前言:
隨著社會(huì)信息化的發(fā)展和網(wǎng)絡(luò)社會(huì)的普遍建立,計(jì)算機(jī)網(wǎng)絡(luò)以及IT技術(shù)得到廣泛應(yīng)用,使得網(wǎng)絡(luò)安全問題日益嚴(yán)峻,泄密事件和病毒泛濫也越來越嚴(yán)重。目前,網(wǎng)絡(luò)信息安全形勢十分嚴(yán)峻,部分領(lǐng)導(dǎo)和員工的信息安全意識(shí)相對淡薄、信息安全技術(shù)和設(shè)施落后、計(jì)算機(jī)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)安全防護(hù)能力較弱。這類問題如果不能得到很好的解決,不但會(huì)引起大量泄密事件和網(wǎng)絡(luò)攻擊事件的發(fā)生,更會(huì)嚴(yán)重影響到計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)在信息化建設(shè)中的推廣和應(yīng)用。加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的信息安全與防護(hù)已刻不容緩。
為了提高安全防護(hù)能力,多數(shù)計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)部署了病毒檢測和殺毒工具、入侵檢測系統(tǒng)、網(wǎng)絡(luò)漏洞檢測工具,從某種程度上解決了一些外部的攻擊。但是根據(jù)IDC的統(tǒng)計(jì)數(shù)據(jù)表明,信息安全問題的出現(xiàn),80%來自內(nèi)部人員,其中包括有意的也有無意的,甚至有內(nèi)外勾結(jié)的。國內(nèi)信息安全權(quán)威專家沈昌祥院士近幾年也一直呼吁必須構(gòu)建內(nèi)外兼防的安全系統(tǒng),強(qiáng)調(diào)內(nèi)部防范的重要性,傳統(tǒng)的殺毒、入侵檢測和漏洞掃描仍然無法主動(dòng)解決來自內(nèi)部的威脅,各種行政保密制度如果沒有技術(shù)手段做支持,也難以落到實(shí)處。
1.靈活小巧的U盤使用帶來的安全隱患
隨著信息化建設(shè)的日新月異,各行各業(yè)的網(wǎng)絡(luò)建設(shè)日趨成熟,信息的安全化問題也隨之產(chǎn)生。其中,U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)設(shè)備使用靈活、方便,迅速得到普及,由此帶來的安全威脅也尤為嚴(yán)重:
1.1多樣化的移動(dòng)存儲(chǔ)介質(zhì)對信息保密威脅
通過拷貝導(dǎo)致泄密。隨著技術(shù)的進(jìn)步,移動(dòng)存儲(chǔ)介質(zhì)日漸多樣化,例如現(xiàn)在大部分手機(jī)可以直接當(dāng)成U盤使用,MP3、MP4和數(shù)碼相機(jī)同樣可以具備數(shù)據(jù)存儲(chǔ)功能,還有CF/MD/SD卡、以及各類Flash Disk等產(chǎn)品層出不窮。這些移動(dòng)存儲(chǔ)設(shè)備體積越來越小,攜帶起來方便不易被人察覺,為信息傳遞帶來便捷的同時(shí),也給信息安全管理帶來了極大的隱患,這些介質(zhì)很容易就可以將機(jī)要信息拷貝出去。
通過上網(wǎng)導(dǎo)致泄密。由于部分人員安全意識(shí)薄弱,將帶有機(jī)密信息的U盤或移動(dòng)硬盤拿到家里外部,插到上網(wǎng)的機(jī)器上使用,導(dǎo)致信息泄密。也有些在一機(jī)兩用的場合,從內(nèi)網(wǎng)切換到外網(wǎng)狀態(tài)下忘了將U盤拔出導(dǎo)致信息泄密。
1.2 U盤病毒已經(jīng)成為病毒傳播的第一大途徑
