建立一套行动工作的安全策略
时间:2018-04-29 14:38 来源:网络整理 作者:墨客科技 点击:次
CNET科技资讯网7月26日国际报道 最近纷纷传出有关移动电脑安全性--其实正确说是不安全性--的新闻报道。某职员的笔记本电脑遗失或遭窃,造成数千笔或甚至数十万笔企业客户的身份信息暴露于险境,因为笔记本电脑里存有社会安全号码或信用卡号等敏感信息。这显然会给客户添麻烦,也有损公司的商誉。 这类事件日益增多,是因为移动运算(mobile computing)已成为当今商业界的家常便饭。有些事得尽快处理,不能总是等到我们回办公室才做,而且有时难免涉及机密信息。公司规模小的时候,必须带着电脑在外奔波或把公事带回家做的员工比较少。随着公司规模扩大,你会发觉愈来愈难掌控谁把什么信息存在哪个硬盘,以及信息的去向。 零容忍政策 部分安全专家提倡完全禁止在笔记本电脑上存储敏感信息的作法。最近美联社发自波士顿的一篇报道所引述的Gartner分析师,就采取这种立场。其背后的理论是:移动电脑使用者需要用信息时,可连线到集中存储信息的服务器。这种作法除了安全性之外,也解决另一问题:免除文件出现多重版本、彼此不一致的麻烦。可是,这么做真的比较安全吗 严禁把信息存储在笔记本电脑上的零容忍政策,固然让笔记本电脑窃贼比较不可能取得信息,但却可能产生其他的安全风险。必须连线到办公室服务器来处理信息的职员,很可能把虚拟私人网络(VPN)连线设定成随时可上线,也许把连线到办公室网络的身份信息都预先存好以便使用。这意味窃贼一旦能登入电脑,除了取得电脑主人先前处理的信息档以外,恐怕也能存取到该名使用者权限所能及的一切办公室网络信息--至少在职员回报电脑失窃、封锁原使用者帐户之前,窃贼是可以横行无阻的。 依照这种政策,使用者通常会先连上互联网,处理敏感信息时再通过VPN登入公司网络。他仍可能遭到外来的攻击,例如键盘侧录程序或屏幕撷取程序可能拷贝他处理的文件,并回传给黑客。这么一来,即使笔记本电脑片刻不离手,信息仍可能被偷。 或许最大的问题是,这种政策未必总是行得通。有时候,还是有必要把机密文件带出办公室。例如,假设主管身在没有网络连线之处,或没有其他方法能连上公司网络,却又急需存取信息,那么,在这种情况下,你该怎么做,才能防止敏感信息不会落入坏人手中 加密、加密、加密 大家都听过,买房地产最重要的考虑因素是:“地点、地点、地点”。同理,说到保护机密信息,务必铭记在心的金科玉律就是“加密、加密、加密”。如果你的使用者必须把敏感文件带出公司,问题就不是“他们该不该加密”,而是“他们该怎么加密” 若你用的是Windows 2000/XP/Vista操作系统,最简单的解决办法就是操作系统内建的加密文件系统(Encrypting File System;EFS)。不过,这有缺点。EFS用来让使用者一目了然,但这表示任何人只要能以该使用者的帐号登入,就能读取加密的文件。在缺省环境下,EFS把私密金钥(Private Key)存储在硬盘里,但你可把私密金钥输出、自硬盘删除,然后把它放入可卸除式硬件,与电脑分开携带,即可加强安全保护。 你也可要求使用者登入电脑前,先接受双重认证(two-factor authentication),让安全防护再添一层。换句话说,使用者不仅要提出身份认证信息(这部分窃贼也许能够破解),另外还得再提出智能卡、凭证(token),或指纹等生物测定(biometrics)特征。 另一解决办法,是用支持严密演算法的第三方加密产品。有许多软件程序可针对所选取的文件或整个磁盘进行加密。其中一部分软件也支持双重认证。有些笔记本电脑支持硬盘层级的加密,其中一些配备内建的指纹或智能卡解读器。 分散风险 就算使用者无法连上中央服务器存取敏感文件,那也不表示这些文件一定得存在笔记本电脑上。不使用时,把信息档存储在可拆卸式快闪记忆碟(USB flash drive)或可抹写式光盘上,并与笔记本电脑分开来摆(不只是与电脑机身份开,还要放在不同的箱子里),就能降低窃贼盗走信息的机率,因为他可能专挑你的电脑箱下手,而不是你的行李箱。 文件记得要redact 你还可以采取另一种预防措施,就是只把局部的记录拷贝到可卸除式磁盘。从文件中卸载敏感信息的动作称为“redact”。可以先做这道手续,再允许职员把文件携出公司。 (责任编辑:admin) |
- 上一篇:聚焦《网络安全法》立法
- 下一篇:MAP协议开启可信网络连接的新篇章