安全專家Karen Scarfone逐一分析了市面上的幾款頂尖全盤加密產(chǎn)品，確定哪一款可能最適合貴企業(yè)。

全盤加密(FDE)廣泛應(yīng)用于各種各樣的臺(tái)式機(jī)和移動(dòng)設(shè)備操作系統(tǒng)上。這項(xiàng)技術(shù)可以加密硬盤上的所有靜態(tài)數(shù)據(jù)，從而有助于保護(hù)重要信息，防止泄密。

市面上有多種類型的全盤加密軟件產(chǎn)品。有些與其他安全套件捆綁在一起，有些是獨(dú)立式的，還有一些內(nèi)置在操作系統(tǒng)中。本文著重分析了非捆綁式的解決方案(獨(dú)立式和內(nèi)置于操作系統(tǒng))。這倒不是說捆綁式解決方案較為遜色;不過，評(píng)估捆綁式解決方案所需的標(biāo)準(zhǔn)比純FDE解決方案要廣泛得多。

市面上五款領(lǐng)先的商用FDE產(chǎn)品是：Check Point全盤加密產(chǎn)品、戴爾數(shù)據(jù)保護(hù)和加密產(chǎn)品、邁克菲全面數(shù)據(jù)保護(hù)產(chǎn)品、Sophos SafeGuard和賽門鐵克端點(diǎn)加密產(chǎn)品。值得注意的是，戴爾產(chǎn)品既可以在戴爾硬件上使用，也可以在非戴爾硬件上使用。另外還有幾種大受歡迎的開源FDE解決方案，包括DiskCryptor。最后，還有操作系統(tǒng)提供的解決方案，比如蘋果FileVault 2和微軟BitLocker。

所有這些FDE解決方案都得到了廣泛使用，F(xiàn)DE產(chǎn)品問世的時(shí)間通常只有短短幾年。這些產(chǎn)品都提供了基本的FDE功能，保護(hù)臺(tái)式機(jī)、筆記本電腦和某些移動(dòng)設(shè)備上的靜態(tài)數(shù)據(jù)。有些還可以用在服務(wù)器上;但是由于它們的主要保護(hù)對(duì)象是臺(tái)式機(jī)和筆記本電腦，所以本文將著重介紹這些計(jì)算機(jī)平臺(tái)。

由于市面上有那么多的FDE產(chǎn)品，找到適合企業(yè)的一款產(chǎn)品可能并非易事。幸好，有許多成熟的產(chǎn)品可供選擇，另外還可以參考區(qū)別FDE產(chǎn)品的七大標(biāo)準(zhǔn)。

第一個(gè)標(biāo)準(zhǔn)：設(shè)備部署

操作系統(tǒng)提供的FDE軟件在設(shè)備部署方面似乎會(huì)有顯著的優(yōu)勢，因?yàn)檐浖呀?jīng)作為操作系統(tǒng)的一部分而安裝上去。然而實(shí)際情況并非如此。

在FDE部署環(huán)境中，配置軟件以及嚴(yán)加看管配置的難度常常比軟件安裝大得多。如果用戶能夠改動(dòng)FDE配置，他們就有可能無意中或有意削弱或禁用這項(xiàng)技術(shù)，因而讓它毫無用處。用戶們還可以對(duì)自己的系統(tǒng)發(fā)動(dòng)拒絕服務(wù)攻擊，只要?jiǎng)h除加密密鑰或者以其他方式對(duì)配置進(jìn)行不明智的更改。

商用FDE產(chǎn)品提供了遠(yuǎn)程部署功能，那樣系統(tǒng)管理員就不需要跑過去查看每一個(gè)最終用戶設(shè)備。這可以節(jié)省寶貴的時(shí)間，另外對(duì)遠(yuǎn)程用戶(比如說遠(yuǎn)程辦公人員和長時(shí)間出差的人員)來說也必不可少。操作系統(tǒng)提供的微軟BitLocker在一定程度上可以通過組策略(Group Policy)來加以管理，但它其實(shí)是用于本地管理，就跟蘋果FileVault 2一樣。開源產(chǎn)品通常需要本地安裝和配置，它們通常假設(shè)循規(guī)蹈矩的最終用戶不會(huì)更改FDE配置。

