對(duì)于企業(yè)來(lái)說(shuō)，如何保障數(shù)據(jù)的安全，防止數(shù)據(jù)外泄給企業(yè)帶來(lái)?yè)p失，有時(shí)候比如何利用信息化技術(shù)提高辦公效率更加的重要。要保障數(shù)據(jù)的安全，就需要對(duì)文件加密，但如果企業(yè)采用EFS文件加密就要慎重了。

EFS (加密文件系統(tǒng)），其采用一種系統(tǒng)自帶的文件加密技術(shù)。加密了文件與文件夾之后，用戶可以像使用其它文件或者文件夾一樣使用它，也就是說(shuō)，對(duì)于合法用戶來(lái)說(shuō)，是透明的。但是對(duì)于非加密用戶來(lái)說(shuō)，則就無(wú)法打開這些經(jīng)過(guò)EFS加密過(guò)的文件或者文件夾。另外如果重裝系統(tǒng)或者系統(tǒng)崩潰EFS加密的文件就無(wú)法打開了。

如果您的企業(yè)采用了EFS加密請(qǐng)注意一下事項(xiàng)：

注意事項(xiàng)一、 文件加密密鑰需要存檔

從理論上來(lái)說(shuō)，EFS加密技術(shù)依靠用戶的標(biāo)識(shí)與密碼。若只要獲得用戶的標(biāo)識(shí)與密碼之后，就可以破解這個(gè)文件。但是，從現(xiàn)實(shí)中來(lái)看，這往往是不可能的。因?yàn)檫@里指的用戶標(biāo)識(shí)不是在系統(tǒng)登陸時(shí)的用戶名，而是這個(gè)用戶名在操作系統(tǒng)中所對(duì)應(yīng)的一串?dāng)?shù)字代碼。這個(gè)數(shù)字代碼的話，是受到操作系統(tǒng)嚴(yán)格保護(hù)的。即使是最利害的攻擊者，很很難獲取用戶名對(duì)應(yīng)的這個(gè)數(shù)字標(biāo)識(shí)。而且，即使相同的用戶名，這個(gè)數(shù)字標(biāo)識(shí)也是不同的。

這就產(chǎn)生了一個(gè)問(wèn)題。當(dāng)操作系統(tǒng)出現(xiàn)故障需要重新安裝時(shí)，由于新建用戶，即使用戶名相同，其用戶標(biāo)示也是不同的。也就是說(shuō)，其“用戶名”是不同的。此時(shí)，即使知道密碼，則原先加密過(guò)的文件，也無(wú)法打開了。

所以，對(duì)于企業(yè)用戶來(lái)說(shuō)，為需要對(duì)這些加密密鑰進(jìn)行獨(dú)立的備份。把每個(gè)用戶的用戶身份認(rèn)證信息，包括加密密鑰，都被分到一個(gè)獨(dú)立的媒體設(shè)備上。即使以后因?yàn)槭裁丛驅(qū)е虏僮飨到y(tǒng)崩潰，仍然可以打開原有的EFS加密文件。

注意事項(xiàng)二、 不能同時(shí)使用文件壓縮與文件加密

文件壓縮與文件加密是微軟操作系統(tǒng)NTFS分區(qū)格式提供的兩個(gè)重要的工具。但是不知道為什么，這兩兄弟是水火不容，有壓縮就沒(méi)有加密。若用戶企圖對(duì)某個(gè)壓縮的文件夾或者文件采取加密的話在，則這個(gè)文件與文件夾則會(huì)被自動(dòng)解密。這是需要注意的地方。

筆者剛開始接觸這個(gè)EFS技術(shù)的時(shí)候，就犯過(guò)這個(gè)錯(cuò)誤。一次，筆者看到一個(gè)硬盤分區(qū)的容量快滿了，就采用了文件壓縮的功能，硬是把分區(qū)中的文件壓縮了90%，爭(zhēng)取了10%的空間出來(lái)。當(dāng)硬盤分區(qū)使用率到了95%的時(shí)候，我又對(duì)其中的一個(gè)壓縮了的文件夾進(jìn)行EFS加密，但是，加密不成功。這讓我非常的奇怪。因?yàn)榉謪^(qū)已經(jīng)采用了NTFS格式，而且，加密的文件或則文件夾也不是系統(tǒng)文件與文件夾。那為什么會(huì)不成功呢？一開始筆者以為是否是文件所有者的問(wèn)題，就單獨(dú)對(duì)一些子文件夾進(jìn)行加密，可是問(wèn)題依舊。后來(lái)查看了錯(cuò)誤代碼與系統(tǒng)日志文件，才發(fā)現(xiàn)原來(lái)是對(duì)文件加密的時(shí)候，系統(tǒng)會(huì)先對(duì)壓縮過(guò)的文件進(jìn)行解密。而現(xiàn)在磁盤的分區(qū)已經(jīng)不能夠容納解壓縮后的文件。所以，這就導(dǎo)致了文件加密的失敗。

從這個(gè)事件之后，讓我明白了文件加密與文件壓縮水火不相容。所以，在EFS技術(shù)部署的時(shí)候，需要注意不能夠在一個(gè)文件夾上同時(shí)采用文件加密技術(shù)或者文件壓縮技術(shù)。有時(shí)候，我們?yōu)榱税踩紤]，往往需要犧牲一點(diǎn)硬盤的容量。還好現(xiàn)在硬盤大幅度跳水，已經(jīng)不成為企業(yè)信息化應(yīng)用的主要瓶頸資源。

注意事項(xiàng)三、 加密文件不能夠防止刪除。

雖然對(duì)某些文件采取了EFS加密技術(shù)，可以有效的防止非法用戶閱讀、修改這些文件。但是，具有刪除等權(quán)限的人員，仍然可以輕松的刪除這些文件。

