论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 12 篇帖子 ] 
作者 内容
 文章标题 : 企业级全盘加密的讨论
帖子发表于 : 2014-10-18 12:48 
离线
高级用户

注册: 2007-03-27 14:16
最近: 2015-05-05 17:49
拥有: 606.50 安全币

奖励: 98 安全币
在线: 2805 点
帖子: 167
欢迎大家讨论和补充

1、全盘加密(FDE)的介绍及利弊

全磁盘加密技术(FDE,Full Disk Encryption)是对整个磁盘上的数据进行加解密;更为准确的解释是:通过动态加解密技术,对磁盘(硬盘)上所有数据(包括操作系统)进行动态加解密的技术。

弊端:可能会出现无法解密、恢复的情况;会影响性能

2、企业级全盘加密产品/厂商

国外:MS的bitlocker、PGP、DriveCrypt
国内:亿赛通DiskSec


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 企业级全盘加密的讨论
帖子发表于 : 2014-10-18 12:54 
离线
高级用户

注册: 2007-03-27 14:16
最近: 2015-05-05 17:49
拥有: 606.50 安全币

奖励: 98 安全币
在线: 2805 点
帖子: 167
欢迎大家补充。因为在与用户接触的过程中,还是有少部分用户有类似需求。谢谢


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 企业级全盘加密的讨论
帖子发表于 : 2014-10-20 21:42 
离线
初级用户

注册: 2014-03-13 13:04
最近: 2015-02-26 13:12
拥有: 73.00 安全币

奖励: 0 安全币
在线: 335 点
帖子: 22
采用全盘加密必然会带来性能和效率方面的损失;


--------本帖迄今已累计获得4安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 企业级全盘加密的讨论
帖子发表于 : 2014-10-21 22:15 
离线
中级用户

注册: 2010-04-14 13:36
最近: 2016-05-13 11:59
拥有: 296.00 安全币

奖励: 13 安全币
在线: 349 点
帖子: 102
我原来公司是对重要岗位对应的人员电脑进行FDE。公司policy里有,用户没啥说的。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 企业级全盘加密的讨论
帖子发表于 : 2014-10-22 10:39 
离线
中级用户

注册: 2013-10-11 17:49
最近: 2016-06-07 17:56
拥有: 1,686.00 安全币

奖励: 9 安全币
在线: 4473 点
帖子: 130
我曾经负责过全盘加密的项目,主要是采用国内的DLP产品,因为要在银行内部的生产网上使用,所以没有考虑过国外的加密产品,主要还是国内的如亿赛通DLP。经过测试,对终端用户来说没有什么太大的影响,有的只是心理上或认识上的影响,对于终端电脑运行的效率基本没什么影响。通过测试,发现大多数厂商的DLP产品都大同小异,无非就是文加的加解密和文件权限的控制等,但各个厂商的加密形式会有些不同,如宣传的底层加密、驱动级加密等等,它们都会对文件本身的格式进行更改,一旦加密密钥失效,加密后的文件则无法再恢复了。
而且,我觉得传统的全盘加密模式不适合在特别复杂的业务应用场景中,因为一旦数据被加密,则数据在不同部门、不同系统之间流转就会存在问题了,因为服务器本身是不会被加密的,那么大量被加密的数据在不同系统之间流转、使用、加工、处理等等就会受到影响,因此就会存在效率降低的问题。但在业务单一如只对数据或文件进行查看而不涉及到数据加工时,全盘加密的模式就比较好了。
但无论使用什么加密模式,我觉得最重要的还是要加强员工自身的安全意识,使用加密等技术只是为了防护员工无意识泄露。而如果员工主动或者恶意泄露,则使用再多的防护手段都是没有用的。像什么行为监控、日志审计等都已经是事后的了,主要还是降低安全隐患,加强事前防护和事中审批应该才是安全工作的重点吧。


--------本帖迄今已累计获得58安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 企业级全盘加密的讨论
帖子发表于 : 2014-10-22 11:24 
离线
高级用户

注册: 2007-03-27 14:16
最近: 2015-05-05 17:49
拥有: 606.50 安全币

奖励: 98 安全币
在线: 2805 点
帖子: 167
[quote="rayle_cisps"]我原来公司是对重要岗位对应的人员电脑进行FDE。公司policy里有,用户没啥说的。[/quote]

是否记得是哪款软件


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 企业级全盘加密的讨论
帖子发表于 : 2014-10-22 11:30 
离线
高级用户

