全磁盘加密 (FDE) 系统使用强大的加密算法对存储在计算机和笔记本电脑硬盘上的所有数据进行自动保护。用户可以通过认证设备(如密码、令牌或者智能卡)来访问这些受保护的数据,这使得系统可以对解密磁盘的密钥进行检索。在很多系统中,密钥管理、访问权限控制、报告和恢复等功能都是集中性管理的。
根据Gartner研究所的分析师John Girard表示,磁盘加密产品的主要区别在于对管理、加密强度、用户验证、政策管理和增值功能(如对移动媒介中信息的保护)采取的方法各有不同。
在这里让我们来看看在选择加密解决方案时主要需要考虑因素,以及该做的和不该做的行为。
主要考虑因素
全磁盘加密 v.s 文件或文件夹加密系统 对于全磁盘加密,存储到硬盘上的数据是被自动加密的,这一点与文件或文件夹加密系统有所不同。在文件加密系统中,由用户来决定哪些数据需要加密。全磁盘加密的最大优势在于,基本不会出现加密错误,即使用户不遵守或者不理解加密政策。
Lambert指出,全磁盘加密的缺点在于,它并不能保护正在传输中的数据,如在设备间共享的信息、存储在移动硬盘或者USB上的信息以及通过电子邮件发送的信息等。而文件加密系统(FES)则是保护传输数据的理想工具,虽然这需要花很多精力来制定政策(规定哪些信息必须加密或者不必加密),以及针对政策进行用户培训。同时,文件加密系统的计算强度比全磁盘加密更大,占计算机性能的15%到20%,而全磁盘加密只有3%或4%。
硬件加密 v.s 软件加密 Girard表示,与基于软件的加密相比,硬件加密的性能得到明显改善,并且,新的可信计算机组(TCG)开放标准为硬盘驱动制造商提供了一种通用管理归法。
但是,现在市面上的产品都还没有运用这项标准。硬件加密还将继续发展,未来的加密选择还将出现在其他设备子系统中,如中央处理器或者支持芯片组等。
现在的自我加密硬盘驱动器(如希捷科技公司的产品)都主要是针对消费者的。这是因为如果没有部署TCG标准,硬件加密的性能并不见得比软件加密好,并且大部分硬件加密不能集中管理。不过也有特例产品,如戴尔公司、希捷公司和McAfee合作推出的包含加密硬盘的笔记本电脑和企业级管理工具。Wave系统公司同样也出售针对希捷硬盘的密钥管理软件,Burton集团的分析师Eric Maiwald表示。
加密:该做的与不该做的
提前整理机器 Girard表示,大家在安装加密解决方案时最常犯的错误就是部署加密技术前未能确保机器的“清洁度”,机器往往存在很多问题。“如果存在磁盘问题,”他表示,“加密引擎的部分代码将无法读取。”Girard建议在加密前,重新整理硬盘驱动器,多运行Checkdisk几次,备份数据,修复所有系统漏洞和优化系统系统。虽然加密只占性能比重的1%到3%,为什么不让机器的速度更快一点来减少性能比重呢?
在使用Pointsec(来自Check Point软件技术公司)的美国洛杉矶县,首席信息官Robert Pittman的团队对全县的所有笔记本电脑的硬盘进行了健康检查来看看存在多少可用空间、硬盘的分区程度以及操作系统的维护水平等。Robert的团队发现总共12500台笔记本计算机中约有20台笔记本在部署加密解决方案前需要更换机器。
美国康涅狄格州的咨询师Frank Ward在部署加密软件(来自McAfee公司)的试验阶段也对全州的笔记本电脑运行了硬盘驱动评估软件,大约有15%的硬盘驱动没有通过评估。通过对所有磁盘进行检查发现,在整个州5000台计算机中安装McAfee加密软件的失败率仅为3%。
进度不能太快 在部署过程中,在脑海中应该有张清晰的思路图。有些企业使用中央软件交付系统,例如Patterson使用来自LANdesk软件公司的LANdesk来大规模部署Utimaco加密解决方案,不过,他计划分别对每台电脑进行软件激活,这也是他所说的低效率的慢方法,他不仅需要移除之前安装的加密软件,而且试图寻求更好的管理方法来处理可能出现的问题。“我可不想看到哪天所有计算机都变成蓝屏,”他表示,“Utimaco能够很好地错失败中恢复,但有时候硬盘也有可能出问题,如果我们的部署过程太快的话,我们的电话支持热线可能会被打爆。”
大多数加密软件可以通过中央软件交付系统来部署到用户的计算机,举例来说,McAfee的产品允许你使用它的ePolicy Orchestrator来完成部署。但是这并不总是可行的,如上述康涅狄格州的案例。在康涅狄格州的分布式环境中,Ward发现中央部署机制的普及度并不充分,他仍然需要花很长时间去部署以尽快实现美国的部署战略。
为此,该州设立了五个三人小组来完成对55个机构和950个州警察巡警车中的笔记本电脑进行McAfee安装。这些小组主要由训练有素的管理员、McAfee工作人员和IT人员组成。
不要低估部署时间 Ward发现,安装加密解决方案需要花很长时间,尤其是对于大容量驱动器。一条好的经验法则就是:软件加密驱动器将需要花费2-4小时,这取决于驱动器的容量。
正因为如此,最重要的就是选择这样的系统:便于管理员学习以及供应商或经销商便于提供自定义培训的系统。当Pittman选择Checkpoint时,大约有100人接受了培训,这是很有帮助的,能够帮助标准化配置加密解决方案。
