企业安全:数据加密给企业带来了什么

ZDNet安全频道 原创翻译 合作网站如需转载请注明ZDNet安全频道:http://security.zdnet.com.cn/

作者：詹姆斯·史都华
 

    詹姆斯·史都华律师警告广大企业用户，尽管数据加密技术看上去很美好，但如果将所有的希望都寄托在它身上，后果可能是不堪设想的。

    本月初，威斯敏斯特的人权联合委员会对政府提出了批评，起因是由于政府的“宽松的法律”导致两千五百万儿童福利记录的丢失。它呼吁对所有数据进行加密，并禁止通过邮递进行散发以保证个人信息的安全。

    在英国皇家税务与海关总署数据丢失事件发生以后，政府已指示所有部门对笔记本电脑进行加密，并要求通信电子安全部门应用新的安全标准。

    所有这一切措施的基础，是假定数据加密是完全可靠的，可以防止数据丢失。但是，实际上对于任何一个问题，总是存在可以解决的办法。

    数据丢失事件对于企业来说也是发生过的，绅士服零售商TK Maxx就曾经丢失过四十五多万个客户的信用档案。这让企业也从信息安全保护中学到了很多东西。

    特别是，该公司的行为违反了确保数据机密性的相关法律。该法强调了，不仅个人信息，而且所有形式的商业上的敏感信息都需要进行安全保护以防止数据丢失。

    很多人都将会知道，按照数据保护法的第七项原则的要求，现在企业必须采取适当的技术和组织措施，以防止意外的数据丢失。

    但是由于缺乏指导，这意味着在实际操作过程中，很多企业并不明白如何对数据进行保护，自己的义务是什么样的。

    作为信息安全政策的要求，企业有义务对所有的资料进行包括加密等措施在内的安全保护。

    加密可以保证数据不被了解，在使用者不具备相应的解密手段的前提下。它可以根据不同级别的安全要求和信息的不同使用方式，采取不同的加密方式。

    如果可以作为整体政策的解决方案的组成部分而得到合理地应用，它不会带来繁琐的间接成本。

    但不幸的是，不论技术怎么发展，安全策略怎么合理，人的因素始终是安全保护中的薄弱环节。

    成功的数据加密，确实可以保护机密数据的安全性。最近发生在在线拍卖网站易趣上的事件就充分证明了这一点。尽管保有数据的笔记本电脑被出售了，但由于光盘中的数据被加密了，因此对于购买者来说，数据毫无意义。

    由于加密带来的对专业技能的要求，可以保证一定程度的数据安全，让一般人不能从丢失的数据中得到相关的信息。

    不过，对于警察和其他执法机构来说，数据加密也带来了新的问题。

    值得指出的是，包括恋童癖者和恐怖分子在内的罪犯已经开始使用加密技术保护电子邮件和数据安全。

    因此，政府要求更长时间的预保护拘留期限，以便对加密数据进行分析，找出证据以进行起诉。

    为了未来的信息安全，我们应该怎么做？最近发生的数据丢失事件，让公司和个人敏感信息的保护，毫无疑问地成为当前的焦点。

    从另一方面讲，尽管我们需要保护信息的安全，但也必须把信息提供给合法的需要者。

    因而，可以明确的是，在当前的信息时代，光靠技术对数据进行使用，监护，检索和陈述是远远不够的。

    尽管可能会遇到很多破坏，但新的公司行为与个人资料保护法将会将信息安全向正确的方向推进，以最终实现确保数据安全的目标。