参加世博会 小心数据泄密

日期: 2010-04-29 作者:韦一 来源:TechTarget中国

  2010年上海世博会于5月1日开幕,10月31日闭幕,历时6个月(共184天),有192个国家和50个国际组织参展。参会人群包括各国政要、跨国公司、政府官员、参展企业、参会民众等。据估计,在持续半年的世博会期间,将会有来自全世界各地的7000万人参加世博会。作为参会者,不仅要遵守世博会的相关规定,还需要确保自身财物的安全。在参会期间,参会者不可避免地要携带笔记本电脑、移动存储设备、手机、照相机、摄录机等物品。由于这些物品上都会保存重要信息,一旦被盗、丢失,就可能导致数据泄露,给国家、单位和个人造成损失。

  根据国外媒体的报道,美国所有机场每周丢失笔记本电脑的数量超过1万台。全美国36个大型机场报告每年有超过63.7万台笔记本电脑丢失,平均每周为10278台,找回的比例仅为35%。77%的受访者表示对找回丢失的笔记本不抱希望,16%人表示不会为找回丢失的笔记本而采取行动。在成千上万丢失的笔记本中,53%受访者表示笔记本上带有保密信息,一半用户对于数据没有采取加密或其他保密措施。

  也许,有部分参会者认为,加强自我保护意识,提高警惕,就足以防范财物丢失。其实这是一种错误的认识。笔者2001年参加第十届中国医疗设备博览会(南京),虽然时时处处小心翼翼,但仍丢失了公司的奥林巴斯照相机,导致照相机上的重要图片和参展信息全部遗失。今年世博会参会人数高达7000万,要想每个人都能保证物品不被盗取或遗失,是不可能的。

  为了防止存储设备丢失后导致机密信息泄露,笔者建议,在参会之前对所有存储设备进行加密。以下是关于各种设备泄密途径分析,并提出了相应的参考建议,以飨读者。

  一、笔记本电脑泄密

  笔记本电脑被盗、维修和遗失导致的泄密风险分析

  参会者不远万里,跋山涉水到达上海,其随身携带的笔记本电脑在机场、出租车、酒店、停车场和展馆都有可能被盗和丢失。而那些通过快递公司运输的笔记本电脑,是不是就一定能确保安全呢?答案显然是否定的。一旦笔记本电脑被盗或者遗失,笔记本电脑上存储的数据就很可能曝光。不仅如此,笔记本电脑在使用过程中发生故障送至维修点后,其中涉及个人隐私和机密信息的文档资料,很可能就会落入他人手中,甚至会在网络上漫天飞舞。

  笔记本电脑数据保护常规处理办法及其弊端

  1、防盗锁

  常见的笔记本防盗锁开锁方式分为密码控制型和钥匙控制型。此锁技术含量偏低,易被破解。无人之处只要一柄钢筋钳即可(德国进口的只要20cm长,非常便携),绝大多数的本本都有此装备(只要是配置安全锁口或安全插槽的)。
 
  2、设置密码

  例如BIOS密码、屏保密码、文件密码。 缺点:仅靠1~8位的英文或数字组合的密码,对于专业人员来说都是极易破解的。

  3、指纹识别系统

原理:利用用户预先存储的指纹样本来替代记忆繁琐、容易丢失的密码,检入速度更快。缺点:属于最新研发的技术,因而价格昂贵,应用于民用产品尚属初期,稳定性还需改善,例如用户指纹遇到破损的情况将增加检入的难度。

  这些保密措施一般只是验证用户提供的验证识别是否正确,没有将验证识别与用户数据通过加密等方法捆绑起来,但很容易被破解,其安全性非常有限。只需简单地修改系统运行流程即可实现破解。即使能够做到无法破解(从理论上看,根本无法做到),也有其致命弱点,即只能保证在没有合法授权(如没有合法的指纹输入等)的情况下,其他用户无法启动计算机,但无法防止存储在磁盘上的数据不被泄密——其他用户只需将该笔记本上的硬盘挂到其它计算机上,即可轻易拷贝其中的数据。这两种方法只是限制了其他用户使用该计算机,却无法防止存储在该笔记本上数据的泄密。

