中小企业部署数据加密解决方案的最佳实践

【www.sychzs.cn独家专题】数据保密保护是一个普遍的问题。现在，由于移动存储设备、笔记本电脑和手持智能设备的大量使用，进一步加剧了企业机密数据的泄露。 由于企业机密数据的泄露不仅会给企业带来经济和无形资产损失，而且如果泄露的机密数据是一些与人密切相关的私人信息，比如银行账号、身份证号码等信息，那么也会带来一些社会问题。 因此，一些国家针对一些特殊行业制定了相关的数据保护法案，强制企业采用相应的安全措施来保护机密数据的安全。应用数据加密是保护数据机密性的主要方法。一些需要遵守相应数据安全法律的企业必须在企业内部部署相应的数据加密解决方案，以解决机密数据泄露的问题。 然而，一些中小企业在部署数据加密解决方案时仍然存在以下不良做法： 1、企业在没有充分了解数据加密解决方案的能力和局限性的情况下，直接选择和部署产品。 2.许多中小企业没有足够的技术人员来执行数据加密解决方案的部署。 3、部署数据加密方案时缺乏充分的准备和规划，未经测试就直接投入使用。 这种为中小企业部署数据加密解决方案的方式简直是浪费金钱。因此，迫切需要一种高效的部署方法来指导企业完成数据加密解决方案的部署。 然而，数据加密解决方案本质上很难在现有企业网络结构中部署。另外，即使部署成功，如今的中小企业根本找不到人和监控软件来管理其是否始终有效以及处理使用过程中出现的问题，更不用说数据的部署过程了。加密解决方案。许多其他安全问题。 因此，部署数据加密解决方案并不是一件容易的事。 然而，虽然数据加密并不容易部署和管理，但有一些最佳实践可以帮助我们显着提高部署数据加密解决方案的成功率。如果我们按照下面所示的四个步骤来部署数据加密解决方案，我们就可以避免上面列出的问题并成功部署数据加密解决方案。 要成功部署数据加密解决方案，需要执行以下四个步骤： 1、确定加密目标，选择加密技术和产品。 2. 制定数据加密项目的计划和解决方案。 3. 准备、安装和配置加密软件或硬件。 4. 数据加密方案的测试和最终使用。下面，我们将按照部署数据加密解决方案的这四个步骤来详细说明部署过程中的最佳实践应该如何完成。 1.确定加密目标并选择加密技术 如果在应用数据加密之前没有确定一个明确的目标，分析企业中哪些地方需要应用数据加密，那么数据加密就无从谈起。 1. 确定加密目标 首先，需要明确企业网络的哪些方面需要使用数据加密，即确定加密目标以及需要加密的位置。通常，我只需要弄清楚以下内容，就可以找到加密目标： 1. 服务器、工作站、笔记本电脑和其他可移动存储设备或手持智能设备上会出现哪些机密信息？这些保密信息应包括客户和员工信息、财务信息、商业计划、研究报告、软件代码，以及产品设计图纸和文件、项目招标计划和设计图纸等。 2、上述机密信息以什么文件类型、什么位置存储在各种存储设备上？文件类型包括电子表格、Word 文档、数据库文件、幻灯片、HTML 文件和电子邮件 (E-Mail)，以及文件代码和可执行文件。 3. 哪些用户的工作站和笔记本电脑需要保护？例如，关键管理人员、销售人员和技术顾问，还包括所有员工、合作伙伴和承包商。 4. 企业中哪些用户正在使用笔记本电脑等可移动存储设备？例如，经理、合作伙伴或供应商。机密信息是否会存储在 USB 设备或其他可移动介质上？ 5. 企业中有哪些员工使用电子邮件（E-Mail）？这些电子邮件是从哪些工作站或笔记本电脑发送的？ 6、企业局域网中传输的机密数据安全吗？ 7. 公司有远程办公室吗？远程办公室与公司总部的远程连接是否包含机密信息？ 8、企业员工浏览WEB等网络通讯是否包含机密信息？ 所有上述机密信息以及机密信息所在的位置都必须通过数据加密来保护数据的机密性。 2. 应遵守的规定 企业还应了解，他们开发的数据加密解决方案应符合当地相应的数据保护法规，以满足当地审计机构的要求。例如，我国将于今年7月1日实施的《企业内部控制基本规范》，要求国内相关企业保护机密数据的安全。 如果中国企业已经在美国上市，还必须遵守美国颁布的《萨班斯-奥克斯利法案》。