前言

　　今年全国各地由国家保密局牵头组织的涉密单位保密大检查中，暴露问题最多的是移动存储介质的使用管理方面，包括移动存储导致信息泄漏、交叉使用、病毒木马传播等。多样化的U盘、移动硬盘、手机/MP3/MP4、CF/MD/SD卡、数码相机以及各类Flash Disk等移动存储介质容量越来越大，体积越来越小，携带使用方便，这类移动存储设备为信息传递带来便捷的同时，也给信息安全带来严重的威胁：

1.移动存储设备的使用带来的安全隐患：

1.1威胁之一：信息泄密

　　移动存储设备直接丢失和被窃直接导致信息泄密，还有内部人员无意将存储了内部信息的U盘拿出去使用，这些数据带出去其流向具有不确定性，尤其带来较高的安全隐患。
　　
　　移动存储的使用混乱、交叉使用、丢失、格式化后没有彻底进行数据粉碎等问题导致信息泄漏的隐患，也有些合法无意的使用者在内网切换到外网时，涉密U盘无意忘了拔除也导致信息泄漏。

1.2威胁之二: 病毒传播

　　通过U盘等移动存储介质传播的病毒木马已呈快速蔓延之势。据监测，“U盘寄生虫”病毒最近登上病毒排行榜榜首，成为互联网面临的重大威胁之一。而另一传播较广泛的病毒“随机8位数”也是通过U盘传播，病毒制造者已经重点瞄准U盘的传播途径并将之设为攻击目标。

　　各单位已经意识到问题的严重性，相继出台移动存储介质的使用管理制度，但是由于缺乏技术手段，违规现象屡禁不止。如何防止移动存储介质有意无意的违规使用、非法拷贝、介质丢失、无意连接到Internet而导致信息泄密，同时如何主动防御U盘病毒的传播，成为涉密单位计算机系统安全管理当务之急。

2.管理移动存储介质使用必须解决的问题

2.1非本单位的移动存储设备不经允许不可以在单位使用；

2.2本单位的移动存储设备不经允许不可以带出去使用；

2.3涉密移动存储设备不允许上互联网，上互联网的U盘不允许接入涉密计算机；

2.4移动存储设备遗失或被窃时数据的安全保障；

2.5单位的移动存储设备使用的可审计性；

2.6 控制移动存储设备的病毒传播。

3.建立移动存储介质使用的防御体系

　　作为内网安全专业厂商――国迈科技（荣获“2007中国最受用户欢迎的内网安全品牌”，国家保密局副局长闻荣友和国家保密技术研究所所长杜虹亲自为国迈科技颁发奖状），根据国保发〔2007〕13号文（国家保密局和国务院信息化工作办公室颁发文件）《关于加强党政机关计算机信息系统安全和保密管理的若干规定》，以及国家保密局涉密信息系统安全保密测评中心于2008年2月底出台移动存储介质管理新技术标准，结合国迈科技多年从事军工保密技术研究开发的专业经验，凭借对Windows系统驱动、网络通信、数据库、Windows底层开发、加密、嵌入式软硬件系统开发具备的强大研发实力，向各单位推荐业界领先的GM-SMP-U国迈移动存储设备管理系统，该系统是第一家通过国家保密局新技术标准认证，根据国家保密局涉密信息系统安全保密测评中心要求，对2008年2月底以前颁发的移动存储设备管理系统认证证书全部宣布失效，需要强制重新检测，符合新技术标准的再重新颁发证书（原因：由于原来没有制定完善的技术标准，一些厂家设计上存在安全漏洞）。

　　SMP-U移动存储介质管理系统核心目标：防止信息泄密，减少病毒传播，专业为涉密单位信息安全和保密管理保驾护航。

　　SMP-U系统在性能方面不仅有高强度的安全性，同时将技术与实际的应用充分结合在一起，实现了通过技术手段将管理制度落到实处，实现了对移动存储设备的使用统一管理、统一控制、全面审计：

3.1 外面的移动存储介质进不了：

　　非本单位的移动存储介质插入本单位计算机内网，无法使用。

3.2 单位内部的移动存储介质不经授权出不去：

　　本单位需要使用的移动存储设备，必须通过SMP-U系统的注册认证，通过认证，首先确定U盘的身份，即每个U盘在注册时，都需要定义一个唯一的使用名称，以确保U盘使用时日志的可审计性。
SMP-U系统对移动存储设备按涉密等级分别进行高、中、低三级的安全注册认证，严格控制U盘（包括U盘、移动硬盘、手机存储、数码相机、MP3/MP4、各种CF/MD/SD卡以及各类FlashDisk）等移动存储设备在局域网内部的使用，以确保内部的U盘不经授权，无法在外部读取，而外部的U盘不经注册认证，无法在内部使用。三个级别认证如下：

