引言
隨著國際互聯(lián)網(wǎng)的不斷發(fā)展,網(wǎng)絡(luò)已經(jīng)成為人們生活和工作的必要組成部分,在給人們生活和工作帶來方便快捷的同時(shí),也為信息安全帶來了不同程度的隱患。為此,各級政府部門出于工作的特殊性和信息安全的考慮,在建設(shè)電子政務(wù)網(wǎng)的同時(shí),將本部門的網(wǎng)絡(luò)建設(shè)成部門專用網(wǎng)絡(luò)或涉密網(wǎng)絡(luò),它要求與互聯(lián)網(wǎng)進(jìn)行嚴(yán)格的物理隔離,以此來解決網(wǎng)絡(luò)互聯(lián)互通造成的計(jì)算機(jī)失泄密、病毒感染、木馬侵入等安全問題。
然而, 隨著存儲技術(shù)突飛猛進(jìn)的發(fā)展,U盤、移動硬盤、手機(jī)、數(shù)碼相機(jī)、攝像機(jī)、iPod、MP3/MP4、PDA、各種CF/MD/SD/Flash Disk等移動存儲設(shè)備(以下統(tǒng)稱U盤)由于其體積小、攜帶方便、存儲量大、使用靈活等特點(diǎn),迅速得到廣泛應(yīng)用。根據(jù)對典型USB設(shè)備的產(chǎn)品銷售進(jìn)行測算,當(dāng)前全球使用中的各類移動存儲設(shè)備超過30億個(gè),U盤在帶給用戶使用便捷的同時(shí), 已經(jīng)成為了計(jì)算機(jī)病毒傳播及信息泄密的首要途徑。
一 U盤的安全隱患
近年來,U盤帶來的安全隱患在政府部門專網(wǎng)更顯突 ,其安全主要表現(xiàn)在:
(1) U盤的交叉使用
由于普通U盤只是一個(gè)不受控的存儲介質(zhì),可以在任何計(jì)算機(jī)上使用。因此,它可以有意無意地在政府部門專網(wǎng)(內(nèi)網(wǎng))或互聯(lián)網(wǎng)(外網(wǎng))上交叉使用;或在涉密計(jì)算機(jī)和非涉密計(jì)算機(jī)間交叉使用。一旦發(fā)生交叉使用的違規(guī)事件,涉密文件極有可能被非法拷貝,造成失泄密。
(2) 木馬擺渡
普通U盤通過在內(nèi)網(wǎng)和外網(wǎng)問的交叉使用,為木馬擺渡突破政府部門專網(wǎng)的“物理隔離”提供了條件。在政府部門專網(wǎng)的計(jì)算機(jī)上,木馬先將文件拷貝到U盤,一旦該U盤插入到聯(lián)接互聯(lián)網(wǎng)的計(jì)算機(jī)時(shí),木馬就會將拷貝出來的文件通過互聯(lián)網(wǎng)發(fā)送出去。
(3) 病毒傳播
感染病毒的計(jì)算機(jī)會將病毒感染到U盤,一旦該U盤插入到其他計(jì)算機(jī)上,就會造成無毒計(jì)算機(jī)感染病毒。如此反復(fù),相互感染,從而引發(fā)整個(gè)網(wǎng)絡(luò)的病毒感染,造成系統(tǒng)損壞、數(shù)據(jù)丟失、死機(jī),甚至整個(gè)網(wǎng)絡(luò)癱瘓。
(4) 無法審計(jì)
普通U盤無論在政府部門專網(wǎng)還是在互聯(lián)網(wǎng)上使用,即使主動進(jìn)行違規(guī)操作,也無法進(jìn)行有效的審計(jì)和取證。
(5)丟失被盜
如果U盤丟失或被盜,其保存的涉密信息將會丟失,造成信息泄密。
二 專網(wǎng)安全U盤的相關(guān)技術(shù)
政府部門專網(wǎng)安全U盤區(qū)別于普通U盤主要采用了以下關(guān)鍵技術(shù)。
2.1 安全U盤的特有分類
根據(jù)政府部門專網(wǎng)的特點(diǎn)和安全保密要求,安全U盤依其使用方式的不同,可分為3類:內(nèi)網(wǎng)專用盤,限在政府部門專網(wǎng)內(nèi)終端之間進(jìn)行數(shù)據(jù)信息交換;單向?qū)氡P,可將外網(wǎng)數(shù)據(jù)信息單向?qū)说秸块T專網(wǎng)內(nèi);雙向交換盤,可在政府部門專網(wǎng)與外網(wǎng)之間相互交換數(shù)據(jù)信息。
2.2 安全U盤特殊分區(qū)技術(shù)
