移動存儲管理需求

  移動存儲介質(zhì)由于使用靈活、方便，使它在企業(yè)信息化的過程中迅速得到普及，人們?yōu)榉奖阕约旱氖褂?，將越來越多的敏感信息、機密數(shù)據(jù)和檔案資料存儲在無任何保護措施的移動介質(zhì)，一旦這些移動介質(zhì)遺失、或被有目的的人竊走，那么這給企業(yè)帶來無法估量的損失。因此，移動介質(zhì)在給企業(yè)的信息化帶來方便的時候，也是企業(yè)信息化安全建設(shè)的一個隱患。

　　諸如非法拷貝敏感信息和涉密信息到移動硬盤、U盤或其他移動存儲介質(zhì)中；企業(yè)外部移動存儲介質(zhì)未經(jīng)授權(quán)在內(nèi)部使用；企業(yè)內(nèi)部移動存儲介質(zhì)及信息資源被帶出，在外部非授權(quán)使用；移動存儲介質(zhì)發(fā)生故障時，存有秘密信息的介質(zhì)不經(jīng)處理或無人監(jiān)督就帶出修理或修理時沒有懂技術(shù)的人員在場監(jiān)督，而造成泄密；媒體失竊，存有秘密信息的磁盤等媒體被盜，都將造成企業(yè)大量的秘密信息外泄，其危害程度將是難以估量的。

這些由于移動存儲介質(zhì)的大量使用而引起的安全問題同樣給公司帶來了很大的困擾。如何能夠既有效的控制公司移動存儲介質(zhì)的管理，防止敏感信息泄密，又能不影響單位信息化效率的提高.

移動存儲介質(zhì)管理解決方案

針對××公司的移動存儲設(shè)備的廣泛使用，及其移動存儲設(shè)備管理的種種不足造成公司內(nèi)部重要信息泄露，我司內(nèi)網(wǎng)安全綜合管理系統(tǒng)（INSS）獨家支持的邏輯磁盤認證（Logical Disk Authentication，簡稱LDA）對接入××公司內(nèi)部計算機的存儲介質(zhì)進行統(tǒng)一認證和控制，實現(xiàn)了針對主機移動存儲數(shù)據(jù)的全方位控制和管理。對數(shù)據(jù)的存儲、傳輸和使用整個生命周期進行有效控制和管理，能夠防止內(nèi)外部用戶對內(nèi)部重要敏感信息通過移動存儲設(shè)備的惡意盜取等行為，實現(xiàn)了敏感信息防泄漏、安全數(shù)據(jù)共享和私人信息保密等重要功能，從而防止信息被有意或者無意從移動存儲設(shè)備泄漏出去。真正實現(xiàn)了××公司內(nèi)部移動存儲介質(zhì)“進不來、拿不走、讀不懂、走不脫”。

1、 ××公司移動存儲介質(zhì)統(tǒng)一注冊認證

INSS對××公司移動存儲介質(zhì)的統(tǒng)一注冊認證管理，沒有經(jīng)公司管理員注冊的移動存儲介質(zhì)，不能在公司內(nèi)部計算機上使用。注冊的移動存儲介質(zhì)僅能在認證設(shè)置的策略和權(quán)限范圍內(nèi)使用該存儲設(shè)備；管理員還可以根據(jù)實際需要修改控制策略和權(quán)限使用范圍，比如，公司內(nèi)一U盤原被注冊成加密讀寫策略，這時如果想用這U盤從公司內(nèi)計算機A拷數(shù)據(jù)的計算機B(假設(shè)U盤內(nèi)數(shù)據(jù)不能傳到除A\B計算機)。管理員可以將這U盤注冊為加密讀寫，且使用范圍指定為計算機A和B，這樣實現(xiàn)了計算機A和B通過這盤安全的數(shù)據(jù)交換共享；對不再公司內(nèi)網(wǎng)使用或者丟失的移動存儲設(shè)備可采取注銷注冊；管理員可以隨時查看公司內(nèi)移動磁盤的注冊信息情況，并支持HTML、EXCEL、WORD或文本文檔格式導(dǎo)出。

INSS真正做到“非法的移動存儲設(shè)備在公司內(nèi)網(wǎng)中不能使用”和“合法的移動存儲設(shè)備在公司內(nèi)網(wǎng)中能夠正常使用，但在非公司內(nèi)網(wǎng)中不能使用”，即“非法的進不來，合法的出不去”。

