移动存储介质安全管理技术的现状和发展趋势_信息管理_基础信息化_4838.doc

移动存储介质安全管理技术的现状和发展趋势_信息管理_基础信息化 0 引言 移动存储介质体积小，容量大、携带方便，在信息存储和交换的过程中迅速得到普及。但它为工作提供便利的同时，也为国家秘密的安全带来了极大隐患，甚至已经造成了非常严重的后果。2007年，在国家有关部门发现和查处的泄密案件中，有多起均为移动存储介质交叉使用引起的，移动存储介质受到木马攻击导致涉密文件从涉密信息系统中外泄到国际互联网上。 为此，国家保密局制定了一系列标准和规范，用于指导相关产品的研制和检测，及时堵塞移动存储介质的泄密漏洞。国家保密局在关于加强新技术产品使用保密管理的通知(国保发20063号)和国家保密标准bmb202007涉及国家秘密的信息系统分级保护管理规范，涉密计算机及移动存储介质保密管理产品技术要求中对此类问题也做出了明确要求。 移动存储介质带来的安全威胁不仅限于国家安全部门，也殃及到企、事业单位。2008年5月，香港连续爆发了多起泄密事件，其中涉及16万名病人资料、16万银行客户资料和44万市民个人资料：同年6月底，深圳某著名妇幼保健医院发生了产妇和婴儿资料信息泄露的严重事件，员工在上班期间仅仅用了5分钟时间，便通过u盘拷贝了相关的重要数据，并被不法分子得到，随即出售。这些事件都造成了重大的经济损失和社会影响。 正因为这样，移动存储介质的使用受到了广泛争议。为了解决移动存储介质的安全问题，有人采用极端的方式，封堵物理端口，禁止使用一切usb设备。但是，这样一来，不仅限制了usb移动存储介质的使用，也限制了其他usb设备的使用，例如：usb接口鼠标、键盘、打印机等，给正常工作带来诸多不便。同时，移动存储介质还可以通过1394、红外、蓝牙等接口接入到计算机。也就是说，禁止usb设备并不能禁止移动存储介质的使用，因此，这种禁止物理端口的方法存在明确的缺陷和局限性。 另一种观点认为对移动存储介质的失泄密风险进行主动防御是更好的解决办法。遵循“严格管理，严密防范、确保安全、方便工作”的原则，加强移动存储介质的安全保密管理与使用控制，控制移动存储介质使用过程中的数据泄漏风险。不能只强调方便而忽视管理，也不能过分强调保密管理而影响工作在保证安全的基础上，尽可能满足各项工作的要求。这种观点得到了更加广泛的认同。移动存储介质保密管理产品正是顺应这种需求，在近几年得到了迅速发展，但产品良莠不齐，市场上一部分产品成熟度不高，安全防护不全面。 现在，移动存储介质保密管理已经成为移动存储市场和it安全市场的关注热点，引起了国家保密机关和广大用户的高度重视。1 技术和产品现状 国外，安全移动存储介质保密管理产品的研发起步较早，已经有成熟的产品推向市场。目前国际上移动存储介质保密管理的主流是采用软件解决方案，比如check point软件技术有限公司的check point media encryptiongif公司的endpointsecurity、smartline公司的devicelock，以及centennial公司的devicewall等产品。它们都是纯软件的安全移动存储介质防护解决方案，不依赖于特定的安全移动存储设备，可以防止任何数据存储设备，如智能手机、个人数字助理、ipod音乐播放器等通过usb或其他外设端口接入受保护的系统窃取数据。在介质级全盘加密的基础上，通过有效结合端口管理、内容过滤、集中审核和存储介质管理，对企业移动存储介质的使用进行全面的安全防护。 国内，安全移动介质保密管理类产品的研发在近几年开始发展起来，很多科研机构、大专院校和企事业单位对移动存储设备加密保护的研究投入了大量的人力物力，并且取得了相当的成果。但相对国外的移动存储介质保密产品而言，国内的不少企业和研究机构把注意力集中在了移动存储设备自身的单点数据安全上，而企业级的移动存储介质的整体防护产品相对较少，大部分只针对移动存储介质安全的某一个方面人手，并没有建立一个整体的完善的防护体系。 更为重要的是，该类产品的产业化程度仍处在较低阶段，产品成熟度和产业化程度均不高。目前，提供同类产品的国内厂商大体上可以分为2类:一类是从存储设备生产商发展而来的；另一类是内网安全厂商发展而来的。