隨著計算機制造技術(shù)和應用技術(shù)的不斷發(fā)展，移動硬盤、U盤等移動存儲設備購置成本不斷降低，使用更為方便，由于其體積小、攜帶方便、海量存儲、不易損壞，移動硬盤、U盤等成為人們進行辦公信息處理的首選存儲設備，得到了廣泛的應用。大量的敏感信息、秘密數(shù)據(jù)和檔案資料被存儲在這些移動存儲設備中。同時，移動存儲設備的“移動”特性也為當前政府、軍事、金融以及企事業(yè)等單位的保密工作帶來了新的風險，成為人們廣泛關注的新的研究課題。

一、移動存儲設備帶來的安全隱患

(一)體積小、易丟失

移動存儲介質(zhì)由于體積小、重量輕，更容易丟失，而移動介質(zhì)本身往往沒有任何防護措施，一旦丟失或被盜，就會造成大量信息外泄。

(二)信息失效

作為檔案資料保管的存儲介質(zhì)如果保管不善，很容易造成存儲介質(zhì)不能讀取，信息不能復用，失去電子檔案的保存價值。

(三)病毒危害

在使用過程中使用者往往忽視對移動設備的查殺毒工作，由于移動設備使用范圍較廣，不可避免地會出現(xiàn)在外使用時感染計算機病毒的情況，如果不能及時有效地查殺病毒，輕易將染毒文件在單位內(nèi)計算機打開，很容易將病毒傳播到單位內(nèi)部網(wǎng)中，影響到單位內(nèi)計算機的應用操作。

(四)“擺渡”技術(shù)的威脅

如果病毒僅僅是破壞系統(tǒng)還不會造成泄密，但一旦與“擺渡”技術(shù)結(jié)合，其危害就十分嚴重了，該類木馬病毒會搜索本地的文件夾并通過因特網(wǎng)向指定的服務器發(fā)送數(shù)據(jù)，使得物理隔離的內(nèi)網(wǎng)與因特網(wǎng)之間有了連接的渠道。

(五)公私混用，存在一定安全隱患

由于U盤等移動存儲設備體積較小，海量存儲，便于攜帶，使用方便，因此存在著不少人將U盤等隨時攜帶和在不同的環(huán)境下使用的現(xiàn)象，造成單位的資料和個人的資料混雜在一起，不便于管理，容易出現(xiàn)使用上的差錯，當移動存儲體被借用時，存儲在移動存儲體中的一些重要信息資料存在泄露的風險。

(六)管理困難

缺少有效的移動設備管理監(jiān)督機制保密機構(gòu)和人員缺乏，難以適應計算機及信息技術(shù)發(fā)展工作的新要求，對移動設備管理缺乏可資借鑒的管理經(jīng)驗，對設備的信息安全檢查不到位，往往形成“感覺上重要，而行動上卻無從下手”的管理空白。

二、對策與建議淺析

對移動辦公設備的信息安全管理，仍應堅持“預防為主”的方針，以人為本，充分利用技術(shù)和管理兩種手段，達到有效防范信息失密的目的。

(一) 加強“人防”，構(gòu)筑人員安全關

1、加強保密知識和職業(yè)道德教育，提高全員個人綜合素質(zhì)，使全體員工在心目中樹立“哪些是可以做的， 哪些是不應該做的、哪些是需要防范的”的理念，從思想上筑起一道信息安全風險防范的“防火墻”。

2、要開展安全知識培訓，提高安全防范能力。對操作人員可以用網(wǎng)上攻擊案例教育大家，使他們充分了解計算機網(wǎng)絡存在的安全隱患，提高工作人員的安全保密意識和自我防范能力。

(二)突出“技防”，把好技術(shù)安全關

1、加密，即俏皮話在移動介質(zhì)上的信息都是加密處理的，必須通過的解密程序或密碼才能打開，這樣解決了數(shù)據(jù)的存儲問題，實現(xiàn)了信息的保密。

2、授權(quán)，即只允許授權(quán)過的移動介質(zhì)在內(nèi)部計算機上使用，未授權(quán)的移動介質(zhì)在內(nèi)部計算機上不可以使用，這樣解決了載體的身份問題，實現(xiàn)了訪問控制。

3、監(jiān)控，即對企圖使用未授權(quán)移動介質(zhì)的行為進行監(jiān)控，對使用過程中的讀、寫、復制等進行監(jiān)控，這樣解決了介質(zhì)的使用問題，實現(xiàn)了安全審計。

