據(jù)身份盜竊資源中心(Identity Theft Resource Center)稱,已知去年發(fā)生的數(shù)據(jù)泄露事故數(shù)量為656宗,總共泄露了3570萬條記錄。
數(shù)量為656宗,總共泄露了3570萬條記錄。涉及的行業(yè)包括商業(yè)、金融、醫(yī)療設施、教育機構(gòu)和政府部門。
發(fā)生數(shù)據(jù)泄露的主要原因是什么呢? 據(jù)ITRC稱,只有2.4%的機構(gòu)泄露的數(shù)據(jù)經(jīng)過了加密或者帶有嚴密的保護措施,只有8.5%的數(shù)據(jù)帶有口令保護。
為什么其他機構(gòu)不使用口令保護和加密措施呢? 有些機構(gòu)是因為驕傲自大,有些機構(gòu)則是因為它們誤以為它們的數(shù)據(jù)保密措施已經(jīng)足夠了。還有一些機構(gòu)擔心對數(shù)據(jù)進行加密可能需要花費太多的錢和時間。
然而,各行各業(yè)的機構(gòu)們因為數(shù)據(jù)泄露而招致的財務成本和公共關(guān)系成本已經(jīng)越來越高,它們必須制定精確的數(shù)據(jù)保護政策和標準。這些政策和標準倒不一定復雜,也不一定附帶著高昂的成本。
雖然許多數(shù)據(jù)存儲廠商如Sun、EMC、惠普和IBM等正在討論建立加密密鑰管理的標準問題,但是你可以按下列步驟采取正確的措施來保護你的數(shù)據(jù)。
首先制定一套良好的數(shù)據(jù)保護政策
身份盜竊911(Identity Theft 911)主席兼聯(lián)合創(chuàng)始人、安全專家Adam Levin表示,一套良好的數(shù)據(jù)保護政策必須包含下列五個因素:
1、包含與收集、使用和儲存敏感信息有關(guān)的良好的安全和保密政策。
2、把信息儲存在電腦和筆記本電腦上時對它們進行加密。
3、限制敏感信息的訪問權(quán)限。
4、安全地清除舊的或過期的敏感信息。
5、制定一套突發(fā)事件反應計劃,以備發(fā)生數(shù)據(jù)泄露事故之需。
除了上訴內(nèi)容之外,Levin還建議企業(yè)組織配置和使用最新的防火墻、反間諜軟件和殺毒保護軟件;不要使用無線連網(wǎng)技術(shù)(WiFi);將數(shù)據(jù)截斷,這樣就可以保證在不需要的地方那些敏感信息就無法使用。
他強調(diào),最重要的是確保使用安全加密的技術(shù)來獲取和儲存敏感信息,使用加密協(xié)議,將所有的數(shù)據(jù)加密。
加密,加密,加密
旨在制定企業(yè)計算安全規(guī)范的業(yè)內(nèi)組織可信計算組織(Trusted Computing Group,TCG)也認為,優(yōu)秀的加密機制是保護數(shù)據(jù)中不可或缺的一個因素。數(shù)據(jù)保護廠商們已經(jīng)注意到并且正在忙于開發(fā)更新更強的客戶級和企業(yè)級軟硬件加密解決方案。
例如,BitArmor在去年12月宣布推出3.2版BitArmor DataControl軟件,這款以信息為中心的安全解決方案使用了整盤加密和持久文件加密技術(shù)來直接保護數(shù)據(jù)。公司在上個月作出承諾,如果BitArmor保護的數(shù)據(jù)被泄露,它將退還客戶購買其軟件的款項(但是不包括數(shù)據(jù)丟失或泄露造成的其他成本)。從這一點可以看出,它對于自己的技術(shù)是非常自信的。
BitArmor聯(lián)合創(chuàng)始人兼首席執(zhí)行官Patrick McGregor表示:"整盤加密是一種重要的前端保護技術(shù)。"他說,現(xiàn)在越來越多的企業(yè)員工開始使用筆記本電腦和U盤,極其容易導致數(shù)據(jù)失竊或丟失的事故,雖然你可以使用自我加密(self-encrypting)的U盤來保護數(shù)據(jù),但是那種U盤的價格非常昂貴。 因此BitArmor才開發(fā)出基于軟件的整盤加密解決方案。
BitArmor表示,它無需為電腦、筆記本電腦、U盤、電子郵件附件、應用服務器、存儲服務器和各種網(wǎng)絡分別配備數(shù)據(jù)保護解決方案,它只用一款產(chǎn)品就可以保護和管理好所有的數(shù)據(jù),這樣就減輕了數(shù)據(jù)保護和管理的復雜性。這樣,數(shù)據(jù)在各種設備和網(wǎng)絡之間傳輸時就不用總是需要加密和解密了。 由于整個解決方案采用了集中化管理,因此在企業(yè)內(nèi)部跟蹤數(shù)據(jù)也變得更加容易。
