中小企业数据加密部署的最佳做法

申请免费试用、咨询电话：400-8352-114

中小企业数据加密部署的最佳做法 1

由于企业机密数据的泄漏不仅会给企业带来经济和无形资产的损失，而且，如果这些泄漏的机密数据是一些与人们密切相关的隐私信息，例如银行帐号、身份证号码等信息，那么，还会带来一些社会性的问题。

因而，一些国家就针对一些特殊行业制定了相关的数据保护法案，来强制企业必需使用相应的安全措施来保护机密数据的安全。应用数据加密就是保护数据机密性的主要方法。一些需要遵从相应数据安全法案的企业就必需在企业中部署相应的数据加密方案来解决机密数据的泄漏问题。

可是，现在的一些中小企业在部署数据加密解决方案时，依然存在下列所示的一些不好的做法：

1、在没有完全了解数据加密解决方案的能力和局限性的前题下，企业就直接选择和部署该产品。

2、许多中小企业没有足够的技术人员来执行数据加密解决方案的部署。

3、在部署数据加密解决方案时缺少充分的准备和规划，并且没有经过测试就直接投入使用。

中小企业这种部署数据加密解决方案的方式根本就是在浪费钱财，因而就迫切需要一种高效的部署方法来指导企业完成数据加密解决方案的部署。

但是，由于在现存的企业网络结构中部署数据加密方案本身就不容易被部署好。另外，就算它部署成功了，现在的中小企业根本找不到人和监控软件来管理它们是否一直有效，以及处理在使用过程中出现的问题，更何况在数据加密方案的部署过程中还会牵扯到其它许多的安全问题。

因此，数据加密解决方案的部署不是一件很容易的事情。

不过，虽然数据加密不容易部署和管理，但还是有一些最佳的实践方法可以帮助我们显着提高部署数据加密方案的成功率。如果我们按照下列所示的4个步骤来部署数据加密解决方案，那么，就可以避免产生上列所示的这些问题，从而成功地部署好数据加密解决方案。

以下所示的这4个步骤就是成功部署数据加密解决方案必需经过的步骤：

1、确定加密目标和选择加密技术和产品。

2、编写数据加密项目的规划和解决方案。

3、准备、安装和配置加密软件或硬件。

4、数据加密解决方案的测试和最终使用。

下面，我们就按这4个部署数据加密解决方案的步骤，来详细说明在部署时的最佳做法应当如何具体地去完成。

一、确定加密目标和选择加密技术

如果在应用数据加密之前没有确定明确的目标，分析企业中需要应用数据加密的地方，那么，数据加密就无从谈起。

1、确定加密目标

首先，就是要明确企业网络中哪些方面需要使用数据加密，也就是确定加密的目标和需要加密的位置。通常，我只需要搞清楚下列所示的这些内容，加密的目标也就找到了：

（1） 有哪些机密信息会出现在服务器、工作站、笔记本等可移动存储设备或手持智能设备上？这些机密信息应当包括客户和雇员信息、财务信息、商业计划、研究报告、软件代码，以及产品设计图纸和文档，项目招标计划和设计图纸等等。

（2） 上述这些机密信息是以什么文件类型的形式保存在各类存储设备上的什么位置？文件类型包括电子表格、Word文档、数据库文件、幻灯片、HTML文件和电子邮件（E-Mail）,以及文件代码和可执行文件等形式。

（3） 哪些用户的工作站、笔记本需要保护？例如，重要的管理人员、销售人员和技术顾问，还是包括所有雇员、合作伙伴和承包商。

（4） 企业中哪些用户在使用笔记本电脑等可移动存储设备？例如，管理人员、合作伙伴或供应商。以及机密信息是否会被复杂到USB设备或其它可移动媒介中？

（5） 企业中哪些员工会使用电子邮件（E-Mail）?这些电子邮件都从哪些工作站或笔记本电脑上发送的？

（6） 企业局域网中传输的机密数据是否安全？

（7） 企业是否有远程办公室，远程办公室与企业总部之间的远程连接是否包含机密信息？

（8） 企业员工进行WEB浏览等网络通信是否包含机密信息？

上述所有的机密信息和机密信息所存在的位置都必需通过应用数据加密来保护数据的机密性。

2、应当遵守的法规

企业还应当明白制定的数据加密解决方案应当遵守当地的相应数据保护法规，以满足当地审计部门的要求。例如，我国今年7月1日即将实施的《企业内部控制基本规范》就要求国内相关企业必需保护机密数据的安全。

如果我国的企业已经在美国上市，那么还必需遵守美国制定的萨班斯法案。因此，我们制定的数据加密解决方案还应当提示是根据什么样的加密标准规则来执行的，还应当遵守什么样的加密密钥分配和管理方法。

制定后的数据加密解决方案可能要在企业内部强制执行，而对于这个新制定的企业内部规章政策，企业必需对企业员工进行说明此政策推行的理由，表明不是为了限制某几个人的访问权限，也不是某些IT安全技术人员本身的安全偏执行为而临时决定的。