  4、第三方软件加密,例如Smart Card(智能卡)、U锁、i-Key

  原理:通过一张带有存储功能的识别卡或电子密钥来对信息进行加密。 缺点:卡片一旦丢失,用户无法自行处理,只好拿着笔记本电脑去找维修部门处理,花费不小、耗时较长。

  5、内置安全芯片,例如IBM的嵌入式安全子系统(ESS)2.0

  原理:芯片级安全技术是目前最安全的系统保护措施之一。这种内置于主板之上的新型安全芯片将本本的安全、加密和密码管理等验证信息储存在内,实际上是将这些信息与笔记本绑定。缺点:一旦忘记自己设置的密码,即使IBM也无回天之力,硬盘中的数据肯定是无法恢复了。从费用上看,这是一种贵族消费,会大大地增加笔记本的成本,使得多数有保密需求的笔记本用户不愿采用,从而无法推广普及。

  专家建议——采用最先进的笔记本电脑数据保护手段

  当前最先进的手段是采用全磁盘加密软件(FDE软件)对笔记本电脑数据进行加密。国外FDE软件有免费开源的如TrueCrypt 、FreeOTFE 3.00、7-Zip,或者付费企业级产品DriveCrypt、Dekart Private Disk、PGP Desktop专业版。还有Pointsec和Safeboot两款世界级的软件产品。

  推荐产品

  作为中国用户,建议采用北京亿赛通公司研发的DiskSec软件。DiskSec的功能和性能,比上述FDE软件更为优越。目前,DiskSec已经在中国空军全军部署,超过10万台笔记本电脑已经得到保护。该软件在北京亿赛通公司网站(www.esafenet.com)上即可免费下载并使用一个月。

  二、移动硬盘、U盘泄密

  移动硬盘、U盘被盗和遗失导致的泄密风险分析

  移动硬盘、U盘设备体积小,容量大,携带方便,已经成为一种必备的存储设备。移动硬盘、U盘往往存放着重要信息,而且容易被遗失。因此,对移动硬盘、U盘的加密保护,当为首要之务。

  移动硬盘、U盘数据保护常规处理办法及其弊端

  1.控制读取权限

  限制读取权限在很多设备中被广泛应用,核心是用户验证。通过软件或硬件识别用户,并在验证通过后再开放读取权限,这样就可以让其他用户无法读取存储设备内的内容。

  缺点:过程较为繁琐,用户连接设备后还需要先经过执行软件的步骤,并且要牢记设备密码。而且致命的问题是,如果移动硬盘或U盘遗失,得到者只需要拆除外壳,取出裸盘或存储芯片,越过原有的主控芯片就能读取出存储的内容。整个过程甚至在几分钟内就能完成。

  2.手动生成密文

  目前市面上的很多移动硬盘、U盘都附带了加密功能。用户需要启动加密软件,加密软件会用用户输入的密码生成密钥,将文件写成密文。这种密文,即使被别人获得,在不知道密码的情况下也很难破解。

  缺点:手动生成密文的过程较为繁琐。用户在需要读取的时候,还需要经过一个解密的过程,将密文转换成明文才能读取。这种转换过程中生成的明文也成为破解者攻陷数据保护的罩门所在。

  专家建议——采用全盘加密的移动硬盘、U盘

  全盘加密移动硬盘、U盘,能使全部存储数据都以密文形式书写。这一过程同样通过软件来完成。需要对硬盘进行读写时,首先需要启动相关软件并输入密码。之后,无论是读取还是书写,软件将在后台进行加密和解密过程,明文仅仅存在于内存中,硬盘上的数据都是密文。这样,即使硬盘遗失,数据依然处于保护之中。
市场上有采用硬件加密方式,对移动硬盘、U盘进行加密的,加密和解密过程都是在芯片中完成。但是,硬件级全盘加密移动设备,往往价格比较高。综合性价比来看,还是采用软件全盘加密的移动硬盘、U盘比较合适。

  推荐产品:亿赛通安全硬盘、安全U盘,爱国者加密硬盘

  三、手机泄密

  手机被盗、维修和遗失导致的泄密风险分析

  手机会导致泄密,这已经是众所周知的常识。手机在通话、待机和关机状态下,都有可能泄密。只是,本处所讨论的并不是防止手机在正常掌控下的泄密,因为多数人在参加世博会时,并不担心手机通话导致泄密。本处关注的是在手机被盗、维修和遗失之后,手机内存储的信息被泄露。

  如今,手机不仅仅是一个通话工具,也是一种移动存储设备。手机内除了存有电话号码之外,还可能存储图片、音频和视频文件。尤其是3G手机的广泛应用,手机内能保存的重要信息越来越多,俨然已经成为一个U盘。

