如今，监管机构和安全策略师建议在业务空闲时加密数据，但很少有组织这样做，而且大多数都是错误的做法。因为可能有更大的问题需要先解决。

澳大利亚信息专员办公室(OAIC)对于加密个人数据进行了明了，无论是在其指导方针，还是最近的数据泄露调查中。但渗透测试厂商Hacklabs公司总监克里斯·哥特福德表示，只有很少的组织达到预期。

“加密文件系统最好在系统空闲时对数据进行加密，它只是不会发生，”哥特福德说，“99%的企业并没有采取加密升旗，甚至还不如笔记本电脑的加密。”

哥特福德表示，他所遇到最常见的情况就是组织的桌面工作站上没有为最终用户的信息运行任何类型的加密程序。这与OAIC所期待的相比，似乎有很长的路要走。

OAIC并没有直接要求加密。但它的保护个人信息指南提醒组织需要采取“合理措施”，以确保信息的案例。加密是“在许多情况下重要的”，而组织需要保护的数据，无论是在服务器，数据库中备份，第三方云服务，以及最终用户设备中，其中包括智能手机和平板电脑，以及笔记本电脑，或者是便携式存储设备。

“加密方法应定期审查，以确保它们继续保持相关性和有效性，并在需要时使用。这包括确保加密的范围足够宽，使攻击者无法访问加密信息和另外的加密拷贝。”指南说。

OAIC最近的报告表示，其调查2013年Adobe公司的海量数据，而其实践可能意味着什么。

Adobe公司使用相同的密钥已经加密所有用户的密码，而不是每个单独加密并散列。而密码提示是没有加密的。

“加密和散列是一个基本的安全步骤，Adobe可以合理地实施更好的保护密码。”OAIC写道。

“如果服务器上的数据被泄露，Adobe公司需要在其所有系统始终贯彻稳健的安全措施，但专员发现Adobe公司未能采取合理的措施来保护所有的个人信息，并导致信息滥用和损失，以及未经授权的访问，修改或披露。”

而Adobe公司对于数据的处理违反了当时适用的法律。2014年3月12日，澳大利亚的隐私法进行了更新，要在当时和现在进行“合理步骤”测试应用。其关键的区别是，现在隐私专员可以对没有采取这些合理的步骤的组织实施高达170万美元的最高罚款。

企业也需要保护自己的商业秘密，哥特福德表示，更成熟的企业通常更加重视加密，因为被盗的笔记本电脑将明显增加风险。

如果用户名和密码提供零保护，一个小偷可以简单地卸下硬盘驱动器，在另一台计算机上安装，并复制数据。因此笔记本电脑的加密是必不可少的，而这同样适用于平板电脑和智能手机。

移动设备被盗往往是有组织行动的一部分。怡敏信公司亚太地区移动安全总经理斯文·罗德威斯表示，这不仅是有关国家安全和国防信息。任何组织的知识产权都可能成为一个目标，从设计新的汽车引擎到电影或者是视频游戏。

“特别是在一些国家经常发生一些案件，旅客入住的酒店房门被打开，笔记本电脑已经被人动过。”罗德威斯说，“这是相当普遍的，如果一些人想访问您的数据的话，而酒店却没有提供很好的安全保护。”他说。

罗德威斯的自己旅行套件包括他个人的MacBookAir，具有多种安全软件，并采用怡敏信公司的IronKey加密的U盘。

他说，许多其他公司也一个类似的产品，使旅客可以到达更高的风险的目的地，员工们采用的笔记本电脑提供了新安装的，有限的操作系统映像，而公司所有的数据保存加密设备上，或者运行类似的IronKey的U盘的安全移动工作空间。返回时，笔记本电脑的内容完全被摧毁。

罗德威斯热衷于夸耀IronKey的安全功能，当然，加密芯片很难做到不破坏它的环氧树脂层，或者象垃圾一样清除键的自毁机制。不过，他也做了有关免受攻击的风险的防御成本的评估。

“理论上可以把芯片放在电子显微镜下提取密钥，但是实际上我们屏蔽芯片，因此电子显微镜不能真正看到在芯片内部发生了什么事情。”罗德威斯说。

“如果你有一个硬件加密设备，在闪存中密钥存储，别人打开了设备，并把探头放在加密芯片和闪存之间提取密钥的方式是比较常见的。”他说，“这是相当普遍的，如果一些人想访问你的数据，而酒店没有提供相应的安全保护的话。”

“很多的谈话是围绕高科技黑客......但很多数据丢失还是很常见，”他说，像U盘器或移动硬盘都很容易在火车、飞机，汽车、酒店等丢失。“加密设备制造商多年来一直在谈论这种事情，它不是新的观点，现在谈有点无聊。”

(责任编辑：安博涛)