在本文中，專家Karen Scarfone著重探討了FDE的優(yōu)勢(shì)及其應(yīng)用場(chǎng)景，以幫助企業(yè)判斷這種存儲(chǔ)加密技術(shù)是否真正是其所需要的。

全磁盤加密(full disk encryption, FDE)技術(shù)是一種存儲(chǔ)加密技術(shù)，正如其名稱所稱，它可以為臺(tái)式機(jī)、筆記本或服務(wù)器加密硬盤驅(qū)動(dòng)器中的所有信息。這就是說(shuō)，當(dāng)計(jì)算機(jī)處于非啟動(dòng)狀態(tài)時(shí)，其操作系統(tǒng)(OS)、應(yīng)用和用戶數(shù)據(jù)都會(huì)受到保護(hù)，阻止未經(jīng)授權(quán)訪問(wèn)。

[[125367]]

當(dāng)有人試圖啟動(dòng)該操作系統(tǒng)時(shí)，在進(jìn)行啟動(dòng)前，用戶或管理員必須成功驗(yàn)證身份，這被稱為預(yù)啟動(dòng)身份驗(yàn)證(PBA)。在PBA成功后，操作系統(tǒng)將被啟動(dòng)，用戶就可以訪問(wèn)所有操作系統(tǒng)的功能、應(yīng)用和數(shù)據(jù)。

傳統(tǒng)觀點(diǎn)認(rèn)為，在最低限度下，每個(gè)企業(yè)都應(yīng)該對(duì)訪問(wèn)或存儲(chǔ)敏感數(shù)據(jù)的所有計(jì)算機(jī)使用FDE技術(shù)。雖然這聽起來(lái)很合理，但很多企業(yè)對(duì)其所有臺(tái)式機(jī)和筆記本電腦都使用FDE技術(shù)，因?yàn)樗麄冨e(cuò)誤地認(rèn)為，該技術(shù)實(shí)際可以提供更多的保護(hù)。

FDE是否適合企業(yè)的系統(tǒng)完全取決于企業(yè)試圖阻止的威脅：設(shè)備的丟失或被盜、服務(wù)器端數(shù)據(jù)被盜、操作系統(tǒng)篡改或者惡意軟件訪問(wèn)敏感數(shù)據(jù)，這是FDE擅長(zhǎng)應(yīng)付的四種應(yīng)用場(chǎng)景。

場(chǎng)景1：防范計(jì)算設(shè)備丟失或被盜

部署FDE技術(shù)的最常見原因是攻擊者試圖對(duì)丟失或被盜的筆記本或移動(dòng)設(shè)備中的敏感數(shù)據(jù)獲取未經(jīng)授權(quán)訪問(wèn)。

多年來(lái)，媒體報(bào)道了很多筆記本丟失或被盜的事件，這些筆記本包含著數(shù)以百萬(wàn)計(jì)的未受保護(hù)客戶記錄。這些被視為真正的數(shù)據(jù)泄露事故，因?yàn)闆]有人知道攻擊者是否已經(jīng)訪問(wèn)這些敏感數(shù)據(jù)。單起數(shù)據(jù)泄露事故可能導(dǎo)致企業(yè)損失數(shù)百萬(wàn)美元--恢復(fù)成本和聲譽(yù)損失成本。

考慮到這些數(shù)據(jù)泄露事故的嚴(yán)重程度，企業(yè)有必要安裝FDE技術(shù)來(lái)保護(hù)筆記本中的敏感數(shù)據(jù)。這樣的話，當(dāng)筆記本丟失或被盜時(shí)，數(shù)據(jù)仍然是安全的，因?yàn)樵O(shè)備會(huì)受到FDE保護(hù)。這可以幫助企業(yè)防止數(shù)據(jù)泄露和避免媒體報(bào)道其筆記本丟失或被盜的新聞。

很多企業(yè)已經(jīng)擴(kuò)展了這一基本原則(即使用FDE保護(hù)敏感數(shù)據(jù))，他們?cè)谒泄P記本(有時(shí)候包括臺(tái)式機(jī))使用FDE技術(shù)，因?yàn)樗麄儾荒芡耆_定哪些設(shè)備包含敏感信息。這是常見的復(fù)雜問(wèn)題，即要求在所有筆記本使用FDE。

