- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
技巧:笔记本电脑数据泄漏的加密策略
录入:edatop.com 点击:
据厂商Credant技术公司最近进行的一项调查显示,员工的笔记本电脑中有88%携带着敏感的信息,这包括从客户和员工的记录到知识产权、金融数据和口令等一切敏感的信息。从商业风险、安全突破的要闻报道和遵守管理部门的法规等许多方面来看,企业有足够的动机把加密作为防止因为笔记本电脑被盗或者丢失而泄漏数据的最后一道防线。但是,哪一种笔记本电脑加密方法最适合你公司的员工队伍呢?
加密的口令数据库
有选择地加密用户名、口令、账户号码和相关信息的软件程序已经出现许多年了。没有对自己的个人数据加密的消费者应该认真考虑类似于"Password Safe"和"KeePass"的免费程序。但是,这种特殊的方法对于企业员工是没有用的,因为这个软件要依靠本身就不可靠的员工来决定应该加密什么和什么时候加密。这个软件不能保证敏感的数据总是得到保护,因此不能证明隐私数据永远不会泄漏。
文件和文件夹加密
要满足这些需求,大多数企业将选择IT部门管理的存储的数据保护措施、基于文件/文件夹的加密、整个硬盘加密或者把上述的某些措施结合在一起的方法。文件/文件夹加密也是有选择的,但是对文件是自动加密的,加密的原则是根据文件位置(如文件夹)、文件类型(如表单)或者源应用程序(如Excel等)等属性的定义为基础的。
例如,Windows加密文件系统(EFS)是微软基本的文件/文件夹加密工具。使用活动目录组策略目标可以集中启动这个工具对文件和文件夹进行加密。然而,EFS仍依赖写入保护位置的敏感数据,不能阻止用户把加密的文件拷贝到没有保护的位置(如U盘)。
更高级的文件/文件夹加密产品能够做得更多。例如,某些工具提供不可能发生数据泄漏的更严格的政策,在笔记本电脑丢失后提供遵守规定的文件的报告,并且能够对PC、掌上电脑和可拆卸存储设备等各种设备采用统一的加密平台和政策。
整个硬盘加密
对于通用计算机来说,另一种流行的方法是简单地对存储在一个物理硬盘或者一个逻辑分区上的全部数据进行加密。这个目标是保证没有加密的任何数据都不能写入硬盘。这不仅包括敏感的用户数据,而且还包括应用程序和操作系统文件。
Windows Vista操作系统中的BitLocker的功能是逻辑盘加密的一个例子。这个功能把一台PC的启动盘分为一个没有加密的启动逻辑盘和一个加密的操作系统逻辑盘。这个加密的操作系统逻辑盘在启动时需要使用一个可信赖的平台模块(TPM)芯片、USB接口密钥或者恢复密码短语等方式在启动时解锁和验证。但是,写入非系统逻辑盘的数据仍然没有保护,不过,可以选择使用EFS对这个数据进行加密。
更全面的整个硬盘加密(FDE)技术将加密整个硬盘的内容,包括启动扇区、交换文件、操作系统文件和用户数据。身份识别、加密、配置和报告功能是多种多样的,但是,企业PDE产品为安全审计和遵守法规的报告提供了诸如Windows单一登录和中心登录等功能。
对比替代的方法
文件/文件夹加密的主要弱点是存在数据泄漏的可能性。那么,为什么不是每一个人都使用对整个硬盘加密的方法呢?对于初学者来说,加密一个整合硬盘需要好几个小时,这还不包括首先对整个系统进行备份的时间。因此,所有的数据都在"空中传输"过程中加密,从而在某种程度上降低了整个系统的性能(降低的程度不一定能注意到)。
某些FDE预先启动身份识别方法会干扰这个受保护的系统中使用的其它程序,如从资产跟踪管理产品到修改Windows图形标识和身份验证库(GINA)的登录过程的各种程序。此外,桌面管理、使用补丁和审计工具与实践等都可能受到影响,因为没有用户证书它们就不能解开加密的系统文件。如果一个保护的系统受到损坏,数据恢复也同样受到影响。最后,当创建例行性的备份的时候,明智的方法是对加密这些数据。
把这些方法结合在一起能够让一个机构获得这两个领域里最好的东西。例如,对于功能不太强大的掌上电脑等设备使用文件/文件夹加密,而对于笔记本电脑采用FDE加密。对于同一台设备采用这两种方法似乎有些矫枉过正,但是,这也是一种可行的选择,特别是对于携带管理的数据的移动用户。FED能够对设备失窃和丢失提供最简单的保护,而文件/文件夹加密能够保护敏感的用户数据同时不会破坏IT部门实施维护和恢复任务所需要的文件。
当然,员工队伍的规模和预算、隐私需求、风险容忍程度和公司政策等因素也将影响这个决策。要了解更多的考虑、最佳做法和企业笔记本电脑加密经验,我建议你参考如下内容:
·信息安全杂志2007年7月/8月期刊登的文章"Emerging Technologies"(新兴技术)
·市场研究公司Gartner今年4月发表的文章"Implementation Advice for Mobile Data Protection"(移动数据保护实施建议)
