引言

　　隨著國(guó)際互聯(lián)網(wǎng)的不斷發(fā)展，網(wǎng)絡(luò)已經(jīng)成為人們生活和工作的必要組成部分，在給人們生活和工作帶來(lái)方便快捷的同時(shí)，也為信息安全帶來(lái)了不同程度的隱患。為此，各級(jí)政府部門(mén)出于工作的特殊性和信息安全的考慮，在建設(shè)電子政務(wù)網(wǎng)的同時(shí)，將本部門(mén)的網(wǎng)絡(luò)建設(shè)成部門(mén)專用網(wǎng)絡(luò)或涉密網(wǎng)絡(luò)，它要求與互聯(lián)網(wǎng)進(jìn)行嚴(yán)格的物理隔離，以此來(lái)解決網(wǎng)絡(luò)互聯(lián)互通造成的計(jì)算機(jī)失泄密、病毒感染、木馬侵入等安全問(wèn)題。

　　然而， 隨著存儲(chǔ)技術(shù)突飛猛進(jìn)的發(fā)展，U盤(pán)、移動(dòng)硬盤(pán)、手機(jī)、數(shù)碼相機(jī)、攝像機(jī)、iPod、MP3/MP4、PDA、各種CF/MD/SD/Flash Disk等移動(dòng)存儲(chǔ)設(shè)備(以下統(tǒng)稱U盤(pán))由于其體積小、攜帶方便、存儲(chǔ)量大、使用靈活等特點(diǎn)，迅速得到廣泛應(yīng)用。根據(jù)對(duì)典型USB設(shè)備的產(chǎn)品銷售進(jìn)行測(cè)算，當(dāng)前全球使用中的各類移動(dòng)存儲(chǔ)設(shè)備超過(guò)30億個(gè)，U盤(pán)在帶給用戶使用便捷的同時(shí)， 已經(jīng)成為了計(jì)算機(jī)病毒傳播及信息泄密的首要途徑。

一 U盤(pán)的安全隱患

　　近年來(lái)，U盤(pán)帶來(lái)的安全隱患在政府部門(mén)專網(wǎng)更顯突 ，其安全主要表現(xiàn)在：

　　(1) U盤(pán)的交叉使用

　　由于普通U盤(pán)只是一個(gè)不受控的存儲(chǔ)介質(zhì)，可以在任何計(jì)算機(jī)上使用。因此，它可以有意無(wú)意地在政府部門(mén)專網(wǎng)(內(nèi)網(wǎng))或互聯(lián)網(wǎng)(外網(wǎng))上交叉使用；或在涉密計(jì)算機(jī)和非涉密計(jì)算機(jī)間交叉使用。一旦發(fā)生交叉使用的違規(guī)事件，涉密文件極有可能被非法拷貝，造成失泄密。

　　(2) 木馬擺渡

　　普通U盤(pán)通過(guò)在內(nèi)網(wǎng)和外網(wǎng)問(wèn)的交叉使用，為木馬擺渡突破政府部門(mén)專網(wǎng)的“物理隔離”提供了條件。在政府部門(mén)專網(wǎng)的計(jì)算機(jī)上，木馬先將文件拷貝到U盤(pán)，一旦該U盤(pán)插入到聯(lián)接互聯(lián)網(wǎng)的計(jì)算機(jī)時(shí)，木馬就會(huì)將拷貝出來(lái)的文件通過(guò)互聯(lián)網(wǎng)發(fā)送出去。

　　(3) 病毒傳播

　　感染病毒的計(jì)算機(jī)會(huì)將病毒感染到U盤(pán)，一旦該U盤(pán)插入到其他計(jì)算機(jī)上，就會(huì)造成無(wú)毒計(jì)算機(jī)感染病毒。如此反復(fù)，相互感染，從而引發(fā)整個(gè)網(wǎng)絡(luò)的病毒感染，造成系統(tǒng)損壞、數(shù)據(jù)丟失、死機(jī)，甚至整個(gè)網(wǎng)絡(luò)癱瘓。

　　(4) 無(wú)法審計(jì)

　　普通U盤(pán)無(wú)論在政府部門(mén)專網(wǎng)還是在互聯(lián)網(wǎng)上使用，即使主動(dòng)進(jìn)行違規(guī)操作，也無(wú)法進(jìn)行有效的審計(jì)和取證。

　　(5)丟失被盜

　　如果U盤(pán)丟失或被盜，其保存的涉密信息將會(huì)丟失，造成信息泄密。

二 專網(wǎng)安全U盤(pán)的相關(guān)技術(shù)

