移動(dòng)存儲(chǔ)設(shè)備安全威脅分析與應(yīng)對(duì)

陳哲謙

摘?要：現(xiàn)今信息時(shí)代，人們對(duì)信息的需求日益增多，使用移動(dòng)存儲(chǔ)設(shè)備拷貝及傳送文件也變得越來(lái)越普遍，因移動(dòng)存儲(chǔ)設(shè)備上攜帶病毒導(dǎo)致接入計(jì)算機(jī)感染的狀況層出不窮，如何妥善管理移動(dòng)存儲(chǔ)設(shè)備及保障接入計(jì)算機(jī)的安全性，使移動(dòng)存儲(chǔ)設(shè)備及計(jì)算機(jī)兩者在使用中不會(huì)輕易感染病毒，是我們需要解決的問(wèn)題，通過(guò)系統(tǒng)分析，提供解決方案。

關(guān)鍵詞：移動(dòng)存儲(chǔ)設(shè)備?安全威脅

中圖分類號(hào)：TP333 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2012）10（a）-0064-02

近年來(lái)，隨著科學(xué)技術(shù)不斷發(fā)展，電子信息時(shí)代已經(jīng)來(lái)臨，電子信息的傳遞也變得非常普遍，而移動(dòng)存儲(chǔ)設(shè)備作為其中的載體之一，由于其易攜帶、高速度、大容量和價(jià)格低廉等優(yōu)勢(shì)，被人們所廣泛使用。但移動(dòng)存儲(chǔ)設(shè)備在為我們的工作生活帶來(lái)很大便利的同時(shí)，也帶來(lái)了不容忽視的安全隱患，需要對(duì)其加強(qiáng)管理。

本文就移動(dòng)存儲(chǔ)設(shè)備的安全威脅和應(yīng)對(duì)措施進(jìn)行了分析。

1 移動(dòng)存儲(chǔ)設(shè)備安全威脅分析

移動(dòng)存儲(chǔ)設(shè)備使用不當(dāng)，就很容易造成病毒感染和受到攻擊，以至于泄密事件的發(fā)生。

移動(dòng)存儲(chǔ)設(shè)備在使用過(guò)程中，還極易被植入“擺渡”、“輪渡”等木馬病毒程序，這些病毒的傳播過(guò)程類似于生物病毒傳播過(guò)程。一臺(tái)接入互聯(lián)網(wǎng)的計(jì)算機(jī)被植入木馬以后，它就成為一個(gè)病毒源，當(dāng)移動(dòng)存儲(chǔ)設(shè)備接入該計(jì)算機(jī)受到感染后，其就成為了病毒攜帶者，當(dāng)將攜帶木馬的移動(dòng)存儲(chǔ)設(shè)備接入其他計(jì)算機(jī)上時(shí)，其他的計(jì)算機(jī)也會(huì)被感染。在移動(dòng)存儲(chǔ)設(shè)備上的病毒會(huì)造成移動(dòng)存儲(chǔ)設(shè)備中的文件無(wú)法剪切、移動(dòng)存儲(chǔ)設(shè)備無(wú)法安全移除、制造大量垃圾文件等，某些病毒甚至大量占有CPU資源導(dǎo)致計(jì)算機(jī)系統(tǒng)崩潰、破壞或者竊取重要文檔資料。入侵者將在計(jì)算機(jī)里收集到的機(jī)密信息隱藏在移動(dòng)存儲(chǔ)介質(zhì)中，當(dāng)移動(dòng)存儲(chǔ)介質(zhì)接入到連接互聯(lián)網(wǎng)的計(jì)算機(jī)時(shí)，機(jī)密信息就會(huì)被竊取。

現(xiàn)在有些軟件能在后臺(tái)竊取移動(dòng)存儲(chǔ)設(shè)備中的文件，當(dāng)在計(jì)算機(jī)上運(yùn)行這些軟件后，只要有移動(dòng)存儲(chǔ)設(shè)備接上這臺(tái)計(jì)算機(jī)，其存儲(chǔ)的所有文檔資料都將非常隱蔽地拷貝到指定的文件夾中。因此，這些病毒的傳播具有防治難、速度快、范圍廣、危害大等特點(diǎn)[1]。

