【51CTO.com 獨家特稿】數據的機密性保護是一個老生常談的問題，現在，又由于可移動存儲設備、筆記本電腦和手持智能設備的大量使用，更進一步地加劇了企業機密數據的泄漏問題。

由于企業機密數據的泄漏不僅會給企業帶來經濟和無形資產的損失，而且，如果這些泄漏的機密數據是一些與人們密切相關的隱私信息，例如銀行帳號、身份證號碼等信息，那么，還會帶來一些社會性的問題。

因而，一些國家就針對一些特殊行業制定了相關的數據保護法案，來強制企業必需使用相應的安全措施來保護機密數據的安全。應用數據加密就是保護數據機密性的主要方法。一些需要遵從相應數據安全法案的企業就必需在企業中部署相應的數據加密方案來解決機密數據的泄漏問題。

可是，現在的一些中小企業在部署數據加密解決方案時，依然存在下列所示的一些不好的做法：

1、在沒有完全了解數據加密解決方案的能力和局限性的前題下，企業就直接選擇和部署該產品。

2、許多中小企業沒有足夠的技術人員來執行數據加密解決方案的部署。

3、在部署數據加密解決方案時缺少充分的準備和規劃，并且沒有經過測試就直接投入使用。

中小企業這種部署數據加密解決方案的方式根本就是在浪費錢財，因而就迫切需要一種高效的部署方法來指導企業完成數據加密解決方案的部署。

但是，由于在現存的企業網絡結構中部署數據加密方案本身就不容易被部署好。另外，就算它部署成功了，現在的中小企業根本找不到人和監控軟件來管理它們是否一直有效，以及處理在使用過程中出現的問題，更何況在數據加密方案的部署過程中還會牽扯到其它許多的安全問題。

因此，數據加密解決方案的部署不是一件很容易的事情。

不過，雖然數據加密不容易部署和管理，但還是有一些最佳的實踐方法可以幫助我們顯著提高部署數據加密方案的成功率。如果我們按照下列所示的4個步驟來部署數據加密解決方案，那么，就可以避免產生上列所示的這些問題，從而成功地部署好數據加密解決方案。

以下所示的這4個步驟就是成功部署數據加密解決方案必需經過的步驟：

1、確定加密目標和選擇加密技術和產品。

2、編寫數據加密項目的規劃和解決方案。

3、準備、安裝和配置加密軟件或硬件。

4、數據加密解決方案的測試和最終使用。

下面，我們就按這4個部署數據加密解決方案的步驟，來詳細說明在部署時的最佳做法應當如何具體地去完成。

一、確定加密目標和選擇加密技術

如果在應用數據加密之前沒有確定明確的目標，分析企業中需要應用數據加密的地方，那么，數據加密就無從談起。

1、確定加密目標

首先，就是要明確企業網絡中哪些方面需要使用數據加密，也就是確定加密的目標和需要加密的位置。通常，我只需要搞清楚下列所示的這些內容，加密的目標也就找到了：

1、有哪些機密信息會出現在服務器、工作站、筆記本等可移動存儲設備或手持智能設備上？這些機密信息應當包括客戶和雇員信息、財務信息、商業計劃、研究報告、軟件代碼，以及產品設計圖紙和文檔，項目招標計劃和設計圖紙等等。

2、上述這些機密信息是以什么文件類型的形式保存在各類存儲設備上的什么位置？文件類型包括電子表格、Word文檔、數據庫文件、幻燈片、HTML文件和電子郵件（E-Mail），以及文件代碼和可執行文件等形式。

