内网移动存储设备安全管理方案的探讨

王伟雄

（广州民航职业技术学院，广东广州 510403）

内网移动存储设备安全管理方案的探讨

王伟雄

（广州民航职业技术学院，广东广州 510403）

文章通过对计算机网络中内网移动存储设备安全现状的分析，提出针对内网移动存储设备的安全管理解决方案，从技术和管理等方面阐述在内网移动存储设备安全管理方案制定中的关键问题，加强对内网移动存储设备进行妥善管理，防止信息泄密的方案。

内网；移动存储设备；安全管理

2014年1 月各大媒体相继报道了“湖南冷水江市公务员工资‘被公开’”的消息，经查造成该信息被泄露的原因是由于湖南省冷水江市财政部门管理人员在自己工资查询系统上设置了一个弱密码，被网友发现后将密码公布于网络，从而导致该市公务员工资的详细信息被众多互联网用户浏览到。

上述是一起典型的单位内部数据信息外泄事件。从表面来看，这是由于该市工资查询系统与开放的互联网连接，缺乏必要的安全保护措施所引起。但是，随着互联网、移动存储设备的应用，越来越多的企业或机构想将本部门的内网与外网(因特网)完全区分已经非常困难，那么该如何对企业内部的数据进行安全防护呢？在这种情况下，怎样才能保障企业的信息安全呢?相信每个企、事业部门内的IT管理者都会关心问题的答案。所以内网安全管理是非常重要和必要的，而内网移动存储设备的安全管理不可能单独存在的，它和内网安全管理相互依存，它是内网安全管理重要组成部分和一个复杂的系统工程。

1 内网移动存储设备安全现状概述

保证内网信息安全的重要手段是对内网中所使用的移动存储设备进行有效和安全的管理。移动存储设备作为现代信息的载体，它具有灵活性和便捷性，从而使它迅速得到普及，当移动存储设备里存储越来越多的敏感信息、秘密数据和档案资料时，而目前对于移动存储设备的管理是非常不规范的，但大多数单位缺乏严格的保密管理措施，要不是保密管理措施不具体，更甚者它就根本未被纳入保密管理范畴内：对涉及保密的软盘、磁盘、移动硬盘等没有进行登记，没有进行加密标识，与普通存储设备混合使用，出现故障后随便丢弃或重新格式化后继续使用等。上述这些现象肯定会给企、事业单位的涉密和敏感信息资料带来了非常大的安全隐患，具体情况分析如下：

第一种情况是单位工作人员在内部使用了没有纳入管理的移动存储设备，如个人U盘、移动硬盘、软盘或光盘等，造成携带各种计算机病毒或恶意代码侵入内部网络，从而造成电脑病毒的传播和泛滥。

第二种情况是一些带有恶意的内部工作人员使用移动存储设备把本单位重要数据复制带出外面，从而造成本单位涉密信息向外涉密。

第三种情况是当移动存储设备丢失或者被盗后，存储在移动存储设备上的内网涉密数据或文件很容易失控，从而造成信息泄密。

2 内网移动存储设备的安全管理方案探讨

通过上述内网移动存储设备泄密隐患的分析，本文提出内网移动存储设备安全管理的解决方案，目的是消除移动存储设备引起泄密的隐患，保证内网涉密信息的安全，下面列举几种具体的解决方案。

2.1 建立统一的用户身份管理认证体系

建立统一的用户身份管理认证体系主要是通过移动存储设备的注册授权、权限管理、访问控制、数据保护等多种手段，既防止外部非法移动设备在内网中使用，又可防止因内部移动存储设备丢失等而造成的数据信息泄密，同时通过对内网移动存储设备的统一管理，记录移动存储设备的使用情况，使得内部移动存储设备可控制可管理，具体的系统部署如图1所示。

2.2 建立内网安全管理平台

建立基于内网安全和可信计算理论研发的内网安全系列管理平台，就是以密码技术为支撑，以身份认证为基础，以数据安全为核心，以监控审计为辅助，灵活全面的定制并实施各种安全策略，可以解决用户在传统PC架构下的数据安全问题，并可针对内部网络的用户身份和计算机终端管理、数据信息保密、数字知识产权保护、应用系统保护、文档安全保密以及网络状况监控维护等安全问题提出了整体的解决方案。

内网安全管理平台可以从信息的源头开始抓安全，对信息的存储、交换和使用等环节实现全面保护，并可通过主动加密、事前控制、事中监视、事后审计等四种手段相结合，可以达到外部入侵进不来、非法外接出不去、内外勾结拿不走、拿走东西看不懂的效果，有效防止机密敏感信息的泄露，为企、事业单位构建了一个可信可控的内网环境。

