怎樣制訂企業(yè)加密策略

申請免費試用、咨詢電話：400-8352-114

端到端加密策略必須考慮到數(shù)據(jù)從輸入到輸出以及存儲的方方面面。加密技術(shù)分為五大類: 文件級或者文件夾級加密、卷或者分區(qū)加密、介質(zhì)級加密、字段級加密及通信內(nèi)容加密。它們可以按照加密密鑰存儲機制進一步來定義。

先來看看嚴峻的預(yù)測數(shù)字: 據(jù)美國隱私權(quán)信息交流中心稱，美國有三分之一的人會在今年遇到以電子方式存儲數(shù)據(jù)的公司丟失或者泄密個人身份信息的事件。不管這個數(shù)字是不是完全正確，反正公眾知道的數(shù)據(jù)泄密事件多得驚人。

這該怪誰？當然要怪黑客和粗心大意的員工。但沒有對機密數(shù)據(jù)進行加密的公司也應(yīng)該對此負起責任。最終，公司必須對深遠影響負責。沒有保護機密數(shù)據(jù)，不但會威脅客戶、破壞公司聲譽，在某些情況下還是非法的。據(jù)GuardianEdge Technologies的營銷副總裁Warren Smith聲稱，美國現(xiàn)有的20部隱私法中有16部要求加密以保護機密的消費者數(shù)據(jù)。

遺憾的是，操作系統(tǒng)和應(yīng)用軟件開發(fā)商并沒有讓制訂全面的加密策略變得簡單、順暢。現(xiàn)有的法律和準則往往彼此沖突，或者無法提供規(guī)范性指導(dǎo)。不過，需要存儲敏感數(shù)據(jù)的所有公司都應(yīng)當緊緊圍繞全面加密策略，實施加密政策。

數(shù)據(jù)保護公司Iron Mountain的產(chǎn)品經(jīng)理Stephen Roll說: “加密要始終如一地得到使用，就得在默認情況下進行實施; 而且得盡可能透明。比如說，如果我們通過因特網(wǎng)備份數(shù)據(jù)，數(shù)據(jù)傳輸之前就進行了加密。這樣，數(shù)據(jù)在傳輸途中得到了保護，而且在傳輸?shù)酱鎯橘|(zhì)之前已經(jīng)采用128位AES進行了加密?！?

制訂加密策略

用于確定個人、組織、公司或者實體身份的任何數(shù)據(jù)都應(yīng)當保護起來，防止未授權(quán)者在創(chuàng)建、傳輸、操作及存儲期間進行訪問。如果機密信息在因特網(wǎng)等不可信的網(wǎng)絡(luò)上進行傳輸，而且存放在便攜式計算設(shè)備: 筆記本電腦、數(shù)據(jù)備份設(shè)備、USB閃存盤、PDA以及其他小巧的計算機設(shè)備上，尤其岌岌可危。

全面加密策略必須考慮到數(shù)據(jù)從輸入到輸出以及存儲的方方面面。黑客越來越傾向于客戶端攻擊。黑客會誘使并不知情的合法員工安裝特洛伊木馬或者擊鍵記錄程序，然后他們就可以用來訪問數(shù)據(jù)。某些惡意軟件還能訪問在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)。如果數(shù)據(jù)存放在網(wǎng)上或者物理歸檔，就有可能危及到安全。端到端策略必須對發(fā)送到業(yè)務(wù)合作伙伴和第三方的數(shù)據(jù)實行保護。

最簡單的方法也要求在以下方面進行加密: 有線和無線網(wǎng)絡(luò)傳輸線路、硬盤、軟盤、CD-ROM、 DVD、備份介質(zhì)（磁帶和WORM驅(qū)動器等）、電子郵件、即時通信（IM）、對等技術(shù)、PDA、數(shù)據(jù)庫、USB鑰匙、密碼和活動內(nèi)存區(qū)域。

