使用英特尔 博锐 技术来管理 英特尔 固态硬盘 ·...
8
IT@Intel 白皮书 英特尔 IT 部门 IT 最佳实践 英特尔® 博锐™ 技术 2012 年 6 月 使用英特尔® 博锐™ 技术来管理 英特尔® 固态硬盘 与基于软件的全磁盘加密 (WDE)相比,全新的基于 硬件的全磁盘加密(WDE) 解决方案能够提升用户体 验、更符合加密的规范并 减少支持问题。 Ziv Balshai 英特尔架构事业部主动管理技术(AMT) 固件和软件设计负责人 Oded Bar-el 英特尔 IT 部门客户端安全工程师 Doug DeVetter 英特尔 IT 部门技术宣传官 Efi Kaufman 英特尔 IT 部门客户端安全产品经理 Omer Livne 英特尔 IT 部门博锐™ 主动管理技术(AMT)产品经理 总体概述 英特尔 IT 部门成功完成了一次试点项目,在配备自加密驱动器的系统上用基于硬件 的全磁盘加密(WDE)解决方案来取代现有的基于软件的全磁盘加密(WDE)解决方 案。与基于软件的全磁盘加密(WDE)相比,全新的基于硬件的全磁盘加密(WDE) 解决方案可提升用户体验、更符合加密的规范并减少支持问题。该新解决方案基于两 项英特尔技术:自加密英特尔® 固态硬盘(英特尔® SSD)技术和英特尔® 主动管理技术 (英特尔® AMT)— 英特尔® 博锐™ 技术的一部分。 基于硬件的全磁盘加密(WDE)可以在短 期内解决加密方面的挑战,并提供下列的 优势: • 性能提升,进而提高员工的工作效率和 工作满意度 • 与客户端构建流程整合,有助于我们实 现 100% 移动平台加密的目标 • 服务台支持次数减少,因为加密过程快 捷并易于使用,并且用户可自行恢复 系统 • 提高现有英特尔技术的投资回报率,并 有助于大幅降低软件许可证的费用 我们的定制解决方案的主要组件包括配备 自加密英特尔固态硬盘,并支持英特尔主 动管理技术(AMT)的笔记本电脑,以及 一套密码管理应用程序。在服务器端,系 统包括用于主密码和其他必要数据的安全 密码数据库、自助服务系统恢复门户、服 务台内部门户和网络管理服务。 我们的长期加密和数据保护发展蓝图包括 符合 Opal 标准的驱动器和解决方案。由可 信计算组公布的 Opal 标准为自加密驱动 器(SED)提供一组机制和协议,包括加 密、认证、配置和策略管理。我们期望最 终部署符合 Opal 标准的驱动器和标准管理 软件,不过符合 Opal 标准的生态系统(包 括即购即用的解决方案在内)目前还不够 成熟。在推出符合 Opal 标准的驱动器和 软件之前,我们的基于硬件的全磁盘加密 (WDE)解决方案在短期内能够提供重要 的优势。
Transcript of 使用英特尔 博锐 技术来管理 英特尔 固态硬盘 ·...
