IP-Guard移动存储设备策略详解

IP-Guard文档

如何使用IP-Guard移动存储设备策略来管理企业内部的移动盘，防止机密资料泄露。管理员需先对移动存储设备分类，然后设置不同部门和个人对各类移动盘的读写权限及加密解密规则。当文档控制策略和移动存储策略冲突时，将优先执行文档控制策略。

为了方便管理企业内部使用的移动盘，防止企业内部机密资料通过移动存储设备外泄，管理员可以通过移动存储策略来授予不同的移动盘不同的权限，同时可以对复制到移动盘的文档进行加密，使其只能在企业授信的环境中才能打开。

设置策略前，管理员需要对企业内用到的移动盘进行合理的分类， 移动存储库的分类可参考后面的“工具->分类管理->移动存储分类”的说明文档。

移动存储设备的类型和操作权限包括：

策略属性名称	说明
加密盘类型	默认是“全部”，可以通过下拉列表选择加密盘或非加密盘或安全U盘；设置的策略只对所选的加密盘类型有效；
可读	允许任意程序以只读方式读取移动盘的内容，只有勾选此项，下面三项才有效。
自动解密	允许在资源管理器中从移动盘将文档复制到本地或者网络上时自动解密，而其他的应用程序读取移动盘上的文档不会自动解密；
可写	允许任意程序写到移动盘上，当不允许可写时，会禁止文档复制或保存到移动盘上，同时也会禁止删除，改名移动盘上的文档；只有勾选此项，自动加密才有效；
自动加密	禁止除了资源管理器之外的任何程序写数据到移动盘，当资源管理器复制文档到移动盘时，自动对文档加密。
移动存储类别	移动存储默认是<全部>，是指所有的移动存储设备，要设置指定的移动盘，只能到移动存储分类中选择，可以指定一个分类，也可以是具体的一个移动盘。
描述	通过移动存储设备的设备描述来匹配移动盘；

提示 如果企业想执行严格的移动盘控制策略，可以首先在整个网络中设置所有的移动盘都只读，不可写。
然后针对不同的部门和个人，设置其对不同的移动盘分类有不同的权限。比如每个部门都只能对属于自己部门的移动盘能够读写，而且读写时自动加密解密。
这样移动盘在部门内部使用是不受限制的，而且不会被其他部门的人读取数据，而那些外来的移动盘则只能读不能写。

注意 如果同时设置了文档控制策略和移动存储授权策略，则先执行文档控制策略，再执行移动存储授权策略。
例如允许读写移动盘，并且加密；而文档策略有禁止复制word文档到移动盘。则最后执行的结果是不允许复制Word文档到移动盘，而其他的文档复制到移动盘时会自动加密。