usb安全管理技术方案技术白皮书.doc

捍卫者USB安全管理系技术统白皮书 公开捍卫者USB安全管理系统2014V5.0技术白皮书 目 录1 概述32 捍卫者USB安全管理系统2014V5.0 简介43 捍卫者USB安全管理系统2014V5.0 技术特性53.1 产品介绍53.2功能介绍53.3 USB设备安全实施方案注意事项133.4 版本适用行业144 捍卫者USB安全管理系统（2014V5.0）系统要求155 性能特性156 售后服务167 关于我们168 总结161 概述计算机网络安全：信息安全即国家安全。没有信息安全，就没有真正意义的国家安全、也就没有真正的政治安全、经济安全、军事安全、文化安全和社会的稳定。随着网络信息化建设的大力推广和广泛应用，人们须要对信息安全有广泛的了解和高度的重视。防止外部的入侵和内部违规、窥探、窃取，已经成为我们必须面对的严重而残酷的现实问题。据FBI和CSI在对484家公司进行了网络安全专项调查，调查结果显示：超过85的安全威胁来自公司内部、有16来自内部未授权的存取，有14来自专利信息被窃取，有12来自内部财务欺骗，而只有5是来自黑客的攻击；在损失金额上，由于内部人员泄密导致的损失是黑客所造成损失的12倍。相对与网络边界或外网安全产品而言，内网信息安全产品还没有得到足够的重视，基于内网安全防范产品的和解决内网安全的方案还不够完善。 内网信息安全包括最大威胁是移动存储设备威胁。一个组织可以实现内外网分离切断企业信息的部分外泄途径，但是目前计算机提供了丰富的接口外设，诸如USB接口、串口、并口等等，组织内人员可以轻而易举的通过U盘，手机等可连接设备偷窃组织内部资料。-这是计算机信息的最大威胁。因此，为了满足企业及个人对这方面产品的需求，我公司推出了“捍卫者USB安全管理系统”。捍卫者USB安全管理系统有以下特点：1.Windows底层控制，用户操作透明化，提高易用性。2.管理USB、光驱、软驱、蓝牙、红外、串口、并口、磁带机等多种端口和存储设备。3.USB端口有开放、禁用、只读多种状态。4.光驱实现禁用、开放外，还实现对刻录机的只读设置。5.对u盘、移动硬盘、SD卡、TF卡等设备可以分域授权，可以做到单机绑定、分部门授权等。6.可以对移动存储设备进行加密，存储设备遗失不会泄漏信息。加密设备可以通过密码保护外携使用。7.授权、加密功能可以单独或同时使用，方便灵活。8.全面的日志审计功能(包括外携盘日志、断网日志等)。9.网络版直接推送安装、服务器级联。10.日志备份定时提醒。11.授权盘的使用权限管理：累计使用天数、使用次数、几天后失效、授权只读等。12.禁止计算机非法接入、外联，泄露内网信息。13.常用软件远程分发，微软及其他软件补丁升级。14.客户端远程桌面管理，可监可控自由选择，且支持多屏监控客户端。15.对内网终端的软硬件资产进行查看，并对资产异动进行报警及管理。 16.客户端支持域内、非域两种推送安装方式。17.内网验证终端相互访问行为监控。18.内网验证终端非法外联其它网络行为监控。19.外部终端非法接入内部网络行为监控。20.提取windows系统中记录的u盘使用痕迹或清除。21.业内率先支持VISTA/2008/Win7/Win8及64位Windows操作系统22.国内少数获得公安部认证销售许可产品。23.客户端异常或是破解在服务器的安全信息里面显示相关状态，进行报警。24.管理移动存储介质同时不影响USB软件狗，USB打印机（可以单独设置是否管理）等设备正常使用。25.客户端遵循windows操作规范，不改变用户使用习惯。26.使用Windows系统底层技术，杜绝使用各种黑客技术，采用高强度防破解的专有技术，同时和各种杀毒软件和安全软件没有冲突。 27.防破解技术更加完善。2 捍卫者USB安全管理系统2014V5.0简介作为专业的移动存储安全软件应用服务商“河北易泰通软件科技有限公司”的主要产品，捍卫者USB安全管理系统已经广泛应用于军队、武警、公安、保密局、银行，各建筑、设计行业等各个领域，该系列产品以其安全、稳定、高效的特点获得了应用企业的一致称赞，在许多关键时刻发挥了至关重要的作用。