企业USB和移动存储设备管理
企业USB和移动存储设备管理——外部介质的风险管控
USB闪存盘、移动硬盘、SD卡、外置光驱——这些看似普通的移动存储设备,在企业保密管理中被称为"最危险的传输工具"。一方面,它们是员工日常工作中数据传输的重要载体,一个技术员可能每天需要从移动硬盘中加载设计图纸,一个财务人员可能用U盘将报表带到打印店。另一方面,正是这种便捷性使其成为病毒传播和数据泄露的高危媒介。企业在建设保密管理体系时,必须将移动存储设备的管理作为一项重点内容纳入制度框架。
移动存储设备的风险主要来源于三个层面。第一个层面是病毒传播风险,这是最常见也最直接的风险。当员工将在外部环境中使用的U盘插入公司电脑时,U盘中隐藏的木马病毒可能立即侵入内部网络,进而感染整个系统。近年来勒索病毒的主要传播途径之一就是移动存储设备。第二个层面是数据泄露风险,员工可以轻易地将公司文件复制到U盘上带离公司,这种泄密行为几乎不需要技术门槛。第三个层面是设备丢失风险,一枚装着几十份项目文件的U盘丢失后,找到的可能性极低,但其承载的商业秘密价值可能达到数百万元。
针对移动存储设备的风险管控,最有效的手段是企业从制度上对USB接口的使用进行分区分级管理。企业应当根据业务需要和安全等级,将所有工作电脑的USB接口划分为不同的管控级别。普通办公用电脑可以允许使用经过公司认证的安全U盘,但禁止使用个人U盘。处理核心商业秘密的专用电脑,应当通过组策略或终端管理软件禁用USB存储接口,必要时对USB接口进行物理封堵。对于确实需要通过USB传输数据的场景,应当使用经过加密的企业专用U盘。
企业专用加密U盘是目前兼顾安全与效率的主流解决方案。这类U盘内置硬件加密芯片,每次插入电脑时需要输入PIN码才能访问其中的数据。如果连续输入错误密码,U盘会自动锁定并销毁数据。加密U盘的所有数据在存储时经过硬件级AES加密,即使U盘丢失,拿到U盘的人也无法破解其中的内容。企业应当批量采购加密U盘,按照统一编号登记发放到有需要的员工手中,并建立U盘申领和回收的台账记录。
在移动存储设备的日常管理中,企业需要建立几个关键制度。第一个是登记制度,所有公司配发的移动存储设备必须在IT部门登记备案,包括设备品牌、型号、序列号、加密状态、领用人和领用时间。第二个是借用制度,移动存储设备不得私自转借他人,特殊情况需要借用的必须经过审批并在台账中记录。第三个是归还制度,员工离职或岗位调整时,必须归还所有领用的移动存储设备。第四个是销毁制度,损坏或淘汰的移动存储设备必须通过物理粉碎或消磁方式彻底销毁,不得随意丢弃。
技术管控手段也是不可或缺的。企业应当部署终端安全管理软件,对所有工作电脑的USB端口进行统一策略管控。终端安全软件可以实现以下功能:只允许经过注册的加密U盘在公司电脑上使用,非注册的个人U盘插入后自动识别并拒绝访问;对所有USB设备的读写操作进行审计记录,生成详细的存取日志;对U盘中的文件操作进行监测,敏感文件从公司电脑复制到U盘时触发告警;对于核心机要部门的电脑,可以直接禁用所有USB存储接口,或者设置为只读模式。
除了USB存储设备外,企业对其他类型的外部介质也需要进行管控。光盘刻录机在涉密单位中应当严格限制,刻录行为需要经过审批并在监控下进行。外置硬盘和SD卡等大容量存储设备,原则上禁止在公司内部使用。蓝牙和Wi-Fi等无线传输方式也存在数据泄露风险,企业应当在电脑上禁用蓝牙文件传输功能,并通过网络策略限制大文件通过无线网络对外传输。
在具体执行层面,企业可以通过几个简单的操作来验证移动存储设备管理的有效性。定期进行USB设备突击检查,随机抽查员工的电脑,检查是否存在私自使用的个人存储设备。通过终端安全管理软件的审计日志,分析U盘的使用频率和文件复制数量,超出正常范围的使用行为应当进行核查。定期检查U盘台账,核对登记记录与实物是否一一对应。这些检查工作应当形成例行化的检查机制,及时发现和纠正管理上的漏洞。
最后需要强调的是,移动存储设备管理不能一刀切。完全禁止使用U盘会影响正常的工作效率,彻底放开又会带来巨大的安全风险。企业应当根据自身业务特点和安全等级,制定差异化的管理策略,在安全与效率之间找到平衡点。
北京企密安信息安全技术有限公司
/010-87562232
邮箱:px@baomiwang.com
公众号:Qi-Mi-An