3、哪些用戶的工作站、筆記本需要保護？例如，重要的管理人員、銷售人員和技術顧問，還是包括所有雇員、合作伙伴和承包商。

4、企業中哪些用戶在使用筆記本電腦等可移動存儲設備？例如，管理人員、合作伙伴或供應商。以及機密信息是否會被復雜到USB設備或其它可移動媒介中？

5、企業中哪些員工會使用電子郵件（E-Mail）？這些電子郵件都從哪些工作站或筆記本電腦上發送的？

6、企業局域網中傳輸的機密數據是否安全？

7、企業是否有遠程辦公室，遠程辦公室與企業總部之間的遠程連接是否包含機密信息？

8、企業員工進行WEB瀏覽等網絡通信是否包含機密信息？

上述所有的機密信息和機密信息所存在的位置都必需通過應用數據加密來保護數據的機密性。

2、應當遵守的法規

企業還應當明白制定的數據加密解決方案應當遵守當地的相應數據保護法規，以滿足當地審計部門的要求。例如，我國今年7月1日即將實施的《企業內部控制基本規范》就要求國內相關企業必需保護機密數據的安全。

如果我國的企業已經在美國上市，那么還必需遵守美國制定的薩班斯法案。因此，我們制定的數據加密解決方案還應當提示是根據什么樣的加密標準規則來執行的，還應當遵守什么樣的加密密鑰分配和管理方法。

制定后的數據加密解決方案可能要在企業內部強制執行，而對于這個新制定的企業內部規章政策，企業必需對企業員工進行說明此政策推行的理由，表明不是為了限制某幾個人的訪問權限，也不是某些IT安全技術人員本身的安全偏執行為而臨時決定的。#p#

3、了解數據加密的局限性

在使用數據加密技術之前，我們還有必要來了解一下數據加密的局限性也是同樣重要的。畢竟數據加密技術并不是解決數據安全的靈丹妙藥。

數據加密技術能保護被盜或丟失設備上的數據，以及在網絡中傳輸的數據的機密性，但是它并不能限制企業內部員通過電子郵件、即時聊天工具等向外發送這些機密信息。也不能阻止黑客或文件共享程序對外公開這些機密信息。更不能防止數據被意外刪除、損壞和丟失。

因此，我們還必需為保護企業數據安全部署其它安全產品，例如防火墻、企業權限管理、以及數據備份和災難恢復等安全措施。

要知道的是，數據加密即可以單獨使用，也可以與其它安全防范技術同時使用。數據加密是所有安全防范技術中最基礎的技術之一，有許多安全防范產品當中都嵌入了數據加密功能。但這些安全產品的加密功能往往不如人意，還是得部署獨立的數據加密解決方案才行。

4、數據加密產品的選擇

現在市面上主要有以下所示的這幾種類型的數據加密產品：

（1）、文件/文件夾加密產品

文件/文件夾加密產品目前在市場上存在三種主要的方式，這三種主要方式包括：文件加密產品、文件夾加密產品和文件/文件夾加密產品。一些操作系統，例如應用NTFS文件系統后的Windows XP操作系統就可以使用EFS的加密文件系統來加密文件或文件夾。

而其它的第三方文件/文件夾加密軟件就更多，例如TrueCrypt、Axcrypt、Cryptainer LE、Blowfish Advanced CS個人版和FreeOTFE。我們應當根據企業自身的需求，選擇其中最正確的一種將是整個數據加密策略過程中最重要的步驟。

文件或文件/文件夾加密產品通常需要用戶自己操作需要加密的文件或文件夾。文件或文件/文件夾加密產品是很容易實現的，但是，這些產品需要用戶參與，如果用戶不注意就會造成遺漏，而且，這些產品并不能對臨時文件夾和交換空間進行加密，這就造成了一些敏感信息的副本仍然沒有被加密。

而且，一些在遠程系統上經過妥善加密了的文件及文件夾也不能輕易地證明它已經是被加密過了的。

（2）、全盤加密（FDE技術）產品

全盤加密技術產品，由它的名字就可以清楚地知道它是針對整個硬盤或某個卷的。這樣，包括操作系統、應用程序和數據文件都可以被加密。通常這個加密解決方案在系統啟動時就進行加密驗證，一個沒有授權的用戶，如果不提供正確的密碼，就不可能繞過數據加密機制獲取系統中的任何信息。

