一、案例背景：

中國石化工程建設有限公司（Sinopec Engineering Incorporation,簡稱SEI）是中國石油化工集團公司直屬的，以工程設計為主體，可實施工程建設總承包和工程項目管理的工程公司。按2011年統計，公司在冊職工2200余人，資產總額158億元人民幣。

SEI集高素質的人才、豐富的工程設計和建設經驗、雄厚的技術實力，在石油煉制和石油化工、煤液化和煤化工、天然氣加工、環境工程與公用工程等諸多領域，為國內外客戶提供優質全面的工程服務。公司能夠同時運作大型煉油化工聯合工廠的總體設計、煉油化工裝置設計、大中型煉油化工EPC或PMC項目，并在煉油化工一體化項目上具有獨特的優勢。

在SEI實力不斷壯大的同時，計算機技術也在飛速發展，計算機應用范圍的不斷拓展使得現在幾乎所有的企事業單位都有自己的內部計算機網絡，一些涉密信息也不可避免的存儲在位于內部網絡的計算機當中。

當前內網中計算機的泄密途徑，主要有網絡輸出、移動存儲介質帶出、打印帶出、電磁輻射泄漏、偷窺記憶帶出等情況。其中，移動存儲介質以其使用方便、存儲量大、隱蔽難以防范的特點，成為內部網絡泄密的主要途徑。加強移動存儲介質的風險分析和風險管理已成為有效保障涉密內網中信息安全的重要工作。

SEI迫切需要一套完善的"移動存儲介質使用管理系統"，從而有效解決以下移動存儲介質管理問題：企業外部移動存儲介質未經授權在內部使用；企業內部移動存儲介質及信息資源被帶出，在外部非授權使用；使用過程的疏忽，導致病毒感染；存貯在媒體中的秘密信息在聯網交換時被泄露或被竊取，存貯在媒體中的秘密信息在進行人工交換時泄密；移動存儲介質發生故障時，存有秘密信息的介質不經處理或無人監督就帶出修理，或修理時沒有懂技術的人員在場監督，而造成泄密；移動存儲介質管理不規范，秘密信息和非秘密信息放在同一媒體上，明密不分，媒體介質不標密級，不按有關規定管理秘密信息的媒體，容易造成泄密；媒體失竊，存有秘密信息的磁盤等媒體被盜，就會造成大量的國家或企業秘密信息外泄，其危害程度將是難以估量的，丟失造成后果非常嚴重；移動存儲介質的使用過程無審計，事后沒有追究責任的依據。

針對SEI所提出的移動存儲介質管理問題與需求，北京圣博潤高新技術股份有限公司為其建立了LanSecS移動存儲介質使用管理系統。

二、解決方案：

LanSecS移動存儲介質使用管理系統

1.產品簡介

LanSecS移動存儲介質管理系統是北京圣博潤高新技術股份有限公司（以下簡稱圣博潤）推出的專門用于政府和企業的移動存儲介質安全管理系統。系統通過對移動存儲介質實施分類注冊和使用管理，有效避免了移動存儲介質的濫用，以此提高政府和企業存儲介質的安全性。LanSecS移動存儲介質使用管理系統可為用戶解決如下一系列問題：

◆敏感信息和涉密信息的非法拷貝

◆未經授權存儲介質在企業內部使用

◆內部授權存儲介質在外部非法使用

◆惡意病毒通過存儲介質在企業網內傳播

◆存儲介質使用不規范造成數據丟失或泄密

◆涉密信息在拷貝中被竊取或丟失

◆存儲介質維修造成敏感數據泄密

◆存儲介質報廢造成重要信息丟失

◆存儲介質丟失造成私密信息外泄

◆存儲介質使用的操作記錄和審計管理

在為用戶提供終端安全保護手段的同時，LanSecS移動存儲介質使用管理系統更加強調為用戶提供便利的移動存儲介質管理手段，提供集中式、人性化的介質管理功能是LanSecS移動存儲介質使用管理系統的特色。

