一、需求分析

　　奢靡移动存储介质的管理是控制国家秘密知悉范围的重要环节，一些单位涉密移动存储介质管理混乱，不标注密级、明密不分、随意存放，维修、销毁缺乏监督，随意拷贝、携带外出等问题十分突出。有的在连入互联网的计算机中使用涉密U盘或移动硬盘；有的工作人员调动或离岗，私自带走涉密U盘和移动硬盘；有的单位未对涉密存储介质中的文件进行清除，就将设备挪用、捐赠或作废品处理；涉密软盘、移动硬盘、U盘的数量、使用、拷贝、保管到销毁，管理制度不健全或不落实的问题大量存在。

　　为此中孚特别设计本解决方案，以备咨询、参考和实施。同时，建议用户健全和完善保密安全管理的规章制度，参考如下保密安全法规及要求开展保密安全工作。

　　二、解决方案

　　中孚USB移动存储介质使用管理系统由管控平台、审计平台、保密终端、服务器（通讯服务器、数据库服务器）等软件和单向导入设备、USBKEY、加密U盘、指纹U盘、指纹硬盘等硬件设备组成，形成了一个整体性的解决方案。

　　本方案采用分级管理的方式，建立统一的移动存储介质管理中心系统，通过统一的管理中心可以监控到系统内涉密单机、办公内网各计算机终端的移动存储介质使用情况，并对移动存储介质进行登记、授权、定密等使用管理。

　　三、系统功能结构

　　中孚移动存储介质管理系统提供了对可移动存储介质从购买、使用到销毁整个过程的管理和控制，借助于注册授权、身份验证、密级识别、访问控制、驱动级文件加解密、日志审计等技术手段对可移动存储介质进行失泄密防护，真正增强涉密移动存储介质的保密管理，做到“拿进来的非法移动存储介质用不了”、“拿出去的涉密移动存储介质不能用”。

　　四、中孚USB移动存储介质使用管理系统功能介绍

　　1、系统功能结构

　　该系统由管控平台、保密终端、审计平台、通讯服务器、数据库服务器和保密安全设备等功能单元组成，结构如下所示：
 

　　2、管控平台

　　管控平台实现对介质的注册登记、授权、定密、使用管理，实现对介质内数据的彻底销毁，实现对介质使用情况的跟踪。

　　涉密移动存储介质在挪用、捐赠或不再使用时，必须将其所有数据彻底删除，以免造成信息泄露。通过该工具中的数据销毁功能能够彻底的清除涉密移动存储介质中存在的数据。

　　3、审计平台

　　实现对管控平台操作日志和终端设备操作日志的审计。可对日志信息进行有条件过滤和导出。

　　4、安全保密终端

　　安全保密终端安装在被保护的涉密计算机上，涉密介质识别使用、非涉密介质禁用、非涉密介质信息单向导入、外设控制（串口、并口、蓝牙、红外、SD卡、打印机、CDROM）等等。

　　5、保密安全设备

　　所有写入移动存储介质的数据都会被自动加密；用户在读取文件时，经过身份认证后，数据能够被自动解密。这个过程由WINDOWS系统核心驱动自动完成，不需用户参与，与在普通磁盘上操作没有任何区别。

　　五、产品优势

　　1、基于站点的分级管理，可有效分担管理员的负担，对于多主机的单位非常适用，管理员不会因为本系统所累。

　　2、系统集成了基于“涉密磁介质清除技术”的移动介质数据清除工具,在涉密介质回收、捐赠时执行介质数据清除。

　　3、系统适应性强。系统支持网络健全的情况，也支持纯涉密单机的情况，同时也支持有网络和涉密单机混杂的环境，系统提供完整的统一的解决方案。

　　4、专用移动存储介质。
 
　　活体指纹识别技术。系统选用指纹U盘作为涉密信息存储介质。介质使用时必须经过介质的“活体指纹”识别，方能使用。
 
　　完全的非安全环境隔离机制。涉密介质在非授权环境（外网、专网）下，该设备不能使用，用户根本无法打开。
 
　　隐蔽的日志记录。该介质可用于自主记录用户的介质使用记录，该记录存放在介质“隐藏分区”中，不会被篡改。

　　5、授权模式灵活。
 
　　本系统对于介质的授权从范围上分为按照组织结构或主机进行授权；从策略分为按照密级或者管理员自定义（只读、可读写、不可用），管理员可自行灵活调配。
 
　　移动介质只能在管理员限定的区域（安全域）内有条件使用(只读、可读写或不可用)，在其它范围内禁止使用。

　　6、系统支持设备外出。设备带出工作区时，需要管理员对设备执行“设备外出”操作，经过“外出”处理的介质，所有的文件（保密文件）都是经过保护处理的，未经授权（身份认证）的用户无法读懂,只有经过认证的用户才能打开，在外部所有的操作，自动记录日志。