加密技术主要应用在少量数据的加密上,比如单个文件系统或者存放个人信息的数据库。如果你考虑在数据通过一个不安全的网络之前对其进行加密,那么源加密也比较合适。
数据可能发生丢失之前,所有的这三个方法都会对它进行加密。然而,每种方法都会对系统的可用性和成本造成不同的影响,这些都需要考虑。比如,有的方法会引起备份速度慢40%有的方法会100%降低磁带库的存贮容量,有的方法会对可用性产生很大的影响导致不可行,需要权衡这些特点。
1.源加密
源加密系统是对数据的源头进行加密。一个文件系统或者一个数据库对存储在里面的数据进行加密。如果数据存储时加密了备份的时候也相应的加密了这样不会违反各种泄漏通知法律要求;如果带有个人信息的磁带丢失了也不用告知你客户。如果你担心存在泄密的内部人员,那么这种加密方式是个不错的选择。源加密系统有一些*端。
首先,通常会影响还没完成的文件系统或者数据库的性能。每个文件或者数据库记录必须在写入的时候加密,读取的时候解密,但这样会严重影响性能。
另外一个挑战是密钥管理,因为每个文件系统或者数据库类型通常都有自己的加密系统和一套密钥管理规定。由于密钥管理在存储静态数据时是要优先考虑的因素,所以这是个大问题。如果你有几种数据类型需要加密,这可能会成为一个很大的障碍。管理一个密钥系统已经够有挑战性了管理几个密钥系统将更为艰难。
源头加密数据抹掉了所有备份系统的压缩功能,因为加密的数据不能被压缩。这在Unix, windows和MacOS备份环境中将导致百分之二十五到百分之五十的容量损失和性能损失。
因此,源加密技术主要应用在少量数据的加密上,比如单个文件系统或者存放个人信息的数据库。如果你考虑在数据通过一个不安全的网络之前对其进行加密,那么源加密也比较合适。
2.备份软件加密
对于备份软件加密,备份应用程序会在数据存储在磁带上的时候对其进行加密。大多数备份软件产品都有加密选项,近几个月内,一些供应商已经加强了这些功能。
虽然,这解决了采用单个密钥管理系统的源加密方式很难处理的多个密钥问题,但很多备份软件应用程序采用的密钥管理系统都还比较陈旧。少数几个供应商已经更新了密钥管理技术,有些还已经跟其他公司进行了合作。然而,大多数供应商还停留在80年代的技术水平上,采用的系统很容易被击溃。
备份软件加密也会影响备份性能,因为用软件进行加密非常慢。尽管越来越快的CPU和更有效的指令能够缓解这种情况,但是软件加密可能还是会因为速度的原因而失去竞争力。像源加密一样,备份软件加密也会抹掉大多数备份系统的压缩功能,除非用户用客户端软件压缩,但是这样会让备份更加缓慢。
因此,像源加密一样,备份软件加密也主要用在加密少量数据上。比如,如果你有一个用于存储个人信息的数据库,可以只加密这个数据库的备份。然而,对所有存储个人信息的数据库和文件系统进行区分可能会非常困难。如果你不确定自己能辨认所有的这些数据库,必须对所有的备份都进行加密,从而确保如果你只丢失其中一个磁带可以不必告知所有的用户。如果真是那样的话,这个选择可能是不可行的因为它对系统性能和容量的影响很大。然而,对处在不安全网络之间的备份系统来说,备份软件加密还是比较合适的
3.硬件加密
硬件设备加密是相对较新的选择,增加了人们对于加密技术的兴趣。硬件设备是物理链路之间对数据进行加密。因为加密是用硬件进行的其速度可以很快,而且不会让备份变得缓慢。此外,加密设备被设计成先对数据进行磁带压缩,然后再加密。
这些硬件加密系统通常有非常好的密钥管理系统,不会被某个怀有恶意的雇员所破坏。比如,通常会把用于加密数据的密钥跟用于系统与人员的鉴别、授权的密钥分别开来。还提供了保证密钥永不丢失的功能,比如复制和密钥跳跃这些系统很先进,因为它都是近五年内开发出来的充分吸取了数据安全领域几十年的经验教训。
批可用的加密设备是拥有几个输入和输出端口的单一用途设备。截至去年年底,这些系统拥有了绝大部分备份加密的市场份额。同时,加密功能现在可以放在磁带库、智能开关内部和磁带驱动器的内部。这会导致这样一个问题:硬件加密到底应该在哪里进行呢?只要硬件系统具有压缩、加密功能,并有一个很强的密钥管理系统,那么这个问题其实不是很重要。
对任何大量数据进行加密,硬件加密方式都是可行的优秀选择。用户能压缩他备份数据又不会导致任何性能和容量上的损失;只需要购买足够的设备用以处理他备份带宽需求。硬件加密一的缺点是成本高,这些设备起码需要支付2万美元。然而,这个成本比起数据泄漏引起的损失来说只不过是小巫见大巫。