LanSecSUSB移动存储介质使用管理系统技术白皮书分解

SGCC-USB1.0移动存储介质管理系统管理员手册国网电力信息通信公司2008目录第一章系统概述国家电网公司移动存储介质管理系统SGCC-USB V1.0以下简称SGCC-USB V1.0是根据国网网络应用特点而设计的一套移动存储管理方案,目的在于满足国家电网公司内网移动存储介质日常安全管理;SGCC-USB V1.0综合应用底层驱动、扇区加密、进程守护等多种安全防护技术,磁盘文件底层驱动技术对普通移动存储设备主要USB类型作唯一性标签处理, AES128位高强度算法对磁盘进行数据区划分并作加密处理,标签移动存储介质结合受控客户端主机的安全访问控制策略作匹配授权,确保标签移动存储介质使用的安全性与合法性;SGCC-USB V1.0系统通过集中的注册管理平台对 USB存储设备作严格的设备介质身份认证、数据信息重构、数据加密等一系列安全防护操作,针对办公网内计算机USB存储设备的使用和管理建立了完整的防范解决体系,系统采用C/S和B/S混合式架构,由服务器端和客户端构成;SGCC-USB V1.0客户端主机通过移动存储介质的产品唯一生命特征识别码和硬盘唯一码结合进行识别,当主机数据库和移动存储介质中的认证信息相同时,接受其入网使用；未经注册的移动存储设备将会自动被系统强制卸载,实现单位U盘外出使用需要到单位保密或网络管理员处登记,否则在外部无法打开;SGCC-USB V1.0在解决安全方面的问题,同时还兼顾工作的实际,力求使用的方便、简洁与高效;1-1 系统组成◆系统服务器端：SGCC-USB V1.0系统管理中心,自动发现网络中的终端计算机,并检测终端计算机是否安装系统客户端程序,管理中心内置移动存储管理策略中心和报警中心,提供对网络终端的分组管理设置;SGCC-USB V1.0系统服务器端由4个组件构成： SQL Server管理信息库安装包：环境初始化程序、Web中央管理配置平台安装包：网页管理平台、区域管理器安装包：Region Manage,原区域扫描器已作为模块集成到区域管理器、WinPcap程序;环境初始化程序：SQL Server管理信息库,建立移动存储介质管理系统的初始化数据库;包括：客户端主机设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册未注册机器信息、设备属性变化信息、报警信息等;扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比,根据审计要求在管理平台上报警;Web管理平台：Web中央管理配置平台,本系统的管理配置中心;包括区域管理器、扫描器、注册客户端的功能参数设定,网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作;Region Manage：区域管理器,系统数据处理中心;与管理信息数据库通讯,接收注册程序提供的用户信息,将用户信息用户填写的物理信息和系统自动采集的硬件信息并行存入数据库；接受来自控制台的命令操作,发送到客户端、扫描器执行;对于存在多级管理要求的广域网,网络中可以存在多个区域管理器,系统数据提供逐级上报转发模式;区域管理器内置网络扫描器,扫描器将设备最新状态信息报送至区域管理器;扫描器配合区域管理器进行工作,可以在分级模式下使用,扫描器只依据Web管理平台中配置的工作范围进行扫描,超越其范围,将不负责执行;WinPcap程序：嗅探驱动软件,配合区域管理器工作;◆专用认证工具：SGCC-USB V1.0移动存储设备认证程序,用于管理员对网络中移动存储介质进行集中注册和授权管理,对普通移动存储设备加载认证标签,同时划分数据区交换区、保密区、启动区,将使用人、使用人部门、设备编号等信息写入移动存储设备,完成普通移动存储设备到专用移动存储设备安全U盘、安全移动硬盘的技术处理;专用认证工具还用于专用专用移动存储设备密码遗忘后的密码还原操作;认证工具程序可以在网管员主机上或任意主机,但必须由管理员控制使用,使用时必须能够同系统服务器连接,方可对移动存储设备进行认证管理工作;◆系统客户端注册程序Agent：安装在终端计算机,接受系统管理中心分发的策略,根据接受策略实时监控接入终端计算机移动存储设备的操作行为和状态,并进行管理或者控制;系统客户端注册程序Agent作用：用户填写本机信息,填写必要信息后上报区域管理器;注册程序自动探测系统硬件信息,连同用户填写的信息一同上报区域管理器;用户将本机注册信息发送到区域管理器后,区域管理器自动将客户端驻留程序应用策略发送给用户,并自动更新;客户端驻留程序功能：1、进行本机IP/MAC、资产等信息采集；2、本机移动存储设备使用状况监测；3、接受Web管理平台的管理策略命令,并执行；4、报送本机移动存储设备审计信息到控制台；5、阻断本机联网行为;注：区域管理器Region Manage、区域扫描器模块Region scan、注册程序系统的参数配置集中体现在网页管理平台操作上,上述三部分功能参数值统一在网页管理平台中进行配置;区域管理器Region Manage、扫描器模块Regionscan部分参数在自身组件中配置;1-2 系统构架移动存储介质管理系统SGCC-USB