六、制定數(shù)據(jù)加密項(xiàng)目計(jì)劃和設(shè)計(jì)解決方案

為了確保項(xiàng)目的順利實(shí)施，應(yīng)該與其它大型的安全防范項(xiàng)目一樣，制定一個(gè)切實(shí)可行的數(shù)據(jù)加密計(jì)劃，減少在具體實(shí)施過(guò)程中不必要的錯(cuò)誤和麻煩，以及許多令人頭痛的問(wèn)題。因此，制定計(jì)劃需要注意以下問(wèn)題：

1.將文檔加密的目標(biāo)、需求和策略問(wèn)題做一個(gè)具體的文檔，確保制定的這些文檔很容易被受這個(gè)項(xiàng)目影響的管理者和用戶群體所理解；

2.規(guī)定文檔加密項(xiàng)目的范圍和限制，包括項(xiàng)目將耗費(fèi)多長(zhǎng)時(shí)間，需要投入多少成本，是否有足夠的人力資源實(shí)施該項(xiàng)目等內(nèi)容。如前所述，在預(yù)算和技術(shù)人員這兩個(gè)方面的限制因素將為我們選擇數(shù)據(jù)加密產(chǎn)品提供一個(gè)充分的理由；

3.如果企業(yè)技術(shù)人員充分，可以選擇自己解決文檔加密軟件的部署。否則。企業(yè)也可以決定是否需要得到安全廠商的支持，或者決定將此項(xiàng)目外包給第三方等；

4.大多數(shù)文檔加密解決方案需要計(jì)算機(jī)最終用戶的操作行為做一些改變，所以最終用戶有意抵制做出改變將給應(yīng)用數(shù)據(jù)加密帶來(lái)新的風(fēng)險(xiǎn)。因此，應(yīng)當(dāng)分配資源和制定時(shí)間表來(lái)培訓(xùn)用戶接受這種改變；

5.為數(shù)據(jù)加密項(xiàng)目規(guī)定一個(gè)最終的標(biāo)示成功的目標(biāo)，這個(gè)目標(biāo)可以作為項(xiàng)目是否已經(jīng)實(shí)施成功的參考值。這也就給此數(shù)據(jù)加密項(xiàng)目做了一個(gè)具體的范圍限制，也為項(xiàng)目最后的管理做了一個(gè)參考坐標(biāo)。這方面可以具體落實(shí)為一個(gè)測(cè)試、試用、實(shí)施和驗(yàn)收的整天方案；

6.使最終用戶只具有最小的操作權(quán)限。設(shè)計(jì)的方案除了提供警報(bào)功能，以及由最終用戶執(zhí)行數(shù)據(jù)加密任務(wù)或更新軟件以外，其它的操作，例如用戶不能改變加密軟件的任何配置參數(shù)或加密方式，也不能改變連接到具體設(shè)備上的加密設(shè)備。

七、組織測(cè)試

1.搭建模擬測(cè)試環(huán)境。一般來(lái)說(shuō)，加密軟件是C/S架構(gòu)的軟件，并具有B/S管理功能。在測(cè)試之前，根據(jù)加密軟件的特點(diǎn)，搭建一個(gè)標(biāo)準(zhǔn)的C/S架構(gòu)體系，準(zhǔn)備對(duì)加密進(jìn)行測(cè)試；

2.制訂測(cè)試方案。根據(jù)企業(yè)需求，結(jié)合選用的加密軟件，對(duì)軟件的測(cè)試制訂一個(gè)嚴(yán)格規(guī)范的測(cè)試方案。這是一個(gè)很重要的步驟，不可缺少。對(duì)加密軟件的功能性能、與企業(yè)系統(tǒng)的兼容性等進(jìn)行全面測(cè)試，需要按照計(jì)劃有步驟地進(jìn)行；

3.在模擬環(huán)境上開(kāi)始測(cè)試。測(cè)試一般有加密軟件廠商配合，雙方人員現(xiàn)場(chǎng)測(cè)試。。以確保這些加密產(chǎn)品是否能達(dá)到預(yù)期的目的。以便能確定最佳的加密做法是什么，以及檢驗(yàn)這些加密軟件與系統(tǒng).應(yīng)用程序及硬件之間的兼容情況，檢驗(yàn)加密軟件是否出現(xiàn)了不可預(yù)期的錯(cuò)誤；

4.對(duì)測(cè)試結(jié)果進(jìn)行總結(jié)，并形成測(cè)試總結(jié)報(bào)告。

八、試用加密軟件

通過(guò)模擬測(cè)試，對(duì)加密軟件的性能功能已經(jīng)有了初步了解，就可以進(jìn)入試用期。一般來(lái)說(shuō)，試用期7天足以完全了解軟件運(yùn)行情況。經(jīng)過(guò)試用，能驗(yàn)證加密軟件是否滿足企業(yè)需求。我們還必需定時(shí)進(jìn)行定期檢查，以確保沒(méi)有用戶繞過(guò)數(shù)據(jù)加密軟件進(jìn)行操作。所有的這些信息應(yīng)當(dāng)記錄并存儲(chǔ)在一個(gè)中央服務(wù)器之上，并審計(jì)相關(guān)日志；確保數(shù)據(jù)加密軟件都是最新版本，并修補(bǔ)了所有的漏洞。要求數(shù)據(jù)加密軟件供應(yīng)商提供各種操作文檔及最新版本的加密軟件。

九、部署加密軟件

通過(guò)試用，企業(yè)對(duì)加密軟件應(yīng)該有了全方位的了解，就可以在全公司實(shí)施加密軟件了?？梢园凑諒S家提供的實(shí)施計(jì)劃，分部門(mén)有節(jié)奏地進(jìn)行。

十、進(jìn)行全面總結(jié)，并制定企業(yè)商業(yè)機(jī)密保護(hù)制度

三分技術(shù)，七分管理。這是所有信息安全保護(hù)的基本原則。在全面部署實(shí)施加密軟件之后，必須建立一個(gè)科學(xué)有效的商業(yè)機(jī)密保護(hù)制度，從技術(shù)和管理兩個(gè)方面來(lái)實(shí)現(xiàn)對(duì)商業(yè)機(jī)密的保護(hù)。

以上是中小企業(yè)全面保護(hù)商業(yè)機(jī)密的標(biāo)準(zhǔn)流程。在實(shí)踐中，企業(yè)可以根據(jù)具體情況對(duì)某些步驟稍作調(diào)整。從現(xiàn)有市場(chǎng)的情況來(lái)看，只有少數(shù)加密軟件廠商才建立了規(guī)范的操作流程，多數(shù)加密軟件廠商出于種種目的，故意簡(jiǎn)化流程深圳省略重要步驟，其結(jié)果很可能導(dǎo)致加密軟件項(xiàng)目的失敗。

admin

收藏 海報(bào)分享