據(jù)稱，自加密硬盤驅(qū)動器可解決數(shù)據(jù)丟失問題，但我聽說它們也有很多問題。自加密驅(qū)動器會帶來什么潛在的威脅?對于企業(yè)來說它是否是個(gè)好的選擇?

[[165056]]

Michael Cobb：加密敏感數(shù)據(jù)是信息安全的關(guān)鍵要素，因?yàn)檫@可確保企業(yè)信息的保密性。然而，大多數(shù)用戶發(fā)現(xiàn)很難部署加密，并且，企業(yè)管理員通常難以對所有用戶設(shè)備執(zhí)行加密。而自加密驅(qū)動器和設(shè)備正是這些加密問題的潛在解決方案，因?yàn)樽约用芸稍谒袝r(shí)間對驅(qū)動器的所有數(shù)據(jù)進(jìn)行透明的加密。數(shù)據(jù)加密和解密操作發(fā)生在驅(qū)動器控制器中專門的加密處理器中;這并不會影響設(shè)備的性能，不像其他基于軟件的加密產(chǎn)品還需要使用設(shè)備的CPU。驅(qū)動器報(bào)廢和重新部署也更加容易(通過更改媒體加密密鑰來實(shí)現(xiàn))，加密擦除瞬間進(jìn)行，而不是通過多次數(shù)據(jù)寫入—這可能需要幾個(gè)小時(shí)。

自加密驅(qū)動器的隨時(shí)加密功能和見編寫可以幫助企業(yè)遵守政府或行業(yè)對數(shù)據(jù)隱私及加密的規(guī)定;如果用戶的筆記本電腦丟失或者被盜，驅(qū)動器的內(nèi)容也無法被讀取。但是，研究人員發(fā)現(xiàn)Western Digital公司生產(chǎn)的多個(gè)版本自加密驅(qū)動器包含很多安全漏洞，可能允許可物理訪問驅(qū)動器的攻擊者輕松地解密數(shù)據(jù)，在某些情況下，他們甚至不需要知道解密密碼。來自加拿大KPMG的研究人員還展示了對使用自加密驅(qū)動器的筆記本進(jìn)行數(shù)據(jù)恢復(fù)的三種方法，這表明Opal和微軟的eDrive標(biāo)準(zhǔn)無法確保睡眠模式以及關(guān)機(jī)狀態(tài)下筆記本中數(shù)據(jù)的安全性，因?yàn)樽约用茯?qū)動器的電源可保持其在解鎖狀態(tài)。

正確部署加密總是很困難，但Wester Digital產(chǎn)品容易受到攻擊是由于各種基本錯(cuò)誤，以及對加密過程的不當(dāng)執(zhí)行。例如，在一種情況下，我們使用隨機(jī)數(shù)據(jù)來對保護(hù)解鎖驅(qū)動器的密碼進(jìn)行加密，而這些隨機(jī)數(shù)據(jù)來自計(jì)算機(jī)時(shí)鐘的當(dāng)前時(shí)刻，這讓攻擊者可在很短時(shí)間內(nèi)破解密碼。有些自加密驅(qū)動器還在設(shè)備中存有默認(rèn)密碼;在用戶更改至少兩次密碼之前，默認(rèn)密碼都可以用于解密驅(qū)動器中的數(shù)據(jù)。

這些研究表明使用尚未經(jīng)過充分測試和審查的加密產(chǎn)品存在風(fēng)險(xiǎn)。在合規(guī)性審核中，使用這些產(chǎn)品可能很好，但它們也許無法真正保護(hù)敏感數(shù)據(jù)。硬件和軟件加密產(chǎn)品應(yīng)該提供文檔介紹其產(chǎn)品的加密工作原理，如何部署，以及在這些產(chǎn)品通過某種形式的獨(dú)立審核后企業(yè)才應(yīng)該考慮使用這些產(chǎn)品。這也是為什么很多專家建議只使用開源軟件加密，因?yàn)槲覀兛蓪@些加密產(chǎn)品進(jìn)行分析，而不需要依靠供應(yīng)商的保證。企業(yè)在使用自加密硬盤驅(qū)動器或加密硬盤驅(qū)動器時(shí)，應(yīng)該確保用戶知道數(shù)據(jù)只有在其設(shè)備完全關(guān)機(jī)時(shí)才會充電，而不應(yīng)該讓其產(chǎn)品處于睡眠模式。這些類型的驅(qū)動器還應(yīng)該涵蓋在修復(fù)管理程序中，因?yàn)樗鼈兛赡鼙葮?biāo)準(zhǔn)驅(qū)動器有更多固件更新，以確保加密過程和功能保持修復(fù)和最新狀態(tài)。

Michael Cobb， CISSP - ISSAP在IT行業(yè)的安全方面有10年以上的經(jīng)驗(yàn)，財(cái)經(jīng)方面有16年的經(jīng)驗(yàn)，他是Cobweb Applications Ltd的創(chuàng)辦人兼常務(wù)董事，IT培訓(xùn)和數(shù)據(jù)安全與分析顧問。與人共同撰寫IIS Security 這本書，并為許多IT出版物寫了大量的技術(shù)性文章。Michael也是微軟認(rèn)證數(shù)據(jù)庫管理員和微軟認(rèn)證專家。