移动存储管理解决方案及运维管理办法

降低成本 安全运营 提升效率 （表格） . 17 降低成本 安全运营 提升效率 ，如 U 盘、移动硬盘等，因 其体积小、容量大等优点，已得到广泛应用。作为数据交换的主要手段之一，移动存储设备正成为内数据和信息的重要载体，但是我们也应该看到，移动存储设备在给我们带来极大方便的同时，也给我们带来了不少的安全隐患。 近两年的安全防御调查也表明，政府、企业单位中超过 70%的管理和安全问题来自单位内部人员，特别是移动存储介质的普遍应用。移动存储介质使用灵活、方便的特性使得它在单位信息化过程中迅速得到了广泛的应用，越来越多的敏感信息、秘密数据和档案资料被随意的拷贝、存储在移动存储介质里。单位和个人持有的移动存储设备不区分，单位 信息和个人信息同时存储在同一个存储设备中，秘密信息保管不善或恶意木马病毒带入单位计算机网络 ,这都给单位的信息资源带来了巨大的安全隐患。 目前，移动存储设备的安全问题尚未引起足够的重视，使用的随意与管理的无序使得移动存储设备成为现阶段的安全盲点，移动存储设备疏于管理带来的严重问题比比皆是： 案例一：上百万台电脑感染“熊猫烧香”， U 盘是病毒传播的主要途径 年初爆发的“熊猫烧香”病毒导致上百万台电脑受到损害，而 U 盘正是病毒传播和藏身的主要介质。据江民科技反病毒专家介绍，“熊猫烧香”病毒会向 U 盘释放出一个名为“ 病毒文件，使用 U 盘的用户只要双击 U 盘，就会激活并运行病毒。 案例二： 件不见了， U 盘病毒“ 档杀手”在捣鬼 电脑里重要的 档为何神秘失踪？反病毒专家会告诉你，是因为感染了“ 毒。而导致用户电脑感染病毒的正是大家日常使用的 U 盘。“ 档杀手”病毒自主加载到 U 盘的自动运行文件里，一旦用户将感染了该病毒的 U 盘接入电脑，便导致所有 档神秘失踪。 案例三：美国核实验室头号泄密案， U 盘成为主要泄密工具 据美国新闻周刊 2006 年 11 月 13 日 报道，美国洛斯阿拉莫斯国家实验室的一位档案管理员盗走了大量机密文件，其 U 盘中包含了 400 多页从洛斯阿拉莫斯国家实验室的电脑上下载的机密文件，其中一些是核武器设计方案的绝密资料。 降低成本 安全运营 提升效率 、窃密案件给国家和企事业单位带来了不可估量的损失，也逐渐引起了国家和企事业单位的重视，单位通过各种行政管理手段对 往往由于使用人对于单位保密意识的淡漠或其他原因，仍然不可避免的产生了很多的问题，过去有的单位采用了用树脂胶填充甚至手工强制拆除件组件的办法，或者采用一 些软件对 进行阻断等等，但这些办法又给工作效率的提高带来了极大的障碍，与信息化提高工作效率的初衷背道而驰，同时在使用过程中仍然缺乏相应的监管力度，安全隐患仍然存在。 第 二 章 移动存储管理系统 功能 需求 动存储介质的 注册授权与访问控制 支持对移动硬盘、 U 盘等存储介质 进行并发 可信化 集中 注册 ，注册介质在内网具有唯一标志符 。注册 授权内容包括：安全级别标签、硬件管理唯一 、使用人、使用部门、使用期限以及是否采用序列号口令保护等，只有带有注册标签并且符合移动存储管理策略的存储介质才可以接入计算机使用。 移动存储介质可 划分为可信区和普通区 ，分区容量可由管理员灵活定义。 管理员通过注册认证工具对 移动存储介质 进行划分 可信区和普通区 ，分区大小可以灵活控制。 可信区在已安装客户端并具有访问权限的计算机上可以读写，在未安装客户端的计算机上将 不被 识别并弹出可定制化的消息框提醒；普通区凭密码认证可在所有计算机上使用。 普通区密码用户可以灵活修改，由用户在客户端任意修改变换口令。 系统至少支持 1000 个 注册 计算机客户端；对移动存储介质的注册数量 无 限制 ，系统最大网络客户端数量支持 15000 台 。 