丢失笔记本是非常糟糕的经历,但你需要为此做准备。全硬盘加密技术可以帮助保护终端设备,即使它落到别人手里。
全硬盘加密(FDE)有时也被称为WDE,是指把所有存储在笔记本硬盘上的数据进行加密的过程,包括用户、系统、交换区、隐藏文件和临时文件夹。全硬盘加密可以防止在笔记本(或是终端设备)丢失或被偷的情况下,未经授权的用户访问里面的数据。
在2011年的春天,Massachusetts eHealth Collaborative的一名雇员在吃午饭时,放在卡车上的笔记本被偷了。其中存储了13687名病人的信息,包括姓名、社会安全号、生日和保险信息。尽管配置了安全软件,但缺少全硬盘加密应用。
这样的事件并不稀奇。根据研究机构的数据,2009年, 329家美国公司丢失了超过86000个笔记本。这些丢失事件导致的平均损失高达640万美金,包括取证、侦查、律师费、咨询费、管理费和丢失的专利知识费用,当然还有替换的费用。一年内笔记本丢失造成的总共损失达到惊人的21亿美金。而在丢失的设备中,只有三分之一配置了全硬盘加密方案。
全硬盘加密的神奇功能
除了加密数据,很多全硬盘加密产品还会安装特定的操作系统,用来拦截和接管标准OS在启动时的加载顺序。一旦用户通过专用OS启动系统,不需要额外步骤就可以加密数据。所有的文件在不需用户介入的前提下自动加密和解密。实际上,不仅登录进程,所有跟全硬盘加密相关的进程对用户而言都是透明的。
全硬盘加密方案的优势有很多。加密和解密过程是透明的,这样用户不需要选择需加密的数据,也不需要专门记住去加密敏感数据文件。不同于文件和文件夹机密,需要依靠用户选择。全硬盘加密方案中用户只需完成加密软件的安装,其它的什么都不用管。而且由于全硬盘加密也可以保护临时和交换区文件,所以要比简单的文件和文件夹加密安全得多。
全硬盘加密还可以帮助满足法规需求。法律和行业规则可能会需要企业对敏感数据进行保护,包括知识产权或诸如信用卡号等用户个人信息。数据保护失败可能会面临巨额的罚款、法律纠纷和严重的信用度下降。如果笔记本通过全硬盘加密保护,即使丢失或被窃,企业通常不会遇到灾难也无需公告丢失行为。
很多全硬盘加密系统也会支持启动前先授权,可以防止未经授权用户进入被保护计算机。即使启动后的OS是不可访问的,这种方式也增加了另一层的防护。因为未授权用户不能使用替代启动介质来启动系统或访问文件。借助全硬盘加密,所有数据都获得保护。
为什么不是所有人都需要使用全硬盘加密?
全硬盘加密的缺点之一就是会影响系统性能。通过测量,它会使硬盘的访问时间加倍,尤其是包含虚拟内存时。全硬盘加密技术还会导致明显的跳跃,不过用户通常不会留意。另外,全硬盘加密通常导致较长的启动时间,因为专用OS接管普通启动过程,额外的启动时间在您了解它的存在之后不应该成为问题。
或许最大的问题在于实施和管理。部署全硬盘加密方案意味着管理员需要多部署和支持一个应用。另外,复杂的全硬盘加密部署过程导致高成本。必须考虑授权和培训费用。
IT需要安装所需用户账号来访问特定的OS启动系统。另外,管理员需要实施认证策略——例如密码的复杂度和有效期,并且不间断地对认证数据加以管理。
当然,全硬盘加密方案本身也需要日常的管理,不仅要确保应用始终运行,而且要确保相应的支持流程和文档。
这是全硬盘加密方案用户的噩梦之一:该软件被破坏或崩溃,导致系统完全无法恢复。在这种情况下,全硬盘加密方案成为用户,随后也是IT人员,的敌人。由于它保护所有的数据,以至软件崩溃时数据完全无法恢复。如果没有可靠的近期的数据备份,所有的一切都丢失了。
全硬盘加密总比什么都没有好
尽管全硬盘加密方案有这些缺点,但依然是最有效的笔记本保护机制之一, CTO不再需要随身携带设备。有效的全硬盘加密方案对工作效率的影响非常小,对IT人员而言部署和管理也很简单。
当然,每个企业需要在丢失敏感数据和全硬盘加密方案所需的部署和维护成本之间进行平衡。在移动性日益增长的现代社会,很少有企业可以承受他们的一台未受保护的笔记本丢失造成的损失。