USB安全管理典型解决方案

1、J 押 A 骨 典型方案易泰通软件科技有限公司典型方案内外网物理隔离网络的安全方案*网络现状与安全隐患目前，政府机关及金融等行业都有两个网络：内网和外网，内网用作内部 的办公自动化，外网用来对外发布信息、获得因特网上的即时消息，以及用电 子邮件进行信息交流。为了数据的安全性，内网和外网都通过隔离卡或网闸等 方式实现内外网的物理隔离，从一定程度上杜绝了内外网的混合使用造成的信 息外泄。如下图所示：政府吐子政等物理您居网络佑任河津然而，对于内网中移动存储介质的随意使用以及外部终端非法接入内网来 泄露内部信息的安全隐患，仍然得不到解决。存在的安全隐患主要有：1 .移动存储介质泄密 外来移动存储介质拷

2、去内网信息； 内网移动存储介质相互混用，造成泄密； 涉密介质丢失造成泄密2 .终端造成泄密 计算机终端各种端口的随意使用，造成泄密； 外部终端非法接入内网泄密； 内网终端非法外联外部网络泄密 捍卫者解决方案针对隐患1,捍卫者US殴全管理系统可以完全解决。此系统功能为：1 .管理US端口，对其设定禁用、只读、开放三种状态；2 .对软驱、光驱、红外、蓝牙等各种终端设备端口进行统一管理，设置开 放、禁用等模式，同时可设定刻录机只读；3 .实现移动存储介质的授权分区使用，存储介质与计算机终端可以实现一 对一，一对多的绑定使用；4 .通过特殊分区、加密，实现移动存储介质内部使用或外部通过密码使用，使得移

3、动介质丢失不泄密;5 .完整的日志记录、审计功能，实现整个移动存储介质使用流程的跟踪可 控;6 .支持vista操作系统；在内网中部署捍卫者US改全管理系统后，可以有效地防止移动存储介质泄密，解决移动存储介质的泄密隐患。如下图所示正常使用正常使用鼾授权为A 部门的 计算机X正常使用依端口状态OA （授权为OA1 （授权为OB （授权为C （授权为OA部门的授权盘）A部门的内部加密盘）B部门的盘）A和B部门的通用盘）3正常使用外部计算机通过密码（未安装k捍卫者软件）、使用而定D （外来普通盘禁用：不能使用只读：只能导出盘内数据 开放：盘正常使用）oA （授权为A部门的授权盘）QA1 （授权为A部

4、门的内部加密盘）OA2 （授权为A部门的内外兼容加密盘）捍卫者US全管理系统示意图针对隐患2,捍卫者终端安全及访问审计控制系统可以消除此隐患，主要用 q 0 典型方案易泰通软件科技有限公司功能为：1）终端接入验证管理（所有验证终端组成内网）；2）未验证终端限制接入内网；3）验证终端域内相互访问行为监控；4）验证终端非法其他网络行为监控；5）管理US端口及红外、蓝牙、光驱等各种端口和外设，对其设定禁用 开放状态，同时US端口及光驱可设定只读；6）日志备份定时提醒；7）客户端异常或被破解，服务器端显示其相关信息，报警提示。口合法终端合法终端非法终端捍卫者终端安全及访问审计控制系统示意图内网授信网络

5、合法终端以上两种解决方案可以作为模块组合为一个系统，这样既解决了信息安全 隐患，同时节约了成本，方便了安装与维护，除此之外，服务器支持多级级联, 方便了管理，也可以适用大规模网络。也适用范围本方案可广泛适用于政府、证券、金融、大型企业等单位，具有极低的投 和极高的安全性，并且维护方便、升级简单。5典型方案易泰通软件科技有限公司中间机连接内外网的安全方案*网络现状与安全隐患一些企业禁止内网计算机上公网，大部分计算机也不允许与外界沟通, 只是通过一个中间机来实现内网信息与外部信息的流通。1）如果中间机在内网中，网络结构如下图示:内网计算机2）如果中间机不在内网中，网络结构如下图所示:内网计算机外网

6、计算机然而此中网络方式，移动存储介质的随意使用以及外部终端非法接入内网 来泄露内部信息的安全隐患，仍然得不到解决。存在的安全隐患主要有：1 .移动存储介质泄密 外来移动存储介质拷去内网信息； 内网移动存储介质相互混用，造成泄密； 涉密介质丢失造成泄密2 .终端造成泄密#J 码 40 典型方案易泰通软件科技有限公司 计算机终端各种端口的随意使用，造成泄密； 外部终端非法接入内网泄密； 内网终端非法外联外部网络泄密*捍卫者解决方案针对隐患1,捍卫者US殴全管理系统可以完全解决。此系统功能为：1 .管理US端口，对其设定禁用、只读、开放三种状态；2 .对软驱、光驱、红外、蓝牙等各种终端设备端口进行统

