2024年1月23日发(作者:)

技术探讨・Technology and Study 移动存储介质防护管控技术及评价方法 汤放鸣 (中国工程物理研究院四川绵阳621900) 【摘要】全面介绍了当前具有代表性、典型性的移动存储介质防护管控技术,并对这些技术及其产品做了较为深入的分析和评 价。通过对移动存储介质防护管控技术的现状分析,剖析了本领域目前存在的问题及其结症,在对该领域今后的突破方向及发展 趋势分析中提出了新的理念和技术方向。 【关键词】移动存储介质;优盘;密级标识;防护;管理;控制;评价 ' Removable Storage Device Protecting&Controlling Technology and its Evaluation Method TangFang-ming (ChinaAcademyofEngineenngPhysics Sichuan Mianyang 6219oo) 【Abslrocl】The typical representative of removable sotrage medium protecting&controlling etchnologies were comprehensively introdu ̄,and these ecthnolgioesand productswerein-depth analysedand evaluated byanalyzingthe statusquoofthe protective controltechnolgy,toheexisting problemsin thisfieldwere analyzed,andthefuturedirectionanddevelopmenttrendInthefieldwereanalzed。and ynewideas andtechnolgytorendswereputforward. 【Keywords】removable storage device;USB lfash disk;security dassiifcation identiifcation;management;protecting&controlling ethnolcgy;eovaluaiton melhod 1.引言 移动存储介质(尤其是u盘)具有储存量大、体积小、携带 方便、使用简单、适用范围广等特点,是继网络之后又一种重要 的信息交换与共享技术,得到了广泛的使用。在内外信息交流 活动中,移动存储介质是必不可少的设备。然而,移动存储介质 的通用性、便利性、流动性和隐蔽性,在数据交换中任何人可以 随时随地随意使用的特点,使其成为新的失泄密途径和窃密工 具,使移动介质使用过程中存在很多泄密、窃密隐患。移动存储 介质的使用已经成为当前失泄密案件高发领域。当前绝大多数 的重点问题,成为保密管理工作中的难中之难,成为当前信息 安全领域的研究重点和难点。 近些年来,国内出现了很多移动存储介质监管防护技术和 产品,大休上可分为几种类型:安全u盘类、主机监管审计类、 介质监管类、流向控制类、摆渡技术等。这些技术和产品设计理 念、技术体系、实现机理、产品形态等方面各有千秋,功能各有 侧重,防护效果也有差异。本文对当前具有典型性、代表性的技 术和产品进行介绍和分析评价。 2.移动存储介质防护管控技术 2.1 USB端口禁用技术 这属于早期的封堵技术,目的在于禁用usB端口,使u 失泄密、窃密案件都与移动存储介质有关。 为了强化移动存储介质保密管理,国家、军队在政策、法 规、标准、规章等层面三令五申,提出了一系列明确规定,要求 加强移动存储介质管理,比如禁止交叉使用、严格控制数据流 向、严防木马窃密等。但移动存储介质的使用、管理和防护,涉 盘无法使用或受控使用。采取的方式多种多样,包括物理封堵 (比如粘贴易碎贴纸用、移除主板USB跳线连接线、用热熔胶 堵住端口、插上专用适配卡或硬件锁等等)、手工修改计算机配 置(包括修改BIOS设置、修改注册表参数)、删除USB驱动程 及人员多、涉及环节多、涉及面广、使用场景复杂、失泄密隐患 多,泄密方式隐蔽而多样,防不胜防。因此,移动存储介质的安 序、采用专用软件工具禁用USB端口等。 全防护和保密管理已经成为当前一个极其重要而又难于解决 这类禁用端口的方式往往存在缺乏管理弹性、不易实施、 信息安全与技术・2011.09・15・ 

