便携式存储设备带来安全梦魇

这是因为任何一位员工都可以将这种便携式的USB存储设备插到电脑中并用它来窃取邮件列表、数据库、财务记录和机密用户数据等企业机密数据信息。

当然你并不需要一个iPod来窃取数据：4GB的内存卡既便宜而且随处可以买得到，最近Buffalo发布的LinkStation Mini提供了TB级的存储容量，而外形只有手掌那么大。

锁定USB端口

不少厂商希望通过外围设备控制可以锁定USB或者其他端口的产品的方法来解决这个问题，其中大多数的设备都可以与在服务器上运行的架构项目或者在终端用户设备上运行的代理相互兼容。几年前，这些解决方案还处于起步阶段，但是现在已经发展到相当精密的水平，他们可以与活动目录（Active Directory）相连接，按照组策略来允许或者拒绝用户对端口的访问。另外他们还可以严格控制用户所使用的存储设备，例如iPod不能被用户转移数据，但是具备某些加密功能的USB设备就可以。

Lumension Security解决方案和策略主管Don Leatham表示，这种软件的引入可能会对那些日常工作需要访问USB端口的工作人员来说造成一些麻烦。他说：“为了解决这个问题，我们提供了一个可以避过监控通道的功能。你可以制定一个规则，在设备上创建一个代理，然后打开监控模式来查看如果执行这个策略会对你的工作产生多大的影响。你可以看到哪些类型的数据流出你的系统，以及什么病毒软件之类的正在传进系统。”

一旦深入掌握了某个安全策略应用，管理者就可以更好地作出变更决定，例如为那些需要使用USB存储设备的个人提供具备加密功能的设备，或者为那些真正需要这些策略的用户创建更高权限组。

《萨班斯法案》、《格雷姆-里奇-比利雷法》和《健康保险便利及责任性法案》的规定意味着企业公司不仅仅需要对用户的数据进行保护，而且还需要为审核流程提供数据何时转移的法规遵从证据。像Sanctuary这样的产品就通过日志记录USB、CD或者DVD驱动器等设备转移转移的时间来提供相关的法规遵从证据，转移数据的完整副本以及负责人信息都可以存储到这种日志中。

South Western Federal Credit Union银行的信息系统副总裁Miriam Neal表示，正是数据安全的基本需求促使他们采用了Sanctuary产品。她说：“我们意识到可能会有潜在的安全问题，当另外一家金融机构发现硬盘被盗之后，我们开始考虑我们目前拥有多少台PC没有被锁定。我们发现，随便哪个人都可以轻易地用一个高容量USB设备盗取我们的数据信息。”

Neal在大约80台PC和服务器上安装了Sanctuary，其中包括8台不易被监控的远程PC机。Neal表示：“我们希望锁定所有员工的PC机，但同时允许管理员可以使用USB驱动器或者CD驱动器来安装软件，当然，CEO可以无限制访问。所有这些都可以通过使用活动目录轻松实现。”

采用这种安全策略的成本大约为每个桌面60美元，如果大批量使用的话还会有一定的优惠。Neal认为从财务方面来考虑这种安全策略有很大意义。她说：“如果私人信息发生泄露的话会有多大的损失？现在我们有17000名用户，所以如果发生数据丢失的话我们将损失巨大，至少我们要通知用户并且为他们的信用记录支付大笔资金。”

Meriwest Credit Unionde的Windows管理员Tom Doan表示，对他们来说控制数据泄露也是一个潜在难题，目前他们拥有多达20家远程站点。Doan说：“任何一位用户都有可能将数据转移从其中一个站点转移到他们的USB设备上，而我们却可能对此全然不知。作为一家信用机构，为了在IT方面做到严格管理，我们不得不对USB设备或者DVD驱动器等做严格监控，因此我们必须执行某种安全策略。”

Doan选择了英国公司Centennial Software的产品DeviceWall，这款产品与Sanctuary有些类似。他说：“我们有300台XP计算机，现在我们可以精确地检测出谁将什么数据带出了公司。我们设有一个法规遵从小组，如果任何一名员工需要对除了他们C盘之外的资源进行访问的话，他就必须向这个小组递交申请。如果小组通过了这个申请，我们马上就会为这个访问路径架构相关软件。”

显然，任何一名被允许在USB设备上存储数据的员工都有丢失设备的可能，这也是为什么许多机构要求数据必须进行加密的原因。未来，带有控制软件的设备只允许使用经过加密的USB设备，而其他的USB设备将会被系统拒绝访问。

开源选择

通过安装一种名为TrueCrypt的开源软件，任何一个USB驱动器都可以成为安全存储设备。这款软件在驱动器上创建了一个加密卷，别人只有输入密码才可以访问这个驱动器。采用了这种加密卷的驱动程序可以安装在任何一个未经加密的驱动器上，使之真正实现便携易用。

TrueCrypt卷的一个缺点就是如果密码很容易被猜出来的话，那么加密卷上的内容就可以被盗取。更重要的是，TrueCrypt并没有提供密钥找回机制，那么如果员工忘记密码的话丢失数据的可能性就大大增加了（设想他们没有将密码写入设备中，无法完全达到加密的目的）。像这种问题也是密钥管理成为企业级市场一大增长点的原因。

另外一家名为IronKey也涉足USB安全领域，这家公司推出了一款基于具有硬件加密功能的IronKey USB驱动器的企业级系统。管理者可以使用特殊的管理者IronKey密钥来那些使用公共密钥的员工终端驱动器。然后终端用户可以将IronKey上的加密内容备份到硬盘驱动器上，如果他们忘记密码，只要IronKey还在他们就可以找回密码。另外，如果用户在限定次数范围内（通常设定为10次）输入错误密码的话，IronKey就会启动电路自毁程序。这样即使IronKey丢失，别人盗取密码的几率也大大降低了。

毫无疑问，像iPod这样的便携式存储设备给大多数企业机构都带来了不小的安全风险，如果无法消除这种风险就可能让很多企业陷入法规诉讼的困境中。当许多可以解决这个问题的产品推出之后仍有CIO忽视这个风险的话，我们只能说他非常“有勇气”。