【IT168 技术】全磁盘加密 (FDE) 系统使用强大的加密算法对存储在计算机和笔记本电脑硬盘上的所有数据进行自动保护。用户可以通过认证设备(如密码、令牌或者智能卡)来访问这些受保护的数据，这使得系统可以对解密磁盘的密钥进行检索。在很多系统中，密钥管理、访问权限控制、报告和恢复等功能都是集中性管理的。

　　根据Gartner研究所的分析师John Girard表示，磁盘加密产品的主要区别在于对管理、加密强度、用户验证、政策管理和增值功能(如对移动媒介中信息的保护)采取的方法各有不同。

　　在这里让我们来看看在选择加密解决方案时主要需要考虑因素，以及该做的和不该做的行为。

　　主要考虑因素

　　全磁盘加密 v.s 文件或文件夹加密系统 对于全磁盘加密，存储到硬盘上的数据是被自动加密的，这一点与文件或文件夹加密系统有所不同。在文件加密系统中，由用户来决定哪些数据需要加密。全磁盘加密的最大优势在于，基本不会出现加密错误，即使用户不遵守或者不理解加密政策。

　　Lambert指出，全磁盘加密的缺点在于，它并不能保护正在传输中的数据，如在设备间共享的信息、存储在移动硬盘或者USB上的信息以及通过电子邮件发送的信息等。而文件加密系统(FES)则是保护传输数据的理想工具，虽然这需要花很多精力来制定政策(规定哪些信息必须加密或者不必加密)，以及针对政策进行用户培训。同时，文件加密系统的计算强度比全磁盘加密更大，占计算机性能的15%到20%，而全磁盘加密只有3%或4%。

　　硬件加密 v.s 软件加密 Girard表示，与基于软件的加密相比，硬件加密的性能得到明显改善，并且，新的可信计算机组(TCG)开放标准为硬盘驱动制造商提供了一种通用管理归法。

　　但是，现在市面上的产品都还没有运用这项标准。硬件加密还将继续发展，未来的加密选择还将出现在其他设备子系统中，如中央处理器或者支持芯片组等。

　　现在的自我加密硬盘驱动器(如希捷科技公司的产品)都主要是针对消费者的。这是因为如果没有部署TCG标准，硬件加密的性能并不见得比软件加密好，并且大部分硬件加密不能集中管理。不过也有特例产品，如戴尔公司、希捷公司和McAfee合作推出的包含加密硬盘的笔记本电脑和企业级管理工具。Wave系统公司同样也出售针对希捷硬盘的密钥管理软件，Burton集团的分析师Eric Maiwald表示。

　　加密：该做的与不该做的

　　提前整理机器 Girard表示，大家在安装加密解决方案时最常犯的错误就是部署加密技术前未能确保机器的“清洁度”，机器往往存在很多问题。“如果存在磁盘问题，”他表示，“加密引擎的部分代码将无法读取。”Girard建议在加密前，重新整理硬盘驱动器，多运行Checkdisk几次，备份数据，修复所有系统漏洞和优化系统系统。虽然加密只占性能比重的1%到3%，为什么不让机器的速度更快一点来减少性能比重呢?

　　在使用Pointsec(来自Check Point软件技术公司)的美国洛杉矶县，首席信息官Robert Pittman的团队对全县的所有笔记本电脑的硬盘进行了健康检查来看看存在多少可用空间、硬盘的分区程度以及操作系统的维护水平等。Robert的团队发现总共12500台笔记本计算机中约有20台笔记本在部署加密解决方案前需要更换机器。

　　美国康涅狄格州的咨询师Frank Ward在部署加密软件(来自McAfee公司)的试验阶段也对全州的笔记本电脑运行了硬盘驱动评估软件，大约有15%的硬盘驱动没有通过评估。通过对所有磁盘进行检查发现，在整个州5000台计算机中安装McAfee加密软件的失败率仅为3%。

