【51CTO.com 綜合消息】多數(shù)企業(yè)已經(jīng)認(rèn)識(shí)到，商業(yè)機(jī)密泄露將會(huì)給企業(yè)帶來直接的經(jīng)濟(jì)損失。因此，企業(yè)紛紛采用各種手段對(duì)商業(yè)機(jī)密進(jìn)行保護(hù)。過去常用的保護(hù)手段如靜態(tài)文件加密、防水墻、內(nèi)網(wǎng)監(jiān)控管理軟件、電子文檔保險(xiǎn)柜等等，都從不同程度上保護(hù)了企業(yè)的核心資料。從當(dāng)前的技術(shù)發(fā)展情況看，實(shí)施企業(yè)級(jí)加密軟件是目前最受推崇，應(yīng)用最廣，效果***的解決辦法。

但是，當(dāng)前很多中小企業(yè)在對(duì)數(shù)據(jù)安全的重要認(rèn)識(shí)、信息安全產(chǎn)品的了解、企業(yè)自身特點(diǎn)等多方面不是很清晰的情況下，就倉促上馬加密類產(chǎn)品，結(jié)果不甚理想，沒有真正實(shí)現(xiàn)企業(yè)數(shù)據(jù)泄露防護(hù)的目標(biāo)。主要表現(xiàn)在以下幾個(gè)方面：

1.對(duì)文檔和數(shù)據(jù)安全的一些常識(shí)和理論沒有了解；

2.對(duì)市面上各種文檔加密產(chǎn)品的優(yōu)勢(shì)特點(diǎn)及局限性不了解；

3.中小企業(yè)自身欠缺足夠的技術(shù)實(shí)力和技術(shù)人員來選型和實(shí)施加密軟件產(chǎn)品；

4.沒有按照科學(xué)合理的流程來對(duì)加密軟件進(jìn)行測(cè)試、試用、和部署；

其實(shí)，作為中小企業(yè)的一種產(chǎn)品級(jí)的功能性工具，加密軟件已經(jīng)逐漸成為中小企業(yè)的標(biāo)準(zhǔn)配置。只要按照一些標(biāo)準(zhǔn)的信息安全管理流程來考察、試用和實(shí)施，就可以實(shí)現(xiàn)數(shù)據(jù)安全的目標(biāo)。

對(duì)中小企業(yè)來說，參照一些信息安全管理規(guī)范來選擇和實(shí)施加密軟件產(chǎn)品，是有益的。但是要掌握冗長(zhǎng)繁雜的信息安全管理標(biāo)準(zhǔn)，對(duì)中小企業(yè)技術(shù)人員來說，是一件頭疼的事情，本人經(jīng)過對(duì)國(guó)際常用的信息安全管理標(biāo)準(zhǔn)如BS7799（ISO17799）等標(biāo)準(zhǔn)的梳理和歸納，可以總結(jié)為以下十個(gè)基本步驟，按照這十個(gè)基本步驟，足以完成對(duì)文檔加密軟件的選型實(shí)施，并有助于提高成功實(shí)施的概率。

一、成立商業(yè)機(jī)密保護(hù)管理小組

在企業(yè)里，誰最關(guān)心企業(yè)核心機(jī)密的保護(hù)？自然是老板。商業(yè)機(jī)密作為公司核心資產(chǎn)，首先應(yīng)該得到老板的重視，這是一個(gè)從上到下的實(shí)施工程，不是一個(gè)普通的軟件實(shí)施。因此，企業(yè)核心商業(yè)機(jī)密保護(hù)，***是有老板牽頭。老板的重視，往往能起到統(tǒng)籌全局的作用，能對(duì)項(xiàng)目的順利進(jìn)展起到?jīng)Q定性的作用。

除了老板要重視商業(yè)機(jī)密保護(hù)，IT部門負(fù)責(zé)人也有則無旁貸的義務(wù)來組織整個(gè)項(xiàng)目具體的計(jì)劃和實(shí)施。一個(gè)典型的數(shù)據(jù)加密項(xiàng)目會(huì)涉及企業(yè)中的多個(gè)部門，我們應(yīng)當(dāng)為此建立一個(gè)項(xiàng)目團(tuán)隊(duì)并確定相關(guān)成員。商業(yè)機(jī)密保護(hù)管理小組成員應(yīng)當(dāng)包括：

