確保文件加密項目的成功

申請免費試用、咨詢電話：400-8352-114

作為企業(yè)級的文件加密解決方案，其實施過程并不容易，前期周密的調(diào)查和測試、實施過程中的認(rèn)真部署以及后期的驗證和核實等環(huán)節(jié)，每個都不能疏忽。

如果你正準(zhǔn)備實施文件加密解決方案，這里有一些項目實施之前需要考慮的問題和一些忠告，可以幫助你少走彎路，盡快部署成功。

1.文件加密解決方案是否適合本企業(yè)?

不少文件加密項目因為用戶對文件加密這種方法本身存在的問題不滿而草草收場。這些問題包括個別詞句沒有加密、文件保存在加密區(qū)域之外、文件被打開而無法加密導(dǎo)致文件最終沒有加密等。如果這些問題在你看來很重要，可以考慮采用卷加密或者全磁盤加密。隨著CPU計算能力的提高和存儲設(shè)備價格的下降，采用卷加密和磁盤加密方法的用戶如今逐漸多起來了。

2.注意保存密碼

數(shù)據(jù)的成功加密只是項目成功的第一步，下一步是在需要時把加密的數(shù)據(jù)解密出來。人們丟失密碼的事情并不少見，這很可能導(dǎo)致整個卷的數(shù)據(jù)完全無法再用。因此，在項目開始之初，必須確保解密的鑰匙能自動歸檔，缺省的情況下，每次都要自動歸檔。不要把這個工作留給最終用戶，也不要讓他們介入這個過程。切記，在項目開始之前務(wù)必測試、測試、再測試。要知道，只要出現(xiàn)一次明顯的數(shù)據(jù)丟失事故就標(biāo)志著數(shù)據(jù)加密項目接近于失敗。

3.數(shù)據(jù)保存在什么地方?

項目開始之前，還要調(diào)查數(shù)據(jù)保存在什么地方以及它們要傳輸?shù)胶翁?。很難想象，在根本不知道數(shù)據(jù)究竟在何處時就開始實施數(shù)據(jù)保護(hù)計劃?，F(xiàn)在的數(shù)據(jù)保存地點越來越多樣化，不僅可以保存在磁盤上（如服務(wù)器、工作站和筆記本），還可以保存在優(yōu)盤、光盤、備份的磁帶等設(shè)備上。弄清楚要加密的數(shù)據(jù)保存在何處，是選擇合適的解決方案的第一步。

4.處于傳輸中的數(shù)據(jù)怎么辦?

大多數(shù)數(shù)據(jù)加密程序可以對靜態(tài)的數(shù)據(jù)進(jìn)行保護(hù)，但是，那些在企業(yè)網(wǎng)和廣域網(wǎng)中傳輸?shù)臄?shù)據(jù)如何保護(hù)？要對它們進(jìn)行加密嗎？在實際項目中，很多企業(yè)完全忽視了這部分處于傳輸狀態(tài)的數(shù)據(jù)，而只是解決靜態(tài)數(shù)據(jù)（如保存在硬盤、優(yōu)盤中的數(shù)據(jù)）的保護(hù)問題。不過，這并不意味著可以忽略后者。有時候，我們需要額外的解決辦法來保護(hù)這些傳輸中的數(shù)據(jù)，比如采用SSL或者IPSec。

5.應(yīng)用程序和加密程序兼容嗎？

這似乎有些奇怪，但是確認(rèn)這一點很有必要。大多數(shù)加密程序可以無障礙地在后臺順利地運行，但是，它們都需要專門的磁盤驅(qū)動程序和API調(diào)用。很多老程序并不使用這些磁盤調(diào)用，因此它們會繞過加密程序而破壞數(shù)據(jù)。在數(shù)據(jù)加密完成以后，要徹底檢查所有要讀取數(shù)據(jù)的程序是否能正常運行。最后，還要確保數(shù)據(jù)備份程序與之兼容。

6.加密哪些文件?

除非你采用卷加密或者全磁盤加密，否則不太可能對所有的文件都進(jìn)行加密。這一方面可以減少對存儲空間的需求，同時也減少對計算能力的需求。因此，需要決定所要加密的內(nèi)容并進(jìn)行試驗。很有可能，你會發(fā)現(xiàn)，由于操作系統(tǒng)的一些普通操作或者應(yīng)用程序方面的問題，個別文件沒有辦法加密。

7.驗證加密的結(jié)果

幾乎在每一個加密項目中，總有一些文件是要求對它加密，而最后卻沒有被加密的。因此需要對結(jié)果進(jìn)行驗證。在加密完成后，使用磁盤扇區(qū)編輯器，隨機(jī)抽取文件中的一些字符在加密后的文件中進(jìn)行搜索，看看是否這些字符并沒有被加密，而直接保存在加密后的文件中了。

8.性能損失多少?

