企业证书系列之数据加密

如何才能有效保护企业的数据安全？在 WINDOWS 系统中我们可以用到 EFS 加密，这种加密方法是通过企业证书来实现，计算机加入域后可以获得企业证书 - 公钥，用户加密时会产生一个私钥，公钥和私钥匹配时才能打开数据。在 WINDOWS7 系统，我们可以用到微软的 BitLocker 来加密我们的数据，加密的原理就是基于用户的 SID ，在微软的加密机制中如何确保用户的唯一性？根据用户的 SID 来获得，只要是新建用户，都会产生新的 SID ，我们的加密技术也是要求生成的密钥具有唯一性，否则就无法保护数据的安全。

 

 

微软的 BitLocker 加密可以实现全盘加密，也可以单独对某个盘加密，更能对 U 盘加密，设置密钥访问或是密码访问等方式，对个人用户而言不用单独购买 LICENSE 就可以加密数据，但由于生成的密钥保存需要用户自己管理，没有单独的备份密钥机制，所以不适合企业级的用户使用。我们所需要的数据加密是可以做到企业管理员恢复的，可以确保加密数据的恢复。目前有这方面的商业软件能够实现数据加密及恢复机制。

 

我们使用的是一种加密机制，在客户端需加密用户登录之后，在其用户下安装加密软件之后，会根据用户名生成 KEY ，这个 KEY 是加密软件用企业证书生产的，通过企业网络上传到企业的加密服务器保存。加密软件生成的 KEY 会自动备份到服务器上，我们从服务器上可以看到用户 KEY 信息，包括用户何时加密，在哪些计算机上加密，加密是否成功等信息，商业上的数据加密是要做到可以恢复解密数据。我们接下来要等加密软件对全盘数据开始做加密，这个过程是漫长的，至少要 3 个小时，加密之后重新启动，我们首先进入的加密软件引导的界面，需要输入我们的企业默认加密密码，然后才开始进入 WINDOWS 操作系统。

 

加密的好处，如果不能在规定的次数内正确输入密码，那么硬盘将锁住加密数据，我们用 PE 工具盘看到的硬盘是空白的，不会显示任何数据，也就是说加密数据之后，我们只能通过输入密码才能进入操作系统。那么如果我们输错密码，或是硬盘出现 I/O 访问错误时，我们是如何才能把数据完整的恢复出来呢？大家是否还记得之前加密生产的 KEY ，我们用从服务器上下载这个 KEY 到 U 盘，用加密软件专用的 PE 工具盘引导之后，通过加密软件导入 KEY ，从而才能打开硬盘数据。

 

数据加密用到的方法也是企业证书的应用，我们在工作中遇到这样的问题，必须通过找到私钥才能解密数据，所以我们对加密数据要特别谨慎，不能丢失私钥，否则的话加密的数据“神仙也难救”了。