USB管理系统
用于USB管理的系统
以互联网应用为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展。
背景介绍
信息化时代的到来和信息基础设施建设的完善,政府的信息化轮廓也日益清晰。通过“政府上网工程”的实施,大量频繁的行政管理和日常事务都通过相关性的业务应用系统在网上协同办公,大量决策权下放给团体和个人,政府利用互联网提高了办公效率。但伴随网络的应用升级,安全问题日益成为影响网络效能的重要问题,Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全解决方案提出了更高的要求。
政府机构从事的行业性质是跟国家紧密联系的,所涉及信息可以说都带有机密性,所以其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。
政府机构的安全问题主要是以下几个方面构成的:
边界安全 政府网络在向民众和其他机构开放的同时,也面临黑客攻击和非法入侵危险,它们将破坏服务和通信,使信息被窃或被篡改。
——边界防火墙部署在政府内网与外网间的网关上,从而可阻止各种类型的攻击,例如拒绝服务攻击。同时,它只允许授权用户登录企业网络。
内部安全 内部威胁是政府面临的一个严重危险,特别是政府设施通常要对公众实行开放,则邮件、即时通信及FTP等方式往往都可以成为内部员工泄密的重要途径。 ——首先对网络内部使用者的上网行为进行合理的规划,同时针对内部邮件、即时通讯、Web访问以及P2P通讯等进行全面管理与监控,通过各种控制手段,规范政府员工的信息发送行为,以确保政府内部网络使用的保密性。
互联网安全 通常状况下,政府机构之间通过互联网或其他公用网络处理事务和执行通信,当通信超出防火墙的安全范围而进入传送阶段时,容易被监听截取。 ——政府应该使用支持虚拟专用网(VPN)的边缘防火墙虚拟专用网能够在发送方与接收方之间,建立一种高加密数字“隧道”。所有的通信,甚至包括IP话音通信,均通过这种数字“隧道”执行传输,从而保护通讯免遭窥探。
病毒与垃圾邮件 政府网一旦与互联网或其它公用网络相连,就会遭遇大量泛滥的垃圾邮件、病毒邮件,以及色情、政治相关信息的邮件,不但严重影响邮件系统的工作效率,危害到网络的正常运行,而且影响员工工作效率,甚至会带来一些极其不好的负面影响。
——使用 “亡羊补牢”式的防御工具,已经无法满足政府网络的需求。网关防毒工具是必不可少的,以在政府网络边缘阻止病毒邮件和垃圾邮件的入侵。
应用系统的漏洞 政府协同办公平台、政府网站、政府邮件系统、政府网上报送审批平台等大量应用系统和数据平台存在于政府网中。 ——存在的安全漏洞和隐患自然相应较多,也容易被攻击者利用来充当跳板。 综上所述:政府信息系统的安全可以简单的规划成两个部分:
1、应用系统环境安全:包括软件系统硬件系统;现有涉密内网终端的操作系统通常使用windowsxp和其他应用程序;
2、数据安全问题:包括政府的核心数据库内容,工作中的敏感和关键业务数据,缺少从数据生成起到数据转移到数据保管的数据生命周期安全解决方案,普欧所提的数据安全解决方案就是以这个为出发点;随着对水务局重视和不断投入,应用系统环境安全取得了非常好的成绩(包括软硬件的持续投入和升级/涉密内网安全架构的不断合理化/信息化人员不断优化管理章程),但是在针对涉密网内的数据安全管理一块还是缺乏足够的管理手段和管理工具。
现状与需求
涉密内网数据安全现状描述
涉密内网和外网之间的数据交换以及涉密单机的外设接口缺乏更有效的监管,包括数据转移生成时的审计和全程监控以及对涉密机的所有外设接口进行监控管理;
使用通常的移动存储介质,内部人员的工作失误可能会导致将单位内部重要信息复制或无意泄露出去,从而造成单位敏感信息泄密。
移动存储介质一旦无意丢失,存储在里面的大量敏感数据或个人隐私数据可能被不法人员用以不正常用途,造成数据泄密,那么必须要求移动存储介质具备防暴力破解和自动底层删除功能。
对于内部使用的移动存储介质与在内部其他涉密单机数据交换时,没有安全可管理的交换方式。
发生信息外泄后,能否对内部人员的数据操作日志进行必要审计以查清数据问题源头。
政府政务网需要将部分数据交换到外部政府门户网站的时候,如何对其交换的数据进行管控和审计。
维修&报废的存储硬件缺乏足够的管控和数据安全的审计手段。
目标
