新的数据安全保护标准

Protectwhatyouvalue.新的数据安全保护标准：全盘加密行业：保险业白皮书新的数据安全保护标准：全盘加密行业：保险业年7月，美国加利福尼亚州通过了参议院1386号法案(SenateBill1386)，根据这项法案，出现信息安全问题时，公众有知情权。如今，公众和媒体对信息安全问题越发关注，但以往，这类问题几乎都是不予人知的，或者只有少数技术人员知道。这部法律颁布后，美国又有38个州相继通过了类似法律，这些法律要求，如果个人信息被泄露（或者仅仅是可能被泄露），则必须如实告知当事人。即使上述各州没有颁布这些法律，而且联邦政府没有制定相关法律，各企业也已开始意识到自己应当有这种告知义务。而且，公众和媒体也逐渐意识到他们有知情权。2005年轰动一时的ChoicePoint事件之所以演变成如此大的一件丑闻，真实原因在于ChoicePoint根据法律规定，在事发初期只通知了其加利福尼亚州的客户。后来，迫于公众和媒体压力，该公司不得不告知所有的受害客户。2006年，保险公司承保的个人信息泄露事件涉及的人数超过了100万。如果客户信息出现安全问题，无论是小型社区健康保健机构还是美国最大的保险公司都有责任告知当事人。让我们来看两个案例：•2006年，KaiserPermanente发生了两起严重的数据丢失事故。第一起发生在当年的8月份，一台存有大约38,000名患者个人信息的便携式计算机被盗。10月份，该机构向160,000多名会员告知：存有他们个人信息的便携式计算机被盗。•2006年8月，Aflac的一名代理的便携式计算机被人从车中盗走，该计算机中保存了612名客户的个人信息，包括这些客户的社会保障号。从2005年起，美国共有1亿多条个人记录被窃或泄漏出去。幸运的是，对于那些努力保护信息安全的企业而言，如今，实现全面而充分的保护已经变得相当简单，且经济高效。而以前，如果要在日常应用中采用加密技术，成本非常高。无论法律还是公众舆论似乎都越来越重视信息披露中的安全港原则，即，在发生数据外泄时，应确保信息是经过加密的。如果无法以任何合理方式访问到信息，则这些数据被误用的风险就很小。不过，仅对数据进行加密只是比较简单的一步。在评估安全系统时，不可避免地还要考虑其他因素。Cryptosystem是一个可对数据进行加密并管理密钥的软件，该软件在技术上非常复杂，并且在构建时极容易出错。然而，对于一般的企业威胁环境而言，这些困难是不可避免的。有些企业身处竞争极为激烈的环境，它们要面临各种高度复杂的攻击，稍有不慎就要付出沉痛代价。绝大多数希望遵循信息披露制度中的安全港原则并且希望为客户提供合理保护的企业更关注的是安全解决方案实施的日常要求。与所有IT工程一样，对于大多数企业而言，在考虑采用某项技术时，必须首先考虑技术的总拥有成本(TCO)。无论安全目标多么重要，作为一个安全专业人员，如果在选择安全产品时，不考虑其与现有系统（如目录、供应系统、软件分布、公共密钥基础架构和其他大型企业应用程序）的集成，就不是一个尽职尽责的安全专业人员。此外，在进行准确的TCO评估时，必须考虑解决方案是否能给一线技术人员带来便利、是否能与现有企业架构有效集成。许多解决方案实施都以失败告终，原因不外乎两点：工具太难使用；需要企业对现有架构进行不可能或代价高昂的调整。所有这些因素都要根据技术能带来的收益进行综合权衡。2白皮书与上述这些多少有点现实但很关键的考虑相比，更重要的是，需要能够证明软件是否真的像广告宣扬的那样功能强大、安全可靠。正如SB1386改变了人们对个人信息保护的看法，萨宾斯-奥克斯利法案(Sarbanes-Oxley)要求企业能够证明自己在IT方面具有比以往更出色的防护水平和更完善的功能。根据现今的法规，企业必须：在策略中明示自己的承诺；切实履行所作的承诺；并且能够证明自己完成了承诺。