nci移动存储安全管理介绍-nci可信移动存储安全管理系统（nciycgl

NCI可信移动存储安全管理系统（NCIYCGL）技术白皮书中国电子科技集团公司第十五研究所二零零九年十月目录1 研制背景 ..................................................................................................................................... 3 2 主要功能及特点 ......................................................................................................................... 4 2.1 概述 ............................................................................................................................................... 4 2.1.1 适用范围 ................................................................................................................................ 5 2.1.2 系统组成 ................................................................................................................................ 5 2.1.3 应用模式 ................................................................................................................................ 7 2.1.4 角色说明 ................................................................................................................................ 8 2.2功能描述 ....................................................................................................................................... 9 2.2.1 服务器端功能描述 .............................................................................................................. 10 2.2.2 客户端功能描述 .................................................................................................................. 13 2.3 系统主要特点 ............................................................................................................................. 16 2.3.1 多因子认证的强身份鉴别 .................................................................................................. 16 2.3.2 灵活的系统应用环境 .......................................................................................................... 16 2.3.3 移动存储设备的专网专用 .................................................................................................. 17 2.3.4 多种授权方式适应不同应用需求 ...................................................................................... 17 2.3.5 日志审计 .............................................................................................................................. 18 2.3.6 远程监控 .............................................................................................................................. 19 2.3.7 数据安全存储 ...................................................................................................................... 20 2.3.8 丰富的安全增值功能 .......................................................................................................... 20 2.3.9 创新的软、硬件结合方式提高系统安全性 ...................................................................... 21 2.3.10 良好的兼容性和可靠性 .................................................................................................... 21 2.3.11 易用性与可维护性 ............................................................................................................ 21 3 产品的技术实现 ....................................................................................................................... 22 3.1.1 硬件系统 .............................................................................................................................. 22 3.1.2 软件系统 .............................................................................................................................. 22 31研制背景移动存储设备具有设备体积小、容量大、传输速度快、即插即用、便于携带等特点，其出现和普及极大的方便了数据交换和存储。但是，以U盘和移动硬盘为代表的移动存储设备在给人们带来便利的同时，也给文件管理和信息管理带来了很大的困难，已经超过病毒和恶意软件，成为政府部门和企事业单位的最大的安全威胁。不法份子利用移动存储设备体积小、容量大、传输速度快等特点，能够十分隐蔽的从涉密计算机系统快速窃取大量数据，利用移动存储设备窃取国家、企业机密的案件时有发生。移动存储设备的安全性问题日益突显，受到了有关领导的高度重视。各单位的保密工作者也根据自身实际情况制定了移动存储设备的使用管理规定，加强涉密信息的保护工作。但单纯以行政管理为主的防护手段存在许多不足。如：¾移动存储设备的使用缺乏身份认证、访问控制和审计跟踪，也缺乏分级权限管理等控制机制，使用时难以控制，使用后难以追踪；¾由于缺少技术控制手段，使移动存储设备能够在涉密计算机与非涉密计算机之间交叉使用，从而可能导致信息丢失、被窃和病毒感染；¾移动存储设备的管理规定与工作的便利性矛盾突出。所以，在涉密信息系统中移动存储设备的管理不能仅仅通过规章制度加以约束，还需要辅以技术手段进行控制。针对涉密信息系统对移动存储设备的安全管理需求，目前多数的移动存储设备管理方案或从软件方面，或从硬件方面，都提出了一些解决方案和措施，但都没有从根本上解决移动存储设备使用中的安全问题。而大量的政府机构、涉密部门和一些企事业单位对移动存储设备也都有自己特殊的需求，比如内外网中移动存储设备的使用管理问题，使用情况的审计，以及用户、计算机和移动存储设备之间使用权限的设置和绑定等。根据上述需求，具有国防武器装备一级保密资质的中国电子科技集团公司第十五研究所（即华北计算技术研究所）自主设计了“NCI可信移动存储安全管理系统”。“NCI可信移动存储安全管理系统”是一套专为移动存储设备管理而设计的4整体解决方案。该系统基于指纹识别技术，使用指纹Key、指纹U盘、指纹移动硬盘等安全移动存储设备，结合相应的管理软件实现安全策略，对系统内所有计算机、用户和移动存储设备三者间进行权限设置和绑定，从而完成对移动存储设备灵活、有效的安全管理。“NCI可信移动存储安全管理系统”的软、硬件都具有完全的国内自主知识产权，不同于市场上通用的移动存储设备或纯软件的移动存储管理系统，所有设计自主可控；其内部没有隐含功能等安全隐患；硬件接口不对外公开，全部通过SDK的API进行封装，且进出移动存储设备的数据都通过SDK进行了透明的加密变化，设备的安全操作对外界而言，相当于一个功能和结构都不公开的黑盒子。因此本系统是国内移动存储应用领域中具有高可信性和高安全性的移动存储安全管理系统。“NCI可信移动存储安全管理系统”既保留了移动存储设备使用方便的优势，又能充分满足安全管理需要，适用于政府机关、涉密机构以及所有对移动存储设备的发放、使用有安全管理需求的企事业单位及部门。2主要功能及特点2.1概述“NCI可信移动存储安全管理系统”（以下简称“NCI移存管理系统”）根据涉密信息系统中，移动存储设备的使用和管理的实际需求，创造性地提出了基于指纹Key、指纹U盘以及指纹移动硬盘等安全移动存储设备，对系统中所有移动存储介质加入指纹识别信息，并结合软件实现的安全策略，管理到每一台计算机，每一个合法用户，每一个移动存储设备，实现上述三个主体的权限设置和绑定。对上述安全移动存储设备的研发和产业化，结合相应管理软件，实现专网专用、身份认证、访问控制、分级的权限管理以及日志记录和审计跟踪等，从而实现对移动存储的真正的安全管理。本系统中所有的移动存储设备都必须统一注册、集中管理，从设备注册、到分配给二级部门、乃至授权、发放给用户、以及注销和回收等，全程监控，确保设备整个生命期可控、可查。一方面杜绝外部移动存储设备在系统内的使