現在，移動設備進入公司中的速度比螞蟻奔向野餐的速度還快。在安全方面，這導致了兩個問題的出現：訪問控制和數據泄露。本文，我們將關注與數據泄露和漫游信息保護相關行為在業務上帶來的挑戰。

　　數據泄漏

　　移動設備信息安全保護的根本關鍵問題是數據泄露。如果使用者不將機密信息復制到手機、筆記本計算機、優盤和其它移動設備中的話，對違規行為的控制將變得更簡單。

　　我對數據泄露的定義很簡單;它是指將信息從受到信任的地方移動或者復制到缺乏信任或者信任等級較低的地方。換句話說，信息的存放地點控制措施不完善，不能充分保護它的安全。

　　圖A中顯示的就是已經發現的用戶可能導致數據泄露的途徑，看上去數量非常多。如果不希望信息通過未知途徑廣泛傳播開的話，我們就應該采取措施，堵住其中的一些漏洞。

　　圖 A

　　建立相應的策略是一個很好的開始。很多公司還沒有開始對包括移動設備的使用方式在內的可接受使用策略進行更新。當然，監控解決方案應該檢查使用者是否已經了解并遵循相關策略。此外，利用技術手段防范不必要行為也是降低風險的另外一種有效控制措施。在這里，數據丟失防護(DLP)和電子發現解決方案可以提供幫助。

　　數據丟失防護控制包含了兩個層次：網絡和主機。網絡層會對整張網絡中數據的流動情況進行監測。不過，防止數據泄露的最好模式是利用如圖A所示基于主機的DLP。

　　基于主機的解決方案可以在從本地存儲設備中移出數據時予以阻止，在本地存儲設備移動時進行必要的加密，并且可以容許系統管理員對移動存儲設備的使用進行監視和限制。如果使用者沒有對移動數據的需求，就不要讓他或它復制任何數據到CD、DVD、USB驅動器等存儲設備中。關于是否采用家庭辦公模式的爭論往往會導致策略失效。特別是人力資源部門(HR)選擇這種方式，以回避加班費之類州勞動法的限制時。

　　對移動存儲設備的另一種訪問控制模式是采用設置了活動目錄組策略的計算機。微軟公司免費提供了相關的.adm必備文件。關于它的使用說明，《防止信息泄漏指南》，在第三節：限制可移動存儲設備的使用中。該文件中還包含了圖A中很多泄露方式的相關信息。

　　電子發現解決方案可以對企業共享和隱私文件夾中的機密信息進行確認。很多供應商已經將在發現機密信息處于低信任區域時發出警告和自動移動功能添加進來。通過使用電子發現解決方案，你可以對數據泄露情況進行檢測，并從結果中發現更多的信息。

　　從回答下面的問題開始，創建一個數據泄漏預防策略(歐扎克，2010年發表于首席安全官在線。)

　　· 公司是否禁止在桌面系統上保存文件?是否會將文件重定向保存到網絡存儲設備(舉例來說，文件服務器和網絡附加存儲)上?如果桌面系統采用的是Windows，那我的文檔是否會重定向到網絡存儲上?

　　· 申請或數據倉庫解決方案，是否會將機密數據分配到最終用戶使用的設備上?他們這么做是因為沒有別的可行解決方案么?能否利用其它方式來提供這些信息(舉例來說，門戶網站)?

　　· 公司是否對包括筆記本計算機在內保存機密信息的移動存儲設備進行了加密?

　　· 在機密數據被移動或者保存到安全控制措施不足的區域時，公司是否部署了全面的監視和警告解決方案?

　　· 是否建立了針對打印機和傳真機的安全使用管理策略?

　　· 對于廢棄的紙質文件表單、報告和其它包含機密數據的印刷品，公司是否提供了安全的處理方式?制約安全處置的是策略和管理層的執行情況么?

　　· 對于電子和光學介質的處理，公司是否有專門的措施?制約安全處置的是策略和管理層的執行情況么?

