USB安全管理典型解決方案

1、典型方案內(nèi)外網(wǎng)物理隔離網(wǎng)絡的安全方案*網(wǎng)絡現(xiàn)狀與安全隱患目前，政府機關及金融等行業(yè)都有兩個網(wǎng)絡： 內(nèi)網(wǎng)和外網(wǎng)，內(nèi)網(wǎng)用作內(nèi)部的 辦公自動化，外網(wǎng)用來對外發(fā)布信息、獲得因特網(wǎng)上的即時消息，以及用電子郵 件進行信息交流。為了數(shù)據(jù)的安全性，內(nèi)網(wǎng)和外網(wǎng)都通過隔離卡或網(wǎng)閘等方式實 現(xiàn)內(nèi)外網(wǎng)的物理隔離，從一定程度上杜絕了內(nèi)外網(wǎng)的混合使用造成的信息外泄。 如下圖所示：路由券i賂由黔rIrtwFnelInter 佃猴人式軻闿隅高網(wǎng)俺幔入式物專購高騁閘 電子政卷內(nèi)曙牌時、獲）網(wǎng)鏘交擠機WebWebMail政冊nr政務物理隔為網(wǎng)絡然而，對于內(nèi)網(wǎng)中移動存儲介質的隨意使用以及外部終端非法接入內(nèi)網(wǎng)來泄 露內(nèi)部信息的安全隱

2、患，仍然得不到解決。存在的安全隱患主要有：1. 移動存儲介質泄密外來移動存儲介質拷去內(nèi)網(wǎng)信息；內(nèi)網(wǎng)移動存儲介質相互混用，造成泄密；涉密介質丟失造成泄密2. 終端造成泄密計算機終端各種端口的隨意使用，造成泄密；外部終端非法接入內(nèi)網(wǎng)泄密；內(nèi)網(wǎng)終端非法外聯(lián)外部網(wǎng)絡泄密*捍衛(wèi)者解決方案針對隱患1捍衛(wèi)者USB安全管理系統(tǒng)可以完全解決。此系統(tǒng)功能為：1. 管理USB端口，對其設定禁用、只讀、開放三種狀態(tài)；2. 對軟驅、光驅、紅外、藍牙等各種終端設備端口進行統(tǒng)一管理，設置開 放、禁用等模式，同時可設定刻錄機只讀；3. 實現(xiàn)移動存儲介質的授權分區(qū)使用，存儲介質與計算機終端可以實現(xiàn)一 對一，一對多的綁定使用；4

3、. 通過特殊分區(qū)、加密，實現(xiàn)移動存儲介質內(nèi)部使用或外部通過密碼使用, 使得移動介質丟失不泄密；5. 完整的日志記錄、審計功能，實現(xiàn)整個移動存儲介質使用流程的跟蹤可 控；6.支持vista操作系統(tǒng);在內(nèi)網(wǎng)中部署捍衛(wèi)者USB安全管理系統(tǒng)后，可以有效地防止移動存儲介質泄密，解決移動存儲介質的泄密隱患。如下圖所示授權為A部門的計算機正常使用二A正常使用幾A1< X O正常使用OC依端口狀態(tài) /I|而定D（外來普通盤禁用：不能使用只讀：只能導岀盤內(nèi)數(shù)據(jù) 開放：盤正常使用）正常使用 -外部計算神1（未安裝捍衛(wèi)者軟件;）通過密碼使用（授權為A部門的授權盤）（授權為A部門的內(nèi)部加密盤）（授權為A部門的內(nèi)

4、外兼容加密盤）捍衛(wèi)者USE安全管理系統(tǒng)示意圖（授權為A部門的授權盤）（授權為A部門的內(nèi)部加密盤）（授權為B部門的盤）（授權為A和 B部門的通用盤）針對隱患2,捍衛(wèi)者終端安全及訪問審計控制系統(tǒng)可以消除此隱患，主要功能為:如2）未驗證終端限制接入內(nèi)網(wǎng)；3）驗證終端域內(nèi)相互訪問行為監(jiān)控；4）驗證終端非法其他網(wǎng)絡行為監(jiān)控；5）管理USB端口及紅外、藍牙、光驅等各種端口和外設，對其設定禁用開 放狀態(tài)，同時USB端 口及光驅可設定只讀；6）日志備份定時提醒；7）客戶端異常或被破解，服務器端顯示其相關信息，報警提示。合法終端非法終端捍衛(wèi)者終端安全及訪問審計控制系統(tǒng)示意圖以上兩種解決方案可以作為模塊組合為一個

