USB安全管理典型解決方案

1、J 押 A 骨 典型方案易泰通軟件科技有限公司典型方案內(nèi)外網(wǎng)物理隔離網(wǎng)絡(luò)的安全方案*網(wǎng)絡(luò)現(xiàn)狀與安全隱患目前，政府機(jī)關(guān)及金融等行業(yè)都有兩個(gè)網(wǎng)絡(luò)：內(nèi)網(wǎng)和外網(wǎng)，內(nèi)網(wǎng)用作內(nèi)部 的辦公自動(dòng)化，外網(wǎng)用來(lái)對(duì)外發(fā)布信息、獲得因特網(wǎng)上的即時(shí)消息，以及用電 子郵件進(jìn)行信息交流。為了數(shù)據(jù)的安全性，內(nèi)網(wǎng)和外網(wǎng)都通過(guò)隔離卡或網(wǎng)閘等 方式實(shí)現(xiàn)內(nèi)外網(wǎng)的物理隔離，從一定程度上杜絕了內(nèi)外網(wǎng)的混合使用造成的信 息外泄。如下圖所示：政府吐子政等物理您居網(wǎng)絡(luò)佑任河津然而，對(duì)于內(nèi)網(wǎng)中移動(dòng)存儲(chǔ)介質(zhì)的隨意使用以及外部終端非法接入內(nèi)網(wǎng)來(lái) 泄露內(nèi)部信息的安全隱患，仍然得不到解決。存在的安全隱患主要有：1 .移動(dòng)存儲(chǔ)介質(zhì)泄密 外來(lái)移動(dòng)存儲(chǔ)介質(zhì)拷

2、去內(nèi)網(wǎng)信息； 內(nèi)網(wǎng)移動(dòng)存儲(chǔ)介質(zhì)相互混用，造成泄密； 涉密介質(zhì)丟失造成泄密2 .終端造成泄密 計(jì)算機(jī)終端各種端口的隨意使用，造成泄密； 外部終端非法接入內(nèi)網(wǎng)泄密； 內(nèi)網(wǎng)終端非法外聯(lián)外部網(wǎng)絡(luò)泄密 捍衛(wèi)者解決方案針對(duì)隱患1,捍衛(wèi)者US毆全管理系統(tǒng)可以完全解決。此系統(tǒng)功能為：1 .管理US端口，對(duì)其設(shè)定禁用、只讀、開放三種狀態(tài)；2 .對(duì)軟驅(qū)、光驅(qū)、紅外、藍(lán)牙等各種終端設(shè)備端口進(jìn)行統(tǒng)一管理，設(shè)置開 放、禁用等模式，同時(shí)可設(shè)定刻錄機(jī)只讀；3 .實(shí)現(xiàn)移動(dòng)存儲(chǔ)介質(zhì)的授權(quán)分區(qū)使用，存儲(chǔ)介質(zhì)與計(jì)算機(jī)終端可以實(shí)現(xiàn)一 對(duì)一，一對(duì)多的綁定使用；4 .通過(guò)特殊分區(qū)、加密，實(shí)現(xiàn)移動(dòng)存儲(chǔ)介質(zhì)內(nèi)部使用或外部通過(guò)密碼使用，使得移

3、動(dòng)介質(zhì)丟失不泄密;5 .完整的日志記錄、審計(jì)功能，實(shí)現(xiàn)整個(gè)移動(dòng)存儲(chǔ)介質(zhì)使用流程的跟蹤可 控;6 .支持vista操作系統(tǒng)；在內(nèi)網(wǎng)中部署捍衛(wèi)者US改全管理系統(tǒng)后，可以有效地防止移動(dòng)存儲(chǔ)介質(zhì)泄密，解決移動(dòng)存儲(chǔ)介質(zhì)的泄密隱患。如下圖所示正常使用正常使用鼾授權(quán)為A 部門的 計(jì)算機(jī)X正常使用依端口狀態(tài)OA （授權(quán)為OA1 （授權(quán)為OB （授權(quán)為C （授權(quán)為OA部門的授權(quán)盤）A部門的內(nèi)部加密盤）B部門的盤）A和B部門的通用盤）3正常使用外部計(jì)算機(jī)通過(guò)密碼（未安裝k捍衛(wèi)者軟件）、使用而定D （外來(lái)普通盤禁用：不能使用只讀：只能導(dǎo)出盤內(nèi)數(shù)據(jù) 開放：盤正常使用）oA （授權(quán)為A部門的授權(quán)盤）QA1 （授權(quán)為A部

