引言

　　隨著國際互聯(lián)網(wǎng)的不斷發(fā)展，網(wǎng)絡(luò)已經(jīng)成為人們生活和工作的必要組成部分，在給人們生活和工作帶來方便快捷的同時(shí)，也為信息安全帶來了不同程度的隱患。為此，各級政府部門出于工作的特殊性和信息安全的考慮，在建設(shè)電子政務(wù)網(wǎng)的同時(shí)，將本部門的網(wǎng)絡(luò)建設(shè)成部門專用網(wǎng)絡(luò)或涉密網(wǎng)絡(luò)，它要求與互聯(lián)網(wǎng)進(jìn)行嚴(yán)格的物理隔離，以此來解決網(wǎng)絡(luò)互聯(lián)互通造成的計(jì)算機(jī)失泄密、病毒感染、木馬侵入等安全問題。

　　然而， 隨著存儲技術(shù)突飛猛進(jìn)的發(fā)展，U盤、移動硬盤、手機(jī)、數(shù)碼相機(jī)、攝像機(jī)、iPod、MP3/MP4、PDA、各種CF/MD/SD/Flash Disk等移動存儲設(shè)備(以下統(tǒng)稱U盤)由于其體積小、攜帶方便、存儲量大、使用靈活等特點(diǎn)，迅速得到廣泛應(yīng)用。根據(jù)對典型USB設(shè)備的產(chǎn)品銷售進(jìn)行測算，當(dāng)前全球使用中的各類移動存儲設(shè)備超過30億個(gè)，U盤在帶給用戶使用便捷的同時(shí)， 已經(jīng)成為了計(jì)算機(jī)病毒傳播及信息泄密的首要途徑。

一 U盤的安全隱患

　　近年來，U盤帶來的安全隱患在政府部門專網(wǎng)更顯突 ，其安全主要表現(xiàn)在：

　　(1) U盤的交叉使用

　　由于普通U盤只是一個(gè)不受控的存儲介質(zhì)，可以在任何計(jì)算機(jī)上使用。因此，它可以有意無意地在政府部門專網(wǎng)(內(nèi)網(wǎng))或互聯(lián)網(wǎng)(外網(wǎng))上交叉使用；或在涉密計(jì)算機(jī)和非涉密計(jì)算機(jī)間交叉使用。一旦發(fā)生交叉使用的違規(guī)事件，涉密文件極有可能被非法拷貝，造成失泄密。

　　(2) 木馬擺渡

　　普通U盤通過在內(nèi)網(wǎng)和外網(wǎng)問的交叉使用，為木馬擺渡突破政府部門專網(wǎng)的“物理隔離”提供了條件。在政府部門專網(wǎng)的計(jì)算機(jī)上，木馬先將文件拷貝到U盤，一旦該U盤插入到聯(lián)接互聯(lián)網(wǎng)的計(jì)算機(jī)時(shí)，木馬就會將拷貝出來的文件通過互聯(lián)網(wǎng)發(fā)送出去。

　　(3) 病毒傳播

　　感染病毒的計(jì)算機(jī)會將病毒感染到U盤，一旦該U盤插入到其他計(jì)算機(jī)上，就會造成無毒計(jì)算機(jī)感染病毒。如此反復(fù)，相互感染，從而引發(fā)整個(gè)網(wǎng)絡(luò)的病毒感染，造成系統(tǒng)損壞、數(shù)據(jù)丟失、死機(jī)，甚至整個(gè)網(wǎng)絡(luò)癱瘓。

　　(4) 無法審計(jì)

　　普通U盤無論在政府部門專網(wǎng)還是在互聯(lián)網(wǎng)上使用，即使主動進(jìn)行違規(guī)操作，也無法進(jìn)行有效的審計(jì)和取證。

　　(5)丟失被盜

　　如果U盤丟失或被盜，其保存的涉密信息將會丟失，造成信息泄密。

二 專網(wǎng)安全U盤的相關(guān)技術(shù)

　　政府部門專網(wǎng)安全U盤區(qū)別于普通U盤主要采用了以下關(guān)鍵技術(shù)。

　　2.1 安全U盤的特有分類

　　根據(jù)政府部門專網(wǎng)的特點(diǎn)和安全保密要求，安全U盤依其使用方式的不同，可分為3類：內(nèi)網(wǎng)專用盤，限在政府部門專網(wǎng)內(nèi)終端之間進(jìn)行數(shù)據(jù)信息交換；單向?qū)�入盤，可將外網(wǎng)數(shù)據(jù)信息單向?qū)�人到政府部門專網(wǎng)內(nèi)；雙向交換盤，可在政府部門專網(wǎng)與外網(wǎng)之間相互交換數(shù)據(jù)信息。

