DoSTOR专家观点 USB设备是存储管理员安全恶梦

DoSTOR专家观点:苹果公司去年九月推出的的经典型160GB iPod深受音乐及影视爱好者的喜爱,但是对于IT部门,却不啻于一场安全性的灾难。这是因为任何员工都可以把这个口袋就能装下的USB存储设备插到他们的计算机上,并且用它来窃取大量的公司信息,包括邮件列表、数据库、财务记录以及机密的客户数据。

当然,你不需要用一个iPod来窃取数据:4GB的U盘到处都是,而且还很便宜,或者,对于那些有意窃取大量数据的员工来说,类似于Buffalo最近推出的LinkStation Mini这样的设备也可以存储TB级的数据,而且其大小也适合握在手里。

锁闭USB端口

一些厂商已经开始寻找解决这个问题的方案,他们利用一些边缘设备控制产品来锁定USB端口和其他端口。大部分解决方案是在服务器上运行一个设置程序和在终端用户机器上运行代理。几年前,这些解决方案还相对比较原始,但是现在它们已经比较复杂了,它们可以和Active Directory(活动目录)相连接,并根据用户组的策略来决定是否允许用户访问端口。它们还可以限制用户对特定存储设备的使用权限,以便实现控制,例如,iPod不能用于移动数据,但是具有恰当加密方式的U盘则可以移动数据。

Lumension Security是一家位于亚利桑那州Scottsdale,专门销售一种名叫Sanctuary Device Control的产品的厂商。该公司的解决方案及战略总监Don Leatham认为,如果员工经常需要访问USB端口来进行他们的工作,那么引入这种类型的软件有可能会给他们的工作带来一定的妨碍。

"为了解决这个问题,我们提供了一个监视模式",他说,"你可以建立一个策略,在你的机器上运行代理,如果你实施该策略,那么你可以开启监视模式来监视该策略是否会妨碍你的工作。你还可以监视哪些数据流出你的系统–以及哪些软件进来到你的系统,比如Malware(病毒、木马等)。

一旦管理员理解了所施行的安全策略的各种相互关系,那么管理员就可以好整以暇地进行各种变动,例如给一些需要使用USB存储的个人提供能够加密的设备,或者为那些确实有需要的人创建新的具有更多权限的用户组。

规制要求,例如萨班斯-奥克斯利法案、金融服务现代法、健康保险便利及责任法(HIPAA)等的规定,意味着公司不仅需要能够保护客户数据,而且,无论数据何时被移动,为了能够提供合规证明,公司都需要提供审计跟踪记录。诸如Sanctuary这样的产品能够提供这种功能,当用户以U盘、软盘或CD/DVD的形式移动(或试图被移动)数据时,这些产品能够建立日志。日志中将会记录下完整的被移动数据的副本,以及相关责任人的注释。

根据西南联邦信用社副总裁Miriam Neal的说法,对基本数据安全的需求是促使该银行安装Santuary的主要原因。"我们注意到银行有潜在的安全性问题,而且当时还有另一家金融机构被盗走了一个硬盘,我们开始思考我们还没有锁定的这么多的个人电脑是否也有这种风险",她说,"我们意识到一些人可以通过大容量U盘轻易地盗走大量数据"。

Neal在大约80台个人电脑和服务器上安装了Sanctuary,包括一个分支办公室的8台可能难于监控的个人电脑。"我们想要锁定所有员工的所有个人电脑",Neal说,"但是我们又想让我们的管理员能够用U盘或CD驱动器来进行软件安装工作,因此,首席执行官就需要不受限制的访问权力。通过使用Active Directory,这很容易做到。"

实施这种类型的安全方案的成本是大约每个桌面60美元,但是Leatham说,大量部署能够获得折扣。Neal相信它在成本上是值得的。"如果个人信息被侵犯,我们要付出多少成本?"她问道,"我们有17000个成员,因此如果我们丢失数据的话,我们将付出很高的成本。至少,我们将需要通知所有的成员并进行信用记录检查"。

Meriwest信用社的Windows管理员Tom Doan说,如何控制数据泄漏同时也是该机构的潜在问题之一,这家机构的电脑分布在20个远程站点。

"我们可能有用户已经将数据从这些站点拖动到他们的U盘,而我们无法掌握情况",Doan说,"作为一家信用社,为了遵守IT方面的规制,,我们必须控制USB设备和软盘或DVD驱动器,因此我们得做点什么"。

Doan选择了一家英国的公司。这个名为Centennial Software的公司提供一个名叫DeviceWall的产品。该产品的运行和Santuary类似。"我们有300个运行XP操作系统的机器,现在我们可以准确审计出哪些人将哪些数据带出我们机构",他说,"我们有一个合规委员会,而且如果哪一个员工需要访问C盘以外的资源,那么他们必须向该委员会申请。如果得到批准,那么接下来就容易多了,我们将会设置一下这个软件,并且提供该访问权限"。

很明显,任何允许在USB驱动器上存储数据的员工都可能有丢失设备的风险,因此这也是为什么许多组织要求所有这类数据都必须被加密的原因。为了确保这种策略能够得以实施,一种方法就是利用设备控制软件,只允许那些带有加密方式的USB驱动器能够被使用;其他的USB设备将被系统拒绝。

一种开放源代码的软件

通过安装一个名为TrueCrypt的开放源代码的应用程序,任何一个USB驱动器都可以变成一个安全存储设备。该软件能够在驱动器内创建一个加密卷,这个卷只有通过密码才能访问。为了加载受加密卷,需要驱动,该驱动可以存放在驱动器中未受加密的部分,这样就完全可以携带了。

TrueCrypt卷的一个缺点就是如果密码很容易猜,那么加密卷的内容有可能被强制破解。更重要的是,TrueCrypt不提供密码取回功能,因此如果员工忘记密码(假设他们没有把密码写在该设备上,以便进行完全加密),那么数据丢失的潜在风险很大。类似于这样的麻烦使得加密密钥管理工具在企业级市场中越来越壮大。

也许一家名为IronKey的公司能够提供USB安全性的终极解决方案。这家公司销售一种企业级系统,该系统是基于他们的接近无懈可击的IronKey USB驱动器。该驱动器包括了硬件加密。管理员可以使用受到特别管理的IronKey,给员工发放终端用户驱动器。这些驱动器内置了公共密钥。然后终端用户可以将他们IronKey中的(加密的)内容备份到硬盘驱动器,而且只要他们有IronKey,如果忘记了密码,还可以取回密码。IronKey的画龙点睛之处就在于如果错误密码的输入次数超过设定次数(通常是10次),那么它将自毁,因此如果IronKey丢失了,那么该密钥基本上不会遭到强制破解。

毫无疑问,便携式存储设备,如iPod,对大部分组织而言,都带来了严重的安全风险。而各组织如果不能消减这种风险,则将面临违反规制要求的风险。如果市场上有许多有效的方法能够化解这种风险,而首席技术官却忽视这种风险的话,那么只能说这位首席技术官太大胆了(或者说鲁莽)。