北信源内网安全U盘制作详解

1、精选安全 U 盘制作手册一、USB 标签制作全局参数根据服务器特征产生，用于区别在不同服务器上制作的移动存储设备，一般情况下，系统标签和建议标签一致，如果服务器更换（ ip、本系统数据库） ，建议标签为当前服务器的标签， 此时，建议使用最新的建议标签。 同时，带有以前服务器上标签的移动存储设备同现有服务器安全策略不兼容。普通标签作用 ：用于对移动存储设备作标记， 在外网未注册计算机不做任何判断， 可以任意使用， 仅在内网注册计算机上供认证识别用， 移动存储设备标签同注册计算机获取的标签授权一致，该设备方可使用，否则根据管理员的设置进行相应报警处理。!SAFE6 标签作用 ：用于对移动存储设备的

2、分区标签管理，在对移动存储设备分区的同时，进行标签写入， !SAFE6 设备标签同注册计算机获得的标签授权顺序匹配后，用户才能够按照设定的权限进行对 !SAFE6 设备数据区登录访问。标签制订：以 !SAFE6 标签为例，某公司下属10 个部门，一种管理方法是每个部门可以有单独的标签（如信息中心、销售部、办公室、财务部、市场部等），另一种是全公司设置特定的几种标签（如安全策略一标签、安全策略二标签），通过对计算机注册客户端程序的标签安全策略的发送， 让计算机按照预定义的安全策略来识别带有不同的标签的移动存储设备，并进行访问控制（读写、只读、禁止使用、报警等）。先添加备用标签，再分配给网管，并保

3、存。这样在使用UsbTool.exe 时，能够获得上述预分配的标签，按照不同管理需要对移动存储设备进行标签写入。.精选附图 4 标签分配二、 USB 标签制作工具1、 USB 标签制作工具功能USB 标签制作工具 UsbTool.exe 存放在网页管理平台 VRVEIS 文件目录的 download 下，下载后可以在任何计算机上 （建议在 Windows2000、xp 等操作系统） 对移动存储设备执行标签写入操作。专用移动存储设备类型缺省三个分区、启动区与交换区二合一、整盘加密。缺省三个分区：该类型盘具有启动区、交换区、保密区；启动区带有启动程序，在未注册计算机上通过该启动程序登录交换区。启动

4、区与交换区二合一：该类型盘有两个分区，启动区中带有启动程序。整盘加密：该类型盘只有一个数据区保密区。启动区的大小为10M（默认）密码最大错误次数用于分别限制对两个区的访问，一旦输入的错误密码次数超过指定数值，专用移动存储设备将自动锁定。三、安全 U 盘设备制作过程1、获取制作工具： 打开网页管理平台登录界面，点击 “工具下载” ，进入“工具下载” 界面，选择“管理员工具下载” ，出现登录提示，输入用户名和口令后，可看到“ U 盘特征制作工具”，点击下载按钮，选择保存路径保存即可。.精选附图 5 登陆界面附图 6 工具下载界面附图 7U 盘特征制作工具下载界面2、登录制作工具：执行“ UsbTo

5、ol.exe”，输入区域管理器所在计算机的 ip 地址，输入 admin 用户，输入密码登录（ UsbTool 同区域管理器连通） 。.精选附图 8 UsbTool 登录3、选择需要的型号：登录后，插入普通移动存储设备，出现盘符，选择该盘符，然后选择标签，再填写部门、拥有者、设备编号（自动编号不需要填写）、等。附图 9 UsbTool 界面最后选择【写入标签】 ，如图，选择需要制作的安全盘的类型。注：内容填写完毕后，不要忘记选中盘符。.精选附图 10 分区格式化4、配置设备参数：选择“显示格式化窗口” 、“支持灾难恢复” 、“整盘加密设备，在外网使用报警”、“初始密码强制修改” 。5、分区格式

6、化：按照步骤对分区进行各式化。6、标签验证、标签清除：标签写入成功后，可以在UsbTool.exe 主界面中进行标签验证，并进行标签清除。注： 1、标签制作过程中将会格式化U 盘，因此在制作前请先做好数据备份。2、如制作过程中标签写入失败，请对U 盘低格，然后重试。四、安全 U 盘使用效果1、在已授权计算机上，插入专用存储设备，将自动弹出如下登录窗口：附图 12 安全 U 盘登录输入初始密码：0000aaaa，提示修改密码。.精选2、密码修改保密区登录初始密码：0000aaaa。用户首次登录该存储设备时， 系统将强制修改初始密码， 不可修改为 0000aaaa。修改密码时，选择好区域，输入当前