現在，一些主要的安全廠商都推出自己的全盤加密產品，例如賽門鐵克推出的Endpoint Encryption 6.0全盤版，以及McAfee的Total Protection for Data、PGP全盤加密和免費的TrueCrypt也具有全盤加密功能。

如今，一些大牌的硬盤生產廠商，例如希捷、西部數據和富士通等都支持全盤加密技術，將全盤加密技術直接集成到硬盤的相關芯片當中，并且與可信計算機組（TCG）發布的加密標準相兼容。而且，一些計算機廠商，例如聯想和DELL等都在生產使用這種加密硬盤或加密芯片技術的安全計算機。

我們應當要根據自身的實際數據加密需求來選擇相應的全盤加密產品。通常，像筆記本電腦、U盤等可移動存儲設備應當選擇全盤加密產品來加密整個磁盤或卷，或者直接購買具有加密芯片的安全筆記本電腦或工作站。

全盤加密技術是一種非常成熟的技術，而且非常容易使用和配置，因為只需要用戶決定如個磁盤或卷需要加密即可。而且除了需要用戶記住加密密碼之外，其它的操作都不需要用戶參與。它還能保護操作系統、臨時文件夾、交換空間，以及所有可以被加密保護的敏感信息。

但是，要加密整個磁盤的速度是非常慢的，對一些大容量的文件也是如此。雖然現在的全盤加密產品的加密速度有了長足的提高，但是，在實際的使用過程中，如果磁盤或卷中存款額大量的文件，那么其加密速度還是看起來非常慢的。

并且，如果磁盤的主引導記錄可能使它與備份和恢復程序很難共存，一旦磁盤發現故障或錯誤，那么將會造成數據無法被正確恢復的局面。

（3）、智能加密產品

新出現的智能加密產品結合了文件及文件夾加密產品和全盤加密產品的主要特點。例如國內比較有名的是思智ERM301企業數據智能加密系統。這些混合的解決方案與文件/文件夾加密產品有一定的相似之外，因為它可以由用戶決定只加密文件或文件夾，而不需要加密操作系統或應用程序。

這將大大減少加密所費的時間，提高加密的性能。另外，它還允許管理員指定加密文件的具體類型，例如電子表格或PPT，以及某些具體應用產品，例如財務和人力資源應用。

智能加密技術確保指定的文件類型或應用類型都能加密，而不需要文件是否存在于某個指定的加密文件夾。并且，這種技術不會干擾備份和恢復、補丁管理或強制認證產品。

但是，要確保所有機密信息都得到保護，我們就需要知道它們是什么，以及存在于什么位置。如果我們沒有一種了機密信息的處理機制，那么還是使用全盤加密技術比較可靠。#p#

二、制定數據加密項目計劃和設計解決方案

與其它大型的安全防范項目一樣，一個切實可行的數據加密計劃能減少在具體實施過程中不必要的錯誤和麻煩，以及許多令人頭痛的問題。一個全面的數據加密解決方案應當包括和考慮下列8個方面的內容：

1、文檔目標、需求和制約因素

我們應當在開始之前將數據加密的目標、需求和策略問題做一個具體的文檔記錄，用來說明現在距離我們制定的目標還有多長的距離。并確保制定的這些文檔很容易被受這個項目影響的管理者和用戶群體所理解。

盡管數據加密不是計算機用戶的一個負擔，但是它們彼此之間不會完全透明，所以每個人都需要清楚地了解這樣做是為什么，以及將會受到什么的影響。

同時，我們還應當規定數據加密項目的范圍和限制，包括項目將耗費多長時間，需要投入多少成本，是否有足夠的人力資源實施該項目等內容。如前所述，在預算和人力資源這兩個方面的限制因素將為我們選擇數據加密產品提供一個充分的理由。

