?產(chǎn)品介紹

·移動存儲介質(zhì)數(shù)據(jù)交換引發(fā)的安全問題 
        移動存儲介質(zhì)，如U盤、移動硬盤等，因其體積小、容量大等優(yōu)點(diǎn)，已得到廣泛應(yīng)用。作為數(shù)據(jù)交換的主要手段之一，移動存儲介質(zhì)正成為數(shù)據(jù)和信息的重要載體，但是我們也應(yīng)該看到，移動存儲設(shè)備在給我們帶來極大方便的同時(shí)，也給我們帶來了不少的安全隱患，主要如下：
1.涉密計(jì)算機(jī)接入非涉密移動存儲設(shè)備；
2.非涉密計(jì)算機(jī)使用涉密移動存儲設(shè)備；
3.移動存儲介質(zhì)的數(shù)據(jù)交互審計(jì)；
4.外來移動存儲介質(zhì)隨意接入問題；
5.移動存儲介質(zhì)丟失導(dǎo)致信息泄漏；
6.移動存儲介質(zhì)的使用信息無法追蹤審計(jì)問題；
7.移動存儲介質(zhì)接入?yún)^(qū)域限制和控制問題；
8.病毒、惡意代碼通過移動存儲介質(zhì)傳播問題。

·技術(shù)特點(diǎn)及應(yīng)用
1、 分級權(quán)限控制
        通過對移動存儲介質(zhì)寫入兩種不同控制權(quán)限及功能的標(biāo)簽，來實(shí)現(xiàn)分級權(quán)限的控制，并對指定范圍內(nèi)的終端授權(quán)，通過策略與標(biāo)簽的配合來實(shí)現(xiàn)對移動存儲介質(zhì)的控制。注，對移動存儲介質(zhì)格式化無法去除標(biāo)簽。普通標(biāo)簽：寫入普通標(biāo)簽后，在管理區(qū)域內(nèi)根據(jù)策略的設(shè)置，來限制移動存儲介質(zhì)的讀、寫功能；如果在管理區(qū)域外使用移動存儲介質(zhì)認(rèn)證，則不限制移動存儲介質(zhì)認(rèn)證讀、寫功能。加密標(biāo)簽：寫入加密標(biāo)簽后將普通移動存儲介質(zhì)（U盤、移動硬盤等）分為二個可控制的區(qū)域：交換區(qū)、保密區(qū)。涉密網(wǎng)絡(luò)可只生成保密區(qū)。交換區(qū)和保密區(qū)啟動均需輸入獨(dú)立的密碼，數(shù)據(jù)在二個區(qū)存儲時(shí)均以加密方式存儲，這兩個區(qū)的具體應(yīng)用如下：
（1）在涉密網(wǎng)絡(luò)中或高要求的辦公網(wǎng)絡(luò)中，可只生成保密區(qū)一個區(qū)。該保密區(qū)只能在有對應(yīng)安全策略的主機(jī)上通過認(rèn)證標(biāo)簽后、同時(shí)輸入正確密碼才能訪問，同時(shí)有安全策略的主機(jī)可以根據(jù)策略控制未經(jīng)標(biāo)簽認(rèn)證的移動存儲介質(zhì)的使用。
（2）在普通辦公網(wǎng)絡(luò)中，可生成交換區(qū)、保密區(qū)二個區(qū)。保密區(qū)的使用方法，可與上述涉密網(wǎng)絡(luò)或高要求的辦公網(wǎng)絡(luò)相同。交換區(qū)的使用方法，可以根據(jù)用戶需要，在內(nèi)部網(wǎng)絡(luò)中通過策略限制使用方式，交換區(qū)在外網(wǎng)使用時(shí)同樣要輸入密碼方可使用，保密區(qū)在外網(wǎng)不可見。
2、 審計(jì)功能完善
1) 提供移動存儲介質(zhì)上所有文件操作的詳細(xì)記錄
包括文件的創(chuàng)建、復(fù)制、刪除、讀寫和重命名等操作，具體包括文件名、審計(jì)描述、時(shí)間、用戶名、計(jì)算機(jī)IP地址和其他必要的信息。
2) 提供移動存儲介質(zhì)的插入和拔出動作的詳細(xì)記錄
具體包括事件類型、移動存儲介質(zhì)的名稱、用戶、計(jì)算機(jī)IP地址、事件時(shí)間等。

