经济危机时期,各种危及企业机密数据的犯罪事件也随之不断上升。据Ponemon研究所调查分析, 发现有59 %的人在失去工作后,会顺便将企业中的一些机密数据随身带走。这些离职人员大部分都是通过将数据拷贝到U盘、CD/DVD、智能手机、PDA和音视频播放设备,以及与此类似的可移动存储设备上的方式,将企业机密数据带出企业的。另外,一些在职员工有意或无意地造成保存有企业机密数据的移动存储设备丢失,也会造成机密数据的泄漏。
不幸的是,目前许多企业在安全方面的投入,仍然将焦点集中在反病毒和防网络攻击,以及进行垃圾邮件过滤和WEB内容过滤等防范外部威胁方面,却很少有企业能够意识到来自企业内部的威胁。
一个内部员工只需要直接接触到存储有大量机密数据的计算机设备,然后将大量机密数据复制到智能手机或其它USB存储设备上,就可以轻松绕过企业部署的上述这些安全防范措施。并且,这些移动存储设备还可能将木马病毒带进企业内部局域网,直接危及企业内部所有的敏感数据。
对于来自移动存储设备的威胁,一些企业可能会使用一种非常极端的手段,就是禁止在企业中使用任何的移动存储设备,但是,有时候这种方式同时会影响企业员工的办事效率。而另外有些企业,却选择听之任之,直到一些安全事件发生后,才会突然醒悟对移动存储设备进行全面监管的必要性。
很显然,这两种方式都是不可取。企业真正需要的应该是一个自始至终,能够从头到脚全面监管所有移动存储设备在企业网络中如何使用,谁在使用,以及了解什么数据被复制到移动存储设备当中的解决方案。
与所有计算机及网络安全防范相似,要想很好地全面监管移动存储设备的使用,首先要做的就是全面了解目前移动存储设备可能会给企业带来的安全风险,然后我们才知道用什么方面去消除这些安全风险。
对于移动存储设备来说,由于其体积小、容量大和携带方便,以及即插即用的功能,使得它在企业中被广泛地应用。可是,如果在使用它们的过程中不加管制,它们同样也会给企业带来下列所示的安全风险:
将特洛伊木马程序及病毒带入企业内部局域网,直接危及企业内部机密数据的安全。
企业员工可以通过它们带来不允许在企业内部使用的软件或软件的安装包,如可在U盘中使用的QQ、网络浏览器,代理服务器等,这些软件可以让使用它们的员工跳出企业的安全防范措施,从而给企业招来各种网络安全威胁。
企业员工通过移动存储设备,将企业机密数据转移出去,给企业造成严重的经济损失。
保存有企业机密数据的移动存储设备,如果使用和保管不当,就有可能被盗或丢失,从而导致这些机密数据被泄漏出去,给企业带来严重的经济和无形资产的损失。
除上述这4条移动存储设备可能会给企业带来的主要安全风险以外,攻击者还可以通过智能手机或PDA等移动存储设备的WIFI功能,以无线连接的方式进入企业内部局域网,然后得到企业的机密数据。另外,3G应用的兴起,让企业内部员工可以通过3G手机将机密数据拍照后,通过3G网络发送到互联网上或外部同谋者。
只是这些攻击方式,企业可能会用其它的安全防范措施,例如无线认证访问的方式来进行限制非授权用户或设备的访问,也就先不在本文中做详细的描述,雪源梅香将会在后面的文章中单独对它们进行详细的描述。
对移动存储设备进行全面的监管涉及到人、技术、管理和物理控制这4个方面。对于这么多需要管理和实施的因素,事先制定一个切合实际的移动存储设备使用策略来指导我们进行具体的实施,是一个非常明智的解决方法。
制定移动存储设备的使用策略,开始的第一步就是要确定企业中是否有使用它们的必要性。如果根本没有使用它们的必要,那么只要禁止所有移动存储设备在企业中的使用,就可以防止使用它们带来的安全风险。但是,只要目前企业中还离不开移动存储设备的使用,那么,接下来的工作就是要调查现在企业中有哪些移动存储设备正在被使用,在什么位置、在什么设备上使用,以及它们属于谁等信息。
这个工作,企业必需指定专人进行详细全面地调查,不能由部门或车间员工自己填写上报的方式,来收集当前企业移动存储设备的使用情况。
在进行移动存储设备使用情况的收集时,可以制定一张移动存储设备使用状况清单的表格,然后,由下至上,按部门或办公室的情况进行全面的调查填写,连企业内部清洁工也要进行调查。
表1 企业移动存储设备使用状况清单样式表
上述所示的这个表格只是我拿出来的一个样式表,其中的列表项并不代表实际情况下的所有需要调查的内容,它们可以由大家自己根据自己的实际需要进行相应的添加。
调查完目前企业内部移动存储设备的使用和分布情况后,我们还需要了解企业目前或今后一段时间每个部门对移动存储设备的使用需求,然后由此制定一个适合企业实际需求的移动存储设备的使用策略。
制定移动存储设备的使用策略,也就是以文档的方式规定企业中什么部门的什么人,可以在什么样的设备上使用什么样的移动存储设备,复制什么样的数据等内容。
通常,一个企业的移动存储设备使用策略,应当包括下列所示的这些内容:
•制定预期要达到的目标;
•规定企业中可以使用移动存储设备的部门和员工,指定员工允许使用什么类型的移动存储设备,以及规定这些员工在离职后应当如何上交移动存储设备等内容;
•规定企业中可以使用的移动存储设备的类型,以及它们的接入方式;
•规定企业中可以使用移动存储设备的区域;
•规定哪些类型的数据可以保存到移动存储设备上,以及可以保存多久;。
•规定移动存储设备的领取、分发、使用和销毁方式;
•明确企业应当采取什么样的技术措施保护移动存储设备的安全使用;
•明确企业员工使用移动存储设备的过程中应当承担的责任;
•指定监督移动存储设备使用策略实施的人员;
•明确移动存储设备的审计跟踪方式。
上面列出的内容是一个移动存储设备使用策略中必不可少的部份,其余所要添加的内容,可以由企业根据自身的实际需求决定。唯一的要求就是要尽量全面而详细,要能够从头到脚地监管到移动存储设备的使用。