確保文件加密項(xiàng)目的成功

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

作為企業(yè)級(jí)的文件加密解決方案，其實(shí)施過程并不容易，前期周密的調(diào)查和測(cè)試、實(shí)施過程中的認(rèn)真部署以及后期的驗(yàn)證和核實(shí)等環(huán)節(jié)，每個(gè)都不能疏忽。

如果你正準(zhǔn)備實(shí)施文件加密解決方案，這里有一些項(xiàng)目實(shí)施之前需要考慮的問題和一些忠告，可以幫助你少走彎路，盡快部署成功。

1.文件加密解決方案是否適合本企業(yè)?

不少文件加密項(xiàng)目因?yàn)橛脩魧?duì)文件加密這種方法本身存在的問題不滿而草草收?qǐng)觥＿@些問題包括個(gè)別詞句沒有加密、文件保存在加密區(qū)域之外、文件被打開而無法加密導(dǎo)致文件最終沒有加密等。如果這些問題在你看來很重要，可以考慮采用卷加密或者全磁盤加密。隨著CPU計(jì)算能力的提高和存儲(chǔ)設(shè)備價(jià)格的下降，采用卷加密和磁盤加密方法的用戶如今逐漸多起來了。

2.注意保存密碼

數(shù)據(jù)的成功加密只是項(xiàng)目成功的第一步，下一步是在需要時(shí)把加密的數(shù)據(jù)解密出來。人們丟失密碼的事情并不少見，這很可能導(dǎo)致整個(gè)卷的數(shù)據(jù)完全無法再用。因此，在項(xiàng)目開始之初，必須確保解密的鑰匙能自動(dòng)歸檔，缺省的情況下，每次都要自動(dòng)歸檔。不要把這個(gè)工作留給最終用戶，也不要讓他們介入這個(gè)過程。切記，在項(xiàng)目開始之前務(wù)必測(cè)試、測(cè)試、再測(cè)試。要知道，只要出現(xiàn)一次明顯的數(shù)據(jù)丟失事故就標(biāo)志著數(shù)據(jù)加密項(xiàng)目接近于失敗。

3.數(shù)據(jù)保存在什么地方?

項(xiàng)目開始之前，還要調(diào)查數(shù)據(jù)保存在什么地方以及它們要傳輸?shù)胶翁帯：茈y想象，在根本不知道數(shù)據(jù)究竟在何處時(shí)就開始實(shí)施數(shù)據(jù)保護(hù)計(jì)劃?，F(xiàn)在的數(shù)據(jù)保存地點(diǎn)越來越多樣化，不僅可以保存在磁盤上（如服務(wù)器、工作站和筆記本），還可以保存在優(yōu)盤、光盤、備份的磁帶等設(shè)備上。弄清楚要加密的數(shù)據(jù)保存在何處，是選擇合適的解決方案的第一步。

4.處于傳輸中的數(shù)據(jù)怎么辦?

大多數(shù)數(shù)據(jù)加密程序可以對(duì)靜態(tài)的數(shù)據(jù)進(jìn)行保護(hù)，但是，那些在企業(yè)網(wǎng)和廣域網(wǎng)中傳輸?shù)臄?shù)據(jù)如何保護(hù)？要對(duì)它們進(jìn)行加密嗎？在實(shí)際項(xiàng)目中，很多企業(yè)完全忽視了這部分處于傳輸狀態(tài)的數(shù)據(jù)，而只是解決靜態(tài)數(shù)據(jù)（如保存在硬盤、優(yōu)盤中的數(shù)據(jù)）的保護(hù)問題。不過，這并不意味著可以忽略后者。有時(shí)候，我們需要額外的解決辦法來保護(hù)這些傳輸中的數(shù)據(jù)，比如采用SSL或者IPSec。

5.應(yīng)用程序和加密程序兼容嗎？

這似乎有些奇怪，但是確認(rèn)這一點(diǎn)很有必要。大多數(shù)加密程序可以無障礙地在后臺(tái)順利地運(yùn)行，但是，它們都需要專門的磁盤驅(qū)動(dòng)程序和API調(diào)用。很多老程序并不使用這些磁盤調(diào)用，因此它們會(huì)繞過加密程序而破壞數(shù)據(jù)。在數(shù)據(jù)加密完成以后，要徹底檢查所有要讀取數(shù)據(jù)的程序是否能正常運(yùn)行。最后，還要確保數(shù)據(jù)備份程序與之兼容。

6.加密哪些文件?

除非你采用卷加密或者全磁盤加密，否則不太可能對(duì)所有的文件都進(jìn)行加密。這一方面可以減少對(duì)存儲(chǔ)空間的需求，同時(shí)也減少對(duì)計(jì)算能力的需求。因此，需要決定所要加密的內(nèi)容并進(jìn)行試驗(yàn)。很有可能，你會(huì)發(fā)現(xiàn)，由于操作系統(tǒng)的一些普通操作或者應(yīng)用程序方面的問題，個(gè)別文件沒有辦法加密。

7.驗(yàn)證加密的結(jié)果

幾乎在每一個(gè)加密項(xiàng)目中，總有一些文件是要求對(duì)它加密，而最后卻沒有被加密的。因此需要對(duì)結(jié)果進(jìn)行驗(yàn)證。在加密完成后，使用磁盤扇區(qū)編輯器，隨機(jī)抽取文件中的一些字符在加密后的文件中進(jìn)行搜索，看看是否這些字符并沒有被加密，而直接保存在加密后的文件中了。

8.性能損失多少?

