全盤加密(FDE)是一種存儲加密技術，用來啟勸系統的整個硬盤進行了加密。它最常用于保護存儲在臺式機和筆記本電腦上的敏感數據的機密性。用不用FDE關系到丟失的筆記本電腦只是帶來不便，還是導致巨額經濟損失的數據泄密事件。

　　

　　現在市面上有好多軟件產品提供FDE功能，所以試圖評估FDE的合適使用場合、確定哪款FDE產品最適合某一家企業可能頗為棘手。想對FDE進行一番評估，第一步就是確定一系列標準，將這些標準視作向廠商提出的問題，或者確定全面測試產品的辦法。

　　

　　FDE軟件如何部署到最終用戶設備上?

　　

　　大多數FDE產品來自第三方，這意味著它們有軟件組件需要安裝到需要保護的每個設備上。不過，一些FDE產品內置到操作系統中，或者作為現有安全產品套件的一部分來提供。這些情況下，客戶端安裝可能沒有必要。

　　

　　不過，客戶端安裝只是FDE部署過程的一小部分。通常建議在激活FDE之前，對任何設備執行全面備份，那樣萬一部署失敗，系統上的數據不至于丟失。

　　

　　將硬盤從未加密狀態轉換成加密狀態可能需要幾個小時;一些情況下，設備可能在進行這種轉換的過程中不穩定。由于軟件安裝和配置、設備備份以及硬盤轉換都需要耗費時間，FDE部署可能意味著對用戶來說面臨相當長的停機時間。

　　

　　企業應該評估FDE產品的硬盤轉換功能，以確定用戶會在多長時間內受到影響，看看這種轉換是不是可以在后臺進行(如果是，性能會受到怎樣的影響)。

　　

　　FDE產品的管理功能多實用、多可靠?

　　

　　集中式管理是企業成功部署FDE的關鍵。

　　

　　內置到操作系統的FDE功能可能幾乎沒有什么集中式管理可言，限制了其優點。對于那些真正提供集中式管理的FDE產品而言，可擴展性至關重要，對大型企業來說更是如此。同樣重要的還有管理員設置FDE配置選項的功能，確保用戶無法更改那些選項或者禁用或卸載FDE軟件。

　　

　　證書管理是FDE管理方面另一個重要卻常常被忽視的環節。評估人員應該測試一些功能特性，比如設備的密鑰輪換和密碼更改(針對用戶和管理員)、集中式補丁和升級功能，還要測試加密算法和密鑰大小的變化帶來的影響。

　　

　　FDE產品與現有的操作系統和應用程序兼容嗎?

　　

　　在一些情況下，現有環境與FDE軟件可能會出現不兼容。不兼容造成的一個常見的副作用是，FDE無法保護處于休眠模式或待機模式的設備。另一個常見的例子是，FDE與直接訪問硬盤的應用程序發生沖突，比如磁盤實用工具和某些資產管理軟件。

　　

　　FDE軟件可與現有的驗證服務輕松整合嗎?

　　

　　想為FDE執行啟動前驗證(PBA)，常常需要充分利用現有的驗證服務，比如活動目錄或基于公鑰基礎設施(PKI)的產品。

　　

　　管理員還需要用于FDE配置和管理的一種驗證機制。通常建議為FDE使用多因子驗證，所以FDE解決方案支持所需的多因子驗證技術顯得很重要。無論選擇的哪種驗證技術，FDE軟件可與它們輕松整合很重要。

　　

　　密鑰恢復有什么辦法?

　　

　　要是沒有可靠的密鑰恢復功能，許多用戶可能無法訪問FDE保護的設備及設備上保存的數據。需要密鑰恢復，以防用戶忘記驗證證書，用戶突然離開公司，或者無法正常登錄進去。

　　

　　一些企業選擇讓管理員執行所有的密鑰恢復活動，而另一些企業更看重自助式恢復。不過要小心：自助式恢復可能會被濫用，讓攻擊者得以避開FDE保護，因而在未經授權的情況下獲得訪問權。所以，FDE評估人員有必要不僅考慮有哪些密鑰恢復辦法，還考慮每一種辦法的相對安全性和易用性。

　　

　　密鑰恢復方面要考慮的另一個重要因素是使用多因子驗證。

　　

　　假設某個出差辦事的用戶丟失了密碼令牌，因而無法啟動其筆記本電腦。有一些FDE產品會允許用戶在這種情況下臨時使用由密碼保護的單因子驗證;不過對許多企業來說，此舉違反了安全政策。所以，管理員會希望禁用這項FDE功能。評估FDE軟件或產品的企業因而要特別關注單因子驗證方面的可配置性。

　　

　　FDE產品如何緩解蠻力密碼攻擊?

　　

　　一些攻擊者會企圖猜出FDE密碼――比如說，如果他們偷來了密碼令牌，卻不知道相應的PIN.

　　

　　在這種情況下，要是有人多次試圖登錄，有些(但并非所有)FDE產品就會作出適當的反應――要么是在一段時間內(比如15分鐘)暫停FDE驗證，要么是延長試圖驗證的間隔時間。這些方法讓蠻力攻擊極難得逞，同時為驗證時無意中犯了幾次錯的用戶支持總體易用性。

　　

　　另一個辦法通常用在安全性較高的環境中，那就是在連續試圖驗證失敗達到一定次數(比如10次)后擦除設備上的內容。這防止時間幾乎不受限制的攻擊者無法執行蠻力攻擊。

　　

　　然而，雖然這種方法保護數據避免曝露，但它也給牢記密碼有困難的用戶帶來了負面影響。此外，不懷好意的人只要進行幾次失敗的驗證，就能擦除設備上的內容。所以，雖然黑客也許無法訪問用戶的設備，但他們可能給這個用戶增添麻煩。

　　

　　FDE產品的加密技術有多可靠?

　　

　　FDE產品多強大完全取決于內置的加密技術。任何FDE產品都應該使用行業認可的標準化加密算法，比如AES,最好是經過測試和驗證的采用這種算法的技術。此外，密鑰長度起碼與行業目前建議的長度相一致。

　　

　　許多企業(比如聯邦政府部門)已從密碼層面，對加密及完整性檢查算法、密鑰長度以及其他方面的要求作出了規定，所以在評估FDE產品時務必要問清楚這類要求。

　　

　　要是FDE的密鑰(私有密鑰或秘密密鑰)存儲在本地，確保它們得到了充分的保護，這點也很重要。方法包括本地硬盤、密碼令牌和可信平臺模塊(TPM)芯片。

　　

　　對一些FDE產品而言，密鑰可以集中存儲，而不是本地存儲，一旦成功通過驗證，密鑰就自動從該集中存儲位置獲取。

　　

　　做好功課評估用于企業環境的FDE產品可能困難重重;不過有了可供借鑒的一些基本標準，很容易區別諸多產品的異同。每家企業都有不一樣的環境和不一樣的要求，更不用說它面臨的不一樣的威脅，所以每家企業進行各自的FDE評估、而不是單單依賴公共領域的現有評估，這點很要緊。

　　

　　本文不是想列出全面的標準，而是為進行FDE評估提供一個切實可行的出發點。需要考慮的其他重要需求還包括企業自身的政策、規程和一般實踐。