1.為項(xiàng)目指定一個(gè)內(nèi)部總負(fù)責(zé)人；

2.企業(yè)IT部門的安全技術(shù)員、系統(tǒng)管理員和網(wǎng)絡(luò)管理員；

3.企業(yè)中每個(gè)部門的主要負(fù)責(zé)人；

4.加密產(chǎn)品提供商的技術(shù)人員或第三方網(wǎng)絡(luò)和防火墻方面的專家；

5.具體負(fù)責(zé)執(zhí)行的人員，來收集整理各種資料，編寫各種相關(guān)文檔等等。

二、對(duì)商業(yè)機(jī)密資產(chǎn)進(jìn)行分析和總結(jié)

如果在應(yīng)用數(shù)據(jù)加密之前沒有確定明確的保護(hù)對(duì)象，分析企業(yè)中需要應(yīng)用數(shù)據(jù)加密的地方，那么，數(shù)據(jù)加密就無從談起。 就是要明確企業(yè)哪些方面需要保護(hù)，也就是確定加密的目標(biāo)和需要加密的位置。通常，需要清楚下列所示的這些內(nèi)容：

1.公司現(xiàn)有的商業(yè)機(jī)密都有哪些文件？這些機(jī)密信息應(yīng)當(dāng)包括客戶和員工信息、財(cái)務(wù)信息、商業(yè)計(jì)劃、研究報(bào)告、軟件代碼，以及產(chǎn)品設(shè)計(jì)圖紙和文檔，項(xiàng)目招標(biāo)計(jì)劃和設(shè)計(jì)圖紙等等；

2.機(jī)密信息會(huì)產(chǎn)生或者保存在哪些終端、服務(wù)器、工作站，或筆記本、U盤等可移動(dòng)存儲(chǔ)設(shè)備上？

3.上述文件是以何種文件類型的形式保存在各類存儲(chǔ)設(shè)備上的什么位置？文件類型包括電子表格、Word文檔、數(shù)據(jù)庫文件、幻燈片、HTML文件和電子郵件（E-Mail），以及源代碼和可執(zhí)行文件等形式；

4.哪些用戶的臺(tái)式機(jī)、工作站、筆記本需要保護(hù)？例如，重要的管理人員.銷售人員和技術(shù)顧問，還是包括所有員工、合作伙伴和承包商；

5.企業(yè)中哪些用戶在使用筆記本電腦等可移動(dòng)存儲(chǔ)設(shè)備？以及機(jī)密信息是否會(huì)被復(fù)雜到USB設(shè)備或其它可移動(dòng)媒介中？

6.企業(yè)中哪些員工會(huì)使用電子郵件（E-Mail）？或者是即時(shí)通訊工具M(jìn)SN、QQ等？這些電子郵件都從哪些工作站或筆記本電腦上發(fā)送的？

7.企業(yè)局域網(wǎng)中共享文件服務(wù)器上的機(jī)密數(shù)據(jù)是否安全？

8.企業(yè)是否有遠(yuǎn)程辦公室，遠(yuǎn)程辦公室與企業(yè)總部之間的遠(yuǎn)程連接是否包含機(jī)密信息？

9.企業(yè)員工進(jìn)行WEB瀏覽等網(wǎng)絡(luò)通信是否包含機(jī)密信息？

通過對(duì)企業(yè)現(xiàn)有的商業(yè)機(jī)密類型、產(chǎn)生和保存的位置、文件格式、泄密途徑等等進(jìn)行梳理，是進(jìn)行下一步工作的基礎(chǔ)。

三、根據(jù)分域安全理論，對(duì)商業(yè)機(jī)密進(jìn)行分類

針對(duì)商業(yè)機(jī)密保護(hù)，目前最領(lǐng)先的理論是“分域安全理論”。經(jīng)過上一步驟對(duì)企業(yè)的保護(hù)對(duì)象進(jìn)行了梳理，結(jié)合分域安全理論，就可以找到相對(duì)應(yīng)的解決辦法。

