浅析内网安全U盘技术解决方案

#/6浅析内网安全盘技术解决方案为了保障信息安全，各级政府部门建立了与互联网进行物理隔离的部门专用网络，以此解决网络互联互通造成的失泄密、病毒感染、木马侵入等问题。然而，由于移动存储介质的方便快捷，在互联网和专用网络间交叉使用，给信息安全带来了新的威胁和挑战。文中分析了盘的使用给政府专网带来的安全隐患，引入了专网安全盘的概念，给出了专网安全盘的相关技术和应用管理，以此来规范和保障移动存储介质的安全随着存储技术突飞猛进的发展，盘、移动硬盘、手机、数码相机、摄像机、、、、各种等移动存储设备以下统称盘由于其体积小、携带方便、存储量大、使用灵活等特点，迅速得到广泛应用。根据对典型设备的产品销售进行测算，当前全球使用中的各类移动存储设备超过亿个，盘在带给用户使用便捷的同时，已经成为了计算机病毒传播及信息泄密的首要途径。一盘的安全隐患近年来，盘带来的安全隐患在政府部门专网更显突，其安全主要表现在：盘的交叉使用由于普通盘只是一个不受控的存储介质，可以在任何计算机上使用。因此，它可以有意无意地在政府部门专网内网或互联网外网上交叉使用；或在涉密计算机和非涉密计算机间交叉使用。一旦发生交叉使用的违规事件，涉密文件极有可能被非法拷贝，造成失泄密。木马摆渡普通盘通过在内网和外网问的交叉使用，为木马摆渡突破政府部门专网的“物理隔离”提供了条件。在政府部门专网的计算机上，木马先将文件拷贝到盘，一旦该盘插入到联接互联网的计算机时，木马就会将拷贝出来的文件通过互联网发送出去。病毒传播感染病毒的计算机会将病毒感染到盘，一旦该盘插入到其他计算机上，就会造成无毒计算机感染病毒。如此反复，相互感染，从而引发整个网络的病毒感染，造成系统损坏、数据丢失、死机，甚至整个网络瘫痪。无法审计普通盘无论在政府部门专网还是在互联网上使用，即使主动进行违规操作，也无法进行有效的审计和取证。丢失被盗如果盘丢失或被盗，其保存的涉密信息将会丢失，造成信息泄密。二专网安全盘的相关技术政府部门专网安全盘区别于普通盘主要采用了以下关键技术。安全盘的特有分类根据政府部门专网的特点和安全保密要求，安全盘依其使用方式的不同，可分为类：内网专用盘，限在政府部门专网内终端之间进行数据信息交换；单向导入盘，可将外网数据信息单向导人到政府部门专网内；双向交换盘，可在政府部门专网与外网之间相互交换数据信息。安全盘特殊分区技术安全盘在硬件上采用了不同的芯片组不同于普通盘的一组芯片）分为个独立的存储空间：区黑匣子区安全存储区。区。该区存储私有的安全盘引导系统和专用安全资源管理器，且具有的只读属性。黑匣子区。该区记录该安全盘的所有操作，即：何时、何人、哪台计算机、哪些操作拷入拷出新建，删除更名）哪些文件、文件大小等。黑匣子区不影响使用者的正常使用，且基于独立的芯片存储，用户不可见。因此。用户无法对它的任何数据进行删除、复制、修改等操作，同时也不会被格式化所清除。黑匣子区又可分为保护区和日志区，保护区主要保存盘标签信息、盘的硬件序列号、盘密钥加密块；日志区用于保存用户对盘文件操作的日志。安全存储区。该区是用户存储数据的区域。在认证通过后，由区的安全盘引导系统通过虚拟化运行，由独立资源管理器以私有文件系统的方式进行加载，然后以安全存储技术保存用户数据。该区域在资源管理器中无盘盘符显示。私有文件系统技术安全盘内置了私有文件系统，它是区别于的常用文件系统，该文件系统只能由内置的独立资源管理器加载和识别，因此，资源管理器无法对安全盘内的文件进行操作访问，盘内的文件操作须在独立资源管理器中完成。私有文件系统的应用，无误差地实现了安全盘内文件操作的使用审计。主动防病毒技术区防病毒。安全盘插入计算机后，在资源管理器中显示的不是普通盘盘符，而是一个虚拟化运行的盘符。由于盘的只读特性，保存在区的安全盘引导系统不会被感染任何病毒或木马。安全存储区防病毒。一般地，盘病毒大都以可执行代码的方式存在，附着在可执行程序（包括；；；；；各种脚文中件等）中，一旦运行可执行程序，病毒将实施传播。安全盘的私有文件系统和独立资源管理器可以主动禁止直接打开盘内的任何文件禁止直接从盘运行）实现对盘病毒的主动防御。