美國信托財經(jīng)服務(wù)公司的商業(yè)信息安全官沃倫阿克塞爾羅德在今天下午的一個關(guān)于企業(yè)數(shù)據(jù)保護的用戶討論組發(fā)言中解釋說�,在許多情況下����,加密可能是一種過度的防范措施����。
他說:“當(dāng)人們只需發(fā)送一份釣魚式攻擊電子郵件或者在郵件中附上一個鍵盤記錄軟件就可以竊取敏感信息時�,他們?yōu)槭裁催€要去嘗試攻擊一個加密的文件呢?你必須考慮一下結(jié)果��,網(wǎng)絡(luò)罪犯們將采取最簡單的方式來發(fā)動攻擊�。”
這些意見是由小組成員�、制藥行業(yè)的一位前信息安全官�����、安全構(gòu)造分析師湯姆鮑爾提出的���。他說:“加密可以解決許多問題�,但是它不是一種全能或者最終的解決方案��?!?/P>
美國信托公司的阿克塞爾羅德沒有說明他在其組織中使用了何種形式的終端安全措施,但是他說明了他的背端存儲器原理��。他說:“我相信數(shù)據(jù)限制措施��,他的基本要求是一旦那些數(shù)據(jù)過期就把它們刪除?���!?/P>
他一般會將各自電子郵件保留3年,將與IRS有關(guān)的數(shù)據(jù)保留7年�����,他認為刪除數(shù)據(jù)是將安全風(fēng)險降低到最小的最佳方法��。他說:“如果你不這么做�,那么當(dāng)那些數(shù)據(jù)丟失之后你就必須報告上去?���!彼f將數(shù)據(jù)刪除同時也減少了基礎(chǔ)結(jié)構(gòu)中的技術(shù)層。 “如果你對那些數(shù)據(jù)進行加密����,你就要面臨許多密鑰管理問題?��!?
與阿克塞爾羅德一樣�,小組的其他成員也將關(guān)注的重點放在了終端安全問題上���,但是他們警告說有些用戶將這搞得過于復(fù)雜了�����。Ipswitch公司安全文件轉(zhuǎn)移副總裁凱文吉利說:“我們有很多安全產(chǎn)品可用�,它們有許多很好的功能,比如要求密碼的位數(shù)最少為15位���,或者不能使用最近10次使用過的密碼等�����?����!彼a充說,密碼每過90天就會更換一次�����。 “它只是不太實用��,這就是我們使用7位數(shù)的電話號碼的原因��。”
其他用戶還提出了便攜式媒體和筆記本電腦帶來的安全問題����,而且現(xiàn)在這已經(jīng)成為各公司和組織IT經(jīng)理和首席信息官們面臨的一個主要的難題。Eplica服務(wù)供應(yīng)商的系統(tǒng)架構(gòu)師布萊德泰勒說:“對我們IT公司來說�����,保證數(shù)據(jù)庫和存儲器中數(shù)據(jù)的安全性是沒什么問題的��。 但是我可以將我所有的財務(wù)數(shù)據(jù)都帶出公司�����,我可以將它們拷貝到一個USB 2.0盤上���,然后將它交給任何人���。”
包括SanDisk��、Lexar和希捷在內(nèi)的一些廠商已經(jīng)開發(fā)出了各自的解決方案�,那些解決方案可以將數(shù)據(jù)鎖定在筆記本電腦或者USB盤上。
在今天的另外一個小組討論中,在20多位與會者中有四分之一左右的成員承認他們會對他們的筆記本電腦硬盤加密���。Allstate Insurance公司的安全分析師埃里克米勒說:“我們一直在這么做����。 如果將筆記本電腦硬盤放開����,你晚上就會睡得更好些?�!?BR>
