【51CTO.com 綜合消息】多數(shù)企業(yè)已經(jīng)認識到，商業(yè)機密泄露將會給企業(yè)帶來直接的經(jīng)濟損失。因此，企業(yè)紛紛采用各種手段對商業(yè)機密進行保護。過去常用的保護手段如靜態(tài)文件加密、防水墻、內(nèi)網(wǎng)監(jiān)控管理軟件、電子文檔保險柜等等，都從不同程度上保護了企業(yè)的核心資料。從當前的技術(shù)發(fā)展情況看，實施企業(yè)級加密軟件是目前最受推崇，應(yīng)用最廣，效果***的解決辦法。

但是，當前很多中小企業(yè)在對數(shù)據(jù)安全的重要認識、信息安全產(chǎn)品的了解、企業(yè)自身特點等多方面不是很清晰的情況下，就倉促上馬加密類產(chǎn)品，結(jié)果不甚理想，沒有真正實現(xiàn)企業(yè)數(shù)據(jù)泄露防護的目標。主要表現(xiàn)在以下幾個方面：

1.對文檔和數(shù)據(jù)安全的一些常識和理論沒有了解；

2.對市面上各種文檔加密產(chǎn)品的優(yōu)勢特點及局限性不了解；

3.中小企業(yè)自身欠缺足夠的技術(shù)實力和技術(shù)人員來選型和實施加密軟件產(chǎn)品；

4.沒有按照科學(xué)合理的流程來對加密軟件進行測試、試用、和部署；

其實，作為中小企業(yè)的一種產(chǎn)品級的功能性工具，加密軟件已經(jīng)逐漸成為中小企業(yè)的標準配置。只要按照一些標準的信息安全管理流程來考察、試用和實施，就可以實現(xiàn)數(shù)據(jù)安全的目標。

對中小企業(yè)來說，參照一些信息安全管理規(guī)范來選擇和實施加密軟件產(chǎn)品，是有益的。但是要掌握冗長繁雜的信息安全管理標準，對中小企業(yè)技術(shù)人員來說，是一件頭疼的事情，本人經(jīng)過對國際常用的信息安全管理標準如BS7799（ISO17799）等標準的梳理和歸納，可以總結(jié)為以下十個基本步驟，按照這十個基本步驟，足以完成對文檔加密軟件的選型實施，并有助于提高成功實施的概率。

一、成立商業(yè)機密保護管理小組

在企業(yè)里，誰最關(guān)心企業(yè)核心機密的保護？自然是老板。商業(yè)機密作為公司核心資產(chǎn)，首先應(yīng)該得到老板的重視，這是一個從上到下的實施工程，不是一個普通的軟件實施。因此，企業(yè)核心商業(yè)機密保護，***是有老板牽頭。老板的重視，往往能起到統(tǒng)籌全局的作用，能對項目的順利進展起到?jīng)Q定性的作用。

除了老板要重視商業(yè)機密保護，IT部門負責人也有則無旁貸的義務(wù)來組織整個項目具體的計劃和實施。一個典型的數(shù)據(jù)加密項目會涉及企業(yè)中的多個部門，我們應(yīng)當為此建立一個項目團隊并確定相關(guān)成員。商業(yè)機密保護管理小組成員應(yīng)當包括：

1.為項目指定一個內(nèi)部總負責人；

2.企業(yè)IT部門的安全技術(shù)員、系統(tǒng)管理員和網(wǎng)絡(luò)管理員；

3.企業(yè)中每個部門的主要負責人；

4.加密產(chǎn)品提供商的技術(shù)人員或第三方網(wǎng)絡(luò)和防火墻方面的專家；

5.具體負責執(zhí)行的人員，來收集整理各種資料，編寫各種相關(guān)文檔等等。

二、對商業(yè)機密資產(chǎn)進行分析和總結(jié)

如果在應(yīng)用數(shù)據(jù)加密之前沒有確定明確的保護對象，分析企業(yè)中需要應(yīng)用數(shù)據(jù)加密的地方，那么，數(shù)據(jù)加密就無從談起。 就是要明確企業(yè)哪些方面需要保護，也就是確定加密的目標和需要加密的位置。通常，需要清楚下列所示的這些內(nèi)容：

