USB移动存储介质使用管理系统解决方案

1移动存储介质使用面临的问题移动存储介质随着信息技术的发展已经得到普及应用，越来越多的敏感信息、秘密数据和档案资料被存贮在移动存储介质里，这给企业信息资源带来相当大的安全隐患。移动存储介质使用过程中常见的风险包括：非法拷贝敏感信息和涉密信息到磁盘、U盘或其他移动存储介质中；企业外部移动存储介质未经授权在内部使用；企业内部移动存储介质及信息资源被带出，在外部非授权使用；使用过程的疏忽，导致病毒感染；存贮在媒体中的秘密信息在联网交换时被泄露或被窃取，存贮在媒体中的秘密信息在进行人工交换时泄密；处理废旧移动存储介质时，由于磁盘经消磁十余次后，仍有办法恢复原来记录的信息，存有秘密信息的磁盘很可能被利用磁盘剩磁提取原记录的信息，这很容易发生存贮过秘密信息的磁盘，用户认为已经清除了信息，而给其他人使用，导致泄密；移动存储介质发生故障时，存有秘密信息的介质不经处理或无人监督就带出修理，或修理时没有懂技术的人员在场监督，而造成泄密；移动存储介质管理不规范，秘密信息和非秘密信息放在同一媒体上，明密不分，媒体介质不标密级，不按有关规定管理秘密信息的媒体，容易造成泄密；媒体失窃，存有秘密信息的磁盘等媒体被盗，就会造成大量的国家或企业秘密信息外泄，其危害程度将是难以估量的，丢失造成后果非常严重。移动存储介质的使用过程无审计，事后没有追究责任的依据。2解决方案设计分析以上问题，针对性的提出以下方案建设总体目标：在企业内网范围部署LanSecS移动存储介质使用管理系统，每个内网计算机安装代理程序，并对需要接入内网的移动存储介质根据使用需求进行分类注册管理，确保用户对移动存储介质的使用可以全程审计与控制。利用LanSecS移动存储介质使用管理系统提供的功能，设计以下方案解决移动存储介质使用中出现的问题：针对保密和病毒防护的要求，系统将移动存储介质的管理视为一个有机的生命周期，在其创建、使用和销毁的整个生命周期中，实现移动存储介质的唯一标识、权限控制、使用审计等一系列安全措施，保证移动存储介质在其整个生命周期中的可控性和安全性。从数据安全的角度，系统将启用存储介质的生命周期分为写入、迁移、拷贝和删除四个阶段，该方案针对每个阶段的安全威胁，实施不同的安全防护技术和手段，这些安全措施通过统一的安全策略形成有机整体，从而形成一个完整的移动存储介质防护体系。为了实现企业用户数据更加安全、介质使用更加方便的目标，系统提出了移动存储介质分类管理的方案，根据用户对移动存储介质使用的不同需求，将存储介质进行分类注册管理，实现了数据存储和数据交换的安全性和可靠性。系统对未注册介质的管理通过分发主机策略实现。通过主机策略，可以设置主机对未注册介质的使用权限。主机对介质使用权限可以设置为只读、只写、读写、禁用几种。用户在部署系统时，将未注册移动存储介质管理策略设置为禁用，以保证移动存储介质使用的安全。系统可以对移动存储介质进行加密管理。加密管理过程需要对移动介质进行授权和注册，通过对介质的加密注册管理保证该介质只能在特定的网络环境使用，提高了介质使用的安全性。用户在部署系统时，将绝大部分需要管理的介质采用加密管理方式进行管理。如此，既可以保证移动存储介质使用的安全性，也可以保持一定的使用方便性。多分区U盘管理模式是系统特有的一种U盘管理模式，适用于U盘类移动存储介质。在这种模式下，普通U盘将被分为启动区、加密区、交换区和日志区等四个物理分区，使得U盘的使用更加灵活。利用多分区特性，可以实现多种场景模式应用，适合差旅人员对数据的携带，既有一定的数据保护能力，又可方便的存取使用数据。在部署系统时，视情况对部分U盘采用多分区方式对其进行管理，以实现安全的内外网单向数据交换。特权介质管理是系统对普通介质的一种特殊管理模式，适用于移动硬盘、SD卡、CF卡、MMC卡和记忆棒等特种存储介质的管理。系统对介质进行特权标签标记，表明该介质的独特身份，该标签不影响介质在外网使用，但是在安装有安全代理的计算机上，安全代理可以识别该标签，并可根据策略对其进行访问控制。在部署系统时，应尽量避免特权介质管理模式使用，因为该管理模式仍会给内网带来一定的安全风险。专用安全U盘是系统配套使用提供单独硬件加密的存储介质。专用安全U盘与多分区U盘的结构类似，也分为启动区、加密区、交换区、日志区四个分区，各分区用途也与多分区U盘类似。与其它类型介质相比，专用安全U盘具有更安全更便携的特点，适合在内网和外网共同使用。在部署系统时，视情况采购部分专用安全U盘，实现更加安全的内外网单向数据交换和差旅模式应用。3部署方式LanSecS移动存储介质使用管理系统提供本地和分级两种产品部署方式，用户可以根据网络的实际环境选择合适的部署方式进行产品的部署实施。3.1本地部署本地部署是本系统最常见的部署方式，适用于计算机终端数量不多（例如，小于10000台）并希望对所有终端计算机进行集中管理的用户环境。在该部署方式下，所有的计算机终端注册到同一个总控中心。本地部署的优点是可以在一个系统管理中心监控到内网中所有计算机的活动状况，统计网内移动存储介质的使用信息。其部署示意图如下：图1本地部署示意图3.2分级部署分级部署是指在按照地域或者部门的不同，在内网中安装多个总控中心，不同地域或者部门的计算机分别注册到不同的总控中心，总控中心之间通过分级注册，形成上下级级联关系。上下级级联关系确认后，可以对整个系统实行分级管理。上级可以对下级分发终端监控引擎安全策略，上级也可要求下级将安全事件上报到上级总控中心，从而实现上级对下级的管理。分级部署方式的优点是，可以将实际的日常注册与管理权限分散到不同的部门或区域，但上级仍然可以保证对下级的拥有管理权限。另外，通过分级部署，可以无限的增大终端与注册介质的管理数量。分级部署示意图如下：图2分级部署示意图