V1.0应用于局域网、广域网构架,支持跨网段、跨地域的内网客户端移动存储设备介质的管理和审计,系统应用主要分为以下两种构架：基本构架：对于一般网络例如1个C类地址或若干个C类地址的局域网范围,可使用一套本系统软件,集中管理所属区域内的所有设备;扩展构架：对于大规模的多个局域网或者跨地域广域网包括基于国家、省、市、县等多级管理模式的网络结构,可使用本系统提供的多区域集中管理构架,即一个或多个网段各拥有一套独立移动存储介质管理系统的同时,将本级所有设备信息再转发给上级管理数据库,使得上一级管理人员对整个网络的移动存储设备使用状况也能够完全掌握;移动存储介质管理系统SGCC-USB V1.0应用拓扑第二章系统安装2-1 安装环境要求条件一：硬件环境SQL Server数据库服务器：用于安装SGCC-USB V1.0系统管理信息数据库;PC 服务器或更高档服务器, PentiumⅣ 2.4C 以上CPU,512M以上内存;区域管理器：用于安装区域管理器程序;百兆或千兆网卡,PC服务器或更高档服务器, PentiumⅣ 2.4C 以上CPU,512M以上内存;扫描器模块：配置同区域管理器;如单独安装扫描器模块,比较高档的PC计算机即可;本系统各程序可安装在同一台计算机上,也可在不同机器上安装SQL数据库、IIS服务器、区域管理器、扫描器模块等,此时推荐该计算机内存为1G以上;建议将区域管理器、扫描器、网页管理平台安装在同一台机器上,作为管理服务器;条件二：提供数据库、IIS服务操作系统：Windows 2000或Windows 2003企业版操作系统;SQL Server2000软件：配备SQL Server数据库系统,用于移动存储介质管理系统建立管理信息库数据库列表项;IIS服务：配备IIS服务器提供Web服务,用于安装Web网页管理配置平台;如所装操作系统为Windows 2003企业版,则需要按照安装光盘中的Windows 2003的IIS配置说明进行IIS配置;条件三：为本系统提供相应端口移动存储介质管理系统SGCC-USB V1.0区域管理器将占用操作系统88端口,必须确保安装区域管理器的机器该端口不被占用;区域内的防火墙应打开如下端口：80,88, 161,137,22105,2388,2399以及ICMP协议端口,同时本机不启用DNS 服务;2-2 安装注意事项软件安装时,推荐将区域管理器、扫描器、数据库安装在同一台机器上以下称为管理服务器,建议按照下面要求进行移动存储介质管理系统服务器部署、软件安装、客户端注册;2-2-1 服务器部署1、移动存储介质管理系统服务器在网络中位置⏹确保该服务器能够ping通所有被管理网络中任意一台客户端机器,同时被管理客户端可以正常连接服务器的TCP的80,88两个端口;不⏹服务器给客户端下达策略的端口为：TCP端口22105;⏹服务器扫描发现客户端利用以下协议及端口：⏹ICMP协议发现IP地址存在的其中一种方式；◆NETBIOS协议,UDP端口137为了发现机器名和MAC地址；◆SNMP协议,TCP端口161为了发现智能设备如路由器、交换机等；⏹在本地网络中若划分了VLAN,或本地网络存在防火墙,请注意上述问题;2、存在网中子网如经过地址转换的网络布置点对于网络中存在网中网现象,如采用NAT地址转化或者代理方式在10.. . 网络中接入192.. . 网段,这些子网用户的管理方式如下：情况一：子网有专人管理,并且有独立机房,则应在该子网中安装一套完整的移动存储介质管理系统;情况二：子网无专人管理,或无独立机房,可采用以下3种方式之一处理1)机器数量少的建议统一更改IP为10.. . 网段;2)由管理员监督子网中所有机器进行注册并保证不得遗漏;3)在该网络中指定一台工作站专门安装区域管理器软件和区域扫描模块,并将区域管理器配置中SQL服务器地址指向服务器;2-2-2 安装和应用1、必须按照软件安装步骤进行安装1确认本机IIS服务正常；2确认本机SQL已正常安装并能正常使用以本地系统账户方式安装；3确认目标安装盘剩余空间不小于10G；4请务必按照指定顺序安装各个模块；5请在区域扫描模块所在计算机中安装SNMP服务；6安装完所有系统模块后,请一定按照说明文档进行客户端程序的配置及分发安装;2、移动存储介质管理系统服务器的安全性问题服务器安装Windows2000 Server操作系统带IIS、MS SQL Server2000数据库后,一定要确保对Windows2000、SQL和IE进行重要安全补丁修补,规范操作系统、数据库的口令和密码设置,保证SQL、IIS的正常启动运行;确保本服务器无病毒,同时可配置本服务器网络通讯端口仅打开：80,88,22105;3、保护机制的应用对大多数交换机、路由器、非Windows设备,需要将其设置为保护状态避免被阻断导致网络不通,其它如有系统无法识别的重要设备,请在网页管理平台设备信息查询中手动将其设置为保护状态;2-3 系统组件安装SGCC-USB V1.0安装顺序依次为：安装 SQL Server数据库；安装WinPcap驱动程序；安装并运行环境初始化程序,初始化数据库；安装网页平台并进行划分区域,配置区域IP范围、区域管理器参数、设备扫描器参数等推荐安装在默认路径下；安装区域管理器推荐安装在默认路径下；通知所有用户下载并运行注册客户端代理探头程序;2-3-1 安装SQL server数据库略,见附录一;2-3-2 安装WinPcap驱动模块在安装页面中选择“安装WinPcap驱动模块”按钮,单击“下一步”安装在区域管理器所在计算机上;2-3-3 