前言

近年來，信息洩露事件的發生頻率不斷地增加，對政府、企業造成的損失和影響也在不斷地擴大。為了防止企業或組織内部重要或敏感數據的丢失，很多用戶購買了昂貴的網絡防護設備，建立了比較完善的信息管理制度，但關鍵信息的洩露仍然沒有被很好的制止。

衆所周知，防火牆、IDS、内外網隔離以及其它針對外部網絡的訪問控制系統，

可有效防範來自網絡外部的進攻，但對于企業内部的信息保密問題，卻一直沒有好的防範措施，因為内部人員可以輕松地将計算機中的機密信息通過網絡、存儲介質或打印等方式洩露出去，一旦這些敏感信息、重要數據、設計圖紙等流失到敵對勢力、競争對手手中，将給國家、企、事業單位造成巨大的損失。

美國CSI/FBI的調查結果顯示，政府機構以及企事業單位因重要信息被竊所造成的損失遠遠超過病毒感染和黑客攻擊所造成的損失，80%以上的安全威脅來自内部。中國國家信息安全測評認證中心的調查結果也表明，信息安全問題主要來自洩密和内部人員犯罪，而非病毒和外來黑客引起。

由此可見，政府機關、承擔國家敏感課題研究的科研部門，包括涉及更多國家機密的部門，對于涉密信息采取嚴密的防護措施顯得尤為重要。目前，盡管國家制定了很多相關規章制度，并明确規定這些企事業單位的涉密計算機必須采取相應的安全防護措施，但是為了保障内部信息的安全，僅靠傳統的行政管理措施已不能滿足要求，必須依靠一些高科技的技術手段。

因此，如何保護政府機構以及企事業單位的信息資産，如何防範内部人員犯罪，以及發生信息洩漏事件之後如何進行取證已經成為今後信息安全建設的一個重要組成部分。針對這些新的安全問題，上海迅軟信息科技有限公司研發了驅動級的USB安全存儲專家USSE，志在為政府機關，企事業單位及個人用戶提供USB端口的信息安全管理，讓機密信息源頭控制，使USB端口不再成為信息安全的隐患。

USSE基于C/S模式，通過USB 存儲協議在Windows系統底層對存儲設備進行讀寫控制，可自動識别USB存儲設備類型。一旦USB存儲設備插入到安裝客戶端的計算機中，客戶端通過設備标識或者設備的序列号識别USB存儲設備，按照已設定的存儲設備控制策略的權限類型對USB存儲設備進行讀寫控制，标準的USB存儲設備（如U盤，移動硬盤等）可以設置成四個權限“阻止”、“隻讀”、“隻寫”、“放行”，非标準的USB存儲設備（索尼相機，WIN CE手機等）可以設置兩個權限“阻止”和“放行”，而未注冊的光驅/刻錄機可以設置三個權限“阻止”、“隻讀”、“放行”。

USSE使用以下兩項技術對USB存儲設備進行識别：序列号和設備标識。

設備标識

設備标識是USSE的一項特有技術，該标識記錄該盤的一些物理信息，并且産生一個全球唯一的标識碼，該标識碼用于識别該移動存儲設備。設備标識存于U盤或者移動硬盤的第一個扇區。

基于USB存儲設備的序列号

支持USB2.0協議的存儲設備都有一個序列号，通過該序列号即可對USB存儲設備進行識别。該序列号是不會改變的，就算對整個分區進行格式化操作也不會。除非進行低級格式化操作。基于序列号進行識别也有以下幾個不足之處：

u 序列号可以使用某些低格工具或者量産工具進行修改。

u 某些設備沒有序列号

USSE加密的移動存儲設備是基于磁盤扇區進行加密，除第一扇區不加密以外，其他所有的扇區都是加密的。這樣破解起來就非常困難，破解難度與破解Thinkpad的加密硬盤難度相當。比基于文件的加密和基于文件頭的加密技術要安全許多倍。經過加密的存儲設備在沒有授權過的計算機上面不能被打開，Windows顯示該設備“未格式化”。

USSE使用最新的USB2.0存儲協議，同時支持USB1.0與USB1.1協議。支持最新的SCSI存儲協議。通過協議層對USB傳輸的數據進行分析或者進行加解密，由于該驅動程序處于USB協議的底層，故速度與基于其他技術的軟件相比要高出許多。另外由于處于系統驅動的底層，即使Windows開機進入安全模式，USB端口依然受USSE的保護。

