安全專家Karen Scarfone逐一分析了市面上的幾款頂尖全盤加密產品，確定哪一款可能最適合貴企業。

全盤加密(FDE)廣泛應用于各種各樣的臺式機和移動設備操作系統上。這項技術可以加密硬盤上的所有靜態數據，從而有助于保護重要信息，防止泄密。

市面上有多種類型的全盤加密軟件產品。有些與其他安全套件捆綁在一起，有些是獨立式的，還有一些內置在操作系統中。本文著重分析了非捆綁式的解決方案(獨立式和內置于操作系統)。這倒不是說捆綁式解決方案較為遜色;不過，評估捆綁式解決方案所需的標準比純FDE解決方案要廣泛得多。

市面上五款領先的商用FDE產品是：Check Point全盤加密產品、戴爾數據保護和加密產品、邁克菲全面數據保護產品、Sophos SafeGuard和賽門鐵克端點加密產品。值得注意的是，戴爾產品既可以在戴爾硬件上使用，也可以在非戴爾硬件上使用。另外還有幾種大受歡迎的開源FDE解決方案，包括DiskCryptor。最后，還有操作系統提供的解決方案，比如蘋果FileVault 2和微軟BitLocker。

所有這些FDE解決方案都得到了廣泛使用，FDE產品問世的時間通常只有短短幾年。這些產品都提供了基本的FDE功能，保護臺式機、筆記本電腦和某些移動設備上的靜態數據。有些還可以用在服務器上;但是由于它們的主要保護對象是臺式機和筆記本電腦，所以本文將著重介紹這些計算機平臺。

由于市面上有那么多的FDE產品，找到適合企業的一款產品可能并非易事。幸好，有許多成熟的產品可供選擇，另外還可以參考區別FDE產品的七大標準。

第一個標準：設備部署

操作系統提供的FDE軟件在設備部署方面似乎會有顯著的優勢，因為軟件已經作為操作系統的一部分而安裝上去。然而實際情況并非如此。

在FDE部署環境中，配置軟件以及嚴加看管配置的難度常常比軟件安裝大得多。如果用戶能夠改動FDE配置，他們就有可能無意中或有意削弱或禁用這項技術，因而讓它毫無用處。用戶們還可以對自己的系統發動拒絕服務攻擊，只要刪除加密密鑰或者以其他方式對配置進行不明智的更改。

商用FDE產品提供了遠程部署功能，那樣系統管理員就不需要跑過去查看每一個最終用戶設備。這可以節省寶貴的時間，另外對遠程用戶(比如說遠程辦公人員和長時間出差的人員)來說也必不可少。操作系統提供的微軟BitLocker在一定程度上可以通過組策略(Group Policy)來加以管理，但它其實是用于本地管理，就跟蘋果FileVault 2一樣。開源產品通常需要本地安裝和配置，它們通常假設循規蹈矩的最終用戶不會更改FDE配置。

第二個標準：產品管理

就FDE而言，管理并不完全局限于FDE配置。管理的許多方面需要考慮，包括密鑰輪換、密碼更改、補丁安裝和密碼升級(比如加大密鑰長度和采用新的加密算法)。

就企業FDE部署環境而言，集中式管理的重要性再怎么強調都不為過。FDE的主要成本不在于軟件本身，而在于管理和支持。就因為某款解決方案的初始成本較低，并不意味著從長遠來看其實際運營成本也會比較低。開源解決方案通常并不提供任何形式的集中式管理功能，這樣一來，管理和支持起來特別費錢，尤其是在規模相當大的企業里。

FDE方面最讓人驚訝的地方之一是，操作系統提供的產品常常被認為難以管理，使用其他FDE產品來作為補充。本文測評的一些商用產品實際上能夠為操作系統提供的FDE添加管理功能，比如戴爾數據保護和加密產品、邁克菲全面數據保護產品和Sophos SafeGuard。從性能的角度來看這具有優勢――能夠使用原生FDE功能，同時確保已部署了單一、強大的集中式管理框架，能夠同時滿足FileVault和BitLocker的需要。

第三個標準：兼容性

就與現有環境兼容而言，許多企業應該最關心的是FDE解決方案如何處理進入休眠或待機模式的設備(通常是筆記本電腦)。問題在于，處于這樣一種模式的筆記本電腦會丟失或被偷;如果FDE沒有對電腦存儲的數據進行強有力的保護，那么敏感數據就很容易外泄。

由于兼容性因產品和操作系統而異(甚至有可能因環境而異)，強烈建議企業組織使用所考慮的每款FDE解決方案來測試自己的設備――無論是原生操作系統解決方案(微軟BitLocker和蘋果FileVault 2)，第三方解決方案(Check Point全盤加密產品、戴爾數據保護和加密產品、邁克菲全面數據保護產品、Sophos SafeGuard和賽門鐵克端點加密產品)，還是開源解決方案(DiskCryptor)。那樣一來，它們就能明白在其特定的環境下，各種FDE解決方案在電腦休眠或待機期間會有怎樣的表現。

FDE軟件與直接訪問硬盤的應用程序之間可能也會有沖突――有些很明顯，比如磁盤實用工具，有些則不太明顯，比如某些資產管理程序。強烈建議企業組織對照可能直接訪問硬盤的任何應用程序，測試每一款有意購買的FDE產品，找出任何不兼容之處，然后聯絡受影響產品的廠商，詢問可能的解決辦法。

