数据防护技术分析

　　在企业数据防护技术中，从本质上来说包括2大类，一类是数据加密；另一类则是数据防泄露。前者是为了解决数据的机密性和一致性问题，通俗来说就是防止不该看的人看到数据和篡改数据；而后者主要是为了解决数据的机密性问题，是为了定向地发布数据，控制数据的流通渠道，从本质上来说也是为了防止数据为非法或者不期望的用户所获得。

　　在今年引发的很多用户帐号泄露、机密数据泄密等安全事件中，很多事件就是因为如下几个原因造成的：

　　数据未加密：导致数据在传输通道（如有线网络、wifi等）中或者物理服务器中被有意窃取和捕获，如CSDN的用户帐号泄露事件等。如果数据加密了，黑客和不法用户即算捕获和窃取了加密的数据，要解开他们还是有相当的难度的；

　　未做好数据防泄露工作：导致数据通过USB、邮箱、即时消息等媒体和途径进行传播后，无法确保其仅能被有权限的人访问，从而导致间接泄密。

　　本文将针对上述第一个问题，详细介绍企业如何使用开源工具来进行数据加密工作。

　　使用GnuPG进行应用数据加密

　　随着网络与计算机技术的发展，数据存储与数据交换的安全性已经变得越来越重要，加密技术已经很早就用于数据存和数据交换。GnuPG（GNU Privacy Guard）就是用来加密数据与制作证书的一套工具，其作用与PGP类似。但是PGP使用了许多专利算法，属于"臭名昭著"的美国加密出口限制之列。GnuPG是GPL软件，并且没有使用任何专利加密算法，所以使用起来有着更多的自由。

　　具体地说，GnuPG是实现安全通讯和数据存储的一系列工具集，可以做加密数据和做数字签名之用。在功能上，它和PGP是一样的。由于PGP使用了IDEA专利算法，所以使用PGP会有许可证的麻烦。但是GnuPG并没有使用这个算法，所以对用户来说使用GnuPG没有任何限制。GnuPG使用非对称加密算法，安全程度比较高。所谓非对称加密算法，就是每一个用户都拥有一对密钥：公钥和私钥。其中，密钥由用户保存，公钥则由用户尽可能地散发给其他人，以便用户之间的通讯。该软件可以从网站http://www.gnupg.org/上进行下载安装。

　　1、安装GnuPG

　　很多开源系统已经自带了GnuPG的软件安装包，用户可以在系统安装时选择安装，也可以以后安装。一般，在系统中会有两个已经安装的GnuPG软件包，一个是GnuPG 1.x，一个是GnuPG 2.x。后者是GnuPG的最新稳定版本，它兼容OpenPGP和S/MIME，并且不会和已经安装的1.x系列有任何的冲突。相比1.x系列来说，由于有些新的功能（支持S/MIME）加入，所以其在运行时间和软件包大小上都比1.x系列要大。但是从功能实现上来说，与1.x相差无几。为了解释和讨论的有效性和一致性，本系列将采用GnuPG 1.x系列进行讲解说明。