摘要：一般而言，中小企業(yè)發(fā)生數(shù)據(jù)泄露事件的一個(gè)主要原因，是他們不知道自己的敏感信息和機(jī)密商業(yè)信息位于網(wǎng)絡(luò)或企業(yè)系統(tǒng)中的位置。由于缺乏這種了解，加上數(shù)據(jù)存儲(chǔ)方面的控制措施不到位，數(shù)據(jù)泄露變成了重大威脅。因而，加密方法和加密軟件成為人們關(guān)注的問題。

關(guān)鍵詞：信息安全；加密方法；加密軟件

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)19-30003-01

1 正確認(rèn)識(shí)中小企業(yè)信息安全重要性

信息時(shí)代，企業(yè)的正常運(yùn)作離不開信息資源的支持，這包括企業(yè)的經(jīng)營計(jì)劃、知識(shí)產(chǎn)權(quán)、生產(chǎn)工藝、流程配方、方案圖紙、客戶資源以及各種重要數(shù)據(jù)等，這些都是企業(yè)全體員工努力拼搏、刻苦鉆研、殫精竭慮、長期積累下來的智慧結(jié)晶，是企業(yè)發(fā)展的方向和動(dòng)力，關(guān)乎著企業(yè)的生存與發(fā)展，企業(yè)的重要信息一旦被泄露會(huì)使企業(yè)頓失市場競爭優(yōu)勢，甚至?xí)馐軠珥斨疄?zāi)。因此，企業(yè)要保持健康可持續(xù)性發(fā)展，信息安全是基本的保證之一。

2 危害中小企業(yè)信息安全的罪魁禍?zhǔn)?/p>

在媒體的宣傳下，病毒、木馬、蠕蟲、黑客已經(jīng)成為危害信息安全的罪魁禍?zhǔn)?，但是?jù)信息專家論證，對(duì)計(jì)算機(jī)系統(tǒng)造成重大破壞的往往不是它們，而是組織內(nèi)部人員有意或無意對(duì)信息的窺探或竊取。未來安全問題不再是過去簡簡單單的一個(gè)病毒或者一個(gè)黑客，它將朝著更多元化的方向發(fā)展，對(duì)于中小企業(yè)而言，無論是數(shù)據(jù)失竊、郵件泄密、打印泄密、還是網(wǎng)絡(luò)癱瘓，也許都將是一次徹底的毀滅。

3 哪些信息需要保密

一般而言，中小企業(yè)發(fā)生數(shù)據(jù)泄露事件的一個(gè)主要原因，是他們不知道自己的敏感信息和機(jī)密商業(yè)信息位于網(wǎng)絡(luò)或企業(yè)系統(tǒng)中的位置。由于缺乏這種了解，加上數(shù)據(jù)存儲(chǔ)方面的控制措施不到位，數(shù)據(jù)泄露變成了重大威脅。另外，這種危險(xiǎn)并不僅僅出現(xiàn)在企業(yè)的網(wǎng)絡(luò)上，還出現(xiàn)在員工和合作伙伴的筆記本電腦及其他便攜存儲(chǔ)設(shè)備上。許多組織越來越擔(dān)心遇到數(shù)據(jù)泄密事件。據(jù)調(diào)查分析，知識(shí)產(chǎn)權(quán)、商業(yè)機(jī)密信息、客戶及消費(fèi)者數(shù)據(jù)，以及員工數(shù)據(jù)成為面臨風(fēng)險(xiǎn)最大的四種數(shù)據(jù)，當(dāng)然 也是最需要保密的數(shù)據(jù)。一般而言，自主研發(fā)型的企業(yè)產(chǎn)品研發(fā)部門是最需要進(jìn)行電子數(shù)據(jù)加密的，而其他企業(yè)根據(jù)經(jīng)營特點(diǎn)的不同，也可能把營銷部門或財(cái)務(wù)部門等其他部門列為數(shù)據(jù)安全保護(hù)的重點(diǎn)部門。

4 如何選擇適合的加密方法

總的來說，目前市場上有如下幾種主流的加密方式：

一種是文件夾加密，主要是提供給單個(gè)用戶使用，對(duì)放置機(jī)密文件的文件夾進(jìn)行加密，打開時(shí)需要輸入密碼，此種加密軟件多為個(gè)人或軟件工作室制作，并不穩(wěn)定，建議慎重使用，一旦重要資料加密后無法打開問題就比較嚴(yán)重了。