現(xiàn)代病毒無論是傳播性、隱藏性還是破壞性,都是傳統(tǒng)病毒無法比擬的。它們可以借助文件、郵件、網(wǎng)頁、局域網(wǎng)中的任何一種方式進(jìn)行傳播,常常潛入系統(tǒng)核心與內(nèi)存,利用控制的計(jì)算機(jī)為平臺(tái),對整個(gè)網(wǎng)絡(luò)進(jìn)行大肆攻擊。
隨著U盤等移動(dòng)存儲(chǔ)介質(zhì)的廣泛使用,病毒制造者已經(jīng)將U盤等移動(dòng)存儲(chǔ)介質(zhì)列為最重要的傳播途徑,譬如最近幾周連續(xù)登上病毒排行版第一位的病毒U盤寄生蟲(或帕蟲),就是專門針對U盤傳播而制造的病毒,具有自我啟動(dòng)、自我復(fù)制和傳播的特點(diǎn),只要是能夠進(jìn)行數(shù)據(jù)交換的介質(zhì)都可能成為計(jì)算機(jī)病毒傳播媒介。
1.3簡單的封堵USB接口不是一個(gè)好的解決辦法
如何控制這些移動(dòng)存儲(chǔ)設(shè)備在局域網(wǎng)內(nèi)的使用?有些單位采用在BIOS里面直接封閉USB接口;有些采用蠟或者其他材料將計(jì)算機(jī)的USB接口封堵;甚至有些單位采用直接用鉗子破壞USB接口……這些手段,雖然也是解決方法之一,但都不是完善的解決方法。USB接口被封堵,限制的不僅僅是U盤的使用,也限制了其他USB設(shè)備的使用,例如:USB接口鼠標(biāo)、鍵盤等,由此也會(huì)給正常工作帶來眾多的不便。
除此之外,目前大多計(jì)算機(jī)周邊的輸入輸出端口是敞開沒有防御的,軟驅(qū)、光驅(qū)、打印機(jī)等可以隨意使用,串口并口敞開無忌,而紅外線接口、無線網(wǎng)卡、藍(lán)牙等無線設(shè)備根本無法控制其使用,也是安全的一個(gè)隱患。
2.國邁科技專業(yè)U盤管理解決方案
國邁科技以“國家興旺,匹夫有責(zé):邁向強(qiáng)盛,科技為先”為公司思想靈魂,一直致力于計(jì)算機(jī)內(nèi)網(wǎng)信息安全產(chǎn)品的自主研發(fā)工作,為各界提供專業(yè)的解決方案。
針對計(jì)算機(jī)和移動(dòng)存儲(chǔ)設(shè)備的特點(diǎn)和隱患,遵照軍隊(duì)和國家保密政策、標(biāo)準(zhǔn)、方針,結(jié)合各單位的保密制度,進(jìn)行了深入的調(diào)研,秉著科技管理技術(shù)服務(wù)于管理制度的設(shè)計(jì)理念,憑借對Windows系統(tǒng)驅(qū)動(dòng)、網(wǎng)絡(luò)通信、數(shù)據(jù)庫、Windows底層開發(fā)、加密、嵌入式軟硬件系統(tǒng)開發(fā)具備的強(qiáng)大研發(fā)實(shí)力,推出了U盤管理解決方案――GM-SMP-U移動(dòng)存儲(chǔ)設(shè)備管理系統(tǒng)(簡稱U盤管理系統(tǒng))。
·――防止信息泄密
·――減少病毒傳播
★ 敞開U口 非請莫入 非請莫出
國邁U盤管理系統(tǒng)功能包括安全控制、安全審計(jì)和網(wǎng)絡(luò)運(yùn)維管理三大部分功能。
u 安全控制:包括U盤注冊、端口管理、病毒防范等功能;
u 安全審計(jì):包括文件操作審計(jì)、U盤使用審計(jì)、文件打印審計(jì)等功能;
u 網(wǎng)絡(luò)運(yùn)維輔助管理:包括計(jì)算機(jī)資產(chǎn)管理、補(bǔ)丁分發(fā)等功能。
2.1.1常規(guī)設(shè)備管理 —— 控制計(jì)算機(jī)周邊常規(guī)設(shè)備的啟用和禁用
