企業(yè)時常丟失含有客戶敏感信息的備份磁帶，這絕對是一個安全界的災難。這個問題困擾著每一個行業(yè)，包括已經意識到安全問題的金融服務行業(yè)。

去年，New York Mellon銀行稱第三方郵遞企業(yè)兩次丟失了沒有加密的備份存儲磁帶，可能暴露了大約450萬人的信息。幾乎在同一時間，位于波士頓的State Street公司表示，一個做產品數(shù)據(jù)分析的承包人丟失了一個硬盤驅動器，其中包含了5500個雇員的私人信息和4萬名用戶的帳號信息。數(shù)據(jù)最初是加密的，但是承包人解密了信息并把信息存在計算機設備上，結果讓人從設備上偷走了。

在New York Mellon銀行，數(shù)據(jù)泄漏事故迫使公司改進了它的安全措施，要求機密數(shù)據(jù)必須寫在磁帶或者CD上進行加密運輸?shù)?，或者在進行運輸時實行嚴格的控制。

存儲加密非常關鍵，它能避免數(shù)據(jù)泄漏出現(xiàn)嚴重的后果，這些后果包括告知客戶數(shù)據(jù)泄漏帶來的直接損失和品牌受損的間接損失。不管你的供應商跟你說過什么，所有未加密的備份磁帶都能被那些惡意的罪犯讀取出來。一些供應商會說他們的備份格式是公司自己的格式，沒有他們的數(shù)據(jù)庫和軟件就不能解讀備份數(shù)據(jù)等等，請不要聽信這樣的言論。備份格式跟法律（比如加利福尼亞州的SB 1386）沒有關系，但是如果你失去了對未加密私人信息的控制，你必須告知受到影響的客戶。如果數(shù)據(jù)加密了，大多數(shù)州立數(shù)據(jù)泄漏法律則不要求你必須告知客戶。

對那些要運出公司物理位置的磁帶進行加密是一個明確的商業(yè)選擇。當磁帶丟失時，保護備份數(shù)據(jù)能為你的企業(yè)節(jié)省幾百萬美元，還能保證品牌受到的損失最小。

存儲加密的風險

當你考慮對備份磁帶加密的時候，你也要考慮存儲加密的風險。這些風險跟運行中的數(shù)據(jù)加密的風險有很大不同。如果你運行加密數(shù)據(jù)的時候出現(xiàn)了問題，你會立刻知道并進行修復。比如，如果一個應用程序通過一個加密的通道發(fā)送數(shù)據(jù)，一旦加密發(fā)生了什么事，應用程序也會崩潰。分析其根本原因則會知道起因是加密失敗。

然而，如果存放起來的加密數(shù)據(jù)出現(xiàn)了問題，你可能好幾個星期、好幾個月甚至好幾年都不知道，當?shù)搅俗詈笾赖臅r候可能已經太晚了。這是因為你只有在驗證或者重新存儲磁帶的時候才會讀取磁帶。因此，除了你完成寫入磁帶過程后對磁帶進行驗證那一次，進行重新存儲是你唯一測試加密系統(tǒng)的機會，而此時會出現(xiàn)最糟情況是你發(fā)現(xiàn)加密系統(tǒng)癱瘓了。

對備份磁帶進行加密最大的風險是你把數(shù)據(jù)弄的太安全了，以至于連你自己都無法讀取了。如果你丟失了密鑰，或者程序損壞了，那么最后你所面對的只是一些不能讀取的磁帶，其他什么事情你都不能做。不幸的是，到你確實需要讀取磁帶的時候，你才可能意識到這個問題早已發(fā)生了。

這就是為什么密鑰管理如此重要的原因。任何時候你想讀取加密數(shù)據(jù)都需要密鑰，比如進行再次存儲的時候。另外，如果密鑰被錯誤的人得到，可能會讓你的加密系統(tǒng)失去作用。

因此，保管好用來加密數(shù)據(jù)的密鑰是極為重要的。建立一個密鑰數(shù)據(jù)庫很關鍵，因為它可以記錄密鑰用在什么上、哪一天加密了什么數(shù)據(jù)等。當你改變密鑰的任何時候，也必須相應地更新數(shù)據(jù)庫。你必須對密鑰數(shù)據(jù)庫的訪問進行控制和監(jiān)視，以防止那些未經授權的訪問。

盡管已經有了運行數(shù)據(jù)加密技術的密鑰管理系統(tǒng)，但在單一系統(tǒng)上它們并不支持多個密鑰，也不支持磁帶驅動在不同時期擁有多個密鑰。因此，為加密存儲數(shù)據(jù)而設計的密鑰管理系統(tǒng)往往是很不成熟的。