IT@Intel 白皮书英特尔 IT 部门
IT 最佳实践
英特尔® 博锐™ 技术
2012 年 6 月
使用英特尔® 博锐™ 技术来管理 英特尔® 固态硬盘
与基于软件的全磁盘加密
(WDE)相比,全新的基于
硬件的全磁盘加密(WDE)
解决方案能够提升用户体
验、更符合加密的规范并
减少支持问题。
Ziv Balshai
英特尔架构事业部主动管理技术(AMT)
固件和软件设计负责人
Oded Bar-el
英特尔 IT 部门客户端安全工程师
Doug DeVetter
英特尔 IT 部门技术宣传官
Efi Kaufman
英特尔 IT 部门客户端安全产品经理
Omer Livne
英特尔 IT 部门博锐™
主动管理技术(AMT)产品经理
总体概述
英特尔 IT 部门成功完成了一次试点项目,在配备自加密驱动器的系统上用基于硬件
的全磁盘加密(WDE)解决方案来取代现有的基于软件的全磁盘加密(WDE)解决方
案。与基于软件的全磁盘加密(WDE)相比,全新的基于硬件的全磁盘加密(WDE)
解决方案可提升用户体验、更符合加密的规范并减少支持问题。该新解决方案基于两
项英特尔技术:自加密英特尔® 固态硬盘(英特尔® SSD)技术和英特尔® 主动管理技术
(英特尔® AMT)— 英特尔® 博锐™ 技术的一部分。
基于硬件的全磁盘加密(WDE)可以在短
期内解决加密方面的挑战,并提供下列的
优势:
• 性能提升,进而提高员工的工作效率和
工作满意度
• 与客户端构建流程整合,有助于我们实
现 100% 移动平台加密的目标
• 服务台支持次数减少,因为加密过程快
捷并易于使用,并且用户可自行恢复
系统
• 提高现有英特尔技术的投资回报率,并
有助于大幅降低软件许可证的费用
我们的定制解决方案的主要组件包括配备
自加密英特尔固态硬盘,并支持英特尔主
动管理技术(AMT)的笔记本电脑,以及
一套密码管理应用程序。在服务器端,系
统包括用于主密码和其他必要数据的安全
密码数据库、自助服务系统恢复门户、服
务台内部门户和网络管理服务。
我们的长期加密和数据保护发展蓝图包括
符合 Opal 标准的驱动器和解决方案。由可
信计算组公布的 Opal 标准为自加密驱动
器(SED)提供一组机制和协议,包括加
密、认证、配置和策略管理。我们期望最
终部署符合 Opal 标准的驱动器和标准管理
软件,不过符合 Opal 标准的生态系统(包
括即购即用的解决方案在内)目前还不够
成熟。在推出符合 Opal 标准的驱动器和
软件之前,我们的基于硬件的全磁盘加密
(WDE)解决方案在短期内能够提供重要
的优势。
www.intel.com/cn/IT2
IT@Intel 白皮书 使用英特尔® 博锐™ 技术来管理英特尔® 固态硬盘
IT@INTELIT@Intel 计划将全球各地的 IT 专业人
员及我们机构中的 IT 同仁紧密联系
在一起,共同分享经验教训、方法和
战略。我们的目标十分简单:分享
英特尔 IT 部门最佳实践,获得业务价
值并实现 IT 竞争优势。如欲了解更多
信息,请访问 www.intel.com/cn/IT 或联
系您当地的英特尔代表。
背景
随着移动办公愈来愈普及,如果缺乏适当
的保护措施,企业的机密数据和知识产权
将会面临日益严峻的泄露风险。从 2010
年的研究显示,329 家被访问调查的机
构在一年中丢失了 86,000 多台笔记本电
脑。1 然而,从 2009 年的研究表明,对于
采取加密措施的笔记本电脑和未采用加密
措施的笔记本电脑而言,前者在丢失后造
成的损失比后者几乎少 20,000 美元。2
英特尔 IT 部门已采取积极措施来保护其最
重要的资产之一 — 知识产权。我们的目
标是在每台英特尔的笔记本电脑上安装全
磁盘加密(WDE)解决方案,以防电脑在
丢失或被盗时泄露数据。为了实现这一目
标,我们在 2009 年部署了一个基于软件
的加密解决方案。该解决方案高度提高了
数据的安全,但同时也带来了运营和业务
方面的挑战。
基于软件的加密解决方案所面
临的挑战
在超过 70,000 个系统上部署了基于软件
的加密解决方案,并实现了安全优势后,
我们继续努力解决以下的挑战:
• 用户体验。用户的性能体验受到显著影
响,因为连续的加密、解密操作需要大量
的 CPU 计算能力。部署高性能的英特尔®
固态硬盘(英特尔® SSD),如英特尔®
固态硬盘 320 系列和英特尔® 固态硬盘
520 系列,减轻了使用基于软件的全磁
盘加密(WDE)对整体性能的影响,但
是系统性能仍低于未执行加密操作的系
统。此外,加密设置过程较为复杂和耗
时。为了使用该解决方案,员工首先需
要下载应用程序、执行一系列的步骤来
设置密码,然后再启动磁盘加密,这可
能需要几个小时才能完成,并且容易因