如果企業技術人員充分，那么可以選擇自己解決數據加密方案的部署。如果情況與此相反，企業也可以決定是否需要得到安全廠商的支持，或者決定將此項目外包給第三方等。

2、確定項目小組成員

一個典型的數據加密項目會涉及企業中的多個部門，我們應當為此建立一個項目團隊并確定相關成員。數據加密解決方案的部署成員應當包括：

（1）、企業IT部門的安全技術員、系統管理員和網絡管理員。

（2）、企業中每個部門的主要負責人。

（3）、為此項目指定一個總的企業內部負責人。

（4）、加密產品提供商的技術人員或第三方網絡和防火墻方面的專家。

3、確定基礎設施的整合任務

我們應當花一定的時間和資源來決定如何將數據加密解決方案整合到當前的IT基礎設施當中。一個通常的數據加密方案可能需要改動的IT基礎設施可能包括：

（1）、防火墻和代理服務器的配置調整。

（2）、終端設備的備份和恢復過程的調整。

（3）、與Active Directory或其他企業目錄集成。

4、為最終用戶分配資源，以及培訓支持

大多數數據加密解決方案需要計算機最終用戶的操作行為做一些改變，所以最終用戶有意抵制做出改變將給應用數據加密帶來新的風險。因此，我們應當分配資源和制定時間表來培訓用戶接受這種改變。還必需培訓一個數據加密解決方案的管理小組，用來作為企業的后期維護之用，以及在實施過程中參與實施。

5、決定成功的目標是什么

我們必需為數據加密項目規定一個最終的標示成功的目標，這個目標可以作為項目是否已經實施成功的參考值。這也就給此數據加密項目做了一個具體的范圍限制，也為項目最后的管理做了一個參考坐標。

6、決定如何加密

如果我們正在執行一個文件/文件夾或智能加密產品的數據加密解決方案，在使用之前，決定將采用什么樣的加密是一個非常重要的步驟。例如，如果我們可以部署一個智能化加密解決方案，將以下列的方式進行加密，可以由用戶自己決定加密的數據：

（1）、加密特定的文件類型（例如電子表格、數據庫、文件或臨時文件夾）。

（2）、加密一些具體應用程序產生的敏感數據，例如財務軟件、CRM和ERP。

（3）、針對某個具體的磁盤或可移動存儲設備。

（4）、只加密某個特定的用戶，例如一個系統中的多個用戶。

7、驗證設計

我們必需驗證數據加密軟件在任何時候運行時都是非?？煽亢驼_的，這是至關重要的一個步驟。這樣，才能確定當某個包含有機密數據的設備丟失或被盜后，或者機密數據在網絡中傳輸時，就可以確定其中的數據是安全的不會造成機密外泄。為了達到這個目的，我們還應當做下列所示的這些工作：

（1）、在開始正常使用之前，應該有一個方法來驗證這些數據加密軟件已經安裝正確。而由用戶自己報告說他們已經在自己的計算機上安裝了數據加密軟件，或者你自己給用戶數據加密軟件的光盤由用戶自己安裝，這樣做都是不夠的。所有的事都必需我們自己親力親為，然后驗證，這樣才能百分之百確定。

（2）、我們還必需定時進行定期檢查，以確保沒有用戶繞過數據加密軟件進行操作。

（3）、還要確定所有的數據加密軟件都已經是最新的版本。

所有的這些信息應當記錄并存儲在一個中央服務器之上，并審計相關日志。在許多環境中這是被強制執行的。這樣才能確保數據加密軟件都是最新版本，并修補了所有的漏洞。同時這也要求數據加密軟件供應商提供這方面的資料。以確保數據加密軟件是最新的。

8、用戶最小化權限設計

我們設計的數據加密解決方案應當使最終用戶只具有最小的操作權限。設計的方案除了提供警報功能，以及由最終用戶執行數據加密任務或更新軟件以外，其它的操作，例如用戶不能改變加密軟件的任何配置參數或加密方式，也不能改變連接到具體設備上的加密設備。

