我们目前正在允许使用 USB 记忆棒,但政策更为严格。该政策的一些关键点是:
我在 wikipedia 上的这篇文章中阅读了有关安全威胁的信息:Usb_flash_drive#Security_threats,但我在准确解释允许 USB 记忆棒如何以及为什么是危险的时遇到了一些麻烦。我提出的一些观点:
是否有人对为什么使用 USB 驱动器很危险有任何其他争论,如果我们需要允许它们,也许还有任何关于政策的建议?
USB 驱动器允许在不受网络防火墙控制的情况下传播数据 - 因此,首先设置此类防火墙的任何原因都是禁止 USB 驱动器的一个很好的理由。
我看不出您如何执行禁止私人使用的政策。人们会使用 USB 驱动器来传输私人数据,只要他们的狗的最新照片,只要 USB 驱动器完全为用户工作,你就无法阻止这种情况发生。要强制执行安全策略,您至少需要具备以下条件之一:
如果您想允许使用 USB 记忆棒,我建议将其设置在运行类 Unix 系统的专用机器上(因此免疫 Windows 和 MacOS 病毒 - 为了额外的安全性,目标是保密设置,例如 NetBSD on旧的基于 PowerPC 的 MacIntosh 硬件),自动执行防病毒软件,并通过网络协议(例如 CIFS,或者可能是简单的本地 HTTP 服务器)导出(已验证的)USB 驱动器内容。至少这将避免充当键盘的 USB 设备出现问题。这可能会提示用户通过网络交换数据,从而在这种情况下不再需要 USB 驱动器。
至于 USB 设备的危险,你可以举个例子“PSJailbreak”,它是截至 2010 年中期最常见的 PS3 破解系统(那是在发现索尼在 ECDSA 方面的巨大失误之前)。PSJailbreak 看起来像一个 USB 密钥,但在内部充当具有四个虚拟设备的 USB 集线器,它们利用内核中的缓冲区溢出。
我在一家大型银行建立了一个商业案例,获得了资金并实施了可移动媒体控制。我写了我在这里学到的教训。
为什么需要可移动媒体控件的主要原因:
数据丢失预防- 如果您丢失了一个带有大量有价值数据的可移动设备,您不会被监管机构罚款,面对数据泄露报告并在您的利益相关者面前丢脸。查看 datalossdb.org 了解一些实际的 £/$ 事件,包括 HMRC 的大量损失。
数据泄露预防- 您关闭了员工窃取您信息的最简单和最大数量的方法之一,例如当他们离开竞争对手时。这对于高级管理层来说很容易理解,因为他们通常是需要获取“个人”数据的最大罪魁祸首。是的,还有其他方式,比如电子邮件,但人们会选择最方便的方式,一次关闭一个,或者至少加密和监控,这样你就知道正在复制什么
恶意软件- 正如您所提到的。HBGary 的例子是一个很好的例子,还有很多其他的例子。最初我没有这个作为驱动程序,因为我们的桌面 AV 似乎很有效。但如果现在实施,我肯定会推动限制 USB 和 AV 上的读取访问,但这对快速出现的威胁无效。
您的政策似乎合理,但我建议进行以下更改:
存储在 USB 和可移动媒体上的任何非公开数据都需要加密。这对于人们申请和开展宣传活动要容易得多,而不是要求人们对他们众所周知的不擅长的数据进行分类
只有公司提供的 USB 驱动器才能用于公司设备。简单的。我建议使用像 Ironkey 这样的硬件加密驱动器,并简单地阻止其他所有内容。
对可移动媒体的读取和写入访问权限只能在有业务原因的情况下提供,并得到您的直线经理的批准。访问应每季度重新认证一次。一些公司提供 24 小时或一次使用 USB 访问,但我认为以上提供了更好的风险和便利性平衡
任何一次复制活动都将由帮助台/桌面支持人员执行。他们将获得批准用于此活动的 USB 密钥。如果要复制的任何数据涉及复制公司数据以供个人使用(例如离开公司),您的直线经理和人力资源/合规部将批准任何要复制的数据。
当然,您还需要一个有效的策略例外流程,其中例外风险由 IT 安全部门审查并由业务部门批准。
虽然 U 盘确实存在安全风险,但它们也很有用。它们提高了生产力。我可以完全理解为什么一个组织可能希望允许使用 USB 记忆棒,但会采取一些缓解措施来尽可能地降低风险,而不会损失实用性/生产力。
在这种情况下,一个政策建议是:确保在整个组织中关闭自动运行。另一个建议是在所有 Windows 机器上使用防病毒软件,并确保将防病毒软件配置为在插入 U 盘时自动扫描 U 盘的内容(或按需扫描这些文件的内容)何时/之前访问它们)。
要将文件从一台机器传输到另一台机器,您可以考虑鼓励使用一次性写入 CD-R 和 DVD(不是可重写的种类)。这当然不太方便,但为了更方便,您可以尝试将空白 CD-R/DVD 供应放在容易取用的地方。我不知道安全利益(适度的)是否值得费心。