WatchStor.com — 领先的中文存储网络媒体 | 51CTO旗下网站

评测导购 > 数据保护 > 正文
数据加密应当遵循法规
作者: 佚名 2009-11-07 13:23 【Watchstor.com】

数据的依赖性在日常生活与工作中显得越来越严重,如果在应用数据加密之前没有确定明确的目标,分析企业中需要应用数据加密的地方,那么,数据加密就无从谈起。

一、确定加密目标

首先,就是要明确企业网络中哪些方面需要使用数据加密,也就是确定加密的目标和需要加密的位置。通常,我只需要搞清楚下列所示的这些内容,加密的目标也就找到了:

1、有哪些机密信息会出现在服务器、工作站、笔记本等可移动存储设备或手持智能设备上?这些机密信息应当包括客户和雇员信息、财务信息、商业计划、研究报告、软件代码,以及产品设计图纸和文档,项目招标计划和设计图纸等等。

2、上述这些机密信息是以什么文件类型的形式保存在各类存储设备上的什么位置?文件类型包括电子表格、Word文档、数据库文件、幻灯片、HTML文件和电子邮件(E-Mail),以及文件代码和可执行文件等形式。

3、哪些用户的工作站、笔记本需要保护?例如,重要的管理人员、销售人员和技术顾问,还是包括所有雇员、合作伙伴和承包商。

4、企业中哪些用户在使用笔记本电脑等可移动存储设备?例如,管理人员、合作伙伴或供应商。以及机密信息是否会被复杂到USB设备或其它可移动媒介中?

5、企业中哪些员工会使用电子邮件(E-Mail)?这些电子邮件都从哪些工作站或笔记本电脑上发送的?

6、企业局域网中传输的机密数据是否安全?

7、企业是否有远程办公室,远程办公室与企业总部之间的远程连接是否包含机密信息?

8、企业员工进行WEB浏览等网络通信是否包含机密信息?

上述所有的机密信息和机密信息所存在的位置都必需通过应用数据加密来保护数据的机密性。

二、应当遵守的法规

企业还应当明白制定的数据加密解决方案应当遵守当地的相应数据保护法规,以满足当地审计部门的要求。例如,我国今年7月1日即将实施的《企业内部控制基本规范》就要求国内相关企业必需保护机密数据的安全。

如果我国的企业已经在美国上市,那么还必需遵守美国制定的萨班斯法案。因此,我们制定的数据加密解决方案还应当提示是根据什么样的加密标准规则来执行的,还应当遵守什么样的加密密钥分配和管理方法。

制定后的数据加密解决方案可能要在企业内部强制执行,而对于这个新制定的企业内部规章政策,企业必需对企业员工进行说明此政策推行的理由,表明不是为了限制某几个人的访问权限,也不是某些IT安全技术人员本身的安全偏执行为而临时决定的。

三、了解数据加密的局限性

在使用数据加密技术之前,我们还有必要来了解一下数据加密的局限性也是同样重要的。毕竟数据加密技术并不是解决数据安全的灵丹妙药。

数据加密技术能保护被盗或丢失设备上的数据,以及在网络中传输的数据的机密性,但是它并不能限制企业内部员通过电子邮件、即时聊天工具等向外发送这些机密信息。也不能阻止黑客或文件共享程序对外公开这些机密信息。更不能防止数据被意外删除、损坏和丢失。

因此,我们还必需为保护企业数据安全部署其它安全产品,例如防火墙、企业权限管理、以及数据备份和灾难恢复等安全措施。

要知道的是,数据加密即可以单独使用,也可以与其它安全防范技术同时使用。数据加密是所有安全防范技术中最基础的技术之一,有许多安全防范产品当中都嵌入了数据加密功能。但这些安全产品的加密功能往往不如人意,还是得部署独立的数据加密解决方案才行。

【编辑推荐】

  1. AdvancedDisk提高磁盘备份效率
  2. 业务持续计划的保障措施
  3. Retrospect Express软件简化小型企业网络管理
  4. 磁带加密技术为你保障数据安全
  5. 重复数据删除解决方案的标准评定

标签:数据保护 存储资源管理 

了不起的IT经理
LecVideo
论坛与活动