当前,在企事业单位电脑管理中,如何有效管理USB端口的使用,尤其是防止员工私自插上U盘、移动硬盘、蓝牙等设备随意拷贝、复制公司的资料一直是令网管员十分头疼的问题。尤其是在一些涉密行业,如政府机关、军队、广告公司、设计单位等,一旦有涉密信息泄露出来将会给单位带来重大损失;同时,员工随意使用U盘也会极大地增加电脑中病毒的风险,从而给单位网络安全带来较大隐患。
一、企业数据防泄密、公司数据防泄漏背景
当前,在企事业单位电脑管理中,如何有效管理USB端口的使用,尤其是防止员工私自插上U盘、移动硬盘、蓝牙等设备随意拷贝、复制公司的资料一直是令网管员十分头疼的问题。尤其是在一些涉密行业,如政府机关、军队、广告公司、设计单位等,一旦有涉密信息泄露出来将会给单位带来重大损失;同时,员工随意使用U盘也会极大地增加电脑中病毒的风险,从而给单位网络安全带来较大隐患。
图:企业商业机密泄密途径
为此,有效监控USB接口使用、禁止U盘使用、监控移动硬盘、禁止蓝牙接入电脑等是当前网络管理的一个重要课题。
当前,企业局域网防止USB存储设备泄密主要通过以下方式实现:
1、通过设置BIOS禁止U盘、禁用USB存储设备的使用。
但是,这种方法一方面非常容易被通过BIOS放电的方式清除BIOS密码,从而可以进入BIOS系统而重新恢复USB的使用,从而可以重新使用U盘;
另一方面,通过完全禁止USB口的使用,也会导致电脑的USB鼠标、USB键盘或USB加密狗以及其他非存储的USB设备的使用,从而也带来极大不便。此外,一些单位还通过直接将USB口通过焊接的方式完全封死或者通过在主板上完全切断机箱前后USB数据线的方式而导致USB接口完全失效的情况,这种管理USB接口的方式同样也会导致其他非USB存储设备的使用;
2、通过保密机箱的方式来禁止U盘使用、屏蔽USB存储设备的使用。
通过安全保密机箱的方式,也就是使用USB接口必须通过钥匙开启USB端口前面的加锁盖的方式来放开USB接口使用,但是这种方式管理比较麻烦,极大地增加了网管的工作量,同时也会导致非USB存储设备的无法使用。因此,有效控制USB接口使用必须采用更加精细、便捷的方法,要实现完全禁止USB存储设备同时也不影响非USB存储设备使用的最终目的,这就必须借助第三方USB监控软件的方式来加以实现。
3、基于电脑USB端口控制软件来实现禁止USB存储工具的使用。
目前,国内一些上网行为管理软件提供商,在自家的产品中集成了限制USB接口使用的功能。尤其是采用一些基于C/S架构的上网行为管理软件,通过在员工的电脑安装客户端,然后通过网管员所在的服务端远程操控客户端的方式来达到禁止USB优盘使用、禁止移动硬盘、限制蓝牙使用同时不影响USB鼠标、键盘和加密狗使用的目的。
毋庸置疑,这种通过服务端远程监控客户端电脑的方式,可以在一定程度上实现监视USB使用、只允许USB鼠标、键盘和加密狗而禁止U盘、限制移动硬盘使用的目的。但是,由于这种客户端很容易被安全软件、杀毒软件视为病毒而进行查杀或禁止开机启动或禁止客户端的通讯端口等方式而导致客户端被移除或失效,从而无法再进行远程监控电脑USB接口的功能。因此,通过这种C/S架构的方式来控制电脑USB接口的使用变得比较脆弱,无法达到有效监视电脑USB接口使用的目的。
二、大势至电脑文件防泄密系统简介
有鉴于此,大势至(北京)软件工程有限公司实时推出了可以有效控制电脑USB口使用、防止电脑随意使用优盘的“大势至电脑文件防泄密系统”(下载地址:http://www.grabsun.com/wangguan.html)。大势至电脑文件防泄密系统是一款适用于Windows操作系统的USB设备监控管理软件。该软件适用于企业、政府、军队、广告公司、设计单位等对信息安全性有特殊要求的机构,主要用于防止外部或内部人员有意或随意使用U盘、移动硬盘等USB移动存储设备拷贝内部机密信息而给单位带来的重大损失,达到有效保护单位商业机密的目的。如下图所示:
图:大势至电脑文件防泄密系统界面
三、大势至电脑文件防泄密系统详细功能
1、可以完全禁止使用U盘、禁用移动硬盘、限制SD卡、禁止手机连接电脑、禁止平板电脑等所有带有存储功能的设备
