终端安全风险管理：外设设备管理

1.风险分析

（1）风险描述

外设设备主要包括U盘、移动硬盘、光盘刻录机、软盘；蓝牙/3G手机、便携WIFI和无线网卡；打印机、图形仪、复印机、传真机等。这些设备如果不进行合理管控使用，极有可能将病毒、木马、后门等带到内网当中，从而造成难以预见的破坏；外来人员和内部人员也可能利用这些设备，将内网敏感信息复制打印等传播到外网，造成泄密事件的发生。

根据这些外设的用途，我们将这些设备分成3类，具体分类如下：

1）存储设备，如U盘、移动硬盘、光盘刻录机、软盘。

2）外联设备，如蓝牙/3G手机、便携WIFI和无线网卡。

3）打印设备，如打印机、图形仪、复印机、传真机。

（2）相关风险点

存储设备管理风险点见表A-19。

表 A-19

外联设备管理风险点见表A-20。

表 A-20

打印设备管理风险点见表A-21。

表 A-21

（a）基于资产使用生命周期分析

存储设备基于资产使用生命周期分析

该类风险涉及生命周期阶段为入网阶段、使用阶段、维修阶段及报废阶段。由于存储设备保留有相关信息，因此，在各个阶段保留的相关信息都存在篡改和泄漏的风险。入网前，存储设备在分配的时候就要根据领用人的责职和权限指定分配，没有权限的人禁止领用可存储设备，并做到专盘专用，通过工具进行标签化管理，明确公示管理制度和领用人的责任，不得随意借用。运行过程中，对于存储类设备，尤其是移动存储介质如U盘的使用，不仅做到对USB接口的管控，还要对U盘在网络中的使用严格监视、审计。防止这些存储类设备将外面的病毒、木马在使用的过程中带入内网，也要防止某些人利用这些存储介质私自传递已经开启USB接口的终端设备中的敏感信息。因此要对USB移动存储设备加强审计，审计其是否修改、删除或者传递过哪些文件夹或者文件。同时，设备维修阶段为特殊阶段，许多在线监控措施和管理规定将会失效，因此，该类设备在维修过程中首先要做脱敏检查，即擦除存储设备中的敏感信息，防止维修过程中敏感信息的泄漏；其次，在设备报废阶段，必须将存储设备消磁，使得其中存储的信息不可能恢复。

外联设备基于资产使用生命周期分析

该类风险涉及生命周期阶段为入网阶段和使用阶段。外联设备关系到网络是否真正隔离，是否存在违规内联和外联的风险。因此，入网阶段，对外联设备就要严格禁止使用，明确公示管理制度，告知随意通过外联设备接入对内外网隔离是严重违背的，并且存在严重安全风险。运行过程中，对于外联类设备，尤其是3G手机的使用，不仅做到对外联设备及时发现和管控，还要对3G设备在网络中的使用严格监视、审计。防止这些存储类设备将外面的病毒、木马在使用的过程中带入内网，也要防止某些人利用这些外联设备将内网的终端设备中的敏感信息外传，引发信息泄密风险。

打印设备基于资产使用生命周期分析

该类风险涉及生命周期阶段为运行阶段。由于打印设备涉及敏感信息可能被打印后携带出去的风险。因此，需要对打印设备严格管理。对敏感信息的打印，要指定打印机，不允许将敏感信息通过普通非指定打印机打印，对打印的内容要标记，对打印出来后的敏感信息要管理，临时使用或者弃用的内容要及时粉碎销毁。防止打印设备没有管控以及打印的纸张没有管控造成敏感信息外泄的风险。

（b）相关信息风险分析

在线信息风险

存储设备在线信息风险：特定生产系统需对移动存储介质进行读取和写入，因此，对于该类U盘应放开使用，否则会造成业务不可用，同时，又要能识别和禁止其他类别的U盘的使用，因此需要对内部使用的U盘进行标签化管理，区分U盘的类别和使用范围。对于数据需要在外网使用的情况，可以生成文件通过摆渡机和专用U盘复制到外网。因为日常工作中需要经常利用U盘将内网数据发布到外网，如果不严格管理，业务数据被窃取、篡改，造成的恶劣社会影响，外网感染的病毒、木马也会随着U盘的无序使用而进入内网，造成对内网业务系统的威胁，风险非常高。而该类风险如果发生在公文处理系统、单位财务处理系统，以上业务受到影响可能局部范围可控，不会造成重大社会和经济损失，只对内部工作造成影响，因此风险为中。如果该类风险发生在内网网站、档案管理软件中，由于该类信息资产是业务运转不依赖或较少依赖的，脱离该信息资产完全可以生产或开展业务活动，以上业务对实时性要求不高，一般不会对企业和社会造成影响，风险较低。

