LanSecS USB移动存储介质方案

1、LanSecS USBLanSecS USB移动存储介质方案移动存储介质方案 高级售前咨询顾问高级售前咨询顾问 梁延平梁延平 2012年年11月月 目录目录 Page 2 4关于圣博润及案例分享关于圣博润及案例分享 3产品优势产品优势 2LanSecS USB移动存储介质解决方案移动存储介质解决方案 1USB移动存储介质面临的问题移动存储介质面临的问题 USB移动存储介质面临的问题（一）移动存储介质面临的问题（一） 窃取数据窃取数据 传播病毒传播病毒 移动存储介质使用过程中常见的风险包括： 1. 非法拷贝敏感信息和涉密信息到磁盘、U盘或其他移动存储介质中； 2. 企业外部移动存储介质未经授权在

2、内部使用； 3. 企业内部移动存储介质及信息资源被带出，在外部非授权使用； 4. 使用过程的疏忽，导致病毒感染； 5. 存贮在媒体中的秘密信息在联网交换时被泄露或被窃取，存贮在媒体中的秘密信 息在进行人工交换时泄密； 6. 移动存储介质发生故障时，存有秘密信息的介质不经处理或无人监 督就带出修理，或修理时没有懂技术的人员在场监督，而造成泄密； 7. 移动存储介质管理不规范，秘密信息和非秘密信息放在同一媒体上， 明密不分，媒体介质不标密级，不按有关规定管理秘密信息的媒体， 容易造成泄密； 8. 媒体失窃，存有秘密信息的磁盘等媒体被盗，就会造成大量的国家 或企业秘密信息外泄，其危害程度将是难以估量

3、的，丢失造成后果 非常严重。 9. 移动存储介质的使用过程无审计，事后没有追究责任的依据。 USB移动存储介质面临的问题（二）移动存储介质面临的问题（二） 目录目录 Page 5 4关于圣博润及案例分享关于圣博润及案例分享 3产品优势产品优势 2LanSecS USB移动存储介质解决方案移动存储介质解决方案 1USB移动存储介质面临的问题移动存储介质面临的问题 LanSecS USB移动存储介质解决方案（一）移动存储介质解决方案（一） l未注册移动存储介质管理未注册移动存储介质管理 我们建议用户在部署我们建议用户在部署LanSecS USB移动存储介质管理系统时，移动存储介质管理系统时， 将未

4、注册移动存储介质管理策略设置为禁用，以保证移动存储介将未注册移动存储介质管理策略设置为禁用，以保证移动存储介 质使用的安全性。质使用的安全性。 问题：单位外部的如：家里的U盘等。 未经允许私自接入到单位内部，造成单 位内部数据外泄，病毒不加以任何管制 进入单位内部，造成网络瘫痪，重要数 据流失。 l在未安装终端监控引擎的计算机上，无法识别该移动存储设备； l在安装终端监控引擎的计算机上，可以识别该移动存储设备； l所有存储到该移动存储设备的数据均自动加密处理； l所有从该移动存储设备读取的数据均自动解密处理。 l移动存储介质加密管理移动存储介质加密管理 问题：单位内部统一分配的U盘是用于 内部

5、数据交换，目的是便于工作，但由 于没有有效的管理，内部U盘被轻易的 带回家里进行非工作使用，造成信息外 泄，病毒泛滥，公私不分。 通过使用移动存储介质加密管理可以实现：通过使用移动存储介质加密管理可以实现： LanSecS USB移动存储介质解决方案（二）移动存储介质解决方案（二） 我们建议在部署我们建议在部署LanSecS USB移动存储介质管理系统时，视情况对部移动存储介质管理系统时，视情况对部 分分U盘采用多分区方式对其进行管理。以实现安全的内外网单向数据交盘采用多分区方式对其进行管理。以实现安全的内外网单向数据交 换。换。 加密处理加密处理 普通普通U盘盘 LanSecS USB移动存

6、储介质解决方案（三）移动存储介质解决方案（三） l多分区多分区U U盘管理盘管理 苦恼：困扰我们许久的依然是怎么样有效的解决内外网数据交换过程中 既能保证数据文件的安全性，又能解决病毒传播问题。 授权可用授权可用 未授权禁用未授权禁用 未授权禁用未授权禁用 授权可用授权可用 LanSecS USB移动存储介质解决方案（三）移动存储介质解决方案（三） l多分区多分区U U盘管理盘管理 LanSecS USB移动存储介质解决方案（三）移动存储介质解决方案（三） l多分区多分区U U盘管理盘管理 利用多分区U盘的多分区特性，可以实现多种应用。常见应用包括内外网单向数 据交换和差旅模式。 u内外网单向

