终端安全风险管理：移动存储违规使用的15个风险点

2023-11-23 理论教育版权反馈

【摘要】：在使用阶段，移动存储介质违规进行格式化和分区的，技术上无提示和禁止措施，造成安全策略执行不到位，有可能造成注册、授权等工作重复进行；更有甚者如果格式化分区后还能够正常使用，将会造成更大安全风险。外部移动存储介质为非注册授权类介质，健康状态不可控，存储内容不可知，如果私自接入内网，将会引起较大的安全风险。

1.风险分析

（1）风险描述

该类风险主要表现为，因移动存储介质缺少申请、注册、审批、授权、报废等全生命周期的管理制度、流程和技术监控，造成移动存储介质的无序管理，由此将引发一系列问题：

1）外部移动存储进入内网使用，引发信息泄密、病毒感染等安全风险。

2）内部移动存储介质，虽然做到一定程度管理，但是无法从技术层面对其使用人员、范围、动作、内容和时间等信息进行监控，造成内部移动存储介质的违规使用，发生移动存储介质引发的安全事件无法定责。

3）如果发现有违规使用的移动存储介质，管理平台不提示告警，并采取如禁止等控制措施，那所谓的按规定使用移动存储介质的管理规定就形同虚设，不能起到任何安全防护效果。

移动存储介质是目前进行信息交换的重要方式，如果不对该部分的风险进行严格管理和控制，将会导致信息外泄、病毒感染，更有甚至将导致全网范围内的灾难性事件。下面将对其违规使用风险进行详细分解。

（2）相关风险点

移动存储介质违规使用详见表C-3。

表 C-3

（a）基于资产使用生命周期分析

资产使用生命周期包含入网前、运行阶段、维修阶段、报废阶段，移动存储介质风险对终端的影响在资产使用生命周期中的体现如下：

风险点（1-3）：移动存储介质属于组织重要的存储介质，从采购、使用、维修到报废都应该具有较为完善的流程管理，以确保移动存储介质的可控使用。因此，移动存储介质的管理风险将涉及终端使用生命周期：入网前、运行阶段、维修阶段、废弃阶段。在上述4个阶段中，移动介质的登记、配置初始化（安全等级划分、授权等）是移动存储介质实现可控管理的基础，因此在入网前阶段如果没有进行，将会带来很大的风险；在运行阶段，如果禁止使用非法移动介质的话，将不会带来更大的风险，如果没有做好控制措施，将会带来移动存储介质的滥用。

风险点（4）：光盘的使用发生在运行阶段。通过刻录光盘可以造成信息泄密，如果不对其进行禁止和监控，将会造成重要文件的泄密。如果全部禁止也会造成工作的不便，因此可根据用户环境，进行终端类型划分，确定禁止的范围，不禁止的也必须进行监控和记录，便于日后追踪。

风险点（5-7）：关于移动存储介质被格式化和分区，而导致的相关风险，主要发生在移动存储介质运行阶段和维修阶段。在使用阶段，移动存储介质违规进行格式化和分区的，技术上无提示和禁止措施，造成安全策略执行不到位，有可能造成注册、授权等工作重复进行；更有甚者如果格式化分区后还能够正常使用，将会造成更大安全风险。在维修阶段，必要的格式化和重新分区是不可避免的，为降低风险，维修之前应进行敏感信息处理，如果因故障无法做到，若存有重要信息，必须对维修过程进行全程的监控，避免造成信息泄漏。做到上述两点，在维修阶段所造成的安全风险将会大大降低。

风险点（8-10）：该风险主要出现在外部信息通过移动存储介质向内网导入的过程中。上述行为发生在运行阶段。外部移动存储介质为非注册授权类介质，健康状态不可控，存储内容不可知，如果私自接入内网，将会引起较大的安全风险。规定内部能够直接使用外部移动存储介质的区域，在使用之前要进行安全扫描，确保符合规定的安全状态，在使用时进行监控和记录；在其他区域，如果使用外部移动存储介质，技术平台必须做到提示、报警和禁止，否则将会给内网带来极大的安全隐患。

风险点（11-13）：新增移动存储介质，为组织的重要存储资产，其管理应符合组织的移动管理安全策略。因此与（1-3）设备管理内容一致，因此，涉及生命周期包括入网阶段、运行阶段、维修阶段、废弃阶段。

风险点（14-15）：该风险为全生命周期内移动存储介质管理审计轨迹风险，因此涉及移动存储介质的全生命周期：入网前、运行阶段、维修阶段、废弃阶段。在整个管理过程中，对各个环节进行记录和监控，并将信息进行集中存储，便于日后的审计和追查，否则，无法明确各流程是按规定进行，不能确保各岗位是否有渎职行为。

