據(jù)身份盜竊資源中心(Identity Theft Resource Center)稱,已知去年發(fā)生的數(shù)據(jù)泄露事故數(shù)量為656宗�,總共泄露了3570萬條記錄。
數(shù)量為656宗�,總共泄露了3570萬條記錄。涉及的行業(yè)包括商業(yè)�、金融、醫(yī)療設(shè)施、教育機(jī)構(gòu)和政府部門�。
發(fā)生數(shù)據(jù)泄露的主要原因是什么呢? 據(jù)ITRC稱����,只有2.4%的機(jī)構(gòu)泄露的數(shù)據(jù)經(jīng)過了加密或者帶有嚴(yán)密的保護(hù)措施��,只有8.5%的數(shù)據(jù)帶有口令保護(hù)��。
為什么其他機(jī)構(gòu)不使用口令保護(hù)和加密措施呢��? 有些機(jī)構(gòu)是因?yàn)轵湴磷源?�,有些機(jī)構(gòu)則是因?yàn)樗鼈冋`以為它們的數(shù)據(jù)保密措施已經(jīng)足夠了�。還有一些機(jī)構(gòu)擔(dān)心對(duì)數(shù)據(jù)進(jìn)行加密可能需要花費(fèi)太多的錢和時(shí)間。
然而����,各行各業(yè)的機(jī)構(gòu)們因?yàn)閿?shù)據(jù)泄露而招致的財(cái)務(wù)成本和公共關(guān)系成本已經(jīng)越來越高,它們必須制定精確的數(shù)據(jù)保護(hù)政策和標(biāo)準(zhǔn)����。這些政策和標(biāo)準(zhǔn)倒不一定復(fù)雜,也不一定附帶著高昂的成本�。
雖然許多數(shù)據(jù)存儲(chǔ)廠商如Sun、EMC、惠普和IBM等正在討論建立加密密鑰管理的標(biāo)準(zhǔn)問題��,但是你可以按下列步驟采取正確的措施來保護(hù)你的數(shù)據(jù)����。
首先制定一套良好的數(shù)據(jù)保護(hù)政策
身份盜竊911(Identity Theft 911)主席兼聯(lián)合創(chuàng)始人、安全專家Adam Levin表示��,一套良好的數(shù)據(jù)保護(hù)政策必須包含下列五個(gè)因素:
1���、包含與收集��、使用和儲(chǔ)存敏感信息有關(guān)的良好的安全和保密政策�����。
2���、把信息儲(chǔ)存在電腦和筆記本電腦上時(shí)對(duì)它們進(jìn)行加密。
3�����、限制敏感信息的訪問權(quán)限�。
4���、安全地清除舊的或過期的敏感信息。
5��、制定一套突發(fā)事件反應(yīng)計(jì)劃���,以備發(fā)生數(shù)據(jù)泄露事故之需����。
除了上訴內(nèi)容之外�,Levin還建議企業(yè)組織配置和使用最新的防火墻���、反間諜軟件和殺毒保護(hù)軟件����;不要使用無線連網(wǎng)技術(shù)(WiFi)��;將數(shù)據(jù)截?cái)?���,這樣就可以保證在不需要的地方那些敏感信息就無法使用。
他強(qiáng)調(diào)��,最重要的是確保使用安全加密的技術(shù)來獲取和儲(chǔ)存敏感信息,使用加密協(xié)議�,將所有的數(shù)據(jù)加密。
加密���,加密���,加密
旨在制定企業(yè)計(jì)算安全規(guī)范的業(yè)內(nèi)組織可信計(jì)算組織(Trusted Computing Group,TCG)也認(rèn)為�,優(yōu)秀的加密機(jī)制是保護(hù)數(shù)據(jù)中不可或缺的一個(gè)因素。數(shù)據(jù)保護(hù)廠商們已經(jīng)注意到并且正在忙于開發(fā)更新更強(qiáng)的客戶級(jí)和企業(yè)級(jí)軟硬件加密解決方案����。
