為什麼要封鎖USB

USB是現今使用最為普遍的周邊裝置介面，幾乎是所有電腦都配備USB埠，而且各式各樣的周邊裝置，舉凡隨身碟、手機，以至於掌上型遊樂器，無一不配備USB介面。

然而，也就是因為USB介面使用太過於便利，以及USB裝置無所不在，USB對企業帶來的資安威脅則日益增高。

根據Forrester這家市場研究機構的調查，52%的企業資料外洩事件，都跟可移除式USB儲存裝置有關，受訪的151家企業所認為最嚴重的資料安全問題中，對於可移除式儲存裝置管控不力，這一項則是名列首位。

可移除式USB儲存裝置，除了是資料外洩的管道之外，還帶來另一個資安威脅──散播USB病毒，而且USB病毒對企業造成的威脅不下於網路蠕蟲，甚至是更為嚴重。因為，當員工帶著這些USB儲存裝置進入公司時，他可能都還不知道裡面已經藏有病毒，USB病毒就跟著人員進出公司，而輕易地跨過了網路邊界的防禦線，所以，如果企業沒有實施其他的防禦機制，那麼公司辛辛苦苦架設的網路邊界防禦，一遇到USB病毒就形成虛設了。

而且，當這位員工在電腦上插了USB隨身碟之後，如果防毒軟體沒有偵測到USB病毒，那麼USB病毒很可能就會立即透過這臺電腦來散播，如此就形成了資訊人員最不願意見到的病毒攻擊情形──病毒內部攻擊模式，內部攻擊模式，就像是木馬屠城記裡的特洛依木馬一般，躲在木馬裡的希臘人，趁著夜黑直接在特洛依城內發動攻擊，讓特洛依人措手不及。同樣的，企業內網的防禦程度不足，一旦病毒在內部網路爆發，即便城牆築得再厚實，也無濟於事。

更嚴重的事實是，如果企業沒有管制USB裝置的機制，那麼這兩種威脅時常是一起出現的。我曾經遇過一件事，有一位國小生請我幫忙看一個Word文件，他把檔案存在USB隨身碟後給我，然而，當我一接上電腦之後，防毒軟體就偵測到隨身碟有USB病毒，緊接著我查看了隨身碟裡的檔案，發現裡頭有國小生從網站下載的遊戲破解檔（可能這個檔案就是被故意植入了病毒），以及看起來是他父親工作用的文件檔──一家知名生技公司海外新投資計畫的規畫書。

從這個例子可以看到，如果企業沒有規範可移除式USB儲存裝置的使用政策，那麼員工就可能會把檔案存在隨身碟，好意的話，是把工作帶回家繼續做，然而，員工必須要帶回家工作的檔案，通常都是重要的檔案，甚至是機密檔案，如同上述例子中的投資計畫書；而員工若是惡意的話，現今只要用1支隨身碟，就可以帶走整個資料庫的資料了。再者，員工帶回家的隨身碟可能會被家裡的電腦感染病毒，再帶回公司使用的話，就會再把病毒散播到公司內部。

由於USB隨身碟是最常使用的可移除式儲存裝置，有些企業就從政策上規定員工不可使用，然而，現今USB隨身碟外型千變萬化，不容易察覺就難以管制，而且，除了USB儲存裝置之外，像是USB介面的3G網卡，也是資料外洩可能的管道之一。所以，企業若要徹底防範資料外洩，就不能只是管制USB裝置而己，而必須進一步從封鎖USB埠下手。該怎麼做呢？本期封面故事──「IT實戰！封鎖USB埠」告訴你12種可行的作法。