产品介绍

阿里软件USB守护神产品（简称USN），主要从安全保密的角度，是对USB存储介质进行安全管理和控制的产品，从技术和管理的角度解决了USB移动存储介质导致的信息外泄和病毒等安全隐患。

产品功能

阿里软件USB守护神产品，主要应用于保密要求较高的若干个内部局域网之间利用USB存储介质进行频繁的信息交换。

该产品将用户网络中的计算机和USB存储介质分为内部和外部计算机，以及内部USB存储和外部USB存储介质，最终实现：

• 外部计算机不能识别内部的USB存储介质；
• 内部的计算机拒绝外部的USB存储介质接入；
• 对内部USB存储介质的接入和使用也根据策略进行细致、有效的控制；
• 内部计算机和外部计算机通过严格的监控机制进行安全数据交换；
• 内部计算机通过USB存储介质输入输出操作有详细的日志记录。

这样可以有效防止内部信息通过USB存储介质泄密，以及外部病毒等非法数据带入内部，同时又能充分发挥USB存储介质若干个安全涉密内部网之间的信息交换作用。

产品组成

阿里软件USB守护神产品分为服务端和客户端，服务端包括注册中心、控制中心，形态为专用硬件，提供WEB操作界面；客户端包括联机版、单机版和交换软件，形态为软件方式。

• 注册中心：USB存储设备的统一管理中心，负责对USB存储设备注册操作，将USB存储设备标记为注册中心管辖范围内的合法设备。
• 控制中心：USB存储设备的认证策略和决策中心， 一方面提供WEB界面设置管辖范围内的USB设备接入的策略，另一方面提供认证决策服务，根据策略为客户端认证请求进行决策。每个独立的网络环境或者独立的职能范围都应部署一个控制中心。
• 客户端控制软件：安装在客户机上，对USB设备进行监控，根据控制中心的策略对USB设备进行相应的控制，记录设备的接入记录。客户端控制软件分为联机版和单机版，联机版软件必须根据控制中心的策略控制USB存储设备的接入，单机版软件根据本地策略控制USB存储设备的接入。
• 客户端数据交换软件：用于在外部USB存储设备和内部系统之间交换数据，安装在网络中专用的客户终端上。

产品优势

• 场景针对性，在一个保密要求较高的行业，存在大大小小诸多物理不相通的网络和单机的场景下，需要有内部可信可控的USB移动存储介质进行信息交换，譬如军工科研院所、军队、政府内部网，我们为此积累了10年以上稳定运行的成功经验。
• 控制策略丰富，根据不同的场景需求和保密要求，可控制到人、控制到电脑、控制到网络、控制到使用时间等各种可粗可细的安全策略。
• 兼容性，适配各种常规的USB存储介质。

行业解决方案

1、涉密网络使用USB移动存储介质的现状和困惑

USB移动存储介质通常的使用过程中，没有有效的认证与控制措施，可将内部资料拷贝到外部环境中，极易造成泄密； 而外部USB移动存储介质的随意接入，也带来了很多安全风险（如发生窃密、病毒事件）。因此需要考虑如何实现内部USB介质的安全使用，防范使用过程中的数据外泄，以及防止外部USB介质的非法接入； 同时又需要考虑如何实现内部和外部之间一种安全可控的数据交换，提供必要数据的流入或流出。

2、解决方案

针对内部办公环境与外部环境USB移动存储介质的使用需求和制度，结合用户数字证书认证方式或用户名口令认证，可实现USB存储介质的接入认证、控制，内外数据的合理受控交换，以及上述使用过程的详细审计。

在大网或小网中部署一套或多套USB守护神设备（硬件安全专用设备，包含注册中心和控制中心两部分），同时客户终端安装USN客户端软件，即可满足此需求。有两种部署模式：

（1）对于同一系统的多个隔离小网以及单机，可采用一网注册，多网应用的模式；

（2）对于同一系统，只存在一个网络，采用注册与控制集成的模式。

方案具体内容：

(1)USB存储介质与证书、机器、用户绑定，实现强身份认证和权限控制，只有登记注册过的USB介质方可在内部环境中使用；

(2)限制外部系统读取内部注册USB存储介质中的信息；

(3)限制外来USB介质在内部系统机器中使用；

(4)注册USB存储介质能在单机上使用，也能在各办公网络中使用，且必须与使用人的身份相配合；

(5)注册USB存储介质的拥有者可将其USB存储介质授权给他人使用，且可限制该用户对此介质只读或可写；

(6)网络中的介质接入策略由控制中心统一设定和管理；单机上的介质接入也由单机上的管理员提供相应策略设置；

(7)外来USB介质在特定授权的内部系统机器上进行数据交互，交互数据受严格的监控；

(8)通过用户证书对内部USB存储介质进行高强度加密，无法破解；

(9)注册、认证和交换操作都有详细的审计。

3、方案效果

(1)杜绝了通过USB移动存储介质轻易的进行内外数据交互的问题，尤其是内部数据轻易的通过USB移动存储介质流出到外部、造成泄密的问题；

(2)通过合理的技术手段，保持USB移动存储介质在信息交换方面的方便性和优越性，可信的USB移动存储介质在内部可信终端上可进行数据交换；

(3)通过合理的技术手段，能够在受控终端上进行内外数据交换，满足内外数据必须在受控情况下方可交互的需求；

(4)充分利用用户的数字证书KEY，实现USB移动存储介质的控制，更符合涉密网的强身份认证的安全保密要求，并且通过证书链的信任关系方便有效的实现同一行业内两个地区、两个小网内USB移动存储介质的互通。