據(jù)稱,自加密硬盤(pán)驅(qū)動(dòng)器可解決數(shù)據(jù)丟失問(wèn)題,但我聽(tīng)說(shuō)它們也有很多問(wèn)題。自加密驅(qū)動(dòng)器會(huì)帶來(lái)什么潛在的威脅?對(duì)于企業(yè)來(lái)說(shuō)它是否是個(gè)好的選擇?
Michael Cobb:加密敏感數(shù)據(jù)是信息安全的關(guān)鍵要素,因?yàn)檫@可確保企業(yè)信息的保密性。然而,大多數(shù)用戶發(fā)現(xiàn)很難部署加密,并且,企業(yè)管理員通常難以對(duì)所有用戶設(shè)備執(zhí)行加密。而自加密驅(qū)動(dòng)器和設(shè)備正是這些加密問(wèn)題的潛在解決方案,因?yàn)樽约用芸稍谒袝r(shí)間對(duì)驅(qū)動(dòng)器的所有數(shù)據(jù)進(jìn)行透明的加密。數(shù)據(jù)加密和解密操作發(fā)生在驅(qū)動(dòng)器控制器中專門的加密處理器中;這并不會(huì)影響設(shè)備的性能,不像其他基于軟件的加密產(chǎn)品還需要使用設(shè)備的CPU。驅(qū)動(dòng)器報(bào)廢和重新部署也更加容易(通過(guò)更改媒體加密密鑰來(lái)實(shí)現(xiàn)),加密擦除瞬間進(jìn)行,而不是通過(guò)多次數(shù)據(jù)寫(xiě)入—這可能需要幾個(gè)小時(shí)。
自加密驅(qū)動(dòng)器的隨時(shí)加密功能和見(jiàn)編寫(xiě)可以幫助企業(yè)遵守政府或行業(yè)對(duì)數(shù)據(jù)隱私及加密的規(guī)定;如果用戶的筆記本電腦丟失或者被盜,驅(qū)動(dòng)器的內(nèi)容也無(wú)法被讀取。但是,研究人員發(fā)現(xiàn)Western Digital公司生產(chǎn)的多個(gè)版本自加密驅(qū)動(dòng)器包含很多安全漏洞,可能允許可物理訪問(wèn)驅(qū)動(dòng)器的攻擊者輕松地解密數(shù)據(jù),在某些情況下,他們甚至不需要知道解密密碼。來(lái)自加拿大KPMG的研究人員還展示了對(duì)使用自加密驅(qū)動(dòng)器的筆記本進(jìn)行數(shù)據(jù)恢復(fù)的三種方法,這表明Opal和微軟的eDrive標(biāo)準(zhǔn)無(wú)法確保睡眠模式以及關(guān)機(jī)狀態(tài)下筆記本中數(shù)據(jù)的安全性,因?yàn)樽约用茯?qū)動(dòng)器的電源可保持其在解鎖狀態(tài)。
正確部署加密總是很困難,但Wester Digital產(chǎn)品容易受到攻擊是由于各種基本錯(cuò)誤,以及對(duì)加密過(guò)程的不當(dāng)執(zhí)行。例如,在一種情況下,我們使用隨機(jī)數(shù)據(jù)來(lái)對(duì)保護(hù)解鎖驅(qū)動(dòng)器的密碼進(jìn)行加密,而這些隨機(jī)數(shù)據(jù)來(lái)自計(jì)算機(jī)時(shí)鐘的當(dāng)前時(shí)刻,這讓攻擊者可在很短時(shí)間內(nèi)破解密碼。有些自加密驅(qū)動(dòng)器還在設(shè)備中存有默認(rèn)密碼;在用戶更改至少兩次密碼之前,默認(rèn)密碼都可以用于解密驅(qū)動(dòng)器中的數(shù)據(jù)。
這些研究表明使用尚未經(jīng)過(guò)充分測(cè)試和審查的加密產(chǎn)品存在風(fēng)險(xiǎn)。在合規(guī)性審核中,使用這些產(chǎn)品可能很好,但它們也許無(wú)法真正保護(hù)敏感數(shù)據(jù)。硬件和軟件加密產(chǎn)品應(yīng)該提供文檔介紹其產(chǎn)品的加密工作原理,如何部署,以及在這些產(chǎn)品通過(guò)某種形式的獨(dú)立審核后企業(yè)才應(yīng)該考慮使用這些產(chǎn)品。這也是為什么很多專家建議只使用開(kāi)源軟件加密,因?yàn)槲覀兛蓪?duì)這些加密產(chǎn)品進(jìn)行分析,而不需要依靠供應(yīng)商的保證。企業(yè)在使用自加密硬盤(pán)驅(qū)動(dòng)器或加密硬盤(pán)驅(qū)動(dòng)器時(shí),應(yīng)該確保用戶知道數(shù)據(jù)只有在其設(shè)備完全關(guān)機(jī)時(shí)才會(huì)充電,而不應(yīng)該讓其產(chǎn)品處于睡眠模式。這些類型的驅(qū)動(dòng)器還應(yīng)該涵蓋在修復(fù)管理程序中,因?yàn)樗鼈兛赡鼙葮?biāo)準(zhǔn)驅(qū)動(dòng)器有更多固件更新,以確保加密過(guò)程和功能保持修復(fù)和最新?tīng)顟B(tài)。