更多咨询：郑经理安全盘在经过有效的身份认证之前，资源管理器不能对安全存储区进行任何操作，身份认证通过之后，安全存储区在计算机上也不显示任何盘符，此时只能通过区的专用安全资源管理器对安全存储区进行文件拷贝、删除等操作。由于安全盘在资源管理器不显示任何盘符，因此可以彻底防范病毒和木马的感染。加密存储技术安全存储区的存储和读取由区的专用安全资源管理器，通过国家密码管理局公布的、、、加密算法和私有密钥进行数据加密，并采用私有的文件系统方式进行操作。保证安全盘即使被暴力拆开后，读取其芯片也不能恢复原有文件。自锁技术安全盘采用密码进行保护，并可要求密码必须具备一定强度才能使用例如位以上，字母分大小写、数字、标点符号中有或个以上）密码输入错误次数超限例如次）则自动锁定该安全盘，禁止继续使用。防盘克隆破解技术目前市面上有不少烧盘工具，可以轻易克隆出一个同样的盘。为了防止这种情况的出现，安全盘的数据每一次读写都需要进行身份认证，所有未授权的读写都会被拒绝，因此安全盘无法被克隆。安全盘通过对关键代码和敏感处理程序进行虚拟机处理和代码混淆处理，来防止对程序与算法的破解。同时，对盘硬件信息进行隐藏，有效防范目标性极强的黑客和攻击者针对特定硬件进行攻击。互联网告警技术安全盘插入计算机后，其区的安全盘引导系统会自动检测当前计算机是否连接到互联网，如果已经连接则禁止打开安全盘。如果打开安全盘后，计算机再连接到互联网，则安全盘会强制关闭。如有需要，安全盘还可强行切断计算机与互联网的连接，同时向监控中心报警。三、专网安全盘技术方案：北京万协通信息技术有限公司依托在信息安全多年的技术积累，为了满足不同用户的需求，基于加密芯片推出一系列的专网安全盘解决方案，供技术分析和参考。采用安全芯片，此芯片作为完全国有知识产权的芯片已经通过了国家密码局的安全认证，符合国家相关技术要求，完全满足政府和军队对产品的要求。芯片内部架构该芯片不仅接口丰富，同时具备两个接口，这项技术为同方首创，为芯片的应用提供了一个更加灵活的平台。密钥存放在芯片内部，密码的认证也在芯片内部进行，具有超强的防破解能力。集成多种通信接口和多种信息安全算法（、、、、、等），可实现高度整合的单芯片解决方案。特点：硬件加密更加安全功能模块化高读写速度多种方案可供选择（）功能模块化万协通不仅提供加密盘的开发工具、成熟的接口、大量的函数的程序，同时也把很多加密盘的常用功能做了模块化处理，形成不同的功能包，用户可以根据需求选择功能包，组合成自己的产品。这种方式可以帮助用户节省了大量的研发与测试时间，快速的形成产品，占领市场。（）高读写速度影响加密盘读写速度的因素主要有两点：存储的读写速度，加密芯片的加解密速度。芯片的加解密速度三，远远高于目前存储的速度，不会影响到整个方案的性能。（）多种方案可供选择万协通针对盘的主要存储介质，出台三种技术方案，满足不同客户的需求。存储方案：USB2.0HS加密、NFCNandFlashUSB2.0HS加密、NFCNandFlashNFC接口）加密U盘利用芯片内部自带的控制功能和通过接口直接连接，此方案性能稳定，但是要针对不同品牌类型需要单独开发驱动程序，芯片产品更新换代很快，客户需要不断的更新驱动，后期研发改动成本较大。卡存储方案：

USB2.0HSUBB2'.0HS：:USB2.0HSUBB2'.0HS：:加密芯片 读卡器芯片 TF卡加密U盘加密芯片通过接口连接读卡器芯片，再由读卡器芯片控制后面的卡。只有具有双接口的才能做到为卡提供一个额外的接口。此方案产品稳定性较高，成本与方案相比会大大降低（卡的价格低于，卡不存在驱动升级的后期开发），卡安插在板上的卡槽内，不是焊接在板上，不同容量的产品插相对容量的即可，一个板实现多容量选择，容量灵活性很强。存储方案USB2.0HSUSB2.0HS加密芯片UDP加密USB2.0HSUSB2.0HS加密芯片UDP加密U盘加密芯片通过接口直接连接后面的模块，这类产品性能比较稳定，成本与卡方案相比还要低很多，是低成本加密盘方案的不二选择。三种方案的比较方案稳定性硬件成本存储驱动升级后期研发投入兼容性高高需要需要低卡高一般不需要不需要高较高低不需