在计算机安全方面,首要的问题不是企业是否应当多疑,而是如何多疑。为了降低泄密的危险,许多公司都不约而同地想到了加密,问题是,它们是否定使理解这一技术的作用以及应当如何部署这一技术?
一个常见的错误认识是,只要加密的数据就是安全的。这并不总是正确的,目前使用的加密算法有许多,但它们并非都具有相同的功能。伯克利Unix操作系统的开发者之一伯勃表示,许多算法之间的差别是明显的。如果需要最高的安全性能,用户就需要使用Twofish或AES。伯勃还指出,目前,还有用户在使用一些不安全的方法,其中包括单一的DES、异或运算,甚至是ROT13。
伯勃说,尽管许多软件对数据使用了安全性颇高的加密算法,但在其他方面却是不安全的。例如,一些流行的产品对数据使用了很强的加密算法,但将密码存储在文本文件中,或者在所有系统中采用了ROT13或异或运算等安全性能不够高的加密算法。
一些不对用户名和密码加密的软件受到了具有安全意识的专业人士的抛弃。伯勃说,例如,FTP、Telnet、POP和IMAP━━除非是采用SSL协议加密的POP和IMAP,是最大的安全威胁,所有这些协议都使用文本方式或不加密的方式在网络甚至是互联网上发送用户名和密码,使所有人都可能看法这些用户名和密码。
他说,企业应当采用安全的协议。对于采用POP和IMAP协议的企业,它们应当转向SPOP和SIMAP。在Linux和Unix服务器上安装这些协议没有什么意义,大多数的电子邮件客户端软件都至少支持其中的一种。
无论您是否相信,企业确实需要重新考虑对数据的加密。尽管端对端的加密能够使竞争对手和潜在的骇客朿手无策,但内部的加密本身也会引起安全问题。
在允许员工对数据进行加密前,企业的官员应当考虑到其后果,因为加密不但能够使外人看不到相关资料,极有可能连老板也不能看到相关资料。趋势公司的全球培训主管戴维说,如果允许员工使用PGP或GPG等软件加密数据,企业就会有一种不安感。他表示,如果允许员工随意使用加密技术,我就不知道他们在干什么了。戴维说,大多数企业不需要在每台PC上都部署加密技术。
伯勃说,最重要的是清楚何时需要使用加密技术。许多企业在应当使用加密技术的地方不使用加密技术,它们使用未加密的电子邮件或FTP通过互联网发送非常机密的资料。他建议,企业应当在备份时采用加密技术,因为许多企业的备份都包含有机密资料,更糟糕的是,它们还将备份放在所有人都能够访问的地方。
任何担心安全的企业都不应当将它们的信任交给自己看不到的代码。伯勃说,开放源代码是一个不错的选择。他表示,能够看到源代码是许多政府机构选择开放源代码软件的原因。
最基本的是,在部署之前,企业要对加密有一个全面的理解,其中包括加密的程序和策略以及加密方法。不能保持较高安全性的企业都夺可能受到严重的黑客入侵攻击。
更多内容请看PCdog.com--Sniffer安全技术 安全答疑 路由安全配置专题
