大勢至公司數據防解決方案
 

較早章 前言

當前，由于計算機和網絡技術的飛速發展，企業信息化的深入開展和應用，使得企業員工上班工作大多通過計算機網絡來進行，并將工作中形成的大量文件、無形資產和商業機密信息等借助于計算機、網絡存儲設備進行儲存，而這些機密信息關乎企業的穩健經營和經濟效益，如何保護這些商業機密的安全，已經成為企業網絡管理甚至是企業管理的重要方面。
 
但是，當前國內，很多涉密的企事業單位都把自己的注意力放在了防止外部入侵即網絡邊界安全，而恰恰忽略了身邊的威脅——內部。據FBI和CSI曾對484家公司進行的網絡安全調查結果顯示：超過85%的安全威脅來自公司內部，由于內部人員所導致的資產損失高達6000多萬美元，它是所造成損失的16倍、病毒所造成損失的12倍。企業若是忽略了其內網安全防范措施，將損失許多寶貴的核心數據、技術信息，多年累積的技術資產和研發投入成為他人的嫁衣，甚至可能因此導致企業失去競爭力。企業還可能喪失的是其聲譽，以及員工、合作伙伴與客戶的信賴。
 
面對日漸嚴重的內部事件，我們如何守護企業的核心信息，如何防止內部也就成了擺在各個企業面前的一大問題。其實，針對內網安全，防止內部信息泄漏早已有了比較成熟的體系。這得益于一個還不為廣大企業所知的行業——信息防行業。信息防從這個行業誕生時刻開始就致力于保護國家秘密，維護國家涉密內網安全，防止涉密信息泄漏。隨著企業保護核心信息的需求日益增長，信息防泄漏行業也開始逐漸為廣大企業提供信息安全服務。
 
作為一家專注企業上網行為管理、信息安全防護的專業廠家，大勢至（北京）軟件工程有限公司針對當前危害企事業單位商業機密的安全的嚴峻現實，結合自己多年來服務于企事業單位、國家積累的經驗，并通過研發團隊對信息安全防技術的深入探索、研發，推出了當前國內信息防功能較全面、操作較簡單、部署較快捷的信息安全產品——大勢至電腦文件防系統。可以廣泛應用于國內各行業企事業單位、、等機構，全面保護單位內部重要的電腦文件、機密信息的安全，嚴防通過各種管道的風險發生。

第二章 產品概述

一、產品概述


大勢至電腦文件防系統是一款專門控制電腦USB端口使用、管理USB存儲設備接入以及防止電腦文件通過各種途徑的電腦文件防軟件。系統不僅可以*控制USB存儲設備的使用，防止通過USB存儲設備，而且還可以*防止通過郵件、網盤、軟件、FTP上傳等方式。同時系統還集成了的自我防護功能，可以防止通過第三方軟件或使用者惡意卸載或破壞，從而可以實現真正的電腦文件安全管理。
大勢至電腦文件防系統由五大功能模塊組合：USB存儲設備管控模塊、電腦外設管控功能模塊、網絡防模塊、操作系統關鍵位置防護模塊、系統自我防護模塊。
 
大勢至電腦文件防系統功能強大，可*控制優盤（U盤）、移動硬盤、數碼相機、MP3以及其它USB存儲設備的讀寫，有只讀、只寫、阻止、放行、寫標識和標識識別、透明地加密和解密等模式；大勢至電腦文件防系統除可管控USB端口以及USB存儲設備外，還可控制其它的外圍設備，如：軟驅、1394火線、紅外設備、磁帶設備、藍牙設備、無線網卡、調制解調器、PCMCIA卡、COM端口和PLA口、打印機機控制、3G網卡等，同時還可以禁止員工私自安裝新硬件。
 
大勢至電腦文件防系統可自動識別插入的設備是USB存儲設備還是非存儲設備，不會影響USB鼠標、鍵盤和打印機的正常使用。只有管理員才能登錄設置界面更改USB端口設置，也只有管理員才能關閉或卸載軟件。且系統一經安裝，開機后自動啟動并隱藏運行，除管理員之外不能被惡意地刪除、終止、卸載和破解。
 
管理員可以對任意的USB存儲設備寫入標識并對其設定一個使用權限，利用本系統將機器的USB端口的情況下，只有寫過標識的盤才可以在的機器上使用，拿到未經的機器上不可用，或只讓寫過標識的盤在公司內部通用，未經的U盤或者外來的U盤不可用。系統運行安全穩定可靠，不影響Windows系統運行效率。
 
