USB安全存储专家企业版(USSE)

USB安全存储专家企业版(USSE)前言防火墙、IDS、内外网隔离以及其它针对外部网络的访问控制系统，可有效防范来自网络外部的进攻，但对于企业内部的信息保密问题，却一直没有好的防范方法：内部人员可以轻松地将计算机中的机密信息通过网络、存储介质和打印等方式泄露出去，一旦这些敏感信息、重要数据、设计图纸等流失到敌对势力、竞争对手手中，将给国家、企、事业单位造成重大损失。政府机关、承担国家敏感课题的科研部门，包括涉及更多的国家机密，对于涉密信息采取严密的防护措施显得非常必要。目前，尽管国家制定了很多相关规章制度，并明确规定这些企事业单位的涉密计算机必须采取相应的安全防护措施，但是为了保障内部信息的安全，仅靠传统的行政管理措施已不能满足要求，必须依靠一些技术手段。美国CSI/FBI的调查结果显示，企业和政府机构因重要信息被窃所造成的损失超过病毒感染和黑客攻击所造成的损失，80%以上的安全威胁来自内部。中国国家信息安全测评认证中心的调查结果也表明，信息安全问题主要来自泄密和内部人员犯罪，而非病毒和外来黑客引起。因此，如何保护企业的信息资产，如何防范内部人员犯罪，发生信息泄漏事件之后如何进行取证已经成为今后信息安全建设的一个重要部分。针对这些新的安全问题，我们团队（Eff-Studio）开发了USB安全存储专家（USSE），志在为中小企业和个人用户提供USB端口的信息安全管理，让USB端口不再成为信息安全的隐患。用户可以配合其他网络监控的程序一起构造一个安全的企业数据管理环境（后续我们将推出一系列企业数据安全管理工具）。2006年，针对企业所面临的普遍存在的信息安全问题，我们开发了USB安全存储专家企业版2006，专门提供企业级的USB端口控制解决方案。现在经过多次的版本改进，USB安全存储专家企业版最新版在继承了原先产品优点的基础上又加入了许多新的功能和技术。USB安全存储专家企业版采用了“远程控制、集中管理、统一配置”的方式，拥有先进的分布式计算技术，成功的实现了智能安装、组策略管理、统一升级、远程查杀病毒、远程设置、统一设置等功能，大大提高了企业网络的安全系数，减少了网络管理的复杂度，能够为企事业单位的整体USB端口控制提供全方位解决方案。在使用USB安全存储专家企业版的过程中，您将始终能够从如下方面体验前所未有的安全性提升，以及大幅降低的应用成本：集中的管理功能能够为您提供强大稳定的全网USB端口管理。并且由于经过了EfficientStudio易用性设计，您的操作将变得更加高效与便捷。多种安装方式能够最大限度贴合网络的实际环境，使您大幅缩短部署周期。全网智能升级体系能够在第一时间获取由EfficientStudio提供的更新并完成全网升级，而您完全不必花费任何精力，因为这一过程能够实现完全的自动化及智能性。产品概述2005年我们推出了USSE个人版，在版本不是很成熟的情况下，我们得到了大量用户的关心和支持。历经了近两年的紧张开发之后，我们现推出USSE-2006企业版，这是一个全方位的企业管理环境，我们在2005年企业版的基础之上，重新构造了内核，开发了一个完善的企业管理平台，将为您及您的企业提供最方便、最安全的管理环境。USSE企业版由三个组件构成：USSE客户端（client）-运行在员工计算机上，USSE服务器端（Server）和USSE管理中心（administrationcenter）。USSE客户端是安装在需要管理的机器上，USSE服务器是安装在集中管理的服务器上（也可以是任意一台计算机上），USSE控制台可以安装在局域网内部或外部环境。由于我们精心构造了网络平台，USSE企业版适合于可伸缩的网络环境和用户自定义的网络环境，也适用于没有Windows域管理的网络环境。我们还提供用户定制服务，按照用户的要求完成特定的功能裁减和添加。功能列表：1、客户端、服务器与管理员控制台三分离架构，大大方便管理员进行管理，可以远程操控。