企业选择加密软件时的注意事项

很多企业选择加密软件的时候只关注加密软件是否满足企业需求，加密软件的价格等等方面上的事情。而往往会忽视一些很关键很重要的问题，所以这里给企业用户提一些在选择加密软件时的建议。

一、 加密软件是否自动透明加密

“透明”就是指加密的动作不需要人工干预，是软件自动完成的。比如：用WORD建立一个文档的时候，软件应该能自动把这个新建的文件加密，对用户完全透明，不影响用户的操作习惯。

大部分加密软件都是透明加密的，但是也有区别。很多应用软件在编辑数据文件时，都会生成临时文件。比如Word在编辑文档时，会在同目录下出现以“~$”开头的文件和一个以“~”开头并以tmp为后缀的文件。这些临时文件在相应的数据文件被正常关闭后，会被删除。由于这些临时文件也存储有企业的机密数据，因而这些临时文件也应该是要能自动加密的。

二、 加密的算法及密钥的安全性

对于一个脱离了企业环境的密文来说，安全完全由算法和密钥来决定。所以选择加密软件的时候，对其采用的算法和密钥的安全性一定要了解。一般来说，加密算法基本都采用国际流行的算法：比如RSA、DES、RC、AES等，这些算法虽然是公开的，但根据现代密码学的理论，加密算法的公开与否并不影响其安全性，一个好的加密算法的安全性只依赖于密钥。因此对于脱离了企业环境的密文来说，密文的安全主要靠密钥的安全来保证。

一个加密软件的密钥是否安全应该主要要解决如下几个问题：

（1） 加密软件的厂家如果获取到企业的密文，厂家应该是不能解密的。很多加密软件，密钥是根据计算机的某些特征值由程序生成的，企业自己无法设置，这样只要知道了硬件的特征码，厂家就能轻松获取到用户的密钥，那么企业的文件对厂家来说就是没有保密可言了；还有些加密软件的密钥就是系统固定的，这样厂家只要拿到密文，就能解密；

（2） 企业内部的密文，拿到另外一个企业里面，应该是不能解密的：现在很多加密软件的控制端都由企业的网络管理人员在使用，那么一旦网管人员离职，重新安装相同的加密软件，应该保证原单位的文档即使拷贝过去也不能阅读。也就是要保证不同企业能有不同的加密密钥。

（3） 在使用过程中，如果密钥泄露，应该要有补救措施：比如说密钥能支持更改，这样密钥泄露了，企业可以方便的更换。

三、 加密软件是如何判断一个文件是否需要加密的

不同的企业，甚至同一个企业的不同部门，所要加密的文件有可能是不相同的。例如设计部需要对产品图纸进行加密，办公室需要对Office类文档进行加密。所以，如何判断某个文件是否应该加密，是加密软件一个很重要的考查指标。一般来说，如何判断某个文件是否需要加密，有两种选择方式：

1、指定受控路径（目录或者盘符）：

即保存在指定目录或者指定盘符中的文件一律加密。管理员可以为每一个客户机指定一个或多个需要加密的受控路径。用户如果将文件保存到这个路径下，那么文件就会被加密。这种方式带来的问题就是：客户端有可能将机密文件保存到非受控路径下。厂商们为了应对这个问题，通常会向用户提供这样的解决方案：① 将所有的应用软件全部安装在C盘，然后对C盘做一个镜像，其他盘（无论是逻辑盘还是物理盘）都只允许存放数据文件；② 将除C盘以外的所有盘符都设定为受控路径，以确保所有的数据文件都是密文存储；③ 每次Windows启动时，或者Windows关闭前，都会对C盘进行自动还原（这一点很像网吧和部分企业中采用的还原技术）。

2、指定受控程序和受控后缀方式：

即由指定的应用软件生成的指定后缀文件（或者所有文件）一律加密。系统管理员可以为每一个客户机指定一个或多个受控程序。客户端如果用这些受控程序保存文件，那么文件就会被加密。例如，前文所列举的例子，管理员就可以将CAD设置（同时CAD生成的所有文件设置为受控后缀）为设计部的受控程序，将Office设置为办公室部门的受控程序。

这些注意事项都是企业用户所要关注的，所以企业用户在选择加密软件的时候一定要仔细的进行调查，并要亲自的测试和评比，加密软件的好与坏企业用户心中肯定会有一座天平去衡量。

admin普通用户

海报分享