全磁盤加密(full disk encryption, FDE)技術(shù)是一種存儲加密技術(shù)，正如其名稱所稱，它可以為臺式機(jī)、筆記本或服務(wù)器加密硬盤驅(qū)動器中的所有信息。這就是說，當(dāng)計(jì)算機(jī)處于非啟動狀態(tài)時(shí)，其操作系統(tǒng)(OS)、應(yīng)用和用戶數(shù)據(jù)都會受到保護(hù)，阻止未經(jīng)授權(quán)訪問。

當(dāng)有人試圖啟動該操作系統(tǒng)時(shí)，在進(jìn)行啟動前，用戶或管理員必須成功驗(yàn)證身份，這被稱為預(yù)啟動身份驗(yàn)證(PBA)。在PBA成功后，操作系統(tǒng)將被啟動，用戶就可以訪問所有操作系統(tǒng)的功能、應(yīng)用和數(shù)據(jù)。

傳統(tǒng)觀點(diǎn)認(rèn)為，在最低限度下，每個企業(yè)都應(yīng)該對訪問或存儲敏感數(shù)據(jù)的所有計(jì)算機(jī)使用FDE技術(shù)。雖然這聽起來很合理，但很多企業(yè)對其所有臺式機(jī)和筆記本電腦都使用FDE技術(shù)，因?yàn)樗麄冨e誤地認(rèn)為，該技術(shù)實(shí)際可以提供更多的保護(hù)。

FDE是否適合企業(yè)的系統(tǒng)完全取決于企業(yè)試圖阻止的威脅：設(shè)備的丟失或被盜、服務(wù)器端數(shù)據(jù)被盜、操作系統(tǒng)篡改或者惡意軟件訪問敏感數(shù)據(jù)，這是FDE擅長應(yīng)付的四種應(yīng)用場景。

應(yīng)用一：防范計(jì)算機(jī)設(shè)備丟失或被盜

部署FDE技術(shù)的最常見原因是攻擊者試圖對丟失或被盜的筆記本或移動設(shè)備中的敏感數(shù)據(jù)獲取未經(jīng)授權(quán)訪問。

多年來，媒體報(bào)道了很多筆記本丟失或被盜的事件，這些筆記本包含著數(shù)以百萬計(jì)的未受保護(hù)客戶記錄。這些被視為真正的數(shù)據(jù)泄露事故，因?yàn)闆]有人知道攻擊者是否已經(jīng)訪問這些敏感數(shù)據(jù)。單起數(shù)據(jù)泄露事故可能導(dǎo)致企業(yè)損失數(shù)百萬美元--恢復(fù)成本和聲譽(yù)損失成本。

考慮到這些數(shù)據(jù)泄露事故的嚴(yán)重程度，企業(yè)有必要安裝FDE技術(shù)來保護(hù)筆記本中的敏感數(shù)據(jù)。這樣的話，當(dāng)筆記本丟失或被盜時(shí)，數(shù)據(jù)仍然是安全的，因?yàn)樵O(shè)備會受到FDE保護(hù)。這可以幫助企業(yè)防止數(shù)據(jù)泄露和避免媒體報(bào)道其筆記本丟失或被盜的新聞。

很多企業(yè)已經(jīng)擴(kuò)展了這一基本原則(即使用FDE保護(hù)敏感數(shù)據(jù))，他們在所有筆記本(有時(shí)候包括臺式機(jī))使用FDE技術(shù)，因?yàn)樗麄儾荒芡耆_定哪些設(shè)備包含敏感信息。這是常見的復(fù)雜問題，即要求在所有筆記本使用FDE。

例如，對于FDE自動部署到所有筆記本，在用戶第一次訪問敏感數(shù)據(jù)之前，企業(yè)沒有必要添加該技術(shù)到已經(jīng)部署的筆記本。這可能會帶來不必要的延誤。并且，當(dāng)FDE技術(shù)全面部署在企業(yè)環(huán)境中時(shí)，筆記本丟失或被盜的話，也沒有必要恐慌，應(yīng)該確定設(shè)備是否受到FDE保護(hù)，如果沒有，則確定設(shè)備是否被用來訪問敏感數(shù)據(jù)，數(shù)據(jù)殘余可能仍然位于設(shè)備中。

要注意的是，F(xiàn)DE技術(shù)的使用通常是基于這樣的假設(shè)，即設(shè)備不被使用時(shí)會被關(guān)閉。這對于筆記本是一個問題，因?yàn)楣P記本通常處于休眠或待機(jī)模式。根據(jù)使用的產(chǎn)品以及配置情況的不同，F(xiàn)DE技術(shù)可能或者可能不會對這些模式的筆記本產(chǎn)生效果。

