安全無小事。對于企業(yè)來說，如何保障數(shù)據(jù)的安全，有時候比如何利用信息化技術提高辦公效率更加的重要。所以，隨著企業(yè)競爭的加劇，企業(yè)之間的競爭逐漸演化會信息的競爭，CIO又有了一個新的任務，就是如何最好的保證企業(yè)數(shù)據(jù)的安全，防止數(shù)據(jù)外泄給企業(yè)帶來損失。

　　對于這數(shù)據(jù)安全方面的內容，若要寫的話，恐怕可以寫一本萬科全書了。筆者今天在這里要談的，只是針對文件加密這一技術中的某一小塊內容，即在采用EFS文件加密系統(tǒng)過程中所需要注意的問題。

　　EFS (加密文件系統(tǒng)），其采用一種核心文件加密技術。加密了文件與文件夾之后，用戶可以像使用其它文件或者文件夾一樣使用它，也就是說，對于合法用戶來說，是透明的。但是丟與非法用戶來說，則就無法打開這些經過EFS加密過的文件或者文件夾。故EFS技術可以很好的保障企業(yè)數(shù)據(jù)的安全性。如有用戶非法拷貝公司的機密文件，則其他用戶跟本打不開這個加密文件。EFS采用高級的標準加密算法實現(xiàn)透明的文件加密與解密過程。任何不擁有合法密鑰的個人或者程序都不能夠讀取加密的數(shù)據(jù)。

　　不過，任何一種有效的加密工具，若利用的不好的話，仍然會帶來潛在的危險。故，在使用EFS文件加密系統(tǒng)的時候，也需要了解一些注意事項。

　　一、 文件加密密鑰需要存檔，以防不時之需

　　從理論上來說，EFS加密技術依靠用戶的標識與密碼。若只要獲得用戶的標識與密碼之后，就可以破解這個文件。但是，從現(xiàn)實中來看，這往往是不可能的。也就是說，可能要獲得用戶的密碼容易，但是，若要獲得用戶的標識信息的話，則相對來說比較困難。因為這里指的用戶標識不是在系統(tǒng)登陸時的用戶名，而是這個用戶名在操作系統(tǒng)中所對應的一串數(shù)字代碼。這個數(shù)字代碼的話，是受到操作系統(tǒng)嚴格保護的。即使是最利害的攻擊者，很很難獲取用戶名對應的這個數(shù)字標識。而且，即使相同的用戶名，這個數(shù)字標識也是不同的。

　　這就產生了一個不得不注意的問題。當操作系統(tǒng)出現(xiàn)故障需要重新安裝時，由于新建用戶，即使用戶名相同，其用戶標示也是不同的。也就是說，其“用戶名”是不同的。此時，即使知道密碼，則原先加密過的文件，也無法打開了。

　　不久之前，還有個朋友向我求救。他說，他們企業(yè)中有個用戶采用了EFS加密文件。但是，后來由于他的電腦由于操作系統(tǒng)的分區(qū)出現(xiàn)了磁盤壞道，所以，不得不對壞道進行隔離，并且重新安裝了操作系統(tǒng)。但是，系統(tǒng)重新安裝之后，以前采用EFS機密的幾個文件打不開了。而且，他由于一時疏忽，也備份這個密鑰。問我有什么可以破解的方法？我搖了搖頭，只好說愛莫能助。雖然理論上可以利用電子字典等工具破解，但是，這個破解的話，即使現(xiàn)在世界上最好性能的計算機，有需要幾十年的時間才能夠破解。

　　故，對于企業(yè)用戶來說，為了應對這些不時之需，需要對這些加密密鑰進行獨立的備份。像現(xiàn)在筆者的做法就是，把每個用戶的用戶身份認證信息，包括加密密鑰，都被分到一個獨立的媒體設備上。如此的話，即使以后因為什么原因導致操作系統(tǒng)崩潰，仍然可以打開原有的EFS加密文件。

　　二、 網(wǎng)絡傳輸過程中的加密問題

　　若采用了EFS加密技術，加密后的文件，在網(wǎng)絡傳輸過程中，是否加密，則取決于具體的情形。

　　如用戶的文件是存儲在網(wǎng)絡文件服務器上，而這個服務器上這個用戶的文件夾采用了EFS技術進行加密。此時，就會產生一個問題，就是若客戶端需要使用這個文件時，在這個從服務器到客戶端傳輸?shù)倪^程中，文件是否加密的問題。

　　若用戶直接在客戶端上打開文件服務器上這個文件，則從文件服務器上到客戶機上的傳輸過程是明文傳輸?shù)摹Ｒ簿褪钦f，其解密的過程是發(fā)生在文件打開的那一剎南。當文件被打開，文件內容傳輸?shù)娇蛻舳说臅r候，都是明文實現(xiàn)的。此時，若網(wǎng)絡中存在一些嗅探工具的話，則這些信息就會輕易的被非法攻擊者獲取。此時，若要杜絕這種情況，就需要采用其他的一些加密措施，如IPSEC安全策略等等。

