多數(shù)企業(yè)已經(jīng)認(rèn)識(shí)到,商業(yè)機(jī)密泄露將會(huì)給企業(yè)帶來(lái)直接的經(jīng)濟(jì)損失。因此,企業(yè)紛紛采用各種手段對(duì)商業(yè)機(jī)密進(jìn)行保護(hù)。過(guò)去常用的保護(hù)手段如靜態(tài)文件加密、防水墻、內(nèi)網(wǎng)監(jiān)控管理軟件、電子文檔保險(xiǎn)柜等等,都從不同程度上保護(hù)了企業(yè)的核心資料。從當(dāng)前的技術(shù)發(fā)展情況看,實(shí)施企業(yè)級(jí)加密軟件是目前最受推崇,應(yīng)用最廣,效果最佳的解決辦法。
但是,當(dāng)前很多中小企業(yè)在對(duì)數(shù)據(jù)安全的重要認(rèn)識(shí)、信息安全產(chǎn)品的了解、企業(yè)自身特點(diǎn)等多方面不是很清晰的情況下,就倉(cāng)促上馬加密類產(chǎn)品,結(jié)果不甚理想,沒(méi)有真正實(shí)現(xiàn)企業(yè)數(shù)據(jù)泄露防護(hù)的目標(biāo)。主要表現(xiàn)在以下幾個(gè)方面:
1. 對(duì)文檔和數(shù)據(jù)安全的一些常識(shí)和理論沒(méi)有了解;
2. 對(duì)市面上各種文檔加密產(chǎn)品的優(yōu)勢(shì)特點(diǎn)及局限性不了解;
3. 中小企業(yè)自身欠缺足夠的技術(shù)實(shí)力和技術(shù)人員來(lái)選型和實(shí)施加密軟件產(chǎn)品;
4. 沒(méi)有按照科學(xué)合理的流程來(lái)對(duì)加密軟件進(jìn)行測(cè)試、試用、和部署;
其實(shí),作為中小企業(yè)的一種產(chǎn)品級(jí)的功能性工具,加密軟件已經(jīng)逐漸成為中小企業(yè)的標(biāo)準(zhǔn)配置。只要按照一些標(biāo)準(zhǔn)的信息安全管理流程來(lái)考察、試用和實(shí)施,就可以實(shí)現(xiàn)數(shù)據(jù)安全的目標(biāo)。
對(duì)中小企業(yè)來(lái)說(shuō),參照一些信息安全管理規(guī)范來(lái)選擇和實(shí)施加密軟件產(chǎn)品,是有益的。但是要掌握冗長(zhǎng)繁雜的信息安全管理標(biāo)準(zhǔn),對(duì)中小企業(yè)技術(shù)人員來(lái)說(shuō),是一件頭疼的事情,本人經(jīng)過(guò)對(duì)國(guó)際常用的信息安全管理標(biāo)準(zhǔn)如BS7799(ISO17799)等標(biāo)準(zhǔn)的梳理和歸納,可以總結(jié)為以下十個(gè)基本步驟,按照這十個(gè)基本步驟,足以完成對(duì)文檔加密軟件的選型實(shí)施,并有助于提高成功實(shí)施的概率。
一、成立商業(yè)機(jī)密保護(hù)管理小組
在企業(yè)里,誰(shuí)最關(guān)心企業(yè)核心機(jī)密的保護(hù)?自然是老板。商業(yè)機(jī)密作為公司核心資產(chǎn),首先應(yīng)該得到老板的重視,這是一個(gè)從上到下的實(shí)施工程,不是一個(gè)普通的軟件實(shí)施。因此,企業(yè)核心商業(yè)機(jī)密保護(hù),最好是有老板牽頭。老板的重視,往往能起到統(tǒng)籌全局的作用,能對(duì)項(xiàng)目的順利進(jìn)展起到?jīng)Q定性的作用。
