移动存储解决方案.docxVIP

移动存储解决方案 　　篇一：移动存储设备安全管理解决方案 　　移动存储设备安全管理解决方案  　　实现对移动存储设备安全、有效地管理是保证内部敏感信息安全重要手段。做为信息的载体，移动存储设备具有的灵活、便捷性使它迅速得到普及，越来越多敏感信息、秘密数据和档案资料被存储在移动存储设备中。目前，对于移动存储设备的安全管理不是非常规范，缺乏有效的管理措施，而这无疑给公司内部涉密和敏感信息资源带来了相当大的安全隐患。  　　安全风险分析：  　　1、公司员工在公司内部使用的外来移动存储设备，容易携带各种计算病毒或恶意代码，造成病毒传播和泛滥。  　　2、怀有恶意的公司内部工作人员很容易使用移动存储设备将公司重要数据拷贝带出，造成单位敏感信息或商业秘密外泄。  　　3、移动存储设备一旦丢失或者被盗，存储在移动存储设备上的内部敏感数据或文件很容易失控，造成信息泄密。  　　4、外来移动存储设备随意接入，容易造成单位敏感信息或商业秘密外泄。  　　5、移动存储设备使用缺乏必要的审计  　　解决方案  　　利用北信源移动存储介质管理工具对公司内规定使用的移动存储设备统一标识，明确所有充许使用的移动存储设备的责任部门和管理人。并根据需要，对重要移动存储设备进行加密设置。可移动存储设备审计功能可记录对所有做过标签的移动存储设备的操作。  　　一、 名词定义  　　授权计算机：是指公司内所有安装过VRV终端管理系统并具有相应策略的计算机。 　　非授权计算机：是指除授权计算机外的所有计算机。 　　内部移动存储设备：是指经过北信源移动存储介质管理工具，做过标签的所有移动存储设备。  　　外部移动存储设备：是指未经过北信源移动存储介质管理工具，做过标签的所有移动存储设备。  　　二、 主要功能  　　（1）对内部移动存储设备做唯一标识，明确责任部门和的管理人。  　　（2）对外部移动存储设备操作进行限制。（禁用、只读、读写）  　　（3）对内部移动存储设备通过标签认证，实现管理、审计的目的。有三种标签认证方式。  　　1) 普通标签：制作成普通标签的移动存储设备，在授权计算机中按规定的权限进行操作，在非授权计算机中操作权限不受限。  　　2) 分区加扰标签：制作成分区加扰标签的移动存储设备，只能在授权计算机中按规定的权限进行操作，在非授权计算机中不可见。  　　3) 扇区加密标签：扇区加密标签可把整个移动存储设备分成三个区：启动区、交换区和保密区。  　　有三种操作模式。  　　1、整个移动存储设备分成启动区、交换区和保密区。启动区只用于保存存储设备分区管理的信息，不可进行读、写操作。交换区在授权和非授权计算机中均可按照规定权限的操作。保密区在非授权计算机中不可见，只能在授权计算机中按规定权限操作。在这种模式下，无论在授权和非授权计算机中都需要输入登录密码才能进入交换区和保密区。  　　2、把启动区合并到交换区中，整个移动存储设备分成交换区和保密区。交换区在授权和非授权计算机中都可以进行规定权限的操作。保密区在非授权计算机中不可见，只能在授权计算机中按规定权限的操作。在这种模式下，进入 　　交换区不需要输入密码，但进入保密区需要输入登录密码。 　　3、整个移动存储设备牙分成一个保密区。在此模式下，移动存储设备只能在授权计算机中输入登录密码才能使用。  　　（4）审计功能完善  　　1) 提供内部移动存储设备上所有文件操作的详细记录  　　包括文件的创建、复制、删除、读写和重命名等操作，具体包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息。  　　2) 提供内部移动存储介质的插入和拔出动作的详细记录  　　具体包括事件类型、移动存储介质的名称、用户、计算机IP地址、事件时间等。  　　三、建议方案  　　(1)、申请开通USB接口权限时，应同时携带使用该USB接口的移动存储设备，以便制作该移动存储设备的认证标签。在制作移动存储设备的认证标签前，请责任人事先做好数据备份。  　　(2\)申请开通USB接口权限时，应明确填写使用该USB接口的移动存储设备的责任人；主要接入设备的类型；主要传递信息的类型等主要信息。  　　(3)、销售部门的移动存储设备采用扇区加密标签认证方式，把整个移动存储设备划分成启动、交换、保密三个区的模式。保密资料放在保密区：需要和客户交流的资料放在交换区。因为有登录密码保护，即使不小心移动存储设备丢失也不会造成不可控的影响。  　　(4)、设计部门内部交流的移动存储设备采用分区加扰标签认证方式，只能在授权计算机上使用，在非授权计算机上不可见。  　　(5)、其他部门的移动存储设备可采用普通标签认证方式。  　　(6)、外部移动存储设备