封鎖USB的最新方法

前陣子有人問我一個問題，他在公司內部會議討論個資法的因應措施，在討論到如何防止個人電腦的資料經USB埠外洩時，資訊部門提供了一個解決方法。他進一步確認該方法是否牢靠，結果資訊部門回答說這個方法是iThome周刊第343期寫的。

這說的沒錯，我還沒忘記這件事，我們確實曾經做過封鎖USB埠的題目，但詳細一查才發現，這個題目是在2008年做的，已經是4年前的事了。當他問我們寫的方法是不是還有效，說實在的，事隔4年我還真的不太有把握。

於是我們趕緊再全面盤查一遍封鎖USB的最新方法，最後統整成13種做法，在本期的封面故事呈現。其中大部分的方法，是跟我們在2008年寫的一樣，不過這次我們也發現了一些新的工具。

針對這13種USB封鎖方法，我們還依據安全性及解鎖彈性打了分數。或許有人看了這個比較表會有點納悶，其中有些方法的安全性評價極低，那為何還要介紹這些不牢靠的做法。

其實，安全性、便利性與成本，這三者時常是很難兼顧的。高度安全的做法，通常就是在流程上層層把關，甚至是釜底抽薪，例如讓電腦沒有任何網路連線，拆掉所有的USB埠、I/O埠，這麼做可以徹底防止資料被轉出，確保最高等級的安全性，可能特定一些部門的員工可以用這種方式工作，但絕對無法適用於公司的所有員工，因為工作起來不方便，甚至是無法工作。

而既安全又便利的方法，通常就要相對付出較高的成本。然而，可不是所有公司都有足夠的預算，而且，現在是所有公司都要符合個人資料保護法的要求，在蒐集與使用個人資料上除了要遵循法律的規定，也必須防範個人資料的外洩，對於每臺電腦都有的USB埠，就必須採取防護措施，畢竟USB是資料外洩的最大管道。所以，小企業也不能認為封鎖USB一定要花大錢買專業的軟體，而不做任何管制。

比較實際的做法是，我們必須從風險的角度來評估USB封鎖政策。依照不同情境、不同使用需求的情況下，企業所能承擔的風險，以及企業可負擔的成本，找出一組可行的作法。

例如，從電腦的BIOS設定中關閉USB功能的作法，雖然是安全性較低的方法──因為只要把BIOS的電池拔掉，BIOS設定就會回復到出廠預設值，也就是開啟USB埠的狀態，但這個方法也不見得完全不可行。如果有些電腦原本就有機殼上鎖的設計，那麼只要再加個鎖，並由專人妥善保管鑰匙，從BIOS封鎖USB就是一個可行的方法，而且不花一毛錢。又或者你能確定某個部門所有人連開啟電腦機殼都不會，甚至也完全不想去碰電腦，而這些電腦的資料外洩風險也不高，即使電腦沒辦法上鎖，也可以由BIOS封鎖USB。雖然在做法上留有安全漏洞，但經過風險評估之後，有做起碼比完全沒有任何管制來得好。

這次全面盤查過USB封鎖方法之後，我們也發現一些過去不知道的工具。例如有一種I/O埠遙控鎖，只要在電腦內安裝特製的硬體介面卡，就能透過遙控器來控制I/O埠的關閉與開啟。這也適用於USB埠，對於需要頻繁切換USB埠開關的使用情境而言，USB遙控鎖就非常好用。當然，這並不是完美的解決方案，因為會受制於特定的作業系統。

USB儲存裝置雖然是個小東西，但國內外諸多資料外洩事件，都肇因於USB儲存裝置外洩。所以，管制好USB，絕對是防止個資外洩不能忽視的重要步驟。

吳其勳／iThome電腦報周刊總編輯