引言

　　隨著國際互聯(lián)網(wǎng)的不斷發(fā)展，網(wǎng)絡已經(jīng)成為人們生活和工作的必要組成部分，在給人們生活和工作帶來方便快捷的同時，也為信息安全帶來了不同程度的隱患。為此，各級政府部門出于工作的特殊性和信息安全的考慮，在建設電子政務網(wǎng)的同時，將本部門的網(wǎng)絡建設成部門專用網(wǎng)絡或涉密網(wǎng)絡，它要求與互聯(lián)網(wǎng)進行嚴格的物理隔離，以此來解決網(wǎng)絡互聯(lián)互通造成的計算機失泄密、病毒感染、木馬侵入等安全問題。

　　然而， 隨著存儲技術突飛猛進的發(fā)展，U盤、移動硬盤、手機、數(shù)碼相機、攝像機、iPod、MP3/MP4、PDA、各種CF/MD/SD/Flash Disk等移動存儲設備(以下統(tǒng)稱U盤)由于其體積小、攜帶方便、存儲量大、使用靈活等特點，迅速得到廣泛應用。根據(jù)對典型USB設備的產(chǎn)品銷售進行測算，當前全球使用中的各類移動存儲設備超過30億個，U盤在帶給用戶使用便捷的同時， 已經(jīng)成為了計算機病毒傳播及信息泄密的首要途徑。

一 U盤的安全隱患

　　近年來，U盤帶來的安全隱患在政府部門專網(wǎng)更顯突 ，其安全主要表現(xiàn)在：

　　(1) U盤的交叉使用

　　由于普通U盤只是一個不受控的存儲介質(zhì)，可以在任何計算機上使用。因此，它可以有意無意地在政府部門專網(wǎng)(內(nèi)網(wǎng))或互聯(lián)網(wǎng)(外網(wǎng))上交叉使用；或在涉密計算機和非涉密計算機間交叉使用。一旦發(fā)生交叉使用的違規(guī)事件，涉密文件極有可能被非法拷貝，造成失泄密。

　　(2) 木馬擺渡

　　普通U盤通過在內(nèi)網(wǎng)和外網(wǎng)問的交叉使用，為木馬擺渡突破政府部門專網(wǎng)的“物理隔離”提供了條件。在政府部門專網(wǎng)的計算機上，木馬先將文件拷貝到U盤，一旦該U盤插入到聯(lián)接互聯(lián)網(wǎng)的計算機時，木馬就會將拷貝出來的文件通過互聯(lián)網(wǎng)發(fā)送出去。

　　(3) 病毒傳播

　　感染病毒的計算機會將病毒感染到U盤，一旦該U盤插入到其他計算機上，就會造成無毒計算機感染病毒。如此反復，相互感染，從而引發(fā)整個網(wǎng)絡的病毒感染，造成系統(tǒng)損壞、數(shù)據(jù)丟失、死機，甚至整個網(wǎng)絡癱瘓。

　　(4) 無法審計

　　普通U盤無論在政府部門專網(wǎng)還是在互聯(lián)網(wǎng)上使用，即使主動進行違規(guī)操作，也無法進行有效的審計和取證。

　　(5)丟失被盜

　　如果U盤丟失或被盜，其保存的涉密信息將會丟失，造成信息泄密。

二 專網(wǎng)安全U盤的相關技術

　　政府部門專網(wǎng)安全U盤區(qū)別于普通U盤主要采用了以下關鍵技術。

　　2.1 安全U盤的特有分類

　　根據(jù)政府部門專網(wǎng)的特點和安全保密要求，安全U盤依其使用方式的不同，可分為3類：內(nèi)網(wǎng)專用盤，限在政府部門專網(wǎng)內(nèi)終端之間進行數(shù)據(jù)信息交換；單向?qū)�入盤，可將外網(wǎng)數(shù)據(jù)信息單向?qū)�人到政府部門專網(wǎng)內(nèi)；雙向交換盤，可在政府部門專網(wǎng)與外網(wǎng)之間相互交換數(shù)據(jù)信息。

