現在像USB閃存這樣的個人存儲設備功能已經非常強大了,它們在各種各樣的企業中開始普遍存在。這些設備本來是作爲消費級應用的產品,因此普遍缺乏安全,控制以及輔助管理工具。很多僱員不假思索地用着他們從本地的辦公用品中心買來的那些簡陋的存儲設備,把工作帶回家或者帶出工作場所。數以百萬的人們帶着個人存儲設備,因此這些無辜的小工具就被用來擴大惡意攻擊的影響力,以及其他非法企圖比如從企業竊取信息等。
即使人們很謹慎地使用這些設備,存儲在USB硬盤中的數據也沒有被包含在公司的一些常規手續之內,比如備份,加密或者資產管理。那麼如何能夠追蹤通過這些設備進出公司的數據呢?在這種情況下,保護公司數據的安全對任何公司的IT部門來說都是一個極大的挑戰。
近期一些事件
近期業內的一些事件已經引起人們的關注,致使IT專家們認識到必須使用新的策略和技術來保護存儲在個人存儲設備中的信息了。
如下是發生在哪些把信息帶回家的人身上的一些事情:
肯塔基大學的一位教授發現他的閃存被偷了,於是他以前的6500名學生的隱私信息就處在了危險之中。這些數據種包含學生的名字,年紀以及個人社會安全碼,它們將導致數千人處在身份竊賊的威脅之中,更不用說他們那被侵犯的隱私了。
阿富汗Bagram城外的集市上,有人出售帶有機密軍事信息的閃存。美軍這才意識到他們得保護USB硬盤的數據安全,找出能夠跟蹤這些設備的方法,並且確保重要信息不被未經授權的員工訪問。
安全提示
如果僱員將公司的信息存儲在無保護的個人存儲設備上,那麼他們一出門就將公司置於風險之中。審計公司會面臨賬單信息泄漏的風險,而如果病人的信息落入壞人手裏,醫院就遭殃了,還有財務公司也需要確保機密數據不丟失。一旦公司數據落入壞人手中,毋容置疑公司將面臨極大的風險與威脅。公司會失去信譽,捲入訴訟糾紛,以及致使僱員遭受身分信息被竊或者上當受騙——等等一系列的麻煩。
個人存儲設備的風險可以劃分爲如下幾點:
由於設備丟失或者被竊而導致的數據泄漏
未經許可的數據提取
引入惡意代碼
企業關注USB設備的漏洞
市場上有數以百萬種USB存儲設備,機密的公司數據一直在此間流動——同時面臨丟失或被竊的風險。敏感的公司數據丟失所導致的潛在損失每天在呈幾何級數倍的增長,這種情況使人們越來越強調採用針對移動存儲設備的恰當安全措施的必要性。如下是跟移動存儲設備相關的一些主要的安全問題:
數據泄漏——爲了使數據泄漏的風險最小化,企業應當限定員工只使用公司認可的USB設備。
規章制度——所有組織都應當確保他們遵循了政府以及安全規章制度——比如SOX, HIPAA, GLB, California SB 和 FISMA——以便降低數據丟失的可能性。首先,他們要做的是建立明確的安全策略,將該策略在員工中公佈並且通過使用監聽,追蹤以及備份移動設備上的所有技術等手段來加強這些策略。
數據丟失和技術支持開銷——儘管採用了數種措施,公司的數據還是有可能被弄丟或者被竊,從而致使企業不得不努力減小損失。提供公司認可的USB設備這種方法能夠使公司在恢復丟失的數據以及降低損失活動中佔居主動位置。
可行的方案
企業怎樣做才能加強其針對個人存儲設備的安全措施呢?人們使用了許多種硬件及軟件方案,從數據加密到認證,防毒軟件,以及其他監視選項。
確實,人們可以採取幾種解決方案,比如封閉端口,給存儲設備加密以及對數據進行軟件加密;但是這些方案都沒有解決關鍵問題:沒有提供針對大多數可刪除設備的全面安全方案。
保護個人存儲設備的7步
以下這些步驟將幫助你的公司保障個人存儲設備的安全,無論在不在網絡中。
1.總是定義並公佈公司關於個人存儲設備的策略。
2.由公司發放個人存儲設備。
3.確保那些設備是完全加密的。
4.確保用戶無法避開安全措施。
5.維持對存儲在設備上的數據的監聽。
6.有能力修復個人存儲設備上的數據。
7.確保公司的方案是足夠全面的,也就是說它使你能夠在安全的USB硬盤上存儲數據,能夠在公司內部和外部環境中控制所有可刪除設備的使用,並且能夠集中管理公司發放的USB設備。
當今商場上,移動存儲設備的價值可以說是不言而喻的。同樣很明顯的是,公司應當主動將這些設備整合的它們的存儲和安全策略中。採取恰當措施,包括選擇可以同時保護和監視數據的技術,提出遵循有關規章的強有力的數據保護策略,確保員工使用的是企業提供的存儲設備等等,這樣,企業就可以保護他們的數據的安全了。
M-Systems將於Infosecurity Europe 2007中展示,這個歐洲頂級的專注於信息安全的活動將於2007年4月24-26日在倫敦舉行。
