存储在线洛杉矶政府的首席信息安全官Robert Pittman说,信息加密还不够,你还必须证明它确实已经被加密了。
信息安全事故每时每刻都在发生。这种事故现在是如此普遍以至于许多企业管理人员可能都已经开始忽略新闻上的信息安全事故。这是错的。虽然新闻上信息安全事故的标题看起来可能都一样,但是信息安全事故的形式正在发生很大的变化。安全事故不再仅限于黑客们破解包含银行帐户信息的数据库。由于各种新形式的存储媒介日益普及,比如可写入磁盘驱动器、MP3播放器和U盘,这些存储载体都有可能丢失并造成严重的信息安全事故。
事实上,这种事故也越来越普遍。比如英国最近发生了一次信息安全事故,英国政府工作与年金部在一处公共停车场发现了该部门使用的一个U盘。该部门的网站能够帮助居民管理停车罚单和税收等事务,而这个U盘正好包含了大约1200万居民的密码。这导致该部门不得不紧急关停政府的一处计算机系统。
就像这个事故所显示的那样,如果没有正确的预防措施,那么存储在公司网络里的数据很可能就被转移到一张CD,或者在未加密的情况下被电子邮件所传送,或者正好就被放在停车场座椅上让所有人都能捡到。
洛杉矶政府首席信息安全官Robert Pittman充分认识到了这些风险,而且他的工作就是确保该县的数据是安全的–无论是闲置数据还是活动数据。洛杉矶政府正在采取一个分三步走的计划,目的是锁定38个政府部门的敏感数据,这些数据分布在70个以上独立的地理位置。
洛杉矶政府所面临的安全问题正好是许多厂商大展身手的机会。每个部门–无论是社会服务部门、检察局、公设辩护人办公室、动物福利局还是心理卫生部–都有自己的安全需求。一些部门不需要处理敏感数据,不需要管理法律或病人健康记录等敏感信息。而随着法律所规定的规制条例越来越复杂,以及媒体披露越来越多的因为笔记本电脑或U盘丢失而导致的信息事故,洛杉矶政府决定采用一个长期策略来有效地锁定所有的敏感数据。
洛杉矶政府在一年前开始采取第一步,当时该县将所有部门大约11000台笔记本予以加密。在该步完成后,Pittman和他的团队将注意力集中到如何确保系统所使用的移动存储设备(以及一些台式机)上的数据能够被锁定。
Pittman解释道:"我们从心理卫生部开始行动,因为该部门受到HIPAA(健康保险流通与责任法)的规制"。HIPAA的部分条例规定相关的组织必须保证病人信息的隐私性和安全性。"心理卫生部的工作人员要处理很多病人信息,因此当他们把信息复制到CD或U盘的时候,这些信息必须是加密过的",他说,"不仅这些信息要被加密,我们也必须能够证明这些信息是被加密过的"。
为了实现上述目的,洛杉矶政府部署了三个安全保护应用程序,分别是日志软件(Auditor)、保护软件(Protector)和报告软件(Reporter),这些应用程序都来自安全软件厂商Safend。Pittman解释道,所有的应用程序都会互相协作以确保移动存储设备的信息安全。比如,Safend Protector软件在移动存储设备上应用了复杂的安全策略,不仅将数据予以加密,而且还可以规定特定U盘的读写权限。
Pittman说,Safend Protector可以监视端点设备,确认哪些设备被插入笔记本,并拒绝那些未得到授权的U盘使用笔记本上的数据。得到授权的移动设备可以将所有的数据予以自动加密。其他的两款应用程序(Auditor和Reporter)可以辅助洛杉矶政府对移动设备的加密。Safend Auditor为Pittman提供所有曾经连接到端点的设备的日志,而Safend Reporter提供了安全风险的分析报告。
Safend Protector 3.3的成本为每个授权13到32美元,总成本根据组织的规模大小而不同,许可证是无限期的。Safend Reporter的成本为每个席位5美元。Safend在软件包中加入了Auditor软件,该软件的价格则是根据席位的大小来定,价格在700美元至5000美元之间。
"我们可以将U盘的访问权限设定成限于特定的序列号",Pittman说,"现在,我们总算可以确保被丢失的U盘是被安全加密过的,而且上面所有的数据是不可访问的了"。
虽然洛杉矶政府在移动设备上的控制力度超过了大部分公司的力度,但是洛杉矶政府并不止步于此。该县政府在数据安全上的下一步以及最终阶段是部署"数据泄露"过滤器,以保证机密和受规制的数据不会因为电子邮件或网站偶尔的误操作或过失而被泄露出去。