捍卫者移动存储与中间机完整解决方案

背景

由于移动存储介质(U盘等)的使用非常方便,目前已经成为计算机网络主机之间进行数据交换的常用工具。如果随意的让各类移动存储介质接入单位内部网络进行数据交换,就可能造成木马、病毒通过移动存储介质传播感染,可能会给单位内部网络安全带来风险,特别是近年来境外间谍机构专门研制的摆渡木马用于通过移动存储介质数据交换过程窃取国家秘密,给国家安全带来严重危害。为此,国家保密局、军队保密委发布了关于互联网计算机、外网计算机与涉密内网计算机之间的信息交流必须通过中间机(数据摆渡机)的规定。

为了解决不同等级网络之间、不同等级单机之间的信息安全摆渡问题,我们研发了捍卫者中间机。解决了使用移动存储介质进行数据交换所带来的相关安全性问题,对移动存储介质的数据交换进行有效的控制与管理。防止因移动存储介质信息交换过程中造成失泄密事件。

中间机的主要作用就是防止摆渡木马启动、查杀木马、病毒,进行单向信息传递与交换,对摆渡过程进行可控的有效管理,事后可进行追查审计。总之,根据相关部门的要求,对外来数据信息必须经过中间机进行安全处理,然后才能摆渡到涉密内网计算机中进行应用。确保信息交换的安全性。

产品特点

  1. 1
    中间机安装了捍卫者自主研发的防止摆渡木马启动系统,通过端口、进程等手段彻底封杀了摆渡木马在中间机中的启动、中间机上无法运行任何系统预知之外的程序,强大的木马病毒查杀功能确保病毒木马无法感染中间机也无法感染其他移动介质。
    2
    中间机实现了外来移动存储介质与内网可信介质之间直接进行单向点对点的数据传输交换,不在中间机内存留,从技术措施上防止可能造成的失泄密事件。
  2. 3
    内网可信介质必须进行注册管理,只有可信介质才可以在中间机使用并接收外来移动存储介质的数据,使用灵活,管理简便。
    4
    中间机上所有数据交换都有日志生成,内容包括U盘责任人、日期、文件名称、文件大小。便于事后审计追查。
  3. 5
    中间机有多种机型可供选择。 HWZ-1型:1U工控机箱,支持winxp、win2003、win2008、win7、win8、win10 32位及64位操作系统。 HWZ-2型。采用2U工控机箱,触摸屏管理。

解决方案一:

一些单位禁止内网计算机上公网,并且对内网非涉密计算机有移动存储介质管理要求,只是通过中间机来实现内网信息与涉密计算机信息的流通。


计算机端口设置

将非涉密内网计算机,中间机,涉密计算机中的usb端口全部关闭。


如何通过中间机传递非涉密信息

1.  使用捍卫者A型中间盘,将非涉密计算机信息(如杀毒软件病毒库)拷贝至A型中间盘中。

2.  将A型中间盘的内容插入中间机上进行处理,审核(包括查杀木马,病毒等)。

3.  将处理过的数据,拷贝到B型中间盘中。

4.  将B型中间盘的信息拷贝到指定涉密计算机中。

5.  中间机无法保存数据。

6.  只能单向导入。

中间盘设置

中间盘分为A型和B型

A型盘:用于非涉密计算机与中间机间传递信息。

B型盘:用于中间机和涉密计算间传递信息。

中间盘由涉密管理员统一保管,中间盘统一管理,编号。

l  环境设置

a) 将A型盘授权非涉密计算机和中间机,在USB端口全部关闭的情况下,A型盘只能被非涉密计算机和中间机识别,无法被涉密计算机识别,且A型盘授权为只读,外网环境无法识别A型盘。

b) 将B型U盘授权为中间机和涉密计算机,在USB端口全部关闭的情况下,B型盘只能被中间机和涉密计算机识别。外网环境无法识别B型盘。

解决方案二:

一些单位对内网计算机没有移动存储介质管理要求,内网可链接internet公网,只对涉密计算机有移动存储介质管理需求

 

计算机端口设置

将中间机,涉密计算机中的usb端口全部关闭。

如何通过中间机传递非涉密信息

1. 将非涉密计算机信息(如杀毒软件病毒库)拷贝至普通U盘中。

2. 将普通盘插入中间机上进行处理,审核(包括查杀木马,病毒等)。

3. 将处理过的数据,拷贝到B型中间盘中。

4. 将B型中间盘的信息拷贝到指定涉密计算机中。

5. 中间机无法保存数据。

6. 只能单向导入。

中间盘设置

中间盘分为普通盘和B型

普通盘:用于非涉密计算机与中间机间传递信息。

B型盘:用于中间机和涉密计算间传递信息。

中间盘由涉密管理员统一保管,中间盘统一管理,编号。

l  环境设置

a)将普通U盘授权中间机,在USB端口全部关闭的情况下,普通盘只能被非涉密计算机和中间机识别,外网环境可识别。普通U授权为只读

B)将B型U盘授权为中间机和涉密计算机,在USB端口全部关闭的情况下,B型盘只能被中间机和涉密计算机识别。外网环境无法识别B型盘。

涉密机信息外携方案:

使用方需携带涉密信息外出时,将外携资料从非涉密机拷贝到B型U盘,由责任人申请,并配发捍卫者C型U盘,经中间机审核,将资料拷贝至C型U盘,在非内网环境中使用时,通过密码审核。

涉密信息外携盘设置

外携盘为捍卫者C型U盘,授权中间机,由中间机设置外携密码,审核完成后,将密码告知外携人员。

实施效果:

通过实施此套安全信息交换系统,有效的防止了摆渡木马、病毒传入涉密内网,确保传入内网信息的安全性,保证了内网的安全,杜绝了涉密内网的失泄密隐患,加强了单位信息交换的管理,提高了信息交换的效率。通过在相对复杂的使用环境部署该套系统,证明可以实现相对安全的信息交换,通过对中间机的技术防护和加固,来保证单位的网络安全。

避免了存储介质交叉使用情况的发生;
在数据交换时,防止了因摆渡木马造成泄密事件的发生;
内网感染病毒的机会大幅度降低;
操作简便的数据交换,解决了既要保密和又要高效率的矛盾;
数据交换后可以依据详细的数据交换审计记录进行跟踪;
外网数据交换的控制和管理提供了更强的技术支撑。