USB設備防止數據洩漏的三策略

　如今，我們的個人生活和職業生涯都在很大程度上受到了技術的影響。從卡帶機到相框，一切都在朝數字化方向演進。我們隨身攜帶的一些小器件不僅可以幫助大家溝通、拍照、聽音樂或觀看電影，而且也能夠存儲以數字形式存在的大量數據。

　　在傳統的個人電腦和移動存儲設備之間轉移大量信息的能力，意味著在公司不知情或不同意的情況下，把機密數據帶出公司的行為變得越來越容易。有趣的是，犯下此類罪行的人很少是那些待在自己的秘密據點或學生宿捨通過互聯網攻擊系統的技術高超的黑客。反之，數據竊取者往往就在身邊。舉例來說，一些無人陪同的訪客或臨時人員，他們加入某組織，純粹就是為了拷貝數據，並將之交給組織的競爭者;或者，越來越常見的，一些對公司不滿並准備辭職的人員會有拷貝一些可能對他們新工作有幫助的資料的想法;再有，一些本沒有惡意的員工，只是不遵守安全策略，把工作文檔拷貝回家，然後丟失未受保護的存儲設備。

　　你的口袋裡裝著640多箱資料

　　在Windows 1.0盛行的日子裡，蓋茨說過一句非常有名的話：沒有人需要超過640 KB的RAM用於他們的個人電腦。但在今天，你可以買一個16GB大小的USB存儲棒掛在鑰匙環上。我們假設500頁打印紙裝滿一個箱子，粗略的估計每頁紙的內容需10KB空間來存儲，於是我們就可以得到蓋茨名言的一個有趣的現代版本：現在你可以把640多箱資料和鑰匙一起放在口袋裡隨身攜帶出入辦公室。這使得你有足夠的存儲空間帶走銷售數據庫或下一個產品的源代碼。至於能否攜帶更多的資料就只有讓時間來說明了。

　　如今，電腦上沒有任何防范措施的USB接口或許是企業IT安全的最大威脅。上面提到的U盤、MP3播放器、智能手機、PDA等都是數據竊賊的基本工具。這些工具不僅是可以存儲數萬兆字節數據的設備，還可以通過USB電纜迅速地連接任何PC，卻並不需要安裝任何驅動軟件――因此，數據小偷也就不必以管理員的權限登錄。在通常情況下，簡單的拖拖拽拽，只需幾秒鐘，就可以將數據竊取。雖然盜竊數量龐大的數據超出了ipod或PDA的能力范圍，但是僅需不到200美元就可以買到存儲空間為500G字節的外置USB驅動器。

　　USB不是竊取電子資料的唯一途徑

　　當然，USB設備不是徑竊取電子資料的唯一途徑。當今，大多數手機包含相機功能，可以快速地對打印材料做電子備份。袖珍的OCR棒和便攜式掃描器為偶然發現機密打印文檔機會主義的數據盜竊者提供了類似的功能。數據竊賊也可以只是簡單地影印文檔，並將之放入信箱。然而，由於時間限制，用這些方法來竊取大量數據都是不現實的。所以控制USB裝置的使用尤為重要。

　　因為對公司不滿的老職工是眾多數據盜竊中的主要組成部分，所以需要在數據保護計劃中考慮到前雇員的行為。你是在雇員離開公司或更換部門的同時就刪除了相關的用戶賬號和密碼麼?因疏忽而忘記刪除這些資料是非常危險的。

三個特別有效的防止數據洩漏的策略

　　為減少公司中數據洩漏的問題，下面提出三個特別有效的策略，以確保：

　　1、你有清晰的政策明確規定了誰可以把數據帶出場外。並且遠離你的數據必須受到保護;

　　2、數據不會在不知情的狀況下被帶出辦公大樓;

　　3、任何需要帶出辦公樓的數據都要受到保護，以使之不會落入壞人之手。

　　在服務器、工作站上建立用戶賬號

　　首先，要控制好離開公司的數據文件，在服務器和工作站上設置用戶賬戶，使得不需要看到文件的員工無法獲取文件信息。比如說，市場的銷售人員也許並不需要訪問產品開發文件服務器，所以可據此設置訪問權限。然而，如果過度地使用法規，工人就會明顯感到自己得不到信任，從而導致士氣低落。要提防自己被視為獨裁者，否則不僅不會把數據盜竊者驅趕走，反而會堅定他們的決心。

　　在端口控制產品方面投資

　　第二，在端口控制產品方面的投資是值得的。因為相關產品可以自動阻攔那些未經授權就連接系統的USB設備。此類產品種類繁多，如Check Point Software公司開發的的Pointsec Protector等。這類產品含有透明加密技術(transparent encryption)，所以可以自動地致使拷貝到USB設備的資料無法被小偷訪問。雖然通常的想法是要確保機密文檔不被帶離公司，但是事實並非如此。有時候，允許員工把文檔帶離是必要和有益的。銷售人員需要在遠離辦公室的時候掌握產品信息，營銷人員往往需要准備外部會議和研討會所要交付的Powerpoint演示文稿。如果特別繁忙，員工們可能需要周末在家繼續工作。阻止他們這樣做會使得那些對公司有益的努力付諸東流。