大中型组织的终端安全问题-Dell.PDFVIP

大中型组织的 终端安全问题 白皮书 本白皮书仅供参考，可能包含排版错误和技术上的不准确性。本文内容按原样提供，不含任何形式的明示或暗示保证。 简介 对任何组织来讲，实施策略来确保终端上的数据免遭失窃、丢失、数字入侵和他人窥探是非常重要的。客户 在防止客户端数据丢失或泄漏时，需将精力集中在这四个关键方面：加密、阻止恶意软件、身份验证及物理 安全保护。客户数据保护程度的强弱取决于以上四方面中最薄弱的一环。 数据安全保护十分重要 保证终端安全十分重要，因为它是您网络和数据中心的大门。而现在，因未采取适当的安全措施而致使数据 遭受风险的头版新闻比比皆是。根据分析师的报告，系统上的数据往往比系统本身更珍贵。大多数的客户都 认同这样的结论，认为系统里的数据以及因被盗或丢失数据所要承担的损失都要超过系统本身的价值。讲到 终端安全，设备的终端用户具有不同程度的技术知识，他们可能在执行安全流程和程序时缺乏一致性，无论 去哪都随身携带设备中的数据。如果您把平均每台笔记本电脑上的数据量乘以您组织内的笔记本电脑数量， 您会发现，每天可能从这座建筑物流出的数据量是相当惊人的。根据您组织的规模大小，这个潜在的流出量 有可能超出您数据中心内固定的存储量。 这就是终端安全对组织至关重要的原因 - 数据可能轻易就在机场、计程车、零售店停车场、员工家庭或是其 他许多地方丢失了。庆幸的是IT组织可以采取措施来保证终端设备上的数据能够始终受到保护，免遭失窃、 泄漏或丢失。在终端安全上采用分层的方法会保护您最重要的数据。 损害公司IP或是客户数据，比丢失一台计算机给公司造成的损失更大。在最好的情况下，这可能损害公司的 公众形象或信任度。在最坏的情况下，丢失数据可能导致巨额罚款、损害您组织的信任度 （进而影响组织声 誉）或者业务关键IP受损。 数据保护 在多数情况下，政府法规规定要以安全的方式保护数据。法律规定必须保护的数据有两个很好的例子：个人 医疗数据，由HIPAA （《健康保险流通与责任法案》，该法案于1996年纳入联邦法律）管理；以及公共和私 人财务数据，由2002年颁布的企业管理法案 《萨班斯-奥克斯利法案》（也称为《公司审计责任法案》）管 理。 除了这两个为人熟知的例子，2010年4月，美国有46个州颁布法令保护市民数据，如果数据遭破坏，就要发 布外泄通知。总体来说，这些法令要求保护与市民 （其主要居住地在本州）相关的所有数据。国际社会也开 始采取措施来保护个人的身份信息，比方说出台了《欧盟数据保护指令95/46/EC 》这样的数据保护法规。 保护什么？ 在与安全解决方案供应商联系之前，您需分析要优先保护什么。什么是更重要更需要保护的，是有形资产还 是资产上存储的数据？ 多数情况下，IT组织会优先保护数据而不是有形资产，因为他们认为数据比笔记本电 脑更珍贵。 关于如何实施安全策略，各种思路和建议众说纷纭。这些思路和建议大多是为了向客户兜售针对供应商产品 而推出的解决方案。 假设要保护的对象是数据，那么下一步就是对组织内保护终端上数据的当前策略进行评估。最低要求的客户 端平台安全战略包含四个必须评估的方面 - 用户身份验证、休眠数据、使用中的数据以及物理保护。 2 用户身份验证 要求用户身份验证，同时坚守访问控制策略是您的第一道防线。对您的身份验证要求进行评估：仅凭密码， 保护是否到位？ 您是否需要多重身份验证，比如智能卡加个人识别码或指纹加密码？ 多数客户认为使用密码就够了。如果使用密码，密码的复杂性和长度是非常重要的。最近的一项有关密 码的研究发现了这样一个突出问题：多数用户选择的密码过于简单，最常使用的密码包括 “123456” 和 “Password”。您应该贯彻实施有关密码复杂程度和密码重复使用的政策。1 特别注意只使用小写字母、 字母字符和使用所有可用的字符 （大写、小写以及 @#$%^*等特殊字符）之间的区别。对于8字符的密 码，仅仅添加一个大写字母和一个星号，普通计算机成功进行攻击的处理时间就可能从2.4天变成2.1个世 2 纪。 多重身份验证会导致破解系统的时间呈指数增加。每隔90天强制更换密码，以及培训您的工作人员如 何更安全地使用密码，同样很重要。 在引导顺序中，应当将身份验证尽可能提前。BIOS验证是一种非常有用的工具，因为它是量化的，可信赖 的。BIOS攻击不像操作系统攻击那样普遍，因为相比为人熟知、定义明确的操作系统环境，要感染专用 OEM ROM代码库是很不容易的。同样需要谨记的是在操作系统启动验证之前，必须先下载大量代码，之后