7、数据交换 是指将多分区U盘作为内网和外网的数据交换介质。在此应用场景下，数据交换 实现过程描述如下： 注册时将交换区设置为在内网环境只读，外网环境可读写； 注册时将加密区设置为在内网环境可读写，外网环境禁用； 注册时将交换区和加密区均设置为需要口令访问； 上述策略，将保证在一定的安全条件下，实现利用交换区将数据从外网单向拷 贝到内网环境。并且所有分区的访问必须输入正确的密码才可进行。 u差旅模式： 注册时将交换区设置为在内网环境可读写，外网环境只读； 注册时将加密区设置为在内网环境可读写，外网环境禁用； 注册时将交换区和加密区均设置为需要口令访问； LanSecS安全安全U盘盘 内部构造内部构

8、造 LanSecS USB移动存储介质解决方案（四）移动存储介质解决方案（四） l专用安全专用安全U U盘管理盘管理 如何处理：极其重要数据如何能在内网与外网交互过程中，保证绝对安 全，既不能被暴力破解，又不能被恶意毁坏，也不能被强制回复。 我们建议独立采购我们建议独立采购LanSecS专用安全专用安全U盘，该盘，该U盘采用独立硬件加密技盘采用独立硬件加密技 术内嵌高性能术内嵌高性能BCH 算法算法ECC 引擎。实现内外网数据交互。引擎。实现内外网数据交互。 LanSecS USB移动存储介质解决方案（五）移动存储介质解决方案（五） l专用安全专用安全U U盘管理盘管理/ /多分区多分区U U

9、盘管理区别盘管理区别 与多分区U盘相比，专用安全U盘有如下几个特点： 1. 启动区为虚拟光驱，即该区域从硬件上限制了只允许读取操作； 2. 专用安全U盘自带COS微操作系统，用户对所有分区的访问必须经过COS微操作 系统，这个特性保证了U盘本身对存储区域的读写具有绝对的控制权； 3. 日志区完全不可破坏，除非硬件销毁，文件操作日志记录在日志区内，可集 中上传总控中心，也可始终保存在日志分区内； 4. 病毒免疫，永远不会被病毒和木马感染。 5. 专用安全U盘的注册管理无需进行预先格式化，直接注册授权后即可使用。 我们建议用户在部署我们建议用户在部署LanSecS USB移动存储介质管理系统时，视

10、情况采购移动存储介质管理系统时，视情况采购 部分专用安全部分专用安全U盘，实现更加安全的内外网单向数据交换和差旅模式应用。盘，实现更加安全的内外网单向数据交换和差旅模式应用。 建议在注册时，将专用安全建议在注册时，将专用安全U盘的使用范围限制在个别内网计算机（最小盘的使用范围限制在个别内网计算机（最小 授权原则），并为加密区和交换区设置不同的密码，如此在保障必要的数授权原则），并为加密区和交换区设置不同的密码，如此在保障必要的数 据单向交换时，可以提高据单向交换时，可以提高U盘使用的安全性。盘使用的安全性。 LanSecS USB移动存储介质解决方案（六）移动存储介质解决方案（六） l多分区多

11、分区U U盘管理盘管理/ /专用安全专用安全U U盘特色盘特色日志日志 苦恼：内外网数据交换，但U盘在外网做了什么事情，我怎能知道？ 多分区多分区U盘提供独立的日志区，包括介质加载介入信息、文件操作记录盘提供独立的日志区，包括介质加载介入信息、文件操作记录 信息等，方便审计人员对介质使用记录的审计查询。日志区是隐藏的，信息等，方便审计人员对介质使用记录的审计查询。日志区是隐藏的， 对操作系统用户不可见，只能通过专用工具进行管理。当该对操作系统用户不可见，只能通过专用工具进行管理。当该U盘从外网盘从外网 使用结束后，回到内网工作时将自动向总控中心提交日志。这样就解决使用结束后，回到内网工作时将自

12、动向总控中心提交日志。这样就解决 了了U盘在外网做了什么我也能盘在外网做了什么我也能“了如指掌了如指掌”。 LanSecS USB移动存储介质解决方案（七）移动存储介质解决方案（七） lLanSecS USBLanSecS USB移动存储介质管理系统特色移动存储介质管理系统特色生命期管理生命期管理 问：我是否可以对这些注册的U盘控制使用次数，使用时间等。 不用担心，不用担心， LanSecS USB移动存储介质管理系统对以上注册的移动存储介质管理系统对以上注册的 这四种介质类型，均提供丰富的生命周期管理策略，帮助您解这四种介质类型，均提供丰富的生命周期管理策略，帮助您解 决通过使用次数进行管控

13、，使用时间进行约束等策略问题。决通过使用次数进行管控，使用时间进行约束等策略问题。 特权U盘主要是为了解决某些特殊用途的移动存储介质不方便进行加密初 始化操作，因为加密初始化将使得该介质在未安装终端监控引擎的计算机 或者设备上无法识别。此种情况下可以采取为特权U盘管理模式。 我们建议用户在部署我们建议用户在部署LanSecS USB移动存储介质管理系统时，移动存储介质管理系统时， 除非在特殊的应用环境下，应尽量避免特权除非在特殊的应用环境下，应尽量避免特权U盘这种移动存储介盘这种移动存储介 质管理模式，因为该管理模式仍会给内网带来一定的安全风险。质管理模式，因为该管理模式仍会给内网带来一定的安

