如何有效防护移动存储介质

设备检测

通过以下一些软件对移动存储介质进行检测，检测内容通常包括设备的主控芯片型号、品牌、设备的生产商编码（Vendor ID，VID）/产品识别码（Product ID，PID）、设备名称、序列号、设备版本、性能、是否扩容等。

• U盘之家工具包，http：//www.upan.cc。

• ChipGenius（芯片精灵），http：//www.hanzify.org。

• 鲁大师，http：//www.ludashi.com。

安装病毒防护软件

杀毒软件对于移动存储介质的实时查杀可以起到很好的防护效果，例如：

• 360安全卫士，http：//www.360.cn。

• 卡巴斯基PURE，http：//www.kaba365.com。

认证和加密

DeviceLock（http：//www.devicelock.com）、北信源（http：//web.vrv.com.cn）、中兴通信等公司开发的移动存储介质安全产品中都采用了基于移动存储介质唯一性标识的认证机制，即通过识别移动存储介质的VID、PID以及硬件序列号（Hardware Serial Number，HSN）等能唯一标识移动存储介质身份的属性，来完成对移动存储介质的接入认证。

移动存储设备通过接入认证后，对其中敏感信息的保护目前主要采用对称加密的方法。加密后的敏感信息只有通过接入认证的用户才能打开。

1）使用系统自带工具或第三方工具对移动存储介质加密，这些工具是：

• TrueCrypt（开源工具），http：//www.truecrypt.org。

• BitLocker（Windows系统部分版本自带），读者可在完成本章思考与实践的第16题时，了解加解密过程。

• FileVault（Mac OS系统自带）。

2）使用移动存储设备厂商提供的口令认证、加密功能。

• 闪迪（SanDisk）闪存提供的SecureAccess软件，http：//www.sandisk.com/products/software/secure access。

• 金士顿（Kingston）加密闪存盘提供的自动接入认证和加密功能。如图1所示，当该加密闪存盘插入USB口，系统自动弹出登录对话框，用户输入正确的口令后，即可读写盘中的文件，同时对存入的文件进行加密。

• 汉王U盘提供的指纹认证和加密功能。

• Corsair U盘提供的密码键及加密功能。

3）USB端口的访问控制。Windows系统中可以通过组策略设置禁用USB端口。具体步骤是：在开始菜单的“搜索程序和文件”栏中输入“gpedit.msc”，打开后进入“本地组策略编辑器”，接着单击“计算机配置”→“管理模板”→“系统”→“可移动存储访问”，可以找到包括设置移动存储的读写权限的相关命令。

还可以单击“计算机配置”→“管理模板”→“系统”→“设备安装”→“设备安装限制”，找到包括是否允许移动存储安装在本地计算机的相关命令。

4）强力擦除。使用强力擦除工具擦除存储介质上的信息。

• Privacy Eraser Pro，http：//www.privacyeraser.com。

• Tracks Eraser Pro，http：//www.acesoft.net。

5）提示和报警。用户可以安装Flash Disk Alert软件，若关机时未从主机拔出U盘，软件将给出报警，提醒拔出U盘。软件下载地址为http：//www.moveax.com/en/software/flash-diskalert.html。

6）备份和云存储。及时备份移动存储设备上的数据是很有必要的，云存储是一个很好的选择，利用云存储能够将本地的文件自动同步到云端服务器保存。

• 百度云，http：//yun.baidu.com。

• Dropbox，http：//getdropbox.com。

7）综合安全管理系统。对于移动存储介质的安全使用，必须全面考虑其接入主机前、中、后等不同阶段可能面临的安全问题，采取系统化的一整套安全管理措施。

• 接入认证，即对移动存储介质的唯一性认证。由于移动存储介质即插即用、使用方便，任何一个使用者不经认证即可随时将移动存储介质接入内网中任意一台计算机中。没有进行对移动存储介质的唯一性认证，则会导致事后出现问题时，也无从追查问题的起因及相关责任人。其关键是要实现“用户—移动存储介质”的绑定注册及身份授权。

• 健康检测，即对移动存储介质接入内网过程中系统的健康状态进行检测。在使用过程中使用者往往忽视对移动设备的病毒查杀工作，由于移动存储介质使用范围较广，不可避免地会出现在外网使用时感染计算机病毒的情况。如果不能及时有效地查杀病毒，在内网计算机打开感染病毒的文件时，很容易将病毒传播到内网中。例如，“摆渡”木马程序不需要连接网络就能轻易窃取内网计算机的重要数据。同时，如果注册介质和注册用户的身份变更或发生异常操作时，也会对内网数据信息造成破坏。

• 权限分配，即移动存储介质接入内网后，对其访问策略的分配及实施。不同身份的用户、不同健康状态的介质对内网计算机的使用权限是不一样的。通常的计算机并没有对介质使用者的身份以及操作权限进行限制，导致一些未授权用户不经限制就能够轻松获取内网加密信息或者是低密级用户非法访问高密级数据。避免出现上述问题的关键是要根据用户身份等级、介质健康状态进行相应的权限分配。

• 访问控制，通过对介质中的数据进行加密来进行访问控制。通过对介质唯一性标识的密钥分发对介质中的数据进行加密，这样即使移动存储介质不慎丢失，也不会发生信息泄漏问题；其次，信息数据在移动存储介质和内网间进行传输时，对传输通道采取加密保护，防止数据被不法分子所窃取。

日志记录与行为审计

日志记录与行为审计即对移动存储介质进行细粒度的行为审计及日志记录。尽管移动存储介质需要经过多重认证才能顺利接入终端，但其顺利接入终端并不代表它具有完全的安全性。通过对其接入的时刻和对文件的读、写、修改及删除等操作进行严格的审计与记录，即使出现安全问题，也能在第一时间找出问题起因及相关责任人。

一些安全厂商提供了类似功能的产品：

• 闪盾，成都巅峰科技http：//www.cddfkj.cn。

• 终端安全管理体系，北信源http：//web.vrv.com.cn/products.html。

• Endpoint Protector，http：//www.endpointprotector.com。

• GFI Endpoint，http：//www.gfi.com。