張　磊

企業(yè)的數(shù)據(jù)管理需求正日益增長。因此在數(shù)據(jù)存儲領(lǐng)域,保證關(guān)鍵信息的安全是首先要考慮的問題。最早的存儲加密方式有兩種:一種是硬件加密,另一種是在備份軟件中內(nèi)嵌加密功能。目前,用戶正逐漸將加密操作從備份軟件產(chǎn)品中剝離出來,因為硬件加密產(chǎn)品有更好的性能表現(xiàn),而且操作更簡單。

終端加密產(chǎn)品

1.磁盤驅(qū)動器加密

富士通全盤加密技術(shù) 富士通公司的全盤加密(Full-Disk Encryption,FDE)是一種基于硬件的且不依賴操作系統(tǒng)進行密鑰安全管理和訪問驗證的技術(shù)。富士通公司宣稱,FDE驅(qū)動器在執(zhí)行加密任務(wù)時對系統(tǒng)性能沒有影響。該產(chǎn)品是富士通與Wave Syetems公司合作的產(chǎn)物。

希捷安全技術(shù)(Seagate Secure Technology) Seagate Secure磁盤驅(qū)動器使用一個封裝在驅(qū)動器內(nèi)的芯片來加密數(shù)據(jù)。Seagate Secure磁盤驅(qū)動器可與工作站相匹配,并可在驅(qū)動器上設(shè)置不可見的安全分區(qū)。通過使用McAfee公司的ePolicy Orchestrator安全管理軟件,用戶可以在公司總部對Seagate Secure磁盤驅(qū)動器進行遠程管理,并為打開這些加密驅(qū)動器的操作提供認證功能,同時支持生物識別技術(shù)和安全令牌。戴爾公司在其Latitude系列筆記本電腦、Precision系列移動工作站和OptiPlex系列臺式機中采用了希捷的Momentus桌面級自加密驅(qū)動器。

2.磁帶驅(qū)動器加密

在不斷萎縮的高端專用磁帶市場上,IBM和Sun是碩果僅存的兩個廠商。幾年前,它們就開始在高容量、高性能、自我加密的磁帶驅(qū)動器上展開較量。

IBM在其磁帶驅(qū)動器中內(nèi)置了一個加密許可,并收取費用?；萜疹A(yù)計在2009年推出內(nèi)置加密功能的DAT 320驅(qū)動器。戴爾、惠普、IBM、Overland Storage、昆騰、Spectra Logic和騰保數(shù)據(jù)等公司仍在LTO(線性磁帶開放協(xié)議)磁帶驅(qū)動器方面進行投資。

LTO已經(jīng)成為企業(yè)存儲市場上的磁帶技術(shù)標準。DLT等磁帶技術(shù)正逐漸被替代。LTO-4磁帶中引入了固化在驅(qū)動器硬件中的AES-256加密功能。當所有的磁帶驅(qū)動器都可以執(zhí)行加密功能時,系統(tǒng)必須擁有獨立的密鑰管理程序。

基于SAN/網(wǎng)絡(luò)的加密產(chǎn)品

1.基于交換機的加密

博科(Brocade)公司的加密交換機是一個32端口、8Gb/s的光纖通道交換機。FS8-18加密刀片是一個16端口的刀片,可以插入博科的DCX骨干網(wǎng)交換機。博科宣稱,其交換機和刀片都可以擴展到96Gb/s的加密處理能力。NetApp公司也轉(zhuǎn)售博科公司的加密交換機。

CipherMax公司推出了CM100系列1U光纖通道交換機。CipherMax宣稱,該交換機可支持4個全帶寬磁盤陣列目標端口和上百個加密流。CipherMax的所有交換機都配備了SANCruiser光纖管理軟件和KeyCruiser密鑰管理軟件。KeyCruiser密鑰管理軟件為系統(tǒng)中的所有設(shè)備創(chuàng)建了一個中心密鑰存儲庫,可對密鑰進行備份和離線歸檔。Cisco的用戶可以通過如下方式在SAN導(dǎo)向器或交換機上增加加密功能:在MDS9500及MDS9200系列機架上增加刀片,或者為MDS9200增加交換機模塊。MDS9500具有自動負載平衡和集群刀片的功能。為導(dǎo)向器增加加密功能不需要對SAN進行重新布線。交換機可對磁盤陣列和以磁盤為基礎(chǔ)的備份產(chǎn)品,如虛擬磁帶庫(VTL)實行在線加密。

2.基于磁盤陣列的加密

SAN硬件廠商希望在數(shù)據(jù)安全領(lǐng)域分一杯羹。能夠提供企業(yè)級磁盤陣列加密功能的廠商包括EMC、富士通、HDS、IBM、LSI等。

3.基于網(wǎng)絡(luò)的加密

被Exar收購之前,Hifn公司就已經(jīng)開發(fā)出一系列芯片板,具有重復(fù)數(shù)據(jù)刪除、壓縮和加密處理功能,目的是消除伴隨軟件加密方式產(chǎn)生的性能問題。Hifn的Express DR 250/255比1600系列卡的速度慢。Hifn宣稱,1600系列卡的性能可達1800 MB/s。Hifn希望通過存儲硬件OEM的方式銷售這些卡。Hifn還為Windows系統(tǒng)提供BitWackr主存儲重復(fù)數(shù)據(jù)刪除軟件。BitWackr軟件可與Hifn的DR卡集成在一起。

4.密鑰管理產(chǎn)品

加密是用長字符串對數(shù)據(jù)進行編碼,因此解密時必須有匹配的密鑰。密鑰管理是一個存儲、保護、備份和跟蹤密鑰軌跡的過程。沒有密鑰,加密的數(shù)據(jù)就會因無法訪問而成為垃圾信息。密鑰管理是一個非常復(fù)雜的過程。目前,密鑰管理產(chǎn)品可以簡單劃分成兩大類:硬件設(shè)備和純軟件。美國科羅拉多州Evaluator集團公司負責(zé)管理合作伙伴的Russ Fellows表示:“一般情況下,我更喜歡使用硬件加密設(shè)備。雖然軟件可以進行多種配置和調(diào)優(yōu),但是軟件的設(shè)置不像硬件設(shè)備那樣簡單。目前,妨礙密鑰管理發(fā)展的最大障礙是缺乏一個業(yè)界統(tǒng)一的標準,不同的密鑰管理產(chǎn)品的互操作性較差?！?/p>