【IT168专稿】现今上班族的战场并不局限于办公室,随时随地工作是其日常生活写照,因此他们通常随身携带一系列"武器"——笔记本电脑、手机、PDA、U盘等,这些设备存储大量敏感商业资料及信息,一旦遗失或被盗窃,后果不堪设想。Check Point 表示,移动办公是现今不可逆转的趋势,要商业人员减少使用移动IT设备是不现实的,治本的方法是协助他们加强数据安全,精确地说,是使用严谨的加密技术配合访问控制技术,令移动IT设备即使失窃,其存储的数据也会"守口如瓶"。
移动办公带来数据泄漏隐患
信息技术市场调研公司Gartner在2006年曾进行一项关于数据被窃的调查,发现被访者中,只有25%的个案是源于不法之徒的恶意攻击,然而有60%却是由于移动设备丢失或被窃。根据美国运输安全局提供的报告,一部被偷的电脑将可能导致丢失超过10万条个人信息。
Check Point在2007年6月对200名企业IT管理高级人员进行了一项《公司员工及数据安全》意见调查,尽管它是在欧洲市场进行,其结果对中国、甚至亚洲地区也具备相当参考价值。该项调研的结果摘要如下:
1、尽管74%的企业制定了政策,规定员工不允许把数据带出公司的范围以外,然而85%的被访者表示,他们能容易地下载公司的机密数据,甚至把这些信息带往下一份工作。
2、81%的被访者会把档案下载带回家继续工作,其中U盘是最常用的存储设备(33%),而表示会选择手提电脑的为14%。
Check Point北亚区区域销售总监叶青阳表示:"移动设备令数据暴露的安全风险提高,其中最大的原因是IT系统管理人员还没有针对移动设备调整其安全保护策略。例如Check Point于2006年在欧洲曾对IT人员进行一项意见调查,76%的被访者表示他们从没有采取任何行动确保存储在USB设备中的数据的安全。"
叶青阳表示,使用加密技术将有效减少移动设备在失窃时的数据风险。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据,通过使用不同的密钥,可用同一加密算法将同一明文加密成不同的密文。当需要时,用户需要输入独特的身份识别证明,才能访问存储于移动设备中的数据。
身边的例子
全球知名咖啡连锁店星巴克公司四部笔记本电脑被窃,其中两部储存有约六万名现职及前任雇员的个人资料,包括姓名、地址及社会福利号码等,和过去三年的数据纪录;另外还有八十名加拿大员工及外判商的数据。
在此之前,富达投资公司一台笔记本电脑失窃,导致其客户惠普公司的19.6万现有员工和以前员工的相关资料,包括员工姓名、地址、社会保险号、生日和其他一些与员工有关的资料泄漏。
这两起较大规模的信息泄漏的焦点无不例外的集中在移动办公设备丢失这件事上。
一直以来,笔记本电脑凭借优越的移动便携性成为商务用户移动办公的首选产品,随着近几年笔记本电脑价格的下滑,越来越多的用户将笔记本电脑替代台式机作为办公设备,在享受笔记本电脑带来便捷应用的同时,笔记本电脑的安全问题也逐渐暴露出来。笔记本电脑的便携性让它在公共场合频繁出现,进而增加了笔记本电脑丢失的几率。
作为办公工具,笔记本电脑上存储的资料往往涉及个人的隐私以及商业秘密。一旦丢失,就意味着这些处于未保护状态的信息随时可能丢失,直接造成各种经济损失。据资料显示最近几年中,大约发生了几百起这类笔记本丢失导致大规模数据泄漏的安全事件,共有近8000万的个人档案被泄露,造成经济损失难以估算。
其实一直以来,笔记本电脑厂商也在安全问题上一直努力,在自己的产品上采用了各种各样的保护措施,包括安全锁、智能卡、指纹识别、文件加密等等。其实我们都知道这些防护手段只能有限度得阻止笔记本电脑被盗,对于“有心”的盗贼来说这些手段还是不能阻挡他们的毒手。如果阻挡不了盗贼的黑手,那就一定要保证存储上面的信息资料的不被泄漏,这就得需采用数据加密、密码保护等先进的安全措施对它们进行保护。
目前大多数笔记本电脑产品都采用了身份识别系统等加密措施,为笔记本电脑提供不同程度的密码保护。不过这些保护措施安全级别还不能完全达到用户的要求,且多数依靠软件加密不能对文件实施及时的加密保护,没能实现高安全性、高易用性的应用标准。
数据加密的几种算法
对称加密算法
对称加密算法是应用较早的加密算法,技术成熟。在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。
在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是,交易双方都使用同样钥匙,安全性得不到保证。
