【IT168专稿】当一个移动存储设备的使用策略制定好以后，我们并不会知道它到底适不适合企业的实际需求，也不知道它真正的管理效果，这些都要等到在企业中实施它以后才能了解到。因此，接下来的工作，就是立即在企业中实施我们制定的移动存储设备使用策略。

    移动存储设备使用策略的具体实施，必需在企业中从上至下全面严格地执行，完成保护移动存储设备安全使用的技术、管理和物理控制措施。

    1、保证移动存储设备使用安全的技术措施

    对移动存储设备的使用进行技术控制，主要方法包括应用数据加密和访问控制，以及对设备和各类端口的使用进行控制和审计等。要高效率地完成这些技术控制措施，通常都是通过使用终端安全管理软件来完成。

    在选择需要使用的移动存储设备管理软件时，应当根据企业的实际需求情况做出正确的选择。例如，如果企业有一定的经济实力，对于商业软件的价格不敏感，而且对移动存储设备的安全防范要求较高时，选择的软件最好是商业软件，拥有的功能越全越好，最好可以同时在计算机终端和网络中运行。这样，只选择一种软件就可以满足所有的技术控制要求，而且能为企业节省购买另一种软件的成本。

    就目前来说，市面上已经存在许多种可以用来监管移动存储设备使用的软件。它们之中有些是一些监管对象比较广泛的终端安全类软件，而一些比较专一的，主要针对移动存储设备使用安全的软件，比较有名的就数DeviceLock和GFI EndPointSecurity这两者了。

    下面，我将只以DeviceLock软件为例，来说明在企业中如何实施相应的保护移动存储设备安全使用的技术措施。另外，大家可以去http://www.gfi.com/downloads网站下载GFI EndPointSecurity试用版和安装使用说明手册。

    DeviceLock是一款功能强大的移动终端设备管理软件，它具有计算机终端端口(如USB、COM、LPT、红外等端口)的管理和审计功能，以及对诸多的设备类型(如任何移动存储设备、CD-ROM/DVD、磁带设备、WIFI适配器、蓝牙适配器、Windows Mobile、打印机等)进行控制的功能，同时还集成Truecrypt、PGP Whole Disk Encyption和Lexar SAFE PSD的数据加密功能。

    DeviceLock可以在Windows 2000\XP\Vista及Windows server2003\2008中使用，支持32bit和64bit的计算机硬件平台。它现在的最新稳定版为6.4，我们可以从www.devicelock.com网站上下载它，整个压缩包大小为39MB左右。

    DeviceLock一共可分为三个部份：DeviceLock Service安装在终端上，用来对终端上的移动存储设备进行管理和控制。DeviceLock Enterprise Server用来收集指定终端中产生的日志文件，并以MS SQL数据库的方式保存。第三部份就是DeviceLock管理控制台，它可分为三种管理方式：DeviceLock Management Console、DeviceLock Enterprise Manager和DeviceLock Group Policy Manager。

    安装时，将下载的DeviceLock压缩包解压后，直接运行解压目录中的Setup.exe文件，就可以开始DeviceLock的安装过程。在安装过程中，DeviceLock的安装程序会提示我们选择安装它的方式，共有Service+Consoles、Server+Consoles及Custom三种安装方式。如图1所示。 

图1 DeviceLock安装方式选择界面

    当我们在客户机上安装DeviceLock时，可以按Custom方式只安装DeviceLock Service。如果要对终端产生的日志进行集中管理，就可以在企业网络中的一台安装有MS SQL的服务器上按Server+Consoles方式，安装它的DeviceLock Enterprise Server。然后再在机构网络中另一台服务器上安装它的某种管理控制台，并选择以DeviceLock Group Policy Manager的方式进行安全，将它集成到Windows的组策略当中。

    完成安装方式的选择后，在后续的安装过程中，还会提示我们是否制作认证证书的选择界面。在此界面中选择“是”后，就会出现如图2所示的产生证书界面。

图2 DeviceLock证书产生界面

    如果是以DeviceLock Service的方式安装DeviceLock，当必要的文件复制完成后，就会出现一个选择管理控制设备，以及设置安全选项的界面，如图3所示。

图3 DeviceLock选择管理控制设备及设置安全选项界面

    在上述所示界面中做出必要的选择后按“ok”按钮，再按提示完成后续所有的安装工作，DeviceLock就可以按我们指定的方式，安装到系统中的相应位置。如果我们在安装时选择与Windows组策略集成的方式，那么，当安装完成后，打开系统组策略控制台，就可以见到如图3.4所示的界面。

图4 DeviceLock与Windows组策略集成界面

    当重新启动系统后，DeviceLock就会自动运行，然后接管系统对所有在这台计算机上使用的移动存储设备进行管理和控制。如果我们以网络集中方式对DeviceLock进行部署，那么，我们还可以在DeviceLock的中心管理控制台上，对在其监管下的所有DeviceLock客户端上的移动存储设备的使用情况进行日志查询和审计。