第四個標準：驗證服務整合

通常建議企業組織為FDE采用多因子驗證(MFA)，那樣完全重復使用操作系統密碼驗證的產品通常不被接受。FDE軟件應該有自己的驗證機制，或者利用企業級MFA，比如活動目錄、智能卡或密碼令牌(后者最好)。本文中提到的所有商用產品都支持多因子驗證，包括智能卡和密碼令牌，而戴爾數據保護和加密產品尤其值得一提，原因在于它還專門支持生物特征識別技術。至于蘋果FileVault 2和微軟BitLocker功能，驗證服務方面的選項相當有限，除非FileVault或BitLocker之外還使用可以添加集中式管理及其他功能的第三方商用產品。

第五個標準：密鑰恢復

密碼密鑰恢復是FDE的一項特別重要的管理功能，因為如果密碼恢復失敗或沒有可能，受影響用戶就會永遠無法訪問所有本地存儲的數據。復雜的集中式密鑰恢復功能只有商用附加產品才提供。FileVault提供了一定的集中式密鑰恢復：它會將恢復密鑰存儲在蘋果公司，允許用戶致電蘋果來恢復該密鑰。然而，請第三方保管加密密鑰可能會違反企業安全政策，所以企業評估潛在產品時一定要留意恢復密鑰存儲在何處。微軟BitLocker單獨使用時，并不提供任何的集中式密鑰管理。

商用產品支持管理員執行的集中式密鑰恢復活動;有些產品還支持用戶實現自助式恢復，比如Check Point全盤加密產品和賽門鐵克端點加密產品。認真評估恢復方案各自的安全性，這點很重要。

比如說，自助式恢復產品可能需要用戶回答一些問題，比如他們偏愛的顏色或寵物名稱。不法分子可以利用這些問題，在未經授權的情況下擅自獲取用戶的密碼，因而避開該用戶設備上的FDE。評估密鑰恢復方案時，企業組織應該先確定執行密鑰恢復的將是用戶還是管理員(還是兩者都可以)。

第六個標準：緩解蠻力攻擊

對付采用蠻力的密碼攻擊，最常見的緩解手法就是，延長驗證嘗試之間的間隔、將驗證嘗試暫停一段時間，或者在多次嘗試失敗后擦除設備上的數據。如果使用了單因子(密碼)驗證，最迫切需要任何這種緩解手法。除了Check Point全盤加密產品和賽門鐵克端點加密產品外，本文提到的其他產品都無法提供對付蠻力攻擊的緩解手法，所以向廠商詢問這方面的詳細信息很要緊。

第七個標準：密碼算法

考慮到密碼技術的現狀，FDE產品通常應該采用高級加密標準(AES)算法，最好是采用長度是256位的密鑰。本文提到的所有產品都采用AES，而且都支持使用256位密鑰。

另外建議，正式評估FDE產品，確定它們實施的密碼機制是否安全可靠，這實際上也是一些企業組織所要求的;最常見的認證是聯邦信息處理標準(FIPS)140-2合規認證。FIPS 140-2合規認證方面的信息詳見此處(http://searchsecurity.techtarget.com/feature/The-fundamentals-of-FDE-Comparing-the-top-full-disk-encryption-products)。

一些產品并不符合FIPS 140-2，比如賽門鐵克終端加密和面向Yosemite的蘋果FileVault 2，但這是由于這些是新產品(2014年底才推出)。這些產品正等著進行FIPS 140-2測試，所以預計它們在不遠的將來會通過合規認證。DiskCryptor等開源產品并不符合FIPS 140-2標準，最可能是由于獲得認證面臨經濟負擔。因此，需要使用FIPS合規產品的企業組織可能不得不出資自行開展這些開源產品的認證過程，如果想要實施開源產品的話。

密碼方面需要考慮的另一個方面是，密碼密鑰存儲在哪里，本地還是遠程;如果存儲在本地，又存儲在設備上的何處。比如說，戴爾數據保護和加密產品以及微軟BitLocker就能使用本地可信平臺模塊(TPM)，對存儲的數據實行強有力的保護。如果密鑰存儲在本地，而存儲的密鑰又沒有得不到適當的保護，攻擊者就能夠恢復密鑰，避開FDE提供的保護機制，因而突破設備的安全防線。

結束語

本文介紹的所有軟件都可以提供基本的FDE產品。產品是否適合用于企業，最大的決定因素是有無全面的軟件管理功能。比如說，盡管許多企業已經擁有了操作系統提供的FDE軟件，但還是購買FDE產品，原因就是管理操作系統提供的FDE面臨諸多難題。另外還有一些開源產品，它們提供了免費的FDE功能，但它們缺少管理功能，最適合個人和一次性系統使用，并不適合標準的企業部署環境使用。

在諸多商用產品當中，沒有哪款產品具有真正明顯的優勢。每家企業需要橫向比較產品，確定哪款最適合自己的要求。在許多情況下，這意味著向提供企業內部使用的其他安全產品的同一家廠商購買產品。如果將任何商用產品用于整個企業的FDE部署環境，企業應該會覺得很輕松。