对于信息安全问题,企业通常认为员工是最不需要担心的一部分,往往把主要的精力放在网络边缘。但是,有许多网络安全问题却是由于内部员工所引起的。例如,在员工浏览色情网站、利用即时通讯和访问购物网站的时候,一些间谍软件、广告软件等恶意软件就会不知不觉地下载到电脑中,而且这些恶意软件还会在企业内部网络中进行传播。特别值得注意的是,企业的机密资料、客户数据等信息可能会由于恶意软件的存在,可能会被盗取。据CSI对484家公司调查的结果显示,超过85%的安全威胁来自企业内部;而其中的威胁,有16%来自于内部未授权的存取。
因此,企业的真正安全风险来自于企业内部,而不仅仅是外部。随着企业信息化工作的开展和不断深化,越来越多的企业信息通过网络沟通、共享和保存。这些信息和数据既包含业务数据,也包括财务凭证、报表以及人事档案资料、公司内部公文,还包括合作伙伴的结算信息。这些信息有些是企业的商业机密,有些用于企业的规范管理,有些用于辅助决策,它们对企业的生存和发展起到至关重要的作用。因此,数据安全成为当今企业安全建设的重中之重。
企业除了利用防火墙、IPS、防病毒产品防御外部威胁时,数据加密成为保护企业有价值数据的主要工具。利用数据加密解决方案可保护笔记本电脑、工作站和服务器等设备的硬盘上的所有文件(包括操作系统的文件)的安全。即使硬盘被盗,您依然可放心数据不会被非授权人浏览或获取。虽然黑客可以潜入企业的服务器,但是,也无法对服务器上的数据和信息资产造成破坏,因为,这些资产都得到了安全的加密保护。
硬盘加密
对电脑硬盘进行加密保护,可以降低信息被非授权者所利用的风险。硬盘加密采用业界公认的加密算法(例如AES
256位长度密钥),对硬盘进行高强度保护。目前的这种保护强度,不会被攻破。在没有经过授权的情况下,硬盘会处于加密保护状态,即使将其连接到其他系统也无法读取或存储硬盘数据,唯一处理的方式就是将硬盘格式化。采用硬盘加密技术的笔记本电脑,其硬盘上的所有数据被保护起来,大大降低机密数据泄露的风险。
启动前认证
启动前认证功能是为了防止非授权者入侵操作系统存取机密数据。比如:用户可以使用软驱启动盘来进入Windows
DOS命令提示字符窗口来复制硬盘中的系统文件。在用户启动电脑后,使用LC3 (LOphtCrack)等工具可以快速地获得Windows®
NT和2000的密码。
只有采用双因素身份认证的方式,才能达到高强度的安全保护。身份认证可以通过智能卡,一次性口令,或者是USB令牌的方式进行,具有更高的可靠性。当然,启动前的授权方式必须是可定制的。用户可以选择使用密码或令牌作为授权的方式。真正好的硬盘加密技术,并不是要通过多繁琐的加密步骤来困扰用户,而是为硬盘本身提供应有的保护。用户每天都要登录系统,因此以不影响用户使用的前提下,简单的操作,高强度的保护,才能为用户提供一个安全、便利的环境。
硬盘加密和效能
安全固然重要,但必须要实用且不会对企业造成负面的影响,能够确保信息的隐私性。硬盘加密的效果经常被提出来讨论,因为大多数人一致认为硬盘加密会大量降低系统执行的速度。这种说法的确值得讨论一番,因为硬盘加密对于硬盘I/O和CPU的使用量会产生潜在性的影响。因此,在硬盘加密时,通过分段硬盘加密技术,将硬盘加密对公司营运的影响降到最低,达到高安全且快速的加密效能。可靠的硬盘加密,须具备业界广泛认可硬盘加密的算法,支持AES
256位长度的密钥,也需支持其它算法(例如TDES和IDEA)。一般来说,硬盘加密产品需必备以下功能:
用户密钥文件。硬盘加密产品都需要一个密钥来加密硬盘中的数据,密钥的管理是一个重要的方面。SafeNet的ProtectDrive产品中,提供了一个方便密钥管理的“syskey.bin”文件。在ProtectDrive安装时需要此文件。在对硬盘进行加密时,此文件将被用做加密硬盘的密钥文件的种子。若没有此文件,将无法移除ProtectDrive、无法针对被加密的硬盘做解密,也不能处理密码复原的动作。这样把Syskey.bin交给管理员管理,解决了密钥管理的问题。
Windows单点登录。硬盘加密产品需要为用户提供方便的系统登录方式,可以降低因为用户的网上冲浪,社会交际和写下密码而将密码泄露给未经授权使用者的风险。使用串口、打印口及磁盘驱动器阻挡其它辅助装置拷贝未经授权的数据。专业用户可以通过辅助端口(例如串口和并口)及计算机系统的软盘驱动器拷贝信息。大多数的公司通常采用活动目录(Active
directory)的功能强制禁止使用辅助装置。您可以在硬件加密方案提供的活动目录管理接口中,设定全域策略来限制所有用户使用二级存储设备。本地用户将无法修改域安全设定,这样就达到通过禁止使用二级存储设备来保护本机的机密信息的目的。
当有他人尝试存取时,就会显示登录警。显示登录警告可以提高用户的警觉性。如果发现可疑的登录,用户可以将旧密码更改为较安全的新密码或将此情况通告管理人员。当然,用户也必须随时提高警觉。通过定期对用户进行培训,可以增加用户对信息安全领域的知识。
备份和恢复。硬盘加密产品通常都提供数据备份和恢复的工具。当硬盘加密信息变更时,此产品将立即进行系统备份。当系统不稳时,可以使用由数据表文件组成的备份文件来恢复硬盘。
密码遗失。密码管理通常为IT的头号敌人。研究指出大部份密码管理的时间都花在如忘记密码等密码复原的问题上。以SafeNet
ProtectDrive来看,它提供挑战-响应(Challenge-response)的机制进行密码恢复。用户必须按下功能键来产生一个13个字符的挑战码。和拥有用户syskey.bin档的管理人员联络并告知此挑战码,管理人员就可以为用户产生一个响应。在“响应”字段中输入此响应,用户就可以通过屏幕中的启动前登录。当用户登录系统后便可更改密码。
总结
通过数据加密来保护数字资产,是防止未经授权泄漏重要电子信息的终极手段。
保存有机密数据的移动设备非常容易丢失或被盗窃,而通过公司网络或互联网传输的数据则有可能会遭到截取。 这会给敏感数据带来巨大风险。
虽然网络非常坚固,但对于一些网上黑客或恶意员工而言,由于他们了解如何来突破部署在网络周边的安全措施,因而,最终他们仍然会通过最后防线窃取到机密数据。这样,唯一可对其形成阻碍的手段就是:数据加密。
作者系SafeNet公司技术经理 (责任编辑:韩建光) |