保护终端系统交换文件和休眠文件

在保护重要数据方面，很多企业都相当认真。因此企业对于个人可标识信息（PII），电子受保护健康信息（ePHI），知识产权以及认证信息（比如密码）的需求越来越高。然而，对于使用Windows或Linux工作站的用户来说，系统上有两个部分是很容易绕过各种安全措施而将机密数据泄露出去的，着两个区域或者说文件就是内存交换文件以及休眠文件。

交换文件（Swap）是位于本地硬盘上的系统文件，是操作系统为了扩展系统物理内存容量而建立的文件。系统会根据需要在内存与Swap文件之间进行数据传递和交换。这意味着在内存中的任何数据在交换文件中都有一个映射。因此有时候用户的PII, ePHI，密码以及其他加密的内容都会出现在未加密的swap文件里。这个秘密对于法庭罪证调查人员来说绝对是个好消息，但是对于公司来说，就高兴不起来了。

通过交换文件，我们可以获取通过正常方式无法获取的信息，而通过一些特殊的磁盘工具，我们可以访问到这些信息。

而休眠文件则是Windows系统专用的文件，当台式机或笔记本进入睡眠或者休眠状态时，系统会将内存中的数据写到这个文件中并保存在本地硬盘上。和交换文件一样，休眠文件中也包含大量的敏感信息。

因此，要保护企业的敏感数据，控制交换文件和休眠文件也相当重要。以下是防止企业的数据通过交换文件和休眠文件泄漏的几点建议 ：

◆不要使用磁盘交换文件： 如果企业的某台电脑需要处理敏感数据，那么最好给它配备足够的内存，让系统不需要使用磁盘交换文件。通过几个步骤可以关闭Windows XP中的磁盘交换文件。这里是关闭Linux磁盘交换文件的方法。

◆关闭休眠: 我不认为休眠是一个很实用的功能 — 至少对于提高系统安全性来说毫无作用。 从这个链结可以学习如何关闭Windows XP的休眠功能和删除休眠文件。

◆使用后清除交换文件: 在Windows XP环境中，交换数据被保存在Pagefile.sys文件中。通过将以下注册表项目的键值改为 1，可以在每次系统关闭时删除这个文件:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown
如果不会修改，可以参考微软的知识库文章314834。需要提醒的是，这么设置之后，关机时间会有所加长。延长的时间根据文件大小不同而有所不同。

在Linux环境下，交换文件实际上是一个分区。以下命令可以删除这个分区：
 
这个命令会在交换分区上写入随即的数据。在运行前，一定要确认hda1 就是交换分区。否则你可能删除掉有用的数据。

◆预先管理交换文件：诸如BCWipe等工具可以保护交换文件中的数据，包括对这些数据进行加密。

不管你如何处理这两个会导致信息流失的区域，一定要确保在企业的安全风险评估中包含对这两项内容的评估。

（责任编辑:陈毅东）