淺析內(nèi)網(wǎng)安全U盤技術(shù)解決方案

#/6淺析內(nèi)網(wǎng)安全盤技術(shù)解決方案為了保障信息安全，各級(jí)政府部門建立了與互聯(lián)網(wǎng)進(jìn)行物理隔離的部門專用網(wǎng)絡(luò)，以此解決網(wǎng)絡(luò)互聯(lián)互通造成的失泄密、病毒感染、木馬侵入等問(wèn)題。然而，由于移動(dòng)存儲(chǔ)介質(zhì)的方便快捷，在互聯(lián)網(wǎng)和專用網(wǎng)絡(luò)間交叉使用，給信息安全帶來(lái)了新的威脅和挑戰(zhàn)。文中分析了盤的使用給政府專網(wǎng)帶來(lái)的安全隱患，引入了專網(wǎng)安全盤的概念，給出了專網(wǎng)安全盤的相關(guān)技術(shù)和應(yīng)用管理，以此來(lái)規(guī)范和保障移動(dòng)存儲(chǔ)介質(zhì)的安全隨著存儲(chǔ)技術(shù)突飛猛進(jìn)的發(fā)展，盤、移動(dòng)硬盤、手機(jī)、數(shù)碼相機(jī)、攝像機(jī)、、、、各種等移動(dòng)存儲(chǔ)設(shè)備以下統(tǒng)稱盤由于其體積小、攜帶方便、存儲(chǔ)量大、使用靈活等特點(diǎn)，迅速得到廣泛應(yīng)用。根據(jù)對(duì)典型設(shè)備的產(chǎn)品銷售進(jìn)行測(cè)算，當(dāng)前全球使用中的各類移動(dòng)存儲(chǔ)設(shè)備超過(guò)億個(gè)，盤在帶給用戶使用便捷的同時(shí)，已經(jīng)成為了計(jì)算機(jī)病毒傳播及信息泄密的首要途徑。一盤的安全隱患近年來(lái)，盤帶來(lái)的安全隱患在政府部門專網(wǎng)更顯突，其安全主要表現(xiàn)在：盤的交叉使用由于普通盤只是一個(gè)不受控的存儲(chǔ)介質(zhì)，可以在任何計(jì)算機(jī)上使用。因此，它可以有意無(wú)意地在政府部門專網(wǎng)內(nèi)網(wǎng)或互聯(lián)網(wǎng)外網(wǎng)上交叉使用；或在涉密計(jì)算機(jī)和非涉密計(jì)算機(jī)間交叉使用。一旦發(fā)生交叉使用的違規(guī)事件，涉密文件極有可能被非法拷貝，造成失泄密。木馬擺渡普通盤通過(guò)在內(nèi)網(wǎng)和外網(wǎng)問(wèn)的交叉使用，為木馬擺渡突破政府部門專網(wǎng)的“物理隔離”提供了條件。在政府部門專網(wǎng)的計(jì)算機(jī)上，木馬先將文件拷貝到盤，一旦該盤插入到聯(lián)接互聯(lián)網(wǎng)的計(jì)算機(jī)時(shí)，木馬就會(huì)將拷貝出來(lái)的文件通過(guò)互聯(lián)網(wǎng)發(fā)送出去。病毒傳播感染病毒的計(jì)算機(jī)會(huì)將病毒感染到盤，一旦該盤插入到其他計(jì)算機(jī)上，就會(huì)造成無(wú)毒計(jì)算機(jī)感染病毒。如此反復(fù)，相互感染，從而引發(fā)整個(gè)網(wǎng)絡(luò)的病毒感染，造成系統(tǒng)損壞、數(shù)據(jù)丟失、死機(jī)，甚至整個(gè)網(wǎng)絡(luò)癱瘓。無(wú)法審計(jì)普通盤無(wú)論在政府部門專網(wǎng)還是在互聯(lián)網(wǎng)上使用，即使主動(dòng)進(jìn)行違規(guī)操作，也無(wú)法進(jìn)行有效的審計(jì)和取證。