1.公司現(xiàn)有的商業(yè)機密都有哪些文件？這些機密信息應(yīng)當包括客戶和員工信息、財務(wù)信息、商業(yè)計劃、研究報告、軟件代碼，以及產(chǎn)品設(shè)計圖紙和文檔，項目招標計劃和設(shè)計圖紙等等；

2.機密信息會產(chǎn)生或者保存在哪些終端、服務(wù)器、工作站，或筆記本、U盤等可移動存儲設(shè)備上？

3.上述文件是以何種文件類型的形式保存在各類存儲設(shè)備上的什么位置？文件類型包括電子表格、Word文檔、數(shù)據(jù)庫文件、幻燈片、HTML文件和電子郵件（E-Mail），以及源代碼和可執(zhí)行文件等形式；

4.哪些用戶的臺式機、工作站、筆記本需要保護？例如，重要的管理人員.銷售人員和技術(shù)顧問，還是包括所有員工、合作伙伴和承包商；

5.企業(yè)中哪些用戶在使用筆記本電腦等可移動存儲設(shè)備？以及機密信息是否會被復(fù)雜到USB設(shè)備或其它可移動媒介中？

6.企業(yè)中哪些員工會使用電子郵件（E-Mail）？或者是即時通訊工具MSN、QQ等？這些電子郵件都從哪些工作站或筆記本電腦上發(fā)送的？

7.企業(yè)局域網(wǎng)中共享文件服務(wù)器上的機密數(shù)據(jù)是否安全？

8.企業(yè)是否有遠程辦公室，遠程辦公室與企業(yè)總部之間的遠程連接是否包含機密信息？

9.企業(yè)員工進行WEB瀏覽等網(wǎng)絡(luò)通信是否包含機密信息？

通過對企業(yè)現(xiàn)有的商業(yè)機密類型、產(chǎn)生和保存的位置、文件格式、泄密途徑等等進行梳理，是進行下一步工作的基礎(chǔ)。

三、根據(jù)分域安全理論，對商業(yè)機密進行分類

針對商業(yè)機密保護，目前最領(lǐng)先的理論是“分域安全理論”。經(jīng)過上一步驟對企業(yè)的保護對象進行了梳理，結(jié)合分域安全理論，就可以找到相對應(yīng)的解決辦法。

所謂分域安全模式，是相對于傳統(tǒng)的分層安全模式而言的。分域安全指的是把網(wǎng)絡(luò)分為磁盤、終端、端口、服務(wù)器、局域網(wǎng)等等工作域，在每一個工作域都采用對應(yīng)的安全策略。不論是在辦公室的主機、工作站、服務(wù)器，還是在移動辦公、家庭辦公的筆記本電腦、移動存儲設(shè)備，都可以有一個相對應(yīng)的保護工具，用以提高個人資料的安全性。

換句話說，這種安全模式是基于這樣的理論：在網(wǎng)絡(luò)內(nèi)部可以找到一種通用的解決辦法來處理各個區(qū)域的安全問題，但是對于任何一個個性的區(qū)域，都能有結(jié)合個性特點的細分工具來解決個性問題。

根據(jù)文檔和數(shù)據(jù)的生命周期，可以把文檔基本分為創(chuàng)建、流轉(zhuǎn)、使用、修改、歸檔、銷毀等幾個階段。根據(jù)商業(yè)機密的全生命周期，可以根據(jù)其存儲和流轉(zhuǎn)的位置和途徑進行分類，把相對應(yīng)的工作域分為：磁盤、終端、端口、服務(wù)器、局域網(wǎng)、移動存儲設(shè)備、外埠工作域和外部網(wǎng)絡(luò)等。

通過分域安全理論，對中小企業(yè)來講，基本上可以根據(jù)企業(yè)的核心機密類型分為兩大類，一種是設(shè)計、研發(fā)類為主的核心機密信息，另一種是財務(wù)、營銷、管理等部門產(chǎn)生的核心機密信息。#p#

