虹科分享 | 在管理控制下获得安全USB驱动的所有好处

安全U盘使用硬件加密和强制密码,可以立即保护所有存储的数据。因此,在你的组织中引入这项技术的意义是显而易见的:你再也不会丢失U盘上的数据。

当你的组织准备采购安全U盘时,有几个因素需要考虑,特别是关于这项技术的中央管理。

  • 部署的速度和便利性。向用户分发驱动器有多快和多容易?还要记住,配置和授权给管理员应该需要尽可能少的努力和产生尽可能少的费用。
  • 对U盘终端用户的控制程度。只允许授权的软件内容是至关重要的,在分发内容和软件时,你必须能够验证是否已经收到。你还必须确保这些驱动器享有高效和有效的恶意软件保护。
  • 隐私的需要–不要集中存储密码!以及如何遵守现有的法律。以及你将如何遵守现有的法律和你的组织的政策。问问自己,我们能审计硬盘内容吗?当地法律是否允许对终端用户进行审计?
  • 确定每个任务的管理方法。你将如何协助忘记密码的离线用户?丢失的设备上的数据能否快速恢复到新的硬盘上,如何跟踪和找回丢失的硬盘?
  • 整合你目前的基础设施。你如何将该解决方案与你现有的软件结合起来?该软件是否有你必须知道的钩子和API?是否有可能将数据输出到你的其他系统?
  • 访问你的系统的整体情况;拒绝已经离开组织的用户和管理员的访问应该是很容易的。与其从几个系统中明确删除用户,你应该能够简单地更新你的中央用户目录。

安全的USB驱动器无处不在。他们被发明的原因是:四处安全地移动的数据。

简介-超越被锁定的设备

U盘是我们工作生活中不可或缺的一部分。与笔记本电脑和智能手机一样,U盘在实现远程和灵活的工作模式方面发挥着关键作用。更重要的是,U盘设备使我们能够移动地访问所有那些太敏感或太大、无法通过公共网络下载的文件。

安全的U盘使用硬件加密和强制密码,可以立即保护所有存储的数据。因此,在你的组织中引入这项技术的意义是显而易见的:你再也不会丢失U盘上的数据。由被利用的、不安全的U盘造成的严重数据泄露和恶意软件威胁已经使任何行业不受影响。曼彻斯特的一个警察局被关闭了好几天,因为一个USB驱动器使其整个系统感染了Conficker病毒。苏黎世保险公司因丢失一个便携式数据存储设备而被罚款280万英镑。所有这些问题都可以通过硬件加密的安全USB闪存驱动器来预防。但是,安全驱动器本身只是解决方案的一部分。仅仅评估安全U盘可能是一项复杂的任务,特别是在根据清晰的基准评估管理系统时,这是一项节省大量时间的任务。本文对管理系统应该帮助解决的一些主要问题以及如何从解决方案中获得最大收益进行了一般性的讨论。

管理应该为你的投资增加价值

添加一个系统来管理你的安全U盘,可以获得额外的安全利益,这对任何组织都至关重要。正确的解决方案将提供完整的控制和可视性,并通过允许你管理你的投资来支持日常使用。但所有的管理系统都是不一样的。选择错误的解决方案会造成更大的伤害。有一种风险是,你太专注于 “球”,最终毁了你的整个 “游戏”–错误的解决方案会造成管理混乱,扰乱终端用户的生产力。简单地说,有一个很大的激励机制,就是第一次就把它做对。受管理的、安全的U盘可以成为生产力的多面手,使其能够轻松地分享、运输、分发、协作和直接在驱动器上的数据和虚拟环境中工作。

反思——我们如何让设备连接到服务器并处于管理控制之下?

我们如何将管理的设备送到用户手中?

这个过程是否灵活?我们可以在任何时候运送设备并连接它们吗?

每台设备是否需要预先注册?

我们如何将管理员分配到中央管理系统?

当我们开发配置并为用户和管理员分配权利时,我们如何避免创建一个新的用户组结构?

设备连接到服务器的过程是否简单,不涉及手动步骤、额外的代码或其他可能使最终用户感到困惑的手段?

将设备连接到服务器的安全性和简易性如何?

设备必须在管理员控制之下

为了达到任何级别的计算机安全,管理员的权利必须不分配给用户。管理员应该决定驱动器上存储的内容,授权USB驱动器上运行的软件,安装任何需要的软件,并发送必要的文件到特定的设备。有了正确的管理系统和合适的人担任管理员的角色,用户就可以放松下来,继续他们的日常USB使用。

这种方法与大多数组织的方法形成对比,在这些组织中,不安全的USB驱动器的使用已经完全失控,在某些情况下,完全造成了破坏,包括数据丢失和恶意软件感染等后果。即使是安全的USB驱动器,如果终端用户暴露在恶意软件、网络钓鱼和社会工程攻击下,也会造成问题。这些问题往往可以追溯到设备不在管理员的控制范围内。在大多数主要的反病毒供应商的报告中,为U盘量身定做的病毒的危险性目前连续几年被列为头号威胁。然而,只需剥夺终端用户的管理权限,恶意软件感染的可能性就几乎消除了。

适当的管理可以提高你的组织的安全USB驱动器的生产力,而不增加安全风险,使安全数据交换和协作在信任和未知的机器上。

反思——谁在负责这些设备?

