談談U盤帶來的安全問題及解決辦法

談談U盤帶來的安全問題及解決辦法 在工作中，在公司裡，特別是上班一族經常都會用到U盤存儲個人資料，在不同的電腦之間插來插去，然而就是因為這個小小的U盤卻讓網管傷透了腦筋，公司裡的電腦為什麼老是感染病毒屢殺不掉，其實很多時候U盤就是這個傳播病毒的元凶。   （相關文章閱讀：u盤寫保護怎麼去掉）   U盤的問題在哪裡 像以前軟盤是傳播病毒的良好媒介一樣，現在的U盤扮演了同樣的角色。U盤上Autorun 病毒竟然連殺毒軟件也殺不干淨。然而U盤不是每個人都用，手機卻是人手一個。手機用數據 線連接電腦，與U盤等同，在病毒傳播方面危害尤甚。已經發現過幾例病毒感染事件，都與手 機連接電腦交換文件有關。 對於U盤的管理方案有多種，都不怎麼完善。很快就有軟件公司開發出大大小小的解決方 案來對付U盤，可謂大動干戈。 對於單機上的USB接口的管理，可以使用幾種方法： 一種是BIOS設置，在BIOS裡面禁 止對USB設備的支持，這樣就禁止了U盤；然後設置一個BIOS密碼，以保護這項針對性的 BIOS設置。但這個方案的漏洞是BIOS密碼，是可以被***的，不徹底，也不靈活。 第二種方法是應用注冊表。這個解決辦法可以同樣使用批處理程序。網上已經有高手寫出 了開啟U盤和禁止U盤功能的批處理，代碼如下。 關閉U盤使用：   開啟U盤使用： 將以上兩段代碼保存為兩個BAT文檔，放進C:\Windows\system32目錄下，比如DisableUSB.bat 和EnableUSB.bat，需要時直接運行命令即可；配合開機啟動可實現對工作站U盤設備的禁用。 第三種方法是使用現成的程序。由於U盤問題已經很普遍，所以早已有人出來編程解決問 題了。可用的軟件不少，多是收費的。這類軟件使用的一個危險是其進程本身如果被“干”掉， U盤仍能照用不誤，所以需配合其他管理手段。 終極解決方案也有，但是體系龐大，還是客戶機／服務器體系的，價格不菲。老板不在意這 筆投入的話，網管自然樂享其成。     U盤該如何管理 對於U盤管理，看到一篇有見地的好文章，摘錄如下： 隨著U盤等移動存儲設備的流行，這些設備如何管理才能既方便使用，又兼顧安全呢？ 某類軟件只是對USB接口的讀／寫進行控制，這限制了別人，也約束了自己。有些軟件 能對U盤進行標識以方便內部使用，但是對於盤內信息的保密卻做不到位，僅是使用一些所 謂的高強度算法對盤內數據進行加密。有些軟件通過對盤內存儲空間進行處理，隱藏一部分 分區，使這部分分區在平時使用的時候是看不到的，只有使用特定的方式才能看到。但是由 於沒有對U盤進行內部標識，不利於公司內部流通。 個人認為，一款好的移動存儲設備管理軟件應具備的特征包括： (1)U盤電子標簽。對於一個企業而言，內部使用的U盤數量可能是巨大的，且分散於 多人之手，對這些U盤進行統一管理常常不太現實。因此，必然要對U盤進行注冊，使內網 終端能夠識別這些“自家U盤”，從而給予“特別寬待”。針對這一點，目前的許多軟件本身 就不適合企業應用場景。 (2)控制功能強大、靈活方便。從最簡單的方面講，U盤控制的基本要求是對U盤的禁 用，目前大部分管控軟件都做到了這一點，技術路徑也不相同。例如，禁用設備端口、文件 驅動、磁盎驅動等。但是，仔細想想，這樣的控制也不全面。首先是控制力度的問題，除了 禁用設備外，還應該進行數據流向控制，也就是實現所謂的只讀控制；除此之外，為了保證 數據的安全，對U盤流進流出數據進行透明加解密也是需要支持的一個功能。 (3)使用范圍控制。做到了前面兩點是否足夠了呢？個人認為，還是不夠。U盤使用造 成數據流失的一個重要的原因是U盤隨意使用，這包括企業內部任何人都可以使用某個U盤， 以及任意U盤都可以在所有機器上使用。如果不對U盤的使用范圍進行控制，也難以進行有 效管理。因此，U盤的使用應該跟終端和用戶相捆綁。 (4)生命周期管理。至少需要支持U盤的掛失功能。 (5)內網加密格式。這是目前比較高端的U盤管理軟件具備的功能，主要指企業內網中 使用的U盤具備特殊格式，在外網無法使用。采用加密格式後，內網U盤的使用不受任何影 響，而且即使U盤丟失，裡面的數據也不會丟失。 總之，一個好的U盤管理軟件除了具備權限控制以外，還應該跟用戶捆綁，跟終端捆綁， 做到身份認證；應該具有U盤生命周期管理功能，包括注冊、掛失和銷毀等；應該支持內網 加密格式，保證數據安全；應該支持靈活的策略配置，降低管理復雜度。 如果以這些標准來衡量，目前國內市場上合格的產品恐怕就沒有那麼多了。所推薦的是 “NiordSec可信移動磁盤管理工具”，比較符合上述要求。其他的還包括中安網脈、明朝萬達 等內網安全廠商的產品，也可以了解一下。  

 

談談U盤帶來的安全問題及解決辦法.