企業(yè)防數(shù)據(jù)泄露是一個網(wǎng)絡(luò)安全管理員一直在奮斗的話題，制定數(shù)據(jù)加密項目是企業(yè)防數(shù)據(jù)泄露的一個不錯手段。本篇文章就主要介紹了在制定數(shù)據(jù)加密項目時應(yīng)注意的八個方面，使得企業(yè)網(wǎng)絡(luò)安全管理員能夠?qū)ζ髽I(yè)進行更加全面的保護。

制定數(shù)據(jù)加密項目：文檔目標(biāo)、需求和制約因素

我們應(yīng)當(dāng)在開始之前將數(shù)據(jù)加密的目標(biāo)、需求和策略問題做一個具體的文檔記錄，用來說明現(xiàn)在距離我們制定的目標(biāo)還有多長的距離。并確保制定的這些文檔很容易被受這個項目影響的管理者和用戶群體所理解。

盡管數(shù)據(jù)加密不是計算機用戶的一個負擔(dān)，但是它們彼此之間不會完全透明，所以每個人都需要清楚地了解這樣做是為什么，以及將會受到什么的影響。

同時，我們還應(yīng)當(dāng)規(guī)定數(shù)據(jù)加密項目的范圍和限制，包括項目將耗費多長時間，需要投入多少成本，是否有足夠的人力資源實施該項目等內(nèi)容。如前所述，在預(yù)算和人力資源這兩個方面的限制因素將為我們選擇數(shù)據(jù)加密產(chǎn)品提供一個充分的理由。

如果企業(yè)技術(shù)人員充分，那么可以選擇自己解決數(shù)據(jù)加密方案的部署。如果情況與此相反，企業(yè)也可以決定是否需要得到安全廠商的支持，或者決定將此項目外包給第三方等。

制定數(shù)據(jù)加密項目：確定項目小組成員

一個典型的數(shù)據(jù)加密項目會涉及企業(yè)中的多個部門，我們應(yīng)當(dāng)為此建立一個項目團隊并確定相關(guān)成員。數(shù)據(jù)加密解決方案的部署成員應(yīng)當(dāng)包括：

(1)、企業(yè)IT部門的安全技術(shù)員、系統(tǒng)管理員和網(wǎng)絡(luò)管理員。

(2)、企業(yè)中每個部門的主要負責(zé)人。

(3)、為此項目指定一個總的企業(yè)內(nèi)部負責(zé)人。

(4)、加密產(chǎn)品提供商的技術(shù)人員或第三方網(wǎng)絡(luò)和防火墻方面的專家。

制定數(shù)據(jù)加密項目：確定基礎(chǔ)設(shè)施的整合任務(wù)

我們應(yīng)當(dāng)花一定的時間和資源來決定如何將數(shù)據(jù)加密解決方案整合到當(dāng)前的IT基礎(chǔ)設(shè)施當(dāng)中。一個通常的數(shù)據(jù)加密方案可能需要改動的IT基礎(chǔ)設(shè)施可能包括：

(1)、防火墻和代理服務(wù)器的配置調(diào)整。

(2)、終端設(shè)備的備份和恢復(fù)過程的調(diào)整。

(3)、與Active Directory或其他企業(yè)目錄集成。

制定數(shù)據(jù)加密項目：為最終用戶分配資源，以及培訓(xùn)支持

大多數(shù)數(shù)據(jù)加密解決方案需要計算機最終用戶的操作行為做一些改變，所以最終用戶有意抵制做出改變將給應(yīng)用數(shù)據(jù)加密帶來新的風(fēng)險。因此，我們應(yīng)當(dāng)分配資源和制定時間表來培訓(xùn)用戶接受這種改變。還必需培訓(xùn)一個數(shù)據(jù)加密解決方案的管理小組，用來作為企業(yè)的后期維護之用，以及在實施過程中參與實施。

