如何才能有效保護企業的數據安全？在WINDOWS系統中我們可以用到EFS加密，這種加密方法是通過企業證書來實現，計算機加入域后可以獲得企業證書-公鑰，用戶加密時會產生一個私鑰，公鑰和私鑰匹配時才能打開數據。在WINDOWS7系統，我們可以用到微軟的BitLocker來加密我們的數據，加密的原理就是基于用戶的SID，在微軟的加密機制中如何確保用戶的唯一性？根據用戶的SID來獲得，只要是新建用戶，都會產生新的SID，我們的加密技術也是要求生成的密鑰具有唯一性，否則就無法保護數據的安全。 ?

?

微軟的BitLocker加密可以實現全盤加密，也可以單獨對某個盤加密，更能對U盤加密，設置密鑰訪問或是密碼訪問等方式，對個人用戶而言不用單獨購買LICENSE就可以加密數據，但由于生成的密鑰保存需要用戶自己管理，沒有單獨的備份密鑰機制，所以不適合企業級的用戶使用。我們所需要的數據加密是可以做到企業管理員恢復的，可以確保加密數據的恢復。目前有這方面的商業軟件能夠實現數據加密及恢復機制。

我們使用的是一種加密機制，在客戶端需加密用戶登錄之后，在其用戶下安裝加密軟件之后，會根據用戶名生成KEY，這個KEY是加密軟件用企業證書生產的，通過企業網絡上傳到企業的加密服務器保存。加密軟件生成的KEY會自動備份到服務器上，我們從服務器上可以看到用戶KEY信息，包括用戶何時加密，在哪些計算機上加密，加密是否成功等信息，商業上的數據加密是要做到可以恢復解密數據。我們接下來要等加密軟件對全盤數據開始做加密，這個過程是漫長的，至少要3個小時，加密之后重新啟動，我們首先進入的加密軟件引導的界面，需要輸入我們的企業默認加密密碼，然后才開始進入WINDOWS操作系統。

加密的好處，如果不能在規定的次數內正確輸入密碼，那么硬盤將鎖住加密數據，我們用PE工具盤看到的硬盤是空白的，不會顯示任何數據，也就是說加密數據之后，我們只能通過輸入密碼才能進入操作系統。那么如果我們輸錯密碼，或是硬盤出現I/O訪問錯誤時，我們是如何才能把數據完整的恢復出來呢？大家是否還記得之前加密生產的KEY，我們用從服務器上下載這個KEY到U盤，用加密軟件專用的PE工具盤引導之后，通過加密軟件導入KEY，從而才能打開硬盤數據。

數據加密用到的方法也是企業證書的應用，我們在工作中遇到這樣的問題，必須通過找到私鑰才能解密數據，所以我們對加密數據要特別謹慎，不能丟失私鑰，否則的話加密的數據“神仙也難救”了。


本文轉自 zhaiken 51CTO博客，原文鏈接：http://blog.51cto.com/zhaiken/336284，如需轉載請自行聯系原作者

總結

以上是生活随笔為你收集整理的企业证书系列之数据加密的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。