2.產品構架

LanSecS移動存儲介質管理系統在架構設計上采用了三層管理結構：安全代理、總控中心、管理控制臺。

圖1 LanSecS移動存儲介質使用管理系統架構

安全代理以服務的形式運行于終端計算機上，是終端計算機管理的核心和基礎部件，用于管理和審計終端計算機的安全介質使用。安全代理的設計充分考慮了穩定性、安全性和兼容性要求。安全代理可防止惡意停止，并全面兼容各類防病毒軟件、防火墻軟件、設計開發軟件、業務軟件、辦公軟件。

總控中心用于移動存儲介質的集中管理，為安全代理和管理控制臺提供一系列的管理服務。由策略管理服務、審計管理服務、注冊服務和數據庫組成。視企業網絡規模和性能要求，這些服務可分別部署在不同的硬件平臺上，也可部署在同一個硬件平臺上。

管理控制臺為系統管理人員提供系統管理入口，采用B/S方式進行系統管理，通過管理控制臺可以完成系統管理的全部操作。

三層管理結構大大提高了系統設計開發、安裝部署和運行維護的靈活性、便利性和擴展性。

3.產品功能

未注冊介質管理：系統對未注冊介質的管理通過分發主機策略實現。通過主機策略，可以設置主機對未注介質的使用權限。主機對介質使用權限可以設置為只讀、只寫、讀寫、禁用幾種，建議用戶在初次部署系統時，將未注冊移動存儲介質管理策略設置為禁用，以保證移動存儲介質使用的安全。

介質加密管理：系統可以對移動存儲介質進行加密管理。加密管理過程需要對移動存儲介質進行授權和注冊，通過對介質的加密注冊管理保證該介質只能在特定的網絡環境使用，提高了介質使用的安全性。建議用戶在部署系統時，將絕大部分需要管理的介質采用加密管理方式進行管理，既可以保證移動存儲介質使用的安全性，也可以保持一定的使用方便性。

多分區介質管理：多分區U盤管理模式是系統特有的一種U盤管理模式，適用于U盤類移動存儲介質。在這種模式下，普通U盤將被分為啟動區、加密區、交換區和日志區等四個物理分區，使得U盤的使用更加靈活。利用多分區特性，可以實現多種場景模式應用，適合差旅人員對數據的攜帶，既有一定的數據保護能力，又可方便的存取使用數據。建議用戶在部署系統時，視情況對部分U盤采用多分區方式對其進行管理，以實現安全的內外網單向數據交換。

特權介質管理：特權介質管理是系統對普通介質的一種特殊管理模式，適用于移動硬盤、SD卡、CF卡、MMC卡和記憶棒等特種存儲介質的管理。系統對介質進行特權標簽標記，表明該介質的獨特身份，該標簽不影響介質在外網使用，但是在安裝有安全代理的計算機上，安全代理可以識別該標簽，并可根據策略對其進行訪問控制。建議在部署系統時，應盡量避免特權介質管理模式使用，因為該管理模式仍會給內網帶來一定的安全風險。

專用安全U盤管理：專用安全U盤是系統配套使用提供單獨硬件加密的存儲介質。專用安全U盤與多分區U盤的結構類似，也分為啟動區、加密區、交換區、日志區四個分區，各分區用途也與多分區U盤類似。與其它類型介質相比，專用安全U盤具有更安全更便攜的特點，適合在內網和外網共同使用。建議在部署系統時，視情況采購部分專用安全U盤，實現更加安全的內外網單向數據交換和差旅模式應用。

4.產品特點

完善的分級管理架構，"分散不分立"：LanSecS移動存儲介質使用管理系統支持分級管理，上級可對下級進行實時的監控，管理下級的安全策略；同時下級的安全事件可以按照設定的上報策略進行逐級上報。通過分級管理，LanSecS移動存儲介質使用管理系統可實現跨地域分散部署和集中管理，"分散不分立"，形成有效和有機安全管理架構。

