怎樣制訂企業(yè)加密策略

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

端到端加密策略必須考慮到數(shù)據(jù)從輸入到輸出以及存儲(chǔ)的方方面面。加密技術(shù)分為五大類: 文件級(jí)或者文件夾級(jí)加密、卷或者分區(qū)加密、介質(zhì)級(jí)加密、字段級(jí)加密及通信內(nèi)容加密。它們可以按照加密密鑰存儲(chǔ)機(jī)制進(jìn)一步來(lái)定義。

先來(lái)看看嚴(yán)峻的預(yù)測(cè)數(shù)字: 據(jù)美國(guó)隱私權(quán)信息交流中心稱，美國(guó)有三分之一的人會(huì)在今年遇到以電子方式存儲(chǔ)數(shù)據(jù)的公司丟失或者泄密個(gè)人身份信息的事件。不管這個(gè)數(shù)字是不是完全正確，反正公眾知道的數(shù)據(jù)泄密事件多得驚人。

這該怪誰(shuí)？當(dāng)然要怪黑客和粗心大意的員工。但沒(méi)有對(duì)機(jī)密數(shù)據(jù)進(jìn)行加密的公司也應(yīng)該對(duì)此負(fù)起責(zé)任。最終，公司必須對(duì)深遠(yuǎn)影響負(fù)責(zé)。沒(méi)有保護(hù)機(jī)密數(shù)據(jù)，不但會(huì)威脅客戶、破壞公司聲譽(yù)，在某些情況下還是非法的。據(jù)GuardianEdge Technologies的營(yíng)銷副總裁Warren Smith聲稱，美國(guó)現(xiàn)有的20部隱私法中有16部要求加密以保護(hù)機(jī)密的消費(fèi)者數(shù)據(jù)。

遺憾的是，操作系統(tǒng)和應(yīng)用軟件開(kāi)發(fā)商并沒(méi)有讓制訂全面的加密策略變得簡(jiǎn)單、順暢。現(xiàn)有的法律和準(zhǔn)則往往彼此沖突，或者無(wú)法提供規(guī)范性指導(dǎo)。不過(guò)，需要存儲(chǔ)敏感數(shù)據(jù)的所有公司都應(yīng)當(dāng)緊緊圍繞全面加密策略，實(shí)施加密政策。

數(shù)據(jù)保護(hù)公司Iron Mountain的產(chǎn)品經(jīng)理Stephen Roll說(shuō): “加密要始終如一地得到使用，就得在默認(rèn)情況下進(jìn)行實(shí)施; 而且得盡可能透明。比如說(shuō)，如果我們通過(guò)因特網(wǎng)備份數(shù)據(jù)，數(shù)據(jù)傳輸之前就進(jìn)行了加密。這樣，數(shù)據(jù)在傳輸途中得到了保護(hù)，而且在傳輸?shù)酱鎯?chǔ)介質(zhì)之前已經(jīng)采用128位AES進(jìn)行了加密?！?

制訂加密策略

用于確定個(gè)人、組織、公司或者實(shí)體身份的任何數(shù)據(jù)都應(yīng)當(dāng)保護(hù)起來(lái)，防止未授權(quán)者在創(chuàng)建、傳輸、操作及存儲(chǔ)期間進(jìn)行訪問(wèn)。如果機(jī)密信息在因特網(wǎng)等不可信的網(wǎng)絡(luò)上進(jìn)行傳輸，而且存放在便攜式計(jì)算設(shè)備: 筆記本電腦、數(shù)據(jù)備份設(shè)備、USB閃存盤(pán)、PDA以及其他小巧的計(jì)算機(jī)設(shè)備上，尤其岌岌可危。

全面加密策略必須考慮到數(shù)據(jù)從輸入到輸出以及存儲(chǔ)的方方面面。黑客越來(lái)越傾向于客戶端攻擊。黑客會(huì)誘使并不知情的合法員工安裝特洛伊木馬或者擊鍵記錄程序，然后他們就可以用來(lái)訪問(wèn)數(shù)據(jù)。某些惡意軟件還能訪問(wèn)在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)。如果數(shù)據(jù)存放在網(wǎng)上或者物理歸檔，就有可能危及到安全。端到端策略必須對(duì)發(fā)送到業(yè)務(wù)合作伙伴和第三方的數(shù)據(jù)實(shí)行保護(hù)。