·市场研究公司IDC今年1月发表的文章"Securing Laptops with Full Disk Encryption"(采用整个硬盘加密保护笔记本电脑)
加密的口令数据库
有选择地加密用户名、口令、账户号码和相关信息的软件程序已经出现许多年了。没有对自己的个人数据加密的消费者应该认真考虑类似于"Password Safe"和"KeePass"的免费程序。但是,这种特殊的方法对于企业员工是没有用的,因为这个软件要依靠本身就不可靠的员工来决定应该加密什么和什么时候加密。这个软件不能保证敏感的数据总是得到保护,因此不能证明隐私数据永远不会泄漏。
文件和文件夹加密
要满足这些需求,大多数企业将选择IT部门管理的存储的数据保护措施、基于文件/文件夹的加密、整个硬盘加密或者把上述的某些措施结合在一起的方法。文件/文件夹加密也是有选择的,但是对文件是自动加密的,加密的原则是根据文件位置(如文件夹)、文件类型(如表单)或者源应用程序(如Excel等)等属性的定义为基础的。
例如,Windows加密文件系统(EFS)是微软基本的文件/文件夹加密工具。使用活动目录组策略目标可以集中启动这个工具对文件和文件夹进行加密。然而,EFS仍依赖写入保护位置的敏感数据,不能阻止用户把加密的文件拷贝到没有保护的位置(如U盘)。
更高级的文件/文件夹加密产品能够做得更多。例如,某些工具提供不可能发生数据泄漏的更严格的政策,在笔记本电脑丢失后提供遵守规定的文件的报告,并且能够对PC、掌上电脑和可拆卸存储设备等各种设备采用统一的加密平台和政策。
整个硬盘加密
对于通用计算机来说,另一种流行的方法是简单地对存储在一个物理硬盘或者一个逻辑分区上的全部数据进行加密。这个目标是保证没有加密的任何数据都不能写入硬盘。这不仅包括敏感的用户数据,而且还包括应用程序和操作系统文件。
Windows Vista操作系统中的BitLocker的功能是逻辑盘加密的一个例子。这个功能把一台PC的启动盘分为一个没有加密的启动逻辑盘和一个加密的操作系统逻辑盘。这个加密的操作系统逻辑盘在启动时需要使用一个可信赖的平台模块(TPM)芯片、USB接口密钥或者恢复密码短语等方式在启动时解锁和验证。但是,写入非系统逻辑盘的数据仍然没有保护,不过,可以选择使用EFS对这个数据进行加密。
更全面的整个硬盘加密(FDE)技术将加密整个硬盘的内容,包括启动扇区、交换文件、操作系统文件和用户数据。身份识别、加密、配置和报告功能是多种多样的,但是,企业PDE产品为安全审计和遵守法规的报告提供了诸如Windows单一登录和中心登录等功能。
对比替代的方法
文件/文件夹加密的主要弱点是存在数据泄漏的可能性。那么,为什么不是每一个人都使用对整个硬盘加密的方法呢?对于初学者来说,加密一个整合硬盘需要好几个小时,这还不包括首先对整个系统进行备份的时间。因此,所有的数据都在"空中传输"过程中加密,从而在某种程度上降低了整个系统的性能(降低的程度不一定能注意到)。
某些FDE预先启动身份识别方法会干扰这个受保护的系统中使用的其它程序,如从资产跟踪管理产品到修改Windows图形标识和身份验证库(GINA)的登录过程的各种程序。此外,桌面管理、使用补丁和审计工具与实践等都可能受到影响,因为没有用户证书它们就不能解开加密的系统文件。如果一个保护的系统受到损坏,数据恢复也同样受到影响。最后,当创建例行性的备份的时候,明智的方法是对加密这些数据。
把这些方法结合在一起能够让一个机构获得这两个领域里最好的东西。例如,对于功能不太强大的掌上电脑等设备使用文件/文件夹加密,而对于笔记本电脑采用FDE加密。对于同一台设备采用这两种方法似乎有些矫枉过正,但是,这也是一种可行的选择,特别是对于携带管理的数据的移动用户。FED能够对设备失窃和丢失提供最简单的保护,而文件/文件夹加密能够保护敏感的用户数据同时不会破坏IT部门实施维护和恢复任务所需要的文件。
当然,员工队伍的规模和预算、隐私需求、风险容忍程度和公司政策等因素也将影响这个决策。要了解更多的考虑、最佳做法和企业笔记本电脑加密经验,我建议你参考如下内容:
·信息安全杂志2007年7月/8月期刊登的文章"Emerging Technologies"(新兴技术)
·市场研究公司Gartner今年4月发表的文章"Implementation Advice for Mobile Data Protection"(移动数据保护实施建议)
·市场研究公司IDC今年1月发表的文章"Securing Laptops with Full Disk Encryption"(采用整个硬盘加密保护笔记本电脑)
上一篇:TD网络建设拖3G发牌后腿
下一篇:如何有效地利用oracle的数据字典