靈活的分權管理機制，"集中不集權":在LanSecS移動存儲介質使用管理系統中，由統一的管理中心對主機代理進行管理。同時，LanSecS系統提供了基于安全角色的授權管理機制，用戶可以根據功能模塊分類以及行政機構的劃分自定義安全角色，一種安全角色只能執行其所轄部門范圍內的相應安全代理的安全策略和審計事件的管理。"集中不集權"，保證了管理的安全和合理性。

多層次的安全性措施，保證系統運行的安全可靠:LanSecS移動存儲介質使用管理系統的設計充分考慮了自身的安全性，從系統、數據庫、網絡通訊、策略分發與存儲等多個層面加強了安全保護，確保系統運行的安全可靠。

全方位的安全審計功能，有效的防止泄密:LanSecS移動存儲介質使用管理系統提供對所有接入移動存儲介質的操作進行綜合的監控和審計，全方位的監控存儲介質的運行狀態以及用戶的操作行為，實現涉密信息的全程審計與跟蹤。

完善的基于數字證書的身份認證機制:LanSecS移動存儲介質使用管理系統內嵌身份認證服務，實現了與數字證書的完美結合，管理控制臺、安全代理、總控中心以及所有系統管理用戶和計算機用戶均可通過數字證書進行身份認證。

豐富、多樣的統計報表功能:LanSecS移動存儲介質使用管理系統提供列表和統計圖的報表輸出，報表的輸出支持HTML、EXCEL、PDF、RTF等四種格式；同時提供手動報表、自動報表兩種運行模式，用戶可以通過手動報表實時定義過濾條件進行報表的輸出，也可以通過自動報表完成基于自定義報表模版的定時輸出，自動報表提供日報表、周報表、月報表等三種形式。

高度模塊化設計，需求響應迅速:LanSecS移動存儲介質使用管理系統管理控制臺、安全代理和總控中心均采用模塊化設計，并提供用戶設計、開發接口和示例，用戶可以根據企業的安全需求定制采購，同時也可以根據需求的變化，在運行時動態改變其工作狀態，提高系統的運行效率。針對新的安全需求用戶可以采用委托開發或者自主開發方式擴展和增強移動存儲介質管理功能。

所有組件支持自動升級，系統維護方便、快捷:LanSecS移動存儲介質使用管理系統的主機代理及其功能模塊均支持基于版本號的網絡自動下載更新，只需要在總控中心一次部署即可以完成全網的自動升級。對于總控中心的升級，則可采用系統升級補丁包本地運行的方式完成。

安全代理程序安裝部署方式靈活、多樣:LanSecS移動存儲介質使用管理系統安全代理程序同時支持域模式安裝、本地安裝、網絡分發安裝以及WEB安裝等多種安裝部署方式，用戶可以根據實際網絡環境自由選擇，采取最適合自己環境的安裝部署方式，從而極大限度地滿足不同網絡和不同用戶的部署需求。

三、效果分析：

LanSecS移動存儲介質使用管理系統的建立，使SEI在移動存儲介質管理中可對多分區介質實施加密區，交換區可指定適用策略，管理交換區、加密區的讀寫權限，對多分區介質實施訪問加密處理；實現了對所有介質的注冊、使用、權限、維護、銷毀做全程管理和信息記錄；對所有通過移動存儲介質進行數據交換的行為做詳細記錄。包括文件的建立（文件夾）、拷貝、刪除、等動作；會根據當前審計信息做信息統計，根據審計信息做通過介質拷貝數據量的統計，包括內網數據拷貝總量、外網介質拷貝總量、介質拷入總量、介質考出總量；所有審計信息可以通過報表形式導出，各項的審計信息、統計信息、介質注冊信息、主機統計信息，都可直接以EXCEL、HTML、PDF、WORD等格式導出。

LanSecS移動存儲介質使用管理系統完全符合SEI對于移動存儲介質管理的要求，為SEI核心競爭力的提升做出了積極貢獻。