数据加密生长在政府和企业的反应数据破坏的惨败,法规的要求。
虽然数据加密增加了成本和复杂性,企业和政府部门都变得执着于它 - 尽管有时它就像包办婚姻的合规性驱动,担心数据违反惨败的。
“We now require encryption for data at rest on laptops in the Air Force,” says Greg Garcia, member of the senior executive service of the U.S. Air Force and director of the 754th Electronic Systems Group at Gunter Air Force Base in Montgomery, Ala. The group sets security policy for the 500,000 laptops used by the Air Force.
“我们奖给该合同的增长,在退伍军人事务部发生了什么事了,”加西亚指出,暗指今年的数据破坏的惨败,并最后导致数以百万计的退伍军人个人信息被曝光对丢失和被盗的笔记本电脑。
该VA数据破坏事件促使管理和预算的白宫办公室,国防部和民用侧总务管理局看政府范围的方法为“静态数据”加密。
结果是美国政府有史以来第一次橡皮布采购协议(BPAS)的数据静止加密产品,以保护政府的笔记本电脑和可移动存储设备未分类的敏感数据。
BPAS在6月颁发到十一经销商,其中包括明智的决定,MTM技术和GovBuys。
名单上的加密产品包括机动装甲的数据装甲,了SafeBoot的(由McAfee收购在十月)了SafeBoot的设备加密,$ 350亿美元,信息安全的秘密代理,SafeNet公司的SafeNet公司的ProtectDrive,
加密解决方案” Skylock静止,的Pointsec移动技术”的Pointsec,Syprus’护符/ DS数据安全套件,WinMagic的SecureDoc,CREDANT技术”卫报CredantMobile和GuardianEdge技术” GuardianEdge。
州和地方政府的观点
什么是被称为数据静止加密BPAS也可用于由州和地方政府使用。收入的田纳西部门通过部署走自己的路在增加加密的移动笔记本电脑委托加密软件今年秋天上市。
“我们的数据是非常保密的,我们有大约300审计员和税务人员谁全国各地的旅行,以及状态的移动员工,”唐德里克,信息技术资源总监。“我们的策略是将这些设备首先加密。”
这两个委托的软件产品,委托Entelligence磁盘安全和媒体安全,费用分别为$ 149和每许可$ 28。该部门没有能力给予加密软件,它的所有员工,虽然目前部门需要加密,以保持对从地方到另一个地方携带的移动计算机保护的个人财务信息。
“这是我们的政策,现在,如果你是一个DVD或CD写入必须考虑到一个公民,任何机密数据有太多必须有加密,”德里克说。市民将获得田纳西州的密码礼貌对数据进行解密。
虽然该机构没有决定部署,因为VA数据破坏事件的具体加密,德里克承认,这是很难忘记他们。
数据隐私法规驱动加密
其他因素,他们遵守了银行,医疗保健和信用卡处理的监管要求中的首席,推动世界各地的敏感信息进行加密。
政府之外,银行也早已在商业领域最雄心勃勃的部署加密。“我们使用PGP加密敏感数据,”约翰·米金,在基于在英国的渣打银行的信息安全部门负责人约的商务旅客加密移动笔记本电脑说。“我们必须满足监管要求。”
这些措施包括欧盟数据保护指令,日本的个人信息隐私法和加拿大的个人信息保护与电子文件法。在美国,著名的雷竞技比分司机是健康保险流通与责任法案和萨班斯 - 奥克斯利法案。
“There are many state and federal regulations we have to comply with, such as Sarbanes-Oxley and HIPAA,” says Helen Thompson, CIO at Heartland Health, based in St. Joseph’s, Mo. The hospital makes use of encryption to ensure that patient information shared with health-insurance companies via the Internet is encrypted using either PGP or Microsoft Windows encryption.
通常情况下公司采用在网关加密外发电子邮件的方法。
职业教育公司,该公司经营范围涉及美国,欧洲和中东80后的中学,现在部署在PGP Universal加密网关加密包含在学生记录敏感信息的出站电子邮雷竞技比分件。
敏感信息由所检测到的的Vontu后,将数据泄漏预防网关IronPort的邮件过滤器检查授权路线,如果要加密的电子邮件的需求,它发送到的PGP Universal加密网关。“这是我们的隐私倡议的一部分,”迈克尔·加布里埃尔,在位于伊利诺伊州霍夫曼置业,职业教育首席信息安全官说。
支付卡行业数据安全标准是一组接受信用卡和借记卡支付组织的安全要求。其中一项要求明确要求卡数据加密,其效果是刺激越来越大的使用加密。
“If you don’t adhere to PCI, you risk fines against you, and you wouldn’t be able to accept credit cards,” notes Gavin Woolnaugh, infrastructure manager at U.K.-based AirMiles, which has deployed Ingrian Networks point-to-point appliances for encrypting credit cards.
缺点加密?
产品管理约翰的Dasher的PGP主任说,主要障碍加密利用多年来一直在寻找方法来有大量的机构外的人,如业务合作伙伴轻松地交换公共密钥。密钥用于加密和解密信息。
PGP已经采取的方法是让关键的查找功能,通过一个全局目录自动。“我们有项几十万的,现在,”他说。
“只要对数据进行加密是不是最难的部分,”保罗·科赫尔,总裁兼首席科学家密码研究中,总部位于旧金山的公司的设计和安全系统的分析,谁说,说高级加密标准是当今企业中最常用的密码算法。“你如何决定如何规范谁应获得钥匙?加密系统的强度只有强的关键。”
一些安全厂商认为加密实际上可以被看作是一种威胁了。
“加密可以作为一种方法来掩盖不良行为,”在奥克利网络营销副总裁汤姆·贝内特说。“应该有一个机制来监控,如果有人使用加密的方式来隐藏的东西。”
Oakley的终端监控软件,可以用来确定一个非常敏感的文件违反了该公司的安全策略的加密。“如果一个CAD文件被加密并发送出去一天清晨,我们就能够重播事件和重建发生了什么,”贝内特说。