许多企业为了满足第三项要求，不得不疲于找寻必要的证据，而有时，根本就无法找到。当找到证据后，您还会面临一大挑战，即：如何确保这些证据的一致性和有效性。结果，企业将更多的时间花在了审核和出具书面报告上，而不是用在信息安全保护方面。对于类似全盘加密这样的技术，其主要目标之一就是确保企业遵循信息披露制度中的安全港原则，很显然，企业需要证明数据保护已做到位，即便数据丢失或被盗，数据依然会安然无恙。如果因数据丢失或被盗而引发法律纠纷，原告律师有责任要求企业明确信息是否已经过加密。在这类案件中，企业除了要承受负面新闻报道以及向客户告知的压力外，还必须面对来自美国联邦贸易委员会的强大压力。美国联邦贸易委员会(FTC)往往将加密视为企业应采取的一项合理安全保护措施，该委员会曾对那些未能充分保护信息的企业提出过指控，并下达了判决书并进行了罚款。全盘加密技术功能强大，而且比较经济，被广泛采用，现在已被视为一项合理的安全保护措施—确切地说，是一项必不可少的措施。McAfeeTotalProtectionforDataMcAfee®DataProtection是业界最全面的解决方案，能够为企业的数据提供保护，阻止未经授权的人或组织访问和传输这些数据，从而避免由此而产生的风险。该解决方案拥有强大的加密功能、身份验证功能和策略驱动型安全控制，能够帮助您有效确保知识产权信息和客户机密数据的安全—无论数据处于何种状态（闲置、在用或者传输）。DataProtection的重要组件之一是McAfeeEndpointEncryption（原产品名称为SafeBootEncryption）。它是一款企业级安全解决方案，具有强大的全盘加密、内容加密，以及访问控制功能，可帮助您有效防范各种终端设备上的机密数据被未经授权的人或组织访问，其中包括：桌面机、便携式计算机、TabletPC、PDA和其他移动设备。McAfeeDataLossPrevention是DataProtection的另一个重要组件，可以对敏感数据进行全面监控。通过对各种应用环境下（在工作中、在家里和途中）机密数据的使用进行监控和防范，有效保护企业免遭财务损失、品牌受损、竞争力下降、客户流失和违规等风险。1=story&AT=339272771-139023764t-110000105c2://://网站提供了关于此方面的很多说明性示例。本文写于2007年11月，作者ScottS.Blake是注册信息安全员(CISM)、国际注册信息系统安全师(CISSP)、注册信息安全管理人员(CISO-in-Residence)，同时还担任着EchelonOne（一家安全研究公司）的运营副总裁。本研究报告由McAfee组织撰写。更多信息有关数据保护的更多信息，请访问。3白皮书©2008McAfee,Inc.除非得到McAfee,Inc.的书面许可，否则不得转载本文档任何部分。本文档所提供的信息仅用于培训目的和便于McAfee用户参考。文档包含的信息如有更改，恕不另行通知。这些信息“按现状”提供，对其准确性或这些信息对任何特定情况的适用性不做任何保证。McAfee、Avert、AvertLabs是McAfee,Inc.在美国和其他国家/地区的商标或注册商标。所有其他产品名称和品牌是其各自所有者的财产。6-dp-ins-001-0108迈克菲（上海）软件有限公司北京市朝阳门外大街18号丰联广场A座1505室邮编：100020电话：(8610)65383399传真：(8610)65885601上海市徐汇区虹桥路3号港汇2座4005-4006室邮编：200300电话：(8621)61458878传真：(8621)61132278广州市天河区体育东路118号财富广场西塔15楼106室邮编：510620电话：(8620)38860668传真：(8620)38860638迈克菲销售热线：800-819-88794