浅谈移动存储介质的信息安全

随着计算机制造技术和应用技术的不断发展，移动硬盘、U盘等移动存储设备购置成本不断降低，使用更为方便，由于其体积小、携带方便、海量存储、不易损坏，移动硬盘、U盘等成为人们进行办公信息处理的首选存储设备，得到了广泛的应用。大量的敏感信息、秘密数据和档案资料被存储在这些移动存储设备中。同时，移动存储设备的“移动”特性也为当前政府、军事、金融以及企事业等单位的保密工作带来了新的风险，成为人们广泛关注的新的研究课题。

一、移动存储设备带来的安全隐患

(一)体积小、易丢失

移动存储介质由于体积小、重量轻，更容易丢失，而移动介质本身往往没有任何防护措施，一旦丢失或被盗，就会造成大量信息外泄。

(二)信息失效

作为档案资料保管的存储介质如果保管不善，很容易造成存储介质不能读取，信息不能复用，失去电子档案的保存价值。

(三)病毒危害

在使用过程中使用者往往忽视对移动设备的查杀毒工作，由于移动设备使用范围较广，不可避免地会出现在外使用时感染计算机病毒的情况，如果不能及时有效地查杀病毒，轻易将染毒文件在单位内计算机打开，很容易将病毒传播到单位内部网中，影响到单位内计算机的应用操作。

(四)“摆渡”技术的威胁

如果病毒仅仅是破坏系统还不会造成泄密，但一旦与“摆渡”技术结合，其危害就十分严重了，该类木马病毒会搜索本地的文件夹并通过因特网向指定的服务器发送数据，使得物理隔离的内网与因特网之间有了连接的渠道。

(五)公私混用，存在一定安全隐患

由于U盘等移动存储设备体积较小，海量存储，便于携带，使用方便，因此存在着不少人将U盘等随时携带和在不同的环境下使用的现象，造成单位的资料和个人的资料混杂在一起，不便于管理，容易出现使用上的差错，当移动存储体被借用时，存储在移动存储体中的一些重要信息资料存在泄露的风险。

(六)管理困难

缺少有效的移动设备管理监督机制保密机构和人员缺乏，难以适应计算机及信息技术发展工作的新要求，对移动设备管理缺乏可资借鉴的管理经验，对设备的信息安全检查不到位，往往形成“感觉上重要，而行动上却无从下手”的管理空白。

二、对策与建议浅析

对移动办公设备的信息安全管理，仍应坚持“预防为主”的方针，以人为本，充分利用技术和管理两种手段，达到有效防范信息失密的目的。

(一) 加强“人防”，构筑人员安全关

1、加强保密知识和职业道德教育，提高全员个人综合素质，使全体员工在心目中树立“哪些是可以做的， 哪些是不应该做的、哪些是需要防范的”的理念，从思想上筑起一道信息安全风险防范的“防火墙”。

2、要开展安全知识培训，提高安全防范能力。对操作人员可以用网上攻击案例教育大家，使他们充分了解计算机网络存在的安全隐患，提高工作人员的安全保密意识和自我防范能力。

