随着互联网的高速发展,多数企业已经认识到,商业机密泄露将会给企业带来直接的经济损失。因此,企业纷纷采用各种手段对商业机密进行保护。从当前的技术发展情况看,实施企业级加密软件是目前最受推崇,应用最广,效果最佳的解决办法。

但是,当前很多中小企业在对数据安全的重要认识、信息安全产品的了解、企业自身特点等多方面不是很清晰的情况下,就仓促上马加密类产品,结果不甚理想,没有真正实现企业数据泄露防护的目标。主要表现在以下几个方面:

1.对文档和数据安全的一些常识和理论没有了解;

2.对市面上各种文档加密产品的优势特点及局限性不了解;

3.中小企业自身欠缺足够的技术实力和技术人员来选型和实施加密软件产品;

4.没有按照科学合理的流程来对加密软件进行测试、试用、和部署;

其实,作为中小企业的一种产品级的功能性工具,加密软件已经逐渐成为中小企业的标准配置。只要按照一些标准的信息安全管理流程来考察、试用和实施,就可以实现数据安全的目标。

对中小企业来说,参照一些信息安全管理规范来选择和实施加密软件产品,是有益的。但是要掌握冗长繁杂的信息安全管理标准,对中小企业技术人员来说,是一件头疼的事情,本人经过对国际常用的信息安全管理标准如BS7799(ISO17799)等标准的梳理和归纳,可以总结为以下十个基本步骤,按照这十个基本步骤,足以完成对文档加密软件的选型实施,并有助于提高成功实施的概率。

一、成立商业机密保护管理小组

在企业里,谁最关心企业核心机密的保护?自然是老板。商业机密作为公司核心资产,首先应该得到老板的重视,这是一个从上到下的实施工程,不是一个普通的软件实施。因此,企业核心商业机密保护,最好是有老板牵头。老板的重视,往往能起到统筹全局的作用,能对项目的顺利进展起到决定性的作用。

除了老板要重视商业机密保护,IT部门负责人也有则无旁贷的义务来组织整个项目具体的计划和实施。一个典型的数据加密项目会涉及企业中的多个部门,我们应当为此建立一个项目团队并确定相关成员。商业机密保护管理小组成员应当包括:

1.为项目指定一个内部总负责人;

2.企业IT部门的安全技术员、系统管理员和网络管理员;

3.企业中每个部门的主要负责人;

4.加密产品提供商的技术人员或第三方网络和防火墙方面的专家;

5.具体负责执行的人员,来收集整理各种资料,编写各种相关文档等等。

二、对商业机密资产进行分析和总结

如果在应用数据加密之前没有确定明确的保护对象,分析企业中需要应用数据加密的地方,那么,数据加密就无从谈起。 就是要明确企业哪些方面需要保护,也就是确定加密的目标和需要加密的位置。通常,需要清楚下列所示的这些内容:

1.公司现有的商业机密都有哪些文件?这些机密信息应当包括客户和员工信息、财务信息、商业计划、研究报告、软件代码,以及产品设计图纸和文档,项目招标计划和设计图纸等等;

2.机密信息会产生或者保存在哪些终端、服务器、工作站,或笔记本、U盘等可移动存储设备上?

3.上述文件是以何种文件类型的形式保存在各类存储设备上的什么位置?文件类型包括电子表格、Word文档、数据库文件、幻灯片、HTML文件和电子邮件(E-Mail),以及源代码和可执行文件等形式;

4.哪些用户的台式机、工作站、笔记本需要保护?例如,重要的管理人员.销售人员和技术顾问,还是包括所有员工、合作伙伴和承包商;

5.企业中哪些用户在使用笔记本电脑等可移动存储设备?以及机密信息是否会被复杂到USB设备或其它可移动媒介中?

6.企业中哪些员工会使用电子邮件(E-Mail)?或者是即时通讯工具MSN、QQ等?这些电子邮件都从哪些工作站或笔记本电脑上发送的?

7.企业局域网中共享文件服务器上的机密数据是否安全?

8.企业是否有远程办公室,远程办公室与企业总部之间的远程连接是否包含机密信息?

9.企业员工进行WEB浏览等网络通信是否包含机密信息?

通过对企业现有的商业机密类型、产生和保存的位置、文件格式、泄密途径等等进行梳理,是进行下一步工作的基础。

三、根据分域安全理论,对商业机密进行分类

针对商业机密保护,目前最领先的理论是“分域安全理论”。经过上一步骤对企业的保护对象进行了梳理,结合分域安全理论,就可以找到相对应的解决办法。

所谓分域安全模式,是相对于传统的分层安全模式而言的。分域安全指的是把网络分为磁盘、终端、端口、服务器、局域网等等工作域,在每一个工作域都采用对应的安全策略。不论是在办公室的主机、工作站、服务器,还是在移动办公、家庭办公的笔记本电脑、移动存储设备,都可以有一个相对应的保护工具,用以提高个人资料的安全性。

换句话说,这种安全模式是基于这样的理论:在网络内部可以找到一种通用的解决办法来处理各个区域的安全问题,但是对于任何一个个性的区域,都能有结合个性特点的细分工具来解决个性问题。

根据文档和数据的生命周期,可以把文档基本分为创建、流转、使用、修改、归档、销毁等几个阶段。根据商业机密的全生命周期,可以根据其存储和流转的位置和途径进行分类,把相对应的工作域分为:磁盘、终端、端口、服务器、局域网、移动存储设备、外埠工作域和外部网络等。

通过分域安全理论,对中小企业来讲,基本上可以根据企业的核心机密类型分为两大类,一种是设计、研发类为主的核心机密信息,另一种是财务、营销、管理等部门产生的核心机密信息。