扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
当然RMS也有缺陷,不能提供主动抵挡攻击者对系统的攻击,也无法抵御模拟攻击,如使用数码相机或第三方屏幕拷贝、记忆传播等。
2、EFS(Encrypting File System)方案
EFS提供NTFS分区中文件级别的加密技术,基于公钥策略,使用公钥/私钥密钥对文档进行加密。这种加密对用户是透明的,它是用公钥加密,用私钥解密,安全性极高。另外在Vista和2008中的EFS得到了增强。使用智能卡上直接存储的加密密钥进行EFS加密,基于向导将旧智能卡中的文件迁移到新智能卡中,启用EFS 时加密系统页面文件,增加了新的“组策略”选项。Vista和2008中的EFS可以加密系统的页面文件,这样防止系统被脱机攻击,造成EFS加密被破解。还可以选择EFS密钥的长度强制加密“我的文件夹”。(图2)
EFS的限制,如果用户的私钥丢失,则数据将永远丢失,私钥很重要,千万不能丢失。EFS加密的强度非常高,私钥丢失,文件无法打开。因此要安全部署,防止恶意加密。比如,在企业中有这样的员工,因对企业不满,在离开前恶意加密了某些文件,然后把帐户删除,这样就造成了数据的无法打开。针对这种恶意的加密用以下两个方法来解决:其一,修改注册表,防止加密。其二,部署DRA(数据恢复代理)。(图3)
在企业中基于数据的安全性考虑,应用EFS方案要遵循这几点:部署尽可能少的DRA;至少有一个DRA;DRA使用后删除私钥;加密文件夹而不是单个文件。
EFS加密是基于操作系统的,如果系统在启动前已经被攻破的话,那他就没法实现自己的功能,因此在数据纵深保护中下面这个环节非常重要。
3、BitLocker方案
Vista必定是未来系统的主流,在企业中部署Vista就能在很大程度上加固数据的安全,防止泄密。Vista提供的BitLocker技术是基于硬件的加密技术,它能为计算机提供脱机数据和操作系统保护,很好地解决了对EFS加密的脱机攻击。另外BitLocker是一种全卷加密技术,能够确保早期启动组件的完整性,能通过加密整个卷来帮助防止数据被盗或未经授权查看。(图4)
BitLocker很好地解决了企业环境下的来自于硬件的泄密,它给予数据操作系统之下的安全屏障,启动时自动提供解密密钥,保护系统分区,保护用户数据,保护注册表,与操作系统无缝的集成,保护引导分区,杜绝离线攻击,提供系统启动前基于数据的保护。
比如现代企业中每年都会淘汰一部分电脑,如果处理不当,这部分电脑就成了信息的泄露源,利用BitLocker技术可以通过销毁RootKey的方式快速地使电脑上的数据失效,防止了数据的泄露。系统启动故障,也容易造成数据的泄密,BitLocker可以确保启动过程的完整性。因为在系统启动时验证各个启动组件的完整性,防止对启动组件的恶意修改;任何以其他途径启动,都无法访问和修改被加密的系统卷;如果窃密者保护的卷做了改动,会导致系统无法正常启动。桌面安全也是企业信息泄露的一个途径,BitLocker在离线状态下保证系统和数据的安全,加密整个Windows的安装卷和其中所有用户的数据,该卷在未正常启动的情况下不可读。(图5)
在企业数据存储和分发的流动过程中,会面临来自各方面的威胁。本文讨论的RMS、EFS、BitLocker都是从技术的角度来保护数据的安全,防止泄密。要更好地保护企业的数据,只有技术和制度互相结合,才能发挥更大威力。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。