北信源移动存储管理系统白皮书08

移动存储管理系统白皮书

1北信源移动存储管理系统概述

北信源移动存储系统是以移动数据生命周期为主导，紧扣其存储和交换的安全需求，针对移动数据全生命周期各个环节潜在的安全隐患，综合运用各种安全技术和手段，进行有效全程防护的安全产品。

2北信源移动存储管理系统用途及技术特点

2.1设计理念

北信源移动存储管理系统采用B/S与C/S相结合的管理构架，支持多级级联模式。服务端制订统一的策略，分发给客户端执行。具有USB标签制作工具，能够对移动存储介质加扰进行保护和加密，对移动存储设备进行使用范围授权，访问控制等综合的管理。移动存储管理系统可以将整个移动存储介质划分成任意两部分容量的交互区和保护区，保护区需要通过密码认证才可以访问。

北信源移动存储管理系统适用于不同的环境。通过对安全移动存储设备硬件及移动存储管理系统软件一体化集成的方式对所有操作的完善的日志审计，进行移动存储及介质的访问控制权限划分等。

系统以数据为中心，用户作为数据的使用者，主机作为数据的存储者，移动存储介质作为数据的迁移者，在系统范围内均赋予唯一的标识，三者进行相互认证。只有经认证和授权成功后，才保证合法的用户在合法的机器上访问合法存储介质上的数据，并形成详尽的日志供审计。

图2-1 移动数据安全访问模型

2.2移动存储管理系统结构

◆系统服务器端(VRVEDP-USB)：移动存储系统管理中心，基于web页面管理

方式，管理员登陆后配置后系统才能运行，能够自动发现网络中的终端计算机，并检测终端计算机是否安装系统客户端程序，管理中心内置移动存储管理策略中心和报警中心，提供对网络终端的分组管理设置。

◆系统客户端(Agent)：安装在终端计算机，接收系统管理中心分发的策略，

根据接受策略实时监控接入终端计算机移动存储设备的操作行为和状态，并进行管理或者控制；终端主机安全移动存储管理系统客户端注册程序以后，即使离开所在网络或不处于任务网络中，仍实时受到移动存储管理策略控制，日志记录于本地，一经连接回网络，则自动上报日志信息给服务器。

◆专用U盘注册工具：移动存储设备经过网管人员注册（包括打标签、设置

访问密码）工具认证后，该移动存储设备才能在网络中使用。使用者在使用时必须输入使用密码后才能使用。

图2-2 移动存储管理系统拓扑结构

2.3技术特点

通过对移动存储设备写入两种不同权限及功能的标签，来实现分级权限的控制。并以策略的形式分发给不同的域，实现对指定范围内终端授权，并对写入标签移的动存储设备的访问控制。对移动存储设备格式化无法去除标签。

普通标签：写入普通标签后将普通移动存储设备（闪存盘、移动硬盘）分为两个区域：启动区、交互区。在管理区域内，根据策略的设置，来限制移动存储设备的读、写功能；如果在管理区域外使用移动存储设备认证，则不限制移动存储设备认证读、写功能。

加密标签（!SAFE4）：写入加密标签后将普通移动存储设备（闪存盘、移动硬盘）分为三个区域：启动区、交互区、保密区。打了加密标签的U盘只能在有相应安全策略的终端上通过加密标签的认证后才能使用，保护区同样要求有正确的密码才能访问，在没有相应安全策略的终端上不能打开读取此安全U盘，更不能访问

加密区域。

2.4完善的审计功能

移动存储管理系统具有强大的审计功能，

移动存储介质上所有文件操作的详细记录

包括文件的创建、复制、删除、修改和重命名等操作，（文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息）。

移动存储介质的插入和拔出动作的详细记录

（包括事件类型、移动存储介质的名称、用户、计算机IP地址、事件时间。）2.5软件用途

北信源移动存储管理系统主要用于数据文件整个生命周期的保护。涉密单位、部队、保密技术企业、金融、政府、及其他安全等级要求较高的行业单位需求强烈。以上单位的各种不同密级的文件和复杂的终端主机环境具有很大的市场潜力。

北信源移动存储管理系统能够对市场上最普通的移动存设备进行访问控制及只读、可写控制，通过对移动存储设备写入指定权限的标签，实现加标签的移动存储设备对应的终端计算机范围的访问权限控制。

3产品资质

3.1北信源移动存储管理系统涉密信息系统产品检测证书

3.2北信源移动存储管理系统销售许可证