BitArmor的解決方案至少已經(jīng)引起一位分析師的關(guān)注。 Enterprise Strategy Group的高級分析師Jon Oltsik表示:"BitArmor通過一種獨特的方式解決了數(shù)據(jù)保護問題,它將保護政策與數(shù)據(jù)本身捆在了一起,而不是象其他解決方案那樣去保護承載數(shù)據(jù)的設備。我認為這種以數(shù)據(jù)為中心的解決方案必會成為今后的主流數(shù)據(jù)保護解決方案。"
然而,BitArmor的解決方案也并非唯一的解決方案。
密碼保護
可信計算組織在一月份發(fā)布了三個正式版本的存儲規(guī)范,分別適用于個人電腦、數(shù)據(jù)中心存儲設備和存儲設備與基層SCSI和SATA協(xié)議之間的互動通信。據(jù)說這三個規(guī)范可以更好地保護數(shù)據(jù),幫助企業(yè)組織遵守日益嚴厲的相關(guān)法規(guī),有助于保護重要信息不會丟失或泄露。
可信計算組織存儲工作組主席、希捷首席技術(shù)官Robert Thibadeau表示,這些新規(guī)范非常重要,因為它們?yōu)閺S商們描繪出開發(fā)自我加密存儲設備(如硬盤)的藍圖,它們可以立即完全被清除,還可以與可信平臺模組連接起來, 保護好安全證書。
多家廠商如希捷、日立和富士通等現(xiàn)在已經(jīng)開始積極開發(fā)客戶級和企業(yè)級自我加密硬盤產(chǎn)品。
Thibadeau說,使用自我加密硬盤的好處很多。 第一,這種硬盤可以輕松插入RAID模組或SAN,還可以用于客戶級筆記本電腦。第二,這種解決方案大大增強了加密技術(shù)的透明度和易用性。第三,將加密技術(shù)融入硬盤之后,企業(yè)客戶就無需管理加密軟件或者加密控制器,這樣就減少了數(shù)據(jù)中心加密解決方案的復雜性和成本。
這種加密硬盤還解決了靜態(tài)數(shù)據(jù)的保護問題(即硬盤在斷電情況下的保護)以及安全銷毀數(shù)據(jù)的問題。
安全銷毀數(shù)據(jù)的難題
Thibadeau將安全銷毀數(shù)據(jù)喻為加密擦除技術(shù),自我加密硬盤不但可以讓這個問題變得更加容易,而且還可以加快數(shù)據(jù)銷毀的速度和成本效率。
Thibadeau表示:"許多數(shù)據(jù)中心以前一直采取將硬盤完全銷毀的方式來銷毀數(shù)據(jù), 它們將硬盤丟到切碎機中將硬盤切成粉末。有了加密擦除技術(shù),它們就不用這么做了。 以前,將硬盤銷毀需要2、3個小時的時間,現(xiàn)在用加密擦除技術(shù)只要幾毫秒的時間就夠了。"
自我加密硬盤的價格如何呢? 據(jù)Thibadeau介紹,這種自我加密硬盤的價格非常低廉。他說:"在TigerDirect網(wǎng)站輸入‘Black Armor',花60美元就可以買到一款160GB的希捷自我加密硬盤。 而且硬盤經(jīng)過加密擦除處理后還可以繼續(xù)使用,無需購買新的硬盤。"因此,這種解決方案可以為企業(yè)用戶節(jié)省一大筆開支。
有些管理員更關(guān)注產(chǎn)品的性能,Thibadeau指出:"與其他解決方案不同,這種自我加密硬盤的I/O速度不會受到是否加密的影響。 這種硬盤可以象未加密的普通硬盤一樣讀寫。 在失竊之前,它就象普通硬盤一樣。"
如果這種硬盤由于某種原因失竊了會如何呢? 他說:"如果沒有加密密鑰來解鎖,這種硬盤被破解的可能性幾乎為零。它是不可能被破解的,即使是希捷自己也做不到。 "
Thibadeau表示,加密真正的問題在于管理。一個系統(tǒng)或者數(shù)據(jù)的管理越困難,犯錯或者發(fā)生數(shù)據(jù)泄露的幾率就越大。
Thibadeau說:"如果這個世界非常完美,人人都不會犯錯,那么軟件加密和控制器加密的解決方案就足夠了。但是人是會犯錯的。如果企業(yè)組織不使用自我加密硬盤,如果有人將一塊硬盤從數(shù)據(jù)中心偷出去,那么就會發(fā)生數(shù)據(jù)泄露的事故。如果使用了自我加密硬盤,那么即使那些硬盤失竊,信息也不會被泄露。那種硬盤是不可能被解密的。"
目前市場上銷售的自我加密硬盤只有適用于筆記本電腦的客戶級自我加密硬盤。然而Thibadeau預計,業(yè)內(nèi)的許多重要廠商可能會在未來3到6個月內(nèi)發(fā)布企業(yè)級自我加密硬盤。
?