除了老板要重視商業(yè)機(jī)密保護(hù),IT部門(mén)負(fù)責(zé)人也有則無(wú)旁貸的義務(wù)來(lái)組織整個(gè)項(xiàng)目具體的計(jì)劃和實(shí)施。一個(gè)典型的數(shù)據(jù)加密項(xiàng)目會(huì)涉及企業(yè)中的多個(gè)部門(mén),我們應(yīng)當(dāng)為此建立一個(gè)項(xiàng)目團(tuán)隊(duì)并確定相關(guān)成員。商業(yè)機(jī)密保護(hù)管理小組成員應(yīng)當(dāng)包括:
1. 為項(xiàng)目指定一個(gè)內(nèi)部總負(fù)責(zé)人;
2. 企業(yè)IT部門(mén)的安全技術(shù)員、系統(tǒng)管理員和網(wǎng)絡(luò)管理員;
3. 企業(yè)中每個(gè)部門(mén)的主要負(fù)責(zé)人;
4. 加密產(chǎn)品提供商的技術(shù)人員或第三方網(wǎng)絡(luò)和防火墻方面的專家;
5. 具體負(fù)責(zé)執(zhí)行的人員,來(lái)收集整理各種資料,編寫(xiě)各種相關(guān)文檔等等。
二、對(duì)商業(yè)機(jī)密資產(chǎn)進(jìn)行分析和總結(jié)
如果在應(yīng)用數(shù)據(jù)加密之前沒(méi)有確定明確的保護(hù)對(duì)象,分析企業(yè)中需要應(yīng)用數(shù)據(jù)加密的地方,那么,數(shù)據(jù)加密就無(wú)從談起。就是要明確企業(yè)哪些方面需要保護(hù),也就是確定加密的目標(biāo)和需要加密的位置。通常,需要清楚下列所示的這些內(nèi)容:
1. 公司現(xiàn)有的商業(yè)機(jī)密都有哪些文件?這些機(jī)密信息應(yīng)當(dāng)包括客戶和員工信息、財(cái)務(wù)信息、商業(yè)計(jì)劃、研究報(bào)告、軟件代碼,以及產(chǎn)品設(shè)計(jì)圖紙和文檔,項(xiàng)目招標(biāo)計(jì)劃和設(shè)計(jì)圖紙等等;
2. 機(jī)密信息會(huì)產(chǎn)生或者保存在哪些終端、服務(wù)器、工作站,或筆記本、U盤(pán)等可移動(dòng)存儲(chǔ)設(shè)備上?
3. 上述文件是以何種文件類型的形式保存在各類存儲(chǔ)設(shè)備上的什么位置?文件類型包括電子表格、Word文檔、數(shù)據(jù)庫(kù)文件、幻燈片、HTML文件和電子郵件(E-Mail),以及源代碼和可執(zhí)行文件等形式;
4. 哪些用戶的臺(tái)式機(jī)、工作站、筆記本需要保護(hù)?例如,重要的管理人員.銷售人員和技術(shù)顧問(wèn),還是包括所有員工、合作伙伴和承包商;
5. 企業(yè)中哪些用戶在使用筆記本電腦等可移動(dòng)存儲(chǔ)設(shè)備?以及機(jī)密信息是否會(huì)被復(fù)雜到USB設(shè)備或其它可移動(dòng)媒介中?
6. 企業(yè)中哪些員工會(huì)使用電子郵件(E-Mail)?或者是即時(shí)通訊工具MSN、QQ等?這些電子郵件都從哪些工作站或筆記本電腦上發(fā)送的?
7. 企業(yè)局域網(wǎng)中共享文件服務(wù)器上的機(jī)密數(shù)據(jù)是否安全?
8. 企業(yè)是否有遠(yuǎn)程辦公室,遠(yuǎn)程辦公室與企業(yè)總部之間的遠(yuǎn)程連接是否包含機(jī)密信息?
9. 企業(yè)員工進(jìn)行WEB瀏覽等網(wǎng)絡(luò)通信是否包含機(jī)密信息?