安全U盤在硬件上采用了不同的芯片組(不同于普通U盤的一組芯片),分為3個(gè)獨(dú)立的存儲空間:CDROM區(qū)+黑匣子區(qū)+安全存儲區(qū)。
CDROM區(qū)。該區(qū)存儲私有的安全U盤引導(dǎo)系統(tǒng)和專用安全資源管理器,且具有CDROM的只讀屬性。
黑匣子區(qū)。該區(qū)記錄該安全U盤的所有操作,即:何時(shí)、何人、哪臺計(jì)算機(jī)、哪些操作(拷入/拷出/新建,刪除/更名)、哪些文件、文件大小等。黑匣子區(qū)不影響使用者的正常使用,且基于獨(dú)立的芯片存儲,用戶不可見。因此。用戶無法對它的任何數(shù)據(jù)進(jìn)行刪除、復(fù)制、修改等操作,同時(shí)也不會被格式化所清除。黑匣子區(qū)又可分為保護(hù)區(qū)和日志區(qū),保護(hù)區(qū)主要保存U盤標(biāo)簽信息、U盤的硬件序列號、U盤密鑰加密塊;日志區(qū)用于保存用戶對U盤文件操作的日志。
安全存儲區(qū)。該區(qū)是用戶存儲數(shù)據(jù)的區(qū)域。在認(rèn)證通過后,由CDROM 區(qū)的安全U盤引導(dǎo)系統(tǒng)通過虛擬化運(yùn)行,由獨(dú)立資源管理器以私有文件系統(tǒng)的方式進(jìn)行加載,然后以安全存儲技術(shù)保存用戶數(shù)據(jù)。該區(qū)域在Windows資源管理器中無U盤盤符顯示。
2.3 私有文件系統(tǒng)技術(shù)
安全U盤內(nèi)置了私有文件系統(tǒng),它是區(qū)別于Windows的常用文件系統(tǒng),該文件系統(tǒng)只能由內(nèi)置的獨(dú)立資源管理器加載和識別,因此,Windows資源管理器無法對安全U盤內(nèi)的文件進(jìn)行操作訪問,盤內(nèi)的文件操作須在獨(dú)立資源管理器中完成。私有文件系統(tǒng)的應(yīng)用,無誤差地實(shí)現(xiàn)了安全U盤內(nèi)文件操作的使用審計(jì)。
2.4 主動防病毒技術(shù)
CDROM 區(qū)防病毒。安全U盤插入計(jì)算機(jī)后,在Windows資源管理器中顯示的不是普通U盤盤符,而是一個(gè)虛擬化運(yùn)行的CDROM盤符。由于CDROM盤的只讀特性,保存在CDROM區(qū)的安全U盤引導(dǎo)系統(tǒng)不會被感染任何病毒或木馬。
安全存儲區(qū)防病毒。一般地,U盤病毒大都以可執(zhí)行代碼的方式存在,附著在可執(zhí)行程序(包括.exe;.com;.bad;.inf;.dlV;.sys各種腳文中件等)中,一旦運(yùn)行可執(zhí)行程序,病毒將實(shí)施傳播。安全U盤的私有文件系統(tǒng)和獨(dú)立資源管理器可以主動禁止直接打開U盤內(nèi)的任何文件(禁止直接從U盤運(yùn)行),實(shí)現(xiàn)對U盤病毒的主動防御。
安全U盤在經(jīng)過有效的身份認(rèn)證之前,Windows資源管理器不能對安全存儲區(qū)進(jìn)行任何操作,身份認(rèn)證通過之后,安全存儲區(qū)在計(jì)算機(jī)上也不顯示任何盤符,此時(shí)只能通過CDROM區(qū)的專用安全資源管理器對安全存儲區(qū)進(jìn)行文件拷貝、刪除等操作。由于安全U盤在Windows資源管理器不顯示任何盤符,因此可以徹底防范病毒和木馬的感染。
2.5 加密存儲技術(shù)
安全存儲區(qū)的存儲和讀取由CDROM區(qū)的專用安全資源管理器,通過國家密碼管理局公布的SMS4加密算法和私有密鑰進(jìn)行全盤數(shù)據(jù)加密,并采用私有的文件系統(tǒng)方式進(jìn)行操作。保證安全U盤即使被暴力拆開后,讀取其Flash芯片也不能恢復(fù)原有文件。同時(shí),所有的安全U盤須通過密鑰管理中心進(jìn)行密鑰初始化,方能在政府部門專網(wǎng)上注冊使用。因此,安全U盤的密鑰由密鑰管理中心統(tǒng)一管理,每一個(gè)安全U盤都具備唯一的密鑰,即使是安全U盤的生產(chǎn)廠家也無法破解U盤。
2.6 自鎖技術(shù)
