中小企業(yè)數(shù)據(jù)加密部署的最佳做法

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

中小企業(yè)數(shù)據(jù)加密部署的最佳做法 1

由于企業(yè)機(jī)密數(shù)據(jù)的泄漏不僅會(huì)給企業(yè)帶來經(jīng)濟(jì)和無形資產(chǎn)的損失，而且，如果這些泄漏的機(jī)密數(shù)據(jù)是一些與人們密切相關(guān)的隱私信息，例如銀行帳號(hào)、身份證號(hào)碼等信息，那么，還會(huì)帶來一些社會(huì)性的問題。

因而，一些國家就針對(duì)一些特殊行業(yè)制定了相關(guān)的數(shù)據(jù)保護(hù)法案，來強(qiáng)制企業(yè)必需使用相應(yīng)的安全措施來保護(hù)機(jī)密數(shù)據(jù)的安全。應(yīng)用數(shù)據(jù)加密就是保護(hù)數(shù)據(jù)機(jī)密性的主要方法。一些需要遵從相應(yīng)數(shù)據(jù)安全法案的企業(yè)就必需在企業(yè)中部署相應(yīng)的數(shù)據(jù)加密方案來解決機(jī)密數(shù)據(jù)的泄漏問題。

可是，現(xiàn)在的一些中小企業(yè)在部署數(shù)據(jù)加密解決方案時(shí)，依然存在下列所示的一些不好的做法：

1、在沒有完全了解數(shù)據(jù)加密解決方案的能力和局限性的前題下，企業(yè)就直接選擇和部署該產(chǎn)品。

2、許多中小企業(yè)沒有足夠的技術(shù)人員來執(zhí)行數(shù)據(jù)加密解決方案的部署。

3、在部署數(shù)據(jù)加密解決方案時(shí)缺少充分的準(zhǔn)備和規(guī)劃，并且沒有經(jīng)過測(cè)試就直接投入使用。

中小企業(yè)這種部署數(shù)據(jù)加密解決方案的方式根本就是在浪費(fèi)錢財(cái)，因而就迫切需要一種高效的部署方法來指導(dǎo)企業(yè)完成數(shù)據(jù)加密解決方案的部署。

但是，由于在現(xiàn)存的企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)中部署數(shù)據(jù)加密方案本身就不容易被部署好。另外，就算它部署成功了，現(xiàn)在的中小企業(yè)根本找不到人和監(jiān)控軟件來管理它們是否一直有效，以及處理在使用過程中出現(xiàn)的問題，更何況在數(shù)據(jù)加密方案的部署過程中還會(huì)牽扯到其它許多的安全問題。

因此，數(shù)據(jù)加密解決方案的部署不是一件很容易的事情。

不過，雖然數(shù)據(jù)加密不容易部署和管理，但還是有一些最佳的實(shí)踐方法可以幫助我們顯著提高部署數(shù)據(jù)加密方案的成功率。如果我們按照下列所示的4個(gè)步驟來部署數(shù)據(jù)加密解決方案，那么，就可以避免產(chǎn)生上列所示的這些問題，從而成功地部署好數(shù)據(jù)加密解決方案。

以下所示的這4個(gè)步驟就是成功部署數(shù)據(jù)加密解決方案必需經(jīng)過的步驟：

1、確定加密目標(biāo)和選擇加密技術(shù)和產(chǎn)品。

2、編寫數(shù)據(jù)加密項(xiàng)目的規(guī)劃和解決方案。

3、準(zhǔn)備、安裝和配置加密軟件或硬件。

4、數(shù)據(jù)加密解決方案的測(cè)試和最終使用。

下面，我們就按這4個(gè)部署數(shù)據(jù)加密解決方案的步驟，來詳細(xì)說明在部署時(shí)的最佳做法應(yīng)當(dāng)如何具體地去完成。

一、確定加密目標(biāo)和選擇加密技術(shù)

如果在應(yīng)用數(shù)據(jù)加密之前沒有確定明確的目標(biāo)，分析企業(yè)中需要應(yīng)用數(shù)據(jù)加密的地方，那么，數(shù)據(jù)加密就無從談起。

