“安全第一” 企業(yè)如何利用EFS加密數(shù)據(jù)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

安全無(wú)小事。對(duì)于企業(yè)來(lái)說(shuō)，如何保障數(shù)據(jù)的安全，有時(shí)候比如何利用信息化技術(shù)提高辦公效率更加的重要。所以，隨著企業(yè)競(jìng)爭(zhēng)的加劇，企業(yè)之間的競(jìng)爭(zhēng)逐漸演化會(huì)信息的競(jìng)爭(zhēng)，CIO又有了一個(gè)新的任務(wù)，就是如何最好的保證企業(yè)數(shù)據(jù)的安全，防止數(shù)據(jù)外泄給企業(yè)帶來(lái)?yè)p失。

對(duì)于這數(shù)據(jù)安全方面的內(nèi)容，若要寫(xiě)的話，恐怕可以寫(xiě)一本萬(wàn)科全書(shū)了。筆者今天在這里要談的，只是針對(duì)文件加密這一技術(shù)中的某一小塊內(nèi)容，即在采用EFS文件加密系統(tǒng)過(guò)程中所需要注意的問(wèn)題。

EFS (加密文件系統(tǒng)），其采用一種核心文件加密技術(shù)。加密了文件與文件夾之后，用戶可以像使用其它文件或者文件夾一樣使用它，也就是說(shuō)，對(duì)于合法用戶來(lái)說(shuō)，是透明的。但是丟與非法用戶來(lái)說(shuō)，則就無(wú)法打開(kāi)這些經(jīng)過(guò)EFS加密過(guò)的文件或者文件夾。故EFS技術(shù)可以很好的保障企業(yè)數(shù)據(jù)的安全性。如有用戶非法拷貝公司的機(jī)密文件，則其他用戶跟本打不開(kāi)這個(gè)加密文件。EFS采用高級(jí)的標(biāo)準(zhǔn)加密算法實(shí)現(xiàn)透明的文件加密與解密過(guò)程。任何不擁有合法密鑰的個(gè)人或者程序都不能夠讀取加密的數(shù)據(jù)。

不過(guò)，任何一種有效的加密工具，若利用的不好的話，仍然會(huì)帶來(lái)潛在的危險(xiǎn)。故，在使用EFS文件加密系統(tǒng)的時(shí)候，也需要了解一些注意事項(xiàng)。

一、 文件加密密鑰需要存檔，以防不時(shí)之需

從理論上來(lái)說(shuō)，EFS加密技術(shù)依靠用戶的標(biāo)識(shí)與密碼。若只要獲得用戶的標(biāo)識(shí)與密碼之后，就可以破解這個(gè)文件。但是，從現(xiàn)實(shí)中來(lái)看，這往往是不可能的。也就是說(shuō)，可能要獲得用戶的密碼容易，但是，若要獲得用戶的標(biāo)識(shí)信息的話，則相對(duì)來(lái)說(shuō)比較困難。因?yàn)檫@里指的用戶標(biāo)識(shí)不是在系統(tǒng)登陸時(shí)的用戶名，而是這個(gè)用戶名在操作系統(tǒng)中所對(duì)應(yīng)的一串?dāng)?shù)字代碼。這個(gè)數(shù)字代碼的話，是受到操作系統(tǒng)嚴(yán)格保護(hù)的。即使是最利害的攻擊者，很很難獲取用戶名對(duì)應(yīng)的這個(gè)數(shù)字標(biāo)識(shí)。而且，即使相同的用戶名，這個(gè)數(shù)字標(biāo)識(shí)也是不同的。

這就產(chǎn)生了一個(gè)不得不注意的問(wèn)題。當(dāng)操作系統(tǒng)出現(xiàn)故障需要重新安裝時(shí)，由于新建用戶，即使用戶名相同，其用戶標(biāo)示也是不同的。也就是說(shuō)，其“用戶名”是不同的。此時(shí)，即使知道密碼，則原先加密過(guò)的文件，也無(wú)法打開(kāi)了。

