觀點

可攜式電腦全部加密

2009 / 02 / 17
iseditor
可攜式電腦全部加密

1家價值數10億的公司是無法接受儲存在可攜式電腦中的資料會造成資安威脅的。它決定佈署越來越多人使用的安全策略-在每一台電腦全磁碟加密。

以下是您被覬覦的目標:儲存著您公司商業機密的可攜式電腦、內存著商業夥伴
與客戶資料以及您公司財務資訊的可攜式電腦。Timken公司無法忍受將這些機器被遺留在汽車或飯店房間內、被競爭對手雇用的商業間諜或者一般小偷竊取所造成的風險。
Timken和一般相同規模的公司並沒有太多不同。它擁有25,000名辦公雇員以及更多 每天在陸上奔波進行交易的員工,所以企業必須面對大量可能因為可攜式電腦遺失或被竊,所造成智慧財產、財務相關資料外洩風險。在27個國家、62個地點,設立有114個辦公室的Timken公司和其他相同規模的公開公司開始增加使用越來越普及的全磁碟(fulldisk)加密安全技術。
「保護我們的智慧財產已經成為高層主管最在意的事之一」Timken的資深IT技術專
家Roger Herbst說。 Herbst過去在對所有Timken可攜式電腦 上佈署全磁碟加密這件事上僅有微小的影響力。執行者後來了解遺失存放有Timken針對汽車、工業、航太與精密工業的軸承、合金以及潤滑油產品設計圖的電腦將造成的損失。沒有任何人會願意看到華爾街日報上出現斗大的標題來責怪公司遺失了合作公司與客戶資料或者是交易過程中所產生的資訊。
由於不當資訊洩漏意識的抬頭以及嚴苛的資料侵害通告法律規定,全磁碟加密開始
被投以越來越多的關注,雖然不是最新的技術,但是卻是最常被各家公司用來緩和資訊不當洩漏所造成的危害。
「資料遺失會在財務與法律這2個層面上都造成損害,而透過良好的全磁碟加密政
策實做將可以避免這兩個層次上的眾多問題,」安全顧問公司Cobweb Applications Ltd. 的創立者與常務董事Michael Cobb說。

5千個裝置1個應用方法
雖然Timken並不是所有的可攜式電腦都有存放敏感資料,該公司決定對每一個硬體 裝置進行加密,認為這是最保險的政策。
「我並不想透過每部可攜式電腦所保存的資料來決定是否該管理該電腦。因此這個
想法便衍生出對所有可攜式電腦進行加密的決定。」 Herbst說。這樣的方式可以讓公司使用單一的應用方法來管理所有的裝置,而且全磁碟加密可以解決遺失可攜式電腦的這個潛在的威脅,因為資料被加密是無法被擷取的。
在過去3年間美國有超過2億1,700萬的個人資料被搞丟或遭竊─其中有許多是關於可
攜式電腦產生的安全事件─也因此可攜式電腦的保護開始被關注。然而,Timken也
付出近10年的努力。Herbst表示他們對全硬碟裝置進行加密最早始於1999年,當時 公司開始關心對於智慧財產進行保護。不過1年後公司發現硬碟裝置相容性的問題
限制了全磁碟加密的發展,因此在2001初期就暫緩這個專案。取而代之的,公司暫
時使用PGP Corp有限的檔案與資料夾保護方案。
該專案在2004年初期復甦,此時只 「在學習解決方案所提供的功能時,您必須能夠彈性並樂意的調整學習的優先順序,」他說。 「我們和許多不同的廠商進行討論並且可以從他們 身上學習,進而可能會導致更改優先順序。」對於Herbst來說最大的賣點之一是產品有足夠的資料與磁碟備份暨復原能力;另一個則是與公司的IBM-Lenovo可攜式電腦的相容性。Lenovo是Utimaco企業夥伴之一。
「任何與該平台可以相容的都會有正向的加分,」他說。 整個佈署花費了11個月並且在2006年11月完成。

