#/6淺析內(nèi)網(wǎng)安全盤技術(shù)解決方案為了保障信息安全，各級政府部門建立了與互聯(lián)網(wǎng)進行物理隔離的部門專用網(wǎng)絡(luò)，以此解決網(wǎng)絡(luò)互聯(lián)互通造成的失泄密、病毒感染、木馬侵入等問題。然而，由于移動存儲介質(zhì)的方便快捷，在互聯(lián)網(wǎng)和專用網(wǎng)絡(luò)間交叉使用，給信息安全帶來了新的威脅和挑戰(zhàn)。文中分析了盤的使用給政府專網(wǎng)帶來的安全隱患，引入了專網(wǎng)安全盤的概念，給出了專網(wǎng)安全盤的相關(guān)技術(shù)和應(yīng)用管理，以此來規(guī)范和保障移動存儲介質(zhì)的安全隨著存儲技術(shù)突飛猛進的發(fā)展，盤、移動硬盤、手機、數(shù)碼相機、攝像機、、、、各種等移動存儲設(shè)備以下統(tǒng)稱盤由于其體積小、攜帶方便、存儲量大、使用靈活等特點，迅速得到廣泛應(yīng)用。根據(jù)對典型設(shè)備的產(chǎn)品銷售進行測算，當(dāng)前全球使用中的各類移動存儲設(shè)備超過億個，盤在帶給用戶使用便捷的同時，已經(jīng)成為了計算機病毒傳播及信息泄密的首要途徑。一盤的安全隱患近年來，盤帶來的安全隱患在政府部門專網(wǎng)更顯突，其安全主要表現(xiàn)在：盤的交叉使用由于普通盤只是一個不受控的存儲介質(zhì)，可以在任何計算機上使用。因此，它可以有意無意地在政府部門專網(wǎng)內(nèi)網(wǎng)或互聯(lián)網(wǎng)外網(wǎng)上交叉使用；或在涉密計算機和非涉密計算機間交叉使用。一旦發(fā)生交叉使用的違規(guī)事件，涉密文件極有可能被非法拷貝，造成失泄密。木馬擺渡普通盤通過在內(nèi)網(wǎng)和外網(wǎng)問的交叉使用，為木馬擺渡突破政府部門專網(wǎng)的“物理隔離”提供了條件。在政府部門專網(wǎng)的計算機上，木馬先將文件拷貝到盤，一旦該盤插入到聯(lián)接互聯(lián)網(wǎng)的計算機時，木馬就會將拷貝出來的文件通過互聯(lián)網(wǎng)發(fā)送出去。病毒傳播感染病毒的計算機會將病毒感染到盤，一旦該盤插入到其他計算機上，就會造成無毒計算機感染病毒。如此反復(fù)，相互感染，從而引發(fā)整個網(wǎng)絡(luò)的病毒感染，造成系統(tǒng)損壞、數(shù)據(jù)丟失、死機，甚至整個網(wǎng)絡(luò)癱瘓。無法審計普通盤無論在政府部門專網(wǎng)還是在互聯(lián)網(wǎng)上使用，即使主動進行違規(guī)操作，也無法進行有效的審計和取證。丟失被盜如果盤丟失或被盜，其保存的涉密信息將會丟失，造成信息泄密。二專網(wǎng)安全盤的相關(guān)技術(shù)政府部門專網(wǎng)安全盤區(qū)別于普通盤主要采用了以下關(guān)鍵技術(shù)。安全盤的特有分類根據(jù)政府部門專網(wǎng)的特點和安全保密要求，安全盤依其使用方式的不同，可分為類：內(nèi)網(wǎng)專用盤，限在政府部門專網(wǎng)內(nèi)終端之間進行數(shù)據(jù)信息交換；單向?qū)氡P，可將外網(wǎng)數(shù)據(jù)信息單向?qū)说秸块T專網(wǎng)內(nèi)；雙向交換盤，可在政府部門專網(wǎng)與外網(wǎng)之間相互交換數(shù)據(jù)信息。安全盤特殊分區(qū)技術(shù)安全盤在硬件上采用了不同的芯片組不同于普通盤的一組芯片）分為個獨立的存儲空間：區(qū)黑匣子區(qū)安全存儲區(qū)。區(qū)。