产品简介

用途

    移动存储介质安全管理系统(v2.0)是针对不连接互联网的内部网络，或者已经有一定安全防御措施的网络提供的针对移动存储介质安全解决方案。

    支持 Windows Vista, Windows 7 操作系统

    实现设备在内网中的集中式网络管理

    进不来，拿不走，读不懂三原则

    通过不同的权限策略，达到分级别管理

    严格控制和审计U盘、移动硬盘、手机存储、数码相机、MP3/MP4、各种CF/MD/SD卡以及各类Flash Disk等移动存储设备在内部的使用

    防御U盘病毒

    根据用户的组织结构可无限分级管理


移动存储设备使用面临的难题

    移动存储介质使用灵活、方便，使它在信息化的过程中迅速得到普及，越来越多的敏感信息、秘密数据和档案资料被存 贮在移动存储介质里，大量的秘密文件和资料变为磁性介质、光学介质，存贮在无保护的移动存储介质中．

数据无保护

    大家使用的移动存储介质处于无保护状态，这样移动存储设备遗失或被窃后,资料可以被复制，数据丢失、格式化后没有彻底进行数据粉碎，并且磁性介质经消磁十余次后,资料仍然可恢复，所以数据保密得不到保证。

病毒传播

     U盘病毒顾名思义就是通过U盘传播的病毒。自从发现U盘的autorun.inf自动运行功能之后，多种针对U盘传播的木马病毒被开发，U盘病毒的数量与日俱增。传播速度快，范围广，在U盘病毒肆虐的时期，很多用户的计算机未能“幸免”，几乎全部受到了感染。

内外网交叉使用

     比如外部未知的移动存储设备接入本单位计算机，本单位的移动存储设备带出到外部使用，造成资料泄密，内部人员无意将存储了内部信息U盘拿出去使用。无意的使用者在内网切换到外网时，涉密U盘无意忘了拔除等。

管理手段缺乏

     缺乏有效的管理审计手段，目前有些公司，单位通过封堵移动存储设备端口（如USB端口）来禁止用户使用移动存储设备，通过每天早上派发和晚上回收移动存储设备的方式来防止内部员工通过移动存储介质泄露企业商业机密，但这些都无法做到有效防护。

使用审记

    管理者无法知道移动存储设备的使用情况，使用人不明确，使用混乱、交叉使用等。事后没有有效的追述。

软件功能设计与问题解决

设备授权

    未经授权的移动介质，在工作环境中不可用，只有经过授权的移动介质才能进入到办公环境

    管理员授权此设备时，输入一个密码做为访问数据和加解密数据的‘参数’（注：加解密部分，请查看数据保密小节），除了密码，还包括其它信息，如单位名，部门，授权人等，策略信息也一并格式化写入。

身份认证

数据交换前必须通过正确的身份认证（密码认证）

    密码作为身份认证的基础，同时也作为透明加解密的密钥使用。这种方式，加强了数据保密性，在没有密码的情况下，无法解开里面的内容。

数据保密

    通过移动介质交换的数据必须是密文，保证数据离开应用环境后不可用

    用户拿到设备后，此时设备已经处于加密状态，用户凭借密码读写U盘。

实现过程如下：

    1用户插入U盘到计算机。

    2用户没输入密码验证以前，无法访问U盘内容，会提示，这是一个没有格式化的设备。

    3用户输入密码后，如果密码不正确，仍然无法访问U盘内容。

    4如果密码正确，计算机会将U盘的【用户数据区】（详见第一小节图示）通过磁盘虚拟技术加载为一个本地磁盘，然后显示给用户，供用户操作。并在操作系统与U盘设备之间，插入加解密过程。

    5当用户写U盘的时候，操作系统将数据先传送到加解密过程，该过程以用户密码为密钥，使用AES算法加密这些数据，完成后，再将加密后的数据写入到【用户数据区】。

    6当用户读U盘的时候，U盘设备先将数据向上递交到加解密过程，该过程以用户密码为密钥，使用AES算法解密这些数据，完成后，再传到到操作系统。操作系统将数据展示给用户。

防病毒处理

    对已经感染病毒的设备，进行免疫处理。在实现这个功能时，主要采用了过滤监控驱动，在过滤监控驱动中拦截所有的文件名，并进行忽略大小字的比较，如果文件名等于autorun.inf，那么，过滤驱动直接返回，不进行这个文件的读写。操作系统将无法得到这个文件的任何信息。

策略控制

    管理设备的三大策略：使用范围，使用结束时间，只读设置

    范围策略如下描述：

    不限制：只要装了USB管理系统客户端的计算机都可以正常使用，用于单位之间进行交流（两个单位交流的时候，都要装客户端），文件加密存储隐藏。

    同单位：仅限于单位内部使用，拿出去不可用，文件加密存储隐藏。

    同部门：仅限于部门内使用，单位内部其它部门及以外任何地方不可用，文件加密存储隐藏。

    本机：仅限于注册的计算机使用，主要用于备份，本机以外任何地方不可用，文件加密存储隐藏。

    时间策略：

    当时间已达到管理员设置的过期时间，那么该设备不可用，等同于没注册U盘。

    只读设置：

    当设置了只读时，用户将不能向U盘写入数据。

    日志审计

    审计9大类日志，包括管理员登陆，采购，注册，策略修改，客户端违规使用，操作提示等

    这些日志，有的由管理中心产生，如果管理员登陆，采购，注册，策略修改，有的由客户端产生，如违规使用，操作提示等。

    单向只读U盘（2009-10 新功能）

    用于外网向内网单向传输数据，以便某些特定情况下使用。

    增加外网设备进入内网功能，在进入内网前必须先在管理平台上注册，注册过程实际为取U盘序列号，并给于访问权限。这个过程不改变外网设备的文件格式（NTFS，FAT，FAT32），不改变文件内容。

    这个设备进入内网网络，客户端将取得它的序列号，并联机查询数据库，如果该设备序列号已处于【已注册】状态（销毁状态将拒绝访问），则允许接入，此时，该设备【只读】，不能向里面做任何的写入操作。