　　如果用戶不是直接打開這個加密過的文件，而是把這個文件從服務器上拷貝到本機上的文件夾，而這個文件夾又恰巧是采用EFS加密過的。則此時文件在網(wǎng)絡傳輸過程中是加密過的內容。此時，即使非法攻擊者竊取了網(wǎng)絡中傳輸?shù)膬热?，到他們手里也是沒有用的。因為全都是密文傳輸。不過，此時，若用戶本機上的文件夾是沒有采用EFS加密的，則此時在復制文件夾的過程中，必須要在文件服務器上先對文件進行解密，然后在傳輸?shù)娇蛻舳酥鳈C上。此時，加密文件在網(wǎng)絡中傳輸?shù)倪^程仍然是明文的。

　　可見，若企業(yè)需要提高網(wǎng)絡傳輸?shù)陌踩?，防止機密文件在傳輸過程中泄漏，則就需要在客戶端本機上也必須配置一些EFS加密的文件夾。在需要使用遠程文件服務器上的EFS加密文件時，最好通過復制的方式，先把他復制到本機的EFS加密文件夾內。如此的話，才能夠保證文件在網(wǎng)絡傳輸過程中的安全性。

　　三、 文件壓縮與文件加密，不能夠并用

　　文件壓縮與文件加密是微軟操作系統(tǒng)NTFS分區(qū)格式提供的兩個重要的工具。但是不知道為什么，這兩兄弟是水火不容，有壓縮就沒有加密。若用戶企圖對某個壓縮的文件夾或者文件采取加密的話在，則這個文件與文件夾則會被自動解密。這是需要注意的地方。

　　筆者剛開始接觸這個EFS技術的時候，就犯過這個錯誤。一次，筆者看到一個硬盤分區(qū)的容量快滿了，就采用了文件壓縮的功能，硬是把分區(qū)中的文件壓縮了90%，爭取了10%的空間出來。當硬盤分區(qū)使用率到了95%的時候，我又對其中的一個壓縮了的文件夾進行EFS加密，但是，加密不成功。這讓我非常的奇怪。因為分區(qū)已經采用了NTFS格式，而且，加密的文件或則文件夾也不是系統(tǒng)文件與文件夾。那為什么會不成功呢？一開始筆者以為是否是文件所有者的問題，就單獨對一些子文件夾進行加密，可是問題依舊。后來查看了錯誤代碼與系統(tǒng)日志文件，才發(fā)現(xiàn)原來是對文件加密的時候，系統(tǒng)會先對壓縮過的文件進行解密。而現(xiàn)在磁盤的分區(qū)已經不能夠容納解壓縮后的文件。所以，這就導致了文件加密的失敗。

　　從這個事件之后，讓我明白了文件加密與溫家壓縮水火不相容。所以，CIO在EFS技術部署的時候，需要注意不能夠在一個文件夾上同時采用文件加密技術或者文件壓縮技術。有時候，我們?yōu)榱税踩紤]，往往需要犧牲一點硬盤的容量。還好現(xiàn)在硬盤大幅度跳水，已經不成為企業(yè)信息化應用的主要瓶頸資源。

　　四、 加密文件不能夠防止刪除。

　　雖然對某些文件采取了EFS加密技術，可以有效的防止非法用戶閱讀、修改這些文件。但是，具有刪除等權限的人員，仍然可以輕松的刪除這些文件。

　　如在文件服務器上，我們雖然對文件夾采用了EFS加密，但是，有些企業(yè)在分配權限的時候，不怎么細致。如筆者知道一家企業(yè)，他們在文件服務器部署的時候，一個部門的用戶都屬于同一個組，就有他們這個部門文件的所有操作權限，包括刪除權限等等。此時，雖然采用了EFS加密技術，同一個部門的用戶也不能夠閱讀其他用戶建立的文件。而只能夠打開自己保存的文件?？墒?，A用戶雖然不能夠打開B用戶創(chuàng)建的文件，但是，因為A與B兩個用戶是屬于同一個部門，有文件刪除的權限。所以，A用戶雖然不能夠查看用戶B的文件，但是，卻可以刪除或者剪貼掉。

　　很明顯，這與我們的愿望是背道而馳的。所以，若光采用EFS加密技術的話，是不能夠確保文件被意外刪除的。此時，往往需要采用其他的權限管理方法，來加強文件的安全性。

　　五、 EFS加密不依賴于特定的應用系統(tǒng)

　　一開始，筆者在向企業(yè)用戶介紹EFS的時候，他們會擔心，是否只有微軟的應用軟件支持這個EFS技術呢。其他的軟件是否支持？如企業(yè)現(xiàn)在采用作圖軟件做的一個設計圖紙，我要對其采用EFS文件加密，則下次是否還能夠打開呢？

　　其實，這主要是對EFS文件加密還有些誤區(qū)。EFS加密技術不是發(fā)生在應用層，而是位于文件-系統(tǒng)層。換句話說，EFS加密技術跟應用軟件是無關的。無論是什么應用軟件，只要其存儲數(shù)據(jù)的文件夾是采用EFS加密的，則其在保存文件時，就會自動被加密。下次再打開時，則會自動被解密。這個加密解密的過程，跟應用軟件是無關的。