2、××公司移動存儲介質(zhì)防泄密管理

n         非法移動存儲外設(shè)無法在公司內(nèi)使用

在部署INSS系統(tǒng)啟用相應(yīng)策略后，未經(jīng)××公司內(nèi)網(wǎng)管理員的允許，任何人不能在公司的終端主機上使用非法外來的移動存儲設(shè)備，只有公司內(nèi)部的、經(jīng)過授權(quán)的移動存儲設(shè)備才可以在公司終端主機上使用。

n         數(shù)據(jù)通過移動存儲設(shè)備安全共享

在給××公司的移動存儲設(shè)置相應(yīng)規(guī)則后，這些存儲設(shè)備在公司主機上可以正常使用。數(shù)據(jù)在公司合法主機上傳輸時沒有影響，但當(dāng)把這些存放著公司數(shù)據(jù)的移動存儲設(shè)備拿到外面的計算機上時，所有文件都是亂碼，可以確保公司機密信息不被泄漏。

n         數(shù)據(jù)保密存儲

在給××公司某臺計算機的某個移動存儲設(shè)置了相應(yīng)規(guī)則后，這個移動存儲設(shè)備可以用來存放機密數(shù)據(jù)，數(shù)據(jù)存放進去后自動加密，只有在本計算機或者預(yù)先設(shè)定的公司內(nèi)部指定計算機可以解密，別的機器（不管是公司內(nèi)部的計算機還是公司外的計算機）都不能把移動存儲設(shè)備內(nèi)的機密信息解密泄漏。有效地防止了公司內(nèi)部重要數(shù)據(jù)的泄密，也有效防止了承載公司重要數(shù)據(jù)的移動存儲介質(zhì)丟失而造成重要數(shù)據(jù)的泄密。

INSS邏輯磁盤管理除了給××公司提供了較完整的移動存儲管理方案，還進一步給××公司內(nèi)計算機本地磁盤進一步加密保護的策略。在本地計算機上操作使用本地磁盤數(shù)據(jù)，××公司員工不會感覺到磁盤加密的存在，也不會感覺到讀、寫本地磁盤數(shù)據(jù)速度變慢。此策略給××公司帶來防止可能出現(xiàn)本地磁盤直接被竊取泄露信息的可能。

3、××公司移動存儲介質(zhì)內(nèi)文件的監(jiān)控

××公司內(nèi)所有移動存儲介質(zhì)上所有的文件操作，包括文件和目錄的創(chuàng)建、復(fù)制、刪除和重命名等操作，都詳細監(jiān)控記錄，記錄的要素包括時間、用戶名、計算機名、文件名、操作方式等日志信息。

同時，INSS邏輯磁盤認證管理更進一步提供了對被××公司管理員允許移動存儲介質(zhì)帶出的數(shù)據(jù)自動的備份，作為管理員日后審計提供了××公司完善的公司內(nèi)部移動存儲介質(zhì)的審計。

4、 提供××公司對移動存儲設(shè)備使用的詳細日志審計

INSS提供了詳細的××公司內(nèi)部移動存儲介質(zhì)使用情況的詳細日志，包括計算機名、用戶、IP、某時等用移動存儲介質(zhì)所做的詳細操作日志。

5、××公司內(nèi)移動存儲介質(zhì)的違規(guī)使用報警

針對××公司內(nèi)部可能出現(xiàn)的違規(guī)操作行為，系統(tǒng)提供聲音、消息、郵件報警功能，提示報警信息包括包括注冊計算機的主機名、IP地址、操作行為、違規(guī)詳細信息等。

6、××公司完善移動存儲介質(zhì)管理，不影響移動存儲介質(zhì)在公司外正常使用

INSS給××公司可能通過移動存儲介質(zhì)泄密途徑提供了一個較完善的解決方案，同時這些被公司員工普遍使用的移動存儲介質(zhì)，不影響在××公司外的正常使用。比如，從公司外的一個計算機上拷貝一些資料到家，INSS對這個磁盤注冊的任何策略不會給該移動存儲介質(zhì)帶來任何不便，和沒有這些磁盤管理策略一樣的使用。