　　政府部門(mén)專網(wǎng)安全U盤(pán)區(qū)別于普通U盤(pán)主要采用了以下關(guān)鍵技術(shù)。

　　2.1 安全U盤(pán)的特有分類

　　根據(jù)政府部門(mén)專網(wǎng)的特點(diǎn)和安全保密要求，安全U盤(pán)依其使用方式的不同，可分為3類：內(nèi)網(wǎng)專用盤(pán)，限在政府部門(mén)專網(wǎng)內(nèi)終端之間進(jìn)行數(shù)據(jù)信息交換；單向?qū)�入盤(pán)，可將外網(wǎng)數(shù)據(jù)信息單向?qū)�人到政府部門(mén)專網(wǎng)內(nèi)；雙向交換盤(pán)，可在政府部門(mén)專網(wǎng)與外網(wǎng)之間相互交換數(shù)據(jù)信息。

　　2.2 安全U盤(pán)特殊分區(qū)技術(shù)

　　安全U盤(pán)在硬件上采用了不同的芯片組(不同于普通U盤(pán)的一組芯片)，分為3個(gè)獨(dú)立的存儲(chǔ)空間：CDROM區(qū)+黑匣子區(qū)+安全存儲(chǔ)區(qū)。

　　CDROM區(qū)。該區(qū)存儲(chǔ)私有的安全U盤(pán)引導(dǎo)系統(tǒng)和專用安全資源管理器，且具有CDROM的只讀屬性。

　　黑匣子區(qū)。該區(qū)記錄該安全U盤(pán)的所有操作，即：何時(shí)、何人、哪臺(tái)計(jì)算機(jī)、哪些操作(拷入/拷出/新建，刪除/更名)、哪些文件、文件大小等。黑匣子區(qū)不影響使用者的正常使用，且基于獨(dú)立的芯片存儲(chǔ)，用戶不可見(jiàn)。因此。用戶無(wú)法對(duì)它的任何數(shù)據(jù)進(jìn)行刪除、復(fù)制、修改等操作，同時(shí)也不會(huì)被格式化所清除。黑匣子區(qū)又可分為保護(hù)區(qū)和日志區(qū)，保護(hù)區(qū)主要保存U盤(pán)標(biāo)簽信息、U盤(pán)的硬件序列號(hào)、U盤(pán)密鑰加密塊；日志區(qū)用于保存用戶對(duì)U盤(pán)文件操作的日志。

　　安全存儲(chǔ)區(qū)。該區(qū)是用戶存儲(chǔ)數(shù)據(jù)的區(qū)域。在認(rèn)證通過(guò)后，由CDROM 區(qū)的安全U盤(pán)引導(dǎo)系統(tǒng)通過(guò)虛擬化運(yùn)行，由獨(dú)立資源管理器以私有文件系統(tǒng)的方式進(jìn)行加載，然后以安全存儲(chǔ)技術(shù)保存用戶數(shù)據(jù)。該區(qū)域在Windows資源管理器中無(wú)U盤(pán)盤(pán)符顯示。

　　2.3 私有文件系統(tǒng)技術(shù)

　　安全U盤(pán)內(nèi)置了私有文件系統(tǒng)，它是區(qū)別于Windows的常用文件系統(tǒng)，該文件系統(tǒng)只能由內(nèi)置的獨(dú)立資源管理器加載和識(shí)別，因此，Windows資源管理器無(wú)法對(duì)安全U盤(pán)內(nèi)的文件進(jìn)行操作訪問(wèn)，盤(pán)內(nèi)的文件操作須在獨(dú)立資源管理器中完成。私有文件系統(tǒng)的應(yīng)用，無(wú)誤差地實(shí)現(xiàn)了安全U盤(pán)內(nèi)文件操作的使用審計(jì)。

　　2.4 主動(dòng)防病毒技術(shù)

　　CDROM 區(qū)防病毒。安全U盤(pán)插入計(jì)算機(jī)后，在Windows資源管理器中顯示的不是普通U盤(pán)盤(pán)符，而是一個(gè)虛擬化運(yùn)行的CDROM盤(pán)符。由于CDROM盤(pán)的只讀特性，保存在CDROM區(qū)的安全U盤(pán)引導(dǎo)系統(tǒng)不會(huì)被感染任何病毒或木馬。