最簡(jiǎn)單的方法也要求在以下方面進(jìn)行加密: 有線和無(wú)線網(wǎng)絡(luò)傳輸線路、硬盤(pán)、軟盤(pán)、CD-ROM、 DVD、備份介質(zhì)（磁帶和WORM驅(qū)動(dòng)器等）、電子郵件、即時(shí)通信（IM）、對(duì)等技術(shù)、PDA、數(shù)據(jù)庫(kù)、USB鑰匙、密碼和活動(dòng)內(nèi)存區(qū)域。

制訂加密策略需要大量的審查和工作。最好把這看成是一個(gè)重大項(xiàng)目，讓業(yè)務(wù)、管理和IT等部門的重要成員參與進(jìn)來(lái)。先不妨把使用數(shù)據(jù)的重要利益相關(guān)者召集起來(lái)，解釋項(xiàng)目任務(wù)。整個(gè)小組必須確定適用的法規(guī)、法律、準(zhǔn)則及可能會(huì)影響到的采購(gòu)及實(shí)施決策的外部因素。之后，再確認(rèn)哪些是高風(fēng)險(xiǎn)方面，比如筆記本電腦、無(wú)線網(wǎng)絡(luò)和數(shù)據(jù)備份設(shè)備。

如果攻擊者可以直接訪問(wèn)機(jī)密數(shù)據(jù)而不必挫敗任何加密技術(shù)，加密也就毫無(wú)用處。所以，成功的策略要定義強(qiáng)有力的訪問(wèn)控制方法，充分結(jié)合使用文件許可、密碼和雙因子驗(yàn)證。必須定期審查訪問(wèn)控制，確保有效性。

要調(diào)查不同的加密解決方案、閱讀技術(shù)評(píng)論、聯(lián)系對(duì)你有興趣的廠商的客戶。這方面沒(méi)有什么方法比先試再買更重要的了，因?yàn)檫m用于一家公司的方案未必適用于另一家公司。最后，必須選擇最適合自己公司的一種或者多種加密解決方案。

在部署之前，要擬訂獲得管理人員認(rèn)可的成文策略，并且向最終用戶傳送策略和操作指導(dǎo)，這包括處理敏感數(shù)據(jù)的業(yè)務(wù)合作伙伴和第三方。如果他們無(wú)法滿足公司的策略，而且證明了這一點(diǎn)，就無(wú)法獲得你的數(shù)據(jù)。應(yīng)當(dāng)確定誰(shuí)負(fù)責(zé)加密，并明確未遵守規(guī)定將承擔(dān)什么后果。

不妨考慮實(shí)施監(jiān)控及檢測(cè)機(jī)密信息泄漏或者失竊的工具。策略應(yīng)當(dāng)總是包括這樣的內(nèi)容: 數(shù)據(jù)一旦丟失或者失竊，就要立即匯報(bào)重要的利益相關(guān)者進(jìn)行評(píng)估。策略應(yīng)當(dāng)包括發(fā)現(xiàn)數(shù)據(jù)泄密事件時(shí)所要采取的特定步驟: 具體聯(lián)系誰(shuí)？聯(lián)系速度多快？何時(shí)通知客戶？誰(shuí)來(lái)決定此事？如何決定？是否為客戶提供免費(fèi)的信用報(bào)告？所有這些問(wèn)題應(yīng)當(dāng)事先都有答案。

雖然積極主動(dòng)的數(shù)據(jù)銷毀策略與加密關(guān)系不大，但也應(yīng)當(dāng)執(zhí)行這項(xiàng)策略。今年多起尷尬的數(shù)據(jù)失竊事件就與數(shù)據(jù)本該早就銷毀卻沒(méi)有及時(shí)銷毀有關(guān)。如果數(shù)據(jù)不需要，就清除它——與之相關(guān)的風(fēng)險(xiǎn)就不會(huì)存在。好的策略明確了: 數(shù)據(jù)應(yīng)當(dāng)保存多久（從數(shù)據(jù)創(chuàng)建及獲得開(kāi)始算起）？應(yīng)當(dāng)如何保護(hù)及銷毀？