丟失被盜如果盤丟失或被盜，其保存的涉密信息將會(huì)丟失，造成信息泄密。二專網(wǎng)安全盤的相關(guān)技術(shù)政府部門專網(wǎng)安全盤區(qū)別于普通盤主要采用了以下關(guān)鍵技術(shù)。安全盤的特有分類根據(jù)政府部門專網(wǎng)的特點(diǎn)和安全保密要求，安全盤依其使用方式的不同，可分為類：內(nèi)網(wǎng)專用盤，限在政府部門專網(wǎng)內(nèi)終端之間進(jìn)行數(shù)據(jù)信息交換；單向?qū)氡P，可將外網(wǎng)數(shù)據(jù)信息單向?qū)说秸块T專網(wǎng)內(nèi)；雙向交換盤，可在政府部門專網(wǎng)與外網(wǎng)之間相互交換數(shù)據(jù)信息。安全盤特殊分區(qū)技術(shù)安全盤在硬件上采用了不同的芯片組不同于普通盤的一組芯片）分為個(gè)獨(dú)立的存儲(chǔ)空間：區(qū)黑匣子區(qū)安全存儲(chǔ)區(qū)。區(qū)。該區(qū)存儲(chǔ)私有的安全盤引導(dǎo)系統(tǒng)和專用安全資源管理器，且具有的只讀屬性。黑匣子區(qū)。該區(qū)記錄該安全盤的所有操作，即：何時(shí)、何人、哪臺(tái)計(jì)算機(jī)、哪些操作拷入拷出新建，刪除更名）哪些文件、文件大小等。黑匣子區(qū)不影響使用者的正常使用，且基于獨(dú)立的芯片存儲(chǔ)，用戶不可見(jiàn)。因此。用戶無(wú)法對(duì)它的任何數(shù)據(jù)進(jìn)行刪除、復(fù)制、修改等操作，同時(shí)也不會(huì)被格式化所清除。黑匣子區(qū)又可分為保護(hù)區(qū)和日志區(qū)，保護(hù)區(qū)主要保存盤標(biāo)簽信息、盤的硬件序列號(hào)、盤密鑰加密塊；日志區(qū)用于保存用戶對(duì)盤文件操作的日志。安全存儲(chǔ)區(qū)。該區(qū)是用戶存儲(chǔ)數(shù)據(jù)的區(qū)域。在認(rèn)證通過(guò)后，由區(qū)的安全盤引導(dǎo)系統(tǒng)通過(guò)虛擬化運(yùn)行，由獨(dú)立資源管理器以私有文件系統(tǒng)的方式進(jìn)行加載，然后以安全存儲(chǔ)技術(shù)保存用戶數(shù)據(jù)。該區(qū)域在資源管理器中無(wú)盤盤符顯示。私有文件系統(tǒng)技術(shù)安全盤內(nèi)置了私有文件系統(tǒng)，它是區(qū)別于的常用文件系統(tǒng)，該文件系統(tǒng)只能由內(nèi)置的獨(dú)立資源管理器加載和識(shí)別，因此，資源管理器無(wú)法對(duì)安全盤內(nèi)的文件進(jìn)行操作訪問(wèn)，盤內(nèi)的文件操作須在獨(dú)立資源管理器中完成。私有文件系統(tǒng)的應(yīng)用，無(wú)誤差地實(shí)現(xiàn)了安全盤內(nèi)文件操作的使用審計(jì)。主動(dòng)防病毒技術(shù)區(qū)防病毒。安全盤插入計(jì)算機(jī)后，在資源管理器中顯示的不是普通盤盤符，而是一個(gè)虛擬化運(yùn)行的盤符。由于盤的只讀特性，保存在區(qū)的安全盤引導(dǎo)系統(tǒng)不會(huì)被感染任何病毒或木馬。安全存儲(chǔ)區(qū)防病毒。一般地，盤病毒大都以可執(zhí)行代碼的方式存在，附著在可執(zhí)行程序（包括；；；；；各種腳文中件等）中，一旦運(yùn)行可執(zhí)行程序，病毒將實(shí)施傳播。