隨著計(jì)算機(jī)制造技術(shù)和應(yīng)用技術(shù)的不斷發(fā)展，移動(dòng)硬盤、U盤等移動(dòng)存儲(chǔ)設(shè)備購(gòu)置成本不斷降低，使用更為方便，由于其體積小、攜帶方便、海量存儲(chǔ)、不易損壞，移動(dòng)硬盤、U盤等成為人們進(jìn)行辦公信息處理的首選存儲(chǔ)設(shè)備，得到了廣泛的應(yīng)用。大量的敏感信息、秘密數(shù)據(jù)和檔案資料被存儲(chǔ)在這些移動(dòng)存儲(chǔ)設(shè)備中。同時(shí)，移動(dòng)存儲(chǔ)設(shè)備的“移動(dòng)”特性也為當(dāng)前政府、軍事、金融以及企事業(yè)等單位的保密工作帶來(lái)了新的風(fēng)險(xiǎn)，成為人們廣泛關(guān)注的新的研究課題。

一、移動(dòng)存儲(chǔ)設(shè)備帶來(lái)的安全隱患

(一)體積小、易丟失

移動(dòng)存儲(chǔ)介質(zhì)由于體積小、重量輕，更容易丟失，而移動(dòng)介質(zhì)本身往往沒(méi)有任何防護(hù)措施，一旦丟失或被盜，就會(huì)造成大量信息外泄。

(二)信息失效

作為檔案資料保管的存儲(chǔ)介質(zhì)如果保管不善，很容易造成存儲(chǔ)介質(zhì)不能讀取，信息不能復(fù)用，失去電子檔案的保存價(jià)值。

(三)病毒危害

在使用過(guò)程中使用者往往忽視對(duì)移動(dòng)設(shè)備的查殺毒工作，由于移動(dòng)設(shè)備使用范圍較廣，不可避免地會(huì)出現(xiàn)在外使用時(shí)感染計(jì)算機(jī)病毒的情況，如果不能及時(shí)有效地查殺病毒，輕易將染毒文件在單位內(nèi)計(jì)算機(jī)打開，很容易將病毒傳播到單位內(nèi)部網(wǎng)中，影響到單位內(nèi)計(jì)算機(jī)的應(yīng)用操作。

(四)“擺渡”技術(shù)的威脅

如果病毒僅僅是破壞系統(tǒng)還不會(huì)造成泄密，但一旦與“擺渡”技術(shù)結(jié)合，其危害就十分嚴(yán)重了，該類木馬病毒會(huì)搜索本地的文件夾并通過(guò)因特網(wǎng)向指定的服務(wù)器發(fā)送數(shù)據(jù)，使得物理隔離的內(nèi)網(wǎng)與因特網(wǎng)之間有了連接的渠道。

(五)公私混用，存在一定安全隱患

由于U盤等移動(dòng)存儲(chǔ)設(shè)備體積較小，海量存儲(chǔ)，便于攜帶，使用方便，因此存在著不少人將U盤等隨時(shí)攜帶和在不同的環(huán)境下使用的現(xiàn)象，造成單位的資料和個(gè)人的資料混雜在一起，不便于管理，容易出現(xiàn)使用上的差錯(cuò)，當(dāng)移動(dòng)存儲(chǔ)體被借用時(shí)，存儲(chǔ)在移動(dòng)存儲(chǔ)體中的一些重要信息資料存在泄露的風(fēng)險(xiǎn)。

(六)管理困難

缺少有效的移動(dòng)設(shè)備管理監(jiān)督機(jī)制保密機(jī)構(gòu)和人員缺乏，難以適應(yīng)計(jì)算機(jī)及信息技術(shù)發(fā)展工作的新要求，對(duì)移動(dòng)設(shè)備管理缺乏可資借鑒的管理經(jīng)驗(yàn)，對(duì)設(shè)備的信息安全檢查不到位，往往形成“感覺(jué)上重要，而行動(dòng)上卻無(wú)從下手”的管理空白。

二、對(duì)策與建議淺析

對(duì)移動(dòng)辦公設(shè)備的信息安全管理，仍應(yīng)堅(jiān)持“預(yù)防為主”的方針，以人為本，充分利用技術(shù)和管理兩種手段，達(dá)到有效防范信息失密的目的。

(一) 加強(qiáng)“人防”，構(gòu)筑人員安全關(guān)

1、加強(qiáng)保密知識(shí)和職業(yè)道德教育，提高全員個(gè)人綜合素質(zhì)，使全體員工在心目中樹立“哪些是可以做的， 哪些是不應(yīng)該做的、哪些是需要防范的”的理念，從思想上筑起一道信息安全風(fēng)險(xiǎn)防范的“防火墻”。