例如,BitArmor在去年12月宣布推出3.2版BitArmor DataControl軟件��,這款以信息為中心的安全解決方案使用了整盤加密和持久文件加密技術(shù)來直接保護(hù)數(shù)據(jù)���。公司在上個(gè)月作出承諾��,如果BitArmor保護(hù)的數(shù)據(jù)被泄露�,它將退還客戶購買其軟件的款項(xiàng)(但是不包括數(shù)據(jù)丟失或泄露造成的其他成本)�����。從這一點(diǎn)可以看出,它對(duì)于自己的技術(shù)是非常自信的�。
BitArmor聯(lián)合創(chuàng)始人兼首席執(zhí)行官Patrick McGregor表示:"整盤加密是一種重要的前端保護(hù)技術(shù)。"他說�,現(xiàn)在越來越多的企業(yè)員工開始使用筆記本電腦和U盤,極其容易導(dǎo)致數(shù)據(jù)失竊或丟失的事故�,雖然你可以使用自我加密(self-encrypting)的U盤來保護(hù)數(shù)據(jù),但是那種U盤的價(jià)格非常昂貴����。 因此BitArmor才開發(fā)出基于軟件的整盤加密解決方案。
BitArmor表示����,它無需為電腦��、筆記本電腦�、U盤、電子郵件附件��、應(yīng)用服務(wù)器�����、存儲(chǔ)服務(wù)器和各種網(wǎng)絡(luò)分別配備數(shù)據(jù)保護(hù)解決方案����,它只用一款產(chǎn)品就可以保護(hù)和管理好所有的數(shù)據(jù)���,這樣就減輕了數(shù)據(jù)保護(hù)和管理的復(fù)雜性。這樣�,數(shù)據(jù)在各種設(shè)備和網(wǎng)絡(luò)之間傳輸時(shí)就不用總是需要加密和解密了。 由于整個(gè)解決方案采用了集中化管理�,因此在企業(yè)內(nèi)部跟蹤數(shù)據(jù)也變得更加容易。
BitArmor的解決方案至少已經(jīng)引起一位分析師的關(guān)注���。 Enterprise Strategy Group的高級(jí)分析師Jon Oltsik表示:"BitArmor通過一種獨(dú)特的方式解決了數(shù)據(jù)保護(hù)問題�,它將保護(hù)政策與數(shù)據(jù)本身捆在了一起�����,而不是象其他解決方案那樣去保護(hù)承載數(shù)據(jù)的設(shè)備����。我認(rèn)為這種以數(shù)據(jù)為中心的解決方案必會(huì)成為今后的主流數(shù)據(jù)保護(hù)解決方案。"
然而��,BitArmor的解決方案也并非唯一的解決方案���。
密碼保護(hù)
可信計(jì)算組織在一月份發(fā)布了三個(gè)正式版本的存儲(chǔ)規(guī)范�����,分別適用于個(gè)人電腦�����、數(shù)據(jù)中心存儲(chǔ)設(shè)備和存儲(chǔ)設(shè)備與基層SCSI和SATA協(xié)議之間的互動(dòng)通信�。據(jù)說這三個(gè)規(guī)范可以更好地保護(hù)數(shù)據(jù),幫助企業(yè)組織遵守日益嚴(yán)厲的相關(guān)法規(guī)�,有助于保護(hù)重要信息不會(huì)丟失或泄露。
可信計(jì)算組織存儲(chǔ)工作組主席�����、希捷首席技術(shù)官Robert Thibadeau表示����,這些新規(guī)范非常重要���,因?yàn)樗鼈優(yōu)閺S商們描繪出開發(fā)自我加密存儲(chǔ)設(shè)備(如硬盤)的藍(lán)圖����,它們可以立即完全被清除�,還可以與可信平臺(tái)模組連接起來��, 保護(hù)好安全證書����。