安全盤的私有文件系統(tǒng)和獨(dú)立資源管理器可以主動(dòng)禁止直接打開(kāi)盤內(nèi)的任何文件禁止直接從盤運(yùn)行）實(shí)現(xiàn)對(duì)盤病毒的主動(dòng)防御。更多咨詢：鄭經(jīng)理安全盤在經(jīng)過(guò)有效的身份認(rèn)證之前，資源管理器不能對(duì)安全存儲(chǔ)區(qū)進(jìn)行任何操作，身份認(rèn)證通過(guò)之后，安全存儲(chǔ)區(qū)在計(jì)算機(jī)上也不顯示任何盤符，此時(shí)只能通過(guò)區(qū)的專用安全資源管理器對(duì)安全存儲(chǔ)區(qū)進(jìn)行文件拷貝、刪除等操作。由于安全盤在資源管理器不顯示任何盤符，因此可以徹底防范病毒和木馬的感染。加密存儲(chǔ)技術(shù)安全存儲(chǔ)區(qū)的存儲(chǔ)和讀取由區(qū)的專用安全資源管理器，通過(guò)國(guó)家密碼管理局公布的、、、加密算法和私有密鑰進(jìn)行數(shù)據(jù)加密，并采用私有的文件系統(tǒng)方式進(jìn)行操作。保證安全盤即使被暴力拆開(kāi)后，讀取其芯片也不能恢復(fù)原有文件。自鎖技術(shù)安全盤采用密碼進(jìn)行保護(hù)，并可要求密碼必須具備一定強(qiáng)度才能使用例如位以上，字母分大小寫、數(shù)字、標(biāo)點(diǎn)符號(hào)中有或個(gè)以上）密碼輸入錯(cuò)誤次數(shù)超限例如次）則自動(dòng)鎖定該安全盤，禁止繼續(xù)使用。防盤克隆破解技術(shù)目前市面上有不少燒盤工具，可以輕易克隆出一個(gè)同樣的盤。為了防止這種情況的出現(xiàn)，安全盤的數(shù)據(jù)每一次讀寫都需要進(jìn)行身份認(rèn)證，所有未授權(quán)的讀寫都會(huì)被拒絕，因此安全盤無(wú)法被克隆。安全盤通過(guò)對(duì)關(guān)鍵代碼和敏感處理程序進(jìn)行虛擬機(jī)處理和代碼混淆處理，來(lái)防止對(duì)程序與算法的破解。同時(shí)，對(duì)盤硬件信息進(jìn)行隱藏，有效防范目標(biāo)性極強(qiáng)的黑客和攻擊者針對(duì)特定硬件進(jìn)行攻擊?；ヂ?lián)網(wǎng)告警技術(shù)安全盤插入計(jì)算機(jī)后，其區(qū)的安全盤引導(dǎo)系統(tǒng)會(huì)自動(dòng)檢測(cè)當(dāng)前計(jì)算機(jī)是否連接到互聯(lián)網(wǎng)，如果已經(jīng)連接則禁止打開(kāi)安全盤。如果打開(kāi)安全盤后，計(jì)算機(jī)再連接到互聯(lián)網(wǎng)，則安全盤會(huì)強(qiáng)制關(guān)閉。如有需要，安全盤還可強(qiáng)行切斷計(jì)算機(jī)與互聯(lián)網(wǎng)的連接，同時(shí)向監(jiān)控中心報(bào)警。三、專網(wǎng)安全盤技術(shù)方案：北京萬(wàn)協(xié)通信息技術(shù)有限公司依托在信息安全多年的技術(shù)積累，為了滿足不同用戶的需求，基于加密芯片推出一系列的專網(wǎng)安全盤解決方案，供技術(shù)分析和參考。