引言

　　隨著國際互聯網的不斷發展，網絡已經成為人們生活和工作的必要組成部分，在給人們生活和工作帶來方便快捷的同時，也為信息安全帶來了不同程度的隱患。為此，各級政府部門出于工作的特殊性和信息安全的考慮，在建設電子政務網的同時，將本部門的網絡建設成部門專用網絡或涉密網絡，它要求與互聯網進行嚴格的物理隔離，以此來解決網絡互聯互通造成的計算機失泄密、病毒感染、木馬侵入等安全問題。

　　然而， 隨著存儲技術突飛猛進的發展，U盤、移動硬盤、手機、數碼相機、攝像機、iPod、MP3/MP4、PDA、各種CF/MD/SD/Flash Disk等移動存儲設備(以下統稱U盤)由于其體積小、攜帶方便、存儲量大、使用靈活等特點，迅速得到廣泛應用。根據對典型USB設備的產品銷售進行測算，當前全球使用中的各類移動存儲設備超過30億個，U盤在帶給用戶使用便捷的同時， 已經成為了計算機病毒傳播及信息泄密的首要途徑。

一 U盤的安全隱患

　　近年來，U盤帶來的安全隱患在政府部門專網更顯突 ，其安全主要表現在：

　　(1) U盤的交叉使用

　　由于普通U盤只是一個不受控的存儲介質，可以在任何計算機上使用。因此，它可以有意無意地在政府部門專網(內網)或互聯網(外網)上交叉使用；或在涉密計算機和非涉密計算機間交叉使用。一旦發生交叉使用的違規事件，涉密文件極有可能被非法拷貝，造成失泄密。

　　(2) 木馬擺渡

　　普通U盤通過在內網和外網問的交叉使用，為木馬擺渡突破政府部門專網的“物理隔離”提供了條件。在政府部門專網的計算機上，木馬先將文件拷貝到U盤，一旦該U盤插入到聯接互聯網的計算機時，木馬就會將拷貝出來的文件通過互聯網發送出去。

　　(3) 病毒傳播

　　感染病毒的計算機會將病毒感染到U盤，一旦該U盤插入到其他計算機上，就會造成無毒計算機感染病毒。如此反復，相互感染，從而引發整個網絡的病毒感染，造成系統損壞、數據丟失、死機，甚至整個網絡癱瘓。

　　(4) 無法審計

　　普通U盤無論在政府部門專網還是在互聯網上使用，即使主動進行違規操作，也無法進行有效的審計和取證。

　　(5)丟失被盜

　　如果U盤丟失或被盜，其保存的涉密信息將會丟失，造成信息泄密。

二 專網安全U盤的相關技術

　　政府部門專網安全U盤區別于普通U盤主要采用了以下關鍵技術。

　　2.1 安全U盤的特有分類

　　根據政府部門專網的特點和安全保密要求，安全U盤依其使用方式的不同，可分為3類：內網專用盤，限在政府部門專網內終端之間進行數據信息交換；單向導入盤，可將外網數據信息單向導人到政府部門專網內；雙向交換盤，可在政府部門專網與外網之間相互交換數據信息。

　　2.2 安全U盤特殊分區技術

　　安全U盤在硬件上采用了不同的芯片組(不同于普通U盤的一組芯片)，分為3個獨立的存儲空間：CDROM區+黑匣子區+安全存儲區。

　　CDROM區。該區存儲私有的安全U盤引導系統和專用安全資源管理器，且具有CDROM的只讀屬性。

　　黑匣子區。該區記錄該安全U盤的所有操作，即：何時、何人、哪臺計算機、哪些操作(拷入/拷出/新建，刪除/更名)、哪些文件、文件大小等。黑匣子區不影響使用者的正常使用，且基于獨立的芯片存儲，用戶不可見。因此。用戶無法對它的任何數據進行刪除、復制、修改等操作，同時也不會被格式化所清除。黑匣子區又可分為保護區和日志區，保護區主要保存U盤標簽信息、U盤的硬件序列號、U盤密鑰加密塊；日志區用于保存用戶對U盤文件操作的日志。

　　安全存儲區。該區是用戶存儲數據的區域。在認證通過后，由CDROM 區的安全U盤引導系統通過虛擬化運行，由獨立資源管理器以私有文件系統的方式進行加載，然后以安全存儲技術保存用戶數據。該區域在Windows資源管理器中無U盤盤符顯示。

