數(shù)據(jù)加密又稱密碼學(xué)，它是一門歷史悠久的技術(shù)，指通過加密算法和加密密鑰將明文轉(zhuǎn)變?yōu)槊芪?，而解密則是通過解密算法和解密密鑰將密文恢復(fù)為明文。數(shù)據(jù)加密目前仍是計算機(jī)系統(tǒng)對信息進(jìn)行保護(hù)的一種最可靠的辦法。它利用密碼技術(shù)對信息進(jìn)行加密，實(shí)現(xiàn)信息隱蔽，從而起到保護(hù)信息的安全的作用。

數(shù)據(jù)中心安全體系

隨著數(shù)據(jù)中心安全體系結(jié)構(gòu)格局發(fā)生變化，數(shù)據(jù)中心安全體系結(jié)構(gòu)上逐漸演變的更為平穩(wěn)，我們希望能看到應(yīng)用工具(無論是主動的還是被動的)與專用服務(wù)子網(wǎng)絡(luò)結(jié)合在一起。由于服務(wù)器的虛擬化和整合，數(shù)據(jù)中心安全體系結(jié)構(gòu)開始進(jìn)行改變。

顯然，對硬盤驅(qū)動器和磁帶進(jìn)行加密是保護(hù)數(shù)據(jù)的關(guān)鍵。那么為什么企業(yè)機(jī)構(gòu)并不急于這么做呢?管理密鑰的復(fù)雜性是阻礙加密技術(shù)普及的最主要因素。畢竟，加密的方法有很多種，但是對密鑰的管理要么成功要么失敗。而且失敗極有可能是幾年之后才會發(fā)生的，這時候存在的漏洞已經(jīng)很深了。一些信息必須保存數(shù)十年之久，而要成功保存密鑰10年或者20年的確是一個嚴(yán)峻的挑戰(zhàn)。

所幸的是，現(xiàn)在那些降低丟失密鑰幾率的密鑰管理技術(shù)不斷升級，越來越多確保備份流程每個步驟加密數(shù)據(jù)的新技術(shù)選擇也層出不窮。大多數(shù)廠商都意識到了這個問題，并且積極致力于解決它。例如，RSA的KeyManagementSuite能夠兼容RSA合作伙伴的加密產(chǎn)品，為IT用戶提供一個管理所有密鑰的統(tǒng)一平臺。

加密廠商也開始將密鑰管理技術(shù)集成到他們的產(chǎn)品中，或者將其作為一項(xiàng)選配功能提供給那些并不急于應(yīng)用這項(xiàng)技術(shù)的用戶。

數(shù)據(jù)中心加密方法

以下是目前市面上比較流行的幾種存儲加密方法：

1、文件級加密

文件級加密可以在主機(jī)上實(shí)現(xiàn)，也可以在網(wǎng)絡(luò)附加存儲NAS這一層以嵌入式實(shí)現(xiàn)。對于某些應(yīng)用來講，這種加密方法也會引起性能問題;在執(zhí)行數(shù)據(jù)備份操作時，會帶來某些局限性，對數(shù)據(jù)庫進(jìn)行備份時更是如此。特別是，文件級加密會導(dǎo)致密鑰管理相當(dāng)困難，從而添加了另外一層管理：需要根據(jù)文件級目錄位置來識別相關(guān)密鑰，并進(jìn)行關(guān)聯(lián)。

在文件層進(jìn)行加密也有其不足的一面，因?yàn)槠髽I(yè)所加密的數(shù)據(jù)仍然比企業(yè)可能需要使用的數(shù)據(jù)要多得多。如果企業(yè)關(guān)心的是無結(jié)構(gòu)數(shù)據(jù)，如法律文檔、工程文檔、報告文件或其他不屬于組織嚴(yán)密的應(yīng)用數(shù)據(jù)庫中的文件，那么文件層加密是一種理想的方法。如果數(shù)據(jù)在文件層被加密，當(dāng)其寫回存儲介質(zhì)時，寫入的數(shù)據(jù)都是經(jīng)過加密的。任何獲得存儲介質(zhì)訪問權(quán)的人都不可能找到有用的信息。對這些數(shù)據(jù)進(jìn)行解密的唯一方法就是使用文件層的加密/解密機(jī)制。