另外一個對備份磁帶進行加密的風險是，沒有取得安全性和可用性的平衡。這個問題是安全領域的難題。如果你把一個系統(tǒng)弄的很安全，它會變得不可用或者管理起來很困難；如果易于管理，它又往往不是很安全。在這上面的目標就是要尋找一個平衡點：既讓系統(tǒng)變得盡量安全，又不會顯著的增加管理成本或改變用戶體驗。

有三種加密備份數(shù)據(jù)的基本方法：

·源加密（Source encryption）

·備份軟件加密

·內置（In-line）硬件加密

在數(shù)據(jù)可能發(fā)生丟失之前，所有的這三個方法都會對它進行加密。然而，每種方法都會對系統(tǒng)的可用性和成本造成不同的影響，這些都需要考慮。比如，有的方法會引起備份速度慢40%，有的方法會100%的降低磁帶庫的存貯容量，有的方法會對可用性產生很大的影響導致不可行，我們需要權衡這些特點。

源加密

源加密系統(tǒng)是對數(shù)據(jù)的源頭進行加密。一個文件系統(tǒng)（比如Windows加密文件系統(tǒng)）或者一個數(shù)據(jù)庫對存儲在里面的數(shù)據(jù)進行加密。如果數(shù)據(jù)存儲時加密了，備份的時候也相應的加密了，這樣不會違反各種泄漏通知法律（breach notification laws）的要求；如果帶有個人信息的磁帶丟失了，你也不用告知你的客戶。如果你擔心存在泄密的內部人員，那么這種加密方式是個不錯的選擇。

源加密系統(tǒng)有若干弊端。首先，他們通常會影響還沒完成的文件系統(tǒng)或者數(shù)據(jù)庫的性能。每個文件或者數(shù)據(jù)庫記錄必須在寫入的時候加密，在讀取的時候解密，但這樣會嚴重影響性能。

另外一個挑戰(zhàn)是密鑰管理，因為每個文件系統(tǒng)或者數(shù)據(jù)庫類型通常都有自己的加密系統(tǒng)和一套密鑰管理規(guī)定。由于密鑰管理在存儲靜態(tài)數(shù)據(jù)時是要最優(yōu)先考慮的因素，所以這是個大問題。如果你有幾種數(shù)據(jù)類型需要加密，這可能會成為一個很大的障礙。管理一個密鑰系統(tǒng)已經夠有挑戰(zhàn)性了，管理幾個密鑰系統(tǒng)將更為艱難。

最后，在源頭加密數(shù)據(jù)抹掉了所有備份系統(tǒng)的壓縮功能，因為加密的數(shù)據(jù)不能被壓縮。這在Unix, Windows和MacOS備份環(huán)境中將導致百分之二十五到百分之五十的容量損失和性能損失（硬件壓縮能提高性能是因為它減少了實際寫入到磁帶的字節(jié)數(shù)）。

因此，源加密技術主要應用在少量數(shù)據(jù)的加密上，比如單個文件系統(tǒng)或者存放個人信息的數(shù)據(jù)庫。如果你考慮在數(shù)據(jù)通過一個不安全的網(wǎng)絡之前對其進行加密，那么源加密也比較合適。

備份軟件加密

對于備份軟件加密，備份應用程序會在數(shù)據(jù)存儲在磁帶上的時候對其進行加密。大多數(shù)備份軟件產品都有加密選項，在最近幾個月內，一些供應商已經加強了這些功能。

雖然，這解決了采用單個密鑰管理系統(tǒng)的源加密方式很難處理的多個密鑰問題，但很多備份軟件應用程序采用的密鑰管理系統(tǒng)都還比較陳舊。少數(shù)幾個供應商已經更新了他們的密鑰管理技術，有些還已經跟其他的公司進行了合作。然而，大多數(shù)供應商還停留在80年代的技術水平上，他們采用的系統(tǒng)很容易被擊潰。

舉個例子，他們采用的是沒有訪問控制概念的單個密鑰；如果你有那個密鑰，你就能讀取磁帶。如果一個有惡意的雇員得到了磁帶和密鑰，他或她就能讀取磁帶。如果你因為那個雇員而改變了密鑰，他還是能讀取偷來的、用舊密鑰加密的磁帶，但是你卻不能讀取在改變密鑰之前寫的備份磁帶，你必須暫時在適當?shù)奈恢弥匦螺斎肱f密鑰來讀取舊磁帶。