4、門的內(nèi)部加密盤）OA2 （授權(quán)為A部門的內(nèi)外兼容加密盤）捍衛(wèi)者US全管理系統(tǒng)示意圖針對(duì)隱患2,捍衛(wèi)者終端安全及訪問(wèn)審計(jì)控制系統(tǒng)可以消除此隱患，主要用 q 0 典型方案易泰通軟件科技有限公司功能為：1）終端接入驗(yàn)證管理（所有驗(yàn)證終端組成內(nèi)網(wǎng)）；2）未驗(yàn)證終端限制接入內(nèi)網(wǎng)；3）驗(yàn)證終端域內(nèi)相互訪問(wèn)行為監(jiān)控；4）驗(yàn)證終端非法其他網(wǎng)絡(luò)行為監(jiān)控；5）管理US端口及紅外、藍(lán)牙、光驅(qū)等各種端口和外設(shè)，對(duì)其設(shè)定禁用 開放狀態(tài)，同時(shí)US端口及光驅(qū)可設(shè)定只讀；6）日志備份定時(shí)提醒；7）客戶端異?；虮黄平?，服務(wù)器端顯示其相關(guān)信息，報(bào)警提示?？诤戏ńK端合法終端非法終端捍衛(wèi)者終端安全及訪問(wèn)審計(jì)控制系統(tǒng)示意圖內(nèi)網(wǎng)授信網(wǎng)絡(luò)

5、合法終端以上兩種解決方案可以作為模塊組合為一個(gè)系統(tǒng)，這樣既解決了信息安全 隱患，同時(shí)節(jié)約了成本，方便了安裝與維護(hù)，除此之外，服務(wù)器支持多級(jí)級(jí)聯(lián), 方便了管理，也可以適用大規(guī)模網(wǎng)絡(luò)。也適用范圍本方案可廣泛適用于政府、證券、金融、大型企業(yè)等單位，具有極低的投 和極高的安全性，并且維護(hù)方便、升級(jí)簡(jiǎn)單。5典型方案易泰通軟件科技有限公司中間機(jī)連接內(nèi)外網(wǎng)的安全方案*網(wǎng)絡(luò)現(xiàn)狀與安全隱患一些企業(yè)禁止內(nèi)網(wǎng)計(jì)算機(jī)上公網(wǎng)，大部分計(jì)算機(jī)也不允許與外界溝通, 只是通過(guò)一個(gè)中間機(jī)來(lái)實(shí)現(xiàn)內(nèi)網(wǎng)信息與外部信息的流通。1）如果中間機(jī)在內(nèi)網(wǎng)中，網(wǎng)絡(luò)結(jié)構(gòu)如下圖示:內(nèi)網(wǎng)計(jì)算機(jī)2）如果中間機(jī)不在內(nèi)網(wǎng)中，網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示:內(nèi)網(wǎng)計(jì)算機(jī)外網(wǎng)

6、計(jì)算機(jī)然而此中網(wǎng)絡(luò)方式，移動(dòng)存儲(chǔ)介質(zhì)的隨意使用以及外部終端非法接入內(nèi)網(wǎng) 來(lái)泄露內(nèi)部信息的安全隱患，仍然得不到解決。存在的安全隱患主要有：1 .移動(dòng)存儲(chǔ)介質(zhì)泄密 外來(lái)移動(dòng)存儲(chǔ)介質(zhì)拷去內(nèi)網(wǎng)信息； 內(nèi)網(wǎng)移動(dòng)存儲(chǔ)介質(zhì)相互混用，造成泄密； 涉密介質(zhì)丟失造成泄密2 .終端造成泄密#J 碼 40 典型方案易泰通軟件科技有限公司 計(jì)算機(jī)終端各種端口的隨意使用，造成泄密； 外部終端非法接入內(nèi)網(wǎng)泄密； 內(nèi)網(wǎng)終端非法外聯(lián)外部網(wǎng)絡(luò)泄密*捍衛(wèi)者解決方案針對(duì)隱患1,捍衛(wèi)者US毆全管理系統(tǒng)可以完全解決。此系統(tǒng)功能為：1 .管理US端口，對(duì)其設(shè)定禁用、只讀、開放三種狀態(tài)；2 .對(duì)軟驅(qū)、光驅(qū)、紅外、藍(lán)牙等各種終端設(shè)備端口進(jìn)行統(tǒng)

