中小企業商業機密加密保護的標準流程

多數企業已經認識到，商業機密洩露將會給企業帶來直接的經濟損失。因此，企業紛紛採用各種手段對商業機密進行保護。過去常用的保護手段如靜態檔案加密、防水牆、內網監控管理軟體、電子文件保險櫃等等，都從不同程度上保護了企業的核心資料。從當前的技術發展情況看，實施企業級加密軟體是目前最受推崇，應用最廣，效果最佳的解決辦法。

　　但是，當前很多中小企業在對資料安全的重要認識、資訊保安產品的瞭解、企業自身特點等多方面不是很清晰的情況下，就倉促上馬加密類產品，結果不甚理想，沒有真正實現企業資料洩露防護的目標。主要表現在以下幾個方面：

1. 對文件和資料安全的一些常識和理論沒有了解；
2. 對市面上各種文件加密產品的優勢特點及侷限性不瞭解；
3. 中小企業自身欠缺足夠的技術實力和技術人員來選型和實施加密軟體產品；
4. 沒有按照科學合理的流程來對加密軟體進行測試、試用、和部署；

　　其實，作為中小企業的一種產品級的功能性工具，加密軟體已經逐漸成為中小企業的標準配置。只要按照一些標準的資訊保安管理流程來考察、試用和實施，就可以實現資料安全的目標。

　　對中小企業來說，參照一些資訊保安管理規範來選擇和實施加密軟體產品，是有益的。但是要掌握冗長繁雜的資訊保安管理標準，對中小企業技術人員來說，是一件頭疼的事情，本人經過對國際常用的資訊保安管理標準如BS7799（ISO17799）等標準的梳理和歸納，可以總結為以下十個基本步驟，按照這十個基本步驟，足以完成對文件加密軟體的選型實施，並有助於提高成功實施的概率。

　　一、成立商業機密保護管理小組

　　在企業裡，誰最關心企業核心機密的保護？自然是老闆。商業機密作為公司核心資產，首先應該得到老闆的重視，這是一個從上到下的實施工程，不是一個普通的軟體實施。因此，企業核心商業機密保護，最好是有老闆牽頭。老闆的重視，往往能起到統籌全域性的作用，能對專案的順利進展起到決定性的作用。

　　除了老闆要重視商業機密保護，IT部門負責人也有則無旁貸的義務來組織整個專案具體的計劃和實施。一個典型的資料加密專案會涉及企業中的多個部門，我們應當為此建立一個專案團隊並確定相關成員。商業機密保護管理小組成員應當包括：

1. 為專案指定一個內部總負責人；
2. 企業IT部門的安全技術員、系統管理員和網路管理員；
3. 企業中每個部門的主要負責人；
4. 加密產品提供商的技術人員或第三方網路和防火牆方面的專家；
5. 具體負責執行的人員，來收集整理各種資料，編寫各種相關文件等等。

　　二、對商業機密資產進行分析和總結

　　如果在應用資料加密之前沒有確定明確的保護物件，分析企業中需要應用資料加密的地方，那麼，資料加密就無從談起。 就是要明確企業哪些方面需要保護，也就是確定加密的目標和需要加密的位置。通常，需要清楚下列所示的這些內容：

1. 公司現有的商業機密都有哪些檔案？這些機密資訊應當包括客戶和員工資訊、財務資訊、商業計劃、研究報告、軟體程式碼，以及產品設計圖紙和文件，專案招標計劃和設計圖紙等等；
2. 機密資訊會產生或者儲存在哪些終端、伺服器、工作站，或筆記本、U盤等可移動儲存裝置上？
3. 上述檔案是以何種檔案型別的形式儲存在各類儲存裝置上的什麼位置？檔案型別包括電子表格、Word文件、資料庫檔案、幻燈片、HTML檔案和電子郵件（E-Mail），以及原始碼和可執行檔案等形式；
4. 哪些使用者的桌上型電腦、工作站、筆記本需要保護？例如，重要的管理人員.銷售人員和技術顧問，還是包括所有員工、合作伙伴和承包商；
5. 企業中哪些使用者在使用膝上型電腦等可移動儲存裝置？以及機密資訊是否會被複雜到USB裝置或其它可移動媒介中？
6. 企業中哪些員工會使用電子郵件（E-Mail）？或者是即時通訊工具MSN、QQ等？這些電子郵件都從哪些工作站或膝上型電腦上傳送的？
7. 企業區域網中共享檔案伺服器上的機密資料是否安全？
8. 企業是否有遠端辦公室，遠端辦公室與企業總部之間的遠端連線是否包含機密資訊？
9. 企業員工進行WEB瀏覽等網路通訊是否包含機密資訊？
通過對企業現有的商業機密型別、產生和儲存的位置、檔案格式、洩密途徑等等進行梳理，是進行下一步工作的基礎。