第二個(gè)標(biāo)準(zhǔn)：產(chǎn)品管理

就FDE而言，管理并不完全局限于FDE配置。管理的許多方面需要考慮，包括密鑰輪換、密碼更改、補(bǔ)丁安裝和密碼升級(jí)(比如加大密鑰長度和采用新的加密算法)。

就企業(yè)FDE部署環(huán)境而言，集中式管理的重要性再怎么強(qiáng)調(diào)都不為過。FDE的主要成本不在于軟件本身，而在于管理和支持。就因?yàn)槟晨罱鉀Q方案的初始成本較低，并不意味著從長遠(yuǎn)來看其實(shí)際運(yùn)營成本也會(huì)比較低。開源解決方案通常并不提供任何形式的集中式管理功能，這樣一來，管理和支持起來特別費(fèi)錢，尤其是在規(guī)模相當(dāng)大的企業(yè)里。

FDE方面最讓人驚訝的地方之一是，操作系統(tǒng)提供的產(chǎn)品常常被認(rèn)為難以管理，使用其他FDE產(chǎn)品來作為補(bǔ)充。本文測評(píng)的一些商用產(chǎn)品實(shí)際上能夠?yàn)椴僮飨到y(tǒng)提供的FDE添加管理功能，比如戴爾數(shù)據(jù)保護(hù)和加密產(chǎn)品、邁克菲全面數(shù)據(jù)保護(hù)產(chǎn)品和Sophos SafeGuard。從性能的角度來看這具有優(yōu)勢――能夠使用原生FDE功能，同時(shí)確保已部署了單一、強(qiáng)大的集中式管理框架，能夠同時(shí)滿足FileVault和BitLocker的需要。

第三個(gè)標(biāo)準(zhǔn)：兼容性

就與現(xiàn)有環(huán)境兼容而言，許多企業(yè)應(yīng)該最關(guān)心的是FDE解決方案如何處理進(jìn)入休眠或待機(jī)模式的設(shè)備(通常是筆記本電腦)。問題在于，處于這樣一種模式的筆記本電腦會(huì)丟失或被偷;如果FDE沒有對(duì)電腦存儲(chǔ)的數(shù)據(jù)進(jìn)行強(qiáng)有力的保護(hù)，那么敏感數(shù)據(jù)就很容易外泄。

由于兼容性因產(chǎn)品和操作系統(tǒng)而異(甚至有可能因環(huán)境而異)，強(qiáng)烈建議企業(yè)組織使用所考慮的每款FDE解決方案來測試自己的設(shè)備――無論是原生操作系統(tǒng)解決方案(微軟BitLocker和蘋果FileVault 2)，第三方解決方案(Check Point全盤加密產(chǎn)品、戴爾數(shù)據(jù)保護(hù)和加密產(chǎn)品、邁克菲全面數(shù)據(jù)保護(hù)產(chǎn)品、Sophos SafeGuard和賽門鐵克端點(diǎn)加密產(chǎn)品)，還是開源解決方案(DiskCryptor)。那樣一來，它們就能明白在其特定的環(huán)境下，各種FDE解決方案在電腦休眠或待機(jī)期間會(huì)有怎樣的表現(xiàn)。

FDE軟件與直接訪問硬盤的應(yīng)用程序之間可能也會(huì)有沖突――有些很明顯，比如磁盤實(shí)用工具，有些則不太明顯，比如某些資產(chǎn)管理程序。強(qiáng)烈建議企業(yè)組織對(duì)照可能直接訪問硬盤的任何應(yīng)用程序，測試每一款有意購買的FDE產(chǎn)品，找出任何不兼容之處，然后聯(lián)絡(luò)受影響產(chǎn)品的廠商，詢問可能的解決辦法。

