美國信托財經服務公司的商業(yè)信息安全官沃倫阿克塞爾羅德在今天下午的一個關于企業(yè)數據保護的用戶討論組發(fā)言中解釋說����,在許多情況下�,加密可能是一種過度的防范措施。
他說:“當人們只需發(fā)送一份釣魚式攻擊電子郵件或者在郵件中附上一個鍵盤記錄軟件就可以竊取敏感信息時�,他們?yōu)槭裁催€要去嘗試攻擊一個加密的文件呢?你必須考慮一下結果����,網絡罪犯們將采取最簡單的方式來發(fā)動攻擊?!?/P>
這些意見是由小組成員、制藥行業(yè)的一位前信息安全官���、安全構造分析師湯姆鮑爾提出的���。他說:“加密可以解決許多問題�,但是它不是一種全能或者最終的解決方案?����!?/P>
美國信托公司的阿克塞爾羅德沒有說明他在其組織中使用了何種形式的終端安全措施,但是他說明了他的背端存儲器原理���。他說:“我相信數據限制措施���,他的基本要求是一旦那些數據過期就把它們刪除?�!?/P>
他一般會將各自電子郵件保留3年�,將與IRS有關的數據保留7年,他認為刪除數據是將安全風險降低到最小的最佳方法�。他說:“如果你不這么做,那么當那些數據丟失之后你就必須報告上去���?�!彼f將數據刪除同時也減少了基礎結構中的技術層��。 “如果你對那些數據進行加密���,你就要面臨許多密鑰管理問題。”
與阿克塞爾羅德一樣���,小組的其他成員也將關注的重點放在了終端安全問題上�����,但是他們警告說有些用戶將這搞得過于復雜了�。Ipswitch公司安全文件轉移副總裁凱文吉利說:“我們有很多安全產品可用��,它們有許多很好的功能����,比如要求密碼的位數最少為15位,或者不能使用最近10次使用過的密碼等����。”他補充說��,密碼每過90天就會更換一次���。 “它只是不太實用�����,這就是我們使用7位數的電話號碼的原因�?���!?/P>
其他用戶還提出了便攜式媒體和筆記本電腦帶來的安全問題,而且現在這已經成為各公司和組織IT經理和首席信息官們面臨的一個主要的難題����。Eplica服務供應商的系統(tǒng)架構師布萊德泰勒說:“對我們IT公司來說,保證數據庫和存儲器中數據的安全性是沒什么問題的����。 但是我可以將我所有的財務數據都帶出公司,我可以將它們拷貝到一個USB 2.0盤上����,然后將它交給任何人?�!?/P>
包括SanDisk����、Lexar和希捷在內的一些廠商已經開發(fā)出了各自的解決方案,那些解決方案可以將數據鎖定在筆記本電腦或者USB盤上����。
在今天的另外一個小組討論中���,在20多位與會者中有四分之一左右的成員承認他們會對他們的筆記本電腦硬盤加密。Allstate Insurance公司的安全分析師埃里克米勒說:“我們一直在這么做��。 如果將筆記本電腦硬盤放開�����,你晚上就會睡得更好些����。”
