有无数种网络层机制可以帮助你保护文件安全，但实行多级安全防护仍是防止你的文件被篡改或产生错误的最好方法。Office 2007提供了几种数据保护性能，包括加密，对格式和编辑限制，以及数字签名的使用。以下是如何实现这些保护措施的深入介绍。

在当今的商业环境中，我们期待从办公软件获得更多应用，而不仅仅是发送和接收电子邮件、排版文档、制作电子数据表和创建幻灯片展示。我们还想要一种方式来保护文件免受未认证的访问，恶意代码的渗透，以及与我们共享文件的人的滥用。

在现代网络应用中，有很多安全机制帮助保护我们的文件。防火墙帮助阻止来自文件存储网络入侵者的访问。防病毒程序检查文档和电子邮件信息，防止病毒和其他malware。

IPSec能够用于加密数据，以便当其在跨网络移动中被捕获时，无法被查看。访问控制、文件层许可、和EFS加密用于阻止机构中未经认证的人获得访问文件的权限。

但是最安全的战略是一种多层方式，层数越多越好。内置入现代操作系统的安全机制和网络层保护，对于拥有额外保护的内置应用程序的也毫无害处。Microsoft Office 2007拥有几个数据保护性能，可以帮助保护Microsoft Word, Excel 和 PowerPoint创建文件的机密性和完整性。在本文中，我们将讨论：

◆如何使用文档加密术来设置文档的密码保护。
◆如何限制文档的格式化和编辑。
◆如何使用数字签名来确保文档和信息在传输过程中未被更改。

在下篇文章中，我们将解释：

◆如何使用信息权利管理(IRM)来防止文档和信息收件人复制或保存它们或将其发送给其他人。
◆如何在向其他人发送文档前核查隐藏的个人信息。
◆如何使用Trust Center来保护你的隐私，保护文档远离有害内容。

文档加密/密码保护

因为密码保护薄弱， Office 2003中的密码保护经常受到批评。尽管其使用128位密钥的RC4流密码，但向量初始化（IV）和相同的密钥流在每次被用于加密文档。这意味着电脑黑客能够通过比较两个密码保护文件的版本来破译密码。没有黑客技能？破解也没有问题。几个软件产品被市场上作为“密码恢复工具”来破译Office 2003密码。

Office 2007使用高级加密标准（AES），包括128位密钥和SHA-1散列算法。为了加强保护，你可以通过编辑注册表或使用Group Policy将密码长度增至256位。特别是当使用长而复杂的密码时，会提高密码保护文件的安全度。

与先前的Office版本的兼容性

如果你需要与仍使用老Office版本的用户分享加密文件怎么办？运行Office XP或Office 2003版本的用户能够打开并阅读用Office 2007程序加密的文件，前提是：

◆他们正在运行的操作系统支持AES (Windows XP SP2, Windows Server 2003或 Windows Vista) 并且他们为Word, Excel, and PowerPoint 2007文件格式安装了Microsoft Office Compatibility Pack。

如何在Office 2007加密一个文件

在Word, Excel, 或 PowerPoint中用密码保护加密一个文件，首先要点击Office程序窗口左上角的Microsoft Office按钮。选择Prepare，然后选择Encrypt Document，如图A中所示。

图A 为了加密一个文件，从主Office标志菜单选择Prepare。

在密码框输入一个复杂的密码（至少8个字符，包含大小写希腊字母、数字和符号），如图B所示。根据提示将相同的密码重新输入一遍。

图B 输入一个复杂的密码来加密文件内容。

你可以用Office 2007格式 (.docx, .xlsx, or .pptx)保存文件，也可以用Office 97-2003格式(.doc, .xls, or .ppt)保存。如果你想用旧格式保存，你将看到一个对话框，提示你XML格式提供更强大的加密技术，询问你是否想转换至XML基本格式，来增强文件的安全性，如图C所示。

图C Office 2007 XML基本格式提供了比旧Office 97-2003格式更强大的加密功能。

现在当你或其他人尝试打开文件的时候，一个对话框将出现，提示输入密码，如图D所示。

图D 打开文件前你必须输入密码。

除了可以为一个文档设置文件加密密码外，Office 2007允许你设置一个文件共享密码。加密选项被称作打开密码（password to open），文件共享密码被称作修改密码（password to modify）。

