引言
随着国际互联网的不断发展,网络已经成为人们生活和工作的必要组成部分,在给人们生活和工作带来方便快捷的同时,也为信息安全带来了不同程度的隐患。为此,各级政府部门出于工作的特殊性和信息安全的考虑,在建设电子政务网的同时,将本部门的网络建设成部门专用网络或涉密网络,它要求与互联网进行严格的物理隔离,以此来解决网络互联互通造成的计算机失泄密、病毒感染、木马侵入等安全问题。
然而, 随着存储技术突飞猛进的发展,U盘、移动硬盘、手机、数码相机、摄像机、iPod、MP3/MP4、PDA、各种CF/MD/SD/Flash Disk等移动存储设备(以下统称U盘)由于其体积小、携带方便、存储量大、使用灵活等特点,迅速得到广泛应用。根据对典型USB设备的产品销售进行测算,当前全球使用中的各类移动存储设备超过30亿个,U盘在带给用户使用便捷的同时, 已经成为了计算机病毒传播及信息泄密的首要途径。
一 U盘的安全隐患
近年来,U盘带来的安全隐患在政府部门专网更显突 ,其安全主要表现在:
(1) U盘的交叉使用
由于普通U盘只是一个不受控的存储介质,可以在任何计算机上使用。因此,它可以有意无意地在政府部门专网(内网)或互联网(外网)上交叉使用;或在涉密计算机和非涉密计算机间交叉使用。一旦发生交叉使用的违规事件,涉密文件极有可能被非法拷贝,造成失泄密。
(2) 木马摆渡
普通U盘通过在内网和外网问的交叉使用,为木马摆渡突破政府部门专网的“物理隔离”提供了条件。在政府部门专网的计算机上,木马先将文件拷贝到U盘,一旦该U盘插入到联接互联网的计算机时,木马就会将拷贝出来的文件通过互联网发送出去。
(3) 病毒传播
感染病毒的计算机会将病毒感染到U盘,一旦该U盘插入到其他计算机上,就会造成无毒计算机感染病毒。如此反复,相互感染,从而引发整个网络的病毒感染,造成系统损坏、数据丢失、死机,甚至整个网络瘫痪。
(4) 无法审计
普通U盘无论在政府部门专网还是在互联网上使用,即使主动进行违规操作,也无法进行有效的审计和取证。
(5)丢失被盗
如果U盘丢失或被盗,其保存的涉密信息将会丢失,造成信息泄密。
二 专网安全U盘的相关技术
政府部门专网安全U盘区别于普通U盘主要采用了以下关键技术。
2.1 安全U盘的特有分类
根据政府部门专网的特点和安全保密要求,安全U盘依其使用方式的不同,可分为3类:内网专用盘,限在政府部门专网内终端之间进行数据信息交换;单向导入盘,可将外网数据信息单向导人到政府部门专网内;双向交换盘,可在政府部门专网与外网之间相互交换数据信息。
2.2 安全U盘特殊分区技术
安全U盘在硬件上采用了不同的芯片组(不同于普通U盘的一组芯片),分为3个独立的存储空间:CDROM区+黑匣子区+安全存储区。
CDROM区。该区存储私有的安全U盘引导系统和专用安全资源管理器,且具有CDROM的只读属性。
黑匣子区。该区记录该安全U盘的所有操作,即:何时、何人、哪台计算机、哪些操作(拷入/拷出/新建,删除/更名)、哪些文件、文件大小等。黑匣子区不影响使用者的正常使用,且基于独立的芯片存储,用户不可见。因此。用户无法对它的任何数据进行删除、复制、修改等操作,同时也不会被格式化所清除。黑匣子区又可分为保护区和日志区,保护区主要保存U盘标签信息、U盘的硬件序列号、U盘密钥加密块;日志区用于保存用户对U盘文件操作的日志。
安全存储区。该区是用户存储数据的区域。在认证通过后,由CDROM 区的安全U盘引导系统通过虚拟化运行,由独立资源管理器以私有文件系统的方式进行加载,然后以安全存储技术保存用户数据。该区域在Windows资源管理器中无U盘盘符显示。
