2008-3-22
请预先参考《可信移动存储管理白皮书》
---
附录
一、主机移动存储介质安全管理
移动存储介质管理系统分别从主机层次和传递介质层次对文件的读写进行访问限制和事后追踪审计,解决了公司内部可能出现的数据拷贝泄密、移动存储介质遗失泄密、以及
U
盘等移动介质接入病毒安全的问题。
1
、主机数据介质拷贝标签认证访问控制
在计算机主机通道(移动存储接口)方面进行介质访问控制管理,内部用户必须根据获得的标签授权来进行介质数据拷贝和数据交换操作,外来用户由于没有授权将无法从移动存储接口接入存储设备,杜绝外来人员拷贝数据的可能性。
2
、可信移动存储介质数据加解密存储
存在在可信移动存储介质中的数据均是经过高强度加密,同时需要输入口令密码方可以登陆移动存储介质。其内置的保密区由于采用专用标签授权认证技术,同特征计算机绑定,即使登陆口令被盗窃者获取,也无法在外网计算机上打开(任何第三方磁盘管理软件均无法破解存储在可信移动存储介质保密区中的数据)。
3
、可信移动存储介质内置主动式病毒安全防御技术
可信移动存储介质内置嵌入式杀毒调用模块,当可信移动存储介质交换区接入内网或者外网计算机时候,首先调用本机的杀毒软件对该区进行病毒查杀,杜绝了病毒、木马、恶意脚本等利用移动存储介质传输、感染、破坏计算机的可能性。
二、主机文件保险箱
该技术针对主机信息的安全存储定制开发。文件保险箱集数据加密、口令保护、访问权限控制、审计追踪等技术为一体,对计算机主机上的文件进行加固保护,其防御的层次是假设于外来入侵者已经进入公司内部主机系统的情况。
文件保险箱对涉密信息、重要业务数据和技术专利等敏感信息的存储、传播和处理过程实施安全保护的软件系统,最大限度地防止敏感信息的泄漏、被破坏和违规外传,并完整记录涉及敏感信息的操作日志以便事后审计和追究泄密责任。
1
、文件保险箱加密技术
文件保险箱在操作上对用户完全透明,将设备驱动程序无缝地嵌入到
Windows
操作系统平台的文件系统之中,对于上层的文件操作和应用完全的透明。文件保险箱通过虚拟设备驱动程序,在系统底层自动地对文件的写入和读出的文件进行加
/
解密处理,完全确保了文件数据在硬盘等存储介质上始终以密文存在,实现了对机密文件信息和商业个人敏感信息的安全保护。
2
、访问权限控制技术
只有持有专用的加密钥匙,并使用用户自己设定的正确的口令之后,才能访问(打开、阅读、修改、删除等)这些重要文件及数据的真正内容(明文)。非授权的访问者,即使获得受到文件保险箱保护的文件,但如果没有得到唯一的加密钥匙,或者不知道用户对文件保险箱数据设置的保护口令,则无法解密文件保险箱数据。
3
、数据访问审计技术
所有对文件保险箱的操作行为将被记录,如访问进程、访问时间、访问者等信息。
三、两种防护措施可靠性分析
上述两种方式的结合,能够有效防止外部入侵泄密。
针对外部入侵者,在通道方面已经被完全封堵,如入侵者使用各种移动存储介质设备,由于移动存储介质管理系统的使用,外来介质无法在内网计算机上接入使用,并且痕迹将被记录。
如果入侵者使用网络连接方式入侵主机,可能采用的窃取途径包括邮件发送、
ftp
上传、网络共享传送等,由于网络中计算机的所有机密数据均存储在文件保险箱中,入侵者需要获得保险箱的口令,即使在获得口令的情况下,假设入侵者获得了文件,由于文件是经过加密处理的,只能在本机的保险箱内使用,此时入侵者获得的文件是无用的。
针对内部人员的故意泄密,情况可能比较复杂,如内部人员主动将解密的文件通过邮件、
ftp
、可信移动存储介质交换区等方式带出公司内部网络,因此,针对该类情况不能用单纯的技术手段解决,需要其他手段予以配合处理。
综上,通过可信移动存储介质管理系统和文件保险箱两种防御措施,基本上能够防范来自于外部的主动入侵泄密。
白皮书资料——供参考
第一章移动存储管理应用背景
移动存储设备,如U盘、移动硬盘等,因其体积小、容量大等优点,已得到广泛应用。作为数据交换的主要手段之一,移动存储设备正成为内数据和信息的重要载体,但是我们也应该看到,移动存储设备在给我们带来极大方便的同时,也给我们带来了不少的安全隐患。