通过在磐正移动存储介质安全解决方案在市政府的正常应用及全面推广,为电子政务保驾护航,充分保证涉密机器的信息和数据的交换安全,并建立合理的审计机制对IT运维规则进行不断的提升:
指导原则
资源共享,安全保密。从打破条块分割、信息封锁入手;充分利用现有资源,逐步形成统一的政府系统信息网络和应用体系。建立信息共事机制,促进信息共享。要严格执行国家有关安全保密法规与“三网一库”建设同步建设好安全保密系统。要进一步加强应用过程中的制度建设和系统管理,确保国家信息安全。
移动存储数据安全管理系统项目方案
磐固移动存储数据安全管理系统方案依托磐固移动存储及管理系统实现。磐固移动存储数据安全管理系统是广东省国家保密局和广东省科技厅重大科技项目,已通过广东省国家保密局组织的产品测试,并被列入广东省保密科技产品政府采购名录,属广东省国家保密局要求全省有关单位强制配置产品。
“磐固” USB安全移动存储及管理系统主要由USB移动存储管理系统与专用安全U盘组成。USB移动存储管理系统通过对USB端口管理实现“USB“移动存储设备可控,可管理。利用移动存储设备管理系统、磐固保密安全U盘、专用数据交换盘,审计跟踪存储虚拟化等技术手段,对敏感信息、重要业务数据的存储、传播和处理过程实施全方位的安全保护,并对日常工作中与外来数据交换提供一个安全的可管理方案。
系统功能
系统包括:磐固移动存储管理系统(单机版和网络版),磐固安全U盘,磐固数据交换盘及磐固中间机等,磐固移动存储管理系统单机版适合涉密单机管理模式;网络版适合涉密内网集中管理模式,并提供独立的审计日志系统;中间机应用于涉密内网和外网之间的数据交换。
移动存储介质安全系统数据流程和管理说明
(1)涉密单机区采用专用安全U盘用于涉密计算机之间数据交换,该区安全U盘只能在本区使用,无法在涉密内网和外网中使用;
(2)政务信息中心的涉密机预装了XP的自动还原系统,安全U盘的动作日志将被记录到安全U盘的系统隐藏区,接入到任何涉密内网终端时会自动将日志文件上传到管理系统中以便审计;
(3)可考虑使用带操作系统的安全U盘,每个操作员将自己常用的文件/应用程序等等拷入到U盘中;每个操作员携带的就是一个受监控微型计算机,不会在涉密机上留下任何文件痕迹;
(4)值得注意的是涉密内网机器的安全U盘不可在涉密单机上使用,反之亦然;
(5)涉密单机和涉密内网机器需要进行数据转移时必须要通过磐正导入导出盘,以保证数据的安全性和可审计性;
涉密单机与涉密内外网数据交换流程和管理说明
(1)涉密内网中的涉密单机和涉密内网及外网机器之间需要交换数据时将采用专用数据单向导入和单向导出盘,单向导入导出盘是由省保密局认可和唯一指定用于非涉密计算机和涉密计算机之间专用数据交换产品,因此可以在涉密计算机和非涉密计算机之间单向交换文件,当然允许在涉密和非涉密计算机之间同时存在U盘接入痕迹。
(2)单向导入盘用于需要从非涉密计算机导入文件到涉密计算机时使用,该盘在外网非涉密计算机只能导入文件不能反向导出文件,在涉密区只能导出文件不能反向导入文件防止非法窃取涉密资料
(3)单向导出盘用于需要从涉密计算机导出非涉密文件情况使用,该盘在非涉密计算机只能导出文件,并且当导出盘检测到外网非涉密计算机有联通互联网行为时自动切断网络,并且报警。单向导出盘在涉密计算机只能导入文件不能反向导出文件防止木马和病毒入侵
涉密内网区与外网数据交换流程和管理说明:
(1)涉密内网计算机之间采用统一的专用内网安全U盘,该盘只能在本涉密内网使用无法在外网使用,内外网数据交换采用一般采用单向导入导出盘解决,单向导入导出盘是由省保密局认可和唯一指定用于从非涉密计算机与涉密计算机的专用数据交换产品,因此可以在内网和外网之间单向交换文件,当然允许在内网和外网计算机之间同时存在U盘接入痕迹。
(2)由于政府办公厅内部网络将全部并入政府涉密内网,并同外网(Internet)进行物理隔绝,当内网需要和外网进行数据交换时,建议通过中间机机制来实现,以保证数据交换的安全性和可审计机制;
(3)我公司的中间机基于WINDOWS-XP操作系统运行,并对中间机的XP系统提供驱动级的开发和保护,使移动存储设备在进行数据转移时得到完善的安全保护,在后续开发中我们考虑根据大部分客户需求,计划在我公司独有的操作系统上进行订制开发;中间机要求在数据交换无痕操作并记录工作日志用以后期审计,并且安装相关防病毒木马软件对来往数据进行控制达到防病毒的目的;
参考资料
最新修订时间:2024-12-28 02:39
目录
概述
背景介绍
参考资料