IronKey发布远程移动存储管理解决方案

记忆棒可以用于存储机密的公司数据和密码,也可以作为双重身份认证中的"Something you have"安全证书。这也就是为什么这些存储设备需要加密以便防止非法用户访问它们的原因。

加州IronKey以提供高质耐用的记忆棒而闻名,包括AES CBC硬件加密模式的记忆棒,在内容保护上可满足FIPS(联邦信息处理标准)140-2三级安全要求。记忆棒中所存储的数据或应用程序只能在输入密码后解密和访问,如果密码输错次数超过一定次数(通常是10次),记忆棒中的内容将自动销毁,设备将无法再使用。这种方法可有效地防止任何人试图通过暴力破解方式来寻找正确的密码。

虽然这对于个人用户的使用来说是很好,但是大多数企业需要更为复杂和先进的方式,以便让记忆棒和它们的密码可以得到集中管理。为了满足这种需求,IronKey提供IronKey Enterprise解决方案,即一种将闪存驱动器和基于网页的管理系统相结合起来的解决方案。这种解决方案可以让管理员控制记忆棒在终端用户手中的部署,而且提供密码恢复、远程删除记忆棒(丢失的、被盗的或被恶意员工所拿走的)内容、使用监视、安全政策等功能,还可以限制记忆棒所可以使用的区域。管理员同时还可以浏览一个"企业控制面板"。这个面板可提供关于用户和设备活动的信息,包括设备使用的IP地址及其地理位置。

当一家公司购买IronKey Enterprise的时候,一个专门的系统管理员将收到IronKey Enterprise记忆棒设备和一封电子邮件,该电子邮件包含指向IronKey网页管理系统链接。通过点击该链接,系统管理员可以开始安全政策的设置流程。管理员可以建立管理系统的用户名和密码,然后将其中一个IronKey设备指定为特别的"系统管理员"IronKey。IronKey强烈建议系统管理员建立第二个系统管理员账户和相应的系统管理员密钥。

一旦建立了两个系统管理员账户,管理员就可以在管理系统中增加其他用户,并为这些用户配置IronKey。这些用户可以是标准用户。管理员也可以建立其他三种类型的用户,并为其指定不同的权利:审计员,该审计员可以浏览IronKey Enterprise管理面板,但不可以在管理面板上做修改;专门管理员,该管理员可以管理政策;管理员(不同于系统管理员),该管理员可以管理标准用户但不可以修改政策。

新建立的用户将自动收到一封电子邮件。该电子邮件告诉他们将IronKey插入到公司网络的电脑上,并通过输入电子邮件所提供的密码来激活IronKey。一旦这些用户按照提示进行了这些操作,那么终端用户的IronKey将烧录进一份证书和"账户密钥"。此后,拥有系统管理员密钥和相应密码的管理员可以对IronKey设备进行解锁,密码重设或禁止使用等操作。

在激活的时候,用户安全政策也被输入设备。(未来,IronKey计划让管理员可以为公司目录系统所定义的用户组设置安全策略。)

安全策略设置包括:

密码自我恢复:如果启动这一项功能,那么终端用户可以登录到IronKey网站,在回答一系列安全问题之后,就可以恢复忘记的密码。如果这项功能被停用,那么IronKey只能由持有用户IronKey和管理员IronKey的管理员来重置。管理员可以登录到IronKey Enterprise系统,然后点击一个按钮,发送一封自动生成的电子邮件给用户,该电子邮件包含一个链接,用户在点击这个链接后就可以收到密码。

 "银弹"服务:当启动这个选项的时候,用户IronKey需要通过互联网在IronKey Enterprise上进行登记才能解锁。这使得管理员可拒绝其他人访问那些怀疑已经丢失或被盗的设备,或者删除这种设备上的所有数据(如果已经确定丢失或被盗的话)。如果没有上网条件,该设备可以解锁有限次数或完全不可解锁。

自动政策更新:只要设备是解锁的并连接入网络就可以获得最新的安全政策。

无效密码重试次数限制:如果用户输入太多次错误的密码,设备将自我销毁。这种设置的目的是为了防止非法用户通过多次尝试来破解设备,但是用户有时确实会不小心输入错密码,因此也要留出一些重试次数。将限制次数设定为3到10次之间可以提供比较好的安全性,同时又不至于合法用户被错误地拒之门外。

密码政策:这规定了密码最低长度和密码构成,比如特定字符和数字。IronKey密码不需要特别长(前提是这种密码不是很容易猜的那种),因为它们不可以暴力破解,如果遭遇过多次数的重复错误密码输入,设备将自我销毁。

信任的IP地址:如果启用这个功能,IronKey只能用于列出的外部IP地址。这对于那些不允许数据被带出特定区域的组织来说非常有用,这样IronKey可以安全地在两个办公室之间传递数据。

软件政策:这个功能规定哪些软件可以使用用户的IronKey。选项包括:

l  RSA SecureID或CRYPTOCard一次性密码应用程序,IronKey作为双重身份认证系统中的认证证书

l  防病毒软件

l  IronKey的Identity Manager(身份管理器)软件。该软件可以产生和保护安全密码,而且可以让用户不需要记住多个用户名和密码就可以自动登录到安全的网站。

l  IronKey的Secure Sessions Service(安全对话服务),该服务可在设备的Firefox浏览器和IronKey服务器之间建立加密的VPN(虚拟个人网络)通道

像这样规模的系统,管理员和用户不需要很多时间和精力就可以掌握设备的使用管理和在线平台的使用,而且虽然这个系统看起来有点慢,但确实很有用。像在世界地图上跟踪用户这样的功能确实很好,但是该系统强项在于其控制用户和系统的能力,特别是远程停用或销毁设备的能力,以及提供各种层次的密码恢复的能力,包括自我服务恢复,管理员控制的远程恢复,或在管理员手中持有该设备时候进行恢复。

Windows和OS X终端用户的体验很好,不过一些像"银弹"服务这样的功能不能用于Mac平台。Linux用户则受到最不好的待遇–虽然IronKey设备可以通过命令行来解锁并存储加密后的数据,但是这些用户没有图形界面来控制设备的许多功能,而且需要控制面板的应用程序也不能使用。

由于IronKey Enterprise平台是基于网页的,因此这个系统可以非常快速方便地实施。IronKey Enterprise设备本身则比消费者级别的设备要贵(1Gb设备的价格为79美元,8Gb版本为179美元)。平台的价格为每年每台设备24美元。如果设备和服务的订购量大,可以提供一定的折扣。

IronKey Enterprise是一个有效的管理大量加密移动存储设备的平台。它用相当复杂的方式来应用标准的密码系统,可以确保信息的安全,同时又不至于给管理员和终端用户带来过多的使用上的复杂性。