　　安全存儲(chǔ)區(qū)防病毒。一般地，U盤(pán)病毒大都以可執(zhí)行代碼的方式存在，附著在可執(zhí)行程序(包括.exe；.com；.bad；.inf；.dlV；.sys各種腳文中件等)中，一旦運(yùn)行可執(zhí)行程序，病毒將實(shí)施傳播。安全U盤(pán)的私有文件系統(tǒng)和獨(dú)立資源管理器可以主動(dòng)禁止直接打開(kāi)U盤(pán)內(nèi)的任何文件(禁止直接從U盤(pán)運(yùn)行)，實(shí)現(xiàn)對(duì)U盤(pán)病毒的主動(dòng)防御。

　　安全U盤(pán)在經(jīng)過(guò)有效的身份認(rèn)證之前，Windows資源管理器不能對(duì)安全存儲(chǔ)區(qū)進(jìn)行任何操作，身份認(rèn)證通過(guò)之后，安全存儲(chǔ)區(qū)在計(jì)算機(jī)上也不顯示任何盤(pán)符，此時(shí)只能通過(guò)CDROM區(qū)的專用安全資源管理器對(duì)安全存儲(chǔ)區(qū)進(jìn)行文件拷貝、刪除等操作。由于安全U盤(pán)在Windows資源管理器不顯示任何盤(pán)符，因此可以徹底防范病毒和木馬的感染。

　　2.5 加密存儲(chǔ)技術(shù)

　　安全存儲(chǔ)區(qū)的存儲(chǔ)和讀取由CDROM區(qū)的專用安全資源管理器，通過(guò)國(guó)家密碼管理局公布的SMS4加密算法和私有密鑰進(jìn)行全盤(pán)數(shù)據(jù)加密，并采用私有的文件系統(tǒng)方式進(jìn)行操作。保證安全U盤(pán)即使被暴力拆開(kāi)后，讀取其Flash芯片也不能恢復(fù)原有文件。同時(shí)，所有的安全U盤(pán)須通過(guò)密鑰管理中心進(jìn)行密鑰初始化，方能在政府部門(mén)專網(wǎng)上注冊(cè)使用。因此，安全U盤(pán)的密鑰由密鑰管理中心統(tǒng)一管理，每一個(gè)安全U盤(pán)都具備唯一的密鑰，即使是安全U盤(pán)的生產(chǎn)廠家也無(wú)法破解U盤(pán)。

　　2.6 自鎖技術(shù)

　　安全U盤(pán)采用密碼進(jìn)行保護(hù)，并可要求密碼必須具備一定強(qiáng)度才能使用(例如8位以上，字母分大小寫(xiě)、數(shù)字、標(biāo)點(diǎn)符號(hào)中有2或3個(gè)以上)。密碼輸入錯(cuò)誤次數(shù)超限(例如10次)，則自動(dòng)鎖定該安全U盤(pán)，禁止繼續(xù)使用。

　　2.7 防U盤(pán)克隆破解技術(shù)

　　目前市面上有不少燒盤(pán)工具，可以輕易克隆出一個(gè)同樣的U盤(pán)。為了防止這種情況的出現(xiàn)，安全U盤(pán)的數(shù)據(jù)每一次讀寫(xiě)都需要進(jìn)行身份認(rèn)證，所有未授權(quán)的讀寫(xiě)都會(huì)被拒絕，因此安全U盤(pán)無(wú)法被克隆。安全U盤(pán)通過(guò)對(duì)關(guān)鍵代碼和敏感處理程序進(jìn)行虛擬機(jī)處理和代碼混淆處理，來(lái)防止對(duì)程序與算法的破解。同時(shí)，對(duì)U盤(pán)硬件信息進(jìn)行隱藏，有效防范目標(biāo)性極強(qiáng)的黑客和攻擊者針對(duì)特定硬件進(jìn)行攻擊。

　　2.8 互聯(lián)網(wǎng)告警技術(shù)

　　安全U盤(pán)插入計(jì)算機(jī)后，其CDROM區(qū)的安全U盤(pán)引導(dǎo)系統(tǒng)會(huì)自動(dòng)檢測(cè)當(dāng)前計(jì)算機(jī)是否連接到互聯(lián)網(wǎng)，如果已經(jīng)連接則禁止打開(kāi)安全U盤(pán)。如果打開(kāi)安全U盤(pán)后，計(jì)算機(jī)再連接到互聯(lián)網(wǎng)，則安全U盤(pán)會(huì)強(qiáng)制關(guān)閉。如有需要，安全U盤(pán)還可強(qiáng)行切斷計(jì)算機(jī)與互聯(lián)網(wǎng)的連接，同時(shí)向監(jiān)控中心報(bào)警。