2.3 私有文件系统技术
安全U盘内置了私有文件系统,它是区别于Windows的常用文件系统,该文件系统只能由内置的独立资源管理器加载和识别,因此,Windows资源管理器无法对安全U盘内的文件进行操作访问,盘内的文件操作须在独立资源管理器中完成。私有文件系统的应用,无误差地实现了安全U盘内文件操作的使用审计。
2.4 主动防病毒技术
CDROM 区防病毒。安全U盘插入计算机后,在Windows资源管理器中显示的不是普通U盘盘符,而是一个虚拟化运行的CDROM盘符。由于CDROM盘的只读特性,保存在CDROM区的安全U盘引导系统不会被感染任何病毒或木马。
安全存储区防病毒。一般地,U盘病毒大都以可执行代码的方式存在,附着在可执行程序(包括.exe;.com;.bad;.inf;.dlV;.sys各种脚文中件等)中,一旦运行可执行程序,病毒将实施传播。安全U盘的私有文件系统和独立资源管理器可以主动禁止直接打开U盘内的任何文件(禁止直接从U盘运行),实现对U盘病毒的主动防御。
安全U盘在经过有效的身份认证之前,Windows资源管理器不能对安全存储区进行任何操作,身份认证通过之后,安全存储区在计算机上也不显示任何盘符,此时只能通过CDROM区的专用安全资源管理器对安全存储区进行文件拷贝、删除等操作。由于安全U盘在Windows资源管理器不显示任何盘符,因此可以彻底防范病毒和木马的感染。
2.5 加密存储技术
安全存储区的存储和读取由CDROM区的专用安全资源管理器,通过国家密码管理局公布的SMS4加密算法和私有密钥进行全盘数据加密,并采用私有的文件系统方式进行操作。保证安全U盘即使被暴力拆开后,读取其Flash芯片也不能恢复原有文件。同时,所有的安全U盘须通过密钥管理中心进行密钥初始化,方能在政府部门专网上注册使用。因此,安全U盘的密钥由密钥管理中心统一管理,每一个安全U盘都具备唯一的密钥,即使是安全U盘的生产厂家也无法破解U盘。
2.6 自锁技术
安全U盘采用密码进行保护,并可要求密码必须具备一定强度才能使用(例如8位以上,字母分大小写、数字、标点符号中有2或3个以上)。密码输入错误次数超限(例如10次),则自动锁定该安全U盘,禁止继续使用。
2.7 防U盘克隆破解技术
目前市面上有不少烧盘工具,可以轻易克隆出一个同样的U盘。为了防止这种情况的出现,安全U盘的数据每一次读写都需要进行身份认证,所有未授权的读写都会被拒绝,因此安全U盘无法被克隆。安全U盘通过对关键代码和敏感处理程序进行虚拟机处理和代码混淆处理,来防止对程序与算法的破解。同时,对U盘硬件信息进行隐藏,有效防范目标性极强的黑客和攻击者针对特定硬件进行攻击。
2.8 互联网告警技术
安全U盘插入计算机后,其CDROM区的安全U盘引导系统会自动检测当前计算机是否连接到互联网,如果已经连接则禁止打开安全U盘。如果打开安全U盘后,计算机再连接到互联网,则安全U盘会强制关闭。如有需要,安全U盘还可强行切断计算机与互联网的连接,同时向监控中心报警。
三 应用管理
以上这些安全U盘关键技术的应用,有效防范了U盘使用过程中的安全隐患,但在应用过程中还需建立安全U盘管理系统,对安全U盘实施有效管理,实现技术和管理、硬件和软件的有机统一,才能更好地发挥其作用。
3.1 对非政府部门专网的U盘进行使用控制
控制外来U盘在政府部门专网上使用,是实现U盘管理的首要任务。安全U盘管理系统通过对计算机加载的U盘进行身份匹配,如果U盘无法通过主机端认证,将被拒绝使用。
3.2 U盘与主机双向认证