因此，我们开发的数据加密方案也应该表明它是按照什么加密标准规则来实现的，应该遵循什么加密密钥的分配和管理方法。制定的数据加密解决方案可能必须在企业内部强制执行。对于这项新制定的企业内部规则和政策，企业必须向员工解释实施该政策的原因，表明其无意限制某些个人的访问权限。这也不是由于某些IT安全技术人员本身的安全偏执而临时做出的决定。 #p# 3.了解数据加密的局限性 在使用数据加密技术之前，了解数据加密的局限性也很重要。毕竟，数据加密技术并不是数据安全的万能药。 数据加密技术可以保护被盗或丢失的设备上的数据以及网络上传输的数据的机密性，但它不能限制企业内部的员工通过电子邮件、即时聊天工具等方式向外部发送这些机密信息，也不能阻止黑客或其他人的攻击。文件共享程序以免将此机密信息暴露给外界。它无法防止数据被意外删除、损坏和丢失。 因此，我们还必须部署其他安全产品来保护企业数据安全，比如防火墙、企业权限管理以及数据备份和灾难恢复等安全措施。 您需要知道的是，数据加密可以单独使用，也可以与其他安全技术结合使用。数据加密是所有安全技术中最基本的技术之一，很多安全产品都嵌入了数据加密功能。但这些安全产品的加密能力往往不尽如人意，必须部署独立的数据加密解决方案。 4、数据加密产品的选择 市场上的数据加密产品主要有以下几类： (1)、文件/文件夹加密产品 目前市场上的文件/文件夹加密产品主要有三种方式。这三种主要方式包括：文件加密产品、文件夹加密产品和文件/文件夹加密产品。某些操作系统，例如使用NTFS文件系统的Windows XP操作系统，可以使用EFS加密文件系统来加密文件或文件夹。 还有许多其他第三方文件/文件夹加密软件，例如 TrueCrypt、Axcrypt、Cryptainer LE、Blowfish Advanced CS 个人版和 FreeOTFE。我们应该根据企业自身的需求来选择最正确的一种，这将是整个数据加密策略过程中最重要的一步。 文件或文件/文件夹加密产品通常需要用户对需要加密的文件或文件夹进行操作。文件或文件/文件夹加密产品很容易实现，但这些产品需要用户参与，如果用户不小心，可能会错过。此外，这些产品无法加密临时文件夹和交换空间，这导致敏感信息的某些副本仍未加密。此外，一些在远程系统上正确加密的文件和文件夹无法轻易证明已加密。 (2)、全盘加密（FDE技术）产品 全盘加密技术产品，正如其名称可以清楚地看出，它是针对整个硬盘或某个卷的。这样，包括操作系统、应用程序和数据文件都可以被加密。通常这种加密方案会在系统启动时进行加密验证。如果未经授权的用户没有提供正确的密码，则无法绕过数据加密机制并获取系统中的任何信息。 现在，一些主要安全厂商都推出了自己的全盘加密产品，比如Symantec的Endpoint Encryption 6.0全盘版本，McAfee的Total Protection for Data、PGP全盘加密和免费的TrueCrypt也都具备全盘加密功能。 现在一些大牌硬盘厂商，如希捷、西数、富士通等，都支持全盘加密技术。全盘加密技术直接集成到硬盘相关芯片中，符合可信计算机组织（TCG）发布的加密标准。兼容的。此外，一些计算机制造商，例如联想和戴尔，正在生产使用这种加密硬盘或加密芯片技术的安全计算机。 我们应该根据自己的实际数据加密需求来选择相应的全盘加密产品。一般来说，笔记本电脑、U盘等可移动存储设备应选择全盘加密产品对整个磁盘或卷进行加密，或者直接购买带有加密芯片的安全笔记本电脑或工作站。 全盘加密是一项非常成熟的技术，并且非常易于使用和配置，因为用户只需要决定哪个磁盘或卷需要加密。并且除了要求用户记住加密密码外，没有其他操作需要用户参与。它还可以保护操作系统、临时文件夹、交换空间以及所有可以加密的敏感信息。 然而，加密整个磁盘的速度非常慢，即使对于一些大文件也是如此。虽然目前全盘加密产品的加密速度已经有了很大的提高，但在实际使用中，如果磁盘或卷中存在大量文件，加密速度仍然显得很慢。 而且，如果磁盘的主引导记录可能会导致难以与备份和恢复程序共存，一旦发现磁盘故障或错误，就会导致数据无法正确恢复的情况。 （三）智能加密产品 新兴的智能加密产品结合了文件和文件夹加密产品以及全盘加密产品的关键功能。比如国内比较有名的就是思智ERM301企业数据智能加密系统。这些混合解决方案与文件/文件夹加密产品有一些相似之处，因为由用户决定仅加密文件或文件夹，而不需要加密操作系统或应用程序。 这将大大减少加密所花费的时间并提高加密性能。此外，它还允许管理员指定特定类型的加密文件，例如电子表格或 PPT，以及某些应用程序产品，例如财务和人力资源应用程序。 智能加密技术确保指定的文件类型或应用程序类型都可以被加密，无论文件是否存在于指定的加密文件夹中。并且，该技术不会干扰备份和恢复、补丁管理或强制认证产品。 但为了确保所有机密信息都受到保护，我们需要知道它是什么以及它存在于何处。如果我们没有处理机密信息的机制，那么使用全盘加密技术更为可靠。 #p# 2.制定数据加密项目方案并设计解决方案 与其他大型安全项目一样，实用的数据加密计划可以减少实施过程中不必要的错误、麻烦和许多令人头痛的问题。一个全面的数据加密解决方案应包括并考虑以下8个方面： 1. 文档目标、要求和限制 在我们开始解释我们离我们设定的目标还有多远之前，我们应该就数据加密的目标、要求和战略问题制定一份具体的文件。并确保这些文档易于被项目影响的管理者和用户组理解。 虽然数据加密对于计算机用户来说不是负担，但它们之间不会完全透明，因此每个人都需要清楚地了解为什么要这样做以及会产生什么影响。 同时，我们还应该明确数据加密项目的范围和限制，包括项目需要多长时间、需要多少费用以及是否有足够的人力资源来实施该项目。如前所述，预算和人力资源方面的限制将为选择数据加密产品提供充分的理由。 如果企业有足够的技术人员，可以选择自行解决数据加密方案的部署。如果相反，企业还可以决定是否需要安全厂商的支持，或者决定将项目外包给第三方等。 2.确定项目组成员 一个典型的数据加密项目会涉及企业的多个部门。我们应该成立一个项目组并确定相关成员。数据加密解决方案的部署成员应包括： (1)企业IT部门的安全技术人员、系统管理员和网络管理员。 （二）企业各部门主要负责人。 （三）指定一名项目内部总负责人。 (4) 加密产品提供商的技术人员或第三方网络和防火墙专家。3.确定基础设施集成任务 我们应该花一些时间和资源来决定如何将数据加密解决方案集成到我们当前的 IT 基础设施中。可能需要更改 IT 基础设施的典型数据加密方案可能包括： (1)防火墙和代理服务器的配置调整。 (2)终端设备备份恢复流程调整。 (3) 与Active Directory或其他企业目录集成。 4. 为最终用户分配资源和培训支持 大多数数据加密解决方案都需要对计算机最终用户的操作行为进行一些更改，因此最终用户拒绝做出更改将为所应用的数据加密带来新的风险。因此，我们应该分配资源并制定时间表来培训用户接受这一变化。还需要培训一支数据加密解决方案的管理团队，用于企业的后期维护并参与实施过程。 5. 决定成功的目标是什么？ 我们必须为数据加密项目设定一个最终的成功目标。这个目标可以作为项目是否成功实施的参考值。这也为这个数据加密项目提供了具体的范围限制，也为项目的最终管理提供了参考坐标。 6. 决定如何加密 如果我们正在实施文件/文件夹或智能加密产品的数据加密解决方案，那么在使用之前决定使用哪种加密是非常重要的一步。例如，如果我们可以部署一个智能加密解决方案，通过以下方式对数据进行加密，用户可以决定加密的数据： (1)、加密特定文件类型（例如电子表格、数据库、文件或临时文件夹）。 (2) 对某些特定应用程序产生的敏感数据进行加密，例如财务软件、CRM、ERP等。 (3) 针对特定磁盘或可移动存储设备。 (4) 只对特定用户进行加密，例如系统中的多个用户。 7. 验证设计 验证数据加密软件始终可靠且正确是至关重要的一步。这样，我们可以确保当包含机密数据的设备丢失或被盗时，或者当机密数据在网络上传输时，我们可以确保数据是安全的，不会导致机密性泄露。为实现这一目标，我们还应做好以下工作： (1)在开始正常使用之前，应该有一种方法来验证这些数据加密软件是否已经正确安装。