系統(tǒng)的崩潰����、病毒的入侵�����、人為的失誤���,都會(huì)造成數(shù)據(jù)的丟失�����,2008年�����,企業(yè)面臨的最大信息安全挑戰(zhàn)到目前為止已昭然若揭�����,這就是數(shù)據(jù)丟失�����?����;ヂ?lián)網(wǎng)安全方案廠商Check Point軟件技術(shù)有限公司安全顧問(wèn)程智力表示�����,從最新的國(guó)際市場(chǎng)發(fā)展動(dòng)態(tài)來(lái)分析��,今年數(shù)據(jù)丟失將極有可能取代病毒���、惡意軟件����、蠕蟲(chóng)及黑客入侵�,成為企業(yè)信息安全的最大隱憂。 信息技術(shù)市場(chǎng)調(diào)研公司Gartner在2006年曾進(jìn)行一項(xiàng)關(guān)于數(shù)據(jù)被竊的調(diào)查��,發(fā)現(xiàn)被訪者中��,只有25%的個(gè)案是源于不法之徒的惡意攻擊����,然而有60%卻是由于移動(dòng)設(shè)備丟失或被竊。現(xiàn)在移動(dòng)存儲(chǔ)設(shè)備設(shè)計(jì)是越來(lái)越小巧���,非常容易丟失�,無(wú)論是基于故意或無(wú)意的行為�,它都會(huì)輕易地把企業(yè)的數(shù)據(jù)外泄,這個(gè)安全的薄弱環(huán)節(jié)也越來(lái)越得到大家的關(guān)注���。 而企業(yè)要想做好數(shù)據(jù)安全�,讓丟失的移動(dòng)媒介也"守口如瓶"應(yīng)該從一下幾方面考慮:
磁盤加密:選擇全盤還是文件加密���?
目前數(shù)據(jù)加密技術(shù)是企業(yè)安全保護(hù)中日益重要的一環(huán)��,以前電腦安全的預(yù)防措施主要局限于防止黑客入侵或越過(guò)網(wǎng)絡(luò)防衛(wèi)�,非法訪問(wèn)機(jī)密信息。現(xiàn)在隨著具有存儲(chǔ)數(shù)據(jù)功能的移動(dòng)設(shè)備如便攜式設(shè)備筆記本電腦�����、PDA��、音樂(lè)播放器�、閃存卡、外部硬盤�����、智能手機(jī)等的普遍使用��,企業(yè)必須面對(duì)因?yàn)閬G失這些設(shè)備導(dǎo)致機(jī)密數(shù)據(jù)外泄的風(fēng)險(xiǎn)����,為數(shù)據(jù)進(jìn)行加密就是最好的解決途徑之一���。
使用加密技術(shù)將有效減少移動(dòng)設(shè)備在失竊時(shí)的數(shù)據(jù)風(fēng)險(xiǎn)���。加密技術(shù)的原理是使用一種算法�,把數(shù)據(jù)轉(zhuǎn)變成"密文"(ciphertext)�����,用戶需要輸入獨(dú)特的身份識(shí)別證明��,才能訪問(wèn)存儲(chǔ)于移動(dòng)設(shè)備中的數(shù)據(jù)���。
筆記本電腦的加密有兩種選擇:對(duì)整個(gè)磁盤加密(FDE)或者基于文件的加密���。后者看來(lái)很具吸引力,因?yàn)閃indows XP帶有基于文件的加密功能����,這意味著存儲(chǔ)在特定文件夾或目錄下的文件都會(huì)自動(dòng)加密。讓人易于疏忽的是��,這里存在一個(gè)很大的安全漏洞–文件的加密工作與用戶的自覺(jué)性密切相關(guān)���,只有用戶把文件放入加密的文件夾或目錄當(dāng)中這些文件才能被加密�。
顯而易見(jiàn)��,這種依靠個(gè)別用戶來(lái)判斷信息的敏感程度,再自覺(jué)放入加密文件夾或目錄里的方法并不是無(wú)懈可擊的�,只要用戶工作做得不到位,整個(gè)系統(tǒng)的加密努力便竹籃打水一場(chǎng)空�。此外,Outlook和網(wǎng)絡(luò)瀏覽器等一類流行軟件會(huì)把附件分散到磁盤的各個(gè)角落�����,通常是很不起眼的地方����,因此就算是最嚴(yán)謹(jǐn)細(xì)心的用戶也難免會(huì)有百密一疏的時(shí)候。
