山丽网安谈析数据防泄漏十大必备功能七 外设管理

       在《山丽网安谈析数据防泄漏十大必备功能》之前的系列文章中，都描述了“无纸化”办公的信息安全问题，而如今的政府基于“节能减排”的原则，也推行了“电子政务”的工作模式。那么政府部门在加快信息化步伐的同时如何保障信息安全呢？

政府行业特点：

      政府机构从事的行业性质是跟国家紧密联系的，所涉及信息可以说都带有机密性，所以其信息安全问题，如敏感信息的泄露等，都将对政府机构信息安全构成威胁。

政府行业安全需求：

      一般而言，网络安全更为重视如何防范外部的入侵，如建立网关和防火墙，内外网的物理隔离，涉及防病毒软件等。但是堡垒是最容易从内部被攻破的，政务信息更容易从内部窃取。不仅因为人员的操作问题造成信息安全问题，政务内网移动设备使用不当也会出现泄密问题。

      1.内外网交叉共用，存在失密隐患

      2.将外设存储介质介入外网，甚至接入互联网如此存在严重泄密隐患。

      3.多人共用，容易造成信息泄密

      因政务人员出差到外地办公或参加会议，外出需使用移动存储设备用于工作。这样存储到设备中的信息存在泄漏的可能。另外，如使用者没有养成及时清除使用信息的良好习惯，那么就会造成再次使用该硬盘的人得知处于保密阶段的资料或相关数据，便会出现信息失密情况。

      4.公私混用，存在一定的安全隐患

      由于移动存储设备具有体积小，存储量大，便于携带和使用方便的特点，因此不少人将其随身携带和在不同环境下使用。这样造成政府单位的资料和个人的资料混杂在一起，容易出现使用上的差错。另外当存储设备被他人借用是，存储在移动介质中的一些重要信息资料存在泄漏的风险。

      以上这些问题与政府部门对于外设存储介质防护管理不严有关，因此政府机构应该依据以下要求加大对外设介质管理的力度。

      应严格大容量存储介质的管理，采取技术措施防范外联风险，确保存储数据安全。

      应对移动存储介质进行集中统一管理，记录存储介质的领用、认证、维修、报废、销毁等情况。

      非涉密移动存储介质不得存储涉及国家秘密信息，不得在涉密计算机上使用。

      构建政府移动存储介质安全管理系统，技术手段在如今的保密工作中扮演着越来越重要的角色。山丽网安为政府机构提供完整性的防护手段。

山丽网安的解决之道：

      一般的客户希望限制电脑外设的使用，如禁止使用U盘。但是山丽网安的外设介质管理模块可以做到不仅限制电脑外设的使用，还可以特定U盘只能在特定的部门使用，对通过U盘拷贝的数据进行内容的记录，不再是使用日志的记录。政府机构可以根据需求严格控制移动存储设备并统一管理。

      严格大容量存储设备介质的管理，山丽网安的外设介质管理模块对于U盘分为以下几种分类，不同种类的USB有不一样的使用效果。

      认证USB：政府机构利用山丽网安防水墙数据防泄漏系统构建一个安全保密的环境，对于工作需要使用的USB，可以通过山丽网安的加/密软件控制台认证该工作使用的USB，这样认证过后的移动存储设备只能在安全保密的环境内使用，对于未安装防水墙数据防泄漏系统客户端的计算机是无法使用的。山丽网安针对政府机构的外设要求，将认证USB在认证的同时可以与特定计算机绑定或者与一个部门的办公计算机绑定。这样就避免了交叉使用带来的泄密威胁。

      注册USB：这是山丽网安可以掌控权限的通过政府机构认可的USB。这样可以区别于员工私人的USB。也可以理解为政府机构认可的。

      一般USB：未做过处理的USB。该USB是区分注册USB，也可以理解为是员工私人的USB。

      山丽网安通过对这三种USB进行管理，分为禁止、只读、读写和加密四种管理策略。对于除移动存储设备之外的管理策略包括禁止和允许。对所有引动存储设备以及其他终端均可以执行在线策略和离线策略。

在线策略

      选择认证USB会有关闭、只读、读写等在线权限。其中“关闭”就是不允许使用；“只读”是单向使用USB，不能将政府内部信息拷贝到U盘中，但是可以将U盘中的文件拷贝出来；“读写”则是双向使用USB，可以复制文件到U盘中，也可将U盘中的文件拷贝出来。但是，山丽网安在设定该策略时，特别设置了不允许修改U盘中的文件并保存。

离线策略

      与在线策略相对应，“关闭”就是不允许使用，“保持原状”则与在线策略的设置一致。

山丽网安的外设介质管理模块还有一个内容审计的功能。在控制台设置文件传输大小，这样从办公计算机本地拷贝到U盘里的文件不能超过控制台设置的文件大小，而拷贝的同时，后台会自动将文件上传到服务器，以备安全管理员查看。山丽网安的内容审计审核的是文件内容，而不是单纯的使用日志。做到谁看过，看过什么有据可查。

经典案例分析：

      上海杨浦区人民政府部门包括民政局、教育局、街道等与社会大众息息相关的有关职能部门。这些部门的数据资料对于杨浦区的民众来说，若发生泄漏事件，不仅个人信息遭到暴漏，也会给社区建设带来不好的影响。

      山丽网安的外设管理模块将杨浦区政府内部资料从标识识别到安全审计，做到非涉密介质介入进不来；涉密计算机存储的数据拿不走；非授权用户在盗取数据资料时看不懂；详细的内容审计让泄密者逃不掉！

      设备及身份认证：利用山丽网安的认证USB实现计算机与用户设备间的身份认证，保证没有标识的设备不能再杨浦政务内网的计算机上使用，有标识的设备不能在外网计算机上使用。

      安全管理员端负责杨浦政务内网的信息拷贝追踪工作。提取在移动存储设备的使用过程中包括注册信息、使用人、使用计算机、使用时间和文件内容等，对移动存储设备的整个使用过程进行监督和审计。

      山丽网安的外设介质管理模块通过认证和加密技术，提高了移动存储介质使用的安全性。与政府机构内部的严格管理形成“制度保障、组织管理、技术防范”的整体合力，从而构建了一个安全可信赖的政府内部工作环境。