不久之前，還有個(gè)朋友向我求救。他說(shuō)，他們企業(yè)中有個(gè)用戶采用了EFS加密文件。但是，后來(lái)由于他的電腦由于操作系統(tǒng)的分區(qū)出現(xiàn)了磁盤(pán)壞道，所以，不得不對(duì)壞道進(jìn)行隔離，并且重新安裝了操作系統(tǒng)。但是，系統(tǒng)重新安裝之后，以前采用EFS機(jī)密的幾個(gè)文件打不開(kāi)了。而且，他由于一時(shí)疏忽，也備份這個(gè)密鑰。問(wèn)我有什么可以破解的方法？我搖了搖頭，只好說(shuō)愛(ài)莫能助。雖然理論上可以利用電子字典等工具破解，但是，這個(gè)破解的話，即使現(xiàn)在世界上最好性能的計(jì)算機(jī)，有需要幾十年的時(shí)間才能夠破解。

故，對(duì)于企業(yè)用戶來(lái)說(shuō)，為了應(yīng)對(duì)這些不時(shí)之需，需要對(duì)這些加密密鑰進(jìn)行獨(dú)立的備份。像現(xiàn)在筆者的做法就是，把每個(gè)用戶的用戶身份認(rèn)證信息，包括加密密鑰，都被分到一個(gè)獨(dú)立的媒體設(shè)備上。如此的話，即使以后因?yàn)槭裁丛驅(qū)е虏僮飨到y(tǒng)崩潰，仍然可以打開(kāi)原有的EFS加密文件。

二、 網(wǎng)絡(luò)傳輸過(guò)程中的加密問(wèn)題

若采用了EFS加密技術(shù)，加密后的文件，在網(wǎng)絡(luò)傳輸過(guò)程中，是否加密，則取決于具體的情形。

如用戶的文件是存儲(chǔ)在網(wǎng)絡(luò)文件服務(wù)器上，而這個(gè)服務(wù)器上這個(gè)用戶的文件夾采用了EFS技術(shù)進(jìn)行加密。此時(shí)，就會(huì)產(chǎn)生一個(gè)問(wèn)題，就是若客戶端需要使用這個(gè)文件時(shí)，在這個(gè)從服務(wù)器到客戶端傳輸?shù)倪^(guò)程中，文件是否加密的問(wèn)題。

若用戶直接在客戶端上打開(kāi)文件服務(wù)器上這個(gè)文件，則從文件服務(wù)器上到客戶機(jī)上的傳輸過(guò)程是明文傳輸?shù)?。也就是說(shuō)，其解密的過(guò)程是發(fā)生在文件打開(kāi)的那一剎南。當(dāng)文件被打開(kāi)，文件內(nèi)容傳輸?shù)娇蛻舳说臅r(shí)候，都是明文實(shí)現(xiàn)的。此時(shí)，若網(wǎng)絡(luò)中存在一些嗅探工具的話，則這些信息就會(huì)輕易的被非法攻擊者獲取。此時(shí)，若要杜絕這種情況，就需要采用其他的一些加密措施，如IPSEC安全策略等等。

如果用戶不是直接打開(kāi)這個(gè)加密過(guò)的文件，而是把這個(gè)文件從服務(wù)器上拷貝到本機(jī)上的文件夾，而這個(gè)文件夾又恰巧是采用EFS加密過(guò)的。則此時(shí)文件在網(wǎng)絡(luò)傳輸過(guò)程中是加密過(guò)的內(nèi)容。此時(shí)，即使非法攻擊者竊取了網(wǎng)絡(luò)中傳輸?shù)膬?nèi)容，到他們手里也是沒(méi)有用的。因?yàn)槿际敲芪膫鬏?。不過(guò)，此時(shí)，若用戶本機(jī)上的文件夾是沒(méi)有采用EFS加密的，則此時(shí)在復(fù)制文件夾的過(guò)程中，必須要在文件服務(wù)器上先對(duì)文件進(jìn)行解密，然后在傳輸?shù)娇蛻舳酥鳈C(jī)上。此時(shí)，加密文件在網(wǎng)絡(luò)中傳輸?shù)倪^(guò)程仍然是明文的。

可見(jiàn)，若企業(yè)需要提高網(wǎng)絡(luò)傳輸?shù)陌踩?，防止機(jī)密文件在傳輸過(guò)程中泄漏，則就需要在客戶端本機(jī)上也必須配置一些EFS加密的文件夾。在需要使用遠(yuǎn)程文件服務(wù)器上的EFS加密文件時(shí)，最好通過(guò)復(fù)制的方式，先把他復(fù)制到本機(jī)的EFS加密文件夾內(nèi)。如此的話，才能夠保證文件在網(wǎng)絡(luò)傳輸過(guò)程中的安全性。