外联设备在线信息风险：外联设备使用，和内外网隔离的策略是严重违背的，是被严格禁止的。该类风险不仅存在信息外泄和扩散的风险，同时也存在其他所有可能的安全风险和隐患。对整个网络和业务都是极端危险的行为。目前3G手机非常流行，而终端设备也具备蓝牙、红外、无线网卡等接口，任何拥有3G手机的员工，都可以通过3G手机利用手机蓝牙和终端设备的蓝牙链接，使得原本不能上外网的终端通过3G手机获得访问外网的途径。同样，利用手机WIFI，或者手机数据线，一旦手机和终端有了连接通道，就可以搭建手机访问外部网络的通道，而一旦外联通道打通，内联也就随时可能发生了，整体网络的信息安全也就得不到保证。

打印设备在线信息风险：打印设备使用，和整个业务系统都相关，根据业务的重要性要严格管理打印设备的使用。对于重要的生产系统来说，如果不严格管理外设，在日常工作中和需要打印过程中，很容易将客户的个人信息和业务敏感信息打印出来，如果不对打印出来的信息加以管控，就容易导致纸张信息和数据被带出而造成信息外泄，给客户和企业的形象造成恶劣影响，风险较高。因此对于敏感信息打印需要指定打印机和终端。而对于不重要的或者不涉及敏感信息的系统，其影响相对较低。不需要指定IP和打印设备。而对于打印出来的包含敏感信息的纸张，对数量和内容都要管理，废弃时必须彻底粉碎，对该信息的复印也要经过批准，严禁未经批准私自复印敏感文件，防止信息外泄。

存储信息风险：

存储设备存储信息风险：存储在终端设备中的信息可能通过存储设备泄漏出去。

外联设备存储信息风险：存储在终端设备中的信息可能通过外联设备泄漏出去。

打印设备存储信息风险：存储的信息可能通过打印机或者图形仪打印而被携带出去，造成信息外泄。

（c）基于资产使用人员风险分析

存储设备基于资产使用人员风险分析

内部人员：如果高级管理岗位（如高层领导），其存储设备丢失，由于其存储外设中极有可能含有企业核心信息和涉密信息以及个人的敏感文档，可能造成的社会影响非常大，风险非常高。而该类风险发生在部门主管、网络管理员、配置管理员、系统管理员、财务部人员等关键岗位业务人员，则由于像网络管理人员存储介质往往中含有网络拓扑、配置策略、运行业务数据等，由于该类数据一般包含敏感信息，随意传递、刻录极易造成信息外泄，风险较高。而如果光盘刻录，存储设备随意使用风险发生在生产人员、办公人员等，则可能将程序带出，造成知识产权的泄漏，由于该类终端支持业务和对正常运营起保障作用，相当重要，风险为中。

临时人员：如果该类风险发生在临时人员岗位（如食堂、车队、绿化等人员），则该类终端一般不涉及业务、不包含敏感信息，风险为低。

外部人员：如果该类风险发生在外部人员身上，可能造成信息外泄的风险，因此应严格控制外来人员存储设备的使用。外来人员要求任何操作外设的动作必须经过审批，降低可能导致信息外泄的风险。

外联设备人员风险

内部人员：对于高级管理岗位（如高层领导），使用3G手机开通网络功能，由于目前3G手机安全防护能力薄弱，手机病毒木马犯罪呈现上升趋势。手机一旦中了木马，就可能成为外部控制的监视设备，随时可能被黑客利用，手机和终端设备也会自动搜索蓝牙和WIFI智能设备，这样很有可能被别人利用，而一旦被利用，则由于其终端含有涉及企业核心信息和涉密信息，风险非常高。该类风险发生在部门主管、网络管理员、配置管理员、系统管理员、财务部人员等关键岗位业务人员，则由于该类终端对业务支撑非常关键，终端中一般有网络拓扑、配置策略信息等，且一般包含关键业务信息，风险较高。如果该类风险发生在生产人员、办公人员等，则由于该类终端支持业务和对正常运营起保障作用，相当重要，风险为中。

临时人员：如果该类风险发生在临时人员岗位（如食堂、车队、绿化等人员），则该类终端一般不涉及业务、不包含敏感信息，风险为低。(www.chuimin.cn)

外部人员：如果该类风险发生在外部人员身上，可能造成信息外泄的风险，因此应严格控制外来人员外联设备的使用。外来人员要求任何操作外设的动作必须经过审批，降低可能导致信息外泄的风险。

打印设备人员风险

内部人员：该类风险发生在高级管理岗位（如高层领导），则由于其终端含有企业核心信息和涉密信息，风险非常高。该类风险发生在部门主管、网络管理员、配置管理员、系统管理员、财务部人员等关键岗位业务人员，则由于该类终端对业务支撑非常关键，且一般包含关键业务信息，风险较高。如果该类风险发生在生产人员、办公人员等，则由于该类终端支持业务和对正常运营起保障作用，相当重要，风险为中。

临时人员：如果该类风险发生在临时人员岗位，如食堂、车队、绿化等人员，则该类终端一般不涉及业务、不包含敏感信息，风险为低。

外部人员：如果该类风险发生在外部人员身上，可能造成信息外泄的风险，因此应严格控制外来人员打印设备的使用。外来人员要求任何操作外设的动作必须经过审批，降低可能导致信息外泄的风险。