2、所有客户端都由服务器进行控制，客户端的所有权限都可以在服务器进行设置。3、不局限于局域网，客户端与服务器可以不在同一个局域网，只要能够TCP连接，就可以由服务器控制。4、客户端自动从USSE服务器下载升级文件进行升级，维护更方便。客户端无需连接因特网即可进行升级。5、控制客户端对移动硬盘、U盘的默认读写权限，可以设定为的权限级别有以下几种：5.1只读：客户端不能向移动存储设备中写入任何文件，但是允许查看和取出文件。5.2禁用：客户端不能读取和写入任何文件，USSE禁止移动存储设备接入计算机。5.3开放：客户端的移动设备不受限制，跟未安装USSE时的情况一样，可以读取也可以写入。6、对移动硬盘与U盘写入USSE标识，此标识全球唯一，技术全球领先.并且与硬件相关，已经加密处理，拷贝无效，并且这个标识对用户透明，不会被用户无意中删除，安全可靠。7、可以针对某个指纹进行相应的权限设置，可以设置的权限请参考5。8、可以对每一个客户端进行权限策略设置，可以设置的策略有：8.1默认权限，如5所述。如果客户端发现接入的存储设备没有USSE标识或者没有对其针对当前的USSE标识作权限设定，客户端将使用默认权限。8.2针对某个USSE标识的权限，最多可以设置500个USSE标识9、日志审计，服务器记录客户端使用USB存储设备的动作，有时间与USB存储设备等信息。10、管理员用户管理，可以新增、删除、密码修改等操作。11、对客户端进行分组管理，改动组策略可以影响所有组里的用户。12、使用公认的最好的加密算法（AES、SHA），保护服务器数据不受黑客纂改。13、使用工业强度的嵌入式数据库，数据安全又可靠，并且不需要任何其他数据库的支持，安装与维护超级简单。14、后续版本支持数据加密，可以平滑过渡，减少开支。15、服务器license管理，客户端不需要注册码，可以随时通过更换license进行“扩容”。16、客户端秘密隐藏，几乎不占用系统内存和CPU时间。17、客户端维护管理密码统一由设定。18、工作站不能自行卸载客户端，需要提供卸载密码才可以卸载，保证客户端不被卸载。19、提供组策略管理支持，将所有接受管理的客户端按逻辑分组，对整个局域网中所有客户端的管理统一又不显单调，独立中又显统一。归属到一个组中的客户机可以按照统一的方式进行管理，可以通过设置组选项来统一同一组内所有客户机的行为和权限等。功能特色：z在Windows系统底层对USB读写进行控制，没用任何办法绕过我们的控制，包括WinHex这样的写扇区软件z无需管理员权限，客户端安装后可以使用任何帐户，客户端随系统启动，有足够的自我保护能力，无法卸载和结束客户端。z为了确保数据安全，就算在极端情况下结束客户端，那么我们的底层模块将禁用所有的USB存储设备，以保证不会有数据从USB口泄露出去。z基于C++开发，占用系统资源极少，对客户端系统的现有工作没有丝毫影响z提供客户端界面控制工具，在紧急情况下输入管理密码可以临时对客户端权限进行设定。z部署方便企业版的网络布局图1图1中有3个网络元素，第一个是USSE服务器，第二个是工作站（以下简称客户端），第三个是管理员控制台(以下简称控制台)，其中USSE服务器负责处理所有客户端的管理，所有控制都由服务器负责，每台客户端的模式（例如只能写，只能读）都从服务器得到，每个客户端的USB移动存储设备的动作（插入，拔除等）都上报给服务器，然后服务器记录到数据库。如果当前有控制台连接到服务器，那么服务器就会把这个事件通报所有控制台，显示在控制台上。控制台负责设置客户端与服务器的运行模式，以及一些事件日志。另外控制台还可以在某个USB移动存储设备写入USSE标识。企业版各个功能模块介绍USSE服务器USSE服务器是USSE企业版的核心组件，USSE服务器使用工业强度级别的嵌入式数据库，不但安全性与稳定性处于全球领先地位，足以保证服务器的数据安全，最大限度地保证数据不会丢失，并且查询与读取的速度也处于全球领先地位。