CIO实战:猫捉老鼠做好信息安全管理

　　近几年，因为员工泄露信息，企业与员工对博公堂的事件屡见不鲜。但是，就算企业最后在官司上取得胜利，但是，也不能够挽回由此造成的巨大损失。随着企业竞争的日益白热化，企业信息价值日益显现，如何保障企业内部信息的安全，这在CIO工作中所扮演的角色，已经越来越重要。

　　俗话说，家贼难防。笔者认为，对于企业来说，信息安全管理的重点是如何防止企业内部员工泄露信息。这就好象是一个猫捉老鼠的游戏。CIO要在不影响正常工作的前期下，做好信息的安全管理工作，确实有不小的难度。下面笔者结合自己的工作经验，谈谈CIO该如何做好这场“猫捉老鼠”的游戏。

　　一、老鼠的必备工具：移动存储设备

　　大容量U盘、移动硬盘的出现，给我们数据存储与转移提供了非常大的便利，可惜的是，其对于企业的数据安全也带来了非常大的隐患。根据国外权威机构的调查，利用移动存储设备来偷窃企业重要信息，已经是危害企业信息安全的头号杀手。确实，移动存储设备，因为其体积小、使用方便，而且不易被发现，如MP3也可以到U盘使用，越来越被老鼠一族所喜爱。

　　针对这种情况，CIO这头猫又该采取什么措施呢?

　　由于笔者企业对于企业信息安全比较重视，跟领导层开会商议以后，决定在公司内部不能擅自使用移动存储设备。若确实需要使用的，必须经过相关人员的审批。具体的来说，笔者企业通过如下方式来防止用户利用移动存储设备作案。

　　一是通过各种手段限制对主机上USB端口的使用。要防止用户擅自使用移动存储设备，那么最根本的方法就是停止使用USB端口。笔者刚开始是采用BIOS方法进行设置。如把BIOS里USB1与usb2相关的属性设置为DISABLE，即可禁止使用USB接口。不过，这个方法比较霸道，因为其会禁止所有的USB接口，包括鼠标与打印机，所以，使用起来不是很方便。笔者经过一番摸索之后，采用的是另外一种方法。通过注册表禁止U盘或者移动硬盘的启动。当笔者在注册表中设置为禁止移动硬盘或者U盘启动时，当移动硬盘或者U盘连接到计算机时，虽然这些设备上的指示灯会正常闪烁，好象在使用中。但是，其实在电脑中却找不到这个盘符，用户也就无法使用移动硬盘或者U盘存储文件了。

　　二是通过微软操作系统自带的加密功能，使得离开本机的文件无效。若我们能够有一种方法，即使用户把电脑上的文件复制到移动存储设备上，但是，当他们在其他电脑上无法阅读这个文件。如此的话，他们复制过去的文件也就一无用处了。通过这个方法，也可以间接的防止不良员工利用移动存储设备作案。其实，在微软2000以上的操作系统中，已经具备了这个功能。微软操作系统中，有一个EFS加密功能。其基本原理就是可以利用当前操作系统的某些特征值，如当前登录用户的帐号后台序列号的值作为加密密钥，对文件进行加密。如此的话，除非是当前的用户，否则的话，其他用户都无法打开这个文件。此时，若把主机中的数据文件复制到移动存储设备上，那么其他人也无法正常访问。这就保证了数据的非法泄露问题。不过在利用这个EFS加密功能，必须要注意几点。一是这个加密是根据当前登录帐户的后台序列号来对文件进行加密的，所以，当用户忘记帐户登录密码后，会比较麻烦。此时，即使把原先的帐户删除，再新建一模一样的帐户名，也无法对文件进行解密。因为操作系统是根据帐户名后台所对应的序列号，而不是前台显示的帐户名来对文件进行加密解密的;而即使帐户名相同，后台的序列号也是不同的。故，在利用这个功能的时候，最好能够把该用户的证书导出来，以备不时之需。二是利用EFS加密文件，具体的加密与解密动作，对用户来说是透明的。也就是说，我们只需要把相关文件夹，如除系统文件夹之外的所有文件夹，都设置为EFS加密。此时，员工把文件复制到这个文件夹后，所有的文件就会自动进行加密，不需要用户进行干预。

　　三是通过制度进行管理。俗话说，道高一尺，魔高一丈。有时候最周密的安全措施，也会有漏洞，会被不法之人乘机而入。所以，除了技术上的限制外，在管理上也要跟上。笔者公司在IT管理制度上，明确表示未经允许，不得以任何借口使用移动存储设备。若发现的话，轻则罚款、记过，重则开除。可见，笔者企业上下，对于信息化安全这一块内容也是非常重视的。