淺析內網安全U盤技術解決方案

#/6淺析內網安全盤技術解決方案為了保障信息安全，各級政府部門建立了與互聯網進行物理隔離的部門專用網絡，以此解決網絡互聯互通造成的失泄密、病毒感染、木馬侵入等問題。然而，由于移動存儲介質的方便快捷，在互聯網和專用網絡間交叉使用，給信息安全帶來了新的威脅和挑戰(zhàn)。文中分析了盤的使用給政府專網帶來的安全隱患，引入了專網安全盤的概念，給出了專網安全盤的相關技術和應用管理，以此來規(guī)范和保障移動存儲介質的安全隨著存儲技術突飛猛進的發(fā)展，盤、移動硬盤、手機、數碼相機、攝像機、、、、各種等移動存儲設備以下統(tǒng)稱盤由于其體積小、攜帶方便、存儲量大、使用靈活等特點，迅速得到廣泛應用。根據對典型設備的產品銷售進行測算，當前全球使用中的各類移動存儲設備超過億個，盤在帶給用戶使用便捷的同時，已經成為了計算機病毒傳播及信息泄密的首要途徑。一盤的安全隱患近年來，盤帶來的安全隱患在政府部門專網更顯突，其安全主要表現在：盤的交叉使用由于普通盤只是一個不受控的存儲介質，可以在任何計算機上使用。因此，它可以有意無意地在政府部門專網內網或互聯網外網上交叉使用；或在涉密計算機和非涉密計算機間交叉使用。一旦發(fā)生交叉使用的違規(guī)事件，涉密文件極有可能被非法拷貝，造成失泄密。木馬擺渡普通盤通過在內網和外網問的交叉使用，為木馬擺渡突破政府部門專網的“物理隔離”提供了條件。在政府部門專網的計算機上，木馬先將文件拷貝到盤，一旦該盤插入到聯接互聯網的計算機時，木馬就會將拷貝出來的文件通過互聯網發(fā)送出去。病毒傳播感染病毒的計算機會將病毒感染到盤，一旦該盤插入到其他計算機上，就會造成無毒計算機感染病毒。如此反復，相互感染，從而引發(fā)整個網絡的病毒感染，造成系統(tǒng)損壞、數據丟失、死機，甚至整個網絡癱瘓。無法審計普通盤無論在政府部門專網還是在互聯網上使用，即使主動進行違規(guī)操作，也無法進行有效的審計和取證。丟失被盜如果盤丟失或被盜，其保存的涉密信息將會丟失，造成信息泄密。二專網安全盤的相關技術政府部門專網安全盤區(qū)別于普通盤主要采用了以下關鍵技術。安全盤的特有分類根據政府部門專網的特點和安全保密要求，安全盤依其使用方式的不同，可分為類：內網專用盤，限在政府部門專網內終端之間進行數據信息交換；單向導入盤，可將外網數據信息單向導人到政府部門專網內；雙向交換盤，可在政府部門專網與外網之間相互交換數據信息。安全盤特殊分區(qū)技術安全盤在硬件上采用了不同的芯片組不同于普通盤的一組芯片）分為個獨立的存儲空間：區(qū)黑匣子區(qū)安全存儲區(qū)。區(qū)。該區(qū)存儲私有的安全盤引導系統(tǒng)和專用安全資源管理器，且具有的只讀屬性。黑匣子區(qū)。該區(qū)記錄該安全盤的所有操作，即：何時、何人、哪臺計算機、哪些操作拷入拷出新建，刪除更名）哪些文件、文件大小等。黑匣子區(qū)不影響使用者的正常使用，且基于獨立的芯片存儲，用戶不可見。因此。用戶無法對它的任何數據進行刪除、復制、修改等操作，同時也不會被格式化所清除。黑匣子區(qū)又可分為保護區(qū)和日志區(qū)，保護區(qū)主要保存盤標簽信息、盤的硬件序列號、盤密鑰加密塊；日志區(qū)用于保存用戶對盤文件操作的日志。安全存儲區(qū)。該區(qū)是用戶存儲數據的區(qū)域。在認證通過后，由區(qū)的安全盤引導系統(tǒng)通過虛擬化運行，由獨立資源管理器以私有文件系統(tǒng)的方式進行加載，然后以安全存儲技術保存用戶數據。該區(qū)域在資源管理器中無盤盤符顯示。私有文件系統(tǒng)技術安全盤內置了私有文件系統(tǒng)，它是區(qū)別于的常用文件系統(tǒng)，該文件系統(tǒng)只能由內置的獨立資源管理器加載和識別，因此，資源管理器無法對安全盤內的文件進行操作訪問，盤內的文件操作須在獨立資源管理器中完成。私有文件系統(tǒng)的應用，無誤差地實現了安全盤內文件操作的使用審計。主動防病毒技術區(qū)防病毒。安全盤插入計算機后，在資源管理器中顯示的不是普通盤盤符，而是一個虛擬化運行的盤符。由于盤的只讀特性，保存在區(qū)的安全盤引導系統(tǒng)不會被感染任何病毒或木馬。安全存儲區(qū)防病毒。一般地，盤病毒大都以可執(zhí)行代碼的方式存在，附著在可執(zhí)行程序（包括；；；；；各種腳文中件等）中，一旦運行可執(zhí)行程序，病毒將實施傳播。