圖1 DeviceLock安裝方式選擇界面
當(dāng)我們在客戶機(jī)上安裝DeviceLock時,可以按Custom方式只安裝DeviceLock Service。如果要對終端產(chǎn)生的日志進(jìn)行集中管理�,就可以在企業(yè)網(wǎng)絡(luò)中的一臺安裝有MS SQL的服務(wù)器上按Server+Consoles方式,安裝它的DeviceLock Enterprise Server�����。然后再在機(jī)構(gòu)網(wǎng)絡(luò)中另一臺服務(wù)器上安裝它的某種管理控制臺����,并選擇以DeviceLock Group Policy Manager的方式進(jìn)行安全,將它集成到Windows的組策略當(dāng)中��。
完成安裝方式的選擇后�,在后續(xù)的安裝過程中,還會提示我們是否制作認(rèn)證證書的選擇界面����。在此界面中選擇“是”后,就會出現(xiàn)如圖2所示的產(chǎn)生證書界面�。
圖2 DeviceLock證書產(chǎn)生界面
如果是以DeviceLock Service的方式安裝DeviceLock,當(dāng)必要的文件復(fù)制完成后,就會出現(xiàn)一個選擇管理控制設(shè)備�,以及設(shè)置安全選項的界面,如圖3所示��。
圖3 DeviceLock選擇管理控制設(shè)備及設(shè)置安全選項界面
在上述所示界面中做出必要的選擇后按“ok”按鈕�����,再按提示完成后續(xù)所有的安裝工作��,DeviceLock就可以按我們指定的方式���,安裝到系統(tǒng)中的相應(yīng)位置��。如果我們在安裝時選擇與Windows組策略集成的方式����,那么���,當(dāng)安裝完成后���,打開系統(tǒng)組策略控制臺,就可以見到如圖3.4所示的界面����。
圖4 DeviceLock與Windows組策略集成界面
當(dāng)重新啟動系統(tǒng)后,DeviceLock就會自動運(yùn)行��,然后接管系統(tǒng)對所有在這臺計算機(jī)上使用的移動存儲設(shè)備進(jìn)行管理和控制�����。如果我們以網(wǎng)絡(luò)集中方式對DeviceLock進(jìn)行部署�,那么,我們還可以在DeviceLock的中心管理控制臺上�,對在其監(jiān)管下的所有DeviceLock客戶端上的移動存儲設(shè)備的使用情況進(jìn)行日志查詢和審計。
保證移動存儲設(shè)備使用安全的管理措施也就是指企業(yè)中的管理者和員工�����,在獲取���、分發(fā)����、使用和銷毀移動存儲設(shè)備的過程中��,應(yīng)當(dāng)遵從的方法�����。
對于企業(yè)的管理者來說,他在保證移動存儲設(shè)備使用安全的過程中��,應(yīng)當(dāng)承擔(dān)下列所示的責(zé)任:
(1)�、決定企業(yè)中是否需要使用移動存儲設(shè)備。
(2)�����、為企業(yè)內(nèi)部員工提供物理訪問控制的設(shè)備����。
(3)、確保所有已經(jīng)退出使用的移動存儲設(shè)備已經(jīng)得到妥當(dāng)?shù)谋9?���,并且確定其中的數(shù)據(jù)不可能被恢復(fù)。
(4)��、指定某個人員來監(jiān)督移動存儲設(shè)備使用策略的執(zhí)行���,分析工具軟件產(chǎn)生的日志���,跟蹤保存有機(jī)密數(shù)據(jù)的移動存儲設(shè)備的使用和去向����。
(5)��、接受監(jiān)督人員上報的報告�,對突發(fā)事件做出果斷的決策�。
(6)、對雇員進(jìn)行培訓(xùn)�����,確保雇員能夠正確地按要求使用移動存儲設(shè)備�。
(7)、最后的一條是管理者應(yīng)當(dāng)以身作責(zé)��,自己也應(yīng)當(dāng)嚴(yán)格遵守制定的移動存儲設(shè)備使用策略���,這樣才能確保使用策略能夠在企業(yè)內(nèi)部由上而下全面執(zhí)行�。
對于企業(yè)內(nèi)部員工來說�����,在企業(yè)中使用移動存儲設(shè)備的過程當(dāng)中�����,應(yīng)當(dāng)明白自己應(yīng)當(dāng)遵從下列所示的使用方法:
(1)、盡量不將企業(yè)財務(wù)等機(jī)密信息保存到移動存儲設(shè)備當(dāng)中�,同時減少在移動存儲設(shè)備上機(jī)密數(shù)據(jù)的保存數(shù)量。
(2)����、如果僅僅只是使用移動存儲設(shè)備來復(fù)制數(shù)據(jù),盡量選擇其它更加安全的方法�����。
(3)��、一定要確保保存在移動存儲設(shè)備中的機(jī)密數(shù)據(jù)都已經(jīng)加密��,并核查確認(rèn)�。
(4)、自己使用的移動存儲設(shè)備要小心保管�,防止被盜和丟失,尤其是在公共場合使用時要特別注意保管���。
