[建议]加密可能是一种过度的防范措施

存储在线消息：近日参加某安全大会的许多it经理们提出警告称，当数据在企业网中传输时对数据进行加密可能会成为各组织和企业面临的切实安全问题的一个分支问题。

　　美国信托财经服务公司的商业信息安全官沃伦阿克塞尔罗德在今天下午的一个关于企业数据保护的用户讨论组发言中解释说，在许多情况下，加密可能是一种过度的防范措施。

　　他说：“当人们只需发送一份钓鱼式攻击电子邮件或者在邮件中附上一个键盘记录软件就可以窃取敏感信息时，他们为什么还要去尝试攻击一个加密的文件呢？你必须考虑一下结果，网络罪犯们将采取最简单的方式来发动攻击。”

　　这些意见是由小组成员、制药行业的一位前信息安全官、安全构造分析师汤姆鲍尔提出的。他说：“加密可以解决许多问题，但是它不是一种全能或者最终的解决方案。”

　　美国信托公司的阿克塞尔罗德没有说明他在其组织中使用了何种形式的终端安全措施，但是他说明了他的背端存储器原理。他说：“我相信数据限制措施，他的基本要求是一旦那些数据过期就把它们删除。”

　　他一般会将各自电子邮件保留3年，将与irs有关的数据保留7年，他认为删除数据是将安全风险降低到最小的最佳方法。他说：“如果你不这么做，那么当那些数据丢失之后你就必须报告上去。”他说将数据删除同时也减少了基础结构中的技术层。 “如果你对那些数据进行加密，你就要面临许多密钥管理问题。”

　　与阿克塞尔罗德一样，小组的其他成员也将关注的重点放在了终端安全问题上，但是他们警告说有些用户将这搞得过于复杂了。ipswitch公司安全文件转移副总裁凯文吉利说：“我们有很多安全产品可用，它们有许多很好的功能，比如要求密码的位数最少为15位，或者不能使用最近10次使用过的密码等。”他补充说，密码每过90天就会更换一次。 “它只是不太实用，这就是我们使用7位数的电话号码的原因。”

　　其他用户还提出了便携式媒体和笔记本电脑带来的安全问题，而且现在这已经成为各公司和组织it经理和首席信息官们面临的一个主要的难题。eplica服务供应商的系统架构师布莱德泰勒说：“对我们it公司来说，保证数据库和存储器中数据的安全性是没什么问题的。 但是我可以将我所有的财务数据都带出公司，我可以将它们拷贝到一个usb 2.0盘上，然后将它交给任何人。”

　　包括sandisk、lexar和希捷在内的一些厂商已经开发出了各自的解决方案，那些解决方案可以将数据锁定在笔记本电脑或者usb盘上。

　　在今天的另外一个小组讨论中，在20多位与会者中有四分之一左右的成员承认他们会对他们的笔记本电脑硬盘加密。allstate insurance公司的安全分析师埃里克米勒说：“我们一直在这么做。 如果将笔记本电脑硬盘放开，你晚上就会睡得更好些。”