有次给一家科技公司做调研,有个程序员跑过来跟我说他电脑上有一个U盘,里面存了公司好几个项目的源代码。他说这是他平时在不同电脑之间拷贝代码用的,因为公司没有统一的代码版本管理工具。我问他这个U盘丢了怎么办,他说应该不会丢吧,我都随身带着。我又问,那U盘里有没有加密,他说没有。我又问,如果这个U盘感染了病毒,插到公司电脑上会不会影响整个网络,他这才有点后怕了。
U盘、移动硬盘、SD卡这些东西,在中小企业太常见了。从工程师之间传递资料到销售人员跟客户交换文件,几乎每天都在用。但移动存储设备恰恰是保密管理中最容易出问题的一环——它携带方便、容量很大、缺乏加密保护、容易丢失又容易被遗忘。
那么面对这个现实的问题,中小企业的移动存储设备保密管理应该怎么做?我总结成了几点建议。
首要,实行统一配发和登记制度。很多中小企业的员工买U盘都是自己买自己的,今天一个,明天一个,最终谁也搞不清公司到底有多少个U盘在流通。我的建议是,公司统一采购一批U盘,统一编号、统一登记、统一发放。每个U盘上都贴一个标签,标明编号和责任人。员工领用时签字确认,离职时交回。这样最大的好处是,一旦发生泄密事件,至少可以追踪到是哪个人使用的哪个U盘出了问题。有员工可能会说,我自己买的U盘比公司的好用,能不能用自己的。制度上更好统一规定——涉密工作只使用公司配发的U盘,禁止使用个人U盘处理公司涉密文件。
第二,给U盘做加密。这是最简单也是有效的一个措施。目前的U盘很多都提供硬件加密功能,也可以通过软件给U盘分区加密。加密后的U盘即使丢失了,别人插到电脑上看到的也是一堆乱码,没有密码就无法读取里面的内容。如果不给U盘加密,那它跟一张能让任何人都能读取的移动硬盘没太大区别。加密U盘的成本比普通U盘贵不了多少钱,但带来的安全保障等级是天差地别的。
第三,明确涉密文件在移动存储设备上的使用规则。U盘上禁止长期存储涉密文件。如果是为了传递数据,用完即删。如果需要长期备份,应将数据移动到指定存储设备上去,而不是长期放在U盘上。另外还建议对U盘的读写权限进行限定——对于包含核心商业秘密的计算机,可以设置为只允许读取经过批准的U盘,其他U盘插入后不识别或者需要管理员授权。
第四,禁止混用。涉密U盘和普通U盘要严格区分。专门配备的涉密U盘只在涉密计算机上使用,不插到公共计算机、家里的电脑或者网吧的电脑上。反过来,普通U盘也不能插到涉密计算机上使用。之所以要这样严格区分,是因为普通U盘可能从公共环境里带回来病毒或者恶意软件,插入涉密计算机后会对系统带来风险。公共计算机上的安全状况不可控,你的涉密U盘插上去之后,里面的文件就可能被复制走。
第五,建立U盘使用的日志管理能力。中小企业在条件允许的情况下,可以考虑部署或者使用支持日志记录的操作系统功能,记录U盘插拔和文件操作的日志。日志的好处在于——万一有文件通过U盘被带走了,至少可以事后追查什么东西在什么时间被拷贝过。这个功能不一定需要买昂贵的软件,Windows系统的审核策略和事件查看器就可以实现基础的U盘使用日志记录。
第六,制定移动存储设备的丢失或者被盗的应急处置流程。U盘那么小,丢是难免的。但丢了的U盘如果里面是空白的或者加密过的,你只需要担心硬件本体的丢失。如果没加密,那就需要赶紧确认U盘里到底有什么文件、可能造成多大影响,然后评估是否需要通知相关客户或者合作方。流程上建议是:员工发现U盘丢失后,首要时间报告保密管理员。保密管理员判断U盘内文件的安全等级和泄密风险。必要时启动应急响应程序。同时,公司应该注销这个U盘的认证信息,让它无法再接入公司的网络。
我帮一家贸易公司优化U盘管理的经历让我印象挺深刻。他们之前所有的业务资料都用U盘传递,销售从公司拷贝报价表到客户那里演示,回来再把修改后的方案拷回公司。有一回一个销售坐地铁,包里的U盘掉出来了。U盘里面有一个文件夹叫"2026年业务资料",包含公司全年的客户名单和订单统计。还好这个U盘是公司后来统一配发加密的,里面文件也做了加密,后来联系地铁管理处也找到了这个U盘。要是没加密,后果真的不堪设想。从那以后,这家公司也要求所有外勤人员使用加密U盘,并且禁止在U盘上长期存放文件。
移动存储设备虽小,管理好了是大功一件,管理不好是一个随时可能出事的漏洞。中小企业不需要在U盘管理上花很多钱,但需要花心思把制度建立好、把习惯培养好。加密、登记、区分涉密和非涉密,这三件事做到位了,移动存储设备的保密管理就能在很高的水平上运行。
如果您的企业在移动存储设备管理方面需要指导和帮助,北京企密安信息安全技术有限公司可以提供相应的管理制度模板和安全使用培训,帮助企业把好这个容易被忽视的关口。
问:移动硬盘中的机密数据应该怎么做加密?
答:目前有两种主流方式,一是使用移动硬盘自带的硬件加密功能,二是使用加密软件对整个分区或文件进行加密。对于中小企业来说,推荐采用硬件加密移动硬盘,因为使用起来比较方便、不降低读写速度,而且加密强度足够。
问:U盘被严格控制后,员工之间平时怎么快速传递文件?
答:建议使用公司内部的网盘或者共享文件夹来解决日常文件传递问题。需要传文件的双方可以直接在共享文件夹上取放,不需要通过U盘。只有在极少数需要线下对接且没有网络连接的情况下才使用U盘。逐步培养"能走网不走盘"的习惯。