優(yōu)化加密技術(shù)

遺憾的是，沒(méi)有哪一個(gè)加密產(chǎn)品可以保護(hù)數(shù)據(jù)的方方面面。有些廠商提供近乎完整的解決方案，但最終IT項(xiàng)目經(jīng)理不得不組合多個(gè)解決方案。

加密產(chǎn)品分為五大類: 文件級(jí)或者文件夾級(jí)加密、卷或者分區(qū)加密、介質(zhì)級(jí)加密、字段級(jí)加密及通信內(nèi)容加密。它們可以按照加密密鑰存儲(chǔ)機(jī)制進(jìn)一步來(lái)定義。

文件級(jí)加密可以逐個(gè)邏輯文件地保護(hù)數(shù)據(jù)。文件加密包括磁盤(pán)上文件和文件夾解決方案，以及密碼保護(hù)的加密存檔格式，譬如Pkzip。文件加密可以保護(hù)特定的文件，那樣不大重要的文件就不會(huì)浪費(fèi)加密及解密所必要的額外資源了。

文件級(jí)加密程序?qū)儆诩用芊桨缸畛墒斓漠a(chǎn)品，它們往往使用同樣可靠的基本標(biāo)準(zhǔn)協(xié)議，比如三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)（3DES）、高級(jí)加密標(biāo)準(zhǔn)（AES）、Diffie-Hellman、Blowfish和隨機(jī)調(diào)度算法（RSA）。操作系統(tǒng)層面往往就有文件加密機(jī)制。微軟有加密文件系統(tǒng)（EFS），Mac OS使用FileVault。操作系統(tǒng)層面的加密在面對(duì)新的便攜式介質(zhì)類型或者跨外來(lái)卷分區(qū)進(jìn)行加密時(shí)往往存在問(wèn)題，所以應(yīng)用層文件加密解決方案也就應(yīng)運(yùn)而生。最流行的解決方案是由PGP開(kāi)發(fā)的。它分為開(kāi)放源代碼和商用兩種版本。

文件夾級(jí)加密產(chǎn)品可對(duì)整個(gè)文件夾里面的內(nèi)容進(jìn)行加密，比如Windows的My Documents目錄或者Linux或Mac用戶的主目錄。要注意: 許多看似文件夾加密產(chǎn)品的方案其實(shí)不是把整個(gè)文件夾加密成一個(gè)對(duì)象，而是逐個(gè)加密文件夾里面的每個(gè)文件，使用針對(duì)特定文件的加密密鑰，或者文件夾主加密密鑰，或者兩者都使用。比如說(shuō)，微軟的EFS使用其自己的獨(dú)特的對(duì)稱密鑰來(lái)加密每個(gè)文件（即使整個(gè)文件夾被選中加密也是如此），所有參與用戶都共享這把對(duì)稱密鑰。然后，這把獨(dú)特、共享的對(duì)象文件密鑰在每個(gè)用戶手里的副本使用每個(gè)用戶特有的非對(duì)稱加密密鑰進(jìn)行加密。

雖然文件級(jí)加密產(chǎn)品屬于最流行、最成熟的解決方案，但一個(gè)重大缺點(diǎn)卻使它們?cè)絹?lái)越不太受用戶歡迎。那就是文件級(jí)加密很難防止沒(méi)有保護(hù)的數(shù)據(jù)泄密。比如說(shuō)，假定你對(duì)私人文檔文件夾里面的所有文件實(shí)行了文件級(jí)加密。雖然文件級(jí)加密可以保護(hù)指定的特定文件，但極可能保護(hù)不了應(yīng)用程序或者操作系統(tǒng)在文檔打開(kāi)、拷貝或者傳輸時(shí)生成的任何臨時(shí)文件。除非加密用戶確切地知道及保護(hù)數(shù)據(jù)有可能臨時(shí)存放的所有位置，否則磁盤(pán)分析程序就有可能找到未加保護(hù)的殘留文件。