初始化数据库初始化数据库是在SQL数据库中初始化建立VRVEIS数据库并生成系统必需的相关数据表格,在此过程中需要利用本地数据或者调用远程SQL数据库,用户需要根据实际安装情况按以下两种方式进行操作：本地SQL数据库服务器环境初始化1、环境初始化,建立初始数据库在SQL服务器地址栏中添加本地机器IP地址、SQL用户名、及SQL用户密码;SQL数据库服务器环境初始化根据数据库认证方式,选择windows身份认证或者sql身份认证建议选用后者;2、检查数据库初始化是否成功：检查数据库初始化当有如图“初始化数据库结构成功”提示框弹出时,说明已成功创建初始化数据库;否则会出现如下图所示提示信息：初始化数据库失败提示信息如果出现如上图所示提示信息,用户需要检查所填入的SQL数据库IP地址、用户名以及用户密码,重新初始化数据库;⏹远程SQL数据库服务器环境初始化建议非特殊情况不采用远程方式1、输入远程数据库信息,配置SQL客户端：安装远程数据库需要首先输入远程数据库IP地址、用户名称、用户密码,然后点击“配置SQL客户端”,出现如下界面：配置SQL客户端2、在通用栏中,启用TCP/IP协议：在通用栏中,选用TCP/IP协议,并启用,然后单击别名,进行别名添加设置;启用所选协议3、进行客户端别名的添加:单击上图中所圈中的别名,出现如下所示：对客户端别名的添加4、进行网络协议的选择和服务器别名的添加：此时用户需要首先选择网络协议,选定为TCP/IP,服务器别名根据用户需要自由添加,点击确定后完成数据库初始化;2-3-4 安装Web中央管理平台⏹安装Web管理平台此部分程序要求安装在默认路径下,安装过程中请确保信息填写正确,否则,Web服务器可能不能正确访问SQL Server数据库;⏹Web中央管理平台访问Web管理平台安装以后在IIS目录上以虚拟目录的形式存在,虚拟目录名称为VRVEIS,用户在安装完成以后,用http://Web服务器域名IP/VRVEIS的形式访问Web管理平台主页面;默认用户名为admin,密码为123456;以下的都是用admin登陆进行说明的审计用户名为audit,默认密码为123456;如果http://Web服务器域名IP/VRVEIS访问无效,则以http://Web服务器域名IP/VRVEIS/INDEX.ASP方式登录;2-3-5 安装区域管理器Region Manage在Web中央管理平台中划分区域及指定区域管理器后参见Web中央管理平台配置安装区域管理器组件;安装后进行以下两项配置：⏹SQL客户端配置如果“区域管理器”没有同SQL装在同一台服务器上,需要在如下图所示窗口中将默认网络库选择为“TCP/IP”,使客户端能够远程访问数据库;在“区域管理器”中选择“配置”->“系统配置”,配置SQL客户端,也可以通过Alt+S热键,进入配置;SQL常规配置上述配置完毕以后,需要重新启动“区域管理器”,使系统生效;⏹区域管理器系统配置SQL服务器配置：进入“系统配置”,逐步输入SQL服务器IP地址、用户名称及密码、数据库名称默认为VRVEIS,单击“确定”完成SQL服务器配置;区域管理器中SQL配置2-3-6 配置设备扫描器模块Region scan在配置好Web防护系统区域及其区域管理器后做以下步骤：在配置管理里,点击“扫描器配置”可以添加扫描器,配置扫描范围;区域扫描器配置填写相关信息之后重新启动区域管理器,程序会自动缩小到系统托盘,表示数据库连接成功,程序运行正常,此时通过上图中“扫描器配置”项来查看扫描器相关运行信息;2-3-7 客户端注册一客户端注册流程及注册程序配置⏹客户端注册流程执行注册程序,根据要求填入指定信息,系统自动将所添加信息和系统自动采集获得的设备信息发送到区域管理器,由区域管理器将注册信息处理后存储到SQL数据库,在Web管理平台中设置的客户端参数策略将由区域扫描器扫描客户端后,发送给客户端驻留程序保存执行;该客户端驻留程序驻留在系统内部,以服务和进程的方式实时运行,一旦非法移动存储设备非法接入注册计算机,客户端驻留程序立即向web管理平台发送报警数据,同时本机将显示报警信息;⏹修改客户端注册程序配置文件在web平台中配置管理->注册程序配置;注册程序使用前需要网管人员的配置,主要是设置区域管理器IP地址注册时客户端信息发向该IP地址所在的区域管理器,如区域管理器为10.1.32.249,配置如下图所示：注册程序配置在这里,可以对注册时需要填加的单位、注册密码进行编辑;如下图所示:单位和部门添加删除二客户端注册方法客户端注册方法包括网页静态注册、网页动态注册、手动注册、网关重定向强制注册等;网页静态注册：静态注册比较简单,客户端只需要将配置好的注册文件上传到公共主页上即可,做一个链接,访问主页后手动下载注册;主要讲述动态注册,这种方法适用于网络用户较多的情况,客户端只要访问网络内公共网站,网页将自动对客户端进行探测,弹出提示窗口,提示用户进行注册;网页动态注册：利用网络中已经构建好的内部网站,一方面网络客户端可以通过手动获得注册程序,也可以通过在主网页上加载弹出页面的方式进行提示性注册;本手册将主要介绍后一种方式;当网络中客户端计算机访问本网络内部网站时,在该主页代码中加入一段代码如下;本代码作用在于首先获得该客户端计算机的IP地址,再读取数据库里面相关IP地址的注册和其它相关信息,如果该IP地址的设备存在,系统会根据其是否完成“注册”、“信任”、“保护”三项操作进行判断,只要满足其中任意一条件,都不会提示注册,否则会弹出窗口提示注册;网页加载弹出程序方法如下：编辑已有主页的源程序,在需要加载弹出窗口主页的源代码<body>中放入以下代码：<iframe src="http://192.168.0. 