作为河北易泰通软件科技有限公司家族中的新成员，捍卫者USB安全管理系统2014V5.0在继承原产品诸多优势的同时，更是在许多方面都有突破性的提高，将捍卫者USB安全管理系统系列产品的各项性能指标提升到了一个新的高度。新产品着眼于企业对安全要求的的不断提高，及严峻的互联网安全形势，着重对产品的安全性，稳定性以及高效性方面进行了特殊加强，同时经过了大规模、长时间的严格测试，确保了产品的质量。同时，基于河北易泰通软件科技有限公司长久以来所取得的深厚技术积累，捍卫者USB安全管理系统2014V5.0针对市场上主流计算机系统进行了认真研究。让捍卫者USB安全管理系统2014V5.0在各种系统下（包括VISTA、WIN7、WIN8、2008以及64位操作系统）都发挥最卓越的效能。内网安全是河北易泰通软件科技有限公司一直关注并且业绩显著的领域，河北易泰通软件科技有限公司一直严格遵守该领域内的相应标准，为客户采用该产品提供了充分的保证。捍卫者USB安全管理系统2014V5.0可以很方便的移植。在人机界面方面较以往的产品有了跨越式的发展，为用户提供了更加友好、方便、快捷的人机界面。捍卫者USB安全管理系统2014V5.0凭借其优秀的性能价格比，是用户实现其安全防护措施的睿智之选，必为企业赢得市场竞争打下稳固基础。3 捍卫者USB安全管理系统2014V5.0技术特性3.1 产品介绍1. 捍卫者USB安全管理系统为用户提供了一套完整的USB安全管理解决方案，为您的企业建立安全可靠的信息管理平台提供便利，为您企业的信息安全保驾护航。2. 捍卫者USB安全管理系统有单机版以及网络版，其中以网络版为例又可分为三个部分：客户端软件：对授权U盘进行操作及向服务器通信。底层服务器端软件：对客户端计算机进行统一设置。级联服务器软件：对底层服务器及客户端监控并进行统一设置。3.2功能介绍1.捍卫者V5.0功能特色1.Windows底层控制，用户操作透明化，提高易用性。2.管理USB、光驱、软驱、蓝牙、红外、串口、并口、磁带机等多种端口和存储设备。3.USB端口有开放、禁用、只读多种状态。4.光驱实现禁用、开放外，还实现对刻录机的只读设置。5.对u盘、移动硬盘、SD卡、TF卡等设备可以分域授权，可以做到单机绑定、分部门授权等。6.可以对移动存储设备进行加密，存储设备遗失不会泄漏信息。加密设备可以通过密码保护外携使用。7.授权、加密功能可以单独或同时使用，方便灵活。8.全面的日志审计功能(包括外携盘日志、断网日志等)。9.网络版直接推送安装、服务器级联。10.日志备份定时提醒。11.授权盘的使用权限管理：累计使用天数、使用次数、几天后失效、授权只读等。12.禁止计算机非法接入、外联，泄露内网信息。13.常用软件远程分发，微软及其他软件补丁升级。14.客户端远程桌面管理，可监可控自由选择，且支持多屏监控客户端。15.对内网终端的软硬件资产进行查看，并对资产异动进行报警及管理。 16.客户端支持域内、非域两种推送安装方式。17.内网验证终端相互访问行为监控。18.内网验证终端非法外联其它网络行为监控。19.外部终端非法接入内部网络行为监控。20.提取windows系统中记录的u盘使用痕迹或清除。21.业内率先支持VISTA/2008/Win7/Win8及64位Windows操作系统22.国内少数获得公安部认证销售许可产品。23.客户端异常或是破解在服务器的安全信息里面显示相关状态，进行报警。24.管理移动存储介质同时不影响USB软件狗，USB打印机（可以单独设置是否管理）等设备正常使用。25.客户端遵循windows操作规范，不改变用户使用习惯。26.使用Windows系统底层技术，杜绝使用各种黑客技术，采用高强度防破解的专有技术，同时和各种杀毒软件和安全软件没有冲突。 27.防破解技术更加完善。2. 捍卫者V5.0各版本功能区别表 版 本功 能单机版网络版精简版基础版标准版增强版精简版基础版标准版增强版移动盘权限设置禁用只读开启其他端口控制刻录机全禁、只读功能移动盘分域管理移动盘加密外携控制操作审计客户端状态监控网络状态管理服务器级联管理注： 此功能可用 此功能不可用 此功能可选购3.