14、全风险。 LanSecS USB移动存储介质解决方案（八）移动存储介质解决方案（八） l特权特权U U盘管理盘管理 LanSecS USB移动存储介质解决方案（九）移动存储介质解决方案（九） l根据根据SEISEI实际情况我方建议采用本地部署方式实际情况我方建议采用本地部署方式 本地部署是本系统最常见的部署方式。适用于计算机终端数量不多（例如，小 于10000台）并希望对所有终端计算机进行集中管理的用户环境。在该部署方 式下，所有的计算机终端注册到同一个总控中心。本地部署的优点是可以在一 个系统管理中心监控到内网中所有计算机的活动状况。 LanSecS USB移动存储介质解决方案（十）移动存储

15、介质解决方案（十） l自身安全性自身安全性 n总控中心安全性总控中心安全性 总控中心作为系统的集中服务提供部件，一旦停止服务或者被恶意破坏， 对整个安全管理系统的影响十分巨大。 n终端监控引擎安全性终端监控引擎安全性 终端监控引擎作为位于计算机终端上的监控程序，完成大部分的监控、 审计、告警功能。一旦终端监控引擎被破坏，便无法对计算机终端进行 监控。 n数据库安全性数据库安全性 数据库是监控引擎信息、主机信息、监控引擎策略、审计信息和告警信 息等的集中存储仓库，因此数据库数据安全和数据库安全也非常重要。 LanSecS USB移动存储介质解决方案（十）移动存储介质解决方案（十） l自身安全性自

16、身安全性 n策略安全性策略安全性 策略是指导终端监控引擎如何工作的核心，因此，策略的安全性不容忽 视。策略的安全性包括策略订单产生的安全性、策略传递的安全性和策 略存储的安全性 n组件通讯安全性组件通讯安全性 终端监控引擎与总控中心之间的通讯包括策略传递、审计上报和报警上 报等。 目录目录 Page 19 4关于圣博润及案例分享关于圣博润及案例分享 3产品优势产品优势 2LanSecS USB移动存储介质解决方案移动存储介质解决方案 1USB移动存储介质面临的问题移动存储介质面临的问题 产品优势产品优势 u系统采用了先进的分层设计思想，将总控中心分为数据层、业务层、 网络访问层三个逻辑层，不同

17、层之间通过中间件无缝组合在一起。使得 系统的性能得到极大的提高。 u系统采用了稳定的第三方技术，成熟的中间件和国际标准的通讯协议 确保了稳定的系统性能。 uLanSecSUSB移动存储介质管理系统的终端监控引擎具有良好的系统 和软件兼容性，可尽最大限度地保护用户的资产投资。 u系统设计和开发时采取了多套方案以保障系统运行的可靠性。 目录目录 Page 21 4关于圣博润及案例分享关于圣博润及案例分享 3产品优势产品优势 2LanSecS USB移动存储介质解决方案移动存储介质解决方案 1USB移动存储介质面临的问题移动存储介质面临的问题 关于圣博润关于圣博润 公司成立于公司成立于2000年年

18、注册资金：注册资金：1090万元万元 公司总人数：公司总人数：300人人 v 公司总部设于北京，在上海设有华东分公司，在昆明、济南、杭公司总部设于北京，在上海设有华东分公司，在昆明、济南、杭 州、长沙、南昌、南京、武汉、沈阳、合肥、广州、乌鲁木齐、州、长沙、南昌、南京、武汉、沈阳、合肥、广州、乌鲁木齐、 昆明、郑州、长春、成都设有技术服务中心及办事处昆明、郑州、长春、成都设有技术服务中心及办事处 关于圣博润关于圣博润 案例一案例一 中国人民银行长沙中心支行中国人民银行长沙中心支行 n单台服务器统一管理3900台终端计算机，注册移动存储介质 2400个 n采用了集中部署，分权管理思路 n全网启动

19、接入认证功能 n完成与信息资产监控管理平台（中联公司）接口开发，包括： 终端信息资产同步接口、报警及审计日志接口、补丁更新信 息接口等。 n主要解决准入控制管理、移动存储介质管理、资产管理、防 病毒监控、文件操作及内容审计等问题，USB移动存储介质管 理如下： 1. 对网内3900台终端设备安装终端代理，下发“未经注册USB移动存 储介质管理”策略。其目的保证外来未经授权USB移动存储介质禁 止接入内网，保证信息不被外泄和病毒流入的风险。 2. 对网内2400个U盘进行集中加密注册管理。其目的是保证网内注册U 盘不得在外网使用，保证单位内部数据不外泄的目标。 3. 采用多发区U盘方式，实现内网与外网数据交换的目的，同时也保 证了“安全信息不外泄，病毒蠕虫进不来”的目的。 案例二案例二 国家发改委电子政务外网国家发改委电子政务外网 国家信息中心国家电子政务外网终端近1000台，LanSecS USB移动存储介 质管理系统可根据全网终端终端安全管理需求制订安全管理策略，对所有 终端USB设备实施