（b）与相关信息安全相关

风险点（1-4）：移动存储介质包括U盘、光盘等设备，属于当前最主流的移动存储设备，因其方便、廉价的优势受到广泛的应用，几乎任何从事与计算机操作相关工作的人员，均可能使用该类设备，该类设备可以存储任何形式的数据信息。

在线信息风险：由于在移动存储介质使用过程中，常常利用USB介质参与主机服务器身份认证，信息移动存储设备向业务主机服务器上传下载数据等，典型应用如货运发票系统需对税控U盘进行读取和写入信息。档案管理系统也需要使用专用的USBKey等。因此必须根据业务系统的需要，考虑在线下载和上传数据的过程中可能带来的安全隐患。

存储信息风险：对于U盘中存储的信息，简而言之，根据信息管理，要有标签分类。涉密信息不应该出现在不受控制的U盘中，涉密信息应该指定专盘专用，设置指定到人保管。任何非授权下载、非授权拥有、非指定U盘出现涉密信息都是不应该的！要求被明令禁止。

风险点（5-7）：

在线信息风险：使用授权移动存储设备的终端，为重点终端设备，使用这类终端的业务系统应为重要业务系统。根据税务行业为例，其中税收管理信息系统、契税、耕地占用税管理软件、货运发票系统、公文处理系统、单位财务处理系统为重要的业务系统。因此，涉及上述业务系统的终端通过U盘在使用过程中要避免U盘被格式化、不受控制地下载信息导致不能审计、无法追溯的风险。

存储信息风险：如果U盘需要重新分配，在格式化和重新分区时要彻底，U盘信息要保证不能被恢复，授权信息变更后要履行变更流程和重新入网登记。

风险点（8-10）：

在线信息风险：根据税务行业为例，信息传输路径分析，涉及外来数据信导入的系统主要包括：税收管理信息系统、契税、耕地占用税管理软件、货运发票系统。该类风险主要是U盘在导入导出信息过程中可能携带病毒、木马程序，可能将外部风险导入到内网中，造成业务主机感染病毒、木马，占用带宽等。另外接入内网的U盘同样存在利用该U盘上传下载非授权的涉密信息，比如下载个人税收信息、个人资料、企业秘密资料等。因此应采用严格的管理措施，例如禁止端口滥用，非指定U盘不能入网等，还可采用技术工具封闭端口的控制措施，达到预防该风险的目的。

存储信息风险：如果存储在移动存储介质中的信息涉密，保管人对信息要负责，严格按照涉密信息管理办法，不能随意将涉密信息复制到普通U盘，更不能将涉密信息复制到终端，和随意传播！对该信息要加密保存。

风险点（11-15）：

在线信息风险和存储信息风险同样适用于新增移动存储介质，和风险点（1）移动存储介质风险保持一致，涉及业务系统信息风险也相同。14和15风险点主要针对移动存储介质管理的审计轨迹问题，是对资产使用信息审计追踪，主要涉及审计信息的存储风险，与移动存储介质的风险不相关。

（c）基于资产使用人分析

风险点（1-4）：任何岗位角色都涉及移动存储介质的使用问题，因此，该风险与内部人员相关：高级管理岗位，如区域负责人等高层领导；地市部门主管、网络管理员、配置管理员、系统管理员、财务部人员等关键岗位业务人员；开发人员、研发人员等，考虑根据业务和工作需要授权开通端口和移动存储介质使用权限。

临时人员：辅助人员岗位，如食堂、车队、绿化等人员，该类人员在使用U盘过程中，可能会复制非涉及其岗位和授权文件的风险。

外来人员：外来厂家人员、外来维护人员不允许使用自带U盘，需要移动存储数据的必须有内部人员陪同，使用业务专用移动存储介质。同系统人员使用需使用系统内指定U盘，且必须经过登记检查，方可在服务器区域或者接入到业务中使用。

风险点（5-7）：

该风险涉及内部人员，使用授权终端的工作人员，具有两种特征：

a）具有一定行政职位，了解组织的重要信息。

b）具有业务职能，掌握和使用组织重要业务系统。

具备上述特点之一的工作人员均与该风险相关，包括高级管理岗位、地市部门主管、网络管理员、配置管理员、系统管理员、财务部人员等关键岗位业务人员等。

严禁该类人员私自格式化移动存储设备。U盘和人员挂钩，专盘专用，不得私自转借。U盘归还入库重新分配要履行正常手续。

风险点（8-10）：

该风险涉及内部人员，必须严格要求，外部信息在通过移动存储介质接入到内网终端的时候，U盘必须经过安全检测。

风险点（11-13）：与（1-4）移动存储介质相同

风险点（14-15）：根据资产管理的相关规定，资产的采购、使用和报废，会涉及管理层、工作人员、资产管理员角色等，因移动存储介质使用的广泛性，涉及的人员角色也非常广泛。必须根据工作需要、权限等分配领用，并要求执行有关移动存储介质使用规定。(www.chuimin.cn)