所謂分域安全模式，是相對(duì)于傳統(tǒng)的分層安全模式而言的。分域安全指的是把網(wǎng)絡(luò)分為磁盤、終端、端口、服務(wù)器、局域網(wǎng)等等工作域，在每一個(gè)工作域都采用對(duì)應(yīng)的安全策略。不論是在辦公室的主機(jī)、工作站、服務(wù)器，還是在移動(dòng)辦公、家庭辦公的筆記本電腦、移動(dòng)存儲(chǔ)設(shè)備，都可以有一個(gè)相對(duì)應(yīng)的保護(hù)工具，用以提高個(gè)人資料的安全性。

換句話說，這種安全模式是基于這樣的理論：在網(wǎng)絡(luò)內(nèi)部可以找到一種通用的解決辦法來處理各個(gè)區(qū)域的安全問題，但是對(duì)于任何一個(gè)個(gè)性的區(qū)域，都能有結(jié)合個(gè)性特點(diǎn)的細(xì)分工具來解決個(gè)性問題。

根據(jù)文檔和數(shù)據(jù)的生命周期，可以把文檔基本分為創(chuàng)建、流轉(zhuǎn)、使用、修改、歸檔、銷毀等幾個(gè)階段。根據(jù)商業(yè)機(jī)密的全生命周期，可以根據(jù)其存儲(chǔ)和流轉(zhuǎn)的位置和途徑進(jìn)行分類，把相對(duì)應(yīng)的工作域分為：磁盤、終端、端口、服務(wù)器、局域網(wǎng)、移動(dòng)存儲(chǔ)設(shè)備、外埠工作域和外部網(wǎng)絡(luò)等。

通過分域安全理論，對(duì)中小企業(yè)來講，基本上可以根據(jù)企業(yè)的核心機(jī)密類型分為兩大類，一種是設(shè)計(jì)、研發(fā)類為主的核心機(jī)密信息，另一種是財(cái)務(wù)、營(yíng)銷、管理等部門產(chǎn)生的核心機(jī)密信息。#p#

四、了解各種類型的加密軟件優(yōu)點(diǎn)及其局限性

現(xiàn)在市面上主要有以下所示的這幾種類型的數(shù)據(jù)加密產(chǎn)品：

1.靜態(tài)加密產(chǎn)品（文件/文件夾加密 ）

文件/文件夾加密產(chǎn)品目前在市場(chǎng)上存在三種主要的方式，這三種主要方式包括：文件加密產(chǎn)品、文件夾加密產(chǎn)品和文件/文件夾加密產(chǎn)品。一些操作系統(tǒng)，例如應(yīng)用NTFS文件系統(tǒng)后的Windows XP操作系統(tǒng)就可以使用EFS的加密文件系統(tǒng)來加密文件或文件夾。

這類產(chǎn)品基本上是免費(fèi)的，但是除了這個(gè)“優(yōu)點(diǎn)”之外，其他的缺陷也是顯而易見的：文件/文件夾加密產(chǎn)品通常需要用戶自己操作需要加密的文件或文件夾。需要用戶參與，如果用戶不注意就會(huì)造成遺漏，而且，這些產(chǎn)品并不能對(duì)臨時(shí)文件夾和交換空間進(jìn)行加密，這就造成了一些敏感信息的副本仍然沒有被加密。這些軟件安全性很低，部署之后形同虛設(shè)，很容易被破解，達(dá)不到企業(yè)的安全要求，不適合企業(yè)用于商業(yè)機(jī)密加密保護(hù)。

2.動(dòng)態(tài)加密產(chǎn)品

動(dòng)態(tài)加密（Encrypt on –the-fly）是指數(shù)據(jù)在使用過程中自動(dòng)(動(dòng)態(tài))對(duì)數(shù)據(jù)進(jìn)行加密或解密操作，無需用戶干預(yù)，合法用戶在使用加密的文件前，也不需要進(jìn)行解密操作即可使用。表面看來，訪問加密的文件和訪問未加密的文件基本相同，對(duì)合法用戶來說，這些加密文件是“透明的”，即好像沒有加密一樣，但對(duì)于沒有訪問權(quán)限的用戶，即使通過其它非常規(guī)手段得到了這些文件，由于文件是加密的，因此也無法使用。由于動(dòng)態(tài)加密技術(shù)不僅不改變用戶的使用習(xí)慣，而且無需用戶太多的干預(yù)操作即可實(shí)現(xiàn)文檔的安全，因而近年來得到了廣泛應(yīng)用。

