· 在机密数据被移动或者保存到安全控制措施不足的区域时,公司是否部署了全面的监视和警告解决方案?
· 是否建立了针对打印机和传真机的安全使用管理策略?
· 对于废弃的纸质文件表单、报告和其它包含机密数据的印刷品,公司是否提供了安全的处理方式?制约安全处置的是策略和管理层的执行情况么?
· 对于电子和光学介质的处理,公司是否有专门的措施?制约安全处置的是策略和管理层的执行情况么?
· 公司是“通过电子表格进行管理的”么,大量的机密数据处于共享状态,或者分散保存在很多没有备份或者容易遭到盗窃的区域?
· 对电子邮件的内容是否进行监测,在发现机密数据位于潜在不安全的介质上处于共享状态时是否会发出警告。
不过,微软提供的官方文档、常识和认知让我们认识到,就是,不管建立了什么样的限制措施,用户总会找到方法将数据保存到移动存储设备中。这时间加密技术就可以提供帮助了。
作为后续控制措施的加密技术
首先,让我们认识到这一点。加密是防止出现泄露的后续控制措施。安全的基本原则就是,只有在正常没有出现问题的时间才需要保护。因此,加密作为一种信息保护的解决方案,毫无疑问绝对必须位于笔记本计算机和USB驱动器等设备中。
对于存储设备上的数据来说,有两种加密的方式:按照文件或文件夹进行单独处理,或者对整台设备进行全面处理。文件或文件夹的处理方式通常需要使用者将信息保存到部分加密设备的正确位置,或者加密复制的文件。依靠使用者进行处理从来都不是一个好主意。
如果你部署了基于主机的DLP,就应该考虑选择一种产品,可以自动将对在本地存储设备中找到的机密信息进行加密或者将移动存储设备链接到主机上。
我首选的模式是对整台设备进行加密,为保护笔记本计算机,强制执行开机前验证(PBA)规则。在Windows7企业版中,利用驱动器加密工具Bitlocker很容易做到这一点。不过,对于大型公司来说,通常需要更好的方法来管理全盘加密的笔记本计算机。
安全经理在选择适用于本公司的笔记本计算机加密解决方案时,应考虑到下面列出的几个问题:
· 密钥管理。如果你希望使用者在忘记密码后,还可以访问加密信息,或者在使用者离开公司后,还可以访问笔记本计算机中的关键信息的话,对密钥进行集中管理是非常,非常重要的。
· 密码重置管理。只有在完美的世界里,使用者才会永远记住自己的密码。不过,我们还没有发现这样的世界。因此,确保选择的加密解决方案中提供了帮助使用者随时随地进行密码重新设置的功能是非常重要的。通常情况下,代码交换是通过无法访问的笔记本计算机和加密支持应用完成的。
· 性能。将应用程序与所有的潜在加密解决方案进行测试。做到这一点的最佳方式就是先进行小规模的试点。全盘加密对性能一定会产生影响的。但是,它不应该导致使用者向你发邮件表示抗议。
· 成本。除了采购和部署成本职位,企业加密方案中经常会出现隐藏的软性成本。在购买之前,你应该与其它使用者就解决方案进行探讨。需要多少全职员工(FTE)来进行管理并为软件和相关基础设施提供技术支持?
· 密码策略。最后,确保选择的解决方案提供的密码策略可以支持利用活动目录或者其它身份验证机制。实际上,不论是PBA密码还是AD密码的更改,都可以改变对方。请记住,全面加密技术最大的弱点之一就是弱密码。不过,如果攻击者猜到了密码,你的加密技术有都强大就不重要了。强密码支持的生物识别技术扫描仪可以在笔记本计算机的数据和攻击者之间建立一道高墙。
结论
毕竟,对笔记本计算机和其它移动存储设备进行加密不是一种选择。所以,如果你已经实施了反数据泄漏控制措施的话,我不建议你放弃加密措施。毕竟,如果信息暴露得更少的话,数据泄露的风险也会大幅降低。
在部署加密措施的时间,一定要与包括商业用户在内的所有相关人员进行沟通。对移动设备进行加密处理会导致工作复杂性的上升,从而降低员工的幸福感。因此,一定要着眼于确保将对业务影响的复杂性降到最低。