通過以下一些軟件對移動存儲介質進行檢測,檢測內容通常包括設備的主控芯片型號、品牌、設備的生產商編碼(Vendor ID,VID)/產品識別碼(Product ID,PID)、設備名稱、序列號、設備版本、性能、是否擴容等。
U盤之家工具包,http://www.upan.cc。
http://www.upan.cc
ChipGenius(芯片精靈),http://www.hanzify.org。
http://www.hanzify.org
魯大師,http://www.ludashi.com。
http://www.ludashi.com
殺毒軟件對于移動存儲介質的實時查殺可以起到很好的防護效果,例如:
360安全衛士,http://www.#。
http://www.#
卡巴斯基PURE,http://www.kaba365.com。
http://www.kaba365.com
DeviceLock(http://www.devicelock.com)、北信源(http://web.vrv.com.cn)、中興通信等公司開發的移動存儲介質安全產品中都采用了基于移動存儲介質唯一性標識的認證機制,即通過識別移動存儲介質的VID、PID以及硬件序列號(Hardware Serial Number,HSN)等能唯一標識移動存儲介質身份的屬性,來完成對移動存儲介質的接入認證。
http://www.devicelock.com
http://web.vrv.com.cn
移動存儲設備通過接入認證后,對其中敏感信息的保護目前主要采用對稱加密的方法。加密后的敏感信息只有通過接入認證的用戶才能打開。
1)使用系統自帶工具或第三方工具對移動存儲介質加密,這些工具是:
TrueCrypt(開源工具),http://www.truecrypt.org。
http://www.truecrypt.org
BitLocker(Windows系統部分版本自帶),讀者可在完成本章思考與實踐的第16題時,了解加解密過程。
FileVault(Mac OS系統自帶)。
2)使用移動存儲設備廠商提供的口令認證、加密功能。
閃迪(SanDisk)閃存提供的SecureAccess軟件,http://www.sandisk.com/products/software/secure access。
http://www.sandisk.com/products/software/secure access
金士頓(Kingston)加密閃存盤提供的自動接入認證和加密功能。如圖1所示,當該加密閃存盤插入USB口,系統自動彈出登錄對話框,用戶輸入正確的口令后,即可讀寫盤中的文件,同時對存入的文件進行加密。
漢王U盤提供的指紋認證和加密功能。
Corsair U盤提供的密碼鍵及加密功能。
3)USB端口的訪問控制。Windows系統中可以通過組策略設置禁用USB端口。具體步驟是:在開始菜單的“搜索程序和文件”欄中輸入“gpedit.msc”,打開后進入“本地組策略編輯器”,接著單擊“計算機配置”→“管理模板”→“系統”→“可移動存儲訪問”,可以找到包括設置移動存儲的讀寫權限的相關命令。
還可以單擊“計算機配置”→“管理模板”→“系統”→“設備安裝”→“設備安裝限制”,找到包括是否允許移動存儲安裝在本地計算機的相關命令。
4)強力擦除。使用強力擦除工具擦除存儲介質上的信息。
Privacy Eraser Pro,http://www.privacyeraser.com。
http://www.privacyeraser.com
Tracks Eraser Pro,http://www.acesoft.net。
http://www.acesoft.net
5)提示和報警。用戶可以安裝Flash Disk Alert軟件,若關機時未從主機拔出U盤,軟件將給出報警,提醒拔出U盤。軟件下載地址為http://www.moveax.com/en/software/flash-diskalert.html。
http://www.moveax.com/en/software/flash-diskalert.html
6)備份和云存儲。及時備份移動存儲設備上的數據是很有必要的,云存儲是一個很好的選擇,利用云存儲能夠將本地的文件自動同步到云端服務器保存。
百度云,http://yun.baidu.com。
http://yun.baidu.com
Dropbox,http://getdropbox.com。
http://getdropbox.com
