对于现在的网络和存储以及相关的计算机设备而言,安全问题越来越严重。其中,移动设备的数据泄漏问题更为突出。现在,移动设备进入公司中的速度比蚂蚁奔向野餐的速度还快。在安全方面,这导致了两个问题的出现:访问控制和数据泄露。本文,我们将关注与数据泄露和漫游信息保护相关行为在业务上带来的挑战。
数据泄漏
移动设备信息安全保护的根本关键问题是数据泄露。如果使用者不将机密信息复制到手机、笔记本计算机、优盘和其它移动设备中的话,对违规行为的控制将变得更简单。
我对数据泄露的定义很简单;它是指将信息从受到信任的地方移动或者复制到缺乏信任或者信任等级较低的地方。换句话说,信息的存放地点控制措施不完善,不能充分保护它的安全。
图A中显示的就是已经发现的用户可能导致数据泄露的途径,看上去数量非常多。如果不希望信息通过未知途径广泛传播开的话,我们就应该采取措施,堵住其中的一些漏洞。
图A
建立相应的策略是一个很好的开始。很多公司还没有开始对包括移动设备的使用方式在内的可接受使用策略进行更新。当然,监控解决方案应该检查使用者是否已经了解并遵循相关策略。此外,利用技术手段防范不必要行为也是降低风险的另外一种有效控制措施。在这里,数据丢失防护(DLP)和电子发现解决方案可以提供帮助。
数据丢失防护控制包含了两个层次:网络和主机。网络层会对整张网络中数据的流动情况进行监测。不过,防止数据泄露的最好模式是利用如图A所示基于主机的DLP。
基于主机的解决方案可以在从本地存储设备中移出数据时予以阻止,在本地存储设备移动时进行必要的加密,并且可以容许系统管理员对移动存储设备的使用进行监视和限制。如果使用者没有对移动数据的需求,就不要让他或它复制任何数据到CD、DVD、USB驱动器等存储设备中。关于是否采用家庭办公模式的争论往往会导致策略失效。特别是人力资源部门(HR)选择这种方式,以回避加班费之类州劳动法的限制时。
对移动存储设备的另一种访问控制模式是采用设置了活动目录组策略的计算机。微软公司免费提供了相关的.adm必备文件。关于它的使用说明,《防止信息泄漏指南》,在第三节:限制可移动存储设备的使用中。该文件中还包含了图A中很多泄露方式的相关信息。
电子发现解决方案可以对企业共享和隐私文件夹中的机密信息进行确认。很多供应商已经将在发现机密信息处于低信任区域时发出警告和自动移动功能添加进来。通过使用电子发现解决方案,你可以对数据泄露情况进行检测,并从结果中发现更多的信息。
从回答下面的问题开始,创建一个数据泄漏预防策略(欧扎克,2010年发表于首席安全官在线。)
· 公司是否禁止在桌面系统上保存文件?是否会将文件重定向保存到网络存储设备(举例来说,文件服务器和网络附加存储)上?如果桌面系统采用的是Windows,那我的文档是否会重定向到网络存储上?
· 申请或数据仓库解决方案,是否会将机密数据分配到最终用户使用的设备上?他们这么做是因为没有别的可行解决方案么?能否利用其它方式来提供这些信息(举例来说,门户网站)?
· 公司是否对包括笔记本计算机在内保存机密信息的移动存储设备进行了加密?#p#
· 在机密数据被移动或者保存到安全控制措施不足的区域时,公司是否部署了全面的监视和警告解决方案?
· 是否建立了针对打印机和传真机的安全使用管理策略?
· 对于废弃的纸质文件表单、报告和其它包含机密数据的印刷品,公司是否提供了安全的处理方式?制约安全处置的是策略和管理层的执行情况么?
· 对于电子和光学介质的处理,公司是否有专门的措施?制约安全处置的是策略和管理层的执行情况么?
· 公司是“通过电子表格进行管理的”么,大量的机密数据处于共享状态,或者分散保存在很多没有备份或者容易遭到盗窃的区域?
· 对电子邮件的内容是否进行监测,在发现机密数据位于潜在不安全的介质上处于共享状态时是否会发出警告。
不过,微软提供的官方文档、常识和认知让我们认识到,就是,不管建立了什么样的限制措施,用户总会找到方法将数据保存到移动存储设备中。这时间加密技术就可以提供帮助了。
作为后续控制措施的加密技术
首先,让我们认识到这一点。加密是防止出现泄露的后续控制措施。安全的基本原则就是,只有在正常没有出现问题的时间才需要保护。因此,加密作为一种信息保护的解决方案,毫无疑问绝对必须位于笔记本计算机和USB驱动器等设备中。
对于存储设备上的数据来说,有两种加密的方式:按照文件或文件夹进行单独处理,或者对整台设备进行全面处理。文件或文件夹的处理方式通常需要使用者将信息保存到部分加密设备的正确位置,或者加密复制的文件。依靠使用者进行处理从来都不是一个好主意。
如果你部署了基于主机的DLP,就应该考虑选择一种产品,可以自动将对在本地存储设备中找到的机密信息进行加密或者将移动存储设备链接到主机上。
我首选的模式是对整台设备进行加密,为保护笔记本计算机,强制执行开机前验证(PBA)规则。在Windows 7企业版中,利用驱动器加密工具Bitlocker很容易做到这一点。不过,对于大型公司来说,通常需要更好的方法来管理全盘加密的笔记本计算机。
安全经理在选择适用于本公司的笔记本计算机加密解决方案时,应考虑到下面列出的几个问题:
· 密钥管理。如果你希望使用者在忘记密码后,还可以访问加密信息,或者在使用者离开公司后,还可以访问笔记本计算机中的关键信息的话,对密钥进行集中管理是非常,非常重要的。
· 密码重置管理。只有在完美的世界里,使用者才会永远记住自己的密码。不过,我们还没有发现这样的世界。因此,确保选择的加密解决方案中提供了帮助使用者随时随地进行密码重新设置的功能是非常重要的。通常情况下,代码交换是通过无法访问的笔记本计算机和加密支持应用完成的。
· 性能。将应用程序与所有的潜在加密解决方案进行测试。做到这一点的最佳方式就是先进行小规模的试点。全盘加密对性能一定会产生影响的。但是,它不应该导致使用者向你发邮件表示抗议。
· 成本。除了采购和部署成本职位,企业加密方案中经常会出现隐藏的软性成本。在购买之前,你应该与其它使用者就解决方案进行探讨。需要多少全职员工(FTE)来进行管理并为软件和相关基础设施提供技术支持?
· 密码策略。最后,确保选择的解决方案提供的密码策略可以支持利用活动目录或者其它身份验证机制。实际上,不论是PBA密码还是AD密码的更改,都可以改变对方。请记住,全面加密技术最大的弱点之一就是弱密码。不过,如果攻击者猜到了密码,你的加密技术有都强大就不重要了。强密码支持的生物识别技术扫描仪可以在笔记本计算机的数据和攻击者之间建立一道高墙。
结论
毕竟,对笔记本计算机和其它移动存储设备进行加密不是一种选择。所以,如果你已经实施了反数据泄漏控制措施的话,我不建议你放弃加密措施。毕竟,如果信息暴露得更少的话,数据泄露的风险也会大幅降低。
在部署加密措施的时间,一定要与包括商业用户在内的所有相关人员进行沟通。对移动设备进行加密处理会导致工作复杂性的上升,从而降低员工的幸福感。因此,一定要着眼于确保将对业务影响的复杂性降到最低。
【编辑推荐】