多家廠商如希捷����、日立和富士通等現(xiàn)在已經(jīng)開始積極開發(fā)客戶級(jí)和企業(yè)級(jí)自我加密硬盤產(chǎn)品。
Thibadeau說�,使用自我加密硬盤的好處很多。 第一�,這種硬盤可以輕松插入RAID模組或SAN,還可以用于客戶級(jí)筆記本電腦�。第二,這種解決方案大大增強(qiáng)了加密技術(shù)的透明度和易用性��。第三��,將加密技術(shù)融入硬盤之后�,企業(yè)客戶就無需管理加密軟件或者加密控制器,這樣就減少了數(shù)據(jù)中心加密解決方案的復(fù)雜性和成本����。
這種加密硬盤還解決了靜態(tài)數(shù)據(jù)的保護(hù)問題(即硬盤在斷電情況下的保護(hù))以及安全銷毀數(shù)據(jù)的問題。
安全銷毀數(shù)據(jù)的難題
Thibadeau將安全銷毀數(shù)據(jù)喻為加密擦除技術(shù)�����,自我加密硬盤不但可以讓這個(gè)問題變得更加容易,而且還可以加快數(shù)據(jù)銷毀的速度和成本效率����。
Thibadeau表示:"許多數(shù)據(jù)中心以前一直采取將硬盤完全銷毀的方式來銷毀數(shù)據(jù), 它們將硬盤丟到切碎機(jī)中將硬盤切成粉末�。有了加密擦除技術(shù),它們就不用這么做了�。 以前,將硬盤銷毀需要2�、3個(gè)小時(shí)的時(shí)間,現(xiàn)在用加密擦除技術(shù)只要幾毫秒的時(shí)間就夠了��。"
自我加密硬盤的價(jià)格如何呢�����? 據(jù)Thibadeau介紹����,這種自我加密硬盤的價(jià)格非常低廉���。他說:"在TigerDirect網(wǎng)站輸入‘Black Armor'����,花60美元就可以買到一款160GB的希捷自我加密硬盤。 而且硬盤經(jīng)過加密擦除處理后還可以繼續(xù)使用����,無需購買新的硬盤。"因此��,這種解決方案可以為企業(yè)用戶節(jié)省一大筆開支�����。
有些管理員更關(guān)注產(chǎn)品的性能�����,Thibadeau指出:"與其他解決方案不同�,這種自我加密硬盤的I/O速度不會(huì)受到是否加密的影響。 這種硬盤可以象未加密的普通硬盤一樣讀寫�����。 在失竊之前�����,它就象普通硬盤一樣。"
如果這種硬盤由于某種原因失竊了會(huì)如何呢�? 他說:"如果沒有加密密鑰來解鎖,這種硬盤被破解的可能性幾乎為零��。它是不可能被破解的�,即使是希捷自己也做不到。 "
Thibadeau表示�,加密真正的問題在于管理。一個(gè)系統(tǒng)或者數(shù)據(jù)的管理越困難��,犯錯(cuò)或者發(fā)生數(shù)據(jù)泄露的幾率就越大�。
Thibadeau說:"如果這個(gè)世界非常完美,人人都不會(huì)犯錯(cuò)�����,那么軟件加密和控制器加密的解決方案就足夠了�����。但是人是會(huì)犯錯(cuò)的��。如果企業(yè)組織不使用自我加密硬盤�����,如果有人將一塊硬盤從數(shù)據(jù)中心偷出去�����,那么就會(huì)發(fā)生數(shù)據(jù)泄露的事故�。如果使用了自我加密硬盤,那么即使那些硬盤失竊�,信息也不會(huì)被泄露。那種硬盤是不可能被解密的��。"
目前市場(chǎng)上銷售的自我加密硬盤只有適用于筆記本電腦的客戶級(jí)自我加密硬盤��。然而Thibadeau預(yù)計(jì)����,業(yè)內(nèi)的許多重要廠商可能會(huì)在未來3到6個(gè)月內(nèi)發(fā)布企業(yè)級(jí)自我加密硬盤。
?
