自6月6日“棱鏡門”事件被曝光后， 引發(fā)大家對(duì)信息安全的深度思考，信息泄露防護(hù)也成為線上線下人們的熱議話題。而國內(nèi)企業(yè)，也更加重視了內(nèi)部機(jī)密信息的防護(hù)，不僅加強(qiáng)了網(wǎng)絡(luò)安全建設(shè)，在內(nèi)網(wǎng)信息上也紛紛部署加密系統(tǒng)。

從夏冰軟件的安全專家處，我們了解到，企業(yè)要卓有成效地部署加密系統(tǒng)，就必須從以下幾個(gè)方面入手，即：確定企業(yè)自身加密需求、企業(yè)加密軟件選型、加密軟件測試、加密軟件部署及加密軟件驗(yàn)收。

一、明確企業(yè)自身的加密需求

1、確定企業(yè)自身的加密需求

加密需求的確定是一個(gè)嚴(yán)密科學(xué)的過程，而不是頭腦發(fā)熱一時(shí)沖動(dòng)的結(jié)果，只有嚴(yán)格遵循一定的程序才能確保質(zhì)量。從提出初步需求到立項(xiàng)，再展開詳細(xì)的需求調(diào)研，通過這樣的流程可以幫助企業(yè)更清晰地了解自身的需求點(diǎn)。而調(diào)研內(nèi)容則包括存在哪些機(jī)密數(shù)據(jù)，這些數(shù)據(jù)存儲(chǔ)于哪些地方，數(shù)據(jù)流轉(zhuǎn)的方式有哪些、哪些人可以接觸這些數(shù)據(jù)等，了解得越清楚越有利于后面工作的開展。

2、對(duì)企業(yè)加密需求進(jìn)行合理地分類分級(jí)，以明確重點(diǎn)

并不是企業(yè)所有的加密需求點(diǎn)都處于同一個(gè)重要級(jí)別上，都需要采取同樣的防護(hù)力度。因此初步確定需求點(diǎn)后，要對(duì)其按輕重緩急進(jìn)行合理分類。需求是整個(gè)項(xiàng)目的基礎(chǔ)，對(duì)需求研究的越全面，越有利于項(xiàng)目的進(jìn)行。

3、努力贏得高層的支持，以保證項(xiàng)目順利進(jìn)行

夏冰軟件多年來都扎根于內(nèi)網(wǎng)安全，他們接觸過很多企業(yè)首席信息官、IT經(jīng)理等人，過去很多的最終失敗案例多數(shù)是沒有贏得足夠的高層支持，使得項(xiàng)目無法繼續(xù)進(jìn)行下去。夏冰軟件的安全專家也表示，近幾年這種情況劇減，反而是越來越多的高層直接參與到加密項(xiàng)目部署中，督促IT部門盡快落實(shí)，提高效率，加速防護(hù)企業(yè)內(nèi)網(wǎng)安全。

二、選擇適合企業(yè)自身的加密軟件

1、看加密技術(shù)是否穩(wěn)定可靠，保障系統(tǒng)正常運(yùn)行

一件好的武器，應(yīng)該在將防御性能發(fā)揮到極致的同時(shí)，將自身的風(fēng)險(xiǎn)系數(shù)降到最低。加密軟件作為信息泄露防護(hù)利器，必須保證穩(wěn)定可靠，能夠保障系統(tǒng)正常運(yùn)行，保證加密文件不會(huì)因?yàn)橄到y(tǒng)崩潰而遭到破壞。

2、看災(zāi)備方案是否足夠完善，以應(yīng)對(duì)各種意外情況發(fā)生

災(zāi)備機(jī)制是一個(gè)加密軟件是否值得信賴的重要考量標(biāo)準(zhǔn)。災(zāi)備方案足夠完善，才能夠應(yīng)對(duì)各種意外情況發(fā)生，確保加密軟件持續(xù)穩(wěn)定運(yùn)行，讓用戶無需擔(dān)心原文件的安全。

3、看適用場景是否全面，能全方位保護(hù)文件的安全

如果對(duì)企業(yè)數(shù)據(jù)的應(yīng)用場景進(jìn)行劃分的話，可以粗略劃分為四大部分，分別是文件內(nèi)部流轉(zhuǎn)、內(nèi)部應(yīng)用服務(wù)器的集中管理、外發(fā)管理、離線辦公。適用場景全面才能夠全面保護(hù)文件的安全，確保能夠?qū)ζ髽I(yè)做到面面俱到的信息泄露防護(hù)。

4、看加密軟件功能是否豐富實(shí)用，實(shí)現(xiàn)精細(xì)化管理

加密軟件要想收到良好的效果，必須考慮精細(xì)化管理。如果對(duì)所有數(shù)據(jù)設(shè)置一種安全策略，那必將對(duì)業(yè)務(wù)的開展造成巨大的阻力，結(jié)果多數(shù)就保效率棄安全，無法持續(xù)進(jìn)行。因此企業(yè)在選擇加密軟件時(shí)要確保其功能足夠豐富與實(shí)用，能夠滿足自己的實(shí)際需要。

