“安全第一” 企業(yè)如何利用EFS加密數(shù)據(jù)

申請免費試用、咨詢電話：400-8352-114

安全無小事。對于企業(yè)來說，如何保障數(shù)據(jù)的安全，有時候比如何利用信息化技術提高辦公效率更加的重要。所以，隨著企業(yè)競爭的加劇，企業(yè)之間的競爭逐漸演化會信息的競爭，CIO又有了一個新的任務，就是如何最好的保證企業(yè)數(shù)據(jù)的安全，防止數(shù)據(jù)外泄給企業(yè)帶來損失。

對于這數(shù)據(jù)安全方面的內容，若要寫的話，恐怕可以寫一本萬科全書了。筆者今天在這里要談的，只是針對文件加密這一技術中的某一小塊內容，即在采用EFS文件加密系統(tǒng)過程中所需要注意的問題。

EFS (加密文件系統(tǒng)），其采用一種核心文件加密技術。加密了文件與文件夾之后，用戶可以像使用其它文件或者文件夾一樣使用它，也就是說，對于合法用戶來說，是透明的。但是丟與非法用戶來說，則就無法打開這些經(jīng)過EFS加密過的文件或者文件夾。故EFS技術可以很好的保障企業(yè)數(shù)據(jù)的安全性。如有用戶非法拷貝公司的機密文件，則其他用戶跟本打不開這個加密文件。EFS采用高級的標準加密算法實現(xiàn)透明的文件加密與解密過程。任何不擁有合法密鑰的個人或者程序都不能夠讀取加密的數(shù)據(jù)。

不過，任何一種有效的加密工具，若利用的不好的話，仍然會帶來潛在的危險。故，在使用EFS文件加密系統(tǒng)的時候，也需要了解一些注意事項。

一、 文件加密密鑰需要存檔，以防不時之需

從理論上來說，EFS加密技術依靠用戶的標識與密碼。若只要獲得用戶的標識與密碼之后，就可以破解這個文件。但是，從現(xiàn)實中來看，這往往是不可能的。也就是說，可能要獲得用戶的密碼容易，但是，若要獲得用戶的標識信息的話，則相對來說比較困難。因為這里指的用戶標識不是在系統(tǒng)登陸時的用戶名，而是這個用戶名在操作系統(tǒng)中所對應的一串數(shù)字代碼。這個數(shù)字代碼的話，是受到操作系統(tǒng)嚴格保護的。即使是最利害的攻擊者，很很難獲取用戶名對應的這個數(shù)字標識。而且，即使相同的用戶名，這個數(shù)字標識也是不同的。

這就產(chǎn)生了一個不得不注意的問題。當操作系統(tǒng)出現(xiàn)故障需要重新安裝時，由于新建用戶，即使用戶名相同，其用戶標示也是不同的。也就是說，其“用戶名”是不同的。此時，即使知道密碼，則原先加密過的文件，也無法打開了。

不久之前，還有個朋友向我求救。他說，他們企業(yè)中有個用戶采用了EFS加密文件。但是，后來由于他的電腦由于操作系統(tǒng)的分區(qū)出現(xiàn)了磁盤壞道，所以，不得不對壞道進行隔離，并且重新安裝了操作系統(tǒng)。但是，系統(tǒng)重新安裝之后，以前采用EFS機密的幾個文件打不開了。而且，他由于一時疏忽，也備份這個密鑰。問我有什么可以破解的方法？我搖了搖頭，只好說愛莫能助。雖然理論上可以利用電子字典等工具破解，但是，這個破解的話，即使現(xiàn)在世界上最好性能的計算機，有需要幾十年的時間才能夠破解。

故，對于企業(yè)用戶來說，為了應對這些不時之需，需要對這些加密密鑰進行獨立的備份。像現(xiàn)在筆者的做法就是，把每個用戶的用戶身份認證信息，包括加密密鑰，都被分到一個獨立的媒體設備上。如此的話，即使以后因為什么原因導致操作系統(tǒng)崩潰，仍然可以打開原有的EFS加密文件。

二、 網(wǎng)絡傳輸過程中的加密問題

若采用了EFS加密技術，加密后的文件，在網(wǎng)絡傳輸過程中，是否加密，則取決于具體的情形。

如用戶的文件是存儲在網(wǎng)絡文件服務器上，而這個服務器上這個用戶的文件夾采用了EFS技術進行加密。此時，就會產(chǎn)生一個問題，就是若客戶端需要使用這個文件時，在這個從服務器到客戶端傳輸?shù)倪^程中，文件是否加密的問題。

若用戶直接在客戶端上打開文件服務器上這個文件，則從文件服務器上到客戶機上的傳輸過程是明文傳輸?shù)?。也就是說，其解密的過程是發(fā)生在文件打開的那一剎南。當文件被打開，文件內容傳輸?shù)娇蛻舳说臅r候，都是明文實現(xiàn)的。此時，若網(wǎng)絡中存在一些嗅探工具的話，則這些信息就會輕易的被非法攻擊者獲取。此時，若要杜絕這種情況，就需要采用其他的一些加密措施，如IPSEC安全策略等等。

如果用戶不是直接打開這個加密過的文件，而是把這個文件從服務器上拷貝到本機上的文件夾，而這個文件夾又恰巧是采用EFS加密過的。則此時文件在網(wǎng)絡傳輸過程中是加密過的內容。此時，即使非法攻擊者竊取了網(wǎng)絡中傳輸?shù)膬热?，到他們手里也是沒有用的。因為全都是密文傳輸。不過，此時，若用戶本機上的文件夾是沒有采用EFS加密的，則此時在復制文件夾的過程中，必須要在文件服務器上先對文件進行解密，然后在傳輸?shù)娇蛻舳酥鳈C上。此時，加密文件在網(wǎng)絡中傳輸?shù)倪^程仍然是明文的。

可見，若企業(yè)需要提高網(wǎng)絡傳輸?shù)陌踩?，防止機密文件在傳輸過程中泄漏，則就需要在客戶端本機上也必須配置一些EFS加密的文件夾。在需要使用遠程文件服務器上的EFS加密文件時，最好通過復制的方式，先把他復制到本機的EFS加密文件夾內。如此的話，才能夠保證文件在網(wǎng)絡傳輸過程中的安全性。