目前市面上動(dòng)態(tài)加密產(chǎn)品有兩種，一種是基于文檔級(jí)的加密產(chǎn)品。這類產(chǎn)品很常見，也已經(jīng)很成熟。通常被稱為透明加密軟件。以 SmartSec為代表的透明加密軟件已經(jīng)在中國(guó)得到廣泛使用。包括政府、軍隊(duì)、軍工、制造業(yè)、設(shè)計(jì)院所、通信等行業(yè)。另一種是基于磁盤級(jí)（數(shù)據(jù)級(jí)）的加密軟件?；诖疟P級(jí)的加密軟件，分為兩類，一類是“虛擬磁盤加密”產(chǎn)品，另一類是全磁盤加密產(chǎn)品（FDE，F(xiàn)ull Disk Encryption）。

虛擬磁盤加密產(chǎn)品通過虛擬一個(gè)空間，對(duì)虛擬空間內(nèi)的文件自動(dòng)加密解密。這一類產(chǎn)品通常衍生出文檔保險(xiǎn)柜等軟件。由于只是對(duì)磁盤分區(qū)或者扇區(qū)進(jìn)行加密，不能對(duì)C盤和操作系統(tǒng)加密，其安全性比較低，往往適合個(gè)人級(jí)的文檔保護(hù)，不適合高度保密要求的企業(yè)。

全盤加密技術(shù)是一種非常成熟的技術(shù)，而且非常容易使用和配置，因?yàn)橹恍枰脩魶Q定哪個(gè)磁盤或扇區(qū)需要加密即可。而且除了需要用戶記住加密密碼之外，其它的操作都不需要用戶參與。它還能保護(hù)操作系統(tǒng)、臨時(shí)文件夾、交換空間，以及所有可以被加密保護(hù)的敏感信息。全磁盤加密（FDE）產(chǎn)品對(duì)磁盤上所有數(shù)據(jù)進(jìn)行動(dòng)態(tài)加解密，包括操作系統(tǒng)，在關(guān)機(jī)和休眠狀態(tài)下，磁盤上的數(shù)據(jù)處于加密狀態(tài)，有效地防止了泄密。這一類產(chǎn)品在國(guó)際上發(fā)展10多年，已經(jīng)相當(dāng)成熟。一些主要的安全廠商都推出自己的全盤加密產(chǎn)品，例如賽門鐵克推出的Endpoint Encryption 6.0全盤版，以及McAfee的Total Protection for Data.PGP全盤加密和北京億賽通公司的DiskSec。

值得一說的是硬盤芯片級(jí)的FDE。一些大牌的硬盤生產(chǎn)廠商，例如希捷、西部數(shù)據(jù)和富士通等都支持全盤加密技術(shù)，將全盤加密技術(shù)直接集成到硬盤的相關(guān)芯片當(dāng)中，并且與可信計(jì)算機(jī)組（TCG）發(fā)布的加密標(biāo)準(zhǔn)相兼容。計(jì)算機(jī)廠商例如聯(lián)想和DELL等都在生產(chǎn)使用這種加密硬盤或加密芯片技術(shù)的安全計(jì)算機(jī)。由于硬件級(jí)的加密軟件成本高昂，不能被多數(shù)用戶所接受，所以一直沒有得到廣泛推廣。

還有一些開源免費(fèi)的軟件，比如TrueCrypt 5.1a、7-Zip、FreeOTFE 3.00等，號(hào)稱具備整體磁盤加密的功能，但是經(jīng)過分析，這些免費(fèi)軟件本性安全性低，很容易導(dǎo)致加密后數(shù)據(jù)丟失、無法使用等病狀，而且因?yàn)槊赓M(fèi)沒有售后支持和維護(hù)，許多采用這些免費(fèi)軟件的用戶加密之后數(shù)據(jù)大量損壞無法修復(fù)，苦不堪言。這些免費(fèi)軟件不適合推薦給企業(yè)級(jí)的用戶。      

我們應(yīng)當(dāng)要根據(jù)自身的實(shí)際數(shù)據(jù)加密需求來選擇相應(yīng)的全盤加密產(chǎn)品。通常，像筆記本電腦.U盤等可移動(dòng)存儲(chǔ)設(shè)備應(yīng)當(dāng)選擇全盤加密產(chǎn)品來加密整個(gè)磁盤或扇區(qū)。

