企业由于丢失设备造成的安全隐患屡见不鲜，但从国内外的经验看，制定一套完整的机制与技术措施，可以在很大程度上规避安全风险。

恼人的损失

最近，星巴克称该公司丢失了四台包含数千员工相关

数据的笔记本电脑。于是，全世界的IT主管们都开始再次自问：有什么能够保护移动设备上各类数据的策略吗？ 从洛斯阿拉莫斯国家实验室到Allina保健公司，再到美国退伍军人事务部，这种高端重要数据频频丢失的事件似乎永远都没有终结。这种情况也迫使越来越多的机构对笔记本和USB闪存驱动器等设备上的数据进行加密，并且建立起各种相关的安全策略。

科罗拉多州雇员信用联盟高级网络管理员Tom Gonzales说："我们已经针对笔记本制订了具体的移动设备策略。"这项策略可以对笔记本、磁盘驱动器、USB闪存驱动器和CD-ROM提供加密保护。

Gonzales对这项策略进行了描述，"我们使用Cisco Security Agent 禁用了所有USB端口，因此只有IT部门的人员才有权对闪存执行写操作。通常情况下，我们不会对用户笔记本上的整个驱动器进行加密，而只是提供安全存储区，使用户能够将文件保存在这一位置中。凡是写入这一区域的文件都会被加密。我们的桌面PC也都不配备软盘驱动器或CD-ROM刻录机。"

这种走极端的做法显然是事出有因的：数据丢失会给企业带来巨大的金钱损失。Ponemon学会认为，此类事件每发生一次所带来的损失高达470万美元，相当于每条记录182美元。根据这些数字，星巴克的笔记本丢失事件所带来的数据损失可能高达1090万美元。

闪存需要管理

对于田纳西州孟菲斯市浸信会纪念医院的桌面管理主任Lenny Goodman而言，保护笔记本、闪存驱动器和其他移动介质上的数据是一项必须的日常事务，因为这家医院必须遵守健康保险可移植性及可说明性法案的规定。

Goodman说："符合性是管理企业的一项'必要'方法，这种方法衍生出的便是最佳惯例。无论我们喜欢与否，都必须遵守。而加密就是这样一种必要的事务。"

Goodman所使用的Safend软件能够在USB驱动器连接至网络时对其进行识别，并允许IT部门制订允许或不允许其使用的策略，从而为其中的数据提供保护。

Goodman说："和所有的企业一样，我们发现即插即用式闪盘有泛滥成灾的趋势。我们虽然并没有向员工提供此类设备，但这似乎并没有阻止员工积极享用这种新技术带来的便利。当我们看到报纸上的1GB闪存驱动器广告时，就断定它早晚会出现在企业中。无论这类设备的出现是否出于恶意，它们都是值得企业认真对待的。"

Goodman编写了一项管理闪存驱动器的策略，找出了企业中使用的闪存驱动器，并且用Kingston的DataTraveler Secure闪存驱动器取而代之。有了这项策略，Safend软件只能识别出这些Kingston驱动器，而其他的闪存驱动器都将被禁用。

他说："移动存储技术的部分商业需求是合法的，而我们提供的解决方案使用口令保护和非选择性加密技术。"

浸信会纪念医院目前拥有多达6000台桌面电脑和100台笔记本，这些设备都得到了Kingston/Safend解决方案的保护。

他说："我们目前正在对硬盘驱动器进行加密。在一些较老式的PC上，我们已经利用群组策略禁用了软盘驱动器。我们也没有在机器上安装CD刻录机。如果用户自行在电脑上安装CD刻录机，终端控制技术就会立即探测到。"

更为灵活的方法

其他IT专家则对笔记本和USB的安全性不甚关心，他们认为，应当把数据加密和口令保护的决定权交给用户。

Jeff Mery是得克萨斯州Austin 市一家仪表和测试设备制造商的系统管理员。他认为，在他的工作环境中，要想控制闪存驱动器等移动介质几乎是不可能的。

他说："绝大多数用户都是工程师，因此都有在日常工作中使用USB和CD-ROM介质的合法业务理由。"他表示，他正在考虑桌面机和笔记本用户的驱动器加密问题。他认为："由于希望对整个驱动器进行加密，因此我们看中了Microsoft Windows Vista及其BitLocker技术。目前，当用户认为有必要时便可对数据进行加密，而BitLocker则允许我们以完全透明的方式对整个磁盘进行加密。用户根本不需要记住应对哪些数据加密和哪些数据已经加密。"

Dominic Marcinelli是加利福尼亚州Milpitas市Rackable Systems公司的IT副总裁，他说："如果笔记本用户的默认配置是位于一个网络驱动器上的家用目录，那么当用户连接到网络时，数据即开始同步操作，实现全自动的备份过程。"