　　2.2 安全U盤特殊分區(qū)技術(shù)

　　安全U盤在硬件上采用了不同的芯片組(不同于普通U盤的一組芯片)，分為3個(gè)獨(dú)立的存儲空間：CDROM區(qū)+黑匣子區(qū)+安全存儲區(qū)。

　　CDROM區(qū)。該區(qū)存儲私有的安全U盤引導(dǎo)系統(tǒng)和專用安全資源管理器，且具有CDROM的只讀屬性。

　　黑匣子區(qū)。該區(qū)記錄該安全U盤的所有操作，即：何時(shí)、何人、哪臺計(jì)算機(jī)、哪些操作(拷入/拷出/新建，刪除/更名)、哪些文件、文件大小等。黑匣子區(qū)不影響使用者的正常使用，且基于獨(dú)立的芯片存儲，用戶不可見。因此。用戶無法對它的任何數(shù)據(jù)進(jìn)行刪除、復(fù)制、修改等操作，同時(shí)也不會被格式化所清除。黑匣子區(qū)又可分為保護(hù)區(qū)和日志區(qū)，保護(hù)區(qū)主要保存U盤標(biāo)簽信息、U盤的硬件序列號、U盤密鑰加密塊；日志區(qū)用于保存用戶對U盤文件操作的日志。

　　安全存儲區(qū)。該區(qū)是用戶存儲數(shù)據(jù)的區(qū)域。在認(rèn)證通過后，由CDROM 區(qū)的安全U盤引導(dǎo)系統(tǒng)通過虛擬化運(yùn)行，由獨(dú)立資源管理器以私有文件系統(tǒng)的方式進(jìn)行加載，然后以安全存儲技術(shù)保存用戶數(shù)據(jù)。該區(qū)域在Windows資源管理器中無U盤盤符顯示。

　　2.3 私有文件系統(tǒng)技術(shù)

　　安全U盤內(nèi)置了私有文件系統(tǒng)，它是區(qū)別于Windows的常用文件系統(tǒng)，該文件系統(tǒng)只能由內(nèi)置的獨(dú)立資源管理器加載和識別，因此，Windows資源管理器無法對安全U盤內(nèi)的文件進(jìn)行操作訪問，盤內(nèi)的文件操作須在獨(dú)立資源管理器中完成。私有文件系統(tǒng)的應(yīng)用，無誤差地實(shí)現(xiàn)了安全U盤內(nèi)文件操作的使用審計(jì)。

　　2.4 主動防病毒技術(shù)

　　CDROM 區(qū)防病毒。安全U盤插入計(jì)算機(jī)后，在Windows資源管理器中顯示的不是普通U盤盤符，而是一個(gè)虛擬化運(yùn)行的CDROM盤符。由于CDROM盤的只讀特性，保存在CDROM區(qū)的安全U盤引導(dǎo)系統(tǒng)不會被感染任何病毒或木馬。

　　安全存儲區(qū)防病毒。一般地，U盤病毒大都以可執(zhí)行代碼的方式存在，附著在可執(zhí)行程序(包括.exe；.com；.bad；.inf；.dlV；.sys各種腳文中件等)中，一旦運(yùn)行可執(zhí)行程序，病毒將實(shí)施傳播。安全U盤的私有文件系統(tǒng)和獨(dú)立資源管理器可以主動禁止直接打開U盤內(nèi)的任何文件(禁止直接從U盤運(yùn)行)，實(shí)現(xiàn)對U盤病毒的主動防御。

　　安全U盤在經(jīng)過有效的身份認(rèn)證之前，Windows資源管理器不能對安全存儲區(qū)進(jìn)行任何操作，身份認(rèn)證通過之后，安全存儲區(qū)在計(jì)算機(jī)上也不顯示任何盤符，此時(shí)只能通過CDROM區(qū)的專用安全資源管理器對安全存儲區(qū)進(jìn)行文件拷貝、刪除等操作。由于安全U盤在Windows資源管理器不顯示任何盤符，因此可以徹底防范病毒和木馬的感染。

　　2.5 加密存儲技術(shù)

　　安全存儲區(qū)的存儲和讀取由CDROM區(qū)的專用安全資源管理器，通過國家密碼管理局公布的SMS4加密算法和私有密鑰進(jìn)行全盤數(shù)據(jù)加密，并采用私有的文件系統(tǒng)方式進(jìn)行操作。保證安全U盤即使被暴力拆開后，讀取其Flash芯片也不能恢復(fù)原有文件。同時(shí)，所有的安全U盤須通過密鑰管理中心進(jìn)行密鑰初始化，方能在政府部門專網(wǎng)上注冊使用。因此，安全U盤的密鑰由密鑰管理中心統(tǒng)一管理，每一個(gè)安全U盤都具備唯一的密鑰，即使是安全U盤的生產(chǎn)廠家也無法破解U盤。