此外,每对用户每次使用对称加密算法时,都需要使用其他人不知道的惟一钥匙,这会使得发收信双方所拥有的钥匙数量成几何级数增长,密钥管理成为用户的负担。对称加密算法在分布式网络系统上使用较为困难,主要是因为密钥管理困难,使用成本较高。在计算机专网系统中广泛使用的对称加密算法有DES、IDEA和AES。
传统的DES由于只有56位的密钥,因此已经不适应当今分布式开放网络对数据加密安全性的要求。1997年RSA数据安全公司发起了一项“DES挑战赛”的活动,志愿者四次分别用四个月、41天、56个小时和22个小时破解了其用56位密钥DES算法加密的密文。即DES加密算法在计算机速度提升后的今天被认为是不安全的。
AES是美国联邦政府采用的商业及政府数据加密标准,预计将在未来几十年里代替DES在各个领域中得到广泛应用。AES提供128位密钥,因此,128位AES的加密强度是56位DES加密强度的1021倍还多。假设可以制造一部可以在1秒内破解DES密码的机器,那么使用这台机器破解一个128位AES密码需要大约149亿万年的时间。(更深一步比较而言,宇宙一般被认为存在了还不到200亿年)因此可以预计,美国国家标准局倡导的AES即将作为新标准取代DES。
不对称加密算法
不对称加密算法使用两把完全不同但又是完全匹配的一对钥匙—公钥和私钥。在使用不对称加密算法加密文件时,只有使用匹配的一对公钥和私钥,才能完成对明文的加密和解密过程。加密明文时采用公钥加密,解密密文时使用私钥才能完成,而且发信方(加密者)知道收信方的公钥,只有收信方(解密者)才是唯一知道自己私钥的人。不对称加密算法的基本原理是,如果发信方想发送只有收信方才能解读的加密信息,发信方必须首先知道收信方的公钥,然后利用收信方的公钥来加密原文;收信方收到加密密文后,使用自己的私钥才能解密密文。
显然,采用不对称加密算法,收发信双方在通信之前,收信方必须将自己早已随机生成的公钥送给发信方,而自己保留私钥。由于不对称算法拥有两个密钥,因而特别适用于分布式系统中的数据加密。广泛应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA。以不对称加密算法为基础的加密技术应用非常广泛。
不可逆加密算法
不可逆加密算法的特征是加密过程中不需要使用密钥,输入明文后由系统直接经过加密算法处理成密文,这种加密后的数据是无法被解密的,只有重新输入明文,并再次经过同样不可逆的加密算法处理,得到相同的加密密文并被系统重新识别后,才能真正解密。显然,在这类加密过程中,加密是自己,解密还得是自己,而所谓解密,实际上就是重新加一次密,所应用的“密码”也就是输入的明文。
不可逆加密算法不存在密钥保管和分发问题,非常适合在分布式网络系统上使用,但因加密计算复杂,工作量相当繁重,通常只在数据量有限的情形下使用,如广泛应用在计算机系统中的口令加密,利用的就是不可逆加密算法。近年来,随着计算机系统性能的不断提高,不可逆加密的应用领域正在逐渐增大。在计算机网络中应用较多不可逆加密算法的有RSA公司发明的MD5算法和由美国国家标准局建议的不可逆加密标准SHS(Secure Hash Standard:安全杂乱信息标准)等。
企业移动安全策略七点建议
Check Point北亚区区域销售总监叶青阳表示:“用星星之火、可以燎原来形容U盘对企业带来的数据安全威胁是十分贴切的。U盘体积小巧,不容易被察觉,也容易丢失,无论是基于故意或无意的行为,它也会轻易地把企业的数据外泄,这个安全的薄弱环节必需堵截解决。”
为此,我们总结了企业制定移动安全策略的七点建议。
1.教育所有员工,让他们明白非法下载公司机密及敏感信息的安全和法律责任。
2.把所有移动设备的管理工作纳入公司的安全政策之中。
3.规定所有员工必需签署保密协议,要他们白纸黑字同意不会未经授权下载公司机密及敏感信息,同时不会把这些信息带往下一份工作。此外,公司必需确保使用合适的安全软件,强制执行这项政策。
4.如果有不想被下载的敏感信息,那么必需在电脑端点以高效、卓越性价比的软件阻截非法下载。
5.保证所有连接公司网络的U盘皆受加密处理。
6.使用加密软件,必需确保员工不能轻易破解加密保护,但同时它也不会大幅度提高用户使用设备的难度。
7.有效的公司安全政策必需得到员工的全面支持,因此除了确保安全技术到位,对员工进行教育、充分了解其工作需要及给予合理程度的信用是取得成功的基石。
目前,Check Point的Pointsec PC 、Pointsec Mobile 及Pointsec Protector均结合了加密及访问控制技术,为个人电脑、手机、U盘等移动设备提供数据安全保护,此等安全软件提供的保护包括整个磁盘加密、端口管理及移动媒介加密等。此外,Check Point的SmartCenter为Pointsec系列提供集中加密政策管理,减轻IT系统管理人员的工作负担。