2、要開展安全知識(shí)培訓(xùn)，提高安全防范能力。對(duì)操作人員可以用網(wǎng)上攻擊案例教育大家，使他們充分了解計(jì)算機(jī)網(wǎng)絡(luò)存在的安全隱患，提高工作人員的安全保密意識(shí)和自我防范能力。

(二)突出“技防”，把好技術(shù)安全關(guān)

1、加密，即俏皮話在移動(dòng)介質(zhì)上的信息都是加密處理的，必須通過(guò)的解密程序或密碼才能打開，這樣解決了數(shù)據(jù)的存儲(chǔ)問(wèn)題，實(shí)現(xiàn)了信息的保密。

2、授權(quán)，即只允許授權(quán)過(guò)的移動(dòng)介質(zhì)在內(nèi)部計(jì)算機(jī)上使用，未授權(quán)的移動(dòng)介質(zhì)在內(nèi)部計(jì)算機(jī)上不可以使用，這樣解決了載體的身份問(wèn)題，實(shí)現(xiàn)了訪問(wèn)控制。

3、監(jiān)控，即對(duì)企圖使用未授權(quán)移動(dòng)介質(zhì)的行為進(jìn)行監(jiān)控，對(duì)使用過(guò)程中的讀、寫、復(fù)制等進(jìn)行監(jiān)控，這樣解決了介質(zhì)的使用問(wèn)題，實(shí)現(xiàn)了安全審計(jì)。

(三)注重“管理”，健全信息管理關(guān)

1、加強(qiáng)內(nèi)部管理，防范內(nèi)部風(fēng)險(xiǎn) 主要是進(jìn)一步完善計(jì)算機(jī)保密制度，細(xì)化各個(gè)操作環(huán)節(jié)的管理規(guī)范和責(zé)任追究，明確界定涉密信息范圍，切實(shí)落實(shí)各項(xiàng)具體措施，使計(jì)算機(jī)安全保密工作有章可循，逐步實(shí)現(xiàn)計(jì)算機(jī)信息安全保密工作的規(guī)范化管理。首先，工作人員在使用筆記本電腦和移動(dòng)存儲(chǔ)介質(zhì)(含U盤、MP3、軟盤、PAD、移動(dòng)硬盤、數(shù)碼相機(jī)、數(shù)碼錄像機(jī)、移動(dòng)存儲(chǔ)卡等)期間要做好防盜失、防損壞等保護(hù)工作。移動(dòng)設(shè)備管理應(yīng)當(dāng)責(zé)任到人，未經(jīng)同意不得將筆記本電腦和移動(dòng)存儲(chǔ)介質(zhì)轉(zhuǎn)借他人使用，盡量減少移動(dòng)設(shè)備共用機(jī)會(huì)。其次，定期對(duì)筆記本電腦的操作系統(tǒng)、防病毒軟件進(jìn)行升級(jí)維護(hù)及移動(dòng)存儲(chǔ)介質(zhì)的防病毒、信息備份工作。再次，筆記本電腦和移動(dòng)存儲(chǔ)介質(zhì)嚴(yán)禁存儲(chǔ)涉密的任何文件、數(shù)據(jù)。此外，工作人員原則上不得將軟盤附送服務(wù)對(duì)象，確實(shí)需要的，將軟盤格式化后，只拷貝指定內(nèi)容附送。

2、加強(qiáng)對(duì)移動(dòng)辦公設(shè)備管理的監(jiān)督檢查主要是要形成一種機(jī)制，樹立管理權(quán)威。全面掌握單位筆記本電腦、移動(dòng)存儲(chǔ)設(shè)備的使用管理情況，定期對(duì)筆記本電腦進(jìn)行信息安全檢查，如果發(fā)現(xiàn)違規(guī)情況應(yīng)進(jìn)行通報(bào)批評(píng)，起到警示作用。對(duì)涉密筆記本電腦應(yīng)嚴(yán)格管理，專人專用，專人管理，嚴(yán)禁在辦公室以外的地方使用。

3、加強(qiáng)對(duì)外來(lái)技術(shù)服務(wù)的管理

為了防范信息泄密，確保信息與網(wǎng)絡(luò)的安全，應(yīng)當(dāng)進(jìn)一步規(guī)范外來(lái)技術(shù)服務(wù)工作，保證外來(lái)技術(shù)支持服務(wù)達(dá)到內(nèi)部網(wǎng)與信息系統(tǒng)安全管理要求，堵住外來(lái)技術(shù)人員通過(guò)隨身攜帶的移動(dòng)設(shè)備在內(nèi)部網(wǎng)上傳播計(jì)算機(jī)病毒的途徑，防范外來(lái)人員通過(guò)技術(shù)服務(wù)方式竊取信息及重要業(yè)務(wù)數(shù)據(jù)的風(fēng)險(xiǎn)。