國邁U盤管理系統(tǒng)具備高強(qiáng)度的端口控制,不僅控制了有線的端口,也控制了無線的端口。系統(tǒng)可以安全控制的端口包括有:軟盤驅(qū)動(dòng)器、光盤驅(qū)動(dòng)器、本地打印機(jī)、數(shù)碼圖形儀、調(diào)制解調(diào)器、串行通訊口、并行通訊口、1394、紅外通訊口、wifi無線網(wǎng)卡、無線藍(lán)牙等。
2.1.2U盤的注冊認(rèn)證安全級(jí)別設(shè)置 —— 靈活的移動(dòng)存儲(chǔ)設(shè)備使用模式
國邁U盤管理系統(tǒng)是建立在完全不廢棄原有U盤也不必封堵USB端口的基礎(chǔ)上,實(shí)現(xiàn)對現(xiàn)有U盤進(jìn)行分涉密等級(jí)的注冊認(rèn)證管理,U盤的分密級(jí)注冊認(rèn)證是整個(gè)U盤管理系統(tǒng)的核心。系統(tǒng)在徹底杜絕U盤信息非授權(quán)泄密的基礎(chǔ)上,又充分發(fā)揮了U盤的使用靈活性。同時(shí),還可以給每個(gè)在局域網(wǎng)內(nèi)注冊使用的U盤分別命名,以便跟蹤它在局域網(wǎng)內(nèi)的使用情況。
■ 移動(dòng)存儲(chǔ)設(shè)備的注冊認(rèn)證
系統(tǒng)分別對移動(dòng)存儲(chǔ)設(shè)備按涉密等級(jí)進(jìn)行高、中、低三級(jí)進(jìn)行安全注冊認(rèn)證,嚴(yán)格控制U盤(包括U盤、移動(dòng)硬盤、手機(jī)存儲(chǔ)、數(shù)碼相機(jī)、MP3/MP4、各種CF/MD/SD卡以及各類FlashDisk等)移動(dòng)存儲(chǔ)設(shè)備在局域網(wǎng)內(nèi)部的使用,以確保內(nèi)部的U盤不經(jīng)授權(quán),無法在外部讀取,而外部的U盤不經(jīng)注冊認(rèn)證,無法在內(nèi)部使用。
■ U盤注冊認(rèn)證的安全級(jí)別設(shè)置
● 高:經(jīng)認(rèn)證的U盤在內(nèi)部計(jì)算機(jī)正常使用,拿出去內(nèi)容卻看不見打不開――U盤內(nèi)容,偷不走!
● 中:經(jīng)認(rèn)證的U盤在內(nèi)部計(jì)算機(jī)正常使用,拿出去必須憑密碼才能打開――外出U盤,授權(quán)用!
● 低:經(jīng)認(rèn)證的U盤在內(nèi)部和外部的計(jì)算機(jī)都可以正常使用,無需憑密碼――特權(quán)U盤,方便用!
2.1.3U盤的使用策略 —— 配置U盤在局域網(wǎng)內(nèi)計(jì)算機(jī)上的使用權(quán)限
由于信息的重要程度不同、行政級(jí)別的不同、處理涉密信息的密級(jí)不同以及涉密信息量不同等情況,決定了局域網(wǎng)內(nèi)計(jì)算機(jī)對U盤的使用權(quán)限也有所不同。國邁U盤管理系統(tǒng)根據(jù)實(shí)際應(yīng)用情況,設(shè)計(jì)了U盤使用策略。
■ U盤的使用策略:
● 完全禁止――使指定計(jì)算機(jī)無法使用任何U盤
● 使用授權(quán)――設(shè)置指定計(jì)算機(jī)是否允許使用高、中、低密級(jí)的U盤或未注冊的U盤
● 讀寫控制――指定計(jì)算機(jī)可設(shè)置允許使用的U盤可讀可寫
● 完全開放――允許指定計(jì)算機(jī)使用所有已注冊及未注冊的U盤
2.1.4注冊U盤的管理 —— 即時(shí)禁用/啟用已注冊的U盤
在實(shí)際應(yīng)用當(dāng)中,難免發(fā)生U盤遺失、被盜,或者緊急情況下需要即時(shí)終止已注冊的U盤在內(nèi)部使用的情況。在系統(tǒng)的已注冊U盤信息列表里面,可以即時(shí)將其刪除,或者禁止使用。
2.1.5計(jì)算機(jī)離線管理 —— 計(jì)算機(jī)斷開局域網(wǎng)之后同樣被監(jiān)管