制訂加密策略需要大量的審查和工作。最好把這看成是一個重大項目，讓業(yè)務(wù)、管理和IT等部門的重要成員參與進來。先不妨把使用數(shù)據(jù)的重要利益相關(guān)者召集起來，解釋項目任務(wù)。整個小組必須確定適用的法規(guī)、法律、準則及可能會影響到的采購及實施決策的外部因素。之后，再確認哪些是高風險方面，比如筆記本電腦、無線網(wǎng)絡(luò)和數(shù)據(jù)備份設(shè)備。

如果攻擊者可以直接訪問機密數(shù)據(jù)而不必挫敗任何加密技術(shù)，加密也就毫無用處。所以，成功的策略要定義強有力的訪問控制方法，充分結(jié)合使用文件許可、密碼和雙因子驗證。必須定期審查訪問控制，確保有效性。

要調(diào)查不同的加密解決方案、閱讀技術(shù)評論、聯(lián)系對你有興趣的廠商的客戶。這方面沒有什么方法比先試再買更重要的了，因為適用于一家公司的方案未必適用于另一家公司。最后，必須選擇最適合自己公司的一種或者多種加密解決方案。

在部署之前，要擬訂獲得管理人員認可的成文策略，并且向最終用戶傳送策略和操作指導(dǎo)，這包括處理敏感數(shù)據(jù)的業(yè)務(wù)合作伙伴和第三方。如果他們無法滿足公司的策略，而且證明了這一點，就無法獲得你的數(shù)據(jù)。應(yīng)當確定誰負責加密，并明確未遵守規(guī)定將承擔什么后果。

不妨考慮實施監(jiān)控及檢測機密信息泄漏或者失竊的工具。策略應(yīng)當總是包括這樣的內(nèi)容: 數(shù)據(jù)一旦丟失或者失竊，就要立即匯報重要的利益相關(guān)者進行評估。策略應(yīng)當包括發(fā)現(xiàn)數(shù)據(jù)泄密事件時所要采取的特定步驟: 具體聯(lián)系誰？聯(lián)系速度多快？何時通知客戶？誰來決定此事？如何決定？是否為客戶提供免費的信用報告？所有這些問題應(yīng)當事先都有答案。

雖然積極主動的數(shù)據(jù)銷毀策略與加密關(guān)系不大，但也應(yīng)當執(zhí)行這項策略。今年多起尷尬的數(shù)據(jù)失竊事件就與數(shù)據(jù)本該早就銷毀卻沒有及時銷毀有關(guān)。如果數(shù)據(jù)不需要，就清除它——與之相關(guān)的風險就不會存在。好的策略明確了: 數(shù)據(jù)應(yīng)當保存多久（從數(shù)據(jù)創(chuàng)建及獲得開始算起）？應(yīng)當如何保護及銷毀？

優(yōu)化加密技術(shù)

遺憾的是，沒有哪一個加密產(chǎn)品可以保護數(shù)據(jù)的方方面面。有些廠商提供近乎完整的解決方案，但最終IT項目經(jīng)理不得不組合多個解決方案。

加密產(chǎn)品分為五大類: 文件級或者文件夾級加密、卷或者分區(qū)加密、介質(zhì)級加密、字段級加密及通信內(nèi)容加密。它們可以按照加密密鑰存儲機制進一步來定義。

文件級加密可以逐個邏輯文件地保護數(shù)據(jù)。文件加密包括磁盤上文件和文件夾解決方案，以及密碼保護的加密存檔格式，譬如Pkzip。文件加密可以保護特定的文件，那樣不大重要的文件就不會浪費加密及解密所必要的額外資源了。