5、系統(tǒng)，這樣既解決了信息安全隱 患，同時節(jié)約了成本，方便了安裝與維護，除此之外，服務器支持多級級聯(lián)，方 便了管理，也可以適用大規(guī)模網(wǎng)絡。衣適用范圍本方案可廣泛適用于政府、證券、金融、大型企業(yè)等單位，具有極低的投資 和極高的安全性，并且維護方便、升級簡單。 中間機連接內(nèi)外網(wǎng)的安全方案*網(wǎng)絡現(xiàn)狀與安全隱患一些企業(yè)禁止內(nèi)網(wǎng)計算機上公網(wǎng)，大部分計算機也不允許與外界溝通, 只是通過一個中間機來實現(xiàn)內(nèi)網(wǎng)信息與外部信息的流通。1）如果中間機在內(nèi)網(wǎng)中，網(wǎng)絡結構如下圖示：內(nèi)網(wǎng)計算機2）如果中間機不在內(nèi)網(wǎng)中，網(wǎng)絡結構如下圖所示:然而此中網(wǎng)絡方式，移動存儲介質的隨意使用以及外部終端非法接入內(nèi)網(wǎng)來 泄露內(nèi)部信息的安全隱

6、患，仍然得不到解決。存在的安全隱患主要有：1. 移動存儲介質泄密外來移動存儲介質拷去內(nèi)網(wǎng)信息；內(nèi)網(wǎng)移動存儲介質相互混用，造成泄密；涉密介質丟失造成泄密2. 終端造成泄密計算機終端各種端口的隨意使用，造成泄密；外部終端非法接入內(nèi)網(wǎng)泄密；內(nèi)網(wǎng)終端非法外聯(lián)外部網(wǎng)絡泄密*捍衛(wèi)者解決方案針對隱患1捍衛(wèi)者USB安全管理系統(tǒng)可以完全解決。此系統(tǒng)功能為：1. 管理USB端口，對其設定禁用、只讀、開放三種狀態(tài)；2. 對軟驅、光驅、紅外、藍牙等各種終端設備端口進行統(tǒng)一管理，設置開 放禁用等模式，同時可設定刻錄機只讀；3. 實現(xiàn)移動存儲介質的授權分區(qū)使用，存儲介質與計算機終端可以實現(xiàn)一對，一對多的綁定使用；4. 通

7、過特殊分區(qū)、加密，實現(xiàn)移動存儲介質內(nèi)部使用或外部通過密碼使用， 使得移動介質丟失不泄密；5. 完整的日志記錄、審計功能，實現(xiàn)整個移動存儲介質使用流程的跟蹤可控；6. 支持vista操作系統(tǒng)；對于中間機在內(nèi)網(wǎng)的網(wǎng)絡：將捍衛(wèi)者USB安全管理系統(tǒng)網(wǎng)絡增強版安裝在內(nèi)網(wǎng)中，設定所有計算機端口 為禁用狀態(tài)，禁止外來移動設備的使用；然后將中間機與其他內(nèi)網(wǎng)計算機設定不 同的組織單元，這樣需要流通到外部的信息，可以通過網(wǎng)絡傳送到中間機上，再 通過只有中間機才能識別的移動設備將信息拷貝到外部；同樣，需要流入內(nèi)網(wǎng)的信息，也是先通過此移動設備拷入到中間機， 再通過網(wǎng)絡使全內(nèi)網(wǎng)共享。如下圖 示：夕卜聯(lián)部內(nèi)外兼容 內(nèi)網(wǎng)外