幾種加密解決方案解決了文件級(jí)加密的這一重大問(wèn)題，辦法就是對(duì)文件保存在上面的整個(gè)卷或者分區(qū)進(jìn)行加密。這可以在操作系統(tǒng)層面實(shí)現(xiàn)，也可以使用應(yīng)用程序?qū)崿F(xiàn)。有些卷加密產(chǎn)品的工作方式是創(chuàng)建一個(gè)很大的邏輯文件，代表整個(gè)加密卷。數(shù)據(jù)拷貝到卷上后，就會(huì)作為包含元素被添加到比較大的加密文件上。另一些卷加密產(chǎn)品的工作方式則是，添加定制的設(shè)備驅(qū)動(dòng)程序與操作系統(tǒng)進(jìn)行交互，并提供加密/解密程序以保證正常的文件讀寫(xiě)操作。TrueCrypt是其中一款較流行的開(kāi)放源代碼卷加密解決方案。

卷或者分區(qū)加密的重大缺點(diǎn)就是，只要磁盤(pán)或者卷有一次遭到破壞，就會(huì)導(dǎo)致整個(gè)加密卷無(wú)法使用; 或者只要出現(xiàn)一次泄密，所有受到保護(hù)的文件就會(huì)立即暴露無(wú)遺。入侵者還有可能植入惡意代碼，截獲在卷加密程序和磁盤(pán)之間傳送的數(shù)據(jù)，這實(shí)際上泄露了明文格式的所有數(shù)據(jù)。

保護(hù)動(dòng)態(tài)數(shù)據(jù)

存儲(chǔ)級(jí)加密產(chǎn)品屬于最可靠的加密解決方案。正因?yàn)槿绱?，它們?yīng)當(dāng)予以認(rèn)真考慮。它們能夠?qū)φ麄€(gè)盤(pán)進(jìn)行加密（稱為全盤(pán)加密），也可以對(duì)傳送到介質(zhì)來(lái)源（比如順序磁帶備份）上的所有數(shù)據(jù)進(jìn)行加密。存儲(chǔ)級(jí)加密可以使用應(yīng)用軟件、操作系統(tǒng)或者硬件來(lái)實(shí)施。

需要保護(hù)的數(shù)據(jù)庫(kù)通常要求進(jìn)行字段級(jí)加密。它可以對(duì)每一列或者每一行數(shù)據(jù)進(jìn)行加密，但通常最好還是按照每個(gè)元素對(duì)數(shù)據(jù)進(jìn)行加密。實(shí)際上，存放在數(shù)據(jù)庫(kù)表中的所有數(shù)據(jù)存放到數(shù)據(jù)庫(kù)之前已經(jīng)加過(guò)密，然后在解密時(shí)采用了實(shí)時(shí)技術(shù)（on the fly）。這給索引及搜索帶來(lái)了額外的難題。正因?yàn)槿绱?，這些機(jī)制不得不先來(lái)了解用來(lái)存儲(chǔ)數(shù)據(jù)的字段級(jí)加密程序。

市場(chǎng)上能夠適用于不同數(shù)據(jù)庫(kù)或者程序的字段級(jí)加密產(chǎn)品為數(shù)不多。大多數(shù)解決方案針對(duì)的是特定的數(shù)據(jù)庫(kù)或者應(yīng)用程序，或者需要專門進(jìn)行編程。微軟、IBM、Oracle、Sybase及其他知名數(shù)據(jù)庫(kù)供應(yīng)商都提供字段級(jí)加密解決方案。

保護(hù)在不安全網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)非常重要。Web專注于SSL/TLS標(biāo)準(zhǔn); 網(wǎng)絡(luò)傳輸和VPN往往使用SSL、SSH或者IPSec加以保護(hù)。電子郵件則可以使用PGP或者S/MIME的非對(duì)稱加密技術(shù)來(lái)加以保護(hù)。其他方式的網(wǎng)絡(luò)通信如對(duì)等和即時(shí)通信（IM）流量必須加以驗(yàn)證及加密，這越來(lái)越常見(jiàn)。

如果必須跨多種平臺(tái)和設(shè)備來(lái)保護(hù)數(shù)據(jù)，整體解決方案就可以起到作用。雖然沒(méi)有哪個(gè)解決方案能夠幾乎滿足每一種機(jī)密數(shù)據(jù)的需要，但許多方案可以滿足多種需要。幾款解決方案可以保護(hù)硬盤(pán)、筆記本電腦、可移動(dòng)存儲(chǔ)介質(zhì)、USB鑰匙、CD-ROM和DVD，并且具有集中管理和密鑰恢復(fù)功能。單一產(chǎn)品通?？梢院?jiǎn)化管理、降低成本。

