【51CTO.com 综合消息】多数企业已经认识到,商业机密泄露将会给企业带来直接的经济损失。因此,企业纷纷采用各种手段对商业机密进行保护。过去常用的保护手段如静态文件加密、防水墙、内网监控管理软件、电子文档保险柜等等,都从不同程度上保护了企业的核心资料。从当前的技术发展情况看,实施企业级加密软件是目前最受推崇,应用最广,效果***的解决办法。
但是,当前很多中小企业在对数据安全的重要认识、信息安全产品的了解、企业自身特点等多方面不是很清晰的情况下,就仓促上马加密类产品,结果不甚理想,没有真正实现企业数据泄露防护的目标。主要表现在以下几个方面:
1.对文档和数据安全的一些常识和理论没有了解;
2.对市面上各种文档加密产品的优势特点及局限性不了解;
3.中小企业自身欠缺足够的技术实力和技术人员来选型和实施加密软件产品;
4.没有按照科学合理的流程来对加密软件进行测试、试用、和部署;
其实,作为中小企业的一种产品级的功能性工具,加密软件已经逐渐成为中小企业的标准配置。只要按照一些标准的信息安全管理流程来考察、试用和实施,就可以实现数据安全的目标。
对中小企业来说,参照一些信息安全管理规范来选择和实施加密软件产品,是有益的。但是要掌握冗长繁杂的信息安全管理标准,对中小企业技术人员来说,是一件头疼的事情,本人经过对国际常用的信息安全管理标准如BS7799(ISO17799)等标准的梳理和归纳,可以总结为以下十个基本步骤,按照这十个基本步骤,足以完成对文档加密软件的选型实施,并有助于提高成功实施的概率。
一、成立商业机密保护管理小组
在企业里,谁最关心企业核心机密的保护?自然是老板。商业机密作为公司核心资产,首先应该得到老板的重视,这是一个从上到下的实施工程,不是一个普通的软件实施。因此,企业核心商业机密保护,***是有老板牵头。老板的重视,往往能起到统筹全局的作用,能对项目的顺利进展起到决定性的作用。
除了老板要重视商业机密保护,IT部门负责人也有则无旁贷的义务来组织整个项目具体的计划和实施。一个典型的数据加密项目会涉及企业中的多个部门,我们应当为此建立一个项目团队并确定相关成员。商业机密保护管理小组成员应当包括:
1.为项目指定一个内部总负责人;
2.企业IT部门的安全技术员、系统管理员和网络管理员;
3.企业中每个部门的主要负责人;
4.加密产品提供商的技术人员或第三方网络和防火墙方面的专家;
5.具体负责执行的人员,来收集整理各种资料,编写各种相关文档等等。
二、对商业机密资产进行分析和总结
如果在应用数据加密之前没有确定明确的保护对象,分析企业中需要应用数据加密的地方,那么,数据加密就无从谈起。 就是要明确企业哪些方面需要保护,也就是确定加密的目标和需要加密的位置。通常,需要清楚下列所示的这些内容:
1.公司现有的商业机密都有哪些文件?这些机密信息应当包括客户和员工信息、财务信息、商业计划、研究报告、软件代码,以及产品设计图纸和文档,项目招标计划和设计图纸等等;
2.机密信息会产生或者保存在哪些终端、服务器、工作站,或笔记本、U盘等可移动存储设备上?
3.上述文件是以何种文件类型的形式保存在各类存储设备上的什么位置?文件类型包括电子表格、Word文档、数据库文件、幻灯片、HTML文件和电子邮件(E-Mail),以及源代码和可执行文件等形式;
4.哪些用户的台式机、工作站、笔记本需要保护?例如,重要的管理人员.销售人员和技术顾问,还是包括所有员工、合作伙伴和承包商;
5.企业中哪些用户在使用笔记本电脑等可移动存储设备?以及机密信息是否会被复杂到USB设备或其它可移动媒介中?
6.企业中哪些员工会使用电子邮件(E-Mail)?或者是即时通讯工具MSN、QQ等?这些电子邮件都从哪些工作站或笔记本电脑上发送的?
7.企业局域网中共享文件服务器上的机密数据是否安全?
8.企业是否有远程办公室,远程办公室与企业总部之间的远程连接是否包含机密信息?
9.企业员工进行WEB浏览等网络通信是否包含机密信息?