　　三、根據分域安全理論，對商業機密進行分類

　　針對商業機密保護，目前最領先的理論是“分域安全理論”。經過上一步驟對企業的保護物件進行了梳理，結合分域安全理論，就可以找到相對應的解決辦法。

　　所謂分域安全模式，是相對於傳統的分層安全模式而言的。分域安全指的是把網路分為磁碟、終端、埠、伺服器、區域網等等工作域，在每一個工作域都採用對應的安全策略。不論是在辦公室的主機、工作站、伺服器，還是在移動辦公、家庭辦公的膝上型電腦、移動儲存裝置，都可以有一個相對應的保護工具，用以提高個人資料的安全性。

　　換句話說，這種安全模式是基於這樣的理論：在網路內部可以找到一種通用的解決辦法來處理各個區域的安全問題，但是對於任何一個個性的區域，都能有結合個性特點的細分工具來解決個性問題。
根據文件和資料的生命週期，可以把文件基本分為建立、流轉、使用、修改、歸檔、銷燬等幾個階段。根據商業機密的全生命週期，可以根據其儲存和流轉的位置和途徑進行分類，把相對應的工作域分為：磁碟、終端、埠、伺服器、區域網、移動儲存裝置、外埠工作域和外部網路等。

　　通過分域安全理論，對中小企業來講，基本上可以根據企業的核心機密型別分為兩大類，一種是設計、研發類為主的核心機密資訊，另一種是財務、營銷、管理等部門產生的核心機密資訊。

　

　　四、選擇加密軟體技術和產品

　第一種武器：透明加密軟體

這裡指的加密軟體，不是網路上可以隨意下載的那種免費的個人級資料安全加密軟體。我們通常可以在各種軟體下載網站，下載諸如資料夾加密超級大師、加密王之類的加密軟體，這些軟體只是“偽加密”，很容易被菜鳥級的計算機使用者破解，而且經常發生檔案被破壞無法恢復，非常不安全。

企業使用者裡的研發部門、設計部門等核心部門，每天產生大量的原始碼、平面設計圖、電路設計圖、3D圖、或者是音訊視訊檔案，這些檔案需要在產生、使用、儲存和流轉過程中進行加密處理。這就需要使用企業級“透明加密軟體”。這種軟體在國內已經相當成熟，以安華金和資料庫保險箱系統軟體等為代表。

 

　　安華金和資料庫保險箱系統(簡稱DBCoffer) 是一款Oracle資料庫安全加固系統，該產品能夠實現Oracle的資料加密儲存、許可權控制增強和敏感資料訪問審計。DBCoffer可以防止繞過防火牆的外部資料攻擊、來自於內部的高許可權使用者的資料竊取、以及由於磁碟、磁帶失竊等引起的資料洩密。

　　通過DBCoffer使用者可以對Oracle資料庫應用系統中的敏感資料，進行資料加密；並在現有的Oracle資料庫訪問控制之上，派生資料安全管理員（DSA）進行加密資料的加密和脫密許可權控制，有效防止資料庫特權使用者訪問敏感資料；同時對安全行為和敏感資訊的訪問進行審計追蹤。

　　當前主流Oracle資料庫安全加固方案包括前置代理、應用加密和Oracle自帶加密選件TDE。前置代理需要應用大幅改造、大量Oracle核心特性無法使用；應用加密必須由應用實現資料加密，加密資料無法檢索，已有系統無法透明移植；TDE不能整合國產加密演算法，不符合國家密碼政策。因此這幾種方案一直未能得到有效推廣。

　　DBCoffer通過獨創的、已經申請專利的多層檢視技術和密文索引等核心技術，突破了傳統Oracle安全增強產品的技術瓶頸，可以實現資料高度安全、應用完全透明、密文高效訪問。

　　DBCoffer當前支援Windows、Linux、Unix等多個平臺，提供基於硬體伺服器的企業版，和純軟體的標準版，滿足使用者的多種部署需求。DBCoffer相容主流加密演算法和國產加密裝置，提供可擴充套件的加密裝置和加密演算法介面。DBCoffer的功能集與國際資料庫加密增強產品相當，效能上領先5倍以上。DBCoffer產品已經在若干個使用者處得到試用和應用，使用者面涉及軍隊、軍工、機要、企業和網際網路。

 

第二種武器：文件許可權管理軟體

對於個人級的使用者，可以利用Windows Rights Management Services(許可權管理服務，簡稱 RMS)，以及Office版本中的資訊許可權管理(Information Rights Management，IRM)來防止使用者利用轉發、複製等手段濫用你發給他們的電子郵件訊息和Office文件(主要是Word、 Excel、 PowerPoint)。國外企業通常所用的DRM(Data Rights Management)手段大抵如此。對企業級的使用者來說，這種許可權管理是相當業餘的，而且最大的問題是，這種許可權管理是沒有對資料本身進行高強度的加密。採用這樣的許可權管理，做不到真正細粒度的許可權劃分，是一種非常粗放的管理手段，資料安全難以得到保護。

第三種武器：文件外發管理系統

對那些經常需要把文件傳送給合作伙伴或者是出差人員的企業來說，如果把文件發給外部單位之後，就放任不管，必然有造成重大機密洩露的風險。為了防範文件外發之後造成洩密的風險，採用文件外發管理系統是目前最有效的資料安全。