同時，大勢至電腦文件防系統還可以*阻止通過郵件、網盤、FTP文件上傳、軟件發送文件、藍牙、PCI卡、無線設備、隨身wifi、光驅刻錄等等各種途徑泄露電腦文件的行為，全面保護電腦文件安全。


二、產品架構


1、系統功能模塊

大勢至電腦文件防系統主要有以下幾個功能模塊組成：
1）USB存儲設備管控模塊：可以實現禁用、只讀、只寫、只讓特定USB存儲設備使用，向USB存儲設備復制文件必須輸入密碼等；
2）電腦外設管控功能模塊：可以*禁用光驅、軟驅、藍牙、隨身wifi、無線網卡、PCI網卡、1394端口的使用，可以嚴防通過上述外接設備；
3）網絡防模塊：可以有效防止郵件、網盤、軟件、FTP、論壇等網絡途徑。
4）操作系統關鍵位置防護模塊：可以*控制注冊表、組策略、設備管理器、計算機管理等關鍵位置的使用，防止隨意修改操作系統關鍵位置而繞過系統監控的情況。
5）系統自我防護模塊：集成全面的自我防護，防止隨意卸載或被第三方軟件攔截、破壞的情況發生，保護了系統安全。
 

（圖：系統功能模塊）

2、系統功能列表

大勢至電腦文件防系統集成了電腦文件安全管控功能，可以防止U盤、移動硬盤、網盤、郵件、QQ發送文件、藍牙、光驅、軟驅、PCI卡等所有可能的途徑的行為，全面保護電腦文件安全，保護單位無形資產和商業機密。
 

（圖：商業機密信息管道）

 
大勢至電腦文件防系統詳細功能如下：
 
1）可以*禁止使用U盤、移動硬盤、SD卡、手機等USB存儲設備。
 
目前，同類軟件對USB存儲設備或移動設備的控制，常常是基于修改注冊表或USB驅動或隱藏盤符的方式來實現的，這種方式對于控制U盤使用有一定的作用，但是對于SD卡、移動硬盤，尤其是手機、平板電腦等帶有存儲功能的設備（現在智能手機動輒幾十G的容量可以存儲很多文件）常常無能為力，因為這些設備雖然采用USB接口進行傳輸，但是通訊協議則*不同，加之第三方軟件（如手機助手）的協助，使得通過注冊表、修改USB驅動或隱藏盤符的方式很難有效應對此類存儲設備，同時也極容易被一些稍懂技術人的通反向修改注冊表、修復USB驅動或通過修改組策略而重新顯示隱藏的設備而輕松繞過。如下圖所示：
 

 
因此，當前國內同類限制U口使用的軟件常常面臨著功能上和安全上的不足和漏洞，無法充分保護電腦USB接口的安全。而大勢至電腦文件防系統采用Windows較底層的HOOK技術和文件驅動技術，可以在操作系統內核實時阻斷USB設備接入以及用戶向設備拷貝文件的動作，從而可以*不受注冊表、USB驅動或組策略的影響，理論上可以*禁用一切帶有USB存儲功能的設備，較大限度保護了用戶的信息安全和商業機密。
 
2）*禁用光驅、軟驅的使用，同時還可以只禁止光驅刻錄、限制刻錄光驅的使用而不影響光驅播放功能。
 
目前，同類軟件常常只能通過注冊表、光驅驅動或組策略的方式來禁止光驅使用、禁止軟驅使用。這使得這種方式一方面極容易被繞過或突破，另一方面也無法精確區分光驅的播放或刻錄功能，不利于對光驅和軟驅實現精準的控制。
 
3）*禁用電腦COM口、禁止電腦端口使用、禁止打印機等外接設備的使用。
 
目前，大勢至電腦文件防系統可以*禁用藍牙、禁用串口、禁用并口、禁用1394口、禁用紅外傳輸、禁用PCMCIA、禁用無線網卡、禁用有線網卡、禁用調制解調器等端口設備，從而防止了通過上述端口設備來外傳或泄露公司商業機密的行為。同時，大勢至電腦文件防系統還可以根據用戶的需要實時增加新出現的端口設備和較新出現的通訊技術而增加新的功能控制模塊，從而可以實時、保護電腦信息安全和文件安全。
 
4）全面保護操作系統的安全，禁止修改注冊表、組策略、設備管理器、計算機管理、開機啟動項，禁止進入電腦安全模式。
 
大勢至電腦文件防系統是國內集成了對操作系統控制的安全軟件。目前可以有效禁用注冊表、禁用設備管理器、禁用組策略、禁止進入電腦安全模式、禁止任務管理器、禁止U盤啟動電腦、禁止光盤啟動操作系統等等功能，從而一方面極大地保護了操作系統自身的安全，另一方面也有效地保護了大勢至電腦文件防系統的安全，防止被控制電腦企圖通過各種方式來破壞本系統的正常工作。
 