第四個(gè)標(biāo)準(zhǔn)：驗(yàn)證服務(wù)整合

通常建議企業(yè)組織為FDE采用多因子驗(yàn)證(MFA)，那樣完全重復(fù)使用操作系統(tǒng)密碼驗(yàn)證的產(chǎn)品通常不被接受。FDE軟件應(yīng)該有自己的驗(yàn)證機(jī)制，或者利用企業(yè)級(jí)MFA，比如活動(dòng)目錄、智能卡或密碼令牌(后者最好)。本文中提到的所有商用產(chǎn)品都支持多因子驗(yàn)證，包括智能卡和密碼令牌，而戴爾數(shù)據(jù)保護(hù)和加密產(chǎn)品尤其值得一提，原因在于它還專門支持生物特征識(shí)別技術(shù)。至于蘋果FileVault 2和微軟BitLocker功能，驗(yàn)證服務(wù)方面的選項(xiàng)相當(dāng)有限，除非FileVault或BitLocker之外還使用可以添加集中式管理及其他功能的第三方商用產(chǎn)品。

第五個(gè)標(biāo)準(zhǔn)：密鑰恢復(fù)

密碼密鑰恢復(fù)是FDE的一項(xiàng)特別重要的管理功能，因?yàn)槿绻艽a恢復(fù)失敗或沒有可能，受影響用戶就會(huì)永遠(yuǎn)無法訪問所有本地存儲(chǔ)的數(shù)據(jù)。復(fù)雜的集中式密鑰恢復(fù)功能只有商用附加產(chǎn)品才提供。FileVault提供了一定的集中式密鑰恢復(fù)：它會(huì)將恢復(fù)密鑰存儲(chǔ)在蘋果公司，允許用戶致電蘋果來恢復(fù)該密鑰。然而，請(qǐng)第三方保管加密密鑰可能會(huì)違反企業(yè)安全政策，所以企業(yè)評(píng)估潛在產(chǎn)品時(shí)一定要留意恢復(fù)密鑰存儲(chǔ)在何處。微軟BitLocker單獨(dú)使用時(shí)，并不提供任何的集中式密鑰管理。

商用產(chǎn)品支持管理員執(zhí)行的集中式密鑰恢復(fù)活動(dòng);有些產(chǎn)品還支持用戶實(shí)現(xiàn)自助式恢復(fù)，比如Check Point全盤加密產(chǎn)品和賽門鐵克端點(diǎn)加密產(chǎn)品。認(rèn)真評(píng)估恢復(fù)方案各自的安全性，這點(diǎn)很重要。

比如說，自助式恢復(fù)產(chǎn)品可能需要用戶回答一些問題，比如他們偏愛的顏色或?qū)櫸锩Q。不法分子可以利用這些問題，在未經(jīng)授權(quán)的情況下擅自獲取用戶的密碼，因而避開該用戶設(shè)備上的FDE。評(píng)估密鑰恢復(fù)方案時(shí)，企業(yè)組織應(yīng)該先確定執(zhí)行密鑰恢復(fù)的將是用戶還是管理員(還是兩者都可以)。

第六個(gè)標(biāo)準(zhǔn)：緩解蠻力攻擊

對(duì)付采用蠻力的密碼攻擊，最常見的緩解手法就是，延長驗(yàn)證嘗試之間的間隔、將驗(yàn)證嘗試暫停一段時(shí)間，或者在多次嘗試失敗后擦除設(shè)備上的數(shù)據(jù)。如果使用了單因子(密碼)驗(yàn)證，最迫切需要任何這種緩解手法。除了Check Point全盤加密產(chǎn)品和賽門鐵克端點(diǎn)加密產(chǎn)品外，本文提到的其他產(chǎn)品都無法提供對(duì)付蠻力攻擊的緩解手法，所以向廠商詢問這方面的詳細(xì)信息很要緊。