通過(guò)對(duì)企業(yè)現(xiàn)有的商業(yè)機(jī)密類型、產(chǎn)生和保存的位置、文件格式、泄密途徑等等進(jìn)行梳理,是進(jìn)行下一步工作的基礎(chǔ)。
三、根據(jù)分域安全理論,對(duì)商業(yè)機(jī)密進(jìn)行分類
針對(duì)商業(yè)機(jī)密保護(hù),目前最領(lǐng)先的理論是“分域安全理論”。經(jīng)過(guò)上一步驟對(duì)企業(yè)的保護(hù)對(duì)象進(jìn)行了梳理,結(jié)合分域安全理論,就可以找到相對(duì)應(yīng)的解決辦法。
所謂分域安全模式,是相對(duì)于傳統(tǒng)的分層安全模式而言的。分域安全指的是把網(wǎng)絡(luò)分為磁盤(pán)、終端、端口、服務(wù)器、局域網(wǎng)等等工作域,在每一個(gè)工作域都采用對(duì)應(yīng)的安全策略。不論是在辦公室的主機(jī)、工作站、服務(wù)器,還是在移動(dòng)辦公、家庭辦公的筆記本電腦、移動(dòng)存儲(chǔ)設(shè)備,都可以有一個(gè)相對(duì)應(yīng)的保護(hù)工具,用以提高個(gè)人資料的安全性。
換句話說(shuō),這種安全模式是基于這樣的理論:在網(wǎng)絡(luò)內(nèi)部可以找到一種通用的解決辦法來(lái)處理各個(gè)區(qū)域的安全問(wèn)題,但是對(duì)于任何一個(gè)個(gè)性的區(qū)域,都能有結(jié)合個(gè)性特點(diǎn)的細(xì)分工具來(lái)解決個(gè)性問(wèn)題。
根據(jù)文檔和數(shù)據(jù)的生命周期,可以把文檔基本分為創(chuàng)建、流轉(zhuǎn)、使用、修改、歸檔、銷毀等幾個(gè)階段。根據(jù)商業(yè)機(jī)密的全生命周期,可以根據(jù)其存儲(chǔ)和流轉(zhuǎn)的位置和途徑進(jìn)行分類,把相對(duì)應(yīng)的工作域分為:磁盤(pán)、終端、端口、服務(wù)器、局域網(wǎng)、移動(dòng)存儲(chǔ)設(shè)備、外埠工作域和外部網(wǎng)絡(luò)等。
通過(guò)分域安全理論,對(duì)中小企業(yè)來(lái)講,基本上可以根據(jù)企業(yè)的核心機(jī)密類型分為兩大類,一種是設(shè)計(jì)、研發(fā)類為主的核心機(jī)密信息,另一種是財(cái)務(wù)、營(yíng)銷、管理等部門(mén)產(chǎn)生的核心機(jī)密信息。
四、了解各種類型的加密軟件優(yōu)點(diǎn)及其局限性
現(xiàn)在市面上主要有以下所示的這幾種類型的數(shù)據(jù)加密產(chǎn)品:
1. 靜態(tài)加密產(chǎn)品(文件/文件夾加密)
文件/文件夾加密產(chǎn)品目前在市場(chǎng)上存在三種主要的方式,這三種主要方式包括:文件加密產(chǎn)品、文件夾加密產(chǎn)品和文件/文件夾加密產(chǎn)品。一些操作系統(tǒng),例如應(yīng)用NTFS文件系統(tǒng)后的Windows XP操作系統(tǒng)就可以使用EFS的加密文件系統(tǒng)來(lái)加密文件或文件夾。
這類產(chǎn)品基本上是免費(fèi)的,但是除了這個(gè)“優(yōu)點(diǎn)”之外,其他的缺陷也是顯而易見(jiàn)的:文件/文件夾加密產(chǎn)品通常需要用戶自己操作需要加密的文件或文件夾。需要用戶參與,如果用戶不注意就會(huì)造成遺漏,而且,這些產(chǎn)品并不能對(duì)臨時(shí)文件夾和交換空間進(jìn)行加密,這就造成了一些敏感信息的副本仍然沒(méi)有被加密。這些軟件安全性很低,部署之后形同虛設(shè),很容易被破解,達(dá)不到企業(yè)的安全要求,不適合企業(yè)用于商業(yè)機(jī)密加密保護(hù)。
2. 動(dòng)態(tài)加密產(chǎn)品
