光盘作为一种容量大、易携带、性价比较高的存储介质,已成为保密工作者的得力助手,但如果不谨慎使用,依然有较高的泄密风险,您了解吗?


丢失泄密
有的单位为了防止移动硬盘、U盘等携带病毒感染计算机系统造成泄密,规定只能用光盘充当涉密计算机、内网计算机与外界进行数据传输和交换的载体,光盘也因体积小、重量轻、使用方便等受到了大家的欢迎。

但与此同时,不少人却忽视了它小巧、易丢失的特性。再加上很多光盘及其中的信息都未经过加密处理,一旦丢失,无异于拱手送密。

光盘病毒
光盘虽然不会像U盘那样被病毒传染,但在刻录过程中也存在风险,尤其是盗版光盘,厂家技术力量薄弱,疏于管理,会将携带病毒的文件刻录到光盘中,从而感染读取光盘的计算机主机,并通过网络扩散,造成严重危害。

例如,1998年6月爆发的CIH病毒,就是以盗版光盘游戏“古墓奇兵”为媒介,严重破坏计算机硬件结构。据统计,CIH病毒共造成全球6000万台电脑瘫痪,经济损失高达5亿美元。

摆渡木马
“摆渡”原指在河两岸来回运送人员、物资的行为,而在这里,光盘则成为木马窃取内网或涉密计算机信息,输送到外网的一种媒介。

用户通过互联网下载软件时,可能会被木马恶意捆绑,一并刻录到光盘中。当光盘在内网或涉密计算机上运行时,木马就会自动下载到本地,伪装成重要系统文件或潜伏在后台,收集涉密或敏感信息。当再次有刻录行为发生时,这些信息便随被刻录的文件一同存储到新的光盘中,如果新的光盘被插入连接互联网的计算机,木马就会伺机将窃取的信息传输给窃密者。


可见,在安全保密领域,光盘并不能完全“免疫”,我们必须提高警惕,规范使用操作。


使用管理要严格

光盘要统一规范采购,明确使用范围,注明涉密光盘和非涉密光盘。在使用过程中,必须严守保密规定、严格刻录审核,有效管控使用过的光盘,安全存储、及时销毁,防止国家秘密或敏感信息泄露。

杀毒检查常态化

在光盘刻录前,必须对文件或程序例行杀毒查验;光盘插入计算机读取信息前,也要先查杀病毒,再安装使用;每次使用时,还须遵守“一次一用”原则,做好记录。

清除木马有窍门

由于光盘内容不可改写,杀毒软件发现木马病毒后,有可能只报警而无法查杀。遇到这种情况,可将带有病毒的文件或程序拷贝到中间机上,用杀毒软件清除干净,再重新刻盘后在内网或涉密机上读取操作。

数据加密上保险

在光盘使用时可引入加密策略,包括基于光盘本身的硬件加密和针对光盘内容的软件加密。前者速度快、效果好,但成本较高;后者成本低、使用便捷,不少第三方刻录软件就能提供加密功能,这两种方式可在工作中酌情使用。


企业在存储关键数据过程中,如何有效防止电脑文件通过光盘刻录等方式造成的泄密问题?

大势至电脑文件防泄密系统(下载地址: https://www.dashizhi.com/products_technology/products/13.html)介绍:
大势至(北京)软件工程有限公司实时推出了可以有效控制电脑USB口使用、防止电脑随意使用优盘的“大势至电脑文件防泄密系统”。大势至电脑文件防泄密系统是一款适用于Windows操作系统的USB设备监控管理软件。该软件适用于企业、政府、军队、广告公司、设计单位等对信息安全性有特殊要求的机构,主要用于防止外部或内部人员有意或随意使用U盘、移动硬盘等USB移动存储设备拷贝内部机密信息而给单位带来的重大损失,达到有效保护单位商业机密的目的。

09_22_239245.jpg

2、系统功能 
系统主要提供了以下核心功能:
a、全面监控USB存储设备的使用。
 》禁止电脑连接一切USB存储设备,包括:优盘、移动硬盘、手机、平板等,不影响USB鼠标、键盘、加密狗等。》设置特定U盘,即电脑只能识别白名单列表中的U盘。同时还可以对特定U盘进行二次权限设置。
》只允许从U盘向电脑拷贝文件,禁止电脑向U盘拷贝文件,或只允许电脑向U盘拷贝文件,禁止U盘向电脑拷贝文件。
》 密码权限设置。设置从电脑向U盘、移动硬盘拷贝文件时需要输入管理员密码。
》禁用CD/DVD光驱、禁止光驱刻录功能,但是允许光驱读取、禁用软驱。
》监控USB存储设备拷贝记录。详细记录U盘拷贝电脑文件时的日志,包括拷贝时间、文件名称等。

b、全面防止网络途径泄密的行为

》禁止聊天软件泄密。设置特定QQ、允许QQ聊天但禁止传文件、禁止QQ群传文件、禁止微信传文件等。

》禁止邮箱外传文件。禁止登录一切邮箱、允许登录特定邮箱、只允许收邮件禁止发送邮件等。

》禁止网盘向外传文件。禁止使用一切网盘、云盘,也可以设置使用特定网盘、云盘等。

》程序黑白名单管理。设置禁止运行的程序列表,或者设置只允许运行的程序列表。

》网页黑白名单管理。设置禁止打开的网址名单,或者设置只允许打开的网址名单。

》禁止登录论坛、博客、贴吧、空间等,禁止使用FTP上传文件、禁止手机和电脑通过网络互传文件等。

c、操作系统底层防护
》禁用注册表、禁用设备管理器、禁用组策略、禁用计算机管理、禁用任务管理器、禁用Msconfig、禁用安全模式、禁用光盘启动电脑、禁用红外、禁用串口/并口、禁用1394、禁用PCMCIA、禁用调制解调器

》禁用U盘启动电脑、禁用DOS命令、禁用格式化和Ghost、禁止修改IP/Mac、屏蔽PrtScn、屏蔽Esc键、屏蔽剪贴板、禁止网络共享、禁止查看进程、屏蔽Win键、屏蔽Ctrl+Alt+A键、禁用Telnet、开机系统自动隐藏运行

》设置全局白名单、禁止局域网通讯、禁用虚拟机、禁止创建用户、禁用有线网卡、禁用无线网卡、禁止安装随身WIFI、禁用蓝牙、登录密码设置、软件唤出热键管理、安装目录权限管理、UAC管理、恢复管理

》禁止开机按F8进入安全模式、禁止光驱启动操作系统、禁止U盘启动操作系统、禁止PE盘启动电脑等,防止各种手段绕过系统监控的情况。
大势至电脑文件防泄密系统基于单机版和网络版两种架构,单机版安装在一台电脑上;网络版基于C/S架构,分为管理端和客户端,管理员电脑安装管理端,局域网其他电脑安装客户端。

1)单机版界面:
 


图:大势至电脑文件防泄密系统(单机版)

2)网络版界面:



图:管理端界面