在部署內(nèi)網(wǎng)安全的時(shí)候,必須保證局域網(wǎng)計(jì)算機(jī)離線狀態(tài)的時(shí)候,同樣也能被監(jiān)管。在國邁U 盤管理系統(tǒng)里,離線狀態(tài)是指:局域網(wǎng)通信出現(xiàn)故障導(dǎo)致計(jì)算機(jī)無法連接局域網(wǎng),包括蓄意拔掉網(wǎng)線想逃避監(jiān)管、移動(dòng)辦公的手提電腦等。
凡是局域網(wǎng)內(nèi)的計(jì)算機(jī)不管是在線離線,U盤管理系統(tǒng)對其設(shè)置的所有監(jiān)控策略同樣有效。
2.1.6全網(wǎng)掃描 —— 發(fā)現(xiàn)局域網(wǎng)內(nèi)不受控的計(jì)算機(jī)
國邁U盤管理系統(tǒng)可以即時(shí)發(fā)現(xiàn)并羅列局域網(wǎng)內(nèi)沒有安裝本系統(tǒng)客戶端的計(jì)算機(jī),管理員可對其及時(shí)處理,增強(qiáng)安全防范。
2.1.7主動(dòng)防御U盤病毒入侵網(wǎng)絡(luò)
病毒對我們計(jì)算機(jī)網(wǎng)絡(luò)的危害性已經(jīng)是有目共睹的,因此為了進(jìn)一步保障網(wǎng)絡(luò)的安全,國邁科技針對病毒的傳播特點(diǎn)作了深入的研究,提取了U盤病毒傳播的共性,實(shí)施了相應(yīng)的解決辦法,堅(jiān)決杜絕U盤中的病毒感染局域網(wǎng)內(nèi)計(jì)算機(jī)。
2.2安全審計(jì)功能
2.2.1U盤使用日志審計(jì) —— 記錄計(jì)算機(jī)及U盤等各種日志
國邁U盤管理系統(tǒng)提供了靈活方便的日志查詢,以便管理和查詢審計(jì)。用戶可以根據(jù)這些日志審計(jì)每一個(gè)U盤在局域網(wǎng)內(nèi)的使用情況、每臺(tái)計(jì)算機(jī)使用U盤的日志、管理員何時(shí)注冊過哪些密級(jí)的U盤。
2.2.2文件操作日志審計(jì) —— 記錄文件被操作的各種日志
通過文件名關(guān)鍵詞查詢該文件是否被拷貝、刪除,被哪臺(tái)哪個(gè)名字的U盤拷貝出去。
2.2.3文件打印日志審計(jì) —— 記錄文件被打印日志
詳細(xì)記錄計(jì)算機(jī)名、打印機(jī)名稱、打印文件名稱、打印頁數(shù)、打印時(shí)間等日志,方便審計(jì)。
2.3.運(yùn)維管理輔助功能
2.3.1硬件資產(chǎn)管理 —— 采集局域網(wǎng)內(nèi)計(jì)算機(jī)的硬件配置情況
對于大型的網(wǎng)絡(luò),計(jì)算機(jī)的資產(chǎn)管理,也是令單位管理部門頭痛的事情。國邁U盤管理系統(tǒng)除了安全的保護(hù),同時(shí)也兼顧了網(wǎng)絡(luò)運(yùn)維管理。系統(tǒng)能夠自動(dòng)采集局域網(wǎng)內(nèi)計(jì)算機(jī)的硬件配置情況,可以實(shí)時(shí)顯示局域網(wǎng)內(nèi)計(jì)算機(jī)的配置,并且詳細(xì)記錄資產(chǎn)的異動(dòng)情況,實(shí)現(xiàn)對計(jì)算機(jī)硬件資產(chǎn)的靈活管理。
2.3.2補(bǔ)丁分發(fā)功能——提供補(bǔ)丁分發(fā)工具
為各種補(bǔ)丁提供分發(fā)工具,方便網(wǎng)絡(luò)管理。
結(jié)束語:GM-SMP-U國邁移動(dòng)存儲(chǔ)設(shè)備管理系統(tǒng)榮獲解放軍保密委軍用信息安全產(chǎn)品認(rèn)證證書(編號(hào):軍密認(rèn)字第0587號(hào)),已經(jīng)廣泛應(yīng)用與部隊(duì)、軍工企業(yè)、政府和企事業(yè)單位,有效防止信息泄密和主動(dòng)防范病毒的傳播。
