新的消费数据安全法规层出不穷。现在美国有大约40个州已经发生了某种数据丢失案件,需要相关企业机构通知那些可确认身份的个人信息——例如银行账户、信用卡号或者社会保障号码——可能丢失的用户。最新的是Massachusetts Office of Consumer Affairs and Business Regulation在今年一月出台的Standards for The Protection of Personal Information of Residents of the Commonwealth法规。
这一系列新法规首次要求企业对保存在可移动驱动器(例如笔记本电脑以及闪存驱动器)的数据实施适当保护措施。与类似的数据丢失州立法律一样,它也适用于关于马萨诸塞州用户的数据——即使他们的用户保存在其他州。
一家位于马萨诸塞州Dedham的Papa Gino's and D'Angelo Sandwich Shops公司已经为此做好了准备。
就在前段时间,这家连锁餐馆的员工开始使用特殊的工具来保护敏感信息。Papa Gino's网络经理Chris Cahalin表示:“我们有不少员工使用口令来保护个人文件,或者从因特网上下载第三方加密应用来保护数据。最终他们可能会忘记口令或者丢失密钥。”
这种现象普遍存储,不过这并不是一种管理超过170台台式机和笔记本电脑加密的适当方法。他说:“我们知道应该制订一套更具可管理性的数据保护策略。”在文件和硬盘加密方面,许多企业尝试使用TrueCrypt以及PGP Pretty Good Privacy这样的开源工具,或者Windows XP、Vista以及OS X等操作系统中内嵌的加密功能。但是很快他们发现,多系统的管理的确是一项艰巨的任务。
Chalin几年前停止使用这种方法,并开始采用配置了信任可信任平台模组(Trusted Platform Module)的戴尔系统。TPM是一项针对加密处理器的规范,它可以生成和保存加密密钥,同时还具有例如远程验证等功能来检验一台设备是否已经经过加密。
虽然内嵌TPM加密功能意味着所有新系统可能采用自带的加密功能,但是这并不能解决管理个桌面安全设置所带来的巨大挑战。Cahalin表示,最近几年TPM成为硬盘驱动器上的一项标准配置,例如希捷的Momentus 5400.2 FDE驱动器。
使用TPM还可以让每位用户创建他们自己的加密数据池,安全地将数据传送到驱动器或者磁盘、或者MP3、智能手机和闪存驱动器等移动存储设备上的数据传入传出。他说:“第一次我们可以证明桌面是加密的,而且我们具有证明它已经被加密的能力。”
Cahalin的单向认证架构中采用了Wave System的Embassy Trust Suite,其中包括可以管理加密设置的客户应用、基于TPNM的口令库、密钥和口令管理以及远程管理功能。他说:“我不用分别访问每个系统就可以远程地管理所有这一切。”
这种单向认证架构不仅仅在安全性方面有所增强,它还大幅节省了成本。Cahalin表示:“每年我们在支持呼叫方面可以节省大约10000美元。而且我们不会再遇到密钥丢失、分别应用特殊的安全解决方案以及相关操作引起的宕机时间等问题。这在过去可能会导致数万美元的成本。”
责任编辑:小草
