引:作为企业级的文件加密解决方案实施过程并不容易,前期周密的调查和测试、实施过程中的认真部署以及后期的验证和核实等环节,每个都不能疏忽
作为企业级的文件加密解决方案,其实施过程并不容易,前期周密的调查和测试、实施过程中的认真部署以及后期的验证和核实等环节,每个都不能疏忽。
如果你正准备实施文件加密解决方案,这里有一些项目实施之前需要考虑的问题和一些忠告,可以帮助你少走弯路,尽快部署成功。
1.文件加密解决方案是否适合本企业?
不少文件加密项目因为用户对文件加密这种方法本身存在的问题不满而草草收场。这些问题包括个别词句没有加密、文件保存在加密区域之外、文件被打开而无法加密导致文件最终没有加密等。如果这些问题在你看来很重要,可以考虑采用卷加密或者全磁盘加密。随着CPU计算能力的提高和存储设备价格的下降,采用卷加密和磁盘加密方法的用户如今逐渐多起来了。
2.注意保存密码
数据的成功加密只是项目成功的第一步,下一步是在需要时把加密的数据解密出来。人们丢失密码的事情并不少见,这很可能导致整个卷的数据完全无法再用。因此,在项目开始之初,必须确保解密的钥匙能自动归档,缺省的情况下,每次都要自动归档。不要把这个工作留给最终用户,也不要让他们介入这个过程。切记,在项目开始之前务必测试、测试、再测试。要知道,只要出现一次明显的数据丢失事故就标志着数据加密项目接近于失败。
3.数据保存在什么地方?
项目开始之前,还要调查数据保存在什么地方以及它们要传输到何处。很难想象,在根本不知道数据究竟在何处时就开始实施数据保护计划。现在的数据保存地点越来越多样化,不仅可以保存在磁盘上(如服务器、工作站和笔记本),还可以保存在优盘、光盘、备份的磁带等设备上。弄清楚要加密的数据保存在何处,是选择合适的解决方案的第一步。
4.处于传输中的数据怎么办?
大多数数据加密程序可以对静态的数据进行保护,但是,那些在企业网和广域网中传输的数据如何保护?要对它们进行加密吗?在实际项目中,很多企业完全忽视了这部分处于传输状态的数据,而只是解决静态数据(如保存在硬盘、优盘中的数据)的保护问题。不过,这并不意味着可以忽略后者。有时候,我们需要额外的解决办法来保护这些传输中的数据,比如采用SSL或者IPSec。
5.应用程序和加密程序兼容吗?
这似乎有些奇怪,但是确认这一点很有必要。大多数加密程序可以无障碍地在后台顺利地运行,但是,它们都需要专门的磁盘驱动程序和API调用。很多老程序并不使用这些磁盘调用,因此它们会绕过加密程序而破坏数据。在数据加密完成以后,要彻底检查所有要读取数据的程序是否能正常运行。最后,还要确保数据备份程序与之兼容。
6.加密哪些文件?
除非你采用卷加密或者全磁盘加密,否则不太可能对所有的文件都进行加密。这一方面可以减少对存储空间的需求,同时也减少对计算能力的需求。因此,需要决定所要加密的内容并进行试验。很有可能,你会发现,由于操作系统的一些普通操作或者应用程序方面的问题,个别文件没有办法加密。
7.验证加密的结果
几乎在每一个加密项目中,总有一些文件是要求对它加密,而最后却没有被加密的。因此需要对结果进行验证。在加密完成后,使用磁盘扇区编辑器,随机抽取文件中的一些字符在加密后的文件中进行搜索,看看是否这些字符并没有被加密,而直接保存在加密后的文件中了。
8.性能损失多少?
所有的加密工作都需要消耗计算机的计算资源。问题是损耗多少?多少是可以接受的?很多加密项目中加密工作完成得很好,而解密却因为文件过大(如电子邮件归档)而进行得异常缓慢。因此在选择解决方案时,一定要先进行试验,确保加密/解密过程不要过多地影响整个系统的运行。通常,占用2%~5%的计算能力是可以接受的。
打开的文件通常是无法进行加密的,因此,在加密程序开始运行时可以考虑重启计算机,以保证所有的文件都是关闭的。在重启后,首先考虑对最大的文件进行加密(如Outlook的ost和pst文件),并允许最终用户对应用程序进行基本的设置,以尽量减少在操作时的人为干预。
如果可能的话,可以分别在低优先级状态、正常状态和高优先级状态等三种情形下测试加密过程。在Windows系统中,可以通过任务管理器或者在命令行中输入“Start”命令修改程序在CPU中的优先级。低优先级用于用户希望在加密时还能登录计算机进行其他操作。当然,这时很可能会出现由于文件被用户打开而无法加密的情况。高优先级用于需要保证加密任务尽快完成的场合,这时在加密完成之前用户不能进行任何其他操作。 |
