由于企業(yè)機密數(shù)據(jù)的泄漏不僅會給企業(yè)帶來經(jīng)濟和無形資產(chǎn)的損失，而且，如果這些泄漏的機密數(shù)據(jù)是一些與人們密切相關(guān)的隱私信息，例如銀行帳號、身份證號碼等信息，那么，還會帶來一些社會性的問題。

　　因而，一些國家就針對一些特殊行業(yè)制定了相關(guān)的數(shù)據(jù)保護法案，來強制企業(yè)必需使用相應(yīng)的安全措施來保護機密數(shù)據(jù)的安全。應(yīng)用數(shù)據(jù)加密就是保護數(shù)據(jù)機密性的主要方法。一些需要遵從相應(yīng)數(shù)據(jù)安全法案的企業(yè)就必需在企業(yè)中部署相應(yīng)的數(shù)據(jù)加密方案來解決機密數(shù)據(jù)的泄漏問題。

　　下面針對企業(yè)在采用和部署數(shù)據(jù)保護過程中可能會遇到的一些問題進行解答，以幫助大家理清觀點，分析問題所在：

　　企業(yè)在數(shù)據(jù)安全保護方案選型及部署方面需要注意哪些問題?

　　1、在沒有*了解數(shù)據(jù)加密解決方案的能力和局限性的前題下，企業(yè)就直接選擇和部署該產(chǎn)品。

　　2、許多中小企業(yè)沒有足夠的技術(shù)人員來執(zhí)行數(shù)據(jù)加密解決方案的部署。

　　3、在部署數(shù)據(jù)加密解決方案時缺少充分的準(zhǔn)備和規(guī)劃，并且沒有經(jīng)過測試就直接投入使用。

　　企業(yè)在部署數(shù)據(jù)加密解決方案的過程中應(yīng)當(dāng)尤為注意以上幾點，我們需要的是一種的部署方法來指導(dǎo)企業(yè)完成數(shù)據(jù)加密解決方案的部署。

　　企業(yè)部署數(shù)據(jù)加密解決方案應(yīng)該遵循或參考哪些步驟?

　　1、確定加密目標(biāo)和選擇加密技術(shù)和產(chǎn)品。

　　2、編寫數(shù)據(jù)加密項目的規(guī)劃和解決方案。

　　3、準(zhǔn)備、安裝和配置加密軟件或硬件。

　　4、數(shù)據(jù)加密解決方案的測試和zui終使用。

　　確定加密目標(biāo)和選擇加密技術(shù)

　　如何確定加密目標(biāo)和選擇加密技術(shù)?

　　如果在應(yīng)用數(shù)據(jù)加密之前沒有確定明確的目標(biāo)，分析企業(yè)中需要應(yīng)用數(shù)據(jù)加密的地方，那么，數(shù)據(jù)加密就無從談起。

　　1、確定加密目標(biāo)

　　明確企業(yè)網(wǎng)絡(luò)中哪些方面需要使用數(shù)據(jù)加密，也就是確定加密的目標(biāo)和需要加密的位置。通常，我只需要搞清楚下列所示的這些內(nèi)容，加密的目標(biāo)也就找到了：

　　1、有哪些機密信息會出現(xiàn)在服務(wù)器、工作站、筆記本等可移動存儲設(shè)備或手持智能設(shè)備上?這些機密信息應(yīng)當(dāng)包括客戶和雇員信息、財務(wù)信息、商業(yè)計劃、研究報告、軟件代碼，以及產(chǎn)品設(shè)計圖紙和文檔，項目招標(biāo)計劃和設(shè)計圖紙等等。

　　2、上述這些機密信息是以什么文件類型的形式保存在各類存儲設(shè)備上的什么位置?文件類型包括電子表格、Word文檔、數(shù)據(jù)庫文件、幻燈片、HTML文件和電子郵件（），以及文件代碼和可執(zhí)行文件等形式。

　　3、哪些用戶的工作站、筆記本需要保護?例如，重要的管理人員、銷售人員和技術(shù)顧問，還是包括所有雇員、合作伙伴和承包商。

　　4、企業(yè)中哪些用戶在使用筆記本電腦等可移動存儲設(shè)備?例如，管理人員、合作伙伴或供應(yīng)商。以及機密信息是否會被復(fù)雜到USB設(shè)備或其它可移動媒介中?

