在企业反舞弊实务中,员工侵犯知识产权、著作权的案例经常发生,侵犯的对象往往是以电子化方式存储的设计稿、软件源代码、客户资料、销售渠道等涉及核心内部资料的电子数据文件。
本文概述企业数据泄露的途径,并对一些防范利用计算机USB端口恶意拷贝文件的技术手段做简要介绍。
信息外泄的三大途径
电子数据外泄从途径上讲,归纳起来主要有3类:一是网络传输,比如即时通信工具点对点互传、网盘上传、邮件发送等;二是移动存储介质复制,常见的是通过U盘、移动硬盘等移动存储介质复制,而通过智能手机与电脑连接进行文件互传比较容易被忽等;三是屏幕拍照,虽然这种方式比较原始,但是对于一些数据量较小的机密数据的安全防范,比如外来人员顺手拍摄客户名单、销售表格等等,仍需要注意防范。
防范信息外泄的三大手段
防范企业数据外泄的手段,主要有3类:
一是网络软硬件综合监控布局,通过对网络传输数据的监管、限制,实时发现违规行为,并对网络使用作常规记录,为日后取证提供便利;
二是个人计算机软硬件监控设置,在员工使用的个人计算机、移动设备中安装监控软件,对USB端口设备的连接进行比较的设置,比如将USB端口设定为只有报备过的特定设备可以连接等,有条件的还可以对计算机硬件进行定制,记录日常软件使用情况,防范文件恶意拷贝行为等;
三是全面部署视频监控,在办公区域尽量不留死角,为可能发生的案件调查提供相应证据。
上述三种手段往往要综合利用,才能更好的起到防范效果,限于篇幅,本期先重点聊一聊如何控制个人计算机外设端口的数据传输。
限制计算机外设端口的三类方法
从限制个人计算机端口数据传输入手来防范企业数据外泄是一种比较直接的手段,在日常普通应用中,以限制USB端口使用最为常见,按方法分主要是3个大类:
(一)物理封锁
物理封锁可细分成完全禁用、弹性禁用和贴标检查等。
1、粘贴易碎贴纸
这种方法针对企业来访者临时使用计算机时较为常用,在计算机USB口和网络口上粘贴易碎贴纸,利用易碎贴纸的特性可以直观地确认来访者是否曾经通过这些接口联接外设设备。
优点:简单粗暴,肉眼可辨
缺点:贴纸清理容易残留,影响美观;贴纸易碎,误触后容易引发误会
2、断开USB面板与主板连接线
该方法仅针对台式计算机面板扩展USB端口,移除计算机面板USB口连接到主板的连接线,可以实现USB口的功能。
优点:彻底的物理隔断,使USB口完全失效
缺点:仅隔断机箱前面板USB口,无法限制后面板连接,因此使用时需要其他物理手段配合,且重新启用USB口要打开机箱来连接跳线,做法上较为麻烦。
3、热熔胶封堵
这是一种永久性破坏的封锁方式,常用于一些涉密等级较高的政府机关、企事业单位等
优点:彻底封锁
缺点:破坏性方法,不可逆
4、配置专用适配卡(推荐)
这是一类可以加装的计算机硬件,如PCI适配卡,或者USB控制器,其功能是通过硬件方式设定、限制计算机权限,比如限制USB外设连接功能。
优点:可以通过密码控制,不影响正常操作,切换便捷
缺点:需要具有高管理权限的IT人员配合切换功能
5、硬件锁
用来锁住电脑接口,课根据使用需求而取下,恢复接口功能。
优点:不改动破坏硬件,上锁、开锁便捷
缺点:管理弹性较差
(二)修改操作系统设定
1、设置BIOS
在主板的BIOS 设定里,我们可以将USB设为禁用。设定容易,做法简单,成为企业管理USB 设备的常用手段。为了防止员工自行进入BIOS重新启用USB功能,一般在完成设定之后,需要同时设定BIOS管理密码,只有相关获得授权的人员才能访问、更改BIOS设定。如果对主板进行放电操作,BIOS密码会恢复成默认值,而员工就能趁机进入BIOS更改设定。不过,对企业来说,一般都不允许员工私自拆装公司所配发的电脑,而只要非IT部门的人员,在进行类似的动作时,就很容易引起其他人的注意。在机密数据外泄事件发生后,此人自然会成为公司重点排查的可疑对象。
优点:设定容易,做法简单
缺点:BIOS管理密码破解较为容易,需要同时在机箱粘贴封条
2、删除USB 设备驱动程序
适用于未曾连接过任何USB 储存设备的电脑。在WINDOWS\inf路径下,可以找到usbstor.inf、usbstor.PNF两个安装信息文档,这是Windows系统用来辨识USB 储存设备的驱动程序。针对这两个文件设置存取权限、修改文件名称,或者直接删除,可以使员工无法在自己电脑上使用USB储存设备。相同的做法,也能用于打印机、网络摄像头等USB设备的管理。
优点:可针对不同USB 设备个别控制
缺点:仅能针对先前未曾连接USB 储存设备的电脑
3、修改Windows注册表项
工作中经常用到U盘,又不能完全禁止U盘的使用,所以该方法可以禁止电脑文件到U盘的复制而不影响其他外设的连接,方法是在注册表的“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\USBSTOR”下找到Start项,将数值由预设的3修改为4,即可实现禁止文件复制的功能。
优点:设置简单
缺点:对于了解计算机设置的员工,作用有限
(三)外设控制整体解决方案
企业对于USB 的管理需求往往不只是单纯的开与关,而是希望根据实际需求来决定要开放什么样的功能,在此种情况下,就需要导入外部设备控制产品来实现。
这类产品通常会通过安装在用户电脑上的代理程序实施管理,而且能够整合Windows AD、LDAP 等目录服务,让同一部门、相同群组的电脑套用相同的规则做管理,省去个别调整设置的麻烦。
除了设置开关之外,这类产品对于外设的插口,可以提供相当精细的管理功能,对于USB储存设备,可以设置成只读属性,只能阅览移动存储设备里的数据,但不可以执行写入操作,对于智能型手机,这类员工工作上经常使用到的设备,通过这类型的产品,可以只允许电脑与手机之间交换通讯簿,与行事历,但不能将电脑里的数据复制到手机上的记忆卡里。
企业可以在员工将数据写入USB储存设备的时,同步备份到指定储存空间,供日后稽查检查之用。
为了避免数据储存量的问题,也可以只记录文档传输动作,比如何时传送了什么样的文件作为日志进行记录,但这样做的话,对于员工以编辑修改方式外泄机密数据,无法有效地加以管理。
除了市面上的产品之外,网络上也有许多免费版本的USB 控制软件,比如USB Blocker,不过,也要注意某些工具有可能是广告软件或间谍软件。和付费相比,这一类控制产品的功能比较少见,采用与否,需视企业实际需求与部署规模而定。
优点:可根据需求开放一部分的功能,具备良好的管理弹性
缺点:无法防止员工以编辑修改的方式将机密数据外流
作者:星瀚内控与反舞弊法律中心 周晓鸣