2、數(shù)據(jù)庫級加密

當(dāng)數(shù)據(jù)存儲在數(shù)據(jù)庫里面時，數(shù)據(jù)庫級加密就能實(shí)現(xiàn)對數(shù)據(jù)字段進(jìn)行加密。這種部署機(jī)制又叫列級加密，因?yàn)樗窃跀?shù)據(jù)庫表中的列這一級來進(jìn)行加密的。對于敏感數(shù)據(jù)全部放在數(shù)據(jù)庫中一列或者可能兩列的公司而言，數(shù)據(jù)庫級加密比較經(jīng)濟(jì)。不過，因?yàn)榧用芎徒饷芤话阌绍浖皇怯布韴?zhí)行，所以這個過程會導(dǎo)致整個系統(tǒng)的性能出現(xiàn)讓人無法承受的下降。

由于數(shù)據(jù)庫中數(shù)據(jù)的結(jié)構(gòu)和組織都非常明確，因此對特定數(shù)據(jù)條目進(jìn)行控制也就更加容易。用戶可以對一個具體的列進(jìn)行加密，如國家識別符列或工資列，而且每個列都會有自己的密鑰。根據(jù)數(shù)據(jù)庫用戶的不同，企業(yè)可以有效地控制其密鑰，因而能夠控制誰有權(quán)對該數(shù)據(jù)條目進(jìn)行解密。通過這種方式，企業(yè)只需要對關(guān)鍵數(shù)據(jù)進(jìn)行加密即可。

這種加密方法所面臨的挑戰(zhàn)是，用戶希望加密的許多數(shù)據(jù)條目在應(yīng)用查詢中可能也具備同樣的值。因此系統(tǒng)設(shè)計師應(yīng)當(dāng)確保加密數(shù)據(jù)不參加查詢，防止加密對數(shù)據(jù)庫的性能造成負(fù)面影響。例如，如果賬戶編號已經(jīng)加密，而用戶希望查找一系列的編號，那么應(yīng)用就必須讀取整個表，解密并對其中的值進(jìn)行對比。如果不使用數(shù)據(jù)庫索引，這種原本只需要三秒鐘就可執(zhí)行完畢的任務(wù)可能會變成一個三小時的漫長查詢。但這種方法也有積極的方面，數(shù)據(jù)庫廠商已經(jīng)在其新版產(chǎn)品中加入了一些服務(wù)，能夠幫助企業(yè)解決這一問題。

3、介質(zhì)級加密

介質(zhì)級加密是一種新出現(xiàn)的方法，它涉及對存儲設(shè)備包括硬盤和磁帶上的靜態(tài)數(shù)據(jù)進(jìn)行加密。雖然介質(zhì)級加密為用戶和應(yīng)用提供了很高的透明度，但提供的保護(hù)作用非常有限：數(shù)據(jù)在傳輸過程中沒有經(jīng)過加密。只有到達(dá)了存儲設(shè)備，數(shù)據(jù)才進(jìn)行加密，所以介質(zhì)級加密只能防范有人竊取物理存儲介質(zhì)。另外，要是在異構(gòu)環(huán)境使用這項(xiàng)技術(shù)，可能需要使用多個密鑰管理應(yīng)用軟件，這就增加了密鑰管理過程的復(fù)雜性，從而加大了數(shù)據(jù)恢復(fù)面臨的風(fēng)險。

4、嵌入式加密設(shè)備

嵌入式加密設(shè)備放在存儲區(qū)域網(wǎng)SAN中，介于存儲設(shè)備和請求加密數(shù)據(jù)的服務(wù)器之間。這種專用設(shè)備可以對通過上述這些設(shè)備、一路傳送到存儲設(shè)備的數(shù)據(jù)進(jìn)行加密，可以保護(hù)靜態(tài)數(shù)據(jù)，然后對返回到應(yīng)用的數(shù)據(jù)進(jìn)行解密。

嵌入式加密設(shè)備很容易安裝成點(diǎn)對點(diǎn)解決方案，但擴(kuò)展起來難度大，或者成本高。如果部署在端口數(shù)量多的企業(yè)環(huán)境，或者多個站點(diǎn)需要加以保護(hù)，就會出現(xiàn)問題。這種情況下，跨分布式存儲環(huán)境安裝成批硬件設(shè)備所需的成本會高得驚人。此外，每個設(shè)備必須單獨(dú)或者分成小批進(jìn)行配置及管理，這給管理添加了沉重負(fù)擔(dān)。