5）全面防止員工卸載、防止被殺毒軟件誤殺或攔截等，集成對殺毒軟件的特別防護。
 
作為一款基于Windows內核技術構建的網絡安全軟件，由于運行在操作系統內核，同時在運行過程中要執行一些安全探測工作。因此，不可避免地被一些殺毒軟件、網絡安全防護軟件視為病毒、木馬而殺掉或攔截，從而影響了本系統功能的發揮。因此，我們集成了對第三方軟件的防護功能，可以*阻斷當前國內所有主流殺毒軟件、電腦安全軟件對本系統的攔截和誤殺，從而*保證了本系統的正常工作。
 
總之，大勢至電腦文件防系統已經從單純的管理電腦USB接口的軟件，正在轉變成一款有效管理電腦各種設備運行、加固操作系統安全的專業電腦安全管理軟件，可以提供從電腦設備管理、操作系統安全加固、電腦信息安全和商業機密保護的解決方案。
 
6）可以設置允許或禁止的程序白名單、黑名單以及禁止或允許訪問的白名單和黑名單。
 
大勢至電腦文件防系統新版本中增加了禁止運行的程序黑名單和只允許運行的程序白名單，以及禁止訪問的黑名單和只讓打開的白名單，從而可以實現禁止員工運行某些程序或只讓電腦運行某些程序，同時也實現了禁止員工訪問某些網站或只讓員工訪問某些網站的功能，實現了對員工上網行為的管理，防止員工隨意安裝程序、隨意瀏覽的行為。
 
7）全面禁止隨身wifi、wifi共享精靈以及wifi等無線設備，防止網絡不適當擴展。
 
當前，各種網絡熱點（類似于無線路由器）的工具的出現，使得員工可以輕松在自己電腦的USB端口來使用這些工具（尤其是以360隨身wifi、隨身wifi為代表）為自己的筆記本電腦、手機或平板電腦提供無線上網功能，從而一方面可以用于自己的娛樂、網購、下載或瀏覽等行為，另一方面也搶占了公司網絡資源，并且對信息安全、網絡安全造成潛在的威脅（員工可以輕松將電腦的重要文件通過無線傳輸發送到自己的筆記本電腦、手機或平板）。

對于wifi共享精靈、wifi等無線wifi共享軟件，由于其運行必須依賴于電腦自身的無線網卡，因此可以勾選“禁用無線網卡”來屏蔽其使用；如果需要用無線網卡，那么可以通過“禁止打開的程序”這里，添加禁止安裝或運行的軟件名稱，例如“wifi共享精靈”，添加后這臺電腦就無法使用wifi共享精靈軟件了。

8）禁止郵件發送、網盤上傳、論壇附件上傳、FTP上傳、只讓特定QQ號登陸、只讓特定阿里旺旺賬戶登陸、禁止QQ發送文件、禁止Q共享文件上傳等。
 
在企事業單位局域網中，不僅可以通過電腦USB端口、USB存儲設備拷貝電腦文件，而且還可以通過郵件附件發送、網盤上傳、論壇上傳附件、FTP外發、QQ發送文件、Q共享文件上傳等方式泄露公司商業機密，為此大勢至電腦文件防系統集成了對上述網絡應用程序的控制功能，可以*防止通過網絡泄露商業機密的行為，較大限度保護了單位的無形資產和商業機密。
 
此外，大勢至電腦文件防系統在禁止使用、屏蔽郵件附件發送的同時還可以只讓使用特定、只允許使用某些，從而實現了靈活的使用控制。
 
9）既支持單機安裝、單機管理，又支持基于C/S架構的服務端和客戶端的管理，從而方便了用戶的使用。
 
總之，大勢至電腦文件防系統是當前國內禁止電腦U盤、禁止電腦USB存儲設備或其他外接設備功能較全、封堵較強，同時也是操作較簡單的電腦信息安全防護軟件，可以幫助企事業單位全面保護電腦重要文件的安全，防止隨意拷貝、泄露等情況的發生，全面保護單位無形資產和商業機密。
 
10）可以為用戶進行個性化定制，隨時禁止各種電腦設備、禁止修改操作系統任何配置，全力保護電腦安全和商業機密。
 
大勢至研發團隊憑借在網絡管理、網絡安全防護領域多年的技術積累，可以實時為用戶定制各種電腦管理功能，從而滿足了用戶個性化的、實時的網絡管理需要。禁止使用手機存儲就是大勢至公司應國內某些客戶的要求而開發的，也是同類USB控制系統無法做到的。
 