　　5、企業(yè)中哪些員工會使用電子郵件（）?這些電子郵件都從哪些工作站或筆記本電腦上發(fā)送的?

　　6、企業(yè)局域網(wǎng)中傳輸?shù)臋C密數(shù)據(jù)是否安全?

　　7、企業(yè)是否有遠程辦公室，遠程辦公室與企業(yè)總部之間的遠程連接是否包含機密信息?

　　8、企業(yè)員工進行WEB瀏覽等網(wǎng)絡(luò)通信是否包含機密信息?

　　但是，要確保所有機密信息都得到保護，我們就需要知道它們是什么，以及存在于什么位置。如果我們沒有一種了機密信息的處理機制，那么還是使用全盤加密技術(shù)比較可靠。如何制定數(shù)據(jù)加密項目計劃和設(shè)計解決方案?

　　與其它大型的安全防范項目一樣，一個切實可行的數(shù)據(jù)加密計劃能減少在具體實施過程中不必要的錯誤和麻煩，以及許多令人頭痛的問題。一個全面的數(shù)據(jù)加密解決方案應(yīng)當(dāng)包括和考慮下列8個方面的內(nèi)容：

　　1、文檔目標(biāo)、需求和制約因素

　　我們應(yīng)當(dāng)在開始之前將數(shù)據(jù)加密的目標(biāo)、需求和策略問題做一個具體的文檔記錄，用來說明現(xiàn)在距離我們制定的目標(biāo)還有多長的距離。并確保制定的這些文檔很容易被受這個項目影響的管理者和用戶群體所理解。

　　盡管數(shù)據(jù)加密不是計算機用戶的一個負(fù)擔(dān)，但是它們彼此之間不會*透明，所以每個人都需要清楚地了解這樣做是為什么，以及將會受到什么的影響。

　　同時，我們還應(yīng)當(dāng)規(guī)定數(shù)據(jù)加密項目的范圍和限制，包括項目將耗費多長時間，需要投入多少成本，是否有足夠的人力資源實施該項目等內(nèi)容。如前所述，在預(yù)算和人力資源這兩個方面的限制因素將為我們選擇數(shù)據(jù)加密產(chǎn)品提供一個充分的理由。

　　如果企業(yè)技術(shù)人員充分，那么可以選擇自己解決數(shù)據(jù)加密方案的部署。如果情況與此相反，企業(yè)也可以決定是否需要得到安全廠商的支持，或者決定將此項目外包給第三方等。

　　2、確定項目小組成員

　　一個典型的數(shù)據(jù)加密項目會涉及企業(yè)中的多個部門，我們應(yīng)當(dāng)為此建立一個項目團隊并確定相關(guān)成員。數(shù)據(jù)加密解決方案的部署成員應(yīng)當(dāng)包括：

　?。?）、企業(yè)IT部門的安全技術(shù)員、系統(tǒng)管理員和網(wǎng)絡(luò)管理員。

　?。?）、企業(yè)中每個部門的主要負(fù)責(zé)人。

　　（3）、為此項目一個總的企業(yè)內(nèi)部負(fù)責(zé)人。

　　（4）、加密產(chǎn)品提供商的技術(shù)人員或第三方網(wǎng)絡(luò)和防火墻方面的專家。

　　3、確定基礎(chǔ)設(shè)施的整合任務(wù)

　　我們應(yīng)當(dāng)花一定的時間和資源來決定如何將數(shù)據(jù)加密解決方案整合到當(dāng)前的IT基礎(chǔ)設(shè)施當(dāng)中。一個通常的數(shù)據(jù)加密方案可能需要改動的IT基礎(chǔ)設(shè)施可能包括：