五、選擇加密軟件技術(shù)和產(chǎn)品

在全面了解企業(yè)商業(yè)機(jī)密和市面上的保護(hù)手段之后，就可以采用對(duì)應(yīng)的產(chǎn)品來對(duì)商業(yè)機(jī)密進(jìn)行保護(hù)。筆者對(duì)市面上的各種加密保護(hù)軟件進(jìn)行歸納總結(jié)，對(duì)其保護(hù)對(duì)象和應(yīng)用范圍進(jìn)行梳理之后，列表如下： 

表1

參照上表，我們可以根據(jù)企業(yè)自身的需求，很輕松地找到企業(yè)所需要選用的加密軟件類型。比如，某企業(yè)屬于研發(fā)類企業(yè)，需要對(duì)研發(fā)部門的源代碼、電路設(shè)計(jì)圖進(jìn)行保護(hù)，部分員工出差需要帶走筆記本電腦，重要文檔集中存放在服務(wù)器上。根據(jù)上表可以得知，需要對(duì)研發(fā)部的各個(gè)終端進(jìn)行保護(hù)，可以采用文檔透明加密系統(tǒng)SmartSec，針對(duì)需要保護(hù)的文檔類型，進(jìn)行強(qiáng)制加密。對(duì)外出辦公的筆記本電腦可以采用全磁盤加密（FDE）——磁盤全盤加密系統(tǒng)DiskSec，對(duì)服務(wù)器上的文檔進(jìn)行保護(hù)，可以采用文檔安全網(wǎng)關(guān)系統(tǒng)DNetSec。

基于分域安全理論，處于不同的安全域的信息，可以采用不同的信息安全保護(hù)技術(shù)和產(chǎn)品。企業(yè)結(jié)合自身的需求和特點(diǎn)，都能找到適合自己的加密軟件產(chǎn)品。#p#

六、制定數(shù)據(jù)加密項(xiàng)目計(jì)劃和設(shè)計(jì)解決方案

為了確保項(xiàng)目的順利實(shí)施，應(yīng)該與其它大型的安全防范項(xiàng)目一樣，制定一個(gè)切實(shí)可行的數(shù)據(jù)加密計(jì)劃，減少在具體實(shí)施過程中不必要的錯(cuò)誤和麻煩，以及許多令人頭痛的問題。因此，制定計(jì)劃需要注意以下問題：

1.將文檔加密的目標(biāo)、需求和策略問題做一個(gè)具體的文檔，確保制定的這些文檔很容易被受這個(gè)項(xiàng)目影響的管理者和用戶群體所理解；

2.規(guī)定文檔加密項(xiàng)目的范圍和限制，包括項(xiàng)目將耗費(fèi)多長(zhǎng)時(shí)間，需要投入多少成本，是否有足夠的人力資源實(shí)施該項(xiàng)目等內(nèi)容。如前所述，在預(yù)算和技術(shù)人員這兩個(gè)方面的限制因素將為我們選擇數(shù)據(jù)加密產(chǎn)品提供一個(gè)充分的理由；

3.如果企業(yè)技術(shù)人員充分，可以選擇自己解決文檔加密軟件的部署。否則。企業(yè)也可以決定是否需要得到安全廠商的支持，或者決定將此項(xiàng)目外包給第三方等；

4.大多數(shù)文檔加密解決方案需要計(jì)算機(jī)最終用戶的操作行為做一些改變，所以最終用戶有意抵制做出改變將給應(yīng)用數(shù)據(jù)加密帶來新的風(fēng)險(xiǎn)。因此，應(yīng)當(dāng)分配資源和制定時(shí)間表來培訓(xùn)用戶接受這種改變；

5.為數(shù)據(jù)加密項(xiàng)目規(guī)定一個(gè)最終的標(biāo)示成功的目標(biāo)，這個(gè)目標(biāo)可以作為項(xiàng)目是否已經(jīng)實(shí)施成功的參考值。這也就給此數(shù)據(jù)加密項(xiàng)目做了一個(gè)具體的范圍限制，也為項(xiàng)目***的管理做了一個(gè)參考坐標(biāo)。這方面可以具體落實(shí)為一個(gè)測(cè)試、試用、實(shí)施和驗(yàn)收的整天方案；

