對(duì)于現(xiàn)在的網(wǎng)絡(luò)和存儲(chǔ)以及相關(guān)的計(jì)算機(jī)設(shè)備而言，安全問(wèn)題越來(lái)越嚴(yán)重。其中，移動(dòng)設(shè)備的數(shù)據(jù)泄漏問(wèn)題更為突出?，F(xiàn)在，移動(dòng)設(shè)備進(jìn)入公司中的速度比螞蟻奔向野餐的速度還快。在安全方面，這導(dǎo)致了兩個(gè)問(wèn)題的出現(xiàn)：訪問(wèn)控制和數(shù)據(jù)泄露。本文，我們將關(guān)注與數(shù)據(jù)泄露和漫游信息保護(hù)相關(guān)行為在業(yè)務(wù)上帶來(lái)的挑戰(zhàn)。

數(shù)據(jù)泄漏

移動(dòng)設(shè)備信息安全保護(hù)的根本關(guān)鍵問(wèn)題是數(shù)據(jù)泄露。如果使用者不將機(jī)密信息復(fù)制到手機(jī)、筆記本計(jì)算機(jī)、優(yōu)盤和其它移動(dòng)設(shè)備中的話，對(duì)違規(guī)行為的控制將變得更簡(jiǎn)單。

我對(duì)數(shù)據(jù)泄露的定義很簡(jiǎn)單;它是指將信息從受到信任的地方移動(dòng)或者復(fù)制到缺乏信任或者信任等級(jí)較低的地方。換句話說(shuō)，信息的存放地點(diǎn)控制措施不完善，不能充分保護(hù)它的安全。

圖A中顯示的就是已經(jīng)發(fā)現(xiàn)的用戶可能導(dǎo)致數(shù)據(jù)泄露的途徑，看上去數(shù)量非常多。如果不希望信息通過(guò)未知途徑廣泛傳播開(kāi)的話，我們就應(yīng)該采取措施，堵住其中的一些漏洞。

圖A

建立相應(yīng)的策略是一個(gè)很好的開(kāi)始。很多公司還沒(méi)有開(kāi)始對(duì)包括移動(dòng)設(shè)備的使用方式在內(nèi)的可接受使用策略進(jìn)行更新。當(dāng)然，監(jiān)控解決方案應(yīng)該檢查使用者是否已經(jīng)了解并遵循相關(guān)策略。此外，利用技術(shù)手段防范不必要行為也是降低風(fēng)險(xiǎn)的另外一種有效控制措施。在這里，數(shù)據(jù)丟失防護(hù)(DLP)和電子發(fā)現(xiàn)解決方案可以提供幫助。

數(shù)據(jù)丟失防護(hù)控制包含了兩個(gè)層次：網(wǎng)絡(luò)和主機(jī)。網(wǎng)絡(luò)層會(huì)對(duì)整張網(wǎng)絡(luò)中數(shù)據(jù)的流動(dòng)情況進(jìn)行監(jiān)測(cè)。不過(guò)，防止數(shù)據(jù)泄露的最好模式是利用如圖A所示基于主機(jī)的DLP。

基于主機(jī)的解決方案可以在從本地存儲(chǔ)設(shè)備中移出數(shù)據(jù)時(shí)予以阻止，在本地存儲(chǔ)設(shè)備移動(dòng)時(shí)進(jìn)行必要的加密，并且可以容許系統(tǒng)管理員對(duì)移動(dòng)存儲(chǔ)設(shè)備的使用進(jìn)行監(jiān)視和限制。如果使用者沒(méi)有對(duì)移動(dòng)數(shù)據(jù)的需求，就不要讓他或它復(fù)制任何數(shù)據(jù)到CD、DVD、USB驅(qū)動(dòng)器等存儲(chǔ)設(shè)備中。關(guān)于是否采用家庭辦公模式的爭(zhēng)論往往會(huì)導(dǎo)致策略失效。特別是人力資源部門(HR)選擇這種方式，以回避加班費(fèi)之類州勞動(dòng)法的限制時(shí)。

對(duì)移動(dòng)存儲(chǔ)設(shè)備的另一種訪問(wèn)控制模式是采用設(shè)置了活動(dòng)目錄組策略的計(jì)算機(jī)。微軟公司免費(fèi)提供了相關(guān)的.adm必備文件。關(guān)于它的使用說(shuō)明，《防止信息泄漏指南》，在第三節(jié)：限制可移動(dòng)存儲(chǔ)設(shè)備的使用中。該文件中還包含了圖A中很多泄露方式的相關(guān)信息。