　　（1）、防火墻和代理服務(wù)器的配置調(diào)整。

　?。?）、終端設(shè)備的備份和恢復(fù)過程的調(diào)整。

　　（3）、與Active Directory或其他企業(yè)目錄集成。

　　4、為zui終用戶分配資源，以及培訓(xùn)支持

　　大多數(shù)數(shù)據(jù)加密解決方案需要計算機zui終用戶的操作行為做一些改變，所以zui終用戶有意抵制做出改變將給應(yīng)用數(shù)據(jù)加密帶來新的風(fēng)險。因此，我們應(yīng)當(dāng)分配資源和制定時間表來培訓(xùn)用戶接受這種改變。還必需培訓(xùn)一個數(shù)據(jù)加密解決方案的管理小組，用來作為企業(yè)的后期維護之用，以及在實施過程中參與實施。

　　5、決定成功的目標(biāo)是什么

　　我們必需為數(shù)據(jù)加密項目規(guī)定一個zui終的標(biāo)示成功的目標(biāo)，這個目標(biāo)可以作為項目是否已經(jīng)實施成功的參考值。這也就給此數(shù)據(jù)加密項目做了一個具體的范圍限制，也為項目zui后的管理做了一個參考坐標(biāo)。

　　6、決定如何加密

　　如果我們正在執(zhí)行一個文件/文件夾或智能加密產(chǎn)品的數(shù)據(jù)加密解決方案，在使用之前，決定將采用什么樣的加密是一個非常重要的步驟。例如，如果我們可以部署一個智能化加密解決方案，將以下列的方式進行加密，可以由用戶自己決定加密的數(shù)據(jù)：

　　（1）、加密特定的文件類型（例如電子表格、數(shù)據(jù)庫、文件或臨時文件夾）。

　?。?）、加密一些具體應(yīng)用程序產(chǎn)生的敏感數(shù)據(jù)，例如財務(wù)軟件、CRM和ERP。

　?。?）、針對某個具體的磁盤或可移動存儲設(shè)備。

　　（4）、只加密某個特定的用戶，例如一個系統(tǒng)中的多個用戶。

　　7、驗證設(shè)計

　　我們必需驗證數(shù)據(jù)加密軟件在任何時候運行時都是非?？煽亢驼_的，這是至關(guān)重要的一個步驟。這樣，才能確定當(dāng)某個包含有機密數(shù)據(jù)的設(shè)備丟失或被盜后，或者機密數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時，就可以確定其中的數(shù)據(jù)是安全的不會造成機密外泄。為了達到這個目的，我們還應(yīng)當(dāng)做下列所示的這些工作：

　?。?）、在開始正常使用之前，應(yīng)該有一個方法來驗證這些數(shù)據(jù)加密軟件已經(jīng)安裝正確。而由用戶自己報告說他們已經(jīng)在自己的計算機上安裝了數(shù)據(jù)加密軟件，或者你自己給用戶數(shù)據(jù)加密軟件的光盤由用戶自己安裝，這樣做都是不夠的。所有的事都必需我們自己親力親為，然后驗證，這樣才能確定。

　?。?）、我們還必需定時進行定期檢查，以確保沒有用戶繞過數(shù)據(jù)加密軟件進行操作。

　　（3）、還要確定所有的數(shù)據(jù)加密軟件都已經(jīng)是的版本。

　　所有的這些信息應(yīng)當(dāng)記錄并存儲在一個*服務(wù)器之上，并審計相關(guān)日志。在許多環(huán)境中這是被強制執(zhí)行的。這樣才能確保數(shù)據(jù)加密軟件都是版本，并修補了所有的漏洞。同時這也要求數(shù)據(jù)加密軟件供應(yīng)商提供這方面的資料。以確保數(shù)據(jù)加密軟件是的。

　　企業(yè)還應(yīng)當(dāng)明白制定的數(shù)據(jù)加密解決方案應(yīng)當(dāng)遵守當(dāng)?shù)氐南鄳?yīng)數(shù)據(jù)保護法規(guī)，以滿足當(dāng)?shù)貙徲嫴块T的要求。例如，我國今年7月1日即將實施的《企業(yè)內(nèi)部控制基本規(guī)范》就要求國內(nèi)相關(guān)企業(yè)必需保護機密數(shù)據(jù)的安全。

　　如果我國的企業(yè)已經(jīng)在美國上市，那么還必需遵守美國制定的薩班斯法案。因此，我們制定的數(shù)據(jù)加密解決方案還應(yīng)當(dāng)提示是根據(jù)什么樣的加密標(biāo)準(zhǔn)規(guī)則來執(zhí)行的，還應(yīng)當(dāng)遵守什么樣的加密密鑰分配和管理方法。

