您现在的位置是:首页 > IT基础架构 > 计算存储 >

“安全第一” CIO如何利用EFS加密数据?

2008-10-21 18:46:00作者: 来源:

摘要安全无小事。对于企业来说,如何保障数据的安全,有时候比如何利用信息化技术提高办公效率更加的重要。所以,随着企业竞争的加剧,企业之间的竞争逐渐演化会信息的竞争,CIO又有了一个新的任务,就是如何最好的保证企业数据的安全,防止数据外泄给企业带来损失。 ...

安全无小事。对于企业来说,如何保障数据的安全,有时候比如何利用信息化技术提高办公效率更加的重要。所以,随着企业竞争的加剧,企业之间的竞争逐渐演化会信息的竞争,CIO又有了一个新的任务,就是如何最好的保证企业数据的安全,防止数据外泄给企业带来损失。

对于这数据安全方面的内容,若要写的话,恐怕可以写一本万科全书了。笔者今天在这里要谈的,只是针对文件加密这一技术中的某一小块内容,即在采用EFS文件加密系统过程中所需要注意的问题。

EFS (加密文件系统),其采用一种核心文件加密技术。加密了文件与文件夹之后,用户可以像使用其它文件或者文件夹一样使用它,也就是说,对于合法用户来说,是透明的。但是丢与非法用户来说,则就无法打开这些经过EFS加密过的文件或者文件夹。故EFS技术可以很好的保障企业数据的安全性。如有用户非法拷贝公司的机密文件,则其他用户跟本打不开这个加密文件。EFS采用高级的标准加密算法实现透明的文件加密与解密过程。任何不拥有合法密钥的个人或者程序都不能够读取加密的数据。

不过,任何一种有效的加密工具,若利用的不好的话,仍然会带来潜在的危险。故,在使用EFS文件加密系统的时候,也需要了解一些注意事项。

一、 文件加密密钥需要存档,以防不时之需

从理论上来说,EFS加密技术依靠用户的标识与密码。若只要获得用户的标识与密码之后,就可以破解这个文件。但是,从现实中来看,这往往是不可能的。也就是说,可能要获得用户的密码容易,但是,若要获得用户的标识信息的话,则相对来说比较困难。因为这里指的用户标识不是在系统登陆时的用户名,而是这个用户名在操作系统中所对应的一串数字代码。这个数字代码的话,是受到操作系统严格保护的。即使是最利害的攻击者,很很难获取用户名对应的这个数字标识。而且,即使相同的用户名,这个数字标识也是不同的。

这就产生了一个不得不注意的问题。当操作系统出现故障需要重新安装时,由于新建用户,即使用户名相同,其用户标示也是不同的。也就是说,其“用户名”是不同的。此时,即使知道密码,则原先加密过的文件,也无法打开了。

不久之前,还有个朋友向我求救。他说,他们企业中有个用户采用了EFS加密文件。但是,后来由于他的电脑由于操作系统的分区出现了磁盘坏道,所以,不得不对坏道进行隔离,并且重新安装了操作系统。但是,系统重新安装之后,以前采用EFS机密的几个文件打不开了。而且,他由于一时疏忽,也备份这个密钥。问我有什么可以破解的方法?我摇了摇头,只好说爱莫能助。虽然理论上可以利用电子字典等工具破解,但是,这个破解的话,即使现在世界上最好性能的计算机,有需要几十年的时间才能够破解。

故,对于企业用户来说,为了应对这些不时之需,需要对这些加密密钥进行独立的备份。像现在笔者的做法就是,把每个用户的用户身份认证信息,包括加密密钥,都被分到一个独立的媒体设备上。如此的话,即使以后因为什么原因导致操作系统崩溃,仍然可以打开原有的EFS加密文件。
 

二、 网络传输过程中的加密问题

若采用了EFS加密技术,加密后的文件,在网络传输过程中,是否加密,则取决于具体的情形。

如用户的文件是存储在网络文件服务器上,而这个服务器上这个用户的文件夹采用了EFS技术进行加密。此时,就会产生一个问题,就是若客户端需要使用这个文件时,在这个从服务器到客户端传输的过程中,文件是否加密的问题。

若用户直接在客户端上打开文件服务器上这个文件,则从文件服务器上到客户机上的传输过程是明文传输的。也就是说,其解密的过程是发生在文件打开的那一刹南。当文件被打开,文件内容传输到客户端的时候,都是明文实现的。此时,若网络中存在一些嗅探工具的话,则这些信息就会轻易的被非法攻击者获取。此时,若要杜绝这种情况,就需要采用其他的一些加密措施,如IPSEC安全策略等等。