該區(qū)存儲私有的安全盤引導(dǎo)系統(tǒng)和專用安全資源管理器，且具有的只讀屬性。黑匣子區(qū)。該區(qū)記錄該安全盤的所有操作，即：何時、何人、哪臺計算機、哪些操作拷入拷出新建，刪除更名）哪些文件、文件大小等。黑匣子區(qū)不影響使用者的正常使用，且基于獨立的芯片存儲，用戶不可見。因此。用戶無法對它的任何數(shù)據(jù)進行刪除、復(fù)制、修改等操作，同時也不會被格式化所清除。黑匣子區(qū)又可分為保護區(qū)和日志區(qū)，保護區(qū)主要保存盤標(biāo)簽信息、盤的硬件序列號、盤密鑰加密塊；日志區(qū)用于保存用戶對盤文件操作的日志。安全存儲區(qū)。該區(qū)是用戶存儲數(shù)據(jù)的區(qū)域。在認證通過后，由區(qū)的安全盤引導(dǎo)系統(tǒng)通過虛擬化運行，由獨立資源管理器以私有文件系統(tǒng)的方式進行加載，然后以安全存儲技術(shù)保存用戶數(shù)據(jù)。該區(qū)域在資源管理器中無盤盤符顯示。私有文件系統(tǒng)技術(shù)安全盤內(nèi)置了私有文件系統(tǒng)，它是區(qū)別于的常用文件系統(tǒng)，該文件系統(tǒng)只能由內(nèi)置的獨立資源管理器加載和識別，因此，資源管理器無法對安全盤內(nèi)的文件進行操作訪問，盤內(nèi)的文件操作須在獨立資源管理器中完成。私有文件系統(tǒng)的應(yīng)用，無誤差地實現(xiàn)了安全盤內(nèi)文件操作的使用審計。主動防病毒技術(shù)區(qū)防病毒。安全盤插入計算機后，在資源管理器中顯示的不是普通盤盤符，而是一個虛擬化運行的盤符。由于盤的只讀特性，保存在區(qū)的安全盤引導(dǎo)系統(tǒng)不會被感染任何病毒或木馬。安全存儲區(qū)防病毒。一般地，盤病毒大都以可執(zhí)行代碼的方式存在，附著在可執(zhí)行程序（包括；；；；；各種腳文中件等）中，一旦運行可執(zhí)行程序，病毒將實施傳播。安全盤的私有文件系統(tǒng)和獨立資源管理器可以主動禁止直接打開盤內(nèi)的任何文件禁止直接從盤運行）實現(xiàn)對盤病毒的主動防御。更多咨詢：鄭經(jīng)理安全盤在經(jīng)過有效的身份認證之前，資源管理器不能對安全存儲區(qū)進行任何操作，身份認證通過之后，安全存儲區(qū)在計算機上也不顯示任何盤符，此時只能通過區(qū)的專用安全資源管理器對安全存儲區(qū)進行文件拷貝、刪除等操作。由于安全盤在資源管理器不顯示任何盤符，因此可以徹底防范病毒和木馬的感染。加密存儲技術(shù)安全存儲區(qū)的存儲和讀取由區(qū)的專用安全資源管理器，通過國家密碼管理局公布的、、、加密算法和私有密鑰進行數(shù)據(jù)加密，并采用私有的文件系統(tǒng)方式進行操作。保證安全盤即使被暴力拆開后，讀取其芯片也不能恢復(fù)原有文件。自鎖技術(shù)安全盤采用密碼進行保護，并可要求密碼必須具備一定強度才能使用例如位以上，字母分大小寫、數(shù)字、標(biāo)點符號中有或個以上）密碼輸入錯誤次數(shù)超限例如次）則自動鎖定該安全盤，禁止繼續(xù)使用。防盤克隆破解技術(shù)目前市面上有不少燒盤工具，可以輕易克隆出一個同樣的盤。為了防止這種情況的出現(xiàn)，安全盤的數(shù)據(jù)每一次讀寫都需要進行身份認證，所有未授權(quán)的讀寫都會被拒絕，因此安全盤無法被克隆。安全盤通過對關(guān)鍵代碼和敏感處理程序進行虛擬機處理和代碼混淆處理，來防止對程序與算法的破解。同時，對盤硬件信息進行隱藏，有效防范目標(biāo)性極強的黑客和攻擊者針對特定硬件進行攻擊?