采用安全芯片，此芯片作為完全國(guó)有知識(shí)產(chǎn)權(quán)的芯片已經(jīng)通過(guò)了國(guó)家密碼局的安全認(rèn)證，符合國(guó)家相關(guān)技術(shù)要求，完全滿足政府和軍隊(duì)對(duì)產(chǎn)品的要求。芯片內(nèi)部架構(gòu)該芯片不僅接口豐富，同時(shí)具備兩個(gè)接口，這項(xiàng)技術(shù)為同方首創(chuàng)，為芯片的應(yīng)用提供了一個(gè)更加靈活的平臺(tái)。密鑰存放在芯片內(nèi)部，密碼的認(rèn)證也在芯片內(nèi)部進(jìn)行，具有超強(qiáng)的防破解能力。集成多種通信接口和多種信息安全算法（、、、、、等），可實(shí)現(xiàn)高度整合的單芯片解決方案。特點(diǎn)：硬件加密更加安全功能模塊化高讀寫速度多種方案可供選擇（）功能模塊化萬(wàn)協(xié)通不僅提供加密盤的開(kāi)發(fā)工具、成熟的接口、大量的函數(shù)的程序，同時(shí)也把很多加密盤的常用功能做了模塊化處理，形成不同的功能包，用戶可以根據(jù)需求選擇功能包，組合成自己的產(chǎn)品。這種方式可以幫助用戶節(jié)省了大量的研發(fā)與測(cè)試時(shí)間，快速的形成產(chǎn)品，占領(lǐng)市場(chǎng)。（）高讀寫速度影響加密盤讀寫速度的因素主要有兩點(diǎn)：存儲(chǔ)的讀寫速度，加密芯片的加解密速度。芯片的加解密速度三，遠(yuǎn)遠(yuǎn)高于目前存儲(chǔ)的速度，不會(huì)影響到整個(gè)方案的性能。（）多種方案可供選擇萬(wàn)協(xié)通針對(duì)盤的主要存儲(chǔ)介質(zhì)，出臺(tái)三種技術(shù)方案，滿足不同客戶的需求。存儲(chǔ)方案：USB2.0HS加密、NFCNandFlashUSB2.0HS加密、NFCNandFlashNFC接口）加密U盤利用芯片內(nèi)部自帶的控制功能和通過(guò)接口直接連接，此方案性能穩(wěn)定，但是要針對(duì)不同品牌類型需要單獨(dú)開(kāi)發(fā)驅(qū)動(dòng)程序，芯片產(chǎn)品更新?lián)Q代很快，客戶需要不斷的更新驅(qū)動(dòng)，后期研發(fā)改動(dòng)成本較大?？ù鎯?chǔ)方案：

USB2.0HSUBB2'.0HS：:USB2.0HSUBB2'.0HS：:加密芯片 讀卡器芯片 TF卡加密U盤加密芯片通過(guò)接口連接讀卡器芯片，再由讀卡器芯片控制后面的卡。只有具有雙接口的才能做到為卡提供一個(gè)額外的接口。此方案產(chǎn)品穩(wěn)定性較高，成本與方案相比會(huì)大大降低（卡的價(jià)格低于，卡不存在驅(qū)動(dòng)升級(jí)的后期開(kāi)發(fā)），卡安插在板上的卡槽內(nèi)，不是焊接在板上，不同容量的產(chǎn)品插相對(duì)容量的即可，一個(gè)板實(shí)現(xiàn)多容量選擇，容量靈活性很強(qiáng)。存儲(chǔ)方案USB2.0HSUSB2.0HS加密芯片UDP加密USB2.0HSUSB2.0HS加密芯片UDP加密U盤加密芯片通過(guò)接口直接連接后面的模塊，這類產(chǎn)品性能比較穩(wěn)定，成本與卡方案相比還要低很多，是低成本加密盤方案的不二選擇。三種方案的比較方案穩(wěn)定性硬件成本存儲(chǔ)驅(qū)動(dòng)升級(jí)后期研發(fā)投入兼容性高高需要需要低卡高一般不需要不需要高較高低不需