　　2.2 安全U盤特殊分區(qū)技術

　　安全U盤在硬件上采用了不同的芯片組(不同于普通U盤的一組芯片)，分為3個獨立的存儲空間：CDROM區(qū)+黑匣子區(qū)+安全存儲區(qū)。

　　CDROM區(qū)。該區(qū)存儲私有的安全U盤引導系統(tǒng)和專用安全資源管理器，且具有CDROM的只讀屬性。

　　黑匣子區(qū)。該區(qū)記錄該安全U盤的所有操作，即：何時、何人、哪臺計算機、哪些操作(拷入/拷出/新建，刪除/更名)、哪些文件、文件大小等。黑匣子區(qū)不影響使用者的正常使用，且基于獨立的芯片存儲，用戶不可見。因此。用戶無法對它的任何數(shù)據(jù)進行刪除、復制、修改等操作，同時也不會被格式化所清除。黑匣子區(qū)又可分為保護區(qū)和日志區(qū)，保護區(qū)主要保存U盤標簽信息、U盤的硬件序列號、U盤密鑰加密塊；日志區(qū)用于保存用戶對U盤文件操作的日志。

　　安全存儲區(qū)。該區(qū)是用戶存儲數(shù)據(jù)的區(qū)域。在認證通過后，由CDROM 區(qū)的安全U盤引導系統(tǒng)通過虛擬化運行，由獨立資源管理器以私有文件系統(tǒng)的方式進行加載，然后以安全存儲技術保存用戶數(shù)據(jù)。該區(qū)域在Windows資源管理器中無U盤盤符顯示。

　　2.3 私有文件系統(tǒng)技術

　　安全U盤內(nèi)置了私有文件系統(tǒng)，它是區(qū)別于Windows的常用文件系統(tǒng)，該文件系統(tǒng)只能由內(nèi)置的獨立資源管理器加載和識別，因此，Windows資源管理器無法對安全U盤內(nèi)的文件進行操作訪問，盤內(nèi)的文件操作須在獨立資源管理器中完成。私有文件系統(tǒng)的應用，無誤差地實現(xiàn)了安全U盤內(nèi)文件操作的使用審計。

　　2.4 主動防病毒技術

　　CDROM 區(qū)防病毒。安全U盤插入計算機后，在Windows資源管理器中顯示的不是普通U盤盤符，而是一個虛擬化運行的CDROM盤符。由于CDROM盤的只讀特性，保存在CDROM區(qū)的安全U盤引導系統(tǒng)不會被感染任何病毒或木馬。

　　安全存儲區(qū)防病毒。一般地，U盤病毒大都以可執(zhí)行代碼的方式存在，附著在可執(zhí)行程序(包括.exe；.com；.bad；.inf；.dlV；.sys各種腳文中件等)中，一旦運行可執(zhí)行程序，病毒將實施傳播。安全U盤的私有文件系統(tǒng)和獨立資源管理器可以主動禁止直接打開U盤內(nèi)的任何文件(禁止直接從U盤運行)，實現(xiàn)對U盤病毒的主動防御。

　　安全U盤在經(jīng)過有效的身份認證之前，Windows資源管理器不能對安全存儲區(qū)進行任何操作，身份認證通過之后，安全存儲區(qū)在計算機上也不顯示任何盤符，此時只能通過CDROM區(qū)的專用安全資源管理器對安全存儲區(qū)進行文件拷貝、刪除等操作。由于安全U盤在Windows資源管理器不顯示任何盤符，因此可以徹底防范病毒和木馬的感染。

　　2.5 加密存儲技術

　　安全存儲區(qū)的存儲和讀取由CDROM區(qū)的專用安全資源管理器，通過國家密碼管理局公布的SMS4加密算法和私有密鑰進行全盤數(shù)據(jù)加密，并采用私有的文件系統(tǒng)方式進行操作。保證安全U盤即使被暴力拆開后，讀取其Flash芯片也不能恢復原有文件。同時，所有的安全U盤須通過密鑰管理中心進行密鑰初始化，方能在政府部門專網(wǎng)上注冊使用。因此，安全U盤的密鑰由密鑰管理中心統(tǒng)一管理，每一個安全U盤都具備唯一的密鑰，即使是安全U盤的生產(chǎn)廠家也無法破解U盤。

