几种常用的文件加密方法

admin管理员组

文章数量:1639675

下文是中软通用产品研发中心陈尚义根据http://blog.sina/s/blog_611c36a80100gch7.html?tj=1编译.

 

 

 

 

      每个人的电脑硬盘中都会有一些个人隐私或秘密文件，不想让别人打开看到，比如一些账户密码、个人档案、网银信息、客户资料之类的文件。一种是防止家人或朋友使用我的电脑时无意看到；另一种是在上网的时候，这些信息很容易被黑客窃取并非法利用。公司重要文件也要受到安全保护，如软件公司的源代码程序文件，工程设计公司的图纸文件，制造企业的配方，军工企业涉及的军事秘密，对于公司来说含这些文件都是非常重要的，直接关系到企业的经济利益和国家机密，不希望流失到企业外部、竞争对手或敌对势力手里。私人信息和公司信息泄露的事故时有发生，后果也很严重。

      那么，怎样才能解决这个问题呢？最根本有效的方法就是对重要文件加密，下面介绍几种常见的加密办法。

 　　

      1.利用组策略工具把存放隐私资料、重要文件的硬盘分区设置为不可访问。

      具体方法：首先在开始菜单中选择“运行”，输入gpedit.msc命令，回车，打开组策略配置窗口。选择“用户配置”->“管理模板”->“Windows资源管理器”，双击右边的“防止从“我的电脑”访问驱动器”，选择“已启用”，然后在“选择下列组合中的一个”的下拉组合框中选择你希望限制的驱动器，点击确定就OK了。

      效果：如果你试图打开被限制的驱动器，将会出现错误对话框，提示“本次操作由于这台计算机的限制而被取消。请与您的系统管理员联系”。这样就可以防止大部分黑客程序和病毒侵犯你的隐私了。绝大多数磁盘加密软件的功能都是利用这个小技巧实现的。这种加密方法比较实用，但是其缺点在于安全系数很低。厉害一点的电脑高手或者病毒程序通常都知道怎么修改组策略，他们也可以把用户设置的组策略限制取消掉。因此这种加密方法不太适合对保密强度要求较高的用户。对于一般的用户，这种加密方法还是有用的。

   

      2.利用注册表中的设置，把某些驱动器设置为隐藏。

      具体方法：在注册表的HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer中新建一个DWORD值，命名为NoDrives，并为它赋上相应的值。例如想隐藏驱动器C，就赋上十进制的4(注意一定要在赋值对话框中设置为十进制的4)。如果我们新建的NoDrives想隐藏A、B、C三个驱动器，那么只需要将A、B、C驱动器所对应的DWORD值加起来就可以了。同样的，如果我们需要隐藏D、F、G三个驱动器，那么NoDrives就应该赋值为8+32+64=104。怎么样，应该明白了如何隐藏对应的驱动器吧。目前大部分磁盘隐藏软件的功能都是利用这个小技巧实现的。隐藏之后，WIndows下面就看不见这个驱动器了，就不用担心别人偷窥你的隐私了。

      但这仅仅是一种只能防君子，不能防小人的加密方法。因为一个电脑高手很可能知道这个技巧，病毒就更不用说了，病毒编写者肯定也知道这个技巧。只要把注册表改回来，隐藏的驱动器就又回来了。虽然加密强度低，但如果只是对付一下自己的小孩和其他的菜鸟，这种方法也足够了。

     

      3.利用Windows自带的“磁盘管理”组件也可以实现硬盘隐藏

      具体方法：右键“我的电脑”->“管理”，打开“计算机管理”配置窗口。选择“存储”->“磁盘管理”，选定你希望隐藏的驱动器，右键选择“更改驱动器名和路径”，然后在出现的对话框中选择“删除”即可。很多用户在这里不敢选择“删除”，害怕把数据弄丢了，其实这里完全不用担心，Windows仅仅只是删除驱动器的在内核空间的符号链接，并不会删除逻辑分区。如果要取消隐藏驱动器，重复上述过程，在这里选择选择“添加”即可。

