3、BitLocker方案

    Vista必定是未来系统的主流，在企业中部署Vista就能在很大程度上加固数据的安全，防止泄密。Vista提供的BitLocker技术是基于硬件的加密技术，它能为计算机提供脱机数据和操作系统保护，很好地解决了对EFS加密的脱机攻击。另外BitLocker是一种全卷加密技术，能够确保早期启动组件的完整性，能通过加密整个卷来帮助防止数据被盗或未经授权查看。（图4） 

    BitLocker很好地解决了企业环境下的来自于硬件的泄密，它给予数据操作系统之下的安全屏障，启动时自动提供解密密钥，保护系统分区，保护用户数据，保护注册表，与操作系统无缝的集成，保护引导分区，杜绝离线攻击，提供系统启动前基于数据的保护。

    比如现代企业中每年都会淘汰一部分电脑，如果处理不当，这部分电脑就成了信息的泄露源，利用BitLocker技术可以通过销毁RootKey的方式快速地使电脑上的数据失效，防止了数据的泄露。系统启动故障，也容易造成数据的泄密，BitLocker可以确保启动过程的完整性。因为在系统启动时验证各个启动组件的完整性，防止对启动组件的恶意修改；任何以其他途径启动，都无法访问和修改被加密的系统卷；如果窃密者保护的卷做了改动，会导致系统无法正常启动。桌面安全也是企业信息泄露的一个途径，BitLocker在离线状态下保证系统和数据的安全，加密整个Windows的安装卷和其中所有用户的数据，该卷在未正常启动的情况下不可读。（图5） 

    总结：在企业数据存储和分发的流动过程中，会面临来自各方面的威胁。本文讨论的RMS、EFS、BitLocker都是从技术的角度来保护数据的安全，防止泄密。要更好地保护企业的数据，只有技术和制度互相结合，才能发挥更大威力。