一、        移动介质应用带来的安全隐患 移动存储介质因其小巧、存储量大，携带方便，价格便宜等特点在信息化建设中得到普遍应用，越来越多的私人信息、企业资料、敏感信息被存储在移动存储介质中，人们利用移动存储介质在网络内或者网络之间传输数据，在方便的同时，也给我们带来了不少的安全隐患，主要如下： 1.      企业内部移动存储介质在未经授权的情况下在外部网络使用； 2.      企业外部未授权移动存储介质随意接入内部网络； 3.      企业内部移动存储介质在报废后，信息被恢复，造成信息外泄； 4.      移动存储介质损坏后在无人监管的情况下带外维修，造成信息的泄露； 5.      企业中存有涉密信息的移动存储介质被盗；企业对移动存储介质的管理不规范，私 人信息和单位涉密信息混存在一起，在数据交互时造成信息泄露；病毒、恶意代码将移动存储介质作为载体进行传播； 6.      涉密计算机接入非涉密移动存储设备； 7.      非涉密计算机使用涉密移动存储设备； 大量移动存储介质的使用而引起的安全问题，影响了企业的信息化建设，随着信息化建设力度的加大，移动存储介质带来的影响也越来越大。如何控制移动存储介质的应用已经成为企业信息化建设过程中必需要攻克的一道难关，大连利贞发现很多企业甚至采取USB口贴封条、灌胶水的极端方式禁止对移动介质的使用，并对违反规定的行为进行处罚，这的确起到了一定的效果，但光靠制度而没有技术手段辅助，对移动存储介质的控制也是效果甚微，目前企业移动存储介质的管理症结主要体现在： 1.      无法限制外来移动存储介质的接入； 2.      无法解决移动存储介质丢失出现的信息泄密问题； 3.      无法不影响内部移动存储介质的数据交换使用； 4.      无法解决病毒、恶意代码通过移动存储介质传播问题；如何限制企业内部移动存储介质的带外使用； 二、        技术解决方案 移动存储介质管理系统基于C/S和B/S相结合的架构，由服务端制订统一的策略，分发给客户端执行。系统有USB标签制作工具，通过对移动存储介质制作标签可以实现对移动存储介质中的数据进行保护和加密，对移动存储介质进行使用范围授权，访问控制等综合的管理。移动存储介质使用管理系统可以将整个移动存储介质划分成交换区和保密区两部分，保护区需要通过密码认证才可以访问。系统具体使用管理构架如下：       系统服务器端：系统管理中心基于web页面管理方式，管理员登陆和配置后系统才能运行。能够自动发现网络中的终端计算机，并检测终端计算机是否安装系统客户端程序，管理中心内置移动存储管理策略中心和报警中心，提供对网络终端的分组管理设置。 系统客户端：安装在终端计算机，接收系统管理中心分发的策略，根据接受策略实时监控接入终端计算机移动存储设备的操作行为和状态，并进行管理或者控制；系统客户端注册以后，即使离开所在网络或不处于任务网络中，仍实时受到移动存储管理策略控制，日志记录于本地，一经连接回网络，则自动上报日志信息给服务器。 专用移动存储设备注册工具：移动存储介质经过网管人员注册（包括打标签、设置访问密码）工具认证后，该移动存储介质才能在网络中使用。使用者在使用时必须输入使用密码后才能使用。 系统以数据为中心，用户作为数据的使用者，主机作为数据的存储者，移动存储介质作为数据的迁移者，在系统范围内均赋予唯一的标识，三者进行相互认证。只有经认证和授权成功后，才保证合法的用户在合法的机器上访问合法移动存储介质上的数据，并形成详尽的日志供审计。 三、        方案特点： 1.     移动存储设备（分设备、网段等）接入认证管理，保障指定设备读写指定移动存储设备的访问控制管理； 2.     移动存储介质数据读写控制管理； 3.     移动存储介质的加密管理，防止保密区的敏感信息外泄； 4.     移动存储介质接入行为审计； 5.     移动存储介质数据交换行为审计管理，可针对文件后缀名等条件； 6.     提供详细的文件操作详细审计记录：包括文件的创建、复制、删除、修改和重命名等操作，（包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息）； 7.     提供详细的移动存储设备的插入和拔出动作的详细记录，具体包括事件类型、移动存储介质的名称、用户、计算机IP地址和事件时间。