全盤加密(FDE)是一種存儲加密技術(shù)，用來啟勸系統(tǒng)的整個硬盤進行了加密。它最常用于保護存儲在臺式機和筆記本電腦上的敏感數(shù)據(jù)的機密性。用不用FDE關(guān)系到丟失的筆記本電腦只是帶來不便，還是導致巨額經(jīng)濟損失的數(shù)據(jù)泄密事件。

現(xiàn)在市面上有好多軟件產(chǎn)品提供FDE功能，所以試圖評估FDE的合適使用場合、確定哪款FDE產(chǎn)品最適合某一家企業(yè)可能頗為棘手。想對FDE進行一番評估，第一步就是確定一系列標準，將這些標準視作向廠商提出的問題，或者確定全面測試產(chǎn)品的辦法。

FDE軟件如何部署到最終用戶設(shè)備上?

大多數(shù)FDE產(chǎn)品來自第三方，這意味著它們有軟件組件需要安裝到需要保護的每個設(shè)備上。不過，一些FDE產(chǎn)品內(nèi)置到操作系統(tǒng)中，或者作為現(xiàn)有安全產(chǎn)品套件的一部分來提供。這些情況下，客戶端安裝可能沒有必要。

不過，客戶端安裝只是FDE部署過程的一小部分。通常建議在激活FDE之前，對任何設(shè)備執(zhí)行全面?zhèn)浞?，那樣萬一部署失敗，系統(tǒng)上的數(shù)據(jù)不至于丟失。

將硬盤從未加密狀態(tài)轉(zhuǎn)換成加密狀態(tài)可能需要幾個小時;一些情況下，設(shè)備可能在進行這種轉(zhuǎn)換的過程中不穩(wěn)定。由于軟件安裝和配置、設(shè)備備份以及硬盤轉(zhuǎn)換都需要耗費時間，F(xiàn)DE部署可能意味著對用戶來說面臨相當長的停機時間。

企業(yè)應(yīng)該評估FDE產(chǎn)品的硬盤轉(zhuǎn)換功能，以確定用戶會在多長時間內(nèi)受到影響，看看這種轉(zhuǎn)換是不是可以在后臺進行(如果是，性能會受到怎樣的影響)。

FDE產(chǎn)品的管理功能多實用、多可靠?

集中式管理是企業(yè)成功部署FDE的關(guān)鍵。

內(nèi)置到操作系統(tǒng)的FDE功能可能幾乎沒有什么集中式管理可言，限制了其優(yōu)點。對于那些真正提供集中式管理的FDE產(chǎn)品而言，可擴展性至關(guān)重要，對大型企業(yè)來說更是如此。同樣重要的還有管理員設(shè)置FDE配置選項的功能，確保用戶無法更改那些選項或者禁用或卸載FDE軟件。

證書管理是FDE管理方面另一個重要卻常常被忽視的環(huán)節(jié)。評估人員應(yīng)該測試一些功能特性，比如設(shè)備的密鑰輪換和密碼更改(針對用戶和管理員)、集中式補丁和升級功能，還要測試加密算法和密鑰大小的變化帶來的影響。

FDE產(chǎn)品與現(xiàn)有的操作系統(tǒng)和應(yīng)用程序兼容嗎?

在一些情況下，現(xiàn)有環(huán)境與FDE軟件可能會出現(xiàn)不兼容。不兼容造成的一個常見的副作用是，F(xiàn)DE無法保護處于休眠模式或待機模式的設(shè)備。另一個常見的例子是，F(xiàn)DE與直接訪問硬盤的應(yīng)用程序發(fā)生沖突，比如磁盤實用工具和某些資產(chǎn)管理軟件。

FDE軟件可與現(xiàn)有的驗證服務(wù)輕松整合嗎?

想為FDE執(zhí)行啟動前驗證(PBA)，常常需要充分利用現(xiàn)有的驗證服務(wù)，比如活動目錄或基于公鑰基礎(chǔ)設(shè)施(PKI)的產(chǎn)品。

管理員還需要用于FDE配置和管理的一種驗證機制。通常建議為FDE使用多因子驗證，所以FDE解決方案支持所需的多因子驗證技術(shù)顯得很重要。無論選擇的哪種驗證技術(shù)，F(xiàn)DE軟件可與它們輕松整合很重要。

密鑰恢復有什么辦法?