　　制定后的數(shù)據(jù)加密解決方案可能要在企業(yè)內(nèi)部強制執(zhí)行，而對于這個新制定的企業(yè)內(nèi)部規(guī)章政策，企業(yè)必需對企業(yè)員工進行說明此政策推行的理由，表明不是為了限制某幾個人的訪問權(quán)限，也不是某些IT安全技術(shù)人員本身的安全偏執(zhí)行為而臨時決定的。

　　3、了解數(shù)據(jù)加密的局限性

　　在使用數(shù)據(jù)加密技術(shù)之前，我們還有必要來了解一下數(shù)據(jù)加密的局限性也是同樣重要的。畢竟數(shù)據(jù)加密技術(shù)并不是解決數(shù)據(jù)安全的靈丹妙藥。

　　數(shù)據(jù)加密技術(shù)能保護被盜或丟失設(shè)備上的數(shù)據(jù)，以及在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)的機密性，但是它并不能限制企業(yè)內(nèi)部員通過電子郵件、即時聊天工具等向外發(fā)送這些機密信息。也不能阻止黑客或文件共享程序?qū)ν夤_這些機密信息。更不能防止數(shù)據(jù)被意外刪除、損壞和丟失。

　　因此，我們還必需為保護企業(yè)數(shù)據(jù)安全部署其它安全產(chǎn)品，例如防火墻、企業(yè)權(quán)限管理、以及數(shù)據(jù)備份和災(zāi)難恢復(fù)等安全措施。

　　要知道的是，數(shù)據(jù)加密即可以單獨使用，也可以與其它安全防范技術(shù)同時使用。數(shù)據(jù)加密是所有安全防范技術(shù)中zui基礎(chǔ)的技術(shù)之一，有許多安全防范產(chǎn)品當(dāng)中都嵌入了數(shù)據(jù)加密功能。但這些安全產(chǎn)品的加密功能往往不如人意，還是得部署獨立的數(shù)據(jù)加密解決方案才行。

　　4、數(shù)據(jù)加密產(chǎn)品的選擇

　　現(xiàn)今的加密技術(shù)主要分為文件加密、全盤加密和智能加密技術(shù)三種，它們都有著各自的技術(shù)特點，但綜合來看，全盤加密是應(yīng)用和效果的一種。

　　幾種類型的數(shù)據(jù)加密產(chǎn)品

　　現(xiàn)在市面上主要有哪幾種類型的數(shù)據(jù)加密產(chǎn)品?

　　（1）、文件/文件夾加密產(chǎn)品

　　文件/文件夾加密產(chǎn)品目前在市場上存在三種主要的方式，這三種主要方式包括：文件加密產(chǎn)品、文件夾加密產(chǎn)品和文件/文件夾加密產(chǎn)品。一些操作系統(tǒng)，例如應(yīng)用NTFS文件系統(tǒng)后的Windows XP操作系統(tǒng)就可以使用EFS的加密文件系統(tǒng)來加密文件或文件夾。

　　而其它的第三方文件/文件夾加密軟件就更多，例如TrueCrypt、Axcrypt、Cryptainer LE、Blowfish Advanced CS個人版和FreeOTFE。我們應(yīng)當(dāng)根據(jù)企業(yè)自身的需求，選擇其中zui正確的一種將是整個數(shù)據(jù)加密策略過程中zui重要的步驟。

　　文件或文件/文件夾加密產(chǎn)品通常需要用戶自己操作需要加密的文件或文件夾。文件或文件/文件夾加密產(chǎn)品是很容易實現(xiàn)的，但是，這些產(chǎn)品需要用戶參與，如果用戶不注意就會造成遺漏，而且，這些產(chǎn)品并不能對臨時文件夾和交換空間進行加密，這就造成了一些敏感信息的副本仍然沒有被加密。