8、聯(lián)部計算機加密u盤內(nèi)網(wǎng)行政部計算機外網(wǎng)計算機對于中間機不在內(nèi)網(wǎng)的網(wǎng)絡：內(nèi)網(wǎng)計算機安裝捍衛(wèi)者USB安全管理系統(tǒng)網(wǎng)絡增強版，中間機安裝單機增 強版，將中間機與內(nèi)網(wǎng)計算機設定不同的組織單元， 如中間機設定外聯(lián)部，內(nèi)網(wǎng) 計算機設定行政部，則需要流出到外網(wǎng)的信息通過被設定為外聯(lián)部與行政部同時 可以使用的內(nèi)部加密盤拷貝到中間機上， 然后通過只能在中間機上使用的內(nèi)外兼 容加密盤拷貝到外部使用，同樣外部信息需要拷貝到內(nèi)網(wǎng)使用， 反之即可。如下 圖所示：授權為外聯(lián)部夕卜聯(lián)部內(nèi)外兼容和行政部的夕卜聯(lián)部加密u盤內(nèi)網(wǎng)行政部計算機外網(wǎng)計算機針對隱患2,捍衛(wèi)者終端安全及訪問審計控制系統(tǒng)可以消除此隱患，主要功 能為：1）終

9、端接入驗證管理（所有驗證終端組成內(nèi)網(wǎng)）；2）未驗證終端限制接入內(nèi)網(wǎng)；3）驗證終端域內(nèi)相互訪問行為監(jiān)控；4）驗證終端非法其他網(wǎng)絡行為監(jiān)控；5）管理USB端口及紅外、藍牙、光驅等各種端口和外設，對其設定禁用開 放狀態(tài)，同時USB端 口及光驅可設定只讀；6）日志備份定時提醒；7）客戶端異?；虮黄平猓掌鞫孙@示其相關信息，報警提示。內(nèi)網(wǎng)授信網(wǎng)絡內(nèi)網(wǎng)授信網(wǎng)絡合法終端合法終端合法終端非法終端合法終端合法終端捍衛(wèi)者終端安全及訪問審計控制系統(tǒng)示意圖以上捍衛(wèi)者USB安全管理系統(tǒng)與終端安全訪問審計控制系統(tǒng)可以作為模塊 組合為一個系統(tǒng)部署使用衣適用范圍本方案可廣泛適用于醫(yī)療、機械制造業(yè)、政府等單位公安邊防安全解決

10、方案*網(wǎng)絡現(xiàn)狀及安全隱患1）公安邊防系統(tǒng)已經(jīng)安裝公安部統(tǒng)一推廣的“一機兩用”軟件，在一定程 度上實現(xiàn)了內(nèi)外網(wǎng)隔離使用，見下面示意圖，內(nèi)網(wǎng)機器安裝了一機兩用 軟件后一旦連接公網(wǎng)進行告警。如下圖所示：接入告警正常接入口呂多個工作站1多臺便攜電腦公安網(wǎng)“一機兩用”示意圖典型方案易泰通軟件科技有限公司雖然已經(jīng)采取這種防范措施，但公安網(wǎng)絡在使用中仍然存在諸多安全隱患， 歸納起來主要有以下兩類：1. 終端安全造成的信息外泄：內(nèi)外網(wǎng)分開使用使信息通過網(wǎng)絡外泄在一定程 度上得到控制，但是終端本身的外泄沒有得到良好控制，仍然存在兩方面泄 密隱患：通過終端的各種外設和端口泄漏信息； 移動存儲介質泄露內(nèi)部信息；2.

11、 內(nèi)部終端容易意外連接公網(wǎng)：一機兩用不是硬性隔離，只是采取內(nèi)部機器 連接外部網(wǎng)絡時報警的形式，內(nèi)部終端容易誤連接，造成很多不便。*捍衛(wèi)者解決方案針對隱患1,我們建議使用捍衛(wèi)者USB安全管理系統(tǒng)，該系統(tǒng)對不常使 用的外設可以根據(jù)具體情況設置為禁用或只讀（刻錄機，USB端口），并且對移動存儲介質（U盤、移動硬盤等各種移動存儲設備）可以分域授權使用， 可以限定移動存儲介質的使用范圍一對一或一對多的和終端綁定使用，加密后的移動存儲還可以做到流出到安全環(huán)境外無法識別，保證內(nèi)部信息安全。針對隱患2,本節(jié)解決方案可以作為防止意外連接公網(wǎng)的解決方案使用，提供軟硬兩種解決方案，如防止意外非法連接外網(wǎng)示意圖所示：1）軟件方案：在外網(wǎng)計算機（允許上公網(wǎng)的計算機）網(wǎng)絡和路由器間增加一個控制服務 器，該服務器安裝捍衛(wèi)者終端安全