所有的加密工作都需要消耗計(jì)算機(jī)的計(jì)算資源。問題是損耗多少？多少是可以接受的？很多加密項(xiàng)目中加密工作完成得很好，而解密卻因?yàn)槲募^大（如電子郵件歸檔）而進(jìn)行得異常緩慢。因此在選擇解決方案時(shí)，一定要先進(jìn)行試驗(yàn)，確保加密/解密過程不要過多地影響整個(gè)系統(tǒng)的運(yùn)行。通常，占用2%～5%的計(jì)算能力是可以接受的。

打開的文件通常是無法進(jìn)行加密的，因此，在加密程序開始運(yùn)行時(shí)可以考慮重啟計(jì)算機(jī)，以保證所有的文件都是關(guān)閉的。在重啟后，首先考慮對(duì)最大的文件進(jìn)行加密（如Outlook的ost和pst文件），并允許最終用戶對(duì)應(yīng)用程序進(jìn)行基本的設(shè)置，以盡量減少在操作時(shí)的人為干預(yù)。

如果可能的話，可以分別在低優(yōu)先級(jí)狀態(tài)、正常狀態(tài)和高優(yōu)先級(jí)狀態(tài)等三種情形下測(cè)試加密過程。在Windows系統(tǒng)中，可以通過任務(wù)管理器或者在命令行中輸入“Start”命令修改程序在CPU中的優(yōu)先級(jí)。低優(yōu)先級(jí)用于用戶希望在加密時(shí)還能登錄計(jì)算機(jī)進(jìn)行其他操作。當(dāng)然，這時(shí)很可能會(huì)出現(xiàn)由于文件被用戶打開而無法加密的情況。高優(yōu)先級(jí)用于需要保證加密任務(wù)盡快完成的場(chǎng)合，這時(shí)在加密完成之前用戶不能進(jìn)行任何其他操作。

9.是否有足夠的磁盤空間?

除非內(nèi)存空間足夠大，否則很多加密程序在進(jìn)行加密/解密時(shí)需要很大的磁盤空間。比如，加密100MB的文件可能需要200MB的磁盤空間。盡管通常并不要求空余磁盤空間達(dá)到全部需要加密的文件大小之和的兩倍，但是至少，磁盤空間要達(dá)到加密文件中最大的一個(gè)文件的兩倍以上。因?yàn)樵诩用?解密過程完成后，臨時(shí)文件會(huì)被刪除，占用的磁盤空間又會(huì)釋放出來。

10.制定數(shù)據(jù)保護(hù)的策略

在進(jìn)行文件加密項(xiàng)目之前，首先要為用戶制定一個(gè)規(guī)范，同時(shí)得到管理者的同意。也許有人會(huì)感覺奇怪，這也是問題嗎？的確，這里的關(guān)鍵是明確最終用戶的責(zé)任以及相應(yīng)的懲罰措施，以保證規(guī)范得以遵守。為此，項(xiàng)目的組織者需要得到管理者的支持，否則，他將會(huì)陷入無休止的麻煩之中。

11.不斷檢查核實(shí)

加密軟件和進(jìn)行加密工作的員工并不是絕對(duì)可靠的，因此，需要制定一個(gè)流程來驗(yàn)證需要加密的文件是否已經(jīng)加密了。最為重要的是，這個(gè)流程必須持續(xù)進(jìn)行。

鏈接：文件加密技術(shù)

按作用不同, 文件加密主要包含數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理四種技術(shù)。

1．?dāng)?shù)據(jù)傳輸加密

目的是對(duì)傳輸中的數(shù)據(jù)流加密, 常用的方針有線路加密和端對(duì)端加密兩種。前者側(cè)重對(duì)信息通過各線路時(shí)采用不同的加密密鑰提供安全保護(hù)。后者則指信息由發(fā)送端通過專用的加密軟件把原文加密成密文，到達(dá)目的地后再由收件人采用相應(yīng)的密鑰進(jìn)行解密。

2．?dāng)?shù)據(jù)存儲(chǔ)加密

這種加密技術(shù)的目的是防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)失密, 可分為密文存儲(chǔ)和存取控制兩種。前者一般是通過加密法轉(zhuǎn)換、附加密碼、加密模塊等方法實(shí)現(xiàn)。這種加密方式不同于Office文檔中的密碼保護(hù)，加密軟件加密后會(huì)把普通的數(shù)據(jù)轉(zhuǎn)變成一堆看不懂的代碼。后者則是對(duì)用戶資格、權(quán)限加以審查和限制, 防止非法用戶存取數(shù)據(jù)或合法用戶越權(quán)存取數(shù)據(jù)。

3．?dāng)?shù)據(jù)完整性鑒別

目的是對(duì)介入信息傳送、存取、處理的人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗(yàn)證, 以達(dá)到保密的要求, 一般包括口令、密鑰、身份、數(shù)據(jù)等項(xiàng)的鑒別。

4．密鑰管理

用加密軟件進(jìn)行加密時(shí)所用的密鑰達(dá)64位甚至128位，一般保存在磁卡、磁帶、磁盤、半導(dǎo)體存儲(chǔ)器中，但這些都可能損壞或丟失，所以現(xiàn)在的主流加密軟件都采取第三方認(rèn)證（這第三方可以是個(gè)人，也可以是公證機(jī)關(guān)）或采用隨機(jī)密鑰來彌補(bǔ)人們記憶上的不足。(ccw)