253/vrveis/quest.asp"frameborder="0" style="width:0px;height:0px"></iframe>注意：需要将其中的http:// 192.168.0.253/vrveis/quest.asp换成http:// 网页平台计算机IP/vrveis/quest.asp即可,此时当网络中计算机访问该内部主页时,会自动弹出如下提示页面：网页动态注册使用网页动态注册时,请管理员通知注册人,在访问本网站时,暂时关闭网页弹出拦截程序或将本网站添加到不拦截列表中;手动注册：除了自动注册设备外,遇到需要手工注册新增设备时,也可通过WEB管理平台中数据查询,设备信息查询中的手动添加设备功能,将新增设备的具体信息详细登记填写至数据库中,并将其置为保护设备;注意：1.多级级联注册：如果系统为多级级联方式,必须在区域管理器的高级配置中的“系统配置”、“策略配置”选项中的级联选项选中,并正确添加上级管理器的IP地址,各级区域会将自己所管辖的区域管理IP段上报到上级数据库中存储;此时,当网络中任意一台下级区域客户端计算机访问主网站的同时,会根据最上级区域数据库中存储的各级上报IP段信息,自动将该客户端注册程序文件下载路径指向为自己所处IP段的本级区域注册器上,做到各个区域的客户端计算机在访问同一网站进行注册程序下载时,所下载的客户端程序均为自己所在区域的专用注册程序;如果网络中内部网站,网络管理员可以通知网络内计算机在本系统Web管理平台的登录页面中点击下载注册程序完成系统注册,或者在此页面下按上面的步骤做好弹出提示窗口方式注册;注册程序界面如下：客户端注册信息无论采取哪种方式,在注册成功以后,注册程序除了将主动添加的信息自动上报以外,还会自动收集其它和系统相关的信息进行上报;客户端和区域管理器连接通讯不正常的情况下,将提示用户“缺省注册成功”,表示客户端探头已经注册完毕,但还没有与区域管理器通讯;当区域扫描器扫到该计算机的IP地址时,才会将添加的信息及系统采集信息上报到区域管理器,存储在数据库当中;2．本系统使用初期,若要求对下属网络中的计算机信息进行统计、注册、入库,必须在Web管理平台中管理器设置项内选中“允许客户端注册”,如注册时需要密码,也需要在WEB管理平台中进行设置,如下图所示：允许客户端注册第三章系统组件配置3-1-1 区域划分在网页平台安装完毕之后,访问http://Web服务器域名IP/VRVEIS访问WEB 管理平台登录界面;如下所示：Web管理登录界面系统默认用户为admin,密码为123456,登录后建议管理员修改管理员密码;成功登录后,进入系统的主界面;在所处的IP地址段内,进行区域划分操作首先进行区域添加和划分操作;区域划分：单击配置管理里的“区域划分与配置”,对网络中的客户端进行区域划分管理,按照提示依次添加区域、增加区域IP管理范围、分配区域管理器、,并完成系统组件运行参数配置;具体步骤：区域描述配置栏中填写好一些必要的与区域相关的信息,如区域机构代码、区域名称、负责人姓名等;其他信息可以酌情依照实际用途填写;本区域IP划分：根据用户实际需要在下图所示的文本框中填入需要管辖的IP地址;其中保留IP段为该网段目前没有网络设备存在的网段,如有设备存在,则会产生报警信息;区域划分与配置下级区域划分：在已有区域页面中点击“增加下级区域”按钮进行下级区域添加,如集团总部下属总裁办、行政部、财务部等;3-1-2 区域管理器配置区域管理器：区域管理器为系统策略控制及数据接收处理中心,具有控制完成系统相关的动作行为处理功能；同时与本级数据库系统连接,统一接收注册程序提供的信息,将用户信息填写的计算机使用人姓名、联系电话、E-mail等,计算机IP、MAC地址、硬盘、CPU、内存等其它硬件信息均为自动采集存入数据库;根据本区域客户端IP管理情况确定对IP地址的管理方式,若选择IP、MAC 地址绑定,需要在静态IP环境下进行设置;允许客户端控头升级：设置本区域管理器管理范围内的客户端的升级操作;设置vpn网络虚拟管理器IP：添加VPN虚拟服务器的IP地址;管理器标识：管理器的标记,当服务器迁移时需要设置与之相同的管理器标识;允许客户端注册：任意一台在区域范围内的客户端都可以在服务器上注册;管理器配置同步：当选中“下级区域”时下级区域的配置应该和上级区域管理器的配置相同,当选中“全部区域”时是指下面的任意级联区域都要和区域管理器的配置同步;区域管理器参数设置区域管理器系统配置：设置完当前页面时可以配置管理器,在桌面双击“区域管理器”快捷方式弹出如下界面：区域管理器系统配置进行SQL服务器配置：进入“系统配置”,逐步输入SQL服务器IP地址、用户名称及密码、数据库名称默认为VRVEIS,单击“确定”完成SQL服务器配置;SQL服务器配置管理器配置：本软件默认机器操作系统88端口,若其它应用程序占用该端口,将自动更改为188;如果区域管理器应用于多级管理每级都有独立的SQL server和相应的系统的级联构架体系,其上级还有区域管理器的情况下,当前区域管理器需要将所有信息上报到上级管理器;区域管理器支持多级级联,如国家、省、市、县多级规模网络管理构架,下属区域管理器将其所有计算机报警信息转报到上级数据库;注：需要把“上报给上级管理器”√上,输入上级管理器地址;升级配置：用于配置区域管理器的自动升级,升级服务器地址为上级区域管理器IP;区域管理器配置-高级设置系统配置：锁定下级策略是指下级不能够更改策略信息;上报给上级区域管理器是指下级的策略,阻断,违规信息上报给上级区域管。