由于使用我们领先的存储技术，我们将数据库中所有的数据存储到单个文件中，因此不需要任何第三方的数据库软件，这样使得不但安装十分简单，而且可以节约用户的成本，不必再购买其他数据库软件。USSE服务器使用的数据库不但稳定，另外数据库中的数据可以无缝的升级，保证用户的数据能够在新版本中使用。USSE服务器主要存储以下信息：所有客户端的信息，所有控制台用户的信息，客户端操作日志记录，在企业内部使用的所有指纹信息，所有已经设定的组信息，以及组策略的相关数据。USSE服务器负责管理所有客户端与控制台的连接请求，并且对客户端与控制台进行认证，防止黑客程序冒充控制台连接到服务器。并且对控制台用户名与密码进行认证。为了保证密码与用户名在网络中的安全性。密码在传输之前都是经过高强度的加密。这样即使有黑客在网络中窃取网络数据，也无法得到密码，十分安全可靠。USSE服务器另外担当升级服务器的角色，所有的客户端升级工作都在服务器端进行，只需要在服务器的相关目录中放置由官方发布的客户端升级包即可，客户端在启动时自动读取升级信息，发现有升级文件，就会自动从USSE服务器下载文件，并且自动安装，无需在干预。USSE服务器也充当Web服务器的角色，客户端安装可以基于Web方式安装，客户端安装时可以使用IE从USSE服务器下载后进行安装。USSE管理员控制台USSE管理员控制台（以下简称控制台）是管理员控制客户端的一个图形管理工具。采用业界流行的C/S模式，控制灵活。控制台可以查看客户端当前的状态，添加修改和删除客户端的配置。可以添加、修改、删除控制台用户信息等等操作。可以添加、删除、修改组策略。控制台还可以对U盘、移动硬盘等进行写入和擦除USSE标识等操作。控制台的所有操作必须要登录到服务器后才可以进行各种操作。大部分操作都记录在服务器的数据库当中。控制台可以远程安装客户端，只需要远程计算机的管理员用户名和密码即可以队员端进行安装、卸载等操作。目前提供对客户端关机和重启等操作。USSE企业版客户端企业版客户端安装在每个被控的计算机上，基于Windows服务运行。客户端随着计算机启动而自动启动，启动后自动连接到USSE企业版服务器，并且检查是否有更新的版本可用，如果有，客户端会自动从USSE企业版服务器中下载并且安装，所有的操作自动运行，无需用户任何干预，并且用户也无法察觉。客户端对U盘和移动硬盘等存储设备的权限操作都依照服务器的设定进行，如果客户端不能连接服务器，那么客户端将根据网络断开时的管理模式管理移动存储设备。以确保企业的数据安全。性能特性1.整体性能·软件界面功能体现：一个管理员既可管理全网内所有的主机USB端口支持远程跨广域网管理2.客户端性能·CPU占用率0.1%内存占用3M3.网络性能·网络带宽占用率1‰·对客户的价值：简化网络管理避免网关设备造成的性能瓶颈4.支持的客户端类型·软件界面功能体现：Win2K，WinXP，Win2003产品型号产品型号USSE企业版2006基本版USSE企业版2006普通版USSE企业版2006高级版功能区别除USSE标识管理与内部加密功能以外所有功能包含基本版的所有功能，有USSE标识管理功能提供普通版的所有功能以及内部加密功能部署实例普通企业环境这是最为普通的企业环境部署案例。具体的网络布置如下图：图2高级网络布署在网络布局图中可以看到，局域网外部也有一台控制台，这种布局是前一种布局的改进型，但是可以通过外部网远程控制局域网内部的服务器，并且可以查看所有工作站的活动情况，这种布局需要网络支持，例如必须打开某个特定的端口。图3企业版套件内容提供用户手册及介绍文档，提供服务器、控制台、客户端安装光盘一张。提供USB加密狗一个，如果需要安装多个服务器，可以提供多个加密狗。服务企业版提供终身技术支持，其他约定请参照我们网站。