據(jù)身份盜竊資源中心(Identity Theft Resource Center)稱(chēng),已知去年發(fā)生的數(shù)據(jù)泄露事故數(shù)量為656宗,總共泄露了3570萬(wàn)條記錄�����。
數(shù)量為656宗��,總共泄露了3570萬(wàn)條記錄�����。涉及的行業(yè)包括商業(yè)�����、金融�����、醫(yī)療設(shè)施���、教育機(jī)構(gòu)和政府部門(mén)����。
發(fā)生數(shù)據(jù)泄露的主要原因是什么呢���? 據(jù)ITRC稱(chēng)��,只有2.4%的機(jī)構(gòu)泄露的數(shù)據(jù)經(jīng)過(guò)了加密或者帶有嚴(yán)密的保護(hù)措施���,只有8.5%的數(shù)據(jù)帶有口令保護(hù)。
為什么其他機(jī)構(gòu)不使用口令保護(hù)和加密措施呢�����? 有些機(jī)構(gòu)是因?yàn)轵湴磷源螅行C(jī)構(gòu)則是因?yàn)樗鼈冋`以為它們的數(shù)據(jù)保密措施已經(jīng)足夠了���。還有一些機(jī)構(gòu)擔(dān)心對(duì)數(shù)據(jù)進(jìn)行加密可能需要花費(fèi)太多的錢(qián)和時(shí)間����。
然而���,各行各業(yè)的機(jī)構(gòu)們因?yàn)閿?shù)據(jù)泄露而招致的財(cái)務(wù)成本和公共關(guān)系成本已經(jīng)越來(lái)越高,它們必須制定精確的數(shù)據(jù)保護(hù)政策和標(biāo)準(zhǔn)�。這些政策和標(biāo)準(zhǔn)倒不一定復(fù)雜,也不一定附帶著高昂的成本�����。
雖然許多數(shù)據(jù)存儲(chǔ)廠(chǎng)商如Sun��、EMC���、惠普和IBM等正在討論建立加密密鑰管理的標(biāo)準(zhǔn)問(wèn)題�����,但是你可以按下列步驟采取正確的措施來(lái)保護(hù)你的數(shù)據(jù)����。
首先制定一套良好的數(shù)據(jù)保護(hù)政策
身份盜竊911(Identity Theft 911)主席兼聯(lián)合創(chuàng)始人、安全專(zhuān)家Adam Levin表示��,一套良好的數(shù)據(jù)保護(hù)政策必須包含下列五個(gè)因素:
1����、包含與收集、使用和儲(chǔ)存敏感信息有關(guān)的良好的安全和保密政策�����。
2��、把信息儲(chǔ)存在電腦和筆記本電腦上時(shí)對(duì)它們進(jìn)行加密���。
3��、限制敏感信息的訪(fǎng)問(wèn)權(quán)限���。
4、安全地清除舊的或過(guò)期的敏感信息��。
5、制定一套突發(fā)事件反應(yīng)計(jì)劃�,以備發(fā)生數(shù)據(jù)泄露事故之需。
除了上訴內(nèi)容之外���,Levin還建議企業(yè)組織配置和使用最新的防火墻�����、反間諜軟件和殺毒保護(hù)軟件�����;不要使用無(wú)線(xiàn)連網(wǎng)技術(shù)(WiFi);將數(shù)據(jù)截?cái)?��,這樣就可以保證在不需要的地方那些敏感信息就無(wú)法使用�。
他強(qiáng)調(diào)����,最重要的是確保使用安全加密的技術(shù)來(lái)獲取和儲(chǔ)存敏感信息,使用加密協(xié)議��,將所有的數(shù)據(jù)加密�。
加密,加密,加密
旨在制定企業(yè)計(jì)算安全規(guī)范的業(yè)內(nèi)組織可信計(jì)算組織(Trusted Computing Group����,TCG)也認(rèn)為,優(yōu)秀的加密機(jī)制是保護(hù)數(shù)據(jù)中不可或缺的一個(gè)因素�����。數(shù)據(jù)保護(hù)廠(chǎng)商們已經(jīng)注意到并且正在忙于開(kāi)發(fā)更新更強(qiáng)的客戶(hù)級(jí)和企業(yè)級(jí)軟硬件加密解決方案����。