2.3 建立移动存储设备的安全管理平台

移动安全管理平台由移动安全接入系统、移动终端管理系统、移动安全应用系统和移动安全SDK等四个子系统组成。

移动安全接入系统从网络的移动用户身份安全、移动终端接入安全、网络通信安全和应用访问控制等环节进行综合安全防护，为用户确认合法使用者提供安全通道，并通过移动安全接入网关实现应用系统的访问控制。

移动终端管理系统为企业用户提供终端设备的远程管理能力，包括终端存储设备及端口的管理、软硬件资产日志审计报表、远程数据管理及销毁等。

移动安全应用系统以应用系统支撑框架为基础,提供插件式安全应用。实现安全应用数据加密、环境安全。

移动安全SDK提供基于移动安全管理平台开发所需的函数、说明文档、相关工具及示例。通过SDK开发可实现安全身份认证、数据传输加密、数据存储加密等功能。

2.4 建立科学规范的管理制度

既然移动存储设备管理存在那么多安全隐患，企、事业单位就应该在上述措施的基础上，建立起一套系统的、科学高效、规范的管理制度并严格执行，具体如下：

第一，移动存储设备管理一定要遵循“统一购买、统一标识、登记注册、集中管理、责任到人”的原则。

第二，绝对禁止私人携带移动存储设备进入办公区域，移动存储设备不单单包括U盘、移动硬盘、数据相机、存储卡、带拍照和存储功能的手机等。

第三，涉及秘密的移动存储设备由单位指定的相关部门负责统一购买，所购置的设备必须为正规厂商生产的合格产品。

第四，各单位一定要建立起统一的移动存储设备资料库，记录设备的密级、用途、硬件特征码、管理部门、责任人等信息备查，涉及机密的移动存储设备要在显著位置上粘贴密级标识。所标密级应按其所存储信息的最高密级进行标识。

第五，各单位建立移动存储设备发放流程，由专门人员来负责设备的发放工作，使用移动存储设备的部门或者个人必须提出申请，且要说明用途，再到信息安全管理员处领取使用。

第六，如移动存储设备损坏不得私自拆卸，禁止将损坏的涉密移动存储设备出售给他人或随意丢弃，一定要交回信息安全管理部门统一进行处理。

第七，涉及机密的移动存储设备禁止送到外处进行维修，如需要维修必须经单位主管领导批准后并且要在单位信息安全管理员的监督下进行修理。

第八，再不使用或报废的涉及机密的移动存储设备，一定要交回信息安全管理部门，采用保密技术手段保证所存储信息不可恢复或者进行物理销毁。销毁涉及机密移动存储设备必须经单位领导批准后并且要履行登记、相关人员签字等手续。

总之，如要实现对内网移动存储设备的安全管理，就必须使用严格的身份认证系统和网络安全管理系统，而且还要建立起一套科学严谨、细致完备、权责分明、高效有序的管理制度以确保系统的规范正常运行，不然内网移动存储设备的安全管理就根本无法实现。

3 结束语

移动存储设备的广泛应用为人们的信息传递带来了无限的方便，但是也给计算机和信息的安全带来了很大的隐患。如何对移动存储设备的使用进行规范和有效的管理，成为计算机安全研究者们越来越重视的一个课题。目前一般企、事业的信息安全事故主要由企业内部的员工通过勾结外部人员所为，为防范这种泄密行为对企业造成的损失，应该从源头上来预防，可以采取内控为主，内外兼顾的防范方式，提高内部设备的安全性，尽量避免企业内部的信息泄密，以求消除内网移动存储设备中的各种泄密隐患，确保网络的安全。

[1] 曾朝蓉.内网安全管理方案探讨[J].网络安全技术与应用，2009⑼.

[2] 张翼春. 信息安全管理为先[J]. 计算机安全，2006⑴.

[3] 金波，张兵，王志海.内网安全技术分析与标准探讨[J].信息安全与通信保密，2007（7 ）.

[4] 王毅彦.国家电子政务信息安全平台研究[J].计算机安全,2005⑹.

Exploration on Intranet mobile storage device security management scheme

WANG Wei-xiong
(Guangzhou Civil Aviation College, Guangzhou, Guangdong, China 510403）

Through the analysis of the security status of internal computer network in the mobile storage device, this paper is proposed to solve the security management for network of mobile storage equipment. It describes the key problems in the development of security program management network in mobile storage devices from the technical and management aspects.The proper management of Intranet mobile storage device should be strengthened to prevent the leakage of information.

Intranet; mobile storage device; security management

10.3969/j.issn.2095-7661.2014.02.0015】

TP309

A

2095-7661(2014)02-0064-03

2014-04-14

王伟雄（1974-），男，广东河源人，广州民航职业技术学院讲师，研究方向：通信、网络技术、项目管理。