多數企業已經認識到,商業機密泄露將會給企業帶來直接的經濟損失。因此,企業紛紛采用各種手段對商業機密進行保護。過去常用的保護手段如靜態文件加密、防水墻、內網監控管理軟件、電子文檔保險柜等等,都從不同程度上保護了企業的核心資料。從當前的技術發展情況看,實施企業級加密軟件是目前最受推崇,應用最廣,效果最佳的解決辦法。
但是,當前很多中小企業在對數據安全的重要認識、信息安全產品的了解、企業自身特點等多方面不是很清晰的情況下,就倉促上馬加密類產品,結果不甚理想,沒有真正實現企業數據泄露防護的目標。主要表現在以下幾個方面:
1. 對文檔和數據安全的一些常識和理論沒有了解;
2. 對市面上各種文檔加密產品的優勢特點及局限性不了解;
3. 中小企業自身欠缺足夠的技術實力和技術人員來選型和實施加密軟件產品;
4. 沒有按照科學合理的流程來對加密軟件進行測試、試用、和部署;
其實,作為中小企業的一種產品級的功能性工具,加密軟件已經逐漸成為中小企業的標準配置。只要按照一些標準的信息安全管理流程來考察、試用和實施,就可以實現數據安全的目標。
對中小企業來說,參照一些信息安全管理規范來選擇和實施加密軟件產品,是有益的。但是要掌握冗長繁雜的信息安全管理標準,對中小企業技術人員來說,是一件頭疼的事情,本人經過對國際常用的信息安全管理標準如BS7799(ISO17799)等標準的梳理和歸納,可以總結為以下十個基本步驟,按照這十個基本步驟,足以完成對文檔加密軟件的選型實施,并有助于提高成功實施的概率。
一、成立商業機密保護管理小組
在企業里,誰最關心企業核心機密的保護?自然是老板。商業機密作為公司核心資產,首先應該得到老板的重視,這是一個從上到下的實施工程,不是一個普通的軟件實施。因此,企業核心商業機密保護,最好是有老板牽頭。老板的重視,往往能起到統籌全局的作用,能對項目的順利進展起到決定性的作用。
除了老板要重視商業機密保護,IT部門負責人也有則無旁貸的義務來組織整個項目具體的計劃和實施。一個典型的數據加密項目會涉及企業中的多個部門,我們應當為此建立一個項目團隊并確定相關成員。商業機密保護管理小組成員應當包括:
1. 為項目指定一個內部總負責人;
2. 企業IT部門的安全技術員、系統管理員和網絡管理員;
3. 企業中每個部門的主要負責人;
4. 加密產品提供商的技術人員或第三方網絡和防火墻方面的專家;
5. 具體負責執行的人員,來收集整理各種資料,編寫各種相關文檔等等。
二、對商業機密資產進行分析和總結
如果在應用數據加密之前沒有確定明確的保護對象,分析企業中需要應用數據加密的地方,那么,數據加密就無從談起。就是要明確企業哪些方面需要保護,也就是確定加密的目標和需要加密的位置。通常,需要清楚下列所示的這些內容:
1. 公司現有的商業機密都有哪些文件?這些機密信息應當包括客戶和員工信息、財務信息、商業計劃、研究報告、軟件代碼,以及產品設計圖紙和文檔,項目招標計劃和設計圖紙等等;
2. 機密信息會產生或者保存在哪些終端、服務器、工作站,或筆記本、U盤等可移動存儲設備上?
3. 上述文件是以何種文件類型的形式保存在各類存儲設備上的什么位置?文件類型包括電子表格、Word文檔、數據庫文件、幻燈片、HTML文件和電子郵件(E-Mail),以及源代碼和可執行文件等形式;
4. 哪些用戶的臺式機、工作站、筆記本需要保護?例如,重要的管理人員.銷售人員和技術顧問,還是包括所有員工、合作伙伴和承包商;
5. 企業中哪些用戶在使用筆記本電腦等可移動存儲設備?以及機密信息是否會被復雜到USB設備或其它可移動媒介中?