3、了解数据加密的局限性

在使用数据加密技术之前，我们还有必要来了解一下数据加密的局限性也是同样重要的。毕竟数据加密技术并不是解决数据安全的灵丹妙药。

数据加密技术能保护被盗或丢失设备上的数据，以及在网络中传输的数据的机密性，但是它并不能限制企业内部员通过电子邮件、即时聊天工具等向外发送这些机密信息。也不能阻止黑客或文件共享程序对外公开这些机密信息。更不能防止数据被意外删除、损坏和丢失。

因此，我们还必需为保护企业数据安全部署其它安全产品，例如防火墙、企业权限管理、以及数据备份和灾难恢复等安全措施。

要知道的是，数据加密即可以单独使用，也可以与其它安全防范技术同时使用。数据加密是所有安全防范技术中最基础的技术之一，有许多安全防范产品当中都嵌入了数据加密功能。但这些安全产品的加密功能往往不如人意，还是得部署独立的数据加密解决方案才行。

4、数据加密产品的选择

现在市面上主要有以下所示的这几种类型的数据加密产品：

（1）文件/文件夹加密产品

文件/文件夹加密产品目前在市场上存在三种主要的方式，这三种主要方式包括：文件加密产品、文件夹加密产品和文件/文件夹加密产品。一些操作系统，例如应用NTFS文件系统后的Windows XP操作系统就可以使用EFS的加密文件系统来加密文件或文件夹。

而其它的第三方文件/文件夹加密软件就更多，例如TrueCrypt、Axcrypt、Cryptainer LE、Blowfish Advanced CS个人版和FreeOTFE.我们应当根据企业自身的需求，选择其中最正确的一种将是整个数据加密策略过程中最重要的步骤。

文件或文件/文件夹加密产品通常需要用户自己操作需要加密的文件或文件夹。文件或文件/文件夹加密产品是很容易实现的，但是，这些产品需要用户参与，如果用户不注意就会造成遗漏，而且，这些产品并不能对临时文件夹和交换空间进行加密，这就造成了一些敏感信息的副本仍然没有被加密。

而且，一些在远程系统上经过妥善加密了的文件及文件夹也不能轻易地证明它已经是被加密过了的。

（2）全盘加密（FDE技术）产品

全盘加密技术产品，由它的名字就可以清楚地知道它是针对整个硬盘或某个卷的。这样，包括操作系统、应用程序和数据文件都可以被加密。通常这个加密解决方案在系统启动时就进行加密验证，一个没有授权的用户，如果不提供正确的密码，就不可能绕过数据加密机制获取系统中的任何信息。

现在，一些主要的安全厂商都推出自己的全盘加密产品，例如赛门铁克推出的Endpoint Encryption 6.0全盘版，以及McAfee的Total Protection for Data、PGP全盘加密和免费的TrueCrypt也具有全盘加密功能。

如今，一些大牌的硬盘生产厂商，例如希捷、西部数据和富士通等都支持全盘加密技术，将全盘加密技术直接集成到硬盘的相关芯片当中，并且与可信计算机组（TCG）发布的加密标准相兼容。而且，一些计算机厂商，例如联想和DELL等都在生产使用这种加密硬盘或加密芯片技术的安全计算机。

我们应当要根据自身的实际数据加密需求来选择相应的全盘加密产品。通常，像笔记本电脑、U盘等可移动存储设备应当选择全盘加密产品来加密整个磁盘或卷，或者直接购买具有加密芯片的安全笔记本电脑或工作站。

全盘加密技术是一种非常成熟的技术，而且非常容易使用和配置，因为只需要用户决定如个磁盘或卷需要加密即可。而且除了需要用户记住加密密码之外，其它的操作都不需要用户参与。它还能保护操作系统、临时文件夹、交换空间，以及所有可以被加密保护的敏感信息。

但是，要加密整个磁盘的速度是非常慢的，对一些大容量的文件也是如此。虽然现在的全盘加密产品的加密速度有了长足的提高，但是，在实际的使用过程中，如果磁盘或卷中存款额大量的文件，那么其加密速度还是看起来非常慢的。

并且，如果磁盘的主引导记录可能使它与备份和恢复程序很难共存，一旦磁盘发现故障或错误，那么将会造成数据无法被正确恢复的局面。

（3）智能加密产品

新出现的智能加密产品结合了文件及文件夹加密产品和全盘加密产品的主要特点。例如国内比较有名的是思智ERM301企业数据智能加密系统。这些混合的解决方案与文件/文件夹加密产品有一定的相似之外，因为它可以由用户决定只加密文件或文件夹，而不需要加密操作系统或应用程序。

这将大大减少加密所费的时间，提高加密的性能。另外，它还允许管理员指定加密文件的具体类型，例如电子表格或PPT,以及某些具体应用产品，例如财务和人力资源应用。

智能加密技术确保指定的文件类型或应用类型都能加密，而不需要文件是否存在于某个指定的加密文件夹。并且，这种技术不会干扰备份和恢复、补丁管理或强制认证产品。

但是，要确保所有机密信息都得到保护，我们就需要知道它们是什么，以及存在于什么位置。如果我们没有一种了机密信息的处理机制，那么还是使用全盘加密技术比较可靠。