　　而且，一些在遠程系統(tǒng)上經(jīng)過妥善加密了的文件及文件夾也不能輕易地證明它已經(jīng)是被加密過了的。

　?。?）、全盤加密（FDE技術(shù)）產(chǎn)品

　　全盤加密技術(shù)產(chǎn)品，由它的名字就可以清楚地知道它是針對整個硬盤或某個卷的。這樣，包括操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)文件都可以被加密。通常這個加密解決方案在系統(tǒng)啟動時就進行加密驗證，一個沒有*的用戶，如果不提供正確的密碼，就不可能繞過數(shù)據(jù)加密機制獲取系統(tǒng)中的任何信息。例如McAfee的Total Protection for Data、等。

　　我們應(yīng)當(dāng)要根據(jù)自身的實際數(shù)據(jù)加密需求來選擇相應(yīng)的全盤加密產(chǎn)品。通常，像筆記本電腦、U盤等可移動存儲設(shè)備應(yīng)當(dāng)選擇全盤加密產(chǎn)品來加密整個磁盤或卷，或者直接購買具有加密芯片的安全筆記本電腦或工作站。

　　全盤加密技術(shù)是一種非常成熟的技術(shù)，而且非常容易使用和配置，因為只需要用戶決定如個磁盤或卷需要加密即可。而且除了需要用戶記住加密密碼之外，其它的操作都不需要用戶參與。它還能保護操作系統(tǒng)、臨時文件夾、交換空間，以及所有可以被加密保護的敏感信息。

　　但是，要加密整個磁盤的速度是非常慢的，對一些大容量的文件也是如此。雖然現(xiàn)在的全盤加密產(chǎn)品的加密速度有了長足的提高，但是，在實際的使用過程中，如果磁盤或卷中存款額大量的文件，那么其加密速度還是看起來非常慢的。

　　并且，如果磁盤的主引導(dǎo)記錄可能使它與備份和恢復(fù)程序很難共存，一旦磁盤發(fā)現(xiàn)故障或錯誤，那么將會造成數(shù)據(jù)無法被正確恢復(fù)的局面。

　　（3）、智能加密產(chǎn)品

　　新出現(xiàn)的智能加密產(chǎn)品結(jié)合了文件及文件夾加密產(chǎn)品和全盤加密產(chǎn)品的主要特點。智能加密技術(shù)確保的文件類型或應(yīng)用類型都能加密，而不需要文件是否存在于某個的加密文件夾。并且，這種技術(shù)不會干擾備份和恢復(fù)、補丁管理或強制認(rèn)證產(chǎn)品。

　　我們設(shè)計的數(shù)據(jù)加密解決方案應(yīng)當(dāng)使zui終用戶只具有zui小的操作權(quán)限。設(shè)計的方案除了提供警報功能，以及由zui終用戶執(zhí)行數(shù)據(jù)加密任務(wù)或更新軟件以外，其它的操作，例如用戶不能改變加密軟件的任何配置參數(shù)或加密方式，也不能改變連接到具體設(shè)備上的加密設(shè)備。

　　用戶不能通過Windows控制面板中的添加或刪除程序或其它方式來刪除加密軟件，也不能通過任務(wù)管理器或其它軟件來禁止加密軟件的運行，以及禁止加密軟件通過服務(wù)方式和自動運行方式自己運行。這些都是確保加密軟件任何時候都有用的方式，一定要嚴(yán)格執(zhí)行。

　　調(diào)整IT基礎(chǔ)設(shè)施和配置加密軟件

　　如何調(diào)整IT基礎(chǔ)設(shè)施和配置加密軟件?

　　當(dāng)數(shù)據(jù)加密解決方案設(shè)計好了之后，接下來就是如何具體實施這個方案的問題。數(shù)據(jù)加密解決方案的具體部署zui主要的是當(dāng)前IT基礎(chǔ)設(shè)施的調(diào)整和加密軟件的安裝配置。

　　1、調(diào)整IT基礎(chǔ)設(shè)施

　　在這個階段，我們可以調(diào)整IT的基礎(chǔ)設(shè)施中需要改變的位置，以便數(shù)據(jù)加密解決方案可以無縫地集成到其中。這可能包括改變防火墻或代理服務(wù)器的設(shè)置，更改終端、服務(wù)器等設(shè)備的數(shù)據(jù)備份和恢復(fù)方式，并與企業(yè)目錄集成等等。

