确保移动数据安全

　　编者按：随着移动设备在企业应用的日益广泛，企业需要对这些设备进行有效管理，以控制成本、限制安全风险。几年前，一项有限的支持策略可能就足够了，而如今IT部门则必须更加积极地配置、支持及管理这些设备。由于许多员工使用自己的设备来存储公司信息，或是忽视公司制定的移动使用政策，所以许多公司往往无法控制设备、存储在上面的信息以及保护信息的方式。

　　事实上，未加管理的移动设备正成为企业最严重却往往被忽视的安全威胁之一。对于企业来说，当前的重点是应该结合日益增长的移动需求，制定合理的安全政策，并使用落实这些政策的相关技术。那么，移动设备管理中有哪些风险？该如何制定移动设备的管理策略？该如何对移动数据进行加密？该如何让手持设备远离恶意软件困扰？针对相关问题，本期“移动数据保护”专题将进行一一解答。

　　谁都想对离开办公室的数据进行加密，但什么才是最佳方法？企业又该如何制定加密策略呢？

　　两次侥幸脱险改变了Rob Israel的态度，他现在正考虑对员工笔记本电脑上的数据进行加密。

　　几年前，在总部设在美国菲尼克斯的医院集团John C. Lincoln Health System（Israel在该公司担任CIO），一台笔记本电脑在一名员工的办公室中被人偷走。这台笔记本电脑中可能含有财务信息，更糟糕的是，也可能还含有病人信息。不过对Israel来说幸运的是，那台笔记本电脑是全新的，里面还没有什么数据。但这次失窃加上早些时候一台PC从办公场所被盗（导致非关键数据丢失），促使Israel重新考虑公司的安全策略。

　　在如今的工作场所，不可能消除的移动计算设备正不断出现：笔记本电脑、拇指驱动器、移动电话、PDA和iPod播放器。如果你平时关注新闻，就知道好多家组织已经发生了移动设备丢失或者失窃的事件，其中有许多组织没有Lincoln Health公司那么走运。自美国加州在2002年颁布了数据泄密通知法后（另外32个州也仿而效之），已经传出了一大批披露电脑丢失的尴尬事件，最近的受害者就有美国退伍军人事务部、美国联邦贸易委员会、美国交通运输部、会计师事务所德勤、富国银行、荷兰国际集团、富达投资公司、基督教青年会和雪佛龙公司等。

　　美国大约有一半以上的州的安全泄密报告法让组织有了避免披露这种事件的办法：在移动设备上使用加密。其他州的泄密报告法鼓励使用机密，其他隐私保护法也是如此，譬如面向财务信息的联邦《金融服务现代化法案》以及面向医疗信息的《健康保险可携性及责任性法案》。航空设备承包商诺思洛普·格鲁曼公司的副总裁兼首席信息安全官（CISO）Tim McKnight说，正因为可以避免重要数据丢失引起的处罚及其他成本，才完全值得为加密策略投入精力。他强调：“加密计划让我们避免了丢失的三台笔记本电脑带来的处罚及成本，从而收回了投资。”

　　不过对移动设备上的数据进行加密并非易事。CIO和CISO们已发现，虽然对笔记本电脑上的硬盘进行加密的技术相当简单、易于部署，但加密技术对其他移动设备的安全还不是很可靠，尤其是在保护移动介质和手持设备上的数据方面。这就是为什么已采用加密技术的安全主管要使用其他技术和管理手段来保护移动数据。

　　选择全盘加密

　　实施加密策略时要做出的第一个决定是，使用全盘加密还是基于文件的加密？因为Windows XP本身内置了基于文件的加密功能（Linux和Mac OS X也是如此），人们忍不住想使用这项“免费”技术。在特定的PC文件夹（如“我的文档”）里面存储的任何数据都能自动进行加密。但这种方法有一个严重的安全缺点：它需要依靠用户把文件放到加密文件夹中。