有鑒于此�,對(duì)整個(gè)磁盤進(jìn)行加密是較可取的方法,整個(gè)加密程序會(huì)自動(dòng)化進(jìn)行��,同時(shí)涵蓋整個(gè)磁盤�����,所以移動(dòng)用戶大可放心�����。
端點(diǎn)及移動(dòng)媒介控制愈加必要
此外���,移動(dòng)辦公已經(jīng)不可逆轉(zhuǎn)的趨勢(shì)�,要商業(yè)人員減少使用移動(dòng)IT設(shè)備是不現(xiàn)實(shí)的�,治本的方法是協(xié)助他們加強(qiáng)數(shù)據(jù)安全,精確地說(shuō)�����,是使用嚴(yán)謹(jǐn)?shù)募用芗夹g(shù)配合訪問(wèn)控制技術(shù)����,令移動(dòng)IT設(shè)備即使失竊,其存儲(chǔ)的數(shù)據(jù)也會(huì)"守口如瓶"�。
USB端口、筆記本電腦和PC上其他即插即用端口數(shù)量正在逐步增長(zhǎng)�����,這可能導(dǎo)致企業(yè)內(nèi)重要數(shù)據(jù)發(fā)生泄露��。
然而單是對(duì)整合磁盤加密還不能解決移動(dòng)設(shè)備的所有安全問(wèn)題���,用戶還需要管理及控制各種具有數(shù)據(jù)存取功能的周邊設(shè)備����,這包括CD、DVD�、U盤、各種便攜式存儲(chǔ)媒介如MP3播放器和數(shù)碼相機(jī)等��。
要有效防止上述USB設(shè)備泄露數(shù)據(jù)的第一步工作是把它們歸入信任或授權(quán)的可接受使用政策(AUP)內(nèi)���,同時(shí)教育用戶遵從AUP的重要性�,以及違反它所帶來(lái)的風(fēng)險(xiǎn)����。
當(dāng)然,僅僅靠政策是不夠的�����,還需要通過(guò)端口控制解決方案來(lái)支持并強(qiáng)制執(zhí)行��,端口控制解決方案可以自動(dòng)拒絕不合乎安全政策的USB設(shè)備����,或者阻止傳輸某些文件或某些類型的文件類型。
舉個(gè)例子�����,安全政策可以允許授權(quán)用戶使用已經(jīng)加密了的UBS設(shè)備,但iPod或手機(jī)則不可以����,一旦數(shù)據(jù)在一個(gè)授權(quán)的設(shè)備上被加密���,如果有必要��,它便必需能被公司有關(guān)人員通過(guò)中央管理系統(tǒng)來(lái)訪問(wèn)��。
防止來(lái)自應(yīng)用層的威脅
全面保護(hù)移動(dòng)數(shù)據(jù)的最后一個(gè)手段����,是協(xié)助有關(guān)設(shè)備抵御來(lái)自應(yīng)用層的軟件攻擊或惡意代碼��。
有效的端點(diǎn)安全首先是要每臺(tái)設(shè)備在被允許連接到中央網(wǎng)絡(luò)之前��,運(yùn)行一個(gè)實(shí)時(shí)升級(jí)的防火墻和防病毒保護(hù)����。端點(diǎn)安全客戶還應(yīng)該確保在筆記本電腦上運(yùn)行了適當(dāng)?shù)能浖a(bǔ)丁程序,還要包括一個(gè)虛擬專用網(wǎng)絡(luò)(VPN)功能����,保證公司信息能安全地傳輸?shù)焦净驹O(shè)施����,這些舉措必須是由中央管理����。
端點(diǎn)安全計(jì)劃還包括以下幾個(gè)關(guān)鍵部分:
• 客戶機(jī)鎖定:防止移動(dòng)用戶或攻擊者把端點(diǎn)安全保護(hù)變成無(wú)效,同時(shí)容許強(qiáng)制執(zhí)行網(wǎng)絡(luò)訪問(wèn)政策�。
• 圍堵威脅:筆記本電腦端口只對(duì)獲授權(quán)的網(wǎng)絡(luò)流量開(kāi)放,而且阻止網(wǎng)絡(luò)入侵的舉動(dòng)�。
• 阻止未經(jīng)授權(quán)的程序和惡意代碼取得敏感數(shù)據(jù)及傳送給黑客。
• 郵件保護(hù):隔離可疑的郵件附件和不適當(dāng)?shù)泥]件–不管是通過(guò)軟件還是In-the-cloud服務(wù)(通過(guò)互聯(lián)網(wǎng)平臺(tái)提供的服務(wù))��。
