1、移动介质安全应用方案北京天融信科技有限公司2008年 11月1目 录1. 需求分析 21.1. 问题背景 21.2. 问题来源及影响 21.3. 安全需求 31.4. 安全标准 32. 安全措施 52.1. 技术思路 52.2. TSM-TopDesk系统部署 52.2.1. 系统部署示意 52.2.2. 部署说明 62.2.3. 系统安全策略应用 62.2.4. 产品部署环境说明 .102.3. 方案关键点 .103. 建设效果 .1021. 需求分析1.1.问题背景随着计算机技术的发展,USB 接口成为其必备的接口之一,USB( Universal Serial Bus)通用串行总线,是一
2、种连接外部串行设备的技术标准,计算机系统接驳外围设备(如 U 盘、移动硬盘、键盘、鼠标、打印机等)的输入/ 输出接口标准。从 USB2.0 规范中,更提升了其特点。 速度快 接口的传输速度高达 480Mbps,和串口 bps 的速度相比,相当于串口速度的 4000 多倍,完全能满足需要大量数据交换的外设的要求。 连接简单快捷 所有的 USB 外设利用通用的连接器可简单方便地连入计算机中,安装过程高度自动化,既不必打开机箱插入插卡,也不必考虑资源分配,更不用关掉计算机电源,即可实现热插拔。以上的众多便利的特点,使用 U 盘为代表的移动存储介质,来交换数据,极大方便了数据交换、提高了存储便利性,因
3、而获得了广泛应用。但是其方便性也给我们带来更大的安全分险。移动存储介质常用于开放环境中,易于丢失,存储的数据易于传播和复制,自身缺乏有效的审计和监管手段,整个数据移动通道的安全保密工作难于保障。一旦发生数据泄漏与丢失,将给部门或个人造成不可估量的经济损失,甚至可能是政治损失。因此,针对移动介质的安全解决方案成为当务之急。1.2.问题来源及影响美国 CSI/FBI 的调查结果显示,企业和政府机构因重要信息被窃所造成的损失超过病毒感染和黑客攻击所造成的损失,80%以上的安全威胁来自内部,而内部安全威胁中一个最容易出问题的地方就是移动存储设备诸如 U 盘的安全使用和管理问题。3近年来 U 盘作为一种
4、方便、流行的存储介质,其应用越来越广泛。可以说的上是人人必备,然而通过 U 盘资料丢失、失泄密、传播病毒等安全事件越来越多,主要的问题如下:1) 任意 U 盘在终端上的使用,造成管理混乱,资料丢失;2) U 盘频繁的在不同终端的应用,成了病毒传播的主要载体之一;3) 敏感信息以明文存储在 U 盘中,极易丢失;4) 对 U 盘上文件的使用没有跟踪审计;显然移动介质的使用严重威胁到我们的工作及商业机密,但我们的工作中却又离不开移动介质,所以对移动介质的安全管理尤为重要。1.3.安全需求对移动存储介质安全管理与应用,我们需要从移动介质的购买、使用到销毁整个过程的管理与控制,通过注册登记、授权使用、数
5、据保护等多种技术手段对移动存储设备进行失泄密防护。具体需求分析如下:1) 只有注册的移动介质才可在内网中使用2) 对移动介质中数据进行加密存储3) 对移动介质中的文件删除管理4) 对病毒防范具有一定的作用5) 移动介质的使用日志审计6) 移动介质的自我保护7) 系统采用三权分立管理,符合 BMB17要求1.4.安全标准移动介质我们工作提供便利的同时也给我们带来很大的应用分险,为规范移动介质的应用,在依赖技术手段的同时 ,国家也出台了相关安全标准,本方案主要参照了等级保护基本要求,以及 ISO27001的控制目标要求,具体如下:4等级保护基本要求等级保护技术要求中,在应用安全中对通信完整性、保密
6、性、抗抵赖均有明确的要求。原文摘录如下(以 3级系统为例): 介质管理(G3)本项要求包括:1. 应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定; 2. 应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理;3. 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查询等进行登记记录,并根据存档介质的目录清单定期盘点; 4. 应对存储介质的使用过程、送出维修以及销毁等进行严格的管理,对带出工作环境的存储介质进行内容加密和监控管理,对送出维修或销毁的介质应首先清除介质中的敏感数据,对保密性较高的存储介质未经批准不得自行销毁
