【精品】亮盾R终端安全登录与硬盘保护系统V1.094

【精品】亮盾R终端安全登录与硬盘保护系统V1.094 ?亮盾终端安全登录与硬盘保护系统V1.0 北京三未信安科技发展有限公司 Beijing SanSec Technology Development Co., Ltd. 目录 1. 背景 ..........................................................................................................III 2. 产品概述 ...................................................................................................III 2.1系统结构 ............................................................................................... IV 2.2受保护的终端计算机 ............................................................................. V 2.3智能密码钥匙 ....................................................................................... VI 3. 产品技术特点 ........................................................................................... VI 3.1扇区级的数据保护 ................................................................................ VI 3.2全面的登录控制 .................................................................................... VII 3.3基于硬件的身份认证 ............................................................................ VII 3.4用户操作简单 ...................................................................................... VIII 3.5灵活易于部署 ...................................................................................... VIII 3.6应急恢复机制确保数据可用性 ............................................................. VIII 4. 产品安装部署 ......................................................................................... VIII 4.1安装环境要求 ...................................................................................... VIII 4.2产品生命周期和部署过程 ...................................................................... IX 1. 背景 企业和个人在电脑硬盘保存的数据信息越来越多,信息的价值也越来越高,重要性增强。近年来,硬盘信息泄露的事件逐渐增多,一些泄密事件会造成不可估量的损失。 下面是近年发生的影响比较大的几个例子, — 2005年6月6日世界最大银行美国花旗集团丢失了一批记录有390 万客户银行账号、历史支付数据以及社会保障卡号的电脑磁盘。在此 之前,包括美国银行和时代华纳在内的多家知名大公司也都出现过重 要客户信息磁盘神秘失踪的现象。 — 2005年6月19日,包括万事达、Visa在内的多家信用卡公司4000 多万用户信息被盗,这给世界范围内的信号卡用户带来威胁。各国的 商业银行,包括我国的工商银行、建设银行、招商银行等,都不得不 为信息失窃的用户换卡。 — 2006年,美国退伍军人事务部笔记本电脑丢失,导致2600万名美国 退伍军人个人信息被窃。 上述向公众公开的泄密事件只是大量信息泄密事件的冰山一角,许多的泄密已经造成巨大损失而不为人们所知。 电脑信息泄漏不仅发生在丢失和被盗时,废弃的设备如果不进行专门的处理,也会引起信息的泄漏,例如,对硬盘格式化或者简单的物理破坏并不能完全消除磁盘盘片上的信息。 亮盾?的目标是通过身份认证技术来保护硬盘上的数字资产,防止未经授权使用计算机终端,有效保护硬盘信息。 2. 产品概述 亮盾?通过身份认证技术来保护数字资产,是防止未经授权使用重要电子信息的有效手段,有效的保护计算机终端资源。可以有效防止数据被窃 取,可为笔记本、台式电脑及服务器数据提供强大保护,即使发生硬件设备丢失或盗窃事件,也可保护存储在设备上的机密信息不会泄漏出去。启动前认证功能可有效防止未经授权的用户绕过操作系统访问敏感信息,而基于操作系统的用户认证机制的增强技术作为有效补充,实现了对终端的全面保护。 2.1系统结构 产品可以分为两个部分,管理中心和终端计算机。 , 管理中心的作用是对终端用户进行配置管理。 管理中心设有管理员,通过管理员身份卡和口令来证明身份。管理 中心的功能包括创建用户、发放智能密码钥匙和对智能密码钥匙进 行备份和终端恢复等,确保终端在出现异常状况下硬盘数据的可用 性。 , 终端计算机是要保护的目标计算机系统。 终端计算机在准备实施保护前,应安装操作系统并且安装亮盾?软 件。终端计算机用户首先向管理中心申请智能密码钥匙,然后对终 端计算机实施保护转换,转换完毕后,计算机进入受保护状态,用 户需要插入智能密码钥匙到计算机USB口并输入正确口令那个才可 开机登录。用户离开计算机时拔掉智能密码钥匙,终端进入锁定状 态,再次使用计算机同样需要智能密码钥匙登录。 2.2受保护的终端计算机 受保护的计算机终端可以防止非授权的访问,合法用户只有通过智能密码钥匙才能启动电脑。在笔记本或硬盘丢失、被盗的情况下,没有对应的智能密码钥匙就无法访问硬盘中的任何数据。即使硬盘脱离系统,磁盘上的数据也不能被读出。 1. 计算机处于关机状态下,用户开机使用计算机终端需要将智能密 码钥匙插入到计算机的USB口,并输入正确的口令后计算机操作 系统才被启动。 2. 用户离开计算机时,拔掉智能密码钥匙终端计算机即进入锁定状 态, 3. 再次使用计算机需要用户在计算机的USB口插入智能密码钥匙并 输入正确的口令。 4. 用户关闭计算机。在关机状态下,即使计算机硬盘脱离系统也无 法读取任何信息。 2.3智能密码钥匙 智能密码钥匙具有硬件PIN码保护,PIN码是4~16位长度的可见字符,PIN码和硬件构成了用户使用智能密码钥匙的两个必要因素,即所谓"双因子认证"。用户只有同时取得了智能密码钥匙和用户PIN码,才可以登录系统。 即使用户的PIN码被泄漏,只要用户持有的智能密码钥匙不被盗取,合法用户的身份就不会被仿冒,如果用户的智能密码钥匙遗失,拾到者由于不知道用户PIN码,也无法仿冒合法用户的身份。 智能密码钥匙实现了对口令的字典攻击的防御,5次输入口令错误密码钥匙锁定,只有拥有管理员PIN才可以解锁。 系统为终端用户提供了修改智能密码钥匙PIN的功能。智能密码钥匙发布的初始化PIN为“12345678”,用户可以使用智能密码钥匙管理工具进行密码修改。建议用户定期的更新PIN码,以保证智能密码钥匙的安全使用。 智能密码钥匙不可复制。 3. 产品技术特点 3.1扇区级的数据保护 在操作系统启动前通过INT13中断处理程序对磁盘进行加解密转换,实现启动操作系统,操作系统启动后,通过过滤驱动程序进行加解密转换。 加解密转换是以扇区为单位进行的,写入时将数据通过强加密算法进行加密,读出时进行解密。加解密转换过程对上层软件和应用程序是透明的。 操作系统引导操作系统运行 过渡 过滤转换层 图,磁盘过滤转换结构示意 , 对每个扇区都进行加密保护,不遗漏任何数据, , 采用高强度的加密算法, , 密钥存放在智能密码钥匙中,安全性高。 3.2全面的登录控制 系统采用Pre-Boot,操作系统启动前,和Windows用户认证机制结 合,实现对终端的全面登录认证保护。 Pre-Boot认证 , 代码自主—安全可证明, , 开机即认证—缩小突破口, , 硬件身份认证—高安全。 Windows用户认证 , 结合Pre-Boot单点登录—简单易用, , 待机、休眠、屏保和手动锁定—全面无遗漏, , 硬件身份认证—高安全。 3.3基于硬件的身份认证 , 采用USB智能密码钥匙作为身份载体, , 口令重试次数限定,有效防止字典攻击, , 遗忘口令可以通过管理员解锁, , 丢失钥匙可以通过管理员恢复, , 可以方便的进行用户管理。 3.4用户操作简单 , 启动认证,单点登入, , 初始转换设置后,保护过程用户透明, , 无需额外操作,无需额外, , 易于集成,无需改动已有系统和软件。 3.5灵活易于部署 , 向导式的安装和配置, , 灵活可配置的管理中心, , 图形化的使用和管理界面, , 易于理解的部署过程, , 充分保证系统的配置弹性。 3.6应急恢复机制确保数据可用性 , 智能密码钥匙丢失,管理中心可以恢复智能密码钥匙,可再登录使用终端 , , 遗忘口令和智能密码钥匙锁定,管理员解锁可以解锁, , 系统遭到破坏不能启动,管理中心可创建应急恢复光盘,恢复系统, 4. 产品安装部署 4.1安装环境要求 管理中心 , 操作系统,Microsoft? Windows? 2000/XP/2003/VISTA , 处 理 器,800MHZ以上 , 内 存,128MB以上 , 磁盘空间,200MB以上 , 接 口,USB1.1/2.0接口 终端计算机 , 操作系统,Microsoft? Windows? XP/2003/VISTA , 处 理 器,800MHZ以上 , 内 存,128MB以上 , 磁盘空间,200MB以上 , 接 口,USB1.1/2.0规范接口 , 其它要求,在BIOS启动阶段USB键盘可能和智能密码钥匙冲突,请为要保护的 PS/2接口键盘,注,笔记本电脑键盘不是USB接口,一计算机配置 般没有冲突。 4.2产品生命周期和部署过程 管理中心部署终端软件安装交付使用废止 管理中心终端用户 IT人员管理员管理员管理员计算机终端操作员，IT IT人员 IT人员人员，管理中心 , 管理中心部署 单位用户完成管理中心软件安装,管理中心初始化,生成管理员卡和操作员卡。管理中心创建用户,为用户制作智能密码钥匙。 , 终端软件安装 操作员,IT人员,完成终端软件安装,安装过程中有加密密钥的生成和安全登录设置等步骤。 , 交付使用 装置保护软件的终端系统交付给用户使用。 , 废止 当终端计算机丢失或者被IT人员回收的情况下,终端计算机进入废止生命周期阶段,管理中心需要注销用户并回收。