安全U盤采用密碼進(jìn)行保護(hù),并可要求密碼必須具備一定強(qiáng)度才能使用(例如8位以上,字母分大小寫、數(shù)字、標(biāo)點(diǎn)符號中有2或3個(gè)以上)。密碼輸入錯(cuò)誤次數(shù)超限(例如10次),則自動鎖定該安全U盤,禁止繼續(xù)使用。
2.7 防U盤克隆破解技術(shù)
目前市面上有不少燒盤工具,可以輕易克隆出一個(gè)同樣的U盤。為了防止這種情況的出現(xiàn),安全U盤的數(shù)據(jù)每一次讀寫都需要進(jìn)行身份認(rèn)證,所有未授權(quán)的讀寫都會被拒絕,因此安全U盤無法被克隆。安全U盤通過對關(guān)鍵代碼和敏感處理程序進(jìn)行虛擬機(jī)處理和代碼混淆處理,來防止對程序與算法的破解。同時(shí),對U盤硬件信息進(jìn)行隱藏,有效防范目標(biāo)性極強(qiáng)的黑客和攻擊者針對特定硬件進(jìn)行攻擊。
2.8 互聯(lián)網(wǎng)告警技術(shù)
安全U盤插入計(jì)算機(jī)后,其CDROM區(qū)的安全U盤引導(dǎo)系統(tǒng)會自動檢測當(dāng)前計(jì)算機(jī)是否連接到互聯(lián)網(wǎng),如果已經(jīng)連接則禁止打開安全U盤。如果打開安全U盤后,計(jì)算機(jī)再連接到互聯(lián)網(wǎng),則安全U盤會強(qiáng)制關(guān)閉。如有需要,安全U盤還可強(qiáng)行切斷計(jì)算機(jī)與互聯(lián)網(wǎng)的連接,同時(shí)向監(jiān)控中心報(bào)警。
三 應(yīng)用管理
以上這些安全U盤關(guān)鍵技術(shù)的應(yīng)用,有效防范了U盤使用過程中的安全隱患,但在應(yīng)用過程中還需建立安全U盤管理系統(tǒng),對安全U盤實(shí)施有效管理,實(shí)現(xiàn)技術(shù)和管理、硬件和軟件的有機(jī)統(tǒng)一,才能更好地發(fā)揮其作用。
3.1 對非政府部門專網(wǎng)的U盤進(jìn)行使用控制
控制外來U盤在政府部門專網(wǎng)上使用,是實(shí)現(xiàn)U盤管理的首要任務(wù)。安全U盤管理系統(tǒng)通過對計(jì)算機(jī)加載的U盤進(jìn)行身份匹配,如果U盤無法通過主機(jī)端認(rèn)證,將被拒絕使用。
3.2 U盤與主機(jī)雙向認(rèn)證
主機(jī)端認(rèn)證主要包括兩個(gè)方面,一方面,安全U盤對政府部門專網(wǎng)的檢測,另一方面,政府部門專網(wǎng)對安全U盤的認(rèn)證。安全U盤會對政府部門專網(wǎng)計(jì)算機(jī)的完整性和數(shù)字簽名證書進(jìn)行檢測,安全U盤系統(tǒng)也會對安全U盤進(jìn)行完整性和數(shù)字簽名證書驗(yàn)證,保證了攻擊者無法通過模擬政府部門專網(wǎng)環(huán)境竊取U盤內(nèi)文件和模擬安全U盤進(jìn)入政府部門專網(wǎng)進(jìn)行竊密。
3.3 安全U盤生命周期控制
安全U盤在政府部門專網(wǎng)的注冊、審計(jì)及注銷等使用生命周期控制,均通過政府部門專網(wǎng)的PKI進(jìn)行管理。
注冊。安全U盤管理系統(tǒng)部署后,每個(gè)安全U盤必須通過系統(tǒng)注冊后才能被系統(tǒng)加載使用。注冊時(shí)可與CA證書同時(shí)使用,將CA證書信息寫入安全U盤,以確定安全U盤使用身份的唯一性。所有注冊信息全部自動記錄在管理系統(tǒng)中,無需手工登記,所有的安全U盤注冊信息將自動上傳到服務(wù)器進(jìn)行集中管理。
審計(jì)。安全U盤在使用過程中所產(chǎn)生的各種使用日志,均與注冊時(shí)捆綁的CA證書一同上傳至服務(wù)器,實(shí)現(xiàn)安全U盤使用日志與具體使用人關(guān)聯(lián)。
注銷。安全U 盤存政府部門專網(wǎng)的使用做注銷處理時(shí),也需要將安全U盤與捆綁注冊的CA證書同時(shí)使用。注銷時(shí),系統(tǒng)會自動將安全U盤內(nèi)所有的數(shù)據(jù)進(jìn)行粉碎,并清除U盤內(nèi)的電子標(biāo)簽。