（d）合规性要求

合规性要求见表C-4。

表 C-4

2.风险管控

每类风险在管控过程中，针对风险的事前、事中和事后3种状态进行监控，做到事前预防、事中控制、事后审计追查。下面的风险管控处理流程，尽量从事前、事中和事后3方面对风险进行管控。

（1）风险点（1-4）移动存储介质管理控制流程

事前处置：根据组织的资产管理策略，制定相应的管理制度、流程、表单等相关文档，明确职责和分工，确定岗位责任。移动存储介质的申请、使用和报废将根据制定的流程进行处理，并填写相应的表单以便责任追查。使用专门的工具标签化管理移动存储介质，区分不同的工作用途和使用者，限定不同标签的移动存储介质的使用范围，并且跟踪使用记录。

事中处置：参考相应文档指南，进行申请审批，不符合规定的审批将不予通过，并对处置事件进行记录，形成表单。

事后处置：根据资产管理规定进行资产管理介质管理的检查和抽查，或根据移动介质使用事实，对审批过程进行追溯。

图 C-5

（2）风险点（5-7）格式化和重新分区时，授权信息被更改的风险

事前处置：可通过两种方式进行事前预防。

1）采购具有硬件保护的外设设备，授权信息保存在固定分区，该分区不能进行软件格式化。

2）通过注册设备对移动存储设备进行注册，并通过控制平台进行策略设置，不具有授权信息的设备无法在系统内使用。

事中处置：

1）具有硬件保护的移动存储设备，将无法进行格式化。

2）通过注册方式的移动设备格式化后将无法在系统内使用。

同时，这两种格式化的企图和动作将记录在日志中，作为审计依据。

事后处置：根据监控平台的报警提示信息，对非授权的企图进行事件追查，其主要依据为系统日志信息。

图 C-6

（3）风险点（8-10）外部信息通过移动存储传输进内网的风险

事前处置：根据组织的资产管理策略，制定相应的管理制度、流程对外部信息系统通过移动设备输入进行详细规定，并给出操作指南。对于未经授权的终端，禁止接入不知来源的移动存储介质。

事中处置：对外部信息复制严格遵守申请流程，对符合规定的在单机上进行安全扫描；入网时进行授权认证，并进行日志记录。如有工作需要，可以向部门主管和安全管理人员申请，获得批准之后，才能使用。

事后处置：根据监控平台的报警提示信息，对非授权的企图进行事件追查，其主要依据为系统日志信息。

管控流程见图C-7。

图 C-7

（4）风险点（11-13）与风险点（1-4）相同

同（1）管控流程。

风险点（14-15）：记录移动存储介质的申请-审批-授权的全过程

事前处置：根据组织的资产管理策略，制定相应的管理制度、流程对存储介质申请进行详细规定，并给出操作指南。

事中处置：事中根据制度、流程所制定的岗位职责进行审批，通过签名和数字签名确定岗位职责，并形成设备申请流程单。

事后处置：根据设备申请流程单，对使用的设备进行审批检查和追溯。

3.风险控制效果

实现移动存储介质的规范使用，注册移动存储介质只能在内网终端上使用，内网终端无法使用非注册移动存储介质，对注册移动存储介质可以设置口令访问，有数据交换需求的终端可以使用注册和非注册两种移动存储介质，但是对非注册的移动存储介质按照严格的读写权限控制使用。

对于移动存储介质所作的安全防护措施，仍不能避免违规使用，例如：

1）如果信息自身没有分级，则终端无法发现审核信息级别。

2）私自将终端存储设备带出，系统无法发现该违规行为。可以对重要信息加密，即使带出也可以保护重要文件无法打开。

残余风险处置措施如下：

1）需要对行业内信息分等级标识。

2）加强制度和意识培训。

3）移动存储介质分发需要根据业务需要和权限领用，需要人为参与判断。

移动存储介质的使用问题，除从技术角度进行监控外，更多的是管理问题，管理与组织的行政、资产管理等相关，因此，在技术实现上很难给出统一的实现，需要根据特定的管理环境和流程进行定制开发。

终端安全风险管理：移动存储违规使用的15个风险点

相关推荐