建立主动式U盘管理新模式.pdfVIP

建立主动式U盘管理新模式 一、概要 近年来，移动存储设备作为一种方便、流行的存储介质，其应用越来越广泛。通过移动存 储设备而发生的资料丢失、泄密等安全事件越来越多，去年，由国家保密局牵头组织的涉密单位 保密大检查中，暴露问题最多的是移动存储介质的安全使用和管理问题，包括移动存储导致信息 泄漏、交叉使用、病毒木马传播等。多样化的U盘、移动硬盘、手机/MP3/MP4、CF/MD/SD卡、 数码相机以及各类Flash Disk等移动存储介质容量越来越大，体积越来越小，携带使用方便， 这类移动存储设备为信息传递带来便捷的同时，也给信息安全保密工作带来严重的威胁： ★ 交叉使用 将涉密U盘插入非涉密计算机、或者将非涉密U盘插入涉密计算机的违规事件时有发生。 一旦发生交叉使用的违规事件，就极有可能造成机密文件被非法拷贝出去，造成泄密。 ★ 无法审计 ★ 木马摆渡 通过U盘，木马摆渡可突破物理隔离，在与Internet隔离的网络上，木马先将文件拷贝到 U盘。一旦该U盘插入其他能够连接Internet的计算机时，该U盘就会将拷贝出来的文件通过 Internet发送出去。 ★ 病毒传播 染毒的计算机会将病毒感染到U盘，一旦带毒U盘插入其他计算机，会造成计算机感染病毒。 ★ 丢失被盗 如果U盘丢失、被盗，其保存的敏感信息将会丢失，造成信息泄密。 ★ 通过虚拟机软件使用U盘 在计算机 （主机）上安装VMWare等虚拟机系统软件后，插入计算机的U盘可以在虚拟机中 进行操作。使用者可以将计算机主机中的文件拷贝到虚拟机，然后从虚拟机中拷贝到U盘，从而 使得U盘的使用更加隐蔽，甚至可突破常规的U盘管理系统的管理。 ★ 通过手机同步软件使用手机窃取文件 某些类型的手机可以在计算机上安装特定的同步软件。通过同步软件，手机不再是以U盘盘符出 现，而是表现为在手机同步软件中的特殊文件夹，通过对此特殊文件夹的操作，使用者就能在计 算机和手机之间进行数据交换，从而使对手机的管理更加困难，甚至可突破常规的U盘管理系统 的管理。 由于上述问题的普遍存在，移动存储介质的滥用成为了目前信息系统中最为突出的一个漏 洞，并造成了许多后果极其严重的危害。 作为内网安全专业厂商――山丽网安 （荣获 “中国最受用户欢迎的内网安全品牌），根据 国保发 〔2007〕13号文 （国家保密局和国务院信息化工作办公室颁发文件）《关于加强党政机 关计算机信息系统安全和保密管理的若干规定》，以及国家保密局涉密信息系统安全保密测评中 心于2008年2月底出台移动存储介质管理新技术标准，结合山丽网安多年从事军工保密技术研 究开发的专业经验，凭借对Windows系统驱动、网络通信、数据库、Windows底层开发、加密、 嵌入式软硬件系统开发具备的强大研发实力，向各单位推荐国内唯一“三证齐全”（国家保密局、 公安部、解放军保密委三重权威认证）的山丽网安山丽防水墙5.0。 二、山丽网安移动存储设备管理系统解决方案 2.1、方案设计原则 本方案根据BMB17-2006 《涉及国家秘密的信息系统分级保护技术要求》的指引，综合考虑各单 位网络现状和信息安全与信息保护目标需要，参考并遵循 《信息系统安全分级保护基本要求》、 《信息系统安全分级保护实施指南》以及 《ISO17799：信息安全管理实施指南》的具体要求，按 照合规性原则、易用性原则、整体性原则、动态发展原则进行设计，最终达到 “未经授权进不来， 进来之后看不到，看到了拿不走，拿走了看不了”的效果。 2.2、山丽防水墙5.0的核心目标 山丽防水墙5.0是针对不连接互联网的内部网络，或者已经有一定安全防御措施的局域网提供的 内网安全解决方案。 ² 实现内网的集中式网络管理 ² 通过不同的权限策略，达到分级别管理 ² 严格控制和审计U盘、移动硬盘、手机存储、数码相机、MP3/MP4、各种CF/MD/SD卡以 及各类Flash Disk等移动存储设备在内部的使用 ² 严格控制了计算机周边端口设备的启用、禁用 ² 主动防御U盘病毒 ² 单位全网计算机的资产软硬件管理 2.3、移动存储使用控制 ² 非本单位的移动存储设备不经允许不可以在单位内部使用 ² 本单位的移动存储设备不经允许不可以带到单位外面使用 ² 本单位的移动存储设备不经允许不可以交叉使用 （无使用权限）