安全專家Karen Scarfone逐一分析了市面上的幾款頂尖全盤加密產(chǎn)品，確定哪一款可能最適合貴企業(yè)。

全盤加密(FDE)廣泛應(yīng)用于各種各樣的臺式機和移動設(shè)備操作系統(tǒng)上。這項技術(shù)可以加密硬盤上的所有靜態(tài)數(shù)據(jù)，從而有助于保護重要信息，防止泄密。

市面上有多種類型的全盤加密軟件產(chǎn)品。有些與其他安全套件捆綁在一起，有些是獨立式的，還有一些內(nèi)置在操作系統(tǒng)中。本文著重分析了非捆綁式的解決方案(獨立式和內(nèi)置于操作系統(tǒng))。這倒不是說捆綁式解決方案較為遜色;不過，評估捆綁式解決方案所需的標(biāo)準(zhǔn)比純FDE解決方案要廣泛得多。

市面上五款領(lǐng)先的商用FDE產(chǎn)品是：Check Point全盤加密產(chǎn)品、戴爾數(shù)據(jù)保護和加密產(chǎn)品、邁克菲全面數(shù)據(jù)保護產(chǎn)品、Sophos SafeGuard和賽門鐵克端點加密產(chǎn)品。值得注意的是，戴爾產(chǎn)品既可以在戴爾硬件上使用，也可以在非戴爾硬件上使用。另外還有幾種大受歡迎的開源FDE解決方案，包括DiskCryptor。最后，還有操作系統(tǒng)提供的解決方案，比如蘋果FileVault 2和微軟BitLocker。

所有這些FDE解決方案都得到了廣泛使用，F(xiàn)DE產(chǎn)品問世的時間通常只有短短幾年。這些產(chǎn)品都提供了基本的FDE功能，保護臺式機、筆記本電腦和某些移動設(shè)備上的靜態(tài)數(shù)據(jù)。有些還可以用在服務(wù)器上;但是由于它們的主要保護對象是臺式機和筆記本電腦，所以本文將著重介紹這些計算機平臺。

由于市面上有那么多的FDE產(chǎn)品，找到適合企業(yè)的一款產(chǎn)品可能并非易事。幸好，有許多成熟的產(chǎn)品可供選擇，另外還可以參考區(qū)別FDE產(chǎn)品的七大標(biāo)準(zhǔn)。

第一個標(biāo)準(zhǔn)：設(shè)備部署

操作系統(tǒng)提供的FDE軟件在設(shè)備部署方面似乎會有顯著的優(yōu)勢，因為軟件已經(jīng)作為操作系統(tǒng)的一部分而安裝上去。然而實際情況并非如此。

在FDE部署環(huán)境中，配置軟件以及嚴(yán)加看管配置的難度常常比軟件安裝大得多。如果用戶能夠改動FDE配置，他們就有可能無意中或有意削弱或禁用這項技術(shù)，因而讓它毫無用處。用戶們還可以對自己的系統(tǒng)發(fā)動拒絕服務(wù)攻擊，只要刪除加密密鑰或者以其他方式對配置進行不明智的更改。

商用FDE產(chǎn)品提供了遠程部署功能，那樣系統(tǒng)管理員就不需要跑過去查看每一個最終用戶設(shè)備。這可以節(jié)省寶貴的時間，另外對遠程用戶(比如說遠程辦公人員和長時間出差的人員)來說也必不可少。操作系統(tǒng)提供的微軟BitLocker在一定程度上可以通過組策略(Group Policy)來加以管理，但它其實是用于本地管理，就跟蘋果FileVault 2一樣。開源產(chǎn)品通常需要本地安裝和配置，它們通常假設(shè)循規(guī)蹈矩的最終用戶不會更改FDE配置。

第二個標(biāo)準(zhǔn)：產(chǎn)品管理

就FDE而言，管理并不完全局限于FDE配置。管理的許多方面需要考慮，包括密鑰輪換、密碼更改、補丁安裝和密碼升級(比如加大密鑰長度和采用新的加密算法)。

就企業(yè)FDE部署環(huán)境而言，集中式管理的重要性再怎么強調(diào)都不為過。FDE的主要成本不在于軟件本身，而在于管理和支持。就因為某款解決方案的初始成本較低，并不意味著從長遠來看其實際運營成本也會比較低。開源解決方案通常并不提供任何形式的集中式管理功能，這樣一來，管理和支持起來特別費錢，尤其是在規(guī)模相當(dāng)大的企業(yè)里。