·系統(tǒng)功能描述
1.移動存儲設(shè)備（分設(shè)備、網(wǎng)段等）接入認(rèn)證管理，保障指定設(shè)備讀寫指定移動存儲設(shè)備的訪問控制管理；
2.移動存儲介質(zhì)數(shù)據(jù)讀寫控制管理；
3.移動存儲介質(zhì)標(biāo)簽認(rèn)證管理；
4.移動存儲介質(zhì)分區(qū)（交換區(qū)和保密區(qū)）管理；
5.移動存儲介質(zhì)的加密管理，防止保密區(qū)的敏感信息外泄；
6.移動存儲介質(zhì)接入行為審計(jì)；
7.移動存儲介質(zhì)數(shù)據(jù)交換行為審計(jì)管理，可針對文件后綴名等條件；
8.提供詳細(xì)的文件操作詳細(xì)審計(jì)記錄：包括文件的創(chuàng)建、復(fù)制、刪除、修改和重命名等操作，（包括文件名、審計(jì)描述、時(shí)間、用戶名、計(jì)算機(jī)IP地址和其他必要的信息）；
9.提供詳細(xì)的移動存儲設(shè)備的插入和拔出動作的詳細(xì)記錄，具體包括事件類型、移動存儲介質(zhì)的名稱、用戶、計(jì)算機(jī)IP地址和事件時(shí)間。

·系統(tǒng)管理構(gòu)架
        北信源移動存儲介質(zhì)管理系統(tǒng)和其它系統(tǒng)均采用相同的管理構(gòu)架，由服務(wù)端制訂統(tǒng)一的策略，分發(fā)給客戶端執(zhí)行。系統(tǒng)有USB標(biāo)簽制作工具，通過對移動存儲介質(zhì)制作標(biāo)簽可以實(shí)現(xiàn)對移動存儲介質(zhì)中的數(shù)據(jù)進(jìn)行保護(hù)和加密，對移動存儲介質(zhì)進(jìn)行使用范圍授權(quán)，訪問控制等綜合的管理。移動存儲介質(zhì)使用管理系統(tǒng)可以將整個移動存儲介質(zhì)劃分成交換區(qū)和保密區(qū)兩部分，保護(hù)區(qū)需要通過密碼認(rèn)證才可以訪問。系統(tǒng)具體使用管理構(gòu)架如下：
1、系統(tǒng)服務(wù)器端：系統(tǒng)管理中心基于web頁面管理方式，管理員登陸和配置后系統(tǒng)才能運(yùn)行。能夠自動發(fā)現(xiàn)網(wǎng)絡(luò)中的終端計(jì)算機(jī)，并檢測終端計(jì)算機(jī)是否安裝系統(tǒng)客戶端程序，管理中心內(nèi)置移動存儲管理策略中心和報(bào)警中心，提供對網(wǎng)絡(luò)終端的分組管理設(shè)置。
2、系統(tǒng)客戶端：安裝在終端計(jì)算機(jī)，接收系統(tǒng)管理中心分發(fā)的策略，根據(jù)接受策略實(shí)時(shí)監(jiān)控接入終端計(jì)算機(jī)移動存儲設(shè)備的操作行為和狀態(tài)，并進(jìn)行管理或者控制；系統(tǒng)客戶端注冊以后，即使離開所在網(wǎng)絡(luò)或不處于任務(wù)網(wǎng)絡(luò)中，仍實(shí)時(shí)受到移動存儲管理策略控制，日志記錄于本地，一經(jīng)連接回網(wǎng)絡(luò)，則自動上報(bào)日志信息給服務(wù)器。
3、專用移動存儲設(shè)備注冊工具：移動存儲介質(zhì)經(jīng)過網(wǎng)管人員注冊（包括打標(biāo)簽、設(shè)置訪問密碼）工具認(rèn)證后，該移動存儲介質(zhì)才能在網(wǎng)絡(luò)中使用。使用者在使用時(shí)必須輸入使用密碼后才能使用。
        系統(tǒng)以數(shù)據(jù)為中心，用戶作為數(shù)據(jù)的使用者，主機(jī)作為數(shù)據(jù)的存儲者，移動存儲介質(zhì)作為數(shù)據(jù)的遷移者，在系統(tǒng)范圍內(nèi)均賦予唯一的標(biāo)識，三者進(jìn)行相互認(rèn)證。只有經(jīng)認(rèn)證和授權(quán)成功后，才保證合法的用戶在合法的機(jī)器上訪問合法移動存儲介質(zhì)上的數(shù)據(jù)，并形成詳盡的日志供審計(jì)。