6. 企業中哪些員工會使用電子郵件(E-Mail)?或者是即時通訊工具MSN、QQ等?這些電子郵件都從哪些工作站或筆記本電腦上發送的?
7. 企業局域網中共享文件服務器上的機密數據是否安全?
8. 企業是否有遠程辦公室,遠程辦公室與企業總部之間的遠程連接是否包含機密信息?
9. 企業員工進行WEB瀏覽等網絡通信是否包含機密信息?
通過對企業現有的商業機密類型、產生和保存的位置、文件格式、泄密途徑等等進行梳理,是進行下一步工作的基礎。
三、根據分域安全理論,對商業機密進行分類
針對商業機密保護,目前最領先的理論是“分域安全理論”。經過上一步驟對企業的保護對象進行了梳理,結合分域安全理論,就可以找到相對應的解決辦法。
所謂分域安全模式,是相對于傳統的分層安全模式而言的。分域安全指的是把網絡分為磁盤、終端、端口、服務器、局域網等等工作域,在每一個工作域都采用對應的安全策略。不論是在辦公室的主機、工作站、服務器,還是在移動辦公、家庭辦公的筆記本電腦、移動存儲設備,都可以有一個相對應的保護工具,用以提高個人資料的安全性。
換句話說,這種安全模式是基于這樣的理論:在網絡內部可以找到一種通用的解決辦法來處理各個區域的安全問題,但是對于任何一個個性的區域,都能有結合個性特點的細分工具來解決個性問題。
根據文檔和數據的生命周期,可以把文檔基本分為創建、流轉、使用、修改、歸檔、銷毀等幾個階段。根據商業機密的全生命周期,可以根據其存儲和流轉的位置和途徑進行分類,把相對應的工作域分為:磁盤、終端、端口、服務器、局域網、移動存儲設備、外埠工作域和外部網絡等。
通過分域安全理論,對中小企業來講,基本上可以根據企業的核心機密類型分為兩大類,一種是設計、研發類為主的核心機密信息,另一種是財務、營銷、管理等部門產生的核心機密信息。
四、了解各種類型的加密軟件優點及其局限性
現在市面上主要有以下所示的這幾種類型的數據加密產品:
1. 靜態加密產品(文件/文件夾加密)
文件/文件夾加密產品目前在市場上存在三種主要的方式,這三種主要方式包括:文件加密產品、文件夾加密產品和文件/文件夾加密產品。一些操作系統,例如應用NTFS文件系統后的Windows XP操作系統就可以使用EFS的加密文件系統來加密文件或文件夾。
這類產品基本上是免費的,但是除了這個“優點”之外,其他的缺陷也是顯而易見的:文件/文件夾加密產品通常需要用戶自己操作需要加密的文件或文件夾。需要用戶參與,如果用戶不注意就會造成遺漏,而且,這些產品并不能對臨時文件夾和交換空間進行加密,這就造成了一些敏感信息的副本仍然沒有被加密。這些軟件安全性很低,部署之后形同虛設,很容易被破解,達不到企業的安全要求,不適合企業用于商業機密加密保護。
2. 動態加密產品
動態加密(Encrypt on –the-fly)是指數據在使用過程中自動(動態)對數據進行加密或解密操作,無需用戶干預,合法用戶在使用加密的文件前,也不需要進行解密操作即可使用。表面看來,訪問加密的文件和訪問未加密的文件基本相同,對合法用戶來說,這些加密文件是“透明的”,即好像沒有加密一樣,但對于沒有訪問權限的用戶,即使通過其它非常規手段得到了這些文件,由于文件是加密的,因此也無法使用。由于動態加密技術不僅不改變用戶的使用習慣,而且無需用戶太多的干預操作即可實現文檔的安全,因而近年來得到了廣泛應用。