3.4 安全U盤使用控制
安全U盤共分為3類,其中安全U盤管理系統(tǒng)可直接控制內(nèi)網(wǎng)專用U盤和單向?qū)氡P的是否可用。雙向交換盤的使用策略可以由安全U盤管理系統(tǒng)來進(jìn)行靈活配置。雙向交換盤分為內(nèi)網(wǎng)區(qū)、交換區(qū),根據(jù)實(shí)際需要,系統(tǒng)可對它做相應(yīng)的管理策略:交換區(qū)讀寫方式可被設(shè)置為單向?qū)恕蜗驅(qū)С、雙向交換、禁止交換4種狀態(tài)。
3.5 其他安全管理
除了對安全U盤的管理外,安全U盤管理系統(tǒng)還可以對利用“手機(jī)同步軟件” 、“虛擬機(jī)軟件”實(shí)施涉密文件拷貝、刪除的手段進(jìn)行有效管理:
(1)手機(jī)同步軟件控制。某些類型的手機(jī)可以在計(jì)算機(jī)上安裝特定的同步軟件后,手機(jī)的存儲卡不再是以U盤盤符出現(xiàn),而是表現(xiàn)為手機(jī)同步軟件中的特殊文件夾,通過對此特殊文件夾的操作,使用者就可在計(jì)算機(jī)和手機(jī)之間進(jìn)行數(shù)據(jù)交換。安全U盤管理系統(tǒng)就是對此類特殊文件夾進(jìn)行控制,從而有效防止利用手機(jī)同步軟件進(jìn)行文件拷貝和交換 。
(2)虛擬機(jī)軟件控制。在計(jì)算機(jī)(暫稱主機(jī))上安裝VMWare等虛擬機(jī)系統(tǒng)軟件后,可以在主機(jī)中虛擬出其他的計(jì)算機(jī)(暫稱虛擬機(jī)),插入主機(jī)的U盤可以在虛擬機(jī)中進(jìn)行各種文件操作。使用者可以將主機(jī)中的文件拷貝到虛擬機(jī)中,然后再從虛擬機(jī)中將文件拷貝到U盤,逃脫監(jiān)管。安全U盤管理系統(tǒng)通過對虛擬機(jī)軟件進(jìn)行有效的管理和控制,從而可以防止使用者利用虛擬機(jī)軟件在計(jì)算機(jī)和U盤間進(jìn)行文件交換。
(3)系統(tǒng)還原功能控制。Windows XP以上操作系統(tǒng)中有一個(gè)功能叫做“系統(tǒng)還原”,通過建立系統(tǒng)還原點(diǎn),用戶可以將系統(tǒng)還原到某個(gè)特定時(shí)間或事件發(fā)生之前的狀態(tài)。用戶可以在安裝U盤管理系統(tǒng)之前,創(chuàng)建一個(gè)系統(tǒng)還原點(diǎn)A;在安裝了U盤管理系統(tǒng)之后,創(chuàng)建一個(gè)系統(tǒng)還原點(diǎn)B,用戶可以隨時(shí)將系統(tǒng)調(diào)入到系統(tǒng)還原點(diǎn)A,違規(guī)使用U盤后,再將系統(tǒng)調(diào)回到系統(tǒng)還原點(diǎn)B,從而逃脫監(jiān)管。安全U盤管理系統(tǒng)可強(qiáng)制禁止“系統(tǒng)還原”功能,防止上述漏洞發(fā)生。
四 結(jié)語
政府部門專網(wǎng)安全U盤從硬件構(gòu)成到技術(shù)的實(shí)現(xiàn),全面地提高了U盤的使用安全性。同時(shí),根據(jù)不同的使用場景設(shè)計(jì)不同類型的U盤,方便了管理。管理系統(tǒng)實(shí)現(xiàn)了安全U盤從注冊、配發(fā)、審計(jì)、安全策略設(shè)置等跟蹤管理。通過安全U盤在政府部門專網(wǎng)的廣泛使用和應(yīng)用的集中管理,必將有效防止由于U盤交叉使用而造成的病毒感染、掛馬、失泄密等安全隱患,為政府部門專網(wǎng)的安全提供堅(jiān)強(qiáng)保障。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標(biāo)題:淺析專網(wǎng)安全U盤技術(shù)和應(yīng)用管理
本文網(wǎng)址:http://www.guhuozai8.cn/html/support/1112153943.html