可信移动介质管理解决方案

移动存储介质已经得到普及应用，但越来越多的敏感信息存贮其中，给企业信息资源带来相当大的安全隐患。本文提出了对移动存储介质上的敏感信息的保护方案，即“可信移动介质管理解决方案”，并介绍其实现技术。

存储介质作为企业核心商业机密和敏感信息的载体，实现对它们安全、有效的管理是保证企业信息安全的重要手段。

移动存储介质使用灵活、方便，使它在企业信息化的过程中迅速得到普及，越来越多的敏感信息、秘密数据和档案资料被存贮在移动存储介质里，大量的秘密文件和资料变为磁性介质、光学介质，存贮在无保护的移动存储介质中，这给企业信息资源带来相当大的安全隐患。

诸如非法拷贝敏感信息和信息到磁盘、U盘或其他移动存储介质中；企业外部移动存储介质未经授权在内部使用；企业内部移动存储介质及信息资源被带出，在外部非授权使用；使用过程的疏忽；存贮在媒体中的秘密信息在联网交换时被泄露或被窃取，存贮在媒体中的秘密信息在进行人工交换时泄密；处理废旧移动存储介质时，由于磁盘经消磁十余次后，仍有办法恢复原来记录的信息，存有秘密信息的磁盘很可能被利用磁盘剩磁提取原记录的信息―这很容易发生在对磁盘的报废时，或存贮过秘密信息的磁盘，用户认为已经清除了信息，而给其他人使用；移动存储介质发生故障时，存有秘密信息的介质不经处理或无人监督就带出修理，或修理时没有懂技术的人员在场监督，而造成泄密；移动存储介质管理不规范，秘密信息和非秘密信息放在同一媒体上，明密不分，媒体介质不标密级，不按有关规定管理秘密信息的媒体，容易造成泄密；媒体失窃，存有秘密信息的磁盘等媒体被盗，就会造成大量的国家或企业秘密信息外泄，其危害程度将是难以估量的，目前，移动存储设备所支持的存贮容量越来越大，丢失后造成后果非常严重；移动存储设备在更新换代时没有进行技术处理等等。

这些由于移动存储介质的大量使用而引起的安全问题给企业信息化建设带来了很大的困扰，这些问题随着信息化建设的逐步深入也会越来越突出、越来越严重！

那么，如何建立一种有效的手段解决上面的问题呢？有没有现成的技术或者产品能够堵住目前最为广泛失泄密漏洞？有没有一种完整的解决方案，可系统、方便地解决企业的这一难题？

可信移动介质解决方案

可信移动介质解决方案，须满足几个基本要求：一是，通过移动介质交换的数据必须是密文，保证数据离开应用环境后不可用；二是，数据交换前必须通过正确的身份认证，包括密码认证或USB KEY等授权硬件的身份认证；三是，记录数据交换过程的工作日志，便于以后进行跟踪审计；四是，未经授权的移动介质，在工作环境中不可用，只有经过公司授权的移动介质才能进入到公司的办公环境；五是，工作配发的移动介质带出办公环境后变为不可用。

为了满足以上需求，很多企业采用消极、被动的管理方式，比如：通过封堵移动存储设备端口（如USB端口）来禁止用户使用移动存储设备，或者通过每天早上派发和晚上回收移动存储设备的方式来防止内部员工通过移动存储介质泄露企业商业机密等等，这些给管理人员和员工都带来了极大的不便，也降低了工作效率。

根据以上思路，中软信息安全实验室研究开发了一套“可信移动存储设备安全管理平台”。 可信移动存储设备安全管理平台是利用信息保密、访问控制、审计等技术手段，对企业移动存储设备实施安全保护的软件系统，使企业信息资产、信息不能被移动存储设备非法流失，用技术的手段，实现移动存储设备信息安全的“五不”原则，即：进不来、拿不走、读不懂、改不了、走不脱。

可信移动介质管理系统的对象定位即移动存储设备，包括软盘、移动硬盘、U盘及其他移动存储卡等移动存储介质。

可信移动介质管理系统的功能包括：首先，它可以集中授权移动存储设备；其次，要求移动存储设备认证；再次，防止信息泄露；还有，实行数据加解密和操作行为的安全审计等。

实现技术

关键技术有以下几项，如很显然要用到的授权技术、身份认证技术和加/解密技术，另外还涉及到日志记录和审计技术，即在整个环境中，无论移动介质是否经过授权，只要在终端上进行加载，所从事活动都将以日志形式记录到服务器数据库当中以供需要时查找。还有策略实施技术，即可根据安全要求不同设定不同的安全策略，在不同的终端上根据需求设定不同等级的安全策略，以方便使用。