企业证书系列之数据加密

如何才能有效保护企业的数据安全?在 WINDOWS 系统中我们可以用到 EFS 加密,这种加密方法是通过企业证书来实现,计算机加入域后可以获得企业证书 - 公钥,用户加密时会产生一个私钥,公钥和私钥匹配时才能打开数据。在 WINDOWS7 系统,我们可以用到微软的 BitLocker 来加密我们的数据,加密的原理就是基于用户的 SID ,在微软的加密机制中如何确保用户的唯一性?根据用户的 SID 来获得,只要是新建用户,都会产生新的 SID ,我们的加密技术也是要求生成的密钥具有唯一性,否则就无法保护数据的安全。
 
key
 
微软的 BitLocker 加密可以实现全盘加密,也可以单独对某个盘加密,更能对 U 盘加密,设置密钥访问或是密码访问等方式,对个人用户而言不用单独购买 LICENSE 就可以加密数据,但由于生成的密钥保存需要用户自己管理,没有单独的备份密钥机制,所以不适合企业级的用户使用。我们所需要的数据加密是可以做到企业管理员恢复的,可以确保加密数据的恢复。目前有这方面的商业软件能够实现数据加密及恢复机制。
 
我们使用的是一种加密机制,在客户端需加密用户登录之后,在其用户下安装加密软件之后,会根据用户名生成 KEY ,这个 KEY 是加密软件用企业证书生产的,通过企业网络上传到企业的加密服务器保存。加密软件生成的 KEY 会自动备份到服务器上,我们从服务器上可以看到用户 KEY 信息,包括用户何时加密,在哪些计算机上加密,加密是否成功等信息,商业上的数据加密是要做到可以恢复解密数据。我们接下来要等加密软件对全盘数据开始做加密,这个过程是漫长的,至少要 3 个小时,加密之后重新启动,我们首先进入的加密软件引导的界面,需要输入我们的企业默认加密密码,然后才开始进入 WINDOWS 操作系统。
 
加密的好处,如果不能在规定的次数内正确输入密码,那么硬盘将锁住加密数据,我们用 PE 工具盘看到的硬盘是空白的,不会显示任何数据,也就是说加密数据之后,我们只能通过输入密码才能进入操作系统。那么如果我们输错密码,或是硬盘出现 I/O 访问错误时,我们是如何才能把数据完整的恢复出来呢?大家是否还记得之前加密生产的 KEY ,我们用从服务器上下载这个 KEY U 盘,用加密软件专用的 PE 工具盘引导之后,通过加密软件导入 KEY ,从而才能打开硬盘数据。
 
数据加密用到的方法也是企业证书的应用,我们在工作中遇到这样的问题,必须通过找到私钥才能解密数据,所以我们对加密数据要特别谨慎,不能丢失私钥,否则的话加密的数据“神仙也难救”了。

你可能感兴趣的:(职场,数据加密,休闲,企业证书)