7、一管理，設(shè)置開 放禁用等模式，同時(shí)可設(shè)定刻錄機(jī)只讀；3 .實(shí)現(xiàn)移動(dòng)存儲(chǔ)介質(zhì)的授權(quán)分區(qū)使用，存儲(chǔ)介質(zhì)與計(jì)算機(jī)終端可以實(shí)現(xiàn)一 對(duì)，一對(duì)多的綁定使用；4 .通過(guò)特殊分區(qū)、加密，實(shí)現(xiàn)移動(dòng)存儲(chǔ)介質(zhì)內(nèi)部使用或外部通過(guò)密碼使用， 使得移動(dòng)介質(zhì)丟失不泄密；5 .完整的日志記錄、審計(jì)功能，實(shí)現(xiàn)整個(gè)移動(dòng)存儲(chǔ)介質(zhì)使用流程的跟蹤可 控；6 .支持vista操作系統(tǒng)；對(duì)于中間機(jī)在內(nèi)網(wǎng)的網(wǎng)絡(luò)：將捍衛(wèi)者US眩全管理系統(tǒng)網(wǎng)絡(luò)增強(qiáng)版安裝在內(nèi)網(wǎng)中，設(shè)定所有計(jì)算機(jī)端 口為禁用狀態(tài)，禁止外來(lái)移動(dòng)設(shè)備的使用；然后將中間機(jī)與其他內(nèi)網(wǎng)計(jì)算機(jī)設(shè) 定不同的組織單元，這樣需要流通到外部的信息，可以通過(guò)網(wǎng)絡(luò)傳送到中間機(jī) 上，再通過(guò)只有中間機(jī)才能識(shí)

8、別的移動(dòng)設(shè)備將信息拷貝到外部；同樣，需要流 入內(nèi)網(wǎng)的信息，也是先通過(guò)此移動(dòng)設(shè)備拷入到中間機(jī)，再通過(guò)網(wǎng)絡(luò)使全內(nèi)網(wǎng)共 享。如下圖示：7押A0典型方案易泰通軟件科技有限公司外聯(lián)部?jī)?nèi)外兼容內(nèi)網(wǎng)外聯(lián)部計(jì)算機(jī)加密u盤內(nèi)網(wǎng)行政部計(jì)算機(jī)外網(wǎng)計(jì)算機(jī)對(duì)于中間機(jī)不在內(nèi)網(wǎng)的網(wǎng)絡(luò)：內(nèi)網(wǎng)計(jì)算機(jī)安裝捍衛(wèi)者USB安全管理系統(tǒng)網(wǎng)絡(luò)增強(qiáng)版，中間機(jī)安裝單機(jī)增 強(qiáng)版，將中間機(jī)與內(nèi)網(wǎng)計(jì)算機(jī)設(shè)定不同的組織單元，如中間機(jī)設(shè)定外聯(lián)部，內(nèi) 網(wǎng)計(jì)算機(jī)設(shè)定行政部，則需要流出到外網(wǎng)的信息通過(guò)被設(shè)定為外聯(lián)部與行政部 同時(shí)可以使用的內(nèi)部加密盤拷貝到中間機(jī)上，然后通過(guò)只能在中間機(jī)上使用的 內(nèi)外兼容加密盤拷貝到外部使用，同樣外部信息需要拷貝到內(nèi)網(wǎng)使用，反之