　　2.6 自鎖技術

　　安全U盤采用密碼進行保護，并可要求密碼必須具備一定強度才能使用(例如8位以上，字母分大小寫、數(shù)字、標點符號中有2或3個以上)。密碼輸入錯誤次數(shù)超限(例如10次)，則自動鎖定該安全U盤，禁止繼續(xù)使用。

　　2.7 防U盤克隆破解技術

　　目前市面上有不少燒盤工具，可以輕易克隆出一個同樣的U盤。為了防止這種情況的出現(xiàn)，安全U盤的數(shù)據(jù)每一次讀寫都需要進行身份認證，所有未授權(quán)的讀寫都會被拒絕，因此安全U盤無法被克隆。安全U盤通過對關鍵代碼和敏感處理程序進行虛擬機處理和代碼混淆處理，來防止對程序與算法的破解。同時，對U盤硬件信息進行隱藏，有效防范目標性極強的黑客和攻擊者針對特定硬件進行攻擊。

　　2.8 互聯(lián)網(wǎng)告警技術

　　安全U盤插入計算機后，其CDROM區(qū)的安全U盤引導系統(tǒng)會自動檢測當前計算機是否連接到互聯(lián)網(wǎng)，如果已經(jīng)連接則禁止打開安全U盤。如果打開安全U盤后，計算機再連接到互聯(lián)網(wǎng)，則安全U盤會強制關閉。如有需要，安全U盤還可強行切斷計算機與互聯(lián)網(wǎng)的連接，同時向監(jiān)控中心報警。

三 應用管理

　　以上這些安全U盤關鍵技術的應用，有效防范了U盤使用過程中的安全隱患，但在應用過程中還需建立安全U盤管理系統(tǒng)，對安全U盤實施有效管理，實現(xiàn)技術和管理、硬件和軟件的有機統(tǒng)一，才能更好地發(fā)揮其作用。

　　3.1 對非政府部門專網(wǎng)的U盤進行使用控制

　　控制外來U盤在政府部門專網(wǎng)上使用，是實現(xiàn)U盤管理的首要任務。安全U盤管理系統(tǒng)通過對計算機加載的U盤進行身份匹配，如果U盤無法通過主機端認證，將被拒絕使用。

　　3.2 U盤與主機雙向認證

　　主機端認證主要包括兩個方面，一方面，安全U盤對政府部門專網(wǎng)的檢測，另一方面，政府部門專網(wǎng)對安全U盤的認證。安全U盤會對政府部門專網(wǎng)計算機的完整性和數(shù)字簽名證書進行檢測，安全U盤系統(tǒng)也會對安全U盤進行完整性和數(shù)字簽名證書驗證，保證了攻擊者無法通過模擬政府部門專網(wǎng)環(huán)境竊取U盤內(nèi)文件和模擬安全U盤進入政府部門專網(wǎng)進行竊密。

　　3.3 安全U盤生命周期控制

　　安全U盤在政府部門專網(wǎng)的注冊、審計及注銷等使用生命周期控制，均通過政府部門專網(wǎng)的PKI進行管理。

　　注冊。安全U盤管理系統(tǒng)部署后，每個安全U盤必須通過系統(tǒng)注冊后才能被系統(tǒng)加載使用。注冊時可與CA證書同時使用，將CA證書信息寫入安全U盤，以確定安全U盤使用身份的唯一性。所有注冊信息全部自動記錄在管理系統(tǒng)中，無需手工登記，所有的安全U盤注冊信息將自動上傳到服務器進行集中管理。

　　審計。安全U盤在使用過程中所產(chǎn)生的各種使用日志，均與注冊時捆綁的CA證書一同上傳至服務器，實現(xiàn)安全U盤使用日志與具體使用人關聯(lián)。

