你的位置:首页 > 新闻动态 > 行业资讯

全磁盘加密技术的4大应用场景

2015-01-21 11:00:12      点击:

    全磁盘加密技术是一种存储加密技术,正如其名称所称,它可以为台式机、笔记本或服务器加密硬盘驱动器中的所有信息。这就是说,当计算机处于非启动状态时,其操作系统(OS)、应用和用户数据都会受到保护,阻止未经授权访问。

    当有人试图启动该操作系统时,在进行启动前,用户或管理员必须成功验证身份,这被称为预启动身份验证(PBA)。在PBA成功后,操作系统将被启动,用户就可以访问所有操作系统的功能、应用和数据。

    传统观点认为,在最低限度下,每个企业都应该对访问或存储敏感数据的所有计算机使用FDE技术。虽然这听起来很合理,但很多企业对其所有台式机和笔记本电脑都使用FDE技术,因为他们错误地认为,该技术实际可以提供更多的保护。

    FDE是否适合企业的系统完全取决于企业试图阻止的威胁:设备的丢失或被盗、服务器端数据被盗、操作系统篡改或者恶意软件访问敏感数据,这是FDE擅长应付的四种应用场景。

    场景1:防范计算设备丢失或被盗

    部署FDE技术的最常见原因是攻击者试图对丢失或被盗的笔记本或移动设备中的敏感数据获取未经授权访问。

    多年来,媒体报道了很多笔记本丢失或被盗的事件,这些笔记本包含着数以百万计的未受保护客户记录。这些被视为真正的数据泄露事故,因为没有人知道攻击者是否已经访问这些敏感数据。单起数据泄露事故可能导致企业损失数百万美元--恢复成本和声誉损失成本。

    考虑到这些数据泄露事故的严重程度,企业有必要安装FDE技术来保护笔记本中的敏感数据。这样的话,当笔记本丢失或被盗时,数据仍然是安全的,因为设备会受到FDE保护。这可以帮助企业防止数据泄露和避免媒体报道其笔记本丢失或被盗的新闻。

    很多企业已经扩展了这一基本原则(即使用FDE保护敏感数据),他们在所有笔记本(有时候包括台式机)使用FDE技术,因为他们不能完全确定哪些设备包含敏感信息。这是常见的复杂问题,即要求在所有笔记本使用FDE。

    例如,对于FDE自动部署到所有笔记本,在用户第一次访问敏感数据之前,企业没有必要添加该技术到已经部署的笔记本。这可能会带来不必要的延误。并且,当FDE技术全面部署在企业环境中时,笔记本丢失或被盗的话,也没有必要恐慌,应该确定设备是否受到FDE保护,如果没有,则确定设备是否被用来访问敏感数据,数据残余可能仍然位于设备中。

    要注意的是,FDE技术的使用通常是基于这样的假设,即设备不被使用时会被关闭。这对于笔记本是一个问题,因为笔记本通常处于休眠或待机模式。根据使用的产品以及配置情况的不同,FDE技术可能或者可能不会对这些模式的笔记本产生效果。

    IT部门应该自己进行测试来确保他们考虑购买的FDE产品能够保护休眠和待机设备的敏感数据。如果不能提供保护,那么可能需要考虑其他方法,或者强制执行政策要求禁止使用笔记本的待机或休眠模式。

    防止计算设备丢失或被盗的非FDE方法

    防范设备丢失或被盗的非FDE方法涉及建构IT基础设施架构,包括应用和数据库,让所有敏感数据集中存储,而非敏感数据(直接或间接,如数据残余)则本地存储在笔记本、台式机和其他设备。

    数据丢失防护(DLP)等技术可以帮助确保这些敏感数据不会被转移到可移动介质、打印或复制及粘贴到其他文档,或从集中存储中渗出。

    选择这种数据安全方法而非FDE技术的企业必须仔细检测和测试这些方法,以确保它的有效性。如果可能发生数据泄露,那么设备的丢失或防护仍然可能导致重大数据泄露事故。