为了设置一个修改密码，你使用在Save As对话框中的Tools（这也是设置打开密码的另一种方式）。就是点击Office标志按钮，然后选择Save As。接着，在Save As对话框中，输入文件名，点击Tools旁边的下箭头，选择General Options，如图E所示。

图E 第二种设置密码的方法是在Save As对话框中通过选择General Options。

在General Options对话框中，你能够输入一个打开密码和/或一个修改密码，如图F所示。

图F 你能够同时设置一个打开密码和一个修改密码。

注意：文件共享密码不会加密文件，也不是安全措施。General Options对话框也允许你打开Trust Center的Macro Settings部分，对此我们将在本文以后讨论。

格式和编辑限制

在General Options对话框中点击Protect Document按钮可以激活格式和编辑限制（也可以从Office ribbon界面的Review标签上的Protect Document选择）。有时，你想分配一个文件给别人，但不想他们对格式做任何改动--或者想限制他们仅作某一类型的编辑（比如插入注解）。

你通过图G所示的任务窗格选择和应用格式和编辑设置。

图G 用Protect Document按钮打开Restrict Formatting And Editing任务窗格激活格式和编辑限制。

你能够限制格式为仅限于你使用的风格，如图H所示。

图H 你能够仅对所选择的风格限制格式。

这阻止其他人来改变风格或直接改变文档的格式。你也能够选择允许任何自动套用格式来不考虑格式限制，来妨碍主题或计划转换，和/或妨碍核心风格设置转换。（选择默认，这些选项都不能被激活。）

如果文档包含你不接受的格式或风格，你将被询问是否想去除它们。

你可以将编辑限制如下：

◆不改变（只读）
◆注解
◆填写表格
◆跟踪更改

如果有部分文件你希望其他人能随意编辑，通过指定那些选择为无限制，或者允许特定的人来改变文档的那些部分。这通过Formatting And Editing任务窗格中的Exceptions选项完成。

选择文档中你允许编辑的部分，从Exceptions列表中选择Everyone，或者点击More Users，然后键入被允许编辑该部分的用户姓名。

应用这些功能，你能够允许一个人来编辑文档的一部分，另一个人来编辑下一部分，等等。例如，你可能允许来自法律部的某人编辑处理法律问题的部分，但防止其他处理技术问题的人编辑这部分。

一旦你设置了限制和你想要的除外，点击Yes， Start Enforcing Protection按钮。接着，出现Start Enforcing Protection对话框，如图I所示，仅用一个密码（非加密）或者使用用户身份验证（文件被加密并且限制访问被激活）来选择保护选项。

图I 你能够仅用一个密码或用加密来加强对格式和编辑的保护。

数字签名

数字签名用于核实一个文档或信息的创建者或发送者的真实性，来确保信息没有被中途截取，避免内容在离开发送者后被秘密更改。（这被称作文档的完整性。）文档签名没有对其加密。

如何进行数字签名

数字签名使用由可信的第三方签发的数字证书，该第三方被称作认证机构（CA）。CA是一个服务器运行的认证服务软件，例如Windows 2000 Server和 Windows Server 2003中的认证服务（Certificate Services）。CA可以是内部的，在一个公司的局域网运行的一台电脑，也可以是外部的或公共的CA，例如由VeriSign, Thawte和其他公司运行的。不论何种方式，CA都为用户的身份做核实和担保，或者为电脑签发一个数字证书。

数字证书基于非对称或公钥的密码系统。该证书包含用户的姓名和一个公钥，其与用户签名信息的私钥相关联，以及一个系列号、截止日期和CA的数字签名。

与先前Office版本的兼容性

尽管旧的Office版本也支持数字签名，但它们使用一种不同的数字签名格式。Office 2007程序使用XMLDSig格式，使其与先前的版本不兼容。因此如果运行Word 2003的用户试图打开一个在Office 2007下签名的文档，将出现一个对话框，告知该用户数字签名已经遗失。