Technology and Study・技术探讨 容易绕过或破解等缺陷,监管效果不很好。 叉使用、超密级存储、非密介质涉密、涉密介质接入非密计算 2.2安全U盘类技术与产品 2.2.1安全控制功能 安全U盘是针对普通U盘的自我防护能力不足,在技术 机、高密级介质接入低密级计算机等违规行为。在这点上,与普 通u盘一样,既可作为涉密介质,又可作为非密介质,既可接 入涉密计算机使用,又可接入非密计算机使用,缺乏技术控制 机制。另外,有的产品在应用场景上设计不当。 (2)数据加密技术处境尴尬 层面采取措施,增强u盘的自我防护能力而形成的一类新的 u盘。这类产品市面上很多,由于防护理念不同,其功能设计、 安全机理和技术实现方式也不同。有的技术含量很高,技术也 安全u盘普遍采用商密加密技术保护盘内数据。但按照 很复杂。 典型的安全u盘采用Windows环境下非Windows管控 的自主读写控制操作系统(芯片级COS操作控制软件),具备 双存储区设置、身份认证、数据加密、文件访问权限控制、绑定、 日志记录、防复制等功能,实现信息的处理安全、存储安全和交 换安全,能完成下列安全控制功能: (1)强身份认证:采用指纹识别技术或口令技术进行身份 鉴别; (2)两个数据存储区:普通区和安全区; 在计算机内创建一个虚拟硬盘分区作为安全区,仅通过身 份认证者方可看到和正常使用该安全区域和操作文件; (3)数据加密:对该分区设立数据安全阀和加密进行数据 保护; (4)文档访问权限设置,实现文档输出控制——防私自导 出、防私自打印、防失控失密; (5)防木马摆渡窃密; (6)防复制粘贴; (7)防电脑留迹; (8)数据自毁:口令输入次数超过设定次数,启动自毁(用 软件填充方式或数据刷新方式清除原有数据); (9)操作日志记录; (10)分级权限管理:将u盘的使用者与管理者分开,分为 普通用户和管理员,确保u盘统一管理、专人专用,帮助企业 建立一套可靠的数据携带安全保密制度。管理员可添加与删减 用户,但无法看到普通用户数据,普通用户拥有真正的加密存 储功能。 2.2.4评价 没有脱离传统的普通u盘的窠臼,仅在具体的保护措施 上做了增强,可将其视为增强型普通u盘。 (1)涉密属性定位模糊,涉密与非密区分不清 安全u盘涉密属性定位模糊,产品本身没有涉密与非密 介质的本质区分特征,也没有分级控制能力,无法自动禁止交 ・16・2011.09・www.infosting.org 国家密码管理部门的规定,商密不能用于保护国家秘密信息。 所以当盘内数据为完整的国家秘密信息形态时,采用的加密技 术基本无效。 2.3主机监管审计类技术 2.3.1系统功能 主机监管审计系统的功能定位主要侧重于对内网和主机 实施全面的安全保密综合防护监管,对内部网络系统和计算机 及用户的操作行为进行安全管理、监管控制、臼志记录,以控制 系统资源的使用,实现敏感信息文件的加密存储和传输。 其功能主要包括用户安全登录控制、终端资源访问控制、 计算机外设控制(包括外设接口控制和设备类别控制)、非法外 连及非法接入监控、数据加密保护、系统管理、系统运行及用户 行为监控、Ip地址控制、安全审计及其它辅助功能等,对系统 内敏感信息和数据的存储、传播和处理等提供全面的安全保 护,并对系统运行状态与资源进行实时监控,降低和防止主动 或被动的信息泄漏,从而保障系统信息的安全。 