USB安全

USB存储盘的安全使用

admin

U盘等移动存储设备容量大,方便携带,是数据存储和交换的好帮手。但是它们也很容易丢失或感染恶意代码,如果其中存储有敏感或涉密数据的话,那可能造成的损失将会更加严重。

有的组织机构或单位部门会禁止使用USB接口,以保护计算机信息安全。由于这种作法同时会影响工作的便利性,所以也有不少公司将USB接口保留了下来,这就需要我们保护好移动存储设备特别是其中存储的数据的安全。

使用加密软件或者专用特制的加密闪盘是保护移动设备中数据的两种选择。专用特制的加密闪盘含有硬件加密芯片,除非攻破硬件算法和密钥,否则它很难被破解,但是它们的价格往往比较昂贵。

使用加密软件是一种比较经济实惠的方案,主要的U盘厂商都会附带免费的存储加密软件,不过它们往往都需要安装,在某些情况下这可能有些困难,并且耗费时间。使用类似TrueCrypt之类的加密软件,可以免安装而直接使用。

除了数据加密之外,我们还向您分享如何安全使用U盘的小提示:

  • U盘使用前先杀毒;
  • U盘打开时不采用“自动播放”;
  • U盘中的重要资料使用后及时删除;
  • 定期查杀电脑病毒,避免U盘感染;

更多关于便携式移动存储的安全考量

随着个人和组织将越来越多的数据进行数字化,能造成重大影响的数据泄露也变得越来越容易。当然,不能怪罪于方便、便宜的USB闪存棒和其他便携式存储设备,不过人们总可能使用它们来传输数据库和其他机密信息。除了滥用数据的危险之外,重大数据的泄露也会造成破坏性的负面效应。

这些设备构成至少如下两种威胁:

  • 用户可能有意或无意地绕过企业防火墙和防病毒等外围防御,并引入恶意软件,如特洛伊木马或病毒,如果不及时发现,可能会造成严重损害。
  • 公司面临失去知识产权和其他重要企业数据的风险。便携式存储设备非常适合打算窃取敏感和有价值数据的人员。如果员工无意中误用了这些设备,他们也可能会对丢失数据负责。

切记:数据丢失的影响往往会超出数据本身的商业价值。如下两点不容忽视:

  • 不同国家/地区有不同的隐私权法律。这意味着如果个人信息(属于公司客户或员工)最终落入未经授权的第三方手中,则可能导致更大的法律诉讼风险。
  • 由于信息泄露,公司的声誉可能会受到损害。对于必须保留客户隐私的区域(例如金融市场)的人来说尤其如此。

企业机构很容易获得便携式存储设备,以下是人们在使用便携式移动存储设备时可以采取的保护数据的关键措施。

政策

公司应禁止员工在工作电脑上使用不受控制的私有设备。该禁令应扩展到可直接访问公司网络的合作伙伴及外部承包商。

便携式存储设备无疑可为公司及其员工提供非常好的实际利益。但是,在许多情况下,完全禁止使用它们是不切实际的,可能还会适得其反。

一种更安全的选择是采取积极的控管政策,这会涉及在整个组织(政策)和特定工具(技术)方面采取某些安全措施。比如只允许使用官方授权的USB设备,而且在技术层面实现拒绝陌生U盘,基使其不能用于信息数据的拷贝。

加密、加密、加密

在讨论保护便携式存储设备的常用方法之前,值得强调的是在便携式存储设备上加密数据的益处经常被低估。昆明亭长朗然科技有限公司数据安全顾问董志军表示:具体而言,正确加密的数据提供了一个安全层,可防止从丢弃或出售的存储设备中挖出潜在的尴尬或具有破坏性的数据。

许多企业没有意识到可以使用现成的恢复软件从硬盘驱动器或USB驱动器等机械存储设备中轻松恢复已删除的文件。另外,如果想解开或重新构建先前加密的数据将耗费巨大,因为它需要原始的解密密钥。

与所有受密码保护的技术一样,设备加密往往会不可避免地带来用户忘记密码的糟糕风险。在某些情况下,正确的恢复密钥管理或密码管理工具可以缓解这种情况。因此,确保加密数据永远不是信息的唯一副本,并且在其他地方可以获得安全备份。

总结与启迪

当然,对于大型机构来讲,统一的标准化要求必不可少,应该考虑使用移动数据保护产品来加密企业级敏感数据。此外,相关安全标准与要求的宣贯,也得同步进行,以便如员工、外包商等能够理解和认同相应的安全要求,并在日常的移动存储设备使用行动中严格遵守。