四、了解各種類型的加密軟件優(yōu)點及其局限性

現(xiàn)在市面上主要有以下所示的這幾種類型的數(shù)據(jù)加密產(chǎn)品：

1.靜態(tài)加密產(chǎn)品（文件/文件夾加密 ）

文件/文件夾加密產(chǎn)品目前在市場上存在三種主要的方式，這三種主要方式包括：文件加密產(chǎn)品、文件夾加密產(chǎn)品和文件/文件夾加密產(chǎn)品。一些操作系統(tǒng)，例如應(yīng)用NTFS文件系統(tǒng)后的Windows XP操作系統(tǒng)就可以使用EFS的加密文件系統(tǒng)來加密文件或文件夾。

這類產(chǎn)品基本上是免費的，但是除了這個“優(yōu)點”之外，其他的缺陷也是顯而易見的：文件/文件夾加密產(chǎn)品通常需要用戶自己操作需要加密的文件或文件夾。需要用戶參與，如果用戶不注意就會造成遺漏，而且，這些產(chǎn)品并不能對臨時文件夾和交換空間進行加密，這就造成了一些敏感信息的副本仍然沒有被加密。這些軟件安全性很低，部署之后形同虛設(shè)，很容易被破解，達不到企業(yè)的安全要求，不適合企業(yè)用于商業(yè)機密加密保護。

2.動態(tài)加密產(chǎn)品

動態(tài)加密（Encrypt on –the-fly）是指數(shù)據(jù)在使用過程中自動(動態(tài))對數(shù)據(jù)進行加密或解密操作，無需用戶干預(yù)，合法用戶在使用加密的文件前，也不需要進行解密操作即可使用。表面看來，訪問加密的文件和訪問未加密的文件基本相同，對合法用戶來說，這些加密文件是“透明的”，即好像沒有加密一樣，但對于沒有訪問權(quán)限的用戶，即使通過其它非常規(guī)手段得到了這些文件，由于文件是加密的，因此也無法使用。由于動態(tài)加密技術(shù)不僅不改變用戶的使用習(xí)慣，而且無需用戶太多的干預(yù)操作即可實現(xiàn)文檔的安全，因而近年來得到了廣泛應(yīng)用。

目前市面上動態(tài)加密產(chǎn)品有兩種，一種是基于文檔級的加密產(chǎn)品。這類產(chǎn)品很常見，也已經(jīng)很成熟。通常被稱為透明加密軟件。以 SmartSec為代表的透明加密軟件已經(jīng)在中國得到廣泛使用。包括政府、軍隊、軍工、制造業(yè)、設(shè)計院所、通信等行業(yè)。另一種是基于磁盤級（數(shù)據(jù)級）的加密軟件?；诖疟P級的加密軟件，分為兩類，一類是“虛擬磁盤加密”產(chǎn)品，另一類是全磁盤加密產(chǎn)品（FDE，F(xiàn)ull Disk Encryption）。

虛擬磁盤加密產(chǎn)品通過虛擬一個空間，對虛擬空間內(nèi)的文件自動加密解密。這一類產(chǎn)品通常衍生出文檔保險柜等軟件。由于只是對磁盤分區(qū)或者扇區(qū)進行加密，不能對C盤和操作系統(tǒng)加密，其安全性比較低，往往適合個人級的文檔保護，不適合高度保密要求的企業(yè)。

全盤加密技術(shù)是一種非常成熟的技術(shù)，而且非常容易使用和配置，因為只需要用戶決定哪個磁盤或扇區(qū)需要加密即可。而且除了需要用戶記住加密密碼之外，其它的操作都不需要用戶參與。它還能保護操作系統(tǒng)、臨時文件夾、交換空間，以及所有可以被加密保護的敏感信息。全磁盤加密（FDE）產(chǎn)品對磁盤上所有數(shù)據(jù)進行動態(tài)加解密，包括操作系統(tǒng)，在關(guān)機和休眠狀態(tài)下，磁盤上的數(shù)據(jù)處于加密狀態(tài)，有效地防止了泄密。這一類產(chǎn)品在國際上發(fā)展10多年，已經(jīng)相當成熟。一些主要的安全廠商都推出自己的全盤加密產(chǎn)品，例如賽門鐵克推出的Endpoint Encryption 6.0全盤版，以及McAfee的Total Protection for Data.PGP全盤加密和北京億賽通公司的DiskSec。

