为数据加密

　　日常工作生活中，一些公司企业对于客户数据管理不善而出现重大问题的事件并不少见，其中也不乏把保存有数百万客户数据的备份磁带丢失的情形，相信不论大公司小公司都不愿意看到这样的情形。

　　“对我们的企业来说，丢失备份磁带是非常具有危害的，所以，一旦你发生这样的事情，那等待你的就是你的名字会由于泄露客户数据而被公布。”BECU（Boeing Employees’ Credit Union，波音员工信用合作社）的系统及安全管理员Daniel Chow说。为了将磁带丢失以后所暴露数据的可能性降到最小，BECU已经采用了Decru公司（该公司最近已经被Network Appliance收购）的加密技术。

　　之所以这样做也是很容易被理解的：不管你已经采用在系统上采用了多少安全措施，但试图完全阻止数据丢失的愿望总是不能实现，那么给数据加密就是比较聪明的策略，这样万一这些数据落入别人手中也没有办法读取。

　　但是，随之而来的问题是，加密到底应该在什么地方来实施呢？它可以放置在应用软件中，也可以放置在数据库之中，或者还可以通过软件加密的方式放在文件系统层。不过，基于软件的加密如果操作不正确会给企业添加高昂的负担。另外，目前还有一些可以插入系统的专用工具设备甚至硬盘，用它们加密数据就如同在磁盘上写一样。大多数的商业用户好像都是更喜欢这种传统设备的方法，因为这样的方法不仅方便，而且性能很不错，它是即插即用方式来遵从法规需求。

　　来自ESG（Enterprise Strategy Group）的分析师Steve Duplessie说：“存储安全问题最终必将被重视，但目前这种关注度还远不够。随着隐私问题越来越被重视，最终必然将会促使所有的数据都要进行加密，这也会贯穿IT的一件大事。

　　存储和安全过去一直是相互独立的两块领地，存储部门的人员一直是坐观其安全部门的同事们处理防火墙、入侵监测、以及应对病毒和其他外部威胁。但目前这种状况已经改变，存储业的人都已经觉悟他们所具有的伟大职责——所存储数据的安全已经不再是别人的事情。

　　备份驱动加密的采用

　　到今天，我们看到存储人员的这种觉醒已经在各种报刊杂志的文章以及各种研讨会上充分显露，但是很遗憾在实际行动中却付诸很少，存储安全技术及程序的采用率仍然很低。

　　据ESG（Enterprise Strategy Group）估计，目前整个存储安全市场每年只有1亿美元左右的规模，因此他们预计接下来的几年中将是存储安全飞速发展的时期。特别是，备份市场正在驱动着加密技术的采用。

　　BECU在华盛顿Tukwila总部和肯特（Kent）的呼叫中心均采用了夜间备份方案，该备份使用了EMC公司的Legato Networker软件从BECU的SAN网络（主要由HP公司的硬件和Brocade公司的交换设备组成）中传输6TB的数据到HP ESL9000磁带库中。每天早晨，那些磁带都会被一个第三方存储提供商Iron Mountain 离线运送。而这一段开放旅程却被很多安全专家所警告。

　　来自一家存储咨询和服务公司GlassHouse的副总裁W. Curtis Preston说：“如果你是用UPS卡车来运送你的备份磁带，那赶快停止吧！如果你实在是必须要离线运送磁带，那一定要确保他们是被加密过的。”在离线运送以前，BECU就使用了Decru DataFort设备来对其所有备份数据进行加密。“你不能麻木地相信一个第三方厂商，因为你根本不知道他们会对你的磁带做什么工作，因此我们会自己做加密处理以确保我们的数据是安全的。”Chow说。

　　BECU以每台25000美元的价格购买了六台加密设备，总部的两个SAN上各有两台加密设备（冗余），肯特呼叫中心有一台，斯普肯（Spokane）的数据恢复中心也有一台。

　　为管理所有设备的加密钥匙，还需要配备一台许可证钥匙管理服务器。Chow表示他个人比较倾向于硬件加密，因为他不希望看到任何性能的牺牲，实际应用中他们也没有因为采用加密设备而带来额外的负担。

　　Chow目前心里还是很塌实，因为这些系统在审计和测试过程中表现都很满意，据他介绍，有人拿一个磁带出来试图取出其中文件，但输出一直是官样文本；同样，审计部门曾向IT部门挑战，试图快速解密这些设备，结果也是徒劳。

　　大多数的企业想采用加密技术时，往往是从备份操作开始着手做的。例如，美国佛罗里达州的一个公司Payformance 决定对所有数据进行加密。Payformance提供的软件允许公司打印激光检查结果（laser checks）、声明（statements）、合同（invoices）以及其他内部文件。“我们的财务服务以及卫生保健的客户都很关心其付款相关数据的安全和隐私，个人的健康信息必须全部严密保管。” Payformance的安全主管George Betancourt说。

　　Betancourt测试了Microsoft Windows Server 2003内建的加密文件系统，但是他对于基于软件的加密的性能并不是很满意。他指出，加密的耽搁，哪怕是少于一个小时，也是意味着必须让客户等待。因此他们最终决定使用NeoScale Systems公司的CryptoStor专用设备。

　　两台该设备组成容错模式，直接挂在该公司使用EMC CX500阵列、Dell磁带以及McDATA光纤交换机构建的2TB SAN存储架构中。“我们在加入该加密设备前后分别做了测试，发现并没有任何性能上的损失，因此这是一种最简单的加密所有数据的方法。” Betancourt说。

　　Payformance使用另一台CryptoStor设备为磁带加密，Symantec 公司的Veritas Backup Exec 10软件通过该设备将数据传送到Dell PowerVault 132T磁带库中，这些磁带被离线移动到别处存储。

　　到这里也许你会问：为什么不在磁带备份架构中同样使用容错加密呢？Betancourt回答是：“如果加密设备出现故障，我们可以短时间内停止磁带备份来将其修复，但是在SAN架构中的情况不同，我们不能有任何停机，那都是要付出代价的。”

　　主要的存储加密厂商，诸如Decru、NeoScale、Kasten Chase Applied Research以及Vormetric等，都提供加密专用设备产品。不过，Vormetric的工具与其他厂商有所不同，它实际上是软件加密，而用专用设备管理相关的密码钥匙。

　　计算机游戏中间件厂商Havok 在其Dublin和San Francisco的办公室使用了Vormetric的CoreGuard 安全系统。Havok 是有选择性地保护数据，他们只对游戏代码以及其他驻留在大量服务器和桌面系统中的关键数据进行保护。数据可以在空闲的时候被加密并传输。如果你在使用一台PC，当你访问某一个文件时，只要你有权限访问它，它通过网络传输到你的机器上时就会被解密，这样在你机器上显示的仍然是清晰的文本。

　　这种访问权限可以通过应用程序、用户或主机等来限定。在每一台受保护的机器上都可以装载软件，两个办公室公用一台设备。该系统也为Duff提供了防御病毒等威胁的附加层，当特洛伊（Trojan）等进来时，不会被安装运行，因为它没有得到允许运行的权限。