| USB安全存储方案
一、 引言
目前对于贵公司主要急需解决的问题就是控制电脑的USB端口应用,特别是对U盘的使用,禁止公司的员工将公司电脑的资料等数据拷贝到自己或其他U盘当中,容易将公司的资料进行外泄,此外还有可能从软盘、网络等途径进行传递数据传递,我们将根据这种情况针对贵公司情况提供如下的解决方案。
二、 网络环境
现在很多企业的网络架构基本是采取上图所示的架构,用路由器和交换机、网线将电脑连接起来,用对等共享的方式利用共网资源,虽然现在贵公司在行政手段要求只允许一、两台机器上网,但是只要在电脑上做些设置就可以上网,所以我们认为需要在技术手段上控制上网的方式,来保障企业数据的安全性。
三、 应用级产品的介绍
| |
| |
USB安全存储专家企业版简介 |
| |
|
| |
前言
|
| |
|
| |
防火墙、IDS、内外网隔离以及其它针对外部网络的访问控制系统,可有效防范来自网络外部的进攻,但对于企业内部的信息保密问题,却一直没有好的防范方法:内部人员可以轻松地将计算机中的机密信息通过网络、存储介质和打印等方式泄露出去,一旦这些敏感信息、重要数据、设计图纸等流失到敌对势力、竞争对手手中,将给国家、企、事业单位造成重大损失。政府机关、承担国家敏感课题的科研部门,包括涉及更多的国家机密,对于涉密信息采取严密的防护措施显得非常必要。目前,尽管国家制定了很多相关规章制度,并明确规定这些企事业单位的涉密计算机必须采取相应的安全防护措施,但是为了保障内部信息的安全,仅靠传统的行政管理措施已不能满足要求,必须依靠一些技术手段。 |
| |
美国CSI/FBI的调查结果显示,企业和政府机构因重要信息被窃所造成的损失超过病毒感染和黑客攻击所造成的损失,80%以上的安全威胁来自内部。中国国家信息安全测评认证中心的调查结果也表明,信息安全问题主要来自泄密和内部人员犯罪,而非病毒和外来黑客引起。
因此,如何保护企业的信息资产,如何防范内部人员犯罪,发生信息泄漏事件之后如何进行取证已经成为今后信息安全建设的一个重要部分。针对这些新的安全问题,我们团队(Eff-Studio)开发了USB安全存储专家(USSE),志在为中小企业和个人用户提供USB端口的信息安全管理,让USB端口不再成为信息安全的隐患。用户可以配合其他网络监控的程序一起构造一个安全的企业数据管理环境(后续我们将推出一系列企业数据安全管理工具)。 |
|
|
|
|
| |
|
| |
2006年,针对企业所面临的普遍存在的信息安全问题,我们开发了USB安全存储专家企业版2006,专门提供企业级的USB端口控制解决方案。现在经过多次的版本改进,USB安全存储专家企业版最新版在继承了原先产品优点的基础上又加入了许多新的功能和技术。USB安全存储专家企业版采用了“远程控制、集中管理、统一配置”的方式,拥有先进的分布式计算技术,成功的实现了智能安装、组策略管理、统一升级、远程查杀病毒、远程设置、统一设置等功能,大大提高了企业网络的安全系数,减少了网络管理的复杂度,能够为企事业单位的整体USB端口控制提供全方位解决方案。
在使用USB安全存储专家企业版的过程中,您将始终能够从如下方面体验前所未有的安全性提升,以及大幅降低的应用成本: |
| |
|
| |
|
|
|
集中的管理功能能够为您提供强大稳定的全网USB端口管理。并且由于经过了Efficient
Studio易用性设计,您的操作将变得更加高效与便捷。
多种安装方式能够最大限度贴合网络的实际环境,使您大幅缩短部署周期。
全网智能升级体系能够在第一时间获取由Efficient
Studio提供的更新并完成全网升级,而您完全不必花费任何精力,因为这一过程能够实现完全的自动化及智能性。 |
|
| |
|
| |
产品概述
|
| |
|
| |
2005年我们推出了USSE个人版,在版本不是很成熟的情况下,我们得到了大量用户的关心和支持。历经了近两年的紧张开发之后,我们现推出USSE-2006企业版,这是一个全方位的企业管理环境,我们在2005年企业版的基础之上,重新构造了内核,开发了一个完善的企业管理平台,将为您及您的企业提供最方便、最安全的管理环境。
USSE企业版由三个组件构成:USSE客户端(client)-运行在员工计算机上,USSE服务器端(Server)和USSE管理中心(administration
