规则遵从的需要和数据被破坏的顾虑迫使中型企业为了笔记本电脑安全而着眼于全磁盘加密,并着手解决那些易变的、容易共享、丢失或者被偷的敏感数据的安全问题。
虽然绝大多数法规并没有明确要求笔记本电脑必须安装加密软件或者加密硬件,但是遵从规则迫使中型企业在员工的笔记本电脑上采用磁盘加密技术。州立的违反数据安全法律可能是最具强制性的,但是如果你不加密,你就会因不遵守HIPAA、GLBA 和 PCI DSS这些规则标准而冒风险。计划明年三月生效的马萨诸塞州个人信息法201 CMR 17.00,要求任何拥有马萨诸塞州居民个人信息的公司其笔记本电脑都要加密。
市场上有一些好的商业加密产品,一旦你决定在公司笔记本电脑上采用磁盘加密,你要考虑几个关键的地方:
安装配置便捷。中型企业有成百上千台的笔记本电脑,但是IT工作人员却很少,所以他们需要一个能一次性自动安装的产品,并在添加新笔记本电脑时同样简单。大多数市面上的全磁盘加密产品安装简单,都是一次性完成。
集中管理。还是那个问题,笔记本电脑多,而IT工作人员少,这种情况下集中管理对中型企业来说很重要。特别是密钥管理,如果不进行集中管理,那么就完全是一个手动过程,需要全程电子制表软件跟踪,并需要保护信息不被泄漏。而具有集中管理功能的产品则免去了这件繁琐工作的大部分痛苦。
企业策略集团的高级分析师Jon Oltsik说,“如果你想使用免费的方案比如TrueCrypt,而你的公司只有10个人,那么这可能是个不错的办法。但是,如果你的公司拥有成百上千个员工,那么你需要使用有强大管理能力的产品。”
产品应该自动进行对称密钥加密,并在本地机器上存储密码。不管是用户还是管理员,都没不必再为它们费心。产品还需要有一个万能密码,它可以让拥有授权的管理人员进入加密程序,收回离职人员笔记本电脑中的数据,或者出于法律原因。
PGP公司市场营销副总裁Tim Matthews说,“如果没有集中的密钥恢复功能,每个用户或者管理员则必须自己建立自己的恢复系统。这样做在安全事宜处理方面不是很经济也不普遍。”
注意:一个复杂的密码非常重要。如果密码被破解,加密技术就毫无用处。但是人们也趋向于忘记复杂的密码,所以你的产品还需要有简单的恢复功能。一般的办法是使用一次性密码,管理员可以在带外把这些密码发送给用户。大多数产品也有自助密码重新设置功能,前提是用户需要回答身份验证问题。
如果你需要为某些或者所有的用户进行更深一步的身份验证,注意那些集成了双因素(two-factor)身份验证功能的产品,比如令牌技术或者生物识别技术。
报告。报告并不需要有多详细,但是你需要能够证明你加密了公司所有的笔记本电脑,特别是那些需要遵守规则的电脑。举个例子,如果你遵守PCI DSS标准,你必须能制作一份报告,表明“我符合标准”。类似的,如果一个笔记本电脑丢失或者被偷,报告得能够证明硬盘确实被加密,这样可以让你的公司减少由数据泄漏带来的巨大麻烦。
用户透明度。最终用户不应该知道他的硬盘驱动器和其数据被加密了。你肯定不愿意处理那些求助电话。用户在初始安装时可能会发现系统的速度比较缓慢,但是他们可能不会注意到那些正在进行的、对性能的影响。
平台支持。如果你使用的是苹果笔记本电脑,那么请确保加密产品跟它们是兼容的,并能够在同一个管理平台上工作。
附加功能。全磁盘加密产品经常包括设备/端口控制功能,比如基于使用政策的可移动存储设备管理。越来越多的厂家提供含有预防数据丢失和企业终端安全功能的软件套装,包括他们的反恶意软件产品。如果你考虑现在或者将来添加这些软件,那么请多加关注那些提供这些产品的公司,并且对他们在产品集成方面的能力进行评估。
价格。总之,绝大多数著名的商业产品都会满足你的全磁盘加密要求,最后归结起来就是看谁能提供性价比高的产品。请在25美元左右选择产品。
免费的方案比如TrueCrypt,没有集中管理功能,没有你需要的大规模安装配置或者报告。管理、密钥存储和密码记录都是手动进行,而且你需要一个很有能力的管理员来安装软件,并跟踪和管理软件更新。
如果你是升级到了Vista系统的公司之一,那么旗舰版和企业版本身包括分区磁盘加密技术。它能用动态目录和组策略管理,但是安装和管理比第三方加密产品麻烦很多。BitLocker驱动器加密同样适用于Windows 7操作系统。
你还可以花费额外费用为笔记本电脑配置加密硬件,那样的话你就不必在每台机器上安装软件客户端。但是,你仍然需要软件进行密钥管理和报告。
【编辑推荐】