单位面临的威胁：

l      涉密介质的使用缺乏身份认证、访问控制和审计机制；

l          涉密介质接入非涉密计算机上使用造成泄密；

l          非涉密介质接入涉密计算机上使用造成窃密；

l          涉密介质被盗或遗失造成泄密；

l          涉密介质难以按照密级控制；

l          ……

基本要求：

一、将移动介质划分为两个区域即明文区域与密文区域；

二、采用透明加密技术，对用户习惯不造成影响；

三、通过移动介质交换的数据必须是密文，保证数据离开应用环境后不可用；

四、数据交换前必须通过正确的身份认证，包括密码认证或USB KEY等授权硬件的身份认证；

五、文件外出交互时必须经过相关领导审批；

六、移动介质在外出携带时，必须保证设备不可用；

七、记录数据交换过程的工作日志，便于以后进行跟踪审计；

八、未经授权的移动介质，在工作环境中不可用，只有经过授权的移动介质才能进入到办公环境；

广州铭冠信息科技有限公司的《移动存储注册认证系统》基于文件系统驱动技术，从认证授权、访问控制、加密锁定、违规监控、数据加密、安全审计等方面对移动存储介质进行失泄密防护管理，用技术手段实现移动存储设备信息安全的“五不”原则，即：进不来、拿不走、读不懂、改不了、走不脱。

  进不来：非涉密介质接入涉密计算机上不能使用。

  拿不走：涉密介质接入非涉密计算机上不能使用。

    读不懂：数据始终以密文形式存储在介质上，非授权用户不能解密，涉密介质丢失不会造成泄密事故。

    改不了：数据在涉密介质上存储后，非法用户无法更改数据内容。

  走不脱：详细的涉密介质使用日志，泄密事件可追踪，犯罪分子无处可逃

系统架构 

移动存储注册认证系统，采用B/S设计架构，系统架构如图1-2-1所示。从图中可以看出，系统由三部分组成：控制台，主机监控代理、后台数据库。其中控制台管理采用B/S模式，USB移动存储注册认证中心与监控代理之间的通讯采用C/S模式。

控制台负责设置监控代理的安全策略、查看监控代理的活动状态、接受监控代理上传的报警事件并记入后台数据库以及对历史审计数据的查询以及报表等。控制台主要采用了JAVA技术和Web Service技术。监控代理主要采用了C++技术。

USB监控代理负责按照控制台制定的安全策略完成对USB移动存储设备的使用控制、监控和审计功能。将报警信息上传到控制台。监控代理按照模块化的设计思想，每个功能都是一个独立的模块，且各功能模块可按控制台的策略动态加载或移除。这使得监控代理的功能升级非常方便。

后台数据库是提供数据信息存储和数据信息交换的平台。本系统可根据管理的主机数量分别选择Oracle、SQL Server、My SQL等。数据库主要存储报警和审计数据。

.

产品功能

¨         U盘区域划分

《移动存储注册认证系统》的对象定位即移动存储设备，包括移动硬盘、U盘及其他移动存储卡等移动存储介质。《移动存储注册认证系统》可以将用户的普通USB存储设备自动分为两个存储区域（密文区域与明文区域）。密文区域是指从内部可信计算机拷贝数据到USB存储设备，数据在后台经过加密处理后存放的区域；明文区域是指通过外出拷贝自动存储到USB存储设备里的区域；

¨         集中注册与授权功能：

移动存储介质在使用前必须经过授权中心统一注册与授权，包括实名注册、标识密级、指定授权计算机、是否采用口令保护等。管理员可以通过注册信息实现U盘身份识别和介质追踪；

¨         介质接入控制

经过授权的移动存储介质在涉密计算机上能正常使用，当未授权的移动存储设备接入计算机时，系统将自动关闭USB端口，未授权移动存储介质无法在涉密计算机上使用。可有效防止USB存储设备管理混乱及因非法使用USB存储设备造成数据泄密问题的发生。

¨         加密上锁功能

《移动存储注册认证系统》可以实现对U盘加密上锁的功能。被上锁后的U盘需要用户进行身份认证，认证失败无法读取U盘的数据，当身份认证三次失败以后，USB移动存储设备自动锁定，U盘在网络内将无法使用，即使在非网络内计算机上使用，介质上的数据也无法使用，为用户的个人隐私提供了一层安全防护。可有效防止非法用户盗用U盘及丢失造成的数据泄密。

¨         数据加密保护：

采用透明加密技术实现数据拷贝自动加解密，加密数据只能在安装引擎的计算机上使用。在未授权计算机上使用移动存储设备，数据以密文形式存在，用户无法使用。该功能采用公开加密算法，可根据用户实际需求替换加密算法。

¨         计算机注册认证功能

网络内所有安装客户端的计算机都必须经管理员严格审核，并为该计算机分配实名信息后方可使用，对于正确安装了移动存储注册认证系统客户端的计算机，客户端将自动上报该机状态，完成到控制台服务器的注册功能，可有效防止非法用户擅自安装客户端程序，读取USB存储设备内数据造成信息泄密。

¨         访问控制功能

提供灵活的注册策略，可以设定移动存储介质允许使用的计算机或组；管理员可随时更改移动存储介质注册策略和信息，包括远程策略变更、挂失和注销等；管理员可以实现对USB存储设备的绑定，将一个U盘绑定一台或多台的计算机使用，也可以实现多个U盘绑定一台计算机使用，非绑定范围内的计算机将无法使用该U盘，可有效防止终端用户对USB存储设备的越权使用。

¨         外出拷贝功能

    当用户需携带U盘外出进行数据交互时，可以使用外出拷贝功能。外出拷贝功能就是将拷入到U盘内安全存储的数据与外界没有安装客户端程序的计算机进行数据交互使用。

¨         非法外联监控

外出拷贝功能采用安全存储及身份认证机制将数据进行安全保护，当用户在没有安装客户端程序计算机上使用数据时，需首先进行身份认证识别，当认证通过后U盘会自动判断计算机是否联接互联网，如果计算机联接互联网数据将无法打开，可有效防止用户无意将U盘插入联接互联网计算机上使用造成数据泄密的发生。

¨         审计功能：

提供详细的审计记录，包括注册信息、使用信息和文件操作信息，记录要素包括使用人、使用计算机、使用时间和动作等，并提供丰富的审计报告。

 产品特色

¨         完全按照涉密网对移动存储介质的管理要求设计。

¨         硬件接口无关性与磁盘类型无关性，原有介质均可转换成“安全移动存储介质”。

¨         自动数据保护，对用户透明，不增加用户的学习成本。

¨         多层次的安全访问控制方式，杜绝移动存储介质的滥用或非授权使用。

¨         强大的使用跟踪与日志审计，全程跟踪存储器在整个生命周期的安全。

¨         通过多层认证防护技术，自动识别硬件信息、用户标识、存储设备与非存储设备、授权设备与非授权设备等信息。

¨         客户端引擎具有不可发现、不可删除、不可停止等功能。

产品资质：

移动介质国家保密局证书

移动介质军队保密证书

公安部销售许可证