目前市面上動態加密產品有兩種,一種是基于文檔級的加密產品。這類產品很常見,也已經很成熟。通常被稱為透明加密軟件。以 SmartSec為代表的透明加密軟件已經在中國得到廣泛使用。包括政府、軍隊、軍工、制造業、設計院所、通信等行業。另一種是基于磁盤級(數據級)的加密軟件。基于磁盤級的加密軟件,分為兩類,一類是“虛擬磁盤加密”產品,另一類是全磁盤加密產品(FDE,Full Disk Encryption)。
虛擬磁盤加密產品通過虛擬一個空間,對虛擬空間內的文件自動加密解密。這一類產品通常衍生出文檔保險柜等軟件。由于只是對磁盤分區或者扇區進行加密,不能對C盤和操作系統加密,其安全性比較低,往往適合個人級的文檔保護,不適合高度保密要求的企業。
全盤加密技術是一種非常成熟的技術,而且非常容易使用和配置,因為只需要用戶決定哪個磁盤或扇區需要加密即可。而且除了需要用戶記住加密密碼之外,其它的操作都不需要用戶參與。它還能保護操作系統、臨時文件夾、交換空間,以及所有可以被加密保護的敏感信息。全磁盤加密(FDE)產品對磁盤上所有數據進行動態加解密,包括操作系統,在關機和休眠狀態下,磁盤上的數據處于加密狀態,有效地防止了泄密。這一類產品在國際上發展10多年,已經相當成熟。一些主要的安全廠商都推出自己的全盤加密產品,例如賽門鐵克推出的Endpoint Encryption 6.0全盤版,以及McAfee的Total Protection for Data.PGP全盤加密和北京億賽通公司的DiskSec。
值得一說的是硬盤芯片級的FDE。一些大牌的硬盤生產廠商,例如希捷、西部數據和富士通等都支持全盤加密技術,將全盤加密技術直接集成到硬盤的相關芯片當中,并且與可信計算機組(TCG)發布的加密標準相兼容。計算機廠商例如聯想和DELL等都在生產使用這種加密硬盤或加密芯片技術的安全計算機。由于硬件級的加密軟件成本高昂,不能被多數用戶所接受,所以一直沒有得到廣泛推廣。
還有一些開源免費的軟件,比如TrueCrypt 5.1a、7-Zip、FreeOTFE 3.00等,號稱具備整體磁盤加密的功能,但是經過分析,這些免費軟件本性安全性低,很容易導致加密后數據丟失、無法使用等病狀,而且因為免費沒有售后支持和維護,許多采用這些免費軟件的用戶加密之后數據大量損壞無法修復,苦不堪言。這些免費軟件不適合推薦給企業級的用戶。
我們應當要根據自身的實際數據加密需求來選擇相應的全盤加密產品。通常,像筆記本電腦.U盤等可移動存儲設備應當選擇全盤加密產品來加密整個磁盤或扇區。
五、選擇加密軟件技術和產品
在全面了解企業商業機密和市面上的保護手段之后,就可以采用對應的產品來對商業機密進行保護。筆者對市面上的各種加密保護軟件進行歸納總結,對其保護對象和應用范圍進行梳理之后,列表如下:
參照上表,我們可以根據企業自身的需求,很輕松地找到企業所需要選用的加密軟件類型。比如,某企業屬于研發類企業,需要對研發部門的源代碼、電路設計圖進行保護,部分員工出差需要帶走筆記本電腦,重要文檔集中存放在服務器上。根據上表可以得知,需要對研發部的各個終端進行保護,可以采用文檔透明加密系統SmartSec,針對需要保護的文檔類型,進行強制加密。對外出辦公的筆記本電腦可以采用全磁盤加密(FDE)——磁盤全盤加密系統DiskSec,對服務器上的文檔進行保護,可以采用文檔安全網關系統DNetSec。
基于分域安全理論,處于不同的安全域的信息,可以采用不同的信息安全保護技術和產品。企業結合自身的需求和特點,都能找到適合自己的加密軟件產品。
六、制定數據加密項目計劃和設計解決方案
