在中小企业数据保护系列第一篇里，我们介绍了中小企业该如何制定企业的数据保护策略，以及数据保护的几种方法。（详细内容请见“中小企业数据保护系列之一——策略”）。本篇我们将围绕数据安全的实现方法，结合实际的例子，从安全的角度来谈数据保护。

　　为数据加密

    　日常工作生活中，一些公司企业对于客户数据管理不善而出现重大问题的事件并不少见，其中也不乏把保存有数百万客户数据的备份磁带丢失的情形，相信不论大公司小公司都不愿意看到这样的情形。

    　“对我们的企业来说，丢失备份磁带是非常具有危害的，所以，一旦你发生这样的事情，那等待你的就是你的名字会由于泄露客户数据而被公布。”BECU（Boeing Employees’ Credit Union，波音员工信用合作社）的系统及安全管理员Daniel Chow说。为了将磁带丢失以后所暴露数据的可能性降到最小，BECU已经采用了Decru公司（该公司最近已经被Network Appliance收购）的加密技术。

    　之所以这样做也是很容易被理解的：不管你已经采用在系统上采用了多少安全措施，但试图完全阻止数据丢失的愿望总是不能实现，那么给数据加密就是比较聪明的策略，这样万一这些数据落入别人手中也没有办法读取。

    　但是，随之而来的问题是，加密到底应该在什么地方来实施呢？它可以放置在应用软件中，也可以放置在数据库之中，或者还可以通过软件加密的方式放在文件系统层。不过，基于软件的加密如果操作不正确会给企业添加高昂的负担。另外，目前还有一些可以插入系统的专用工具设备甚至硬盘，用它们加密数据就如同在磁盘上写一样。大多数的商业用户好像都是更喜欢这种传统设备的方法，因为这样的方法不仅方便，而且性能很不错，它是即插即用方式来遵从法规需求。

    　来自ESG（Enterprise Strategy Group）的分析师Steve Duplessie说：“存储安全问题最终必将被重视，但目前这种关注度还远不够。随着隐私问题越来越被重视，最终必然将会促使所有的数据都要进行加密，这也会贯穿IT的一件大事。

    　存储和安全过去一直是相互独立的两块领地，存储部门的人员一直是坐观其安全部门的同事们处理防火墙、入侵监测、以及应对病毒和其他外部威胁。但目前这种状况已经改变，存储业的人都已经觉悟他们所具有的伟大职责——所存储数据的安全已经不再是别人的事情。

　　备份驱动加密的采用

    　到今天，我们看到存储人员的这种觉醒已经在各种报刊杂志的文章以及各种研讨会上充分显露，但是很遗憾在实际行动中却付诸很少，存储安全技术及程序的采用率仍然很低。

    　据ESG（Enterprise Strategy Group）估计，目前整个存储安全市场每年只有1亿美元左右的规模，因此他们预计接下来的几年中将是存储安全飞速发展的时期。特别是，备份市场正在驱动着加密技术的采用。

    　BECU在华盛顿Tukwila总部和肯特（Kent）的呼叫中心均采用了夜间备份方案，该备份使用了EMC公司的Legato Networker软件从BECU的SAN网络（主要由HP公司的硬件和Brocade公司的交换设备组成）中传输6TB的数据到HP ESL9000磁带库中。每天早晨，那些磁带都会被一个第三方存储提供商Iron Mountain 离线运送。而这一段开放旅程却被很多安全专家所警告。

   　 来自一家存储咨询和服务公司GlassHouse的副总裁W. Curtis Preston说：“如果你是用UPS卡车来运送你的备份磁带，那赶快停止吧！如果你实在是必须要离线运送磁带，那一定要确保他们是被加密过的。”在离线运送以前，BECU就使用了Decru DataFort设备来对其所有备份数据进行加密。“你不能麻木地相信一个第三方厂商，因为你根本不知道他们会对你的磁带做什么工作，因此我们会自己做加密处理以确保我们的数据是安全的。”Chow说。

    　BECU以每台25000美元的价格购买了六台加密设备，总部的两个SAN上各有两台加密设备（冗余），肯特呼叫中心有一台，斯普肯（Spokane）的数据恢复中心也有一台。

    　为管理所有设备的加密钥匙，还需要配备一台许可证钥匙管理服务器。Chow表示他个人比较倾向于硬件加密，因为他不希望看到任何性能的牺牲，实际应用中他们也没有因为采用加密设备而带来额外的负担。
 
    　Chow目前心里还是很塌实，因为这些系统在审计和测试过程中表现都很满意，据他介绍，有人拿一个磁带出来试图取出其中文件，但输出一直是官样文本；同样，审计部门曾向IT部门挑战，试图快速解密这些设备，结果也是徒劳。

    　大多数的企业想采用加密技术时，往往是从备份操作开始着手做的。例如，美国佛罗里达州的一个公司Payformance 决定对所有数据进行加密。Payformance提供的软件允许公司打印激光检查结果（laser checks）、声明（statements）、合同（invoices）以及其他内部文件。“我们的财务服务以及卫生保健的客户都很关心其付款相关数据的安全和隐私，个人的健康信息必须全部严密保管。” Payformance的安全主管George Betancourt说。