2.3 案例拓展：移动存储介质安全问题分析与对策

1.移动存储介质安全问题分析

移动存储介质主要是指通过USB端口与计算机相连的U盘、移动硬盘、存储卡、iPod等，它们具有体积小、容量大、价格低廉、方便携带、即插即用等特点，不仅在信息交换的过程中得到广泛应用，也可以作为启动盘创建计算环境。因此，移动存储介质有着广泛的应用。

移动存储介质在给人们带来极大便利的同时，还存在以下一些典型的安全威胁：

●设备质量低劣，设备损坏。

●感染和传播病毒等恶意代码。

●设备丢失、被盗以及滥用造成敏感数据泄漏、操作痕迹泄漏。

通过移动存储介质泄露敏感信息是当前一个非常突出的问题。内、外网物理隔离等安全技术从理论上来说构筑了一个相对封闭的网络环境，使攻击者企图通过网络攻击来获取重要信息的途径被阻断了。而移动存储介质在内、外网计算机间频繁的数据交换，使内、外网“隔而不离、藕断丝连”，很容易造成内网敏感信息的泄露。例如，一种运行在iPod等移动存储设备中的Pod Slurping隐蔽程序，能从企业计算机系统中非法下载敏感数据，给企业造成巨大的损失。2010年4月起，“维基解密”网站相继公开了近十万份关于伊拉克和阿富汗战争的军事文件，给美国和英国等政府造成了极大的政治影响。经美国军方调查，这些文件的泄露是由美军前驻伊情报分析员通过移动存储介质非法复制所致。2013年的斯诺登事件更是让大家关注的敏感信息泄露问题。

传统的数据窃取都是使用移动存储设备从计算机上窃取数据，但是Bruce Schneier于2006年8月25日在他的博客中介绍了一种新的数据盗取技术——USB Dumper，它寄生在计算机中，运行于后台，一旦有连接到计算机上的USB设备，即可悄悄窃取其中的数据。这对于现今普遍使用的移动办公设备来说，的确是个不小的挑战。USB Dumper这类工具的出现，提出了对USB设备的数据进行加密的要求，特别是需要在一个陌生的环境中使用移动设备的时候。读者可以在完成本章思考与实践的第19题时，体验一下USB Dumper这类工具的危害，了解其原理并思考对其如何改造利用。

2.移动存储介质安全防护

如何有效保护移动存储介质中的敏感信息，已经成为一项重要的课题。本节介绍一些常用的防护方法，包括：针对设备质量低劣的威胁，进行设备的检测；针对感染和传播恶意代码，可以安装病毒防护软件；针对信息泄露和痕迹泄露，进行认证与加密、访问控制、强力擦除等防护。

（1）设备检测

通过以下一些软件对移动存储介质进行检测，检测内容通常包括设备的主控芯片型号、品牌、设备的生产商编码（Vendor ID，VID）/产品识别码（Product ID，PID）、设备名称、序列号、设备版本、性能、是否扩容等。

●U盘之家工具包，http：//www.upan.cc。

●ChipGenius（芯片精灵），http：//www.hanzify.org。

●鲁大师，http：//www.ludashi.com。

（2）安装病毒防护软件

杀毒软件对于移动存储介质的实时查杀可以起到很好的防护效果，例如：

●360安全卫士，http：//www.360.cn。

●卡巴斯基PURE，http：//www.kaba365.com。

（3）认证和加密

DeviceLock（http：//www.devicelock.com）、北信源（http：//web.vrv.com.cn）、中兴通信等公司开发的移动存储介质安全产品中都采用了基于移动存储介质唯一性标识的认证机制，即通过识别移动存储介质的VID、PID以及硬件序列号（Hardware Serial Number，HSN）等能唯一标识移动存储介质身份的属性，来完成对移动存储介质的接入认证。

移动存储设备通过接入认证后，对其中敏感信息的保护目前主要采用对称加密的方法。加密后的敏感信息只有通过接入认证的用户才能打开。

1）使用系统自带工具或第三方工具对移动存储介质加密，这些工具是：

●TrueCrypt（开源工具），http：//www.truecrypt.org。

●BitLocker（Windows系统部分版本自带），读者可在完成本章思考与实践的第16题时，了解加解密过程。

●FileVault（Mac OS系统自带）。

2）使用移动存储设备厂商提供的口令认证、加密功能。

●闪迪（SanDisk）闪存提供的SecureAccess软件，http：//www.sandisk.com/products/software/secure access。

●金士顿（Kingston）加密闪存盘提供的自动接入认证和加密功能。如图2-12所示，当该加密闪存盘插入USB口，系统自动弹出登录对话框，用户输入正确的口令后，即可读写盘中的文件，同时对存入的文件进行加密。

