除了SQL資料庫內各種資料的機密性維護，有時我們也會有許多臨時存放敏感性資料的實體檔案放在磁碟(Disk)，像是從清算機構取得的支付卡消費請款資料、準備傳送給聯合徵信中心的信用報送報告或是傳送給票證機構的卡片資料等，由於都是以raw data存放在磁碟，為了避免磁碟被竊取而有外洩資料的風險，除了資訊安全軟體商的加密軟體或是很早就出道的檔案系統加密(EFS)外，我們來試試Windows 內建BitLocker加密方式。

BitLocker

何謂 BitLocker 磁碟機加密？ (technet.microsoft.com)

BitLocker 磁碟機加密是 Windows 7 作業系統中的整合安全性功能，可協助保護固定與卸除式資料磁碟機及作業系統磁碟機上儲存的資料。BitLocker 有助於保護「離線攻擊」，這類攻擊手法是停用或規避已安裝的作業系統，或是實際卸除硬碟再攻擊其中的資料。對於固定與卸除式資料磁碟機而言，BitLocker 可協助確保只有當使用者擁有必要的密碼、智慧卡認證時，或在有適當金鑰且受 BitLocker 保護的電腦上使用資料磁碟機時，才能讀取磁碟機上的資料以及將資料寫入磁碟機。

啟用BitLocker

檢查本機磁碟機

滑鼠右鍵啟動bitlocker

這邊選擇使用密碼解除鎖定磁碟機。

事情總有個一萬萬一的，先備份金鑰

加密使用的磁碟空間

開始加密

加密完成

磁碟加密狀態

把隨身碟交給老婆，讓老婆打開

老婆果然打不開隨身碟!妥當了!
剩下來最大的敵人就是CPU給不給力了!

優缺點:

• Windows7之後就內建。
• 在加密的本機將Bitlocker磁碟機內的檔案複製到其他磁碟機就會解密了，沒辦法線上保護。

bitlocker加密演算法

可以選擇的加密演算法AES 128、AES 256，可以參考這篇設定，通常較長的加密金鑰可提供較高強度的安全性，可以讓暴力破解方法的攻擊花費更多的時間。

https://technet.microsoft.com/zh-tw/library/ee424301(v=ws.10).aspx

資料儲存安全

從Day03-Day09，我們花了一些時間複習了資料庫內的資料行雜湊及加密到資料庫實體檔案加密、備份檔案加密、分開金鑰保管的一律加密到今天的磁碟加密，這些防衛措施也許在防火牆、防毒軟體的嚴密火網保護下，很難有上場的那一天，但資訊安全就是不怕一萬就怕業障重，另外也為了符合支付資料安全標準的要求，替補球員還是需要時時熱身做好準備。

另外為了聚焦在資料儲存的加密操作，我們暫時也先不探討加密演算法的種類及差異，後半段我們再挑選幾個常用的加密演算法複習。

參考：

Windows 7 BitLocker 磁碟機加密逐步指南

https://technet.microsoft.com/zh-tw/library/dd835565(v=ws.10).aspx

巴黎Peugeot警車

2009年攝於Paris,Frence