　　2.3 私有文件系統技術

　　安全U盤內置了私有文件系統，它是區別于Windows的常用文件系統，該文件系統只能由內置的獨立資源管理器加載和識別，因此，Windows資源管理器無法對安全U盤內的文件進行操作訪問，盤內的文件操作須在獨立資源管理器中完成。私有文件系統的應用，無誤差地實現了安全U盤內文件操作的使用審計。

　　2.4 主動防病毒技術

　　CDROM 區防病毒。安全U盤插入計算機后，在Windows資源管理器中顯示的不是普通U盤盤符，而是一個虛擬化運行的CDROM盤符。由于CDROM盤的只讀特性，保存在CDROM區的安全U盤引導系統不會被感染任何病毒或木馬。

　　安全存儲區防病毒。一般地，U盤病毒大都以可執行代碼的方式存在，附著在可執行程序(包括.exe；.com；.bad；.inf；.dlV；.sys各種腳文中件等)中，一旦運行可執行程序，病毒將實施傳播。安全U盤的私有文件系統和獨立資源管理器可以主動禁止直接打開U盤內的任何文件(禁止直接從U盤運行)，實現對U盤病毒的主動防御。

　　安全U盤在經過有效的身份認證之前，Windows資源管理器不能對安全存儲區進行任何操作，身份認證通過之后，安全存儲區在計算機上也不顯示任何盤符，此時只能通過CDROM區的專用安全資源管理器對安全存儲區進行文件拷貝、刪除等操作。由于安全U盤在Windows資源管理器不顯示任何盤符，因此可以徹底防范病毒和木馬的感染。

　　2.5 加密存儲技術

　　安全存儲區的存儲和讀取由CDROM區的專用安全資源管理器，通過國家密碼管理局公布的SMS4加密算法和私有密鑰進行全盤數據加密，并采用私有的文件系統方式進行操作。保證安全U盤即使被暴力拆開后，讀取其Flash芯片也不能恢復原有文件。同時，所有的安全U盤須通過密鑰管理中心進行密鑰初始化，方能在政府部門專網上注冊使用。因此，安全U盤的密鑰由密鑰管理中心統一管理，每一個安全U盤都具備唯一的密鑰，即使是安全U盤的生產廠家也無法破解U盤。

　　2.6 自鎖技術

　　安全U盤采用密碼進行保護，并可要求密碼必須具備一定強度才能使用(例如8位以上，字母分大小寫、數字、標點符號中有2或3個以上)。密碼輸入錯誤次數超限(例如10次)，則自動鎖定該安全U盤，禁止繼續使用。

　　2.7 防U盤克隆破解技術

　　目前市面上有不少燒盤工具，可以輕易克隆出一個同樣的U盤。為了防止這種情況的出現，安全U盤的數據每一次讀寫都需要進行身份認證，所有未授權的讀寫都會被拒絕，因此安全U盤無法被克隆。安全U盤通過對關鍵代碼和敏感處理程序進行虛擬機處理和代碼混淆處理，來防止對程序與算法的破解。同時，對U盤硬件信息進行隱藏，有效防范目標性極強的黑客和攻擊者針對特定硬件進行攻擊。

　　2.8 互聯網告警技術

　　安全U盤插入計算機后，其CDROM區的安全U盤引導系統會自動檢測當前計算機是否連接到互聯網，如果已經連接則禁止打開安全U盤。如果打開安全U盤后，計算機再連接到互聯網，則安全U盤會強制關閉。如有需要，安全U盤還可強行切斷計算機與互聯網的連接，同時向監控中心報警。

三 應用管理

　　以上這些安全U盤關鍵技術的應用，有效防范了U盤使用過程中的安全隱患，但在應用過程中還需建立安全U盤管理系統，對安全U盤實施有效管理，實現技術和管理、硬件和軟件的有機統一，才能更好地發揮其作用。