據(jù)PGP NetShare的營(yíng)銷副總裁Adnrew Krcik聲稱，該公司的解決方案可以跨多種應(yīng)用對(duì)共享文件進(jìn)行加密，如文件、電子郵件、IM、筆記本電腦和PDA?！坝脩糁灰褂靡话衙荑€，就可以在服務(wù)器上、跨網(wǎng)絡(luò)及在本地計(jì)算機(jī)上對(duì)文件進(jìn)行加密?！?

數(shù)據(jù)王國(guó)的鑰匙

各種主要加密方案可進(jìn)一步細(xì)分的方面就是加密操作在何處進(jìn)行、加密密鑰存放在何處。就大多數(shù)基于軟件的解決方案而言，加密/解密在計(jì)算機(jī)的常規(guī)內(nèi)存區(qū)域進(jìn)行?；谟布慕鉀Q方案（如智能卡和加密令牌）則在專門的內(nèi)存區(qū)域處理密碼，只有硬件設(shè)備才能訪問(wèn)這個(gè)內(nèi)存區(qū)域。后一種方法安全得多，操作起來(lái)也要快得多。

許多產(chǎn)品把加密密鑰存放在受保護(hù)的計(jì)算機(jī)設(shè)備上。這種類型的密鑰本身應(yīng)當(dāng)由很長(zhǎng)的口令短語(yǔ)（passphrase）或者另一個(gè)硬件設(shè)備進(jìn)行加密及保護(hù)。如今，加密密鑰越來(lái)越多地存放在硬件設(shè)備上。智能卡日益普遍應(yīng)用于雙因子驗(yàn)證，不過(guò)有助于進(jìn)一步加強(qiáng)加密效果的比較通用的設(shè)備正在開(kāi)發(fā)當(dāng)中。大多數(shù)PC主板很快就會(huì)有可信平臺(tái)模塊（TPM）芯片，這種芯片可用于安全地存放用于各種操作系統(tǒng)和應(yīng)用軟件的加密密鑰。作為Vista操作系統(tǒng)的一部分，微軟即將推出的BitLocker技術(shù)可以把卷加密密鑰存放在TPM芯片上。TPM解決方案可以防御基于軟件的新式攻擊。

提醒一句，現(xiàn)已發(fā)現(xiàn)許多產(chǎn)品把明文格式的加密/解密密鑰存放在公用區(qū)域上。最后也是最重要的一點(diǎn)是，如果保證不了能夠可靠地保存及管理密鑰，就不要實(shí)施加密。好的加密技術(shù)如同一把雙面刃，如果解密密鑰丟失或者受損，要是沒(méi)有合適的恢復(fù)方法，數(shù)據(jù)就會(huì)徹底丟失。

加密推動(dòng)安全潮流

解密密鑰是受控權(quán)限和自刪除數(shù)據(jù)的核心所在。數(shù)據(jù)保護(hù)方面出現(xiàn)的兩股新潮流正在使用加密來(lái)實(shí)現(xiàn)各自的目標(biāo)，這兩股新潮流就是受控權(quán)限（controlled right）和自刪除數(shù)據(jù)（self-deleting data）。

EMC公司的Documentum 5等應(yīng)用軟件套件可以利用內(nèi)置的受控權(quán)限來(lái)創(chuàng)建文檔。該公司近期發(fā)布的最新版加強(qiáng)了訪問(wèn)控制和保留策略管理，允許用戶可以在Documentum存儲(chǔ)庫(kù)外面設(shè)定策略。這主要通過(guò)在內(nèi)容創(chuàng)建階段設(shè)定策略、內(nèi)容導(dǎo)出前先進(jìn)行加密來(lái)實(shí)現(xiàn)。要讀取記錄或者文檔，相關(guān)應(yīng)用程序（如Acrobat Reader或者Office）必須訪問(wèn)中央策略服務(wù)器，以獲取解密密鑰。要?jiǎng)h除文檔或者拒絕訪問(wèn)文檔，授權(quán)代理程序可以更改訪問(wèn)策略或者刪除密鑰。