(二)突出“技防”，把好技术安全关

1、加密，即俏皮话在移动介质上的信息都是加密处理的，必须通过的解密程序或密码才能打开，这样解决了数据的存储问题，实现了信息的保密。

2、授权，即只允许授权过的移动介质在内部计算机上使用，未授权的移动介质在内部计算机上不可以使用，这样解决了载体的身份问题，实现了访问控制。

3、监控，即对企图使用未授权移动介质的行为进行监控，对使用过程中的读、写、复制等进行监控，这样解决了介质的使用问题，实现了安全审计。

(三)注重“管理”，健全信息管理关

1、加强内部管理，防范内部风险 主要是进一步完善计算机保密制度，细化各个操作环节的管理规范和责任追究，明确界定涉密信息范围，切实落实各项具体措施，使计算机安全保密工作有章可循，逐步实现计算机信息安全保密工作的规范化管理。首先，工作人员在使用笔记本电脑和移动存储介质(含U盘、MP3、软盘、PAD、移动硬盘、数码相机、数码录像机、移动存储卡等)期间要做好防盗失、防损坏等保护工作。移动设备管理应当责任到人，未经同意不得将笔记本电脑和移动存储介质转借他人使用，尽量减少移动设备共用机会。其次，定期对笔记本电脑的操作系统、防病毒软件进行升级维护及移动存储介质的防病毒、信息备份工作。再次，笔记本电脑和移动存储介质严禁存储涉密的任何文件、数据。此外，工作人员原则上不得将软盘附送服务对象，确实需要的，将软盘格式化后，只拷贝指定内容附送。

2、加强对移动办公设备管理的监督检查主要是要形成一种机制，树立管理权威。全面掌握单位笔记本电脑、移动存储设备的使用管理情况，定期对笔记本电脑进行信息安全检查，如果发现违规情况应进行通报批评，起到警示作用。对涉密笔记本电脑应严格管理，专人专用，专人管理，严禁在办公室以外的地方使用。

3、加强对外来技术服务的管理

为了防范信息泄密，确保信息与网络的安全，应当进一步规范外来技术服务工作，保证外来技术支持服务达到内部网与信息系统安全管理要求，堵住外来技术人员通过随身携带的移动设备在内部网上传播计算机病毒的途径，防范外来人员通过技术服务方式窃取信息及重要业务数据的风险。

三、可信移动介质管理解决方案

可信移动介质解决方案，须满足几个基本要求：一是，通过移动介质交换的数据必须是密文，保证数据离开应用环境后不可用;二是，数据交换前必须通过正确的身份认证，包括密码认证或USB-KEY等授权硬件的身份认证;三是，记录数据交换过程的工作日志，便于以后进行跟踪审计;四是，未经授权的移动介质，在工作环境中不可用，只有经过公司授权的移动介质才能进入到公司的办公环境;五是，工作配发的移动介质带出办公环境后变为不可用。

为了满足以上需求，很多企业采用消极、被动的管理方式，比如：通过封堵移动存储设备端口(如USB端口)来禁止用户使用移动存储设备，或者通过每天早上派发和晚上回收移动存储设备的方式来防止内部员工通过移动存储介质泄露企业商业机密等等，这些给管理人员和员工都带来了极大的不便，也降低了工作效率。根据以上思路，中软信息安全实验室研究开发了一套“可信移动存储设备安全管理平台”。 可信移动存储设备安全管理平台是利用信息保密、访问控制、审计等技术手段，对企业移动存储设备实施安全保护的软件系统，使企业信息资产、涉密信息不能被移动存储设备非法流失，用技术的手段，实现移动存储设备信息安全的“五不”原则，即：进不来、拿不走、读不懂、改不了、走不脱。 可信移动介质管理系统的对象定位即移动存储设备，包括软盘、移动硬盘、U盘及其他移动存储卡等移动存储介质。

可信移动介质管理系统的功能包括：首先，它可以集中授权移动存储设备;其次，要求移动存储设备认证;再次，防止信息泄露;还有，实行数据加解密和操作行为的安全审计等。实现技术有以下几项，如很显然要用到的授权技术、身份认证技术和加/解密技术，另外还涉及到日志记录和审计技术，即在整个环境中，无论移动介质是否经过授权，只要在终端上进行加载，所从事活动都将以日志形式记录到服务器数据库当中以供需要时查找。还有策略实施技术，即可根据安全要求不同设定不同的安全策略，在不同的终端上根据需求设定不同等级的安全策略，以方便使用。

移动存储介质的使用是大势所趋，必须因势利导，应坚持“预防为主”的方针，以人为本，充分利用技术和管理两种手段，达到有效实现信息安全的目的。