　　2.6 自鎖技術(shù)

　　安全U盤采用密碼進(jìn)行保護(hù)，并可要求密碼必須具備一定強(qiáng)度才能使用(例如8位以上，字母分大小寫、數(shù)字、標(biāo)點(diǎn)符號中有2或3個(gè)以上)。密碼輸入錯(cuò)誤次數(shù)超限(例如10次)，則自動鎖定該安全U盤，禁止繼續(xù)使用。

　　2.7 防U盤克隆破解技術(shù)

　　目前市面上有不少燒盤工具，可以輕易克隆出一個(gè)同樣的U盤。為了防止這種情況的出現(xiàn)，安全U盤的數(shù)據(jù)每一次讀寫都需要進(jìn)行身份認(rèn)證，所有未授權(quán)的讀寫都會被拒絕，因此安全U盤無法被克隆。安全U盤通過對關(guān)鍵代碼和敏感處理程序進(jìn)行虛擬機(jī)處理和代碼混淆處理，來防止對程序與算法的破解。同時(shí)，對U盤硬件信息進(jìn)行隱藏，有效防范目標(biāo)性極強(qiáng)的黑客和攻擊者針對特定硬件進(jìn)行攻擊。

　　2.8 互聯(lián)網(wǎng)告警技術(shù)

　　安全U盤插入計(jì)算機(jī)后，其CDROM區(qū)的安全U盤引導(dǎo)系統(tǒng)會自動檢測當(dāng)前計(jì)算機(jī)是否連接到互聯(lián)網(wǎng)，如果已經(jīng)連接則禁止打開安全U盤。如果打開安全U盤后，計(jì)算機(jī)再連接到互聯(lián)網(wǎng)，則安全U盤會強(qiáng)制關(guān)閉。如有需要，安全U盤還可強(qiáng)行切斷計(jì)算機(jī)與互聯(lián)網(wǎng)的連接，同時(shí)向監(jiān)控中心報(bào)警。

三 應(yīng)用管理

　　以上這些安全U盤關(guān)鍵技術(shù)的應(yīng)用，有效防范了U盤使用過程中的安全隱患，但在應(yīng)用過程中還需建立安全U盤管理系統(tǒng)，對安全U盤實(shí)施有效管理，實(shí)現(xiàn)技術(shù)和管理、硬件和軟件的有機(jī)統(tǒng)一，才能更好地發(fā)揮其作用。

　　3.1 對非政府部門專網(wǎng)的U盤進(jìn)行使用控制

　　控制外來U盤在政府部門專網(wǎng)上使用，是實(shí)現(xiàn)U盤管理的首要任務(wù)。安全U盤管理系統(tǒng)通過對計(jì)算機(jī)加載的U盤進(jìn)行身份匹配，如果U盤無法通過主機(jī)端認(rèn)證，將被拒絕使用。

　　3.2 U盤與主機(jī)雙向認(rèn)證

　　主機(jī)端認(rèn)證主要包括兩個(gè)方面，一方面，安全U盤對政府部門專網(wǎng)的檢測，另一方面，政府部門專網(wǎng)對安全U盤的認(rèn)證。安全U盤會對政府部門專網(wǎng)計(jì)算機(jī)的完整性和數(shù)字簽名證書進(jìn)行檢測，安全U盤系統(tǒng)也會對安全U盤進(jìn)行完整性和數(shù)字簽名證書驗(yàn)證，保證了攻擊者無法通過模擬政府部門專網(wǎng)環(huán)境竊取U盤內(nèi)文件和模擬安全U盤進(jìn)入政府部門專網(wǎng)進(jìn)行竊密。

　　3.3 安全U盤生命周期控制

　　安全U盤在政府部門專網(wǎng)的注冊、審計(jì)及注銷等使用生命周期控制，均通過政府部門專網(wǎng)的PKI進(jìn)行管理。

　　注冊。安全U盤管理系統(tǒng)部署后，每個(gè)安全U盤必須通過系統(tǒng)注冊后才能被系統(tǒng)加載使用。注冊時(shí)可與CA證書同時(shí)使用，將CA證書信息寫入安全U盤，以確定安全U盤使用身份的唯一性。所有注冊信息全部自動記錄在管理系統(tǒng)中，無需手工登記，所有的安全U盤注冊信息將自動上傳到服務(wù)器進(jìn)行集中管理。

　　審計(jì)。安全U盤在使用過程中所產(chǎn)生的各種使用日志，均與注冊時(shí)捆綁的CA證書一同上傳至服務(wù)器，實(shí)現(xiàn)安全U盤使用日志與具體使用人關(guān)聯(lián)。

