USB安全管理典型解決方案

1、J 押 A 骨 典型方案易泰通軟件科技有限公司典型方案內(nèi)外網(wǎng)物理隔離網(wǎng)絡(luò)的安全方案*網(wǎng)絡(luò)現(xiàn)狀與安全隱患目前，政府機關(guān)及金融等行業(yè)都有兩個網(wǎng)絡(luò)：內(nèi)網(wǎng)和外網(wǎng)，內(nèi)網(wǎng)用作內(nèi)部 的辦公自動化，外網(wǎng)用來對外發(fā)布信息、獲得因特網(wǎng)上的即時消息，以及用電 子郵件進行信息交流。為了數(shù)據(jù)的安全性，內(nèi)網(wǎng)和外網(wǎng)都通過隔離卡或網(wǎng)閘等 方式實現(xiàn)內(nèi)外網(wǎng)的物理隔離，從一定程度上杜絕了內(nèi)外網(wǎng)的混合使用造成的信 息外泄。如下圖所示：政府吐子政等物理您居網(wǎng)絡(luò)佑任河津然而，對于內(nèi)網(wǎng)中移動存儲介質(zhì)的隨意使用以及外部終端非法接入內(nèi)網(wǎng)來 泄露內(nèi)部信息的安全隱患，仍然得不到解決。存在的安全隱患主要有：1 .移動存儲介質(zhì)泄密 外來移動存儲介質(zhì)拷

2、去內(nèi)網(wǎng)信息； 內(nèi)網(wǎng)移動存儲介質(zhì)相互混用，造成泄密； 涉密介質(zhì)丟失造成泄密2 .終端造成泄密 計算機終端各種端口的隨意使用，造成泄密； 外部終端非法接入內(nèi)網(wǎng)泄密； 內(nèi)網(wǎng)終端非法外聯(lián)外部網(wǎng)絡(luò)泄密 捍衛(wèi)者解決方案針對隱患1,捍衛(wèi)者US毆全管理系統(tǒng)可以完全解決。此系統(tǒng)功能為：1 .管理US端口，對其設(shè)定禁用、只讀、開放三種狀態(tài)；2 .對軟驅(qū)、光驅(qū)、紅外、藍(lán)牙等各種終端設(shè)備端口進行統(tǒng)一管理，設(shè)置開 放、禁用等模式，同時可設(shè)定刻錄機只讀；3 .實現(xiàn)移動存儲介質(zhì)的授權(quán)分區(qū)使用，存儲介質(zhì)與計算機終端可以實現(xiàn)一 對一，一對多的綁定使用；4 .通過特殊分區(qū)、加密，實現(xiàn)移動存儲介質(zhì)內(nèi)部使用或外部通過密碼使用，使得移

3、動介質(zhì)丟失不泄密;5 .完整的日志記錄、審計功能，實現(xiàn)整個移動存儲介質(zhì)使用流程的跟蹤可 控;6 .支持vista操作系統(tǒng)；在內(nèi)網(wǎng)中部署捍衛(wèi)者US改全管理系統(tǒng)后，可以有效地防止移動存儲介質(zhì)泄密，解決移動存儲介質(zhì)的泄密隱患。如下圖所示正常使用正常使用鼾授權(quán)為A 部門的 計算機X正常使用依端口狀態(tài)OA （授權(quán)為OA1 （授權(quán)為OB （授權(quán)為C （授權(quán)為OA部門的授權(quán)盤）A部門的內(nèi)部加密盤）B部門的盤）A和B部門的通用盤）3正常使用外部計算機通過密碼（未安裝k捍衛(wèi)者軟件）、使用而定D （外來普通盤禁用：不能使用只讀：只能導(dǎo)出盤內(nèi)數(shù)據(jù) 開放：盤正常使用）oA （授權(quán)為A部門的授權(quán)盤）QA1 （授權(quán)為A部

4、門的內(nèi)部加密盤）OA2 （授權(quán)為A部門的內(nèi)外兼容加密盤）捍衛(wèi)者US全管理系統(tǒng)示意圖針對隱患2,捍衛(wèi)者終端安全及訪問審計控制系統(tǒng)可以消除此隱患，主要用 q 0 典型方案易泰通軟件科技有限公司功能為：1）終端接入驗證管理（所有驗證終端組成內(nèi)網(wǎng)）；2）未驗證終端限制接入內(nèi)網(wǎng)；3）驗證終端域內(nèi)相互訪問行為監(jiān)控；4）驗證終端非法其他網(wǎng)絡(luò)行為監(jiān)控；5）管理US端口及紅外、藍(lán)牙、光驅(qū)等各種端口和外設(shè)，對其設(shè)定禁用 開放狀態(tài)，同時US端口及光驅(qū)可設(shè)定只讀；6）日志備份定時提醒；7）客戶端異?；虮黄平?，服務(wù)器端顯示其相關(guān)信息，報警提示?？诤戏ńK端合法終端非法終端捍衛(wèi)者終端安全及訪問審計控制系統(tǒng)示意圖內(nèi)網(wǎng)授信網(wǎng)絡(luò)

