随着企业可移动存储设备、笔记本电脑和手持智能设备的大量使用,更进一步地加剧了企业机密数据的泄漏问题。由于企业机密数据的泄漏不仅会给企业带来经济和无形资产的损失,而且,如果这些泄漏的机密数据是一些与人们密切相关的隐私信息,例如银行帐号、身份证号码等信息,还会带来一些社会性的问题。因而,许多企业都想通过部署数据加密解决方案来确保数据的机密性。
但是,一些企业在部署数据加密解决方案时,依然存在下列所示的问题:
1、 在没有完全了解数据加密解决方案的能力和局限性的前题下,企业就直接选择和部署该产品。
2、 许多中小企业没有足够的技术人员来执行数据加密解决方案的部署。
3、 在部署数据加密解决方案时缺少充分的准备和规划,并且没有经过测试就直接投入使用。
文件夹如何加密
如果企业在部署数据加密解决方案时,存在上述问题,那么,这样部署的加密解决方案,其作用根本没有发挥,也是企业资金的一种浪费。
幸运的是,经过这么多年数据加密系统的发展,从过去或其它企业部署数据加密解决方案的成功经验中,我们可以得到一个比较好的部署数据加密解决方法的通用步骤。这些最佳的做法可以指导我们成功部署数据加密解决方案,大大减少上述问题的发生,并提高部署的效率。
就目前来说,要成功部署一个数据加密解决方案,我们可以按下列所示的4个步骤来进行:
1、 确定加密目标和选择加密技术和产品。
2、 编写数据加密项目的规划和解决方案。
3、 准备、安装和配置加密软件或硬件。
4、 数据加密解决方案的测试和最终使用。
一、确定加密目标和选择加密技术
1、确定加密目标
首先,就是要明确企业网络中的哪些方面需要使用数据加密,也就是确定加密的目标和需要加密的位置。
通常,我们只需要搞清楚下列所示的这些内容,加密的目标也就到了:
(1)有哪些机密信息会出现在服务器、工作站、笔记本等可移动存储设备或手持智能设备上?这些机密信息应当包括客户和雇员信息、财务信息、商业计划、研究报告、软件代码,以及产品设计图纸和文档,项目招标计划和设计图纸等等。
(2)上述这些机密信息是以什么文件类型的形式保存在各类存储设备上的什么位置?文件类型包括电子表格、Word文档、数据库文件、幻灯片、HTML文件和(E-Mail),以及文件代码和可执行文件等形式。
(3)哪些用户的工作站、笔记本需要保护?例如,重要的管理人员、销售人员和技术顾问,还是包括所有雇员、合作伙伴和承包商。
(4)企业中哪些用户在使用笔记本电脑等可移动存储设备?例如,管理人员、合作伙伴或供应商。以及机密信息是否会被复杂到USB设备或其它可移动媒介中?
(5)企业中哪些员工会使用(E-Mail)?这些都从哪些工作站或笔记本电脑上发送的?
(6)企业局域网中传输的机密数据是否安全?
(7)企业是否有远程办公室,远程办公室与企业总部之间的远程连接是否包含机密信息?
(8)企业员工进行WEB浏览等网络通信是否包含机密信息?
上述所有的机密信息和机密信息所存在的位置都必需通过应用数据加密来保护数据的机密性。
2、了解应当遵守的法规
企业还应当明白制定的数据加密解决方案应当遵守当地的相应数据保护法规,以满足当地审计部门的要求。例如,我国的《企业内部控制基本规范》就要求国内相关企业必需保护机
密数据的安全。如果我国的企业已经在美国上市,那么还必需遵守美国制定的萨班斯法案。因此,我们制定的数据加密解决方案还应当提示是根据什么样的加密标准规则来执行的,还应当遵守什么样的加密密钥分配和管理方法。
制定后的数据加密解决方案可能要在企业内部强制执行,而对于这个新制定的企业内部规章政策,企业必需对企业员工进行说明此政策推行的理由,表明不是为了限制某几个人的访问权限,也不是某些IT安全技术人员本身的安全偏执行为而临时决定的。
3、了解数据加密的局限性
在使用数据加密技术之前,我们还有必要来了解一下数据加密的局限性也是同样重要的。毕竟数据加密技术并不是解决数据安全的灵丹妙药。
数据加密技术能保护被盗或丢失设备上的数据,以及在网络中传输的数据的机密性,但是它并不能限制企业内部员通过、即时聊天工具等向外发送这些机密信息。也不能阻止黑客或文件共享程序对外公开这些机密信息。更不能防止数据被意外删除、损坏和丢失。因此,我们还必需为保护企业数据安全部署其它安全产品,例如防火墙、企业权限管理、以及数据备份和灾难恢复等安全措施。
要知道的是,数据加密即可以单独使用,也可以与其它安全防范技术同时使用。数据加密是所有安全防范技术中最基础的技术之一,有许多安全防范产品当中都嵌入了数据加密功能。但这些安全产品的加密功能往往不如人意,还是得部署独立的数据加密解决方案才行。
4、选择数据加密产品
现在市面上主要有以下所示的这几种类型的数据加密产品:
(1)、文件/文件夹加密产品