各种系统错误而出现故障。
• 规范符合问题。 英特尔至少有 91,500
名员工,如果在大部分员工的系统上安
装全磁盘加密(WDE)解决方案,我们
发现很难对安装情况以及用户是否执行
加密任务进行检查。而这种情况并不少
见,由 2011 Ponemon Institute 开展的有
关 IT 专业人士的研究显示,40% 的受访
者表示其公司的员工经常关掉笔记本电
脑的安全保护功能,通常这种情况是违
反公司政策的。3 此外,监控丢失系统
的准确加密状态不是一项简单的任务,
所以很难确定它是否是完全加密的。
• 支持问题。因为基于软件的加密解决方
案需要安装多个软件层,在加密过程中
会出现一些 IT 人员难以解决的问题。加
密驱动器的损坏也会带来支持问题,因
为第三方预启动验证层会增加故障排除
过程的复杂程度。
目前,基于软件的加密解决方案比不加密
的状态更好 — 它的优势超过了运营方面
的困难。但是,我们已开始研究新的加密
技术以解决这些问题。
目录
总体概述 ...................................................................1
背景 ................................................................................2
基于软件的加密解决方案
所面临的挑战 ..................................................2
基于硬件的加密具备
远程管理功能 ..................................................3
基于两项英特尔关键技术的
全磁盘加密解决方案 ...................................3
解决方案的要求 ............................................3
解决方案组件 ..................................................4
解决方案的工作原理 ................................4
试点项目 ..............................................................5
英特尔® 博锐™ 技术 ....................................5
结果和优势.............................................................6
用户体验 ..............................................................6
规范符合 ..............................................................6
支持 ..........................................................................6
下一步工作.............................................................7
总结 ................................................................................8
了解更多信息 ......................................................8
缩写词 .........................................................................8
1 Claburn, Thomas.“丢失的笔记本电脑造成数十亿美元
的损失”《信息周刊》,2010 年 12 月 2 日。
2 Ponemon, Larry.“丢失笔记本电脑的损失”Ponemon
Institute(2009)。www.ponemon.org/local/upload/
fckjail/generalcontent/18/file/Cost%20of%20a%20
Lost%20Laptop%20White%20Paper%20 Final%203.
pdf(PDF 格式)
3 Ponemon Institute,“关于自加密驱动器的认识:IT 实践
者的研究”(2011)。www.trustedcomputinggroup.
org/files/static_page_files/67318BEF-1A4B-B294-
