隨著計算機制造技術和應用技術的不斷發展，移動硬盤、U盤等移動存儲設備購置成本不斷降低，使用更為方便，由于其體積小、攜帶方便、海量存儲、不易損壞，移動硬盤、U盤等成為人們進行辦公信息處理的首選存儲設備，得到了廣泛的應用。大量的敏感信息、秘密數據和檔案資料被存儲在這些移動存儲設備中。同時，移動存儲設備的“移動”特性也為當前政府、軍事、金融以及企事業等單位的保密工作帶來了新的風險，成為人們廣泛關注的新的研究課題。

一、移動存儲設備帶來的安全隱患

(一)體積小、易丟失

移動存儲介質由于體積小、重量輕，更容易丟失，而移動介質本身往往沒有任何防護措施，一旦丟失或被盜，就會造成大量信息外泄。

(二)信息失效

作為檔案資料保管的存儲介質如果保管不善，很容易造成存儲介質不能讀取，信息不能復用，失去電子檔案的保存價值。

(三)病毒危害

在使用過程中使用者往往忽視對移動設備的查殺毒工作，由于移動設備使用范圍較廣，不可避免地會出現在外使用時感染計算機病毒的情況，如果不能及時有效地查殺病毒，輕易將染毒文件在單位內計算機打開，很容易將病毒傳播到單位內部網中，影響到單位內計算機的應用操作。

(四)“擺渡”技術的威脅

如果病毒僅僅是破壞系統還不會造成泄密，但一旦與“擺渡”技術結合，其危害就十分嚴重了，該類木馬病毒會搜索本地的文件夾并通過因特網向指定的服務器發送數據，使得物理隔離的內網與因特網之間有了連接的渠道。

(五)公私混用，存在一定安全隱患

由于U盤等移動存儲設備體積較小，海量存儲，便于攜帶，使用方便，因此存在著不少人將U盤等隨時攜帶和在不同的環境下使用的現象，造成單位的資料和個人的資料混雜在一起，不便于管理，容易出現使用上的差錯，當移動存儲體被借用時，存儲在移動存儲體中的一些重要信息資料存在泄露的風險。

(六)管理困難

缺少有效的移動設備管理監督機制保密機構和人員缺乏，難以適應計算機及信息技術發展工作的新要求，對移動設備管理缺乏可資借鑒的管理經驗，對設備的信息安全檢查不到位，往往形成“感覺上重要，而行動上卻無從下手”的管理空白。

二、對策與建議淺析

對移動辦公設備的信息安全管理，仍應堅持“預防為主”的方針，以人為本，充分利用技術和管理兩種手段，達到有效防范信息失密的目的。

(一) 加強“人防”，構筑人員安全關

1、加強保密知識和職業道德教育，提高全員個人綜合素質，使全體員工在心目中樹立“哪些是可以做的， 哪些是不應該做的、哪些是需要防范的”的理念，從思想上筑起一道信息安全風險防范的“防火墻”。

2、要開展安全知識培訓，提高安全防范能力。對操作人員可以用網上攻擊案例教育大家，使他們充分了解計算機網絡存在的安全隱患，提高工作人員的安全保密意識和自我防范能力。