訪問(wèn)權(quán)或其他權(quán)限一旦被授予某個(gè)用戶，就可以被授權(quán)代理程序?qū)崟r(shí)吊銷（就是除了確保授權(quán)用戶使用外，對(duì)其他用戶屏蔽），也可以在以后吊銷文檔的授權(quán)。文檔在創(chuàng)建時(shí)經(jīng)過(guò)驗(yàn)證及加密，以加密格式進(jìn)行分發(fā)。如果某人試圖打開(kāi)文檔，相關(guān)應(yīng)用程序就會(huì)連接到文檔作者，證實(shí)請(qǐng)求用戶仍擁有訪問(wèn)權(quán)。如果確實(shí)如此，就會(huì)提供解密密鑰（即解密），文檔就可以打開(kāi)。這樣做的目的是除非用戶在授權(quán)期間打印或者拷貝了數(shù)據(jù)，否則文檔的內(nèi)容仍是安全的。

一股類似的潮流與自刪除數(shù)據(jù)有關(guān)，現(xiàn)在這項(xiàng)特性成了筆記本電腦、移動(dòng)電腦、PDA以及員工可能需要保護(hù)的其他設(shè)備的一個(gè)選項(xiàng)。數(shù)據(jù)經(jīng)過(guò)加密后，會(huì)得到監(jiān)控軟件和兼容設(shè)備的進(jìn)一步保護(hù)。只要設(shè)備開(kāi)啟，它就會(huì)利用因特網(wǎng)（或者移動(dòng)電話網(wǎng)絡(luò)）連回到數(shù)據(jù)主人的授權(quán)服務(wù)器上。這種“往返”連接不需要用戶的請(qǐng)求。

如果設(shè)備失竊，主人可以指令設(shè)備在下一次連接時(shí)刪除或者加密上面的數(shù)據(jù)。如果設(shè)備無(wú)法連接到授權(quán)服務(wù)器，一些解決方案可以指令設(shè)備在經(jīng)過(guò)預(yù)定的天數(shù)后刪除或者加密數(shù)據(jù)。

鏈接一：與數(shù)據(jù)保護(hù)相關(guān)的政策法規(guī)

記錄在案的數(shù)據(jù)保護(hù)法規(guī)有很多，但與加密有關(guān)的法規(guī)并不提供規(guī)范性指導(dǎo)。

現(xiàn)在有好多保護(hù)客戶數(shù)據(jù)的法律和法規(guī)。但管理機(jī)密數(shù)據(jù)及加密的多部法律帶來(lái)了讓人遺憾的后果，那就是沒(méi)有一部能提供規(guī)范性指導(dǎo)。加密解決方案和策略是否滿足某一部法律，那是審計(jì)人員和律師的事情。不過(guò)，目前有幾項(xiàng)法律要求是針對(duì)機(jī)密數(shù)據(jù)的。

《世界人權(quán)宣言》: 《世界人權(quán)宣言》在二次大戰(zhàn)結(jié)束后通過(guò)，由聯(lián)合國(guó)大會(huì)頒布。其中第12條明確了個(gè)人享有隱私權(quán)。雖然當(dāng)初簽署時(shí)并沒(méi)有預(yù)見(jiàn)到如今的計(jì)算機(jī)，但這一宣言往往被用作個(gè)人數(shù)據(jù)保護(hù)的基礎(chǔ)。

《薩班斯－奧克斯利法案》: 這項(xiàng)法案于2002年通過(guò)，由美國(guó)頒布。旨在幫助企業(yè)丑聞之后恢復(fù)公眾信心（第404條款針對(duì)IT控制的有效性。）故意忽視會(huì)受到民事和刑事懲罰。

《金融服務(wù)現(xiàn)代化法案》: 1999年美國(guó)頒布的《金融服務(wù)現(xiàn)代化法案》旨在保護(hù)收集、保存、處理消費(fèi)者財(cái)務(wù)信息的金融機(jī)構(gòu)保存的機(jī)密信息所具有的隱私性。