安全盤的私有文件系統(tǒng)和獨立資源管理器可以主動禁止直接打開盤內的任何文件禁止直接從盤運行）實現對盤病毒的主動防御。更多咨詢：鄭經理安全盤在經過有效的身份認證之前，資源管理器不能對安全存儲區(qū)進行任何操作，身份認證通過之后，安全存儲區(qū)在計算機上也不顯示任何盤符，此時只能通過區(qū)的專用安全資源管理器對安全存儲區(qū)進行文件拷貝、刪除等操作。由于安全盤在資源管理器不顯示任何盤符，因此可以徹底防范病毒和木馬的感染。加密存儲技術安全存儲區(qū)的存儲和讀取由區(qū)的專用安全資源管理器，通過國家密碼管理局公布的、、、加密算法和私有密鑰進行數據加密，并采用私有的文件系統(tǒng)方式進行操作。保證安全盤即使被暴力拆開后，讀取其芯片也不能恢復原有文件。自鎖技術安全盤采用密碼進行保護，并可要求密碼必須具備一定強度才能使用例如位以上，字母分大小寫、數字、標點符號中有或個以上）密碼輸入錯誤次數超限例如次）則自動鎖定該安全盤，禁止繼續(xù)使用。防盤克隆破解技術目前市面上有不少燒盤工具，可以輕易克隆出一個同樣的盤。為了防止這種情況的出現，安全盤的數據每一次讀寫都需要進行身份認證，所有未授權的讀寫都會被拒絕，因此安全盤無法被克隆。安全盤通過對關鍵代碼和敏感處理程序進行虛擬機處理和代碼混淆處理，來防止對程序與算法的破解。同時，對盤硬件信息進行隱藏，有效防范目標性極強的黑客和攻擊者針對特定硬件進行攻擊。互聯網告警技術安全盤插入計算機后，其區(qū)的安全盤引導系統(tǒng)會自動檢測當前計算機是否連接到互聯網，如果已經連接則禁止打開安全盤。如果打開安全盤后，計算機再連接到互聯網，則安全盤會強制關閉。如有需要，安全盤還可強行切斷計算機與互聯網的連接，同時向監(jiān)控中心報警。三、專網安全盤技術方案：北京萬協通信息技術有限公司依托在信息安全多年的技術積累，為了滿足不同用戶的需求，基于加密芯片推出一系列的專網安全盤解決方案，供技術分析和參考。采用安全芯片，此芯片作為完全國有知識產權的芯片已經通過了國家密碼局的安全認證，符合國家相關技術要求，完全滿足政府和軍隊對產品的要求。芯片內部架構該芯片不僅接口豐富，同時具備兩個接口，這項技術為同方首創(chuàng)，為芯片的應用提供了一個更加靈活的平臺。密鑰存放在芯片內部，密碼的認證也在芯片內部進行，具有超強的防破解能力。集成多種通信接口和多種信息安全算法（、、、、、等），可實現高度整合的單芯片解決方案。特點：硬件加密更加安全功能模塊化高讀寫速度多種方案可供選擇（）功能模塊化萬協通不僅提供加密盤的開發(fā)工具、成熟的接口、大量的函數的程序，同時也把很多加密盤的常用功能做了模塊化處理，形成不同的功能包，用戶可以根據需求選擇功能包，組合成自己的產品。這種方式可以幫助用戶節(jié)省了大量的研發(fā)與測試時間，快速的形成產品，占領市場。（）高讀寫速度影響加密盤讀寫速度的因素主要有兩點：存儲的讀寫速度，加密芯片的加解密速度。芯片的加解密速度三，遠遠高于目前存儲的速度，不會影響到整個方案的性能。（）多種方案可供選擇萬協通針對盤的主要存儲介質，出臺三種技術方案，滿足不同客戶的需求。存儲方案：USB2.0HS加密、NFCNandFlashUSB2.0HS加密、NFCNandFlashNFC接口）加密U盤利用芯片內部自帶的控制功能和通過接口直接連接，此方案性能穩(wěn)定，但是要針對不同品牌類型需要單獨開發(fā)驅動程序，芯片產品更新換代很快，客戶需要不斷的更新驅動，后期研發(fā)改動成本較大。卡存儲方案：

USB2.0HSUBB2'.0HS：:USB2.0HSUBB2'.0HS：:加密芯片 讀卡器芯片 TF卡加密U盤加密芯片通過接口連接讀卡器芯片，再由讀卡器芯片控制后面的卡。只有具有雙接口的才能做到為卡提供一個額外的接口。此方案產品穩(wěn)定性較高，成本與方案相比會大大降低（卡的價格低于，卡不存在驅動升級的后期開發(fā)），卡安插在板上的卡槽內，不是焊接在板上，不同容量的產品插相對容量的即可，一個板實現多容量選擇，容量靈活性很強。存儲方案USB2.0HSUSB2.0HS加密芯片UDP加密USB2.0HSUSB2.0HS加密芯片UDP加密U盤加密芯片通過接口直接連接后面的模塊，這類產品性能比較穩(wěn)定，成本與卡方案相比還要低很多，是低成本加密盤方案的不二選擇。三種方案的比較方案穩(wěn)定性硬件成本存儲驅動升級后期研發(fā)投入兼容性高高需要需要低卡高一般不需要不需要高較高低不需