center)。USSE客户端是安装在需要管理的机器上,USSE服务器是安装在集中管理的服务器上(也可以是任意一台计算机上),USSE控制台可以安装在局域网内部或外部环境。
由于我们精心构造了网络平台,USSE企业版适合于可伸缩的网络环境和用户自定义的网络环境,也适用于没有Windows域管理的网络环境。
我们还提供用户定制服务,按照用户的要求完成特定的功能裁减和添加。
|
| |
|
| |
功能列表: |
| |
|
| |
1、客户端、服务器与管理员控制台三分离架构,大大方便管理员进行管理,可以远程操控。
2、所有客户端都由服务器进行控制,客户端的所有权限都可以在服务器进行设置。
3、不局限于局域网,客户端与服务器可以不在同一个局域网,只要能够TCP连接,就可以由服务器控制。
4、客户端自动从USSE服务器下载升级文件进行升级,维护更方便。客户端无需连接因特网即可进行升级。
5、控制客户端对移动硬盘、U盘的默认读写权限,可以设定为的权限级别有以下几种:
5.1 只读: 客户端不能向移动存储设备中写入任何文件,但是允许查看和取出文件。
5.2 阻止: 客户端不能读取和写入任何文件,USSE禁止移动存储设备接入计算机。
5.3 开放: 客户端的移动设备不受限制,跟未安装USSE时的情况一样,可以读取也可以写入。
5.4 写标识与标识识别:USSE写标识功能让您的电脑认您的移动设备,可以对写过标识的盘进行相应的权限设置,让您的USB端口只为您开。
5.5 透明的加密和解密:可以对客户所指定的任一USB存储设备进行加密,使指定的盘在指定的机器上使用,或指定盘在公司内部使用,带离公司后不可用。对整个盘进行数据加密,加密速度比普通的加密快数倍,设置加密后,使用十分方便,对整个盘进行加密后,数据很难还原,其他加密程序无法做到。如果您想打开经过加密的USB存储设备,那么您可以通过我们USSE的解密功能进行操作,值得注意的是这一操作须输入相应的管理员密码方可(高级版才支持该功能)。
6、对移动硬盘与U盘写入USSE标识,此标识全球唯一,技术全球领先,并与硬件相关,一经加密处理,拷贝无效,且此标识对用户透明,不会被用户无意中删除,安全可靠。
7、可以针对某个指纹进行相应的权限设置,可以设置的权限请参考5。
8、可以对每一个客户端进行权限策略设置,可以设置的策略有:
8.1 默认权限,如5所述。如果客户端发现接入的存储设备没有USSE标识或者没有对其
针对当前的USSE标识作权限设定,客户端将使用默认权限。
8.2 针对某个USSE标识的权限,最多可以设置500个USSE标识。
9、日志审计,服务器记录客户端使用USB存储设备的操作、时间及存储设备的属性等信息。
10、管理员用户管理,可以新增、删除、密码修改等操作,并提供远程安装策略。
11、对客户端进行分组管理,改动组策略可以影响所有组中成员的权限。
12、使用公认的最好的加密算法(AES、SHA),保护服务器数据不受黑客纂改。
13、使用工业强度的嵌入式数据库,数据安全又可靠,并且不需要任何其他数据库的支持,安装与维护超级简单。
14、后续版本支持数据加密,可以平滑过渡,减少开支。
15、服务器license管理,客户端不需要注册码,可以随时通过更换license进行“扩容”。
16、客户端秘密隐藏,几乎不占用系统内存和CPU时间。
17、客户端维护管理密码统一由管理员设定。
18、工作站不能自行卸载客户端,需要提供卸载密码方可卸载,以保证客户端不被恶意卸载。
19、提供组策略管理支持,将所有接受管理的客户端按逻辑分组,对整个局域网中所有客户端的管理统一又不显单调,独立中又显统一。归属到一个组中的客户机可以按照统一的方式进行管理,可以通过设置组选项来统一同一组内所有客户机的行为和权限等。 |
| |
|
| |
|
| |
功能特色:
|
| |
|
| |
|
| |
*在Windows系统底层对USB读写进行控制,没用任何办法绕过我们的控制,包括WinHex这样的写扇区软件
*无需管理员权限,客户端安装后可以使用任何帐户,客户端随系统启动,有足够的自我保护能力,无法卸载和结束客户端。
*为了确保数据安全,就算在极端情况下结束客户端,那么我们的底层模块将禁用所有的USB存储设备,以保证不会有数据从USB口泄露出去。