《健康保險(xiǎn)可攜性及責(zé)任性法案》: 1996年由美國(guó)頒布的《健康保險(xiǎn)可攜性及責(zé)任性法案》禁止在未征得患者同意的前提下，將與健康有關(guān)的個(gè)人身份數(shù)據(jù)透露給第三方。該法案還為患者賦予了索要自己記錄的權(quán)利。經(jīng)常遭到詬病的一個(gè)原因是，它缺乏強(qiáng)有力的執(zhí)行措施。

《電子通信隱私法》: 《電子通信隱私法》（ECPA）為通過(guò)電子方式傳送的數(shù)據(jù)提供了法律保護(hù)，包括電子郵件。它是1986年由美國(guó)頒布的。它實(shí)際上規(guī)定誰(shuí)可以在哪些情形下讀取哪些信息。譬如說(shuō)，從法律上來(lái)講雇主一般可以讀取員工的電子郵件，而數(shù)據(jù)運(yùn)營(yíng)商需要接到法庭指令才可以這么做。

《歐盟數(shù)據(jù)保護(hù)指令》: 《歐盟數(shù)據(jù)保護(hù)指令》（EUDPD）提供了基本的隱私要求，歐盟所有成員國(guó)都必須通過(guò)本國(guó)的法規(guī)來(lái)達(dá)到這些要求。默認(rèn)保護(hù)通常比美國(guó)所要求的類似保護(hù)嚴(yán)格得多。

ISO-17799/BS-7799: 作為國(guó)際性的整體IT安全準(zhǔn)則和標(biāo)準(zhǔn)，英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)發(fā)布的ISO-17799正迅速成為世界上大部分地區(qū)通行的國(guó)際安全標(biāo)準(zhǔn)。但是需要內(nèi)部和外部的ISO-17799審查才能確定是否符合要求。

鏈接二：加密解決方案一覽 

IT管理人員可以選擇近乎完整的解決方案，也可以組合多種解決方案。

PGP

PGP可提供全面的商用解決方案，可保護(hù)眾多計(jì)算機(jī)設(shè)備和介質(zhì)，不過(guò)側(cè)重于Windows平臺(tái)。

TrueCrypt

TrueCrypt的這款流行的開(kāi)放源代碼卷加密解決方案適用于Linux和Windows。

加密文件系統(tǒng)（EFS）和BitLocker全盤(pán)加密

EFS是微軟Windows 2000及更高版本的操作系統(tǒng)具有的文件級(jí)加密。如果使用，務(wù)必要保存好私鑰。BitLocker全盤(pán)加密方案將出現(xiàn)在即將發(fā)布的企業(yè)版本W(wǎng)indows Vista。EFS可以對(duì)系統(tǒng)卷進(jìn)行加密，并把密鑰保存在TPM芯片內(nèi)或者可移動(dòng)介質(zhì)上。

權(quán)限管理

這種權(quán)限控制解決方案允許文檔在發(fā)布及分發(fā)后仍能加以控制。文檔作者可以選擇誰(shuí)可以通過(guò)電子郵件發(fā)送、瀏覽、打印或者拷貝受到保護(hù)的內(nèi)容。

USB DataTraveler Elite Privacy

金士敦的USB閃存盤(pán)使用基于硬件的128位AES加密，要求使用密碼，并且采用了賬戶鎖定控制機(jī)制。

GuardianEdge Technologies Encrypt Anywhere數(shù)據(jù)保護(hù)平臺(tái)

美國(guó)退伍軍人事務(wù)部前不久選擇了GuardianEdge Technologies公司的Encrypt Anywhere數(shù)據(jù)保護(hù)平臺(tái)來(lái)幫助保護(hù)其數(shù)據(jù)。它可以保護(hù)硬盤(pán)、筆記本電腦、PDA及可移動(dòng)介質(zhì)。

IronMountain Data Defense

如果計(jì)算設(shè)備在限定的時(shí)間內(nèi)無(wú)法連接到驗(yàn)證服務(wù)器，Iron Mountain含有的代理程序就會(huì)刪除設(shè)備上面的數(shù)據(jù)。

Pkzip或者Winzip

專業(yè)版本的Pkzip和Winzip提供了經(jīng)過(guò)加密、密碼保護(hù)的文件，以便文件傳輸。

硬盤(pán)保護(hù)

希捷的加密功能內(nèi)置在硬盤(pán)固件里面。