捍卫者USB安全管理系统2014V5.0具体功能介绍(1)网络版系统功能捍卫者V5.0网络分为三部分：级联服务器、管理服务器和客户端。级联服务器也可以做为远端控制台使用，它与管理服务器可以是多对多的连接，并且级联服务器无需与管理服务器常连接，如需查看客户端信息时进行连接即可。管理服务器属于级联服务器的下属服务器，但可以独立存在，它与级联服务器之间无须常连接，但必须与客户端常连接，以便查看客户端状态并对其进行设置,且客户端的日志等信息都记录在管理服务器上。客户端直接连接管理服务器，但级联服务器也可以对其进行端口、密码等设置。客户端与管理服务器可以脱离级联服务器而独立存在。其网络结构图为：级联服务器：1）系统管理此模块包括两个功能：授权加密、切换语言。2）级联设置您可以新建服务器组织结构并对其进行修改。3）用户管理可以对级联服务器登录用户进行添加、查看、删除及修改。4）客户端管理客户端管理是在设置好组织结构出现客户端列表后，直接选择客户端进行操作。5）日志查看对客户端操作及服务器上线、登陆记录等进行查看和导出、删除。底层服务器：底层服务器界面如下图示：服务器端运行主界面1) 全面支持各种类型移动存储介质，包括U盘、移动硬盘、软盘、光驱、MO和外挂IDE硬盘等。2) 提供移动存储介质标识机制，权限不匹配的移动存储介质不能在受管理的计算机上正常使用（不会影响USB鼠标，键盘或打印机等非存储设备的正常使用），对计算机USB口可以设定的权限级别分为以下几种：客户端U口权限设置l 只读：客户端不能向移动存储设备写入任何文件，但是允许查看和导出文件。l 禁用：客户端不能读取和写入任何文件（禁止客户使用非授权的移动存储设备）。l 开启：客户端可以不受任何限制的使用任何移动存储设备。同时,可以对计算机其它端口(软驱、光驱，串口)进行设置： 其他端口设置3) 光驱的禁用、只读、开启设定： 5） 操作审计：可以对客户端的上线日志、在客户端操作的插盘日志和文件日志、服务器端用户登录日志、组织设置日志、端口设置日志进行查看；查看日志时还可以按多种方式进行：查看全部、按IP、按日期和关键字过滤查询，并且可以多种查询方式复合使用，使查询结果更精确。 6） 移动盘加密：移动盘加密包括高密磁盘外携、内外兼容加密和磁盘内部使用三种形式：其中磁盘内部使用加密方式加密的移动盘只能在企业内部使用；高密磁盘外携方式加密的移动盘在企业外部可以通过密码使用，如果该U盘丢失，不会造成泄密，适合有携带U盘外出需求的企业。7） 服务器发生改变，可以随时发出消息通知客户端进行自动连接（对用户是透明的）。8） 超级管理员可以对当前用户进行管理，可以对用户进行新增，删除等操作。9) 客户端卸载需密码，且该密码由服务器端设置，以保证客户端不被恶意卸载。10) 对客户端进行远程监控及抓屏，以方便对企业员工进行管理。11) 客户端运行占用资源小，几乎不占系统内存和CPU。12) 提供灵活的注册策略，可以设定移动存储介质允许使用的用户（组）和计算机（组）等； 13) 通过加密读写策略，可以有效控制移动存储介质数据的共享范围，移动存储介质的使用方便性和数据安全性兼得。 14) 采用透明加密技术，对用户习惯不造成影响；可对移动存储介质进行分组管理，支持针对设备组的策略设置。(2)单机版介绍单机版系统功能：单机版主界面如下图示（以增强正式版为例）：1）组织管理：该模块运行后可以实现以下三个功能：组织设定，组织导入，组织导出。对组织单元进行添加、删除和修改操作，可以添加企业的某些部门以实现对移动存储设备及计算机进行分组管理，也可以添加其它标识（如个人信息）以实现移动盘与计算机的绑定使用。组织导出可以将设定的组织信息导出到磁盘上，然后通过组织导入功能将其导入到其他计算机上继续使用。2）移动设备管理恢复设备:可以将授权盘或加密盘恢复为普通盘，且盘内数据全部丢失，此操作前需保存盘内数据。