2 主要的移動(dòng)存儲(chǔ)設(shè)備管控技術(shù)分析

移動(dòng)存儲(chǔ)設(shè)備的病毒防治方法多種多樣，根據(jù)不同的計(jì)算機(jī)的特點(diǎn)和目的，可以采用不同的方法，概括起來(lái)，國(guó)內(nèi)出現(xiàn)的移動(dòng)存儲(chǔ)設(shè)備監(jiān)管防護(hù)技術(shù)和產(chǎn)品主要有以下幾種類型，如安全U盤(pán)類、主機(jī)監(jiān)管審計(jì)類、介質(zhì)監(jiān)管類等等。它們?cè)诠δ堋⑿螒B(tài)和實(shí)現(xiàn)機(jī)理上各有千秋，防護(hù)效果也各有差異，以下將主要介紹幾種常見(jiàn)的防護(hù)技術(shù)。

2.1 USB端口禁用技術(shù)

USB端口禁用技術(shù)即禁用USB端口，使移動(dòng)存儲(chǔ)設(shè)備無(wú)法使用或者受控使用，早期常常采用這種技術(shù)，如移除主板USB跳線連接線，手工修改計(jì)算機(jī)配置，刪除USB驅(qū)動(dòng)程序或者采用專用軟件禁用USB端口。這類技術(shù)雖然杜絕了移動(dòng)存儲(chǔ)設(shè)備傳染病毒和泄密的可能，但同時(shí)也限制了移動(dòng)存儲(chǔ)設(shè)備的使用，效果很不好。

2.2 安全U盤(pán)類技術(shù)與產(chǎn)品

安全U盤(pán)是針對(duì)普通U盤(pán)的自我防護(hù)能力不足，在技術(shù)層面采取措施，增強(qiáng)U盤(pán)的自我防護(hù)能力而形成的一類新的U盤(pán)。該類U盤(pán)主要采用授權(quán)管理、訪問(wèn)控制數(shù)據(jù)加解密系統(tǒng)，來(lái)實(shí)現(xiàn)U盤(pán)的全盤(pán)數(shù)據(jù)加密保護(hù)和安全區(qū)數(shù)據(jù)開(kāi)啟的口令控制。其自帶的網(wǎng)絡(luò)監(jiān)控系統(tǒng)可以隨時(shí)監(jiān)測(cè)U盤(pán)所在網(wǎng)絡(luò)的狀態(tài)，實(shí)現(xiàn)了外網(wǎng)阻斷。但安全U盤(pán)涉密屬性定位模糊，沒(méi)有涉密與非涉密的區(qū)分，沒(méi)有分級(jí)控制能力，無(wú)法禁止交叉使用等問(wèn)題的出現(xiàn)，導(dǎo)致其保密性不強(qiáng)。

2.3 主機(jī)監(jiān)管審計(jì)類技術(shù)

主機(jī)監(jiān)管審計(jì)類技術(shù)主要是用于對(duì)內(nèi)網(wǎng)和計(jì)算機(jī)實(shí)施全面的安全保密綜合防護(hù)監(jiān)管。它采用對(duì)內(nèi)網(wǎng)計(jì)算機(jī)進(jìn)行監(jiān)管控制，日志記錄等來(lái)控制系統(tǒng)資源使用。這類系統(tǒng)可以對(duì)移動(dòng)存儲(chǔ)設(shè)備實(shí)施注冊(cè)授權(quán)和綁定使用，設(shè)定功能限制等，從而達(dá)到對(duì)移動(dòng)存儲(chǔ)設(shè)備的使用控制與監(jiān)管。這類方式是采用軟件構(gòu)架，實(shí)現(xiàn)和配置成本較低，系統(tǒng)功能齊全，但同時(shí)也存在著容易被人工和木馬破解，也無(wú)法消除管理員操作失誤或違規(guī)等現(xiàn)象，綁定方式是任何U盤(pán)可以綁定在任何機(jī)器上，存在很大的安全隱患[2]。