文件級加密程序?qū)儆诩用芊桨缸畛墒斓漠a(chǎn)品，它們往往使用同樣可靠的基本標準協(xié)議，比如三重數(shù)據(jù)加密標準（3DES）、高級加密標準（AES）、Diffie-Hellman、Blowfish和隨機調(diào)度算法（RSA）。操作系統(tǒng)層面往往就有文件加密機制。微軟有加密文件系統(tǒng)（EFS），Mac OS使用FileVault。操作系統(tǒng)層面的加密在面對新的便攜式介質(zhì)類型或者跨外來卷分區(qū)進行加密時往往存在問題，所以應(yīng)用層文件加密解決方案也就應(yīng)運而生。最流行的解決方案是由PGP開發(fā)的。它分為開放源代碼和商用兩種版本。

文件夾級加密產(chǎn)品可對整個文件夾里面的內(nèi)容進行加密，比如Windows的My Documents目錄或者Linux或Mac用戶的主目錄。要注意: 許多看似文件夾加密產(chǎn)品的方案其實不是把整個文件夾加密成一個對象，而是逐個加密文件夾里面的每個文件，使用針對特定文件的加密密鑰，或者文件夾主加密密鑰，或者兩者都使用。比如說，微軟的EFS使用其自己的獨特的對稱密鑰來加密每個文件（即使整個文件夾被選中加密也是如此），所有參與用戶都共享這把對稱密鑰。然后，這把獨特、共享的對象文件密鑰在每個用戶手里的副本使用每個用戶特有的非對稱加密密鑰進行加密。

雖然文件級加密產(chǎn)品屬于最流行、最成熟的解決方案，但一個重大缺點卻使它們越來越不太受用戶歡迎。那就是文件級加密很難防止沒有保護的數(shù)據(jù)泄密。比如說，假定你對私人文檔文件夾里面的所有文件實行了文件級加密。雖然文件級加密可以保護指定的特定文件，但極可能保護不了應(yīng)用程序或者操作系統(tǒng)在文檔打開、拷貝或者傳輸時生成的任何臨時文件。除非加密用戶確切地知道及保護數(shù)據(jù)有可能臨時存放的所有位置，否則磁盤分析程序就有可能找到未加保護的殘留文件。

幾種加密解決方案解決了文件級加密的這一重大問題，辦法就是對文件保存在上面的整個卷或者分區(qū)進行加密。這可以在操作系統(tǒng)層面實現(xiàn)，也可以使用應(yīng)用程序?qū)崿F(xiàn)。有些卷加密產(chǎn)品的工作方式是創(chuàng)建一個很大的邏輯文件，代表整個加密卷。數(shù)據(jù)拷貝到卷上后，就會作為包含元素被添加到比較大的加密文件上。另一些卷加密產(chǎn)品的工作方式則是，添加定制的設(shè)備驅(qū)動程序與操作系統(tǒng)進行交互，并提供加密/解密程序以保證正常的文件讀寫操作。TrueCrypt是其中一款較流行的開放源代碼卷加密解決方案。

卷或者分區(qū)加密的重大缺點就是，只要磁盤或者卷有一次遭到破壞，就會導(dǎo)致整個加密卷無法使用; 或者只要出現(xiàn)一次泄密，所有受到保護的文件就會立即暴露無遺。入侵者還有可能植入惡意代碼，截獲在卷加密程序和磁盤之間傳送的數(shù)據(jù)，這實際上泄露了明文格式的所有數(shù)據(jù)。

保護動態(tài)數(shù)據(jù)

存儲級加密產(chǎn)品屬于最可靠的加密解決方案。正因為如此，它們應(yīng)當予以認真考慮。它們能夠?qū)φ麄€盤進行加密（稱為全盤加密），也可以對傳送到介質(zhì)來源（比如順序磁帶備份）上的所有數(shù)據(jù)進行加密。存儲級加密可以使用應(yīng)用軟件、操作系統(tǒng)或者硬件來實施。

需要保護的數(shù)據(jù)庫通常要求進行字段級加密。它可以對每一列或者每一行數(shù)據(jù)進行加密，但通常最好還是按照每個元素對數(shù)據(jù)進行加密。實際上，存放在數(shù)據(jù)庫表中的所有數(shù)據(jù)存放到數(shù)據(jù)庫之前已經(jīng)加過密，然后在解密時采用了實時技術(shù)（on the fly）。這給索引及搜索帶來了額外的難題。正因為如此，這些機制不得不先來了解用來存儲數(shù)據(jù)的字段級加密程序。