要是沒有可靠的密鑰恢復功能，許多用戶可能無法訪問FDE保護的設(shè)備及設(shè)備上保存的數(shù)據(jù)。需要密鑰恢復，以防用戶忘記驗證證書，用戶突然離開公司，或者無法正常登錄進去。

一些企業(yè)選擇讓管理員執(zhí)行所有的密鑰恢復活動，而另一些企業(yè)更看重自助式恢復。不過要小心：自助式恢復可能會被濫用，讓攻擊者得以避開FDE保護，因而在未經(jīng)授權(quán)的情況下獲得訪問權(quán)。所以，F(xiàn)DE評估人員有必要不僅考慮有哪些密鑰恢復辦法，還考慮每一種辦法的相對安全性和易用性。

密鑰恢復方面要考慮的另一個重要因素是使用多因子驗證。

假設(shè)某個出差辦事的用戶丟失了密碼令牌，因而無法啟動其筆記本電腦。有一些FDE產(chǎn)品會允許用戶在這種情況下臨時使用由密碼保護的單因子驗證;不過對許多企業(yè)來說，此舉違反了安全政策。所以，管理員會希望禁用這項FDE功能。評估FDE軟件或產(chǎn)品的企業(yè)因而要特別關(guān)注單因子驗證方面的可配置性。

FDE產(chǎn)品如何緩解蠻力密碼攻擊?

一些攻擊者會企圖猜出FDE密碼――比如說，如果他們偷來了密碼令牌，卻不知道相應(yīng)的PIN。

在這種情況下，要是有人多次試圖登錄，有些(但并非所有)FDE產(chǎn)品就會作出適當?shù)姆磻?yīng)――要么是在一段時間內(nèi)(比如15分鐘)暫停FDE驗證，要么是延長試圖驗證的間隔時間。這些方法讓蠻力攻擊極難得逞，同時為驗證時無意中犯了幾次錯的用戶支持總體易用性。

另一個辦法通常用在安全性較高的環(huán)境中，那就是在連續(xù)試圖驗證失敗達到一定次數(shù)(比如10次)后擦除設(shè)備上的內(nèi)容。這防止時間幾乎不受限制的攻擊者無法執(zhí)行蠻力攻擊。

然而，雖然這種方法保護數(shù)據(jù)避免曝露，但它也給牢記密碼有困難的用戶帶來了負面影響。此外，不懷好意的人只要進行幾次失敗的驗證，就能擦除設(shè)備上的內(nèi)容。所以，雖然黑客也許無法訪問用戶的設(shè)備，但他們可能給這個用戶增添麻煩。

FDE產(chǎn)品的加密技術(shù)有多可靠?

FDE產(chǎn)品多強大完全取決于內(nèi)置的加密技術(shù)。任何FDE產(chǎn)品都應(yīng)該使用行業(yè)認可的標準化加密算法，比如AES，最好是經(jīng)過測試和驗證的采用這種算法的技術(shù)。此外，密鑰長度起碼與行業(yè)目前建議的長度相一致。

許多企業(yè)(比如聯(lián)邦政府部門)已從密碼層面，對加密及完整性檢查算法、密鑰長度以及其他方面的要求作出了規(guī)定，所以在評估FDE產(chǎn)品時務(wù)必要問清楚這類要求。

要是FDE的密鑰(私有密鑰或秘密密鑰)存儲在本地，確保它們得到了充分的保護，這點也很重要。方法包括本地硬盤、密碼令牌和可信平臺模塊(TPM)芯片。

對一些FDE產(chǎn)品而言，密鑰可以集中存儲，而不是本地存儲，一旦成功通過驗證，密鑰就自動從該集中存儲位置獲取。

做好功課

評估用于企業(yè)環(huán)境的FDE產(chǎn)品可能困難重重;不過有了可供借鑒的一些基本標準，很容易區(qū)別諸多產(chǎn)品的異同。每家企業(yè)都有不一樣的環(huán)境和不一樣的要求，更不用說它面臨的不一樣的威脅，所以每家企業(yè)進行各自的FDE評估、而不是單單依賴公共領(lǐng)域的現(xiàn)有評估，這點很要緊。

本文不是想列出全面的標準，而是為進行FDE評估提供一個切實可行的出發(fā)點。需要考慮的其他重要需求還包括企業(yè)自身的政策、規(guī)程和一般實踐。

原文地址：http://searchsecurity.techtarget.com/feature/The-fundamentals-of-FDE-Procuring-full-disk-encryption-software