D00BDAD736433305/TCG_Ponemon_SED_Survey_
Report.Final.pdf(PDF 格式)
www.intel.com/cn/IT 3
使用英特尔® 博锐™ 技术来管理英特尔® 固态硬盘 IT@Intel 白皮书
基于硬件的加密具备远程管理
功能
随着自加密驱动器(SED)技术的最新发
展,我们能够解决基于软件的全磁盘加密
(WDE)所面临的运营和业务挑战。自加
密驱动器(SED)在驱动器电路上使用加
密引擎,可完全卸载过去由 CPU 执行的数
据加密/解密任务 — 从而避免与软件加密
相关的性能开销。
信息安全的子系统分类:由可信计算组公
布的 Opal 标准为磁盘驱动器加密、认证、
配置和策略管理提供了一组机制和协议。
符合 Opal 标准的生态系统将支持我们部
署包括英特尔固态硬盘和 ISV 管理应用程
序在内的解决方案,在此之前,我们需要
一款解决方案来管理目前英特尔正在使用
的固态硬盘。这些固态硬盘 — 英特尔® 固
态硬盘 320 系列和英特尔® 固态硬盘 520
系列 — 不符合 Opal 标准。也就是说,这
些固态硬盘虽然可提供基于硬件的加密功
能,但是不支持 Opal 所需的标准管理软件
接口。因此,我们需要为基于硬件的加密
开发一个定制的固态硬盘管理解决方案。
基于两项英特尔关键技术的全磁盘加密解决方案
近 25% 的英特尔移动商务电脑配备了具备
自加密功能的英特尔固态硬盘。根据我们
的部署路线图,所有新的移动商用电脑将
配备此类硬盘,并争取在 2012 年底覆盖
至少 40% 的系统。此外,作为英特尔®
博锐™ 技术的一个组成部分,英特尔® 主
动管理技术(英特尔® AMT)已经 100%
部署在我们的移动商用电脑设备上。
我们使用这两项英特尔技术,不但可利用
现有的投资,同时还能让整个企业的加密
更符合规范、减少服务台与加密相关的支
持工作,并提升用户体验。
解决方案的要求
在设计全新的全磁盘加密(WDE)解决
方案时,我们必须保证它能部署到配备
英特尔固态硬盘和英特尔主动管理技术
(AMT)的系统上。此外,新解决方案还
需要:
• 与现有应用和流程无缝协作
• 支持尽可能多的电源状态
• 包含企业级恢复、支持和规格符合的
功能
• 不会影响取证或电子发现流程及工具
• 符合国际出口管制和当地政府的加密
政策
除此之外,该解决方案要确保易于操作,
以方便最终用户使用。
自加密英特尔® 固态硬盘(英特尔 SSD):
自加密驱动器(SED)工作原理:自加密驱动器(SED),如英特尔® 固态硬盘 320 系列和英特尔® 固态硬盘 520 系列,配有
一个驱动器控制器,可自动将所有数据加密到驱动器上并解密驱动器上的所有数据。磁盘加密密钥从来不会出现在可能被黑
客访问的计算机处理器或内存上。用来加密和解密的密钥安全地存储在驱动器上。因为磁盘加密密钥使用高级技术附加装置
(ATA)密码进行加密,只有在用户认证成功后才支持驱动器的访问;如果没有密钥,数据仍然以加密状态保存介质上。
用户身份认证通过在自加密驱动器(SED)中提供高级技术附加装置(ATA)用户密码来完成,而且该操作是与操作系统隔离
开来的。所以,对操作系统漏洞的攻击不会影响自加密驱动器(SED)的预启动过程。
自加密驱动器(SED)的优势:自加密驱动器(SED)坚固耐用,可提供出色的响应性能、耐久的电池使用时间以及所有英特
尔固态硬盘所具备的灵活性和扩展性,同时它还具有数据安全优势。其内置的加密电路可减轻基于软件的全磁盘加密(WDE)
解决方案对性能的影响。英特尔® 320 系列和英特尔® 520 系列自加密驱动器(SED)使用相当于大多数基于软件的全磁盘加密
(WDE)解决方案的加密强度,并符合广泛认可的 FIPS 197 行业标准。
www.intel.com/cn/IT4
IT@Intel 白皮书 使用英特尔® 博锐™ 技术来管理英特尔® 固态硬盘
表 1. 全新的基于硬件的全磁盘加密解决方案的组件
组件 说明
客户端系统 配备英特尔® 博锐® 技术和自加密英特尔® 固态硬盘(如英特尔® 固态硬
盘 320 系列)的 PC。
自加密驱动器
(SED)密码管理
应用程序
验证密码的强度,支持在 BIOS 中设置用户密码和主密码。该应用程序
使用用户密码以锁定英特尔固态硬盘上的加密密钥。
安全的密码数据库 存储主密码、驱动器序列号,以及关于客户端系统、安全状态和数据访
问日志的各种统计数据。数据库中的密码是加密的。该数据库托管在高
度可信区中,从而尽量提高数据安全。
系统恢复门户 允许员工通过自助服务远程解锁他们的系统。
服务台内部门户 为支持中心人员和其他经授权的人员提供支持,使其在托管系统上进行
远程操作并从数据库中检索数据。