2.4 保密技術(shù)防護(hù)專用系統(tǒng)

保密技術(shù)防護(hù)專用系統(tǒng)是為了解決非法外聯(lián)和移動(dòng)存儲(chǔ)介質(zhì)交叉使用而產(chǎn)生。系統(tǒng)由管理端產(chǎn)品和用戶端產(chǎn)品組成，用軟件方式控制非法外連，同時(shí)采用接入裝置實(shí)施信息交換安全控制，實(shí)現(xiàn)普通移動(dòng)存儲(chǔ)設(shè)備信息無(wú)反饋單項(xiàng)導(dǎo)入，實(shí)現(xiàn)專用U盤(pán)的接入和控制。用專門(mén)設(shè)計(jì)開(kāi)發(fā)的非標(biāo)接口專用U盤(pán)來(lái)實(shí)現(xiàn)涉密設(shè)備的接入控制。但這類方式功能不夠完善，整體安全強(qiáng)度仍然不高[3]。

2.5基于密級(jí)屬性控制列表的移動(dòng)存儲(chǔ)設(shè)備監(jiān)管控制技術(shù)

基于密級(jí)屬性控制列表的移動(dòng)存儲(chǔ)設(shè)備監(jiān)管控制系統(tǒng)是采用純軟件構(gòu)件對(duì)信息系統(tǒng)內(nèi)部的移動(dòng)存儲(chǔ)設(shè)備進(jìn)行注冊(cè)、綁定及信息交換安全控制，系統(tǒng)首先建立密級(jí)屬性管理機(jī)制，然后對(duì)U盤(pán)進(jìn)行注冊(cè)登記，綁定授權(quán)等。這類系統(tǒng)能對(duì)移動(dòng)存儲(chǔ)設(shè)備實(shí)施各種監(jiān)管控制功能，但安全強(qiáng)度低，對(duì)密級(jí)屬性列表的任何改動(dòng)都直接導(dǎo)致監(jiān)管效果的變更，屬性列表若遭到破壞將造成監(jiān)管機(jī)制失效或系統(tǒng)控制錯(cuò)亂[4]。

2.6 基于電子密級(jí)標(biāo)識(shí)的移存儲(chǔ)設(shè)備監(jiān)管控制技術(shù)

基于電子密級(jí)標(biāo)識(shí)的移動(dòng)存儲(chǔ)設(shè)備監(jiān)管控制系統(tǒng)對(duì)系統(tǒng)內(nèi)所有計(jì)算機(jī)、特種U盤(pán)建立電子密級(jí)標(biāo)識(shí)，其重點(diǎn)是為了解決計(jì)算機(jī)和移動(dòng)存儲(chǔ)設(shè)備的密級(jí)屬性自動(dòng)監(jiān)管的問(wèn)題。系統(tǒng)可以實(shí)施一系列與設(shè)備密級(jí)屬性相關(guān)的管理和控制，特種U盤(pán)以外的U盤(pán)等設(shè)備不能在系統(tǒng)管轄范圍內(nèi)計(jì)算機(jī)上使用，使用特種U盤(pán)時(shí)，由計(jì)算機(jī)和特種U盤(pán)雙向檢查密級(jí)匹配關(guān)系來(lái)決定是否允許操作。該方法系統(tǒng)安全強(qiáng)度高，在系統(tǒng)內(nèi)外使用移動(dòng)存儲(chǔ)設(shè)備都受到安全控制，能徹底消除違規(guī)行為[5]。

3 移動(dòng)存儲(chǔ)設(shè)備安全威脅的應(yīng)對(duì)