三 應(yīng)用管理

　　以上這些安全U盤(pán)關(guān)鍵技術(shù)的應(yīng)用，有效防范了U盤(pán)使用過(guò)程中的安全隱患，但在應(yīng)用過(guò)程中還需建立安全U盤(pán)管理系統(tǒng)，對(duì)安全U盤(pán)實(shí)施有效管理，實(shí)現(xiàn)技術(shù)和管理、硬件和軟件的有機(jī)統(tǒng)一，才能更好地發(fā)揮其作用。

　　3.1 對(duì)非政府部門(mén)專網(wǎng)的U盤(pán)進(jìn)行使用控制

　　控制外來(lái)U盤(pán)在政府部門(mén)專網(wǎng)上使用，是實(shí)現(xiàn)U盤(pán)管理的首要任務(wù)。安全U盤(pán)管理系統(tǒng)通過(guò)對(duì)計(jì)算機(jī)加載的U盤(pán)進(jìn)行身份匹配，如果U盤(pán)無(wú)法通過(guò)主機(jī)端認(rèn)證，將被拒絕使用。

　　3.2 U盤(pán)與主機(jī)雙向認(rèn)證

　　主機(jī)端認(rèn)證主要包括兩個(gè)方面，一方面，安全U盤(pán)對(duì)政府部門(mén)專網(wǎng)的檢測(cè)，另一方面，政府部門(mén)專網(wǎng)對(duì)安全U盤(pán)的認(rèn)證。安全U盤(pán)會(huì)對(duì)政府部門(mén)專網(wǎng)計(jì)算機(jī)的完整性和數(shù)字簽名證書(shū)進(jìn)行檢測(cè)，安全U盤(pán)系統(tǒng)也會(huì)對(duì)安全U盤(pán)進(jìn)行完整性和數(shù)字簽名證書(shū)驗(yàn)證，保證了攻擊者無(wú)法通過(guò)模擬政府部門(mén)專網(wǎng)環(huán)境竊取U盤(pán)內(nèi)文件和模擬安全U盤(pán)進(jìn)入政府部門(mén)專網(wǎng)進(jìn)行竊密。

　　3.3 安全U盤(pán)生命周期控制

　　安全U盤(pán)在政府部門(mén)專網(wǎng)的注冊(cè)、審計(jì)及注銷等使用生命周期控制，均通過(guò)政府部門(mén)專網(wǎng)的PKI進(jìn)行管理。

　　注冊(cè)。安全U盤(pán)管理系統(tǒng)部署后，每個(gè)安全U盤(pán)必須通過(guò)系統(tǒng)注冊(cè)后才能被系統(tǒng)加載使用。注冊(cè)時(shí)可與CA證書(shū)同時(shí)使用，將CA證書(shū)信息寫(xiě)入安全U盤(pán)，以確定安全U盤(pán)使用身份的唯一性。所有注冊(cè)信息全部自動(dòng)記錄在管理系統(tǒng)中，無(wú)需手工登記，所有的安全U盤(pán)注冊(cè)信息將自動(dòng)上傳到服務(wù)器進(jìn)行集中管理。

　　審計(jì)。安全U盤(pán)在使用過(guò)程中所產(chǎn)生的各種使用日志，均與注冊(cè)時(shí)捆綁的CA證書(shū)一同上傳至服務(wù)器，實(shí)現(xiàn)安全U盤(pán)使用日志與具體使用人關(guān)聯(lián)。

　　注銷。安全U 盤(pán)存政府部門(mén)專網(wǎng)的使用做注銷處理時(shí)，也需要將安全U盤(pán)與捆綁注冊(cè)的CA證書(shū)同時(shí)使用。注銷時(shí)，系統(tǒng)會(huì)自動(dòng)將安全U盤(pán)內(nèi)所有的數(shù)據(jù)進(jìn)行粉碎，并清除U盤(pán)內(nèi)的電子標(biāo)簽。

　　3.4 安全U盤(pán)使用控制

　　安全U盤(pán)共分為3類，其中安全U盤(pán)管理系統(tǒng)可直接控制內(nèi)網(wǎng)專用U盤(pán)和單向?qū)�入盤(pán)的是否可用。雙向交換盤(pán)的使用策略可以由安全U盤(pán)管理系統(tǒng)來(lái)進(jìn)行靈活配置。雙向交換盤(pán)分為內(nèi)網(wǎng)區(qū)、交換區(qū)，根據(jù)實(shí)際需要，系統(tǒng)可對(duì)它做相應(yīng)的管理策略：交換區(qū)讀寫(xiě)方式可被設(shè)置為單向?qū)�人、單向�(qū)С�、雙向交換、禁止交換4種狀態(tài)。