5、合法終端以上兩種解決方案可以作為模塊組合為一個系統(tǒng)，這樣既解決了信息安全 隱患，同時節(jié)約了成本，方便了安裝與維護，除此之外，服務(wù)器支持多級級聯(lián), 方便了管理，也可以適用大規(guī)模網(wǎng)絡(luò)。也適用范圍本方案可廣泛適用于政府、證券、金融、大型企業(yè)等單位，具有極低的投 和極高的安全性，并且維護方便、升級簡單。5典型方案易泰通軟件科技有限公司中間機連接內(nèi)外網(wǎng)的安全方案*網(wǎng)絡(luò)現(xiàn)狀與安全隱患一些企業(yè)禁止內(nèi)網(wǎng)計算機上公網(wǎng)，大部分計算機也不允許與外界溝通, 只是通過一個中間機來實現(xiàn)內(nèi)網(wǎng)信息與外部信息的流通。1）如果中間機在內(nèi)網(wǎng)中，網(wǎng)絡(luò)結(jié)構(gòu)如下圖示:內(nèi)網(wǎng)計算機2）如果中間機不在內(nèi)網(wǎng)中，網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示:內(nèi)網(wǎng)計算機外網(wǎng)

6、計算機然而此中網(wǎng)絡(luò)方式，移動存儲介質(zhì)的隨意使用以及外部終端非法接入內(nèi)網(wǎng) 來泄露內(nèi)部信息的安全隱患，仍然得不到解決。存在的安全隱患主要有：1 .移動存儲介質(zhì)泄密 外來移動存儲介質(zhì)拷去內(nèi)網(wǎng)信息； 內(nèi)網(wǎng)移動存儲介質(zhì)相互混用，造成泄密； 涉密介質(zhì)丟失造成泄密2 .終端造成泄密#J 碼 40 典型方案易泰通軟件科技有限公司 計算機終端各種端口的隨意使用，造成泄密； 外部終端非法接入內(nèi)網(wǎng)泄密； 內(nèi)網(wǎng)終端非法外聯(lián)外部網(wǎng)絡(luò)泄密*捍衛(wèi)者解決方案針對隱患1,捍衛(wèi)者US毆全管理系統(tǒng)可以完全解決。此系統(tǒng)功能為：1 .管理US端口，對其設(shè)定禁用、只讀、開放三種狀態(tài)；2 .對軟驅(qū)、光驅(qū)、紅外、藍(lán)牙等各種終端設(shè)備端口進行統(tǒng)

7、一管理，設(shè)置開 放禁用等模式，同時可設(shè)定刻錄機只讀；3 .實現(xiàn)移動存儲介質(zhì)的授權(quán)分區(qū)使用，存儲介質(zhì)與計算機終端可以實現(xiàn)一 對，一對多的綁定使用；4 .通過特殊分區(qū)、加密，實現(xiàn)移動存儲介質(zhì)內(nèi)部使用或外部通過密碼使用， 使得移動介質(zhì)丟失不泄密；5 .完整的日志記錄、審計功能，實現(xiàn)整個移動存儲介質(zhì)使用流程的跟蹤可 控；6 .支持vista操作系統(tǒng)；對于中間機在內(nèi)網(wǎng)的網(wǎng)絡(luò)：將捍衛(wèi)者US眩全管理系統(tǒng)網(wǎng)絡(luò)增強版安裝在內(nèi)網(wǎng)中，設(shè)定所有計算機端 口為禁用狀態(tài)，禁止外來移動設(shè)備的使用；然后將中間機與其他內(nèi)網(wǎng)計算機設(shè) 定不同的組織單元，這樣需要流通到外部的信息，可以通過網(wǎng)絡(luò)傳送到中間機 上，再通過只有中間機才能識

