《数据保护的新机制》由会员分享,可在线阅读,更多相关《数据保护的新机制(5页珍藏版)》请在金锄头文库上搜索。
1、数据保护的新机制数据安全是大部分企业非常关心的问题,尤其是有些企业的运作需要涉及到比较敏感的数据,对这一问题更加重视。因为有越来越多的企业需要借助计算机完成工作,因此由于数据丢失和泄漏所导致的损失也水涨船高。我们经常能够在新闻上看到某些企业或政府机构,由于丢失了包含大量机密信息的计算机或存储设备,造成严重后果的报道。现在的移动办公愈加普遍,员工的笔记本电脑、USB移动硬盘,甚至只有指甲盖大小的存储卡中都可能保存了机密数据,如何在保证易用性的同时对数据进行妥善加密,确保只有合法用户才能读取数据,而非法用户就算拿到设备也无法读取?维奇公司是一家做对外贸易的企业,员工的日常工作大多是通过网络协作的方
2、式进行互联互通的。这家公司的电子化办公系统很完善,因此几乎所有涉及企业机密或客户隐私的数据都是以电子文件的形式保存在计算机中的。这些数据一旦丢失,将给企业带来非常严重的损失。可人都是有惰性的,在没有真正遇到某种情况的时候,通常并不会对此过于重视。加密方面,自然也是如此。因为以前从来没有遇到过由于机密数据丢失而造成损失,因此尽管该公司员工的台式机、笔记本,以及可移动存储设备中保存了大量机密数据,但公司对于此类数据的保护并没有制定统一的标准。于是就发生了下面的事情。基于密码的加密小李是这家公司的业务员,负责美国地区的业务。为了方便自己开展工作,小李准备了一个 U 盘,其中保存了公司所有客户的资料。
3、相比公司的其他员工,小李已经算是比较具有安全意识的,因为小李并没有将这些内容直接保存在 U 盘上,而是首先将所有文件压缩成.zip 格式,并对 Zip 文件设置了密码。这样只有知道密码的人才能打开并查看文件。这是一种基于密码的加密方式。小李认为已经非常安全了,但其实也不尽然。由于工作努力,老板给了小李一个月的假期,小李和家人一起去夏威夷度假。等到假期结束,回到办公室开始工作时,小李才发现,自己竟然忘了 U 盘中保存的客户资料的解压缩密码。这就难办了,这些资料只有一份,全部保存在 U 盘中被加密的.zip 文件内,如果这些文件无法读取,小李的所有客户都将无法联系,后果很严重。走投无路的小李只得请
4、教小张,小张是公司的 IT 管理员,所有员工遇到的与计算机有关的问题,都会向小张请教。李:小张啊,我遇到麻烦了,你一定得救救我,不然我死定了。张:什么事啊?李:我有个 U 盘,里面保存了所有客户的资料。为了保密,我用把所有资料压缩成了.zip格式,并在压缩的过程中设置了密码。可现我忘记密码了,所有文件都打不开,我该怎么办啊?张:你还能想起这个密码的大致特征吗?例如密码一共有几位,是否包含大写字母、小写字母、数字,以及特殊符号?李:我依稀能够记得,密码总共只有 9 位,并且只包含小写字母和数字。张:这就简单了,你把文件发给我吧,我帮你解密,然后把解密后的内容重新发给你。李:真的啊,真能找回密码?