　　3.5 其他安全管理

　　除了對(duì)安全U盤(pán)的管理外，安全U盤(pán)管理系統(tǒng)還可以對(duì)利用“手機(jī)同步軟件” 、“虛擬機(jī)軟件”實(shí)施涉密文件拷貝、刪除的手段進(jìn)行有效管理：

　　(1)手機(jī)同步軟件控制。某些類型的手機(jī)可以在計(jì)算機(jī)上安裝特定的同步軟件后，手機(jī)的存儲(chǔ)卡不再是以U盤(pán)盤(pán)符出現(xiàn)，而是表現(xiàn)為手機(jī)同步軟件中的特殊文件夾，通過(guò)對(duì)此特殊文件夾的操作，使用者就可在計(jì)算機(jī)和手機(jī)之間進(jìn)行數(shù)據(jù)交換。安全U盤(pán)管理系統(tǒng)就是對(duì)此類特殊文件夾進(jìn)行控制，從而有效防止利用手機(jī)同步軟件進(jìn)行文件拷貝和交換 。

　　(2)虛擬機(jī)軟件控制。在計(jì)算機(jī)(暫稱主機(jī))上安裝VMWare等虛擬機(jī)系統(tǒng)軟件后，可以在主機(jī)中虛擬出其他的計(jì)算機(jī)(暫稱虛擬機(jī))，插入主機(jī)的U盤(pán)可以在虛擬機(jī)中進(jìn)行各種文件操作。使用者可以將主機(jī)中的文件拷貝到虛擬機(jī)中，然后再?gòu)奶摂M機(jī)中將文件拷貝到U盤(pán)，逃脫監(jiān)管。安全U盤(pán)管理系統(tǒng)通過(guò)對(duì)虛擬機(jī)軟件進(jìn)行有效的管理和控制，從而可以防止使用者利用虛擬機(jī)軟件在計(jì)算機(jī)和U盤(pán)間進(jìn)行文件交換。

　　(3)系統(tǒng)還原功能控制。Windows XP以上操作系統(tǒng)中有一個(gè)功能叫做“系統(tǒng)還原”，通過(guò)建立系統(tǒng)還原點(diǎn)，用戶可以將系統(tǒng)還原到某個(gè)特定時(shí)間或事件發(fā)生之前的狀態(tài)。用戶可以在安裝U盤(pán)管理系統(tǒng)之前，創(chuàng)建一個(gè)系統(tǒng)還原點(diǎn)A；在安裝了U盤(pán)管理系統(tǒng)之后，創(chuàng)建一個(gè)系統(tǒng)還原點(diǎn)B，用戶可以隨時(shí)將系統(tǒng)調(diào)入到系統(tǒng)還原點(diǎn)A，違規(guī)使用U盤(pán)后，再將系統(tǒng)調(diào)回到系統(tǒng)還原點(diǎn)B，從而逃脫監(jiān)管。安全U盤(pán)管理系統(tǒng)可強(qiáng)制禁止“系統(tǒng)還原”功能，防止上述漏洞發(fā)生。

四 結(jié)語(yǔ)

　　政府部門(mén)專網(wǎng)安全U盤(pán)從硬件構(gòu)成到技術(shù)的實(shí)現(xiàn)，全面地提高了U盤(pán)的使用安全性。同時(shí)，根據(jù)不同的使用場(chǎng)景設(shè)計(jì)不同類型的U盤(pán)，方便了管理。管理系統(tǒng)實(shí)現(xiàn)了安全U盤(pán)從注冊(cè)、配發(fā)、審計(jì)、安全策略設(shè)置等跟蹤管理。通過(guò)安全U盤(pán)在政府部門(mén)專網(wǎng)的廣泛使用和應(yīng)用的集中管理，必將有效防止由于U盤(pán)交叉使用而造成的病毒感染、掛馬、失泄密等安全隱患，為政府部門(mén)專網(wǎng)的安全提供堅(jiān)強(qiáng)保障。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：淺析專網(wǎng)安全U盤(pán)技術(shù)和應(yīng)用管理

本文網(wǎng)址：http://www.oesoe.com/html/support/1112153943.html