其中的外设控制包括了接口控制和设备控制,接口控制包 括串行接口、并行接口、PCMCIA接口、Compact Flash接口、红 外接口、蓝牙接口、USB接口和火线1394接口的禁止使用或自 由使用;外设包括存储介质、MODEM、无线网卡等;存储介质 监管控制包括软盘、基于USB接口和1394接口的所有可移动 存储设备(包括u盘、移动硬盘、MO盘和CD—R/W)的端口 控制(禁用、自有使用、只读、等)、拷贝加密、审计日志记录、绑 定等。 这类系统功能齐全,对内网和涉密计算机的保密管理非常 重要。移动存储介质监管仅是其外设、接121控制功能中的一种。 目前常见的主机监管与审计类软件系统,可以对移动存储 介质(主要是u盘)实施注册授权和绑定使用、操作行为审计、 外设功能限制等。在实现机理上主要是通过控制计算机的输入 输出端口(禁用/启用)、系统服务(关闭/启用)、用户访问权 限(授予/取消)等操作系统的应用层控制措施来间接实现对 移动介质的使用控制和监管。 

技术探讨・Technology and Study 在介质防护功能的实现方法上,主要是通过软件方式对介 储介质,其优点是实现和配置成本较低,功能扩展方便。其防护 质进行文件格式变换、数据加密等,以VID、PID或自定义字符 理念、产品形态、系统功能、监管方式、技术机理、防护效果大同 串作为注册授权的依据。 2.3.2系统构成及功能 目前主要有两种产品形态,即主机监管审计系统中包含的 移动介质监管模块和专门的移动介质监管系统。它们对移动存 储介质的监管方式、技术机理大同小异。 I)系统构型 小异,在介质安全防护方面具有共同的特点和缺陷。 (I)在移动存储介质安全防护与监管、信息交换安全控制 等方面控制处理措施层面较高,主要利用操作系统提供的手段 进行监管控制(端口、服务、权限等),在实现机理上主要是通过 控制计算机的输入输出端口(禁用/启用)、系统服务(关闭/ 启用)、用户访问权限(授予/取消)等操作系统应用层控制措 主机监管审计系统属于纯软件构架,采用C/S架构,其系 施来间接实现对移动介质的使用控制和监管。容易被人工和木 统构成见图1。 一 马破解,无法消除管理员操作失误和故意违规现象。 (2)采用现有普通u盘,不具备防护能力,全靠计算机对 j…………… ………… …… 、、 其实施控制,实现对移动存储介质注册授权和绑定使用、操作 :— ………… , 行为审计、外设功能限制等。存在涉密与非密不分,缺乏控制基 础问题,控制力度较粗,无法实施分级控制,很多违规行为无法 控制;另外,如果确需开放某些端口和u盘,被放开的端口和 1j} ● 专◆1I} u盘就会处于无监管状态;如果将u盘设置为外面不能用,就 无法进行信息交换,如果设置为外网可用,就成为无任何监管 的普通u盘,极其容易出现违规使用的情况。 (3)在介质防护功能的实现方法上,主要以VID、PID或写 入自定义字符串作为注册授权的依据,通过软件方式对介质进 行文件格式变换、数据加密以控制和保护数据安全。普通u盘 上的所有控制信息(如PID、VID、由系统生成的序列号等)容 易通过格式化方式或量产工具被改写。 (4)绑定方式存在隐患:现有绑定方式的实质是任何u盘 可绑定在任何计算机上,存在很大隐患。 (5)容易遭致环境模拟攻击:建立相同的系统环境,即可能 圈1网络版系统管理模式示意圈 服务器+管理中心+管理员KEY+客户端+单机版客户 端+普通u盘 2)对移动存储介质的监管功能 系统功能:可信介质管理系统是一个对涉密介质进行安全 管理、检测控制、日志审计的信息安全管理系统,具备授权管 理、访问控制、磁盘驱动 核加密和审计等功能。 对移动存储介质的监管功能包括5种。 (1)注册登记管理:包括注册、挂失、注销等,经过注册并格 式化的移动存储介质即为可信介质,只能在内部计算机上使 用,在外部计算机则无法使用。 (2)绑定:固定与特定计算机之间的接入、使用关系,使其 只能在特定的用户/用户组和特定的计算机/计算机组使用。 (3)数据加密:对可信介质存储数据加密,尽可能保证涉密 数据的安全。 对u盘进行很多破解操作。 2。