希望我们的一些建议和倡议能帮助您。昆明亭长朗然科技有限公司是信息安全相关标准和准则宣传领域的领航者,我们的标准化课程内容涵盖各类主流安全法规与行标,定制化的内容设计服务可以满足各类型客户的个性化需求。如果您有任何相关的安全问题,或者有意见或建议,都欢迎您随时联系我们。如果您需要评估或采购安全、保密与合规相关宣教培训内容,也欢迎不要犹豫地给我们一个电话或消息。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

实实在的信息安全综合解决方案拒绝忽悠

admin

APT,Advanced persistent threat,高级可持续性威胁,是目前信息安全领域比较热门的一个词汇,不过不要被它那华丽的字眼和恐怖的描述所吓倒,当然,在遭遇黑客攻击之后也不要立即宣称受到APT攻击,企图受到谅解或蒙混过关。

让我们先看看它的定义,它通常指一个群体,例如外国政府,有能力和意图长期而有效地针对特定的目标(发动渗透攻击),这样说来单个黑客甚至小型的黑客团队即使再厉害,也算不上APT,因为他们力量微薄,攻击的方式方法有限,也不具有持续性。

除了在国家政治军事层面,目前比较公认的震网(Stuxnet)病毒属于APT,在商业领域,APT也经常会被用称呼基于互联网的商业间谍攻击,具体的方式包括:病毒感染、供应链渗透、社会工程等。

想主动利用病毒感染这种传统的方式入侵目标系统并不容易,多数商业组织都有安全网关,它往往使用特定的安全操作系统,只要更新及时并做好基本的安全加固,并不容易受到病毒的感染,而在网关的保护下,内网的计算系统往往不会被互联网直接访问到,直接进行病毒攻击也很难得逞,所以在国外流行扔U盘或其它终端计算设备,利用它们来感染拾到者的电脑,当然我们相信正常的防病毒系统会查出已知的病毒程序,而且新型防病毒系统也有些未知病毒的识别功能,不过要彻底防范,还需更多安全控制措施,更需要教育用户的安全防范意识。

通过供应链渗透则更是费事,多数组织在供应链及合作伙伴的安全管理上并非无所作为,通常会设置防火墙访问控制策略,并且在应用系统中设置帐户和数据的访问权限,所以想借助供应链从网络和应用系统层面入侵的成功性很小,但是不排除利用组织内部员工,比如假借供应链关系,通过收买或贿赂等手段在组织内部安放潜伏人员,这些招数也只能通过安全意识教育、安全行为监控、安全人员管理比如员工背景审查、签定保密协议等手段来约束。

社会工程防范基本上不能信赖技术控管措施,对组织并不熟悉的网络钓鱼、诈骗电话等等伎俩实际上很容易被内部员工识别出来,但前提是他们要有相关的安全防范意识,敢怀疑和挑战可疑的信息索取请求。

接连几年,知名信息安全公司Verizon持续进行着数据安全泄漏情况的调查,结果显示每年的数据泄露原因都无差别,大部分的受害者并没有受到未知的不明的或不可阻止的攻击,而是员工不小心插了受到感染的拇指硬盘、在电话里向坏家伙们提供了敏感信息、向“朋友”分享了进入系统的密码、点击了邮件中的钓鱼链接、或者放“合同工”或“同事”进入了组织的设施内部。

诚然,我们可以通过技术手段来控管这些ATP所借助的攻击渠道,比如禁用USB接口、过滤和实时监听电话交谈内容、使用多因素认证系统、监控邮件外发和接收、实施防尾随及防带人安保措施等等,然而这样做的代价太大,成本太高,而且仍然防不胜防,比较经济实用的防范方式是加强员工在安全防范方面的意识认知,提高其警惕性和对可疑人物及行为的识别能力。

亭长朗然科技有限公司的安全研究员James Dong称:“尽管企业很难成为APT的攻击目标,但是仍然可以从APT攻击手法中吸取适当的教训用于防范各类安全攻击,最重要的是要员工认识到安全不是其他人的问题或职责,而是自己的职责,只有每位员工都保护好了自己,并且积极帮助他人,组织才能获得全面的安全。”

别再拿APT忽悠一般商业客户了,他们根本不会成为APT攻击的目标,而且信息安全防范并不需要什么故弄玄虚的高招,脚踏实地遵循业界最佳操作实践,真心诚意为客户解决安全问题的方案,即使您的产品和服务并不能全面帮助客户,也应该让客户了解事实真相,这才是获得客户长久信赖的上策。