USB2文件流轉(zhuǎn)型中間機

本模式是打通擺渡中間機、內(nèi)部流轉(zhuǎn)、內(nèi)部存儲備份等幾個系統(tǒng)，提供了一套能夠的滿足政企內(nèi)部的互通互聯(lián)、文件交互、轉(zhuǎn)發(fā)、審計多個需求完整方案。

由于模式一單純采用 U 盤作為數(shù)據(jù)擺渡介質(zhì)，安全性雖然較高，但是沒有和內(nèi)部公文流轉(zhuǎn)結(jié)合，便捷性低。我司推出了一套集中間機數(shù)據(jù)擺渡和內(nèi)部文件流轉(zhuǎn)、存儲結(jié)合的完整解決方案，該方案在具備模式一的中間機本身特點外，還具有以下特點：

u 增加一套基于內(nèi)部安全私有云盤和分布式存儲技術(shù)的文件流轉(zhuǎn)系統(tǒng)。

u 中間機和流轉(zhuǎn)服務(wù)器通過 VLan 劃分和捍衛(wèi)者終端準(zhǔn)接入技術(shù)保證中間機只能與流轉(zhuǎn)服務(wù)器做性鏈接。

u 中間機完成病毒查殺、數(shù)據(jù)格式屏蔽（比較禁止可執(zhí)行文件上傳）、U 盤接入控制

（單雙向）。

u 敏感數(shù)據(jù)自動放入存儲隔離區(qū)（管理員審計后可以轉(zhuǎn)出）。

u 可以實現(xiàn)文件導(dǎo)入導(dǎo)出審計、內(nèi)部共享設(shè)置、流轉(zhuǎn)過程審計。

方案中使用的產(chǎn)品和技術(shù)簡介

（一） 主機加固技術(shù)（中間機）：

中間機使用捍衛(wèi)者加固技術(shù)如：進程白名單、網(wǎng)絡(luò)接入外聯(lián)、注冊表監(jiān)控、外設(shè)和文件監(jiān)控、敏感信息檢查、原生界面攔截等技術(shù)對中間機主機進行加固防護。

l 進程白名單：系統(tǒng)設(shè)定安全進程白名單，白名單以外進程無法再加固計算機內(nèi)運行?？梢杂行Х乐共《竞湍抉R進程侵入系統(tǒng)。

l 網(wǎng)絡(luò)計入外聯(lián)控制：通過網(wǎng)絡(luò)過濾層技術(shù)和封包標(biāo)簽審計等捍衛(wèi)者特色技術(shù)，實現(xiàn)中間機限定只能和文件流轉(zhuǎn)服務(wù)器鏈接，中間機無法私接其他網(wǎng)絡(luò)和終端。

l 主機中的注冊表進行驅(qū)動級別的守護，禁止非法修改。

l 外接存儲介質(zhì)和文件拷貝進行日志記錄和審計。

l 對交互文件進行全文檢索，發(fā)現(xiàn)包含敏感文字的文件進行阻斷和日志記錄。

l 阻止系統(tǒng)原生界面，用戶只能通過捍衛(wèi)者提供的 UI 訪問本系統(tǒng)，阻斷非法操作。

l 插入維護用 Ukey，可以進入維護模式和原始 UI 進行系統(tǒng)維護。

（二） 捍衛(wèi)者外設(shè)與移動存儲介質(zhì)管理技術(shù)：

捍衛(wèi)者終端安全與訪問控制--移動存儲及外設(shè)安全管理系統(tǒng)為終端計算機使用移動存儲設(shè)備提供了完整的安方案。實現(xiàn)了對 U 盤、移動硬盤、SD 卡等移動存儲設(shè)備的有效管理客戶和控制。既保證了移動存儲設(shè)備的安全使用，又避免了移動存儲設(shè)備隨意使用造成的信息外泄風(fēng)險。

移動存儲及外設(shè)安全管理系統(tǒng)提供計算機端口的安全管理、移動存儲設(shè)備的使用、內(nèi)部安全 U 盤使用。

計算機端口安全管理，主要對 USB 端口和其他非常用端口進行安全管理。對 USB 端口

設(shè)置：禁用、只讀、開放三種模式，三種模式可以靈活使用，還可以對 USB 端口權(quán)限設(shè)置臨時開放或只讀，一定時間后自動禁用。其他非常用外設(shè)端口（如：光驅(qū)、本地連接、無線網(wǎng)卡、手機同步、藍牙等）設(shè)置：禁用、開放模式。

移動存儲設(shè)備使用，在終端計算機端口禁用/只讀管控狀態(tài)下，移動存儲及外設(shè)安全管理系統(tǒng)對的移動存儲設(shè)備，后的移動存儲設(shè)備得到權(quán)限，可以在認(rèn)證的計算機上使用，未經(jīng)過認(rèn)證的移動存儲設(shè)備則是不可以使用的。

內(nèi)部安全 U 盤使用，此為我公司研發(fā)的專屬 U 盤，通過特殊加密技術(shù)，實現(xiàn)專屬 U 盤可以在內(nèi)部安全使用，在外部專屬 U 盤不可以使用的效果。

（三） 終端網(wǎng)絡(luò)認(rèn)證與接入外聯(lián)控制技術(shù)

