通用移动存介质管理系统方案.doc

涉密移动存储介质管理 解 决 方 案 北京博睿勤技术发展有限公司 2012年7月 目 录 1 前言 3 2 系统概述 3 2.1项目概述 3 2.2 移动存储介质安全分析 4 2.3 软件设计思路 5 2.4 系统适用范围 5 2.5 系统架构与组成 7 2.6 系统分级管理 7 3 网络版系统功能 8 3.1 访问控制 8 3.2 数据加密保护 9 3.3 身份认证 9 3.4 实名注册 9 3.5 外出禁用 9 3.6 口令保护 10 3.7 适用范围 10 3.8 介质防护 11 3.9 日志审计 11 3.10 三权分立 11 4 单机版系统功能 12 5 安全U盘 14 5.1 概述 14 5.2 安全U盘的优点 14 6 移动存储介质安全管理系统技术特点 14 7 配置环境 15 8 实施安排 16 9 售后技术服务及承诺 17 附录1、产品对比 18 附录2、国家保密局证书 19 附件3 价格表 （人民币：元） 21 1 前言 随着信息化建设的不断发展、网络的快速普及使得信息的获取共享和传播更为方便、快捷，随之而来的问题是各单位、各部门在享受到计算机以及计算机网络所带来的的同时调查结果显示：超过85%的安全威胁来自单位内部新一代取代软盘驱的移动存储设备使用灵活、方便，使它在信息化过程中迅速得到普及越来越多的、数据和资料被存在移动存储介质里U盘、移动硬盘等移动存储设备由于使用灵活、方便，迅速得到普及，几乎普及到每个人,而且其储存容量也越来越大。 注：下文中提到的移动存储介质包括U盘、移动硬盘、录音笔、MP3、MP4、手机、数码照像机、各种内存卡等使用USB接口具有存储功能的设备。 目前移动存储介质大量的被使用，在信息化的过程中迅速得到普及越来越多的秘密数据和资料被在移动介质里，移动介质给带来相当大的安全隐患。 内部人员使用移动存储介质将大量机密信息、内部资料拷贝出去； 无意中将涉密移动存储介质借给他人使用； 与外界进行信息交换互拷时造成涉密信息泄露； 涉密移动存储介质遗失或被盗导致机密信息泄露； 涉密移动存储设备外出维修或退装时，导致存储在里面的涉密文件被泄漏； 涉密移动存储介质的使用缺乏身份认证、访问控制和审计机制； 涉密移动存储介质接入互联网计算机上使用造成泄密； 非涉密移动存储介质接入内网计算机上使用造成窃密； 移动存储介质中携带病毒或木马，造成泄密或主机感染； ．．．．。 针对移动存储介质的管理，我们认为应该满足几个基本要求：通过移动介质交换的数据必须是密文，保证数据离开环境后不可用；数据交换前必须通过正确的身份认证，密码认证记录数据交换过程的工作日志，便于以后进行跟踪审计；只有经过授权的移动介质才能进入到； 根据以上思路，研究开发了。，用技术手段移动存储安全的“五不”原则，即：进不来、拿不走、读不懂、改不了、走不脱。 ?? 进不来：非涉密移动存储介质接入内网计算机上不能使用。 ???拿不走：涉密移动存储介质接入互联网计算机上不能使用。 读不懂：数据始终以密文形式存储在介质上，非授权用户不能解密，涉密介质丢失不会造成泄密事故。 改不了：数据在涉密介质上存储后，非法用户无法打开更改数据内容。 ?? ?走不脱：详细的涉密介质使用日志，泄密事件可追踪，违规操作者和犯罪分子无处可逃。 2.4 系统适用范围 博睿勤《移动存储介质管理系统》提供了完善的解决方案，在应用范围来说，不仅仅对连接内网的所有计算机进行控制，还可以对不联任何网的涉密单机进行控制，所以从范围来说《移动存储介质管理系统》可以分为网络版和单机版，具体部署如图2–1： 图 2-1 2.4.1 网络版适用范围： 适用于需要对USB设备进行统一管理的内网计算机；在需要进行U盘管理的所有内网主机上安装客户端，通过服务器可以对客户端进行统一的策略下发和管理，以及审计信息的搜集，达到集中管理的目的。 2.4.2 单机版适用范围： 适用于涉密单机；在该主机上安装单机版U盘注册控制台，可以对该机的USB设备进行控制，以及对U盘进行注册认证，包括非法外联、文件监控、打印监控等。 2.5 系统架构与组成 2.5.1 系统架构： 网络版采用B/S（浏览器/服务器模式）与C/S（客户机/服务器模式结合） 单机版采用C/S结构 2.5.2 系统组成： 移动存储介质管理系统，采用B/S设计架构，系统由四大部分组成：管理控制台、主机监控代理（客户端）、后台数据库、U盘注册认证中心。其中管理控制台管理采用B/S模式，USB移动存储注册认证中心与监控代理之间的通讯采用C/S模式。 1.管理控制台：负责设置监控代理的安全策略、查看监控代理的活动状态、接受监控代理上传的报警事件并记入后台数据库及对历史审计数据的查询以及生成报表等，界面