三方面保证移动存储设备监管措施到位

　　当一个移动存储设备的使用策略制定好以后，我们并不会知道它到底适不适合企业的实际需求，也不知道它真正的管理效果，这些都要等到在企业中实施它以后才能了解到。因此，接下来的工作，就是立即在企业中实施我们制定的移动存储设备使用策略。

　　移动存储设备使用策略的具体实施，必需在企业中从上至下全面严格地执行，完成保护移动存储设备安全使用的技术、管理和物理控制措施。

　　1、保证移动存储设备使用安全的技术措施

　　对移动存储设备的使用进行技术控制，主要方法包括应用数据加密和访问控制，以及对设备和各类端口的使用进行控制和审计等。要高效率地完成这些技术控制措施，通常都是通过使用终端安全管理软件来完成。

　　在选择需要使用的移动存储设备管理软件时，应当根据企业的实际需求情况做出正确的选择。例如，如果企业有一定的经济实力，对于商业软件的价格不敏感，而且对移动存储设备的安全防范要求较高时，选择的软件最好是商业软件，拥有的功能越全越好，最好可以同时在计算机终端和网络中运行。这样，只选择一种软件就可以满足所有的技术控制要求，而且能为企业节省购买另一种软件的成本。

　　就目前来说，市面上已经存在许多种可以用来监管移动存储设备使用的软件。它们之中有些是一些监管对象比较广泛的终端安全类软件，而一些比较专一的，主要针对移动存储设备使用安全的软件，比较有名的就数DeviceLock和GFI EndPointSecurity这两者了。

　　下面，我将只以DeviceLock软件为例，来说明在企业中如何实施相应的保护移动存储设备安全使用的技术措施。另外，大家可以去http://www.gfi.com/downloads网站下载GFI EndPointSecurity试用版和安装使用说明手册。

　　DeviceLock是一款功能强大的移动终端设备管理软件，它具有计算机终端端口(如USB、COM、LPT、红外等端口)的管理和审计功能，以及对诸多的设备类型(如任何移动存储设备、CD-ROM/DVD、磁带设备、WIFI适配器、蓝牙适配器、Windows Mobile、打印机等)进行控制的功能，同时还集成Truecrypt、PGP Whole Disk Encyption和Lexar SAFE PSD的数据加密功能。

　　DeviceLock可以在Windows 2000\XP\Vista及Windows server2003\2008中使用，支持32bit和64bit的计算机硬件平台。它现在的最新稳定版为6.4，我们可以从www.devicelock.com网站上下载它，整个压缩包大小为39MB左右。

　　DeviceLock一共可分为三个部份：DeviceLock Service安装在终端上，用来对终端上的移动存储设备进行管理和控制。DeviceLock Enterprise Server用来收集指定终端中产生的日志文件，并以MS SQL数据库的方式保存。第三部份就是DeviceLock管理控制台，它可分为三种管理方式：DeviceLock Management Console、DeviceLock Enterprise Manager和DeviceLock Group Policy Manager。

　　安装时，将下载的DeviceLock压缩包解压后，直接运行解压目录中的Setup.exe文件，就可以开始DeviceLock的安装过程。在安装过程中，DeviceLock的安装程序会提示我们选择安装它的方式，共有Service+Consoles、Server+Consoles及Custom三种安装方式。如图1所示。

　　图1 DeviceLock安装方式选择界面

　　当我们在客户机上安装DeviceLock时，可以按Custom方式只安装DeviceLock Service。如果要对终端产生的日志进行集中管理，就可以在企业网络中的一台安装有MS SQL的服务器上按Server+Consoles方式，安装它的DeviceLock Enterprise Server。然后再在机构网络中另一台服务器上安装它的某种管理控制台，并选择以DeviceLock Group Policy Manager的方式进行安全，将它集成到Windows的组策略当中。

　　完成安装方式的选择后，在后续的安装过程中，还会提示我们是否制作认证证书的选择界面。在此界面中选择“是”后，就会出现如图2所示的产生证书界面。

　　图2 DeviceLock证书产生界面

　　如果是以DeviceLock Service的方式安装DeviceLock，当必要的文件复制完成后，就会出现一个选择管理控制设备，以及设置安全选项的界面，如图3所示。

　　图3 DeviceLock选择管理控制设备及设置安全选项界面

　　在上述所示界面中做出必要的选择后按“ok”按钮，再按提示完成后续所有的安装工作，DeviceLock就可以按我们指定的方式，安装到系统中的相应位置。如果我们在安装时选择与Windows组策略集成的方式，那么，当安装完成后，打开系统组策略控制台，就可以见到如图3.4所示的界面。

　　图4 DeviceLock与Windows组策略集成界面

　　当重新启动系统后，DeviceLock就会自动运行，然后接管系统对所有在这台计算机上使用的移动存储设备进行管理和控制。如果我们以网络集中方式对DeviceLock进行部署，那么，我们还可以在DeviceLock的中心管理控制台上，对在其监管下的所有DeviceLock客户端上的移动存储设备的使用情况进行日志查询和审计。