　　进度不能太快 在部署过程中，在脑海中应该有张清晰的思路图。有些企业使用中央软件交付系统，例如Patterson使用来自LANdesk软件公司的LANdesk来大规模部署Utimaco加密解决方案，不过，他计划分别对每台电脑进行软件激活，这也是他所说的低效率的慢方法，他不仅需要移除之前安装的加密软件，而且试图寻求更好的管理方法来处理可能出现的问题。“我可不想看到哪天所有计算机都变成蓝屏，”他表示，“Utimaco能够很好地错失败中恢复，但有时候硬盘也有可能出问题，如果我们的部署过程太快的话，我们的电话支持热线可能会被打爆。”

　　大多数加密软件可以通过中央软件交付系统来部署到用户的计算机，举例来说，McAfee的产品允许你使用它的ePolicy Orchestrator来完成部署。但是这并不总是可行的，如上述康涅狄格州的案例。在康涅狄格州的分布式环境中，Ward发现中央部署机制的普及度并不充分，他仍然需要花很长时间去部署以尽快实现美国的部署战略。

　　为此，该州设立了五个三人小组来完成对55个机构和950个州警察巡警车中的笔记本电脑进行McAfee安装。这些小组主要由训练有素的管理员、McAfee工作人员和IT人员组成。

　　不要低估部署时间 Ward发现，安装加密解决方案需要花很长时间，尤其是对于大容量驱动器。一条好的经验法则就是：软件加密驱动器将需要花费2-4小时，这取决于驱动器的容量。

　　正因为如此，最重要的就是选择这样的系统：便于管理员学习以及供应商或经销商便于提供自定义培训的系统。当Pittman选择Checkpoint时，大约有100人接受了培训，这是很有帮助的，能够帮助标准化配置加密解决方案。

　　不考虑背景安装 为了尽可能的保持部署的低影响力，可以考虑使用另外的系统，这样用户在部署加密期间也可以继续工作，而且，这样如果操作被中断的话，也不需要重启系统进程。

　　不要指望用户会完全认可 用户往往对于增加的安全性心存戒心，他们认为安全是妨碍系统性能的绊脚石。因此，最好在加密部署前对部署内容、如何部署、什么时候部署等问题向用户讲清楚，并向他们强调这对系统性能的影响是非常小的，不超过5%。

　　在试验组做测试 试验测试是很重要的，这包括几个原因：解决可能存在的问题、衡量用户的抵制情绪以及全面部署范围。“用户注册应该是很容易的，但是如果有多个产品，用户就会感到困惑，”Girard表示，“当这种情况扩大范围时，将会相当棘手，因为如果没有正确安装注册的话，机器将需要进入恢复模式。如果用户永远都不注册管理控制台，就更麻烦了。”

　　检查与其他应用程序的兼容性 试点测试的另一个原因就是在加密软件和其他应用程序间可能存在设备驱动或者BIOS的干扰，因此，你应该对所有应用程序的兼容性进行试验测试，以及明年可能会安装的应用程序。 加密可能会与某些已经存在于磁盘启动区的桌面管理系统发生冲突，Maiwald补充说：“如果二者不能兼容的话，是不能同时存在与启动扇区的，每个企业都会面临这方面的问题，所以最好的方法就是先进行测试。”

　　请考虑身份验证功能 供应商提供不同的用户验证机制，保护PIN码、密码、智能卡和令牌等，不过现在最流行的是密码功能。虽然使用两个单独的密码(一个用于开机，另一个用于进入网络域)要更加安全，但是很多企业仍然选择单点登陆模式。

　　请考虑采用整体套件产品 当Patterson开始寻找加密系统时，他主要有两方面的考虑：首先，他与Raymond James的杀毒软件合同也已经结束;另外，他希望找到一种不同的端点防火墙(而不是原来的windows防火墙)。综合考虑这些问题，他把目光转移到了通过单一控制台管理的多功能产品，“否则，我们就需要很多人力来管理这些系统，这是不太现实的。”