1、確定加密目標(biāo)

首先，就是要明確企業(yè)網(wǎng)絡(luò)中哪些方面需要使用數(shù)據(jù)加密，也就是確定加密的目標(biāo)和需要加密的位置。通常，我只需要搞清楚下列所示的這些內(nèi)容，加密的目標(biāo)也就找到了：

（1） 有哪些機(jī)密信息會(huì)出現(xiàn)在服務(wù)器、工作站、筆記本等可移動(dòng)存儲(chǔ)設(shè)備或手持智能設(shè)備上？這些機(jī)密信息應(yīng)當(dāng)包括客戶和雇員信息、財(cái)務(wù)信息、商業(yè)計(jì)劃、研究報(bào)告、軟件代碼，以及產(chǎn)品設(shè)計(jì)圖紙和文檔，項(xiàng)目招標(biāo)計(jì)劃和設(shè)計(jì)圖紙等等。

（2） 上述這些機(jī)密信息是以什么文件類型的形式保存在各類存儲(chǔ)設(shè)備上的什么位置？文件類型包括電子表格、Word文檔、數(shù)據(jù)庫文件、幻燈片、HTML文件和電子郵件（E-Mail）,以及文件代碼和可執(zhí)行文件等形式。

（3） 哪些用戶的工作站、筆記本需要保護(hù)？例如，重要的管理人員、銷售人員和技術(shù)顧問，還是包括所有雇員、合作伙伴和承包商。

（4） 企業(yè)中哪些用戶在使用筆記本電腦等可移動(dòng)存儲(chǔ)設(shè)備？例如，管理人員、合作伙伴或供應(yīng)商。以及機(jī)密信息是否會(huì)被復(fù)雜到USB設(shè)備或其它可移動(dòng)媒介中？

（5） 企業(yè)中哪些員工會(huì)使用電子郵件（E-Mail）?這些電子郵件都從哪些工作站或筆記本電腦上發(fā)送的？

（6） 企業(yè)局域網(wǎng)中傳輸?shù)臋C(jī)密數(shù)據(jù)是否安全？

（7） 企業(yè)是否有遠(yuǎn)程辦公室，遠(yuǎn)程辦公室與企業(yè)總部之間的遠(yuǎn)程連接是否包含機(jī)密信息？

（8） 企業(yè)員工進(jìn)行WEB瀏覽等網(wǎng)絡(luò)通信是否包含機(jī)密信息？

上述所有的機(jī)密信息和機(jī)密信息所存在的位置都必需通過應(yīng)用數(shù)據(jù)加密來保護(hù)數(shù)據(jù)的機(jī)密性。

2、應(yīng)當(dāng)遵守的法規(guī)

企業(yè)還應(yīng)當(dāng)明白制定的數(shù)據(jù)加密解決方案應(yīng)當(dāng)遵守當(dāng)?shù)氐南鄳?yīng)數(shù)據(jù)保護(hù)法規(guī)，以滿足當(dāng)?shù)貙徲?jì)部門的要求。例如，我國今年7月1日即將實(shí)施的《企業(yè)內(nèi)部控制基本規(guī)范》就要求國內(nèi)相關(guān)企業(yè)必需保護(hù)機(jī)密數(shù)據(jù)的安全。

如果我國的企業(yè)已經(jīng)在美國上市，那么還必需遵守美國制定的薩班斯法案。因此，我們制定的數(shù)據(jù)加密解決方案還應(yīng)當(dāng)提示是根據(jù)什么樣的加密標(biāo)準(zhǔn)規(guī)則來執(zhí)行的，還應(yīng)當(dāng)遵守什么樣的加密密鑰分配和管理方法。

制定后的數(shù)據(jù)加密解決方案可能要在企業(yè)內(nèi)部強(qiáng)制執(zhí)行，而對(duì)于這個(gè)新制定的企業(yè)內(nèi)部規(guī)章政策，企業(yè)必需對(duì)企業(yè)員工進(jìn)行說明此政策推行的理由，表明不是為了限制某幾個(gè)人的訪問權(quán)限，也不是某些IT安全技術(shù)人員本身的安全偏執(zhí)行為而臨時(shí)決定的。