11）提供實時的“人工現場”支持服務，免除用戶的后顧之憂。
 
用戶只需要在系統界面上點擊“遠程協助”，然后將彈出的遠程協助軟件生成的ID和密碼告訴我們，便可享受大勢至公司專業技術人員的實時人工遠程支持服務，此遠程協助軟件速度比同類軟件（如QQ遠程協助）快2倍，媲美于人工現場操作，*免除用戶的后顧之憂。
 

第三章 系統原理

一、USB存儲設備控制原理

大勢至電腦文件防系統基于USB 存儲協議在Windows系統底層對存儲設備進行讀寫控制，可自動識別USB存儲設備類型。一旦USB存儲設備插入到安裝客戶端的計算機中，客戶端通過設備標識或者設備的序列號識別USB存儲設備，按照已設定的存儲設備控制策略的權限類型對USB存儲設備進行讀寫控制，標準的USB存儲設備（如U盤，移動硬盤等）可以設置成四個權限“禁用”、“只讀”、“只寫”、“放行”，以及只允許特定USB存儲設備使用，向USB存儲設備復制文件必須輸入密碼等。

（圖：禁用USB存儲設備控制原理圖）

二、電腦文件外發控制原理

在本系統里，禁止文件發送，文件上傳，其主要原理是利用API Hooking技術,在windows系統下，與文件操作相關的幾個API如copyFile、MoveFile等。通過攔截這幾個API，便可以知道用戶對文件的操作行為，進而便可以阻止文件拷貝或移動行為，防止外泄。

（圖：文件監控原理）

三、系統優勢

大勢至電腦文件防系統基于人性化的圖形操作界面，只需要幾秒即可安裝完畢，功能模塊一目了然，只需要點點鼠標就可以啟用，是當前國內安裝較快捷、電腦文件防功能較強、操作較簡單的電腦文件安全管理系統。
 

具體優勢如下：

1、安裝快捷、簡單易用

大勢至電腦文件防系統安裝極為快捷，安裝完畢后自動隱藏運行，管理員通過熱鍵喚出軟件登陸密碼，輸入密碼后才可以對系統進行設置。系統各個模塊一目了然，只需要點點鼠標就可以勾選啟用或取消啟用，操作使用極為簡單。

2、全面防護、安全運行

大勢至電腦文件防系統不僅對于電腦所有通道進行的管控，可以防止通過USB存儲設備、電腦外設或網絡途徑，而且還集成對操作系統的關鍵位置的全面防護，可以嚴防一些技術人員通過技術設置繞過或破壞本系統的情況發生，從而實現較大限度的安全保護。

3、實現個性化的自主管理

大勢至電腦文件防系統集成了人性化的擴展功能接口，用戶可以隨時增加對任意移動設備、任意程序或任意上網行為的管控，從而可以較大限度滿足用戶的個性化網絡管理需要。

4、實時的個性化開發定制服務

大勢至公司研發團隊深知企事業單位網絡狀況和信息安全管理的需求千差萬別，通過單一的電腦文件防系統很難滿足企業個性化、實時的管理需要。為此，大勢至公司研發團隊特別推出了個性化的、實時的二次定制開發服務，在用戶支付少量開發費用或者具有典型需求的情況下將提供免費的定制開發服務，從而*免除用戶的后顧之憂，幫助用戶實現個性化的、可持續的電腦文件安全管理功能，真正幫助用戶實現保護電腦機密信息的目的。

5、提供編程接口方便二次開發

大勢至電腦文件防系統集成了標準的C++編程接口，方便了用戶進行二次開發，便于與用戶現有的系統進行耦合對接。同時，我們也可以隨時為用戶定制開發各種個性化的網絡管理需要，從而幫助用戶實現可持續的電腦文件防功能。

6、提供實時的“人工現場”協助

大勢至電腦文件防系統提供速度極快（比QQ遠程協助速度快2倍，媲美人工現場）的遠程人工支持服務。用戶通過點擊系統集成的“遠程協助”按鈕，然后將遠程協助軟件自動生成的ID和密碼發送給我們，即可享受大勢至公司實時的人工支持服務。
 

總之，大勢至電腦文件防系統與國內同類USB接口禁用軟件相比，無論從安裝部署的快捷性、操作的簡單易用性還是對電腦文件安全保護的全面性，以及售后服務、性價比等各個方面國內同類電腦USB接口屏蔽軟件，是當前國內各行業企事業單位管理電腦USB接口使用、保護電腦文件安全和商業機密的較佳選擇。