谁动了你的奶酪

    时光荏苒，眼看着进入2009年年底，即将迎来崭新的2010年。我发现，今年IT方面的话题特别多，从"洋软件"的"画皮门"、"天价风波"开始，到如今最火热的IT话题---本土软件的"抄袭门"，由此可见知识产权及商业机密对企业是多么的重要。一个企业付出了几年的人力，物力，财力去创新产品的各项功能，旨在提高产品的客户认可度，引领整个行业的技术方向，可是当付出了这么多心血后，发现创新成果被其他人无情地剽窃了，这个时候任何一个遭遇此事的企业恐怕留下的只是愤怒和遗憾了。因此，企业内部涉密信息的监管现在越来越得到企业的重视。

    前两年，湖北某著名钢铁集团旗下的技术研发公司就曾发生过台湾间谍窃取机密档案的事件。当年，IT业刚刚发展成熟，很多设计公司都将原来的纸质设计机制改为了现代化的电子化设计机制。一个重要的核心机密设计草稿只是一个存在于服务器上的电子数据而已。在当年还不太重视外联设备的安全管理时，一个潜伏已久的台湾间谍在一次偶然的机会下进入了核心机房，通过使用U盘，这个随身携带的小型工具就直接拷贝走了价值上亿元甚至更多的国家钢铁技术的核心内容。虽然，最后通过动用警方和军方的力量，在间谍逃离出境前将他逮捕，避免了国家的重大损失，但是通过这个事件，也给我们敲响了警钟。当前，传统的基于外网安全理论的产品，如防火墙、入侵检测系统和系统安全性评估系统等，仅仅解决了信息安全领域中的一类安全问题。对于内网安全的内网主机用户攻击和威胁时间来说，传统的网络安全产品是无能为力的。目前，国内外并没有一个完整有效的内网安全管理系统与解决方案，更是缺乏系统有效的内网安全管理产品。网络安全是一个有机的整体，也是一个环环相扣的链条，缺少其中任何一个环节，其安全性能就会大幅度降低甚至几乎为零。网络安全无处不在，在我们关心各种防火墙，各种行为管理的同时，我们也要加强设备的管理，设备上运行的硬件的管理。

如何才能有效的监管外联设备呢？

    我们需要将所有主机的硬件设备管理起来，规定哪些终端的光驱、软驱、USB设备、USB存储设备、Modem、串口及并口能用，哪些终端部分能用，哪些终端部分不能用。比如：如果不禁止Modem的使用，就会出现企业内网用户，通过自接宽带而拨号上网，造成了企业内部网络与互联网直接连通，从而导致企业内网安全隐患。试想，如果该终端中了网络病毒，那么极有可能造成整个企业的网络瘫痪，其后果不堪设想。再比如：企业内部核心主机如果只做存储用，我们可以把光驱、软驱、USB存储设备、Modem都禁用，让人无法通过外联设备与主机通信，防止了主机上的数据泄漏。综上所述，我们需要把硬件控制起来。

管理软件需要具备的功能特点

基于策略的安全管理

可以按政府内不同信息的保密程度，对不同部门的PC外连设备如USB、串口、并口、MODEM等进行相应的安全管理及控制，使这些设备在满足政府信息安全管理的条件下使用。

策略执行的完整性

当设备控制策略生效后，PC的某些设备不允许使用，使用该PC的用户可能会想办法去恢复原有的对设备使用的自由度，如拔掉网线、更换硬件等操作，但这些行为都无法实现其目的，保证了政府信息安全管理策略的完整执行。

强大的兼容性

对各种外连设备，如USB、串口、并口、MODEM等完全兼容。

本文转自赖永锋51CTO博客，原文链接：http://blog.51cto.com/mochasoft/237798，如需转载请自行联系原作者