主机端认证主要包括两个方面,一方面,安全U盘对政府部门专网的检测,另一方面,政府部门专网对安全U盘的认证。安全U盘会对政府部门专网计算机的完整性和数字签名证书进行检测,安全U盘系统也会对安全U盘进行完整性和数字签名证书验证,保证了攻击者无法通过模拟政府部门专网环境窃取U盘内文件和模拟安全U盘进入政府部门专网进行窃密。
3.3 安全U盘生命周期控制
安全U盘在政府部门专网的注册、审计及注销等使用生命周期控制,均通过政府部门专网的PKI进行管理。
注册。安全U盘管理系统部署后,每个安全U盘必须通过系统注册后才能被系统加载使用。注册时可与CA证书同时使用,将CA证书信息写入安全U盘,以确定安全U盘使用身份的唯一性。所有注册信息全部自动记录在管理系统中,无需手工登记,所有的安全U盘注册信息将自动上传到服务器进行集中管理。
审计。安全U盘在使用过程中所产生的各种使用日志,均与注册时捆绑的CA证书一同上传至服务器,实现安全U盘使用日志与具体使用人关联。
注销。安全U 盘存政府部门专网的使用做注销处理时,也需要将安全U盘与捆绑注册的CA证书同时使用。注销时,系统会自动将安全U盘内所有的数据进行粉碎,并清除U盘内的电子标签。
3.4 安全U盘使用控制
安全U盘共分为3类,其中安全U盘管理系统可直接控制内网专用U盘和单向导入盘的是否可用。双向交换盘的使用策略可以由安全U盘管理系统来进行灵活配置。双向交换盘分为内网区、交换区,根据实际需要,系统可对它做相应的管理策略:交换区读写方式可被设置为单向导人、单向导出、双向交换、禁止交换4种状态。
3.5 其他安全管理
除了对安全U盘的管理外,安全U盘管理系统还可以对利用“手机同步软件” 、“虚拟机软件”实施涉密文件拷贝、删除的手段进行有效管理:
(1)手机同步软件控制。某些类型的手机可以在计算机上安装特定的同步软件后,手机的存储卡不再是以U盘盘符出现,而是表现为手机同步软件中的特殊文件夹,通过对此特殊文件夹的操作,使用者就可在计算机和手机之间进行数据交换。安全U盘管理系统就是对此类特殊文件夹进行控制,从而有效防止利用手机同步软件进行文件拷贝和交换 。
(2)虚拟机软件控制。在计算机(暂称主机)上安装VMWare等虚拟机系统软件后,可以在主机中虚拟出其他的计算机(暂称虚拟机),插入主机的U盘可以在虚拟机中进行各种文件操作。使用者可以将主机中的文件拷贝到虚拟机中,然后再从虚拟机中将文件拷贝到U盘,逃脱监管。安全U盘管理系统通过对虚拟机软件进行有效的管理和控制,从而可以防止使用者利用虚拟机软件在计算机和U盘间进行文件交换。
(3)系统还原功能控制。Windows XP以上操作系统中有一个功能叫做“系统还原”,通过建立系统还原点,用户可以将系统还原到某个特定时间或事件发生之前的状态。用户可以在安装U盘管理系统之前,创建一个系统还原点A;在安装了U盘管理系统之后,创建一个系统还原点B,用户可以随时将系统调入到系统还原点A,违规使用U盘后,再将系统调回到系统还原点B,从而逃脱监管。安全U盘管理系统可强制禁止“系统还原”功能,防止上述漏洞发生。
四 结语
政府部门专网安全U盘从硬件构成到技术的实现,全面地提高了U盘的使用安全性。同时,根据不同的使用场景设计不同类型的U盘,方便了管理。管理系统实现了安全U盘从注册、配发、审计、安全策略设置等跟踪管理。通过安全U盘在政府部门专网的广泛使用和应用的集中管理,必将有效防止由于U盘交叉使用而造成的病毒感染、挂马、失泄密等安全隐患,为政府部门专网的安全提供坚强保障。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:浅析专网安全U盘技术和应用管理
相关文章