通过对企业现有的商业机密类型、产生和保存的位置、文件格式、泄密途径等等进行梳理,是进行下一步工作的基础。
三、根据分域安全理论,对商业机密进行分类
针对商业机密保护,目前最领先的理论是“分域安全理论”。经过上一步骤对企业的保护对象进行了梳理,结合分域安全理论,就可以找到相对应的解决办法。
所谓分域安全模式,是相对于传统的分层安全模式而言的。分域安全指的是把网络分为磁盘、终端、端口、服务器、局域网等等工作域,在每一个工作域都采用对应的安全策略。不论是在办公室的主机、工作站、服务器,还是在移动办公、家庭办公的笔记本电脑、移动存储设备,都可以有一个相对应的保护工具,用以提高个人资料的安全性。
换句话说,这种安全模式是基于这样的理论:在网络内部可以找到一种通用的解决办法来处理各个区域的安全问题,但是对于任何一个个性的区域,都能有结合个性特点的细分工具来解决个性问题。
根据文档和数据的生命周期,可以把文档基本分为创建、流转、使用、修改、归档、销毁等几个阶段。根据商业机密的全生命周期,可以根据其存储和流转的位置和途径进行分类,把相对应的工作域分为:磁盘、终端、端口、服务器、局域网、移动存储设备、外埠工作域和外部网络等。
通过分域安全理论,对中小企业来讲,基本上可以根据企业的核心机密类型分为两大类,一种是设计、研发类为主的核心机密信息,另一种是财务、营销、管理等部门产生的核心机密信息。#p#
四、了解各种类型的加密软件优点及其局限性
现在市面上主要有以下所示的这几种类型的数据加密产品:
1.静态加密产品(文件/文件夹加密 )
文件/文件夹加密产品目前在市场上存在三种主要的方式,这三种主要方式包括:文件加密产品、文件夹加密产品和文件/文件夹加密产品。一些操作系统,例如应用NTFS文件系统后的Windows XP操作系统就可以使用EFS的加密文件系统来加密文件或文件夹。
这类产品基本上是免费的,但是除了这个“优点”之外,其他的缺陷也是显而易见的:文件/文件夹加密产品通常需要用户自己操作需要加密的文件或文件夹。需要用户参与,如果用户不注意就会造成遗漏,而且,这些产品并不能对临时文件夹和交换空间进行加密,这就造成了一些敏感信息的副本仍然没有被加密。这些软件安全性很低,部署之后形同虚设,很容易被破解,达不到企业的安全要求,不适合企业用于商业机密加密保护。
2.动态加密产品
动态加密(Encrypt on –the-fly)是指数据在使用过程中自动(动态)对数据进行加密或解密操作,无需用户干预,合法用户在使用加密的文件前,也不需要进行解密操作即可使用。表面看来,访问加密的文件和访问未加密的文件基本相同,对合法用户来说,这些加密文件是“透明的”,即好像没有加密一样,但对于没有访问权限的用户,即使通过其它非常规手段得到了这些文件,由于文件是加密的,因此也无法使用。由于动态加密技术不仅不改变用户的使用习惯,而且无需用户太多的干预操作即可实现文档的安全,因而近年来得到了广泛应用。
目前市面上动态加密产品有两种,一种是基于文档级的加密产品。这类产品很常见,也已经很成熟。通常被称为透明加密软件。以 SmartSec为代表的透明加密软件已经在中国得到广泛使用。包括政府、军队、军工、制造业、设计院所、通信等行业。另一种是基于磁盘级(数据级)的加密软件。基于磁盘级的加密软件,分为两类,一类是“虚拟磁盘加密”产品,另一类是全磁盘加密产品(FDE,Full Disk Encryption)。
虚拟磁盘加密产品通过虚拟一个空间,对虚拟空间内的文件自动加密解密。这一类产品通常衍生出文档保险柜等软件。由于只是对磁盘分区或者扇区进行加密,不能对C盘和操作系统加密,其安全性比较低,往往适合个人级的文档保护,不适合高度保密要求的企业。
全盘加密技术是一种非常成熟的技术,而且非常容易使用和配置,因为只需要用户决定哪个磁盘或扇区需要加密即可。而且除了需要用户记住加密密码之外,其它的操作都不需要用户参与。它还能保护操作系统、临时文件夹、交换空间,以及所有可以被加密保护的敏感信息。全磁盘加密(FDE)产品对磁盘上所有数据进行动态加解密,包括操作系统,在关机和休眠状态下,磁盘上的数据处于加密状态,有效地防止了泄密。这一类产品在国际上发展10多年,已经相当成熟。一些主要的安全厂商都推出自己的全盘加密产品,例如赛门铁克推出的Endpoint Encryption 6.0全盘版,以及McAfee的Total Protection for Data.PGP全盘加密和北京亿赛通公司的DiskSec。
值得一说的是硬盘芯片级的FDE。一些大牌的硬盘生产厂商,例如希捷、西部数据和富士通等都支持全盘加密技术,将全盘加密技术直接集成到硬盘的相关芯片当中,并且与可信计算机组(TCG)发布的加密标准相兼容。计算机厂商例如联想和DELL等都在生产使用这种加密硬盘或加密芯片技术的安全计算机。由于硬件级的加密软件成本高昂,不能被多数用户所接受,所以一直没有得到广泛推广。