5、應(yīng)用加密

最后一種方法可能也是最安全的方法。將加密技術(shù)集成在商業(yè)應(yīng)用中是加密級別的最高境界，也是最接近“端對端”加密解決方案的方法。在這一層，企業(yè)能夠明確地知道誰是用戶，以及這些用戶的典型訪問范圍。企業(yè)可以將密鑰的訪問控制與應(yīng)用本身緊密地集成在一起。這樣就可以確保只有特定的用戶能夠通過特定的應(yīng)用訪問數(shù)據(jù)，從而獲得關(guān)鍵數(shù)據(jù)的訪問權(quán)。任何試圖在該點(diǎn)下游訪問數(shù)據(jù)的人都無法達(dá)到自己的目的。

在這一層，集成加密技術(shù)確實(shí)有助于避免數(shù)據(jù)庫層的性能受到影響，因?yàn)橛脩艨梢愿淖儾樵兊念愋汀Ｈ欢?，雖然這種方法是最安全的，但許多數(shù)據(jù)條目需要通過被多種不同的應(yīng)用訪問，企業(yè)對這種應(yīng)用，甚至不同用戶群的變化要進(jìn)行及時的管理。事實(shí)上，如果企業(yè)使用廠商提供的打包應(yīng)用，它們很可能根本無法實(shí)施這一層的解決方案，因?yàn)槠髽I(yè)不可能獲得這些應(yīng)用的源代碼。

數(shù)據(jù)加密形式

每一個提供數(shù)據(jù)中心產(chǎn)品服務(wù)的供應(yīng)商似乎都是提供他們自己的數(shù)據(jù)加密形式。信息技術(shù)對于終端到終端的安全傳輸模式控制需要做些什么呢？

數(shù)據(jù)加密對于信息技術(shù)來說是一個正在關(guān)切的問題，目前獲得這么多關(guān)注的原因之一是在信息生命周期中的某個時候，作為云服務(wù)供應(yīng)商所提供的產(chǎn)品在移動數(shù)據(jù)的過程中會脫離內(nèi)部IT部門的控制。這個問題不僅僅是對于云技術(shù)的，而且從一開始就要知道你的數(shù)據(jù)在哪里，并確保它處于安全狀態(tài)下。

如果我必須找到一個用于保護(hù)數(shù)據(jù)的技術(shù)，目前似乎這個問題對于供應(yīng)商來說最受關(guān)注，該技術(shù)應(yīng)該是實(shí)時加密的某種形式。這個想法似乎借鑒了該技術(shù)的透明數(shù)據(jù)加密特性，它在數(shù)據(jù)處理過程中被建立，但有一個附加的層，對于該數(shù)據(jù)的用戶來說這是非常不易察覺到的，這增加了數(shù)據(jù)加密的安全性。

數(shù)據(jù)保護(hù)正出現(xiàn)各種不同的形式，從云技術(shù)的應(yīng)用軟件數(shù)據(jù)加密/解密到傳輸客戶數(shù)據(jù)，從云技術(shù)服務(wù)到在英特爾的Xeon5600處理器低端硬件中使用此技術(shù)，英特爾的Xeon5600處理器采用英特爾的AES-NI(高級加密標(biāo)準(zhǔn)新指令)借助CPU的特性進(jìn)行專門的加密處理。

另外，還有一系列的專用產(chǎn)品針對你的網(wǎng)絡(luò)和通信加密，信息技術(shù)決定了這一安全層的特性。這些產(chǎn)品參與到網(wǎng)絡(luò)及其之間的連接，使之可以連接到外面的世界，并且控制通過他們所傳遞的數(shù)據(jù)的安全。

現(xiàn)在的問題變成了“什么樣的安全模式是最適合你的數(shù)據(jù)中心？”如果每一個服務(wù)供應(yīng)商提供他們自己的加密模式，如果這些應(yīng)用軟件使用他們自己的加密進(jìn)行處理，以及迫于企業(yè)內(nèi)部的壓力，堅(jiān)持要使用加密功能，你怎么做才能使他們一起工作？這是目前我需要尋找答案的問題。