值得一說的是硬盤芯片級的FDE。一些大牌的硬盤生產(chǎn)廠商，例如希捷、西部數(shù)據(jù)和富士通等都支持全盤加密技術(shù)，將全盤加密技術(shù)直接集成到硬盤的相關(guān)芯片當中，并且與可信計算機組（TCG）發(fā)布的加密標準相兼容。計算機廠商例如聯(lián)想和DELL等都在生產(chǎn)使用這種加密硬盤或加密芯片技術(shù)的安全計算機。由于硬件級的加密軟件成本高昂，不能被多數(shù)用戶所接受，所以一直沒有得到廣泛推廣。

還有一些開源免費的軟件，比如TrueCrypt 5.1a、7-Zip、FreeOTFE 3.00等，號稱具備整體磁盤加密的功能，但是經(jīng)過分析，這些免費軟件本性安全性低，很容易導(dǎo)致加密后數(shù)據(jù)丟失、無法使用等病狀，而且因為免費沒有售后支持和維護，許多采用這些免費軟件的用戶加密之后數(shù)據(jù)大量損壞無法修復(fù)，苦不堪言。這些免費軟件不適合推薦給企業(yè)級的用戶。      

我們應(yīng)當要根據(jù)自身的實際數(shù)據(jù)加密需求來選擇相應(yīng)的全盤加密產(chǎn)品。通常，像筆記本電腦.U盤等可移動存儲設(shè)備應(yīng)當選擇全盤加密產(chǎn)品來加密整個磁盤或扇區(qū)。

五、選擇加密軟件技術(shù)和產(chǎn)品

在全面了解企業(yè)商業(yè)機密和市面上的保護手段之后，就可以采用對應(yīng)的產(chǎn)品來對商業(yè)機密進行保護。筆者對市面上的各種加密保護軟件進行歸納總結(jié)，對其保護對象和應(yīng)用范圍進行梳理之后，列表如下： 

表1

參照上表，我們可以根據(jù)企業(yè)自身的需求，很輕松地找到企業(yè)所需要選用的加密軟件類型。比如，某企業(yè)屬于研發(fā)類企業(yè)，需要對研發(fā)部門的源代碼、電路設(shè)計圖進行保護，部分員工出差需要帶走筆記本電腦，重要文檔集中存放在服務(wù)器上。根據(jù)上表可以得知，需要對研發(fā)部的各個終端進行保護，可以采用文檔透明加密系統(tǒng)SmartSec，針對需要保護的文檔類型，進行強制加密。對外出辦公的筆記本電腦可以采用全磁盤加密（FDE）——磁盤全盤加密系統(tǒng)DiskSec，對服務(wù)器上的文檔進行保護，可以采用文檔安全網(wǎng)關(guān)系統(tǒng)DNetSec。

基于分域安全理論，處于不同的安全域的信息，可以采用不同的信息安全保護技術(shù)和產(chǎn)品。企業(yè)結(jié)合自身的需求和特點，都能找到適合自己的加密軟件產(chǎn)品。#p#

六、制定數(shù)據(jù)加密項目計劃和設(shè)計解決方案

為了確保項目的順利實施，應(yīng)該與其它大型的安全防范項目一樣，制定一個切實可行的數(shù)據(jù)加密計劃，減少在具體實施過程中不必要的錯誤和麻煩，以及許多令人頭痛的問題。因此，制定計劃需要注意以下問題：

1.將文檔加密的目標、需求和策略問題做一個具體的文檔，確保制定的這些文檔很容易被受這個項目影響的管理者和用戶群體所理解；

2.規(guī)定文檔加密項目的范圍和限制，包括項目將耗費多長時間，需要投入多少成本，是否有足夠的人力資源實施該項目等內(nèi)容。如前所述，在預(yù)算和技術(shù)人員這兩個方面的限制因素將為我們選擇數(shù)據(jù)加密產(chǎn)品提供一個充分的理由；