(5)�����、確保自己不在企業(yè)中使用屬于私人的移動存儲設(shè)備�����。
(6)�����、如果自己使用的移動存儲設(shè)備丟失或被盜����,應(yīng)當(dāng)及時按規(guī)定上報����,以便企業(yè)能采取相應(yīng)的補(bǔ)救措施。
另外�����,還要明確當(dāng)員工或管理者自己在使用移動存儲設(shè)備過程中�����,造成企業(yè)機(jī)密數(shù)據(jù)泄漏后���,應(yīng)當(dāng)承擔(dān)的法律和經(jīng)濟(jì)責(zé)任����。只有這樣,才能讓企業(yè)的全體員工由于懼怕事后承擔(dān)相慶的法律和經(jīng)濟(jì)責(zé)任��,而不敢不遵守企業(yè)的移動存儲設(shè)備安全使用策略���。
管理控制措施是整個移動存儲設(shè)備安全使用管理過程中最重要的環(huán)節(jié)�����,畢竟所有的工作都是由人來執(zhí)行的�����,因此����,一定要確保上述所示的管理控制措施能夠在企業(yè)中全面執(zhí)行�����。
在上面,我們做的都是一些文檔和軟件方面的技術(shù)類工作��,而要保證移動存儲設(shè)備的安全使用�,對其整個使用過程中進(jìn)行物理控制是另一種必不可少的控制措施。
通常�����,說到安全防范過程中的物理控制����,主要都是按下列所示的這些方法來進(jìn)行的:
(1)、將企業(yè)中所有的移動存儲設(shè)備����,放到同一個位置進(jìn)行保管�����,并在保管的位置安裝必要的視頻監(jiān)控或紅外報警等安全裝置�,并安排保安人員值守。
(2)����、對存放移動存儲設(shè)備的位置,安裝物理訪問控制設(shè)備,例如指紋鎖�����。
(3)��、要求值守的保安人員�,仔細(xì)記錄領(lǐng)取移動存儲設(shè)備的人員信息,以及領(lǐng)取和歸還時間���。
(4)��、要求保安人員���,在每天下班之前,一定要仔細(xì)比對已經(jīng)歸檔的移動存儲設(shè)備與記錄是否相符�。
(5)、如果移動存儲設(shè)備要帶出企業(yè)以外��,保安人員一定要詳細(xì)記錄使用人����、離開和歸還時間等信息。
保安人員作為物理控制過程中最主要的執(zhí)行人�,不僅要求他們有高度的責(zé)任感���,而且,還應(yīng)當(dāng)擔(dān)負(fù)部分監(jiān)督移動存儲設(shè)備使用的任務(wù)���。當(dāng)發(fā)現(xiàn)某個雇員不按要求領(lǐng)取移動存儲設(shè)備�����,或不在指定的區(qū)域內(nèi)使用���,以及不按期歸還時,應(yīng)當(dāng)立即制止�����,并上報給企業(yè)管理者���。另外,保安人員本身的素質(zhì)也需要得到肯定��,防止相互勾結(jié)事件的發(fā)生����。
當(dāng)保證移動存儲設(shè)備安全使用的技術(shù)措施����、管理措施和物理措施都實施完成后�,并不代表對移動存儲設(shè)備的全面安全監(jiān)管工作就已經(jīng)全部完成。與其它計算機(jī)安全防范過程一樣����,對企業(yè)中移動存儲設(shè)備的全面監(jiān)管也是一個持續(xù)不斷地的長期過程。因此����,當(dāng)針對企業(yè)中移動存儲設(shè)備安全使用的安全防范措施都實施完成后,還必需指定相關(guān)的人員來執(zhí)行相應(yīng)的后期維護(hù)工作�����。
后期維護(hù)工作包括分析安全工具軟件產(chǎn)生的日志文件��,并按某個時段進(jìn)行總結(jié)報告���,以便企業(yè)能夠不斷了解移動存儲設(shè)備的使用情況��,并對發(fā)現(xiàn)的安全事件做出及時正確的反應(yīng)���。至于對工具軟件的日志進(jìn)行分析的頻率�,可以事先明確規(guī)定�,也可根據(jù)實際情況臨時決定。通常��,當(dāng)發(fā)現(xiàn)有不正當(dāng)?shù)囊苿哟鎯υO(shè)備使用行為時��,應(yīng)當(dāng)實時分析監(jiān)控日志�。另外,還包括對日志文件進(jìn)行備份���,尤其是當(dāng)日志文件將作為法律訴訟的證據(jù)時����,就更應(yīng)當(dāng)妥善保存了���。最好的方式是將這些日志文件單獨保存到一個安全的存儲設(shè)備當(dāng)中���。
總之,如果企業(yè)目前還不能完全杜絕移動存儲設(shè)備在企業(yè)內(nèi)部的使用����,那么�,為了減少移動存儲設(shè)備在使用過中給企業(yè)帶來的安全風(fēng)險�����,在沒有更好的安全控制技術(shù)出現(xiàn)之前�,最好的方式����,就是按本文給出的方式,對它們進(jìn)行從頭到腳的全面監(jiān)管��。