7、一管理，设置开 放禁用等模式，同时可设定刻录机只读；3 .实现移动存储介质的授权分区使用，存储介质与计算机终端可以实现一 对，一对多的绑定使用；4 .通过特殊分区、加密，实现移动存储介质内部使用或外部通过密码使用， 使得移动介质丢失不泄密；5 .完整的日志记录、审计功能，实现整个移动存储介质使用流程的跟踪可 控；6 .支持vista操作系统；对于中间机在内网的网络：将捍卫者US眩全管理系统网络增强版安装在内网中，设定所有计算机端 口为禁用状态，禁止外来移动设备的使用；然后将中间机与其他内网计算机设 定不同的组织单元，这样需要流通到外部的信息，可以通过网络传送到中间机 上，再通过只有中间机才能识

8、别的移动设备将信息拷贝到外部；同样，需要流 入内网的信息，也是先通过此移动设备拷入到中间机，再通过网络使全内网共 享。如下图示：7押A0典型方案易泰通软件科技有限公司外联部内外兼容内网外联部计算机加密u盘内网行政部计算机外网计算机对于中间机不在内网的网络：内网计算机安装捍卫者USB安全管理系统网络增强版，中间机安装单机增 强版，将中间机与内网计算机设定不同的组织单元，如中间机设定外联部，内 网计算机设定行政部，则需要流出到外网的信息通过被设定为外联部与行政部 同时可以使用的内部加密盘拷贝到中间机上，然后通过只能在中间机上使用的 内外兼容加密盘拷贝到外部使用，同样外部信息需要拷贝到内网使用，反之

9、即 可。如下图所示:授权为外联部外联部内外兼容和行政部的外联部加密u盘内网行政部计算机外网计算机针对隐患2,捍卫者终端安全及访问审计控制系统可以消除此隐患，主要 功能为：#. 捏 A , 典型方案易泰通软件科技有限公司L11）终端接入验证管理（所有验证终端组成内网）；2）未验证终端限制接入内网；3）验证终端域内相互访问行为监控；4）验证终端非法其他网络行为监控；5）管理US端口及红外、蓝牙、光驱等各种端口和外设，对其设定禁用 开放状态，同时US端口及光驱可设定只读；6）日志备份定时提醒；7）客户端异常或被破解，服务器端显示其相关信息，报警提示。非法终端捍卫者终端安全及访问审计控制系统示意图以上

10、捍卫者US弦全管理系统与终端安全访问审计控制系统可以作为模块 组合为一个系统部署使用。也适用范围本方案可广泛适用于医疗、机械制造业、政府等单位。公安边防安全解决方案*网络现状及安全隐患1）公安边防系统已经安装公安部统一推广的“一机两用”软件，在一定程 度上实现了内外网隔离使用，见下面示意图，内网机器安装了一机两用 软件后一旦连接公网进行告警。如下图所示：9, J 捏 A , 典型方案易泰通软件科技有限公司公安网“一机两用”示意图虽然已经采取这种防范措施，但公安网络在使用中仍然存在诸多安全隐患, 归纳起来主要有以下两类：1 .终端安全造成的信息外泄：内外网分开使用使信息通过网络外泄在一定程度上得

11、到控制，但是终端本身的外泄没有得到良好控制，仍然存在两方 面泄密隐患：通过终端的各种外设和端口泄漏信息；移动存储介质泄露内部信息；2 .内部终端容易意外连接公网：一机两用不是硬性隔离，只是采取内部机 器连接外部网络时报警的形式，内部终端容易误连接，造成很多不便。*捍卫者解决方案针对隐患1,我们建议使用捍卫者us酸全管理系统，该系统对不常使 用的外设可以根据具体情况设置为禁用或只读（刻录机，US端口），并且对移动存储介质（u盘、移动硬盘等各种移动存储设备）可以分域授权使用， 可以限定移动存储介质的使用范围一对一或一对多的和终端绑定使用，加 密后的移动存储还可以做到流出到安全环境外无法识别，保证内部信息安 全。针对隐患2,本节解决方案可以作为防止意外连接公网的解决方案使用， 提供软硬两种解决方案，如防止意外非法连接外网示意图所示：1）软件方案：在外网计算机（允许上公网的计算机）网络和路由器间增加一个控制服务 器，该服务器安装捍卫者终端