在本文中，专家Karen Scarfone着重探讨了FDE的优势及其应用场景，以帮助企业判断这种存储加密技术是否真正是其所需要的。

全磁盘加密（full disk encryption, FDE）技术是一种存储加密技术，正如其名称所称，它可以为台式机、笔记本或服务器加密硬盘驱动器中的所有信息。这就是说，当计算机处于非启动状态时，其操作系统（OS）、应用和用户数据都会受到保护，阻止未经授权访问。

当有人试图启动该操作系统时，在进行启动前，用户或管理员必须成功验证身份，这被称为预启动身份验证（PBA）。在PBA成功后，操作系统将被启动，用户就可以访问所有操作系统的功能、应用和数据。

传统观点认为，在最低限度下，每个企业都应该对访问或存储敏感数据的所有计算机使用FDE技术。虽然这听起来很合理，但很多企业对其所有台式机和笔记本电脑都使用FDE技术，因为他们错误地认为，该技术实际可以提供更多的保护。

FDE是否适合企业的系统完全取决于企业试图阻止的威胁：设备的丢失或被盗、服务器端数据被盗、操作系统篡改或者恶意软件访问敏感数据，这是FDE擅长应付的四种应用场景。

场景1：防范计算设备丢失或被盗

部署FDE技术的最常见原因是攻击者试图对丢失或被盗的笔记本或移动设备中的敏感数据获取未经授权访问。

多年来，媒体报道了很多笔记本丢失或被盗的事件，这些笔记本包含着数以百万计的未受保护客户记录。这些被视为真正的数据泄露事故，因为没有人知道攻击者是否已经访问这些敏感数据。单起数据泄露事故可能导致企业损失数百万美元--恢复成本和声誉损失成本。

考虑到这些数据泄露事故的严重程度，企业有必要安装FDE技术来保护笔记本中的敏感数据。这样的话，当笔记本丢失或被盗时，数据仍然是安全的，因为设备会受到FDE保护。这可以帮助企业防止数据泄露和避免媒体报道其笔记本丢失或被盗的新闻。

很多企业已经扩展了这一基本原则（即使用FDE保护敏感数据），他们在所有笔记本（有时候包括台式机）使用FDE技术，因为他们不能完全确定哪些设备包含敏感信息。这是常见的复杂问题，即要求在所有笔记本使用FDE。

例如，对于FDE自动部署到所有笔记本，在用户第一次访问敏感数据之前，企业没有必要添加该技术到已经部署的笔记本。这可能会带来不必要的延误。并且，当FDE技术全面部署在企业环境中时，笔记本丢失或被盗的话，也没有必要恐慌，应该确定设备是否受到FDE保护，如果没有，则确定设备是否被用来访问敏感数据，数据残余可能仍然位于设备中。

要注意的是，FDE技术的使用通常是基于这样的假设，即设备不被使用时会被关闭。这对于笔记本是一个问题，因为笔记本通常处于休眠或待机模式。根据使用的产品以及配置情况的不同，FDE技术可能或者可能不会对这些模式的笔记本产生效果。

IT部门应该自己进行测试来确保他们考虑购买的FDE产品能够保护休眠和待机设备的敏感数据。如果不能提供保护，那么可能需要考虑其他方法，或者强制执行政策要求禁止使用笔记本的待机或休眠模式。

防止计算设备丢失或被盗的非FDE方法

防范设备丢失或被盗的非FDE方法涉及建构IT基础设施架构，包括应用和数据库，让所有敏感数据集中存储，而非敏感数据（直接或间接，如数据残余）则本地存储在笔记本、台式机和其他设备。

数据丢失防护（DLP）等技术可以帮助确保这些敏感数据不会被转移到可移动介质、打印或复制及粘贴到其他文档，或从集中存储中渗出。

选择这种数据安全方法而非FDE技术的企业必须仔细检测和测试这些方法，以确保它的有效性。如果可能发生数据泄露，那么设备的丢失或防护仍然可能导致重大数据泄露事故。

场景2：防止服务器端数据盗窃

有时候企业会选择在其服务器硬盘驱动器使用FDE技术，当服务器未被启动时，这可以对服务器硬盘中的内容提供保护，例如当服务器从一个位置运送到另一个位置时。

对于有些企业而言这并不是常见的情况，但对于具有分支机构的企业而言这很常见，其分支机构有自己的服务器，技术人员可能要在这些位置之间运送硬盘驱动器，还有在灾难恢复操作中，服务器会从一个物理位置迁移到另一个位置。

出于这些原因，企业可以在服务器硬盘驱动器使用FDE技术来在这些运输过程中提供保障。

场景3：防范不必要的OS篡改

虽然大多数人知道FDE技术可以防止因设备丢失或被盗而引起的敏感数据泄露，但其实该技术还可以防止对操作系统的篡改。

例如，攻击者可能会在短时间内获取对不受FDE保护的笔记本或台式机的访问权限。该攻击者可以通过多种方法（包括利用操作系统漏洞和使用取证工具）来修改该操作系统的可执行文件、配置、权限和其他属性。这将允许攻击者归还该设备到原来的位置，同时通过向操作系统可执行文件植入的恶意软件，保持对该设备的远程访问。

这并不是常见的威胁，但在具有特别高安全需求的企业，仅此一点就让企业有足够理由为台式机和笔记本使用FDE技术。

再次需要注意的是，FDE只能保护非启动状态下的设备；当设备处于启动状态时，FDE将无法阻止恶意软件感染和操作系统执行操作。为了防范和应对这些情况，企业需要使用反恶意软件技术，例如防病毒软件或恶意软件分析工具；漏洞管理工具，包括补丁管理功能来消除操作系统和应用中的已知漏洞；以及强大的身份验证和访问控制系统配置，以确保只有授权管理员可以更改操作系统文件、配置等。

场景4：要求合作伙伴提供全面恶意软件防护

也许对于大多数企业的系统而言，最常见的威胁是试图访问存储在本地台式机或笔记本电脑中敏感数据的恶意软件。然而，在设备被启动后，FDE技术完全无法阻止这种恶意软件。不过，还有其他形式的存储加密技术可能会有所帮助。

这些技术包括虚拟磁盘加密、卷加密和文件加密，它们可以保护数据的机密性和完整性，即使当设备完全启动后。很多企业在其笔记本和台式机中存储有敏感数据，他们在选择FDE技术的同时，还可以选择这些技术来提供额外的保护层，特别是针对恶意软件。

总结

FDE技术可以有效阻止某些类型的威胁。具体来说，它们可以帮助防止对丢失或被盗台式机、笔记本或服务器中敏感数据的未经授权访问。

除了FDE技术外，还有替代技术可以防止敏感数据被存储在本地，但这些也都不是万全的技术，FDE提供了额外的保护层，因为FDE技术可以有效防止攻击者更改未启动设备的操作系统或应用可执行文件。

然而，FDE技术并不能保护处于使用状态的设备中的数据或可执行文件。考虑使用FDE技术对企业应该慎重考虑他们正试图应对什么样的威胁，并结合使用FDE技术与其他额外的补充安全技术。