如何才能有效保護(hù)企業(yè)的數(shù)據(jù)安全？在WINDOWS系統(tǒng)中我們可以用到EFS加密，這種加密方法是通過企業(yè)證書來實(shí)現(xiàn)，計(jì)算機(jī)加入域后可以獲得企業(yè)證書-公鑰，用戶加密時(shí)會(huì)產(chǎn)生一個(gè)私鑰，公鑰和私鑰匹配時(shí)才能打開數(shù)據(jù)。在WINDOWS7系統(tǒng)，我們可以用到微軟的BitLocker來加密我們的數(shù)據(jù)，加密的原理就是基于用戶的SID，在微軟的加密機(jī)制中如何確保用戶的唯一性？根據(jù)用戶的SID來獲得，只要是新建用戶，都會(huì)產(chǎn)生新的SID，我們的加密技術(shù)也是要求生成的密鑰具有唯一性，否則就無法保護(hù)數(shù)據(jù)的安全。 ?

?

微軟的BitLocker加密可以實(shí)現(xiàn)全盤加密，也可以單獨(dú)對(duì)某個(gè)盤加密，更能對(duì)U盤加密，設(shè)置密鑰訪問或是密碼訪問等方式，對(duì)個(gè)人用戶而言不用單獨(dú)購買LICENSE就可以加密數(shù)據(jù)，但由于生成的密鑰保存需要用戶自己管理，沒有單獨(dú)的備份密鑰機(jī)制，所以不適合企業(yè)級(jí)的用戶使用。我們所需要的數(shù)據(jù)加密是可以做到企業(yè)管理員恢復(fù)的，可以確保加密數(shù)據(jù)的恢復(fù)。目前有這方面的商業(yè)軟件能夠?qū)崿F(xiàn)數(shù)據(jù)加密及恢復(fù)機(jī)制。

我們使用的是一種加密機(jī)制，在客戶端需加密用戶登錄之后，在其用戶下安裝加密軟件之后，會(huì)根據(jù)用戶名生成KEY，這個(gè)KEY是加密軟件用企業(yè)證書生產(chǎn)的，通過企業(yè)網(wǎng)絡(luò)上傳到企業(yè)的加密服務(wù)器保存。加密軟件生成的KEY會(huì)自動(dòng)備份到服務(wù)器上，我們從服務(wù)器上可以看到用戶KEY信息，包括用戶何時(shí)加密，在哪些計(jì)算機(jī)上加密，加密是否成功等信息，商業(yè)上的數(shù)據(jù)加密是要做到可以恢復(fù)解密數(shù)據(jù)。我們接下來要等加密軟件對(duì)全盤數(shù)據(jù)開始做加密，這個(gè)過程是漫長的，至少要3個(gè)小時(shí)，加密之后重新啟動(dòng)，我們首先進(jìn)入的加密軟件引導(dǎo)的界面，需要輸入我們的企業(yè)默認(rèn)加密密碼，然后才開始進(jìn)入WINDOWS操作系統(tǒng)。

加密的好處，如果不能在規(guī)定的次數(shù)內(nèi)正確輸入密碼，那么硬盤將鎖住加密數(shù)據(jù)，我們用PE工具盤看到的硬盤是空白的，不會(huì)顯示任何數(shù)據(jù)，也就是說加密數(shù)據(jù)之后，我們只能通過輸入密碼才能進(jìn)入操作系統(tǒng)。那么如果我們輸錯(cuò)密碼，或是硬盤出現(xiàn)I/O訪問錯(cuò)誤時(shí)，我們是如何才能把數(shù)據(jù)完整的恢復(fù)出來呢？大家是否還記得之前加密生產(chǎn)的KEY，我們用從服務(wù)器上下載這個(gè)KEY到U盤，用加密軟件專用的PE工具盤引導(dǎo)之后，通過加密軟件導(dǎo)入KEY，從而才能打開硬盤數(shù)據(jù)。

數(shù)據(jù)加密用到的方法也是企業(yè)證書的應(yīng)用，我們?cè)诠ぷ髦杏龅竭@樣的問題，必須通過找到私鑰才能解密數(shù)據(jù)，所以我們對(duì)加密數(shù)據(jù)要特別謹(jǐn)慎，不能丟失私鑰，否則的話加密的數(shù)據(jù)“神仙也難救”了。


本文轉(zhuǎn)自 zhaiken 51CTO博客，原文鏈接：http://blog.51cto.com/zhaiken/336284，如需轉(zhuǎn)載請(qǐng)自行聯(lián)系原作者

總結(jié)

以上是生活随笔為你收集整理的企业证书系列之数据加密的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。