電子發(fā)現(xiàn)解決方案可以對(duì)企業(yè)共享和隱私文件夾中的機(jī)密信息進(jìn)行確認(rèn)。很多供應(yīng)商已經(jīng)將在發(fā)現(xiàn)機(jī)密信息處于低信任區(qū)域時(shí)發(fā)出警告和自動(dòng)移動(dòng)功能添加進(jìn)來(lái)。通過(guò)使用電子發(fā)現(xiàn)解決方案，你可以對(duì)數(shù)據(jù)泄露情況進(jìn)行檢測(cè)，并從結(jié)果中發(fā)現(xiàn)更多的信息。

從回答下面的問(wèn)題開(kāi)始，創(chuàng)建一個(gè)數(shù)據(jù)泄漏預(yù)防策略(歐扎克，2010年發(fā)表于首席安全官在線。)

· 公司是否禁止在桌面系統(tǒng)上保存文件?是否會(huì)將文件重定向保存到網(wǎng)絡(luò)存儲(chǔ)設(shè)備(舉例來(lái)說(shuō)，文件服務(wù)器和網(wǎng)絡(luò)附加存儲(chǔ))上?如果桌面系統(tǒng)采用的是Windows，那我的文檔是否會(huì)重定向到網(wǎng)絡(luò)存儲(chǔ)上?

· 申請(qǐng)或數(shù)據(jù)倉(cāng)庫(kù)解決方案，是否會(huì)將機(jī)密數(shù)據(jù)分配到最終用戶使用的設(shè)備上?他們這么做是因?yàn)闆](méi)有別的可行解決方案么?能否利用其它方式來(lái)提供這些信息(舉例來(lái)說(shuō)，門戶網(wǎng)站)?

· 公司是否對(duì)包括筆記本計(jì)算機(jī)在內(nèi)保存機(jī)密信息的移動(dòng)存儲(chǔ)設(shè)備進(jìn)行了加密?#p#

· 在機(jī)密數(shù)據(jù)被移動(dòng)或者保存到安全控制措施不足的區(qū)域時(shí)，公司是否部署了全面的監(jiān)視和警告解決方案?

· 是否建立了針對(duì)打印機(jī)和傳真機(jī)的安全使用管理策略?

· 對(duì)于廢棄的紙質(zhì)文件表單、報(bào)告和其它包含機(jī)密數(shù)據(jù)的印刷品，公司是否提供了安全的處理方式?制約安全處置的是策略和管理層的執(zhí)行情況么?

· 對(duì)于電子和光學(xué)介質(zhì)的處理，公司是否有專門的措施?制約安全處置的是策略和管理層的執(zhí)行情況么?

· 公司是“通過(guò)電子表格進(jìn)行管理的”么，大量的機(jī)密數(shù)據(jù)處于共享狀態(tài)，或者分散保存在很多沒(méi)有備份或者容易遭到盜竊的區(qū)域?

· 對(duì)電子郵件的內(nèi)容是否進(jìn)行監(jiān)測(cè)，在發(fā)現(xiàn)機(jī)密數(shù)據(jù)位于潛在不安全的介質(zhì)上處于共享狀態(tài)時(shí)是否會(huì)發(fā)出警告。

不過(guò)，微軟提供的官方文檔、常識(shí)和認(rèn)知讓我們認(rèn)識(shí)到，就是，不管建立了什么樣的限制措施，用戶總會(huì)找到方法將數(shù)據(jù)保存到移動(dòng)存儲(chǔ)設(shè)備中。這時(shí)間加密技術(shù)就可以提供幫助了。

作為后續(xù)控制措施的加密技術(shù)

首先，讓我們認(rèn)識(shí)到這一點(diǎn)。加密是防止出現(xiàn)泄露的后續(xù)控制措施。安全的基本原則就是，只有在正常沒(méi)有出現(xiàn)問(wèn)題的時(shí)間才需要保護(hù)。因此，加密作為一種信息保護(hù)的解決方案，毫無(wú)疑問(wèn)絕對(duì)必須位于筆記本計(jì)算機(jī)和USB驅(qū)動(dòng)器等設(shè)備中。

對(duì)于存儲(chǔ)設(shè)備上的數(shù)據(jù)來(lái)說(shuō)，有兩種加密的方式：按照文件或文件夾進(jìn)行單獨(dú)處理，或者對(duì)整臺(tái)設(shè)備進(jìn)行全面處理。文件或文件夾的處理方式通常需要使用者將信息保存到部分加密設(shè)備的正確位置，或者加密復(fù)制的文件。依靠使用者進(jìn)行處理從來(lái)都不是一個(gè)好主意。