系统支持注册移动存储介质 和 授权 计算机 形成“多对多”的使用方式。 每台计算机和每个注册移动存储介质的授权数没有限制 ，专用认证工具可以无限制对移动存储设备注册认证 。 系统支持计算机的离线注册 认证 ，支持通过 U 盘、移动硬盘 等方式 手动同步策降低成本 安全运营 提升效率 ，策略文件在服务器端以可见文件形式存在，而在客户端不可见，防止终端用户随意删除。 支持注册后的移动存储介质 依据授权信息进行 细粒度、 多层次的访问控制；支持 禁止、 读、写、加密写等访问权限的细化。 未统一授权的移动存储设备，可设置为“不允许使用” 、“允许只读方式使用” 、“允许读写方式”使用等安全标识。 管理员可以按 所有的网络终端结点进行任意分组 ， 不同组可以执行不同的介质访问策略。 系统支持按不同部门划分工作组，这样管理员可以直接对不同性质工作组进行策略分发，分组功能给移动存储设备网络化管理带来一定的简洁性，尤其是对于庞大的网络来说则可以减少错综复杂的局面，为管理员进行程序化策略管理提供高效手段。 系统 支持对非 储 设备 （ 盘、鼠标、打印机、硬件 ）、特定储介质设置不同的访问权限 。 统支持对非 储设备（ 盘、鼠标、打印机、硬件 ）的自动识别，支持对特 定 数据交换中间机）设置不同的访问权限。针对实际工作的特点，还考虑到分权分级管理、设备兼容性等。移动存储设备管理系统与硬件接口、磁盘类型无关，可管理所有硬件接口、磁盘类型的移动存储设备 。 提供对除 U 盘、移动硬盘的存储介质可信管理外，还能够对终端的输入输出设备（ 印机、数码相机、摄像仪、 录机、磁带机、并口、串口、 1394 口等）进行管理，确保对计算机数据通道的控制，防范数据通过可信存储介质之外的途径泄密。 支持客户端策略的导入、导出功能。 系统服务器内置策略库，制订策略后分发到认 证终端执行，客户端专有策略文件保存下发策略，管理员在控制台可以预先定义策略，从策略服务器导出，需要的时候导入服务器或者认证终端执行。 注册后的移动存储介质支持和计算机软件、硬件资产或管理员自定义 行绑定，系统自动产生唯一性标识 号 , 双因子认证技术采用对唯一标识经过特殊算法得出的唯一赋值对照后作出判断，防止客户端计算机设备变更而引起的安全隐患； 仅识别本服务器管理的注册客户端，拒绝外来注册客户端的欺骗接入。 降低成本 安全运营 提升效率 客户端重新安装后，服务器端可以为下发其原有控制策略，控制策略实时发送，一旦客户端入网，立即进行 策略比对，变化则自动更新。 未注册存储介质接入内网时将 在客户端 产生嗡鸣器报警并弹出可定制化的消息框提醒 ，服务器端并有响应的报警。 统 报警方式支持声音、图形、邮件、手机短信等多种手段， 未注册存储介质接入 受控网络时 将 在客户端 产生嗡鸣器报警并弹出消息框提醒 ，服务器端并有响应的报警，服务器端报警支持向第三方平台进行报警转发（ 式）。 支持为计算机和注册后的移动存储介质授权不同的密级识别。 不同密级客体之间的数据交换应遵从的 管理员定义的规则 。 经授权的移动存储 设备，在系统内依据其授权信息进行多层次的访问控制，具体包括：基于用户身份的访问控制、基于密级的访问控制、基于口令的保护及对使用次数和使用日期的限制。 提供对未安装可信介质管理客户端计算机的自动 /手动远程阻断功能，强制网络中每台计算机都必须安装受控代理程序，避免未注册计算机带来的管理隐患，同时能够提供特殊的黑白名单管理机制，保证重要服务器、关键主机不受可信介质管理策略的限制。 系统必须为二次开发提供开放的接口。 系统遵循 议 /相关的国际标准或工业标准，支持对网络设备厂商管 理工具的集成，具有开放的 口。 据保护与自我防护 移动存储介质上的数据 都以密文方式保存。 采用对称的 28强度加密算法， 按扇区进行加密，每次一密钥 。 