捍卫者USB安全管理系统2014V5.0技术白皮书目录1 概述 (2)2 捍卫者USB安全管理系统2014V5.0 简介 (3)3 捍卫者USB安全管理系统2014V5.0 技术特性 (5)3.1 产品介绍 (5)3.2功能介绍 (5)3.3 USB设备安全实施方案注意事项 (14)3.4 版本适用行业 (15)4 捍卫者USB安全管理系统（2014V5.0）系统要求 (16)5 性能特性 (16)6 售后服务 (16)7 关于我们 (17)8 总结 (17)1 概述计算机网络安全：信息安全即国家安全。

没有信息安全，就没有真正意义的国家安全、也就没有真正的政治安全、经济安全、军事安全、文化安全和社会的稳定。

随着网络信息化建设的大力推广和广泛应用，人们须要对信息安全有广泛的了解和高度的重视。

防止外部的入侵和内部违规、窥探、窃取，已经成为我们必须面对的严重而残酷的现实问题。

据FBI和CSI在对484家公司进行了网络安全专项调查，调查结果显示：超过85％的安全威胁来自公司内部、有16％来自内部未授权的存取，有14％来自专利信息被窃取，有12％来自内部财务欺骗，而只有5％是来自黑客的攻击；在损失金额上，由于内部人员泄密导致的损失是黑客所造成损失的12倍。

相对与网络边界或外网安全产品而言，内网信息安全产品还没有得到足够的重视，基于内网安全防范产品的和解决内网安全的方案还不够完善。

内网信息安全包括最大威胁是移动存储设备威胁。

一个组织可以实现内外网分离切断企业信息的部分外泄途径，但是目前计算机提供了丰富的接口外设，诸如USB接口、串口、并口等等，组织内人员可以轻而易举的通过U盘，手机等可连接设备偷窃组织内部资料。

---这是计算机信息的最大威胁。

因此，为了满足企业及个人对这方面产品的需求，我公司推出了“捍卫者USB安全管理系统”。

捍卫者USB安全管理系统有以下特点：1.Windows底层控制，用户操作透明化，提高易用性。

圣博润全面管理USB移动存储介质近几年，USB移动存储介质的使用越来越广泛，而如何安全管理USB移动存储介质的问题也同样凸显出来。

一方面部分企业的安全意识还存在一个持续提高的过程，如何在寻求安全管理和方便办公中寻求一个平衡点，是众多企业网络管理者急需解决的问题。

同时作为厂家提供的各种相关产品的品质差别参差不齐，导致目前USB移动存储介质的安全管理仍旧持续不断的出现问题。

如何在保证不影响正常使用的前提下，用较少的投入实现全面的USB移动存储介质的管理?笔者近日了解到国内资深信息安全企业北京圣博润高新技术股份有限公司(以下简称：圣博润)在该领域有所突破，成功实现了新一代软件形态USB移动存储介质使用管理系统的投产商用，这一产品的出现将大大缓解政府和企业非特殊网络环境的移动存储介质安全管理需求。

软件产品形态实现高性价比的解决方案当前，针对USB移动存储介质的安全性问题，主要有三种技术解决方案。

第一种是对计算机的USB物理端口进行人工上锁，使其无法接入任何USB设备。

这是一种最早使用的技术方案，由于该方案将导致所有USB设备都无法在计算机上使用，已逐渐被用户所淘汰。

第二种采用专用的加密USB 移动存储介质，属于硬件方案，配合软件使得普通USB移动存储介质无法识别，只能使用专门配发的加密存储设备。

第三种是采用完备的移动存储介质管理系统，利用软件解决方案的形式，在针对非特殊性用户的时候具有较高的性价比。

目前，封闭USB物理端口的方法已经较少采用，而专用硬件移动存储介质解决方案由于其成本过高、针对性过强，国内目前仅在政府和大型企业的特殊网络内有所应用。

而广大非特殊网络用户虽然同样面临USB移动存储介质管理和信息防泄密的问题，但基于总体成本和工作方便性的整体考虑，此类方案并不适用。

圣博润LartSecSUSB移动存储介质使用管理系统正是在这样的背景下应运而生，针对非特殊性政府、企业网络用户信息保密、信息防护和病毒防护的要求，提供完整的移动存储介质安全管理和信息保密的解决方案。

移动存储管理系统白皮书1北信源移动存储管理系统概述北信源移动存储系统是以移动数据生命周期为主导，紧扣其存储和交换的安全需求，针对移动数据全生命周期各个环节潜在的安全隐患，综合运用各种安全技术和手段，进行有效全程防护的安全产品。