；ヂ?lián)網(wǎng)告警技術(shù)安全盤插入計算機后，其區(qū)的安全盤引導(dǎo)系統(tǒng)會自動檢測當(dāng)前計算機是否連接到互聯(lián)網(wǎng)，如果已經(jīng)連接則禁止打開安全盤。如果打開安全盤后，計算機再連接到互聯(lián)網(wǎng)，則安全盤會強制關(guān)閉。如有需要，安全盤還可強行切斷計算機與互聯(lián)網(wǎng)的連接，同時向監(jiān)控中心報警。三、專網(wǎng)安全盤技術(shù)方案：北京萬協(xié)通信息技術(shù)有限公司依托在信息安全多年的技術(shù)積累，為了滿足不同用戶的需求，基于加密芯片推出一系列的專網(wǎng)安全盤解決方案，供技術(shù)分析和參考。采用安全芯片，此芯片作為完全國有知識產(chǎn)權(quán)的芯片已經(jīng)通過了國家密碼局的安全認證，符合國家相關(guān)技術(shù)要求，完全滿足政府和軍隊對產(chǎn)品的要求。芯片內(nèi)部架構(gòu)該芯片不僅接口豐富，同時具備兩個接口，這項技術(shù)為同方首創(chuàng)，為芯片的應(yīng)用提供了一個更加靈活的平臺。密鑰存放在芯片內(nèi)部，密碼的認證也在芯片內(nèi)部進行，具有超強的防破解能力。集成多種通信接口和多種信息安全算法（、、、、、等），可實現(xiàn)高度整合的單芯片解決方案。特點：硬件加密更加安全功能模塊化高讀寫速度多種方案可供選擇（）功能模塊化萬協(xié)通不僅提供加密盤的開發(fā)工具、成熟的接口、大量的函數(shù)的程序，同時也把很多加密盤的常用功能做了模塊化處理，形成不同的功能包，用戶可以根據(jù)需求選擇功能包，組合成自己的產(chǎn)品。這種方式可以幫助用戶節(jié)省了大量的研發(fā)與測試時間，快速的形成產(chǎn)品，占領(lǐng)市場。（）高讀寫速度影響加密盤讀寫速度的因素主要有兩點：存儲的讀寫速度，加密芯片的加解密速度。芯片的加解密速度三，遠遠高于目前存儲的速度，不會影響到整個方案的性能。（）多種方案可供選擇萬協(xié)通針對盤的主要存儲介質(zhì)，出臺三種技術(shù)方案，滿足不同客戶的需求。存儲方案：USB2.0HS加密、NFCNandFlashUSB2.0HS加密、NFCNandFlashNFC接口）加密U盤利用芯片內(nèi)部自帶的控制功能和通過接口直接連接，此方案性能穩(wěn)定，但是要針對不同品牌類型需要單獨開發(fā)驅(qū)動程序，芯片產(chǎn)品更新?lián)Q代很快，客戶需要不斷的更新驅(qū)動，后期研發(fā)改動成本較大?？ù鎯Ψ桨福?/p>

USB2.0HSUBB2'.0HS：:USB2.0HSUBB2'.0HS：:加密芯片 讀卡器芯片 TF卡加密U盤加密芯片通過接口連接讀卡器芯片，再由讀卡器芯片控制后面的卡。只有具有雙接口的才能做到為卡提供一個額外的接口。此方案產(chǎn)品穩(wěn)定性較高，成本與方案相比會大大降低（卡的價格低于，卡不存在驅(qū)動升級的后期開發(fā)），卡安插在板上的卡槽內(nèi)，不是焊接在板上，不同容量的產(chǎn)品插相對容量的即可，一個板實現(xiàn)多容量選擇，容量靈活性很強。存儲方案USB2.0HSUSB2.0HS加密芯片UDP加密USB2.0HSUSB2.0HS加密芯片UDP加密U盤加密芯片通過接口直接連接后面的模塊，這類產(chǎn)品性能比較穩(wěn)定，成本與卡方案相比還要低很多，是低成本加密盤方案的不二選擇。三種方案的比較方案穩(wěn)定性硬件成本存儲驅(qū)動升級后期研發(fā)投入兼容性高高需要需要低卡高一般不需要不需要高較高低不需