美国的大多数人可能不知道《健康保险流通与责任法案》(HIPAA)包含什么内容。 同样，大多数人对支付卡行业 (PCI) 标准也一无所知。 尽管如此，我们这些在这些领域工作的大多数人不仅需要了解它们，还需要理解其背后的安全影响。 当您必须考虑到许多基于 HIPAA 或 PCI 的采购系统都连接到网络时，情况会变得更加复杂。

我们几乎都同意，无论底层操作系统是什么，Web 服务器都容易受到攻击。 此外，我们也同意，一旦被攻破，这些 Web 服务器背后就蕴藏着大量数据，坏人正垂涎三尺地想要得到它们。 大多数人忘记了，或者更确切地说似乎忽略了，最近美国发生的大多数数据泄露事件并非来自外部，而是来自内部。 作为架构师和管理员、安全专家和日常用户，我们有责任确保我们在工作中每天使用的数据尽可能安全地存储。

让我们回顾一下。 在我的上一篇文章中，我提到了弗吉尼亚州联邦处方药监控计划的入侵事件。 这可能是一次来自外部的攻击，坏人设法获取了数据并对其进行了加密，从而将其扣为人质索要赎金。 我觉得奇怪的是他们竟然能够获得任何数据。 根据 HIPAA 的规定，这些数据应该已经被加密了。

如果我要进行一项调查，也许我们可以看看是否能让 Linux Journal 为我们做一份调查，你们中有多少人将笔记本电脑上的数据加密作为一种普遍做法？ 如果您在美国联邦政府工作，那么你们所有人都应该举手，无论操作系统是什么。 2006 年，当一名退伍军人事务部雇员的笔记本电脑被盗时，漫游笔记本电脑的问题达到了顶峰。 根据我在该部门的消息来源，并不是要轻描淡写这个问题，除了运气不好之外，这名雇员实际上并没有做错任何事情。 他所处的职位使他有权访问和使用数据。

你们有多少人对服务器上的数据进行加密？ 我预计举手的人会更少，毕竟，服务器通常都锁在某个建筑物里，而且大多数人永远无法访问它们——TXJ 数据盗窃案除外。 然而，数据再次被那些有合法需求访问数据作为其工作一部分的人盗走。 也许需要更好地筛选有权访问应符合 PCI 标准的数据的员工。 我相信可以相当肯定地说，我们大多数人都没有经历过硬盘不翼而飞的情况。

有多少人对您的备份磁带进行加密？ 我预计举手的人会更少，尽管花旗集团在运输过程中丢失了一堆备份磁带。 我们应该责怪 UPS 丢失了磁带吗？ 还是应该责怪花旗集团没有采取适当的预防措施？ 或者，也许，他们根本没有认为这是一种风险。

最后，你们有多少人对桌面电脑的硬盘进行加密？ 当您告诉我您的大多数桌面电脑几乎没有足够的 power 来启动您当前正在使用的 office automation suite，更不用说进行加密时，我可以听到笑声，但我确信我们都知道有人或与团队一起工作过，他们的桌面电脑不见了。 几年前，我当时工作的一家公司从会计部门丢失了六台工作站。 直到今天，我仍然不知道它们是否被找回，或者上面是否有任何重要或敏感的数据。

对于许多公司来说，数据是皇冠上的宝石。 每天都有数百万字节的数据在网络上流通，但如果稍加探测，这些网络就会像发丝一样脆弱，而且保护不足。 我们花费数百万美元来保护和降低来自外部的渗透风险，但很少有公司采取基本步骤来保护其内部数据。 我们可以做一些简单的事情——例如在线路上使用 IPSec，在后端进行加密，并在桌面上采取适当的安全措施。 当涉及到保护我们的数据免受坏人的侵害时，我们必须考虑的不仅仅是简单的用户名和密码方案，因为通常情况下，坏人不是别人，正是那个刚请您重置密码的可爱红发女郎。 而且这不是为了她的帐户。