可信计算技术标准.ppt

Page * 联想基于TCM的安全应用(5) U盘无忧 (安全移动存储) 合法USB设备 合法USB设备 数据流入 数据流出 TCM芯片 交叉认证 交叉认证 产品特性： TCM代表主机身份，USB设备在主机上使用必须验证USB身份 不符合授权的USB不能使用，授权的USB只能在指定的主机上使用 非法USB设备 拒绝 非法主机 拒绝 用户价值：单位内部移动设备安全管理，保证数据不外泄 “U盘无忧”主要功能 制作受TCM保护的安全U盘 个人专用安全U盘 多人共用安全U盘 C/S管理架构 审计及日志 终端策略管理 分发和制作管理 孤岛终端管理 TCM认证绑定 制作受TCM保护的安全U盘：将普通U盘通过TCM安全算法“安全格式化”成“受TCM保护的安全U盘”， 无需依赖特殊USB设备，成本低、安全性高 个人安全专用USB： U盘绑定本机使用，其他人不得查看其内容 多人共用安全USB： U盘在授权域内安全使用，非授权机器不能查看其内容 C/S管理架构 : 基于服务器-客户端架构管理安全U盘，采用最简便管理员集中管理方案 TCM认证绑定：通过TCM硬件认证保护，保证高安全级别的“U盘无忧”功能 终端策略管理：是否允许使用普通U盘，是否允许卸载客户端不接受服务器管理 分发和制作管理 : 限制“分发和制作”安全U盘的主机 孤岛终端管理：支持企业环境内“孤岛”型终端机器加入“U盘无忧”方案，满足安全共享要求 审计及日志：所有经安全TCM认证及加密的操作均进行日志审计记录，并上传到服务器，提供事后审计和监管能力 管理功能 应用功能 联想基于TCM的安全应用(6) Page * Page * 联想基于TCM的安全应用(7) U盘无忧 客户价值 1满足“限制内网机密数据传播范围”的用户需求 用户需求场景描述： 在公司范围中，希望限制机密文件的传播范围 无权限用户不能查看其内容 “U盘无忧”实现方案： 安全U盘所有者可以指定“安全U盘使用人” “在安全U盘使用人”范围内的用户机器可以挂载该U盘，并正常使用 不在“安全U盘使用人”范围内的用户机器，无法挂载改U盘（给出用户提示） 安全U盘所有者可以修改“安全U盘使用人”，更改其使用范围 合法的计算机之间自动进行 密钥和策略的传递 公司内网 安全U盘 Page * 联想基于TCM的安全应用(8) U盘无忧 客户价值2 满足“禁止外来U盘在公司范围内使用”需求 用户需求场景描述： 在公司范围中，希望限制外来U盘不能使用 限制外来U盘数据拷贝/交换，造成泄密 避免外来U盘带来恶意程序或病毒 “U盘无忧”实现方案： 外来U盘不能挂载 非安全U盘插入主机后，给出提示告知用户不能挂载 该功能需要管理员软件设置“客户端策略”为“禁止使用普通U盘” 合法的计算机之间自动进行 密钥和策略的传递 公司内网 安全U盘 非安全USB盘 联想基于TCM的安全应用(9) U盘无忧 客户价值3 满足“低成本、高易用性需求” 用户需求场景描述： 需求：低硬件成本 不希望购买昂贵的专用U盘硬件 需求：低管理成本 实现简单易用的管理，管理员不希望花费过多的管理时间 需求：低学习培训成本 希望“客户端和管理员软件”均容易上手，不用专门的培训和学习 “U盘无忧”实现方案： 基于TCM实现硬件级安全保护，无需专用U盘 将普通U盘格式化成“受TCM保护的安全U盘” 插入该U盘时，必须需要TCM安全验证通过才能挂载使用 TCM验证未通过，禁止挂载 基于CS架构，采用最简便管理员集中管理方案 多人加密功能，需要加入到服务器组才能支持，并接受管理员管理 精简集中管理，将管理员管理工作降到最低，实现最低IT管理成本 支持“孤岛PC”和离线管理设计 软件整体简单易用，符合用户使用习惯，无需专门的学习和培训过程 Page * Page * 硬盘更新 换位置； 维修； 变更用途； 卸载所有硬盘 运送所有包括坏硬盘 安全区域内处理 运送到新位置 重新安全处理使用 硬 盘 无 忧 关闭电源 = 硬盘加锁加密 = 安全 立即更新 = 清除TCM芯片 提供安全的硬盘管理方式，保证数据安全； 降低IT维护成本，减少硬盘插除，增加硬盘寿命； 保护个人隐私。 硬盘数据保护新模式 联想基于TCM的安全应用(10) 硬盘无忧 产品特色 采用基于物理扇区级加密方法，能加密硬盘上任何数据，包括操作系统 非授权用户不仅看不到硬盘上文件内容，而且也看不到保存在磁盘上的任何文件名称。由于硬盘上所有数据均处于加密状态，得到加密硬盘的人无法得到任何信息 只有计算机正常启动后磁盘数据才可被访问，避免攻击者通过引导另一操作系统或者将硬盘转移到另一台已安装操作系统的PC上，以便绕过正常启动