如在文件服務(wù)器上，我們雖然對(duì)文件夾采用了EFS加密，但是，有些企業(yè)在分配權(quán)限的時(shí)候，不怎么細(xì)致。如筆者知道一家企業(yè)，他們?cè)谖募?wù)器部署的時(shí)候，一個(gè)部門的用戶都屬于同一個(gè)組，就有他們這個(gè)部門文件的所有操作權(quán)限，包括刪除權(quán)限等等。此時(shí)，雖然采用了EFS加密技術(shù)，同一個(gè)部門的用戶也不能夠閱讀其他用戶建立的文件。而只能夠打開自己保存的文件?？墒?，A用戶雖然不能夠打開B用戶創(chuàng)建的文件，但是，因?yàn)锳與B兩個(gè)用戶是屬于同一個(gè)部門，有文件刪除的權(quán)限。所以，A用戶雖然不能夠查看用戶B的文件，但是，卻可以刪除或者剪貼掉。

很明顯，這與我們的愿望是背道而馳的。所以，若光采用EFS加密技術(shù)的話，是不能夠確保文件被意外刪除的。此時(shí)，往往需要采用其他的權(quán)限管理方法，來(lái)加強(qiáng)文件的安全性。

注意事項(xiàng)四、 網(wǎng)絡(luò)傳輸過(guò)程中的加密問(wèn)題

若采用了EFS加密技術(shù)，加密后的文件，在網(wǎng)絡(luò)傳輸過(guò)程中，是否加密，則取決于具體的情形。

如用戶的文件是存儲(chǔ)在網(wǎng)絡(luò)文件服務(wù)器上，而這個(gè)服務(wù)器上這個(gè)用戶的文件夾采用了EFS技術(shù)進(jìn)行加密。此時(shí)，就會(huì)產(chǎn)生一個(gè)問(wèn)題，就是若客戶端需要使用這個(gè)文件時(shí)，在這個(gè)從服務(wù)器到客戶端傳輸?shù)倪^(guò)程中，文件是否加密的問(wèn)題。

若用戶直接在客戶端上打開文件服務(wù)器上這個(gè)文件，則從文件服務(wù)器上到客戶機(jī)上的傳輸過(guò)程是明文傳輸?shù)摹Ｒ簿褪钦f(shuō)，其解密的過(guò)程是發(fā)生在文件打開的那一剎南。當(dāng)文件被打開，文件內(nèi)容傳輸?shù)娇蛻舳说臅r(shí)候，都是明文實(shí)現(xiàn)的。此時(shí)，若網(wǎng)絡(luò)中存在一些嗅探工具的話，則這些信息就會(huì)輕易的被非法攻擊者獲取。此時(shí)，若要杜絕這種情況，就需要采用其他的一些加密措施，如IPSEC安全策略等等。

如果用戶不是直接打開這個(gè)加密過(guò)的文件，而是把這個(gè)文件從服務(wù)器上拷貝到本機(jī)上的文件夾，而這個(gè)文件夾又恰巧是采用EFS加密過(guò)的。則此時(shí)文件在網(wǎng)絡(luò)傳輸過(guò)程中是加密過(guò)的內(nèi)容。此時(shí)，即使非法攻擊者竊取了網(wǎng)絡(luò)中傳輸?shù)膬?nèi)容，到他們手里也是沒(méi)有用的。因?yàn)槿际敲芪膫鬏?。不過(guò)，此時(shí)，若用戶本機(jī)上的文件夾是沒(méi)有采用EFS加密的，則此時(shí)在復(fù)制文件夾的過(guò)程中，必須要在文件服務(wù)器上先對(duì)文件進(jìn)行解密，然后在傳輸?shù)娇蛻舳酥鳈C(jī)上。此時(shí)，加密文件在網(wǎng)絡(luò)中傳輸?shù)倪^(guò)程仍然是明文的。

可見，若企業(yè)需要提高網(wǎng)絡(luò)傳輸?shù)陌踩裕乐箼C(jī)密文件在傳輸過(guò)程中泄漏，則就需要在客戶端本機(jī)上也必須配置一些EFS加密的文件夾。在需要使用遠(yuǎn)程文件服務(wù)器上的EFS加密文件時(shí)，最好通過(guò)復(fù)制的方式，先把他復(fù)制到本機(jī)的EFS加密文件夾內(nèi)。如此的話，才能夠保證文件在網(wǎng)絡(luò)傳輸過(guò)程中的安全性。

注意事項(xiàng)五、 EFS加密不依賴于特定的應(yīng)用系統(tǒng)

一開始，筆者在向企業(yè)用戶介紹EFS的時(shí)候，他們會(huì)擔(dān)心，是否只有微軟的應(yīng)用軟件支持這個(gè)EFS技術(shù)呢。其他的軟件是否支持？如企業(yè)現(xiàn)在采用作圖軟件做的一個(gè)設(shè)計(jì)圖紙，我要對(duì)其采用EFS文件加密，則下次是否還能夠打開呢？

注意事項(xiàng)六、推薦使用超級(jí)加密3000加密企業(yè)重要數(shù)據(jù)

用EFS給企業(yè)數(shù)據(jù)加密非常的繁瑣，一旦使用過(guò)程中遇到上述的五種情況，您的文件將會(huì)出現(xiàn)打不開的情況，所以建議給企業(yè)數(shù)據(jù)加密時(shí)，選擇專業(yè)的文件加密軟件。超級(jí)加密3000，操用簡(jiǎn)單、易用、安全，并且有完善的售后服務(wù)和技術(shù)支持，你不妨用超級(jí)加密3000給你的文件加密試試。

admin

收藏 海報(bào)分享