制定數(shù)據(jù)加密項目：決定成功的目標(biāo)是什么

我們必需為數(shù)據(jù)加密項目規(guī)定一個最終的標(biāo)示成功的目標(biāo)，這個目標(biāo)可以作為項目是否已經(jīng)實施成功的參考值。這也就給此數(shù)據(jù)加密項目做了一個具體的范圍限制，也為項目最后的管理做了一個參考坐標(biāo)。

制定數(shù)據(jù)加密項目：決定如何加密

如果我們正在執(zhí)行一個文件/文件夾或智能加密產(chǎn)品的數(shù)據(jù)加密解決方案，在使用之前，決定將采用什么樣的加密是一個非常重要的步驟。例如，如果我們可以部署一個智能化加密解決方案，將以下列的方式進行加密，可以由用戶自己決定加密的數(shù)據(jù)：

(1)、加密特定的文件類型(例如電子表格、數(shù)據(jù)庫、文件或臨時文件夾)。

(2)、加密一些具體應(yīng)用程序產(chǎn)生的敏感數(shù)據(jù)，例如財務(wù)軟件、CRM和ERP。

(3)、針對某個具體的磁盤或可移動存儲設(shè)備。

(4)、只加密某個特定的用戶，例如一個系統(tǒng)中的多個用戶。

制定數(shù)據(jù)加密項目：驗證設(shè)計

我們必需驗證數(shù)據(jù)加密軟件在任何時候運行時都是非?？煽亢驼_的，這是至關(guān)重要的一個步驟。這樣，才能確定當(dāng)某個包含有機密數(shù)據(jù)的設(shè)備丟失或被盜后，或者機密數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時，就可以確定其中的數(shù)據(jù)是安全的不會造成機密外泄。為了達到這個目的，我們還應(yīng)當(dāng)做下列所示的這些工作：

(1)、在開始正常使用之前，應(yīng)該有一個方法來驗證這些數(shù)據(jù)加密軟件已經(jīng)安裝正確。而由用戶自己報告說他們已經(jīng)在自己的計算機上安裝了數(shù)據(jù)加密軟件，或者你自己給用戶數(shù)據(jù)加密軟件的光盤由用戶自己安裝，這樣做都是不夠的。所有的事都必需我們自己親力親為，然后驗證，這樣才能百分之百確定。

(2)、我們還必需定時進行定期檢查，以確保沒有用戶繞過數(shù)據(jù)加密軟件進行操作。

(3)、還要確定所有的數(shù)據(jù)加密軟件都已經(jīng)是最新的版本。

所有的這些信息應(yīng)當(dāng)記錄并存儲在一個中央服務(wù)器之上，并審計相關(guān)日志。在許多環(huán)境中這是被強制執(zhí)行的。這樣才能確保數(shù)據(jù)加密軟件都是最新版本，并修補了所有的漏洞。同時這也要求數(shù)據(jù)加密軟件供應(yīng)商提供這方面的資料。以確保數(shù)據(jù)加密軟件是最新的。

制定數(shù)據(jù)加密項目：用戶最小化權(quán)限設(shè)計

我們設(shè)計的數(shù)據(jù)加密解決方案應(yīng)當(dāng)使最終用戶只具有最小的操作權(quán)限。設(shè)計的方案除了提供警報功能，以及由最終用戶執(zhí)行數(shù)據(jù)加密任務(wù)或更新軟件以外，其它的操作，例如用戶不能改變加密軟件的任何配置參數(shù)或加密方式，也不能改變連接到具體設(shè)備上的加密設(shè)備。

用戶不能通過Windows控制面板中的添加或刪除程序或其它方式來刪除加密軟件，也不能通過任務(wù)管理器或其它軟件來禁止加密軟件的運行，以及禁止加密軟件通過服務(wù)方式和自動運行方式自己運行。這些都是確保加密軟件任何時候都有用的最好方式，一定要嚴(yán)格執(zhí)行。
 

【編輯推薦】

1. Web安全漏洞之企業(yè)自查
2. Web應(yīng)用防火墻的主要特性
3. 兩種策略選擇開源安全產(chǎn)品
4. 數(shù)據(jù)泄露的七種主要途徑
5. 保護數(shù)據(jù)安全的三種武器