加密方式是扇区级加密，加解密过程自动完成。 磁盘级的透明加解密：加解密过程对用户透明，用户感觉不到加解密的存在，但是数据始终以密文形式存储在移动存储设备上。 支持对注册后移动存储介质的数据进行彻底删除，专用特殊数据标签清除工具，仅有管理员掌握。 系统对已注册移动存储介质的格式化不会影响移动存储介质原有的注册信息，降低成本 安全运营 提升效率 ，通过专用认证工具的写入移动存储设备的信息无法抹除，需要用系统相应提供的擦除工具方可以抹去。 用户不能自行卸载客户端代理；管理员通过密码认证可以卸载客户端。通过专用卸载程序和卸载密码，方可以卸载客户端程序。 客户端 支 持 安 全 模 式 启 动 ； 支 持 x 、 000 003 P 操作系统平台。 客户端 兼容目前主流的各种防 病毒软件（ 北信源、 瑞星、江民 、金山、 诺顿、趋势、卡巴斯基、 猫、安博士 等） 和各种反流氓软件，不会被上述软件发生冲突或者作为病毒 /木马清除。 志审计与 报表 功能 具备注册移动存储介质详细资产（使用人、权限、注销时间等）统计功能。 对于移动存储设备的资产入库登记（使用人、权限、注销时间等）、授权使用（插入、拔出、文件读写 、 址）、各种违规操作（人员、事件内容）等，提供详细的日志记录。 对于移动存储介质的 插入、拔出、文件读写 、 址、 各种违规操作等， 有 详细的日志记录 ；管理员根据需求可以 自定义客户端上传服务器的日志类型。 具备强大的日志审计 功能，审计的内容包括：授权日志台帐、使用日志台帐、违规日志台帐 等。 支持集中的报警 （通过邮件） 和报告，在管理服务器上能够方便查看全部范围（或组范围）的报警和报告，包括 注册计算机 的主机名、 址、 权限控制等。在 系统警平台 上能够 全面及时 查 看 不同区域 范围的报警和报告，包括 注册计算机 的主机名、 址、 权限控制、违规信息等。 在二次扩展功能中能够提供对其它计算机数据输入输出通道的审计管理，如邮件传输、 输、网络共享传输、刻录机复制等（非介质）途径的控制和审计，弥补可信介质管理系统对通道管理的缺陷。 系统 报表必须易于阅读，能够导出 格式，同时产生包降低成本 安全运营 提升效率 、线图和表等各种形式的定制报告，可由用户定制报告模板和内容 。 支持各类数据 (移动存储设备操作信息、安全策略、设备状态等 )统计，并能生成多种分析报表，提供丰富的报表模板，按不同部门、不同操作系统提供报表；报表输出支持以网页的方式展现，提供链接可在各项查询功能中跳转，报表输出支持 格式，同时可根据需要输出柱形图、饼图等。系统报表可根据用户定制模板 产生各种形式的定制报告， 并支持 第三方管理工具集成。 第三章 移动存储管理系统 设计 统设计概述 系统管理概述 ： 组织管理 ： 指定专人 /部门负责进行 备载体的管理。 审计管理：安全组织之外，由保密部门负责 理的检查工作。 技术控制 ： 采用各种技术支撑设施（方法）对 备载体进行管控。 制度管理：制定 备载体管理制度，进行日常操作约束。 应急管理：建立 备事故应急处理预案机制。 降低成本 安全运营 提升效率 ： 设备管理 集中注册：专门管理员统一对入网 备注册管理。 分别授权：不同人员、不同部门分密级获取相应授权。 设备控制 授权访问：非注册授权设备不能在本网络使用。 权限控制：禁止、只读、读写、外来报警等自定义控制。 设备审计 入网审计：合法、非法 备入网记录，合法性校验。 使用审计：日常数据读写、拷贝行为审计，外来设备操作记录。 降低成本 安全运营 提升效率 ： （ 1）客户端报警信息上报，控制台指令接收 （ 2） 备注册信息上报，密码还原信息获取 （ 3）综合数据入库、出库 （ 4）系统数据综合分析处理 （ 5）系统设备扫描自动发现（主机设备） （ 6）报警及系统数据呈现，系统策略数据存储 降低成本 安全运营 提升效率 网络设备信息采集模块：负责采集计算机中相关报警、病毒状况等信息。