移动存储设备安全保护的六个误区

DoSECU安全分析 2月18日消息:每隔几个月,我们就会耳闻目睹一些磁盘丢失或者被盗的事件,由此我们不禁在想这些丢失媒体中存储的信息是否会被不法之徒利用,将私密信息公布于众从而造成对个人的伤害。

保护这些移动存储媒体信息的重要性毋庸置疑。但管理者在这方面的努力却相对滞后,这主要是出于移动存储媒体以下的六个误区:

误区1:磁盘陈旧
陈旧的磁带作为大型机和批处理时代的产物,在某些网络远程站点的磁盘到磁盘备份上派上了用场。但是对于那些大容量数据的快速而有效的备份,归档和恢复,这些磁带就毫无用武之地。

Iron Mountain公司在他们的网站上提供网络连接和磁盘存储的数据备份服务。公司信息保护和存储部门的资深副总裁Ken Rubin表示"在灾难面前,时间是第一位的,没有什么比将备份磁盘运到灾难恢复站点更有效的方式了。此时在线传输千兆字节的带宽限制就显得不切实际了"。

Affiliated Computer Services公司的首席信息安全官克里斯托弗.莱克表示"鉴于物理数据丢失的风险我们正在竭力加强磁盘存储业务"。他介绍说公司正在设立一种服务,如果文件不是太大的话,公司可以将加密数据备份通过网络浏览器传输给用户。

误区2:保护磁盘和笔记本电脑安全是技术人员的职责
信息技术的保护当然是IT部门的工作,但是也不能小视企业中其他人员的作用。

纽约州首席信息官Melodie Mayberry-Stewart成立了一个由12人组成的法务部来研发最佳的安全策略,金融领域是研究的重点,一些加密和电信领域的专家也参与其中。除此之外,她还将擅长安全和风险管理的技术专家分离出来组建专门的团队。Mayberry-Stewart表示律师正在和Iron Mountain这样的企业探讨合同细节,就服务级别达成共识,毕竟像Iron Mountain这样的公司每个月要从4个大型机数据中心中传输和存储大约4000盘纽约州的磁盘数据。

SUN微系统公司在全球范围内有7家数据中心在使用磁盘存储。每家数据中心都应用着自己的数据维护流程。SUN公司的首席信息安全官莱斯利.兰伯特表示"他们不想改变自己的数据流程"。那么规则,协议和流程从何而来呢?兰伯特认为"我们成立了非常严谨的法务部,隐私保护团队,业务管理团队,内部审计员,外部审计员和信息保护法律团队,这些部门一起协同工作"。

兰伯特表示企业要遵循数据保护的州和联邦立法规定,通过Relational Security的风险和法规遵从管理软件来承担这些繁琐的任务。

误区3:丢失磁盘最初只是安全问题
磁盘丢失确实是安全灾难,如果被公众获知也将成为公共关系的梦魇。

医疗产品制造商Stryker Corp的IT副总裁布莱恩.拉瑞表示"我不认为丢失员工信息(比如社会保险号码)是什么大不了的事,尽管这很重要。丢失磁盘的可能性会让我夜不能寐,我们必须保护FDA(美国食品和药品管理局)的产品数据,否则会招惹司法诉讼的麻烦。信息丢失的责任非常重大,我们保留法律途径解决的权利"。

尽管法律要求某些信息必须保留7年,不过拉瑞表示,只要那些持有Stryker产品的用户还活着,Stryker就必须保留他们的数据。尽管公司在远程灾难恢复中心为这些磁盘建立了镜像,但经过一段时间,某些数据就只能通过Iron Mountain公司远程传输和存储的磁盘形式来保留。

拉瑞会定期让审计对Iron Mountain持有的Stryker磁盘清单进行核查。他表示定期审计是公司"三步走"磁盘保护项目的一个组成部分,这个项目还包括数据保护合同以及与知名磁盘存储厂商的合作。