*基于C++开发,占用系统资源极少,对客户端系统的现有工作没有丝毫影响
*提供客户端界面控制工具,在紧急情况下输入管理密码可以临时对客户端权限进行设定。
*部署方便 |
| |
|
| |
|
| |
企业版的网络布局
|
| |
|
| |
|
| |
图1 |
| |
|
| |
图1中有3个网络元素,第一个是USSE服务器,第二个是工作站(以下简称客户端),第三个是管理员控制台(以下简称控制台),其中USSE服务器负责处理所有客户端的管理,所有控制都由服务器负责,每台客户端的模式(例如只能写,只能读)都从服务器得到,每个客户端的USB移动存储设备的动作(插入,拔除等)都上报给服务器,然后服务器记录到数据库。如果当前有控制台连接到服务器,那么服务器就会把这个事件通报所有控制台,显示在控制台上。
控制台负责设置客户端与服务器的运行模式,以及一些事件日志。另外控制台还可以在某个USB移动存储设备写入USSE标识。
|
| |
|
| |
企业版各个功能模块介绍
|
| |
|
| |
1)USSE服务器
|
| |
|
| |
|
USSE服务器是USSE企业版的核心组件,USSE服务器使用工业强度级别的嵌入式数据库,不但安全性与稳定性处于全球领先地位,足以保证服务器的数据安全,最大限度地保证数据不会丢失,并且查询与读取的速度也处于全球领先地位。由于使用我们领先的存储技术,我们将数据库中所有的数据存储到单个文件中,因此不需要任何第三方的数据库软件,这样使得不但安装十分简单,而且可以节约用户的成本,不必再购买其他数据库软件。USSE服务器使用的数据库不但稳定,另外数据库中的数据可以无缝的升级,保证用户的数据能够在新版本中使用。 |
|
|
|
|
| |
|
| |
USSE服务器主要存储以下信息:所有客户端的信息,所有控制台用户的信息,客户端操作日志记录,在企业内部使用的所有指纹信息,所有已经设定的组信息,以及组策略的相关数据。
USSE服务器负责管理所有客户端与控制台的连接请求,并且对客户端与控制台进行认证,防止黑客程序冒充控制台连接到服务器。并且对控制台用户名与密码进行认证。为了保证密码与用户名在网络中的安全性。密码在传输之前都是经过高强度的加密。这样即使有黑客在网络中窃取网络数据,也无法得到密码,十分安全可靠。
USSE服务器另外担当升级服务器的角色,所有的客户端升级工作都在服务器端进行,只需要在服务器的相关目录中放置由官方发布的客户端升级包即可,客户端在启动时自动读取升级信息,发现有升级文件,就会自动从USSE服务器下载文件,并且自动安装,无需在干预。
USSE服务器也充当Web服务器的角色,客户端安装可以基于Web方式安装,客户端安装时可以使用IE从USSE服务器下载后进行安装。
|
| |
|
| |
|
| |
2)USSE管理员控制台
|
| |
|
| |
| *USSE管理员控制台(以下简称控制台)是管理员控制客户端的一个图形管理工具。采用业界流行的C/S模式,控制灵活。 |
| |
| *控制台可以查看客户端当前的状态,添加修改和删除客户端的配置。可以添加、修改、删除控制台用户信息等等操作。可以添加、删除、修改组策略。 |
| |
| *控制台还可以对U盘、移动硬盘等进行写入和擦除USSE标识等操作。 |
| |
| *控制台的所有操作必须要登录到服务器后才可以进行各种操作。大部分操作都记录在服务器的数据库当中。控制台可以远程安装客户端,只需要远程计算机的管理员用户名和密码即可以队员端进行安装、卸载等操作。目前提供对客户端关机和重启等操作。
|
|
|
|
|
|
|
| |
|
| |
3)USSE企业版客户端
|
| |
|
| |
企业版客户端安装在每个被控的计算机上,基于Windows服务运行。
客户端随着计算机启动而自动启动,启动后自动连接到USSE企业版服务器,并且检查是否有更新的版本可用,如果有,客户端会自动从USSE企业版服务器中下载并且安装,所有的操作自动运行,无需用户任何干预,并且用户也无法察觉。
客户端对U盘和移动硬盘等存储设备的权限操作都依照服务器的设定进行,如果客户端不能连接服务器,那么客户端将根据网络断开时的管理模式管理移动存储设备。以确保企业的数据安全。
|
| |
|
| |
|
| |
性能特性
|
| |
|
| |
1.