9、即 可。如下圖所示:授權(quán)為外聯(lián)部外聯(lián)部?jī)?nèi)外兼容和行政部的外聯(lián)部加密u盤內(nèi)網(wǎng)行政部計(jì)算機(jī)外網(wǎng)計(jì)算機(jī)針對(duì)隱患2,捍衛(wèi)者終端安全及訪問(wèn)審計(jì)控制系統(tǒng)可以消除此隱患，主要 功能為：#. 捏 A , 典型方案易泰通軟件科技有限公司L11）終端接入驗(yàn)證管理（所有驗(yàn)證終端組成內(nèi)網(wǎng)）；2）未驗(yàn)證終端限制接入內(nèi)網(wǎng)；3）驗(yàn)證終端域內(nèi)相互訪問(wèn)行為監(jiān)控；4）驗(yàn)證終端非法其他網(wǎng)絡(luò)行為監(jiān)控；5）管理US端口及紅外、藍(lán)牙、光驅(qū)等各種端口和外設(shè)，對(duì)其設(shè)定禁用 開放狀態(tài)，同時(shí)US端口及光驅(qū)可設(shè)定只讀；6）日志備份定時(shí)提醒；7）客戶端異常或被破解，服務(wù)器端顯示其相關(guān)信息，報(bào)警提示。非法終端捍衛(wèi)者終端安全及訪問(wèn)審計(jì)控制系統(tǒng)示意圖以上

10、捍衛(wèi)者US弦全管理系統(tǒng)與終端安全訪問(wèn)審計(jì)控制系統(tǒng)可以作為模塊 組合為一個(gè)系統(tǒng)部署使用。也適用范圍本方案可廣泛適用于醫(yī)療、機(jī)械制造業(yè)、政府等單位。公安邊防安全解決方案*網(wǎng)絡(luò)現(xiàn)狀及安全隱患1）公安邊防系統(tǒng)已經(jīng)安裝公安部統(tǒng)一推廣的“一機(jī)兩用”軟件，在一定程 度上實(shí)現(xiàn)了內(nèi)外網(wǎng)隔離使用，見(jiàn)下面示意圖，內(nèi)網(wǎng)機(jī)器安裝了一機(jī)兩用 軟件后一旦連接公網(wǎng)進(jìn)行告警。如下圖所示：9, J 捏 A , 典型方案易泰通軟件科技有限公司公安網(wǎng)“一機(jī)兩用”示意圖雖然已經(jīng)采取這種防范措施，但公安網(wǎng)絡(luò)在使用中仍然存在諸多安全隱患, 歸納起來(lái)主要有以下兩類：1 .終端安全造成的信息外泄：內(nèi)外網(wǎng)分開使用使信息通過(guò)網(wǎng)絡(luò)外泄在一定程度上得

11、到控制，但是終端本身的外泄沒(méi)有得到良好控制，仍然存在兩方 面泄密隱患：通過(guò)終端的各種外設(shè)和端口泄漏信息；移動(dòng)存儲(chǔ)介質(zhì)泄露內(nèi)部信息；2 .內(nèi)部終端容易意外連接公網(wǎng)：一機(jī)兩用不是硬性隔離，只是采取內(nèi)部機(jī) 器連接外部網(wǎng)絡(luò)時(shí)報(bào)警的形式，內(nèi)部終端容易誤連接，造成很多不便。*捍衛(wèi)者解決方案針對(duì)隱患1,我們建議使用捍衛(wèi)者us酸全管理系統(tǒng)，該系統(tǒng)對(duì)不常使 用的外設(shè)可以根據(jù)具體情況設(shè)置為禁用或只讀（刻錄機(jī)，US端口），并且對(duì)移動(dòng)存儲(chǔ)介質(zhì)（u盤、移動(dòng)硬盤等各種移動(dòng)存儲(chǔ)設(shè)備）可以分域授權(quán)使用， 可以限定移動(dòng)存儲(chǔ)介質(zhì)的使用范圍一對(duì)一或一對(duì)多的和終端綁定使用，加 密后的移動(dòng)存儲(chǔ)還可以做到流出到安全環(huán)境外無(wú)法識(shí)別，保證內(nèi)部信息安 全。針對(duì)隱患2,本節(jié)解決方案可以作為防止意外連接公網(wǎng)的解決方案使用， 提供軟硬兩種解決方案，如防止意外非法連接外網(wǎng)示意圖所示：1）軟件方案：在外網(wǎng)計(jì)算機(jī)（允許上公網(wǎng)的計(jì)算機(jī)）網(wǎng)絡(luò)和路由器間增加一個(gè)控制服務(wù) 器，該服務(wù)器安裝捍衛(wèi)者終端