如果用户不是直接打开这个加密过的文件,而是把这个文件从服务器上拷贝到本机上的文件夹,而这个文件夹又恰巧是采用EFS加密过的。则此时文件在网络传输过程中是加密过的内容。此时,即使非法攻击者窃取了网络中传输的内容,到他们手里也是没有用的。因为全都是密文传输。不过,此时,若用户本机上的文件夹是没有采用EFS加密的,则此时在复制文件夹的过程中,必须要在文件服务器上先对文件进行解密,然后在传输到客户端主机上。此时,加密文件在网络中传输的过程仍然是明文的。

可见,若企业需要提高网络传输的安全性,防止机密文件在传输过程中泄漏,则就需要在客户端本机上也必须配置一些EFS加密的文件夹。在需要使用远程文件服务器上的EFS加密文件时,最好通过复制的方式,先把他复制到本机的EFS加密文件夹内。如此的话,才能够保证文件在网络传输过程中的安全性。

 


 

三、 文件压缩与文件加密,不能够并用

文件压缩与文件加密是微软操作系统NTFS分区格式提供的两个重要的工具。但是不知道为什么,这两兄弟是水火不容,有压缩就没有加密。若用户企图对某个压缩的文件夹或者文件采取加密的话在,则这个文件与文件夹则会被自动解密。这是需要注意的地方。

笔者刚开始接触这个EFS技术的时候,就犯过这个错误。一次,笔者看到一个硬盘分区的容量快满了,就采用了文件压缩的功能,硬是把分区中的文件压缩了90%,争取了10%的空间出来。当硬盘分区使用率到了95%的时候,我又对其中的一个压缩了的文件夹进行EFS加密,但是,加密不成功。这让我非常的奇怪。因为分区已经采用了NTFS格式,而且,加密的文件或则文件夹也不是系统文件与文件夹。那为什么会不成功呢?一开始笔者以为是否是文件所有者的问题,就单独对一些子文件夹进行加密,可是问题依旧。后来查看了错误代码与系统日志文件,才发现原来是对文件加密的时候,系统会先对压缩过的文件进行解密。而现在磁盘的分区已经不能够容纳解压缩后的文件。所以,这就导致了文件加密的失败。

    从这个事件之后,让我明白了文件加密与温家压缩水火不相容。所以,CIO在EFS技术部署的时候,需要注意不能够在一个文件夹上同时采用文件加密技术或者文件压缩技术。有时候,我们为了安全考虑,往往需要牺牲一点硬盘的容量。还好现在硬盘大幅度跳水,已经不成为企业信息化应用的主要瓶颈资源。
 

四、 加密文件不能够防止删除。

虽然对某些文件采取了EFS加密技术,可以有效的防止非法用户阅读、修改这些文件。但是,具有删除等权限的人员,仍然可以轻松的删除这些文件。

如在文件服务器上,我们虽然对文件夹采用了EFS加密,但是,有些企业在分配权限的时候,不怎么细致。如笔者知道一家企业,他们在文件服务器部署的时候,一个部门的用户都属于同一个组,就有他们这个部门文件的所有操作权限,包括删除权限等等。此时,虽然采用了EFS加密技术,同一个部门的用户也不能够阅读其他用户建立的文件。而只能够打开自己保存的文件。可是,A用户虽然不能够打开B用户创建的文件,但是,因为A与B两个用户是属于同一个部门,有文件删除的权限。所以,A用户虽然不能够查看用户B的文件,但是,却可以删除或者剪贴掉。

很明显,这与我们的愿望是背道而驰的。所以,若光采用EFS加密技术的话,是不能够确保文件被意外删除的。此时,往往需要采用其他的权限管理方法,来加强文件的安全性。

五、 EFS加密不依赖于特定的应用系统

一开始,笔者在向企业用户介绍EFS的时候,他们会担心,是否只有微软的应用软件支持这个EFS技术呢。其他的软件是否支持?如企业现在采用作图软件做的一个设计图纸,我要对其采用EFS文件加密,则下次是否还能够打开呢?

其实,这主要是对EFS文件加密还有些误区。EFS加密技术不是发生在应用层,而是位于文件-系统层。换句话说,EFS加密技术跟应用软件是无关的。无论是什么应用软件,只要其存储数据的文件夹是采用EFS加密的,则其在保存文件时,就会自动被加密。下次再打开时,则会自动被解密。这个加密解密的过程,跟应用软件是无关的。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们