　　保证移动存储设备使用安全的管理措施也就是指企业中的管理者和员工，在获取、分发、使用和销毁移动存储设备的过程中，应当遵从的方法。

　　对于企业的管理者来说，他在保证移动存储设备使用安全的过程中，应当承担下列所示的责任：

　　(1)、决定企业中是否需要使用移动存储设备。

　　(2)、为企业内部员工提供物理访问控制的设备。

　　(3)、确保所有已经退出使用的移动存储设备已经得到妥当的保管，并且确定其中的数据不可能被恢复。

　　(4)、指定某个人员来监督移动存储设备使用策略的执行，分析工具软件产生的日志，跟踪保存有机密数据的移动存储设备的使用和去向。

　　(5)、接受监督人员上报的报告，对突发事件做出果断的决策。

　　(6)、对雇员进行培训，确保雇员能够正确地按要求使用移动存储设备。

　　(7)、最后的一条是管理者应当以身作责，自己也应当严格遵守制定的移动存储设备使用策略，这样才能确保使用策略能够在企业内部由上而下全面执行。

　　对于企业内部员工来说，在企业中使用移动存储设备的过程当中，应当明白自己应当遵从下列所示的使用方法：

　　(1)、尽量不将企业财务等机密信息保存到移动存储设备当中，同时减少在移动存储设备上机密数据的保存数量。

　　(2)、如果仅仅只是使用移动存储设备来复制数据，尽量选择其它更加安全的方法。

　　(3)、一定要确保保存在移动存储设备中的机密数据都已经加密，并核查确认。

　　(4)、自己使用的移动存储设备要小心保管，防止被盗和丢失，尤其是在公共场合使用时要特别注意保管。

　　(5)、确保自己不在企业中使用属于私人的移动存储设备。

　　(6)、如果自己使用的移动存储设备丢失或被盗，应当及时按规定上报，以便企业能采取相应的补救措施。

　　另外，还要明确当员工或管理者自己在使用移动存储设备过程中，造成企业机密数据泄漏后，应当承担的法律和经济责任。只有这样，才能让企业的全体员工由于惧怕事后承担相庆的法律和经济责任，而不敢不遵守企业的移动存储设备安全使用策略。

　　管理控制措施是整个移动存储设备安全使用管理过程中最重要的环节，毕竟所有的工作都是由人来执行的，因此，一定要确保上述所示的管理控制措施能够在企业中全面执行。

　　在上面，我们做的都是一些文档和软件方面的技术类工作，而要保证移动存储设备的安全使用，对其整个使用过程中进行物理控制是另一种必不可少的控制措施。

　　通常，说到安全防范过程中的物理控制，主要都是按下列所示的这些方法来进行的：

　　(1)、将企业中所有的移动存储设备，放到同一个位置进行保管，并在保管的位置安装必要的视频监控或红外报警等安全装置，并安排保安人员值守。

　　(2)、对存放移动存储设备的位置，安装物理访问控制设备，例如指纹锁。

　　(3)、要求值守的保安人员，仔细记录领取移动存储设备的人员信息，以及领取和归还时间。

　　(4)、要求保安人员，在每天下班之前，一定要仔细比对已经归档的移动存储设备与记录是否相符。

　　(5)、如果移动存储设备要带出企业以外，保安人员一定要详细记录使用人、离开和归还时间等信息。

　　保安人员作为物理控制过程中最主要的执行人，不仅要求他们有高度的责任感，而且，还应当担负部分监督移动存储设备使用的任务。当发现某个雇员不按要求领取移动存储设备，或不在指定的区域内使用，以及不按期归还时，应当立即制止，并上报给企业管理者。另外，保安人员本身的素质也需要得到肯定，防止相互勾结事件的发生。

　　当保证移动存储设备安全使用的技术措施、管理措施和物理措施都实施完成后，并不代表对移动存储设备的全面安全监管工作就已经全部完成。与其它计算机安全防范过程一样，对企业中移动存储设备的全面监管也是一个持续不断地的长期过程。因此，当针对企业中移动存储设备安全使用的安全防范措施都实施完成后，还必需指定相关的人员来执行相应的后期维护工作。

　　后期维护工作包括分析安全工具软件产生的日志文件，并按某个时段进行总结报告，以便企业能够不断了解移动存储设备的使用情况，并对发现的安全事件做出及时正确的反应。至于对工具软件的日志进行分析的频率，可以事先明确规定，也可根据实际情况临时决定。通常，当发现有不正当的移动存储设备使用行为时，应当实时分析监控日志。另外，还包括对日志文件进行备份，尤其是当日志文件将作为法律诉讼的证据时，就更应当妥善保存了。最好的方式是将这些日志文件单独保存到一个安全的存储设备当中。

　　总之，如果企业目前还不能完全杜绝移动存储设备在企业内部的使用，那么，为了减少移动存储设备在使用过中给企业带来的安全风险，在没有更好的安全控制技术出现之前，最好的方式，就是按本文给出的方式，对它们进行从头到脚的全面监管。