了解终端加密技术-Dell.PDF

了解终端 加密技术 白皮书 本白皮书仅供参考，可能包含排版错误和技术上的不准确性。本文内容按原样提供，不含任何形式的明示或暗示保证。 简介 面对如此多的终端加密方案，哪一个才最适合您的组织呢？了解不同技术间的差别以找出最适合自己工作环 境的解决方案，同时要了解各种技术的优缺点。了解戴尔新推出的加密解决方案 - Dell™数据保护|加密，该 方案可帮助实现高级别保护，而且对基础架构和程序的影响较小。数据安全至关重要。 目前，大多数终端加密技术可大致分为三类： • 软件全磁盘加密 • 文件和文件夹加密 • 自我加密硬盘 在本白皮书中，我们将详细介绍每种技术是如何运作的，并将提供终端加密解决方案的评估指南，让您能够 清楚了解哪种方案最适合您的组织。 软件全磁盘加密 软件全磁盘加密(FDE)是一种通常将硬盘的所有扇区都进行加密 （引导程序必需的重要文件除外）的加密技 术。该技术版本甚多，但目标均为阻止未经授权的用户访问数据。从最早推出的IBM® PC开始，FDE的实施 一直延续使用同一种引导方法。要通过不使用特殊BIOS辅助方法进行引导，则必须在指定的活动且可引导磁 盘上定义的侧道扇区上存在主引导记录(MBR) ，以启动传统的BIOS引导。该MBR （硬盘上的一个512字节的扇 区）负责启动引导加载程序。控制权交给引导加载程序，它将加载核心以启动文件系统管理器并激活一个设 备驱动程序集，该程序集可以与基本的引导和用户界面设备进行通信。实施情况各有不同，但多以引导加载 程序为起点开始加密，也就是说，在大多数的加密实施中，MBR仍然是未加密的。不过，根据实施情况的不 同，引导硬盘上未加密的空间大小也不同。 通常情况下，软件FDE实施会加载一个Linux操作系统 （作为实时操作系统[RTOS]的一部分），以便能够在一 定程度上定制引导程序并提高其抗拒攻击的能力。但是，引导方法没有改变。用户操作系统的主引导记录被 加密操作系统的主引导记录取代，而引导操作系统的MBR与用户操作系统的MBR有着相同的要求。然后，引 导操作系统将加载已加密的用户操作系统。 在加载用户操作系统的同时，引导操作系统可通过截取存储设备请求并根据需要进行加密或解密，来扮演用 户操作系统存储处理过滤器的角色。其他实施方案在安装产品的过程中，可能会在重要的用户操作系统API、 核心组件和/或驱动程序上安装 “挂钩”。 各实施方案完成初始加密的方法各不相同。大多采取后台任务和无提示加密的方式。除了引导程序所占部 分，软件FDE通常对硬盘进行100 %加密。实施很少有分区意识。若需要支持多操作系统，需确保各操作系统 均受FDE解决方案的支持。另外，通常还会有安装顺序要求。 进行加密时，有些FDE解决方案会有一个显示数据损坏可能性的小窗口。典型的加密顺序是先构建一个进度 表。然后，加密程序读取一个未加密的分区，对其进行加密并写入存储设备，更改文件系统链接，更新进度 表，如此重复操作，直至完成对整个磁盘的加密。如果系统在使用中，要对系统要求扇区的读写内容与加密 要求的进度进行比对。减少潜在损坏的方法的优劣决定了供应商数据损坏显示窗口的状况。最佳实践是启动 加密并将初始加密安排在系统不在使用中的时间段，使之可以在一个会话内完成。 市场上提供的解决方案通常均包含增值功能，例如指纹识别、智能卡验证、多重身份验证、面部识别等用户 身份验证功能和其他一般开箱即用操作系统不随附的技术。选择FDE解决方案时，必须考虑身份验证方法、 恢复与迁移身份验证管理、忘记密码以及丢失访问令牌等事宜。 使用FDE解决方案可能会导致用户操作系统更不易于管理，因为必须配置FDE软件才能启用用户操作系统管 理。FDE的管理界面通常是专有的，并且要求使用独立的供应商控制台来管理。由于FDE没有行业标准，恢 复与迁移的实施和要求都是特有的。密钥管理根据实施方案而异，不一定支持特定的企业密钥管理体系结 构。 同时还推荐用户对硬盘进行碎片清理，并多次运行磁盘检查以确保部署过程顺畅。1 1 /s/article/print/9139733/Full_Disk_Encryption_Dos_and_Don_ts 2 文件和文件夹加密 与FDE不同的是，文件和文件夹加密仅加密用户文件和文件夹，应用程序和操作系统均不加密。尽管概念简 单，但实施起来可能相当困难。由应用程序创建的临时文件、文件和文件夹复制与粘贴、打印到文件、屏幕 复制与粘贴、备份文件及分页文件和交换文件都必须加密，因为这些文件都包含用户数据。