“安全第一” 企业如何利用EFS加密数据

申请免费试用、咨询电话：400-8352-114

安全无小事。对于企业来说，如何保障数据的安全，有时候比如何利用信息化技术提高办公效率更加的重要。所以，随着企业竞争的加剧，企业之间的竞争逐渐演化会信息的竞争，CIO又有了一个新的任务，就是如何最好的保证企业数据的安全，防止数据外泄给企业带来损失。

对于这数据安全方面的内容，若要写的话，恐怕可以写一本万科全书了。笔者今天在这里要谈的，只是针对文件加密这一技术中的某一小块内容，即在采用EFS文件加密系统过程中所需要注意的问题。

EFS (加密文件系统），其采用一种核心文件加密技术。加密了文件与文件夹之后，用户可以像使用其它文件或者文件夹一样使用它，也就是说，对于合法用户来说，是透明的。但是丢与非法用户来说，则就无法打开这些经过EFS加密过的文件或者文件夹。故EFS技术可以很好的保障企业数据的安全性。如有用户非法拷贝公司的机密文件，则其他用户跟本打不开这个加密文件。EFS采用高级的标准加密算法实现透明的文件加密与解密过程。任何不拥有合法密钥的个人或者程序都不能够读取加密的数据。

不过，任何一种有效的加密工具，若利用的不好的话，仍然会带来潜在的危险。故，在使用EFS文件加密系统的时候，也需要了解一些注意事项。

一、 文件加密密钥需要存档，以防不时之需

从理论上来说，EFS加密技术依靠用户的标识与密码。若只要获得用户的标识与密码之后，就可以破解这个文件。但是，从现实中来看，这往往是不可能的。也就是说，可能要获得用户的密码容易，但是，若要获得用户的标识信息的话，则相对来说比较困难。因为这里指的用户标识不是在系统登陆时的用户名，而是这个用户名在操作系统中所对应的一串数字代码。这个数字代码的话，是受到操作系统严格保护的。即使是最利害的攻击者，很很难获取用户名对应的这个数字标识。而且，即使相同的用户名，这个数字标识也是不同的。

这就产生了一个不得不注意的问题。当操作系统出现故障需要重新安装时，由于新建用户，即使用户名相同，其用户标示也是不同的。也就是说，其“用户名”是不同的。此时，即使知道密码，则原先加密过的文件，也无法打开了。

不久之前，还有个朋友向我求救。他说，他们企业中有个用户采用了EFS加密文件。但是，后来由于他的电脑由于操作系统的分区出现了磁盘坏道，所以，不得不对坏道进行隔离，并且重新安装了操作系统。但是，系统重新安装之后，以前采用EFS机密的几个文件打不开了。而且，他由于一时疏忽，也备份这个密钥。问我有什么可以破解的方法？我摇了摇头，只好说爱莫能助。虽然理论上可以利用电子字典等工具破解，但是，这个破解的话，即使现在世界上最好性能的计算机，有需要几十年的时间才能够破解。

故，对于企业用户来说，为了应对这些不时之需，需要对这些加密密钥进行独立的备份。像现在笔者的做法就是，把每个用户的用户身份认证信息，包括加密密钥，都被分到一个独立的媒体设备上。如此的话，即使以后因为什么原因导致操作系统崩溃，仍然可以打开原有的EFS加密文件。

二、 网络传输过程中的加密问题

若采用了EFS加密技术，加密后的文件，在网络传输过程中，是否加密，则取决于具体的情形。

如用户的文件是存储在网络文件服务器上，而这个服务器上这个用户的文件夹采用了EFS技术进行加密。此时，就会产生一个问题，就是若客户端需要使用这个文件时，在这个从服务器到客户端传输的过程中，文件是否加密的问题。

若用户直接在客户端上打开文件服务器上这个文件，则从文件服务器上到客户机上的传输过程是明文传输的。也就是说，其解密的过程是发生在文件打开的那一刹南。当文件被打开，文件内容传输到客户端的时候，都是明文实现的。此时，若网络中存在一些嗅探工具的话，则这些信息就会轻易的被非法攻击者获取。此时，若要杜绝这种情况，就需要采用其他的一些加密措施，如IPSEC安全策略等等。

如果用户不是直接打开这个加密过的文件，而是把这个文件从服务器上拷贝到本机上的文件夹，而这个文件夹又恰巧是采用EFS加密过的。则此时文件在网络传输过程中是加密过的内容。此时，即使非法攻击者窃取了网络中传输的内容，到他们手里也是没有用的。因为全都是密文传输。不过，此时，若用户本机上的文件夹是没有采用EFS加密的，则此时在复制文件夹的过程中，必须要在文件服务器上先对文件进行解密，然后在传输到客户端主机上。此时，加密文件在网络中传输的过程仍然是明文的。

可见，若企业需要提高网络传输的安全性，防止机密文件在传输过程中泄漏，则就需要在客户端本机上也必须配置一些EFS加密的文件夹。在需要使用远程文件服务器上的EFS加密文件时，最好通过复制的方式，先把他复制到本机的EFS加密文件夹内。如此的话，才能够保证文件在网络传输过程中的安全性。