英特尔 IT 管理功能的
网络服务
由英特尔® 主动管理技术通用重定向工具(英特尔 GRT)执行,用于连
接客户端 PC 上的英特尔® 主动管理技术,以便执行各种管理任务。这些
网络服务托管在英特尔 IT 部门的专用服务器上。
英特尔® 通用重定向工具(英特尔 GRT)提供一种简单、直观的方式,
使用非常简单的 XML 脚本来执行英特尔主动管理技术(AMT)任务。脚
本针对我们支持的特定的 BIOS 类型而编写,可能需要定制以应用于其他
品牌和型号的电脑。¬
¬ 英特尔® 主动管理技术通用重定向工具(英特尔 GRT)已在以下网站公布:
http://communities.intel.com/docs/DOC-6283
解决方案组件
表 1 介绍了全新的基于硬件的全磁盘加密
(WDE)解决方案的主要组件。4
该解决方案的关键是下面这两个密码:用
户密码和主密码,作为高级技术附加装置
(ATA)标准的一部分,可在英特尔固态
硬盘上使用(详细信息,请参阅第 3 页侧
边栏)。用户密码由用户选择,在正常使
用过程中解锁 PC 的驱动器。主密码是由
系统生成的强密码,储存于安全的密码数
据库中。在用户忘记密码的情况下,英特
尔 IT 部门使用它解锁驱动器。
解决方案的工作原理
图 1 说明了该解决方案的组件是如何协
作的。因为自加密驱动器(SED)密码管
理应用是标准客户端构建的一部分,所以
它通常已经安装在员工的电脑上。自加密
驱动器(SED)应用有一个易于使用的界
4 我们可为任意配备英特尔® 博锐™ 技术、英特尔® 主动
管理技术(AMT)的支持版本和自我加密英特尔® 固
态硬盘的平台设计解决方案;我们将实施方案集中
在英特尔最常使用的平台中。
SSL/TLS HTTP
® ™ ® ® IT
®
1. ® ®
®
www.intel.com/cn/IT 5
使用英特尔® 博锐™ 技术来管理英特尔® 固态硬盘 IT@Intel 白皮书
面,上面说明了密码的设置过程及其要
求。例如,指令说明了电脑必须直接连接
到英特尔网络,而不是虚拟专用网络;同
时电脑在初始设置过程中必须接入电源
(不能使用电池)。应用程序在继续运行
之前会检查是否满足这些要求。
在一般的情况下,用户会在 PC 服务中心
对其电脑进行密码设置。用户启动自加密
驱动器(SED)密码管理应用程序,并执
行输入密码等一系列操作。应用程序验证
用户提供的密码是否符合英特尔公司的信
息安全和密码强度要求。然后,自加密驱
动器(SED)应用会调用英特尔 IT 部门管
理功能的网络服务,该服务可在客户端电
脑和安全密码数据库间进行通信,并在电
脑的 BIOS 中设置密码。设置密码将会锁定
客户端固态硬盘上的加密密钥,这是内部
驱动器安全方案的一部分。
如果用户忘记了密码,他们可以访问自助
服务系统恢复门户网站,远程解锁系统
(类似于服务台人员的工作)。然后,用
户可以重新设置密码。
英特尔® 主动管理技术通用重定向工具
(英特尔 GRT)与客户端的 BIOS 进行交
互,以设定用户密码和主密码。英特尔 IT
管理功能的网络服务提供了连接通用重
定向工具(GRT)和安全密码数据库的接
口。该数据库托管在高度可信区中,从而
尽量提高信息安全。使用英特尔主动管理
技术局域网串行接口,密码可以通过数据
安全的接字层(SSL)/数据安全的传输层
(TLS)通道安全传输。所以不会发生密
码泄露事件。
试点项目
在概念验证中验证了全磁盘加密(WDE)
的功能后,我们在 2012 年第一季度在分
布于全球个地的 200 台员工电脑进行了
一个历时六个星期的试点项目。这些电脑
由多家原始设备制造商提供,配备英特尔
英特尔® 博锐™ 技术
如图 2 所示,英特尔® 博锐™ 技术,作为最新一代英特尔® 酷睿™ 博锐™ 处理器的
一部分,是处理器技术、硬件增强、管理功能和安全技术的完美结合,它支持远
程访问 PC — 包括对电脑的监控、维护和管理 — 而且不受电脑操作系统或电源状
态的影响。
英特尔® 博锐™ 技术包含许多有用的功能,其中包括英特尔® 主动管理技术(英特尔®
AMT)、英特尔® 支持直接 I/O 访问的 VT 虚拟化技术(英特尔® VT-d),以及英特尔®
虚拟化技术(英特尔® VT-X)。
英特尔® 主动管理技术(AMT)以下列方式支持更加出色的电脑远程管理:
• 提供对整个托管设备的电源状态的全面控制
• 减少成本较高的现场支持、加快诊断和修复速度
• 即使在操作系统出现故障的情况下,支持对有线和无线电脑的远程带外管理
• 支持服务台人员经由管理控制台远程管理 PC
以上功能能够降低 IT 成本并提高我们高度移动的 PC 设备的业务连续运作。如欲
深入了解有关英特尔® 博锐™ 技术的信息,请参阅本文末尾处的“更多信息”。
2.