例如，對(duì)于FDE自動(dòng)部署到所有筆記本，在用戶第一次訪問(wèn)敏感數(shù)據(jù)之前，企業(yè)沒有必要添加該技術(shù)到已經(jīng)部署的筆記本。這可能會(huì)帶來(lái)不必要的延誤。并且，當(dāng)FDE技術(shù)全面部署在企業(yè)環(huán)境中時(shí)，筆記本丟失或被盜的話，也沒有必要恐慌，應(yīng)該確定設(shè)備是否受到FDE保護(hù)，如果沒有，則確定設(shè)備是否被用來(lái)訪問(wèn)敏感數(shù)據(jù)，數(shù)據(jù)殘余可能仍然位于設(shè)備中。

要注意的是，F(xiàn)DE技術(shù)的使用通常是基于這樣的假設(shè)，即設(shè)備不被使用時(shí)會(huì)被關(guān)閉。這對(duì)于筆記本是一個(gè)問(wèn)題，因?yàn)楣P記本通常處于休眠或待機(jī)模式。根據(jù)使用的產(chǎn)品以及配置情況的不同，F(xiàn)DE技術(shù)可能或者可能不會(huì)對(duì)這些模式的筆記本產(chǎn)生效果。

IT部門應(yīng)該自己進(jìn)行測(cè)試來(lái)確保他們考慮購(gòu)買的FDE產(chǎn)品能夠保護(hù)休眠和待機(jī)設(shè)備的敏感數(shù)據(jù)。如果不能提供保護(hù)，那么可能需要考慮其他方法，或者強(qiáng)制執(zhí)行政策要求禁止使用筆記本的待機(jī)或休眠模式。

防止計(jì)算設(shè)備丟失或被盜的非FDE方法

防范設(shè)備丟失或被盜的非FDE方法涉及建構(gòu)IT基礎(chǔ)設(shè)施架構(gòu)，包括應(yīng)用和數(shù)據(jù)庫(kù)，讓所有敏感數(shù)據(jù)集中存儲(chǔ)，而非敏感數(shù)據(jù)(直接或間接，如數(shù)據(jù)殘余)則本地存儲(chǔ)在筆記本、臺(tái)式機(jī)和其他設(shè)備。

數(shù)據(jù)丟失防護(hù)(DLP)等技術(shù)可以幫助確保這些敏感數(shù)據(jù)不會(huì)被轉(zhuǎn)移到可移動(dòng)介質(zhì)、打印或復(fù)制及粘貼到其他文檔，或從集中存儲(chǔ)中滲出。

選擇這種數(shù)據(jù)安全方法而非FDE技術(shù)的企業(yè)必須仔細(xì)檢測(cè)和測(cè)試這些方法，以確保它的有效性。如果可能發(fā)生數(shù)據(jù)泄露，那么設(shè)備的丟失或防護(hù)仍然可能導(dǎo)致重大數(shù)據(jù)泄露事故。

場(chǎng)景2：防止服務(wù)器端數(shù)據(jù)盜竊

有時(shí)候企業(yè)會(huì)選擇在其服務(wù)器硬盤驅(qū)動(dòng)器使用FDE技術(shù)，當(dāng)服務(wù)器未被啟動(dòng)時(shí)，這可以對(duì)服務(wù)器硬盤中的內(nèi)容提供保護(hù)，例如當(dāng)服務(wù)器從一個(gè)位置運(yùn)送到另一個(gè)位置時(shí)。

對(duì)于有些企業(yè)而言這并不是常見的情況，但對(duì)于具有分支機(jī)構(gòu)的企業(yè)而言這很常見，其分支機(jī)構(gòu)有自己的服務(wù)器，技術(shù)人員可能要在這些位置之間運(yùn)送硬盤驅(qū)動(dòng)器，還有在災(zāi)難恢復(fù)操作中，服務(wù)器會(huì)從一個(gè)物理位置遷移到另一個(gè)位置。

出于這些原因，企業(yè)可以在服務(wù)器硬盤驅(qū)動(dòng)器使用FDE技術(shù)來(lái)在這些運(yùn)輸過(guò)程中提供保障。

場(chǎng)景3：防范不必要的OS篡改

雖然大多數(shù)人知道FDE技術(shù)可以防止因設(shè)備丟失或被盜而引起的敏感數(shù)據(jù)泄露，但其實(shí)該技術(shù)還可以防止對(duì)操作系統(tǒng)的篡改。

