安全的另類問題

企業(yè)由于丟失設(shè)備造成的安全隱患屢見不鮮，但從國內(nèi)外的經(jīng)驗看，制定一套完整的機(jī)制與技術(shù)措施，可以在很大程度上規(guī)避安全風(fēng)險。

惱人的損失

最近，星巴克稱該公司丟失了四臺包含數(shù)千員工相關(guān)數(shù)據(jù)的筆記本電腦。于是，全世界的IT主管們都開始再次自問：有什么能夠保護(hù)移動設(shè)備上各類數(shù)據(jù)的策略嗎？ 從洛斯阿拉莫斯國家實驗室到Allina保健公司，再到美國退伍軍人事務(wù)部，這種高端重要數(shù)據(jù)頻頻丟失的事件似乎永遠(yuǎn)都沒有終結(jié)。這種情況也迫使越來越多的機(jī)構(gòu)對筆記本和USB閃存驅(qū)動器等設(shè)備上的數(shù)據(jù)進(jìn)行加密，并且建立起各種相關(guān)的安全策略。

科羅拉多州雇員信用聯(lián)盟高級網(wǎng)絡(luò)管理員Tom Gonzales說："我們已經(jīng)針對筆記本制訂了具體的移動設(shè)備策略。"這項策略可以對筆記本、磁盤驅(qū)動器、USB閃存驅(qū)動器和CD-ROM提供加密保護(hù)。

Gonzales對這項策略進(jìn)行了描述，"我們使用Cisco Security Agent 禁用了所有USB端口，因此只有IT部門的人員才有權(quán)對閃存執(zhí)行寫操作。通常情況下，我們不會對用戶筆記本上的整個驅(qū)動器進(jìn)行加密，而只是提供安全存儲區(qū)，使用戶能夠?qū)⑽募４嬖谶@一位置中。凡是寫入這一區(qū)域的文件都會被加密。我們的桌面PC也都不配備軟盤驅(qū)動器或CD-ROM刻錄機(jī)。"

這種走極端的做法顯然是事出有因的：數(shù)據(jù)丟失會給企業(yè)帶來巨大的金錢損失。Ponemon學(xué)會認(rèn)為，此類事件每發(fā)生一次所帶來的損失高達(dá)470萬美元，相當(dāng)于每條記錄182美元。根據(jù)這些數(shù)字，星巴克的筆記本丟失事件所帶來的數(shù)據(jù)損失可能高達(dá)1090萬美元。

閃存需要管理

對于田納西州孟菲斯市浸信會紀(jì)念醫(yī)院的桌面管理主任Lenny Goodman而言，保護(hù)筆記本、閃存驅(qū)動器和其他移動介質(zhì)上的數(shù)據(jù)是一項必須的日常事務(wù)，因為這家醫(yī)院必須遵守健康保險可移植性及可說明性法案的規(guī)定。

Goodman說："符合性是管理企業(yè)的一項'必要'方法，這種方法衍生出的便是最佳慣例。無論我們喜歡與否，都必須遵守。而加密就是這樣一種必要的事務(wù)。"

Goodman所使用的Safend軟件能夠在USB驅(qū)動器連接至網(wǎng)絡(luò)時對其進(jìn)行識別，并允許IT部門制訂允許或不允許其使用的策略，從而為其中的數(shù)據(jù)提供保護(hù)。

Goodman說："和所有的企業(yè)一樣，我們發(fā)現(xiàn)即插即用式閃盤有泛濫成災(zāi)的趨勢。我們雖然并沒有向員工提供此類設(shè)備，但這似乎并沒有阻止員工積極享用這種新技術(shù)帶來的便利。當(dāng)我們看到報紙上的1GB閃存驅(qū)動器廣告時，就斷定它早晚會出現(xiàn)在企業(yè)中。無論這類設(shè)備的出現(xiàn)是否出于惡意，它們都是值得企業(yè)認(rèn)真對待的。"

Goodman編寫了一項管理閃存驅(qū)動器的策略，找出了企業(yè)中使用的閃存驅(qū)動器，并且用Kingston的DataTraveler Secure閃存驅(qū)動器取而代之。有了這項策略，Safend軟件只能識別出這些Kingston驅(qū)動器，而其他的閃存驅(qū)動器都將被禁用。

他說："移動存儲技術(shù)的部分商業(yè)需求是合法的，而我們提供的解決方案使用口令保護(hù)和非選擇性加密技術(shù)。"

浸信會紀(jì)念醫(yī)院目前擁有多達(dá)6000臺桌面電腦和100臺筆記本，這些設(shè)備都得到了Kingston/Safend解決方案的保護(hù)。

他說："我們目前正在對硬盤驅(qū)動器進(jìn)行加密。在一些較老式的PC上，我們已經(jīng)利用群組策略禁用了軟盤驅(qū)動器。我們也沒有在機(jī)器上安裝CD刻錄機(jī)。如果用戶自行在電腦上安裝CD刻錄機(jī)，終端控制技術(shù)就會立即探測到。"

更為靈活的方法

其他IT專家則對筆記本和USB的安全性不甚關(guān)心，他們認(rèn)為，應(yīng)當(dāng)把數(shù)據(jù)加密和口令保護(hù)的決定權(quán)交給用戶。

Jeff Mery是得克薩斯州Austin 市一家儀表和測試設(shè)備制造商的系統(tǒng)管理員。他認(rèn)為，在他的工作環(huán)境中，要想控制閃存驅(qū)動器等移動介質(zhì)幾乎是不可能的。

他說："絕大多數(shù)用戶都是工程師，因此都有在日常工作中使用USB和CD-ROM介質(zhì)的合法業(yè)務(wù)理由。"他表示，他正在考慮桌面機(jī)和筆記本用戶的驅(qū)動器加密問題。他認(rèn)為："由于希望對整個驅(qū)動器進(jìn)行加密，因此我們看中了Microsoft Windows Vista及其BitLocker技術(shù)。目前，當(dāng)用戶認(rèn)為有必要時便可對數(shù)據(jù)進(jìn)行加密，而BitLocker則允許我們以完全透明的方式對整個磁盤進(jìn)行加密。用戶根本不需要記住應(yīng)對哪些數(shù)據(jù)加密和哪些數(shù)據(jù)已經(jīng)加密。"