如何才能有效保護企業(yè)的數(shù)據(jù)安全？在WINDOWS系統(tǒng)中我們可以用到EFS加密，這種加密方法是通過企業(yè)證書來實現(xiàn)，計算機加入域后可以獲得企業(yè)證書-公鑰，用戶加密時會產生一個私鑰，公鑰和私鑰匹配時才能打開數(shù)據(jù)。在WINDOWS7系統(tǒng)，我們可以用到微軟的BitLocker來加密我們的數(shù)據(jù)，加密的原理就是基于用戶的SID，在微軟的加密機制中如何確保用戶的唯一性？根據(jù)用戶的SID來獲得，只要是新建用戶，都會產生新的SID，我們的加密技術也是要求生成的密鑰具有唯一性，否則就無法保護數(shù)據(jù)的安全。 ?

?

微軟的BitLocker加密可以實現(xiàn)全盤加密，也可以單獨對某個盤加密，更能對U盤加密，設置密鑰訪問或是密碼訪問等方式，對個人用戶而言不用單獨購買LICENSE就可以加密數(shù)據(jù)，但由于生成的密鑰保存需要用戶自己管理，沒有單獨的備份密鑰機制，所以不適合企業(yè)級的用戶使用。我們所需要的數(shù)據(jù)加密是可以做到企業(yè)管理員恢復的，可以確保加密數(shù)據(jù)的恢復。目前有這方面的商業(yè)軟件能夠實現(xiàn)數(shù)據(jù)加密及恢復機制。

我們使用的是一種加密機制，在客戶端需加密用戶登錄之后，在其用戶下安裝加密軟件之后，會根據(jù)用戶名生成KEY，這個KEY是加密軟件用企業(yè)證書生產的，通過企業(yè)網絡上傳到企業(yè)的加密服務器保存。加密軟件生成的KEY會自動備份到服務器上，我們從服務器上可以看到用戶KEY信息，包括用戶何時加密，在哪些計算機上加密，加密是否成功等信息，商業(yè)上的數(shù)據(jù)加密是要做到可以恢復解密數(shù)據(jù)。我們接下來要等加密軟件對全盤數(shù)據(jù)開始做加密，這個過程是漫長的，至少要3個小時，加密之后重新啟動，我們首先進入的加密軟件引導的界面，需要輸入我們的企業(yè)默認加密密碼，然后才開始進入WINDOWS操作系統(tǒng)。

加密的好處，如果不能在規(guī)定的次數(shù)內正確輸入密碼，那么硬盤將鎖住加密數(shù)據(jù)，我們用PE工具盤看到的硬盤是空白的，不會顯示任何數(shù)據(jù)，也就是說加密數(shù)據(jù)之后，我們只能通過輸入密碼才能進入操作系統(tǒng)。那么如果我們輸錯密碼，或是硬盤出現(xiàn)I/O訪問錯誤時，我們是如何才能把數(shù)據(jù)完整的恢復出來呢？大家是否還記得之前加密生產的KEY，我們用從服務器上下載這個KEY到U盤，用加密軟件專用的PE工具盤引導之后，通過加密軟件導入KEY，從而才能打開硬盤數(shù)據(jù)。

數(shù)據(jù)加密用到的方法也是企業(yè)證書的應用，我們在工作中遇到這樣的問題，必須通過找到私鑰才能解密數(shù)據(jù)，所以我們對加密數(shù)據(jù)要特別謹慎，不能丟失私鑰，否則的話加密的數(shù)據(jù)“神仙也難救”了。


本文轉自 zhaiken 51CTO博客，原文鏈接：http://blog.51cto.com/zhaiken/336284，如需轉載請自行聯(lián)系原作者

總結

以上是生活随笔為你收集整理的企业证书系列之数据加密的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。