多年来,如果公司想使得数据具备一个额外的安全度,他们可以选择性的使用加密技术。然而非强制性进行加密的日子已经一去不返了。现在,各行业的公司都受制于那些强制加密和其他安全标准的规章制度的限制,如果公司未能充分保护好他们的数据,将受到严厉的处罚。即使一个公司不受到这样规章制度的限制,许多法律还要求公司对那些未加密客户数据遭到破坏的安全攻击事件进行披露。
因此,这已经不再是公司是否应该使用加密技术的问题,而是一个公司应该如何对数据进行加密的问题。制定加密策略计划的第一步是理解主要的加密技术类型,包括存储加密技术、网络加密技术、应用程序级加密技术。虽然各种方法都有各自的优点,但它们也有不足的地方,我们也需要把这些因素考虑进去。
权限管理
权限管理是一个更高级的应用程序级加密技术,越来越多的人正在使用它。权限管理是一项可以给加密文档分配权限的技术。举例来说,这种加密政策会阻止用户从文件中拷贝数据,或者打印一个受保护的文档。
权限管理的一个优点是权限可以在后台服务端进行分配。这意味着如果一个用户打算把授权限控制的文件拷贝到移动介质上带出公司,管理员只需把相应的权限移除,就可以阻止这个用户获得该文档的数据。
Windows系统本身就支持权限管理,一些第三方的产品也提供了类似的功能。大多数情况下,权限管理在安全方面起着很好的作用,但是由于产品的不同,初始化安装有时会很复杂。并且,根据权限管理的设定方式,移动用户如果不连接到公司的权限管理服务器上,则将无法打开受权限控制的文档。另外一个潜在的不足是,并非所有的数据类型都支持权限控制。理想情况下,权限控制的确可以把应用程序级加密功能结合起来,从而解决这些管理难题。
如何选择
由于存在多种类型的加密技术,选择一种最适合自身需要的技术对公司而言将成为一件很困难的事情。第一步,确定你的公司是否需要遵守联邦或行业的法规,这些法规强制规定了数据该如何进行安全保护。如果需要遵守的话,可以把这些法规当成指导,进而决定应该选择何种加密方案。
大多数企业想要采取分层的方法。当涉及到加密时,一般的规则要求数据在静态和动态下都可以对其进行保护。如果数据只是在存储级、或者只在传输中进行加密,那么面对那些潜在的风险,数据并没有得到完整的保护。尽管应用程序级加密均满足这两个准则,但它也只能用来加强你的网络安全,并不能作为一种唯一的加密手段,因为不是所有的应用程序都提供了内置加密的功能,而那些具有加密功能的软件,其加密的强度也有所不同。
如果一个公司不受要求加密的行业规则影响,那么关键的问题就是技术部署和维护上的总成本以及对员工的要求。加密可能会在硬件、软件和技术支持上花费大量的费用,所以确保合理的收支效益很重要。
无论一个公司选择什么样的加密方案,对于终端用户来说都应该是透明的,并且要与自身的网络基础设施相兼容。一些加密方案会使得备份数据,或是对存储区网络上数据的访问、加密变得困难起来。一旦完成最初的安装,要确保你所考虑的方案不会造成重大的行政负担。
虽然加密技术在企业安全策略拥有一席之地已是不争的事实,但企业不能只依靠加密技术来解决其安全方面的问题。大多数安全专家都认为,并没有一个完美的安全解决方案。只要黑客肯付出足够的时间和努力,任何安全机制都能被绕开,即便你使用的强加密技术。一个优秀安全机制的关键是让攻击变得更麻烦,可以通过对安全机制采取分层方法达到这一点,这包括采用广泛的安全政策和使用多种安全技术。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。