所有的加密工作都需要消耗計算機(jī)的計算資源。問題是損耗多少？多少是可以接受的？很多加密項目中加密工作完成得很好，而解密卻因為文件過大（如電子郵件歸檔）而進(jìn)行得異常緩慢。因此在選擇解決方案時，一定要先進(jìn)行試驗，確保加密/解密過程不要過多地影響整個系統(tǒng)的運行。通常，占用2%～5%的計算能力是可以接受的。

打開的文件通常是無法進(jìn)行加密的，因此，在加密程序開始運行時可以考慮重啟計算機(jī)，以保證所有的文件都是關(guān)閉的。在重啟后，首先考慮對最大的文件進(jìn)行加密（如Outlook的ost和pst文件），并允許最終用戶對應(yīng)用程序進(jìn)行基本的設(shè)置，以盡量減少在操作時的人為干預(yù)。

如果可能的話，可以分別在低優(yōu)先級狀態(tài)、正常狀態(tài)和高優(yōu)先級狀態(tài)等三種情形下測試加密過程。在Windows系統(tǒng)中，可以通過任務(wù)管理器或者在命令行中輸入“Start”命令修改程序在CPU中的優(yōu)先級。低優(yōu)先級用于用戶希望在加密時還能登錄計算機(jī)進(jìn)行其他操作。當(dāng)然，這時很可能會出現(xiàn)由于文件被用戶打開而無法加密的情況。高優(yōu)先級用于需要保證加密任務(wù)盡快完成的場合，這時在加密完成之前用戶不能進(jìn)行任何其他操作。

9.是否有足夠的磁盤空間?

除非內(nèi)存空間足夠大，否則很多加密程序在進(jìn)行加密/解密時需要很大的磁盤空間。比如，加密100MB的文件可能需要200MB的磁盤空間。盡管通常并不要求空余磁盤空間達(dá)到全部需要加密的文件大小之和的兩倍，但是至少，磁盤空間要達(dá)到加密文件中最大的一個文件的兩倍以上。因為在加密/解密過程完成后，臨時文件會被刪除，占用的磁盤空間又會釋放出來。

10.制定數(shù)據(jù)保護(hù)的策略

在進(jìn)行文件加密項目之前，首先要為用戶制定一個規(guī)范，同時得到管理者的同意。也許有人會感覺奇怪，這也是問題嗎？的確，這里的關(guān)鍵是明確最終用戶的責(zé)任以及相應(yīng)的懲罰措施，以保證規(guī)范得以遵守。為此，項目的組織者需要得到管理者的支持，否則，他將會陷入無休止的麻煩之中。

11.不斷檢查核實

加密軟件和進(jìn)行加密工作的員工并不是絕對可靠的，因此，需要制定一個流程來驗證需要加密的文件是否已經(jīng)加密了。最為重要的是，這個流程必須持續(xù)進(jìn)行。

鏈接：文件加密技術(shù)

按作用不同, 文件加密主要包含數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理四種技術(shù)。

1．?dāng)?shù)據(jù)傳輸加密

目的是對傳輸中的數(shù)據(jù)流加密, 常用的方針有線路加密和端對端加密兩種。前者側(cè)重對信息通過各線路時采用不同的加密密鑰提供安全保護(hù)。后者則指信息由發(fā)送端通過專用的加密軟件把原文加密成密文，到達(dá)目的地后再由收件人采用相應(yīng)的密鑰進(jìn)行解密。

2．?dāng)?shù)據(jù)存儲加密

這種加密技術(shù)的目的是防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密, 可分為密文存儲和存取控制兩種。前者一般是通過加密法轉(zhuǎn)換、附加密碼、加密模塊等方法實現(xiàn)。這種加密方式不同于Office文檔中的密碼保護(hù)，加密軟件加密后會把普通的數(shù)據(jù)轉(zhuǎn)變成一堆看不懂的代碼。后者則是對用戶資格、權(quán)限加以審查和限制, 防止非法用戶存取數(shù)據(jù)或合法用戶越權(quán)存取數(shù)據(jù)。

3．?dāng)?shù)據(jù)完整性鑒別

目的是對介入信息傳送、存取、處理的人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗證, 以達(dá)到保密的要求, 一般包括口令、密鑰、身份、數(shù)據(jù)等項的鑒別。

4．密鑰管理

用加密軟件進(jìn)行加密時所用的密鑰達(dá)64位甚至128位，一般保存在磁卡、磁帶、磁盤、半導(dǎo)體存儲器中，但這些都可能損壞或丟失，所以現(xiàn)在的主流加密軟件都采取第三方認(rèn)證（這第三方可以是個人，也可以是公證機(jī)關(guān)）或采用隨機(jī)密鑰來彌補(bǔ)人們記憶上的不足。(ccw)