浅谈三种移动存储介质中数据交换防泄密方案.docVIP

浅谈三种移动存储介质中数据交换防泄密方案 　　【摘 要】 本文分析了信息化办公模式下的几中泄密途径和目前的应对办法，并就使用移动存储介质进行数据交换时可能出现的涉密问题进行剖析，提出了专用安全U盘、版权U盘、堡垒U盘三种管控方案，并对三种防泄密解决方案进行了对比，涉密单位可结合业务需求以及涉密要求，采购不同种类的安全U盘以满足单位自身的安全需要。 　　【关键词】 信息化办公安全 U盘版权 U盘堡垒 U盘数据扩散防涉密 　　1 概述 　　随着各种移动设备的普及，通过使用移动存储介质带来的泄密事件也逐渐增多。在当下的各种信息化办公模式下，单位内使用移动存储介质进行数据交换，其可能产生的泄密途径有以下几种：（1）使用市面普通Flash芯片版的移动存储设备进行数据交换；（2）通过网络方式进行数据交换，例如：Email、QQ、Wi-Fi文件共享、蓝牙/红外线数据传输等；（3）脱离计算机环境，使用相机、手机的拍照功能对文件内容进行拍照，单向窃取数据。 　　2 方案介绍 　　2.1 方案一：专用安全U盘，一款基于数据安全进出U盘为管控点的安全解决方案 　　U盘配有多个安全参数，由安全管理员通过安全管理工具对U盘进行初始化设置，初始化成功后再分配给单位员工使用。安全防护特性维度涉及：数据访问防护、U盘登陆防护、非授权访问处理、U盘密码保护和操作审计管理。 　　2.1.1 数据访问防护 　　物理区域访问防护：盘文件阅览是基于安全厂家自主研发的安全资源浏览器，U盘文件存储是基于安全厂家自主研发的文件系统，从根源上断绝非授权第三方应用程序通过任何渠道访问U盘。 　　数据阅览防护：U盘配有多个密码，使用不同的密码进入U盘所看到的U盘文件目录结构各不相同。使用普通密码登陆U盘，看到U盘上所有文件/文件夹；使用超级密码登陆U盘，看到的只是部分授权可见的文件/文件夹。 　　数据防拷出保护：凡是被用户打上“防拷出”标签的文件/文件夹，不允许非授权用户通过任何途径将此文件/文件夹拷出U盘。例如：Windows右键复制/粘贴、另存为、快捷键复制/粘贴、鼠标拖曳、右键发送到桌面等。只允许输入正确的授权密码方可进行文件/文件夹拷出。 　　写入数据到U盘防护：管理员对U盘开启“写入保护”后，U盘使用者只能凭正确密码方可执行写入操作，否则不允许对U盘上的数据进行任何的改变，例如：新建文件/文件夹、重命名文件/文件夹、修改文件内容、删除文件/文件夹、粘贴文件/文件夹。 　　使用过程中的实时防护：在使用U盘的过程中，若发现有违规操作，U盘立即自动关闭资源管理器窗口，自动退出，禁止用户对U盘进行任何的访问操作。例如：当前物理计算机临时接入互联网，当前物理计算机中途脱离了内网管理环境等。 　　文件粉碎机制：提供文件粉碎功能，增强已删除数据防恢复保护。 　　2.1.2 U盘登陆防护 　　进入U盘之前需要通过合法授权身份认证。认证判断包含但不限于：密码认证、U盘使用有效期判断、U盘有效使用次数判断、U盘安全日志存储空间可用大小为零判断、当前物理计算机是否为合法授权终端判断、当前物理计算机是否联接互联网、限定允许的密码连续错误输入次数判断、当前是不是在虚拟机上运行U盘、当前是不是安全模式。 　　2.1.3 U盘密码防护 　　（1）密码强度保护。要求密码具有一定要求的格式要求，例如：最短字符数、允许的字符格式等。（2）密码过期保护。要求每隔一个时间段需要设定新的U盘密码，密码过期后不允许使用U盘。（3）密码初始化保护保护。当用户忘记U盘密码时，可通过手机发送短信验证码、回答密保问题途径找回密码，也可以寻求管理员初始化密码。对于涉密级别高的单位，管理员初始化密码的同时会自动粉碎U盘上的数据。 　　2.1.4 操作审计管理 　　U盘上的各种Windows文件操作动作都会一一审计，并存储在U盘黑匣子区域。此区域仅能由管理员通过安全厂家提供的安全工具进行管理：阅览、删除、导出另存为。 　　2.1.5 非授权访问处理 　　根据涉密等级，管理员可配置非法操作的处理，包含但不限于：短信自动发送告警信息、后台对U盘数据进行粉碎、不允许登陆U盘、U盘瞬间放电销毁。 　　2.2 方案二：版权U盘，一款基于数据扩散为管控点的安全解决方案 　　U盘上的文件只许阅览，不许编辑，不许另存为，不许删除。安全防护特性维度涉及：U盘登陆防护、数据访问防护、U盘密码保护、操作审计管理和非授权访问处理。 　　2.2.1 U盘登陆防护 　　进入U盘之前需要通过合法授权身份认证。认证判断与方案1相同。 　　2.2.2 数据访问防护 　　（1）U盘数据写入。唯有使用安全厂家提供的安全管理工具将文件批量一次性写入U盘。 　　（2）U盘文件访问。只能在U盘上鼠标双击文件阅览