隨著互聯(lián)網(wǎng)的普及，企業(yè)除了需要解決數(shù)據(jù)安全傳輸?shù)膯栴}，還需要面對企業(yè)內(nèi)部網(wǎng)絡(luò)安全的挑戰(zhàn)，特別是企業(yè)運營維護(hù)的核心―數(shù)據(jù)中心的安全保護(hù)問題。而實現(xiàn)對企業(yè)數(shù)據(jù)中心的安全保護(hù)，目前主要的方式是對存儲在數(shù)據(jù)中心物理媒介中的敏感數(shù)據(jù)進(jìn)行安全管理，即采用各種靜態(tài)數(shù)據(jù)加密技術(shù)。

靜態(tài)數(shù)據(jù)加密涉及到物理存儲介質(zhì)包括硬盤和磁帶，以及移動存儲媒介譬如光盤、USB存儲介質(zhì)、存儲卡等。企業(yè)海量數(shù)據(jù)存儲和歸檔主要還是使用硬盤和磁帶，因此靜態(tài)數(shù)據(jù)加密主要圍繞這兩種存儲介質(zhì)展開。

實現(xiàn)靜態(tài)數(shù)據(jù)加密的最大挑戰(zhàn)在于密匙管理，網(wǎng)絡(luò)安全傳輸過程中加密數(shù)據(jù)的存在往往只有幾毫秒到幾秒的時間，

但是存儲系統(tǒng)中的加密數(shù)據(jù)需要保存的時間可以到幾年甚至上百年，如果加密系統(tǒng)的實現(xiàn)方式不當(dāng)，或者加密算法的強度不夠，會導(dǎo)致攻擊者有充裕的時間用于嘗試不同的攻擊手段，極大增加存儲系統(tǒng)的風(fēng)險。

國際電氣電子工程師協(xié)會正積極籌劃制定的IEEE 1619靜態(tài)數(shù)據(jù)安全標(biāo)準(zhǔn)，就是針對磁盤存儲系統(tǒng)缺乏統(tǒng)一標(biāo)準(zhǔn)，就是針對磁盤存儲系統(tǒng)缺乏統(tǒng)一標(biāo)準(zhǔn)，各個廠家的產(chǎn)品無法互操作，密匙管理機制參差不齊，以及難以實現(xiàn)對企業(yè)海量數(shù)據(jù)長期安全存儲的要求而提出的。下圖就是基于IEEE 1619.3標(biāo)準(zhǔn)的磁盤加密系統(tǒng)結(jié)構(gòu)圖。

從上圖我們可以看出，在業(yè)務(wù)數(shù)據(jù)流之外，增加了認(rèn)證數(shù)據(jù)流，用于對每一次加解密過程中的密匙進(jìn)行統(tǒng)一管理。所有符合IEEE1619安全標(biāo)準(zhǔn)的存儲安全設(shè)備，均可以通過這種統(tǒng)一的方式進(jìn)行集中管理。

除了硬盤的安全，還可以通過引入獨立的加密設(shè)備，對公司已有的磁帶歸檔系統(tǒng)添加安全特性，Hifn公司的Sypher系列磁帶加密機產(chǎn)品就屬于這類。

上圖左邊是企業(yè)現(xiàn)有磁帶歸檔系統(tǒng)的一般結(jié)構(gòu)，右邊是采用了Hifn公司Sypher 磁帶加密機產(chǎn)品實現(xiàn)安全歸檔的部署結(jié)構(gòu)，用于對企業(yè)的磁帶歸檔系統(tǒng)添加安全加密功能。

Sypher磁帶加密機產(chǎn)品對備份服務(wù)器提供千兆以太網(wǎng)接口，支持iSCSI協(xié)議，企業(yè)存儲網(wǎng)絡(luò)內(nèi)的備份服務(wù)器和其他應(yīng)用服務(wù)器可以直接訪問到物理磁帶，進(jìn)行歸檔和恢復(fù)操作。業(yè)務(wù)數(shù)據(jù)流在經(jīng)過磁帶加密機設(shè)備時，磁帶加密機依據(jù)用戶設(shè)置的規(guī)則生成隨機的機密密匙，使用Hifn公司專業(yè)的硬件加密技術(shù)，將數(shù)據(jù)流進(jìn)行加密之后，將加密數(shù)據(jù)存儲到物理磁帶庫或者是VTL（Virtual Tape Library： 虛擬磁帶庫）上，同時把加密數(shù)據(jù)所用的密匙存儲于備份服務(wù)器上的共享位置。

在進(jìn)行數(shù)據(jù)恢復(fù)時，只需要確保密匙處于磁帶加密機可以訪問的位置，加密數(shù)據(jù)流在經(jīng)過磁帶加密機時被自動解密，并將解密之后的數(shù)據(jù)發(fā)送到備份服務(wù)器，實現(xiàn)對加密磁帶的恢復(fù)。

靜態(tài)數(shù)據(jù)加密可以有效地防止信息泄漏，降低企業(yè)經(jīng)營風(fēng)險，提升企業(yè)信息安全水平，對于企業(yè)持續(xù)健康發(fā)展，將起到非常積極的推動作用。

admin

收藏 海報分享