只要在使用移動(dòng)存儲(chǔ)設(shè)備的過(guò)程中加強(qiáng)自主性保密意識(shí)，在有條件的情況下主動(dòng)采用上述防范措施的一種或多種以保證計(jì)算機(jī)和移動(dòng)存儲(chǔ)設(shè)備不受到病毒的侵入，對(duì)提高計(jì)算機(jī)及移動(dòng)存儲(chǔ)設(shè)備安全性是完全有可能的。在使用移動(dòng)存儲(chǔ)設(shè)備的過(guò)程中，應(yīng)采用以下措施來(lái)應(yīng)對(duì)移動(dòng)存儲(chǔ)設(shè)備的安全威脅。

3.1 提高自主防范意識(shí)和技能

移動(dòng)存儲(chǔ)設(shè)備的使用者應(yīng)提高安全意識(shí)和保持正確使用方法，雖然大多數(shù)使用者都認(rèn)識(shí)到這些隨身攜帶的移動(dòng)存儲(chǔ)設(shè)備的安全隱患，但大多數(shù)人對(duì)此束手無(wú)策。因此，應(yīng)適當(dāng)提高自己的防范技能，有條件的單位可以展開(kāi)一些系統(tǒng)化、專業(yè)化的培訓(xùn)教育工作，有利于移動(dòng)存儲(chǔ)設(shè)備的網(wǎng)絡(luò)安全保障水平的提升，同時(shí)，也可以聘請(qǐng)專業(yè)的技術(shù)人員，為計(jì)算機(jī)安全風(fēng)險(xiǎn)自主可控提供人才保障。

3.2 重視通過(guò)安全防護(hù)技術(shù)對(duì)移動(dòng)存儲(chǔ)設(shè)備的使用和監(jiān)控

為提高移動(dòng)存儲(chǔ)設(shè)備的安全性，應(yīng)實(shí)施一系列技術(shù)控制措施來(lái)保證移動(dòng)存儲(chǔ)設(shè)備的安全使用，在前文中介紹的一系列移動(dòng)存儲(chǔ)設(shè)備的安全控制技術(shù)，有條件的單位和個(gè)人可以根據(jù)自身特點(diǎn)選擇性的使用這些技術(shù)，這在一定程度上可以保證移動(dòng)存儲(chǔ)設(shè)備的使用安全。沒(méi)有條件的單位和個(gè)人應(yīng)該盡量防止移動(dòng)存儲(chǔ)設(shè)備的交叉使用，同時(shí)做好防病毒管理工作。

總之，移動(dòng)存儲(chǔ)設(shè)備的安全防護(hù)和監(jiān)管是一個(gè)非常重要的問(wèn)題，它既涉及到一個(gè)復(fù)雜的技術(shù)領(lǐng)域，也涉及到人為監(jiān)管。目前來(lái)看，許多問(wèn)題尚未得到有效解決，安全隱患依然存在，這有待于使用者進(jìn)一步提高安全防護(hù)意識(shí)，同時(shí)，只有不斷創(chuàng)新防護(hù)理念，才能使目前存在的安全威脅和泄密隱患得到有效的控制，從而保障計(jì)算機(jī)及移動(dòng)存儲(chǔ)設(shè)備的安全。

參考文獻(xiàn)

[1]陳尚義，周博，黃昀.移動(dòng)存儲(chǔ)介質(zhì)安全管理技術(shù)的現(xiàn)狀和發(fā)展趨勢(shì)[J].信息安全與通信保密，2009（4）：97-99.

[2]王玉珍，馬婧，賀瀅，等.禁用USB移動(dòng)存儲(chǔ)設(shè)備的幾種方法[J].醫(yī)療設(shè)備信息，2007（8）：35-36.

[3]楊永輝，樊金生.保密工作中移動(dòng)存儲(chǔ)介質(zhì)的管理研究[J].信息安全與通信保密，2008（9）：61-63.

[4]陳尚義，周顯敬，呂巍.可信移動(dòng)介質(zhì)管理解決方案[J].中國(guó)計(jì)算機(jī)報(bào)，2005（70）.

[5]趙小敏，鄭河榮.支持計(jì)算機(jī)取證的電子證據(jù)安全保護(hù)策略[J].計(jì)算機(jī)工程，2008（21）：161-162.