第七個(gè)標(biāo)準(zhǔn)：密碼算法

考慮到密碼技術(shù)的現(xiàn)狀，F(xiàn)DE產(chǎn)品通常應(yīng)該采用高級(jí)加密標(biāo)準(zhǔn)(AES)算法，最好是采用長度是256位的密鑰。本文提到的所有產(chǎn)品都采用AES，而且都支持使用256位密鑰。

另外建議，正式評(píng)估FDE產(chǎn)品，確定它們實(shí)施的密碼機(jī)制是否安全可靠，這實(shí)際上也是一些企業(yè)組織所要求的;最常見的認(rèn)證是聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)140-2合規(guī)認(rèn)證。FIPS 140-2合規(guī)認(rèn)證方面的信息詳見此處(http://searchsecurity.techtarget.com/feature/The-fundamentals-of-FDE-Comparing-the-top-full-disk-encryption-products)。

一些產(chǎn)品并不符合FIPS 140-2，比如賽門鐵克終端加密和面向Yosemite的蘋果FileVault 2，但這是由于這些是新產(chǎn)品(2014年底才推出)。這些產(chǎn)品正等著進(jìn)行FIPS 140-2測試，所以預(yù)計(jì)它們?cè)诓贿h(yuǎn)的將來會(huì)通過合規(guī)認(rèn)證。DiskCryptor等開源產(chǎn)品并不符合FIPS 140-2標(biāo)準(zhǔn)，最可能是由于獲得認(rèn)證面臨經(jīng)濟(jì)負(fù)擔(dān)。因此，需要使用FIPS合規(guī)產(chǎn)品的企業(yè)組織可能不得不出資自行開展這些開源產(chǎn)品的認(rèn)證過程，如果想要實(shí)施開源產(chǎn)品的話。

密碼方面需要考慮的另一個(gè)方面是，密碼密鑰存儲(chǔ)在哪里，本地還是遠(yuǎn)程;如果存儲(chǔ)在本地，又存儲(chǔ)在設(shè)備上的何處。比如說，戴爾數(shù)據(jù)保護(hù)和加密產(chǎn)品以及微軟BitLocker就能使用本地可信平臺(tái)模塊(TPM)，對(duì)存儲(chǔ)的數(shù)據(jù)實(shí)行強(qiáng)有力的保護(hù)。如果密鑰存儲(chǔ)在本地，而存儲(chǔ)的密鑰又沒有得不到適當(dāng)?shù)谋Ｗo(hù)，攻擊者就能夠恢復(fù)密鑰，避開FDE提供的保護(hù)機(jī)制，因而突破設(shè)備的安全防線。

結(jié)束語

本文介紹的所有軟件都可以提供基本的FDE產(chǎn)品。產(chǎn)品是否適合用于企業(yè)，最大的決定因素是有無全面的軟件管理功能。比如說，盡管許多企業(yè)已經(jīng)擁有了操作系統(tǒng)提供的FDE軟件，但還是購買FDE產(chǎn)品，原因就是管理操作系統(tǒng)提供的FDE面臨諸多難題。另外還有一些開源產(chǎn)品，它們提供了免費(fèi)的FDE功能，但它們?nèi)鄙俟芾砉δ埽钸m合個(gè)人和一次性系統(tǒng)使用，并不適合標(biāo)準(zhǔn)的企業(yè)部署環(huán)境使用。

在諸多商用產(chǎn)品當(dāng)中，沒有哪款產(chǎn)品具有真正明顯的優(yōu)勢。每家企業(yè)需要橫向比較產(chǎn)品，確定哪款最適合自己的要求。在許多情況下，這意味著向提供企業(yè)內(nèi)部使用的其他安全產(chǎn)品的同一家廠商購買產(chǎn)品。如果將任何商用產(chǎn)品用于整個(gè)企業(yè)的FDE部署環(huán)境，企業(yè)應(yīng)該會(huì)覺得很輕松。