　　在使用數(shù)據(jù)加密產(chǎn)品之前，對硬盤進行一次全面的碎片整理，以清除壞扇區(qū)。還必需清理任何internet臨時文件。同時清理企業(yè)中不需要加密的設(shè)備，以減少數(shù)據(jù)加密方案的復(fù)雜度。

　　2、配置數(shù)據(jù)加密系統(tǒng)

　　如果由我們自己來實現(xiàn)數(shù)據(jù)加密解決方案，那么我們將需要部署、安裝和配置加密服務(wù)器。我們還必需在數(shù)據(jù)加密客戶端上安裝和配置數(shù)據(jù)加密軟件，以用來加密客戶機上的文件、文件夾和驅(qū)動器。

　　3、進行模擬測試

　　在開始使用之前，我們要在安裝數(shù)據(jù)加密軟件的設(shè)備上進行模擬運行和加密任務(wù)的測試，以確保這些加密產(chǎn)品是否能達到預(yù)期的目的。以便能確定*的加密做法是什么，以及檢驗這些加密軟件與系統(tǒng)、應(yīng)用程序及硬件之間的兼容情況，檢驗加密軟件是否出現(xiàn)了不可預(yù)期的錯誤。所有的這些測試都是非常重要的。

　　保證順利的應(yīng)用數(shù)據(jù)加密解決方案

　　在部署數(shù)據(jù)加密解決方案后，如何保證順利的應(yīng)用?

　　這是部署數(shù)據(jù)加密解決方案的zui后一個步驟，就是zui終推出數(shù)據(jù)加密解決方案讓其正常運行。如前所述一樣，zui重要是要培訓(xùn)用戶和技術(shù)維護人員，讓他們明白將要發(fā)生什么，以及應(yīng)當(dāng)如何去做等。

　　在開始使用后，還必需經(jīng)過一個10-30天的*測試期，主要是檢驗非IT員工在使用部署的加密產(chǎn)品后的反應(yīng)，以及加密能達到zui終效果。

　　這個測試過程不僅會讓我們發(fā)現(xiàn)此數(shù)據(jù)加密解決方案還存在的問題，同時，也可以讓員工慢慢適應(yīng)新加入的數(shù)據(jù)加密解決方案，也便于員工理解和接受。我們必需將測試得到的數(shù)據(jù)用文檔記錄下來，并對需要調(diào)整的部分做出相應(yīng)的修正。

　　當(dāng)*測試期完成后，我們就應(yīng)該解決數(shù)據(jù)加密解決方案中剩下的部分。這個階段可以一步一步地按部就班地進行。例如，如果我們正在部署一個文件/文件夾或混合加密方案，那么我們有可能在一開始只加密少數(shù)幾個重要的文件或類型的應(yīng)用文件，在檢驗到它的加密保護的效果后，再一步步地上升到加密所有的目標(biāo)文件。

　　還有，我們應(yīng)當(dāng)在部署數(shù)據(jù)加密解決方案時，檢查每個部署時期的時間值是否與確定的總部署時間相對應(yīng)，一旦發(fā)現(xiàn)偏離就要及時調(diào)整。在zui終推出時，我們還必需更新我們的需求文檔和進程計劃，包括新收集的資料和經(jīng)驗教訓(xùn)。這將幫助我們有時間來擴大和更新數(shù)據(jù)加密解決方案。

　　zui后，我們還必需給出一個書面報告，用來描述部署數(shù)據(jù)加密解決方案的zui終結(jié)果，以及實施后的zui終結(jié)果是否與預(yù)期的目標(biāo)相近等內(nèi)容。

　　到這里，我們一起了解了成功部署一個數(shù)據(jù)加密解決方案應(yīng)當(dāng)遵從的步驟和*做法。從這些描述的內(nèi)容中就可以看出，雖然部署一個數(shù)據(jù)加密解決方案是相當(dāng)繁雜的過程，而且，在部署過程中有許多與處理相關(guān)的文檔記錄工作要完成。

　　但是，只要我們按照本文所述的步驟和*做法來部署數(shù)據(jù)加密解決方案，那么整個過程將變得非常清晰明了，成功部署將不再是一句空話。