4保密技术防护专用系统 2.4.1系统功能定位 保密技术防护专用系统,简称三合一,其功能定位主要是 重点解决目前存在的2个导致过失泄密的突出问题:一个是非 法外联,一个是移动存储介质交叉使用。该系统的功能主要有 (4)安全审计:对移动存储介质的操作行为进行日志审计。 根据介质注册信息产生移动存储介质管理台帐,提供报表等管 理工具,方便登记、统计,方便追踪。 两个,一个是非法外联监控,另外一个是防止移动存储介质交 叉使用。对其它泄密隐患,还应采取相应措施。 2.4.2系统组成及功能 (5)简单的密级管理:有的系统已实现简单的移动存储介 质密级设定及分级控制功能。 2.3.3评价 1)系统组成 由管理端产品和用户端产品组成,包括专用移动存储介 质、多功能导入装置和专用系统软件三部分,其中专用系统软 主机监管与审计类软件系统采用纯软件构架,使用现有存 件分为管理端和客户端软件。 信息安全与技术・2011.09・17・ 

Technology and Study・技术探讨 管理端的产品包括管理端软件、多功能导入装置、涉密专 用u盘、管理员身份钥匙和审计员身份钥匙;用户端产品包括 用户端软件、多功能导入装置和涉密专用u盘。 2)系统系统功能 2)不足 由于专用系统的出发点主要在于解决当前急需解决的两 个过失泄密隐患问题,属于单点性措施,对其它问题(尤其是一 些单位的特殊保密需求)尚未采取措施。与保密资格标准、军方 的管理模式存在一些不太吻合之处,尚未解决携带外出专用介 质、涉密信息交换分级控制、数据保护、数据导出安全控制等问 (1)管理端:系统配置、涉密终端管理、涉密专用u盘管 理、涉密终端控制策略的下发、涉密终端主机状态信息的收集、 非法外联及专用u盘使用日志和用户违规目志记录等。 (2)多功能导入装置:作为涉密计算机的信息交换集中控 题,功能不完善,整体安全强度不高。存在9种不足和隐患。 (1)涉密u盘内信息的保护强度偏低,不能作为携带外出 制口,对非密信息进行单向导入自动控制,对涉密信息进行双 向交换控制。 (3)用户端软件:包括违规外联监控、输入输出端口/接口 管控、移动存储介质的接入控制(供涉密专用u盘和普通u盘 的非密信息单向导入)、涉密专用u盘使用、非密信息单向导 入、用户操作行为监控等。 (4)涉密专用u盘:用于涉密信息的交换,具有专门规定 的外形、接口、专用数据格式、唯一性标识信息和认证方式。通 过其内的认证处理器和特殊的接口外形,控制专用u盘只能 在多功能导入装置上使用,无法直接插入任何计算机。 2.4.3技术机理 1)采用软件方式实施非法外连监控、输入输出接口控制、 专用u盘管理、审计记录等。 2)采用专门的接入装置实施信息交换安全控制,实现普通 移动存储介质信息的无反馈单向导入,同时实现专用u盘的 接入及其控制,以防止涉密介质的交叉接入。 3)采用专门设计开发的非标接口专用u盘,实现涉密介 质的接入控制。 2.4。4系统评价 1)优点 专用系统抓住当前泄密隐患中的两个高发点,采取强针对 性技术与管理措施,解决了因“非法外联”、移动介质交叉使用 导致的过失泄密问题。具有多项优点。 (1)对非密信息的安全导入提供了便利手段,并可使用移 动硬盘作为导入源,为大体积非密数据的导入提供便利,在非 密信息导入过程中避免了使用一次性可写光盘刻录带来的麻 烦和隐患。 (2)专用u盘接口外形与通用USB接口不同,可以避免 无意交叉使用,降低了非恶意交叉使用导致过失泄密的风险。 (3)配备该系统,可以简化信息交换点的配备,降低成本, 简化操作和管理。 ・18・2011.09-WWW.infosting.org 专用u盘。 (2)与现有安全保密软件系统和一些特殊应用系统存在冲 突问题;如果,需要卸载或停用这些软件系统,原有安全防线就 会受到影响。 (3)携带外出使用不方便,需要同时携带多功能导入装置 和专用u盘,且需要外接电源,用户管理负担和心理负担较 重。 (4)没有完全解决非密信息导出的安全控制问题,仍然需 要建立有效的保密审查控制机制和通过刻录光盘的方式输出 非密信息。 (5)U盘没有密级标识,不能解决涉密信息的分级交换控 制问题(比如不能禁止高密级u盘插入低密级计算机使用)。 (6)对管理规定的依赖性强,仍然容易出现管理规定执行 不到位带来的泄密隐患。 (7)容易被环境模拟攻击。 (8)缺乏数据可靠性校验措施,导入数据可靠程度不高。 (9)产品功能划分与设计、产品形态设计不太合理。 2.5基于密级属性控制列裹的移动介质监管控制技术 2.5.1系统功能定位 基于密级属性控制列表的移动介质监管控制系统的功能 定位主要是重点解决涉密信息系统内部移动存储介质的注册、 绑定、授权及信息交换安全控制等问题。 2.5-2系统构架 该系统属于纯软件构架,其构成与前述主机监管审计系统 大同小异,由以下部分组成: 服务器+管理端+客户端+普通u盘 2.5.3系统功能 系统建立密级属性管理机制后,就可以非常方便地进行一 系列所需的管理和控制,实施细粒度监管。包括: 1)设备(计算机和U盘)的注册登记; 2)移动存储介质的绑定授权管控; 

技术探讨・Technology and Study 3)文件输入输出的审批、密级核定; 4)分级控制和保护; 5)日志记录和安全审计; 移动存储介质的安全保护等问题,消除违规行为(包括无意、有 意),堵塞泄密隐患,实现自动监管。 2.6.2系统构架 6)打印输出和拷贝输出分开控制。 2.5.4监管机理 与前述系统大同小异,有以下部分组成:服务器+管理 端+客户端+特种u盘 在用户端可配备非密单向导入盘、内部交换涉密盘、携带 首先,人工定密,即确定每台计算机和拟允许在本系统使 用u盘的密级;然后为每个u盘写入一个唯一性标识码,并根 外出专用特种u盘,还可根据实际需要配备一系列特殊使用 据人工定密结果在计算机中建立一个属性列表,表中包含了所 场景下的特殊u盘。 有计算机和移动存储介质的属性信息。属性信息可包括设备 名、设备序列号(或标识码)、注册信息、密级、允许执行操作方 式、使用管理责任人等。当移动存储介质接入计算机时,监管系 统检查属性列表。首先查该u盘是否已经注册登记;确认当前 盘属于注册登记设备后,在根据列表中当前计算机和当前盘的 密级属性进行相应控制。控制策略可以包括: 1)若该u盘不再列表中,禁止使用当前盘; 2)若u盘密级高于计算机密级,禁止使用当前盘; 3)若u盘是非密u盘,将当前盘允许的工作状态设定为 只读; 4)若拷贝文件,要求提交审批,核定文件密级,然后根据u 盘、计算机、文件的密级匹配关系,进行相应控制。 2.5.5评价 1)优点 (1)能充分利用现有u盘。配置成本较低,且不改变用户 使用习惯,使用方便; (2)在本系统内能对移动存储介质实施各种监管控制功 能; (3)可以实施一系列粒度很细的监管控制。 2)不足 (1)本系统管辖范围以外,移动存储介质不能再继续得到 有效控制; (2)安全强度偏低。由于属性列表是系统监管的核心,对属 性列表的任何改动都将直接导致监管结果的变更,若属性列表 遭遇破坏,将导致监管机制的失效甚至系统控制错乱。 2.6基于电子密级标识的移动介质监管控制技术 2.6.1系统功能定位 基于电子密级标识的移动介质监管控制系统的功能定位 主要是重点解决计算机和移动存储介质的密级属性自动监管 问题,为自动化保密管理建立基础,全面解决涉密信息系统内 部移动存储介质的注册、绑定、授权及信息交换安全控制以及 2.6.3监管机理 为所有计算机、特种u盘建立电子密级标识。由于具备电 子密级标识这一监管控制核心基础,系统可实施一系列与设备 密级属性相关的管理和控制。通过底层驱动控制,使特种u盘 以外的u盘等类似介质不能在系统管辖范围内计算机上使 用。特种u盘接入计算机时,由计算机和特种u盘双向检查相 互之间的密级匹配关系、绑定关系以及信息交换策略,决定是 否允许使用以及允许的操作。 进行信息交换操作时,首先核定文件密级,然后根据u 盘、计算机、文件三者的密级匹配关系,进行相应控制。 