如果企業(yè)丟失了筆記本電腦，那么我們最應(yīng)當擔心恐怕就是數(shù)據(jù)損失了！而整盤加密產(chǎn)品可以保證在企業(yè)的筆記本電腦丟失或被竊后，其敏感信息仍能安然無恙。

整盤加密產(chǎn)品如何運行

整盤加密解決方案可以對系統(tǒng)的整個硬盤進行加密，加密的范圍包括操作系統(tǒng)和應(yīng)用程序及存儲在其上的數(shù)據(jù)。在系統(tǒng)啟動時，它會提示用戶輸入密鑰，從而使系統(tǒng)啟動并正常運行。在系統(tǒng)從磁盤上讀取數(shù)據(jù)時，會對數(shù)據(jù)動態(tài)加密，并存儲在內(nèi)存中，而且寫往磁盤的任何信息也被動態(tài)加密。如果竊賊或黑客沒有正確的加密密鑰，將無法訪問存儲在磁盤上的數(shù)據(jù)。

整盤加密與文件級的加密不同，主要在于它可以自動并透明地確保存儲在硬盤上的所有數(shù)據(jù)的安全，其中也包括可能包含機密數(shù)據(jù)的交換文件和隱藏文件，而且它不需要用戶的干預(yù)。

整盤加密的一個缺點是，它無法保護網(wǎng)絡(luò)傳送中的文件。如果通過電子郵件發(fā)送文件，或?qū)⑵鋸椭频娇扉W記憶卡，文件就無法加密。為此，在部署整盤加密時，你還需要考慮部署文件級加密。這樣一來，用戶們就可以手動加密需要與他人共享的文件。

多數(shù)整盤加密產(chǎn)品允許用戶在啟動之前就提供一個加密密鑰，而且其加密方法也有多種：

1、以口令或密碼的形式加密。
2、允許用戶插入一個包含密鑰的U盤。
3、使用一個RSA令牌之類的一次性口令生成設(shè)備
4、使用某種生物識別設(shè)備，如使用包含著真正加密密鑰的指紋識別器（通常連接到一個可信的平臺模塊）。

對許多系統(tǒng)而言，管理員還可以設(shè)定兩種認證方法，從而創(chuàng)建一種雙因素認證系統(tǒng)。

如果沒有密鑰，對于使用了現(xiàn)代的整盤加密的驅(qū)動器上的數(shù)據(jù)來說，幾乎任何人都不可能解密。這意味著如果一個用戶丟失了或遺忘了其密碼，那么存放在加密硬盤上的數(shù)據(jù)將永遠無法被訪問，除非該整盤加密產(chǎn)品的加密部分與一個支持密鑰恢復的密鑰管理系統(tǒng)協(xié)同工作。

整盤加密系統(tǒng)涉及某種處理器來執(zhí)行動態(tài)加密和解密而且與應(yīng)用程序所要求的磁盤I/O的數(shù)量息息相關(guān)。對于執(zhí)行典型的電子郵件和辦公活動的用戶來說，其性能影響不可能非常明顯，但對于數(shù)據(jù)密集型的活動（如視頻處理等）其影響就非常巨大，除非計算機的主處理器和整盤加密產(chǎn)品都支持英特爾的AES-NI指令，以實現(xiàn)硬件加速的加密和解密。

易受攻擊的漏洞

沒有哪個安全系統(tǒng)是絕對安全的，而整盤加密系統(tǒng)易于遭受各種攻擊，其中包括：

1、訪問加密密鑰。在用戶們將包含加密密鑰的U盤與計算機一起存放時，訪問加密密鑰對于竊賊來說簡直是小菜一碟。此外，用戶們還有可能被社交工程“忽悠”而泄露口令。
2、筆記本電腦在通電工作狀態(tài)時失竊。整盤加密只能在計算機關(guān)閉時才能保護數(shù)據(jù)。這意味著如果電腦正在運行但無人監(jiān)管時被竊取，竊賊就完全可以訪問數(shù)據(jù)。
3、高級內(nèi)存訪問技術(shù)。整盤加密系統(tǒng)要求在系統(tǒng)運行時將加密密鑰放在內(nèi)存中。由于DRAM芯片的內(nèi)容在系統(tǒng)關(guān)閉后仍能保留幾秒到幾分鐘的時間，因而不法份子就有可能切斷一臺無人看管的筆記本電腦的電源，然后通過一個內(nèi)存記憶卡或CD啟動到另一個操作系統(tǒng)，再讀取并保存DRAM的內(nèi)容。竊賊可以從這些數(shù)據(jù)中析取密鑰，并用于日后的攻擊。

此外，有些應(yīng)用程序?qū)⑿畔⒎旁谥黩?qū)動器的啟動扇區(qū)上，這些信息會被整盤加密系統(tǒng)覆蓋，導致其無法工作。

在評估整盤加密產(chǎn)品時需要關(guān)注如下幾個方面：

1、支持的操作系統(tǒng)
2、認證方法
3、密鑰管理系統(tǒng)和恢復的選項
4、遵循FIPS-140的加密模塊
5、對英特爾的AES-NI指令的支持

在這里，尤其要提到是一款非常不錯的整盤加密軟件：U盤超級加密3000。它是一款非常不錯的U盤和移動硬盤加密軟件，并且支持硬盤加密，這對于小型企業(yè)來說很有吸引力。

如今，各大安全廠商都相繼推出了自己的整盤加密產(chǎn)品，用戶在選擇時不妨從上述五個方面進行考慮。

admin

收藏 海報分享