動(dòng)態(tài)加密(Encrypt on –the-fly)是指數(shù)據(jù)在使用過(guò)程中自動(dòng)(動(dòng)態(tài))對(duì)數(shù)據(jù)進(jìn)行加密或解密操作,無(wú)需用戶干預(yù),合法用戶在使用加密的文件前,也不需要進(jìn)行解密操作即可使用。表面看來(lái),訪問(wèn)加密的文件和訪問(wèn)未加密的文件基本相同,對(duì)合法用戶來(lái)說(shuō),這些加密文件是“透明的”,即好像沒(méi)有加密一樣,但對(duì)于沒(méi)有訪問(wèn)權(quán)限的用戶,即使通過(guò)其它非常規(guī)手段得到了這些文件,由于文件是加密的,因此也無(wú)法使用。由于動(dòng)態(tài)加密技術(shù)不僅不改變用戶的使用習(xí)慣,而且無(wú)需用戶太多的干預(yù)操作即可實(shí)現(xiàn)文檔的安全,因而近年來(lái)得到了廣泛應(yīng)用。
目前市面上動(dòng)態(tài)加密產(chǎn)品有兩種,一種是基于文檔級(jí)的加密產(chǎn)品。這類產(chǎn)品很常見(jiàn),也已經(jīng)很成熟。通常被稱為透明加密軟件。以 SmartSec為代表的透明加密軟件已經(jīng)在中國(guó)得到廣泛使用。包括政府、軍隊(duì)、軍工、制造業(yè)、設(shè)計(jì)院所、通信等行業(yè)。另一種是基于磁盤(pán)級(jí)(數(shù)據(jù)級(jí))的加密軟件。基于磁盤(pán)級(jí)的加密軟件,分為兩類,一類是“虛擬磁盤(pán)加密”產(chǎn)品,另一類是全磁盤(pán)加密產(chǎn)品(FDE,Full Disk Encryption)。
虛擬磁盤(pán)加密產(chǎn)品通過(guò)虛擬一個(gè)空間,對(duì)虛擬空間內(nèi)的文件自動(dòng)加密解密。這一類產(chǎn)品通常衍生出文檔保險(xiǎn)柜等軟件。由于只是對(duì)磁盤(pán)分區(qū)或者扇區(qū)進(jìn)行加密,不能對(duì)C盤(pán)和操作系統(tǒng)加密,其安全性比較低,往往適合個(gè)人級(jí)的文檔保護(hù),不適合高度保密要求的企業(yè)。
全盤(pán)加密技術(shù)是一種非常成熟的技術(shù),而且非常容易使用和配置,因?yàn)橹恍枰脩魶Q定哪個(gè)磁盤(pán)或扇區(qū)需要加密即可。而且除了需要用戶記住加密密碼之外,其它的操作都不需要用戶參與。它還能保護(hù)操作系統(tǒng)、臨時(shí)文件夾、交換空間,以及所有可以被加密保護(hù)的敏感信息。全磁盤(pán)加密(FDE)產(chǎn)品對(duì)磁盤(pán)上所有數(shù)據(jù)進(jìn)行動(dòng)態(tài)加解密,包括操作系統(tǒng),在關(guān)機(jī)和休眠狀態(tài)下,磁盤(pán)上的數(shù)據(jù)處于加密狀態(tài),有效地防止了泄密。這一類產(chǎn)品在國(guó)際上發(fā)展10多年,已經(jīng)相當(dāng)成熟。一些主要的安全廠商都推出自己的全盤(pán)加密產(chǎn)品,例如賽門(mén)鐵克推出的Endpoint Encryption 6.0全盤(pán)版,以及McAfee的Total Protection for Data.PGP全盤(pán)加密和北京億賽通公司的DiskSec。
值得一說(shuō)的是硬盤(pán)芯片級(jí)的FDE。一些大牌的硬盤(pán)生產(chǎn)廠商,例如希捷、西部數(shù)據(jù)和富士通等都支持全盤(pán)加密技術(shù),將全盤(pán)加密技術(shù)直接集成到硬盤(pán)的相關(guān)芯片當(dāng)中,并且與可信計(jì)算機(jī)組(TCG)發(fā)布的加密標(biāo)準(zhǔn)相兼容。計(jì)算機(jī)廠商例如聯(lián)想和DELL等都在生產(chǎn)使用這種加密硬盤(pán)或加密芯片技術(shù)的安全計(jì)算機(jī)。由于硬件級(jí)的加密軟件成本高昂,不能被多數(shù)用戶所接受,所以一直沒(méi)有得到廣泛推廣。
還有一些開(kāi)源免費(fèi)的軟件,比如TrueCrypt 5.1a、7-Zip、FreeOTFE 3.00等,號(hào)稱具備整體磁盤(pán)加密的功能,但是經(jīng)過(guò)分析,這些免費(fèi)軟件本性安全性低,很容易導(dǎo)致加密后數(shù)據(jù)丟失、無(wú)法使用等病狀,而且因?yàn)槊赓M(fèi)沒(méi)有售后支持和維護(hù),許多采用這些免費(fèi)軟件的用戶加密之后數(shù)據(jù)大量損壞無(wú)法修復(fù),苦不堪言。這些免費(fèi)軟件不適合推薦給企業(yè)級(jí)的用戶。