　　在Utimaco的帮助下，Sophos公司将加密整合到了更广泛的安全套件产品中，McAfee同样也提供加密与其他端点安全功能整合管理的产品。

　　这种整合套件产品可以帮助缓解管理这么多不同安全功能的繁琐，“如果我们告诉用户将在他们机器上部署另一供应商的产品，那么将会需要很长的磨合期以确保性能不会下降，”Patterson表示，“向一个产品增加更多的功能性是很吸引人的，对于管理员和最终用户而言。”

　　而另一方面，乔治亚大学系统首席信息官Stanton Gatewood则表示，想要一种专门的加密产品，这也是他选择PGP的原因。“当我们在寻找这种产品时发现，似乎加密功能只是一种插件功能，现在有很多防火墙或者杀毒软件公司开始添加加密功能。”

　　请准备好加密成功案例集 Lambert表示，虽然加密的作用是显而易见的，但很多公司仍然采取观望的态度。让决策者相信通过部署全磁盘加密能够避免数据泄漏事故将需要准备很多加密成功案例，要让他们了解，单条泄漏数据记录给企业造成的损失比加密功能的成本大得多。此外，大量泄漏的数据记录造成的成本损失比企业所有移动平台部署加密方案的成本都要高。

　　请考虑对移动媒介的支持 随着USB移动媒介的普及，大家越来越多地开始关注移动媒介加密和设备控制。一般来说，提供全磁盘加密或者文件加密系统的供应商同样也会提供移动媒体的加密功能，在某些情况下，例如Checkpoint，还将端口管理、内容过滤、集中审计以及USB接口存储设备的管理整合在一起。

　　移动媒体加密是Patterson评估标准之一，他表示，Utimoco的数据交换产品一次只能加密一个文件，而不是整个USB，通常USB都包含各种类型的文件，从音乐到电子表格等。他制定的公司安全政策中规定用户从计算机中拷贝的任何文件都要进行加密，主要采用密码认证。这需要对用户的全面培训，让用户知道如何加密解密文件，以及与同事共享文件。

　　Gatewood表示PGP可以使加密管理员添加功能以加密电子邮件、传输文件以及移动媒体。

　　请调查供应商采用的密钥恢复方法 供应商为密钥恢复(用户忘记密码)提供了不同的方法，包括自我服务形式的密码重置、挑战反映机制的服务台帮助、一次性密码或者技术专家的电话帮助。最好寻找一种能够完全符合企业服务台流程的方法。

　　考虑与Active Directory整合 与Active Directory整合的系统确实能够简化管理过程，当某个机器添加Active Directory域时，我们能够在控制台看到它，并且能够移动加密密钥，这对密钥代管是非常大的帮助。

　　Ward表示，AD整合使他能够简便管理McAfee数据库，节省了大量时间，并且能够保证数据库的结构正确，不会对管理员带来额外的负担。

　　调查报告能力 易于报告的能力是选择全盘加密的另一个重要标准，当笔记本丢失时能够正确笔记本已经被加密。其他常见报告还包括用户是否有加密方面的问题、他们是否向服务台寻求帮助以及问题是否解决等。

　　检查哪些平台予以支持 可以选择那些跨平台且支持多种操作系统的全磁盘加密解决方案。

　　不要忽视密钥管理 如果没有良好的密钥管理，就等于完全没有部署加密一样。密钥管理是帮助存储、撤销和管理密钥的管理方式。Gatewood之所以没有选择开源系统，是因为开发系统缺乏强大的密钥管理系统。而良好的密钥管理工具不仅能够帮助管理自己系统的密钥，而且可以管理其他系统的密钥。

　　不要忽视锁定 当有人一段时间内(通常几个星期内)没有登陆到网络，该功能就会将机器锁定。Ward表示，在康涅狄格州，通常每天会对网络链接的电脑进行五到六次检查，并且发送日志到加密服务器。当机器被锁定时，用户将不能进行身份验证，此时将需要管理员对机器进行解锁。