光盘刻录监控与审计系统-技术白皮书

1、 光盘刻录监控与审计系统技术白皮书光盘刻录监控与审计系统技术白皮书7目 录.1. 产品背景3.2. 现有涉密网cd/dvd 的平安性分析3.3. rier 光盘刻录监控与审计系统解决的平安问题与技术43.1. rier 光盘刻录监控与审计系统解决的平安问题43.2. rier 光盘刻录监控与审计系统核心技术5.4. 产品的组成与版本5.5. 系统部署65.1. 在 rier keysafety 环境下部署65.2. 在非rier keysafety 环境下部署6.1. 产品背景近年来，随着信息技术的进展，存储介质作为信息的载体，在各行各业信息化应用中起到格外重要的作用，其平安性和牢靠性越来越引

2、起人们的重视。特别是移动存储介质因其通用性强、存储量大、体积小、易携带等特点而得到广泛使用。移动存储介质大量使用主要有二个目的：（1）敏感信息不宜存放在计算机主机中；（2）数据交换便利。移动存储设备使用的便利性也带来了数据拷贝不受限、违规交叉使用等新状况的消灭，对设备平安、数据平安等保密治理带来了新问题。存储介质在涉密网中的平安尤为重要，在最近几年的重大的泄密大事中，大部分的泄密大事是大事当是人通过移动存储介质有意或无意泄密。涉密信息系统在最近的网络平安建设中，比较重视涉密终端的平安防护，譬如：规划并建设主机审计系统、计算机终端综合防护系统、移动 u 盘平安治理系统等，但却忽视了另外一种移动存

3、储介质cd/dvd 刻录的平安与 cd/dvd 介质的治理。在涉密信息系统中，国家保密有关标准(bmb17)中，明确指出移动存储介质指的是软盘、光盘、磁带、usb 盘等存储介质。软盘已经渐渐从系统淡出，对于软盘的把握只需要把握软驱即可，而磁带机等设备一般比较贵重，也比较浩大， 在涉密信息系统中，做好设备接入把握并从制度上治理磁带即可防止因磁带造成的信息泄密。因此，在涉密信息系统最简洁造成信息泄密的介质为： cd/dvd 刻录及 cd/dvd 盘片以及移动 usb 存储设备。在大部分涉密信息系统中，禁止用户使用usb 存储设备，但是为了涉密信息系统能便利地和非涉密信息系统进行信息交换，大部分涉密

4、单位部署了中间机， 承当信息交换的主要介质是 cd/dvd 盘片。实际上，中间机对刻录无任何平安爱护措施，中间机可能会成为信息系统泄密的集中的主要源头。rier 光盘刻录监控与审计系统是对 cd/dvd 刻录最佳的平安治理系统。.2. 现有涉密网 cd/dvd 的平安性分析作为移动存储介质重要成员 cd/dvd，在涉密信息系统中，其平安性往往被人所忽视。由于 cd/dvd 不像 usb 移动存储设备简洁将数据写入，cd/dvd 也成为中间机首选的数据交换介质。其平安隐患不被一般人所重视，实际上，cd/dvd 的使用同样会带来极大的平安风险。具体分析如下：（1） cd/dvd 驱动设备把握不够，

5、在涉密信息系统，非授权用户可以便利利用cd/dvd 驱动器读取非授权带有涉密信息的 cd/dvd 盘片；（2） 非授权的用户利用能具有使用 cd 的权限，使用刻录软件刻录涉密信息， 造成涉密信息泄密；（3） 合法的用户，利用刻录软件刻录涉密信息，泄密信息存放在 cd/dvd 盘片上，这些盘片没有任何爱护措施，简洁造成盘片的信息有意识或无意识的泄密；（4） 合法用户利用刻录软件刻录数据，无审计，不利于涉密信息的跟踪。.3. rier 光盘刻录监控与审计系统解决的平安问题与技术3.1. rier 光盘刻录监控与审计系统解决的平安问题rier 光盘刻录监控与审计系统，依据目前 cd/dvd 驱动器在

6、使用存在的平安隐患，提出了牢靠的平安解决方案，本系统主要解决以下问题：(1) 用户能使用 cd/dvd 驱动器权限下，除了本系统供应的刻录软件外，禁止使用任何的刻录软件来刻录数据；(2) 本系统供应特地的刻录软件来刻录数据，可以对用户授权是否能使用该软件；(3) 本系统提供应刻录软件可以刻录两种类型的光盘：一般光盘、平安光盘（特别格式化的光盘）；(4) 用户使用特地的刻录软件刻录数据，可以对用户刻录数据的行为进行审计， 其中包括审计用户刻录的文件名的全路径，刻录的格式（一般、平安），刻录后的文件路径，以及光盘的卷标等信息。rier 光盘刻录监控与审计系统的策略如下图：允许使用cd/dvd设备除

7、锐尔刻录工具外，禁用其他刻录工具无权使用锐尔刻录工具有权使用锐尔刻录工具平安审计一般格式刻录 平安格式刻录可信cd/dvd 刻录平安治理策略示意图3.2. rier 光盘刻录监控与审计系统核心技术rier 光盘刻录监控与审计系统核心技术主要有三大技术：（1） 驱动把握，从驱动层把握把握数据写入光盘技术（2） 自有刻录工具（3） 虚拟驱动光盘数据存储格式转换，以及特别格式的光盘虚拟驱动加载技术.4. 产品的组成与版本1、系统的组成系统由以下部分组成：（1） 治理平台l 平安治理、授权和审计三权分别原则，实现对系统进行治理l 报警治理与报警终端l 系统版本把握与升级治理l 审计日志治理与统计报表（

8、2） 客户端l cd/dvd 设备治理l 刻录把握l 可信刻录工具l 可信光盘 cd/dvd 加载程序2、系统版本系统的版本号为：v2.6。系统具有两个版本： 网络版本和单机版本。3、操作系统win2k/winxp/win2003/等。.5. 系统部署rier 光盘刻录监控与审计系统的部署方式有两种模式：其一，已经部署了“rier keysafety 平安登录与监控审计系统”系统用户；其二，没有部署“ rier keysafety”系统。5.1. 在 rier keysafety 环境下部署rier keysafety 属于身份鉴别类和终端平安登录与监控审计类产品，该系统集平安家份认证、计算机

9、外设把握、平安审计等技术于一体，实现对终端系统进行平安治理。该系统由服务端和客户端软件组成，系统具有软件自动升级的功能。对于已经部署 rier keysafety 的用户，只需要对 keysafety 服务器软件和客户端软件升级即可。5.2. 在非 rier keysafety 环境下部署在非rier keysafety 环境下典型的部署如下图：数据库及服务程序报警终端治理中心平台客户端客户端 可信刻录工具客户端 可信刻录工具不带可信刻录的客户端结构说明：（1） 系统是典型的 c/s 架构，数据库及治理中心客户端也是 c/s 部署结构。但不管是治理中心的客户端还是受控的客户端，客户端和数据库的交互是接受三级结构来实现的，即：客户端通信服务数据库。（2） 治理中心客户端和报警终端可以和数据库以及服务分