市場上能夠適用于不同數(shù)據(jù)庫或者程序的字段級加密產(chǎn)品為數(shù)不多。大多數(shù)解決方案針對的是特定的數(shù)據(jù)庫或者應(yīng)用程序，或者需要專門進行編程。微軟、IBM、Oracle、Sybase及其他知名數(shù)據(jù)庫供應(yīng)商都提供字段級加密解決方案。

保護在不安全網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)非常重要。Web專注于SSL/TLS標準; 網(wǎng)絡(luò)傳輸和VPN往往使用SSL、SSH或者IPSec加以保護。電子郵件則可以使用PGP或者S/MIME的非對稱加密技術(shù)來加以保護。其他方式的網(wǎng)絡(luò)通信如對等和即時通信（IM）流量必須加以驗證及加密，這越來越常見。

如果必須跨多種平臺和設(shè)備來保護數(shù)據(jù)，整體解決方案就可以起到作用。雖然沒有哪個解決方案能夠幾乎滿足每一種機密數(shù)據(jù)的需要，但許多方案可以滿足多種需要。幾款解決方案可以保護硬盤、筆記本電腦、可移動存儲介質(zhì)、USB鑰匙、CD-ROM和DVD，并且具有集中管理和密鑰恢復(fù)功能。單一產(chǎn)品通常可以簡化管理、降低成本。

據(jù)PGP NetShare的營銷副總裁Adnrew Krcik聲稱，該公司的解決方案可以跨多種應(yīng)用對共享文件進行加密，如文件、電子郵件、IM、筆記本電腦和PDA?！坝脩糁灰褂靡话衙荑€，就可以在服務(wù)器上、跨網(wǎng)絡(luò)及在本地計算機上對文件進行加密?！?

數(shù)據(jù)王國的鑰匙

各種主要加密方案可進一步細分的方面就是加密操作在何處進行、加密密鑰存放在何處。就大多數(shù)基于軟件的解決方案而言，加密/解密在計算機的常規(guī)內(nèi)存區(qū)域進行。基于硬件的解決方案（如智能卡和加密令牌）則在專門的內(nèi)存區(qū)域處理密碼，只有硬件設(shè)備才能訪問這個內(nèi)存區(qū)域。后一種方法安全得多，操作起來也要快得多。

許多產(chǎn)品把加密密鑰存放在受保護的計算機設(shè)備上。這種類型的密鑰本身應(yīng)當由很長的口令短語（passphrase）或者另一個硬件設(shè)備進行加密及保護。如今，加密密鑰越來越多地存放在硬件設(shè)備上。智能卡日益普遍應(yīng)用于雙因子驗證，不過有助于進一步加強加密效果的比較通用的設(shè)備正在開發(fā)當中。大多數(shù)PC主板很快就會有可信平臺模塊（TPM）芯片，這種芯片可用于安全地存放用于各種操作系統(tǒng)和應(yīng)用軟件的加密密鑰。作為Vista操作系統(tǒng)的一部分，微軟即將推出的BitLocker技術(shù)可以把卷加密密鑰存放在TPM芯片上。TPM解決方案可以防御基于軟件的新式攻擊。

提醒一句，現(xiàn)已發(fā)現(xiàn)許多產(chǎn)品把明文格式的加密/解密密鑰存放在公用區(qū)域上。最后也是最重要的一點是，如果保證不了能夠可靠地保存及管理密鑰，就不要實施加密。好的加密技術(shù)如同一把雙面刃，如果解密密鑰丟失或者受損，要是沒有合適的恢復(fù)方法，數(shù)據(jù)就會徹底丟失。