这2类厂商因为自身优势和对移动存储介质安全的理解不同，产品也都存在着各自的特点。 第一类产品通过专用移动存储设备来实现保密防护。这类产品使用私有协议实现专用的移动存储设备的数据写入，保证公司内部信息的正常交换，避免了重要资料的外泄。这类产品的不足之处有二一是只能使用专用的移动存储设备，购置费用高，企业以前采购的移动存储介质资产没有得到妥善利甩二是移动存储介质不能像正常的u盘一样使用，改变了用户的使用习惯。 第二类产品是纯软件的移动存储设备安全解决方案。提供的安全管理功能包括授权管理、分域管理、权限管理、访问控制、使用范围锁定，锁定自毁、驱动级加解密、文件监控、日志审计。缺点是没有有效的数据摆渡方案，限制了其应用推广。另外，纯软件的解决方案其安全强度没有达到国家有关部门的要求。 2 技术发展趋势 近年来，国家相关保密单位从我国的实际出发，多次发文对移动存储介质的保密管理提出要求，移动存储介质在涉密网络中的使用和数据交换的安全已经引起国家保密部门、党政机关、军队和军工企业的高度关注，有力推动了移动存储介质保密管理系统的快速发展。 综观安全移动存储技术及安全应用的发展，我们不难看出移动存储介质保密管理产品的发展呈现出以下发展趋势： 趋势一：各种信息安全技术走向融合 在企业数据安全管理领域，一个最重要的趋势就是与各种安全技术的集成以及与各种安全产品的整合。移动存储介质的保密管理已经远远超越了设备单点安全的范畴，移动存储介质泄密防护作为企业信息失泄密防护的重要环节，需要结合企业现有组织结构，并能与现有的企业安全产品相整合，特别是与信息防护和控制系统(ipc)的整合，成为全面信息安全解决方案中的一部分。 一些厂家认识到基于软、硬件的保密防护的必要性、优点和不足，将单点设备安全和移动存储介质管理系统结合起来，并推出了软硬件结合的产品，这类产品的出现是技术融合的产物，它综合了以上2类产品的优点，实现了移动存储介质的数据安全、介质访问控制，介质使用环境安全、数据摆渡安全等多层次保护，对移动存储介质进行全生命周期管理。这类产品是迄今为止最全面的移动存储介质保密管理方案。 趋势二：基于安全芯片的验证和加密被越来越多的产品所采用 随着安全移动存储设备应用环境的复杂化，简单地依靠桌面操作系统的单向认证方式，无法抵挡假冒身份，数据拦截等恶意的窃密手段。基于安全芯片的身份认证方式，将大大提高移动存储设备数据访问的安全性。在安全移动存储设备芯片中运行独立的cos操作系统，通过usbkey等安全通道进行身份认证，并由cos完成数据的动态加密。这种认证和保密技术是sim卡、网上银行等应用认证技术的拓展。 趋势三：介质的分级保护成为产品的必要功能 国家保密部门在保密制度上做出了明确规定，对信息系统提出了分密级保护的要求，并规定不同密级实体之间的访问规则，比如高密级移动存储介质不能在低密级计算机上使用，高密级电子文件不能存储在低密级存储设备上。为满足保密部门这些要求，密级标识和基于主客体密级标识的访问控制成为移动存储介质保密管理的必备功能。 趋势四：安全数据摆渡成为热门技术 传统的数据摆渡威胁来自于移动存储介质在内外网之间的交叉使用。近几年，病毒(木马)通过移动存储介质摆渡来窃取用户文件，逐渐成为信息安全的焦点问题，如何有效地鉴别用户和病毒(木马)行为，通过有效的手段来保证移动存储介质在内外部网络之间进行数据摆渡的安全，成为移动存储介质保密管理越来越重要的课题。 趋势五：审计跟踪趋向多维度、立体化 移动存储介质的便携性决定它需要把传统的终端数据审核功能拓展到受控的环境之外，系统审计跟踪需要从简单一维空间发展到多维空间，实现基于身份、时间，地点、设备、不同安全模式等多维跟踪。人员操作审计，终端操作审计、设备使用审计，文件跟踪审计等构成了立体化的审计跟踪体系。 趋势六：介质的电子取证成为新的研究课题 计算机取证主要是围绕电子证据来展开工作的，其目的就是将储存在计算机及相关设备中的犯罪信息作为有效的诉讼证据提供给法庭。与传统证据一样，电子证据必须是：可信的，准确的，完整的，抗抵赖的、符合法律法规的，即可为法庭所接受的证据。对于广泛应用的移动存储介质上的电子物证进行收集、保护，分析和展示，成为司法和计算机科学领域新的研究课题。 5 结语 世界处在不断的发展变化之中。不断发生的泄密事件，让用户越来越认识到移动存储介