企业内网USB设备监控与审计管理系统的理论综述

　1 综述
　　随着信息技术的飞速发展，计算机通用串行总线（Universal　Serial　Bus，以下简称为USB）设备的应用，极大方便了信息设备快捷使用、增强了数据交换和存储的便利性。USB在短短几年内已经成为计算机与外设接口的通用标准，但USB设备使用中监控与审计等信息安全问题也显现出来，成为目前单位信息化管理中的难点和重点。加强USB设备的风险分析和分类别的管理已成为有效保障单位内部信息系统安全的重要工作。
　　1.1 USB设备管理当前存在的问题和隐患
　　（1）单位内部USB设备管理不完善，存在违规使用现象。
　　（2）缺乏对单位内部USB设备分类管理的技术手段，容易被违规安装未经许可的USB外联设备。
　　（3）缺乏必要的对单位内部USB设备的审计手段，不利于责任准确定位。
　　（4）缺乏对用户行为的监控手段，造成单位内部机用户的行为上的隐患。
　　1.2 改进USB设备管理的对策
　　加强日常监督和管理、健全相关制度。当前应该把USB设备管理作为单位内信息安全建设的重要方面，制定适合本单位实际情况的USB设备使用信息安全保密管理规定，同时监督制度的严格执行。
　　加强USB设备安全管理技术研究，开发适合的软件产品。为满足单位的各项保密需要，各单位迫切需要一个功能强大、运行稳定的对USB设备监控与审计的安全管理软件系统，来保障USB设备应用的安全，防范USB移动存储设备可能带来的重要数据和经营信息的泄露。
　　对USB设备进行分类监控、授权或禁用管理。服务器应该根据多个USB端口的权限信息，分别向客户端计算机发送开启或关闭相应USB端口的命令，可以根据接入USB设备的描述符中类别ID完成对USB设备的分类监控、授权或禁用，客户端计算机根据该命令去执行开启或关闭相应USB端口的动作。
　　对USB设备使用过程实施安全保护和审计记录。在USB设备的使用过程中，应提供详细的审计记录，审计记录要素包括插入或拔出USB设备的计算机IP地址、使用人、插入或拔出的时间和动作等。
　　2 USB设备监控与审计管理系统的需求分析
　　根据对现状的分析，需要设计和实现一种分类管理并且远程监控USB设备的系统，应包括多个客户端计算机、服务器及网络。USB设备监控与审计管理系统开发需要实现三种功能。
　　对移动存储介质的管理策略：对经审批的USB设备授权或者禁用，未经授权的USB设备不能在本单位内安装过客户端的机器里使用。
　　对USB设备监控管理功能：对USB设备可分类监控：对USB设备分为存储设备、通信设备、打印设备、输入设备（键盘等）、USB集线器和其它设备进行分类监控。
　　对USB设备审计管理功能：系统管理员能够查看USB设备使用日志、用户将本机文件拷贝到移动存储介质操作行为的记录等，阻止超越知悉范围获取文件的行为。
　　3 USB设备监控与审计系统的总体设计
　　USB设备监控与审计管理系统主要针对应用层，采用C/S架构设计；整体系统主要由后台管理程序（管理端）、服务器和监控程序（客户端）三部分组成。系统逻辑拓扑关系图如图1所示。
　　后台管理端：根据不同的用户需求或者安全要求，对不同部门不同个人的计算机设置不同的访问控制策略，并通过服务器将访问控制策略传递给客户端。
　　客户端：在每台单位内部机里安装，后台管理端根据不同的用户需求设置队应的访问策略，并通过服务器传递到客户端，客户端根据访问策略对所有在该计算机上使用的USB设备进行访问控制，同时也根据实时收到的策略控制指令对USB设备进行策略控制管理；
　　服务器端：系统运行平台，接收和发出监控指令和审计日志，系统审计信息存储平台。该软件系统被部署在单位网络环境的中心服务器中，并通过数据引擎访问保存所有记录的数据库。
　　4 USB设备监控与审计管理系统的实现
　　4.1 系统主架构的设计
　　4.1.1管理员监视审计端
　　管理端计算机开机连接服务器后，首先建立接收套接字，管理员运行软件时进入登录界面，需要输入帐户名和密码，系统校验用户的权限，打开相应权限的管理窗口界面，系统通过服务器端获取终端列表，管理员可随时退出系统登录。
