沐鸣平台提醒您全盘加密应该注意和不应该做 - 沐鸣娱乐新闻 - 沐鸣官网资讯 - 沐鸣网络电子科技有限公司

全国统一热线:0755-29925678

沐鸣娱乐新闻

沐鸣平台资讯

行业动态

沐鸣相关新闻

沐鸣平台提醒您全盘加密应该注意和不应该做

浏览次数:706日期:2019-05-13小编:颐生堂

欢迎访问沐鸣娱乐平台网址www.huayu21.com,全盘加密(FDE)系统使用强大的加密算法来自动保护存储在PC和笔记本电脑硬盘上的所有数据。 用户可以通过身份验证设备访问数据,例如密码,令牌或智能卡。 这使系统能够检索解密磁盘的密钥。 在许多系统上,密钥管理,访问控制,锁定,报告和恢复等功能都集中管理。


根据Gartner分析师John Girard的说法,可用产品之间的主要差异来自于他们不同的管理方法,加密强度,用户身份验证,策略管理和增值功能,例如可移动媒体上的信息保护。


然而,他说,缺乏使用该标准的真实产品。他说,硬件加密将继续发展,未来的选择将出现在其他设备子系统中,例如CPU或支持芯片组。


Lambert表示,今天的自加密硬盘驱动器 - 例如Seagate Technologies的硬盘驱动器 - 主要面向消费者。那是因为没有TCG,它们的性能还不如基于软件的加密,大多数都无法集中管理。她说,例外是戴尔,希捷和迈克菲的合作伙伴关系,为笔记本电脑提供加密硬盘和企业级管理工具。 Burton Group的分析师Eric Maiwald表示,Wave Systems还为希捷硬盘销售密钥管理软件。


加密Dos和注意事项

准备好机器。根据Girard的说法,人们在安装加密时犯的最大错误是无法确保机器清洁并且事先正常运行。 “如果存在磁盘问题,”他说,“加密引擎特有的部分代码将无法读取。”他建议对硬盘驱动器进行碎片整理,多次运行Checkdisk,备份数据,管理所有补丁并在加密前优化性能。他说,虽然加密的性能只有1%到3%,但为什么不让机器更快地将其降至最低或至少收支平衡?


在使用Pointsec的洛杉矶县,现在来自Check Point软件技术公司,CISO Robert Pittman的团队对该县笔记本电脑的硬盘进行了健康检查,以查看存在多少可用空间,碎片有多严重以及维护水平如何操作系统。他的团队确定了在加密它们之前需要更换的12,500台笔记本电脑中的大约20台。


康涅狄格州咨询公司Frank Ward在迈克菲实施加密软件的试验阶段,还在该州的笔记本电脑上运行了驱动器评估软件。他说,大约15%的硬盘出现故障。通过检查所有磁盘,在州5000台计算机上安装McAfee的故障率仅为3%。


不要跳得太快。为部署制定明确的路线图也很重要。一些组织使用集中式软件交付系统。例如,Patterson使用LANdesk Software的LANdesk对Utimaco进行大规模部署。然而,他计划一次启动一台机器的软件,采用他所谓的“低速和慢速”方法。他不仅需要删除以前安装的加密软件,而且还需要一种可管理的方式来处理可能出现的任何问题。 “我不想在周一出现,并且[看到]每台机器都是蓝屏的,”他说。 “Utimaco非常善于从错误中恢复过来,但是有些情况下驱动器处于边缘状态,并且将其旋转三个小时将推动它。如果我们走得太快,我们将被支持电话淹没。”



Maiwald说,大多数加密软件允许您通过集中的软件交付系统将其推送到用户的机器。例如,McAfee允许您使用其ePolicy Orchestrator进行部署。但是,康涅狄格州的情况并非总是如此。在该州的分布式环境中,Ward发现集中式部署机制并不是普遍存在。由于纽约州加速部署的战略,他仍然需要快速工作。