文件/文件夹加密产品目前在市场上存在三种主要的方式,这三种主要方式包括:文件加密产品、文件夹加密产品和文件/文件夹加密产品。一些操作系统,例如应用NTFS文件系统后的Windows XP操作系统就可以使用EFS的加密文件系统来加密文件或文件夹。而其它的第三方文件/文件夹加密软件就更多,例如TrueCrypt、Axcrypt、Cryptainer LE、Blowfish Advanced CS个人版和FreeOTFE。我们应当根据企业自身的需求,选择其中最正确的一种将是整个数据加密策略过程中最重要的步骤。雪源梅香就非常喜欢开源免费的TrueCrypt,也推荐大家使用它。
文件或文件/文件夹加密产品通常需要用户自己操作需要加密的文件或文件夹。文件或文件/文件夹加密产品是很容易实现的,但是,这些产品需要用户参与,如果用户不注意就会造成遗漏,而且,这些产品并不能对临时文件夹和交换空间进行加密,这就造成了一些敏感信息的副本仍然没有被加密。而且,一些在远程系统上经过妥善加密了的文件及文件夹也不能轻易地证明它已经是被加密过了的。
(2)、全盘加密(FDE技术)产品
全盘加密技术产品,由它的名字就可以清楚地知道它是针对整个硬盘或某个卷的。这样,包括操作系统、应用程序和数据文件都可以被加密。通常这个加密解决方案在系统启动时就进行加密验证,一个没有授权的用户,如果不提供正确的密码,就不可能绕过数据加密机制获取系统中的任何信息。
现在,一些主要的安全厂商都推出自己的全盘加密产品,例如赛门铁克推出的Endpoint Encryption 6.0全盘版,以及McAfee的Total Protection for Data、PGP全盘加密和免费的TrueCrypt也具有全盘加密功能。如今,一些大牌的硬盘生产厂商,例如希捷、西部数据和富士通等都支持全盘加密技术,将全盘加密技术直接集成到硬盘的相关芯片当中,并且与可信
计算机组(TCG)发布的加密标准相兼容。而且,一些计算机厂商,例如联想和DELL等都在生产使用这种加密硬盘或加密芯片技术的安全计算机。
我们应当要根据自身的实际数据加密需求来选择相应的全盘加密产品。通常,像笔记本电脑、U盘等可移动存储设备应当选择全盘加密产品来加密整个磁盘或卷,或者直接购买具有加密芯片的安全笔记本电脑或工作站。
全盘加密技术是一种非常成熟的技术,而且非常容易使用和配置,因为只需要用户决定如个磁盘或卷需要加密即可。而且除了需要用户记住加密密码之外,其它的操作都不需要用户参与。它还能保护操作系统、临时文件夹、交换空间,以及所有可以被加密保护的敏感信息。
但是,要加密整个磁盘的速度是非常慢的,对一些大容量的文件也是如此。虽然现在的全盘加密产品的加密速度有了长足的提高,但是,在实际的使用过程中,如果磁盘或卷中存款额大量的文件,那么其加密速度还是看起来非常慢的。并且,如果磁盘的主引导记录可能使它与备份和恢复程序很难共存,一旦磁盘发现故障或错误,那么将会造成数据无法被正确恢复的局面。
(3)、智能加密产品
新出现的智能加密产品结合了文件及文件夹加密产品和全盘加密产品的主要特点。例如国内比较有名的是思智ERM301企业数据智能加密系统。这些混合的解决方案与文件/文件夹加密产品有一定的相似之外,因为它可以由用户决定只加密文件或文件夹,而不需要加密操作系统或应用程序。这将大大减少加密所费的时间,提高加密的性能。另外,它还允许管理员指定加密文件的具体类型,例如电子表格或PPT,以及某些具体应用产品,例如财务和人力资源应用。
智能加密技术确保指定的文件类型或应用类型都能加密,而不需要文件是否存在于某个指定的加密文件夹。并且,这种技术不会干扰备份和恢复、补丁管理或强制认证产品。但是,要确保所有机密信息都得到保护,我们就需要知道它们是什么,以及存在于什么位置。如果我们没有一种了机密信息的处理机制,那么还是使用全盘加密技术比较可靠。
二、制定数据加密计划和设计解决方案
与其它大型的安全防范项目一样,一个切实可行的数据加密计划能减少在具体实施过程中不必要的错误和麻烦,以及许多令人头痛的问题。
一个全面的数据加密解决方案应当包括和考虑下列8个方面的内容:
1、 文档目标、需求和制约因素
我们应当在开始之前将数据加密的目标、需求和策略问题做一个具体的文档记录,用来说明现在距离我们制定的目标还有多长的距离。并确保制定的这些文档很容易被受这个项目影响的管理者和用户体所理解。尽管数据加密不是计算机用户的一个负担,但是它们彼此之间不会完全透明,所以每个人都需要清楚地了解这样做是为什么,以及将会受到什么的影响。
同时,我们还应当规定数据加密项目的范围和限制,包括项目将耗费多长时间,需要投入多少成本,是否有足够的人力资源实施该项目等内容。如前所述,在预算和人力资源这两个方面的限制因素将为我们选择数据加密产品提供一个充分的理由。如果企业技术人员充分,那么可以选择自己解决数据加密方案的部署。如果情况与此相反,企业也可以决定是否需要得到安全厂商的支持,或者决定将此项目外包给第三方等。
发布评论