備份軟件加密也會影響備份性能，因為用軟件進行加密非常慢。盡管越來越快的CPU和更有效的指令能夠緩解這種情況，但是軟件加密可能還是會因為速度的原因而失去競爭力。像源加密一樣，備份軟件加密也會抹掉大多數(shù)備份系統(tǒng)的壓縮功能，除非用戶用客戶端軟件壓縮，但是這樣會讓備份更加緩慢。

因此，像源加密一樣，備份軟件加密也主要用在加密少量數(shù)據(jù)上。比如，如果你有一個用于存儲個人信息的數(shù)據(jù)庫，你可以只加密這個數(shù)據(jù)庫的備份。然而，對所有存儲個人信息的數(shù)據(jù)庫和文件系統(tǒng)進行區(qū)分可能會非常困難。如果你不確定自己能辨認所有的這些數(shù)據(jù)庫，你必須對所有的備份都進行加密，從而確保如果你只丟失其中一個磁帶可以不必告知所有的用戶。如果真是那樣的話，這個選擇可能是不可行的，因為它對系統(tǒng)性能和容量的影響很大。然而，對處在不安全網(wǎng)絡之間的備份系統(tǒng)來說，備份軟件加密還是比較合適的。

硬件加密

硬件設備加密是相對較新的選擇，它增加了人們對于加密技術的興趣。硬件設備是在物理鏈路之間對數(shù)據(jù)進行加密。因為加密是用硬件進行的，其速度可以很快，而且不會讓備份變得緩慢。此外，加密設備被設計成先對數(shù)據(jù)進行磁帶壓縮，然后再加密。

這些硬件加密系統(tǒng)通常有非常好的密鑰管理系統(tǒng)，不會被某個懷有惡意的雇員所破壞。比如，它們通常會把用于加密數(shù)據(jù)的密鑰跟用于系統(tǒng)與人員的鑒別、授權的密鑰分別開來。他們還提供了保證密鑰永不丟失的功能，比如復制和密鑰跳躍（key vaulting）。這些系統(tǒng)很先進，因為它們都是在近五年內開發(fā)出來的，充分吸取了數(shù)據(jù)安全領域幾十年的經驗教訓。

第一批可用的加密設備是擁有幾個輸入和輸出端口的單一用途設備。截至去年年底，這些系統(tǒng)擁有了絕大部分備份加密的市場份額。同時，加密功能現(xiàn)在可以放在磁帶庫、智能開關內部和磁帶驅動器的內部。這會導致這樣一個問題：硬件加密到底應該在哪里進行呢？只要硬件系統(tǒng)具有壓縮、加密功能，并有一個很強的密鑰管理系統(tǒng)，那么這個問題其實不是很重要。

對任何大量數(shù)據(jù)進行加密，硬件加密方式都是可行的最佳選擇。用戶能壓縮他們的備份數(shù)據(jù)又不會導致任何性能和容量上的損失；他們只需要購買足夠的設備用以處理他們的備份帶寬需求。硬件加密唯一的缺點是成本高，這些設備最起碼需要支付2萬美元。然而，這個成本比起數(shù)據(jù)泄漏引起的損失來說只不過是小巫見大巫。

如何抉擇？

對你的業(yè)務來說最重要的事情是什么？你想要解決的又是哪些問題？回答好了這些問題有助于幫你決定選擇哪一種辦法是最好的。如果你始終是對敏感數(shù)據(jù)進行加密，那么你應該選擇源加密；如果你只想確保數(shù)據(jù)在離開系統(tǒng)、進行備份的時候是加了密的，那么你應該選擇備份軟件加密。但請記住，這兩個方法都會在性能和容量上帶來嚴重的不良影響。如果你不愿意搞清楚究竟對什么進行加密，而只是對所有存儲到磁帶上的數(shù)據(jù)加密，又不愿意看見備份系統(tǒng)出現(xiàn)任何性能或者容量上的損失，那么你正確的選擇應該是采用硬件加密的方式。

不管你選擇的加密方法是什么，當備份磁帶丟失的時候你心里面都會稍微寬慰一點。畢竟，在這樣一個數(shù)據(jù)隱私法制時代，任何一個企業(yè)都不能不對存儲數(shù)據(jù)進行加密處理。

【編輯推薦】

1. 2009網(wǎng)絡災難年：數(shù)據(jù)安全不能承受之輕
2. 企業(yè)需要在應用程序開發(fā)時保證數(shù)據(jù)安全
3. 手機網(wǎng)站被大量“掛馬” 威脅手機數(shù)據(jù)安全