磁盤加密：選擇全盤還是文件加密？
      目前數(shù)據(jù)加密技術是企業(yè)安全保護中日益重要的一環(huán)，以前電腦安全的預防措施主要局限于防止黑客入侵或越過網絡防衛(wèi)，非法訪問機密信息。現(xiàn)在隨著具有存儲數(shù)據(jù)功能的移動設備如便攜式設備筆記本電腦、PDA、音樂播放器、閃存卡、外部硬盤、智能手機等的普遍使用，企業(yè)必須面對因為丟失這些設備導致機密數(shù)據(jù)外泄的風險，為數(shù)據(jù)進行加密就是最好的解決途徑之一。
      使用加密技術將有效減少移動設備在失竊時的數(shù)據(jù)風險。加密技術的原理是使用一種算法，把數(shù)據(jù)轉變成"密文"(ciphertext)，用戶需要輸入獨特的身份識別證明，才能訪問存儲于移動設備中的數(shù)據(jù)。
      筆記本電腦的加密有兩種選擇：對整個磁盤加密（FDE）或者基于文件的加密。后者看來很具吸引力，因為Windows XP帶有基于文件的加密功能，這意味著存儲在特定文件夾或目錄下的文件都會自動加密。讓人易于疏忽的是，這里存在一個很大的安全漏洞–文件的加密工作與用戶的自覺性密切相關，只有用戶把文件放入加密的文件夾或目錄當中這些文件才能被加密。
      顯而易見，這種依靠個別用戶來判斷信息的敏感程度，再自覺放入加密文件夾或目錄里的方法并不是無懈可擊的，只要用戶工作做得不到位，整個系統(tǒng)的加密努力便竹籃打水一場空。此外，Outlook和網絡瀏覽器等一類流行軟件會把附件分散到磁盤的各個角落，通常是很不起眼的地方，因此就算是最嚴謹細心的用戶也難免會有百密一疏的時候。
有鑒于此，對整個磁盤進行加密是較可取的方法，整個加密程序會自動化進行，同時涵蓋整個磁盤，所以移動用戶大可放心。

      端點及移動媒介控制愈加必要
      此外，移動辦公已經不可逆轉的趨勢，要商業(yè)人員減少使用移動IT設備是不現(xiàn)實的，治本的方法是協(xié)助他們加強數(shù)據(jù)安全，精確地說，是使用嚴謹?shù)募用芗夹g配合訪問控制技術，令移動IT設備即使失竊，其存儲的數(shù)據(jù)也會"守口如瓶"。
USB端口、筆記本電腦和PC上其他即插即用端口數(shù)量正在逐步增長，這可能導致企業(yè)內重要數(shù)據(jù)發(fā)生泄露。
      然而單是對整合磁盤加密還不能解決移動設備的所有安全問題，用戶還需要管理及控制各種具有數(shù)據(jù)存取功能的周邊設備，這包括CD、DVD、U盤、各種便攜式存儲媒介如MP3播放器和數(shù)碼相機等。
      要有效防止上述USB設備泄露數(shù)據(jù)的第一步工作是把它們歸入信任或授權的可接受使用政策（AUP）內，同時教育用戶遵從AUP的重要性，以及違反它所帶來的風險。
      當然，僅僅靠政策是不夠的，還需要通過端口控制解決方案來支持并強制執(zhí)行，端口控制解決方案可以自動拒絕不合乎安全政策的USB設備，或者阻止傳輸某些文件或某些類型的文件類型。
      舉個例子，安全政策可以允許授權用戶使用已經加密了的UBS設備，但iPod或手機則不可以，一旦數(shù)據(jù)在一個授權的設備上被加密，如果有必要，它便必需能被公司有關人員通過中央管理系統(tǒng)來訪問。

      防止來自應用層的威脅
      全面保護移動數(shù)據(jù)的最后一個手段，是協(xié)助有關設備抵御來自應用層的軟件攻擊或惡意代碼。
      有效的端點安全首先是要每臺設備在被允許連接到中央網絡之前，運行一個實時升級的防火墻和防病毒保護。端點安全客戶還應該確保在筆記本電腦上運行了適當?shù)能浖a丁程序，還要包括一個虛擬專用網絡（VPN）功能，保證公司信息能安全地傳輸?shù)焦净驹O施，這些舉措必須是由中央管理。
      端點安全計劃還包括以下幾個關鍵部分：
      • 客戶機鎖定：防止移動用戶或攻擊者把端點安全保護變成無效，同時容許強制執(zhí)行網絡訪問政策。
      • 圍堵威脅：筆記本電腦端口只對獲授權的網絡流量開放，而且阻止網絡入侵的舉動。
      • 阻止未經授權的程序和惡意代碼取得敏感數(shù)據(jù)及傳送給黑客。
      • 郵件保護：隔離可疑的郵件附件和不適當?shù)泥]件–不管是通過軟件還是In-the-cloud服務（通過互聯(lián)網平臺提供的服務）。

yajing