例如,BitArmor在去年12月宣布推出3.2版BitArmor DataControl軟件����,這款以信息為中心的安全解決方案使用了整盤(pán)加密和持久文件加密技術(shù)來(lái)直接保護(hù)數(shù)據(jù)。公司在上個(gè)月作出承諾��,如果BitArmor保護(hù)的數(shù)據(jù)被泄露��,它將退還客戶(hù)購(gòu)買(mǎi)其軟件的款項(xiàng)(但是不包括數(shù)據(jù)丟失或泄露造成的其他成本)�����。從這一點(diǎn)可以看出���,它對(duì)于自己的技術(shù)是非常自信的��。
BitArmor聯(lián)合創(chuàng)始人兼首席執(zhí)行官Patrick McGregor表示:"整盤(pán)加密是一種重要的前端保護(hù)技術(shù)�����。"他說(shuō)��,現(xiàn)在越來(lái)越多的企業(yè)員工開(kāi)始使用筆記本電腦和U盤(pán)�����,極其容易導(dǎo)致數(shù)據(jù)失竊或丟失的事故��,雖然你可以使用自我加密(self-encrypting)的U盤(pán)來(lái)保護(hù)數(shù)據(jù)��,但是那種U盤(pán)的價(jià)格非常昂貴�。 因此BitArmor才開(kāi)發(fā)出基于軟件的整盤(pán)加密解決方案��。
BitArmor表示��,它無(wú)需為電腦、筆記本電腦、U盤(pán)、電子郵件附件��、應(yīng)用服務(wù)器、存儲(chǔ)服務(wù)器和各種網(wǎng)絡(luò)分別配備數(shù)據(jù)保護(hù)解決方案�����,它只用一款產(chǎn)品就可以保護(hù)和管理好所有的數(shù)據(jù)�,這樣就減輕了數(shù)據(jù)保護(hù)和管理的復(fù)雜性�。這樣���,數(shù)據(jù)在各種設(shè)備和網(wǎng)絡(luò)之間傳輸時(shí)就不用總是需要加密和解密了�。 由于整個(gè)解決方案采用了集中化管理�,因此在企業(yè)內(nèi)部跟蹤數(shù)據(jù)也變得更加容易��。
BitArmor的解決方案至少已經(jīng)引起一位分析師的關(guān)注�。 Enterprise Strategy Group的高級(jí)分析師Jon Oltsik表示:"BitArmor通過(guò)一種獨(dú)特的方式解決了數(shù)據(jù)保護(hù)問(wèn)題���,它將保護(hù)政策與數(shù)據(jù)本身捆在了一起,而不是象其他解決方案那樣去保護(hù)承載數(shù)據(jù)的設(shè)備。我認(rèn)為這種以數(shù)據(jù)為中心的解決方案必會(huì)成為今后的主流數(shù)據(jù)保護(hù)解決方案。"
然而�����,BitArmor的解決方案也并非唯一的解決方案����。
密碼保護(hù)
可信計(jì)算組織在一月份發(fā)布了三個(gè)正式版本的存儲(chǔ)規(guī)范��,分別適用于個(gè)人電腦、數(shù)據(jù)中心存儲(chǔ)設(shè)備和存儲(chǔ)設(shè)備與基層SCSI和SATA協(xié)議之間的互動(dòng)通信���。據(jù)說(shuō)這三個(gè)規(guī)范可以更好地保護(hù)數(shù)據(jù)���,幫助企業(yè)組織遵守日益嚴(yán)厲的相關(guān)法規(guī),有助于保護(hù)重要信息不會(huì)丟失或泄露�。
可信計(jì)算組織存儲(chǔ)工作組主席��、希捷首席技術(shù)官Robert Thibadeau表示���,這些新規(guī)范非常重要����,因?yàn)樗鼈優(yōu)閺S(chǎng)商們描繪出開(kāi)發(fā)自我加密存儲(chǔ)設(shè)備(如硬盤(pán))的藍(lán)圖����,它們可以立即完全被清除,還可以與可信平臺(tái)模組連接起來(lái)����, 保護(hù)好安全證書(shū)。
多家廠(chǎng)商如希捷���、日立和富士通等現(xiàn)在已經(jīng)開(kāi)始積極開(kāi)發(fā)客戶(hù)級(jí)和企業(yè)級(jí)自我加密硬盤(pán)產(chǎn)品。