7、; 5. 应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同;6. 应对重要介质中的数据和软件采取加密存储,并根据所承载数据和软件的重要程度对介质进行分类和标识管理。ISO 27001控制目标ISO 27001也提及类似访问的建设要求,27001 中提出了介质管理的要求。原文如下:目标:防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断。介质应受到控制和物理保护。 可移动介质的管理1. 对从组织取走的任何可重用的介质中的内容,如果不再需要,应使其不5可重用;2. 如果需要并可行,对于从组织取走的所有介质应要求授权,所有这种移动的记录应加以保持,以保持审核
8、踪迹;3. 要将所有介质存储在符合制造商说明的安全、保密的环境中;4. 如果存储在介质中的信息使用时间比介质生命期长,则也要将信息存储在别的地方,以避免由于介质老化而导致信息丢失;5. 应考虑可移动介质的登记,以减少数据丢失的机会;6. 只应在有业务要求时,才使用可移动介质。BMB17-2006涉及国家秘密的信息系统分级保护技术要求涉密系统中对移动介质有更严格的要求,相见 BMB17中秘密级、机密级、绝密级环境中对移动介质的管理与使用要求。2. 安全措施2.1.技术思路针对移动存储介质管理采用天融信网络卫士 TSM-TopDesk终端管理系统,基于天融信“可信网络架构”而开发的安全策略的终端管
9、理产品,采用了开放式 B/S体系结构和标准化数据通讯方式,对局域网内部的网络安全行为进行全面监管,检测并保障桌面系统的安全,特别增强了移动介质的管理。可以提供对移动存储介质从购买、使用到销毁整个过程的管理和控制,借助于注册登记、授权使用、数据保护等多种技术手段对移动存储设备进行失泄密防护。2.2. TSM-TopDesk 系统部署2.2.1.系统部署示意以某 XXX客户为例的需求分析以及安全目标,我们提出以下解决方案如图6所示:网络卫士 T o p D e s k控制中心A g e n tA g e n tA g e n tA g e n t A g e n tA g e n tA g e n
10、 t图 2-1TSM-TopDesk 系统部署示意图2.2.2.部署说明网络卫士 TSM-TopDesk控制中心为系统的核心部件,负责策略制定、下发,以及对 Agent的应用管理,Agent 按照既定策略执行,并把相关事件上传到控制中心,由控制中心统一分析或预警。Agent作为系统的功能实现体,需要安装在桌面系统中,采集主机的安全信息,执行控制中心下发的安全策略和指令。对 TSM-TopDesk控制中心的管理可以在本机操作或远程通过 IE浏览器进行管理。2.2.3.系统安全策略应用结合 XXX用户的实际情况,应开启以下安全策略,解决用户目前对移动介质管理存在的安全问题。1. 移动介质注册登记7
11、天融信网络卫士 TSM-TopDesk终端管理系统对用户购买来的动存储介质进行注册,没有经过管理员注册的移动存储介质,不能在内部计算机上使用。移动存储介质要想在网络内使用,必须经过管理员对该移动存储介质进行注册,并赋予相应的权限。同时管理员还可以取消对移动存储介质的注册,收回对该移动存储介质的特殊授权。 注册的内容包括主管部门、所属部门、责任人、使用人(可指定多人) 、使用部门、使用周期、用户名、是否采用口令保护等等,并根据授权信息产生移动存储介质管理日志。授权后的移动存储介质才能发放到个人使用。可以按以下方式授权:1) 按用户授权,每个用户有独立的移动介质;2) 按网段授权,可以在指定网段内
12、使用。 (未实现)3) 多种方式结合,安全、灵活应用。管理员可以根据管理需要,将特定的移动存储介质注册授权给特定的用户/用户组和特定的计算机/计算机组,从而实现灵活的细粒度管理。移动存储介质只能在指定的计算机/计算机组上使用,并且只能由指定的用户操作和使用,避免移动介质使用失控。实现注册移动存储介质和授权计算机之间“多对多”的安全使用应用,提升工作效率。 (未实现)通过对移动介质的注册管理,可将其使用范围严格锁定在特定的工作环境中,在其他网络计算机上无法使用注册过的内部移动存储设备,即授权 U盘,拿不走。同时,未注册移动存储介质的也无法在特定网络中使用,从而既避免了信息的泄密问题,即非法 U盘
13、,进不来,也减少了通过移动存储介质传播病毒的问题。2. 对数据加密管理为避免数据的明文传输,我们启动加密策略,可以采用以下几种方式:1) 对 U盘进行整盘加密,比指定专人账号,每个人的 U盘只有用自己的账号登陆才可以加、解密,保证 U盘专人专用;2) 按组织架构加密,上级领导可对下属加密的文件进行解密,方便与上下级之间的文件交换;(未实现)3) 对移动介质分区管理(交换区和加密区) ,在非涉密系统中,对于敏感8信息的交换可采用加密区,其它则采用交换区,在保障安全的同时又提升其方便性。 (未实现)3. 文件的删除文件删除管理,我们可以采用两种方式:普通删除和粉碎删除,对于一般的文件我们采用普通删