（d）合规性要求

合规性要求见表A-22。

表 A-22

2.风险管控

（1）存储设备风险管控

事前处置：常规情况下，建议对移动存储外设采取指定品牌和型号，统一采购和标签化管理的方式。指定的设备只能使用指定的存储设备，非指定的移动存储外设不允许在内网使用。必须建立外设的采购和领用审批流程存，对外设使用进行严格规定，对敏感信息和设备，在存储和传递过程中，必须加密数据用于指定的专用设备，并且只有授权和审批的设备和人才有权限登录，复制下载信息。未经审批的存储设备不允许接入网络，即使接入也无法使用。

事中处置：根据存储设备使用规定下发主机外设控制策略，实施控制措施，并对存储类外设监控。当存储类外设接入时，首先检测是否为符合策略中规定的指定存储类外设，如果不属于指定存储类外设，应向管理中心及时报警，不允许其使用，并记录发生时间，进行系统日志信息的安全存储。对于符合策略要求，属于指定应用类的外设，则允许其使用，但是记录其读、写、删除操作信息，如果数据存储过程中有越权操作或者下载了非授权敏感信息，则应将日志安全存储到管理平台，并提示管理中心。如果存储类外设使用过程中出现问题（如损毁等），则走相应的维护流程。

事后处置：对于违规读写数据行为，进行后续安全审计和操作追踪，并进行违规分析，如果确实属于越权行为，则采取一定的惩罚措施；如果属于误报，则进行策略调整。

管控流程如图A-16所示。

图 A-16

（2）外联设备风险管控

事前处置：外联类设备主要有小巧、使用普遍、不易察觉的特点。比如3G手机，应用非常普遍，几乎人手一个，接入信息外网的途径很多，可以通过蓝牙和电脑对接，可以通过手机PC套件和电脑连接，也可以通过WIFI和电脑连接，管理难度较大。因此终端在入网时必须严格执行端口管理规定，严格管理蓝牙、红外、WIFI、USB模块，对这一类设备端口下发策略默认关闭，如果需要打开必须经过严格审批。对违反规定擅自使用3G手机和电脑连接的责任人一律严肃处理。

事中处置：根据安全需要，下发主机控制策略，实施网络链接控制措施，监控外联类外设，尤其是3G手机。首先禁止不必要的端口（如蓝牙、红外端口），尽量切断其接入途径。其次禁止安装手机PC套件和相关驱动，通过软件检查，发现违规安装PC套件的则禁止使用并告警。最后，主动探测接入网络设备和网卡、Modem，判断是否为手机类设备，如果是，则切断并记录接入时间并告警。

事后处置：对于违规使用3G手机和终端联网行为，一经发现则需严格处理，必须建立后续安全审计和操作追踪，查看是否有信息外泄等违规分析，严重违规的则必须追究其责任，形成高压线，不得触犯。

管控流程见图A-17。

图 A-17

（3）打印设备风险管控

事前处置：打印类设备在办公中普遍使用，如果涉及敏感信息文件的打印和传递就必须指定打印设备，对打印文档的数量、纸张也要严格管控。所以需要建立相应的敏感信息打印设备管理规定。对于敏感信息的打印要指定打印区域，指定打印设备，并且要限定规定地址的终端设备才能访问该打印机。打印出来的文档要建立严格的处置保管制度。

事中处置：根据安全需要，下发主机访问控制策略，未授权的终端不能访问指定的打印设备。对任何企图尝试连接指定打印机的终端应记录其尝试次数，超出规定的，向管理平台告警，并记录日志。

事后处置：对于打印出来的含有敏感信息的文档要登记，记录打印人。文档借出时要登记借阅人，最终销毁要记录销毁时间、销毁人。

对于授权使用外设人员自身违规，擅自将移动存储设备带走，或者将保存有敏感信息的外设和打印的纸张、图片带出单位等情况，终端无法发现。敏感信息接触者通过非技术类手段的泄漏（如拍照、摘抄、电话泄漏等），都无法通过技术手段做到监控。

对策：

1）长期的安全意识培训。

2）适当的人员监督机制。

3）严厉的惩罚措施。

4）保留事件调查、起诉的权利。

5）加强审计追踪。

管控流程见图A-18。

图 A-18

3.风险控制效果

通过对外设设备使用控制流程，能够对外设设备的使用和审批全程进行监控，对常用的存储类外设设备如U盘、移动存储等能发现，对读写修改能审计。对3G手机、蓝牙、WIFI接入能发现非法外联，能审计其外联网络。建立对本地打印机、数码图形仪、复印机等设备的指定管理和敏感文件打印的监控。

所有这些控制，都必须建立一套完整的外设管理审批流程和终端防护发现机制。只有实现制度和技术的结合，才能有效管控外设设备的使用。