佈署和派送
Herbst以及他的團隊必須面對一些障礙─大部分的時候必須面臨相容性(compatibility)的問題。「剛開始使用該產品的時候我曾經好幾次導致測試系統當機,而我將之視為新穎複雜產品學習曲線的一部分,」他說。Utimaco的支援對於解決這個問題是非常重要的。
其中一項問題是測試電腦會顯示Wi n d o w s Installer安裝錯誤,而這是在IT部門安裝Utimaco加密工具時才會有的問題。
另一發現是當Microsoft Outlook執行在快取模式下,Timken正是使用這樣的設定,Outlook將會顯示專注在高階使用者上。1年後公司決定進入下一個階段在每一個可攜式電腦上進行全磁碟加密。然而認證是加密專案中很重要的因素之一,Timken必須解決認證政策上的問題並決定使用密碼、單一登入或者生物辨識作為強健的認證方式。Herbst並沒有告知該公司最後選擇哪一個方式,但是面對選擇的壓力只是第一步而已。後來他召集上層管理者、用戶服務以及全球IT支援部門的協助來評估各項產品。
Timken花費1季的時間來檢視多家廠商的解決方案─包含Pointsec(已經
被Check Point收購)、PGP、SafeBoot、Credant以及Guardian─最後選定Utimaco的 SafeGuard Easy。
Utimaco SafeGuard Easy提供全自動化的加密、方便的使用者介面並使用AES
256到128-bit的加密演算法。該解決方案會從預先產生的密碼(pre-boot password)裡產生隨機的金鑰,避免金鑰被存放在磁碟中。即使在休眠模式加密也會被啟用,
必須輸入認證才能從休眠模式中恢復狀態存取電腦。Herbst表示這項佈署已經在
持續進行中,而且該產品採中央式控管 (centrally managed)。
初始安裝步驟。Herbst學習到在安裝過程中應該關閉Outlook才能解決相容性的問題。
「雖然軟體間應該要擁有通透性,但我相信相容性的問題是軟體產品先天上就會有的問題,這也是我認為在正式佈署之前應該先進行測試的原因之一,而經過測試後才能找出像Outlook錯誤的這類問題,」Herbst說。
Herbst表示,他也針對不同的使用者需求建立各種佈署套件,並且在佈署期間會針對全球的IT支援人員提供教育訓練。為了達到這個目的,會讓用戶端服務部門來管理整個佈署過程。
Herbst設計出一份為期11個月詳細的計劃表讓世界各地的據點與辦公室可以和當地的IT供應商合作。像是資深執行者這類的高階人員會率先拿到這些產品。
加密軟體是透過微軟的Systems Management Server (SMS)派送到大部分的主機上。SMS會負責安裝該軟體,只要透過一個圖示按鈕,使用者就可以開始初始加密過程,這對使用者來說是非常方便的。一般來說最佳的加密時間就是在離開工作之前進行。
「使用者雙擊該圖示來啟動加密程序,」Herbst說。「然後使用者就可以關閉他們的可攜式電腦,將裝置回家後在晚餐或睡覺的時候,接上備用
電源讓加密程序進行工作。」每1台電腦大約要花費2個小時來進行軟體的佈署。
Herbst的員工會追蹤使用者是否已經進行了加密,並會定時的要求那些尚未完成加密的員工,他說。除了Outlook的問題之外,使用這在初始加密過程完成前還是可以繼續在可攜式電腦上進行他們的工作。
針對某些使用者和場所,本地的IT員工喜歡用其他管理程序來代替依賴Microsoft SMS及使用者自發完成的程序,Herbst補註說明,「只要能夠符合計畫時程,他們可以選擇要套用的流程。」
對於終端使用者來說,Post-deployment這套軟www.informationsecurity.com.tw 資安人2008.5 ︱ 57 體是非常易懂的,在執行作業中(on-the-fly)進行加/解密功能時只佔可攜式電腦不到2%的CPU資源;只要佈署完成對於使用者的效能將不會有任何影響。 同時新主機被交到使用者手上時就已經是加過密的了,不同於認證功能會在電腦開機時顯示登入畫面,使用者將不會察覺加密軟體正在運行中。
Utimaco使用SafeGuard Easy佈署了預先開機認證(pre-boot authentication)。實質上,使用者會被要求在電腦作業系統開機之前先放入他們的認證證明
(authentication credentials)並進行登入。這樣可以保護Windows開機前環境的安全。預先開機認證支援密碼與權杖(token)的認證方式,Utimaco說。
「我們唯一收到的抱怨是在硬碟裝置故障時加密,導致資料無法被還原時,Herbst說。「在我們使用硬碟裝置加密之前,各種工具都可以輕易的取回在故障硬碟上大多數或者全部的使用者檔案。當硬碟裝置被加密之後,如果SafeGuard Easy工具無法存取該裝置,資料就無法被取回。」
如果使用者有規律的進行備份工作就可以輕易的避免這個痛苦的狀況發生,雖然並不是所有的重要資料都會在硬碟故障前被備份,Herbst承認說。
但是,使用者不會察覺到他們的資料是已經被保護了以及公司賴以維生的智慧財產、客戶資料也會被安全的保管著。

Bill Brenner是SearchSecurity.com的資深報社作家