当前位置:StrongBox移动存储介质安全管理方案
1.1 产品简介
目前,大多数的计算机网络还是采用分散式的管理的方式,每台计算机相对独立,拥有独立的操作系统、应用软件,网络结构如下图所示:
由于计算机技术还存在着一定的缺陷,随着系统在企业的运行,逐渐暴露出种种的弊端,主要表现在:
l 终端层故障率高:终端包含有操作系统、应用程序等软件部分的存储和计算,而软件部分产生的各种问题,如误操作、病毒破坏等都会直接影响到终端层的稳定性,时间就是生命,在面对就诊的患者来说,不容耽搁。
l 终端层难以管理:终端层的应用系统分布在每一台终端,没有集中的管理机制,不能实现统一的部署和管理,传统的分布式管理手段费时费力。保证系统正常运行是IT工作者的天职,但是传统的模式将维护人员严格的束缚在某一固定工作范围之内,当面临紧急情况的时候,分身乏术。
l 系统维护费用居高不下:办公设备多样化,维护工作量随着使用时间的延长逐年递增,人力物力投入巨大。
l 快速部署困难:当有重大紧急情况出现时,需要快速建立一套新的应急信息系统时缺乏更好的部署方法,只能依靠人力和物力的增加来实现。
安科针对企业信息系统应用环境的暴露出的种种问题,推出了安科介质管理解决方案,全面提升系统的性能,为广大用户提供了高性能价格比、高安全性、高稳定性、易使用、易维护的信息化办公平台。
某科研单位内网是无盘工作站系统,所有数据实际都是存储在服务器上的,用户可以通过移动存储的方式来带入或带出资料,所以移动存储是信息泄露的一个主要的方式,清大安科StrongBox ××版项目即是针对某科研单位移动存储信息安全问题给出的一个全面的解决方案。
1.2 产品用途
StrongBox ××版是一个内网安全的整体解决方案,其中包括USB存储设备(以下简称“USB设备”)认证、远程日志、安全密盘的制作以及网络接入的控制。制作安全密盘的主要功能与StrongBox移动存储加载器类似。
StrongBox ××版是管理员将USB设备进行整盘加密制作成安全密盘,并为密盘用户设置登录密码,通过管理服务器记录用户的每一次操作,通过对密盘所有用户的操作日志的控制,达到监视文件传输的方向,保证军队机密资料的安全。
只有经过管理员授权的USB设备,才能在某科研单位内网进行操作,没有被管理员授权的USB设备,无法在内网中使用,达到将一切不安全移动USB设备拒之门外。
只有经过授权的终端才能访问内网,未经授权的终端无法访问网络,可防止非法终端、PC访问集中存储的数据,可防止任何网络手段对系统的攻击。在管理服务器端配备RAID1降低了终端的故障率,提高了终端的稳定性。
操作系统和应用的安装维护完全通过统一部署来完成,终端用户除了使用USB设备的功能,没有任何其他权利修改USB设备的设置。密盘的制作、授权和禁用都由管理员进行统一管理,管理员可以查看保存到后台服务器上的所有密盘日志信息,需要时可随时调出查询。
安全密盘的制作和管理,都简单、易懂,配合全程的功能演示、帮助信息,短时间内即可熟练操作该软件。只要插入USB设备,USB服务端和客户端程序都是开机自动运行的,无需人工操作,大幅度降低了管理成本。
用户将USB设备插入客户端计算机,就可以在U盘进行正常的读、写操作,退出时只需关闭StrongBox软件拔出USB设备即可实现。
StrongBox ××版拥有强大的远程日志管理功能,在内网中使用已授权的USB设备,只要用户对安全密盘进行操作的过程中,有任何写磁盘的操作,都会以日志的形式保存下来,并发送到服务器上。
StrongBox ××部版还提供离线日志功能,当USB设备被带出内网,无法连接到内网服务器时,用户对密盘操作的日志文件会被保存在密盘内,一旦USB设备再次连接到服务端,客户端会自动把日志传到服务器上。如果有信息泄露等问题出现,可以通过查询这些日志信息来追查问题的根源。
1.4 USB认证系统管理端功能
管理员对USB设备进行统一管理,管理员可以对这些USB设备进行授权或禁用,还可以查看用户使用USB设备的日志。在内网中只有经过授权的USB设备才能在内网使用。
某科研单位内网是无盘工作站系统,所有数据实际都是存储在服务器上的,用户通过移动设备带入或带出资料。管理员对USB设备进行统一授权(即对USB设备进行认证),并将每一个授权的USB设备贴上标签,分配给指定用户。只有经过管理员授权的USB设备才能使用。在客户端机器上,开机自动启动USB认证程序,当客户端计算机上插入USB设备时,服务器自动检测USB设备是否经过授权,若经过授权,USB设备可以正常使用;若果没有经过授权,系统提示此USB设备为非法USB,这样陌生的USB就无法带走内网中的信息。
管理员可以在管理端对USB设备进行启用或禁用。如果管理员发现某个已授权的USB设备有不安全行为,可直接在管理端禁止此USB设备的使用。被禁止的USB设备虽然经过授权,在空军某部内网中仍然不可用。
StrongBox ××部版拥有强大的远程日志管理功能,只有被制作成密盘的USB设备才可以具有写日志的功能。
在内网客户端计算机中插入经过授权的USB设备,用户在USB设备的安全密盘进行操作,用户对安全密盘进行的所有写磁盘的操作,都会以日志的形式保存下来,并发送到服务器数据库保存起来。管理员监视密盘用户对密盘的操作日志。
例如:用户新建文件,修改文件或者将密盘内的文件复制到密盘外和将密盘外的文件复制到密盘内等操作,都可以以日志形式保存下来并发送到服务器数据库。
StrongBox ××版还提供离线日志功能,当USB设备被带出内网,无法连接到内网服务器时,用户对密盘操作的日志文件会被保存在密盘内,一旦USB设备再次连接到服务端,客户端会自动把日志传到服务器上,自动保存到数据库。
管理员只要查看日志,就可以监视所有用户的操作。如果管理员监测到密盘有不安全的情况,可直接禁用该盘。如果有信息泄露等问题出现,可以通过查询这些日志信息来追查问题的根源。
1.5.1 USB全盘加密
StrongBox ××版采用对USB设备整盘加密,即管理员对USB设备的存储区进行整盘加密,加密后USB设备的整个存储区都是一个密区,没有剩余的存储空间。USB设备的用户只能将文件存入密盘,整个密盘都在管理员的监控范围之内。
管理员在安全密盘生成器中,将USB设备进行全盘加密制作成安全密盘,并为生成的密盘设置用户名和密码。用户使用这个USB设备的时候,需要输入正确的用户名和密码才能正常登录,只有拥有密码的用户可以使用,其他人无法使用。这种加密方式,有利于内部对USB移动设备的管理,保证信息安全。
第三章 程序安装步骤
第四章 用户使用向导
…………(略)
