部署可扩展数据保护方案

这样的方案不仅要求用户记住某些东西登录到网络，还要求用户要拥有某些东西。这可以是智能卡或令牌，也可能是用户的生物特征，例如指纹。但这 样的多因子认证方案如何才能具备可扩展性呢？

在购买多因子认证方案之前，你要判断你的数据库能否容纳下众多员工的需求。如果采用卡或令牌的解决方案，你需要判断系统管理员登记每一张新卡 或令牌所花费的时间。系统应当使多因子认证方案能够得到快速的部署，同时也能方便的扩展。

加密
即便是有优秀的认证手段支持着你的权限访问控制，你还是会有一些数据希望享受到更安全的服务。因此，对这些数据而言，增加一层加密保护会很好 。你可以使用Windows 2000、XP内置的文件加密系统（EFS，Encrypting File System）。 EFS是基于公共密钥和数字证书的加密技术，但你不需要PKI就可 以使用它。该方案非常容易扩展。因为在企业很小的时候你可以无需PKI直接使用EFS，当企业规模增大，你可以再部署PKI发行EFS验证。

你可以加密文件夹，然后把文件放进去，这样你就不需要单独加密一个个的文件。只要设置合适的访问权限，这样的方案更具备可扩展性。

还有诸如SafeBoot Content Encryption这样的第三方加密方案，能提供持续的加密（文件即使是被复制、移动、作为邮件附件发送，或是存放在可移动媒体 如CD或USB闪存盘上仍然处于加密状态）。

使消息具备自毁功能
保护机密信息的一个大问题是当你需要同别人共享该信息从而把信息放在文档或电子邮件中时，一旦信息脱离你的控制，你无法知道接受方是否和你一 样谨慎的保护好信息的机密性。这些信息是否会被复制或转发给其他人？就算他们不会有意这样做，但让机密信息长时间的待在接受方的硬盘里面总不 是安全的。你或许会要求对方在阅读后删除这些信息，但是你如何来保障他们会这样做呢？

一种解决方案就是使用微软的权限管理服务（RMS，Rights Management Services）。该方案可以让你在向某人发送文档或消息时附加某种限制，约束其对 文档的操作。例如，在Word中文档可能无法被复制，在Outlook中消息可能无法被转发。如果在另一台不同的终端上，该文档根本就无法被打开。你还可 以设置你的文档在一段时间后失效，即无法访问。其他的一些公司也提供了一些更具扩展性的管理方案，例如Authentica的ARM（Active Rights Management）。

总结
无论现在你的公司有多大的规模，如果你现在还没有系统的数据保护计划，你应该有所考虑了。越来越多的企业已经在常规的保护措施下遭遇了数据泄 露。即使政府没有强制要求你保存数据，你也需要对自己的个人信息、帐户数据和其他机密信息加以妥善保护。现在部署一套可扩展的方案可以让你在 以后免去诸多的麻烦。