整体性能
*软件界面功能体现:
一个管理员既可管理全网内所有的主机USB端口
支持远程跨广域网管理
2. 客户端性能
*CPU占用率<0.1%
*内存占用<3M
3. 网络性能
*网络带宽占用率<1‰
*对客户的价值:
简化网络管理
避免网关设备造成的性能瓶颈
4. 支持的客户端类型
*软件界面功能体现:
Win2K,WinXP,Win2003 |
| |
|
| |
USSE企业版2006子版本型号 |
| |
|
| |
|
| |
|
USSE企业版2006 |
子版本 |
对外报价 |
功能差异 |
|
基本版
|
客户端 |
100元/个 |
具有只读、放行、阻止三种读写模式。 |
|
服务器 |
5000元/个 |
|
控制台 |
免费 |
|
标准版 |
客户端 |
200元/个 |
除基本版所具有的功能外,还添加了写标识功能。 |
|
服务器 |
5000元/个 |
|
控制台 |
免费 |
|
白金版 |
客户端 |
360元/个 |
除标准版具有的功能外,还添加了对移动存储设备进行加密的功能。 |
|
服务器 |
5000元/个 |
|
控制台 |
免费 |
|
| |
|
| |
|
| |
部署实例 |
| |
|
| |
1)普通企业环境
|
| |
|
| |
这是最为普通的企业环境部署案例。 |
| |
具体的网络布置如下图:
|
| |
|
| |
|
| |
2)高级网络布署 |
| |
|
| |
从网络布局图中可以看到,局域网外部也有一台控制台,这种布局是前一种布局的改进型,但是可以通过外部网远程控制局域网内部的服务器,并且可以查看所有工作站的活动情况,这种布局需要网络支持,例如必须打开某个特定的端口。
|
| |
|
| |
|
| |
|
| |
企业版套件内容
|
| |
|
| |
提供用户手册及介绍文档,提供服务器、控制台、客户端安装光盘一张。提供USB加密狗一个,如果需要安装多个服务器,可以提供多个加密狗。
|
微软ISA(2004) 服务器系统:
作为微软公司路由级网络防火墙(Microsoft?
Internet Security and Acceleration
Server 2004 )有着极其强大的功能,同时微软公司为中、型企业制定企业信息化安全策略的重要工具。简单介绍如下:
管理委派:用来向用户或组以委派管理权限,ISA基于角色来分配三种权限之一,要注意的是这个地方与帐号本身的权限并没有关系。换句话说,一个内置的USERS组或普通用户也可以被委派于ISA完全权限管理员权限。还有一个特别的地方是,无法删除最后一个完全权限管理员。不然的话,就没有人再可以管理ISA服务器了,与系统一样不能删除内置的administrator角色道理是一致的!