(三)注重“管理”，健全信息管理關

1、加強內(nèi)部管理，防范內(nèi)部風險 主要是進一步完善計算機保密制度，細化各個操作環(huán)節(jié)的管理規(guī)范和責任追究，明確界定涉密信息范圍，切實落實各項具體措施，使計算機安全保密工作有章可循，逐步實現(xiàn)計算機信息安全保密工作的規(guī)范化管理。首先，工作人員在使用筆記本電腦和移動存儲介質(zhì)(含U盤、MP3、軟盤、PAD、移動硬盤、數(shù)碼相機、數(shù)碼錄像機、移動存儲卡等)期間要做好防盜失、防損壞等保護工作。移動設備管理應當責任到人，未經(jīng)同意不得將筆記本電腦和移動存儲介質(zhì)轉(zhuǎn)借他人使用，盡量減少移動設備共用機會。其次，定期對筆記本電腦的操作系統(tǒng)、防病毒軟件進行升級維護及移動存儲介質(zhì)的防病毒、信息備份工作。再次，筆記本電腦和移動存儲介質(zhì)嚴禁存儲涉密的任何文件、數(shù)據(jù)。此外，工作人員原則上不得將軟盤附送服務對象，確實需要的，將軟盤格式化后，只拷貝指定內(nèi)容附送。

2、加強對移動辦公設備管理的監(jiān)督檢查主要是要形成一種機制，樹立管理權(quán)威。全面掌握單位筆記本電腦、移動存儲設備的使用管理情況，定期對筆記本電腦進行信息安全檢查，如果發(fā)現(xiàn)違規(guī)情況應進行通報批評，起到警示作用。對涉密筆記本電腦應嚴格管理，專人專用，專人管理，嚴禁在辦公室以外的地方使用。

3、加強對外來技術(shù)服務的管理

為了防范信息泄密，確保信息與網(wǎng)絡的安全，應當進一步規(guī)范外來技術(shù)服務工作，保證外來技術(shù)支持服務達到內(nèi)部網(wǎng)與信息系統(tǒng)安全管理要求，堵住外來技術(shù)人員通過隨身攜帶的移動設備在內(nèi)部網(wǎng)上傳播計算機病毒的途徑，防范外來人員通過技術(shù)服務方式竊取信息及重要業(yè)務數(shù)據(jù)的風險。

三、可信移動介質(zhì)管理解決方案

可信移動介質(zhì)解決方案，須滿足幾個基本要求：一是，通過移動介質(zhì)交換的數(shù)據(jù)必須是密文，保證數(shù)據(jù)離開應用環(huán)境后不可用;二是，數(shù)據(jù)交換前必須通過正確的身份認證，包括密碼認證或USB-KEY等授權(quán)硬件的身份認證;三是，記錄數(shù)據(jù)交換過程的工作日志，便于以后進行跟蹤審計;四是，未經(jīng)授權(quán)的移動介質(zhì)，在工作環(huán)境中不可用，只有經(jīng)過公司授權(quán)的移動介質(zhì)才能進入到公司的辦公環(huán)境;五是，工作配發(fā)的移動介質(zhì)帶出辦公環(huán)境后變?yōu)椴豢捎谩?/p>

為了滿足以上需求，很多企業(yè)采用消極、被動的管理方式，比如：通過封堵移動存儲設備端口(如USB端口)來禁止用戶使用移動存儲設備，或者通過每天早上派發(fā)和晚上回收移動存儲設備的方式來防止內(nèi)部員工通過移動存儲介質(zhì)泄露企業(yè)商業(yè)機密等等，這些給管理人員和員工都帶來了極大的不便，也降低了工作效率。根據(jù)以上思路，中軟信息安全實驗室研究開發(fā)了一套“可信移動存儲設備安全管理平臺”。 可信移動存儲設備安全管理平臺是利用信息保密、訪問控制、審計等技術(shù)手段，對企業(yè)移動存儲設備實施安全保護的軟件系統(tǒng)，使企業(yè)信息資產(chǎn)、涉密信息不能被移動存儲設備非法流失，用技術(shù)的手段，實現(xiàn)移動存儲設備信息安全的“五不”原則，即：進不來、拿不走、讀不懂、改不了、走不脫。 可信移動介質(zhì)管理系統(tǒng)的對象定位即移動存儲設備，包括軟盤、移動硬盤、U盤及其他移動存儲卡等移動存儲介質(zhì)。

可信移動介質(zhì)管理系統(tǒng)的功能包括：首先，它可以集中授權(quán)移動存儲設備;其次，要求移動存儲設備認證;再次，防止信息泄露;還有，實行數(shù)據(jù)加解密和操作行為的安全審計等。實現(xiàn)技術(shù)有以下幾項，如很顯然要用到的授權(quán)技術(shù)、身份認證技術(shù)和加/解密技術(shù)，另外還涉及到日志記錄和審計技術(shù)，即在整個環(huán)境中，無論移動介質(zhì)是否經(jīng)過授權(quán)，只要在終端上進行加載，所從事活動都將以日志形式記錄到服務器數(shù)據(jù)庫當中以供需要時查找。還有策略實施技術(shù)，即可根據(jù)安全要求不同設定不同的安全策略，在不同的終端上根據(jù)需求設定不同等級的安全策略，以方便使用。

移動存儲介質(zhì)的使用是大勢所趨，必須因勢利導，應堅持“預防為主”的方針，以人為本，充分利用技術(shù)和管理兩種手段，達到有效實現(xiàn)信息安全的目的。