5、那就太谢谢了,你等下收邮件。五分钟后张:好了,密码已经破解出来了,我把解压缩后的文件重新用邮件发给你。李:不会吧,不到五分钟密码就被破解掉了?你怎么弄的啊?!张:呵呵,其实这是基于密码的加密这种技术的先天不足导致的。对于这种加密方式,加密的强度取决于密码的长度和复杂度,越长越复杂的密码就越难以破解。尤其是现在的计算机性能普遍非常强,因此只要有了合适的软件,并用暴力穷举的方式一次尝试每个可能的字符串组合,这类密码很快就会被破解。李:那这样的加密方式也太不靠谱了吧?张:虽然事实如此,但也没必要这样说。毕竟这是一种最古老的加密方法。最开始,由于计算机的性能不够强,因此只要设置一个复杂的密码,就可以保
6、证,哪怕进行暴力破解,也需要很长的时间,进而可以认为这样的密码是不可破解的。然而现在的硬件性能越来越强大,因此纯粹基于密码的加密方式就显得不够安全了。无论哪个加密软件,只要其原理是基于密码的加密,都面临了这样的问题。而且正因为这个原因,对于比较重视数据安全性的场合,通常已经不再使用基于密码的加密,而是使用其它方法。基于证书的加密接上文李:那对于我的这种情况,你有什么好建议吗?经过这次事情,我决定把客户资料保存两份,一份放在办公室的台式机里,充当备份;另一份则放在 U 盘上,随身携带。这两份数据都要进行加密,但不打算再使用基于密码的加密,最好能使用更安全的加密方式。另外我还希望就算我忘记了密码,
7、我自己也能用比较简单的方式恢复数据,但其他人依然无法破解。张:要求可真多啊,不过还是可以解决的。首先来说办公室的台式机里数据的加密吧。对于这种情况,你可以使用 Windows 7 自带的 EFS 加密功能。李:这功能我还是第一次听说,有什么特点吗?是不是基于密码的加密方式?忘记密码后是否方便恢复呢?张:不是的,EFS 是一种基于证书的加密方式,文件的加密和解密需要用到数字证书,因此不牵扯密码的问题,也就不存在忘记密码的问题。EFS 的使用非常简单,可以对除了Windows 系统文件外的其他所有文件加密。要加密文件,只要打开所在文件夹的属性对话框,并选中“加密”选项即可。而且这个功能对于用户是完
8、全透明的,因为加密解密所需的证书已经包含在每个用户的配置文件中,因此只要正常登录到系统,就可以访问自己加密的任何文件,不需要进行额外的身份认证。也就是说,只要用你的帐户加密了文件,并用你的帐户登录,随后就可以直接打开文件,不会有任何障碍。但其他人就算使用自己的帐户登录你的计算机,也无法打开你的加密文件。李:听起来似乎挺方便的,那么既然不再需要使用密码,也就是说需要使用证书,可这些证书保存在哪里?会不会丢失?如果丢失后还能不能找回?张:这一点就更不用你担心了。对于 EFS 加密方式,所有证书都保存在每个人的配置文件中,而咱们公司的帐户的配置文件都保存在专用的服务器上,因此并不会丢失。就算系统故障
9、,重装系统,也可以直接使用服务器上的配置文件,因此被加密的数据依然可以访问。而且还可以单独将证书导出,并保存到安全的地方。这样以后如果需要在其他计算机上读取加密后的文件,只要导入证书就可以了。李:你这样说我就放心了。那还有另外一个问题,U 盘上保存的数据怎么办?也用 EFS 加密的方式处理吗?张:我想先确认一个问题,U 盘上的这些数据,你是打算只在特定几台计算机上读取,还是希望在随便一台计算机上都可以读取呢?李:这个就比较麻烦了,因为我用 U 盘携带这些数据的主要目的就是,有时候我可能会去客户的公司,但并不方便带我自己的计算机,因此这些数据我都保存到 U 盘里,如果需要,直接用客户的计算机就可
10、以读取。所以这个 U 盘,可能会在很多计算机上使用。张:那这种情况我就不建议用 EFS 了,因为用 EFS 加密的文件需要数字证书才能解密,这也就意味着,对于每一台希望读取这些数据的计算机,都需要预先导入证书。但由于你需要在客户公司的计算机上读取这些文件,因此不建议用 EFS 的方式,否则将你的数字证书导入太多别人的计算机,有可能导致泄密。李:那我该怎么办?难道这种情况就只能使用基于密码的加密了吗?张:这个就没办法了,不过你可以使用更高级的密码加密方法,Windows 7 中提供的BitLocker To GO。这是 Windows 7 中的新功能,使用了非常高级的加密算法,因此只要设置合理的