加密推動安全潮流

解密密鑰是受控權(quán)限和自刪除數(shù)據(jù)的核心所在。數(shù)據(jù)保護方面出現(xiàn)的兩股新潮流正在使用加密來實現(xiàn)各自的目標，這兩股新潮流就是受控權(quán)限（controlled right）和自刪除數(shù)據(jù)（self-deleting data）。

EMC公司的Documentum 5等應(yīng)用軟件套件可以利用內(nèi)置的受控權(quán)限來創(chuàng)建文檔。該公司近期發(fā)布的最新版加強了訪問控制和保留策略管理，允許用戶可以在Documentum存儲庫外面設(shè)定策略。這主要通過在內(nèi)容創(chuàng)建階段設(shè)定策略、內(nèi)容導(dǎo)出前先進行加密來實現(xiàn)。要讀取記錄或者文檔，相關(guān)應(yīng)用程序（如Acrobat Reader或者Office）必須訪問中央策略服務(wù)器，以獲取解密密鑰。要刪除文檔或者拒絕訪問文檔，授權(quán)代理程序可以更改訪問策略或者刪除密鑰。

訪問權(quán)或其他權(quán)限一旦被授予某個用戶，就可以被授權(quán)代理程序?qū)崟r吊銷（就是除了確保授權(quán)用戶使用外，對其他用戶屏蔽），也可以在以后吊銷文檔的授權(quán)。文檔在創(chuàng)建時經(jīng)過驗證及加密，以加密格式進行分發(fā)。如果某人試圖打開文檔，相關(guān)應(yīng)用程序就會連接到文檔作者，證實請求用戶仍擁有訪問權(quán)。如果確實如此，就會提供解密密鑰（即解密），文檔就可以打開。這樣做的目的是除非用戶在授權(quán)期間打印或者拷貝了數(shù)據(jù)，否則文檔的內(nèi)容仍是安全的。

一股類似的潮流與自刪除數(shù)據(jù)有關(guān)，現(xiàn)在這項特性成了筆記本電腦、移動電腦、PDA以及員工可能需要保護的其他設(shè)備的一個選項。數(shù)據(jù)經(jīng)過加密后，會得到監(jiān)控軟件和兼容設(shè)備的進一步保護。只要設(shè)備開啟，它就會利用因特網(wǎng)（或者移動電話網(wǎng)絡(luò)）連回到數(shù)據(jù)主人的授權(quán)服務(wù)器上。這種“往返”連接不需要用戶的請求。

如果設(shè)備失竊，主人可以指令設(shè)備在下一次連接時刪除或者加密上面的數(shù)據(jù)。如果設(shè)備無法連接到授權(quán)服務(wù)器，一些解決方案可以指令設(shè)備在經(jīng)過預(yù)定的天數(shù)后刪除或者加密數(shù)據(jù)。

鏈接一：與數(shù)據(jù)保護相關(guān)的政策法規(guī)

記錄在案的數(shù)據(jù)保護法規(guī)有很多，但與加密有關(guān)的法規(guī)并不提供規(guī)范性指導(dǎo)。

現(xiàn)在有好多保護客戶數(shù)據(jù)的法律和法規(guī)。但管理機密數(shù)據(jù)及加密的多部法律帶來了讓人遺憾的后果，那就是沒有一部能提供規(guī)范性指導(dǎo)。加密解決方案和策略是否滿足某一部法律，那是審計人員和律師的事情。不過，目前有幾項法律要求是針對機密數(shù)據(jù)的。

《世界人權(quán)宣言》: 《世界人權(quán)宣言》在二次大戰(zhàn)結(jié)束后通過，由聯(lián)合國大會頒布。其中第12條明確了個人享有隱私權(quán)。雖然當初簽署時并沒有預(yù)見到如今的計算機，但這一宣言往往被用作個人數(shù)據(jù)保護的基礎(chǔ)。

《薩班斯－奧克斯利法案》: 這項法案于2002年通過，由美國頒布。旨在幫助企業(yè)丑聞之后恢復(fù)公眾信心（第404條款針對IT控制的有效性。）故意忽視會受到民事和刑事懲罰。