2北信源移动存储管理系统用途及技术特点2.1设计理念北信源移动存储管理系统采用B/S与C/S相结合的管理构架，支持多级级联模式。

服务端制订统一的策略，分发给客户端执行。

具有USB标签制作工具，能够对移动存储介质加扰进行保护和加密，对移动存储设备进行使用范围授权，访问控制等综合的管理。

移动存储管理系统可以将整个移动存储介质划分成任意两部分容量的交互区和保护区，保护区需要通过密码认证才可以访问。

北信源移动存储管理系统适用于不同的环境。

通过对安全移动存储设备硬件及移动存储管理系统软件一体化集成的方式对所有操作的完善的日志审计，进行移动存储及介质的访问控制权限划分等。

系统以数据为中心，用户作为数据的使用者，主机作为数据的存储者，移动存储介质作为数据的迁移者，在系统范围内均赋予唯一的标识，三者进行相互认证。

只有经认证和授权成功后，才保证合法的用户在合法的机器上访问合法存储介质上的数据，并形成详尽的日志供审计。

图2-1 移动数据安全访问模型2.2移动存储管理系统结构◆系统服务器端(VRVEDP-USB)：移动存储系统管理中心，基于web页面管理方式，管理员登陆后配置后系统才能运行，能够自动发现网络中的终端计算机，并检测终端计算机是否安装系统客户端程序，管理中心内置移动存储管理策略中心和报警中心，提供对网络终端的分组管理设置。

◆系统客户端(Agent)：安装在终端计算机，接收系统管理中心分发的策略，根据接受策略实时监控接入终端计算机移动存储设备的操作行为和状态，并进行管理或者控制；终端主机安全移动存储管理系统客户端注册程序以后，即使离开所在网络或不处于任务网络中，仍实时受到移动存储管理策略控制，日志记录于本地，一经连接回网络，则自动上报日志信息给服务器。

亿仕安全优盾移动介质安全与防摆渡攻击版本 V2.0内容索引1. 引言 (3)2. 移动介质安全性分析 (3)3. 安全优盾功能简介 (4)4. 产品组成与特性 (6)4.1. 产品组成 (6)4.2. 性能参数表 (6)4.3. 运行环境参数表 (7)1.引言通过互联网来实施渗透和窃密，在境外情报机关的对华间谍行动中正日益增多，现在网络间谍的方法花样种类繁多而且越来越隐蔽，如：伪造“上级机关”发送包含间谍木马的电子邮件；采取“蛙跳”方式攻击真正目标从而隐藏真正的攻击者；针对移动办公人员的所使用的便携式设备进行攻击等。

“涉密电脑不上网，上网电脑不涉密！”，我国保密单位的内部工作网络是不允许与互联网连通的，但有关部门做安全检测时仍然从中发现了境外情报部门的木马，调查表明，一个重要的途径是摆渡攻击。

利用的是像优盘、移动硬盘之类的移动介质，境外间谍部门专门设计了各种各样的摆渡木马，并且搜集了我国大量保密工作人员的个人网址或者邮箱，只要这些人当中有联网使用优盘等移动介质的，摆渡木马就会悄悄植入移动介质，一旦这些人在内部工作网的电脑上插入优盘等移动介质，摆渡木马立刻就感染内网，把保密资料下载到移动介质上，完成这样的摆渡后，只要使用者再把这个移动介质接入联网电脑，下载的情报就会自动传递到控制端的网络间谍那里。

目前我国正处在一个快速发展的战略机遇，反华势力出于遏制中国的战略企图，渗透窃密活动会愈演愈烈，我们防奸保密的任务也会越发艰巨。

当今是网络时代，网络安全是国家安全的重要组成部分，而内部网络的安全更是负有重大保密责任的机构和单位不容忽视和急迫需要解决的问题。

2.移动介质安全性分析移动存储介质使用灵活、方便，使它在信息化的过程中迅速得到普及，越来越多的敏感信息、秘密数据和档案资料被存贮在移动存储介质里，大量的秘密文件和资料变为磁性介质、光学介质，存贮在无保护的移动存储介质中，这给信息资源带来相当大的安全隐患。

具体表现在：1、对计算机存储介质的管理不规范，甚至未被纳入保密管理的范畴，导致无法对内部使用的移动存储介质进行统一管理；2、私人的优盘、移动硬盘等，可以在单位的计算机上随意使用，容易造成计算机病毒感染和泛滥，导致内部网络运行出现故障；3、使用移动存储介质，内部人员可以随意将单位内部涉密信息复制出去，容易造成单位敏感信息泄密；4、内部使用的移动存储介质被随意带出，在外网中使用时容易造成失泄密；5、移动存储介质在使用时，缺乏身份认证和访问控制，导致任何人可以使用任何介质在任何机器上进行文件拷贝，造成内部文件流失；6、移动存储介质被内部人员在非涉密计算机上使用，容易遭受“摆渡攻击”，导致涉密数据流失；7、内部人员在使用移动存储介质进行文件交换时，无法对文件流向进行审计和控制，在出现文件流失时难以对责任人进行追究；8、移动存储介质使用时存在明密不分、公私不分的现象，导致内部文件出现失泄密；9、移动存储介质在被盗或遗失时，会导致内部数据丢失。

存储介质信息消除工具技术白皮书2010年9月1．系统概述“存储介质数据销毁工具网络版”能够彻底解决数据删除后可以通过特殊工具被恢复的问题，可以灵活实现文件、目录、剩余磁盘空间和整个磁盘的数据彻底销毁。