IT
PC
®
® PC
I/O - -
IDE IT
www.intel.com/cn/IT6
IT@Intel 白皮书 使用英特尔® 博锐™ 技术来管理英特尔® 固态硬盘
固态硬盘 320 系列或英特尔固态硬盘 520
系列。我们对所有的功能进行测试,包括
本地和远程管理、英特尔主动管理技术
(AMT)的使用、安全数据库,以及与服
务台支持工具的集成。
根据在试点项目期间收集的用户反馈,我
们进行了相关的改进。例如,我们改进了
用户界面,并通过增加前提条件检查对自
加密驱动器(SED)密码管理应用进行了调
整,如检查客户端系统是否可由英特尔主
动管理技术(AMT)管理、是否连接英特
尔网络并接入交流电源。这些检查可尽量
减少故障和错误。我们还优化了英特尔通
用重定向工具(GRT)使用的 XML 脚本,
为不同型号的电脑提供不同的脚本。
结果和优势
我们这套全新的基于硬件的加密解决方
案提供一种安全和可管理的全磁盘加密
(WDE)方法,扩展了英特尔自加密固态
硬盘的功能。用户很喜欢这些性能优势,
并且我们已证明该解决方案从技术层面上
讲是可靠的、可支持的。
该全新解决方案使我们无需购买附加许可
使用证,同时也降低了基于软件的加密解
决方案的维护成本。该全新解决方案使用
现有的英特尔技术,包括自加密英特尔固
态硬盘和英特尔主动管理技术(AMT),
增加了这些技术的投资回报。
总体而言,它成功解决了基于软件的全磁
盘加密(WDE)所面临的三大主要挑战:
用户体验、规范符合问题和支持问题。
用户体验
从用户的角度来看,全新的基于硬件的
全磁盘加密(WDE)解决方案的最显著
的优势在于计算任务以及 PC 状态转换方
面的性能大幅提升。例如在 PC 状态转换
方面,我们在各品牌、型号的 PC 上测试
在三种情况下系统从休眠状态中恢复所
花费的时间,并对其进行比较:基于软
件的全磁盘加密(WDE)、自加密驱动
器(SED)和无加密。表 2 中显示了相关
结果数据。基于软件的加密使恢复流程
增加了约 20 秒的时间,而自加密驱动器
(SED)则增加了不到 3 秒的时间。
此外,用户对于加密流程使用容易方面也
青睐有加。一旦他们设置密码,磁盘便立
即受到保护,无需等待进行加密。
此外,将加密和解密卸载到驱动器上的
硬件电路,可降低 CPU 的负载并延长电
池使用时间,为我们经常需要移动的员
工在工作方式和工作地点方面提供更高
的灵活程度。
规范符合
我们基于硬件的全磁盘加密解决方案与自
加密英特尔固态硬盘的一个重要优势是,
这一结合可以防止安全功能被禁用。借助
自加密驱动器(SED)和英特尔主动管理
技术(AMT),可阻止用户关闭高级技术
附加装置(ATA)密码。
我们的全新解决方案也将帮我们实现全部
PC 设备的 100% 加密目标。因为加密过程
是自动、即时、易于使用的,而且加密和
解密过程几乎不会对性能产生影响,员工
更愿意对磁盘进行加密。此外,这款新解
决方案将提供关于驱动器确切加密状态的
更准确的数据来改善规范符合报告功能 —
不管它是否被用户密码和主密码锁定。
支持
使用基于硬件的加密解决方案,加密过程
是自动的、瞬时的,不能被中断或暂停。
我们预计有关加密的服务台支持次数也会
减少,因为自加密驱动器(SED)密码管
理应用对前提条件进行检查,如客户端系
统是否接入交流电源并直接连接到英特尔
网络。
此外,自助服务系统恢复门户网站使用户
能够远程解锁他们的客户端系统,而无需
联系服务台。
我们将这款新解决方案整合到现有的后端
支持工具中,以便服务台人员可以使用单
一的控制台完成所有的支持活动。此外,
我们还就该解决方案的使用对员工和服务
台人员进行培训。
如果用户忘记了密码,服务台人员可远程
解锁用户的驱动器、显示主密码、手动解
锁客户端系统,以及远程删除客户端 PC
和数据库的密码。当远程解锁用户的驱动
器时,服务台人员不需要提供主密码或用