三、可信移動(dòng)介質(zhì)管理解決方案

可信移動(dòng)介質(zhì)解決方案，須滿足幾個(gè)基本要求：一是，通過(guò)移動(dòng)介質(zhì)交換的數(shù)據(jù)必須是密文，保證數(shù)據(jù)離開應(yīng)用環(huán)境后不可用;二是，數(shù)據(jù)交換前必須通過(guò)正確的身份認(rèn)證，包括密碼認(rèn)證或USB-KEY等授權(quán)硬件的身份認(rèn)證;三是，記錄數(shù)據(jù)交換過(guò)程的工作日志，便于以后進(jìn)行跟蹤審計(jì);四是，未經(jīng)授權(quán)的移動(dòng)介質(zhì)，在工作環(huán)境中不可用，只有經(jīng)過(guò)公司授權(quán)的移動(dòng)介質(zhì)才能進(jìn)入到公司的辦公環(huán)境;五是，工作配發(fā)的移動(dòng)介質(zhì)帶出辦公環(huán)境后變?yōu)椴豢捎谩?/p>

為了滿足以上需求，很多企業(yè)采用消極、被動(dòng)的管理方式，比如：通過(guò)封堵移動(dòng)存儲(chǔ)設(shè)備端口(如USB端口)來(lái)禁止用戶使用移動(dòng)存儲(chǔ)設(shè)備，或者通過(guò)每天早上派發(fā)和晚上回收移動(dòng)存儲(chǔ)設(shè)備的方式來(lái)防止內(nèi)部員工通過(guò)移動(dòng)存儲(chǔ)介質(zhì)泄露企業(yè)商業(yè)機(jī)密等等，這些給管理人員和員工都帶來(lái)了極大的不便，也降低了工作效率。根據(jù)以上思路，中軟信息安全實(shí)驗(yàn)室研究開發(fā)了一套“可信移動(dòng)存儲(chǔ)設(shè)備安全管理平臺(tái)”。 可信移動(dòng)存儲(chǔ)設(shè)備安全管理平臺(tái)是利用信息保密、訪問(wèn)控制、審計(jì)等技術(shù)手段，對(duì)企業(yè)移動(dòng)存儲(chǔ)設(shè)備實(shí)施安全保護(hù)的軟件系統(tǒng)，使企業(yè)信息資產(chǎn)、涉密信息不能被移動(dòng)存儲(chǔ)設(shè)備非法流失，用技術(shù)的手段，實(shí)現(xiàn)移動(dòng)存儲(chǔ)設(shè)備信息安全的“五不”原則，即：進(jìn)不來(lái)、拿不走、讀不懂、改不了、走不脫。 可信移動(dòng)介質(zhì)管理系統(tǒng)的對(duì)象定位即移動(dòng)存儲(chǔ)設(shè)備，包括軟盤、移動(dòng)硬盤、U盤及其他移動(dòng)存儲(chǔ)卡等移動(dòng)存儲(chǔ)介質(zhì)。

可信移動(dòng)介質(zhì)管理系統(tǒng)的功能包括：首先，它可以集中授權(quán)移動(dòng)存儲(chǔ)設(shè)備;其次，要求移動(dòng)存儲(chǔ)設(shè)備認(rèn)證;再次，防止信息泄露;還有，實(shí)行數(shù)據(jù)加解密和操作行為的安全審計(jì)等。實(shí)現(xiàn)技術(shù)有以下幾項(xiàng)，如很顯然要用到的授權(quán)技術(shù)、身份認(rèn)證技術(shù)和加/解密技術(shù)，另外還涉及到日志記錄和審計(jì)技術(shù)，即在整個(gè)環(huán)境中，無(wú)論移動(dòng)介質(zhì)是否經(jīng)過(guò)授權(quán)，只要在終端上進(jìn)行加載，所從事活動(dòng)都將以日志形式記錄到服務(wù)器數(shù)據(jù)庫(kù)當(dāng)中以供需要時(shí)查找。還有策略實(shí)施技術(shù)，即可根據(jù)安全要求不同設(shè)定不同的安全策略，在不同的終端上根據(jù)需求設(shè)定不同等級(jí)的安全策略，以方便使用。

移動(dòng)存儲(chǔ)介質(zhì)的使用是大勢(shì)所趨，必須因勢(shì)利導(dǎo)，應(yīng)堅(jiān)持“預(yù)防為主”的方針，以人為本，充分利用技術(shù)和管理兩種手段，達(dá)到有效實(shí)現(xiàn)信息安全的目的。