全盘加密(Full Disk Encryption)产品是在磁盘驱动中进行透明的加解密,区别于目前文档安全产品在文件系统过滤驱动层加解密,它比文件系统过滤驱动的层次更低,不区分文件类型,对磁盘进行扇区级的加密。
全盘加密的优点:
1)所有文件,包括数据文件、可执行文件(例如exe、dll文件,包括操作系统的文件)、临时文件、page文件、dump文件等,都是加密的。对于从其它系统启动试图窃取硬盘上的数据(例如,把被保护的硬盘挂到其它机器或者从光驱启动),提供了最强大的保护。
而目前的文件系统过滤驱动加密产品,通常只对部分文件类型进行加密,而不加密page文件、dump文件等,具有安全漏洞。
所以,全盘加密产品在国外主要用来保护移动设备的数据安全,例如笔记本电脑丢失情况下保护数据不被别人查看。
全盘加密的缺点:
1)从加密硬盘启动后,所有的文件操作都是透明解密的,例如用户主动把文件拷贝到USB盘、作为邮件附件发送或者远程用户通过文件共享拷走文件、黑客攻破系统后拷走文件,出去的文件都是明文的。所以,从加密硬盘启动后,加密机制就相当于没有了,仅依靠全盘加密自身,既不能防止用户主动泄密,也不能防止黑客窃密。
2)不能区分多用户,每个用户都能读取所有数据。这样的问题是:一,多用户之间不能保密;二,技术支持人员能够阅读所有涉密信息,例如领导的机器发生故障,支持人员处理故障的时候能够查看涉密信息。
3)可能存在MBR管理冲突,全盘加密产品将导致其它需要修改MBR的产品不能用。
4)如果忘记密码而缺乏密码恢复机制或者发生故障,可能导致不能启动系统,数据全部丢失。
http://www.i170.com/Article/62139/trackbackPowered by Haiwit
主题:[