6.使最終用戶只具有最小的操作權(quán)限。設(shè)計(jì)的方案除了提供警報(bào)功能，以及由最終用戶執(zhí)行數(shù)據(jù)加密任務(wù)或更新軟件以外，其它的操作，例如用戶不能改變加密軟件的任何配置參數(shù)或加密方式，也不能改變連接到具體設(shè)備上的加密設(shè)備。

七、組織測(cè)試

1.搭建模擬測(cè)試環(huán)境。一般來說，加密軟件是C/S架構(gòu)的軟件，并具有B/S管理功能。在測(cè)試之前，根據(jù)加密軟件的特點(diǎn)，搭建一個(gè)標(biāo)準(zhǔn)的C/S架構(gòu)體系，準(zhǔn)備對(duì)加密進(jìn)行測(cè)試；

2.制訂測(cè)試方案。根據(jù)企業(yè)需求，結(jié)合選用的加密軟件，對(duì)軟件的測(cè)試制訂一個(gè)嚴(yán)格規(guī)范的測(cè)試方案。這是一個(gè)很重要的步驟，不可缺少。對(duì)加密軟件的功能性能、與企業(yè)系統(tǒng)的兼容性等進(jìn)行全面測(cè)試，需要按照計(jì)劃有步驟地進(jìn)行；

3.在模擬環(huán)境上開始測(cè)試。測(cè)試一般有加密軟件廠商配合，雙方人員現(xiàn)場(chǎng)測(cè)試。。以確保這些加密產(chǎn)品是否能達(dá)到預(yù)期的目的。以便能確定***的加密做法是什么，以及檢驗(yàn)這些加密軟件與系統(tǒng).應(yīng)用程序及硬件之間的兼容情況，檢驗(yàn)加密軟件是否出現(xiàn)了不可預(yù)期的錯(cuò)誤；

4.對(duì)測(cè)試結(jié)果進(jìn)行總結(jié)，并形成測(cè)試總結(jié)報(bào)告。

八、試用加密軟件

通過模擬測(cè)試，對(duì)加密軟件的性能功能已經(jīng)有了初步了解，就可以進(jìn)入試用期。一般來說，試用期7天足以完全了解軟件運(yùn)行情況。經(jīng)過試用，能驗(yàn)證加密軟件是否滿足企業(yè)需求。我們還必需定時(shí)進(jìn)行定期檢查，以確保沒有用戶繞過數(shù)據(jù)加密軟件進(jìn)行操作。所有的這些信息應(yīng)當(dāng)記錄并存儲(chǔ)在一個(gè)中央服務(wù)器之上，并審計(jì)相關(guān)日志；確保數(shù)據(jù)加密軟件都是***版本，并修補(bǔ)了所有的漏洞。要求數(shù)據(jù)加密軟件供應(yīng)商提供各種操作文檔及***版本的加密軟件。

九、部署加密軟件

通過試用，企業(yè)對(duì)加密軟件應(yīng)該有了全方位的了解，就可以在全公司實(shí)施加密軟件了?？梢园凑諒S家提供的實(shí)施計(jì)劃，分部門有節(jié)奏地進(jìn)行。

十、進(jìn)行全面總結(jié)，并制定企業(yè)商業(yè)機(jī)密保護(hù)制度

三分技術(shù)，七分管理。這是所有信息安全保護(hù)的基本原則。在全面部署實(shí)施加密軟件之后，必須建立一個(gè)科學(xué)有效的商業(yè)機(jī)密保護(hù)制度，從技術(shù)和管理兩個(gè)方面來實(shí)現(xiàn)對(duì)商業(yè)機(jī)密的保護(hù)。

以上是中小企業(yè)全面保護(hù)商業(yè)機(jī)密的標(biāo)準(zhǔn)流程。在實(shí)踐中，企業(yè)可以根據(jù)具體情況對(duì)某些步驟稍作調(diào)整。從現(xiàn)有市場(chǎng)的情況來看，只有少數(shù)加密軟件廠商才建立了規(guī)范的操作流程，多數(shù)加密軟件廠商出于種種目的，故意簡(jiǎn)化流程深圳省略重要步驟，其結(jié)果很可能導(dǎo)致加密軟件項(xiàng)目的失敗。