目前,同类软件对USB存储设备或移动设备的控制,常常是基于修改注册表或USB驱动或隐藏盘符的方式来实现的,这种方式对于控制U盘使用有一定的作用,但是对于SD卡、移动硬盘,尤其是手机、平板电脑等带有存储功能的设备(现在智能手机动辄几十G的容量可以存储很多文件)常常无能为力,因为这些设备虽然采用USB接口进行传输,但是通讯协议则完全不同,加之第三方软件(如手机助手)的协助,使得通过注册表、修改USB驱动或隐藏盘符的方式很难有效应对此类存储设备,同时也极容易被一些稍懂技术人的通反向修改注册表、修复USB驱动或通过修改组策略而重新显示隐藏的设备而轻松绕过。
因此,当前国内同类限制U口使用的软件常常面临着功能上和安全上的不足和漏洞,无法充分保护电脑USB接口的安全。而大势至电脑文件防泄密系统采用Windows最底层的HOOK技术和文件驱动技术,可以在操作系统内核实时阻断USB设备接入以及用户向设备拷贝文件的动作,从而可以完全不受注册表、USB驱动或组策略的影响,理论上可以完全禁用一切带有USB存储功能的设备,最大限度保护了用户的信息安全和商业机密。
2、完全禁用光驱、禁止软驱的使用,同时还可以只禁止光驱刻录、限制刻录光驱的使用而不影响光驱播放功能。
目前,同类软件常常只能通过注册表、光驱驱动或组策略的方式来禁止光驱使用、禁止软驱使用。这使得这种方式一方面极容易被绕过或突破,另一方面也无法精确区分光驱的播放或刻录功能,不利于对光驱和软驱实现精准的控制。
3、完全禁用电脑COM口、禁止电脑端口使用、禁止打印机等外接设备的使用。
目前,大势至电脑文件防泄密系统可以完全禁用蓝牙、禁用串口、禁用并口、禁用1394口、禁用红外传输、禁用PCMCIA、禁用无线网卡、禁用有线网卡、禁用调制解调器等端口设备,从而防止了通过上述端口设备来外传或泄露公司商业机密的行为。同时,大势至电脑文件防泄密系统还可以根据用户的需要实时增加新出现的端口设备和最新出现的通讯技术而增加新的功能控制模块,从而可以实时、全方位保护电脑信息安全和文件安全。
4、全面保护操作系统的安全,禁止修改注册表、禁止修改组策略、禁止msconfig使用、禁止进入电脑安全模式、禁用任务管理器的使用、禁止设备管理器的使用等。
大势至电脑文件防泄密系统是国内独家集成了对操作系统全方位控制的安全软件。目前可以有效禁用注册表、禁用设备管理器、禁用组策略、禁止进入电脑安全模式、禁止任务管理器、禁止U盘启动电脑、禁止光盘启动操作系统等等功能,从而一方面极大地保护了操作系统自身的安全,另一方面也有效地保护了大势至电脑文件防泄密系统的安全,防止被控制电脑企图通过各种方式来破坏本系统的正常工作。
5、全面防止员工卸载、防止被杀毒软件误杀或拦截,最大限度保护电脑信息安全、保护企业商业机密的安全。
作为一款基于Windows内核技术构建的网络安全软件,由于运行在操作系统内核,同时在运行过程中要执行一些安全探测工作。因此,不可避免地被一些杀毒软件、网络安全防护软件视为病毒、木马而杀掉或拦截,从而影响了本系统功能的发挥。因此,我们集成了对第三方软件的防护功能,可以完全阻断当前国内所有主流杀毒软件、电脑安全软件对本系统的拦截和误杀,从而完全保证了本系统的正常工作。
总之,大势至电脑文件防泄密系统已经从单纯的管理电脑USB接口的软件,正在转变成一款有效管理电脑各种设备运行、加固操作系统安全的专业电脑安全管理软件,可以提供从电脑设备管理、操作系统安全加固、电脑信息安全和商业机密保护全方位的解决方案。
6、允许网管员设置禁止电脑运行程序的黑名单和只允许运行的程序白名单、禁止访问的网址黑名单和只让访问的网址白名单,从而增强了对电脑使用的控制。
大势至电脑文件防泄密系统新版本中增加了禁止运行的程序黑名单和只允许运行的程序白名单,以及禁止访问的网址黑名单和只让打开的网址白名单,从而可以实现禁止员工运行某些程序或只让电脑运行某些程序,同时也实现了禁止员工访问某些网站或只让员工访问某些网站的功能,实现了对员工上网行为的管理,防止员工随意安装程序、随意浏览网址的行为。
7、有效禁止网络热点、禁止360随身wifi、禁止百度随身wifi、屏蔽wifi共享精灵、禁止wifi万能钥匙的功能,防止员工私自使用这些随身wifi为自己的笔记本电脑、手机或平板电脑提供上网的功能。