  手机数据保护常规处理办法及其弊端

  对于手机号码,建议在参会之前,把手机内所有电话号码复制保存于其他设备上,比如存放在手机号码存储卡,或者是网络存储空间,避免在参会时手机遗失后,因为没有联系人的号码而无法联系。
至于手机内存储的文件,只能及时备份保存,目前还没有相应的解决办法。手机本身也可以设置密码,但是对专业破解人员来说,这样的密码形同虚设。所以,为了避免手机被盗、丢失之后的重要信息丢失,建议把手机内重要文件转移到其他移动设备,比如全盘加密的笔记本电脑和移动设备。

  专家建议

  专家并不能给予持手机参会者更好的解决办法。专家提醒从事加密软件产品研发的企业,尽早开发出对手机存储的数据进行加密的产品。

  推荐产品:无

  四、其他移动存储设备(MP3、MP4、照相机、摄录机等)泄密

  其他移动存储设备(MP3、MP4、照相机、摄录机等)被盗和遗失导致的泄密风险分析

  本人对于2001年4月在南京参加博览会丢失奥林巴斯相机一事一直耿耿于怀。9年来,那次惨痛的教训至今都仍然不能忘记,因此,一看到照相机,就会极为敏感地联想到如何防止照相机数据泄密。

  与笔记本电脑、手机等物品一样,诸如MP3、MP4、照相机、摄录机等等之类的移动存储设备也往往保存着重要的信息。这些设备的丢失,一样会造成巨大的泄密风险。
常规处理办法及其危险

  我们能在网络上搜索到“加密相机内存卡”、“加密摄录机”“加密MP3/MP4”等软件产品,这看起来是好消息,能对所有的移动设备进行加密,那就可以高正无忧了。但是,如果你真要采用这些软件产品对你的MP3、MP4、照相机和摄录机内的数据进行加密的话,那将是非常危险的。

  由于对MP3、MP4、照相机和摄录机进行加密的用户比较少,很难成为规模需求。在没有大规模需求的前提下,大多数商家都不会花费大量人力物力财力去做相应产品的研发。因此,市场上对MP3、MP4、照相机和摄录机等设备内的存储卡进行加密的软件产品,往往是发烧友出于个人爱好进行的实验性产品,其性能很难有保障。

  采用这些加密软件最大的危险在于,一旦你对MP3、MP4、照相机和摄录机内数据进行加密之后,很可能导致数据损坏无法修复。而且,由于这些软件产品没有售后服务,一旦你的数据损坏而无法恢复,你连哭诉的对象都找不到。

  专家建议

  由于市场上目前还没有完全成熟的对应产品,建议及时把MP3、MP4、照相机和摄录机内的重要信息保存在全盘加密的笔记本电脑、移动硬盘和U盘里。之后再把MP3、MP4、照相机和摄录机的重要信息删除,以防设备丢失泄密。

  推荐产品:无

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

韦一
韦一

相关推荐

  • 结束“智能手机加密”是蓄意误导吗?

    纽约地区检察官Cyrus Vance发布“智能手机加密和公共安全报告”2.0版,根据该报告指出,曼哈顿地区检察官办公室“自2014年10月以来合法没收423部苹果iPhone和iPad,因为默认设备加密而无法访问这些设备”,Vance称无法访问设备的数量在不断增加中……

  • 如何能在遭遇勒索软件攻击时硬气地“拒绝支付”?

    在勒索软件攻击事件发生之前就彻底地思考响应策略是非常关键的。准备好一套清晰的响应计划帮助企业决定是否需要为被劫持或加密的数据支付赎金,有助于理性地对付攻击,并制定最佳决策。

  • 防数据泄密:是否应实施“多重认证”?

    不管你如何认识多重认证,随着更多的行业规范都要求多重认证,多数企业都要尽早实施这种安全机制。虽然多重认证的实施存在一些困难,但它是一种可以减少风险而不仅仅是满足审计人员的重要举措之一。

  • 逆行:为什么信息安全将越来越依赖于硬件安全?

    从历史上来看,企业信息安全技术在很大程度上依赖于软件安全产品来执行政策、阻止恶意软件和加密数据。然而,根据一位业界领先的密码学家表示,计算机安全硬件在未来将发挥更大的作用。