5）綜合考量加密廠商實(shí)力，確定是否值得信賴。

考量產(chǎn)品的同時(shí)還需綜合考量廠商實(shí)力，即使產(chǎn)品功能滿足需求，若企業(yè)的實(shí)踐經(jīng)驗(yàn)或者服務(wù)能力不足，也會(huì)導(dǎo)致加密項(xiàng)目受阻甚至失敗。

三、進(jìn)行充分的加密軟件測試

1、由點(diǎn)至面，循序漸進(jìn)

測試過程中可能會(huì)產(chǎn)生很多問題，可能一時(shí)之間難以找到，如果一開始就進(jìn)行大面積測試，一旦問題出現(xiàn)很可能使測試人員無法應(yīng)對(duì)，產(chǎn)生不良情緒等。因此需由點(diǎn)至面，按照功能測試-小范圍測試-擴(kuò)大測試的順序進(jìn)行，才會(huì)更有效率。

2、全面考查

測試中除了考查產(chǎn)品功能是否達(dá)標(biāo)外，還要著重考查產(chǎn)品穩(wěn)定性、易用性、與其他程序的兼容性等。產(chǎn)品不穩(wěn)定，問題頻繁產(chǎn)生，企業(yè)需花費(fèi)大量的時(shí)間去維護(hù)；產(chǎn)品易用性差，會(huì)增加用戶的操作難度，影響工作效率；產(chǎn)品兼容性差更可能隨時(shí)出現(xiàn)意不想到的問題。測試時(shí)應(yīng)多設(shè)想實(shí)際的工作情景，以檢驗(yàn)產(chǎn)品的適用性。

3、及時(shí)反饋

夏冰軟件在實(shí)踐中發(fā)現(xiàn)，企業(yè)部署加密項(xiàng)目的過程中若與廠商的互動(dòng)較少，則容易導(dǎo)致問題不能被及時(shí)發(fā)現(xiàn)與解決，甚至?xí)痣p方不必要的誤會(huì)。因此夏冰軟件建議企業(yè)應(yīng)嚴(yán)格檢查效果、及時(shí)反饋問題，多與安全廠商溝通、反饋問題。

四、制定可行的企業(yè)加密軟件部署方案

1、特別注重部署前的調(diào)研與方案制定，盡量減少?zèng)_突

在部署加密軟件之前，企業(yè)應(yīng)了解各個(gè)部門的想法與需求，并制定合理業(yè)務(wù)處理流程，比如部署的步驟、方式、人員分工、網(wǎng)絡(luò)拓?fù)鋱D等，對(duì)于可能出現(xiàn)的問題都提前準(zhǔn)備應(yīng)對(duì)方案，這樣可以減少?zèng)_突，有備無患。

2、逐步進(jìn)行：客戶端安裝-分區(qū)域啟用-擴(kuò)大至全公司

即使測試很順利，在真正部署時(shí)也不可大意，因?yàn)檎l也無法保證不會(huì)出現(xiàn)意外情況。因此小心謹(jǐn)慎，循序漸進(jìn)，敏感觀察與發(fā)現(xiàn)是絕對(duì)必要的。

3、誠懇溝通，最大程度地贏得員工理解與配合

非IT部門的人員才是使用加密軟件的主體，他們的態(tài)度將決定加密軟件是否能夠持續(xù)有效地運(yùn)行。贏得他們的理解不僅是保證安全策略的順利執(zhí)行，也是為了避免不必要的內(nèi)耗。

五、檢驗(yàn)加密軟件的部署效果

1、選用值得信賴的檢驗(yàn)人員，保證效果的真實(shí)

客觀地說，檢驗(yàn)員的工作并不是任何人都可以托付。一個(gè)合格的檢驗(yàn)員，不僅需要專業(yè)的知識(shí)與技能，還需要正直的品質(zhì)。企業(yè)須認(rèn)真挑選值得信賴的人員，才能委以重任。

2、分階段驗(yàn)收，前一步通過再進(jìn)行下一步，步步為營，穩(wěn)扎穩(wěn)打

首先在部署的每一個(gè)小階段進(jìn)行驗(yàn)收，這樣做是為了化整為零，及時(shí)發(fā)現(xiàn)問題與解決。當(dāng)整個(gè)項(xiàng)目部署完成后，還需要從整體上對(duì)其效果檢驗(yàn)，以杜絕遺漏。另外夏冰軟件還特別提醒，企業(yè)信息防護(hù)是一個(gè)持續(xù)的過程，不是進(jìn)行一次策略設(shè)置后就不需要管理了。企業(yè)應(yīng)定期檢驗(yàn)策略的執(zhí)行效果，并不斷進(jìn)行調(diào)整，以保證其持續(xù)有效。

進(jìn)入6月以來，企業(yè)加密需求在直線上升，很多老客戶也來點(diǎn)要求添加加密模塊，增強(qiáng)企業(yè)內(nèi)部的安全系數(shù)。目前在信息泄露防護(hù)方面，使用加密軟件可以說是最直接有效的手段。

admin

收藏 海報(bào)分享