FDE方面最讓人驚訝的地方之一是，操作系統(tǒng)提供的產(chǎn)品常常被認為難以管理，使用其他FDE產(chǎn)品來作為補充。本文測評的一些商用產(chǎn)品實際上能夠為操作系統(tǒng)提供的FDE添加管理功能，比如戴爾數(shù)據(jù)保護和加密產(chǎn)品、邁克菲全面數(shù)據(jù)保護產(chǎn)品和Sophos SafeGuard。從性能的角度來看這具有優(yōu)勢――能夠使用原生FDE功能，同時確保已部署了單一、強大的集中式管理框架，能夠同時滿足FileVault和BitLocker的需要。

第三個標(biāo)準(zhǔn)：兼容性

就與現(xiàn)有環(huán)境兼容而言，許多企業(yè)應(yīng)該最關(guān)心的是FDE解決方案如何處理進入休眠或待機模式的設(shè)備(通常是筆記本電腦)。問題在于，處于這樣一種模式的筆記本電腦會丟失或被偷;如果FDE沒有對電腦存儲的數(shù)據(jù)進行強有力的保護，那么敏感數(shù)據(jù)就很容易外泄。

由于兼容性因產(chǎn)品和操作系統(tǒng)而異(甚至有可能因環(huán)境而異)，強烈建議企業(yè)組織使用所考慮的每款FDE解決方案來測試自己的設(shè)備――無論是原生操作系統(tǒng)解決方案(微軟BitLocker和蘋果FileVault 2)，第三方解決方案(Check Point全盤加密產(chǎn)品、戴爾數(shù)據(jù)保護和加密產(chǎn)品、邁克菲全面數(shù)據(jù)保護產(chǎn)品、Sophos SafeGuard和賽門鐵克端點加密產(chǎn)品)，還是開源解決方案(DiskCryptor)。那樣一來，它們就能明白在其特定的環(huán)境下，各種FDE解決方案在電腦休眠或待機期間會有怎樣的表現(xiàn)。

FDE軟件與直接訪問硬盤的應(yīng)用程序之間可能也會有沖突――有些很明顯，比如磁盤實用工具，有些則不太明顯，比如某些資產(chǎn)管理程序。強烈建議企業(yè)組織對照可能直接訪問硬盤的任何應(yīng)用程序，測試每一款有意購買的FDE產(chǎn)品，找出任何不兼容之處，然后聯(lián)絡(luò)受影響產(chǎn)品的廠商，詢問可能的解決辦法。

第四個標(biāo)準(zhǔn)：驗證服務(wù)整合

通常建議企業(yè)組織為FDE采用多因子驗證(MFA)，那樣完全重復(fù)使用操作系統(tǒng)密碼驗證的產(chǎn)品通常不被接受。FDE軟件應(yīng)該有自己的驗證機制，或者利用企業(yè)級MFA，比如活動目錄、智能卡或密碼令牌(后者最好)。本文中提到的所有商用產(chǎn)品都支持多因子驗證，包括智能卡和密碼令牌，而戴爾數(shù)據(jù)保護和加密產(chǎn)品尤其值得一提，原因在于它還專門支持生物特征識別技術(shù)。至于蘋果FileVault 2和微軟BitLocker功能，驗證服務(wù)方面的選項相當(dāng)有限，除非FileVault或BitLocker之外還使用可以添加集中式管理及其他功能的第三方商用產(chǎn)品。

第五個標(biāo)準(zhǔn)：密鑰恢復(fù)

密碼密鑰恢復(fù)是FDE的一項特別重要的管理功能，因為如果密碼恢復(fù)失敗或沒有可能，受影響用戶就會永遠無法訪問所有本地存儲的數(shù)據(jù)。復(fù)雜的集中式密鑰恢復(fù)功能只有商用附加產(chǎn)品才提供。FileVault提供了一定的集中式密鑰恢復(fù)：它會將恢復(fù)密鑰存儲在蘋果公司，允許用戶致電蘋果來恢復(fù)該密鑰。然而，請第三方保管加密密鑰可能會違反企業(yè)安全政策，所以企業(yè)評估潛在產(chǎn)品時一定要留意恢復(fù)密鑰存儲在何處。微軟BitLocker單獨使用時，并不提供任何的集中式密鑰管理。

商用產(chǎn)品支持管理員執(zhí)行的集中式密鑰恢復(fù)活動;有些產(chǎn)品還支持用戶實現(xiàn)自助式恢復(fù)，比如Check Point全盤加密產(chǎn)品和賽門鐵克端點加密產(chǎn)品。認真評估恢復(fù)方案各自的安全性，這點很重要。