2.6.4系统功能 解决了计算机和u盘的密级标识问题后,该监管控制系 统就可完成一些其它类似系统不可实现的功能,实施深度监 管。 (1)信息设备(计算机和u盘)密级属性的深度监管; (2)移动存储介质的注册登记、绑定、授权管控,实现移动 存储介质的无隐患绑定管控; (3)信息交换过程中的分级控制和保护,实现信息流向智 动控制,自动消除违规行为和泄密隐患; (4)文件输入输出的审批、密级核定; (5)日志记录和安全审计; (6)监视操作系统重装行为; (7)移动存储介质携带外出保护、操作日志记录及自动上 传; (8)移动存储介质内存信息的自动清除; (9)计算机、u盘台账的自动生成; (10)信息交换操作过程中的保密提示与告警。 2.6.5评价 该系统将计算机的防护措施与u盘的防护能力结合起 来,使其能相互辨识,相互制约,实施安全控制功能;对移动存 储介质实施分类使用管理策略,即不同场景只能使用不同的u 信息安全与技术・2011.0g・19・ 

Technology and Study・技术探讨 盘,各种专用介质各归其位,各司其能,泾渭分明,无法违规。由 于建立了严密的密级属性管理机制,就可以非常方便地进行一 域的发展方向之一,就是开展相关技术评价方法研究。移动存 储介质防护管控技术的空前发展,必将产生很多新的技术的产 品。对这些技术和产品如何评价,就成为一个非常重要的问题。 系列所需的管理和控制。具有以下独到优点: (1)系统安全强度高,用户使用方便放心,不用担心出现无 意违规和泄密; (2)移动存储介质具备辨识控制能力和极强自我保护控制 科学、公正、可行的评价方法、评价体系及相关评价技术乃至标 准规范,是指导设计研发人员进行相关技术研究和设计开发、 指导用户进行产品选型和配备部署及应用的重要工具。 移动存储介质防护管控技术的评价方法可分为计分评价 能力,不受系统管辖范围的限制,在系统内外和任何计算机上 均可自动实施安全控制,时刻受控; (3)移动存储介质的防护边界明确,防护监管措施针对性 强,消除u盘使用中的诸多违规行为,提高保密管理规定的可 执行度,提高保密管理能力; (4)非密u盘在涉密计算机使用,具备自动单向导入功 能,防止摆渡木马窃密; (5)涉密u盘不可接入非密计算机使用,彻底杜绝涉密介 质交叉使用;在涉密计算机使用时,严格按照国家保密标准要 求、按照控制策略实施自动控制,彻底消除违规行为; (6)携带外出专用u盘极大降低携带外出风险; (7)彻底消除保密管理工作的“牛皮癣”现象(比如超密级 存储、密级标识脱落损毁、涉密u盘接入非密计算机使用、非 密u盘涉密、台账与实物不符、携带外出归来技术检查)。 3.移动存储介质防护管控技术评价方法 在2中,对当前各种移动存储介质防护管控技术进行了粗 浅的点评。但这种点评方式存在不成体系、不便于对同类技术 进行比较等问题。 在移动存储介质防护管控技术快速发展的形势下,相关领 ・20・201 1.09・www.infosting.org 法、功能吻合度评价法、安全强度评价法 综合评价体系等。 4.结束语 移动存储介质的防护管控,是一个非常重要的问题,同时 也是一个非常复杂的技术领域。目前,这个领域技术研究与产 品开发非常活跃,新的技术和产品不断产生。但总体来看,还处 于黏着状态和僵持局面,很多技术和产品尚处于初始阶段,很 多问题尚未得到有效解决,泄密窃密隐患仍然非常严重;同时 一些新的理念和技术已经开始萌发和成长。其破局有待于防护 理念的革命性突破,随着新的防护理念、技术体系、产品形态、 管理模式的研究和应用,必将带动一个新的技术群的发展,目 前存在的违规现象、泄密隐患才会得到真正有效的遏制。 作者简介: 汤放鸣(1958一),男。毕业于国防科技大学,大学学历,中国工程物 理研究院保卫保密部研究员,院信息化专家委员会委员,中国计算机学 会信息保密专委会委员;主要研究领域包括身份认证基本理论及技术、 移动存储介质防护监管技术、信息安全策略、信息安全保密管理等。