(二)突出“技防”，把好技術安全關

1、加密，即俏皮話在移動介質上的信息都是加密處理的，必須通過的解密程序或密碼才能打開，這樣解決了數據的存儲問題，實現了信息的保密。

2、授權，即只允許授權過的移動介質在內部計算機上使用，未授權的移動介質在內部計算機上不可以使用，這樣解決了載體的身份問題，實現了訪問控制。

3、監控，即對企圖使用未授權移動介質的行為進行監控，對使用過程中的讀、寫、復制等進行監控，這樣解決了介質的使用問題，實現了安全審計。

(三)注重“管理”，健全信息管理關

1、加強內部管理，防范內部風險 主要是進一步完善計算機保密制度，細化各個操作環節的管理規范和責任追究，明確界定涉密信息范圍，切實落實各項具體措施，使計算機安全保密工作有章可循，逐步實現計算機信息安全保密工作的規范化管理。首先，工作人員在使用筆記本電腦和移動存儲介質(含U盤、MP3、軟盤、PAD、移動硬盤、數碼相機、數碼錄像機、移動存儲卡等)期間要做好防盜失、防損壞等保護工作。移動設備管理應當責任到人，未經同意不得將筆記本電腦和移動存儲介質轉借他人使用，盡量減少移動設備共用機會。其次，定期對筆記本電腦的操作系統、防病毒軟件進行升級維護及移動存儲介質的防病毒、信息備份工作。再次，筆記本電腦和移動存儲介質嚴禁存儲涉密的任何文件、數據。此外，工作人員原則上不得將軟盤附送服務對象，確實需要的，將軟盤格式化后，只拷貝指定內容附送。

2、加強對移動辦公設備管理的監督檢查主要是要形成一種機制，樹立管理權威。全面掌握單位筆記本電腦、移動存儲設備的使用管理情況，定期對筆記本電腦進行信息安全檢查，如果發現違規情況應進行通報批評，起到警示作用。對涉密筆記本電腦應嚴格管理，專人專用，專人管理，嚴禁在辦公室以外的地方使用。

3、加強對外來技術服務的管理

為了防范信息泄密，確保信息與網絡的安全，應當進一步規范外來技術服務工作，保證外來技術支持服務達到內部網與信息系統安全管理要求，堵住外來技術人員通過隨身攜帶的移動設備在內部網上傳播計算機病毒的途徑，防范外來人員通過技術服務方式竊取信息及重要業務數據的風險。

三、可信移動介質管理解決方案

可信移動介質解決方案，須滿足幾個基本要求：一是，通過移動介質交換的數據必須是密文，保證數據離開應用環境后不可用;二是，數據交換前必須通過正確的身份認證，包括密碼認證或USB-KEY等授權硬件的身份認證;三是，記錄數據交換過程的工作日志，便于以后進行跟蹤審計;四是，未經授權的移動介質，在工作環境中不可用，只有經過公司授權的移動介質才能進入到公司的辦公環境;五是，工作配發的移動介質帶出辦公環境后變為不可用。

為了滿足以上需求，很多企業采用消極、被動的管理方式，比如：通過封堵移動存儲設備端口(如USB端口)來禁止用戶使用移動存儲設備，或者通過每天早上派發和晚上回收移動存儲設備的方式來防止內部員工通過移動存儲介質泄露企業商業機密等等，這些給管理人員和員工都帶來了極大的不便，也降低了工作效率。根據以上思路，中軟信息安全實驗室研究開發了一套“可信移動存儲設備安全管理平臺”。 可信移動存儲設備安全管理平臺是利用信息保密、訪問控制、審計等技術手段，對企業移動存儲設備實施安全保護的軟件系統，使企業信息資產、涉密信息不能被移動存儲設備非法流失，用技術的手段，實現移動存儲設備信息安全的“五不”原則，即：進不來、拿不走、讀不懂、改不了、走不脫。 可信移動介質管理系統的對象定位即移動存儲設備，包括軟盤、移動硬盤、U盤及其他移動存儲卡等移動存儲介質。

可信移動介質管理系統的功能包括：首先，它可以集中授權移動存儲設備;其次，要求移動存儲設備認證;再次，防止信息泄露;還有，實行數據加解密和操作行為的安全審計等。實現技術有以下幾項，如很顯然要用到的授權技術、身份認證技術和加/解密技術，另外還涉及到日志記錄和審計技術，即在整個環境中，無論移動介質是否經過授權，只要在終端上進行加載，所從事活動都將以日志形式記錄到服務器數據庫當中以供需要時查找。還有策略實施技術，即可根據安全要求不同設定不同的安全策略，在不同的終端上根據需求設定不同等級的安全策略，以方便使用。

移動存儲介質的使用是大勢所趨，必須因勢利導，應堅持“預防為主”的方針，以人為本，充分利用技術和管理兩種手段，達到有效實現信息安全的目的。