14、除,用户在删除移动存储设备上存储的文件或文件夹的时候,同普通操作一样; 对于敏感性文件,为了防止普通删除之后的文件依然在移动存储设备上留有痕迹,可以采用粉碎删除,采用密码置乱技术,对删除文件后的移动存储设备进行多次次随机数填充,使得任何工具不能恢复移动存储设备上的数据。 (未实现)4. 禁止移动介质自动播放很多木马病毒都是通过自动运行来执行的,因此在打开移动介质设备时,尽量不使用自动运行,而通过浏览器或者资源管理器来打开,但是在应用过程中经常会自动运行,所以我们通过控制中心指定策略,关闭操作系统中自动播放功能,从而减少病毒的传播。 (未实现)5. U盘病毒的防范据 usbcleaner网监测结
15、果表明,目前至少存在近 300种 U盘病毒,U 盘病毒在使用者浏览 U盘时就进行了感染。U 盘病毒具有交叉感染的特点,即感染了 U盘病毒的计算机,在插入一个未感染的 U盘到感染计算机中时,病毒会自动感染 U盘,当将已经感染 U盘病毒的 U盘插入未感染计算机中时,未感染病毒的计算机将感染 U盘病毒。在对 U盘病毒分析研究中我们发现,U 盘病毒具有摆渡技术,即将系统中的某些指定关键字的文件复制到 U盘中,U 盘插入到具有上网条件的计算机中使用时,U 盘病毒会将已经复制的文件传送到指定的邮箱或者木马病毒控制端。针对此类问题,我们可以采用以下三种策略结合,提升防毒性能 :1)防毒系统检测:我们可以启用
16、 TSM-TopDesk 对主机的杀毒软件的检测策略,可检测主机运行的杀毒软件版本和杀毒软件病毒库版本及升级时间等,从而保障防毒系统的最新版,提升防毒性能。目前支持检测国内外绝大多数流行的杀毒软件,包括:瑞星、诺盾、MacAfee、卡巴斯基等。92)操作系统补丁升级:可以这么讲,病毒对操作系统漏洞的应用发挥到了极点,对于这类型的病毒,我们不仅要即时升级杀毒引擎,更重要的是对操作系统打补丁。而天融信网络卫士 TSM-TopDesk终端管理系统,基于天融信“可信网络架构”而开发的安全策略的终端管理产品,可以为用户提供一体的安全解决方案,对此需求,我们可以开启补丁管理功能,通过策略定制,桌面系统可以
17、自动检测、下载和安装补丁,从根本上解决此类安全事件的发生。3)对移动介质的写入控制:对于 U盘病毒,有一个很重要的特征,就是利用操作系统直接往移动介质写入文件,也就是病毒传播的过程,所以我们要启用对移动介质的写入控制策略,操作系统不能直接往移动介质上写任何文件,只有通过合法授权用户,通过终端 Agent,才可以往移动介质上写入相关文件,从而达到对 U盘病毒防范的目的。 (未实现)6. 对移动介质使用详细日志审计通过对对移动介质使用审计,对移动存储介质的入库登记、插入使用和拔出、授权使用、文件操作、各种违规操作等等,天融信网络卫士 TSM-TopDesk 系统都提供了详细的审计记录。同时,我们提
18、供了强大的日志审计功能,审计的内容包括:授权日志、使用日志、违规日志、授权回收日志等。 对移动存储介质从购买到销毁整个生命周期,提供了有效的追踪审计功能,我们可以方便地看到磁盘的整个使用过程。7. 移动介质的自我保护为了保证移动存储介质丢失后不造成数据泄漏,当移动介质被非法获取后,尝试暴力破解时,移动介质将会自动锁死或数据自动销毁。 (未实现)8. 三权分立管理通过制定安全策略,保障移动介质的使用安全,但管理也不容忽视,TSM-TopDesk系统管理采用三权分立管理,即系统管理员、安全管理员、审计管理员,相互制约,结合管理制度,技术与管理互补,提升其安全性,同时也满足相关安全标准。102.2.
19、4.产品部署环境说明 网络卫士 TSM-TopDesk控制中心操作系统:Windows2000、 2003、XP ;数据库:Oracle 9i/10g; AgentWindows2000、2003、XP。2.3. 方案关键点解决用户对移动介质的管理需求和政策要求。对于本方案,以我公司 TSM-TopDesk系统为基础,同行结合目前市场上主流的终端管理系统对移动直接的管理,红色字体为我公司目前没有实现的功能。应用范围涉密网、政府内网、政府专网、企业网络等等。优势1)天融信是微软授权可查看微软源代码的单位。2)基于天融信“可信网络架构”而开发的安全策略的终端管理产品,可以为用户提供完善的安全解决方案。3. 建设效果本方案规划了移动介质的安全管理与应用,满足了用户在安全与应用的要求,通过部署 TSM-TopDesk系统,来有效规避安全风险,满足安全需求,并实现以下的建设效果: 采用 TSM-TopDesk系统完善对移动介质的安全管理; 保护政府涉密或敏感信息,维护社会稳定和国家安全 保护企业商业机密,提高企业竞争力11 满足等保、分保建设要求。
