監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購買價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

“安全第一” 企業(yè)如何利用EFS加密數(shù)據(jù)

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

文章來源:泛普軟件 “安全第一” 企業(yè)如何利用EFS加密數(shù)據(jù)1

安全無小事。對(duì)于企業(yè)來說,如何保障數(shù)據(jù)的安全,有時(shí)候比如何利用信息化技術(shù)提高辦公效率更加的重要。所以,隨著企業(yè)競(jìng)爭(zhēng)的加劇,企業(yè)之間的競(jìng)爭(zhēng)逐漸演化會(huì)信息的競(jìng)爭(zhēng),CIO又有了一個(gè)新的任務(wù),就是如何最好的保證企業(yè)數(shù)據(jù)的安全,防止數(shù)據(jù)外泄給企業(yè)帶來損失。

對(duì)于這數(shù)據(jù)安全方面的內(nèi)容,若要寫的話,恐怕可以寫一本萬科全書了。筆者今天在這里要談的,只是針對(duì)文件加密這一技術(shù)中的某一小塊內(nèi)容,即在采用EFS文件加密系統(tǒng)過程中所需要注意的問題。

EFS (加密文件系統(tǒng)),其采用一種核心文件加密技術(shù)。加密了文件與文件夾之后,用戶可以像使用其它文件或者文件夾一樣使用它,也就是說,對(duì)于合法用戶來說,是透明的。但是丟與非法用戶來說,則就無法打開這些經(jīng)過EFS加密過的文件或者文件夾。故EFS技術(shù)可以很好的保障企業(yè)數(shù)據(jù)的安全性。如有用戶非法拷貝公司的機(jī)密文件,則其他用戶跟本打不開這個(gè)加密文件。EFS采用高級(jí)的標(biāo)準(zhǔn)加密算法實(shí)現(xiàn)透明的文件加密與解密過程。任何不擁有合法密鑰的個(gè)人或者程序都不能夠讀取加密的數(shù)據(jù)。

不過,任何一種有效的加密工具,若利用的不好的話,仍然會(huì)帶來潛在的危險(xiǎn)。故,在使用EFS文件加密系統(tǒng)的時(shí)候,也需要了解一些注意事項(xiàng)。

一、 文件加密密鑰需要存檔,以防不時(shí)之需

從理論上來說,EFS加密技術(shù)依靠用戶的標(biāo)識(shí)與密碼。若只要獲得用戶的標(biāo)識(shí)與密碼之后,就可以破解這個(gè)文件。但是,從現(xiàn)實(shí)中來看,這往往是不可能的。也就是說,可能要獲得用戶的密碼容易,但是,若要獲得用戶的標(biāo)識(shí)信息的話,則相對(duì)來說比較困難。因?yàn)檫@里指的用戶標(biāo)識(shí)不是在系統(tǒng)登陸時(shí)的用戶名,而是這個(gè)用戶名在操作系統(tǒng)中所對(duì)應(yīng)的一串?dāng)?shù)字代碼。這個(gè)數(shù)字代碼的話,是受到操作系統(tǒng)嚴(yán)格保護(hù)的。即使是最利害的攻擊者,很很難獲取用戶名對(duì)應(yīng)的這個(gè)數(shù)字標(biāo)識(shí)。而且,即使相同的用戶名,這個(gè)數(shù)字標(biāo)識(shí)也是不同的。

這就產(chǎn)生了一個(gè)不得不注意的問題。當(dāng)操作系統(tǒng)出現(xiàn)故障需要重新安裝時(shí),由于新建用戶,即使用戶名相同,其用戶標(biāo)示也是不同的。也就是說,其“用戶名”是不同的。此時(shí),即使知道密碼,則原先加密過的文件,也無法打開了。

不久之前,還有個(gè)朋友向我求救。他說,他們企業(yè)中有個(gè)用戶采用了EFS加密文件。但是,后來由于他的電腦由于操作系統(tǒng)的分區(qū)出現(xiàn)了磁盤壞道,所以,不得不對(duì)壞道進(jìn)行隔離,并且重新安裝了操作系統(tǒng)。但是,系統(tǒng)重新安裝之后,以前采用EFS機(jī)密的幾個(gè)文件打不開了。而且,他由于一時(shí)疏忽,也備份這個(gè)密鑰。問我有什么可以破解的方法?我搖了搖頭,只好說愛莫能助。雖然理論上可以利用電子字典等工具破解,但是,這個(gè)破解的話,即使現(xiàn)在世界上最好性能的計(jì)算機(jī),有需要幾十年的時(shí)間才能夠破解。

