数据的机密性保护是一个老生常谈的问题,现在,又由于可移动存储设备.笔记本电脑和手持智能设备的大量使用,更进一步地加剧了企业机密数据的泄漏问题。
由于企业机密数据的泄漏不仅会给企业带来经济和无形资产的损失,而且,如果这些泄漏的机密数据是一些与人们密切相关的隐私信息,例如银行帐号.身份证号码等信息,那么,还会带来一些社会性的问题。
因而,一些国家就针对一些特殊行业制定了相关的数据保护法案,来强制企业必需使用相应的安全措施来保护机密数据的安全。应用数据加密就是保护数据机密性的主要方法。一些需要遵从相应数据安全法案的企业就必需在企业中部署相应的数据加密方案来解决机密数据的泄漏问题。
可是,现在的一些中小企业在部署数据加密解决方案时,依然存在下列所示的一些不好的做法:
1.在没有完全了解数据加密解决方案的能力和局限性的前题下,企业就直接选择和部署该产品。
2.许多中小企业没有足够的技术人员来执行数据加密解决方案的部署。
3.在部署数据加密解决方案时缺少充分的准备和规划,并且没有经过测试就直接投入使用。
中小企业这种部署数据加密解决方案的方式根本就是在浪费钱财,因而就迫切需要一种高效的部署方法来指导企业完成数据加密解决方案的部署。
但是,由于在现存的企业网络结构中部署数据加密方案本身就不容易被部署好。另外,就算它部署成功了,现在的中小企业根本找不到人和监控软件来管理它们是否一直有效,以及处理在使用过程中出现的问题,更何况在数据加密方案的部署过程中还会牵扯到其它许多的安全问题。
因此,数据加密解决方案的部署不是一件很容易的事情。
不过,虽然数据加密不容易部署和管理,但还是有一些最佳的实践方法可以帮助我们显著提高部署数据加密方案的成功率。如果我们按照下列所示的4个步骤来部署数据加密解决方案,那么,就可以避免产生上列所示的这些问题,从而成功地部署好数据加密解决方案。
以下所示的这4个步骤就是成功部署数据加密解决方案必需经过的步骤:
1.确定加密目标和选择加密技术和产品。
2.编写数据加密项目的规划和解决方案。
3.准备.安装和配置加密软件或硬件。
4.数据加密解决方案的测试和最终使用。
下面,我们就按这4个部署数据加密解决方案的步骤,来详细说明在部署时的最佳做法应当如何具体地去完成。
一.确定加密目标和选择加密技术
如果在应用数据加密之前没有确定明确的目标,分析企业中需要应用数据加密的地方,那么,数据加密就无从谈起。
1.确定加密目标
首先,就是要明确企业网络中哪些方面需要使用数据加密,也就是确定加密的目标和需要加密的位置。通常,我只需要搞清楚下列所示的这些内容,加密的目标也就找到了:
(1) 有哪些机密信息会出现在服务器.工作站.笔记本等可移动存储设备或手持智能设备上?这些机密信息应当包括客户和雇员信息.财务信息.商业计划.研究报告.软件代码,以及产品设计图纸和文档,项目招标计划和设计图纸等等。
(2)上述这些机密信息是以什么文件类型的形式保存在各类存储设备上的什么位置?文件类型包括电子表格.Word文档.数据库文件.幻灯片.HTML文件和电子邮件(E-Mail),以及文件代码和可执行文件等形式。
(3)哪些用户的工作站.笔记本需要保护?例如,重要的管理人员.销售人员和技术顾问,还是包括所有雇员.合作伙伴和承包商。
(4)企业中哪些用户在使用笔记本电脑等可移动存储设备?例如,管理人员.合作伙伴或供应商。以及机密信息是否会被复杂到USB设备或其它可移动媒介中?
(5)企业中哪些员工会使用电子邮件(E-Mail)?这些电子邮件都从哪些工作站或笔记本电脑上发送的?
(6)企业局域网中传输的机密数据是否安全?
(7)企业是否有远程办公室,远程办公室与企业总部之间的远程连接是否包含机密信息?
(8)企业员工进行WEB浏览等网络通信是否包含机密信息?