　　“另外，微软的加密不可靠，也没有良好的管理方案可供企业选择。”诺思洛普·格鲁曼公司的McKnight说。技术咨询公司Cryptography Research加密部门的首席科学家Paul Kocher说：“它很难管理，也很难与备份软件兼容。”虽然微软承诺即将推出的Windows Vista拥有更可靠的安全级别，但 Kocher建议：“考虑到微软的产品向来存在安全漏洞，不要完全相信这种承诺。”

　　另一种选择是全盘加密，这可以保护硬盘上的所有内容。如果使用这种方法，就不会有不知道哪些数据真正进行了加密的情况。为金融机构提供电子交易服务的eFunds公司的安全主管Kim Jones说：“这样一来，人们就不必判断哪些数据经过加密、哪些没有加密，所以我可以告诉监管部门整个盘都经过了加密。”

　　用户当中普遍存在的不安是，全盘加密会导致笔记本电脑性能下降。幸好，在过去三年左右生产的笔记本电脑都拥有进行全盘加密的功能，所以“从用户角度来看，不存在性能受到影响的问题”。Jones说。不过McKnight却认为，性能下降能感觉得到，但不大明显。他说，最明显的地方是系统启动时以及笔记本电脑处于休眠时。

　　包括PGP、Pointsec和GuardianEdge Technologies在内的几家公司提供企业级全盘加密软件，安装后可以使用标准工具来管理，而且与备份软件和口令管理系统兼容。研究公司伯顿集团的高级分析师Eric Maiwald建议，企业应当测试任何加密软件，确保它与自己的管理工具兼容。他们应当有一款工具对用户口令和安全存储库进行同步，万一IT人员需要访问笔记本电脑（譬如说员工忘了系统口令、身体受伤或者离开公司）。McKnight建议采取另一项防范措施：在采用加密之前，先对硬盘进行测试，因为最初的加密可能会给本身有问题的硬盘带来压力，从而导致出故障。虽然诺思洛普·格鲁曼公司加密的35000台笔记本电脑很少出现这个问题，但确实也出现过类似现象。

　　弥补致命缺点

　　如果说全盘加密有什么致命缺点，那就是需要有用来访问硬盘的口令。如果用户处理文件，全盘加密软件就会在文件打开时进行解密，然后在文件保存时重新加密。要是口令很容易被猜中，或是写在纸上、贴在笔记本电脑上，窃贼就完全可以访问硬盘上的数据，那样加密机制也就失去了意义。Maiwald说：“如果允许使用很弱的个人身份识别号（PIN），用不用加密就无关紧要。”

　　西北太平洋国家实验室是美国能源部下属的一家研究机构，该实验室的CIO Jerry Johnson说，如果数据特别重要，就需要口令结合硬件令牌形成双因子验证。

　　Cryptography Research的Kocher说，笔记本电脑还应设置成未使用就超时退出，那样在重新输入正确口令之前无法使用。他强调，关键在于超时时间的合理设置。重新输入口令越频繁，窃贼就越容易在公共场所（譬如酒店大堂）从身后偷看到口令；而重新输入越不频繁，笔记本电脑无人看管时，坏人能访问数据的时间也就越长。Johnson说，大多数情况下可以把超时时间设成几分钟。

　　恶魔般的设备

　　存储在笔记本电脑上的数据显然比较容易受到有效的保护，但三种常见情况却让最可靠的加密机制变得不知所措：USB驱动器（包括iPod和拇指驱动器）、可记录CD和DVD驱动器，以及电子邮件。

　　在这三种情况下，数据转移到这些介质上时被解密，因为拷贝数据到外部设备上的目的通常是，把它提供给可能没有同样加密工具的系统。虽然通过网络加密以及能够检查电子邮件内容的管理工具，可以确保电子邮件的安全，但其他移动介质的防护却比较困难。

　　Stillwater国民银行信息系统部门的助理副总裁Jacob Mays说，最简单的办法就是在企业的笔记本电脑上不提供CD或者DVD刻录机。即便是这样，USB驱动器依然让组织感到比较棘手。保护外部存储设备有两个基本方法：禁止使用，或者使用实行加密的软件，那样这些设备就可以如同内部硬盘一样。

