“软猬甲”终端安全保护系统

　　在信息化程度日益增长的今天，对于一个单位或者机构来说，信息设备中存储的数据无疑是最为重要的资源之一，对于这些数据的保护成为了大家越来越关心的问题。在现实的网络环境中，根据信息存储设备的移动性，数据可以简单分为两大类，一类存储在单位内部的固定设备上，对于此类数据的保护主要通过严格的信息安全管理规范，使用防火墙、防病毒软件、入侵检测等工具，另一类数据存储在“可移动设备”上，随着“移动计算”技术的发展，笔记本、PDA、可移动媒介等“移动设备”成为了日常工作中不可缺少的工具，越来越多的敏感信息存储在这些“移动设备”中。
　　随着敏感信息保护形势日益严峻，我们研制开发了“软猬甲”终端安全保护系统。产品的主要目标就是提供一种更加安全可靠的整盘保护机制，主要通过先进的扇区级（Sector-based）数据转换技术，再结合安全可靠启动前身份认证技术，针对各类用户终端设备，无论是单位内部使用的服务器、台式机，还是移动性很强的笔记本、各类手持设备、USB设备，都可以得到我们产品的完整保护。
　　
　　基本目标
　　用户必须通过高强度的身份认证之后，才能够进入系统、访问数据；未授权用户不能绕过身份认证机制；同时，系统具有透明性和易用性。
　　
　　主要功能特点
　　
　　1. 安全可靠的启动前身份认证机制
　　由于目前常用的用户身份认证机制是依赖于操作系统（例如微软Windows操作系统的用户名/口令机制），但是，由于用户名/口令机制有可能被穷举暴力攻击绕过、或者通过删除某些Windows系统文件而绕过，一旦非授权用户绕过身份认证机制而进行系统之后，就可能窃取敏感的重要数据。
　　所以，我们的目标是结合USB Key设备、采取启动前认证（先于Windows系统的身份认证）的方式，提供一种安全增强登录机制。
　　安全性
　　软猬甲提供使用结合USB Key、用户名、口令的启动前认证机制。要求用户同时知道“用户名、口令、USB Key的PIN码”，而且拥有与用户名相对应的USB Key，才能够进入系统。软猬甲采取的安全增强登录机制，与操作系统无关。即使在操作系统出现漏洞或者存在恶意代码的情况下，仍然正常运行，安全可靠。
　　强壮性
　　考虑非法用户可能使用暴力攻击、多次猜测的方式来企图登录系统。我们设计了“错误等待时间加倍”的机制。即，对于连续多次错误的企图登录，第一次错误后的等待时间是2秒、第二次错误后等待4秒、第三次等待8秒、以此类推。当连续输入错误10次后，就需要等待1024秒（17分钟）；11次错误后，就需要等待34分钟；使得攻击者无法进行暴力攻击。
　　即使将设备关闭电源、重新加电，等待时间仍然不会减少。只有当正确登录后，错误等待时间才又恢复为2秒。
　　可靠性
　　由于身份认证过程中，需要一定的配置管理信息。我们将配置管理信息与普通的硬盘数据进行隔离存储，保证不会被攻击者篡改破坏、从而就绕过我们的安全增强身份认证机制。
　　
　　2.系统运行全阶段保护机制
　　启动前认证机制
　　即Pre-Boot Authentication（PBA）机制，本产品在计算机操作系统启动前就对用户进行了身份验证。用户只有输入了正确的用户名、口令、插入正确的USB Key、输入相应的PIN码后，经过系统认证确认该用户的系统身份认证信息有效，才可以进入系统，启动操作系统。
　　休眠模式下保护
　　在系统休眠后的重新启动，仍然需要用户再次进行高强度的身份认证，从而方便了用户的操作，不会因为休眠的疏忽而导致安全增强登录机制被绕过。
　　
　　3.方便、安全的系统管理
　　便捷的部署
　　我们为个人用户与企业用户提供一站式的安装服务。企业用户可以根据需要为安装文件进行配置，然后将安装文件发布给企业内部的员工。使用的安装文件为MSI格式，方便使用。
　　翔实的事件日志
　　记录并管理BOOT启动前以及启动后的用户进行相关操作的重要事件信息，管理员在管理中心通过网页查看。使得管理者可以方便、及时地获取机器被操作访问的信息。同时，我们对日志管理中心进行严密的保护，要求2个不同管理员登录管理中心网站后，才能浏览日志。确保无关人员不能浏览阅读日志信息。