3、了解數(shù)據(jù)加密的局限性

在使用數(shù)據(jù)加密技術(shù)之前，我們還有必要來了解一下數(shù)據(jù)加密的局限性也是同樣重要的。畢竟數(shù)據(jù)加密技術(shù)并不是解決數(shù)據(jù)安全的靈丹妙藥。

數(shù)據(jù)加密技術(shù)能保護(hù)被盜或丟失設(shè)備上的數(shù)據(jù)，以及在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)的機(jī)密性，但是它并不能限制企業(yè)內(nèi)部員通過電子郵件、即時(shí)聊天工具等向外發(fā)送這些機(jī)密信息。也不能阻止黑客或文件共享程序?qū)ν夤_這些機(jī)密信息。更不能防止數(shù)據(jù)被意外刪除、損壞和丟失。

因此，我們還必需為保護(hù)企業(yè)數(shù)據(jù)安全部署其它安全產(chǎn)品，例如防火墻、企業(yè)權(quán)限管理、以及數(shù)據(jù)備份和災(zāi)難恢復(fù)等安全措施。

要知道的是，數(shù)據(jù)加密即可以單獨(dú)使用，也可以與其它安全防范技術(shù)同時(shí)使用。數(shù)據(jù)加密是所有安全防范技術(shù)中最基礎(chǔ)的技術(shù)之一，有許多安全防范產(chǎn)品當(dāng)中都嵌入了數(shù)據(jù)加密功能。但這些安全產(chǎn)品的加密功能往往不如人意，還是得部署獨(dú)立的數(shù)據(jù)加密解決方案才行。

4、數(shù)據(jù)加密產(chǎn)品的選擇

現(xiàn)在市面上主要有以下所示的這幾種類型的數(shù)據(jù)加密產(chǎn)品：

（1）文件/文件夾加密產(chǎn)品

文件/文件夾加密產(chǎn)品目前在市場(chǎng)上存在三種主要的方式，這三種主要方式包括：文件加密產(chǎn)品、文件夾加密產(chǎn)品和文件/文件夾加密產(chǎn)品。一些操作系統(tǒng)，例如應(yīng)用NTFS文件系統(tǒng)后的Windows XP操作系統(tǒng)就可以使用EFS的加密文件系統(tǒng)來加密文件或文件夾。

而其它的第三方文件/文件夾加密軟件就更多，例如TrueCrypt、Axcrypt、Cryptainer LE、Blowfish Advanced CS個(gè)人版和FreeOTFE.我們應(yīng)當(dāng)根據(jù)企業(yè)自身的需求，選擇其中最正確的一種將是整個(gè)數(shù)據(jù)加密策略過程中最重要的步驟。

文件或文件/文件夾加密產(chǎn)品通常需要用戶自己操作需要加密的文件或文件夾。文件或文件/文件夾加密產(chǎn)品是很容易實(shí)現(xiàn)的，但是，這些產(chǎn)品需要用戶參與，如果用戶不注意就會(huì)造成遺漏，而且，這些產(chǎn)品并不能對(duì)臨時(shí)文件夾和交換空間進(jìn)行加密，這就造成了一些敏感信息的副本仍然沒有被加密。

而且，一些在遠(yuǎn)程系統(tǒng)上經(jīng)過妥善加密了的文件及文件夾也不能輕易地證明它已經(jīng)是被加密過了的。

（2）全盤加密（FDE技術(shù)）產(chǎn)品

全盤加密技術(shù)產(chǎn)品，由它的名字就可以清楚地知道它是針對(duì)整個(gè)硬盤或某個(gè)卷的。這樣，包括操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)文件都可以被加密。通常這個(gè)加密解決方案在系統(tǒng)啟動(dòng)時(shí)就進(jìn)行加密驗(yàn)證，一個(gè)沒有授權(quán)的用戶，如果不提供正確的密碼，就不可能繞過數(shù)據(jù)加密機(jī)制獲取系統(tǒng)中的任何信息。

