前言
近年来,信息泄露事件的发生频率不断地增加,对政府、企业造成的损失和影响也在不断地扩大。为了防止企业或组织内部重要或敏感数据的丢失,很多用户购买了昂贵的网络防护设备,建立了比较完善的信息管理制度,但关键信息的泄露仍然没有被很好的制止。
众所周知,防火墙、IDS、内外网隔离以及其它针对外部网络的访问控制系统,
可有效防范来自网络外部的进攻,但对于企业内部的信息保密问题,却一直没有好的防范措施,因为内部人员可以轻松地将计算机中的机密信息通过网络、存储介质或打印等方式泄露出去,一旦这些敏感信息、重要数据、设计图纸等流失到敌对势力、竞争对手手中,将给国家、企、事业单位造成巨大的损失。
美国CSI/FBI的调查结果显示,政府机构以及企事业单位因重要信息被窃所造成的损失远远超过病毒感染和黑客攻击所造成的损失,80%以上的安全威胁来自内部。中国国家信息安全测评认证中心的调查结果也表明,信息安全问题主要来自泄密和内部人员犯罪,而非病毒和外来黑客引起。
由此可见,政府机关、承担国家敏感课题研究的科研部门,包括涉及更多国家机密的部门,对于涉密信息采取严密的防护措施显得尤为重要。目前,尽管国家制定了很多相关规章制度,并明确规定这些企事业单位的涉密计算机必须采取相应的安全防护措施,但是为了保障内部信息的安全,仅靠传统的行政管理措施已不能满足要求,必须依靠一些高科技的技术手段。
因此,如何保护政府机构以及企事业单位的信息资产,如何防范内部人员犯罪,以及发生信息泄漏事件之后如何进行取证已经成为今后信息安全建设的一个重要组成部分。针对这些新的安全问题,上海迅软信息科技有限公司研发了驱动级的USB安全存储专家USSE,志在为政府机关,企事业单位及个人用户提供USB端口的信息安全管理,让机密信息源头控制,使USB端口不再成为信息安全的隐患。
USSE基于C/S模式,通过USB 存储协议在Windows系统底层对存储设备进行读写控制,可自动识别USB存储设备类型。一旦USB存储设备插入到安装客户端的计算机中,客户端通过设备标识或者设备的序列号识别USB存储设备,按照已设定的存储设备控制策略的权限类型对USB存储设备进行读写控制,标准的USB存储设备(如U盘,移动硬盘等)可以设置成四个权限“阻止”、“只读”、“只写”、“放行”,非标准的USB存储设备(索尼相机,WIN CE手机等)可以设置两个权限“阻止”和“放行”,而未注册的光驱/刻录机可以设置三个权限“阻止”、“只读”、“放行”。
【迅软官网】-文档加密软件-图纸加密软件-迅软DSE加密系统-防泄密软件-数据泄密保护-源代码加密
USB存储设备识别原理
USSE使用以下两项技术对USB存储设备进行识别:序列号和设备标识。
设备标识
设备标识是USSE的一项特有技术,该标识记录该盘的一些物理信息,并且产生一个全球唯一的标识码,该标识码用于识别该移动存储设备。设备标识存于U盘或者移动硬盘的第一个扇区。
基于USB存储设备的序列号
支持USB2.0协议的存储设备都有一个序列号,通过该序列号即可对USB存储设备进行识别。该序列号是不会改变的,就算对整个分区进行格式化操作也不会。除非进行低级格式化操作。基于序列号进行识别也有以下几个不足之处:
u 序列号可以使用某些低格工具或者量产工具进行修改。
u 某些设备没有序列号
基于扇区的加密技术原理
USSE加密的移动存储设备是基于磁盘扇区进行加密,除第一扇区不加密以外,其他所有的扇区都是加密的。这样破解起来就非常困难,破解难度与破解Thinkpad的加密硬盘难度相当。比基于文件的加密和基于文件头的加密技术要安全许多倍。经过加密的存储设备在没有授权过的计算机上面不能被打开,Windows显示该设备“未格式化”。
基于底层的驱动技术
USSE使用最新的USB2.0存储协议,同时支持USB1.0与USB1.1协议。支持最新的SCSI存储协议。通过协议层对USB传输的数据进行分析或者进行加解密,由于该驱动程序处于USB协议的底层,故速度与基于其他技术的软件相比要高出许多。另外由于处于系统驱动的底层,即使Windows开机进入安全模式,USB端口依然受USSE的保护。
刻录机与其他外设管控原理
