IT近二十年高速发展使得数据的重要性越来越得以接受,并通过各类技术实现数据的高速访问和不间断运行,这点可以从市场上已有的各类数据容灾、备份产品中看出,其中不乏一线存储和专业厂商的旗舰级产品。而在数据安全领域,虽然相关讨论不绝于耳,但相应市场和应用状况较数据可用性产品仍明显地迟缓。
数据加密产品有其应用领域的特殊性,许多行业出于安全性的考虑会有一些相应的产品属性限制,比如限制产品所应用的技术专利或加密算法应当归属在本国国内或通过相应认证。这在一定程度上影响了数据安全类技术的通用性和规模市场效应。不过也正因此,随着国内外日益增多的安全事件,数据加密产品正处于百花齐放的发展阶段。
部署或应用数据安全策略时,一般的加密技术以及其优劣分析如下所示:
1、磁盘/磁带级加密,或称介质级加密。
这类加密方式在存储阵列上实现,一般通过在控制器或磁盘柜的数据控制器上实现静态的数据加密算法。其旨在保护存储在硬件介质上的数据不会因为物理盗取而泄露数据,但是在阵列或磁带以外,所有的数据均以明文处理、传输和存储。因此介质级加密方式一般只是作为一种附加的安全策略,并为一些特殊应用,比如通过物理磁盘/磁带运输实现数据备份,提供数据安全性保障。
2、嵌入式加密。
这种加密产品部署在存储阵列和交换机设备之间,通过专用产品进行加解密算法。虽然提升了性能,但其加密范围仍然只限于介质级别,在应用端仍以明文方式存取数据,因此很多地方也将这种方式视为另一种形式的介质加密。
以上两种方式的应用较为有限,毕竟对于想要盗取数据的一方,采用物理手段进入机房,偷取存储媒介再读取数据的场景只会出现在电影场景之中。
3、文档安全系统,或称文件级加密,即属于文件级别的DLP(数据泄露防护Data leakage prevention)。
这种针对非结构化的数据保护方式一般在网络附加存储NAS这一层嵌入实现,由于加密算法在NAS机头内实现,这种实现方式所带来的最大问题在于其对于性能的影响。并且许多产品提供诸如终端数据不留痕,将大量的应用数据并发放在后台。因此文件级加密方案大多支持横向扩展方式,以针对大用户或大文件的应用提供高吞吐量支持。
4、数据库加密,又称安全存储网关。
和文件级加密类似,数据库加密针对结构化数据实现加密保护,部署在数据库前端。由于数据库操作中涉及到大量查询修改语句,因此数据库加密会对整个数据库系统造成重大影响。
5、主机应用加密
这类产品部署在主机端,目前大多整合在备份产品之中,作为其中的一项功能件实现数据备份的安全策略。主机应用的加密负载由主机自身承担,对网络及后台存储的影响较小,但主机在面对海量数据的加密处理时性能会比较吃紧。
数据加密只是企业信息安全的一部分,针对数据生命周期在企业内部这一过程中的安全存取。在考虑部署数据加密技术时,应当综合考虑企业现有IT规模和数据保障目标。对于不同类型的数据采用不同的数据加密策略。例如对于机要文档的存取可以通过物理隔离的文档安全系统,而对于机密结构化信息的存放需要分配单独的数据库系统。
信息安全永远是一个策略在先的系统化工程,IT只是用以实现这一系统化工程的工具。在规划信息安全策略中需要对各类信息进行归档,分类,并制定不同的保护策略。当然,还可以参考目前国内的分级保护、等级保护等法律法规及行业标准规范。