数据保护 怎样制订企业加密策略(1)

端到端加密策略必须考虑到数据从输入到输出以及存储的方方面面。加密技术分为五大类: 文件级或者文件夹级加密、卷或者分区加密、介质级加密、字段级加密及通信内容加密。它们可以按照加密密钥存储机制进一步来定义。

先来看看严峻的预测数字: 据美国隐私权信息交流中心称，美国有三分之一的人会在今年遇到以电子方式存储数据的公司丢失或者泄密个人身份信息的事件。不管这个数字是不是完全正确，反正公众知道的数据泄密事件多得惊人。

这该怪谁？当然要怪黑客和粗心大意的员工。但没有对机密数据进行加密的公司也应该对此负起责任。最终，公司必须对深远影响负责。没有保护机密数据，不但会威胁客户、破坏公司声誉，在某些情况下还是非法的。据GuardianEdge Technologies的营销副总裁Warren Smith声称，美国现有的20部隐私法中有16部要求加密以保护机密的消费者数据。

遗憾的是操作系统和应用软件开发商并没有让制订全面的加密策略变得简单、顺畅。现有的法律和准则往往彼此冲突，或者无法提供规范性指导。不过，需要存储敏感数据的所有公司都应当紧紧围绕全面加密策略，实施加密政策。

数据保护公司Iron Mountain的产品经理Stephen Roll说: “加密要始终如一地得到使用，就得在默认情况下进行实施; 而且得尽可能透明。比如说，如果我们通过因特网备份数据，数据传输之前就进行了加密。这样，数据在传输途中得到了保护，而且在传输到存储介质之前已经采用128位AES进行了加密。”

制订加密策略

用于确定个人、组织、公司或者实体身份的任何数据都应当保护起来，防止未授权者在创建、传输、操作及存储期间进行访问。如果机密信息在因特网等不可信的网络上进行传输，而且存放在便携式计算设备: 笔记本电脑、数据备份设备、USB闪存盘、PDA以及其他小巧的计算机设备上，尤其岌岌可危。

全面加密策略必须考虑到数据从输入到输出以及存储的方方面面。黑客越来越倾向于客户端攻击。黑客会诱使并不知情的合法员工安装特洛伊木马或者击键记录程序，然后他们就可以用来访问数据。某些恶意软件还能访问在网络上传输的数据。如果数据存放在网上或者物理归档，就有可能危及到安全。端到端策略必须对发送到业务合作伙伴和第三方的数据实行保护。

最简单的方法也要求在以下方面进行加密: 有线和无线网络传输线路、硬盘、软盘、CD-ROM、 DVD、备份介质（磁带和WORM驱动器等）、电子邮件、即时通信（IM）、对等技术、PDA、数据库、USB钥匙、密码和活动内存区域。

制订加密策略需要大量的审查和工作。最好把这看成是一个重大项目，让业务、管理和IT等部门的重要成员参与进来。先不妨把使用数据的重要利益相关者召集起来，解释项目任务。整个小组必须确定适用的法规、法律、准则及可能会影响到的采购及实施决策的外部因素。之后，再确认哪些是高风险方面，比如笔记本电脑、无线网络和数据备份设备。

如果攻击者可以直接访问机密数据而不必挫败任何加密技术，加密也就毫无用处。所以，成功的策略要定义强有力的访问控制方法，充分结合使用文件许可、密码和双因子验证。必须定期审查访问控制，确保有效性。

要调查不同的加密解决方案、阅读技术评论、联系对你有兴趣的厂商的客户。这方面没有什么方法比先试再买更重要的了，因为适用于一家公司的方案未必适用于另一家公司。最后，必须选择最适合自己公司的一种或者多种加密解决方案。

在部署之前，要拟订获得管理人员认可的成文策略，并且向最终用户传送策略和操作指导，这包括处理敏感数据的业务合作伙伴和第三方。如果他们无法满足公司的策略，而且证明了这一点，就无法获得你的数据。应当确定谁负责加密，并明确未遵守规定将承担什么后果。

不妨考虑实施监控及检测机密信息泄漏或者失窃的工具。策略应当总是包括这样的内容: 数据一旦丢失或者失窃，就要立即汇报重要的利益相关者进行评估。策略应当包括发现数据泄密事件时所要采取的特定步骤: 具体联系谁？联系速度多快？何时通知客户？谁来决定此事？如何决定？是否为客户提供免费的信用报告？所有这些问题应当事先都有答案。

虽然积极主动的数据销毁策略与加密关系不大，但也应当执行这项策略。今年多起尴尬的数据失窃事件就与数据本该早就销毁却没有及时销毁有关。如果数据不需要，就清除它——与之相关的风险就不会存在。好的策略明确了: 数据应当保存多久（从数据创建及获得开始算起）？应当如何保护及销毁？

优化加密技术

遗憾的是，没有哪一个加密产品可以保护数据的方方面面。有些厂商提供近乎完整的解决方案，但最终IT项目经理不得不组合多个解决方案。

加密产品分为五大类: 文件级或者文件夹级加密、卷或者分区加密、介质级加密、字段级加密及通信内容加密。它们可以按照加密密钥存储机制进一步来定义。

文件级加密可以逐个逻辑文件地保护数据。文件加密包括磁盘上文件和文件夹解决方案，以及密码保护的加密存档格式，譬如Pkzip。文件加密可以保护特定的文件，那样不大重要的文件就不会浪费加密及解密所必要的额外资源了。

文件级加密程序属于加密方案最成熟的产品，它们往往使用同样可靠的基本标准协议，比如三重数据加密标准（3DES）、高级加密标准（AES）、Diffie-Hellman、Blowfish和随机调度算法（RSA）。操作系统层面往往就有文件加密机制。微软有加密文件系统（EFS），Mac OS使用FileVault。操作系统层面的加密在面对新的便携式介质类型或者跨外来卷分区进行加密时往往存在问题，所以应用层文件加密解决方案也就应运而生。最流行的解决方案是由PGP开发的。它分为开放源代码和商用两种版本。

文件夹级加密产品可对整个文件夹里面的内容进行加密，比如Windows的My Documents目录或者Linux或Mac用户的主目录。要注意: 许多看似文件夹加密产品的方案其实不是把整个文件夹加密成一个对象，而是逐个加密文件夹里面的每个文件，使用针对特定文件的加密密钥，或者文件夹主加密密钥，或者两者都使用。比如说，微软的EFS使用其自己的独特的对称密钥来加密每个文件（即使整个文件夹被