近两年的安全防御调查也表明,政府、企业单位中超过70%的管理和安全问题来自单位内部人员,特别是移动存储介质的普遍应用。移动存储介质使用灵活、方便的特性使得它在单位信息化过程中迅速得到了广泛的应用,越来越多的敏感信息、秘密数据和档案资料被随意的拷贝、存贮在移动存储介质里。单位和个人持有的移动存储设备不区分,单位信息和个人信息同时存储在同一个存储设备中,秘密信息保管不善或恶意木马病毒带入单位计算机网络,这都给单位的信息资源带来了巨大的安全隐患。
目前,移动存储设备的安全问题尚未引起足够的重视,使用的随意与管理的无序使得移动存储设备成为现阶段的安全盲点,移动存储设备疏于管理带来的严重问题比比皆是:
案例一:上百万台电脑感染“熊猫烧香”,U盘是病毒传播的主要途径
年初爆发的“熊猫烧香”病毒导致上百万台电脑受到损害,而U盘正是病毒传播和藏身的主要介质。据江民科技反病毒专家介绍,“熊猫烧香”病毒会向U盘释放出一个名为“autorun.inf”的病毒文件,使用U盘的用户只要双击U盘,就会激活并运行病毒。
案例二:WORD文件不见了,U盘病毒“WORD文档杀手”在捣鬼
电脑里重要的WORD文档为何神秘失踪?反病毒专家会告诉你,是因为感染了“WORD文档杀手”病毒。而导致用户电脑感染病毒的正是大家日常使用的U盘。“WORD文档杀手”病毒自主加载到U盘的自动运行文件里,一旦用户将感染了该病毒的U盘接入电脑,便导致所有WORD文档神秘失踪。
案例三:美国核实验室头号泄密案,U盘成为主要泄密工具
据美国《新闻周刊》2006年11月13日报道,美国洛斯阿拉莫斯国家实验室的一位档案管理员盗走了大量机密文件,其U盘中包含了400多页从洛斯阿拉莫斯国家实验室的电脑上下载的机密文件,其中一些是核武器设计方案的绝密资料。
近年来屡屡发生的移动存储介质泄密、窃密案件给国家和企事业单位带来了不可估量的损失,也逐渐引起了国家和企事业单位的重视,单位通过各种行政管理手段对USB存储设备做了相应的规定,但往往由于使用人对于单位保密意识的淡漠或其他原因,仍然不可避免的产生了很多的问题,过去有的单位采用了用树脂胶填充甚至手工强制拆除USB硬件组件的办法,或者采用一些软件对USB口进行阻断等等,但这些办法又给工作效率的提高带来了极大的障碍,与信息化提高工作效率的初衷背道而驰,同时在使用过程中仍然缺乏相应的监管力度,安全隐患仍然存在。
如何能够既有效的控制单位移动存储介质的管理,防止泄密案件的发生,又能不影响单位信息化效率的提高,移动存储介质管理系统USB V2.0,较好的解决了这个问题。
可信移动存储介质管理系统根据国内应用特点新颖的设计方案,通过集中的管理平台将多个处理单元紧密集成起来,通过协议转换的模式,对 USB存储设备进行了严格的认证、解码分析、信息重构等一系列安全防护机制,针对办公网内电脑USB存储设备的使用和管理建立了一套完整的防范解决体系。移动存储介质管理系统综合应用底层驱动、设备识别、进程互控等多种技术,采用C/S和B/S混合式架构,由服务器端和客户端构成。
客户端主机通过移动存储介质的产品唯一生命特征识别码和硬盘唯一码(其重复概率相当于人类的指纹)二者结合进行识别,当主机数据库和移动存储介质中的认证信息相同时,接受其入网使用;未经注册的移动存储设备将会自动被系统强制卸载,实现单位U盘外出使用需要到单位保密或网络管理员处登记,否则在外部无法打开。
EUSB V2.0
在解决安全方面的问题,同时还兼顾工作的实际,力求使用的方便、简洁与高效。具体分析,EUSB V2.0设计主要满足用户以下多个方面的需求:
(
一)提供对移动存储设备全生命周期的管理
移动存储设备管理提供对移动存储设备从购买、使用到销毁整个过程的跟踪与管理。能够随时对移动存储设备的情况进行监管,随时了解某个移动存储设备的在网络中的使用情况和当前联机所处状态。
(
二)能够区分合法与非法的移动存储设备
合法的移动存储设备,指单位内部并被准许在内部使用的移动存储设备;非法的移动存储设备,指来源不明未被准许在内部使用的,或者是外来单位带入的移动存储设备。要求做到“非法的移动存储设备在工作环境中不能使用”和“合法的移动存储设备在工作环境中能够正常使用,但在非工作环境中不能使用”,即“非法的进不来,合法的出不去”。
(
三)增设移动存储设备的访问机制
最低0.47元/天 解锁文章
5156
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