●汉王U盘提供的指纹认证和加密功能，如图2-13所示。

●海盗船（Corsair）U盘提供的密码键及加密功能，如图2-14所示。

3）USB端口的访问控制。Windows系统中可以通过组策略设置禁用USB端口。具体步骤是：在开始菜单的“搜索程序和文件”栏中输入“gpedit.msc”，打开后进入“本地组策略编辑器”，接着单击“计算机配置”→“管理模板”→“系统”→“可移动存储访问”，可以找到包括设置移动存储的读写权限的相关命令，如图2-15所示。

还可以单击“计算机配置”→“管理模板”→“系统”→“设备安装”→“设备安装限制”，找到包括是否允许移动存储安装在本地计算机的相关命令，如图2-16所示。

4）强力擦除。使用强力擦除工具擦除存储介质上的信息。

●Privacy Eraser Pro，http：//www.privacyeraser.com。

●Tracks Eraser Pro，http：//www.acesoft.net。

美国国防部还制定了清除和处理的安全标准DoD 5220.22-M，读者可以访问美国国防部国防安全服务网站（http：//www.dss.mil/isp/fac＿clear/download＿nispom.html），了解更多信息。

5）提示和报警。用户可以安装Flash Disk Alert软件，若关机时未从主机拔出U盘，软件将给出报警，提醒拔出U盘。软件下载地址为http：//www.moveax.com/en/software/flash-diskalert.html。

6）备份和云存储。及时备份移动存储设备上的数据是很有必要的，云存储是一个很好的选择，利用云存储能够将本地的文件自动同步到云端服务器保存。当然，云存储的安全性是个重要的话题，本书将在第4章中讨论。

●百度云，http：//yun.baidu.com。

●Dropbox，http：//getdropbox.com。

7）综合安全管理系统。对于移动存储介质的安全使用，必须全面考虑其接入主机前、中、后等不同阶段可能面临的安全问题，采取系统化的一整套安全管理措施，如图2-17所示。

●接入认证，即对移动存储介质的唯一性认证。由于移动存储介质即插即用、使用方便，任何一个使用者不经认证即可随时将移动存储介质接入内网中任意一台计算机中。没有进行对移动存储介质的唯一性认证，则会导致事后出现问题时，也无从追查问题的起因及相关责任人。其关键是要实现“用户—移动存储介质”的绑定注册及身份授权。

●健康检测，即对移动存储介质接入内网过程中系统的健康状态进行检测。在使用过程中使用者往往忽视对移动设备的病毒查杀工作，由于移动存储介质使用范围较广，不可避免地会出现在外网使用时感染计算机病毒的情况。如果不能及时有效地查杀病毒，在内网计算机打开感染病毒的文件时，很容易将病毒传播到内网中。例如，“摆渡”木马程序不需要连接网络就能轻易窃取内网计算机的重要数据。同时，如果注册介质和注册用户的身份变更或发生异常操作时，也会对内网数据信息造成破坏。

●权限分配，即移动存储介质接入内网后，对其访问策略的分配及实施。不同身份的用户、不同健康状态的介质对内网计算机的使用权限是不一样的。通常的计算机并没有对介质使用者的身份以及操作权限进行限制，导致一些未授权用户不经限制就能够轻松获取内网加密信息或者是低密级用户非法访问高密级数据。避免出现上述问题的关键是要根据用户身份等级、介质健康状态进行相应的权限分配。

●访问控制，通过对介质中的数据进行加密来进行访问控制。通过对介质唯一性标识的密钥分发对介质中的数据进行加密，这样即使移动存储介质不慎丢失，也不会发生信息泄漏问题；其次，信息数据在移动存储介质和内网间进行传输时，对传输通道采取加密保护，防止数据被不法分子所窃取。

（4）日志记录与行为审计

日志记录与行为审计即对移动存储介质进行细粒度的行为审计及日志记录。尽管移动存储介质需要经过多重认证才能顺利接入终端，但其顺利接入终端并不代表它具有完全的安全性。通过对其接入的时刻和对文件的读、写、修改及删除等操作进行严格的审计与记录，即使出现安全问题，也能在第一时间找出问题起因及相关责任人。

一些安全厂商提供了类似功能的产品：

●闪盾，成都巅峰科技http：//www.cddfkj.cn。

●终端安全管理体系，北信源http：//web.vrv.com.cn/products.html。

●Endpoint Protector，http：//www.endpointprotector.com。

●GFI Endpoint，http：//www.gfi.com。 qCbyFPj39rBds9v+K1fJqeBnyiT2GlVfe3n7ANLboaWHJ60DNN1mn4KMSxsAMd9/