      这种方法的安全系数和前面的方法差不多，因为其他电脑高手或者病毒程序也可以反其道而行之，把你隐藏的驱动器给找回来。

      前面三种加密方法都是利用Windows自身附带的功能实现的，加密强度较低，不太适合商业级需要。下面再介绍几种绝对安全的加密方法。

      4.利用WinRAR等工具可以比较安全地为你的数据加密

      大家一提起WinRAR，总是会想到它强大的压缩功能，其实，WinRAR的加密功能同样很强大。WinRAR采用的是单向加密，而单向加密是不可能被破解的。因此，如果我们需要保护隐私，只要把这些隐私文件压缩成一个包，并且加上密码，就绝对安全了。任何黑客和电脑高手都不可能窃取到你的隐私。

      用WinRAR加密虽然绝对安全，但是加密速度很慢，而且每一次使用都要解密，然后再加密，比较麻烦。因此，加密方法四仅适用于对加密强度要求很高的用户。而且满足不了强制加密环境的要求。那什么是强制加密环境呢？请继续往下看。

      5. 透明加解密技术

加密有两种办法：一种是依靠企业内部员工的保密意识，员工在具体工作中主动保护这些信息，在电子信息系统中将这些重要信息和文件主动加密；第二种办法是采取一种强制的手段（有人也叫被动加解密，文件是否需要加密，具体的文件操作者是没有选择权的、是被动的），对那些重要的文件实行强制加密。

内部员工是敏感信息和文件操作的主体，大量事实说明他们是造成泄密的主要根源。第一种办法是基于对员工的完全信任基础之上，显然，这种方法存在较大弊端，不能防范内部员工作案和疏忽。使用这种方法，文件是否加密取决于文件操作者个人的判断和责任心；内部人员恶意将机密信息带出行为将无法得到控制。

强制加密措施能从根本上解决以上问题。所谓“强制”，应该有两个基本特征：一方面，只要企业认为是需要保密的信息，一律都要加密，加密与否不取决于文件操作者个人的主观判断；另一方面，经过加密的文件只有在单位内部环境中才可以打开并利用，离开了单位内部的环境，经过加密的文件是打不开的。这样一来，文件操作者（甚至文件作者）有意泄露机密的行为能够得到有效遏制，因为他拿走的文件是经过（强制）加密的，离开了内部的安全环境，文件是无法被解密打开的。

综上所述，只有强制加解密措施才能有效防止内部和外部窃取机密的行为，从根本上解决泄密防范问题。透明加解密技术可以解决上述问题。

透明文件加解密技术，在这里特指运行在用户桌面电脑中的程序，接受服务器的安全策略，根据策略判断什么样的文件需要加密，什么样的文件不加密；根据加密策略，选用什么样的加密算法、选用什么密钥，然后在用户执行打开、编辑、存盘等文件操作中，强制执行这些策略。所有这些过程是在不改变用户行为习惯的基础上，即文件的操作者是感觉不出以上这些过程的，所以对用户来讲是“透明”的。

例如：策略规定：对所有的MS Word文档都要强制加密，那么用户只要将文件存入磁盘介质，文件在介质上就一定是加密的；当用户将文件从磁盘上读出来编辑的时候，文件自动地被解密，以便用户可对其正常操作。

“自动”或“透明”隐喻着解密过程只能在企业内部进行。离开了企业内部的环境，被加密的文件是解不了密的，因为解密需要密码和算法，只有内部环境才能“自动”或“透明”地提供解密所需的密码和算法，外部环境不具备这样的条件。这一点满足了强制加密的“只有内部环境才可以利用加密文件”的要求。

显而易见，透明文件加解密技术可用来实施强制加密措施。这是因为透明性符合了强制加密的要求，即文件加密与否，不是由操作者个人的意志决定的，而是根据策略服务器的指令来进行的；被加密的文件只有在企业内部才可以解密。

 

 

 

本文标签： 几种文件加密常用方法