※　高密级：
经认证的U盘在单位内部计算机正常使用，拿出去内容看不见打不开――U盘内容，偷不走！
※　中密级：
经认证的U盘在单位内部计算机正常使用，拿出去必须凭密码才能打开――外出U盘，授权用！
※　低密级：
经认证的U盘在单位内部和非单位的计算机都可以正常使用，无需凭密码――特权U盘，方便用！

　　根据单位的保密要求，建议涉密单位需要在内部使用的U盘，全部注册成高密级的U盘，从技术手段彻底杜绝移动存储介质带来的泄密事件。

3.3 计算机使用移动存储设备的权限控制

　　由于单位信息的重要程度不同、信息使用者的行政级别的不同、处理涉密信息的密级不同以及涉密信息量不同等情况，决定了有些计算机不能使用任何U盘，而有些计算机需要选择性的使用U盘。因此，必须控制单位内部的计算机对U盘的使用权限也有所不同。国迈U盘管理系统根据实际应用情况，设计了计算机使用U盘的策略：

※　完全禁止――设置指定的计算机无法使用任何U盘¬¬；　　　　　　　　　　　¬
※　使用授权――设置指定的计算机是否允许使用高、中、低密级的U盘或未注册的U盘；
※　读写控制――设置指定的计算机允许使用的U盘为可读还是可写；　　　　　　　　　
※　完全开放――设置特定的计算可机使用所有已注册及未注册的U盘；
※　交叉控制――根据注册后U盘的使用身份设置它能在哪台计算机或哪组计算机上可以使用。

　　根据单位的计算机涉密等级，以及实际应用需要，通过该策略严格控制每台计算机使用U盘的权限，确保了不该使用U盘的计算机不能使用U盘，需要使用U盘的计算机又可根据涉密程度，既合理保障了实际的使用要求，又可以严格控制U盘的使用。

3.3上网自动闭用
　
　　根据保密要求的涉密不上网，上网不涉密的原则，SMP-U系统可以监管如果计算机有意无意地连接到Internet，系统将自动关闭U盘的使用，防止黑客入侵窃取机要信息。

3.4 U盘病毒防御

　　对于不连接互联网的网络，病毒的主要来源是移动存储设备及光盘的使用，病毒木马对我们计算机网络的危害性已经是有目共睹的，因此为了进一步保障网络的安全，SMP-U系统针对病毒的传播特点作了深入的研究，提取了U盘病毒传播的共性，实施了相应的解决办法，主动杜绝U盘中的病毒木马感染到装有国迈移动存储介质管理系统的计算机。

3.5外设端口控制

　　国迈U盘管理系统具备高强度的端口控制，不仅控制了有线的端口，也控制了无线的端口。系统可以安全控制的端口包括有：软盘驱动器、光盘驱动器、本地打印机、数码图形仪、调制解调器、串行通讯口、并行通讯口、1394、红外通讯口、wifi无线网卡、无线蓝牙等。所有的这些控制，都是基于Windows 系统驱动层来实现，无法通过修改注册表等方式来进行破解。

3.6格式化后防数据恢复

　　对于涉密移动存储，普通的移动存储被删除或格式化后，利用专业的恢复工具仍然可以恢复出数据，采用国迈移动存储介质管理系统，经注册的移动存储介质如果被格式化后，采用专业的恢复工具仍然无法恢复出数据，有效防止信息的泄漏。

3.7日志记录审计

3.7.1　U盘使用日志：

　　由于每个移动存储介质在注册时，必须定义一个使用身份，因此我们采用U盘使用实名制，实现了U盘在内部计算机的使用情况和使用者挂钩，使U盘的使用日志具备了可审计性。可审计何时、何计算机、何U盘、插入/拔出、操作何文件。

3.7.2　中级U盘在外部计算机的使用情况：

　　由于应用必要性，我们注册了很少量的中级U盘，它可以通过密码在非单位范围内使用。为了提高中级U盘在外使用情况的可审计性，SMP-U系统可审计中级U盘在外部计算机的使用情况：何时、插过的计算机的机器名、硬件ID号、U盘的文件操作日志等。

3.7.3　打印监控审计：

　　由于工作的需要，有些计算机必须开放使用打印机，但是通过SMP-U系统可审计客户端的打印日志进行详细记录。包括打印的计算机名称、打印的文档名、打印机名称以及打印的时间等。

3.7.4　管理日志审计：

　　同时SMP-U系统还提供了对管理员的审计，更进一步提高了整个防御体系的安全型。可审计管理员的登录、退出、创建管理员账号、配置修改策略等日志。

3.8系统构成

　　根据涉密单位的实际应用需要，GM-SMP-U移动存储设备管理系统分为网络版和单机版，网络版是针对涉密网的解决方案，单机版是针对涉密单机的解决方案。

　　GM-SMP-U移动存储设备管理系统由服务器软件包、数据库软件包和客户端软件三部分构成。网络版同时还增加网络的辅助功能，例如：硬件资产管理、软件分发等。

　　GM-SMP-U移动存储设备管理系统单机版独立成系统，但是又通过管理权限实现了涉密单机集中管理。