近几年,一提到“安全”二字,首先就会想起网络,因为***、后门总是数据泄漏的第一渠道。随着USB存储设备,尤其是闪存盘的普及,逐渐变成了网络病毒和间谍软件的传媒介质,成为泄漏资料的“罪魁”,其所带来的危险甚至胜过网络,这让信息网络管理部门疲于信息安全的维护工作,在信息安全上承受很大的压力。鉴于网络病毒及间谍软件的肆虐横行,对网络存在毁灭性的威胁,同时,为保证数据大集中建设工作的顺利上线,市局相关部门在数据大集中建设工作前期工作报告会上提出了封闭U口的建议,限制移动储存设备的使用,从而降低数据信息安全风险。但是,基于业务的需求,笔者认为完全封闭U口并不可取。
作为具有征收、管理业务职能的县区局,涉及的业务有12万元的个人所得税申报、规费数据的提取传输以及货运发票税控系统(税控盘)、多元化申报等,这些工作都离不开U口的支持;此外,在当今社会,各项工作要求的是信息化、精细化,各部门都在加紧信息化建设,相互之间往来都是要求“无纸化”办公,这其中就涉及到了移动存储设备。目前要真正让社会各部门、各系统之间达到网络联网、资源共享还不太现实,这就要求了必须重视移动存储设备存在的重要性。但是,基于数据信息的安全考虑,我们又不得不考虑移动存储设备给网络资源带来的威胁,这让我们处于两难的境地。一直以来,我们都在苦苦探讨着“双赢”的方法,既能屏蔽病毒和间谍软件,也能不限制U口外设设备的使用,但是所得到的是三个字——不可能,因为人在网络安全思维总是滞后于网络威胁。
目前,网络上禁用U口的方法综合起来有六类:
一是机械的禁用U口,就是拆除机箱里的U口连接线,但这种方法只能禁用前置U口,而后置U口是连在主板上,不能拆除,起不到禁用U口的效果;
二是卸载USB驱动或在资源管理器里禁用USB驱动,这种方法也不可取,因为一旦禁用USB驱动,则全部U口均被禁用了,USB接口的鼠标、健盘、打印机等等都不能用;
三是使用USB控制软件,在网络上有下载的USB控制软件,如Myusbonly、USB控制大师等,试用效果虽不尽如人意,但却能起到很好的控制作用。Myusbonly的控制能力不错,唯一的缺点就是当闪存插上后会出现闪存盘符,大约要延迟几秒的时间盘符才会消失。如果有人在这几秒的时间内拷贝文件或是使用了带病毒的闪存,那么后果也会很严重。而且,这属于外来软件,我们地税系统内部是不准使用外来软件的,这个“他山之石”的方法也不可取。
四是隐藏磁盘分区。但客户机使用权限较低的用户登录到域,大部分的操作都受到限制。而且利用一定的功能输入盘符也可打开,所以也不可取
五是快刀斩乱麻,完全屏蔽USB控制器。通过修改BIOS设置,可以直接屏蔽主板上的USB控制器,这个方法几乎适用于所有计算机,但副作用也非常明显,因为在屏蔽USB接口之后,不但移动存储设备不能用,而且连USB接口的外设,例如USB鼠标、键盘、打印机等都将无法使用,很不方便,而且一旦遗忘密码,将造成很坏的结果。
六是修改注册表的参数,修改注册表停用USB驱动,这有个很好听的名字叫做“温柔一刀”。此种方法的缺点就是相对简单,容易被人为的修改参数而恢复U口的使用。但是,这种方法的优点就是只限制移动存储设备,不影响键盘、打印机和鼠标的使用。
综上所述,我认为,最好的方法是建议省、市局编写禁用U口的程序软件,功能要编写得相对强大,补充其他软件不足之处,同时要能区分每台计算机上的每个U口,不然也起不到禁用非业务功能U口的效果。目前,在没有更好的方法的情况下,可以采取比较简单但实用的方法。只要每个使用人都明白移动存储设备作为计算机病毒及间谍软件传媒介质的厉害关系,明白网络安全的重要性,那么他就能限制自己随意地使用移动存储设备了。其实,不管采取那种方法关键的因素还是人的因素,都是人这个因素起作用,都无法限制人为地变更修改恢复。这恐怕也就是计算机病毒和网络间谍软件的由来了。所以,我们要严格网络信息安全管理制度,同时加强网络信息安全的教育工作。当然,这需要每个干部职工都高度重视网络安全,自觉维护网络信息的安全,而并非单纯地依靠制度或某种禁用方法,这才能真正使信息资源安全得到保障。