　　Johnson半开玩笑地说：“你可以往电脑的端口里面灌胶水，说实话，我们也考虑过这办法。”

　　虽然有些厂商提供经过加密的拇指驱动器，但只有使用它们的硬件，加密才会起作用。所以用户只要自己买来拇指驱动器，就可以避开安全机制。Cryptography Research的高级技术主管Nate Lawson说，虽然Windows XP让IT人员可以设置策略，启用或者禁用整批设备，包括拇指驱动器，但无法区别这是获得批准的设备还是未经批准的设备。CISO们需要考虑使用第三方产品，譬如Safend、SecureWave和Trigeo的产品。

　　位于美国田纳西州和密西西比州的医院集团浸信会纪念保健医院就使用Safend公司的软件，以防止未经授权的外部驱动器。该公司还让USB驱动器厂商金士顿科技公司为其开发对驱动器上的内容进行加密的软件。桌面管理主管Lenny Goodman说，这家医院集团还记录了传送到这些设备上的所有文件，目的是为了确认谁从安全的笔记本电脑拷贝数据。

　　伯顿集团的分析师Maiwald说，比较简单的办法是，对笔记本电脑的外部驱动器同样实行基于磁盘的加密。他预计，随着厂商们升级产品，这项功能会得到广泛应用。譬如，西北太平洋国家实验室办公室自动化和协作服务部门的经理Kevin Piatt说，该实验室正在物色能保护USB驱动器的加密软件。

　　可怕的手持设备

　　通过加密技术最难保护安全的设备恐怕莫过于手持设备了。Kocher说，大多数手持设备缺乏使用全盘加密的功能。他说，虽然市面上有了针对这些设备的加密软件，但通常缺乏应有的可靠性，或者会影响通信功能，譬如通话功能。Kocher说：“市面上PDA的版本不一，因而安全厂商无法提供完整的PDA解决方案。”所以，如果IT部门想支持诸多设备，就必须安装及管理诸多软件。

　　这就是为什么eFunds、Lincoln Health、太平洋西北国家实验室和Stillwater银行都禁止应用手持设备使用电子邮件及存储企业数据。诺思罗普·格鲁曼公司也不允许大多数部门使用手持设备。为了确保这些设备的安全性，诺思罗普·格鲁曼的大多数业务部门都禁止手持设备使用电子邮件，并且使用管理工具，一旦手持设备连接到诺思罗普·格鲁曼的PC或者网络上，就对文件进行加密。

　　对所有这些组织而言，手持设备是不安全的，但有一个是例外——BlackBerry。它随带了极其可靠的全盘加密以及电子邮件加密功能，更不用说远程管理特性了，譬如IT部门能够清除失窃或者丢失的设备上的内容。

　　爱上数据中心

　　要保护移动设备上的数据，最简单的办法就是，首先不要把数据存放在上面。Kocher建议：“人们对自己的数据在何处、谁可以访问要有控制。”他问：“为什么人们要把这些数据放在笔记本电脑上呢？”伯顿集团的Maiwald建议，企业应尽可能采用远程访问工具，那样数据永远不会离开数据中心的控制范围。

　　许多CIO和CSO不是没有记取这个教训。虽然笔记本电脑变得更便宜，已成为许多公司的标准PC，但McKnight却认为，这其实是个错误。不止他这么认为，安全主管Jones也说，在eFunds只有10%的用户（通常是公司主管、销售人员和IT人员）才有笔记本电脑，从而减少了需要管理的对象。Goodman强调，为了降低风险，美国浸信会纪念保健医院的6000余台PC中只有几百台笔记本电脑。Lincoln Health的Israel说：“我们已大大减少了笔记本电脑和便携设备的数量。”

　　不过，对于那些确实需要笔记本电脑的用户来说，对移动介质实行全盘加密及管理是确保数据安全的有效方法。Israel说：“现在市面上就有技术，而且不是很昂贵，你只要使用就行。”