如果你部署了基于主機(jī)的DLP，就應(yīng)該考慮選擇一種產(chǎn)品，可以自動(dòng)將對(duì)在本地存儲(chǔ)設(shè)備中找到的機(jī)密信息進(jìn)行加密或者將移動(dòng)存儲(chǔ)設(shè)備鏈接到主機(jī)上。

我首選的模式是對(duì)整臺(tái)設(shè)備進(jìn)行加密，為保護(hù)筆記本計(jì)算機(jī)，強(qiáng)制執(zhí)行開(kāi)機(jī)前驗(yàn)證(PBA)規(guī)則。在Windows　7企業(yè)版中，利用驅(qū)動(dòng)器加密工具Bitlocker很容易做到這一點(diǎn)。不過(guò)，對(duì)于大型公司來(lái)說(shuō)，通常需要更好的方法來(lái)管理全盤加密的筆記本計(jì)算機(jī)。

安全經(jīng)理在選擇適用于本公司的筆記本計(jì)算機(jī)加密解決方案時(shí)，應(yīng)考慮到下面列出的幾個(gè)問(wèn)題：

· 密鑰管理。如果你希望使用者在忘記密碼后，還可以訪問(wèn)加密信息，或者在使用者離開(kāi)公司后，還可以訪問(wèn)筆記本計(jì)算機(jī)中的關(guān)鍵信息的話，對(duì)密鑰進(jìn)行集中管理是非常，非常重要的。

· 密碼重置管理。只有在完美的世界里，使用者才會(huì)永遠(yuǎn)記住自己的密碼。不過(guò)，我們還沒(méi)有發(fā)現(xiàn)這樣的世界。因此，確保選擇的加密解決方案中提供了幫助使用者隨時(shí)隨地進(jìn)行密碼重新設(shè)置的功能是非常重要的。通常情況下，代碼交換是通過(guò)無(wú)法訪問(wèn)的筆記本計(jì)算機(jī)和加密支持應(yīng)用完成的。

· 性能。將應(yīng)用程序與所有的潛在加密解決方案進(jìn)行測(cè)試。做到這一點(diǎn)的最佳方式就是先進(jìn)行小規(guī)模的試點(diǎn)。全盤加密對(duì)性能一定會(huì)產(chǎn)生影響的。但是，它不應(yīng)該導(dǎo)致使用者向你發(fā)郵件表示抗議。

· 成本。除了采購(gòu)和部署成本職位，企業(yè)加密方案中經(jīng)常會(huì)出現(xiàn)隱藏的軟性成本。在購(gòu)買之前，你應(yīng)該與其它使用者就解決方案進(jìn)行探討。需要多少全職員工(FTE)來(lái)進(jìn)行管理并為軟件和相關(guān)基礎(chǔ)設(shè)施提供技術(shù)支持?

· 密碼策略。最后，確保選擇的解決方案提供的密碼策略可以支持利用活動(dòng)目錄或者其它身份驗(yàn)證機(jī)制。實(shí)際上，不論是PBA密碼還是AD密碼的更改，都可以改變對(duì)方。請(qǐng)記住，全面加密技術(shù)最大的弱點(diǎn)之一就是弱密碼。不過(guò)，如果攻擊者猜到了密碼，你的加密技術(shù)有都強(qiáng)大就不重要了。強(qiáng)密碼支持的生物識(shí)別技術(shù)掃描儀可以在筆記本計(jì)算機(jī)的數(shù)據(jù)和攻擊者之間建立一道高墻。

結(jié)論

畢竟，對(duì)筆記本計(jì)算機(jī)和其它移動(dòng)存儲(chǔ)設(shè)備進(jìn)行加密不是一種選擇。所以，如果你已經(jīng)實(shí)施了反數(shù)據(jù)泄漏控制措施的話，我不建議你放棄加密措施。畢竟，如果信息暴露得更少的話，數(shù)據(jù)泄露的風(fēng)險(xiǎn)也會(huì)大幅降低。

在部署加密措施的時(shí)間，一定要與包括商業(yè)用戶在內(nèi)的所有相關(guān)人員進(jìn)行溝通。對(duì)移動(dòng)設(shè)備進(jìn)行加密處理會(huì)導(dǎo)致工作復(fù)雜性的上升，從而降低員工的幸福感。因此，一定要著眼于確保將對(duì)業(yè)務(wù)影響的復(fù)雜性降到最低。

【編輯推薦】

1. 企業(yè)的寶貴數(shù)據(jù)泄漏的現(xiàn)狀及影響以及保護(hù)方案
2. 阻止數(shù)據(jù)泄漏危害的簡(jiǎn)單方法
3. 企業(yè)不應(yīng)忽視移動(dòng)設(shè)備所帶來(lái)的安全隱患
4. 移動(dòng)設(shè)備日益增多 安全問(wèn)題不容忽視