由使用可移动存储设备(尤其是U盘)所带来的安全风险使得政府的IT管理人员即使在晚上也得熬夜工作。实际上,美国国防部(DoD)已在2008年11月禁止使用闪存驱动器和其他移动存储设备,因为当时人们发现,一个在军事网络中传播的病毒其来源是一个U盘。去年2月,美国国防部解除了2年来对闪存驱动器和其他可移动存储设备的使用禁令,但在使用方面实行了最严厉的限制。
根据美国国防部的新规定,只有经过授权的人员才可以使用移动存储设备,并且驱动器必须是政府采购和拥有的,且只能在执行关键任务时才可以使用。此外,还要对用户和设备进行随机审查。
尽管U盘和其他移动存储设备具有强大的安全风险,但不可否认的是二者都是便携、廉价的存储工具。美国海军部首席信息官Robert Carey是国防部一个名叫“老虎队”(负责制定可移动设备的政策)的领导人,已经意识到U盘在计算机之间传输数据时非常有用,包括对操作系统打补丁和更新杀毒软件,特别是在受限的环境下,如在战场或战舰上。
但U盘的问题远远超出了国防部的预料。这些闪存驱动器“已经无处不在”,在美国国家标准与技术研究所计算机安全部门工作的计算机科学家Karen Scarfone表示,“我认为用户往往以为它们是无害的,但却不明白使用这些设备可能带来的安全风险。”
U盘加密不够
Scarfone表示,在过去两年中,业界已经花了不少力气提高闪存驱动器的使用安全性。Scarfone是NIST终端用户设备存储加密技术指南(特别出版物800-111)的共同作者,该文章阐述了可移动存储设备安全问题的处理方法。
举例来说,有一类厂商目前出售一种软件,此软件能够对可移动存储设备提供中央管理、对数据访问进行基于政策驱动的控制,并对所包含的数据进行加密。
Scarfone 表示,“任何一种管理解决方案在安全方面都将是可取的”,她还补充到,对驱动器上的数据进行完全加密是十分重要的一步,但此步骤已经与限制存取数据的认证机制相结合。“如果你不要求身份验证,那么加密并没有什么好处”,她说。
WinMagic公司的营销副总裁Joseph Balasanti表示,当你对驱动器上的数据进行了加密,你也应该对文件名进行加密。WinMagic公司是一家与美国国防部数据安全部门合作的公司。“只需要根据文件命的名字就可以推测知道很多关于该文件包含的内容,”他说。
Balasanti表示,为了保护可移动存储设备上的数据,目前最好的做法是利用全盘加密再加上一个密钥管理系统。此外,“你还可以拥有一套集中安装、配置、部署和管理这些加密部件的方法”。当密钥由服务器管理并与Active Directory同步之后,只有那些经过授权的用户才可以使用可移动设备来共享数据。
Balasanti表示,最新的软件还可以让管理人员按照品牌、型号和序列号列出U盘的“白名单”,以便只有符合这些要求的设备才能在授权的机器上使用。
【编辑推荐】