当前,各种网络热点(类似于无线路由器)的工具的出现,使得员工可以轻松在自己电脑的USB端口来使用这些工具(尤其是以360随身wifi、百度随身wifi为代表)为自己的笔记本电脑、手机或平板电脑提供无线上网功能,从而一方面可以用于自己的娱乐、网购、下载或网址浏览等行为,另一方面也抢占了公司网络资源,并且对信息安全、网络安全造成潜在的威胁(员工可以轻松将电脑的重要文件通过无线传输发送到自己的笔记本电脑、手机或平板)。
因此,大势至电脑文件防泄密系统在新版本中实时增加了对这些随身wifi的控制,并实时跟进对市面上新增的随身wifi或类似工具的屏蔽功能,管理员工上网行为,保护电脑安全和商业机密。如下图所示:
图:大势至禁用U盘软件屏蔽随身wifi、禁用随身wifi的使用
而对于wifi共享精灵、wifi万能钥匙等无线wifi共享软件,由于其运行必须依赖于电脑自身的无线网卡,因此可以通过“大势至禁用USB软件”禁用电脑无线网卡的方式来屏蔽wifi共享精灵软件的使用;当然,如果你还需要用无线网卡,那么就不能禁用无线网卡的方式来禁用wifi万能钥匙了,这个时候我们可以通过大势至电脑文件防泄密系统的“禁止打开的程序”这里,可以添加禁止安装或运行的软件,这样我们可以将“wifi共享精灵”等软件,添加到“禁止打开的程序”列表,这样用户就无法安装wifi共享精灵软件,自然也就无法通过wifi共享精灵软件来上网了。如下图所示:
图:大势至USB禁用软件禁用无线网卡设置、禁止安装wifi共享精灵软件、禁止使用wifi共享精灵等
同时,如果你不想禁用无线网卡,则你也可以通过大势至电脑文件防泄密系统的“禁止打开的程序”的功能来实现禁止电脑安装“wifi共享精灵”,如上图所示,点击“设置禁止程序列表”,然后就可以在这里添加禁止安装wifi共享精灵,这样设置之后,被控制的电脑将无法安装wifi共享精灵等软件(修改软件名称也无法安装),由此我们就禁止电脑随身wifi和wifi共享精灵软件的使用。
8、禁止邮件发送、禁止网盘上传、禁止论坛附件上传、禁止FTP上传、只让特定QQ号登陆、只让特定阿里旺旺账户登陆、禁止QQ发送文件、禁止QQ群共享文件上传。
在企事业单位局域网中,不仅可以通过电脑USB端口、USB存储设备私自拷贝电脑文件、商业机密的行为,而且还可以轻松通过邮件附件发送、网盘上传、论坛上传附件、FTP外发、QQ发送文件、QQ群共享文件上传等等方式泄露公司商业机密的行为,为此大势至电脑文件防泄密系统集成了对上述网络应用程序的控制功能,可以完全防止通过网络泄露商业机密的行为,最大限度保护了单位的无形资产和商业机密。
此外,大势至屏蔽U口软件在禁止邮箱使用、屏蔽邮件附件发送的同时还可以只让使用特定邮箱、只允许使用某些邮箱,从而实现了灵活的邮箱使用控制。
9、独家既支持单机安装、单机管理,又支持基于C/S架构的服务端和客户端的管理,从而方便了用户的使用。
总之,大势至电脑文件防泄密系统是当前国内禁止电脑U盘、禁止电脑USB存储设备或其他外接设备功能最全、封堵最强,同时也是操作最简单的电脑信息安全防护软件,可以帮助企事业单位全面保护电脑重要文件的安全,防止被员工有意或无意拷贝、泄露等情况的发生,全面保护单位无形资产和商业机密。
10、可以为用户进行个性化定制,随时禁止各种电脑设备、禁止修改操作系统任何配置,全力保护电脑安全和商业机密。
大势至研发团队凭借在网络管理、网络安全防护领域多年的技术积累,可以实时为用户定制各种电脑管理功能,从而满足了用户个性化的、实时的网络管理需要。禁止使用手机存储就是大势至公司应国内某些客户的要求而开发的,也是同类USB控制系统无法做到的。
11、大势至电脑文件防泄密系统还独家为用户提供实时的”人工现场“技术支持服务(试用版同样提供),用户只需要点击软件界面上的”点击这里请求远程协助“,会弹出远程协助软件,并且会自动生成ID和密码(有时候需要稍等激活),然后就可以享受大势至公司的专业技术人员的”人工现场“服务。如下图所示:
图:点击这里即可远程协助
图:独家集成实时的“远程协助“服务,实时为用户提供”现场服务“,彻底免除用户后顾之忧!
总之,大势至电脑文件防泄密系统是当前国内安装部署最快捷、操作使用最简单、电脑文件防泄密功能最全面的电脑文件安全管理软件,可以全面保护电脑文件安全,防止通过各种途径泄密,保护单位无形资产和商业机密的安全。
网友评论