上述所有的机密信息和机密信息所存在的位置都必需通过应用数据加密来保护数据的机密性。
2.应当遵守的法规
企业还应当明白制定的数据加密解决方案应当遵守当地的相应数据保护法规,以满足当地审计部门的要求。例如,我国今年7月1日即将实施的《企业内部控制基本规范》就要求国内相关企业必需保护机密数据的安全。
如果我国的企业已经在美国上市,那么还必需遵守美国制定的萨班斯法案。因此,我们制定的数据加密解决方案还应当提示是根据什么样的加密标准规则来执行的,还应当遵守什么样的加密密钥分配和管理方法。
制定后的数据加密解决方案可能要在企业内部强制执行,而对于这个新制定的企业内部规章政策,企业必需对企业员工进行说明此政策推行的理由,表明不是为了限制某几个人的访问权限,也不是某些IT安全技术人员本身的安全偏执行为而临时决定的。3.了解数据加密的局限性
在使用数据加密技术之前,我们还有必要来了解一下数据加密的局限性也是同样重要的。毕竟数据加密技术并不是解决数据安全的灵丹妙药。
数据加密技术能保护被盗或丢失设备上的数据,以及在网络中传输的数据的机密性,但是它并不能限制企业内部员通过电子邮件.即时聊天工具等向外发送这些机密信息。也不能阻止黑客或文件共享程序对外公开这些机密信息。更不能防止数据被意外删除.损坏和丢失。
因此,我们还必需为保护企业数据安全部署其它安全产品,例如防火墙.企业权限管理.以及数据备份和灾难恢复等安全措施。
要知道的是,数据加密即可以单独使用,也可以与其它安全防范技术同时使用。数据加密是所有安全防范技术中最基础的技术之一,有许多安全防范产品当中都嵌入了数据加密功能。但这些安全产品的加密功能往往不如人意,还是得部署独立的数据加密解决方案才行。
4.数据加密产品的选择
现在市面上主要有以下所示的这几种类型的数据加密产品:
(1).文件/文件夹加密产品
文件/文件夹加密产品目前在市场上存在三种主要的方式,这三种主要方式包括:文件加密产品.文件夹加密产品和文件/文件夹加密产品。一些操作系统,例如应用NTFS文件系统后的Windows XP操作系统就可以使用EFS的加密文件系统来加密文件或文件夹。
而其它的第三方文件/文件夹加密软件就更多,例如TrueCrypt.Axcrypt.Cryptainer LE.Blowfish Advanced CS个人版和FreeOTFE。我们应当根据企业自身的需求,选择其中最正确的一种将是整个数据加密策略过程中最重要的步骤。
文件或文件/文件夹加密产品通常需要用户自己操作需要加密的文件或文件夹。文件或文件/文件夹加密产品是很容易实现的,但是,这些产品需要用户参与,如果用户不注意就会造成遗漏,而且,这些产品并不能对临时文件夹和交换空间进行加密,这就造成了一些敏感信息的副本仍然没有被加密。
而且,一些在远程系统上经过妥善加密了的文件及文件夹也不能轻易地证明它已经是被加密过了的。
(2).全盘加密(FDE技术)产品
全盘加密技术产品,由它的名字就可以清楚地知道它是针对整个硬盘或某个卷的。这样,包括操作系统.应用程序和数据文件都可以被加密。通常这个加密解决方案在系统启动时就进行加密验证,一个没有授权的用户,如果不提供正确的密码,就不可能绕过数据加密机制获取系统中的任何信息。
现在,一些主要的安全厂商都推出自己的全盘加密产品,例如赛门铁克推出的Endpoint Encryption 6.0全盘版,以及McAfee的Total Protection for Data.PGP全盘加密和免费的TrueCrypt也具有全盘加密功能。
如今,一些大牌的硬盘生产厂商,例如希捷.西部数据和富士通等都支持全盘加密技术,将全盘加密技术直接集成到硬盘的相关芯片当中,并且与可信计算机组(TCG)发布的加密标准相兼容。而且,一些计算机厂商,例如联想和DELL等都在生产使用这种加密硬盘或加密芯片技术的安全计算机。
我们应当要根据自身的实际数据加密需求来选择相应的全盘加密产品。通常,像笔记本电脑.U盘等可移动存储设备应当选择全盘加密产品来加密整个磁盘或卷,或者直接购买具有加密芯片的安全笔记本电脑或工作站。
全盘加密技术是一种非常成熟的技术,而且非常容易使用和配置,因为只需要用户决定如个磁盘或卷需要加密即可。而且除了需要用户记住加密密码之外,其它的操作都不需要用户参与。它还能保护操作系统.临时文件夹.交换空间,以及所有可以被加密保护的敏感信息。
但是,要加密整个磁盘的速度是非常慢的,对一些大容量的文件也是如此。虽然现在的全盘加密产品的加密速度有了长足的提高,但是,在实际的使用过程中,如果磁盘或卷中存款额大量的文件,那么其加密速度还是看起来非常慢的。
