数据的机密性保护是一个老生常谈的问题,现在,又由于可移动设备、笔记本电脑和手持智能设备的大量使用,更进一步地加剧了机密数据的泄漏问题。
由于企业机密数据的泄漏不仅会给企业带来经济和无形资产的损失,而且,如果这些泄漏的机密数据是一些与人们密切相关的隐私信息,例如银行帐号、身份证号码等信息,那么,还会带来一些社会性的问题。
因而,一些国家就针对一些特殊行业制定了相关的数据保护法案,来强制企业必需使用相应的安全措施来保护机密数据的安全。应用数据加密就是保护数据机密性的主要方法。一些需要遵从相应数据安全法案的企业就必需在企业中部署相应的数据加密来解决机密数据的泄漏问题。
可是,现在的一些在部署数据加密解决方案时,依然存在下列所示的一些不好的做法:
1、在没有完全了解数据加密解决方案的能力和局限性的前题下,企业就直接选择和部署该产品。
2、许多中小企业没有足够的技术人员来执行数据加密解决方案的部署。
3、在部署数据加密解决方案时缺少充分的准备和规划,并且没有经过测试就直接投入使用。
中小企业这种部署数据加密解决方案的方式根本就是在浪费钱财,因而就迫切需要一种高效的部署方法来指导企业完成数据加密解决方案的部署。
但是,由于在现存的企业网络结构中部署数据加密方案本身就不容易被部署好。另外,就算它部署成功了,现在的中小企业根本找不到人和监控软件来管理它们是否一直有效,以及处理在使用过程中出现的问题,更何况在数据加密方案的部署过程中还会牵扯到其它许多的安全问题。
因此,数据加密解决方案的部署不是一件很容易的事情。
不过,虽然数据加密不容易部署和管理,但还是有一些最佳的实践方法可以帮助我们显著提高部署数据加密方案的成功率。如果我们按照下列所示的4个步骤来部署数据加密解决方案,那么,就可以避免产生上列所示的这些问题,从而成功地部署好数据加密解决方案。
以下所示的这4个步骤就是成功部署数据加密解决方案必需经过的步骤:
1、确定加密目标和选择加密技术和产品。
2、编写数据加密项目的规划和解决方案。
3、准备、安装和配置加密软件或硬件。
4、数据加密解决方案的测试和最终使用。
下面,我们就按这4个部署数据加密解决方案的步骤,来详细说明在部署时的最佳做法应当如何具体地去完成。
如果在应用数据加密之前没有确定明确的目标,分析企业中需要应用数据加密的地方,那么,数据加密就无从谈起。
1、确定加密目标
首先,就是要明确企业网络中哪些方面需要使用数据加密,也就是确定加密的目标和需要加密的位置。通常,我只需要搞清楚下列所示的这些内容,加密的目标也就找到了:
1、有哪些机密信息会出现在、工作站、笔记本等可移动存储设备或手持智能设备上?这些机密信息应当包括客户和雇员信息、财务信息、商业计划、研究报告、软件代码,以及产品设计图纸和文档,项目招标计划和设计图纸等等。
2、上述这些机密信息是以什么文件类型的形式保存在各类存储设备上的什么位置?文件类型包括电子表格、Word文档、文件、幻灯片、HTML文件和电子邮件(E-Mail),以及文件代码和可执行文件等形式。
3、哪些用户的工作站、笔记本需要保护?例如,重要的管理人员、销售人员和技术顾问,还是包括所有雇员、合作伙伴和承包商。
4、企业中哪些用户在使用笔记本电脑等可移动存储设备?例如,管理人员、合作伙伴或供应商。以及机密信息是否会被复杂到USB设备或其它可移动媒介中?
5、企业中哪些员工会使用电子邮件(E-Mail)?这些电子邮件都从哪些工作站或笔记本电脑上发送的?
6、企业中传输的机密数据是否安全?
7、企业是否有远程办公室,远程办公室与企业总部之间的远程连接是否包含机密信息?
8、企业员工进行WEB浏览等网络通信是否包含机密信息?
上述所有的机密信息和机密信息所存在的位置都必需通过应用数据加密来保护数据的机密性。
2、应当遵守的法规
企业还应当明白制定的数据加密解决方案应当遵守当地的相应数据保护法规,以满足当地审计部门的要求。例如,我国今年7月1日即将实施的《企业内部控制基本规范》就要求国内相关企业必需保护机密数据的安全。
如果我国的企业已经在美国上市,那么还必需遵守美国制定的萨班斯法案。因此,我们制定的数据加密解决方案还应当提示是根据什么样的加密标准规则来执行的,还应当遵守什么样的加密密钥分配和管理方法。
制定后的数据加密解决方案可能要在企业内部强制执行,而对于这个新制定的企业内部规章政策,企业必需对企业员工进行说明此政策推行的理由,表明不是为了限制某几个人的访问权限,也不是某些技术人员本身的安全偏执行为而临时决定的。