为此,纽约州创建了五个由三人组成的团队,在55个代理商的笔记本电脑和950辆州警车上安装迈克菲(为期六周)。这些团队由经过培训的管理员,McAfee资源和IT人员组成。沃德说:“我们会给代理机构一周的时间通知他们将他们的机器记录在一起,然后尽可能多地在一天内完成。”他的团队将在会议室或其他中心位置设置,将20台左右的机器连接到文件服务器以下载软件,然后将其拉出以完成加密,这可能需要两个小时才能完成100G硬盘。 “这是一条生产线,”沃德说。该机构继续致力于任何尚未完成的工作,他们可以将任何特别麻烦的机器带到集中式仓库。


不要低估部署时间。正如沃德发现的那样,安装需要时间,尤其是大型驱动器。一个好的经验法则是软件加密驱动器需要两到四个小时,具体取决于它的大小。


因此,选择一个易于管理员学习的系统以及提供定制培训的供应商或经销商非常重要。当Pittman选择了Checkpoint时,他有大约100名受过训练的人 - 来自L.A.的38个代理商中的两个或三个 - 来加密12,500台机器。皮特曼说,它帮助创建了一个标准化的配置来实施。总共花了大约9个月,尽管80%的代理商在六个月内完工。


请考虑后台安装。 Girard说,为了使部署保持尽可能低的影响,请考虑一个允许用户在安装过程中继续工作的系统。更好的是,如果它被中断,请确保您不需要重新启动该过程。


不要指望用户完全接受。兰伯特警告说,用户可能会担心增加安全性,将其视为阻碍技术性能的令人讨厌的障碍。一种阻止潜在反对意见的方法是在实施之前充分传达部署的内容,原因,方式和时间,并强调性能将受到最低限度的影响,不超过5%,她说。

沐鸣平台提醒您全盘加密应该注意和不应该做

对试点组进行测试。 Lambert说,试点测试很重要,原因有几个,包括解决潜在的问题,测量用户阻力以及完全部署的范围。 “用户注册应该很容易,但对于某些产品,用户会感到困惑,”吉拉德说。 “当这种情况发生时,你会遇到真正的问题,因为如果你没有正确设置注册,机器必须进入恢复模式。如果用户从未注册过管理控制台,那就更难了。”


请检查是否存在对其他应用的干扰。 Girard警告说,试验测试的另一个原因是加密软件和其他应用程序之间可能存在设备驱动程序或BIOS干扰。 “你应该针对你的标准形象运行它,以及你将在明年安装的潜在事物,”他说。


Maiwald补充说,加密和一些已经在磁盘引导扇区中有条目的桌面管理系统之间可能会发生冲突。 “你不能在引导扇区中拥有两件东西,除非它们能够一起工作,”他说,一些供应商正在做的事情,比如GuardianEdge和赛门铁克。 “我们发现几乎每个企业都存在问题,所以最好的建议就是测试它。”


请考虑您的身份验证选项。供应商提供不同的用户身份验证机制,包括PIN,密码,智能卡和令牌,但最受欢迎的是密码选项。虽然使用两个单独的密码挑战用户似乎更安全 - 一个在预启动,一个在进入网络域 - 许多组织选择单点登录选项。


请考虑使用集成套件。当Patterson开始寻找加密系统时,他的搜索量是双重的,因为Raymond James的防病毒软件合同也在结束,他想尝试使用与Windows提供的不同的端点防火墙。这导致他寻找可以通过单一控制台管理这些功能的产品。 “否则,我们需要一大群人来运行这些系统,而且没有一张关于网络上发生的事情的单一图片,”他说。


帕特森说,通过Utimaco,Sophos创建了一个路线图,将加密与更广泛的安全套件集成在一起。 McAfee还提供与其他端点安全功能的加密集成管理。


Patterson说,这种集成将有助于简化这些各种安全功能的部署。 “如果我们告诉用户我们要在他们的机器上放置另一个代理商,我们必须跳过很多圈,以确保性能不会下降,”他说。 “将更多功能添加到一个产品组中对于管理层和最终用户都是非常有吸引力的。”


另一方面,佐治亚大学系统的首席信息安全官Stanton Gatewood想要一个专门用于加密的系统,这就是他选择PGP的原因。 “我们看了看其他人,但是当涉及到加密的问题并提出难以解决的技术问题时,他们的答案并不容易获得。似乎加密是附件 - 他们是防火墙或防病毒软件现在加密的公司。“