IT部門應(yīng)該自己進(jìn)行測試來確保他們考慮購買的FDE產(chǎn)品能夠保護(hù)休眠和待機(jī)設(shè)備的敏感數(shù)據(jù)。如果不能提供保護(hù)，那么可能需要考慮其他方法，或者強(qiáng)制執(zhí)行政策要求禁止使用筆記本的待機(jī)或休眠模式。

應(yīng)用二：防范不必要的OS篡改

雖然大多數(shù)人知道FDE技術(shù)可以防止因設(shè)備丟失或被盜而引起的敏感數(shù)據(jù)泄露，但其實(shí)該技術(shù)還可以防止對操作系統(tǒng)的篡改。

例如，攻擊者可能會在短時(shí)間內(nèi)獲取對不受FDE保護(hù)的筆記本或臺式機(jī)的訪問權(quán)限。該攻擊者可以通過多種方法(包括利用操作系統(tǒng)漏洞和使用取證工具)來修改該操作系統(tǒng)的可執(zhí)行文件、配置、權(quán)限和其他屬性。這將允許攻擊者歸還該設(shè)備到原來的位置，同時(shí)通過向操作系統(tǒng)可執(zhí)行文件植入的惡意軟件，保持對該設(shè)備的遠(yuǎn)程訪問。

這并不是常見的威脅，但在具有特別高安全需求的企業(yè)，僅此一點(diǎn)就讓企業(yè)有足夠理由為臺式機(jī)和筆記本使用FDE技術(shù)。

再次需要注意的是，F(xiàn)DE只能保護(hù)非啟動狀態(tài)下的設(shè)備;當(dāng)設(shè)備處于啟動狀態(tài)時(shí)，F(xiàn)DE將無法阻止惡意軟件感染和操作系統(tǒng)執(zhí)行操作。為了防范和應(yīng)對這些情況，企業(yè)需要使用反惡意軟件技術(shù)，例如防病毒軟件或惡意軟件分析工具;漏洞管理工具，包括補(bǔ)丁管理功能來消除操作系統(tǒng)和應(yīng)用中的已知漏洞;以及強(qiáng)大的身份驗(yàn)證和訪問控制系統(tǒng)配置，以確保只有授權(quán)管理員可以更改操作系統(tǒng)文件、配置等。

應(yīng)用三：防止服務(wù)器端數(shù)據(jù)盜竊

有時(shí)候企業(yè)會選擇在其服務(wù)器硬盤驅(qū)動器使用FDE技術(shù)，當(dāng)服務(wù)器未被啟動時(shí)，這可以對服務(wù)器硬盤中的內(nèi)容提供保護(hù)，例如當(dāng)服務(wù)器從一個位置運(yùn)送到另一個位置時(shí)。

對于有些企業(yè)而言這并不是常見的情況，但對于具有分支機(jī)構(gòu)的企業(yè)而言這很常見，其分支機(jī)構(gòu)有自己的服務(wù)器，技術(shù)人員可能要在這些位置之間運(yùn)送硬盤驅(qū)動器，還有在災(zāi)難恢復(fù)操作中，服務(wù)器會從一個物理位置遷移到另一個位置。
出于這些原因，企業(yè)可以在服務(wù)器硬盤驅(qū)動器使用FDE技術(shù)來在這些運(yùn)輸過程中提供保障。

應(yīng)用四：要求合作伙伴提供全面惡意軟件防護(hù)

也許對于大多數(shù)企業(yè)的系統(tǒng)而言，最常見的威脅是試圖訪問存儲在本地臺式機(jī)或筆記本電腦中敏感數(shù)據(jù)的惡意軟件。然而，在設(shè)備被啟動后，F(xiàn)DE技術(shù)完全無法阻止這種惡意軟件。不過，還有其他形式的存儲加密技術(shù)可能會有所幫助。

這些技術(shù)包括虛擬磁盤加密、卷加密和文件加密，它們可以保護(hù)數(shù)據(jù)的機(jī)密性和完整性，即使當(dāng)設(shè)備完全啟動后。很多企業(yè)在其筆記本和臺式機(jī)中存儲有敏感數(shù)據(jù)，他們在選擇FDE技術(shù)的同時(shí)，還可以選擇這些技術(shù)來提供額外的保護(hù)層，特別是針對惡意軟件。

cc

收藏 海報(bào)分享