计算机USB接口是计算机内部网络信息泄漏发生的一个重要途径,随着科技的迅速发展,目前可以很轻松地通过USB端口设备如:U盘、USB移动硬盘 、移动刻录机、蓝牙以及其它USB接口的存储设备将计算机本机或者网络内部的信息非法复制出去,造成信息安全威胁,为防止非法用户从企业内部和个人PC机上盗取重要文件或资料,对USB接口上的存储设备进行监控的任务迫在眉睫。
一、电脑USB端口控制的背景
计算机USB接口是计算机内部网络信息泄漏发生的一个重要途径,随着科技的迅速发展,目前可以很轻松地通过USB端口设备如:U盘、USB移动硬盘 、移动刻录机、蓝牙以及其它USB接口的存储设备将计算机本机或者网络内部的信息非法复制出去,造成信息安全威胁,为防止非法用户从企业内部和个人PC机上盗取重要文件或资料,对USB接口上的存储设备进行监控的任务迫在眉睫。
二、目前在企业内部常见资料外泄的途径
1、通过USB接口外泄。
用户可把计算机上的机密文件直接拷贝到USB存储设备上然后带走,这是较主要也是较快速的窃取方法;
2、通过互联网方式进行传递。
非法用户可以把数据资料通过邮件、QQ、MSN或其他涉及互联网通信的工具进行窃取,该种方式缺点是在于若文件过大则传递速度较慢,且公司或企业交换机或路由器上有日志记录,同时也可以借助专门的网管软件——如聚生网管全能版来进行阻断和记录。
3、通过打印机打印机密文件达到窃取目的,这种方式目前不算太多,但也必须高度重视。
上述3种资料外泄途径中,后两种外泄途径公司可以在网络管理或制度层面上灵活控制,而对于较早种USB设备的控制上企业常常是无能为力,无从下手。
此外,通过U盘、移动硬盘等USB存储设备的自动运行,极有可能传播U盘病毒。U盘病毒又称Autorun病毒,是通过AutoRun.inf文件使对方所有的硬盘完全共享或中木马的病毒,随着U盘、移动硬盘、存储卡等移动存储设备的普及,U盘病毒也随之泛滥起来。据国家计算机病毒处理中心发布公告称U盘已成为病毒和恶意木马程序传播的主要途径。因此,有效控制U盘等USB移动存储设备的使用,可以极大地降低企事业电脑遭遇U盘病毒侵袭的风险,保护电脑商业机密和信息安全。
四、当前国内企事业单位网管人员限制USB接口的方法
1、 通过在BIOS禁止USB接口的使用。
这种方式虽然可以完全禁用USB接口的使用,但是会导致电脑的USB鼠标和键盘也不能使用,同时由于越来越多的主板逐步取消了PS2口(即鼠标、键盘专门的圆口),而集成了更多的USB口,从而导致企事业单位在禁用USB接口的同时面临着两难选择;同时,通过BIOS设置禁用USB接口也会面临着BIOS密码被破解或者通过拆开机箱放电的方式加以清除,从而可以进入BIOS系统里面轻松启用USB接口,导致这种封堵方式失效。
2、 通过安装USB端口控制软件来实现。
一些企事业单位的网管通过在被控制的电脑上安装客户端软件,然后通过网管电脑上的服务端软件来遥控客户端电脑,通过禁止USB接口驱动的方式来达到完全禁用USB接口的目的。例如,大势至公司旗下的“大势至电脑文件防泄密系统”(点击下载)就可以实现这样的U口控制功能。同时,通过本系统还可以实现只让特定U盘使用、只允许从U盘向电脑复制文件而禁止从电脑向U盘复制文件,或者从电脑向U盘拷贝文件必须输入密码等,通过本系统在禁用USB存储设备使用的同时不会禁用USB鼠标键盘等非USB存储设备。如下图所示:
此外,通过本系统还可以实现禁止邮件附件上传、禁止网盘上传电脑文件、禁止网页文件上传、禁止聊天软件发送文件等,防止通过网络途径泄密。
3、 通过对关键文件的加密来保护重要文件。
这种方式一般是借助于专门的加密软件来对公司重要的文件进行加密,访问、打开、修改、编辑必须要输入相关密钥或者借助于某种工具才可以进行。大势至公司同样推出了“大势至电脑文件加密软件”(点击下载),通过本系统不仅可以加密电脑硬盘文件,而且还可以隐藏电脑硬盘、隐藏磁盘分区,甚至还可以加密U盘文件。这样通过本系统加密之后,即便通过U盘复制出去,也必须输入密码才可以打开,否则将无法访问。
五、大势至商用安全计算机介绍
大势至(北京)软件工程有限公司通过深入了解当前国内企事业单位当前对USB接口控制的网络需求,以及当前国内网络管理技术对USB控制的诸多弊端和不足,提出了基于硬件层面的USB接口控制技术,可以达到完全禁用除USB鼠标和键盘以为的其他一切移动存储设备,从而可以为企业信息安全提供较严密的保护。
大势至商用安全计算机基于以下两个维度实现:
1、通过带有硬件锁的电脑安全机箱,防止员工私自在电脑插入U盘等USB存储设备的行为。
机箱允许插入USB鼠标键盘,但无法插入USB存储设备,而且还可以禁止蓝牙、无线网卡、手机、随身wifi等所有USB设备的使用。
2、基于英特尔AMT博锐技术强化电脑USB端口的管控
本技术部分基于英特尔AMT博锐技术原理构建,通过集成于特定主板的非易失性内存里面存储的监控程序向主板发送识别和控制指令,可以设定除USB鼠标和键盘以外的其他一切USB设备均无法识别和无法自动安装驱动(人工安装驱动亦不生效),从而可以不受客户端电脑重做系统、突破BIOS设置的问题,达到完全禁用USB存储设备的目的。同时,本技术也可以在一定情况下根据网络管理员的指令而恢复USB接口的使用。
本技术由于基于特定的主板进行实现,所以我们提供了以下实现方式:
1、 提供整体的电脑主机。也即由我公司根据用户的硬件配置需求,提供完整的主机,从而可以省却后续的管理和设置,客户可以直接使用。
2、 提供特定的主板。客户也可以根据自身的需要从我公司购买特定的主板而自行选配其他电脑配件,组装主机。
3、 根据客户现有的电脑进行升级改造,在尽量不改变现有电脑相关配置的情况下,同样可以达到完全禁用除USB鼠标键盘以外的其他USB存储设备。
总之,大势至(北京)软件工程有限公司推出的商用安全计算机可以从根本上杜绝局域网电脑私自使用USB移动存储设备盗取公司商业机密、传播U盘病毒的目的,从而可以在较大程度上保护企事业单位的商业机密和网络安全,为企事业单位创造更大的网络管理收益!
网友评论