《金融服務(wù)現(xiàn)代化法案》: 1999年美國頒布的《金融服務(wù)現(xiàn)代化法案》旨在保護收集、保存、處理消費者財務(wù)信息的金融機構(gòu)保存的機密信息所具有的隱私性。

《健康保險可攜性及責任性法案》: 1996年由美國頒布的《健康保險可攜性及責任性法案》禁止在未征得患者同意的前提下，將與健康有關(guān)的個人身份數(shù)據(jù)透露給第三方。該法案還為患者賦予了索要自己記錄的權(quán)利。經(jīng)常遭到詬病的一個原因是，它缺乏強有力的執(zhí)行措施。

《電子通信隱私法》: 《電子通信隱私法》（ECPA）為通過電子方式傳送的數(shù)據(jù)提供了法律保護，包括電子郵件。它是1986年由美國頒布的。它實際上規(guī)定誰可以在哪些情形下讀取哪些信息。譬如說，從法律上來講雇主一般可以讀取員工的電子郵件，而數(shù)據(jù)運營商需要接到法庭指令才可以這么做。

《歐盟數(shù)據(jù)保護指令》: 《歐盟數(shù)據(jù)保護指令》（EUDPD）提供了基本的隱私要求，歐盟所有成員國都必須通過本國的法規(guī)來達到這些要求。默認保護通常比美國所要求的類似保護嚴格得多。

ISO-17799/BS-7799: 作為國際性的整體IT安全準則和標準，英國標準協(xié)會(BSI)發(fā)布的ISO-17799正迅速成為世界上大部分地區(qū)通行的國際安全標準。但是需要內(nèi)部和外部的ISO-17799審查才能確定是否符合要求。

鏈接二：加密解決方案一覽 

IT管理人員可以選擇近乎完整的解決方案，也可以組合多種解決方案。

PGP

PGP可提供全面的商用解決方案，可保護眾多計算機設(shè)備和介質(zhì)，不過側(cè)重于Windows平臺。

TrueCrypt

TrueCrypt的這款流行的開放源代碼卷加密解決方案適用于Linux和Windows。

加密文件系統(tǒng)（EFS）和BitLocker全盤加密

EFS是微軟Windows 2000及更高版本的操作系統(tǒng)具有的文件級加密。如果使用，務(wù)必要保存好私鑰。BitLocker全盤加密方案將出現(xiàn)在即將發(fā)布的企業(yè)版本W(wǎng)indows Vista。EFS可以對系統(tǒng)卷進行加密，并把密鑰保存在TPM芯片內(nèi)或者可移動介質(zhì)上。

權(quán)限管理

這種權(quán)限控制解決方案允許文檔在發(fā)布及分發(fā)后仍能加以控制。文檔作者可以選擇誰可以通過電子郵件發(fā)送、瀏覽、打印或者拷貝受到保護的內(nèi)容。

USB DataTraveler Elite Privacy

金士敦的USB閃存盤使用基于硬件的128位AES加密，要求使用密碼，并且采用了賬戶鎖定控制機制。

GuardianEdge Technologies Encrypt Anywhere數(shù)據(jù)保護平臺

美國退伍軍人事務(wù)部前不久選擇了GuardianEdge Technologies公司的Encrypt Anywhere數(shù)據(jù)保護平臺來幫助保護其數(shù)據(jù)。它可以保護硬盤、筆記本電腦、PDA及可移動介質(zhì)。

IronMountain Data Defense

如果計算設(shè)備在限定的時間內(nèi)無法連接到驗證服務(wù)器，Iron Mountain含有的代理程序就會刪除設(shè)備上面的數(shù)據(jù)。

Pkzip或者Winzip

專業(yè)版本的Pkzip和Winzip提供了經(jīng)過加密、密碼保護的文件，以便文件傳輸。

硬盤保護

希捷的加密功能內(nèi)置在硬盤固件里面。