注册: 2007-03-27 14:16
最近: 2015-05-05 17:49
拥有: 606.50 安全币

奖励: 98 安全币
在线: 2805 点
帖子: 167
[quote="billyqpj"]我曾经负责过全盘加密的项目,主要是采用国内的DLP产品,因为要在银行内部的生产网上使用,所以没有考虑过国外的加密产品,主要还是国内的如亿赛通DLP。经过测试,对终端用户来说没有什么太大的影响,有的只是心理上或认识上的影响,对于终端电脑运行的效率基本没什么影响。通过测试,发现大多数厂商的DLP产品都大同小异,无非就是文加的加解密和文件权限的控制等,但各个厂商的加密形式会有些不同,如宣传的底层加密、驱动级加密等等,它们都会对文件本身的格式进行更改,一旦加密密钥失效,加密后的文件则无法再恢复了。
而且,我觉得传统的全盘加密模式不适合在特别复杂的业务应用场景中,因为一旦数据被加密,则数据在不同部门、不同系统之间流转就会存在问题了,因为服务器本身是不会被加密的,那么大量被加密的数据在不同系统之间流转、使用、加工、处理等等就会受到影响,因此就会存在效率降低的问题。但在业务单一如只对数据或文件进行查看而不涉及到数据加工时,全盘加密的模式就比较好了。
但无论使用什么加密模式,我觉得最重要的还是要加强员工自身的安全意识,使用加密等技术只是为了防护员工无意识泄露。而如果员工主动或者恶意泄露,则使用再多的防护手段都是没有用的。像什么行为监控、日志审计等都已经是事后的了,主要还是降低安全隐患,加强事前防护和事中审批应该才是安全工作的重点吧。[/quote]

全盘加密只是防止硬盘丢失和电脑被窃,应该和数据流转无关吧。从电脑出来的数据应该都是明文。除非是加密移动存储设备


--------本帖迄今已累计获得39安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 企业级全盘加密的讨论
帖子发表于 : 2014-10-22 17:34 
离线
中级用户

注册: 2013-10-11 17:49
最近: 2016-06-07 17:56
拥有: 1,686.00 安全币

奖励: 9 安全币
在线: 4473 点
帖子: 130
go4u 写道:
全盘加密只是防止硬盘丢失和电脑被窃,应该和数据流转无关吧。从电脑出来的数据应该都是明文。除非是加密移动存储设备


我觉得还是根据实际的业务场景来决定,因为如果盲目的使用也未必会带来较好的效果,有可能还会影响实际的工作效率,或者会遭到用户心理上的抵制等等。


--------本帖迄今已累计获得8安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 企业级全盘加密的讨论
帖子发表于 : 2014-11-13 14:24 
离线
高级用户

关注按钮

注册: 2009-10-07 21:28
最近: 2017-12-10 23:07
拥有: 4,360.00 安全币

奖励: 2350 安全币
在线: 6350 点
帖子: 189
地址: 深圳
个人认为数据安全也分“防丢失,防泄密,防滥用”三个阶段,全盘加密最多是防丢失设备的最初级需求,别对这个报太大期望,也没啥好纠结的。防外泄就DLP或者文档加密,防滥用就DRM,分场景对象来用。现在业内还没功能整合度和业务场景符合度那么高的产品,所以适当降低下预期,一层一层的做。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 企业级全盘加密的讨论
帖子发表于 : 2014-11-17 21:49 
离线
中级用户

关注按钮

注册: 2008-06-26 22:48
最近: 2018-03-05 16:20
拥有: 1,641.10 安全币

奖励: 172 安全币
在线: 2175 点
帖子: 111
地址: 芈亚罗吧
这个全盘加密类似TrueCrypt不?我用了很久的TrueCrypt,感觉不错,可以建立文件保险箱或者是整个分区,没有用过全盘加密功能,也怕出问题无法恢复数据。
关于防滥用可以使用数据溯源技术。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 企业级全盘加密的讨论
帖子发表于 : 2014-12-02 10:00 
离线
新手

注册: 2009-11-12 15:47
最近: 2014-12-02 10:40
拥有: 2.00 安全币

奖励: 0 安全币
在线: 123 点
帖子: 17
学习了


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 企业级全盘加密的讨论
帖子发表于 : 2015-07-18 23:52 
离线
高级用户

注册: 2008-12-08 13:24
最近: 2016-04-12 12:31
拥有: 5,906.70 安全币

奖励: 13422 安全币
在线: 9038 点
帖子: 271
billyqpj 写道:
我曾经负责过全盘加密的项目,主要是采用国内的DLP产品,因为要在银行内部的生产网上使用,所以没有考虑过国外的加密产品,主要还是国内的如亿赛通DLP。经过测试,对终端用户来说没有什么太大的影响,有的只是心理上或认识上的影响,对于终端电脑运行的效率基本没什么影响。通过测试,发现大多数厂商的DLP产品都大同小异,无非就是文加的加解密和文件权限的控制等,但各个厂商的加密形式会有些不同,如宣传的底层加密、驱动级加密等等,它们都会对文件本身的格式进行更改,一旦加密密钥失效,加密后的文件则无法再恢复了。
而且,我觉得传统的全盘加密模式不适合在特别复杂的业务应用场景中,因为一旦数据被加密,则数据在不同部门、不同系统之间流转就会存在问题了,因为服务器本身是不会被加密的,那么大量被加密的数据在不同系统之间流转、使用、加工、处理等等就会受到影响,因此就会存在效率降低的问题。但在业务单一如只对数据或文件进行查看而不涉及到数据加工时,全盘加密的模式就比较好了。
但无论使用什么加密模式,我觉得最重要的还是要加强员工自身的安全意识,使用加密等技术只是为了防护员工无意识泄露。而如果员工主动或者恶意泄露,则使用再多的防护手段都是没有用的。像什么行为监控、日志审计等都已经是事后的了,主要还是降低安全隐患,加强事前防护和事中审批应该才是安全工作的重点吧。


不错的经验分享。
现在产品使用的情况怎么样?


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 12 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 0 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012