还有一些开源免费的软件,比如TrueCrypt 5.1a、7-Zip、FreeOTFE 3.00等,号称具备整体磁盘加密的功能,但是经过分析,这些免费软件本性安全性低,很容易导致加密后数据丢失、无法使用等病状,而且因为免费没有售后支持和维护,许多采用这些免费软件的用户加密之后数据大量损坏无法修复,苦不堪言。这些免费软件不适合推荐给企业级的用户。
我们应当要根据自身的实际数据加密需求来选择相应的全盘加密产品。通常,像笔记本电脑.U盘等可移动存储设备应当选择全盘加密产品来加密整个磁盘或扇区。
五、选择加密软件技术和产品
在全面了解企业商业机密和市面上的保护手段之后,就可以采用对应的产品来对商业机密进行保护。笔者对市面上的各种加密保护软件进行归纳总结,对其保护对象和应用范围进行梳理之后,列表如下:
表1 |
参照上表,我们可以根据企业自身的需求,很轻松地找到企业所需要选用的加密软件类型。比如,某企业属于研发类企业,需要对研发部门的源代码、电路设计图进行保护,部分员工出差需要带走笔记本电脑,重要文档集中存放在服务器上。根据上表可以得知,需要对研发部的各个终端进行保护,可以采用文档透明加密系统SmartSec,针对需要保护的文档类型,进行强制加密。对外出办公的笔记本电脑可以采用全磁盘加密(FDE)——磁盘全盘加密系统DiskSec,对服务器上的文档进行保护,可以采用文档安全网关系统DNetSec。
基于分域安全理论,处于不同的安全域的信息,可以采用不同的信息安全保护技术和产品。企业结合自身的需求和特点,都能找到适合自己的加密软件产品。#p#
六、制定数据加密项目计划和设计解决方案
为了确保项目的顺利实施,应该与其它大型的安全防范项目一样,制定一个切实可行的数据加密计划,减少在具体实施过程中不必要的错误和麻烦,以及许多令人头痛的问题。因此,制定计划需要注意以下问题:
1.将文档加密的目标、需求和策略问题做一个具体的文档,确保制定的这些文档很容易被受这个项目影响的管理者和用户群体所理解;
2.规定文档加密项目的范围和限制,包括项目将耗费多长时间,需要投入多少成本,是否有足够的人力资源实施该项目等内容。如前所述,在预算和技术人员这两个方面的限制因素将为我们选择数据加密产品提供一个充分的理由;
3.如果企业技术人员充分,可以选择自己解决文档加密软件的部署。否则。企业也可以决定是否需要得到安全厂商的支持,或者决定将此项目外包给第三方等;
4.大多数文档加密解决方案需要计算机最终用户的操作行为做一些改变,所以最终用户有意抵制做出改变将给应用数据加密带来新的风险。因此,应当分配资源和制定时间表来培训用户接受这种改变;
5.为数据加密项目规定一个最终的标示成功的目标,这个目标可以作为项目是否已经实施成功的参考值。这也就给此数据加密项目做了一个具体的范围限制,也为项目***的管理做了一个参考坐标。这方面可以具体落实为一个测试、试用、实施和验收的整天方案;
6.使最终用户只具有最小的操作权限。设计的方案除了提供警报功能,以及由最终用户执行数据加密任务或更新软件以外,其它的操作,例如用户不能改变加密软件的任何配置参数或加密方式,也不能改变连接到具体设备上的加密设备。
七、组织测试
1.搭建模拟测试环境。一般来说,加密软件是C/S架构的软件,并具有B/S管理功能。在测试之前,根据加密软件的特点,搭建一个标准的C/S架构体系,准备对加密进行测试;
2.制订测试方案。根据企业需求,结合选用的加密软件,对软件的测试制订一个严格规范的测试方案。这是一个很重要的步骤,不可缺少。对加密软件的功能性能、与企业系统的兼容性等进行全面测试,需要按照计划有步骤地进行;
3.在模拟环境上开始测试。测试一般有加密软件厂商配合,双方人员现场测试。。以确保这些加密产品是否能达到预期的目的。以便能确定***的加密做法是什么,以及检验这些加密软件与系统.应用程序及硬件之间的兼容情况,检验加密软件是否出现了不可预期的错误;
4.对测试结果进行总结,并形成测试总结报告。
八、试用加密软件
通过模拟测试,对加密软件的性能功能已经有了初步了解,就可以进入试用期。一般来说,试用期7天足以完全了解软件运行情况。经过试用,能验证加密软件是否满足企业需求。我们还必需定时进行定期检查,以确保没有用户绕过数据加密软件进行操作。所有的这些信息应当记录并存储在一个中央服务器之上,并审计相关日志;确保数据加密软件都是***版本,并修补了所有的漏洞。要求数据加密软件供应商提供各种操作文档及***版本的加密软件。
九、部署加密软件
通过试用,企业对加密软件应该有了全方位的了解,就可以在全公司实施加密软件了。可以按照厂家提供的实施计划,分部门有节奏地进行。
十、进行全面总结,并制定企业商业机密保护制度
三分技术,七分管理。这是所有信息安全保护的基本原则。在全面部署实施加密软件之后,必须建立一个科学有效的商业机密保护制度,从技术和管理两个方面来实现对商业机密的保护。
以上是中小企业全面保护商业机密的标准流程。在实践中,企业可以根据具体情况对某些步骤稍作调整。从现有市场的情况来看,只有少数加密软件厂商才建立了规范的操作流程,多数加密软件厂商出于种种目的,故意简化流程深圳省略重要步骤,其结果很可能导致加密软件项目的失败。