"20世纪的企业家所犯最多最致命的错误是腐败,而21世纪的企业家所犯最多最致命的错误则是泄密。"
系统的崩溃、病毒的入侵、人为的失误,都会造成数据的丢失,2008年,企业面临的最大信息安全挑战到目前为止已昭然若揭,这就是数据丢失。互联网安全方案厂商Check Point软件技术有限公司安全顾问程智力表示,从最新的国际市场发展动态来分析,今年数据丢失将极有可能取代病毒、恶意软件、蠕虫及黑客入侵,成为企业信息安全的最大隐忧。 信息技术市场调研公司Gartner在2006年曾进行一项关于数据被窃的调查,发现被访者中,只有25%的个案是源于不法之徒的恶意攻击,然而有60%却是由于移动设备丢失或被窃。现在移动存储设备设计是越来越小巧,非常容易丢失,无论是基于故意或无意的行为,它都会轻易地把企业的数据外泄,这个安全的薄弱环节也越来越得到大家的关注。 而企业要想做好数据安全,让丢失的移动媒介也"守口如瓶"应该从一下几方面考虑:
磁盘加密:选择全盘还是文件加密?
目前数据加密技术是企业安全保护中日益重要的一环,以前电脑安全的预防措施主要局限于防止黑客入侵或越过网络防卫,非法访问机密信息。现在随着具有存储数据功能的移动设备如便携式设备笔记本电脑、PDA、音乐播放器、闪存卡、外部硬盘、智能手机等的普遍使用,企业必须面对因为丢失这些设备导致机密数据外泄的风险,为数据进行加密就是最好的解决途径之一。
使用加密技术将有效减少移动设备在失窃时的数据风险。加密技术的原理是使用一种算法,把数据转变成"密文"(ciphertext),用户需要输入独特的身份识别证明,才能访问存储于移动设备中的数据。
笔记本电脑的加密有两种选择:对整个磁盘加密(FDE)或者基于文件的加密。后者看来很具吸引力,因为Windows XP带有基于文件的加密功能,这意味着存储在特定文件夹或目录下的文件都会自动加密。让人易于疏忽的是,这里存在一个很大的安全漏洞–文件的加密工作与用户的自觉性密切相关,只有用户把文件放入加密的文件夹或目录当中这些文件才能被加密。
显而易见,这种依靠个别用户来判断信息的敏感程度,再自觉放入加密文件夹或目录里的方法并不是无懈可击的,只要用户工作做得不到位,整个系统的加密努力便竹篮打水一场空。此外,Outlook和网络浏览器等一类流行软件会把附件分散到磁盘的各个角落,通常是很不起眼的地方,因此就算是最严谨细心的用户也难免会有百密一疏的时候。
有鉴于此,对整个磁盘进行加密是较可取的方法,整个加密程序会自动化进行,同时涵盖整个磁盘,所以移动用户大可放心。
端点及移动媒介控制愈加必要
此外,移动办公已经不可逆转的趋势,要商业人员减少使用移动IT设备是不现实的,治本的方法是协助他们加强数据安全,精确地说,是使用严谨的加密技术配合访问控制技术,令移动IT设备即使失窃,其存储的数据也会"守口如瓶"。
USB端口、笔记本电脑和PC上其他即插即用端口数量正在逐步增长,这可能导致企业内重要数据发生泄露。
然而单是对整合磁盘加密还不能解决移动设备的所有安全问题,用户还需要管理及控制各种具有数据存取功能的周边设备,这包括CD、DVD、U盘、各种便携式存储媒介如MP3播放器和数码相机等。
要有效防止上述USB设备泄露数据的第一步工作是把它们归入信任或授权的可接受使用政策(AUP)内,同时教育用户遵从AUP的重要性,以及违反它所带来的风险。
当然,仅仅靠政策是不够的,还需要通过端口控制解决方案来支持并强制执行,端口控制解决方案可以自动拒绝不合乎安全政策的USB设备,或者阻止传输某些文件或某些类型的文件类型。
举个例子,安全政策可以允许授权用户使用已经加密了的UBS设备,但iPod或手机则不可以,一旦数据在一个授权的设备上被加密,如果有必要,它便必需能被公司有关人员通过中央管理系统来访问。
防止来自应用层的威胁
全面保护移动数据的最后一个手段,是协助有关设备抵御来自应用层的软件攻击或恶意代码。
有效的端点安全首先是要每台设备在被允许连接到中央网络之前,运行一个实时升级的防火墙和防病毒保护。端点安全客户还应该确保在笔记本电脑上运行了适当的软件补丁程序,还要包括一个虚拟专用网络(VPN)功能,保证公司信息能安全地传输到公司基本设施,这些举措必须是由中央管理。
端点安全计划还包括以下几个关键部分:
• 客户机锁定:防止移动用户或攻击者把端点安全保护变成无效,同时容许强制执行网络访问政策。
• 围堵威胁:笔记本电脑端口只对获授权的网络流量开放,而且阻止网络入侵的举动。
• 阻止未经授权的程序和恶意代码取得敏感数据及传送给黑客。
• 邮件保护:隔离可疑的邮件附件和不适当的邮件–不管是通过软件还是In-the-cloud服务(通过互联网平台提供的服务)。
