华安信达(CISPS.org)信息安全论坛
http://cisps.org/

企业级全盘加密的讨论
http://cisps.org/viewtopic.php?f=43&t=36533
分页: 1 / 1

作者:  go4u [ 2014-10-18 12:48 ]
文章标题 :  企业级全盘加密的讨论

欢迎大家讨论和补充

1、全盘加密(FDE)的介绍及利弊

全磁盘加密技术(FDE,Full Disk Encryption)是对整个磁盘上的数据进行加解密;更为准确的解释是:通过动态加解密技术,对磁盘(硬盘)上所有数据(包括操作系统)进行动态加解密的技术。

弊端:可能会出现无法解密、恢复的情况;会影响性能

2、企业级全盘加密产品/厂商

国外:MS的bitlocker、PGP、DriveCrypt
国内:亿赛通DiskSec

作者:  go4u [ 2014-10-18 12:54 ]
文章标题 :  Re: 企业级全盘加密的讨论

欢迎大家补充。因为在与用户接触的过程中,还是有少部分用户有类似需求。谢谢

作者:  jqb [ 2014-10-20 21:42 ]
文章标题 :  Re: 企业级全盘加密的讨论

采用全盘加密必然会带来性能和效率方面的损失;

作者:  rayle_cisps [ 2014-10-21 22:15 ]
文章标题 :  Re: 企业级全盘加密的讨论

我原来公司是对重要岗位对应的人员电脑进行FDE。公司policy里有,用户没啥说的。

作者:  billyqpj [ 2014-10-22 10:39 ]
文章标题 :  Re: 企业级全盘加密的讨论

我曾经负责过全盘加密的项目,主要是采用国内的DLP产品,因为要在银行内部的生产网上使用,所以没有考虑过国外的加密产品,主要还是国内的如亿赛通DLP。经过测试,对终端用户来说没有什么太大的影响,有的只是心理上或认识上的影响,对于终端电脑运行的效率基本没什么影响。通过测试,发现大多数厂商的DLP产品都大同小异,无非就是文加的加解密和文件权限的控制等,但各个厂商的加密形式会有些不同,如宣传的底层加密、驱动级加密等等,它们都会对文件本身的格式进行更改,一旦加密密钥失效,加密后的文件则无法再恢复了。
而且,我觉得传统的全盘加密模式不适合在特别复杂的业务应用场景中,因为一旦数据被加密,则数据在不同部门、不同系统之间流转就会存在问题了,因为服务器本身是不会被加密的,那么大量被加密的数据在不同系统之间流转、使用、加工、处理等等就会受到影响,因此就会存在效率降低的问题。但在业务单一如只对数据或文件进行查看而不涉及到数据加工时,全盘加密的模式就比较好了。
但无论使用什么加密模式,我觉得最重要的还是要加强员工自身的安全意识,使用加密等技术只是为了防护员工无意识泄露。而如果员工主动或者恶意泄露,则使用再多的防护手段都是没有用的。像什么行为监控、日志审计等都已经是事后的了,主要还是降低安全隐患,加强事前防护和事中审批应该才是安全工作的重点吧。

作者:  go4u [ 2014-10-22 11:24 ]
文章标题 :  Re: 企业级全盘加密的讨论

[quote="rayle_cisps"]我原来公司是对重要岗位对应的人员电脑进行FDE。公司policy里有,用户没啥说的。[/quote]