7)綜合安全管理系統。對于移動存儲介質的安全使用,必須全面考慮其接入主機前、中、后等不同階段可能面臨的安全問題,采取系統化的一整套安全管理措施。
接入認證,即對移動存儲介質的唯一性認證。由于移動存儲介質即插即用、使用方便,任何一個使用者不經認證即可隨時將移動存儲介質接入內網中任意一臺計算機中。沒有進行對移動存儲介質的唯一性認證,則會導致事后出現問題時,也無從追查問題的起因及相關責任人。其關鍵是要實現“用戶—移動存儲介質”的綁定注冊及身份授權。
健康檢測,即對移動存儲介質接入內網過程中系統的健康狀態進行檢測。在使用過程中使用者往往忽視對移動設備的病毒查殺工作,由于移動存儲介質使用范圍較廣,不可避免地會出現在外網使用時感染計算機病毒的情況。如果不能及時有效地查殺病毒,在內網計算機打開感染病毒的文件時,很容易將病毒傳播到內網中。例如,“擺渡”木馬程序不需要連接網絡就能輕易竊取內網計算機的重要數據。同時,如果注冊介質和注冊用戶的身份變更或發生異常操作時,也會對內網數據信息造成破壞。
權限分配,即移動存儲介質接入內網后,對其訪問策略的分配及實施。不同身份的用戶、不同健康狀態的介質對內網計算機的使用權限是不一樣的。通常的計算機并沒有對介質使用者的身份以及操作權限進行限制,導致一些未授權用戶不經限制就能夠輕松獲取內網加密信息或者是低密級用戶非法訪問高密級數據。避免出現上述問題的關鍵是要根據用戶身份等級、介質健康狀態進行相應的權限分配。
訪問控制,通過對介質中的數據進行加密來進行訪問控制。通過對介質唯一性標識的密鑰分發對介質中的數據進行加密,這樣即使移動存儲介質不慎丟失,也不會發生信息泄漏問題;其次,信息數據在移動存儲介質和內網間進行傳輸時,對傳輸通道采取加密保護,防止數據被不法分子所竊取。
日志記錄與行為審計即對移動存儲介質進行細粒度的行為審計及日志記錄。盡管移動存儲介質需要經過多重認證才能順利接入終端,但其順利接入終端并不代表它具有完全的安全性。通過對其接入的時刻和對文件的讀、寫、修改及刪除等操作進行嚴格的審計與記錄,即使出現安全問題,也能在第一時間找出問題起因及相關責任人。
一些安全廠商提供了類似功能的產品:
閃盾,成都巔峰科技http://www.cddfkj.cn。
http://www.cddfkj.cn
終端安全管理體系,北信源http://web.vrv.com.cn/products.html。
http://web.vrv.com.cn/products.html
Endpoint Protector,http://www.endpointprotector.com。
http://www.endpointprotector.com
GFI Endpoint,http://www.gfi.com。
http://www.gfi.com
回答所涉及的環境:聯想天逸510S、Windows 10。
設備檢測
通過以下一些軟件對移動存儲介質進行檢測,檢測內容通常包括設備的主控芯片型號、品牌、設備的生產商編碼(Vendor ID,VID)/產品識別碼(Product ID,PID)、設備名稱、序列號、設備版本、性能、是否擴容等。
U盤之家工具包,
http://www.upan.cc。ChipGenius(芯片精靈),
http://www.hanzify.org。魯大師,
http://www.ludashi.com。安裝病毒防護軟件
殺毒軟件對于移動存儲介質的實時查殺可以起到很好的防護效果,例如:
360安全衛士,
http://www.#。卡巴斯基PURE,
http://www.kaba365.com。認證和加密
DeviceLock(
http://www.devicelock.com)、北信源(http://web.vrv.com.cn)、中興通信等公司開發的移動存儲介質安全產品中都采用了基于移動存儲介質唯一性標識的認證機制,即通過識別移動存儲介質的VID、PID以及硬件序列號(Hardware Serial Number,HSN)等能唯一標識移動存儲介質身份的屬性,來完成對移動存儲介質的接入認證。移動存儲設備通過接入認證后,對其中敏感信息的保護目前主要采用對稱加密的方法。加密后的敏感信息只有通過接入認證的用戶才能打開。
1)使用系統自帶工具或第三方工具對移動存儲介質加密,這些工具是:
TrueCrypt(開源工具),
http://www.truecrypt.org。BitLocker(Windows系統部分版本自帶),讀者可在完成本章思考與實踐的第16題時,了解加解密過程。
FileVault(Mac OS系統自帶)。
2)使用移動存儲設備廠商提供的口令認證、加密功能。