11、密码,就可以防范破解。这种技术可对 U 盘以及移动硬盘等可移动存储设备进行加密,加密后,每次将设备连接到计算机,都需要输入预先指定的密码,随后才能读写其中的数据。李:Windows 7 中才开始提供的?那如果客户公司的计算机运行老版本 Windows 该怎么办?这个功能是否可以向下兼容老版本系统?张:可以的,该功能可兼容 Windows XP/Vista/7,但只有在 Windows 7 中,输入正确的密码后,才能对设备进行读写操作,但在 Windows XP/Vista 中,只能读取设备,无法写入。李:只能用密码吗?基于密码的加密不是很容易被破解吗?这样会不会不安全啊?张:其实 BitLoc
12、ker To Go 也可以使用基于证书的加密,但这一过程需要用到智能卡。虽然咱们公司部署了智能卡,但客户公司未必会有,因此如果使用证书加密,在客户公司里你就没法读取文件了。所以还是建议你使用密码进行保护。至于说破解问题,倒是不用太担心,BitLocker To Go 采用了一些非常特殊的技术,在不输入密码的情况下,整个设备根本是无法访问的,因此在某种程度上也可以预防暴力密码破解软件。基于硬件的加密接上文李:那就有另外一个问题了,对于 EFS,文件的加密和解密需要数字证书的参与,这些数字证书都保存在系统中,会不会有人对这些内容下手?对于系统,是否有什么比较妥善的保护方法?张:呵呵,其实 Wind
13、ows 7 中也有相关的对应机制,那就是基于硬件的加密。在具体的实现方法上,这类加密方式各不相同,但原理都是大同小异的,那就是将原本以文件形式存在于系统中的数字证书保存到专用硬件中,并且这样的硬件只能被特定的程序所读取。因此这样做可以在确保数据安全,并确保易用性的同时,进一步提升可靠性。例如咱们公司部署的智能卡设备,每位员工的智能卡中包含了自己需要的证书,只要将智能卡连接到读卡器,即可登录计算机,并加密和解密任何需要的数据。另外很多个人或企业使用的网上银行业务,也使用了硬件密钥盘设备,这类设备类似 U 盘,其中包含了用户的个人数字证书,登录网银或者进行交易之前,就需要将这样的设备连接到计算机,
14、否则将无法使用。李:对啊,我的网银也需要使用硬件密钥盘,每次用网银的时候都要先把密钥盘连接到电脑才能登录。这样貌似非常安全。张:确实如此,在 Windows 7 中提供的 BitLocker 功能,就可以利用硬件形式的加密,对系统盘的所有系统文件进行加密。李:这个功能和刚才说过的 BitLocker To Go 有什么区别呢?张:虽然名称类似,但这两个是截然不同的功能。BitLocker 功能主要可用于对本地硬盘,也就是机箱里安装的硬盘进行加密,并且可以加密包括系统盘在内的所有分区。这个功能的最高级别要求计算机主板上提供 TPM 芯片,这是一种特殊的芯片,可用于保存加密和解密所需的数字证书。这
15、样加密后,就等于将硬盘与主板捆绑在一起,如果将硬盘拆掉安装在其他计算机上,因为缺乏所需的 TPM 芯片,因此硬盘中的数据依然会得到保护,无法被读取。通过使用这个功能,就可以把系统盘彻底加密,这样不管是把硬盘拆出来,或者给电脑中安装第二个操作系统,都可以保证原系统的系统文件不被非法读取。李:呵呵,这个功能真不错,这下再也不用担心硬盘上数据的保护了。张:其实还有其他好处呢。例如硬盘的退役问题。咱们公司以前更换电脑,都需要把硬盘全部拆出来,然后彻底砸烂,甚至还要用酸性液体进行腐蚀,这样可以保证其中残留的数据不会被人读取。但如果使用 BitLocker 加密了硬盘,在退役后,只要将 BitLocker
16、 的证书彻底销毁,虽然文件依然保存在硬盘上,但其中的数据将彻底无法访问。而这样的硬盘只要格式化即可重新投入使用,避免浪费。总结在使用 Windows 7 之后,企业可以结合实际需要使用不同的加密技术,满足在数据保密方面的各种需求。同时上述几种技术各有侧重点,相关的比较可参考下表。表 1,EFS、BitLocker ,以及 BitLocker To Go 的技术对比EFS BitLocker BitLocker To Go加密方式 基于证书 基于硬件/基于密码/基于证书基于证书/基于密码可加密内容 除系统文件外的其他任何内容任何本地硬盘分区 任何可移动存储设备硬要求 无 TPM 芯片(可选)/USB存储设备(可选)无软要求 NTFS 文件系统 NTFS 文件系统 数字证书(可选)/Windows 7 以上系统才可读写,老版本系统在安装专用读取程序后可读,无法写入对最终用户是否透明身份验证工作完全透明,但需要手工指定要加密的文件/文件夹启用后即完全透明,启用该功能的分区上所有内容都会被加密每次读取或写入都需要提供数字证书或密码可限制对象 本机
