数据泄露带来的灾难是巨大的。为保护数据,企业可能要在数据中心使用某种加密技术。但加密未必能阻止灾难发生,掌握改善企业加密的方法和策略还是很有必要的。
静态数据与风险共存
在讨论加密时,我们常将数据分为静态数据和动态数据,因为对这两种数据的保护方法是不同的。对于使用有关Web威胁(例如,社交工程攻击)的攻击者而言,静态数据已经成为一个重大目标,攻击者可以由此发现企业网络安全中的漏洞。虽然入侵防御技术可能捕获或阻止某些威胁,但企业不能指望它会阻止一切风险。
对企业来说,目前更可行的方法是采用基于云的加密软件来保护静态数据。
静态加密策略
整盘加密和文件级加密是最常用的软件方法。整盘加密有许多好处,如总体上的安全性和易于部署等,因此,相对于文件级加密,企业更喜欢整盘加密。至于文件级加密,并非存储设备上的所有信息都需要加密,因而我们需要定制哪些文件需要加密。文件级加密的一个好处是它提供了更为灵活的访问控制,因为我们可以为不同的雇员设置不同的访问规则。
企业IT可能需要不同类型的加密类型。数据在其每一个阶段都需要保护,因为静态数据、动态数据或使用中的数据都易于遭受非授权的访问。保护静态数据可能还需要数据库加密、加密文件系统(EFS)、虚拟加密、文件和文件夹加密等。企业IT可能需要在任何笔记本电脑、闪盘、员工使用的移动设备上提供这种加密。
带有专用加密处理器的磁盘阵列控制器是大型企业的另一个很好的选择。这种模式是高度扩展的,它并不需要更改任何主机或存储网络,而且可以支持不同的介质类型。基于阵列的加密可以提供安全的数据删除和磁盘替换。
保护动态数据
VPN、SSL、SSH等是保护动态数据的重要技术。有加密功能的终端硬件可以帮助我们自动加密数据传输。这种设备内部加密的安全水平往往依赖于企业数据中心传输数据的需求。例如,敏感和特权数据可能要求更为强健的下一代防火墙,使其能够与企业内部的身份和数据保护软件协同工作。
寻求集中化管理
企业可能正在利用多种加密方法来保护数据。为减轻IT的负担,企业不妨找一种可以提供集中化管理的方案。这种方法可以通过同样的平台来管理服务器、PC、虚拟基础架构等。
集中化的管理还可以使策略的部署和实施更容易。例如,我们可以针对基于角色的访问控制使用集中化的管理套件。对于静态数据,我们还可以管理特定的文件类型,以及某些雇员可以访问的文件夹。
访问控制
如果攻击者能够挫败用户访问控制而避开加密,我们就要确保充分利用高级身份验证。使用访问控制技术(如双重认证、口令、文件访问权限制)可以更好地控制数据,以及哪些认证人员可以访问数据。
企业应理解雇员和管理员的访问和控制权,这种控制权是身份管理和访问管理工具的一部分。IT管理员可能需要与业务经理进行交流,确定哪些人应当有访问权,哪些不应有访问权。