例如，攻擊者可能會(huì)在短時(shí)間內(nèi)獲取對(duì)不受FDE保護(hù)的筆記本或臺(tái)式機(jī)的訪問(wèn)權(quán)限。該攻擊者可以通過(guò)多種方法(包括利用操作系統(tǒng)漏洞和使用取證工具)來(lái)修改該操作系統(tǒng)的可執(zhí)行文件、配置、權(quán)限和其他屬性。這將允許攻擊者歸還該設(shè)備到原來(lái)的位置，同時(shí)通過(guò)向操作系統(tǒng)可執(zhí)行文件植入的惡意軟件，保持對(duì)該設(shè)備的遠(yuǎn)程訪問(wèn)。

這并不是常見的威脅，但在具有特別高安全需求的企業(yè)，僅此一點(diǎn)就讓企業(yè)有足夠理由為臺(tái)式機(jī)和筆記本使用FDE技術(shù)。

再次需要注意的是，F(xiàn)DE只能保護(hù)非啟動(dòng)狀態(tài)下的設(shè)備;當(dāng)設(shè)備處于啟動(dòng)狀態(tài)時(shí)，F(xiàn)DE將無(wú)法阻止惡意軟件感染和操作系統(tǒng)執(zhí)行操作。為了防范和應(yīng)對(duì)這些情況，企業(yè)需要使用反惡意軟件技術(shù)，例如防病毒軟件或惡意軟件分析工具;漏洞管理工具，包括補(bǔ)丁管理功能來(lái)消除操作系統(tǒng)和應(yīng)用中的已知漏洞;以及強(qiáng)大的身份驗(yàn)證和訪問(wèn)控制系統(tǒng)配置，以確保只有授權(quán)管理員可以更改操作系統(tǒng)文件、配置等。

場(chǎng)景4：要求合作伙伴提供全面惡意軟件防護(hù)

也許對(duì)于大多數(shù)企業(yè)的系統(tǒng)而言，最常見的威脅是試圖訪問(wèn)存儲(chǔ)在本地臺(tái)式機(jī)或筆記本電腦中敏感數(shù)據(jù)的惡意軟件。然而，在設(shè)備被啟動(dòng)后，F(xiàn)DE技術(shù)完全無(wú)法阻止這種惡意軟件。不過(guò)，還有其他形式的存儲(chǔ)加密技術(shù)可能會(huì)有所幫助。

這些技術(shù)包括虛擬磁盤加密、卷加密和文件加密，它們可以保護(hù)數(shù)據(jù)的機(jī)密性和完整性，即使當(dāng)設(shè)備完全啟動(dòng)后。很多企業(yè)在其筆記本和臺(tái)式機(jī)中存儲(chǔ)有敏感數(shù)據(jù)，他們?cè)谶x擇FDE技術(shù)的同時(shí)，還可以選擇這些技術(shù)來(lái)提供額外的保護(hù)層，特別是針對(duì)惡意軟件。

總結(jié)

FDE技術(shù)可以有效阻止某些類型的威脅。具體來(lái)說(shuō)，它們可以幫助防止對(duì)丟失或被盜臺(tái)式機(jī)、筆記本或服務(wù)器中敏感數(shù)據(jù)的未經(jīng)授權(quán)訪問(wèn)。

除了FDE技術(shù)外，還有替代技術(shù)可以防止敏感數(shù)據(jù)被存儲(chǔ)在本地，但這些也都不是萬(wàn)全的技術(shù)，F(xiàn)DE提供了額外的保護(hù)層，因?yàn)镕DE技術(shù)可以有效防止攻擊者更改未啟動(dòng)設(shè)備的操作系統(tǒng)或應(yīng)用可執(zhí)行文件。

然而，F(xiàn)DE技術(shù)并不能保護(hù)處于使用狀態(tài)的設(shè)備中的數(shù)據(jù)或可執(zhí)行文件。考慮使用FDE技術(shù)對(duì)企業(yè)應(yīng)該慎重考慮他們正試圖應(yīng)對(duì)什么樣的威脅，并結(jié)合使用FDE技術(shù)與其他額外的補(bǔ)充安全技術(shù)。