我們應(yīng)當(dāng)要根據(jù)自身的實(shí)際數(shù)據(jù)加密需求來(lái)選擇相應(yīng)的全盤(pán)加密產(chǎn)品。通常,像筆記本電腦.U盤(pán)等可移動(dòng)存儲(chǔ)設(shè)備應(yīng)當(dāng)選擇全盤(pán)加密產(chǎn)品來(lái)加密整個(gè)磁盤(pán)或扇區(qū)。
五、選擇加密軟件技術(shù)和產(chǎn)品
在全面了解企業(yè)商業(yè)機(jī)密和市面上的保護(hù)手段之后,就可以采用對(duì)應(yīng)的產(chǎn)品來(lái)對(duì)商業(yè)機(jī)密進(jìn)行保護(hù)。筆者對(duì)市面上的各種加密保護(hù)軟件進(jìn)行歸納總結(jié),對(duì)其保護(hù)對(duì)象和應(yīng)用范圍進(jìn)行梳理之后,列表如下:

參照上表,我們可以根據(jù)企業(yè)自身的需求,很輕松地找到企業(yè)所需要選用的加密軟件類型。比如,某企業(yè)屬于研發(fā)類企業(yè),需要對(duì)研發(fā)部門(mén)的源代碼、電路設(shè)計(jì)圖進(jìn)行保護(hù),部分員工出差需要帶走筆記本電腦,重要文檔集中存放在服務(wù)器上。根據(jù)上表可以得知,需要對(duì)研發(fā)部的各個(gè)終端進(jìn)行保護(hù),可以采用文檔透明加密系統(tǒng)SmartSec,針對(duì)需要保護(hù)的文檔類型,進(jìn)行強(qiáng)制加密。對(duì)外出辦公的筆記本電腦可以采用全磁盤(pán)加密(FDE)——磁盤(pán)全盤(pán)加密系統(tǒng)DiskSec,對(duì)服務(wù)器上的文檔進(jìn)行保護(hù),可以采用文檔安全網(wǎng)關(guān)系統(tǒng)DNetSec。
基于分域安全理論,處于不同的安全域的信息,可以采用不同的信息安全保護(hù)技術(shù)和產(chǎn)品。企業(yè)結(jié)合自身的需求和特點(diǎn),都能找到適合自己的加密軟件產(chǎn)品。
六、制定數(shù)據(jù)加密項(xiàng)目計(jì)劃和設(shè)計(jì)解決方案
為了確保項(xiàng)目的順利實(shí)施,應(yīng)該與其它大型的安全防范項(xiàng)目一樣,制定一個(gè)切實(shí)可行的數(shù)據(jù)加密計(jì)劃,減少在具體實(shí)施過(guò)程中不必要的錯(cuò)誤和麻煩,以及許多令人頭痛的問(wèn)題。因此,制定計(jì)劃需要注意以下問(wèn)題:
1. 將文檔加密的目標(biāo)、需求和策略問(wèn)題做一個(gè)具體的文檔,確保制定的這些文檔很容易被受這個(gè)項(xiàng)目影響的管理者和用戶群體所理解;
2. 規(guī)定文檔加密項(xiàng)目的范圍和限制,包括項(xiàng)目將耗費(fèi)多長(zhǎng)時(shí)間,需要投入多少成本,是否有足夠的人力資源實(shí)施該項(xiàng)目等內(nèi)容。如前所述,在預(yù)算和技術(shù)人員這兩個(gè)方面的限制因素將為我們選擇數(shù)據(jù)加密產(chǎn)品提供一個(gè)充分的理由;
3. 如果企業(yè)技術(shù)人員充分,可以選擇自己解決文檔加密軟件的部署。否則。企業(yè)也可以決定是否需要得到安全廠商的支持,或者決定將此項(xiàng)目外包給第三方等;
4. 大多數(shù)文檔加密解決方案需要計(jì)算機(jī)最終用戶的操作行為做一些改變,所以最終用戶有意抵制做出改變將給應(yīng)用數(shù)據(jù)加密帶來(lái)新的風(fēng)險(xiǎn)。因此,應(yīng)當(dāng)分配資源和制定時(shí)間表來(lái)培訓(xùn)用戶接受這種改變;