我们如何确保只有预先批准的软件才能在组织的设备上使用?

我们是否能够在没有用户干扰或协助的情况下向远程设备推出新的便携式软件?

该解决方案如何保护不在病毒名单上的USB病毒(零日威胁)?

恶意软件的保护是否仍然允许用户使用USB设备工作?

隐私和合规都必须优先考虑

一个中央管理系统是强大的。一个新的解决方案不能跨越隐私和合规之间的界限。当一个组织实施安全U盘时,主系统不能存储设备的密码副本。集中存储密码将违反一个基本的安全原则,并使硬件安全失去作用。U盘管理系统通常会收集用户的设备和活动信息;管理员可以在中央系统的地图上追踪用户。这对一些组织来说可能是一个必要的工具,而在其他情况下,它可能导致严重的隐私和安全问题。尽管如此,如果在其管辖范围内的现有立法下,该组织应该有完整的审计控制。因此,组织必须有在所有审计模块处于 “关闭 “模式下操作系统的选项。

当决定一个管理解决方案时,你的组织必须确保服务器和服务器到设备的安全性和完整性。在最好的情况下,组织可以使用私人证书锁定所有通信。这将确保窃听和服务器被破坏不是一个问题。

你还应该仔细评估引入一个新系统和新用户意味着什么。当用户离开组织时,你如何确保他们不能访问U盘上的敏感信息或登录你的任何管理系统,造成严重的数据泄露?理想情况下,所有的认证尝试都会与你的中央用户库同步。当你在你的LDAP数据库中禁用一个用户时,该用户应该被自动锁定在任何其他系统或数据中。

反思——解决方案是否符合立法和组织的政策?

我们是否禁止以明文形式集中存储用户密码?

能否关闭审计模块?

是否可以停用对隐私敏感的功能?

我们如何保证服务器存储的信息的保密性?

该解决方案是否接受私人证书?

谁可以访问服务器和服务器到设备的通信?

设备必须为日常生活而管理

你的组织希望享受U盘的好处,而没有弊端。用户必须按照自己的节奏进行日常业务,而不被安全协议所限制。任何可以使终端用户自动和透明的任务都应该被实施。这将确保用户迅速采用并接受安全设备作为另一种工作工具。一个安全的U盘是一个过着艰苦生活的小设备,它将被丢弃、遗忘、留在口袋里清洗,有时甚至会被踩到。而将这些表面的、外在的危险与内在的风险相比较:重设被遗忘的用户密码、克隆的数据、执行密码政策、以及未能采用(甚至后来改变)安全政策。

安全U盘无处不在。这就是它们被发明的原因:四处安全地移动数据。因此,管理解决方案不需要管理员、用户和设备在同一个地方执行像重设设备密码或重新创建一个丢失的设备这样简单的程序。管理员也不需要依赖互联网连接来完成工作。例如,假设一位高管忘记了设备密码,而重要的演讲还有5分钟就开始了。你想给他一个正确的答案–而这个答案不是’我需要你飞回办公室来访问演示’。在正确的情况下,管理员应该能够对设备进行出厂重置、终止和禁用;将设备分配给新用户,甚至重新创建丢失的设备–无需离开他们的办公桌。记住,这些设备可能分散在世界各地。

反思——安全解决方案是为现实世界而建的吗?

我们如何帮助一个忘记密码的远程用户?

该解决方案是否能与其他端点安全系统很好地配合?

我们如何在不影响用户日常工作的情况下重新创建一个丢失的设备?

组织能否激活所有设备的备份?

设备备份是否自动、透明和增量?

一旦用户简单地插入设备,管理员是否能够将丢失的设备克隆到一个新的、现成的设备上?

是否能够对报告丢失的设备显示一个全组织的 “丢失 “信息?

管理员是否能够在不在现场的情况下,通过点击一个按钮来控制和支持用户设备?

一个移动安全目标的长期解决方案

自U盘出现在市场上以来,已经有十年了,世界上领先的组织认识到管理安全U盘的好处。这是一项成熟的技术,一个正在展示快速增长的新兴产业。新的技术突破包括运行设备的完整虚拟桌面,并让它们作为双因素认证令牌。

反思——这项技术的未来是什么?

是否有可能获得软件托管的权限?

是否有一个设备API可以保证未来的集成是可能的?

是否有一个服务器API可以使其安全地访问中央系统?

该设备是否支持签名的安全更新?

向前迈进--管理设备可以变得简单而快速

在解决U盘的安全问题时,有一种紧迫感;组织必须采取必要的措施来避免丢失数据和吸引恶意软件。对你的组织的安全U盘增加管理权可以是一个直接的、不费力的程序。

正确的中央管理系统将充分发挥这些智能设备的作用。它将授权组织在互联网上管理每个设备的生命周期。它将允许组织在每个设备的技术寿命期间将安全驱动器分配给新用户。通过点击一个按钮–似乎是一个魔术–你的USB安全解决方案将升级为一个成熟的、安全的生产力工具,从而减轻你的组织、你的中央管理员、你的支持人员和你的终端用户的负担。