档案加密是什么？企业保护资安、提升合规性利器

什么是档案加密？

档案加密（File-Based Encryption，FBE）「单一档案」为单位的加密方式，加密范围为整个档案，而非档案中的一部份资料而已，也非针对整个硬碟空间加密。

所谓的加密是指，透过演算法将资料从可以直接读懂的明文，变成乱码一般的内容，需要透过「金钥」才能再把乱码密文变回明文。

在一般电脑或行动装置中，除了档案加密以外，常见的加密范围还包括：

• 全磁碟加密（Full Disk Encryption，FDE）

• 磁碟区／逻辑磁区加密（Volume-Level Encryption）

• 资料夹级加密（Folder-Level Encryption）

若想再进一步了解加密的原理与常见加密法，欢迎阅读《常见加密法》。

档案加密 vs 全磁碟加密

那以档案为加密单位在实际使用上，和全磁碟加密有什么不同呢？档案级加密可以：

• 提供较细致的资讯安全：由于档案加密以个别档案为主，也可以使用不同的金钥加密与解密同一个磁碟上的档案，因此若整颗磁碟或磁碟其他区域遭骇，以档案加密的方式保护的资料，可不受影响。
• 拥有更多弹性：只需要针对有资安需求的档案加密，使用其他档案时，无须重复加密解密整颗硬碟，使用上灵活性较高。
• 提升合规性：有些法规或规范会要求企业或机构以档案加密的方式，以确保特定机敏资料的安全，例如 GDPR、 HIPAA、CCPA 等等。
• 方便传输：加密后的档案仍可透过随身碟、行动硬碟或网路等方式传送，在保密的同时兼顾使用便利性。

然而，也正因为档案加密具备这些细致与弹性的特性，在特定的使用场景下，档案加密反而可能带来特定的挑战与限制：

• 管理复杂度：每个档案分别加密后，若需同时处理多个加密档案，将增加档案管理与金钥管理的难度。即使只是备份，也可能因金钥不同而增加作业上的复杂性。
• 出现相容性问题：若采用第三方加密工具，可能会与原本的作业系统或其他应用软体产生相容性问题，进而影响档案的开启与使用。

档案加密如何运作

一般电脑或装置的使用者，并不会看到档案加密的运作细节。使用者只需透过作业系统或软体介面中的选项，即可轻松点选启用加密功能。

而在解密阶段，系统会自动验证使用者身分，以确认其是否具备授权存取该档案的权限。这通常是透过检查使用者是否拥有正确的金钥来进行。

许多档案加密会使用对称加密的 AES 演算法，对称加密和解密的过程中，使用相同的私密金钥。这把金钥通常会被安全地储存在使用者系统中的受保护位置。

至于在使用者看不见的地方，档案加密的流程为：

加密阶段：

1. 系统自动产生一组用来加密档案的金钥。
2. 将这把金钥与加密演算法结合，对档案内容进行加密处理，产生密文。

解密阶段：

1. 系统会先确认使用者是否拥有与加密时对应的私密金钥或解密凭证。
2. 确认无误后，系统再将该金钥投入演算法进行计算，将密文还原为原始档案内容。

如何加密档案

对一般的使用者来说，进行档案加密其实非常简单，可透过多种方式达成，例如作业系统内建功能、应用软体本身提供的加密选项，或是安装第三方工具来实现。

• 系统内建功能：Windows 作业系统中有「档案加密系统（Encrypting File System，简称 EFS）」，无须安装其他软体，即可直接针对档案加密。
• 软体内建功能：部分软体也会提供加密档案的选项，例如 Adob​​e Acrobat 可用于加密 PDF 档案。
• 第三方工具：也有许多专门的加密工具可供选择，如 AxCrypt、Folder Locker、Advanced Encryption Package、EncryptionSafe、NordLocker 等，都能为特定档案提供额外的安全保护。

企业保护机敏资讯、强化资讯安全的重要性不言而喻。档案加密不仅能提供更细致的资安防护，也有助于满足合规要求，保障企业关键资料。晟崴科技的文件加密系统能为您量身打造专属的档案加密架构，依据文件性质进行分级与分区，加强控管，确保只有经授权的使用者能够存取机敏资讯。此外，文件加密系统还内涵备份与备援机制，降低处理加密档案备份时的人力与作业负担。

立即联络晟崴科技为您提供档案加密规划