　　进入USB设备监控与审计管理系统主界面后，首先调用审计日志监测客户端USB设备插入或拔出记录，进一步对应IP地址（即客户端计算机）使用人，选中一项可以查看处理的文件信息列表，实现监控。当需要对经过审批的USB设备进行授权操作时，先由管理员打开指定终端的相应类型端口策略，用户在指定终端接入USB设备，系统客户端通过Windows消息获取设备序列号及设备厂商ID等信息，发送设备标记信息到服务器，再由服务器端转到管理端子流程，管理端核实审批信息后做授权操作，授权信息发到服务器端，然后客户端接受到服务器的回执，　提示用户授权成功，设备可正常使用。管理员监视审计端管理主界面如图2。
　　管理端需要对客户终端USB设备进行管理，首先选择要查看的终端，然后设置策略，系统对数据序列化后向服务器发送策略值或管理命令，当收到服务器端的回执，提示管理员执行成功。
　　管理端查看审计日志需要先选择要查看的终端，然后向服务器发出获取所选终端的日志数据的请求，接受到服务器发送的日志数据后，系统对数据序列化并按类型分类，按分类显示审计数据。审计内容包括USB设备是否授权的信息、USB设备插入和拔出的信息和U盘文件操作信息，这样可以对USB设备在系统内的插入、使用、拔出等整个过程进行记录，以便于监控和审计
　4.1.2服务器端
　　该软件系统被部署在单位网络环境的中心服务器中，并通过数据引擎访问保存所有记录的数据库，服务器端管理系统首先在服务器端建立服务器套接字，建立与客户端程序的连接，管理维护客户端列表并接收客户端监控和审计信息。
　　系统将接收到的监控、审计和控制管理指令等数据送到服务器业务处理子流程，首先解析数据，对数据分类（如分为管理类和日志报告类），判断数据来源和数据发送到目的地，再将数据送到相应的功能模块进行相应的处理，转发命令数据集到指定的地址组，并将数据集存储在服务器上，以备需要时审计使用。
　　4.2 客户端监控与审计功能的实现
　　客户端监控与审计软件在终端计算机开机启动时自动运行并隐藏窗口，用户无法看到运行界面，不能对监 控系统进行操作。终端计算机连接网络后客户端监控系统主动连接服务器，上传终端计算机上USB设备的通知消息，并且获取服务器端相应策略（设定值），然后启动设备消息处理子流程根据策略值采取相应动作。客户端系统接收数据的系统流程与服务器端接收数据的流程类似。
　　客户端程序接收到操作系统检测的USB设备的通知消息后，检查设备接口类型，判断USB设备的类型，并检查其合法性。对于USB移动存储设备，除了根据策略值对U盘执行预定义行为，还要进一步监测其拷贝的文件名称，将设备消息及执行动作的记录以及U盘文件信息发送到服务器端，服务器端管理员可以随时监控客户端拷贝文件情况，发现非法拷贝不应知悉的文件的情况，可以立即终止拷贝过程并锁定终端计算机，如有必要还可直接格式化U盘，防止重要文件被非法获取。
　　4.3 程序的调试与运行
　　在系统各程序编译完成后，首先调试客户端USB检测部分，在USB检测消息响应函数处设置断点，然后插入USB设备，跟踪不同类型设备插入时的检测信息处理子函数，并能检测信息发送到服务端。同时手动在程序中添加策略值，并在策略值的处理函数入口处设置断点，跟踪USB设备插入后根据策略值的处理流程，确保整个处理过程正确无误。在客户端调试完成后，在服务端程序的接受消息处设置断点，运行客户端，并模拟用户操作USB设备的过程，监测服务端程序接收来自客户端传送的消息，并模拟USB注册授权、设备插入访问、拔除、非授权设备插入等用户操作行为，并对各部分操作的程序运行流程及数据存储与表现进行校验，检查程序正常运行。经测试，本系统运行正常，完成了预期的开发目标。
　　5 结束语
　　本文在企业内网USB设备管理安全问题方面做了初步探讨和尝试，提出对终端USB设备防护和监控管理的安全理念，来提升网络整体的安全性，设计和实现了一种分类管理并且远程监控USB设备的系统及方法。利用本系统实现远程监控多个USB端口的使用，避免USB设备在非授权情况下接入内部计算机系统。虽然有些策略还不够完善，但实现的部分已经在实际工作中发挥了有效的作用，能够在一定程度上保证信息系统的安全。
　　参考文献
　　[1]　李焕洲，张健，陈麟.涉密网资源监控体系的研究与实现.计算机应用，2006（5）.
　　[2]　王海涛.闫前进　内网的安全风险分析与保护策略.　[期刊论文]-保密科学技术.2011（2）.
　　[3]　周明贵，姬学民.移动存储介质管理在保密工作中的问题与对策.河北省社会主义学院学报，2008-04.
　　[4]　戴宗坤主编.信息安全实用技术.重庆大学出版社，2005.
　　作者简介：
　　石玉成（1979-），男，汉族，甘肃武威人，工程硕士学位，现供职于中国核动力研究设计院，工程师；研究方向：信息安全、软件工程。