户密码。
表 2. 从休眠中恢复的性能数据。英特尔内部测量,2012 年 2 月
配置 笔记本电脑平台 A 笔记本电脑平台 B 笔记本电脑平台 C
基于软件的加密 31 秒 37 秒 30 秒
自加密驱动器(SED) 12 秒 16 秒 17 秒
未加密 11 秒 13 秒 14 秒
www.intel.com/cn/IT 7
使用英特尔® 博锐™ 技术来管理英特尔® 固态硬盘 IT@Intel 白皮书
下一步工作
在成功进行该试点项目后,我们开始部
署基于硬件的全磁盘加密(WDE)解决方
案。目前,我们大约有 20,000 套系统配
备英特尔固态硬盘 320 系列或英特尔固
态硬盘 520 系列,并且该数字将继续增
长。我们将采用分阶段的“扩展试点”
方式来部署该解决方案。
除了全面部署该解决方案,我们正在研究
一些增强功能。例如,目前用户可以在英
特尔网络断开时恢复他们的密码,但需要
在手动恢复后重新连接至英特尔网络以
完成该过程。但是,随着我们在英特尔
主动管理技术环境中继续实施快速求助
(FCFH)功能,我们正在评估是否可在
英特尔网络之外提供密码恢复功能。5 英
特尔主动管理技术的快速求助(FCFH)
功能支持英特尔博锐技术平台安全连接至
存放在企业非保护区(De-Militarized Zone)
内的网关服务器。当客户端系统处于企
业网络之外时,IT 管理员可使用快速求助
(FCFH)功能,对基于英特尔博锐™ 技术
的客户端进行远程管理。
虽然我们定制的基于硬件的全磁盘加密
(WDE)解决方案高度安全、稳定、可支
持,但是我们知道它只是实现符合 Opal 标
准的驱动器和解决方案这一最终目标的过
渡阶段。该方案中有几个与技术局限有关
的问题,但由于这些问题造成的影响十
分有限,我们完全可以等待 ISV 提供符合
Opal 的即购即用解决方案。因此,下列问
题我们决定目前不会投资资源去解决:
• 我们必须通过 BIOS 界面与驱动器进行交
互,而不是直接与驱动器进行通信。这
需要为不同型号的 PC(有时甚至是不同
的 BIOS 版本)编写不同的脚本。
• 脚本命令(比如在 GRT 中使用的脚本命
令)和计时取决于 BIOS 版本和网络延迟。
• 目前采用英特尔主动管理技术(AMT)
的管理功能仅限于通过 BIOS 提供的功
能。最终,我们希望采用硬件加密管理
解决方案来获得集成的库存管理和固件
更新功能。
凭借在试点项目中收集到的信息,我们会继
续与英特尔固态硬盘产品开发团队合作,以
增强对自加密驱动器的支持。同时,我们还
5 快速求助(FCFH)是英特尔主动管理技术(AMT)
中的一项功能,支持英特尔博锐技术平台安全连接
至存放在企业非保护区内的网关服务器。如欲了解
更多信息,请访问 http://software.intel.com/en-us/
articles/fast-call-for-help-overview
英特尔 IT 加密技术的发展
英特尔 IT 部门一直致力于保护英特尔最重要的资产之一 — 知识产权。随着技术的发展和成熟,我们的数据保护技术也在不断
完善(见图 3),进而帮助我们实现更高的信息安全和更大的业务价值。
随着基于硬件的加密标准管理工具的普及,数据保护技术将继续得到发展,从而实现完全符合 Opal 的解决方案。但是,只要
我们在计算环境中使用英特尔® 固态硬盘 320 系列和英特尔® 固态硬盘 520 系列,我们就会继续使用自加密驱动器(SED)密
码管理应用为其提供支持。
符合 Opal 的解决方案将提供以下更多优势:
• 领先的安全软件供应商提供完整的托管全磁盘加密(WDE)解决方案(集中管理、密码恢复、日志记录、用户注册)
• 功能丰富的预操作系统认证
• 操作系统管理
• 通过在同一款产品中无缝集成自加密驱动器(SED)管理和基于软件的全磁盘加密(WDE),不论使用什么技术,加密都具