系统自动对各种删除操作记录日志，日志实时上传至服务器，提供管理员跟踪系统内所有计算机中的文件清除工作。

为系统管理、问题跟踪提供了线索和依据。

采用自主研发的磁盘读写技术，使得数据销毁工作直接对硬盘物理扇区，物理磁道进行数据擦除。

从而保证硬盘数据彻底清除。

销毁后的文件，目录、剩余磁盘空间或者整个磁盘不存在任何数据，无法通过软件技术手段恢复。

系统界面简洁，操作简单灵活，性能稳定。

2．系统功能系统可以对系统内所有计算机记录日志，具有管理员权限的用户可以登录到系统的网站进行查询日至操作。

系统管理员有权创建、修改和删除用户，分配用户权限。

具有不同权限的用户可以使用相应权限中的删除算法。

系统可对各种硬盘、软盘、U 盘、存储卡等存储介质信息进行彻底地销毁。

支持所有的磁盘分区格式，包括 NTFS 分区、FAT32 分区、FAT 分区等。

其主要功能如下：用户可选择单个文件、多个文件进行销毁清除。

用户可选择单个目录、多个目录进行销毁清除。

用户可选择单个磁盘、多个磁盘剩余空间对残留数据销毁清除。

用户可选择单个磁盘、多个磁盘进行销毁清除。

针对windows系统，用户可以选择清除回收站内所有文件。

用户可选择不同安全等级以满足不同的安全需求。

用户可以随时插拔磁盘，保证不间断“即插即毁”式的多磁盘连续操作。

用户可以销毁清除特殊数据，如上网记录、U 盘使用记录、临时文件等。

3 技术特点本系统支持文件、目录、磁盘空闲空间、全盘粉碎，粉碎是通过多次重写相应的磁盘簇（扇区）来实现的。

采用自主研发的磁盘读写技术，使得数据销毁工作直接对磁盘物理扇区，磁盘磁道进行数据擦除，从而保证磁盘数据的彻底清除。

完善的软件工程技术，保证程序支持多操作系统。

LanSecS®信息安全等级保护综合管理系统使用说明书—用户指南北京圣博润高新技术股份有限公司目录1.声明 (5)2.欢迎使用 (6)nSecS®信息安全等级保护综合管理系统概述 (6)2.2.阅读指南 (9)3.入门 (9)nSecS®信息安全等级保护综合管理系统部署环境(服务端) (9)nSecS®信息安全等级保护综合管理系统安装环境(客户端) (10)3.3.安装LanSecS®信息安全等级保护综合管理系统服务器安装过程 (10)3.4.关于LanSecS®信息安全等级保护综合管理系统 (11)4.初次使用LanSecS®信息安全等级保护综合管理系统 (11)4.1.初次登陆 (11)4.2.创建第一个角色 (11)4.3.角色授权 (11)4.4.创建第一个用户 (11)4.5.分配角色 (12)4.6.登录 (12)4.7.注销 (12)4.8.退出 (12)4.9.修改密码 (12)5.使用LanSecS®信息安全等级保护综合管理系统 (12)5.1.定级备案 (12)5.1.1.备案登记 (13)5.1.2.备案库 (14)5.2.建设整改 (15)5.2.1.建设整改 (15)5.2.2.建设整改监控 (20)5.3.等级测评 (20)5.3.1.测评机构的管理 (20)5.3.2.等级测评 (21)5.3.3.等级测评监控 (26)5.4.安全检查 (26)5.4.1.安全检查制度 (26)5.4.2.安全自查管理 (27)5.4.3.上级部门检查 (28)5.4.4.公安机关检查 (32)5.4.5.安全检查监控 (36)5.4.7.自评估管理 (38)5.5.风险评估 (39)5.5.1.评估机构管理 (39)5.5.2.风险评估 (39)5.5.3.风险评估监控 (44)5.6.安全评价 (45)5.7.日常办公 (45)5.7.1.待办事项 (45)5.7.2.办结事项 (45)5.7.3.任务管理 (45)5.7.4.工作考核 (46)5.8.统计分析 (46)5.8.1.信息系统统计 (46)5.8.2.事件统计 (46)5.8.3.工作事项统计 (46)5.8.4.资产统计 (46)5.8.5.人员统计 (47)5.8.6.建设整改统计 (47)5.8.7.等级测评统计 (47)5.8.8.检查情况统计 (47)5.9.基础数据 (48)5.9.2.标准规范库 (48)5.9.3.事件管理 (49)5.9.4.灾备管理 (49)5.9.5.资产管理 (49)5.9.6.安全机构 (50)5.9.7.安全人员 (50)5.9.8.安全管理制度 (50)5.9.9.安全管理措施 (51)5.9.10.合作机制 (51)5.9.11.教育培训 (51)5.9.12.应急处理 (54)5.9.13.技术支持队伍 (55)5.9.14.专家库 (55)5.10.系统管理 (56)5.10.1.组织机构管理 (56)5.10.2.用户管理 (56)5.10.3.角色管理 (57)5.10.4.资源管理 (57)5.10.5.流程管理 (58)5.10.6.日志管理 (58)5.10.7.系统运行参数 (58)6.扩展使用LanSecS®信息安全等级保护综合管理系统 (59)6.1.多级部署LanSecS®信息安全等级保护综合管理系统服务器 (59)6.1.1.数据同步先决条件 (59)6.1.2.数据同步配置 (60)6.1.3.数据同步 (60)1.声明本文档所包含的信息仅代表圣博润LanSecS®公司截至发布日期为止对所述问题的观点。

LanSecS USB移动存储介质使用管理系统（版本：7.0）用户手册北京圣博润高新技术股份有限公司Beijing SBR Information Technology Co., LTD特别声明本手册为《LanSecS USB移动存储介质使用管理系统7.0》产品用户手册，其内容将随着圣博润LanSecS软件的不断升级而改变(以光盘中电子版发行时为最新版)，恕不另行通知。

