加密是最基本的数据安全最佳实践之一,但它经常被忽视。无论是通过便携式设备还是通过网络,所有关键业务数据都应在静止或传输中进行加密。如果便携式系统将保存任何类型的重要数据,则应使用加密磁盘解决方案。对于存储关键或专有信息的桌面系统,加密硬盘驱动器将有助于避免关键信息的丢失,即使存在漏洞并且计算机或硬盘驱动器丢失也是如此。例如,在Windows系统上加密数据的最基本方法是加密文件系统(EFS)技术。如果您使用EFS保护数据,未经授权的用户即使拥有设备的完全访问权限,也无法查看文件的内容。当授权用户打开加密文件时,EFS在后台解密文件并向应用程序提供未加密的副本。授权用户可以查看或修改文件,EFS将更改透明地保存为加密数据。如果未经授权的用户尝试这样做,他们会收到“拒绝访问”错误。Microsoft的另一种加密技术是BitLocker。BitLocker通过为存储在Windows设备上的数据提供额外的保护层来补充EFS。BitLocker可保护丢失或被盗的设备免遭数据盗窃或泄露,并在您停用设备时提供安全的数据处理。
基于硬件的加密
除了基于软件的加密之外,还可以应用基于硬件的加密。在某些BIOS配置菜单的高级配置设置中,您可以选择启用或禁用可信平台模块(TPM)。TPM是一种可以存储加密密钥、密码或证书的芯片。TPM可用于协助生成散列密钥并保护智能手机和除PC以外的设备。它还可以用于生成与整个磁盘加密一起使用的值,例如上面描述的BitLocker。TPM芯片可能安装在主板上。