7、密码和新密码并确认。附图 13 修改密码提示点击确定，出现以下修改密码窗口：附图 14 修改密码界面修改后，点击确认即可。*注：密码要求是数字和字母组合，并且长度在8 位以上，确定后修改即可 （请牢记新密码！ ）。修改后，使用新密码重新登录，用户可以看到目前已经登录的分区。密码条颜色变化说明已成功登陆。附图 14 成功登陆后界面.精选登陆后，点击图标，即可将登陆界面隐藏到右下角。打开“我的电脑”，将看到新盘符：“保密区”。附图 15 计算机显示效果五、移动存储审计策略移动存储审计策略用于配置注册计算机的专用移动存储管理策略，管理员设定专用移动存储设备的许可标签、使用权限、报警信息等策略内容，策

8、略下发注册终端后执行，注册终端根据策略对接入的移动存储设备进行条件判断控制。参数说明不允许使用、 允许只读方式使用、 允许读写方式使用。该项用来控制普通U 盘的操作使用，普通 U 盘控制带标签的本系统移动存储设备属于普通U 盘的一种，因此，普通标签和!SAFE6 标签移动存储设备的使用均需要开启“允许读写方式使用”权限网络中存在标签移动存储设备，需要开启该启用 U 盘标签认证项。注：未经过标签制作工具分区的U 盘以及安全 U 盘，其权限由交换区权限控制。认证标签列表 （添加择设定的移动存储标签类型，例如标签1、标标签）签 2、标签 3 三种标签， 分别对应于信息中心、.精选销售部、办公室的标签

9、移动存储设备.精选针对信息中心的所有客户端制订一条策略，设置本部门的标签设备在本部门计算机上的使用权限，设置销售部的标签设备在信息中心计算机上的使用权限， 设置办公室的标签设备在信息中心计算机上的使用权限，控制级别到数据区（交换区、保密区）。策略制订好以后，发送到信息中心所有ip 计算机执行本单位标签，是指在同一套管理服务器系统（全局标签） 上制作的不同类型标签的的移动本单位标签认证失存储设备， 如各部门使用不同标签，这些标签败属于本单位标签， 用于识别对不同部门的设备使用权限管理外单位标签， 是指不在同一套管理服务器系统（全局标签） 上制作的不同类型标签的的移动外单位标签认证失存储设备。用户

10、对这些设备的使用权限会受到败“外单位标签认证失败”策略和标签的离网策略限制针对 USB 类型的移动存储设备进行读写控制，软盘使用控制、 光盘USB 软盘、USB 光盘刻录机等均可以将数据拷使用控制出针对特定类型的文件进行审计，不填写默认为审计过滤全部审计登录交换区后自动针对 !SAFE6 标签设备插入计算机后自动调用操作系统的杀毒软件对交换区进行病毒查杀，杀毒杀毒软件支持动态添加（基本如瑞星、kill）针对特定移动存储设备如公章系统盘，不进行例外判断访问控制判断， 其他类似， 只需要填写特征文件名即可中间机针对存在整盘加密策略的计算机和外中间机策略来移动存储设备的情况提供数据交换，通过策略内容

11、逻辑的组合设计来实现附表 1 移动存储审计策略参数说明移动存储审计数据在数据查询 审计数据查询 移动设备审计中查看审计数据。 默认当前页面显示 “今日数据”，如果需要查找其他时间的数据，可以通过选择“时间范围”查询。在数据查询时：选择需要查询的数据类型，如“移动设备接入” ，“读取移动设备” ，“写入移动设备” ，分别显示查询项。.精选附录：移动硬盘标签制作方法：步骤 1：插入移动硬盘之后，右击我的电脑管理磁盘管理。附图 -1 制作移动硬盘标签1步骤 2：在上面的分区上点鼠标右键，删除分区，多分区相同。附图 - 2 制作移动硬盘标签2步骤 3：删除分区H ，然后点【确定】按钮。.精选附图 - 3 制作移动硬盘标签3步骤 4：然后所有分区，使之变成未指派盘符。附图 -4 制作移动硬盘标签4步骤 5：在未指派盘符上，单击鼠标右键选创建磁盘分区。附图 -5 制作移动硬盘标签5步骤 6：点【下一步】 。.精选附图 -7 制作移动硬盘标签6步骤 7：选择主磁盘分区，点击【下一步】。附图 -8 制作移动硬盘标签7步骤 8：设置分区大小为2000MB，之后点【下一步】附图 -9 制作移动硬盘标签8.精选步骤 9：给主分区指定一个盘符。