為了確保項目的順利實施,應該與其它大型的安全防范項目一樣,制定一個切實可行的數據加密計劃,減少在具體實施過程中不必要的錯誤和麻煩,以及許多令人頭痛的問題。因此,制定計劃需要注意以下問題:
1. 將文檔加密的目標、需求和策略問題做一個具體的文檔,確保制定的這些文檔很容易被受這個項目影響的管理者和用戶群體所理解;
2. 規定文檔加密項目的范圍和限制,包括項目將耗費多長時間,需要投入多少成本,是否有足夠的人力資源實施該項目等內容。如前所述,在預算和技術人員這兩個方面的限制因素將為我們選擇數據加密產品提供一個充分的理由;
3. 如果企業技術人員充分,可以選擇自己解決文檔加密軟件的部署。否則。企業也可以決定是否需要得到安全廠商的支持,或者決定將此項目外包給第三方等;
4. 大多數文檔加密解決方案需要計算機最終用戶的操作行為做一些改變,所以最終用戶有意抵制做出改變將給應用數據加密帶來新的風險。因此,應當分配資源和制定時間表來培訓用戶接受這種改變;
5. 為數據加密項目規定一個最終的標示成功的目標,這個目標可以作為項目是否已經實施成功的參考值。這也就給此數據加密項目做了一個具體的范圍限制,也為項目最后的管理做了一個參考坐標。這方面可以具體落實為一個測試、試用、實施和驗收的整天方案;
6. 使最終用戶只具有最小的操作權限。設計的方案除了提供警報功能,以及由最終用戶執行數據加密任務或更新軟件以外,其它的操作,例如用戶不能改變加密軟件的任何配置參數或加密方式,也不能改變連接到具體設備上的加密設備。
七、組織測試
1. 搭建模擬測試環境。一般來說,加密軟件是C/S架構的軟件,并具有B/S管理功能。在測試之前,根據加密軟件的特點,搭建一個標準的C/S架構體系,準備對加密進行測試;
2. 制訂測試方案。根據企業需求,結合選用的加密軟件,對軟件的測試制訂一個嚴格規范的測試方案。這是一個很重要的步驟,不可缺少。對加密軟件的功能性能、與企業系統的兼容性等進行全面測試,需要按照計劃有步驟地進行;
3. 在模擬環境上開始測試。測試一般有加密軟件廠商配合,雙方人員現場測試。。以確保這些加密產品是否能達到預期的目的。以便能確定最佳的加密做法是什么,以及檢驗這些加密軟件與系統.應用程序及硬件之間的兼容情況,檢驗加密軟件是否出現了不可預期的錯誤;
4. 對測試結果進行總結,并形成測試總結報告。
八、試用加密軟件
通過模擬測試,對加密軟件的性能功能已經有了初步了解,就可以進入試用期。一般來說,試用期7天足以完全了解軟件運行情況。經過試用,能驗證加密軟件是否滿足企業需求。我們還必需定時進行定期檢查,以確保沒有用戶繞過數據加密軟件進行操作。所有的這些信息應當記錄并存儲在一個中央服務器之上,并審計相關日志;確保數據加密軟件都是最新版本,并修補了所有的漏洞。要求數據加密軟件供應商提供各種操作文檔及最新版本的加密軟件。
九、部署加密軟件
通過試用,企業對加密軟件應該有了全方位的了解,就可以在全公司實施加密軟件了。可以按照廠家提供的實施計劃,分部門有節奏地進行。
十、進行全面總結,并制定企業商業機密保護制度
三分技術,七分管理。這是所有信息安全保護的基本原則。在全面部署實施加密軟件之后,必須建立一個科學有效的商業機密保護制度,從技術和管理兩個方面來實現對商業機密的保護。
以上是中小企業全面保護商業機密的標準流程。在實踐中,企業可以根據具體情況對某些步驟稍作調整。從現有市場的情況來看,只有少數加密軟件廠商才建立了規范的操作流程,多數加密軟件廠商出于種種目的,故意簡化流程深圳省略重要步驟,其結果很可能導致加密軟件項目的失敗。