　　· 公司是“通過電子表格進行管理的”么，大量的機密數據處于共享狀態，或者分散保存在很多沒有備份或者容易遭到盜竊的區域?

　　· 對電子郵件的內容是否進行監測，在發現機密數據位于潛在不安全的介質上處于共享狀態時是否會發出警告。

　　不過，微軟提供的官方文檔、常識和認知讓我們認識到，就是，不管建立了什么樣的限制措施，用戶總會找到方法將數據保存到移動存儲設備中。這時間加密技術就可以提供幫助了。

　　作為后續控制措施的加密技術

　　首先，讓我們認識到這一點。加密是防止出現泄露的后續控制措施。安全的基本原則就是，只有在正常沒有出現問題的時間才需要保護。因此，加密作為一種信息保護的解決方案，毫無疑問絕對必須位于筆記本計算機和USB驅動器等設備中。

　　對于存儲設備上的數據來說，有兩種加密的方式：按照文件或文件夾進行單獨處理，或者對整臺設備進行全面處理。文件或文件夾的處理方式通常需要使用者將信息保存到部分加密設備的正確位置，或者加密復制的文件。依靠使用者進行處理從來都不是一個好主意。

　　如果你部署了基于主機的DLP，就應該考慮選擇一種產品，可以自動將對在本地存儲設備中找到的機密信息進行加密或者將移動存儲設備鏈接到主機上。

　　我首選的模式是對整臺設備進行加密，為保護筆記本計算機，強制執行開機前驗證(PBA)規則。在Windows　7企業版中，利用驅動器加密工具Bitlocker很容易做到這一點。不過，對于大型公司來說，通常需要更好的方法來管理全盤加密的筆記本計算機。

　　安全經理在選擇適用于本公司的筆記本計算機加密解決方案時，應考慮到下面列出的幾個問題：

　　· 密鑰管理。如果你希望使用者在忘記密碼后，還可以訪問加密信息，或者在使用者離開公司后，還可以訪問筆記本計算機中的關鍵信息的話，對密鑰進行集中管理是非常，非常重要的。

　　· 密碼重置管理。只有在完美的世界里，使用者才會永遠記住自己的密碼。不過，我們還沒有發現這樣的世界。因此，確保選擇的加密解決方案中提供了幫助使用者隨時隨地進行密碼重新設置的功能是非常重要的。通常情況下，代碼交換是通過無法訪問的筆記本計算機和加密支持應用完成的。

　　· 性能。將應用程序與所有的潛在加密解決方案進行測試。做到這一點的最佳方式就是先進行小規模的試點。全盤加密對性能一定會產生影響的。但是，它不應該導致使用者向你發郵件表示抗議。

　　· 成本。除了采購和部署成本職位，企業加密方案中經常會出現隱藏的軟性成本。在購買之前，你應該與其它使用者就解決方案進行探討。需要多少全職員工(FTE)來進行管理并為軟件和相關基礎設施提供技術支持?

　　· 密碼策略。最后，確保選擇的解決方案提供的密碼策略可以支持利用活動目錄或者其它身份驗證機制。實際上，不論是PBA密碼還是AD密碼的更改，都可以改變對方。請記住，全面加密技術最大的弱點之一就是弱密碼。不過，如果攻擊者猜到了密碼，你的加密技術有都強大就不重要了。強密碼支持的生物識別技術掃描儀可以在筆記本計算機的數據和攻擊者之間建立一道高墻。

　　結 論

　　畢竟，對筆記本計算機和其它移動存儲設備進行加密不是一種選擇。所以，如果你已經實施了反泄漏控制措施的話，我不建議你放棄加密措施。畢竟，如果信息暴露得更少的話，數據泄露的風險也會大幅降低。

　　在部署加密措施的時間，一定要與包括商業用戶在內的所有相關人員進行溝通。對移動設備進行加密處理會導致工作復雜性的上升，從而降低員工的幸福感。因此，一定要著眼于確保將對業務影響的復雜性降到最低。