通过对光驱存储协议的研究,研制出可以控制刻录机的驱动程序,通过该功能,可以设置刻录机不能刻录,只能进行读取,这样既可以防止通过刻录的方式泄密文件,又不影响光盘的读取。在权限许可的情况下又可以进行刻录,使用十分灵活。USSE不但可以控制USB与光驱,还可以控制蓝牙、红外、无线网卡、1394等等接口。
架构分离
USSE企业版由三个组件构成:USSE客户端(client)-运行在员工计算机上,USSE服务器端(Server)和USSE管理中心 (administration center)。USSE客户端是安装在需要管理的机器上,USSE服务器是安装在集中管理的服务器上(也可以是任意一台计算机上),控制台可以安装在局域网内部或外部环境。系统的基本框架如下图所示:
由于我们精心构造了网络平台,USSE企业版适用于可伸缩的网络环境和用户自定义的网络环境,也适用于没有Windows域管理的网络环境。集中的管理功能能够为您提供强大而稳定的全网USB端口管理解决方案。并且由于经过上海迅软的易用性设计,您的操作将变得更加高效与便捷。多种安装方式能够最大限度贴合网络的实际环境,使您大幅缩短部署周期。全网智能升级体系能够在第一时间获取由迅软提供的更新并完成全网升级,而您完全不必花费任何精力,因为这一过程的实现完全都是自动化和智能化的。
USSE系统概览
USSE是一套集计算机USB端口屏蔽、USB端口控制、实时监视、实时监控于一体的计算机信息安全管控系统。它通过USB 存储协议在Windows系统底层对USB存储设备进行读写控制,自动识别USB存储设备,彻底防止信息从计算机USB端口泄漏。
USSE由三个组件构成:客户端(client),服务器端(Server)和管理中心 (administration center)。USSE客户端是安装在需要管理的机器上,服务器是安装在集中管理的服务器上(也可以是任意一台计算机上),控制台可以安装在局域网内部或外部环境。
USSE功能强大,可完全控制优盘(U盘)、移动硬盘、数码相机、MP3以及其它USB存储设备的读写,有只读、只写、阻止、放行、写标识和标识识别、透明地加密和解密等模式;USSE除可管控USB端口以及USB存储设备外,还可控制其它的外围设备,如:软驱、1394火线、红外设备、磁带设备、蓝牙设备、无线网卡、调制解调器、PCMCIA卡、COM端口和PLA口、打印机机控制、3G网卡等,同时还可以禁止员工私自安装新硬件。
可自动识别插入的设备是USB存储设备还是非存储设备,不会影响USB鼠标、键盘和打印机的正常使用。只有管理员才能登录设置界面更改USB端口设置,也只有管理员才能关闭或卸载软件。且系统一经安装,开机后自动启动并隐藏运行,除管理员之外不能被恶意地删除、终止、卸载和破解。
管理员可以对任意的USB存储设备写入标识并对其设定一个使用权限,利用本系统将机器的USB端口封锁的情况下,只有写过标识的盘才可以在指定的机器上使用,拿到未经授权的机器上不可用,或只让写过标识的盘在公司内部通用,未经授权的U盘或者外来的U盘不可用。系统运行安全稳定可靠,不影响Windows系统运行效率。
同时USSE采用了“远程控制、集中管理、统一配置”的方式,拥有先进的分布式计算技术,成功的实现了智能安装、组策略管理、统一升级、远程设置、统一设置等功能,大大提高了企事业的信息安全系数,为企事业的信息安全建设添加了一份有力的屏障。
综述
随着信息化,电子化进程的发展,数据越来越成为政府部门,企业事业单位日常运作的核心决策发展的依据。归根到底信息安全的核心就是数据安全。能否有效地保护信息资源,保护信息化进程健康、有序、可持续发展,直接关系到国家安危,关系到民族兴亡,是国家、民族的头等大事。
USB安全存储专家(USSE)有利于进一步完善企事业单位的信息管理制度,强化信息安全建设,防范和杜绝办公网内的重要信息数据,通过USB端口以及采用USB端口为主的便携式设备(如U盘、移动硬盘等)外泄,保护政府机构以及企事业单位的信息资产,让机密信息源头控制,使USB端口不再成为信息安全的隐患,真正做到:外面的U盘进不来,出去的U盘由我控。