如何向Office 2007信息和文档添加数字签名

你可以向Word, Excel和PowerPoint 2007文档以及Outlook 2007电子邮件信息添加数字签名。

在Outlook中，你可以数字签名单个的信息，或者你可以将Outlook配置成数字签名所有对外的信息。为了为每一个信息签名，创建信息，然后在Message标签，点击旁边的Options来打开Message Options对话框，如图J所示。

图J 点击Security Settings来为一个电子邮件信息添加一个数字签名。

点击Security Settings按钮，然后选择Add Digital Signature To This Message复选框，如图K所示。

图K 你可以发送签名的纯文本信息/或请求一个Security MIME收据

如果你还没有一个来自你发送信息的电子邮件地址相关的数字证书，你将看到一个无效的证书警告，它告诉你如何使用该账户获得数字ID，如图L所示。

图L 如果你的电子邮件账户没有一个数字ID来使用，那么你将获得一个无效的证书信息。

为一个Word, Excel或PowerPoint文件进行数字签名，你可以用以下两种方式中的一种：

◆全透明地
◆用一个签名行

一个全透明的签名提供了文档的真实性和完整性的保证，不需要在文档中可见。一个Signatures按钮显示在程序窗口底部的状况栏中。在你添加签名后，文档变为只读，以便其不能被更改。

为了添加一个全透明的签名，点击程序窗口左上角的Microsoft Office按钮，选择Prepare，然后选择Add A Digital Signature，如图M所示。

图M 从Microsoft Office菜单为Word, Excel或PowerPoint文件添加一个数字签名。

如果你还没有保存文档，那么你要注意，在你签名前必须保存它，而出现的Save As对话框将提醒你如此做。然后，出现Sign对话框，显示将用于文档签名的用户姓名，并且留出一个空白，让你输入签名文档的原因，如图N所示。如果你不想填，也可以保留Purpose处空白。

图N 点击Sign按钮来为文档签名。

你可以点击Change按钮更改用户。只有有证书的用户名才可用。要签名文件，点击Sign按钮。将出现一个Signature Confirmation对话框，提醒你签名已经保存在文档中。现在如果文档从这刻起被更改，那么签名将无效，任何打开该文档的人将被通知此影响。如果签名有问题，Signatures任务窗格将出现，提示出现的问题。

在程序的状态栏中有一个红色的小飘带图表，指示文档已经被签名。

你也可以向一个文档添加数字签名行，以便签名者能够添加自己的数字签名。为此，点击Office ribbon界面的插入标签，点击Signature Line按钮，然后选择Microsoft Office Signature Line。这将打开Signature Setup对话框，如图O所示。

图O 你可以在你和/或其他人能够签名文档的地方插入签名行。

在此，你插入签名者的姓名、头衔和电子邮件地址，以及签名者的任何特别说明。你可以在一个文档中插入多个签名行。

如果想要，你可以允许签名者在签名对话框中添加注解（默认不激活），你可以让Office程序自动插入签名行的日期（默认激活）。

签名行被插入文档如图P所示。

图P 签名行被插入文档并等待用户签名。

当你双击签名行时，将出现Sign对话框，如图Q所示。

图Q Sign对话框允许签名者添加签名行。

文档签名者可以通过以下任一种方式签名文档：

◆在签名区域打字输入他/她的姓名
◆用笔（对于写字板电脑）手写他/她的姓名
◆插入包含他/她的手写签名图片的图像文件

在文档被签名后，一个对话框告知你签名已经保存在文档中，日期被插入（如果你复选了该选项）在文档中的打字输入或手写签名中，如图R所示。

图R 打字或手写的签名出现在文档中，数字签名保存在文档中。

用Office 2007打开文档，签名任务窗格将出现在右侧，提示你文档被签名。任何改动将使签名无效，红色丝带图标将出现在状态栏，如图S所示。

图S 签名任务窗格指示签名有效。

总结

Office 2007中内置的几种机制可以用于保护你的文档和电子邮件信息安全。在本文中，我们了解了其中的三种：文档加密技术、格式和编辑限制以及数字签名。在我们的下篇文章中，我们将讨论信息权利管理（IRM），在发送文档前为个人信息核查文档以及Trust Center的使用。