在相应权限委派后,还需要相应的管理工具来管理ISA服务器,以管理方法来划分。分为本地管理与远程管理,本地管理ISA,只要客户有本机登录权限与相应的委派权限结合起来,就可以管理或监视ISA服务器。远程管理ISA,需要在规则上放开相应的连接端口与身份帐号,以赋于连接工具远程连接ISA服务器。这时可以使用MMC,RDP,MOM以及第三方连接管理工具就可以远程管理ISA服务。
配置防火墙链:这个功能只是为FWC与SNAT两种客户端将路由请求到上游服务器,上游服务器可以是代理服务器或者是路由器。它不会缓存客户端的对象请求,一概提交到上游既可。这时候ISA本身相当于二级代理服务器。这只是个称呼而已,默认情况下是以ISA本身直接向目的地检索请求对象。
指定拨号首选项:它是为PPPOE,防火墙链,WEB链来服务于客户端远程未知的请求。这个地方是与网络连接中预先建立的连接息息相关的,值得注意的地方是要不要把此拨号连接作为默认网关。因为拨号连接的默认网关度量是最低的。它会误导ISA已存的默认路由请求到不该请求的链路。
指定证书吊销:此功能是为安全WEB站点服务的,ISA会代替WEB服务器来检查客服双方证书的有效性,大多数为公众服务的安全WEB服务器,只是向公众证实自身的可靠性。并不需要客户端出示证书来检验对方。但在特别用途的WEB还是需要验证客户的。此功能也为安全WEB服务器在信任的CA中,验证服务器的证书是否被吊销。有一个特别的地方就是,即使安全WEB服务器并不需要验证客户身份,但ISA也会代替安全WEB来验证客户的身份。如果不需要验证客户端身份的话,在此功能这个地方可以取消它。
定义防火墙客户端设置:它是用来定义FWC程序与系统服务的设置,以是否可以允许通过ISA通信,其实还有一些键值选项只能手工在FWC配置文件中设置,FWC会每六小时更新一次以刷新配置文件。这几个配置文件为:locallat.txt,common.ini,management.ini,它们都位于客户机所有用户或当前用户FWC配置文件之下。防火墙客户端设置主要还是用来为系统程序服务,因为这些服务程序是不能随便改变名称。而对一些能改变程序名称而绕过IAS发起通信并不是很有效。
查看ISA服务器计算机详细信息:在此可以查看ISA版本号,ID,安装时间,及安装目录,甚至可以记录一些后备升级的描述信息。
配置链接转换:这些内容类型的转换作用主要是为了隐藏主机的NETBIOS名称,及转换为客户正确引用的URL信息,当发布多媒休WEB网站,就可以根据需要将发布的类型以转换文件类型与MEMI类型的请求,否则WEB筛选器检查到非法请求时将显示为断开的连接,此内容类型链接转换与URL请求中的转义字符及端口映射是两回事。在复杂的WEB站点需要配合设置。
定义RADIUS服务器:全称远程身份验证拨入用户服务,是独立于各自厂商的一种身份验证标准,在MS中称为IAS,既因特网验证服务,此功能是用来把用户提交的身份信息,向信任的IAS服务器提交以验证用户的身份。以确定帐号的有效性,是否赋于连接权限。把大量的帐号保存在ISA本身就是一种风险。而RADIUS的作用和优点一是帐号可以集中性验证,二是减轻了ISA验证用户身份的负担。
启用入侵检测和DNS攻击检测:这两个小功能是ISA用来检测非法的入侵请求,TCP/IP协议至今也不是一种安全的协议。协议中包含的非法数据包请求是非常错乱复杂的,这些协议中带有非法请求的链接都可以完全交给ISA来处理,以及是否触发定义的警报,给予管理员提醒,也可以使用AT,NET命令来执行指定的服务批处理操作。DNS服务是个非常重要的基础服务。特别是权威DNS区域管理员有必要在第一时间根据警报来知道DNS的服务是否处于正常状态。
定义IP首选项:在这个地方有三个选项,IP选项筛选的原理比较复杂,在此层次上是基于IP数据包选项的类型进行检查。这个地方与IP等级类型并不是一回事。它是检查包含在数据包头上IP选项赋于数据包一些传输限制,一个很有用的选项如“严格源路由”选项。阻止IP片段虽然提高数据的传输性能,但也会带给ISA较大的负担,而且对于建立IPSEC链接时,在证书交换,音频视频传输方面可能会造成问题。因为某些音频视频传输协议在接收方并不遵守IP数据包排序。启用IP路由,ISA相当于一台ROUTE,向目的地发送原始数据包。不启用路由时ISA会复制接收的原始数据包请求,以自身用户模式向目的地发送请求。从而为远程目的地隐藏原始网络信息。
定义链接限制:用来限制每条规则在每秒中和每个客户端发起的连接限制。对于TCP链接在不断开连接或TTL生存期内,新发起的TCP链接将被拒绝。而对于UDP链接发起的链接将取代旧的UDP链接。在网络关系为NAT时,逻辑上ISA上的每个IP支持65535*2链接。实际上远没有这么多,也受限于链路带宽与ISA本身性能限制。它很类似于CISCO路由器NAT全局转换LOAD
OVER负载。
|
