由使用可移動存儲設備（尤其是U盤）所帶來的安全風險使得政府的IT管理人員即使在晚上也得熬夜工作。實際上，美國國防部（DoD）已在2008年11月禁止使用閃存驅動器和其他移動存儲設備，因為當時人們發現，一個在軍事網絡中傳播的病毒其來源是一個U盤。去年2月，美國國防部解除了2年來對閃存驅動器和其他可移動存儲設備的使用禁令，但在使用方面實行了最嚴厲的限制。

根據美國國防部的新規定，只有經過授權的人員才可以使用移動存儲設備，并且驅動器必須是政府采購和擁有的，且只能在執行關鍵任務時才可以使用。此外，還要對用戶和設備進行隨機審查。

盡管U盤和其他移動存儲設備具有強大的安全風險，但不可否認的是二者都是便攜、廉價的存儲工具。美國海軍部首席信息官Robert Carey是國防部一個名叫“老虎隊”（負責制定可移動設備的政策）的領導人，已經意識到U盤在計算機之間傳輸數據時非常有用，包括對操作系統打補丁和更新殺毒軟件，特別是在受限的環境下，如在戰場或戰艦上。

但U盤的問題遠遠超出了國防部的預料。這些閃存驅動器“已經無處不在”，在美國國家標準與技術研究所計算機安全部門工作的計算機科學家Karen Scarfone表示，“我認為用戶往往以為它們是無害的，但卻不明白使用這些設備可能帶來的安全風險。”

U盤加密不夠

Scarfone表示，在過去兩年中，業界已經花了不少力氣提高閃存驅動器的使用安全性。Scarfone是NIST終端用戶設備存儲加密技術指南（特別出版物800-111）的共同作者，該文章闡述了可移動存儲設備安全問題的處理方法。

舉例來說，有一類廠商目前出售一種軟件，此軟件能夠對可移動存儲設備提供中央管理、對數據訪問進行基于政策驅動的控制，并對所包含的數據進行加密。

Scarfone 表示，“任何一種管理解決方案在安全方面都將是可取的”，她還補充到，對驅動器上的數據進行完全加密是十分重要的一步，但此步驟已經與限制存取數據的認證機制相結合。“如果你不要求身份驗證，那么加密并沒有什么好處”，她說。

WinMagic公司的營銷副總裁Joseph Balasanti表示，當你對驅動器上的數據進行了加密，你也應該對文件名進行加密。WinMagic公司是一家與美國國防部數據安全部門合作的公司。“只需要根據文件命的名字就可以推測知道很多關于該文件包含的內容，”他說。

Balasanti表示，為了保護可移動存儲設備上的數據，目前最好的做法是利用全盤加密再加上一個密鑰管理系統。此外，“你還可以擁有一套集中安裝、配置、部署和管理這些加密部件的方法”。當密鑰由服務器管理并與Active Directory同步之后，只有那些經過授權的用戶才可以使用可移動設備來共享數據。

Balasanti表示，最新的軟件還可以讓管理人員按照品牌、型號和序列號列出U盤的“白名單”，以便只有符合這些要求的設備才能在授權的機器上使用。

【編輯推薦】

1. U盤安全刻不容緩打造最安全U盤主控芯片
2. 機密保障正當時安全U盤采購攻略