5. 為數(shù)據(jù)加密項(xiàng)目規(guī)定一個(gè)最終的標(biāo)示成功的目標(biāo),這個(gè)目標(biāo)可以作為項(xiàng)目是否已經(jīng)實(shí)施成功的參考值。這也就給此數(shù)據(jù)加密項(xiàng)目做了一個(gè)具體的范圍限制,也為項(xiàng)目最后的管理做了一個(gè)參考坐標(biāo)。這方面可以具體落實(shí)為一個(gè)測(cè)試、試用、實(shí)施和驗(yàn)收的整天方案;
6. 使最終用戶只具有最小的操作權(quán)限。設(shè)計(jì)的方案除了提供警報(bào)功能,以及由最終用戶執(zhí)行數(shù)據(jù)加密任務(wù)或更新軟件以外,其它的操作,例如用戶不能改變加密軟件的任何配置參數(shù)或加密方式,也不能改變連接到具體設(shè)備上的加密設(shè)備。
七、組織測(cè)試
1. 搭建模擬測(cè)試環(huán)境。一般來(lái)說(shuō),加密軟件是C/S架構(gòu)的軟件,并具有B/S管理功能。在測(cè)試之前,根據(jù)加密軟件的特點(diǎn),搭建一個(gè)標(biāo)準(zhǔn)的C/S架構(gòu)體系,準(zhǔn)備對(duì)加密進(jìn)行測(cè)試;
2. 制訂測(cè)試方案。根據(jù)企業(yè)需求,結(jié)合選用的加密軟件,對(duì)軟件的測(cè)試制訂一個(gè)嚴(yán)格規(guī)范的測(cè)試方案。這是一個(gè)很重要的步驟,不可缺少。對(duì)加密軟件的功能性能、與企業(yè)系統(tǒng)的兼容性等進(jìn)行全面測(cè)試,需要按照計(jì)劃有步驟地進(jìn)行;
3. 在模擬環(huán)境上開(kāi)始測(cè)試。測(cè)試一般有加密軟件廠商配合,雙方人員現(xiàn)場(chǎng)測(cè)試。。以確保這些加密產(chǎn)品是否能達(dá)到預(yù)期的目的。以便能確定最佳的加密做法是什么,以及檢驗(yàn)這些加密軟件與系統(tǒng).應(yīng)用程序及硬件之間的兼容情況,檢驗(yàn)加密軟件是否出現(xiàn)了不可預(yù)期的錯(cuò)誤;
4. 對(duì)測(cè)試結(jié)果進(jìn)行總結(jié),并形成測(cè)試總結(jié)報(bào)告。
八、試用加密軟件
通過(guò)模擬測(cè)試,對(duì)加密軟件的性能功能已經(jīng)有了初步了解,就可以進(jìn)入試用期。一般來(lái)說(shuō),試用期7天足以完全了解軟件運(yùn)行情況。經(jīng)過(guò)試用,能驗(yàn)證加密軟件是否滿足企業(yè)需求。我們還必需定時(shí)進(jìn)行定期檢查,以確保沒(méi)有用戶繞過(guò)數(shù)據(jù)加密軟件進(jìn)行操作。所有的這些信息應(yīng)當(dāng)記錄并存儲(chǔ)在一個(gè)中央服務(wù)器之上,并審計(jì)相關(guān)日志;確保數(shù)據(jù)加密軟件都是最新版本,并修補(bǔ)了所有的漏洞。要求數(shù)據(jù)加密軟件供應(yīng)商提供各種操作文檔及最新版本的加密軟件。
九、部署加密軟件
通過(guò)試用,企業(yè)對(duì)加密軟件應(yīng)該有了全方位的了解,就可以在全公司實(shí)施加密軟件了。可以按照廠家提供的實(shí)施計(jì)劃,分部門(mén)有節(jié)奏地進(jìn)行。
十、進(jìn)行全面總結(jié),并制定企業(yè)商業(yè)機(jī)密保護(hù)制度
三分技術(shù),七分管理。這是所有信息安全保護(hù)的基本原則。在全面部署實(shí)施加密軟件之后,必須建立一個(gè)科學(xué)有效的商業(yè)機(jī)密保護(hù)制度,從技術(shù)和管理兩個(gè)方面來(lái)實(shí)現(xiàn)對(duì)商業(yè)機(jī)密的保護(hù)。
以上是中小企業(yè)全面保護(hù)商業(yè)機(jī)密的標(biāo)準(zhǔn)流程。在實(shí)踐中,企業(yè)可以根據(jù)具體情況對(duì)某些步驟稍作調(diào)整。從現(xiàn)有市場(chǎng)的情況來(lái)看,只有少數(shù)加密軟件廠商才建立了規(guī)范的操作流程,多數(shù)加密軟件廠商出于種種目的,故意簡(jiǎn)化流程深圳省略重要步驟,其結(jié)果很可能導(dǎo)致加密軟件項(xiàng)目的失敗。