教你如何选择合适的全盘加密(FDE)软件

全盘加密(FDE)是一种存储加密技术，用来启劝系统的整个硬盘进行了加密。它最常用于保护存储在台式机和笔记本电脑上的敏感数据的机密性。用不用FDE关系到丢失的笔记本电脑只是带来不便，还是导致巨额经济损失的数据泄密事件。

现在市面上有好多软件产品提供FDE功能，所以试图评估FDE的合适使用场合、确定哪款FDE产品最适合某一家企业可能颇为棘手。想对FDE进行一番评估，第一步就是确定一系列标准，将这些标准视作向厂商提出的问题，或者确定全面测试产品的办法。

FDE软件如何部署到最终用户设备上?

大多数FDE产品来自第三方，这意味着它们有软件组件需要安装到需要保护的每个设备上。不过，一些FDE产品内置到操作系统中，或者作为现有安全产品套件的一部分来提供。这些情况下，客户端安装可能没有必要。

不过，客户端安装只是FDE部署过程的一小部分。通常建议在激活FDE之前，对任何设备执行全面备份，那样万一部署失败，系统上的数据不至于丢失。

将硬盘从未加密状态转换成加密状态可能需要几个小时;一些情况下，设备可能在进行这种转换的过程中不稳定。由于软件安装和配置、设备备份以及硬盘转换都需要耗费时间，FDE部署可能意味着对用户来说面临相当长的停机时间。

企业应该评估FDE产品的硬盘转换功能，以确定用户会在多长时间内受到影响，看看这种转换是不是可以在后台进行(如果是，性能会受到怎样的影响)。

FDE产品的管理功能多实用、多可靠?

集中式管理是企业成功部署FDE的关键。

内置到操作系统的FDE功能可能几乎没有什么集中式管理可言，限制了其优点。对于那些真正提供集中式管理的FDE产品而言，可扩展性至关重要，对大型企业来说更是如此。同样重要的还有管理员设置FDE配置选项的功能，确保用户无法更改那些选项或者禁用或卸载FDE软件。

证书管理是FDE管理方面另一个重要却常常被忽视的环节。评估人员应该测试一些功能特性，比如设备的密钥轮换和密码更改(针对用户和管理员)、集中式补丁和升级功能，还要测试加密算法和密钥大小的变化带来的影响。

FDE产品与现有的操作系统和应用程序兼容吗?

在一些情况下，现有环境与FDE软件可能会出现不兼容。不兼容造成的一个常见的副作用是，FDE无法保护处于休眠模式或待机模式的设备。另一个常见的例子是，FDE与直接访问硬盘的应用程序发生冲突，比如磁盘实用工具和某些资产管理软件。

FDE软件可与现有的验证服务轻松整合吗?

想为FDE执行启动前验证(PBA)，常常需要充分利用现有的验证服务，比如活动目录或基于公钥基础设施(PKI)的产品。

管理员还需要用于FDE配置和管理的一种验证机制。通常建议为FDE使用多因子验证，所以FDE解决方案支持所需的多因子验证技术显得很重要。无论选择的哪种验证技术，FDE软件可与它们轻松整合很重要。

密钥恢复有什么办法?

要是没有可靠的密钥恢复功能，许多用户可能无法访问FDE保护的设备及设备上保存的数据。需要密钥恢复，以防用户忘记验证证书，用户突然离开公司，或者无法正常登录进去。

一些企业选择让管理员执行所有的密钥恢复活动，而另一些企业更看重自助式恢复。不过要小心：自助式恢复可能会被滥用，让攻击者得以避开FDE保护，因而在未经授权的情况下获得访问权。所以，FDE评估人员有必要不仅考虑有哪些密钥恢复办法，还考虑每一种办法的相对安全性和易用性。

密钥恢复方面要考虑的另一个重要因素是使用多因子验证。

假设某个出差办事的用户丢失了密码令牌，因而无法启动其笔记本电脑。有一些FDE产品会允许用户在这种情况下临时使用由密码保护的单因子验证;不过对许多企业来说，此举违反了安全政策。所以，管理员会希望禁用这项FDE功能。评估FDE软件或产品的企业因而要特别关注单因子验证方面的可配置性。

FDE产品如何缓解蛮力密码攻击?

一些攻击者会企图猜出FDE密码――比如说，如果他们偷来了密码令牌，却不知道相应的PIN。

在这种情况下，要是有人多次试图登录，有些(但并非所有)FDE产品就会作出适当的反应――要么是在一段时间内(比如15分钟)暂停FDE验证，要么是延长试图验证的间隔时间。这些方法让蛮力攻击极难得逞，同时为验证时无意中犯了几次错的用户支持总体易用性。

另一个办法通常用在安全性较高的环境中，那就是在连续试图验证失败达到一定次数(比如10次)后擦除设备上的内容。这防止时间几乎不受限制的攻击者无法执行蛮力攻击。

然而，虽然这种方法保护数据避免曝露，但它也给牢记密码有困难的用户带来了负面影响。此外，不怀好意的人只要进行几次失败的验证，就能擦除设备上的内容。所以，虽然黑客也许无法访问用户的设备，但他们可能给这个用户增添麻烦。

FDE产品的加密技术有多可靠?

FDE产品多强大完全取决于内置的加密技术。任何FDE产品都应该使用行业认可的标准化加密算法，比如AES，最好是经过测试和验证的采用这种算法的技术。此外，密钥长度起码与行业目前建议的长度相一致。

许多企业(比如联邦政府部门)已从密码层面，对加密及完整性检查算法、密钥长度以及其他方面的要求作出了规定，所以在评估FDE产品时务必要问清楚这类要求。

要是FDE的密钥(私有密钥或秘密密钥)存储在本地，确保它们得到了充分的保护，这点也很重要。方法包括本地硬盘、密码令牌和可信平台模块(TPM)芯片。

对一些FDE产品而言，密钥可以集中存储，而不是本地存储，一旦成功通过验证，密钥就自动从该集中存储位置获取。

做好功课

评估用于企业环境的FDE产品可能困难重重;不过有了可供借鉴的一些基本标准，很容易区别诸多产品的异同。每家企业都有不一样的环境和不一样的要求，更不用说它面临的不一样的威胁，所以每家企业进行各自的FDE评估、而不是单单依赖公共领域的现有评估，这点很要紧。

本文不是想列出全面的标准，而是为进行FDE评估提供一个切实可行的出发点。需要考虑的其他重要需求还包括企业自身的政策、规程和一般实践。

原文地址：http://searchsecurity.techtarget.com/feature/The-fundamentals-of-FDE-Procuring-full-disk-encryption-software