　　3.1 對非政府部門專網的U盤進行使用控制

　　控制外來U盤在政府部門專網上使用，是實現U盤管理的首要任務。安全U盤管理系統通過對計算機加載的U盤進行身份匹配，如果U盤無法通過主機端認證，將被拒絕使用。

　　3.2 U盤與主機雙向認證

　　主機端認證主要包括兩個方面，一方面，安全U盤對政府部門專網的檢測，另一方面，政府部門專網對安全U盤的認證。安全U盤會對政府部門專網計算機的完整性和數字簽名證書進行檢測，安全U盤系統也會對安全U盤進行完整性和數字簽名證書驗證，保證了攻擊者無法通過模擬政府部門專網環境竊取U盤內文件和模擬安全U盤進入政府部門專網進行竊密。

　　3.3 安全U盤生命周期控制

　　安全U盤在政府部門專網的注冊、審計及注銷等使用生命周期控制，均通過政府部門專網的PKI進行管理。

　　注冊。安全U盤管理系統部署后，每個安全U盤必須通過系統注冊后才能被系統加載使用。注冊時可與CA證書同時使用，將CA證書信息寫入安全U盤，以確定安全U盤使用身份的唯一性。所有注冊信息全部自動記錄在管理系統中，無需手工登記，所有的安全U盤注冊信息將自動上傳到服務器進行集中管理。

　　審計。安全U盤在使用過程中所產生的各種使用日志，均與注冊時捆綁的CA證書一同上傳至服務器，實現安全U盤使用日志與具體使用人關聯。

　　注銷。安全U 盤存政府部門專網的使用做注銷處理時，也需要將安全U盤與捆綁注冊的CA證書同時使用。注銷時，系統會自動將安全U盤內所有的數據進行粉碎，并清除U盤內的電子標簽。

　　3.4 安全U盤使用控制

　　安全U盤共分為3類，其中安全U盤管理系統可直接控制內網專用U盤和單向導入盤的是否可用。雙向交換盤的使用策略可以由安全U盤管理系統來進行靈活配置。雙向交換盤分為內網區、交換區，根據實際需要，系統可對它做相應的管理策略：交換區讀寫方式可被設置為單向導人、單向導出、雙向交換、禁止交換4種狀態。

　　3.5 其他安全管理

　　除了對安全U盤的管理外，安全U盤管理系統還可以對利用“手機同步軟件” 、“虛擬機軟件”實施涉密文件拷貝、刪除的手段進行有效管理：

　　(1)手機同步軟件控制。某些類型的手機可以在計算機上安裝特定的同步軟件后，手機的存儲卡不再是以U盤盤符出現，而是表現為手機同步軟件中的特殊文件夾，通過對此特殊文件夾的操作，使用者就可在計算機和手機之間進行數據交換。安全U盤管理系統就是對此類特殊文件夾進行控制，從而有效防止利用手機同步軟件進行文件拷貝和交換 。

　　(2)虛擬機軟件控制。在計算機(暫稱主機)上安裝VMWare等虛擬機系統軟件后，可以在主機中虛擬出其他的計算機(暫稱虛擬機)，插入主機的U盤可以在虛擬機中進行各種文件操作。使用者可以將主機中的文件拷貝到虛擬機中，然后再從虛擬機中將文件拷貝到U盤，逃脫監管。安全U盤管理系統通過對虛擬機軟件進行有效的管理和控制，從而可以防止使用者利用虛擬機軟件在計算機和U盤間進行文件交換。

　　(3)系統還原功能控制。Windows XP以上操作系統中有一個功能叫做“系統還原”，通過建立系統還原點，用戶可以將系統還原到某個特定時間或事件發生之前的狀態。用戶可以在安裝U盤管理系統之前，創建一個系統還原點A；在安裝了U盤管理系統之后，創建一個系統還原點B，用戶可以隨時將系統調入到系統還原點A，違規使用U盤后，再將系統調回到系統還原點B，從而逃脫監管。安全U盤管理系統可強制禁止“系統還原”功能，防止上述漏洞發生。

四 結語

　　政府部門專網安全U盤從硬件構成到技術的實現，全面地提高了U盤的使用安全性。同時，根據不同的使用場景設計不同類型的U盤，方便了管理。管理系統實現了安全U盤從注冊、配發、審計、安全策略設置等跟蹤管理。通過安全U盤在政府部門專網的廣泛使用和應用的集中管理，必將有效防止由于U盤交叉使用而造成的病毒感染、掛馬、失泄密等安全隱患，為政府部門專網的安全提供堅強保障。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：淺析專網安全U盤技術和應用管理

本文網址：http://www.guhuozai8.cn/html/support/1112153943.html