯一標(biāo)識(shí)經(jīng)過特殊算法得出的唯一賦值對(duì)照后作出判斷，防止客戶端計(jì)算機(jī)設(shè)備變更而引起的安全隱患。? U 盤信息重構(gòu)技術(shù)采用扇區(qū)映射方式進(jìn)行二級(jí)抽象，完全打亂文件的存儲(chǔ)位置，防止結(jié)構(gòu)性破解。(一) 移動(dòng)存儲(chǔ)設(shè)備集中注冊(cè)與授權(quán)移動(dòng)存儲(chǔ)設(shè)備管理系統(tǒng)應(yīng)用拓?fù)湟苿?dòng)介質(zhì)管理安全解決方案系統(tǒng)支持對(duì)所有移動(dòng)存儲(chǔ)設(shè)備使用前必須經(jīng)過授權(quán)中心統(tǒng)一注冊(cè)與授權(quán)，只有經(jīng)過授權(quán)的移動(dòng)存儲(chǔ)設(shè)備才能正常使用。授權(quán)內(nèi)容至少應(yīng)包括：安全級(jí)別標(biāo)簽、硬件管理 ID 號(hào)、使用人、使用部門、保護(hù)口令等。唯有授權(quán)后的移動(dòng)存儲(chǔ)設(shè)備才能發(fā)放給個(gè)人使用，注冊(cè)與授權(quán)通過系統(tǒng)專用認(rèn)證工具實(shí)現(xiàn)，不同的網(wǎng)絡(luò)環(huán)境具有不同的唯一性標(biāo)志符。系統(tǒng)支持對(duì)非 USB 存儲(chǔ)設(shè)備（USB 鍵盤、鼠標(biāo)、打印機(jī)、硬件 key 等）的自動(dòng)識(shí)別，支持對(duì)特定 USB 存儲(chǔ)介質(zhì)（如數(shù)據(jù)交換中間機(jī)）設(shè)置不同的訪問權(quán)限。針對(duì)實(shí)際工作的特點(diǎn)，還考慮到分權(quán)分級(jí)管理、設(shè)備兼容性等。移動(dòng)存儲(chǔ)設(shè)備管理系統(tǒng)與硬件接口、磁盤類型無關(guān)，可管理所有硬件接口、磁盤類型的移動(dòng)存儲(chǔ)設(shè)備，即現(xiàn)有的移動(dòng)存儲(chǔ)設(shè)備都可以納入管理，最大限度地減少重復(fù)投入。(二) 移動(dòng)存儲(chǔ)設(shè)備分區(qū)管理移動(dòng)存儲(chǔ)介質(zhì)按需求可以劃分為交換區(qū)和保密區(qū)，分區(qū)容量可由管理員靈活定義。同樣，系統(tǒng)對(duì)于移動(dòng)存儲(chǔ)介質(zhì)還可以按照需求只進(jìn)行保密區(qū)的劃分。并將全盤指定為保密區(qū)域。保密區(qū)在本單位已安裝客戶端并具有訪問權(quán)限的計(jì)算機(jī)上可以讀寫，在未安裝客戶端的計(jì)算機(jī)上或者外單位安裝客戶端計(jì)算機(jī)將不被識(shí)別。交換區(qū)憑密碼認(rèn)證可在所有計(jì)算機(jī)上使用，交換密碼可以靈活修改。(三) 移動(dòng)存儲(chǔ)設(shè)備訪問控制系統(tǒng)支持對(duì)移動(dòng)存儲(chǔ)設(shè)備的訪問控制，通過系統(tǒng)內(nèi)置的策略庫以及管理分組功能，實(shí)現(xiàn)終端訪問的靈活控制，最大限度地防止數(shù)據(jù)被濫用，保證數(shù)據(jù)的可用性。具體功能通過標(biāo)簽認(rèn)證方式實(shí)現(xiàn)：? 未統(tǒng)一授權(quán)的移動(dòng)存儲(chǔ)設(shè)備，可設(shè)置為“不允許使用”