包含二个子模块：客户端模块、网络设备信息自动发现模块。 客户端管理模块：通过安装在计算机上的客户端程序，对本机移动存储接口进行管理，并对接入各种移动存储设备进行行为审计，处理后提交给后台数据库。 )数据存储与分析模块：将采集完毕的数据和数据库内已有的数据进行比对、整理，并进行分析，然后根据情况进行数据更 新或报警。 中央控制管理、报警模块：该模块为本系统的核心模块，作用在于统一调度其他模块工作，包括各模块参数配置、网络通讯管理配置、模块连接、信息汇总显示、报警显示等。 备注册管理模块：专用移动存储设备授权工具模块，将普通 U 盘作特殊格式化处理，并作标签标记。 系统报警处置工作流程 : （ 1）合法设备：经管理员认证授权设备。 （ 2）非法设备：外来设备，无授权设备。 （ 3）新入网设备：未注册移动存储设备，新入网未注册计算机。 降低成本 安全运营 提升效率 基于定时扫描机制，自动扫描检测管理网段内的计算机是否已经安装移动存储管理客 户端软件情况，将设备信息数据同数据库中原始数据进行比较，如发现异常则报警，并阻断非法设备的入网。 基于实时检测机制，由客户端代理程序自动发现接入主机的移动存储设备，对其进行合法性验证，并作行为记录和审计。 统关键技术 标签认证技术 通过专用工具程序为 动存储设备作唯一性认证标记，该程序从服务器中读取本系统的唯一性属性信息数据，经过二次处理，将处理后的信息会同预定义属性标签写入磁盘。 专用工具程序把数据写到系统分区时，采用特定算法对写入的数据进行加密，普通的 式无法 删除这些数据。该程序对移动存储设备所打标签拥有特殊信息（移动存储设备硬件属性信息、服务器系统唯一性标签号），经过随机密钥加密后，具有唯一性标识（防止将标签信息复制到其它客户端设备上，进行伪装接入使用）。 降低成本 安全运营 提升效率 ，同客户端代理程序的策略对应， 签符合策略许可才可以使用。 虚拟磁盘技术 将文件虚拟成磁盘，把所有直接对磁盘访问定向到文件，采用创建文件方式对磁盘进行扇区分割，分区大小可以自由划分。虚拟磁盘技术涉及对总线驱动、物理磁盘驱动、磁盘过滤驱动等操作。 虚拟 加密磁盘技术主要由磁盘应用程序、虚拟加密磁盘驱动程序、加密驱动程序等软件模块实现，对机密文件信息的安全保护、加密存储。 在虚拟磁盘技术基础上，采用 加密算法，对磁盘扇区进行加密，磁盘的安全性，并附带口令二次加密密钥，对虚拟磁盘的数据进行双重加密，确保无法破解。 解密技术 1）密钥生成： 在利用专用工具对介质分区时即生成 文件加密密钥，然后用处理后的初始密码口令 文件加密密钥进行加密。此后加密原始口令，连同加密后的文件密钥及其它 息作二次加密存 放在磁盘。 2）用户登录： 验证用户口令，通过后用处理的口令解密文件密钥，然后监测对磁盘的文件读写操作，进行文件加解密（对称算法）。 3）修改密码： 验证密码口令，通过后，用处理后的密码口令解密文件密钥，然后用新的用户口令加密文件密钥，生成密钥。 第四章 移动存储系统 应用 理效益 移动存储介质管理系统 能够 从 主机层次 和 传递介质层次 对文件的读写进行访问限制和事后追踪审计，为网络内部可能出现的 数据拷贝泄密、移动存储介质遗失泄密、以及 U 盘等移动介质接入病毒安全 的问题提供了解决方案。 1、 主机数据介质拷贝 标签认证 访问控制； 2、专用移动存储介质 数据加解密 存储； 降低成本 安全运营 提升效率 、专用移动存储介质内嵌主动式病毒安全防御。 4、 双数据区交互使用：专用 U 盘支持交互区和保密区划分。交互区在授权计算机上透明使用，在外网或非授权计算机上支持口令登录使用；保密区在授权计算机上受控使用，在外网或非授权计算机上不可见。 