并且,如果磁盘的主引导记录可能使它与备份和恢复程序很难共存,一旦磁盘发现故障或错误,那么将会造成数据无法被正确恢复的局面。
(3).智能加密产品
新出现的智能加密产品结合了文件及文件夹加密产品和全盘加密产品的主要特点。例如国内比较有名的是思智ERM301企业数据智能加密系统。这些混合的解决方案与文件/文件夹加密产品有一定的相似之外,因为它可以由用户决定只加密文件或文件夹,而不需要加密操作系统或应用程序。
这将大大减少加密所费的时间,提高加密的性能。另外,它还允许管理员指定加密文件的具体类型,例如电子表格或PPT,以及某些具体应用产品,例如财务和人力资源应用。
智能加密技术确保指定的文件类型或应用类型都能加密,而不需要文件是否存在于某个指定的加密文件夹。并且,这种技术不会干扰备份和恢复.补丁管理或强制认证产品。
但是,要确保所有机密信息都得到保护,我们就需要知道它们是什么,以及存在于什么位置。如果我们没有一种了机密信息的处理机制,那么还是使用全盘加密技术比较可靠。
二.制定数据加密项目计划和设计解决方案
与其它大型的安全防范项目一样,一个切实可行的数据加密计划能减少在具体实施过程中不必要的错误和麻烦,以及许多令人头痛的问题。一个全面的数据加密解决方案应当包括和考虑下列8个方面的内容:
1.文档目标.需求和制约因素
我们应当在开始之前将数据加密的目标.需求和策略问题做一个具体的文档记录,用来说明现在距离我们制定的目标还有多长的距离。并确保制定的这些文档很容易被受这个项目影响的管理者和用户群体所理解。
尽管数据加密不是计算机用户的一个负担,但是它们彼此之间不会完全透明,所以每个人都需要清楚地了解这样做是为什么,以及将会受到什么的影响。
同时,我们还应当规定数据加密项目的范围和限制,包括项目将耗费多长时间,需要投入多少成本,是否有足够的人力资源实施该项目等内容。如前所述,在预算和人力资源这两个方面的限制因素将为我们选择数据加密产品提供一个充分的理由。
如果企业技术人员充分,那么可以选择自己解决数据加密方案的部署。如果情况与此相反,企业也可以决定是否需要得到安全厂商的支持,或者决定将此项目外包给第三方等。2.确定项目小组成员
一个典型的数据加密项目会涉及企业中的多个部门,我们应当为此建立一个项目团队并确定相关成员。数据加密解决方案的部署成员应当包括:
(1).企业IT部门的安全技术员.系统管理员和网络管理员。
(2).企业中每个部门的主要负责人。
(3).为此项目指定一个总的企业内部负责人。
(4).加密产品提供商的技术人员或第三方网络和防火墙方面的专家。
3.确定基础设施的整合任务
我们应当花一定的时间和资源来决定如何将数据加密解决方案整合到当前的IT基础设施当中。一个通常的数据加密方案可能需要改动的IT基础设施可能包括:
(1).防火墙和代理服务器的配置调整。
(2).终端设备的备份和恢复过程的调整。
(3).与Active Directory或其他企业目录集成。
4.为最终用户分配资源,以及培训支持
大多数数据加密解决方案需要计算机最终用户的操作行为做一些改变,所以最终用户有意抵制做出改变将给应用数据加密带来新的风险。因此,我们应当分配资源和制定时间表来培训用户接受这种改变。还必需培训一个数据加密解决方案的管理小组,用来作为企业的后期维护之用,以及在实施过程中参与实施。
5.决定成功的目标是什么
我们必需为数据加密项目规定一个最终的标示成功的目标,这个目标可以作为项目是否已经实施成功的参考值。这也就给此数据加密项目做了一个具体的范围限制,也为项目最后的管理做了一个参考坐标。
6.决定如何加密
如果我们正在执行一个文件/文件夹或智能加密产品的数据加密解决方案,在使用之前,决定将采用什么样的加密是一个非常重要的步骤。例如,如果我们可以部署一个智能化加密解决方案,将以下列的方式进行加密,可以由用户自己决定加密的数据:
(1).加密特定的文件类型(例如电子表格.数据库.文件或临时文件夹)。
(2).加密一些具体应用程序产生的敏感数据,例如财务软件.CRM和ERP。
(3).针对某个具体的磁盘或可移动存储设备。
(4).只加密某个特定的用户,例如一个系统中的多个用户。
7.验证设计
我们必需验证数据加密软件在任何时候运行时都是非常可靠和正确的,这是至关重要的一个步骤。这样,才能确定当某个包含有机密数据的设备丢失或被盗后,或者机密数据在网络中传输时,就可以确定其中的数据是安全的不会造成机密外泄。为了达到这个目的,我们还应当做下列所示的这些工作:
