安全的另類問(wèn)題

企業(yè)由于丟失設(shè)備造成的安全隱患屢見(jiàn)不鮮，但從國(guó)內(nèi)外的經(jīng)驗(yàn)看，制定一套完整的機(jī)制與技術(shù)措施，可以在很大程度上規(guī)避安全風(fēng)險(xiǎn)。

惱人的損失

最近，星巴克稱該公司丟失了四臺(tái)包含數(shù)千員工相關(guān)數(shù)據(jù)的筆記本電腦。于是，全世界的IT主管們都開(kāi)始再次自問(wèn)：有什么能夠保護(hù)移動(dòng)設(shè)備上各類數(shù)據(jù)的策略嗎？ 從洛斯阿拉莫斯國(guó)家實(shí)驗(yàn)室到Allina保健公司，再到美國(guó)退伍軍人事務(wù)部，這種高端重要數(shù)據(jù)頻頻丟失的事件似乎永遠(yuǎn)都沒(méi)有終結(jié)。這種情況也迫使越來(lái)越多的機(jī)構(gòu)對(duì)筆記本和USB閃存驅(qū)動(dòng)器等設(shè)備上的數(shù)據(jù)進(jìn)行加密，并且建立起各種相關(guān)的安全策略。

科羅拉多州雇員信用聯(lián)盟高級(jí)網(wǎng)絡(luò)管理員Tom Gonzales說(shuō)："我們已經(jīng)針對(duì)筆記本制訂了具體的移動(dòng)設(shè)備策略。"這項(xiàng)策略可以對(duì)筆記本、磁盤驅(qū)動(dòng)器、USB閃存驅(qū)動(dòng)器和CD-ROM提供加密保護(hù)。

Gonzales對(duì)這項(xiàng)策略進(jìn)行了描述，"我們使用Cisco Security Agent 禁用了所有USB端口，因此只有IT部門的人員才有權(quán)對(duì)閃存執(zhí)行寫操作。通常情況下，我們不會(huì)對(duì)用戶筆記本上的整個(gè)驅(qū)動(dòng)器進(jìn)行加密，而只是提供安全存儲(chǔ)區(qū)，使用戶能夠?qū)⑽募４嬖谶@一位置中。凡是寫入這一區(qū)域的文件都會(huì)被加密。我們的桌面PC也都不配備軟盤驅(qū)動(dòng)器或CD-ROM刻錄機(jī)。"

這種走極端的做法顯然是事出有因的：數(shù)據(jù)丟失會(huì)給企業(yè)帶來(lái)巨大的金錢損失。Ponemon學(xué)會(huì)認(rèn)為，此類事件每發(fā)生一次所帶來(lái)的損失高達(dá)470萬(wàn)美元，相當(dāng)于每條記錄182美元。根據(jù)這些數(shù)字，星巴克的筆記本丟失事件所帶來(lái)的數(shù)據(jù)損失可能高達(dá)1090萬(wàn)美元。

閃存需要管理

對(duì)于田納西州孟菲斯市浸信會(huì)紀(jì)念醫(yī)院的桌面管理主任Lenny Goodman而言，保護(hù)筆記本、閃存驅(qū)動(dòng)器和其他移動(dòng)介質(zhì)上的數(shù)據(jù)是一項(xiàng)必須的日常事務(wù)，因?yàn)檫@家醫(yī)院必須遵守健康保險(xiǎn)可移植性及可說(shuō)明性法案的規(guī)定。

Goodman說(shuō)："符合性是管理企業(yè)的一項(xiàng)'必要'方法，這種方法衍生出的便是最佳慣例。無(wú)論我們喜歡與否，都必須遵守。而加密就是這樣一種必要的事務(wù)。"

Goodman所使用的Safend軟件能夠在USB驅(qū)動(dòng)器連接至網(wǎng)絡(luò)時(shí)對(duì)其進(jìn)行識(shí)別，并允許IT部門制訂允許或不允許其使用的策略，從而為其中的數(shù)據(jù)提供保護(hù)。

Goodman說(shuō)："和所有的企業(yè)一樣，我們發(fā)現(xiàn)即插即用式閃盤有泛濫成災(zāi)的趨勢(shì)。我們雖然并沒(méi)有向員工提供此類設(shè)備，但這似乎并沒(méi)有阻止員工積極享用這種新技術(shù)帶來(lái)的便利。當(dāng)我們看到報(bào)紙上的1GB閃存驅(qū)動(dòng)器廣告時(shí)，就斷定它早晚會(huì)出現(xiàn)在企業(yè)中。無(wú)論這類設(shè)備的出現(xiàn)是否出于惡意，它們都是值得企業(yè)認(rèn)真對(duì)待的。"

Goodman編寫了一項(xiàng)管理閃存驅(qū)動(dòng)器的策略，找出了企業(yè)中使用的閃存驅(qū)動(dòng)器，并且用Kingston的DataTraveler Secure閃存驅(qū)動(dòng)器取而代之。有了這項(xiàng)策略，Safend軟件只能識(shí)別出這些Kingston驅(qū)動(dòng)器，而其他的閃存驅(qū)動(dòng)器都將被禁用。

他說(shuō)："移動(dòng)存儲(chǔ)技術(shù)的部分商業(yè)需求是合法的，而我們提供的解決方案使用口令保護(hù)和非選擇性加密技術(shù)。"

浸信會(huì)紀(jì)念醫(yī)院目前擁有多達(dá)6000臺(tái)桌面電腦和100臺(tái)筆記本，這些設(shè)備都得到了Kingston/Safend解決方案的保護(hù)。

他說(shuō)："我們目前正在對(duì)硬盤驅(qū)動(dòng)器進(jìn)行加密。在一些較老式的PC上，我們已經(jīng)利用群組策略禁用了軟盤驅(qū)動(dòng)器。我們也沒(méi)有在機(jī)器上安裝CD刻錄機(jī)。如果用戶自行在電腦上安裝CD刻錄機(jī)，終端控制技術(shù)就會(huì)立即探測(cè)到。"

更為靈活的方法

其他IT專家則對(duì)筆記本和USB的安全性不甚關(guān)心，他們認(rèn)為，應(yīng)當(dāng)把數(shù)據(jù)加密和口令保護(hù)的決定權(quán)交給用戶。

Jeff Mery是得克薩斯州Austin 市一家儀表和測(cè)試設(shè)備制造商的系統(tǒng)管理員。他認(rèn)為，在他的工作環(huán)境中，要想控制閃存驅(qū)動(dòng)器等移動(dòng)介質(zhì)幾乎是不可能的。

他說(shuō)："絕大多數(shù)用戶都是工程師，因此都有在日常工作中使用USB和CD-ROM介質(zhì)的合法業(yè)務(wù)理由。"他表示，他正在考慮桌面機(jī)和筆記本用戶的驅(qū)動(dòng)器加密問(wèn)題。他認(rèn)為："由于希望對(duì)整個(gè)驅(qū)動(dòng)器進(jìn)行加密，因此我們看中了Microsoft Windows Vista及其BitLocker技術(shù)。目前，當(dāng)用戶認(rèn)為有必要時(shí)便可對(duì)數(shù)據(jù)進(jìn)行加密，而BitLocker則允許我們以完全透明的方式對(duì)整個(gè)磁盤進(jìn)行加密。用戶根本不需要記住應(yīng)對(duì)哪些數(shù)據(jù)加密和哪些數(shù)據(jù)已經(jīng)加密。"