3.如果企業(yè)技術(shù)人員充分，可以選擇自己解決文檔加密軟件的部署。否則。企業(yè)也可以決定是否需要得到安全廠商的支持，或者決定將此項目外包給第三方等；

4.大多數(shù)文檔加密解決方案需要計算機最終用戶的操作行為做一些改變，所以最終用戶有意抵制做出改變將給應(yīng)用數(shù)據(jù)加密帶來新的風險。因此，應(yīng)當分配資源和制定時間表來培訓(xùn)用戶接受這種改變；

5.為數(shù)據(jù)加密項目規(guī)定一個最終的標示成功的目標，這個目標可以作為項目是否已經(jīng)實施成功的參考值。這也就給此數(shù)據(jù)加密項目做了一個具體的范圍限制，也為項目***的管理做了一個參考坐標。這方面可以具體落實為一個測試、試用、實施和驗收的整天方案；

6.使最終用戶只具有最小的操作權(quán)限。設(shè)計的方案除了提供警報功能，以及由最終用戶執(zhí)行數(shù)據(jù)加密任務(wù)或更新軟件以外，其它的操作，例如用戶不能改變加密軟件的任何配置參數(shù)或加密方式，也不能改變連接到具體設(shè)備上的加密設(shè)備。

七、組織測試

1.搭建模擬測試環(huán)境。一般來說，加密軟件是C/S架構(gòu)的軟件，并具有B/S管理功能。在測試之前，根據(jù)加密軟件的特點，搭建一個標準的C/S架構(gòu)體系，準備對加密進行測試；

2.制訂測試方案。根據(jù)企業(yè)需求，結(jié)合選用的加密軟件，對軟件的測試制訂一個嚴格規(guī)范的測試方案。這是一個很重要的步驟，不可缺少。對加密軟件的功能性能、與企業(yè)系統(tǒng)的兼容性等進行全面測試，需要按照計劃有步驟地進行；

3.在模擬環(huán)境上開始測試。測試一般有加密軟件廠商配合，雙方人員現(xiàn)場測試。。以確保這些加密產(chǎn)品是否能達到預(yù)期的目的。以便能確定***的加密做法是什么，以及檢驗這些加密軟件與系統(tǒng).應(yīng)用程序及硬件之間的兼容情況，檢驗加密軟件是否出現(xiàn)了不可預(yù)期的錯誤；

4.對測試結(jié)果進行總結(jié)，并形成測試總結(jié)報告。

八、試用加密軟件

通過模擬測試，對加密軟件的性能功能已經(jīng)有了初步了解，就可以進入試用期。一般來說，試用期7天足以完全了解軟件運行情況。經(jīng)過試用，能驗證加密軟件是否滿足企業(yè)需求。我們還必需定時進行定期檢查，以確保沒有用戶繞過數(shù)據(jù)加密軟件進行操作。所有的這些信息應(yīng)當記錄并存儲在一個中央服務(wù)器之上，并審計相關(guān)日志；確保數(shù)據(jù)加密軟件都是***版本，并修補了所有的漏洞。要求數(shù)據(jù)加密軟件供應(yīng)商提供各種操作文檔及***版本的加密軟件。

九、部署加密軟件

通過試用，企業(yè)對加密軟件應(yīng)該有了全方位的了解，就可以在全公司實施加密軟件了?？梢园凑諒S家提供的實施計劃，分部門有節(jié)奏地進行。

十、進行全面總結(jié)，并制定企業(yè)商業(yè)機密保護制度

三分技術(shù)，七分管理。這是所有信息安全保護的基本原則。在全面部署實施加密軟件之后，必須建立一個科學(xué)有效的商業(yè)機密保護制度，從技術(shù)和管理兩個方面來實現(xiàn)對商業(yè)機密的保護。

以上是中小企業(yè)全面保護商業(yè)機密的標準流程。在實踐中，企業(yè)可以根據(jù)具體情況對某些步驟稍作調(diào)整。從現(xiàn)有市場的情況來看，只有少數(shù)加密軟件廠商才建立了規(guī)范的操作流程，多數(shù)加密軟件廠商出于種種目的，故意簡化流程深圳省略重要步驟，其結(jié)果很可能導(dǎo)致加密軟件項目的失敗。