Thibadeau說(shuō)�����,使用自我加密硬盤(pán)的好處很多。 第一���,這種硬盤(pán)可以輕松插入RAID模組或SAN���,還可以用于客戶(hù)級(jí)筆記本電腦。第二,這種解決方案大大增強(qiáng)了加密技術(shù)的透明度和易用性。第三,將加密技術(shù)融入硬盤(pán)之后,企業(yè)客戶(hù)就無(wú)需管理加密軟件或者加密控制器,這樣就減少了數(shù)據(jù)中心加密解決方案的復(fù)雜性和成本�����。
這種加密硬盤(pán)還解決了靜態(tài)數(shù)據(jù)的保護(hù)問(wèn)題(即硬盤(pán)在斷電情況下的保護(hù))以及安全銷(xiāo)毀數(shù)據(jù)的問(wèn)題。
安全銷(xiāo)毀數(shù)據(jù)的難題
Thibadeau將安全銷(xiāo)毀數(shù)據(jù)喻為加密擦除技術(shù)���,自我加密硬盤(pán)不但可以讓這個(gè)問(wèn)題變得更加容易����,而且還可以加快數(shù)據(jù)銷(xiāo)毀的速度和成本效率����。
Thibadeau表示:"許多數(shù)據(jù)中心以前一直采取將硬盤(pán)完全銷(xiāo)毀的方式來(lái)銷(xiāo)毀數(shù)據(jù), 它們將硬盤(pán)丟到切碎機(jī)中將硬盤(pán)切成粉末����。有了加密擦除技術(shù),它們就不用這么做了�����。 以前���,將硬盤(pán)銷(xiāo)毀需要2��、3個(gè)小時(shí)的時(shí)間�,現(xiàn)在用加密擦除技術(shù)只要幾毫秒的時(shí)間就夠了。"
自我加密硬盤(pán)的價(jià)格如何呢��? 據(jù)Thibadeau介紹�,這種自我加密硬盤(pán)的價(jià)格非常低廉。他說(shuō):"在TigerDirect網(wǎng)站輸入‘Black Armor'����,花60美元就可以買(mǎi)到一款160GB的希捷自我加密硬盤(pán)。 而且硬盤(pán)經(jīng)過(guò)加密擦除處理后還可以繼續(xù)使用��,無(wú)需購(gòu)買(mǎi)新的硬盤(pán)�����。"因此�����,這種解決方案可以為企業(yè)用戶(hù)節(jié)省一大筆開(kāi)支���。
有些管理員更關(guān)注產(chǎn)品的性能,Thibadeau指出:"與其他解決方案不同���,這種自我加密硬盤(pán)的I/O速度不會(huì)受到是否加密的影響����。 這種硬盤(pán)可以象未加密的普通硬盤(pán)一樣讀寫(xiě)。 在失竊之前����,它就象普通硬盤(pán)一樣。"
如果這種硬盤(pán)由于某種原因失竊了會(huì)如何呢����? 他說(shuō):"如果沒(méi)有加密密鑰來(lái)解鎖,這種硬盤(pán)被破解的可能性幾乎為零�。它是不可能被破解的,即使是希捷自己也做不到����。 "
Thibadeau表示,加密真正的問(wèn)題在于管理�����。一個(gè)系統(tǒng)或者數(shù)據(jù)的管理越困難�,犯錯(cuò)或者發(fā)生數(shù)據(jù)泄露的幾率就越大。
Thibadeau說(shuō):"如果這個(gè)世界非常完美,人人都不會(huì)犯錯(cuò)��,那么軟件加密和控制器加密的解決方案就足夠了�。但是人是會(huì)犯錯(cuò)的。如果企業(yè)組織不使用自我加密硬盤(pán)���,如果有人將一塊硬盤(pán)從數(shù)據(jù)中心偷出去��,那么就會(huì)發(fā)生數(shù)據(jù)泄露的事故���。如果使用了自我加密硬盤(pán),那么即使那些硬盤(pán)失竊����,信息也不會(huì)被泄露。那種硬盤(pán)是不可能被解密的�。"
目前市場(chǎng)上銷(xiāo)售的自我加密硬盤(pán)只有適用于筆記本電腦的客戶(hù)級(jí)自我加密硬盤(pán)。然而Thibadeau預(yù)計(jì)���,業(yè)內(nèi)的許多重要廠(chǎng)商可能會(huì)在未來(lái)3到6個(gè)月內(nèi)發(fā)布企業(yè)級(jí)自我加密硬盤(pán)。
?