　　注銷。安全U 盤存政府部門專網(wǎng)的使用做注銷處理時(shí)，也需要將安全U盤與捆綁注冊的CA證書同時(shí)使用。注銷時(shí)，系統(tǒng)會自動將安全U盤內(nèi)所有的數(shù)據(jù)進(jìn)行粉碎，并清除U盤內(nèi)的電子標(biāo)簽。

　　3.4 安全U盤使用控制

　　安全U盤共分為3類，其中安全U盤管理系統(tǒng)可直接控制內(nèi)網(wǎng)專用U盤和單向?qū)�入盤的是否可用。雙向交換盤的使用策略可以由安全U盤管理系統(tǒng)來進(jìn)行靈活配置。雙向交換盤分為內(nèi)網(wǎng)區(qū)、交換區(qū)，根據(jù)實(shí)際需要，系統(tǒng)可對它做相應(yīng)的管理策略：交換區(qū)讀寫方式可被設(shè)置為單向?qū)�人、單向�(qū)С�、雙向交換、禁止交換4種狀態(tài)。

　　3.5 其他安全管理

　　除了對安全U盤的管理外，安全U盤管理系統(tǒng)還可以對利用“手機(jī)同步軟件” 、“虛擬機(jī)軟件”實(shí)施涉密文件拷貝、刪除的手段進(jìn)行有效管理：

　　(1)手機(jī)同步軟件控制。某些類型的手機(jī)可以在計(jì)算機(jī)上安裝特定的同步軟件后，手機(jī)的存儲卡不再是以U盤盤符出現(xiàn)，而是表現(xiàn)為手機(jī)同步軟件中的特殊文件夾，通過對此特殊文件夾的操作，使用者就可在計(jì)算機(jī)和手機(jī)之間進(jìn)行數(shù)據(jù)交換。安全U盤管理系統(tǒng)就是對此類特殊文件夾進(jìn)行控制，從而有效防止利用手機(jī)同步軟件進(jìn)行文件拷貝和交換 。

　　(2)虛擬機(jī)軟件控制。在計(jì)算機(jī)(暫稱主機(jī))上安裝VMWare等虛擬機(jī)系統(tǒng)軟件后，可以在主機(jī)中虛擬出其他的計(jì)算機(jī)(暫稱虛擬機(jī))，插入主機(jī)的U盤可以在虛擬機(jī)中進(jìn)行各種文件操作。使用者可以將主機(jī)中的文件拷貝到虛擬機(jī)中，然后再從虛擬機(jī)中將文件拷貝到U盤，逃脫監(jiān)管。安全U盤管理系統(tǒng)通過對虛擬機(jī)軟件進(jìn)行有效的管理和控制，從而可以防止使用者利用虛擬機(jī)軟件在計(jì)算機(jī)和U盤間進(jìn)行文件交換。

　　(3)系統(tǒng)還原功能控制。Windows XP以上操作系統(tǒng)中有一個(gè)功能叫做“系統(tǒng)還原”，通過建立系統(tǒng)還原點(diǎn)，用戶可以將系統(tǒng)還原到某個(gè)特定時(shí)間或事件發(fā)生之前的狀態(tài)。用戶可以在安裝U盤管理系統(tǒng)之前，創(chuàng)建一個(gè)系統(tǒng)還原點(diǎn)A；在安裝了U盤管理系統(tǒng)之后，創(chuàng)建一個(gè)系統(tǒng)還原點(diǎn)B，用戶可以隨時(shí)將系統(tǒng)調(diào)入到系統(tǒng)還原點(diǎn)A，違規(guī)使用U盤后，再將系統(tǒng)調(diào)回到系統(tǒng)還原點(diǎn)B，從而逃脫監(jiān)管。安全U盤管理系統(tǒng)可強(qiáng)制禁止“系統(tǒng)還原”功能，防止上述漏洞發(fā)生。

四 結(jié)語

　　政府部門專網(wǎng)安全U盤從硬件構(gòu)成到技術(shù)的實(shí)現(xiàn)，全面地提高了U盤的使用安全性。同時(shí)，根據(jù)不同的使用場景設(shè)計(jì)不同類型的U盤，方便了管理。管理系統(tǒng)實(shí)現(xiàn)了安全U盤從注冊、配發(fā)、審計(jì)、安全策略設(shè)置等跟蹤管理。通過安全U盤在政府部門專網(wǎng)的廣泛使用和應(yīng)用的集中管理，必將有效防止由于U盤交叉使用而造成的病毒感染、掛馬、失泄密等安全隱患，為政府部門專網(wǎng)的安全提供堅(jiān)強(qiáng)保障。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：淺析專網(wǎng)安全U盤技術(shù)和應(yīng)用管理

本文網(wǎng)址：http://www.guhuozai8.cn/html/support/1112153943.html