设备授权:可以将某移动设备进行授权（如XX Company，Depart Development），使其只能在相同标识的计算机上使用。设备加密:此过程分为高密磁盘外携、内外兼容磁盘和磁盘内部使用。磁盘内部使用加密方式加密的移动盘只能在企业内部使用；高密磁盘外携方式加密的移动盘在企业外部可以通过密码使用。 对于移动盘与计算机授权及使用情况可归纳为下表：3）本机设备管理可以对USB端口及光驱进行启用、只读、禁用设定，同时还可以设定其他端口的禁用/启用状态。4）本机归属管理对计算机进行归属设置（如将其归属设为公司的某个部门），这个功能具有比 “端口控制功能”更高的优先级，也就是说，使用某存储设备时，本软件将首先启用认证功能，进行对此设备授权的读取，如果设备具有了与计算机相同的标识，那么对于此设备而言，它就拥有了一个 “绿色通行证”，它可以打破对USB端口的一切封堵；但是如果此移动盘标识与计算机不同，那么无论对USB端口进行怎样的设置，该移动盘都不可用。5）审计功能管理可以记录移动存储设备在本机上进行的文件操作，而且可以按多种方式进行查询，使结果更加精确，同时还可以对所查询日志进行导出及删除操作。6）修改密码卸载密码和管理员登录密码是一致的，经修改后，两个密码会同时修改。3.3 USB设备安全实施方案注意事项1. 实施本系统解决方案前的准备： 确保已经卸载以前安装过的USB安全管理系统的其他版本。采用可靠的防病毒软件对系统进行检测，确认系统没有木马或病毒。 检查系统中是否已经安装各种专业的软件破解软件，对此类软件等进行清除，防止此类软件阻止或破坏捍卫者的正常安装。 在系统BIOS中设定不能USB、光盘等移动介质引导，设置BIOS密码并严格保密。 选用正规途径购买的知名企业出产U盘类产品，目前市场存在大量标称容量和实际容量不符的U盘设备，使用此类产品可能导致贵单位资料丢失和损坏的影响，大量劣质U盘未按照标准设置U盘硬件信息，降低了USB设备的安全性。2. 安装中的注意事项： 安装捍卫者USB安全管理系统前暂停防火墙和杀毒软件等防护软件，以便USB安全管理系统正常安装，待捍卫者USB安全管理系统启动后再行开启。 以系统管理员身份登陆安装捍卫者USB安全管理系统。 安装或运行过程中对于360等监控类软件的询问采取允许的动作。3. USB安全管理系统使用注意事项： 注意修改系统默认密码。 修改过的捍卫者USB安全管理系统管理员密码要严格保密。 往加密区导入文件的时,为保证文件的完整性。建议保留120K的空间。 此版本对移动存储设备的最大外携加密空间为8G。 软件最多为移动存储设备授予64个部门权限。3.4 版本适用行业制造行业：此类行业用户最关注或者说最重要的就是设计图纸、设计方案等电子资料的安全，这些资料往往关乎着一个企业的生存和发展，一但这些核心数据资料流失到了外界或到了竞争对手手中，会给客户和企业本身造成非常不好的影响，甚至构成难以估量的损失。所以这类企业非常关注资料信息防泄密。军队和军工单位：军队一直以来就是保证国家长治久安的后盾力量，是维持人们安居乐业的保障，在和平时代的今天，军队及军工仍属于高度保密单位。若其军队保密信息、国家机密、科研成果因一个小小的移动存储设备而造成泄密，后果将不可预计。然而怎样才能有效地保证数据安全，让人无后顾之忧呢？捍卫者USB安全管理系统采用事前防范、事中监控和事后取证的方式，来防止USB移动存储介质 将机密文件拷出，其需求动力是显而易见的，对于军队这种国家机构更是求之若渴。新闻、出版：各种版权著作等公开发行前或发行后的大量电子信息需要安全防护。政府：政府各部门包括各种涉密单位，各职能单位内部也或多或少存在信息安全需求。广告、摄影等创意产业等：各种有知识产权相关的行业都大量需要此类产品。4 捍卫者USB安全管理系统（2014V5.0） 系统要求l 操作系统： Windows 2000各个版本Windows XP各个版本Windows 2003Windows VISTA、WIN7、WIN82008l 建议配置： CPU：奔腾1000MHz或更高 内存：256MB以上 注意：用户如果有防火墙的话，本公司建议在安装前先退出防火墙