“蓝盾安全透明移动存储管理系统”单机版是将终端软件与移动存储介质固件在一起，通过密码验证和防护机制实现对专用移动存储介质访问的安全控制。本系统的移动存储介质采用USB2.0接口(兼容USB1.1接口)，采用专用单片机作为主控芯片，通过使用USB协议与主机进行数据交互，采用高强度加解密算法和TTDS算法实现了数据加解密，采用一卡一密式的算法保证了移动存储介质的身份唯一性和数据存储的安全性，使用A级FLASH芯片作为存储器，保证本介质存储数据的持久性和可靠性，对存储器划分为程序区(只读)、公共区、私有区和日志区，增加系统使用的灵活性；本系统的终端软件实现系统的登陆认证、主机绑定认证、系统操作审计和文件操作审计，从而实现系统的可控性和可审计性，终端软件通过使用虚拟磁盘技术，使各存储区对用户操作同普通盘符一样，从而实现本系统的透明性；本系统的管理中心实现了移动存储介质的注册、授权、审计和销毁，从而有效地保证了移动存储介质在其整个生命周期中的可控性、安全性和可审计性。

1、数据保护

        安全U盘采用了三层防护措施，对专用移动存储介质上的数据提供保护：

        ① 安全容器技术。所谓安全容器，是指本系统的专用移动存储介质自身是一个封闭的系统，操作系统并不拥有该存储介质的访问通道。专用移动存储介质与终端主机环境逻辑上隔离，从而彻底切断存储设备与终端主机的非法交换渠道，对它的访问只能通过终端软件认证通过后才能进行。另外存储在容器上的数据经过了高密度加密算法加密后才存储，增强了数据的安全性。

        ② TTDS技术。当数据写入磁盘之前，自动将数据进行变形和移位，然后才将其存储到扇区中。这一安全措施可有效将存储数据进行变换并散乱存储在扇区中，增加了数据存储的安全性。

        ③ 强制加密技术。硬件层数据存储由安全控制模块实现数据自动加解密，软件层与硬件层数据传输由驱动层数据防护模块和硬件层安全控制模块实现数据传输的加解密，从而保证了数据传输的安全和数据存储的安全。

2、访问控制

        本系统专用移动存储介质划分为公共区和私有区两个用来存放文件数据的分区，两种分区分别对应放置共享文件和防护类文件。对于公共区的访问，用户可以在启动终端软件后如同普通U盘一样操作，也可以为公共区设置访问密码；对于私有区用户必须输入口令认证方可访问。

3、主机绑定

        本系统可以定制安全U盘的使用策略，将允许使用该安全U盘的终端主机的身份列表存储在安全U盘的配置参数中，一旦启用主机绑定功能，则不在策略列表中的主机将无法使用该安全U盘，从而实现安全U盘与终端主机身份的绑定。

4、自我保护

        为了加强U盘使用的安全性，有效防范用户的违规操作行为，蓝盾安全U盘提供了完善的自我保护措施，包括如下措施：

        ① 口令破解限制。系统登陆认证时输入口令的错误次数达到设定值时（默认为20次），U盘将自动锁定。

        ② 使用次数限制。当安全U盘使用次数达到设定使用次数时， U盘将自动锁定。

        ③ 使用期限限制。当使用U盘的当前时间不在规定的使用期限以内，则U盘将自动锁定。 U盘自动锁定后，需要到管理中心由管理员进行解锁后方可重新使用。

5、日志审计

        蓝盾安全U盘在使用过程自动记录系统操作日志和文件操作日志，日志数据加密后存储在存储器的日志区，管理中心可以将U盘日志数据导入到数据库中供审计分析，以便在安全事件发生后查找相关的责任人。存储器的日志区无法格式化从而保证了日志区的安全性。