捍衛(wèi)者準(zhǔn)入控制系統(tǒng)，是解決企業(yè)內(nèi)部終端計算機非法訪問外網(wǎng)或外部終端，外部終端非法訪問內(nèi)部網(wǎng)絡(luò)或內(nèi)部計算機終端的最完善的解決方案。采用底層安全控制技術(shù)，有效的隔離內(nèi)部終端計算機訪問非法網(wǎng)絡(luò)和非法終端，屏蔽外部終端或外部網(wǎng)絡(luò)。同時還阻止內(nèi)部終端通過私改 MAC 和 IP 非法訪問外部終端或網(wǎng)絡(luò)。

捍衛(wèi)者準(zhǔn)入控制系統(tǒng)的主要功能：

l 通過終端準(zhǔn)入機制，建立可信網(wǎng)絡(luò)，為企業(yè)建立可信的網(wǎng)絡(luò)環(huán)境；

l 可信網(wǎng)絡(luò)內(nèi)部終端通過認(rèn)證，可以相互正常通信；非認(rèn)證終端不可訪問可信終端；

l 建立網(wǎng)絡(luò)訪問控制機制，可信終端未經(jīng)允許，不可訪問非認(rèn)證網(wǎng)絡(luò)或終端；

l 捍衛(wèi)者準(zhǔn)入控制系統(tǒng)低成本實現(xiàn)內(nèi)外網(wǎng)軟件隔離和內(nèi)網(wǎng)準(zhǔn)入信息安全防護，防止外部終端因為非法接入、內(nèi)部終端非法外聯(lián)導(dǎo)致。

（四） 登錄管理控制

通過特殊電子鑰匙 USB KEY(簡稱 Ukey)實現(xiàn)對終端計算機的系統(tǒng)訪問控制。在沒有插入電子鑰匙 Ukey 的終端計算機上不能登陸操作系統(tǒng)，插入電子鑰匙 Ukey 狀態(tài)下終端計算機正常操作，拔出后鎖定計算機系統(tǒng)?？蓪崿F(xiàn) 1 對 1 或 1 對多綁定。

在本方案中主要用于維護模式的識別，控制。

（五） 進程白名單控制技術(shù)

通過驅(qū)動技術(shù)實現(xiàn)對系統(tǒng)進程的識別和阻斷放過。與殺軟配合更好的實現(xiàn)終端的安全防護。

（六） 捍衛(wèi)者文件存儲與流轉(zhuǎn)控制系統(tǒng)

1) 文件的邏輯區(qū)分儲存：

將工作中所遇到的文件按其性質(zhì)進行劃分，在我們?nèi)粘＾k公所使用的文件一般可以區(qū)分為以下幾個類別：

個人文件：根據(jù)個人喜好所書寫，下載，收集到的一些文件，例如：個人照片，音樂，小說，電影，工作計劃，學(xué)習(xí)計劃，自我成長類文件。

項目（團隊）文件：日常工作參與的項目文件，這類文件對項目很重要，需要經(jīng)常與項目成員進行溝通協(xié)作，一般為工作類文件，文件類型根據(jù)工作性質(zhì)而定；

部門文件：部門文件為部門成立后積累下來的文件，為部門知識文化傳承的必要手段，文件類型豐富。會根據(jù)部門大小，人員，地域等形式設(shè)置不同的訪問權(quán)限。

單位（共享）文件：一般可分類公開類型文件，或者必要的軟件安裝源文件，設(shè)計。

Logo 源文件等等可以被大家共有的文件，為了避免重復(fù)，統(tǒng)一使用文件。

2) 分布式文件系統(tǒng)，實現(xiàn)跨地域容災(zāi)

分布式文件系統(tǒng)提供了：分布式文件存儲、文件同步、文件訪問（文件上傳、文件下載）這幾個基本功能，解決了大容量存儲和負載均衡的問題。文件系統(tǒng)主要有兩個角色：跟蹤器（tracker）和存儲節(jié)點（storage）。跟蹤器主要做調(diào)度工作，在訪問上起負載均衡的作用。

存儲節(jié)點存儲文件，完成文件管理的所有功能：存儲、同步和提供存取接口。

3) 對外高級安全控制

文件水?。和ㄟ^對外鏈的文件生成水印，防止外網(wǎng)用戶分發(fā)截圖等方式傳播；

訪問白名單：通過 IP 等手段防止，限制使用設(shè)備（手機電腦等），來拒絕非意向用戶訪問；

4) 多人編輯與版本管理： 正常文件是無法進行多人編輯的，通過企業(yè)網(wǎng)盤，可以進行多人編輯。有些網(wǎng)盤會產(chǎn)生大量沖突版，以保證文件的安全性。捍衛(wèi)者使用文件編輯鎖定機制，使文件打開被鎖定，其他人無法編輯此文件。保證版本的連續(xù)性和文件的安全性。

1) 文件預(yù)覽全格式支持

2) 日志與報表審計可以記錄查詢?nèi)藛T文件下載、上傳等信息記錄

自動根據(jù)人員動態(tài)，文件動態(tài)，系統(tǒng)運行狀態(tài)這些指標(biāo)提供，周報，月報，排行榜等功能，讓管理員隨時知道系統(tǒng)的狀況。

3) 敏感字審計

發(fā)現(xiàn)敏感信息告警、隔離。