USB安全管理典型解决方案.doc

典型方案 内外网物理隔离网络的安全方案 ＊ 网络现状与安全隐患 目前，政府机关都有两个网络：内网和外网，内网用作内部的办公自动化，外网用来对外发布信息、获得因特网上的即时消息，以及用电子邮件进行信息交流。为了数据的安全性，内网和外网?存在的安全隐患主要有： 移动存储介质泄密 外来移动存储介质拷去内网信息； 内网移动存储介质相互混用，造成泄密； 涉密介质丢失造成泄密 终端造成泄密 计算机终端各种端口的随意使用，造成泄密； 外部终端非法接入内网泄密； 内网终端非法外联外部网络泄密 ＊ 捍卫者解决方案 针对隐患1，捍卫者USB安全管理系统可以完全解决。此系统功能为： 管理USB端口，对其设定禁用、只读、开放三种状态； 对软驱、光驱、红外、蓝牙等各种终端设备端口进行统一管理，设置开 放、禁用等模式，同时可设定刻录机只读； 实现移动存储介质的授权分区使用，存储介质与计算机终端可以实现一 对一，一对多的绑定使用； 通过特殊分区、加密，实现移动存储介质内部使用或外部通过密码使用， 使得移动介质丢失不泄密； 完整的日志记录、审计功能，实现整个移动存储介质使用流程的跟踪可 控； 支持vista操作系统； 在内网中部署捍卫者USB安全管理系统后，可以有效地防止移动存储介质泄密，解决移动存储介质的泄密隐患。如下图所示: 捍卫者USB安全管理系统示意图 针对隐患2，捍卫者终端安全及访问审计控制系统可以消除此隐患，主要功能为： 1）终端接入验证管理（所有验证终端组成内网）； 2) 未验证终端限制接入内网； 3) 验证终端域内相互访问行为监控； 4）验证终端非法其他网络行为监控； 5）管理USB端口及红外、蓝牙、光驱等各种端口和外设，对其设定禁用开放状态，同时USB端口及光驱可设定只读； 6）日志备份定时提醒； 7）客户端异常或被破解，服务器端显示其相关信息，报警提示。 捍卫者终端安全及访问审计控制系统示意图 以上两种解决方案可以作为模块组合为一个系统，这样既解决了信息安全隐患，同时节约了成本，方便了安装与维护，除此之外，服务器支持多级级联，方便了管理，也可以适用大规模网络。 ＊ 适用范围 本方案可广泛适用于政府、金融、大型企业等单位，具有极低的投资和极高的安全性，并且维护方便、升级简单。???中间机连接内外网的安全方案 ＊ 网络现状与安全隐患 一些企业禁止内网计算机上公网，大部分计算机也不允许与外界沟通，只是通过一个中间机来实现内网信息与外部信息的流通。 如果中间机在内网中，网络结构如下图示： 如果中间机不在内网中，网络结构如下图所示： 然而此中网络方式，移动存储介质的随意使用以及外部终端非法接入内网来泄露内部信息的安全隐患，仍然得不到解决。?存在的安全隐患主要有： 1.移动存储介质泄密 外来移动存储介质拷去内网信息； 内网移动存储介质相互混用，造成泄密； 涉密介质丢失造成泄密 2.终端造成泄密 计算机终端各种端口的随意使用，造成泄密； 外部终端非法接入内网泄密； 内网终端非法外联外部网络泄密 ＊ 捍卫者解决方案 针对隐患1，捍卫者USB安全管理系统可以完全解决。此系统功能为： 1.管理USB端口，对其设定禁用、只读、开放三种状态； 2.对软驱、光驱、红外、蓝牙等各种终端设备端口进行统一管理，设置开 放禁用等模式，同时可设定刻录机只读； 3.实现移动存储介质的授权分区使用，存储介质与计算机终端可以实现一 对，一对多的绑定使用； 4.通过特殊分区、加密，实现移动存储介质内部使用或外部通过密码使用， 使得移动介质丢失不泄密； 5.完整的日志记录、审计功能，实现整个移动存储介质使用流程的跟踪可 控； 6.支持vista操作系统； 对于中间机在内网的网络： 将捍卫者USB安全管理系统网络增强版安装在内网中，设定所有计算机端口为禁用状态，禁止外来移动设备的使用；然后将中间机与其他内网计算机设定不同的组织单元，这样需要流通到外部的信息，可以通过网络传送到中间机上，再通过只有中间机才能识别的移动设备将信息拷贝到外部；同样，需要流入内网的信息，也是先通过此移动设备拷入到中间机，再通过网络使全内网共享。如下图示： 对于中间机不在内网的网络： 内网计算机安装捍卫者USB安全管理系统网络增强版，中间机安装单机增 强版，将中间机与内网计算机设定不同的组织单元，如中间机设定外联部，内网计算机设定行政部，则需要流出到外网的信息通过被设定为外联部与行政部同时可以使用的内部加密盘拷贝到中间机上，然后通过只能在中间机上使用的内外兼容加密盘拷贝到外部使用，同样外部信息需要拷贝到内网使用，反之即可。如下图所示： 针对隐患2，捍卫者终端安全及访问审计控制系