 |
|
|
|
|
|
建立一套行动工作的安全策略
作者: CNET科技资讯网
CNETNews.com.cn
2006-07-25 15:48:28
CNET科技资讯网7月26日国际报道 最近纷纷传出有关移动电脑安全性--其实正确说是不安全性--的新闻报道。某职员的笔记本电脑遗失或遭窃,造成数千笔或甚至数十万笔企业客户的身份信息暴露于险境,因为笔记本电脑里存有社会安全号码或信用卡号等敏感信息。这显然会给客户添麻烦,也有损公司的商誉。
这类事件日益增多,是因为移动运算(mobile computing)已成为当今商业界的家常便饭。有些事得尽快处理,不能总是等到我们回办公室才做,而且有时难免涉及机密信息。公司规模小的时候,必须带着电脑在外奔波或把公事带回家做的员工比较少。随着公司规模扩大,你会发觉愈来愈难掌控谁把什么信息存在哪个硬盘,以及信息的去向。
所以,务必要打从一开始,就建立一套让移动电脑使用者有所依循的安全政策,并确定这些政策在你公司业务增长的同时,仍能合乎使用者的需要,且不会陷客户或公司于险境。
零容忍政策
部分安全专家提倡完全禁止在笔记本电脑上存储敏感信息的作法。最近美联社发自波士顿的一篇报道所引述的Gartner分析师,就采取这种立场。其背后的理论是:移动电脑使用者需要用信息时,可连线到集中存储信息的服务器。这种作法除了安全性之外,也解决另一问题:免除文件出现多重版本、彼此不一致的麻烦。可是,这么做真的比较安全吗
严禁把信息存储在笔记本电脑上的零容忍政策,固然让笔记本电脑窃贼比较不可能取得信息,但却可能产生其他的安全风险。必须连线到办公室服务器来处理信息的职员,很可能把虚拟私人网络(VPN)连线设定成随时可上线,也许把连线到办公室网络的身份信息都预先存好以便使用。这意味窃贼一旦能登入电脑,除了取得电脑主人先前处理的信息档以外,恐怕也能存取到该名使用者权限所能及的一切办公室网络信息--至少在职员回报电脑失窃、封锁原使用者帐户之前,窃贼是可以横行无阻的。
依照这种政策,使用者通常会先连上互联网,处理敏感信息时再通过VPN登入公司网络。他仍可能遭到外来的攻击,例如键盘侧录程序或屏幕撷取程序可能拷贝他处理的文件,并回传给黑客。这么一来,即使笔记本电脑片刻不离手,信息仍可能被偷。
或许最大的问题是,这种政策未必总是行得通。有时候,还是有必要把机密文件带出办公室。例如,假设主管身在没有网络连线之处,或没有其他方法能连上公司网络,却又急需存取信息,那么,在这种情况下,你该怎么做,才能防止敏感信息不会落入坏人手中
加密、加密、加密
大家都听过,买房地产最重要的考虑因素是:“地点、地点、地点”。同理,说到保护机密信息,务必铭记在心的金科玉律就是“加密、加密、加密”。如果你的使用者必须把敏感文件带出公司,问题就不是“他们该不该加密”,而是“他们该怎么加密”
若你用的是Windows 2000/XP/Vista操作系统,最简单的解决办法就是操作系统内建的加密文件系统(Encrypting File System;EFS)。不过,这有缺点。EFS用来让使用者一目了然,但这表示任何人只要能以该使用者的帐号登入,就能读取加密的文件。在缺省环境下,EFS把私密金钥(Private Key)存储在硬盘里,但你可把私密金钥输出、自硬盘删除,然后把它放入可卸除式硬件,与电脑分开携带,即可加强安全保护。
你也可要求使用者登入电脑前,先接受双重认证(two-factor authentication),让安全防护再添一层。换句话说,使用者不仅要提出身份认证信息(这部分窃贼也许能够破解),另外还得再提出智能卡、凭证(token),或指纹等生物测定(biometrics)特征。
另一解决办法,是用支持严密演算法的第三方加密产品。有许多软件程序可针对所选取的文件或整个磁盘进行加密。其中一部分软件也支持双重认证。有些笔记本电脑支持硬盘层级的加密,其中一些配备内建的指纹或智能卡解读器。
分散风险
就算使用者无法连上中央服务器存取敏感文件,那也不表示这些文件一定得存在笔记本电脑上。不使用时,把信息档存储在可拆卸式快闪记忆碟(USB flash drive)或可抹写式光盘上,并与笔记本电脑分开来摆(不只是与电脑机身份开,还要放在不同的箱子里),就能降低窃贼盗走信息的机率,因为他可能专挑你的电脑箱下手,而不是你的行李箱。
文件记得要redact
你还可以采取另一种预防措施,就是只把局部的记录拷贝到可卸除式磁盘。从文件中卸载敏感信息的动作称为“redact”。可以先做这道手续,再允许职员把文件携出公司。
有的数据库让你拷贝特定栏位内的信息。而且,职员不见得需要社会安全号码等信息才能办事。事实上,已有软件能把这些号码加密或用乱码处理,以防窃贼万一取得文件,也无法解读最机密的信息。
其他保护措施
如果确实有必要把敏感信息存储在笔记本电脑上,那么,除了把信息加密外,你还可以安装会“回报”和/或在外人未获授权就试图登入时自动关闭的软件。有的程序甚至更狠,在这种情况发生时,干脆把磁盘上的信息全部删除并覆写掉。
除了技术上的解决办法之外,别忘了最重要的预防措施:向员工宣导保护移动电脑及其内含信息的重要性。毕竟许多失窃案发生,是漫不经心使然。
文/Deb Shinder
ZDNet 和 CNET 科技资讯网是CNET Networks公司注册服务商标。CNET 科技资讯网 标识是 CNET Networks公司注册服务商标。中华人民共和国电信与信息服务业务经营许可证编号:京ICP证010391号 Copyright (c) CNET Networks 版权所有。| CNET简介 & 与我们联络