　　注銷。安全U 盤存政府部門專網(wǎng)的使用做注銷處理時，也需要將安全U盤與捆綁注冊的CA證書同時使用。注銷時，系統(tǒng)會自動將安全U盤內(nèi)所有的數(shù)據(jù)進行粉碎，并清除U盤內(nèi)的電子標簽。

　　3.4 安全U盤使用控制

　　安全U盤共分為3類，其中安全U盤管理系統(tǒng)可直接控制內(nèi)網(wǎng)專用U盤和單向?qū)�入盤的是否可用。雙向交換盤的使用策略可以由安全U盤管理系統(tǒng)來進行靈活配置。雙向交換盤分為內(nèi)網(wǎng)區(qū)、交換區(qū)，根據(jù)實際需要，系統(tǒng)可對它做相應的管理策略：交換區(qū)讀寫方式可被設置為單向?qū)�人、單向�(qū)С觥㈦p向交換、禁止交換4種狀態(tài)。

　　3.5 其他安全管理

　　除了對安全U盤的管理外，安全U盤管理系統(tǒng)還可以對利用“手機同步軟件” 、“虛擬機軟件”實施涉密文件拷貝、刪除的手段進行有效管理：

　　(1)手機同步軟件控制。某些類型的手機可以在計算機上安裝特定的同步軟件后，手機的存儲卡不再是以U盤盤符出現(xiàn)，而是表現(xiàn)為手機同步軟件中的特殊文件夾，通過對此特殊文件夾的操作，使用者就可在計算機和手機之間進行數(shù)據(jù)交換。安全U盤管理系統(tǒng)就是對此類特殊文件夾進行控制，從而有效防止利用手機同步軟件進行文件拷貝和交換 。

　　(2)虛擬機軟件控制。在計算機(暫稱主機)上安裝VMWare等虛擬機系統(tǒng)軟件后，可以在主機中虛擬出其他的計算機(暫稱虛擬機)，插入主機的U盤可以在虛擬機中進行各種文件操作。使用者可以將主機中的文件拷貝到虛擬機中，然后再從虛擬機中將文件拷貝到U盤，逃脫監(jiān)管。安全U盤管理系統(tǒng)通過對虛擬機軟件進行有效的管理和控制，從而可以防止使用者利用虛擬機軟件在計算機和U盤間進行文件交換。

　　(3)系統(tǒng)還原功能控制。Windows XP以上操作系統(tǒng)中有一個功能叫做“系統(tǒng)還原”，通過建立系統(tǒng)還原點，用戶可以將系統(tǒng)還原到某個特定時間或事件發(fā)生之前的狀態(tài)。用戶可以在安裝U盤管理系統(tǒng)之前，創(chuàng)建一個系統(tǒng)還原點A；在安裝了U盤管理系統(tǒng)之后，創(chuàng)建一個系統(tǒng)還原點B，用戶可以隨時將系統(tǒng)調(diào)入到系統(tǒng)還原點A，違規(guī)使用U盤后，再將系統(tǒng)調(diào)回到系統(tǒng)還原點B，從而逃脫監(jiān)管。安全U盤管理系統(tǒng)可強制禁止“系統(tǒng)還原”功能，防止上述漏洞發(fā)生。

四 結(jié)語

　　政府部門專網(wǎng)安全U盤從硬件構(gòu)成到技術的實現(xiàn)，全面地提高了U盤的使用安全性。同時，根據(jù)不同的使用場景設計不同類型的U盤，方便了管理。管理系統(tǒng)實現(xiàn)了安全U盤從注冊、配發(fā)、審計、安全策略設置等跟蹤管理。通過安全U盤在政府部門專網(wǎng)的廣泛使用和應用的集中管理，必將有效防止由于U盤交叉使用而造成的病毒感染、掛馬、失泄密等安全隱患，為政府部門專網(wǎng)的安全提供堅強保障。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：淺析專網(wǎng)安全U盤技術和應用管理

本文網(wǎng)址：http://www.ezxoed.cn/html/support/1112153943.html