8、別的移動設(shè)備將信息拷貝到外部；同樣，需要流 入內(nèi)網(wǎng)的信息，也是先通過此移動設(shè)備拷入到中間機，再通過網(wǎng)絡(luò)使全內(nèi)網(wǎng)共 享。如下圖示：7押A0典型方案易泰通軟件科技有限公司外聯(lián)部內(nèi)外兼容內(nèi)網(wǎng)外聯(lián)部計算機加密u盤內(nèi)網(wǎng)行政部計算機外網(wǎng)計算機對于中間機不在內(nèi)網(wǎng)的網(wǎng)絡(luò)：內(nèi)網(wǎng)計算機安裝捍衛(wèi)者USB安全管理系統(tǒng)網(wǎng)絡(luò)增強版，中間機安裝單機增 強版，將中間機與內(nèi)網(wǎng)計算機設(shè)定不同的組織單元，如中間機設(shè)定外聯(lián)部，內(nèi) 網(wǎng)計算機設(shè)定行政部，則需要流出到外網(wǎng)的信息通過被設(shè)定為外聯(lián)部與行政部 同時可以使用的內(nèi)部加密盤拷貝到中間機上，然后通過只能在中間機上使用的 內(nèi)外兼容加密盤拷貝到外部使用，同樣外部信息需要拷貝到內(nèi)網(wǎng)使用，反之

9、即 可。如下圖所示:授權(quán)為外聯(lián)部外聯(lián)部內(nèi)外兼容和行政部的外聯(lián)部加密u盤內(nèi)網(wǎng)行政部計算機外網(wǎng)計算機針對隱患2,捍衛(wèi)者終端安全及訪問審計控制系統(tǒng)可以消除此隱患，主要 功能為：#. 捏 A , 典型方案易泰通軟件科技有限公司L11）終端接入驗證管理（所有驗證終端組成內(nèi)網(wǎng)）；2）未驗證終端限制接入內(nèi)網(wǎng)；3）驗證終端域內(nèi)相互訪問行為監(jiān)控；4）驗證終端非法其他網(wǎng)絡(luò)行為監(jiān)控；5）管理US端口及紅外、藍(lán)牙、光驅(qū)等各種端口和外設(shè)，對其設(shè)定禁用 開放狀態(tài)，同時US端口及光驅(qū)可設(shè)定只讀；6）日志備份定時提醒；7）客戶端異?；虮黄平?，服務(wù)器端顯示其相關(guān)信息，報警提示。非法終端捍衛(wèi)者終端安全及訪問審計控制系統(tǒng)示意圖以上

10、捍衛(wèi)者US弦全管理系統(tǒng)與終端安全訪問審計控制系統(tǒng)可以作為模塊 組合為一個系統(tǒng)部署使用。也適用范圍本方案可廣泛適用于醫(yī)療、機械制造業(yè)、政府等單位。公安邊防安全解決方案*網(wǎng)絡(luò)現(xiàn)狀及安全隱患1）公安邊防系統(tǒng)已經(jīng)安裝公安部統(tǒng)一推廣的“一機兩用”軟件，在一定程 度上實現(xiàn)了內(nèi)外網(wǎng)隔離使用，見下面示意圖，內(nèi)網(wǎng)機器安裝了一機兩用 軟件后一旦連接公網(wǎng)進行告警。如下圖所示：9, J 捏 A , 典型方案易泰通軟件科技有限公司公安網(wǎng)“一機兩用”示意圖雖然已經(jīng)采取這種防范措施，但公安網(wǎng)絡(luò)在使用中仍然存在諸多安全隱患, 歸納起來主要有以下兩類：1 .終端安全造成的信息外泄：內(nèi)外網(wǎng)分開使用使信息通過網(wǎng)絡(luò)外泄在一定程度上得

11、到控制，但是終端本身的外泄沒有得到良好控制，仍然存在兩方 面泄密隱患：通過終端的各種外設(shè)和端口泄漏信息；移動存儲介質(zhì)泄露內(nèi)部信息；2 .內(nèi)部終端容易意外連接公網(wǎng)：一機兩用不是硬性隔離，只是采取內(nèi)部機 器連接外部網(wǎng)絡(luò)時報警的形式，內(nèi)部終端容易誤連接，造成很多不便。*捍衛(wèi)者解決方案針對隱患1,我們建議使用捍衛(wèi)者us酸全管理系統(tǒng)，該系統(tǒng)對不常使 用的外設(shè)可以根據(jù)具體情況設(shè)置為禁用或只讀（刻錄機，US端口），并且對移動存儲介質(zhì)（u盤、移動硬盤等各種移動存儲設(shè)備）可以分域授權(quán)使用， 可以限定移動存儲介質(zhì)的使用范圍一對一或一對多的和終端綁定使用，加 密后的移動存儲還可以做到流出到安全環(huán)境外無法識別，保證內(nèi)部信息安 全。針對隱患2,本節(jié)解決方案可以作為防止意外連接公網(wǎng)的解決方案使用， 提供軟硬兩種解決方案，如防止意外非法連接外網(wǎng)示意圖所示：1）軟件方案：在外網(wǎng)計算機（允許上公網(wǎng)的計算機）網(wǎng)絡(luò)和路由器間增加一個控制服務(wù) 器，該服務(wù)器安裝捍衛(wèi)者終端