(1).在开始正常使用之前,应该有一个方法来验证这些数据加密软件已经安装正确。而由用户自己报告说他们已经在自己的计算机上安装了数据加密软件,或者你自己给用户数据加密软件的光盘由用户自己安装,这样做都是不够的。所有的事都必需我们自己亲力亲为,然后验证,这样才能百分之百确定。
(2).我们还必需定时进行定期检查,以确保没有用户绕过数据加密软件进行操作。
(3).还要确定所有的数据加密软件都已经是最新的版本。
所有的这些信息应当记录并存储在一个中央服务器之上,并审计相关日志。在许多环境中这是被强制执行的。这样才能确保数据加密软件都是最新版本,并修补了所有的漏洞。同时这也要求数据加密软件供应商提供这方面的资料。以确保数据加密软件是最新的。
8.用户最小化权限设计
我们设计的数据加密解决方案应当使最终用户只具有最小的操作权限。设计的方案除了提供警报功能,以及由最终用户执行数据加密任务或更新软件以外,其它的操作,例如用户不能改变加密软件的任何配置参数或加密方式,也不能改变连接到具体设备上的加密设备。
用户不能通过Windows控制面板中的添加或删除程序或其它方式来删除加密软件,也不能通过任务管理器或其它软件来禁止加密软件的运行,以及禁止加密软件通过服务方式和自动运行方式自己运行。这些都是确保加密软件任何时候都有用的最好方式,一定要严格执行。
三.调整IT基础设施和配置加密软件
当数据加密解决方案设计好了之后,接下来就是如何具体实施这个方案的问题。数据加密解决方案的具体部署最主要的是当前IT基础设施的调整和加密软件的安装配置。
1.调整IT基础设施
在这个阶段,我们可以调整IT的基础设施中需要改变的位置,以便数据加密解决方案可以无缝地集成到其中。这可能包括改变防火墙或代理服务器的设置,更改终端.服务器等设备的数据备份和恢复方式,并与企业目录集成等等。
在使用数据加密产品之前,最好对硬盘进行一次全面的碎片整理,以清除坏扇区。还必需清理任何internet临时文件。同时清理企业中不需要加密的设备,以减少数据加密方案的复杂度。
2.配置数据加密系统
如果由我们自己来实现数据加密解决方案,那么我们将需要部署.安装和配置加密服务器。我们还必需在数据加密客户端上安装和配置数据加密软件,以用来加密客户机上的文件.文件夹和驱动器。
3.进行模拟测试
在开始使用之前,我们要在安装数据加密软件的设备上进行模拟运行和加密任务的测试,以确保这些加密产品是否能达到预期的目的。以便能确定最佳的加密做法是什么,以及检验这些加密软件与系统.应用程序及硬件之间的兼容情况,检验加密软件是否出现了不可预期的错误。所有的这些测试都是非常重要的。
四.推出数据加密解决方案
这是部署数据加密解决方案的最后一个步骤,就是最终推出数据加密解决方案让其正常运行。如前所述一样,最重要是要培训用户和技术维护人员,让他们明白将要发生什么,以及应当如何去做等。
在开始使用后,还必需经过一个10-30天的最佳测试期,主要是检验非IT员工在使用部署的加密产品后的反应,以及加密能达到最终效果。
这个测试过程不仅会让我们发现此数据加密解决方案还存在的问题,同时,也可以让员工慢慢适应新加入的数据加密解决方案,也便于员工理解和接受。我们必需将测试得到的数据用文档记录下来,并对需要调整的部分做出相应的修正。
当最佳测试期完成后,我们就应该解决数据加密解决方案中剩下的部分。这个阶段可以一步一步地按部就班地进行。例如,如果我们正在部署一个文件/文件夹或混合加密方案,那么我们有可能在一开始只加密少数几个重要的文件或类型的应用文件,在检验到它的加密保护的效果后,再一步步地上升到加密所有的目标文件。
还有,我们应当在部署数据加密解决方案时,检查每个部署时期的时间值是否与确定的总部署时间相对应,一旦发现偏离就要及时调整。在最终推出时,我们还必需更新我们的需求文档和进程计划,包括新收集的资料和经验教训。这将帮助我们有时间来扩大和更新数据加密解决方案。
最后,我们还必需给出一个书面报告,用来描述部署数据加密解决方案的最终结果,以及实施后的最终结果是否与预期的目标相近等内容。
到这里,我们一起了解了成功部署一个数据加密解决方案应当遵从的步骤和最佳做法。从这些描述的内容中就可以看出,虽然部署一个数据加密解决方案是相当繁杂的过程,而且,在部署过程中有许多与处理相关的文档记录工作要完成。
但是,只要我们按照本文所述的步骤和最佳做法来部署数据加密解决方案,那么整个过程将变得非常清晰明了,成功部署将不再是一句空话。(刘源)