是否记得是哪款软件

作者:  go4u [ 2014-10-22 11:30 ]
文章标题 :  Re: 企业级全盘加密的讨论

[quote="billyqpj"]我曾经负责过全盘加密的项目,主要是采用国内的DLP产品,因为要在银行内部的生产网上使用,所以没有考虑过国外的加密产品,主要还是国内的如亿赛通DLP。经过测试,对终端用户来说没有什么太大的影响,有的只是心理上或认识上的影响,对于终端电脑运行的效率基本没什么影响。通过测试,发现大多数厂商的DLP产品都大同小异,无非就是文加的加解密和文件权限的控制等,但各个厂商的加密形式会有些不同,如宣传的底层加密、驱动级加密等等,它们都会对文件本身的格式进行更改,一旦加密密钥失效,加密后的文件则无法再恢复了。
而且,我觉得传统的全盘加密模式不适合在特别复杂的业务应用场景中,因为一旦数据被加密,则数据在不同部门、不同系统之间流转就会存在问题了,因为服务器本身是不会被加密的,那么大量被加密的数据在不同系统之间流转、使用、加工、处理等等就会受到影响,因此就会存在效率降低的问题。但在业务单一如只对数据或文件进行查看而不涉及到数据加工时,全盘加密的模式就比较好了。
但无论使用什么加密模式,我觉得最重要的还是要加强员工自身的安全意识,使用加密等技术只是为了防护员工无意识泄露。而如果员工主动或者恶意泄露,则使用再多的防护手段都是没有用的。像什么行为监控、日志审计等都已经是事后的了,主要还是降低安全隐患,加强事前防护和事中审批应该才是安全工作的重点吧。[/quote]

全盘加密只是防止硬盘丢失和电脑被窃,应该和数据流转无关吧。从电脑出来的数据应该都是明文。除非是加密移动存储设备

作者:  billyqpj [ 2014-10-22 17:34 ]
文章标题 :  Re: 企业级全盘加密的讨论

go4u 写道:
全盘加密只是防止硬盘丢失和电脑被窃,应该和数据流转无关吧。从电脑出来的数据应该都是明文。除非是加密移动存储设备


我觉得还是根据实际的业务场景来决定,因为如果盲目的使用也未必会带来较好的效果,有可能还会影响实际的工作效率,或者会遭到用户心理上的抵制等等。

作者:  5023749 [ 2014-11-13 14:24 ]
文章标题 :  Re: 企业级全盘加密的讨论

个人认为数据安全也分“防丢失,防泄密,防滥用”三个阶段,全盘加密最多是防丢失设备的最初级需求,别对这个报太大期望,也没啥好纠结的。防外泄就DLP或者文档加密,防滥用就DRM,分场景对象来用。现在业内还没功能整合度和业务场景符合度那么高的产品,所以适当降低下预期,一层一层的做。

作者:  samsho2 [ 2014-11-17 21:49 ]
文章标题 :  Re: 企业级全盘加密的讨论

这个全盘加密类似TrueCrypt不?我用了很久的TrueCrypt,感觉不错,可以建立文件保险箱或者是整个分区,没有用过全盘加密功能,也怕出问题无法恢复数据。
关于防滥用可以使用数据溯源技术。

作者:  jession [ 2014-12-02 10:00 ]
文章标题 :  Re: 企业级全盘加密的讨论

学习了

作者:  cospang [ 2015-07-18 23:52 ]
文章标题 :  Re: 企业级全盘加密的讨论

billyqpj 写道:
我曾经负责过全盘加密的项目,主要是采用国内的DLP产品,因为要在银行内部的生产网上使用,所以没有考虑过国外的加密产品,主要还是国内的如亿赛通DLP。经过测试,对终端用户来说没有什么太大的影响,有的只是心理上或认识上的影响,对于终端电脑运行的效率基本没什么影响。通过测试,发现大多数厂商的DLP产品都大同小异,无非就是文加的加解密和文件权限的控制等,但各个厂商的加密形式会有些不同,如宣传的底层加密、驱动级加密等等,它们都会对文件本身的格式进行更改,一旦加密密钥失效,加密后的文件则无法再恢复了。
而且,我觉得传统的全盘加密模式不适合在特别复杂的业务应用场景中,因为一旦数据被加密,则数据在不同部门、不同系统之间流转就会存在问题了,因为服务器本身是不会被加密的,那么大量被加密的数据在不同系统之间流转、使用、加工、处理等等就会受到影响,因此就会存在效率降低的问题。但在业务单一如只对数据或文件进行查看而不涉及到数据加工时,全盘加密的模式就比较好了。
但无论使用什么加密模式,我觉得最重要的还是要加强员工自身的安全意识,使用加密等技术只是为了防护员工无意识泄露。而如果员工主动或者恶意泄露,则使用再多的防护手段都是没有用的。像什么行为监控、日志审计等都已经是事后的了,主要还是降低安全隐患,加强事前防护和事中审批应该才是安全工作的重点吧。


不错的经验分享。
现在产品使用的情况怎么样?

分页: 1 / 1 当前时区为 UTC + 8 小时
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/