仅用户报告他们在计算机上安装了数据加密软件，或者您向用户提供数据加密软件的 CD 让他们安装是不够的。一切都必须由我们自己去做，然后验证，这样才能百分百确定。（2）我们还必须定期进行定期检查，确保没有用户绕过数据加密软件。 (3)还要确保所有数据加密软件都是最新版本。 所有这些信息都应记录并存储在中央服务器上，并对相关日志进行审计。在许多环境中这是强制执行的。这可以确保数据加密软件是最新的并且所有漏洞都已得到修补。这也需要数据加密软件供应商提供这方面的信息。确保数据加密软件是最新的。 8. 最小化用户权限的设计 我们设计的数据加密解决方案使最终用户仅拥有最小的操作权限。除了提供警报功能并允许最终用户执行数据加密任务或更新软件之外，所设计的解决方案不允许进行其他操作。例如，用户不能更改加密软件的任何配置参数或加密方式，也不能更改与特定设备连接的加密设备。 。 用户不能通过Windows控制面板中的添加或删除程序等方式删除加密软件，也不能通过任务管理器等软件禁止加密软件运行，更不能通过服务模式禁止加密软件自行运行和自动操作模式。这些是确保加密软件始终有用的最佳方法，必须严格执行。 #p# 3.调整IT基础设施并配置加密软件 数据加密方案设计完成后，下一步就是如何实施该方案。数据加密解决方案的具体部署主要涉及现有IT基础设施的调整以及加密软件的安装和配置。 1、调整IT基础设施 在这个阶段，我们可以调整IT基础设施中需要改变的地方，以便数据加密解决方案可以无缝集成到其中。这可能包括更改防火墙或代理服务器设置、更改终端、服务器等的数据备份和恢复方法、与公司目录集成等等。 在使用数据加密产品之前，最好对硬盘进行一次全面的碎片整理，清除坏道。还需要清理所有临时 Internet 文件。同时，清理企业内不需要加密的设备，降低数据加密方案的复杂度。 2. 配置数据加密系统 如果由我们自己实现数据加密解决方案，我们需要部署、安装和配置加密服务器。我们还必须在数据加密客户端上安装和配置数据加密软件，以加密客户端计算机上的文件、文件夹和驱动器。 3. 进行模拟测试 在开始使用之前，我们需要在安装数据加密软件的设备上进行模拟运行和加密任务测试，以确保这些加密产品是否能够达到预期的目的。以便确定什么是最佳加密实践，并检查这些加密软件与系统、应用程序和硬件之间的兼容性，以及检查加密软件是否出现意外错误。所有这些测试都非常重要。 4.推出数据加密解决方案 这是部署数据加密解决方案的最后一步，也就是最终让数据加密解决方案正常运行。正如前面提到的，最重要的是对用户和技术维护人员进行培训，让他们了解会发生什么以及如何去做。 在开始使用之后，还必须经过10-30天的最佳测试期，主要是测试非IT员工使用部署的加密产品后的反应，以及加密是否能够达到最终的效果。 这个测试过程不仅能让我们发现这个数据加密方案存在的问题，还能让员工慢慢适应新增加的数据加密方案，让员工更容易理解和接受。我们必须将测试得到的数据记录下来，并对需要调整的部分进行相应的修正。 一旦最佳测试期结束，我们就应该解决数据加密解决方案的其余部分。此阶段可以逐步进行。例如，如果我们正在部署文件/文件夹或混合加密方案，那么我们可能一开始只加密少数重要文件或几类应用文件，验证其加密保护的有效性后，再进行下一步。逐步加密所有目标文件。 另外，在部署数据加密方案时，应检查每个部署周期的时间值是否与确定的总部署时间相对应，如果发现偏差，及时进行调整。在最终部署期间，我们还必须更新我们的需求文档和流程计划，以包含新收集的数据和经验教训。这将帮助我们有时间扩展和更新我们的数据加密解决方案。 最后，我们必须提供一份书面报告，描述部署数据加密解决方案的最终结果以及实施后的最终结果是否接近预期目标。 至此，我们已经了解了成功部署数据加密解决方案应遵循的步骤和最佳实践。从这些描述可以看出，虽然部署数据加密解决方案是一个相当复杂的过程，但在部署过程中需要完成大量与该过程相关的文档。 不过，只要我们按照本文介绍的步骤和最佳实践来部署数据加密解决方案，整个流程就会变得非常清晰，成功部署将不再是一句空话。