涉密计算机USB端口控制.docVIP

涉密计算机USB端口控制 　　摘要：从九十年代USB 0.9的规范，到USB 1.1 外设的出现，再到最近USB 3.0的推出，USB端口及相应的设备一直没有停止过发展的脚步：从单纯的提高通讯速度，到存储设备，再到键盘鼠标、打印机、扫描仪、数码设备等等。大量的USB 外设给我们应用计算机带来了方便和快捷，但做为保密科研单位的涉密计算机，如何控制USB设备的访问、防止涉密数据外流、为数据提供安全和保障呢？本文就涉密计算机如何控制USB端口做以探讨。 　　 　　关键词：USB、USB外设、BIOS、注册表 　　 　　1 USB简介 　　USB是Universal Serial Bus(通用串行总线 ,也译为万能总线 )的简称 ,是 1995年Compaq等公司为了解决传统总线的不足而推广的一种新型串行通讯标准 ,近年来在PC领域广为应用。现在PC机均配备有USB接口 ,流行的操作系统也都支持USB ,很多厂商提供USB芯片、外设 ,USB已进入其发展的黄金时代。与其他总线相比 ,USB有很多优势 ,例如速度快、设备安装和配置简单、连接容易、支持热插拔、占用主机资源少、易于扩展等。 　　2 几种控制USB端口的方法 　　控制USB端口，制约USB外设的使用，按照保密要求做到USB端口禁用、USB外设只读不写、USB端口允许正常使用等效果，下面介绍几种方法： 　　 　　2.1 物理法隔离 　　物理隔离的方法很简单，就是将计算机主板上扩展USB端口拆除，将集成USB 端口用热熔胶或胶水堵死，即USB外设无法插入USB端口，从而达到控制端口的目的。 　　 　　2.2 BIOS屏蔽 　　启动计算机，按F2或DEL键（主板不同略有不同），进入BIOS设置，把USB设备设置为Disable。再为BIOS设一个管理员密码，目的是除管理员以外的人不允许进入设置修改，这样设置的计算机就无法使用USB外设了。 　　 　　2.3 注册表或策略屏蔽 　　2.3.1计算机未安装 USB 存储设备时的方法 　　如果计算机上尚未安装 USB 存储设备，将下面文件指派用户或组及本地系统帐户“拒绝”权限。 %SystemRoot%\Inf\Usbstor.pnf 和%SystemRoot%\Inf\Usbstor.inf 。这样，用户将无法在计算机上安装 USB 存储设备。 　　2.3.2计算机已安装 USB 存储设备时的方法 　　这里以常用的winxpsp3为例： 　　（1）USB外置存储设备不允许读取和写入：运行regedit后，进入注册表，修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR 下的“Start”值。 　　（2）USB外置存储设备只允许读取不允许写入：在注册表项[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]下建立一个双字节项WriteProtect 并赋。 　　建议使用注册表方式控制后锁定注册表以增强自身保护。 　　 　　2.4 删除驱动程序控制 　　删除系统自带的USB设备驱动，这样U盘等设备插入计算机找不到驱动，自然就不能用了。但利用这种方法控制其实比较脆弱，很容易就可以把限制解除。 　　 　　2.5 软件控制 　　工作中发现采用软件控制的方法可行性比较高，既可以控制USB外设，又不影响USB键盘鼠标以及软件狗的使用。控制USB使用的软件很多，效果和功能不尽相同，这里主要介绍两个软件： 　　 　　2.5.1天桥科技的移动存储介质使用管理系统 　　该软件是由北京天桥科技有限公司自主研发的新一代安全产品，软件亮点很多：如可以对U盘移动硬盘等存储介质授权并加密，记录USB设备拷贝、删除文件等事件。 　　自身安全性测试：安全模式下随系统启动，退出和卸载是需要输入密码，否则退出和卸载无效。 　　但在使用的移动介质使用管理系统V1.0.B.9版本时，发现该软件有时会与某些杀毒软件发生冲突，导致软件不能随操作系统一起启动，甚至会被查杀删除，安全模式下启动的概率不是百分之百，这样可能会对数据的安全造成安全隐患。 　　 　　2.5.2数据卫士DataPro 　　软件运行稳定，可以安装在装有nod32和avast等杀毒软件的系统上，无疑义提示。内核模块随操作系统本身一起启动，安全模式下启动正常。退出和卸载是需要输入密码，否则退出和卸载无效，增强了自身保护。 　　 　　 　　 图2.1 DataPro控制USB选项图2.2安全模式下DataPro进程启动 　　 　　2.6 其他方法 　　控制USB端口的方