数据安全的风险来自于两个方面,一方面是数据本身是否安全,也就是说数据是否加密;另一方面,在于是否得到授权的人访问了这些数据和信息;从风险的这两个方面来看,数据加密和身份认证是目前适合内网安全的主要技术手段。
硬盘加密
对电脑硬盘进行加密保护,可以降低信息被非授权者所利用的风险。硬盘加密采用业界公认的加密算法(例如AES 256位长度密钥),对硬盘进行高强度保护。目前的这种保护强度,不会被攻破。在没有经过授权的情况下,硬盘会处于加密保护状态,即使将其连接到其他系统也无法读取或存储硬盘数据,唯一处理的方式就是将硬盘格式化。采用硬盘加密技术的笔记本电脑,其硬盘上的所有数据被保护起来,大大降低机密数据泄露的风险。
硬盘加密产品都需要一个密钥来加密硬盘中的数据,密钥的管理是一个重要的方面。SafeNet的ProtectDrive产品中,提供了一个方便密钥管理的“syskey.bin”文件。在ProtectDrive安装时需要此文件。在对硬盘进行加密时,此文件将被用做加密硬盘的密钥文件的种子。若没有此文件,将无法移除ProtectDrive、无法针对被加密的硬盘做解密,也不能处理密码复原的动作。这样把Syskey.bin交给管理员管理,解决了密钥管理的问题。
但是,也有研究指出大部份密码管理的时间都花在如忘记密码等密码复原的问题上。以SafeNet ProtectDrive来看,它提供挑战-响应的机制进行密码恢复。用户必须按下功能键来产生一个13个字符的挑战码。和拥有用户syskey.bin档的管理人员联络并告知此挑战码,管理人员就可以为用户产生一个响应。在“响应”字段中输入此响应,用户就可以通过屏幕中的启动前登录。当用户登录系统后便可更改密码。
双因素认证
双因素认证功能是为了防止非授权者入侵操作系统存取机密数据。只有采用双因素身份认证的方式,才能达到高强度的安全保护。身份认证可以通过智能卡,一次性口令,或者是USB令牌的方式进行,具有更高的可靠性。用户可以选择使用密码或令牌做为授权的方式。比如,SafeNet iKey双因素认证令牌。在登录应用系统时,用户需要同时知道iKey的PIN码以及iKey硬件才能通过认证,而这个PIN码是随机变化的。如果用户仅持有其中一个因素是无法通过访问验证的。这与使用银行卡在ATM提款机上取款是同样的道理。
通过数据加密和双因素认证来保护数字资产,是防止未经授权泄漏重要电子信息的终极手段。保存有机密数据的移动设备非常容易丢失或被盗窃,而通过公司网络或互联网传输的数据则有可能会遭到截取。这会给敏感数据带来巨大风险。虽然网络非常坚固,但对于一些网上黑客或恶意员工而言,由于他们了解如何来突破部署在网络周边的安全措施,最终他们仍然会通过最后防线窃取到机密数据。这样,唯一可对其形成阻碍的手段就是:数据加密和双因素认证。
网友评论