需要者请从圣博润公司网站下载本手册的最新电子版或者直接联系圣博润公司索取。

本操作手册为《LanSecS USB移动存储介质使用管理系统7.0》通用说明书。

若您独立购买《LanSecS USB移动存储介质使用管理系统7.0》其他特殊版本或者特殊功能模块，请您在使用过程中选择性阅读相应章节。

感谢您购买北京圣博润高新技术股份有限公司研制开发的内网安全管理系列软件。

请在使用本软件之前认真阅读本操作手册，当您开始使用该软件时，圣博润公司认为您已经阅读了本操作手册。

目录目录 (3)一、产品概述 (1)1、系统概述 (1)1.1产品简介 (1)1.2产品标准 (1)1.3产品架构 (1)1.4产品功能 (2)二、安装手册 (3)2、软件安装环境 (3)3、数据库安装 (5)3.1MYSQL数据库安装 (5)3.2SQL S ERVER数据库安装 (9)4、产品安装 (11)4.1总控中心安装 (11)4.2管理控制台安装 (14)4.3代理程序安装 (15)三、控制台操作手册 (17)5、系统基础设置 (17)5.1基础信息设置 (17)5.2单位管理 (17)5.3部门管理 (18)5.4用户管理 (20)5.5员工管理 (22)5.6主机管理 (23)5.7部署管理 (27)5.8帐户管理 (35)5.9运维管理 (36)6、策略管理 (39)6.1策略分类 (40)6.2策略安全性 (40)6.3策略设置 (41)7、移动存储介质管理 (45)7.1注册查询 (45)7.2注册统计 (45)7.3维修管理 (45)8、审计管理 (46)8.1信息查询 (46)8.2信息统计 (48)8.3事件管理 (51)8.4态势分析 (53)8.5安全评估 (56)8.6操作日志 (56)8.7审计报表 (56)8.8备份管理 (57)四、代理托盘操作手册 (60)9、托盘模块 (60)9.1设置 (60)9.2系统诊断 (60)9.3系统摘要 (61)9.4资产管理 (62)9.5安全代理状态 (63)五、产品工具软件手册 (68)10、工具软件概述 (68)11、实时报警管理工具 (69)11.1过滤设置 (69)11.2系统 (69)12、移动存储介质管理工具 (71)12.1注册管理工具 (71)12.2多分区U盘日志查询工具 (73)一、产品概述1、系统概述LanSecS USB移动存储介质使用管理系统是一款定位于为政府和企业用户提供集中的USB 移动存储介质使用管理及终端综合安全管理的桌面管理产品。

LanSecS®内网安全管理系统（V7.0）技术白皮书北京圣博润高新技术股份有限公司2009年11月目录1.产品简介 (1)2.产品架构 (2)2.1.终端监控引擎 (2)2.2.总控中心 (2)2.3.管理控制台 (3)2.4.系统数据库 (3)3.产品功能 (4)3.1.终端运维管理 (4)3.2.终端安全加固 (5)3.3.终端主机准入控制 (5)3.4.移动存储介质管理 (7)3.5.终端安全审计 (8)4.产品性能 (9)4.1.总控中心性能 (9)4.2.终端监控引擎性能 (9)4.3.产品性能指标 (10)4.4.自身安全性 (10)5.产品部署 (11)5.1.产品形态 (11)5.2.部署模式 (11)5.2.1.本地部署 (11)5.2.2.分级部署 (12)1.产品简介LanSecS®内网安全管理系统V7.0版是一款定位于为政府和企业用户提供集中的终端（桌面）综合安全管理的桌面管理产品。

系统通过对计算机准入控制、计算机安全加固、计算机运行维护、计算机安全审计、移动存储介质注册等多个方面的综合管理，为政府和企业用户打造一个安全、可信、规范、健康的内网环境。

LanSecS®内网安全管理系统V7.0版是北京圣博润高新技术股份有限公司（以下简称圣博润）一个里程碑式的、战略性的产品版本，该版本通过对用户需求的持续跟踪使得产品功能进一步丰富，通过系统架构的优化调整使得产品性能显著提升，借助LanSecS®内网安全管理系统V7.0版的发布，圣博润公司更加明确地宣告了其专注于内网安全管理领域的决心与实力。

LanSecS®内网安全管理系统在为用户提供终端安全保护手段的同时，更加强调为用户提供便利的终端运维管理手段。

集中式、人性化的终端管理能力是LanSecS®内网安全管理系统的特色之一，也是圣博润公司一直以来的努力方向。

LanSecS®内网安全管理系统的设计参考了如下国家标准：●GB/T18336-2008 《信息技术安全技术信息技术安全性评估准则》●GB/T22239-2008：《信息系统安全等级保护基本要求》●MSTL_JGF_04-012《信息安全技术远程主机检测产品检验规范》●MSTL_JGF_04-011《信息安全技术非授权外联检测产品检验规范》●BMB15-2004《涉及国家秘密的信息系统安全审计产品技术要求》●BMB17-2006：《涉及国家秘密的信息系统分级保护技术要求》●BMB20-2007：《涉及国家秘密的信息系统分级保护管理规范》●BMB22-2007：《涉及国家秘密的计算机信息系统分级保护测评指南》●GBT 22240-2008：《信息系统安全等级保护定级指南》●GBT 22241-2008：《信息系统安全等级保护实施指南》2.产品架构图1 LanSecS®内网安全管理系统架构LanSecS®内网安全管理系统在架构设计上采用了三层管理结构：终端监控引擎、总控中心、管理控制台，2.1.终端监控引擎终端监控引擎以服务的形式运行于终端计算机上，是终端计算机管理的核心和基础部件，用于对被管理终端计算机的安全加固、运行维护和监测审计等管理职能。