閃迪(SanDisk)閃存提供的SecureAccess軟件,
http://www.sandisk.com/products/software/secure access。金士頓(Kingston)加密閃存盤提供的自動接入認證和加密功能。如圖1所示,當該加密閃存盤插入USB口,系統自動彈出登錄對話框,用戶輸入正確的口令后,即可讀寫盤中的文件,同時對存入的文件進行加密。
漢王U盤提供的指紋認證和加密功能。
Corsair U盤提供的密碼鍵及加密功能。
3)USB端口的訪問控制。Windows系統中可以通過組策略設置禁用USB端口。具體步驟是:在開始菜單的“搜索程序和文件”欄中輸入“gpedit.msc”,打開后進入“本地組策略編輯器”,接著單擊“計算機配置”→“管理模板”→“系統”→“可移動存儲訪問”,可以找到包括設置移動存儲的讀寫權限的相關命令。
還可以單擊“計算機配置”→“管理模板”→“系統”→“設備安裝”→“設備安裝限制”,找到包括是否允許移動存儲安裝在本地計算機的相關命令。
4)強力擦除。使用強力擦除工具擦除存儲介質上的信息。
Privacy Eraser Pro,
http://www.privacyeraser.com。Tracks Eraser Pro,
http://www.acesoft.net。5)提示和報警。用戶可以安裝Flash Disk Alert軟件,若關機時未從主機拔出U盤,軟件將給出報警,提醒拔出U盤。軟件下載地址為
http://www.moveax.com/en/software/flash-diskalert.html。6)備份和云存儲。及時備份移動存儲設備上的數據是很有必要的,云存儲是一個很好的選擇,利用云存儲能夠將本地的文件自動同步到云端服務器保存。
百度云,
http://yun.baidu.com。Dropbox,
http://getdropbox.com。7)綜合安全管理系統。對于移動存儲介質的安全使用,必須全面考慮其接入主機前、中、后等不同階段可能面臨的安全問題,采取系統化的一整套安全管理措施。
接入認證,即對移動存儲介質的唯一性認證。由于移動存儲介質即插即用、使用方便,任何一個使用者不經認證即可隨時將移動存儲介質接入內網中任意一臺計算機中。沒有進行對移動存儲介質的唯一性認證,則會導致事后出現問題時,也無從追查問題的起因及相關責任人。其關鍵是要實現“用戶—移動存儲介質”的綁定注冊及身份授權。
健康檢測,即對移動存儲介質接入內網過程中系統的健康狀態進行檢測。在使用過程中使用者往往忽視對移動設備的病毒查殺工作,由于移動存儲介質使用范圍較廣,不可避免地會出現在外網使用時感染計算機病毒的情況。如果不能及時有效地查殺病毒,在內網計算機打開感染病毒的文件時,很容易將病毒傳播到內網中。例如,“擺渡”木馬程序不需要連接網絡就能輕易竊取內網計算機的重要數據。同時,如果注冊介質和注冊用戶的身份變更或發生異常操作時,也會對內網數據信息造成破壞。
權限分配,即移動存儲介質接入內網后,對其訪問策略的分配及實施。不同身份的用戶、不同健康狀態的介質對內網計算機的使用權限是不一樣的。通常的計算機并沒有對介質使用者的身份以及操作權限進行限制,導致一些未授權用戶不經限制就能夠輕松獲取內網加密信息或者是低密級用戶非法訪問高密級數據。避免出現上述問題的關鍵是要根據用戶身份等級、介質健康狀態進行相應的權限分配。
訪問控制,通過對介質中的數據進行加密來進行訪問控制。通過對介質唯一性標識的密鑰分發對介質中的數據進行加密,這樣即使移動存儲介質不慎丟失,也不會發生信息泄漏問題;其次,信息數據在移動存儲介質和內網間進行傳輸時,對傳輸通道采取加密保護,防止數據被不法分子所竊取。
日志記錄與行為審計
日志記錄與行為審計即對移動存儲介質進行細粒度的行為審計及日志記錄。盡管移動存儲介質需要經過多重認證才能順利接入終端,但其順利接入終端并不代表它具有完全的安全性。通過對其接入的時刻和對文件的讀、寫、修改及刪除等操作進行嚴格的審計與記錄,即使出現安全問題,也能在第一時間找出問題起因及相關責任人。
一些安全廠商提供了類似功能的產品:
閃盾,成都巔峰科技
http://www.cddfkj.cn。終端安全管理體系,北信源
http://web.vrv.com.cn/products.html。Endpoint Protector,
http://www.endpointprotector.com。GFI Endpoint,
http://www.gfi.com。回答所涉及的環境:聯想天逸510S、Windows 10。