第二種就是我們常說的透明加密，這種加密方式的特點(diǎn)在于：不影響正常工作，而密文一旦脫離加密環(huán)境就無法打開，可以說是當(dāng)前一種比較嚴(yán)密的數(shù)據(jù)保護(hù)方法。

第三種是USB接口加密，就是屏蔽USB設(shè)備或綁定USB存儲(chǔ)設(shè)備，對(duì)于綁定以外的USB設(shè)備無法識(shí)別。雖然這種方式不是嚴(yán)格意義上的數(shù)據(jù)加密，但因其原理簡單，對(duì)系統(tǒng)底層接觸較小，出問題的幾率比較小，所以應(yīng)用范圍也很廣泛。

對(duì)于企業(yè)用戶我們推薦使用第二種方式，第三種方式雖然也可以，但其硬盤上的資料為明文，一旦硬盤被竊用，或文件通過網(wǎng)絡(luò)的方式傳遞出去，也很容易造成泄密。從數(shù)據(jù)的嚴(yán)格安全性上考慮，可以選擇第二種和第三種加密方法同時(shí)使用。

5 如何選擇合適的加密軟件

那么如何選擇加密軟件，尤其是透明加密類型的軟件呢？首先，一定不要當(dāng)實(shí)驗(yàn)品。很多加密軟件公司都是剛剛起步，或者剛剛涉足數(shù)據(jù)加密領(lǐng)域，其產(chǎn)品雖可能與其他軟件公司的產(chǎn)品原理相同，功能類似，但其中的Bug一定很多。對(duì)于透明數(shù)據(jù)加密軟件，一旦出現(xiàn)問題，計(jì)算機(jī)上的文件都會(huì)無法打開，或者某個(gè)文件被破壞永久無法打開，這對(duì)正常工作的影響是很大的。所以，我們在選擇透明加密產(chǎn)品之前一定要弄清楚該公司此款軟件的研發(fā)時(shí)間，第一個(gè)版本的上市時(shí)間，目前的軟件版本，其客戶有哪些，并最好能對(duì)其客戶進(jìn)行電話或訪問調(diào)研。

其次，一定要考察好該公司的售后服務(wù)情況。對(duì)于此類軟件，在實(shí)際應(yīng)用過程中因?yàn)榄h(huán)境的不同都多多少少會(huì)有一些“水土不服”，這時(shí)良好的售后服務(wù)會(huì)給IT人員減輕很大的“心理”負(fù)擔(dān)。而且IT人員要多給軟件公司一些信心，一些比較少見的問題要給予足夠的時(shí)間進(jìn)行解決，畢竟此類軟件與系統(tǒng)底層接觸的比較多，可能出現(xiàn)的問題也會(huì)比較多。

再次，購買前一定要進(jìn)行一段時(shí)間的真實(shí)環(huán)境測試，一般的軟件商都會(huì)提供試用版，一定要進(jìn)行充分的試驗(yàn)，尤其是要注意，自己公司使用的工作軟件是否全部與該公司軟件兼容，如有個(gè)別不兼容，軟件公司是否有能力進(jìn)行相應(yīng)的升級(jí)開發(fā)予以解決。

本文的案例企業(yè)在選擇軟件時(shí)也進(jìn)行了長時(shí)間的測試，并且選擇了一家研發(fā)實(shí)力較強(qiáng)、售后服務(wù)較好的企業(yè)，購買了該公司5.0版本的透明加密產(chǎn)品，期間雖然也出現(xiàn)過多次問題，但軟件公司都及時(shí)解決了。

6 制定配套的安全措施

是不是選擇了一套比較好的透明加密軟件就可以高枕無憂了？當(dāng)然不是，任何單一的解決方案都是有漏洞的。透明加密軟件也不例外，這個(gè)“軟肋”就是軟件的解密端，任何部門也不能保證內(nèi)部的電子資料不向外傳遞，任何一款加密軟件也必然要有他的解密出口，這一出口就成了加密軟件的“軟肋”，不過，“軟肋”不是沒有辦法解決的，配合相應(yīng)的制度和策略就可以形成一套嚴(yán)密完整的解決方案。