安全U盘技术在政府专网中的应用

政府专网中U盘的规范使用及管理不仅需要完善的规章制度建立保障，更需要成熟的信息技术作为支持。本文客观分析了政府专网空间的U盘使用风险，系统阐述了安全U盘的核心技术设计，以此来探寻安全U盘技术的发展之路。

【关键词】安全U盘 政府专 病毒防御

1 引言

全球步入信息化时代以来，各项网络信息技术取得了日新月异的发展。新形势下政府部门的信息化建设也正不断实现新跨越，最大限度地支持和服务于各项政务工作。如何避免政府专网遭病毒感染，如何防止专网涉密信息泄露，是当前政府专网安全保障工作亟需解决的重大问题。

随着移动存储技术的发展和普及，U盘、内存卡、移动硬盘等移动存储介质（以下统称U盘）逐渐成为人们工作中不可或缺的信息传输工具。然而，违规使用U盘造成的安全隐患却对政府专网这个安全至上的系统构成巨大威胁。安全U盘技术应运而生，该技术的应用和推广将由点及面地完善政府专网空间整体防御体系。

2 普通U盘的安全风险分析

2.1 U盘病毒感染风险

政府专网是政府机关专用的内网，与互联网物理隔离，理论上说不应存在病毒感染与传播问题。但实际状况并非如此，病毒、木马、黑客工具等经常“光顾”政府专网。据分析，除了由于政府专网电脑违规外联互联网而感染病毒的情况外，病毒主要来源于违规使用的普通U盘。普通U盘作为独立的移动存储设备，可以与任何计算机相连接，使用过程难以受控。虽然各级机关出台了一系列关于在政府专网中规范使用移动存储设备的相关规定，但普通U盘在政府专网与互联网间交叉使用的现象仍较为普遍。这样一来，在互联网环境下遭病毒感染的U盘就会将其携带的病毒带入政府专网计算机。政府专网杀毒软件一旦失守，病毒的传播蔓延将不可避免。

2.2 涉密信息泄露风险

政府专网作为政府部门电子化办公的主要平台，是各类政务软件、系统的载体。普通U盘在政府专网与互联网间的交叉使用，为摆渡木马突破政府专网的“物理隔离”提供条件。在政府专网计算机上，病毒会先将文件复制进U盘，该U盘一旦接入互联网计算机，病毒将自动探测外网出口，将这些文件通过互联网发送出去。2008年美国中央司令部保密军事网络遭到入侵，造成重大军事秘密泄露，该起事件正是由一枚植入了蠕虫病毒的U盘违规接入军事网电脑造成的。除此之外，U盘的使用信息无法审计问题，U盘遗失导致的信息泄漏问题，同样对政府专网中的涉密信息构成风险。

3 安全U盘的核心技术设计

3.1 安全U盘分区管理控制技术

相比只有单一芯片组的普通U盘，安全U盘在硬件上采用不同的芯片组。管理员通过对U盘芯片写入加密标签，以策略与标签相配合的方法来实现对安全U盘的管理控制。写入加密标签的安全U盘，其U盘引导系统会自动检测当前接入计算机的网络环境，根据网络类型生成相应的区。政府专网中，安全U盘生成保密区和交换区。保密区只能通过标签认证，在有对应安全策略的主机上访问。有安全策略的主机可以根据策略阻止未经标签认证的U盘的使用。交换区可根据用户需要，在政府专网中通过策略设置其使用模式。互联网环境下，安全U盘只生成交换区，保密区不可见。保密区和交换区均需正确输入密码才能访问。安全U盘的分区管理技术有效增强了其使用的可控性，以具备隐藏功能的保密区保护政府专网信息。

3.2 安全U盘的自主病毒防御技术

病毒侵入U盘的方式主要有两种：（1）利用打开U盘盘符操作而入侵。计算机中的病毒检测到有U盘接入时，会向U盘写入病毒程序，并建立Autorun.inf文件，根据该文件，在注册表中建立关联项，使Autorun.inf文件指向病毒程序。用户点击打开U盘盘符的操作将运行病毒程序，U盘即遭感染。

（2）利用运行可执行程序实施感染。U盘病毒大都隐藏于可执行程序中，一旦运行附着病毒的可执行程序，病毒即实施感染、传播。

针对以上病毒的感染、传播原理，安全U盘采用自主病毒防御策略，接入计算机时以CDROM形式加载而不显示任何U盘盘符，只读的CDROM盘，使病毒无法侵入U盘引导系统[1]。同时，安全U盘内所有文件为只读，病毒、木马无法感染。用户仅能通过U盘自带的安全资源浏览器对数据进行传输，安全资源浏览器禁止在U盘内打开任何可执行程序的操作，从而实现对病毒的自主防御。

3.3 安全U盘的数据加密技术

安全U盘采用高安全32位RISC核，通过私有密钥以国产SMS4加密分组算法对全盘数据进行加密，并采用安全文件管理系统以独立的安全资源浏览器组织文件。即使安全U盘被拆分，其芯片也不能被读取、访问或恢复原有数据。安全U盘必须经过政府专网U盘密钥管理中心进行密钥初始化，并绑定用户数字身份证书完成注册后方能使用[2]。每个安全U盘初始化时生成的密钥是唯一的，密钥长度为128bit，即便是该U盘的生产厂家也无法破解带有密钥的安全U盘。

3.4 安全U盘的完整日志审计技术

安全U盘以独立的芯片存储以下信息：

（1）安全U盘的硬件序列号、密钥加密块、标签信息。

（2）安全U盘的使用记录，包括插拔操作时间、操作者的用户名、接入计算机的IP地址。

（3）U盘内所有文件操作的详细信息，包括文件的创建、复制、读写、修改和删除等操作信息。安全U盘的完整日志审计技术基于独立的存储芯片，该芯片不支持复制、修改、删除等操作，不会因格式化或注销U盘而丢失任何日志数据。该部分日志信息仅能由有权限的审计员进行查看，对普通使用者不可见。此项技术为安全U盘装上了“黑匣子”，实现了安全U盘的完整日志审计。

4 结语

安全U盘作为未来政府部门和其他专网必将普及的专用移动存储介质，从硬件构成到软件设计，都将迎来一次次的技术革新。一枚U盘，在暗流汹涌的大网络时代，定能承担起守护专网安全的一份责任。

参考文献

[1]郝光烨.浅析专网安全U盘技术和应用管理[J].信息安全与通信保密，2012（6）：50-52.

[2]朱彦锋.基于密钥共享的安全多方计算应用[J].信息安全与通信保密，2010（5）：69.

作者单位

1.安徽理工大学计算机科学与工程学院 安徽省淮南市 232000

2.定远县公安局指挥中心 安徽省定远县 233200

推荐访问:专网 政府 技术