在昨天召开的安全大会上,众多IT经理都表示,对通过企业网络传输的数据进行加密并不能真正解决目前企业机构所面临的安全问题。
美国金融服务公司U.S. Trust的企业信息安全主管Warren Axelrod在昨天下午与用户探讨企业数据安全问题时表示,在有些情况下,加密技术甚至是多余的。他说:“为什么网络攻击者只通过发送钓鱼邮件或是keylogger病毒软件就可以获得数据信息。你得想一想是不是终端安全有什么漏洞——往往攻击者瞄准的都是最脆弱地方。”
很多用户都同意这个说法。全球制药公司的信息安全高级经理Tom Bowers举了一个例子,有一名员工就使用数码相机将机密文件拍摄下来,轻易地盗取了数据信息。所以他认为,“加密技术的确可以解决很多问题,但它并不是解决所有安全问题的灵丹妙药。”
Axelrod并没有透露其公司内部使用何种终端安全措施,但他提到了后端存储的原则——“对数据信息进行约束控制。一个先决条件就是如果数据信息已经过期,就马上把它删除掉。”
Axelrod通常将电子邮件保留三年,IRS数据保留七年。他认为将陈旧数据删除是将安全隐患降至最低的一个有效途径。“如果不将陈旧数据删除,数据信息就有泄漏的可能。”他还说,陈旧数据删除还可以简化基础架构中的技术应用,“如果你将数据信息进行加密,你就得面临一系列管理上的问题。”
与Axelrod一样,昨天其他与会者都十分关注终端安全问题。但有人认为,部分用户将终端安全问题复杂化了。美国Ipswitch公司主管安全文件传输的副总裁Kevin Gillis说,他们有一个合作伙伴是某军事分支机构,该军事机构有一个至少15位的密码,而且密码每90天更换一次。他认为,“这种做法并不实用——一个普通的电话号码也只有七位数,这是有原因的。”
昨天大会上的其他用户还提到了可移动式媒介和手提电脑等可能对数据安全造成威胁的诸多因素,并且这些已经成为令众多IT经理和CIO头疼的问题。
服务提供商Eplica的系统架构师Brad Taylor表示,“像我们这样的IT企业可以轻而易举地将数据安全地保留在数据仓库里。但是,我却也可以把公司内部的财务数据存储在一个USB 2.0闪存上,带给任何人。”
包括SanDisk、Lexar和Seagate在内的许多厂商都推出可以在手提电脑或闪存上锁定数据信息的解决方案,这一方案一经推出就获得了众多IT经理和CIO的青睐。
在昨天的大会上,有超过五家厂商宣布他们正在准备对手提电脑的硬盘进行加密。Allstate Insurance 保险公司的安全分析师Erich Mueller 表示,“我们正致力于这方面的研究开发。如果可以成功的话,就大大缓解了我们对安全问题的忧虑。”