目前這種文件外發管理軟體產品比較多。億賽通文件外發管理系統是比較出色的一種。億賽通文件外發管理系統是針對客戶的重要資訊或核心資料外發安全需求設計的一款外發安全管理解決方案。當客戶要將重要文件外發給客戶的出差人員、合作伙伴或客戶時，應用文件外發管理程式打包生成外發檔案發出。當外發檔案開啟時，需通過使用者身份認證，方可閱讀檔案。同時，外發檔案可以限定接收者的閱讀次數和使用時間等細粒度許可權，從而有效防止了客戶重要資訊被非法擴散。

 

　　五、制定資料加密專案計劃和設計解決方案

　　為了確保專案的順利實施，應該與其它大型的安全防範專案一樣，制定一個切實可行的資料加密計劃，減少在具體實施過程中不必要的錯誤和麻煩，以及許多令人頭痛的問題。因此，制定計劃需要注意以下問題：

　　1.將文件加密的目標、需求和策略問題做一個具體的文件，確保制定的這些文件很容易被受這個專案影響的管理者和使用者群體所理解；

　　2.規定文件加密專案的範圍和限制，包括專案將耗費多長時間，需要投入多少成本，是否有足夠的人力資源實施該專案等內容。如前所述，在預算和技術人員這兩個方面的限制因素將為我們選擇資料加密產品提供一個充分的理由；

　　3.如果企業技術人員充分，可以選擇自己解決文件加密軟體的部署。否則。企業也可以決定是否需要得到安全廠商的支援，或者決定將此專案外包給第三方等；

　　4.大多數文件加密解決方案需要計算機終端使用者的操作行為做一些改變，所以終端使用者有意抵制做出改變將給應用資料加密帶來新的風險。因此，應當分配資源和制定時間表來培訓使用者接受這種改變；

　　5.為資料加密專案規定一個最終的標示成功的目標，這個目標可以作為專案是否已經實施成功的參考值。這也就給此資料加密專案做了一個具體的範圍限制，也為專案最後的管理做了一個參考座標。這方面可以具體落實為一個測試、試用、實施和驗收的整天方案；

　　6.使終端使用者只具有最小的操作許可權。設計的方案除了提供警報功能，以及由終端使用者執行資料加密任務或更新軟體以外，其它的操作，例如使用者不能改變加密軟體的任何配置引數或加密方式，也不能改變連線到具體裝置上的加密裝置。

　　六、組織測試

　　1.搭建模擬測試環境。一般來說，加密軟體是C/S架構的軟體，並具有B/S管理功能。在測試之前，根據加密軟體的特點，搭建一個標準的C/S架構體系，準備對加密進行測試；

　　2.制訂測試方案。根據企業需求，結合選用的加密軟體，對軟體的測試製訂一個嚴格規範的測試方案。這是一個很重要的步驟，不可缺少。對加密軟體的功能效能、與企業系統的相容性等進行全面測試，需要按照計劃有步驟地進行；

　　3.在模擬環境上開始測試。測試一般有加密軟體廠商配合，雙方人員現場測試。。以確保這些加密產品是否能達到預期的目的。以便能確定最佳的加密做法是什麼，以及檢驗這些加密軟體與系統.應用程式及硬體之間的相容情況，檢驗加密軟體是否出現了不可預期的錯誤；

　　4.對測試結果進行總結，並形成測試總結報告。

　　七、試用加密軟體

　　通過模擬測試，對加密軟體的效能功能已經有了初步瞭解，就可以進入試用期。一般來說，試用期7天足以完全瞭解軟體執行情況。經過試用，能驗證加密軟體是否滿足企業需求。我們還必需定時進行定期檢查，以確保沒有使用者繞過資料加密軟體進行操作。所有的這些資訊應當記錄並儲存在一箇中央伺服器之上，並審計相關日誌；確保資料加密軟體都是最新版本，並修補了所有的漏洞。要求資料加密軟體供應商提供各種操作文件及最新版本的加密軟體。

　　八、部署加密軟體

　　通過試用，企業對加密軟體應該有了全方位的瞭解，就可以在全公司實施加密軟體了。可以按照廠家提供的實施計劃，分部門有節奏地進行。

　　九、進行全面總結，並制定企業商業機密保護制度

　　三分技術，七分管理。這是所有資訊保安保護的基本原則。在全面部署實施加密軟體之後，必須建立一個科學有效的商業機密保護制度，從技術和管理兩個方面來實現對商業機密的保護。

　　以上是中小企業全面保護商業機密的標準流程。在實踐中，企業可以根據具體情況對某些步驟稍作調整。從現有市場的情況來看，只有少數加密軟體廠商才建立了規範的操作流程，多數加密軟體廠商出於種種目的，故意簡化流程深圳省略重要步驟，其結果很可能導致加密軟體專案的失敗。

 

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/25496391/viewspace-691781/，如需轉載，請註明出處，否則將追究法律責任。