制定移动存储设备的使用策略

<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

保护移动存储设备在使用过程中的安全，涉及到人、技术、管理和物理控制等方面。对于这么多需要管理和实施的因素，事先制定一个切合实际的移动存储设备使用策略来指导实施，是一个非常明智的解决方法。

制定移动存储设备的使用策略，是一件非常繁琐的工作，需要将与保护移动存储设备使用安全的各个方面都详细考虑进来。因此，移动存储设备使用策略的制定，一定要让机构中的系统管理员、网络管理员和各部门领导及员工代表都参与进来，这样制定出来的使用策略，才有可能做到事事俱到。同时，按照一定的制定步骤来进行，会让整个使用策略的制定过程变得清晰明了，也能防止在制定过程中产生错误，提高制定的效率。

下面就是一个通用的移动存储设备使用策略的制定过程：

一、           了解机构中有无使用移动存储设备的必要，及其类型和带来的安全风险

制定移动存储设备的使用策略，开始的第一步就是要确定机构中是否有使用它们的必要性。如果根本没有使用它们的必要，那么只要禁止所有移动存储设备在机构中的使用，就可以防止使用它们带来的安全风险。

但是，只要目前机构中还离不开使用移动存储设备，那么，接下来就应当详细了解机构中移动存储设备可以接入的方式，目前正在使用的类型，以及它们可能会带来的风险等等。

了解机构中移动存储设备可以接入的方式，可以通过审查机构中各种设备(如计算机终端和服务器)所具有的接口类型来确定。一般来说，现在大部分的计算机都有可能具有下列所示的接口：

1、 USB端口；

2、 串行接口(COM)和并口(LPT)；

3、 红外，蓝牙适配器，WIFI 适配器；

4、 1394接口。

5、 还有一些打印机设备上也具有USB接口，也应当将它们统计进来。

将这些找到的接口类型与它所在的设备关联后，一一记录到一个固定的文档中，用来给后面的策略制定工作做参考。

完成机构中接口类型的统计工作后，接下来的工作就是调查现在机构中有哪些移动存储设备正在被使用，以及它们属于谁。可以将这个任务分配到机构中的各个部门，由各部门分别统计他们当中正在使用的移动存储设备，然后综合汇总，就可以得出整个机构的移动存储设备使用情况。

目前，具有数据存储功能的移动设备有很多种类型，它们包括：

１、            使用USB接口的闪存（也就是常说的U盘）、MP3播放器、MP4播放器、读卡器和移动硬盘；

２、            具有USB连接功能的手机、PDA、数码像机和数码摄像机；

３、            具有蓝牙、红外或WIFI功能的便携式电脑、手机和PDA；

４、            各种类型的内存卡(如Sony记忆棒等)

５、            各种磁带设备；

６、            带有刻录功能的CD\DVD；

这些移动存储设备以其体积小，携带方便，容量大，以及即插即用的功能深受人们的喜爱，使用越来越频繁。可是，如果在使用它们的过程中不加管制，它们的这些优点也有可能会变成致命的缺点，带来下列所示的安全风险：

1、 成为特洛伊***程序及病毒的转播媒介；

2、 雇员可以通过它们带来不允许在机构内部使用的软件或软件的安装包，如可在U盘中使用的QQ、网络浏览器，代理服务器等，让雇员可以跳出机构的安全防范措施。并由此可能给机构带来软件版权的法律纠纷；

3、 对保存有机构内部机密数据的移动存储设备，可能由于被盗或丢失，导致这些机密数据的泄漏，给机构带来各种严重的损失；

4、 由于移动存储设备本身的质量问题，导致保留在其中的数据不可复制和恢复；

5、 没有监管的无线网络接入，会让非授权无线设备连接到机构内部网络中，造成机密数据的泄漏。

特别要注意的是：除了不管制移动存储设备的使用会带来上述这些安全风险以外，制定的移动存储设备使用策略不合实际，或执行力度不够，以及使用加密功能弱的软件来加密保护移动存储设备中的数据，也会带来同样的安全风险。

二、           机构中机密数据的识别和定位

管理移动存储设备的使用，主要目的之一是为了防止机密数据通过移动存储设备泄漏或丢失，因此，在开始制定移动存储设备的使用策略之前，还应当识别出机构中有哪些类型的机密数据，它们现在都以什么样的形式保存在哪些设备上，以及这些设备处于机构中的什么位置等。

要完成机密数据的识别和定位，可以通过完成下列一连串的问题来解决：

1、 机构中哪些类型的数据是机密的？

2、 它们现在驻留在哪些设备中？

3、 机密数据是以什么样的形式保存在这些设备中？

4、 这些设备存在于机构中的什么位置？

5、 移动存储设备会在机构网络中的哪些区域使用？

6、 哪种类型的机密数据可能会保存到移动存储设备上？

在实际的机密数据识别和定位工作中，可能会有更多的与机密数据相关的问题，我们都应当将它们用一张表格一一全部列出来，这样有利于找到机构中所有的机密数据，以及它们所保存的位置等。至于记录问题的表格样式，可以根据我们自己的喜好来设计；问题的多少也可以根据实际情况来决定，当然是越细越好。

回答上述的这些问题，我们可以通过使用调查，以及分析机构已有文档的方法来解决。当所有问题都正确解答后，还应当根据找到的结果，绘制一张机构机密数据所在位置分布图，并在分布图中标明使用移动存储设备的区域。如图1.1所示。

图1.1　机密信息分布图样

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

三、制定移动存储设备的使用策略

当我们了解了要保护的数据，明白了目前移动存储设备的类型，以及它们可能带来的风险后，就可以根据上述这些内容，来制定具体的移动存储设备使用策略。

一个移动存储设备的使用策略，通常应当包括下列所示的内容：

１、            预期要达到的目标；

要达到的目标可以是所有需要使用的移动存储设备，在任何时候都可以受到保护，确保它们在使用过程中，不会造成机密数据的丢失或损坏，以及带来病毒、法律纠纷等其它安全风险。

２、            规定机构中使用移动存储设备的类型，以及它们的接入方式；

３、            规定机构中可以使用移动存储设备的区域；

４、            规定哪些类型的数据可以保存到移动存储设备上，保存的时间有多久；

５、            规定机构中哪些员工可以使用规定的移动存储设备；

６、            规定移动存储设备的领取、分发、使用和销毁方式；

７、            决定采取什么样的技术措施(例如安装相应加密和监控软件)保护移动存储设备的安全使用；

８、            决定采用什么样的物理控制措施来控制移动存储设备的进出机构和使用；

９、            明确机构员工使用移动存储设备的各种义务和责任；

１０、      确定员工的安全培训计划

１１、      指定监督移动存储设备使用策略实施的部门或人员；

１２、      指定突发事件的处理方式和上报制度；

１３、      明确移动存储设备审计跟踪的方式；

１４、      明确可以使用移动存储设备的员工的离职处理方式。

移动存储设备的使用策略应当根据我们自身所在机构的实际需求情况来决定，上面列出的内容是一个使用策略中必不可少的部份，其余所要添加的内容，可以由我们根据实际需求自行决定。

当一个移动存储设备的使用策略制定好以后，我们并不会知道它到底适不适合机构的实际需求，也不知道它真正的管理效果，这些都要等到在机构中实施它以后才能了解到。因此，接下来的工作，就是立即在机构中实施我们制定的移动存储设备使用策略。