通過對光驅存儲協議的研究，研制出可以控制刻錄機的驅動程序，通過該功能，可以設置刻錄機不能刻錄，隻能進行讀取，這樣既可以防止通過刻錄的方式洩密文件，又不影響光盤的讀取。在權限許可的情況下又可以進行刻錄，使用十分靈活。USSE不但可以控制USB與光驅，還可以控制藍牙、紅外、無線網卡、1394等等接口。

USSE企業版由三個組件構成：USSE客戶端（client）-運行在員工計算機上，USSE服務器端（Server）和USSE管理中心 （administration center）。USSE客戶端是安裝在需要管理的機器上，USSE服務器是安裝在集中管理的服務器上（也可以是任意一台計算機上），控制台可以安裝在局域網内部或外部環境。系統的基本框架如下圖所示：

由于我們精心構造了網絡平台，USSE企業版适用于可伸縮的網絡環境和用戶自定義的網絡環境，也适用于沒有Windows域管理的網絡環境。集中的管理功能能夠為您提供強大而穩定的全網USB端口管理解決方案。并且由于經過上海迅軟的易用性設計，您的操作将變得更加高效與便捷。多種安裝方式能夠最大限度貼合網絡的實際環境，使您大幅縮短部署周期。全網智能升級體系能夠在第一時間獲取由迅軟提供的更新并完成全網升級，而您完全不必花費任何精力，因為這一過程的實現完全都是自動化和智能化的。

USSE是一套集計算機USB端口屏蔽、USB端口控制、實時監視、實時監控于一體的計算機信息安全管控系統。它通過USB 存儲協議在Windows系統底層對USB存儲設備進行讀寫控制，自動識别USB存儲設備，徹底防止信息從計算機USB端口洩漏。

USSE由三個組件構成：客戶端（client），服務器端（Server）和管理中心 （administration center）。USSE客戶端是安裝在需要管理的機器上，服務器是安裝在集中管理的服務器上（也可以是任意一台計算機上），控制台可以安裝在局域網内部或外部環境。

USSE功能強大，可完全控制優盤（U盤）、移動硬盤、數碼相機、MP3以及其它USB存儲設備的讀寫，有隻讀、隻寫、阻止、放行、寫标識和标識識别、透明地加密和解密等模式；USSE除可管控USB端口以及USB存儲設備外，還可控制其它的外圍設備，如：軟驅、1394火線、紅外設備、磁帶設備、藍牙設備、無線網卡、調制解調器、PCMCIA卡、COM端口和PLA口、打印機機控制、3G網卡等，同時還可以禁止員工私自安裝新硬件。

可自動識别插入的設備是USB存儲設備還是非存儲設備，不會影響USB鼠标、鍵盤和打印機的正常使用。隻有管理員才能登錄設置界面更改USB端口設置，也隻有管理員才能關閉或卸載軟件。且系統一經安裝，開機後自動啟動并隐藏運行，除管理員之外不能被惡意地删除、終止、卸載和破解。

管理員可以對任意的USB存儲設備寫入标識并對其設定一個使用權限，利用本系統将機器的USB端口封鎖的情況下，隻有寫過标識的盤才可以在指定的機器上使用，拿到未經授權的機器上不可用，或隻讓寫過标識的盤在公司内部通用，未經授權的U盤或者外來的U盤不可用。系統運行安全穩定可靠，不影響Windows系統運行效率。

同時USSE采用了“遠程控制、集中管理、統一配置”的方式，擁有先進的分布式計算技術，成功的實現了智能安裝、組策略管理、統一升級、遠程設置、統一設置等功能，大大提高了企事業的信息安全系數，為企事業的信息安全建設添加了一份有力的屏障。

随着信息化，電子化進程的發展，數據越來越成為政府部門，企業事業單位日常運作的核心決策發展的依據。歸根到底信息安全的核心就是數據安全。能否有效地保護信息資源，保護信息化進程健康、有序、可持續發展，直接關系到國家安危，關系到民族興亡，是國家、民族的頭等大事。

USB安全存儲專家（USSE）有利于進一步完善企事業單位的信息管理制度，強化信息安全建設，防範和杜絕辦公網内的重要信息數據，通過USB端口以及采用USB端口為主的便攜式設備（如U盤、移動硬盤等）外洩，保護政府機構以及企事業單位的信息資産，讓機密信息源頭控制，使USB端口不再成為信息安全的隐患，真正做到：外面的U盤進不來，出去的U盤由我控。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!