请准备一个强大的商业案例。兰伯特说,虽然加密看起来很简单,但许多企业仍然采取“观望”的态度。通过实施FDE来说服决策者领先于违规可能需要制定强有力的商业案例。 Girard说,考虑减轻单个受损数据记录的成本与加密工具的席位成本相当或更高。此外,他说,减轻大量违规数据记录的成本总是大于为公司中所有移动平台实施加密的总成本。


并不是说成本很低。 Girard表示,虽然价格正在下降,但预计每个座位的零售价将超过100美元,最多可支持250个席位,以支持可移动媒体的完全托管和审核加密产品。他表示,在1000个座位的范围内,每个座位的价格降至不到100美元,在5,000个座位或更多的座位中,每个座位的价格低于70美元。


沃德说,你可以少花钱买到它。当经销商提供为期30天的85%折扣时,他支付的每个座位约为11.56美元而不是76美元的定价。


请考虑支持可移动媒体。 Lambert说,随着USB媒体驱动器的普及,可移动媒体加密和设备控制受到越来越多的关注。通常,提供FDE或FES的相同供应商也为可移动媒体提供加密,她说,在某些情况下,例如CheckPoint,它们还集成了端口管理,内容过滤,集中审计和USB端口存储设备管理。


可移动媒体加密是Patterson的评估标准之一。他说,Utimaco的数据交换产品一次加密一个文件而不是整个USB,它与用户存储的数据类型兼容,从音乐到电子表格。他制定了公司政策,通过基于密码的身份验证对用户从PC上复制的任何内容进行加密。他说,这确实需要彻底的培训,以便用户知道如何在同事之间解密和共享文件,因此他正在慢慢地逐步进行调整。


Gatewood说,PGP使加密管理员能够插入功能来加密电子邮件,正在传输的文件和可移动媒体。 “我们选择了一个将会增长的系统,”他说。


请查看供应商的密钥恢复方法。对于忘记密码的用户,Maiwald说,供应商为密钥恢复提供了不同的方法。这些包括用于密码重置的自助服务门户,用于具有质询 - 响应机制的服务台支持,或者支持技术可以通过电话提供的一次性密码或令牌。 “寻找一种与您的服务台程序很好地融合的方法,”他说。


请考虑Active Directory集成。用户表示,与Active Directory集成的系统可以指数级地简化管理。 “当一台机器被添加到Active Directory域时,我们可以在控制台中看到它并移动加密密钥,”Patterson说。 “对于密钥托管来说,这是一个巨大的帮助。”


Ward表示AD集成使他能够单向拉动以填充McAfee数据库,从而节省大量时间并确保数据库的结构正确。 “重要的是我们不要给管理员带来额外的负担,”他说。


请研究报告功能。 Patterson说,易于报告是另一个关键的选择标准,以证明笔记本电脑是加密的,特别是当一个人失踪时。其他常见的报告包括用户是否有加密问题,他们是否打电话给服务台以及是否已解决,Gatewood说。


请检查支持的平台。 Lambert说,基于Macintosh的加密平台远远少于Windows。 Gatewood对PGP的选择部分归功于其对许多Windows版本以及Mac OSX的跨平台支持。


不要忽视密钥管理。没有强大的密钥管理,Gatewood说,你最好不要加密。这使您能够以任何方式恢复,撤消和管理密钥。缺乏强大的密钥管理系统是他绕过他考虑的任何开源系统的一个原因。另一方面,PGP的通用服务器不仅可以管理自己的密钥,还可以管理其他系统的密钥。 “一些管理控制台可能会有点笨拙,”他说。您还应该能够备份密钥托管数据库。


请考虑锁定。如果有人在一段时间内(通常是几周)没有登录网络,此功能会锁定计算机。在康涅狄格州,沃德表示,网络连接的机器通常每天检查五到六次,以便将日志发送到加密服务器。如果在配置的锁定期内未发生这种情况,则机器将不允许用户进行身份验证,并且管理员需要解锁计算机。 “它强制执行纪律,以便您不断获得客户日志,并且不断更新机器以及新的软件和政策的任何变化,”沃德说。

关注沐鸣官网,获取更多最新行业资讯。



如果你对我们的服务感兴趣,可以给我们留言,我们会第一时间联系您。

扫描关注微信

Copyright © 2017 沐鸣网络科技有限公司 版权所有