各個企業對於資安上的管控,常讓公司內的IT部門大傷腦筋,現在的資料外洩方式,包括了USB儲存裝置、WiFi、CD/DVD燒錄器、藍牙通訊裝置等等不勝枚舉,因各型企業的IT預算有限,或者是為了迎合管理端的需求,所以對於USB是否要封鎖,或者能夠做到的程度,在實際做法上存在著差異。

USB不僅會造成資料外洩的疑慮,如果有心人士利用已安裝好作業系統的隨身碟,再將該電腦設定為從USB啟動,就有可能以替換作業系統的方式,來剽竊電腦中的檔案。

但因應了個資法的上路,企業有必要對於有可能會把資料外洩的管道,再重新檢視一遍,特別是USB儲存設備,這個取得及使用門檻極低的小東西,卻往往是危害企業資安的致命殺手。

正因為利用USB埠來竊取資料的方式,現在的使用及取得門檻都很低,以企業來說,以Windows Active Directory(AD)來實施群組控管,是最為常見的方式,如果沒有建置Windows AD的公司要怎麼辦?還是有些方法,能夠達到限制或控管的目的。

從企業過去的管制作法來看,封鎖USB埠大多為了防止內部資料被使用者任意複製出去,而會使用較為傳統的方式,例如從BIOS設定、移除主機板跳接器(Jumper),或者乾脆用熱熔膠灌入來堵住USB埠,雖然這些做法成本低廉,且能達到確實封鎖USB的效果,但使用上缺乏彈性,且破解方法也很多。

隨著資安需求日益高漲,現在企業漸漸轉向採購資安管理系統,如DLP資料外洩防護、DRM數位版權管理、周邊裝置管理系統等,但這些較具使用彈性的解決方案,建置時間較長,成本也較為高昂,因此較適用於大型環境的部署。

達友科技副總經理林皇興表示,對於資安預算較少的企業而言,如果有大量電腦設備需行使USB封鎖,使用AD運用群組原則,無疑是最省錢也是效率最高的方法。

但IT部門對於使用者權限的控管,必然要很嚴密,萬一通用的網域管理者密碼或電腦本機管理者密碼被洩漏出去,使用者將可以輕易更改本機系統的機碼設定,進而破解各項權限。

趨勢科技台灣區技術顧問吳宗霖舉例,使用易碎貼紙也是企業封鎖USB埠的常見作法之一。

尤其是科技園區有訪客來訪時,為了怕內部資料被有心人士複製出去,常會在櫃臺處準備這種貼紙,封住訪客筆電上的對外連接埠,但這樣的作法容易衍生出問題。

其一是易碎貼紙易掉落或破損,在稽查上容易產生誤會;其二為訪客需時時注意易碎貼紙的完整度,以免後來遭到稽查時,因封在USB埠上的易碎貼紙破損或掉落,而產生誤會。

甚至有些公司對於這些違反政策的訪客筆電,會要求強制由他們的IT人員執行磁碟格式化,得不償失。

從上述企業對於USB封鎖的形式可以知道,一開始是使用較為節省成本的方法,如使用熱熔膠、易碎貼紙、停用BIOS的USB埠控制器,或者使用Windows AD派發群組原則,這些方法雖然也有效果,但相對會嚴重犧牲使用USB埠的彈性,而且若控管的電腦臺數一多,要落實管理,恐怕需要許多人力去稽查。

吳宗霖說,想要防止資料外洩與使用者希望資訊更方便流通,這兩者往往是互相拉扯的力道。在傳統作法上,想要降低資料外洩的風險,就一定得犧牲使用者對於資料流通的方便性。

也因此,現在企業在評估防止資料外洩的方案時,同時也會把使用者操作的方便性考慮進去。

例如,有些廠商建議企業要使用DLP資料外洩防護系統,或者周邊控管軟體,就能夠兼顧資訊安全以及使用者的方便性。

但是這些產品的導入成本較高,對於很少或沒有IT預算,甚至沒有IT人員的企業來說,導入此類控管系統的可行性極低。

所以,我們除了了解目前市面上各種適合大量部署的USB埠封鎖技術外,也不能忽視一些使用方式相對較為簡易的手段,雖然可能有人覺得太土法煉鋼、使用彈性也較為缺乏,但由於導入成本及實施速度快,或許比較適合用於小型企業,或者一些根本不需要控管彈性,而是要徹底禁止連外的電腦。

在這裡我們共歸納出13種可防堵USB埠的招式,從成本、建置時間、優缺點,來詳細剖析這些方案,並實測這些方法的可用性,對於封鎖USB埠的成效如何。


相關報導請參考「徹底搜查!封鎖USB 2012 最新13招」

熱門新聞

Advertisement