用戶不能通過Windows控制面板中的添加或刪除程序或其它方式來刪除加密軟件，也不能通過任務管理器或其它軟件來禁止加密軟件的運行，以及禁止加密軟件通過服務方式和自動運行方式自己運行。這些都是確保加密軟件任何時候都有用的最好方式，一定要嚴格執行。#p#

三、調整IT基礎設施和配置加密軟件

當數據加密解決方案設計好了之后，接下來就是如何具體實施這個方案的問題。數據加密解決方案的具體部署最主要的是當前IT基礎設施的調整和加密軟件的安裝配置。

1、調整IT基礎設施

在這個階段，我們可以調整IT的基礎設施中需要改變的位置，以便數據加密解決方案可以無縫地集成到其中。這可能包括改變防火墻或代理服務器的設置，更改終端、服務器等設備的數據備份和恢復方式，并與企業目錄集成等等。

在使用數據加密產品之前，最好對硬盤進行一次全面的碎片整理，以清除壞扇區。還必需清理任何internet臨時文件。同時清理企業中不需要加密的設備，以減少數據加密方案的復雜度。

2、配置數據加密系統

如果由我們自己來實現數據加密解決方案，那么我們將需要部署、安裝和配置加密服務器。我們還必需在數據加密客戶端上安裝和配置數據加密軟件，以用來加密客戶機上的文件、文件夾和驅動器。

3、進行模擬測試

在開始使用之前，我們要在安裝數據加密軟件的設備上進行模擬運行和加密任務的測試，以確保這些加密產品是否能達到預期的目的。以便能確定最佳的加密做法是什么，以及檢驗這些加密軟件與系統、應用程序及硬件之間的兼容情況，檢驗加密軟件是否出現了不可預期的錯誤。所有的這些測試都是非常重要的。

四、推出數據加密解決方案

這是部署數據加密解決方案的最后一個步驟，就是最終推出數據加密解決方案讓其正常運行。如前所述一樣，最重要是要培訓用戶和技術維護人員，讓他們明白將要發生什么，以及應當如何去做等。

在開始使用后，還必需經過一個10-30天的最佳測試期，主要是檢驗非IT員工在使用部署的加密產品后的反應，以及加密能達到最終效果。

這個測試過程不僅會讓我們發現此數據加密解決方案還存在的問題，同時，也可以讓員工慢慢適應新加入的數據加密解決方案，也便于員工理解和接受。我們必需將測試得到的數據用文檔記錄下來，并對需要調整的部分做出相應的修正。

當最佳測試期完成后，我們就應該解決數據加密解決方案中剩下的部分。這個階段可以一步一步地按部就班地進行。例如，如果我們正在部署一個文件/文件夾或混合加密方案，那么我們有可能在一開始只加密少數幾個重要的文件或類型的應用文件，在檢驗到它的加密保護的效果后，再一步步地上升到加密所有的目標文件。

還有，我們應當在部署數據加密解決方案時，檢查每個部署時期的時間值是否與確定的總部署時間相對應，一旦發現偏離就要及時調整。在最終推出時，我們還必需更新我們的需求文檔和進程計劃，包括新收集的資料和經驗教訓。這將幫助我們有時間來擴大和更新數據加密解決方案。

最后，我們還必需給出一個書面報告，用來描述部署數據加密解決方案的最終結果，以及實施后的最終結果是否與預期的目標相近等內容。

到這里，我們一起了解了成功部署一個數據加密解決方案應當遵從的步驟和最佳做法。從這些描述的內容中就可以看出，雖然部署一個數據加密解決方案是相當繁雜的過程，而且，在部署過程中有許多與處理相關的文檔記錄工作要完成。

但是，只要我們按照本文所述的步驟和最佳做法來部署數據加密解決方案，那么整個過程將變得非常清晰明了，成功部署將不再是一句空話。