有相同的外观和风格
PC WDE
CPU
WDE® ™ i5
® ™ i7 CPU
®
IT
3. IT
会与 ISV 和英特尔产品团队协作,以对符合
Opal 的软件与硬件进行测试。
总结
基于成功的试点项目,英特尔 IT 部门计划
在配备自加密驱动器的系统上逐渐部署基于
硬件的全磁盘加密(WDE)解决方案,以
最终代替基于软件的全磁盘加密(WDE)
解决方案。全新解决方案结合两项英特尔
技术 — 英特尔自加密固态硬盘(如英特尔
固态硬盘 320 系列和 520 系列)和英特尔
主动管理技术(AMT)(英特尔博锐技术
的一部分)— 解决了基于软件的全磁盘加
密(WDE)面临的诸多运营和业务方面的
挑战。
新解决方案具有以下优势:
• 更快的数据加密和解密,将会带来更出
色的用户体验并帮助我们实现 100% 加
密合规的目标
• 与我们的客户端构建流程作整合,这将
帮我们实现 100% 的移动平台加密的目标
• 服务台支持次数减少,归功于自动化的、
具有自解释功能的加密过程和自服务密
码恢复
• 提高在我们的计算环境中投资于英特尔
技术的回报率,并避免购买附加许可使
用证,降低基于软件的加密解决方案的
维护成本
我们长期的加密和数据保护发展蓝图包括
符合 Opal 的驱动器和标准管理软件。但在
短期甚至未来几年内,全新的基于硬件的
全磁盘加密(WDE)解决方案(包含定制
的自加密驱动器(SED)管理方法)能够
提供宝贵的优势。
了解更多信息
• 《使用英特尔® 博锐技术管理移动电脑的
配置技巧》,英特尔公司,2012 年 4 月
• 《借助英特尔® 博锐™ 技术实现长期业务
价值》,英特尔公司,2010 年 10 月
• 《采用英特尔® 博锐™ 技术的全新安全解
决方案》,英特尔公司,2009 年 2 月
• 《部署英特尔® 博锐™ 技术以降低客户端
管理成本》,英特尔公司,2008 年 12 月
撰稿人
Yair Gopher
英特尔架构事业部主动管理技术
(AMT)固件和软件工程师
Darren Lasko
存储技术事业部首席存储安全架构师
James P. Slattery
非易失性内存解决方案事业部客户
端固态硬盘产品线经理
缩写词
ATA Advanced Technology
Attachment 高级技术附加装置
FCFH fast call for help 快速求助
GRT Generic Redirection Tool 通用重
定向工具
Intel® Intel® Advanced Encryption
Intel® Intel® Active Management
AMT Technology 英特尔® 主动管理
技术
SED self-encrypting drive 自加密
驱动器
SSD solid-state Drive 固态硬盘
SSL Secured Sockets Layer 数据安全
的接字层
TLS Transport Layer Security 数据安
全的传输层
WDE whole-disk encryption 全磁盘
加密
如欲了解有关英特尔 IT 部门最佳实践的更多信息, 请访问:www.intel.com/cn/it
本文档仅供参考。本文件以“概不保证”方式提供,英特尔不做任何形式的保证,包括对适销性、不侵权性,以及适用于特定用途的担保,或任何由建议、规范或范例所产生的任何其它担保。英特尔不承担因使用本规范相关信息所产生的任何责任,包括对侵犯任何知识产权的责任。本文不代表英特尔公司或其它机构向任何人明确或隐含地授予任何知识产权。
英特尔、酷睿、博锐和英特尔标志是英特尔公司在美国和其他国家(地区)的商标。
* 文中涉及的其它名称及商标归各自所有者所有。
英特尔公司 2012 年版权所有。所有权利受到保护。 C 请注意环保 0612/JGLU/KC/PDF 327415-001
