随着互联网的普及,企业除了需要解决数据安全传输的问题,还需要面对企业内部网络安全的挑战,特别是企业运营维护的核心―数据中心的安全保护问题。而实现对企业数据中心的安全保护,目前主要的方式是对存储在数据中心物理媒介中的敏感数据进行安全管理,即采用各种静态数据加密技术

静态数据加密涉及到物理存储介质包括硬盘和磁带,以及移动存储媒介譬如光盘、USB存储介质、存储卡等。企业海量数据存储和归档主要还是使用硬盘和磁带,因此静态数据加密主要围绕这两种存储介质展开。

实现静态数据加密的最大挑战在于密匙管理,网络安全传输过程中加密数据的存在往往只有几毫秒到几秒的时间,

但是存储系统中的加密数据需要保存的时间可以到几年甚至上百年,如果加密系统的实现方式不当,或者加密算法的强度不够,会导致攻击者有充裕的时间用于尝试不同的攻击手段,极大增加存储系统的风险。

国际电气电子工程师协会正积极筹划制定的IEEE 1619静态数据安全标准,就是针对磁盘存储系统缺乏统一标准,就是针对磁盘存储系统缺乏统一标准,各个厂家的产品无法互操作,密匙管理机制参差不齐,以及难以实现对企业海量数据长期安全存储的要求而提出的。下图就是基于IEEE 1619.3标准的磁盘加密系统结构图。

 硬件磁盘加密系统

从上图我们可以看出,在业务数据流之外,增加了认证数据流,用于对每一次加解密过程中的密匙进行统一管理。所有符合IEEE1619安全标准的存储安全设备,均可以通过这种统一的方式进行集中管理。

除了硬盘的安全,还可以通过引入独立的加密设备,对公司已有的磁带归档系统添加安全特性,Hifn公司的Sypher系列磁带加密机产品就属于这类。

磁带归档系统实现方式对比

上图左边是企业现有磁带归档系统的一般结构,右边是采用了Hifn公司Sypher 磁带加密机产品实现安全归档的部署结构,用于对企业的磁带归档系统添加安全加密功能。

Sypher磁带加密机产品对备份服务器提供千兆以太网接口,支持iSCSI协议,企业存储网络内的备份服务器和其他应用服务器可以直接访问到物理磁带,进行归档和恢复操作。业务数据流在经过磁带加密机设备时,磁带加密机依据用户设置的规则生成随机的机密密匙,使用Hifn公司专业的硬件加密技术,将数据流进行加密之后,将加密数据存储到物理磁带库或者是VTL(Virtual Tape Library: 虚拟磁带库)上,同时把加密数据所用的密匙存储于备份服务器上的共享位置。

在进行数据恢复时,只需要确保密匙处于磁带加密机可以访问的位置,加密数据流在经过磁带加密机时被自动解密,并将解密之后的数据发送到备份服务器,实现对加密磁带的恢复。

静态数据加密可以有效地防止信息泄漏,降低企业经营风险,提升企业信息安全水平,对于企业持续健康发展,将起到非常积极的推动作用。