現(xiàn)在，一些主要的安全廠商都推出自己的全盤加密產(chǎn)品，例如賽門鐵克推出的Endpoint Encryption 6.0全盤版，以及McAfee的Total Protection for Data、PGP全盤加密和免費(fèi)的TrueCrypt也具有全盤加密功能。

如今，一些大牌的硬盤生產(chǎn)廠商，例如希捷、西部數(shù)據(jù)和富士通等都支持全盤加密技術(shù)，將全盤加密技術(shù)直接集成到硬盤的相關(guān)芯片當(dāng)中，并且與可信計(jì)算機(jī)組（TCG）發(fā)布的加密標(biāo)準(zhǔn)相兼容。而且，一些計(jì)算機(jī)廠商，例如聯(lián)想和DELL等都在生產(chǎn)使用這種加密硬盤或加密芯片技術(shù)的安全計(jì)算機(jī)。

我們應(yīng)當(dāng)要根據(jù)自身的實(shí)際數(shù)據(jù)加密需求來選擇相應(yīng)的全盤加密產(chǎn)品。通常，像筆記本電腦、U盤等可移動(dòng)存儲(chǔ)設(shè)備應(yīng)當(dāng)選擇全盤加密產(chǎn)品來加密整個(gè)磁盤或卷，或者直接購買具有加密芯片的安全筆記本電腦或工作站。

全盤加密技術(shù)是一種非常成熟的技術(shù)，而且非常容易使用和配置，因?yàn)橹恍枰脩魶Q定如個(gè)磁盤或卷需要加密即可。而且除了需要用戶記住加密密碼之外，其它的操作都不需要用戶參與。它還能保護(hù)操作系統(tǒng)、臨時(shí)文件夾、交換空間，以及所有可以被加密保護(hù)的敏感信息。

但是，要加密整個(gè)磁盤的速度是非常慢的，對(duì)一些大容量的文件也是如此。雖然現(xiàn)在的全盤加密產(chǎn)品的加密速度有了長足的提高，但是，在實(shí)際的使用過程中，如果磁盤或卷中存款額大量的文件，那么其加密速度還是看起來非常慢的。

并且，如果磁盤的主引導(dǎo)記錄可能使它與備份和恢復(fù)程序很難共存，一旦磁盤發(fā)現(xiàn)故障或錯(cuò)誤，那么將會(huì)造成數(shù)據(jù)無法被正確恢復(fù)的局面。

（3）智能加密產(chǎn)品

新出現(xiàn)的智能加密產(chǎn)品結(jié)合了文件及文件夾加密產(chǎn)品和全盤加密產(chǎn)品的主要特點(diǎn)。例如國內(nèi)比較有名的是思智ERM301企業(yè)數(shù)據(jù)智能加密系統(tǒng)。這些混合的解決方案與文件/文件夾加密產(chǎn)品有一定的相似之外，因?yàn)樗梢杂捎脩魶Q定只加密文件或文件夾，而不需要加密操作系統(tǒng)或應(yīng)用程序。

這將大大減少加密所費(fèi)的時(shí)間，提高加密的性能。另外，它還允許管理員指定加密文件的具體類型，例如電子表格或PPT,以及某些具體應(yīng)用產(chǎn)品，例如財(cái)務(wù)和人力資源應(yīng)用。

智能加密技術(shù)確保指定的文件類型或應(yīng)用類型都能加密，而不需要文件是否存在于某個(gè)指定的加密文件夾。并且，這種技術(shù)不會(huì)干擾備份和恢復(fù)、補(bǔ)丁管理或強(qiáng)制認(rèn)證產(chǎn)品。

但是，要確保所有機(jī)密信息都得到保護(hù)，我們就需要知道它們是什么，以及存在于什么位置。如果我們沒有一種了機(jī)密信息的處理機(jī)制，那么還是使用全盤加密技術(shù)比較可靠。