故,對(duì)于企業(yè)用戶來說,為了應(yīng)對(duì)這些不時(shí)之需,需要對(duì)這些加密密鑰進(jìn)行獨(dú)立的備份。像現(xiàn)在筆者的做法就是,把每個(gè)用戶的用戶身份認(rèn)證信息,包括加密密鑰,都被分到一個(gè)獨(dú)立的媒體設(shè)備上。如此的話,即使以后因?yàn)槭裁丛驅(qū)е虏僮飨到y(tǒng)崩潰,仍然可以打開原有的EFS加密文件。

二、 網(wǎng)絡(luò)傳輸過程中的加密問題

若采用了EFS加密技術(shù),加密后的文件,在網(wǎng)絡(luò)傳輸過程中,是否加密,則取決于具體的情形。

如用戶的文件是存儲(chǔ)在網(wǎng)絡(luò)文件服務(wù)器上,而這個(gè)服務(wù)器上這個(gè)用戶的文件夾采用了EFS技術(shù)進(jìn)行加密。此時(shí),就會(huì)產(chǎn)生一個(gè)問題,就是若客戶端需要使用這個(gè)文件時(shí),在這個(gè)從服務(wù)器到客戶端傳輸?shù)倪^程中,文件是否加密的問題。

若用戶直接在客戶端上打開文件服務(wù)器上這個(gè)文件,則從文件服務(wù)器上到客戶機(jī)上的傳輸過程是明文傳輸?shù)摹R簿褪钦f,其解密的過程是發(fā)生在文件打開的那一剎南。當(dāng)文件被打開,文件內(nèi)容傳輸?shù)娇蛻舳说臅r(shí)候,都是明文實(shí)現(xiàn)的。此時(shí),若網(wǎng)絡(luò)中存在一些嗅探工具的話,則這些信息就會(huì)輕易的被非法攻擊者獲取。此時(shí),若要杜絕這種情況,就需要采用其他的一些加密措施,如IPSEC安全策略等等。

如果用戶不是直接打開這個(gè)加密過的文件,而是把這個(gè)文件從服務(wù)器上拷貝到本機(jī)上的文件夾,而這個(gè)文件夾又恰巧是采用EFS加密過的。則此時(shí)文件在網(wǎng)絡(luò)傳輸過程中是加密過的內(nèi)容。此時(shí),即使非法攻擊者竊取了網(wǎng)絡(luò)中傳輸?shù)膬?nèi)容,到他們手里也是沒有用的。因?yàn)槿际敲芪膫鬏敗2贿^,此時(shí),若用戶本機(jī)上的文件夾是沒有采用EFS加密的,則此時(shí)在復(fù)制文件夾的過程中,必須要在文件服務(wù)器上先對(duì)文件進(jìn)行解密,然后在傳輸?shù)娇蛻舳酥鳈C(jī)上。此時(shí),加密文件在網(wǎng)絡(luò)中傳輸?shù)倪^程仍然是明文的。

可見,若企業(yè)需要提高網(wǎng)絡(luò)傳輸?shù)陌踩?,防止機(jī)密文件在傳輸過程中泄漏,則就需要在客戶端本機(jī)上也必須配置一些EFS加密的文件夾。在需要使用遠(yuǎn)程文件服務(wù)器上的EFS加密文件時(shí),最好通過復(fù)制的方式,先把他復(fù)制到本機(jī)的EFS加密文件夾內(nèi)。如此的話,才能夠保證文件在網(wǎng)絡(luò)傳輸過程中的安全性。

發(fā)布:2007-04-21 14:08    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:

泛普長(zhǎng)春OA行業(yè)資訊其他應(yīng)用

長(zhǎng)春OA軟件 長(zhǎng)春OA新聞動(dòng)態(tài) 長(zhǎng)春OA信息化 長(zhǎng)春OA快博 長(zhǎng)春OA行業(yè)資訊 長(zhǎng)春軟件開發(fā)公司 長(zhǎng)春門禁系統(tǒng) 長(zhǎng)春物業(yè)管理軟件 長(zhǎng)春倉庫管理軟件 長(zhǎng)春餐飲管理軟件 長(zhǎng)春網(wǎng)站建設(shè)公司