比如說，自助式恢復(fù)產(chǎn)品可能需要用戶回答一些問題，比如他們偏愛的顏色或?qū)櫸锩Q。不法分子可以利用這些問題，在未經(jīng)授權(quán)的情況下擅自獲取用戶的密碼，因而避開該用戶設(shè)備上的FDE。評估密鑰恢復(fù)方案時，企業(yè)組織應(yīng)該先確定執(zhí)行密鑰恢復(fù)的將是用戶還是管理員(還是兩者都可以)。

第六個標(biāo)準(zhǔn)：緩解蠻力攻擊

對付采用蠻力的密碼攻擊，最常見的緩解手法就是，延長驗證嘗試之間的間隔、將驗證嘗試暫停一段時間，或者在多次嘗試失敗后擦除設(shè)備上的數(shù)據(jù)。如果使用了單因子(密碼)驗證，最迫切需要任何這種緩解手法。除了Check Point全盤加密產(chǎn)品和賽門鐵克端點加密產(chǎn)品外，本文提到的其他產(chǎn)品都無法提供對付蠻力攻擊的緩解手法，所以向廠商詢問這方面的詳細信息很要緊。

第七個標(biāo)準(zhǔn)：密碼算法

考慮到密碼技術(shù)的現(xiàn)狀，F(xiàn)DE產(chǎn)品通常應(yīng)該采用高級加密標(biāo)準(zhǔn)(AES)算法，最好是采用長度是256位的密鑰。本文提到的所有產(chǎn)品都采用AES，而且都支持使用256位密鑰。

另外建議，正式評估FDE產(chǎn)品，確定它們實施的密碼機制是否安全可靠，這實際上也是一些企業(yè)組織所要求的;最常見的認證是聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)140-2合規(guī)認證。FIPS 140-2合規(guī)認證方面的信息詳見此處(http://searchsecurity.techtarget.com/feature/The-fundamentals-of-FDE-Comparing-the-top-full-disk-encryption-products)。

一些產(chǎn)品并不符合FIPS 140-2，比如賽門鐵克終端加密和面向Yosemite的蘋果FileVault 2，但這是由于這些是新產(chǎn)品(2014年底才推出)。這些產(chǎn)品正等著進行FIPS 140-2測試，所以預(yù)計它們在不遠的將來會通過合規(guī)認證。DiskCryptor等開源產(chǎn)品并不符合FIPS 140-2標(biāo)準(zhǔn)，最可能是由于獲得認證面臨經(jīng)濟負擔(dān)。因此，需要使用FIPS合規(guī)產(chǎn)品的企業(yè)組織可能不得不出資自行開展這些開源產(chǎn)品的認證過程，如果想要實施開源產(chǎn)品的話。

密碼方面需要考慮的另一個方面是，密碼密鑰存儲在哪里，本地還是遠程;如果存儲在本地，又存儲在設(shè)備上的何處。比如說，戴爾數(shù)據(jù)保護和加密產(chǎn)品以及微軟BitLocker就能使用本地可信平臺模塊(TPM)，對存儲的數(shù)據(jù)實行強有力的保護。如果密鑰存儲在本地，而存儲的密鑰又沒有得不到適當(dāng)?shù)谋Ｗo，攻擊者就能夠恢復(fù)密鑰，避開FDE提供的保護機制，因而突破設(shè)備的安全防線。

結(jié)束語

本文介紹的所有軟件都可以提供基本的FDE產(chǎn)品。產(chǎn)品是否適合用于企業(yè)，最大的決定因素是有無全面的軟件管理功能。比如說，盡管許多企業(yè)已經(jīng)擁有了操作系統(tǒng)提供的FDE軟件，但還是購買FDE產(chǎn)品，原因就是管理操作系統(tǒng)提供的FDE面臨諸多難題。另外還有一些開源產(chǎn)品，它們提供了免費的FDE功能，但它們?nèi)鄙俟芾砉δ?，最適合個人和一次性系統(tǒng)使用，并不適合標(biāo)準(zhǔn)的企業(yè)部署環(huán)境使用。

在諸多商用產(chǎn)品當(dāng)中，沒有哪款產(chǎn)品具有真正明顯的優(yōu)勢。每家企業(yè)需要橫向比較產(chǎn)品，確定哪款最適合自己的要求。在許多情況下，這意味著向提供企業(yè)內(nèi)部使用的其他安全產(chǎn)品的同一家廠商購買產(chǎn)品。如果將任何商用產(chǎn)品用于整個企業(yè)的FDE部署環(huán)境，企業(yè)應(yīng)該會覺得很輕松。