有专家称出于非法目的盗窃磁盘的事件相对较少。由于人为错误导致的磁盘丢失会令业务流程中断,迄今为止已经成为最常见的问题。

误区4:技术不重要;控制更重要
有专家称,经过深思熟虑设计的控制和流程尽可能的实现自动化,并通过最佳方法进行试验能限制磁盘和笔记本电脑的随意丢失。但技术的帮助性是最大的。

最初的工具就是数据加密。尽管技术无法让拉瑞重新获得丢失的数据,但他能告诉律师和警察偷盗磁盘和笔记本电脑的坏人对笔记本电脑是无计可施的,因为硬盘被加密了。

Affiliated Computer Services公司要求所有员工的桌面系统和笔记本电脑都必须进行全磁盘加密。莱克表示"一旦磁盘被加密后,我们就能对其进行跟踪和监控。如果你想解密你的硬盘,我们就会发现并且通知你的经理"。

Affiliated Computer Services在达拉斯的磁盘库中存储了100多万份磁盘,他们的标准做法就是对所有的内容进行加密。不过莱克表示,某些客户不愿承担从ACS接收的磁盘备份和解密的费用,因此他们要求存储内容无需加密。莱克认为"对于这些磁盘,我们从每个步骤都进行了非常严格的包装,标记和跟踪,以合法的流程对其进行一系列的保管维护,磁盘就好比进入了需要从每端进行上锁和解锁的保险箱"。

另外,莱克表示"我们对大量的数据采取这么严密的保护措施,并未是说这些磁盘或者CD值多少钱,而是因为这样才能做到严密控制和安全保障"。

有用户报告称他们正在研发新的技术来取代加密技术或者作为加密技术的补充。纽约州正在尝试应用指纹扫描技术来保护笔记本电脑和磁盘安全。Affiliated Computer Services公司也在检测三种磁性介质,一旦它被破解这种磁性设备就能擦除磁盘上的内容。

Iron Mountain表示所有这些技术中最好的自动化帮助来自于磁盘目录控制系统,它能帮助用户排除磁盘丢失的第一大隐患–公司内部的人为错误。

误区5:加密是万能的
尽管加密通常被认为是最好的技术解决方案,但它也有自身的缺陷。举例来说,如果你的磁盘失而复得,但是遗失了解密的钥匙,那你只能感叹自己运气不佳了。另外在磁盘写入之前加密数据,笔记本电脑的硬盘或者可移动存储设备会携带大量计算机资源。最后,在许多公司,加密不是必须采取的途径。

出于这些原因,Stryker公司没有对笔记本电脑硬盘进行加密,除非上面包含有敏感数据。运程用户可以需要那些保存在被保护服务器上的敏感信息,只有在需要的时候才能访问而且不能本地保存。拉瑞认为这不是最佳方式。

拉瑞表示Stryker安装了Windows Vista操作系统后他的琐事就减轻了,因为这款操作系统能提供自动加密数据的选项。不过拉瑞补充说"但这也是个负担,比如说这项功能需要额外的内存,而且它还会减慢计算机运行的速度"。

误区6:如果你保护了磁盘和笔记本电脑,你就安全了
目前各种新闻都很关注磁盘和笔记本电脑丢失,但是事实上夜深人静的时候某些其他的设备也可能遭遇丢失的风险。拉瑞表示比如黑莓手机等移动设备在Stryker就得到了保护。他解释说"目前我们有能力对其进行远程关闭,如果丢失,我们发送信号到黑莓上,内存就会被立即清除"。

但闪存,CD和DVD就有难度了。拉瑞的解决方案是"如果这些设备没有被加密,我们就会阻止敏感信息传递给这些设备"。

拉瑞表示,他更加担心的是那些低端手机"我们不允许在办公区内使用照相机,但是有很多人的手机上都有摄像头。如果有人将敏感数据拍照并张贴到互联网上,我们就会因此承担更大的责任。我不确认如何处理这些问题,但是我会给予他们更多的关注"。