5、 全盘数据加密：采用 高强度算法对磁盘全面加密，在没有登录口令的情况下，使用任何第三方磁盘管理工具都无法获取内部加密数据。 6、 高强度口令保护：在 强度加密基础上，采用 8 位以上字 母、数字组合口令保护专用 U 盘的登录。 7、 授权访问控制：专用 U 盘配合终端计算机注册程序的安全策略，灵活控制不同数据区的访问权限。 对于网络中存在不联网的单机服务器或者工作站，可以安装单机版移动存储管理软件， 单机版移动存储管理系统在各服务器上独立安装，普通操作人员无法对其进行修改、卸载，以及软件策略的管理。单机版移动存储管理系统针对单机的管理策略由管理人员事先在管理器上制定，在安装过程中导入预定义策略。 统增强功能 提供对除 U 盘、移动硬盘的存储介质管理外，还能够对终端的输入输出设备（ 印机、 数码相机、摄像仪、 录机、磁带机、并口、串口、 1394 口等）进行管理，确保对计算机数据通道的控制，防范数据通过移动存储介质之外的途径泄密。 提供对未安装移动存储介质管理客户端计算机的自动 /手动远程阻断功能，强制网络中每台计算机都必须安装受控代理程序，避免未注册计算机带来的管理隐患，同时能够提供特殊的黑白名单管理机制，保证重要服务器、关键主机不受移动存储介质管理策略的限制。 在二次扩展功能中能够提供对计算机其它数据输入输出通道的审计管理，如邮件传输、 输、网络共享传输、刻录机复制等（非介质）途径 的控制和审计，弥补移动存储介质管理系统对通道管理的缺陷。 降低成本 安全运营 提升效率 ，并且数据是加密的，外部普通移动存储设备又不能在内网使用，因此导致内外数据无法进行交换，必须建立一套安全可靠的内外数据交换机制。 因此，在外部文件拷入内部网络，内部文件拷出内网时，都要经过专门的中间机进行数据交换，具体情况和流程如下： 中间机指在授权计算机和非授权计算机之间传递信息的专用计算机，其对注册专用存储设备和其他存储设备均具有访问权限。 中间机策略：中间机针对存在整盘加密策略的 计算机和外来移动存储设备的情况提供数据交换，通过策略内容逻辑的组合设计来实现。 授权计算机指已安装移动存储介质管理系统客户端，并对注册专用存储设备具有访问权限的计算机。 非授权计算机指未安装移动存储介质管理系统客户端或已安装客户端但对注册专用存储设备不具有访问权限的计算机。 上述中间机设置情况根据北调实际涉密情况确定。 1、内部文件拷出 (1)对外部传输涉密文件： 盘拷贝到外带专用 如下图） 盘拷贝到外部 未授权 U 盘中，再由外部的外带专用 U 盘拷贝到外部涉密计算机中。（如下图） 降低成本 安全运营 提升效率 (2)对外部传输非涉密文件： 盘拷贝到外带专用 U 盘将文件拷贝到外部非涉密计算机中。（如下图） 盘将文件拷贝到外部未授权盘中，在由外部 U 盘拷贝到外部非涉密计算机中。（如下图） 2、外部文件拷入 （ 1）对内部涉密文件： a. 通过中间机将外部未授权 U 盘中的文件拷贝到内部专用 U 盘，再由内部专用 如下图） 盘 拷贝外部的中间机中的涉密文件，再通过中间机将外带专用 如下图） 降低成本 安全运营 提升效率 (2)对内部非涉密文件： 由内部专用盘拷贝到内部涉密计算机中。 (如下图 ) 盘将外部非涉密文件拷贝到内部专用 U 盘中，再由内部专用 U 盘将文件拷贝到内部涉密计算机中。（如下图） 第六章 安全风险分析 尽管 客户端 兼容目前主流的各种防病毒软件（瑞星、江民 、金山、 诺顿、趋势、卡巴斯基等） 和各种反流氓软件，不会 被上述软件发生冲突或者作为病毒 /木马清除 ，但可能会有未知的第三方软件可能会影响移动存储客户端程序运行。 移动存储的控制不能代表将所有数据外传通道封堵，还需要从其他方面进行管理（网络传输、打印、人为拷贝等）。 病毒、恶意脚本等导致安全盘无法打开或者导致