制定數據加密項目應注意的八個方面
企業防數據泄露是一個網絡安全管理員一直在奮斗的話題,制定數據加密項目是企業防數據泄露的一個不錯手段。本篇文章就主要介紹了在制定數據加密項目時應注意的八個方面,使得企業網絡安全管理員能夠對企業進行更加全面的保護。
制定數據加密項目:文檔目標、需求和制約因素
我們應當在開始之前將數據加密的目標、需求和策略問題做一個具體的文檔記錄,用來說明現在距離我們制定的目標還有多長的距離。并確保制定的這些文檔很容易被受這個項目影響的管理者和用戶群體所理解。
盡管數據加密不是計算機用戶的一個負擔,但是它們彼此之間不會完全透明,所以每個人都需要清楚地了解這樣做是為什么,以及將會受到什么的影響。
同時,我們還應當規定數據加密項目的范圍和限制,包括項目將耗費多長時間,需要投入多少成本,是否有足夠的人力資源實施該項目等內容。如前所述,在預算和人力資源這兩個方面的限制因素將為我們選擇數據加密產品提供一個充分的理由。
如果企業技術人員充分,那么可以選擇自己解決數據加密方案的部署。如果情況與此相反,企業也可以決定是否需要得到安全廠商的支持,或者決定將此項目外包給第三方等。
制定數據加密項目:確定項目小組成員
一個典型的數據加密項目會涉及企業中的多個部門,我們應當為此建立一個項目團隊并確定相關成員。數據加密解決方案的部署成員應當包括:
(1)、企業IT部門的安全技術員、系統管理員和網絡管理員。
(2)、企業中每個部門的主要負責人。
(3)、為此項目指定一個總的企業內部負責人。
(4)、加密產品提供商的技術人員或第三方網絡和防火墻方面的專家。
制定數據加密項目:確定基礎設施的整合任務
我們應當花一定的時間和資源來決定如何將數據加密解決方案整合到當前的IT基礎設施當中。一個通常的數據加密方案可能需要改動的IT基礎設施可能包括:
(1)、防火墻和代理服務器的配置調整。
(2)、終端設備的備份和恢復過程的調整。
(3)、與Active Directory或其他企業目錄集成。
制定數據加密項目:為最終用戶分配資源,以及培訓支持
大多數數據加密解決方案需要計算機最終用戶的操作行為做一些改變,所以最終用戶有意抵制做出改變將給應用數據加密帶來新的風險。因此,我們應當分配資源和制定時間表來培訓用戶接受這種改變。還必需培訓一個數據加密解決方案的管理小組,用來作為企業的后期維護之用,以及在實施過程中參與實施。
制定數據加密項目:決定成功的目標是什么
我們必需為數據加密項目規定一個最終的標示成功的目標,這個目標可以作為項目是否已經實施成功的參考值。這也就給此數據加密項目做了一個具體的范圍限制,也為項目最后的管理做了一個參考坐標。
制定數據加密項目:決定如何加密
如果我們正在執行一個文件/文件夾或智能加密產品的數據加密解決方案,在使用之前,決定將采用什么樣的加密是一個非常重要的步驟。例如,如果我們可以部署一個智能化加密解決方案,將以下列的方式進行加密,可以由用戶自己決定加密的數據:
(1)、加密特定的文件類型(例如電子表格、數據庫、文件或臨時文件夾)。
(2)、加密一些具體應用程序產生的敏感數據,例如財務軟件、CRM和ERP。
(3)、針對某個具體的磁盤或可移動存儲設備。
(4)、只加密某個特定的用戶,例如一個系統中的多個用戶。
制定數據加密項目:驗證設計
我們必需驗證數據加密軟件在任何時候運行時都是非常可靠和正確的,這是至關重要的一個步驟。這樣,才能確定當某個包含有機密數據的設備丟失或被盜后,或者機密數據在網絡中傳輸時,就可以確定其中的數據是安全的不會造成機密外泄。為了達到這個目的,我們還應當做下列所示的這些工作:
(1)、在開始正常使用之前,應該有一個方法來驗證這些數據加密軟件已經安裝正確。而由用戶自己報告說他們已經在自己的計算機上安裝了數據加密軟件,或者你自己給用戶數據加密軟件的光盤由用戶自己安裝,這樣做都是不夠的。所有的事都必需我們自己親力親為,然后驗證,這樣才能百分之百確定。
(2)、我們還必需定時進行定期檢查,以確保沒有用戶繞過數據加密軟件進行操作。
(3)、還要確定所有的數據加密軟件都已經是最新的版本。
所有的這些信息應當記錄并存儲在一個中央服務器之上,并審計相關日志。在許多環境中這是被強制執行的。這樣才能確保數據加密軟件都是最新版本,并修補了所有的漏洞。同時這也要求數據加密軟件供應商提供這方面的資料。以確保數據加密軟件是最新的。
制定數據加密項目:用戶最小化權限設計
我們設計的數據加密解決方案應當使最終用戶只具有最小的操作權限。設計的方案除了提供警報功能,以及由最終用戶執行數據加密任務或更新軟件以外,其它的操作,例如用戶不能改變加密軟件的任何配置參數或加密方式,也不能改變連接到具體設備上的加密設備。
用戶不能通過Windows控制面板中的添加或刪除程序或其它方式來刪除加密軟件,也不能通過任務管理器或其它軟件來禁止加密軟件的運行,以及禁止加密軟件通過服務方式和自動運行方式自己運行。這些都是確保加密軟件任何時候都有用的最好方式,一定要嚴格執行。
【編輯推薦】
